SafeGuard Enterprise Administratorhilfe
Contents
1. Administratorhilfe Shift F3 Shift F5 Shift F7 Legacy USB 1 x UN PAI Anmerkung 1 Shift F5 deaktiviert sowohl die Unterst tzung von USB 1 x als auch von USB 2 0 Hinweis Wenn Sie Shift F5 dr cken reduziert sich die Wartezeit bis zum Starten der SafeGuard POA erheblich Beachten Sie jedoch dass bei Benutzung einer USB Tastatur oder einer USB Maus am betreffenden Computer diese Ger te durch Dr cken von Shift F5 m glicherweise deaktiviert werden 2 Wenn die USB Unterst tzung nicht aktiviert ist versucht die SafeGuard POA BIOS SMM zu benutzen anstatt den USB Controller zu sichern und wiederherzustellen Der Legacy Modus kann in diesem Szenario funktionieren 3 Die Legacy Unterst tzung ist aktiviert die USB Unterst tzung ist aktiviert Die SafeGuard POA versucht den USB Controller zu sichern und wiederherzustellen Der Computer kann sich je nach eingesetzter BIOS Version aufh ngen Es besteht die M glichkeit nderungen die ber Hotkeys vorgenommen werden k nnen bei der Installation der SafeGuard Enterprise Verschl sselungssoftware ber eine mst Datei bereits vorzudefinieren Verwenden Sie dazu den entsprechenden Aufruf in Verbindung mit msiexec NOVESA Bestimmt ob VESA oder VGA Modus verwendet wird 0 VESA Modus Standard 1 VGA Modus NOLEGACY Bestimmt ob nach der SafeGuard POA Anmeldung Legacy Unterst tzung aktiviert ist 0 Legacy Unterst tzung aktiviert 1 Legacy Unterst tz2. uuersnneenennnnnnnnennnnnnnnn nn 21 5 6 Erstellen eines Haupt Sicherheitsbeauftragten Master Security Officer MSO n a RE a TERLTENEREF EEE 21 5 7 Erzeugen des Unternehmenszertifikats eeseeeeeeeeeeeee reser eerren rsrrenrrreere 23 5 8 Abschlie en der Erstkonfiguration des SafeGuard Management Centers 24 5 9 Erstellen weiterer Datenbankkonfigurationen Multi Tenancy 24 5 10 Konfigurieren zus tzlicher Instanzen des SafeGuard Management E A ee E A S 25 o A 1174 1 PENE E E E E O E E O E E T ESBLEFERSSERHERFFR 27 61 LCiz nzddei secsi nennen 27 6 2 Tokom OZonZo eenn SA EA EERE 28 6 3 Evaluierungs und Demo Lizenzen uusersnnseenennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn mann 28 6 4 Lizenzstatus berblick 44su4nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn mann 29 6 5 Import von Lizenzdateien uuuurss4nenennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn nnn nn 30 6 6 Lizenz berschreitung 40444n40ennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnannnnn 31 7 Mit mehreren Datenbankkonfigurationen arbeiten uur4snsennnnnnnennnnnnnnn ernennen 33 7 1 Erstellen von weiteren Datenbankkonfigurationen uessenennnennn 33 7 2 Herstellen einer Verbindung mit einer bereits vorhandenen Datenbankkonfiguration r4444444Hnnnnnnnnennnnnnnnennenennnennnnnnnnnnnn nn nnnnnnnnnn 34 7 3 Export einer Konfiguration
3. 536870964 Ein ung ltiger Wert wurde als CBlUser angegeben G ltige Typen sind in ASCI11 User Types definiert Fehler ID 536870965 Administratorhilfe Anzeige Ein Objekt mit der angegebenen Kennzeichnung konnte auf dem Token nicht gefunden werden 536870966 Eine Zeit berschreitung ist aufgetreten 536870967 Diese Version der IE ist nicht unterst tzt 536870968 Authentisierung fehlgeschlagen 536870969 Das Root Zertifikat ist gesichert 536870970 Keine CRL gefunden 536870971 Keine aktive Internetverbindung vorhanden 536870972 Es befindet sich ein Fehler im Zeitwert eines Zertifikates 536870973 Das Zertifikat konnte nicht verifiziert werden 536870974 Der Aufhebungsstatus dieses Zertifikates ist unbekannt 536870975 Das Modul wird beendet Keine weiteren Anfragen gestattet 536870976 Es ist ein Fehler w hrend einer Netzwerkfunktion aufgetreten 536870977 Ein ung ltiger Aufruf einer Funktion ist empfangen worden 536870978 Ein Objekt konnte nicht gefunden werden 536870979 Eine Terminal Server Sitzung wurde unterbrochen 536870980 Ung ltige Handlung 536870981 Das Objekt ist in Benutzung 536870982 Der Zufallszahlengenerator wurde nicht initialisiert CBIRNDInit wurde nicht angefragt 536870983 Unbekannter Befehl siehe CBlControl 536870984 UNICODE wird nic
4. ne 106 16 3 Benutzertypen unnsensennnnsnnnnennnnnnnennnnnannennnnnnnnnennnnnannnennnnnannen nennen 106 16 4 Konfigurieren der SafeGuard Power on Authentication ene 107 16 5 In der SafeGuard Power on Authentication unterst tzte Hotkeys 111 16 6 Deaktivierte SafeGuard POA und Lenovo Rescue and Recovery 113 17 Administrative Zugangsoptionen f r Endpoints 44ssssssnnnnnnnnnnnnnennnnnnnnnnnnn nn 114 18 Service Account Listen f r die Windows Anmeldung 44444nee nn 115 18 1 Anlegen von Service Account Listen und Hinzuf gen von Benutzern 115 18 2 Zus tzliche Informationen zur Eingabe von Benutzer und Dom nennamen uu uursssssssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 116 18 3 Bearbeiten und L schen von Service Account Listen 117 18 4 Zuweisen einer Service Account Liste in einer Richtlinie 118 18 5 bertragen der Richtlinie an den Endpoint eeeeeen 118 18 6 Anmeldung auf einem Endpoint mit einem Service Account 118 18 7 Protokollierte Ereignisse 44ss44snnnnnnennnnnnnnnnnnnnnnnnnnnnnennnn nn nnnnn nn 119 19 POA Benutzer f r die Anmeldung an der SafeGuard POA ussnenseennnnennnnenn 120 19 1 Erstellen von POA Benutzern unnsenesnseenssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 120 19 2 ndern des Kennworts f r einen P
5. Sich widersprechende Verschl sselungsrichtlinien Es werden zwei Richtlinien P1 und P2 angelegt F r P1 wurde eine dateibasierende Verschl sselung f r Laufwerk E definiert und f r P2 eine volume basierende Verschl sselung f r Laufwerk E P1 wird der OU FBE User und P2 der OU VBE User zugewiesen Fall 1 Ein Benutzer aus OU FBE User meldet sich zuerst am Client W7 100 Container Computer an Laufwerk E ist dateibasierend verschl sselt Meldet sich ein Benutzer danach aus der OU VBE User am Client W7 100 an so wird das Laufwerk E volume basierend verschl sselt Haben beide Benutzer dieselben Schl ssel k nnen beide auf die Laufwerke bzw Dateien zugreifen Fall 2 Ein Benutzer aus der OU VBE User meldet sich zuerst am Computer W7 100 Container Computer an Das Laufwerk ist mit volume basierender Verschl sselung verschl sselt Meldet sich nun ein Benutzer der OU FBE User an und hat dieser einen gemeinsamen Schl ssel mit den Benutzern aus der OU VBE User so wird das Laufwerk E die volume basierende Verschl sselung bleibt erhalten innerhalb der volume basierenden Verschl sselung dateibasierend verschl sselt Hat der Benutzer aus der OU FBE User allerdings keinen gemeinsamen Schl ssel kann er auf das Laufwerk E nicht zugreifen Priorisierung innerhalb einer Zuweisung Innerhalb einer Zuweisung hat die Richtlinie mit der h chsten Priorit t 1 Vorrang gegen ber einer Richtlinie mit einer geringeren Priorit t
6. lt Endpoint Name gt markieren Registerkarte Benutzer Benutzertypen Es gibt verschiedene Benutzertypen in SafeGuard Enterprise Weitere Informationen dar ber wie das Standardverhalten dieser Benutzertypen ge ndert werden kann finden Sie unter Richtlinieneinstellungen Seite 126 Besitzer Der Benutzer der sich als erster nach der Installation von SafeGuard Enterprise an einem Endpoint anmeldet wird nicht nur als SGN Benutzer eingetragen sondern auch als Besitzer dieses Endpoints Sofern die Standardeinstellungen nicht ge ndert wurden kann der Besitzer es anderen Benutzern erm glichen sich an dem Endpoint anzumelden und SGN Benutzer zu werden SGN Benutzer Ein vollwertiger SGN Benutzer kann sich bei der SafeGuard Power on Authentication anmelden wird der UMA User Machine Assignment Benutzer Computer Zuordnung hinzugef gt und erh lt ein Benutzerzertifikat und einen Schl sselring f r den Zugriff auf verschl sselte Daten SGN Windows Benutzer Ein SGN Windows Benutzer wird nicht zur SafeGuard POA hinzugef gt verf gt jedoch ber einen Schl sselring mit dem er wie ein SGN Benutzer auf verschl sselte Dateien zugreifen kann Er wird auch der UMA hinzugef gt d h er darf sich auf diesem Endpoint bei Windows anmelden Administratorhilfe SGN Gastbenutzer Ein SGN Gastbenutzer wird nicht der UMA hinzugef gt erh lt keine Berechtigung zum Anmelden bei der SafeGuard POA bekommt kein Zertifikat und
7. 413x140 Farben keine Einschr nkung Richtlinie vom Typ Allgemeine Einstellungen Option Anmeldebild in der POA 413x140 Farben 16 Richtlinie vom Typ Allgemeine Einstellungen Option Anmeldebild in der POA niedrige Aufl sung Bilder m ssen zun chst als Dateien BMP PNG JPG erstellt werden und k nnen dann im Navigationsbereich registriert werden Registrieren von Bildern 1 Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Bilder und w hlen Sie Neu gt Bild 2 Geben Sie unter Bildname einen Namen f r das Bild ein 3 W hlen Sie ber die Schaltfl che das zuvor erstellte Bild aus 4 Klicken Sie auf OK Das neue Bild wird als Unterknoten des Eintrags Bilder im Richtlinien Navigationsbereich angezeigt Ist ein Bild markiert wird es im Aktionsbereich angezeigt Das Bild kann jetzt beim Erstellen von Richtlinien ausgew hlt werden Sie k nnen so weitere Bilder registrieren Alle registrierten Bilder werden als Unterknoten angezeigt Hinweis Mit der Schaltfl che Bild ndern k nnen Sie das zugeordnete Bild austauschen 16 4 2 16 4 2 1 Administratorhilfe Benutzerdefinierter Informationstext in der SafeGuard POA Sie k nnen in der SafeGuard POA folgende benutzerdefinierte Informationstexte anzeigen lassen Infotext beim Starten eines Challenge Response Verfahrens zur Hilfe bei der Anmeldung z B Bitte rufen Sie Ihren Support unter der Telefonnummer 01234 56789
8. 6 Um die Richtlinieneigenschaften aufzurufen klicken Sie mit der rechten Maustaste auf die gew nschte Richtlinie und w hlen Sie Eigenschaften aus dem Kontextmen Der Eigenschaften Dialog f r die Richtlinie wird angezeigt Hier k nnen Sie unter Allgemein und Zuweisung die entsprechenden Informationen einsehen 93 SafeGuard Enterprise 14 8 14 9 14 9 1 14 9 2 14 9 3 14 9 4 94 Deaktivieren der bertragung von Richtlinien Als Sicherheitsbeauftragter k nnen Sie die bertragung von Richtlinien an Endpoints deaktivieren Klicken Sie hierzu in der SafeGuard Management Center Symbolleiste auf die Schaltfl che Richtlinienverteilung aktivieren deaktivieren oder w hlen Sie im Men Bearbeiten den Befehl Richtlinienverteilung aktivieren deaktivieren Nach der Deaktivierung der Richtlinien bertragung werden keine Richtlinien mehr an die Endpoints geschickt Um die Deaktivierung der Richtlinienverteilung r ckg ngig zu machen klicken Sie noch einmal auf die Schaltfl che oder w hlen Sie noch einmal den Men befehl Hinweis Um die bertragung von Richtlinien zu deaktivieren ben tigen Sie als Sicherheitsbeauftragter die Berechtigung Richtlinienverteilung aktivieren deaktivieren Den beiden vordefinierten Rollen Haupt Sicherheitsbeauftragter und Sicherheitsbeauftragter ist diese Berechtigung standardm ig zugewiesen Neu angelegten benutzerdefinierten Rollen kann diese Berechtigung jederzeit zugewiesen werden
9. Die notwendigen Einstellungen legen Sie in einer Richtlinie vom Typ Ger teschutz Wechselmedien fest Verschl sselungsmodus f r Medien Dateibasierend Schl ssel f r die Verschl sselung Definierter Schl ssel aus der Liste Definierter Schl ssel aus der Liste lt Gruppen Dom nenschl ssel gt z B group_users_Bob_Alice DC um sicherzustellen dass beide denselben Schl ssel benutzen Wenn die Firmenrichtlinien zus tzlich festlegen dass alle Dateien auf Wechselmedien immer verschl sselt werden sollen f gen Sie folgende Einstellungen hinzu a Initialverschl sselung aller Dateien Ja Stellt sicher dass Dateien auf Wechselmedien verschl sselt werden sobald die Wechselmedien zum ersten Mal mit dem System verbunden werden Benutzer darf Initialverschl sselung abbrechen Nein 195 SafeGuard Enterprise 24 4 2 196 Der Benutzer kann die Initialverschl sselung nicht abbrechen um sie z B zu einem sp teren Zeitpunkt durchzuf hren Benutzer darf auf unverschl sselte Dateien zugreifen Nein Werden auf Wechselmedien unverschl sselte Dateien entdeckt so wird der Zugriff auf diese Dateien verweigert Benutzer darf Dateien entschl sseln Nein Der Benutzer darf Dateien auf Wechselmedien nicht entschl sseln SafeGuard Portable auf das Ziel kopieren Nein F r die gemeinsame Benutzung von Wechselmedien innerhalb der Arbeitsgruppe ist SafeGuard Portable nicht erforderlich Au erdem w rde SafeGua
10. Hinweis Wurde auf gleicher Ebene eine Richtlinie mit niedriger Priorit t aber mit der Option Kein berschreiben zugeordnet so zieht die Richtlinie trotz niedrigerer Priorit t gegen ber den Richtlinien mit der h heren Priorit t Priorisierung innerhalb einer Gruppe Innerhalb einer Gruppe hat die Richtlinie mit der h chsten Priorit t 1 Vorrang gegen ber einer Richtlinie mit einer geringeren Priorit t Administratorhilfe 14 9 11 Statusindikatoren 14 9 12 Durch das Setzen von Statusindikatoren kann das Standardregelwerk der Richtlinien ver ndert werden Richtlinienvererbung blockieren Wird direkt bei dem Container gesetzt der keine bergeordneten Richtlinien empfangen will Rechtsklick auf das Objekt im Navigationsfenster gt Eigenschaften Soll ein Container Objekt keine Richtlinie eines bergeordneten Objektes erben k nnen Sie das durch das Setzen von Richtlinienvererbung blockieren verhindern Ist Richtlinienvererbung blockieren gesetzt werden keine bergeordneten Richtlinieneinstellungen f r dieses Container Objekt wirksam Ausnahme Kein berschreiben wurde bei der Richtlinienzuweisung aktiviert Kein berschreiben Wird bei der Zuweisung gesetzt und bedeutet dass diese Richtlinie nicht von anderen berschrieben werden kann Je weiter die Richtlinienzuweisung mit Kein berschreiben vom Zielobjekt entfernt ist umso st rker wird die Wirkung dieser Richtlinie f r alle untergeordneten Cont
11. Stumm System Tray Icon wird im Infobereich der Taskleiste angezeigt es werden aber keine Statusinformationen f r den Benutzer ber Ballon Tool Tips ausgegeben Overlay Symbole im Explorer anzeigen Virtuelle Tastatur in der POA Bestimmt ob im Windows Explorer Schl sselsymbole zur Anzeige des Verschl sselungsstatus von Volumes Ger ten Ordnern und Dateien angezeigt werden Bestimmt ob im SafeGuard POA Anmeldedialog bei Bedarf eine virtuelle Tastatur zur Eingabe des Kennworts angezeigt werden kann INSTALLATIONSOPTIONEN Deinstallation erlaubt Bestimmt ob die Deinstallation von SafeGuard Enterprise auf den Endpoints m glich ist Wird Deinstallation erlaubt auf Nein gesetzt kann SafeGuard Enterprise solange eine Richtlinie mit dieser Einstellung wirksam ist auch mit Administratorrechten nicht deinstalliert werden Sophos Manipulationsschutz aktivieren Aktiviert deaktiviert die Funktion Sophos Manipulationsschutz Wenn Sie die Deinstallation von SafeGuard Enterprise ber die Richtlinieneinstellung Deinstallation erlaubt als zul ssig definiert haben k nnen Sie diese Richtlinieneinstellung auf Ja setzen um Deinstallationsvorg nge durch die Funktion Sophos Manipulationsschutz berpr fen zu lassen und somit ein leichtfertiges Entfernen der Software zu verhindern 161 SafeGuard Enterprise 162 Richtlinieneinstellungen Erkl rung Erlaubt die Funktion Sophos Manipulationssch
12. Verwalten von FileVault 2 Endpoints im SafeGuard Management Center Im SafeGuard Management Center lassen sich FileVault 2 Endpoints wie andere native SafeGuard Endpoints verwalten Als Sicherheitsbeauftragter k nnen Sie Verschl sselungsrichtlinien f r die FileVault 2 Endpoints einrichten und verteilen Sobald ein FileVault 2 Endpoint bei SafeGuard Enterprise registriert ist werden Informationen zu Benutzer Computer Anmeldemodus und Verschl sselungsstatus angezeigt Dar ber hinaus werden Ereignisse f r FileVault 2 Clients protokolliert Die Verwaltung von FileVault 2 Clients in SafeGuard Enterprise ist transparent Das hei t die Verwaltungsfunktionen haben im Allgemeinen dieselbe Funktionsweise f r FileVault 2 und native SafeGuard Enterprise Clients Der Computertyp l sst sich in der Registerkarte Bestand eines Containers unter Benutzer amp Computer ermitteln Die Spalte POA Typ zeigt an ob es sich bei dem betreffenden Computer um einen FileVault 2 Client handelt Verschl sselungsrichtlinien f r FileVault 2 Festplattenverschl sselung Der Sicherheitsbeauftragte kann eine Richtlinie f r die Verschl sselung im SafeGuard Management Center anlegen und diese an die FileVault 2 Endpoints verteilen Die Richtlinie wird daraufhin auf den Endpoints ausgef hrt Da die FileVault 2 Endpoints im SafeGuard Management Center transparent verwaltet werden muss der Sicherheitsbeauftragte keine speziellen FileVault 2 Einstellungen f r die
13. der SafeGuard Data Exchange Richtlinie verschl sselt Weitere Informationen zu SafeGuard Data Exchange finden Sie unter SafeGuard Data Exchange Seite 193 24 24 1 24 2 Administratorhilfe SafeGuard Data Exchange Mit SafeGuard Data Exchange lassen sich Daten die auf mit Endpoint Computern verbundenen Wechselmedien gespeichert werden verschl sseln und mit anderen Benutzern austauschen Alle Ver und Entschl sselungsprozesse laufen transparent und mit minimaler Benutzerinteraktion ab Nur Benutzer die ber die entsprechenden Schl ssel verf gen k nnen den Inhalt der verschl sselten Daten lesen Alle nachfolgenden Verschl sselungsprozesse laufen transparent In der zentralen Administration definieren Sie wie Daten auf Wechselmedien behandelt werden sollen Als Sicherheitsbeauftragter legen Sie die spezifischen Einstellungen in einer Richtlinie vom Typ Ger teschutz mit Wechselmedien als Ziel des Ger teschutzes fest F r SafeGuard Data Exchange muss dateibasierende Verschl sselung benutzt werden Gruppenschl ssel F r den Austausch von verschl sselten Daten zwischen Benutzern m ssen SafeGuard Enterprise Gruppenschl ssel verwendet werden Wenn sich der Gruppenschl ssel in den Schl sselringen der Benutzer befindet erhalten diese vollen transparenten Zugriff auf die mit ihren Computern verbundenen Wechselmedien Auf Computern ohne SafeGuard Enterprise ist der Zugriff auf verschl sselte Daten auf Wechsel
14. nicht akzeptiert und die Anmeldung wird verweigert Beispiel 2 Der Benutzername f r einen Anwender lautet EMaier Steht Gro Kleinschreibung beachten auf Ja und Benutzername als Kennwort verboten auf Nein darf Benutzer EMaier keine Variante seines Benutzernamens z B emaier oder eMaiEr usw als Kennwort verwenden Als Tastaturzeilen werden eingetippte Zeichenreihen wie 123 oder qwe bezeichnet Maximal zwei auf der Tastatur nebeneinander liegende Zeichen sind erlaubt Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil Tastaturspalte verboten Drei oder mehr aufeinanderfolgende Zeichen verboten Als Tastaturspalten werden eingetippte Zeichenreihen wie xsw2 oder 3edc nicht aber xdr5 oder cft6 bezeichnet Erlaubt sind maximal zwei in einer Tastaturspalte befindliche Zeichen Verbieten Sie Tastaturspalten werden derartige Zeichenkombinationen als Kennw rter abgelehnt Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil Verboten werden mit Aktivierung dieser Option Zeichenketten die im ASCII Code aufeinander folgen sowohl in auf als auch in absteigender Reihenfolge abc oder cba die aus drei oder mehr identischen Zeichen aaa oder 111 bestehen Benutzername als Kennwort verboten Legt fest dass der Benutzername nicht als Kennwort verwendet werden darf Ja Windows Benutzername und Ke
15. 2 Stecken Sie den Token an der USB Schnittstelle ein SafeGuard Enterprise liest den Token ein 3 Markieren Sie den Token auf den Sie den privaten Teil des Zertifikats aufbringen wollen und ffnen Sie im rechten Arbeitsbereich die Registerkarte Anmeldeinformationen amp Zertifikate 4 Klicken Sie auf das Symbol P12 auf Token in der SafeGuard Management Center Symbolleiste 5 W hlen Sie die passende Zertifikatsdatei aus 6 Geben Sie die Token PIN und das Kennwort f r die p12 Datei ein und best tigen Sie mit OK Der private Teil des Zertifikats wird auf den Token aufgebracht Sie m ssen diesen nun einem Benutzer zuweisen siehe Zuweisen von Token Zertifikaten zu einem Benutzer Seite 226 Benutzer k nnen sich dann nur mit diesem Token anmelden 227 SafeGuard Enterprise 21 8 21 8 1 27 8 2 27 8 3 228 Verwalten von PINs Als Sicherheitsbeauftragter k nnen Sie sowohl die Benutzer PIN als auch die SO PIN ndern bzw die nderung der Benutzer PIN erzwingen Dies wird blicherweise bei der Erstausstellung eines Token notwendig Au erdem k nnen Sie PINs initialisieren d h neu vergeben und sperren Hinweis Um PINs zu initialisieren zu ndern oder zu sperren ben tigen Sie das Zugriffsrecht Voller Zugriff f r alle relevanten Benutzer F r Endpoints k nnen Sie weitere PIN Optionen ber Richtlinien festlegen Hinweis Beachten Sie bei PIN nderungen dass manche Token Hersteller selbst PIN Re
16. Aktivieren der Verkettung protokollierter Ereignisse 1 Stoppen Sie den Webservice SGNSRV auf dem Web Server 2 L schen Sie alle Ereignisse aus der Datenbank und erstellen Sie w hrend des L schvorgangs eine Sicherungskopie siehe L schen ausgew hlter oder aller Ereignisse Seite 278 Hinweis Wenn Sie die alten Ereignisse nicht aus der Datenbank l schen funktioniert die Verkettung nicht da f r die verbleibenden alten Ereignisse die Verkettung nicht aktiviert war 3 Setzen Sie folgenden Registry Key auf 0 oder l schen Sie ihn HKEY_LOCAL_MACHINE SOFTWARE Utimaco SafeGuard Enterprise DWORD DisableLogEventChaining 0 4 Starten Sie den Webservice neu Die Verkettung ist wieder aktiviert Hinweis Um die Verkettung wieder zu deaktivieren setzen Sie den Registry Key auf 1 277 SafeGuard Enterprise 33 9 33 10 33 11 33 12 278 Pr fen der Integrit t protokollierter Ereignisse Voraussetzung F r die berpr fung der Integrit t von protokollierten Ereignissen muss die Verkettung der Ereignisse in der EVENT Tabelle aktiviert sein 1 Klicken Sie im SafeGuard Management Center auf Berichte 2 W hlen Sie in der SafeGuard Management Center Men leiste Aktionen gt Integrit t pr fen Eine Meldung liefert die Informationen zur Integrit t der protokollierten Ereignisse Hinweis Ist die Verkettung von Ereignissen deaktiviert so wird ein Fehler ausgegeben L schen ausgew hlter oder aller Ereig
17. Erzeugen einer Certificate Change Order CCO Erzeugen eines Konfigurationspakets mit der CCO Neustart der SafeGuard Enterprise Datenbank Server Verteilen und Installieren der Konfigurationspakete auf den Endpoints So ndern Sie den Algorithmus f r selbst signierte Zertifikate 1 W hlen Sie Extras gt Optionen in der SafeGuard Management Center Men leiste 2 W hlen Sie in der Registerkarte Allgemein unter Zertifikate den erforderlichen Algorithmus in Hash Algorithmus f r erzeugte Zertifikate aus und klicken Sie auf OK 3 Klicken Sie in der Registerkarte Zertifikate unter Anforderung auf Aktualisieren Geben Sie im Dialog Unternehmenszertifikat aktualisieren einen Namen f r die CCO an und legen Sie einen Backup Pfad fest Geben Sie ein Kennwort f r die P12 Datei ein und best tigen Sie Ihre Eingabe Geben Sie nach Wunsch eine Anmerkung ein und klicken Sie auf Erzeugen 4 Wenn Sie dazu aufgefordert werden best tigen Sie dass diese nderung nicht r ckg ngig gemacht werden kann und dass alle nachfolgend erstellten Konfigurationspakete diese CCO enthalten m ssen damit Sie auf bereits installierten Endpoints wirksam werden k nnen 12 4 12 4 1 Administratorhilfe 5 Wenn Sie dazu aufgefordert werden best tigen Sie dass die Aktualisierung erfolgreich war und dass eine CCO erzeugt wurde die in alle Konfigurationspakete aufgenommen werden soll Klicken Sie auf OK 6 Klicken Sie im Extras Men auf Konfigu
18. Hinweis Clients mit Version 6 1 oder niedriger ignorieren diese Richtlinieneinstellung Sie verwenden stattdessen die Werte die f r den Fallback Anmeldemodus f r Boot Laufwerke eingestellt wurden Da keine Kennw rter verarbeitet werden k nnen wird stattdessen USB Stick oder Fehlermeldung verwendet Hinweis Kennw rter werden erst ab Windows 8 oder h her unterst tzt 137 SafeGuard Enterprise 138 Richtlinieneinstellung ERFOLGLOSE ANMELDUNGEN Erkl rung Maximalanzahl von erfolglosen Anmeldeversuchen Bestimmt wie oft ein Benutzer ohne Folgen bei der Anmeldung einen ung ltigen Benutzernamen bzw ein ung ltiges Kennwort eingeben darf Wenn der Benutzer zum Beispiel drei mal nacheinander seinen Benutzernamen oder sein Kennwort falsch eingegeben hat f hrt der vierte Versuch dazu dass der Computer gesperrt wird Meldungen zur fehlgeschlagenen Anmeldung in der POA anzeigen Definiert die Detailebene f r Meldungen zu fehlgeschlagenen Anmeldungen Standard Zeigt eine kurze Beschreibung an Verbose ausf hrlich Zeigt detaillierte Informationen an TOKEN OPTIONEN Aktion bei Verlust des Anmeldestatus des Token Definiert das Verhalten nach dem Trennen des Token vom Computer M gliche Aktionen sind Computer sperren PIN Dialog anzeigen Keine Aktion Freigabe des Token erlauben Bestimmt ob der Token bei der Anmeldung entsperrt werden darf OPTI
19. Hinweis Maximale L nge des Speicherpfads und des Dateinamens 260 Zeichen Zum Anlegen eines Sicherheitsbeauftragten ist der ffentliche Teil des Zertifikats zwar ausreichend Bei der Anmeldung an das SafeGuard Management Center ist jedoch auch der private Teil des Zertifikats die Schl sseldatei erforderlich Liegt diese nicht in der Datenbank vor muss sie dem Sicherheitsbeauftragten zur Verf gung stehen und kann bei der Anmeldung dann ggf im Zertifikatsspeicher abgelegt werden Zertifikat Importieren Ein existierendes Zertifikat wird importiert und anschlie end dem Sicherheitsbeauftragten zugewiesen Wird aus einer p12 Schl sseldatei importiert muss das Kennwort des Zertifikats bekannt sein Wird ein PKCS 12 Zertifikatscontainer ausgew hlt werden alle Zertifikate in die Liste der zuweisbaren Zertifikate geladen Die Zuweisung des Zertifikats erfolgt nach dem Import indem das Zertifikat im Dropdown Listenfeld ausgew hlt wird Rollen des Rollen Sicherheitsbeauftragten Dem Sicherheitsbeauftragten k nnen vordefinierte oder benutzerdefinierte Rollen zugewiesen werden Die mit jeder Rolle verbundenen Rechte werden unter Zugelassene Aktion im Aktionsbereich angezeigt wenn Sie auf die entsprechende Rolle klicken oder auf den Sicherheitsbeauftragten rechts klicken und Eigenschaften Aktionen w hlen Einem Benutzer k nnen mehrere Rollen zugewiesen werden Vordefinierte Rollen werden fett dargestellt 4 Kli
20. Importierte Zertifikate k nnen nicht durch SGN erneuert werden 805306426 Inkonsistente Zertifikatsdaten w hrend der Erneuerung 805306427 Die Erneuerung des Zertifikats wurde nicht von einem Sicherheitsbeauftragten genehmigt 805306428 Fehler beim L schen des Token 805306429 Das Zertifikat kann nicht vom Token gel scht werden denn es wurde f r die Authentisierung des aktuellen Benutzers verwendet 805306430 Ein Systemzugang mit diesem Namen existiert bereits Bitte w hlen Sie einen anderen Namen 805306431 Dem Sicherheitsbeauftragen sind keine Rollen zugewiesen Anmeldung nicht m glich 805306432 Die Lizenz wurde verletzt 805306433 Es wurde keine Lizenz gefunden 805306435 Fehlender oder ung ltiger Protokolldateipfad 2415919104 Es wurde keine Richtlinie gefunden 2415919105 Keine Konfigurationsdatei verf gbar 325 SafeGuard Enterprise 326 Fehler ID 2415919106 Anzeige Keine Verbindung zum Server 2415919107 Keine weiteren Datenpakete vorhanden 2415919108 Ung ltige Priorit t beim Senden zum Server 2415919109 Es stehen noch Daten zur Verarbeitung an 2415919110 Die Autoregistrierung ist noch nicht beendet 2415919111 Datenbank Anmeldung fehlgeschlagen 2415919112 Falsche Session ID 2415919113 Datenpaket ignoriert 3674210305 Dom ne nicht gefunden 3674210
21. Keine Informationen ber ein Laufwerk vorhanden Kein Zugriff auf ein Volume m glich Ung ltige Option definiert Unzul ssiges Dateisystem Das existierende Dateisystem auf einem Volume und das definierte sind unterschiedlich Die vorhandene Gr e eines Dateisystem Clusters und die definierte Gr e sind unterschiedlich Unzul ssige Sektorgr e eines Dateisystems definiert Unzul ssiger Startsektor definiert Unzul ssiger Partitionstyp definiert Es konnte kein unfragmentierter unbenutzter Bereich der erforderlichen Gr e auf einem Volume gefunden werden Dateisystem Cluster konnten nicht als benutzt markiert werden Dateisystem Cluster konnten nicht als benutzt markiert werden Dateisystem Cluster konnten nicht als unbenutzt markiert werden Dateisystem Cluster konnten nicht als BAD markiert werden Es existieren keine Informationen ber die Cluster eines Dateisystems 312 Fehler ID Administratorhilfe Anzeige Der als BAD markierte Bereich auf einem Volume konnte nicht gefunden werden Unzul ssige Gr e eines Bereichs auf einem Volume definiert Der MBR Sektor einer Festplatte konnte nicht ersetzt werden Ein falsches Kommando f r eine Allokierung oder Deallokierung definiert Unzul ssiger Algorithmus definiert Der Zugriff auf den Systemkern ist fehlgeschlagen Es ist kein Systemkern installiert Beim Zu
22. SafeGuard Enterprise 133 13341 86 2 Klicken Sie in der Ausgangs Management Konsole im Extras Men auf Optionen W hlen Sie die Registerkarte Zertifikate und klicken Sie im Bereich Anforderung auf Erzeugen W hlen Sie im CCO erzeugen Dialog das Ziel Unternehmenszertifikat aus dass Sie in der Ziel Management Konsole exportiert haben Schritt 1 Stellen Sie sicher dass es sich um das gew nschte Zertifikat handelt Klicken Sie auf Erzeugen und w hlen Sie ein Zielverzeichnis und einen Dateinamen f r die cco Datei aus Best tigen Sie dass Sie eine Company Certificate Change Order erstellen m chten Bitte beachten Sie dass eine Company Certificate Change Order nicht an spezifische Endpoints gebunden ist Mit einer Company Certificate Change Order l sst sich jeder Client der Ausgangsumgebung verschieben 3 In der Ziel Management Konsole m ssen Sie die in der Ausgangs Management Konsole erzeugte Company Certificate Change Order importieren Klicken Sie im Extras Men auf Konfigurationspakete und w hlen Sie dann die Registerkarte CCOs Klicken Sie auf Importieren 4 W hlen Sie im Dialog CCO importieren die in der Ausgangs Management Konsole erzeugte Company Certificate Change Order und geben Sie einen Namen und nach Wunsch eine Beschreibung f r die Company Certificate Change Order ein Klicken Sie auf OK 5 Erstellen Sie in der Ziel Management Konsole ein Konfigurationspaket Klicken Sie im Extras Men auf Konfiguratio
23. Seite 275 F r SafeGuard Cloud Storage l sst sich der Zugriff auf Dateien in Ihrem Cloud Speicher durch Protokollierung der relevanten Ereignisse verfolgen Weitere Informationen zu diesem Berichtstyp finden Sie unter Datei Tracking Bericht f r Wechselmedien und Cloud Speicher Seite 275 33 3311 33 1 2 ERW oo Administratorhilfe Anwendungsgebiete Die SafeGuard Enterprise Protokollierung von Ereignissen ist eine benutzerfreundliche und umfassende L sung zum Aufzeichnen und Auswerten von Ereignissen Die folgenden Beispiele zeigen einige typische Anwendungsszenarien f r SafeGuard Enterprise Berichte Zentrale berwachung von Endpoints im Netzwerk Der Sicherheitsbeauftragte will regelm ig ber kritische Ereignisse zum Beispiel Zugriff auf Dateien f r die ein Benutzer keine Berechtigung hat oder eine Reihe von fehlgeschlagenen Anmeldeversuchen innerhalb eines bestimmten Zeitraums informiert werden ber eine Protokollierungsrichtlinie l sst sich die Protokollierung so konfigurieren dass alle auf den relevanten Endpoints auftretenden sicherheitskritischen Ereignisse in einer lokalen Protokolldatei protokolliert Nach Erreichen einer festgelegten Anzahl an Ereignissen wird die Protokolldatei ber den SafeGuard Enterprise Server in die SafeGuard Enterprise Datenbank bertragen In der Ereignisanzeige des SafeGuard Management Centers kann der Sicherheitsbeauftragte die Ereignisse abrufen einsehen und analys
24. So erstellen Sie eine Tabelle mit den Texten f r die einzelnen Ereignis IDs 1 W hlen Sie in der Men leiste des SafeGuard Management Center Extras gt Optionen 281 SafeGuard Enterprise 282 2 W hlen Sie in der Men leiste des SafeGuard Management Centers Extras gt Optionen 3 Klicken Sie im Bereich Texte f r Ereignisberichte auf die Schaltfl che Erzeuge Tabelle Die Tabelle mit den Texten f r die Bericht IDs wird in der jeweils aktuellen Sprache des SafeGuard Management Centers erstellt und kann angepasst werden Hinweis Vor jedem neuen Erstellen der L ckentexte wird die Tabelle jeweils geleert Wenn die Texte f r eine Sprache wie beschrieben erstellt wurden und ein Benutzer erstellt die Texte f r eine andere Sprache so werden die Texte f r die erste Sprache entfernt 34 34 1 Administratorhilfe Planen von Tasks Das SafeGuard Management Center bietet den Taskplaner f r das Erstellen und Planen von auf Skripten basierenden Tasks die in regelm igen Abst nden ausgef hrt werden Auf dem SafeGuard Enterprise Server startet ein Service die Tasks automatisch zur Ausf hrung der angegebenen Skripte Periodische Tasks sind z B n tzlich f r die automatische Synchronisierung zwischen dem Active Directory und SafeGuard Enterprise das automatische L schen von protokollierten Ereignissen F r diese beiden Vorg nge stehen in SafeGuard Enterprise vordefinierte Skripte zur Verf gung Sie k nnen di
25. z B server mycompany com sowie Zertifikatsinformationen werden angezeigt Hinweis Wenn Sie einen Mac Endpoint zu einem SGN Server verbinden m ssen Sie SSL in der Spalte Transportverschl sselung w hlen um die Verbindung abzusichern Wenn SSL als Transportverschl sselung zwischen Endpoint und Server verwendet werden soll muss der Servername den Sie hier eingeben mit dem Servernamen bereinstimmen den Sie im SSL Zertifikat vergeben haben Andernfalls ist keine Kommunikation m glich Wenn Sie die Verbindung konfigurieren stellen Sie sicher HTTPS Portnummer 443 zu ffnen 5 Klicken Sie auf OK Die Serverinformationen werden in der Registerkarte Server angezeigt 6 Klicken Sie auf die Registerkarte Server Pakete Hier werden alle verf gbaren Server angezeigt W hlen Sie dort den gew nschten Server aus Geben Sie einen Ausgabepfad f r das Konfigurationspaket an Klicken Sie auf Konfigurationspaket erstellen Ein Server Konfigurationspaket MSI mit der Bezeichnung lt Server gt msi wird im angegebenen Ausgabeort erstellt 7 Best tigen Sie die Erfolgsmeldung mit OK 8 Klicken Sie in der Registerkarte Server auf Schlie en Die Registrierung und Konfiguration des SafeGuard Enterprise Servers ist beendet Installieren Sie das Server Konfigurationspaket MSI auf dem Computer auf dem der SafeGuard Enterprise Server l uft Sie k nnen die Serverkonfiguration in der Registerkarte Server jederzeit ndern Hinwe
26. 2 4 5 6 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer Stecken Sie den Token an der USB Schnittstelle ein SafeGuard Enterprise liest den Token ein W hlen Sie den Benutzer aus dem Sie ein Zertifikat zuweisen wollen und ffnen Sie im rechten Arbeitsbereich die Registerkarte Zertifikat Klicken Sie auf das Symbol Zertifikat von Token zuweisen in der SafeGuard Management Center Symbolleiste W hlen Sie das passende Zertifikat aus der Liste aus und geben Sie die Token PIN ein Klicken Sie auf OK Das Zertifikat wird dem Benutzer zugewiesen Einem Benutzer kann jeweils nur ein Zertifikat zugewiesen sein ndern des Zertifikats eines Benutzers Sie k nnen die f r die Anmeldung erforderlichen Zertifikate ndern oder erneuern indem Sie im SafeGuard Management Center ein neues Zertifikat zuweisen Das Zertifikat wird als Standby Zertifikat neben dem bereits vorhandenen Zertifikat zugewiesen Der Benutzer ndert das Zertifikat auf dem Endpoint indem er sich mit dem neuen Zertifikat anmeldet Hinweis Sollten Benutzer ihre Token verlieren oder sollten Token manipuliert worden sein so tauschen Sie die Token nicht aus indem Sie neue Zertifikate wie hier beschrieben zuweisen Andernfalls k nnen Probleme auftreten So ist das alte Token Zertifikat unter Umst nden noch f r die Windows Anmeldung g ltig Solange das alte Zertifikat noch g ltig ist ist die Anmeldung an Windows noch m glich und der
27. 21 2 4 Administratorhilfe Hinweis Wenn SafeGuard BitLocker Management auf einem Endpoint installiert ist dann kann Nicht vorbereitet als Verschl sselungsstatus eines Laufwerks angezeigt werden Das bedeutet dass das Laufwerk momentan nicht mit BitLocker verschl sselt werden kann weil notwendige Vorbereitungen noch nicht durchgef hrt wurden Das trifft nur auf verwaltetete Endpoints zu weil nicht verwaltetete Endpoints keine Bestandsinformationen melden k nnen Siehe auch Registerkarte Laufwerke Seite 266 Der Systemstatus kann mit dem Befehlszeilentool SGNState berpr ft werden Administratorberechtigungen erforderlich N here Informationen finden Sie im SafeGuard Enterprise Tools Guide Volume Info Gibt an ob der Endpoint angemessen f r die BitLocker Verschl sselung vorbereitet ist oder nicht In manchen F llen muss das Windows Tool zur Laufwerkvorbereitung auf BitLocker ausgef hrt werden SafeGuard Challenge Response f r BitLocker Um SafeGuard Enterprise BitLocker Challenge Response verwenden zu k nnen m ssen die folgenden Voraussetzungen erf llt sein 64 Bit Windows UEFI Version 2 3 1 oder h her Microsoft UEFI Zertifikat ist verf gbar oder Secure Boot ist deaktiviert NVRAM Booteintr ge sind von Windows aus zug nglich Windows im GPT Modus installiert Die Hardware ist in der POACFG xml Datei nicht aufgelistet Sophos liefert eine Standard POACFG xml Datei die im Setup eingebettet ist E
28. 500 KB Normal Aufl sung 1024x768 VESA Modus Farben unbegrenzt Niedrig Aufl sung 640 x 480 VGA Modus Farben 16 Farben Anmeldebild in der POA Anmeldebild in der POA niedrige Aufl sung Ersetzt das w hrend der SafeGuard POA Anmeldung angezeigte SafeGuard Enterprise Bild durch ein individuelles Bild z B das Firmenlogo Normal Richtlinieneinstellung Administratorhilfe Erkl rung Aufl sung 413 x 140 Pixel Farben unbegrenzt Niedrig Aufl sung 413 x 140 Pixel a Farben 16 Farben Dateiverschl sselung Vertrauensw rdige Anwendungen F r die dateibasierende Verschl sselung durch File Encryption und SafeGuard Data Exchange k nnen Sie vertrauensw rdige Anwendungen angeben die auf verschl sselte Dateien zugreifen k nnen Dies ist zum Beispiel notwendig damit Antivirus Software verschl sselte Dateien berpr fen kann Geben Sie die Anwendungen die Sie als vertrauensw rdig definieren m chten in das Editor Listenfeld des Felds ein Anwendungen m ssen als Fully Qualified Paths eingegeben werden Ignorierte Anwendungen Ignorierte Ger te F r die dateibasierende Verschl sselung durch File Encryption und SafeGuard Data Exchange k nnen Sie ignorierte Anwendungen angeben um Sie von der transparenten Dateiverschl sselung Dateientschl sselung auszuschlie en Wenn Sie zum Beispiel ein Backup Programm als ignorierte Anwendung definieren bleiben
29. Deaktiviert gesetzt ist sind erweiterte PINs nicht zul ssig Hinweis BitLocker unterst tzt nur das EN US Tastaturlayout Benutzer k nnten daher Probleme bei der Eingabe erweiterter PINs oder komplexer Kennw rter haben Wird das Tastaturlayout vor dem Festlegen der neuen BitLocker PIN oder des neuen Bit Locker Kennworts nicht in EN US ge ndert muss f r die Eingabe des gew nschten Zeichens unter Umst nden eine andere Taste gedr ckt werden als die auf der Tastatur angegebene Deshalb wird vor dem Verschl sseln des Boot Laufwerks ein Neustart ausgef hrt um sicherzustellen dass der Benutzer die PIN oder das Kennwort beim Starten korrekt eingeben kann USB Stick Die externen Schl ssel k nnen auf einem ungesch tzten USB Stick gespeichert werden Administratorhilfe 21 2 2 Praxistipps Richtlinieneinstellungen und Bedienung Der Sicherheitsbeauftragte konfiguriert die Verschl sselungsrichtlinien f r die zu verschl sselnden Laufwerke sowie eine Authentisierungsrichtlinie Nach M glichkeit sollte immer das TPM genutzt werden aber auch ohne TPM sollte das Boot Volume verschl sselt werden Die Benutzerinteraktion sollte auf ein Minimum beschr nkt werden Gem diesen Anforderungen w hlt der Sicherheitsbeauftragte die folgenden Authentisierungseinstellungen diese sind auch die Standardeinstellungen BitLocker Anmeldemodus f r Boot Laufwerke TPM PIN BitLocker Fallback Anmeldemodus f r Boot Laufwerke Kennwort o
30. Der Benutzer sollte diese Datei an einem sicheren Speicherort speichern z B auf einem USB Stick Beim Starten eines Challenge Response Verfahrens muss diese Datei im selben Verzeichnis wie das Recovery Tool abgelegt sein Anlegen und Exportieren von Schl sseldateien f r den Recovery Vorgang Sind mehrere Schl ssel erforderlich um den Zugriff auf ein verschl sseltes Volume im Rahmen eines Recovery Verfahrens mit virtuellen Clients wiederherzustellen so kann der Sicherheitsbeauftragte diese Schl ssel in einer exportierten Schl sseldatei zusammenfassen Diese Schl sseldatei wird mit einem Zufallskennwort verschl sselt das in der Datenbank gespeichert wird Das Kennwort ist f r jede angelegte Schl sseldatei einzigartig Die verschl sselte Schl sseldatei muss an den Benutzer bertragen werden und ihm beim Starten eines Challenge Response Verfahrens ber ein Recovery Tool zur Verf gung stehen 81 SafeGuard Enterprise 12 5 4 Im Rahmen des Challenge Response Verfahrens wird das Kennwort f r die Schl sseldatei mit dem Response Code bertragen Die Schl sseldatei kann daraufhin mit dem Kennwort entschl sselt werden und es besteht wieder Zugriff auf alle Volumes die mit den verf gbaren Schl sseln verschl sselt sind Um Sch sseldateien zu exportieren ben tigen Sie das Zugriffsrecht Voller Zugriff f r die Objekte denen die relevanten Schl ssel zugewiesen sind 1 2 Klicken Sie im SafeGuard Management Center
31. Diese Einstellung wird nur bei den Punkten Liste nicht erlaubter PINs benutzen und Benutzername als PIN verboten wirksam Beispiel 1 Sie haben in der Liste der verbotenen PINs Tafel eingetragen Steht die Option Gro Kleinschreibung beachten auf Ja werden zus tzliche Kennwortvarianten wie z B TAFEL oder TaFeL nicht akzeptiert und die Anmeldung wird verweigert Beispiel 2 Der Benutzername f r einen Anwender lautet EMaier Steht Gro Kleinschreibung beachten auf Ja und Benutzername als PIN verboten auf Nein darf Benutzer EMaier keine Variante seines Benutzernamens z B emaier oder eMaiEr usw als Kennwort verwenden Als Tastaturzeilen werden eingetippte Zeichenreihen wie 123 oder qwe bezeichnet Maximal zwei auf der Tastatur nebeneinander liegende Zeichen sind erlaubt Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil Tastaturspalte verboten Drei oder mehr aufeinanderfolgende Zeichen verboten Als Tastaturspalten werden eingetippte Zeichenreihen wie xsw2 oder 3edc nicht aber xdr5 oder cft6 bezeichnet Erlaubt sind maximal zwei in einer Tastaturspalte befindliche Zeichen Verbieten Sie Tastaturspalten werden derartige Zeichenkombinationen als Kennw rter abgelehnt Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil Verboten werden mit Aktivierung dieser Option Zeichenketten die im ASCII Code aufeina
32. Geben Sie unter Textelementname einen Namen f r den anzeigenden Text ein 3 Klicken Sie auf um die zuvor erstellte Textdatei auszuw hlen Wenn eine Konvertierung notwendig ist wird eine entsprechende Meldung angezeigt 4 Klicken Sie auf OK Das neue Textelement wird als Unterknoten des Eintrags Texte im Richtlinien Navigationsbereich angezeigt Ist ein Textelement markiert wird sein Inhalt im Aktionsbereich auf der rechten Seite angezeigt Das Textelement kann jetzt beim Erstellen von Richtlinien ausgew hlt werden Um weitere Textelemente zu registrieren gehen Sie wie beschrieben vor Alle registrierten Textelemente werden als Unterknoten angezeigt Hinweis Mit der Schaltfl che Text ndern k nnen Sie weiteren Text zum bestehenden Text hinzuf gen Wenn Sie auf diese Schaltfl che klicken wird ein Dialog ge ffnet in dem eine weitere Textdatei ausgew hlt werden kann Der in dieser Datei enthaltene Text wird am Ende des bestehenden Texts eingef gt 109 SafeGuard Enterprise 16 4 3 16 4 4 110 Sprache der SafeGuard POA Dialogtexte Alle Texte in der SafeGuard POA werden nach der Installation der SafeGuard Enterprise Verschl sselungssoftware mit den Standardeinstellungen in der Sprache angezeigt die bei der Installation von SafeGuard Enterprise in den Regions und Sprachoptionen von Windows als Standardsprache am Endpoint eingestellt ist Sie k nnen die Sprache der SafeGuard POA Dialogtexte nach der Installat
33. Microsoft Konten werden immer als SafeGuard Enterprise Gastbenutzer behandelt Gibt an wer einen anderen SGN Benutzer in die SafeGuard POA und oder UMA importieren kann indem die durchgehende Anmeldung an das Betriebssystem deaktiviert wird Hinweis Bei Endpoints auf denen das Device Encryption Modul nicht installiert ist muss die Einstellung Registrieren von neuen SGN Benutzern erlauben auf Jeder gesetzt sein wenn es auf dem Endpoint m glich sein soll der UMA mehrere Benutzer hinzuzuf gen die Zugriff auf ihre Schl sselringe haben sollen Sonst k nnen Benutzer nur im Management Center hinzugef gt werden Diese Option ist wird nur auf zentral verwalteten Endpoints ausgewertet Siehe auch Neue SafeGuard Enterprise Data Exchange Benutzer erhalten nach dem Anmelden bei SafeGuard Enterprise Data Exchange Only Clients kein Zertifikat Registrierung von SGN Windows Benutzern aktivieren 158 Legt fest ob SGN Windows Benutzer auf dem Endpoint registriert werden k nnen Ein SGN Windows Benutzer wird nicht zur SafeGuard POA hinzugef gt verf gt jedoch ber einen Schl sselring mit dem er auf verschl sselte Dateien zugreifen kann wie ein SGN Benutzer Wenn Sie diese Einstellung w hlen werden alle Benutzer die andernfalls SGN Gast Benutzer geworden w ren zu SGN Windows Benutzern Richtlinieneinstellungen Administratorhilfe Erkl rung Die Benutzer werden zur UMA hinzugef gt sobald sie sich an Window
34. Regeln f r die Zuweisung und Auswertung von Richtlinien Die Verwaltung und Auswertung von Richtlinien folgt den in diesem Abschnitt dargestellten Regeln Zuweisen und Aktivieren von Richtlinien Damit eine Richtlinie f r einen Benutzer Computer wirksam werden kann muss sie einem Container Objekt Root Knoten Dom ne OU BuiltIn Container oder Arbeitsgruppe zugewiesen werden Damit die zugewiesene Richtlinie f r Benutzer Computer wirksam wird werden beim Zuweisen einer Richtlinie an einer beliebigen Stelle in der Hierarchie alle Computer authentisierte Computer und alle Benutzer authentisierte Benutzer automatisch aktiviert die alleinige Zuweisung ohne Aktivierung reicht nicht aus In diesen Gruppen sind alle Benutzer bzw Computer zusammengefasst Vererbung von Richtlinien Vererbung von Richtlinien ist nur zwischen Container Objekten m glich Innerhalb eines Containers vorausgesetzt er enth lt keine weiteren Container Objekte k nnen Richtlinien nur aktiviert werden auf Gruppenebene Vererbung zwischen Gruppen ist nicht m glich Vererbungsreihenfolge von Richtlinien Werden Richtlinien entlang einer Hierarchiekette zugewiesen so wirkt jene Richtlinie am st rksten die n her beim Zielobjekt Benutzer Computer ist Das bedeutet mit der Entfernung zum Zielobjekt verliert die Richtlinie immer mehr an Kraft wenn n here Richtlinien vorhanden sind Direkte Zuweisung von Richtlinien Der Benutzer Computer erh lt e
35. Ursprung des relevanten Rechts zeigt H herstufen von Sicherheitsbeauftragten Sie haben folgende M glichkeiten Sie k nnen einen Benutzer im Bereich Benutzer amp Computer zum Sicherheitsbeauftragten ernennen Sie k nnen einen Sicherheitsbeauftragten im Bereich Sicherheitsbeauftragte zu einem Haupt Sicherheitsbeauftragten ernennen Administratorhilfe 11 11 1 Voraussetzungen f r die Ernennung eines Benutzers zum 11 112 Sicherheitsbeauftragten Ein Sicherheitsbeauftragter mit den erforderlichen Rechten kann Benutzer zu Sicherheitsbeauftragten machen und ihnen Rollen zuweisen Auf diese Weise ernannte Sicherheitsbeauftragte k nnen sich mit Ihren Windows Anmeldeinformationen oder ihrer Token Smartcard PIN an das SafeGuard Management Center anmelden Sie k nnen genauso wie andere Sicherheitsbeauftragte agieren und verwaltet werden Folgende Voraussetzungen m ssen erf llt sein Benutzer die zu Sicherheitsbeauftragten ernannt werden sollen m ssen aus einem Active Directory importiert und im SafeGuard Management Center unter Benutzer amp Computer sichtbar sein Ein zum Sicherheitsbeauftragter ernannter Benutzer ben tigt f r die Anmeldung an das SafeGuard Management Center als Sicherheitsbeauftragter ein Benutzerzertifikat Sie k nnen dieses Zertifikat erstellen wenn Sie den Benutzer zum Sicherheitsbeauftragten ernennen siehe Ernennen eines Benutzers zum Sicherheitsbeauftragten Seite 67 F r die Anmeldu
36. Verschl sselung vornehmen SafeGuard Enterprise kennt den Status der Clients und w hlt die FileVault 2 Verschl sselung entsprechend Ein FileVault 2 Endpoint verarbeitet nur Richtlinien des Typs Ger teschutz mit dem Ziel Boot Laufwerke und einem Verschl sselungsmodus f r Medien der auf Volume basierend oder Keine Verschl sselung gesetzt ist Alle anderen Richtlinieneinstellungen werden ignoriert Volume basierend aktiviert FileVault 2 auf dem Endpoint Keine Verschl sselung erlaubt dem Benutzer den Mac zu entschl sseln 179 SafeGuard Enterprise 22 SafeGuard Configuration Protection Das Modul SafeGuard Configuration Protection ist ab SafeGuard Enterprise 6 1 nicht mehr verf gbar Die entsprechende Richtlinie sowie der Suspension Wizard sind im SafeGuard Management Center 7 0 weiterhin f r SafeGuard Enterprise 6 oder auch 5 60 Clients mit installiertem Configuration Protection die mit einem 7 0 Management Center verwaltet werden verf gbar Weitere Informationen zu SafeGuard Configuration Protection finden Sie in der SafeGuard Enterprise 6 Administratorhilfe http www sophos com de de medialibrary PDFs documentation sgn_60_h_eng admin_help pdf 180 Administratorhilfe 23 Dateiverschl sselung Das SafeGuard Enterprise Modul File Encryption bietet dateibasierende Verschl sselung auf lokalen Festplatten und im Netzwerk speziell f r Arbeitsgruppen bei Netzwerkfreigaben Im SafeGuard Management Center defin
37. auf dem Computer Server jeweils die veralteten Konfigurationspakete Administratorhilfe 15 1 Erzeugen eines Konfigurationspakets f r zentral verwaltete Endpoints Voraussetzungen ae WN Pr fen Sie im Benutzer amp Computer Navigationsbereich in der Registerkarte Bestand ob f r die Endpoints die das neue Konfigurationspaket erhalten sollen ein Wechsel des Unternehmenszertifikats erforderlich ist Wenn das Feld Aktuelles Unternehmenszertifikat nicht aktiviert ist unterscheiden sich das derzeit aktive Unternehmenszertifikat in der SafeGuard Enterprise Datenbank und auf dem Computer voneinander Daher ist ein Wechsel des Unternehmenszertifikats erforderlich Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete W hlen Sie Pakete f r Managed Clients Klicken Sie auf Konfigurationspaket hinzuf gen Geben Sie einen beliebigen Namen f r das Konfigurationspaket ein Ordnen Sie einen prim ren SafeGuard Enterprise Server zu der sekund re Server ist nicht notwendig Falls erforderlich geben Sie eine Richtliniengruppe an die auf die Endpoints angewendet werden soll Diese m ssen Sie zuvor im SafeGuard Management Center erstellt haben Wenn Sie f r Aufgaben nach der Installation auf dem Endpoint Service Accounts verwenden m chten stellen Sie sicher dass die entsprechende Richtlinieneinstellung in dieser ersten Richtliniengruppe definiert ist siehe Service Account Listen f r die Win
38. der Cloud Storage Synchronisierungsordner zur Verf gung Mit diesem Befehl k nnen Benutzer separate Standardschl ssel angeben die f r die Verschl sselung von unterschiedlichen Synchronisierungsordnern verwendet werden soll 20 2 Authentisierung Richtlinieneinstellung Erkl rung Benutzer kann nur von interner Hinweis Diese Einstellung wird nur von Endpoints unterst tzt Festplatte booten auf denen eine ltere SafeGuard Enterprise Version als 6 1 installiert ist Mit dieser Option konnte es dem Benutzer erm glicht werden den Endpoint von externen Medien zu starten Ab Version 6 1 hat diese Einstellung keine Wirkung mehr auf Endpoints F r das betreffende Recovery Szenario k nnen Sie die Recovery mit virtuellen Clients verwenden siehe Challenge Response mit virtuellen Clients Seite 245 Legt fest ob Benutzer den Computer von Festplatte und oder anderem Medium starten d rfen JA Benutzer darf ausschlie lich von der Festplatte booten Die M glichkeit den Computer mit Diskette oder einem weiteren externen Medium zu starten wird nicht in der SafeGuard POA angeboten NEIN Benutzer darf den Computer von Festplatte Diskette oder einem externen Medium USB CD etc starten ANMELDEOPTIONEN Anmeldemodus Legt fest wie sich Benutzer in der SafeGuard POA authentisieren m ssen Benutzername Kennwort Benutzer m ssen sich mit ihrem Benutzernamen und Kennwort anmelden Token Der Benutzer darf sich
39. einen bestimmten Schl ssel zu definieren der vom Benutzer zur Verschl sselung verwendet werden muss Wenn Sie dem Benutzer einen Schl ssel auf diese Weise vorgeben wollen m ssen Sie unter F r Verschl sselung definierter 121 1 12 1 2 Administratorhilfe Schl ssel einen Schl ssel festlegen Diese Option wird erst angezeigt wenn Sie Definierter Schl ssel aus der Liste ausgew hlt haben Wenn Sie auf die Schaltfl che neben der Option F r Verschl sselung definierter Schl ssel klicken wird ein Dialog angezeigt in dem Sie einen Schl ssel angeben k nnen Stellen Sie sicher dass der Benutzer auch den entsprechenden Schl ssel hat Markieren Sie den gew nschten Schl ssel und klicken Sie auf OK Der ausgew hlte Schl ssel wird auf dem Endpoint Computer zur Verschl sselung verwendet Zuweisen von Schl sseln im Bereich Benutzer amp Computer Um Schl ssel zuzuweisen ben tigen Sie das Zugriffsrecht Voller Zugriff f r das relevante Objekt So weisen Sie Benutzern neue Schl ssel zu 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Navigationsbereich das gew nschte Objekt aus z B Benutzer Gruppe oder Container 3 Klicken Sie mit der rechten Maustaste auf die Registerkarte Schl ssel und w hlen Sie Neuen Schl ssel zuweisen aus dem Kontextmen 4 F hren Sie im Dialog Neuen Schl ssel zuweisen folgende Aufgaben aus a Geben Sie einen Symbolischen Namen u
40. geliefert die Anmeldeoptionen wie Smartcard und Fingerabdruck sowie einen Challenge Response Mechanismus f r die Wiederherstellung unterst tzt BitLocker mit Pre Boot Authentication PBA von SafeGuard verwaltet ist die Komponente die das BitLocker Verschl sselungsmodul und die BitLocker Pre Boot Authentication aktiviert und verwaltet Sie ist f r BIOS und UEFI Plattformen verf gbar a Die UEFI Version bietet zus tzlich einen SafeGuard Challenge Response Mechanismus f r die BitLocker Wiederherstellung f r den Fall dass Benutzer ihre Kennw rter vergessen Die UEFI Version kann verwendet werden wenn bestimmte Plattform Anforderungen erf llt sind Beispielsweise muss die UEFI Version 2 3 1 sein N here Informationen entnehmen Sie bitte den Versions Infos a Die BIOS Version bietet die Wiederherstellungs Erweiterungen des SafeGuard Challenge Response Mechanismus nicht Sie dient auch als Fallback falls die Anforderungen an die UEFI Version nicht erf llt sind Der Sophos Installer pr ft ob die Voraussetzungen erf llt sind Falls nicht installiert er automatisch die BitLocker Version ohne Challenge Response Mac Endpoints F r Mac Endpoints sind folgende Produkte verf gbar Sie werden auch von SafeGuard Enterprise verwaltet oder berichten zumindest an das Management Center Sophos SafeGuard File Encryption Sophos SafeGuard Native Device for Mac 7 0 Encryption FileVault 2 Verwaltung 7 0 OS X 10 8 JA Die Bes
41. nlichen Schl sseln Um aktive pers nliche Schl ssel zur ckzustufen ben tigen Sie die Rechte Schl ssel ndern und Pers nliche Schl ssel verwalten Das Recht Pers nliche Schl ssel verwalten ist standardm ig der vordefinierten Rolle des Haupt Sicherheitsbeauftragten Master Security Officer zugewiesen Es kann jedoch auch neuen benutzerdefinierten Rollen zugewiesen werden Dar ber hinaus ben tigen Sie das Zugriffsrecht Voller Zugriff f r das relevante Objekt Sie k nnen aktive pers nliche Schl ssel manuell zur ckstufen wenn zum Beispiel ein Benutzer das Unternehmen verl sst Wenn Sie das Recht Pers nliche Schl ssel verwalten haben k nnen Sie den zur ckgestuften pers nlichen Schl ssel dieses Benutzers anderen Benutzern zuweisen um Ihnen Lesezugriff auf Dateien zu gew hren die mit diesem Schl ssel verschl sselt sind Der Schl ssel kann jedoch nicht zum Verschl sseln von Dateien verwendet werden Hinweis Dieser Vorgang kann nicht r ckg ngig gemacht werden Ein zur ckgestufter pers nlicher Schl ssel kann nicht mehr als aktiver pers nlicher Schl ssel verwendet werden egal f r welchen Benutzer 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Navigationsbereich den gew nschten Benutzer 3 Klicken Sie in der Registerkarte Schl ssel mit der rechten Maustaste auf den gew nschten Aktiven pers nlichen Schl ssel und w hlen Sie Pers nlichen Schl ssel zur ckstu
42. rter werden in den Windows Gruppenrichtlinien festgelegt und nicht durch die SafeGuard Enterprise Einstellungen Die betreffenden Einstellungen f r Kennw rter sind im lokalen Gruppenrichtlinien Editor gpedit msc zu finden Local Computer Policy Computer Configuration Administrative Templates Windows Components BitLocker Drive Encryption Operating System Drives Configure use of passwords for operating system drives und Local Computer Policy Computer Configuration Administrative Templates Windows Components BitLocker Drive Encryption Fixed Data Drives Configure use of passwords for fixed data drives Die Einstellungen k nnen auch ber Active Directory angewendet werden PINs bestehen in der Regel nur aus Zahlen Es kann jedoch die Verwendung aller Tastaturzeichen Zahlen Buchstaben und Sonderzeichen Symbole zugelassen werden Die Einstellung mit der diese erweiterten PINs zugelassen werden ist im lokalen Gruppenrichtlinien Editor gpedit msc unter Local Computer Policy Computer Configuration Administrative Templates Windows Components BitLocker Drive Encryption Operating System Drives zu finden Wenn Erweiterte PINs f r Systemstart zulassen auf Aktiviert gesetzt ist sind erweiterte PINs zul ssig Wenn Erweiterte PINs f r Systemstart zulassen auf Nicht konfiguriert gesetzt ist sind in SafeGuard Enterprise erweiterte PINs zul ssig Wenn Erweiterte PINs f r Systemstart zulassen auf
43. sselring zur Verf gung und die Benutzer k nnen entsprechend den geltenden Richtlinien auf den Computer zugreifen Haben sie sich zuvor noch an keinem Endpoint erfolgreich angemeldet k nnen sie wie zuvor beschrieben aufgenommen werden Hinweis Wenn das letzte g ltige Benutzerzertifikat von einem SO oder MSO aus der UMA entfernt wurde kann jeder Benutzer die SafeGuard POA des entsprechenden Computers absolvieren Dasselbe gilt wenn sich die Domain des Endpoints ndert Dann sind nur Windows Anmeldeinformationen zum Anmelden am Computer zum Reaktivieren der SafeGuard POA und das Hinzuf gen als neuer Besitzer n tig Benutzer sperren Durch Ausw hlen des Kontrollk stchens in der Spalte Benutzer sperren wird dem Benutzer die Anmeldung an diesem Computer verboten Wenn der betreffende Benutzer angemeldet ist wenn eine Richtlinie die diese Einstellung enth lt wird der Benutzer abgemeldet Gruppen Im SafeGuard Management Center k nnen auch Computergruppen einem Benutzer Konto bzw Benutzergruppen einem Computer zugewiesen werden So erstellen Sie eine Gruppe Klicken Sie unter Benutzer amp Computer mit der rechten Maustaste auf den relevanten Objektknoten bei dem Sie die Gruppe erstellen m chten W hlen Sie dann Neu und Neue Gruppe erzeugen Geben Sie in Neue Gruppe erzeugen unter Vollst Name den Namen der Gruppe und nach Wunsch eine Beschreibung ein Klicken Sie auf OK Beispiel Service Konto Auf diese Weise ist es z
44. sselung Verschl sselungsfehler Laufwerksfehler Verschl sselung Verschl sselungsfehler Der Schl ssel fehlt Verschl sselung Verschl sselungsfehler Der Original KSA Bereich ist besch digt Verschl sselung Verschl sselungsfehler Der Sicherungs KSA Bereich ist besch digt Verschl sselung Verschl sselungsfehler Der ESA Bereich ist besch digt Zugriffskontrolle Port erfolgreich freigegeben Zugriffskontrolle Ger t erfolgreich freigegeben 309 SafeGuard Enterprise 310 Kategorie Zugriffskontrolle Ereignis ID Beschreibung Speicherger t erfolgreich freigegeben Zugriffskontrolle Zugriffskontrolle WLAN erfolgreich freigegeben Port erfolgreich entfernt Zugriffskontrolle Zugriffskontrolle Ger t erfolgreich entfernt Speicherger t erfolgreich entfernt Zugriffskontrolle Zugriffskontrolle WLAN Verbindung erfolgreich getrennt Port eingeschr nkt Zugriffskontrolle Zugriffskontrolle Ger t eingeschr nkt Speicherger t eingeschr nkt Zugriffskontrolle Zugriffskontrolle WLAN eingeschr nkt Port gesperrt Zugriffskontrolle Zugriffskontrolle Zugriffskontrolle Ger t gesperrt Speicherger t gesperrt WLAN gesperrt Administratorhilfe 38 Fehlercodes 38 1 SGMERR Codes in der Windows Ereignisanzeige In der Windows Ereignisanzeige k nnten Sie folgende Meldung finden Authorizat
45. standardm ig die 100 letzten Ereignisse angezeigt Dar ber hinaus k nnen Sie mit dem Filter Editor benutzerdefinierte Filter erstellen Der Filter Editor l sst sich ber das Kontextmen der einzelnen Berichtsspalten aufrufen Im Fenster Filterdefinition k nnen Sie eigene Filter definieren und auf die jeweilige Spalte anwenden Datei Tracking Bericht f r Wechselmedien und Cloud Speicher Bei SafeGuard Data Exchange und SafeGuard Cloud Storage l sst sich der Zugriff auf Dateien auf Wechselmedien oder in Ihrem Cloud Speicher protokollieren Unabh ngig davon ob eine Verschl sselungsrichtlinie f r Dateien auf Wechselmedien oder Cloud Speicher gilt lassen sich Ereignisse f r folgende Aktionen protokollieren Auf einem Wechselmedium oder im Cloud Speicher wird eine Datei oder ein Verzeichnis angelegt Auf einem Wechselmedium oder im Cloud Speicher wird eine Datei oder ein Verzeichnis umbenannt Auf einem Wechselmedium oder im Cloud Speicher wird eine Datei oder ein Verzeichnis gel scht Sie k nnen die Events f r den Dateizugriff in der Windows Ereignisanzeige oder in der SafeGuard Enterprise Datei Tracking Anzeige einsehen je nachdem welches Ziel Sie bei der Definition der Protokollierungsrichtlinie angeben Konfigurieren von Datei Tracking 1 Klicken Sie im SafeGuard Management Center auf Richtlinien 2 Legen Sie eine neue Richtlinie des Typs Protokollierung an oder w hlen Sie eine bereits bestehende Rich
46. wenn eine andere geltende Richtlinie die volume basierende Verschl sselung fordert Hinweis F r Block Master SafeStick gelten spezielle Anforderungen Diese Ger te haben f r Administratoren und Benutzer ohne Administratorrechte unterschiedliche IDs F r die korrekte Verarbeitung in SafeGuard Enterprise m ssen Sie beide IDs zur White List hinzuf gen Der SafeGuard Port Auditor ermittelt beide IDs wenn ein SafeStick Ger t mindestens einmal auf dem von SafeGuard Port Auditor gescannten Computer ge ffnet wurde Anlegen einer White List f r Ger teschutz Richtlinien f r die dateibasierende Verschl sselung 1 Markieren Sie im Richtlinien Navigationsbereich den Eintrag White List 20 8 2 Administratorhilfe 2 Klicken Sie im Kontextmen von White List auf Neu gt White List 3 W hlen Sie den Typ der White List aus Um eine White List f r spezifische Datentr germodelle zu erstellen w hlen Sie Datentr germodelle Um eine White List f r bestimmte Datentr ger nach Seriennummer zu erstellen w hlen Sie Einzelne Datentr ger 4 Geben Sie unter White List Quelle an wie Sie die White List erstellen m chten Um Datentr ger manuell einzugeben w hlen Sie White List manuell erstellen Wenn Sie auf OK klicken wird eine leere White List im SafeGuard Management Center ge ffnet In dieser leeren White List k nnen Sie die Eintr ge manuell erstellen Klicken Sie dazu auf das gr ne Symbol Hinzuf gen Einf gen in d
47. wie lange in Tagen die Ereignisse in der EVENT Tabelle verbleiben Die Standardeinstellung ist 0 Wenn dieser Parameter auf 0 gesetzt ist gibt es keine zeitliche Begrenzung f r das Verbleiben der Ereignisse in der EVENT Tabelle maxCount Mit diesem Parameter legen Sie fest wie viele Ereignisse in der EVENT Tabelle verbleiben Die Standardeinstellung ist 5000 Wenn dieser Parameter auf 0 gesetzt ist gibt es keine maximale Anzahl an Ereignissen in der EVENT Tabelle keepBackup Mit diesem Parameter legen Sie fest ob Ereignisse in der EVENT_BACKUP Tabelle gesichert werden sollen Die Standardeinstellung ist 0 Wenn dieser Parameter auf 0 gesetzt ist werden die Ereignisse nicht gesichert Setzen Sie diesen Parameter auf 1 um eine Sicherungskopie der gel schten Ereignisse zu erstellen Hinweis Wenn Sie die Ereignisse ber das Skript aus der EVENT Tabelle in die Backup Log Tabelle verschieben findet die Verkettung der Protokollierung keine Anwendung mehr Es ist nicht sinnvoll die Verkettung zu aktivieren und gleichzeitig die gespeicherte Prozedur zur S uberung der EVENT Tabelle einzusetzen Weitere Informationen finden Sie unter Verkettung von protokollierten Ereignissen Seite 277 Einschr nkungen in Bezug auf registrierte Server Wenn Sie im SafeGuard Management Center mit der Funktion Konfigurationspakete Server registrieren k nnen Sie mit einem Maschinenzertifikat mehrere Server Templates registrieren Sie k nnen j
48. 42 10 Aufbau der Organisationsstruktur serssnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 43 10 1 Import aus Active Directory ennnnnnnnnnnnnnnnnnennnennnnnnnnnnnnnnnnnnennn ern 43 10 2 Erstellen von Arbeitsgruppen und Dom nen uu snsneensssnnnnennnennnnnnnen nennen 46 10 3 Suche nach Benutzern Computern und Gruppen in der SafeGuard Enterprise Datenbank en ee el 51 10 4 Anzeigen von Objekteigenschaften in Benutzer und Computer 52 11 SafeGuard Enterprise Sicherheitsbeauftragte rs4sssnsennnnnnnnnnnennnnnnnnnnn 53 11 1 Rollen f r Sicherheitsbeauftragte ursnnnnnsnnnnnnnnnennnnnnnnnnnnnnnnnn nn 53 11 2 Anlegen einer neuen Rolle ur 244404nssnnnnnnnenennnnennnnnnnnnnnnnnnnnenne nn 56 11 3 Zuweisen einer Rolle zu einem Sicherheitsbeauftragten u 56 11 4 Einsehen von Sicherheitsbeauftragten und Rolleneigenschaften 57 11 5 Anderh eiher Rolle asnu iernare ahoa a a aai 58 11 6 Kopieren einer Role ceiereine ie e E Re E R 59 11 7 L schen einer Rolle uuusussnnnsannenennnnnnneennnnnnnnnnnnnnannenennnnnnnnennnnnnnnn 59 11 8 Anlegen eines Haupt Sicherheitsbeauftragten uursenrsennnnnnennnnnn 60 11 9 Anlegen eines Sicherheitsbeauftragten usrssnsnnnsennnnnnnnnnnnnnnnnnnnnnnn 62 11 10 Zuweisen von Verzeichnisobjekten zu einem Sicherheitsbeauftragten 65 11
49. Anlegen von Listen mit Service Accounts Die in den Listen enthaltenen Benutzer werden dadurch als SafeGuard Enterprise Gastbenutzer behandelt Mit Service Accounts ergibt sich folgendes Szenario 1 SafeGuard Enterprise wird auf einem Endpoint installiert 2 Der Endpoint wird neu gestartet und ein Rollout Beauftragter der in einer Service Account Liste aufgef hrt ist meldet sich an 3 Gem der auf den Computer angewendeten Service Account Liste wird der Benutzer als Service Account erkannt und als Gastbenutzer behandelt Der Rollout Beauftragte wird nicht zur SafeGuard POA hinzugef gt und die POA wird nicht aktiviert Der Rollout Beauftragte wird nicht Besitzer des Endpoint Der Endbenutzer kann sich anmelden und die SafeGuard POA aktivieren Hinweis Service Account Listen werden den Endpoints ber Richtlinien zugewiesen Sie sollten bereits im ersten SafeGuard Enterprise Konfigurationspaket das Sie f r die Konfiguration der Endpoints erstellen enthalten sein Anlegen von Service Account Listen und Hinzuf gen von Benutzern 1 Klicken Sie im Navigationsbereich auf Richtlinien 2 Markieren Sie im Richtlinien Navigationsbereich den Eintrag Service Account Listen 115 SafeGuard Enterprise 18 2 116 3 Klicken Sie im Kontextmen von Service Account Listen auf Neu gt Service Account Liste 4 Geben Sie einen Namen f r die Service Account Liste ein und klicken Sie auf OK 5 Markieren Sie die neue Liste unter
50. B weil kein AD vorhanden ist 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Rechts klicken Sie im linken Navigationsfenster auf Stamm Filter ist aktiv und w hlen Sie im Kontextmen Neu gt Neue Dom ne erzeugen autom Registrierung 3 In Allgemeine Informationen machen Sie folgende Angaben zum Dom nen Controller 49 SafeGuard Enterprise 10 2 8 10 2 9 50 Alle zwei Namenseintr ge m ssen korrekt sein Ansonsten wird die Dom ne nicht synchronisiert Vollst Name z B rechnername dom ne com oder die IP Adresse des Dom nen Controllers a 2 Distinguished Name schreibgesch tzt DNS Name z B DC rechnername3 DC dom ne DC Land O Ss Eine Dom nenbeschreibung optional Netbios Name Name des Dom nen Controllers a e aer Unter Verbindungsstatus wird der Typ des Objekts angezeigt in diesem Fall Dom ne f Aktivieren Sie Richtlinienvererbung stoppen wenn gew nscht g Klicken Sie auf OK Die neue Dom ne wird angelegt Ein Benutzer und oder ein Computer wird bei der Autoregistrierung automatisch dieser Dom ne zugeordnet Unterhalb des Dom nen Containers wird das Standardverzeichnis Automatisch registriert angelegt Es kann weder umbenannt noch gel scht werden Umbenennen einer Dom ne Als Sicherheitsbeauftragter mit den n tigen Berechtigungen k nnen Sie eine Dom ne umbenennen und weitere Eigenschaften f r sie festlegen Sie ben tigen da
51. Benutzers angezeigt Weitere Informationen zum Anzeigen des Schl sselrings des Benutzers auf dem Endpoint finden Sie in der SafeGuard Enterprise Benutzerhilfe im Kapitel System Tray Icon und Balloon Ausgabe Hinweis Wenn in einer Richtlinie ein verborgener Schl ssel f r die Verschl sselung festgelegt ist hat die Einstellung Schl ssel verbergen keine Auswirkungen auf die Verschl sselung auf dem Endpoint Pers nliche Schl ssel f r die dateibasierende Verschl sselung mit File Encryption Ein pers nlicher Schl ssel ist eine besondere Art von Verschl sselungschl ssel der f r einen bestimmten Benutzer erzeugt wird und nicht mit anderen Benutzern gemeinsam verwendet werden kann Ein pers nlicher Schl ssel der f r einen bestimmten Benutzer aktiv ist wird als aktiver pers nlicher Schl ssel bezeichnet Aktive pers nliche Schl ssel k nnen anderen Benutzern nicht zugewiesen werden In File Encryption Richtlinien k nnen Sie Verschl sselungsregeln mit dem Platzhalter Pers nlicher Schl ssel statt eines Schl sselnamens definieren F r solche Regeln wird als Verschl sselungsschl ssel der aktive pers nliche Schl ssel des Benutzers verwendet Wenn Sie eine Verschl sselungsregel f r den Pfad C encrypt f r die Verschl sselung mit dem pers nlichen Schl ssel definieren werden f r die einzelnen Benutzer unterschiedliche Schl ssel verwendet So k nnen Sie sicherstellen dass die Informationen in spezifischen Ordnern f r
52. Code aus Ziffern und Buchstaben erzeugt und angezeigt Der Benutzer wendet sich an den Helpdesk und bermittelt die notwendige Identifizierungsinformationen sowie den Challenge Code Der Helpdesk Beauftragte startet den Recovery Assistenten im SafeGuard Management Center 2922 23 28 Administratorhilfe 4 Der Helpdesk Beauftragte w hlt den entsprechenden Recovery Typ best tigt die Identifikationsinformationen sowie den Challenge Code und w hlt die gew nschte Recovery Aktion aus Ein Response Code in Form einer ASCII Zeichenfolge wird generiert und angezeigt 5 Der Helpdesk bermittelt den Response Code per Telefon oder Text Mitteilung an den Benutzer 6 Der Benutzer gibt den Response Code ein Je nach Recovery Typ erfolgt dies in der SafeGuard POA oder ber das KeyRecovery Tool Der Benutzer kann die autorisierte Aktion z B R cksetzen des Kennworts ausf hren und wieder mit dem Computer arbeiten Wann muss der Benutzer sein Kennwort ndern Im Rahmen eines SafeGuard Enterprise Recovery Vorgangs muss der Benutzer u U sein Windows Kennwort ndern Die folgende Tabelle zeigt wann es erforderlich ist das Kennwort zu ndern Die ersten vier Spalten zeigen spezifische Bedingungen die w hrend des Challenge Response Verfahrens auftreten k nnen Die letzte Spalte gibt basierend auf den Bedingungen aus den ersten vier Spalten an ob der Benutzer sein Kennwort ndern muss Bedingung C R mit Bedingu
53. Datei gestartet Verschl sselung Verschl sselung einer Datei erfolgreich abgeschlossen Kategorie Verschl sselung Ereignis ID Administratorhilfe Beschreibung Verschl sselung einer Datei fehlgeschlagen Verschl sselung Entschl sselung einer Datei gestartet Verschl sselung Entschl sselung einer Datei erfolgreich abgeschlossen Verschl sselung Entschl sselung einer Datei fehlgeschlagen Verschl sselung Backup von Bootkey durchgef hrt Verschl sselung berschreitung der Anzahl von Verschl sselungsalgorithmen f r Start Laufwerke Verschl sselung Lesefehler von Schl sseldatenbereiche Verschl sselung Abweisen von Laufwerken gem den Richtlinien Verschl sselung Warnung NTFS Boot Sector Backup fehlt auf Volume 1 Verschl sselung Der Benutzer hat neue BitLocker Anmeldeinformationen zum Starten des Computers zur Verf gung gestellt Verschl sselung Der Benutzer hat versucht neue BitLocker Anmeldeinformationen zum Starten des Computers zur Verf gung zu stellen aber der Vorgang ist fehlgeschlagen Verschl sselung Zugriffsschutz Verschl sselung Allgemeiner Verschl sselungsfehler Verschl sselung Verschl sselungsfehler Laufwerk nicht gefunden Verschl sselung Verschl sselungsfehler Laufwerk nicht verf gbar Verschl sselung Verschl sselungsfehler Laufwerk entfernt Verschl
54. Die angegebene PIN ist zu lang oder zu kurz Dieser Antwort Code wird nur f r Funktionen angewandt die versuchen eine PIN einzurichten 536870954 Die angegebene PIN ist geblockt und kann nicht genutzt werden Dies tritt auf weil eine gewisse Anzahl an fehlgeschlagenen Versuchen zur Authentisierung aufgetreten ist und der Token weitere Versuche zur Authentisierung ablehnt 536870955 Die angegebene Slot ID ist ung ltig 536870956 Der Token war zu dem Zeitpunkt als die Funktion angefragt wurde nicht in seinem Slot 536870957 Das CBI Archiv und oder der Slot konnte keinen Token im Slot erkennen 536870958 Die angefragte Aktion kann nicht durchgef hrt werden da der Token schreibgesch tzt ist 536870959 Der angegebene Benutzer kann nicht angemeldet werden da dieser Benutzername bereits zur Sitzung angemeldet ist 536870960 Der angegebene Benutzer kann nicht angemeldet werden da ein anderer Benutzer bereits zur Sitzung angemeldet ist 536870961 Die gew nschte Aktion kann nicht ausgef hrt werden da der geeignete Benutzer oder ein geeigneter Benutzer nicht angemeldet ist Zum Beispiel kann die Abmeldung von der Sitzung nicht vor der Anmeldung liegen 536870962 Die normale Benutzer PIN ist nicht mit CBllnitPin initialisiert 536870963 Es wurde versucht gleichzeitig mehrere verschiedene Benutzer auf dem Token anzumelden was der Token und oder das Archiv zugelassen haben
55. Die in Zusammenhang mit Service Account Listen durchgef hrten Aktionen werden ber die folgenden Ereignisse protokolliert SafeGuard Management Center Service Account Liste lt Name gt angelegt Service Account Liste lt Name gt ge ndert Service Account Liste lt Name gt gel scht Durch SafeGuard Enterprise gesch tzte Endpoints Windows Benutzer lt Dom ne Benutzer gt hat sich um lt Zeit gt an Maschine lt Dom ne Computer gt als SGN Service Account angemeldet Neue Service Account Liste importiert Service Account Liste lt Name gt gel scht 119 SafeGuard Enterprise 19 19 1 120 POA Benutzer f r die Anmeldung an der SafeGuard POA Hinweis POA Benutzer werden nur von Windows Endpoints unterst tzt die von SafeGuard Enterprise mit SafeGuard Power on Authentication gesch tzt werden Nach der Installation von SafeGuard Enterprise und der Aktivierung der SafeGuard Power on Authentication POA kann der Zugang zu Endpoints f r administrative Aufgaben notwendig sein Mit POA Benutzern k nnen sich Benutzer z B Mitglieder des IT Teams zur Durchf hrung von administrativen Aufgaben an der SafeGuard Power on Authentication anmelden ohne ein Challenge Response Verfahren durchf hren zu m ssen Eine automatische Anmeldung an Windows erfolgt nicht Die Benutzer m ssen sich an Windows mit ihren vorhandenen Windows Benutzerkonten anmelden Sie k nnen POA Benutzer anlegen diese in POA Gruppen g
56. Einstellung Wird aufgel st in verwendet werden die von der Media Center Software benutzt wird F r Synchronisierungsordner Der Fully qualified Pfad des Synchronisierungsordners der von der Media Center Software benutzt wird Beispiel Wenn Sie Dropbox als Cloud Storage Anbieter nutzen k nnen Sie f r die Synchronisierungsapplikation einfach lt Dropbox gt eingeben Wenn Sie den Synchronisierungsordner nicht explizit angeben wird lt Dropbox gt auch in die Liste mit Ordnern unter Synchronisierungsordner kopiert In diesem Beispiel wird davon ausgegangen dass a Sie die lt Dropbox gt f r die Synchronisierungsapplikation und lt Dropbox gt encrypt f r den Synchronisierungsordner in der Cloud Storage Definition verwendet haben Dropbox auf dem Endpoint installiert ist Der Benutzer dropbox als Ordner der mit Dropbox synchronisiert werden soll konfiguriert hat Wenn der durch SafeGuard Enterprise gesch tzte Endpoint eine Richtlinie mit einer solchen Cloud Storage Definition CSD erh lt werden die Platzhalter in der CSD automatisch entsprechend dem Pfad der Dropbox exe f r die Synchronisierungsapplikation umgesetzt Au erdem wird die Dropbox Konfiguration gelesen und die Verschl sselungsrichtlinie auf den Ordner d dropbox encrypt eingestellt Exportieren und Importieren von Cloud Storage Definitionen Als Sicherheitsbeauftragter k nnen Sie Cloud Storage Definitionen exportieren und i
57. Ger t mit dem Computer startet die Initialverschl sselung automatisch Der definierte Schl ssel wird benutzt Es ist kein Benutzereingriff notwendig Will der Benutzer anschlie end Dateien umschl sseln oder neue Dateien auf dem USB Medium speichern kann er einen beliebigen Schl ssel ausw hlen falls erlaubt und verf gbar Schlie t er dann ein anderes USB Ger t an wird wiederum der Schl ssel der f r die Initialverschl sselung festgelegt wurde zur Initialverschl sselung verwendet Dieser Schl ssel wird auch f r folgende Verschl sselungsoperationen verwendet bis der Benutzer explizit einen anderen Schl ssel ausw hlt Hinweis Wenn die Medien Passphrase Funktion aktiviert ist wird diese Option deaktiviert Der F r Verschl sselung definierte Schl ssel wird verwendet Klartext Ordner Der hier angegebene Ordner wird auf allen Wechselmedien Massenspeichern und in allen Cloud Storage Synchronisierungsordnern erstellt Dateien die in diesen Ordner kopiert werden bleiben immer unverschl sselt 155 SafeGuard Enterprise Richtlinieneinstellung Erkl rung Benutzer darf ber Sie k nnen den Benutzer dazu berechtigen zu entscheiden ob Verschl sselung entscheiden Dateien auf Wechselmedien und Massenspeichern verschl sselt werden sollen Wenn Sie hier Ja ausw hlen werden Benutzer dazu aufgefordert zu entscheiden ob Daten verschl sselt werden sollen F r Massenspeicher wird diese Aufforderung na
58. Gilt nach der Vereinigung der einzelnen Maschinen Richtlinien bei Richtlinien Loopback der Wert Computereinstellungen wiederholen werden die Benutzer Richtlinien mit den Maschinen Richtlinien vereinigt Nach der Vereinigung werden die Maschinen Richtlinien nochmals geschrieben und berschreiben gegebenenfalls Einstellungen aus Benutzer Richtlinien Das hei t Ist eine Einstellung in beiden Richtlinien vorhanden so ersetzt der 127 SafeGuard Enterprise 128 Richtlinieneinstellung Erkl rung Wert der Maschinen Richtlinie den Wert der Benutzer Richtlinie Ergibt die Vereinigung der einzelnen Maschinen Richtlinien nicht konfiguriert so gilt Benutzereinstellungen vor Maschineneinstellungen TRANSFERRATE Server Verbindungsintervall in Minuten Legt den Zeitraum in Minuten fest nach dem ein SafeGuard Enterprise Client beim SafeGuard Enterprise Server eine Anfrage nach Richtlinien nderungen stellt Hinweis Um zu vermeiden dass eine gro e Anzahl an Clients gleichzeitig den Server kontaktiert findet die Kommunikation in einem Zeitraum 50 des eingestellten Intervalls statt Beispiel Wenn Sie 90 Minuten einstellen erfolgt die Kommunikation nach einem Intervall das 45 bis 135 Minuten betragen kann PROTOKOLLIERUNG R ckmeldung nach Anzahl von Ereignissen ANPASSUNG Das Protokollsystem implementiert als Win32 Service SGM LogPlayer sammelt von SafeGuard Enterprise generierte f r die
59. H kchen angezeigt 4 Speichern Sie Ihre Einstellungen Nach dem Zuweisen der Richtlinie ist Datei Tracking aktiviert und die ausgew hlten Ereignisse werden am ausgew hlten Zielort protokolliert Hinweis Beachten Sie dass sich durch das Aktivieren von Datei Tracking die Serverlast erheblich erh ht Einsehen von Datei Tracking Ereignissen Um Datei Tracking Protokolle einzusehen ben tigen Sie das Recht Datei Tracking Ereignisse anzeigen 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf die Schaltfl che Berichte 2 Markieren Sie im Berichte Navigationsbereich den Eintrag Datei Tracking Anzeige 3 Klicken Sie im Aktionsbereich der Datei Tracking Anzeige auf der rechten Seite auf das Lupensymbol Alle in der zentralen Datenbank protokollierten Ereignisse werden in der Datei Tracking Anzeige angezeigt Die Ansicht ist mit der Ansicht der Ereignisanzeige identisch Weitere Informationen finden Sie unter Einsehen von protokollierten Ereignissen Seite 273 IH 320 33 8 1 Administratorhilfe Drucken von Berichten Die in der SafeGuard Management Center Ereignisanzeige oder in der Datei Tracking Anzeige angezeigten Ereignisberichte lassen sich ber das Datei Men in der Men leiste des SafeGuard Management Center drucken Um vor dem Drucken eine Druckvorschau zu erstellen w hlen Sie Datei gt Druckvorschau In der Druckvorschau stehen verschiedene Funktionen zum Beispiel f r den Export
60. Handlung 805306371 Ung ltiger Parameter in Benutzung 805306372 Das Objekt existiert bereits 805306373 Das Objekt konnte nicht gefunden werden 805306374 Datenbank Ausnahme aufgetreten 805306375 Die Aktion wurde vom Benutzer abgebrochen 805306376 Das Token ist keinem bestimmten Benutzer zugewiesen Fehler ID 805306377 Administratorhilfe Anzeige Das Token ist mehr als einem Benutzer zugewiesen 805306378 Das Token konnte nicht in der Datenbank gefunden werden 805306379 Das Token wurde erfolgreich gel scht und aus der Datenbank entfernt 805306380 Das Token konnte in der Datenbank nicht eindeutig identifiziert werden 805306381 Die Richtlinie ist einer Richtlinien Gruppe zugewiesen Um die Richtlinie zu l schen muss diese Zuweisung aufgehoben werden 805306382 Die Richtlinie ist einer OU zugewiesen Bitte entfernen Sie zuerst die Zuweisung 805306383 Das Zertifikat dieses Beauftragten ist ung ltig 805306384 Das Zertifikat dieses Beauftragten ist abgelaufen 805306385 Der Beauftragte konnte nicht in der Datenbank gefunden werden 805306386 Der gew hlte Beauftragte ist nicht eindeutig 805306387 Der Beauftragte ist gesperrt und kann nicht authentisiert werden 805306388 Der Beauftragte ist nicht mehr oder noch nicht g ltig 805306389 Der Beauftragte konnte nicht authentisiert werden A
61. Help aktivieren die Einstellung Ja Nach dem Wirksamwerden der Richtlinie auf den Endpoints sind die Benutzer aufgrund dieser Einstellung berechtigt Local Self Help f r Recovery Vorg nge die die Anmeldung betreffen zu benutzen Hierzu m ssen die Benutzer die Funktion auf Ihrem Computer durch Beantwortung einer festgelegten Anzahl der erhaltenen Fragen oder durch Erstellung und Beantwortung eigener Fragen je nach Berechtigung aktivieren Nach dem Erhalt der Richtlinie und dem Neustart des Computers steht den Benutzern daf r der Local Self Help Assistent ber das System Tray Icon in der Windows Taskleiste zur Verf gung 235 SafeGuard Enterprise 29 12 236 Konfigurieren der Funktion Local Self Help Sie k nnen folgende Optionen f r Local Self Help in einer Richtlinie des Typs Allgemeine Einstellungen definieren Mindestl nge der Antwort Legen Sie die Mindestl nge der Antworten in Zeichen fest Die Standardeinstellung ist 1 Willkommenstext unter Windows Sie k nnen einen individuellen Informationstext angeben der beim Starten des Local Self Help Assistenten auf dem Endpoint im ersten Dialog angezeigt werden soll Dieser Text muss zuvor erstellt und registriert werden Benutzer d rfen eigene Fragen festlegen F r die Hinterlegung der Fragen und Antworten f r Local Self Help gibt es folgende M glichkeiten Sie definieren als Sicherheitsbeauftragter die Fragen und verteilen Sie an die Benutzer Die Be
62. Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Sicherheitsbeauftragten Knoten in dem Sie den neuen Sicherheitsbeauftragten anlegen m chten und w hlen Sie Neu gt Neuer Sicherheitsbeauftragter Administratorhilfe 3 Nehmen Sie die relevanten Eintr ge unter Neuer Sicherheitsbeauftragter vor Feld Kontrollk stchen Freigeschaltet Beschreibung Hier kann der Sicherheitsbeauftragte bis auf Weiteres deaktiviert werden Das bedeutet dass er zwar im System existiert sich aber noch nicht an das SafeGuard Management Center anmelden kann Erst wenn er durch einen anderen Sicherheitsbeauftragten aktiviert wird kann er sich anmelden und seine administrativen T tigkeiten ausf hren Hier wird der Name des Sicherheitsbeauftragten angegeben wie er in den von SafeGuard Enterprise erzeugten Zertifikaten unter cn eingetragen wird Unter diesem Namen wird er auch im Navigationsfenster des SafeGuard Management Centers angezeigt Dieser Name muss eindeutig sein Maximalwert 256 Zeichen Beschreibung Optional Maximalwert 256 Zeichen Mobiltelefon Optional Maximalwert 128 Zeichen Optional Maximalwert 256 Zeichen G ltig von bis Hier wird angegeben ab und bis wann Datum sich der Sicherheitsbeauftragte am SafeGuard Management Center anmelden darf Token Anmeldung Die Anmeldung kann auf folgende A
63. Management Center angelegt haben oder die keine Liste POA Gruppe die standardm ig unter Konfigurationspakete zur Verf gung steht 4 Geben Sie einen Ausgabepfad f r das Konfigurationspaket an 5 Klicken Sie auf Konfigurationspaket erstellen 6 Installieren Sie das Konfigurationspaket auf den Endpoints Durch Installation des Konfigurationspakets werden alle POA Benutzer von den Endpoints entfernt Somit werden alle relevanten Benutzer aus der SafeGuard POA entfernt ndern der POA Benutzer Zuweisungen auf Standalone Endpoints 1 Legen Sie eine neue POA Gruppe an oder ndern Sie eine bestehende Gruppe 2 Erstellen Sie ein neues Konfigurationspaket und w hlen Sie die neue oder modifizierte POA Gruppe aus 3 Installieren Sie das Konfigurationspaket auf den Endpoints Die neue POA Gruppe steht auf dem Endpoint zur Verf gung Alle enthaltenen Benutzer werden zur POA hinzugef gt Die neue Gruppe berschreibt die alte POA Gruppen werden nicht miteinander kombiniert Anmeldung an einem Endpoint mit einem POA Benutzer 1 Schalten Sie den Endpoint ein Der SafeGuard Power on Authentication Anmeldedialog wird angezeigt Administratorhilfe 2 Geben Sie den Benutzernamen und das Kennwort des vordefinierten POA Benutzers ein Sie werden nicht automatisch an Windows angemeldet Der Windows Anmeldedialog wird angezeigt 3 W hlen Sie im Dom ne Feld die Dom ne lt POA gt 4 Melden Sie sich mit Ihrem vorhandenen Wind
64. Management Center auf Sicherheitsbeauftragte 59 SafeGuard Enterprise 11 8 60 2 Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen mit der rechten Maustaste auf die Rolle die Sie l schen m chten und w hlen Sie L schen Je nach den Eigenschaften der Rolle wird eine entsprechende Warnungsmeldung angezeigt Hinweis Wenn Sie eine Rolle l schen geht diese Rolle bei allen Sicherheitsbeauftragten denen sie zugeordnet ist verloren Ist einem Sicherheitsbeauftragten nur diese eine Rolle zugewiesen so kann dieser sich erst wieder am SafeGuard Management Center anmelden wenn ein bergeordneter Sicherheitsbeauftragter ihm eine neue Rolle zuweist Wird die Rolle f r die zus tzliche Autorisierung verwendet so wird der Haupt Sicherheitsbeauftragte dazu aufgefordert die zus tzliche Autorisierung durchzuf hren Um die Rolle zu l schen klicken Sie in der Warnungsmeldung auf Ja Klicken Sie auf das Speichern Symbol in der Symbolleiste um Ihre nderungen in der Datenbank zu speichern Die Rolle wird aus dem Navigationsfenster entfernt und aus der Datenbank gel scht Anlegen eines Haupt Sicherheitsbeauftragten Voraussetzung Um einen neuen Haupt Sicherheitsbeauftragten anzulegen ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und anzulegen Hinweis Ein schneller Weg einen neuen Haupt Sicherheitsbeauftragten zu erstellen ist einen Sicherheitsbeauftragter h her zu stufen Weitere Informat
65. Minimalanforderung ist 2 3 1 Das TPM ist inaktiv 0x80280007 2144862201 Das TPM ist deaktiviert 0x80280014 2144862188 Das TPM hat bereits einen Besitzer 0x80310037 2144272329 Die Gruppenrichtlinieneinstellung die FIPS Konformit t erfordert verhindert dass ein lokales Recovery Kennwort erzeugt und in die Schl ssel Backup Datei geschrieben wird Die Verschl sselung wird dennoch fortgesetzt 0x8031005B 2144272293 Administratorhilfe Die Gruppenrichtlinie f r die angegebene Authentisierungsmethode ist nicht gesetzt Bitte aktivieren Sie die Gruppenrichtlinie Zus tzliche Authentifizierung beim Start anfordern 0x8031005E 2144272290 Die Gruppenrichtlinie f r Verschl sselung ohne TPM ist nicht gesetzt Bitte aktivieren Sie die Gruppenrichtlinie Zus tzliche Authentifizierung beim Start anfordern und aktivieren Sie darin das Kontrollk stchen BitLocker ohne kompatibles TPM zulassen 0x80280000 0x803100CF 2144862208 2144272177 Siehe Microsoft COM Error Codes TPM PLA FVE 329 SafeGuard Enterprise 39 Technischer Support 330 Technischen Support zu Sophos Produkten k nnen Sie wie folgt abrufen Rufen Sie die SophosTalk Community unter community sophos com auf und suchen Sie nach Benutzern mit dem gleichen Problem Durchsuchen Sie die Sophos Support Knowledgebase unter www sophos com de de support aspx Laden Sie die Produ
66. Navigationsbereich des SafeGuard Management Center auf die Schaltfl che Berichte 2 Markieren Sie im Berichte Navigationsbereich den Eintrag Ereignisanzeige 3 Klicken Sie im rechten Fensterbereich Ereignisanzeige auf das Lupensymbol Alle in der zentralen Datenbank protokollierten Ereignisse werden in der Ereignisanzeige angezeigt 273 SafeGuard Enterprise Die einzelnen Spalten zeigen folgende Informationen zu den protokollierten Ereignissen Spalte Beschreibung ID Zeigt eine Nummer zur Identifizierung des Ereignisses Ereignis Zeigt den Ereignistext d h eine Beschreibung des Ereignisses Kategorie Zeigt die Klassifizierung des Ereignisses durch die Quelle z B Verschl sselung Anmeldung System Anwendung Zeigt den Bereich der Software der das Ereignis bermittelt hat z B SGMAuth SGBaseENc SGMAS Computer Zeigt den Namen des Computers auf dem das protokollierte Ereignis aufgetreten ist Computerdom ne Zeigt die Dom ne des Computers auf dem das protokollierte Ereignis aufgetreten ist Benutzer Zeigt den Benutzer der beim Auftreten des Ereignisses angemeldet war Benutzerdom ne Zeigt die Dom ne des Benutzers der beim Auftreten des Ereignisses angemeldet war Zeitpunkt der Protokollierung Zeigt Systemdatum und Systemuhrzeit der Protokollierung des Ereignisses auf dem Endpoint Durch Klicken auf den Spalten Header l sst sich die Ereignisanzeige nach Ebene Kategorie usw sor
67. Recovery Schl ssel eingeben um sich am Mac Endpoint anzumelden und das Kennwort zur ckzusetzen System Recovery f r die Sophos SafeGuard Festplattenverschl sselung SafeGuard Enterprise verschl sselt Dateien und Laufwerke transparent Dar ber hinaus k nnen auch Bootlaufwerke verschl sselt werden so dass Entschl sselungsfunktionalit ten wie Code Verschl sselungsalgorithmen und Verschl sselungsschl ssel sehr fr h in der Bootphase verf gbar sein m ssen Folglich kann auf verschl sselte Informationen nicht zugegriffen werden wenn entscheidende SafeGuard Enterprise Module nicht verf gbar sind oder nicht funktionieren Die folgenden Abschnitte beschreiben m gliche Probleme und Recovery Verfahren Daten Recovery durch Booten von einem externen Medium Dieser Recovery Typ kann angewendet werden wenn sich der Benutzer nicht mehr auf das verschl sselte Volume zugreifen kann In diesem Fall kann der Zugriff auf die verschl sselten Daten durch Booten des Computers ber eine f r SafeGuard Enterprise angepasste Windows PE Recovery Disk wiederhergestellt werden Voraussetzungen Der Benutzer der vom externen Medium bootet muss dazu berechtigt sein Das muss im BIOS des Computers so konfiguriert sein Der Computer muss das Booten von anderen Medien au er von der fest eingebauten Festplatte unterst tzen 29 5 2 29 5 3 29 5 4 Administratorhilfe So erhalten Sie wieder Zugriff auf die verschl sselten Daten auf d
68. SafeGuard Enterprise bereitgestellt BitLocker Verschl sselungsschl ssel Bei der Verschl sselung des Boot Volumes oder anderer Volumes mit BitLocker ber SafeGuard Enterprise werden die Verschl sselungsschl ssel immer durch BitLocker erzeugt BitLocker erzeugt jeweils einen Schl ssel f r jedes Volume Dieser Schl ssel l sst sich f r keinen anderen Zweck verwenden Eine Sicherungskopie des Schl ssels wird in der SafeGuard Enterprise Datenbank gespeichert wenn BitLocker mit SafeGuard Enterprise verwendet wird Dies erm glicht die Einrichtung eines Helpdesk und Recovery Mechanismus hnlich der SafeGuard Enterprise Challenge Response Funktionalit t Es ist jedoch nicht m glich Schl ssel global auszuw hlen oder wiederzuverwenden wie dies bei nativen SafeGuard Enterprise Clients der Fall ist Die Schl ssel werden au erdem auch nicht im SafeGuard Management Center angezeigt Hinweis BitLocker erlaubt Ihnen auch Recovery Schl ssel im Active Directory zu sichern Falls dies in den Gruppenrichtlinienobjekten GPOs aktiviert ist dann wird dies automatisch durchgef hrt wenn ein Laufwerk mit BitLocker verschl sselt ist Wenn ein Laufwerk bereits verschl sselt ist kann der Administrator die BitLocker Recovery Schl ssel h ndisch mit dem Windows Manage BDE tool sichern siehe manage bde protectors adbackup BitLocker Algorithmen in SafeGuard Enterprise BitLocker unterst tzt die folgenden Advanced Encryption Stand
69. Service Account Listen im Richtlinien Navigationsfenster 6 Klicken Sie im Arbeitsbereich mit der rechten Maustaste um das Kontextmen f r die Service Account Liste zu ffnen W hlen Sie Hinzuf gen im Kontextmen Eine neue Benutzerzeile wird hinzugef gt 7 Geben Sie den Benutzernamen und den Dom nennamen in den entsprechenden Spalten ein und dr cken Sie Enter Um weitere Benutzer hinzuzuf gen wiederholen Sie diesen Schritt 8 Speichern Sie Ihre nderungen indem Sie auf das Speichern Symbol in der Symbolleiste klicken Die Service Account Liste ist registriert und kann beim Anlegen einer Richtlinie ausgew hlt werden Zus tzliche Informationen zur Eingabe von Benutzer und Dom nennamen F r die Definition von Benutzern in Service Account Listen in den beiden Feldern Benutzername und Dom nenname gibt es unterschiedliche Vorgehensweisen Dar ber hinaus gelten f r die Eingabewerte in diesen Feldern bestimmte Einschr nkungen Verschiedene Anmeldekombinationen abdecken Durch die beiden separaten Felder Benutzername und Dom nenname pro Listeneintrag lassen sich alle m glichen Anmeldekombinationen z B Benutzer Dom ne oder Dom ne Benutzer abdecken Um mehrere Kombinationen aus Benutzername und Dom nenname anzugeben k nnen Sie Asterisken als Platzhalter verwenden Ein ist als erstes Zeichen als letztes Zeichen und als einziges Zeichen zul ssig Zum Beispiel Benutzername Administrato
70. Sie die Zugriffsrechte Schreibgesch tzt oder Voller Zugriff f r die relevanten Objekte Hinweis Wenn Sie nach Objekten suchen dann bekommen Sie nur Suchergebnisse innerhalb der Bereiche Dom ne f r die Sie Zugriff als Sicherheitsbeauftragter haben Nur ein Haupt Sicherheitsbeauftragten Master Security Officer MSO kann einen erfolgreichen Root Search Prozess durchf hren Im Bereich Benutzer amp Computer k nnen Sie mit verschiedenen Filtern nach Objekten suchen So k nnen Sie z B mit dem Filter Doppelte Benutzer und Computer nach Duplikaten suchen die durch einen AD Synchronisierungsvorgang entstehen k nnen Der Filter zeigt alle Computer mit demselben Namen in einer Dom ne sowie alle Benutzer mit demselben Namen Anmeldenamen oder Pr 2000 Anmeldenamen in einer Dom ne So suchen Sie nach Objekten 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Benutzer amp Computer Navigationsbereich den gew nschten Container 51 SafeGuard Enterprise 10 4 52 8 W hlen Sie Bearbeiten gt Suchen in der SafeGuard Management Center Men leiste Der Benutzer Computer und Gruppen suchen Dialog wird angezeigt W hlen Sie den gew nschten Filter aus der Suchen Dropdownliste aus Im Feld In wird der ausgew hlte Container angezeigt Den hier angezeigten Container k nnen Sie ndern indem Sie eine andere Option aus der Dropdownliste ausw hlen Wen
71. Sie unter Unternehmenszertifikat die Option ber vorhandenes Unternehmenszertifikat wiederherstellen Klicken Sie auf Importieren um die gesicherte Zertifikatsdatei auszuw hlen die das g ltige Unternehmenszertifikat enth lt Sie werden aufgefordert das f r den Zertifikatsspeicher definierte Kennwort einzugeben Geben Sie das Kennwort ein und klicken Sie auf OK Klicken Sie im Willkommen Fenster auf Weiter Das Unternehmenszertifikat wird importiert Klicken Sie auf Weiter dann auf Beenden Die Datenbankkonfiguration ist wiederhergestellt 32 32 1 32 2 Administratorhilfe Bestands und Statusinformationen SafeGuard Enterprise liest eine F lle von Bestands und Statusinformationen von den Endpoints aus Diese Informationen zeigen den aktuellen globalen Zustand der einzelnen Computer Im SafeGuard Management Center werden die Informationen im Bereich Benutzer amp Computer in der Registerkarte Bestand dargestellt Als Sicherheitsbeauftragter k nnen Sie Bestands und Statusinformationen einsehen exportieren und drucken So k nnen Sie z B Compliance Berichte erstellen die die Verschl sselung von Endpoints nachweisen Umfassende Sortier und Filterfunktionen unterst tzen Sie bei der Auswahl der relevanten Informationen Der Bestand liefert u a folgende Informationen zu den einzelnen Maschinen Erhaltene Richtlinien m Letzter Server Kontakt a Verschl sselungsstatus aller Medien POA Status und Typ a In
72. Situationen ein Challenge Response Verfahren gestartet werden a Der Benutzer hat das Kennwort zu oft falsch eingegeben Der Benutzer hat das Kennwort vergessen Ein besch digter Local Cache muss repariert werden F r einen Standalone Endpoint steht kein Benutzerschl ssel in der Datenbank zur Verf gung Somit ist in einem Challenge Response Verfahren nur die Recovery Aktion SGN Client ohne Benutzeranmeldung booten m glich Das Challenge Response Verfahren erm glicht das Booten des Computers durch die SafeGuard Power on Authentication Der Benutzer kann sich dann an Windows anmelden M gliche Recovery Anwendungsf lle Der Benutzer hat das Kennwort auf SafeGuard POA Ebene zu oft falsch eingegeben und der Computer wurde gesperrt Der Benutzer wei jedoch das Kennwort Der Computer ist gesperrt und der Benutzer wird dazu aufgefordert ein Challenge Response Verfahren zu starten um wieder Zugriff auf den Computer zu erhalten Da der Benutzer das Kennwort noch wei muss es nicht zur ckgesetzt werden Das Challenge Response Verfahren erm glicht das Booten des Computers durch die SafeGuard Power on Authentication Der Benutzer kann dann das korrekte Kennwort auf Windows Ebene eingeben und den Computer wieder benutzen Der Benutzer hat das Kennwort vergessen Hinweis Wir empfehlen Local Self Help einzusetzen um ein vergessenes Kennwort wiederherzustellen Mit Local Self Help k nnen Benutzer sich das aktuelle Benutzerkennwort
73. Smartcard Token Smartcard Leseger t Token Smartcard Treiber Token Smartcard Middleware PKCS 11 Modul USB Token USB Token bestehen aus einer Smartcard und einem Smartcard Leser wobei sich die beiden Einheiten in einem Geh use befinden F r die Benutzung von USB Token ist ein USB Port erforderlich 217 SafeGuard Enterprise 27 2 1 Token Smartcards Leseger te und Treiber Windows Auf Windows Betriebssystemebene werden PC SC kompatible Kartenleser unterst tzt Die PC SC Schnittstelle regelt die Kommunikation zwischen Computer und Smartcard Viele dieser Kartenleser sind bereits Teil der Windows Installation Smartcards ben tigen PKCS 11 kompatible Smartcard Treiber damit sie von SafeGuard Enterprise unterst tzt werden k nnen Power on Authentication aktivieren An der SafeGuard Power on Authentication wird die PC SC Schnittstelle unterst tzt die die Kommunikation zwischen Computer und Smartcard regelt Die unterst tzten Smartcard Treiber sind fest implementiert und die Benutzer k nnen keine zus tzlichen Treiber hinzuf gen Die passenden Smartcard Treiber m ssen ber eine Richtlinie in SafeGuard Enterprise aktiviert werden Die Schnittstelle f r Smartcard Leser ist standardisiert und viele Kartenleser haben eine USB Schnittstelle oder eine ExpressCard 54 Schnittstelle und implementieren den CCID Standard In SafeGuard Enterprise ist dies eine Voraussetzung f r die Unterst tzung in der SafeGuard Power
74. Start Men Der Dialog Konfiguration ausw hlen wird angezeigt 2 W hlen Sie die Datenbankkonfiguration die Sie verwenden m chten aus der Dropdownliste und klicken Sie auf OK Die ausgew hlte Datenbankkonfiguration wird mit dem SafeGuard Management Center verbunden und wird aktiv 3 Zur Anmeldung an das SafeGuard Management Center werden Sie dazu aufgefordert den Namen des Sicherheitsbeauftragten f r diese Konfiguration auszuw hlen und Ihr Zertifikatsspeicherkennwort einzugeben Klicken Sie auf OK Das SafeGuard Management Center wird ge ffnet und mit der ausgew hlten Datenbankkonfiguration verbunden Hinweis Wenn Sie ein falsches Kennwort eingeben wird eine Fehlermeldung angezeigt und die n chste Anmeldung wird verz gert Diese Verz gerung wird mit jedem fehlgeschlagenen Anmeldeversuch gr er Fehlgeschlagene Anmeldeversuche werden protokolliert 4 4 SafeGuard Management Center Benutzeroberfl che r Navigation window 5an a u ie objects Administrative Navigation area Navigationsbereich Im Navigationsbereich befinden sich Schaltfl chen f r alle administrativen T tigkeiten Benutzer und Computer Administratorhilfe Zum Importieren von Gruppen und Benutzern aus einem Active Directory aus der Dom ne oder von einem einzelnen Computer Richtlinien Zum Erzeugen der Richtlinien Schl ssel und Zertifikate Zum Verwalten der Schl ssel und Zertifikate Token Zur
75. TPM Systemstartschl ssel Systemstartschl ssel oder Kennwort verwenden zu k nnen muss die Gruppenrichtlinie Zus tzliche Authentifizierung beim Start anfordern entweder in Active Directory oder lokal auf Computern aktiviert werden Im Editor f r lokale Gruppenrichtlinien gpedit msc kann die Gruppenrichtlinie hier gefunden werden Richtlinien f r Lokaler Computer Computerkonfiguration Administrative Vorlagen Windows Komponenten BitLocker Laufwerksverschl sselung Betriebssystemlaufwerke Um Systemstartschl ssel zu verwenden m ssen Sie auch BitLocker ohne kompatibles TPM zulassen in den Gruppenrichtlinien aktivieren Um TPM PIN auf Tablets verwenden zu k nnen m ssen Sie auch die Gruppenrichtlinie Verwendung der BitLocker Authentifizierung mit erforderlicher Tastatureingabe vor dem Starten auf Slates aktivieren aktivieren Hinweis Die Gruppenrichtlinien sind bei der Installation auf dem Endpoint automatisch aktiviert Stellen Sie sicher dass die Einstellungen nicht von anderen Gruppenrichtlinien berschrieben werden Eine BitLocker Ger teschutzrichtlinie die die Konfiguration eines TPM basierten Authentifizierungsmechanismus zum Beispiel TPM TPM PIN TPM Systemstartschl ssel ausl st leitet automatisch die TPM Aktivierung ein Der Benutzer wird informiert dass das TPM aktiviert werden muss und erh lt eine Nachricht wenn das System neugestartet oder heruntergefahren werden muss abh ngig von dem verwendeten TPM
76. Taskplaner Dienst wurde wegen eines Ausnahmefehlers angehalten Administration Task Planer Task erfolgreich ausgef hrt Administration Task Planer Task fehlgeschlagen Administration Task Planer Task erzeugt oder ge ndert Administration Task Planer Task gel scht Client Kernelsicherung erfolgreich Client Kernelr cksicherung beim ersten Versuch erfolgreich Client Kernelr cksicherung beim zweiten Versuch erfolgreich Client Kernelsicherung fehlgeschlagen Client Kernelr cksicherung fehlgeschlagen Client Datei Tracking f r Wechselmedien Eine Datei wurde erstellt Client Datei Tracking f r Wechselmedien Eine Datei wurde umbenannt Client Datei Tracking f r Wechselmedien Eine Datei wurde gel scht Client Datei Tracking f r Cloud Speicher Eine Datei wurde erstellt Client Datei Tracking f r Cloud Speicher Eine Datei wurde umbenannt Kategorie Client Ereignis ID Administratorhilfe Beschreibung Datei Tracking f r Cloud Speicher Eine Datei wurde gel scht Client Benutzer hat LSH Informationen nach Anmeldung ge ndert Client LSH aktiviert Client LSH deaktiviert Client LSH verf gbar Enterprise Client Client LSH verf gbar Standalone Client Client LSH deaktiviert Enterprise Client Client LSH nicht verf gbar Standalone Client Client QST
77. Verschl sselungsregeln die folgenden Informationen Ein Pfad darf nur Zeichen enthalten die auch in Dateisystemen verwendet werden k nnen Zeichen wie lt gt und sind nicht zul ssig Geben Sie nur g ltige Platzhalter ein Eine Liste aller unterst tzten Platzhalter finden Sie unter Platzhalter f r Pfade in File Encryption Verschl sselungsregeln Seite 185 Hinweis Die Namen von Umgebungsvariablen werden durch das SafeGuard Management Center nicht berpr ft Sie m ssen nur auf dem Endpoint vorhanden sein 183 SafeGuard Enterprise Das Feld Pfad gibt immer einen Ordner an Sie k nnen keine Regel f r eine einzelne Datei festlegen Au erdem k nnen Sie keine Platzhalter f r Ordnernamen Dateinamen oder Dateierweiterungen verwenden Absolute und relative Regeln Sie k nnen absolute und relative Regeln definieren Eine absolute Regel definiert einen bestimmten Ordner zum Beispiel C encrypt Eine relative Regel enth lt keine UNC Server Freigabe Informationen Laufwerksbuchstaben oder Informationen zu bergeordneten Ordnern In einer relativen Regel wird zum Beispiel ein Pfad wie der folgende verwendet encrypt_sub In diesem Fall werden alle Dateien auf allen Laufwerken einschlie lich Speicherorte im Netzwerk die sich in einem Ordner mit der Bezeichnung encrypt_sub oder in einem untergeordneten Ordner befinden von der Regel abgedeckt Lange Ordnernamen und 8 3 Notation Geben Sie f r File Encryption Vers
78. Verwaltung von Token und Smartcards a Sicherheitsbeauftragte Zum Anlegen neuer Sicherheitsbeauftragter und Definieren von Aktionen f r deren Ausf hrung eine zus tzliche Autorisierung notwendig ist Berichte Zum Anlegen und Verwalten von Berichten zu sicherheitsrelevanten Ereignissen Navigationsfenster Im Navigationsfenster werden Objekte zur Bearbeitung angezeigt Active Directory Objekte wie OUs Benutzer und Computer Richtlinien usw bzw k nnen dort erstellt werden Welche Objekte angezeigt werden h ngt vom ausgew hlten Vorgang ab Hinweis Unter Benutzer amp Computer werden die Objekte in der Baumstruktur des Navigationsfensters in Abh ngigkeit von den Zugriffsrechten des Sicherheitsbeauftragten f r Verzeichnisobjekte angezeigt Die Baumstruktur zeigt nur die Objekte auf die der angemeldete Sicherheitsbeauftragte Zugriff hat Objekte f r die der Zugriff verweigert wird werden nicht angezeigt es sei denn es sind weiter unten in der Baumstruktur Knoten vorhanden f r die der Sicherheitsbeauftragte Zugriffsrechte hat In diesem Fall werden die Objekte f r die der Zugriff verweigert wird ausgegraut Wenn der Sicherheitsbeauftragte das Zugriffsrecht Voller Zugriff hat wird das jeweilige Objekt schwarz dargestellt Objekte mit Zugriffsrecht Schreibgesch tzt werden blau dargestellt Aktionsbereich Im Aktionsbereich nehmen Sie die Einstellungen f r das im Navigationsfenster ausgew hlte Objekt vor Im Aktions
79. Windows Bootprobleme beschriebene Verfahren aus und reparieren Sie das System Setup WinPE f r SafeGuard Enterprise Um Zugriff auf verschl sselte Laufwerke mit dem BOOTKEY eines Computers innerhalb einer WinPE Umgebung zu erhalten stellt SafeGuard Enterprise WinPE mit notwendigen SafeGuard Enterprise Funktionsmodulen wie Treibern zur Verf gung Um SetupWinPE zu starten geben Sie folgenden Befehl ein SetupWwinPE pe2 lt WinPE Image Datei gt 29 5 7 2 Administratorhilfe WinPE Image Datei ist dabei die vollst ndige Pfadangabe des 1386 Verzeichnisses f r eine WinPE CD SetupWinPE f hrt alle erforderlichen nderungen durch Hinweis ber eine derartige WinPE Umgebung kann nur auf verschl sselte Laufwerke zugegriffen werden die mit dem BOOTKEY verschl sselt sind Auf Laufwerke die mit einem Benutzerschl ssel verschl sselt sind kann nicht zugegriffen werden da die Schl ssel in dieser Umgebung nicht verf gbar sind Slaven einer Festplatte SafeGuard Enterprise erlaubt das Slaven von verschl sselten Volumes oder Festplatten Es gestattet dem Endbenutzer dem Windows Administrator dem SafeGuard Enterprise Sicherheitsbeauftragten trotz sektorbasierter Verschl sselung neue Volumes oder Festplatten anzuschlie en oder zu entfernen Die Key Storage Area KSA eines Volumes enth lt selbst alle notwendigen Informationen a Den zufallsgenerierten DEK Data Encryption Key Eine Identifikation f r den Versch
80. Windows Anmeldeinformationen zur Umgebung ein c Klicken Sie auf OK Hinweis Bei Windows Einzelplatzcomputern muss auf dem Computer ein Verzeichnis freigegeben sein damit eine Verbindung via LDAP m glich wird 4 Klicken Sie auf Benutzer amp Computer 5 Klicken Sie im linken Navigationsfenster auf das Stammverzeichnis Stamm Filter ist aktiv 6 Klicken Sie im Aktionsbereich auf der rechten Seite auf die Registerkarte Synchronisieren 7 W hlen Sie das gew nschte Verzeichnis aus der Verzeichnis DSN Liste und klicken Sie auf das Lupensymbol oben rechts Es erscheint eine Abbildung der Active Directory Struktur der Organisationseinheiten OU in Ihrem Unternehmen 43 SafeGuard Enterprise 10 1 2 44 8 Markieren Sie die Organisationseinheiten OU die synchronisiert werden sollen Es muss nicht der gesamte Inhalt des Active Directory importiert werden 9 Um auch Mitgliedschaften zu synchronisieren w hlen Sie das Kontrollk stchen Synchronisiere Mitgliedschaften Um auch den Benutzer Aktiv Status zu synchronisieren w hlen Sie das Kontrollk stchen Synchronisiere Benutzer Aktiv Status 10 Klicken Sie unten im Aktionsbereich auf Synchronisieren Wenn Sie Benutzer und ihre Gruppenzugeh rigkeit synchronisieren wird die Zugeh rigkeit zu einer Prim rgruppe nicht synchronisiert da sie f r die Gruppe nicht sichtbar ist Die Dom nen werden synchronisiert Details zur Synchronisierung werden angezeigt Klic
81. Windows anmelden Durchgehende Anmeldung erzwingen Der Benutzer wird immer automatisch an Windows angemeldet 135 SafeGuard Enterprise Richtlinieneinstellung Erkl rung BITLOCKER OPTIONEN BitLocker Anmeldemodus f r Folgende Optionen stehen zur Verf gung Boot Laufwerke TPM Der Schl ssel f r die Anmeldung wird auf dem TPM Chip Trusted Platform Module gespeichert TPM PIN Der Schl ssel f r die Anmeldung wird auf dem TPM Chip gespeichert und zus tzlich wird eine PIN zur Anmeldung ben tigt Systemstartschl ssel Der Schl ssel f r die Anmeldung wird auf einem USB Stick gespeichert TPM Systemstartschl ssel Der Schl ssel f r die Anmeldung wird auf dem TPM Chip und auf einem USB Stick gespeichert Beides wird f r die Anmeldung ben tigt Hinweis Um die Anmeldemodi TPM PIN TPM Systemstartschl ssel oder Systemstartschl ssel verwenden zu k nnen aktivieren Sie die Gruppenrichtlinie Zus tzliche Authentifizierung beim Start anfordern entweder im Active Directory oder auf den Computern lokal Im lokalen Gruppenrichtlinien Editor gpedit msc sind die Gruppenrichtlinien hier zu finden Local Computer Policy Computer Configuration Administrative Templates Windows Components BitLocker Drive Encryption Operating System Drive Um Systemstartschl ssel zu verwenden m ssen Sie auch BitLocker ohne kompatibles TPM zulassen in den Gruppenrichtlinien aktivieren Hinweis Wenn der momentan am Sys
82. an Mit der Option Texte in einer Richtlinie des Typs Allgemeine Einstellungen k nnen Sie einen Informationstext definieren Rechtliche Hinweise die nach der Anmeldung an der SafeGuard POA angezeigt werden Mit der Option Text f r rechtliche Hinweise in einer Richtlinie des Typs Spezifische Computereinstellungen k nnen Sie einen Text f r rechtliche Hinweise definieren Text mit zus tzlichen Informationen der nach der Anmeldung an der SafeGuard POA angezeigt werden soll Mit der Option Text f r zus tzliche Informationen in einer Richtlinie des Typs Spezifische Computereinstellungen k nnen Sie einen Text f r zus tzliche Informationen definieren Registrieren von Informationstexten Die Textdateien mit den gew nschten Informationen m ssen erstellt werden bevor sie im SafeGuard Management Center registriert werden k nnen Die maximale Dateigr e f r Informationstexte betr gt 50 KB SafeGuard Enterprise verwendet nur Unicode UTF 16 kodierte Texte Wenn Sie die Textdateien nicht in diesem Format erstellen werden sie bei der Registrierung automatisch in dieses Format konvertiert Bei der Verwendung von Sonderzeichen in den Informationstexten f r die SafeGuard POA sollte vorsichtig vorgegangen werden Einige dieser Zeichen werden u U nicht korrekt dargestellt So registrieren Sie Informationstexte 1 Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Texte und w hlen Sie Neu gt Text 2
83. anmelden Dieser Vorgang bietet das h chste Ma an Sicherheit Bei der Anmeldung f hrt die Benutzer den Finger ber den Fingerabdruck Leser Wenn der Fingerabdruck erfolgreich erkannt wurde liest die SafeGuard Power on Authentication die Anmeldeinformationen des Benutzers und meldet den Benutzer an der Power on Authentication an Die Anmeldeinformationen werden dann an Windows bertragen und der Benutzer wird an seinem Computer angemeldet Hinweis Nach Auswahl dieses Anmeldevorgangs kann sich der Benutzer nur mit einem vorher registrierten Fingerabdruck oder mit Benutzername und Kennwort anmelden Die Anmeldeverfahren Token und Fingerabdruck lassen sich auf einem Computer nicht miteinander kombinieren Anmeldeoptionen mit Token Legt den Typ des Token bzw der Smartcard fest der am Endpoint verwendet werden soll Nicht kryptographisch Authentisierung bei der SafeGuard POA und bei Windows mittels Anmeldeinformationen Kerberos Zertifikatsbasierte Authentisierung an der SafeGuard POA und an Windows F r zentral verwaltete Endpoints stellt der Sicherheitsbeauftragte ein Zertifikat in einer PKI aus und legt 133 SafeGuard Enterprise 134 Richtlinieneinstellung Erkl rung es auf dem Token ab Dieses Zertifikat wird als Benutzerzertifikat in die SafeGuard Enterprise Datenbank importiert Falls dort bereits ein automatisch erzeugtes Zertifikat existiert wird es durch das importierte Zertifikat berschri
84. auf Schl ssel und Zertifikate klicken und Schl ssel w hlen Sie k nnen Listen f r Zugewiesene Schl ssel und Inaktive Schl ssel generieren Hinweis Die Liste Zugewiesene Schl ssel zeigt nur die Schl ssel die Objekten zugewiesen sind f r die Sie die Zugriffsrechte Schreibgesch tzt oder Voller Zugriff haben In der Ansicht 71 SafeGuard Enterprise 12 1 72 Schl ssel wird die Anzahl an allen verf gbaren Schl sseln ungeachtet Ihrer Zugriffsrechte angegeben Die Liste Zugewiesene Schl ssel zeigt die Anzahl an Schl sseln die gem Ihren Zugriffsrechten sichtbar sind 1 Diese Ansicht wird durch Klicken auf Benutzer amp Computer ge ffnet 2 Die Schl ssel eines hier markierten Objekts werden im Aktionsbereich und in den dazugeh rigen Ansichten angezeigt 3 Die Anzeige im Aktionsbereich ist abh ngig von der Auswahl im Navigationsbereich Es werden alle dem ausgew hlten Objekt zugewiesenen Schl ssel angezeigt 4 Unter Verf gbare Schl ssel werden alle verf gbaren Schl ssel angezeigt Dem ausgew hlten Objekt bereits zugewiesene Schl ssel sind ausgegraut ber Filter kann zwischen bereits einem Objekt zugewiesenen aktiven und noch keinem Objekt zugewiesenen inaktiven Schl sseln umgeschaltet werden Nach dem Import verf gt jeder Benutzer ber eine Anzahl von Schl sseln die zur Datenverschl sselung verwendet werden k nnen Schl ssel f r die Datenverschl sselung Benutzern k nnen bestimmte Sc
85. benutzt wurde an 32 8 Registerkarte Benutzer Die Registerkarte Benutzer zeigt Bestands und Statusinformationen zu den Benutzern des Computers Spalte Erkl rung Benutzername Zeigt den Benutzernamen des Benutzers Distinguished Name Zeigt den DNS Namen f r den Benutzer zum Beispiel CN Administrator CN Users DC domain DC mycompany DC net Benutzer ist Besitzer Gibt an ob der Benutzer als Besitzer des Computers definiert ist Benutzer ist gesperrt Gibt an ob der Benutzer gesperrt ist SGN Windows Benutzer Gibt an ob es sich um einen SGN Windows Benutzer handelt Ein SGN Windows Benutzer wird nicht zur SafeGuard POA hinzugef gt verf gt jedoch ber einen Schl sselring mit dem er wie ein SGN Benutzer auf verschl sselte Dateien zugreifen kann Sie k nnen die Registrierung von SGN Windows Benutzern auf Endpoints ber Richtlinien des Typs Spezifische Computereinstellungen aktivieren 267 SafeGuard Enterprise 32 9 32 10 32 11 268 Registerkarte Module Die Registerkarte Module liefert eine bersicht zu allen auf dem Computer installierten SafeGuard Enterprise Modulen Erkl rung Modulname Zeigt den Namen des installierten SafeGuard Enterprise Moduls Version Zeigt die Software Version des installierten SafeGuard Enterprise Moduls Registerkarte Unternehmenszertifikat Die Registerkarte Unternehmenstzertifikat zeigt die Eigenschaften des derzeit verwendeten Unternehmenszertifi
86. das Kennwort f r den Zertifikatsspeicher ein und best tigen Sie es Der Zertifikatsspeicher f r das aktuelle Benutzerkonto wird angelegt und ist durch dieses abgesichert F r die nachfolgenden Anmeldungen ben tigen Sie nur noch dieses Kennwort 7 Klicken Sie auf OK Eine Meldung dass Zertifikat und privater Schl ssel nicht gefunden bzw nicht darauf zugegriffen werden kann wird angezeigt 8 Klicken Sie zum Importieren der Daten auf Ja und dann auf OK Dadurch wird der Importvorgang gestartet 25 SafeGuard Enterprise 9 Klicken Sie unter Authentisierungs Schl sseldatei importieren auf die Schaltfl che und w hlen Sie die Schl sseldatei aus Geben Sie das Kennwort der Schl sseldatei ein Geben Sie das zuvor unter Kennwort des Zertifikatsspeichers oder Token PIN definierte Kennwort f r den Zertifikatsspeicher ein W hlen Sie In den Zertifikatsspeicher importieren oder Auf den Token kopieren um das Zertifikat auf einem Token zu speichern 10 Geben Sie zur Initialisierung des Zertifikatsspeichers das Kennwort noch einmal ein Zertifikat und privater Schl ssel befinden sich nun im Zertifikatsspeicher Zur Anmeldung an das SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet 26 6 6 1 Administratorhilfe Lizenzen F r die Nutzung von SafeGuard Enterprise mit dem SafeGuard Management Center im produktiven Betrieb ist eine g ltige Lizenz erforderlich So ist eine g ltige Lizen
87. dem SafeGuard Management Center durch Anwendung von Richtlinien auf das Verzeichnis Automatisch registriert verwaltet werden SafeGuard Enterprise Datenbank und Active Directory nicht synchronisiert Ein Benutzer ist bereits Teil des Active Directory AD des Unternehmens Die SafeGuard Enterprise Datenbank und das AD sind jedoch nicht synchron Der Benutzer Benutzer 1 meldet sich an SafeGuard Enterprise an und wird automatisch im Bereich Benutzer und Computer im SafeGuard Management Center unter der Dom ne angezeigt die durch die Anmeldung vorgegeben ist Dom ne 1 Der Benutzer ist nun Teil des Auto regstriert Verzeichnisses Das Objekt kann mit dem SafeGuard Management Center durch Anwendung von Richtlinien auf das Automatisch registriert Verzeichnis verwaltet werden Mit der n chsten Synchronisierung zwischen dem AD und der SafeGuard Enterprise Datenbank wird Benutzer 1 automatisch in seine Organisationseinheit Benutzer verschoben 47 SafeGuard Enterprise 10 2 3 10 2 4 10 2 5 48 SEH Domain 1 SE Auto registered Damit f r Benutzer 1 jetzt Richtlinien aktiv werden k nnen m ssen sie ab jetzt der Organisationseinheit Benutzer zugewiesen werden Schl ssel und Zertifikate f r autoregistrierte Objekte F r jedes auto registrierte Objekt erzeugt der Server nach Bedarf ein Zertifikat Ein lokaler Benutzer erh lt zwei Schl ssel den Schl ssel des Containers Automatisch registriert den priv
88. des Dokuments in eine Reihe von Ausgabeformaten zum Beispiel PDF oder die Bearbeitung des Seitenlayouts zum Beispiel Kopf und Fu zeile zur Verf gung Um das Dokument sofort zu drucken w hlen Sie Datei gt Drucken Verkettung von protokollierten Ereignissen Die f r die zentrale Datenbank bestimmten Ereignisse werden in der EVENT Tabelle der SafeGuard Enterprise Datenbank protokolliert Auf diese Tabelle kann ein spezieller Integrit tsschutz angewendet werden Die Ereignisse lassen sich als verkettete Liste in der EVENT Tabelle protokollieren Durch die Verkettung ist ein Eintrag in der Liste jeweils von seinem Vorg ngereintrag abh ngig Wird ein Eintrag aus der Liste entfernt so ist dies sichtbar und ber eine Integrit tspr fung nachweisbar Zur Optimierung der Performance ist die Verkettung der Ereignisse in der EVENT Tabelle standardm ig deaktiviert Sie k nnen zur berpr fung der Integrit t der protokollierten Ereignisse die Verkettung aktivieren siehe berpr fen der Integrit t der protokollierten Ereignisse Seite 278 Hinweis Wenn die Verkettung von protokollierten Ereignissen deaktiviert ist gilt kein spezieller Integrit tsschutz f r die EVENT Tabelle Hinweis Zu viele Events k nnen zu Performanceproblemen f hren Weitere Informationen ber die Vermeidung von Performanceproblemen durch L schen von Ereignissen finden Sie unter Regelm ige S uberung der EVENT Tabelle ber Skript Seite 279
89. die Initialverschl sselung Wenn diese Option ausgew hlt ist wird SafeGuard Portable auf alle Wechselmedien die mit dem Endpoint verbunden werden sowie in alle Synchronisierungsordner die in einer Cloud Storage Definition f r SafeGuard Cloud Storage definiert sind kopiert SafeGuard Portable erm glicht den verschl sselten Datenaustausch mit Wechselmedien oder Cloud Storage ohne dass der Empf nger der Daten SafeGuard Enterprise installiert haben muss Der Empf nger kann mit Hilfe von SafeGuard Portable und der entsprechenden Passphrase die verschl sselten Daten entschl sseln und auch wieder verschl sseln Der Empf nger kann mit SafeGuard Portable die Daten neu verschl sseln oder den urspr nglich verwendeten Schl ssel f r die Verschl sselung verwenden SafeGuard Portable muss nicht auf den Computer des Empf ngers installiert oder kopiert werden sondern kann direkt von den Wechselmedien oder von Cloud Storage aus verwendet werden ber einen Dialog kann ein Schl ssel ausgew hlt werden der f r die dateibasierte Initialverschl sselung verwendet wird Der Benutzer kann dann beim Start der Initialverschl sselung keinen Schl ssel w hlen Die Initialverschl sselung startet ohne Benutzerinteraktion F r die Initialverschl sselung wird immer der hier festgelegte Schl ssel verwendet Beispiel Voraussetzung Ein Standardschl ssel f r die Initialverschl sselung ist gesetzt Verbindet der Benutzer ein USB
90. die Art und Weise wie Benutzer mit in der Cloud gespeicherten Daten arbeiten Die Benutzer verwenden weiterhin die anbieterspezifischen Synchronisationsapplikationen zum bertragen von Daten an die Cloud und Empfangen von Daten aus der Cloud Das Modul Cloud Storage stellt sicher dass die lokalen Kopien der in der Cloud gespeicherten Daten transparent verschl sselt werden Sie werden somit immer in verschl sselter Form in der Cloud gespeichert F r Cloud Storage legen Sie im SafeGuard Management Center Cloud Storage Definitionen an und verwenden diese als Ziel f r Richtlinien vom Typ Ger teschutz Es stehen f r mehrere Cloud Storage Anbieter zum Beispiel Dropbox oder Egnyte vordefinierte Cloud Storage Definitionen zur Verf gung Wenn f r Endpoints eine Cloud Storage Richtlinie gilt werden die Dateien in den von der Richtlinie abgedeckten Speicherorten ohne Benutzerinteraktion transparent verschl sselt erschl sselte Dateien werden an die Cloud synchronisiert Aus der Cloud erhaltene verschl sselte Dateien k nnen wie blich mit Applikationen modifiziert werden Mit SafeGuard Portable kann auf durch Cloud Storage verschl sselte Dateien auf Endpoints ohne SafeGuard Enterprise Cloud Storage zugegriffen werden Verschl sselte Dateien k nnen so auch in diesem Fall gelesen werden Hinweis Cloud Storage verschl sselt nur neue in der Cloud gespeicherte Daten Wurden Daten bereits vor der Installation des Moduls Cloud Storage
91. die Benutzer privat sind Weitere Informationen finden Sie unter Dateiverschl sselung Seite 181 Wenn eine File Encryption Verschl sselungsregel einen pers nlichen Schl ssel f r die Verschl sselung vorsieht werden f r die relevanten Benutzer automatisch pers nliche Schl ssel erzeugt wenn sie noch keine aktiven pers nlichen Schl ssel haben Als Sicherheitsbeauftragter mit den erforderlichen Rechten k nnen Sie pers nliche Schl ssel f r ausgew hlte Benutzer oder alle Benutzer in ausgew hlten Gruppen im SafeGuard Management Center erzeugen Sie k nnen aktive pers nliche Schl ssel auch zur ckstufen wenn zum Beispiel ein Benutzer das Unternehmen verl sst Automatisches Erzeugen von pers nlichen Schl sseln Wenn eine File Encryption Verschl sselungsregel einen pers nlichen Schl ssel f r die Verschl sselung vorsieht und der Benutzer noch keinen aktiven pers nlichen Schl ssel hat erzeugt der SafeGuard Enterprise Server diesen automatisch Nach Eingang der Richtlinie auf dem Endpoint kann der Benutzer so lange keine neuen Dateien in den von der File Encryption Verschl sselungsregel abgedeckten Ordner anlegen bis der erforderliche aktive pers nliche Schl ssel verf gbar wird Wenn Sie zum ersten Mal File Encryption Richtlinien mit Verschl sselungsregeln mithilfe pers nlicher Schl ssel auf eine gr ere Gruppe von Benutzern mehrere hundert oder mehr anwenden die noch keine aktiven pers nlichen Schl ssel haben
92. die Eingabe des Challenge Codes wird angezeigt Eingabe des Challenge Codes und Erzeugen des Response Codes Voraussetzung Sie m ssen den erforderlichen virtuellen Client im Recovery Assistenten des SafeGuard Management Center sowie die erforderliche Recovery Aktion ausgew hlt haben 1 Geben Sie den vom Benutzer erhaltenen Challenge Code ein und klicken Sie auf Weiter Der Challenge Code wird gepr ft Wenn der Challenge Code korrekt eingegeben wurde wird der Response Code erzeugt Wenn der Code nicht korrekt eingegeben wurde wird unterhalb des Blocks der den Fehler enth lt der Text Ung ltige Challenge angezeigt 2 Teilen Sie dem Benutzer den Response Code mit Hierzu steht eine Buchstabierhilfe zur Verf gung Sie k nnen den Response Code auch in die Zwischenablage kopieren Wenn Sie Schl ssel angefordert als Recovery Aktion ausgew hlt haben wird der angeforderte Schl ssel im Response Code an die Benutzerumgebung bertragen Wenn Sie Kennwort f r Schl sseldatei angefordert als Recovery Aktion ausgew hlte haben wird das Kennwort f r die verschl sselte Schl sseldatei im Response Code bertragen Die Schl sseldatei wird daraufhin gel scht Eingeben des Response Codes im KeyRecovery Tool 1 Geben Sie im KeyRecovery Tool auf dem Endpoint den Response Code ein den Sie vom Helpdesk erhalten haben Mit dem Response Code wird der erforderliche Recovery Schl ssel bertragen Administratorhilfe 2 Klicken Sie a
93. die vom Programm gesicherten verschl sselten Daten verschl sselt Geben Sie die Anwendungen die Sie als ignoriert definieren m chten in das Editor Listenfeld des Felds ein Anwendungen m ssen als Fully Qualified Paths eingegeben werden F r die dateibasierende Verschl sselung durch File Encryption und SafeGuard Data Exchange k nnen Sie ganze Ger te zum Beispiel Festplatten von der dateibasierende Verschl sselung ausnehmen W hlen Sie im Editor Listenfeld Netzwerk aus um ein vordefiniertes Ger t auszuw hlen oder geben Sie die erforderlichen Ger tenamen ein um bestimmte Ger te von der Verschl sselung auszuschlie en Persistente Verschl sselung aktivieren F r die dateibasierende Verschl sselung durch File Encryption und SafeGuard Data Exchange k nnen Sie die persistente Verschl sselung konfigurieren Mit persistenter Verschl sselung bleiben Kopien von verschl sselten Dateien auch dann verschl sselt wenn sie an einem Speicherort abgelegt werden f r den keine Verschl sselungsregel gilt Diese Einstellung ist standardm ig aktiviert 131 SafeGuard Enterprise Richtlinieneinstellung Erkl rung Benutzer darf F r die dateibasierende Verschl sselung durch Cloud Storage Standardschl ssel festlegen k nnen Sie festlegen ob der Benutzer eine Standardschl ssel festlegen darf oder nicht Wenn der Benutzer dies darf steht der Befehl Standardschl ssel festlegen im Windows Explorer Kontextmen
94. die zus tzlichen Informationen angezeigt werden Nie Bei jedem Systemstart Bei jeder Anmeldung Bevor Sie einen Text angeben k nnen muss dieser als Textelement im Richtlinien Navigationsbereich unter Texte registriert werden Text der als zus tzliche Information angezeigt werden soll Sie k nnen hier ein Textelement ausw hlen das im Richtlinien Navigationsbereich unter Texte registriert wurde Anzeigedauer in Sekunden System Tray Icon aktivieren und anzeigen 160 Zeitraum in Sekunden f r die Anzeige zus tzlicher Informationen Sie k nnen hier die Anzahl der Sekunden eingeben nach denen die Textbox f r zus tzliche Informationen automatisch geschlossen wird Der Benutzer kann die Textbox jederzeit durch Klicken auf OK schlie en ber das SafeGuard Enterprise System Tray Icon kann auf dem Endpoint einfach und schnell auf Richtlinieneinstellungen Administratorhilfe Erkl rung alle Benutzerfunktionen zugegriffen werden Zus tzlich k nnen f r den Benutzer Informationen ber den Status des Endpoint neue Richtlinien erhalten usw ber Balloon Tool Tips ausgegeben werden Ja System Tray Icon wird im Infobereich der Taskleiste angezeigt der Benutzer wird ber Balloon Tool Tips laufend ber den Status des durch SafeGuard Enterprise gesch tzten Endpoint Nein System Tray Icon wird nicht angezeigt Keine Statusinformationen f r den Benutzer ber Ballon Tool Tips
95. einer Rolle zu einem Sicherheitsbeauftragten Voraussetzung Um eine Rolle zuzuweisen ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und zu ndern 1 W hlen Sie den gew nschten Sicherheitsbeauftragten im Navigationsfenster aus Die Eigenschaften werden im rechten Aktionsbereich f r ihn angezeigt 2 Weisen Sie die gew nschten Rollen durch Ausw hlen der entsprechenden Kontrollk stchen zu Vordefinierte Rollen werden fett angezeigt 3 Klicken Sie auf das Doppelpfeil Symbol Aktualisieren in der Symbolleiste Die Rolle ist dem Sicherheitsbeauftragten zugewiesen Hinweis Komplexe individuell angepasste Rollen k nnen leichte Performanceprobleme bei der Benutzung des SafeGuard Management Centers verursachen 11 4 11 4 1 11 4 2 11 4 3 11 4 4 Administratorhilfe Einsehen von Sicherheitsbeauftragten und Rolleneigenschaften Voraussetzung Um sich einen berblick ber die Sicherheitsbeauftragteneigenschaften oder die Rollenzuordnungen anzeigen zu lassen ben tigen Sie das Recht zum Einsehen von Sicherheitsbeauftragten und Sicherheitsbeauftragtenrollen So sehen Sie Sicherheitsbeauftragten und Rolleneigenschaften ein 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Doppelklicken Sie im Navigationsbereich auf der linken Seite auf dem Objekt zu dem Sie einen berblick erhalten m chten Die im Aktionsbereich angezeigten Informationen richten sich nach dem ausgew hlte
96. entsprechen werden von unterschiedlichen Herstellern angeboten SafeGuard Enterprise unterst tzt den Opal Standard und bietet die Verwaltung von Endpoints mit selbst verschl sselnden Festplatten die dem Opal Standard entsprechen Siehe auch http www sophos com de de support knowledgebase 113366 aspx Integration von Opal Festplatten in SafeGuard Enterprise In SafeGuard Enterprise lassen sich Endpoints mit selbst verschl sselnden Opal Festplatten wie alle anderen durch SafeGuard Enterprise gesch tzten Endpoints ber das SafeGuard Management Center verwalten Die zentrale und vollst ndig transparente Verwaltung von Opal Festplatten durch SafeGuard Enterprise erm glicht somit die Anwendung in heterogenen IT Umgebungen Durch die Unterst tzung des Opal Standards bieten wir den vollen Funktionsumfang von SafeGuard Enterprise f r Benutzer von selbst verschl sselnden Opal Festplatten In Verbindung mit SafeGuard Enterprise bieten Opal Festplatten erweiterte Sicherheits Featrures Aufwertung von Opal Festplatten mit SafeGuard Enterprise Die Verwaltung von selbst verschl sselnden Opal Festplatten mit SafeGuard Enterprise bietet Ihnen folgende Vorteile Zentrale Verwaltung der Endpoints SafeGuard Power on Authentication mit grafischer Benutzeroberfl che Unterst tzung mehrerer Benutzer Unterst tzung der Anmeldung mit Token Smartcard Unterst tzung der Anmeldung mit Fingerabdruck Recovery Local Self Help Challenge Re
97. entsprechenden Datei zu suchen Zur Vereinfachung der Identifizierung tragen die Recovery Dateien den Namen des Computers computername GUID xmi W hlen Sie die Datei aus und klicken Sie auf ffnen Hinweis Die Schl ssel Recovery Datei die zur Wiederherstellung des Zugriffs auf den Computer erforderlich ist muss dem Helpdesk zur Verf gung stehen z B ber eine Netzwerkfreigabe 2 Klicken Sie auf Weiter Die Seite f r die Eingabe des Challenge Codes wird angezeigt Der angeforderte Schl ssel wird mit dem Response Code an die Benutzerumgebung bertragen 249 SafeGuard Enterprise 29 2 6 8 Auswahl des angeforderten Schl ssel mehrere Schl ssel 29 269 29 2 6 10 250 Voraussetzung Diese Option ist nur f r zentral verwaltete Endpoints verf gbar Sie m ssen die Schl sseldatei zuvor im SafeGuard Management Center unter Schl ssel imd Zertifikate angelegt haben und das Kennwort mit dem die Datei verschl sselt ist muss in der Datenbank gespeichert sein Sie m ssen den erforderlichen virtuellen Client im Recovery Assistenten des SafeGuard Management Center sowie die Recovery Aktion Kennwort f r Schl sseldatei angefordert ausgew hlt haben 1 Um eine Schl sseldatei auszuw hlen klicken Sie auf die Schaltfl che neben dieser Option Klicken Sie in Schl sseldatei auf Jetzt suchen W hlen Sie die Schl sseldatei aus und klicken Sie auf OK 2 Klicken Sie zur Best tigung auf Weiter Die Seite f r
98. erkannt Dann wird unter Umst nden der Standard Windows Credential Provider verwendet EINSTELLUNGEN F R DIE TOKENUNTERST TZUNG Token Middleware Modulname Registriert das PKCS 11 Modul eines Token Folgende Optionen stehen zur Verf gung Activeldentity ActivClient Activeldentity ActivClient PIV AET SafeSign Identity Client Aladdin eToken PKI Client Administratorhilfe Richtlinieneinstellungen Erkl rung a sign Client ATOS CardOS API Charismathics Smart Security Interface Estonian ID Card Gemalto Access Client Gemalto Classic Client Gemalto NET Card IT Solution trustware CSP M dulo PKCS 11 TC FNMT Nexus Personal RSA Authentication Client 2 x RSA Smart Card Middleware 3 x Siemens CardOS API T Systems NetKey 3 0 Unizeto proCertum Benutzerdefinierte PKCS 11 Einstellungen Wenn Sie Benutzerdefinierte PKCS 11 Einstellungen ausw hlen werden die Benutzerdefinierten PKCS 11 Einstellungen aktiviert Sie k nnen dann die zu verwendenden Modulnamen eingeben PKCS 11 Modul f r Windows PKCS 11 Modul f r die SafeGuard Power on Authentication POA Hinweis Wenn Sie Nexus Personal oder Gemalto NET Card Middleware installieren m ssen Sie den Installationspfad der Middleware auch zur PATH Umgebungsvariable der Systemeigenschaften Ihres Computers hinzuf gen Standard Installationspfad f r Gemalto NET Card C Programme Gemalto PKCS11 for NET V2 smart cards Stan
99. f r Computer Identifikation Zeigt in der Titelleiste der SafeGuard POA entweder den Computernamen oder einen frei definierbaren Text an Existiert ein Computername in den Windows Netzwerkeinstellungen wird dieser in der Grundeinstellung automatisch bernommen Der Text der in der Titelleiste der SafeGuard POA angezeigt werden soll Ist unter Computer Identifikation anzeigen die Option Definierter Name ausgew hlt k nnen Sie in diesem Eingabefeld den Text eingeben 159 SafeGuard Enterprise Richtlinieneinstellungen Rechtliche Hinweise anzeigen Text f r rechtliche Hinweise Erkl rung Zeigt eine Textbox mit frei konfigurierbarem Inhalt an die vor der Anmeldung in der SafeGuard POA erscheint In manchen L ndern ist das Erscheinen eines Textfelds mit bestimmtem Inhalt gesetzlich vorgeschrieben Die Box muss vom Benutzer best tigt werden bevor das System fortf hrt Bevor Sie einen Text angeben k nnen muss dieser als Textelement im Richtlinien Navigationsbereich unter Texte registriert werden Text der als rechtlicher Hinweis angezeigt werden soll Sie k nnen hier ein Textelement ausw hlen das im Richtlinien Navigationsbereich unter Texte registriert wurde Zus tzliche Informationen anzeigen Text f r zus tzliche Informationen Zeigt eine Textbox mit frei konfigurierbarem Inhalt an die nach den rechtlichen Hinweisen wenn diese aktiviert sind erscheint Sie k nnen festlegen ob
100. ffnet in dem eine weitere Textdatei ausgew hlt werden kann Der in dieser Datei enthaltene Text wird am Ende des bestehenden Texts eingef gt Syntaxregeln f r Kennw rter In Richtlinien vom Typ Kennwort definieren Sie Einstellungen f r Kennw rter f r die Anmeldung an das System Diese Einstellungen gelten nicht f r Kennw rter die zum Anmelden bei mit BitLocker verschl sselten Endpoints verwendet werden Weitere Informationen zu BitLocker Kennw rtern finden Sie unter PIN und Kennw rter Seite 170 Kennw rter k nnen sowohl Ziffern Buchstaben als auch Sonderzeichen wie etc enthalten Verwenden Sie bei der Vergabe eines neuen Kennworts jedoch keine Zeichen mit der Kombination ALT lt Zeichen gt da dieser Eingabemodus an der SafeGuard Power on Authentication nicht zur Verf gung steht Wie Kennw rter mit denen sich Benutzer am System anmelden beschaffen sein m ssen wird in Richtlinien vom Typ Kennwort eingestellt Hinweis Informationen zur Umsetzung einer Richtlinie f r sichere Kennw rter finden Sie unter Empfohlene Sicherheitsma nahmen Seite 11 sowie im SafeGuard Enterprise Manual for certification compliant operation Englisch Die Umsetzung von Kennwortregeln und Kennworthistorien kann nur dann gew hrleistet werden wenn der SGN Credential Provider durchgehend verwendet wird Definieren Sie Kennwortregeln entweder im SafeGuard Management Center oder im Active Directory nicht an beiden Stellen Richtlini
101. hlen Sie das jeweils angezeigte Kontrollk stchen um den neuen Schl ssel als pers nlichen Schl ssel zu definieren Pers nlicher Schl ssel Dieses Kontrollk stchen wird f r Benutzer angezeigt die noch keinen aktiven pers nlichen Schl ssel haben Aktiven pers nlichen Schl ssel ersetzen Dieses Kontrollk stchen wird f r Benutzer angezeigt die bereits einen aktiven pers nlichen Schl ssel haben 6 Klicken Sie auf OK Der pers nliche Schl ssel wird f r den ausgew hlten Benutzer erzeugt In der Registerkarte Schl ssel wird der Schl ssel als Aktiver pers nlicher Schl ssel f r den Benutzer angezeigt Bei Benutzern die bereits einen aktiven pers nlichen Schl ssel hatten wird der vorhandene Schl ssel zur ckgestuft und der Benutzer erh lt einen neuen Der zur ckgestufte pers nliche Schl ssel verbleibt im Schl sselring des Benutzers Der aktive pers nlichen Schl ssel kann anderen Benutzern nicht zugewiesen werden Erzeugen von pers nlichen Schl sseln f r mehrere Benutzer Um pers nliche Schl ssel zu erzeugen ben tigen Sie die Rechte Schl ssel erzeugen und Schl ssel zuweisen Dar ber hinaus ben tigen Sie das Zugriffsrecht Voller Zugriff f r alle beteiligten Objekte Um aktive pers nliche Schl ssel zu ersetzen ben tigen Sie das Recht Pers nliche Schl ssel verwalten 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Klicken Sie im Navigationsbereich mit der rechten Maustas
102. hren Sie zun chst die initiale Konfiguration und danach weitere spezifische Schritte f r die Multi Tenancy Konfiguration durch 19 SafeGuard Enterprise 20 3 3 9 4 Starten der Erstkonfiguration des SafeGuard Management Centers Nach der Installation des SafeGuard Management Center m ssen Sie die Erstkonfiguration durchf hren Die Erstkonfiguration muss sowohl f r den Single Tenancy als auch f r den Multi Tenancy Modus ausgef hrt werden So starten Sie den SafeGuard Management Center Konfigurationsassistenten 1 Starten Sie das SafeGuard Management Center ber das Start Men Der Konfigurationsassistent wird gestartet und f hrt Sie durch die notwendigen Schritte 2 Klicken Sie auf der Willkommen Seite auf Weiter Konfigurieren der Datenbankserver Verbindung Zum Speichern aller SafeGuard Enterprise spezifischen Verschl sselungsrichtlinien und Einstellungen wird eine Datenbank verwendet Damit das SafeGuard Management Center mit dem SafeGuard Enterprise Server kommunizieren kann m ssen Sie eine Authentisierungsmethode f r den Zugriff auf die Datenbank festlegen entweder Windows NT Authentisierung oder SQL Authentisierung Wenn Sie eine Verbindung zum Datenbankserver mit SQL Authentisierung herstellen m chten stellen Sie sicher dass Sie die notwendigen SQL Anmeldedaten zur Hand haben Falls notwendig erhalten Sie diese Informationen von Ihrem SQL Administrator 1 F hren Sie auf der Seite Datenbankserver Ve
103. im KSA und den Schl sselringen der anderen Benutzer oder Computer besteht Beispiel Alice besitzt ihren individuellen Benutzerschl ssel Immer wenn sie sich an ihrem anderen Computer anmeldet Laptop_Alice hat sie keinen Zugriff auf das Volume das mit dem Bootschl ssel des Computers SGNCLT verschl sselt ist 259 SafeGuard Enterprise 260 Der durch SafeGuard Enterprise gesch tzte Endpoint SGMCLT besitzt nur seinen eigenen Bootschl ssel BOOT_SGMECLT Der Sicherheitsbeauftragte teilt Alice den Bootschl ssel BOOT_SGNCLT auf folgende Weise zu 1 Auswahl des Benutzers Alice 2 Klick auf das Fernglas Symbol in der SafeGuard Enterprise Symbolleiste Das startet den Suchdialog in dem auch Bootschl ssel angezeigt werden k nnen 3 Auswahl des Schl ssels BOOT_SGMOCLT Jetzt verf gt Alice ber zwei Schl ssel User_Alice und BOOT_SGMCLT Das kann unter Schl ssel und Zertifikate nachgepr ft werden Der Schl ssel BOOT_SGMCLT ist zweimal zugewiesen zum Computer SGMCLT und zum Benutzer Alice Alice ist es nun m glich auf das verschl sselte Volume von jedem anderen SafeGuard Enterprise Client zuzugreifen auf dem sie sich anmelden kann Dann kann sie auf einfache Weise Tools wie den Windows Explorer oder regedit exe verwenden um die Ursache des Bootproblems zu beseitigen Wenn im schlimmsten Fall das Problem nicht gel st werden kann kann sie Daten auf ein ander
104. in Windows erfolgt auf der Grundlage der auf dem Token gespeicherten Zertifikate Hinweis Kryptographische Token k nnen nicht f r Standalone Endpoints verwendet werden Kryptographische Token Kerberos Bei der Verwendung von kryptographischen Token erfolgt die Authentisierung in der SafeGuard POA ber das Zertifikat auf dem Token Zur Anmeldung m ssen die Benutzer nur die PIN des Token eingeben Hinweis Kryptographische Token k nnen nicht f r Standalone Endpoints verwendet werden Den Benutzern m ssen vollst ndig ausgestellte Token bereitgestellt werden Weitere Informationen finden Sie unter Konfigurieren der Token Benutzung Seite 220 Grundlegende Anforderungen f r Zertifikate Algorithmus RSA Schl ssell nge mindestens 1024 Verwendung des Schl ssels Datenverschl sselung oder Schl sselverschl sselung Dies kann per Richtlinie au er Kraft gesetzt werden a Selbst signiert Nein Dies kann per Richtlinie au er Kraft gesetzt werden Hinweis Bei Problemen bei der Anmeldung mit einem Kerberos Token kann weder Challenge Response noch Local Self Help f r Recovery Vorg nge benutzt werden Hier wird nur Challenge Response mit virtuellen Clients unterst tzt Mit diesem Verfahren k nnen Benutzer wieder Zugriff auf verschl sselte Volumes auf Ihren Endpoints erlangen Komponenten F r die Benutzung von Token Smartcards in Verbindung mit SafeGuard Enterprise sind folgende Komponenten erforderlich Token
105. in der Cloud gespeichert so werden diese Daten nicht automatisch verschl sselt Wenn Sie solche Daten verschl sseln m chten m ssen Sie sie zun chst aus der Cloud entfernen und dann wieder einf gen Anforderungen f r Software von Cloud Storage Anbietern Damit die Verschl sselung f r in der Cloud gespeicherten Daten m glich ist muss die Software des Cloud Storage Anbieters auf dem Computer auf dem das Modul Cloud Storage installiert ist laufen eine Anwendung oder einen Systemdienst im lokalen Dateisystem f r die Synchronisierung zwischen der Cloud und dem lokalen System enthalten die synchronisierten Daten im lokalen Dateisystem speichern Anlegen von Cloud Storage Definitionen Im SafeGuard Management Center stehen f r mehrere Cloud Storage Anbieter zum Beispiel Dropbox oder Egnyte vordefinierte Cloud Storage Definitionen zur Verf gung Sie k nnen die in den vordefinierten Cloud Storage Definitionen festgelegten Pfade nach Ihren Anforderungen ndern oder eine neue Cloud Storage Definition erstellen und Werte aus der vordefinierten als Grundlage kopieren Dies ist vor allem dann hilfreich wenn Sie nur einen 203 SafeGuard Enterprise Teil der Daten in der Cloud Storage verschl sseln m chten Sie k nnen auch eigene Cloud Storage Definitionen anlegen Hinweis Wenn bestimmte Ordner verschl sselt werden zum Beispiel der Dropbox Installationsordner bewirkt dies unter Umst nden dass das Betriebssyste
106. kann den Response Code eingeben und wieder auf den Endpoint zugreifen Recovery Schl ssel f r mit BitLocker verschl sselte SafeGuard Enterprise Clients BIOS Endpoints Bei mit BitLocker verschl sselten Computern l sst sich ein Volume auf das nicht mehr zugegriffen werden kann wiederherstellen 1 W hlen Sie auf der Recovery Typ Seite die Option SafeGuard Enterprise Client Managed 2 W hlen Sie unter Dom ne die gew nschte Dom ne aus der Liste 3 Geben Sie unter Computer den gew nschten Computernamen ein oder w hlen Sie ihn aus Hierzu gibt es mehrere M glichkeiten Um einen Namen auszuw hlen klicken Sie auf Klicken Sie anschlie end auf Jetzt suchen Eine Liste mit Computern wird angezeigt W hlen Sie den gew nschten Computer aus und klicken Sie auf OK Der Computername wird im Fenster Recovery Typ unter Dom ne angezeigt Geben Sie den Kurznamen des Computers direkt in das Feld ein Wenn Sie auf Weiter klicken wird der Name in der Datenbank gesucht Der gefundene Computername wird als Distinguished Name angezeigt Geben Sie den Computernamen direkt als Distinguished Name ein zum Beispiel CN Desktopl OU Development OU Headquarter DC Utimaco DC edu 4 Klicken Sie auf Weiter 5 W hlen Sie das Volume auf das zugegriffen werden soll aus der Liste und klicken Sie auf Weiter 6 Der Recovery Assistent zeigt den 48 stelligen Recovery Schl ssel an 7 Teilen Sie dem Benutzer diesen Schl s
107. nnen auch bersichten filtern Voraussetzung Der Token muss eingesteckt sein 1 Klicken Sie im SafeGuard Management Center auf Token 229 SafeGuard Enterprise 27 9 2 2 3 3 230 2 Um Informationen zu einzelnen Token anzeigen zu lassen w hlen Sie den gew nschten Token unter Token Slots Unter Token Information werden Hersteller Typ Seriennummer Angaben zu Hardware und PIN Regeln angezeigt Au erdem sehen Sie welchem Benutzer der Token zugeordnet ist Hinweis Unter Token Slots werden die ausgestellten Token ungeachtet Ihrer Zugriffsrechte f r die relevanten Benutzer angezeigt damit Sie sehen k nnen ob der Token in Gebrauch ist oder nicht Wenn Sie keine Zugriffsrechte oder das Zugriffsrecht Schreibgesch tzt f r den relevanten Benutzer haben werden alle Token Daten in den Registerkarten Token Information und Anmeldeinformationen und Zertifikate ausgegraut und Sie k nnen den Token nicht verwalten 3 Um eine bersicht ber Token anzeigen zu lassen w hlen Sie Ausgestellte Token Sie k nnen alle ausgestellten Token anzeigen lassen oder die bersicht nach Benutzern filtern Es werden die Seriennummer der Token die Benutzerzuordnung und das Ausstellungsdatum angezeigt Au erdem erkennen Sie ob der Token gesperrt ist Hinweis Die Ansicht Ausgestellte Token zeigt die Token f r alle Benutzer f r die Sie die Zugriffsrechte Schreibgesch tzt oder Voller Zugriff haben Sperren von Token oder Smartcards
108. nur auf NTFS formatierten Volumes Bei NTFS formatierten Volumes mit einer Cluster Gr e von 64 KB kann die schnelle Initialverschl sselung nicht angewendet werden Hinweis Dieser Modus kann zu einem unsichereren Zustand f hren wenn eine Platte vor der Verwendung mit SafeGuard Enterprise bereits in Gebrauch war Nicht verwendete Sektoren k nnen noch Daten enthalten Daher ist die schnelle Initialverschl sselung standardm ig deaktiviert Um die schnelle Initialverschl sselung zu aktivieren w hlen Sie die Einstellung Schnelle Initialverschl sselung in einer Richtlinie vom Typ Ger teschutz Hinweis F r die Entschl sselung eines Volumes wird unabh ngig von der gew hlten Richtlinieneinstellung immer die schnelle Initialverschl sselung verwendet F r die Entschl sselung gelten ebenfalls die angegebenen Einschr nkungen Volume basierende Verschl sselung und die Windows 7 Systempartition F r Windows 7 Professional Enterprise und Ultimate wird auf den Endpoints eine Systempartition angelegt der kein Laufwerksbuchstabe zugeordnet ist Diese System Partition kann nicht von SafeGuard Enterprise verschl sselt werden Volume basierende Verschl sselung und Unidentified File System Objects Unidentified File System Objects sind Volumes die von SafeGuard Enterprise nicht eindeutig als verschl sselt oder unverschl sselt identifiziert werden k nnen Existiert f r ein Unidentified File System Object eine Verschl sselungsri
109. nur mit einem Token oder einer Smartcard in der SafeGuard POA anmelden Dieses 132 Richtlinieneinstellung Administratorhilfe Erkl rung Verfahren bietet eine h here Sicherheit Bei der Anmeldung wird der Benutzer aufgefordert seinen Token einzustecken Durch den Besitz des Token und der Eingabe der PIN wird die Identit t des Benutzers verifiziert Nach korrekter Eingabe der PIN liest SafeGuard Enterprise automatisch die Daten f r die Anmeldung des Benutzers aus Hinweis Beachten Sie dass Sie sich bei Wahl dieses Anmeldeverfahrens nur mit einem vorher ausgestellten Token anmelden k nnen Die Einstellungen Benutzername Kennwort und Token lassen sich kombinieren Um zu pr fen ob die Anmeldung mit Token reibungslos funktioniert w hlen Sie zun chst beide Einstellungen aus Erst nach erfolgreicher Token Anmeldung sollten Sie den Anmeldemodus Benutzername Kennwort deaktivieren Damit ein Umschalten zwischen den Anmeldemodi m glich ist erlauben Sie den Benutzern sich einmal mit beiden Einstellungen kombiniert anzumelden da es sonst zu einer Blockierung bei der Anmeldung kommen kann Wenn Sie Local Self Help f r die Token Anmeldung zulassen m chten m ssen Sie die beiden Einstellungen ebenfalls kombinieren Fingerabdruck W hlen Sie diese Option um die Anmeldung mit Lenovo Fingerabdruck Leser zu aktivieren Benutzer f r die diese Richtlinie wirksam ist k nnen sich mit Fingerabdruck oder Benutzername Kennwort
110. r die Verwaltung von Richtlinien erstellen Import aus Active Directory Sie k nnen eine bestehende Organisationsstruktur ber ein Active Directory in die SafeGuard Enterprise Datenbank importieren Wir empfehlen ein spezielles Windows Servicekonto anzulegen das f r alle Import und Synchronisierungsaufgaben verwendet wird So stellen Sie sicher dass alle Import Vorg nge korrekt durchgef hrt werden und verhindern dass Objekte in der SafeGuard Enterprise Datenbank unbeabsichtigt gel scht werden F r Informationen zum Zuweisen der notwendigen Rechte siehe http www sophos com de de support knowledgebase 107979 aspx Importieren der Organisationsstruktur Hinweis Mit dem SafeGuard Management Center Taskplaner k nnen Sie einen periodischen Task f r die automatische Synchronisierung zwischen dem Active Directory und SafeGuard Enterprise erstellen In Ihrer Produktlieferung steht hierzu eine vordefinierte Skript Vorlage zur Verf gung Weitere Informationen finden Sie unter Planung von Tasks Seite 283 und Vordefinierte Skripte f r regelm ig wiederkehrende Tasks Seite 289 1 W hlen Sie im SafeGuard Management Center Extras gt Optionen 2 W hlen Sie die Registerkarte Verzeichnis und klicken Sie auf Hinzuf gen 3 Gehen Sie in LDAP Authentisierung folgenderma en vor a BeiServername oder IP geben Sie den NetBIOS Name des Dom nencontrollers oder dessen IP ein b Bei Anmeldeinformationen des Benutzers geben Sie Ihre
111. registrierten Textelemente werden als Unterknoten angezeigt Recovery mit Challenge Response Zur Optimierung von Workflows im Unternehmen und zur Reduzierung von Helpdesk Kosten bietet Sophos SafeGuard eine Challenge Response Recovery L sung Mit einem benutzerfreundlichen Challenge Response Verfahren unterst tzt SafeGuard Enterprise Benutzer die sich an ihrem Computer nicht mehr anmelden oder nicht auf verschl sselte Daten zugreifen k nnen Diese Funktionalit t ist im SafeGuard Enterprise Management Center in Form eines Recovery Assistenten integriert Nutzen und Vorteile des Challenge Response Verfahrens Das Challenge Response Verfahren ist ein sicheres und effizientes Recovery System N hrend des gesamten Vorgangs werden keine vertraulichen Daten in unverschl sselter Form ausgetauscht 239 SafeGuard Enterprise 29 2 1 240 Informationen die unberechtigte Dritte durch Mitverfolgen dieses Vorgangs erhalten k nnten lassen sich weder zu einem sp teren Zeitpunkt noch auf anderen Ger ten verwenden F r den Computer auf den zugegriffen werden soll muss w hrend des Vorgangs keine Online Netzwerkverbindung bestehen Der Response Code Assistent f r den Helpdesk l uft auch auf einem Standalone Endpoint ohne Verbindung zum SafeGuard Enterprise Server Eine komplexe Infrastruktur ist nicht notwendig Der Benutzer kann schnell wieder mit dem Computer arbeiten Es gehen keine verschl sselten Daten verloren nur weil
112. sein Kennwort vergessen hat keinen Recovery Vorgang ber Challenge Response In diesem Fall m ssen Sie das Kennwort im Active Directory ndern Melden Sie sich ohne Sophos Credential Provider am Endpoint an und stellen Sie die Benutzerkonfiguration auf dem Endpoint wieder her Response f r SafeGuard Enterprise Clients 1 W hlen Sie auf der Recovery Typ Seite die Option SafeGuard Enterprise Client Managed W hlen Sie unter Dom ne die gew nschte Dom ne aus der Liste Geben Sie unter Computer den gew nschten Computernamen ein oder w hlen Sie ihn aus Hierzu gibt es mehrere M glichkeiten Um einen Namen auszuw hlen klicken Sie auf Klicken Sie anschlie end auf Jetzt suchen Eine Liste mit Computern wird angezeigt W hlen Sie den gew nschten Computer aus und klicken Sie auf OK Der Computername wird auf der Seite Recovery Typ angezeigt a Geben Sie den Kurznamen des Computers direkt in das Feld ein Wenn Sie auf Weiter klicken wird der Name in der Datenbank gesucht Der gefundene Computername wird als Distinguished Name angezeigt Geben Sie den Computernamen direkt als Distinguished Name ein zum Beispiel CN Desktopl OU Development OU Headquarter DC Sophos DC edu Klicken Sie auf Weiter W hlen Sie die Dom ne des Benutzers Geben Sie den Benutzernamen ein Hierf r gibt es mehrere M glichkeiten Um den Benutzernamen auszuw hlen klicken Sie auf im Abschnitt Benutzer Informatio
113. t gegen ber einer Richtlinie mit einer h heren Priorit t Um die Einstellungen Priorit t oder Kein berschreiben f r Richtlinien im Bereich Benutzer amp Computer zu ndern ben tigen Sie das Zugriffsrecht Voller Zugriff f r alle Objekte denen die Richtlinien zugewiesen sind Wenn Sie das Zugriffsrecht Voller Zugriff nicht f r alle Objekte haben k nnen die Einstellungen nicht bearbeitet werden Wenn Sie versuchen die Felder zu bearbeiten wird eine Info Meldung angezeigt Im Aktivierungsbereich werden die Gruppen Authentisierte Benutzer bzw Computer angezeigt Die Richtlinie gilt f r alle Gruppen innerhalb der OU bzw Dom ne Administratorhilfe 14 6 1 Aktivieren von Richtlinien f r einzelne Gruppen Richtlinien werden immer einer OU bzw einer Dom ne oder Arbeitsgruppe zugewiesen Sie gelten standardm ig f r alle Gruppen in diesen Container Objekten die Gruppen Authentisierte Benutzer und Authentisierte Computer werden im Aktivierungsbereich angezeigt Sie k nnen aber auch Richtlinien festlegen und sie f r eine einzelne oder mehrere Gruppen aktivieren Diese Richtlinien gelten dann ausschlie lich f r diese Gruppen Hinweis Um Richtlinien f r einzelne Gruppen zu aktivieren ben tigen Sie das Zugriffsrecht Voller Zugriff f r die relevante Gruppe 1 Weisen Sie die Richtlinie der OU in der sich die Gruppe befindet zu 2 Im Aktivierungsbereich werden die Gruppen Authentisierte Benutzer und Authent
114. um zu vermeiden dass das Kennwort zentral zur ckgesetzt werden muss Benutzen Sie Local Self Help Mit Recovery ber Local Self Help kann sich der Benutzer das aktuelle Kennwort anzeigen lassen und dieses weiterhin benutzen ohne es zur cksetzen zu m ssen Bei der Benutzung von Local Self Help ist au erdem keine Unterst tzung durch den Helpdesk erforderlich Bei Anwendung von Challenge Response f r SafeGuard Enterprise Clients Managed Wir empfehlen das Kennwort vor dem Challenge Response Verfahren nicht zentral im Active Directory zur ckzusetzen Dadurch wird gew hrleistet dass das Kennwort zwischen Windows und SafeGuard Enterprise synchron bleibt Stellen Sie sicher dass der Windows Helpdesk entsprechend informiert ist Erzeugen Sie als SafeGuard Enterprise Helpdesk Beauftragter eine Response f r das Booten des SGN Clients mit Benutzeranmeldung mit der Option Benutzerkennwort anzeigen Dies bietet den Vorteil dass das Kennwort nicht im Active Directory ge ndert werden muss Der Benutzer kann mit dem alten Kennwort weiterarbeiten und dieses sp ter nach Wunsch lokal ndern Anzeigen des Benutzerkennworts SafeGuard Enterprise bietet Benutzern die M glichkeit sich ihr Kennwort w hrend des Challenge Response Verfahrens anzeigen zu lassen Dies bietet den Vorteil dass das Kennwort nicht im Active Directory ge ndert werden muss Diese Option ist verf gbar wenn die Anforderung SGN Client mit Benutzeranmeldung booten
115. wird eine entsprechende Warnungsmeldung angezeigt 7 Klicken Sie auf OK Der neue POA Benutzer wird angelegt und unter POA Benutzer im Benutzer amp Computer Navigationsbereich angezeigt 19 2 19 3 19 4 Administratorhilfe ndern des Kennworts f r einen POA Benutzer F r das Bearbeiten von POA Benutzern und POA Gruppen ben tigen Sie das Zugriffsrecht Voller Zugriff f r den POA Knoten unter Benutzer amp Computer 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Benutzer amp Computer Navigationsfenster unter POA POA Benutzer den relevanten POA Benutzer 3 W hlen Sie im Kontextmen des POA Benutzers den Befehl Eigenschaften Der Eigenschaften Dialog f r den POA Benutzer wird angezeigt 4 Geben Sie in der Registerkarte Allgemein unter Benutzerkennwort das neue Kennwort ein und best tigen Sie es 5 Klicken Sie auf OK F r den relevanten POA Benutzer gilt das neue Kennwort L schen von POA Benutzern F r das L schen von POA Benutzern und POA Gruppen ben tigen Sie das Zugriffsrecht Voller Zugriff f r den POA Knoten unter Benutzer amp Computer 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Benutzer amp Computer Navigationsfenster unter POA POA Benutzer den relevanten POA Benutzer 3 Klicken Sie mit der rechten Maustaste auf den POA Benutzer und w hlen
116. zentrale Datenbank bestimmte Protokolleintr ge in lokalen Protokolldateien Diese befinden sich im LocalCache im Verzeichnis auditing SGMTransLog Diese Dateien werden an den Transportmechanismus bergeben der sie dann ber den SGN Server in die Datenbank eintr gt Die bertragung erfolgt sobald der Transportmechanismus eine Verbindung zum Server hergestellt hat Die Protokolldatei wird daher gr er bis eine Verbindung hergestellt werden konnte Um die Gr e einer einzelnen Protokolldatei einschr nken zu k nnen kann man ber die Richtlinie eine maximale Anzahl von Protokolleintr gen eintragen Dann wird die Protokolldatei vom Protokollsystem nach Erreichen der eingestellten Anzahl von Eintr gen in die Transportqueue des SGN Servers gestellt und eine neue Protokolldatei begonnen Sprache am Client Legt fest in welcher Sprache die Einstellungen f r SafeGuard Enterprise auf dem Endpoint angezeigt werden Sie k nnen neben den unterst tzten Sprachen kann auch die Betriebssystem Spracheinstellung des Endpoint ausw hlen RECOVERY F R DIE ANMELDUNG Recovery f r die Anmeldung nach Besch digung des Der Windows Local Cache ist Start und Endpunkt f r den Datenaustausch zwischen Endpoint und Server Im Windows Local Windows Local Cache aktivieren Cache werden alle Schl ssel Richtlinien Benutzerzertifikate und Audit Dateien abgelegt Alle im Local Cache gespeicherten Daten haben eine Signatur und k nnen nich
117. zu SafeGuard Web Helpdesk finden Sie im SafeGuard Web Helpdesk Handbuch Server Rolle hinzuf gen Klicken Sie hier um weitere spezifische Sicherheitsbeauftragtenrollen f r den ausgew hlten Server hinzuzuf gen falls erforderlich Sie werden dazu aufgefordert das Serverzertifikat auszuw hlen Die Sicherheitsbeauftragtenrolle wird hinzugef gt und kann unter Server Rollen angezeigt werden Datenbankverbindung Klicken Sie auf um die Verbindung zur Datenbank f r jeden registrierten Server zu konfigurieren Hier k nnen Sie auch die Anmeldeinformationen f r die Datenbank und die Transportverschl sselung zwischen Web Server und Datenbankserver festlegen Weitere Informationen finden Sie unter Konfigurieren der Datenbankserververbindung Seite 20 Selbst wenn die Pr fung der Datenbankverbindung nicht erfolgreich ist kann ein neues Server Konfigurationspaket erstellt werden Hinweis Sie m ssen nicht den SafeGuard Management Center Konfigurationsassistenten erneut ausf hren um die Datenbankkonfiguration zu aktualisieren Erstellen Sie einfach ein neues Server Konfigurationspaket und verteilen Sie es an den entsprechenden Server Sobald dieses auf dem Server installiert ist kann auf die neue Datenbankverbindung zugegriffen werden 3 Erstellen Sie ein neues Server Konfigurationspaket in der Registerkarte Server Pakete 39 SafeGuard Enterprise 4 Deinstallieren Sie das alte Server Konfigurationspaket
118. zu SafeGuard Data Exchange finden Sie unter SafeGuard Data Exchange Seite 193 Weitere Informationen zu SafeGuard Data Exchange und SafeGuard Portable auf dem Endpoint finden Sie in der SafeGuard Enterprise Benutzerhilfe im Kapitel SafeGuard Data Exchange Richtlinieneinstellung PASSPHRASE Erkl rung Mindestl nge der Passphrase Maximall nge der Passphrase Legt fest aus wie vielen Zeichen die Passphrase aus der der Schl ssel erzeugt wird mindestens bestehen muss Der gew nschte Wert kann entweder direkt eingegeben oder durch Bet tigen der Richtungstasten vergr ert bzw verkleinert werden Legt fest aus wie vielen Zeichen die Passphrase maximal bestehen darf Der gew nschte Wert kann entweder direkt eingegeben oder durch Bet tigen der Richtungstasten vergr ert bzw verkleinert werden Mindestanzahl an Buchstaben Mindestanzahl an Ziffern Mindestanzahl an Symbolen Gro Kleinschreibung beachten Mit diesen Einstellungen wird erreicht dass eine Passphrase nicht ausschlie lich Zeichen Ziffern oder Sonderzeichen enth lt sondern aus einer Kombination bestehen muss z B 15blume Diese Einstellungen sind nur dann sinnvoll wenn eine Mindestl nge der PIN definiert ist die gr er 2 ist Diese Einstellung wird beim Setzen der Option Benutzername als Passphrase verboten wirksam Beispiel Der Benutzername f r einen Anwender lautet EMaier Steht Gro Kleinschreibung beachten auf
119. zu oft falsch eingegeben hat auch f r Standalone Endpoints Sophos SafeGuard Clients Standalone Standalone Endpoints haben nie eine Verbindung zum SafeGuard Enterprise Server auch nicht vor bergehend Sie werden im Standalone Modus betrieben 251 SafeGuard Enterprise 292 741 252 Die f r Challenge Response Vorg nge ben tigten Recovery Informationen basieren in diesem Fall auf der Schl ssel Recovery Datei Diese Schl ssel Recovery Datei wird auf jedem Standalone Endpoint w hrend der Installation der SafeGuard Enterprise Verschl sselungssoftware erzeugt Die Schl ssel Recovery Datei muss dem SafeGuard Enterprise Helpdesk zur Verf gung stehen zum Beispiel auf einer Netzwerkfreigabe Um die Suche nach und die Gruppierung von Recovery Dateien zu vereinfachen enthalten die Dateinamen den Namen des Computers computername GUID xml Somit sind Suchvorg nge mit Asterisken als Platzhalter m glich z B GUID xml Hinweis Wenn ein Computer umbenannt wird wird er im Local Cache nicht automatisch entsprechend umbenannt Im Local Cache werden alle Schl ssel Richtlinien Benutzerzertifikate und Audit Dateien gespeichert F r die Datei Generierung muss der neue Computername daher aus dem Local Cache entfernt werden so dass nur der vorige Name verbleibt auch wenn der Computer unter Windows umbenannt wird Recovery Aktionen f r Sophos SafeGuard Clients standalone F r einen Standalone Endpoint kann in den folgenden
120. 0 2 10 10 2 11 10 2111 102 212 10 3 Administratorhilfe L schen von automatisch registrierten Computern Wenn ein automatisch registrierter Computer gel scht wird werden alle lokalen Benutzer dieses Computers ebenfalls gel scht Bei der n chsten Anmeldung dieses Computers wird er erneut automatisch registriert Filter f r lokale Objekte Benutzer und Computer Unter Benutzer amp Computer k nnen Sie die Ansicht im linken Navigationsfenster nach lokalen Benutzern filtern oder einen bestimmten lokalen Benutzer suchen 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Klicken Sie links unten im Navigationsbereich auf Filter 3 W hlen Sie bei Typ die Option Lokaler Benutzer Wenn Sie einen bestimmten Benutzer suchen geben Sie noch dessen Namen ein 4 Klicken Sie auf das Lupen Symbol Die Ansicht auf Benutzer amp Computer wird entsprechend den Kriterien gefiltert Hinweis Microsoft Konten werden immer als SafeGuard Enterprise Gastbenutzer behandelt Protokollierung Die erfolgreiche bzw nicht erfolgreiche Registrierung eines Benutzers Computers oder einer Arbeitsgruppe wird protokolliert Sie k nnen sich diese Informationen im SafeGuard Management Center unter Berichte in der Ereignisanzeige auflisten lassen Suche nach Benutzern Computern und Gruppen in der SafeGuard Enterprise Datenbank Um Objekte im Dialog Benutzer Computer und Gruppen suchen anzeigen zu lassen ben tigen
121. 1 Sollen die Ereignisse in einer Datei gesichert werden bevor sie gel scht werden 805306412 Anzeige der Auftr ge 805306413 CRL mehrfach in der Datenbank gefunden CRL konnte nicht gel scht werden 805306414 CRL nicht in der Datenbank gefunden 805306415 Der Benutzer dem das Zertifikat zugewiesen werden sollte konnte nicht in der Datenbank gefunden werden 805306416 Ein P7 Blob ist f r eine Zertifikats Zuweisung zwingend erforderlich Fehler ID 805306417 Administratorhilfe Anzeige Der Benutzer dem das Zertifikat zugewiesen werden sollte ist nicht eindeutig benannt 805306418 Die Zertifikats Zuweisung kann nicht gefunden werden 805306419 Die Zuweisung des Zertifikats ist nicht eindeutig Es ist nicht klar welche Zuweisung entfernt werden soll 805306420 Der Benutzer f r den das Zertifikat erstellt werden soll konnte nicht in der Datenbank gefunden werden 805306421 Der Benutzer f r den das Zertifikat erstellt werden soll kann nicht eindeutig benannt werden 805306422 Das Zertifikat wurde bereits einem anderen Benutzer zugeordnet Ein Zertifikat kann nur einem Benutzer zugeordnet werden 805306423 Der Computer dem das Zertifikat zugewiesen werden soll konnte nicht in der Datenbank gefunden werden 805306424 Der Computer dem das Zertifikat zugewiesen werden soll konnte nicht eindeutig identifiziert werden 805306425
122. 11 H herstufen von Sicherheitsbeauftragten ursnnnssenennnnnnnsnnnnnnnnnenn nn 66 11 12 Zur ckstufen von ernannten Haupt Sicherheitsbeauftragten 68 11 13 ndern des Zertifikats eines Sicherheitsbeauftragten ee 69 11 14 Anordnen von Sicherheitsbeauftragten in der Baumstruktur 69 11 15 Schneller Wechsel zwischen Sicherheitsbeauftragten une 69 11 16 L schen eines Sicherheitsbeauftragten urssnnnsenensnnnnnnnnnnnnnnnnnnnnnn 70 12 Schl ssel und Zertifikate 20044nnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 71 12 1 Schl ssel f r die Datenverschl sselung srsssnnsennsnnnnnnnnnnnnnnnennnnn 72 12 2 Pers nliche Schl ssel f r die dateibasierende Verschl sselung mit File ENeryplionsane se ER HERR eh eh 74 AEAT C RL E EE AET E E E SIERT 76 12 4 Exportieren des Unternehmenszertifikats und des Zertifikats des Haupt Sicherheitsbeauftragten urss40usrsneonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnen 79 12 5 Virtuelle Clients rn Rn endeten 80 13 Company Certificate Change Orders 22 44004440nnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnn 84 13 1 Erneuern des Unternehmenszertifikats 44444 nn nennen nennen 84 13 2 Ersetzen des Unternehmenszertifikats 44444 nn nennen nennen 85 13 3 Verwalten von Company Certificate Change Orders
123. 306 Maschine nicht gefunden 3674210307 Benutzer nicht gefunden 3758096385 Das Kennwort enth lt nicht gen gend Buchstaben 3758096386 Das Kennwort enth lt nicht gen gend Zahlen 3758096387 Das Kennwort enth lt nicht gen gend Sonderzeichen 3758096388 Das Kennwort entspricht dem Benutzernamen 3758096389 Das Kennwort enth lt aufeinanderfolgende Zeichen 3758096390 Das Kennwort hnelt dem Benutzernamen zu stark 3758096391 Das Kennwort wurde in der Liste der verbotenen Kennw rter gefunden 3758096392 Das Kennwort hnelt dem alten Kennwort zu stark 3758096393 Das Kennwort enth lt eine Tastaturreihe mit mehr als zwei Zeichen 3758096394 Das Kennwort enth lt eine Tastaturspalte mit mehr als zwei Zeichen 3758096395 Das Kennwort hat seinen G ltigkeitszeitraum noch nicht erreicht 3758096396 Das Kennwort hat seine G ltigkeitsdauer berschritten 3758096397 Das Kennwort hat seine minimale G ltigkeitsdauer noch nicht erreicht 3758096398 Das Kennwort hat die maximale G ltigkeitsdauer berschritten Administratorhilfe Fehler ID Anzeige 3758096399 Information ber einen bevorstehenden Wechsel des Kennwortes mu angezeigt werden 3758096400 nderung bei Erstanmeldung erforderlich 3758096401 Das Kennwort wurde in der History gefunden 3758096402 Fehler beim Verifizieren gegen die spezifizierte Blacklist 40265318
124. 352321647 Datei ist mit NTFS komprimiert und kann daher nicht verschl sselt werden 352321648 Datei ist mit EFS verschl sselt 317 SafeGuard Enterprise 318 Fehler ID 352321649 Anzeige Ung ltiger Datei Besitzer 352321650 Ung ltiger Dateiverschl sselungsmodus 352321651 Fehler im CBC Handling 385875969 Integrit t verletzt 402653185 Das Token enth lt keine Berechtigungen 402653186 Berechtigungen k nnen nicht auf das Token geschrieben werden 402653187 TDF Tag konnte nicht angelegt werden 402653188 TDF Tag enth lt die angeforderten Daten nicht 402653189 Das Objekt existiert bereits auf dem Token 402653190 Kein g ltiger Slot gefunden 402653191 Seriennummer konnte nicht gelesen werden 402653192 Verschl sselung des Tokens ist gescheitert 402653193 Entschl sselung des Tokens ist gescheitert 536870913 Die Schl sseldatei enth lt eine ung ltige Daten 536870914 Teile des RSA Schl sselpaares sind ung ltig 536870915 Das Schl sselpaar konnte nicht importiert werden 536870916 Das Format der Schl sseldatei ist ung ltig 536870917 Keine Daten verf gbar 536870918 Der Import des Zertifikates ist fehlgeschlagen da das Zertifikat bereits existiert 536870919 Das Modul ist bereits initialisiert worden 536870920 Das Modul ist nicht initialisiert wo
125. 4 zur ckgesetzt Auf diese Weise gel schte Token werden automatisch aus der Liste der ausgestellten Token entfernt Lesen von Token Smartcard Daten All Sicherheitsbeauftragter k nnen Sie die Daten auf dem Token mit der Benutzer PIN lesen Voraussetzung Der Token muss eingesteckt sein Die PIN muss dem Sicherheitsbeauftragten bekannt sein Oder sie muss initialisiert sein siehe Initialisieren einer Benutzer PIN Seite 228 Sie ben tigen die Zugriffsrechte Schreibgesch tzt oder Voller Zugriff f r den relevanten Benutzer Klicken Sie im SafeGuard Management Center auf Token W hlen Sie links im Navigationsbereich unter Token Slots den gew nschten Token und w hlen Sie die Registerkarte Anmeldeinformationen und Zertifikate aus Klicken Sie auf das Symbol Anmeldeinformationen des Benutzers abrufen und geben Sie die Benutzer PIN f r den Token ein Die Daten die sich auf dem Token befinden werden angezeigt 231 SafeGuard Enterprise 28 28 1 232 Sicheres Wake on LAN WOL Im SafeGuard Management Center k nnen Sie Richtlinieneinstellungen f r Sicheres Wake on LAN WOL definieren um Endpoints f r Software Rollout Vorg nge vorzubereiten Nach dem Wirksamwerden einer solchen Richtlinie auf Endpoints werden die notwendigen Parameter z B SafeGuard POA Deaktivierung und ein Zeitabstand f r Wake on LAN direkt an die Endpoints bertragen wo sie analysiert werden Das Rollout Team kann durch die zu
126. 40 Keine platform vorhanden 4026531841 Kein Dokument 4026531842 XML Parse Fehler 4026531843 Fehler im Document Object Model XML 4026531844 Kein lt DATAROOT gt Abschnitt gefunden XML 4026531845 XML Tag nicht gefunden 4026531846 nostream Fehler 4026531847 printtree Fehler 38 2 BitLocker Fehlercodes BitLocker Fehler werden durch die folgenden SafeGuard Events gemeldet 2072 Kernel Initialisierung ist fehlgeschlagen Interner Code lt Fehlercode gt 3506 Sektorbasierte Erst Verschl sselung des Laufwerks lt Laufwerksbuchstabe gt gescheitert und beendet Grund lt Fehlercode gt Die folgende Tabelle enth lt eine Liste von Fehlercodes f r BitLocker Fehlercode Fehlercode Beschreibung Hex Dec 0x00000000 0 15999 Siehe Microsoft Systemfehlercodes 0x00003208 0x00BEB001 12496897 Verschl sselung ist aufgrund eines Fehlers w hrend der Kernel Initialisierung nicht m glich 0x00BEB002 12496898 Der Boot Manager darf sich nicht auf dem zu verschl sselnden Systemlaufwerk befinden 327 SafeGuard Enterprise 328 0x00BEB003 12496899 Es wurde eine nicht unterst tzte Windows Version gefunden Minimum ist Windows Vista 0x00BEB004 12496900 Die konfigurierte Authentisierungsmethode wird nicht unterst tzt 0x00BEB005 12496901 Der PIN Dialog wurde nicht erfolgreich abgeschlossen 0x00BEB006 12496902 Der Pfad Dialog wurde nic
127. 4044444n een 86 14 Mit Richtlinien arbeiten 4nnnnnssnnennnnnnnnnnnnnnnnnnnnnnnannnnnnnnnnnnnnnnn nn nnannnnnnn 88 14 1 Anlegen von Richtlinien Hera akkenh a enei Raa E 88 14 2 Bearbeiten von RichtlinieneinstellUngen ssssssssssrrsssssrrsssrrrrssrrnrrssrrnnssent 88 14 3 Richtiniengruppen iania aeai A A N E 90 14 4 Erstellen von Sicherungskopien von Richtlinien und Richtliniengruppen 91 14 5 Wiederherstellen von Richtlinien und Richtliniengruppen 92 14 6 Zuweisen von Richtlinien r44nnnnnneennnnnnnenennnnennnnnnnnnnnennnnnnnnn ern nnnn 92 14 7 Verwalten von Richtlinien unter Benutzer amp Computer eenen 93 14 8 Deaktivieren der bertragung von Richtlinien 94 14 9 Regeln f r die Zuweisung und Auswertung von Richtlinien 94 15 Mit Konfigurationspaketen arbeiten 44eren nennen nnnnnnnnnnnnnnnnnnnnnnnnnnnn anna nnnn nn 100 15 1 Erzeugen eines Konfigurationspakets f r zentral verwaltete Endpoints 101 15 2 Erzeugen eines Konfigurationspakets f r Standalone Endpoints 102 15 3 Erzeugen eines Konfigurationspakets f r Macs uursssnnsnenneennnnnnnenennnn 102 16 SafeGuard Enterprise Power on Authentication POA 40rssnsnnnnnennnnnennnnenn 104 16 1 Ablauf der Anmeldung onient eariad i aaa aa ia 104 16 2 Registrieren weiterer SafeGuard Enterprise Benutzer
128. Administration Schreibgesch tzt Zugriff auf den Container 1 wurde dem Sicherheitsbeauftragten 2 zugeordnet Administration Voller Zugriff auf Container 1 wurde dem Sicherheitsbeauftragten 2 zugeordnet Administration Zugriff auf Container 1 wurde dem Sicherheitsbeauftragten 2 entzogen Administration Zugriff auf Container 1 wurde f r den Sicherheitsbeauftragten 2 explizit verweigert Administration Verweigerter Zugriff auf Container 1 wurde f r Sicherheitsbeauftragten 2 widerrufen Administration Lesezugriff auf Container 1 wurde dem Sicherheitsbeauftragten 2 zugeordnet Administration POA Benutzer 1 angelegt Administration POA Benutzer 1 ge ndert Administration POA Benutzer 1 gel scht 305 SafeGuard Enterprise 306 Kategorie Administration Ereignis ID Beschreibung Erstellen von POA Benutzer 1 fehlgeschlagen Administration ndern von POA Benutzer 1 fehlgeschlagen Administration L schen von POA Benutzer 1 fehlgeschlagen Administration POA Gruppe 1 angelegt Administration POA Gruppe 1 ge ndert Administration POA Gruppe 1 gel scht Administration Erstellen von POA Gruppe 1 fehlgeschlagen Administration ndern von POA Gruppe 1 fehlgeschlagen Administration L schen von POA Gruppe 1 fehlgeschlagen Administration
129. Aktuelles Unternehmenszertifikat Gibt an ob der Computer das aktuelle Unternehmenszertifikat verwendet Registerkarte Laufwerke Die Registerkarte Laufwerke zeigt Bestands und Statusinformationen zu den Laufwerken des jeweiligen Computers Spalte Erkl rung Zeigt den Laufwerksnamen an Zeigt das Label eines Mac Laufwerks Administratorhilfe Erkl rung Zeigt den Laufwerkstyp an z B Fest Wechseldatentr ger oder CD ROM DVD Zeigt den Verschl sselungsstatus eines Laufwerks an Hinweis Wenn SafeGuard BitLocker Verwaltung auf einem Endpoint installiert ist kann Nicht vorbereitet als Verschl sselungsstatus eines Laufwerks angezeigt werden Das bedeutet dass das Laufwerk momentan nicht mit BitLocker verschl sselt werden kann weil notwendige Vorbereitungen noch nicht durchgef hrt wurden Das trifft nur auf verwaltetete Endpoints zu weil nicht verwaltetete Endpoints keine Bestandsinformationen melden k nnen Informationen zu den Voraussetzungen f r die Verwaltung und Verschl sselung von BitLocker Laufwerken finden Sie unter Voraussetzungen f r die Verwaltung von BitLocker auf Endpoints Seite 172 Der Verschl sselungsstatus eines nicht verwalteten Endpoints kann mit dem Kommandozeilen Tool SGNState berpr ft werden Detaillierte Informationen hierzu finden Sie in der SafeGuard Enterprise Tools Anleitung Algorithmus Zeigt f r verschl sselte Laufwerke den Algorithmus der zur Verschl sselung
130. Als Sicherheitsbeauftragter k nnen Sie Token sperren Dies ist z B sinnvoll wenn ein Token verloren gegangen ist Um einen Token zu sperren ben tigen Sie das Zugriffsrecht Voller Zugriff f r den relevanten Benutzer 1 Klicken Sie im SafeGuard Management Center auf Token 2 Markieren Sie links im Navigationsbereich Ausgestellte Token 3 W hlen Sie den Token der gesperrt werden soll und klicken Sie auf das Symbol Token sperren in der SafeGuard Management Center Symbolleiste Der Token wird f r die Authentisierung gesperrt der zugeordnete Benutzer kann sich nicht mehr damit anmelden Der Token kann nur mithilfe der SO PIN entsperrt werden L schen von Token Smartcard Daten Als Sicherheitsbeauftragter k nnen Sie die Daten die ber SafeGuard Enterprise auf den Token geschrieben wurden vom Token entfernen Voraussetzung Der Token muss eingesteckt sein Sie ben tigen das Zugriffsrecht Voller Zugriff f r den relevanten Benutzer 1 Klicken Sie im SafeGuard Management Center auf Token 2 Markieren Sie links im Navigationsbereich den relevanten Token unter Token Slots 3 Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Token l schen Symbol 4 Geben Sie die dem Token zugeordnete SO PIN ein und best tigen Sie mit OK Es werden alle Daten entfernt die von SafeGuard Enterprise verwaltet werden Zertifikate verbleiben auf dem Token 27 9 4 Administratorhilfe Die Benutzer PIN wird auf 123
131. B einfach m glich ber ein Service Konto eine gro e Anzahl Computer zu warten Dazu m ssen sich die Computer in einer Gruppe befinden Diese Gruppe wird dann einem Service Konto Benutzer zugewiesen Der Besitzer des Service Kontos kann sich dann an alle Computer dieser Gruppe anmelden Ebenso kann durch das Zuweisen einer Gruppe die verschiedene Benutzer enth lt diesen Benutzern in einem einfachen Schritt die Anmeldung an einem bestimmten Computer erm glicht werden Zuweisen von Benutzer und Computergruppen Um die Benutzer und Computer Zuordnung unter Benutzer amp Computer einzusehen ben tigen Sie mindestens das Zugriffsrecht Schreibgesch tzt f r eines der beteiligten Objekte Benutzer oder Computer Um die Zuweisung zu definieren oder zu ndern ben tigen Sie Administratorhilfe das Zugriffsrecht Voller Zugriff f r beide beteiligten Objekte Die UMA Anzeige zeigt die verf gbaren Benutzer Maschinen gefiltert nach Ihren Zugriffsrechten Hinweis Das Zuweisen einzelner Benutzer an einen Computer oder umgekehrt funktioniert analog zur Beschreibung f r Gruppen 1 2 Klicken Sie auf Benutzer amp Computer Zum Zuweisen einer Gruppe von Computern zu einem Benutzer markieren Sie den Benutzer Klicken Sie im Aktionsbereich auf die Registerkarte Computer Unter Verf gbare Computer werden alle Computer und Computergruppen angezeigt Ziehen Sie die gew nschten Gruppen aus der Liste der Verf gbaren Gruppen i
132. BitLocker To Go wird somit auch auf Computern ohne Domain Verwaltung Endpoints in einer Arbeitsgruppe oder Standalone Endpoints deaktiviert Protokollierung Vom BitLocker Client gemeldete Ereignisse werden wie f r alle anderen SafeGuard Enterprise Clients protokolliert Dabei wird nicht explizit erw hnt dass sich das Ereignis auf einen BitLocker Client bezieht Die Berichte entsprechen den f r jeden anderen SafeGuard Enterprise Client erzeugten Berichten FileVault 2 Festplattenverschl sselung FileVault 2 ist eine in OS X eingebaute Verschl sselungstechnogie die das ganze Laufwerk sch tzt und von SafeGuard Enterprise verwaltet werden kann 21 3 1 21 3 2 21 3 3 Administratorhilfe FileVault 2 Festplattenverschl sselung mit SafeGuard Enterprise verwalten Mit SafeGuard Enterprise k nnen Sie FileVault 2 Festplattenverschl sselung vom SafeGuard Management Center aus verwalten wie einen nativen SafeGuard Enterprise Client Die SafeGuard Enterprise Client Installation beinhaltet nicht auch die Komponente f r die Verwaltung von FileVault 2 Sie muss separat installiert werden N here Informationen finden Sie in Ihrer Dokumentation f r Sophos SafeGuard Native Device Encryption f r Mac Die zentrale und vollst ndig transparente Verwaltung von FileVault2 durch SafeGuard Enterprise erm glicht die Anwendung in heterogenen IT Umgebungen Sicherheitsrichtlinien f r verschiedene Plattformen k nnen zentral ausgerollt werden
133. Bob verbindet das Wechselmedium zum ersten Mal mit dem Computer Der Medienverschl sselungsschl ssel der f r jedes Medium einzigartig ist wird automatisch erzeugt Bob wird aufgefordert die Medien Passphrase f r die Offline Nutzung ber SafeGuard Portable einzugeben Der Benutzer muss nichts ber den zu verwendenden Schl ssel oder den Schl sselring wissen Der Medienverschl sselungsschl ssel wird ohne Benutzerinteraktion immer f r Administratorhilfe die Datenverschl sselung verwendet Der Medienverschl sselungsschl ssel ist f r den Benutzer auch nicht sichtbar Nur der zentral definierte Gruppen Dom nenschl ssel ist sichtbar Bob und Alice haben innerhalb der gleichen Gruppe oder Dom ne transparenten Zugriff da sie beide den gleichen Gruppen Dom nenschl ssel verwenden Wenn Bob auf verschl sselte Dateien auf Wechselmedien auf einem Computer ohne SafeGuard Data Exchange zugreifen m chte kann er die Medien Passphrase in SafeGuard Portable benutzen Die notwendigen Einstellungen legen Sie in einer Richtlinie vom Typ Ger teschutz Wechselmedien fest Verschl sselungsmodus f r Medien Dateibasierend Schl ssel f r die Verschl sselung Definierter Schl ssel aus der Liste Definierter Schl ssel aus der Liste lt Gruppen Dom nenschl ssel gt z B group_users_Bob_Alice DC um sicherzustellen dass beide denselben Schl ssel benutzen Benutzer darf eine Medien Passphrase f r Wechselmedien erzeug
134. Computer kann entsperrt werden Um eine Anmeldung zu verhindern sperren Sie den Token Standby Zertifikate k nnen in folgenden F llen verwendet werden ndern von durch kryptographische Token erzeugten Zertifikaten Wechsel von automatisch erzeugten zu durch Token erzeugten Zertifikaten Wechsel von Authentisierung per Benutzername Kennwort zur Authentisierung durch kryptographischen Token Kerberos Voraussetzungen Der neue Token ist ausgestellt Dem Benutzer ist nur ein Zertifikat zugewiesen Sie haben das Zugriffsrecht Voller Zugriff f r den relevanten Benutzer So ndern Sie das Zertifikat f r die Token Anmeldung f r einen Benutzer 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 27 1 4 Administratorhilfe 2 Stecken Sie den Token an der USB Schnittstelle ein SafeGuard Enterprise liest den Token ein 3 W hlen Sie den Benutzer aus f r den Sie das Zertifikat ndern wollen und ffnen Sie im rechten Arbeitsbereich die Registerkarte Zertifikat Klicken Sie in der Symbolleiste auf das Symbol f r die Aktion die Sie durchf hren m chten W hlen Sie das relevante Zertifikat aus und geben Sie die Token PIN ein Klicken Sie auf OK 7 bergeben Sie dem Benutzer den neuen Token a Bu Das Zertifikat wird dem Benutzer als Standby Zertifikat zugewiesen Dies wird durch eine H kchen in der Spalte Standby in der Zertifikate Registerkarte des Benutzers angegeben Nach der Sy
135. Eigene Videos Das Dateisystemverzeichnis das als allgemeines Repository f r Internet Cookies dient Typischer Pfad C Documente und Einstellungen Benutzername Cookies lt Favorites gt lt Local Application Data gt Windows Windows Das Dateisystemverzeichnis das als allgemeines Repository f r die Favoriten des Benutzers dient Typischer Pfad C Documente und Einstellungen Benutzername Favoriten Das Dateisystemverzeichnis das als allgemeines Daten Repository f r lokale Applikationen ohne Roaming dient Typischer Pfad C Dokumente und Einstellungen Benutzername Lokale Einstellungen Anwendungsdaten lt Program Data gt lt Program Files gt Windows Windows Das Dateisystemverzeichnis das Anwendungsdaten f r alle Benutzer enth lt Typischer Pfad C Dokumente und Einstellungen Alle Benutzer Anwendungsdaten Der Programme Ordner Typischer Pfad Programme For 64 Bit Systeme wird dies auf zwei Regeln erweitert eine f r 32 Bit Anwendungen und eine f r 64 Bit Anwendungen lt Public Music gt lt Public Pictures gt 186 Windows Windows Das Dateisystemverzeichnis das als allgemeines Repository f r Musikdateien f r alle Benutzer dient Typischer Pfad C Documente und Einstellungen Alle Benutzer Eigene Musik Das Dateisystemverzeichnis das als allgemeines Repository f r Bilddateien f r alle Benutzer dient Typischer Pfad C Documente und Einstellungen Alle Be
136. Endpoints an auf denen Sophos Endpoint Security and Control installiert ist 13 SafeGuard Enterprise 14 3 ber das SafeGuard Management Center Das SafeGuard Management Center ist das zentrale Instrument f r die Verwaltung von mit SafeGuard Enterprise verschl sselten Computern Mit dem SafeGuard Management Center k nnen Sie eine unternehmensweite Sicherheitsstrategie implementieren und auf Endpoints anwenden Im SafeGuard Management Center k nnen Sie rganisationsstruktur aufbauen oder importieren Sicherheitsbeauftragte anlegen Richtlinien definieren Konfigurationen exportieren und importieren Computer mit einer umfassenden Protokollierungsfunktionalit t berwachen Kennw rter und den Zugriff auf verschl sselte Endpoints wiederherstellen Mit dem SafeGuard Management Center wird Multi Tenancy f r die Verwaltung von mehreren Dom nen und Datenbanken unterst tzt Sie k nnen verschiedene SafeGuard Enterprise Datenbanken verwalten und unterschiedliche Konfigurationen verwenden Der Zugriff auf das SafeGuard Management Center ist nur privilegierten Benutzern den Sicherheitsbeauftragten erlaubt Es k nnen mehrere Sicherheitsbeauftragte gleichzeitig mit den Daten arbeiten Die verschiedenen Sicherheitsbeauftragten k nnen entsprechend den ihnen zugewiesenen Rollen und Rechten T tigkeiten ausf hren Sie k nnen die SafeGuard Enterprise Richtlinien und Einstellungen an Ihre Anforderungen anpassen
137. Enterprise Datenbank bermittelt werden soll Dadurch wird die Gr e der einzelnen zu bertragenden Protokolldateien begrenzt Diese Einstellung ist optional Richtlinie des Typs Protokollierung Die zu protokollierenden Ereignisse werden in der Protokollierungsrichtlinie definiert Hier legen Sie als Sicherheitsbeauftragter mit den relevanten Berechtigungen fest welche Ereignisse an welchem Ausgabeort protokolliert werden 33 4 1 33 4 2 Se Administratorhilfe Festlegen der Anzahl an Ereignissen f r R ckmeldung 1 Klicken Sie im SafeGuard Management Center auf Richtlinien 2 Legen Sie eine neue Richtlinie des Typs Allgemeine Einstellung an oder w hlen Sie eine bereits bestehende Richtlinie aus 3 Legen Sie im Feld R ckmeldung nach Anzahl von Ereignissen unter Protokollierung die maximale Anzahl an Ereignissen pro Protokolldatei fest 4 Speichern Sie Ihre Einstellungen Nach dem Zuweisen der Richtlinie gilt die angegebene Anzahl an Ereignissen Auswahl von Ereignissen 1 Klicken Sie im SafeGuard Management Center auf Richtlinien 2 Legen Sie eine neue Richtlinie des Typs Protokollierung an oder w hlen Sie eine bereits bestehende Richtlinie aus Im rechten Aktionsbereich unter Protokollierung werden die vordefinierten Ereignisse die protokolliert werden k nnen angezeigt Standardm ig werden Ereignisse nach Ebene gruppiert zum Beispiel Warnung oder Fehler Sie k nnen die Gruppierung jedoch ndern E
138. Enterprise bietet f r die komfortable Verwaltung bereits vordefinierte Rollen mit verschiedenen Funktionen f r Sicherheitsbeauftragte an Ein Sicherheitsbeauftragter mit den erforderlichen Rechten hat die M glichkeit aus einer Liste von Aktionen Rechten selbst neue Rollen zu definieren und bestimmten Sicherheitsbeauftragten zuzuweisen Folgende Rollentypen stehen zur Verf gung Rolle des Haupt Sicherheitsbeauftragten Master Security Officer MSO Vordefinierte Rollen Benutzerdefinierte Rollen Haupt Sicherheitsbeauftragter Nach der Installation von SafeGuard Enterprise wird bei der initialen Konfiguration des SafeGuard Management Center automatisch ein Haupt Sicherheitsbeauftragter Master Security Officer MSO angelegt Der Haupt Sicherheitsbeauftragte ist der Sicherheitsbeauftragte der h chsten Ebene und hat alle Rechte sowie Zugriff auf alle Objekte vergleichbar mit dem Administrator bei Windows Die Rechte des Haupt Sicherheitsbeauftragten k nnen nicht ge ndert werden F r eine Instanz des SafeGuard Management Centers k nnen mehrere Haupt Sicherheitsbeauftragte angelegt werden Aus Sicherheitsgr nden empfehlen wir 53 SafeGuard Enterprise 11 1 2 54 mindestens einen weiteren Haupt Sicherheitsbeauftragten anzulegen Zus tzliche Haupt Sicherheitsbeauftragte k nnen jederzeit gel scht werden es muss jedoch immer ein Benutzer mit der Rolle des Haupt Sicherheitsbeauftragten vorhanden sein der explizit als Haup
139. Feld Skript Der Dialog Skript Datei f r den Import ausw hlen wird angezeigt Hinweis Im Verzeichnis Script Templates Ihrer SafeGuard Management Center Installation stehen zwei vordefinierte Skripte zur Verf gung Der Dialog Skript Datei f r den Import ausw hlen zeigt automatisch dieses Verzeichnis an Weitere Informationen finden Sie unter Vordefinierte Skripte f r regelm ig wiederkehrende Tasks Seite 289 4 W hlen Sie das zu importierende Skript aus und klicken Sie auf OK Der Skript Name wird im Feld Skript angezeigt 5 Klicken Sie auf OK Wenn das Skript bereits importiert wurde werden Sie aufgefordert zu best tigen dass das alte Skript berschrieben werden soll Wenn die Gr e der zu importierenden Datei 10 MB berschreitet wird eine Fehlermeldung angezeigt und der Importvorgang wird zur ckgewiesen Das Skript wird in der Datenbank gespeichert Bearbeiten von Skripten 1 W hlen Sie in der SafeGuard Management Center Men leiste Extras gt Taskplaner Der Dialog Taskplaner mit einer bersicht ber die geplanten Tasks wird angezeigt 2 W hlen Sie den gew nschten Task und klicken Sie auf die Schaltfl che Eigenschaften Der lt Task Name gt Eigenschaften Dialog mit den Eigenschaften des ausgew hlten Tasks wird angezeigt 3 Klicken Sie auf die Dropdown Schaltfl che Bearbeiten neben dem Feld Skript Die Dropdownliste zeigt alle Editor Programme die f r die Bearbeitung des Skripts zur Verf gu
140. Filter Treibern auf der Sophos Support Website zum Download zur Verf gung Weitere Informationen finden Sie unter http www sophos com de de support knowledgebase 108805 aspx 2 Erstellen Sie den virtuellen Client im SafeGuard Management Center siehe Erstellen von virtuellen Clients Seite 81 3 Exportieren Sie den virtuellen Client in eine Datei sieheExportieren von virtuellen Clients Seite 81 4 Optional k nnen Sie mehrere Schl ssel f r virtuelle Clients in eine Datei exportieren siehe Anlegen und Exportieren von Schl sseldateien f r den Recovery Vorgang Seite 81 5 Booten Sie den Endpoint von der Recovery Disk 6 Importieren Sie die Datei mit dem virtuellen Client in das KeyRecovery Tool 7 Starten Sie die Challenge im KeyRecovery Tool 8 Best tigen Sie den virtuellen Client im SafeGuard Management Center 9 W hlen Sie die erforderliche Recovery Aktion 10 Geben Sie den Challenge Code im SafeGuard Management Center ein 11 Generieren Sie den Response Code im SafeGuard Management Center 12 Geben Sie den Response Code im KeyRecovery Tool ein Auf den Computer kann wieder zugegriffen werden 245 SafeGuard Enterprise 29 2 6 2 Booten des Computers von der Recovery Disk Voraussetzung Stellen Sie sicher dass die Boot Reihenfolge im BIOS das Booten von CD erlaubt 246 1 Fordern Sie vom technischen Support von Sophos die SafeGuard Enterprise Windows PE Disk an F r den Helpdesk steht d
141. INE EINSTELLUNGEN Algorithmus f r die Verschl sselung Setzt den Verschl sselungsalgorithmus Liste aller einsetzbaren Algorithmen mit ihren jeweiligen Standards AES256 32 Bytes 256 Bits AES128 16 Bytes 128 Bits Schl ssel f r die Verschl sselung Legt fest welcher Schl ssel zur Verschl sselung verwendet wird Es k nnen bestimmte Schl ssel festgelegt werden z B Computer Schl ssel oder ein definierter Schl ssel oder dem Benutzer kann die Auswahl eines Schl ssels erlaubt werden Die Schl ssel die ein Benutzer verwenden darf k nnen eingeschr nkt werden Folgende Optionen stehen zur Verf gung Beliebiger Schl ssel im Schl sselring des Benutzers Alle Schl ssel aus dem Schl sselbund des Benutzers werden angezeigt und der Benutzer darf einen daraus ausw hlen Hinweis Diese Option muss gew hlt werden wenn eine Richtlinie f r dateibasierende Verschl sselung f r einen durch SafeGuard Enterprise gesch tzten Standalone Endpoint angelegt wird Alle au er pers nliche Schl ssel im Schl sselring 151 SafeGuard Enterprise 152 Richtlinieneinstellung Erkl rung Alle Schl ssel aus dem Schl sselbund mit Ausnahme des pers nlichen Schl ssels werden angezeigt und der Benutzer darf einen daraus ausw hlen Beliebiger Gruppenschl ssel im Schl sselring des Benutzers Alle Gruppenschl ssel aus dem Schl sselbund des Benutzers werden angezeigt und der Benutzer darf einen da
142. Importieren eines Benutzers in den Kernel wurde erfolgreich beendet Authentisierung L schen eines Benutzers aus dem Kernel wurde erfolgreich beendet Authentisierung Import eines Benutzers in den Kernel ist fehlgeschlagen Authentisierung L schen eines Benutzers aus dem Kernel ist fehlgeschlagen Authentisierung Response mit Aktion Benutzer wird sein Kennwort angezeigt erzeugt Authentisierung Response f r virtuellen Client erzeugt Authentisierung Response f r Standalone Client erzeugt Authentisierung Wake on LAN konnte nicht aktiviert werden Authentisierung Ein Zertifkat wurde einem Standalone Client Benutzer zugewiesen Authentisierung Wake on LAN konnte nicht deaktiviert werden Authentisierung Der Benutzer hat sich zum ersten Mal mit dem Standby Token am Client angemeldet Der Standby Token wurde als Standard Token eingestellt Authentisierung Die erfolgreiche Aktivierung eines Standby Certificate wurde dem Server gemeldet Authentisierung Der Benutzer hat sich zum ersten Mal mit dem Standby Token am Client angemeldet Das Standby Zertifikate konnte aufgrund eines Fehlers nicht aktiviert werden Authentisierung Die Aktivierung eines Standby Certificate ist auf dem Server fehlgeschlagen Administration SafeGuard Enterprise Administration gestartet Administration Anmeldung an der SafeGuard Enterprise Administration fehl
143. Ja und Benutzername als Passphrase verboten auf Nein darf Benutzer EMaier keine Variante seines Benutzernamens z B emaier oder eMaiEr etc als Passphrase verwenden Tastaturzeile verboten Tastaturspalte verboten Als Tastaturzeilen werden eingetippte Zeichenreihen wie 123 oder qwe bezeichnet Maximal zwei auf der Tastatur nebeneinander liegende Zeichen sind erlaubt Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil Als Tastaturspalten werden eingetippte Zeichenreihen wie xsw2 oder 3edc nicht aber xdr5 oder cft6 bezeichnet Erlaubt sind maximal zwei in einer Tastaturspalte befindliche Zeichen Verbieten Sie Tastaturspalten werden derartige Zeichenkombinationen als Passphrase abgelehnt Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil 147 SafeGuard Enterprise 20 8 20 8 1 148 Richtlinieneinstellung Erkl rung Drei oder mehr Verboten werden mit Aktivierung dieser Option Zeichenketten aufeinanderfolgende Zeichen verboten die im ASCII Code aufeinander folgen sowohl in auf als auch in absteigender Reihenfolge abc oder cba die aus drei oder mehr identischen Zeichen aaa oder 111 bestehen Benutzername als Passphrase Bestimmt ob Benutzername und Passphrase identisch sein d rfen verboten Ja Windows Benutzername und Passphrase m ssen unterschiedlich sein Nein Benutzer d
144. Liste LSH Fragen ge ndert Client Deinstallation des Configuration Protection Clients fehlgeschlagen Client Schl ssel Backup auf Netzwerkfreigabe gespeichert Client Schl ssel Backup konnte nicht auf der angegebenen Netzwerkfreigabe gespeichert werden Client POA Benutzer 1 in POA importiert Client POA Benutzer 1 aus POA gel scht Client POA Benutzer 1 Kennwort mit F8 ge ndert Client Import von POA Benutzer 1 in POA fehlgeschlagen Client L schen von POA Benutzer 1 aus POA fehlgeschlagen Client POA Benutzer 1 Kennwort nderung mit F8 fehlgeschlagen Client Interner Fehler im Configuration Protection Client Client M gliche Ereignis Manipulation im Configuration Protection Client Client M gliche Ereignisprotokoll Manipulation im Configuration Protection Client Verschl sselung Zugriff auf Medium auf Laufwerk verweigert Verschl sselung Zugriff auf Datendatei verweigert Verschl sselung Sektorbasierte Erst Verschl sselung des Laufwerks gestartet 307 SafeGuard Enterprise 308 Kategorie Verschl sselung Ereignis ID Beschreibung Sektorbasierte Erst Verschl sselung des Laufwerks gestartet Schnellmodus Verschl sselung Sektorbasierte Erst Verschl sselung des Laufwerks fehlerfrei beendet Verschl sselung Sektorbasierte Erst Verschl sselung des Laufwerks
145. Locker Recovery Schl ssel F r die BitLocker Recovery sieht SafeGuard Enterprise ein Challenge Response Verfahren vor das es erlaubt Informationen vertraulich auszutauschen und die BitLocker Recovery Schl ssel beim Helpdesk abzurufen siehe Response f r mit BitLocker verschl sselte SafeGuard Enterprise Clients UEFI Endpoints Seite 254 und Recovery Schl ssel f r mit BitLocker verschl sselte SafeGuard Enterprise Clients BIOS Endpoints Seite 255 Damit Recovery Vorg nge ber Challenge Response durchgef hrt werden k nnen oder ein Abruf des Recovery Schl ssels m glich ist m ssen die notwendigen Daten dem Helpdesk zur Verf gung gestellt werden Die f r den Recovery Vorgang erforderlichen Daten werden in spezifischen Schl ssel Recovery Dateien gespeichert Hinweis Wenn SafeGuard BitLocker Verwaltung ohne Challenge Response auf einem Standalone Endpoint verwendet wird dann wird der Recovery Schl ssel nach einem Recovery Vorgang nicht ge ndert Hinweis Wenn eine mit BitLocker verschl sselte Festplatte in einem Computer durch eine neue Festplatte ersetzt wird diese den Laufwerksbuchstaben der alten Festplatte erh lt und ebenfalls mit BitLocker verschl sselt wird speichert SafeGuard Enterprise nur den BitLocker Recovery Schl ssel der neuen Festplatte ann von Laufwerken die bereits mit BitLocker verschl sselt sin Sollte es bei der Installation von SafeGuard Enterprise auf Ihrem Computer Laufwerke geben die bere
146. Nach dem Speichern der neuen Einstellungen in der Datenbank k nnen diese an die Endpoints bertragen werden wo sie dann wirksam werden Hinweis Einige Features sind nicht in allen Lizenzen enthalten F r Informationen dazu was in Ihrer Lizenz enthalten ist wenden Sie sich an Ihren Vertriebspartner 4 4 1 4 2 Administratorhilfe Anmeldung am SafeGuard Management Center W hrend der Erstkonfiguration von SafeGuard Enterprise wird ein Konto f r einen Haupt Sicherheitsbeauftragten angelegt Dieses Konto wird bei der ersten Anmeldung an das SafeGuard Management Center ben tigt Um das SafeGuard Management Center zu starten ben tigt der Benutzer das Kennwort f r den Zertifikatsspeicher sowie den privaten Schl ssel des Zertifikats Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung Die Anmeldung richtet sich danach ob Sie das SafeGuard Management Center mit einer Verbindung zu einer Datenbank Single Tenancy oder zu mehreren Datenbanken Multi Tenancy einsetzen Hinweis Zwei Sicherheitsbeauftragte d rfen nicht das gleiche Windows Konto auf einem Computer benutzen Andernfalls lassen sich ihre Zugriffsrechte nicht sauber trennen Warnung bei Ablauf des Unternehmenszertifikats Sechs Monate vor Ablauf des Unternehmenszertifikats zeigt das SafeGuard Management Center bei der Anmeldung eine Warnung an und fordert Sie dazu auf das Zertifikat zu erneuern und an die Endpoints zu bert
147. OA Benutzer een 121 19 3 L schen von POA Benutzern u s0ursnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 121 19 4 Erstellen von POA Gruppen uuneesssenensnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 121 19 5 Hinzuf gen von Benutzern zu POA Gruppen u nnnesssesnnnnnnnnnnnnnnnnnnnnnnnnnnnn 122 19 6 Entfernen von Benutzern aus POA Gruppen nessseennnnnnnnnnnnnnnnnnnnnnnnnnn 122 19 7 Zuweisen von POA Benutzern zu Endpoints 20nnnsnsnnnnnnnnnennnnnnnnn 122 19 8 Anmeldung an einem Endpoint mit einem POA Benutzer nee 124 20 Richtlinieneinstellungen u 4444444H nenne nnnnnennnnnnnnn nenn nnnnnnnnennnnnnnnn nn ennn nn 126 20 1 Allgemeine Einstellungen u n24444u044nnnnnannnnnnnnsnnnnnnnnnnnnnnnnnnannnnnnnnn nen 127 20 2 Authentisierung rs4440unnennnnannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnnnnnannnnennnnnen 132 20 3 Anlegen von Listen verbotener PINs f r die Verwendung mit Richtlinien 139 20 4 Syntaxregeln f r PINs u r200u44440nnnnannnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 139 20 5 Anlegen einer Liste verbotener Kennw rter f r die Verwendung mit Richtlinien 4 sie euere 142 20 6 Syntaxregeln f r Kennw rter esssnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nennen 143 20 7 Passphrase f r SafeGuard Data Exchange 200snnennnnnnnnnnnnnnnnnnnnnnn 147 20 8 White Lists f r Ger teschutz Richt
148. ONEN F R SPERRE DES GER TS Bildschirm nach X Minuten Leerlauf sperren Bestimmt die Zeit nach deren berschreitung ein nicht mehr benutzter Desktop automatisch gesperrt wird Der Standardwert ist 0 Minuten und der Bildschirm wird nicht gesperrt wenn dieser Wert nicht ge ndert wird Bei Entfernung des Token Bildschirm sperren Bestimmt ob der Bildschirm gesperrt wird wenn w hrend einer Arbeitssitzung der Token entfernt wird Bildschirm nach dem Fortsetzen sperren Bestimmt ob der Bildschirm bei Reaktivierung aus dem Standby Modus gesperrt wird Administratorhilfe 20 3 Anlegen von Listen verbotener PINs f r die 20 4 Verwendung mit Richtlinien F r Richtlinien des Typs PIN kann eine Liste mit verbotenen PINs angelegt werden Diese Liste definiert die Zeichenfolgen die in nicht in PINs verwendet werden d rfen PINs werden f r die Anmeldung mit Token verwendet Weitere Informationen finden Sie unter Token und Smartcards Seite 216 Die Textdateien mit den gew nschten Informationen m ssen erstellt werden bevor sie im SafeGuard Management Center registriert werden k nnen Die maximale Dateigr e f r Textdateien betr gt 50 KB SafeGuard Enterprise verwendet nur Unicode UTF 16 kodierte Texte Wenn Sie die Textdateien in einem anderen Format erstellen werden sie bei der Registrierung automatisch in dieses Format konvertiert Hinweis In den Listen werden die verbotenen PINs durch einen Zeilenum
149. Pfad C Windows Zeigt auf die Root Verzeichnisse aller Mac OS X Wechselmedien Mac OS X Stammverzeichnis Es wird nicht empfohlen Richtlinien f r das Stammverzeichnis festzulegen auch wenn dies technisch m glich ist Hinweis Verwenden Sie immer Backslashes als Separatoren auch wenn Sie Dateiverschl sselungsregeln f r Mac OS X festlegen Auf diese Weise k nnen Sie Regeln auf beiden Betriebssystemen Windows und Mac OS X anwenden Hinweis Am Mac OS X Client werden die umgekehrten Schr gstriche automatisch in Schr gstriche umgewandelt um die Anforderungen des Mac OS X Betriebssystems zu erf llen Fehler bei der Verwendung von Platzhaltern werden protokolliert Ung ltige Verschl sselungsregeln werden protokolliert und dann auf dem Endpoint verworfen 187 SafeGuard Enterprise 292 23 2 1 188 Beispiel f r eine Pfadumwandlung Der folgende Windows Pfad lt User Profile gt Dropbox personal wird auf Mac Seite konvertiert in Users lt Username gt Dropbox personal Konfigurieren von Dateiverschl sselungseinstellungen in Richtlinien vom Typ Allgemeine Einstellungen Neben den in File Encryption Richtlinien definierten Verschl sselungsregeln k nnen Sie in Richtlinien vom Typ Allgemeine Einstellungen folgende Einstellungen f r die Dateiverschl sselung konfigurieren Vertrauensw rdige Anwendungen Ignorierte Anwendungen Ignorierte Ger te Persistente Verschl sselung aktivieren Konfi
150. Richtlinie einflie t Vererbte Richtlinien k nnen durch diese Aktivierungen nicht kontrolliert werden Hierf r m sste an der lokaleren OU Richtlinienvererbung blockieren gesetzt werden damit die globalere Richtlinie hier nicht wirken kann 95 SafeGuard Enterprise 14 9 7 14 9 8 14 9 9 14 9 10 96 Benutzer Gruppeneinstellungen Richtlinieneinstellungen f r Benutzer im SafeGuard Management Center schwarz dargestellt ziehen st rker als Richtlinieneinstellungen f r Computer im SafeGuard Management Center blau dargestellt Werden bei einer Richtlinie f r Computer Benutzereinstellungen festgelegt werden diese Einstellungen durch die Richtlinie f r den Benutzer berschrieben Hinweis Nur die Benutzereinstellungen werden berschrieben Sollte eine Richtlinie f r Benutzer auch Maschineneinstellungen beinhalten blau dargestellte Einstellungen werden diese nicht von einer Benutzerrichtlinie berschrieben Beispiel 1 Wird f r eine Computergruppe die Kennwortl nge 4 definiert die Benutzergruppe hat aber f r dieselbe Einstellung den Wert 3 gilt f r diesen Benutzer auf einem Computer der Computergruppe ein Kennwort mit der L nge 3 Beispiel 2 Wird f r eine Benutzergruppe ein Serverintervall von 1 Minute definiert und f r eine Computergruppe der Wert 3 so wird der Wert 3 verwendet da es sich beim Wert 1 Minute um eine Maschineneinstellung die in einer Richtlinie f r Benutzer definiert wurde handelt
151. SOPHOS Security made simple SafeGuard Enterprise Administratorhilfe Produktversion 7 Stand Dezember 2014 Inhalt 1 ber SafeGuard Enterprise 7 0 uuuuaanaeaeeeaeannnunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnn 9 2 Empfohlene Sicherheitsma nahmen 244044444004nnnonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 11 3 ber das SafeGuard Management Center uueeennssensnsnnnnnnennnnnnnnnnnnnnnnnnnnn 14 4 Anmeldung am SafeGuard Management Center u 20usnnensnnennennnnnnnnnnnnnnnnnnnn nn 15 4 1 Warnung bei Ablauf des Unternehmenszertifikats nen 15 4 2 Anmeldung im Single Tenancy Modus 2 422404444400nnnnonnnnnennnnnnnnn nennen 15 4 3 Anmeldung im Multi Tenancy Modus u 44444444sn nn nnnnnennnnnnnnennnnnnnnnnnnnn nn 16 4 4 SafeGuard Management Center Benutzeroberfl che uueen 16 4 5 Sprache der Benutzeroberfl che ur 40srnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 18 5 Konfigurieren des SafeGuard Management Center 200snennnennnnnnnnnnnnnnnnnnnnn nn 19 5 1 Voraussetzungen neuen 19 5 2 Multi Tenancy Konfigurationen 4ssernneennennnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnn nn 19 5 3 Starten der Erstkonfiguration des SafeGuard Management Centers 20 5 4 Konfigurieren der Datenbankserver Verbindung 240rss40ss nennen 20 5 5 Erstellen oder Ausw hlen einer Datenbank
152. Sie L schen aus dem Kontextmen Der POA Benutzer wird gel scht Es wird nicht mehr im Benutzer amp Computer Navigationsfenster angezeigt Hinweis Wenn der Benutzer einer oder mehreren POA Gruppen angeh rt wird er auch aus allen Gruppen entfernt Der POA Benutzer steht jedoch noch so lange auf dem Endpoint zur Verf gung bis die Zuweisung der POA Gruppe aufgehoben wird Erstellen von POA Gruppen F r das Erstellen von POA Gruppen ben tigen Sie das Zugriffsrecht Voller Zugriff f r den POA Knoten unter Benutzer amp Computer Damit die POA Gruppen Endpoints zugewiesen werden k nnen m ssen sie in Gruppen zusammengefasst werden 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Benutzer amp Computer Navigationsbereich unter POA den Knoten POA Gruppen 3 Klicken Sie im POA Gruppen Kontextmen auf Neu gt Neue Gruppe erstellen Der Neue Gruppe erstellen Dialog wird angezeigt 4 Geben Sie im Feld Vollst ndiger Name einen Namen f r die neue POA Gruppe ein 121 SafeGuard Enterprise 19 9 19 6 19 7 122 5 Geben Sie optional eine Beschreibung ein 6 Klicken Sie auf OK Die neue POA Gruppe ist angelegt Sie wird unter POA Gruppen im Benutzer amp Computer Navigationsfenster angezeigt Sie k nnen nun POA Benutzer zur Gruppe hinzuf gen Hinzuf gen von Benutzern zu POA Gruppen F r das Bearbeiten von POA Gruppen ben tigen Sie das Z
153. Sie den gew nschten Task aus Die Schaltfl che L schen wird aktiv 3 Klicken Sie auf die Schaltfl che L schen und best tigen Sie dass Sie den Task l schen m chten Der Task wird aus der bersicht des Taskplaner Dialogs entfernt und nicht mehr auf dem SafeGuard Enterprise Server ausgef hrt Hinweis Wurde der Task in der Zwischenzeit gestartet so wird er zwar aus dem Taskplaner bersichtsdialog entfernt jedoch noch komplett ausgef hrt Mit Skripten im Taskplaner arbeiten Mit dem Taskplaner k nnen Sie Skripte importieren bearbeiten und exportieren Um mit Skripten im Taskplanerzu arbeiten ben tigen Sie die Sicherheitsbeauftragtenrechte Taskplaner benutzen und Tasks verwalten 287 SafeGuard Enterprise 34 5 1 Import von Skripts 34 9 2 288 Damit Sie ein Skript f r die Ausf hrung mit einem Task angeben k nnen m ssen Sie es importieren Sie k nnen das Skript beim Erstellen eines neuen Tasks importieren Sie k nnen auch Skripts f r bereits vorhandene Tasks importieren 1 W hlen Sie in der SafeGuard Management Center Men leiste Extras gt Taskplaner Der Dialog Taskplaner mit einer bersicht ber die geplanten Tasks wird angezeigt 2 W hlen Sie den gew nschten Task und klicken Sie auf die Schaltfl che Eigenschaften Der lt Task Name gt Eigenschaften Dialog mit den Eigenschaften des ausgew hlten Tasks wird angezeigt 3 Klicken Sie auf die Dropdown Schaltfl che Importieren neben dem
154. Sie im Navigationsfenster mit der rechten Maustaste auf Richtlinien und w hlen Sie im Kontextmen den Befehl Neu 3 W hlen Sie Ger teschutz Es wird ein Dialog f r die Benennung der neuen Richtlinie angezeigt 4 Geben Sie einen Namen und optional eine Beschreibung f r die neue Richtlinie ein 5 W hlen Sie unter Ziel des Ger teschutzes die relevante White List a Wenn Sie eine White List f r Datentr germodelle erstellt haben wird sie unter Datentr germodelle angezeigt 149 SafeGuard Enterprise 20 9 150 Wenn Sie eine White List f r bestimmte Datentr ger erstellt haben wird sie unter Einzelne Datentr ger angezeigt 6 Klicken Sie auf OK Die White List ist als Ziel der Richtlinie vom Typ Ger teschutz ausgew hlt Nach der bertragung der Richtlinie an die Endpoints gilt der in der Richtlinie festgelegte Verschl sselungsmodus Ger teschutz Richtlinien des Typs Ger teschutz enthalten Einstellungen f r die Datenverschl sselungen auf unterschiedlichen Datentr gern Die Verschl sselung kann volume oder dateibasierend durchgef hrt werden mit unterschiedlichen Schl sseln und Algorithmen Richtlinien des Typs Ger teschutz enthalten auch Einstellungen f r SafeGuard Data Exchange SafeGuard Cloud Storage und SafeGuard Portable Weitere Informationen zu SafeGuard Data Exchange finden Sie unter SafeGuard Data Exchange Seite 193 Weitere Informationen zu SafeGuard Cloud Storage finden Sie unter Cloud Storag
155. Wenn Sie Ausschlie en ausw hlen werden neue Dateien im Ordner nicht verschl sselt Sie k nnen diese Option verwenden wenn Sie zum Beispiel einen Unterordner von der Verschl sselung ausnehmen m chten dessen bergeordneter Ordner bereits von einer Regel mit der Option Verschl sseln abgedeckt ist Wenn Sie Ignorieren ausw hlen werden die Dateien im Ordner von File Encryption nicht beachtet Neue Dateien werden im Klartext gespeichert Wenn ein Benutzer auf bereits verschl sselte Dateien in diesem Ordner zugreift wird der verschl sselte Inhalt angezeigt Dabei spielt es keine Rolle ob der Benutzer den erforderlichen Schl ssel hat oder nicht W hlen Sie in der Spalte Schl ssel den Schl ssel der f r den Verschl sseln Modus verwendet werden soll Sie k nnen Schl ssel verwenden die in Benutzer amp Computer erstellt und angewendet wurden a Klicken Sie auf die Browse Schaltfl che um den Dialog Schl ssel suchen zu ffnen Klicken Sie auf Jetzt suchen um eine Liste mit allen verf gbaren Schl sseln aufzurufen W hlen Sie den gew nschten Schl ssel aus Hinweis Computerschl ssel werden in dieser Liste nicht angezeigt Sie k nnen von File Encryption nicht benutzt werden da sie nur auf einem einzelnen Computer verf gbar sind Mit diesen Schl ssel k nnen daher Benutzergruppen nicht auf dieselben Daten zugreifen a Klicken Sie auf die Schaltfl che Pers nlicher Schl ssel mit dem Schl sselsymbol um den Platzhalte
156. afeGuard Management Center oder auf einem anderen Computer installiert ist Sie k nnen auch weitere Eigenschaften festlegen So lassen sich z B zus tzliche Sicherheitsbeauftragte f r den ausgew hlten Server hinzuf gen Sie k nnen auch die Verbindung zur Datenbank konfigurieren Registrieren und Konfigurieren des SafeGuard Enterprise Server f r den aktuellen Computer Wenn Sie das SafeGuard Management Center und SafeGuard Enterprise Server auf dem Computer mit dem Sie derzeit arbeiten installiert haben registrieren und konfigurieren Sie den SafeGuard Enterprise Server Hinweis Wenn Multi Tenancy installiert ist steht diese Option nicht zur Verf gung 1 Starten Sie das SafeGuard Management Center 2 Klicken Sie im Extras Men auf Konfigurationspakete 3 W hlen Sie die Registerkarte Server und klicken Sie auf Diesen Computer zum SGN Server machen 4 W hlen Sie die Registerkarte Server und klicken Sie auf Optionen Das SafeGuard Enterprise Server Configuration Setup wird automatisch gestartet 5 bernehmen Sie in allen folgenden Dialogen die Standardeinstellungen Der SafeGuard Enterprise Server ist installiert Ein Server Konfigurationspaket mit der Bezeichnung lt Server gt msi wird erstellt und direkt auf dem aktuellen Computer installiert Die Serverinformationen werden in der Registerkarte Server angezeigt Sie k nnen zus tzliche Konfigurationsschritte durchf hren Hinweis Wenn Sie ein neues Server Kon
157. afeGuard Enterprise 21 29 21 2 5 1 21 2 5 2 174 native SafeGuard Enterprise Clients Der Computertyp l sst sich ber die Registerkarte Bestand eines Containers unter Benutzer und Computer ermitteln Die Spalte Verschl sselungstyp zeigt an ob es sich bei dem betreffenden Computer um einen BitLocker Client handelt Die zentrale und vollst ndig transparente Verwaltung von BitLocker durch SafeGuard Enterprise erm glicht somit die Anwendung in heterogenen IT Umgebungen SafeGuard Enterprise erweitert die Funktionalit t von BitLocker signifikant ber SafeGuard Enterprise lassen sich die Sicherheitsrichtlinien f r BitLocker zentral ausrollen Bei der Verwaltung von BitLocker ber SafeGuard Enterprise stehen dar ber hinaus u erst wichtige Prozesse wie Schl sselverwaltung und Schl ssel Recovery zur Verf gung Informationen zur SafeGuard Enterprise Unterst tzung der BitLocker To Go Erweiterung in Windows 7 und 8 finden Sie unter BitLocker To Go Seite 177 Verschl sselung mit dem von SafeGuard Enterprise verwalteten BitLocker Mit der BitLocker Drive Encryption Unterst tzung in SafeGuard Enterprise k nnen Sie Boot Volumes und Daten Volumes mit BitLocker Verschl sselung und Schl sseln verschl sseln Dar ber hinaus k nnen Daten z B von Wechselmedien mit SafeGuard Enterprise dateibasierender Verschl sselung und SafeGuard Enterprise Schl sseln verschl sselt werden Dies ist keine BitLocker Funktion wird aber von
158. ainer Objekte Das hei t Kein berschreiben eines bergeordneten Containers berschreibt die Richtlinieneinstellungen eines untergeordneten Containers So kann z B eine Dom nenrichtlinie definiert werden deren Einstellungen nicht berschrieben werden k nnen auch nicht wenn f r eine OU Richtlinienvererbung blockieren gesetzt wurde Hinweis Wurde auf gleicher Ebene eine Richtlinie mit niedriger Priorit t aber mit der Option Kein berschreiben zugeordnet so zieht die Richtlinie trotz niedrigerer Priorit t gegen ber den Richtlinien mit der h heren Priorit t Einstellungen in Richtlinien 14 9 12 1 Computereinstellungen wiederholen 14 9122 Sie finden diese Einstellung unter Richtlinien gt Richtlinie vom Typ Allgemeine Einstellungen gt Laden der Einstellungen gt Richtlinien Loopback Wird bei einer Richtlinie vom Typ Allgemeine Einstellungen bei der Option Richtlinien Loopback die Einstellung Computereinstellungen wiederholen ausgew hlt und die Richtlinie kommt von einem Computer Computereinstellungen wiederholen hat f r eine Benutzerrichtlinie keine Auswirkung wird diese Richtlinie am Ende der Auswertung noch einmal ausgef hrt Dadurch werden etwaige Benutzereinstellungen wieder berschrieben und es gelten die Computereinstellungen F r das neuerliche Schreiben werden s mtliche Computereinstellungen die der Computer direkt oder indirekt bekommt auch von Richtlinien die beim Richtlinien Loopback Comput
159. aktivieren Die Unterst tzung der virtuellen Tastatur muss ber eine Richtlinieneinstellung aktiviert deaktiviert werden F r die virtuelle Tastatur werden verschiedene Layouts angeboten und das Layout kann mit den gleichen Einstellungen wie das normale Tastaturlayout ge ndert werden ndern des Tastaturlayouts Das normale einschlie lich des virtuellen Tastaturlayouts der SafeGuard Power on Authentication kann nachtr glich ge ndert werden 1 W hlen Sie Start gt Systemsteuerung gt Regions und Sprachoptionen gt Erweitert 2 W hlen Sie auf der Registerkarte Regionale Einstellungen die gew nschte Sprache aus 3 W hlen Sie dann auf der Registerkarte Erweitert unter Standardeinstellungen f r Benutzerkonten die Option Alle Einstellungen auf das aktuelle Benutzerkonto und Standardbenutzerprofil anwenden 4 Klicken Sie auf OK Die SafeGuard POA merkt sich das bei der letzten erfolgreichen Anmeldung verwendete Tastaturlayout und aktiviert dieses beim n chsten Anmelden automatisch Hierzu sind zwei Neustarts des Endpoint notwendig Wenn dieses gemerkte Tastaturlayout ber die Regions und Sprachoptionen abgew hlt wird bleibt es dem Anwender noch so lange erhalten bis er eine andere Sprache ausgew hlt hat Hinweis Zus tzlich ist es notwendig die Sprache des Tastatur Layouts f r andere nicht Unicode Programme zu ndern Falls die gew nschte Sprache nicht auf dem Endpoint vorhanden ist werden Sie von Windows e
160. alten oder Daten auf ausgestellten Token zu ndern ben tigen Sie das Zugriffsrecht Voller Zugriff f r die relevanten Benutzer Die Ansicht Ausgestellte Token zeigt die Token f r alle Benutzer f r die Sie die Zugriffsrechte Schreibgesch tzt oder Voller Zugriff haben 27 4 Vorbereitung f r die Benutzung von Token 220 Die folgenden vorbereitenden Ma nahmen sind f r die Unterst tzung von Token Smartcards in SafeGuard Enterprise notwendig Initialisierung leerer Token Installation der Middleware 27 4 1 27 4 2 27 4 3 27 5 Administratorhilfe Aktivierung der Middleware Initalisieren eines Token Bevor ein leerer unformatierter Token in SafeGuard Enterprise bentutzt werden kann muss er nach den Angaben des Token Herstellers f r die Verwendung vorbereitet also initialisiert werden Bei der Initialisierung wird er mit Basisinformationen z B den Standard PINs beschrieben Dies erfolgt mit der Initialisierungssoftware des Herstellers Weitere Informationen finden Sie in der Dokumentation des relevanten Token Herstellers Installation von Middleware Installieren Sie die korrekte Middleware sowohl auf dem Computer auf dem das SafeGuard Management Center installiert ist als auch auf dem relevanten Endpoint falls noch nicht geschehen Informationen ber unterst tzte Middleware finden Sie unter Unterst tzte Middleware Seite 218 Starten Sie die Computer auf denen Sie die neue Middleware installie
161. an um spezifische Ger te von der Verschl sselung auszuschlie en Dies ist zum Beispiel n tzlich wenn Sie Systeme von Dritt Anbietern ausschlie en m ssen Hinweis Sie k nnen die Namen der derzeit im System benutzten Ger te mit Tools von Dritt Anbietern z B OSR Device Tree anzeigen lassen SafeGuard Enterprise protokolliert alle Ger te mit denen eine Verbindung hergestellt wird Mit Hilfe von Registry Keys k nnen Sie eine Liste von verbundenen und ignorierten Ger ten aufrufen Weitere Informationen finden Sie unter Anzeige von ignorierten und verbundenen Ger ten f r die File Encryption Konfiguration Seite 190 Sie k nnen einzelne Netzwerk Festplattenlaufwerke von der Verschl sselung ausschlie en in dem Sie eine File Encryption Verschl sselungsregel in einer File Encryption Richtlinie erstellen und den Modus f r die Verschl sselung auf Ignorieren einstellen Sie k nnen diese Einstellung nur auf durch Windows verwaltete Laufwerke nicht auf Mac OS X Volumes 189 SafeGuard Enterprise 23221 23 23 29 9 23 3 1 190 Anzeigen von ignorierten und verbundenen Ger ten f r die File Encryption Konfiguration Als Hilfestellung f r die Definition von ignorierten Ger ten k nnen Sie mit Registry Keys ermitteln welche Ger te f r die Verschl sselung in Betracht gezogen werden verbundene Ger te und welche Ger te derzeit ignoriert werden Die Liste mit ignorierten Ger ten enth lt nur Ger te die tats chl
162. anagement Center 1 Initialisierung leerer Token Weitere Informationen finden Sie unter Initialisierung von Token Seite 221 2 Installation der Middleware Weitere Informationen finden Sie unter Installation von Middleware Seite 221 3 Aktivierung der Middleware Weitere Informationen finden Sie unter Aktivierung von Middleware Seite 221 4 Ausstellen von Token f r Benutzer und Sicherheitsbeauftragte Weitere Informationen finden Sie unter Ausstellen eines Token Seite 221 5 Konfigurieren des Anmeldemodus Weitere Informationen finden Sie unter Konfiguration des Anmeldemodus Seite 223 6 Konfigurieren weiterer Token Einstellungen zum Beispiel Syntaxregeln f r PINs Weitere Informationen finden Sie unter Verwalten von PINs Seite 228 und Verwalten von Token und Smartcards Seite 229 7 Zuweisen von Zertifikaten und Schl sseln zu Token Benutzern Weitere Informationen finden Sie unter Zuweisung von Zertifikaten Seite 225 Sie k nnen auch einen bereits mit Daten einer anderen Anwendung versehenen Token zur Authentisierung verwenden sofern gen gend freier Speicherplatz f r die Zertifikate und Anmeldeinformationen darauf vorhanden ist F r die einfache Token Verwaltung bietet SafeGuard Enterprise folgende Funktionen a Token Informationen anzeigen und filtern a PINs initialisieren ndern zur cksetzen und sperren a Token Daten lesen und l schen a Token sperren Hinweis Um Token auszustellen und zu verw
163. anagement Center keine Zuweisung vorgenommen und kein Benutzer als Besitzer festgelegt wird der Benutzer der sich als erster nach der Installation von SafeGuard Enterprise an den Computer anmeldet als Besitzer eingetragen Dieser Benutzer kann weiteren Benutzern die Anmeldung an diesem Computer erm glichen siehe Registrieren weiterer SafeGuard Enterprise Benutzer Seite 106 Werden im SafeGuard Management Center diesem Computer nachtr glich Benutzer zugewiesen so k nnen sich diese dann auch in der SafeGuard Power On Authentication anmelden Voraussetzung daf r ist allerdings dass es sich um komplette Benutzer deren Zertifikat und Schl ssel bereits existieren handelt Die Erlaubnis durch den Besitzer des Computers ist dann nicht notwendig ber folgende Einstellungen kann festgelegt werden wem es erlaubt ist weitere Benutzer in die UMA aufzunehmen Kann Besitzer werden Die Auswahl dieser Einstellung ist Voraussetzung daf r dass ein Benutzer als Besitzer eines Computers eingetragen werden kann Benutzer ist Besitzer Ist diese Einstellung ausgew hlt wird dieser Benutzer als Besitzer in die UMA eingetragen Es kann jeweils nur ein Benutzer pro Computer als Besitzer in der UMA eingetragen werden Wer Benutzer in die UMA aufnehmen darf wird zus tzlich ber die Richtlinieneinstellung Registrieren von neuen SGN Benutzern erlauben in einer Richtlinie vom Typ Spezifische Computereinstellungen gesteuert Die Einstellung Registrierun
164. anzeigen lassen und es weiterhin zur Anmeldung verwenden Dadurch wird ein R cksetzen des Kennworts vermieden Au erdem muss der Helpdesk nicht um Hilfe gebeten werden Wenn das Kennwort ber ein Challenge Response Verfahren wiederhergestellt wird muss das Kennwort zur ckgesetzt werden 1 Das Challenge Response Verfahren erm glicht das Booten des Computers durch die SafeGuard Power on Authentication 2 Da Ihnen das Kennwort nicht bekannt ist k nnen der Benutzer es im Windows Dialog nicht eingeben Das Kennwort muss auf Windows Ebene zur ckgesetzt werden Hierzu 29 2 7 2 Administratorhilfe sind weitere Recovery Vorg nge au erhalb von SafeGuard Enterprise erforderlich die ber Windows Standard Verfahren durchgef hrt werden m ssen Hinweis Wir empfehlen das Kennwort vor dem Challenge Response Verfahren nicht zentral im Active Directory zur ckzusetzen Dadurch wird gew hrleistet dass das Kennwort zwischen Windows und SafeGuard Enterprise synchron bleibt Stellen Sie sicher dass der Windows Helpdesk entsprechend informiert ist Wir empfehlen die folgenden Methoden f r das Zur cksetzen des Kennworts auf Windows Ebene ber ein Service Benutzerkonto oder ein Administratorkonto mit den erforderlichen Windows Rechten auf dem Endpoint ber eine Windows Kennwortr cksetz Diskette auf dem Endpoint Als Helpdesk Beauftragter k nnen Sie den Benutzer dar ber informieren welche Methode benutzt werden soll und ihm die
165. ard AES Algorithmen AES 128 AES 256 212 3 21 2 5 4 Administratorhilfe AES 128 mit Diffuser und AES 256 mit Diffuser werden nicht mehr unterst tzt Laufwerke die bereits mit einem Algorithmus mit Diffuser verschl sselt wurden k nnen mit SafeGuard Enterprise verwaltet werden Verschl sselungsrichtlinien f r die BitLocker Laufwerkverschl sselung Der Sicherheitsbeauftragte kann eine Richtlinie f r die Erst Verschl sselung im SafeGuard Management Center anlegen und diese an die BitLocker Endpoints verteilen Die Richtlinie wird daraufhin auf den Endpoints ausgef hrt Die in der Richtlinie angegebenen Laufwerke werden daraufhin mit BitLocker verschl sselt Da die BitLocker Clients im SafeGuard Management Center transparent verwaltet werden muss der Sicherheitsbeauftragte keine speziellen BitLocker Einstellungen f r die Verschl sselung vornehmen SafeGuard Enterprise kennt den Status der Clients und w hlt die BitLocker Verschl sselung entsprechend Wird ein BitLocker Client mit SafeGuard Enterprise installiert und wird die Volume Verschl sselung aktiviert so werden die Volumes durch die BitLocker Laufwerkverschl sselung verschl sselt Ein BitLocker Endpoint verarbeitet Richtlinien vom Typ Ger teschutz und Authentisierung Die folgenden Einstellungen werden am Endpoint ausgewertet Einstellungen in einer Richtlinie des Typs Ger teschutz Ziel Lokale Datentr ger Interner Speicher Boot Laufwerke Ande
166. ard Portable wird der Benutzer dazu aufgefordert die Passphrase einzugeben die beim Erzeugen des Schl ssels angegeben wurde Wenn dem Benutzer die Passphrase bekannt ist kann er die Datei ffnen 193 SafeGuard Enterprise 24 3 194 Mit SafeGuard Portable erh lt jeder Benutzer der die entsprechende Passphrase kennt Zugang zu verschl sselten Dateien auf Wechselmedien Auf diese Weise ist ein Austausch von verschl sselten Daten mit Partnern die SafeGuard Enterprise nicht installiert haben m glich Sie ben tigen lediglich SafeGuard Portable sowie die Passphrase f r die Dateien auf die sie zugreifen sollen Durch Verwendung von verschiedenen lokalen Schl sseln f r die Verschl sselung von Dateien auf Wechselmedien l sst sich der Zugang zu den Dateien sogar selektiv einschr nken Zum Beispiel Sie verschl sseln die Dateien auf einem USB Stick mit einem Schl ssel mit der Passphrase mein_lokalerSchl ssel F r eine einzelne Datei mit dem Dateinamen F rPartner doc verwenden Sie die Passphrase partner_lokalerSchl ssel Wenn Sie den USB Stick nun an einen Partner weitergeben und ihm die Passphrase partner_lokalerSchl ssel mitteilen hat dieser nur Zugriff auf die Datei F rPartner doc Hinweis Standardm ig wird SafeGuard Portable automatisch auf die am System angeschlossenen Wechselmedien kopiert sobald Inhalte auf die von einer Verschl sselungsregel abgedeckten Medien geschrieben werden Um SafeGuard Portable nicht auf d
167. arf seinen Windows Benutzernamen gleichzeitig als Passphrase verwenden White Lists f r Ger teschutz Richtlinien f r dateibasierende Verschl sselung Im SafeGuard Management Center k nnen Sie White Lists als Ziele f r Richtlinien des Typs Ger teschutz f r dateibasierende Verschl sselung ausw hlen Somit k nnen Sie Verschl sselungsrichtlinien f r spezifische Ger temodelle und sogar f r spezifische Ger te erstellen Damit Sie eine White List als Ziel f r eine Ger teschutz Richtlinie ausw hlen k nnen m ssen Sie die Liste im SafeGuard Management Center anlegen Sie k nnen White Lists f r spezifische Ger temodelle z B iPod USB Ger te eines bestimmten Herstellers usw oder f r einzelne Ger te nach Seriennummer definieren Sie k nnen die Ger te manuell zu den White Lists hinzuf gen oder die Ergebnisse eines SafeGuard Port Auditor Scan Vorgangs verwenden Weitere Informationen finden Sie im SafeGuard PortAuditor User Guide Sie k nnen dann die White List als Ziel beim Anlegen einer Richtlinie vom Typ Ger teschutz ausw hlen Hinweis Wenn Sie eine White List f r eine Richtlinie vom Typ Ger teschutz als Ziel ausw hlen k nnen Sie als Verschl sselungsmodus f r Medien nur Keine Verschl sselung oder Dateibasierend ausw hlen Wenn Sie Keine Verschl sselung f r eine Ger teschutz Richtlinie mit einer White List ausw hlen wird durch diese Richtlinie ein Ger t dann nicht von der Verschl sselung ausgenommen
168. ate Change Orders Company Certificate Change Orders CCOs werden in folgenden F llen verwendet Zum Erneuern des Unternehmenszertifikats wenn dieses bald abl uft Die Erneuerung des Unternehmenszertifikats ist f r zentral verwaltete Endpoints und Standalone Endpoints m glich Der Vorgang kann jedoch nur von der Management Konsole aus ausgel st werden Zum Verschieben von Standalone Endpoints in eine andere Umgebung wenn Sie zum Beispiel zwei verschiedene Sophos SafeGuard Umgebungen haben und Sie diese in eine Sophos SafeGuard Umgebung zusammenf hren m chten Eine der beiden Umgebungen muss hier jeweils die Ziel Umgebung sein Hierzu wird das Unternehmenszertifikat der Endpoints einer Umgebung durch das Unternehmenszertifikat der Zielumgebung ausgetauscht Hinweis Nur Haupt Sicherheitsbeauftragte sind zum Erzeugen von CCOs berechtigt Um andere Sicherheitsbeauftragte dazu zu berechtigen CCOs zu erzeugen muss der Hauptsicherheitsbeauftragte eine benutzerdefinierte Rolle erstellen und dieser das Recht CCOs verwalten zuweisen 13 1 Erneuern des Unternehmenszertifikats 84 Ein Unternehmenszertifikat das bald abl uft kann im SafeGuard Management Center erneuert werden Sechs Monate vor Ablauf des Unternehmenszertifikat wird bei jeder Anmeldung an das SafeGuard Management Center eine Warnung angezeigt Ohne g ltiges Unternehmenszertifikat k nnen Endpoints keine Verbindung mit dem Server herstellen Die Erneuerung des Unterne
169. ateien sowie f r den Zertifikatsspeicher m ssen Ihnen bekannt sein Hinweis Diese Art der Wiederherstellung ist nur dann zu empfehlen wenn keine g ltige Sicherungskopie der Datenbank verf gbar ist Alle Computer die mit einem Backend verbunden sind das auf diese Weise wiederhergestellt wurde verlieren ihre Benutzer Computer Zuordnung Dies f hrt zu einer vor bergehenden Deaktivierung der SafeGuard Power on Authentication Challenge Response Mechanismen stehen erst dann wieder zur Verf gung wenn der entsprechende Endpoint seine Schl sselinformationen wieder erfolgreich bertragen hat So stellen Sie eine besch digte Datenbankkonfiguration wieder her 1 7 Installieren Sie das SafeGuard Management Center Installationspaket neu ffnen Sie das SafeGuard Management Center Der Konfigurationsassistent wird automatisch ge ffnet W hlen Sie unter Datenbank Verbindung die Option Neue Datenbank erstellen Konfigurieren Sie unter Datenbankeinstellungen die Verbindung zur Datenbank Klicken Sie auf Weiter W hlen Sie unter Daten des Sicherheitsbeauftragten den relevanten Haupt Sicherheitsbeauftragten und klicken Sie auf Importieren Suchen Sie unter Importieren des Zertifikats die gesicherte Zertifikatsdatei Geben Sie unter Schl sseldatei das f r diese Datei festgelegte Kennwort ein und best tigen Sie es Klicken Sie auf OK Das Zertifikat des Haupt Sicherheitsbeauftragten wird importiert Klicken Sie auf Weiter Aktivieren
170. aten Schl ssel der vom Server bei Bedarf erzeugt wird Lokale Benutzer erhalten keine weiteren Schl ssel der ihnen bergeordneten Container auch keinen Root Schl ssel Arbeitsgruppen erhalten gar keine Schl ssel Richtlinien f r autoregistrierte Objekte F r autoregistrierte Objekte k nnen ohne Einschr nkung Richtlinien erstellt werden Lokale Benutzer werden zur Gruppe authentisierte Benutzer hinzugef gt Computer werden zur Gruppe authentisierte Computer hinzugef gt Dementsprechend gelten f r sie die Richtlinien die f r diese Gruppe aktiviert wurden Erzeugen von Arbeitsgruppen Als Sicherheitsbeauftragter mit den erforderlichen Rechten k nnen Sie unter dem Stammverzeichnis einen Container erzeugen der eine Windows Arbeitsgruppe repr sentiert Arbeitsgruppen erhalten keine Schl ssel Sie k nnen nicht umbenannt werden 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Rechts klicken Sie im linken Navigationsfenster auf Stamm Filter ist aktiv und w hlen Sie im Kontextmen Neu gt Neue Arbeitsgruppe erzeugen autom Registrierung 10 2 6 10 2 7 Administratorhilfe 3 Gehen Sie in Allgemeine Informationen wie folgt vor a Geben Sie einen vollst ndigen Namen f r die Arbeitsgruppe ein b Sie k nnen optional eine Beschreibung hinzuf gen c Im Feld Verbindungsstatus wird der Typ des Objekts angezeigt in diesem Fall Arbeitsgruppe d Aktivieren Sie Richtli
171. auf Schl ssel amp Zertifikate Klicken Sie im Navigationsfenster auf der linken Seite zun chst auf Virtuelle Clients und dann auf Exportierte Schl sseldateien Klicken Sie in der Symbolleiste auf Schl ssel in eine Schl sseldatei exportieren Geben Sie im Dialog Schl ssel in eine Schl sseldatei exportieren folgende Informationen ein a Verzeichnis Klicken Sie auf um einen Speicherort f r die Schl sseldatei auszuw hlen b Dateiname Die Schl sseldatei ist mit einem Zufallskennwort verschl sselt das hier angezeigt wird Sie k nnen den hier angezeigten Namen nicht ndern c Klicken Sie auf Schl ssel hinzuf gen oder Schl ssel entfernen um Schl ssel hinzuzuf gen oder zu entfernen Ein Popup Fenster in dem Sie nach den gew nschten Schl sseln suchen und diese ausw hlen k nnen wird angezeigt Klicken Sie auf OK um die Auswahl zu best tigen d Klicken Sie auf OK um Ihre Angaben zu best tigen Verteilen Sie diese Schl sseldatei an die betreffende Endpoint Umgebung Sie muss vor der Eingabe des Response Codes auf dem Endpoint zur Verf gung stehen Virtuelle Clients anzeigen und Ansicht filtern Um Ihnen das Auffinden des erforderlichen virtuellen Clients oder Schl ssels w hrend eines Challenge Response Verfahrens zu erleichtern bietet der Bereich Schl ssel und Zertifikate des SafeGuard Management Centers verschiedene Filter und Suchfunktionalit ten 12 5 5 Ansichten f r virtuelle Clien
172. b des Blocks der den Fehler enth lt der Text Ung ltige Challenge angezeigt 5 W hlen Sie die vom Benutzer durchzuf hrende Aktion aus und klicken Sie auf Weiter 6 Es wird ein Response Code erzeugt Teilen Sie den Response Code dem Benutzer mit Hierzu steht eine Buchstabierhilfe zur Verf gung Sie k nnen den Response Code auch in die Zwischenablage kopieren Der Benutzer kann den Response Code eingeben die angeforderte Aktion ausf hren und dann wieder mit dem Computer arbeiten Recovery f r BitLocker Abh ngig vom System bietet SafeGuard Enterprise ein Challenge Response Verfahren f r die Recovery oder die M glichkeit beim Helpdesk den Recovery Schl ssel zu beschaffen Informationen dar ber welche Voraussetzungen f r SafeGuard Enterprise Challenge Response erf llt sein m ssen finden Sie unter Voraussetzungen f r die Verwaltung von BitLocker auf Endpoints Seite 172 Response f r mit BitLocker verschl sselte SafeGuard Enterprise Clients UEFI Endpoints F r UEFI Endpoints die bestimmte Voraussetzungen erf llen bietet SafeGuard Enterprise ein Challenge Response Verfahren zum Recovery Auf UEFI Endpoints die die Voraussetzungen nicht erf llen wird automatisch SafeGuard BitLocker ohne Challenge Response installiert Informationen ber die Wiederherstellung dieser Endpoints finden Sie unter Recovery Schl ssel f r mit BitLocker verschl sselte SafeGuard Enterprise Clients BIOS Endpoints Seite 255 1 W
173. bene Element existiert bereits Das Kennwort ist zu kurz 316 Fehler ID 30089 Administratorhilfe Anzeige Das Kennwort ist zu lang 30090 Ein Element z B ein Zertifikat ist abgelaufen 30091 Das Kennwort ist nicht gesperrt 30092 Der Pfad konnte nicht gefunden werden 30093 Das Datenverzeichnis ist nicht leer 30094 Keine weiteren Daten verf gbar 30095 Auf dem Medium ist kein Speicherplatz mehr verf gbar 30096 Eine Operation wurde abgebrochen 30097 Read Only Daten eine Schreiboperation ist fehlgeschlagen 12451840 Der Schl ssel ist nicht verf gbar 12451842 Der Schl ssel ist nicht definiert 12451842 Zugriff auf unverschl sseltes Medium verweigert 12451843 Zugriff auf unverschl sseltes Medium verweigert wenn nicht es nicht leer ist 352321637 Die Datei ist nicht verschl sselt 352321638 Der Schl ssel ist nicht verf gbar 352321639 Der richtige Schl ssel ist nicht verf gbar 352321640 Checksummerfehler im Datei Header 352321641 Fehler in CBI Funktion 352321642 Ung ltiger Dateiname 352321643 Fehler beim Lesen Schreiben der tempor ren Datei 352321644 Zugriff auf unverschl sselte Dateien ist nicht erlaubt 352321645 Key Storage Area KSA voll 352321646 Die Datei ist bereits mit einem anderen Algorithmus verschl sselt
174. bereich stehen verschiedene Registerkarten zur Verf gung mit deren Hilfe die Objekte bearbeitet und die Einstellungen vorgenommen werden k nnen Informationen zu den ausgew hlten Objekten werden ebenfalls im Aktionsbereich angezeigt Dazugeh rige Ansichten Associated Views In diesen Ansichten werden zus tzliche Objekte und Informationen angezeigt Diese geben einerseits n tzliche Informationen bei der Verwaltung des Systems und unterst tzen die einfache Bedienung Sie k nnen zum Beispiel Objekten Schl ssel per Drag and Drop zuweisen 17 SafeGuard Enterprise 18 4 9 Symbolleiste Hier befinden sich Symbole f r die verschiedenen Aktionen im SafeGuard Management Center Die Symbole werden eingeblendet wenn sie f r das ausgew hlte Objekt zur Verf gung stehen Nach der Anmeldung wird das SafeGuard Management Center immer in der Ansicht gestartet in der es geschlossen wurde Sprache der Benutzeroberfl che Sie k nnen die Sprache der Benutzeroberfl che w hrend der Installation des SafeGuard Management Center sowie der SafeGuard Enterprise Verschl sselungssoftware am Endpoint steuern Sprache des SafeGuard Management Center So stellen Sie die Sprache das SafeGuard Management Center ein Klicken Sie in der SafeGuard Management Center Men leiste auf Extras gt Optionen gt Allgemein Klicken Sie auf Benutzerdefinierte Sprache verwenden und w hlen Sie eine verf gbare Sprache aus Die Sprachen Englisch Deut
175. bruch voneinander getrennt So registrieren Sie die Textdateien 1 Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Texte und w hlen Sie Neu gt Text 2 Geben Sie unter Textelementname einen Namen f r den anzeigenden Text ein 3 Klicken Sie auf um die zuvor erstellte Textdatei auszuw hlen Wenn eine Konvertierung notwendig ist wird eine entsprechende Meldung angezeigt 4 Klicken Sie auf OK Das neue Textelement wird als Unterknoten des Eintrags Texte im Richtlinien Navigationsbereich angezeigt Ist ein Textelement markiert wird sein Inhalt im Aktionsbereich auf der rechten Seite angezeigt Das Textelement kann jetzt beim Erstellen von Richtlinien ausgew hlt werden Um weitere Textelemente zu registrieren gehen Sie wie beschrieben vor Alle registrierten Textelemente werden als Unterknoten angezeigt Hinweis Mit der Schaltfl che Text ndern k nnen Sie weiteren Text zum bestehenden Text hinzuf gen Es wird ein Dialog ge ffnet in dem eine weitere Textdatei ausgew hlt werden kann Der in dieser Datei enthaltene Text wird am Ende des bestehenden Texts eingef gt Syntaxregeln f r PINs In Richtlinien vom Typ PIN definieren Sie Einstellungen f r Token PINs Diese Einstellungen gelten nicht f r PINs die zum Anmelden bei mit BitLocker verschl sselten Endpoints verwendet werden Weitere Informationen zu BitLocker PINs finden Sie unter PIN und Kennw rter Seite 170 PINs k nnen sowo
176. ch den Token generieren lassen wenn zum Beispiel keine Zertifikatsinfrastruktur vorhanden ist Hinweis Wird der private Teil des Zertifikats allein auf den Token geschrieben hat der Benutzer nur mit dem Token Zugriff auf seinen privaten Schl ssel Der private Schl ssel befindet sich dann nur noch auf dem Token Wenn der Token verloren geht ist der Zugriff auf den privaten Schl ssel nicht mehr m glich Voraussetzung Der Token ist ausgestellt 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Stecken Sie den Token an der USB Schnittstelle ein SafeGuard Enterprise liest den Token ein 3 Markieren Sie den Benutzer f r den Sie ein Zertifikat generieren wollen und ffnen Sie im rechten Arbeitsbereich die Registerkarte Zertifikat 4 Klicken Sie auf das Symbol Neues Zertifikat generieren und Token zuweisen in der SafeGuard Management Center Symbolleiste Beachten Sie dass die Schl ssell nge auf die Tokengr e abgestimmt sein muss 5 W hlen Sie den Slot aus und geben Sie die Token PIN ein 6 Klicken Sie auf Erzeugen Das Zertifikat wird durch den Token generiert und dem Benutzer zugewiesen 225 SafeGuard Enterprise 27 7 2 Zuweisen von Token Zertifikaten zu einem Benutzer 27 1 3 226 Voraussetzungen Der Token ist ausgestellt Sie haben das Zugriffsrecht Voller Zugriff f r den relevanten Benutzer So weisen Sie ein auf einem Token verf gbares Zertifikat einem Benutzer zu 1
177. ch jeder Anmeldung angezeigt F r Wechselmedien wird sie angezeigt wenn die Wechselmedien mit dem Computer verbunden werden Wenn Sie f r diese Option Ja Benutzereinstellungen merken ausw hlen k nnen die Benutzer die Option Einstellungen speichern und Dialog nicht mehr anzeigen w hlen um ihre Auswahl f r das relevante Ger t zu speichern In diesem Fall wird der Dialog f r das Ger t nicht mehr angezeigt Wenn der Benutzer im auf dem Endpoint angezeigten Dialog Nein w hlt wird weder eine initiale noch eine transparente Verschl sselung durchgef hrt 20 10 Spezifische Computereinstellungen Grundeinstellungen Richtlinieneinstellungen POWER ON AUTHENTICATION POA Power on Authentication aktivieren Erkl rung Definiert ob die SafeGuard POA ein oder ausgeschaltet sein soll Wichtig Aus Sicherheitsgr nden empfehlen wir dringend die SafeGuard POA eingeschaltet zu lassen Durch Deaktivierung der SafeGuard POA reduziert sich die Systemsicherheit auf den Schutz durch die Windows Anmeldung Dadurch erh ht sich das Risiko des unberechtigten Zugriffs auf verschl sselte Daten Zugriff verweigern falls keine Verbindung zum Server in Tagen 0 keine berpr fung SICHERESWAKE ON LAN WOL 156 Verweigert eine Anmeldung in der SafeGuard POA wenn zwischen Endpoint und Server l nger als festgelegt keine Verbindung bestand Mit den Sicheres Wake On LAN Einstellungen k nnen Sie Endpoints f r So
178. che Autorisierung auch Vier Augen Prinzip genannt kann spezifischen Aktionen einer Rolle zugeordnet werden Das bedeutet dass der Benutzer dieser Rolle eine bestimmte Aktion nur ausf hren darf wenn ein Benutzer einer weiteren Rolle anwesend ist und die Ausf hrung der Aktion best tigt Jedes Mal wenn ein Benutzer diese Aktion ausf hrt muss ein anderer Benutzer sie best tigen Die zus tzliche Autorisierung l sst sich sowohl vordefinierten als auch benutzerdefinierten Rollen zuweisen Sobald es zumindest noch einen Beauftragten mit der gleichen Rolle gibt kann auch die eigene Rolle ausgew hlt werden Die Rolle die die zus tzliche Autorisierung durchf hren soll muss einem Benutzer zugewiesen sein und es m ssen mindestens zwei Benutzer in der SafeGuard Datenbank vorhanden sein Wenn die zus tzliche Autorisierung f r eine Aktion erforderlich ist ist sie auch dann erforderlich wenn der Benutzer eine weitere Rolle hat die die zus tzliche Autorisierung f r diese Aktion nicht erfordert Wenn ein Sicherheitsbeauftragter ohne Berechtigung zum ndern der Einstellungen f r die zus tzliche Autorisierung eine Rolle anlegt werden die Einstellungen f r die zus tzliche Autorisierung der neuen Rolle gem den definierten Einstellungen f r den anlegenden Benutzer voreingestellt 55 SafeGuard Enterprise 11 2 11 3 56 Anlegen einer neuen Rolle Voraussetzung Um eine neue Rolle anzulegen ben tigen Sie das Recht benutzer
179. chiebt den Rest in die Tabelle EVENT_BACKURP Die Anzahl an Ereignissen die in der EVENT Tabelle verbleiben sollen wird ber einen Parameter festgelegt Um die gespeicherte Prozedur auszuf hren verwenden Sie folgenden Befehl in SQL Server Management Studio New Query exec spShrinkEventTable 1000 279 SafeGuard Enterprise Bei Verwendung dieses Beispielbefehls werden alle Ereignisse au er den neuesten 1000 verschoben 33 13 2 Anlegen eines Scheduled Job f r die Ausf hrung der gespeicherten Prozedur Um die EVENT Tabelle in regelm igen Abst nden automatisch zu s ubern k nnen Sie einen Job am SQL Server anlegen Dieser Job kann ber das Skript ScheduledShrinkEventTable_install sql oder ber den SQL Enterprise Manager erstellt werden Hinweis Der Job funktioniert nicht bei SQL Express Datenbanken Damit der Job ausgef hrt werden kann muss der SQL Server Agent laufen Da bei SQL Server Express Installation kein SQL Server Agent vorhanden ist werden Jobs hier nicht unterst tzt Der Skript Teil muss in der msdb ausgef hrt werden Wenn Sie f r Ihre SafeGuard Enterprise Datenbank einen anderen Namen als SafeGuard ausgew hlt haben ndern Sie den Namen entsprechend Default Database name SafeGuard change if required SELECT SafeGuardDataBase SafeGuard Sie k nnen auch die Anzahl an Ereignissen festlegen die in der EVENT Tabelle verbleiben sollen Die Standardeinstellung ist 100 000 Default keep th
180. chl sselung verwendet wurde Weitergabe von Wechselmedien an externe Partner Hinweis Dieses Beispiel gilt nur f r Windows Endpoints Bob m chte ein verschl sseltes Medium an Joe externer Partner weitergeben der SafeGuard Data Exchange nicht installiert hat und daher SafeGuard Portable verwenden muss Bob m chte Joe jedoch nicht auf alle verschl sselten Dateien auf dem Wechselmedium Zugriff geben Er kann hierzu einen lokalen Schl ssel erzeugen und die Dateien mit dem lokalen Schl ssel verschl sseln Joe kann nun mit SafeGuard Portable die verschl sselten Dateien mit der Passphrase des lokalen Schl ssels ffnen Bob dagegen kann immer noch die Medien Passphrase f r den Zugriff auf alle Dateien auf dem Wechselmedium benutzen Verhalten auf dem Computer Bob verbindet das Wechselmedium zum ersten Mal mit dem Computer Der Medienverschl sselungsschl ssel der f r jedes Medium einzigartig ist wird automatisch erzeugt Bob wird aufgefordert die Medien Passphrase f r die Offline Nutzung einzugeben Der Medienverschl sselungsschl ssel wird ohne Benutzerinteraktion f r die Datenverschl sselung verwendet aber Bob kann nun einen lokalen Schl ssel z B mit der Bezeichnung JoeSchl ssel f r die Verschl sselung der spezifischen Dateien die mit Joe ausgetauscht werden sollen erzeugen oder ausw hlen Bob und Alice haben innerhalb der gleichen Gruppe oder Dom ne transparenten Zugriff da sie beide den g
181. chl sselungsregeln immer die langen Ordnernamen an da die 8 3 Bezeichnungen f r lange Ordnernamen von Computer zu Computer unterschiedlich sein k nnen 8 3 Namensregeln werden vom durch SafeGuard Enterprise gesch tzten Endpoint automatisch bei Anwendung der relevanten Richtlinien erkannt Es sollte keine Rolle spielen ob Anwendungen lange Ordnernamen oder 8 3 Namen f r den Zugriff auf Dateien verwenden Verwenden Sie f r relative Regeln kurze Ordnernamen um sicherzustellen dass die Regel umgesetzt werden kann egal ob eine Anwendung lange Ordnernamen oder 8 3 Notation verwendet UNC und verbundene Laufwerke Ob Sie Regeln in UNC Notation oder basierend auf verbundenen Laufwerksbuchstaben anwenden h ngt von Ihren spezifischen Anforderungen ab erwenden Sie UNC Notation wenn sich die Server und Freigabenamen wahrscheinlich nicht ndern die verbundenen Laufwerksbuchstaben jedoch von Benutzer zu Benutzer unterschiedlich sein k nnen Verwenden Sie verbundene Laufwerksbuchstaben wenn diese unver ndert beibehalten werden Servernamen aber ge ndert werden k nnen Wenn Sie UNC verwenden geben Sie einen Servernamen und einen Freigabenamen an zum Beispiel server share File Encryption gleicht die UNC Namen und die verbundenen Laufwerksbuchstaben intern ab In einer Regeln muss ein Pfad somit entweder als UNC Pfad oder mit verbundenen Laufwerksbuchstaben definiert sein Hinweis Da Benutzer u U ihre verbundenen Laufwerksbuc
182. chreibungen in diesem Handbuch beziehen sich ausschlie lich auf Windows F r die Mac Versionen sehen Sie bitte in den entsprechenden Produkt Handb chern nach Sophos Mobile Encryption Mit Sophos Mobile Encryption k nnen Sie Dateien lesen die von den SafeGuard Enterprise Modulen SafeGuard Cloud Storage oder SafeGuard Data Exchange verschl sselt wurden Sie k nnen Dateien mit einem lokalen Schl ssel verschl sseln Diese lokalen Schl ssel sind von einer Passphrase abgeleitet die von einem Benutzer eingegeben wurde Sie k nnen eine Datei nur entschl sseln wenn Sie die Passphrase kennen die zur Verschl sselung der Datei verwendet wurde N here Informationen zu Sophos Mobile Encryption finden Sie unter www sophos com de de Administratorhilfe 2 Empfohlene Sicherheitsmaf3nahmen Wenn Sie die hier beschriebenen einfachen Schritte befolgen reduzieren Sie Risiken und die Daten auf Ihrem Computer sind jederzeit sicher und gesch tzt F r Informationen zur zertifizierungsgerechten Anwendung von SafeGuard Enterprise finden Sie im SafeGuard Enterprise Manual for certification compliant operation Englisch Vermeiden Sie den Standbymodus Wenn sich SafeGuard Enterprise gesch tzte Endpoints in bestimmten Energiesparmodi befinden in denen das Betriebssystem nicht ordnungsgem heruntergefahren und bestimmte Hintergrundprozesse nicht beendet werden besteht die Gefahr dass sich Angreifer Zugriff auf die Verschl sselungsschl ssel ve
183. chtlinie so wird der Zugriff auf das Volume verweigert Existiert keine Verschl sselungsrichtlinie so kann der Benutzer auf das Volume zugreifen Hinweis Existiert f r ein Unidentified File System Object eine Verschl sselungsrichtlinie bei der die Richtlinieneinstellung Schl ssel f r die Verschl sselung auf eine Option eingestellt ist die die Schl sselauswahl erm glicht z B Beliebiger Schl ssel im Schl sselring des Benutzers so entsteht zwischen der Anzeige des Schl sselauswahldialogs und der Verweigerung des Zugriffs auf das Volume eine zeitliche L cke W hrend dieser Zeit kann auf das Volume zugegriffen werden So lange der Schl sselauswahldialog nicht vom Benutzer best tigt wird besteht Zugriff auf das Volume Um dies zu vermeiden geben Sie einen vorausgew hlten Schl ssel f r die Verschl sselung an Weitere Informationen zu den relevanten Richtlinieneinstellungen finden Sie unter Ger teschutz Seite 150 Diese zeitliche L cke entsteht auch dann f r mit dem Endpoint verbundene Unidentified File System Objects wenn der Benutzer zu dem Zeitpunkt an dem die Verschl sselungsrichtlinie wirksam wird bereits Dateien auf dem Volume ge ffnet hat In diesem Fall kann nicht gew hrleistet werden dass der Zugriff auf das Volume verweigert wird da dies zu Datenverlust f hren k nnte 167 SafeGuard Enterprise 21 1 1 4 21 1 1 5 21 1 2 21 121 168 Verschl sselung von Volumes mit aktivierter Autorun Funkti
184. cken Sie zur Best tigung Ihrer Einstellungen auf OK Der neu angelegte Sicherheitsbeauftragte wird im Navigationsfenster unter dem jeweiligen Sicherheitsbeauftragten Knoten angezeigt Die jeweiligen Eigenschaften lassen sich durch Auswahl des gew nschten Sicherheitsbeauftragten im Navigationsfenster anzeigen Der Sicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuard Management 64 11 10 Administratorhilfe Center anmelden Im n chsten Schritt m ssen Sie nun dem Sicherheitsbeauftragten Verzeichnisobjekte Dom nen zuweisen damit dieser die erforderlichen Aufgaben ausf hren kann Zuweisen von Verzeichnisobjekten zu einem Sicherheitsbeauftragten F r die Ausf hrung ihrer Aufgaben ben tigen Sicherheitsbeauftragte Zugriffsrechte f r Verzeichnisobjekte Zugriffsrechte k nnen f r Dom nen Organisationseinheiten OUs und Benutzergruppen sowie f r den Automatisch registriert Knoten unter dem Stammverzeichnis erteilt werden Unter Benutzer amp Computer k nnen Sie die Zugriffsrechte eines anderen Sicherheitsbeauftragten ndern wenn Sie vollen Zugriff auf den relevanten Container haben und f r den Sicherheitsbeauftragten verantwortlich sind Ihre eigenen Zugriffsrechte k nnen Sie nicht ndern Wenn Sie einen Sicherheitsbeauftragten einem Verzeichnisobjekt zum ersten Mal zuweisen erbt der Sicherheitsbeauftragte Ihre Zugriffsrechte f r diesen Container Hinweis Sie k nnen anderen Sicherheitsbeauftragt
185. d Enterprise Installationsanleitung Geben Sie einen Ausgabepfad f r das Konfigurationspaket MSI an Klicken Sie auf Konfigurationspaket erstellen WennsSie als Modus f r die Transportverschl sselung die SSL Verschl sselung ausgew hlt haben wird die Serververbindung validiert Wenn die Verbindung fehlschl gt wird eine Warnungsmeldung angezeigt 101 SafeGuard Enterprise 19 2 15 3 102 Das Konfigurationspaket MSI wird im angegebenen Verzeichnis angelegt Sie m ssen das Paket auf den Endpoints verteilen und installieren Erzeugen eines Konfigurationspakets f r Standalone Endpoints arRwm 9 Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete W hlen Sie Pakete f r Standalone Clients Klicken Sie auf Konfigurationspaket hinzuf gen Geben Sie einen beliebigen Namen f r das Konfigurationspaket ein Geben Sie eine zuvor im SafeGuard Management Center erstellte Richtliniengruppe an die f r die Endpoints gelten soll Unter POA Gruppe k nnen Sie eine POA Gruppe ausw hlen die dem Endpoint zugeordnet wird POA Benutzer k nnen f r administrative Aufgaben auf den Endpoint zugreifen nachdem die SafeGuard Power on Authentication aktiviert wurde Um POA Benutzer zuzuweisen m ssen Sie die POA Gruppe zun chst im Bereich Benutzer amp Computer des SafeGuard Management Center anlegen Wenn sich das derzeit aktive Unternehmenszertifikat in der SafeGuard E
186. d aus der Gruppe entfernt Zuweisen von POA Benutzern zu Endpoints Hinweis Damit die POA Gruppen Endpoints zugewiesen werden k nnen m ssen sie in Gruppen zusammengefasst werden Wie Sie POA Benutzer Endpoints zuweisen h ngt vom Endpoint Typ ab F r zentral verwaltete Endpoints k nnen POA Gruppen im Bereich Benutzer amp Computer in der Registerkarte POA Gruppen Zuweisung zugewiesen werden Administratorhilfe F r Standalone Endpoints die im Standalone Modus laufen und keine Verbindung zum SafeGuard Enterprise Server haben muss ein Konfigurationspaket mit einer POA Gruppe erstellt und an die Computer verteilt werden 19 7 1 Zuweisen von POA Benutzern zu zentral verwalteten Endpoints 19 7 2 Um POA Benutzer zu zentral verwalteten Endpoints zuzuweisen ben tigen Sie die Zugriffsrechte Voller Zugriff oder Schreibgesch tzt f r die relevante POA Gruppe sowie das Zugriffsrecht Voller Zugriff f r die relevanten Container Hinweis Das Zuweisen von POA Benutzern wird nur f r zentral verwaltete SafeGuard Enterprise Endpoints ab Version 5 60 unterst tzt 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Benutzer amp Computer Navigationsbereich den gew nschten Container 3 W hlen Sie im Aktionsbereich des SafeGuard Management Center die Registerkarte POA Gruppenzuweisung Unter POA Gruppen auf der rechten Seite werden alle verf gbaren POA Gruppen a
187. d ein Anmeldedialog angezeigt W hlen Sie den Sicherheitsbeauftragten mit dem Sie sich an das SafeGuard Management Center anmelden m chten und geben Sie das zugeh rige Kennwort ein Wenn Sie im Multi Tenancy Modus arbeiten werden Sie wieder an dieselbe Datenbankkonfiguration angemeldet 69 SafeGuard Enterprise 11 16 70 Das SafeGuard Management Center wird neu gestartet und zeigt die dem angemeldeten Sicherheitsbeauftragten zugeordnete Ansicht L schen eines Sicherheitsbeauftragten Voraussetzung Um einen Sicherheitsbeauftragten zu l schen ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und zu l schen 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Sicherheitsbeauftragten oder den Haupt Sicherheitsbeauftragten den Sie l schen m chten W hlen Sie L schen Beachten Sie dass Sie den Sicherheitsbeauftragten mit dem Sie angemeldet sind nicht l schen k nnen 3 Weist der ausgew hlte Sicherheitsbeauftragte untergeordnete Sicherheitsbeauftragte auf so werden Sie dazu aufgefordert einen neuen bergeordneten Knoten f r diese untergeordneten Sicherheitsbeauftragten auszuw hlen Der Sicherheitsbeauftragte wird aus der Datenbank gel scht Hinweis Mindestens ein Haupt Sicherheitsbeauftragter der explizit als Beauftragter angelegt wurde und nicht nur zum Sicherheitsbeauftragten h hergestuft wurde mu
188. dard Installationspfad f r Nexus Personal C Programme Personal bin Lizenzen 163 SafeGuard Enterprise Richtlinieneinstellungen Dienste auf die gewartet wird Erkl rung Beachten Sie dass f r die Benutzung der jeweiligen Middleware f r das Standard Betriebssystem eine Lizenzvereinbarung mit dem jeweiligen Hersteller erforderlich ist Informationen dar ber wo Sie die Lizenzen erhalten finden Sie unter Beschaffung der erforderlichen Middleware Lizenzen f r das Betriebssystem gem den Voraussetzungen von SafeGuard Device Encryption Wenn Sie Siemens Lizenzen erwerben m chten wenden Sie sich an Atos IT Solutions and Services GmbH Otto Hahn Ring 6 D 81739 M nchen Germany Diese Einstellung dient zur Problembehebung mit bestimmten Token Entsprechende Einstellungen werden gegebenenfalls von unserem Support bekannt gegeben 20 11 Protokollierung bei Windows Endpoints Ereignisse f r SafeGuard Enterprise k nnen in der Windows Ereignisanzeige oder in der SafeGuard Enterprise Datenbank protokolliert werden Um festzulegen welche Ereignisse an welchem Ziel protokolliert werden sollen erstellen Sie eine Richtlinie vom Typ Protokollierung und w hlen Sie die gew nschten Ereignisse per Mausklick aus Es steht eine Vielzahl von Ereignissen aus unterschiedlichen Kategorien z B Anmeldung Verschl sselung usw zur Auswahl zur Verf gung Es ist daher empfehlenswert eine Vorgehensweise f r die P
189. definierte Rollen einzusehen und zu verwalten Um die zus tzliche Autorisierung zuzuweisen ben tigen Sie das Recht Einstellungen f r zus tzliche Autorisierung ndern 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie mit der rechten Maustaste auf Benutzerdefinierte Rollen und w hlen Sie Neu gt Neue benutzerdefinierte Rolle 3 Geben Sie im Dialog Neue benutzerdefinierte Rolle einen Namen und eine Beschreibung f r die Rolle ein 4 W hlen Sie die Aktionen f r diese Rolle W hlen Sie die Kontrollk stchen neben den gew nschten Aktionen in der Spalte Aktiv Aktionen werden nach Funktionsbereich sortiert und sind hierarchisch strukturiert Diese Struktur zeigt welche Aktionen vor der Durchf hrung bestimmter anderer Aktionen erforderlich sind 5 Falls erforderlich weisen Sie die zus tzliche Autorisierung zu Klicken Sie auf die Standardeinstellung Kein und w hlen Sie die gew nschte Rolle aus der angezeigten Dropdownliste Wenn ein Sicherheitsbeauftragter ohne die Berechtigung zum ndern der zus tzlichen Autorisierung eine Rolle anlegt wird die zus tzliche Autorisierung gem den Einstellungen der Rolle des betreffenden Sicherheitsbeauftragten vordefiniert 6 Klicken Sie auf OK Die neue Rolle wird unter Benutzerdefinierte Rollen im Navigationsfenster angezeigt Wenn Sie die Rolle anklicken werden im rechten Aktionsbereich die zul ssigen Aktionen dargestellt Zuweisen
190. den angezeigt 1 W hlen Sie unter Eigenschaften die Registerkarte Zuweisung um die Sicherheitsbeauftragten anzeigen zu lassen die dieser Rolle zugeordnet sind 57 SafeGuard Enterprise 11 4 5 TLS 11 5 1 58 Anzeigen der Rollenzuordnung 1 Doppelklicken Sie in den lt Rollenname gt Eigenschaften in der Registerkarte Zuweisung auf einem Sicherheitsbeauftragten Der Eigenschaften Dialog wird geschlossen und es werden die allgemeinen Daten und die Rollen des Sicherheitsbeauftragten angezeigt ndern einer Rolle F r das ndern von Rollen gibt es folgende M glichkeiten Zus tzliche Autorisierung ndern Sie k nnen alle Eigenschaften der Rolle ndern Das Symbol neben den Rollen zeigt welche Aktion m glich ist Beschreibung Die Rolle kann ge ndert werden Aktionen hinzuf gen l schen Die zus tzliche Autorisierung kann ge ndert werden Beide nderungsm glichkeiten sind verf gbar Hinweis Vordefinierte Rollen und die ihnen zugewiesenen Aktionen k nnen nicht ge ndert werden Ist die zus tzliche Autorisierung aktiviert so kann dies f r jede Rolle auch f r vordefinierte Rollen ge ndert werden ndern der zus tzlichen Autorisierung Voraussetzung Um die zus tzliche Autorisierung zuzuweisen ben tigen Sie das Recht Sicherheitsbeauftragtenrollen einzusehen sowie das Recht Einstellungen f r zus tzliche Autorisierung ndern 1 Klicken Sie im SafeGuard Management Ce
191. den Dokumenten SafeGuard File Encryption for Mac Schnellstartanleitung 181 SafeGuard Enterprise Dieses Dokument ist an Mac Benutzer gerichtet SafeGuard File Encryption for Mac Administratorhilfe Dieses Dokument ist f r Administratoren vorgesehen die mit beiden Plattformen Mac und Windows arbeiten 23 1 Konfigurieren von Verschl sselungsregeln in File Encryption Richtlinien 182 Die Regeln f r die dateibasierende Verschl sselung im Netzwerk definieren Sie in einer Richtlinie des Typs File Encryption Hinweis Wenn bestimmte Ordner verschl sselt werden zum Beispiel C Programme bewirkt dies unter Umst nden dass das Betriebssystem oder bestimmte Anwendungen nicht mehr laufen Stellen Sie bei der Definition von Verschl sselungsregeln sicher dass diese Ordner nicht verschl sselt werden 1 Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ File Encryption an oder w hlen Sie eine vorhandene aus Die Tabelle f r File Encryption Richtlinienregeln wird angezeigt Geben Sie in der Spalte Pfad den Pfad d h den Ordner an der durch File Encryption verschl sselt werden soll Klicken Sie auf die Dropdown Schaltfl che und w hlen Sie einen Platzhalter f r einen Ordnernamen aus der Liste der verf gbaren Platzhalter aus Hinweis Wenn Sie Ihren Cursor ber die Listeneintr ge f hren werden Tooltips angezeigt die zeigen wie ein Platzhalter blicherweise auf einem Endp
192. den Komponenten Anmeldebild Dialogtexte Sprache des Tastaturlayouts SafeGuard Logon SOPHOS User name john zessmord Domain MY_COMPANY 7 En oK Recovery Shutdown Options gt gt Das Erscheinungsbild des SafeGuard POA Dialogs k nnen Sie ber Richtlinieneinstellungen im SafeGuard Management Center an Ihre jeweiligen Anforderungen anpassen Hintergrund und Anmeldebild In der Standardeinstellung werden Bilder im SafeGuard Design als Hintergrund und Anmeldebild angezeigt Es ist jedoch m glich andere Bilder anzuzeigen z B ein Firmenlogo Hintergrund und Anmeldebilder werden ber eine Richtlinie vom Typ Allgemeine Einstellungen festgelegt 107 SafeGuard Enterprise 16 4 1 1 108 Hintergrund und Anmeldebilder m ssen bestimmten Anforderungen entsprechen damit sie in SafeGuard Enterprise verwendet werden k nnen Hintergrundbild in der POA Maximale Dateigr e f r alle Hintergrundbilder 500 KB SafeGuard Enterprise unterst tzt f r Hintergrundbilder zwei Varianten 1024x768 VESA Modus Farben keine Einschr nkung Richtlinie vom Typ Allgemeine Einstellungen Option Hintergrundbild in der POA 640 x 480 VGA Modus Farben 16 Richtlinie vom Typ Allgemeine Einstellungen Option Hintergrundbild in der POA niedrige Aufl sung Anmeldebild Maximale Dateigr e f r alle Anmeldebilder 100 KB SafeGuard Enterprise unterst tzt f r Anmeldebilder zwei Varianten
193. den Sie unter POA Benutzer f r die SafeGuard POA Anmeldung Seite 120 18 18 1 Administratorhilfe Service Account Listen f r die Windows Anmeldung Hinweis Service Accounts werden nur von Windows Endpoints unterst tzt die von SafeGuard Enterprise mit SafeGuard Power on Authentication gesch tzt werden Bei den meisten Implementationen von SafeGuard Enterprise installiert zun chst ein Rollout Team neue Computer in einer Umgebung Danach folgt die Installation von SafeGuard Enterprise Zu Installations und Pr fungszwecken meldet sich der Rollout Beauftragte dann am jeweiligen Computer an bevor der Endbenutzer diesen erh lt und die M glichkeit hat die SafeGuard Power on Authentication zu aktivieren So ergibt sich folgendes Szenario 1 SafeGuard Enterprise wird auf einem Endpoint installiert 2 Nach dem Neustart des Endpoint meldet sich der Rollout Beauftragte an 3 Der Rollout Beauftragte wird zur SafeGuard POA hinzugef gt und die POA wird aktiv Der Rollout Benutzer wird Besitzer des Endpoint Wenn der Endbenutzer den Endpoint erh lt kann er sich nicht an der SafeGuard POA anmelden Er muss ein Challenge Response Verfahren durchf hren Um zu verhindern dass administrative Vorg nge auf einem durch SafeGuard Enterprise gesch tzten Endpoint bewirken dass die SafeGuard Power on Authentication aktiviert wird und Rollout Beauftragte als Benutzer zum Endpoint hinzugef gt werden erm glicht SafeGuard Enterprise das
194. den die aktuelle Zeit des Datenbankservers f r das Starten von Tasks Um eine bessere berwachung von Tasks zu gew hrleisten wird hier die Zeit des Datenbankservers angezeigt Diese wird unter Benutzung der lokalen Zeitzone des Computers auf dem das SafeGuard Management Center l uft angegeben 286 34 3 34 4 34 9 Administratorhilfe Bearbeiten von Tasks Um Tasks im Taskplaner zu bearbeiten ben tigen Sie die Sicherheitsbeauftragtenrechte Taskplaner benutzen und Tasks verwalten 1 W hlen Sie in der SafeGuard Management Center Men leiste Extras gt Taskplaner Der Dialog Taskplaner mit einer bersicht ber die geplanten Tasks wird angezeigt 2 W hlen Sie den gew nschten Task und klicken Sie auf die Schaltfl che Eigenschaften Der lt Task Name gt Eigenschaften Dialog mit den Eigenschaften des ausgew hlten Tasks wird angezeigt 3 Nehmen Sie die gew nschten nderungen vor Hinweis Der Task Name muss eindeutig sein Wenn Sie den Namen in einen bereits vorhandenen Task Namen ndern wird eine Fehlermeldung angezeigt 4 Klicken Sie auf OK Die nderungen werden wirksam L schen von Tasks Um Tasks aus dem Taskplaner zu entfernen ben tigen Sie die Sicherheitsbeauftragtenrechte Taskplaner benutzen und Tasks verwalten 1 W hlen Sie in der SafeGuard Management Center Men leiste Extras gt Taskplaner Der Dialog Taskplaner mit einer bersicht ber die geplanten Tasks wird angezeigt 2 W hlen
195. denname Zus tzliche Informationen zum Beispiel Abteilung Niederlassung Datum an dem die Lizenz ausgestellt wurde Anzahl an Lizenzen pro Modul Token Lizenzinformationen Lizenzablaufdatum Lizenztyp Demo oder Voll Lizenz Signatur mit Lizenzsignaturzertifikat 27 SafeGuard Enterprise 6 2 6 3 6 3 1 6 3 2 28 Token Lizenzen F r die Verwaltung von Token bzw Smartcards sind die entsprechenden zus tzlichen Token Lizenzen erforderlich Wenn diese Lizenzen nicht zur Verf gung stehen k nnen Sie im SafeGuard Management Center keine Richtlinien f r Token erstellen Evaluierungs und Demo Lizenzen Es besteht die M glichkeit f r Evaluierungs oder initiale Rollout Prozesse die Standard Lizenzdatei Evaluierungslizenz oder individuelle Demo Lizenzdateien zu nutzen Diese Lizenzen sind nur f r einen bestimmten Zeitraum g ltig und haben ein Ablaufdatum die Funktionalit t ist jedoch in keinster Weise eingeschr nkt Hinweis Evaluierungs und Demo Lizenzen d rfen nicht f r den regul ren produktiven Betrieb von SafeGuard Enterprise Modulen genutzt werden Standard Lizenzdateien Bei der Installation des SafeGuard Management Centers wird automatisch eine Standard Lizenzdatei geladen Diese Evaluierungslizenz mit der Bezeichnung SafeGuard Enterprise Evaluation License enth lt jeweils f nf Lizenzen pro Modul und hat eine zeitlich begrenzte G ltigkeitsdauer von zwei Jahren ab dem Release Datum de
196. der Systemstartschl ssel BitLocker Anmeldemodus f r Datenlaufwerke Auto Unlock BitLocker Fallback Anmeldemodus f r Datenlaufwerke Kennwort oder Systemstartschl ssel Der Sicherheitsbeauftragte erstellt eine Ger teschutzrichtlinie mit dem Ziel Interner Speicher und richtet f r den Verschl sselungsmodus Volume basierend ein Danach werden beide Richtlinien auf die zu verschl sselnden Endpoints angewendet F r SafeGuard Enterprise BitLocker Benutzer gibt es folgende Szenarien Fall 1 Ein Benutzer meldet sich mit einem TPM bei einem Endpoint an 1 Der Benutzer wird aufgefordert eine PIN f r das Boot Volume einzugeben z B Laufwerk C 2 Der Benutzer gibt die PIN ein und klickt auf Neu starten und verschl sseln 3 Das System testet die Hardware und berpr ft ob der Benutzer die PIN korrekt eingeben kann Es startet neu und fordert den Benutzer zur Eingabe der PIN auf Wenn der Benutzer die PIN richtig eingibt wird der Endpoint gestartet a Gibt der Benutzer die PIN nicht richtig ein z B aufgrund eines falschen Tastaturlayouts kann er die Esc Taste in der BitLocker Pre Boot Umgebung dr cken um den Test abzubrechen und der Endpoint wird gestartet Falls es ein Problem mit der Hardware gibt z B wenn das TPM nicht funktioniert wird der Test abgebrochen und der Endpoint gestartet 4 Der Benutzer meldet sich erneut an 5 Wenn der Hardware Test erfolgreich war der Benutzer konnte die PIN richtig
197. der Ausschlie en evaluiert Regeln mit dem Modus Ausschlie en werden vor Regeln mit dem Modus Verschl sseln evaluiert Wenn bei zwei Regeln die aufgelisteten Kriterien bereinstimmen werden die Regeln in alphabetischer Reihenfolge evaluiert Konflikte bei File Encryption Regeln Da einem Benutzer Computer mehrere File Encryption Richtlinien zugewiesen werden k nnen treten u U Konflikte auf Ein Regelkonflikt besteht wenn die Regeln dieselben Werte f r Pfad Modus und Unterverzeichnis enthalten jedoch unterschiedliche Schl ssel In diesem Fall gilt die Regel aus der File Encryption Richtlinie mit der h heren Priorit t Die andere Regel wird verworfen File Encryption und SafeGuard Data Exchange Mit SafeGuard Data Exchange lassen sich Daten die auf mit Endpoint Computern verbundenen Wechselmedien gespeichert werden verschl sseln und mit anderen Benutzern austauschen F r SafeGuard Data Exchange wird dateibasierende Verschl sselung benutzt 191 SafeGuard Enterprise 192 Wenn sowohl SafeGuard Data Exchange als auch File Encryption auf einem Endpoint installiert ist kann es vorkommen dass eine SafeGuard Data Exchange Verschl sselungsrichtlinie f r ein Laufwerk auf dem Computer definiert ist und gleichzeitig File Encryption Richtlinien f r Ordner auf demselben Laufwerk gelten Ist dies der Fall so erh lt die SafeGuard Data Exchange Richtlinie Vorrang vor den File Encryption Richtlinien Neue Dateien werden gem
198. der Benutzer das Kennwort vergessen hat Typische Notf lle in denen Hilfe beim Helpdesk angefordert wird Ein Benutzer hat sein Kennwort f r die Anmeldung vergessen Der Computer ist gesperrt Ein Benutzer hat seinen Token seine Smartcard vergessen oder verloren Der lokale Cache der SafeGuard Power on Authentication ist teilweise besch digt Ein Benutzer ist krank oder im Urlaub und ein Kollege muss auf die Daten auf dem Computer zugreifen Ein Benutzer m chte auf ein Volume zugreifen das mit einem Schl ssel verschl sselt ist der auf dem Computer nicht verf gbar ist SafeGuard Enterprise bietet f r diese typischen Notf lle unterschiedliche Recovery Workflows die dem Benutzer wieder den Zugang zu seinem Computer erm glichen Challenge Response Workflow Das Challenge Response Verfahren basiert auf zwei Komponenten Endpoint auf dem der Challenge Code erzeugt wird SafeGuard Management Center in dem Sie als Helpdesk Beauftragter mit ausreichenden Rechten einen Response Code erstellen der den Benutzer zur Ausf hrung der angeforderten Aktion auf dem Computer berechtigt Hinweis F r ein Challenge Response Verfahren ben tigen Sie das Zugriffsrecht Voller Zugriff f r die beteiligten Computer Benutzer Der Benutzer fordert auf dem Endpoint einen Challenge Code an Je nach Recovery Typ wird der Challenge Code in der SafeGuard Power on Authentication oder ber das KeyRecovery Tool angefordert Es wird ein Challenge
199. der importierten Datenbankkonfiguration verbunden Import einer Konfiguration durch Doppelklicken auf die Konfigurationsdatei Single und Multi Tenancy Hinweis Dieser Vorgang ist sowohl im Single Tenancy als auch im Multi Tenancy Modus m glich Es besteht auch die M glichkeit eine Konfiguration zu exportieren und diese an mehrere Sicherheitsbeauftragte zu verteilen Die Sicherheitsbeauftragten m ssen lediglich auf die Konfigurationsdatei doppelklicken um ein vollst ndig konfiguriertes SafeGuard Management Center zu ffnen Dies erweist sich vor allem dann als vorteilhaft wenn Sie die SQL Authentisierung f r die Datenbank verwenden und vermeiden m chten dass das SQL Kennwort jedem Administrator bekannt ist Sie m ssen das Kennwort dann nur einmal eingeben eine Konfigurationsdatei erstellen und sie an die Computer der Sicherheitsbeauftragten verteilen Voraussetzung Die Erstkonfiguration des SafeGuard Management Centers muss durchgef hrt worden sein Detaillierte Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung 1 Starten Sie das SafeGuard Management Center 2 W hlen Sie im Extras Men Optionen und wechseln Sie in die Registerkarte Datenbank 3 Geben Sie die Anmeldeinformationen f r die SQL Datenbankserververbindung ein oder best tigen Sie diese 4 Klicken Sie auf Konfiguration exportieren um die Konfiguration in eine Datei zu exportieren 5 Geben Sie ein Kennwort f r die Konf
200. dows Anmeldung Seite 115 Wenn sich das derzeit aktive Unternehmenszertifikat in der SafeGuard Enterprise Datenbank von dem auf den Endpoints die das neue Konfigurationspaket erhalten sollen unterscheidet w hlen Sie die relevante CCO Company Certificate Change Order Ist das Feld Aktuelles Unternehmenszertifikat in der Registerkarte Bestand der relevanten Dom ne der OU oder des Computers unter Benutzer amp Computer nicht aktiviert so ist ein Wechsel des Unternehmenszertifikats erforderlich Informationen zur erforderlichen CCO Company Certificate Change Order finden Sie in der Registerkarte CCOs der Funktion Konfigurationspakete im Men Extras Hinweis Die Installation des neuen Konfigurationspakets schl gt fehl wenn die derzeit aktiven Unternehmenszertifikate in der SafeGuard Enterprise Datenbank und auf dem Endpoint nicht bereinstimmen und keine passende CCO im Paket enthalten ist W hlen Sie den Modus f r die Transportverschl sselung der bestimmt wie die Verbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Server verschl sselt wird Sophos Verschl sselung oder SSL Verschl sselung Der Vorteil bei SSL ist dass es ein Standardprotokoll ist und eine schnellere Verbindung aufgebaut werden kann als mit der SafeGuard Transportverschl sselung SSL Verschl sselung wird standardm ig ausgew hlt Weitere Informationen zur Absicherung von Transportverbindungen mit SSL finden Sie in der SafeGuar
201. dung gefragt ob f r diesen Benutzer ein selbst signiertes Schl sselpaar erzeugt werden soll Klicken Sie auf Ja geben Sie im Kennwort f r neues Zertifikat Dialog ein Kennwort ein und best tigen Sie es Nun wird der Rollenauswahl Dialog angezeigt 4 W hlen Sie im Rollenauswahl Dialog die erforderlichen Rollen aus und klicken Sie auf OK 67 SafeGuard Enterprise IT1E3 11 12 68 Der Benutzer ist nun Sicherheitsbeauftragter und wird im Bereich Sicherheitsbeauftragte mit seinem Benutzernamen angezeigt Die jeweiligen Eigenschaften lassen sich durch Auswahl des gew nschten Sicherheitsbeauftragten im Navigationsfenster anzeigen Ist der private Schl ssel des Benutzers in der Datenbank gespeichert so ist Kein Token aktiviert Wenn sich der private Schl ssel auf dem Token oder der Smartcard befindet ist Optional aktiviert Nach Wunsch k nnen Sie den Sicherheitsbeauftragten per Drag amp Drop auf der gew nschten Position in der Baumstruktur des Bereichs Sicherheitsbeauftragte platzieren Der Sicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuard Management Center anmelden Ernennen eines Sicherheitsbeauftragten zum Haupt Sicherheitsbeauftragten Voraussetzung Um einen Sicherheitsbeauftragten zum Haupt Sicherheitsbeauftragten zu ernennen ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und zu modifizieren 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Si
202. dung mit dem Zertifikat des Haupt Sicherheitsbeauftragten l sst sich mit dem Unternehmenszertifikat eine besch digte SafeGuard Enterprise Datenbankkonfiguration wiederherstellen 1 W hlen Sie auf der Seite Unternehmenszertifikat die Option Neues Unternehmenszertifikat erzeugen Hinweis Erzeugte Unternehmenszertifikate laufen immer am 31 Dezember 2199 ab 2 Geben Sie einen Namen Ihrer Wahl ein Hinweis Von SafeGuard Enterprise erzeugte Zertifikate zum Beispiel Unternehmens Maschinen Sicherheitsbeauftragten und Benutzerzertifikate sind bei einer Erstinstallation standardm ig zur Erweiterung der Sicherheit mit dem Hash Algoritnmus SHA 256 signiert Wenn Sie noch SafeGuard Enterprise Endpoints mit Version 6 oder einer fr heren Version mit dem SafeGuard Management Center der Version 7 0 verwalten m ssen m ssen Sie unter Hash Algorithmus f r erzeugte Zertifikate den Algorithmus SHA 1 ausw hlen Weitere Informationen finden Sie im Abschnitt ndern des Algorithmus f r selbst signierte Zertifikate Der ausgew hlte Algorithmus wird zum Signieren aller von SafeGuard Enterprise erzeugten Zertifikate benutzt Dies sind die Unternehmens und Maschinenzertifikate sowie die Sicherheitsbeauftragten und Benutzerzertifikate 23 SafeGuard Enterprise 24 9 8 3 3 3 Klicken Sie auf Weiter Das neu angelegte Unternehmenszertifikat wird in der Datenbank gespeichert Erstellen Sie eine Sicherungskopie des Unternehmenszertif
203. dus Schaltfl che auf Ruhezustand oder Herunterfahren Setzen Sie eine Richtlinie f r sichere Kennw rter um Setzen Sie eine Richtlinie f r sichere Kennw rter um und erzwingen Sie einen Kennwortwechsel in regelm igen Abst nden besonders f r die Anmeldung an Endpoints Kennw rter sollten nicht an andere Personen weitergegeben oder aufgeschrieben werden Informieren Sie Benutzer wie sie sichere Kennw rter w hlen Ein sicheres Kennwort folgt diesen Regeln Esistlange genug um sicher zu sein Eine Mindestl nge von 10 Zeichen ist zu empfehlen Es enth lt eine Mischung aus Buchstaben Gro und Kleinschreibung Zahlen und Sonderzeichen Symbolen 11 SafeGuard Enterprise 12 Es enth lt keine allgemein gebr uchlichen W rter oder Namen Es ist schwer zu erraten aber es ist leicht es sich zu merken und korrekt einzutippen Deaktivieren Sie die SafeGuard Power on Authentication nicht Die SafeGuard Power on Authentication bietet zus tzlichen Schutz f r die Anmeldung am Endpoint Sie wird mit der Festplattenverschl sselung von SafeGuard Enterprise installiert und standardm ig aktiviert Um vollen Schutz zu gew hrleisten deaktivieren Sie die Power on Authentication nicht Weitere Informationen finden Sie unter http www sophos com de de support knowledgebase 110282 aspx Schutz vor dem Einschleusen von Code Unter Umst nden ist das Einschleusen von Code zum Beispiel DLL Pre Loading Angriffe m glic
204. e Fragenthema und klicken Sie auf ffnen Die importierten Fragen werden im Arbeitsbereich angezeigt Sie k nnen das Fragenthema nun unver ndert speichern oder bearbeiten 29 1 6 Erstellen eines neuen Fragenthemas und Hinzuf gen von Fragen Sie k nnen neue Fragenthemen zu unterschiedlichen Themenbereichen erstellen Somit k nnen Sie Benutzern mehrere Fragenthemen zur Verf gung stellen aus denen sie das f r sie am besten geeignete Thema ausw hlen k nnen 1 2 Markieren Sie im Richtlinien Navigationsbereich den Eintrag Local Self Help Fragen Klicken Sie mit der rechten Maustaste auf Local Self Help Fragen und w hlen Sie Neu gt Fragenthema Geben Sie einen Namen f r das Fragenthema ein und klicken Sie auf OK Markieren Sie im Richtlinien Navigationsbereich das neue Fragenthema unter Local Self Help Fragen Klicken Sie im Arbeitsbereich mit der rechten Maustaste Das Kontextmen f r das Fragenthema wird ge ffnet W hlen Sie Hinzuf gen im Kontextmen Eine neue Fragenzeile wird hinzugef gt Geben Sie Ihre Frage ein und dr cken Sie Enter Um weitere Fragen hinzuzuf gen wiederholen Sie diesen Vorgang Speichern Sie Ihre nderungen indem Sie auf das Speichern Symbol in der Symbolleiste klicken Ihr Fragenthema ist registriert Es wird der Richtlinie vom Typ Allgemeine Einstellungen ber die Local Self Help auf den Endpoints aktiviert wird automatisch mitgegeben 29 1 7 Bearbeiten von F
205. e Seite 203 Weitere Informationen zu SafeGuard Data Exchange SafeGuard Cloud Storage und SafeGuard Portable auf dem Endpoint finden Sie in der SafeGuard Enterprise Benutzerhilfe Wenn Sie eine Richtlinie dieses Typs erstellen m ssen Sie zun chst ein Ziel f r den Ger teschutz angeben M gliche Ziele sind Massenspeicher Boot Laufwerke Andere Volumes Wechselmedien Optische Laufwerke Datentr germodelle Einzelne Datentr ger Cloud Storage Definitionen F r jedes Ziel muss eine eigene Richtlinie angelegt werden Hinweis Ziel Wechselmedien Eine Richtlinie f r die volume basierende Verschl sselung von Wechsellaufwerken die es dem Benutzer erlaubt einen Schl ssel aus einer Liste auszuw hlen z B Beliebiger Schl ssel im Schl sselring des Benutzers kann vom Benutzer umgangen werden indem er keinen Schl ssel ausw hlt Um sicherzustellen dass Wechsellaufwerke immer verschl sselt werden verwenden Sie eine dateibasierende Verschl sselungsrichtlinie legen Sie in der volume basierenden Verschl sselungsrichtlinie explizit einen Schl ssel fest Richtlinieneinstellung Erkl rung Verschl sselungsmodus f r Dient dem Schutz von Endger ten PCs Notebooks usw und Medien allen Arten von Wechseldatentr gern Hinweis Diese Einstellung ist obligatorisch Hauptaufgabe ist die Verschl sselung aller auf lokalen oder externen Datentr gern gespeicherten Daten Durch die transparente Arbeitsweise k nnen Be
206. e f r die nur die Zugriffsrechte Schreibgesch tzt oder Verweigert verf gbar sind in den Synchronisierungsvorgang einbezogen wird passiert Folgendes Die Gruppenmitgliedschaften werden nicht aktualisiert Wenn die Gruppe im Active Directory gel scht wurde wird sie nicht aus der SafeGuard Enterprise Datenbank gel scht Wenn die Gruppe jedoch im Active Directory verschoben wurde wird sie auch innerhalb der SafeGuard Enterprise Struktur verschoben Dies ist auch dann der Fall wenn sie in einen Container verschoben werden soll f r den Sie nicht das Voller Zugriff Zugriffsrecht haben Wenn ein Container mit den Zugriffsrechten Schreibgesch tzt oder Verweigert zur Synchronisierung hinzugef gt wird da er sich auf dem Weg zum Stammverzeichnis befindet und dieser Container eine Gruppe mit dem Zugriff Voller Zugriff enth lt wird diese Gruppe synchronisiert Gruppen mit den Zugriffsrechten Schreibgesch tzt oder Verweigert werden nicht synchronisiert 45 SafeGuard Enterprise 10 2 10 21 10 2 2 46 Erstellen von Arbeitsgruppen und Dom nen Sicherheitsbeauftragte mit den erforderlichen Berechtigungen k nnen manuell Arbeitsgruppen oder Dom nen mit einer Struktur f r die Verwaltung von Richtlinien anlegen Auch die Zuweisung von Richtlinien und oder Verschl sselungsregeln an lokale Benutzer ist dadurch m glich Sie m ssen Dom nen nur dann manuell anlegen wenn Sie keine Dom nen aus dem Active Directory AD im
207. e Anmeldung mit Local Self Help Local Self Help erm glicht es Benutzern die Ihr Kennwort vergessen haben sich selbst ndig und ohne Unterst tzung des Helpdesk an ihrem Computer anzumelden So erhalten Benutzer auch in Situationen in denen sie keine Telefon oder Netzwerkverbindung und somit auch kein Challenge Response Verfahren nutzen k nnen z B an Bord eines Flugzeugs wieder Zugang zu ihrem Computer Um sich anzumelden m ssen sie lediglich eine bestimmte Anzahl an vordefinierten Fragen in der SafeGuard Power on Authentication beantworten Local Self Help reduziert die Anzahl an Helpdesk Anforderungen f r Recovery Vorg nge die die Anmeldung betreffen Helpdesk Mitarbeitern werden somit Routine Aufgaben abgenommen und sie k nnen sich auf komplexere Support Anforderungen konzentrieren Weitere Informationen finden Sie unter Recovery mit Local Self Help Seite 235 Recovery mit Challenge Response Das Challenge Response Verfahren ist ein sicheres und effizientes Recovery System das Benutzer unterst tzt die sich nicht mehr an ihrem Computer anmelden oder nicht mehr auf verschl sselte Daten zugreifen k nnen W hrend eines Challenge Response Verfahrens bermittelt der Benutzer einen auf dem Endpoint erzeugten Challenge Code an den Helpdesk Beauftragten Dieser erzeugt auf der Grundlage des Challenge Codes einen Response Code der den Benutzer zum Ausf hren einer bestimmten Aktion auf dem Computer berechtigt Mit Recovery b
208. e Erzeugen neben der Zertifikat Dropdown Liste Geben Sie das Kennwort f r das Zertifikat zweimal ein und klicken Sie auf OK Legen Sie den Speicherort f r das Zertifikat fest Um Zertifikate zu importieren klicken Sie auf die Schaltfl che Importieren neben der Zertifikat Dropdown Liste um die entsprechende Zertifikatsdatei zu ffnen Nach Zertifikaten wird zuerst in einer Zertifikatsdatei dann auf dem Token gesucht Die Zertifikate k nnen an den jeweiligen Speicherorten verbleiben Aktivieren Sie die Rollen und Dom nen die dem Beauftragten zugewiesen werden sollen unter Rollen Best tigen Sie die Eingaben mit OK Der Sicherheitsbeauftragte wird angelegt der Token wird ausgestellt die Anmeldedaten werden je nach Einstellung auf den Token geschrieben und die Token Informationen werden in der SafeGuard Enterprise Datenbank hinterlegt Im Bereich Token k nnen Sie sich in der Registerkarte Token Information die Daten anzeigen lassen Konfigurieren des Anmeldemodus F r die Anmeldung von Endbenutzern mit einem Token gibt es zwei Anmeldeformen Eine Kombination der beiden Anmeldeformen ist m glich Anmeldung mit Benutzername Kennwort Anmeldung mit Token 223 SafeGuard Enterprise 27 6 1 224 Wenn Sie sich mit einem Token oder einer Smartcard anmelden k nnen Sie zwischen einem Token Anmeldemodus mit nicht kryptographischem Token oder mit Kerberos Unterst tzung kryptographisch w hlen Als Sicherheitsbeauf
209. e Local Self Help Fragen im SafeGuard Management Center registrieren und bearbeiten Hinweis Nicht alle Zeichen die in Windows eingegeben werden k nnen k nnen von der SafeGuard POA verarbeitet werden Hebr ische oder arabische Zeichen k nnen z B nicht verwendet werden 29 18 29 1 4 29 18 Administratorhilfe Festlegen der Anzahl an zu beantwortenden Fragen Sie k nnen die Anzahl an Fragen die w hrend der Konfiguration von Local Self Help und in der SafeGuard POA beantwortet werden m ssen festlegen 1 Markieren Sie im Richtlinien Navigationsbereich den Eintrag Local Self Help Fragen 2 Im Aktionsbereich k nnen Sie unter Local Self Help Parameter zwei verschiedene Werte f r die Anzahl an Local Self Help Fragen festlegen a Geben Sie im Feld Mindestanzahl der verf gbaren Fragen Antworten an wie viele Fragen die Benutzer im Local Self Help Assistenten beantworten m ssen um Local Self Help auf den Endpoints zu aktivieren Die hier angegebene Anzahl an Fragen muss auf dem Endpoint mit den entsprechenden Antworten verf gbar sein damit Local Self Help aktiv ist g Geben Sie im Feld Anzahl der in der POA gestellten Fragen an wie viele Fragen die Benutzer in der SafeGuard POA beantworten m ssen wenn Sie sich mit Local Self Help anmelden Die in der SafeGuard POA angezeigten Fragen werden per Zufallsprinzip aus den Fragen die der Benutzer im Local Self Help Assistenten beantwortet hat ausgew hlt Der im F
210. e Option Liste nicht erlaubter Kennw rter verwenden muss aktiviert sein Benutzerkennwortsynchronisation mit anderen SGN Clients Dieses Feld steuert die Synchronisierung bei nderung des Kennworts durch Benutzer die auf mehreren SafeGuard Enterprise Endpoints arbeiten und als Benutzer eingetragen sind Folgende Optionen stehen zur Verf gung Langsam sobald Benutzer sich anmeldet ndert ein Benutzer sein Kennwort auf einem SafeGuard Enterprise Endpoint so muss dieser Benutzer sich auf anderen Endpoints auf denen er als Benutzer eingetragen ist zun chst noch einmal mit seinem alten Kennwort an der SafeGuard Power on Authentication anmelden Erst dann wird die Kennwortsynchronisation durchgef hrt Schnell sobald der Computer eine Verbindung hergestellt hat ndert der Benutzer sein Kennwort auf einem SafeGuard Enterprise Endpoint so wird die Kennwortsynchronisierung mit einem anderen Endpoint auf dem er als Benutzer eingetragen ist durchgef hrt sobald der andere Endpoint eine Verbindung mit dem Server hergestellt hat Dies erfolgt zum Beispiel dann wenn sich ein anderer Benutzer der ebenfalls auf dem Endpoint als Benutzer eingetragen ist in der Zwischenzeit an diesem Endpoint anmeldet NDERUNGEN 145 SafeGuard Enterprise 146 Richtlinieneinstellung Kennwort nderung erlaubt nach mindestens Tage Kennwort l uft ab nach Tage Erkl rung Legt den Zeitraum fest in dem ein Kennwort
211. e Protokolldatei vorhanden so werden neue Protokolle am Ende der Datei angeh ngt synchronizeMembership Setzen Sie diesen Parameter auf 1 um auch Mitgliedschaften zu synchronisieren Wenn dieser Parameter auf 0 gesetzt ist werden die Mitgliedschaften nicht synchronisiert Die Standardeinstellung ist 1 synchronizeAccountState Setzen Sie diesen Parameter auf 1 um auch den Benutzer Aktiv Status zu synchronisieren Wenn dieser Parameter auf 0 gesetzt ist wird der Benutzer Aktiv Status nicht synchronisiert Die Standardeinstellung ist 0 Hinweis Stellen Sie sicher dass sie ber die erforderlichen Zugriffsrechte f r die Active Directory Synchronisierung verf gen und dass die notwendigen SQL Berechtigungen f r das Konto das f r die Ausf hrung des SafeGuard Enterprise Taskplaners benutzt wird eingestellt sind Weitere Informationen finden Sie unter Zugriffsrechte f r Sicherheitsbeauftragte und Import aus Active Directory Seite 45 F r Informationen zum Einstellen der Active Directory Zugriffsrechte siehe http www sophos com support knowledgebase 107979 aspx F r Informationen zum Einstellen der SQL Berechtigungen siehe http www sophos com de de support knowledgebase 113582 aspx Wenn die Rechte korrekt eingestellt sind wenden Sie die nderungen an und starten Sie den Dienst neu Wechseln Sie auf den Server der die SafeGuard Web Seite hostet Klicken Sie Start gt Run gt Services msc um die Services Oberfl che zu
212. e Textdateien mit den gew nschten Informationen m ssen erstellt werden bevor sie im SafeGuard Management Center registriert werden k nnen Die maximale Dateigr e f r Textdateien betr gt 50 KB SafeGuard Enterprise verwendet nur Unicode UTF 16 kodierte Texte Wenn Sie die Textdateien in einem anderen Format erstellen werden sie bei der Registrierung automatisch in dieses Format konvertiert Wenn eine Datei konvertiert wird wird eine entsprechende Meldung angezeigt So registrieren Sie die Textdateien 1 Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Texte und w hlen Sie Neu gt Text 2 Geben Sie unter Textelementname einen Namen f r den anzeigenden Text ein 20 6 Administratorhilfe 3 Klicken Sie auf um die zuvor erstellte Textdatei auszuw hlen Wenn eine Konvertierung notwendig ist wird eine entsprechende Meldung angezeigt 4 Klicken Sie auf OK Das neue Textelement wird als Unterknoten des Eintrags Texte im Richtlinien Navigationsbereich angezeigt Ist ein Textelement markiert wird sein Inhalt im Aktionsbereich auf der rechten Seite angezeigt Das Textelement kann jetzt beim Erstellen von Richtlinien ausgew hlt werden Um weitere Textelemente zu registrieren gehen Sie wie beschrieben vor Alle registrierten Textelemente werden als Unterknoten angezeigt Hinweis Mit der Schaltfl che Text ndern k nnen Sie weiteren Text zum bestehenden Text hinzuf gen Es wird ein Dialog ge
213. e Windows Anmeldungen w hrend Wake on LAN erlaubt sind Beginn des Zeitfensters f r externen WOL Start Ende des Zeitfensters f r externen WOL Start Datum und Uhrzeit f r den Beginn und das Ende des Wake on LAN WOL k nnen ausgew hlt oder eingegeben werden Datumsformat MWDD YYYY Uhrzeitformat HH MM Folgende Eingabekombinationen sind m glich Beginn und Ende des WOL werden festgelegt Nur das Ende des WOL wird festgelegt der Beginn bleibt offen Keine Eintr ge Es wird kein Zeitintervall f r den Client festgelegt Bei einem geplanten Software Rollout sollte der Sicherheitsbeauftragte den Zeitrahmen f r WOL so bemessen dass das Scheduling Skript fr h 157 SafeGuard Enterprise Richtlinieneinstellungen BENUTZER COMPUTER ZUORDNUNG UMA Erkl rung genug startet und allen Endpoints gen gend Zeit zum Booten bleibt WOlL start Der Startpunkt f r den WOL im Scheduling Skript muss innerhalb des hier in der Richtlinie festgelegten Zeitintervalls liegen Wenn kein Intervall definiert ist wird WOL lokal am durch SafeGuard Enterprise gesch tzten Endpoint nicht aktiviert WOLstop Dieses Kommando wird unabh ngig vom hier festgelegten Endpunkt des WOL ausgef hrt SGN Gastbenutzer nicht zulassen Registrieren von neuen SGN Benutzern erlauben Hinweis Diese Einstellung gilt nur f r zentral verwaltete Endpoints Legt fest ob sich Gastbenutzer am Endpoint anmelden k nnen Hinweis
214. e die neue Datenbank Konfiguration aus der Liste ausw hlen Herstellen einer Verbindung mit einer bereits vorhandenen Datenbankkonfiguration So benutzen Sie eine bereits vorhandene SafeGuard Enterprise Datenbankkonfiguration 1 Starten Sie das SafeGuard Management Center Der Dialog Konfiguration ausw hlen wird angezeigt 2 W hlen Sie die Datenbankkonfiguration die Sie verwenden m chten aus der Dropdownliste und klicken Sie auf OK Die ausgew hlte Datenbankkonfiguration wird mit dem SafeGuard Management Center verbunden und wird aktiv 3 Zur Authentisierung werden Sie dazu aufgefordert den Sicherheitsbeauftragtennamen f r diese Konfiguration auszuw hlen und das entsprechende Zertifikatsspeicherkennwort einzugeben Klicken Sie auf OK Das SafeGuard Management Center wird ge ffnet und mit der ausgew hlten Datenbankkonfiguration verbunden Export einer Konfiguration in eine Datei Um eine Konfiguration zu speichern damit sie sp ter wiederverwendet werden kann k nnen Sie sie in eine Datei exportieren 1 Starten Sie das SafeGuard Management Center Der Dialog Konfiguration ausw hlen wird angezeigt 2 W hlen Sie die gew nschte Konfiguration aus der Liste und klicken Sie auf Exportieren 3 Zum Schutz der Konfigurationsdatei werden Sie dazu aufgefordert ein Kennwort das die Konfigurationsdatei verschl sselt einzugeben und zu best tigen Klicken Sie auf OK 4 Geben Sie einen Dateinamen und einen Speichero
215. e im Navigationsfenster mit der rechten Maustaste auf den Sicherheitsbeauftragten den Sie zum Haupt Sicherheitsbeauftragten ernennen m chten W hlen Sie Zum Haupt Sicherheitsbeauftragten ernennen 3 Weist der ausgew hlte Sicherheitsbeauftragte untergeordnete Sicherheitsbeauftragte auf so werden Sie dazu aufgefordert einen neuen bergeordneten Knoten f r diese untergeordneten Sicherheitsbeauftragten auszuw hlen Der Sicherheitsbeauftragte wird zum Haupt Sicherheitsbeauftragten ernannt und unter dem Knoten Haupt Sicherheitsbeauftragte angezeigt Als Haupt Sicherheitsbeauftragter erh lt der ernannte Sicherheitsbeauftragte alle Rechte auf alle Objekte und verliert somit alle zugewiesenen Rollen sowie einzeln gew hrte Dom nen Zugriffsberechtigungen im Bereich Benutzer amp Computer Zur ckstufen von ernannten Haupt Sicherheitsbeauftragten Voraussetzung Nur Haupt Sicherheitsbeauftragte k nnen die Ernennung von Sicherheitsbeauftragten zu Haupt Sicherheitsbeauftragten r ckg ngig machen 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Haupt Sicherheitsbeauftragten dessen Ernennung Sie r ckg ngig machen m chten W hlen Sie Zum Sicherheitsbeauftragten zur ckstufen 3 Sie werden dazu aufgefordert einen bergeordneten Knoten f r den Sicherheitsbeauftragten zu w hlen und mindestens eine Rolle zuzuweisen Die Ernennung des Sicher
216. e latest 100000 events change if required SELECT ShrinkCommand exec spShrinkEventTable 100000 Sie k nnen festlegen ob die Ausf hrung des Jobs im NT Event Log protokolliert werden soll exec sp_add_job job_name AutoShrinkEventTable enabled 1 notify_level_eventlog 3 F r den Parameter notify_level_eventlog sind folgende Werte verf gbar Wert Ergebnis 3 Jede Ausf hrung des Jobs protokollieren Fehlschlagen des Jobs protokollieren Erfolgreiche Ausf hrung des Jobs protokollieren Ausf hrung des Jobs nicht im NT Event Log protokollieren Sie k nnen festlegen wie oft die Ausf hrung des Jobs im Fall eines Fehlschlags wiederholt werden soll 280 33 1383 33 14 Administratorhilfe exec sp_add_jobstep a Q retry_attempts 3 Dieses Beispiel legt 3 Versuche f r die Ausf hrung des Jobs im Fall eines Fehlschlags fest a Q retry_interval 60 Dieses Beispiel legt fest dass die Ausf hrung des Jobs in einem Abstand von 60 Minuten wiederholt werden soll Sie k nnen einen Zeitplan f r die Ausf hrung des Jobs festlegen exec sp_add_jobschedule a Q freq_type 4 Dieses Beispiel legt fest dass der Job t glich ausgef hrt wird a fregq_interval 1 Dieses Beispiel legt fest dass der Job einmal pro Tag ausgef hrt wird a Q active_start_time 010000 Dieses Beispiel legt fest dass der Job um 01 00 Uhr ausgef hrt wird Hinweis Neben den oben angef hrten Beispielwerten l sst sich n
217. e sich am SafeGuard Management Center anmelden d rfen vorhanden sein F r die Anmeldung an das SafeGuard Management Center ist dann nur das Kennwort f r den Zertifikatsspeicher erforderlich 1 Installieren Sie SGNManagementCenter msi mit den gew nschten Features auf einem weiteren Computer 2 Starten Sie das SafeGuard Management Center auf dem Computer mit dem neu installierten SafeGuard Management Center Der Konfigurationsassistent wird gestartet und f hrt Sie durch die notwendigen Schritte 3 Klicken Sie auf der Willkommen Seite auf Weiter 4 W hlen Sie im Dialog Datenbankverbindung unter Datenbankserver die erforderliche SQL Datenbankinstanz aus der Liste aus Alle auf Ihrem Computer oder Netzwerk verf gbaren Datenbankserver werden angezeigt W hlen Sie unter Authentisierung die Art der Authentisierung die f r den Zugriff auf diese Datenbankinstanz benutzt werden soll Wenn Sie SQL Server Authentisierung verwenden w hlen geben Sie die SQL Benutzerkontenanmeldedaten ein die Ihr SQL Administrator erstellt hat Klicken Sie auf Weiter 5 Aktivieren Sie unter Datenbankeinstellungen die Option Folgende bestehende Datenbank verwenden und w hlen Sie die Datenbank aus der Liste aus Klicken Sie auf Weiter 6 W hlen Sie unter SafeGuard Management Center Authentisierung eine autorisierte Person aus der Liste aus Wenn Multi Tenancy aktiviert ist zeigt der Dialog an an welcher Konfiguration sich der Benutzer anmeldet Geben Sie
218. eauftragten 1 W hlen Sie Extras gt Optionen in der SafeGuard Management Center Men leiste 2 W hlen Sie die Registerkarte Zertifikate und klicken Sie im Bereich lt Administrator gt Zertifikat auf Exportieren 3 Sie werden aufgefordert ein Kennwort f r die Sicherung der exportierten Datei einzugeben Geben Sie ein Kennwort ein best tigen Sie es und klicken Sie auf OK 4 Geben Sie einen Dateinamen und einen Speicherort f r die zu exportierende Datei ein und klicken Sie auf OK Das Zertifikat des derzeit angemeldeten Haupt Sicherheitsbeauftragten wird als P12 Datei an den definierten Speicherort exportiert und kann f r Recovery Vorg nge benutzt werden Virtuelle Clients Hinweis Virtuelle Clients k nnen nur f r SafeGuard full disk encryption with SafeGuard Power on Authentication POA verwendet werden Virtuelle Clients sind spezifische verschl sselte Schl sseldateien die im Rahmen eines Challenge Response Verfahrens f r Recovery Zwecke verwendet werden k nnen wenn die ben tigten Benutzerinformationen nicht zur Verf gung stehen und ein Challenge Response Verfahren normalerweise nicht m glich w re z B bei besch digter SafeGuard POA Um in dieser komplexen Recovery Situation ein Challenge Response Verfahren zu erm glichen lassen sich spezifische Dateien die als virtuelle Clients bezeichnet werden erstellen Diese Dateien m ssen vor dem Challenge Response Verfahren an den Benutzer verteilt werden Mit
219. eben Kryptographische Token k nnen nicht f r Standalone Endpoints verwendet werden Hinweis Bei Problemen bei der Anmeldung mit einem Kerberos Token kann weder Challenge Response noch Local Self Help f r Recovery Vorg nge benutzt werden Hier wird nur Challenge Response mit virtuellen Clients unterst tzt Mit diesem Verfahren k nnen Benutzer wieder Zugriff auf verschl sselte Volumes auf Ihren Endpoints erlangen PIN f r automatische Anmeldung mit Token Geben Sie hier eine Default PIN an die dem Benutzer die automatische Anmeldung an der SafeGuard Power on Authentication mit Token oder Smartcard erm glicht Der Benutzer muss den Token bei der Anmeldung einstecken Daraufhin wird eine automatische Anmeldung an der SafeGuard Power on Authentication durchgef hrt Windows wird gestartet PIN Regeln m ssen hier nicht beachtet werden Hinweis Diese Option steht nur dann zur Verf gung wenn die Option Token als Anmeldemodus gew hlt wurde Wenn diese Option ausgew hlt wird muss bei Durchgehende Anmeldung an Windows die Einstellung Durchgehende Anmeldung deaktivieren gew hlt werden Erfolglose Anmeldeversuche dieses Benutzers anzeigen Wenn hier Ja eingestellt ist Nach der Anmeldung bei SafeGuard POA und Windows wird ein Dialog mit Informationen ber die letzte fehlgeschlagene Anmeldung Benutzername Datum Zeit angezeigt Letzte Benutzeranmeldung anzeigen Wenn hier Ja eingestellt ist Nach der Anmeldun
220. ederherstellen Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Tools Anleitung Originaler Bootsektor Beide KSAs enthalten den originalen Bootsektor Das ist jener der ausgef hrt wird nachdem der DEK Data Encryption Key entschl sselt wurde und der Algorithmus und der Schl ssel in den BE Filtertreiber geladen wurden Ist dieser Bootsektor defekt kann Windows nicht auf das Volume zugreifen Normalerweise wird die bekannte Fehlermeldung Ger t ist nicht formatiert M chten Sie es jetzt formatieren Ja Nein angezeigt SafeGuard Enterprise wird den DEK f r dieses Volume dennoch laden Jedes Tool das den Bootsektor reparieren kann soll dennoch laufen vorausgesetzt es passiert den SafeGuard Enterprise Upper Volume Filter Windows Bootprobleme SafeGuard Enterprise ist mit seinem kryptographischen Konzept der volume spezifischen Schl ssel Bootsektor Key Storage Area KSA sehr flexibel Sie k nnen ein besch digtes System durch Booten eines Wiederherstellungsmediums von der SafeGuard Power on Authentication aus Windows PE mit dem SafeGuard Enterprise Verschl sselungs Subsystem installiert retten Diese Medien haben einen transparenten Ver Entschl sselungszugriff auf mit SafeGuard Enterprise verschl sselte Volumes Der Grund f r das nicht bootbare System kann von dort aus beseitigt werden Verschl sselungs Subsystem Verschl sselungs Subsysteme sind z B BEFLT sys Systeme F hren Sie das unter
221. edoch jeweils nur ein Template auf der realen Maschine installieren Wenn Sie f r beide Server das Kontrollk stchen Skripts ausf hren erlaubt ausw hlen zeigt der Taskplaner beide Server in der Dropdownliste SGN Server in den Dialogen Neuer Task und lt Task Name gt Eigenschaften zur Auswahl an Der Taskplaner kann nicht ermitteln welches der beiden Templates auf der Maschine installiert wurde Um dies zu vermeiden w hlen Sie das Kontrollk stchen Skript ausf hren erlaubt f r Templates die nicht auf dem Server installiert sind nicht aus Vermeiden Sie au erdem eine Doppelung von Templates mit demselben Maschinenzertifikat Weitere Informationen zum Registrieren von Servern finden Sie in der SafeGuard Enterprise Installationsanleitung 291 SafeGuard Enterprise 34 7 Protokollierte Ereignisse f r den Taskplaner 292 Zur Ausf hrung von Tasks lassen sich Ereignisse protokollieren die zum Beispiel bei der Fehlerbehebung n tzliche Informationen liefern Sie k nnen festlegen dass folgende Ereignisse protokolliert werden Task erfolgreich ausgef hrt Task fehlgeschlagen Service Thread wegen Ausf hrung gestoppt Die Ereignisse enthalten den Output der Skriptkonsole zur Unterst tzung bei der Fehlerbehebung Weitere Informationen zur Protokollierung finden Sie unter Berichte Seite 270 39 35 1 39 2 Administratorhilfe Managing Mac endpoints in the SafeGuard Management Center Macs auf denen die folge
222. ein 27 8 4 27 8 5 29 27 3 1 Administratorhilfe Sie ben tigen das Zugriffsrecht Voller Zugriff f r den relevanten Benutzer 1 Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Benutzer PIN ndern Symbol 2 Geben Sie die alte und die neue Benutzer PIN ein wiederholen Sie die neue Benutzer PIN und klicken Sie auf OK Die Benutzer PIN wurde ge ndert Falls Sie die PIN f r einen anderen Benutzer ge ndert haben teilen Sie ihm die Anderung mit Erzwingen einer PIN nderung Um eine PIN nderung zu erzwingen ben tigen Sie das Zugriffsrecht Voller Zugriff f r den relevanten Benutzer 1 Klicken Sie in der SafeGuard Management Center Symbolleiste auf das PIN nderung erzwingen Symbol Wenn sich der Benutzer beim n chsten Mal mit dem Token anmeldet muss er seine Benutzer PIN ndern PIN Historie Die PIN Historie kann gel scht werden Klicken Sie dazu auf das Symbol PIN Historie l schen Verwalten von Token und Smartcards Im Bereich Token des SafeGuard Management Centers hat der Sicherheitsbeauftragte folgende M glichkeiten Einsehen einer bersicht ber die ausgestellten Token und Zertifikate Filtern von bersichten Sperren von Token f r die Anmeldung Lesen oder L schen der Daten auf einem Token Anzeigen von Token Smartcard Informationen Als Sicherheitsbeauftragter k nnen Sie sich Informationen ber alle oder einzelne ausgestellte Token anzeigen lassen Sie k
223. ein 9 Ordnen Sie einen Prim ren Server zu der Sekund re Server ist nicht notwendig 10 W hlen Sie die zuvor zur Aktualisierung des Unternehmenszertifikats erstellte CCO 11 W hlen Sie den Modus f r die Transportverschl sselung der bestimmt wie die Verbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Server verschl sselt wird SafeGuard Transportverschl sselung oder SSL Verschl sselung Der Vorteil bei SSL ist dass es ein Standardprotokoll ist und eine schnellere Verbindung aufgebaut werden kann als mit der SafeGuard Transportverschl sselung SSL Verschl sselung wird standardm ig ausgew hlt Weitere Informationen zur Absicherung von Transportverbindungen mit SSL finden Sie in der SafeGuard Enterprise Installationsanleitung 12 Geben Sie einen Ausgabepfad f r das Konfigurationspaket MSI an 13 Klicken Sie auf Konfigurationspaket erstellen WennsSie als Modus f r die Transportverschl sselung die SSL Verschl sselung ausgew hlt haben wird die Serververbindung validiert Wenn die Verbindung fehlschl gt wird eine Warnungsmeldung angezeigt Das Konfigurationspaket MSI wird im angegebenen Verzeichnis angelegt Starten Sie alle SGN Server neu Sie m ssen das Paket auf den Endpoints verteilen und installieren Ersetzen des Unternehmenszertifikats Das Ersetzen des Unternehmenszertifikats ist notwendig wenn Sie einen Endpoint von einer Standalone Umgebung in eine andere verschieben m chten De
224. eine Liste d h es gilt keine Service Account Liste Rollout Beauftragte die sich nach der Installation von SafeGuard Enterprise an dem Endpoint anmelden werden somit nicht als Gastbenutzer behandelt und k nnen die SafeGuard Power on Authentication aktivieren sowie zum Endpoint hinzugef gt werden Um die Zuweisung einer Service Account Liste r ckg ngig zu machen w hlen Sie die Option Keine Liste 3 Speichern Sie Ihre nderungen indem Sie auf das Speichern Symbol in der Symbolleiste klicken Sie k nnen die Richtlinie nun an die Endpoints bertragen um die Service Accounts auf den Endpoints zur Verf gung zu stellen Hinweis Wenn Sie unterschiedliche Service Account Listen in verschiedenen Richtlinien ausw hlen die alle nach dem RSOP Resulting Set of Policies die f r einen bestimmten Computer eine bestimmte Gruppe geltenden Einstellungen relevant sind setzt die Service Account Liste in der zuletzt angewandten Richtlinie alle zuvor zugewiesenen Service Account Listen au er Kraft Service Account Listen werden nicht zusammengef hrt Um das RSOP unter Benutzer amp Computer einzusehen brauchen Sie zumindest das Zugriffsrecht Schreibgesch tzt f r die relevanten Objekte bertragen der Richtlinie an den Endpoint Service Account Listen sind w hrend der Installation in der Rollout Phase einer Implementation besonders hilfreich und wichtig Es wird daher empfohlen die Service Account Einstellungen unmittelbar nach der In
225. eingeben und es gab kein Problem mit dem TPM beginnt die Verschl sselung des Boot Volume Andernfalls wenn der Test fehlschl gt wird ein Fehler angezeigt und das Volume nicht verschl sselt Schl gt der Test fehl weil der Benutzer Esc in der Pre Boot Umgebung gedr ckt hat wird der Benutzer aufgefordert erneut eine PIN einzugeben und einen Neustart vorzunehmen wie in Schritt 2 die Schritte 3 4 und 5 werden wiederholt 6 Die Verschl sselung des Boot Volume beginnt 7 Die Verschl sselung der Daten Volumes beginnt ebenfalls ohne dass eine Interaktion seitens des Benutzers erforderlich ist Fall 2 Ein Benutzer meldet sich bei einem Windows 8 Endpoint ohne TPM an 1 Der Benutzer wird aufgefordert ein Kennwort f r das Boot Volume einzugeben 2 Der Benutzer gibt das Kennwort ein und klickt auf Neu starten und verschl sseln 3 Das System startet neu f hrt einen Hardwaretest durch und der Benutzer meldet sich wie im Fall oben erneut an genau wie in Fall 1 Schritte 3 bis 6 aber die Verweise auf das TPM sind nicht relevant und anstelle einer PIN ist ein Kennwort erforderlich 171 SafeGuard Enterprise 4 5 Die Verschl sselung des Boot Volume beginnt Die Verschl sselung der Daten Volumes beginnt ebenfalls ohne dass eine Interaktion seitens des Benutzers erforderlich ist Fall 3 Ein Benutzer meldet sich bei einem Windows 7 Endpoint ohne TPM an 1 2 3 Der Benutzer wird aufgefordert den Verschl ssel
226. eld Mindestanzahl der verf gbaren Fragen Antworten angegebene Wert muss h her sein als der Wert im Feld Anzahl der in der POA gestellten Fragen Ist dies nicht der Fall so wird beim Speichern Ihrer nderungen eine Fehlermeldung angezeigt Die Felder haben folgende Standardwerte Mindestanzahl der verf gbaren Fragen Antworten 10 Anzahl der in der POA gestellten Fragen 5 3 Speichern Sie Ihre nderungen in der Datenbank Die festgelegten Werte f r die Fragenanzahl gelten f r die Local Self Help Konfiguration die an die Endpoints bertragen wird Verwenden der Vorlage F r Local Self Help ist ein vordefiniertes Fragenthema verf gbar Sie finden dieses Fragenthema im SafeGuard Management Center unter Local Self Help Fragen Sie k nnen das vordefinierte Fragenthema unver ndert verwenden bearbeiten oder l schen Import von Fragenthemen Mit dem Importvorgang k nnen Sie Ihre eigenen als XML Dateien angelegten Fragenlisten importieren 1 Erstellen Sie ein neues Fragenthema siehe Erstellen eines neuen Fragenthemas und Hinzuf gen von Fragen Seite 238 2 Markieren Sie im Richtlinien Navigationsbereich das neue Fragenthema unter Local Self Help Fragen 3 Klicken Sie im Arbeitsbereich mit der rechten Maustaste Das Kontextmen f r das Fragenthema wird ge ffnet W hlen Sie Importieren 237 SafeGuard Enterprise 4 W hlen Sie das Verzeichnis in dem das Fragenthema abgelegt ist sowie das gew nscht
227. em dem angegebenen Plan auf dem ausgew hlten Server ausgef hrt 284 Administratorhilfe 34 2 Die Taskplaner bersichtanzeige Nachdem Sie Tasks zur Ausf hrung auf einem SafeGuard Enterprise Server erstellt haben werden diese im Dialog Taskplaner angezeigt den Sie ber Extras gt Taskplaner ffnen Dieser Dialog zeigt die folgenden Spalten f r die einzelnen Tasks Spalte Task Name Beschreibung Zeigt den eindeutigen Task Namen SGN Server Geplante Ausf hrung Gibt an auf welchem Server der Task ausgef hrt wird Zeigt den f r den Task definierten Zeitplan inklusive Wiederholung und Zeit N chste Ausf hrung Letzte Ausf hrung Zeigt an wann der Task zum n chsten Mal ausgef hrt wird Datum und Uhrzeit Wenn f r diesen Task keine weiteren Ausf hrungen vorgesehen sind wird in dieser Spalte Keine angezeigt Zeigt an wann der Task zum letzten mal ausgef hrt wurde Datum und Uhrzeit Wurde der Task noch nicht ausgef hrt so wird in dieser Spalte Keine angezeigt Ergebnis der letzten Ausf hrung Zeigt das Ergebnis der letzten Task Ausf hrung Erfolgreich Das dem Task zugeordnete Skript wurde erfolgreich ausgef hrt Fehlgeschlagen Der Task konnte nicht ausgef hrt werden Falls verf gbar wird eine Fehlernummer angezeigt L uft Das Skript l uft derzeit Unzureichende Berechtigung Der Task ist aufgrund von unzureichender Berechtigung f r die Skript Ausf hrung
228. em Computer 1 Fordern Sie beim technischen Support von Sophos die SafeGuard Enterprise Windows PE Disk an F r den Helpdesk steht die Windows PE Recovery Disk mit den aktuellen SafeGuard Enterprise Filter Treibern auf der Sophos Support Website zum Download zur Verf gung Weitere Informationen finden Sie unter http www sophos com de de support knowledgebase 108805 aspx 2 Legen Sie die Windows PE Recovery Disk ein 3 Starten Sie den Computer von der Recovery Disk und f hren Sie ein Challenge Response mit einem virtuellen Client durch Weitere Informationen finden Sie unter Challenge Response mit virtuellen Clients Seite 245 Der Zugriff auf die Daten die auf dieser Partition gespeichert sind ist wiederhergestellt Hinweis Je nach verwendetem BIOS funktioniert das Booten von der Disk u U nicht Besch digter MBR Zur Problembehebung im Fall eines besch digten MBR bietet SafeGuard Enterprise das Tool BE_Restore exe Eine detaillierte Beschreibung zur Wiederherstellung eines besch digten MBR finden Sie in der SafeGuard Enterprise Tools Anleitung Besch digter Kernel Bootcode Es kann auf eine Festplatte mit einem besch digten Kernel Bootcode zugegriffen werden Denn Schl ssel werden getrennt vom Kernel in der so genannten KSA Key Storage Area gespeichert Durch die Trennung von Kernel und Schl sseln k nnen solche Laufwerke angeschlossen an einen anderen Computer entschl sselt werden Dazu ben tigt der Benutz
229. empfehlen wir pers nliche Schl ssel im SafeGuard Management Center zu erzeugen siehe Erzeugen von pers nlichen Schl sseln f r mehrere Benutzer Seite 75 Dies reduziert die Auslastung des SafeGuard Enterprise Servers Administratorhilfe 12 2 2 Erzeugen eines pers nlichen Schl ssels f r einzelne Benutzer 12 2 3 Um einen pers nlichen Schl ssel zu erzeugen ben tigen Sie die Rechte Schl ssel erzeugen und Schl ssel zuweisen Dar ber hinaus ben tigen Sie das Zugriffsrecht Voller Zugriff f r das relevante Objekt Um einen aktiven pers nlichen Schl ssel zu ersetzen ben tigen Sie das Recht Pers nliche Schl ssel verwalten 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Navigationsbereich den gew nschten Benutzer 3 Klicken Sie mit der rechten Maustaste auf die Registerkarte Schl ssel und w hlen Sie Neuen Schl ssel zuweisen aus dem Kontextmen 4 F hren Sie im Dialog Neuen Schl ssel zuweisen folgende Aufgaben aus a Geben Sie eine Beschreibung f r den pers nlichen Schl ssel ein b Um den pers nlichen Schl ssel im Schl sselring des Benutzers zu verbergen w hlen Sie Schl ssel verbergen 5 Abh ngig davon ob Sie einen pers nlichen Schl ssel f r einen Benutzer erzeugen der bereits eine aktiven pers nlichen Schl ssel hat oder f r einen Benutzer ohne einen solchen Schl ssel zeigt der Dialog Neuen Schl ssel zuweisen verschiedene Kontrollk stchen W
230. en Ja Der Benutzer definiert eine Medien Passphrase auf seinem Computer die f r alle seine Wechselmedien gilt SafeGuard Portable auf das Ziel kopieren Ja SafeGuard Portable gibt dem Benutzer in einem System ohne SafeGuard Data Exchange Zugriff auf alle verschl sselten Dateien auf den Wechselmedien durch die Eingabe einer einzigen Medien Passphrase Wenn die Firmenrichtlinien zus tzlich festlegen dass alle Dateien auf Wechselmedien immer verschl sselt werden sollen f gen Sie folgende Einstellungen hinzu Initialverschl sselung aller Dateien Ja Stellt sicher dass Dateien auf Wechselmedien verschl sselt werden sobald die Wechselmedien zum ersten Mal mit dem System verbunden werden Benutzer darf Initialverschl sselung abbrechen Nein Der Benutzer kann die Initialverschl sselung nicht abbrechen um sie z B zu einem sp teren Zeitpunkt durchzuf hren Benutzer darf auf unverschl sselte Dateien zugreifen Nein Werden auf Wechselmedien unverschl sselte Dateien entdeckt so wird der Zugriff auf diese Dateien verweigert Benutzer darf Dateien entschl sseln Nein Der Benutzer darf Dateien auf Wechselmedien nicht entschl sseln Im B ro haben sowohl Bob als auch Alice transparenten Zugriff auf verschl sselte Dateien auf Wechselmedien Zuhause oder auf Dritt Computern k nnen sie verschl sselte Dateien mit SafeGuard Portable ffnen Die Benutzer m ssen nur die Medien Passphrase eingeben und erhalten somit Zugriff auf al
231. en bleiben sie Gastbenutzer und werden nicht in der Datenbank gespeichert Wenn f r diese Benutzer zudem noch Windows Autologon aktiviert ist wird die Anmeldung abgebrochen F r die erfolgreiche Anmeldung an SafeGuard Enterprise muss in diesem Fall ein neues Kennwort vergeben werden und das Autologon f r Windows in der Registry des Endpoint deaktiviert werden Hinweis Microsoft Konten werden immer als SafeGuard Enterprise Gastbenutzer behandelt Beispiele f r die automatische Registrierung Im Folgenden finden Sie zwei Beispiele f r das Verhalten von automatisch registrierten Objekten Benutzer Computer au erhalb eines Active Directory In einem Unternehmen m ssen nicht zwangsl ufig alle Benutzer Computer Teil eines Active Directory AD sein z B lokale Benutzer Ein Unternehmen hat m glicherweise nur eine oder wenige Arbeitsgruppen so dass sich der Aufbau eines ADs nicht lohnt Dieses Unternehmen m chte SafeGuard Enterprise einsetzen um dann seine Benutzer Computerobjekte mit Richtlinien zu versehen Deshalb wird die Organisationsstruktur des Unternehmens im SafeGuard Management Center folgenderma en manuell aufgebaut Administratorhilfe Rock Filter is active DE Authenticabed Computers E Authenticabed Users SE Auto registered iG Workgroup 1 tntry added manuallw y Auto registered es WG_User 1 entry created on logon Die Objekte bleiben im Verzeichnis Automatisch registriert Sie k nnen mit
232. en Maustaste und w hlen Sie im angezeigten Kontextmen Richtlinie wiederherstellen Hinweis Der Befehl Richtlinie wiederherstellen steht auch im Men Aktionen zur Verf gung W hlen Sie die XML Datei f r die Wiederherstellung der Richtlinie Richtliniengruppe aus und klicken Sie auf ffnen Die Richtlinie Richtliniengruppe ist wiederhergestellt Zuweisen von Richtlinien Um Richtlinien zuzuweisen ben tigen Sie das Zugriffsrecht Voller Zugriff f r alle beteiligten Objekte 1 2 Klicken Sie auf Benutzer amp Computer W hlen Sie im Navigationsbereich das gew nschte Objekt aus z B Benutzer Gruppe oder Container Wechseln Sie in die Registerkarte Richtlinien Im Aktionsbereich werden alle f r die Zuweisung der Richtlinie notwendigen Elemente angezeigt Zum Zuweisen einer Richtlinie ziehen Sie sie aus der Liste der verf gbaren Richtlinien in die Registerkarte Richtlinien Sie k nnen f r jede Richtlinie eine Priorit t festlegen indem Sie die Richtlinie ber das Kontextmen nach oben oder unten reihen Die Einstellungen einer h her gereihten Richtlinie berschreiben jene einer niedriger priorisierten Wenn Sie f r eine Richtlinie Kein berschreiben aktivieren k nnen die Einstellungen dieser Richtlinie nicht von anderen berschrieben werden Hinweis Wenn Sie bei einer Richtlinie mit niedrigerer Priorit t die Option Kein berschreiben aktivieren so zieht diese Richtlinie trotz niedrigerer Priorit
233. en Ordnern und ihre Synchronisierung mit der Cloud Die Speicherung von verschl sselten Dateien von Microsoft Office 2013 Applikationen direkt in der OneDrive for Business Cloud oder direkt am SharePoint Server wird nicht unterst tzt Diese Dateien werden unverschl sselt in der Cloud gespeichert Von SafeGuard Enterprise in der OneDrive for Business Cloud verschl sselte Dateien k nnen nicht von Microsoft Office 365 ge ffnet werden lt SkyDrive gt Synchronisierungsapplikation F r Synchronisierungsordner isierungsapplikationen Der Fully qualified Pfad der Synchronisierungsapplikation die von der OneDrive Software benutzt wird F r Synchronisierungsordner Der Fully qualified Pfad der Synchronisierungsordner die von der OneDrive Software benutzt werden Da Microsoft SkyDrive auf OneDrive umbenannt hat ist der lt SkyDrive gt Platzhalter immer noch verf gbar Auf diese Weise k nnen ltere Richtlinien und SafeGuard Enterprise Endpoints vor Version 7 die den lt OneDrive gt Platzhalter nicht handhaben k nnen ohne nderungen verwendet werden SafeGuard Enterprise Endpoints Version 7 k nnen beide Platzhalter handhaben Media Center lt Mediacenter gt Synchronisierungsapplikation F r Synchronisierungsordner Synchronisierungsapplikationen Der Fully qualified Pfad der Synchronisierungsapplikation 207 SafeGuard Enterprise 23 22 208 Anbieter Platzhalter Kann in CSD
234. en keine Auswirkungen Mehrere File Encryption Richtlinien Alle File Encryption Verschl sselungsregeln die ber Richtlinien zugewiesen und f r Benutzer Computer an unterschiedlichen Knoten unter Benutzer amp Computer im SafeGuard Management Center aktiviert werden werden kumuliert Sie k nnen eine allgemeine File Encryption Richtlinie mit Regeln die f r alle Benutzer relevant sind am Stammverzeichnisknoten und Richtlinien f r spezifischere Anforderungen an den einzelnen Unterknoten zuweisen Alle Regeln aus allen Richtlinien die Benutzern Computern zugewiesen sind werden kumuliert und treten auf dem Endpoint in Kraft File Encryption Richtlinien im RSOP Wenn f r einen Benutzer Computer mehrere File Encryption Richtlinien gelten zeigt die Registerkarte RSOP Resulting Set of Policies unter Benutzer amp Computer die Summe aller File Encryption Verschl sselungsregeln aus allen File Encryption Richtlinien an Die Regeln werden in der Reihenfolge ihrer Evaluierung auf dem Endpoint Computer sortiert siehe Reihenfolge der Evaluierung von File Encryption Verschl sselungsregeln auf Endpoints Seite 191 23 4 2 23 6 Administratorhilfe Die Spalte Name der Richtlinie gibt an woher die einzelnen Regeln stammen F r doppelte Regeln wird die zweite und dritte usw Regel mit einem Symbol markiert Dieses Symbol bietet auch einen Tooltip der Sie informiert das die Regel auf dem Endpoint verworfen wird da sie ein Dupl
235. en nicht h here Zugriffsrechte als Ihre Zugriffsrechte erteilen Voraussetzung Wenn Sie einem Sicherheitsbeauftragten das Recht auf Verzeichnisobjekte zuzugreifen und diese zu verwalten gew hren verweigern m chten ben tigen Sie die Benutzer und Computer Rechte Zugriffsrechte von Sicherheitsbeauftragten anzeigen und Zugriffsrechte f r Verzeichnis erteilen verweigern Dar ber hinaus ben tigen Sie das Zugriffsrecht Voller Zugriff f r das relevante Verzeichnisobjekt 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Navigationsfenster auf der linken Seite die gew nschten Verzeichnisobjekte aus Hinweis Die Navigationsbaumstruktur zeigt nur die Verzeichnisobjekte f r die Sie Zugriffsrechte haben Wenn Sie das Zugriffsrecht Voller Zugriff haben wird das jeweilige Objekt schwarz dargestellt Objekte mit Zugriffsrecht Schreibgesch tzt werden blau dargestellt Auf einen ausgegrauten Knoten k nnen Sie nicht zugreifen Dieser wird jedoch angezeigt wenn es untergeordnete Knoten gibt auf die Sie Zugriff haben 3 Klicken Sie im Aktionsbereich auf der rechten Seite auf die Registerkarte Zugriff 4 Um die Rechte f r die ausgew hlten Objekte zuzuweisen ziehen Sie den gew nschten Sicherheitsbeauftragten von der u ersten rechten Seite per Drag amp Drop in die Zugriff Tabelle 5 W hlen Sie in der Spalte Zugriffsrechte die Rechte die Sie dem Sicherheitsbeauftragten f r die ausgew h
236. en repariert werden so l sst sich Recovery f r die Anmeldung ber eine Richtlinie aktivieren In diesem Fall wird der Benutzer bei einem besch digten Local Cache automatisch dazu aufgefordert ein Challenge Response Verfahren zu starten Erzeugen einer Response f r Standalone Endpoints mit der Schl ssel Recovery Datei Hinweis Die Schl ssel Recovery Datei die w hrend der Installation der SafeGuard Enterprise Verschl sselungssoftware generiert wurde muss an einem Speicherort abgelegt sein auf den der Helpdesk Beauftragte Zugriff hat Dar ber hinaus muss der Name der Datei bekannt sein 1 W hlen Sie in der Men leiste des SafeGuard Management Center Extras gt Recovery um den Recovery Assistenten zu ffnen 2 W hlen Sie unter Recovery Typ die Option Sophos SafeGuard Client Standalone 3 Suchen Sie nach der Schl ssel Recovery Datei indem Sie auf die Schaltfl che neben dem Feld Schl ssel Recovery Datei klicken Zur Vereinfachung der Identifizierung tragen die Recovery Dateien den Namen des Computers computername GUID xml 253 SafeGuard Enterprise 29 3 29 3 1 254 4 Geben Sie den vom Benutzer erhaltenen Challenge Code ein und klicken Sie auf Weiter Der Challenge Code wird gepr ft Wenn der Challenge Code korrekt eingegeben wurde werden die vom Endpoint Computer angeforderte Recovery Aktion sowie die m glichen Recovery Aktionen angezeigt Wenn der Code nicht korrekt eingegeben wurde wird unterhal
237. en und die Dom ne des letzten angemeldeten Benutzers Benutzer m ssen den Benutzernamen also nicht jedes Mal eingeben wenn sie sich anmelden Nein Die SafeGuard POA speichert den Benutzernamen und die Dom ne des letzten angemeldeten Benutzers nicht Service Account Liste Durchgehende Anmeldung an Windows Um zu verhindern dass durch administrative Vorg nge auf einem durch SafeGuard Enterprise gesch tzten Endpoint die Power on Authentication aktiviert wird und Rollout Beauftragte als Benutzer zum Endpoint hinzugef gt werden bietet SafeGuard Enterprise Service Account Listen f r die Windows Anmeldung an SafeGuard Enterprise Endpoints Die in den Listen enthaltenen Benutzer werden als SafeGuard Enterprise Gastbenutzer behandelt Damit Sie hier eine Liste ausw hlen k nnen m ssen Sie diese zun chst im Richtlinien Navigationsbereich unter Service Account Listen anlegen Hinweis Soll der Benutzer in der Lage sein anderen Benutzern Zugriff auf seinen Computer zu gew hren muss er in der Lage sein die durchgehende Anmeldung an Windows zu deaktivieren Benutzer w hlen lassen Im SafeGuard POA Anmeldedialog kann der Benutzer durch Aktivieren Deaktivieren dieser Option entscheiden ob er automatisch an Windows angemeldet werden will oder nicht Durchgehende Anmeldung deaktivieren Nach der Anmeldung an der SafeGuard POA wird anschlie end der Windows Anmeldedialog angezeigt Der Benutzer muss sich manuell an
238. enbankserververbindung Seite 20 Verbindung zwischen SafeGuard Enterprise Server und durch SafeGuard Enterprise gesch tzte Endpoints Aktivieren Sie die SSL Verschl sselung beim Erzeugen des Konfigurationspakets f r den durch SafeGuard Enterprise verwalteten Endpoint im SafeGuard Management Center Konfigurationspakete Werkzeug siehe Erstellen eines Konfigurationspakets f r verwaltete Endpoints Seite 101 N here Informationen wie SSL am SafeGuard Enterprise Server und dem durch SafeGuard Enterprise gesch tzten Endpoint zu konfigurieren ist entnehmen sie der SafeGuard Enterprise Installationsanleitung Sie k nnen die SSL Verschl sselung f r SafeGuard Enterprise w hrend der Erstkonfiguration der SafeGuard Enterprise Komponenten oder zu einem sp teren Zeitpunkt einrichten Erstellen Sie danach ein neues Konfigurationspaket und installieren Sie es auf dem entsprechenden Server oder zentral verwalteten Computer Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung 10 10 1 10 1 1 Administratorhilfe Aufbau der Organisationsstruktur F r den Aufbau einer Organisationsstruktur im SafeGuard Management Center gibt es zwei M glichkeiten Sie k nnen eine bestehende Organisationsstruktur ber ein Active Directory in die SafeGuard Enterprise Datenbank importieren Sie k nnen Ihre Organisationsstruktur manuell anlegen indem Sie Arbeitsgruppen und Dom nen sowie eine Struktur f
239. endes konfigurieren Protokollierung eines Ereignisses wenn eine Datei oder ein Verzeichnis auf dem Wechselmedium angelegt wird Protokollierung eines Ereignisses wenn eine Datei oder ein Verzeichnis auf dem Wechselmedium umbenannt wird Protokollierung eines Ereignisses wenn eine Datei oder ein Verzeichnis vom Wechselmedium gel scht wird Weitere Informationen finden Sie unter Datei Tracking Bericht f r Wechselmedien und Cloud Speicher Seite 275 SafeGuard Data Exchange und File Encryption Das SafeGuard Enterprise Modul File Encryption bietet dateibasierende Verschl sselung im Netzwerk speziell f r Arbeitsgruppen bei Netzwerkfreigaben Wenn sowohl SafeGuard Data Exchange als auch File Encryption auf einem Endpoint installiert ist kann es vorkommen dass eine SafeGuard Data Exchange Verschl sselungsrichtlinie f r ein Laufwerk auf dem Computer definiert ist und gleichzeitig File Encryption Richtlinien f r Ordner auf demselben Laufwerk gelten Ist dies der Fall so erh lt die SafeGuard Data Exchange Richtlinie Vorrang vor den File Encryption Richtlinien Neue Dateien werden gem der SafeGuard Data Exchange Richtlinie verschl sselt Weitere Informationen finden Sie unter Dateiverschl sselung Seite 181 25 20 1 29 2 Administratorhilfe Cloud Storage Das SafeGuard Enterprise Modul Cloud Storage bietet dateibasierende Verschl sselung von in der Cloud gespeicherten Daten Das Modul beeinflusst nicht
240. endet werden kann Hinweis F r die Verwaltung von CCOs ben tigen Sie das Recht CCOs verwalten Import Um beim Erstellen von Konfigurationspaketen die von einem anderen Management Werkzeug erstellte CCO auszuw hlen um das Unternehmenszertifikat zu ndern m ssen Sie es erst importieren Administratorhilfe Klicken Sie auf Importieren um einen Dialog zu ffnen in dem Sie die CCO ausw hlen und benennen k nnen Der hier eingegebene Name wird in der Registerkarte CCOs unter Konfigurationspakete angezeigt 13 3 2 Export Mit der Exportieren Funktion lassen sich in der Datenbank gespeicherte CCOs als cco Dateien exportieren 87 SafeGuard Enterprise 14 14 1 14 2 88 Mit Richtlinien arbeiten Die folgenden Abschnitte beschreiben richtlinienrelevanten Vorg nge z B das Erstellen Gruppieren und Sichern von Richtlinien Hinweis F r das Zuweisen Entfernen oder Bearbeiten von Richtlinien ben tigen Sie das Zugriffsrecht Voller Zugriff f r die relevanten Objekte sowie f r jede Gruppe die f r die jeweiligen Richtlinien aktiviert ist Eine Beschreibung aller verf gbaren SafeGuard Enterprise Richtlinieneinstellungen finden Sie unter Richtlinieneinstellungen Seite 126 Anlegen von Richtlinien 1 Melden Sie sich mit dem Kennwort das Sie w hrend der Erstkonfiguration festgelegt haben am SafeGuard Management Center an 2 Klicken Sie im Navigationsbereich auf Richtlinien 3 Klicken Sie im Navigati
241. eneinstellung Erkl rung KENNWORT Mindestl nge des Kennworts Gibt an aus wie vielen Zeichen ein Kennwort bei der nderung durch den Benutzer bestehen muss Der gew nschte Wert kann entweder direkt eingegeben oder durch Bet tigen der Richtungsschaltfl chen vergr ert bzw verkleinert werden Maximall nge des Kennwortes Gibt an aus wie vielen Zeichen ein Kennwort bei der nderung durch den Benutzer maximal bestehen darf Der gew nschte Wert kann entweder direkt eingegeben oder durch Bet tigen der Richtungsschaltfl chen vergr ert bzw verkleinert werden Mindestanzahl an Buchstaben Mit diesen Einstellungen wird erreicht dass Kennw rter nicht ausschlie lich Zeichen Ziffern oder Sonderzeichen enthalten Mingestanzah an Ziffern sondern aus einer Kombination bestehen m ssen z B 143 SafeGuard Enterprise Richtlinieneinstellung Mindestanzahl an Symbolen Erkl rung 15blume Diese Einstellungen sind nur dann sinnvoll wenn eine Kennwortmindestl nge definiert ist die gr er 2 ist Gro Kleinschreibung beachten Tastaturzeile verboten Diese Einstellung wird nur bei den Punkten Liste nicht erlaubter Kennw rter verwenden und Benutzername als Kennwort verboten wirksam Beispiel 1 Sie haben in der Liste der verbotenen Kennw rter Tafel eingetragen Steht die Option Gro Kleinschreibung beachten auf Ja werden zus tzliche Kennwortvarianten wie z B TAFEL oder TaFeL
242. ennnnnnnnnnnnnnnnnnnnn 296 36 5 Sperren von Opal Festplatten uurs0unnnnennnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnn 296 36 6 Berechtigung von Benutzern zum Entsperren von Opal Festplatten 297 36 7 Protokollierung von Ereignissen f r Endpoints mit Opal Festplatten 297 37 F r Berichte ausw hlbare Ereignisse uu s4ns0nnnennnnnnnnennnnnnnnnennnnnnnnnnnnnn ernennen 298 38 Fehlereodes 2 r en nie 311 38 1 SGMERR Codes in der Windows Ereignisanzeige nesrseennnneennnennnnn 311 38 2 BitLocker Fehlercodes 40ussrnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnn nn 327 39 Technischer SUP O Eer r aa Ha a ar aa a Ea aae Era a aaa aa iee anaana aaia 330 aOR ntele ni To ale m a EE A E E a re AT EA 331 Administratorhilfe 1 ber SafeGuard Enterprise 7 0 SafeGuard Enterprise bietet umfassenden Schutz von Daten durch Verschl sselung und zus tzlicher Authentisierung f r die Anmeldung Diese Version von SafeGuard Enterprise unterst tzt Windows 7 und Windows 8 auf Endpoints mit BIOS oder UEFI F r Systeme mit BIOS k nnen Sie zwischen SafeGuard Enterprise Festplattenverschl sselung und von SafeGuard Enterprise verwalteter BitLocker Verschl sselung w hlen Die BIOS Version verwendet den BitLocker eigenen Wiederherstellungsmechanismus Hinweis Wenn in diesem Handbuch von SafeGuard Power on Authentication oder SafeGuard Festplattenverschl sselung die Rede is
243. er der sich an dem anderen Computer anmeldet einen Schl ssel der KSA der nicht bootbaren Partition in seinem Schl sselring Im schlimmsten Fall ist die Partition nur mit dem Boot_Key des anderen Computers verschl sselt In diesem Fall muss der Haupt Sicherheitsbeauftragte oder der Recovery Beauftragte dem Benutzer diesen Boot_Key zuweisen Weitere Informationen finden Sie unter Slaven einer Festplatte Seite 259 Volumes SafeGuard Enterprise bietet die volume basierende Verschl sselung Dies beinhaltet die Speicherung von Verschl sselungsinformationen bestehend aus Bootsektor prim rer bzw Backup KSA und Originalbootsektor auf jedem Laufwerk selbst Wenn eine der folgenden Bedingungen zutrifft besteht auf das jeweilige Volume kein Zugriff mehr Beide Key Storage Areas KSA sind zur gleichen Zeit besch digt Der Original MBR ist besch digt 257 SafeGuard Enterprise 29 5 4 1 29 5 4 2 29 3 9 29 5 5 1 29 5 6 258 Bootsektor Der Bootsektor eines Volumes wird bei der Verschl sselung gegen den SafeGuard Enterprise Bootsektor ausgetauscht Der SafeGuard Enterprise Bootsektor enth lt Informationen ber den Ort der prim ren und Backup KSA in Clustern und Sektoren bezogen auf den Start der Partition die Gr e der KSA Auch wenn der SafeGuard Enterprise Bootsektor zerst rt ist ist kein Zugriff auf verschl sselte Volumes m glich Das Tool BE_Restore kann den zerst rten Bootsektor wi
244. er Challenge Response bietet SafeGuard Enterprise verschiedene Workflows f r typische Recovery Szenarien f r die die Unterst tzung durch einen Helpdesk erforderlich ist Weitere Informationen finden Sie unter Recovery mit Challenge Response Seite 239 System Recovery f r die Sophos SafeGuard Festplattenverschl sselung SafeGuard Enterprise bietet verschiedene Methoden und Tools f r Recovery Vorg nge in Bezug auf wichtige System und SafeGuard Enterprise Komponenten z B Besch digter MBR SafeGuard Enterprise Kernel Probleme Probleme in Bezug auf Volume Zugriff Windows Bootprobleme Weitere Informationen finden Sie unter System Recovery f r die Sophos SafeGuard Festplattenverschl sselung Seite 256 29 1 29 1 1 Administratorhilfe Recovery mit Local Self Help Hinweis Local Self Help ist nur f r Windows 7 Endpoints mit SafeGuard Power on Authentication POA verf gbar ber Local Self Help k nnen sich Benutzer die Ihr Kennwort vergessen haben ohne Unterst tzung des Helpdesks wieder an ihrem Computer anmelden Local Self Help reduziert die Anzahl an Helpdesk Anforderungen f r Recovery Vorg nge die die Anmeldung betreffen Helpdesk Mitarbeitern werden somit Routine Aufgaben abgenommen und sie k nnen sich auf komplexere Support Anforderungen konzentrieren Mit Local Self Help erhalten Benutzer auch in Situationen in denen sie keine Telefon oder Netzwerkverbindung und somit auch kein Challenge Res
245. er Lizenzg ltigkeitsdauer festgelegt Bei berschreiten der verf gbaren Lizenzen pro Modul oder der G ltigkeitsdauer wird somit zun chst eine Warnungsmeldung ausgegeben Der laufende Betrieb des Systems wird dadurch nicht beeintr chtigt und es tritt in diesem Fall auch keine Einschr nkung der Funktionalit t in Kraft So haben Sie die Gelegenheit den Lizenzstatus zu pr fen und Ihre Lizenz zu erweitern bzw zu erneuern Der Toleranzwert ist auf 10 der Anzahl an erworbenen Lizenzen der Mindestwert 5 der H chstwert 5 000 festgelegt Bei berschreiten der Toleranzwerte wird eine Fehlermeldung ausgegeben In diesem Fall tritt eine Funktionalit tseinschr nkung in Kraft Die bertragung von Richtlinien auf die Endpoints wird deaktiviert Diese Deaktivierung l sst sich nicht im SafeGuard Management Center manuell wieder aufheben Die Lizenz muss erweitert bzw erneuert werden um wieder alle Funktionen nutzen zu k nnen Au er der Deaktivierung der Richtlinien bertragung hat die Funktionalit tseinschr nkung keine Auswirkungen auf die Endpoints Bereits zugeordnete Richtlinien bleiben aktiv Die Deinstallation von Clients ist auch weiterhin m glich Die folgenden Abschnitte beschreiben das Systemverhalten bei Lizenz berschreitungen sowie die Ma nahmen zur Aufhebung der Funktionalit tseinschr nkung Ung ltige Lizenz Warnung Ist die Anzahl an verf gbaren Lizenzen berschritten so wird beim Starten des SafeGuard Management Cente
246. er SafeGuard Management Center Symbolleiste Hinweis Um die relevanten Strings f r ein Ger t mit dem Windows Ger te Manager abzurufen ffnen Sie das Eigenschaften Fenster f r das Ger t und entnehmen Sie die Werte f r die Eigenschaften Hardware Kennungen und Ger teinstanzkennung Es werden nur folgende Schnittstellen unterst tzt USB 1394 PCMCIA und PCI Wenn Sie das Ergebnis eines Endpoint Scans durch den SafeGuard Port Auditor als Quelle verwenden m chten w hlen Sie SafeGuard Port Auditor Ergebnis importieren Die Ergebnisse des Scans durch den SafeGuard Port Auditor m ssen vorliegen XML Datei wenn Sie die White List auf diese Weise erzeugen wollen Um die Datei auszuw hlen klicken Sie auf die Schaltfl che Weitere Informationen hierzu finden Sie in der SafeGuard PortAuditor Benutzerhilfe Nach dem Klicken auf OK wird der Inhalt der importierten Datei im SafeGuard Management Center angezeigt Die White List wird unter White Lists im Richtlinien Navigationsbereich angezeigt Sie k nnen Sie beim Erstellen von Richtlinien des Typs Ger teschutz f r dateibasierende Verschl sselung ausw hlen Auswahl einer White List als Ziel f r Ger teschutz Richtlinien f r die dateibasierende Verschl sselung Voraussetzung Die gew nschte White List muss im SafeGuard Management Center angelegt sein 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf die Schaltfl che Richtlinien 2 Klicken
247. er f r die Anwendung mit einer oder mehreren Datenbank Multi Tenancy konfigurieren Hinweis Die folgenden Schritte m ssen mit dem Konfigurationsassistenten sowohl f r Single Tenancy als auch f r Multi Tenancy Konfigurationen ausgef hrt werden Voraussetzungen Folgende Voraussetzungen m ssen erf llt sein Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen Halten Sie die folgenden Informationen bereit Diese erhalten Sie ggf von Ihrem SQL Administrator SQL Anmeldeinformationen Name des SQL Servers auf dem die SafeGuard Enterprise Datenbank laufen soll Name der SafeGuard Enterprise Datenbank falls diese bereits erzeugt wurde Multi Tenancy Konfigurationen Sie k nnen mehrere verschiedene SafeGuard Enterprise Datenbankkonfigurationen f r eine Instanz des SafeGuard Management Center konfigurieren und verwalten Dies erweist sich vor allem dann als n tzlich wenn Sie verschiedene Konfigurationen f r verschiedene Dom nen Organisationseinheiten oder Unternehmensstandorte einsetzen m chten Hinweis Sie m ssen pro Datenbank Mandant jeweils eine separate SafeGuard Enterprise Server Instanz einrichten Zur Vereinfachung der Konfiguration k nnen neu erstellte Datenbankkonfigurationen zur sp teren Wiederverwendung in eine Datei exportiert werden und zuvor erstellte Konfigurationen aus einer Datei eingelesen werden Um das SafeGuard Management Center f r Multi Tenancy zu konfigurieren f
248. erden Mit der rollenbasierten Administration ist es m glich die Verwaltung von SafeGuard Enterprise auf mehrere Benutzer zu verteilen Dabei kann einem Benutzer eine oder mehrere Rollen zugewiesen werden Um die Sicherheit noch zu erh hen kann einer Sicherheitsbeauftragtenrolle die zus tzliche Autorisierung eines Vorgangs zugewiesen werden W hrend der initialen Konfiguration des SafeGuard Management Center wird automatisch ein Administrator h chster Ebene angelegt der Haupt Sicherheitsbeauftragte Master Security Officer MSO Das MSO Zertifikat wird standardm ig nach 5 Jahren ung ltig und kann im Management Center im Abschnitt Sicherheitsbeauftragte erneuert werden F r andere spezifische Aufgaben z B Helpdesk oder Audit Aufgaben k nnen dann weitere Sicherheitsbeauftragte zugewiesen werden Sicherheitsbeauftragte lassen sich im Navigationsbereich des SafeGuard Management Center gem der Organisationsstruktur Ihres Unternehmens hierarchisch anordnen Diese hierarchische Anordnung gibt jedoch keine Hierarchie in Bezug auf Rechte und Rollen wieder Hinweis Zwei Sicherheitsbeauftragte d rfen nicht das gleiche Windows Konto auf einem Computer benutzen Andernfalls lassen sich ihre Zugriffsrechte nicht sauber trennen Unter Umst nden ist die zus tzliche Autorisierung nur dann sinnvoll wenn sich die Sicherheitsbeauftragten mit kryptographischen Token Smartcards anmelden m ssen Rollen f r Sicherheitsbeauftragte SafeGuard
249. ereinstellungen wiederholen nicht gesetzt wurden neu geschrieben Benutzer ignorieren Sie finden diese Einstellung unter Richtlinien gt Richtlinie vom Typ Allgemeine Einstellungen gt Laden der Einstellungen gt Richtlinien Loopback 97 SafeGuard Enterprise 14 9 12 3 14 9 12 4 14 9 12 5 14 9 13 98 Wird bei einer Richtlinie vom Typ Allgemeine Einstellungen f r einen Computer bei der Option Richtlinien Loopback die Einstellung Benutzer ignorieren ausgew hlt und die Richtlinie kommt von einer Maschine werden nur die Maschineneinstellungen ausgewertet Benutzereinstellungen werden nicht ausgewertet Kein Loopback Sie finden diese Einstellung unter Richtlinien gt Richtlinie vom Typ Allgemeine Einstellungen gt Laden der Einstellungen gt Richtlinien Loopback Kein Loopback beschreibt das Standardverhalten Benutzerrichtlinien gelten vor Computerrichtlinien Auswertung der Einstellungen Benutzer ignorieren und Computereinstellungen wiederholen Existieren aktive Richtlinienzuweisungen werden zuerst die Maschinenrichtlinien ausgewertet und vereinigt Ergibt diese Vereinigung der einzelnen Richtlinien bei der Option Richtlinien Loopback den Wert Benutzer ignorieren werden die Richtlinien die f r den Benutzer bestimmt gewesen w ren nicht mehr ausgewertet Das bedeutet sowohl f r den Benutzer als auch f r den Computer gelten die gleichen Richtlinien Gilt nach der Vereinigung der einzel
250. erf gung Beschreibung Computername Um die Bestand und Statusinformationen f r bestimmte Computer anzeigen zu lassen geben Sie in diesem Feld den Computernamen an Einschlie lich Sub Container Aktivieren Sie dieses Feld um Sub Container in die Anzeige mit einzubeziehen Letzte nderung anzeigen Legen Sie in diesem Feld die Anzahl der anzuzeigenden letzten Anderungen festlegen Was 32 6 Administratorhilfe Dar ber hinaus k nnen Sie mit dem Filter Editor benutzerdefinierte Filter erstellen Der Filter Editor l sst sich ber das Kontextmen der einzelnen Berichtsspalten aufrufen Im Fenster Filterdefinition k nnen Sie eigene Filter definieren und auf die jeweilige Spalte anwenden Aktualisieren von Bestandsinformationen Die Endpoints bertragen die jeweils aktuellen Bestandsinformationen wenn sich die Informationen ge ndert haben ber den Befehl Aktualisierung anfordern k nnen Sie manuell eine Aktualisierung der Bestandsinformationen anfordern Dieser Befehl steht f r einen einzelnen oder alle Computer eines Knotens ber das Kontextmen sowie ber das Men Aktionen in der SafeGuard Management Center Men leiste zur Verf gung Dar ber hinaus l sst sich der Befehl ber das Kontextmen der Listeneintr ge ausw hlen Wenn Sie diesen Befehl ausw hlen oder auf das Symbol Aktualisierung anfordern in der Symbolleiste klicken bertragen die jeweiligen Endpoint Computer ihre aktuellen Bestandsinfo
251. erheitsbeauftragten 2 Geben Sie nun zweimal das Kennwort f r den Zertifikatsspeicher ein und klicken Sie auf OK Das Zertifikat des Haupt Sicherheitsbeauftragten wird erzeugt und lokal als Backup lt mso_name gt cer gespeichert Hinweis Notieren Sie sich das Kennwort und bewahren Sie es an einem sicheren Ort auf Sie ben tigen es f r die Anmeldung am SafeGuard Management Center Export des Zertifikats des Haupt Sicherheitsbeauftragten Das Zertifikat des Haupt Sicherheitsbeauftragten wird in eine Datei exportiert die so genannte private Schl sseldatei P12 Diese ist mit einem Kennwort gesichert Das Zertifikat des Haupt Sicherheitsbeauftragten ist dadurch zus tzlich gesch tzt Die private Schl sseldatei wird f r die Wiederherstellung einer besch digten SafeGuard Management Center Installation ben tigt So exportieren Sie das Zertifikat eines Haupt Sicherheitsbeauftragten 1 Geben Sie unter Zertifikat exportieren ein Kennwort f r den privaten Schl ssel P12 Datei ein und best tigen Sie es Das Kennwort muss aus 8 alphanumerischen Zeichen bestehen 2 Klicken Sie auf OK 5 6 3 5 7 Administratorhilfe 3 Geben Sie einen Speicherort f r die private Schl sseldatei ein Die private Schl sseldatei wird erzeugt und die Datei wird am angegebenen Speicherort gespeichert lt mso_name p12 Hinweis Erstellen Sie eine Sicherungskopie des privaten Schl ssels P12 Datei und legen Sie diese direkt nach der Erstkon
252. ern der Gruppe fehlgeschlagen Administration Umbenennen der Gruppe fehlgeschlagen 301 SafeGuard Enterprise 302 Kategorie Administration Ereignis ID Beschreibung L schen der Gruppe fehlgeschlagen Administration Mitglieder der Gruppe hinzugef gt Administration Mitglieder aus Gruppe entfernt Administration Hinzuf gen der Mitglieder zur Gruppe fehlgeschlagen Administration Entfernen der Mitglieder aus Gruppe fehlgeschlagen Administration Gruppe von OU nach OU verschoben Administration Verschieben der Gruppe von OU nach OU fehlgeschlagen Administration Objekte der Gruppe hinzugef gt Administration Objekte aus Gruppe entfernt Administration Hinzuf gen der Objekte zur Gruppe fehlgeschlagen Administration Hinzuf gen der Objekte aus Gruppe fehlgeschlagen Administration Schl ssel erzeugt Algorithmus Administration Schl ssel zugeordnet Administration Schl sselzuordnung aufgehoben Administration Erzeugen des Schl ssels fehlgeschlagen Administration Zuordnung des Schl ssels fehlgeschlagen Administration Entfernen der Zuordnung des Schl ssels fehlgeschlagen Administration Zertifikat erzeugt Administration Zertifikat importiert Administration Zertifikat gel scht Administration Zertifikat Benutzer zugeordnet Administration Zertifi
253. erver auf dem der Task laufen soll Die Dropdownliste zeigt nur Server f r die die Skript Ausf hrung erlaubt ist Sie k nnen die Skript Ausf hrung f r einen bestimmten Server als erlaubt definieren wenn Sie diesen mit der Funktion Konfigurationspakete im SafeGuard Management Center registrieren Weitere Informationen zum Registrieren von Servern finden Sie in der SafeGuard Enterprise Installationsanleitung Wenn Sie Keiner ausw hlen wird der Task nicht ausgef hrt Klicken Sie auf die Dropdown Schaltfl che Importieren neben dem Feld Skript Der Dialog Skript Datei f r den Import ausw hlen wird angezeigt Hinweis Im Verzeichnis Script Templates Ihrer SafeGuard Management Center Installation stehen zwei vordefinierte Skripte zur Verf gung Der Dialog Skript Datei f r den Import ausw hlen zeigt automatisch dieses Verzeichnis an Weitere Informationen finden Sie unter Vordefinierte Skripte f r regelm ig wiederkehrende Tasks Seite 289 Mit dem Taskplaner k nnen Sie Skripte importieren exportieren und bearbeiten Weitere Informationen finden Sie unter Mit Skripten im Task Scheduler arbeiten Seite 287 W hlen Sie das Skript aus das mit dem Task ausgef hrt werden soll und klicken Sie auf OK Wenn das ausgew hlte Skript leer ist bleibt die Schaltfl che OK im Dialog deaktiviert Au erdem wird ein Warnungssymbol angezeigt Geben Sie im Feld Startzeit an wann der Task auf dem ausgew hlten Server ausge
254. erzu finden Sie in der SafeGuard Enterprise Installationsanleitung Ss 9 6 Administratorhilfe Aktivieren Sie SQL Server Authentisierung verwenden um mit den entsprechenden SQL Anmeldeinformationen auf die Datenbank zuzugreifen Geben Sie die Anmeldeinformationen des SQL Benutzerkontos ein das Ihr SQL Administrator erstellt hat Falls notwendig erhalten Sie diese Informationen von Ihrem SQL Administrator Hinweis Verwenden Sie diese Art der Authentisierung wenn Ihr Computer keiner Dom ne angeh rt Aktivieren Sie SSL verwenden um die Verbindung zum und vom Datenbankserver zu sichern 3 Klicken Sie auf Weiter Die Verbindung zum Datenbankserver ist hergestellt Erstellen oder Ausw hlen einer Datenbank Hinweis Wenn Sie SafeGuard Enterprise und SafeGuard LAN Crypt parallel verwenden verwenden Sie verschiedene Datenbanken Legen Sie auf der Seite Datenbankeinstellungen fest ob eine existierende Datenbank oder eine neue Datenbank zum Speichern der Administrationsdaten benutzt werden soll 1 Gehen Sie wie folgt vor Wenn noch keine Datenbank existiert w hlen Sie Eine neue Datenbank mit folgendem Namen erstellen Geben Sie einen Namen f r die neue Datenbank ein Sie ben tigen dazu die entsprechenden SQL Zugriffsberechtigungen Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung Um Probleme zu vermeiden sollten in SafeGuard Enterprise Datenbanknamen nur folgende Zeichen ve
255. es Laufwerk sichern das Volume neu formatieren oder es ganz neu aufsetzen Administratorhilfe 30 Wiederherstellen einer besch digten SafeGuard Enterprise Installation Eine besch digte SafeGuard Management Center Installation kann auf einfache Art und Weise wiederhergestellt werden wenn die Datenbank noch intakt ist In diesem Fall m ssen Sie nur das SafeGuard Management Center neu installieren und die vorhandene Datenbank sowie das gesicherte Sicherheitsbeauftragten Zertifikat verwenden Das Unternehmenszertifikat und das Haupt Sicherheitsbeauftragten Zertifikat der betreffenden Datenbankkonfiguration m ssen als p12 Dateien exportiert worden sein Die Dateien m ssen vorhanden und g ltig sein Die Kennw rter f r die p12 Dateien sowie f r den Zertifikatsspeicher m ssen Ihnen bekannt sein So stellen Sie eine besch digte SafeGuard Management Center Installation wieder her 1 Installieren Sie das SafeGuard Management Center Installationspaket neu ffnen Sie das SafeGuard Management Center Der Konfigurationsassistent wird automatisch ge ffnet W hlen Sie unter Datenbankverbindung den relevanten Datenbankserver und konfigurieren Sie falls erforderlich die Verbindung zur Datenbank Klicken Sie auf Weiter Aktivieren Sie unter Datenbankeinstellungen die Option Folgende bestehende Datenbank verwenden und w hlen Sie die Datenbank aus der Liste aus F hren Sie unter Daten des Sicherheitsbeauftragten einen der
256. ese Skripte unver ndert verwenden oder Ihren Anforderungen anpassen Weitere Informationen finden Sie unter Vordefinierte Skripte f r regelm ig wiederkehrende Tasks Seite 289 Als Sicherheitsbeauftragter mit den erforderlichen Rechten k nnen Sie Skripte Regeln und zeitliche Intervalle f r die Tasks im Taskplaner definieren Hinweis Stellen Sie sicher dass f r das Konto das f r die Verwendung des SafeGuard Enterprise Taskplaners benutzt wird die geeigneten SQL Berechtigungen eingestellt sind Weitere Informationen hierzu finden Sie in unserer Wissensdatenbank http www sophos com de de support knowledgebase 113582 aspx Hinweis Die API kann nicht mehrere Tasks gleichzeitig verarbeiten Wenn Sie mehrere Konten pro Task verwenden f hrt dies zu Datenbankzugriffsverletzungen Erstellen eines neuen Tasks Um Tasks im Taskplaner zu erstellen ben tigen Sie die Sicherheitsbeauftragtenrechte Taskplaner benutzen und Tasks verwalten 1 W hlen Sie in der SafeGuard Management Center Men leiste Extras gt Taskplaner Der Dialog Taskplaner wird angezeigt 2 Klicken Sie auf die Schaltfl che Erzeugen Der Dialog Neuer Task wird angezeigt 3 Geben Sie im Feld Name einen eindeutigen Namen f r den Task ein Ist der Task Name nicht eindeutig so wird eine Warnungsmeldung angezeigt wenn Sie auf OK klicken um den Task zu speichern 283 SafeGuard Enterprise 9 W hlen Sie aus der Dropdownliste des Felds SGN Server den S
257. f hrt werden soll Die Startzeit wird unter Anwendung der lokalen Zeit des Computers auf dem das SafeGuard Management Center l uft angegeben Intern wird die Startzeit als Coordinated Universal Time UTC gespeichert Dadurch k nnen Tasks auch dann exakt zur gleichen Zeit ausgef hrt werden wenn sich Server in unterschiedlichen Zeitzonen befinden Alle Server verwenden die aktuelle Zeit des Datenbankservers f r das Starten von Tasks Zur Optimierung der Task berwachung wird die Datenbankreferenzzeit im Taskplaner Dialog angezeigt Geben Sie im Feld Wiederholung an wie oft der Task auf dem ausgew hlten Server ausgef hrt werden soll Um den Task einmal auszuf hren w hlen Sie Einmal und geben Sie das gew nschte Datum an Um den Task t glich auszuf hren w hlen Sie T glich und dann Jeden Tag inklusive Samstag und Sonntag oder Jeden Wochentag Montag Freitag Um den Task w chentlich auszuf hren w hlen Sie W chentlich und geben Sie den gew nschten Tag in der Woche an Um den Task monatlich auszuf hren w hlen Sie Monatlich und geben Sie den gew nschten Tag im Monat aus einem Bereich von 1 bis 31 an Um den Task am letzten Tag des Monats auszuf hren w hlen Sie Letzter aus der Dropdownliste Wenn Sie alle obligatorischen Felder ausgef llt haben wird die Schaltfl che OK aktiv Klicken Sie auf OK Der Task wird in der Datenbank gespeichert und in der Taskplaner bersicht angezeigt Er wird g
258. f r die Synchronisierung benutzen F r Active Directory Import und Synchronisierung werden die Zugriffsrechte f r einen Container oder eine Dom ne auf die Dom nenbaumstruktur die sie importieren k nnen bertragen Wenn Sie f r eine untergeordnete Baumstruktur nicht das Zugriffsrecht Voller Zugriff haben kann diese nicht synchronisiert werden Wenn eine untergeordnete Baumstruktur nicht ge ndert werden kann wird sie nicht in der Synchronisierungs Baumstruktur angezeigt Unabh ngig von Ihren Sicherheitsbeauftragten Zugriffsrechten f r Verzeichnisobjekte k nnen Sie eine neue Dom ne aus dem Active Directory importieren wenn diese noch nicht in der SafeGuard Enterprise Datenbank existiert Sie und Ihre bergeordneten Sicherheitsbeauftragten erhalten automatisch das Zugriffsrecht Voller Zugriff f r die neue Dom ne Wenn Sie einen untergeordneten Container Sub Container f r die Synchronisierung ausw hlen muss die Synchronisierung bis zum Stammverzeichnis durchgef hrt werden In der Synchronisierungs Baumstruktur werden alle relevanten Container automatisch ausgew hlt Dies ist auch dann der Fall wenn sich ber dem Sub Container Container befinden die gem ihren Zugriffsrechten Schreibgesch tzt sind oder f r die der Zugriff Verweigert wird Wenn Sie die Auswahl eines Sub Containers aufheben m ssen Sie dies entsprechend Ihren Zugriffsrechten auch bei den Containern dar ber bis zum Stammverzeichnis tun Wenn eine Grupp
259. feGuard Management Center auf Benutzer amp Computer 2 Klicken Sie im Navigationsfenster auf der linken Seite auf den Stamm Knoten die Dom ne oder die OU 3 Wechseln Sie im Aktionsbereich in die Registerkarte Lizenzen 4 Klicken Sie auf die Schaltfl che Lizenzdatei importieren Es wird ein Fenster zur Auswahl der Lizenzdatei angezeigt 5 W hlen Sie die zu importierende Lizenzdatei aus und klicken Sie auf ffnen Der Lizenz anwenden Dialog mit dem Inhalt der Lizenzdatei wird angezeigt 6 Klicken Sie auf die Schaltfl che Lizenz anwenden Die Lizenzdatei wird in die SafeGuard Enterprise Datenbank importiert Nach dem Import der Lizenzdatei wird bei Modulen f r die Lizenzen erworben wurden der Lizenztyp regul r angegeben Bei Modulen f r die keine Lizenzen erworben wurden und f r die die Evaluierungslizenz Standard Lizenzdatei oder individuelle Demo Lizenzen genutzt werden wird der Lizenztyp Demo angegeben Hinweis Wenn Sie eine neue Lizenzdatei importieren werden jeweils nur die Module die in dieser Datei enthalten sind aktualisiert Alle brigen Modul Lizenzinformationen werden entsprechend den in der Datenbank enthaltenen Informationen beibehalten Diese Importfunktionalit t vereinfacht die Evaluierung von zus tzlichen Modulen nach dem Kauf 6 6 6 6 1 6 6 2 Administratorhilfe Lizenz berschreitung In Ihrer Lizenzdatei ist ein Toleranzwert f r die berschreitung der erworbenen Lizenzen sowie d
260. fehlgeschlagen Abgebrochen Die Task Ausf hrung wurde abgebrochen da die Zeitdauer 24 Stunden berschritten hat Steuerung nicht m glich Die Steuerung der Ausf hrung des Skripts das dem Task zugeordnet ist war nicht m glich Ein 285 SafeGuard Enterprise Beschreibung m glicher Grund hierf r ist z B dass der SGN Scheduler Service gestoppt wurde Besch digtes Skript Das auszuf hrende Skript ist besch digt Skript inzwischen gel scht W hrend sich der Task in der Warteschlange f r die Ausf hrung befand wurde das Skript aus der SafeGuard Enterprise Datenbank entfernt Runtime Fehler W hrend der Verarbeitung des Scheduler Service ist ein Runtime Fehler aufgetreten Unterhalb der Spalten befinden sich folgende Schaltfl chen Schaltfl che Beschreibung Klicken Sie auf diese Schaltfl che um einen neuen Task zu erstellen L schen Klicken Sie auf diese Schaltfl che um einen ausgew hlten Task zu l schen Eigenschaften Klicken Sie auf diese Schaltfl che um den lt Task Name gt Eigenschaften Dialog f r einen ausgew hlten Task anzuzeigen In diesem Dialog k nnen Sie den Task bearbeiten oder Skripte importieren exportieren und bearbeiten Aktualisieren Klicken Sie auf diese Schaltfl che um die Task Liste im Taskplaner Dialog zu aktualisieren Wenn ein Benutzer in der Zwischenzeit Tasks hinzugef gt oder gel scht hat wird die Task Liste aktualisiert Alle Server verwen
261. fen aus dem Kontextmen Der Schl ssel wird zur ckgestuft Er ist immer noch ein pers nlicher Schl ssel kann jedoch nicht mehr als aktiver pers nlicher Schl ssel verwendet werden Wenn eine File Encryption Verschl sselungsregel den pers nlichen Schl ssel f r die Verschl sselung vorsieht und der Benutzer keinen aktiven pers nlichen Schl ssel hat erzeugt der SafeGuard Enterprise Server diesen automatisch Zertifikate Einem Benutzer kann jeweils nur ein Zertifikat zugewiesen sein Wenn dieses Benutzerzertifikat auf einem Token gespeichert ist k nnen die Benutzer sich nur mit diesem Token kryptographischer Token Kerberos an ihrem Endpoint anmelden 12 3 1 Administratorhilfe a Beachten Sie dass beim Importieren eines Benutzerzertifikats sowohl der ffentliche als auch der private Bereich des Zertifikats importiert werden Wird nur der ffentliche Bereich importiert so wird nur die Anmeldung mit Token unterst tzt Die Kombination aus CA Zertifikaten und CRL Certificate Revocation List Zertifikaten muss bereinstimmen Andernfalls k nnen sich die Benutzer nicht an den entsprechenden Endpoints anmelden Bitte berpr fen Sie ob die Kombination korrekt ist SafeGuard Enterprise bernimmt diese berpr fung nicht Wenn Certification Authority CA Zertifikate in der Datenbank gel scht werden und Sie diese nicht mehr verwenden m chten sollten Sie diese Zertifikate manuell aus dem lokalen Speicher aller Adm
262. ffnen Klicken Sie mit der rechten Maustaste auf SafeGuard Scheduler Service und klicken Sie auf All Tasks gt Restart Hinweis Wir empfehlen dass Sie das Active Directory in einem vergleichsweise moderaten Abstand maximal zweimal am Tag synchronisieren damit sich die Serverleistung nicht bedeutend verringert Neue Objekte werden in diesen Abst nden im SafeGuard Management Center unter Autoregistered angezeigt Hier k nnen Sie wie blich verwaltet werden Vordefiniertes Skript f r das automatische L schen von protokollierten Ereignissen Die in der SafeGuard Enterprise Datenbank protokollierten Ereignisse werden in der EVENT Tabelle gespeichert Weitere Informationen zur Protokollierung finden Sie unter Berichte Seite 270 Mit dem Taskplaner k nnen Sie einen periodischen Task f r das automatische L schen von protokollierten Ereignissen erstellen F r diesen Task k nnen Sie das vordefinierte Skript EventLogDeletion vbs verwenden Das Skript l scht Ereignisse aus der EVENT Tabelle Wenn Sie den entsprechenden Parameter einstellen verschiebt das Skript auch die Ereignisse aus der EVENT Tabelle in die Backup Log Tabelle EVENT_BACKUP Dabei wird eine definierte Anzahl an neuesten Ereignissen in der EVENT Tabelle belassen 34 6 Administratorhilfe Bevor Sie das Skript in einem periodischen Task verwenden k nnen Sie folgende Parameter anpassen Parameter Beschreibung maxDuration Mit diesem Parameter legen Sie fest
263. figuration an einem sicheren Speicherort ab Andernfalls f hrt ein eventueller PC Absturz zum Verlust des Schl ssels und SafeGuard Enterprise muss neu installiert werden Das gilt f r alle von SafeGuard Enterprise generierten Sicherheitsbeauftragten Zertifikate Weitere Informationen finden Sie in der Administrator Hilfe im Kapitel Unternehmenszertifikat und Master Security Officer Zertifikat exportieren Import des Zertifikats des Haupt Sicherheitsbeauftragten Wenn bereits ein Zertifikat eines Haupt Sicherheitsbeauftragten zur Verf gung steht m ssen Sie es in den Zertifikatsspeicher importieren Hinweis Ein Zertifikat kann nicht aus einer Microsoft PKI importiert werden Ein importiertes Zertifikat muss minimal 1024 Bits haben und kann maximal 4096 Bits lang sein 1 Klicken Sie unter Authentisierungs Schl sseldatei importieren auf die Schaltfl che und w hlen Sie die Schl sseldatei aus Geben Sie das Kennwort der Schl sseldatei ein Geben Sie das Kennwort f r den Zertifikatsspeicher ein Best tigen Sie das Kennwort f r den Zertifikatsspeicher 5 Klicken Sie auf OK Zertifikat und privater Schl ssel befinden sich nun im Zertifikatsspeicher Zur Anmeldung an das SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet AOUN Erzeugen des Unternehmenszertifikats Mit dem Unternehmenszertifikat lassen sich unterschiedliche SafeGuard Management Center Installationen auseinander halten In Verbin
264. figuration ausw hlen wird angezeigt 2 Klicken Sie auf Neu Der SafeGuard Management Center Konfigurationsassistent wird automatisch gestartet 3 Der Assistent f hrt Sie durch die notwendigen Schritte f r das Anlegen einer neuen Datenbankkonfiguration Nehmen Sie die erforderlichen Einstellungen vor Die neue Datenbankkonfiguration wird generiert 4 Zur Authentisierung werden Sie dazu aufgefordert den Sicherheitsbeauftragtennamen f r diese Konfiguration auszuw hlen und das entsprechende Zertifikatsspeicherkennwort einzugeben Klicken Sie auf OK 5 10 Administratorhilfe Das SafeGuard Management Center wird ge ffnet und mit der ausgew hlten Datenbankkonfiguration verbunden Wenn Sie das SafeGuard Management Center das n chste Mal starten k nnen Sie die neue Datenbank Konfiguration aus der Liste ausw hlen Konfigurieren zus tzlicher Instanzen des SafeGuard Management Center Sie k nnen zus tzliche Instanzen des SafeGuard Management Center konfigurieren um Sicherheitsbeauftragten den Zugriff f r die Durchf hrung administrativer Aufgaben auf verschiedenen Computern zu erm glichen Das SafeGuard Management Center kann auf jedem Rechner im Netzwerk installiert sein von wo aus auf die Datenbank zugegriffen werden kann SafeGuard Enterprise verwaltet die Zugriffsrechte auf das SafeGuard Management Center in einem eigenen Zertifikatsverzeichnis In diesem Verzeichnis m ssen die Zertifikate aller Sicherheitsbeauftragten di
265. figurationspaket MSI auf dem SafeGuard Enterprise Server installieren m chten deinstallieren Sie zun chst das alte Konfigurationspaket L schen Sie dar ber hinaus den Local Cache manuell so dass er mit den neuen Konfigurationsdaten z B SSL Einstellungen aktualisiert werden kann Installieren Sie dieses Konfigurationspaket auf dem Server 37 SafeGuard Enterprise 38 8 2 Registrieren und Konfigurieren des SafeGuard Enterprise Servers f r einen anderen Computer Wenn der SafeGuard Enterprise Server auf einem anderen Computer als das SafeGuard Management Center installiert wurde registrieren und konfigurieren Sie den SafeGuard Enterprise Server 1 Starten Sie das SafeGuard Management Center 2 Klicken Sie im Extras Men auf Konfigurationspakete 3 W hlen Sie die Registerkarte Server und klicken Sie auf Hinzuf gen 4 Klicken Sie unter Serverregistrierung auf die Schaltfl che um das Maschinenzertifikat des Servers auszuw hlen Es wird bei der Installation des SafeGuard Enterprise Servers erzeugt Sie finden es standardm ig im Verzeichnis MachCert des SafeGuard Enterprise Server Installationsverzeichnisses Es tr gt den Dateinamen lt Computername gt cer Wenn der SafeGuard Enterprise Server auf einem anderen Computer als das SafeGuard Management Center installiert ist muss diese cer Datei als Kopie oder Netzwerkfreigabe zugreifbar sein W hlen Sie nicht das MSO Zertifikat Der Fully Qualified Name FQDN
266. folgenden Schritte aus Wenn die gesicherte Zertifikatsdatei auf dem Computer gefunden wird wird sie angezeigt Geben Sie das Kennwort ein das Sie zur Anmeldung an das SafeGuard Management Center benutzen Wird die gesicherte Zertifikatsdatei nicht auf dem Computer gefunden w hlen Sie Importieren Suchen Sie nach der gesicherten Zertifikatsdatei und klicken Sie auf ffnen Geben Sie das Kennwort f r die Zertifikatsdatei ein Klicken Sie auf Ja Geben Sie ein Kennwort f r die Anmeldung am SafeGuard Management Center ein und best tigen Sie es Klicken Sie auf Weiter und dann auf Fertig stellen um die Konfiguration des SafeGuard Management Center abzuschlie en Die SafeGuard Management Center Installation ist wiederhergestellt 261 SafeGuard Enterprise 3l Wiederherstellen einer besch digten Datenbankkonfiguration 262 Sie k nnen eine besch digte Datenbankkonfiguration wiederherstellen indem Sie das SafeGuard Management Center neu installieren und basierend auf den gesicherten Zertifikatsdateien eine neue Instanz der Datenbank erstellen Dadurch wird sichergestellt dass alle vorhandenen SafeGuard Enterprise Endpoints Richtlinien von der neuen Installation annehmen Das Unternehmenszertifikat und das Haupt Sicherheitsbeauftragten Zertifikat der betreffenden Datenbankkonfiguration m ssen als p12 Dateien exportiert worden sein Die Dateien m ssen vorhanden und g ltig sein Die Kennw rter f r die beiden p12 D
267. forderungen f r BitLocker mit SafeGuard Challenge Response erf llt Falls nicht wird die SafeGuard Enterprise BitLocker Verwaltung ohne Challenge Response ausgef hrt In diesem Fall kann der BitLocker Recovery Schl ssel mit dem SafeGuard Management Center abgerufen werden Authentisierung mit BitLocker Laufwerkverschl sselung Die BitLocker Laufwerkverschl sselung bietet verschiedene Authentisierungsoptionen f r Boot und Datenlaufwerke Der Sicherheitsbeauftragte kann die verschiedenen Anmeldemodi in einer Richtlinie im SafeGuard Management Center einstellen und sie an die BitLocker Endpoints verteilen F r SafeGuard Enterprise BitLocker Benutzer sind folgende Anmeldemodi verf gbar TPM nur Boot Laufwerke TPM PIN nur Boot Laufwerke TPM Systemstartschl ssel nur Boot Laufwerke Kennwort ohne TPM Systemstartschl ssel ohne TPM Auto Unlock nur Datenlaufwerke 169 SafeGuard Enterprise 21 2 1711 21 212 212 13 170 Weitere Informationen zum Einrichten der Anmeldemodi finden Sie unter Authentisierung Seite 132 Trusted Platform Module TPM Das TPM ist ein Modul auf dem Motherboard das einer Smartcard hnelt und Verschl sselungsfunktionen sowie Vorg nge f r die digitale Signatur ausf hrt Es ist in der Lage Benutzerschl ssel anzulegen zu speichern und zu verwalten Das TPM ist gegen Angriffe gesch tzt PIN und Kennw rter Die Voraussetzungen f r BitLocker PINs und Kennw
268. ftware Rollouts vorbereiten Nach dem Wirksamwerden einer solchen Richtlinie auf Endpoints werden die notwendigen Parameter z B SafeGuard POA Deaktivierung und ein Zeitabstand f r Wake Richtlinieneinstellungen Administratorhilfe Erkl rung on LAN direkt an die Endpoints bertragen wo sie analysiert werden Wichtig Wir weisen an dieser Stelle ausdr cklich darauf hin dass auch das zeitlich begrenzte Ausschalten der SafeGuard POA f r eine bestimmte Anzahl von Boot Vorg ngen ein Absenken des Sicherheitsniveaus bedeutet Weitere Informationen zu sicherem Wake on LAN finden Sie unter Sicheres Wake on LAN WOL Seite 232 Anzahl der automatischen Anmeldungen Lokale Windows Anmeldung w hrend WOL erlauben Definiert die Anzahl der Neustarts mit ausgeschalteter SafeGuard Power on Authentication f r Wake on LAN Diese Einstellung berschreibt tempor r die Einstellung von Power on Authentication aktivieren bis die Anzahl der eingestellten automatischen Anmeldungen erreicht ist Danach wird die SafeGuard Power on Authentication wieder aktiviert Wenn Sie die Anzahl an automatischen Anmeldungen auf zwei einstellen und Power on Authentication aktivieren aktiv ist startet der Endpoint zweimal ohne Authentisierung durch die SafeGuard POA Wir empfehlen f r Wake on LAN immer drei Neustarts mehr als notwendig f r Wartungsarbeiten zu erlauben um unvorhergesehene Probleme zu umgehen Bestimmt ob lokal
269. g bei SafeGuard POA und Windows wird ein Dialog mit folgenden Informationen angezeigt Letzte erfolgreiche Anmeldung Benutzername Datum Zeit Letzte Anmeldeinformationen des angemeldeten Benutzers Erzwungene Abmeldung bei Sperre der Arbeitsstation deaktivieren Hinweis Diese Einstellung wird nur unter Windows XP wirksam Windows XP wird mit SafeGuard Enterprise 6 1 nicht l nger unterst tzt Die entsprechende Richtlinie ist im SafeGuard Management Center 7 0 noch verf gbar um SafeGuard Enterprise 6 Clients zu unterst tzen die ber ein 6 1 Management Center verwaltet werden Richtlinieneinstellung Letzte Benutzer Dom nen Auswahl aktivieren Administratorhilfe Erkl rung Wenn Benutzer den Endpoint nur f r kurze Zeit verlassen wollen k nnen Sie den Rechner per Klick auf die Schaltfl che Arbeitsstation sperren f r andere Benutzer sperren und danach mit ihrem Kennwort wieder entsperren Nein Sowohl der Benutzer der die Arbeitsstation gesperrt hat als auch ein Administrator kann die Sperre aufheben Hebt ein Administrator die Sperre auf so wird der aktuell angemeldete Benutzer zwangsweise abgemeldet Ja Diese Einstellung ndert dieses Verhalten In diesem Fall kann nur der Benutzer die Sperre des Computers aufheben Ein Aufheben der Sperre durch den Administrator und das damit verbundene erzwungene Abmelden des Benutzers ist nicht mehr m glich Ja Die SafeGuard POA speichert den Benutzernam
270. g von SGN Windows Benutzern aktivieren in Richtlinien vom Typ Spezifische Computereinstellungen legt fest ob SGN Windows Benutzer auf dem Endpoint registriert und zur UMA hinzugef gt werden k nnen Registrieren von neuen SGN Benutzern erlauben Niemand Auch der als Besitzer eingetragene Benutzer kann keinen weiteren Benutzern die Aufnahme in die UMA erm glichen Die Funktionalit t dass ein Besitzer weitere Aufnahmen erm glichen kann wird damit deaktiviert Besitzer Standardeinstellung Hinweis Ein Sicherheitsbeauftragter kann im SafeGuard Management Center immer Benutzer hinzuf gen Jeder Hebt die Einschr nkung auf dass nur der Besitzer Benutzer hinzuf gen darf Hinweis Bei Endpoints auf denen das Device Encryption Modul nicht installiert ist muss die Einstellung Registrieren von neuen SGN Benutzern erlauben auf Jeder gesetzt sein wenn es auf dem Endpoint m glich sein soll der UMA mehrere Benutzer hinzuzuf gen die Zugriff auf ihre Schl sselringe haben sollen Sonst k nnen Benutzer nur im Management Center hinzugef gt werden Diese Option ist wird nur auf zentral verwalteten Endpoints ausgewertet Siehe auch Neue SafeGuard Enterprise Data Exchange Benutzer erhalten nach dem Anmelden bei SafeGuard Enterprise Data Exchange Only Clients kein Zertifikat Registrierung von SGN Windows Benutzern aktivieren Wenn Sie Ja ausw hlen k nnen SGN Windows Benutzer auf dem Endpoint registriert werden Ein SGN Windows Benut
271. ge Response in der SafeGuard POA In beiden F llen wird anschlie end der Windows Anmeldedialog angezeigt Benutzer_b kann dort seine Windows Anmeldeinformationen eingeben Seine Benutzerrichtlinien Zertifikate und Schl ssel werden an den Endpoint geschickt Er wird in der SafeGuard POA aktiviert Benutzer_b existiert nun als kompletter Benutzer in SafeGuard Enterprise Er kann sich bei der n chsten Anmeldung in der SafeGuard POA authentisieren und wird automatisch angemeldet 213 SafeGuard Enterprise 26 1 1 26 1 2 26 2 214 Es wurde in der Computerrichtlinie zwar festgelegt dass auf diesem Computer niemand Benutzer importieren darf da sie sich aber bereits in der UMA befinden k nnen Benutzer_b und Benutzer_c durch die Windows Anmeldung dennoch komplettiert und in der SafeGuard POA aktiviert werden Alle anderen Benutzer werden nicht in die UMA aufgenommen und k nnen sich daher niemals an der SafeGuard Power on Authentication authentisieren Alle Benutzer die sich an Windows anmelden und nicht Benutzer_a Benutzer_b oder Benutzer_c sind werden in diesem Szenario nicht in die UMA aufgenommen und daher auch nie in der SafeGuard POA aktiv Sie k nnen im SafeGuard Management Center sp ter weitere Benutzer hinzuf gen Allerdings steht ihr Schl sselring nach der ersten Anmeldung noch nicht zur Verf gung da eine Synchronisierung erst durch diese Anmeldung angesto en wird Nach einer erneuten Anmeldung steht auch der Schl
272. geben Die Liste Zugewiesene Zertifikate zeigt die Anzahl an Zertifikaten die gem Ihren Zugriffsrechten sichtbar sind Um Zertifikate zu ndern ben tigen Sie das Zugriffsrecht Voller Zugriff f r den Container in dem sich der Benutzer befindet Importieren von CA Zertifikaten und Certificate Revocation Lists Wenn CA Zertifikate verwendet werden importieren Sie die vollst ndige CA Hierarchie einschlie lich aller CRLs in die SafeGuard Datenbank CA Zertifikate k nnen nicht von Token entnommen werden Diese Zertifikate m ssen als Dateien zur Verf gung stehen damit Sie sie in die SafeGuard Enterprise Datenbank importieren k nnen Dies gilt auch f r Certificate Revocation Lists CRL 1 Klicken Sie im SafeGuard Management Center auf Schl ssel amp Zertifikate 2 W hlen Sie Zertifikate und klicken Sie auf das CA Zertifikate importieren Symbol in der Symbolleiste Suchen Sie die CA Zertifikatsdateien die Sie importieren m chten Die importierten Zertifikate werden im rechten Aktionsbereich angezeigt 77 SafeGuard Enterprise 3 W hlen Sie Zertifikate und klicken Sie auf das CRL importieren Symbol in der Symbolleiste Suchen Sie die CRL Dateien die Sie importieren m chten Die importierten CRLs werden im rechten Aktionsbereich angezeigt 4 berpr fen Sie ob CA und CRL korrekt sind und bereinstimmen Die Kombination von CA Zertifikaten und CRL zusammenpassen da ansonsten eine Anmeldung an allen betroffenen Co
273. geln festlegen die den PIN Regeln von SafeGuard Enterprise widersprechen k nnen M glicherweise k nnen PINs deshalb nicht wie gew nscht ge ndert werden auch wenn sie den PIN Regeln von SafeGuard Enterprise entsprechen Ber cksichtigen Sie daher auf jeden Fall die PIN Regeln des Token Herstellers Diese werden im SafeGuard Management Center im Bereich Token unter Token Information angezeigt Die Verwaltung der PINs wird im SafeGuard Management Center unter Token durchgef hrt Der Token ist eingesteckt und links im Navigationsfenster markiert Initialisieren einer Benutzer PIN Voraussetzungen Die SO PIN muss bekannt sein Sie ben tigen das Zugriffsrecht Voller Zugriff f r den relevanten Benutzer 1 Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Benutzer PIN initialisieren Symbol 2 Geben Sie die SO PIN ein 3 Geben Sie die neue Benutzer PIN ein wiederholen Sie die Eingabe und best tigen Sie mit OK Die Benutzer PIN wurde initialisiert ndern der SO PIN Voraussetzung Die bisherige SO PIN PIN des Sicherheitsbeauftragten muss bekannt sein 1 Klicken Sie in der SafeGuard Management Center Symbolleiste auf das PIN des Sicherheitsbeauftragten ndern Symbol 2 Geben Sie die alte SO PIN ein 3 Geben Sie die neue SO PIN ein wiederholen Sie die Eingabe und best tigen Sie mit OK Die SO PIN wurde ge ndert ndern einer Benutzer PIN Voraussetzung Die Benutzer PIN muss bekannt s
274. gescheitert und beendet Verschl sselung Sektorbasierte Erst Verschl sselung des Laufwerks abgebrochen Verschl sselung Sektorbasierte Erst Verschl sselung des Laufwerks fehlgeschlagen Verschl sselung Sektorbasierte Entschl sselung des Laufwerks gestartet Verschl sselung Sektorbasierte Entschl sselung des Laufwerks fehlerfrei beendet Verschl sselung Sektorbasierte Entschl sselung des Laufwerks gescheitert und beendet Verschl sselung Sektorbasierte Entschl sselung des Laufwerks abgebrochen Verschl sselung Sektorbasierte Entschl sselung des Laufwerks fehlgeschlagen Verschl sselung Dateibasierende lnitialverschl sselung auf einem Laufwerk gestartet Verschl sselung Dateibasierende Initialverschl sselung auf einem Laufwerk erfolgreich abgeschlossen Verschl sselung Dateibasierende Initialverschl sselung auf einem Laufwerk fehlgeschlagen und beendet Verschl sselung Dateibasierende Entschl sselung auf einem Laufwerk abgebrochen Verschl sselung Dateibasierende Verschl sselung einer Datei gestartet Verschl sselung Dateibasierende Verschl sselung einer Datei erfolgreich abgeschlossen Verschl sselung Dateibasierende Entschl sselung auf einem Laufwerk fehlgeschlagen und beendet Verschl sselung Dateibasierende Entschl sselung auf einem Laufwerk abgebrochen Verschl sselung Verschl sselung einer
275. geschlagen System Logging Ziel nicht verf gbar Nicht genehmigter Versuch SafeGuard Enterprise zu deinstallieren Authentisierung Authentisierung Externe GINA erkannt und erfolgreich eingebunden Externe GINA erkannt Einbindung fehlgeschlagen Authentisierung Authentisierung Power on Authentication ist aktiviert Power on Authentication ist deaktiviert Authentisierung Authentisierung Wake on LAN ist aktiviert Wake on LAN ist deaktiviert Authentisierung Authentisierung Challenge erzeugt Response erzeugt Authentisierung Authentisierung Anmeldung erfolgreich durchgef hrt Anmeldung fehlgeschlagen Authentisierung Authentisierung Benutzer w hrend Anmeldung importiert und als Besitzer markiert Benutzer vom Besitzer importiert und als Nicht Besitzer markiert Authentisierung Authentisierung Benutzer von Nicht Besitzer importiert und als Nicht Besitzer markiert Benutzer als Besitzer entfernt Kategorie Authentisierung Ereignis ID Administratorhilfe Beschreibung Import des Benutzers w hrend der Anmeldung fehlgeschlagen Authentisierung Benutzer hat sich abgemeldet Authentisierung Benutzer wurde zwangsweise abgemeldet Authentisierung Aktion wurde auf dem Ger t ausgef hrt Authentisierung Benutzer hat einen Kennwort PIN Wechsel eingeleitet Authentisierung Der Benutzer hat nach der A
276. geschlagen Administration Autorisierung an der SafeGuard Enterprise Administration fehlgeschlagen Administration Benutzer genehmigt zus tzliche Autorisierung Kategorie Administration Ereignis ID Administratorhilfe Beschreibung Zus tzliche Autorisierung von Benutzer fehlgeschlagen Administration Datenimport vom Verzeichnis erfolgreich Administration Datenimport vom Verzeichnis abgebrochen Administration Datenimport vom Verzeichnis fehlgeschlagen Administration Benutzer angelegt Administration Benutzer wurde ge ndert Administration Benutzer gel scht Administration Anlegen des Benutzers fehlgeschlagen Administration L schen des Benutzers fehlgeschlagen Administration Computer angelegt Administration Computer gel scht Administration Anlegen des Computers fehlgeschlagen Administration L schen des Computers fehlgeschlagen Administration OU angelegt Administration OU gel scht Administration Anlegen der OU fehlgeschlagen Administration Importieren der OU fehlgeschlagen Administration L schen der OU fehlgeschlagen Administration Gruppe angelegt Administration Gruppe ge ndert Administration Gruppe umbenannt Administration Gruppe gel scht Administration Anlegen der Gruppe fehlgeschlagen Administration nd
277. geschlagenen Anmeldung erscheint ein Dialog der die verbleibende Verz gerungszeit anzeigt Hinweis Wenn ein Benutzer w hrend der Anmeldung mit Token eine falsche PIN eingibt tritt keine Anmeldeverz gerung ein 105 SafeGuard Enterprise 16 2 16 3 106 Sie k nnen die Anzahl an erlaubten Anmeldeversuchen in einer Richtlinie vom Typ Authentisierung ber die Option Maximalanzahl von erfolglosen Anmeldeversuchen festlegen Wenn die Maximalanzahl an erfolglosen Anmeldeversuchen erreicht ist wird der Endpoint gesperrt Um eine Computersperre aufzuheben kann der Benutzer ein Challenge Response Verfahren starten Registrieren weiterer SafeGuard Enterprise Benutzer Der erste Benutzer der sich in Windows anmeldet ist automatisch in der SafeGuard POA registriert Zun chst kann sich kein weiterer Windows Benutzer in der SafeGuard POA anmelden Weitere Benutzer m ssen mit Hilfe des ersten Benutzers importiert werden Eine detaillierte Beschreibung zum Importieren weiterer Benutzer finden Sie in der SafeGuard Enterprise Benutzerhilfe Eine Richtlinieneinstellung legt fest wer einen neuen Benutzer importieren darf Sie finden diese Richtlinie im SafeGuard Management Center unter Richtlinien Typ Spezifische Computereinstellungen Feld Registrieren von neuen SGN Benutzern erlauben Standardeinstellung Besitzer Wer der Besitzer eines Endpoint ist wird im SafeGuard Management Center festgelegt unter Benutzer und Computer
278. gestellt wird Ein anderer Benutzer muss den durch SafeGuard Enterprise gesch tzten Endpoint starten In diesem Fall startet der Benutzer der Zugriff ben tigt den Endpoint und gibt seinen Benutzernamen ein Der Benutzer fordert dann eine Challenge an Der SafeGuard Helpdesk generiert eine Response vom Typ SGN Client mit Benutzeranmeldung booten mit aktivierter durchgehender Anmeldung an Windows Der Benutzer wird angemeldet und kann den Computer benutzen Wiederherstellen des SafeGuard Enterprise Policy Cache Diese Aktion wird notwendig wenn der SafeGuard Policy Cache besch digt ist Im Local Cache werden alle Schl ssel Richtlinien Benutzerzertifikate und Audit Dateien gespeichert Standardm ig ist Recovery f r die Anmeldung bei einem besch digten Local Cache deaktiviert Er wird automatisch aus seiner Sicherungskopie wiederhergestellt In diesem Fall ist f r das Reparieren des Local Cache kein Challenge Response Verfahren erforderlich Wenn der Local Cache mit einem Challenge Response Verfahren repariert werden soll k nnen Sie den Recovery Vorgang per Richtlinie aktivieren In diesem Fall wird der Benutzer bei einem besch digten Local Cache automatisch dazu aufgefordert ein Challenge Response Verfahren zu starten 243 SafeGuard Enterprise 29 2 5 1 6 SafeGuard Data Exchange Recovery Vorg nge bei vergessenem Kennwort 29 2 5 2 244 SafeGuard Data Exchange ohne Device Encryption bietet f r den Fall dass der Benutzer
279. griff auf den Systemkern ist ein Fehler aufgetreten Unzul ssige nderung der Systemeinstellungen Auf ein Laufwerk konnten keine Daten geschrieben werden Von einem Laufwerk konnten keine Daten gelesen werden Der Zugriff auf ein Laufwerk ist fehlgeschlagen Unzul ssiges Laufwerk nderung der Zugriffsposition auf einem Laufwerk ist fehlgeschlagen Laufwerk ist nicht bereit Unmount eines Laufwerks ist fehlgeschlagen Datei konnte nicht ge ffnet werden Datei konnte nicht gefunden werden Unzul ssiger Dateipfad definiert Datei konnte nicht erzeugt werden Datei konnte nicht kopiert werden Keine Informationen ber ein Laufwerk vorhanden Die Position in einer Datei konnte nicht ge ndert werden Das Lesen von einer Datei ist fehlgeschlagen Es konnten keine Daten in eine Datei geschrieben werden 313 SafeGuard Enterprise Fehler ID Anzeige Eine Datei konnte nicht entfernt werden Unzul ssiges Dateisystem Datei konnte nicht geschlossen werden Kein Zugriff auf eine Datei m glich Nicht genug Speicher vorhanden Unzul ssiger oder falscher Parameter definiert Ein Puffer f r Daten ist zu klein Ein DLL Modul konnte nicht geladen werden Eine Funktion oder ein Prozess wurde abgebrochen Kein Zugriff erlaubt Es ist kein Systemkern installiert Ein Programm konnte nicht gestartet werden Eine Funk
280. gurationspaket erstellen Die Server Verbindung f r den SSL Transportverschl sselung Modus wird validiert Wenn die Verbindung fehlschl gt wird eine Warnungsmeldung angezeigt Das Konfigurationspaket ZIP wird nun im angegebenen Verzeichnis angelegt Sie m ssen das Paket auf Ihren Macs verteilen und installieren Siehe auch die Handb cher f r Sophos SafeGuard Native Device Encryption for Mac und Sophos SafeGuard File Encryption for Mac 103 SafeGuard Enterprise 16 16 1 104 SafeGuard Enterprise Power on Authentication POA Hinweis Diese Beschreibung gilt f r Windows 7 Endpoints mit SafeGuard Festplattenverschl sselung SafeGuard Enterprise identifiziert den Benutzer bereits bevor das Betriebssystem startet Hierbei startet vorher ein SafeGuard Enterprise eigener Systemkern Dieser ist gegen Modifikationen gesch tzt und versteckt auf der Festplatte gespeichert Erst wenn sich der Benutzer in der SafeGuard POA korrekt authentisiert hat wird das Betriebssystem Windows von der verschl sselten Partition aus gestartet Die Anmeldung an Windows erfolgt sp ter automatisch Analog wird verfahren wenn sich ein Endpoint im Ruhezustand Hibernation Suspend to Disk befindet und wieder eingeschaltet wird SafeGuard Logon OQO SOPHOS User name john Bram Domain MY_coMPanY x En QK Recovery Shutdown Options gt gt Die SafeGuard Power on Authentication bietet unter ande
281. gurieren von vertrauensw rdigen und ignorierten Anwendungen f r File Encryption Sie k nnen Anwendungen als vertrauensw rdig definieren um ihnen Zugriff auf verschl sselte Dateien zu geben Dies ist zum Beispiel notwendig damit Antivirus Software verschl sselte Dateien berpr fen kann Sie k nnen Anwendungen als ignoriert definieren um sie von der transparenten Dateiverschl sselung Dateientschl sselung auszuschlie en Wenn Sie zum Beispiel ein Backup Programm als ignorierte Anwendung definieren bleiben die vom Programm gesicherten verschl sselten Daten verschl sselt Hinweis Untergeordnete Prozesse werden nicht als vertrauensw rdig ignoriert eingestuft 1 Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine Einstellungen an oder w hlen Sie eine vorhandene aus 2 Klicken Sie unter Dateiverschl sselung auf die Dropdown Schaltfl che der Felder Vertrauensw rdige Anwendungen oder Ignorierte Anwendungen 2322 Administratorhilfe 3 Geben Sie im Editor Listenfeld die Anwendungen ein die Sie als vertrauensw rdig ignoriert definieren m chten Sie k nnen mehrere vertrauensw rdige ignorierte Anwendungen in einer Richtlinie definieren Jede Zeile im Editor Listenfeld definiert jeweils eine Anwendung Anwendungsnamen m ssen auf exe enden Anwendungsnamen m ssen als Fully Qualified Paths mit Laufwerk Verzeichnis definiert werden zum Beispiel c dir beispiel exe Es reicht n
282. h ber SafeGuard Data Exchange SG DX verwendet werden VOLUME BASIERENDE EINSTE LLUNGEN Benutzer darf dem verschl sseltem Volume Ja Endpoint Benutzer d rfen einen zus tzlichen Schl ssel aus einem Schl sselbund einf gen entfernen Der Dialog wird angezeigt 153 SafeGuard Enterprise 154 Richtlinieneinstellung Schl ssel hinzuf gen oder diese entfernen Erkl rung ber den Kontextmen eintrag Eigenschaften Verschl sselung Registerkarte Nein Endpoint Benutzer d rfen keine zus tzlichen Schl ssel hinzuf gen Reaktion auf unverschl sselte Volumes Definiert wie SafeGuard Enterprise mit unverschl sselten Medien umgeht Folgende Optionen stehen zur Verf gung Abweisen Klartext Medium wird nicht verschl sselt Nurunverschl sselte Medien akzeptieren und verschl sseln Alle Medien akzeptieren und verschl sseln Benutzer darf Volume entschl sseln Bewirkt dass der Benutzer ber einen Kontextmen Eintrag im Windows Explorer das Laufwerk entschl sseln darf Schnelle Initialverschl sselung W hlen Sie diese Einstellung aus um den Modus der schnellen Initialverschl sselung f r die volume basierende Verschl sselung zu aktivieren Dieser Modus reduziert den Zeitraum der f r die Initialverschl sselung auf Endpoints ben tigt wird Hinweis Dieser Modus kann zu einem unsicheren Zustand f hren For further information see Schnelle Initialverschl s
283. h wenn es einem Angreifer gelingt sch dlichen Code zum Beispiel in ausf hrbaren Dateien in Verzeichnisse einzubringen in denen die SafeGuard Enterprise Verschl sselungssoftware nach legitimem Code sucht So wenden Sie diese Bedrohung ab Installieren Sie die von der Verschl sselungssoftware geladene Middleware zum Beispiel Token Middleware in Verzeichnissen auf die externe Angreifer nicht zugreifen k nnen Dies sind blicherweise die Unterverzeichnisse der Windows und Programme Verzeichnisse Die PATH Umgebungsvariable sollte keine Komponenten enthalten die auf Ordner verweisen auf die externe Angreifer zugreifen k nnen siehe oben Regul re Benutzer sollten keine Administratorenrechte haben Best Practices f r die Verschl sselung Stellen Sie sicher dass allen Laufwerken ein Laufwerksbuchstabe zugewiesen ist Nur Laufwerke die einen Laufwerksbuchstaben zugewiesen haben k nnen verschl sselt entschl sselt werden Folglich k nnen Laufwerke ohne Laufwerksbuchstaben missbraucht werden um an vertrauliche Daten im Klartext zu gelangen So wenden Sie diese Bedrohung ab Erlauben Sie den Benutzern nicht die Laufwerkbuchstabenzuweisungen zu ndern Konfigurieren Sie die Benutzerrechte entsprechend Regul re Benutzer haben dieses Recht standardm ig nicht Gehen Sie bei der Anwendung der schnellen Initialverschl sselung vorsichtig vor SafeGuard Enterprise bietet die schnelle Initialverschl sselung zur Be
284. heitsbeauftragten zum Haupt Sicherheitsbeauftragten wird r ckg ngig gemacht und der Sicherheitsbeauftragte wird unter dem ausgew hlten Sicherheitsbeauftragten Knoten angezeigt Der Sicherheitsbeauftragte verliert alle Rechte f r alle Objekte und erh lt nur die Rechte die den zugewiesenen Rollen zugeordnet sind Ein Sicherheitsbeauftragter dessen Ernennung zum Haupt Sicherheitsbeauftragten r ckg ngig gemacht wurde hat zun chst keine Dom nen Zugriffsrechte Dom nen Zugriffsrechte m ssen einzeln im Bereich Benutzer amp Computer in der Registerkarte Zugriff gew hrt werden Administratorhilfe 11 13 ndern des Zertifikats eines Sicherheitsbeauftragten 11 14 14 15 Voraussetzung Um das Zertifikat eines Sicherheitsbeauftragten oder Haupt Sicherheitsbeauftragten zu ndern ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und zu modifizieren 1 2 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte Klicken Sie im Navigationsfenster auf den Sicherheitsbeauftragten dessen Zertifikat Sie ndern m chten Das aktuelle Zertifikat wird im Aktionsbereich auf der rechten Seite im Feld Zertifikate angezeigt Klicken Sie im Aktionsbereich auf die Dropdownliste Zertifikate und w hlen Sie ein anderes Zertifikat aus Klicken Sie auf das Speichern Symbol in der Symbolleiste um Ihre nderungen in der Datenbank zu speichern Anordnen von Sicherheitsbeauftragten in der Baumstruktur Sicherheitsbeauft
285. hema zur Aktivierung von Local Self Help auf ihren Computern beantwortet haben werden die Antworten der Benutzer ung ltig da die Fragen nicht mehr vorhanden sind Registrieren von Willkommenstexten Sie k nnen einen Willkommenstext registrieren der im ersten Dialog des Local Self Help Assistenten angezeigt werden soll Die Textdateien mit den gew nschten Informationen m ssen erstellt werden bevor sie im SafeGuard Management Center registriert werden k nnen Die maximale Dateigr e f r Informationstexte betr gt 50 KB SafeGuard Enterprise verwendet nur Unicode UTF 16 kodierte Texte Wenn Sie die Textdateien nicht in diesem Format erstellen werden sie bei der Registrierung automatisch in dieses Format konvertiert 1 Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Texte und w hlen Sie Neu gt Text 2 Geben Sie unter Textelementname einen Namen f r den anzeigenden Text ein 3 Klicken Sie auf um die zuvor erstellte Textdatei auszuw hlen Wenn eine Konvertierung notwendig ist wird eine entsprechende Meldung angezeigt 4 Klicken Sie auf OK Das neue Textelement wird als Unterknoten des Eintrags Texte im Richtlinien Navigationsbereich angezeigt Ist ein Textelement markiert wird sein Inhalt im Aktionsbereich auf der rechten Seite angezeigt Das Textelement kann jetzt beim Erstellen von Richtlinien ausgew hlt werden Um weitere Textelemente zu registrieren gehen Sie wie beschrieben vor Alle
286. hl ssel zur Verschl sselung von Volumes zugewiesen werden indem Richtlinien vom Typ Ger teschutz angelegt werden In einer Richtlinie vom Typ Ger teschutz k nnen Sie die Einstellung Schl ssel f r die Verschl sselung f r jedes Medium festlegen Hier k nnen Sie festlegen welche Schl ssel der Benutzer bei der Verschl sselung verwenden darf bzw muss Beliebiger Schl ssel im Schl sselring des Benutzers Benutzer k nnen nach der Anmeldung an Windows ausw hlen welchen Schl ssel sie f r die Verschl sselung des Laufwerks verwenden m chten Es wird ein Dialog angezeigt in dem die Benutzer den gew nschten Schl ssel ausw hlen k nnen Alle au er pers nliche Schl ssel im Schl sselring Benutzer d rfen ihren pers nlichen Schl ssel nicht verwenden um Daten zu verschl sseln Beliebiger Gruppenschl ssel im Schl sselring des Benutzers Benutzer d rfen nur aus den in ihrem Schl sselbund vorhandenen Gruppenschl sseln ausw hlen a Definierter Computerschl ssel Der definierte Computerschl ssel ist der einzigartige Schl ssel der von SafeGuard Enterprise nur f r den jeweiligen Computer w hrend des ersten Startvorgangs erzeugt wird Der Benutzer hat keine Auswahlm glichkeit Ein definierter Computerschl ssel wird nur f r die Boot und Systempartition eingesetzt und f r Laufwerke auf denen sich Dokumente und Einstellungen befinden Definierter Schl ssel aus der Liste Diese Option erlaubt es Ihnen
287. hl Ziffern Buchstaben als auch Sonderzeichen wie etc enthalten Verwenden Sie bei der Vergabe einer neuen PIN jedoch keine Zeichen mit der Kombination ALT lt Zeichen gt da dieser Eingabemodus an der SafeGuard Power on Authentication nicht zur Verf gung steht Hinweis Definieren Sie PIN Regeln entweder im SafeGuard Management Center oder im Active Directory nicht an beiden Stellen 139 SafeGuard Enterprise 140 Richtlinieneinstellung PIN Erkl rung Mindestl nge der PIN Gibt an aus wie vielen Zeichen eine PIN bei der nderung durch den Benutzer bestehen muss Der gew nschte Wert kann entweder direkt eingegeben oder durch Bet tigen der Richtungsschaltfl chen vergr ert bzw verkleinert werden Maximall nge der PIN Gibt an aus wie vielen Zeichen eine PIN bei der nderung durch den Benutzer maximal bestehen darf Der gew nschte Wert kann entweder direkt eingegeben oder durch Bet tigen der Richtungsschaltfl chen vergr ert bzw verkleinert werden Mindestanzahl an Buchstaben Mindestanzahl an Ziffern Mindestanzahl an Symbolen Mit diesen Einstellungen wird erreicht dass PINs nicht ausschlie lich Zeichen Ziffern oder Sonderzeichen enthalten sondern aus einer Kombination bestehen m ssen z B 15blume Diese Einstellungen sind nur dann sinnvoll wenn eine Mindestl nge der PIN definiert ist die gr er 2 ist Gro Kleinschreibung beachten Tastaturzeile verboten
288. hlen Sie auf der Recovery Typ Seite die Option SafeGuard Enterprise Client Managed 2 W hlen Sie unter Dom ne die gew nschte Dom ne aus der Liste 3 Geben Sie unter Computer den gew nschten Computernamen ein oder w hlen Sie ihn aus Hierzu gibt es mehrere M glichkeiten Um einen Namen auszuw hlen klicken Sie auf Klicken Sie anschlie end auf Jetzt suchen Eine Liste mit Computern wird angezeigt W hlen Sie den gew nschten Computer aus und klicken Sie auf OK Der Computername wird auf der Seite Recovery Typ angezeigt Geben Sie den Kurznamen des Computers direkt in das Feld ein Wenn Sie auf Weiter klicken wird der Name in der Datenbank gesucht Der gefundene Computername wird als Distinguished Name angezeigt eben Sie den Computernamen direkt als Distinguished Name ein zum Beispiel CN Desktopl OU Development OU Headquarter DC Sophos DC edu 4 Klicken Sie auf Weiter 5 W hlen Sie das Volume auf das zugegriffen werden soll aus der Liste und klicken Sie auf Weiter 29 3 2 29 4 Administratorhilfe 6 Klicken Sie auf Weiter Eine Seite f r die Eingabe des Challenge Codes wird angezeigt 7 Geben Sie den vom Benutzer erhaltenen Challenge Code ein und klicken Sie auf Weiter 8 Es wird ein Response Code erzeugt Teilen Sie dem Benutzer den Response Code mit Hierzu steht eine Buchstabierhilfe zur Verf gung Sie k nnen den Response Code auch in die Zwischenablage kopieren Der Benutzer
289. hlen Sie den Benutzer f r den ein Token ausgestellt werden soll und ffnen Sie im rechten Arbeitsbereich die Registerkarte Token Daten 4 Gehen Sie in der Registerkarte Token Daten wie folgt vor a W hlen Sie die Benutzer ID und Dom ne des betreffenden Benutzers aus und geben Sie sein Windows Kennwort ein b Klicken Sie auf Token ausstellen Der Dialog Token ausstellen wird angezeigt 5 W hlen Sie den relevanten Slot aus der Verf gbare Slots Dropdownliste aus 6 Vergeben Sie eine neue Benutzer PIN und wiederholen Sie die Eingabe 7 Geben Sie unter SO PIN die vom Hersteller erhaltene Standard PUK bzw die bei der Token Initialisierung vergebene PIN ein Hinweis Wenn Sie nur das Feld Benutzer PIN erforderlich ausf llen muss die Benutzer PIN mit der PIN bereinstimmen die bei der Token Initialisierung vergeben wurde Sie m ssen die Benutzer PIN dann nicht wiederholen und keine SO PIN eingeben 8 Klicken Sie auf Token jetzt ausstellen Der Token wird ausgestellt die Anmeldeinformationen auf den Token geschrieben und die Token Informationen in der SafeGuard Enterprise Datenbank hinterlegt Im Bereich Token k nnen Sie sich in der Registerkarte Token Information die Daten anzeigen lassen Ausstellen eines Token oder einer Smartcard f r einen Sicherheitsbeauftragten Bei der Erstinstallation von SafeGuard Enterprise besteht f r den ersten Sicherheitsbeauftragten bereits die M glichkeit sich einen Token ausstellen
290. hmenszertifikats erfolgt in drei Schritten Erzeugen einer Certificate Change Order CCO Erzeugen eines Konfigurationspakets mit der CCO Neustart der Server und Verteilen der Konfigurationspakete an die Endpoints So erneuern Sie das Unternehmenszertifikat 1 W hlen Sie Extras gt Optionen in der SafeGuard Management Center Men leiste 2 Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im Bereich Anforderung auf Aktualisieren 3 Geben Sie im Dialog Unternehmenszertifikat aktualisieren einen Namen f r die CCO an und legen Sie einen Backup Pfad fest Geben Sie ein Kennwort f r die P12 Datei ein und best tigen Sie Ihre Eingabe Geben Sie nach Wunsch eine Anmerkung ein und klicken Sie auf Erzeugen 4 Wenn Sie dazu aufgefordert werden best tigen Sie dass diese nderung nicht r ckg ngig gemacht werden kann und dass alle nachfolgend erstellten Konfigurationspakete diese CCO enthalten m ssen damit Sie auf bereits installierten Endpoints wirksam werden k nnen 5 Wenn Sie dazu aufgefordert werden best tigen Sie dass die Aktualisierung erfolgreich war und dass eine CCO erzeugt wurde die in alle Konfigurationspakete aufgenommen werden soll Klicken Sie auf OK 6 Klicken Sie im Extras Men auf Konfigurationspakete 13 2 Administratorhilfe 7 W hlen Sie Pakete f r Managed Clients 8 Klicken Sie auf Konfigurationspaket hinzuf gen und geben Sie einen Namen Ihrer Wahl f r das Konfigurationspaket
291. hr nkungen Asterisken sind nur als erstes letztes und einziges Zeichen zul ssig Beispiele f r g ltige und ung ltige Zeichenfolgen G ltige Zeichenfolgen sind z B Admin strator minis Ung ltige Zeichenfolgen sind z B Admin trator Ad minst Dar ber hinaus gelten folgende Einschr nkungen Das Zeichen ist in Benutzernamen nicht zul ssig a Die Zeichen lt gt sindin Dom nennamen nicht zul ssig Bearbeiten und L schen von Service Account Listen Als Sicherheitsbeauftragter mit der Berechtigung Service Account Listen ndern k nnen Sie Service Account Listen jederzeit bearbeiten oder l schen Um eine Service Account Liste zu bearbeiten klicken Sie auf der Liste im Richtlinien Navigationsfenster Die Service Account Liste wird im Aktionsbereich ge ffnet und Sie k nnen Benutzernamen zuf gen l schen oder ndern Um eine Service Account Liste zu l schen w hlen Sie die Liste im Richtlinien Navigationsfenster aus ffnen Sie das Kontextmen und w hlen Sie L schen 117 SafeGuard Enterprise 18 4 18 5 18 6 118 Zuweisen einer Service Account Liste in einer Richtlinie 1 Legen Sie eine Richtlinie vom Typ Authentisierung an oder w hlen Sie eine bereits vorhandene aus 2 W hlen Sie unter Anmeldeoptionen die gew nschte Service Account Liste aus der Dropdownliste des Felds Service Account Liste aus Hinweis Die Standardeinstellung dieses Felds ist K
292. hstaben ndern k nnen empfehlen wir aus Sicherheitsgr nden UNC Pfade in File Encryption Verschl sselungsregeln zu verwenden Offline Ordner Bei Anwendung der Windows Funktion Offline verf gbar machen m ssen Sie keine speziellen Regeln f r lokale Offline Kopien von Ordnern erstellen Neue Dateien in der lokalen Kopie eines Ordners der offline verf gbar gemacht wurde werden entsprechend den Regeln f r den urspr nglichen Netzwerk Speicherplatz verschl sselt Hinweis F r weitere Informationen zur Bennungn von Dateien und Pfade siehe http msdn microsoft com en us library aa365247 aspx 184 Administratorhilfe 23 1 2 Platzhalter f r Pfade in File Encryption Verschl sselungsregeln Beim Angeben von Pfaden in Verschl sselungsregeln in File Encryption Richtlinien k nnen die folgenden Platzhalter verwendet werden Um diese Platzhalter auszuw hlen klicken Sie auf die Dropdown Schaltfl che des Felds Pfad Pfad Platzhalter Betriebssystem Wert auf dem Endpoint Alle Windows und Mac OS X lt environment_variable_name gt Wert der Umgebungsvariable Beispiel lt USERNAME gt Hinweis Wenn Umgebungsvariablen mehrere Speicherorte enthalten zum Beispiel die PATH Umgebungsvariable werden die Pfade nicht in mehrere Regeln aufgeteilt Dies verursacht einen Fehler und die Verschl sselungsregel ist ung ltig Windows Der virtuelle Ordner f r das Microsoft Windows Desktop lt Documents gt Das ist der vir
293. ht erfolgreich abgeschlossen 0x00BEB007 12496903 Fehler in Kommunikation zwischen Prozessen des PIN oder Pfad Dialogs 0x00BEB008 0x00BEB009 12496904 12496905 Unbehandelte Ausnahme im PIN oder Pfad Dialog Der Dialog wurde angezeigt aber der Benutzer meldete sich ab oder stoppte ihn im Task Manager Der in der Richtlinie definierte Verschl sselungsalgorithmus stimmt nicht mit dem des verschl sselten Laufwerks berein Standardm ig falls nicht ge ndert verwendet die systemeigene BitLocker Verschl sselung AES 128 w hrend die SGN Richtlinien AES 256 definieren 0x00BEBOOA 0x00BEBOOB 12496906 12496907 Das Volume ist ein schreibgesch tztes Volume Dynamische Volumes werden nicht unterst tzt Der Hardware Test ist aufgrund eines Hardwareproblems fehlgeschlagen 0x00BEBOOC 0x00BEBOOD 12496908 12496909 Bei der TPM Initialisierung und Aktivierung ist ein Fehler aufgetreten Der Verschl sselungsalgorithmus in der SGN Richtlinie steht zu den Verschl sselungsalgorithmus Einstellungen im GPO in Konflikt 0x00BEB102 0x00BEB202 12497154 12497410 Die UEFI Version konnte nicht berpr ft werden deshalb wird BitLocker im Legacy Modus ausgef hrt Das Client Konfigurationspaket wurde noch nicht installiert 0x00BEB203 0x80280006 12497411 2144862202 Die UEFI Version wird nicht unterst tzt und deshalb wird BitLocker im Legacy Modus ausgef hrt Die
294. ht unterst tzt 536870985 Der Zufallszahlengenerator ben tigt einen gr eren Startwert seed 536870986 Das Objekt existiert bereits 536870987 Falsche Algorithmus Kombination Siehe CBlRecrypt 536870988 Das Cryptoki Modul PKCS 11 ist nicht initialisiert 321 SafeGuard Enterprise 322 Fehler ID 536870989 Anzeige Das Cryptoki Modul PKCS 11 ist bereits initialisiert 536870990 Das Cryptoki Modul PKCS 11 konnte nicht geladen werden 536870991 Zertifikat nicht gefunden 536870992 Nicht vertrauensw rdig 536870993 Ung ltiger Schl ssel 536870994 Der Schl ssel ist nicht exportierbar 536870995 Der angegebene Algorithmus wird momentan nicht unterst tzt 536870996 Der angegebene Entschl sselungsmodus wird nicht unterst tzt 536870997 Ein Fehler in der GSENC Sammlung ist aufgetreten 536870998 Format der Datenabfrage ist nicht bekannt 536870999 Das Zertifikat hat keinen privaten Schl ssel 536871000 Ung ltige Konfiguration 536871001 Eine Operation ist aktiv 536871002 Ein Zertifikat in der Kette ist zeitlich nicht verschachtelt 536871003 Die CRL konnte nicht ersetzt werden 536871004 Die BENUTZER PIN wurde bereits initialisiert 805306369 Sie haben keine ausreichenden Rechte um diese Aktion auszuf hren Zugriff verweigert 805306370 Ung ltige
295. htlinie nur ber einen Benutzer kommt dann werden die maschinenbezogenen Einstellungen dieser Richtlinie nicht verwendet Das hei t es gelten keine computerbezogenen Einstellungen Es gelten die Standardwerte Administratorhilfe Computerrichtlinie Jene Richtlinie die die Maschine zur Auswertung bereitstellt Wenn eine Richtlinie nur ber einen Computer kommt dann werden auch die benutzerspezifischen Einstellungen dieser Richtlinie verwendet Die Computerrichtlinie stellt dann eine f r alle Benutzer Richtlinie dar 99 SafeGuard Enterprise 15 Mit Konfigurationspaketen arbeiten 100 Im SafeGuard Management Center lassen sich Konfigurationspakete der folgenden Typen erstellen Konfigurationspaket f r zentral verwaltete Endpoints Endpoints die eine Verbindung zum SafeGuard Enterprise Server haben erhalten Ihre Richtlinien ber den Server F r den erfolgreichen Einsatz der SafeGuard Enterprise Client Software nach der Installation m ssen Sie zun chst ein Konfigurationspaket f r zentral verwaltete Computer erzeugen und es auf den Computern installieren Nach der ersten Konfiguration der Endpoints ber das Konfigurationspaket erhalten die Endpoints Richtlinien ber den SafeGuard Enterprise Server wenn Sie diese im Bereich Benutzer amp Computer des SafeGuard Management Center zugewiesen haben Konfigurationspaket f r Standalone Endpoints Standalone Endpoints haben niemals eine Verbindung zum SafeGuard Enterp
296. htlinie vom Typ Ger teschutz mit dem Ziel Wechselmedien wird dieser Schl ssel zur Verschl sselung des Medienverschl sselungsschl ssel verwendet wenn die Medien Passphrase Funktionalit t aktiviert ist Benutzer darf eine Medien Passphrase f r Wechselmedien erzeugen auf Ja eingestellt F r Richtlinien vom Typ Ger teschutz f r Wechselmedien m ssen daher die Einstellungen Schl ssel f r die Verschl sselung F r Verschl sselung definierter Schl ssel unabh ngig voneinander spezifiziert werden Richtlinien f r durch SafeGuard Enterprise gesch tzte Standalone Endpoints Falls die Medien Passphrase Funktion f r Unmanaged Endpoints aktiviert ist wird der Medienverschl sselungsschl ssel automatisch als F r Verschl sselung definierter Schl ssel verwendet da auf Unmanaged Endpoints keine Gruppenschl ssel zur Verf gung stehen Benutzer darf einen lokalen Schl ssel erzeugen Diese Einstellung bestimmt ob Benutzer auf ihren Computern lokale Schl ssel erzeugen d rfen oder nicht Lokale Schl ssel werden auf dem Endpoint basierend auf einer vom Benutzer eingegebenen Passphrase erzeugt Die Anforderungen denen eine Passphrase entsprechen muss k nnen in Richtlinien vom Typ Passphrase festgelegt werden Diese Schl ssel werden ebenfalls in der Datenbank gespeichert Der Benutzer kann sie auf jedem Endpoint auf dem er sich anmelden darf verwenden Lokale Schl ssel k nnen zum sicheren Datenaustausc
297. i gt Drucken Export von Bestandsberichte in Dateien 1 Klicken Sie in der SafeGuard Management Center Men leiste auf Datei 2 W hlen Sie Drucken gt Druckvorschau Die Bestandsbericht Druckvorschau wird angezeigt Die Druckvorschau bietet eine Reihe von Funktionen z B f r die Bearbeitung des Seitenlayouts Kopf und Fu zeile usw 3 Klicken Sie in der Symbolleiste des Fensters Druckvorschau auf die Dropdownliste des Symbols Dokument exportieren 4 W hlen Sie den gew nschten Dateityp aus der Liste 5 Geben Sie die gew nschten Exportoptionen an und klicken Sie auf OK Der Bestandsbericht wird in eine Datei des angegebenen Dateityps exportiert 269 SafeGuard Enterprise 33 Berichte 270 Die Aufzeichnung sicherheitsrelevanter Vorf lle ist Voraussetzung f r eine gr ndliche Systemanalyse Anhand der protokollierten Ereignisse k nnen Vorg nge auf einer Arbeitsstation bzw innerhalb eines Netzwerks exakter nachvollzogen werden Durch die Protokollierung lassen sich zum Beispiel Schutzverletzungen unautorisierter Dritter nachweisen Dem Administrator bzw Sicherheitsbeauftragten bietet die Protokollierung auch eine Hilfe um irrt mlich verwehrte Benutzerrechte ausfindig zu machen und zu korrigieren SafeGuard Enterprise protokolliert alle Aktivit ten und Statusinformationen der Endpoints sowie Administratoraktionen und sicherheitsrelevante Ereignisse und speichert diese zentral Die Protokollierung zeichnet Ere
298. ich auf dem Computer verf gbar sind und ignoriert werden Wird ein Ger t in einer Richtlinie als ignoriert definiert und das Ger t ist nicht verf gbar so wird das Ger t auch nicht aufgelistet Benutzen Sie folgende Registry Keys um verbundene und ignorierte Ger te zu ermitteln HKLM System CurrentControlSet Control Utimaco SGLCENC Log AttachedDevices HKLM System CurrentControlSet Control Utimaco SGLCENC Log IgnoredDevices Konfigurieren der persistenten Verschl sselung f r File Encryption Der Inhalt von mit File Encryption verschl sselten Dateien wird jeweils direkt entschl sselt wenn der Benutzer den erforderlichen Schl ssel hat Wenn der Inhalt in einer neuen Datei an einem Ablageort gespeichert wird f r den keine Verschl sselungsregel gilt bleibt die resultierende neue Datei unverschl sselt Mit persistenter Verschl sselung bleiben Kopien von verschl sselten Dateien auch dann verschl sselt wenn sie an einem Speicherort abgelegt werden f r den keine Verschl sselungsregel gilt Sie k nnen die persistente Verschl sselung in Richtlinien vom Typ Allgemeine Einstellungen konfigurieren Die Richtlinieneinstellung Persistente Verschl sselung aktivieren ist standardm ig aktiviert Hinweis Wenn Dateien an ein ignoriertes Ger t oder in einen Ordner kopiert oder verschoben werden f r den eine Richtlinie mit dem Modus f r die Verschl sselung Ignorieren gilt hat die Einstellung Persistente Verschl sselung aktivier
299. icht aus nur den Dateinamen einzugeben zum Beispiel beispiel exe Aus Gr nden der Benutzerfreundlichkeit zeigt die Einzelzeilenansicht der Anwendungsliste nur die Dateinamen getrennt durch Strichpunkte Die Anwendungsnamen k nnen dieselben Platzhalter f r Windows Shell Ordner und Umgebungsvariablen wie die Verschl sselungsregeln in File Encryption Richtlinen enthalten Eine Beschreibung aller verf gbaren Platzhalter finden Sie unter Platzhalter f r Pfade in File Encryption Verschl sselungsregeln Seite 185 4 Speichern Sie Ihre nderungen Hinweis Die Richtlinieneinstellungen Vertrauensw rdige Anwendungen und Ignorierte Anwendungen sind Computereinstellungen Die Richtlinie muss daher Computern nicht Benutzern zugewiesen werden Andernfalls werden die Einstellungen nicht wirksam Konfigurieren von ignorierten Ger ten f r File Encryption Sie k nnen Ger te als ignoriert definieren um sie von der Dateiverschl sselung auszuschlie en Sie k nnen nur vollst ndige Ger te ausschlie en 1 2 Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine Einstellungen an oder w hlen Sie eine vorhandene aus Klicken Sie unter Dateiverschl sselung auf die Dropdown Schaltfl che des Felds Ignorierte Ger te F hren Sie im Editor Listenfeld folgende Schritte durch a W hlen Sie Netzwerk wenn Sie keine Daten am Netzwerk verschl sseln wollen b Geben Sie die entsprechenden Ger tenamen
300. ichte 4444u444444nHnnnnnnnnannnnnnnnnannnnnnnnannnnnnnnn nen 281 34 Pl nen v n TASKS reaa ran HE re NE 283 34 1 Erstellen eines neuen Tasks uuusrsnnnesensnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnn nn 283 34 2 Die Taskplaner bersichtanzeige eeeeeenee 285 34 3 Bearbeiten von Tasks uuuerssnnennennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnn nn 287 34 4 L schen von Tasks uueennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 287 34 5 Mit Skripten im Taskplaner arbeiten ennnnennnnnnnnnnnnnnnnnnnnnnnnnn 287 34 6 Einschr nkungen in Bezug auf registrierte Server 291 34 7 Protokollierte Ereignisse f r den Taskplaner usrsnssennnnnnnnennennnnnn 292 35 Managing Mac endpoints in the SafeGuard Management Cernter e 293 35 1 Bestands und Statusinformationen f r Macs usennnennnnnnnnnnnnennnn 293 35 2 Erzeugen eines Konfigurationspakets f r Macs snenennne 293 36 SafeGuard Enterprise und selbst verschl sselnde Opal Festplatten 295 36 1 Integration von Opal Festplatten in SafeGuard Enterprise nnne 295 36 2 Aufwertung von Opal Festplatten mit SafeGuard Enterprise 295 36 3 Verwaltung von Endpoints mit Opal Festplatten durch SafeGuard EMOD DEI O S ar AT E EERS 296 36 4 Verschl sselung von Opal Festplatten 002200nn
301. ie Anzahl an automatischen Anmeldungen auf 5 eingestellt ist startet der Endpoint 5 mal ohne Authentisierung durch die SafeGuard POA Hinweis Wir empfehlen f r Wake on LAN immer drei Neustarts mehr als notwendig zu erlauben um unvorhergesehene Probleme zu umgehen Administratorhilfe Das Zeitintervall setzt der SO auf 12 00 Uhr mittags auf den Tag vor dem SW Roll Out Somit kann das Scheduling Skript SSMCMDIntn exe rechtzeitig starten und WOL ist sp testens am 25 09 um 03 00 Uhr gestartet Das SW Roll Out Team erstellt 2 Kommandos f r das Scheduling Skript Starte am 24 Sept 2014 12 15 Uhr SGMCMDiIntn exe WOlLstart Starte am 26 Sept 2014 09 00 Uhr SGMCMDiIntn exe WOLstop Das SW Rollout Skript wird auf den 25 09 2014 03 00 Uhr datiert Am Ende des Skripts kann WOL explizit wieder deaktiviert werden mit SGMCMDiIntn exe WOLstop Alle Endpoints die sich bis zum 24 Sept 2014 anmelden und mit den Roll out Servern in Verbindung treten erhalten die neue Richtlinie und die Scheduling Kommandos Jeder Endpoint auf dem der Scheduler zwischen dem 24 Sept 2014 12 00 Uhr und dem 26 Sept 2014 09 00 Uhr das Kommando SGMCMDIntn WOLstart ausl st f llt in das obige WOL Zeitintervall und aktiviert demzufolge Wake on LAN 233 SafeGuard Enterprise 29 Recovery Optionen 234 F r Recovery Vorg nge bietet SafeGuard Enterprise verschiedene Optionen die auf unterschiedliche Szenarien zugeschnitten sind Recovery f r di
302. ie Wechselmedien zu kopieren deaktivieren Sie die Option SafeGuard Portable auf das Ziel kopieren in einer Richtlinie vom Typ Ger teschutz Medien Passphrase SafeGuard Data Exchange erm glicht es Ihnen festzulegen dass eine einzige Medien Passphrase f r alle Wechselmedien mit Ausnahme von optischen Medien auf den Endpoints erstellt werden muss Die Medien Passphrase erm glicht sowohl den Zugriff auf alle zentral definierten Dom nen Gruppenschl ssel als auch auf alle in SafeGuard Portable verwendeten lokalen Schl ssel Der Benutzer muss nur eine einzige Passphrase eingeben und erh lt Zugriff auf alle verschl sselten Dateien in SafeGuard Portable Dabei spielt es keine Rolle welcher lokale Schl ssel f r die Verschl sselung verwendet wurde Auf jedem Endpoint wird automatisch ein einzigartiger Medienverschl sselungsschl ssel f r die Datenverschl sselung f r jedes Medium erstellt Dieser Schl ssel ist durch die Medien Passphrase und einen zentral definierten Dom nen Gruppenschl ssel gesichert Auf einem Computer mit SafeGuard Data Exchange ist es daher nicht notwendig die Medien Passphrase einzugeben um auf die verschl sselten Dateien auf Wechselmedien zuzugreifen Der Zugriff wird automatisch gew hrt wenn sich der entsprechende Schl ssel im Schl sselring des Benutzers befindet Der zu verwendende Dom nen Gruppenschl ssel muss unter F r Verschl sselung definierter Schl ssel festgelegt werden Die Medien Passph
303. ie Windows PE Recovery Disk mit den aktuellen SafeGuard Enterprise Filter Treibern auf der Sophos Support Website zum Download zur Verf gung Weitere Informationen finden Sie unter http www sophos com de de support knowledgebase 108805 aspx Legen Sie auf dem Endpoint die Recovery Disk ein und starten Sie den Computer Der integrierte Dateimanager wird ge ffnet Hier sehen Sie auf einen Blick die bereitgestellten Volumes und Laufwerke E Im Edit New Favorites Go View Tools jeee8e ljl9o jx Delix JE ece e e io aaa m E aD BE Deskto Normal jr Overwrite I Zip Password IT Relative Path Update M Hidden System 0 object 0 object s selected D 0 00 KB free 0 00 KB total 0 Quick Launch Text Editor FM Extra Find File Hex Viewer Image Viewer a lje El Der Inhalt des verschl sselten Laufwerks ist im Dateimanager nicht sichtbar In den Eigenschaften des verschl sselten Laufwerks werden weder das Dateisystem noch die Kapazit t sowie der verwendete freie Speicherplatz angegeben Klicken Sie unten im Bereich Quick Launch des Dateimanagers auf das KeyRecovery Symbol um das KeyRecovery Tool zu ffnen Das Key Recovery Tool zeigt die Schl ssel ID verschl sselter Laufwerke Language select Encrypted Volumes Engish 1033 a Administratorhilfe 4 Suchen Sie nach der Schl ssel ID des Laufwerks auf das S
304. ie zugreifen m chten Die Schl ssel ID wird sp ter abgefragt Im n chsten Schritt importieren Sie den virtuellen Client in das Key Recovery Tool 29 2 6 3 Import des virtuellen Client in das KeyRecovery Tool Voraussetzung Der Computer wurde von der Recovery Disk gebootet Stellen Sie sicher dass das USB Laufwerk mit der Datei recoverytoken tok erfolgreich bereitgestellt wurde W hlen Sie im Windows PE Dateimanager das Laufwerk aus auf dem der virtuelle Client gespeichert ist Die Datei recoverytoken tok wird auf der rechten Seite angezeigt W hlen Sie die Datei recoverytoken tok aus und ziehen Sie sie auf das Laufwerk auf dem sich das KeyRecovery Tool befindet Legen Sie die Datei hier im Verzeichnis Toos SGN Tools ab ae E BEIE Fe Edit New Favorites Go View Tools Help Becerro palaxlE la Esel 2 e a aaa if Jea oC aD HE wF aX Z 74 bytes TOK File fr z kentok E amp CD Drive E CD_ROM aa UTIMACO F Eg Boot X Ed Program Files B ProgramData v T Overwrite I Zip Password M Relative Path I Update M Hidden System 1 object s 74 bytes 1 object s selected 74 bytes F 963 69 MB free 963 70 MB total E Quick Launch Text Editor FM Extra Find File Hex Viewer Image Viewer jala ale le BE Restore KeyRecovery zl Main 247 SafeGuard Enterprise 29 2 6 4 Starte
305. ien Gruppen angezeigt 6 W hlen Sie die Richtlinien Gruppe aus Im Aktionsbereich werden alle f r das Gruppieren der Richtlinien notwendigen Elemente angezeigt 7 Zum Gruppieren der Richtlinien ziehen Sie sie aus der Liste der verf gbaren Richtlinien in den Richtlinienbereich 14 3 2 14 4 Administratorhilfe 8 Sie k nnen f r jede Richtlinie eine Priorit t festlegen indem Sie die Richtlinie ber das Kontextmen nach oben oder unten reihen Wenn Sie Richtlinien vom selben Typ in einer Gruppe zusammenfassen werden die Einstellungen automatisch vereinigt Sie k nnen daf r eine Auswertungsreihenfolge festlegen Die Einstellungen einer h her gereihten Richtlinie berschreiben jene einer niedriger priorisierten Ist eine Einstellung auf nicht konfiguriert gesetzt wird die Einstellung in einer niedriger priorisierten Richtlinie nicht berschrieben Ausnahme Ger teschutz Richtlinien f r den Ger teschutz werden nur vereinigt wenn sie f r dasselbe Ziel z B Boot Volume angelegt werden Weisen sie auf verschiedene Ziele werden sie addiert 9 Speichern Sie die Richtliniengruppe ber Datei gt Speichern Die Richtliniengruppe enth lt nun die Einstellungen aller einzelnen Richtlinien Ergebnis der Gruppierung Das Ergebnis der Zusammenfassung wird in einer eigenen Ansicht dargestellt Klicken Sie zum Anzeigen der Zusammenfassung auf die Registerkarte Ergebnis F r jeden Richtlinien Typ steht eine eigene Reg
306. ieren Somit lassen sich die Vorg nge auf den verschiedenen Endpoints kontrollieren ohne dass Mitarbeiter Einfluss auf die Aufzeichnungen nehmen k nnen berwachen mobiler Benutzer Mobile Benutzer sind in der Regel nicht st ndig mit dem Unternehmensnetzwerk verbunden Ein Au endienstmitarbeiter nimmt zum Beispiel f r einen Termin sein Notebook vom Netz Sobald er sich wieder am Netzwerk anmeldet werden die w hrend der Offline Zeit protokollierten SafeGuard Enterprise Ereignisse bertragen Die Protokollierung liefert somit einen genauen berblick ber die Benutzeraktivit ten w hrend der betreffende Computer nicht an das Netzwerk angeschlossen war Voraussetzung Ereignisse werden durch den SafeGuard Server verarbeitet Wenn Sie auf Computern auf denen kein SafeGuard Enterprise Client installiert ist SafeGuard Management Center Computer oder der SafeGuard Enterprise Server selbst Berichte aktivieren m ssen Sie sicherstellen dass Ereignisse an den SafeGuard Enterprise Server gesendet werden Sie m ssen daher ein Client Konfigurationspaket auf dem Computer installieren Dadurch wird der Computer beim SafeGuard Enterprise Server als Client aktiviert und die Windows oder SafeGuard Enterprise Protokollierungsfunktionalit t kann genutzt werden Weitere Informationen zu Client Konfigurationspaketen finden Sie unter Mit Konfigurationspaketen arbeiten Seite 100 Ziel f r protokollierte Ereignisse Ziel der protokollierten Ereig
307. ieren Sie die Regeln f r die dateibasierende Verschl sselung in File Encryption Richtlinien In diesen Richtlinien geben Sie die Zielordner f r File Encryption den Verschl sselungsmodus und den Schl ssel f r die Verschl sselung an In Richtlinien vom Typ Allgemeine Einstellungen k nnen Sie festlegen wie bestimmte Anwendungen und Dateisysteme auf Endpoints in Zusammenhang mit File Encryption behandelt werden sollen Sie k nnen ignorierte und vertrauensw rdige Anwendungen sowie ignorierte Ger te angeben Au erdem k nnen Sie die persistente Verschl sselung f r File Encryption aktivieren F r die Verschl sselung k nnen pers nliche Schl ssel verwendet werden Ein pers nlicher Schl ssel der f r einen Benutzer aktiv ist gilt nur f r diesen bestimmten Benutzer und kann nicht anderen Benutzern zugewiesen oder mit diesen gemeinsam benutzt werden Sie k nnen pers nliche Schl ssel im SafeGuard Management Center unter Benutzer amp Computer erzeugen Wenn Endpoints eine File Encryption Richtlinie zugewiesen wurde werden die Dateien in den von der Richtlinie abgedeckten Speicherorten ohne Benutzerinteraktion transparent verschl sselt Neue Dateien in den relevanten Speicherorten werden automatisch verschl sselt Wenn Benutzer den Schl ssel f r eine verschl sselte Datei haben k nnen sie den Inhalt lesen und ndern Wenn Benutzer den Schl ssel f r eine verschl sselte Datei nicht haben wird der Zugriff verweiger
308. ieren von neuen SGN Benutzern erlauben auf Niemand Da es Benutzer_a Benutzer_b Benutzer_c nicht erlaubt werden soll Benutzer hinzuzuf gen ist es nicht notwendig einen Benutzer als Besitzer festzulegen 3 Weisen Sie die Richtlinie dem Computer zu bzw an einer Stelle in der Verzeichnisstruktur zu wo sie f r den Computer wirksam wird Bei der Anmeldung des ersten Benutzers an Computer _ABC wird ein Autologon f r die SafeGuard POA ausgef hrt Die Computerrichtlinien werden an den Endpoint geschickt Da Benutzer_a in der UMA eingetragen ist wird er im Zuge der Windows Anmeldung komplettiert Seine Benutzerrichtlinien Zertifikate und Schl ssel werden an den Endpoint geschickt Die SafeGuard POA wird aktiviert Hinweis Der Benutzer kann ber die Statusausgabe im SafeGuard Tray Icon berpr fen wann dieser Vorgang abgeschlossen ist Benutzer_a existiert nun als kompletter Benutzer in SafeGuard Enterprise und kann sich bei der n chsten Anmeldung in der SafeGuard POA authentisieren und wird automatisch angemeldet Benutzer_a f hrt nun den Computer herunter und Benutzer_b will sich anmelden Da die SafeGuard POA aktiviert ist findet kein Autologon mehr statt F r die Benutzer_b und Benutzer_c gibt es nun zwei M glichkeiten Zugang zu diesem Computer zu erlangen Benutzer_a deaktiviert im SafeGuard POA Anmeldedialog die Option Durchgehende Anmeldung an Windows und meldet sich an a Benutzer_b authentisiert sich ber Challen
309. ierend verschl sselt werden Hinweis Boot Volumes werden niemals dateibasierend verschl sselt Sie sind automatisch von einer dateibasierenden Verschl sselung ausgenommen auch wenn eine entsprechende Regel definiert ist Um dateibasierende Verschl sselung auf Endpoints anzuwenden erstellen Sie eine Richtlinie vom Typ Ger teschutz und w hlen Sie bei Verschl sselungsmodus f r Medien die Einstellung Dateibasierend Standardverhalten beim Speichern von Dateien Da sich Anwendungen beim Speichern von Dateien unterschiedlich verhalten bietet SafeGuard Enterprise zwei Verfahren f r das Behandeln von verschl sselten Dateien die ge ndert wurden Wurde eine Datei mit einem anderen Schl ssel als dem Standardschl ssel des Volumes verschl sselt und Sie bearbeiten und speichern die Datei so w rde man erwarten dass der Verschl sselungsschl ssel beibehalten wird Es wurde ja eine Datei bearbeitet keine neue erstellt Viele Anwendungen speichern jedoch Dateien indem sie eine Kombination aus Speichern L schen und Umbenennen Vorg ngen ausf hren z B Microsoft Office Ist dies der Fall so verwendet SafeGuard Enterprise in der Standardeinstellung den Standardschl ssel f r diesen Verschl sselungsvorgang und ndert somit den f r die Verschl sselung verwendeten Schl ssel Wenn Sie dieses Verhalten ndern und den f r die Verschl sselung verwendeten Schl ssel in jedem Fall beibehalten m chten k nnen Sie einen Registry Ke
310. iert 5 Klicken Sie auf das Speichern Symbol in der Symbolleiste um den virtuellen Client in der Datenbank zu speichern Der neue virtuelle Client wird im Aktionsbereich angezeigt Export von virtuellen Clients Nach dem Anlegen des virtuellen Client muss dieser in eine Datei exportiert werden Diese Datei hat immer die Bezeichnung recoverytoken tok und muss an den Helpdesk verteilt werden Beim Starten eines Challenge Response Verfahrens ber ein Recovery Tool z B bei einer besch digten SafeGuard POA muss diese Datei in der Endpoint Umgebung zur Verf gung stehen Der Benutzer muss die Datei recoverytoken tok im selben Verzeichnis ablegen in dem sich auch das Recovery Tool befindet damit ein Challenge Response Verfahren unterst tzt wird 1 Klicken Sie im SafeGuard Management Center auf Schl ssel amp Zertifikate 2 Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients 3 Klicken Sie im Aktionsbereich auf das Lupensymbol um nach dem gew nschten virtuellen Client zu suchen Die verf gbaren virtuellen Clients werden angezeigt 4 W hlen Sie den gew nschten Eintrag im Aktionsbereich aus und klicken Sie in der Symbolleiste auf Virtuellen Client exportieren 5 W hlen Sie einen Speicherort f r die Datei recoverytoken tok und klicken Sie auf OK Eine entsprechende Meldung wird angezeigt 6 Verteilen Sie die virtuelle Client Datei recoverytoken tok an die betreffenden SafeGuard Enterprise Benutzer
311. ierte Computerschl ssel ist auf einem Endpoint dieses Typs nicht verf gbar Die Daten k nnen nicht verschl sselt werden Richtlinien f r durch SafeGuard Enterprise gesch tzte Standalone Endpoints Hinweis Bitte beachten Sie beim Erstellen von Richtlinien f r Standalone Computer dass f r die dateibasierende Verschl sselung ausschlie lich die Option Beliebiger Schl ssel im Schl sselring des Benutzers m glich ist Zus tzlich darf das Erzeugen von lokalen Schl sseln nicht verboten werden Falls die Medien Passphrase Funktion f r Unmanaged Endpoints aktiviert ist wird der Medienverschl sselungsschl ssel automatisch Richtlinieneinstellung Administratorhilfe Erkl rung als F r Verschl sselung definierter Schl ssel verwendet da auf Unmanaged Endpoints keine Gruppenschl ssel zur Verf gung stehen Wenn Sie beim Erstellen einer Wechselmedien Richtlinie f r Standalone Endpoints einen anderen Schl ssel unter F r Verschl sselung definierter Schl ssel ausw hlen so hat dies keine Auswirkung F r Verschl sselung definierter Schl ssel Dieses Feld wird nur dann aktiv wenn Sie im Feld Schl ssel f r die Verschl sselung die Option Definierter Schl ssel aus der Liste ausgew hlt haben Klicken Sie auf die Schaltfl che um den Dialog Schl ssel suchen aufzurufen Klicken Sie auf Jetzt suchen um nach Schl sseln zu suchen und w hlen Sie einen Schl ssel aus der angezeigten Liste aus Bei einer Ric
312. ignisse auf die installierte SafeGuard Produkte ausl sen Die Art des Protokolls wird in Richtlinien vom Typ Protokollierung definiert Hier legen Sie auch den fest wo die protokollierten Ereignisse ausgegeben und gespeichert werden sollen in der Windows Ereignisanzeige des Endpoint oder in der SafeGuard Enterprise Datenbank Als Sicherheitsbeauftragter mit den entsprechenden Rechten k nnen Sie die im SafeGuard Management Center angezeigten Statusinformationen und Protokollberichte einsehen ausdrucken und archivieren Umfassende Sortier und Filterfunktionen unterst tzen Sie im SafeGuard Management Center bei der Auswahl relevanter Ereignisse aus den verf gbaren Informationen Auch eine automatisierte Auswertung der Log Datenbank zum Beispiel ber Crystal Reports oder Microsoft System Center Operations Manager ist m glich Die Protokolleintr ge werden von SafeGuard Enterprise sowohl auf Client als auch auf Server Seite durch Signatur gegen unbefugte Manipulation gesch tzt Gem der Protokollierungsrichtlinie k nnen Ereignisse aus den folgenden Kategorien protokolliert werden Authentisierung Administration System Verschl sselung Client Zugriffskontrolle F r SafeGuard Data Exchange l sst sich der Dateizugriff auf Wechselmedien durch Protokollierung der relevanten Ereignisse verfolgen Weitere Informationen zu diesem Berichtstyp finden Sie unter Datei Tracking Bericht f r Wechselmedien und Cloud Speicher
313. igurationsdatei ein und best tigen Sie es 6 Geben Sie einen Dateinamen ein und w hlen Sie einen Speicherort aus 7 Verteilen Sie die Konfigurationsdatei an die Computer der Sicherheitsbeauftragten Teilen Sie ihnen das Kennwort f r diese Datei sowie das Zertifikatsspeicherkennwort mit das Sie f r Anmeldung an das SafeGuard Management Center ben tigen 35 SafeGuard Enterprise 36 dar 1 0 8 Die Sicherheitsbeauftragten m ssen nur auf die Konfigurationsdatei doppelklicken 9 Sie werden aufgefordert das Kennwort f r die Konfigurationsdatei einzugeben 10 Zur Anmeldung an das SafeGuard Management Center werden die Sicherheitsbeauftragten aufgefordert ihr Zertifikatsspeicherkennwort einzugeben Das SafeGuard Management Center startet mit der importierten Konfiguration Diese Konfiguration ist die neue Standardkonfiguration Schneller Wechsel zwischen Datenbankkonfigurationen Zur Vereinfachung von Verwaltungsaufgaben bei mehreren Datenbanken bietet das SafeGuard Management Center den schnellen Wechsel zwischen Datenbankkonfigurationen Hinweis Dieser Vorgang ist auch im Single Tenancy Modus m glich 1 W hlen Sie Datei in der Men leiste des SafeGuard Management Centers und klicken Sie auf Konfiguration wechseln 2 W hlen Sie die Datenbank zu der Sie wechseln m chten aus der Dropdownliste aus und klicken Sie auf OK Das SafeGuard Management Center wird automatisch mit der ausgew hlten Konfiguration neu ge
314. ikat einer Regel mit einer h heren Priorit t ist Reihenfolge der Evaluierung von File Encryption Verschl sselungsregeln auf Endpoints File Encryption Verschl sselungsregeln werden auf Endpoints in einer Reihenfolge sortiert die bewirkt dass genauer definierte Speicherorte zuerst evaluiert werden Wenn zwei Regeln mit den gleichen Einstellungen f r Pfad und Anwendungsbereich aus Richtlinien stammen die unterschiedlichen Knoten zugewiesen sind wird die Regel aus der Richtlinie angewendet die sich n her am Benutzerobjekt in Benutzer amp Computer befindet Wenn zwei Regeln mit den gleichen Einstellungen f r Pfad und Anwendungsbereich aus Richtlinien stammen die demselben Knoten zugewiesen sind wird die Regel aus der Richtlinie mit der h chsten Priorit t angewendet Absolute Regeln werden vor relativen Regeln evaluiert zum Beispiel c encrypt vor encrypt Weitere Informationen finden Sie unter Zus tzliche Informationen f r die Konfiguration von Pfaden in File Encryption Verschl sselungsregeln Seite 183 Regeln mit einem Pfad mit mehr Unterverzeichnissen werden vor Regeln mit einem Pfad mit weniger Unterverzeichnissen evaluiert Mit UNC definierte Regeln werden vor Regeln mit Laufwerksbuchstabeninformationen evaluiert Regeln bei denen die Option Nur dieser Ordner aktiviert ist werden vor Regeln ohne diese Option evaluiert Regeln mit dem Modus Ignorieren werden vor Regeln mit dem Modus Verschl sseln o
315. ikats und legen Sie diese direkt nach der Erstkonfiguration an einem sicheren Speicherort ab Informationen zur Wiederherstellung einer besch digten Datenbankkonfiguration finden Sie unter Wiederherstellung einer besch digten Datenbankkonfiguration Seite 262 Abschlie en der Erstkonfiguration des SafeGuard Management Centers 1 Klicken Sie auf Beenden um die Erstkonfiguration des SafeGuard Management Center abzuschlie en Eine Konfigurationsdatei wurde erzeugt a Eine Verbindung zum SafeGuard Enterprise Server Eine SafeGuard Enterprise Datenbank a Ein Haupt Sicherheitsbeauftragten Konto f r die Anmeldung an das SafeGuard Management Center Alle notwendigen Zertifikate f r die Wiederherstellung einer besch digten Datenbankkonfiguration oder SafeGuard Management Center Installation Sobald der Konfigurationsassistent geschlossen ist wird das SafeGuard Management Center gestartet Erstellen weiterer Datenbankkonfigurationen Multi Tenancy Voraussetzung Die Funktion Multi Tenancy muss ber eine Installation vom Typ Vollst ndig installiert worden sein Die initiale Konfiguration des SafeGuard Management Center muss durchgef hrt worden sein Hinweis Sie m ssen pro Datenbank jeweils eine separate SafeGuard Enterprise Server Instanz einrichten So erstellen Sie eine weitere SafeGuard Enterprise Datenbankkonfiguration nach der Erstkonfiguration 1 Starten Sie das SafeGuard Management Center Der Dialog Kon
316. im ersten Dialog angezeigt werden soll Damit Sie den Text hier angeben k nnen muss dieser zun chst im Richtliniennavigationsbereich unter Texte angelegt werden Benutzer d rfen eigene Fragen festlegen Challenge Response C R Die f r Local Self Help zu beantwortenden Fragen k nnen Sie als zust ndiger Sicherheitsbeauftragter zentral vordefinieren und per Richtlinie an den Endpoint bertragen Sie k nnen die Benutzer jedoch auch per Richtlinie berechtigen selbst Fragen zu definieren Um die Benutzer zur Definition eigener Fragen zu berechtigen w hlen Sie in diesem Feld die Einstellung Ja Recovery f r die Anmeldung ber C R aktivieren Legt fest ob ein Benutzer in der SafeGuard Power on Authentication POA eine Challenge erzeugen darf um ber ein Challenge Response Verfahren wieder Zugang zu seinem Computer zu erhalten Ja Benutzer darf Challenge erzeugen In diesem Fall kann der Benutzer ber ein Challenge Response Verfahren in Notf llen wieder Zugang zu seinem Computer erlangen Nein Benutzer darf keine Challenge erzeugen In diesem Fall kann der Benutzer im Notfall kein Challenge Response Verfahren starten um wieder Zugang zu seinem Computer zu erlangen 129 SafeGuard Enterprise 130 Richtlinieneinstellung Automatische Anmeldung an Windows erlauben Erkl rung Erlaubt dem Benutzer nach einer Authentisierung per Challenge Response die automatische Anmeldung an Windows Ja Benutzer
317. in Klick auf die Spalten berschrift sortiert die Ereignisse nach ID Kategorie usw 3 Um festzulegen dass ein Ereignis in der SafeGuard Enterprise Datenbank protokolliert werden soll w hlen Sie das Ereignis in der Spalte mit dem Datenbanksymbol Ereignisse in der Datenbank protokollieren durch Klicken mit der Maus aus F r Ereignisse die in der Windows Ereignisanzeige protokolliert werden sollen klicken Sie in der Spalte mit dem Ereignisprotokollsymbol Im Ereignisprotokoll protokollieren Durch wiederholtes Klicken l sst sich die Markierung wieder aufheben oder auf null setzen F r Ereignisse f r die Sie keine Einstellung festlegen gelten die vordefinierten Standardwerte 4 Bei den f r die Protokollierung ausgew hlten Ereignissen wird in der betreffenden Spalte ein gr nes H kchen angezeigt Speichern Sie Ihre Einstellungen Nach der Zuweisung der Richtlinie werden die ausgew hlten Ereignisse am festgelegten Ausgabeziel protokolliert Hinweis Eine Auflistung aller f r die Protokollierung ausw hlbaren Ereignisse finden Sie unter F r Berichte ausw hlbare Ereignisse Seite 298 Einsehen von protokollierten Ereignissen Wenn Sie als Sicherheitsbeauftragter ber die entsprechenden Berechtigungen verf gen k nnen Sie die in der zentralen Datenbank protokollierten Ereignisse in der SafeGuard Management Center Ereignisanzeige einsehen So rufen Sie in der zentralen Datenbank protokollierte Ereignisse ab 1 Klicken Sie im
318. in eine Datei 2440rsnnnennnnnnnnnnnnnnnnnnnnnn nn 34 7 4 Import einer Konfiguration aus einer Datei nnsnennnnnennnennnnnnnnnnnnnnnnn nn 34 7 5 Import einer Konfiguration ber das SafeGuard Management Center 35 7 6 Import einer Konfiguration durch Doppelklicken auf die Konfigurationsdatei Single und Multi Tenancy r s440nnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn mann 35 7 7 Schneller Wechsel zwischen Datenbankkonfigurationen en 36 7 8 Pr fen der Datenbankintegrit t nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 36 8 Registrieren und Konfigurieren des SafeGuard Enterprise Server 37 8 1 Registrieren und Konfigurieren des SafeGuard Enterprise Server f r den aktuellen Computer s44usnssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnn 37 8 2 Registrieren und Konfigurieren des SafeGuard Enterprise Servers f r einen anderen Computer uusnennsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnnnnnnnnnnnnnnnn 38 8 3 ndern der SafeGuard Enterprise Server Eigenschaften ne 39 8 4 Registrieren des SafeGuard Enterprise Servers mit aktivierter Sophos FOWOM Ee ae REEL A ANE AAE AA E AAEE A O OEA 40 9 Sichern von Transportverbindungen mit SSL usrssssnsssennsnnnnnnnnnnnnnnnnnnnnnnnnnnenn nn 41 9 1 Einrichten von SS urarii re Ike 41 9 2 Aktivieren der SSL Verschl sselung in SafeGuard Enterprise
319. ine Richtlinie die direkt dem Container Objekt in dem er sich tats chlich befindet Mitgliedschaft als Benutzer einer Gruppe die sich in einem anderen 14 9 5 14 9 6 Administratorhilfe Container Objekt befindet alleine reicht nicht aus zugewiesen wurde Das Container Objekt hat diese Richtlinie nicht geerbt Indirekte Zuweisung von Richtlinien Der Benutzer Computer erh lt eine Richtlinie die das Container Objekt in dem er sich tats chlich befindet die Mitgliedschaft in einer Gruppe die sich in einem anderen Container Objekt befindet als der Benutzer reicht nicht aus von einem ihr bergeordneten Container Objekt geerbt hat Aktivieren Deaktivieren von Richtlinien Damit eine Richtlinie f r einen Computer Benutzer wirken kann muss diese auf Gruppenebene aktiviert werden Richtlinien k nnen ausschlie lich auf Gruppenebene aktiviert werden Es spielt keine Rolle ob sich diese Gruppe im selben Container Objekt befindet oder nicht Wichtig ist hier nur dass der Benutzer oder Computer eine direkte bzw indirekte durch Vererbung Zuordnung der Richtlinie erhalten hat Befindet sich ein Computer oder Benutzer au erhalb einer OU oder Vererbungslinie und ist Mitglied einer Gruppe die sich innerhalb dieser OU befindet so gilt diese Aktivierung f r diesen Benutzer oder Computer nicht Denn f r diesen Benutzer oder Computer ist keine g ltige Zuweisung direkt bzw indirekt vorhanden Die Gruppe wurde zwar aktiviert abe
320. inie die f r die Opal Festplatte gilt muss die Option Benutzer darf Volume entschl sseln auf Ja eingestellt sein 1 Erstellen Sie im SafeGuard Management Center eine Richtlinie vom Typ Ger teschutz und beziehen Sie alle Volumes auf der Opal Festplatte in die Richtlinie ein 2 W hlen Sie im Verschl sselungsmodus f r Medien Feld die Einstellung Keine Verschl sselung 3 Speichern Sie Ihre nderungen in der Datenbank 4 bertragen Sie die Richtlinie an den relevanten Endpoint Der Benutzer kann die Opal Festplatte auf dem Endpoint entsperren In der Zwischenzeit bleibt die Festplatte gesperrt Protokollierung von Ereignissen f r Endpoints mit Opal Festplatten Von Endpoints mit selbst verschl sselnden Opal Festplatten gemeldete Ereignisse werden wie f r alle anderen durch SafeGuard Enterprise gesch tzten Endpoints protokolliert Dabei wird der Computertyp nicht explizit erw hnt Die gemeldeten Ereignisse entsprechen den von alle anderen durch SafeGuard Enterprise gesch tzten Endpoints gemeldeten Ereignisse Weitere Informationen finden Sie unter Berichte Seite 270 297 SafeGuard Enterprise 3 7 F r Berichte ausw hlbare Ereignisse 298 Die folgende Tabelle bietet einen berblick zu allen f r die Protokollierung ausw hlbaren Ereignissen Kategorie System Ereignis ID_ Beschreibung 1005 Dienst gestartet Dienst starten fehlgeschlagen Dienst angehalten Integrit tstest der Dateien fehl
321. inistrator Computer entfernen SafeGuard Enterprise kann dann nur mit ablaufenden Zertifikaten umgehen wenn der alte und neue private Schl ssel auf demselben Token stehen CA Zertifikate k nnen nicht von einem Token entnommen und in der Datenbank oder im Zertifikatsspeicher gespeichert werden Wenn Sie CA Zertifikate verwenden m chten m ssen diese in Dateiform zur Verf gung stehen nicht nur auf einem Token Dies gilt auch f r CRLs Von SafeGuard Enterprise generierte Zertifikate sind mit SHA 1 oder SHA 256 zur Verifizierung signiert SHA 256 bietet erweiterte Sicherheit und wird standardm ig f r Erstinstallationen benutzt Wenn noch die Verwaltung von SafeGuard Enterprise 6 Endpoints oder lteren Endpoints notwendig ist wird standardm ig SHA 1 benutzt Zertifikate die vom Kunden zur Verf gung gestellt und in SafeGuard Enterprise importiert werden werden derzeit nicht gem RFC3280 verifiziert So wird z B nicht verhindert dass Signatur Zertifikate f r Verschl sselungszwecke benutzt werden Die Anmeldezertifikate f r Sicherheitsbeauftragte m ssen sich im MY Zertifikatspeicher befinden Hinweis Die Liste Zugewiesene Zertifikate unter Schl ssel und Zertifikate zeigt nur die Zertifikate die Objekten zugewiesen sind f r die Sie die Zugriffsrechte Schreibgesch tzt oder Voller Zugriff haben In der Ansicht Zertifikat wird die Anzahl an allen verf gbaren Zertifikaten ungeachtet Ihrer Zugriffsrechte ange
322. ion for SafeGuard Enterprise Administration failed for user Grund SGMERR 536870951 Welche Bedeutung die Nummer 536870951 hat finden Sie in dieser Tabelle Nummer 536870951 bedeutet zum Beispiel Die angegebene PIN ist falsch der Benutzer konnte nicht authentisiert werden Fehler ID Anzeige Interner Fehler entdeckt Modul nicht initialisiert Datei I O Fehler entdeckt Speicher kann nicht zugewiesen werden Datei I O Lesefehler Datei I O Schreibfehler Keine Operation durchgef hrt Allgemeiner Fehler Zugriff verweigert Datei existiert bereits Registry Eintrag konnte nicht ge ffnet werden Registry Eintrag konnte nicht gelesen werden Registry Eintrag konnte nicht geschrieben werden Registry Eintrag konnte nicht entfernt werden 1205 Registry Eintrag konnte nicht erzeugt werden 311 SafeGuard Enterprise Fehler ID Anzeige Kein Zugriff auf einen Systemdienst oder Treiber m glich Ein Systemdienst oder Treiber konnte nicht in der Registry eingetragen werden Ein Systemdienst oder Treiber konnte nicht aus der Registry entfernt werden Ein Systemdienst oder Treiber ist bereits in der Registry eingetragen Kein Zugriff auf den Service Control Manager m glich Ein Eintrag f r eine Session konnte in der Registry nicht gefunden werden Ein Registry Eintrag ist ung ltig oder falsch Der Zugriff auf ein Laufwerk ist fehlgeschlagen
323. ion von SafeGuard Enterprise mit einer der beide folgenden Methoden umstellen ndern Sie die Standardsprache in den Windows Regions und Sprachoptionen auf dem Endpoint Nachdem der Benutzer den Endpoint zweimal neu gestartet hat ist die neue Spracheinstellung in der SafeGuard POA aktiv a Erstellen Sie eine Richtlinie des Typs Allgemeine Einstellungen legen Sie die Sprache im Feld Sprache am Client fest und bertragen Sie die Richtlinie auf den Endpoint Hinweis Wenn Sie eine Richtlinie erstellen und sie an den Endpoint bertragen gilt die in der Richtlinie festgelegte Sprache anstelle der in den Windows Regions und Sprachoptionen angegebenen Sprache Tastaturlayout Beinahe jedes Land hat ein eigenes Tastaturlayout In der SafeGuard POA macht sich das Tastaturlayout bei der Eingabe von Benutzernamen Kennwort und Response Code bemerkbar SafeGuard Enterprise bernimmt standardm ssig das Tastaturlayout in die SafeGuard POA das zum Zeitpunkt der Installation in den Regions und Sprachoptionen von Windows gesetzt ist Ist unter Windows Deutsch als Tastaturlayout gesetzt wird in der SafeGuard POA das deutsche Tastaturlayout verwendet Die Sprache des verwendeten Tastaturlayouts wird in der SafeGuard POA angezeigt z B EN f r Englisch Neben dem Standard Tastaturlayout kann das US Tastaturlayout Englisch gew hlt werden Es gibt bestimmte Ausnahmef lle Das Tastaturlayout wird zwar unterst tzt aufgrund feh
324. ionen finden Sie unter H herstufen von Sicherheitsbeauftragten Seite 66 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Knoten Haupt Sicherheitsbeauftragte und w hlen Sie Neu gt Neuer Haupt Sicherheitsbeauftragter Administratorhilfe 3 Nehmen Sie die relevanten Eintr ge unter Neuer Haupt Sicherheitsbeauftragter vor Feld Kontrollk stehen Beschreibung Freigeschaltet Hier kann der Sicherheitsbeauftragte bis auf Weiteres deaktiviert werden Das bedeutet dass er zwar im System existiert sich aber noch nicht an das SafeGuard Management Center anmelden kann Erst wenn er durch einen anderen Sicherheitsbeauftragten aktiviert wird kann er sich anmelden und seine administrativen T tigkeiten ausf hren Beschreibung Hier wird der Name des Sicherheitsbeauftragten angegeben wie er in den von SafeGuard Enterprise erzeugten Zertifikaten unter cn eingetragen wird Unter diesem Namen wird er auch im Navigationsfenster des SafeGuard Management Centers angezeigt Dieser Name muss eindeutig sein Maximalwert 256 Zeichen Optional Maximalwert 256 Zeichen Mobiltelefon Optional Maximalwert 128 Zeichen Optional Maximalwert 256 Zeichen Token Anmeldung Die Anmeldung kann auf folgende Art erfolgen Ohne Token Der Sicherheitsbeauftragte darf sich nicht mit einem Token anmelden Er muss sich ber die Anmeldeinf
325. is Wenn Sie ein neues Server Konfigurationspaket MSI auf dem SafeGuard Enterprise Server installieren m chten deinstallieren Sie zun chst das alte Konfigurationspaket L schen Sie dar ber hinaus den Local Cache manuell so dass er mit den neuen Konfigurationsdaten z B SSL Einstellungen aktualisiert werden kann Installieren Sie dieses Konfigurationspaket auf dem Server Administratorhilfe 8 3 ndern der SafeGuard Enterprise Server Eigenschaften Sie k nnen die Eigenschaften und Einstellungen f r jeden registrierten Server und seine Datenbankverbindung jederzeit ndern 1 W hlen Sie den gew nschten Server in der Registerkarte Server des SafeGuard Management Center Konfigurationspakete Werkzeugs 2 Gehen Sie wie folgt vor Element Skript ausf hren Beschreibung Klicken Sie hier um die Verwendung von SafeGuard Enterprise Management API zu erm glichen Dies erm glicht die Ausf hrung von administrativen Aufgaben ber Skripte Server Rollen Klicken Sie hier um eine verf gbare Sicherheitsbeauftragtenrolle f r den ausgew hlten Server zu aktivieren deaktivieren Win Auth WHD Dieses Kontrollk stchen muss f r die Windows Authentisierung zu SafeGuard Web Helpdesk am ausgew hlten Server markiert sein Wenn das Kontrollk stchen nicht gesetzt ist haben nur Sicherheitsbeauftragte mit den entsprechenden Web Helpdesk Rechten Zugang zu Web Helpdesk N here Informationen zur Windows Authentisierung
326. isch sein mit dem Servernamen den Sie vorab im SSL Zertifikat angegeben haben Sonst k nnen Client und Server nicht miteinander kommunizieren F r jeden SafeGuard Enterprise Server wird ein separates SSL Zertifikat ben tigt Wenn Sie Network Load Balancer einsetzen vergewissern Sie sich dass der Portbereich den SSL Port mit einschlie t Weitere Informationen erhalten Sie von unserem technischen Support oder hier http msdn2 microsoft com en us library ms998300 aspx http support microsoft com default aspx scid kb de de 316898 41 SafeGuard Enterprise 42 9 2 https blogs msdn com sql_protocols archive 2005 11 10 491563 aspx Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung Aktivieren der SSL Verschl sselung in SafeGuard Enterprise So aktivieren Sie die SSL Verschl sselung in SafeGuard Enterprise Verbindung zwischen Web Server und Datenbankserver Aktivieren Sie SSL Verschl sselung w hrend der Registrierung des SafeGuard Enterprise Servers im SafeGuard Management Center Konfigurationspakete Werkzeug Weitere Informationen finden Sie unter Konfigurieren der Datenbankserververbindung Seite 20 oder unter http www sophos com de de support knowledgebase 1090 12 aspx F r die Verbindung zwischen Datenbankserver und SafeGuard Management Center Aktivieren Sie die SSL Verschl sselung im SafeGuard Management Center Konfigurationsassistenten siehe Konfigurieren der Dat
327. isierte Computer angezeigt 3 Ziehen Sie diese beiden Gruppen aus dem Aktivierungsbereich in die Liste der Verf gbaren Gruppen Die Richtlinie ist in dieser Konstellation f r keinen Benutzer und keinen Computer wirksam 4 Ziehen Sie jetzt die gew nschte Gruppe oder auch mehrere Gruppen aus der Liste der Verf gbaren Gruppen in den Aktivierungsbereich Diese Richtlinie gilt jetzt ausschlie lich f r diese Gruppe Wurden der bergeordneten OU ebenfalls Richtlinien zugeordnet gilt diese Richtlinie f r diese Gruppe zus tzlich zu jenen die f r die gesamte OU festgelegt wurden 14 7 Verwalten von Richtlinien unter Benutzer amp Computer Neben dem Bereich Richtlinien im SafeGuard Management Center k nnen Sie den Inhalt einer Richtlinie auch dort einsehen und ndern wo die Richtlinienzuweisung erfolgt unter Benutzer amp Computer 1 Klicken Sie auf Benutzer amp Computer 2 W hlen Sie im Navigationsbereich das gew nschte Containerobjekt 3 Sie k nnen Richtlinien von zwei Orten aus ffnen um sie einzusehen oder zu ndern Wechseln Sie in die Registerkarte Richtlinien oder wechseln Sie in die Registerkarte RSOP 4 Klicken Sie mit der rechten Maustaste auf die gew nschte zugewiesene oder verf gbare Richtlinie und w hlen Sie Offnen aus dem Kontextmen Der Richtliniendialog wird angezeigt und Sie k nnen die Richtlinieneinstellungen einsehen und bearbeiten 5 Klicken Sie auf OK um Ihre nderungen zu speichern
328. ist der ffentliche Teil des Zertifikats zwar ausreichend Bei der Anmeldung an das SafeGuard Management Center ist jedoch auch der private Teil des Zertifikats die Schl sseldatei erforderlich Liegt diese nicht in der Datenbank vor muss sie dem Sicherheitsbeauftragten zur Verf gung stehen und kann bei der Anmeldung dann ggf im Zertifikatsspeicher abgelegt werden Zertifikat Importieren Ein existierendes Zertifikat wird importiert und anschlie end dem Sicherheitsbeauftragten zugewiesen Wird aus einer p12 Schl sseldatei importiert muss das Kennwort des Zertifikats bekannt sein Wird ein PKCS 12 Zertifikatscontainer ausgew hlt werden alle Zertifikate in die Liste der zuweisbaren Zertifikate geladen Die Zuweisung des Zertifikats erfolgt nach dem Import indem das Zertifikat im Dropdown Listenfeld ausgew hlt wird 4 Klicken Sie zur Best tigung Ihrer Einstellungen auf OK Der neu angelegte Haupt Sicherheitsbeauftragte wird im Navigationsfenster unter dem Knoten Haupt Sicherheitsbeauftragte angezeigt Die jeweiligen Eigenschaften lassen sich durch Auswahl des gew nschten Sicherheitsbeauftragten im Navigationsfenster anzeigen Der Haupt Sicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuard Management Center anmelden Anlegen eines Sicherheitsbeauftragten Voraussetzung Um einen neuen Sicherheitsbeauftragten anzulegen ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und anzulegen 1
329. ist f r die zus tzliche Autorisierung Folgendes zu beachten Hinweis Wenn ein Benutzer zwei Rollen mit der gleichen Funktion inne hat und bei einer der Rollen die zus tzliche Autorisierung zugeordnet ist dann gilt das automatisch auch bei der anderen Rolle Ein Sicherheitsbeauftragter mit den erforderlichen Rechten kann Rechte zu einer benutzerdefinierten Rolle hinzuf gen oder Rechte aus der Rolle entfernen Im Gegensatz zu vordefinierten Rollen k nnen benutzerdefinierte je nach Anforderung auch gel scht werden Wird die Rolle gel scht so ist sie keinem Benutzer mehr zugewiesen Ist einem Benutzer nur eine Rolle zugewiesen und wird diese Rolle gel scht so kann sich der Benutzer nicht mehr am SafeGuard Management Center anmelden Hinweis Die Rolle und die darin definierten Aktionen bestimmen was ein Benutzer darf und was nicht Auch dann wenn dem Benutzer mehrere Rollen zugewiesen worden sind Nachdem er sich am System angemeldet hat werden nur die Bereiche des SafeGuard Management Centers aktiviert und angezeigt die f r seine Rolle n tig sind Das betrifft auch die Bereiche Skripte und API Sie sollten deshalb immer die Anzeige des Bereichs aktivieren in dem die betreffenden Aktionen definiert sind Aktionen werden nach Funktionsbereich sortiert und sind hierarchisch strukturiert Diese Struktur zeigt welche Aktionen vor der Durchf hrung bestimmter anderer Aktionen erforderlich sind Zus tzliche Autorisierung Die zus tzli
330. isterkarte zur Verf gung Die aus der Zusammenfassung der einzelnen Richtlinien resultierenden Einstellungen werden angezeigt F r Richtlinien zum Ger teschutz werden Registerkarten f r jedes Ziel der Richtlinie angezeigt z B Boot Volumes Laufwerk X usw Erstellen von Sicherungskopien von Richtlinien und Richtliniengruppen Sie k nnen Sicherungskopien von Richtlinien und Richtliniengruppen in Form von XML Dateien erstellen Falls notwendig lassen sich die betreffenden Richtlinien Richtliniengruppen daraufhin aus diesen XML Dateien wiederherstellen 1 W hlen Sie die Richtlinie Richtliniengruppe im Navigationsfenster unter Richtlinien bzw Richtlinien Gruppen aus 2 Klicken Sie mit der rechten Maustaste und w hlen Sie im angezeigten Kontextmen Richtlinie sichern Hinweis Der Befehl Richtlinie sichern steht auch im Men Aktionen zur Verf gung 3 Geben Sie im Dialog Speichern unter einen Dateinamen f r die XML Datei an und w hlen Sie das Verzeichnis in dem die Datei gespeichert werden soll Klicken Sie auf Speichern Die Sicherungskopie der Richtlinie Richtliniengruppe ist im angegebenen Verzeichnis als XML Datei abgelegt 91 SafeGuard Enterprise 14 5 Wiederherstellen von Richtlinien und Richtliniengruppen 14 6 92 So stellen Sie eine Richtlinie Richtliniengruppe aus einer XML Datei wieder her 1 2 Klicken Sie im Navigationsfenster auf Richtlinien Richtliniengruppen Klicken Sie mit der recht
331. its mit BitLocker verschl sselt sind bernimmt SafeGuard Enterprise die Verwaltung dieser Laufwerke 21 2 9 9 21 2 6 Administratorhilfe Verschl sselte Bootlaufwerke Abh ngig von der verwendeten SafeGuard Enterprise BitLocker Unterst tzung werden Sie m glicherweise aufgefordert Ihren Computer neu zu starten Es ist wichtig dass Sie den Neustart so bald als m glich durchf hren Wenn f r das verschl sselte Laufwerk eine SafeGuard Enterprise Verschl sselungsrichtlinie gilt SafeGuard Enterprise BitLocker Challenge Response ist installiert Die Verwaltung wird bernommen und SafeGuard Enterprise Challenge Response ist m glich SafeGuard Enterprise BitLocker ist installiert Die Verwaltung wird bernommen und Recovery ist m glich Wenn f r das verschl sselte Laufwerk keine SafeGuard Enterprise Verschl sselungsrichtlinie gilt SafeGuard Enterprise BitLocker Challenge Response ist installiert Es wird keine Verwaltung bernommen und SafeGuard Enterprise Challenge Response ist nicht m glich SafeGuard Enterprise BitLocker ist installiert Recovery ist m glich Verschl sselte Festplatten Wenn f r das verschl sselte Laufwerk eine SafeGuard Enterprise Verschl sselungsrichtlinie gilt Die Verwaltung wird bernommen und Recovery ist m glich Wenn f r das verschl sselte Laufwerk keine SafeGuard Enterprise Verschl sselungsrichtlinie gilt SafeGuard Enterprise Recovery ist m glich En
332. kats und gibt an ob ein neueres Unternehmenszertifikat verf gbar ist Erkl rung Antragsteller Zeigt den Distinguished Name des Antragstellers des Unternehmenszertifikats Seriennummer Zeigt die Seriennummer des Unternehmenszertifikats Aussteller Zeigt den Distinguished Name des Ausstellers des Unternehmennszertifikats G ltig ab Zeigt das Datum und die Uhrzeit ab das Unternehmenszertifikat g ltig wird G ltig bis Zeigt das Datum und die Uhrzeit ab das Unternehmenszertifikat ung ltig wird Ein neueres Gibt an ob ein neueres Unternehmenszertifikat als das aktuelle des Unternehmenszertifikat ist Endpoints verf gbar ist verf gbar Erstellen von Bestandsberichten Als Sicherheitsbeauftragter k nnen Sie Bestandsberichte in unterschiedlichen Formaten erstellen So k nnen Sie z B Compliance Berichte erstellen die die Verschl sselung von Endpoints nachweisen Sie k nnen die Berichte drucken oder in eine Datei exportieren 2 111 32 11 2 Administratorhilfe Drucken von Bestandsberichten 1 Klicken Sie in der SafeGuard Management Center Men leiste auf Datei 2 Sie k nnen den Bericht sofort drucken oder zun chst eine Druckvorschau anzeigen lassen Die Druckvorschau bietet eine Reihe von Funktionen z B f r die Bearbeitung des Seitenlayouts Kopf und Fu zeile usw Um eine Druckvorschau anzuzeigen w hlen Sie Datei gt Druckvorschau Um das Dokument sofort zu drucken w hlen Sie Date
333. katszuordnung zu Benutzer aufgehoben Administration Erzeugen des Zertifikats fehlgeschlagen Administration Importieren des Zertifikats fehlgeschlagen Administration L schen des Zertifikats fehlgeschlagen Kategorie Administration Ereignis ID Administratorhilfe Beschreibung Verl ngern des Zertifikats fehlgeschlagen Administration Zuordnen des Zertifikats zu Benutzer fehlgeschlagen Administration Entfernen der Zuordnung des Zertifikats vom Benutzer fehlgeschlagen Administration Token eingesteckt Administration Token entfernt Administration Token wurde f r Benutzer ausgestellt Administration PIN des Benutzers auf Token ndern Administration PIN des Sicherheitsbeauftragten auf Token ndern Administration Token wurde gesperrt Administration Token entsperrt Administration Token gel scht Administration Tokenzuordnung f r Benutzer aufgehoben Administration Ausstellen des Tokens f r Benutzer fehlgeschlagen Administration ndern der Benutzer PIN auf Token fehlgeschlagen Administration ndern der Sicherheitsbeauftragten PIN auf Token fehlgeschlagen Administration Sperren des Tokens fehlgeschlagen Administration Entsperren des Tokens fehlgeschlagen Administration L schen des Tokens fehlgeschlagen Administration Richtlinie erstellt Admi
334. keinen Schl sselring zugewiesen und wird nicht in der Datenbank gespeichert Unter Spezifische Computereinstellungen Grundeinstellungen Seite 156 finden Sie Informationen dar ber wie verhindert wird dass sich SGN Gastbenutzer bei Windows anmelden Service Account Mit Service Accounts k nnen sich Benutzer z B Mitarbeiter des IT Teams Rollout Beauftragte nach der Installation von SafeGuard Enterprise an Endpoints anmelden ohne die SafeGuard POA zu aktivieren und ohne dass sie als SGN Benutzer Besitzer zu den Endpoints hinzugef gt werden Benutzer die in eine Service Account Liste aufgenommen wurden werden nach ihrer Windows Anmeldung am Endpoint als SGN Gastbenutzer behandelt POA Benutzer Nach Aktivierung der POA ist es unter Umst nden noch erforderlich administrative Aufgaben auszuf hren POA Benutzer sind vordefinierte lokale Konten die die POA absolvieren d rfen Es findet keine automatische Anmeldung bei Windows statt Benutzer die sich mit POA Benutzerkonten anmelden melden sich bei Windows mit ihren bestehenden Windows Konten an Diese Benutzerkonten werden im Bereich Benutzer amp Computer des SafeGuard Management Center definiert Benutzername und Kennwort und werden dem Endpoint in POA Gruppen zugewiesen Weitere Informationen finden Sie unter POA Benutzer f r die SafeGuard POA Anmeldung Seite 120 16 4 Konfigurieren der SafeGuard Power on Authentication 16 4 1 Der SafeGuard POA Dialog besteht aus folgen
335. ken Sie auf die Meldung die in der Statusleiste unterhalb der Schaltfl chen auf der linken Seite angezeigt wird um ein Synchronisierungsprotokoll einzusehen Klicken Sie auf das Protokoll um es in die Zwischenablage zu kopieren und es in eine E Mail oder eine Datei einzuf gen Hinweis Wenn Elemente von einer untergeordneten Baumstruktur in eine andere im Active Directory verschoben wurden m ssen beide Baumstrukturen mit der SQL Datenbank synchronisiert werden Wird nur eine untergeordnete Datenbank synchronisiert so werden die Elemente nicht verschoben sondern gel scht Hinweis Es wird empfohlen Importvorg nge mit mehr als 400 000 Objekten aus dem AD in mehrere Vorg nge aufzuteilen Unter Umst nden ist dies nicht m glich wenn sich mehr als 400 000 Objekte in einer Organisationseinheit befinden Eine neue Dom ne aus einem Active Directory importieren 1 Klicken Sie im linken Navigationsfenster auf das Stammverzeichnis Stamm Filter ist aktiv 2 W hlen Sie Datei gt Neu gt Neue Dom ne aus AD importieren Klicken Sie im Aktionsbereich auf der rechten Seite auf Synchronisieren 4 W hlen Sie das gew nschte Verzeichnis aus der Verzeichnis DSN Liste und klicken Sie auf das Lupensymbol oben rechts w Es erscheint eine Abbildung der Active Directory Struktur der Organisationseinheiten OU in Ihrem Unternehmen 5 W hlen Sie die Dom ne die synchronisiert werden soll und klicken Sie auf Synchronisieren Hin
336. kennwort anzeigen w hlen um das Kennwort auf dem Zielcomputer anzeigen zu lassen 12 Klicken Sie auf Weiter 13 Es wird ein Response Code erzeugt Teilen Sie dem Benutzer den Response Code mit Hierzu steht eine Buchstabierhilfe zur Verf gung Sie k nnen den Response Code auch in die Zwischenablage kopieren Der Benutzer kann nun den Response Code auf dem Endpoint eingeben und die autorisierte Aktion durchf hren Challenge Response mit virtuellen Clients Mit Recovery ber Challenge Response mit virtuellen Clients bietet SafeGuard Enterprise ein Recovery Verfahren f r verschl sselte Volumes in komplexen Notfallsituationen z B wenn die SafeGuard POA besch digt ist Dieses Verfahren l sst sich sowohl auf zentral verwaltete Endpoints als auch auf Standalone Endoints anwenden Hinweis Recovery mit virtuellen Clients sollte nur in komplexen Notfallsituationen angewendet werden Wenn zum Beispiel nur ein Schl ssel f r die Wiederherstellung eines Volumes fehlt ist es am besten den fehlenden Schl ssel dem Schl sselbund des entsprechenden Benutzers zuzuweisen um den Zugriff auf das Volume zu erm glichen Recovery Workflow mit virtuellen Clients ber folgenden allgemeinen Workflow l sst sich der Zugang zum verschl sselten Endpoint wiederherstellen 1 Sie erhalten die SafeGuard Enterprise Recovery Disk vom technischen Support F r den Helpdesk steht die Windows PE Recovery Disk mit den aktuellen SafeGuard Enterprise
337. ker freigegeben Beachten Sie dass Auto Unlock nur funktioniert wenn das Boot Laufwerk verschl sselt ist Andernfalls wird der Fallback Modus verwendet Kennwort Der Benutzer wird aufgefordert ein Kennwort f r jedes Datenlaufwerk einzugeben Systemstartschl ssel Die Schl ssel f r die Freigabe der Datenlaufwerke werden auf einem USB Stick gespeichert Hinweis Clients mit Version 6 1 oder niedriger ignorieren diese Richtlinieneinstellung und verwenden stattdessen die Werte die f r den Anmeldemodus f r Boot Laufwerke eingestellt wurden Da das TPM nicht f r Datenlaufwerke genutzt werden kann wird in diesen F llen ein USB Stick oder eine Fehlermeldung verwendet Hinweis Kennw rter werden erst ab Windows 8 oder h her unterst tzt Hinweis Wenn der momentan am System aktive Anmeldemodus ein erlaubter Fallback Anmeldemodus ist dann kommt der hier definierte Anmeldemodus nicht zur Anwendung BitLocker Anmeldemodus f r Wenn die als BitLocker Anmeldemodus f r Datenlaufwerke Datenlaufwerke Fallback festgelegte Einstellung nicht angewendet werden kann bietet SafeGuard Enterprise folgende Alternativen Kennwort Der Benutzer wird aufgefordert ein Kennwort f r jedes Datenlaufwerk einzugeben Systemstartschl ssel Die Schl ssel werden auf einem USB Stick gespeichert Kennwort oder Systemstartschl ssel USB Sticks werden nur verwendet wenn Kennw rter auf dem Client Betriebssystem nicht unterst tzt werden
338. ktdokumentation unter www sophos com de de support documentation herunter ffnen Sie ein Ticket bei unserem Support Team unter https secure2 sophos com support contact support support query aspx Administratorhilfe 40 Rechtliche Hinweise Copyright 1996 2014 Sophos Limited Alle Rechte vorbehalten SafeGuard ist ein eingetragenes Warenzeichen von Sophos Limited und Sophos Group Diese Publikation darf weder elektronisch oder mechanisch reproduziert elektronisch gespeichert oder bertragen noch fotokopiert oder aufgenommen werden es sei denn Sie verf gen entweder ber eine g ltige Lizenz gem der die Dokumentation in bereinstimmung mit dem Lizenzvertrag reproduziert werden darf oder Sie verf gen ber eine schriftliche Genehmigung des Urheberrechtsinhabers Sophos Sophos Anti Virus und SafeGuard sind eingetragene Warenzeichen der Sophos Limited Sophos Group und Utimaco Safeware AG Alle anderen erw hnten Produkt und Unternehmensnamen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Inhaber Copyright Informationen von Drittanbietern finden Sie im Dokument Disclaimer and Copyright for 3rd Party Software in Ihrem Produktverzeichnis 331
339. l ssel k nnen nicht gel scht werden Sie sind immer in der SafeGuard Enterprise Datenbank enthalten Beim ersten Starten eines Endpoints erzeugt SafeGuard Enterprise einen Computerschl ssel f r diesen Endpoint definierter Computerschl ssel Hinweis Der definierte Computerschl ssel wird nur dann erzeugt wenn volume basierende Verschl sselung auf dem Endpoint installiert ist Bei der Anmeldung erh lt jeder Benutzer alle Schl ssel aus seinem Schl sselbund Dieser Schl sselbund besteht aus aus den Schl sseln der Gruppen in denen der Benutzer Mitglied ist aus den Schl sseln der den Gruppen in denen er Mitglied ist bergeordneten Container OUs Durch die Schl ssel in seinem Schl sselbund ist festgelegt auf welche Daten der Benutzer zugreifen kann Es ist dem Benutzer nur m glich auf Daten zuzugreifen f r die er den passenden Schl ssel besitzt Hinweis Um zu vermeiden dass zu viele nicht benutzte Schl ssel im Schl sselring des Benutzers angezeigt werden k nnen Sie festlegen dass Schl ssel ausgeblendet werden sollen Weitere Informationen finden Sie unter Verbergen von Schl sseln Seite 73 Alle vorhandenen Schl ssel werden angezeigt wenn Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer klicken und die Registerkarte Schl ssel w hlen Alle berhaupt vorhandenen Schl ssel k nnen angezeigt werden wenn Sie im Navigationsbereich des SafeGuard Management Centers
340. l ssel verwenden Vor der Benutzung der Verschl sselung muss der Benutzer einen Schl ssel erzeugen Ist die Medien Passphrase Funktionalit t in einer Wechselmedienrichtlinie f r diese Endpoints aktiviert so wird der Medienverschl sselungsschl ssel automatisch auf dem Endpoint erzeugt und kann direkt nach Abschluss der Installation f r die Verschl sselung verwendet werden Der Schl ssel steht als vordefinierter Schl ssel im Schl sselring des Benutzers zur Verf gung und wird in Dialogen f r die Schl sselauswahl als lt Benutzername gt angezeigt Falls verf gbar werden die Medienverschl sselungsschl ssel auch f r alle initialen Verschl sselungsvorg nge verwendet Best Practice Dieser Abschnitt beschreibt einige typische Anwendungsf lle f r SafeGuard Data Exchange und deren Umsetzung durch Erstellen der entsprechenden Richtlinien Bob und Alice sind zwei Mitarbeiter des gleichen Unternehmens und haben beide SafeGuard Data Exchange installiert Joe ist ein externer Partner Auf seinem Computer ist SafeGuard Enterprise nicht installiert Unternehmensinterne Anwendung Bob m chte verschl sselte Daten auf Wechselmedien an Alice weitergeben Beide geh ren derselben Gruppe an und haben daher den entsprechenden Gruppenschl ssel in ihrem SafeGuard Enterprise Schl sselring Da sie den Gruppenschl ssel benutzen k nnen sie transparent auf die verschl sselten Dateien zugreifen ohne eine Passphrase eingeben zu m ssen
341. l sselungsalgorithmus mit dem das Volume verschl sselt ist Die Liste von GUIDs der KEKs Key Encryption Keys die den DEK verschl sseln und entschl sseln k nnen Das Volume selbst enth lt seine Gr e Auf ein mit SafeGuard Enterprise verschl sseltes Volume kann von allen SafeGuard Enterprise Endpoints zugegriffen werden vorausgesetzt der Benutzer oder der Computer besitzt einen KEK des KSA des Volumes im Schl sselring Benutzer oder Computer m ssen den durch den KEK verschl sselten DEK entschl sseln k nnen Auf ein Volume das mit einem verteilbaren KEK wie einem OU Gruppen oder Dom nenschl ssel verschl sselt ist kann von vielen Benutzern und Computern zugegriffen werden da viele Benutzer Computer einer Dom ne diesen Schl ssel in ihrem Schl sselring haben Jedoch kann auf ein Volume das nur mit dem individuellen Bootschl ssel Boot_machinename des durch SafeGuard Enterprise gesch tzten Endpoint verschl sselt wird nur von diesem Computer selbst zugegriffen werden Soll ein Volume nicht in seinem originalen Computer booten kann es in einem anderen durch SafeGuard Enterprise gesch tzten Endpoint geslaved werden Dann kann aber auf den korrekten Bootschl ssel nicht zugegriffen werden Der Zugriff darauf muss m glich gemacht werden Immer wenn der Benutzer versucht von einem anderen Computer auf das Volume zuzugreifen ist dies m glich weil jetzt erneut bereinstimmung zwischen den KEKs
342. l festlegen werden in lokalen Protokolldateien im Local Cache des jeweiligen Endpoint im Verzeichnis auditing SGMTranslog gesammelt Diese Dateien werden an den Transportmechanismus bergeben der sie dann ber den SafeGuard Enterprise Server in die Datenbank eintr gt Die bergabe erfolgt standardm ig immer dann wenn der Transportmechanismus erfolgreich eine Verbindung zum Server aufbauen konnte Um die Gr e einer Protokolldatei einzuschr nken k nnen Sie in einer Richtlinie des Typs Allgemeine Einstellungen eine maximale Anzahl an Protokolleintr gen definieren Die Protokolldatei wird dann vom Protokollsystem nach Erreichen der festgelegten Anzahl an Eintr gen in die Transportqueue des SafeGuard Enterprise Servers gestellt Die in der zentralen Datenbank protokollierten Ereignisse lassen sich in der SafeGuard Enterprise Ereignisanzeige oder in der Datei Tracking Anzeige abrufen F r das Einsehen Analysieren und Verwalten der in der Datenbank protokollierten Ereignisse ben tigen Sie als Sicherheitsbeauftragter die relevanten Berechtigungen Konfigurieren von Einstellungen f r die Protokollierung Die Definition von Berichten erfolgt ber zwei Richtlinien Richtlinie des Typs Allgemeine Einstellungen In einer Richtlinie des Typs Allgemeine Einstellungen k nnen Sie die Anzahl an protokollierten Ereignissen angeben nach deren Erreichen die Protokolldatei mit den f r die zentrale Datenbank bestimmten Ereignissen an die SafeGuard
343. le verschl sselten Dateien Dies ist eine einfache und sichere Methode f r die Verschl sselung von Daten auf allen Wechselmedien Ziel dieser Konfiguration 197 SafeGuard Enterprise 24 4 3 198 ist es die Benutzerinteraktion auf ein Minimum zu reduzieren und trotzdem jede Datei auf Wechselmedien zu verschl sseln und den Benutzern Zugriff auf die verschl sselten Dateien im Offline Modus zu geben Der Benutzer darf Dateien auf Wechselmedien nicht entschl sseln Hinweis In dieser Konfiguration sind Benutzer nicht dazu berechtigt lokale Schl ssel zu erzeugen da dies in diesem Anwendungsfall nicht notwendig ist Dies muss in einer Richtlinie vom Typ Ger teschutz mit Lokale Datentr ger als Ziel des Ger teschutzes festgelegt werden Allgemeine Einstellungen gt Benutzer darf einen lokalen Schl ssel erzeugen gt Nein SafeGuard Portable auf Wechselmedien kopieren Nr F r die gemeinsame Benutzung von Wechselmedien innerhalb der Arbeitsgruppe ist SafeGuard Portable nicht erforderlich Au erdem w rde SafeGuard Portable das Entschl sseln von Dateien auf Computern ohne SafeGuard Enterprise erlauben Im B ro haben die Benutzer transparenten Zugriff auf verschl sselte Dateien auf Wechselmedien Zuhause ffnen sie verschl sselte Dateien mit SafeGuard Portable Die Benutzer m ssen nur die Medien Passphrase eingeben und erhalten somit Zugriff auf alle verschl sselten Dateien unabh ngig davon welcher Schl ssel f r die Vers
344. leichen Gruppen Dom nenschl ssel verwenden Wenn Bob auf verschl sselte Dateien auf Wechselmedien auf einem Computer ohne SafeGuard Data Exchange zugreifen m chte kann er die Medien Passphrase in SafeGuard Portable benutzen Administratorhilfe Joe kann auf die spezifischen Dateien durch Eingabe der Passphrase des Schl ssels JoeSchl ssel zugreifen ohne auf die restlichen Dateien auf dem Wechselmedium zugreifen zu m ssen Die notwendigen Einstellungen legen Sie in einer Richtlinie vom Typ Ger teschutz Wechselmedien fest Verschl sselungsmodus f r Medien Dateibasierend Schl ssel f r die Verschl sselung Beliebiger Schl ssel im Schl sselring des Benutzers Erm glicht dem Benutzer die Auswahl unterschiedlicher Schl ssel f r die Verschl sselung von Dateien auf Wechselmedien F r Verschl sselung definierter Schl ssel lt Gruppen Dom nenschl ssel gt z B group_users_Bob_Alice DC um sicherzustellen dass beide denselben Schl ssel benutzen und um beiden den transparenten Zugriff auf Wechselmedien zu erm glichen wenn sie sie mit ihren Computern im B ro verbinden Benutzer darf eine Medien Passphrase f r Wechselmedien erzeugen Ja Der Benutzer definiert eine Medien Passphrase auf seinem Computer die f r alle seine Wechselmedien gilt SafeGuard Portable auf das Ziel kopieren Ja SafeGuard Portable gibt dem Benutzer in einem System ohne SafeGuard Data Exchange Zugriff auf alle verschl ssel
345. lender Schriften z B bei Bulgarisch werden im Feld Benutzername aber nur Sonderzeichen angezeigt Es ist kein spezielles Tastaturlayout verf gbar z B Dominikanische Republik In solchen F llen greift die SafeGuard POA auf das Original Tastaturlayout zur ck F r die Dominikanische Republik ist dies Spanisch Wenn Benutzername oder Kennwort aus Zeichen bestehen die vom ausgew hlten Tastaturlayout oder dem Original Tastaturlayout nicht unterst tzt werden kann sich der Benutzer nicht an der SafeGuard POA anmelden Hinweis Alle nicht unterst tzten Tastaturlayouts verwenden als Standard das US Tastaturlayout Das bedeutet dass auch nur Zeichen erkannt und eingegeben werden k nnen die im US Tastaturlayout unterst tzt werden Benutzer k nnen sich demnach nur an der SafeGuard POA anmelden wenn ihre Benutzernamen und Kennw rter sich aus Zeichen zusammensetzen die vom US Tastaturlayout oder dem entsprechenden Original Layout unterst tzt werden 16 4 4 1 16 5 Administratorhilfe Virtuelle Tastatur SafeGuard Enterprise bietet die M glichkeit in der SafeGuard POA eine virtuelle Tastatur anzeigen zu lassen Der Benutzer kann dann z B Anmeldeinformationen durch Klick auf die am Bildschirm angezeigten Tasten eingeben Als Sicherheitsbeauftragter k nnen Sie die Anzeige der virtuellen Tastatur in einer Richtlinie vom Typ Spezifische Computereinstellungen ber die Option Virtuelle Tastatur in der POA aktivieren de
346. lge die 123 enth lt als PIN verboten Hinweis Wenn Sie nur den Platzhalter in die Liste einf gen k nnen sich Benutzer nach einer erzwungenen Kennwort nderung nicht mehr im System anmelden Benutzer d rfen auf die Datei keinen Zugriff haben Die Option Liste nicht erlaubter PINs verwenden muss aktiviert sein NDERUNGEN PIN nderung erlaubt nach mindestens Tage Legt den Zeitraum fest in dem eine PIN nicht erneut ge ndert werden darf Diese Einstellung verhindert dass ein Benutzer seine PIN innerhalb eines bestimmten Zeitraums beliebig oft ndern kann Beispiel Die Benutzerin Schmidt definiert eine neue PIN z B 13jk56 F r sie oder f r die Gruppe der sie zugeordnet ist ist ein Wechsel nach mind f nf Tagen festgelegt Bereits nach zwei Tagen will sie die PIN 13jk56 ndern Dies wird abgelehnt da Frau Schmidt erst nach f nf Tagen eine neue PIN definieren darf PIN l uft ab nach Tage Der Benutzer muss nach Ablauf des eingestellten Zeitraums seine PIN ndern Betr gt der Zeitraum 999 Tage ist keine PIN Anderung erforderlich 141 SafeGuard Enterprise Richtlinieneinstellung Erkl rung Warnung vor Ablauf Tage Ab n Tagen vor Ablauf der PIN wird eine Warnmeldung ausgegeben und der Benutzer darauf hingewiesen dass er in n Tagen seine PIN ndern muss Er erh lt daraufhin die M glichkeit die PIN sofort zu ndern ALLGEMEIN PIN i
347. linien f r dateibasierende Verschl sselung unse ln 148 20 9 Ger teschutz ans a a a e eae a ae 150 20 10 Spezifische Computereinstellungen Grundeinstellungen 156 20 11 Protokollierung bei Windows Endpoints 4244444Hnnnnnnnennnnnnn ernennen 164 21 Festplattenverschl sselung r444444HRnHaRnennnnnnnn EEES EEEE EREN EEA EE ARENE KE ERRET 165 21 1 SafeGuard Festplattenverschl sselung sessseesseeesseesseesirssrrrssrnsssrnssrenses 165 21 2 BitLocker Drive Encryption see resres aroeira rE EAR r TEREE EEE E nen 169 21 3 FileVault 2 Festplattenverschl sselung sssessseesssssrrsssssrrsssrerrrssrrrrrssrrernsns 178 22 SafeGuard Configuration Protection 240rsnnsunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennn nn 180 23 Dateiverschl sselung rennnnneennnnnennnnnnnnnnnnnnnnnnnnenennnnnnneennnnnnnn nn ennr nn 181 23 1 Konfigurieren von Verschl sselungsregeln in File Encryption Richtlinien 182 23 2 Konfigurieren von Dateiverschl sselungseinstellungen in Richtlinien vom Typ Allgemeine Einstellungen 44444444Hnnnnnn nen nnnnn nennen nnnnennnnnnnn nennen 188 23 3 Mehrere File Encryption Richtlinien unennnnnnnnennnnnnnnnennnn nn 190 23 4 Reihenfolge der Evaluierung von File Encryption Verschl sselungsregeln auf Endapan menan ee ne ae 191 23 5 Konflikte bei File Encryption Regeln sesnnsenensnnnn
348. llung Dateibasierend Volume basierende Verschl sselung wird nicht unterst tzt 5 W hlen Sie unter Algorithmus f r die Verschl sselung den Algorithmus der f r die Verschl sselung der Daten in den Synchronisierungsordnern die in der Cloud Storage Definition definiert sind verwendet werden soll 6 Mit den Einstellungen Schl ssel f r die Verschl sselung und F r Verschl sselung definierter Schl ssel definieren Sie den Schl ssel oder die Schl ssel die f r die Verschl sselung verwendet werden sollen Weitere Informationen finden Sie unter Ger teschutz Seite 150 7 Wenn Sie die Einstellung SafeGuard Portable auf das Ziel kopieren aktivieren wird SafeGuard Portable in jeden Synchronisierungsordner kopiert sobald Inhalte in den Ordner geschrieben werden SafeGuard Portable ist eine Anwendung mit der verschl sselte Dateien auf Windows Computern auf denen SafeGuard Enterprise installiert ist Hinweis Um verschl sselte Daten die in der Cloud gespeichert sind mit Benutzern zu teilen die SafeGuard Enterprise nicht installiert haben sollten die Benutzer zum Erzeugen lokaler Schl ssel berechtigt sein siehe Lokale Schl ssel Seite 193 8 Mit der Option Klartext Ordner k nnen Sie einen Ordner definieren der von der Verschl sselung ausgeschlossen wird Daten in Unterordnern des definierten Klartext Ordners werden ebenfalls von der Verschl sselung ausgeschlossen SafeGuard Cloud Storage erstellt automatisch leere Klarte
349. lten Objekte erteilen m chten Voller Zugriff a Schreibgesch tzt Verweigert Um die Zuweisung der Rechte f r die ausgew hlten Objekte r ckg ngig zu machen ziehen Sie den Sicherheitsbeauftragten wieder zur ck in die Tabelle Sicherheitsbeauftragte 6 Klicken Sie auf das Speichern Symbol in der Symbolleiste um Ihre nderungen in der Datenbank zu speichern Die ausgew hlten Objekte stehen dem relevanten Sicherheitsbeauftragten zur Verf gung Hinweis Wenn zwei Sicherheitsbeauftragte gleichzeitig mit der gleichen SafeGuard Enterprise Datenbank arbeiten und einer der beiden ndert Zugriffsrechte wird eine Meldung angezeigt 65 SafeGuard Enterprise 11 10 1 11 11 66 die den anderen Sicherheitsbeauftragten dar ber informiert In diesem Fall gehen alle nicht gespeicherten nderungen verloren Verliert ein Sicherheitsbeauftragter alle Zugriffsrechte f r einen Knoten so wird der Zugriff nicht mehr gew hrt und es wird eine entsprechende Meldung angezeigt Das Navigationsfenster wird entsprechend aktualisiert Einsehen der Sicherheitsbeauftragtenrechte f r Verzeichnisobjekte Die Sicherheitsbeauftragten zugewiesenen Rechte f r Verzeichnisobjekte werden in der Registerkarte Zugriff der relevanten Objekte unter Benutzer amp Computer angezeigt Hinweis Die Registerkarte Zugriff zeigt nur die Zugriffsrechte f r Container f r die Sie Zugriffsrechte haben Es werden auch nur die Sicherheitsbeauftragten angezeigt f
350. lto NET Card IT Solution GmbH IT Solution trustWare CSP Nexus Personal RSA Authentication Client 2 x RSA Smart Card Middleware 3 x Sertifitseerimiskeskus AS Estonian ID Card Siemens CardOS API TC FNMT CardOS API TC FNMT M dulo PCKS 11 TC FNMT TC FNMT T Systems NetKey 3 0 Unizeto proCertum Lizenzen Beachten Sie dass f r die Benutzung der jeweiligen Middleware f r das Standard Betriebssystem eine Lizenzvereinbarung mit dem jeweiligen Hersteller erforderlich ist Informationen zum Erhalt der Lizenzen finden Sie unter http www sophos com de de support knowledgebase 116585 aspx Wenn Sie Siemens Lizenzen erwerben m chten wenden Sie sich an Atos IT Solutions and Services GmbH Otto Hahn Ring 6 81739 M nchen Germany Die Middleware wird in einer SafeGuard Enterprise Richtlinie vom Typ Spezifische Computereinstellungen unter Benutzerdefinierte PKCS 11 Einstellungen im Feld PKCS 11 Modul f r Windows oder PKCS 11 Modul f r die Power on Authentication angegeben Das SafeGuard Enterprise Client Konfigurationspaket muss zudem auf dem Computer installiert sein auf dem das SafeGuard Management Center l uft 219 SafeGuard Enterprise 27 3 Konfigurieren der Token Benutzung F hren Sie die folgenden Handlungsschritte aus wenn Sie den folgenden Benutzern Token f r die Authentisierung bereitstellen m chten Benutzer von zentral verwalteten Endpoints Sicherheitsbeauftragte des SafeGuard M
351. ly qualified Pfad der Synchronisierungsapplikation die von der Egnyte Software benutzt wird lt EgnytePrivate gt Synchronisierungsordner Alle privaten Ordner in der Egnyte Cloud Storage F r Standard Egnyte Benutzer ist dies in der Regel ein einzelner Ordner F r Egnyte Administratoren wird dieser Platzhalter in der Regel in mehrere Ordner umgesetzt lt EgnyteShared gt Synchronisierungsordner Alle freigegebenen Ordner in der Egnyte Cloud Storage Hinweis nderungen an der Egnyte Ordnerstruktur auch das Hinzuf gen oder Entfernen von privaten oder freigegebenen Ordnern werden automatisch erkannt Die entsprechenden Richtlinien werden automatisch angepasst Hinweis Da sich Egnyte Synchronisierungsordner im Netzwerk befinden k nnen k nnen Sie bei der Einstellung Synchronisierungsordner Netzwerkpfade eingeben 205 SafeGuard Enterprise Anbieter Platzhalter Kann in CSD Einstellung verwendet werden Wird aufgel st in Das SafeGuard Enterprise Cloud Storage Modile verbindet sich daher standardm ig mit Netzwerkdateisystemen Wenn dies nicht erforderlich ist k nnen Sie dieses Verhalten deaktivieren indem Sie eine Richtlinie vom Typ Allgemeine Einstellungen definieren und unter Ignorierte Ger te die Option Netzwerk ausw hlen Google Drive OneDrive OneDrive for Business 206 Synchronisierungsapplikation Synchronisierungsordner lt GoogleDrive gt Synchronisier
352. m igen Abst nden aus Die gespeicherte Prozedur verschiebt Ereignisse aus der EVENT Tabelle in die Backup Log Tabelle EVENT_BACKURP Dabei wird eine definierte Anzahl an neuesten Ereignissen in der EVENT Tabelle belassen Die beiden Skripte spshrinkEventTable_uninstall sql und ScheduledShrinkEventTable_uninstall sql deinstallieren die gespeicherte Prozedur sowie den Scheduled Job Diese beiden Skripte l schen auch die EVENT_BACKUP Tabelle Hinweis Wenn Sie die Ereignisse ber die gespeicherte Prozedur aus der EVENT Tabelle in die Backup Log Tabelle verschieben findet die Verkettung der Protokollierung keine Anwendung mehr Es ist nicht sinnvoll die Verkettung zu aktivieren und gleichzeitig die gespeicherte Prozedur zur S uberung der EVENT Tabelle einzusetzen Weitere Informationen finden Sie unter Verkettung von protokollierten Ereignissen Seite 277 Erstellen der gespeicherten Prozedur Das Skript spshrinkEventTable_install sql erstellt eine gespeicherte Prozedur die Daten aus der EVENT Tabelle in eine Backup Log Tabelle mit dem Namen EVENT_BACKUP verschiebt Wenn die Tabelle EVENT_BACKUP noch nicht vorhanden ist wird sie automatisch erstellt Die erste Zeile lautet USE SafeGuard Wenn Sie f r Ihre SafeGuard Enterprise Datenbank einen anderen Namen als SafeGuard verwendet haben ndern Sie den Namen hier entsprechend Die gespeicherte Prozedur bel sst die lt n gt neuesten Ereignisse in der EVENT Tabelle und vers
353. m Module ist ein Hardware Ger t das BitLocker zum Speichern seiner Verschl sselungsschl ssel verwendet Die Schl ssel werden nicht auf der Festplatte des Computers gespeichert W hrend des Startvorgangs muss das BIOS Basic Input Output System auf TPM zugreifen k nnen Wenn der Benutzer den Computer startet bezieht BitLocker diese Schl ssel automatisch vom TPM Endpoints ohne TPM Wenn ein Endpoint nicht mit TPM ausgestattet ist kann ein BitLocker Systemstartschl ssel oder falls auf dem Endpoint Windows 8 oder h her ausgef hrt wird ein Kennwort als Anmeldemodus verwendet werden Ein BitLocker Systemstartschl ssel kann mit einem USB Stick zum Speichern der Verschl sselungsschl ssel generiert werden Der Benutzer muss den Stick immer beim Starten des Computers einstecken Wenn SafeGuard Enterprise BitLocker aktiviert werden die Benutzer aufgefordert den BitLocker Systemstartschl ssel zu speichern Es ffnet sich ein Dialog in dem die g ltigen Ziellaufwerke zum Speichern des Systemstartschl ssels angezeigt werden Hinweis Bei Bootlaufwerken ist es wesentlich dass der Systemstartschl ssel verf gbar ist wenn Sie den Endpoint starten Der Systemstartschl ssel kann daher nur auf einem Wechselmedium gespeichert werden Bei Daten Volumes kann der BitLocker Systemstartschl ssel auf einem verschl sselten Boot Volume gespeichert werden Dies erfolgt automatisch wenn Auto Unlock in der Richtlinie festgelegt ist Bit
354. m Netzwerk gespeichert werden um sie dem Helpdesk f r Recovery Vorg nge zur Verf gung zu stellen Sie kann auch per E Mail verschickt werden Geben Sie einen Ausgabepfad f r das Konfigurationspaket MSI an 10 Klicken Sie auf Konfigurationspaket erstellen Das Konfigurationspaket MSI wird im angegebenen Verzeichnis angelegt Sie m ssen das Paket auf den Endpoints verteilen und installieren Erzeugen eines Konfigurationspakets f r Macs Ein Konfigurationspaket f r einen Mac enth lt die relevanten Serverinformationen sowie das Unternehmenszertifikat Der Mac benutzt diese Informationen zum Zur ckmelden von Administratorhilfe Statusinformationen SafeGuard POA an aus Verschl sselungsstatus usw Die Statusinformationen werden im SafeGuard Management Center angezeigt 1 W hlen Sie Pakete f r Managed Clients Klicken Sie auf Konfigurationspaket hinzuf gen Geben Sie einen beliebigen Namen f r das Konfigurationspaket ein Ordnen Sie einen prim ren SafeGuard Enterprise Server zu der sekund re Server ist OP OMN Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete nicht notwendig W hlen Sie SSL als Transportverschl sselung f r die Verbindung zwischen dem Endpoint und dem SafeGuard Enterprise Server F r Macs wird Sophos als Transportverschl sselung nicht unterst tzt Geben Sie einen Ausgabepfad f r das Konfigurationspaket ZIP an Klicken Sie auf Konfi
355. m oder bestimmte Anwendungen nicht mehr laufen Stellen Sie beim Anlegen von Cloud Storage Definitionen f r Ger teschutz Richtlinien sicher dass diese Ordner nicht verschl sselt werden 1 W hlen Sie im Richtlinien Navigationsbereich Cloud Storage Definitionen 2 Klicken Sie im Kontextmen von Cloud Storage Definitionen auf Neu gt Cloud Storage Definition 3 Der Neue Cloud Storage Definition Dialog wird angezeigt Geben Sie einen Namen f r die Cloud Storage Definition ein 4 Klicken Sie auf OK Die Cloud Storage Definition wird mit dem eingegebenen Namen unter dem Stammknoten Cloud Storage Definitionen im Richtlinien Navigationsbereich angezeigt 5 W hlen Sie die Cloud Storage Definition aus Im Arbeitsbereich auf der rechten Seite wird der Inhalt der Cloud Storage Definition angezeigt Name des Ziels Der zu Beginn eingegebene Name Dieser wird zur Referenzierung der Cloud Storage Definition als Ziel f r eine Richtlinie des Typs Ger teschutz benutzt Synchronisierungsapplikation Geben Sie den Pfad und die Anwendung f r die Synchronisierung der Daten mit der Cloud ein zum Beispiel lt Desktop gt dropbox dropbox exe Die Applikation muss sich auf einem lokalen Laufwerk befinden Synchronisierungsordner Geben Sie den die Ordner ein der die mit der Cloud synchronisiert wird werden Es werden nur lokale Pfade unterst tzt Hinweis F r Pfade in den Einstellungen Synchronisierungsapplikation und Synchronisier
356. medien nicht m glich Eine Ausnahme ist hier der zentrale definierte Dom nen Gruppenschl ssel der in Verbindung mit der Medien Passphrase benutzt werden kann Hinweis Um verschl sselte Daten auf Wechselmedien auch auf mit Computern ohne SafeGuard Enterprise zu benutzen weiterzugeben k nnen Sie SafeGuard Portable benutzen F r SafeGuard Portable ist die Verwendung von lokalen Schl sseln oder einer Medien Passphrase erforderlich Lokale Schl ssel SafeGuard Data Exchange unterst tzt die Verschl sselung mit lokalen Schl sseln Lokale Schl ssel werden auf dem Benutzercomputer erzeugt und k nnen zur Verschl sselung von Wechselmedien benutzt werden Die Schl ssel werden durch Eingabe einer Passphrase erstellt In der SafeGuard Enterprise Datenbank wird jeweils eine Sicherungskopie des lokalen Schl ssels erstellt Hinweis Ein Benutzer ist standardm ig dazu berechtigt lokale Schl ssel zu erzeugen Sollen Benutzer nicht dazu berechtigt sein so m ssen Sie diese Option explizit deaktivieren Dies muss in einer Richtlinie vom Typ Ger teschutz mit Lokale Datentr ger als Ziel des Ger teschutzes festgelegt werden Allgemeine Einstellungen gt Benutzer darf einen lokalen Schl ssel erzeugen gt Nein Werden lokale Schl ssel zum Verschl sseln von Dateien auf Wechselmedien verwendet lassen sich diese Dateien auf einem Computer ohne SafeGuard Data Exchange mit SafeGuard Portable entschl sseln Beim ffnen der Dateien mit SafeGu
357. mportieren Eine Cloud Storage Definition wird als xml Datei exportiert Um eine Cloud Storage Definition zu exportieren w hlen Sie im Kontextmen der gew nschten Cloud Storage Definition im Bereich Richtlinie den Befehl Cloud Storage Definition exportieren Um eine Cloud Storage Definition zu importieren w hlen Sie im Kontextmen des Cloud Storage Definition Knotens im Bereich Richtlinie den Befehl Cloud Storage Definition importieren Beide Befehle sind auch im Men Aktionen des SafeGuard Management Center verf gbar 29 3 29 4 Administratorhilfe Erstellen einer Ger teschutz Richtlinie mit dem Ziel Cloud Storage Die Cloud Storage Definitionen m ssen bereits angelegt worden sein Es stehen f r mehrere Cloud Storage Anbieter zum Beispiel Dropbox oder Egnyte vordefinierte Cloud Storage Definitionen zur Verf gung Die Einstellungen f r die Verschl sselung von Cloud Storage Daten legen Sie in einer Richtlinie vom Typ Ger teschuitz fest 1 Erstellen Sie im Richtlinien Navigationsbereich eine neue Richtlinie vom Typ Ger teschutz 2 W hlen eine Cloud Storage Definition als Ziel aus 3 Klicken Sie auf OK Die neu angelegte Richtlinie wird im Navigationsfenster unter Richtlinien angezeigt Im Aktionsbereich werden alle Einstellungen f r die Richtlinie vom Typ Ger teschutzangezeigt Die Einstellungen k nnen dort ge ndert werden 4 W hlen Sie f r die Option Verschl sselungsmodus f r Medien die Einste
358. mputern nicht mehr m glich ist SafeGuard Enterprise bernimmt diese berpr fung nicht 12 3 2 ndern des Algorithmus f r selbst signierte Zertifikate 78 Voraussetzungen Alle SafeGuard Enterprise Komponenten m ssen die Version 6 1 oder h her haben Von SafeGuard Enterprise erzeugte Zertifikate zum Beispiel Unternehmens Maschinen Sicherheitsbeauftragten und Benutzerzertifikate sind bei einer Erstinstallation standardm ig zur Erweiterung der Sicherheit mit dem Hash Algoritnmus SHA 256 signiert Bei der Aktualisierung von SafeGuard Enterprise 6 oder einer fr heren Version wird f r selbst signierte Zertifikate automatisch der Hash Algorithmus SHA 1 benutzt Nach Abschluss der Aktualisierung k nnen Sie den Hash Algorithmus f r erweiterte Sicherheit manuell zu SHA 256 ndern Hinweis ndern Sie den Algorithmus nur dann zu SHA 256 wenn bei allen SafeGuard Enterprise Komponenten und Endpoints eine Aktualisierung auf die aktuelle Version durchgef hrt wurde In gemischten Umgebungen in denen zum Beispiel SafeGuard Enterprise 6 Endpoints mit dem SafeGuard Management Center 7 verwaltet werden wird SHA 256 nicht unterst tzt Wenn Sie eine gemischte Umgebung benutzen d rfen Sie diesen Vorgang nicht ausf hren In diesem Fall d rfen Sie den Algorithmus nicht zu SHA 256 ndern Zum ndern des Algorithmus f r selbst signierte Zertifikate m ssen Sie folgende Handlungsschritte ausf hren ndern des Hash Algorithmus
359. n Hinweis Sie k nnen die Namen der derzeit im System benutzten Ger te mit Tools von Dritt Anbietern z B OSR Device Tree anzeigen lassen SafeGuard Enterprise protokolliert alle Ger te mit denen eine Verbindung hergestellt wird Mit Hilfe von Registry Keys k nnen Sie eine Liste von verbundenen und ignorierten Ger ten aufrufen Anzeige von verbundenen und ignorierten Ger ten f r die SafeGuard Data Exchange Konfiguration Als Hilfestellung f r die Definition von ignorierten Ger ten k nnen Sie mit Registry Keys ermitteln welche Ger te f r die Verschl sselung in Betracht gezogen werden verbundene Ger te und welche Ger te derzeit ignoriert werden Die Liste mit ignorierten Ger ten enth lt nur Ger te die tats chlich auf dem Computer verf gbar sind und ignoriert werden Wird ein Ger t in einer Richtlinie als ignoriert definiert und das Ger t ist nicht verf gbar so wird das Ger t auch nicht aufgelistet Benutzen Sie folgende Registry Keys um verbundene und ignorierte Ger te zu ermitteln HKLM System CurrentControlSet Control Utimaco SGLCENC Log AttachedDevices HKLM System CurrentControlSet Control Utimaco SGLCENC Log IgnoredDevices Konfigurieren der persistenten Verschl sselung f r SafeGuard Data Exchange Der Inhalt von mit SafeGuard Data Exchange verschl sselten Dateien wird jeweils direkt entschl sselt wenn der Benutzer den erforderlichen Schl ssel hat Wenn der Inhalt in einer neuen Datei an einem Ablageor
360. n Au er den Anmeldeinformationen k nnen auf einen Token auch Zertifikate geschrieben werden Es ist m glich den privaten Teil des Zertifikats p12 Datei ausschlie lich auf dem Token zu speichern Benutzer k nnen sich dann jedoch nur mit dem Token anmelden Wir empfehlen den Einsatz von PKI Zertifikaten So k nnen Sie Authentisierungsdaten Token zuweisen durch Generieren von Zertifikaten direkt auf dem Token durch Zuweisen von Daten die sich bereits auf dem Token befinden durch Importieren von Zertifikaten aus einer Datei Hinweis CA Zertifikate k nnen nicht von einem Token entnommen und in der Datenbank oder im Zertifikatsspeicher gespeichert werden Wenn Sie CA Zertifikate verwenden m ssen diese in Dateiform zur Verf gung stehen nicht nur auf einem Token Dies gilt auch f r CRLs Certificate Revocation List Au erdem muss die Kombination von CA Zertifikaten und CRL zusammenpassen da ansonsten eine Anmeldung an allen betroffenen Computern nicht mehr m glich ist berpr fen Sie ob CA und die entsprechende CRL korrekt sind SafeGuard Enterprise bernimmt diese berpr fung nicht SafeGuard Enterprise kann dann nur mit ablaufenden Zertifikaten umgehen wenn der alte und neue private Schl ssel auf demselben Token stehen Erzeugen von Zertifikaten durch Token Um Zertifikate durch Token zu erzeugen ben tigen Sie das Zugriffsrecht Voller Zugriff f r den relevanten Benutzer Sie k nnen neue Zertifikate direkt dur
361. n Die Skripte werden automatisch im Unterverzeichnis Script Templates der SafeGuard Management Center Installation installiert Um diese Skripte f r Tasks zu verwenden importieren Sie sie in den Taskplaner und nehmen Sie vor der Anwendung die notwendigen Parameter nderungen vor Vordefiniertes Skript f r die Active Directory Synchronisierung Sie haben die M glichkeit eine bestehende Organisationsstruktur ber ein Active Directory in die SafeGuard Enterprise Datenbank zu importieren Weitere Informationen finden Sie unter Importieren der Organisationsstruktur Seite 43 Nach dem Importieren der Struktur k nnen Sie einen periodischen Task f r die automatische Synchronisierung zwischen dem Active Directory und SafeGuard Enterprise erstellen F r diesen Task k nnen Sie das vordefinierte Skript ActiveDirectorySynchronization vbs verwenden Das Skript synchronisiert alle vorhandenen Container in der SafeGuard Enterprise Datenbank mit einem Active Directory Bevor Sie das Skript in einem periodischen Task verwenden k nnen Sie folgende Parameter anpassen 289 SafeGuard Enterprise 34 9 4 2 290 Parameter Beschreibung logFileName Legen Sie den Ausgabepfad f r die Skript Protokolldatei fest Dieser Parameter ist obligatorisch Ist der Parameter leer oder ung ltig so kann die Synchronisierung nicht durchgef hrt werden und es wird eine Fehlermeldung angezeigt Standardm ig ist dieser Parameter leer Ist bereits ein
362. n Zertifikat Schl ssel usw werden auf diesen Rechner repliziert und er kann sich an diesen Computer anmelden Wenn ein Benutzer aus der UMA entfernt wird werden alle Benutzerdaten automatisch aus der SafeGuard POA gel scht Der Benutzer kann sich dann nicht mehr an der SafeGuard POA mit Benutzername und Kennwort anmelden Hinweis Um die Benutzer und Computer Zuordnung unter Benutzer amp Computer einzusehen ben tigen Sie mindestens das Zugriffsrecht Schreibgesch tzt f r eines der beteiligten Objekte Benutzer oder Computer Um die Zuweisung zu definieren oder zu ndern ben tigen Sie das Zugriffsrecht Voller Zugriff f r beide beteiligten Objekte Die UMA Anzeige zeigt die verf gbaren Benutzer Maschinen gefiltert nach Ihren Zugriffsrechten In der UMA Anzeige die die Computern zugewiesenen Benutzer und umgekehrt zeigt werden Objekte f r die Sie nicht die erforderlichen Zugriffsrechte haben zu Ihrer Information angezeigt Sie k nnen die Zuordnung jedoch nicht ndern Im Rahmen dieser Zuordnung kann auch festgelegt bzw ge ndert werden wem es erlaubt ist weiteren Benutzern die Anmeldung an diesen Computer zu erm glichen 211 SafeGuard Enterprise 212 Unter Typ wird im SafeGuard Management Center angezeigt wie der Benutzer in die SafeGuard Enterprise Datenbank aufgenommen wurde bernommen gibt an dass der Benutzer auf einem Endpoint in die UMA f r den Computer aufgenommen worden ist Hinweis Wird im SafeGuard M
363. n Authentisierung erforderlich ist 805306399 Die Funktion des Wiederherstellungsbeauftragten kann nicht entfernt werden da ein Recovery Beauftragter zur zus tzlichen Authentisierung erforderlich ist 805306400 Die Funktion des Beratungsbeauftragten kann nicht entfernt werden da ein Beratungsbeauftragter zur zus tzlichen Authentisierung erforderlich ist 805306401 Ein zus tzlicher Beauftragter mit der gew nschten Funktion ist zur zus tzlichen Authentisierung nicht verf gbar 805306402 Ereignisanzeige 805306403 Integrit t des zentralen Ereignisprotokolls erfolgreich verifiziert 805306404 Integrit t verletzt Ein oder mehrere Ereignisse wurden vom Beginn der Kette entfernt 805306405 Integrit t verletzt Ein oder mehrere Ereignisse sind in der Kette entfernt worden Die Mitteilung bei der der Bruch der Kette entdeckt worden ist ist hervorgehoben 805306406 Integrit t verletzt Ein oder mehrere Ereignisse wurden vom Ende der Kette entfernt 805306407 Exportieren der Ereignisse in Datei fehlgeschlagen Grund 805306408 Die momentane Ansicht enth lt ungesicherte Daten M chten Sie die nderungen speichern bevor Sie die Ansicht verlassen 805306409 Die Datei konnte nicht geladen werden oder die Datei ist besch digt Grund 805306410 Die Integrit t des Protokolls ist verletzt worden Ein oder mehrere Ereignisse sind entfernt worden 80530641
364. n Computern zu erzeugen ein h heres Ma an Benutzerinteraktion umfasst 199 SafeGuard Enterprise 24 9 24 6 200 Hinweis Voraussetzung f r diesen Beispielanwendungsfall ist es dass der Benutzer dazu berechtigt ist lokale Schl ssel zu erzeugen Standardeinstellung in SafeGuard Enterprise Konfigurieren von vertrauensw rdigen und ignorierten Anwendungen f r SafeGuard Data Exchange Sie k nnen Anwendungen als vertrauensw rdig definieren um ihnen Zugriff auf verschl sselte Dateien zu geben Dies ist zum Beispiel notwendig damit Antivirus Software verschl sselte Dateien berpr fen kann Sie k nnen Anwendungen als ignoriert definieren um sie von der transparenten Dateiverschl sselung Dateientschl sselung auszuschlie en Wenn Sie zum Beispiel ein Backup Programm als ignorierte Anwendung definieren bleiben die vom Programm gesicherten verschl sselten Daten verschl sselt Hinweis Untergeordnete Prozesse werden nicht als vertrauensw rdig ignoriert eingestuft 1 Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine Einstellungen an oder w hlen Sie eine vorhandene aus 2 Klicken Sie unter Dateiverschl sselung auf die Dropdown Schaltfl che der Felder Vertrauensw rdige Anwendungen oder Ignorierte Anwendungen 3 Geben Sie im Editor Listenfeld die Anwendungen ein die Sie als vertrauensw rdig ignoriert definieren m chten Sie k nnen mehrere vertrauensw rdige ignorierte Anwe
365. n Objekt Anzeigen der Eigenschaften f r den Haupt Sicherheitsbeauftragten Die allgemeinen Informationen sowie die nderungsinformationen f r den Haupt Sicherheitsbeauftragten werden angezeigt Anzeigen der Eigenschaften f r Sicherheitsbeauftragte Die allgemeinen Informationen sowie die nderungsinformationen f r den Sicherheitsbeauftragten werden angezeigt 1 W hlen Sie unter Eigenschaften die Registerkarte Aktionen Diese Registerkarte bietet eine Zusammenfassung der zul ssigen Aktionen sowie der Rollen die dem Sicherheitsbeauftragten zugewiesen sind Anzeigen der Rechte und Rollen von Sicherheitsbeauftragten Eine Zusammenfassung der Aktionen aller Rollen die dem Sicherheitsbeauftragten zugewiesen sind wird angezeigt Die Baumstrukturansicht zeigt welche Aktionen erforderlich sind damit bestimmte andere Aktionen durchgef hrt werden k nnen Dar ber hinaus k nnen die zugewiesenen Rollen angezeigt werden 1 W hlen Sie in den lt Sicherheitsbeauftragtenname gt Eigenschaften in der Registerkarte Aktionen eine Aktion um alle zugewiesenen Rollen aufzurufen die diese Aktion enthalten 2 Doppelklicken Sie in der Liste Zugewiesene Rollen mit ausgew hlter Aktion auf einer Rolle Der lt Sicherheitsbeauftragtenname gt Eigenschaften Dialog wird geschlossen und die Eigenschaften der Rolle werden angezeigt Anzeigen der Rolleneigenschaften Die allgemeinen Informationen sowie die nderungsinformationen f r die Rolle wer
366. n POA verbergen Gibt an ob die Ziffern bei der Eingabe der PIN verborgen werden Ist die Option aktiviert wird w hrend der Eingabe der PIN bei der POA nichts angezeigt Ansonsten wird f r jedes eingegebene Zeichen ein Stern angezeigt PIN Generationen Legt fest wann bereits verwendete PINs wieder benutzt werden d rfen Sinnvoll ist die Definition von PIN Generationen insbesondere in Verbindung mit der Einstellung PIN l uft ab nach Tage Beispiel Die Anzahl der PIN Generationen f r den Benutzer M ller wurde auf 4 festgelegt die der Tage nach denen der Benutzer die PIN wechseln muss auf 30 Herr M ller meldete sich bislang mit der PIN Informatik an Nach Ablauf der Frist von 30 Tagen wird er aufgefordert seine PIN zu ndern Herr M ller tippt als neue PIN wieder Informatik ein und erh lt die Fehlermeldung dass er diese PIN bereits verwendet hat und eine andere PIN w hlen muss Informatik darf Herr M ller erst nach der vierten da PIN Generationen 4 Aufforderung zur Eingabe einer neuen PIN verwenden 20 5 Anlegen einer Liste verbotener Kennw rter f r die 142 Verwendung mit Richtlinien F r Richtlinien des Typs Kennwort kann eine Liste mit verbotenen Kennw rtern angelegt werden Diese Liste definiert die Zeichenfolgen die in nicht in Kennw rtern verwendet werden d rfen Hinweis In den Listen werden die nicht erlaubten Kennw rter durch einen Zeilenumbruch voneinander getrennt Di
367. n Sie nach einem bestimmten Objekt suchen geben Sie den erforderlichen Suchnamen im Feld Suchname ein Legen Sie mit dem Kontrollk stchen Ansicht nach jeder Suche l schen fest ob die Suchergebnisse nach jedem Suchvorgang aus der Ansicht gel scht werden sollen Klicken Sie anschlie end auf Jetzt suchen Die Ergebnisse werden im Benutzer Computer und Gruppen suchen Dialog angezeigt Wenn Sie auf eines der Ergebnisse in diesem Dialog klicken wird der entsprechende Eintrag in der Benutzer amp Computer Baumstruktur markiert Wenn Sie z B nach Duplikaten gesucht haben k nnen Sie diese nun bequem l schen Anzeigen von Objekteigenschaften in Benutzer und Computer Um Objekteigenschaften einzusehen ben tigten Sie die Zugriffsrechte Voller Zugriff oder Schreibgesch tzt f r die relevanten Objekte 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer Klicken Sie im Navigationsbereich von Benutzer amp Computer mit der rechten Maustaste auf das gew nschte Objekt und w hlen Sie Eigenschaften Die Eigenschaften des ausgew hlten Objekts werden angezeigt Wenn Sie f r das Objekt das Zugriffsrecht Schreibgesch tzt haben werden die Eigenschaften im Dialog ausgegraut und Sie k nnen diese nicht bearbeiten 11 11 1 11 1 1 Administratorhilfe SafeGuard Enterprise Sicherheitsbeauftragte SafeGuard Enterprise kann von einem oder mehreren Sicherheitsbeauftragten administriert w
368. n den Aktionsbereich Ein Dialog in dem Sie gefragt werden ob der Benutzer Besitzer aller Computer werden k nnen soll wird angezeigt Ist f r einen Computer im SafeGuard Management Center kein Besitzer festgelegt wird der erste Benutzer der sich an diesen Computer anmeldet automatisch als Besitzer eingetragen Damit hat er das Recht anderen Benutzern Zugriff auf diesen Computer zu erlauben Voraussetzung daf r ist dass er das Recht Kann Besitzer werden besitzt Beantworten Sie diese Frage mit Ja kann der Benutzer wenn er sich als erster an diesen Computer anmeldet Besitzer werden und damit weiteren Benutzern Zugriff gew hren Beantworten Sie diese Frage mit Nein ist der Benutzer nicht Besitzer dieses Computers F r ein Service Konto ist es in der Regel nicht notwendig dass der Inhaber dieses Kontos Besitzer der Computer werden kann Diese Einstellung kann nach der initialen Zuweisung ge ndert werden Nach der Beantwortung der Frage werden alle Computer aus der zugewiesenen Gruppe im Aktionsbereich angezeigt Der Benutzer darf sich jetzt an allen Computern anmelden die so zugewiesen wurden Die Zuweisung einer Benutzergruppe an einen einzelnen Computer funktioniert analog zu dieser Beschreibung 215 SafeGuard Enterprise ar 271 216 Token und Smartcards Hinweis Token und Smartcards k nnen nicht f r Mac OS X Endpoints konfiguriert werden SafeGuard Enterprise bietet erweiterte Sicherheit d
369. n des Dialogs Recovery f r die Anmeldung Klicken Sie anschlie end auf Jetzt suchen Eine Liste mit Benutzernamen wird angezeigt W hlen Sie den gew nschten Namen und klicken Sie auf OK Der Benutzername wird auf der Seite Recovery Typ angezeigt Geben Sie den Benutzernamen direkt ein Stellen Sie sicher dass der Name korrekt geschrieben ist Klicken Sie auf Weiter Eine Seite f r die Eingabe des Challenge Codes wird angezeigt Geben Sie den vom Benutzer erhaltenen Challenge Code ein und klicken Sie auf Weiter Der Challenge Code wird gepr ft Wenn der Code nicht korrekt eingegeben wurde wird unterhalb des Blocks der den Fehler enth lt der Text Ung ltige Challenge angezeigt Wenn der Challenge Code korrekt eingegeben wurde werden die vom SafeGuard Enterprise Client angeforderte Aktion sowie die m glichen Recovery Aktionen auf dem Client angezeigt Die m glichen Response Aktionen richten sich nach den Aktionen die auf Client Seite beim Aufrufen der Challenge angefordert wurden Wenn auf Client Seite zum Beispiel Crypto Token erforderlich angefordert wurde stehen f r die Response die Aktionen SGN Client mit Benutzeranmeldung booten und SGN Client ohne Benutzeranmeldung booten zur Verf gung 10 W hlen Sie die Aktion die der Benutzer ausf hren soll 29 2 6 29 2 6 1 Administratorhilfe 11 Wenn Sie SGN Client mit Benutzeranmeldung booten ausgew hlt haben k nnen Sie zus tzlich auch die Option Benutzer
370. n einer Challenge im KeyRecovery Tool 29 2 6 5 248 1 Klicken Sie unten im Bereich Quick Launch des Windows PE Dateimanagers auf das KeyRecovery Symbol um das KeyRecovery Tool zu ffnen Das Key Recovery Tool zeigt die Schl ssel ID verschl sselter Laufwerke Das Tool startet und zeigt eine Liste aller Volumes mit den jeweiligen Verschl sselungsinformationen Schl ssel ID R Key xl SafeGuard k Language select Engish 1033 au W hlen Sie das Volume das Sie entschl sseln m chten und klicken Sie auf Import mit C R um den Challenge Code zu erzeugen Die Datei mit dem virtuellen Client wird als Referenz in der SafeGuard Enterprise Datenbank verwendet und in der Challenge angegeben Der Challenge Code wird erzeugt und angezeigt bermitteln Sie den Namen des virtuellen Clients und den Challenge Code an den Helpdesk z B ber Telefon oder eine Textmitteilung Hierzu steht eine Buchstabierhilfe zur Verf gung Best tigen des virtuellen Client Voraussetzung Der virtuelle Client muss im SafeGuard Management Center unter Virtuelle Clients angelegt worden sein und er muss in der Datenbank zur Verf gung stehen 1 Klicken Sie im SafeGuard Management Center auf Extras gt Recovery um den Recovery Assistenten zu ffnen W hlen Sie unter Recovery Typ die Option Virtueller Client Geben Sie den Namen des virtuellen Client ein den Sie vom Benutzer erhalten haben Hie
371. nbank zu speichern Die Rolle wurde ge ndert Kopieren einer Rolle Um eine Rolle anzulegen die hnliche Eigenschaften wie eine bereits vorhandene Rolle hat k nnen Sie die vorhandene Rolle als Vorlage benutzen Sie k nnen eine vordefinierte oder eine benutzerdefinierte Rolle als Vorlage ausw hlen Voraussetzung Die Verwendung von vorhandenen Rollen als Vorlage ist nur dann m glich wenn der derzeit authentisierte Sicherheitsbeauftragte alle Rechte hat die in dieser spezifischen Rollenvorlage enthalten sind Diese Funktion ist also u U f r Sicherheitsbeauftragte deren zul ssige Aktionen begrenzt sind nicht verf gbar 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf die Rolle die Sie kopieren m chten und w hlen Sie Neu gt Neue Kopie der Rolle Unter Neue benutzerdefinierte Rolle werden alle Eigenschaften der vorhandenen Rolle bereits vorausgew hlt 3 Geben Sie einen neuen Namen f r diese Rolle ein und ndern Sie die Eigenschaften nach Wunsch 4 Klicken Sie auf das Speichern Symbol in der Symbolleiste um Ihre nderungen in der Datenbank zu speichern Die neue Rolle ist angelegt L schen einer Rolle Hinweis Vordefinierte Rollen k nnen nicht gel scht werden Voraussetzung Um eine Rolle zu l schen ben tigen Sie das Recht zum Einsehen und L schen von Sicherheitsbeauftragtenrollen 1 Klicken Sie im SafeGuard
372. nchronisierung zwischen dem Endpoint und dem SafeGuard Enterprise Server gibt der Status Dialog auf dem Endpoint an dass dieser Bereit f r Zertifikatwechsel ist Der Benutzer muss nun einen Zertifikatwechsel auf dem Endpoint Computer initiieren Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Benutzerhilfe Nach dem Zertifikatwechsel auf dem Endpoint wird das Zertifikat w hrend der n chsten Synchronisierung auch auf dem SafeGuard Enterprise Server erneuert Dadurch wird das alte Zertifikat aus der Zertifikate Registerkarte des Benutzers im SafeGuard Management Center entfernt Der neue Token ist nun der Standard Token f r den Benutzer Hinweis Im SafeGuard Management Center k nnen beide Zertifikate separat gel scht werden Ist nur ein Standby Zertifikat verf gbar so wird das n chste Zertifikat als Standardzertifikat zugewiesen Importieren eines Zertifikats aus einer Datei auf einen Token Voraussetzung Der Token ist ausgestellt F r einen Token mit Kerberos Unterst tzung f r zentral verwaltete Endpoints m ssen Sie diesen Vorgang ausw hlen Das Zertifikat muss von SafeGuard Enterprise erkannt werden und auf den Token aufgebracht werden Falls bereits ein automatisch generiertes Zertifikat existiert wird es durch das importierte Zertifikat berschrieben So f gen Sie den privaten Teil des Zertifikats p12 Datei aus einer Datei auf dem Token hinzu 1 Klicken Sie im SafeGuard Management Center auf Token
373. nd eine Beschreibung f r den Schl ssel ein b Um den Schl ssel im Schl sselring des Benutzers zu verbergen w hlen Sie das Kontrollk stchen Schl ssel verbergen 5 Klicken Sie auf OK Der Schl ssel wird zugewiesen und in der Schl ssel Registerkarte angezeigt Verbergen von Schl sseln Um zu vermeiden das zu viele nicht benutzte Schl ssel im Schl sselring des Benutzers auf dem Endpoint angezeigt werden k nnen Sie festlegen dass Schl ssel ausgeblendet werden sollen Schl ssel die nicht im Schl sselring des Benutzers angezeigt werden k nnen trotzdem noch f r den Zugriff auf verschl sselte Dateien benutzt werden Sie k nnen jedoch nicht f r das Verschl sseln neuer Dateien verwendet werden So verbergen Sie Schl ssel 1 Klicken Sie im SafeGuard Management Center auf Schl ssel amp Zertifikate 2 Klicken Sie im Navigationsbereich auf Schl ssel und w hlen Sie Zugewiesene Schl ssel Das Fenster Zugewiesene Schl ssel mit der Spalte Schl ssel verbergen wird angezeigt 3 Hier gibt es zwei M glichkeiten W hlen Sie das Kontrollk stchen Schl ssel verbergen f r den gew nschten Schl ssel W hlen Sie einen oder mehrere Schl ssel aus und ffnen Sie das Kontextmen per Rechtsklick W hlen Sie Schl ssel vor Benutzer verbergen 4 Speichern Sie Ihre nderungen in der Datenbank 73 SafeGuard Enterprise 12 2 12 2 1 74 Die angegebenen Schl ssel werden nicht im Schl sselring des
374. nden Sophos Produkte installiert sind k nnen von SafeGuard Enterprise verwaltet werden und oder Statusinformationen melden Die Statusinformationen werden im SafeGuard Management Center angezeigt Sophos SafeGuard File Encryption f r Mac 6 1 und h her Sophos SafeGuard Disk Encryption f r Mac 6 1 Sophos SafeGuard Native Device Encryption 7 0 Sophos SafeGuard Disk Encryption for Mac 6 nur Berichte Hinweis Empfehlungen Besonderheiten und Beschr nkungen bei der Verwendung von SafeGuard File Encryption oder Disk Native Device Encryption f r Mac finden Sie in der Administratorhilfe dieser Produkte Bestands und Statusinformationen f r Macs F r Macs liefert der Bestand u a folgende Informationen zu den einzelnen Maschinen Die angezeigten Daten k nnen variieren je nachdem welches Sophos Produkt installiert ist Name des Mac Betriebssystem POA Typ POA Status Anzahl an verschl sselten Laufwerken Anzahl an unverschl sselten Laufwerken Letzter Server Kontakt nderungsdatum Informationen dazu ob das aktuelle Unternehmenszertifikat verwendet wird Erzeugen eines Konfigurationspakets f r Macs Ein Konfigurationspaket f r einen Mac enth lt die relevanten Serverinformationen sowie das Unternehmenszertifikat Der Mac benutzt diese Informationen zum Zur ckmelden von 293 SafeGuard Enterprise 294 Statusinformationen SafeGuard POA an aus Verschl sselungsstatus usw Die Statusi
375. nder folgen sowohl in auf als auch in absteigender Reihenfolge abc oder cba die aus drei oder mehr identischen Zeichen aaa oder 111 bestehen Benutzername als PIN verboten Bestimmt ob Benutzername und PIN identisch sein d rfen Ja Windows Benutzername und PIN m ssen unterschiedlich sein Richtlinieneinstellung Administratorhilfe Erkl rung Nein Benutzer darf seinen Windows Benutzernamen gleichzeitig als PIN verwenden Liste nicht erlaubter PINs benutzen Bestimmt ob bestimmte Zeichenfolgen f r PINs nicht verwendet werden d rfen Abgelegt sind die Zeichenfolgen in der Liste nicht erlaubter PINs z B Datei im Format txt Liste nicht erlaubter PINs Definiert Zeichenfolgen die in einer PIN nicht verwendet werden d rfen Wenn ein Benutzer eine verbotene PIN verwendet wird eine Fehlermeldung ausgegeben Voraussetzung Eine Liste eine Datei mit verbotenen PINs muss im Management Center unter Texte im Richtlinien Navigationsbereich registriert werden Erst nach der Registrierung ist die Liste verf gbar Maximale Dateigr e 50 KB Unterst tztes Format Unicode Nicht erlaubte PINs definieren In der Liste werden die verbotenen PINs durch einen Zeilenumbruch voneinander getrennt Platzhalter An der Position an der Sie den Zeichentyp eingeben k nnen mehrere beliebige Zeichen in der PIN enthalten sein Beispielsweise wird durch 123 jede Zeichenfo
376. ndet Diese Art von Dateien ist sowohl f r zentral verwaltete Computer als auch f r Standalone Endpoints verf gbar Sophos SafeGuard Clients Standalone Challenge Response f r Standalone Endpoints Diese Endpoints haben nie eine Verbindung zum SafeGuard Enterprise Server Die erforderlichen Recovery Informationen basieren auf der Schl ssel Recovery Datei Diese Datei wird auf jedem Endpoint w hrend der Installation der Sophos SafeGuard Verschl sselungssoftware erzeugt Um in diesem Fall Challenge Response zur Verf gung zu stellen muss die Schl ssel Recovery Datei dem SafeGuard Enterprise Helpdesk zur Verf gung stehen zum Beispiel auf einer Netzwerkfreigabe Hinweis Dar ber hinaus steht das Recovery Verfahren Local Self Help zur Verf gung f r das keine Unterst tzung durch den Helpdesk ben tigt wird Challenge Response f r SafeGuard Enterprise Clients Managed SafeGuard Enterprise bietet ein Recovery Verfahren f r in der Datenbank registrierte Endpoints f r verschiedene Recovery Szenarien z B Kennwort Recovery Das Challenge Response Verfahren wird sowohl f r native SafeGuard Enterprise Computer als auch f r mit BitLocker verschl sselte Endpoints unterst tzt Das System ermittelt den Computertyp dynamisch Der Recovery Workflow wird dementsprechend angepasst Recovery Aktionen f r SafeGuard Enterprise Clients Der Recovery Workflow richtet sich danach f r welchen Typ von Endpoint das Recovery Verfahren angefo
377. ndungen in einer Richtlinie definieren Jede Zeile im Editor Listenfeld definiert jeweils eine Anwendung Anwendungsnamen m ssen auf exe enden Anwendungsnamen m ssen als Fully Qualified Paths mit Laufwerk Verzeichnis definiert werden Es reicht nicht aus nur den Dateinamen einzugeben zum Beispiel beispiel exe Aus Gr nden der Benutzerfreundlichkeit zeigt die Einzelzeilenansicht der Anwendunggsliste nur die Dateinamen getrennt durch Strichpunkte 4 Speichern Sie Ihre nderungen Hinweis Die Richtlinieneinstellungen Vertrauensw rdige Anwendungen und Ignorierte Anwendungen sind Computereinstellungen Die Richtlinie muss daher Computern nicht Benutzern zugewiesen werden Andernfalls werden die Einstellungen nicht wirksam Konfigurieren von ignorierten Ger ten f r SafeGuard Data Exchange Sie k nnen Ger te als ignoriert definieren um sie von der Dateiverschl sselung auszuschlie en Sie k nnen nur vollst ndige Ger te ausschlie en 1 Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine Einstellungen an oder w hlen Sie eine vorhandene aus 2 Klicken Sie unter Dateiverschl sselung auf die Dropdown Schaltfl che des Felds Ignorierte Ger te 24 6 1 24 1 Administratorhilfe 3 Geben Sie die entsprechenden Ger tenamen ein um spezifische Ger te von der Verschl sselung auszuschlie en Dies ist zum Beispiel n tzlich wenn Sie Systeme von Dritt Anbietern ausschlie en m sse
378. ne Richtlinie vom Typ Authentisierung aus 3 W hlen Sie unter Anmeldeoptionen bei Anmeldemodus die Option Token 4 Geben Sie bei PIN f r automatische Anmeldung mit Token die Default PIN an die f r die automatische Anmeldung verwendet werden soll In diesem Fall m ssen keine PIN Regeln beachtet werden Hinweis Diese Einstellung steht nur dann zur Verf gung wenn Sie als m glichen Anmeldemodus die Option Token gew hlt haben 5 W hlen Sie bei Durchgehende Anmeldung an Windows die Option Durchgehende Anmeldung deaktivieren Wenn Sie diese Einstellung nicht ausw hlen und eine Default PIN angeben k nnen Sie die Richtlinie nicht speichern Wenn Sie die Durchgehende Anmeldung an Windows dennoch aktivieren m chten k nnen Sie eine weitere Richtlinie vom Typ Authentisierung mit der aktivierten Option erstellen und sie derselben Computergruppe zuordnen Im RSOP Resulting Set of Policies sind somit beide Richtlinien aktiv 6 Definieren Sie nach Wunsch weitere Token Einstellungen 7 Speichern Sie Ihre Einstellungen und ordnen Sie die Richtlinie den relevanten Computern oder Computergruppen zu Wenn die automatische Anmeldung auf dem Endpoint erfolgreich durchgef hrt werden konnte wird Windows gestartet Ail 27 1 1 Administratorhilfe Schl gt die automatische Anmeldung auf dem Endpoint fehl so wird der Benutzer an der SafeGuard Power on Authentication aufgefordert die Token PIN einzugeben Zuweisung von Zertifikate
379. nen Maschinenrichtlinien bei Richtlinien Loopback der Wert Computereinstellungen wiederholen werden die Benutzerrichtlinien mit den Maschinenrichtlinien vereinigt Nach der Vereinigung werden die Maschinenrichtlinien nochmals geschrieben und berschreiben gegebenenfalls Einstellungen aus den Benutzerrichtlinien Ist eine Einstellung in beiden Richtlinien vorhanden so ersetzt der Wert der Maschinenrichtlinie den Wert der Benutzerrichtlinie Ergibt die Vereinigung der einzelnen Maschinenrichtlinien den Standardwert Kein Richtlinien Loopback so gilt Benutzereinstellungen vor Maschineneinstellungen Ausf hrungsreihenfolge der Richtlinien Benutzer ignorieren Computer Computereinstellungen wiederholen Computer gt Benutzer gt Computer Die erste Maschinen Ausf hrung wird f r die Richtlinien ben tigt die schon vor der Benutzeranmeldung z B Hintergrundbild bei der Anmeldung geschrieben werden Kein Richtlinien Loopback Standardeinstellung Computer gt Benutzer Sonstige Definitionen Die Entscheidung ob es sich um eine Benutzer bzw Maschinenrichtlinie handelt h ngt von der Herkunft der Richtlinie ab Ein Benutzerobjekt bringt eine Benutzerrichtlinie mit ein Computer bringt eine Computerrichtlinie mit Dieselbe Richtlinie kann bei unterschiedlicher Sicht sowohl Computer als auch Benutzerrichtlinie sein Benutzerrichtlinie Jene Richtlinie die der Benutzer zur Auswertung bereitstellt Wenn eine Ric
380. neuern Wenden Sie sich an Ihren Vertriebspartner um Ihre Lizenz zu erweitern bzw zu erneuern Sie erhalten eine neue Lizenzdatei zum Import in die SafeGuard Enterprise Datenbank Neue Lizenzdatei importieren Wenn Sie Ihre Lizenz bereits erneuert bzw erweitert haben importieren Sie die erhaltene Lizenzdatei in die SafeGuard Enterprise Datenbank Diese neu importierte Datei ersetzt die ung ltige Lizenzdatei Durch Umverteilen von Lizenzen oder Importieren einer g ltigen Lizenzdatei wird die Funktionalit tseinschr nkung aufgehoben und der normale Betrieb des Systems kann fortgesetzt werden 32 al Administratorhilfe Mit mehreren Datenbankkonfigurationen arbeiten Das SafeGuard Management Center erm glicht die Benutzung mehrerer Datenbankkonfigurationen Multi Tenants Wenn Sie diese Funktion nutzen m chten m ssen Sie sie w hrend der Installation aktivieren Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung Mit Multi Tenancy k nnen Sie verschiedene SafeGuard Enterprise Datenbankkonfigurationen konfigurieren und sie f r eine Instanz des SafeGuard Management Centers verwalten Dies erweist sich vor allem dann als n tzlich wenn Sie verschiedene Konfigurationen f r verschiedene Dom nen OUs oder Unternehnmensstandorte einsetzen m chten Voraussetzung Die Funktion Multi Tenancy muss ber eine Installation vom Typ Vollst ndig installiert worden sein Die initiale Konfigura
381. nformationen werden im SafeGuard Management Center angezeigt 1 W hlen Sie Pakete f r Managed Clients Klicken Sie auf Konfigurationspaket hinzuf gen Geben Sie einen beliebigen Namen f r das Konfigurationspaket ein Ordnen Sie einen prim ren SafeGuard Enterprise Server zu der sekund re Server ist OP OMN Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete nicht notwendig W hlen Sie SSL als Transportverschl sselung f r die Verbindung zwischen dem Endpoint und dem SafeGuard Enterprise Server F r Macs wird Sophos als Transportverschl sselung nicht unterst tzt Geben Sie einen Ausgabepfad f r das Konfigurationspaket ZIP an Klicken Sie auf Konfigurationspaket erstellen Die Server Verbindung f r den SSL Transportverschl sselung Modus wird validiert Wenn die Verbindung fehlschl gt wird eine Warnungsmeldung angezeigt Das Konfigurationspaket ZIP wird nun im angegebenen Verzeichnis angelegt Sie m ssen das Paket auf Ihren Macs verteilen und installieren 36 36 1 36 2 Administratorhilfe SafeGuard Enterprise und selbst verschl sselnde Opal Festplatten Selbst verschl sselnde Festplatten bieten hardware basierende Verschl sselung der Daten die auf die Festplatte geschrieben werden Die Trusted Computing Group TCG hat den anbieter unabh ngigen Opal Standard f r selbst verschl sselnde Festplatten ver ffentlicht Festplatten die dem Opal Standard
382. nfrage au erhalb der gestatteten Arbeitszeiten 805306390 Ein Beauftragter kann sich nicht selbst l schen 805306391 Der Haupt Sicherheitsbeauftragte kann nicht gel scht werden da ein zweiter Haupt Sicherheitsbeauftragte zur zus tzlichen Authentisierung erforderlich ist 805306392 Der Sicherheitsbeauftragte kann nicht gel scht werden da ein zweiter Sicherheitsbeauftragte zur zus tzlichen Authentisierung erforderlich ist 805306393 Der Pr fungsbeauftragte kann nicht gel scht werden da ein weiterer Pr fungsbeauftragter zur zus tzlichen Authentisierung erforderlich ist 805306394 Der Recovery Beauftragte kann nicht gel scht werden da ein Recovery Beauftragter zur zus tzlichen Authentisierung erforderlich ist 805306395 Der Beratungsbeauftragte kann nicht gel scht werden da ein Beratungsbeauftragter zur zus tzlichen Authentisierung erforderlich ist 805306396 Die Funktion des Haupt Sicherheitsbeauftragten kann nicht entfernt werden da ein zweiter Haupt Sicherheitsbeauftragter zur zus tzlichen Authentisierung erforderlich ist 323 SafeGuard Enterprise 324 Fehler ID 805306397 Anzeige Die Funktion des Sicherheitsbeauftragten kann nicht entfernt werden da ein Sicherheitsbeauftragter zur zus tzlichen Authentisierung erforderlich ist 805306398 Die Funktion des Pr fungsbeauftragten kann nicht entfernt werden da ein Pr fungsbeauftragter zur zus tzliche
383. ng C R mit Bedingung Bedingung Option Ergebnis Benutzer Benutzeranmeldung Benutzeranmeldung Dom nen Controller zur muss sein und Anzeige des verf gbar Kennwortanzeige Windows Kennwort Kennworts vom Benutzer ndern abgelehnt e e Ja Ja Ja Ja Sen Ja entf Nein entf Nein en Starten des Recovery Assistenten Damit Sie in der Lage sind ein Recovery Verfahren auszuf hren stellen Sie sicher dass Sie ber die erforderlichen Rechte und Berechtigungen verf gen 1 Melden Sie sich am SafeGuard Management Center an 2 Klicken Sie auf Extras gt Recovery in der Men leiste Der SafeGuard Recovery Assistent wird gestartet Sie k nnen w hlen welchen Recovery Typ Sie verwenden m chten 241 SafeGuard Enterprise 29 2 4 20 29 29 2 5 29 2 5 1 1 242 Recovery Typen W hlen Sie den Recovery Typ den Sie verwenden m chten Folgende Recovery Typen stehen zur Verf gung SafeGuard Enterprise Clients managed Challenge Response f r zentral durch das SafeGuard Management Center verwaltete Endpoints Sie werden im Bereich Benutzer und Computer des SafeGuard Management Centers angezeigt Virtuelle Clients In komplexen Recovery Situationen zum Beispiel wenn die SafeGuard POA besch digt ist l sst sich der Zugriff auf verschl sselte Daten auf einfache Art und Weise mit Challenge Response wieder herstellen In diesem Fall werden spezifische Dateien mit der Bezeichnung virtuelle Clients verwe
384. ng mit den Windows Anmeldeinformationen muss die p12 Datei mit dem privaten Schl ssel in der SafeGuard Enterprise Datenbank vorhanden sein F r die Anmeldung mit Token bzw Smartcard PIN muss sich die p12 Datei mit dem privaten Schl ssel auf dem Token bzw der Smartcard befinden Hinweis Wenn Sie ein Zertifikat erstellen wenn Sie einen Benutzer h her stufen dann ist das Kennwort des Zertifikats f r die Anmeldung am SafeGuard Management Center notwendig Es ist das Kennwort des Zertifikats einzugeben obwohl nach dem Windows Kennwort gefragt wird Das ist auch der Fall bei der Anmeldung zum SafeGuard Enterprise Web Help Desk Ernennen eines Benutzers zum Sicherheitsbeauftragten Voraussetzung Um einen Benutzer zum Sicherheitsbeauftragten zu ernennen m ssen Sie ein Haupt Sicherheitsbeauftragter oder ein Sicherheitsbeauftragter mit den erforderlichen Rechten sein 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Klicken Sie mit der rechten Maustaste auf den Benutzer den Sie zum Sicherheitsbeauftragten machen m chten W hlen Sie Diesen Benutzer zum Sicherheitsbeauftragten machen 3 Der n chste Schritt richtet sich danach ob f r den ausgew hlten Benutzer ein Benutzerzertifikat verf gbar ist Wurde dem Benutzer bereits ein Benutzerzertifikat zugewiesen so wird der Rollenauswahl Dialog angezeigt Fahren Sie mit Schritt 4 fort Ist kein Benutzerzertifikat verf gbar so werden Sie in einer Mel
385. ng stehen 4 W hlen Sie den Editor den Sie verwenden m chten Das Skript wird im ausgew hlten Editor ge ffnet 5 Nehmen Sie Ihre nderungen vor und speichern Sie sie Der Editor wird geschlossen und der Dialog lt Task Name gt Eigenschaften wird wieder angezeigt 34 5 3 34 5 4 34 5 4 1 Administratorhilfe 6 Klicken Sie auf OK Das ge nderte Skript wird in der Datenbank gespeichert Export von Skripts 1 W hlen Sie in der SafeGuard Management Center Men leiste Extras gt Taskplaner Der Dialog Taskplaner mit einer bersicht ber die geplanten Tasks wird angezeigt 2 W hlen Sie den gew nschten Task und klicken Sie auf die Schaltfl che Eigenschaften Der lt Task Name gt Eigenschaften Dialog mit den Eigenschaften des ausgew hlten Tasks wird angezeigt 3 Klicken Sie auf die Schaltfl che Exportieren neben dem Feld Skript Ein Speichern unter Dialog wird angezeigt 4 W hlen Sie den Speicherort zum Speichern des Skripts ein und klicken Sie auf Speichern Das Skript wird am angegebenen Speicherort gespeichert Vordefinierte Skripte f r periodische Tasks In SafeGuard Enterprise stehen folgende vordefinierte Skripte zur Verf gung ActiveDirectorySynchronization vbs Verwenden Sie dieses Skript f r die automatische Synchronisierung zwischen dem Active Directory und SafeGuard Enterprise EventLogDeletion vbs Verwenden Sie dieses Skript um protokollierte Ereignisse automatisch zu l sche
386. ngezeigt 4 Ziehen Sie die gew nschte POA Gruppe aus POA Gruppen in den POA Gruppenzuweisung Aktionsbereich Gruppenname und Gruppen DSN der POA Gruppe werden im Aktionsbereich angezeigt 5 Speichern Sie Ihre nderungen in der Datenbank Alle Mitglieder der zugewiesenen POA Gruppe werden an alle Endpoints im ausgew hlten Container bertragen Sie k nnen die Zuweisung aufheben oder die zugewiesene POA Gruppe ndern indem Sie wie beschrieben vorgehen und Gruppen von und in die Registerkarte POA Gruppenzuweisung und den Bereich POA Gruppen ziehen Wenn Sie Ihre nderungen in der Datenbank gespeichert haben gilt die neue Zuweisung Zuweisen von POA Benutzern zu Standalone Endpoints Um POA Benutzer zu Standalone Endpoints zuzuweisen ben tigen Sie die Zugriffsrechte Schreibgesch tzt oder Voller Zugriff f r die relevante POA Gruppe POA Benutzer werden Standalone Endpoints im Standalone Modus betrieben in Konfigurationspaketen zugewiesen 1 W hlen Sie im SafeGuard Management Center aus dem Men Extras den Befehl Konfigurationspakete 2 W hlen Sie ein vorhandenes Konfigurationspaket aus oder erstellen Sie ein neues 3 W hlen Sie eine POA Gruppe aus die Sie zuvor im Bereich Benutzer amp Computer des SafeGuard Management Center erstellt haben Dar ber hinaus steht standardm ig eine keine Liste Gruppe zur Auswahl zur Verf gung Diese Gruppe kann dazu verwendet werden die Zuweisung einer POA Gruppe auf Endpoin
387. nicht erneut ge ndert werden darf Diese Einstellung verhindert dass ein Benutzer sein Kennwort innerhalb eines bestimmten Zeitraums beliebig oft ndern kann Bei einem durch Windows erzwungenen Kennwortwechsel oder bei einem Wechsel des Kennworts nach der Anzeige der Warnung dass das Kennwort in x Tagen abl uft wird diese Einstellung nicht ausgewertet Beispiel Die Benutzerin Schmidt definiert ein neues Kennwort z B 13jk56 F r sie oder f r die Gruppe der sie zugeordnet ist ist ein Wechsel nach mind f nf Tagen festgelegt Bereits nach zwei Tagen will sie das Kennwort 13jk56 ndern Dies wird abgelehnt da Frau Schmidt erst nach f nf Tagen ein neues Kennwort definieren darf Ist diese Option aktiviert muss der Benutzer nach Ablauf des eingestellten Zeitraums ein neues Kennwort definieren Warnung vor Ablauf Tage ALLGEMEIN Ab n Tagen vor Ablauf des Kennworts wird eine Warnmeldung ausgegeben und der Benutzer darauf hingewiesen dass er in n Tagen sein Kennwort ndern muss Er erh lt daraufhin die M glichkeit das Kennwort sofort zu ndern Kennwort in POA verbergen Kennwortgenerationen Gibt an ob die Zeichen bei der Eingabe des Kennworts verborgen werden Ist die Option aktiviert wird w hrend der Eingabe des Kennworts bei der POA nichts angezeigt Ansonsten wird f r jedes eingegebene Zeichen ein Stern angezeigt Legt fest wann bereits verwendete Kennw rter wieder benutz
388. nienvererbung stoppen wenn gew nscht e Klicken Sie auf OK Die Arbeitsgruppe wird erzeugt Unterhalb des Arbeitsgruppen Containers wird automatisch das Standardverzeichnis Automatisch registriert angelegt Es kann weder umbenannt noch gel scht werden L schen von Arbeitsgruppen Um eine Arbeitsgruppe zu l schen ben tigen Sie das Zugriffsrecht Voller Zugriff f r die relevante Arbeitsgruppe Falls die Arbeitsgruppe Mitglieder hatte werden diese ebenfalls gel scht Bei der n chsten Anmeldung werden sie wieder autoregistriert Um eine Arbeitsgruppe zu l schen ben tigen Sie das Zugriffsrecht Voller Zugriff f r alle beteiligten Objekte 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Rechts klicken Sie im rechten Navigationsbereich auf der Arbeitsgruppe die gel scht werden soll und w hlen Sie L schen 3 Klicken Sie zur Best tigung auf OK Die Arbeitsgruppe wird gel scht Eventuelle Mitglieder werden ebenfalls gel scht Hinweis Wenn Sie das Zugriffsrecht Voller Zugriff nicht f r alle Mitglieder der Arbeitsgruppe haben schl gt das L schen der Arbeitsgruppe fehl und es wird eine Fehlermeldung angezeigt Erstellen einer neuen Dom ne Als Sicherheitsbeauftragter mit den n tigen Berechtigungen k nnen Sie unter dem Stammverzeichnis eine neue Dom ne anlegen Sie sollten nur neue Dom nen anlegen wenn Sie keine Dom nen aus dem Active Directory AD importieren wollen oder k nnen z
389. nisse 1 Klicken Sie im SafeGuard Management Center auf Berichte 2 Markieren Sie in der Ereignisanzeige die Ereignisse die gel scht werden sollen 3 Um ausgew hlte Ereignisse zu l schen w hlen Sie in der SafeGuard Management Center Men leiste Aktionen gt Ereignisse l schen oder klicken Sie in der Symbolleiste auf das Symbol Ausgew hlte Ereignisse l schen Um alle Ereignisse zu l schen w hlen Sie in der SafeGuard Management Center Men leiste Aktionen gt Alle Ereignisse l schen oder klicken Sie in der Symbolleiste auf das Symbol Alle Ereignisse l schen 4 Vor dem L schen der ausgew hlten Ereignisse wird das Fenster Ereignisse sichern als zum Erstellen einer Sicherungsdatei angezeigt siehe Erstellen einer Sicherungsdatei Seite 278 Die ausgew hlten Ereignisse werden aus dem Ereignisprotokoll gel scht Erstellen einer Sicherungsdatei Sicherungsdateien von den in der Ereignisanzeige angezeigten Berichten lassen sich im Rahmen des L schvorgangs erstellen 1 Wenn Sie Aktionen gt Ereignisse l schen oder Aktionen gt Alle Ereignisse l schen w hlen wird vor dem L schen der Ereignisse das Fenster Ereignisse sichern als zur Erstellung einer Sicherungsdatei angezeigt 2 Um eine Sicherung des Ereignisprotokolls in Form einer XML Datei zu erstellen geben Sie einen Dateinamen und einen Speicherort an und klicken Sie auf OK ffnen einer Sicherungsdatei 1 Klicken Sie im SafeGuard Management Center auf Berich
390. nisse kann die Windows Ereignisanzeige oder die SafeGuard Enterprise Datenbank sein In das jeweilige Ziel schreibt die Protokollierung nur Ereignisse die mit einem SafeGuard Produkt verkn pft sind Die Ausgabeziele f r zu protokollierende Ereignisse werden in der Protokollierungsrichtlinie festgelegt 271 SafeGuard Enterprise 33 3 1 Windows Ereignisanzeige 3332 33 4 272 Ereignisse f r die Sie in der Protokollierungsrichtlinie die Windows Ereignisanzeige als Ziel festlegen werden in der Windows Ereignisanzeige abgelegt ber die Windows Ereignisanzeige lassen sich Protokolle f r System Sicherheits und Anwendungs Ereignisse anzeigen und verwalten Sie k nnen diese Ereignisprotokolle auch speichern F r diese Vorg nge ben tigen Sie einen Administrator Account f r den jeweiligen Endpoint In der Ereignisanzeige wird jeweils ein Fehlercode kein beschreibender Text des Ereignisses angezeigt Hinweis Eine Voraussetzung um SafeGuard Enterprise Events in der Windows Ereignisanzeige sehen zu k nnen ist dass ein Client config msi am Endpoint installiert ist Hinweis Dieses Kapitel beschreibt das Einsehen sowie die Verwaltung und Analyse der Ereignisprotokolle im SafeGuard Management Center Weitere Informationen zur Windows Ereignisanzeige finden Sie in Ihrer Microsoft Dokumentation SafeGuard Enterprise Datenbank Ereignisse f r die Sie in der Protokollierungsrichtlinie die SafeGuard Enterprise Datenbank als Zie
391. nistration Richtlinie ge ndert Administration Richtlinie gel scht Administration Richtlinie der OU zugewiesen und aktiviert Administration Zugewiesene Richtlinie wurde von OU entfernt Administration Erstellen der Richtlinie fehlgeschlagen 303 SafeGuard Enterprise 304 Kategorie Administration Ereignis ID Beschreibung ndern der Richtlinie fehlgeschlagen Administration Zuweisung und Aktivierung der Richtlinie zu OU fehlgeschlagen Administration Entfernen der zugewiesenen Richtlinie von OU ist fehlgeschlagen Administration Richtlinien Gruppe angelegt Administration Richtlinien Gruppe ge ndert Administration Richtlinien Gruppe gel scht Administration Anlegen der Richtlinien Gruppe fehlgeschlagen Administration ndern der Richtlinien Gruppe fehlgeschlagen Administration Folgende Richtlinie wurde der Richtlinien Gruppe hinzugef gt Administration Folgende Richtlinie wurde aus der Richtlinien Gruppe entfernt Administration Hinzuf gen der Richtlinie zur Richtlinien Gruppe fehlgeschlagen Administration Entfernen der Richtlinie aus Richtlinien Gruppe fehlgeschlagen Administration Protokollierte Ereignisse exportiert Administration Exportieren der protokollierten Ereignisse fehlgeschlagen Administration Protokollierte Ereignisse gel scht Administration L
392. nmeldung sein Kennwort PIN ge ndert Authentisierung Kennwort PIN Qualit t Authentisierung Versto gegen Kennwort PIN Richtlinie Authentisierung Der LocalCache war besch digte und wurde restauriert Authentisierung Ung ltige Passwort Blacklist Konfiguration Authentisierung Der empfangene Response Code erlaubt es dem Benutzer sich sein Passwort anzeigen zu lassen Authentisierung Angemeldeter Benutzer ist Service Account Authentisierung Anmeldung Authentisierung Service Account Liste gel scht Authentisierung SGN Windows Benutzer hinzuf gen Authentisierung SGN Windows Benutzer von der Maschine entfernen Authentisierung Entfernen des UMA Benutzers Authentisierung R ckgabewert der Computrace berpr fung Authentisierung Computrace berpr fung konnte nicht ausgef hrt werden Authentisierung Kernelinitialisierung erfolgreich abgeschlossen Authentisierung Kernel Initialisierung ist fehlgeschlagen Authentisierung Maschinenschl ssel wurden auf dem Client erfolgreich erzeugt Authentisierung Maschinenschl ssel konnten auf dem Client nicht erzeugt werden Interner Code 0x 1 299 SafeGuard Enterprise 300 Kategorie Authentisierung Ereignis ID Beschreibung Abfrage der Platteneigenschaften oder Opal Initialisierung ist fehlgeschlagen Interner Code 0x 1 Authentisierung
393. nnnnnn 235 29 2 Recovery mit Challenge Response 2rsnsunnnnennnnnnnnnnnnnnnnnnnnnnnnnnnn 239 29 3 Recovery f r BitL cker un 32 4 ie Hehe 254 29 4 Recovery Schl ssel f r Mac Endpoints 2000snnennnnnnnnnnennnnnnnnnn 255 29 5 System Recovery f r die Sophos SafeGuard Festplattenverschl sselung 256 30 Wiederherstellen einer besch digten SafeGuard Enterprise Installation 261 31 Wiederherstellen einer besch digten Datenbankkonfiguration 44n nn 262 32 Bestands und Statusinformationen uuuuunnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnen anna 263 32 1 Mac Endpoints im Bestand ur44esennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 263 32 2 Einsehen von Bestandsinformationen uusernnnnnnnnennnnnnnennnnnnnn ernennen 263 32 3 Anzeigen ausgeblendeter Spalten rsssnnnennsnnennnnnnnnnnnnnnnnnnnnnnn 264 32 4 Filtern von Bestandsinformationen uuerssnssnsennnnnnnnnennnnnnnennnnnnnnn ernennen 264 32 5 Aktualisieren von Bestandsinformationen 44sennnnnnnnennnnnnnnennen nen 265 326 ber Dicke ne ee REE 265 32 7 Registerkarte Laufwerke unneensnnnenennnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnennn nn 266 32 8 Registerkarte Benutzer uuerssnneseensnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnn nn 267 32 9 Registerkarte Module umrn444440Rnnnnnnnannnnnnnnannnnnn
394. nnnnnnnnnnnannnnnnnnn nn 268 32 10 Registerkarte Unternehmenszertifikat 4444nnnnenn nennen 268 32 11 Erstellen von Bestandsberichten 4uuennnnnnnennnnnnnnnnnnnnnnnnennn nn 268 33 Berichten tler kn enthielten led Fresken 270 33 1 Anwendungsgebiete uuserssnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnn nn 271 33 2 Voraussetzung nn EE rel Ee el EEE IE RE RI Ehren 271 33 3 Ziel f r protokollierte Ereignisse uuserssnnennnnnnnnnnnnennnnnnnnnnnnnnnnnnnnn nn 271 33 4 Konfigurieren von Einstellungen f r die Protokollierung 00 272 33 5 Einsehen von protokollierten Ereignissen urssnsesernennnnennnnnnnnennn nennen 273 33 6 Datei Tracking Bericht f r Wechselmedien und Cloud Speicher 275 33 7 Drucken von Berichten su aun 2neKeenskkstinkeineiunkekee 277 33 8 Verkettung von protokollierten Ereignissen 4uusernnnnnnnnnnnnnnnnennnnnnnn 277 33 9 Pr fen der Integrit t protokollierter Ereignisse 278 33 10 L schen ausgew hlter oder aller Ereignisse urssnsnnnnennnnnnennnnnn 278 33 11 Erstellen einer Sicherungsdatei 2400snnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnn 278 33 12 ffnen einer Sicherungsdatei n ununesenenesennsnnesnsnansannnnnnnnnnnnnnnnnennnnen 278 33 13 Regelm ige S uberung der EVENT Tabelle ber Skript 279 33 14 Texte f r Ereignisber
395. nnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 211 26 1 Benutzer Computer Zuordnung UMA im SafeGuard Management Genlenssnn ee een lenken linie ern 211 26 2 Zuweisen von Benutzer und Computergruppen usnnesssennnnnnnnnnnnnnnnnn 214 27 Token und Smartcards 2440s4snnennnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 216 27 1 Token Typen hear 216 24 2 Komp nenten mn a tree IHRE 217 27 3 Konfigurieren der Token Benutzung 4rsnseennnennnnnnnnnnnnnnnnnnnnnnnnnnnn 220 27 4 Vorbereitung f r die Benutzung von Token uuuerssnsssnnensennnnnennnnnnnnnennnn nen 220 27 5 Ausstellen eines Token 22224uummnn4nnannnnnnnnnannnnnnnnannnnnnnnnnnnnnnnnnannnnnnnnn nen 221 27 6 Konfigurieren des Anmeldemodus 44444snnnnnnnnnennnnnnnnennnnnnnnnennnn nn 223 27 7 Zuweisung von Zertifikaten uuusssrnnesnennnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnennn nn 225 27 8 Verwalten von PINS asiriad iaraa a iaa e Ea 228 27 9 Verwalten von Token und Smartcards usrsesnnnennnnnennnnnnnnnnnnnnnnnnnnnnn 229 28 Sicheres Wake on LAN WOL uurz2uunssnseensnnsnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 232 28 1 Sicheres Wake on LAN WOL Beispiel 400nnennnnnnnnnnnnnnnnennnn 232 29 REC Vvery Oplionen a araar E araa aera a aa aa raa aa aa aaa a arela 234 29 1 Recovery mit Local Self Help u r unnneensnnennnnennnnnnnnnnnnnnnnnnnnnnn
396. nnwort m ssen unterschiedlich sein Nein Windows Benutzername und Kennwort m ssen nicht unterschiedlich sein Liste nicht erlaubter Kennw rter verwenden 144 Bestimmt ob bestimmte Zeichenfolgen f r Kennw rter nicht verwendet werden d rfen Abgelegt sind die Zeichenfolgen in der Liste nicht erlaubter Kennw rter z B Datei im Format txt Richtlinieneinstellung Liste nicht erlaubter Kennw rter Administratorhilfe Erkl rung Definiert Zeichenfolgen die in einem Kennwort ausgeschlossen sind Wenn ein Benutzer ein verbotenes Kennwort verwendet wird eine Fehlermeldung ausgegeben Eine Liste eine Datei mit verbotenen Kennw rtern muss im SafeGuard Management Center unter Texte im Richtlinien Navigationsbereich registriert werden Erst nach der Registrierung ist die Liste verf gbar Maximale Dateigr e 50 KB Unterst tztes Format Unicode Nicht erlaubte Kennw rter definieren In der Liste werden die verbotenen Kennw rter durch einen neuen Zeilenanfang getrennt Platzhalter An der Position an der Sie den Zeichentyp eingeben k nnen mehrere beliebige Zeichen im Kennwort enthalten sein Beispielsweise wird durch 123 jede Zeichenfolge die 123 enth lt als Kennwort verboten Hinweis Wenn Sie nur den Platzhalter in die Liste einf gen k nnen sich Benutzer nach einer erzwungenen Kennwort nderung nicht mehr im System anmelden Benutzer d rfen auf die Datei keinen Zugriff haben Di
397. nse Codes an den Zielcomputer bertragen Diese Option ist nur f r zentral verwaltete Endpoints verf gbar 2 Klicken Sie auf Weiter 29 2 6 7 Auswahl des angeforderten Schl ssel einzelner Schl ssel Voraussetzung Sie m ssen den erforderlichen virtuellen Client im Recovery Assistenten des SafeGuard Management Center sowie die Recovery Aktion Schl ssel angefordert ausgew hlt haben 1 W hlen Sie im Recovery Assistenten auf der Seite Virtueller Client aus ob die Aktion von einem zentral verwalteten Endpoint oder einem Standalone Endpoint angefordert wird W hlen Sie f r zentral verwaltete Endpoints Recovery Schl ssel f r einen SafeGuard Enterprise Managed Client Klicken Sie auf In Schl ssel suchen k nnen Sie sich die Schl ssel nach Schl ssel ID oder symbolischem Namen anzeigen lassen Klicken Sie auf Jetzt suchen w hlen Sie den Schl ssel und klicken Sie auf OK Hinweis Eine Response kann nur f r zugewiesene Schl ssel erzeugt werden Ist ein Schl ssel inaktiv d h der Schl ssel ist nicht mindestens einem Benutzer zugewiesen ist eine Response mit einem virtuellen Client nicht m glich In diesem Fall kann der inaktive Schl ssel zun chst einem beliebigen Benutzer zugewiesen werden Danach kann eine Response f r den Schl ssel generiert werden W hlen Sie f r Standalone Endpoints Recovery Schl ssel f r einen Sophos SafeGuard Standalone Client Klicken Sie neben dieser Option auf um nach der
398. nspakete gt Pakete f r Standalone Clients und f gen Sie ein neues Konfigurationspaket hinzu W hlen Sie die importierte Company Certificate Change Order aus dem Dropdown Men der Spalte CCO Geben Sie unter Konfigurationspaket Ausgabepfad einen Speicherort an Klicken Sie auf Konfigurationspaket erstellen Das Konfigurationspaket wird am angegebenen Speicherort angelegt 6 Installieren Sie dieses Konfigurationspaket auf allen Endpoints die Sie von der Ausgangs in die Zielumgebung verschieben m chten Verwalten von Company Certificate Change Orders Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete Alle erzeugten CCOs werden in der Registerkarte CCOs angezeigt Im unteren Bereich des Dialogs werden detaillierte Informationen zur ausgew hlten CCO angezeigt Wenn die CCO f r die Erneuerung des Unternehmenszertifikats erstellt wurde wird das Quell Unternehmenszertifikat aktualisiert Wenn die CCO f r eine Verschiebung von Endpoints erstellt wurde erneuern Sie das Unternehmenszertifikat der Umgebung deren Endpoints in eine andere Umgebung verschoben werden sollen Das Ziel Unternehmenszertifikat ist das neue Unternehmenszertifikat wenn die CCO zur Aktualisierung des Unternehmenszertifikats oder des Unternehmenszertifikats der Umgebung in die die Endpoints verschoben werden sollen erzeugt wurde Unter den Zertifikatsinformationen wird angegeben f r welche Vorg nge die ausgew hlte CCO verw
399. nstellung als nicht konfiguriert ausgew hlt haben Setzen von Einstellungen auf Standardwerte In der Symbolleiste stehen folgende Symbole f r Richtlinieneinstellungen zur Verf gung Richtlinieneinstellung Zeigt Standardwerte f r Richtlinieneinstellungen an die nicht konfiguriert wurden Einstellung nicht konfiguriert Die Standardwerte f r Richtlinieneinstellungen werden standardm ig angezeigt Klicken Sie auf das Symbol um die Standardwerte auszublenden Setzt die markierte Richtlinieneinstellung auf nicht konfiguriert Setzt alle Richtlinieneinstellungen eines Bereichs auf nicht konfiguriert Setzt den Standardwert f r die markierte Richtlinieneinstellung Setzt alle Richtlinieneinstellungen eines Bereichs auf den Standardwert Unterscheidung zwischen maschinen und benutzerspezifischen Richtlinien Richtlinienfarbe blau Richtlinie wird nur f r Maschinen angewandt nicht f r Benutzer Richtlinienfarbe schwarz Richtlinie wird f r Maschinen und Benutzer angewandt 89 SafeGuard Enterprise 14 3 14 3 1 90 Richtliniengruppen SafeGuard Enterprise Richtlinien k nnen in Richtliniengruppen zusammengefasst werden Eine Richtliniengruppe kann verschiedene Richtlinientypen enthalten Im SafeGuard Management Center steht eine Default Richtliniengruppe zur Verf gung die standardm ig unter Benutzer und Computer zu Stamm zugewiesen wird Wenn Sie Richtlinien vom selben Typ in einer Gruppe zu
400. nter auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen auf die Rolle die Sie ndern m chten Klicken Sie im Aktionsbereich auf der rechten Seite bei der gew nschten Einstellung in der Spalte Zus tzliche Autorisierung und w hlen Sie eine andere Rolle aus der Liste aus Vordefinierte Rollen werden fett angezeigt 3 Klicken Sie auf das Speichern Symbol in der Symbolleiste um Ihre nderungen in der Datenbank zu speichern Die zus tzliche Autorisierung f r diese Rolle wurde ge ndert 11 5 2 11 6 11 7 Administratorhilfe ndern aller Eigenschaften einer Rolle Voraussetzung Um eine benutzerdefinierte Rolle zu ndern ben tigen Sie das Recht zum Einsehen und ndern von Sicherheitsbeauftragtenrollen Zum ndern der Einstellung f r die zus tzliche Autorisierung ben tigen Sie au erdem das Recht Einstellungen f r zus tzliche Autorisierung ndern 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen auf die Rolle die Sie ndern m chten und w hlen Sie Benutzerdefinierte Rolle ndern 3 ndern Sie die Eigenschaften nach Wunsch ndern Sie die Einstellungen f r die zus tzliche Autorisierung indem Sie auf den Wert in dieser Spalte klicken und die gew nschte Rolle ausw hlen 4 Klicken Sie auf das Speichern Symbol in der Symbolleiste um Ihre nderungen in der Date
401. nterprise Datenbank von dem auf den Endpoints die das neue Konfigurationspaket erhalten sollen unterscheidet w hlen Sie die relevante CCO Company Certificate Change Order Hinweis Die Installation des neuen Konfigurationspakets schl gt fehl wenn die derzeit aktiven Unternehmenszertifikate in der SafeGuard Enterprise Datenbank und auf dem Endpoint nicht bereinstimmen und keine passende CCO im Paket enthalten ist Geben Sie unter Speicherort f r Schl ssel Sicherungskopie einen freigegebenen Netzwerkpfad f r das Speichern der Schl ssel Recovery Datei an oder w hlen Sie einen Netzwerkpfad aus Geben Sie den freigegebenen Pfad in folgender Form ein network computer zum Beispiel mycompany edu Wenn Sie hier keinen Pfad angeben wird der Benutzer beim ersten Anmelden am Endpoint nach der Installation gefragt wo die Schl sseldatei gespeichert werden soll Die Schl ssel Recovery Datei XML wird f r die Durchf hrung von Recovery Vorg ngen bei durch Sophos SafeGuard gesch tzten Endpoints ben tigt Sie wird auf allen durch Sophos SafeGuard gesch tzten Endpoints erzeugt Hinweis Stellen Sie sicher dass diese Schl ssel Recovery Datei an einem Speicherort abgelegt wird auf den die Mitarbeiter des Helpdesk Zugriff haben Die Dateien k nnen dem Helpdesk auch durch andere Mechanismen zug nglich gemacht werden Die Datei ist mit dem Unternehmenszertifikat verschl sselt Sie kann also auch auf externen Medien oder auf de
402. nutzer Dateien Eigene Bilder Pfad Platzhalter lt Public Videos gt Administratorhilfe Betriebssystem Wert auf dem Endpoint Alle Windows und Mac OS X Windows Das Dateisystemverzeichnis das als allgemeines Repository f r Videodateien f r alle Benutzer dient Typischer Pfad C Documente und Einstellungen Alle Benutzer Dateien Eigene Videos lt Roaming gt Windows Windows Das Dateisystemverzeichnis das als allgemeines Repository f r anwendungsspezifische Daten dient Typischer Pfad C Dokumente und Einstellungen Benutzername Anwendungsdaten Der Windows Systemordner Typischer Pfad C Windows System32 For 64 Bit Systeme wird dies auf zwei Regeln erweitert eine f r 32 Bit und eine f r 64 Bit lt Temporary Burn Folder gt lt Temporary Internet Folder gt Windows Windows Das Dateisystemverzeichnis das als Staging Bereich f r Dateien die auf eine CD geschrieben werden sollen verwendet wird Typischer Pfad C Dokumente und Einstellungen Benutzername Lokale Einstellungen Microsoft CD Burning Das Dateisystemverzeichnis das als allgemeines Repository f r tempor re Internetdateien dient Typischer Pfad C Dokumente und Einstellungen Benutzername Lokale Einstellungen Temporary Internet Files lt Windows gt lt Removables gt Windows Mac OS X Das Windows Verzeichnis oder SYSROOT Dies entspricht den Umgebungsvariablen windir oder SYSTEMROOT Typischer
403. nutzer einfach ihre gewohnten Anwendungen z B Microsoft Office weiter benutzen Transparente Verschl sselung bedeutet f r den Benutzer dass alle verschl sselt gespeicherten Daten sei es in verschl sselten Richtlinieneinstellung Administratorhilfe Erkl rung Verzeichnissen oder Laufwerken automatisch im Hauptspeicher entschl sselt werden sobald sie in einem Programm ge ffnet werden Beim Abspeichern der Datei wird diese automatisch wieder verschl sselt Folgende Optionen stehen zur Verf gung Keine Verschl sselung Volume basierend transparente sektorbasierende Verschl sselung Stellt sicher dass alle Daten verschl sselt sind inkl Boot Dateien Swapfile Datei f r den Ruhezustand Hibernation File tempor re Dateien Verzeichnisinformationen usw ohne dass sich der Benutzer in seiner Arbeitsweise anpassen oder auf Sicherheit achten muss Dateibasierend transparente dateibasierte Verschl sselung Smart MediaEncryption Stellt sicher dass alle Daten verschl sselt sind au er Boot Medium und Verzeichnisinformationen mit dem Vorteil dass auch optische Medien wie CD DVD verschl sselt werden k nnen oder Daten mit Fremdrechnern auf denen kein SafeGuard Enterprise installiert ist ausgetauscht werden k nnen soweit von der Richtlinie erlaubt Hinweis F r Richtlinien mit White Lists k nnen nur die Optionen Keine Verschl sselung oder Dateibasierend ausgew hlt werden ALLGEME
404. nutzer sind nicht dazu berechtigt eigene Fragen zu definieren Sie definieren als Sicherheitsbeauftragter die Fragen und verteilen Sie an die Benutzer Die Benutzer sind dazu berechtigt zus tzlich eigene Fragen zu definieren Bei der Beantwortung der f r die Aktivierung von Local Self Help notwendigen Mindestanzahl an Fragen k nnen die Benutzer zwischen vorgegebenen und eigenen Fragen w hlen oder eine Kombination aus beiden verwenden Sie berechtigen die Benutzer dazu eigene Fragen zu definieren und geben keine vordefinierten Fragen vor Die Benutzer aktivieren Local Self Help durch Definition und Beantwortung eigener Fragen Um die Benutzer dazu zu berechtigen eigene Fragen zu definieren w hlen Sie im Feld Benutzer d rfen eigene Fragen festlegen die Einstellung Ja Definieren von Fragen Voraussetzung daf r dass Local Self Help auf dem Endpoint verwendet werden kann ist die Hinterlegung einer vordefinierten Anzahl an Fragen Als Sicherheitsbeauftragter mit den erforderlichen Rechten k nnen Sie festlegen wie viele Fragen Benutzer beantworten m ssen um Local Self Help auf den Endpoints zu aktivieren Sie k nnen auch festlegen wie viele Fragen in der SafeGuard POA per Zufallsprinzip ausgew hlt werden Um sich ber Local Self Help an der SafeGuard Power on Authentication anzumelden muss der Benutzer alle in der POA angezeigten Fragen korrekt beantworten Als Sicherheitsbeauftragter mit den erforderlichen Rechten k nnen Si
405. och eine Vielzahl von verschiedenen Zeitplanoptionen mit sp_add jobschedule definieren So l sst sich der Job zum Beispiel alle zwei Minuten oder nur einmal pro Woche ausf hren Weitere Informationen hierzu finden Sie in der Microsoft Transact SQL Dokumentation L schen der gespeicherten Prozeduren Jobs und Tabellen Das Skript spshrinkEventTable_uninstall sql l scht die gespeicherte Prozedur sowie die EVENT BACKUP Tabelle Das Skript ScheduledShrinkEventTable_uninstall sql deaktiviert den Scheduled Job Hinweis Wenn Sie spshrinkEventTable_uninstall sql ausf hren wird die Tabelle EVENT_BACKUFP mit allen enthaltenen Daten vollst ndig gel scht Texte f r Ereignisberichte Ereignisse werden nicht mit ihren vollst ndigen Ereignistexten in der SafeGuard Enterprise Datenbank protokolliert Nur die ID und die relevanten Parameterwerte werden in die Datenbanktabelle geschrieben Beim Abrufen der Ereignisse in der SafeGuard Management Center Ereignisanzeige werden die Parameterwerte zusammen mit den in der dll enthaltenen L ckentexten in die kompletten Ereignistexte umgesetzt Dies erfolgt in der jeweils benutzten Systemsprache des SafeGuard Management Center Die f r die Ereignistexte verwendeten L ckentexte lassen sich zum Beispiel durch SQL Abfragen bearbeiten und aufbereiten Sie k nnen hierzu eine Tabelle mit allen L ckentexten f r Ereignismeldungen erzeugen Danach k nnen Sie die L ckentexte nach Ihren Anforderungen anpassen
406. oint umgesetzt wird Geben Sie nur g ltige Platzhalter ein Eine Beschreibung aller verf gbaren Platzhalter finden Sie unter Platzhalter f r Pfade in File Encryption Verschl sselungsregeln Seite 185 Hinweis Die Verschl sselung des gesamten Benutzerprofils mit dem Platzhalter lt User Profile gt kann zu einem instabilen Windows Desktop auf dem Endpoint f hren a Klicken Sie auf die Browse Schaltfl che um den gew nschten Ordner im Dateisystem auszuw hlen Sie k nnen auch einfach einen Pfadnamen eingeben Hinweis N tzliche Informationen zum Konfigurieren von Pfaden in Dateiverschl sselungsregeln finden Sie unter Zus tzliche Informationen f r die Konfiguration von Pfaden in File Encryption Verschl sselungsregeln Seite 183 W hlen Sie in der Spalte Anwendungsbereich Nur dieser Ordner um die Regeln nur auf den Ordner anzuwenden der in der Spalte Pfad angegeben ist oder Mit Unterordnern um die Regel auch auf alle Unterordner des Ordners anzuwenden Legen Sie in der Spalte Modus fest wie File Encryption den in der Spalte Pfad angegebenen Ordner behandeln soll W hlen Sie Verschl sseln um neue Dateien im Ordner zu verschl sseln Der Inhalt der vorhandenen verschl sselten Dateien wird transparent entschl sselt wenn ein Benutzer mit dem erforderlichen Schl ssel auf die Dateien zugreift Hat der Benutzer nicht den erforderlichen Schl ssel wird der Zugriff verweigert 5 Administratorhilfe
407. on Seite 169 Volume basierende Festplattenverschl sselung Mit der volume basierenden Festplattenverschl sselung werden alle Daten auf einem Volume einschlie Blich Boot Dateien Pagefiles Hibernation Files tempor re Dateien Verzeichnisinformationen usw verschl sselt Benutzer m ssen sich in ihrer Arbeitsweise nicht anpassen oder auf Sicherheit achten Um volume basierende Verschl sselung auf Endpoints anzuwenden erstellen Sie eine Richtlinie vom Typ Ger teschutz und w hlen Sie bei Verschl sselungsmodus f r Medien die Einstellung Volume basierend Weitere Informationen finden Sie unter Ger teschutz Seite 150 Hinweis Die Volume basierende Verschl sselung Entschl sselung wird f r Laufwerke ohne Laufwerksbuchstaben nicht unterst tzt Wenn f r ein Volume oder einen Volume Typ eine Verschl sselungsrichtlinie existiert und die Verschl sselung des Volumes schl gt fehl darf der Benutzer nicht auf das Volume zugreifen Endpoints k nnen w hrend der Verschl sselung Entschl sselung heruntergefahren und neu gestartet werden Wenn auf die Entschl sselung die Deinstallation folgt empfehlen wir den Endpoint nicht in einen Energiesparmodus oder den Ruhezustand zu versetzen Wenn nach der volume basierenden Verschl sselung eine Richtlinie auf einen Endpoint Computer angewendet wird die die Entschl sselung erlaubt ist Folgendes zu beachten Nach einer vollst ndigen volume basierenden Verschl sselung m
408. on Authentication Au erdem muss auf Treiber Seite das PKCS 11 Modul unterst tzt werden 27 2 2 Unterst tzte Token Smartcards an der SafeGuard Power on 20 28 218 Authentication SafeGuard Enterprise unterst tzt eine breite Palette an Smartcards Smartcard Leseger ten USB Token mit den entsprechenden Treibern und Middleware in der SafeGuard Power on Authentication In SafeGuard Enterprise werden Token Smartcards unterst tzt die 2 048 Bit RSA Operationen unterst tzen Da die Unterst tzung von Token Smartcards von Release zu Release erweitert wird werden die in der jeweils aktuellen SafeGuard Enterprise Version unterst tzten Token und Smartcards in den Release Notes aufgef hrt Unterst tzte Middleware Die in der folgenden Liste aufgef hrte Middleware wird ber deren jeweiliges PKCS 11 Modul unterst tzt PKCS 11 ist eine standardisierte Schnittstelle zur Anbindung kryptographischer Token Smartcards an verschiedenste Software Hier dient PKCS 11 der Kommunikation zwischen kryptographischen Token Smartcard Smartcard Leser und SafeGuard Enterprise Siehe auch http www sophos com de de support knowledgebase 1 12781 aspx Hersteller Middleware Activldentity ActivClient ActivClient PIV AET SafeSign Identity Client Aladdin eToken PKI Client Administratorhilfe Hersteller Middleware A Trust a sign Client Charismatics Smart Security Interface Gemalto Access Client Gemalto Classic Client Gema
409. onalit t Wenn Sie auf Volumes f r die die Autorun Funktionalit t aktiviert ist eine Verschl sselungsrichtlinie anwenden so k nnen folgende Probleme auftreten Das Volume wird nicht verschl sselt Wenn es sich um ein Unidentified File System Object handelt wird der Zugriff nicht verweigert Zugriff auf mit BitLocker To Go verschl sselte Volumes Wird SafeGuard Enterprise mit aktivierter BitLocker To Go Unterst tzung verwendet und existiert eine SafeGuard Enterprise Verschl sselungsrichtlinie f r ein mit BitLocker To Go verschl sseltes Volume so wird der Zugriff auf das Volume verweigert Existiert keine SafeGuard Enterprise Verschl sselungsrichtlinie so kann der Benutzer auf das Volume zugreifen Weitere Informationen zu BitLocker To Go finden Sie unter BitLocker To Go Seite 177 Dateibasierende Festplattenverschl sselung Die dateibasierende Verschl sselung stellt sicher dass alle Daten verschl sselt sind au er Boot Medium und Verzeichnisinformationen Mit dateibasierender Verschl sselung lassen sich auch optische Medien wie CD DVD verschl sseln Au erdem k nnen Daten mit Fremdrechnern auf denen SafeGuard Enterprise nicht installiert ist ausgetauscht werden soweit die Richtlinien dies zulassen siehe SafeGuard Data Exchange Seite 193 Hinweis Mit Dateibasierender Verschl sselung verschl sselte Daten k nnen nicht komprimiert werden Umgekehrt k nnen auch komprimierte Dateien nicht dateibas
410. onsfenster mit der rechten Maustaste auf Richtlinien und w hlen Sie im Kontextmen den Befehl Neu 4 W hlen Sie den Richtlinientyp aus Es wird ein Dialog f r die Benennung der neuen Richtlinie angezeigt 5 Geben Sie einen Namen und optional eine Beschreibung f r die neue Richtlinie ein Richtlinien f r den Ger teschutz Wenn Sie eine Richtlinie dieses Typs erstellen m ssen Sie auch ein Ziel f r den Ger teschutz angeben M gliche Ziele sind Massenspeicher Boot Laufwerke Andere Volumes Wechselmedien Optische Laufwerke Datentr germodelle Einzelne Datentr ger Cloud Storage F r jedes Ziel muss eine eigene Richtlinie angelegt werden Sie k nnen die einzelnen Richtlinien sp ter z B zu einer Richtliniengruppe mit der Bezeichnung Verschl sselung zusammenfassen 6 Klicken Sie auf OK Die neu angelegte Richtlinie wird im Navigationsfenster unter Richtlinien angezeigt Im Aktionsbereich werden alle Einstellungen f r den gew hlten Richtlinientyp angezeigt Die Einstellungen k nnen dort ge ndert werden Bearbeiten von Richtlinieneinstellungen Wenn Sie im Navigationsfenster eine Richtlinie ausw hlen k nnen Sie deren Einstellungen im Aktionsbereich bearbeiten Administratorhilfe Hinweis Das rote Symbol vor dem Text nicht konfiguriert gibt an dass f r diese Einstellung not configured ein Wert festgelegt werden muss Sie k nnen die Richtlinie erst speichern wenn Sie eine andere Ei
411. ormationen Benutzername Kennwort anmelden Optional Die Anmeldung kann mit Token oder mit Anmeldeinformationen erfolgen Der Sicherheitsbeauftragte kann w hlen Zwingend erforderlich Die Verwendung eines Token zur Anmeldung ist zwingend vorgeschrieben Dazu muss sich der zum Zertifikat des Sicherheitsbeauftragten geh rende private Schl ssel auf dem Token befinden 61 SafeGuard Enterprise 11 9 62 Feld Kontrollk stehen Beschreibung Zertifikat Zur Anmeldung an das SafeGuard Management Center ben tigt ein Sicherheitsbeauftragter immer ein Zertifikat Das Zertifikat kann entweder von SafeGuard Enterprise selbst erstellt werden oder es wird ein bereits existierendes verwendet Ist eine Anmeldung mit Token zwingend notwendig so muss das Zertifikat auf den Token des Sicherheitsbeauftragten aufgebracht werden Erzeugen Zertifikat und Schl sseldatei werden erstellt und an einem ausw hlbaren Ort gespeichert Dabei muss ein Kennwort f r die p12 Schl sseldatei angegeben und best tigt werden Die p12 Datei muss dem Sicherheitsbeauftragten bei der Anmeldung zur Verf gung stehen Das erstellte Zertifikat wird dem Sicherheitsbeauftragten automatisch zugeteilt und unter Zertifikat angezeigt Wenn SafeGuard Enterprise Kennwortregeln angewendet werden sollten die Regeln im Active Directory deaktiviert werden Hinweis Maximale L nge des Speicherpfads und des Dateinamens 260 Zeichen Zum Anlegen eines Sicherheitsbeauftragten
412. ows Benutzerkonto an Windows an 19 8 1 Lokale Kennwort nderung Wurde das Kennwort eines POA Benutzers mit F8 ge ndert so wird die nderung nicht mit anderen Endpoints synchronisiert Der Administrator muss das Kennwort f r diesen Benutzer zentral ndern 125 SafeGuard Enterprise 20 Richtlinieneinstellungen 126 SafeGuard Enterprise Richtlinien enthalten alle Einstellungen die zur Abbildung einer unternehmensweiten Sicherheitsrichtlinie auf den Endpoints wirksam werden sollen In SafeGuard Enterprise Richtlinien k nnen Sie Einstellungen f r die folgenden Bereiche Richtlinientypen festlegen Allgemeine Einstellungen Einstellungen f r z B Transferrate Anpassung Recovery f r die Anmeldung Hintergrundbilder usw Authentisierung Einstellungen zum Anmeldemodus zur Ger tesperre usw PIN Legt Anforderungen an die verwendeten PINs fest Kennw rter Legt Anforderungen an die verwendeten Kennw rter fest Passphrasen Legt Anforderungen f r in SafeGuard Data Exchange verwendete Passphrasen fest Ger teschutz Einstellungen f r volume oder dateibasierende Verschl sselung auch Einstellungen f r SafeGuard Data Exchange SafeGuard Cloud Storage und SafeGuard Portable Algorithmen Schl ssel Laufwerke auf denen Daten verschl sselt werden sollen usw Spezifische Computereinstellungen Einstellungen zur SafeGuard Power on Authentication aktivieren deaktivieren zum sicheren Wake on LAN Anzeigeop
413. ponse Verfahren nutzen k nnen z B an Bord eines Flugzeugs wieder Zugang zu ihrem Computer Um sich anzumelden muss der Benutzer lediglich eine bestimmte Anzahl an vordefinierten Fragen in der SafeGuard Power on Authentication beantworten Die zu beantwortenden Fragen k nnen Sie als zust ndiger Sicherheitsbeauftragter zentral vordefinieren und per Richtlinie an die Endpoints verteilen Als Vorlage bieten wir Ihnen ein vordefiniertes Fragenthema an Sie k nnen dieses Fragenthema unver ndert verwenden oder es bearbeiten Sie k nnen die Benutzer auch per Richtlinie berechtigen selbst Fragen zu definieren Wenn Local Self Help per Richtlinie aktiviert ist steht den Endbenutzern ein Local Self Help Assistent zur Verf gung der sie bei der ersten Beantwortung und bei der Bearbeitung von Fragen unterst tzt Detaillierte Informationen zu Local Self Help auf dem Endpoint finden Sie in der SafeGuard Enterprise Benutzerhilfe im Kapitel Recovery mit Local Self Help Definieren der Parameter f r Local Self Help in einer Richtlinie Die Einstellungen f r Local Self Help definieren Sie in einer Richtlinie vom Typ Allgemeine Einstellungen unter Recovery f r die Anmeldung Local Self Help Hier aktivieren Sie die Funktion zur Benutzung auf den Endpoints und legen weitere Berechtigungen und Parameter fest Local Self Help aktivieren Um die Funktion Local Self Help f r die Benutzung auf Endpoints zu aktivieren w hlen Sie im Feld Local Self
414. portieren wollen oder k nnen z B weil kein AD vorhanden ist Registrierung als neuer Benutzer Informationen zu Benutzern die sich zum ersten Mal bei SafeGuard Enterprise anmelden finden Sie unter SafeGuard Enterprise Power on Authentication POA Seite 104 Wenn sich ein neuer Benutzer an SafeGuard Enterprise anmeldet wird dieser sobald der Endpoint eine Verbindung mit dem SafeGuard Enterprise Server hergestellt hat registriert und in im Bereich Benutzer und Computer des SafeGuard Management Center unter der entsprechenden Dom ne oder Arbeitsgruppe angezeigt Das f r diese Benutzer Computer vorgesehene Verzeichnis Automatisch registriert wird automatisch unterhalb des Stammverzeichnisses sowie unter jeder Dom ne Arbeitsgruppe erzeugt Es kann nicht umbenannt oder verschoben werden Objekte in diesem Verzeichnis k nnen auch nicht manuell verschoben werden Wenn die Organisationseinheit Organizational Unit OU beim n chsten Kontakt mit der SafeGuard Enterprise Datenbank synchronisiert wird wird das Objekt in die entsprechenden OU verschoben Andernfalls verbleibt Sie im Verzeichnis Automatisch registriert der jeweiligen Dom ne Arbeitsgruppe Als Sicherheitsbeauftragter k nnen Sie dann die automatisch registrierten Objekte wie blich verwalten Hinweis Lokale Benutzer k nnen sich nicht mit einem leeren Kennwort an SafeGuard Enterprise anmelden Wenn sich lokale Benutzer mit leerem Kennwort an SafeGuard Enterprise anmeld
415. prache 20 1 Allgemeine Einstellungen Richtlinieneinstellung LADEN DER EINSTELLUNGEN Richtlinien Loopback Erkl rung Computereinstellungen wiederholen Wird unter Richtlinien Loopback die Option Computereinstellungen wiederholen ausgew hlt und die Richtlinie kommt von einem Computer Computereinstellungen wiederholen einer Benutzer Richtlinie hat keine Auswirkung wird diese Richtlinie zum Schluss nochmals ausgef hrt Dadurch werden etwaige Benutzereinstellungen wieder berschrieben und es gelten die Computereinstellungen Benutzer ignorieren Wird bei einer Richtlinie Maschinen Richtlinie unter Richtlinien Loopback die Einstellung Benutzer ignorieren ausgew hlt und die Richtlinie kommt von einer Maschine werden nur die Computereinstellungen ausgewertet Benutzereinstellungen werden nicht ausgewertet Kein Loopback Kein Loopback ist das Standardverhalten Benutzerrichtlinien gelten vor Maschinenrichtlinien Wie werden die Einstellungen Benutzer ignorieren und Computereinstellungen wiederholen ausgewertet Existieren aktive Richtlinienzuweisungen werden zuerst die Maschinenrichtlinien ausgewertet und vereinigt Ergibt diese Vereinigung der einzelnen Richtlinien beim Richtlinien Loopback den Wert Benutzer ignorieren so werden Richtlinien welche f r den Benutzer bestimmt gewesen w ren nicht mehr ausgewertet Das hei t sowohl f r den Benutzer wie auch f r die Maschine gelten die gleichen Richtlinien
416. r Dom nenname Mit dieser Kombination geben Sie alle Benutzer mit dem Benutzernamen Administrator an die sich an einem Netzwerk oder an einer beliebigen lokalen Maschine anmelden Der vordefinierte Dom nenname LOCALHOST der in der Dropdownliste des Felds Dom nenname zur Verf gung steht steht f r die Anmeldung an einem beliebigen lokalen Computer Zum Beispiel Benutzername Admin Dom nenname LOCALHOST Mit dieser Kombination geben Sie alle Benutzer an deren Benutzernamen mit Admin beginnen und die sich an einer beliebigen lokalen Maschine anmelden 18 3 Administratorhilfe Benutzer k nnen sich auf verschiedene Art und Weise anmelden Zum Beispiel Benutzer test Dom ne mycompany Benutzer test Dom ne mycompany com Da Dom nenangaben in Service Account Listen nicht automatisch aufgel st werden gibt es drei m gliche Methoden f r das korrekte Angeben der Dom ne Sie wissen genau wie sich der Benutzer anmelden wird und geben die Dom ne entsprechend exakt ein Sie erstellen mehrere Eintr ge in der Service Account Liste Sie verwenden Platzhalter um alle unterschiedlichen F lle abzudecken Benutzer test Dom ne mycompany Hinweis Windows verwendet m glicherweise nicht dieselbe Zeichenfolge und k rzt Namen ab Um dadurch entstehende Probleme zu vermeiden empfehlen wir den FullQualifiedName und den Netbios Namen einzugeben oder Platzhalter zu verwenden Einsc
417. r eine Aktivierung kann nur f r Benutzer und Computer gelten f r die auch eine Richtlinienzuweisung besteht Das hei t die Aktivierung von Richtlinien kann nicht ber Container Grenzen hinausgehen wenn keine direkte oder indirekte Richtlinienzuweisung f r dieses Objekt existiert Eine Richtlinie wird wirksam wenn sie entweder bei Benutzergruppen oder Computergruppen aktiviert wurde Es werden die Benutzergruppen und dann die Computergruppen ausgewertet auch authentisierte Benutzer und authentisierte Computer sind Gruppen Beide Ergebnisse werden ODER verkn pft Liefert diese ODER Verkn pfung einen positiven Wert f r die Computer Benutzer Beziehung gilt die Richtlinie Hinweis Werden mehrere Richtlinien f r ein Objekt aktiv werden die einzelnen Richtlinien unter Einhaltung der beschriebenen Regeln vereinigt Das hei t die tats chlichen Einstellungen f r ein Objekt k nnen aus mehreren unterschiedlichen Richtlinien zusammengesetzt werden F r eine Gruppe gibt es folgende Aktivierungseinstellungen Aktiviert Eine Richtlinie wurde zugewiesen Die Gruppe wird im Aktivierungsbereich des SafeGuard Management Centers angezeigt Nicht aktiviert Eine Richtlinie wurde zugewiesen Die Gruppe befindet sich nicht im Aktivierungsbereich Wird eine Richtlinie einem Container zugewiesen dann bestimmt die Aktivierungseinstellung f r eine Gruppe aktiviert ob diese Richtlinie an diesem Container in die Berechnung der resultierenden
418. r On BitLocker mit SafeGuard C R Festplattenverschl sselung Authentication POA Pre Boot Wiederherstellung mit SafeGuard mit C R Recovery Authentication PBA f r BitLocker Power on von SafeGuard Pre Boot Authentication POA verwaltet Authentication PBA Windows 7 JA BIOS Windows 7 UEFI Windows 8 BIOS Windows 8 UEFI 21 1 SafeGuard Festplattenverschl sselung Ein Kernst ck von SafeGuard Enterprise ist die Verschl sselung von Daten auf unterschiedlichen Datentr gern Die Festplattenverschl sselung kann volume oder dateibasierend durchgef hrt werden mit unterschiedlichen Schl sseln und Algorithmen 165 SafeGuard Enterprise 21 1 1 166 Dateien werden transparent verschl sselt Wenn Benutzer Dateien ffnen bearbeiten und speichern werden sie nicht zur Ver oder Entschl sselung aufgefordert Als Sicherheitsbeauftragter legen Sie die Einstellungen f r die Verschl sselung in einer Sicherheitsrichtlinie vom Typ Ger teschutz fest Weitere Informationen finden Sie unter Mit Richtlinien arbeiten Seite 88 und Ger teschutz Seite 150 Hinweis Die in den folgenden Abschnitten beschriebene Funktion der Festplattenvollverschl sselung kann nur mit Windows 7 BIOS basierten Systemen genutzt werden Wenn Sie andere Systeme wie z B UEFI oder Windows 8 verwenden nutzen Sie die integrierte Windows BitLocker Drive Encryption Funktionalit t Weitere Informationen finden Sie unter BitLocker Drive Encrypti
419. r Pers nlicher Schl ssel in die Spalte Schl ssel einzuf gen Auf dem Endpoint wird dieser Platzhalter in den aktiven pers nlichen Schl ssel des angemeldeten SafeGuard Enterprise Benutzers umgesetzt Wenn die relevanten Benutzer noch keine aktiven pers nlichen Schl ssel haben werden diese automatisch angelegt Sie k nnen pers nliche Schl ssel f r einzelne oder mehrere Benutzer unter Benutzer amp Computer erzeugen Weitere Informationen finden Sie unter Pers nliche Schl ssel f r die dateibasierende Verschl sselung mit File Encryption Seite 74 Der System Typ Windows Mac OS X oder Alle Plattformen f r Windows und Mac OSX systems werden automatisch zugewiesen F gen Sie je nach Anforderung weitere Verschl sselungsregeln hinzu und speichern Sie Ihre Anderungen Hinweis Alle File Encryption Verschl sselungsregeln die ber Richtlinien zugewiesen und f r Benutzer Computer an unterschiedlichen Knoten unter Benutzer amp Computer aktiviert werden werden kumuliert Die Reihenfolge der Verschl sselungsregeln innerhalb einer File Encryption Richtlinie ist f r die Evaluierung auf dem Endpoint nicht von Bedeutung Innerhalb einer File Encryption Richtlinie k nnen Sie die Regeln durch Ziehen mit der Maus zur besseren bersicht nach Wunsch anordnen 23 1 1 Zus tzliche Informationen f r die Konfiguration von Pfaden in File Encryption Verschl sselungsregeln Beachten Sie beim Konfigurieren von Pfaden in File Encryption
420. r SafeGuard Enterprise Autologon Was passiert 1 Ein Autouser wird angemeldet 2 Der Computer registriert sich automatisch am SafeGuard Enterprise Server 3 Der Maschinenschl ssel wird an den SafeGuard Enterprise Server geschickt und in der SafeGuard Enterprise Datenbank abgelegt 4 Die Maschinenrichtlinien werden an den Endpoint geschickt Anmeldung an Windows Der Windows Anmeldedialog wird angezeigt Der Benutzer meldet sich an Was passiert 1 Benutzername und ein Hash Wert der Benutzerdaten werden an den Server geschickt 2 Benutzerrichtlinien Zertifikate und Schl ssel werden erzeugt und an den Endpoint geschickt 3 Die SafeGuard POA wird aktiviert SafeGuard POA Anmeldung Nach dem Neustart des Endpoint erscheint die SafeGuard POA Was passiert 1 Zertifikate und Schl ssel f r den Benutzer sind vorhanden und er kann sich in der SafeGuard POA anmelden 2 Alle Daten sind sicher mit dem ffentlichen RSA Schl ssel des Benutzers verschl sselt 3 Alle weiteren Benutzer die sich anmelden wollen m ssen erst in die SafeGuard POA importiert werden Anmeldeverz gerung Auf einem durch SafeGuard Enterprise gesch tzten Endpoint tritt eine Anmeldeverz gerung in Kraft wenn ein Benutzer w hrend der Anmeldung an Windows oder an die SafeGuard Power on Authentication falsche Anmeldeinformationen eingibt Mit jedem fehlgeschlagenen Anmeldeversuch verl ngert sich jeweils die Anmeldeverz gerung Nach einer fehl
421. r Verf gung gestellten Kommandos ein Scheduling Skript so gestalten dass die gr tm gliche Sicherheit des Endpoint trotz deaktivierter SafeGuard POA gew hrleistet bleibt Hinweis Wir weisen an dieser Stelle ausdr cklich darauf hin dass auch das zeitlich begrenzte Ausschalten der SafeGuard POA f r eine bestimmte Anzahl von Boot Vorg ngen ein Absenken des Sicherheitsniveaus bedeutet Die Einstellungen f r Sicheres Wake On LAN WOL definieren Sie in einer Richtlinie des Typs Spezifische Computereinstellungen Sicheres Wake on LAN WOL Beispiel Das SW Rollout Team informiert den SafeGuard Enterprise Sicherheitsbeauftragten SO ber einen geplanten SW Rollout f r den 25 September 2014 zwischen 03 00 und 06 00 Uhr Es sind 2 Neustarts notwendig Der lokale Software Rollout Agent muss sich an Windows anmelden k nnen Im SafeGuard Management Center erstellt der Sicherheitsbeauftragter eine Richtlinie vom Typ Spezifische Computereinstellungen mit den folgenden Einstellung und ordnet Sie den relevanten Endpoints zu Richtlinieneinstellung Anzahl der automatischen Anmeldungen 0 kein WOL Anmeldung an Windows w hrend WOL erlaubt Beginn des Zeitfensters f r externen WOL Start 24 Sept 2014 12 00 Ende des Zeitfensters f r externen WOL Start 25 Sept 2014 06 00 Weitere Informationen zu den einzelnen Einstellungen finden Sie unter Spezifische Computereinstellungen Grundeinstellungen Seite 156 Da d
422. r Zertifikat f r den Haupt Sicherheitsbeauftragten angezeigt a Klicken Sie auf Importieren um ein Zertifikat f r den Haupt Sicherheitsbeauftragten zu verwenden das bereits auf dem Netz zur Verf gung steht Suchen Sie unter Importieren des Zertifikats die gesicherte Schl sseldatei Geben Sie unterKennwort f r die Schl sseldatei das f r diese Datei festgelegte Kennwort ein und best tigen Sie es Geben Sie das Kennwort f r den Zertifikatsspeicher unter Kennwort des Zertifikatsspeichers ein und best tigen Sie es Klicken Sie auf OK Das Zertifikat wird erzeugt und unter Zertifikat f r den Haupt Sicherheitsbeauftragten angezeigt Der Haupt Sicherheitsbeauftragte ben tigt das Kennwort des Zertifikatsspeichers f r die Anmeldung am SafeGuard Management Center Notieren Sie sich das Kennwort und bewahren Sie es an einem sicheren Ort auf Steht das Kennwort nicht mehr zur Verf gung so kann sich der Haupt Sicherheitsbeauftragte nicht mehr am SafeGuard Management Center anmelden F r die Wiederherstellung einer besch digten SafeGuard Management Center Installation ben tigt der Haupt Sicherheitsbeauftragte die private Schl sseldatei 3 Klicken Sie auf Weiter Der Haupt Sicherheitsbeauftragte wird angelegt Erzeugen des Zertifikats des Haupt Sicherheitsbeauftragten Gehen Sie in Zertifikat des Haupt Sicherheitsbeauftragten erzeugen folgenderma en vor 1 Best tigen Sie unter Haupt Sicherheitsbeauftragten ID den Namen des Haupt Sich
423. r die Sie verantwortlich sind Die Registerkarte Zugriff enth lt folgende Informationen Die Spalte Sicherheitsbeauftragte zeigt die Typen und Namen der den Verzeichnisobjekten zugeordneten Sicherheitsbeauftragten Die Spalte Zugewiesen von zeigt den Sicherheitsbeauftragten der die Zugriffsrechte zugewiesen hat Das Zuweisungsdatum Die Spalte Zugriffsrechte zeigt die erteilten Rechte Voller Zugriff Verweigert oder Schreibgesch tzt Die Spalte Ursprung zeigt den vollst ndigen Namen des Knotens an dem das Zugriffsrecht dem entsprechenden Sicherheitsbeauftragten zugewiesen wurde Zum Beispiel Wurde das Recht einem bergeordneten Knoten des ausgew hlten Verzeichnisobjekts zugewiesen so wird hier der bergeordnete Knoten angezeigt In diesem Fall hat der Sicherheitsbeauftragte das Zugriffsrecht f r das ausgew hlte Verzeichnisobjekt durch Zuweisung an den bergeordneten Knoten geerbt Die Spalte Status zeigt wie der Sicherheitsbeauftragte das Zugriffsrechte erhalten hat Geerbt blauer Text Das Zugriffsrecht wurde von einem bergeordneten Knoten geerbt berschrieben brauner Text Das Zugriffsrecht wurde von einem bergeordneten Knoten geerbt jedoch am ausgew hlten Knoten durch direkte Zuweisung berschrieben Direkt zugewiesen schwarzer Text Das Zugriffsrecht wurde direkt am ausgew hlten Knoten zugewiesen F r geerbte Rechte k nnen Sie in der Spalte Status einen Tooltip anzeigen der den
424. r eine Warnungsmeldung angezeigt Das SafeGuard Management Center wird ge ffnet und zeigt den Lizenzstatus berblick in der Registerkarte Lizenzen des Bereichs Benutzer amp Computer Auch hier informiert Sie eine Warnungsmeldung dar ber dass die Lizenz ung ltig ist ber die detaillierten Informationen zur Lizenzdatei l sst sich ermitteln f r welches Modul die Anzahl an verf gbaren Lizenzen berschritten wurde Durch Verl ngerung Erneuerung oder Erweiterung der Lizenz l sst sich dieser Lizenzstatus ndern Ung ltige Lizenz Fehler Wird der in der Lizenz festgelegte Toleranzwert f r die Anzahl an Lizenzen oder die G ltigkeitsdauer berschritten so zeigt das SafeGuard Management Center eine Fehlermeldung an Im SafeGuard Management Center wird die bertragung von Richtlinien auf die Endpoint Computer deaktiviert In der Registerkarte Lizenzen im Bereich Benutzer amp Computer wird eine Fehlermeldung angezeigt ber die detaillierten Informationen zur Lizenzdatei l sst sich ermitteln f r welches Modul die Anzahl an verf gbaren Lizenzen berschritten wurde Um die Einschr nkung der Funktionalit t aufzuheben habe Sie folgende M glichkeiten Lizenzen umverteilen Um ausreichend verf gbare Lizenzen zu erhalten k nnen Sie die Software auf nicht genutzten Endpoints deinstallieren und diese somit dauerhaft aus der SafeGuard Enterprise Datenbank entfernen 31 SafeGuard Enterprise a Lizenzen erweitern er
425. r jeweiligen SafeGuard Enterprise Version Standard Lizenzdatei f r SafeGuard Cloud Storage und SafeGuard File Encryption Bei der Installation von SafeGuard Management Center 7 wird automatisch eine zus tzliche Standard Lizenzdatei f r SafeGuard Cloud Storage und SafeGuard File Encryption geladen Diese Evaluierungslizenz enth lt f nf Lizenzen f r jedes der beiden Module und hat eine zeitlich begrenzte G ltigkeitsdauer von zwei Jahren ab Release Datum von SafeGuard Enterprise 7 Hinweis Wenn Sie eine Aktualisierung von SafeGuard Enterprise 5 6 auf SafeGuard Enterprise 7 durchf hren m ssen Sie diese Lizenzdatei manuell in die SafeGuard Enterprise Datenbank importieren Individuelle Demo Lizenzdateien Wenn Sie mehr Lizenzen f r die Durchf hrung einer Evaluierung ben tigen als in der Standard Lizenzdatei enthalten sind besteht auch die M glichkeit eine an Ihre spezifischen Anforderungen angepasste Demo Lizenz zu erhalten Wenden Sie sich hierzu bitte an Ihren Vertriebspartner Diese Art der Demo Lizenz unterliegt ebenfalls einer zeitlichen Beschr nkung Dar ber hinaus ist die Lizenz auf die jeweils mit dem Vertriebspartner vereinbarte Anzahl an Lizenzen pro Modul beschr nkt Wenn Sie das SafeGuard Management Center starten werden Sie durch eine Warnungsmeldung darauf aufmerksam gemacht dass Sie Demo Lizenzen nutzen Bei berschreiten der in einer Demo Lizenz festgelegten Anzahl an verf gbaren Lizenzen oder der zeitlich beg
426. r zu verschiebende Endpoint ben tigt das Unternehmenszertifikat der Umgebung in die er verschoben werden soll Andernfalls akzeptiert der Endpoint keine Richtlinien in der neuen Umgebung Die Vorg nge die zum Ersetzen des Unternehmenszertifikats notwendig sind k nnen im sowohl im SafeGuard Management Center als auch im SafeGuard Policy Editor ausgef hrt werden In der folgenden Beschreibung wird f r das SafeGuard Management Center und den SafeGuard Policy Editor der Begriff Management Konsole verwendet da der Vorgang des Ersetzens des Unternehmenszertifikats in beiden F llen identisch ist Folgende Voraussetzungen m ssen erf llt sein Legen Sie die Ausgangs und die Ziel Management Center Policy Editor Umgebung fest Die Ausgangs Management Konsole ist die die Sie f r das Erstellen der Konfigurationspakete f r die Endpoints die verschoben werden sollen benutzt haben Das Ziel ist die Management Konsole in die die Endpoints verschoben werden sollen So ersetzen Sie das Unternehmenszertifikat 1 Exportieren Sie in der Ziel Management Konsole das Unternehmenszertifikat Klicken Sie im Men Extras auf Optionen Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im Bereich Unternehmenszertifikat auf Exportieren Wenn aufgefordert geben Sie ein Kennwort f r den Zertifikatsspeicher ein und best tigen Sie es und w hlen Sie das Zielverzeichnis und den Dateinamen Das Unternehmenszertifikat wird exportiert cer Datei 85
427. ragen Ohne g ltiges Unternehmenszertifikat k nnen Endpoints keine Verbindung mit dem Server herstellen Sie k nnen das Unternehmenszertifikat jederzeit erneuern Dies ist auch dann m glich wenn das Unternehmenszertifikat bereits abgelaufen ist Wenn ein Unternehmenszertifikat abgelaufen ist wird dies auch durch eine Meldung angegeben Informationen zum Erneuern des Unternehmenszertifikats finden Sie unter Erneuerung des Unternehmenszeriifikats Seite 84 Anmeldung im Single Tenancy Modus 1 Starten Sie das SafeGuard Management Center ber den Produktordner im Start Men Ein Anmeldebildschirm wird angezeigt 2 Melden Sie sich als Haupt Sicherheitsbeauftragter an und geben Sie das Zertifikatsspeicherkennwort ein das w hrend der Konfiguration festgelegt wurde Klicken Sie auf OK Das SafeGuard Management Center wird ge ffnet Hinweis Wenn Sie ein falsches Kennwort eingeben wird eine Fehlermeldung angezeigt und die n chste Anmeldung wird verz gert Diese Verz gerung wird mit jedem fehlgeschlagenen Anmeldeversuch gr er Fehlgeschlagene Anmeldeversuche werden protokolliert 15 SafeGuard Enterprise 16 4 3 Anmeldung im Multi Tenancy Modus Wenn Sie mehrere Datenbanken konfiguriert haben Multi Tenancy erweitert sich der Vorgang der Anmeldung am SafeGuard Management Center siehe Mit mehreren Datenbankkonfigurationen arbeiten Seite 33 1 Starten Sie das SafeGuard Management Center ber den Produktordner im
428. ragenthemen 1 2 3 Markieren Sie das gew nschte Fragenthema unter Local Self Help Fragen im Richtlinien Navigationsbereich Sie k nnen nun Fragen hinzuf gen ndern oder l schen Um Fragen hinzuzuf gen klicken Sie im Arbeitsbereich mit der rechten Maustaste um das Kontextmen anzuzeigen Klicken Sie im Kontextmen auf Hinzuf gen Der Fragenliste wird eine neue Zeile hinzugef gt Geben Sie Ihre Frage auf der Zeile ein Um Fragen zu ndern klicken Sie auf den Fragentext im Arbeitsbereich Bei der gew hlten Frage wird ein Stiftsymbol angezeigt Geben Sie auf der Fragenzeile Ihre nderungen ein Um Fragen zu l schen markieren Sie die gew nschte Frage durch Klicken auf das graue K stchen zu Beginn der Fragenzeile im Arbeitsbereich und w hlen Sie im Kontextmen des Frageneintrags Entfernen Speichern Sie Ihre nderungen indem Sie auf das Speichern Symbol in der Symbolleiste klicken Ihr ge ndertes Fragenthema ist registriert Es wird der Richtlinie vom Typ Allgemeine Einstellungen ber die Local Self Help auf den Endpoints aktiviert wird mitgegeben 238 29 1 8 29 1 9 29 2 Administratorhilfe L schen von Fragenthemen Um ein Fragenthema zu l schen klicken Sie mit der rechten Maustaste auf das Fragenthema unter Local Self Help Fragen im Richtlinien Navigationsbereich und w hlen Sie L schen Hinweis Wenn Sie ein Fragenthema l schen nachdem die Benutzer bereits Fragen aus diesem T
429. ragte lassen sich im Sicherheitsbeauftragte Navigationsbereich des SafeGuard Management Center gem der Organisationsstruktur Ihres Unternehmens hierarchisch anordnen Die Baumstruktur l sst sich f r alle Sicherheitsbeauftragten au er f r Haupt Sicherheitsbeauftragte ordnen Haupt Sicherheitsbeauftragte werden in einer nicht hierarchischen Liste unter dem Haupt Sicherheitsbeauftragten Knoten angezeigt Der Sicherheitsbeauftragten Knoten enth lt eine Baumstruktur in der jeder Knoten einen Sicherheitsbeauftragten repr sentiert Diese hierarchische Anordnung gibt jedoch keine Hierarchie in Bezug auf Rechte und Rollen wieder Voraussetzung Um einen Sicherheitsbeauftragten in der Baumstruktur zu verschieben ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und zu modifizieren 1 2 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte Ziehen Sie den gew nschten Sicherheitsbeauftragten im Navigationsfenster per Drag amp Drop zum gew nschten Knoten Alle dem Sicherheitsbeauftragten untergeordneten Sicherheitsbeauftragte werden ebenfalls verschoben Schneller Wechsel zwischen Sicherheitsbeauftragten Sie k nnen das SafeGuard Management Center schnell und einfach neu starten wenn Sie sich mit einem anderen Sicherheitsbeauftragten anmelden m chten 1 W hlen Sie im SafeGuard Management Center Datei gt Sicherheitsbeauftragten wechseln Das SafeGuard Management Center wird neu gestartet und es wir
430. rase Funktionalit t steht zur Verf gung wenn die Option Benutzer darf eine Medien Passphrase f r Wechselmedien erzeugen in einer Richtlinie vom Typ Ger teschutz aktiviert ist Nach dem Wirksamwerden dieser Einstellung auf dem Endpoint wird der Benutzer automatisch aufgefordert eine Medien Passphrase einzugeben wenn er zum ersten Mal Wechselmedien mit dem Computer verbindet Die Medien Passphrase ist auf allen Computern auf denen sich der Benutzer anmelden darf g ltig Der Benutzer kann die Medien Passphrase auch ndern In diesem Fall findet automatisch eine Synchronisierung statt wenn die Medien Passphrase auf dem Computer und die Medien Passphrase der Wechselmedien nicht mehr synchron sind Sollte der Benutzer die Medien Passphrase vergessen so kann er diese ohne Helpdesk Unterst tzung wiederherstellen Hinweis Um die Medien Passphrase zu aktivieren aktivieren Sie die Option Benutzer darf eine Medien Passphrase f r Wechselmedien erzeugen in einer Richtlinie vom Typ 24 3 1 24 4 24 4 1 Administratorhilfe Ger teschutz Diese Einstellung steht nur dann zur Verf gung wenn Sie als Ziel des Ger teschutzes die Option Wechselmedien gew hlt haben Medien Passphrase und Standalone Endpoints Auf einem Standalone Endpoint d h auf einem Endpoint der nicht zentral verwaltet wird stehen ohne aktivierte Medien Passphrase Funktion nach der Installation keine Schl ssel zur Verf gung da Standalone Endpoints nur lokale Sch
431. rationspakete 7 W hlen Sie den erforderlichen Konfigurationspakettyp Pakete f r Managed Clients oder Pakete f r Standalone Clients 8 Klicken Sie auf Konfigurationspaket hinzuf gen und geben Sie einen Namen Ihrer Wahl f r das Konfigurationspaket ein 9 W hlen Sie die zuvor erstellte CCO 10 Treffen Sie je nach Anforderung eine zus tzliche Auswahl 11 Geben Sie einen Ausgabepfad f r das Konfigurationspaket MSI an 12 Klicken Sie auf Konfigurationspaket erstellen Das Konfigurationspaket MSI wird im angegebenen Verzeichnis angelegt 13 Starten Sie alle SafeGuard Enterprise Datenbank Server neu 14 Verteilen Sie das Paket an die durch SafeGuard Enterprise gesch tzten Endpoints zur Installation Alle durch SafeGuard Enterprise generierten Zertifikate werden mit dem neuen Algorithmus signiert Siehe auch http www sophos com de de support knowledgebase 116791 aspx Exportieren des Unternehmenszertifikats und des Zertifikats des Haupt Sicherheitsbeauftragten In einer SafeGuard Enterprise Installation sind die beiden folgenden Elemente von entscheidender Bedeutung und erfordern daher die Erstellung von Backups an einem sicheren Speicherort das in der SafeGuard Datenbank gespeicherte Unternehmenszertifikat das Zertifikat des Haupt Sicherheitsbeauftragten MSO im Zertifikatsspeicher des Computers auf dem das SafeGuard Management Center installiert ist Beide Zertifikate lassen sich als p12 Dateien z
432. raus ausw hlen Definierter Computerschl ssel Es wird der Maschinen Schl ssel verwendet der Benutzer selbst kann KEINEN Schl ssel ausw hlen Hinweis Diese Option muss gew hlt werden wenn eine Richtlinie f r volume basierende Verschl sselung f r einen durch SafeGuard Enterprise gesch tzten Standalone Endpoint angelegt wird Wenn Sie dennoch die Option Beliebiger Schl ssel im Schl sselring des Benutzers ausw hlen und der Benutzer w hlt einen lokal erzeugten Schl ssel f r die volume basierende Verschl sselung wird der Zugriff auf dieses Volume verweigert Beliebiger Schl ssel im Schl sselring des Benutzers au er lokal erzeugte Schl ssel Alle Schl ssel aus dem Schl sselring mit Ausnahme der lokal erzeugten Schl sse werden angezeigt und der Benutzer darf einen daraus ausw hlen Definierter Schl ssel aus der Liste Der Administrator kann in der Administration bei der Richtlinien Einstellung einen beliebigen existierenden Schl ssel ausw hlen Der Schl ssel muss unter F r Verschl sselung definierter Schl ssel ausgew hlt werden Bei Verwendung von Definierter Computer Schl ssel Ist SafeGuard Enterprise Device Encryption nicht auf einem Endpoint installiert keine SafeGuard POA keine volume basierende Verschl sselung wird eine Richtlinie die den Definierten Computerschl ssel als Schl ssel f r die dateibasierende Verschl sselung festlegt nicht auf dem Endpoint wirksam Der defin
433. rbindung folgende Schritte aus W hlen Sie unter Verbindungseinstellungen den SQL Datenbankserver aus der Datenbankserver Liste aus Es werden alle Rechner eines Netzwerks aufgelistet auf denen ein Microsoft SQL Server installiert ist Wenn der Server nicht ausw hlbar ist tragen Sie Servername bzw IP Adresse mit dem SQL Instanznamen manuell ein Aktivieren Sie SSL verwenden um die Verbindung zwischen SafeGuard Management Center und SQL Datenbankserver zu sichern Wenn Sie SQL Server Authentisierung ausgew hlt haben empfehlen wir dringend diese Einstellung zu aktivieren da dadurch der Transport der SQL Anmeldedaten verschl sselt wird SSL Verschl sselung erfordert eine funktionsf hige SSL Umgebung auf dem SQL Datenbankserver die Sie vorab einrichten m ssen siehe Sichern von Transportverbindungen mit SSL Seite 41 2 W hlen Sie unter Authentisierung die Art der Authentisierung die f r den Zugriff auf die Datenbankserverinstanz benutzt werden soll Dies ist erforderlich damit das SafeGuard Management Center mit der Datenbank kommunizieren kann Aktivieren Sie Windows NT Authentisierung verwenden um Ihre Windows Anmeldedaten zu verwenden Hinweis Verwenden Sie diese Art der Authentisierung wenn Ihr Computer Teil einer Dom ne ist In diesem Fall sind jedoch zus tzliche Konfigurationsschritte notwendig da der Benutzer dazu berechtigt sein muss eine Verbindung mit der Datenbank herzustellen Weitere Informationen hi
434. rd Enterprise verwalteten Computer kann entweder mit SSL oder mit SafeGuard spezifischer Verschl sselung verschl sselt werden Der Vorteil bei SSL ist dass es ein Standardprotokoll ist und daher eine schnellere Verbindung aufgebaut werden kann als mit der SafeGuard Transportverschl sselung Mac Um die Verbindung zwischen dem SafeGuard Enterprise Server und Mac Endpoints abzusichern muss SSL verwendet werden Hinweis Wir empfehlen dringend SSL verschl sselte Kommunikation zu verwenden es sei denn es handelt sich um Demo oder Test Installationen Falls dies nicht m glich ist und die SafeGuard spezifische Verschl sselung verwendet wird so gilt die Obergrenze von 1000 Clients die eine Verbindung mit einer Serverinstanz herstellen k nnen Bevor SSL f r SafeGuard Enterprise aktiviert werden kann muss eine funktionsf hige SSL Umgebung eingerichtet werden Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung Einrichten von SSL Die folgenden allgemeinen Aufgaben m ssen f r die SSL Einrichtung auf dem Web Server durchgef hrt werden Certificate Authority muss auf dem Server installiert sein um die bei der SSL Verschl sselung verwendeten Zertifikate auszustellen Ein Zertifikat muss ausgestellt und der IIS Server so konfiguriert werden dass er SSL verwendet und auf das Zertifikat zeigt Der Servername den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben muss ident
435. rd Portable das Entschl sseln von Dateien auf Computern ohne SafeGuard Enterprise erlauben Die Benutzer k nnen Daten einfach durch Austausch von Wechselmedien gemeinsam nutzen Wenn sie die Wechselmedien mit ihren Computern verbinden haben sie transparenten Zugriff auf verschl sselte Dateien Hinweis Dieser Anwendungsfall kann durch Benutzung von SafeGuard Enterprise Device Encryption umgesetzt werden Hier ist das gesamte Wechselmedium sektorbasierend verschl sselt Anwendung bei Heimarbeit oder f r pers nlichen Gebrauch auf Dritt Computern Heimarbeit Bob m chte seine verschl sselten Wechselmedien auf seinem Computer zuhause benutzen auf dem SafeGuard Enterprise nicht installiert ist Auf seinem Computer zuhause entschl sselt Bob Dateien mit SafeGuard Portable Da f r alle seine Wechselmedien eine einzige Medien Passphrase definiert ist muss Bob nur SafeGuard Portable ffnen und die Medien Passphrase eingeben Danach hat Bob transparenten Zugriff auf alle verschl sselten Dateien unabh ngig davon welcher lokale Sch ssel f r die Verschl sselung verwendet wurde Pers nlicher Gebrauch auf Dritt Computern Bob verbindet das Wechselmedium mit Joes externer Partner Computer und gibt die Medien Passphrase ein um Zugriff auf die auf dem Medium gespeicherten verschl sselten Dateien zu erhalten Bob kann die Dateien nun verschl sselt oder unverschl sselt auf Joes Computer kopieren Verhalten auf dem Endpoint
436. rden 536870921 Die ASN 1 Verschl sselung ist fehlerhaft 536870922 Fehlerhafte Datenl nge 536870923 Fehlerhafte Signatur 536870924 Fehlerhafter Verschl sselungsmechanismus angewandt Fehler ID 536870925 Administratorhilfe Anzeige Diese Version wird nicht unterst tzt 536870926 Padding Fehler 536870927 Ung ltige Flags 536870928 Das Zertifikat ist abgelaufen und nicht l nger g ltig 536870929 Unkorrekte Zeitangabe Zertifikat noch nicht g ltig 536870930 Das Zertifikat ist entzogen worden 536870931 Die Zertifikats Kette ist ung ltig 536870932 Die Zertifikats Kette konnte nicht erstellt werden 536870933 CDP konnte nicht kontaktiert werden 536870934 Ein Zertifikat welches nur als End Dateneinheit genutzt werden kann ist als CA oder umgekehrt genutzt worden 536870935 Probleme mit der G ltigkeitsl nge der Zertifikate in der Kette 536870936 Fehler bei der ffnung der Datei 536870937 Fehler beim Lesen einer Datei 536870938 Ein oder mehrere Parameter die an die Funktion bergeben worden sind sind nicht korrekt 536870939 Die Ausgabe der Funktion passt nicht in den zur Verf gung gestellten Puffer 536870940 Ein Problem mit dem Token und oder Slot ist aufgetaucht 536870941 Der Token hat nicht genug Speicherkapazit t um die gew nschte Funktion auszuf h
437. rdert wird Hinweis F r mit BitLocker verschl sselte Computer steht als Recovery Aktion nur die Wiederherstellung des Schl ssels der f r die Verschl sselung eines spezifischen Volumes verwendet wurde zur Verf gung Eine Recovery Aktion f r Kennw rter ist nicht verf gbar Wiederherstellen des Kennworts auf SafeGuard POA Ebene Eines der am h ufigsten auftretenden Recovery Szenarien besteht darin dass Benutzer ihr Kennwort vergessen haben SafeGuard Enterprise wird standardm ig mit aktivierter SafeGuard Power on Authentication POA installiert Das SafeGuard POA Kennwort mit dem auf den Computer zugegriffen wird ist identisch mit dem Windows Kennwort 29 2 9 12 29 2513 29 2 5 1 4 29 29 19 Administratorhilfe Wenn der Benutzer das Kennwort auf der SafeGuard POA Ebene vergessen hat generiert der Helpdesk Beauftragte eine Response mit der Option SGN Client mit Benutzeranmeldung booten ohne das Benutzerkennwort anzuzeigen In diesem Fall startet der Computer jedoch nach der Eingabe des Response Codes bis zum Betriebssystem Der Benutzer muss das Kennwort auf Windows Ebene ndern vorausgesetzt die Dom ne ist erreichbar Danach kann der Benutzer sich sowohl an Windows als auch an der SafeGuard Power on Authentication mit dem neuen Kennwort anmelden Best Practice f r das Wiederherstellen des Kennworts auf SafeGuard POA Ebene Wir empfehlen folgende Methoden anzuwenden wenn der Benutzer sein Kennwort vergessen hat
438. rdnen Verwaltungsbeauftragter Verwaltungsbeauftragte k nnen Ihren eigenen Knoten im Bereich Sicherheitsbeauftragte einsehen und sind dazu berechtigt die ihrem Knoten zugeh rigen Sicherheitsbeauftragten zu verwalten a Sicherheitsbeauftragter Sicherheitsbeauftragte haben umfassende Rechte u a f r die SafeGuard Enterprise Konfiguration Richtlinien und Schl sselverwaltung sowie f r berwachung und Recovery Helpdesk Beauftragter Helpdesk Beauftragte sind zur Durchf hrung von Recovery Vorg ngen berechtigt Dar ber hinaus k nnen sie sich die meisten Funktionsbereiche des SafeGuard Management Center anzeigen lassen Audit Beauftragter Um SafeGuard Enterprise berwachen zu k nnen haben Audit Beauftragte die Berechtigung sich die meisten Funktionsbereiche des SafeGuard Management Center anzeigen zu lassen Recovery Beauftragter Recovery Beauftragte sind dazu berechtigt die SafeGuard Enterprise Datenbank zu reparieren 11 1 3 11 1 4 Administratorhilfe Benutzerdefinierte Rollen Als Sicherheitsbeauftragter mit den erforderlichen Rechten k nnen Sie neue Rollen aus einer Liste mit Aktionen Rechten definieren und sie einem vorhandenen oder einem neuen Sicherheitsbeauftragten zuweisen Wie auch bei den vordefinierten Rollen l sst sich die zus tzliche Autorisierung durch einen weiteren Sicherheitsbeauftragten f r eine Funktion der betreffenden Rolle jederzeit aktivieren Bei der Zuweisung einer neuen Rolle
439. re Laufwerke Laufwerksbuchstaben A Z Verschl sselungsmodus f r MedienVolume basierend Keine Verschl sselung Algorithmus f r die Verschl sselungAES128 AES256 Schnelle Initialverschl sselungJa Nein N here Informationen finden Sie unter Ger teschutz Seite 150 Einstellungen in einer Richtlinie des Typs Authentifizierung BitLocker Anmeldemodus f r Boot Laufwerke TPM TPM PIN TPM Systemstartschl ssel Systemstartschl ssel BitLocker Fallback Anmeldemodus f r Boot Laufwerke Systemstartschl ssel Kennwort Kennwort oder Systemstartschl ssel Fehler BitLocker Anmeldemodus f r Datenlaufwerke Auto Unlock Kennwort Systemstartschl ssel BitLocker Fallback Anmeldemodus f r Datenlaufwerke Systemstartschl ssel Kennwort oder Systemstartschl ssel Kennwort N here Informationen finden Sie unter Authentisierung Seite 132 Alle anderen Einstellungen werden vom BitLocker Endpoint ignoriert Verschl sselung auf einem durch BitLocker gesch tzten Computer Vor Beginn der Verschl sselung werden von BitLocker die Verschl sselungsschl ssel generiert Abh ngig vom System kann das Verhalten leicht abweichen Endpoints mit TPM Wenn der Sicherheitsbeauftragte einen Anmeldemodus f r BitLocker einrichtet der TPM TPM TPM PIN oder TPM Systemstartschl ssel beinhaltet wird die TPM Aktivierung automatisch eingeleitet 175 SafeGuard Enterprise 176 Das TPM Trusted Platfor
440. rem folgende Vorteile a Grafische Benutzeroberfl che mit Mausunterst tzung und verschiebbaren Fenstern und damit einfache bersichtliche Bedienung Vom Firmenkunden per Richtlinie anpassbares grafisches Layout Hintergrundbild Anmeldebild Willkommensmeldung etc Unterst tzung f r eine Reihe von Smartcard Leseger ten und Smartcards Unterst tzung von Windows Benutzerkonten und Kennw rtern bereits zum Pre Boot Zeitpunkt keine separaten Zugangsdaten mehr die sich der Benutzer merken muss Unterst tzung von Unicode und damit auch fremdsprachigen Kennw rtern bzw Benutzeroberfl chen Ablauf der Anmeldung SafeGuard Enterprise arbeitet mit zertifikatsbasierter Anmeldung Deswegen ben tigt ein Benutzer zur erfolgreichen Anmeldung in der SafeGuard Power on Authentication Schl ssel und Zertifikate Benutzerspezifische Schl ssel und Zertifikate werden jedoch erst nach einer erfolgreichen Windows Anmeldung erzeugt Nur Benutzer die sich erfolgreich an Windows angemeldet haben k nnen sich sp ter auch in der SafeGuard Power on Authentication authentisieren 16 1 1 Administratorhilfe Um den Ablauf der Anmeldung eines Benutzers in SafeGuard Enterprise zu verdeutlichen im Folgenden eine kurze Einf hrung Eine detaillierte Beschreibung der SafeGuard POA Anmeldevorg nge finden Sie in der SafeGuard Enterprise Benutzerhilfe SafeGuard Autologon Nach dem Neustart erscheint bei der ersten Anmeldung am Endpoint de
441. ren 536870942 Der Token ist aus dem Slot entfernt worden w hrend die Funktion ausgef hrt wurde 536870943 Die gew nschte Funktion konnte nicht ausgef hrt werden es liegen aber keine detaillierten Informationen ber den Grund der Fehlermeldung vor 536870945 Der Computer auf dem die CBI Sammlung l uft besitzt ungen genden Speicher um die gew nschte Funktion auszuf hren Im schlechtesten Fall k nnte es sein dass die Funktion nur teilweise erfolgreich durchgef hrt wird 536870946 Eine gew nschte Funktion wird nicht vom CBI Archiv unterst tz 319 SafeGuard Enterprise 320 Fehler ID 536870947 Anzeige Es wurde versucht einen Wert f r ein Objekt einzustellen welches nicht eingestellt oder abge ndert werden kann 536870948 Ein ung ltiger Wert wurde f r ein Objekt angegeben 536870949 Es wurde versucht den Wert eines Objektes zu erlangen was jedoch fehlschlug da es sich um ein sensibles Objekt handelt bzw es nicht extrahierbar ist 536870950 Die angegebene OIN Lust abgelaufen Ob eine PIN eines normalen Benutzers auf einem ausgegebenen Token jemals abl uft variiert von Token zu Token 536870951 Die angegebene PIN abgelaufen Der Benutzer konnte nicht authentisiert werden 536870952 Die angegebene PIN enth lt ung ltige Zeichen Dieser Antwort Code wird nur f r Funktionen angewandt die versuchen eine PIN einzurichten 536870953
442. renzten Nutzungsdauer wird eine Fehlermeldung ausgegeben Administratorhilfe 6 4 Lizenzstatus berblick So rufen Sie den Lizenzstatus berblick auf 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 Klicken Sie im Navigationsfenster auf der linken Seite auf den Stammknoten die Dom ne die OU das Containerobjekt oder die Arbeitsgruppe 3 Wechseln Sie im Aktionsbereich in die Registerkarte Lizenzen Der Lizenzstatus wird angezeigt Die Anzeige ist in drei Bereiche unterteilt Der obere Bereich zeigt den Namen des Kunden f r den die Lizenz ausgestellt wurde sowie das Datum an dem die Lizenz ausgestellt wurde Der mittlere Bereich liefert detaillierte Informationen zur Lizenz Die einzelnen Spalten enthalten folgende Angaben Erkl rung Status Symbol Zeigt den Status der Lizenzen g ltig Warnung Fehler f r das jeweilige Modul durch ein Symbol an Feature Zeigt das installierte Modul an Erworbene Lizenzen Zeigt die Anzahl an erworbenen Lizenzen f r das installierte Modul an Benutzte Lizenzen Zeigt die Anzahl an genutzten Lizenzen f r das installierte Modul an L uft ab Zeigt das Lizenzablaufdatum an Typ Gibt die Lizenzart Demo Lizenz oder regul re Lizenz an Toleranzwert Zeigt den festgelegten Toleranzwert f r die berschreitung der Anzahl an erworbenen Lizenzen an Wenn Sie die Registerkarte Lizenzen in einer Dom ne OU aufrufen
443. rise Server sie laufen im Standalone Modus Die Computer erhalten ihre Richtlinien ber Konfigurationspakete F r den erfolgreichen Einsatz der Software m ssen Sie ein Konfigurationspaket mit den relevanten Richtliniengruppen erstellen und es ber unternehmenseigene Verteiluingsmechanismen an die Endpoints verteilen Wenn Sie Richtlinieneinstellungen ndern m ssen Sie jeweils neue Konfigurationspakete erstellen und an die Endpoints verteilen Hinweis Konfigurationspakete f r Standalone Endpoints k nnen nur auf Windows Endpoints verwendet werden Konfigurationspaket f r den SafeGuard Enterprise Server F r den erfolgreichen Einsatz der Software m ssen Sie ein Konfigurationspaket f r den SafeGuard Enterprise Server erstellen das die Datenbank sowie die SSL Verbindung definiert Scripting API aktiviert usw Konfigurationspaket f r Macs ber dieses Konfigurationspaket erhalten Macs die Server Adresse und das Unternehmenszertifikat Die Macs bermitteln ihre Statusinformationen die dann im SafeGuard Management Center angezeigt werden Informationen zum Erstellen von Konfigurationspaketen f r Macs finden Sie unter Erstellen von Konfigurationspaketen f r Macs Seite 293 Hinweis berpr fen Sie Ihr Netzwerk und Ihre Computer in regelm igen Abst nden auf veraltete oder nicht benutzte Konfigurationspakete und l schen Sie diese aus Sicherheitsgr nden Deinstallieren Sie vor der Installation eines neuen Konfigurationspakets
444. rmationen Wie auch in anderen Bereichen des SafeGuard Management Center k nnen Sie die Anzeige mit dem Befehl Aktualisieren aktualisieren Sie k nnen diesen Befehl aus dem Kontextmen f r einzelne Computer oder alle Computer in einem Knoten ausw hlen Der Befehl steht au erdem im Ansicht Men in der Men leiste zur Verf gung Zur Aktualisierung der Ansicht k nnen Sie auch das Doppelpfeilsymbol Aktualisieren in der Symbolleiste w hlen berblick Die einzelnen Spalten der bersicht zeigen folgende Informationen Hinweis Einige Spalten sind standardm ig ausgeblendet Sie k nnen diese in der Anzeige einblenden Weitere Informationen finden Sie unter Anzeigen ausgeblendeter Spalten Seite 264 Spalte Erkl rung Computername Zeigt den Namen des Computers Dom ne Zeigt den Dom nennamen des Computers Dom ne Pr 2000 Zeigt den Dom nennamen des Computers vor Windows 2000 Benutzername Besitzer Zeigt den Benutzernamen des Besitzers des Computers falls verf gbar Vorname Zeigt den Vornamen des Besitzers falls verf gbar Nachname Zeigt den Nachnamen des Besitzers falls verf gbar E Mail Adresse Zeigt die E Mail Adresse des Besitzers falls verf gbar Weitere registrierte Benutzer Zeigt die Namen von weiteren registrierten Benutzern des Computers falls verf gbar 265 SafeGuard Enterprise 324 266 Betriebssystem Erkl rung Zeigt das Betriebssystem des Computer
445. rotokollierung zu definieren und die notwendigen Ereignisse unter Ber cksichtigung der Anforderungen f r Berichte und Audits festzulegen Weitere Informationen finden Sie unter Berichte Seite 270 164 Administratorhilfe 21 Festplattenverschl sselung Diese Version von SafeGuard Enterprise unterst tzt Windows 7 und Windows 8 auf Endpoints mit BIOS oder UEFI F r Systeme mit BIOS k nnen Sie zwischen SafeGuard Enterprise Festplattenverschl sselung und von SafeGuard Enterprise verwalteter BitLocker Verschl sselung w hlen Die BIOS Version verwendet den BitLocker eigenen Wiederherstellungsmechanismus Hinweis Wenn in diesem Handbuch von SafeGuard Power on Authentication oder SafeGuard Festplattenverschl sselung die Rede ist dann bezieht sich das nur auf Windows 7 BIOS Endpoints F r UEFI Systeme verwenden Sie die von SafeGuard Enterprise verwaltete BitLocker Verschl sselung f r die Festplattenverschl sselung F r diese Endpoints bietet SafeGuard Enterprise verbesserte Challenge Response Funktionalit ten N here Informationen zu den unterst tzten UEFI Versionen und Beschr nkungen hinsichtlich der Unterst tzung von SafeGuard BitLocker Challenge Response finden Sie in den Versionshinweisen unter http downloads sophos com readmes readsgn_7_eng html Hinweis Wenn sich die Beschreibung nur auf UEFI bezieht ist das explizit angegeben Die Tabelle zeigt welche Komponenten verf gbar sind SafeGuard SafeGuard Powe
446. rprise im SafeGuard Management Center vorhanden ist Als komplett wird ein Benutzer dann bezeichnet wenn f r ihn nach der ersten Anmeldung ein Zertifikat erzeugt und danach sein Schl sselring aufgebaut wurde Erst dann ist die M glichkeit gegeben dass diese Benutzerdaten auch auf andere Computer repliziert werden k nnen Nach der Replikation kann sich der Benutzer auch auf diesen Computern in der SafeGuard POA anmelden In der Standardeinstellung wird der erste Benutzer der sich nach der Installation von SafeGuard Enterprise an den Computer anmeldet in der UMA als Besitzer dieses Computers eingetragen Dieses Attribut erlaubt es dem Benutzer nachdem er sich im Rahmen der SafeGuard Power on Authentication authentisiert hat weiteren Benutzern die Anmeldung an diesem Computer zu erm glichen siehe Registrieren weiterer SafeGuard Enterprise Benutzer Seite 106 Dadurch werden auch sie in die UMA f r diesen Computer aufgenommen So wird automatisch eine Liste aufgebaut die bestimmt welcher Benutzer sich an welchem Computer anmelden darf Diese Liste kann im SafeGuard Management Center bearbeitet werden Benutzer Computer Zuordnung UMA im SafeGuard Management Center Im SafeGuard Management Center kann eine Zuordnung von Benutzern zu bestimmten Computern vorgenommen werden Wird ein Benutzer im SafeGuard Management Center einem Computer zugeordnet oder umgekehrt wird diese Zuweisung in die UMA aufgenommen Seine Benutzerdate
447. rschaffen Der Schutz kann erh ht werden wenn das Betriebssystem immer vollst ndig heruntergefahren oder in den Ruhezustand versetzt wird Informieren Sie die Benutzer entsprechend oder erw gen Sie den Standbymodus auf nicht benutzten Endpoints zentral zu deaktivieren Vermeiden Sie den Standbymodus ebenso wie den hybriden Standbymodus Der hybride Standbymodus ist eine Mischung aus Energiesparmodus und Standbymodus Die Einstellung einer zus tzlichen Kennwort Abfrage nach dem Aufwecken des Computers bietet keinen vollen Schutz Vermeiden Sie das Sperren von Desktops das Ausschalten von Monitoren oder das Zuklappen von Laptops wenn darauf kein vollst ndiges Herunterfahren oder der Ruhezustand folgt Die Einstellung einer zus tzlichen Kennwort Abfrage nach dem Aufwecken des Computers bietet keinen ausreichenden Schutz Fahren Sie stattdessen die Endpoints herunter oder versetzen Sie sie in den Ruhezustand Beim n chsten Benutzen des Computers wird stets die SafeGuard Power on Authentication aktiviert die somit vollen Schutz bietet Hinweis Es ist wichtig dass sich die Ruhezustand Datei auf einem verschl sselten Volume befindet Normalerweise liegt sie auf Laufwerk C Die entsprechenden Einstellungen f r die Energieverwaltung k nnen Sie zentral mit Gruppenrichtlinienobjekten oder lokal im Eigenschaften f r Energieoptionen Dialog in der Systemsteuerung des Endpoints konfigurieren Stellen Sie die Aktion f r die Standbymo
448. rt erfolgen Ohne Token Der Sicherheitsbeauftragte darf sich nicht mit einem Token anmelden Er muss sich ber die Anmeldeinformationen Benutzername Kennwort anmelden Optional Die Anmeldung kann mit Token oder mit Anmeldeinformationen erfolgen Der Sicherheitsbeauftragte kann w hlen Zwingend erforderlich Die Verwendung eines Token zur Anmeldung ist zwingend vorgeschrieben Dazu muss sich der zum Zertifikat des Sicherheitsbeauftragten geh rende private Schl ssel auf dem Token befinden 63 SafeGuard Enterprise Feld Kontrollk stchen Beschreibung Zertifikat Zur Anmeldung an das SafeGuard Management Center ben tigt ein Sicherheitsbeauftragter immer ein Zertifikat Das Zertifikat kann entweder von SafeGuard Enterprise selbst erstellt werden oder es wird ein bereits existierendes verwendet Ist eine Anmeldung mit Token zwingend notwendig so muss das Zertifikat auf den Token des Sicherheitsbeauftragten aufgebracht werden Erzeugen Zertifikat und Schl sseldatei werden neu erstellt und an einem ausw hlbaren Ort gespeichert Dabei muss ein Kennwort f r die p12 Schl sseldatei angegeben und best tigt werden Die p12 Datei muss dem Sicherheitsbeauftragten bei der Anmeldung zur Verf gung stehen Das erstellte Zertifikat wird dem Sicherheitsbeauftragten automatisch zugeteilt und unter Zertifikat angezeigt Wenn SafeGuard Enterprise Kennwortregeln angewendet werden sollten die Regeln im Active Directory deaktiviert werden
449. rt f r die exportierte Konfigurationsdatei SGNConrfig an Sollte diese Konfiguration bereits vorhanden sein so werden Sie gefragt ob Sie die vorhandene Konfiguration berschreiben m chten Die Datenbankkonfiguration wird am angegebenen Speicherort gespeichert Import einer Konfiguration aus einer Datei Um eine Datenbankkonfiguration zu verwenden oder zu ndern k nnen Sie eine zuvor erstellte Konfiguration in das SafeGuard Management Center importieren Hier gibt es zwei M glichkeiten ber das SafeGuard Management Center f r Multi Tenancy durch Doppelklicken auf die Konfigurationsdatei f r Single und Multi Tenancy 63 7 6 Administratorhilfe Import einer Konfiguration ber das SafeGuard Management Center 1 Starten Sie das SafeGuard Management Center Der Dialog Konfiguration ausw hlen wird angezeigt 2 Klicken Sie auf Import w hlen Sie die gew nschte Konfigurationsdatei aus und klicken Sie auf ffnen 3 Geben Sie das Kennwort ein das w hrend des Exports f r die Konfigurationsdatei erstellt wurde und klicken Sie auf OK Die ausgew hlte Konfiguration wird angezeigt 4 Um die Konfiguration zu aktivieren klicken Sie auf OK 5 Zur Authentisierung werden Sie dazu aufgefordert den Sicherheitsbeauftragtennamen f r diese Konfiguration auszuw hlen und das entsprechende Zertifikatsspeicherkennwort einzugeben Klicken Sie auf OK Das SafeGuard Management Center wird ge ffnet und mit
450. rt haben neu Hinweis Wenn Sie Gemalto NET Card oder Nexus Personal Middleware installieren m ssen Sie den Installationspfad der Middleware auch zur PATH Umgebungsvariable der Systemeigenschaften Ihres Computers hinzuf gen Standard Installationspfad f r Gemalto NET Card C Programme Gemalto PKCS11 for NET V2 smart cards a Standard Installationspfad f r Nexus Personal C Programme Personal bin Aktivieren der Middleware Sie m ssen im SafeGuard Management Center ber eine Richtlinie die passende Middleware in Form des PKCS 11 Moduls zuweisen Dies m ssen Sie sowohl f r den Computer auf dem das SafeGuard Management Center l uft als auch f r den Endpoint erledigen Dann erst kann SafeGuard Enterprise mit dem Token kommunizieren Die Einstellung f r das PKCS 11 Modul k nnen Sie folgenderma en ber eine Richtlinie festlegen Voraussetzung Die Middleware wurde auf dem entsprechenden Computer installiert und der Token wurde initialisiert Das SafeGuard Enterprise Client Konfigurationspaket muss zudem auf dem Computer installiert sein auf dem das SafeGuard Management Center l uft 1 Klicken Sie im SafeGuard Management Center auf Richtlinien 2 Legen Sie eine neue Richtlinie des Typs Spezifische Computereinstellungen an oder w hlen Sie eine bereits bestehende Richtlinie dieses Typs aus 3 W hlen Sie im rechten Arbeitsbereich unter Tokenunterst tzung gt Modulname die passende Middleware aus Speichern Sie die Ein
451. ruppieren und die Gruppen den Endpoints zuweisen Die Benutzer die in der POA Gruppe enthalten sind werden zur SafeGuard POA hinzugef gt und k nnen sich mit Ihrem vordefinierten Benutzernamen und Kennwort an der POA anmelden Hinweis F r die Verwaltung von POA Benutzern und POA Gruppen ben tigen Sie das Zugriffsrecht Voller Zugriff f r den POA Knoten unter Benutzer amp Computer Erstellen von POA Benutzern F r das Erstellen von POA Benutzern und POA Gruppen ben tigen Sie das Zugriffsrecht Voller Zugriff f r den POA Knoten unter Benutzer amp Computer 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Benutzer amp Computer Navigationsfenster unter POA den Knoten POA Benutzer 3 Klicken Sie im POA Benutzer Kontextmen auf Neu gt Neuen Benutzer erstellen Der Dialog Neuen Benutzer erstellen wird angezeigt 4 Geben Sie im Feld Vollst ndiger Name einen Namen den Anmeldenamen f r den neuen POA Benutzer ein 5 Optional k nnen Sie eine Beschreibung f r den neuen POA Benutzer eingeben 6 Geben Sie ein Kennwort f r den neuen POA Benutzer ein und best tigen Sie es Hinweis Aus Sicherheitsgr nden sollte das Kennwort bestimmten Mindest Komplexit tsanforderungen entsprechen Zum Beispiel sollte es eine Mindestl nge von 8 Zeichen haben und sowohl aus numerischen als auch alphanumerischen Zeichen bestehen Ist das hier eingegebene Kennwort zu kurz so
452. rwendet werden Buchstaben A Z a z Zahlen 0 9 Unterstriche _ Wenn bereits eine Datenbank angelegt wurde oder wenn Sie das SafeGuard Management Center bereits auf einem anderen Computer installiert haben klicken Sie auf Folgende bestehende Datenbank w hlen und w hlen Sie die entsprechende Datenbank aus der Liste aus 2 Klicken Sie auf Weiter Erstellen eines Haupt Sicherheitsbeauftragten Master Security Officer MSO Als Sicherheitsbeauftragter melden Sie sich am SafeGuard Management Center an um SafeGuard Enterprise Richtlinien zu erstellen und die Verschl sselungssoftware f r die Endbenutzer zu konfigurieren Der Haupt Sicherheitsbeauftragte MSO ist der Administrator h chster Ebene mit allen Rechten und einem Zertifikat das nicht abl uft 1 Geben Sie auf der Seite Daten des Sicherheitsbeauftragten unter Haupt Sicherheitsbeauftragten ID einen Namen f r den Haupt Sicherheitsbeauftragten ein 21 SafeGuard Enterprise 3 6 1 5 6 2 22 2 F hren Sie auf der Seite Zertifikat f r den Haupt Sicherheitsbeauftragten einen der folgenden Schritte aus a Klicken Sie auf Erzeugen um ein neues Zertifikat f r den Haupt Sicherheitsbeauftragten zu erzeugen Sie werden dazu aufgefordert sowohl f r den Zertifikatsspeicher als auch f r die Datei in die das Zertifikat exportiert werden soll private Schl sseldatei P12 jeweils ein Kennwort einzugeben und zu best tigen Das Zertifikat wird erzeugt und unte
453. rzu gibt es verschiedene M glichkeiten Geben Sie den eindeutigen Namen direkt ein W hlen Sie einen Namen indem Sie auf im Abschnitt Virtueller Client des Dialogs Recovery Typ klicken Klicken Sie anschlie end auf Jetzt suchen Eine Liste mit virtuellen Clients wird angezeigt W hlen Sie den gew nschten virtuellen Client aus und klicken Sie auf OK Der Name des virtuellen Clients wird nun auf der Recovery Typ Seite unter Virtueller Client angezeigt 4 Klicken Sie auf Weiter um den Namen der Datei mit dem virtuellen Client zu best tigen Im n chsten Schritt w hlen Sie die erforderliche Recovery Aktion aus Administratorhilfe 29 2 6 6 Auswahl der erforderlichen Recovery Aktion 1 W hlen Sie bei Virtueller Client auf der Angeforderte Aktion Seite eine der folgenden Optionen W hlen Sie Schl ssel angefordert um einen einzelnen Schl ssel f r den Zugriff auf ein verschl sseltes Volume auf dem Computer wiederherzustellen Diese Option ist sowohl f r zentral verwaltete Endpoints als auch f r Standalone Endpoints verf gbar W hlen Sie Kennwort f r Schl sseldatei angefordert um mehrere Schl ssel f r den Zugriff auf verschl sselte Volumes auf dem Computer wiederherzustellen Die Schl ssel werden in einer Datei gespeichert die mit einem Zufallskennwort verschl sselt wird das in der Datenbank abgelegt ist Das Kennwort ist f r jede angelegte Schl sseldatei einzigartig Das Kennwort wird innerhalb des Respo
454. s Letzter Server Kontakt Zuletzt erhaltene Richtlinie Zeigt an wann Datum und Uhrzeit der Computer zuletzt mit dem Server kommuniziert hat Zeigt an wann Datum und Uhrzeit der Computer die letzte Richtlinie erhalten hat Verschl sselte Laufwerke Unverschl sselte Laufwerke Zeigt die verschl sselten Laufwerke des Computers Zeigt die unverschl sselten Laufwerke des Computers POA Typ Gibt an ob der Computer ein nativer SafeGuard Enterprise Endpoint ein BitLocker Endpoint mit Challenge Response ein BitLocker Endpoint mit eingebautem Recovery Mechanismus ein FileVault 2 Endpoint oder ein Endpoint mit einer selbst verschl sselnden Opal Festplatte ist Gibt an ob die SafeGuard Power on Authentication f r den Computer aktiviert ist nderungsdatum Gibt an ob Wake on LAN f r den Computer aktiviert ist Zeigt das Datum an dem sich die Bestandsinformationen durch Anforderung einer Bestandsaktualisierung oder bermittlung neuer Bestandsinformationen vom Client ge ndert haben Aktualisierung angefordert Stamm DSN Zeigt das Datum der letzten Aktualisierungsanforderung an Der in diesem Feld angezeigte Wert wird bei der Verarbeitung der Anforderung durch den Client wieder gel scht Zeigt den Distinguished Name des dem Computer bergeordneten Containerobjekts an Diese Spalte wird nur dann angezeigt wenn im Filter Bereich das Feld Einschlie lich Sub Container aktiviert wurde
455. s Zugriffsrecht Voller Zugriff f r die relevante Dom ne 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Rechts klicken Sie im linken Navigationsfenster auf der Dom ne die umbenannt werden soll und w hlen Sie Eigenschaften 3 ndern Sie in Allgemeine Informationen unter Vollst Name den Namen der Dom ne und die Beschreibung 4 In Netbios Name k nnen Sie den Namen des Dom nen Controllers ndern 5 Au erdem k nnen Sie in der Registerkarte Containereinstellungen den Wake on LAN Modus f r den automatischen Neustart festlegen 6 Klicken Sie zur Best tigung Ihrer Einstellungen auf OK Die nderungen sind nun gespeichert L schen einer Dom ne Als Sicherheitsbeauftragter mit den n tigen Berechtigungen k nnen Sie Dom nen l schen Um eine Dom ne zu l schen ben tigen Sie das Zugriffsrecht Voller Zugriff f r die relevante Dom ne Hinweis Falls die Dom ne Mitglieder hatte werden diese ebenfalls gel scht 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Rechts klicken Sie im linken Navigationsfenster auf der Dom ne die gel scht werden soll und w hlen Sie L schen 3 Klicken Sie auf Ja Die Dom ne wird gel scht Eventuelle Mitglieder werden ebenfalls gel scht Hinweis Wenn Sie das Zugriffsrecht Voller Zugriff nicht f r alle Mitglieder der Dom ne haben schl gt das L schen der Dom ne fehl und es wird eine Fehlermeldung angezeigt 1
456. s angemeldet haben Manuelle UMA Bereinigung f r Standalone Clients aktivieren Maximale Anzahl von SGN Windows Benutzern bevor Benutzer automatisch gel scht werden ANZEIGEOPTIONEN Hinweis Diese Einstellung gilt nur f r Standalone Endpoints Legt fest ob Benutzer SGN Benutzer und SGN Windows Benutzer aus der Benutzer Computer Zuordnung entfernen d rfen Wenn Sie hier Ja ausw hlen steht der Befehl Benutzer Computer Zuordnung im System Tray Icon Men auf dem Endpoint zur Verf gung Mit diesem Befehl wird eine Liste von Benutzern angezeigt die sich bei der SafeGuard Power on Authentication als SGN Benutzer und bei Windows als SGN Windows Benutzer anmelden k nnen Im angezeigten Dialog k nnen Benutzer aus der Liste entfernt werden Nach dem Entfernen von SGN Benutzern oder SGN Windows Benutzern k nnen sich diese nicht mehr an der SafeGuard Power on Authentication oder an Windows anmelden Hinweis Diese Einstellung gilt nur f r zentral verwaltete Endpoints Mit dieser Einstellung k nnen Sie eine automatisch Bereinigung der SafeGuard Enterprise Windows Benutzer auf zentral verwalteten Endpoints aktiviert Sobald der hier gesetzte Schwellwert von einem SafeGuard Enterprise Windows Benutzer berschritten wird werden alle vorhandenen SafeGuard Enterprise Windows Benutzer au er dem neuen aus der Benutzer Computer Zuordnung entfernt Die Standardeinstellung ist 10 Computer Identifikation anzeigen Text
457. s wird empfohlen die neueste Datei herunterzuladen und dem Installationsprogramm bereitzustellen SafeGuard Enterprise berpr ft w hrend der Installation am Endpoint und w hrend dem ersten Neustart ob die Hardware die Anforderungen f r BitLocker mit SafeGuard Challenge Response erf llt Falls nicht wird die SafeGuard Enterprise BitLocker Verwaltung ohne Challenge Response ausgef hrt In diesem Fall kann der BitLocker Recovery Schl ssel mit dem SafeGuard Policy Editor abgerufen werden BitLocker Drive Encryption mit SafeGuard Enterprise verwalten Mit SafeGuard Enterprise k nnen Sie BitLocker Drive Encryption vom SafeGuard Management Center aus verwalten wie einen nativen SafeGuard Enterprise Client Als Sicherheitsbeauftragter k nnen Sie Verschl sselungs und Authentisierungsrichtlinien einrichten und an die BitLocker Endpoints verteilen W hrend der Installation des SafeGuard Enterprise Client auf Windows 7 muss die BitLocker Funktion explizit ausgew hlt werden um die BitLocker Verwaltung zu erm glichen Sobald ein BitLocker Endpoint bei SafeGuard Enterprise registriert ist werden Informationen zu Benutzer Computer Anmeldemodus und Verschl sselungsstatus angezeigt Dar ber hinaus werden Ereignisse f r BitLocker Clients protokolliert Die Verwaltung von BitLocker Clients in SafeGuard Enterprise ist transparent Das hei t die Verwaltungsfunktionen haben im Allgemeinen dieselbe Funktionsweise f r BitLocker und 173 S
458. sammenfassen werden die Einstellungen automatisch vereinigt Sie k nnen daf r eine Auswertungsreihenfolge festlegen Die Einstellungen einer h her gereihten Richtlinie berschreiben jene einer niedriger priorisierten Eine definierte Richtlinieneinstellung berschreibt Einstellungen aus anderen Richtlinien wenn die Richtlinie mit dieser Einstellung eine h here Priorit t hat die Richtlinieneinstellung noch nicht definiert ist nicht konfiguriert Hinweis berlappende Richtlinien die einer Gruppe zugeordnet sind k nnen zu einer falschen Ermittlung der Priorit ten f hren Verwenden Sie separate Richtlinieneinstellungen Ausnahme Ger teschutz Richtlinien f r den Ger teschutz werden nur vereinigt wenn sie f r dasselbe Ziel z B Boot Volume angelegt werden Weisen sie auf verschiedene Ziele werden sie addiert Zusammenfassen von Richtlinien zu Gruppen Voraussetzung Die einzelnen Richtlinien der verschiedenen Typen m ssen angelegt sein 1 Klicken Sie im Navigationsbereich auf Richtlinien 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf Richtlinien Gruppen und w hlen Sie Neu 3 Klicken Sie auf Neue Richtlinien Gruppe Es wird ein Dialog f r die Benennung der Richtlinien Gruppe angezeigt 4 Geben Sie einen eindeutigen Namen und optional eine Beschreibung f r die Richtlinien Gruppe ein Klicken Sie auf OK 5 Die neu angelegte Richtlinie Gruppe wird im Navigationsfenster unter Richtlin
459. sbar Die dateibasierende Verschl sselung von SafeGuard kann verwendet werden Deaktivieren der BitLocker To Go Verschl sselung 1 W hlen Sie im Windows Gruppenrichtlinien Editor Local Computer Policy Computer Configuration Administrative Templates Windows Components BitLocker Drive Encryption Removable Data Drives 2 Unter Wechseldatentr ger w hlen Sie die folgende Richtlinie Verwendung von BitLocker auf Wechseldatentr gern steuern Setzen Sie die Optionen wie folgt a W hlen Sie Aktiviert b Deaktivieren Sie unter Optionen die Option Benutzer k nnen BitLocker Schutz auf Wechseldatentr gern anwenden c W hlen Sie unter Optionen die Option Benutzer k nnen BitLocker Schutz auf Wechseldatentr gern anhalten und entschl sseln 3 Klicken Sie auf OK BitLocker To Go Verschl sselung wird auf den Endpoints deaktiviert Der Benutzer kann neue Laufwerke nicht mehr mit BitLocker To Go verschl sseln Laufwerke die bereits vor Bereitstellung der nativen SafeGuard Enterprise Device Encryption Client Komponenten mit BitLocker To Go verschl sselt wurden bleiben lesbar Die Registry Einstellungen auf dem Client werden folgenderma en gesetzt HKEY_LOCAL_MACHINE SOFTWARE POolicies Microsoft FVE RDVConfigureBDE dword 0000000 1 RDVAllowBDE dword 00000000 RDVDisableBDE dword 00000001 Diese Registry Einstellungen werden auch w hrend der Installation der SafeGuard Enterprise Device Encryption Client Komponenten gesetzt
460. sch Franz sisch und Japanisch werden unterst tzt Starten Sie das SafeGuard Management Center neu Er wird in der ausgew hlten Sprache angezeigt SafeGuard Enterprise Oberfl chensprache auf Endpoints Die Sprache von SafeGuard Enterprise auf dem Endpoint steuern Sie ber den Richtlinientyp Allgemeine Einstellungen im SafeGuard Management Center Einstellung Anpassung gt Sprache am Client a Wenn die Sprache des Betriebssystems gew hlt wird richtet sich die Produktsprache nach der Spracheinstellung des Betriebssystems Steht die entsprechende Betriebssystemsprache in SafeGuard Enterprise nicht zur Verf gung wird standardm ig die englische Version von SafeGuard Enterprise angezeigt Wenn eine der zur Verf gung stehenden Sprachen gew hlt wird werden die SafeGuard Enterprise Funktionen auf dem Endpoint in der ausgew hlten Sprache angezeigt 5 S1 9 2 Administratorhilfe Konfigurieren des SafeGuard Management Center Nach der Installation m ssen Sie das SafeGuard Management Center konfigurieren Der SafeGuard Management Center Konfigurationsassistent unterst tzt Sie bei der Erstkonfiguration durch Hilfestellung bei der Definition der grundlegenden SafeGuard Management Center Einstellungen sowie bei der Konfiguration der Datenbankverbindung Der Assistent wird automatisch aufgerufen wenn Sie das SafeGuard Management Center zum ersten Mal nach der Installation starten Sie k nnen das SafeGuard Management Cent
461. sch verschl sselt wenn sie auf die Festplatte geschrieben werden Die Festplatten werden mit einem AES 128 256 Schl ssel als Opal Kennwort gesperrt Dieses Kennwort wird von SafeGuard Enterprise ber eine Verschl sselungsrichtlinie verwaltet siehe Sperren von Opal Festplatten Seite 296 Sperren von Opal Festplatten Um Opal Festplatten zu sperren muss f r mindestens ein Volume auf der Festplatte der Computerschl ssel in einer Verschl sselungsrichtlinie definiert werden Wenn die Verschl sselungsrichtlinie ein Boot Volume umfasst wird der Computerschl ssel automatisch definiert 1 Erstellen Sie im SafeGuard Management Center eine Richtlinie vom Typ Ger teschutz 2 W hlen Sie im Verschl sselungsmodus f r Medien Feld die Einstellung Volume basierend 3 W hlen Sie im Feld Schl ssel f r die Verschl sselung die Einstellung Definierter Computerschl ssel 4 Speichern Sie Ihre nderungen in der Datenbank 5 bertragen Sie die Richtlinie an den relevanten Endpoint Die Opal Festplatte ist gesperrt Der Zugriff ist nur ber die Anmeldung an der SafeGuard Power on Authentication m glich 36 6 36 7 Administratorhilfe Berechtigung von Benutzern zum Entsperren von Opal Festplatten Als Sicherheitsbeauftragter k nnen Sie Benutzer dazu berechtigen Opal Festplatten auf ihren Endpoints mit dem Entschl sseln Befehl aus dem Windows Explorer Kontextmen zu entsperren Voraussetzung In der Ger teschutz Richtl
462. schen der protokollierten Ereignisse fehlgeschlagen Administration Sicherheitsbeauftragter erlaubt die Erneuerung eines Zertifikats Administration Beauftragter verbietet die Erneuerung eines Zertifikats Administration nderungen an den Einstellungen f r die Zertifikatserneuerung fehlgeschlagen Administration Zertifikat f r Beauftragten gewechselt Administration Zertifikatswechsel f r Beauftragten fehlgeschlagen Administration Erzeugen von Arbeitsgruppen Administration Fehlgeschlagenes Erzeugen von Arbeitsgruppen Administration L schen von Arbeitsgruppen Kategorie Administration Ereignis ID Administratorhilfe Beschreibung Fehlgeschlagenes L schen von Arbeitsgruppen Administration Erzeugen von Benutzern Administration Fehlgeschlagenes Erzeugen von Benutzern Administration Erzeugen von Maschinen Administration Fehlgeschlagenes Erzeugen von Maschinen Administration Die Lizenz wurde verletzt Administration Schl sseldatei wurde erzeugt Administration Schl ssel f r Schl sseldatei wurde gel scht Administration Sicherheitsbeauftragter hat die Power on Authentication in einer Richtlinie deaktiviert Administration LSH Fragenthema erstellt Administration LSH Fragenthema ge ndert Administration LSH Fragenthema gel scht Administration Frage ge ndert
463. schleunigung der Initialverschl sselung von Volumes Dies wird dadurch erreicht dass nur auf den Speicherplatz zugegriffen wird der tats chlich in Gebrauch ist Dieser Modus kann zu einem unsichereren Zustand f hren wenn ein Volume vor der Verschl sselung mit SafeGuard Enterprise bereits in Gebrauch war Aufgrund Ihres Aufbaus sind Solid State Disks SSD hier st rker betroffen als regul re Festplatten Dieser Modus ist standardm ig deaktiviert Weitere Informationen finden Sie unter http www sophos com de de support knowledgebase 113334 aspx Verwenden Sie nur den Algorithmus AES 256 f r die Datenverschl sselung Verwenden Sie SSL TLS SSL Version 3 oder h her f r den Schutz der Kommunikation zwischen Client und Server Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung Administratorhilfe Verhindern Sie die Deinstallation Um Endpoints zus tzlich zu sch tzen kann die lokale Deinstallation von SafeGuard Enterprise ber eine Richtlinie mit spezifischen Computereinstellungen verhindert werden Setzen Sie das Feld Deinstallation erlaubt auf Nein und bermitteln Sie die Richtlinie an die Endpoints Versuche die Software zu deinstallieren werden abgebrochen und die nicht autorisierten Versuche werden protokolliert Wenn Sie eine Demoversion benutzen setzen Sie vor Ablauf der Demoversion die Option Deinstallation erlaubt auf Ja Wenden Sie den Sophos Manipulationsschutz auf
464. se 110285 aspx Sie k nnen diese Datei anpassen um die Hardware einer spezifischen Umgebung abzudecken Hinweis Wenn Sie eine angepasste Datei definieren wird nur diese verwendet nicht die in der msi Datei integrierte Datei Die Standarddatei wird nur angewendet wenn keine SafeGuard POA Konfigurationsdatei definiert ist oder keine gefunden wird Um die SafeGuard POA Konfigurationsdatei zu installieren geben Sie folgenden Befehl ein MSIEXEC i lt Client MSI Paket gt POACFG lt Pfad der SafeGuard POA Konfigurationsdatei gt Sie k nnen uns bei der Optimierung der Hardware Kompatibilit t unterst tzen indem Sie ein von uns zur Verf gung gestelltes Tool ausf hren Dieses Tool liefert ausschlie lich Hardware relevante Informationen Das Tool ist einfach zu bedienen Die gesammelten Informationen werden zur Hardware Konfigurationsdatei hinzugef gt F r weitere Informationen siehe http www sophos com de de support knowledgebase 110285 aspx Die folgenden Hotkeys werden in der SafeGuard POA unterst tzt a Shift F3 USB Legacy Unterst tzung An Aus Shift F4 VESA Grafikmodus Aus An Shift F5 USB 1 x und 2 0 Unterst tzung Aus An Shift F6 ATA Controller Aus An Shift F7 nur USB 2 0 Unterst tzung Aus An USB 1 x Unterst tzung bleibt wie ber Shift F5 gesetzt Shift F9 ACPI APIC Aus An USB Hotkeys Abh ngigkeitsmatrix Shift F3 Shift F5 Shift F7 Legacy UNPA Anmerkung Standard
465. sel mit Der Benutzer kann den Schl ssel eingeben um den Zugriff auf das mit BitLocker verschl sselte Volume auf dem Endpoint wiederherzustellen Recovery Schl ssel f r Mac Endpoints Der Zugriff auf mit FileVault 2 verschl sselte SafeGuard Enterprise Clients kann mit folgenden Schritten wiederhergestellt werden 1 W hlen Sie auf der Recovery Typ Seite die Option SafeGuard Enterprise Client Managed 2 W hlen Sie unter Dom ne die gew nschte Dom ne aus der Liste 255 SafeGuard Enterprise 29 9 29 5 1 256 3 Geben Sie unter Computer den gew nschten Computernamen ein oder w hlen Sie ihn aus Hierzu gibt es mehrere M glichkeiten Um einen Namen auszuw hlen klicken Sie auf Klicken Sie anschlie end auf Jetzt suchen Eine Liste mit Computern wird angezeigt W hlen Sie den gew nschten Computer aus und klicken Sie auf OK Der Computername wird im Fenster Recovery Typ unter Dom ne angezeigt Geben Sie den Kurznamen des Computers direkt in das Feld ein Wenn Sie auf Weiter klicken wird der Name in der Datenbank gesucht Der gefundene Computername wird als Distinguished Name angezeigt Geben Sie den Computernamen direkt als Distinguished Name ein zum Beispiel CN Desktopl OU Development OU Headquarter DC Utimaco DC edu 4 Klicken Sie auf Weiter 5 Der Recovery Assistent zeigt den 24 stelligen Recovery Schl ssel an 6 Teilen Sie dem Benutzer diesen Schl ssel mit Der Benutzer kann den
466. selung Seite 167 Bei defekten Sektoren fortfahren Legt fest ob die Verschl sselung fortgesetzt oder gestoppt werden soll wenn defekte Sektoren entdeckt werden Die Standardeinstellung ist Ja DATEIBASIERENDE EINSTELLUNGEN Initialverschl sselung aller Dateien Bewirkt dass die Initialverschl sselung f r ein Laufwerk automatisch nach der Benutzeranmeldung gestartet wird Der Benutzer muss eventuell vorher einen Schl ssel aus dem Schl sselbund ausw hlen Benutzer darf Initialverschl sselung abbrechen Bewirkt dass der Benutzer die Initialverschl sselung abbrechen kann Benutzer darf auf unverschl sselte Dateien zugreifen Definiert ob ein Benutzer auf unverschl sselte Dateien auf einem Laufwerk zugreifen darf Benutzer darf Dateien entschl sseln Bewirkt dass der Benutzer einzelne Dateien oder ganze Verzeichnisse entschl sseln kann ber die Windows Explorer Erweiterung lt rechte Maustaste gt Richtlinieneinstellung Benutzer darf eine Medien Passphrase f r Wechselmedien erzeugen Administratorhilfe Erkl rung Bewirkt dass der Benutzer eine Medien Passphrase auf seinem Endpoint festlegen kann Die Medien Passphrase erm glicht den einfachen Zugriff auf alle lokalen Schl ssel auf Computern ohne SafeGuard Data Exchange ber SafeGuard Portable Nur f r Wechselmedien und Cloud Storage SafeGuard Portable auf das Ziel kopieren Standardschl ssel f r
467. snnnnnnnnnnnnnnnnnnnn 191 23 6 File Encryption und SafeGuard Data Exchange neenmeennnenennnnnnnnn 191 24 SafeGuard Data Exchange ursnnnneensnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnenn nn 193 24 1 Gruppenschl ssel uursenssnsesnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 193 24 2 0Kale Schl ssel 2 z c nahe a a 193 24 3 Medien P ssphrase t 2 2 Haan ER a e aei ea a 194 24 4 Best Pr clice eenn mie ei a ER 195 24 5 Konfigurieren von vertrauensw rdigen und ignorierten Anwendungen f r SafeGuard Data Exchange anne seele aeara eaaa i eaaa ienaa 200 24 6 Konfigurieren von ignorierten Ger ten f r SafeGuard Data Exchange 200 24 7 Konfigurieren der persistenten Verschl sselung f r SafeGuard Data EXChange t ea iM RiRn Hi ERE 201 24 8 Protokollierung des Dateizugriffs auf Wechselmedien 202 24 9 SafeGuard Data Exchange und File Encryption esrsnnneennnnnnnnn 202 25 Glo d St fage an un ee 203 25 1 Anforderungen f r Software von Cloud Storage Anbietern 203 25 2 Anlegen von Cloud Storage Definitionen 200snnennnnnnnnnnnnnnnnnnnnn 203 25 3 Erstellen einer Ger teschutz Richtlinie mit dem Ziel Cloud Storage 209 25 4 Protokollierung des Dateizugriffs im Cloud Speicher 209 26 Benutzer Computer Zuordnung UMA uuessssessnnnnnsnnnnnnnn
468. sponse Zentral verwaltete Protokollierung Verschl sselung von Wechselmedien z B USB Sticks mit SafeGuard Data Exchange 295 SafeGuard Enterprise 36 3 36 4 36 5 296 Verwaltung von Endpoints mit Opal Festplatten durch SafeGuard Enterprise Sie k nnen Endpoints mit selbst verschl sselnden Opal Festplatten im SafeGuard Management Center wie alle anderen durch SafeGuard Enterprise gesch tzten Endpoints verwalten Als Sicherheitsbeauftragter k nnen Sie Sicherheitsrichtlinien z B f r die Authentisierung erstellen und sie an die Endpoints verteilen Sobald ein Endpoint mit einer Opal Festplatte bei SafeGuard Enterprise registriert ist werden Informationen zu Benutzer Computer Anmeldemodus und Verschl sselungsstatus angezeigt Au erdem werden Ereignisse protokolliert Die Verwaltung von Endpoints mit Opal Festplatten in SafeGuard Enterprise ist transparent Das hei t die Verwaltungsfunktionen haben im Allgemeinen dieselbe Funktionsweise wie f r andere durch SafeGuard Enterprise gesch tzte Endpoints Der Computertyp l sst sich in der Registerkarte Bestand eines Containers unter Benutzer amp Computer ermitteln Die Spalte POA Typ zeigt an ob der betreffende Computer durch SafeGuard Enterprise verschl sselt ist oder eine selbst verschl sselnde Opal Festplatte verwendet Verschl sselung von Opal Festplatten Festplatten die dem Opal Standard entsprechen sind selbst verschl sselnd Daten werden automati
469. ss immer in der Datenbank verbleiben Wird ein Benutzer der zum Sicherheitsbeauftragten ernannt wurde aus der Datenbank gel scht so wird auch sein Benutzerkonto aus der Datenbank gel scht Hinweis Wenn der zu l schende Sicherheitsbeauftragte eine Rolle hat die zus tzliche Autorisierung umfasst und dem Sicherheitsbeauftragten als einziger diese Rolle zugewiesen ist wird der Sicherheitsbeauftragte trotzdem gel scht Es wird angenommen dass der Haupt Sicherheitsbeauftragte die zus tzliche Autorisierung bernimmt Administratorhilfe 12 Schl ssel und Zertifikate SafeGuard Enterprise erzeugt in der Standardeinstellung beim Import der Verzeichnisstruktur automatisch Schl ssel f r Dom nen Container OUs und weist diese den entsprechenden Objekten zu Computer und Benutzerschl ssel werden bei Bedarf erzeugt Schl ssel f r Gruppen In der Standardeinstellung erzeugt SafeGuard Enterprise nicht automatisch Schl ssel f r Gruppen Dieses Verhalten ist standardm ig deaktiviert All Sicherheitsbeauftragter k nnen Sie dieses Verhalten in der Schl ssel Registerkarte ndern indem Sie Extras gt Optionen w hlen Ist in der Sch ssel Registerkarte die Option Gruppen ausgew hlt so generiert SafeGuard Enterprise automatisch Gruppenschl ssel wenn die Datenbank synchronisiert wird In der Registerkarte Synchronisierungwird unten angegeben f r was Schl ssel bei der Durchf hrung der Synchronisierung erzeugt werden Sch
470. stallation an den Endpoint zu bertragen Um die Service Account Liste zu diesem Zeitpunkt auf dem Endpoint zur Verf gung zu stellen nehmen Sie in das erste Konfigurationspaket das Sie zur Konfiguration des Endpoint nach der Installation erstellen eine Richtlinie vom Typ Authentisierung mit den entsprechenden Einstellungen auf Sie k nnen die Einstellungen f r die Service Account Liste jederzeit ndern eine neue Richtlinie erstellen und diese an die Endpoints bertragen Anmeldung auf einem Endpoint mit einem Service Account Bei der ersten Windows Anmeldung nach dem Neustart des Endpoint meldet sich ein Benutzer der auf einer Service Account Liste aufgef hrt ist an dem Endpoint als SafeGuard Enterprise Gastbenutzer an Diese erste Windows Anmeldung an diesem Endpoint l st weder eine ausstehende Aktivierung der SafeGuard Power on Authentication aus noch wird durch die Anmeldung der Benutzer zum Endpoint hinzugef gt Das SafeGuard Enterprise System Tray Icon zeigt in diesem Fall auch nicht den Balloon Tool Tip Initialer Benutzerabgleich abgeschlossen an 18 7 Administratorhilfe Anzeige des Service Account Status auf dem Endpoint Der Gastbenutzer Anmeldestatus wird auch ber das System Tray Icon angezeigt Weitere Informationen zum System Tray Icon finden Sie in der SafeGuard Enterprise Benutzerhilfe Kapitel System Tray Icon und Balloon Ausgabe Beschreibung des SGN Benutzerstatus Felds Protokollierte Ereignisse
471. stallierte SafeGuard Enterprise Module WOL Status Benutzerinformationen Mac Endpoints im Bestand Der Bestand liefert Statusdaten f r im SafeGuard Management Center verwaltete Macs Weitere Informationen finden Sie unter Bestands und Statusinformationen f r Macs Seite 293 Einsehen von Bestandsinformationen 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 Klicken Sie im Navigationsfenster auf der linken Seite auf den jeweiligen Container Dom ne Arbeitsgruppe oder Computer 3 Wechseln Sie im Aktionsbereich auf der rechten Seite in die Registerkarte Bestand 4 W hlen Sie im Bereich Filter die gew nschten Filter f r die Bestandsanzeige siehe Filtern von Bestandsinformationen Seite 264 Hinweis Wenn Sie einen einzelnen Computer w hlen stehen die Bestandsinformationen direkt nach dem Wechsel in die Registerkarte Bestand zur Verf gung Der Bereich Filter ist hier nicht verf gbar 5 Klicken Sie im Bereich Filter auf das Lupensymbol 263 SafeGuard Enterprise Sy 32 4 264 Die Bestands und Statusinformationen werden in einer bersichtstabelle f r alle Maschinen des ausgew hlten Containers angezeigt Dar ber hinaus stehen f r die einzelnen Maschinen die Registerkarten Laufwerke Benutzer und Merkmale zur Verf gung Durch Klicken auf die einzelnen Spalten Header lassen sich die Bestands und Statusinformationen nach den jeweiligen Spalteninforma
472. startet Pr fen der Datenbankintegrit t Bei der Anmeldung an die Datenbank wird die Datenbankintegrit t automatisch gepr ft Sollte diese berpr fung Fehler ergeben wird der Dialog Datenbankintegrit t pr fen angezeigt Sie k nnen die Datenbankintegrit t auch jederzeit nach der Anmeldung pr fen und hierzu den Dialog Datenbankintegrit t pr fen aufrufen 1 W hlen Sie in der Men leiste des SafeGuard Management Center Extras gt Datenbankintegrit t 2 Um die Tabellen zu pr fen klicken Sie auf Alle pr fen oder Ausgew hlte pr fen Danach werden fehlerhafte Tabellen im Dialog markiert Um die Fehler zu beheben klicken Sie auf Reparieren Hinweis Nach einer Aktualisierung des SafeGuard Enterprise Backend SQL wird die Pr fung der Datenbankintegrit t immer gestartet Die Pr fung muss einmal pro SafeGuard Enterprise Datenbank durchgef hrt werden um die Aktualisierung abzuschlie en 8 8 1 Administratorhilfe Registrieren und Konfigurieren des SafeGuard Enterprise Server Zur Implementierung der Informationen f r die Kommunikation zwischen IIS Server Datenbank und dem SafeGuard gesch tzten Endpoint muss der SafeGuard Enterprise Server registriert und konfiguriert werden Die Informationen werden in einem Server Konfigurationspaket gespeichert Diesen Schritt f hren Sie im SafeGuard Management Center durch Der Workflow ist davon abh ngig ob der SafeGuard Enterprise Server auf demselben Computer wie das S
473. stellungen 4 Weisen Sie die Richtlinie zu SafeGuard Enterprise kann nun mit dem Token kommunizieren Ausstellen eines Token Beim Ausstellen eines Token in SafeGuard Enterprise werden Daten auf den Token geschrieben die dann f r die Authentisierung verwendet werden Bei den Daten handelt es sich um die Anmeldeinformationen und Zertifikate 221 SafeGuard Enterprise 27 5 1 2032 222 In SafeGuard Enterprise k nnen Token f r folgende Benutzerrollen ausgestellt werden Token f r Endbenutzer von zentral verwalteten Endpoints Token f r Sicherheitsbeauftragte SO Zugriff auf den Token haben sowohl der Benutzer als auch der Sicherheitsbeauftragte SO Der Benutzer ist der der den Token benutzen soll Nur er hat Zugriff auf private Objekte und Schl ssel Der SO hat nur Zugriff auf ffentliche Objekte kann allerdings die Benutzer PIN zur cksetzen Ausstellen eines Token oder einer Smartcard f r Benutzer Voraussetzungen Der Token muss initialisiert und das passende PKCS 11 Modul aktiviert worden sein Das SafeGuard Enterprise Client Konfigurationspaket muss zudem auf dem Computer installiert sein auf dem das SafeGuard Management Center l uft Sie ben tigen das Zugriffsrecht Voller Zugriff f r den relevanten Benutzer 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Stecken Sie den Token an der USB Schnittstelle ein SafeGuard Enterprise liest den Token ein 3 W
474. t Wenn ein Benutzer auf einem Endpoint auf dem File Encryption nicht installiert ist auf eine verschl sselte Datei zugreift wird der verschl sselte Inhalt angezeigt Sind in den durch die Verschl sselungsrichtlinie abgedeckten Speicherorten bereits Dateien vorhanden so werden diese nicht automatisch verschl sselt Die Benutzer m ssen auf dem Endpoint eine Initialverschl sselung im SafeGuard Assistent f r Dateiverschl sselung durchf hren Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Benutzerhilfe Hinweis SafeGuard File Encryption ist mit der in Windows integrierten EFS Verschl sselung und Dateikomprimierung nicht kompatibel Wenn die EFS Verschl sselung aktiviert ist erh lt sie Priorit t vor etwaig anwendbaren File Encryption Verschl sselungsregeln In den relevanten Ordnern angelegte Dateien k nnen in diesem Fall nicht von File Encryption verschl sselt werden Wenn die Komprimierung aktiviert ist hat die Verschl sselung durch File Encryption eine h here Priorit t Dateien werden verschl sselt jedoch nicht komprimiert Um Dateien mit File Encryption zu verschl sseln muss die EFS Verschl sselung oder die Komprimierung zun chst deaktiviert werden Dies kann manuell oder durch Ausf hren des SafeGuard Enterprise Assistenten f r die Initialverschl sselung erfolgen Hinweis N here Informationen bei Verwendung von Mac Endpoints und SafeGuard File Encryption for Mac entnehmen Sie den folgen
475. t dann bezieht sich das nur auf Windows 7 BIOS Endpoints F r UEFI Systeme verwenden Sie die von SafeGuard Enterprise verwaltete BitLocker Verschl sselung f r die Festplattenverschl sselung F r diese Endpoints bietet SafeGuard Enterprise verbesserte Challenge Response Funktionalit ten N here Informationen zu den unterst tzten UEFI Versionen und Beschr nkungen hinsichtlich der Unterst tzung von SafeGuard BitLocker Challenge Response finden Sie in den Versionshinweisen unter http downloads sophos com readmes readsgn_7_eng html Hinweis Wenn sich die Beschreibung nur auf UEFI bezieht ist das explizit angegeben Die Tabelle zeigt welche Komponenten verf gbar sind SafeGuard BitLocker mit Pre Boot SafeGuard C R Festplattenverschl sselung Authentication PBA Wiederherstellung f r mit SafeGuard Power on von SafeGuard verwaltet BitLocker Pre Boot Authentication POA Authentication PBA Windows 7 BIOS Windows 7 UEFI Windows 8 BIOS Windows 8 UEFI Windows 8 1 BIOS Windows 8 1 UEFI Hinweis SafeGuard C R Wiederherstellung f r BitLocker Pre Boot Authentication PBA ist nur auf 64 bit Systemen verf gbar SafeGuard Festplattenverschl sselung mit SafeGuard Power on Authentication POA ist das Sophos Modul zur Verschl sselung von Laufwerken auf Endpoints Es wird mit einer von Sophos entwickelten Pre Boot Authentication namens SafeGuard Power On Authentication SafeGuard Enterprise 10 POA
476. t werden d rfen Sinnvoll ist die Definition von Kennwortgenerationen insbesondere in Verbindung mit der Einstellung Kennwort l uft ab nach Tage Beispiel Die Anzahl der Kennwortgenerationen f r den Benutzer M ller wurde auf 4 festgelegt die der Tage nach denen der Benutzer das Kennwort wechseln muss auf 30 Herr M ller meldete sich bislang mit dem Kennwort Informatik an Nach Ablauf der Frist von 30 Tagen wird er aufgefordert sein Kennwort zu ndern Herr M ller tippt als neues Kennwort wieder Informatik ein und erh lt die Fehlermeldung dass er dieses Kennwort bereits verwendet hat und ein anderes Kennwort w hlen muss Informatik darf Herr M ller erst nach der vierten da Kennwortgenerationen 4 Aufforderung zur Eingabe eines neuen Kennworts verwenden Hinweis Wenn f r die Kennwortgeneration 0 eingestellt ist kann der Benutzer das alte Kennwort als neues Kennwort festlegen Dies entspricht jedoch nicht der g ngigen Praxis und ist daher nicht zu empfehlen Administratorhilfe 20 7 Passphrase f r SafeGuard Data Exchange Der Benutzer muss eine Passphrase eingeben die zum Erzeugen von lokalen Schl sseln f r den sicheren Datenaustausch mit SafeGuard Data Exchange verwendet wird Die auf den Endpoints erzeugten Schl ssel werden auch in der SafeGuard Enterprise Datenbank gespeichert Die erforderlichen Einstellungen definieren Sie in einer Richtlinie vom Typ Passphrase Weitere Informationen
477. t gespeichert wird f r den keine Verschl sselungsregel gilt bleibt die resultierende neue Datei unverschl sselt Mit persistenter Verschl sselung bleiben Kopien von verschl sselten Dateien auch dann verschl sselt wenn sie an einem Speicherort abgelegt werden f r den keine Verschl sselungsregel gilt Sie k nnen die persistente Verschl sselung in Richtlinien vom Typ Allgemeine Einstellungen konfigurieren Die Richtlinieneinstellung Persistente Verschl sselung aktivieren ist standardm ig aktiviert Hinweis Wenn Dateien an ein ignoriertes Ger t oder in einen Ordner kopiert oder verschoben werden f r den eine Richtlinie mit dem Modus f r die Verschl sselung Ignorieren gilt hat die Einstellung Persistente Verschl sselung aktivieren keine Auswirkungen Kopiervorg nge werden anhand des Dateinamens erkannt Wenn ein Benutzer eine verschl sselte Datei mit Speichern unter unter einem anderen Dateinamen an einem Speicherort speichert f r den keine Verschl sselungsregel gilt ist die Datei unverschl sselt 201 SafeGuard Enterprise 24 8 24 9 202 Protokollierung des Dateizugriffs auf Wechselmedien Mit der Funktion Berichte des SafeGuard Management Center l sst sich der Dateizugriff auf Wechselmedien protokollieren Datei Tracking F r Datei Tracking spielt es keine Rolle ob f r Dateien auf Wechselmedien eine Verschl sselungsrichtlinie gilt In einer Richtlinie vom Typ Protokollierung k nnen Sie Folg
478. t manuell ge ndert werden Richtlinieneinstellung Administratorhilfe Erkl rung Standardm ig ist der Recovery Vorgang f r die Anmeldung bei besch digtem Local Cache deaktiviert Er wird automatisch aus seiner Sicherungskopie wiederhergestellt F r die Reparatur des Windows Local Cache ist also in diesem Fall kein Challenge Response Verfahren notwendig Wenn der Windows Local Cache explizit ber ein Challenge Response Verfahren repariert werden soll w hlen Sie in diesem Feld die Einstellung Ja Local Self Help Local Self Help aktivieren Legt fest ob sich Benutzer mit Local Self Help an ihrem Endpoint anmelden d rfen wenn sie ihr Kennwort vergessen haben Local Self Help erm glicht Benutzern die Anmeldung durch die Beantwortung einer definierten Anzahl an zuvor festgelegten Fragen in der SafeGuard Power on Authentication Sie erhalten somit auch dann Zugriff zu ihrem Computer wenn weder eine Internet noch eine Telefonverbindung zur Verf gung stehen Hinweis F r die Benutzung von Local Self Help ist es notwendig dass die automatische Anmeldung an Windows aktiviert ist Andernfalls funktioniert die Anmeldung ber Local Self Help nicht Minimale L nge der Antwort Willkommenstext unter Windows Definiert die Mindestl nge in Zeichen f r die Local Self Help Antworten Hier k nnen Sie einen individuellen Informationstext angeben der beim Starten des Local Self Help Assistenten auf dem Endpoint
479. te 2 W hlen Sie in der SafeGuard Management Center Men leiste Aktionen gt Sicherungsdatei ffnen Das Fenster Sicherung ffnen wird angezeigt 3 W hlen Sie die zu ffnende Sicherungsdatei aus und klicken Sie auf ffnen Die Sicherungsdatei wird ge ffnet und die Ereignisse werden in der Ereignisanzeige angezeigt Um wieder zur regul ren Ansicht der Ereignisanzeige zur ckzukehren klicken Sie erneut auf das Symbol Sicherungsdatei ffnen in der Symbolleiste 33 13 3313 1 Administratorhilfe Regelm ige S uberung der EVENT Tabelle ber Skript Hinweis Das SafeGuard Management Center bietet den Taskplaner f r das Erstellen und Planen von auf Skripten basierenden Tasks die in regelm igen Abst nden ausgef hrt werden Auf dem SafeGuard Enterprise Server startet ein Service die Tasks automatisch zur Ausf hrung der angegebenen Skripte F r die automatische und effiziente S uberung der EVENT Tabelle stehen im tools Verzeichnis Ihrer SafeGuard Enterprise Software Lieferung vier SQL Skripte zur Verf gung spShrinkEventTable_install sql u ScheduledShrinkEventTable_install sql spShrinkEventTable_uninstall sql ScheduledShrinkEventTable_uninstall sql Die beiden Skripte spsShrinkEventTable_install sql und ScheduledShrinkEventTable_install sql installieren eine gespeicherte Prozedur sowie den Scheduled Job auf dem Datenbank Server Der Scheduled Job f hrt die gespeicherte Prozedur in festgelegten regel
480. te auf den Knoten f r den Sie pers nliche Schl ssel erzeugen m chten Auf einen Dom nenknoten auf den Automatisch registriert Knoten im Stammverzeichnis oder in Dom nen oder auf einen Organisationseinheitenknoten 3 W hlen Sie aus dem Kontextmen den Befehl Pers nliche Schl ssel f r Benutzer erzeugen 75 SafeGuard Enterprise 12 2 4 12 3 76 4 F hren Sie im Dialog Pers nliche Schl ssel f r Benutzer erzeugen folgende Schritte durch a Geben Sie eine Beschreibung f r die pers nlichen Schl ssel ein b Um die pers nlichen Schl ssel im Schl sselring der Benutzer zu verbergen w hlen Sie Schl ssel verbergen c Um vorhandene aktive Schl ssel durch neue zu ersetzen w hlen Sie Vorhandene aktive pers nliche Schl ssel ersetzen 5 Klicken Sie auf OK F r alle Benutzer im ausgew hlten Knoten werden pers nliche Schl ssel erzeugt In der Registerkarte Schl ssel werden die Schl ssel als Aktive pers nliche Schl ssel f r die Benutzer angezeigt Wenn Benutzer bereits zuvor einen aktiven pers nlichen Schl ssel hatten und Sie Vorhandene aktive pers nliche Schl ssel ersetzen gew hlt haben werden die vorhandenen Schl ssel zur ckgestuft und die Benutzer erhalten neue Die zur ckgestuften pers nlichen Schl ssel verbleiben in den Schl sselringen der Benutzer Die einzelnen aktiven pers nlichen Schl ssel k nnen anderen Benutzern nicht zugewiesen werden Zur ckstufen von aktiven pers
481. tei ist fehlgeschlagen 30065 Datei nicht gefunden 30066 Karte nicht eingef hrt 315 SafeGuard Enterprise Fehler ID Anzeige Unzul ssiges Argument Die Semaphore wird derzeit verwendet Die Semaphore ist momentan in Benutzung Allgemeiner Fehler Sie haben momentan nicht die Rechte die angefragte Aktion durchzuf hren Normalerweise ist es notwendig zuvor ein Kennwort einzugeben Der Service ist momentan nicht verf gbar Ein Element z B ein Schl ssel mit einem bestimmten Namen konnte nicht gefunden werden Das angegebene Kennwort ist falsch Das Kennwort wurde mehrere Male falsch eingegeben und ist daher geblockt Benutzen Sie ein Verwaltungstool um dieses zu entsperren Die Identit t stimmt nicht mit der definierten Identit ts Gegenprobe berein Mehrere Fehler sind aufgetreten Benutzen Sie diesen Fehlercode wenn dies die einzige M glichkeit ist einen Fehlercode zu erhalten aber vorher verschiedene Fehler aufgetreten sind Einige Elemente sind noch vorhanden daher kann z B die Verzeichnisstruktur etc nicht gel scht werden Fehler w hrend des Konsistenztestes Die ID ist auf der Schwarzen Liste Die angefragte Aktion ist daher nicht erlaubt Ung ltiges Handle Ung ltige Konfigurationsdatei Abschnitt nicht gefunden Eintrag nicht gefunden Keine weiteren Abschnitte vorhanden Ende der Datei erreicht Der angege
482. tem aktive Anmeldemodus ein erlaubter Fallback Anmeldemodus ist dann kommt der hier definierte Anmeldemodus nicht zur Anwendung BitLocker Anmeldemodus f r Wenn die als BitLocker Anmeldemodus f r Boot Laufwerke Boot Laufwerke Fallback festgelegte Einstellung nicht angewendet werden kann bietet SafeGuard Enterprise folgende Alternativen f r die Anmeldung Kennwort Der Benutzer muss ein Kennwort eingeben Systemstartschl ssel Der Schl ssel f r die Anmeldung wird auf einem USB Stick gespeichert Kennwort oder Systemstartschl ssel USB Sticks werden nur verwendet wenn Kennw rter auf dem Client Betriebssystem nicht unterst tzt werden Fehler Es wird eine Fehlermeldung angezeigt und das Volume wird nicht verschl sselt Hinweis Bei Clients mit Version 6 1 oder niedriger werden die Werte Kennwort oder Systemstartschl ssel und Kennwort den alten Einstellungen Systemstartschl ssel und Fehler zugeordnet 136 Administratorhilfe Richtlinieneinstellung Erkl rung Hinweis Kennw rter werden erst ab Windows 8 oder h her unterst tzt BitLocker Anmeldemodus f r Bei Datenlaufwerken sind die folgenden Optionen verf gbar Datenlaufwerk ateniaufwerke Auto Unlock Wenn das Boot Laufwerk verschl sselt ist wird ein externer Schl ssel generiert und auf dem Boot Laufwerk gespeichert Die Datenlaufwerke werden dann automatisch verschl sselt Sie werden automatisch mit der Auto Unlock Funktion von Bitloc
483. ten Dateien auf den Wechselmedien durch die Eingabe einer einzigen Medien Passphrase Wenn die Firmenrichtlinien zus tzlich festlegen dass alle Dateien auf Wechselmedien immer verschl sselt werden sollen f gen Sie folgende Einstellungen hinzu Initialverschl sselung aller Dateien Ja Stellt sicher dass Dateien auf Wechselmedien verschl sselt werden sobald die Wechselmedien zum ersten Mal mit dem System verbunden werden Benutzer darf Initialverschl sselung abbrechen Nein Der Benutzer kann die Initialverschl sselung nicht abbrechen um sie z B zu einem sp teren Zeitpunkt durchzuf hren Benutzer darf auf unverschl sselte Dateien zugreifen Nein Werden auf Wechselmedien unverschl sselte Dateien entdeckt so wird der Zugriff auf diese Dateien verweigert Benutzer darf Dateien entschl sseln Nein Der Benutzer darf Dateien auf Wechselmedien nicht entschl sseln Im B ro haben sowohl Bob als auch Alice transparenten Zugriff auf verschl sselte Dateien auf Wechselmedien Zuhause k nnen sie verschl sselte Dateien mit SafeGuard Portable durch Eingabe der Medien Passphrase ffnen Wenn Bob oder Alice die Wechselmedien an einen Dritt Computer weitergeben m chten auf dem SafeGuard Data Exchange nicht installiert ist k nnen sie mit lokalen Schl sseln sicherstellen dass externe Partner nur auf einige spezifische Dateien zugreifen k nnen Dies ist eine erweiterte Konfiguration die durch die M glichkeit lokale Schl ssel auf de
484. tenbank hinterlegt Token werden anhand der Seriennummer identifiziert und sind dann in SafeGuard Enterprise bekannt Es ergeben sich erhebliche Vorteile Sie wissen welche Token im Umlauf sind und welchen Benutzern sie zugeordnet sind a Sie wissen wann sie ausgestellt wurden Wenn Token verlorengegangen sind kann der Sicherheitsbeauftragte sie identifizieren und f r die Authentisierung sperren Damit kann Datenmissbrauch verhindert werden a Trotzdem kann der Sicherheitsbeauftragte ber Challenge Response die Anmeldung ohne Token zeitweilig erlauben z B wenn ein Benutzer seine PIN vergessen hat Hinweis Bei SafeGuard volume basierender Verschl sselung wird diese Recovery Option f r die Anmeldung mit kryptographischen Token Kerberos nicht unterst tzt Token Typen Der Begriff Token bezieht sich auf alle verwendeten Technologien und ist nicht an eine bestimmte Form von Ger t gebunden Dies umfasst alle Ger te die Daten f r die Identifizierung 27 1 1 262 Administratorhilfe und Authentisierung speichern und bertragen k nnen zum Beispiel Smartcards und USB Token SafeGuard Enterprise unterst tzt die folgenden Token Smartcard Typen f r die Authentisierung a Nicht kryptographisch Die Authentisierung in der SafeGuard POA und in Windows erfolgt auf der Grundlage der auf dem Token gespeicherten Anmeldedaten Benutzername Kennwort kryptographisch Kerberos Die Authentisierung in der SafeGuard POA und
485. tieren Dar ber hinaus steht ber das Kontextmen der einzelnen Spalten eine Reihe von Funktionen f r die Sortierung Gruppierung und Anpassung der Ereignisanzeige zur Verf gung Wenn Sie auf einen Eintrag in der Ereignisanzeige doppelklicken werden Details zum protokollierten Ereignis angezeigt 33 5 1 Filtern der SafeGuard Enterprise Ereignisanzeige Das SafeGuard Management Center bietet umfassende Filterfunktionen Mit diesen Funktionen k nnen Sie die jeweils relevanten Ereignisse schnell aus F lle der in der Ereignisanzeige dargestellten Informationen ermitteln Im Filter Bereich der Ereignisanzeige stehen folgende Felder f r die Definition von Filtern zur Verf gung 274 33 6 33 6 1 Administratorhilfe Beschreibung Kategorien Unter Anwendung dieses Felds l sst sich die Ereignisanzeige nach den in der Spalte Kategorie angegebenen Klassifizierungen durch die Quelle zum Beispiel Verschl sselung Anmeldung System filtern W hlen Sie hierzu die gew nschten Kategorien in der Dropdownliste des Felds aus Fehlerstufe Unter Anwendung dieses Felds l sst sich die Ereignisanzeige nach den in der Spalte Ebene angegebenen Windows Ereignisklassifizierungen z B Warnung Fehler filtern W hlen Sie hierzu die gew nschten Ebenen in der Dropdownliste des Felds aus Zeige letzte In diesem Feld k nnen Sie die Anzahl der anzuzeigenden Ereignisse festlegen Es werden jeweils die zuletzt protokollierten Ereignisse
486. tion ein Objekt oder Daten sind nicht vorhanden 1 Unzul ssiger Eintrag Ein Objekt existiert bereits Unzul ssiger Funktionsaufruf Es ist ein interner Fehler aufgetreten Es ist eine Zugriffsverletzung aufgetreten Funktion oder Modus wird nicht unterst tzt Deinstallation ist fehlgeschlagen Es ist ein Ausnahmefehler aufgetreten Der MBR Sektor der Festplatte konnte nicht ersetzt werden Taskplaner Dienst wurde wegen eines Ausnahmefehlers angehalten Task Planer Task erfolgreich ausgef hrt Task Planer Task fehlgeschlagen 314 Administratorhilfe Fehler ID Anzeige 2853 Task Planer Task erzeugt oder ge ndert 2854 Task Planer Task gel scht 20001 Unbekannt 20002 Prozess beendet 20003 Datei nicht verifiziert 20004 Ung ltige Richtlinie 30050 Die Anweisung ffnen war nicht erfolgreich 30051 Nicht genug Speicherplatz Allgemeiner Fehler in der Prozess Kommunikation 30053 Auf eine Ressource kann nicht zugegriffen werden Das ist ein tempor rer Zustand und ein sp terer Versuch k nnte erfolgreich beendet werden 30054 Allgemeiner Kommunikationsfehler 30055 Unerwarteter R ckgabewert 30061 Die gew nschte Funktionsart wird nicht unterst tzt zu dieser Zeit In dieser OS in dieser Situation 30062 Ung ltiger Treiber 30063 Die Firmware der angeschlossenen Hardware ist von dieser Software nicht nutzbar 30064 ffnen der Da
487. tion des SafeGuard Management Center muss durchgef hrt worden sein Um die Konfigurationsarbeiten zu erleichtern haben Sie folgende M glichkeiten Mehrere Datenbankkonfigurationen erstellen Zuvor erstellte Datenbankkonfiguration ausw hlen Datenbankkonfiguration l schen Zuvor erstellte Datenbankkonfiguration aus einer Datei importieren Datenbankkonfiguration zur sp teren Wiederverwendung exportieren Erstellen von weiteren Datenbankkonfigurationen So erstellen Sie eine weitere SafeGuard Enterprise Datenbankkonfiguration nach der Erstkonfiguration 1 Starten Sie das SafeGuard Management Center Der Dialog Konfiguration ausw hlen wird angezeigt 2 Klicken Sie auf Neu Der SafeGuard Management Center Konfigurationsassistent wird automatisch gestartet Der Assistent f hrt Sie durch die notwendigen Schritte f r das Anlegen einer neuen Datenbankkonfiguration 3 Nehmen Sie die erforderlichen Einstellungen vor Die neue Datenbankkonfiguration wird erstellt 4 Zur Anmeldung an das SafeGuard Management Center werden Sie dazu aufgefordert den Namen des Sicherheitsbeauftragten f r diese Konfiguration auszuw hlen und Ihr Zertifikatsspeicherkennwort einzugeben Klicken Sie auf OK 33 SafeGuard Enterprise 34 1 2 3 1 4 Das SafeGuard Management Center wird ge ffnet und mit der neuen Datenbankkonfiguration verbunden Wenn Sie das SafeGuard Management Center das n chste Mal starten k nnen Si
488. tionen sortieren Dar ber hinaus steht ber das Kontextmen der einzelnen Spalten eine Reihe von Funktionen f r die Sortierung Gruppierung und Anpassung der angezeigten Anzeige zur Verf gung Je nach Ihren Zugriffsrechten werden die Informationen im Bestand in unterschiedlichen Farben angezeigt Informationen f r Objekte f r die Sie das Recht Voller Zugriff haben werden schwarz angezeigt Informationen f r Objekte f r die Sie das Recht Schreibgesch tzt haben werden blau angezeigt Informationen f r Objekte f r die Sie keine Zugriffsrechte haben werden grau angezeigt Anzeigen ausgeblendeter Spalten Einige Spalten sind in der Bestandsanzeige standardm ig ausgeblendet 1 Klicken Sie mit der rechten Maustaste in die Spaltenkopfzeilenleiste der Bestandsanzeige 2 W hlen Sie aus dem Kontextmen den Befehl Laufende Spaltenanpassung Das Fenster Anpassung mit den ausgeblendeten Spalten wird angezeigt 3 Ziehen Sie die gew nschte Spalte aus dem Fenster Anpassung in die Spaltenkopfzeilenleiste Die Spalte wird in der Bestandsanzeige angezeigt Um die Spalte wieder auszublenden ziehen Sie sie zur ck in das Fenster Anpassung Filtern von Bestandsinformationen F r die bersicht der Bestandsinformationen f r OUs lassen sich Filter definieren um die Darstellung nach bestimmten Kriterien einzuschr nken Im Filter Bereich der Registerkarte Bestand stehen folgende Felder f r die Definition von Filtern zur V
489. tionen usw Protokollierung Legt fest welche Ereignisse wo protokolliert werden Configuration Protection Hinweis Configuration Protection wird nur f r SafeGuard Enterprise Clients bis zur Version 6 0 unterst tzt Dieser Richtlinientyp ist im 7 0 SafeGuard Management Center weiterhin f r ltere Clients mit Configuration Protection enthalten Einstellungen erlauben sperren f r die Verwendung von Ports Peripherieger ten Wechselmedien Druckern usw Dateiverschl sselung Einstellungen f r dateibasierende Verschl sselung auf lokalen Festplatten und im Netzwerk speziell f r Arbeitsgruppen bei Netzwerkfreigaben Administratorhilfe Im SafeGuard Management Center stehen f r alle Richtlinientypen Standardrichtlinien zur Verf gung F r Ger teschutz Richtlinien stehen Richtlinien f r die Festplattenverschl sselung Ziel Massenspeicher Cloud Storage Ziel DropBox und Data Exchange Ziel Wechselmedien zur Verf gung Die Optionen in diesen Standardrichtlinien sind auf die relevanten Standardwerte gesetzt Sie k nnen die Standardeinstellungen Ihren Anforderungen anpassen Die Standardrichtlinien haben den Namen lt Richtlinientyp gt Default Hinweis Die Namen der Standardrichtlinien richten sich nach der Spracheinstellung w hrend der Installation Wenn Sie die Sprache des SafeGuard Management Center nachtr glich ndern verbleiben die Namen der Standardrichtlinien in der w hrend der Installation eingestellten S
490. tlinie aus Im rechten Aktionsbereich unter Protokollierung werden die vordefinierten Ereignisse die protokolliert werden k nnen angezeigt Ein Klick auf die Spalten berschrift sortiert die Ereignisse nach ID Kategorie usw 275 SafeGuard Enterprise 33 6 2 276 3 Um die Protokollierung des Dateizugriffs zu aktivieren w hlen Sie je nach Anforderung die folgenden Ereignisse F r Dateien die auf Wechselmedien gespeichert sind a D 3020 Datei Tracking f r Wechselmedien Eine Datei wurde erstellt a ID 3021 Datei Tracking f r Wechselmedien Eine Datei wurde umbenannt a D 3022 Datei Tracking f r Wechselmedien Eine Datei wurde gel scht F r Dateien die im Cloud Speicher gespeichert sind a D 3025 Datei Tracking f r Cloud Speicher Eine Datei wurde erstellt a ID 3026 Datei Tracking f r Cloud Speicher Eine Datei wurde umbenannt a D 3027 Datei Tracking f r Cloud Speicher Eine Datei wurde gel scht Um festzulegen dass ein Ereignis in der SafeGuard Enterprise Datenbank protokolliert werden soll w hlen Sie das Ereignis in der Spalte mit dem Datenbanksymbol Ereignisse in der Datenbank protokollieren durch Klicken mit der Maus aus F r Ereignisse die in der Windows Ereignisanzeige protokolliert werden sollen klicken Sie in der Spalte mit dem Ereignisprotokollsymbol Im Ereignisprotokoll protokollieren Bei den f r die Protokollierung ausgew hlten Ereignissen wird in der betreffenden Spalte ein gr nes
491. tragter legen Sie den zu verwendenden Anmeldemodus in einer Sicherheitsrichtlinie vom Typ Authentisierung fest Auswahl der Token Anmeldeoption Kerberos Sie m ssen ein Zertifikat in einer PKI ausstellen und es auf dem Token ablegen Dieses Zertifikat wird als Benutzerzertifikat in die SafeGuard Enterprise Datenbank importiert Falls dort bereits ein automatisch erzeugtes Zertifikat existiert wird es durch das importierte Zertifikat berschrieben Aktivieren der automatischen Anmeldung an der SafeGuard POA mit Default Token PIN Eine per Richtlinie verteilte Default Token PIN erm glicht die automatische Benutzeranmeldung an der SafeGuard Power on Authentication Somit muss nicht jeder einzelne Token separat ausgestellt werden und die Benutzer k nnen sich ohne Benutzerinteraktion automatisch an der SafeGuard Power on Authentication anmelden Wenn bei der Anmeldung ein Token benutzt wird und dem Computer eine Default PIN zugeordnet ist wird eine durchgehende Anmeldung an der SafeGuard Power on Authentication durchgef hrt Der Benutzer muss hier keine PIN eingeben Als Sicherheitsbeauftragter k nnen Sie diese spezifische PIN in einer Richtlinie vom Typ Authentisierung festlegen und sie verschiedenen Computern oder Computergruppen z B allen Computern eines Standorts zuordnen So aktivieren Sie die automatische Anmeldung mit einer Default Token PIN 1 Klicken Sie im SafeGuard Management Center auf Richtlinien 2 W hlen Sie ei
492. ts 1 2 Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients Klicken Sie auf das Lupensymbol um eine vollst ndige Liste aller virtuellen Clients zu erstellen Filtern Sie die virtuellen Clients nach Symbolischer Name oder Schl ssel GUID 12 5 6 Ansichten f r exportierte Schl sseldateien 82 1 2 3 Klicken Sie im SafeGuard Management Center zun chst auf Virtuelle Clients und dann auf Exportierte Schl sseldateien Klicken Sie auf das Lupensymbol um eine vollst ndige Liste aller exportierten Schl sseldateien zu erstellen Klicken Sie auf das Symbol neben der gew nschten Schl sseldatei um die in der Datei enthaltenen Schl ssel anzuzeigen Administratorhilfe 12 5 7 L schen von virtuellen Clients 1 ffnen Sie das SafeGuard Management Center und klicken Sie auf Schl ssel und Zertifikate 2 Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients 3 Klicken Sie im Aktionsbereich auf das Lupensymbol um nach dem gew nschten virtuellen Client zu suchen Die verf gbaren virtuellen Clients werden angezeigt 4 W hlen Sie den gew nschten Eintrag im Aktionsbereich aus und klicken Sie in der Symbolleiste auf Virtuellen Client l schen 5 Speichern Sie ihre nderungen in der Datenbank indem Sie in der Symbolleiste auf das Symbol Speichern klicken Der virtuelle Client wird aus der Datenbank gel scht 83 SafeGuard Enterprise 13 Company Certific
493. ts zu l schen 4 Geben Sie einen Ausgabepfad f r das Konfigurationspaket an 5 Klicken Sie auf Konfigurationspaket erstellen 123 SafeGuard Enterprise 1972 19 7 4 19 8 124 6 Installieren Sie das Konfigurationspaket auf den Endpoints Durch Installation des Konfigurationspakets werden die Benutzer aus der Gruppe zur SafeGuard POA auf den Endpoints hinzugef gt Die POA Benutzer stehen f r die Anmeldung an die POA zur Verf gung Hinweis Wenn Sie Standalone Endpoints auf zentral verwaltete Endpoints migrieren bleiben die POA Benutzer aktiv wenn Sie auch im SafeGuard Management Center zugewiesen wurden Die in den POA Gruppen die mit Konfigurationspaketen installiert wurden gesetzten Kennw rter werden auf die im SafeGuard Management Center angegebenen Kennw rter gesetzt Kennw rter die mit F8 ge ndert wurden werden berschrieben Weitere Informationen zur Migration von Standalone Endpoints zu zentral verwalteten Endpoints finden Sie im SafeGuard Enterprise upgrade guide Aufheben der POA Benutzer Zuweisung bei Standalone Endpoints POA Benutzer lassen sich von Standalone Endpoints entfernen indem Sie eine leere POA Gruppe zuweisen 1 W hlen Sie im Tools Men des SafeGuard Management Center den Befehl Konfigurationspakete 2 W hlen Sie ein vorhandenes Konfigurationspaket aus oder erstellen Sie ein neues 3 W hlen Sie eine leere POA Gruppe die Sie zuvor im Bereich Benutzer amp Computer des SafeGuard
494. tschl sselung mit BitLocker Computer die mit BitLocker verschl sselt wurden lassen sich nicht automatisch entschl sseln Die Entschl sselung kann entweder ber den Men punkt BitLocker Drive Encryption in der Systemsteuerung oder mit dem Microsoft Befehlszeilentool Manage bde ausgef hrt werden Um Benutzern zu erlauben mit BitLocker verschl sselte Laufwerke h ndisch zu entschl sseln muss dem Endpoint eine Richtlinie ohne Verschl sselungsregel f r ein BitLocker verschl sseltes Laufwerk zugewiesen werden Der Benutzer kann dann die Entschl sselung durch Deaktivieren von BitLocker f r das gew nschte Laufwerk unter BitLocker Drive Encryption in der Systemsteuerung ausl sen BitLocker To Go Ab Windows 7 wurde die BitLocker Laufwerkverschl sselung mit BitLocker To Go erweitert so dass Benutzer auch Volumes auf Wechselmedien verschl sseln k nnen BitLocker To Go kann nicht durch SafeGuard Enterprise verwaltet werden BitLocker To Go kann verwendet werden wenn die Client Komponenten f r SafeGuard Enterprise BitLocker Unterst tzung installiert wurden Wenn die Client Komponenten f r die volume basierende Verschl sselung von SafeGuard Enterprise installiert wurden dann ist BitLocker To Go nicht kompatibel und wird deaktiviert 177 SafeGuard Enterprise 21 2 6 1 21 2 7 213 178 Volumes und Wechselmedien die vor der Installation von SafeGuard Enterprise mit BitLocker To Go verschl sselt wurden bleiben le
495. tsicherheits Beauftragter in der SafeGuard Enterprise Datenbank angelegt wurde Ein Haupt Sicherheitsbeauftragter kann Aufgaben an andere Personen delegieren Dazu gibt es zwei M glichkeiten Ein neuer Benutzer Sicherheitsbeauftragter kann unter Sicherheitsbeauftragte angelegt werden Ein aus dem Active Directory importierter und im Stammverzeichnis des SafeGuard Management Center sichtbarer Benutzer oder alle Mitglieder eines Containers k nnen unter Benutzer amp Computer zu Sicherheitsbeauftragten gemacht werden Den Sicherheitsbeauftragten k nnen eine oder mehrere Rollen zugeordnet werden Einem Benutzer kann z B die Rolle des Verwaltungsbeauftragten und die Rolle des Helpdesk Beauftragten zugewiesen werden Der Haupt Sicherheitsbeauftragte kann aber auch selbst definierte Rollen anlegen und bestimmten Sicherheitsbeauftragten zuweisen Vordefinierte Rollen Im SafeGuard Management Center sind neben dem Haupt Sicherheitsbeauftragten die folgenden Rollen vordefiniert Die diesen vordefinierten Rollen zugewiesenen Rechte k nnen nicht ge ndert werden Verf gt eine vordefinierte Rolle z B ber das Recht Richtlinien und Richtliniengruppen erstellen so kann dieses Recht nicht aus der Rolle entfernt werden Es k nnen auch keine neuen Rechte zu einer vordefinierten Rollen hinzugef gt werden Die zus tzliche Autorisierung durch einen weiteren Sicherheitsbeauftragten hingegen l sst sich jederzeit den vordefinierten Rollen zuo
496. tuelle Ordner f r den Desktop Bereich Eigene Dateien quivalent zu CSIDL_MYDOCUMENTS Typischer Pfad C Documente und Einstellungen Benutzername Eigene Dateien lt Downloads gt Der Ordner in dem standardm ig Downloads gespeichert werden Ein typischer Pfad unter Windows ist C Benutzer Benutzername Downloads Das Dateisystemverzeichnis das als allgemeines Repository f r Musikdateien dient Typischer Pfad C Documente und Einstellungen Benutzername Eigene Dateien Eigene Musik lt Pictures gt Das Dateisystemverzeichnis das als allgemeines Repository f r Bilddateien dient Typischer Pfad C Documente und Einstellungen Benutzername Eigene Dateien Eigene Bilder Das Dateisystemverzeichnis das als allgemeines Repository f r Dokumente f r alle Benutzer dient Typischer Pfad C Benutzer lt Benutzername gt ffentlich lt User Profile gt Der Profilordner des Benutzers Typischer Pfad C Benutzer Benutzername Hinweis Die Verschl sselung des gesamten Benutzerprofils mit diesem 185 SafeGuard Enterprise Pfad Platzhalter Betriebssystem Wert auf dem Endpoint Alle Windows und Mac OS X Platzhalter kann zu einem instabilen Windows Desktop auf dem Endpoint f hren lt Videos gt lt Cookies gt Windows Das Dateisystemverzeichnis das als allgemeines Repository f r Videodateien f r alle Benutzer dient Typischer Pfad C Documente und Einstellungen Alle Benutzer Dateien
497. uf OK Das f r das Challenge Response Verfahren gew hlte Laufwerk wird entschl sselt AR Key x SafeGuard k d Language select Encrypted Volumes Engish 1033 3 Um sicherzustellen dass die Entschl sselung erfolgreich durchgef hrt werden konnte w hlen Sie das entschl sselte Laufwerk im Windows PE Dateimanager aus D E la xi Edt New Favorites Go View Tools 2 e e ello o x paG amp ur ja alla TE Eee Mora Jr Overwrite I Zip Password I Relative Path I Update I Hidden System 2 object s 0 object s selecte D 72 64 MB free 86 26 MB total object s s d free i RUER Launch a Text Editor a FM Extra Find File Hex Viewer Image Viewer Der Inhalt des entschl sselten Laufwerks wird nun im Dateimanager angezeigt Das Dateisystem und die Kapazit t sowie der benutzte freie Speicherplatz werden nun in den Eigenschaften des entschl sselten Laufwerks angegeben Der Zugriff auf die Daten die auf dieser Partition gespeichert sind ist wiederhergestellt Nach der erfolgreichen Entschl sselung haben Sie auf dem entsprechenden Laufwerk Lese und Schreibzugriff f r Daten Sie k nnen Daten vom und auf das Laufwerk kopieren 29 2 7 Challenge Response f r Sophos SafeGuard Clients Standalone SafeGuard Enterprise bietet Challenge Response f r Recovery Vorg nge z B wenn der Benutzer sein Kennwort vergessen oder es
498. ugriffsrecht Voller Zugriff f r den POA Knoten unter Benutzer amp Computer 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Benutzer amp Computer Navigationsfenster unter POA POA Gruppe die relevante POA Gruppe Im Aktionsbereich des SafeGuard Management Center auf der rechten Seite wird die Mitglieder Registerkarte angezeigt 3 Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Hinzuf gen Symbol gr nes Pluszeichen Der Mitgliedobjekt ausw hlen Dialog wird angezeigt 4 W hlen Sie den Benutzer den Sie zur Gruppe hinzuf gen m chten 5 Klicken Sie auf OK Der POA Benutzer wird zur Gruppe hinzugef gt und in der Registerkarte Mitglieder angezeigt Entfernen von Benutzern aus POA Gruppen F r das Bearbeiten von POA Gruppen ben tigen Sie das Zugriffsrecht Voller Zugriff f r den POA Knoten unter Benutzer amp Computer 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Benutzer amp Computer Navigationsfenster unter POA POA Gruppe die relevante POA Gruppe Im Aktionsbereich des SafeGuard Management Center auf der rechten Seite wird die Mitglieder Registerkarte angezeigt 3 W hlen Sie den Benutzer den Sie aus der Gruppe entfernen m chten 4 Klicken Sie in der SafeGuard Management Center Symbolleiste auf das L schen Symbol rotes Kreuzzeichen Der Benutzer wir
499. und installieren Sie danach das neue auf dem entsprechenden Server Die neue Server Konfiguration wird aktiv 8 4 Registrieren des SafeGuard Enterprise Servers mit aktivierter Sophos Firewall Ein durch SafeGuard Enterprise gesch tzter Endpoint kann keine Verbindung mit dem SafeGuard Enterprise Server herstellen wenn eine Sophos Firewall mit Standardeinstellungen auf dem Endpoint installiert ist Die Sophos Firewall sperrt standardm ig NetBIOS Verbindungen die f r die Aufl sung des Netzwerknamens des SafeGuard Enterprise Servers ben tigt werden 1 F hren Sie als Workaround einen der folgenden Schritte aus Geben Sie die NetBIOS Verbindungen in der Firewall frei F gen Sie den Fully Qualified Name des SafeGuard Enterprise Servers im Konfigurationspaket hinzu Weitere Informationen finden Sie unter Registrieren und Konfigurieren des SafeGuard Enterprise Server f r einen anderen Computer Seite 38 40 Administratorhilfe 9 Sichern von Transportverbindungen mit Sol 9 1 SafeGuard Enterprise unterst tzt zur Erh hung der Sicherheit die Verschl sselung der Transportverbindungen zwischen den einzelnen Komponenten mit SSL Die Verbindung zwischen dem Datenbankserver und dem Web Server sowie die Verbindung zwischen dem Datenbankserver und dem Computer auf dem das SafeGuard Management Center installiert ist kann mit SSL verschl sselt werden Die Verbindung zwischen dem SafeGuard Enterprise Server und dem von SafeGua
500. ung nicht aktiviert Standard ALTERNATE Bestimmt ob USB Ger te von der SafeGuard POA unterst tzt werden 0 USB Unterst tzung ist aktiviert Standard 1 keine USB Unterst tzung Bestimmt ob der int13 Ger tetreiber verwendet wird 0 Standard ATA Ger tetreiber Standard 1 Int13 Ger tetreiber ACPIAPIC Bestimmt ob ACPI APIC Unterst tzung verwendet wird 0 keine ACPVAPIC Unterst tzung Standard 1 ACPI APIC Unterst tzung aktiv 16 6 Deaktivierte SafeGuard POA und Lenovo Rescue and Recovery Sollte auf dem Computer die SafeGuard Power on Authentication deaktiviert sein so sollte zum Schutz vor dem Zugriff auf verschl sselte Dateien aus der Rescue and Recovery Umgebung heraus die Rescue and Recovery Authentisierung eingeschaltet sein Detaillierte Informationen zur Aktivierung der Rescue and Recovery Authentisierung finden Sie in der Lenovo Rescue and Recovery Dokumentation 113 SafeGuard Enterprise 17 Administrative Zugangsoptionen f r 114 Endpoints Hinweis Die folgenden Beschreibungen beziehen sich auf Windows Endpoints die mit SafeGuard Enterprise mit SafeGuard Power on Authentication gesch tzt sind Um es Benutzern zu erm glichen sich nach der Installation von SafeGuard Enterprise zur Durchf hrung von administrativen Aufgaben an Endpoints anzumelden bietet SafeGuard Enterprise zwei verschiedene Benutzerkontotypen Service Accounts f r die Windows Anmeldung Mit Service Acco
501. ungsapplikation Synchronisierungsordner lt OneDrive gt F r Synchronisierungsapplikationen Der Fully qualified Pfad der Synchronisierungsapplikation die von der Google Drive Software benutzt wird F r Synchronisierungsordner Der Fully qualified Pfad des Synchronisierungsordners der von der Google Drive Software benutzt wird F r isierungsapplikationen Der Fully qualified Pfad der Synchronisierungsapplikation die von der OneDrive Software benutzt wird F r Synchronisierungsordner Der Fully qualified Pfad der Synchronisierungsordner die von der OneDrive Software benutzt werden Hinweis SafeGuard Enterprise unterst tzt keine Microsoft Konten Unter Windows 8 1 kann OneDrive nur benutzt werden wenn der Windows Benutzer ein Dom nenbenutzer ist SafeGuard Enterprise unterst tzt unter Windows 8 1 OneDrive nicht f r lokale Benutzer Synchronisierungsapplikation Synchronisierungsordner F r Synchronisierungsapplikationen Der Fully qualified Pfad der Synchronisierungsapplikation die von der Anbieter Administratorhilfe Platzhalter Kann in CSD Einstellung Wird aufgel st in verwendet werden OneDrive Software benutzt wird F r Synchronisierungsordner Der Fully qualified Pfad der Synchronisierungsordner die von der OnebDrive Software benutzt werden Hinweis OneDrive for Business unterst tzt nur das Speichern von verschl sselten Dateien in lokal
502. ungsordner werden die gleichen Platzhalter wie f r File Encryption unterst tzt siehe Platzhalter f r Pfade in File Encryption Verschl sselungsregeln Seite 185 25 2 1 Platzhalter f r Cloud Storage Anbieter 204 Als Sicherheitsbeauftragter k nnen Sie Platzhalter f r Cloud Storage Anbieter verwenden um Synchronisierungsapplikationen und Synchronisierungsordner zu definieren Diese Platzhalter stehen f r unterst tzte Cloud Storage Applikationen von Drittanbietern Mit den Platzhaltern k nnen Sie eine bestimmte Applikation eines Drittanbieters angeben und denselben Platzhalter zum Verweis auf die Synchronisierungsordner verwenden die von der Applikation zur Synchronisierung verwendet werden Platzhalter f r Cloud Storage Anbieter werden zwischen lt und gt gesetzt Hinweis SafeGuard Enterprise Version 7 0 unterst tzt Dropbox und Google Drive f r OS X endpoints Administratorhilfe Derzeit unterst tzte Platzhalter Anbieter Platzhalter Kann in CSD Einstellung Wird aufgel st in verwendet werden Dropbox lt Dropbox gt Synchronisierungsapplikation F r Synchronisierungsordner Synchronisierungsapplikationen Der Fully qualified Pfad der Synchronisierungsapplikation die von der Dropbox Software benutzt wird F r Synchronisierungsordner Der Fully qualified Pfad des Synchronisierungsordners der von der Dropbox Software benutzt wird lt Egnyte gt Synchronisierungsapplikation Der Ful
503. ungsschl ssel f r das Boot Volume auf einem USB Stick zu speichern Der Benutzer steckt einen USB Stick ein und w hlt Speichern und neu starten aus Das System startet neu f hrt den Hardwaretest durch und der Benutzer meldet sich erneut an Gleicher Ablauf wie in den vorgenannten F llen aber der Benutzer muss beim Booten den USB Stick einstecken Es k nnte ein Hardwarefehler auftreten wenn der USB Stick von der BitLocker Pre Boot Umgebung nicht gelesen werden kann Die Verschl sselung des Boot Volume beginnt Die Verschl sselung der Daten Volumes beginnt ebenfalls ohne dass eine Interaktion seitens des Benutzers erforderlich ist Fall 4 Der Sicherheitsbeauftragte ndert die Richtlinie und setzt den BitLocker Fallback Anmeldemodus f r Boot Laufwerke auf Kennwort Ein Benutzer meldet sich bei einem Windows 7 Endpoint ohne TPM an 1 2 Da der Endpoint kein TPM hat und Windows 7 keine Kennw rter f r Boot Volumes zul sst wird das Boot Volume nicht verschl sselt F r jedes Nicht Boot Volume wird der Benutzer aufgefordert den externen Schl ssel auf einem USB Stick zu speichern Die Verschl sselung des betreffenden Volume beginnt sobald der Benutzer auf Speichern klickt Wenn der Benutzer den Endpoint neu startet muss der USB Stick eingesteckt sein damit die Nicht Boot Volumes entsperrt werden 21 2 3 Voraussetzungen f r die Verwaltung von BitLocker auf Endpoints 172 Um die Anmeldemethoden TPM PIN
504. unts k nnen sich Benutzer z B Rollout Beauftragte Mitglieder des IT Teams nach der Installation von SafeGuard Enterprise an Endpoints anmelden Windows Anmeldung ohne die SafeGuard Power on Authentication zu aktivieren Die Benutzer werden auch nicht als SafeGuard Enterprise Benutzer zum Endpoint hinzugef gt Service Account Listen werden im Bereich Richtlinien des SafeGuard Management Center angelegt und ber Richtlinien den Endpoints zugewiesen Benutzer die in eine Service Account Liste aufgenommen wurden werden bei der Anmeldung am Endpoint als Gastbenutzer behandelt Hinweis Service Account Listen werden den Endpoints ber Richtlinien zugewiesen Sie sollten bereits im ersten SafeGuard Enterprise Konfigurationspaket das Sie f r die Konfiguration der Endpoints erstellen enthalten sein Weitere Informationen finden Sie unter Service Account Listen f r die Windows Anmeldung Seite 115 POA Benutzer f r die Anmeldung an der SafeGuard POA POA Benuitzer sind vordefinierte lokale Benutzerkonten die es Benutzern z B Mitgliedern des IT Teams erm glichen sich nach der Aktivierung der SafeGuard POA an Endpoints zur Ausf hrung administrativer Aufgaben anzumelden SafeGuard POA Anmeldung Diese Benutzerkonten werden im Bereich Benutzer amp Computer des SafeGuard Management Center definiert Benutzername und Kennwort und werden den Endpoints ber POA Gruppen in Konfigurationspaketen zugewiesen Weitere Informationen fin
505. ur Erstellung von Sicherungskopien exportieren Um Installationen wiederherzustellen k nnen Sie die relevanten Unternehmens und Sicherheitsbeauftragtenzertifikate als p12 Dateien importieren und Sie beim Einrichten einer neuen Datenbank benutzen Dadurch vermeiden Sie das Wiederherstellen der gesamten Datenbank Hinweis Wir empfehlen diesen Vorgang direkt nach der Erstkonfiguration des SafeGuard Management Centers auszuf hren Exportieren von Unternehmenszertifikaten Hinweis Nur Haupt Sicherheitsbeauftragte sind dazu berechtigt Unternehmenszertifikate zur Erstellung eines Backups zu exportieren 1 W hlen Sie Extras gt Optionen in der SafeGuard Management Center Men leiste 2 Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im Bereich Unternehmenszertifikat auf Exportieren 79 SafeGuard Enterprise 12 4 2 12 5 80 3 Sie werden aufgefordert ein Kennwort f r die Sicherung der exportierten Datei einzugeben Geben Sie ein Kennwort ein best tigen Sie es und klicken Sie auf OK 4 Geben Sie einen Dateinamen und einen Speicherort f r die zu exportierende Datei ein und klicken Sie auf OK Das Unternehmenszertifikat wird als P12 Datei an den definierten Speicherort exportiert und kann f r Recovery Vorg nge benutzt werden Exportieren des Zertifikats des Haupt Sicherheitsbeauftragten So erstellen Sie ein Backup des Zertifikats des derzeit am SafeGuard Management Center angemeldeten Haupt Sicherheitsb
506. urch die Unterst tzung von Token und Smartcards f r die Authentisierung Auf Token Smartcards lassen sich Zertifikate digitale Signaturen und biometrische Informationen speichern Die Token Authentisierung basiert auf dem Prinzip der Zwei Faktor Authentisierung Ein Benutzer verf gt ber einen Token Besitz kann den Token aber nur nutzen wenn er das spezifische Token Kennwort kennt Wissen Bei Verwendung eines Token oder einer Smartcard ben tigen die Benutzer zur Authentisierung nur noch den Token und eine PIN Hinweis Smartcards und Token werden aus Sicht von SafeGuard Enterprise gleich behandelt Deshalb werden im Produkt und in der Hilfe die Begriffe Token und Smartcard gleichgesetzt Die Verwendung von Token und Smartcards muss in der Lizenz aktiviert werden siehe Token Lizenzen Seite 28 Hinweis Bei Windows 8 und h her gibt es eine Funktion namens virtuelle Smartcard Eine virtuelle Smartcard simuliert mit Hilfe eines TPM Chip als Basis die Funktionalit t einer physischen Smartcard kann aber nicht mit SafeGuard Enterprise genutzt werden SafeGuard Enterprise unterst tzt Token a in der SafeGuard Power on Authentication gilt nicht f r Windows 8 und Windows 8 1 auf Betriebssystemebene zur Anmeldung am SafeGuard Management Center Wenn ein Token f r einen Benutzer in SafeGuard Enterprise ausgestellt wird werden Daten wie Hersteller Typ Seriennummer Anmeldedaten und Zertifikate in der SafeGuard Enterprise Da
507. uss der Endpoint Computer mindestens einmal neu gestartet werden bevor die Entschl sselung gestartet werden kann Hinweis Im Gegensatz zur SafeGuard BitLocker Drive Encryption unterst tzt die Volume basierende SafeGuard Verschl sselung keine GUID Partition Table GPT Disks Die Installation wird abgebrochen wenn eine solche Disk gefunden wird Wenn dem System sp ter eine GPT Disk hinzugef gt wird werden Volumes auf der Disk verschl sselt Beachten Sie dass die SafeGuard Recovery Tools wie z B BE_Restore exe und recoverkeys exe mit solchen Volumes nicht zurechtkommen Sophos empfiehlt dringend eine Verschl sselung von GPT Disks zu vermeiden Zum Entschl sseln von Volumes die unbeabsichtigt verschl sselt wurden ndern Sie Ihre SGN Richtlinien entsprechend und erm glichen Sie dem Benutzer die Entschl sselung Administratorhilfe 21 1 1 1 Schnelle Initialverschl sselung 211 12 21 1 1 3 SafeGuard Enterprise bietet die schnelle Initialverschl sselung als Spezialmodus f r die volume basierende Verschl sselung Dieser Modus reduziert den Zeitraum der f r die initiale Verschl sselung oder die endg ltige Entschl sselung von Volumes auf Endpoints ben tigt wird Dies wird dadurch erreicht dass nur auf den Festplattenspeicherplatz zugegriffen wird der tats chlich in Gebrauch ist F r die schnelle Initialverschl sselung gelten folgende Voraussetzungen Die schnelle Initialverschl sselung funktioniert
508. utz die Deinstallation nicht wird der Deinstallationsvorgang abgebrochen Ist Sophos Manipulationsschutz aktivieren auf Nein eingestellt werden SafeGuard Enterprise Deinstallationsvorg nge durch die Funktion Sophos Manipulationsschutz weder gepr ft noch verhindert Hinweis Diese Einstellung gilt nur f r Endpoints auf denen Sophos Endpoint Security and Control in der Version 9 5 oder einer neueren Version installiert ist EINSTELLUNGEN F R CREDENTIAL PROVIDERS Credential Provider Wrapping In SafeGuard Enterprise k nnen Sie konfigurieren dass ein anderer Credential Provider als der Windows Credential Provider verwendet wird Vorlagen f r die unterst tzten Credential Provider stehen auf Sophos com zum Download zur Verf gung Eine Liste mit Vorlage f r getestete Credential Provider sowie die Information zum Download erhalten Sie vom Sophos Support Mit Hilfe der Richtlinieneinstellung Credential Provider k nnen Sie eine Vorlage importieren und auf Endpoints anwenden Klicken Sie auf Vorlage importieren und suchen Sie nach der Vorlagendatei Die importierte Vorlage und deren Inhalt werden im mehrzeiligen Feld Credential Providerangezeigt und als Richtlinie eingestellt Um eine Vorlage zu l schen klicken Sie auf Vorlage l schen Hinweis Bearbeiten Sie die bereitgestellten Vorlagendateien nicht Wenn die XML Struktur dieser Dateien ge ndert wird werden die Einstellungen unter Umst nden auf dem Endpoint nicht
509. virtuellen Clients lasst sich ein Challenge Response Verfahren mit einem Schl ssel Recovery Tool auf dem Endpoint Computer starten Der Benutzer muss dann nur den Helpdesk Beauftragten ber den die ben tigten Schl ssel informieren und den Response Code eingeben um wieder Zugriff auf die verschl sselten Volumes zu erhalten Der Zugriff kann entweder mit Hilfe eines einzelnen Schl ssels oder mit Hilfe einer verschl sselten Schl sseldatei die mehrere Schl ssel enth lt wiederhergestellt werden Im Bereich Schl ssel und Zertifikate des SafeGuard Management Centers haben Sie folgende M glichkeiten Virtuelle Clients anlegen und exportieren erschl sselte Schl sseldateien mit mehreren Schl sseln anlegen und exportieren Virtuelle Clients und exportierte Schl sseldateien anzeigen lassen und filtern m Virtuelle Clients l schen Administratorhilfe 12 5 1 Anlegen von virtuellen Clients 12 5 2 129 3 Virtuelle Clients k nnen f r verschiedene Computer und in mehreren Challenge Response Verfahren benutzt werden 1 Klicken Sie im SafeGuard Management Center auf Schl ssel amp Zertifikate 2 Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients 3 Klicken Sie in der Symbolleiste auf Virtuellen Client hinzuf gen 4 Geben Sie einen eindeutigen Namen f r den virtuellen Client ein und klicken Sie auf OK Die virtuellen Clients werden anhand der hier eingegebenen Namen in der Datenbank identifiz
510. vtl aufgefordert die Sprache zu installieren Danach m ssen Sie den Endpoint zweimal neu starten damit das neue Tastaturlayout von der SafeGuard Power on Authentication eingelesen und dann auch ber diese eingestellt werden kann Sie k nnen das gew nschte Tastaturlayout der SafeGuard Power on Authentication mit der Maus oder mit der Tastatur Alt Shift ndern Sie k nnen ber Start gt Ausf hren gt regedit gt HKEY_USERS DEFAULT Keyboard Layout Preload einsehen welche Sprachen auf dem System installiert und damit verf gbar sind In der SafeGuard Power on Authentication unterst tzte Hotkeys Bestimmte Hardware Einstellungen und Funktionalit ten k nnen Probleme beim Starten des Endpoint verursachen die dazu f hren dass der Rechner im Startvorgang h ngen bleibt Die SafeGuard Power on Authentication unterst tzt eine Reihe von Hotkeys mit denen sich Hardware Einstellungen und Funktionalit ten modifizieren lassen Dar ber hinaus sind in die 111 SafeGuard Enterprise 112 auf dem Endpoint zu installierende MSI Datei Grey Lists und Black Lists integriert die Funktionen abdecken von denen ein solches Problemverhalten bekannt ist Wir empfehlen vor jeder gr er angelegten SafeGuard Enterprise Installation die aktuelle Version der SafeGuard POA Konfigurationsdatei zu installieren Die Datei wird monatlich aktualisiert und steht hier zum Download zur Verf gung http www sophos com de de support knowledgeba
511. weis Wenn Elemente von einer untergeordneten Baumstruktur in eine andere im Active Directory verschoben wurden m ssen beide Baumstrukturen mit der SQL Datenbank synchronisiert werden Wird nur eine untergeordnete Datenbank synchronisiert so werden die Elemente nicht verschoben sondern gel scht Hinweis Durch die AD Synchronisierung wird der NetBIOS Name der Dom ne vor Windows 2000 nicht synchronisiert wenn der Dom nen Controller mit einer IP Adresse konfiguriert ist Konfigurieren Sie den Dom nen Controller so dass stattdessen der Servername NetBIOS oder DNS verwendet wird Der Client auf dem die AD Synchronisierung l uft muss entweder Teil der Dom ne sein oder es muss sichergestellt sein dass der DNS Name zum Ziel Dom nen Controller aufgel st werden kann Administratorhilfe 10 1 3 Zugriffsrechte f r Sicherheitsbeauftragte und Import aus Active Directory F r die erforderlichen Zugriffsrechte f r den Import der Organisationsstruktur aus Active Directory gilt Wenn Sie eine Active Directory Verbindung zu einer bereits vorhandenen Dom ne hinzuf gen gilt Folgendes Wenn Sie das Zugriffsrecht Voller Zugriff f r die Dom ne DNS haben werden die Anmeldeinformationen f r die Directory Verbindung aktualisiert Wenn Sie das Zugriffsrecht Schreibgesch tzt oder weniger Zugriffsrechte f r die Dom ne DNS haben werden die Anmeldeinformationen nicht aktualisiert Sie k nnen jedoch vorhandene Anmeldeinformationen
512. wird automatisch an Windows angemeldet Nein Windows Anmeldebildschirm erscheint Beispiel Ein Benutzer hat sein Kennwort vergessen SafeGuard Enterprise meldet ihn nach Austausch von Challenge und Response ohne SafeGuard Enterprise Kennwort am Endpoint an In diesem Fall wird die automatische Anmeldung an Windows ausgeschaltet und der Windows Anmeldebildschirm erscheint Da der Benutzer sein SafeGuard Enterprise Windows Kennwort nicht wei kann er sich nicht anmelden Mit Ja wird eine automatische Anmeldung erlaubt und der Benutzer bleibt nicht im Windows Anmeldebildschirm stecken BILDER Zeigt nach dem Starten eines Challenge Response Vorgangs in der SafeGuard POA einen Informationstext Zum Beispiel Bitte rufen Sie Ihren Support unter der Telefonnummer 01234 56789 an Bevor Sie einen Text angeben k nnen muss dieser als Textdatei im Richtlinien Navigationsbereich unter Texte erstellt werden Hintergrundbild in der POA Hintergrundbild in der POA niedrige Aufl sung Voraussetzung Neue Bilder m ssen im SafeGuard Management Center im Richtlinien Navigationsbereich unter Bilder registriert werden Erst nach der Registrierung ist die Liste verf gbar Unterst tztes Format BMP PNG JPEG Ersetzt das blaue SafeGuard Enterprise Hintergrundbild durch ein individuelles Hintergrundbild Kunden k nnen hier z B das Firmenlogo in der SafeGuard POA verwenden Maximale Dateigr e f r alle Hintergrundbilder
513. xt Ordner in allen in der Cloud Storage Definition definierten Synchronisierungsordnern Protokollierung des Dateizugriffs im Cloud Speicher Mit der Funktion Berichte im SafeGuard Management Center l sst sich der Dateizugriff im Cloud Speicher protokollieren Datei Tracking F r Datei Tracking spielt es keine Rolle ob f r die Dateien eine Verschl sselungsrichtlinie gilt In einer Richtlinie vom Typ Protokollierung k nnen Sie Folgendes konfigurieren Protokollierung eines Ereignisses wenn eine Datei oder ein Verzeichnis auf einem Wechselmedium angelegt wird Protokollierung eines Ereignisses wenn eine Datei oder ein Verzeichnis auf einem Wechselmedium umbenannt wird 209 SafeGuard Enterprise a Protokollierung eines Ereignisses wenn eine Datei oder ein Verzeichnis auf einem Wechselmedium gel scht wird Weitere Informationen finden Sie unter Datei Tracking Bericht f r Wechselmedien und Cloud Speicher Seite 275 210 26 26 1 Administratorhilfe Benutzer Computer Zuordnung UMA SafeGuard Enterprise verwaltet die Informationen welcher Benutzer sich an welchem Computer anmelden darf in einer Liste f r die der Begriff UMA User Machine Assignment bzw Benutzer Computer Zuordnung verwendet wird Voraussetzung f r die Aufnahme in die UMA ist dass sich der Benutzer einmal an einem Computer mit installiertem SafeGuard Enterprise angemeldet hat und als kompletter Benutzer im Sinne von SafeGuard Ente
514. y auf dem Endpoint ndern 21 2 21 2 1 Administratorhilfe Um den zuvor verwendeten Schl ssel beim Speichern von ge nderten Dateien beizubehalten HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control UTIMACO SGLCENC ActivateEncryptionTunneling dword 00000001 Um die Verwendung eines anderen Schl ssels Standardschl ssel beim Speichern von ge nderten Dateien zuzulassen Standardeinstellung nach der Installation HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control UTIMACO SGLCENC ActivateEncryptionTunneling dword 00000000 Hinweis nderungen an dieser Einstellung werden erst nach einem Neustart des Endpoint wirksam BitLocker Drive Encryption BitLocker Drive Encryption ist ein in Microsoft Windows Betriebssysteme integriertes Feature f r die Festplattenverschl sselung mit Pre Boot Authentication BitLocker bietet Datenschutz durch die Verschl sselung von Boot sowie Daten Laufwerken Bei Windows 8 und h her kann nur die BitLocker Drive Encryption nicht die SafeGuard Festplattenverschl sselung f r die Festplattenverschl sselung verwendet werden SafeGuard Enterprise kann BitLocker Verschl sselung auf einem Computer verwalten Die BitLocker Verschl sselung kann aktiviert und die Verwaltung von bereits mit BitLocker verschl sselten Laufwerken bernommen werden SafeGuard Enterprise berpr ft w hrend der Installation am Endpoint und w hrend dem ersten Neustart ob die Hardware die An
515. z in der SafeGuard Enterprise Datenbank zum Beispiel die Voraussetzung f r die bertragung von Richtlinien an die Endpoints Dar ber hinaus sind f r die Token Verwaltung die entsprechenden Token Lizenzen notwendig Sie erhalten Lizenzdateien von Ihrem Vertriebspartner Diese Dateien m ssen nach der Installation in die SafeGuard Enterprise Datenbank importiert werden Die Lizenzdatei enth lt u a folgende Informationen Anzahl an erworbenen Lizenzen pro Modul Kundenname Einen festgelegten Toleranzwert f r die berschreitung der Anzahl an erworbenen Lizenzen Bei berschreiten der verf gbaren Lizenzen bzw des Toleranzlimits werden beim Starten des SafeGuard Management Centers entsprechende Warnungs bzw Fehlermeldungen ausgegeben F r die Lizenzverwaltung bietet das SafeGuard Management Center im Bereich Benutzer amp Computer einen berblick zum Lizenzstatus des installierten SafeGuard Enterprise Systems Der Lizenzstatus berblick steht in der Registerkarte Lizenzen f r den Stamm Knoten f r Dom nen OUs Containerobjekte und Arbeitsgruppen zur Verf gung Sicherheitsbeauftragte erhalten hier detaillierte Informationen zum Lizenzstatus Mit der entsprechenden Berechtigung k nnen sie Lizenzen in die SafeGuard Enterprise Datenbank importieren Lizenzdatei Die Lizenzdatei die Sie zum Import in die SafeGuard Enterprise Datenbank erhalten ist eine XML Datei mit Signatur Sie enth lt folgende Informationen Kun
516. zeigt die bersicht den Status basierend auf den Computern im jeweiligen Zweig Unterhalb dieser bersicht finden Sie Informationen zu den lizenzierten Token Modulen Im unteren Bereich wird der globale Lizenzstatus unabh ngig davon welche Dom ne oder OU ausgew hlt wurde angezeigt Dies erfolgt durch eine Meldung mit einer dem Ampelprinzip folgenden Hintergrundfarbe Gr n g ltig Gelb Warnung Rot Fehler und ein Symbol Bei Warnungs und Fehlermeldungen erhalten Sie au erdem im unteren Bereich Hinweise zur Aufhebung des ung ltigen Lizenzstatus Die in der Registerkarte Lizenzen angezeigten Symbole haben folgende Bedeutung G ltige Lizenz 29 SafeGuard Enterprise 30 6 5 Warnung A Eine Lizenz f r ein Modul befindet sich im Status Warnung wenn die Anzahl erworbener Lizenzen berschritten wurde die Lizenz abgelaufen ist Fehler Eine Lizenz f r ein Modul befindet sich im Status Fehler wenn der Toleranzwert f r die berschreibung der Anzahl erworbener Lizenzen berschritten wurde die Lizenz vor mehr als einem Monat abgelaufen ist Sie k nnen die Ansicht des Lizenzstatus berblicks aktualisieren indem Sie auf die Schaltfl che Lizenzstatus aktualisieren klicken Import von Lizenzdateien Voraussetzung Zum Import einer Lizenzdatei in die SafeGuard Enterprise Datenbank ben tigt ein Sicherheitsbeauftragter das Recht Lizenzdatei importieren 1 Klicken Sie im Sa
517. zer wird nicht zur SafeGuard POA hinzugef gt verf gt jedoch ber einen Schl sselring mit dem er auf verschl sselte Dateien zugreifen kann Administratorhilfe wie ein SGN Benutzer Wenn Sie diese Einstellung w hlen werden alle Benutzer die andernfalls SGN Gast Benutzer geworden w ren zu SGN Windows Benutzern Die Benutzer werden zur UMA hinzugef gt sobald sie sich an Windows angemeldet haben SGN Windows Benutzer lassen sich auf zentral verwalteten Endpoints automatisch und auf Standalone Endpoints manuell aus der UMA entfernen Weitere Informationen finden Sie unter Spezifische Computereinstellungen Grundeinstellungen Seite 156 Beispiel Das folgende Beispiel zeigt wie Sie im SafeGuard Management Center festlegen k nnen dass sich ausschlie lich drei bestimmte Benutzer Benutzer_a Benutzer_b Benutzer_c auf dem Computer Computer_ABC anmelden k nnen Ausgangssituation Sie legen im SafeGuard Management Center das gew nschte Verhalten fest SafeGuard Enterprise wird in der Nacht auf allen Endpoints installiert Am Morgen sollen sich die Benutzer an ihrem Computer anmelden k nnen 1 Weisen Sie im SafeGuard Management Center Benutzer_a Benutzer_b Benutzer_c dem Computer Computer_ABC zu Benutzer amp Computer gt Computer_ABC ausw hlen gt Benutzer via Drag amp Drop zuweisen Damit haben Sie eine UMA festgelegt 2 Setzen Sie in einer Richtlinie vom Typ Spezifische Computereinstellungen die Einstellung Registr
518. zu lassen und den Anmeldemodus festzulegen siehe SafeGuard Enterprise Installationsanleitung F r alle 25 Administratorhilfe weiteren Sicherheitsbeauftragten nehmen Sie die Ausstellung eines Token im SafeGuard Management Center vor Voraussetzung 1 Stecken Sie den Token an der USB Schnittstelle ein SafeGuard Enterprise liest den Token 7 Der Token muss initialisiert und das passende PKCS 11 Modul aktiviert worden sein Sie ben tigen die Rechte die Angaben f r den Sicherheitsbeauftragten festlegen zu d rfen Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte ein Markieren Sie im linken Navigationsfenster Sicherheitsbeauftragte und w hlen Sie im Kontextmen Neu gt Neuer Sicherheitsbeauftragter Der Dialog Neuen Sicherheitsbeauftragten erstellen wird angezeigt Geben Sie im Feld Token Anmeldung die Art der Anmeldung f r den Sicherheitsbeauftragten ein Wenn sich der Sicherheitsbeauftragte wahlweise mit oder ohne Token authentisieren soll w hlen Sie Optional Um festzulegen dass sich der Sicherheitsbeauftragte mit Token anmelden muss w hlen Sie Zwingend erforderlich Bei dieser Einstellung verbleibt der private Schl ssel auf dem Token Der Token muss immer eingesteckt sein ansonsten wird ein Neustart des Systems notwendig Geben Sie als n chstes das Zertifikat des Sicherheitsbeauftragten an Um ein neues Zertifikat zu erzeugen klicken Sie auf die Schaltfl ch
519. zus tzlichen Windows Anmeldeinformationen oder die erforderliche Diskette zur Verf gung stellen 3 Der Benutzer gibt das neue Kennwort ein dass der Helpdesk auf Windows Ebene zur ckgesetzt hat Unmittelbar muss der Benutzer das Kennwort in ein nur ihm bekanntes Kennwort ndern Basierend auf dem neu gew hlten Windows Kennwort wird ein neues Benutzerzertifikat erzeugt Dies erm glicht es dem Benutzer sich mit dem neuen Kennwort wieder an seinem Computer und an der SafeGuard Power on Authentication anzumelden Hinweis Schl ssel f r SafeGuard Data Exchange Wenn ein Kennwort zur ckgesetzt und ein neues Zertifikat erstellt wird k nnen die zuvor f r SafeGuard Data Exchange erzeugten lokalen Schl ssel noch verwendet werden wenn der Endpoint Mitglied einer Dom ne ist Wenn der Endpoint Mitglied einer Arbeitsgruppe ist muss dem Benutzer die SafeGuard Data Exchange Passphrase bekannt sein damit diese lokalen Schl ssel reaktiviert werden k nnen Der Local Cache muss repariert werden Im Local Cache werden alle Schl ssel Richtlinien Benutzerzertifikate und Audit Dateien gespeichert Standardm ig ist Recovery f r die Anmeldung bei einem besch digten Local Cache deaktiviert d h der Local Cache wird automatisch aus seiner Sicherungskopie wiederhergestellt In diesem Fall ist f r das Reparieren des Local Cache kein Challenge Response Verfahren erforderlich Soll der Local Cache jedoch explizit mit einem Challenge Response Verfahr
Download Pdf Manuals
Related Search