Home

SafeGuard Enterprise Administratorhilfe

Contents

1. lt Root gt Mac OS X Ist das Mac OS X Root Verzeichnis Hinweis Verwenden Sie immer umgekehrte Schr gstriche als Pfad Trennzeichen auch wenn Sie Richtlinien f r File Encryption for Mac OS X erstellen Hinweis Am Mac OS X Client werden die umgekehrten Schr gstriche automatisch in Schr gstriche umgewandelt um die Anforderungen des Mac OS X Betriebssystems zu erf llen Fehler bei der Verwendung von Platzhaltern werden protokolliert Fehlerhafte File Encryption Verschl sselungsregeln werden protokolliert und auf dem Endpoint verworfen Beispiel f r eine Pfadumwandlung Der folgende Windows Pfad lt User Profile gt Dropbox personal wird auf Mac Seite konvertiert in Users lt Username gt Dropbox personal Konfigurieren von Dateiverschl sselungseinstellungen in Richtlinien vom Typ Allgemeine Einstellungen Neben den in File Encryption Richtlinien definierten Verschl sselungsregeln k nnen Sie in Richtlinien vom Typ Allgemeine Einstellungen folgende Einstellungen f r die Dateiverschl sselung konfigurieren E Vertrauensw rdige Anwendungen E Ignorierte Anwendungen 187 SafeGuard Enterprise 23 2 1 188 E Isnorierte Ger te E Persistente Verschl sselung aktivieren Konfigurieren von vertrauensw rdigen und ignorierten Anwendungen f r File Encryption Sie k nnen Anwendungen als vertrauensw rdig definieren um ihnen Zugriff auf verschl sselte Dateien zu geben Dies ist zum Beispiel notwendig
2. 30097 Read Only Daten eine Schreiboperation ist fehlgeschlagen 12451840 Der Schl ssel ist nicht verf gbar 12451842 Der Schl ssel ist nicht definiert 12451842 Zugriff auf unverschl sseltes Medium verweigert 12451843 Zugriff auf unverschl sseltes Medium verweigert wenn nicht es nicht leer ist 352321637 Die Datei ist nicht verschl sselt 352321638 Der Schl ssel ist nicht verf gbar 352321639 Der richtige Schl ssel ist nicht verf gbar 352321640 Checksummenfehler im Datei Header 352321641 Fehler in CBI Funktion 352321642 Ung ltiger Dateiname 352321643 Fehler beim Lesen Schreiben der tempor ren Datei 352321644 Zugriff auf unverschl sselte Dateien ist nicht erlaubt 352321645 Key Storage Area KSA voll 352321646 Die Datei ist bereits mit einem anderen Algorithmus verschl sselt 352321647 Datei ist mit NTFS komprimiert und kann daher nicht verschl sselt werden 352321648 Datei ist mit EFS verschl sselt 352321649 Ung ltiger Datei Besitzer 352321650 Ung ltiger Dateiverschl sselungsmodus 352321651 Fehler im CBC Handling 385875969 Integrit t verletzt Administratorhilfe Fehler ID 402653185 Anzeige Das Token enth lt keine Berechtigungen 402653186 Berechtigungen k nnen nicht auf das Token geschrieben werden 402653187 TD
3. 536870972 Es befindet sich ein Fehler im Zeitwert eines Zertifikates 536870973 Das Zertifikat konnte nicht verifiziert werden 536870974 Der Aufhebungsstatus dieses Zertifikates ist unbekannt 536870975 Das Modul wird beendet Keine weiteren Anfragen gestattet 536870976 Es ist ein Fehler w hrend einer Netzwerkfunktion aufgetreten 536870977 Ein ung ltiger Aufruf einer Funktion ist empfangen worden 536870978 Ein Objekt konnte nicht gefunden werden 536870979 Eine Terminal Server Sitzung wurde unterbrochen 536870980 Ung ltige Handlung 317 SafeGuard Enterprise 318 Fehler ID 536870981 Anzeige Das Objekt ist in Benutzung 536870982 536870983 Der Zufallszahlengenerator wurde nicht initialisiert CBIRNDInit wurde nicht angefragt Unbekannter Befehl siehe CBIControl 536870984 UNICODE wird nicht unterst tzt 536870985 Der Zufallszahlengenerator ben tigt einen gr eren Startwert seed 536870986 Das Objekt existiert bereits 536870990 Das Cryptoki Modul PKCS 11 konnte nicht geladen werden 536870991 Zertifikat nicht gefunden 536870992 Nicht vertrauensw rdig 536870993 Ung ltiger Schl ssel 536870994 Der Schl ssel ist nicht exportierbar 536870995 Der angegebene Algorithmus wird momentan nicht unterst tzt 536870996 536870997 536870998 536870987 Falsche Algorithmus Kombination Siehe CBIRecrypt
4. EG Boot X m Control Panel m Control Panel 5 Recycle Bin Normal X Im Overwrite I Zip Password TI Relative Path M Update M Hidden System 0 object s 0 object s selected D 0 00 KB free 0 00 KB total 16 Quick Launch Text Editor FM Extra Find File Hex Viewer Image Viewer jebes yRecovery BE Restore Ke Main Der Inhalt des verschl sselten Laufwerks ist im Dateimanager nicht sichtbar In den Eigenschaften des verschl sselten Laufwerks werden weder das Dateisystem noch die Kapazit t sowie der verwendete freie Speicherplatz angegeben 2 Klicken Sie unten im Bereich Quick Launch des Dateimanagers auf das KeyRecovery Symbol um das KeyRecovery Tool zu ffnen Das Key Recovery Tool zeigt die Schl ssel ID verschl sselter Laufwerke N Recover Keys xj SafeGuard k Language select Encrypted Volumes English 1033 5 me Import from File 3 Suchen Sie nach der Schl ssel ID des Laufwerks auf das Sie zugreifen m chten Die Schl ssel ID wird sp ter abgefragt 248 Administratorhilfe Im n chsten Schritt importieren Sie den virtuellen Client in das Key Recovery Tool 29 2 6 3 Import des virtuellen Client in das KeyRecovery Tool Voraussetzung m Der Computer wurde von der Recovery Disk gebootet m Stellen Sie sicher dass das USB Laufwerk mit der Datei recoverytoken tok erfolgreich bereitgestellt wurde 1 W hlen Sie im Windows P
5. 536870931 Die Zertifikats Kette ist ung ltig 536870932 Die Zertifikats Kette konnte nicht erstellt werden 536870933 CDP konnte nicht kontaktiert werden 315 SafeGuard Enterprise 316 Fehler ID 536870934 Anzeige Ein Zertifikat welches nur als End Dateneinheit genutzt werden kann ist als CA oder umgekehrt genutzt worden 536870935 Probleme mit der G ltigkeitsl nge der Zertifikate in der Kette 536870936 536870937 536870938 Fehler bei der ffnung der Datei Fehler beim Lesen einer Datei Ein oder mehrere Parameter die an die Funktion bergeben worden sind sind nicht korrekt 536870939 Die Ausgabe der Funktion passt nicht in den zur Verf gung gestellten Puffer 536870940 Ein Problem mit dem Token und oder Slot ist aufgetaucht 536870941 Der Token hat nicht genug Speicherkapazit t um die gew nschte Funktion auszuf hren 536870942 Der Token ist aus dem Slot entfernt worden w hrend die Funktion ausgef hrt wurde 536870943 Die gew nschte Funktion konnte nicht ausgef hrt werden es liegen aber keine detaillierten Informationen ber den Grund der Fehlermeldung vor 536870945 Der Computer auf dem die CBI Sammlung l uft besitzt ungen genden Speicher um die gew nschte Funktion auszuf hren Im schlechtesten Fall k nnte es sein dass die Funktion nur teilweise erfolgreich durchgef hrt wird 536870946 Eine gew
6. 536870988 Das Cryptoki Modul PKCS 11 ist nicht initialisiert 536870989 Das Cryptoki Modul PKCS 11 ist bereits initialisiert Der angegebene Entschl sselungsmodus wird nicht unterst tzt Ein Fehler in der GSENC Sammlung ist aufgetreten Format der Datenabfrage ist nicht bekannt 536870999 Das Zertifikat hat keinen privaten Schl ssel 536871000 Ung ltige Konfiguration 536871001 Eine Operation ist aktiv 536871002 536871003 Ein Zertifikat in der Kette ist zeitlich nicht verschachtelt Die CRL konnte nicht ersetzt werden 536871004 Die BENUTZER PIN wurde bereits initialisiert 805306369 Sie haben keine ausreichenden Rechte um diese Aktion auszuf hren Zugriff verweigert 805306370 Ung ltige Handlung 805306371 Ung ltiger Parameter in Benutzung 805306372 805306373 Das Objekt existiert bereits Das Objekt konnte nicht gefunden werden Administratorhilfe Fehler ID 805306374 Anzeige Datenbank Ausnahme aufgetreten 805306375 Die Aktion wurde vom Benutzer abgebrochen 805306376 Das Token ist keinem bestimmten Benutzer zugewiesen 805306377 Das Token ist mehr als einem Benutzer zugewiesen 805306378 Das Token konnte nicht in der Datenbank gefunden werden 805306379 Das Token wurde erfolgreich gel scht und aus der Datenbank entfernt 805306380 Das Token konnte in der Datenbank nicht eindeutig ide
7. Administratorhilfe 29 2 6 29 2 6 1 Der Benutzer kann den Schl ssel eingeben um den Zugriff auf das mit FileVault 2 verschl sselte Volume auf dem Endpoint wiederherzustellen Challenge Response mit virtuellen Clients Mit Recovery ber Challenge Response mit virtuellen Clients bietet SafeGuard Enterprise ein Recovery Verfahren f r verschl sselte Volumes in komplexen Nottfallsituationen z B wenn die SafeGuard POA besch digt ist Dieses Verfahren l sst sich sowohl auf zentral verwaltete Endpoints als auch auf Standalone Endoints anwenden Hinweis Recovery mit virtuellen Clients sollte nur in komplexen Notfallsituationen angewendet werden Wenn zum Beispiel nur ein Schl ssel f r die Wiederherstellung eines Volumes fehlt ist es am besten den fehlenden Schl ssel dem Schl sselbund des entsprechenden Benutzers zuzuweisen um den Zugriff auf das Volume zu erm glichen Recovery Workflow mit virtuellen Clients ber folgenden allgemeinen Workflow l sst sich der Zugang zum verschl sselten Endpoint wiederherstellen 1 Sie erhalten die SafeGuard Enterprise Recovery Disk vom technischen Support F r den Helpdesk steht die Windows PE Recovery Disk mit den aktuellen SafeGuard Enterprise Filter Treibern auf der Sophos Support Website zum Download zur Verf gung Weitere Informationen finden Sie unter http www sophos com de de support knowledgebase 108805 aspx 2 Erstellen Sie den virtuellen Client im SafeGuard Manag
8. E Den zufallsgenerierten DEK Data Encryption Key E Eine Identifikation f r den Verschl sselungsalgorithmus mit dem das Volume verschl sselt ist E Die Liste von GUIDs der KEKs Key Encryption Keys die den DEK verschl sseln und entschl sseln k nnen E Das Volume selbst enth lt seine Gr e Auf ein mit SafeGuard Enterprise verschl sseltes Volume kann von allen SafeGuard Enterprise Endpoints zugegriffen werden vorausgesetzt der Benutzer oder der Computer besitzt einen KEK des KSA des Volumes im Schl sselring Benutzer oder Computer m ssen den durch den KEK verschl sselten DEK entschl sseln k nnen 259 SafeGuard Enterprise 29 3 7 1 260 Auf ein Volume das mit einem verteilbaren KEK wie einem OU Gruppen oder Dom nenschl ssel verschl sselt ist kann von vielen Benutzern und Computern zugegriffen werden da viele Benutzer Computer einer Dom ne diesen Schl ssel in ihrem Schl sselring haben Jedoch kann auf ein Volume das nur mit dem individuellen Bootschl ssel Boot_machinename des durch SafeGuard Enterprise gesch tzten Endpoint verschl sselt wird nur von diesem Computer selbst zugegriffen werden Soll ein Volume nicht in seinem originalen Computer booten kann es in einem anderen durch SafeGuard Enterprise gesch tzten Endpoint geslaved werden Dann kann aber auf den korrekten Bootschl ssel nicht zugegriffen werden Der Zugriff darauf muss m glich gemacht werden Immer wenn
9. Es wurde keine Lizenz gefunden 805306435 Fehlender oder ung ltiger Protokolldateipfad 2415919104 Es wurde keine Richtlinie gefunden 2415919105 Keine Konfigurationsdatei verf gbar 2415919106 Keine Verbindung zum Server 2415919107 Keine weiteren Datenpakete vorhanden 2415919108 Ung ltige Priorit t beim Senden zum Server 2415919109 Es stehen noch Daten zur Verarbeitung an 2415919110 Die Autoregistrierung ist noch nicht beendet 2415919111 Datenbank Anmeldung fehlgeschlagen 2415919112 Falsche Session ID 2415919113 Datenpaket ignoriert 321 SafeGuard Enterprise 322 Fehler ID 3674210305 Anzeige Dom ne nicht gefunden 3674210306 Maschine nicht gefunden 3674210307 Benutzer nicht gefunden 3758096385 Das Kennwort enth lt nicht gen gend Buchstaben 3758096386 Das Kennwort enth lt nicht gen gend Zahlen 3758096387 Das Kennwort enth lt nicht gen gend Sonderzeichen 3758096388 Das Kennwort entspricht dem Benutzernamen 3758096389 Das Kennwort enth lt aufeinanderfolgende Zeichen 3758096390 Das Kennwort hnelt dem Benutzernamen zu stark 3758096391 Das Kennwort wurde in der Liste der verbotenen Kennw rter gefunden 3758096392 Das Kennwort hnelt dem alten Kennwort zu stark 3758096393 Das Kennwort enth lt eine Tastaturreihe mit mehr als zwei Ze
10. Folgende Richtlinie wurde aus der Richtlinien Gruppe entfernt Administration Hinzuf gen der Richtlinie zur Richtlinien Gruppe fehlgeschlagen Administration Entfernen der Richtlinie aus Richtlinien Gruppe fehlgeschlagen Administration Protokollierte Ereignisse exportiert Administration Exportieren der protokollierten Ereignisse fehlgeschlagen Administration Protokollierte Ereignisse gel scht Administration L schen der protokollierten Ereignisse fehlgeschlagen Administration Sicherheitsbeauftragter erlaubt die Erneuerung eines Zertifikats Administration Beauftragter verbietet die Erneuerung eines Zertifikats Administration nderungen an den Einstellungen f r die Zertifikatserneuerung fehlgeschlagen Administration Zertifikat f r Beauftragten gewechselt Administration Zertifikatswechsel f r Beauftragten fehlgeschlagen Administration Erzeugen von Arbeitsgruppen Administration Fehlgeschlagenes Erzeugen von Arbeitsgruppen Administration L schen von Arbeitsgruppen Administration Fehlgeschlagenes L schen von Arbeitsgruppen Administration Erzeugen von Benutzern 303 SafeGuard Enterprise 304 LEICHTE Administration Beschreibung Fehlgeschlagenes Erzeugen von Benutzern Administration Erzeugen von Maschinen Administration Fehlgeschlagenes Erzeugen von Maschinen Admi
11. Klicken Sie auf Konfigurationspaket hinzuf gen und geben Sie einen Namen Ihrer Wahl f r das Konfigurationspaket ein W hlen Sie die zuvor erstellte CCO Treffen Sie je nach Anforderung eine zus tzliche Auswahl 11 12 Geben Sie einen Ausgabepfad f r das Konfigurationspaket MSI an Klicken Sie auf Konfigurationspaket erstellen Das Konfigurationspaket MSI wird im angegebenen Verzeichnis angelegt Starten Sie alle SafeGuard Enterprise Datenbank Server neu Verteilen Sie das Paket an die durch SafeGuard Enterprise gesch tzten Endpoints zur Installation Alle durch SafeGuard Enterprise generierten Zertifikate werden mit dem neuen Algorithmus signiert Administratorhilfe 12 4 12 4 1 12 4 2 Siehe auch http www sophos com de de support knowledgebase 116791 asp x Exportieren des Unternehmenszertifikats und des Zertifikats des Haupt Sicherheitsbeauftragten In einer SafeGuard Enterprise Installation sind die beiden folgenden Elemente von entscheidender Bedeutung und erfordern daher die Erstellung von Backups an einem sicheren Speicherort E das in der SafeGuard Datenbank gespeicherte Unternehmenszertifikat E das Zertifikat des Haupt Sicherheitsbeauftragten MSO im Zertifikatsspeicher des Computers auf dem das SafeGuard Management Center installiert ist Beide Zertifikate lassen sich als p12 Dateien zur Erstellung von Sicherungskopien exportieren Um Installationen wiederherzustellen k nnen
12. Legt fest ob sich Benutzer mit Local Self Help an ihrem Endpoint anmelden d rfen wenn sie ihr Kennwort vergessen haben Local Self Help erm glicht Benutzern die Anmeldung durch die Beantwortung einer definierten Anzahl an zuvor festgelegten Fragen in der SafeGuard Power on Authentication Sie erhalten somit auch dann Zugriff zu ihrem Computer wenn weder eine Internet noch eine Telefonverbindung zur Verf gung stehen Hinweis F r die Benutzung von Local Self Help ist es notwendig dass die automatische Anmeldung an Windows aktiviert ist Andernfalls funktioniert die Anmeldung ber Local Self Help nicht Mindestl nge der Antwort Definiert die Mindestl nge in Zeichen f r die Local Self Help Antworten Willkommenstext unter Windows Hier k nnen Sie einen individuellen Informationstext angeben der beim Starten des Local Self Help Assistenten auf dem Endpoint im ersten Dialog angezeigt werden soll Damit Sie den Text hier angeben k nnen muss dieser zun chst im Richtliniennavigationsbereich unter Informationstext angelegt werden Benutzer d rfen eigene Fragen festlegen Die f r Local Self Help zu beantwortenden Fragen k nnen Sie als zust ndiger Sicherheitsbeauftragter zentral vordefinieren und per 129 SafeGuard Enterprise Richtlinieneinstellung Erkl rung Richtlinie an den Endpoint bertragen Sie k nnen die Benutzer jedoch auch per Richtlinie berechtigen selbst Fragen zu definieren Um
13. 11 4 5 Anzeigen der Rollenzuordnung 1 Doppelklicken Sie in den lt Rollenname gt Eigenschaften in der Registerkarte Zuweisung auf einem Sicherheitsbeauftragten Der Eigenschaften Dialog wird geschlossen und es werden die allgemeinen Daten und die Rollen des Sicherheitsbeauftragten angezeigt 11 5 ndern einer Rolle F r das ndern von Rollen gibt es folgende M glichkeiten E Zus tzliche Autorisierung ndern E Sie k nnen alle Eigenschaften der Rolle ndern Das Symbol neben den Rollen zeigt welche Aktion m glich ist Beschreibung Die Rolle kann ge ndert werden Aktionen hinzuf gen l schen Die zus tzliche Autorisierung kann ge ndert werden Beide nderungsm glichkeiten sind verf gbar Hinweis Vordefinierte Rollen und die ihnen zugewiesenen Aktionen k nnen nicht ge ndert werden Ist die zus tzliche Autorisierung aktiviert so kann dies f r jede Rolle auch f r vordefinierte Rollen ge ndert werden 55 SafeGuard Enterprise 11 5 1 11 5 2 11 6 56 ndern der zus tzlichen Autorisierung Voraussetzung Um die zus tzliche Autorisierung zuzuweisen ben tigen Sie das Recht Sicherheitsbeauftragtenrollen einzusehen sowie das Recht Einstellungen f r zus tzliche Autorisierung ndern 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen auf die Rolle die Sie ndern m chten Klick
14. Administratorhilfe 15 3 Erzeugen eines Konfigurationspakets f r Macs Ein Konfigurationspaket f r einen Mac enth lt die relevanten Serverinformationen sowie das Unternehmenszertifikat Der Mac benutzt diese Informationen zum Zur ckmelden von Statusinformationen SafeGuard POA an aus Verschl sselungsstatus usw Die Statusinformationen werden im SafeGuard Management Center angezeigt a A OU N e Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete W hlen Sie Pakete f r Managed Clients Klicken Sie auf Konfigurationspaket hinzuf gen Geben Sie einen beliebigen Namen f r das Konfigurationspaket ein Ordnen Sie einen prim ren SafeGuard Enterprise Server zu der sekund re Server ist nicht notwendig W hlen Sie SSL als Transportverschl sselung f r die Verbindung zwischen dem Endpoint und dem SafeGuard Enterprise Server F r Macs wird Sophos als Transportverschl sselung nicht unterst tzt 7 Geben Sie einen Ausgabepfad f r das Konfigurationspaket ZIP an 8 Klicken Sie auf Konfigurationspaket erstellen Die Server Verbindung f r den SSL Transportverschl sselung Modus wird validiert Wenn die Verbindung fehlschl gt wird eine Warnungsmeldung angezeigt Das Konfigurationspaket ZIP wird nun im angegebenen Verzeichnis angelegt Im n chsten Schritt verteilen Sie das Paket an Ihre Macs zur Installation N here Informationen finden Sie in den Handb chern f r Sopho
15. Hinweis Wir empfehlen dringend SSL verschl sselte Kommunikation zu verwenden es sei denn es handelt sich um Demo oder Test Installationen Falls dies nicht m glich ist und die SafeGuard spezifische Verschl sselung verwendet wird so gilt die Obergrenze von 1000 Clients die eine Verbindung mit einer Serverinstanz herstellen k nnen Bevor SSL f r SafeGuard Enterprise aktiviert werden kann muss eine funktionsf hige SSL Umgebung eingerichtet werden Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung Einrichten von SSL Die folgenden allgemeinen Aufgaben m ssen f r die SSL Einrichtung auf dem Web Server durchgef hrt werden E Certificate Authority muss auf dem Server installiert sein um die bei der SSL Verschl sselung verwendeten Zertifikate auszustellen E Ein Zertifikat muss ausgestellt und der IIS Server so konfiguriert werden dass er SSL verwendet und auf das Zertifikat zeigt E Der Servername den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben muss identisch sein mit dem Servernamen den Sie vorab im SSL Zertifikat angegeben haben Sonst k nnen Client und Server nicht miteinander kommunizieren F r jeden SafeGuard Enterprise Server wird ein separates SSL Zertifikat ben tigt E Wenn Sie Network Load Balancer einsetzen vergewissern Sie sich dass der Portbereich den SSL Port mit einschlie t Weitere Informationen erhalten Sie von unserem technischen Supp
16. Pr fen der Datenbankintegrit t Bei der Anmeldung an die Datenbank wird die Datenbankintegrit t automatisch gepr ft Sollte diese berpr fung Fehler ergeben wird der Dialog Datenbankintegrit t pr fen angezeigt Sie k nnen die Datenbankintegrit t auch jederzeit nach der Anmeldung pr fen und hierzu den Dialog Datenbankintegrit t pr fen aufrufen 1 W hlen Sie in der Men leiste des SafeGuard Management Center Extras gt Datenbankintegrit t 2 Um die Tabellen zu pr fen klicken Sie auf Alle pr fen oder Ausgew hlte pr fen Danach werden fehlerhafte Tabellen im Dialog markiert Um die Fehler zu beheben klicken Sie auf Reparieren Hinweis Nach einer Aktualisierung des SafeGuard Enterprise Backend SQL wird die Pr fung der Datenbankintegrit t immer gestartet Die Pr fung muss einmal pro SafeGuard Enterprise Datenbank durchgef hrt werden um die Aktualisierung abzuschlie en Administratorhilfe 8 Registrieren und Konfigurieren des SafeGuard 8 1 Enterprise Server Zur Implementierung der Informationen f r die Kommunikation zwischen IIS Server Datenbank und dem SafeGuard gesch tzten Endpoint muss der SafeGuard Enterprise Server registriert und konfiguriert werden Die Informationen werden in einem Server Konfigurationspaket gespeichert Diesen Schritt f hren Sie im SafeGuard Management Center durch Der Workflow ist davon abh ngig ob der SafeGuard Enterprise Server auf demselben Computer wie das SafeG
17. 5 Klicken Sie auf OK Der Schl ssel wird zugewiesen und in der Schl ssel Registerkarte angezeigt 12 1 2 Verbergen von Schl sseln 72 Um zu vermeiden das zu viele nicht benutzte Schl ssel im Schl sselring des Benutzers auf dem Endpoint angezeigt werden k nnen Sie festlegen dass Schl ssel ausgeblendet werden sollen Schl ssel die nicht im Schl sselring des Benutzers angezeigt werden k nnen trotzdem noch f r den Zugriff auf verschl sselte Dateien benutzt werden Sie k nnen jedoch nicht f r das Verschl sseln neuer Dateien verwendet werden So verbergen Sie Schl ssel 1 Klicken Sie im SafeGuard Management Center auf Schl ssel amp Zertifikate 2 Klicken Sie im Navigationsbereich auf Schl ssel und w hlen Sie Zugewiesene Schl ssel Das Fenster Zugewiesene Schl ssel mit der Spalte Schl ssel verbergen wird angezeigt Administratorhilfe 12 2 12 2 1 3 Hier gibt es zwei M glichkeiten m W hlen Sie das Kontrollk stchen Schl ssel verbergen f r den gew nschten Schl ssel m W hlen Sie einen oder mehrere Schl ssel aus und ffnen Sie das Kontextmen per Rechtsklick W hlen Sie Schl ssel vor Benutzer verbergen 4 Speichern Sie Ihre nderungen in der Datenbank Die angegebenen Schl ssel werden nicht im Schl sselring des Benutzers angezeigt Weitere Informationen zum Anzeigen des Schl sselrings des Benutzers auf dem Endpoint finden Sie in der SafeGuard Enterprise Benutzerhilfe im Kapit
18. 536870957 Das CBI Archiv und oder der Slot konnte keinen Token im Slot erkennen 536870958 Die angefragte Aktion kann nicht durchgef hrt werden da der Token schreibgesch tzt ist 536870959 536870960 Der angegebene Benutzer kann nicht angemeldet werden da dieser Benutzername bereits zur Sitzung angemeldet ist Der angegebene Benutzer kann nicht angemeldet werden da ein anderer Benutzer bereits zur Sitzung angemeldet ist 536870961 Die gew nschte Aktion kann nicht ausgef hrt werden da der geeignete Benutzer oder ein geeigneter Benutzer nicht angemeldet ist Zum Beispiel kann die Abmeldung von der Sitzung nicht vor der Anmeldung liegen 536870962 Die normale Benutzer PIN ist nicht mit CBIInitPin initialisiert 536870963 Es wurde versucht gleichzeitig mehrere verschiedene Benutzer auf dem Token anzumelden was der Token und oder das Archiv zugelassen haben 536870964 Ein ung ltiger Wert wurde als CBIUser angegeben G ltige Typen sind in ASCI11 User Types definiert 536870965 Ein Objekt mit der angegebenen Kennzeichnung konnte auf dem Token nicht gefunden werden 536870966 Eine Zeit berschreitung ist aufgetreten 536870967 Diese Version der IE ist nicht unterst tzt 536870968 Authentisierung fehlgeschlagen 536870969 Das Root Zertifikat ist gesichert 536870970 Keine CRL gefunden 536870971 Keine aktive Internetverbindung vorhanden
19. Allgemeiner Fehler Zugriff verweigert Datei existiert bereits Registry Eintrag konnte nicht ge ffnet werden Registry Eintrag konnte nicht gelesen werden Registry Eintrag konnte nicht geschrieben werden Registry Eintrag konnte nicht entfernt werden Registry Eintrag konnte nicht erzeugt werden Kein Zugriff auf einen Systemdienst oder Treiber m glich Ein Systemdienst oder Treiber konnte nicht in der Registry eingetragen werden Ein Systemdienst oder Treiber konnte nicht aus der Registry entfernt werden Ein Systemdienst oder Treiber ist bereits in der Registry eingetragen 309 SafeGuard Enterprise 310 Fehler ID Anzeige Kein Zugriff auf den Service Control Manager m glich Ein Eintrag f r eine Session konnte in der Registry nicht gefunden werden Ein Registry Eintrag ist ung ltig oder falsch Der Zugriff auf ein Laufwerk ist fehlgeschlagen Keine Informationen ber ein Laufwerk vorhanden Kein Zugriff auf ein Volume m glich Ung ltige Option definiert Unzul ssiges Dateisystem Das existierende Dateisystem auf einem Volume und das definierte sind unterschiedlich Die vorhandene Gr e eines Dateisystem Clusters und die definierte Gr e sind unterschiedlich Unzul ssige Sektorgr e eines Dateisystems definiert Unzul ssiger Startsektor definiert Unzul ssiger Partitionstyp definiert Es
20. Kennwort ndern Basierend auf dem neu gew hlten Windows Kennwort wird ein neues Benutzerzertifikat erzeugt Dies erm glicht es dem Benutzer sich mit dem neuen Kennwort wieder an seinem Computer und an der SafeGuard Power on Authentication anzumelden Hinweis Schl ssel f r SafeGuard Data Exchange Wenn ein Kennwort zur ckgesetzt und ein neues Zertifikat erstellt wird k nnen die zuvor f r SafeGuard Data Exchange erzeugten lokalen Schl ssel noch verwendet werden wenn der Endpoint Mitglied einer Dom ne ist Wenn der Endpoint Mitglied einer Arbeitsgruppe ist muss dem Benutzer die SafeGuard Data Exchange Passphrase bekannt sein damit diese lokalen Schl ssel reaktiviert werden k nnen Der Local Cache muss repariert werden Im Local Cache werden alle Schl ssel Richtlinien Benutzerzertifikate und Audit Dateien gespeichert Standardm ig ist Recovery f r die Anmeldung bei einem besch digten Local Cache deaktiviert d h der Local Cache wird automatisch aus seiner Sicherungskopie wiederhergestellt In diesem Fall ist f r das Reparieren des Local Cache kein Challenge Response Verfahren erforderlich Soll der Local Cache jedoch explizit mit einem Challenge Response Verfahren repariert werden so l sst sich Recovery f r die Anmeldung ber eine Richtlinie aktivieren In diesem Fall wird der Benutzer bei einem besch digten Local Cache automatisch dazu aufgefordert ein Challenge Response Verfahren zu starten 255 SafeGuard Enterp
21. Richtliniengruppe definiert ist siehe Service Account Listen f r die Windows Anmeldung Seite 115 Wenn sich das derzeit aktive Unternehmenszertifikat in der SafeGuard Enterprise Datenbank von dem auf den Endpoints die das neue Konfigurationspaket erhalten sollen unterscheidet w hlen Sie die relevante CCO Company Certificate Change Order Ist das Feld Aktuelles Unternehmenszertifikat in der Registerkarte Bestand der relevanten Dom ne der OU oder des Computers unter Benutzer amp Computer nicht aktiviert so ist ein Wechsel des Unternehmenszertifikats erforderlich Informationen zur erforderlichen CCO Company Certificate Change Order finden Sie in der Registerkarte CCOs der Funktion Konfigurationspakete im Men Extras Hinweis Die Installation des neuen Konfigurationspakets schl gt fehl wenn die derzeit aktiven Unternehmenszertifikate in der SafeGuard Enterprise Datenbank und auf dem Endpoint nicht bereinstimmen und keine passende CCO im Paket enthalten ist W hlen Sie den Modus f r die Transportverschl sselung der bestimmt wie die Verbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Server verschl sselt wird Sophos Verschl sselung oder SSL Verschl sselung Der Vorteil bei SSL ist dass es ein Standardprotokoll ist und eine schnellere Verbindung aufgebaut werden kann als mit der SafeGuard Transportverschl sselung SSL Verschl sselung wird standardm ig ausgew hlt Weitere Informationen zu
22. Sicherheitsbeauftragten Knoten angezeigt Die jeweiligen Eigenschaften lassen sich durch Auswahl des gew nschten Sicherheitsbeauftragten im Navigationsfenster anzeigen Der Sicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuard Management Center anmelden Im n chsten Schritt m ssen Sie nun dem Sicherheitsbeauftragten Verzeichnisobjekte Dom nen zuweisen damit dieser die erforderlichen Aufgaben ausf hren kann Zuweisen von Verzeichnisobjekten zu einem Sicherheitsbeauftragten F r die Ausf hrung ihrer Aufgaben ben tigen Sicherheitsbeauftragte Zugriffsrechte f r Verzeichnisobjekte Zugriffsrechte k nnen f r Dom nen Organisationseinheiten OUs und Benutzergruppen sowie f r den Autoregistriert Knoten unter dem Stammverzeichnis erteilt werden Unter Benutzer amp Computer k nnen Sie die Zugriffsrechte eines anderen Sicherheitsbeauftragten ndern wenn Sie vollen Zugriff auf den relevanten Container haben und f r den Sicherheitsbeauftragten verantwortlich sind Ihre eigenen Zugriffsrechte k nnen Sie nicht ndern Wenn Sie einen Sicherheitsbeauftragten einem Verzeichnisobjekt zum ersten Mal zuweisen erbt der Sicherheitsbeauftragte Ihre Zugriffsrechte f r diesen Container Hinweis Sie k nnen anderen Sicherheitsbeauftragten nicht h here Zugriffsrechte als Ihre Zugriffsrechte erteilen Voraussetzung Wenn Sie einem Sicherheitsbeauftragten das Recht auf Verzeichnisobjekte zuzugreifen und diese zu verwalten g
23. Sie sollten bereits im ersten SafeGuard Enterprise Konfigurationspaket das Sie f r die Konfiguration der Endpoints erstellen enthalten sein 18 1 Anlegen von Service Account Listen und Hinzuf gen von Benutzern 1 Klicken Sie im Navigationsbereich auf Richtlinien 2 Markieren Sie im Richtlinien Navigationsbereich den Eintrag Service Account Listen 3 Klicken Sie im Kontextmen von Service Account Listen auf Neu gt Service Account Liste 115 SafeGuard Enterprise 18 2 116 4 Geben Sie einen Namen f r die Service Account Liste ein und klicken Sie auf OK 5 Markieren Sie die neue Liste unter Service Account Listen im Richtlinien Navigationsfenster 6 Klicken Sie im Arbeitsbereich mit der rechten Maustaste um das Kontextmen f r die Service Account Liste zu ffnen W hlen Sie Hinzuf gen im Kontextmen Eine neue Benutzerzeile wird hinzugef gt 7 Geben Sie den Benutzernamen und den Dom nennamen in den entsprechenden Spalten ein und dr cken Sie Enter Um weitere Benutzer hinzuzuf gen wiederholen Sie diesen Schritt 8 Speichern Sie Ihre nderungen indem Sie auf das Speichern Symbol in der Symbolleiste klicken Die Service Account Liste ist registriert und kann beim Anlegen einer Richtlinie ausgew hlt werden Zus tzliche Informationen zur Eingabe von Benutzer und Dom nennamen F r die Definition von Benutzern in Service Account Listen in den beiden Feldern Benutzername und Dom nenname gibt
24. Standarddom nenrichtlinie gt Computerkonfiguration gt Richtlinien gt Administrative Vorlagen lokaler Computer gt Windows Komponenten gt BitLocker Laufwerkverschl sselung gt Wechseldatentr ger 2 Unter Wechseldatentr ger w hlen Sie die folgende Richtlinie Verwendung von BitLocker auf Wechseldatentr gern steuern Setzen Sie die Optionen wie folgt a W hlen Sie Aktiviert b Deaktivieren Sie unter Optionen die Option Benutzer k nnen BitLocker Schutz auf Wechseldatentr gern anwenden c W hlen Sie unter Optionen die Option Benutzer k nnen BitLocker Schutz auf Wechseldatentr gern anhalten und entschl sseln 3 Klicken Sie auf OK BitLocker To Go Verschl sselung wird auf den Endpoints deaktiviert Der Benutzer kann neue Laufwerke nicht mehr mit BitLocker To Go verschl sseln Laufwerke die bereits vor dem Betrieb des nativen SafeGuard Enterprise Device Encryption Client mit BitLocker To Go verschl sselt wurden bleiben lesbar Die Registry Einstellungen auf dem Client werden folgenderma en gesetzt HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft FVE RDVConfigureBDE dword 00000001 RDVAllowBDE dword 00000000 RDVDisableBDE dword 00000001 Administratorhilfe 21 2 6 21 3 21 3 1 21 3 2 Diese Registry Einstellungen werden auch w hrend der Installation des SafeGuard Enterprise Device Encryption Client gesetzt BitLocker To Go wird somit auch auf Computern ohne Dom nen Management z B Arbei
25. Zur Ausf hrung von Tasks lassen sich Ereignisse protokollieren die zum Beispiel bei der Fehlerbehebung n tzliche Informationen liefern Sie k nnen festlegen dass folgende Ereignisse protokolliert werden m Task erfolgreich ausgef hrt E Task fehlgeschlagen E Service Thread wegen Ausf hrung gestoppt Die Ereignisse enthalten den Output der Skriptkonsole zur Unterst tzung bei der Fehlerbehebung F r weitere Informationen zur Protokollierung siehe Berichte Seite 270 Administratorhilfe 35 35 1 35 2 Verwalten von Mac Endpoints im SafeGuard Management Center Macs auf denen die folgenden Sophos Produkte installiert sind k nnen von SafeGuard Enterprise verwaltet werden und oder Statusinformationen melden Die Statusinformationen werden im SafeGuard Management Center angezeigt m Sophos SafeGuard File Encryption for Mac 6 1 m Sophos SafeGuard Disk Encryption for Mac 6 1 m Sophos SafeGuard Disk Encryption for Mac 6 nur Berichte Hinweis Empfehlungen Besonderheiten und Beschr nkungen bei der Nutzung von SafeGuard File Encryption oder Disk Encryption for Mac finden Sie in der entsprechenden Administratorhilfe Bestands und Statusinformationen f r Macs F r Macs liefert der Bestand u a folgende Informationen zu den einzelnen Maschinen Die angezeigten Daten k nnen variieren je nachdem welches Sophos Produkt installiert ist E Name des Mac Betriebssystem E POA TIyp m POA Status E Anzahl an ve
26. amp Computer im SafeGuard Management Center aufgelistet E Virtuelle Clients In komplexen Recovery Situationen zum Beispiel wenn die SafeGuard POA besch digt ist l sst sich der Zugriff auf verschl sselte Daten auf einfache Art und Weise mit Challenge Response wieder herstellen In diesem Fall werden spezifische Dateien mit der Bezeichnung virtuelle Clients verwendet Diese Art von Dateien ist sowohl f r zentral verwaltete Computer als auch f r Standalone Endpoints verf gbar E Sophos SafeGuard Clients Standalone Challenge Response f r Standalone Endpoints Diese Endpoints haben nie eine Verbindung zum SafeGuard Enterprise Server Die erforderlichen Recovery Informationen basieren auf der Schl ssel Recovery Datei Diese Datei wird auf jedem Endpoint w hrend der 241 SafeGuard Enterprise 29 2 5 29 2 5 1 29 2 5 1 1 29 2 5 1 2 242 Installation der Sophos SafeGuard Verschl sselungssoftware erzeugt Um in diesem Fall Challenge Response zur Verf gung zu stellen muss die Schl ssel Recovery Datei dem Sophos SafeGuard Helpdesk zur Verf gung stehen zum Beispiel auf einer Netzwerkfreigabe Hinweis Dar ber hinaus steht das Recovery Verfahren Local Self Help zur Verf gung f r das keine Unterst tzung durch den Helpdesk ben tigt wird Challenge Response f r SafeGuard Enterprise Clients Managed SafeGuard Enterprise bietet ein Recovery Verfahren f r in der Datenbank registrierte Endpoints f r verschieden
27. die Sie l schen m chten und w hlen Sie L schen Je nach den Eigenschaften der Rolle wird eine entsprechende Warnungsmeldung angezeigt Hinweis Wenn Sie eine Rolle l schen geht diese Rolle bei allen Sicherheitsbeauftragten denen sie zugeordnet ist verloren Ist einem Sicherheitsbeauftragten nur diese eine Rolle zugewiesen so kann dieser sich erst wieder am SafeGuard Management Center anmelden wenn ein bergeordneter Sicherheitsbeauftragter ihm eine neue Rolle zuweist Wird die Rolle f r die zus tzliche Autorisierung verwendet so wird der Haupt Sicherheitsbeauftragte dazu aufgefordert die zus tzliche Autorisierung durchzuf hren 3 Um die Rolle zu l schen klicken Sie in der Warnungsmeldung auf Ja 4 Klicken Sie auf das Speichern Symbol in der Symbolleiste um Ihre nderungen in der Datenbank zu speichern Die Rolle wird aus dem Navigationsfenster entfernt und aus der Datenbank gel scht Anlegen eines Haupt Sicherheitsbeauftragten Voraussetzung Um einen neuen Haupt Sicherheitsbeauftragten anzulegen ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und anzulegen Hinweis Ein schneller Weg einen neuen Haupt Sicherheitsbeauftragten zu erstellen ist einen Sicherheitsbeauftragter h her zu stufen F r weitere Informationen siehe Bef rderung von Benutzern und Sicherheitsbeauftragten Seite 65 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster
28. m ssen Sie zun chst ein Ziel f r den Ger teschutz angeben M gliche Ziele sind Massenspeicher Boot Laufwerke Andere Volumes Wechselmedien Optische Laufwerke Datentr germodelle Einzelne Datentr ger Cloud Storage Definitionen F r jedes Ziel muss eine eigene Richtlinie angelegt werden Hinweis Ziel Wechselmedien Eine Richtlinie f r die volume basierende Verschl sselung von Wechsellaufwerken die es dem Benutzer erlaubt einen Schl ssel aus einer Liste auszuw hlen z B Beliebiger Schl ssel im Schl sselring des Benutzers kann vom Benutzer umgangen werden indem er keinen Schl ssel ausw hlt Um sicherzustellen dass Wechsellaufwerke immer verschl sselt werden verwenden Sie eine dateibasierende Verschl sselungsrichtlinie legen Sie in der volume basierenden Verschl sselungsrichtlinie explizit einen Schl ssel fest Richtlinieneinstellung NETTE Verschl sselungsmodus f r Dient dem Schutz von Endger ten PCs Notebooks usw und Medien allen Arten von Wechseldatentr gern Hinweis Diese Einstellung ist obligatorisch Hauptaufgabe ist die Verschl sselung aller auf lokalen oder externen Datentr gern gespeicherten Daten Durch die transparente Arbeitsweise k nnen Benutzer einfach ihre gewohnten Anwendungen z B Microsoft Office weiter benutzen Administratorhilfe Richtlinieneinstellung NETTE Transparente Verschl sselung bedeutet f r den Benutzer dass alle verschl sselt gespeicherten
29. muss sie dem Sicherheitsbeauftragten zur Verf gung stehen und kann bei der Anmeldung dann ggf im Zertifikatsspeicher abgelegt werden Zertifikat Importieren Ein existierendes Zertifikat wird importiert und anschlie end dem Sicherheitsbeauftragten zugewiesen Wird aus einer p12 Schl sseldatei importiert muss das Kennwort des Zertifikats bekannt sein Wird ein PKCS 12 Zertifikatscontainer ausgew hlt werden alle Zertifikate in die Liste der zuweisbaren Zertifikate geladen Die Zuweisung des Zertifikats erfolgt nach dem Import indem das Zertifikat im Dropdown Listenfeld ausgew hlt wird 4 Klicken Sie zur Best tigung Ihrer Einstellungen auf OK Der neu angelegte Haupt Sicherheitsbeauftragte wird im Navigationsfenster unter dem Knoten Haupt Sicherheitsbeauftragte angezeigt Die jeweiligen Eigenschaften lassen sich durch Auswahl des gew nschten Sicherheitsbeauftragten im Navigationsfenster anzeigen Der Haupt Sicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuard Management Center anmelden 59 SafeGuard Enterprise 11 9 Anlegen eines Sicherheitsbeauftragten 60 Voraussetzung Um einen neuen Sicherheitsbeauftragten anzulegen ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und anzulegen 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Sicherheitsbeauftragten Knoten in dem Sie den neu
30. ndig mit dem Unternehmensnetzwerk verbunden Fin Au endienstmitarbeiter nimmt zum Beispiel f r einen Termin sein Notebook vom Netz Sobald er sich wieder am Netzwerk anmeldet werden die w hrend der Offline Zeit protokollierten SafeGuard Enterprise Ereignisse bertragen Die Protokollierung liefert somit einen genauen berblick ber die Benutzeraktivit ten w hrend der betreffende Computer nicht an das Netzwerk angeschlossen war Voraussetzung Ereignisse werden durch den SafeGuard Server verarbeitet Auf einem Computer auf dem nur das SafeGuard Management Center installiert ist m ssen Sie sicherstellen dass Ereignisse an den SafeGuard Enterprise Server gesendet werden Sie m ssen daher ein Client Konfigurationspaket auf dem SafeGuard Management Center Computer installieren um ihm mitzuteilen wo sich der SafeGuard Enterprise Server befindet Dadurch wird der Computer beim Server als Client aktiviert und die Windows oder SafeGuard Enterprise Protokollierungsfunktionalit t kann benutzt werden F r weitere Informationen zu Client Konfigurationspaketen siehe Mit Konfigurationspaketen arbeiten Seite 100 Ziel f r protokollierte Ereignisse Ziel der protokollierten Ereignisse kann die Windows Ereignisanzeige oder die SafeGuard Enterprise Datenbank sein In das jeweilige Ziel schreibt die Protokollierung nur Ereignisse die mit einem SafeGuard Produkt verkn pft sind Die Ausgabeziele f r zu protokollierende Ereignisse werden in d
31. nschte Funktion wird nicht vom CBI Archiv unterst tz 536870947 Es wurde versucht einen Wert f r ein Objekt einzustellen welches nicht eingestellt oder abge ndert werden kann 536870948 Ein ung ltiger Wert wurde f r ein Objekt angegeben 536870949 Es wurde versucht den Wert eines Objektes zu erlangen was jedoch fehlschlug da es sich um ein sensibles Objekt handelt bzw es nicht extrahierbar ist 536870950 Die angegebene OIN Lust abgelaufen Ob eine PIN eines normalen Benutzers auf einem ausgegebenen Token jemals abl uft variiert von Token zu Token 536870951 Die angegebene PIN abgelaufen Der Benutzer konnte nicht authentisiert werden 536870952 Die angegebene PIN enth lt ung ltige Zeichen Dieser Antwort Code wird nur f r Funktionen angewandt die versuchen eine PIN einzurichten 536870953 Die angegebene PIN ist zu lang oder zu kurz Dieser Antwort Code wird nur f r Funktionen angewandt die versuchen eine PIN einzurichten 536870954 Die angegebene PIN ist geblockt und kann nicht genutzt werden Dies tritt auf weil eine gewisse Anzahl an fehlgeschlagenen Versuchen zur Authentisierung aufgetreten ist und der Token weitere Versuche zur Authentisierung ablehnt 536870955 Die angegebene Slot ID ist ung ltig Administratorhilfe Fehler ID 536870956 Anzeige Der Token war zu dem Zeitpunkt als die Funktion angefragt wurde nicht in seinem Slot
32. p12 Dateien exportiert worden sein Die Dateien m ssen vorhanden und g ltig sein m Die Kennw rter f r die beiden p12 Dateien sowie f r den Zertifikatsspeicher m ssen Ihnen bekannt sein Hinweis Diese Art der Wiederherstellung ist nur dann zu empfehlen wenn keine g ltige Sicherungskopie der Datenbank verf gbar ist Alle Computer die eine Verbindung mit einem auf diese Weise wiederhergestellten Backend herstellen verlieren ihre Benutzer Computer Zuordnung Dies hat zur Folge dass die SafeGuard Power on Authentication vor bergehend ausgeschaltet ist Challenge Response Mechanismen stehen erst dann wieder zur Verf gung wenn der entsprechende Endpoint seine Schl sselinformationen wieder erfolgreich bertragen hat So stellen Sie eine besch digte Datenbankkonfiguration wieder her 1 Installieren Sie das SafeGuard Management Center Installationspaket neu ffnen Sie das SafeGuard Management Center Der Konfigurationsassistent wird automatisch ge ffnet 2 W hlen Sie unter Datenbank Verbindung die Option Neue Datenbank erstellen Konfigurieren Sie unter Datenbankeinstellungen die Verbindung zur Datenbank Klicken Sie auf Weiter 3 W hlen Sie unter Daten des Sicherheitsbeauftragten den relevanten Haupt Sicherheitsbeauftragten und klicken Sie auf Importieren 4 Suchen Sie unter Importieren des Zertifikats die gesicherte Zertifikatsdatei Geben Sie unter Schl sseldatei das f r diese Datei festgelegte Kennwort ein und best t
33. r die Verschl sselung Legt fest welcher Schl ssel zur Verschl sselung verwendet wird Es k nnen bestimmte Schl ssel festgelegt werden z B Computer Schl ssel oder ein definierter Schl ssel oder dem Benutzer kann die Auswahl eines Schl ssels erlaubt werden Die Schl ssel die ein Benutzer verwenden darf k nnen eingeschr nkt werden Folgende Optionen stehen zur Verf gung E Beliebiger Schl ssel im Schl sselring des Benutzers Alle Schl ssel aus dem Schl sselbund des Benutzers werden angezeigt und der Benutzer darf einen daraus ausw hlen 151 SafeGuard Enterprise Richtlinieneinstellung NETTE Hinweis Diese Option muss gew hlt werden wenn eine Richtlinie f r dateibasierende Verschl sselung f r einen durch SafeGuard Enterprise gesch tzten Standalone Endpoint angelegt wird Alle au er pers nliche Schl ssel im Schl sselring Alle Schl ssel aus dem Schl sselbund mit Ausnahme des pers nlichen Schl ssels werden angezeigt und der Benutzer darf einen daraus ausw hlen Beliebiger Gruppenschl ssel im Schl sselring des Benutzers Alle Gruppenschl ssel aus dem Schl sselbund des Benutzers werden angezeigt und der Benutzer darf einen daraus ausw hlen Definierter Computerschl ssel Es wird der Maschinen Schl ssel verwendet der Benutzer selbst kann KEINEN Schl ssel ausw hlen Hinweis Diese Option muss gew hlt werden wenn eine Richtlinie f r volume basierende Verschl sselung f
34. r einen durch SafeGuard Enterprise gesch tzten Standalone Endpoint angelegt wird Wenn Sie dennoch die Option Beliebiger Schl ssel im Schl sselring des Benutzers ausw hlen und der Benutzer w hlt einen lokal erzeugten Schl ssel f r die volume basierende Verschl sselung wird der Zugriff auf dieses Volume verweigert Beliebiger Schl ssel im Schl sselring des Benutzers au er lokal erzeugte Schl ssel Alle Schl ssel aus dem Schl sselring mit Ausnahme der lokal erzeugten Schl sse werden angezeigt und der Benutzer darf einen daraus ausw hlen Definierter Schl ssel aus der Liste Der Administrator kann in der Administration bei der Richtlinien Einstellung einen beliebigen existierenden Schl ssel ausw hlen Der Schl ssel muss unter F r Verschl sselung definierter Schl ssel ausgew hlt werden Bei Verwendung von Definierter Computer Schl ssel Ist SafeGuard Enterprise Device Encryption nicht auf einem Endpoint installiert keine SafeGuard POA keine volume basierende Verschl sselung wird eine Richtlinie die den Definierten Computerschl ssel als Schl ssel f r die dateibasierende Verschl sselung festlegt nicht auf dem Endpoint wirksam Der definierte Computerschl ssel ist auf einem Endpoint 152 Administratorhilfe Richtlinieneinstellung NETTE dieses Typs nicht verf gbar Die Daten k nnen nicht verschl sselt werden Richtlinien f r durch SafeGuard Enterprise gesch tzte Standal
35. sselung verwendeten Schl ssel Wenn Sie dieses Verhalten ndern und den f r die Verschl sselung verwendeten Schl ssel in jedem Fall beibehalten m chten k nnen Sie einen Registry Key auf dem Endpoint ndern Administratorhilfe 21 2 21 2 1 Um den zuvor verwendeten Schl ssel beim Speichern von ge nderten Dateien beizubehalten HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control UTIMACO SGLCENC ActivateEncryptionTunneling dword 00000001 Um die Verwendung eines anderen Schl ssels Standardschl ssel beim Speichern von ge nderten Dateien zuzulassen Standardeinstellung nach der Installation HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control UTIMACO SGLCENC ActivateEncryptionTunneling dword 00000000 Hinweis nderungen an dieser Einstellung werden erst nach einem Neustart des Endpoint wirksam BitLocker Drive Encryption BitLocker Drive Encryption ist ein in Microsoft Windows Betriebssysteme integriertes Feature f r die Festplattenverschl sselung mit Pre Boot Authentication BitLocker bietet Datenschutz durch die Verschl sselung von Boot sowie Daten Laufwerken SafeGuard Enterprise kann BitLocker Verschl sselung auf einem Computer verwalten BitLocker Verschl sselung kann aktiviert werden und die Verwaltung von bereits mit BitLocker verschl sselten Laufwerken kann bernommen werden SafeGuard Enterprise berpr ft w hrend der Inst
36. und Schl sselverwaltung sowie f r berwachung und Recovery E Helpdesk Beauftragter Helpdesk Beauftragte sind zur Durchf hrung von Recovery Vorg ngen berechtigt Dar ber hinaus k nnen Sie sich die meisten Funktionsbereiche des SafeGuard Management Center anzeigen lassen E Audit Beauftragter Um SafeGuard Enterprise berwachen zu k nnen haben Audit Beauftragte die Berechtigung sich die meisten Funktionsbereiche des SafeGuard Management Center anzeigen zu lassen 51 SafeGuard Enterprise 11 1 3 11 1 4 52 E Recovery Beauftragter Recovery Beauftragte sind dazu berechtigt die SafeGuard Enterprise Datenbank zu reparieren Benutzerdefinierte Rollen Als Sicherheitsbeauftragter mit den erforderlichen Rechten k nnen Sie neue Rollen aus einer Liste mit Aktionen Rechten definieren und sie einem vorhandenen oder einem neuen Sicherheitsbeauftragten zuweisen Wie auch bei den vordefinierten Rollen l sst sich die zus tzliche Autorisierung durch einen weiteren Sicherheitsbeauftragten f r eine Funktion der betreffenden Rolle jederzeit aktivieren Bei der Zuweisung einer neuen Rolle ist f r die zus tzliche Autorisierung Folgendes zu beachten Hinweis Wenn ein Benutzer zwei Rollen mit der gleichen Funktion inne hat und bei einer der Rollen die zus tzliche Autorisierung zugeordnet ist dann gilt das automatisch auch bei der anderen Rolle Ein Sicherheitsbeauftragter mit den erforderlichen Rechten kann Rechte zu ei
37. 1 Starten Sie das SafeGuard Management Center ber den Produktordner im Start Men Ein Anmeldebildschirm wird angezeigt 2 Melden Sie sich als Haupt Sicherheitsbeauftragter an und geben Sie das Zertifikatsspeicherkennwort ein das w hrend der Konfiguration festgelegt wurde Klicken Sie auf OK Das SafeGuard Management Center wird ge ffnet Hinweis Wenn Sie ein falsches Kennwort eingeben wird eine Fehlermeldung angezeigt und die n chste Anmeldung wird verz gert Diese Verz gerung wird mit jedem fehlgeschlagenen Anmeldeversuch gr er Fehlgeschlagene Anmeldeversuche werden protokolliert Administratorhilfe 4 3 Anmeldung im Multi Tenancy Modus Wenn Sie mehrere Datenbanken konfiguriert haben Multi Tenancy erweitert sich der Anmeldevorgang am SafeGuard Management Center siehe Mit mehreren Datenbankkonfigurationen arbeiten Seite 29 1 Starten Sie das SafeGuard Management Center ber den Produktordner im Start Men Der Dialog Konfiguration ausw hlen wird angezeigt 2 W hlen Sie die Datenbankkonfiguration die Sie verwenden m chten aus der Dropdownliste und klicken Sie auf OK Die ausgew hlte Datenbankkonfiguration wird mit dem SafeGuard Management Center verbunden und wird aktiv 3 Zur Anmeldung an das SafeGuard Management Center werden Sie dazu aufgefordert den Namen des Sicherheitsbeauftragten f r diese Konfiguration auszuw hlen und Ihr Zertifikatsspeicherkennwort einzugeben Klicken Sie auf OK Das
38. 101 N here Informationen wie SSL am SafeGuard Enterprise Server und dem durch SafeGuard Enterprise gesch tzten Endpoint zu konfigurieren ist entnehmen sie der SafeGuard Enterprise Installationsanleitung Sie k nnen die SSL Verschl sselung f r SafeGuard Enterprise w hrend der Erstkonfiguration der SafeGuard Enterprise Komponenten oder zu einem sp teren Zeitpunkt einrichten Erstellen Sie danach ein neues Konfigurationspaket und installieren Sie es auf dem entsprechenden Server oder zentral verwalteten Computer Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung Administratorhilfe 10 Aufbau der Organisationsstruktur 10 1 10 1 1 F r den Aufbau einer Organisationsstruktur im SafeGuard Management Center gibt es zwei M glichkeiten m Sie k nnen eine bestehende Organisationsstruktur ber ein Active Directory in die SafeGuard Enterprise Datenbank importieren m Sie k nnen Ihre Organisationsstruktur manuell anlegen indem Sie Arbeitsgruppen und Dom nen sowie eine Struktur f r die Verwaltung von Richtlinien erstellen Import aus Active Directory Sie k nnen eine bestehende Organisationsstruktur ber ein Active Directory in die SafeGuard Enterprise Datenbank importieren Wir empfehlen ein spezielles Windows Servicekonto anzulegen das f r alle Import und Synchronisierungsaufgaben verwendet wird So stellen Sie sicher dass alle Import Vorg nge korrekt durchgef hrt werden u
39. 12497410 Das Client Konfigurationspaket wurde noch nicht installiert 0x00BEB203 12497411 Die UEFI Version wird nicht unterst tzt und deshalb wird BitLocker im Legacy Modus ausgef hrt Die Minimalanforderung ist 2 3 1 0x80280006 2144862202 Das TPM ist inaktiv 323 SafeGuard Enterprise 324 0x80280007 2144862201 Das TPM ist deaktiviert 0x80280014 2144862188 Das TPM hat bereits einen Besitzer 0x80310037 2144272329 Die Gruppenrichtlinieneinstellung die FIPS Konformit t erfordert verhindert dass ein lokales Recovery Kennwort erzeugt und in die Schl ssel Backup Datei geschrieben wird Die Verschl sselung wird dennoch fortgesetzt 0x8031005B 2144272293 Die Gruppenrichtlinie f r die angegebene Authentisierungsmethode ist nicht gesetzt Bitte aktivieren Sie die Gruppenrichtlinie Zus tzliche Authentifizierung beim Start anfordern 0x803 1005E 2144272290 Die Gruppenrichtlinie f r Verschl sselung ohne TPM ist nicht gesetzt Bitte aktivieren Sie die Gruppenrichtlinie Zus tzliche Authentifizierung beim Start anfordern und aktivieren Sie darin das Kontrollk stchen BitLocker ohne kompatibles TPM zulassen 0x80280000 0x803100CF 2144862208 2144272177 Siehe Microsoft COM Error Codes TPM PLA FVE Administratorhilfe 39 Technischer Support Technischen Support zu Sophos Produkten k nnen Sie wie folgt abrufen E Rufen
40. 2 5 10 2 6 Lokale Benutzer werden zur Gruppe authentisierte Benutzer hinzugef gt Computer werden zur Gruppe authentisierte Computer hinzugef gt Dementsprechend gelten f r sie die Richtlinien die f r diese Gruppe aktiviert wurden Erzeugen von Arbeitsgruppen Als Sicherheitsbeauftragter mit den erforderlichen Rechten k nnen Sie unter dem Stammverzeichnis einen Container erzeugen der eine Windows Arbeitsgruppe repr sentiert Arbeitsgruppen erhalten keine Schl ssel Sie k nnen nicht umbenannt werden 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Rechts klicken Sie im linken Navigationsfenster auf Stamm Filter ist aktiv und w hlen Sie im Kontextmen Neu gt Neue Arbeitsgruppe erzeugen autom Registrierung 3 Gehen Sie in Allgemeine Informationen wie folgt vor a Geben Sie einen vollst ndigen Namen f r die Arbeitsgruppe ein b Sie k nnen optional eine Beschreibung hinzuf gen c Im Feld Verbindungsstatus wird der Typ des Objekts angezeigt in diesem Fall Arbeitsgruppe d Aktivieren Sie Richtlinienvererbung stoppen wenn gew nscht e Klicken Sie auf OK Die Arbeitsgruppe wird erzeugt Unterhalb des Arbeitsgruppen Containers wird automatisch das Standardverzeichnis Automatisch registriert angelegt Es kann weder umbenannt noch gel scht werden L schen von Arbeitsgruppen Um eine Arbeitsgruppe zu l schen ben tigen Sie das Zugriffsrecht Voller Zugriff f r
41. Ausnahme von optischen Medien auf den Endpoints erstellt werden muss Die Medien Passphrase erm glicht sowohl den Zugriff auf alle zentral definierten Dom nen Gruppenschl ssel als auch auf alle in SafeGuard Portable verwendeten lokalen Schl ssel Der Benutzer muss nur eine einzige Passphrase eingeben und erh lt Zugriff auf alle verschl sselten Dateien in SafeGuard Portable Dabei spielt es keine Rolle welcher lokale Schl ssel f r die Verschl sselung verwendet wurde Auf jedem Endpoint wird automatisch ein einzigartiger Medienverschl sselungsschl ssel f r die Datenverschl sselung f r jedes Medium erstellt Dieser Schl ssel ist durch die Medien Passphrase und einen zentral definierten Dom nen Gruppenschl ssel gesichert Auf einem Computer mit SafeGuard Data Exchange ist es daher nicht notwendig die Medien Passphrase einzugeben um auf die verschl sselten Dateien auf Wechselmedien zuzugreifen Der Zugriff wird automatisch gew hrt wenn sich der entsprechende Schl ssel im Schl sselring des Benutzers befindet Der zu verwendende Dom nen Gruppenschl ssel muss unter F r Verschl sselung definierter Schl ssel festgelegt werden Die Medien Passphrase Funktionalit t steht zur Verf gung wenn die Option Benutzer darf eine Medien Passphrase f r Wechselmedien erzeugen in einer Richtlinie vom Typ Ger teschutz aktiviert ist 193 SafeGuard Enterprise 24 3 1 24 4 24 4 1 194 Nach dem Wirksamwerden dieser Einste
42. Authentisierte Benutzer und Authentisierte Computer angezeigt 3 Ziehen Sie diese beiden Gruppen aus dem Aktivierungsbereich in die Liste der Verf gbaren Gruppen Die Richtlinie ist in dieser Konstellation f r keinen Benutzer und keinen Computer wirksam 4 Ziehen Sie jetzt die gew nschte Gruppe oder auch mehrere Gruppen aus der Liste der Verf gbaren Gruppen in den Aktivierungsbereich Diese Richtlinie gilt jetzt ausschlie lich f r diese Gruppe Wurden der bergeordneten OU ebenfalls Richtlinien zugeordnet gilt diese Richtlinie f r diese Gruppe zus tzlich zu jenen die f r die gesamte OU festgelegt wurden Verwalten von Richtlinien unter Benutzer amp Computer Neben dem Bereich Richtlinien im SafeGuard Management Center k nnen Sie den Inhalt einer Richtlinie auch dort einsehen und ndern wo die Richtlinienzuweisung erfolgt unter Benutzer amp Computer 1 Klicken Sie auf Benutzer amp Computer 2 W hlen Sie im Navigationsbereich das gew nschte Containerobjekt 3 Sie k nnen Richtlinien von zwei Orten aus ffnen um sie einzusehen oder zu ndern E Wechseln Sie in die Registerkarte Richtlinien oder E wechseln Sie in die Registerkarte RSOP 4 Klicken Sie mit der rechten Maustaste auf die gew nschte zugewiesene oder verf gbare Richtlinie und w hlen Sie ffnen aus dem Kontextmen Der Richtliniendialog wird angezeigt und Sie k nnen die Richtlinieneinstellungen einsehen und bearbeiten 5 Klicken S
43. Authentisierung m Nicht kryptographisch Die Authentisierung in der SafeGuard POA und in Windows erfolgt auf der Grundlage der auf dem Token gespeicherten Anmeldedaten Benutzername Kennwort m kryptographisch Kerberos Die Authentisierung in der SafeGuard POA und in Windows erfolgt auf der Grundlage der auf dem Token gespeicherten Zertifikate Hinweis Kryptographische Token k nnen nicht f r Standalone Endpoints verwendet werden Kryptographische Token Kerberos Bei der Verwendung von kryptographischen Token erfolgt die Authentisierung in der SafeGuard POA ber das Zertifikat auf dem Token Zur Anmeldung m ssen die Benutzer nur die PIN des Token eingeben Hinweis Kryptographische Token k nnen nicht f r Standalone Endpoints verwendet werden Den Benutzern m ssen vollst ndig ausgestellte Token bereitgestellt werden F r weitere Informationen siehe Konfigurieren der Token Benutzung Seite 218 Grundlegende Anforderungen f r Zertifikate E Algorithmus RSA E Schl ssell nge mindestens 1024 E Verwendung des Schl ssels Datenverschl sselung oder Schl sselverschl sselung Dies kann per Richtlinie au er Kraft gesetzt werden E Selbst signiert Nein Dies kann per Richtlinie au er Kraft gesetzt werden Hinweis Bei Problemen bei der Anmeldung mit einem Kerberos Token kann weder Challenge Response noch Local Self Help f r Recovery Vorg nge benutzt werden Hier wird nur Challenge Response mit virtuellen Clien
44. Beispiel legt fest dass die Ausf hrung des Jobs in einem Abstand von 60 Minuten wiederholt werden soll E Sie k nnen einen Zeitplan f r die Ausf hrung des Jobs festlegen exec sp_add_jobschedule E Qfreq type 4 Dieses Beispiel legt fest dass der Job t glich ausgef hrt wird E freq_interval 1 Dieses Beispiel legt fest dass der Job einmal pro Tag ausgef hrt wird E Qactive_start_time 010000 Dieses Beispiel legt fest dass der Job um 01 00 Uhr ausgef hrt wird Hinweis Die f r Parameter Qactive_start_time oben angegebene Syntax funktioniert mit SQL Server 2005 Die korrekte Syntax f r SQL Server 2000 lautet Qactive_start_time 1 00 00 Hinweis Neben den oben angef hrten Beispielwerten l sst sich noch eine Vielzahl von verschiedenen Zeitplanoptionen mit sp_add jobschedule definieren So l sst sich der Job zum Beispiel alle zwei Minuten oder nur einmal pro Woche ausf hren Weitere Informationen hierzu finden Sie in der Microsoft Transact SQL Dokumentation L schen der gespeicherten Prozeduren Jobs und Tabellen Das Skript spshrinkEventTable_uninstall sql l scht die gespeicherte Prozedur sowie die EVENT BACKUP Tabelle Das Skript ScheduledShrinkEventTable_uninstall sql deaktiviert den Scheduled Job 281 SafeGuard Enterprise Hinweis Wenn Sie spShrinkEventTable_uninstall sql ausf hren wird die Tabelle EVENT_BACKUP mit allen enthaltenen Daten vollst ndig gel scht 33 14 Texte f r Ereignisberichte 282 Er
45. Benutzer F r Endpoints k nnen Sie weitere PIN Optionen ber Richtlinien festlegen Hinweis Beachten Sie bei PIN nderungen dass manche Token Hersteller selbst PIN Regeln festlegen die den PIN Regeln von SafeGuard Enterprise widersprechen k nnen M glicherweise k nnen PINs deshalb nicht wie gew nscht ge ndert werden auch wenn sie den PIN Regeln von SafeGuard Enterprise entsprechen Ber cksichtigen Sie daher auf jeden Fall die PIN Regeln des Token Herstellers Diese werden im SafeGuard Management Center im Bereich Token unter Token Information angezeigt Die Verwaltung der PINs wird im SafeGuard Management Center unter Token durchgef hrt Der Token ist eingesteckt und links im Navigationsfenster markiert Initialisieren einer Benutzer PIN Voraussetzungen m Die SO PIN muss bekannt sein m Sie ben tigen das Zugriffsrecht Voller Zugriff f r den relevanten Benutzer 1 Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Benutzer PIN initialisieren Symbol 2 Geben Sie die SO PIN ein 3 Geben Sie die neue Benutzer PIN ein wiederholen Sie die Eingabe und best tigen Sie mit OK Die Benutzer PIN wurde initialisiert 27 8 2 ndern der SO PIN Voraussetzung Die bisherige SO PIN PIN des Sicherheitsbeauftragten muss bekannt sein 1 Klicken Sie in der SafeGuard Management Center Symbolleiste auf das PIN des Sicherheitsbeauftragten ndern Symbol 2 Geben Sie die alte SO PIN ein 3 Geben Sie die
46. Dieses Kontrollk stchen wird f r Benutzer angezeigt die noch keinen aktiven pers nlichen Schl ssel haben E Aktiven pers nlichen Schl ssel ersetzen Dieses Kontrollk stchen wird f r Benutzer angezeigt die bereits einen aktiven pers nlichen Schl ssel haben 6 Klicken Sie auf OK Der pers nliche Schl ssel wird f r den ausgew hlten Benutzer erzeugt In der Registerkarte Schl ssel wird der Schl ssel als Aktiver pers nlicher Schl ssel f r den Benutzer angezeigt Bei Benutzern die bereits einen aktiven pers nlichen Schl ssel hatten wird der vorhandene Schl ssel zur ckgestuft und der Benutzer erh lt einen neuen Der zur ckgestufte pers nliche Schl ssel verbleibt im Schl sselring des Benutzers Der aktive pers nlichen Schl ssel kann anderen Benutzern nicht zugewiesen werden Administratorhilfe 12 2 3 12 2 4 Erzeugen von pers nlichen Schl sseln f r mehrere Benutzer Um pers nliche Schl ssel zu erzeugen ben tigen Sie die Rechte Schl ssel erzeugen und Schl ssel zuweisen Dar ber hinaus ben tigen Sie das Zugriffsrecht Voller Zugriff f r alle beteiligten Objekte Um aktive pers nliche Schl ssel zu ersetzen ben tigen Sie das Recht Pers nliche Schl ssel verwalten 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Klicken Sie im Navigationsbereich mit der rechten Maustaste auf den Knoten f r den Sie pers nliche Schl ssel erzeugen m chten E Auf einen Dom nenkno
47. Ereignisse siehe Pr fen der Integrit t protokollierter Ereignisse Seite 278 k nnen Sie jedoch die Verkettung aktivieren Hinweis Wenn die Verkettung von protokollierten Ereignissen deaktiviert ist gilt kein spezieller Integrit tsschutz f r die EVENT Tabelle Hinweis Zu viele Events k nnen zu Performanceproblemen f hren N here Informationen wie Sie Performanceprobleme vermeiden k nnen indem Sie Events aufr umen finden Sie unter Regelm ige S uberung der EVENT Tabelle ber Skript Seite 279 33 8 1 Aktivieren der Verkettung protokollierter Ereignisse 1 Stoppen Sie den Webservice SGNSRV auf dem Web Server 2 L schen Sie alle Ereignisse aus der Datenbank und erstellen Sie w hrend des L schvorgangs eine Sicherungskopie siehe L schen ausgew hlter oder aller Ereignisse Seite 278 Hinweis Wenn Sie die alten Ereignisse nicht aus der Datenbank l schen funktioniert die Verkettung nicht da f r die verbleibenden alten Ereignisse die Verkettung nicht aktiviert war 3 Setzen Sie folgenden Registry Key auf 0 oder l schen Sie ihn HKEY_LOCAL_MACHINE SOFTWARE Utimaco SafeGuard Enterprise DWORD DisableLogEventChaining 0 4 Starten Sie den Webservice neu Die Verkettung ist wieder aktiviert 277 SafeGuard Enterprise 33 9 33 10 33 11 33 12 278 Hinweis Um die Verkettung wieder zu deaktivieren setzen Sie den Registry Key auf 1 Pr fen der Integrit t protokollierter Ereignisse
48. Geben Sie die dem Token zugeordnete SO PIN ein und best tigen Sie mit OK Es werden alle Daten entfernt die von SafeGuard Enterprise verwaltet werden Zertifikate verbleiben auf dem Token Die Benutzer PIN wird auf 1234 zur ckgesetzt Auf diese Weise gel schte Token werden automatisch aus der Liste der ausgestellten Token entfernt Lesen von Token Smartcard Daten All Sicherheitsbeauftragter k nnen Sie die Daten auf dem Token mit der Benutzer PIN lesen Voraussetzung m Der Token muss eingesteckt sein Die PIN muss dem Sicherheitsbeauftragten bekannt sein Oder sie muss initialisiert worden sein siehe Initialisieren einer Benutzer PIN Seite 227 m Sie ben tigen die Zugriffsrechte Schreibgesch tzt oder Voller Zugriff f r den relevanten Benutzer 1 Klicken Sie im SafeGuard Management Center auf Token 2 W hlen Sie links im Navigationsbereich unter Token Slots den gew nschten Token und w hlen Sie die Registerkarte Anmeldeinformationen und Zertifikate aus 3 Klicken Sie auf das Symbol Anmeldeinformationen des Benutzers abrufen und geben Sie die Benutzer PIN f r den Token ein Die Daten die sich auf dem Token befinden werden angezeigt Administratorhilfe 28 Sicheres Wake on LAN WOL 28 1 Im SafeGuard Management Center k nnen Sie Richtlinieneinstellungen f r Sicheres Wake on LAN WOL definieren um Endpoints f r Software Rollout Vorg nge vorzubereiten Nach dem Wirksamwerden einer solchen Richtlinie
49. Hierzu steht eine Buchstabierhilfe zur Verf gung Sie k nnen den Response Code auch in die Zwischenablage kopieren Der Benutzer kann den Response Code eingeben die angeforderte Aktion ausf hren und dann wieder mit dem Computer arbeiten System Recovery f r die Sophos SafeGuard Festplattenverschl sselung SafeGuard Enterprise verschl sselt Dateien und Laufwerke transparent Dar ber hinaus k nnen auch Bootlaufwerke verschl sselt werden so dass Entschl sselungsfunktionalit ten wie Code Verschl sselungsalgorithmen und Verschl sselungsschl ssel sehr fr h in der Bootphase verf gbar sein m ssen Folglich kann auf verschl sselte Informationen nicht zugegriffen werden wenn entscheidende SafeGuard Enterprise Module nicht verf gbar sind oder nicht funktionieren Die folgenden Abschnitte beschreiben m gliche Probleme und Recovery Verfahren Daten Recovery durch Booten von einem externen Medium Dieser Recovery Typ kann angewendet werden wenn sich der Benutzer nicht mehr auf das verschl sselte Volume zugreifen kann In diesem Fall kann der Zugriff auf die verschl sselten Daten durch Booten des Computers ber eine f r SafeGuard Enterprise angepasste Windows PE Recovery Disk wiederhergestellt werden Administratorhilfe 29 3 2 29 3 3 Voraussetzungen m Der Benutzer der vom externen Medium bootet muss dazu berechtigt sein Das muss im BIOS des Computers so konfiguriert sein m Der Computer muss das Booten von an
50. Hinweis Wenn in diesem Handbuch von SafeGuard Power on Authentication oder SafeGuard Festplattenverschl sselung die Rede ist dann bezieht sich das nur auf Windows 7 BIOS Endpoints E F r UFFI Systeme verwenden Sie die von SafeGuard Enterprise verwaltete BitLocker Verschl sselung f r die Festplattenverschl sselung F r diese Endpoints bietet SafeGuard Enterprise verbesserte Challenge Response Funktionalit ten N here Informationen bez glich der unterst tzten UEFI Versionen und Einschr nkungen zur SafeGuard BitLocker Challenge Response Unterst tzung entnehmen Sie bitte den Versionsinfos unter http downloads sophos com readmes readsgn_61_eng html Hinweis Wenn sich die Beschreibung nur auf UEFI bezieht ist das explizit angegeben Die Tabelle zeigt welche Komponenten verf gbar sind SafeGuard BitLocker mit SafeGuard C R Festplattenverschl sselung Pre Boot Wiederherstellung f r mit SafeGuard Authentication PBA BitLocker Pre Boot Power on von SafeGuard Authentication PBA Authentication POA verwaltet Windows 7 BIOS JA Windows 7 UEFI Windows 8 UEFI Windows 8 BIOS Windows 8 1 UEFI Hinweis SafeGuard C R Wiederherstellung f r BitLocker Pre Boot Authentication PBA ist nur auf 64 bit Systemen verf gbar SafeGuard Festplattenverschl sselung mit SafeGuard Power on Authentication POA ist das Sophos Modul zur Verschl sselung von Laufwerken auf Endpoints Es wird mit einer von Sophos entwickelt
51. Kriterien einzuschr nken Im Filter Bereich der Registerkarte Bestand stehen folgende Felder f r die Definition von Filtern zur Verf gung Beschreibung Computername Um die Bestand und Statusinformationen f r bestimmte Computer anzeigen zu lassen geben Sie in diesem Feld den Computernamen an Einschlie lich Sub Container Aktivieren Sie dieses Feld um Sub Container in die Anzeige mit einzubeziehen Letzte nderung anzeigen Legen Sie in diesem Feld die Anzahl der anzuzeigenden letzten nderungen festlegen Administratorhilfe 32 5 32 6 Dar ber hinaus k nnen Sie mit dem Filter Editor benutzerdefinierte Filter erstellen Der Filter Editor l sst sich ber das Kontextmen der einzelnen Berichtsspalten aufrufen Im Fenster Filterdefinition k nnen Sie eigene Filter definieren und auf die jeweilige Spalte anwenden Aktualisieren von Bestandsinformationen Die Endpoints bertragen die jeweils aktuellen Bestandsinformationen wenn sich die Informationen ge ndert haben ber den Befehl Aktualisierung anfordern k nnen Sie manuell eine Aktualisierung der Bestandsinformationen anfordern Dieser Befehl steht f r einen einzelnen oder alle Computer eines Knotens ber das Kontextmen sowie ber das Men Aktionen in der SafeGuard Management Center Men leiste zur Verf gung Dar ber hinaus l sst sich der Befehl ber das Kontextmen der Listeneintr ge ausw hlen Wenn Sie diesen Befehl ausw hlen oder a
52. OK Das neue Textelement wird als Unterknoten des Eintrags Informationstext im Richtlinien Navigationsbereich angezeigt Ist ein Textelement markiert wird sein Inhalt im Aktionsbereich auf der rechten Seite angezeigt Das Textelement kann jetzt beim Erstellen von Richtlinien ausgew hlt werden Administratorhilfe 29 2 Um weitere Textelemente zu registrieren gehen Sie wie beschrieben vor Alle registrierten Textelemente werden als Unterknoten angezeigt Recovery mit Challenge Response Zur Optimierung von Workflows im Unternehmen und zur Reduzierung von Helpdesk Kosten bietet SafeGuard Enterprise eine Challenge Response Recovery L sung Mit einem benutzerfreundlichen Challenge Response Verfahren unterst tzt SafeGuard Enterprise Benutzer die sich an ihrem Computer nicht mehr anmelden oder nicht auf verschl sselte Daten zugreifen k nnen Diese Funktionalit t ist im SafeGuard Enterprise Management Center in Form eines Recovery Assistenten integriert Nutzen und Vorteile des Challenge Response Verfahrens Das Challenge Response Verfahren ist ein sicheres und effizientes Recovery System m W hrend des gesamten Vorgangs werden keine vertraulichen Daten in unverschl sselter Form ausgetauscht m Informationen die unberechtigte Dritte durch Mitverfolgen dieses Vorgangs erhalten k nnten lassen sich weder zu einem sp teren Zeitpunkt noch auf anderen Ger ten verwenden m F r den Computer auf den zugegriffen werden soll muss
53. SafeGuard Management Center sichtbarer Benutzer oder alle Mitglieder eines Containers k nnen unter Benutzer amp Computer zu Sicherheitsbeauftragten gemacht werden Den Sicherheitsbeauftragten k nnen eine oder mehrere Rollen zugeordnet werden Einem Benutzer kann z B die Rolle des Verwaltungsbeauftragten und die Rolle des Helpdesk Beauftragten zugewiesen werden Der Haupt Sicherheitsbeauftragte kann aber auch selbst definierte Rollen anlegen und bestimmten Sicherheitsbeauftragten zuweisen Vordefinierte Rollen Im SafeGuard Management Center sind neben dem Haupt Sicherheitsbeauftragten die folgenden Rollen vordefiniert Die diesen vordefinierten Rollen zugewiesenen Rechte k nnen nicht ge ndert werden Verf gt eine vordefinierte Rolle z B ber das Recht Richtlinien und Richtliniengruppen anlegen so kann dieses Recht nicht aus der Rolle entfernt werden Es k nnen auch keine neuen Rechte zu einer vordefinierten Rollen hinzugef gt werden Die zus tzliche Autorisierung durch einen weiteren Sicherheitsbeauftragten hingegen l sst sich jederzeit den vordefinierten Rollen zuordnen E Verwaltungsbeauftragter Verwaltungsbeauftragte k nnen Ihren eigenen Knoten im Bereich Sicherheitsbeauftragte einsehen und sind dazu berechtigt die ihrem Knoten zugeh rigen Sicherheitsbeauftragten zu verwalten E Sicherheitsbeauftragter Sicherheitsbeauftragte haben umfassende Rechte u a f r die SafeGuard Enterprise Konfiguration Richtlinien
54. Sicherheitsbeauftragten m Die Spalte Zugewiesen von zeigt den Sicherheitsbeauftragten der die Zugriffsrechte zugewiesen hat m Das Zuweisungsdatum m Die Spalte Zugriffsrechte zeigt die erteilten Rechte Voller Zugriff Verweigert oder Schreibgesch tzt m Die Spalte Ursprung zeigt den vollst ndigen Namen des Knotens an dem das Zugriffsrecht dem entsprechenden Sicherheitsbeauftragten zugewiesen wurde Zum Beispiel Wurde das Recht einem bergeordneten Knoten des ausgew hlten Verzeichnisobjekts zugewiesen so wird hier der bergeordnete Knoten angezeigt In diesem Fall hat der Sicherheitsbeauftragte das Zugriffsrecht f r das ausgew hlte Verzeichnisobjekt durch Zuweisung an den bergeordneten Knoten geerbt m Die Spalte Status zeigt wie der Sicherheitsbeauftragte das Zugriffsrechte erhalten hat m Geerbt blauer Text Das Zugriffsrecht wurde von einem bergeordneten Knoten geerbt m berschrieben brauner Text Das Zugriffsrecht wurde von einem bergeordneten Knoten geerbt jedoch am ausgew hlten Knoten durch direkte Zuweisung berschrieben m Direkt zugewiesen schwarzer Text Das Zugriffsrecht wurde direkt am ausgew hlten Knoten zugewiesen Administratorhilfe 11 11 11 11 1 F r geerbte Rechte k nnen Sie in der Spalte Status einen Tooltip anzeigen der den Ursprung des relevanten Rechts zeigt Bef rderung von Benutzern und Sicherheitsbeauftragten Sie haben folgende M glichkeiten E Sie k nnen ei
55. Sie das SophosTalk Forum unter community sophos com auf und suchen Sie nach Benutzern mit dem gleichen Problem E Durchsuchen Sie die Sophos Support Knowledgebase unter www sophos com de de support aspx E Laden Sie Produktdokumentation unter www sophos com de de support documentation herunter E Senden Sie eine E Mail an support sophos de und geben Sie die Versionsnummer n Betriebssystem e und Patch Level Ihrer Sophos Software sowie ggf den genauen Wortlaut von Fehlermeldungen an 325 SafeGuard Enterprise 326 40 Rechtliche Hinweise Copyright 1996 2014 Sophos Group Alle Rechte vorbehalten SafeGuard ist ein eingetragenes Warenzeichen von Sophos Group Diese Publikation darf weder elektronisch oder mechanisch reproduziert elektronisch gespeichert oder bertragen noch fotokopiert oder aufgenommen werden es sei denn Sie verf gen entweder ber eine g ltige Lizenz gem der die Dokumentation in bereinstimmung mit dem Lizenzvertrag reproduziert werden darf oder Sie verf gen ber eine schriftliche Genehmigung des Urheberrechtsinhabers Sophos Sophos Anti Virus und SafeGuard sind eingetragene Warenzeichen von Sophos Limited Sophos Group und Utimaco Safeware AG sofern anwendbar Alle anderen erw hnten Produkt und Unternehmensnamen sind Marken oder eingetragene Marken der jeweiligen Inhaber Copyright Informationen von Drittanbietern finden Sie in dem Dokument Disclaimer and Copyright for 3rd Party Soft
56. Sie den vom Benutzer erhaltenen Challenge Code ein und klicken Sie auf Weiter Der Challenge Code wird gepr ft Wenn der Challenge Code korrekt eingegeben wurde wird der Response Code erzeugt Wenn der Code nicht korrekt eingegeben wurde wird unterhalb des Blocks der den Fehler enth lt der Text Ung ltige Challenge angezeigt 2 Teilen Sie dem Benutzer den Response Code mit Hierzu steht eine Buchstabierhilfe zur Verf gung Sie k nnen den Response Code auch in die Zwischenablage kopieren Wenn Sie Schl ssel angefordert als Recovery Aktion ausgew hlt haben wird der angeforderte Schl ssel im Response Code an die Benutzerumgebung bertragen Wenn Sie Kennwort f r Schl sseldatei angefordert als Recovery Aktion ausgew hlte haben wird das Kennwort f r die verschl sselte Schl sseldatei im Response Code bertragen Die Schl sseldatei wird daraufhin gel scht Eingeben des Response Codes im KeyRecovery Tool 1 Geben Sie im KeyRecovery Tool auf dem Endpoint den Response Code ein den Sie vom Helpdesk erhalten haben Mit dem Response Code wird der erforderliche Recovery Schl ssel bertragen Administratorhilfe 2 Klicken Sie auf OK Das f r das Challenge Response Verfahren gew hlte Laufwerk wird entschl sselt A Recover Keys xj SafeGuard k 1 Language select Encrypted Volumes Engish 1033 3 Um sicherzustellen dass die Entschl sselung erfolgreich durchgef hrt werden konnte w hlen Sie
57. Sie die Einstellung Schl ssel f r die Verschl sselung f r jedes Medium festlegen Hier k nnen Sie festlegen welche Schl ssel der Benutzer bei der Verschl sselung verwenden darf bzw muss E Beliebiger Schl ssel im Schl sselring des Benutzers Benutzer k nnen nach der Anmeldung an Windows ausw hlen welchen Schl ssel sie f r die Verschl sselung des Laufwerks verwenden m chten Es wird ein Dialog angezeigt in dem die Benutzer den gew nschten Schl ssel ausw hlen k nnen E Alle au er pers nliche Schl ssel im Schl sselring Benutzer d rfen ihren pers nlichen Schl ssel nicht verwenden um Daten zu verschl sseln E Beliebiger Gruppenschl ssel im Schl sselring des Benutzers Benutzer d rfen nur aus den in ihrem Schl sselbund vorhandenen Gruppenschl sseln ausw hlen E Definierter Computerschl ssel Der definierte Computerschl ssel ist der einzigartige Schl ssel der von SafeGuard Enterprise nur f r den jeweiligen Computer w hrend des ersten Startvorgangs erzeugt wird Der Benutzer hat keine Auswahlm glichkeit Ein definierter Computerschl ssel wird nur f r die Boot und Systempartition eingesetzt und f r Laufwerke auf denen sich Dokumente und Einstellungen befinden 71 SafeGuard Enterprise E Definierter Schl ssel aus der Liste Diese Option erlaubt es Ihnen einen bestimmten Schl ssel zu definieren der vom Benutzer zur Verschl sselung verwendet werden muss Wenn Sie dem Benutzer einen Sch
58. Sie die Zielordner f r File Encryption den Verschl sselungsmodus und den Schl ssel f r die Verschl sselung an In Richtlinien vom Typ Allgemeine Einstellungen k nnen Sie festlegen wie bestimmte Anwendungen und Dateisysteme auf Endpoints in Zusammenhang mit File Encryption behandelt werden sollen Sie k nnen ignorierte und vertrauensw rdige Anwendungen sowie ignorierte Ger te angeben Au erdem k nnen Sie die persistente Verschl sselung f r File Encryption aktivieren F r die Verschl sselung k nnen pers nliche Schl ssel verwendet werden Ein pers nlicher Schl ssel der f r einen Benutzer aktiv ist gilt nur f r diesen bestimmten Benutzer und kann nicht anderen Benutzern zugewiesen oder mit diesen gemeinsam benutzt werden Sie k nnen pers nliche Schl ssel im SafeGuard Management Center unter Benutzer amp Computer erzeugen Wenn Endpoints eine File Encryption Richtlinie zugewiesen wurde werden die Dateien in den von der Richtlinie abgedeckten Speicherorten ohne Benutzerinteraktion transparent verschl sselt E Neue Dateien in den relevanten Speicherorten werden automatisch verschl sselt E Wenn Benutzer den Schl ssel f r eine verschl sselte Datei haben k nnen sie den Inhalt lesen und ndern m Wenn Benutzer den Schl ssel f r eine verschl sselte Datei nicht haben wird der Zugriff verweigert E Wenn ein Benutzer auf einem Endpoint auf dem File Encryption nicht installiert ist auf eine verschl sselte Datei
59. Taskplaner benutzen und Tasks verwalten 1 W hlen Sie in der SafeGuard Management Center Men leiste Extras gt Taskplaner Der Dialog Taskplaner wird angezeigt 2 Klicken Sie auf die Schaltfl che Erzeugen Der Dialog Neuer Task wird angezeigt 3 Geben Sie im Feld Name einen eindeutigen Namen f r den Task ein Ist der Task Name nicht eindeutig so wird eine Warnungsmeldung angezeigt wenn Sie auf OK klicken um den Task zu speichern 4 W hlen Sie aus der Dropdownliste des Felds SGN Server den Server auf dem der Task laufen soll Die Dropdownliste zeigt nur Server f r die die Skript Ausf hrung erlaubt ist Sie k nnen die Skript Ausf hrung f r einen bestimmten Server als erlaubt definieren wenn Sie diesen mit der Funktion Konfigurationspakete im SafeGuard Management Center registrieren Weitere Informationen zum Registrieren von Servern finden Sie in der SafeGuard Enterprise Installationsanleitung Wenn Sie Keiner ausw hlen wird der Task nicht ausgef hrt 283 SafeGuard Enterprise 34 2 284 5 Klicken Sie auf die Dropdown Schaltfl che Importieren neben dem Feld Skript Der Dialog Skript Datei f r den Import ausw hlen wird angezeigt Hinweis Im Verzeichnis Script Templates Ihrer SafeGuard Management Center Installation stehen zwei vordefinierte Skripte zur Verf gung Der Dialog Skript Datei f r den Import ausw hlen zeigt automatisch dieses Verzeichnis an F r weitere Informationen siehe Vordef
60. Tastaturzeile verboten Tastaturzeilen sind 123 oder qwe Maximal zwei auf der Tastatur nebeneinander liegende Zeichen sind erlaubt Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil Tastaturspalte verboten Als Tastaturspalten werden eingetippte Zeichenreihen wie yaql xsw2 oder 3edc nicht aber yse4 xdr5 oder cft6 bezeichnet Erlaubt sind maximal zwei in einer Tastaturspalte befindliche Zeichen Verbieten Sie Tastaturspalten werden derartige Zeichenkombinationen als Passphrase abgelehnt Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil Drei oder mehr aufeinanderfolgende Zeichen verboten Verboten werden mit Aktivierung dieser Option Zeichenketten E die im ASCII Code aufeinander folgen sowohl in auf als auch in absteigender Reihenfolge abc cba lt usw EM die aus drei oder mehr identischen Zeichen aaa oder 111 bestehen Benutzername als Passphrase verboten Bestimmt ob Benutzername und Passphrase identisch sein d rfen Ja Windows Benutzername und Passphrase m ssen unterschiedlich sein Nein Benutzer darf seinen Windows Benutzernamen gleichzeitig als Passphrase verwenden 147 SafeGuard Enterprise 20 8 White Lists f r Ger teschutz Richtlinien f r dateibasierende Verschl sselung Im SafeGuard Management Center k nnen Sie White Lists als Ziele f r Rich
61. am Client angemeldet Der Standby Token wurde als Standard Token eingestellt Die erfolgreiche Aktivierung eines Standby Certificate wurde dem Server gemeldet Authentisierung Der Benutzer hat sich zum ersten Mal mit dem Standby Token am Client angemeldet Das Standby Zertifikate konnte aufgrund eines Fehlers nicht aktiviert werden Authentisierung Die Aktivierung eines Standby Certificate ist auf dem Server fehlgeschlagen Administration SafeGuard Enterprise Administration gestartet Administration Anmeldung an der SafeGuard Enterprise Administration fehlgeschlagen Administration Autorisierung an der SafeGuard Enterprise Administration fehlgeschlagen Administration Benutzer genehmigt zus tzliche Autorisierung Administration Zus tzliche Autorisierung von Benutzer fehlgeschlagen Administration Datenimport vom Verzeichnis erfolgreich Administration Datenimport vom Verzeichnis abgebrochen Administration Datenimport vom Verzeichnis fehlgeschlagen Administration Benutzer angelegt Administration Benutzer wurde ge ndert Administration Benutzer gel scht Administration Anlegen des Benutzers fehlgeschlagen Administration L schen des Benutzers fehlgeschlagen Administration Computer angelegt Administration Computer gel scht Administration Anlegen des Computers fehlgeschlagen Administrator
62. auf die einzelnen Spalten Header lassen sich die Bestands und Statusinformationen nach den jeweiligen Spalteninformationen sortieren Dar ber hinaus steht ber das Kontextmen der einzelnen Spalten eine Reihe von Funktionen f r die Sortierung Gruppierung und Anpassung der angezeigten Anzeige zur Verf gung Je nach Ihren Zugriffsrechten werden die Informationen im Bestand in unterschiedlichen Farben angezeigt m Informationen f r Objekte f r die Sie das Recht Voller Zugriff haben werden schwarz angezeigt m Informationen f r Objekte f r die Sie das Recht Schreibgesch tzt haben werden blau angezeigt m Informationen f r Objekte f r die Sie keine Zugriffsrechte haben werden grau angezeigt 32 3 Anzeigen ausgeblendeter Spalten 32 4 264 Einige Spalten sind in der Bestandsanzeige standardm ig ausgeblendet 1 Klicken Sie mit der rechten Maustaste in die Spaltenkopfzeilenleiste der Bestandsanzeige 2 W hlen Sie aus dem Kontextmen den Befehl Laufende Spaltenanpassung Das Fenster Anpassung mit den ausgeblendeten Spalten wird angezeigt 3 Ziehen Sie die gew nschte Spalte aus dem Fenster Anpassung in die Spaltenkopfzeilenleiste Die Spalte wird in der Bestandsanzeige angezeigt Um die Spalte wieder auszublenden ziehen Sie sie zur ck in das Fenster Anpassung Filtern von Bestandsinformationen F r die bersicht der Bestandsinformationen f r OUs lassen sich Filter definieren um die Darstellung nach bestimmten
63. aus Hinweis Beachten Sie dass Sie sich bei Wahl dieses Anmeldeverfahrens nur mit einem vorher ausgestellten Token anmelden k nnen Die Einstellungen Benutzername Kennwort und Token lassen sich kombinieren Um zu pr fen ob die Anmeldung mit Token reibungslos funktioniert w hlen Sie zun chst beide Einstellungen aus Erst nach erfolgreicher Token Anmeldung sollten Sie den Anmeldemodus Benutzername Kennwort deaktivieren Wenn Sie Local Self Help f r die Token Anmeldung zulassen m chten m ssen Sie die beiden Einstellungen ebenfalls kombinieren m Fingerabdruck W hlen Sie diese Option um die Anmeldung mit Lenovo Fingerabdruck Leser zu aktivieren Benutzer f r die diese Richtlinie wirksam ist k nnen sich mit Fingerabdruck oder Benutzername Kennwort anmelden Dieser Vorgang bietet das h chste Ma an Sicherheit Bei der Anmeldung f hrt die Benutzer den Finger ber den 133 SafeGuard Enterprise Richtlinieneinstellung Erkl rung Fingerabdruck Leser Wenn der Fingerabdruck erfolgreich erkannt wurde liest die SafeGuard Power on Authentication die Anmeldeinformationen des Benutzers und meldet den Benutzer an der Power on Authentication an Die Anmeldeinformationen werden dann an Windows bertragen und der Benutzer wird an seinem Computer angemeldet Hinweis Nach Auswahl dieses Anmeldevorgangs kann sich der Benutzer nur mit einem vorher registrierten Fingerabdruck oder mit Benutzername und Kennwort anmelde
64. aus wenn Sie den folgenden Benutzern Token f r die Authentisierung bereitstellen m chten Benutzer von zentral verwalteten Endpoints Sicherheitsbeauftragte des SafeGuard Management Center Initialisierung leerer Token F r weitere Informationen siehe Initalisieren eines Token Seite 219 Installation der Middleware F r weitere Informationen siehe Installieren der Middleware Seite 219 Aktivierung der Middleware F r weitere Informationen siehe Aktivieren der Middleware Seite 219 Ausstellen von Token f r Benutzer und Sicherheitsbeauftragte F r weitere Informationen siehe Ausstellen eines Token Seite 220 Konfigurieren des Anmeldemodus F r weitere Informationen siehe Konfigurieren des Anmeldemodus Seite 222 Konfigurieren weiterer Token Einstellungen zum Beispiel Syntaxregeln f r PINs F r weitere Informationen siehe Verwalten von PINs Seite 227 und Verwalten von Token und Smartcards Seite 228 Zuweisen von Zertifikaten und Schl sseln zu Token Benutzern F r weitere Informationen siehe Zuweisung von Zertifikaten Seite 223 Sie k nnen auch einen bereits mit Daten einer anderen Anwendung versehenen Token zur Authentisierung verwenden sofern gen gend freier Speicherplatz f r die Zertifikate und Anmeldeinformationen darauf vorhanden ist F r die einfache Token Verwaltung bietet SafeGuard Enterprise folgende Funktionen Token Informationen anzeigen und filtern PINs
65. beseitigt werden Verschl sselungs Subsystem Verschl sselungs Subsysteme sind z B BEFLT sys Systeme F hren Sie das unter Windows Bootprobleme beschriebene Verfahren aus und reparieren Sie das System Setup WinPE f r SafeGuard Enterprise Um Zugriff auf verschl sselte Laufwerke mit dem BOOTKEY eines Computers innerhalb einer WinPE Umgebung zu erhalten stellt SafeGuard Enterprise WinPE mit notwendigen SafeGuard Enterprise Funktionsmodulen wie Treibern zur Verf gung Um SetupWinPE zu starten geben Sie folgenden Befehl ein SetupWinPE pe2 lt WinPE Image Datei gt WinPE Image Datei ist dabei die vollst ndige Pfadangabe des 1386 Verzeichnisses f r eine WinPE CD SetupWinPE f hrt alle erforderlichen nderungen durch Hinweis ber eine derartige WinPE Umgebung kann nur auf verschl sselte Laufwerke zugegriffen werden die mit dem BOOTKEY verschl sselt sind Auf Laufwerke die mit einem Benutzerschl ssel verschl sselt sind kann nicht zugegriffen werden da die Schl ssel in dieser Umgebung nicht verf gbar sind Slaven einer Festplatte SafeGuard Enterprise erlaubt das Slaven von verschl sselten Volumes oder Festplatten Es gestattet dem Endbenutzer dem Windows Administrator dem SafeGuard Enterprise Sicherheitsbeauftragten trotz sektorbasierter Verschl sselung neue Volumes oder Festplatten anzuschlie en oder zu entfernen Die Key Storage Area KSA eines Volumes enth lt selbst alle notwendigen Informationen
66. chlich in Gebrauch ist Administratorhilfe 21 1 1 2 21 1 1 3 21 1 1 4 F r die schnelle Initialverschl sselung gelten folgende Voraussetzungen E Die schnelle Initialverschl sselung funktioniert nur auf NTFS formatierten Volumes E Bei NTFS formatierten Volumes mit einer Cluster Gr e von 64 KB kann die schnelle Initialverschl sselung nicht angewendet werden Hinweis Dieser Modus kann zu einem unsichereren Zustand f hren wenn eine Platte vor der Verwendung mit SafeGuard Enterprise bereits in Gebrauch war Nicht verwendete Sektoren k nnen noch Daten enthalten Daher ist die schnelle Initialverschl sselung standardm ig deaktiviert Um die schnelle Initialverschl sselung zu aktivieren w hlen Sie die Einstellung Schnelle Initialverschl sselung in einer Richtlinie vom Typ Ger teschutz Hinweis F r die Entschl sselung eines Volumes wird unabh ngig von der gew hlten Richtlinieneinstellung immer die schnelle Initialverschl sselung verwendet F r die Entschl sselung gelten ebenfalls die angegebenen Einschr nkungen Volume basierende Verschl sselung und die Windows 7 Systempartition F r Windows 7 Professional Enterprise und Ultimate wird auf den Endpoints eine Systempartition angelegt der kein Laufwerksbuchstabe zugeordnet ist Diese System Partition kann nicht von SafeGuard Enterprise verschl sselt werden Volume basierende Verschl sselung und Unidentified File System Objects Unidentified File Syst
67. damit Antivirus Software verschl sselte Dateien berpr fen kann Sie k nnen Anwendungen als ignoriert definieren um sie von der transparenten Dateiverschl sselung Dateientschl sselung auszuschlie en Wenn Sie zum Beispiel ein Backup Programm als ignorierte Anwendung definieren bleiben die vom Programm gesicherten verschl sselten Daten verschl sselt Hinweis Untergeordnete Prozesse werden nicht als vertrauensw rdig ignoriert eingestuft 1 Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine Einstellungen an oder w hlen Sie eine vorhandene aus 2 Klicken Sie unter Dateiverschl sselung auf die Dropdown Schaltfl che der Felder Vertrauensw rdige Anwendungen oder Ignorierte Anwendungen 3 Geben Sie im Editor Listenfeld die Anwendungen ein die Sie als vertrauensw rdig ignoriert definieren m chten E Sie k nnen mehrere vertrauensw rdige ignorierte Anwendungen in einer Richtlinie definieren Jede Zeile im Editor Listenfeld definiert jeweils eine Anwendung E Anwendungsnamen m ssen auf exe enden E Anwendungsnamen m ssen als Fully Qualified Paths mit Laufwerk Verzeichnis definiert werden zum Beispiel c dir beispiel exe Es reicht nicht aus nur den Dateinamen einzugeben zum Beispiel beispiel exe Aus Gr nden der Benutzerfreundlichkeit zeigt die Einzelzeilenansicht der Anwendungsliste nur die Dateinamen getrennt durch Strichpunkte E Die Anwendungsnamen k nnen dieselben Platzha
68. der POA Maximale Dateigr e f r alle Hintergrundbilder 500 KB SafeGuard Enterprise unterst tzt f r Hintergrundbilder zwei Varianten E 1024x768 VESA Modus Farben keine Einschr nkung Richtlinie vom Typ Allgemeine Einstellungen Option Hintergrundbild in der POA m 640x480 VGA Modus Farben 16 Richtlinie vom Typ Allgemeine Einstellungen Option Hintergrundbild in der POA niedrige Aufl sung Anmeldebild Maximale Dateigr e f r alle Anmeldebilder 100 KB SafeGuard Enterprise unterst tzt f r Anmeldebilder zwei Varianten E 413x140 Farben keine Einschr nkung 107 SafeGuard Enterprise 16 3 1 1 16 3 2 108 Richtlinie vom Typ Allgemeine Einstellungen Option Anmeldebild in der POA E 413x140 Farben 16 Richtlinie vom Typ Allgemeine Einstellungen Option Anmeldebild in der POA niedrige Aufl sung Bilder m ssen zun chst als Dateien BMP PNG JPG erstellt werden und k nnen dann im Navigationsbereich registriert werden Registrieren von Bildern 1 Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Bilder und w hlen Sie Neu gt Bild 2 Geben Sie unter Bildname einen Namen f r das Bild ein 3 W hlen Sie ber die Schaltfl che das zuvor erstellte Bild aus 4 Klicken Sie auf OK Das neue Bild wird als Unterknoten des Eintrags Bilder im Richtlinien Navigationsbereich angezeigt Ist ein Bild markiert wird es im Aktionsbereich angezeigt Das Bild kann jetzt b
69. der SafeGuard Data Exchange nicht installiert hat und daher SafeGuard Portable verwenden muss Bob m chte Joe jedoch nicht auf alle verschl sselten Dateien auf dem Wechselmedium Zugriff geben Er kann hierzu einen lokalen Schl ssel erzeugen und die Dateien mit dem lokalen Schl ssel verschl sseln Joe kann nun mit SafeGuard Portable die verschl sselten Dateien mit der Passphrase des lokalen Schl ssels ffnen Bob dagegen kann immer noch die Medien Passphrase f r den Zugriff auf alle Dateien auf dem Wechselmedium benutzen Verhalten auf dem Computer E Bob verbindet das Wechselmedium zum ersten Mal mit dem Computer Der Medienverschl sselungsschl ssel der f r jedes Medium einzigartig ist wird automatisch erzeugt E Bob wird aufgefordert die Medien Passphrase f r die Offline Nutzung einzugeben E Der Medienverschl sselungsschl ssel wird ohne Benutzerinteraktion f r die Datenverschl sselung verwendet aber E Bob kann nun einen lokalen Schl ssel z B mit der Bezeichnung JoeSchl ssel f r die Verschl sselung der spezifischen Dateien die mit Joe ausgetauscht werden sollen erzeugen oder ausw hlen E Bob und Alice haben innerhalb der gleichen Gruppe oder Dom ne transparenten Zugriff da sie beide den gleichen Gruppen Dom nenschl ssel verwenden E Wenn Bob auf verschl sselte Dateien auf Wechselmedien auf einem Computer ohne SafeGuard Data Exchange zugreifen m chte kann er die Medien Passphrase in SafeGuard Porta
70. der SafeGuard Enterprise Struktur verschoben Dies ist auch dann der Fall wenn sie in 41 SafeGuard Enterprise einen Container verschoben werden soll f r den Sie nicht das Voller Zugriff Zugriffsrecht haben Wenn ein Container mit den Zugriffsrechten Schreibgesch tzt oder Verweigert zur Synchronisierung hinzugef gt wird da er sich auf dem Weg zum Stammwerzeichnis befindet und dieser Container eine Gruppe mit dem Zugriff Voller Zugriff enth lt wird diese Gruppe synchronisiert Gruppen mit den Zugriffsrechten Schreibgesch tzt oder Verweigert werden nicht synchronisiert 10 2 Erstellen von Arbeitsgruppen und Dom nen 10 2 1 42 Sicherheitsbeauftragte mit den erforderlichen Berechtigungen k nnen manuell Arbeitsgruppen oder Dom nen mit einer Struktur f r die Verwaltung von Richtlinien anlegen Auch die Zuweisung von Richtlinien und oder Verschl sselungsregeln an lokale Benutzer ist dadurch m glich Sie m ssen Dom nen nur dann manuell anlegen wenn Sie keine Dom nen aus dem Active Directory AD importieren wollen oder k nnen z B weil kein AD vorhanden ist Registrierung als neuer Benutzer F r Informationen zu Benutzern die sich zum ersten Mal bei SafeGuard Enterprise anmelden siehe SafeGuard Enterprise Power on Authentication POA Seite 104 Wenn sich ein neuer Benutzer an SafeGuard Enterprise anmeldet wird dieser sobald der Endpoint eine Verbindung mit dem SafeGuard Enterprise Server hergestellt hat re
71. durchf hren Im Bereich Benutzer amp Computer k nnen Sie mit verschiedenen Filtern nach Objekten suchen So k nnen Sie z B mit dem Filter Doppelte Benutzer und Computer nach Duplikaten suchen die durch einen AD Synchronisierungsvorgang entstehen k nnen Der Filter zeigt alle Computer mit demselben Namen in einer Dom ne sowie alle Benutzer mit demselben Namen Anmeldenamen oder Pr 2000 Anmeldenamen in einer Dom ne So suchen Sie nach Objekten 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Benutzer amp Computer Navigationsbereich den gew nschten Container 3 W hlen Sie Bearbeiten gt Suchen in der SafeGuard Management Center Men leiste Der Benutzer Computer und Gruppen suchen Dialog wird angezeigt 4 W hlen Sie den gew nschten Filter aus der Suchen Dropdownliste aus 5 Im Feld In wird der ausgew hlte Container angezeigt Den hier angezeigten Container k nnen Sie ndern indem Sie eine andere Option aus der Dropdownliste ausw hlen 6 Wenn Sie nach einem bestimmten Objekt suchen geben Sie den erforderlichen Suchnamen im Feld Suchname ein 7 Legen Sie mit dem Kontrollk stchen Ansicht nach jeder Suche l schen fest ob die Suchergebnisse nach jedem Suchvorgang aus der Ansicht gel scht werden sollen 8 Klicken Sie anschlie end auf Jetzt suchen Die Ergebnisse werden im Benutzer Computer und Gruppen suchen Dialog angezeigt Wenn Sie
72. ein und best tigen Sie es 31 SafeGuard Enterprise 32 7 7 7 8 6 Geben Sie einen Dateinamen ein und w hlen Sie einen Speicherort aus 7 Verteilen Sie die Konfigurationsdatei an die Computer der Sicherheitsbeauftragten Teilen Sie ihnen das Kennwort f r diese Datei sowie das Zertifikatsspeicherkennwort mit das Sie f r Anmeldung an das SafeGuard Management Center ben tigen 8 Die Sicherheitsbeauftragten m ssen nur auf die Konfigurationsdatei doppelklicken 9 Sie werden aufgefordert das Kennwort f r die Konfigurationsdatei einzugeben 10 Zur Anmeldung an das SafeGuard Management Center werden die Sicherheitsbeauftragten aufgefordert ihr Zertifikatsspeicherkennwort einzugeben Das SafeGuard Management Center startet mit der importierten Konfiguration Diese Konfiguration ist die neue Standardkonfiguration Schneller Wechsel zwischen Datenbankkonfigurationen Zur Vereinfachung von Verwaltungsaufgaben bei mehreren Datenbanken bietet das SafeGuard Management Center den schnellen Wechsel zwischen Datenbankkonfigurationen Hinweis Dieser Vorgang ist auch im Single Tenancy Modus m glich 1 W hlen Sie Datei in der Men leiste des SafeGuard Management Centers und klicken Sie auf Konfiguration wechseln 2 W hlen Sie die Datenbank zu der Sie wechseln m chten aus der Dropdownliste aus und klicken Sie auf OK Das SafeGuard Management Center wird automatisch mit der ausgew hlten Konfiguration neu gestartet
73. eine andere Sprache so werden die Texte f r die erste Sprache entfernt Administratorhilfe 34 Planen von Tasks 34 1 Das SafeGuard Management Center bietet den Taskplaner f r das Erstellen und Planen von auf Skripten basierenden Tasks die in regelm igen Abst nden ausgef hrt werden Auf dem SafeGuard Enterprise Server startet ein Service die Tasks automatisch zur Ausf hrung der angegebenen Skripte Periodische Tasks sind z B n tzlich f r E die automatische Synchronisierung zwischen dem Active Directory und SafeGuard Enterprise E das automatische L schen von protokollierten Ereignissen F r diese beiden Vorg nge stehen in SafeGuard Enterprise vordefinierte Skripte zur Verf gung Sie k nnen diese Skripte unver ndert verwenden oder Ihren Anforderungen anpassen Weitere Informationen siehe Vordefinierte Skripte f r periodische Tasks Seite 289 Als Sicherheitsbeauftragter mit den erforderlichen Rechten k nnen Sie Skripte Regeln und zeitliche Intervalle f r die Tasks im Taskplaner definieren Hinweis Stellen Sie sicher dass f r das Konto das f r die Verwendung des SafeGuard Enterprise Taskplaners benutzt wird die geeigneten SQL Berechtigungen eingestellt sind Weitere Informationen hierzu finden Sie in unserer Wissensdatenbank http www sophos com de de support knowledgebase 113582 aspx Erstellen eines neuen Tasks Um Tasks im Taskplaner zu erstellen ben tigen Sie die Sicherheitsbeauftragtenrechte
74. entfernen Reaktion auf unverschl sselte Volumes Ja Endpoint Benutzer d rfen einen zus tzlichen Schl ssel aus einem Schl sselbund einf gen entfernen Der Dialog wird angezeigt ber den Kontextmen eintrag Eigenschaften Verschl sselung Registerkarte Nein Endpoint Benutzer d rfen keinen zus tzlichen Schl ssel einf gen Definiert wie SafeGuard Enterprise mit unverschl sselten Medien umgeht Folgende Optionen stehen zur Verf gung MH Abweisen Klartext Medium wird nicht verschl sselt EM Nur unverschl sselte Medien akzeptieren und verschl sseln E Alle Medien akzeptieren und verschl sseln Benutzer darf Volume entschl sseln Bewirkt dass der Benutzer ber einen Kontextmen Eintrag im Windows Explorer das Laufwerk entschl sseln darf Schnelle Initialverschl sselung W hlen Sie diese Einstellung aus um den Modus der schnellen Initialverschl sselung f r die volume basierende Verschl sselung zu aktivieren Dieser Modus reduziert den Zeitraum der f r die Initialverschl sselung auf Endpoints ben tigt wird Hinweis Dieser Modus kann zu einem unsicheren Zustand f hren For further information see Schnelle Initialverschl sselung Seite 166 Bei defekten Sektoren fortfahren Legt fest ob die Verschl sselung fortgesetzt oder gestoppt werden soll wenn defekte Sektoren entdeckt werden Die Standardeinstellung ist Ja DATEIBASIERENDE EINSTELLUNGEN Initialverschl sselung
75. es unterschiedliche Vorgehensweisen Dar ber hinaus gelten f r die Eingabewerte in diesen Feldern bestimmte Einschr nkungen Verschiedene Anmeldekombinationen abdecken Durch die beiden separaten Felder Benutzername und Dom nenname pro Listeneintrag lassen sich alle m glichen Anmeldekombinationen z B Benutzer Dom ne oder Dom ne Benutzer abdecken Um mehrere Kombinationen aus Benutzername und Dom nenname anzugeben k nnen Sie Asterisken als Platzhalter verwenden Ein ist als erstes Zeichen als letztes Zeichen und als einziges Zeichen zul ssig Zum Beispiel m Benutzername Administrator m Dom nenname Mit dieser Kombination geben Sie alle Benutzer mit dem Benutzernamen Administrator an die sich an einem Netzwerk oder an einer beliebigen lokalen Maschine anmelden Der vordefinierte Dom nenname LOCALHOST der in der Dropdownliste des Felds Dom nenname zur Verf gung steht steht f r die Anmeldung an einem beliebigen lokalen Computer Zum Beispiel m Benutzername Admin m Dom nenname LOCALHOST Administratorhilfe 18 3 Mit dieser Kombination geben Sie alle Benutzer an deren Benutzernamen mit Admin beginnen und die sich an einer beliebigen lokalen Maschine anmelden Benutzer k nnen sich auf verschiedene Art und Weise anmelden Zum Beispiel m Benutzer test Dom ne mycompany m Benutzer test Dom ne mycompany com Da Dom nenangaben in Service Account Listen nicht
76. f r die Eigenschaften Hardware Kennungen und Ger teinstanzkennung Es werden nur folgende Schnittstellen unterst tzt USB 1394 PCMCIA und PCI E Wenn Sie das Ergebnis eines Endpoint Scans durch den SafeGuard Port Auditor als Quelle verwenden m chten w hlen Sie SafeGuard Port Auditor Ergebnis importieren Die Ergebnisse des Scans durch den SafeGuard Port Auditor m ssen vorliegen XML Datei wenn Sie die White List auf diese Weise erzeugen wollen Um die Datei auszuw hlen klicken Sie auf die Schaltfl che Weitere Informationen hierzu finden Sie in der SafeGuard PortAuditor Benutzerhilfe Nach dem Klicken auf OK wird der Inhalt der importierten Datei im SafeGuard Management Center angezeigt Die White List wird unter White Lists im Richtlinien Navigationsbereich angezeigt Sie k nnen Sie beim Erstellen von Richtlinien des Typs Ger teschutz f r dateibasierende Verschl sselung ausw hlen Auswahl einer White List als Ziel f r Ger teschutz Richtlinien f r die dateibasierende Verschl sselung Voraussetzung Die gew nschte White List muss im SafeGuard Management Center angelegt sein 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf die Schaltfl che Richtlinien 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf Richtlinien und w hlen Sie im Kontextmen den Befehl Neu 3 W hlen Sie Ger teschutz Es wird ein Dialog f r die Benennung der neuen Richtlinie angezeigt 4 G
77. gemeldeten Ereignisse entsprechen den von alle anderen durch SafeGuard Enterprise gesch tzten Endpoints gemeldeten Ereignisse F r weitere Informationen siehe Berichte Seite 270 297 SafeGuard Enterprise 298 37 F r Berichte ausw hlbare Ereignisse Die folgende Tabelle bietet einen berblick zu allen f r die Protokollierung ausw hlbaren Ereignissen ELL System Beschreibung Dienst gestartet System Dienst starten fehlgeschlagen System Dienst angehalten System Integrit tstest der Dateien fehlgeschlagen System Logging Ziel nicht verf gbar System Nicht genehmigter Versuch SafeGuard Enterprise zu deinstallieren Authentisierung Externe GINA erkannt und erfolgreich eingebunden Authentisierung Externe GINA erkannt Einbindung fehlgeschlagen Authentisierung Power on Authentication ist aktiviert Authentisierung Power on Authentication ist deaktiviert Authentisierung Wake on LAN ist aktiviert Authentisierung Wake on LAN ist deaktiviert Authentisierung Challenge erzeugt Authentisierung Response erzeugt Authentisierung Anmeldung erfolgreich durchgef hrt Authentisierung Anmeldung fehlgeschlagen Authentisierung Benutzer w hrend Anmeldung importiert und als Besitzer markiert Authentisierung Benutzer vom Besitzer importiert und als Nicht Besitzer markiert Authentisierun
78. hlte CCO verwendet werden kann Hinweis F r die Verwaltung von CCOs ben tigen Sie das Recht CCOs verwalten Import Damit Sie eine CCO die mit einem anderen Management Tool zum Wechsel des Unternehmenszertifikats erzeugt wurde beim Erstellen von Konfigurationspaketen ausw hlen k nnen muss sie zun chst exportiert werden Klicken Sie auf Importieren um einen Dialog zu ffnen in dem Sie die CCO ausw hlen und benennen k nnen Der hier eingegebene Name wird in der Registerkarte CCOs unter Konfigurationspakete angezeigt Export Mit der Exportieren Funktion lassen sich in der Datenbank gespeicherte CCOs als cco Dateien exportieren 87 SafeGuard Enterprise 14 Mit Richtlinien arbeiten 14 1 88 Die folgenden Abschnitte beschreiben richtlinienrelevanten Vorg nge z B das Erstellen Gruppieren und Sichern von Richtlinien Hinweis F r das Zuweisen Entfernen oder Bearbeiten von Richtlinien ben tigen Sie das Zugriffsrecht Voller Zugriff f r die relevanten Objekte sowie f r jede Gruppe die f r die jeweiligen Richtlinien aktiviert ist F r eine Beschreibung aller mit SafeGuard Enterprise verf gbaren Richtlinieneinstellungen siehe Richtlinieneinstellungen Seite 126 Anlegen von Richtlinien 1 Melden Sie sich mit dem Kennwort das Sie w hrend der Erstkonfiguration festgelegt haben am SafeGuard Management Center an 2 Klicken Sie im Navigationsbereich auf Richtlinien 3 Klicken Sie im Navigat
79. ist an Mac Benutzer gerichtet m SafeGuard File Encryption for Mac Administratorhilfe Dieses Dokument ist f r Administratoren vorgesehen die mit beiden Plattformen Mac und Windows arbeiten Konfigurieren von Verschl sselungsregeln in File Encryption Richtlinien Die Regeln f r die dateibasierende Verschl sselung im Netzwerk definieren Sie in einer Richtlinie des Typs File Encryption Hinweis Wenn bestimmte Ordner verschl sselt werden zum Beispiel C Programme bewirkt dies unter Umst nden dass das Betriebssystem oder bestimmte Anwendungen nicht mehr laufen Stellen Sie bei der Definition von Verschl sselungsregeln sicher dass diese Ordner nicht verschl sselt werden 1 Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ File Encryption an oder w hlen Sie eine vorhandene aus Die Tabelle f r File Encryption Richtlinienregeln wird angezeigt 2 Geben Sie in der Spalte Pfad den Pfad d h den Ordner an der durch File Encryption verschl sselt werden soll E Klicken Sie auf die Dropdown Schaltfl che und w hlen Sie einen Platzhalter f r einen Ordnernamen aus der Liste der verf gbaren Platzhalter aus Hinweis Wenn Sie Ihren Cursor ber die Listeneintr ge f hren werden Tooltips angezeigt die zeigen wie ein Platzhalter blicherweise auf einem Endpoint umgesetzt wird Geben Sie nur g ltige Platzhalter ein F r eine Liste aller unterst tzten Platzhalter siehe Platzhalter f r Pfade i
80. konnte kein unfragmentierter unbenutzter Bereich der erforderlichen Gr e auf einem Volume gefunden werden Dateisystem Cluster konnten nicht als benutzt markiert werden Dateisystem Cluster konnten nicht als benutzt markiert werden Dateisystem Cluster konnten nicht als unbenutzt markiert werden Dateisystem Cluster konnten nicht als BAD markiert werden Es existieren keine Informationen ber die Cluster eines Dateisystems Der als BAD markierte Bereich auf einem Volume konnte nicht gefunden werden Unzul ssige Gr e eines Bereichs auf einem Volume definiert Der MBR Sektor einer Festplatte konnte nicht ersetzt werden Ein falsches Kommando f r eine Allokierung oder Deallokierung definiert Unzul ssiger Algorithmus definiert Der Zugriff auf den Systemkern ist fehlgeschlagen Es ist kein Systemkern installiert Beim Zugriff auf den Systemkern ist ein Fehler aufgetreten Unzul ssige nderung der Systemeinstellungen Administratorhilfe Fehler ID Anzeige Auf ein Laufwerk konnten keine Daten geschrieben werden Von einem Laufwerk konnten keine Daten gelesen werden Der Zugriff auf ein Laufwerk ist fehlgeschlagen Unzul ssiges Laufwerk nderung der Zugriffsposition auf einem Laufwerk ist fehlgeschlagen Laufwerk ist nicht bereit Unmount eines Laufwerks ist fehlgeschlagen Datei konnte nicht ge ffnet werden Dat
81. msc kann die Gruppenrichtlinie hier gefunden werden Richtlinien f r Lokaler Computer Computerkonfiguration Administrative Vorlagen Windows Komponenten BitLocker Laufwerksverschl sselung Betriebssystemlaufwerke F r USB Stick aktivieren Sie zus tzlich BitLocker ohne kompatibles TPM zulassen in der Gruppenrichtlinie E Um TPM PIN auf Tablets verwenden zu k nnen aktivieren Sie zus tzlich die Gruppenrichtlinie Verwendung der BitLocker Authentifizierung mit erforderlicher Tastatureingabe vor dem Starten auf Slates aktivieren Hinweis Die Gruppenrichtlinien sind bei der Installation auf dem Endpoint automatisch aktiviert Stellen Sie sicher dass die Einstellungen nicht von anderen Gruppenrichtlinien berschrieben werden E TPM muss auf dem Endpoint aktiviert und ein Besitzer muss festgelegt sein bevor SafeGuard Enterprise die BitLocker Verschl sselung verwalten kann Administratorhilfe 21 2 3 Hinweis Wenn SafeGuard BitLocker Management auf einem Endpoint installiert ist dann kann Nicht vorbereitet als Verschl sselungsstatus eines Laufwerks angezeigt werden Das bedeutet dass das Laufwerk momentan nicht mit BitLocker verschl sselt werden kann weil notwendige Vorbereitungen noch nicht durchgef hrt wurden Das trifft nur auf verwaltetete Endpoints zu weil nicht verwaltetete Endpoints keine Bestandsinformationen melden k nnen Siehe auch Registerkarte Laufwerke Seite 266 Der Systemstatus eines nicht verwalteten End
82. nen Controllers ndern 5 Au erdem k nnen Sie in der Registerkarte Containereinstellungen den Wake on LAN Modus f r den automatischen Neustart festlegen 6 Klicken Sie zur Best tigung Ihrer Einstellungen auf OK Administratorhilfe 10 2 9 10 2 10 10 2 11 10 2 11 1 10 2 11 2 Die nderungen sind nun gespeichert L schen einer Dom ne Als Sicherheitsbeauftragter mit den n tigen Berechtigungen k nnen Sie Dom nen l schen Um eine Dom ne zu l schen ben tigen Sie das Zugriffsrecht Voller Zugriff f r die relevante Dom ne Hinweis Falls die Dom ne Mitglieder hatte werden diese ebenfalls gel scht 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Rechts klicken Sie im linken Navigationsfenster auf der Dom ne die gel scht werden soll und w hlen Sie L schen 3 Klicken Sie auf Ja Die Dom ne wird gel scht Eventuelle Mitglieder werden ebenfalls gel scht Hinweis Wenn Sie das Zugriffsrecht Voller Zugriff nicht f r alle Mitglieder der Dom ne haben schl gt das L schen der Dom ne fehl und es wird eine Fehlermeldung angezeigt L schen von automatisch registrierten Computern Wenn ein automatisch registrierter Computer gel scht wird werden alle lokalen Benutzer dieses Computers ebenfalls gel scht Bei der n chsten Anmeldung dieses Computers wird er erneut automatisch registriert Filter f r lokale Objekte Benutzer und Computer Unter Benutzer amp Co
83. sein k nnen 8 3 Namensregeln werden vom durch SafeGuard Enterprise gesch tzten Endpoint automatisch bei Anwendung der relevanten Richtlinien erkannt Es sollte keine Rolle spielen ob Anwendungen lange Ordnernamen oder 8 3 Namen f r den Zugriff auf Dateien verwenden Verwenden Sie f r relative Regeln kurze Ordnernamen um sicherzustellen dass die Regel umgesetzt werden kann egal ob eine Anwendung lange Ordnernamen oder 8 3 Notation verwendet UNC und verbundene Laufwerke Ob Sie Regeln in UNC Notation oder basierend auf verbundenen Laufwerksbuchstaben anwenden h ngt von Ihren spezifischen Anforderungen ab m Verwenden Sie UNC Notation wenn sich die Server und Freigabenamen wahrscheinlich nicht ndern die verbundenen Laufwerksbuchstaben jedoch von Benutzer zu Benutzer unterschiedlich sein k nnen m Verwenden Sie verbundene Laufwerksbuchstaben wenn diese unver ndert beibehalten werden Servernamen aber ge ndert werden k nnen 183 SafeGuard Enterprise Wenn Sie UNC verwenden geben Sie einen Servernamen und einen Freigabenamen an zum Beispiel server share File Encryption gleicht die UNC Namen und die verbundenen Laufwerksbuchstaben intern ab In einer Regeln muss ein Pfad somit entweder als UNC Pfad oder mit verbundenen Laufwerksbuchstaben definiert sein Hinweis Da Benutzer u U ihre verbundenen Laufwerksbuchstaben ndern k nnen empfehlen wir aus Sicherheitsgr nden UNC Pfade in File Encryption Verschl sselu
84. sselung einer Datei gestartet Verschl sselung F amp F Entschl sselung einer Datei fehlerfrei beendet Verschl sselung F amp F Entschl sselung einer Datei fehlgeschlagen Verschl sselung Backup von Bootkey durchgef hrt Verschl sselung berschreitung der Anzahl von Verschl sselungsalgorithmen f r Start Laufwerke Verschl sselung Lesefehler von Schl sseldatenbereiche Verschl sselung Abweisen von Laufwerken gem den Richtlinien Verschl sselung Warnung NTFS Boot Sector Backup fehlt auf Volume 1 Verschl sselung Zugriffsschutz Verschl sselung Allgemeiner Verschl sselungsfehler Verschl sselung Verschl sselungsfehler Laufwerk nicht gefunden Verschl sselung Verschl sselungsfehler Laufwerk nicht verf gbar Verschl sselung Verschl sselungsfehler Laufwerk entfernt Verschl sselung Verschl sselungsfehler Laufwerksfehler Verschl sselung Verschl sselungsfehler Der Schl ssel fehlt Verschl sselung Verschl sselungsfehler Der Original KSA Bereich ist besch digt Verschl sselung Verschl sselungsfehler Der Sicherungs KSA Bereich ist besch digt Verschl sselung Verschl sselungsfehler Der ESA Bereich ist besch digt Zugriffskontrolle Port erfolgreich freigegeben Zugriffskontrolle Ger t erfolgreich freigegeben Zugriffskontrolle Speicherger t erfolgreich freigege
85. sselung entsprechend Ein FileVault 2 Endpoint verarbeitet nur Richtlinien des Typs Ger teschutz mit dem Ziel Boot Laufwerke und einem Verschl sselungsmodus f r Medien der auf Volume basierend oder Keine Verschl sselung gesetzt ist Alle anderen Richtlinieneinstellungen werden ignoriert m Volume basierend aktiviert FileVault 2 auf dem Endpoint m Keine Verschl sselung erlaubt dem Benutzer den Mac zu entschl sseln Administratorhilfe 22 SafeGuard Configuration Protection Das Modul SafeGuard Configuration Protection ist ab SafeGuard Enterprise 6 1 nicht mehr verf gbar Die entsprechende Richtlinie ist im SafeGuard Management Center 6 1 noch verf gbar um SafeGuard Enterprise 6 Clients mit installierter Configuration Protection zu unterst tzen die ber ein 6 1 Management Center verwaltet werden Weitere Informationen zu SafeGuard Configuation Protection entnehmen Sie bitte der SafeGuard Enterprise 6 Administratorhilfe http www sophos com de de medialibrary PDFs documentation sgn_60_h_eng_admin_help pdf 179 SafeGuard Enterprise 180 23 File Encryption mit File Share Das SafeGuard Enterprise Modul File Share bietet dateibasierende Verschl sselung auflokalen Festplatten und im Netzwerk speziell f r Arbeitsgruppen bei Netzwerkfreigaben Im SafeGuard Management Center definieren Sie die Regeln f r die dateibasierende Verschl sselung durch File Share in File Encryption Richtlinien In diesen Richtlinien geben
86. tzt Token E in der SafeGuard Power on Authentication E auf Betriebssystemebene E zur Anmeldung am SafeGuard Management Center Wenn ein Token f r einen Benutzer in SafeGuard Enterprise ausgestellt wird werden Daten wie Hersteller Typ Seriennummer Anmeldedaten und Zertifikate in der SafeGuard Enterprise Datenbank hinterlegt Token werden anhand der Seriennummer identifiziert und sind dann in SafeGuard Enterprise bekannt Es ergeben sich erhebliche Vorteile E Sie wissen welche Token im Umlauf sind und welchen Benutzern sie zugeordnet sind E Sie wissen wann sie ausgestellt wurden E Wenn Token verlorengegangen sind kann der Sicherheitsbeauftragte sie identifizieren und f r die Authentisierung sperren Damit kann Datenmissbrauch verhindert werden E Trotzdem kann der Sicherheitsbeauftragte ber Challenge Response die Anmeldung ohne Token zeitweilig erlauben z B wenn ein Benutzer seine PIN vergessen hat Hinweis Diese Recovery Option wird f r die Anmeldung mit kryptographischen Token Kerberos nicht unterst tzt Token Typen Der Begriff Token bezieht sich auf alle verwendeten Technologien und ist nicht an eine bestimmte Form von Ger t gebunden Dies umfasst alle Ger te die Daten f r die Identifizierung und Authentisierung speichern und bertragen k nnen zum Beispiel Smartcards und USB Token Administratorhilfe 27 1 1 27 2 SafeGuard Enterprise unterst tzt die folgenden Token Smartcard Typen f r die
87. vorhanden Die Gruppe wurde zwar aktiviert aber eine Aktivierung kann nur f r Benutzer und Computer gelten f r die auch eine Richtlinienzuweisung besteht Das hei t die Aktivierung von Richtlinien kann nicht ber Container Grenzen hinausgehen wenn keine direkte oder indirekte Richtlinienzuweisung f r dieses Objekt existiert Eine Richtlinie wird wirksam wenn sie entweder bei Benutzergruppen oder Computergruppen aktiviert wurde Es werden die Benutzergruppen und dann die Computergruppen ausgewertet auch authentisierte Benutzer und authentisierte Computer sind Gruppen Beide Ergebnisse werden ODER verkn pft Liefert diese ODER Verkn pfung einen positiven Wert f r die Computer Benutzer Beziehung gilt die Richtlinie Hinweis Werden mehrere Richtlinien f r ein Objekt aktiv werden die einzelnen Richtlinien unter Einhaltung der beschriebenen Regeln vereinigt Das hei t die tats chlichen Einstellungen f r ein Objekt k nnen aus mehreren unterschiedlichen Richtlinien zusammengesetzt werden F r eine Gruppe gibt es folgende Aktivierungseinstellungen E Aktiviert Eine Richtlinie wurde zugewiesen Die Gruppe wird im Aktivierungsbereich des SafeGuard Management Centers angezeigt 95 SafeGuard Enterprise 14 9 7 14 9 8 96 E Nicht aktiviert Eine Richtlinie wurde zugewiesen Die Gruppe befindet sich nicht im Aktivierungsbereich Wird eine Richtlinie einem Container zugewiesen dann bestimmt die Aktivierungseinstellu
88. w hrend des Vorgangs keine Online Netzwerkverbindung bestehen Der Response Code Assistent f r den Helpdesk l uft auch auf einem Standalone Endpoint ohne Verbindung zum SafeGuard Enterprise Server Eine komplexe Infrastruktur ist nicht notwendig m Der Benutzer kann schnell wieder mit dem Computer arbeiten Es gehen keine verschl sselten Daten verloren nur weil der Benutzer das Kennwort vergessen hat Typische Situationen in denen Hilfe beim Helpdesk angefordert wird m Ein Benutzer hat sein Kennwort f r die Anmeldung vergessen Der Computer ist gesperrt m Ein Benutzer hat seinen Token seine Smartcard vergessen oder verloren m Der lokale Cache der SafeGuard Power on Authentication ist teilweise besch digt m Ein Benutzer ist krank oder im Urlaub und ein Kollege muss auf die Daten auf dem Computer zugreifen m Ein Benutzer m chte auf ein Volume zugreifen das mit einem Schl ssel verschl sselt ist der auf dem Computer nicht verf gbar ist SafeGuard Enterprise bietet f r diese typischen Notf lle unterschiedliche Recovery Workflows die dem Benutzer wieder den Zugang zu seinem Computer erm glichen 239 SafeGuard Enterprise 29 2 1 29 2 2 240 Challenge Response Workflow Das Challenge Response Verfahren basiert auf zwei Komponenten m Endpoint auf dem der Challenge Code erzeugt wird m SafeGuard Management Center in dem Sie als Helpdesk Beauftragter mit ausreichenden Rechten einen Response Code erstellen
89. wie z B TAFEL oder TaFeL nicht akzeptiert und die Anmeldung wird verweigert Beispiel 2 Der Benutzername f r einen Anwender lautet EMaier Steht Gro Kleinschreibung beachten auf Ja und Benutzername als Kennwort verboten auf Nein darf Benutzer EMaier keine Variante seines Benutzernamens z B emaier oder eMaiEr usw als Kennwort verwenden 143 SafeGuard Enterprise 144 Richtlinieneinstellung Tastaturzeile verboten Erkl rung Tastaturzeilen sind 123 oder qwe Maximal zwei auf der Tastatur nebeneinander liegende Zeichen sind erlaubt Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil Tastaturspalte verboten Als Tastaturspalten werden eingetippte Zeichenreihen wie yaql xsw2 oder 3edc nicht aber yse4 xdr5 oder cft6 bezeichnet Erlaubt sind maximal zwei in einer Tastaturspalte befindliche Zeichen Verbieten Sie Tastaturspalten werden derartige Zeichenkombinationen als Kennw rter abgelehnt Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil Drei oder mehr aufeinanderfolgende Zeichen verboten Verboten werden mit Aktivierung dieser Option Zeichenketten M die im ASCII Code aufeinander folgen sowohl in auf als auch in absteigender Reihenfolge abc cba lt usw EM die aus drei oder mehr identischen Zeichen aaa oder 111 bestehen Be
90. 3 12 00 Ende des Zeitfensters f r externen WOL Start 25 Sept 2013 06 00 F r weitere Informationen zu den einzelnen Einstellungen siehe Spezifische Computereinstellungen Grundeinstellungen Seite 156 Da die Anzahl an automatischen Anmeldungen auf 5 eingestellt ist startet der Endpoint 5 mal ohne Authentisierung durch die SafeGuard POA Hinweis Wir empfehlen f r Wake on LAN immer drei Neustarts mehr als notwendig zu erlauben um unvorhergesehene Probleme zu umgehen 231 SafeGuard Enterprise 232 Das Zeitintervall setzt der SO auf 12 00 Uhr mittags auf den Tag vor dem SW Roll Out Somit kann das Scheduling Skript SSMCMDIntn exe rechtzeitig starten und WOL ist sp testens am 25 09 um 03 00 Uhr gestartet Das SW Roll Out Team erstellt 2 Kommandos f r das Scheduling Skript E Starte am 24 Sept 2013 12 15 Uhr SGSMCMDIntn exe WOlLsstart E Starte am 26 Sept 2013 09 00 Uhr SSMCMDIntn exe WOLstop Das SW Roll out Skript wird auf den 25 09 2013 03 00 datiert Am Ende des Skripts kann WOL explizit wieder deaktiviert werden mit SSMCMDiIntn exe WOLstop Alle Endpoints die sich bis zum 24 Sept 2013 anmelden und mit den Roll out Servern in Verbindung treten erhalten die neue Richtlinie und die Scheduling Kommandos Jeder Endpoint auf dem der Scheduler zwischen dem 24 Sept 2032 12 00 Uhr und dem 25 Sept 2013 06 00 Uhr das Kommando SGMCMDIntn WOLsstart ausl st f llt in das obige WOL Zeitintervall und akt
91. B Stick Beim Starten eines Challenge Response Verfahrens muss diese Datei im selben Verzeichnis wie das Recovery Tool abgelegt sein Anlegen und Exportieren von Schl sseldateien f r den Recovery Vorgang Sind mehrere Schl ssel erforderlich um den Zugriff auf ein verschl sseltes Volume im Rahmen eines Recovery Verfahrens mit virtuellen Clients wiederherzustellen so kann der Sicherheitsbeauftragte diese Schl ssel in einer exportierten Schl sseldatei zusammenfassen Diese Schl sseldatei wird mit einem Zufallskennwort verschl sselt das in der Datenbank gespeichert wird Das Kennwort ist f r jede angelegte Schl sseldatei einzigartig Die verschl sselte Schl sseldatei muss an den Benutzer bertragen werden und ihm beim Starten eines Challenge Response Verfahrens ber ein Recovery Tool zur Verf gung stehen Im Rahmen des Challenge Response Verfahrens wird das Kennwort f r die Schl sseldatei mit dem Response Code bertragen Die Schl sseldatei kann daraufhin mit dem Kennwort entschl sselt werden und es besteht wieder Zugriff auf alle Volumes die mit den verf gbaren Schl sseln verschl sselt sind Um Sch sseldateien zu exportieren ben tigen Sie das Zugriffsrecht Voller Zugriff f r die Objekte denen die relevanten Schl ssel zugewiesen sind 1 Klicken Sie im SafeGuard Management Center auf Schl ssel und Zertifikate 81 SafeGuard Enterprise 12 5 4 12 5 5 12 5 6 12 5 7 82 2 Klicken Sie im Navigations
92. B Stick gespeichert m TPM USB Stick Der Schl ssel f r die Anmeldung wird auf dem TPM Chip und auf einem USB Stick gespeichert Die Anmeldung kann dann entweder mit TPM Chip oder USB Stick erfolgen Hinweis Um die Anmeldemodi TPM PIN TPM USB Stick oder USB Stick verwenden zu k nnen aktivieren Sie die Gruppenrichtlinie Zus tzliche Authentifizierung beim Start anfordern entweder im Active Directory oder auf den Computern lokal Im Editor f r lokale Gruppenrichtlinien gpedit msc kann die Gruppenrichtlinie hier gefunden werden Richtlinien f r Lokaler Computer Computerkonfiguration Administrative Vorlagen Windows Komponenten BitLocker Laufwerksverschl sselung Betriebssystemlaufwerke F r USB Stick aktivieren Sie zus tzlich BitLocker ohne kompatibles TPM zulassen in der Gruppenrichtlinie BitLocker Anmeldemodus F r den Fall dass die Anmeldung fehlschl gt bietet SafeGuard Fallback Enterprise als Fallback Mechanismus die Anmeldung mit USB Stick oder die Ausgabe einer Fehlermeldung an Hinweis Wird USB Stick als Anmeldemodus ausgew hlt wird diese Option nicht angeboten ERFOLGLOSE ANMELDUNGEN Maximalanzahl von erfolglosen Bestimmt wie oft ein Benutzer ohne Folgen bei der Anmeldung Anmeldeversuchen einen ung ltigen Benutzernamen bzw ein ung ltiges Kennwort eingeben darf Wenn der Benutzer zum Beispiel drei mal nacheinander seinen Benutzernamen oder sein Kennwort falsch eingegeben hat f hrt der vier
93. Benutzer amp Computer 2 Stecken Sie den Token an der USB Schnittstelle ein SafeGuard Enterprise liest den Token ein 3 W hlen Sie den Benutzer f r den ein Token ausgestellt werden soll und ffnen Sie im rechten Arbeitsbereich die Registerkarte Token Daten 4 Gehen Sie in der Registerkarte Token Daten wie folgt vor a W hlen Sie die Benutzer ID und Dom ne des betreffenden Benutzers aus und geben Sie sein Windows Kennwort ein b Klicken Sie auf Token ausstellen Der Dialog Token ausstellen wird angezeigt 5 W hlen Sie den relevanten Slot aus der Verf gbare Slots Dropdownliste aus 6 Vergeben Sie eine neue Benutzer PIN und wiederholen Sie die Eingabe Administratorhilfe 27 5 2 7 Geben Sie unter SO PIN die vom Hersteller erhaltene Standard PUK bzw die bei der Token Initialisierung vergebene PIN ein Hinweis Wenn Sie nur das Feld Benutzer PIN erforderlich ausf llen muss die Benutzer PIN mit der PIN bereinstimmen die bei der Token Initialisierung vergeben wurde Sie m ssen die Benutzer PIN dann nicht wiederholen und keine SO PIN eingeben 8 Klicken Sie auf Token jetzt ausstellen Der Token wird ausgestellt die Anmeldeinformationen auf den Token geschrieben und die Token Informationen in der SafeGuard Enterprise Datenbank hinterlegt Im Bereich Token k nnen Sie sich in der Registerkarte Token Information die Daten anzeigen lassen Ausstellen eines Token oder einer Smartcard f r einen Sicherheit
94. Benutzerdaten auch auf andere Computer repliziert werden k nnen Nach der Replikation kann sich der Benutzer auch auf diesen Computern in der SafeGuard POA anmelden In der Standardeinstellung wird der erste Benutzer der sich nach der Installation von SafeGuard Enterprise an den Computer anmeldet in der UMA als Besitzer dieses Computers eingetragen Dieses Attribut erlaubt es dem Benutzer nachdem er sich im Rahmen der SafeGuard Power on Authentication authentisiert hat weiteren Benutzern die Anmeldung an diesem Computer zu erm glichen siehe Registrieren weiterer SafeGuard Enterprise Benutzer Seite 106 Dadurch werden auch sie in die UMA f r diesen Computer aufgenommen So wird automatisch eine Liste aufgebaut die bestimmt welcher Benutzer sich an welchem Computer anmelden darf Diese Liste kann im SafeGuard Management Center bearbeitet werden Benutzer Computer Zuordnung im SafeGuard Management Center Im SafeGuard Management Center kann eine Zuordnung von Benutzern zu bestimmten Computern vorgenommen werden Wird ein Benutzer im SafeGuard Management Center einem Computer zugeordnet oder umgekehrt wird diese Zuweisung in die UMA aufgenommen Seine Benutzerdaten Zertifikat Schl ssel usw werden auf diesen Rechner repliziert und er kann sich an diesen Computer anmelden Wenn ein Benutzer aus der UMA entfernt wird werden alle Benutzerdaten automatisch aus der SafeGuard POA gel scht Der Benutzer kann sich dann nicht mehr an de
95. Berichtart siehe Datei Tracking Bericht f r Wechselmedien Seite 275 Anwendungsgebiete Die SafeGuard Enterprise Protokollierung von Ereignissen ist eine benutzerfreundliche und umfassende L sung zum Aufzeichnen und Auswerten von Ereignissen Die folgenden Beispiele zeigen einige typische Anwendungsszenarien f r SafeGuard Enterprise Berichte Administratorhilfe 33 1 1 33 1 2 33 2 33 3 Zentrale berwachung von Endpoints im Netzwerk Der Sicherheitsbeauftragte will regelm ig ber kritische Ereignisse zum Beispiel Zugriff auf Dateien f r die ein Benutzer keine Berechtigung hat oder eine Reihe von fehlgeschlagenen Anmeldeversuchen innerhalb eines bestimmten Zeitraums informiert werden ber eine Protokollierungsrichtlinie l sst sich die Protokollierung so konfigurieren dass alle auf den relevanten Endpoints auftretenden sicherheitskritischen Ereignisse in einer lokalen Protokolldatei protokolliert Nach Frreichen einer festgelegten Anzahl an Ereignissen wird die Protokolldatei ber den SafeGuard Enterprise Server in die SafeGuard Enterprise Datenbank bertragen In der Ereignisanzeige des SafeGuard Management Centers kann der Sicherheitsbeauftragte die Ereignisse abrufen einsehen und analysieren Somit lassen sich die Vorg nge auf den verschiedenen Endpoints kontrollieren ohne dass Mitarbeiter Einfluss auf die Aufzeichnungen nehmen k nnen berwachen mobiler Benutzer Mobile Benutzer sind in der Regel nicht st
96. Change Order CCO m Erzeugen eines Konfigurationspakets mit der CCO m Neustart der Server und Verteilen der Konfigurationspakete an die Endpoints So erneuern Sie das Unternehmenszertifikat 1 W hlen Sie Extras gt Optionen in der SafeGuard Management Center Men leiste 2 Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im Bereich Anforderung auf Aktualisieren 3 Geben Sie im Dialog Unternehmenszertifikat aktualisieren einen Namen f r die CCO an und legen Sie einen Backup Pfad fest Geben Sie ein Kennwort f r die P12 Datei ein und best tigen Sie Ihre Eingabe Geben Sie nach Wunsch eine Anmerkung ein und klicken Sie auf Erzeugen 4 Wenn Sie dazu aufgefordert werden best tigen Sie dass diese nderung nicht r ckg ngig gemacht werden kann und dass alle nachfolgend erstellten Konfigurationspakete diese CCO enthalten m ssen damit Sie auf bereits installierten Endpoints wirksam werden k nnen Administratorhilfe 13 2 5 Wenn Sie dazu aufgefordert werden best tigen Sie dass die Aktualisierung erfolgreich war und dass eine CCO erzeugt wurde die in alle Konfigurationspakete aufgenommen werden soll Klicken Sie auf OK 6 Klicken Sie im Extras Men auf Konfigurationspakete 7 W hlen Sie Pakete f r Managed Clients 8 Klicken Sie auf Konfigurationspaket hinzuf gen und geben Sie einen Namen Ihrer Wahl f r das Konfigurationspaket ein 9 Ordnen Sie einen Prim ren Server zu der Sekund re Server ist
97. Cloud Storage wieder an die Cloud bertragen 25 1 Anforderungen f r Software von Cloud Storage Anbietern Damit die Verschl sselung f r in der Cloud gespeicherten Daten m glich ist muss die Software des Cloud Storage Anbieters m auf dem Computer auf dem das Modul Cloud Storage installiert ist laufen m eine Anwendung oder einen Systemdienst im lokalen Dateisystem f r die Synchronisierung zwischen der Cloud und dem lokalen System enthalten m die synchronisierten Daten im lokalen Dateisystem speichern 25 2 Anlegen von Cloud Storage Definitionen Im SafeGuard Management Center stehen f r mehrere Cloud Storage Anbieter zum Beispiel Dropbox oder Egnyte vordefinierte Cloud Storage Definitionen zur Verf gung Sie k nnen 203 SafeGuard Enterprise die in den vordefinierten Cloud Storage Definitionen festgelegten Pfade nach Ihren Anforderungen ndern oder eine neue Cloud Storage Definition erstellen und Werte aus der vordefinierten als Grundlage kopieren Dies ist vor allem dann hilfreich wenn Sie nur einen Teil der Daten in der Cloud Storage verschl sseln m chten Sie k nnen auch eigene Cloud Storage Definitionen anlegen Hinweis Wenn bestimmte Ordner verschl sselt werden zum Beispiel der Dropbox Installationsordner bewirkt dies unter Umst nden dass das Betriebssystem oder bestimmte Anwendungen nicht mehr laufen Stellen Sie beim Anlegen von Cloud Storage Definitionen f r Ger teschutz Richtlinien sicher dass
98. Computer verboten Wenn der betreffende Benutzer angemeldet ist wenn eine Richtlinie die diese Einstellung enth lt wird der Benutzer abgemeldet Gruppen Im SafeGuard Management Center k nnen auch Computergruppen einem Benutzer Konto bzw Benutzergruppen einem Computer zugewiesen werden So erstellen Sie eine Gruppe Klicken Sie unter Benutzer amp Computer mit der rechten Maustaste auf den relevanten Objektknoten bei dem Sie die Gruppe erstellen m chten W hlen Sie dann Neu und Neue Gruppe erzeugen Geben Sie in Neue Gruppe erzeugen unter Vollst Name den Namen der Gruppe und nach Wunsch eine Beschreibung ein Klicken Sie auf OK Beispiel Service Konto Auf diese Weise ist es z B einfach m glich ber ein Service Konto eine gro e Anzahl Computer zu warten Dazu m ssen sich die Computer in einer Gruppe befinden Diese Gruppe wird dann einem Service Konto Benutzer zugewiesen Der Besitzer des Service Kontos kann sich dann an alle Computer dieser Gruppe anmelden Ebenso kann durch das Zuweisen einer Gruppe die verschiedene Benutzer enth lt diesen Benutzern in einem einfachen Schritt die Anmeldung an einem bestimmten Computer erm glicht werden Administratorhilfe 26 2 Zuweisen von Benutzer und Computergruppen Um die Benutzer und Computer Zuordnung unter Benutzer amp Computer einzusehen ben tigen Sie mindestens das Zugriffsrecht Schreibgesch tzt f r eines der beteiligten Objekte Benutzer oder Computer Um di
99. Datei Klicken Sie in der Ausgangs Management Konsole im Extras Men auf Optionen W hlen Sie die Registerkarte Zertifikate und klicken Sie im Bereich Anforderung auf Erzeugen W hlen Sie im CCO erzeugen Dialog das Ziel Unternehmenszertifikat aus dass Sie in der Ziel Management Konsole exportiert haben Schritt 1 Stellen Sie sicher dass es sich um das gew nschte Zertifikat handelt Klicken Sie auf Erzeugen und w hlen Sie ein Zielverzeichnis und einen Dateinamen f r die cco Datei aus Best tigen Sie dass Sie eine Company Certificate Change Order erstellen m chten Bitte beachten Sie dass eine Company Certificate Change Order nicht an spezifische Endpoints gebunden ist Mit einer Company Certificate Change Order l sst sich jeder Client der Ausgangsumgebung verschieben In der Ziel Management Konsole m ssen Sie die in der Ausgangs Management Konsole erzeugte Company Certificate Change Order importieren Klicken Sie im Extras Men auf Konfigurationspakete und w hlen Sie dann die Registerkarte CCOs Klicken Sie auf Importieren W hlen Sie im Dialog CCO importieren die in der Ausgangs Management Konsole erzeugte Company Certificate Change Order und geben Sie einen Namen und nach Wunsch eine Beschreibung f r die Company Certificate Change Order ein Klicken Sie auf OK Erstellen Sie in der Ziel Management Konsole ein Konfigurationspaket Klicken Sie im Extras Men auf Konfigurationspakete gt Pakete f r Standa
100. Daten sei es in verschl sselten Verzeichnissen oder Laufwerken automatisch im Hauptspeicher entschl sselt werden sobald sie in einem Programm ge ffnet werden Beim Abspeichern der Datei wird diese automatisch wieder verschl sselt Folgende Optionen stehen zur Verf gung E Keine Verschl sselung E Volume basierend transparente sektorbasierte Verschl sselung Stellt sicher dass alle Daten verschl sselt sind inkl Boot Dateien Swapfile Datei f r den Ruhezustand Hibernation File tempor re Dateien Verzeichnisinformationen usw ohne dass sich der Benutzer in seiner Arbeitsweise anpassen oder auf Sicherheit achten muss Dateibasierend transparente dateibasierte Verschl sselung Smart MediaEncryption Stellt sicher dass alle Daten verschl sselt sind au er Boot Medium und Verzeichnisinformationen mit dem Vorteil dass auch optische Medien wie CD DVD verschl sselt werden k nnen oder Daten mit Fremdrechnern auf denen kein SafeGuard Enterprise installiert ist ausgetauscht werden k nnen soweit von der Richtlinie erlaubt Hinweis F r Richtlinien mit White Lists k nnen nur die Optionen Keine Verschl sselung oder Dateibasierend ausgew hlt werden ALLGEMEINE EINSTELLUNGEN Algorithmus f r die Verschl sselung Setzt den Verschl sselungsalgorithmus Liste aller einsetzbaren Algorithmen mit ihren jeweiligen Standards AES256 32 Bytes 256 Bits AES128 16 Bytes 128 Bits Schl ssel f
101. Der Computer kann sich je nach eingesetzter BIOS Version aufh ngen Es besteht die M glichkeit nderungen die ber Hotkeys vorgenommen werden k nnen bei der Installation der SafeGuard Enterprise Verschl sselungssoftware ber eine mst Datei bereits vorzudefinieren Verwenden Sie dazu den entsprechenden Aufruf in Verbindung mit msiexec NOVESA Definiert ob VESA oder VGA Modus verwendet werden O VESA Modus Standard 1 VGA Modus NOLEGACY Definiert ob Legacy Unterst tzung nach der Anmeldung an der SafeGuard POA aktiviert ist 0 Legacy Unterst tzung aktivierrt 1 Legacy Unterst tzung nicht aktiviert Standard ALTERNATE Definiert ob USB Ger te von der SafeGuard POA unterst tzt werden 0 USB Unterst tzung ist aktiviert Standard 1 keine USB Unterst tzung NOATA Definiert ob der Int13 Ger tetreiber verwendet wird 0 Standard ATA Ger tetreiber Standard 1 Int13 Ger tetreiber ACPIAPIC Definiert ob die ACPI APIC Unterst tzung benutzt wird 0 Keine ACPV APIC Unterst tzung 1 ACPI APIC Unterst tzung ist aktiv 16 5 Deaktivierte SafeGuard POA und Lenovo Rescue and Recovery Sollte auf dem Computer die SafeGuard Power on Authentication deaktiviert sein so sollte zum Schutz vor dem Zugriff auf verschl sselte Dateien aus der Rescue and Recovery Umgebung heraus die Rescue and Recovery Authentisierung eingeschaltet sein Detaillierte Informationen zur Aktivierung der Re
102. Der Zertifikatsspeicher f r das aktuelle Benutzerkonto wird angelegt und ist durch dieses abgesichert F r die nachfolgenden Anmeldungen ben tigen Sie nur noch dieses Kennwort 7 Klicken Sie auf OK Eine Meldung dass Zertifikat und privater Schl ssel nicht gefunden bzw nicht darauf zugegriffen werden kann wird angezeigt 8 Klicken Sie zum Importieren der Daten auf Ja und dann auf OK Dadurch wird der Importvorgang gestartet 21 SafeGuard Enterprise 22 9 Klicken Sie unter Authentisierungs Schl sseldatei importieren auf die Schaltfl che und w hlen Sie die Schl sseldatei aus Geben Sie das Kennwort der Schl sseldatei ein Geben Sie das zuvor unter Kennwort des Zertifikatsspeichers oder Token PIN definierte Kennwort f r den Zertifikatsspeicher ein W hlen Sie In den Zertifikatsspeicher importieren oder Auf den Token kopieren um das Zertifikat auf einem Token zu speichern 10 Geben Sie zur Initialisierung des Zertifikatsspeichers das Kennwort noch einmal ein Zertifikat und privater Schl ssel befinden sich nun im Zertifikatsspeicher Zur Anmeldung an das SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet Administratorhilfe 6 Lizenzen 6 1 F r die Nutzung von SafeGuard Enterprise mit dem SafeGuard Management Center im produktiven Betrieb ist eine g ltige Lizenz erforderlich So ist eine g ltige Lizenz in der SafeGuard Enterprise Datenbank zum Beispiel die Voraussetzung
103. E Dateimanager das Laufwerk aus auf dem der virtuelle Client gespeichert ist Die Datei recoverytoken tok wird auf der rechten Seite angezeigt 2 W hlen Sie die Datei recoverytoken tok aus und ziehen Sie sie auf das Laufwerk auf dem sich das KeyRecovery Tool befindet Legen Sie die Datei hier im Verzeichnis Toos SGN Tools ab 1eixl Fie Edt New Favorites Go vew Toos Hep 2 e e eloo x DS EX Eee z u aa F e E He Floppy Disk Drive A Pi X Fpa aren I Name sefte Dare moainea Era Na OS reco 74 bytes TOK File 10 9 2008 9 09 Eef CD Drive E CD_ROM u UTIMACO F Ega Boot X Edi Program Files G ProgramData 6 Tools A43 Explorer 7 pE a di m f Control Panel zi Normal Overwrite I Zip Password M Relative Path I Update M Hidden System 1 object s 74 bytes 1 objects selected 74 bytes F 963 69 MB free 963 70 MB total I51 Quick Launch Text Editor FM Extra Find File Hex Viewer Image Viewer else l da a8 5 BE Restore KeyRecovery Main 249 SafeGuard Enterprise 29 2 6 4 Starten einer Challenge im KeyRecovery Tool 29 2 6 5 250 l Klicken Sie unten im Bereich Quick Launch des Windows PE Dateimanagers auf das KeyRecovery Symbol um das KeyRecovery Tool zu ffnen Das Key Recovery Tool zeigt die Schl ssel ID verschl sselter Laufwerke Das Too
104. Enterprise 27 6 27 6 1 222 5 Geben Sie als n chstes das Zertifikat des Sicherheitsbeauftragten an E Um ein neues Zertifikat zu erzeugen klicken Sie auf die Schaltfl che Erzeugen neben der Zertifikat Dropdown Liste Geben Sie das Kennwort f r das Zertifikat zweimal ein und klicken Sie auf OK Legen Sie den Speicherort f r das Zertifikat fest E Um Zertifikate zu importieren klicken Sie auf die Schaltfl che Importieren neben der Zertifikat Dropdown Liste um die entsprechende Zertifikatsdatei zu ffnen Nach Zertifikaten wird zuerst in einer Zertifikatsdatei dann auf dem Token gesucht Die Zertifikate k nnen an den jeweiligen Speicherorten verbleiben 6 Aktivieren Sie die Rollen und Dom nen die dem Beauftragten zugewiesen werden sollen unter Rollen 7 Best tigen Sie die Eingaben mit OK Der Sicherheitsbeauftragte wird angelegt der Token wird ausgestellt die Anmeldedaten werden je nach Einstellung auf den Token geschrieben und die Token Informationen werden in der SafeGuard Enterprise Datenbank hinterlegt Im Bereich Token k nnen Sie sich in der Registerkarte Token Information die Daten anzeigen lassen Konfigurieren des Anmeldemodus F r die Anmeldung von Endbenutzern mit einem Token gibt es zwei Anmeldeformen Eine Kombination der beiden Anmeldeformen ist m glich E Anmeldung mit Benutzername Kennwort E Anmeldung mit Token Wenn Sie sich mit einem Token oder einer Smartcard anmelden k nnen Sie zwi
105. Enterprise 30 7 2 7 3 7 4 Herstellen einer Verbindung mit einer bereits vorhandenen Datenbankkonfiguration So benutzen Sie eine bereits vorhandene SafeGuard Enterprise Datenbankkonfiguration 1 Starten Sie das SafeGuard Management Center Der Dialog Konfiguration ausw hlen wird angezeigt 2 W hlen Sie die Datenbankkonfiguration die Sie verwenden m chten aus der Dropdownliste und klicken Sie auf OK Die ausgew hlte Datenbankkonfiguration wird mit dem SafeGuard Management Center verbunden und wird aktiv 3 Zur Authentisierung werden Sie dazu aufgefordert den Sicherheitsbeauftragtennamen f r diese Konfiguration auszuw hlen und das entsprechende Zertifikatsspeicherkennwort einzugeben Klicken Sie auf OK Das SafeGuard Management Center wird ge ffnet und mit der ausgew hlten Datenbankkonfiguration verbunden Export einer Konfiguration in eine Datei Um eine Konfiguration zu speichern damit sie sp ter wiederverwendet werden kann k nnen Sie sie in eine Datei exportieren 1 Starten Sie das SafeGuard Management Center Der Dialog Konfiguration ausw hlen wird angezeigt 2 W hlen Sie die gew nschte Konfiguration aus der Liste und klicken Sie auf Exportieren 3 Zum Schutz der Konfigurationsdatei werden Sie dazu aufgefordert ein Kennwort das die Konfigurationsdatei verschl sselt einzugeben und zu best tigen Klicken Sie auf OK 4 Geben Sie einen Dateinamen und einen Speicherort f r die expo
106. F r die Anmeldung an das SafeGuard Management Center ist dann nur das Kennwort f r den Zertifikatsspeicher erforderlich 1 Installieren Sie SGNManagementCenter msi mit den gew nschten Features auf einem weiteren Computer 2 Starten Sie das SafeGuard Management Center auf dem Computer mit dem neu installierten SafeGuard Management Center Der Konfigurationsassistent wird gestartet und f hrt Sie durch die notwendigen Schritte 3 Klicken Sie auf der Willkommen Seite auf Weiter 4 W hlen Sie im Dialog Datenbankverbindung unter Datenbankserver die erforderliche SQL Datenbankinstanz aus der Liste aus Alle auf Ihrem Computer oder Netzwerk verf gbaren Datenbankserver werden angezeigt W hlen Sie unter Authentisierung die Art der Authentisierung die f r den Zugriff auf diese Datenbankinstanz benutzt werden soll Wenn Sie SQL Server Authentisierung verwenden w hlen geben Sie die SQL Benutzerkontenanmeldedaten ein die Ihr SQL Administrator erstellt hat Klicken Sie auf Weiter 5 Aktivieren Sie unter Datenbankeinstellungen die Option Folgende bestehende Datenbank verwenden und w hlen Sie die Datenbank aus der Liste aus Klicken Sie auf Weiter 6 W hlen Sie unter SafeGuard Management Center Authentisierung eine autorisierte Person aus der Liste aus Wenn Multi Tenancy aktiviert ist zeigt der Dialog an an welcher Konfiguration sich der Benutzer anmeldet Geben Sie das Kennwort f r den Zertifikatsspeicher ein und best tigen Sie es
107. F Tag konnte nicht angelegt werden 402653188 TDF Tag enth lt die angeforderten Daten nicht 402653189 Das Objekt existiert bereits auf dem Token 402653190 Kein g ltiger Slot gefunden 402653191 Seriennummer konnte nicht gelesen werden 402653192 Verschl sselung des Tokens ist gescheitert 402653193 Entschl sselung des Tokens ist gescheitert 536870913 Die Schl sseldatei enth lt eine ung ltige Daten 536870914 Teile des RSA Schl sselpaares sind ung ltig 536870915 Das Schl sselpaar konnte nicht importiert werden 536870916 Das Format der Schl sseldatei ist ung ltig 536870917 Keine Daten verf gbar 536870918 Der Import des Zertifikates ist fehlgeschlagen da das Zertifikat bereits existiert 536870919 Das Modul ist bereits initialisiert worden 536870920 Das Modul ist nicht initialisiert worden 536870921 Die ASN 1 Verschl sselung ist fehlerhaft 536870922 Fehlerhafte Datenl nge 536870923 Fehlerhafte Signatur 536870924 Fehlerhafter Verschl sselungsmechanismus angewandt 536870925 Diese Version wird nicht unterst tzt 536870926 Padding Fehler 536870927 Ung ltige Flags 536870928 Das Zertifikat ist abgelaufen und nicht l nger g ltig 536870929 Unkorrekte Zeitangabe Zertifikat noch nicht g ltig 536870930 Das Zertifikat ist entzogen worden
108. Gruppen ben tigen Sie das Zugriffsrecht Voller Zugriff f r den POA Knoten unter Benutzer amp Computer 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer Administratorhilfe 19 7 19 7 1 2 W hlen Sie im Benutzer amp Computer Navigationsfenster unter POA POA Gruppe die relevante POA Gruppe Im Aktionsbereich des SafeGuard Management Center auf der rechten Seite wird die Mitglieder Registerkarte angezeigt 3 W hlen Sie den Benutzer den Sie aus der Gruppe entfernen m chten 4 Klicken Sie in der SafeGuard Management Center Symbolleiste auf das L schen Symbol rotes Kreuzzeichen Der Benutzer wird aus der Gruppe entfernt Zuweisen von POA Benutzern zu Endpoints Hinweis Damit die POA Gruppen Endpoints zugewiesen werden k nnen m ssen sie in Gruppen zusammengefasst werden Wie Sie POA Benutzer Endpoints zuweisen h ngt vom Endpoint Typ ab E F r zentralverwaltete Endpoints k nnen POA Gruppen im Bereich Benutzer amp Computer in der Registerkarte POA Gruppen Zuweisung zugewiesen werden E F r Standalone Endpoints die im Standalone Modus laufen und keine Verbindung zum SafeGuard Enterprise Server haben muss ein Konfigurationspaket mit einer POA Gruppe erstellt und an die Computer verteilt werden Zuweisen von POA Benutzern zu zentral verwalteten Endpoints Um POA Benutzer zu zentral verwalteten Endpoints zuzuweisen ben tigen Sie die Zugriffsrechte Voller Zu
109. Guard Endpoints verwalten Als Sicherheitsbeauftragter k nnen Sie Verschl sselungsrichtlinien f r die FileVault 2 Endpoints einrichten und verteilen Sobald ein FileVault 2 Endpoint bei SafeGuard Enterprise registriert ist werden Informationen zu Benutzer Computer Anmeldemodus und Verschl sselungsstatus angezeigt Dar ber hinaus werden Ereignisse f r FileVault 2 Clients protokolliert Die Verwaltung von FileVault 2 Clients in SafeGuard Enterprise ist transparent Das hei t die Verwaltungsfunktionen haben im Allgemeinen dieselbe Funktionsweise f r FileVault 2 und native SafeGuard Enterprise Clients Der Computertyp l sst sich in der Registerkarte Bestand eines Containers unter Benutzer amp Computer ermitteln Die Spalte POA Typ zeigt an ob es sich bei dem betreffenden Computer um einen FileVault 2 Client handelt 177 SafeGuard Enterprise 21 3 3 Verschl sselungsrichtlinien f r FileVault 2 Festplattenverschl sselung 178 Der Sicherheitsbeauftragte kann eine Richtlinie f r die Verschl sselung im SafeGuard Management Center anlegen und diese an die FileVault 2 Endpoints verteilen Die Richtlinie wird daraufhin auf den Endpoints ausgef hrt Da die FileVault 2 Endpoints im SafeGuard Management Center transparent verwaltet werden muss der Sicherheitsbeauftragte keine speziellen FileVault 2 Einstellungen f r die Verschl sselung vornehmen SafeGuard Enterprise kennt den Status der Clients und w hlt die FileVault 2 Verschl
110. Guard Management Center Konfigurationsassistent wird automatisch gestartet 3 Der Assistent f hrt Sie durch die notwendigen Schritte f r das Anlegen einer neuen Datenbankkonfiguration Nehmen Sie die erforderlichen Einstellungen vor Die neue Datenbankkonfiguration wird generiert 4 Zur Authentisierung werden Sie dazu aufgefordert den Sicherheitsbeauftragtennamen f r diese Konfiguration auszuw hlen und das entsprechende Zertifikatsspeicherkennwort einzugeben Klicken Sie auf OK Das SafeGuard Management Center wird ge ffnet und mit der ausgew hlten Datenbankkonfiguration verbunden Wenn Sie das SafeGuard Management Center das n chste Mal starten k nnen Sie die neue Datenbank Konfiguration aus der Liste ausw hlen Administratorhilfe 5 10 Konfigurieren zus tzlicher Instanzen des SafeGuard Management Center Sie k nnen zus tzliche Instanzen des SafeGuard Management Center konfigurieren um Sicherheitsbeauftragten den Zugriff f r die Durchf hrung administrativer Aufgaben auf verschiedenen Computern zu erm glichen Das SafeGuard Management Center kann auf jedem Rechner im Netzwerk installiert sein von wo aus auf die Datenbank zugegriffen werden kann SafeGuard Enterprise verwaltet die Zugriffsrechte auf das SafeGuard Management Center in einem eigenen Zertifikatsverzeichnis In diesem Verzeichnis m ssen die Zertifikate aller Sicherheitsbeauftragten die sich am SafeGuard Management Center anmelden d rfen vorhanden sein
111. Maschinen Richtlinie unter Richtlinien Loopback die Einstellung Benutzer ignorieren ausgew hlt und die Richtlinie kommt von einer Maschine werden nur die Computereinstellungen ausgewertet Benutzereinstellungen werden nicht ausgewertet Kein Loopback Kein Loopback ist das Standardverhalten Benutzerrichtlinien gelten vor Maschinenrichtlinien Wie werden die Einstellungen Benutzer ignorieren und Computereinstellungen wiederholen ausgewertet Existieren aktive Richtlinienzuweisungen werden zuerst die Maschinenrichtlinien ausgewertet und vereinigt Ergibt diese Vereinigung der einzelnen Richtlinien beim Richtlinien Loopback den Wert Benutzer ignorieren so werden Richtlinien welche f r den Benutzer bestimmt gewesen w ren nicht mehr ausgewertet Das hei t sowohl f r den Benutzer wie auch f r die Maschine gelten die gleichen Richtlinien 127 SafeGuard Enterprise 128 Richtlinieneinstellung Erkl rung Gilt nach der Vereinigung der einzelnen Maschinen Richtlinien bei Richtlinien Loopback der Wert Computereinstellungen wiederholen werden die Benutzer Richtlinien mit den Maschinen Richtlinien vereinigt Nach der Vereinigung werden die Maschinen Richtlinien nochmals geschrieben und berschreiben gegebenenfalls Einstellungen aus Benutzer Richtlinien Das hei t Ist eine Einstellung in beiden Richtlinien vorhanden so ersetzt der Wert der Maschinen Richtlinie den Wert der Benutzer Richtlinie Ergibt die V
112. Mitgliedern des IT Teams erm glichen sich nach der Aktivierung der SafeGuard POA an Endpoints zur Ausf hrung administrativer Aufgaben anzumelden SafeGuard POA Anmeldung Diese Benutzerkonten werden im Bereich Benutzer amp Computer des SafeGuard Management Center definiert Benutzername und Kennwort und werden dem Endpoint in POA Gruppen zugewiesen F r weitere Informationen siehe POA Benutzer f r die Anmeldung an der SafeGuard POA Seite 120 Konfigurieren der SafeGuard Power on Authentication Der SafeGuard POA Dialog besteht aus folgenden Komponenten E Anmeldebild E Dialogtexte Administratorhilfe 16 3 1 E Sprache des Tastaturlayouts SafeGuard Logon O SOPHOS User name john Panwar Domain Mv_comPany v En ok Recovery Shutdown Options gt gt Das Erscheinungsbild des SafeGuard POA Dialogs k nnen Sie ber Richtlinieneinstellungen im SafeGuard Management Center an Ihre jeweiligen Anforderungen anpassen Hintergrund und Anmeldebild In der Standardeinstellung werden Bilder im SafeGuard Design als Hintergrund und Anmeldebild angezeigt Es ist jedoch m glich andere Bilder anzuzeigen z B ein Firmenlogo Hintergrund und Anmeldebilder werden ber eine Richtlinie vom Typ Allgemeine Einstellungen festgelegt Hintergrund und Anmeldebilder m ssen bestimmten Anforderungen entsprechen damit sie in SafeGuard Enterprise verwendet werden k nnen Hintergrundbild in
113. Pfad C Documente und Finstellungen Benutzername Eigene Dateien 184 Administratorhilfe Pfad Platzhalter Betriebssystem Wert auf dem Endpoint Alle Windows TEER OR X lt Downloads gt Alle Der Ordner in dem standardm ig Downloads gespeichert werden Ein typischer Pfad unter Windows ist C Benutzer Benutzername Downloads lt Music gt Das Dateisystemverzeichnis das als allgemeines Repository f r Musikdateien dient Typischer Pfad C Documente und Finstellungen Benutzername Eigene Dateien Eigene Musik lt Pictures gt Das Dateisystemverzeichnis das als allgemeines Repository f r Bilddateien dient Typischer Pfad C Documente und Finstellungen Benutzername Eigene Dateien Eigene Bilder lt Public gt Das Dateisystemverzeichnis das als allgemeines Repository f r Dokumente f r alle Benutzer dient Typischer Pfad C Benutzer lt Benutzername gt ffentlich lt User Profile gt Der Profilordner des Benutzers Typischer Pfad C Benutzer Benutzername Hinweis Die Verschl sselung des gesamten Benutzerprofils mit diesem Platzhalter kann zu einem instabilen Windows Desktop auf dem Endpoint f hren lt Videos gt Das Dateisystemverzeichnis das als allgemeines Repository f r Videodateien f r alle Benutzer dient Typischer Pfad C Documente und Finstellungen Alle Benutzer Dateien Eigene Videos lt Cookies gt Windows Das Dateisystemverzeichnis das als allgemeines Repository f r Interne
114. Public Videos gt Das Dateisystemverzeichnis das als allgemeines Repository f r Videodateien f r alle Benutzer dient Typischer Pfad C Documente und Einstellungen Alle Benutzer Dateien Eigene Videos lt Roaming gt Das Dateisystemverzeichnis das als allgemeines Repository f r anwendungsspezifische Daten dient Typischer Pfad C Dokumente und Einstellungen Benutzername Anwendungsdaten Der Windows Systemordner Typischer Pfad C Windows System32 For 64 Bit Systeme wird dies auf zwei Regeln erweitert eine f r 32 Bit und eine f r 64 Bit lt Temporary Burn Folder gt Windows Das Dateisystemverzeichnis das als Staging Bereich f r Dateien die auf eine CD geschrieben werden sollen verwendet wird Typischer Pfad C Dokumente und Einstellungen Benutzername Lokale Einstellungen Microsoft CD Burning 186 Administratorhilfe 23 2 Pfad Platzhalter Betriebssystem Wert auf dem Endpoint Alle Windows und Mac OS X lt Temporary Internet Folder gt Windows Das Dateisystemverzeichnis das als allgemeines Repository f r tempor re Internetdateien dient Typischer Pfad C Dokumente und Einstellungen Benutzername Lokale Einstellungen Temporary Internet Files lt Windows gt Windows Das Windows Verzeichnis oder SYSROOT Dies entspricht den Umgebungsvariablen windir oder SYSTEMROOT Typischer Pfad C Windows lt Removables gt Mac OS X Zeigt auf die Root Verzeichnisse aller Mac OS X Wechselmedien
115. SOPHOS Security made simple SafeGuard Enterprise Administratorhilfe Produktversion 6 1 Stand Januar 2014 Inhalt ja N Ww 9z oN N 8 9 10 1 12 13 14 15 16 17 18 19 20 2 jean 22 23 24 25 26 ber Satesuard Enterprisen ua Eiern 4 Empfohlene Sicherheitsma riahmen nase engere 6 ber das SafeGuard Management Ce a ee 9 Anmelden am SafeGuard Management Center usnssesssesosennnensenonnennnnnnnnonnenonnennonnnonnenonnnnnnann 10 Konfigurieren des SafeGuard Management Center uuussesessssesssnnonnenonnennnennnonenennnnnnennnennnennnnen 14 Lizenzen r E E ERE RE EERTE EEEE E EE E E A EA 23 Mit mehreren Datenbankkonfigurationen arbeiten sesssesssessesessssereresesserereseesererenrstesereseseseesenes 29 Registrieren und Konfigurieren des SafeGuard Enterprise Server unnssesessesesssnnensnnennenennnnnenn 33 Sichern von Transportverbindungen mit SSL seesessssseesesesssresesessseresestssererestesesenentsteseneseseeeeseses 37 Aufbau der Organisationsstruktur uesessssessssenessenonnennnennnonnenonnnnnnonnnnonnnnnnnnnnnonnenonnenonnnnnsonnnnonn 39 SafeGuard Enterprise Sicherheitsbeauftragte ueessssesssesennennnensnnonnenonnennnonnnnonnnnonnnnnnonnnnonn 50 Schlussel und Zerunkaten sts 70 Company Certificate Change OrdetSnsss irisaren isisi i igi 84 Mit Richtlinien arbeiten an ua 88 Mit Konfigurationspaketen arbeiten u
116. SafeGuard Cloud Storage und SafeGuard File Encryption Bei der Installation von SafeGuard Management Center 6 1 wird automatisch eine zus tzliche Standard Lizenzdatei f r SafeGuard Cloud Storage und SafeGuard File Encryption geladen Diese Evaluierungslizenz enth lt f nf Lizenzen f r jedes der beiden Module und hat eine zeitlich begrenzte G ltigkeitsdauer von zwei Jahren ab Release Datum von SafeGuard Enterprise 6 1 Hinweis Wenn Sie eine Aktualisierung von SafeGuard Enterprise 5 x auf SafeGuard Enterprise 6 1 durchf hren m ssen Sie diese Lizenzdatei manuell in die SafeGuard Enterprise Datenbank importieren Individuelle Demo Lizenzdateien Sollte die Standard Lizenzdatei f r die Durchf hrung einer Evaluierung nicht ausreichen so besteht auch die M glichkeit eine an Ihre spezifischen Anforderungen angepasste Demo Lizenz zu erhalten Wenden Sie sich hierzu bitte an Ihren Vertriebspartner Diese Art der Demo Lizenz unterliegt ebenfalls einer zeitlichen Beschr nkung Dar ber hinaus ist die Lizenz auf die jeweils mit dem Vertriebspartner vereinbarte Anzahl an Lizenzen pro Modul beschr nkt Wenn Sie das SafeGuard Management Center starten werden Sie durch eine Warnungsmeldung darauf aufmerksam gemacht dass Sie Demo Lizenzen nutzen Bei berschreiten der in einer Demo Lizenz festgelegten Anzahl an verf gbaren Lizenzen oder der zeitlich begrenzten Nutzungsdauer wird eine Fehlermeldung ausgegeben Administratorhilfe 6 4 Lizenzst
117. SafeGuard Enterprise bieten Opal Festplatten erweiterte Sicherheits Featrures Aufwertung von Opal Festplatten mit SafeGuard Enterprise Die Verwaltung von selbst verschl sselnden Opal Festplatten mit SafeGuard Enterprise bietet Ihnen folgende Vorteile E Zentrale Verwaltung der Endpoints E SafeGuard Power on Authentication mit grafischer Benutzeroberfl che E Unterst tzung mehrerer Benutzer E Unterst tzung der Anmeldung mit Token Smartcard E Unterst tzung der Anmeldung mit Fingerabdruck E Recovery Local Self Help Challenge Response E Zentral verwaltete Protokollierung E Verschl sselung von Wechselmedien z B USB Sticks mit SafeGuard Data Exchange 295 SafeGuard Enterprise 36 3 36 4 36 5 296 Verwaltung von Endpoints mit Opal Festplatten durch SafeGuard Enterprise Sie k nnen Endpoints mit selbst verschl sselnden Opal Festplatten im SafeGuard Management Center wie alle anderen durch SafeGuard Enterprise gesch tzten Endpoints verwalten Als Sicherheitsbeauftragter k nnen Sie Sicherheitsrichtlinien z B f r die Authentisierung erstellen und sie an die Endpoints verteilen Sobald ein Endpoint mit einer Opal Festplatte bei SafeGuard Enterprise registriert ist werden Informationen zu Benutzer Computer Anmeldemodus und Verschl sselungsstatus angezeigt Au erdem werden Ereignisse protokolliert Die Verwaltung von Endpoints mit Opal Festplatten in SafeGuard Enterprise ist transparent Das hei t die
118. SafeGuard Management Center wird ge ffnet und mit der ausgew hlten Datenbankkonfiguration verbunden Hinweis Wenn Sie ein falsches Kennwort eingeben wird eine Fehlermeldung angezeigt und die n chste Anmeldung wird verz gert Diese Verz gerung wird mit jedem fehlgeschlagenen Anmeldeversuch gr er Fehlgeschlagene Anmeldeversuche werden protokolliert 4 4 SafeGuard Management Center Benutzeroberfl che r Navigation window Nav gation area 11 SafeGuard Enterprise 12 Navigationsbereich Im Navigationsbereich befinden sich Schaltfl chen f r alle administrativen T tigkeiten m Benutzer und Computer Zum Importieren von Gruppen und Benutzern aus einem Active Directory aus der Dom ne oder von einem einzelnen Computer m Richtlinien Zum Erzeugen der Richtlinien m Schl ssel und Zertifikate Zum Verwalten der Schl ssel und Zertifikate m Token Zur Verwaltung von Token und Smartcards m Sicherheitsbeauftragte Zum Anlegen neuer Sicherheitsbeauftragter und Definieren von Aktionen f r deren Ausf hrung eine zus tzliche Autorisierung notwendig ist m Berichte Zum Anlegen und Verwalten von Berichten zu sicherheitsrelevanten Ereignissen Navigationsfenster Im Navigationsfenster werden Objekte zur Bearbeitung angezeigt Active Directory Objekte wie OUs Benutzer und Computer Richtlinien usw bzw k nnen dort erstellt werden Welche Objekte angezeigt werden h ngt vom ausgew hlten Vor
119. Seite 184 25 2 1 Platzhalter f r Cloud Storage Anbieter 204 Als Sicherheitsbeauftragter k nnen Sie Platzhalter f r Cloud Storage Anbieter verwenden um Synchronisierungsapplikationen und Synchronisierungsordner zu definieren Diese Platzhalter stehen f r unterst tzte Cloud Storage Applikationen von Drittanbietern Mit den Platzhaltern k nnen Sie eine bestimmte Applikation eines Drittanbieters angeben und denselben Platzhalter zum Verweis auf die Synchronisierungsordner verwenden die von der Applikation zur Synchronisierung verwendet werden Platzhalter f r Cloud Storage Anbieter werden zwischen lt und gt gesetzt Administratorhilfe Derzeit unterst tzte Platzhalter Anbieter Platzhalter Kann in CSD Einstellung verwendet werden Dropbox lt Dropbox gt Synchronisierungsapplikation Synchronisierungsordner Wird aufgel st in F r re ikationer Der Fully qualified Pfad der Synchronisierungsapplikation die von der Dropbox Software benutzt wird F r Synchronisierungsordner Der Fully qualified Pfad des Synchronisierungsordners der von der Dropbox Software benutzt wird lt Egnyte gt Synchronisierungsapplikation lt EgnytePrivate gt Synchronisierungsordner Der Fully qualified Pfad der Synchronisierungsapplikation die von der Egnyte Software benutzt wird Alle privaten Ordner in der Egnyte Cloud Storage F r Standard Egnyte Benutzer ist dies in der Regel ein einzel
120. Sie Benutzer wie sie sichere Kennw rter w hlen Ein sicheres Kennwort folgt diesen Regeln m Es ist lange genug um sicher zu sein Eine Mindestl nge von 10 Zeichen ist zu empfehlen Administratorhilfe m Es enth lt eine Mischung aus Buchstaben Gro und Kleinschreibung Zahlen und Sonderzeichen Symbolen m Es enth lt keine allgemein gebr uchlichen W rter oder Namen m Es ist schwer zu erraten aber es ist leicht es sich zu merken und korrekt einzutippen Deaktivieren Sie die SafeGuard Power on Authentication nicht Die SafeGuard Power on Authentication bietet zus tzlichen Schutz f r die Anmeldung am Endpoint Sie wird mit der Festplattenverschl sselung von SafeGuard Enterprise installiert und standardm ig aktiviert Um vollen Schutz zu gew hrleisten deaktivieren Sie die Power on Authentication nicht Schutz vor dem Einschleusen von Code Unter Umst nden ist das Einschleusen von Code zum Beispiel DLL Pre Loading Angriffe m glich wenn es einem Angreifer gelingt sch dlichen Code zum Beispiel in ausf hrbaren Dateien in Verzeichnisse einzubringen in der die Sophos SafeGuard Verschl sselungssoftware nach legitimem Code sucht So wenden Sie diese Bedrohung ab m Installieren Sie die von der Verschl sselungssoftware geladene Middleware zum Beispiel Token Middleware in Verzeichnissen auf die externe Angreifer nicht zugreifen k nnen Dies sind blicherweise die Unterverzeichnisse der Windows und Programme Ve
121. Sie die relevanten Unternehmens und Sicherheitsbeauftragtenzertifikate als pl2 Dateien importieren und Sie beim Einrichten einer neuen Datenbank benutzen Dadurch vermeiden Sie das Wiederherstellen der gesamten Datenbank Hinweis Wir empfehlen diesen Vorgang direkt nach der Erstkonfiguration des SafeGuard Management Centers auszuf hren Exportieren von Unternehmenszertifikaten Hinweis Nur Haupt Sicherheitsbeauftragte sind dazu berechtigt Unternehmenszertifikate zur Erstellung eines Backups zu exportieren 1 W hlen Sie Extras gt Optionen in der SafeGuard Management Center Men leiste 2 Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im Bereich Unternehmenszertifikat auf Exportieren 3 Sie werden aufgefordert ein Kennwort f r die Sicherung der exportierten Datei einzugeben Geben Sie ein Kennwort ein best tigen Sie es und klicken Sie auf OK 4 Geben Sie einen Dateinamen und einen Speicherort f r die zu exportierende Dateiein und klicken Sie auf OK Das Unternehmenszertifikat wird als P12 Datei an den definierten Speicherort exportiert und kann f r Recovery Vorg nge benutzt werden Exportieren des Zertifikats des Haupt Sicherheitsbeauftragten So erstellen Sie ein Backup des Zertifikats des derzeit am SafeGuard Management Center angemeldeten Haupt Sicherheitsbeauftragten 1 W hlen Sie Extras gt Optionen in der SafeGuard Management Center Men leiste 2 W hlen Sie die Registerkarte Zertifikate
122. Verwaltungsfunktionen haben im Allgemeinen dieselbe Funktionsweise wie f r andere durch SafeGuard Enterprise gesch tzte Endpoints Der Computertyp l sst sich in der Registerkarte Bestand eines Containers unter Benutzer amp Computer ermitteln Die Spalte POA Typ zeigt an ob der betreffende Computer durch SafeGuard Enterprise verschl sselt ist oder eine selbst verschl sselnde Opal Festplatte verwendet Verschl sselung von Opal Festplatten Festplatten die dem Opal Standard entsprechen sind selbst verschl sselnd Daten werden automatisch verschl sselt wenn sie auf die Festplatte geschrieben werden Die Festplatten werden mit einem AES 128 256 Schl ssel als Opal Kennwort gesperrt Dieses Kennwort wird von SafeGuard Enterprise ber eine Verschl sselungsrichtlinie verwaltet siehe Sperren von Opal Festplatten Seite 296 Sperren von Opal Festplatten Um Opal Festplatten zu sperren muss f r mindestens ein Volume auf der Festplatte der Computerschl ssel in einer Verschl sselungsrichtlinie definiert werden Wenn die Verschl sselungsrichtlinie ein Boot Volume umfasst wird der Computerschl ssel automatisch definiert 1 Erstellen Sie im SafeGuard Management Center eine Richtlinie vom Typ Ger teschutz 2 W hlen Sie im Verschl sselungsmodus f r Medien Feld die Einstellung Volume basierend 3 W hlen Sie im Feld Schl ssel f r die Verschl sselung die Einstellung Definierter Computerschl ssel 4 Speichern Sie Ihre nderun
123. Verwendung eines Token zur Anmeldung ist zwingend vorgeschrieben Dazu muss sich der zum Zertifikat des Sicherheitsbeauftragten geh rende private Schl ssel auf dem Token befinden Administratorhilfe Beschreibung Zertifikat Zur Anmeldung an das SafeGuard Management Center ben tigt ein Sicherheitsbeauftragter immer ein Zertifikat Das Zertifikat kann entweder von SafeGuard Enterprise selbst erstellt werden oder es wird ein bereits existierendes verwendet Ist eine Anmeldung mit Token zwingend notwendig so muss das Zertifikat auf den Token des Sicherheitsbeauftragten aufgebracht werden Erzeugen Zertifikat und Schl sseldatei werden erstellt und an einem ausw hlbaren Ort gespeichert Dabei muss ein Kennwort f r die p12 Schl sseldatei angegeben und best tigt werden Die p12 Datei muss dem Sicherheitsbeauftragten bei der Anmeldung zur Verf gung stehen Das erstellte Zertifikat wird dem Sicherheitsbeauftragten automatisch zugeteilt und unter Zertifikat angezeigt Wenn SafeGuard Enterprise Kennwortregeln angewendet werden sollten die Regeln im Active Directory deaktiviert werden Hinweis Maximale L nge des Speicherpfads und des Dateinamens 260 Zeichen Zum Anlegen eines Sicherheitsbeauftragten ist der ffentliche Teil des Zertifikats zwar ausreichend Bei der Anmeldung an das SafeGuard Management Center ist jedoch auch der private Teil des Zertifikats die Schl sseldatei erforderlich Liegt diese nicht in der Datenbank vor
124. Voraussetzung F r die berpr fung der Integrit t von protokollierten Ereignissen muss die Verkettung der Ereignisse in der EVENT Tabelle aktiviert sein 1 Klicken Sie im SafeGuard Management Center auf Berichte 2 W hlen Sie in der SafeGuard Management Center Men leiste Aktionen gt Integrit t pr fen Eine Meldung liefert die Informationen zur Integrit t der protokollierten Ereignisse Hinweis Ist die Verkettung von Ereignissen deaktiviert so wird ein Fehler ausgegeben L schen ausgew hlter oder aller Ereignisse 1 Klicken Sie im SafeGuard Management Center auf Berichte 2 Markieren Sie in der Ereignisanzeige die Ereignisse die gel scht werden sollen 3 Um ausgew hlte Ereignisse zu l schen w hlen Sie in der SafeGuard Management Center Men leiste Aktionen gt Ereignisse l schen oder klicken Sie in der Symbolleiste auf das Symbol Ausgew hlte Ereignisse l schen Um alle Ereignisse zu l schen w hlen Sie in der SafeGuard Management Center Men leiste Aktionen gt Alle Ereignisse l schen oder klicken Sie in der Symbolleiste auf das Symbol Alle Ereignisse l schen 4 Vor dem L schen der ausgew hlten Ereignisse wird das Fenster Ereignisse sichern als zur Erstellung einer Sicherungsdatei angezeigt siehe Erstellen einer Sicherungsdatei Seite 278 Die ausgew hlten Ereignisse werden aus dem Ereignisprotokoll gel scht Erstellen einer Sicherungsdatei Sicherungsdateien von den in der Ereignisanzeige angezei
125. WOL k nnen ausgew hlt oder eingegeben werden Datumsformat MM DD YYYY Uhrzeitformat HH MM Folgende Eingabekombinationen sind m glich E Beginn und Ende des WOL werden festgelegt 157 SafeGuard Enterprise Richtlinieneinstellungen NETTE m Nur das Ende des WOL wird festgelegt der Beginn bleibt offen m Keine Eintr ge Es wird kein Zeitintervall f r den Client festgelegt Bei einem geplanten Software Rollout sollte der Sicherheitsbeauftragte den Zeitrahmen f r WOL so bemessen dass das Scheduling Skript fr h genug startet und allen Endpoints gen gend Zeit zum Booten bleibt WOlstart Der Startpunkt f r den WOL im Scheduling Skript muss innerhalb des hier in der Richtlinie festgelegten Zeitintervalls liegen Wenn kein Intervall definiert ist wird WOL lokal am durch SafeGuard Enterprise gesch tzten Endpoint nicht aktiviert WOLstop Dieses Kommando wird unabh ngig vom hier festgelegten Endpunkt des WOL ausgef hrt BENUTZER MASCHINEN ZUORDNUNG UMA SGN Gastbenutzer nicht zulassen Legt fest ob sich Gastbenutzer am Endpoint anmelden k nnen Hinweis Microsoft Konten werden immer als SafeGuard Enterprise Gastbenutzer behandelt Registrieren von neuen SGN Benutzern erlauben Gibt an wer einen anderen SGN Benutzer in die SafeGuard POA und oder UMA importieren kann indem die durchgehende Anmeldung an das Betriebssystem deaktiviert wird Hinweis F r Endpoints die das Modul SafeGuar
126. Zeichenfolgen die in nicht in PINs verwendet werden d rfen PINs werden f r die Anmeldung mit Token verwendet F r weitere Informationen siehe Token und Smartcards Seite 214 Die Textdateien mit den gew nschten Informationen m ssen erstellt werden bevor sie im SafeGuard Management Center registriert werden k nnen Die maximale Dateigr e f r Textdateien betr gt 50 KB SafeGuard Enterprise verwendet nur Unicode UTF 16 kodierte Texte Wenn Sie die Textdateien in einem anderen Format erstellen werden sie bei der Registrierung automatisch in dieses Format konvertiert Hinweis In den Listen werden die verbotenen PINs durch einen Zeilenumbruch voneinander getrennt So registrieren Sie die Textdateien 1 Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Informationstext und w hlen Sie Neu gt Text 2 Geben Sie unter Textelementname einen Namen f r den anzeigenden Text ein 3 W hlen Sie ber die Schaltfl che die zuvor erstellte Textdatei aus Wenn eine Konvertierung notwendig ist wird eine entsprechende Meldung angezeigt 4 Klicken Sie auf OK Administratorhilfe 20 4 Das neue Textelement wird als Unterknoten des Eintrags Informationstext im Richtlinien Navigationsbereich angezeigt Ist ein Textelement markiert wird sein Inhalt im Aktionsbereich auf der rechten Seite angezeigt Das Textelement kann jetzt beim Erstellen von Richtlinien ausgew hlt werden Um weitere Texteleme
127. Zertifikate Voraussetzungen Alle SafeGuard Enterprise Komponenten m ssen die Version 6 1 haben Von SafeGuard Enterprise erzeugte Zertifikate zum Beispiel Unternehmens Maschinen Sicherheitsbeauftragten und Benutzerzertifikate sind bei einer Erstinstallation standardm ig zur Erweiterung der Sicherheit mit dem Hash Algorithmus SHA 256 signiert Bei der Aktualisierung von SafeGuard Enterprise 6 oder einer fr heren Version wird f r selbst signierte Zertifikate automatisch der Hash Algorithmus SHA 1 benutzt Nach Abschluss der Aktualisierung k nnen Sie den Hash Algorithmus f r erweiterte Sicherheit manuell zu SHA 256 ndern Hinweis ndern Sie den Algorithmus nur dann zu SHA 256 wenn bei allen SafeGuard Enterprise Komponenten und Endpoints eine Aktualisierung auf die aktuelle Version durchgef hrt wurde In gemischten Umgebungen in denen zum Beispiel SafeGuard Enterprise 77 SafeGuard Enterprise 78 6 Endpoints mit dem SafeGuard Management Center 6 1 verwaltet werden wird SHA 256 nicht unterst tzt Wenn Sie eine gemischte Umgebung benutzen d rfen Sie diesen Vorgang nicht ausf hren In diesem Fall d rfen Sie den Algorithmus nicht zu SHA 256 ndern Zum ndern des Algorithmus f r selbst signierte Zertifikate m ssen Sie folgende Handlungsschritte ausf hren ndern des Hash Algorithmus Erzeugen einer Certificate Change Order CCO Erzeugen eines Konfigurationspakets mit der CCO Neustart der SafeGuard Enterpr
128. a Exchange Seite 192 Hinweis Mit Dateibasierender Verschl sselung verschl sselte Daten k nnen nicht komprimiert werden Umgekehrt k nnen auch komprimierte Dateien nicht dateibasierend verschl sselt werden Hinweis Boot Volumes werden niemals dateibasierend verschl sselt Sie sind automatisch von einer dateibasierenden Verschl sselung ausgenommen auch wenn eine entsprechende Regel definiert ist Um dateibasierende Verschl sselung auf Endpoints anzuwenden erstellen Sie eine Richtlinie vom Typ Ger teschutz und w hlen Sie bei Verschl sselungsmodus f r Medien die Einstellung Dateibasierend Standardverhalten beim Speichern von Dateien Da sich Anwendungen beim Speichern von Dateien unterschiedlich verhalten bietet SafeGuard Enterprise zwei Verfahren f r das Behandeln von verschl sselten Dateien die ge ndert wurden Wurde eine Datei mit einem anderen Schl ssel als dem Standardschl ssel des Volumes verschl sselt und Sie bearbeiten und speichern die Datei so w rde man erwarten dass der Verschl sselungsschl ssel beibehalten wird Es wurde ja eine Datei bearbeitet keine neue erstellt Viele Anwendungen speichern jedoch Dateien indem sie eine Kombination aus Speichern L schen und Umbenennen Vorg ngen ausf hren z B Microsoft Office Ist dies der Fall so verwendet SafeGuard Enterprise in der Standardeinstellung den Standardschl ssel f r diesen Verschl sselungsvorgang und ndert somit den f r die Verschl
129. abe gespeichert Client Schl ssel Backup konnte nicht auf der angegebenen Netzwerkfreigabe gespeichert werden Client POA Benutzer 1 in POA importiert Client POA Benutzer 1 aus POA gel scht Client POA Benutzer 1 Kennwort mit F8 ge ndert Client Import von POA Benutzer 1 in POA fehlgeschlagen 305 SafeGuard Enterprise 306 ELL Client Beschreibung L schen von POA Benutzer 1 aus POA fehlgeschlagen Client POA Benutzer 1 Kennwort nderung mit F8 fehlgeschlagen Client Interner Fehler im Configuration Protection Client Client Client M gliche Freignis Manipulation im Configuration Protection Client M gliche Freignis Protokoll Manipulation im Configuration Protection Client Verschl sselung Zugriff auf Medium auf Laufwerk verweigert Verschl sselung Zugriff auf Datendatei verweigert Verschl sselung Sektorbasierte Erst Verschl sselung des Laufwerks gestartet Verschl sselung Sektorbasierte Erst Verschl sselung des Laufwerks gestartet Schnellmodus Verschl sselung Sektorbasierte Erst Verschl sselung des Laufwerks fehlerfrei beendet Verschl sselung Sektorbasierte Erst Verschl sselung des Laufwerks gescheitert und beendet Verschl sselung Sektorbasierte Erst Verschl sselung des Laufwerks abgebrochen Verschl sselung Sektorbasierte Erst Verschl sselung des Laufwerks fehlg
130. afeGuard Power on Authentication aus noch wird durch die Anmeldung der Benutzer zum Endpoint hinzugef gt Das SafeGuard Enterprise System Tray Icon zeigt in diesem Fall auch nicht den Balloon Tool Tip Initialer Benutzerabgleich abgeschlossen an Administratorhilfe 18 7 Anzeige des Service Account Status auf dem Endpoint Der Gastbenutzer Anmeldestatus wird auch ber das System Tray Icon angezeigt Weitere Informationen zum System Tray Icon finden Sie in der SafeGuard Enterprise Benutzerhilfe Kapitel System Tray Icon und Balloon Ausgabe Beschreibung des SGN Benutzerstatus Felds Protokollierte Ereignisse Die in Zusammenhang mit Service Account Listen durchgef hrten Aktionen werden ber die folgenden Ereignisse protokolliert SafeGuard Management Center E Service Account Liste lt Name gt angelegt E Service Account Liste lt Name gt ge ndert E Service Account Liste lt Name gt gel scht Durch SafeGuard Enterprise gesch tzte Endpoints E Windows Benutzer lt Dom ne Benutzer gt hat sich um lt Zeit gt an Maschine lt Dom ne Computer gt als SGN Service Account angemeldet E Neue Service Account Liste importiert E Service Account Liste lt Name gt gel scht 119 SafeGuard Enterprise 19 19 1 120 POA Benutzer f r die Anmeldung an der SafeGuard POA Hinweis POA Benutzer werden nur von Windows Endpoints unterst tzt die von SafeGuard Enterprise mit SafeGuard Power on Authentication ge
131. agen Seite 237 Markieren Sie im Richtlinien Navigationsbereich das neue Fragenthema unter Local Self Help Fragen Klicken Sie im Arbeitsbereich mit der rechten Maustaste Das Kontextmen f r das Fragenthema wird ge ffnet W hlen Sie Importieren W hlen Sie das Verzeichnis in dem das Fragenthema abgelegt ist sowie das gew nschte Fragenthema und klicken Sie auf ffnen Die importierten Fragen werden im Arbeitsbereich angezeigt Sie k nnen das Fragenthema nun unver ndert speichern oder bearbeiten Erstellen eines neuen Fragenthemas und Hinzuf gen von Fragen Sie k nnen neue Fragenthemen zu unterschiedlichen Themenbereichen erstellen Somit k nnen Sie Benutzern mehrere Fragenthemen zur Verf gung stellen aus denen sie das f r sie am besten geeignete Thema ausw hlen k nnen 1 Markieren Sie im Richtlinien Navigationsbereich den Eintrag Local Self Help Fragen Klicken Sie mit der rechten Maustaste auf Local Self Help Fragen und w hlen Sie Neu gt Fragenthema Geben Sie einen Namen f r das Fragenthema ein und klicken Sie auf OK Markieren Sie im Richtlinien Navigationsbereich das neue Fragenthema unter Local Self Help Fragen Klicken Sie im Arbeitsbereich mit der rechten Maustaste Das Kontextmen f r das Fragenthema wird ge ffnet W hlen Sie Hinzuf gen im Kontextmen Eine neue Fragenzeile wird hinzugef gt Geben Sie Ihre Frage ein und dr cken Sie Enter Um weitere Fragen hin
132. ahmefehlers angehalten Task Planer Task erfolgreich ausgef hrt Task Planer Task fehlgeschlagen Task Planer Task erzeugt oder ge ndert Task Planer Task gel scht Unbekannt Prozess beendet Datei nicht verifiziert Ung ltige Richtlinie Die Anweisung ffnen war nicht erfolgreich Nicht genug Speicherplatz Allgemeiner Fehler in der Prozess Kommunikation Auf eine Ressource kann nicht zugegriffen werden Das ist ein tempor rer Zustand und ein sp terer Versuch k nnte erfolgreich beendet werden Allgemeiner Kommunikationsfehler Unerwarteter R ckgabewert Kein Kartenleseger t angeschlossen Zwischenspeicher berf llt Karte ist nicht in Betrieb Eine Zeit berschreitung ist eingetreten Unerlaubter Kartentyp Die gew nschte Funktionsart wird nicht unterst tzt zu dieser Zeit In dieser OS in dieser Situation Administratorhilfe Fehler ID Anzeige Ung ltiger Treiber Die Firmware der angeschlossenen Hardware ist von dieser Software nicht nutzbar ffnen der Datei ist fehlgeschlagen Die Semaphore ist momentan in Benutzung Allgemeiner Fehler Sie haben momentan nicht die Rechte die angefragte Aktion durchzuf hren Normalerweise ist es notwendig zuvor ein Kennwort einzugeben Der Service ist momentan nicht verf gbar Ein Element z B ein Schl ssel mit einem bestimmten Namen konnte nicht gefunde
133. ails zum protokollierten Ereignis angezeigt 274 Administratorhilfe 33 5 1 Filtern der SafeGuard Enterprise Ereignisanzeige Das SafeGuard Management Center bietet umfassende Filterfunktionen Mit diesen Funktionen k nnen Sie die jeweils relevanten Ereignisse schnell aus F lle der in der Ereignisanzeige dargestellten Informationen ermitteln Im Filter Bereich der Ereignisanzeige stehen folgende Felder f r die Definition von Filtern zur Verf gung Beschreibung Kategorien Unter Anwendung dieses Felds l sst sich die Ereignisanzeige nach den in der Spalte Kategorie angegebenen Klassifizierungen durch die Quelle zum Beispiel Verschl sselung Anmeldung System filtern W hlen Sie hierzu die gew nschten Kategorien in der Dropdownliste des Felds aus Fehlerstufe Unter Anwendung dieses Felds l sst sich die Ereignisanzeige nach den in der Spalte Ebene angegebenen Windows Ereignisklassifizierungen z B Warnung Fehler filtern W hlen Sie hierzu die gew nschten Ebenen in der Dropdownliste des Felds aus Zeige letzte In diesem Feld k nnen Sie die Anzahl der anzuzeigenden Ereignisse festlegen Es werden jeweils die zuletzt protokollierten Ereignisse standardm ig die 100 letzten Ereignisse angezeigt Dar ber hinaus k nnen Sie mit dem Filter Editor benutzerdefinierte Filter erstellen Der Filter Editor l sst sich ber das Kontextmen der einzelnen Berichtsspalten aufrufen Im Fenster Filterdefinition k nn
134. aktiviert werden Die Schnittstelle f r Smartcard Leser ist standardisiert und viele Kartenleser haben eine USB Schnittstelle oder eine ExpressCard 54 Schnittstelle und implementieren den CCID Standard In SafeGuard Enterprise ist dies eine Voraussetzung f r die Unterst tzung in der SafeGuard Power on Authentication Au erdem muss auf Treiber Seite das PKCS 11 Modul unterst tzt werden Unterst tzte Token Smartcards an der SafeGuard Power on Authentication SafeGuard Enterprise unterst tzt eine breite Palette an Smartcards Smartcard Leseger ten USB Token mit den entsprechenden Treibern und Middleware in der SafeGuard Power on Authentication In SafeGuard Enterprise werden Token Smartcards unterst tzt die 2 048 Bit RSA Operationen unterst tzen Da die Unterst tzung von Token Smartcards von Release zu Release erweitert wird werden die in der jeweils aktuellen SafeGuard Enterprise Version unterst tzten Token und Smartcards in den Release Notes aufgef hrt Unterst tzte Middleware Die in der folgenden Liste aufgef hrte Middleware wird ber deren jeweiliges PKCS 11 Modul unterst tzt PKCS 11 ist eine standardisierte Schnittstelle zur Anbindung kryptographischer Token Smartcards an verschiedenste Software Hier dient PKCS 11 der Kommunikation zwischen kryptographischen Token Smartcard Smartcard Leser und SafeGuard Enterprise Siehe auch http www sophos com de de support knowledgebase 112781 asp Administratorhilfe Herst
135. allation am Endpoint und w hrend dem ersten Neustart ob die Hardware die Anforderungen f r BitLocker mit SafeGuard Challenge Response erf llt Falls nicht wird die SafeGuard Enterprise BitLocker Verwaltung ohne Challenge Response ausgef hrt In diesem Fall kann der BitLocker Recovery Schl ssel mit dem SafeGuard Management Center abgerufen werden Hinweis Bei Windows 8 und Windows 8 1 kann nur die BitLocker Drive Encryption f r die Festplattenverschl sselung verwendet werden Authentisierung mit BitLocker Laufwerkverschl sselung Die BitLocker Laufwerkverschl sselung bietet eine Reihe von Optionen f r die Authentisierung BitLocker Benutzer k nnen sich entweder mit einem Trusted Platform Module TPM oder einem USB Stick oder mit einer Kombination aus beidem authentisieren Der Sicherheitsbeauftragte kann die verschiedenen Anmeldemodi in einer Richtlinie im SafeGuard Management Center einstellen und sie an die BitLocker Endpoints verteilen F r SafeGuard Enterprise BitLocker Benutzer sind folgende Anmeldemodi verf gbar E TPM E TPM PIN E TPM USB Stick 169 SafeGuard Enterprise 21 2 1 1 21 2 1 2 21 2 2 170 E USB Stick ohne TPM Hinweis Um die Anmeldemodi TPM PIN TPM USB Stick oder USB Stick verwenden zu k nnen aktivieren Sie die Gruppenrichtlinie Zus tzliche Authentifizierung beim Start anfordern entweder im Active Directory oder auf den Computern lokal Die Gruppenrichtlinie wird bei der In
136. allenge Code an den Helpdesk Beauftragten Dieser erzeugt auf der Grundlage des Challenge Codes einen Response Code der den Benutzer zum Ausf hren einer bestimmten Aktion auf dem Computer berechtigt Mit Recovery ber Challenge Response bietet SafeGuard Enterprise verschiedene Workflows f r typische Recovery Szenarien f r die die Unterst tzung durch ein Helpdesk erforderlich ist F r weitere Informationen siehe Recovery mit Challenge Response Seite 239 E System Recovery f r die Sophos SafeGuard Festplattenverschl sselung SafeGuard Enterprise bietet verschiedene Methoden und Tools f r Recovery Vorg nge in Bezug auf wichtige System und SafeGuard Enterprise Komponenten z B m Besch digter MBR m SafeGuard Enterprise Kernel Probleme m Probleme in Bezug auf Volume Zugriff m Windows Bootprobleme F r weitere Informationen siehe System Recovery f r die Sophos SafeGuard Festplattenverschl sselung Seite 256 233 SafeGuard Enterprise 29 1 29 1 1 234 Recovery mit Local Self Help ber Local Self Help k nnen sich Benutzer die Ihr Kennwort vergessen haben ohne Unterst tzung des Helpdesks wieder an ihrem Computer anmelden Local Self Help reduziert die Anzahl an Helpdesk Anforderungen f r Recovery Vorg nge die die Anmeldung betreffen Helpdesk Mitarbeitern werden somit Routine Aufgaben abgenommen und sie k nnen sich auf komplexere Support Anforderungen konzentrieren Mit Local Self Help erhalten B
137. aller Dateien Bewirkt dass die Initialverschl sselung f r ein Laufwerk automatisch nach der Benutzeranmeldung gestartet wird Der Administratorhilfe Richtlinieneinstellung NETTE Benutzer muss eventuell vorher einen Schl ssel aus dem Schl sselbund ausw hlen Benutzer darf Initialverschl sselung abbrechen Bewirkt dass der Benutzer die Initialverschl sselung abbrechen kann Benutzer darf auf unverschl sselte Dateien zugreifen Benutzer darf Dateien entschl sseln Benutzer darf eine Medien Passphrase f r Wechselmedien erzeugen Definiert ob ein Benutzer auf unverschl sselte Dateien auf einem Laufwerk zugreifen darf Bewirkt dass der Benutzer einzelne Dateien oder ganze Verzeichnisse entschl sseln kann ber die Windows Explorer Erweiterung lt rechte Maustaste gt Bewirkt dass der Benutzer eine Medien Passphrase auf seinem Endpoint festlegen kann Die Medien Passphrase erm glicht den einfachen Zugriff auf alle lokalen Schl ssel auf Computern ohne SafeGuard Data Exchange ber SafeGuard Portable Nur f r Wechselmedien und Cloud Storage SafeGuard Portable auf das Ziel kopieren Wenn diese Option ausgew hlt ist wird SafeGuard Portable auf alle Wechselmedien die mit dem Endpoint verbunden werden sowie in alle Synchronisierungsordner die in einer Cloud Storage Definition f r SafeGuard Cloud Storage definiert sind kopiert SafeGuard Portable erm glicht den verschl sse
138. als Fully Qualified Paths mit Laufwerk Verzeichnis definiert werden Es reicht nicht aus nur den Dateinamen einzugeben zum Beispiel beispiel exe Aus Gr nden der Benutzerfreundlichkeit zeigt die Einzelzeilenansicht der Anwendungsliste nur die Dateinamen getrennt durch Strichpunkte 4 Speichern Sie Ihre nderungen Hinweis Die Richtlinieneinstellungen Vertrauensw rdige Anwendungen und Ignorierte Anwendungen sind Computereinstellungen Die Richtlinie muss daher Computern nicht Benutzern zugewiesen werden Andernfalls werden die Einstellungen nicht wirksam Konfigurieren von ignorierten Ger ten f r SafeGuard Data Exchange Sie k nnen Ger te als ignoriert definieren um sie von der Dateiverschl sselung auszuschlie en Sie k nnen nur vollst ndige Ger te ausschlie en 1 Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine Einstellungen an oder w hlen Sie eine vorhandene aus 2 Klicken Sie unter Dateiverschl sselung auf die Dropdown Schaltfl che des Felds Ignorierte Ger te 3 Geben Sie die entsprechenden Ger tenamen ein um spezifische Ger te von der Verschl sselung auszuschlie en Dies ist zum Beispiel n tzlich wenn Sie Systeme von Dritt Anbietern ausschlie en m ssen Hinweis Sie k nnen die Namen der derzeit im System benutzten Ger te mit Tools von Dritt Anbietern z B OSR Device Tree anzeigen lassen SafeGuard Enterprise protokolliert alle Ger te mit denen eine Verbind
139. alten In Verbindung mit dem Zertifikat des Haupt Sicherheitsbeauftragten l sst sich mit dem Unternehmenszertifikat eine besch digte SafeGuard Enterprise Datenbankkonfiguration wiederherstellen 1 W hlen Sie auf der Seite Unternehmenszertifikat die Option Neues Unternehmenszertifikat erzeugen 2 Geben Sie einen Namen Ihrer Wahl ein Hinweis Von SafeGuard Enterprise erzeugte Zertifikate zum Beispiel Unternehmens Maschinen Sicherheitsbeauftragten und Benutzerzertifikate sind bei einer Erstinstallation standardm ig zur Erweiterung der Sicherheit mit dem Hash Algorithmus SHA 256 signiert Wenn Sie noch SafeGuard Enterprise Endpoints mit Version 6 oder einer fr heren Version mit dem SafeGuard Management Center der Version 6 1 verwalten m ssen m ssen Sie unter Hash Algorithmus f r erzeugte Zertifikate den Algorithmus SHA 1 ausw hlen Weitere Informationen finden Sie im Abschnitt ndern des Algorithmus f r selbst signierte Zertifikate Der ausgew hlte Algorithmus wird zum Signieren aller von SafeGuard Enterprise erzeugten Zertifikate benutzt Dies sind die Unternehmens und Maschinenzertifikate sowie die Sicherheitsbeauftragten und Benutzerzertifikate 3 Klicken Sie auf Weiter Das neu angelegte Unternehmenszertifikat wird in der Datenbank gespeichert Erstellen Sie eine Sicherungskopie des Unternehmenszertifikats und legen Sie diese direkt nach der Erstkonfiguration an einem sicheren Speicherort ab F r Information
140. altfl che um einen ausgew hlten Task zu l schen Eigenschaften Klicken Sie auf diese Schaltfl che um den lt Task Name gt Eigenschaften Dialog f r einen ausgew hlten Task anzuzeigen In diesem Dialog k nnen Sie den Task bearbeiten oder Skripte importieren exportieren und bearbeiten Aktualisieren Klicken Sie auf diese Schaltfl che um die Task Liste im Taskplaner Dialog zu aktualisieren Wenn ein Benutzer in der Zwischenzeit Tasks hinzugef gt oder gel scht hat wird die Task Liste aktualisiert Alle Server verwenden die aktuelle Zeit des Datenbankservers f r das Starten von Tasks Um eine bessere berwachung von Tasks zu gew hrleisten wird hier die Zeit des Datenbankservers angezeigt Diese wird unter Benutzung der lokalen Zeitzone des Computers auf dem das SafeGuard Management Center l uft angegeben 34 3 Bearbeiten von Tasks Um Tasks im Taskplaner zu bearbeiten ben tigen Sie die Sicherheitsbeauftragtenrechte Taskplaner benutzen und Tasks verwalten 1 W hlen Sie in der SafeGuard Management Center Men leiste Extras gt Taskplaner Der Dialog Taskplaner mit einer bersicht ber die geplanten Tasks wird angezeigt 286 Administratorhilfe 34 4 34 5 34 5 1 2 W hlen Sie den gew nschten Task und klicken Sie auf die Schaltfl che Eigenschaften Der lt Task Name gt Eigenschaften Dialog mit den Eigenschaften des ausgew hlten Tasks wird angezeigt 3 Nehmen Sie die gew nschten nderung
141. amp Computer Klicken Sie im Navigationsfenster auf der linken Seite auf den Stamm Knoten die Dom ne oder die OU Wechseln Sie im Aktionsbereich in die Registerkarte Lizenzen Klicken Sie auf die Schaltfl che Lizenzdatei importieren Es wird ein Fenster zur Auswahl der Lizenzdatei angezeigt W hlen Sie die zu importierende Lizenzdatei aus und klicken Sie auf ffnen Der Lizenz anwenden Dialog mit dem Inhalt der Lizenzdatei wird angezeigt Klicken Sie auf die Schaltfl che Lizenz anwenden Die Lizenzdatei wird in die SafeGuard Enterprise Datenbank importiert Nach dem Import der Lizenzdatei wird bei Modulen f r die Lizenzen erworben wurden der Lizenztyp regul r angegeben Bei Modulen f r die keine Lizenzen erworben wurden und f r die die Evaluierungslizenz Standard Lizenzdatei oder individuelle Demo Lizenzen genutzt werden wird der Lizenztyp Demo angegeben Administratorhilfe 6 6 6 6 1 6 6 2 Hinweis Wenn Sie eine neue Lizenzdatei importieren werden jeweils nur die Module die in dieser Datei enthalten sind aktualisiert Alle brigen Modul Lizenzinformationen werden entsprechend den in der Datenbank enthaltenen Informationen beibehalten Dieses Importverhalten vereinfacht die sp tere Evaluierung von zus tzlichen Modulen wenn Sie bereits ein oder mehrere Module erworben haben Lizenz berschreitung In Ihrer Lizenzdatei ist ein Toleranzwert f r die berschreitung der erworbenen Lizenzen so
142. an Fragen Als Sicherheitsbeauftragter mit den erforderlichen Rechten k nnen Sie festlegen wie viele Fragen Benutzer beantworten m ssen um Local Self Help auf den Endpoints zu aktivieren Sie k nnen auch festlegen wie viele Fragen in der SafeGuard POA per Zufallsprinzip ausgew hlt werden Um sich ber Local Self Help an der SafeGuard Power on Authentication anzumelden muss der Benutzer alle in der POA angezeigten Fragen korrekt beantworten 235 SafeGuard Enterprise 29 1 3 Als Sicherheitsbeauftragter mit den erforderlichen Rechten k nnen Sie Local Self Help Fragen im SafeGuard Management Center registrieren und bearbeiten Festlegen der Anzahl an zu beantwortenden Fragen Sie k nnen die Anzahl an Fragen die w hrend der Konfiguration von Local Self Help und in der SafeGuard POA beantwortet werden m ssen festlegen 1 Markieren Sie im Richtlinien Navigationsbereich den Eintrag Local Self Help Fragen 2 Im Aktionsbereich k nnen Sie unter Local Self Help Parameter zwei verschiedene Werte f r die Anzahl an Local Self Help Fragen festlegen a Geben Sie im Feld Mindestanzahl der verf gbaren Fragen Antworten an wie viele Fragen die Benutzer im Local Self Help Assistenten beantworten m ssen um Local Self Help auf den Endpoints zu aktivieren Die hier angegebene Anzahl an Fragen muss auf dem Endpoint mit den entsprechenden Antworten verf gbar sein damit Local Self Help aktiv ist b Geben Sie im Feld Anzahl
143. andorts zuordnen So aktivieren Sie die automatische Anmeldung mit einer Default Token PIN 1 Klicken Sie im SafeGuard Management Center auf Richtlinien 2 W hlen Sie eine Richtlinie vom Typ Authentisierung aus 3 W hlen Sie unter Anmeldeoptionen bei Anmeldemodus die Option Token 4 Geben Sie bei PIN f r automatische Anmeldung mit Token die Default PIN an die f r die automatische Anmeldung verwendet werden soll In diesem Fall m ssen keine PIN Regeln beachtet werden Hinweis Diese Einstellung steht nur dann zur Verf gung wenn Sie als m glichen Anmeldemodus die Option Token gew hlt haben 5 W hlen Sie bei Durchgehende Anmeldung an Windows die Option Durchgehende Anmeldung deaktivieren Wenn Sie diese Einstellung nicht ausw hlen und eine Default PIN angeben k nnen Sie die Richtlinie nicht speichern Wenn Sie die Durchgehende Anmeldung an Windows dennoch aktivieren m chten k nnen Sie eine weitere Richtlinie vom Typ Authentisierung mit der aktivierten Option erstellen und sie derselben Computergruppe zuordnen Im RSOP Resulting Set of Policies sind somit beide Richtlinien aktiv 6 Definieren Sie nach Wunsch weitere Token Einstellungen 7 Speichern Sie Ihre Einstellungen und ordnen Sie die Richtlinie den relevanten Computern oder Computergruppen zu Wenn die automatische Anmeldung auf dem Endpoint erfolgreich durchgef hrt werden konnte wird Windows gestartet Schl gt die automatische Anmeldung auf dem End
144. angen von Daten aus der Cloud Das Modul Cloud Storage stellt sicher dass die lokalen Kopien der in der Cloud gespeicherten Daten transparent verschl sselt werden Sie werden somit immer in verschl sselter Form in der Cloud gespeichert F r Cloud Storage legen Sie im SafeGuard Management Center Cloud Storage Definitionen an und verwenden diese als Ziel f r Richtlinien vom Typ Ger teschutz Es stehen f r mehrere Cloud Storage Anbieter zum Beispiel Dropbox oder Egnyte vordefinierte Cloud Storage Definitionen zur Verf gung Wenn f r Endpoints eine Cloud Storage Richtlinie gilt werden die Dateien in den von der Richtlinie abgedeckten Speicherorten ohne Benutzerinteraktion transparent verschl sselt m Verschl sselte Dateien werden an die Cloud synchronisiert m Aus der Cloud erhaltene verschl sselte Dateien k nnen wie blich mit Applikationen modifiziert werden Mit SafeGuard Portable kann auf durch Cloud Storage verschl sselte Dateien auf Endpoints ohne SafeGuard Enterprise Cloud Storage zugegriffen werden Verschl sselte Dateien k nnen so auch in diesem Fall gelesen werden Hinweis Cloud Storage verschl sselt nur neue in der Cloud gespeicherte Daten Wurden Daten bereits vor der Installation des Moduls Cloud Storage in der Cloud gespeichert so werden diese Daten nicht automatisch verschl sselt Wenn Sie solche Daten verschl sseln m chten m ssen Sie sie zun chst aus der Cloud entfernen und sie nach der Installation von
145. ank gel scht Administratorhilfe Hinweis Wenn der zu l schende Sicherheitsbeauftragte eine Rolle hat die zus tzliche Autorisierung umfasst und dem Sicherheitsbeauftragten als einziger diese Rolle zugewiesen ist wird der Sicherheitsbeauftragte trotzdem gel scht Es wird angenommen dass der Haupt Sicherheitsbeauftragte die zus tzliche Autorisierung bernimmt 69 SafeGuard Enterprise 70 12 Schl ssel und Zertifikate SafeGuard Enterprise erzeugt in der Standardeinstellung beim Import der Verzeichnisstruktur automatisch Schl ssel f r E Dom nen E Container OUs und weist diese den entsprechenden Objekten zu Computer und Benutzerschl ssel werden bei Bedarf erzeugt Schl ssel f r Gruppen In der Standardeinstellung erzeugt SafeGuard Enterprise nicht automatisch Schl ssel f r Gruppen Dieses Verhalten ist standardm ig deaktiviert All Sicherheitsbeauftragter k nnen Sie dieses Verhalten in der Schl ssel Registerkarte ndern indem Sie Extras gt Optionen w hlen Ist in der Sch ssel Registerkarte die Option Gruppen ausgew hlt so generiert SafeGuard Enterprise automatisch Gruppenschl ssel wenn die Datenbank synchronisiert wird In der Registerkarte Synchronisierungwird unten angegeben f r was Schl ssel bei der Durchf hrung der Synchronisierung erzeugt werden Schl ssel k nnen nicht gel scht werden Sie sind immer in der SafeGuard Enterprise Datenbank enthalten Beim ersten Starten eines Endpo
146. ann mit Token oder mit Anmeldeinformationen erfolgen Der Sicherheitsbeauftragte kann w hlen Zwingend erforderlich Die Verwendung eines Token zur Anmeldung ist zwingend vorgeschrieben Dazu muss sich der zum Zertifikat des Sicherheitsbeauftragten geh rende private Schl ssel auf dem Token befinden 61 SafeGuard Enterprise Feld Kontrollk stchen Zertifikat Beschreibung Zur Anmeldung an das SafeGuard Management Center ben tigt ein Sicherheitsbeauftragter immer ein Zertifikat Das Zertifikat kann entweder von SafeGuard Enterprise selbst erstellt werden oder es wird ein bereits existierendes verwendet Ist eine Anmeldung mit Token zwingend notwendig so muss das Zertifikat auf den Token des Sicherheitsbeauftragten aufgebracht werden Erzeugen Zertifikat und Schl sseldatei werden neu erstellt und an einem ausw hlbaren Ort gespeichert Dabei muss ein Kennwort f r die p12 Schl sseldatei angegeben und best tigt werden Die p12 Datei muss dem Sicherheitsbeauftragten bei der Anmeldung zur Verf gung stehen Das erstellte Zertifikat wird dem Sicherheitsbeauftragten automatisch zugeteilt und unter Zertifikat angezeigt Wenn SafeGuard Enterprise Kennwortregeln angewendet werden sollten die Regeln im Active Directory deaktiviert werden Hinweis Maximale L nge des Speicherpfads und des Dateinamens 260 Zeichen Zum Anlegen eines Sicherheitsbeauftragten ist der ffentliche Teil des Zertifikats zwar ausreichend Bei der An
147. arte Allgemein unter Benutzerkennwort das neue Kennwort ein und best tigen Sie es 5 Klicken Sie auf OK F r den relevanten POA Benutzer gilt das neue Kennwort L schen von POA Benutzern F r das L schen von POA Benutzern und POA Gruppen ben tigen Sie das Zugriffsrecht Voller Zugriff f r den POA Knoten unter Benutzer amp Computer 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Benutzer amp Computer Navigationsfenster unter POA POA Benutzer den relevanten POA Benutzer 3 Klicken Sie mit der rechten Maustaste auf den POA Benutzer und w hlen Sie L schen aus dem Kontextmen Der POA Benutzer wird gel scht Es wird nicht mehr im Benutzer amp Computer Navigationsfenster angezeigt Hinweis Wenn der Benutzer einer oder mehreren POA Gruppen angeh rt wird er auch aus allen Gruppen entfernt Der POA Benutzer steht jedoch noch so lange auf dem Endpoint zur Verf gung bis die Zuweisung der POA Gruppe aufgehoben wird Erstellen von POA Gruppen F r das Erstellen von POA Gruppen ben tigen Sie das Zugriffsrecht Voller Zugriff f r den POA Knoten unter Benutzer amp Computer 121 SafeGuard Enterprise 19 5 19 6 122 Damit die POA Gruppen Endpoints zugewiesen werden k nnen m ssen sie in Gruppen zusammengefasst werden 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie i
148. as Volume verweigert wird da dies zu Datenverlust f hren k nnte Verschl sselung von Volumes mit aktivierter Autorun Funktionalit t Wenn Sie auf Volumes f r die die Autorun Funktionalit t aktiviert ist eine Verschl sselungsrichtlinie anwenden so k nnen folgende Probleme auftreten E Das Volume wird nicht verschl sselt 167 SafeGuard Enterprise 21 1 1 5 21 1 2 21 1251 168 E Wenn es sich um ein Unidentified File System Object handelt wird der Zugriff nicht verweigert Zugriff auf mit BitLocker To Go verschl sselte Volumes Wird SafeGuard Enterprise mit aktivierter BitLocker To Go Unterst tzung verwendet und existiert eine SafeGuard Enterprise Verschl sselungsrichtlinie f r ein mit BitLocker To Go verschl sseltes Volume so wird der Zugriff auf das Volume verweigert Existiert keine SafeGuard Enterprise Verschl sselungsrichtlinie so kann der Benutzer auf das Volume zugreifen F r weitere Informationen zu BitLocker To Go siehe BitLocker To Go Seite 176 Dateibasierende Festplattenverschl sselung Die dateibasierende Verschl sselung stellt sicher dass alle Daten verschl sselt sind au er Boot Medium und Verzeichnisinformationen Mit dateibasierender Verschl sselung lassen sich auch optische Medien wie CD DVD verschl sseln Au erdem k nnen Daten mit Fremdrechnern auf denen SafeGuard Enterprise nicht installiert ist ausgetauscht werden soweit von der Richtlinie erlaubt siehe SafeGuard Dat
149. atus berblick So rufen Sie den Lizenzstatus berblick auf 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 Klicken Sie im Navigationsfenster auf der linken Seite auf den Stammknoten die Dom ne die OU das Containerobjekt oder die Arbeitsgruppe 3 Wechseln Sie im Aktionsbereich auf der rechten Seite in die Registerkarte Lizenzen Der Lizenzstatus wird angezeigt Die Anzeige ist in drei Bereiche unterteilt Der obere Bereich zeigt den Namen des Kunden f r den die Lizenz ausgestellt wurde sowie das Datum an dem die Lizenz ausgestellt wurde Der mittlere Bereich liefert detaillierte Informationen zur Lizenz Die einzelnen Spalten enthalten folgende Angaben Erkl rung Status Symbol Zeigt den Status der Lizenzen g ltig Warnung Fehler f r das jeweilige Modul durch ein Symbol an Feature Zeigt das installierte Modul an Erworbene Lizenzen Zeigt die Anzahl an erworbenen Lizenzen f r das installierte Modul an Benutzte Lizenzen Zeigt die Anzahl an genutzten Lizenzen f r das installierte Modul an L uft ab Zeigt das Lizenzablaufdatum an Typ Gibt die Lizenzart Demo Lizenz oder regul re Lizenz an Toleranzwert Zeigt den festgelegten Toleranzwert f r die berschreitung der Anzahl an erworbenen Lizenzen an Wenn Sie die Registerkarte Lizenzen in einer Dom ne OU aufrufen zeigt die bersicht den Status basierend auf den Computern i
150. au E Um das Dokument sofort zu drucken w hlen Sie Datei gt Drucken 32 11 2 Export von Bestandsberichte in Dateien 1 Klicken Sie in der SafeGuard Management Center Men leiste auf Datei 2 W hlen Sie Drucken gt Druckvorschau Die Bestandsbericht Druckvorschau wird angezeigt Die Druckvorschau bietet eine Reihe von Funktionen z B f r die Bearbeitung des Seitenlayouts Kopf und Fu zeile usw 3 Klicken Sie in der Symbolleiste des Fensters Druckvorschau auf die Dropdownliste des Symbols Dokument exportieren 4 W hlen Sie den gew nschten Dateityp aus der Liste 5 Geben Sie die gew nschten Exportoptionen an und klicken Sie auf OK Der Bestandsbericht wird in eine Datei des angegebenen Dateityps exportiert 269 SafeGuard Enterprise 33 Berichte 33 1 270 Die Aufzeichnung sicherheitsrelevanter Vorf lle ist Voraussetzung f r eine gr ndliche Systemanalyse Anhand der protokollierten Ereignisse k nnen Vorg nge auf einer Arbeitsstation bzw innerhalb eines Netzwerks exakter nachvollzogen werden Durch die Protokollierung lassen sich zum Beispiel Schutzverletzungen unautorisierter Dritter nachweisen Dem Administrator bzw Sicherheitsbeauftragten bietet die Protokollierung auch eine Hilfe um irrt mlich verwehrte Benutzerrechte ausfindig zu machen und zu korrigieren SafeGuard Enterprise protokolliert alle Aktivit ten und Statusinformationen der Endpoints sowie Administratoraktionen und sicherheits
151. auf Endpoints werden die notwendigen Parameter z B SafeGuard POA Deaktivierung und ein Zeitabstand f r Wake on LAN direkt an die Endpoints bertragen wo sie analysiert werden Das Rollout Team kann durch die zur Verf gung gestellten Kommandos ein Scheduling Skript so gestalten dass die gr tm gliche Sicherheit des Endpoint trotz deaktivierter SafeGuard POA gew hrleistet bleibt Hinweis Wir weisen an dieser Stelle ausdr cklich darauf hin dass auch das zeitlich begrenzte Ausschalten der SafeGuard POA f r eine bestimmte Anzahl von Boot Vorg ngen ein Absenken des Sicherheitsniveaus bedeutet Die Einstellungen f r Sicheres Wake On LAN WOL definieren Sie in einer Richtlinie des Typs Spezifische Computereinstellungen Sicheres Wake on LAN WOL Beispiel Das Software Rollout Team informiert den SafeGuard Enterprise Sicherheitsbeauftragten SO ber einen geplanten Software Rollout f r den 25 September 2013 zwischen 03 00 und 06 00 Uhr Es sind 2 Neustarts notwendig Der lokale Software Rollout Agent muss sich an Windows anmelden k nnen Im SafeGuard Management Center erstellt der Sicherheitsbeauftragter eine Richtlinie vom Typ Spezifische Computereinstellungen mit den folgenden Einstellung und ordnet Sie den relevanten Endpoints zu Richtlinieneinstellung Anzahl der automatischen Anmeldungen 0 kein WOL Anmeldung an Windows w hrend WOL erlaubt Beginn des Zeitfensters f r externen WOL Start 24 Sept 201
152. auf eines der Ergebnisse in diesem Dialog klicken wird der entsprechende Eintrag in der Benutzer amp Computer Baumstruktur markiert Wenn Sie z B nach Duplikaten gesucht haben k nnen Sie diese nun bequem l schen 10 4 Anzeigen von Objekteigenschaften in Benutzer und Computer 48 Um Objekteigenschaften einzusehen ben tigten Sie die Zugriffsrechte Voller Zugriff oder Schreibgesch tzt f r die relevanten Objekte 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer Administratorhilfe 2 Klicken Sie im Navigationsbereich von Benutzer amp Computer mit der rechten Maustaste auf das gew nschte Objekt und w hlen Sie Eigenschaften Die Eigenschaften des ausgew hlten Objekts werden angezeigt Wenn Sie f r das Objekt das Zugriffsrecht Schreibgesch tzt haben werden die Eigenschaften im Dialog ausgegraut und Sie k nnen diese nicht bearbeiten 49 SafeGuard Enterprise 11 11 1 11 1 1 50 SafeGuard Enterprise Sicherheitsbeauftragte SafeGuard Enterprise kann von einem oder mehreren Sicherheitsbeauftragten administriert werden Mit der rollenbasierten Administration ist es m glich die Verwaltung von SafeGuard Enterprise auf mehrere Benutzer zu verteilen Dabei kann einem Benutzer eine oder mehrere Rollen zugewiesen werden Um die Sicherheit noch zu erh hen kann einer Sicherheitsbeauftragtenrolle die zus tzliche Autorisierung eines Vorgangs zugewiesen werden W h
153. automatisch aufgel st werden gibt es drei m gliche Methoden f r das korrekte Angeben der Dom ne m Sie wissen genau wie sich der Benutzer anmelden wird und geben die Dom ne entsprechend exakt ein m Sie erstellen mehrere Eintr ge in der Service Account Liste m Sie verwenden Platzhalter um alle unterschiedlichen F lle abzudecken Benutzer test Dom ne mycompany Hinweis Windows verwendet m glicherweise nicht dieselbe Zeichenfolge und k rzt Namen ab Um dadurch entstehende Probleme zu vermeiden empfehlen wir den FullQualifiedName und den Netbios Namen einzugeben oder Platzhalter zu verwenden Einschr nkungen Asterisken sind nur als erstes letztes und einziges Zeichen zul ssig Beispiele f r g ltige und ung ltige Zeichenfolgen m G ltige Zeichenfolgen sind z B Admin strator minis m Ung ltige Zeichenfolgen sind z B Admin trator Ad minst Dar ber hinaus gelten folgende Einschr nkungen m Das Zeichen ist in Benutzernamen nicht zul ssig m Die Zeichen lt gt sind in Dom nennamen nicht zul ssig g Bearbeiten und L schen von Service Account Listen Als Sicherheitsbeauftragter mit der Berechtigung Service Account Listen ndern k nnen Sie Service Account Listen jederzeit bearbeiten oder l schen E Um eine Service Account Liste zu bearbeiten klicken Sie auf der Liste im Richtlinien Navigationsfenster Die Service Account Liste wird im Aktionsbereich ge ffnet un
154. bank gesucht Der gefundene Computername wird als Distinguished Name angezeigt E Geben Sie den Computernamen direkt als Distinguished Name ein zum Beispiel CN Desktopl OU Development OU Headquarter DC Sophos DC edu 4 Klicken Sie auf Weiter 5 W hlen Sie die Dom ne des Benutzers 6 Geben Sie den Benutzernamen ein Hierf r gibt es mehrere M glichkeiten E Um den Benutzernamen auszuw hlen klicken Sie auf im Abschnitt Benutzer Information des Dialogs Recovery f r die Anmeldung Klicken Sie anschlie end auf Jetzt suchen Eine Liste mit Benutzernamen wird angezeigt W hlen Sie den gew nschten Namen und klicken Sie auf OK Der Benutzername wird auf der Seite Recovery Typ angezeigt E Geben Sie den Benutzernamen direkt ein Stellen Sie sicher dass der Name korrekt geschrieben ist Klicken Sie auf Weiter Eine Seite f r die Eingabe des Challenge Codes wird angezeigt Geben Sie den vom Benutzer erhaltenen Challenge Code ein und klicken Sie auf Weiter Der Challenge Code wird gepr ft Wenn der Code nicht korrekt eingegeben wurde wird unterhalb des Blocks der den Fehler enth lt der Text Ung ltige Challenge angezeigt Wenn der Challenge Code korrekt eingegeben wurde werden die vom SafeGuard Enterprise Client angeforderte Aktion sowie die m glichen Recovery Aktionen auf dem Client angezeigt Die m glichen Response Aktionen richten sich nach den Aktionen die auf Client Seite beim Aufrufen der Challe
155. ben Zugriffskontrolle WLAN erfolgreich freigegeben Zugriffskontrolle Port erfolgreich entfernt Zugriffskontrolle Ger t erfolgreich entfernt Zugriffskontrolle Speicherger t erfolgreich entfernt 307 SafeGuard Enterprise 308 LEICHTE Zugriffskontrolle Beschreibung WLAN Verbindung erfolgreich getrennt Zugriffskontrolle Port eingeschr nkt Zugriffskontrolle Ger t eingeschr nkt Zugriffskontrolle Speicherger t eingeschr nkt Zugriffskontrolle WLAN eingeschr nkt Zugriffskontrolle Port gesperrt Zugriffskontrolle Ger t gesperrt Zugriffskontrolle Speicherger t gesperrt Zugriffskontrolle WLAN gesperrt Administratorhilfe 38 Fehlercodes 38 1 SGMERR Codes in der Windows Ereignisanzeige In der Windows Ereignisanzeige k nnten Sie folgende Meldung finden Authorization for SafeGuard Enterprise Administration failed for user Grund SGMERR 536870951 Welche Bedeutung die Nummer 536870951 hat finden Sie in dieser Tabelle Nummer 536870951 bedeutet zum Beispiel Die angegebene PIN ist falsch der Benutzer konnte nicht authentisiert werden Fehler ID Anzeige OK Interner Fehler entdeckt Modul nicht initialisiert Datei I O Fehler entdeckt Speicher kann nicht zugewiesen werden Datei I O Lesefehler Datei I O Schreibfehler Keine Operation durchgef hrt
156. benutzer behandelt Administratorhilfe 10 2 2 Beispiele f r die automatische Registrierung Im Folgenden finden Sie zwei Beispiele f r das Verhalten von automatisch registrierten Objekten Benutzer Computer au erhalb eines Active Directory In einem Unternehmen m ssen nicht zwangsl ufig alle Benutzer Computer Teil eines Active Directory AD sein z B lokale Benutzer Ein Unternehmen hat m glicherweise nur eine oder wenige Arbeitsgruppen so dass sich der Aufbau eines ADs nicht lohnt Dieses Unternehmen m chte SafeGuard Enterprise einsetzen um dann seine Benutzer Computerobjekte mit Richtlinien zu versehen Deshalb wird die Organisationsstruktur des Unternehmens im SafeGuard Management Center folgenderma en manuell aufgebaut A Root Filter is active E Authenticated Computers 48 Authenticated Users SE Auto registered E Workgroup 1 tntry added manuallw y H Auto registered es amp WG_User 1 entry created on logon Die Objekte bleiben im Verzeichnis Automatisch registriert Sie k nnen mit dem SafeGuard Management Center durch Anwendung von Richtlinien auf das Verzeichnis Automatisch registriert verwaltet werden SafeGuard Enterprise Datenbank und Active Directory nicht synchronisiert Ein Benutzer ist bereits Teil des Active Directory AD des Unternehmens Die SafeGuard Enterprise Datenbank und das AD sind jedoch nicht synchron Der Benutzer Benutzer 1 meldet sich an SafeGuard Enterprise an und wir
157. ble benutzen E Joe kann auf die spezifischen Dateien durch Eingabe der Passphrase des Schl ssels JoeSchl ssel zugreifen ohne auf die restlichen Dateien auf dem Wechselmedium zugreifen zu m ssen Die notwendigen Einstellungen legen Sie in einer Richtlinie vom Typ Ger teschutz Wechselmedien fest E Verschl sselungsmodus f r Medien Dateibasierend Mm Schl ssel f r die Verschl sselung Beliebiger Schl ssel im Schl sselring des Benutzers Erm glicht dem Benutzer die Auswahl unterschiedlicher Schl ssel f r die Verschl sselung von Dateien auf Wechselmedien F r Verschl sselung definierter Schl ssel lt Gruppen Dom nenschl ssel gt z B group_users_Bob_Alice DC um sicherzustellen dass beide denselben Schl ssel benutzen und um beiden den transparenten Zugriff auf Wechselmedien zu erm glichen wenn sie sie mit ihren Computern im B ro verbinden E Benutzer darf eine Medien Passphrase f r Wechselmedien erzeugen Ja Der Benutzer definiert eine Medien Passphrase auf seinem Computer die f r alle seine Wechselmedien gilt E SafeGuard Portable auf das Ziel kopieren Ja 198 Administratorhilfe 24 5 SafeGuard Portable gibt dem Benutzer in einem System ohne SafeGuard Data Exchange Zugriff auf alle verschl sselten Dateien auf den Wechselmedien durch die Eingabe einer einzigen Medien Passphrase Wenn die Firmenrichtlinien zus tzlich festlegen dass alle Dateien auf Wechselmedien immer verschl sselt werd
158. chlie end Dateien umschl sseln oder neue Dateien auf dem USB Medium speichern kann er einen beliebigen Schl ssel ausw hlen falls erlaubt und verf gbar Schlie t er dann ein anderes USB Ger t an wird wiederum der Schl ssel der f r die Initialverschl sselung festgelegt wurde zur Initialverschl sselung verwendet Dieser Schl ssel wird auch f r folgende Verschl sselungsoperationen verwendet bis der Benutzer explizit einen anderen Schl ssel ausw hlt Hinweis Wenn die Medien Passphrase Funktion aktiviert ist wird diese Option deaktiviert Der F r Verschl sselung definierte Schl ssel wird verwendet Der hier angegebene Ordner wird auf allen Wechselmedien Massenspeichern und in allen Cloud Storage Synchronisierungsordnern erstellt Dateien die in diesen Ordner kopiert werden bleiben immer unverschl sselt Benutzer darf ber Verschl sselung entscheiden Sie k nnen den Benutzer dazu berechtigen zu entscheiden ob Dateien auf Wechselmedien und Massenspeichern verschl sselt werden sollen Wenn Sie hier Ja ausw hlen werden Benutzer dazu aufgefordert zu entscheiden ob Daten verschl sselt werden sollen F r Massenspeicher wird diese Aufforderung nach jeder Anmeldung angezeigt F r Wechselmedien wird sie angezeigt wenn die Wechselmedien mit dem Computer verbunden werden Wenn Sie f r diese Option Ja Benutzereinstellungen merken ausw hlen k nnen die Benutzer die Option Einstellungen speichern und Dial
159. chselmedium umbenannt wird E Protokollierung eines Ereignisses wenn eine Datei oder ein Verzeichnis vom Wechselmedium gel scht wird F r weitere Informationen siehe Datei Tracking Bericht f r Wechselmedien Seite 275 201 SafeGuard Enterprise 24 9 SafeGuard Data Exchange und File Share 202 Das SafeGuard Enterprise Modul File Share bietet dateibasierende Verschl sselung im Netzwerk speziell f r Arbeitsgruppen bei Netzwerkfreigaben Wenn sowohl SafeGuard Data Exchange als auch File Share auf einem Endpoint installiert ist kann es vorkommen dass eine SafeGuard Data Exchange Verschl sselungsrichtlinie f r ein Laufwerk auf dem Computer definiert ist und gleichzeitig File Encryption Richtlinien f r Ordner auf demselben Laufwerk gelten Ist dies der Fall so erh lt die SafeGuard Data Exchange Richtlinie Vorrang vor den File Encryption Richtlinien Neue Dateien werden gem der SafeGuard Data Exchange Richtlinie verschl sselt F r weitere Informationen zu File Share siehe File Encryption mit File Share Seite 180 Administratorhilfe 25 Cloud Storage Das SafeGuard Enterprise Modul Cloud Storage bietet dateibasierende Verschl sselung von in der Cloud gespeicherten Daten Das Modul beeinflusst nicht die Art und Weise wie Benutzer mit in der Cloud gespeicherten Daten arbeiten Die Benutzer verwenden weiterhin die anbieterspezifischen Synchronisationsapplikationen zum bertragen von Daten an die Cloud und Empf
160. chtlinie f r alle untergeordneten Container Objekte Das hei t Kein berschreiben eines bergeordneten Containers berschreibt die Richtlinieneinstellungen eines untergeordneten Containers So kann z B eine Dom nenrichtlinie definiert werden deren Einstellungen nicht berschrieben werden k nnen auch nicht wenn f r eine OU Richtlinienvererbung blockieren gesetzt wurde Hinweis Wurde auf gleicher Ebene eine Richtlinie mit niedriger Priorit t aber mit der Option Kein berschreiben zugeordnet so zieht die Richtlinie trotz niedrigerer Priorit t gegen ber den Richtlinien mit der h heren Priorit t 97 SafeGuard Enterprise 14 9 12 14 9 12 1 14 9 12 2 14 9 12 3 14 9 12 4 98 Einstellungen in Richtlinien Computereinstellungen wiederholen Sie finden diese Einstellung unter Richtlinien gt Richtlinie vom Typ Allgemeine Einstellungen gt Laden der Einstellungen gt Richtlinien Loopback Wird bei einer Richtlinie vom Typ Allgemeine Einstellungen bei der Option Richtlinien Loopback die Einstellung Computereinstellungen wiederholen ausgew hlt und die Richtlinie kommt von einem Computer Computereinstellungen wiederholen hat f r eine Benutzerrichtlinie keine Auswirkung wird diese Richtlinie am Ende der Auswertung noch einmal ausgef hrt Dadurch werden etwaige Benutzereinstellungen wieder berschrieben und es gelten die Computereinstellungen F r das neuerliche Schreiben werden s mtliche Computere
161. ctivClient PIV AET SafeSign Identity Client Aladdin eToken PKI Client a sign Client Charismathics Smart Security Interface Estonian ID Card Gemalto Access Client Gemalto Classic Client Gemalto NET Card IT Solution trustware CSP Nexus Personal RSA Authentication Client 2 x RSA Smart Card Middleware 3 x Siemens CardOS API T Systems NetKey 3 0 Unizeto proCertum 162 Administratorhilfe Richtlinieneinstellungen Erkl rung Wenn Sie Benutzerdefinierte PKCS 11 Einstellungen ausw hlen werden die Benutzerdefinierten PKCS 11 Einstellungen aktiviert Sie k nnen dann die zu verwendenden Modulnamen eingeben m PKCS 11 Modul f r Windows m PKCS 11 Modul f r die SafeGuard Power on Authentication POA Hinweis Wenn Sie Nexus Personal oder Gemalto NET Card Middleware installieren m ssen Sie den Installationspfad der Middleware auch zur PATH Umgebungsvariable der Systemeigenschaften Ihres Computers hinzuf gen m Standard Installationspfad f r Gemalto NET Card C Programme Gemalto PKCS11 for NI smart cards m Standard Installationspfad f r Nexus Personal C Programme Personal bin Lizenzen Beachten Sie dass f r die Benutzung der jeweiligen Middleware f r das Standard Betriebssystem eine Lizenzvereinbarung mit dem jeweiligen Hersteller erforderlich ist F r weitere Informationen zum Bezug von Lizenzen siehe http www sophos com de de support knowledgebase 116585 aspx Wenn Sie Sie
162. ctory ge ndert werden muss Der Benutzer kann mit dem alten Kennwort weiterarbeiten und dieses sp ter nach Wunsch lokal ndern Anzeigen des Benutzerkennworts SafeGuard Enterprise bietet Benutzern die M glichkeit sich ihr Kennwort w hrend des Challenge Response Verfahrens anzeigen zu lassen Dies bietet den Vorteil dass das Kennwort nicht im Active Directory ge ndert werden muss Diese Option ist verf gbar wenn die Anforderung SGN Client mit Benutzeranmeldung booten gestellt wird Ein anderer Benutzer muss den durch SafeGuard Enterprise gesch tzten Endpoint starten In diesem Fall startet der Benutzer der Zugriff ben tigt den Endpoint und gibt seinen Benutzernamen ein Der Benutzer fordert dann eine Challenge an Der SafeGuard Helpdesk generiert eine Response vom Typ SGN Client mit Benutzeranmeldung booten mit aktivierter durchgehender Anmeldung an Windows Der Benutzer wird angemeldet und kann den Computer benutzen Wiederherstellen des SafeGuard Enterprise Policy Cache Diese Aktion wird notwendig wenn der SafeGuard Policy Cache besch digt ist Im Local Cache werden alle Schl ssel Richtlinien Benutzerzertifikate und Audit Dateien gespeichert Standardm ig ist Recovery f r die Anmeldung bei einem besch digten Local Cache deaktiviert Er wird automatisch aus seiner Sicherungskopie wiederhergestellt In diesem Fall ist f r das Reparieren des Local Cache kein Challenge Response Verfahren erforderlich Wenn der Local Cache
163. d Device Encyption nicht installiert haben muss die Einstellung Registrieren von neuen SGN Benutzern erlauben auf Jeder gesetzt werden wenn es auf dem Endpoint m glich sein soll mehr als einen Benutzer zur UMA mit Zugriff auf den Schl sselbund hinzuzuf gen Sonst k nnen Benutzer nur im Management Center hinzugef gt werden Diese Option ist wird nur auf zentral verwalteten Endpoints ausgewertet Siehe auch http www sophos com de de support knowledgebase 110659 aspx Registrierung von SGN Windows Benutzern aktivieren 158 Legt fest ob SGN Windows Benutzer auf dem Endpoint registriert werden k nnen Ein SGN Windows Benutzer wird nicht zur SafeGuard POA hinzugef gt hat aber einen Schl sselring f r den Zugriff auf verschl sselte Dateien wie jeder andere SGN Benutzer Wenn Sie diese Einstellung w hlen werden alle Benutzer die andernfalls SGN Gast Benutzer geworden w ren zu SGN Windows Benutzern Die Benutzer werden zur UMA hinzugef gt sobald sie sich an Windows angemeldet haben Administratorhilfe Richtlinieneinstellungen Manuelle UMA Bereinigung f r Standalone Clients aktivieren Erkl rung Hinweis Diese Finstellung gilt nur f r Standalone Endpoints Legt fest ob Benutzer SGN Benutzer und SGN Windows Benutzer aus der Benutzer Computer Zuordnung entfernen d rfen Wenn Sie hier Ja ausw hlen steht der Befehl Benutzer Computer Zuordnung im System Tray Icon Men auf dem Endpoint zur Verf gu
164. d Sie k nnen Benutzernamen zuf gen l schen oder ndern E Um eine Service Account Liste zu l schen w hlen Sie die Liste im Richtlinien Navigationsfenster aus ffnen Sie das Kontextmen und w hlen Sie L schen 117 SafeGuard Enterprise 18 4 Zuweisen einer Service Account Liste in einer Richtlinie 18 5 18 6 118 1 Legen Sie eine Richtlinie vom Typ Authentisierung an oder w hlen Sie eine bereits vorhandene aus 2 W hlen Sie unter Anmeldeoptionen die gew nschte Service Account Liste aus der Dropdownliste des Felds Service Account Liste aus Hinweis Die Standardeinstellung dieses Felds ist Keine Liste d h es gilt keine Service Account Liste Rollout Beauftragte die sich nach der Installation von SafeGuard Enterprise an dem Endpoint anmelden werden somit nicht als Gastbenutzer behandelt und k nnen die SafeGuard Power on Authentication aktivieren sowie zum Endpoint hinzugef gt werden Um die Zuweisung einer Service Account Liste r ckg ngig zu machen w hlen Sie die Option Keine Liste 3 Speichern Sie Ihre nderungen indem Sie auf das Speichern Symbol in der Symbolleiste klicken Sie k nnen die Richtlinie nun an die Endpoints bertragen um die Service Accounts auf den Endpoints zur Verf gung zu stellen Hinweis Wenn Sie unterschiedliche Service Account Listen in verschiedenen Richtlinien ausw hlen die alle nach dem RSOP Resulting Set of Policies die f r einen bestimmten Computer eine bes
165. d an den SafeGuard Enterprise Server geschickt und in der SafeGuard Enterprise Datenbank abgelegt 4 Die Maschinenrichtlinien werden an den Endpoint geschickt Anmeldung an Windows Der Windows Anmeldedialog wird angezeigt Der Benutzer meldet sich an Was passiert 1 Benutzername und ein Hash Wert der Benutzerdaten werden an den Server geschickt 2 Benutzerrichtlinien Zertifikate und Schl ssel werden erzeugt und an den Endpoint geschickt 3 Die SafeGuard POA wird aktiviert SafeGuard POA Anmeldung Nach dem Neustart des Endpoint erscheint die SafeGuard POA Was passiert 1 Zertifikate und Schl ssel f r den Benutzer sind vorhanden und er kann sich in der SafeGuard POA anmelden 2 Alle Daten sind sicher mit dem ffentlichen RSA Schl ssel des Benutzers verschl sselt 3 Alle weiteren Benutzer die sich anmelden wollen m ssen erst in die SafeGuard POA importiert werden Anmeldeverz gerung Auf einem durch SafeGuard Enterprise gesch tzten Endpoint tritt eine Anmeldeverz gerung in Kraft wenn ein Benutzer w hrend der Anmeldung an Windows oder an die SafeGuard Power on Authentication falsche Anmeldeinformationen eingibt Mit jedem fehlgeschlagenen Anmeldeversuch verl ngert sich jeweils die Anmeldeverz gerung Nach einer fehlgeschlagenen Anmeldung erscheint ein Dialog der die verbleibende Verz gerungszeit anzeigt 105 SafeGuard Enterprise 16 2 16 3 106 Hinweis Wenn ein Benutzer w hrend der Anmel
166. d automatisch im Bereich Benutzer und Computer im SafeGuard Management Center unter der Dom ne angezeigt die durch die Anmeldung vorgegeben ist Dom ne 1 43 SafeGuard Enterprise 10 2 3 10 2 4 44 E de Dorr ain 1 al Auto registered Der Benutzer ist nun Teil des Auto regstriert Verzeichnisses Das Objekt kann mit dem SafeGuard Management Center durch Anwendung von Richtlinien auf das Automatisch registriert Verzeichnis verwaltet werden Mit der n chsten Synchronisierung zwischen dem AD und der SafeGuard Enterprise Datenbank wird Benutzer 1 automatisch in seine Organisationseinheit Benutzer verschoben SiE Domain 1 a Auto registered Damit f r Benutzer 1 jetzt Richtlinien aktiv werden k nnen m ssen sie ab jetzt der Organisationseinheit Users zugewiesen werden Schl ssel und Zertifikate f r autoregistrierte Objekte F r jedes auto registrierte Objekt erzeugt der Server nach Bedarf ein Zertifikat Ein lokaler Benutzer erh lt zwei Schl ssel Mm den Schl ssel des Containers Automatisch registriert E den privaten Schl ssel der vom Server bei Bedarf erzeugt wird Lokale Benutzer erhalten keine weiteren Schl ssel der ihnen bergeordneten Container auch keinen Root Schl ssel Arbeitsgruppen erhalten gar keine Schl ssel Richtlinien f r autoregistrierte Objekte F r autoregistrierte Objekte k nnen ohne Einschr nkung Richtlinien erstellt werden Administratorhilfe 10
167. das Lupensymbol Alle in der zentralen Datenbank protokollierten Freignisse werden in der Ereignisanzeige angezeigt Die einzelnen Spalten zeigen folgende Informationen zu den protokollierten Ereignissen Beschreibung Zeigt eine Nummer zur Identifizierung des Ereignisses Ereignis Zeigt den Freignistext d h eine Beschreibung des Ereignisses Kategorie Zeigt die Klassifizierung des Ereignisses durch die Quelle z B Verschl sselung Anmeldung System Anwendung Zeigt den Bereich der Software der das Ereignis bermittelt hat z B SGMAuth SGBaseENc SGMAS Computer Zeigt den Namen des Computers auf dem das protokollierte Ereignis aufgetreten ist Computerdom ne Zeigt die Dom ne des Computers auf dem das protokollierte Ereignis aufgetreten ist Benutzer Zeigt den Benutzer der beim Auftreten des Ereignisses angemeldet war Benutzerdom ne Zeigt die Dom ne des Benutzers der beim Auftreten des Ereignisses angemeldet war Zeitpunkt der Protokollierung Zeigt Systemdatum und Systemuhrzeit der Protokollierung des Ereignisses auf dem Endpoint Durch Klicken auf den Spalten Header l sst sich die Ereignisanzeige nach Ebene Kategorie usw sortieren Dar ber hinaus steht ber das Kontextmen der einzelnen Spalten eine Reihe von Funktionen f r die Sortierung Gruppierung und Anpassung der Ereignisanzeige zur Verf gung Wenn Sie auf einen Eintrag in der Ereignisanzeige doppelklicken werden Det
168. das SafeGuard Management Center ber das Start Men Der Konfigurationsassistent wird gestartet und f hrt Sie durch die notwendigen Schritte 2 Klicken Sie auf der Willkommen Seite auf Weiter Konfigurieren der Datenbankserver Verbindung Zum Speichern aller SafeGuard Enterprise spezifischen Verschl sselungsrichtlinien und Einstellungen wird eine Datenbank verwendet Damit das SafeGuard Management Center mit dem SafeGuard Enterprise Server kommunizieren kann m ssen Sie eine Authentisierungsmethode f r den Zugriff auf die Datenbank festlegen entweder Windows NT Authentisierung oder SQL Authentisierung Wenn Sie eine Verbindung zum Datenbankserver mit SQL Authentisierung herstellen m chten stellen Sie sicher dass Sie die notwendigen SQL Anmeldedaten zur Hand haben Falls notwendig erhalten Sie diese Informationen von Ihrem SQL Administrator 1 F hren Sie auf der Seite Datenbankserver Verbindung folgende Schritte aus m W hlen Sie unter Verbindungseinstellungen den SQL Datenbankserver aus der Datenbankserver Liste aus Es werden alle Rechner eines Netzwerks aufgelistet auf denen ein Microsoft SQL Server installiert ist Wenn der Server nicht ausw hlbar ist tragen Sie Servername bzw IP Adresse mit dem SQL Instanznamen manuell ein E Aktivieren Sie SSL verwenden um die Verbindung zwischen SafeGuard Management Center und SQL Datenbankserver zu sichern Wenn Sie SQL Server Authentisierung ausgew hlt haben empfehlen wir dringend d
169. das entschl sselte Laufwerk im Windows PE Dateimanager aus D la x Fie Edt New Favorites Go view Toos Hep 2 2 9 9 loo ix pe Islxl l eee e ajaaa Bice nm a E Recycle Bin z Normal Ir Overwrite I Zip Password I Relative Path I Update I Hidden System 2 object s 0 object s selected D 72 64 MB free 86 25 MB total Quick Launch Text Editor FM Extra Find File Hex Viewer Image Viewer jelsa l a 8 kesl Der Inhalt des entschl sselten Laufwerks wird nun im Dateimanager angezeigt Das Dateisystem und die Kapazit t sowie der benutzte freie Speicherplatz werden nun in den Eigenschaften des entschl sselten Laufwerks angegeben Der Zugriff auf die Daten die auf dieser Partition gespeichert sind ist wiederhergestellt Nach der erfolgreichen Entschl sselung haben Sie auf dem entsprechenden Laufwerk Lese und Schreibzugriff f r Daten Sie k nnen Daten vom und auf das Laufwerk kopieren 29 2 7 Challenge Response f r Sophos SafeGuard Clients Standalone SafeGuard Enterprise bietet Challenge Response f r Recovery Vorg nge z B wenn der Benutzer sein Kennwort vergessen oder es zu oft falsch eingegeben hat auch f r 253 SafeGuard Enterprise 29 2 7 1 254 Standalone Endpoints Sophos SafeGuard Clients Standalone Standalone Endpoints haben nie eine Verbindung zum SafeGuard Enterprise Server auch nicht vor bergehe
170. den um die Verbindung zum und vom Datenbankserver zu sichern 3 Klicken Sie auf Weiter Die Verbindung zum Datenbankserver ist hergestellt Erstellen oder Ausw hlen einer Datenbank Hinweis Wenn Sie SafeGuard Enterprise und SafeGuard LAN Crypt parallel verwenden verwenden Sie verschiedene Datenbanken Legen Sie auf der Seite Datenbankeinstellungen fest ob eine existierende Datenbank oder eine neue Datenbank zum Speichern der Administrationsdaten benutzt werden soll 1 Gehen Sie wie folgt vor E Wenn noch keine Datenbank existiert w hlen Sie Eine neue Datenbank mit folgendem Namen erstellen Geben Sie einen Namen f r die neue Datenbank ein Sie ben tigen dazu die entsprechenden SQL Zugriffsberechtigungen Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung Um Probleme zu vermeiden sollten in SafeGuard Enterprise Datenbanknamen nur folgende Zeichen verwendet werden Buchstaben A Z a z Zahlen 0 9 Unterstriche _ E Wenn bereits eine Datenbank angelegt wurde oder wenn Sie das SafeGuard Management Center bereits auf einem anderen Computer installiert haben klicken Sie auf Folgende bestehende Datenbank w hlen und w hlen Sie die entsprechende Datenbank aus der Liste aus 2 Klicken Sie auf Weiter Administratorhilfe 5 6 Erstellen eines Haupt Sicherheitsbeauftragten Master Security Officer MSO Als Sicherheitsbeauftragter melden Sie sich am SafeGuard Management Cent
171. den am Endpoint nach der Installation gefragt wo die Schl sseldatei gespeichert werden soll Die Schl ssel Recovery Datei XML wird f r die Durchf hrung von Recovery Vorg ngen bei durch Sophos SafeGuard gesch tzten Endpoints ben tigt Sie wird auf allen durch Sophos SafeGuard gesch tzten Endpoints erzeugt Hinweis Stellen Sie sicher dass diese Schl ssel Recovery Datei an einem Speicherort abgelegt wird auf den die Mitarbeiter des Helpdesk Zugriff haben Die Dateien k nnen dem Helpdesk auch durch andere Mechanismen zug nglich gemacht werden Die Datei ist mit dem Unternehmenszertifikat verschl sselt Sie kann also auch auf externen Medien oder auf dem Netzwerk gespeichert werden um sie dem Helpdesk f r Recovery Vorg nge zur Verf gung zu stellen Sie kann auch per E Mail verschickt werden Unter POA Gruppe k nnen Sie eine POA Gruppe ausw hlen die dem Endpoint zugeordnet wird POA Benutzer k nnen f r administrative Aufgaben auf den Endpoint zugreifen nachdem die SafeGuard Power on Authentication aktiviert wurde Um POA Benutzer zuzuweisen m ssen Sie die POA Gruppe zun chst im Bereich Benutzer amp Computer des SafeGuard Management Center anlegen 8 Geben Sie einen Ausgabepfad f r das Konfigurationspaket MSI an 9 Klicken Sie auf Konfigurationspaket erstellen Das Konfigurationspaket MSI wird im angegebenen Verzeichnis angelegt Im n chsten Schritt verteilen Sie das Paket an die Endpoints zur Installation
172. den in folgenden F llen verwendet m Zum Erneuern des Unternehmenszertifikats wenn dieses bald abl uft Die Erneuerung des Unternehmenszertifikats ist f r zentral verwaltete Endpoints und Standalone Endpoints m glich Der Vorgang kann jedoch nur von der Management Konsole aus ausgel st werden m Zum Verschieben von Standalone Endpoints in eine andere Umgebung wenn Sie zum Beispiel zwei verschiedene Sophos SafeGuard Umgebungen haben und Sie diese in eine Sophos SafeGuard Umgebung zusammenf hren m chten Eine der beiden Umgebungen muss hier jeweils die Ziel Umgebung sein Hierzu wird das Unternehmenszertifikat der Endpoints einer Umgebung durch das Unternehmenszertifikat der Zielumgebung ausgetauscht Hinweis Nur Haupt Sicherheitsbeauftragte sind zum Erzeugen von CCOs berechtigt Um andere Sicherheitsbeauftragte dazu zu berechtigen CCOs zu erzeugen muss der Hauptsicherheitsbeauftragte eine benutzerdefinierte Rolle erstellen und dieser das Recht CCOs verwalten zuweisen Erneuern des Unternehmenszertifikats Ein Unternehmenszertifikat das bald abl uft kann im SafeGuard Management Center erneuert werden Sechs Monate vor Ablauf des Unternehmenszertifikat wird bei jeder Anmeldung an das SafeGuard Management Center eine Warnung angezeigt Ohne g ltiges Unternehmenszertifikat k nnen Endpoints keine Verbindung mit dem Server herstellen Die Erneuerung des Unternehmenszertifikats erfolgt in drei Schritten m Erzeugen einer Certificate
173. den zur Hardware Konfigurationsdatei hinzugef gt F r weitere Informationen siehe http www sophos com de de support knowledgebase 110285 asp Die folgenden Hotkeys werden in der SafeGuard POA unterst tzt Shift F3 USB Legacy Unterst tzung An Aus Shift F4 VESA Grafikmodus Aus An Shift F5 USB 1 x und 2 0 Unterst tzung Aus An Shift F6 ATA Controller Aus An Shift F7 nur USB 2 0 Unterst tzung Aus An USB 1 x Unterst tzung bleibt wie ber Shift F5 gesetzt Shift F9 ACPV APIC Aus An USB Hotkeys Abh ngigkeitsmatrix Shift F3 Shift F5 Shift F7 Legacy USB 1 x USB 2 0 Anmerkung 3 Standard l Shift F5 deaktiviert sowohl die Unterst tzung von USB 1 x als auch von USB 2 0 Hinweis Wenn Sie Shift F5 dr cken reduziert sich die Wartezeit bis zum Starten der SafeGuard POA erheblich Beachten Sie jedoch dass bei Benutzung einer USB Tastatur oder einer USB Maus am betreffenden Computer diese Ger te durch Dr cken von Shift F5 m glicherweise deaktiviert werden Administratorhilfe 2 Wenn die USB Unterst tzung nicht aktiviert ist versucht die SafeGuard POA BIOS SMM zu benutzen anstatt den USB Controller zu sichern und wiederherzustellen Der Legacy Modus kann in diesem Szenario funktionieren 3 Die Legacy Unterst tzung ist aktiviert die USB Unterst tzung ist aktiviert Die SafeGuard POA versucht den USB Controller zu sichern und wiederherzustellen
174. der Benutzer versucht von einem anderen Computer auf das Volume zuzugreifen ist dies m glich weil jetzt erneut bereinstimmung zwischen den KEKs im KSA und den Schl sselringen der anderen Benutzer oder Computer besteht Beispiel Alice besitzt ihren individuellen Benutzerschl ssel Immer wenn sie sich an ihrem anderen Computer anmeldet Laptop_Alice hat sie keinen Zugriff auf das Volume das mit dem Bootschl ssel des Computers SGNCLT verschl sselt ist Der durch SafeGuard Enterprise gesch tzte Endpoint SGMCLT besitzt nur seinen eigenen Bootschl ssel BOOT_SGMCILT Der Sicherheitsbeauftragte teilt Alice den Bootschl ssel BOOT_SGNCLT auf folgende Weise zu 1 Auswahl des Benutzers Alice 2 Klick auf das Fernglas Symbol in der SafeGuard Enterprise Symbolleiste Das startet den Suchdialog in dem auch Bootschl ssel angezeigt werden k nnen 3 Auswahl des Schl ssels BOOT_SGMCLT Jetzt verf gt Alice ber zwei Schl ssel User_Alice und BOOT_SGMCLT Das kann unter Schl ssel und Zertifikate nachgepr ft werden Der Schl ssel BOOT_SGMCLT ist zweimal zugewiesen zum Computer SGMCLT und zum Benutzer Alice Alice istes nun m glich auf das verschl sselte Volume von jedem anderen SafeGuard Enterprise Client zuzugreifen auf dem sie sich anmelden kann Dann kann sie auf einfache Weise Tools wie den Windows Explorer oder regedit exe verwenden um die Ursache des Bootpr
175. der den Benutzer zur Ausf hrung der angeforderten Aktion auf dem Computer berechtigt Hinweis F r ein Challenge Response Verfahren ben tigen Sie das Zugriffsrecht Voller Zugriff f r die beteiligten Computer Benutzer 1 Der Benutzer fordert auf dem Endpoint einen Challenge Code an Je nach Recovery Typ wird der Challenge Code in der SafeGuard Power on Authentication oder ber das KeyRecovery Tool angefordert Es wird ein Challenge Code aus Ziffern und Buchstaben erzeugt und angezeigt 2 Der Benutzer wendet sich an den Helpdesk und bermittelt die notwendige Identifizierungsinformationen sowie den Challenge Code 3 Der Helpdesk Beauftragte startet den Recovery Assistenten im SafeGuard Management Center 4 Der Helpdesk Beauftragte w hlt den entsprechenden Recovery Typ best tigt die Identifikationsinformationen sowie den Challenge Code und w hlt die gew nschte Recovery Aktion aus Ein Response Code in Form einer ASCII Zeichenfolge wird generiert und angezeigt 5 Der Helpdesk bermittelt den Response Code per Telefon oder Text Mitteilung an den Benutzer 6 Der Benutzer gibt den Response Code ein Je nach Recovery Typ erfolgt dies in der SafeGuard POA oder ber das KeyRecovery Tool Der Benutzer kann die autorisierte Aktion z B R cksetzen des Kennworts ausf hren und wieder mit dem Computer arbeiten Wann muss der Benutzer sein Kennwort ndern Im Rahmen eines SafeGuard Enterprise Recovery Vorgangs muss der Be
176. der in der POA gestellten Fragen an wie viele Fragen die Benutzer in der SafeGuard POA beantworten m ssen wenn Sie sich mit Local Self Help anmelden Die in der SafeGuard POA angezeigten Fragen werden per Zufallsprinzip aus den Fragen die der Benutzer im Local Self Help Assistenten beantwortet hat ausgew hlt Der im Feld Mindestanzahl der verf gbaren Fragen Antworten angegebene Wert muss h her sein als der Wert im Feld Anzahl der in der POA gestellten Fragen Ist dies nicht der Fall so wird beim Speichern Ihrer nderungen eine Fehlermeldung angezeigt Die Felder haben folgende Standardwerte E Mindestanzahl der verf gbaren Fragen Antworten 10 E Anzahl der in der POA gestellten Fragen 5 3 Speichern Sie Ihre nderungen in der Datenbank Die festgelegten Werte f r die Fragenanzahl gelten f r die Local Self Help Konfiguration die an die Endpoints bertragen wird 29 1 4 Verwenden der Vorlage 236 F r Local Self Help ist ein vordefiniertes Fragenthema verf gbar Sie finden dieses Fragenthema im SafeGuard Management Center unter Local Self Help Fragen Sie k nnen das vordefinierte Fragenthema unver ndert verwenden bearbeiten oder l schen Administratorhilfe 29 1 5 Import von Fragenthemen 29 1 6 Mit dem Importvorgang k nnen Sie Ihre eigenen als XML Dateien angelegten Fragenlisten importieren 1 Erstellen Sie ein neues Fragenthema siehe Erstellen eines neuen Fragenthemas und Hinzuf gen von Fr
177. deren Medien au er von der fest eingebauten Festplatte unterst tzen So erhalten Sie wieder Zugriff auf die verschl sselten Daten auf dem Computer 1 Sie erhalten die SafeGuard Enterprise Recovery Disk vom technischen Support F r den Helpdesk steht die Windows PE Recovery Disk mit den aktuellen Sophos SafeGuard Filtertreibern auf der Sophos Support Website zum Download zur Verf gung F r weitere Informationen siehe http www sophos com de de support knowledgebase 108805 aspx 2 Legen Sie die Windows PE Recovery Disk ein 3 Starten Sie den Computer von der Recovery Disk und f hren Sie ein Challenge Response mit einem virtuellen Client durch F r weitere Informationen siehe Challenge Response mit virtuellen Clients Seite 247 Der Zugriff auf die Daten die auf dieser Partition gespeichert sind ist wiederhergestellt Hinweis Je nach verwendetem BIOS funktioniert das Booten von der Disk u U nicht Besch digter MBR Zur Problembehebung im Fall eines besch digten MBR bietet SafeGuard Enterprise das Tool BE_Restore exe Eine detaillierte Beschreibung zur Wiederherstellung eines besch digten MBR finden Sie in der SafeGuard Enterprise Tools Anleitung Code Es kann auf eine Festplatte mit einem besch digten Kernel Bootcode zugegriffen werden Denn Schl ssel werden getrennt vom Kernel in der so genannten KSA Key Storage Area gespeichert Durch die Trennung von Kernel und Schl sseln k nnen solche Laufwerke angesch
178. derlich ist muss dem Helpdesk zur Verf gung stehen z B ber eine Netzwerkfreigabe 251 SafeGuard Enterprise 29 2 6 8 29 2 6 9 29 2 6 10 252 2 Klicken Sie auf Weiter Die Seite f r die Eingabe des Challenge Codes wird angezeigt Der angeforderte Schl ssel wird mit dem Response Code an die Benutzerumgebung bertragen Auswahl des angeforderten Schl ssel mehrere Schl ssel Voraussetzung Diese Option ist nur f r zentral verwaltete Endpoints verf gbar Sie m ssen die Schl sseldatei zuvor im SafeGuard Management Center unter Schl ssel imd Zertifikate angelegt haben und das Kennwort mit dem die Datei verschl sselt ist muss in der Datenbank gespeichert sein Sie m ssen den erforderlichen virtuellen Client im Recovery Assistenten des SafeGuard Management Center sowie die Recovery Aktion Kennwort f r Schl sseldatei angefordert ausgew hlt haben 1 Um eine Schl sseldatei auszuw hlen klicken Sie auf die Schaltfl che neben dieser Option Klicken Sie in Schl sseldatei auf Jetzt suchen W hlen Sie die Schl sseldatei aus und klicken Sie auf OK 2 Klicken Sie zur Best tigung auf Weiter Die Seite f r die Eingabe des Challenge Codes wird angezeigt Eingabe des Challenge Codes und Erzeugen des Response Codes Voraussetzung Sie m ssen den erforderlichen virtuellen Client im Recovery Assistenten des SafeGuard Management Center sowie die erforderliche Recovery Aktion ausgew hlt haben 1 Geben
179. des Endpoint meldet sich der Rollout Beauftragte an 3 Der Rollout Beauftragte wird zur SafeGuard POA hinzugef gt und die POA wird aktiv Der Rollout Benutzer wird Besitzer des Endpoint Wenn der Endbenutzer den Endpoint erh lt kann er sich nicht an der SafeGuard POA anmelden Er muss ein Challenge Response Verfahren durchf hren Um zu verhindern dass administrative Vorg nge auf einem durch SafeGuard Enterprise gesch tzten Endpoint bewirken dass die SafeGuard Power on Authentication aktiviert wird und Rollout Beauftragte als Benutzer zum Endpoint hinzugef gt werden erm glicht SafeGuard Enterprise das Anlegen von Listen mit Service Accounts Die in den Listen enthaltenen Benutzer werden dadurch als SafeGuard Enterprise Gastbenutzer behandelt Mit Service Accounts ergibt sich folgendes Szenario 1 SafeGuard Enterprise wird auf einem Endpoint installiert 2 Der Endpoint wird neu gestartet und ein Rollout Beauftragter der in einer Service Account Liste aufgef hrt ist meldet sich an 3 Gem der auf den Computer angewendeten Service Account Liste wird der Benutzer als Service Account erkannt und als Gastbenutzer behandelt Der Rollout Beauftragte wird nicht zur SafeGuard POA hinzugef gt und die POA wird nicht aktiviert Der Rollout Beauftragte wird nicht Besitzer des Endpoint Der Endbenutzer kann sich anmelden und die SafeGuard POA aktivieren Hinweis Service Account Listen werden den Endpoints ber Richtlinien zugewiesen
180. die relevante Arbeitsgruppe Falls die Arbeitsgruppe Mitglieder hatte werden diese ebenfalls gel scht Bei der n chsten Anmeldung werden sie wieder autoregistriert Um eine Arbeitsgruppe zu l schen ben tigen Sie das Zugriffsrecht Voller Zugriff f r alle beteiligten Objekte 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Rechts klicken Sie im rechten Navigationsbereich auf der Arbeitsgruppe die gel scht werden soll und w hlen Sie L schen 3 Klicken Sie zur Best tigung auf OK Die Arbeitsgruppe wird gel scht Eventuelle Mitglieder werden ebenfalls gel scht Hinweis Wenn Sie das Zugriffsrecht Voller Zugriff nicht f r alle Mitglieder der Arbeitsgruppe haben schl gt das L schen der Arbeitsgruppe fehl und es wird eine Fehlermeldung angezeigt 45 SafeGuard Enterprise 10 2 7 10 2 8 46 Erstellen einer neuen Dom ne Als Sicherheitsbeauftragter mit den n tigen Berechtigungen k nnen Sie unter dem Stammverzeichnis eine neue Dom ne anlegen Sie sollten nur neue Dom nen anlegen wenn Sie keine Dom nen aus dem Active Directory AD importieren wollen oder k nnen z B weil kein AD vorhanden ist 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Rechts klicken Sie im linken Navigationsfenster auf Stamm Filter ist aktiv und w hlen Sie im Kontextmen Neu gt Neue Dom ne erzeugen autom Registrierung 3 In Allgemeine Informationen machen Si
181. die Benutzer zur Definition eigener Fragen zu berechtigen w hlen Sie in diesem Feld die Einstellung Ja Challenge Response C R Recovery f r die Anmeldung ber C R aktivieren Legt fest ob ein Benutzer in der SafeGuard Power on Authentication POA eine Challenge erzeugen darf um ber ein Challenge Response Verfahren wieder Zugang zu seinem Computer zu erhalten Ja Benutzer darf Challenge erzeugen In diesem Fall kann der Benutzer ber ein Challenge Response Verfahren in Notf llen wieder Zugang zu seinem Computer erhalten Nein Benutzer darf keine Challenge erzeugen In diesem Fall kann der Benutzer im Notfall kein Challenge Response Verfahren starten um wieder Zugang zu seinem Computer zu erhalten Automatische Anmeldung an Windows erlauben Erlaubt dem Benutzer nach einer Authentisierung per Challenge Response die automatische Anmeldung an Windows Ja Benutzer wird automatisch an Windows angemeldet Nein Windows Anmeldebildschirm erscheint Beispiel Ein Benutzer hat sein Kennwort vergessen SafeGuard Enterprise meldet ihn nach Austausch von Challenge und Response ohne SafeGuard Enterprise Kennwort am Endpoint an In diesem Fall wird die automatische Anmeldung an Windows ausgeschaltet und der Windows Anmeldebildschirm erscheint Da der Benutzer sein SafeGuard Enterprise Windows Kennwort nicht wei kann er sich nicht anmelden Mit Ja wird eine automatische Anmeldung erlaubt und der Benutzer bleibt n
182. diese Ordner nicht verschl sselt werden 1 W hlen Sie im Richtlinien Navigationsbereich Cloud Storage Definitionen 2 Klicken Sie im Kontextmen von Cloud Storage Definitionen auf Neu gt Cloud Storage Definition 3 Der Neue Cloud Storage Definition Dialog wird angezeigt Geben Sie einen Namen f r die Cloud Storage Definition ein 4 Klicken Sie auf OK Die Cloud Storage Definition wird mit dem eingegebenen Namen unter dem Stammknoten Cloud Storage Definitionen im Richtlinien Navigationsbereich angezeigt 5 W hlen Sie die Cloud Storage Definition aus Im Arbeitsbereich auf der rechten Seite wird der Inhalt der Cloud Storage Definition angezeigt E Name des Ziels Der zu Beginn eingegebene Name Dieser wird zur Referenzierung der Cloud Storage Definition als Ziel f r eine Richtlinie des Typs Ger teschutz benutzt E Synchronisierungsapplikation Geben Sie den Pfad und die Anwendung f r die Synchronisierung der Daten mit der Cloud ein zum Beispiel lt Desktop gt dropbox dropbox exe Die Applikation muss sich auf einem lokalen Laufwerk befinden E Synchronisierungsordner Geben Sie den die Ordner ein der die mit der Cloud synchronisiert wird werden Es werden nur lokale Pfade unterst tzt Hinweis F r Pfade in den Einstellungen Synchronisierungsapplikation und Synchronisierungsordner werden die gleichen Platzhalter wie f r File Encryption unterst tzt siehe Platzhalter f r Pfade in File Encryption Verschl sselungsregeln
183. dung mit Token eine falsche PIN eingibt tritt keine Anmeldeverz gerung ein Sie k nnen die Anzahl an erlaubten Anmeldeversuchen in einer Richtlinie vom Typ Authentisierung ber die Option Maximalanzahl von erfolglosen Anmeldeversuchen festlegen Wenn die Maximalanzahl an erfolglosen Anmeldeversuchen erreicht ist wird der Endpoint gesperrt Um eine Computersperre aufzuheben kann der Benutzer ein Challenge Response Verfahren starten Registrieren weiterer SafeGuard Enterprise Benutzer Der erste Benutzer der sich in Windows anmeldet ist automatisch in der SafeGuard POA registriert Zun chst kann sich kein weiterer Windows Benutzer in der SafeGuard POA anmelden Weitere Benutzer m ssen mit Hilfe des ersten Benutzers importiert werden Eine detaillierte Beschreibung zum Importieren weiterer Benutzer finden Sie in der SafeGuard Enterprise Benutzerhilfe Eine Richtlinieneinstellung legt fest wer einen neuen Benutzer importieren darf Sie finden diese Richtlinie im SafeGuard Management Center unter Richtlinien E Typ Spezifische Computereinstellungen E Feld Registrieren von neuen SGN Benutzern erlauben Standardeinstellung Besitzer Wer der Besitzer eines Endpoint ist wird im SafeGuard Management Center festgelegt unter Benutzer und Computer E lt Endpoint Name gt markieren E Registerkarte Benutzer Hinweis SafeGuard Enterprise bietet POA Benutzer POA Benutzer sind vordefinierte lokale Benutzerkonten die es Benutzern z B
184. e Aktion ausf hrt muss ein anderer Benutzer sie best tigen Die zus tzliche Autorisierung l sst sich sowohl vordefinierten als auch benutzerdefinierten Rollen zuweisen Sobald es mindestens zwei Beauftragte mit der gleichen Rolle gibt kann auch die eigene Rolle ausgew hlt werden Die Rolle die die zus tzliche Autorisierung durchf hren soll muss einem Benutzer zugewiesen sein und es m ssen mindestens zwei Benutzer in der SafeGuard Datenbank vorhanden sein Wenn die zus tzliche Autorisierung f r eine Aktion erforderlich ist ist sie auch dann erforderlich wenn der Benutzer eine weitere Rolle hat die die zus tzliche Autorisierung f r diese Aktion nicht erfordert Administratorhilfe 11 2 11 3 Wenn ein Sicherheitsbeauftragter ohne Berechtigung zum ndern der Einstellungen f r die zus tzliche Autorisierung eine Rolle anlegt werden die Einstellungen f r die zus tzliche Autorisierung der neuen Rolle gem den definierten Einstellungen f r den anlegenden Benutzer voreingestellt Anlegen einer neuen Rolle Voraussetzung Um eine neue Rolle anzulegen ben tigen Sie das Recht benutzerdefinierte Rollen einzusehen und zu verwalten Um die zus tzliche Autorisierung zuzuweisen ben tigen Sie das Recht Einstellungen f r zus tzliche Autorisierung ndern 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie mit der rechten Maustaste auf Benutzerdefinierte Rollen und w hlen Si
185. e Festplattenverschl sselung kann volume oder dateibasierend durchgef hrt werden mit unterschiedlichen Schl sseln und Algorithmen 165 SafeGuard Enterprise 21 1 1 21 1 1 1 166 Dateien werden transparent verschl sselt Wenn Benutzer Dateien ffnen bearbeiten und speichern werden sie nicht zur Ver oder Entschl sselung aufgefordert Als Sicherheitsbeauftragter legen Sie die Einstellungen f r die Verschl sselung in einer Sicherheitsrichtlinie vom Typ Ger teschutz fest F r weitere Informationen siehe Mit Richtlinien arbeiten Seite 88 und Ger teschutz Seite 150 Hinweis Die Festplattenverschl sselungsfunktionalit t die in den folgenden Abschnitten beschrieben wird kann nur mit BIOS Systemen verwendet werden Falls Sie andere Systeme wie z B UEFI verwenden verwenden Sie die integrierte Windows BitLocker Laufwerkverschl sselung N here Informationen finden Sie unter BitLocker Drive Encryption Seite 169 Volume basierende Festplattenverschl sselung Mit der volume basierenden Festplattenverschl sselung werden alle Daten auf einem Volume einschlie lich Boot Dateien Pagefiles Hibernation Files tempor re Dateien Verzeichnisinformationen usw verschl sselt Benutzer m ssen sich in ihrer Arbeitsweise nicht anpassen oder auf Sicherheit achten Um volume basierende Verschl sselung auf Endpoints anzuwenden erstellen Sie eine Richtlinie vom Typ Ger teschutz und w hlen Sie bei Verschl sselungsmodu
186. e Konfiguration muss durchgef hrt worden sein Um die Konfigurationsarbeiten zu erleichtern haben Sie folgende M glichkeiten E Mehrere Datenbankkonfigurationen erstellen E Zuvor erstellte Datenbankkonfiguration ausw hlen E Datenbankkonfiguration l schen E Zuvor erstellte Datenbankkonfiguration aus einer Datei importieren E Datenbankkonfiguration zur sp teren Wiederverwendung exportieren Erstellen von weiteren Datenbankkonfigurationen So erstellen Sie eine weitere SafeGuard Enterprise Datenbankkonfiguration nach der Erstkonfiguration 1 Starten Sie das SafeGuard Management Center Der Dialog Konfiguration ausw hlen wird angezeigt 2 Klicken Sie auf Neu Der SafeGuard Management Center Konfigurationsassistent wird automatisch gestartet Der Assistent f hrt Sie durch die notwendigen Schritte f r das Anlegen einer neuen Datenbankkonfiguration 3 Nehmen Sie die erforderlichen Einstellungen vor Die neue Datenbankkonfiguration wird erstellt 4 Zur Anmeldung an das SafeGuard Management Center werden Sie dazu aufgefordert den Namen des Sicherheitsbeauftragten f r diese Konfiguration auszuw hlen und Ihr Zertifikatsspeicherkennwort einzugeben Klicken Sie auf OK Das SafeGuard Management Center wird ge ffnet und mit der neuen Datenbankkonfiguration verbunden Wenn Sie das SafeGuard Management Center das n chste Mal starten k nnen Sie die neue Datenbank Konfiguration aus der Liste ausw hlen 29 SafeGuard
187. e Neu gt Neue benutzerdefinierte Rolle 3 Geben Sie im Dialog Neue benutzerdefinierte Rolle einen Namen und eine Beschreibung f r die Rolle ein 4 W hlen Sie die Aktionen f r diese Rolle W hlen Sie die Kontrollk stchen neben den gew nschten Aktionen in der Spalte Aktiv Aktionen werden nach Funktionsbereich sortiert und sind hierarchisch strukturiert Diese Struktur zeigt welche Aktionen vor der Durchf hrung bestimmter anderer Aktionen erforderlich sind 5 Falls erforderlich weisen Sie die zus tzliche Autorisierung zu Klicken Sie auf die Standardeinstellung Kein und w hlen Sie die gew nschte Rolle aus der angezeigten Dropdownliste Wenn ein Sicherheitsbeauftragter ohne die Berechtigung zum ndern der zus tzlichen Autorisierung eine Rolle anlegt wird die zus tzliche Autorisierung gem den Einstellungen der Rolle des betreffenden Sicherheitsbeauftragten vordefiniert Die zus tzliche Autorisierung kann ausgew hlt werden wenn sie f r mehr als eine Rolle des Sicherheitsbeauftragten eingestellt ist 6 Klicken Sie auf OK Die neue Rolle wird unter Benutzerdefinierte Rollen im Navigationsfenster angezeigt Wenn Sie die Rolle anklicken werden im rechten Aktionsbereich die zul ssigen Aktionen dargestellt Zuweisen einer Rolle zu einem Sicherheitsbeauftragten Voraussetzung Um eine Rolle zuzuweisen ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und zu ndern 1 W hlen Sie den gew nschten Sicherh
188. e Recovery Szenarien z B Kennwort Recovery Das Challenge Response Verfahren wird sowohl f r native SafeGuard Enterprise Computer als auch f r mit BitLocker verschl sselte Endpoints unterst tzt Das System ermittelt den Computertyp dynamisch Der Recovery Workflow wird dementsprechend angepasst Recovery Aktionen f r SafeGuard Enterprise Clients Der Recovery Workflow richtet sich danach f r welchen Typ von Endpoint das Recovery Verfahren angefordert wird Hinweis F r mit BitLocker verschl sselte Computer steht als Recovery Aktion nur die Wiederherstellung des Schl ssels der f r die Verschl sselung eines spezifischen Volumes verwendet wurde zur Verf gung Eine Recovery Aktion f r Kennw rter ist nicht verf gbar Wiederherstellen des Kennworts auf SafeGuard POA Ebene Eines der am h ufigsten auftretenden Recovery Szenarien besteht darin dass Benutzer ihr Kennwort vergessen haben SafeGuard Enterprise wird standardm ig mit aktivierter SafeGuard Power on Authentication POA installiert Das SafeGuard POA Kennwort mit dem auf den Computer zugegriffen wird ist identisch mit dem Windows Kennwort Wenn der Benutzer das Kennwort auf der SafeGuard POA Ebene vergessen hat generiert der Helpdesk Beauftragte eine Response mit der Option SGN Client mit Benutzeranmeldung booten ohne das Benutzerkennwort anzuzeigen In diesem Fall startet der Computer jedoch nach der Eingabe des Response Codes bis zum Betriebssystem Der Benutzer
189. e Zuweisung zu definieren oder zu ndern ben tigen Sie das Zugriffsrecht Voller Zugriff f r beide beteiligten Objekte Die UMA Anzeige zeigt die verf gbaren Benutzer Maschinen gefiltert nach Ihren Zugriffsrechten Hinweis Das Zuweisen einzelner Benutzer an einen Computer oder umgekehrt funktioniert analog zur Beschreibung f r Gruppen 1 Klicken Sie auf Benutzer amp Computer 2 Zum Zuweisen einer Gruppe von Computern zu einem Benutzer markieren Sie den Benutzer 3 Klicken Sie im Aktionsbereich auf die Registerkarte Computer Unter Verf gbare Computer werden alle Computer und Computergruppen angezeigt 4 Ziehen Sie die gew nschten Gruppen aus der Liste der Verf gbaren Gruppen in den Aktionsbereich 5 Ein Dialog in dem Sie gefragt werden ob der Benutzer Besitzer aller Computer werden k nnen soll wird angezeigt Ist f r einen Computer im SafeGuard Management Center kein Besitzer festgelegt wird der erste Benutzer der sich an diesen Computer anmeldet automatisch als Besitzer eingetragen Damit hat er das Recht anderen Benutzern Zugriff auf diesen Computer zu erlauben Voraussetzung daf r ist dass er das Recht Kann Besitzer werden besitzt E Beantworten Sie diese Frage mit Ja kann der Benutzer wenn er sich als erster an diesen Computer anmeldet Besitzer werden und damit weiteren Benutzern Zugriff gew hren E Beantworten Sie diese Frage mit Nein ist der Benutzer nicht Besitzer dieses Computers F r ein Serv
190. e als Vorlage benutzen Sie k nnen eine vordefinierte oder eine benutzerdefinierte Rolle als Vorlage ausw hlen Voraussetzung Die Verwendung von vorhandenen Rollen als Vorlage ist nur dann m glich wenn der derzeit authentisierte Sicherheitsbeauftragte alle Rechte hat die in dieser spezifischen Rollenvorlage enthalten sind Diese Funktion ist also u U f r Sicherheitsbeauftragte deren zul ssige Aktionen begrenzt sind nicht verf gbar 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte Administratorhilfe 11 7 11 3 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf die Rolle die Sie kopieren m chten und w hlen Sie Neu gt Neue Kopie der Rolle Unter Neue benutzerdefinierte Rolle werden alle Eigenschaften der vorhandenen Rolle bereits vorausgew hlt 3 Geben Sie einen neuen Namen f r diese Rolle ein und ndern Sie die Eigenschaften nach Wunsch 4 Klicken Sie auf das Speichern Symbol in der Symbolleiste um Ihre nderungen in der Datenbank zu speichern Die neue Rolle ist angelegt L schen einer Rolle Hinweis Vordefinierte Rollen k nnen nicht gel scht werden Voraussetzung Um eine Rolle zu l schen ben tigen Sie das Recht zum Einsehen und L schen von Sicherheitsbeauftragtenrollen 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen mit der rechten Maustaste auf die Rolle
191. e evaluiert Konflikte bei File Encryption Regeln Da einem Benutzer Computer mehrere File Encryption Richtlinien zugewiesen werden k nnen treten u U Konflikte auf Ein Regelkonflikt besteht wenn die Regeln dieselben Werte f r Pfad Modus und Unterverzeichnis enthalten jedoch unterschiedliche Schl ssel In diesem Fall gilt die Regel aus der File Encryption Richtlinie mit der h heren Priorit t Die andere Regel wird verworfen File Share und SafeGuard Data Exchange Mit SafeGuard Data Exchange lassen sich Daten die auf mit Endpoint Computern verbundenen Wechselmedien gespeichert werden verschl sseln und mit anderen Benutzern austauschen F r SafeGuard Data Exchange wird dateibasierende Verschl sselung benutzt Wenn sowohl SafeGuard Data Exchange als auch File Encryption auf einem Endpoint installiert ist kann es vorkommen dass eine SafeGuard Data Exchange Verschl sselungsrichtlinie f r ein Laufwerk auf dem Computer definiert ist und gleichzeitig File Encryption Richtlinien f r Ordner auf demselben Laufwerk gelten Ist dies der Fall so erh lt die SafeGuard Data Exchange Richtlinie Vorrang vor den File Encryption Richtlinien Neue Dateien werden gem der SafeGuard Data Exchange Richtlinie verschl sselt F r weitere Informationen zu SafeGuard Data Exchange siehe SafeGuard Data Exchange Seite 192 191 SafeGuard Enterprise 24 SafeGuard Data Exchange 24 1 24 2 192 Mit SafeGuard Data Exchange lassen sic
192. e folgende Angaben zum Dom nen Controller Alle drei Namenseintr ge m ssen korrekt sein Ansonsten wird die Dom ne nicht synchronisiert a Vollst Name z B rechnername dom ne com oder die IP Adresse des Dom nen Controllers b Distinguished Name DNS Name z B DC rechnername3 DC dom ne DC Land c Eine Dom nenbeschreibung optional d Netbios Name Name des Dom nen Controllers e Unter Verbindungsstatus wird der Typ des Objekts angezeigt in diesem Fall Dom ne f Aktivieren Sie Richtlinienvererbung stoppen wenn gew nscht g Klicken Sie auf OK Die neue Dom ne wird angelegt Ein Benutzer und oder ein Computer wird bei der Autoregistrierung automatisch dieser Dom ne zugeordnet Unterhalb des Dom nen Containers wird das Standardverzeichnis Automatisch registriert angelegt Es kann weder umbenannt noch gel scht werden Umbenennen einer Dom ne Als Sicherheitsbeauftragter mit den n tigen Berechtigungen k nnen Sie eine Dom ne umbenennen und weitere Eigenschaften f r sie festlegen Sie ben tigen das Zugriffsrecht Voller Zugriff f r die relevante Dom ne 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Rechts klicken Sie im linken Navigationsfenster auf der Dom ne die umbenannt werden soll und w hlen Sie Eigenschaften 3 ndern Sie in Allgemeine Informationen unter Vollst Name den Namen der Dom ne und die Beschreibung 4 In Netbios Name k nnen Sie den Namen des Dom
193. e haben das Zugriffsrecht Voller Zugriff f r den relevanten Benutzer So weisen Sie ein auf einem Token verf gbares Zertifikat einem Benutzer zu 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer Administratorhilfe 27 1 3 2 Stecken Sie den Token an der USB Schnittstelle ein SafeGuard Enterprise liest den Token ein 3 W hlen Sie den Benutzer aus dem Sie ein Zertifikat zuweisen wollen und ffnen Sie im rechten Arbeitsbereich die Registerkarte Zertifikat 4 Klicken Sie auf das Symbol Zertifikat von Token zuweisen in der SafeGuard Management Center Symbolleiste 5 W hlen Sie das passende Zertifikat aus der Liste aus und geben Sie die Token PIN ein 6 Klicken Sie auf OK Das Zertifikat wird dem Benutzer zugewiesen Einem Benutzer kann jeweils nur ein Zertifikat zugewiesen sein ndern des Zertifikats eines Benutzers Sie k nnen die f r die Anmeldung erforderlichen Zertifikate ndern oder erneuern indem Sie im SafeGuard Management Center ein neues Zertifikat zuweisen Das Zertifikat wird als Standby Zertifikat neben dem bereits vorhandenen Zertifikat zugewiesen Der Benutzer ndert das Zertifikat auf dem Endpoint indem er sich mit dem neuen Zertifikat anmeldet Hinweis Sollten Benutzer ihre Token verlieren oder sollten Token manipuliert worden sein so tauschen Sie die Token nicht aus indem Sie neue Zertifikate wie hier beschrieben zuweisen Andernfalls k nnen Probleme auftreten So is
194. e klicken wird ein Dialog ge ffnet in dem eine weitere Textdatei ausgew hlt werden kann Der in dieser Datei enthaltene Text wird am Ende des bestehenden Texts eingef gt Sprache der SafeGuard POA Dialogtexte Alle Texte in der SafeGuard POA werden nach der Installation der SafeGuard Enterprise Verschl sselungssoftware mit den Standardeinstellungen in der Sprache angezeigt die bei der Installation von SafeGuard Enterprise in den Regions und Sprachoptionen von Windows als Standardsprache am Endpoint eingestellt ist Sie k nnen die Sprache der SafeGuard POA Dialogtexte nach der Installation von SafeGuard Enterprise mit einer der beide folgenden Methoden umstellen Mm ndern Sie die Standardsprache in den Windows Regions und Sprachoptionen auf dem Endpoint Nachdem der Benutzer den Endpoint zweimal neu gestartet hat ist die neue Spracheinstellung in der SafeGuard POA aktiv E Erstellen Sie eine Richtlinie des Typs Allgemeine Einstellungen legen Sie die Sprache im Feld Sprache am Client fest und bertragen Sie die Richtlinie auf den Endpoint Hinweis Wenn Sie eine Richtlinie erstellen und sie an den Endpoint bertragen gilt die in der Richtlinie festgelegte Sprache anstelle der in den Windows Regions und Sprachoptionen angegebenen Sprache 109 SafeGuard Enterprise 16 3 4 Tastaturlayout 110 Beinahe jedes Land hat ein eigenes Tastaturlayout In der SafeGuard POA macht sich das Tastaturlayout bei der Eingabe von Benutz
195. e_install sql erstellt eine gespeicherte Prozedur die Daten aus der EVENT Tabelle in eine Backup Log Tabelle mit dem Namen EVENT_BACKUP verschiebt Wenn die Tabelle EVENT_BACKUP noch nicht vorhanden ist wird sie automatisch erstellt Die erste Zeile lautet USE SafeGuard Wenn Sie f r Ihre SafeGuard Enterprise Datenbank einen anderen Namen als SafeGuard verwendet haben ndern Sie den Namen hier entsprechend 279 SafeGuard Enterprise Die gespeicherte Prozedur bel sst die lt n gt neuesten Ereignisse in der EVENT Tabelle und verschiebt den Rest in die Tabelle EVENT_BACKURP Die Anzahl an Ereignissen die in der EVENT Tabelle verbleiben sollen wird ber einen Parameter festgelegt Um die gespeicherte Prozedur auszuf hren verwenden Sie folgenden Befehl in SQL Server Management Studio New Query exec spShrinkEventTable 1000 Bei Verwendung dieses Beispielbefehls werden alle Ereignisse au er den neuesten 1000 verschoben 33 13 2 Anlegen eines Scheduled Job f r die Ausf hrung der gespeicherten 280 Prozedur Um die EVENT Tabelle in regelm igen Abst nden automatisch zu s ubern k nnen Sie einen Job am SQL Server anlegen Dieser Job kann ber das Skript ScheduledShrinkEventTable_install sql oder ber den SQL Enterprise Manager erstellt werden Hinweis Der Job funktioniert nicht bei SQL Express Datenbanken Damit der Job ausgef hrt werden kann muss der SQL Server Agent laufen Da bei SQL Server Expre
196. eben Sie einen Namen und optional eine Beschreibung f r die neue Richtlinie ein 5 W hlen Sie unter Ziel des Ger teschutzes die relevante White List E Wenn Sie eine White List f r Datentr germodelle erstellt haben wird sie unter Datentr germodelle angezeigt E Wenn Sie eine White List f r bestimmte Datentr ger erstellt haben wird sie unter Einzelne Datentr ger angezeigt 149 SafeGuard Enterprise 20 9 150 6 Klicken Sie auf OK Die White List ist als Ziel der Richtlinie vom Typ Ger teschutz ausgew hlt Nach der bertragung der Richtlinie an die Endpoints gilt der in der Richtlinie festgelegte Verschl sselungsmodus Ger teschutz Richtlinien des Typs Ger teschutz enthalten Einstellungen f r die Datenverschl sselungen auf unterschiedlichen Datentr gern Die Verschl sselung kann volume oder dateibasierend durchgef hrt werden mit unterschiedlichen Schl sseln und Algorithmen Richtlinien des Typs Ger teschutz enthalten auch Einstellungen f r SafeGuard Data Exchange SafeGuard Cloud Storage und SafeGuard Portable F r weitere Informationen zu SafeGuard Data Exchange siehe SafeGuard Data Exchange Seite 192 F r weitere Informationen zu SafeGuard Cloud Storage siehe Cloud Storage Seite 203 Weitere Informationen zu SafeGuard Data Exchange SafeGuard Cloud Storage und SafeGuard Portable auf dem Endpoint finden Sie in der SafeGuard Enterprise Benutzerhilfe Wenn Sie eine Richtlinie dieses Typs erstellen
197. echselmedien erzeugen auf Ja eingestellt F r Richtlinien vom Typ Ger teschutz f r Wechselmedien m ssen daher die Einstellungen M Schl ssel f r die Verschl sselung M F r Verschl sselung definierter Schl ssel unabh ngig voneinander spezifiziert werden Richtlinien f r durch SafeGuard Enterprise gesch tzte Standalone Endpoints Falls die Medien Passphrase Funktion f r Standalone Endpoints aktiviert ist wird der Medienverschl sselungsschl ssel automatisch als F r Verschl sselung definierter Schl ssel verwendet da auf Standalone Endpoints keine Gruppenschl ssel zur Verf gung stehen 153 SafeGuard Enterprise 154 Richtlinieneinstellung Benutzer darf einen lokalen Schl ssel erzeugen NETTE Diese Einstellung bestimmt ob Benutzer auf ihren Computern lokale Schl ssel erzeugen d rfen oder nicht Lokale Schl ssel werden auf dem Endpoint basierend auf einer vom Benutzer eingegebenen Passphrase erzeugt Die Anforderungen denen eine Passphrase entsprechen muss k nnen in Richtlinien vom Typ Passphrase festgelegt werden Diese Schl ssel werden ebenfalls in der Datenbank gespeichert Der Benutzer kann sie auf jedem Endpoint auf dem er sich anmelden darf verwenden Lokale Schl ssel k nnen zum sicheren Datenaustausch ber SafeGuard Data Exchange SG DX verwendet werden VOLUME BASIERENDE EINSTELLUNGEN Benutzer darf dem verschl sseltem Volume Schl ssel hinzuf gen oder diese
198. echt Pers nliche Schl ssel verwalten ist standardm ig der vordefinierten Rolle des Haupt Sicherheitsbeauftragten Master Security Officer zugewiesen Es kann jedoch auch neuen benutzerdefinierten Rollen zugewiesen werden Dar ber hinaus ben tigen Sie das Zugriffsrecht Voller Zugriff f r das relevante Objekt Sie k nnen aktive pers nliche Schl ssel manuell zur ckstufen wenn zum Beispiel ein Benutzer das Unternehmen verl sst Wenn Sie das Recht Pers nliche Schl ssel verwalten haben k nnen Sie den zur ckgestuften pers nlichen Schl ssel dieses Benutzers anderen Benutzern zuweisen um Ihnen Lesezugriff auf Dateien zu gew hren die mit diesem Schl ssel verschl sselt sind Der Schl ssel kann jedoch nicht zum Verschl sseln von Dateien verwendet werden 75 SafeGuard Enterprise 12 3 76 Hinweis Dieser Vorgang kann nicht r ckg ngig gemacht werden Ein zur ckgestufter pers nlicher Schl ssel kann nicht mehr als aktiver pers nlicher Schl ssel verwendet werden egal f r welchen Benutzer 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Navigationsbereich den gew nschten Benutzer 3 Klicken Sie in der Registerkarte Schl ssel mit der rechten Maustaste auf den gew nschten Aktiven pers nlichen Schl ssel und w hlen Sie Pers nlichen Schl ssel zur ckstufen aus dem Kontextmen Der Schl ssel wird zur ckgestuft Er ist immer noch ein pers nlicher Schl ssel kann j
199. echte Schreibgesch tzt oder Voller Zugriff f r die relevante POA Gruppe POA Benutzer werden Standalone Endpoints im Standalone Modus betrieben in Konfigurationspaketen zugewiesen 1 W hlen Sie im SafeGuard Management Center aus dem Men Extras den Befehl Konfigurationspakete 2 W hlen Sie ein vorhandenes Konfigurationspaket aus oder erstellen Sie ein neues 3 W hlen Sie eine POA Gruppe aus die Sie zuvor im Bereich Benutzer amp Computer des SafeGuard Management Center erstellt haben Dar ber hinaus steht standardm ig eine keine Liste Gruppe zur Auswahl zur Verf gung Diese Gruppe kann dazu verwendet werden die Zuweisung einer POA Gruppe auf Endpoints zu l schen 4 Geben Sie einen Ausgabepfad f r das Konfigurationspaket an 5 Klicken Sie auf Konfigurationspaket erstellen 6 Installieren Sie das Konfigurationspaket auf den Endpoints Durch Installation des Konfigurationspakets werden die Benutzer aus der Gruppe zur SafeGuard POA auf den Endpoints hinzugef gt Die POA Benutzer stehen f r die Anmeldung an die POA zur Verf gung Hinweis Wenn Sie Standalone Endpoints auf zentral verwaltete Endpoints migrieren bleiben die POA Benutzer aktiv wenn Sie auch im SafeGuard Management Center zugewiesen wurden Die in den POA Gruppen die mit Konfigurationspaketen installiert wurden gesetzten Kennw rter werden auf die im SafeGuard Management Center angegebenen Kennw rter gesetzt Kennw rter die mit F8 ge ndert wurd
200. edoch nicht mehr als aktiver pers nlicher Schl ssel verwendet werden Wenn eine File Encryption Verschl sselungsregel den pers nlichen Schl ssel f r die Verschl sselung vorsieht und der Benutzer keinen aktiven pers nlichen Schl ssel hat erzeugt der SafeGuard Enterprise Server diesen automatisch Zertifikate E Einem Benutzer kann jeweils nur ein Zertifikat zugewiesen sein Wenn dieses Benutzerzertifikat auf einem Token gespeichert ist k nnen die Benutzer sich nur mit diesem Token kryptographischer Token Kerberos an ihrem Endpoint anmelden E Beachten Sie dass beim Importieren eines Benutzerzertifikats sowohl der ffentliche als auch der private Bereich des Zertifikats importiert werden Wird nur der ffentliche Bereich importiert so wird nur die Anmeldung mit Token unterst tzt E Die Kombination aus CA Zertifikaten und CRL Certificate Revocation List Zertifikaten muss bereinstimmen Andernfalls k nnen sich die Benutzer nicht an den entsprechenden Endpoints anmelden Bitte berpr fen Sie ob die Kombination korrekt ist SafeGuard Enterprise bernimmt diese berpr fung nicht E Wenn Certification Authority CA Zertifikate in der Datenbank gel scht werden und Sie diese nicht mehr verwenden m chten sollten Sie diese Zertifikate manuell aus dem lokalen Speicher aller Administrator Computer entfernen SafeGuard Enterprise kann dann nur mit ablaufenden Zertifikaten umgehen wenn der alte und neue private Schl ssel au
201. egel f r ein BitLocker verschl sseltes 175 SafeGuard Enterprise 21 2 5 21 2 5 1 176 Laufwerk zugewiesen werden Der Benutzer kann dann die Entschl sselung starten indem er BitLocker f r das gew nschte Laufwerk ber die Option BitLocker Laufwerkverschl sselung in der Systemsteuerung deaktiviert BitLocker To Go Mit BitLocker To Go wurde in Microsoft Windows 7 die BitLocker Laufwerkverschl sselung erweitert BitLocker unterst tzt nun die Verschl sselung von internen Volumes und von Wechseldatentr gern auf Endpoints ber das Windows Explorer Kontextmen m Wenn der native SafeGuard Enterprise Device Encryption Client mit aktivierter BitLocker Unterst tzung installiert wurde wird BitLocker To Go unterst tzt E Wenn der SafeGuard Enterprise Device Encryption Client ohne aktivierte BitLocker Unterst tzung installiert wurde oder wenn der SafeGuard Data Exchange Client installiert wurde ist die Verschl sselung ber BitLocker To Go nicht kompatibel Sie muss in diesem Fall deaktiviert werden Die Verschl sselung von internen Volumes und von Wechseldatentr gern kann jedoch zentral und komfortabel in SafeGuard Enterprise Sicherheitsrichtlinien konfiguriert werden Volumes und Wechselmedien die vor der Installation von SafeGuard Enterprise mit BitLocker verschl sselt wurden bleiben lesbar Deaktivieren der BitLocker To Go Verschl sselung 1 W hlen Sie im Windows Gruppenrichtlinienverwaltungs Editor
202. eht Suchen Sie unter Importieren des Zertifikats die gesicherte Schl sseldatei Geben Sie unter Kennwort der Datei das f r diese Datei festgelegte Kennwort ein und best tigen Sie es W hlen Sie Schl sseldatei im Zertifikatsspeicher speichern und geben Sie das Kennwort f r den Speicher ein Klicken Sie auf OK Das Zertifikat wird importiert und unter Zertifikat f r den Haupt Sicherheitsbeauftragten angezeigt Der Haupt Sicherheitsbeauftragte ben tigt das Kennwort des Zertifikatsspeichers f r die Anmeldung am SafeGuard Management Center Notieren Sie sich das Kennwort und bewahren Sie es an einem sicheren Ort auf Steht das Kennwort nicht mehr zur Verf gung so kann sich der Haupt Sicherheitsbeauftragte nicht mehr am SafeGuard Management Center anmelden F r die Wiederherstellung einer besch digten SafeGuard Management Center Installation ben tigt der Haupt Sicherheitsbeauftragte die private Schl sseldatei 4 Klicken Sie auf Weiter Der Haupt Sicherheitsbeauftragte ist angelegt 17 SafeGuard Enterprise 5 6 1 5 6 2 5 6 3 18 Erzeugen des Zertifikats des Haupt Sicherheitsbeauftragten Gehen Sie in Zertifikat des Haupt Sicherheitsbeauftragten erzeugen folgenderma en vor 1 Best tigen Sie unter Haupt Sicherheitsbeauftragten ID den Namen des Haupt Sicherheitsbeauftragten 2 Geben Sie nun zweimal das Kennwort f r den Zertifikatsspeicher ein und klicken Sie auf OK Das Zertifikat des Haupt Sicherheitsbeauft
203. ei konnte nicht gefunden werden Unzul ssiger Dateipfad definiert Datei konnte nicht erzeugt werden Datei konnte nicht kopiert werden Keine Informationen ber ein Laufwerk vorhanden Die Position in einer Datei konnte nicht ge ndert werden Das Lesen von einer Datei ist fehlgeschlagen Es konnten keine Daten in eine Datei geschrieben werden Eine Datei konnte nicht entfernt werden Unzul ssiges Dateisystem Datei konnte nicht geschlossen werden Kein Zugriff auf eine Datei m glich Nicht genug Speicher vorhanden Unzul ssiger oder falscher Parameter definiert Ein Puffer f r Daten ist zu klein Ein DLL Modul konnte nicht geladen werden Eine Funktion oder ein Prozess wurde abgebrochen Kein Zugriff erlaubt Es ist kein Systemkern installiert Ein Programm konnte nicht gestartet werden Eine Funktion ein Objekt oder Daten sind nicht vorhanden Unzul ssiger Eintrag 311 SafeGuard Enterprise 312 Fehler ID Anzeige Ein Objekt existiert bereits Unzul ssiger Funktionsaufruf Es ist ein interner Fehler aufgetreten Es ist eine Zugriffsverletzung aufgetreten Funktion oder Modus wird nicht unterst tzt Deinstallation ist fehlgeschlagen Es ist ein Ausnahmefehler aufgetreten Der MBR Sektor der Festplatte konnte nicht ersetzt werden Taskplaner Dienst wurde wegen eines Ausn
204. eignisse werden nicht mit ihren vollst ndigen Ereignistexten in der SafeGuard Enterprise Datenbank protokolliert Nur die ID und die relevanten Parameterwerte werden in die Datenbanktabelle geschrieben Beim Abrufen der Ereignisse in der SafeGuard Management Center Ereignisanzeige werden die Parameterwerte zusammen mit den in der dll enthaltenen L ckentexten in die kompletten Ereignistexte umgesetzt Dies erfolgt in der jeweils benutzten Systemsprache des SafeGuard Management Center Die f r die Ereignistexte verwendeten L ckentexte lassen sich zum Beispiel durch SQL Abfragen bearbeiten und aufbereiten Sie k nnen hierzu eine Tabelle mit allen L ckentexten f r Ereignismeldungen erzeugen Danach k nnen Sie die L ckentexte nach Ihren Anforderungen anpassen So erstellen Sie eine Tabelle mit den Texten f r die einzelnen Ereignis IDs 1 W hlen Sie in der Men leiste des SafeGuard Management Center Extras gt Optionen 2 W hlen Sie in der Men leiste des SafeGuard Management Centers Extras gt Optionen 3 Klicken Sie im Bereich Texte f r Ereignisberichte auf die Schaltfl che Erzeuge Tabelle Die Tabelle mit den Texten f r die Bericht IDs wird in der jeweils aktuellen Sprache des SafeGuard Management Centers erstellt und kann angepasst werden Hinweis Vor jedem neuen Erstellen der L ckentexte wird die Tabelle jeweils geleert Wenn die Texte f r eine Sprache wie beschrieben erstellt wurden und ein Benutzer erstellt die Texte f r
205. eim Erstellen von Richtlinien ausgew hlt werden Sie k nnen so weitere Bilder registrieren Alle registrierten Bilder werden als Unterknoten angezeigt Hinweis Mit der Schaltfl che Bild ndern k nnen Sie das zugeordnete Bild austauschen Benutzerdefinierter Informationstext in der SafeGuard POA Sie k nnen in der SafeGuard POA folgende benutzerdefinierte Informationstexte anzeigen lassen E Infotext beim Starten eines Challenge Response Verfahrens zur Hilfe bei der Anmeldung z B Bitte rufen Sie Ihren Support unter der Telefonnummer 01234 56789 an Mit der Option Informationstext in einer Richtlinie des Typs Allgemeine Einstellungen k nnen Sie einen Informationstext definieren E Rechtliche Hinweise die nach der Anmeldung an der SafeGuard POA angezeigt werden Mit der Option Text f r rechtliche Hinweise in einer Richtlinie des Typs Spezifische Computereinstellungen k nnen Sie einen Text f r rechtliche Hinweise definieren E Text mit zus tzlichen Informationen der nach der Anmeldung an der SafeGuard POA angezeigt werden soll Mit der Option Text f r zus tzliche Informationen in einer Richtlinie des Typs Spezifische Computereinstellungen k nnen Sie einen Text f r zus tzliche Informationen definieren Administratorhilfe 16 3 2 1 16 3 3 Registrieren von Informationstexten Die Textdateien mit den gew nschten Informationen m ssen erstellt werden bevor sie im SafeGuard Management Center registrier
206. einert werden Mindestanzahl an Buchstaben Mit diesen Einstellungen wird erreicht dass PINs nicht ausschlie lich Zeichen Ziffern oder Sonderzeichen enthalten sondern aus einer Kombination bestehen m ssen z B 15blume Mindestanzahl an Symbolen etc Diese Einstellungen sind nur dann sinnvoll wenn eine PIN Mindestl nge definiert ist die gr er 2 ist Mindestanzahl an Ziffern Gro Kleinschreibung Diese Einstellung wird nur bei den Punkten Liste nicht erlaubter beachten PINs benutzen und Benutzername als PIN verboten wirksam Beispiel 1 Sie haben in der Liste der verbotenen PINs Tafel eingetragen Steht die Option Gro Kleinschreibung beachten auf Ja werden zus tzliche Kennwortvarianten wie z B TAFEL oder IaFeL nicht akzeptiert und die Anmeldung wird verweigert Beispiel 2 Der Benutzername f r einen Anwender lautet EMaier Steht Gro Kleinschreibung beachten auf Ja und Benutzername als PIN verboten auf Nein darf Benutzer EMaier keine Variante 139 SafeGuard Enterprise 140 Richtlinieneinstellung NETTE seines Benutzernamens z B emaier oder eMaiEr usw als Kennwort verwenden Tastaturzeile verboten Tastaturzeilen sind 123 oder qwe Maximal zwei auf der Tastatur nebeneinander liegende Zeichen sind erlaubt Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil Tastaturspalte verboten Drei oder mehr aufei
207. einstellung ist 1 m Willkommenstext unter Windows Sie k nnen einen individuellen Informationstext angeben der beim Starten des Local Self Help Assistenten auf dem Endpoint im ersten Dialog angezeigt werden soll Dieser Text muss zuvor erstellt und registriert werden m Benutzer d rfen eigene Fragen festlegen F r die Hinterlegung der Fragen und Antworten f r Local Self Help gibt es folgende M glichkeiten m Sie definieren als Sicherheitsbeauftragter die Fragen und verteilen Sie an die Benutzer Die Benutzer sind nicht dazu berechtigt eigene Fragen zu definieren m Sie definieren als Sicherheitsbeauftragter die Fragen und verteilen Sie an die Benutzer Die Benutzer sind dazu berechtigt zus tzlich eigene Fragen zu definieren Bei der Beantwortung der f r die Aktivierung von Local Self Help notwendigen Mindestanzahl an Fragen k nnen die Benutzer zwischen vorgegebenen und eigenen Fragen w hlen oder eine Kombination aus beiden verwenden m Sie berechtigen die Benutzer dazu eigene Fragen zu definieren und geben keine vordefinierten Fragen vor Die Benutzer aktivieren Local Self Help durch Definition und Beantwortung eigener Fragen Um die Benutzer dazu zu berechtigen eigene Fragen zu definieren w hlen Sie im Feld Benutzer d rfen eigene Fragen festlegen die Einstellung Ja Definieren von Fragen Voraussetzung daf r dass Local Self Help auf dem Endpoint verwendet werden kann ist die Hinterlegung einer vordefinierten Anzahl
208. eintr gen eintragen Dann wird die Protokolldatei vom Protokollsystem nach Erreichen der eingestellten Anzahl von Eintr gen in die Transportqueue des SGN Servers gestellt und eine neue Protokolldatei begonnen ANPASSUNG Administratorhilfe Richtlinieneinstellung Sprache am Client Erkl rung Legt fest in welcher Sprache die Einstellungen f r SafeGuard Enterprise auf dem Endpoint angezeigt werden Sie k nnen neben den unterst tzten Sprachen kann auch die Betriebssystem Spracheinstellung des Endpoint ausw hlen RECOVERY F R DIE ANMELDUNG Recovery f r die Anmeldung nach Besch digung des Windows Local Cache aktivieren Local Self Help Der Windows Local Cache ist Start und Endpunkt f r den Datenaustausch zwischen Endpoint und Server Im Windows Local Cache werden alle Schl ssel Richtlinien Benutzerzertifikate und Audit Dateien abgelegt Alle im Local Cache gespeicherten Daten haben eine Signatur und k nnen nicht manuell ge ndert werden Standardm ig ist der Recovery Vorgang f r die Anmeldung in diesem Fall deaktiviert d h der Windows Local Cache wird automatisch aus seiner Sicherungskopie wiederhergestellt F r die Reparatur des Windows Local Cache ist also in diesem Fall kein Challenge Response Verfahren notwendig Wenn der Windows Local Cache explizit ber ein Challenge Response Verfahren repariert werden soll w hlen Sie in diesem Feld die Einstellung Ja Local Self Help aktivieren
209. einzelnen Maschinen E Erhaltene Richtlinien E Letzter Server Kontakt E Verschl sselungsstatus aller Medien m POA Status und Typ E Installierte SafeGuard Enterprise Module m WOL Status E Benutzerinformationen Mac Endpoints im Bestand Der Bestand liefert Statusdaten f r im SafeGuard Management Center verwaltete Macs F r weitere Informationen siehe Bestands und Statusinformationen f r Macs Seite 293 Einsehen von Bestandsinformationen 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 Klicken Sie im Navigationsfenster auf der linken Seite auf den jeweiligen Container Dom ne Arbeitsgruppe oder Computer 3 Wechseln Sie im Aktionsbereich auf der rechten Seite in die Registerkarte Bestand 4 W hlen Sie im Bereich Filter die gew nschten Filter f r die Bestandsanzeige siehe Filtern von Bestandsinformationen Seite 264 Hinweis Wenn Sie einen einzelnen Computer w hlen stehen die Bestandsinformationen direkt nach dem Wechsel in die Registerkarte Bestand zur Verf gung Der Bereich Filter ist hier nicht verf gbar 5 Klicken Sie im Bereich Filter auf das Lupensymbol 263 SafeGuard Enterprise Die Bestands und Statusinformationen werden in einer bersichtstabelle f r alle Maschinen des ausgew hlten Containers angezeigt Dar ber hinaus stehen f r die einzelnen Maschinen die Registerkarten Laufwerke Benutzer und Merkmale zur Verf gung Durch Klicken
210. eitsbeauftragten im Navigationsfenster aus Die Eigenschaften werden im rechten Aktionsbereich f r ihn angezeigt 2 Weisen Sie die gew nschten Rollen durch Ausw hlen der entsprechenden Kontrollk stchen zu Vordefinierte Rollen werden fett angezeigt 53 SafeGuard Enterprise 11 4 11 4 1 11 4 2 11 4 3 54 3 Klicken Sie auf das Doppelpfeil Symbol Aktualisieren in der Symbolleiste Die Rolle ist dem Sicherheitsbeauftragten zugewiesen Hinweis Komplexe individuell angepasste Rollen k nnen leichte Performanceprobleme bei der Benutzung des SafeGuard Management Centers verursachen Einsehen von Sicherheitsbeauftragten und Rolleneigenschaften Voraussetzung Um sich einen berblick ber die Sicherheitsbeauftragteneigenschaften oder die Rollenzuordnungen anzeigen zu lassen ben tigen Sie das Recht zum Einsehen von Sicherheitsbeauftragten und Sicherheitsbeauftragtenrollen So sehen Sie Sicherheitsbeauftragten und Rolleneigenschaften ein 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Doppelklicken Sie im Navigationsbereich auf der linken Seite auf dem Objekt zu dem Sie einen berblick erhalten m chten Die im Aktionsbereich angezeigten Informationen richten sich nach dem ausgew hlten Objekt Anzeigen der Eigenschaften f r den Haupt Sicherheitsbeauftragten Die allgemeinen Informationen sowie die nderungsinformationen f r den Haupt Sicherheitsbeauftragten werden angezei
211. ekte r ckg ngig zu machen ziehen Sie den Sicherheitsbeauftragten wieder zur ck in die Tabelle Sicherheitsbeauftragte 6 Klicken Sie auf das Speichern Symbol in der Symbolleiste um Ihre nderungen in der Datenbank zu speichern Die ausgew hlten Objekte stehen dem relevanten Sicherheitsbeauftragten zur Verf gung Hinweis Wenn zwei Sicherheitsbeauftragte gleichzeitig mit der gleichen SafeGuard Enterprise Datenbank arbeiten und einer der beiden ndert Zugriffsrechte wird eine Meldung angezeigt die den anderen Sicherheitsbeauftragten dar ber informiert In diesem Fall gehen alle nicht gespeicherten nderungen verloren Verliert ein Sicherheitsbeauftragter alle Zugriffsrechte f r einen Knoten so wird der Zugriff nicht mehr gew hrt und es wird eine entsprechende Meldung angezeigt Das Navigationsfenster wird entsprechend aktualisiert Einsehen der Sicherheitsbeauftragtenrechte f r Verzeichnisobjekte Die Sicherheitsbeauftragten zugewiesenen Rechte f r Verzeichnisobjekte werden in der Registerkarte Zugriff der relevanten Objekte unter Benutzer amp Computer angezeigt Hinweis Die Registerkarte Zugriff zeigt nur die Zugriffsrechte f r Container f r die Sie Zugriffsrechte haben Es werden auch nur die Sicherheitsbeauftragten angezeigt f r die Sie verantwortlich sind Die Registerkarte Zugriff enth lt folgende Informationen m Die Spalte Sicherheitsbeauftragte zeigt die Typen und Namen der den Verzeichnisobjekten zugeordneten
212. el System Tray Icon und Balloon Ausgabe Hinweis Wenn in einer Richtlinie ein verborgener Schl ssel f r die Verschl sselung festgelegt ist hat die Einstellung Schl ssel verbergen keine Auswirkungen auf die Verschl sselung auf dem Endpoint Pers nliche Schl ssel f r die dateibasierende Verschl sselung mit File Share Ein pers nlicher Schl ssel ist eine besondere Art von Verschl sselungschl ssel der f r einen bestimmten Benutzer erzeugt wird und nicht mit anderen Benutzern gemeinsam verwendet werden kann Ein pers nlicher Schl ssel der f r einen bestimmten Benutzer aktiv ist wird als aktiver pers nlicher Schl ssel bezeichnet Aktive pers nliche Schl ssel k nnen anderen Benutzern nicht zugewiesen werden In File Encryption Richtlinien k nnen Sie Verschl sselungsregeln mit dem Platzhalter Pers nlicher Schl ssel statt eines Schl sselnamens definieren F r solche Regeln wird als Verschl sselungsschl ssel der aktive pers nliche Schl ssel des Benutzers verwendet Wenn Sie eine Verschl sselungsregel f r den Pfad C encrypt f r die Verschl sselung mit dem pers nlichen Schl ssel definieren werden f r die einzelnen Benutzer unterschiedliche Schl ssel verwendet So k nnen Sie sicherstellen dass die Informationen in spezifischen Ordnern f r die Benutzer privat sind F r weitere Informationen zu File Share siehe File Encryption mit File Share Seite 180 Wenn eine File Encryption Verschl sselungsregel einen
213. el zugeordnet Administration Schl sselzuordnung aufgehoben Administration Erzeugen des Schl ssels fehlgeschlagen Administration Zuordnung des Schl ssels fehlgeschlagen Administration Entfernen der Zuordnung des Schl ssels fehlgeschlagen 301 SafeGuard Enterprise 302 LEICHTE Administration Beschreibung Zertifikat erzeugt Administration Zertifikat importiert Administration Zertifikat gel scht Administration Zertifikat Benutzer zugeordnet Administration Zertifikatszuordnung zu Benutzer aufgehoben Administration Erzeugen des Zertifikats fehlgeschlagen Administration Importieren des Zertifikats fehlgeschlagen Administration L schen des Zertifikats fehlgeschlagen Administration Verl ngern des Zertifikats fehlgeschlagen Administration Zuordnen des Zertifikats zu Benutzer fehlgeschlagen Administration Entfernen der Zuordnung des Zertifikats vom Benutzer fehlgeschlagen Administration Token eingesteckt Administration Token entfernt Administration Token wurde f r Benutzer ausgestellt Administration PIN des Benutzers auf Token ndern Administration PIN des Sicherheitsbeauftragten auf Token ndern Administration Token wurde gesperrt Administration Token entsperrt Administration Token gel scht Administration Tokenzuordn
214. elden m chten und geben Sie das zugeh rige Kennwort ein Wenn Sie im Multi Tenancy Modus arbeiten werden Sie wieder an dieselbe Datenbankkonfiguration angemeldet Das SafeGuard Management Center wird neu gestartet und zeigt die dem angemeldeten Sicherheitsbeauftragten zugeordnete Ansicht L schen eines Sicherheitsbeauftragten Voraussetzung Um einen Sicherheitsbeauftragten zu l schen ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und zu l schen 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Sicherheitsbeauftragten oder den Haupt Sicherheitsbeauftragten den Sie l schen m chten W hlen Sie L schen Beachten Sie dass Sie den Sicherheitsbeauftragten mit dem Sie angemeldet sind nicht l schen k nnen 3 Weist der ausgew hlte Sicherheitsbeauftragte untergeordnete Sicherheitsbeauftragte auf so werden Sie dazu aufgefordert einen neuen bergeordneten Knoten f r diese untergeordneten Sicherheitsbeauftragten auszuw hlen Der Sicherheitsbeauftragte wird aus der Datenbank gel scht Hinweis Mindestens ein Haupt Sicherheitsbeauftragter der explizit als Beauftragter angelegt wurde und nicht nur zum Haupt Sicherheitsbeauftragten ernannt wurde muss immer in der Datenbank verbleiben Wird ein Benutzer der zum Sicherheitsbeauftragten ernannt wurde aus der Datenbank gel scht so wird auch sein Benutzerkonto aus der Datenb
215. eldung an diesem Computer zu erm glichen siehe Registrieren weiterer SafeGuard Enterprise Benutzer Seite 106 Werden im SafeGuard Management Center diesem Computer nachtr glich Benutzer zugewiesen so k nnen sich diese dann auch in der SafeGuard Power On Authentication anmelden Voraussetzung daf r ist allerdings dass es sich um komplette Benutzer deren Zertifikat und Schl ssel bereits existieren handelt Die Erlaubnis durch den Besitzer des Computers ist dann nicht notwendig ber folgende Einstellungen kann festgelegt werden wem es erlaubt ist weitere Benutzer in die UMA aufzunehmen E Kann Besitzer werden Die Auswahl dieser Einstellung ist Voraussetzung daf r dass ein Benutzer als Besitzer eines Computers eingetragen werden kann E Benutzer ist Besitzer Ist diese Einstellung ausgew hlt wird dieser Benutzer als Besitzer in die UMA eingetragen Es kann jeweils nur ein Benutzer pro Computer als Besitzer in der UMA eingetragen werden Wer Benutzer in die UMA aufnehmen darf wird zus tzlich ber die Richtlinieneinstellung Registrieren von neuen SGN Benutzern erlauben in einer Richtlinie vom Typ Spezifische Computereinstellungen gesteuert Die Einstellung Registrierung von SGN Windows Benutzern aktivieren in Richtlinien vom Typ Spezifische Computereinstellungen legt fest ob SGN Windows Benutzer auf dem Endpoint registriert und zur UMA hinzugef gt werden k nnen E Registrieren von neuen SGN Benutzern erlauben Niemand Auch d
216. eller IATE Activldentity ActivClient ActivClient PIV AET SafeSign Identity Client Aladdin eToken PKI Client A Trust a sign Client Charismatics Smart Security Interface Gemalto Gemalto Access Client Gemalto Classic Client Gemalto NET Card IT Solution GmbH IT Solution trustWare CSP Nexus Nexus Personal RSA Authentication Client 2 x RSA Smart Card Middleware 3 x Sertifitseerimiskeskus AS Estonian ID Card Siemens CardOS API T Systems NetKey 3 0 Lizenzen Beachten Sie dass f r die Benutzung der jeweiligen Middleware f r das Standard Betriebssystem eine Lizenzvereinbarung mit dem jeweiligen Hersteller erforderlich ist F r weitere Informationen zum Bezug von Lizenzen siehe http www sophos com de de support knowledgebase 116585 aspx Wenn Sie Siemens Lizenzen erwerben m chten wenden Sie sich an Atos IT Solutions and Services GmbH Otto Hahn Ring 6 81739 M nchen Germany Die Middleware wird in einer SafeGuard Enterprise Richtlinie vom Typ Spezifische Computereinstellungen unter Benutzerdefinierte PKCS 11 Einstellungen im Feld PKCS 11 Modul f r Windows oder PKCS 11 Modul f r die Power on Authentication angegeben Das SafeGuard Enterprise Client Konfigurationspaket muss zudem auf dem Computer installiert sein auf dem das SafeGuard Management Center l uft 217 SafeGuard Enterprise 27 3 Konfigurieren der Token Benutzung 218 F hren Sie die folgenden Handlungsschritte
217. elte Laufwerk m SafeGuard Enterprise BitLocker Challenge Response ist installiert Die Verwaltung wird bernommen und SafeGuard Enterprise Challenge Response ist m glich m SafeGuard Enterprise BitLocker ist installiert Die Verwaltung wird bernommen und Recovery ist m glich m Esgilt keine SafeGuard Enterprise Verschl sselungsrichtlinie f r das verschl sselte Laufwerk m SafeGuard Enterprise BitLocker Challenge Response ist installiert Die Verwaltung wird nicht bernommen und SafeGuard Enterprise Challenge Response ist nicht m glich m SafeGuard Enterprise BitLocker ist installiert Recovery ist m glich Verschl sselte Festplatten m Eine SafeGuard Enterprise Verschl sselungsrichtlinie gilt f r das verschl sselte Laufwerk Die Verwaltung wird bernommen und Recovery ist m glich m Esgiltkeine SafeGuard Enterprise Verschl sselungsrichtlinie f r das verschl sselte Laufwerk SafeGuard Enterprise Recovery ist m glich Entschl sselung mit BitLocker Computer die mit BitLocker verschl sselt wurden lassen sich nicht automatisch entschl sseln Die Entschl sselung muss unter Anwendung des Microsoft Tools Manage bde durchgef hrt werden Dieses Kommandozeilen Tool kann statt der Option BitLocker Laufwerkverschl sselung in der Systemsteuerung verwendet werden Um Benutzern zu erlauben mit BitLocker verschl sselte Laufwerke h ndisch zu entschl sseln muss dem Endpoint eine Richtlinie ohne Verschl sselungsr
218. em CurrentControlSet Control Utimaco SGLCENC Log AttachedDevices E HKLM System CurrentControlSet Control Utimaco SGLCENC Log IgnoredDevices Konfigurieren der persistenten Verschl sselung f r File Encryption Der Inhalt von mit File Encryption verschl sselten Dateien wird jeweils direkt entschl sselt wenn der Benutzer den erforderlichen Schl ssel hat Wenn der Inhalt in einer neuen Datei an einem Ablageort gespeichert wird f r den keine Verschl sselungsregel gilt bleibt die resultierende neue Datei unverschl sselt 189 SafeGuard Enterprise 23 3 23 3 1 23 4 190 Mit persistenter Verschl sselung bleiben Kopien von verschl sselten Dateien auch dann verschl sselt wenn sie an einem Speicherort abgelegt werden f r den keine Verschl sselungsregel gilt Sie k nnen die persistente Verschl sselung in Richtlinien vom Typ Allgemeine Finstellungen konfigurieren Die Richtlinieneinstellung Persistente Verschl sselung aktivieren ist standardm ig aktiviert Hinweis Wenn Dateien an ein ignoriertes Ger t oder in einen Ordner kopiert oder verschoben werden f r den eine Richtlinie mit dem Modus f r die Verschl sselung Ignorieren gilt hat die Einstellung Persistente Verschl sselung aktivieren keine Auswirkungen Mehrere File Encryption Richtlinien Alle File Encryption Verschl sselungsregeln die ber Richtlinien zugewiesen und f r Benutzer Computer an unterschiedlichen Knoten unter Benutzer amp Computer im SafeG
219. em Objects sind Volumes die von SafeGuard Enterprise nicht eindeutig als verschl sselt oder unverschl sselt identifiziert werden k nnen Existiert f r ein Unidentified File System Object eine Verschl sselungsrichtlinie so wird der Zugriff auf das Volume verweigert Existiert keine Verschl sselungsrichtlinie so kann der Benutzer auf das Volume zugreifen Hinweis Existiert f r ein Unidentified File System Object eine Verschl sselungsrichtlinie bei der die Richtlinieneinstellung Schl ssel f r die Verschl sselung auf eine Option eingestellt ist die die Schl sselauswahl erm glicht z B Beliebiger Schl ssel im Schl sselring des Benutzers so entsteht zwischen der Anzeige des Schl sselauswahldialogs und der Verweigerung des Zugriffs auf das Volume eine zeitliche L cke W hrend dieser Zeit kann auf das Volume zugegriffen werden So lange der Schl sselauswahldialog nicht vom Benutzer best tigt wird besteht Zugriff auf das Volume Um dies zu vermeiden geben Sie einen vorausgew hlten Schl ssel f r die Verschl sselung an F r weitere Informationen zu den relevanten Richtlinieneinstellungen siehe Ger teschutz Seite 150 Diese zeitliche L cke entsteht auch dann f r mit dem Endpoint verbundene Unidentified File System Objects wenn der Benutzer zu dem Zeitpunkt an dem die Verschl sselungsrichtlinie wirksam wird bereits Dateien auf dem Volume ge ffnet hat In diesem Fall kann nicht gew hrleistet werden dass der Zugriff auf d
220. ement Center siehe Anlegen von virtuellen Clients Seite 80 3 Exportieren Sie den virtuellen Client in eine Datei siehe Export von virtuellen Clients Seite 8 4 Optional k nnen Sie mehrere virtuelle Clients in eine Datei exportieren siehe Anlegen und Exportieren von Schl sseldateien f r den Recovery Vorgang Seite 81 5 Booten Sie den Endpoint von der Recovery Disk 6 Importieren Sie die Datei mit dem virtuellen Client in das KeyRecovery Tool 7 Starten Sie die Challenge im KeyRecovery Tool 8 Best tigen Sie den virtuellen Client im SafeGuard Management Center 9 W hlen Sie die erforderliche Recovery Aktion 10 Geben Sie den Challenge Code im SafeGuard Management Center ein 11 Generieren Sie den Response Code im SafeGuard Management Center 12 Geben Sie den Response Code im KeyRecovery Tool ein Auf den Computer kann wieder zugegriffen werden 247 SafeGuard Enterprise 29 2 6 2 Booten des Computers von der Recovery Disk Voraussetzung Stellen Sie sicher dass die Boot Reihenfolge im BIOS das Booten von CD erlaubt 1 Legen Sie auf dem Endpoint die Recovery Disk ein und starten Sie den Computer Der integrierte Dateimanager wird ge ffnet Hier sehen Sie auf einen Blick die bereitgestellten Volumes und Laufwerke le x Fe Edit New Favorites Go View Tools Help je8ee82 98 x Bes EX E af a e 12 jaaaaa f ca Local Disk D B E CD Drive E CD_ROM
221. en werden berschrieben Weitere Informationen zur Migration von Standalone Endpoints zu zentral verwalteten Endpoints finden Sie im SafeGuard Enterprise upgrade guide 19 7 3 Aufheben der POA Benutzer Zuweisung bei Standalone Endpoints 124 POA Benutzer lassen sich von Standalone Endpoints entfernen indem Sie eine leere POA Gruppe zuweisen 1 W hlen Sie im Tools Men des SafeGuard Management Center den Befehl Konfigurationspakete 2 W hlen Sie ein vorhandenes Konfigurationspaket aus oder erstellen Sie ein neues 3 W hlen Sie eine leere POA Gruppe die Sie zuvor im Bereich Benutzer amp Computer des SafeGuard Management Center angelegt haben oder die keine Liste POA Gruppe die standardm ig unter Konfigurationspakete zur Verf gung steht Administratorhilfe 19 7 4 19 8 19 8 1 4 Geben Sie einen Ausgabepfad f r das Konfigurationspaket an 5 Klicken Sie auf Konfigurationspaket erstellen 6 Installieren Sie das Konfigurationspaket auf den Endpoints Durch Installation des Konfigurationspakets werden alle POA Benutzer von den Endpoints entfernt Somit werden alle relevanten Benutzer aus der SafeGuard POA entfernt ndern der POA Benutzer Zuweisungen auf Standalone Endpoints 1 Legen Sie eine neue POA Gruppe an oder ndern Sie eine bestehende Gruppe 2 Erstellen Sie ein neues Konfigurationspaket und w hlen Sie die neue oder modifizierte POA Gruppe aus 3 Installieren Sie das Konfigurationspaket au
222. en Pre Boot Authentication namens SafeGuard Power On Authentication Administratorhilfe POA geliefert die Anmeldeoptionen wie Smartcard und Fingerabdruck sowie einen Challenge Response Mechanismus f r die Wiederherstellung unterst tzt BitLocker mit Pre Boot Authentication PBA von SafeGuard verwaltet ist die Komponente die das BitLocker Verschl sselungsmodul und die BitLocker Pre Boot Authentication aktiviert und verwaltet Sie ist f r BIOS und UEFI Plattformen verf gbar m Die UEFI Version bietet zus tzlich einen SafeGuard Challenge Response Mechanismus f r die BitLocker Wiederherstellung f r den Fall dass Benutzer ihre Kennw rter vergessen Die UEFI Version kann verwendet werden wenn bestimmte Plattform Anforderungen erf llt sind Beispielsweise muss die UEFI Version 2 3 1 sein N here Informationen entnehmen Sie bitte den Versions Infos m Die BIOS Version bietet die Wiederherstellungs Erweiterungen des SafeGuard Challenge Response Mechanismus nicht Sie dient auch als Fallback falls die Anforderungen an die UEFI Version nicht erf llt sind Der Sophos Installer pr ft ob die Voraussetzungen erf llt sind Falls nicht installiert er automatisch die BitLocker Version ohne Challenge Response Mac Endpoints F r Mac Endpoints sind folgende Produkte verf gbar Sie werden auch von SafeGuard Enterprise verwaltet oder berichten zumindest an das Management Center Sophos SafeGuard Sophos SafeGuard Sophos SafeGuard F
223. en Sicherheitsbeauftragten anlegen m chten und w hlen Sie Neu gt Neuer Sicherheitsbeauftragter Administratorhilfe 3 Nehmen Sie die relevanten Eintr ge unter Neuer Sicherheitsbeauftragter vor Feld Kontrollk stchen Freigeschaltet Beschreibung Hier kann der Sicherheitsbeauftragte bis auf Weiteres deaktiviert werden Das bedeutet dass er zwar im System existiert sich aber noch nicht an das SafeGuard Management Center anmelden kann Erst wenn er durch einen anderen Sicherheitsbeauftragten aktiviert wird kann er sich anmelden und seine administrativen T tigkeiten ausf hren Hier wird der Name des Sicherheitsbeauftragten angegeben wie er in den von SafeGuard Enterprise erzeugten Zertifikaten unter cn eingetragen wird Unter diesem Namen wird er auch im Navigationsfenster des SafeGuard Management Centers angezeigt Dieser Name muss eindeutig sein Maximalwert 256 Zeichen Beschreibung Mobiltelefon Optional Maximalwert 256 Zeichen Optional Maximalwert 128 Zeichen Optional Maximalwert 256 Zeichen G ltig von bis Token Anmeldung Hier wird angegeben ab und bis wann Datum sich der Sicherheitsbeauftragte am SafeGuard Management Center anmelden darf Die Anmeldung kann auf folgende Art erfolgen Ohne Token Der Sicherheitsbeauftragte darf sich nicht mit einem Token anmelden Er muss sich ber die Anmeldeinformationen Benutzername Kennwort anmelden Optional Die Anmeldung k
224. en Sie eigene Filter definieren und auf die jeweilige Spalte anwenden 33 6 Datei Tracking Bericht f r Wechselmedien F r SafeGuard Data Exchange l sst sich der Zugriff auf Dateien auf Wechselmedien protokollieren Unabh ngig davon ob eine Verschl sselungsrichtlinie f r Dateien auf Wechselmedien gilt lassen sich Ereignisse f r folgende Aktionen protokollieren m Auf einem Wechselmedium wird eine Datei oder ein Verzeichnis angelegt m Auf einem Wechselmedium wird eine Datei oder ein Verzeichnis umbenannt m Auf einem Wechselmedium wird eine Datei oder ein Verzeichnis gel scht Sie k nnen die Events f r den Dateizugriff in der Windows Ereignisanzeige oder in der SafeGuard Enterprise Datei Tracking Anzeige einsehen je nachdem welches Ziel Sie bei der Definition der Protokollierungsrichtlinie angeben 275 SafeGuard Enterprise 33 6 1 Konfigurieren von Datei Tracking f r Wechselmedien 33 6 2 276 1 Klicken Sie im SafeGuard Management Center auf Richtlinien 2 Legen Sie eine neue Richtlinie des Typs Protokollierung an oder w hlen Sie eine bereits bestehende Richtlinie aus Im rechten Aktionsbereich unter Protokollierung werden die vordefinierten Ereignisse die protokolliert werden k nnen angezeigt Ein Klick auf die Spalten berschrift sortiert die Ereignisse nach ID Kategorie usw Um die Protokollierung des Zugriffs auf Dateien auf Wechselmedien zu aktivieren w hlen Sie je nach Anforderung die folge
225. en Sie im Aktionsbereich auf der rechten Seite bei der gew nschten Einstellung in der Spalte Zus tzliche Autorisierung und w hlen Sie eine andere Rolle aus der Liste aus Vordefinierte Rollen werden fett angezeigt 3 Klicken Sie auf das Speichern Symbol in der Symbolleiste um Ihre nderungen in der Datenbank zu speichern Die zus tzliche Autorisierung f r diese Rolle wurde ge ndert ndern aller Eigenschaften einer Rolle Voraussetzung Um eine benutzerdefinierte Rolle zu ndern ben tigen Sie das Recht zum Einsehen und ndern von Sicherheitsbeauftragtenrollen Zum ndern der Einstellung f r die zus tzliche Autorisierung ben tigen Sie au erdem das Recht Einstellungen f r zus tzliche Autorisierung ndern 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen auf die Rolle die Sie ndern m chten und w hlen Sie Benutzerdefinierte Rolle ndern 3 ndern Sie die Eigenschaften nach Wunsch ndern Sie die Einstellungen f r die zus tzliche Autorisierung indem Sie auf den Wert in dieser Spalte klicken und die gew nschte Rolle ausw hlen 4 Klicken Sie auf das Speichern Symbol in der Symbolleiste um Ihre nderungen in der Datenbank zu speichern Die Rolle wurde ge ndert Kopieren einer Rolle Um eine Rolle anzulegen die hnliche Eigenschaften wie eine bereits vorhandene Rolle hat k nnen Sie die vorhandene Roll
226. en sollen f gen Sie folgende Einstellungen hinzu E Initialverschl sselung aller Dateien Ja Stellt sicher dass Dateien auf Wechselmedien verschl sselt werden sobald die Wechselmedien zum ersten Mal mit dem System verbunden werden E Benutzer darf Initialverschl sselung abbrechen Nein Der Benutzer kann die Initialverschl sselung nicht abbrechen um sie z B zu einem sp teren Zeitpunkt durchzuf hren E Benutzer darf auf unverschl sselte Dateien zugreifen Nein Werden auf Wechselmedien unverschl sselte Dateien entdeckt so wird der Zugriff auf diese Dateien verweigert E Benutzer darf Dateien entschl sseln Nein Der Benutzer darf Dateien auf Wechselmedien nicht entschl sseln Im B ro haben sowohl Bob als auch Alice transparenten Zugriff auf verschl sselte Dateien auf Wechselmedien Zuhause k nnen sie verschl sselte Dateien mit SafeGuard Portable durch Eingabe der Medien Passphrase ffnen Wenn Bob oder Alice die Wechselmedien an einen Dritt Computer weitergeben m chten auf dem SafeGuard Data Exchange nicht installiert ist k nnen sie mit lokalen Schl sseln sicherstellen dass externe Partner nur auf einige spezifische Dateien zugreifen k nnen Dies ist eine erweiterte Konfiguration die durch die M glichkeit lokale Schl ssel auf den Computern zu erzeugen ein h heres Ma an Benutzerinteraktion umfasst Hinweis Voraussetzung f r diesen Beispielanwendungsfall ist es dass der Benutzer dazu berechtigt ist loka
227. en vor Hinweis Der Task Name muss eindeutig sein Wenn Sie den Namen in einen bereits vorhandenen Task Namen ndern wird eine Fehlermeldung angezeigt Wenn Sie alle obligatorischen Felder ausgef llt haben wird die Schaltfl che OK aktiv 4 Klicken Sie auf OK Die nderungen werden wirksam L schen von Tasks Um Tasks aus dem Taskplaner zu entfernen ben tigen Sie die Sicherheitsbeauftragtenrechte Taskplaner benutzen und Tasks verwalten 1 W hlen Sie in der SafeGuard Management Center Men leiste Extras gt Taskplaner Der Dialog Taskplaner mit einer bersicht ber die geplanten Tasks wird angezeigt 2 W hlen Sie den gew nschten Task aus Die Schaltfl che L schen wird aktiv 3 Klicken Sie auf die Schaltfl che L schen und best tigen Sie dass Sie den Task l schen m chten Der Task wird aus der bersicht des Taskplaner Dialogs entfernt und nicht mehr auf dem SafeGuard Enterprise Server ausgef hrt Hinweis Wurde der Task in der Zwischenzeit gestartet so wird er zwar aus dem Taskplaner bersichtsdialog entfernt jedoch noch komplett ausgef hrt Mit Skripten im Taskplaner arbeiten Mit dem Taskplaner k nnen Sie Skripte importieren bearbeiten und exportieren Um mit Skripten im Taskplanerzu arbeiten ben tigen Sie die Sicherheitsbeauftragtenrechte Taskplaner benutzen und Tasks verwalten Import von Skripts Damit Sie ein Skript f r die Ausf hrung mit einem Task angeben k nnen m ssen Sie es impo
228. en zum Wiederherstellen einer besch digten Datenbankkonfiguration siehe Wiederherstellen einer besch digten Datenbankkonfiguration Seite 262 19 SafeGuard Enterprise 20 5 8 5 9 Abschlie en der Erstkonfiguration des SafeGuard Management Centers 1 Klicken Sie auf Beenden um die Erstkonfiguration des SafeGuard Management Centers abzuschlie en Eine Konfigurationsdatei wurde erzeugt m Eine Verbindung zum SafeGuard Enterprise Server m Eine SafeGuard Enterprise Datenbank m Ein Haupt Sicherheitsbeauftragten Konto f r die Anmeldung an das SafeGuard Management Center m Alle notwendigen Zertifikate f r die Wiederherstellung einer besch digten Datenbankkonfiguration oder SafeGuard Management Center Installation Sobald der Konfigurationsassistent geschlossen ist wird das SafeGuard Management Center gestartet Erstellen weiterer Datenbankkonfigurationen Multi Tenancy Voraussetzung Die Funktion Multi Tenancy muss ber eine Installation vom Typ Vollst ndig installiert worden sein Die initiale Konfiguration des SafeGuard Management Center muss durchgef hrt worden sein Hinweis Sie m ssen pro Datenbank jeweils eine separate SafeGuard Enterprise Server Instanz einrichten So erstellen Sie eine weitere SafeGuard Enterprise Datenbankkonfiguration nach der Erstkonfiguration 1 Starten Sie das SafeGuard Management Center Der Dialog Konfiguration ausw hlen wird angezeigt 2 Klicken Sie auf Neu Der Safe
229. enden und w hlen Sie die Datenbank aus der Liste aus F hren Sie unter Daten des Sicherheitsbeauftragten einen der folgenden Schritte aus m Wenn die gesicherte Zertifikatsdatei auf dem Computer gefunden wird wird sie angezeigt Geben Sie das Kennwort ein das Sie zur Anmeldung an das SafeGuard Management Center benutzen E Wird die gesicherte Zertifikatsdatei nicht auf dem Computer gefunden w hlen Sie Importieren Suchen Sie nach der gesicherten Zertifikatsdatei und klicken Sie auf ffnen Geben Sie das Kennwort f r die Zertifikatsdatei ein Klicken Sie auf Ja Geben Sie ein Kennwort f r die Anmeldung am SafeGuard Management Center ein und best tigen Sie es Klicken Sie auf Weiter und dann auf Fertig stellen um die Konfiguration des SafeGuard Management Center abzuschlie en Die SafeGuard Management Center Installation ist wiederhergestellt 261 SafeGuard Enterprise 262 31 Wiederherstellen einer besch digten Datenbankkonfiguration Sie k nnen eine besch digte Datenbankkonfiguration wiederherstellen indem Sie das SafeGuard Management Center neu installieren und basierend auf den gesicherten Zertifikatsdateien eine neue Instanz der Datenbank erstellen Dadurch wird sichergestellt dass alle vorhandenen SafeGuard Enterprise Endpoints Richtlinien von der neuen Installation annehmen m Das Unternehmenszertifikat und das Haupt Sicherheitsbeauftragten Zertifikat der betreffenden Datenbankkonfiguration m ssen als
230. enutzer auch in Situationen in denen sie keine Telefon oder Netzwerkverbindung und somit auch kein Challenge Response Verfahren nutzen k nnen z B an Bord eines Flugzeugs wieder Zugang zu ihrem Computer Um sich anzumelden muss der Benutzer lediglich eine bestimmte Anzahl an vordefinierten Fragen in der SafeGuard Power on Authentication beantworten Die zu beantwortenden Fragen k nnen Sie als zust ndiger Sicherheitsbeauftragter zentral vordefinieren und per Richtlinie an die Endpoints verteilen Als Vorlage bieten wir Ihnen ein vordefiniertes Fragenthema an Sie k nnen dieses Fragenthema unver ndert verwenden oder es bearbeiten Sie k nnen die Benutzer auch per Richtlinie berechtigen selbst Fragen zu definieren Wenn Local Self Help per Richtlinie aktiviert ist steht den Endbenutzern ein Local Self Help Assistent zur Verf gung der sie bei der ersten Beantwortung und bei der Bearbeitung von Fragen unterst tzt Recovery mit Local Self Help steht in der SafeGuard Power on Authentication f r die folgenden Anmeldemethoden zur Verf gung E Anmeldung mit Benutzername und Kennwort E Anmeldung mit Fingerabdruck E Anmeldung mit nicht kryptographischem Token unter der Voraussetzung dass die Anmeldung mit Benutzername und Kennwort auch als m glicher Anmeldemodus in einer Richtlinie des Typs Authentisierung aktiviert ist Detaillierte Informationen zu Local Self Help auf dem Endpoint finden Sie in der SafeGuard Enterprise Benutzerhil
231. enutzt werden d rfen Sinnvoll ist die Definition von Kennwortgenerationen insbesondere in Verbindung mit der Einstellung Kennwort l uft ab nach Tage Beispiel Die Anzahl der Kennwortgenerationen f r den Benutzer M ller wurde auf 4 festgelegt die der Tage nach denen der Benutzer das Kennwort wechseln muss auf 30 Herr M ller meldete sich bislang mit dem Kennwort Informatik an Nach Ablauf der Frist von 30 Tagen wird er aufgefordert sein Kennwort zu ndern Herr M ller tippt als neues Kennwort wieder Informatik ein und erh lt die Fehlermeldung dass er dieses Kennwort bereits verwendet hat und ein anderes Kennwort w hlen muss Informatik darf Herr M ller erst nach der vierten da Kennwortgenerationen 4 Aufforderung zur Eingabe eines neuen Kennworts verwenden 20 7 Passphrase f r SafeGuard Data Exchange Der Benutzer muss eine Passphrase eingeben die zum Erzeugen von lokalen Schl sseln f r den sicheren Datenaustausch mit SafeGuard Data Exchange verwendet wird Die auf den Endpoints erzeugten Schl ssel werden auch in der SafeGuard Enterprise Datenbank gespeichert Die erforderlichen Einstellungen definieren Sie in einer Richtlinie vom Typ Passphrase F r weitere Informationen zu SafeGuard Data Exchange siehe SafeGuard Data Exchange Seite 192 Weitere Informationen zu SafeGuard Data Exchange und SafeGuard Portable auf dem Endpoint finden Sie in der SafeGuard Enterprise Benutzerhilfe im Kapitel Sa
232. er 1 fehlgeschlagen Administration POA Gruppe 1 angelegt Administration POA Gruppe 1 ge ndert Administration POA Gruppe 1 gel scht Administratorhilfe LEICHTE Ereienss ID Beschreibung Administration Erstellen von POA Gruppe 1 fehlgeschlagen Administration ndern von POA Gruppe 1 fehlgeschlagen Administration L schen von POA Gruppe 1 fehlgeschlagen Administration Taskplaner Dienst wurde wegen eines Ausnahmefehlers angehalten Administration Task Planer Task erfolgreich ausgef hrt Administration Task Planer Task fehlgeschlagen Administration Task Planer Task erzeugt oder ge ndert Administration Task Planer Task gel scht Client Kernelsicherung erfolgreich Client Kernelr cksicherung beim ersten Versuch erfolgreich Client Kernelr cksicherung beim zweiten Versuch erfolgreich Client Kernelsicherung fehlgeschlagen Client Kernelr cksicherung fehlgeschlagen Client Benutzer hat LSH Informationen nach Anmeldung ge ndert Client LSH aktiviert Client LSH deaktiviert Client LSH verf gbar Enterprise Client Client LSH verf gbar Standalone Client Client LSH deaktiviert Enterprise Client Client LSH nicht verf gbar Standalone Client Client QST Liste LSH Fragen ge ndert Client Deinstallation des Configuration Protection Clients fehlgeschlagen Client Schl ssel Backup auf Netzwerkfreig
233. er Drag and Drop zuweisen Symbolleiste Hier befinden sich Symbole f r die verschiedenen Aktionen im SafeGuard Management Center Die Symbole werden eingeblendet wenn sie f r das ausgew hlte Objekt zur Verf gung stehen Nach der Anmeldung wird das SafeGuard Management Center immer mit der Ansicht gestartet in der es geschlossen wurde Sprache der Benutzeroberfl che Sie k nnen die Sprache der Benutzeroberfl che w hrend der Installation des SafeGuard Management Center sowie der SafeGuard Enterprise Verschl sselungssoftware am Endpoint steuern Sprache des SafeGuard Management Center So stellen Sie die Sprache das SafeGuard Management Center ein m Klicken Sie in der SafeGuard Management Center Men leiste auf Extras gt Optionen gt Allgemein Klicken Sie auf Benutzerdefinierte Sprache verwenden und w hlen Sie eine verf gbare Sprache aus Die Sprachen Englisch Deutsch Franz sisch und Japanisch werden unterst tzt m Starten Sie das SafeGuard Management Centers neu Er wird in der ausgew hlten Sprache angezeigt SafeGuard Enterprise Oberfl chensprache auf Endpoints Die Sprache von SafeGuard Enterprise auf dem Endpoint steuern Sie ber den Richtlinientyp Allgemeine Einstellungen im SafeGuard Management Center Einstellung Anpassung gt Sprache am Client m Wenn die Sprache des Betriebssystems gew hlt wird richtet sich die Produktsprache nach der Spracheinstellung des Betriebssystems Steht die entsprechende Be
234. er Protokollierungsrichtlinie festgelegt 271 SafeGuard Enterprise 33 3 1 33 3 2 33 4 272 Windows Ereignisanzeige Ereignisse f r die Sie in der Protokollierungsrichtlinie die Windows Ereignisanzeige als Ziel festlegen werden in der Windows Ereignisanzeige abgelegt ber die Windows Ereignisanzeige lassen sich Protokolle f r System Sicherheits und Anwendungs Ereignisse anzeigen und verwalten Sie k nnen diese Ereignisprotokolle auch speichern F r diese Vorg nge ben tigen Sie einen Administrator Account f r den jeweiligen Endpoint In der Ereignisanzeige wird jeweils ein Fehlercode kein beschreibender Text des Ereignisses angezeigt Hinweis Eine Voraussetzung um SafeGuard Enterprise Events in der Windows Ereignisanzeige sehen zu k nnen ist dass ein Client config msi am Endpoint installiert ist Hinweis Dieses Kapitel beschreibt das Einsehen sowie die Verwaltung und Analyse der Ereignisprotokolle im SafeGuard Management Center Weitere Informationen zur Windows Ereignisanzeige finden Sie in Ihrer Microsoft Dokumentation SafeGuard Enterprise Datenbank Ereignisse f r die Sie in der Protokollierungsrichtlinie die SafeGuard Enterprise Datenbank als Ziel festlegen werden in lokalen Protokolldateien im Local Cache des jeweiligen Endpoint im Verzeichnis auditing SGMTranslog gesammelt Diese Dateien werden an den Transportmechanismus bergeben der sie dann ber den SafeGuard Enterprise Server in die Datenba
235. er als Besitzer eingetragene Benutzer kann keinen weiteren Benutzern die Aufnahme in die UMA erm glichen Die Funktionalit t dass ein Besitzer weitere Aufnahmen erm glichen kann wird damit deaktiviert Besitzer Standardeinstellung Hinweis Ein Sicherheitsbeauftragter kann im SafeGuard Management Center immer Benutzer hinzuf gen Jeder Hebt die Einschr nkung auf dass nur der Besitzer Benutzer hinzuf gen darf Hinweis F r Endpoints die das Modul SafeGuard Device Encyption nicht installiert haben muss die Einstellung Registrieren von neuen SGN Benutzern erlauben auf Jeder gesetzt werden wenn es auf dem Endpoint m glich sein soll mehr als einen Benutzer zur UMA mit Zugriff auf den Schl sselbund hinzuzuf gen Sonst k nnen Benutzer nur im Management Center hinzugef gt werden Diese Option ist wird nur auf zentral verwalteten Endpoints ausgewertet Siehe auch http www sophos com de de support knowledgebase 110659 aspx Administratorhilfe E Registrierung von SGN Windows Benutzern aktivieren Wenn Sie Ja ausw hlen k nnen SGN Windows Benutzer auf dem Endpoint registriert werden Ein SGN Windows Benutzer wird nicht zur SafeGuard POA hinzugef gt hat aber einen Schl sselring f r den Zugriff auf verschl sselte Dateien wie jeder andere SGN Benutzer Wenn Sie diese Einstellung w hlen werden alle Benutzer die andernfalls SGN Gast Benutzer geworden w ren zu SGN Windows Benutzern Die Benutzer werden zur UMA hinzugef g
236. er an um SafeGuard Enterprise Richtlinien zu erstellen und die Verschl sselungssoftware f r die Endbenutzer zu konfigurieren Der Haupt Sicherheitsbeauftragte MSO ist der Administrator h chster Ebene mit allen Rechten und einem Zertifikat das nicht abl uft 1 Geben Sie auf der Seite Daten des Sicherheitsbeauftragten unter Haupt Sicherheitsbeauftragten ID einen Namen f r den Haupt Sicherheitsbeauftragten ein 2 Geben Sie unter Anmeldung mit Token an ob Sie einen Token eine Smartcard f r die Anmeldung benutzen m chten oder nicht Wir empfehlen dass Sie die Anmeldung mit Token nicht als Zwingend erforderlich definieren Eine Anmeldung mit Token bzw Smartcard erfordert eine gesonderte Konfiguration die innerhalb des SafeGuard Management Centers zu erledigen ist 3 F hren Sie auf der Seite Zertifikat f r den Haupt Sicherheitsbeauftragten einen der folgenden Schritte aus E Klicken Sie auf Erzeugen um ein neues Zertifikat f r den Haupt Sicherheitsbeauftragten zu erzeugen Sie werden dazu aufgefordert sowohl f r den Zertifikatsspeicher als auch f r die Datei in die das Zertifikat exportiert werden soll private Schl sseldatei P12 jeweils ein Kennwort einzugeben und zu best tigen Das Zertifikat wird erzeugt und unter Zertifikat f r den Haupt Sicherheitsbeauftragten angezeigt E Klicken Sie auf Importieren um ein Zertifikat f r den Haupt Sicherheitsbeauftragten zu verwenden das bereits auf dem Netz zur Verf gung st
237. er und AES 256 mit Diffuser sind in Windows 8 nicht verf gbar Verschl sselungsrichtlinien f r die BitLocker Laufwerkverschl sselung Der Sicherheitsbeauftragte kann eine Richtlinie f r die Erst Verschl sselung im SafeGuard Management Center anlegen und diese an die BitLocker Endpoints verteilen Die Richtlinie wird daraufhin auf den Endpoints ausgef hrt Die in der Richtlinie angegebenen Laufwerke werden daraufhin mit BitLocker verschl sselt Da die BitLocker Clients im SafeGuard Management Center transparent verwaltet werden muss der Sicherheitsbeauftragte keine speziellen BitLocker Einstellungen f r die Verschl sselung vornehmen SafeGuard Enterprise kennt den Status der Clients und w hlt die BitLocker Verschl sselung entsprechend Wird ein BitLocker Client mit SafeGuard Enterprise installiert und wird die Volume Verschl sselung aktiviert so werden die Volumes durch die BitLocker Laufwerkverschl sselung verschl sselt Ein BitLocker Endpoint verarbeitet Richtlinien vom Typ Ger teschutz und Authentisierung Die folgenden Einstellungen werden am Endpoint ausgewertet m Einstellungen in einer Richtlinie des Typs Ger teschutz m Ziel m Verschl sselungsmodus f r MedienVolume basierend Keine Verschl sselung m Algorithmus f r die Verschl sselungAES128 AES256 m Schnelle Initialverschl sselungJa Nein F r weitere Informationen siehe Ger teschutz Seite 150 m Einstellungen in einer Richtlinie des Typs Authentis
238. ereinigung der einzelnen Maschinen Richtlinien den Standardwert so gilt Benutzereinstellungen vor Maschineneinstellungen TRANSFERRATE Server Verbindungsintervall in Minuten Legt den Zeitraum in Minuten fest nach dem ein SafeGuard Enterprise Client beim SafeGuard Enterprise Server eine Anfrage nach Richtlinien nderungen stellt Hinweis Um zu vermeiden dass eine gro e Anzahl an Clients gleichzeitig den Server kontaktiert findet die Kommunikation immer in einem Zeitraum 50 des eingestellten Verbindungsintervalls statt Beispiel Die Einstellung 90 Minuten ergibt einen Kommunikationszeitraum zwischen Client und Server von 45 bis 135 Minuten LOGGING R ckmeldung nach Anzahl von Ereignissen Das Protokollsystem implementiert als Win32 Service SGM LogPlayer sammelt von SafeGuard Enterprise generierte f r die zentrale Datenbank bestimmte Protokolleintr ge in lokalen Protokolldateien Diese befinden sich im LocalCache im Verzeichnis auditing SGMTransLog Diese Dateien werden an den Transportmechanismus bergeben der sie dann ber den SGN Server in die Datenbank eintr gt Die bertragung erfolgt sobald der Transportmechanismus eine Verbindung zum Server hergestellt hat Die Protokolldatei wird daher gr er bis eine Verbindung hergestellt werden konnte Um die Gr e einer einzelnen Protokolldatei einschr nken zu k nnen kann man ber die Richtlinie eine maximale Anzahl von Protokoll
239. ergestellt wird muss das Kennwort zur ckgesetzt werden 1 Das Challenge Response Verfahren erm glicht das Booten des Computers durch die SafeGuard Power on Authentication 2 Da Ihnen das Kennwort nicht bekannt ist k nnen der Benutzer es im Windows Dialog nicht eingeben Das Kennwort muss auf Windows Ebene zur ckgesetzt werden Hierzu sind weitere Recovery Vorg nge au erhalb von SafeGuard Enterprise erforderlich die ber Windows Standard Verfahren durchgef hrt werden m ssen Hinweis Wir empfehlen das Kennwort vor dem Challenge Response Verfahren nicht zentral im Active Directory zur ckzusetzen Dadurch wird gew hrleistet dass das Kennwort zwischen Windows und SafeGuard Enterprise synchron bleibt Stellen Sie sicher dass der Windows Helpdesk entsprechend informiert ist Wir empfehlen die folgenden Methoden f r das Zur cksetzen des Kennworts auf Windows Ebene E ber ein Service Benutzerkonto oder ein Administratorkonto mit den erforderlichen Windows Rechten auf dem Endpoint E ber eine Windows Kennwortr cksetz Diskette auf dem Endpoint Als Helpdesk Beauftragter k nnen Sie den Benutzer dar ber informieren welche Methode benutzt werden soll und ihm die zus tzlichen Windows Anmeldeinformationen oder die erforderliche Diskette zur Verf gung stellen 3 Der Benutzer gibt das neue Kennwort ein dass der Helpdesk auf Windows Ebene zur ckgesetzt hat Unmittelbar muss der Benutzer das Kennwort in ein nur ihm bekanntes
240. erkarte Synchronisieren 39 SafeGuard Enterprise 10 1 2 40 7 W hlen Sie das gew nschte Verzeichnis aus der Verzeichnis DSN Liste und klicken Sie auf das Lupensymbol oben rechts Es erscheint eine Abbildung der Active Directory Struktur der Organisationseinheiten OU in Ihrem Unternehmen 8 Markieren Sie die Organisationseinheiten OU die synchronisiert werden sollen Es muss nicht der gesamte Inhalt des Active Directory importiert werden 9 Um auch Mitgliedschaften zu synchronisieren w hlen Sie das Kontrollk stchen Synchronisiere Mitgliedschaften Um auch den Benutzer Aktiv Status zu synchronisieren w hlen Sie das Kontrollk stchen Synchronisiere Benutzer Aktiv Status 10 Klicken Sie unten im Aktionsbereich auf Synchronisieren Wenn Sie Benutzer und ihre Gruppenzugeh rigkeit synchronisieren wird die Zugeh rigkeit zu einer Prim rgruppe nicht synchronisiert da sie f r die Gruppe nicht sichtbar ist Die Dom nen werden synchronisiert Details zur Synchronisierung werden angezeigt Klicken Sie auf die Meldung die in der Statusleiste unterhalb der Schaltfl chen auf der linken Seite angezeigt wird um ein Synchronisierungsprotokoll einzusehen Klicken Sie auf das Protokoll um es in die Zwischenablage zu kopieren und es in eine E Mail oder eine Datei einzuf gen Hinweis Wenn Elemente von einer untergeordneten Baumstruktur in eine andere im Active Directory verschoben wurden m ssen beide Baumstrukture
241. ern Administratorhilfe Hinweis Wenn Sie ein neues Server Konfigurationspaket MSI auf dem SafeGuard Enterprise Server installieren m chten deinstallieren Sie zun chst das veraltete Konfigurationspaket L schen Sie dar ber hinaus den Local Cache manuell so dass er mit den neuen Konfigurationsdaten z B SSL Einstellungen aktualisiert werden kann Installieren Sie dieses Konfigurationspaket auf dem Server 8 3 ndern der Safe uard Enterprise Server Eigenschaften Sie k nnen die Eigenschaften und Einstellungen f r jeden registrierten Server und seine Datenbankverbindung jederzeit ndern 1 W hlen Sie den gew nschten Server in der Registerkarte Server des SafeGuard Management Center Konfigurationspakete Werkzeugs 2 Gehen Sie wie folgt vor Beschreibung Skript ausf hren Klicken Sie hier um die Verwendung von SafeGuard Enterprise Management API zu erm glichen Dies erm glicht die Ausf hrung von administrativen Aufgaben ber Skripte Server Rollen Klicken Sie hier um eine verf gbare Sicherheitsbeauftragtenrolle f r den ausgew hlten Server zu aktivieren deaktivieren Server Rolle hinzuf gen Klicken Sie hier um weitere spezifische Sicherheitsbeauftragtenrollen f r den ausgew hlten Server hinzuzuf gen falls erforderlich Sie werden dazu aufgefordert das Serverzertifikat auszuw hlen Die Sicherheitsbeauftragtenrolle wird hinzugef gt und kann unter Server Rollen angezeigt werden Datenbankve
242. ernamen Kennwort und Response Code bemerkbar SafeGuard Enterprise bernimmt als Standard das Tastaturlayout in die SafeGuard POA das zum Zeitpunkt der Installation in den Regions und Sprachoptionen von Windows gesetzt ist Ist unter Windows Deutsch als Tastaturlayout gesetzt wird in der SafeGuard POA das deutsche Tastaturlayout verwendet Die Sprache des verwendeten Tastaturlayouts wird in der SafeGuard POA angezeigt z B EN f r Englisch Neben dem Standard Tastaturlayout kann das US Tastaturlayout Englisch gew hlt werden Es gibt bestimmte Ausnahmef lle E Das Iastaturlayout wird zwar unterst tzt aufgrund fehlender Schriften z B bei Bulgarisch werden im Feld Benutzername aber nur Sonderzeichen angezeigt E Es ist kein spezielles Tastaturlayout verf gbar z B Dominikanische Republik In solchen F llen greift die SafeGuard POA auf das Original Tastaturlayout zur ck F r die Dominikanische Republik ist dies Spanisch E Wenn Benutzername oder Kennwort aus Zeichen bestehen die vom ausgew hlten Tastaturlayout oder dem Original Tastaturlayout nicht unterst tzt werden kann sich der Benutzer nicht an der SafeGuard POA anmelden Hinweis Alle nicht unterst tzten Tastaturlayouts verwenden als Standard das US Tastaturlayout Das bedeutet dass auch nur Zeichen erkannt und eingegeben werden k nnen die im US Tastaturlayout unterst tzt werden Benutzer k nnen sich demnach nur an der SafeGuard POA anmelde
243. erprofil anwenden 4 Klicken Sie auf OK Die SafeGuard POA merkt sich das bei der letzten erfolgreichen Anmeldung verwendete Tastaturlayout und aktiviert dieses beim n chsten Anmelden automatisch Hierzu sind zwei Neustarts des Endpoint notwendig Wenn dieses gemerkte Tastaturlayout ber die Regions und Sprachoptionen abgew hlt wird bleibt es dem Anwender noch so lange erhalten bis er eine andere Sprache ausgew hlt hat Hinweis Zus tzlich ist es notwendig die Sprache des Tastatur Layouts f r andere nicht Unicode Programme zu ndern Falls die gew nschte Sprache nicht auf dem Endpoint vorhanden ist werden Sie von Windows evtl aufgefordert die Sprache zu installieren Danach m ssen Sie den Endpoint zweimal neu starten damit das neue Tastaturlayout von der SafeGuard Power on Authentication eingelesen und dann auch ber diese eingestellt werden kann Sie k nnen das gew nschte Tastaturlayout der SafeGuard Power on Authentication mit der Maus oder mit der Tastatur Alt Shift ndern Sie k nnen ber Start gt Ausf hren gt regedit gt HKEY_USERS DEFAULT Keyboard Layout Preload einsehen welche Sprachen auf dem System installiert und damit verf gbar sind In der SafeGuard Power on Authentication unterst tzte Hotkeys Bestimmte Hardware Einstellungen und Funktionalit ten k nnen Probleme beim Starten des Endpoint verursachen die dazu f hren dass der Rechner im Startvorgang h ngen bleibt Die SafeGuard Power o
244. errt ist Hinweis Die Ansicht Ausgestellte Token zeigt die Token f r alle Benutzer f r die Sie die Zugriffsrechte Schreibgesch tzt oder Voller Zugriff haben Sperren von Token oder Smartcards Als Sicherheitsbeauftragter k nnen Sie Token sperren Dies ist z B sinnvoll wenn ein Token verloren gegangen ist Um einen Token zu sperren ben tigen Sie das Zugriffsrecht Voller Zugriff f r den relevanten Benutzer 1 Klicken Sie im SafeGuard Management Center auf Token 2 Markieren Sie links im Navigationsbereich Ausgestellte Token 3 W hlen Sie den Token der gesperrt werden soll und klicken Sie auf das Symbol Token sperren in der SafeGuard Management Center Symbolleiste Der Token wird f r die Authentisierung gesperrt der zugeordnete Benutzer kann sich nicht mehr damit anmelden Der Token kann nur mithilfe der SO PIN entsperrt werden L schen von Token Smartcard Daten Als Sicherheitsbeauftragter k nnen Sie die Daten die ber SafeGuard Enterprise auf den Token geschrieben wurden vom Token entfernen Voraussetzung m Der Token muss eingesteckt sein 229 SafeGuard Enterprise 27 9 4 230 m Sie ben tigen das Zugriffsrecht Voller Zugriff f r den relevanten Benutzer 1 Klicken Sie im SafeGuard Management Center auf Token 2 Markieren Sie links im Navigationsbereich den relevanten Token unter Token Slots 3 Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Token l schen Symbol 4
245. es Zertifikats ist nicht eindeutig Es ist nicht klar welche Zuweisung entfernt werden soll Administratorhilfe Fehler ID 805306420 Anzeige Der Benutzer f r den das Zertifikat erstellt werden soll konnte nicht in der Datenbank gefunden werden 805306421 Der Benutzer f r den das Zertifikat erstellt werden soll kann nicht eindeutig benannt werden 805306422 805306423 Das Zertifikat wurde bereits einem anderen Benutzer zugeordnet Ein Zertifikat kann nur einem Benutzer zugeordnet werden Der Computer dem das Zertifikat zugewiesen werden soll konnte nicht in der Datenbank gefunden werden 805306424 805306425 805306426 805306427 Der Computer dem das Zertifikat zugewiesen werden soll konnte nicht eindeutig identifiziert werden Importierte Zertifikate k nnen nicht durch SGN erneuert werden Inkonsistente Zertifikatsdaten w hrend der Erneuerung Die Erneuerung des Zertifikats wurde nicht von einem Sicherheitsbeauftragten genehmigt 805306428 Fehler beim L schen des Token 805306429 Das Zertifikat kann nicht vom Token gel scht werden denn es wurde f r die Authentisierung des aktuellen Benutzers verwendet 805306430 Ein Systemzugang mit diesem Namen existiert bereits Bitte w hlen Sie einen anderen Namen 805306431 Dem Sicherheitsbeauftragen sind keine Rollen zugewiesen Anmeldung nicht m glich 805306432 Die Lizenz wurde verletzt 805306433
246. eschlagen Verschl sselung Sektorbasierte Entschl sselung des Laufwerks gestartet Verschl sselung Sektorbasierte Entschl sselung des Laufwerks fehlerfrei beendet Verschl sselung Sektorbasierte Entschl sselung des Laufwerks gescheitert und beendet Verschl sselung Sektorbasierte Entschl sselung des Laufwerks abgebrochen Verschl sselung Sektorbasierte Entschl sselung des Laufwerks fehlgeschlagen Verschl sselung F amp F Frst Verschl sselung auf einem Laufwerk gestartet Verschl sselung F amp F Erst Verschl sselung auf einem Laufwerk fehlerfrei beendet Verschl sselung F amp F Erst Verschl sselung auf einem Laufwerk fehlgeschlagen und beendet Verschl sselung F amp F Entschl sselung auf einem Laufwerk abgebrochen Verschl sselung F amp F Verschl sselung einer Datei gestartet Verschl sselung F amp F Verschl sselung einer Datei fehlerfrei beendet Verschl sselung F amp F Entschl sselung auf einem Laufwerk fehlgeschlagen und beendet Administratorhilfe LEICHTE Verschl sselung Beschreibung F amp F Entschl sselung auf einem Laufwerk abgebrochen Verschl sselung F amp F Verschl sselung einer Datei gestartet Verschl sselung F amp F Verschl sselung einer Datei fehlerfrei beendet Verschl sselung F amp F Verschl sselung einer Datei fehlgeschlagen Verschl sselung F amp F Entschl
247. esen Schl ssel mit Der Benutzer kann den Schl ssel eingeben um den Zugriff auf das mit BitLocker verschl sselte Volume auf dem Endpoint wiederherzustellen Recovery Schl ssel f r mit FileVault 2 verschl sselte SafeGuard Enterprise Clients Mac Endpoints F r mit FileVault 2 verschl sselte Computer l sst sich ein Volume auf das nicht mehr zugegriffen werden kann wiederherstellen l 2 3 W hlen Sie auf der Recovery Typ Seite die Option SafeGuard Enterprise Client Managed W hlen Sie unter Dom ne die gew nschte Dom ne aus der Liste Geben Sie unter Computer den gew nschten Computernamen ein oder w hlen Sie ihn aus Hierf r gibt es mehrere M glichkeiten Um einen Namen auszuw hlen klicken Sie auf Klicken Sie anschlie end auf Jetzt suchen Eine Liste mit Computern wird angezeigt W hlen Sie den gew nschten Computer aus und klicken Sie auf OK Der Computername wird im Fenster Recovery Typ unter Dom ne angezeigt Geben Sie den Kurznamen des Computers direkt in das Feld ein Wenn Sie auf Weiter klicken wird der Name in der Datenbank gesucht Der gefundene Computername wird als Distinguished Name angezeigt Geben Sie den Computernamen direkt als Distinguished Name ein zum Beispiel CN Desktopl OU Development OU Headquarter DC Utimaco DC edu 4 Klicken Sie auf Weiter 5 Der Recovery Assistent zeigt den 24 stelligen Recovery Schl ssel an 6 Teilen Sie dem Benutzer diesen Schl ssel mit
248. ew hren verweigern m chten ben tigen Sie die Benutzer und Computer Rechte Zugriffsrechte von Sicherheitsbeauftragten anzeigen und Zugriffsrechte f r Verzeichnis erteilen verweigern Dar ber hinaus ben tigen Sie das Zugriffsrecht Voller Zugriff f r das relevante Verzeichnisobjekt 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Navigationsfenster auf der linken Seite die gew nschten Verzeichnisobjekte aus Hinweis Die Navigationsbaumstruktur zeigt nur die Verzeichnisobjekte f r die Sie Zugriffsrechte haben Wenn Sie das Zugriffsrecht Voller Zugriff haben wird das jeweilige Objekt schwarz dargestellt Objekte mit Zugriffsrecht Schreibgesch tzt werden blau dargestellt Auf einen ausgegrauten Knoten k nnen Sie nicht zugreifen Dieser wird jedoch angezeigt wenn es untergeordnete Knoten gibt auf die Sie Zugriff haben 3 Klicken Sie im Aktionsbereich auf der rechten Seite auf die Registerkarte Zugriff 4 Um die Rechte f r die ausgew hlten Objekte zuzuweisen ziehen Sie den gew nschten Sicherheitsbeauftragten von der u ersten rechten Seite per Drag amp Drop in die Zugriff Tabelle 5 W hlen Sie in der Spalte Zugriffsrechte die Rechte die Sie dem Sicherheitsbeauftragten f r die ausgew hlten Objekte erteilen m chten m Voller Zugriff E Schreibgesch tzt E Verweigert 63 SafeGuard Enterprise 11 10 1 64 Um die Zuweisung der Rechte f r die ausgew hlten Obj
249. ewall sperrt standardm ig NetBIOS Verbindungen die f r die Aufl sung des Netzwerknamens des SafeGuard Enterprise Servers ben tigt werden 1 F hren Sie als Workaround einen der folgenden Schritte aus E Geben Sie die NetBIOS Verbindungen in der Firewall frei E F gen Sie den Fully Qualified Name des SafeGuard Enterprise Servers im Konfigurationspaket hinzu F r weitere Informationen siehe Registrieren und Konfigurieren des SafeGuard Enterprise Servers f r einen anderen Computer Seite 34 36 Administratorhilfe 9 Sichern von Transportverbindungen mit SSL 9 1 SafeGuard Enterprise unterst tzt zur Erh hung der Sicherheit die Verschl sselung der Transportverbindungen zwischen den einzelnen Komponenten mit SSL E Die Verbindung zwischen dem Datenbankserver und dem Web Server sowie die Verbindung zwischen dem Datenbankserver und dem Computer auf dem das SafeGuard Management Center installiert ist kann mit SSL verschl sselt werden E Die Verbindung zwischen dem SafeGuard Enterprise Server und dem von SafeGuard Enterprise verwalteten Computer kann entweder mit SSL oder mit SafeGuard spezifischer Verschl sselung verschl sselt werden Der Vorteil bei SSL ist dass es ein Standardprotokoll ist und daher eine schnellere Verbindung aufgebaut werden kann als mit der SafeGuard Transportverschl sselung Mac Um die Verbindung zwischen dem SafeGuard Enterprise Server und Mac Endpoints abzusichern muss SSL verwendet werden
250. extelement markiert wird sein Inhalt im Aktionsbereich auf der rechten Seite angezeigt Das Textelement kann jetzt beim Erstellen von Richtlinien ausgew hlt werden Um weitere Textelemente zu registrieren gehen Sie wie beschrieben vor Alle registrierten Textelemente werden als Unterknoten angezeigt Hinweis Mit der Schaltfl che Text ndern k nnen Sie weiteren Text zum bestehenden Text hinzuf gen Es wird ein Dialog ge ffnet in dem eine weitere Textdatei ausgew hlt werden kann Der in dieser Datei enthaltene Text wird am Ende des bestehenden Texts eingef gt Administratorhilfe 20 6 Syntaxregeln f r Kennw rter Kennw rter k nnen sowohl Ziffern Buchstaben als auch Sonderzeichen wie etc enthalten Verwenden Sie bei der Vergabe eines neuen Kennworts jedoch keine Zeichen mit der Kombination ALT lt Zeichen gt da dieser Eingabemodus an der SafeGuard Power on Authentication nicht zur Verf gung steht Wie Kennw rter mit denen sich Benutzer am System anmelden beschaffen sein m ssen wird in Richtlinien vom Typ Kennwort eingestellt Hinweis F r Informationen zur Umsetzung einer Richtlinie f r sichere Kennw rter siehe Empfohlene Sicherheitsma nahmen Seite 6 und das SafeGuard Enterprise Manual for certification compliant operation Englisch Die Umsetzung von Kennwortregeln und Kennworthistorien kann nur dann gew hrleistet werden wenn der SGN Credential Provider durchgehend verwendet wird Definieren Sie Ken
251. f r die bertragung von Richtlinien an die Endpoints Dar ber hinaus sind f r die Token Verwaltung die entsprechenden Token Lizenzen notwendig Sie erhalten Lizenzdateien von Ihrem Vertriebspartner Diese Dateien m ssen nach der Installation in die SafeGuard Enterprise Datenbank importiert werden Die Lizenzdatei enth lt u a folgende Informationen E Anzahl an erworbenen Lizenzen pro Modul E Kundenname m Finen festgelegten Toleranzwert f r die berschreitung der Anzahl an erworbenen Lizenzen Bei berschreiten der verf gbaren Lizenzen bzw des Toleranzlimits werden beim Starten des SafeGuard Management Centers entsprechende Warnungs bzw Fehlermeldungen ausgegeben F r die Lizenzverwaltung bietet das SafeGuard Management Center im Bereich Benutzer amp Computer einen berblick zum Lizenzstatus des installierten SafeGuard Enterprise Systems Der Lizenzstatus berblick steht in der Registerkarte Lizenzen f r den Stamm Knoten f r Dom nen OUs Containerobjekte und Arbeitsgruppen zur Verf gung Sicherheitsbeauftragte erhalten hier detaillierte Informationen zum Lizenzstatus Mit der entsprechenden Berechtigung k nnen sie Lizenzen in die SafeGuard Enterprise Datenbank importieren Lizenzdatei Die Lizenzdatei die Sie zum Import in die SafeGuard Enterprise Datenbank erhalten ist eine XML Datei mit Signatur Sie enth lt folgende Informationen E Kundenname E Zus tzliche Informationen zum Beispiel Abteilung Niederlassun
252. f demselben Token stehen E CA Zertifikate k nnen nicht von einem Token entnommen und in der Datenbank oder im Zertifikatsspeicher gespeichert werden Wenn Sie CA Zertifikate verwenden m chten m ssen diese in Dateiform zur Verf gung stehen nicht nur auf einem Token Dies gilt auch f r CRLs E Von SafeGuard Enterprise generierte Zertifikate sind mit SHA 1 oder SHA 256 zur Verifizierung signiert SHA 256 bietet erweiterte Sicherheit und wird standardm ig f r Erstinstallationen benutzt Wenn noch die Verwaltung von SafeGuard Enterprise 6 Endpoints oder lteren Endpoints notwendig ist wird standardm ig SHA 1 benutzt E Zertifikate die vom Kunden zur Verf gung gestellt und in SafeGuard Enterprise importiert werden werden derzeit nicht gem RFC3280 verifiziert So wird z B nicht verhindert dass Signatur Zertifikate f r Verschl sselungszwecke benutzt werden Administratorhilfe 12 3 1 E Die Anmeldezertifikate f r Sicherheitsbeauftragte m ssen sich im MY Zertifikatspeicher befinden Hinweis Die Liste Zugewiesene Zertifikate unter Schl ssel und Zertifikate zeigt nur die Zertifikate die Objekten zugewiesen sind f r die Sie die Zugriffsrechte Schreibgesch tzt oder Voller Zugriff haben In der Ansicht Zertifikat wird die Anzahl an allen verf gbaren Zertifikaten ungeachtet Ihrer Zugriffsrechte angegeben Die Liste Zugewiesene Zertifikate zeigt die Anzahl an Zertifikaten die gem Ihren Zugriffsrechten sichtba
253. f den Endpoints Die neue POA Gruppe steht auf dem Endpoint zur Verf gung Alle enthaltenen Benutzer werden zur POA hinzugef gt Die neue Gruppe berschreibt die alte POA Gruppen werden nicht miteinander kombiniert Anmeldung an einem Endpoint mit einem POA Benutzer 1 Schalten Sie den Endpoint ein Der SafeGuard Power on Authentication Anmeldedialog wird angezeigt 2 Geben Sie den Benutzernamen und das Kennwort des vordefinierten POA Benutzers ein Sie werden nicht automatisch an Windows angemeldet Der Windows Anmeldedialog wird angezeigt 3 W hlen Sie im Dom ne Feld die Dom ne lt POA gt 4 Melden Sie sich mit Ihrem vorhandenen Windows Benutzerkonto an Windows an Lokale Kennwort nderung Wurde das Kennwort eines POA Benutzers mit F8 ge ndert so wird die nderung nicht mit anderen Endpoints synchronisiert Der Administrator muss das Kennwort f r diesen Benutzer zentral ndern 125 SafeGuard Enterprise 126 20 Richtlinieneinstellungen SafeGuard Enterprise Richtlinien enthalten alle Einstellungen die zur Abbildung einer unternehmensweiten Sicherheitsrichtlinie auf den Endpoints wirksam werden sollen In SafeGuard Enterprise Richtlinien k nnen Sie Einstellungen f r die folgenden Bereiche Richtlinientypen festlegen Allgemeine Einstellungen Einstellungen f r z B Transferrate Anpassung Recovery f r die Anmeldung Hintergrundbilder usw Authentisierung Einstellungen zum Anmeldemodus zu
254. f verschl sselte Dateien Hinweis Dieser Anwendungsfall kann durch Benutzung von SafeGuard Enterprise Device Encryption umgesetzt werden Hier ist das gesamte Wechselmedium sektorbasierend verschl sselt Anwendung bei Heimarbeit oder f r pers nlichen Gebrauch auf Dritt Computern E Heimarbeit Bob m chte seine verschl sselten Wechselmedien auf seinem Computer zuhause benutzen auf dem SafeGuard Enterprise nicht installiert ist Auf seinem Computer zuhause entschl sselt Bob Dateien mit SafeGuard Portable Da f r alle seine Wechselmedien eine 195 SafeGuard Enterprise 196 einzige Medien Passphrase definiert ist muss Bob nur SafeGuard Portable ffnen und die Medien Passphrase eingeben Danach hat Bob transparenten Zugriff auf alle verschl sselten Dateien unabh ngig davon welcher lokale Sch ssel f r die Verschl sselung verwendet wurde Pers nlicher Gebrauch auf Dritt Computern Bob verbindet das Wechselmedium mit Joes externer Partner Computer und gibt die Medien Passphrase ein um Zugriff auf die auf dem Medium gespeicherten verschl sselten Dateien zu erhalten Bob kann die Dateien nun verschl sselt oder unverschl sselt auf Joes Computer kopieren Verhalten auf dem Endpoint Bob verbindet das Wechselmedium zum ersten Mal mit dem Computer Der Medienverschl sselungsschl ssel der f r jedes Medium einzigartig ist wird automatisch erzeugt Bob wird aufgefordert die Medien Passphrase f r die Off
255. fe im Kapitel Recovery mit Local Self Help Definieren der Parameter f r Local Self Help in einer Richtlinie Die Einstellungen f r Local Self Help definieren Sie in einer Richtlinie vom Typ Allgemeine Einstellungen unter Recovery f r die Anmeldung Local Self Help Hier aktivieren Sie die Funktion zur Benutzung auf den Endpoints und legen weitere Berechtigungen und Parameter fest Local Self Help aktivieren Um die Funktion Local Self Help f r die Benutzung auf Endpoints zu aktivieren w hlen Sie im Feld Local Self Help aktivieren die Einstellung Ja Nach dem Wirksamwerden der Richtlinie auf den Endpoints sind die Benutzer aufgrund dieser Einstellung berechtigt Local Self Help f r Recovery Vorg nge die die Anmeldung betreffen zu benutzen Hierzu m ssen die Benutzer die Funktion auf Ihrem Computer durch Administratorhilfe 29 1 2 Beantwortung einer festgelegten Anzahl der erhaltenen Fragen oder durch Erstellung und Beantwortung eigener Fragen je nach Berechtigung aktivieren Nach dem Erhalt der Richtlinie und dem Neustart des Computers steht den Benutzern daf r der Local Self Help Assistent ber das System Tray Icon in der Windows Taskleiste zur Verf gung Konfigurieren der Funktion Local Self Help Sie k nnen folgende Optionen f r Local Self Help in einer Richtlinie des Typs Allgemeine Einstellungen definieren m Mindestl nge der Antwort Legen Sie die Mindestl nge der Antworten in Zeichen fest Die Standard
256. feGuard Data Exchange Richtlinieneinstellung Erkl rung 146 Administratorhilfe Richtlinieneinstellung Mindestl nge der Passphrase Erkl rung Legt fest aus wie vielen Zeichen die Passphrase aus der der Schl ssel erzeugt wird mindestens bestehen muss Der gew nschte Wert kann entweder direkt eingegeben oder durch Bet tigen der Richtungstasten vergr ert bzw verkleinert werden Maximall nge der Passphrase Legt fest aus wie vielen Zeichen die Passphrase maximal bestehen darf Der gew nschte Wert kann entweder direkt eingegeben oder durch Bet tigen der Richtungstasten vergr ert bzw verkleinert werden Mindestanzahl an Buchstaben Mindestanzahl an Ziffern Mindestanzahl an Symbolen Mit diesen Einstellungen wird erreicht dass eine Passphrase nicht ausschlie lich Zeichen Ziffern oder Sonderzeichen enth lt sondern aus einer Kombination bestehen muss z B 15blume etc Diese Finstellung ist nur dann sinnvoll wenn eine Mindestl nge definiert ist die gr er 2 ist Gro Kleinschreibung beachten Diese Einstellung wird beim Setzen der Option Benutzername als Passphrase verboten wirksam Beispiel Der Benutzername f r einen Anwender lautet EMaier Steht Gro Kleinschreibung beachten auf Ja und Benutzername als Passphrase verboten auf Nein darf Benutzer EMaier keine Variante seines Benutzernamens z B emaier oder eMaiEr etc als Passphrase verwenden
257. fenster auf der linken Seite zun chst auf Virtuelle Clients und dann auf Exportierte Schl sseldateien Klicken Sie in der Symbolleiste auf Schl ssel in eine Schl sseldatei exportieren Geben Sie im Dialog Schl ssel in eine Schl sseldatei exportieren folgende Informationen ein a Verzeichnis Klicken Sie auf um einen Speicherort f r die Schl sseldatei auszuw hlen b Dateiname Die Schl sseldatei ist mit einem Zufallskennwort verschl sselt das hier unter Dateiname angezeigt wird Sie k nnen den hier angezeigten Namen nicht ndern c Klicken Sie auf Schl ssel hinzuf gen oder Schl ssel entfernen um Schl ssel hinzuzuf gen oder zu entfernen Ein Popup Fenster in dem Sie nach den gew nschten Schl sseln suchen und diese ausw hlen k nnen wird angezeigt Klicken Sie auf OK um die Auswahl zu best tigen d Klicken Sie auf OK um Ihre Angaben zu best tigen Verteilen Sie diese Schl sseldatei an die betreffende Endpoint Umgebung Sie muss vor der Eingabe des Response Codes auf dem Endpoint zur Verf gung stehen Virtuelle Clients anzeigen und Ansicht filtern Um Ihnen das Auffinden des erforderlichen virtuellen Clients oder Schl ssels w hrend eines Challenge Response Verfahrens zu erleichtern bietet der Bereich Schl ssel und Zertifikate des SafeGuard Management Centers verschiedene Filter und Suchfunktionalit ten Ansichten f r virtuelle Clients 1 Klicken Sie im Navigationsfenster auf der l
258. g Benutzer von Nicht Besitzer importiert und als Nicht Besitzer markiert Authentisierung Benutzer als Besitzer entfernt Authentisierung Import des Benutzers w hrend der Anmeldung fehlgeschlagen Authentisierung Benutzer hat sich abgemeldet Authentisierung Benutzer wurde zwangsweise abgemeldet Administratorhilfe ELL Authentisierung Ereignis ID Beschreibung Aktion wurde auf dem Ger t ausgef hrt Authentisierung Benutzer hat einen Kennwort PIN Wechsel eingeleitet Authentisierung Der Benutzer hat nach der Anmeldung sein Kennwort PIN ge ndert Authentisierung 2021 Kennwort PIN Qualit t Authentisierung Authentisierung Authentisierung Authentisierung 2022 2023 2024 Der Kennwort PIN Wechsel konnte nicht durchgef hrt werden Der LocalCache war besch digte und wurde restauriert Ung ltige Passwort Blacklist Konfiguration Der empfangene Response Code erlaubt es dem Benutzer sich sein Passwort anzeigen zu lassen Authentisierung Angemeldeter Benutzer ist Service Account Authentisierung Anmeldung Authentisierung Service Account Liste gel scht Authentisierung SGN Windows Benutzer hinzuf gen Authentisierung SGN Windows Benutzer von der Maschine entfernen Authentisierung Entfernen des UMA Benutzers Authentisierung R ckgabewert der Computrace berpr fung Authentisierung Computrace ber
259. g E Datum an dem die Lizenz ausgestellt wurde E Anzahl an Lizenzen pro Modul E Token Lizenzinformationen E Lizenzablaufdatum E Lizenztyp Demo oder Voll Lizenz E Signatur mit Lizenzsignaturzertifikat 23 SafeGuard Enterprise 6 2 6 3 6 3 1 6 3 2 24 Token Lizenzen F r die Verwaltung von Token bzw Smartcards sind die entsprechenden zus tzlichen Token Lizenzen erforderlich Wenn diese Lizenzen nicht zur Verf gung stehen k nnen Sie im SafeGuard Management Center keine Richtlinien f r Token erstellen Evaluierungs und Demo Lizenzen Es besteht die M glichkeit f r Evaluierungs oder initiale Rollout Prozesse die Standard Lizenzdatei Evaluierungslizenz oder individuelle Demo Lizenzdateien zu nutzen Diese Lizenzen sind nur f r einen bestimmten Zeitraum g ltig und haben ein Ablaufdatum die Funktionalit t ist jedoch in keinster Weise eingeschr nkt Hinweis Evaluierungs und Demo Lizenzen d rfen nicht f r den regul ren produktiven Betrieb von SafeGuard Enterprise Modulen genutzt werden Standard Lizenzdateien Bei der Installation des SafeGuard Management Centers wird automatisch eine Standard Lizenzdatei geladen Diese Evaluierungslizenz mit der Bezeichnung SafeGuard Enterprise Evaluation License enth lt jeweils f nf Lizenzen pro Modul und hat eine zeitlich begrenzte G ltigkeitsdauer von zwei Jahren ab dem Release Datum der jeweiligen SafeGuard Enterprise Version Standard Lizenzdatei f r
260. gang ab Hinweis Unter Benutzer amp Computer werden die Objekte in der Baumstruktur des Navigationsfensters in Abh ngigkeit von den Zugriffsrechten des Sicherheitsbeauftragten f r Verzeichnisobjekte angezeigt Die Baumstruktur zeigt nur die Objekte auf die der angemeldete Sicherheitsbeauftragte Zugriff hat Objekte f r die der Zugriff verweigert wird werden nicht angezeigt es sei denn es sind weiter unten in der Baumstruktur Knoten vorhanden f r die der Sicherheitsbeauftragte Zugriffsrechte hat In diesem Fall werden die Objekte f r die der Zugriff verweigert wird ausgegraut Wenn der Sicherheitsbeauftragte das Zugriffsrecht Voller Zugriff hat wird das jeweilige Objekt schwarz dargestellt Objekte mit Zugriffsrecht Schreibgesch tzt werden blau dargestellt Aktionsbereich Im Aktionsbereich nehmen Sie die Einstellungen f r das im Navigationsfenster ausgew hlte Objekt vor Im Aktionsbereich stehen verschiedene Registerkarten zur Verf gung mit deren Hilfe die Objekte bearbeitet und die Einstellungen vorgenommen werden k nnen Informationen zu den ausgew hlten Objekten werden ebenfalls im Aktionsbereich angezeigt Administratorhilfe 4 5 Dazugeh rige Ansichten Associated Views In diesen Ansichten werden zus tzliche Objekte und Informationen angezeigt Diese geben einerseits n tzliche Informationen bei der Verwaltung des Systems und unterst tzen die einfache Bedienung Sie k nnen zum Beispiel Objekten Schl ssel p
261. gen in der Datenbank 5 bertragen Sie die Richtlinie an den relevanten Endpoint Die Opal Festplatte ist gesperrt Der Zugriff ist nur ber die Anmeldung an der SafeGuard Power on Authentication m glich Administratorhilfe 36 6 36 7 Berechtigung von Benutzern zum Entsperren von Opal Festplatten Als Sicherheitsbeauftragter k nnen Sie Benutzer dazu berechtigen Opal Festplatten auf ihren Endpoints mit dem Entschl sseln Befehl aus dem Windows Explorer Kontextmen zu entsperren Voraussetzung In der Ger teschutz Richtlinie die f r die Opal Festplatte gilt muss die Option Benutzer darf Volume entschl sseln auf Ja eingestellt sein 1 Erstellen Sie im SafeGuard Management Center eine Richtlinie vom Typ Ger teschutz und beziehen Sie alle Volumes auf der Opal Festplatte in die Richtlinie ein 2 W hlen Sie im Verschl sselungsmodus f r Medien Feld die Einstellung Keine Verschl sselung 3 Speichern Sie Ihre nderungen in der Datenbank 4 bertragen Sie die Richtlinie an den relevanten Endpoint Der Benutzer kann die Opal Festplatte auf dem Endpoint entsperren In der Zwischenzeit bleibt die Festplatte gesperrt Protokollierung von Ereignissen f r Endpoints mit Opal Festplatten Von Endpoints mit selbst verschl sselnden Opal Festplatten gemeldete Ereignisse werden wie f r alle anderen durch SafeGuard Enterprise gesch tzten Endpoints protokolliert Dabei wird der Computertyp nicht explizit erw hnt Die
262. gisterkarte zur Verf gung Die aus der Zusammenfassung der einzelnen Richtlinien resultierenden Einstellungen werden angezeigt E F r Richtlinien zum Ger teschutz werden Registerkarten f r jedes Ziel der Richtlinie angezeigt z B Boot Volumes Laufwerk X usw Erstellen von Sicherungskopien von Richtlinien und Richtliniengruppen Sie k nnen Sicherungskopien von Richtlinien und Richtliniengruppen in Form von XML Dateien erstellen Falls notwendig lassen sich die betreffenden Richtlinien Richtliniengruppen daraufhin aus diesen XML Dateien wiederherstellen 1 W hlen Sie die Richtlinie Richtliniengruppe im Navigationsfenster unter Richtlinien bzw Richtlinien Gruppen aus 2 Klicken Sie mit der rechten Maustaste und w hlen Sie im angezeigten Kontextmen Richtlinie sichern Hinweis Der Befehl Richtlinie sichern steht auch im Men Aktionen zur Verf gung 3 Geben Sie im Dialog Speichern unter einen Dateinamen f r die XML Datei an und w hlen Sie das Verzeichnis in dem die Datei gespeichert werden soll Klicken Sie auf Speichern Die Sicherungskopie der Richtlinie Richtliniengruppe ist im angegebenen Verzeichnis als XML Datei abgelegt 91 SafeGuard Enterprise 14 5 Wiederherstellen von Richtlinien und Richtliniengruppen 14 6 92 So stellen Sie eine Richtlinie Richtliniengruppe aus einer XML Datei wieder her l 2 Klicken Sie im Navigationsfenster auf Richtlinien Richtliniengruppen Klicken Sie mit der
263. gistriert und in im Bereich Benutzer und Computer des SafeGuard Management Center unter der entsprechenden Dom ne oder Arbeitsgruppe angezeigt Das f r diese Benutzer Computer vorgesehene Verzeichnis Automatisch registriert wird automatisch unterhalb des Stammverzeichnisses sowie unter jeder Dom ne Arbeitsgruppe erzeugt Es kann nicht umbenannt oder verschoben werden Objekte in diesem Verzeichnis k nnen auch nicht manuell verschoben werden Wenn die Organisationseinheit Organizational Unit OU beim n chsten Kontakt mit der SafeGuard Enterprise Datenbank synchronisiert wird wird das Objekt in die entsprechenden OU verschoben Andernfalls verbleibt Sie im Verzeichnis Automatisch registriert der jeweiligen Dom ne Arbeitsgruppe Als Sicherheitsbeauftragter k nnen Sie dann die automatisch registrierten Objekte wie blich verwalten Hinweis Lokale Benutzer k nnen sich nicht mit einem leeren Kennwort an SafeGuard Enterprise anmelden Wenn sich lokale Benutzer mit leerem Kennwort an SafeGuard Enterprise anmelden bleiben sie Gastbenutzer und werden nicht in der Datenbank gespeichert Wenn f r diese Benutzer zudem noch Windows Autologon aktiviert ist wird die Anmeldung abgebrochen F r die erfolgreiche Anmeldung an SafeGuard Enterprise muss in diesem Fall ein neues Kennwort vergeben werden und das Autologon f r Windows in der Registry des Endpoint deaktiviert werden Hinweis Microsoft Konten werden immer als SafeGuard Enterprise Gast
264. griff oder Schreibgesch tzt f r die relevante POA Gruppe sowie das Zugriffsrecht Voller Zugriff f r die relevanten Container Hinweis Das Zuweisen von POA Benutzern wird nur f r zentral verwaltete SafeGuard Enterprise Endpoints ab Version 5 60 unterst tzt 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Benutzer amp Computer Navigationsbereich den gew nschten Container 3 W hlen Sie im Aktionsbereich des SafeGuard Management Center die Registerkarte POA Gruppenzuweisung Unter POA Gruppen auf der rechten Seite werden alle verf gbaren POA Gruppen angezeigt 4 Ziehen Sie die gew nschte POA Gruppe aus POA Gruppen in den POA Gruppenzuweisung Aktionsbereich Gruppenname und Gruppen DSN der POA Gruppe werden im Aktionsbereich angezeigt 5 Speichern Sie Ihre nderungen in der Datenbank Alle Mitglieder der zugewiesenen POA Gruppe werden an alle Endpoints im ausgew hlten Container bertragen 123 SafeGuard Enterprise 19 7 2 Sie k nnen die Zuweisung aufheben oder die zugewiesene POA Gruppe ndern indem Sie wie beschrieben vorgehen und Gruppen von und in die Registerkarte POA Gruppenzuweisung und den Bereich POA Gruppen ziehen Wenn Sie Ihre nderungen in der Datenbank gespeichert haben gilt die neue Zuweisung Zuweisen von POA Benutzern zu Standalone Endpoints Um POA Benutzer zu Standalone Endpoints zuzuweisen ben tigen Sie die Zugriffsr
265. gt Anzeigen der Eigenschaften f r Sicherheitsbeauftragte Die allgemeinen Informationen sowie die nderungsinformationen f r den Sicherheitsbeauftragten werden angezeigt 1 W hlen Sie unter Eigenschaften die Registerkarte Aktionen Diese Registerkarte bietet eine Zusammenfassung der zul ssigen Aktionen sowie der Rollen die dem Sicherheitsbeauftragten zugewiesen sind Anzeigen der Rechte und Rollen von Sicherheitsbeauftragten Eine Zusammenfassung der Aktionen aller Rollen die dem Sicherheitsbeauftragten zugewiesen sind wird angezeigt Die Baumstrukturansicht zeigt welche Aktionen erforderlich sind damit bestimmte andere Aktionen durchgef hrt werden k nnen Dar ber hinaus k nnen die zugewiesenen Rollen angezeigt werden 1 W hlen Sie in den lt Sicherheitsbeauftragtenname gt Eigenschaften in der Registerkarte Aktionen eine Aktion um alle zugewiesenen Rollen aufzurufen die diese Aktion enthalten 2 Doppelklicken Sie in der Liste Zugewiesene Rollen mit ausgew hlter Aktion auf einer Rolle Der lt Sicherheitsbeauftragtenname gt Eigenschaften Dialog wird geschlossen und die Eigenschaften der Rolle werden angezeigt Administratorhilfe 11 4 4 Anzeigen der Rolleneigenschaften Die allgemeinen Informationen sowie die nderungsinformationen f r die Rolle werden angezeigt 1 W hlen Sie unter Eigenschaften die Registerkarte Zuweisung um die Sicherheitsbeauftragten anzeigen zu lassen die dieser Rolle zugeordnet sind
266. gt wenn im Filter Bereich das Feld Einschlie lich Sub Container aktiviert wurde Aktuelles Gibt an ob der Computer das aktuelle Unternehmenszertifikat Unternehmenszertifikat verwendet 32 7 Registerkarte Laufwerke 266 Die Registerkarte Laufwerke zeigt Bestands und Statusinformationen zu den Laufwerken des jeweiligen Computers Erkl rung Laufwerksname Zeigt den Laufwerksnamen an Label Zeigt das Label eines Mac Laufwerks Zeigt den Laufwerkstyp an z B Fest Wechseldatentr ger oder CD ROM DVD Administratorhilfe Erkl rung Status Zeigt den Verschl sselungsstatus eines Laufwerks an Hinweis Wenn SafeGuard BitLocker Verwaltung auf einem Endpoint installiert ist kann Nicht vorbereitet als Verschl sselungsstatus eines Laufwerks angezeigt werden Das bedeutet dass das Laufwerk momentan nicht mit BitLocker verschl sselt werden kann weil notwendige Vorbereitungen noch nicht durchgef hrt wurden Das trifft nur auf verwaltetete Endpoints zu weil nicht verwaltetete Endpoints keine Bestandsinformationen melden k nnen N here Informationen zu den Voraussetzungen um BitLocker Laufwerke zu verwalten und zu verschl sseln finden Sie unter Voraussetzungen f r die Verwaltung von BitLocker auf Endpoints Seite 170 Der Verschl sselungsstatus eines nicht verwalteten Endpoints kann mit dem Kommandozeilen Tool SGNState berpr ft werden Detaillierte Informationen hierzu finden Sie in der SafeGuard E
267. gten Berichten lassen sich im Rahmen des L schvorgangs erstellen 1 Wenn Sie Aktionen gt Ereignisse l schen oder Aktionen gt Alle Ereignisse l schen w hlen wird vor dem L schen der Ereignisse das Fenster Ereignisse sichern als zur Erstellung einer Sicherungsdatei angezeigt 2 Um eine Sicherung des Ereignisprotokolls in Form einer XML Datei zu erstellen geben Sie einen Dateinamen und einen Speicherort an und klicken Sie auf OK ffnen einer Sicherungsdatei 1 Klicken Sie im SafeGuard Management Center auf Berichte 2 W hlen Sie in der SafeGuard Management Center Men leiste Aktionen gt Sicherungsdatei ffnen Das Fenster Sicherung ffnen wird angezeigt 3 W hlen Sie die zu ffnende Sicherungsdatei aus und klicken Sie auf ffnen Administratorhilfe 33 13 33 13 1 Die Sicherungsdatei wird ge ffnet und die Ereignisse werden in der Ereignisanzeige angezeigt Um wieder zur regul ren Ansicht der Ereignisanzeige zur ckzukehren klicken Sie erneut auf das Symbol Sicherungsdatei ffnen in der Symbolleiste Regelm ige S uberung der EVENT Tabelle ber Skript Hinweis Das SafeGuard Management Center bietet den Taskplaner f r das Erstellen und Planen von auf Skripts basierenden Tasks die in regelm igen Abst nden ausgef hrt werden Auf dem SafeGuard Enterprise Server startet ein Service die Tasks automatisch zur Ausf hrung der angegebenen Skripte F r die automatische und effiziente S uberung de
268. gten ernennen 3 Weist der ausgew hlte Sicherheitsbeauftragte untergeordnete Sicherheitsbeauftragte auf so werden Sie dazu aufgefordert einen neuen bergeordneten Knoten f r diese untergeordneten Sicherheitsbeauftragten auszuw hlen Der Sicherheitsbeauftragte wird zum Haupt Sicherheitsbeauftragten ernannt und unter dem Knoten Haupt Sicherheitsbeauftragte angezeigt Als Haupt Sicherheitsbeauftragter erh lt Administratorhilfe 11 12 11 13 der ernannte Sicherheitsbeauftragte alle Rechte auf alle Objekte und verliert somit alle zugewiesenen Rollen sowie einzeln gew hrte Dom nen Zugriffsberechtigungen im Bereich Benutzer amp Computer Zur ckstufen von ernannten Haupt Sicherheitsbeauftragten Voraussetzung Nur Haupt Sicherheitsbeauftragte k nnen die Ernennung von Sicherheitsbeauftragten zu Haupt Sicherheitsbeauftragten r ckg ngig machen 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Haupt Sicherheitsbeauftragten dessen Ernennung Sie r ckg ngig machen m chten W hlen Sie Zum Sicherheitsbeauftragten zur ckstufen 3 Sie werden dazu aufgefordert einen bergeordneten Knoten f r den Sicherheitsbeauftragten zu w hlen und mindestens eine Rolle zuzuweisen Die Ernennung des Sicherheitsbeauftragten zum Haupt Sicherheitsbeauftragten wird r ckg ngig gemacht und der Sicherheitsbeauftragte wird unter dem ausgew hlten Siche
269. guration neseseesesesnesennenenennenennnnn 262 32 Bestands und Statusinformationen rssenssesennenennennnonnenonnnnnonnnnonneonnnnnnonnnnonnnnennnnnennnennnnen 263 33 Berichtes askerin RREE NENNE naene raa eE TE AaS RER FITDERRELNERITERITOERRERLPEPIIERURENREFEHCESEFEFOFSTPFEIFERRLFAEREREEHERR 270 34 Planenvon Tasks un ae ae A eae aar rE EAEE aR Sae OEI RER riesen reger EiT 283 35 Verwalten von Mac Endpoints im SafeGuard Management Center uunsnessssesnnesnennenennennn 293 36 SafeGuard Enterprise und selbst verschl sselnde Opal Festplatten eseenene 295 37 F r Berichte ausw hlbare Ereignisse nusesesssenesnenonnennnnnnnonneonnnnnnonnnnonnnnnnnnnnonnnnennnnnn 298 38 FEB een BOSES rero RS REOS 309 39 Technischer Supporterne aein e less E e an TEE a AEE 325 40 Rechtliche HinWe resa erkan peranan saeia o a a rar E E Na aSa Eara aE ia e oa OEA e Enare 326 SafeGuard Enterprise 1 ber SafeGuard Enterprise SafeGuard Enterprise bietet umfassenden Schutz von Daten durch Verschl sselung und zus tzlicher Authentisierung f r die Anmeldung Diese Version von SafeGuard Enterprise unterst tzt Windows 7 und Windows 8 auf Endpoints mit BIOS oder UFFI E F r Systeme mit BIOS k nnen Sie zwischen SafeGuard Enterprise Festplattenverschl sselung und von SafeGuard Enterprise verwalteter BitLocker Verschl sselung w hlen Die BIOS Version verwendet den BitLocker eigenen Wiederherstellungsmechanismus
270. h lt eine Liste von Fehlercodes f r BitLocker Fehlercode Fehlercode Beschreibung Hex Dec 0x00000000 0 15999 Siehe Microsoft Systemfehlercodes 0x000032C8 0x00BEB001 12496897 Verschl sselung ist aufgrund eines Fehlers w hrend der Kernel Initialisierung nicht m glich 0x00BEB002 12496898 Der Boot Manager darf sich nicht auf dem zu verschl sselnden Systemlaufwerk befinden 0x00BEB003 12496899 Es wurde eine nicht unterst tzte Windows Version gefunden Minimum ist Windows Vista 0x00BEB004 12496900 Die konfigurierte Authentisierungsmethode wird nicht unterst tzt 0x00BEB005 12496901 Der PIN Dialog wurde nicht erfolgreich abgeschlossen 0x00BEB006 12496902 Der Pfad Dialog wurde nicht erfolgreich abgeschlossen 0x00BEB007 12496903 Fehler in Kommunikation zwischen Prozessen des PIN oder Pfad Dialogs 0x00BEB008 12496904 Unbehandelte Ausnahme im PIN oder Pfad Dialog Der Dialog wurde angezeigt aber der Benutzer meldete sich ab oder stoppte ihn im Task Manager 0x00BEB009 12496905 Der in der Richtlinie definierte Verschl sselungsalgorithmus stimmt nicht mit dem des verschl sselten Laufwerks berein Standardm ig falls nicht ge ndert verwendet die systemeigene BitLocker Verschl sselung AES 128 w hrend die SGN Richtlinien AES 256 definieren 0x00BEB102 12497154 Die UEFI Version konnte nicht berpr ft werden deshalb wird BitLocker im Legacy Modus ausgef hrt 0x00BEB202
271. h Benutzer nach einer erzwungenen Kennwort nderung nicht mehr im System anmelden E Benutzer d rfen auf die Datei keinen Zugriff haben M Die Option Liste nicht erlaubter Kennw rter verwenden muss aktiviert sein Benutzerkennwortsynchronisation mit anderen SGN Clients Dieses Feld steuert die Synchronisierung bei nderung des Kennworts durch Benutzer die auf mehreren SafeGuard Enterprise Endpoints arbeiten und als Benutzer eingetragen sind Folgende Optionen stehen zur Verf gung E Langsam sobald Benutzer sich anmeldet ndert ein Benutzer sein Kennwort auf einem SafeGuard Enterprise Endpoint so muss dieser Benutzer sich auf anderen Endpoints auf denen er als Benutzer eingetragen ist zun chst noch einmal mit seinem alten Kennwort an der SafeGuard Power on Authentication anmelden Erst dann wird die Kennwortsynchronisation durchgef hrt Schnell sobald der Computer eine Verbindung hergestellt hat ndert der Benutzer sein Kennwort auf einem SafeGuard Enterprise Endpoint so wird die Kennwortsynchronisierung mit einem anderen Endpoint auf dem er als Benutzer eingetragen ist durchgef hrt sobald der andere Endpoint eine Verbindung mit dem Server hergestellt hat Dies erfolgt zum Beispiel dann wenn sich ein anderer Benutzer der ebenfalls auf dem Endpoint als Benutzer eingetragen ist in der Zwischenzeit an diesem Endpoint anmeldet CHANGES Kennwort nderung erlaubt nach mindestens Tage Legt den Ze
272. h Daten die auf mit Endpoint Computern verbundenen Wechselmedien gespeichert werden verschl sseln und mit anderen Benutzern austauschen Alle Ver und Entschl sselungsprozesse laufen transparent und mit minimaler Benutzerinteraktion ab Nur Benutzer die ber die entsprechenden Schl ssel verf gen k nnen den Inhalt der verschl sselten Daten lesen Alle nachfolgenden Verschl sselungsprozesse laufen transparent In der zentralen Administration definieren Sie wie Daten auf Wechselmedien behandelt werden sollen Als Sicherheitsbeauftragter legen Sie die spezifischen Einstellungen in einer Richtlinie vom Typ Ger teschutz mit Wechselmedien als Ziel des Ger teschutzes fest F r SafeGuard Data Exchange muss dateibasierende Verschl sselung benutzt werden Gruppenschl ssel F r den Austausch von verschl sselten Daten zwischen Benutzern m ssen SafeGuard Enterprise Gruppenschl ssel verwendet werden Wenn sich der Gruppenschl ssel in den Schl sselringen der Benutzer befindet erhalten diese vollen transparenten Zugriff auf die mit ihren Computern verbundenen Wechselmedien Auf Computern ohne SafeGuard Enterprise ist der Zugriff auf verschl sselte Daten auf Wechselmedien nicht m glich Eine Ausnahme ist hier der zentrale definierte Dom nen Gruppenschl ssel der in Verbindung mit der Medien Passphrase benutzt werden kann Hinweis Um verschl sselte Daten auf Wechselmedien auch auf mit Computern ohne SafeGuard Enterprise zu benu
273. hen Schl sseln f r mehrere Benutzer Seite 75 Dies reduziert die Auslastung des SafeGuard Enterprise Servers Erzeugen eines pers nlichen Schl ssels f r einzelne Benutzer Um einen pers nlichen Schl ssel zu erzeugen ben tigen Sie die Rechte Schl ssel erzeugen und Schl ssel zuweisen Dar ber hinaus ben tigen Sie das Zugriffsrecht Voller Zugriff f r das relevante Objekt Um einen aktiven pers nlichen Schl ssel zu ersetzen ben tigen Sie das Recht Pers nliche Schl ssel verwalten 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Navigationsbereich den gew nschten Benutzer 3 Klicken Sie mit der rechten Maustaste auf die Registerkarte Schl ssel und w hlen Sie Neuen Schl ssel zuweisen aus dem Kontextmen 4 F hren Sie im Dialog Neuen Schl ssel zuweisen folgende Aufgaben aus a Geben Sie eine Beschreibung f r den pers nlichen Schl ssel ein b Um den pers nlichen Schl ssel im Schl sselring des Benutzers zu verbergen w hlen Sie Schl ssel verbergen 5 Abh ngig davon ob Sie einen pers nlichen Schl ssel f r einen Benutzer erzeugen der bereits eine aktiven pers nlichen Schl ssel hat oder f r einen Benutzer ohne einen solchen Schl ssel zeigt der Dialog Neuen Schl ssel zuweisen verschiedene Kontrollk stchen W hlen Sie das jeweils angezeigte Kontrollk stchen um den neuen Schl ssel als pers nlichen Schl ssel zu definieren Mm Pers nlicher Schl ssel
274. hilfe LEICHTE Administration Beschreibung L schen des Computers fehlgeschlagen Administration OU angelegt Administration OU gel scht Administration Anlegen der OU fehlgeschlagen Administration Importieren der OU fehlgeschlagen Administration L schen der OU fehlgeschlagen Administration Gruppe angelegt Administration Gruppe ge ndert Administration Gruppe umbenannt Administration Gruppe gel scht Administration Anlegen der Gruppe fehlgeschlagen Administration ndern der Gruppe fehlgeschlagen Administration Umbenennen der Gruppe fehlgeschlagen Administration L schen der Gruppe fehlgeschlagen Administration Mitglieder der Gruppe hinzugef gt Administration Mitglieder aus Gruppe entfernt Administration Hinzuf gen der Mitglieder zur Gruppe fehlgeschlagen Administration Entfernen der Mitglieder aus Gruppe fehlgeschlagen Administration Gruppe von OU nach OU verschoben Administration Verschieben der Gruppe von OU nach OU fehlgeschlagen Administration Objekte der Gruppe hinzugef gt Administration Objekte aus Gruppe entfernt Administration Hinzuf gen der Objekte zur Gruppe fehlgeschlagen Administration Hinzuf gen der Objekte aus Gruppe fehlgeschlagen Administration Schl ssel erzeugt Algorithmus Administration Schl ss
275. hne SafeGuard Data Exchange Zugriff auf alle verschl sselten Dateien auf den Wechselmedien durch die Eingabe einer einzigen Medien Passphrase Wenn die Firmenrichtlinien zus tzlich festlegen dass alle Dateien auf Wechselmedien immer verschl sselt werden sollen f gen Sie folgende Einstellungen hinzu E Initialverschl sselung aller Dateien Ja Stellt sicher dass Dateien auf Wechselmedien verschl sselt werden sobald die Wechselmedien zum ersten Mal mit dem System verbunden werden E Benutzer darf Initialverschl sselung abbrechen Nein Der Benutzer kann die Initialverschl sselung nicht abbrechen um sie z B zu einem sp teren Zeitpunkt durchzuf hren E Benutzer darf auf unverschl sselte Dateien zugreifen Nein Werden auf Wechselmedien unverschl sselte Dateien entdeckt so wird der Zugriff auf diese Dateien verweigert E Benutzer darf Dateien entschl sseln Nein Der Benutzer darf Dateien auf Wechselmedien nicht entschl sseln Im B ro haben sowohl Bob als auch Alice transparenten Zugriff auf verschl sselte Dateien auf Wechselmedien Zuhause oder auf Dritt Computern k nnen sie verschl sselte Dateien mit SafeGuard Portable ffnen Die Benutzer m ssen nur die Medien Passphrase eingeben und erhalten somit Zugriff auf alle verschl sselten Dateien Dies ist eine einfache und sichere Methode f r die Verschl sselung von Daten auf allen Wechselmedien Ziel dieser Konfiguration ist es die Benutzerinteraktion auf ein Minimu
276. ht kein Benutzerschl ssel in der Datenbank zur Verf gung Somit istin einem Challenge Response Verfahren nur die Recovery Aktion SGN Client ohne Benutzeranmeldung booten m glich Das Challenge Response Verfahren erm glicht das Booten des Computers durch die SafeGuard Power on Authentication Der Benutzer kann sich dann an Windows anmelden M gliche Recovery Anwendungsf lle Der Benutzer hat das Kennwort auf SafeGuard POA Ebene zu oft falsch eingegeben und der Computer wurde gesperrt Der Benutzer wei jedoch das Kennwort Der Computer ist gesperrt und der Benutzer wird dazu aufgefordert ein Challenge Response Verfahren zu starten um wieder Zugriff auf den Computer zu erhalten Da der Benutzer das Kennwort noch wei muss es nicht zur ckgesetzt werden Das Challenge Response Verfahren erm glicht das Booten des Computers durch die SafeGuard Power on Authentication Der Benutzer kann dann das korrekte Kennwort auf Windows Ebene eingeben und den Computer wieder benutzen Der Benutzer hat das Kennwort vergessen Hinweis Wir empfehlen Local Self Help einzusetzen um ein vergessenes Kennwort wiederherzustellen Mit Local Self Help k nnen Benutzer sich das aktuelle Benutzerkennwort anzeigen lassen und es weiterhin zur Anmeldung verwenden Dadurch wird ein R cksetzen des Kennworts vermieden Au erdem muss der Helpdesk nicht um Hilfe gebeten werden Administratorhilfe Wenn das Kennwort ber ein Challenge Response Verfahren wiederh
277. ice Konto ist es in der Regel nicht notwendig dass der Inhaber dieses Kontos Besitzer der Computer werden kann Diese Einstellung kann nach der initialen Zuweisung ge ndert werden Nach der Beantwortung der Frage werden alle Computer aus der zugewiesenen Gruppe im Aktionsbereich angezeigt Der Benutzer darf sich jetzt an allen Computern anmelden die so zugewiesen wurden Die Zuweisung einer Benutzergruppe an einen einzelnen Computer funktioniert analog zu dieser Beschreibung 213 SafeGuard Enterprise 27 Token und Smartcards 27 1 214 Hinweis Token und Smartcards k nnen f r Windows 8 Windows 8 1 und Mac Endpoints nicht konfiguriert werden SafeGuard Enterprise bietet erweiterte Sicherheit durch die Unterst tzung von Token und Smartcards f r die Authentisierung Auf Token Smartcards lassen sich Zertifikate digitale Signaturen und biometrische Informationen speichern Die Token Authentisierung basiert auf dem Prinzip der Zwei Faktor Authentisierung Ein Benutzer verf gt ber einen Token Besitz kann den Token aber nur nutzen wenn er das spezifische Token Kennwort kennt Wissen Bei Verwendung eines Token oder einer Smartcard ben tigen die Benutzer zur Authentisierung nur noch den Token und eine PIN Hinweis Smartcards und Token werden aus Sicht von SafeGuard Enterprise gleich behandelt Deshalb werden im Produkt und in der Hilfe die Begriffe Token und Smartcard gleichgesetzt SafeGuard Enterprise unterst
278. ichen 3758096394 Das Kennwort enth lt eine Tastaturspalte mit mehr als zwei Zeichen 3758096395 Das Kennwort hat seinen G ltigkeitszeitraum noch nicht erreicht 3758096396 Das Kennwort hat seine G ltigkeitsdauer berschritten 3758096397 Das Kennwort hat seine minimale G ltigkeitsdauer noch nicht erreicht 3758096398 Das Kennwort hat die maximale G ltigkeitsdauer berschritten 3758096399 Information ber einen bevorstehenden Wechsel des Kennwortes mu angezeigt werden 3758096400 nderung bei Erstanmeldung erforderlich 3758096401 Das Kennwort wurde in der History gefunden 3758096402 Fehler beim Verifizieren gegen die spezifizierte Blacklist 4026531840 Keine platform vorhanden 4026531841 Kein Dokument 4026531842 XML Parse Fehler 4026531843 Fehler im Document Object Model XML 4026531844 Kein lt DATAROOT gt Abschnitt gefunden XML 4026531845 XML Tag nicht gefunden 4026531846 nostream Fehler 4026531847 printtree Fehler Administratorhilfe 38 2 BitLocker Fehlercodes BitLocker Fehler werden durch die folgenden SafeGuard Events gemeldet m 2072 Kernel Initialisierung ist fehlgeschlagen Interner Code lt Fehlercode gt m 3506 Sektorbasierte Erst Verschl sselung des Laufwerks lt Laufwerksbuchstabe gt gescheitert und beendet Grund lt Fehlercode gt Die folgende Tabelle ent
279. icht im Windows Anmeldebildschirm stecken Informationstext Zeigt nach dem Starten eines Challenge Response Vorgangs in der SafeGuard POA einen Informationstext Zum Beispiel Bitte rufen Sie Ihren Support unter der Telefonnummer 01234 56789 an Bevor Sie einen Text angeben k nnen muss dieser als Textdatei im Richtlinien Navigationsbereich unter Informationstext erstellt werden BILDER 130 Voraussetzung Neue Bilder m ssen im SafeGuard Management Center im Richtlinien Navigationsbereich unter Bilder registriert werden Erst nach der Registrierung ist die Liste verf gbar Unterst tztes Format BMP PNG JPEG Administratorhilfe Richtlinieneinstellung Hintergrundbild in der POA Hintergrundbild in der POA niedrige Aufl sung Anmeldebild in der POA Anmeldebild in der POA niedrige Aufl sung Dateiverschl sselung Erkl rung Ersetzt das blaue SafeGuard Enterprise Hintergrundbild durch ein individuelles Hintergrundbild Kunden k nnen hier z B das Firmenlogo in der SafeGuard POA verwenden Maximale Dateigr e f r alle Hintergrundbilder 500 KB Normal m Aufl sung 1024x768 VESA Modus m Farben unbegrenzt Niedrig m Aufl sung 640 x 480 VGA Modus MW Farben 16 Farben Ersetzt das w hrend der SafeGuard POA Anmeldung angezeigte SafeGuard Enterprise Bild durch ein individuelles Bild z B das Firmenlogo Normal m Aufl sung 413 x 140 Pixel m Farben
280. ie auf OK um Ihre nderungen zu speichern 93 SafeGuard Enterprise 14 8 14 9 14 9 1 14 9 2 14 9 3 94 6 Um die Richtlinieneigenschaften aufzurufen klicken Sie mit der rechten Maustaste auf die gew nschte Richtlinie und w hlen Sie Eigenschaften aus dem Kontextmen Der Eigenschaften Dialog f r die Richtlinie wird angezeigt Hier k nnen Sie unter Allgemein und Zuweisung die entsprechenden Informationen einsehen Deaktivieren der bertragung von Richtlinien Als Sicherheitsbeauftragter k nnen Sie die bertragung von Richtlinien an Endpoints deaktivieren Klicken Sie hierzu in der SafeGuard Management Center Symbolleiste auf die Schaltfl che Richtlinienverteilung aktivieren deaktivieren oder w hlen Sie im Men Bearbeiten den Befehl Richtlinienverteilungaktivieren deaktivieren Nach der Deaktivierung der Richtlinien bertragung werden keine Richtlinien mehr an die Endpoints geschickt Um die Deaktivierung der Richtlinienverteilung r ckg ngig zu machen klicken Sie noch einmal auf die Schaltfl che oder w hlen Sie noch einmal den Men befehl Hinweis Um die bertragung von Richtlinien zu deaktivieren ben tigen Sie als Sicherheitsbeauftragter die Berechtigung Richtlinienverteilung aktivieren deaktivieren Den beiden vordefinierten Rollen Haupt Sicherheitsbeauftragter und Sicherheitsbeauftragter ist diese Berechtigung standardm ig zugewiesen Neu angelegten benutzerdefinierten Rollen kann diese Berecht
281. ie eine bereits bestehende Richtlinie dieses Typs aus 3 W hlen Sie im rechten Arbeitsbereich unter Tokenunterst tzung gt Modulname die passende Middleware aus Speichern Sie die Einstellungen 4 Weisen Sie die Richtlinie zu SafeGuard Enterprise kann nun mit dem Token kommunizieren Ausstellen eines Token Beim Ausstellen eines Token in SafeGuard Enterprise werden Daten auf den Token geschrieben die dann f r die Authentisierung verwendet werden Bei den Daten handelt es sich um die Anmeldeinformationen und Zertifikate In SafeGuard Enterprise k nnen Token f r folgende Benutzerrollen ausgestellt werden E Token f r Endbenutzer von zentral verwalteten Endpoints E Token f r Sicherheitsbeauftragte SO Zugriff auf den Token haben sowohl der Benutzer als auch der Sicherheitsbeauftragte SO Der Benutzer ist der der den Token benutzen soll Nur er hat Zugriff auf private Objekte und Schl ssel Der SO hat nur Zugriff auf ffentliche Objekte kann allerdings die Benutzer PIN zur cksetzen Ausstellen eines Token oder einer Smartcard f r Benutzer Voraussetzungen m Der Token muss initialisiert und das passende PKCS 11 Modul aktiviert worden sein m Das SafeGuard Enterprise Client Konfigurationspaket muss zudem auf dem Computer installiert sein auf dem das SafeGuard Management Center l uft m Sie ben tigen das Zugriffsrecht Voller Zugriff f r den relevanten Benutzer 1 Klicken Sie im SafeGuard Management Center auf
282. iedrigerer Priorit t gegen ber einer Richtlinie mit einer h heren Priorit t Um die Einstellungen Priorit t oder Kein berschreiben f r Richtlinien im Bereich Benutzer amp Computer zu ndern ben tigen Sie das Zugriffsrecht Voller Zugriff f r alle Objekte denen die Richtlinien zugewiesen sind Wenn Sie das Zugriffsrecht Voller Zugriff nicht f r alle Objekte haben k nnen die Einstellungen nicht bearbeitet werden Wenn Sie versuchen die Felder zu bearbeiten wird eine Info Meldung angezeigt Im Aktivierungsbereich werden die Gruppen Authentisierte Benutzer bzw Computer angezeigt Die Richtlinie gilt f r alle Gruppen innerhalb der OU bzw Dom ne Administratorhilfe 14 6 1 14 7 Aktivieren von Richtlinien f r einzelne Gruppen Richtlinien werden immer einer OU bzw einer Dom ne oder Arbeitsgruppe zugewiesen Sie gelten standardm ig f r alle Gruppen in diesen Container Objekten die Gruppen Authentisierte Benutzer und Authentisierte Computer werden im Aktivierungsbereich angezeigt Sie k nnen aber auch Richtlinien festlegen und sie f r eine einzelne oder mehrere Gruppen aktivieren Diese Richtlinien gelten dann ausschlie lich f r diese Gruppen Hinweis Um Richtlinien f r einzelne Gruppen zu aktivieren ben tigen Sie das Zugriffsrecht Voller Zugriff f r die relevante Gruppe 1 Weisen Sie die Richtlinie der OU in der sich die Gruppe befindet zu 2 Im Aktivierungsbereich werden die Gruppen
283. ien vorhanden sind Direkte Zuweisung von Richtlinien Der Benutzer Computer erh lt eine Richtlinie die direkt dem Container Objekt in dem er sich tats chlich befindet Mitgliedschaft als Benutzer einer Gruppe die sich in einem anderen Container Objekt befindet alleine reicht nicht aus zugewiesen wurde Das Container Objekt hat diese Richtlinie nicht geerbt Indirekte Zuweisung von Richtlinien Der Benutzer Computer erh lt eine Richtlinie die das Container Objekt in dem er sich tats chlich befindet die Mitgliedschaft in einer Gruppe die sich in einem anderen Container Objekt befindet als der Benutzer reicht nicht aus von einem ihr bergeordneten Container Objekt geerbt hat Aktivieren Deaktivieren von Richtlinien Damit eine Richtlinie f r einen Computer Benutzer wirken kann muss diese auf Gruppenebene aktiviert werden Richtlinien k nnen ausschlie lich auf Gruppenebene aktiviert werden Es spielt keine Rolle ob sich diese Gruppe im selben Container Objekt befindet oder nicht Wichtig ist hier nur dass der Benutzer oder Computer eine direkte bzw indirekte durch Vererbung Zuordnung der Richtlinie erhalten hat Befindet sich ein Computer oder Benutzer au erhalb einer OU oder Vererbungslinie und ist Mitglied einer Gruppe die sich innerhalb dieser OU befindet so gilt diese Aktivierung f r diesen Benutzer oder Computer nicht Denn f r diesen Benutzer oder Computer ist keine g ltige Zuweisung direkt bzw indirekt
284. iert ist Mit dieser Option konnte es dem Benutzer erm glicht werden den Endpoint von externen Medien zu starten Ab Version 6 1 hat diese Einstellung keine Auswirkungen auf Endpoints F r diese Recovery Szenario k nnen Sie nun den Recover Vorgang mit virutellen Clients Administratorhilfe Richtlinieneinstellung Erkl rung anwenden siehe Challenge Response mit virtuellen Clients Seite 247 Legt fest ob Benutzer den Computer von Festplatte und oder anderem Medium starten d rfen JA Benutzer darf ausschlie lich von der Festplatte booten Die M glichkeit den Computer mit Diskette oder einem weiteren externen Medium zu starten wird nicht in der SafeGuard POA angeboten NEIN Benutzer darf den Computer von Festplatte Diskette oder einem externen Medium USB CD etc starten ANMELDEOPTIONEN Anmeldemodus Legt fest wie sich Benutzer in der SafeGuard POA authentisieren m ssen mM Benutzername Kennwort Benutzer m ssen sich mit ihrem Benutzernamen und Kennwort anmelden Token Der Benutzer darf sich nur mit einem Token oder einer Smartcard in der SafeGuard POA anmelden Dieses Verfahren bietet eine h here Sicherheit Bei der Anmeldung wird der Benutzer aufgefordert seinen Token einzustecken Durch den Besitz des Token und der Eingabe der PIN wird die Identit t des Benutzers verifiziert Nach korrekter Eingabe der PIN liest SafeGuard Enterprise automatisch die Daten f r die Anmeldung des Benutzers
285. ierung m BitLocker Anmeldemodus TPM TPM PIN TPM USB Stick USB Stick m BitLocker Anmeldemodus Fallback USB Memory Stick Fehler F r weitere Informationen siehe Authentisierung Seite 132 173 SafeGuard Enterprise 21 2 4 4 174 Alle anderen Einstellungen werden vom BitLocker Endpoint ignoriert Erstverschl sselung auf einem durch BitLocker gesch tzten Computer Bevor die Verschl sselung beginnt werden die Verschl sselungsschl ssel und Entschl sselungsschl ssel von BitLocker generiert Je nach verwendetem System und der installierten SafeGuard BitLocker Unterst tzung variiert das Verhalten geringf gig Endpoints mit TPM BitLocker speichert eigene Schl ssel f r das Ver und Entschl sseln auf einem Hardwareger t das als TPM Sicherheitshardware Trusted Platform Module bezeichnet wird Die Schl ssel werden nicht auf der Festplatte des Computers gespeichert W hrend des Startvorgangs muss das BIOS Basic Input Output System auf TPM zugreifen k nnen Wenn Sie den Computer starten werden diese Schl ssel automatisch von TPM an BitLocker bergeben Ihr Sicherheitsbeauftragter kann TPM TPM PIN oder TPM USB Stick als Anmeldemodus f r BitLocker festlegen Wenn SafeGuard Enterprise BitLocker aktiviert wird der BitLocker Systemstartschl ssel am TPM gespeichert Hinweis TPM muss aktiviert und ein Besitzer muss festgelegt sein bevor SafeGuard Enterprise die BitLocker Verschl sselung verwalten ka
286. ierungsapplikation F r Synchronisierungsordner Synchronisierungsapplikationen Der Fully qualified Pfad der Synchronisierungsapplikation die von der SkyDrive Software benutzt wird F r Synchronisierungsordner Der Fully qualified Pfad des Synchronisierungsordners der von der SkyDrive Software benutzt wird Media Center lt Mediacenter gt Synchronisierungsapplikation F r Synchronisierungsordner Synchronisierungsapplikationen Der Fully qualified Pfad der 206 Administratorhilfe 25 2 2 Anbieter Platzhalter Kann in CSD Einstellung Wird aufgel st in verwendet werden Synchronisierungsapplikation die von der Media Center Software benutzt wird F r Synchronisierungsordner Der Fully qualified Pfad des Synchronisierungsordners der von der Media Center Software benutzt wird Beispiel Wenn Sie Dropbox als Cloud Storage Anbieter nutzen k nnen Sie f r die Synchronisierungsapplikation einfach lt Dropbox gt eingeben Wenn Sie den Synchronisierungsordner nicht explizit angeben wird lt Dropbox gt auch in die Liste mit Ordnern unter Synchronisierungsordner kopiert In diesem Beispiel wird davon ausgegangen dass m Sie die lt Dropbox gt f r die Synchronisierungsapplikation und lt Dropbox gt encrypt f r den Synchronisierungsordner in der Cloud Storage Definition verwendet haben m Dropbox auf dem Endpoint installiert ist m Der Benutzer dropbo
287. iese Einstellung zu aktivieren da dadurch der Transport der SQL Anmeldedaten verschl sselt wird SSL Verschl sselung erfordert eine funktionsf hige SSL Umgebung auf dem SQL Datenbankserver die Sie vorab einrichten m ssen siehe Sichern von Transportverbindungen mit SSL Seite 37 15 SafeGuard Enterprise 16 5 5 2 W hlen Sie unter Authentisierung die Art der Authentisierung die f r den Zugriff auf die Datenbankserverinstanz benutzt werden soll Dies ist erforderlich damit das SafeGuard Management Center mit der Datenbank kommunizieren kann E Aktivieren Sie Windows NT Authentisierung verwenden um Ihre Windows Anmeldedaten zu verwenden Hinweis Verwenden Sie diese Art der Authentisierung wenn Ihr Computer Teil einer Dom ne ist In diesem Fall sind jedoch zus tzliche Konfigurationsschritte notwendig da der Benutzer dazu berechtigt sein muss eine Verbindung mit der Datenbank herzustellen Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung E Aktivieren Sie SQL Server Authentisierung verwenden um mit den entsprechenden SQL Anmeldeinformationen auf die Datenbank zuzugreifen Geben Sie die Anmeldeinformationen des SQL Benutzerkontos ein das Ihr SQL Administrator erstellt hat Falls notwendig erhalten Sie diese Informationen von Ihrem SQL Administrator Hinweis Verwenden Sie diese Art der Authentisierung wenn Ihr Computer keiner Dom ne angeh rt Aktivieren Sie SSL verwen
288. igen Sie es Klicken Sie auf OK 5 Das Zertifikat des Haupt Sicherheitsbeauftragten wird importiert Klicken Sie auf Weiter 6 Aktivieren Sie unter Unternehmenszertifikat die Option ber vorhandenes Unternehmenszertifikat wiederherstellen Klicken Sie auf Importieren um die gesicherte Zertifikatsdatei auszuw hlen die das g ltige Unternehmenszertifikat enth lt Sie werden aufgefordert das f r den Zertifikatsspeicher definierte Kennwort einzugeben Geben Sie das Kennwort ein und klicken Sie auf OK Klicken Sie im Willkommen Fenster auf Weiter Das Unternehmenszertifikat wird importiert 7 Klicken Sie auf Weiter dann auf Beenden Die Datenbankkonfiguration ist wiederhergestellt Administratorhilfe 32 32 1 32 2 Bestands und Statusinformationen SafeGuard Enterprise liest eine F lle von Bestands und Statusinformationen von den Endpoints aus Diese Informationen zeigen den aktuellen globalen Zustand der einzelnen Computer Im SafeGuard Management Center werden die Informationen im Bereich Benutzer amp Computer in der Registerkarte Bestand dargestellt Als Sicherheitsbeauftragter k nnen Sie Bestands und Statusinformationen einsehen exportieren und drucken So k nnen Sie z B Compliance Berichte erstellen die die Verschl sselung von Endpoints nachweisen Umfassende Sortier und Filterfunktionen unterst tzen Sie bei der Auswahl der relevanten Informationen Der Bestand liefert u a folgende Informationen zu den
289. ignisse in der Datenbank protokollieren durch Klicken mit der Maus aus F r Ereignisse die in der Windows Ereignisanzeige protokolliert werden sollen klicken Sie in der Spalte mit dem Ereignisprotokollsymbol Im Ereignisprotokoll protokollieren Durch wiederholtes Klicken l sst sich die Markierung wieder aufheben oder auf null setzen F r Ereignisse f r die Sie keine Einstellung festlegen gelten die vordefinierten Standardwerte Bei den f r die Protokollierung ausgew hlten Ereignissen wird in der betreffenden Spalte ein gr nes H kchen angezeigt Speichern Sie Ihre Einstellungen Nach der Zuweisung der Richtlinie werden die ausgew hlten Ereignisse am festgelegten Ausgabeziel protokolliert Hinweis F r eine Auflistung aller f r die Protokollierung ausw hlbaren Ereignisse siehe F r Berichte ausw hlbare Ereignisse Seite 298 Einsehen von protokollierten Ereignissen Wenn Sie als Sicherheitsbeauftragter ber die entsprechenden Berechtigungen verf gen k nnen Sie die in der zentralen Datenbank protokollierten Ereignisse in der SafeGuard Management Center Ereignisanzeige einsehen 273 SafeGuard Enterprise So rufen Sie in der zentralen Datenbank protokollierte Ereignisse ab 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf die Schaltfl che Berichte 2 Markieren Sie im Berichte Navigationsbereich den Eintrag Ereignisanzeige 3 Klicken Sie im rechten Fensterbereich Freignisanzeige auf
290. igung jederzeit zugewiesen werden Regeln f r die Zuweisung und Auswertung von Richtlinien Die Verwaltung und Auswertung von Richtlinien folgt den in diesem Abschnitt dargestellten Regeln Zuweisen und Aktivieren von Richtlinien Damit eine Richtlinie f r einen Benutzer Computer wirksam werden kann muss sie einem Container Objekt Root Knoten Dom ne OU BuiltIn Container oder Arbeitsgruppe zugewiesen werden Damit die zugewiesene Richtlinie f r Benutzer Computer wirksam wird werden beim Zuweisen einer Richtlinie an einer beliebigen Stelle in der Hierarchie alle Computer authentisierte Computer und alle Benutzer authentisierte Benutzer automatisch aktiviert die alleinige Zuweisung ohne Aktivierung reicht nicht aus In diesen Gruppen sind alle Benutzer bzw Computer zusammengefasst Vererbung von Richtlinien Vererbung von Richtlinien ist nur zwischen Container Objekten m glich Innerhalb eines Containers vorausgesetzt er enth lt keine weiteren Container Objekte k nnen Richtlinien nur aktiviert werden auf Gruppenebene Vererbung zwischen Gruppen ist nicht m glich Vererbungsreihenfolge von Richtlinien Werden Richtlinien entlang einer Hierarchiekette zugewiesen so wirkt jene Richtlinie am st rksten die n her beim Zielobjekt Benutzer Computer ist Das bedeutet mit der Entfernung Administratorhilfe 14 9 4 14 9 5 14 9 6 zum Zielobjekt verliert die Richtlinie immer mehr an Kraft wenn n here Richtlin
291. ile Encryption for Disk Encryption for Disk Encryption for Mac 6 1 Mac 6 1 FileVault2 Mac 6 0 berichtet an von SafeGuard das MC verwaltet OS X 10 7 OS X 10 8 OS X 10 9 Die Beschreibungen in diesem Handbuch beziehen sich ausschlie lich auf Windows F r die Mac Versionen sehen Sie bitte in den entsprechenden Produkt Handb chern nach SafeGuard Enterprise 2 Empfohlene Sicherheitsma nahmen Wenn Sie die hier beschriebenen einfachen Schritte befolgen reduzieren Sie Risiken und die Daten auf Ihrem Computer sind jederzeit sicher und gesch tzt F r Informationen zur zertifizierungsgerechten Anwendung von SafeGuard Enterprise finden Sie im SafeGuard Enterprise Manual for certification compliant operation Englisch Vermeiden Sie den Standbymodus Wenn sich Sophos SafeGuard gesch tzte Endpoints in bestimmten Energiesparmodi befinden in denen das Betriebssystem nicht ordnungsgem heruntergefahren und bestimmte Hintergrundprozesse nicht beendet werden besteht die Gefahr dass sich Angreifer Zugriff auf die Verschl sselungsschl ssel verschaffen Der Schutz kann erh ht werden wenn das Betriebssystem immer vollst ndig heruntergefahren oder in den Ruhezustand versetzt wird Informieren Sie die Benutzer entsprechend oder erw gen Sie den Standbymodus auf nicht benutzten Endpoints zentral zu deaktivieren m Vermeiden Sie den Standbymodus ebenso wie den hybriden Standbymodus Der hybride Standbymodus ist eine M
292. ilt nach der Vereinigung der einzelnen Maschinenrichtlinien bei Richtlinien Loopback der Wert Computereinstellungen wiederholen werden die Benutzerrichtlinien mit den Maschinenrichtlinien vereinigt Nach der Vereinigung werden die Maschinenrichtlinien nochmals geschrieben und berschreiben gegebenenfalls Einstellungen aus den Administratorhilfe 14 9 12 5 14 9 13 Benutzerrichtlinien Ist eine Einstellung in beiden Richtlinien vorhanden so ersetzt der Wert der Maschinenrichtlinie den Wert der Benutzerrichtlinie Ergibt die Vereinigung der einzelnen Maschinenrichtlinien den Standardwert Kein Richtlinien Loopback so gilt Benutzereinstellungen vor Maschineneinstellungen Ausf hrungsreihenfolge der Richtlinien Benutzer ignorieren Computer Computereinstellungen wiederholen Computer gt Benutzer gt Computer Die erste Maschinen Ausf hrung wird f r die Richtlinien ben tigt die schon vor der Benutzeranmeldung z B Hintergrundbild bei der Anmeldung geschrieben werden Kein Richtlinien Loopback Standardeinstellung Computer gt Benutzer Sonstige Definitionen Die Entscheidung ob es sich um eine Benutzer bzw Maschinenrichtlinie handelt h ngt von der Herkunft der Richtlinie ab Ein Benutzerobjekt bringt eine Benutzerrichtlinie mit ein Computer bringt eine Computerrichtlinie mit Dieselbe Richtlinie kann bei unterschiedlicher Sicht sowohl Computer als auch Benutzerrichtlinie sein E Benutzerricht
293. inierte Skripte f r periodische Tasks Seite 289 Mit dem Taskplaner k nnen Sie Skripte importieren exportieren und bearbeiten F r weitere Informationen siehe Mit Skripten im Taskplaner arbeiten Seite 287 6 W hlen Sie das Skript aus das mit dem Task ausgef hrt werden soll und klicken Sie auf OK Wenn das ausgew hlte Skript leer ist bleibt die Schaltfl che OK im Dialog deaktiviert Au erdem wird ein Warnungssymbol angezeigt 7 Geben Sie im Feld Startzeit an wann der Task auf dem ausgew hlten Server ausgef hrt werden soll Die Startzeit wird unter Anwendung der lokalen Zeit des Computers auf dem das SafeGuard Management Center l uft angegeben Intern wird die Startzeit als Coordinated Universal Time UTC gespeichert Dadurch k nnen Tasks auch dann exakt zur gleichen Zeit ausgef hrt werden wenn sich Server in unterschiedlichen Zeitzonen befinden Alle Server verwenden die aktuelle Zeit des Datenbankservers f r das Starten von Tasks Zur Optimierung der Task berwachung wird die Datenbankreferenzzeit im Taskplaner Dialog angezeigt 8 Geben Sie im Feld Wiederholung an wie oft der Task auf dem ausgew hlten Server ausgef hrt werden soll E Um den Task einmal auszuf hren w hlen Sie Einmal und geben Sie das gew nschte Datum an E Um den Task t glich auszuf hren w hlen Sie T glich und dann Jeden Tag inklusive Samstag und Sonntag oder Jeden Wochentag Montag Freitag E Um den Task w chentlich ausz
294. inistratorhilfe 12 1 Hinweis Die Liste Zugewiesene Schl ssel zeigt nur die Schl ssel die Objekten zugewiesen sind f r die Sie die Zugriffsrechte Schreibgesch tzt oder Voller Zugriff haben In der Ansicht Schl ssel wird die Anzahl an allen verf gbaren Schl ssel ungeachtet Ihrer Zugriffsrechte angegeben Die Liste Zugewiesene Schl ssel zeigt die Anzahl an Schl sseln die gem Ihren Zugriffsrechten sichtbar sind 1 Diese Ansicht wird durch Klicken auf Benutzer amp Computer ge ffnet 2 Die Schl ssel eines hier markierten Objekts werden im Aktionsbereich und in den dazugeh rigen Ansichten angezeigt 3 Die Anzeige im Aktionsbereich ist abh ngig von der Auswahl im Navigationsbereich Es werden alle dem ausgew hlten Objekt zugewiesenen Schl ssel angezeigt 4 Unter Verf gbare Schl ssel werden alle verf gbaren Schl ssel angezeigt Dem ausgew hlten Objekt bereits zugewiesene Schl ssel sind ausgegraut ber Filter kann zwischen bereits einem Objekt zugewiesenen aktiven und noch keinem Objekt zugewiesenen inaktiven Schl sseln umgeschaltet werden Nach dem Import verf gt jeder Benutzer ber eine Anzahl von Schl sseln die zur Datenverschl sselung verwendet werden k nnen Schl ssel f r die Datenverschl sselung Benutzern k nnen bestimmte Schl ssel zur Verschl sselung von Volumes zugewiesen werden indem Richtlinien vom Typ Ger teschutz angelegt werden In einer Richtlinie vom Typ Ger teschutz k nnen
295. initialisieren ndern zur cksetzen und sperren Token Daten lesen und l schen Token sperren Hinweis Um Token auszustellen und zu verwalten oder Daten auf ausgestellten Token zu ndern ben tigen Sie das Zugriffsrecht Voller Zugriff f r die relevanten Benutzer Die Ansicht Ausgestellte Token zeigt die Token f r alle Benutzer f r die Sie die Zugriffsrechte Schreibgesch tzt oder Voller Zugriff haben Administratorhilfe 27 4 Vorbereitung f r die Benutzung von Token 27 4 1 27 4 2 27 4 3 Die folgenden vorbereitenden Ma nahmen sind f r die Unterst tzung von Token Smartcards in SafeGuard Enterprise notwendig E Initialisierung leerer Token E Installation der Middleware E Aktivierung der Middleware Initalisieren eines Token Bevor ein leerer unformatierter Token in SafeGuard Enterprise bentutzt werden kann muss er nach den Angaben des Token Herstellers f r die Verwendung vorbereitet also initialisiert werden Bei der Initialisierung wird er mit Basisinformationen z B den Standard PINs beschrieben Dies erfolgt mit der Initialisierungssoftware des Herstellers Weitere Informationen finden Sie in der Dokumentation des relevanten Token Herstellers Installieren der Middleware Installieren Sie die korrekte Middleware sowohl auf dem Computer auf dem das SafeGuard Management Center installiert ist als auch auf dem relevanten Endpoint falls noch nicht geschehen F r Informationen zur unterst tzten Middle
296. inken Seite auf Virtuelle Clients Klicken Sie auf das Lupensymbol um eine vollst ndige Liste aller virtuellen Clients zu erstellen Filtern Sie die virtuellen Clients nach Symbolischer Name oder Schl ssel GUID Ansichten f r exportierte Schl sseldateien l Klicken Sie im SafeGuard Management Center zun chst auf Virtuelle Clients und dann auf Exportierte Schl sseldateien Klicken Sie auf das Lupensymbol um eine vollst ndige Liste aller exportierten Schl sseldateien zu erstellen Klicken Sie auf das Symbol neben der gew nschten Schl sseldatei um die in der Datei enthaltenen Schl ssel anzuzeigen L schen von virtuellen Clients l 2 ffnen Sie das SafeGuard Management Center und klicken Sie auf Schl ssel und Zertifikate Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients Administratorhilfe 3 Klicken Sie im Aktionsbereich auf das Lupensymbol um nach dem gew nschten virtuellen Client zu suchen Die verf gbaren virtuellen Clients werden angezeigt 4 W hlen Sie den gew nschten Eintrag im Aktionsbereich aus und klicken Sie in der Symbolleiste auf Virtuellen Client l schen 5 Speichern Sie ihre nderungen in der Datenbank indem Sie in der Symbolleiste auf das Symbol Speichern klicken Der virtuelle Client wird aus der Datenbank gel scht 83 SafeGuard Enterprise 13 Company Certificate Change Orders 13 1 84 Company Certificate Change Orders CCOs wer
297. instellungen die der Computer direkt oder indirekt bekommt auch von Richtlinien die beim Richtlinien Loopback Computereinstellungen wiederholen nicht gesetzt wurden neu geschrieben Benutzer ignorieren Sie finden diese Einstellung unter Richtlinien gt Richtlinie vom Typ Allgemeine Einstellungen gt Laden der Einstellungen gt Richtlinien Loopback Wird bei einer Richtlinie vom Typ Allgemeine Einstellungen f r einen Computer bei der Option Richtlinien Loopback die Einstellung Benutzer ignorieren ausgew hlt und die Richtlinie kommt von einer Maschine werden nur die Maschineneinstellungen ausgewertet Benutzereinstellungen werden nicht ausgewertet Kein Loopback Sie finden diese Einstellung unter Richtlinien gt Richtlinie vom Typ Allgemeine Einstellungen gt Laden der Einstellungen gt Richtlinien Loopback Kein Loopback beschreibt das Standardverhalten Benutzerrichtlinien gelten vor Computerrichtlinien Auswertung der Einstellungen Benutzer ignorieren und Computereinstellungen wiederholen Existieren aktive Richtlinienzuweisungen werden zuerst die Maschinenrichtlinien ausgewertet und vereinigt Ergibt diese Vereinigung der einzelnen Richtlinien bei der Option Richtlinien Loopback den Wert Benutzer ignorieren werden die Richtlinien die f r den Benutzer bestimmt gewesen w ren nicht mehr ausgewertet Das bedeutet sowohl f r den Benutzer als auch f r den Computer gelten die gleichen Richtlinien G
298. ints erzeugt SafeGuard Enterprise einen Computerschl ssel f r diesen Endpoint definierter Computerschl ssel Hinweis Der definierte Computerschl ssel wird nur dann erzeugt wenn volume basierende Verschl sselung auf dem Endpoint installiert ist Bei der Anmeldung erh lt jeder Benutzer alle Schl ssel aus seinem Schl sselbund Dieser Schl sselbund besteht aus E aus den Schl sseln der Gruppen in denen der Benutzer Mitglied ist E aus den Schl sseln der den Gruppen in denen er Mitglied ist bergeordneten Container OUs Durch die Schl ssel in seinem Schl sselbund ist festgelegt auf welche Daten der Benutzer zugreifen kann Es ist dem Benutzer nur m glich auf Daten zuzugreifen f r die er den passenden Schl ssel besitzt Hinweis Um zu vermeiden das nicht benutzte Schl ssel im Schl sselring des Benutzers angezeigt werden k nnen Sie festlegen dass Schl ssel ausgeblendet werden sollen F r weitere Informationen siehe Verbergen von Schl sseln Seite 72 Alle vorhandenen Schl ssel werden angezeigt wenn Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer klicken und die Registerkarte Schl ssel w hlen Alle berhaupt vorhandenen Schl ssel k nnen angezeigt werden wenn Sie im Navigationsbereich des SafeGuard Management Centers auf Schl ssel und Zertifikate klicken und Schl ssel w hlen Sie k nnen Listen f r Zugewiesene Schl ssel und Inaktive Schl ssel generieren Adm
299. ionsfenster mit der rechten Maustaste auf Richtlinien und w hlen Sie im Kontextmen den Befehl Neu 4 W hlen Sie den Richtlinientyp aus Es wird ein Dialog f r die Benennung der neuen Richtlinie angezeigt 5 Geben Sie einen Namen und optional eine Beschreibung f r die neue Richtlinie ein Richtlinien f r den Ger teschutz Wenn Sie eine Richtlinie dieses Typs erstellen m ssen Sie auch ein Ziel f r den Ger teschutz angeben M gliche Ziele sind Massenspeicher Boot Laufwerke Andere Volumes Wechselmedien Optische Laufwerke Datentr germodelle Einzelne Datentr ger Cloud Storage F r jedes Ziel muss eine eigene Richtlinie angelegt werden Sie k nnen die einzelnen Richtlinien sp ter z B zu einer Richtliniengruppe mit der Bezeichnung Verschl sselung zusammenfassen 6 Klicken Sie auf OK Die neu angelegte Richtlinie wird im Navigationsfenster unter Richtlinien angezeigt Im Aktionsbereich werden alle Einstellungen f r den gew hlten Richtlinientyp angezeigt Die Einstellungen k nnen dort ge ndert werden Administratorhilfe 14 2 Bearbeiten von Richtlinieneinstellungen Wenn Sie im Navigationsfenster eine Richtlinie ausw hlen k nnen Sie deren Einstellungen im Aktionsbereich bearbeiten Hinweis Das rote Symbol vor dem Text nicht konfiguriert gibt an dass f r diese Einstellung ein Wert festgelegt werden muss Sie k nnen die Richtlinie erst speichern wenn not configured Sie eine andere Eins
300. ird nun im angegebenen Verzeichnis angelegt Im n chsten Schritt verteilen Sie das Paket an Ihre Macs zur Installation 294 Administratorhilfe 36 36 1 36 2 SafeGuard Enterprise und selbst verschl sselnde Opal Festplatten Selbst verschl sselnde Festplatten bieten hardware basierende Verschl sselung der Daten die auf die Festplatte geschrieben werden Die Trusted Computing Group TCG hat den anbieter unabh ngigen Opal Standard f r selbst verschl sselnde Festplatten ver ffentlicht Festplatten die dem Opal Standard entsprechen werden von unterschiedlichen Herstellern angeboten SafeGuard Enterprise unterst tzt den Opal Standard und bietet die Verwaltung von Endpoints mit selbst verschl sselnden Festplatten die dem Opal Standard entsprechen Siehe auch http www sophos com de de support knowledgebase 113366 aspx Integration von Opal Festplatten in SafeGuard Enterprise In SafeGuard Enterprise lassen sich Endpoints mit selbst verschl sselnden Opal Festplatten wie alle anderen durch SafeGuard Enterprise gesch tzten Endpoints ber das SafeGuard Management Center verwalten Die zentrale und vollst ndig transparente Verwaltung von Opal Festplatten durch SafeGuard Enterprise erm glicht somit die Anwendung in heterogenen IT Umgebungen Durch die Unterst tzung des Opal Standards bieten wir den vollen Funktionsumfang von SafeGuard Enterprise f r Benutzer von selbst verschl sselnden Opal Festplatten In Verbindung mit
301. ischung aus Energiesparmodus und Standbymodus Die Einstellung einer zus tzlichen Kennwort Abfrage nach dem Aufwecken des Computers bietet keinen vollen Schutz m Vermeiden Sie das Sperren von Desktops das Ausschalten von Monitoren oder das Zuklappen von Laptops wenn darauf kein vollst ndiges Herunterfahren oder der Ruhezustand folgt Die Einstellung einer zus tzlichen Kennwort Abfrage nach dem Aufwecken des Computers bietet keinen ausreichenden Schutz m Fahren Sie stattdessen die Endpoints herunter oder versetzen Sie sie in den Ruhezustand Beim n chsten Benutzen des Computers wird stets die SafeGuard Power on Authentication aktiviert die somit vollen Schutz bietet Hinweis Es ist wichtig dass sich die Ruhezustand Datei auf einem verschl sselten Volume befindet Normalerweise liegt sie auf Laufwerk C Die entsprechenden Einstellungen f r die Energieverwaltung k nnen Sie zentral mit Gruppenrichtlinienobjekten oder lokal im Eigenschaften f r Energieoptionen Dialog in der Systemsteuerung des Endpoints konfigurieren Stellen Sie die Aktion f r die Standbymodus Schaltfl che auf Ruhezustand oder Herunterfahren Setzen Sie eine Richtlinie f r sichere Kennw rter um Setzen Sie eine Richtlinie f r sichere Kennw rter um und erzwingen Sie einen Kennwortwechsel in regelm igen Abst nden besonders f r die Anmeldung an Endpoints Kennw rter sollten nicht an andere Personen weitergegeben oder aufgeschrieben werden Informieren
302. ise Datenbank Server Verteilen und Installieren der Konfigurationspakete auf den Endpoints So ndern Sie den Algorithmus f r selbst signierte Zertifikate m W hlen Sie Extras gt Optionen in der SafeGuard Management Center Men leiste W hlen Sie in der Registerkarte Allgemein unter Zertifikate den erforderlichen Algorithmus in Hash Algorithmus f r erzeugte Zertifikate aus und klicken Sie auf OK Klicken Sie in der Registerkarte Zertifikate unter Anforderung auf Aktualisieren Geben Sie im Dialog Unternehmenszertifikat aktualisieren einen Namen f r die CCO an und legen Sie einen Backup Pfad fest Geben Sie ein Kennwort f r die Pl2 Datei ein und best tigen Sie Ihre Eingabe Geben Sie nach Wunsch eine Anmerkung ein und klicken Sie auf Erzeugen Wenn Sie dazu aufgefordert werden best tigen Sie dass diese nderung nicht r ckg ngig gemacht werden kann und dass alle nachfolgend erstellten Konfigurationspakete diese CCO enthalten m ssen damit Sie auf bereits installierten Endpoints wirksam werden k nnen Wenn Sie dazu aufgefordert werden best tigen Sie dass die Aktualisierung erfolgreich war und dass eine CCO erzeugt wurde die in alle Konfigurationspakete aufgenommen werden soll Klicken Sie auf OK 6 Klicken Sie im Extras Men auf Konfigurationspakete 7 W hlen Sie den erforderlichen Konfigurationspakettyp Pakete f r Managed Clients oder l 13 14 Pakete f r Standalone Clients
303. itraum fest in dem ein Kennwort nicht erneut ge ndert werden darf Diese Einstellung verhindert dass ein Benutzer sein Kennwort innerhalb eines bestimmten Zeitraums beliebig oft ndern kann Bei einem durch Windows erzwungenen Kennwortwechsel oder bei einem Wechsel des Kennworts nach der Anzeige der Warnung dass das Kennwort in x Tagen abl uft wird diese Einstellung nicht ausgewertet Beispiel Die Benutzerin Schmidt definiert ein neues Kennwort z B 13jk56 F r sie oder f r die Gruppe der sie zugeordnet ist ist ein Wechsel nach mind f nf Tagen festgelegt Bereits nach zwei Tagen will sie das Kennwort 13jk56 ndern Dies wird abgelehnt da Frau Schmidt erst nach f nf Tagen ein neues Kennwort definieren darf 145 SafeGuard Enterprise Richtlinieneinstellung Erkl rung Kennwort l uft ab nach Tage Wird die maximale G ltigkeitsdauer aktiviert muss der Benutzer nach dem eingetragenen Zeitraum sein Kennwort wechseln und ein neues Kennwort definieren Warnung vor Ablauf Tage Ab n Tagen vor Ablauf des Kennworts wird eine Warnmeldung ausgegeben und der Benutzer darauf hingewiesen dass er in n Tagen sein Kennwort ndern muss Fr erh lt daraufhin die M glichkeit das Kennwort sofort zu ndern ALLGEMEIN Eintr ge verbergen Definiert ob Eingaben verborgen werden wenn Kennw rter eingegeben werden Kennwortgenerationen Legt fest wann bereits verwendete Kennw rter wieder b
304. iviert demzufolge Wake on LAN Administratorhilfe 29 Recovery Optionen F r Recovery Vorg nge bietet SafeGuard Enterprise verschiedene Optionen die auf unterschiedliche Szenarien zugeschnitten sind E Recovery f r die Anmeldung mit Local Self Help Mit Local Self Help k nnen sich Benutzer die ihr Kennwort vergessen haben ohne Unterst tzung durch einen Helpdesk wieder an ihrem Computer anmelden So erhalten Benutzer auch in Situationen in denen sie keine Telefon oder Netzwerkverbindung und somit auch kein Challenge Response Verfahren nutzen k nnen z B an Bord eines Flugzeugs wieder Zugang zu ihrem Computer Um sich anzumelden m ssen sie lediglich eine bestimmte Anzahl an vordefinierten Fragen in der SafeGuard Power on Authentication beantworten Local Self Help reduziert die Anzahl an Helpdesk Anforderungen f r Recovery Vorg nge die die Anmeldung betreffen Helpdesk Mitarbeitern werden somit Routine Aufgaben abgenommen und sie k nnen sich auf komplexere Support Anforderungen konzentrieren F r weitere Informationen siehe Recovery mit Local Self Help Seite 234 E Recovery mit Challenge Response Das Challenge Response Verfahren ist ein sicheres und effizientes Recovery System das Benutzer unterst tzt die sich nicht mehr an ihrem Computer anmelden oder nicht mehr auf verschl sselte Daten zugreifen k nnen W hrend eines Challenge Response Verfahrens bermittelt der Benutzer einen auf dem Endpoint erzeugten Ch
305. kollierungsrichtlinie definiert Hier legen Sie als Sicherheitsbeauftragter mit den relevanten Berechtigungen fest welche Ereignisse an welchem Ausgabeort protokolliert werden Administratorhilfe 33 4 1 Festlegen der Anzahl an Ereignissen f r R ckmeldung 33 4 2 33 5 4 Klicken Sie im SafeGuard Management Center auf Richtlinien Legen Sie eine neue Richtlinie des Typs Allgemeine Einstellung an oder w hlen Sie eine bereits bestehende Richtlinie aus Legen Sie im Feld R ckmeldung nach Anzahl von Ereignissen unter Protokollierung die maximale Anzahl an Ereignissen pro Protokolldatei fest Speichern Sie Ihre Einstellungen Nach dem Zuweisen der Richtlinie gilt die angegebene Anzahl an Ereignissen Auswahl von Ereignissen 1 Klicken Sie im SafeGuard Management Center auf Richtlinien Legen Sie eine neue Richtlinie des Typs Protokollierung an oder w hlen Sie eine bereits bestehende Richtlinie aus Im rechten Aktionsbereich unter Protokollierung werden die vordefinierten Ereignisse die protokolliert werden k nnen angezeigt Standardm ig werden Ereignisse nach Ebene gruppiert zum Beispiel Warnung oder Fehler Sie k nnen die Gruppierung jedoch ndern Ein Klick auf die Spalten berschrift sortiert die Ereignisse nach ID Kategorie usw Um festzulegen dass ein Ereignis in der SafeGuard Enterprise Datenbank protokolliert werden soll w hlen Sie das Ereignis in der Spalte mit dem Datenbanksymbol Ere
306. kript wird in der Datenbank gespeichert Bearbeiten von Skripten 6 W hlen Sie in der SafeGuard Management Center Men leiste Extras gt Taskplaner Der Dialog Taskplaner mit einer bersicht ber die geplanten Tasks wird angezeigt W hlen Sie den gew nschten Task und klicken Sie auf die Schaltfl che Eigenschaften Der lt Task Name gt Eigenschaften Dialog mit den Eigenschaften des ausgew hlten Tasks wird angezeigt Klicken Sie auf die Dropdown Schaltfl che Bearbeiten neben dem Feld Skript Die Dropdownliste zeigt alle Editor Programme die f r die Bearbeitung des Skripts zur Verf gung stehen W hlen Sie den Editor den Sie verwenden m chten Das Skript wird im ausgew hlten Editor ge ffnet Nehmen Sie Ihre nderungen vor und speichern Sie sie Der Editor wird geschlossen und der Dialog lt Task Name gt Eigenschaften wird wieder angezeigt Klicken Sie auf OK Das ge nderte Skript wird in der Datenbank gespeichert Administratorhilfe 34 5 3 34 5 4 34 5 4 1 Export von Skripts 1 W hlen Sie in der SafeGuard Management Center Men leiste Extras gt Taskplaner Der Dialog Taskplaner mit einer bersicht ber die geplanten Tasks wird angezeigt 2 W hlen Sie den gew nschten Task und klicken Sie auf die Schaltfl che Eigenschaften Der lt Task Name gt Eigenschaften Dialog mit den Eigenschaften des ausgew hlten Tasks wird angezeigt 3 Klicken Sie auf die Schaltfl che Ex
307. kt an die Endpoints bertragen wo sie analysiert werden Hinweis Wir weisen an dieser Stelle ausdr cklich darauf hin dass auch das zeitlich begrenzte Ausschalten der SafeGuard POA f r eine bestimmte Anzahl von Boot Vorg ngen ein Absenken des Sicherheitsniveaus bedeutet F r weitere Informationen zu Wake on LAN siehe Sicheres Wake on LAN WOL Seite 231 Anzahl der automatischen Anmeldungen Definiert die Anzahl der Neustarts mit ausgeschalteter SafeGuard Power on Authentication f r Wake on LAN Diese Einstellung berschreibt tempor r die Einstellung von Power on Authentication aktivieren bis die Anzahl der eingestellten automatischen Anmeldungen erreicht ist Danach wird die SafeGuard Power on Authentication wieder aktiviert Wenn Sie die Anzahl an automatischen Anmeldungen auf zwei einstellen und Power on Authentication aktivieren aktiv ist startet der Endpoint zweimal ohne Authentisierung durch die SafeGuard POA Wir empfehlen f r Wake on LAN immer drei Neustarts mehr als notwendig zu erlauben um unvorhergesehene Probleme zu umgehen Anmeldungan Windows w hrend WOL erlaubt Legt fest ob w hrend eines Wake on LAN eine Anmeldung an Windows erlaubt ist z B f r ein Software Update Diese Einstellung wird von der POA ausgewertet Beginn des Zeitfensters f r externen WOL Start Ende des Zeitfensters f r externen WOL Start Datum und Uhrzeit f r den Beginn und das Ende des Wake on LAN
308. l ssel auf diese Weise vorgeben wollen m ssen Sie unter F r Verschl sselung definierter Schl ssel einen Schl ssel festlegen Diese Option wird erst angezeigt wenn Sie Definierter Schl ssel aus der Liste ausgew hlt haben Wenn Sie auf die Schaltfl che neben der Option F r Verschl sselung definierter Schl ssel klicken wird ein Dialog angezeigt in dem Sie einen Schl ssel angeben k nnen Stellen Sie sicher dass der Benutzer auch den entsprechenden Schl ssel hat Markieren Sie den gew nschten Schl ssel und klicken Sie auf OK Der ausgew hlte Schl ssel wird auf dem Endpoint Computer zur Verschl sselung verwendet 12 1 1 Zuweisen von Schl sseln im Bereich Benutzer amp Computer Um Schl ssel zuzuweisen ben tigen Sie das Zugriffsrecht Voller Zugriff f r das relevante Objekt So weisen Sie Benutzern neue Schl ssel zu 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Navigationsbereich das gew nschte Objekt aus z B Benutzer Gruppe oder Container 3 Klicken Sie mit der rechten Maustaste auf die Registerkarte Schl ssel und w hlen Sie Neuen Schl ssel zuweisen aus dem Kontextmen 4 F hren Sie im Dialog Neuen Schl ssel zuweisen folgende Aufgaben aus a Geben Sie einen Symbolischen Namen und eine Beschreibung f r den Schl ssel ein b Um den Schl ssel im Schl sselring des Benutzers zu verbergen w hlen Sie das Kontrollk stchen Schl ssel verbergen
309. l startet und zeigt eine Liste aller Volumes mit den jeweiligen Verschl sselungsinformationen Schl ssel ID Language select English 1033 r aa me W hlen Sie das Volume das Sie entschl sseln m chten und klicken Sie auf Import mit C R um den Challenge Code zu erzeugen Die Datei mit dem virtuellen Client wird als Referenz in der SafeGuard Enterprise Datenbank verwendet und in der Challenge angegeben Der Challenge Code wird erzeugt und angezeigt bermitteln Sie den Namen des virtuellen Clients und den Challenge Code an den Helpdesk z B ber Telefon oder eine Textmitteilung Hierzu steht eine Buchstabierhilfe zur Verf gung Best tigen des virtuellen Client Voraussetzung Der virtuelle Client muss im SafeGuard Management Center unter Virtuelle Clients angelegt worden sein und er muss in der Datenbank zur Verf gung stehen l Klicken Sie im SafeGuard Management Center auf Extras gt Recovery um den Recovery Assistenten zu ffnen W hlen Sie unter Recovery Typ die Option Virtueller Client Geben Sie den Namen des virtuellen Client ein den Sie vom Benutzer erhalten haben Hierzu gibt es verschiedene M glichkeiten E Geben Sie den eindeutigen Namen direkt ein m W hlen Sie einen Namen indem Sie auf im Abschnitt Virtueller Client des Dialogs Recovery Typ klicken Klicken Sie anschlie end auf Jetzt suchen Eine Liste mit virtuellen Clients wird angezeigt W hlen Sie den gew
310. le Schl ssel zu erzeugen Standardeinstellung in SafeGuard Enterprise Konfigurieren von vertrauensw rdigen und ignorierten Anwendungen f r SafeGuard Data Exchange Sie k nnen Anwendungen als vertrauensw rdig definieren um ihnen Zugriff auf verschl sselte Dateien zu geben Dies ist zum Beispiel notwendig damit Antivirus Software verschl sselte Dateien berpr fen kann Sie k nnen Anwendungen als ignoriert definieren um sie von der transparenten Dateiverschl sselung Dateientschl sselung auszuschlie en Wenn Sie zum Beispiel ein Backup Programm als ignorierte Anwendung definieren bleiben die vom Programm gesicherten verschl sselten Daten verschl sselt Hinweis Untergeordnete Prozesse werden nicht als vertrauensw rdig ignoriert eingestuft 1 Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine Einstellungen an oder w hlen Sie eine vorhandene aus 199 SafeGuard Enterprise 24 6 24 6 1 200 2 Klicken Sie unter Dateiverschl sselung auf die Dropdown Schaltfl che der Felder Vertrauensw rdige Anwendungen oder Ignorierte Anwendungen 3 Geben Sie im Editor Listenfeld die Anwendungen ein die Sie als vertrauensw rdig ignoriert definieren m chten E Sie k nnen mehrere vertrauensw rdige ignorierte Anwendungen in einer Richtlinie definieren Jede Zeile im Editor Listenfeld definiert jeweils eine Anwendung E Anwendungsnamen m ssen auf exe enden E Anwendungsnamen m ssen
311. len Sie auf der Recovery Typ Seite die Option SafeGuard Enterprise Client Managed 2 W hlen Sie unter Dom ne die gew nschte Dom ne aus der Liste 3 Geben Sie unter Computer den gew nschten Computernamen ein oder w hlen Sie ihn aus Hierf r gibt es mehrere M glichkeiten E Um einen Namen auszuw hlen klicken Sie auf Klicken Sie anschlie end auf Jetzt suchen Eine Liste mit Computern wird angezeigt W hlen Sie den gew nschten Computer aus und klicken Sie auf OK Der Computername wird auf der Seite Recovery Typ angezeigt E Geben Sie den Kurznamen des Computers direkt in das Feld ein Wenn Sie auf Weiter klicken wird der Name in der Datenbank gesucht Der gefundene Computername wird als Distinguished Name angezeigt E Geben Sie den Computernamen direkt als Distinguished Name ein zum Beispiel CN Desktopl OU Development OU Headquarter DC Sophos DC edu 4 Klicken Sie auf Weiter 5 W hlen Sie das Volume auf das zugegriffen werden soll aus der Liste und klicken Sie auf Weiter 6 Klicken Sie auf Weiter Eine Seite f r die Eingabe des Challenge Codes wird angezeigt 7 Geben Sie den vom Benutzer erhaltenen Challenge Code ein und klicken Sie auf Weiter 8 Es wird ein Response Code erzeugt Teilen Sie dem Benutzer den Response Code mit Hierzu steht eine Buchstabierhilfe zur Verf gung Sie k nnen den Response Code auch in die Zwischenablage kopieren Der Benutzer muss den Response Code eingeben und beko
312. lentypen stehen zur Verf gung E Rolle des Haupt Sicherheitsbeauftragten Master Security Officer MSO E Vordefinierte Rollen E Benutzerdefinierte Rollen Haupt Sicherheitsbeauftragter Nach der Installation von SafeGuard Enterprise wird bei der initialen Konfiguration des SafeGuard Management Center automatisch ein Haupt Sicherheitsbeauftragter Master Security Officer MSO angelegt Der Haupt Sicherheitsbeauftragte ist der Sicherheitsbeauftragte der h chsten Ebene und hat alle Rechte sowie Zugriff auf alle Objekte vergleichbar mit dem Administrator bei Windows Die Rechte des Haupt Sicherheitsbeauftragten k nnen nicht ge ndert werden F r eine Instanz des SafeGuard Management Centers k nnen mehrere Haupt Sicherheitsbeauftragte angelegt werden Aus Sicherheitsgr nden empfehlen wir Administratorhilfe 11 1 2 mindestens einen weiteren Haupt Sicherheitsbeauftragten anzulegen Zus tzliche Haupt Sicherheitsbeauftragte k nnen jederzeit gel scht werden es muss jedoch immer ein Benutzer mit der Rolle des Haupt Sicherheitsbeauftragten vorhanden sein der explizit als Hauptsicherheits Beauftragter in der SafeGuard Enterprise Datenbank angelegt wurde Ein Haupt Sicherheitsbeauftragter kann Aufgaben an andere Personen delegieren Dazu gibt es zwei M glichkeiten E Ein neuer Benutzer Sicherheitsbeauftragter kann unter Sicherheitsbeauftragte angelegt werden E Ein aus dem Active Directory importierter und im Stammverzeichnis des
313. lierten Ereignissen erstellen F r diesen Task k nnen Sie das vordefinierte Skript EventLogDeletion vbs verwenden Das Skript l scht Ereignisse aus der EVENT Tabelle Wenn Sie den entsprechenden Parameter einstellen verschiebt das Skript auch die Ereignisse aus der EVENT Tabelle in die Backup Log Tabelle EVENT_BACKUP Dabei wird eine definierte Anzahl an neuesten Ereignissen in der EVENT Tabelle belassen Administratorhilfe 34 6 Bevor Sie das Skript in einem periodischen Task verwenden k nnen Sie folgende Parameter anpassen Parameter Beschreibung maxDuration Mit diesem Parameter legen Sie fest wie lange in Tagen die Ereignisse in der EVENT Tabelle verbleiben Die Standardeinstellung ist 0 Wenn dieser Parameter auf 0 gesetzt ist gibt es keine zeitliche Begrenzung f r das Verbleiben der Ereignisse in der EVENT Tabelle maxCount Mit diesem Parameter legen Sie fest wie viele Ereignisse in der EVENT Tabelle verbleiben Die Standardeinstellung ist 5000 Wenn dieser Parameter auf 0 gesetzt ist gibt es keine maximale Anzahl an Ereignissen in der EVENT Tabelle keepBackup Mit diesem Parameter legen Sie fest ob Ereignisse in der EVENT_BACKUP Tabelle gesichert werden sollen Die Standardeinstellung ist 0 Wenn dieser Parameter auf 0 gesetzt ist werden die Ereignisse nicht gesichert Setzen Sie diesen Parameter auf 1 um eine Sicherungskopie der gel schten Ereignisse zu erstellen Hinweis Wenn Sie die Ereignis
314. lified Name FQDN z B server mycompany com sowie Zertifikatsinformationen werden angezeigt Hinweis Wenn Sie einen Mac Endpoint zu einem SGN Server verbinden m ssen Sie SSL in der Spalte Transportverschl sselung w hlen um die Verbindung abzusichern Wenn SSL als Transportverschl sselung zwischen Endpoint und Server verwendet werden soll muss der Servername den Sie hier eingeben mit dem Servernamen bereinstimmen den Sie im SSL Zertifikat vergeben haben Andernfalls ist keine Kommunikation m glich Wenn Sie die Verbindung konfigurieren stellen Sie sicher HTTPS Portnummer 443 zu ffnen Klicken Sie auf OK Die Serverinformationen werden in der Registerkarte Server angezeigt Klicken Sie auf die Registerkarte Server Pakete Hier werden alle verf gbaren Server angezeigt W hlen Sie dort den gew nschten Server aus Geben Sie einen Ausgabepfad f r das Konfigurationspaket an Klicken Sie auf Konfigurationspaket erstellen Ein Server Konfigurationspaket MSI mit der Bezeichnung lt Server gt msi wird im angegebenen Ausgabeort erstellt Best tigen Sie die Erfolgsmeldung mit OK Klicken Sie in der Registerkarte Server auf Schlie en Die Registrierung und Konfiguration des SafeGuard Enterprise Servers ist beendet Installieren Sie das Server Konfigurationspaket MSI auf dem Computer auf dem der SafeGuard Enterprise Server l uft Sie k nnen die Serverkonfiguration in der Registerkarte Server jederzeit nd
315. line Nutzung ber SafeGuard Portable einzugeben Der Benutzer muss nichts ber den zu verwendenden Schl ssel oder den Schl sselring wissen Der Medienverschl sselungsschl ssel wird ohne Benutzerinteraktion immer f r die Datenverschl sselung verwendet Der Medienverschl sselungsschl ssel ist f r den Benutzer auch nicht sichtbar Nur der zentral definierte Gruppen Dom nenschl ssel ist sichtbar Bob und Alice haben innerhalb der gleichen Gruppe oder Dom ne transparenten Zugriff da sie beide den gleichen Gruppen Dom nenschl ssel verwenden Wenn Bob auf verschl sselte Dateien auf Wechselmedien auf einem Computer ohne SafeGuard Data Exchange zugreifen m chte kann er die Medien Passphrase in SafeGuard Portable benutzen Die notwendigen Einstellungen legen Sie in einer Richtlinie vom Typ Ger teschutz Wechselmedien fest Verschl sselungsmodus f r Medien Dateibasierend Schl ssel f r die Verschl sselung Definierter Schl ssel aus der Liste Definierter Schl ssel aus der Liste lt Gruppen Dom nenschl ssel gt z B group_users_Bob_Alice DC um sicherzustellen dass beide denselben Schl ssel benutzen Benutzer darf eine Medien Passphrase f r Wechselmedien erzeugen Ja Der Benutzer definiert eine Medien Passphrase auf seinem Computer die f r alle seine Wechselmedien gilt SafeGuard Portable auf das Ziel kopieren Ja Administratorhilfe 24 4 3 SafeGuard Portable gibt dem Benutzer in einem System o
316. linie Jene Richtlinie die der Benutzer zur Auswertung bereitstellt Wenn eine Richtlinie nur ber einen Benutzer kommt dann werden die maschinenbezogenen Einstellungen dieser Richtlinie nicht verwendet Das hei t es gelten keine computerbezogenen Einstellungen Es gelten die Standardwerte E Computerrichtlinie Jene Richtlinie die die Maschine zur Auswertung bereitstellt Wenn eine Richtlinie nur ber einen Computer kommt dann werden auch die benutzerspezifischen Einstellungen dieser Richtlinie verwendet Die Computerrichtlinie stellt dann eine f r alle Benutzer Richtlinie dar 99 SafeGuard Enterprise 100 15 Mit Konfigurationspaketen arbeiten Im SafeGuard Management Center lassen sich Konfigurationspakete der folgenden Typen erstellen E Konfigurationspaket f r zentral verwaltete Endpoints Endpoints die eine Verbindung zum SafeGuard Enterprise Server haben erhalten Ihre Richtlinien ber den Server F r den erfolgreichen Einsatz der SafeGuard Enterprise Client Software nach der Installation m ssen Sie zun chst ein Konfigurationspaket f r zentral verwaltete Computer erzeugen und es auf den Computern installieren Nach der ersten Konfiguration der Endpoints ber das Konfigurationspaket erhalten die Endpoints Richtlinien ber den SafeGuard Enterprise Server wenn Sie diese im Bereich Benutzer amp Computer des SafeGuard Management Center zugewiesen haben E Konfigurationspaket f r Standalone Endpoints S
317. ll f r Arbeitsgruppen bei Netzwerkfreigaben Im SafeGuard Management Center stehen f r alle Richtlinientypen Standardrichtlinien zur Verf gung F r Ger teschutz Richtlinien stehen Richtlinien f r die Festplattenverschl sselung Ziel Massenspeicher Cloud Storage Ziel DropBox und Data Exchange Ziel Wechselmedien zur Verf gung Die Optionen in diesen Standardrichtlinien sind auf die relevanten Standardwerte gesetzt Sie k nnen die Standardeinstellungen Ihren Anforderungen anpassen Die Standardrichtlinien haben den Namen lt Richtlinientyp gt Default Hinweis Die Namen der Standardrichtlinien richten sich nach der Spracheinstellung w hrend der Installation Wenn Sie die Sprache des SafeGuard Management Center nachtr glich ndern verbleiben die Namen der Standardrichtlinien in der w hrend der Installation eingestellten Sprache 20 1 Allgemeine Einstellungen Richtlinieneinstellung Erkl rung LADEN DER EINSTELLUNGEN Richtlinien Loopback Computereinstellungen wiederholen Wird bei einer Richtlinie unter Richtlinien Loopback die Option Computereinstellungen wiederholen ausgew hlt und die Richtlinie stammt von einer Maschine Computereinstellungen wiederholen einer Benutzer Richtlinie hat keine Auswirkung wird diese Richtlinie zum Schluss nochmals ausgef hrt Dadurch werden etwaige Benutzereinstellungen wieder berschrieben und es gelten die Computereinstellungen Benutzer ignorieren Wird bei einer Richtlinie
318. llung auf dem Endpoint wird der Benutzer automatisch aufgefordert eine Medien Passphrase einzugeben wenn er zum ersten Mal Wechselmedien mit dem Computer verbindet Die Medien Passphrase ist auf allen Computern auf denen sich der Benutzer anmelden darf g ltig Der Benutzer kann die Medien Passphrase auch ndern In diesem Fall findet automatisch eine Synchronisierung statt wenn die Medien Passphrase auf dem Computer und die Medien Passphrase der Wechselmedien nicht mehr synchron sind Sollte der Benutzer die Medien Passphrase vergessen so kann er diese ohne Helpdesk Unterst tzung wiederherstellen Hinweis Um die Medien Passphrase zu aktivieren aktivieren Sie die Option Benutzer darf eine Medien Passphrase f r Wechselmedien erzeugen in einer Richtlinie vom Typ Ger teschutz Diese Einstellung steht nur dann zur Verf gung wenn Sie als Ziel des Ger teschutzes die Option Wechselmedien gew hlt haben Medien Passphrase und Standalone Endpoints Auf einem Standalone Endpoint d h auf einem Endpoint der nicht zentral verwaltet wird stehen ohne aktivierte Medien Passphrase Funktion nach der Installation keine Schl ssel zur Verf gung da Standalone Endpoints nur lokale Schl ssel verwenden Vor der Benutzung der Verschl sselung muss der Benutzer einen Schl ssel erzeugen Ist die Medien Passphrase Funktionalit t in einer Wechselmedienrichtlinie f r diese Endpoints aktiviert so wird der Medienverschl sselungsschl ssel automatisch a
319. lone Clients und f gen Sie ein neues Konfigurationspaket hinzu W hlen Sie die importierte Company Certificate Change Order aus dem Dropdown Men der Spalte CCO Geben Sie unter Konfigurationspaket Ausgabepfad einen Speicherort an Klicken Sie auf Konfigurationspaket erstellen Das Konfigurationspaket wird am angegebenen Speicherort angelegt Installieren Sie dieses Konfigurationspaket auf allen Endpoints die Sie von der Ausgangs in die Zielumgebung verschieben m chten Verwalten von Company Certificate Change Orders Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete Alle erzeugten CCOs werden in der Registerkarte CCOs angezeigt Im unteren Bereich des Dialogs werden detaillierte Informationen zur ausgew hlten CCO angezeigt Wenn die CCO f r die Erneuerung des Unternehmenszertifikats erstellt wurde wird das Quell Unternehmenszertifikat aktualisiert Wenn die CCO f r eine Verschiebung von Endpoints erstellt wurde wird das Unternehmenszertifikat der Umgebung deren Endpoints in eine andere Umgebung verschoben werden soll aktualisiert Administratorhilfe 13 3 1 13 3 2 Das Ziel Unternehmenszertifikat ist das neue Unternehmenszertifikat wenn die CCO zur Aktualisierung des Unternehmenszertifikats oder des Unternehmenszertifikats der Umgebung in die die Endpoints verschoben werden sollen erzeugt wurde Unter den Zertifikatsinformationen wird angegeben f r welche Vorg nge die ausgew
320. lossen an einen anderen Computer entschl sselt werden Dazu ben tigt der Benutzer der sich an dem anderen Computer anmeldet einen Schl ssel der KSA der nicht bootbaren Partition in seinem Schl sselring Im schlimmsten Fall ist die Partition nur mit dem Boot_Key des anderen Computers verschl sselt In diesem Fall muss der Haupt Sicherheitsbeauftragte oder der Recovery Beauftragte dem Benutzer diesen Boot_Key zuweisen F r weitere Informationen siehe Slaven einer Festplatte Seite 259 257 SafeGuard Enterprise 29 3 4 29 3 4 1 29 3 4 2 29 3 5 258 Volumes SafeGuard Enterprise bietet die volume basierende Verschl sselung Dies beinhaltet die Speicherung von Verschl sselungsinformationen bestehend aus Bootsektor prim rer bzw Backup KSA und Originalbootsektor auf jedem Laufwerk selbst Wenn eine der folgenden Bedingungen zutrifft besteht auf das jeweilige Volume kein Zugriff mehr E Beide Key Storage Areas KSA sind zur gleichen Zeit besch digt E Der Original MBR ist besch digt Bootsektor Der Bootsektor eines Volumes wird bei der Verschl sselung gegen den SafeGuard Enterprise Bootsektor ausgetauscht Der SafeGuard Enterprise Bootsektor enth lt Informationen ber E den Ort der prim ren und Backup KSA in Clustern und Sektoren bezogen auf den Start der Partition m die Gr e der KSA Auch wenn der SafeGuard Enterprise Bootsektor zerst rt ist ist kein Zugriff auf verschl sselte V
321. lten Datenaustausch mit Wechselmedien oder Cloud Storage ohne dass der Empf nger der Daten SafeGuard Enterprise installiert haben muss Der Empf nger kann mit Hilfe von SafeGuard Portable und der entsprechenden Passphrase die verschl sselten Daten entschl sseln und auch wieder verschl sseln Der Empf nger kann mit SafeGuard Portable die Daten neu verschl sseln oder den urspr nglich verwendeten Schl ssel f r die Verschl sselung verwenden SafeGuard Portable muss nicht auf den Computer des Empf ngers installiert oder kopiert werden sondern kann direkt von den Wechselmedien oder von Cloud Storage aus verwendet werden Standardschl ssel f r die Initialverschl sselung ber einen Dialog kann ein Schl ssel ausgew hlt werden der f r die dateibasierte Initialverschl sselung verwendet wird Der Benutzer kann dann beim Start der Initialverschl sselung keinen Schl ssel w hlen Die Initialverschl sselung startet ohne Benutzerinteraktion F r die Initialverschl sselung wird immer der hier festgelegte Schl ssel verwendet Beispiel Voraussetzung Ein Standardschl ssel f r die Initialverschl sselung ist gesetzt Verbindet der Benutzer ein USB Ger t mit dem Computer startet die Initialverschl sselung automatisch Der definierte Schl ssel wird benutzt Es ist kein Benutzereingriff notwendig Will der 155 SafeGuard Enterprise Richtlinieneinstellung Klartext Ordner Erkl rung Benutzer ans
322. lter f r Windows Shell Ordner und Umgebungsvariablen wie die Verschl sselungsregeln in File Encryption Richtlinen enthalten F r eine Liste aller unterst tzten Platzhalter siehe Platzhalter f r Pfade in File Encryption Verschl sselungsregeln Seite 184 4 Speichern Sie Ihre nderungen Hinweis Die Richtlinieneinstellungen Vertrauensw rdige Anwendungen und Ignorierte Anwendungen sind Computereinstellungen Die Richtlinie muss daher Computern nicht Benutzern zugewiesen werden Andernfalls werden die Einstellungen nicht wirksam Administratorhilfe 23 2 2 Konfigurieren von ignorierten Ger ten f r File Encryption 23 2 2 1 23 2 3 Sie k nnen Ger te als ignoriert definieren um sie von der Dateiverschl sselung auszuschlie en Sie k nnen nur vollst ndige Ger te ausschlie en 1 Legen Sie im Richtlinien Navigationsbereich einen neue Richtlinie vom Typ Allgemeine Einstellungen an oder w hlen Sie eine vorhandene aus 2 Klicken Sie unter Dateiverschl sselung auf die Dropdown Schaltfl che des Felds Ignorierte Ger te 3 F hren Sie im Editor Listenfeld folgende Schritte durch a W hlen Sie Netzwerk um Daten auf dem Netzwerk nicht zu verschl sseln b Geben Sie die entsprechenden Ger tenamen an um spezifische Ger te von der Verschl sselung auszuschlie en Dies ist zum Beispiel n tzlich wenn Sie Systeme von Dritt Anbietern ausschlie en m ssen Hinweis Sie k nnen die Namen der derzeit im System benut
323. m Benutzer amp Computer Navigationsbereich unter POA den Knoten POA Gruppen 3 Klicken Sie im POA Gruppen Kontextmen auf Neu gt Neue Gruppe erstellen Der Neue Gruppe erstellen Dialog wird angezeigt 4 Geben Sie im Feld Vollst ndiger Name einen Namen f r die neue POA Gruppe ein 5 Geben Sie optional eine Beschreibung ein 6 Klicken Sie auf OK Die neue POA Gruppe ist angelegt Sie wird unter POA Gruppen im Benutzer amp Computer Navigationsfenster angezeigt Sie k nnen nun POA Benutzer zur Gruppe hinzuf gen Hinzuf gen von Benutzern zu POA Gruppen F r das Bearbeiten von POA Gruppen ben tigen Sie das Zugriffsrecht Voller Zugriff f r den POA Knoten unter Benutzer amp Computer 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Benutzer amp Computer Navigationsfenster unter POA POA Gruppe die relevante POA Gruppe Im Aktionsbereich des SafeGuard Management Center auf der rechten Seite wird die Mitglieder Registerkarte angezeigt 3 Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Hinzuf gen Symbol gr nes Pluszeichen Der Mitgliedobjekt ausw hlen Dialog wird angezeigt 4 W hlen Sie den Benutzer den Sie zur Gruppe hinzuf gen m chten 5 Klicken Sie auf OK Der POA Benutzer wird zur Gruppe hinzugef gt und in der Registerkarte Mitglieder angezeigt Entfernen von Benutzern aus POA Gruppen F r das Bearbeiten von POA
324. m jeweiligen Zweig Unterhalb dieser bersicht finden Sie Informationen zu den lizenzierten Token Modulen Im unteren Bereich wird der globale Lizenzstatus unabh ngig davon welche Dom ne oder OU ausgew hlt wurde angezeigt Dies erfolgt durch eine Meldung mit einer dem Ampelprinzip folgenden Hintergrundfarbe Gr n g ltig Gelb Warnung Rot Fehler und ein Symbol Bei Warnungs und Fehlermeldungen erhalten Sie au erdem im unteren Bereich Hinweise zur Aufhebung des ung ltigen Lizenzstatus 25 SafeGuard Enterprise 26 6 5 Die in der Registerkarte Lizenzen angezeigten Symbole haben folgende Bedeutung G ltige Lizenz GV Warnung Eine Lizenz f r ein Modul befindet sich im Status Warnung wenn A M die Anzahl erworbener Lizenzen berschritten wurde mM die Lizenz abgelaufen ist Fehler Eine Lizenz f r ein Modul befindet sich im Status Fehler wenn m der Toleranzwert f r die berschreibung der Anzahl erworbener Lizenzen berschritten wurde E die Lizenz vor mehr als einem Monat abgelaufen ist Sie k nnen die Ansicht des Lizenzstatus berblicks aktualisieren indem Sie auf die Schaltfl che Lizenzstatus aktualisieren klicken Import von Lizenzdateien Voraussetzung Zum Import einer Lizenzdatei in die SafeGuard Enterprise Datenbank ben tigt ein Sicherheitsbeauftragter das Recht Lizenzdatei importieren 1 2 6 Klicken Sie im SafeGuard Management Center auf Benutzer
325. m zu reduzieren und trotzdem jede Datei auf Wechselmedien zu verschl sseln und den Benutzern Zugriff auf die verschl sselten Dateien im Offline Modus zu geben Der Benutzer darf Dateien auf Wechselmedien nicht entschl sseln Hinweis In dieser Konfiguration sind Benutzer nicht dazu berechtigt lokale Schl ssel zu erzeugen da dies in diesem Anwendungsfall nicht notwendig ist Dies muss in einer Richtlinie vom Typ Ger teschutz mit Lokale Datentr ger als Ziel des Ger teschutzes festgelegt werden Allgemeine Einstellungen gt Benutzer darf einen lokalen Schl ssel erzeugen gt Nein E SafeGuard Portable auf Wechselmedien kopieren Nr F r die gemeinsame Benutzung von Wechselmedien innerhalb der Arbeitsgruppe ist SafeGuard Portable nicht erforderlich Au erdem w rde SafeGuard Portable das Entschl sseln von Dateien auf Computern ohne SafeGuard Enterprise erlauben Im B ro haben die Benutzer transparenten Zugriff auf verschl sselte Dateien auf Wechselmedien Zuhause ffnen sie verschl sselte Dateien mit SafeGuard Portable Die Benutzer m ssen nur die Medien Passphrase eingeben und erhalten somit Zugriff auf alle verschl sselten Dateien unabh ngig davon welcher Schl ssel f r die Verschl sselung verwendet wurde Weitergabe von Wechselmedien an externe Partner Hinweis Dieses Beispiel gilt nur f r Windows Endpoints 197 SafeGuard Enterprise Bob m chte ein verschl sseltes Medium an Joe externer Partner weitergeben
326. mal ausgef hrt wurde Datum und Uhrzeit Wurde der Task noch nicht ausgef hrt so wird in dieser Spalte Keine angezeigt Zeigt das Ergebnis der letzten Task Ausf hrung E Erfolgreich Das dem Task zugeordnete Skript wurde erfolgreich ausgef hrt Fehlgeschlagen Der Task konnte nicht ausgef hrt werden Falls verf gbar wird eine Fehlernummer angezeigt L uft Das Skript l uft derzeit Unzureichende Berechtigung Der Task ist aufgrund von unzureichender Berechtigung f r die Skript Ausf hrung fehlgeschlagen Abgebrochen Die Task Ausf hrung wurde abgebrochen da die Zeitdauer 24 Stunden berschritten hat Steuerung nicht m glich Die Steuerung der Ausf hrung des Skripts das dem Task zugeordnet ist war nicht m glich Ein m glicher Grund hierf r ist z B dass der SGN Scheduler Service gestoppt wurde Besch digtes Skript Das auszuf hrende Skript ist besch digt 285 SafeGuard Enterprise Beschreibung E Skript inzwischen gel scht W hrend sich der Task in der Warteschlange f r die Ausf hrung befand wurde das Skript aus der SafeGuard Enterprise Datenbank entfernt Runtime Fehler W hrend der Verarbeitung des Scheduler Service ist ein Runtime Fehler aufgetreten Unterhalb der Spalten befinden sich folgende Schaltfl chen Schaltfl che Beschreibung Erzeugen Klicken Sie auf diese Schaltfl che um einen neuen Task zu erstellen L schen Klicken Sie auf diese Sch
327. meldung an das SafeGuard Management Center ist jedoch auch der private Teil des Zertifikats die Schl sseldatei erforderlich Liegt diese nicht in der Datenbank vor muss sie dem Sicherheitsbeauftragten zur Verf gung stehen und kann bei der Anmeldung dann ggf im Zertifikatsspeicher abgelegt werden Zertifikat Importieren Ein existierendes Zertifikat wird importiert und anschlie end dem Sicherheitsbeauftragten zugewiesen Wird aus einer p12 Schl sseldatei importiert muss das Kennwort des Zertifikats bekannt sein Wird ein PKCS 12 Zertifikatscontainer ausgew hlt werden alle Zertifikate in die Liste der zuweisbaren Zertifikate geladen Die Zuweisung des Zertifikats erfolgt nach dem Import indem das Zertifikat im Dropdown Listenfeld ausgew hlt wird Rollen des Sicherheitsbeauftragten Rollen Dem Sicherheitsbeauftragten k nnen vordefinierte oder benutzerdefinierte Rollen zugewiesen werden Die mit jeder Rolle verbundenen Rechte werden unter Zugelassene Aktion im Aktionsbereich angezeigt wenn Sie auf die entsprechende Rolle klicken oder auf den Sicherheitsbeauftragten rechts klicken und Eigenschaften Aktionen w hlen Einem Benutzer k nnen mehrere Rollen zugewiesen werden Vordefinierte Rollen werden fett dargestellt 4 Klicken Sie zur Best tigung Ihrer Einstellungen auf OK 62 Administratorhilfe 11 10 Der neu angelegte Sicherheitsbeauftragte wird im Navigationsfenster unter dem jeweiligen
328. mens Lizenzen erwerben m chten wenden Sie sich an Atos IT Solutions and Services GmbH Otto Hahn Ring 6 D 81739 M nchen Germany Dienste auf die gewartet wird Diese Einstellung dient zur Problembehebung mit bestimmten Token Entsprechende Einstellungen werden gegebenenfalls von unserem Support bekannt gegeben 20 11 Protokollierung bei Windows Endpoints Ereignisse f r SafeGuard Enterprise k nnen in der Windows Ereignisanzeige oder in der SafeGuard Enterprise Datenbank protokolliert werden Um festzulegen welche Ereignisse an welchem Ziel protokolliert werden sollen erstellen Sie eine Richtlinie vom Typ Protokollierung und w hlen Sie die gew nschten Ereignisse per Mausklick aus Es steht eine Vielzahl von Ereignissen aus unterschiedlichen Kategorien z B Anmeldung Verschl sselung usw zur Auswahl zur Verf gung Es ist daher empfehlenswert eine 163 SafeGuard Enterprise Vorgehensweise f r die Protokollierung zu definieren und die notwendigen Ereignisse unter Ber cksichtigung der Anforderungen f r Berichte und Audits festzulegen F r weitere Informationen siehe Berichte Seite 270 164 Administratorhilfe 21 21 1 Festplattenverschl sselung Diese Version von SafeGuard Enterprise unterst tzt Windows 7 und Windows 8 auf Endpoints mit BIOS oder UFFI E F r Systeme mit BIOS k nnen Sie zwischen SafeGuard Enterprise Festplattenverschl sselung und von SafeGuard Enterprise verwal
329. mit der rechten Maustaste auf den Knoten Haupt Sicherheitsbeauftragte und w hlen Sie Neu gt Neuer Haupt Sicherheitsbeauftragter 57 SafeGuard Enterprise 58 3 Nehmen Sie die relevanten Eintr ge unter Neuer Haupt Sicherheitsbeauftragter vor Freigeschaltet Beschreibung Hier kann der Sicherheitsbeauftragte bis auf Weiteres deaktiviert werden Das bedeutet dass er zwar im System existiert sich aber noch nicht an das SafeGuard Management Center anmelden kann Erst wenn er durch einen anderen Sicherheitsbeauftragten aktiviert wird kann er sich anmelden und seine administrativen T tigkeiten ausf hren Hier wird der Name des Sicherheitsbeauftragten angegeben wie er in den von SafeGuard Enterprise erzeugten Zertifikaten unter cn eingetragen wird Unter diesem Namen wird er auch im Navigationsfenster des SafeGuard Management Centers angezeigt Dieser Name muss eindeutig sein Maximalwert 256 Zeichen Beschreibung Mobiltelefon Optional Maximalwert 256 Zeichen Optional Maximalwert 128 Zeichen Optional Maximalwert 256 Zeichen Token Anmeldung Die Anmeldung kann auf folgende Art erfolgen Ohne Token Der Sicherheitsbeauftragte darf sich nicht mit einem Token anmelden Er muss sich ber die Anmeldeinformationen Benutzername Kennwort anmelden Optional Die Anmeldung kann mit Token oder mit Anmeldeinformationen erfolgen Der Sicherheitsbeauftragte kann w hlen Zwingend erforderlich Die
330. mit einem Challenge Response Verfahren repariert werden soll k nnen Sie den Recovery Vorgang per Richtlinie aktivieren In diesem Fall wird der Benutzer bei einem besch digten Local Cache automatisch dazu aufgefordert ein Challenge Response Verfahren zu starten SafeGuard Data Exchange Recovery Vorg nge bei vergessenem Kennwort SafeGuard Data Exchange ohne Device Encryption bietet f r den Fall dass der Benutzer sein Kennwort vergessen hat keinen Recovery Vorgang ber Challenge Response In diesem Fall m ssen Sie das Kennwort im Active Directory ndern Melden Sie sich ohne Sophos Credential Provider am Endpoint an und stellen Sie die Benutzerkonfiguration auf dem Endpoint wieder her Response f r SafeGuard Enterprise Clients 1 W hlen Sie auf der Recovery Typ Seite die Option SafeGuard Enterprise Client Managed 2 W hlen Sie unter Dom ne die gew nschte Dom ne aus der Liste 243 SafeGuard Enterprise 244 Geben Sie unter Computer den gew nschten Computernamen ein oder w hlen Sie ihn aus Hierf r gibt es mehrere M glichkeiten E Um einen Namen auszuw hlen klicken Sie auf Klicken Sie anschlie end auf Jetzt suchen Eine Liste mit Computern wird angezeigt W hlen Sie den gew nschten Computer aus und klicken Sie auf OK Der Computername wird auf der Seite Recovery Typ angezeigt E Geben Sie den Kurznamen des Computers direkt in das Feld ein Wenn Sie auf Weiter klicken wird der Name in der Daten
331. mmt Zugriff auf den Endpoint Recovery Schl ssel f r mit BitLocker verschl sselte SafeGuard Enterprise Clients BIOS Endpoints Bei mit BitLocker verschl sselten Computern l sst sich ein Volume auf das nicht mehr zugegriffen werden kann wiederherstellen 1 W hlen Sie auf der Recovery Typ Seite die Option SafeGuard Enterprise Client Managed 2 W hlen Sie unter Dom ne die gew nschte Dom ne aus der Liste 245 SafeGuard Enterprise 29 2 5 5 246 Geben Sie unter Computer den gew nschten Computernamen ein oder w hlen Sie ihn aus Hierf r gibt es mehrere M glichkeiten Um einen Namen auszuw hlen klicken Sie auf Klicken Sie anschlie end auf Jetzt suchen Eine Liste mit Computern wird angezeigt W hlen Sie den gew nschten Computer aus und klicken Sie auf OK Der Computername wird im Fenster Recovery Typ unter Dom ne angezeigt Geben Sie den Kurznamen des Computers direkt in das Feld ein Wenn Sie auf Weiter klicken wird der Name in der Datenbank gesucht Der gefundene Computername wird als Distinguished Name angezeigt Geben Sie den Computernamen direkt als Distinguished Name ein zum Beispiel CN Desktopl OU Development OU Headquarter DC Utimaco DC edu 4 Klicken Sie auf Weiter W hlen Sie das Volume auf das zugegriffen werden soll aus der Liste und klicken Sie auf Weiter 6 Der Recovery Assistent zeigt den 48 stelligen Recovery Schl ssel an 7 Teilen Sie dem Benutzer di
332. mputer k nnen Sie die Ansicht im linken Navigationsfenster nach lokalen Benutzern filtern oder einen bestimmten lokalen Benutzer suchen 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Klicken Sie links unten im Navigationsbereich auf Filter 3 W hlen Sie bei Typ die Option Lokaler Benutzer Wenn Sie einen bestimmten Benutzer suchen geben Sie noch dessen Namen ein 4 Klicken Sie auf das Lupen Symbol Die Ansicht auf Benutzer amp Computer wird entsprechend den Kriterien gefiltert Hinweis Microsoft Konten werden immer als SafeGuard Enterprise Gastbenutzer behandelt Protokollierung Die erfolgreiche bzw nicht erfolgreiche Registrierung eines Benutzers Computers oder einer Arbeitsgruppe wird protokolliert Sie k nnen sich diese Informationen im SafeGuard Management Center unter Berichte in der Ereignisanzeige auflisten lassen 47 SafeGuard Enterprise 10 3 Suche nach Benutzern Computern und Gruppen in der SafeGuard Enterprise Datenbank Um Objekte im Dialog Benutzer Computer und Gruppen suchen anzeigen zu lassen ben tigen Sie die Zugriffsrechte Schreibgesch tzt oder Voller Zugriff f r die relevanten Objekte Hinweis Wenn Sie nach Objekten suchen dann bekommen Sie nur Suchergebnisse innerhalb der Bereiche Dom ne f r die Sie Zugriff als Sicherheitsbeauftragter haben Nur ein Haupt Sicherheitsbeauftragten Master Security Officer MSO kann einen erfolgreichen Root Search Prozess
333. muss das Kennwort auf Windows Ebene ndern vorausgesetzt die Dom ne ist erreichbar Danach kann der Benutzer sich sowohl an Windows als auch an der SafeGuard Power on Authentication mit dem neuen Kennwort anmelden Best Practice f r das Wiederherstellen des Kennworts auf SafeGuard POA Ebene Wir empfehlen folgende Methoden anzuwenden wenn der Benutzer sein Kennwort vergessen hat um zu vermeiden dass das Kennwort zentral zur ckgesetzt werden muss E Benutzen Sie Local Self Help Mit Recovery ber Local Self Help kann sich der Benutzer das aktuelle Kennwort anzeigen lassen und dieses weiterhin benutzen ohne es zur cksetzen zu m ssen Bei der Benutzung von Local Self Help ist au erdem keine Unterst tzung durch den Helpdesk erforderlich E Bei Anwendung von Challenge Response f r SafeGuard Enterprise Clients Managed Wir empfehlen das Kennwort vor dem Challenge Response Verfahren nicht zentral im Active Directory zur ckzusetzen Dadurch wird gew hrleistet dass das Kennwort zwischen Administratorhilfe 29 2 5 1 3 29 2 5 1 4 29 2 5 1 5 29 2 5 1 6 29 2 5 2 Windows und SafeGuard Enterprise synchron bleibt Stellen Sie sicher dass der Windows Helpdesk entsprechend informiert ist Erzeugen Sie als SafeGuard Enterprise Helpdesk Beauftragter eine Response f r das Booten des SGN Clients mit Benutzeranmeldung mit der Option Benutzerkennwort anzeigen Dies bietet den Vorteil dass das Kennwort nicht im Active Dire
334. n Erzeugen von Zertifikaten durch Token Um Zertifikate durch Token zu erzeugen ben tigen Sie das Zugriffsrecht Voller Zugriff f r den relevanten Benutzer Sie k nnen neue Zertifikate direkt durch den Token generieren lassen wenn zum Beispiel keine Zertifikatsinfrastruktur vorhanden ist Hinweis Wird der private Teil des Zertifikats allein auf den Token geschrieben hat der Benutzer nur mit dem Token Zugriff auf seinen privaten Schl ssel Der private Schl ssel befindet sich dann nur noch auf dem Token Wenn der Token verloren geht ist der Zugriff auf den privaten Schl ssel nicht mehr m glich Voraussetzung Der Token ist ausgestellt 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Stecken Sie den Token an der USB Schnittstelle ein SafeGuard Enterprise liest den Token ein 3 Markieren Sie den Benutzer f r den Sie ein Zertifikat generieren wollen und ffnen Sie im rechten Arbeitsbereich die Registerkarte Zertifikat 4 Klicken Sie auf das Symbol Neues Zertifikat generieren und Token zuweisen in der SafeGuard Management Center Symbolleiste Beachten Sie dass die Schl ssell nge auf die Tokengr e abgestimmt sein muss 5 W hlen Sie den Slot aus und geben Sie die Token PIN ein 6 Klicken Sie auf Erzeugen Das Zertifikat wird durch den Token generiert und dem Benutzer zugewiesen Zuweisen von Token Zertifikaten zu einem Benutzer Voraussetzungen m Der Token ist ausgestellt m Si
335. n Datenbankkonfiguration verbunden Import einer Konfiguration durch Doppelklicken auf die Konfigurationsdatei Single und Multi Tenancy Hinweis Dieser Vorgang ist sowohl im Single Tenancy als auch im Multi Tenancy Modus m glich Es besteht auch die M glichkeit eine Konfiguration zu exportieren und diese an mehrere Sicherheitsbeauftragte zu verteilen Die Sicherheitsbeauftragten m ssen lediglich auf die Konfigurationsdatei doppelklicken um ein vollst ndig konfiguriertes SafeGuard Management Center zu ffnen Dies erweist sich vor allem dann als vorteilhaft wenn Sie die SQL Authentisierung f r die Datenbank verwenden und vermeiden m chten dass das SQL Kennwort jedem Administrator bekannt ist Sie m ssen das Kennwort dann nur einmal eingeben eine Konfigurationsdatei erstellen und sie an die Computer der Sicherheitsbeauftragten verteilen Voraussetzung Die Erstkonfiguration des SafeGuard Management Centers muss durchgef hrt worden sein Detaillierte Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung 1 Starten Sie das SafeGuard Management Center 2 W hlen Sie im Extras Men Optionen und wechseln Sie in die Registerkarte Datenbank 3 Geben Sie die Anmeldeinformationen f r die SQL Datenbankserververbindung ein oder best tigen Sie diese 4 Klicken Sie auf Konfiguration exportieren um die Konfiguration in eine Datei zu exportieren 5 Geben Sie ein Kennwort f r die Konfigurationsdatei
336. n Die Anmeldeverfahren Token und Fingerabdruck lassen sich auf einem Computer nicht miteinander kombinieren Anmeldeoptionen mit Token Legt den Typ des Token bzw der Smartcard fest der am Endpoint verwendet werden soll m Nicht kryptographisch Authentisierung an der SafeGuard POA und an Windows mit Anmeldeinformationen Kerberos Zertifikatsbasierte Authentisierung an der SafeGuard POA und an Windows F r zentral verwaltete Endpoints stellt der Sicherheitsbeauftragte ein Zertifikat in einer PKI aus und legt es auf dem Token ab Dieses Zertifikat wird als Benutzerzertifikat in die SafeGuard Enterprise Datenbank importiert Falls dort bereits ein automatisch erzeugtes Zertifikat existiert wird es durch das importierte Zertifikat berschrieben Kryptographische Token k nnen nicht f r Standalone Endpoints verwendet werden Hinweis Bei Problemen bei der Anmeldung mit einem Kerberos Token kann weder Challenge Response noch Local Self Help f r Recovery Vorg nge benutzt werden Hier wird nur Challenge Response mit virtuellen Clients unterst tzt Mit diesem Verfahren k nnen Benutzer wieder Zugriff auf verschl sselte Volumes auf Ihren Endpoints erlangen PIN f r automatische Anmeldung Geben Sie hier eine Default PIN an die dem Benutzer die mit Token automatische Anmeldung an der SafeGuard Power on Authentication mit Token oder Smartcard erm glicht Der Benutzer muss den Token bei der Anmeldung einstecken Daraufhi
337. n wenn ihre Benutzernamen und Kennw rter sich aus Zeichen zusammensetzen die vom US Tastaturlayout oder dem entsprechenden Original Layout unterst tzt werden Virtuelle Tastatur SafeGuard Enterprise bietet die M glichkeit in der SafeGuard POA eine virtuelle Tastatur anzeigen zu lassen Der Benutzer kann dann z B Anmeldeinformationen durch Klick auf die am Bildschirm angezeigten Tasten eingeben Als Sicherheitsbeauftragter k nnen Sie die Anzeige der virtuellen Tastatur in einer Richtlinie vom Typ Spezifische Computereinstellungen ber die Option Virtuelle Tastatur in der POA aktivieren deaktivieren Die Unterst tzung der virtuellen Tastatur muss ber eine Richtlinieneinstellung aktiviert deaktiviert werden F r die virtuelle Tastatur werden verschiedene Layouts angeboten und das Layout kann mit den gleichen Einstellungen wie das normale Tastaturlayout ge ndert werden Administratorhilfe 16 3 4 1 16 4 ndern des Tastaturlayouts Das normale einschlie lich des virtuellen Tastaturlayouts der SafeGuard Power on Authentication kann nachtr glich ge ndert werden 1 W hlen Sie Start gt Systemsteuerung gt Regions und Sprachoptionen gt Erweitert 2 W hlen Sie auf der Registerkarte Regionale Einstellungen die gew nschte Sprache aus 3 W hlen Sie dann auf der Registerkarte Erweitert unter Standardeinstellungen f r Benutzerkonten die Option Alle Einstellungen auf das aktuelle Benutzerkonto und Standardbenutz
338. n wollen k nnen Sie den Rechner per Klick auf die Schaltfl che Arbeitsstation sperren f r andere Benutzer sperren und danach mit ihrem Kennwort wieder entsperren Nein Sowohl der Benutzer der die Arbeitsstation gesperrt hat als auch ein Administrator kann die Sperre aufheben Hebt ein Administrator die Sperre auf so wird der aktuell angemeldete Benutzer zwangsweise abgemeldet Ja Diese Einstellung ndert dieses Verhalten In diesem Fall kann nur der Benutzer die Sperre des Computers aufheben Ein Aufheben der Sperre durch den Administrator und das damit verbundene erzwungene Abmelden des Benutzers ist nicht mehr m glich Letzte Ja Die SafeGuard POA speichert den Benutzernamen und die Benutzer Dom nen Auswahl Dom ne des letzten angemeldeten Benutzers Benutzer m ssen aktivieren den Benutzernamen also nicht jedes Mal eingeben wenn sie sich anmelden 135 SafeGuard Enterprise 136 Richtlinieneinstellung Service Account Liste Durchgehende Anmeldung an Windows BITLOCKER OPTIONEN Erkl rung Nein Die SafeGuard POA speichert den Benutzernamen und die Dom ne des letzten angemeldeten Benutzers nicht Um zu verhindern dass durch administrative Vorg nge auf einem durch SafeGuard Enterprise gesch tzten Endpoint die Power on Authentication aktiviert wird und Rollout Beauftragte als Benutzer zum Endpoint hinzugef gt werden bietet SafeGuard Enterprise Service Account Listen f r die Windows Anmeldung a
339. n Authentication unterst tzt eine Reihe von Hotkeys mit denen sich Hardware Einstellungen und Funktionalit ten modifizieren lassen Dar ber hinaus sind in die auf dem Endpoint zu installierende MSI Datei Grey Lists und Black Lists integriert die Funktionen abdecken von denen ein solches Problemverhalten bekannt ist Wir empfehlen vor jeder gr er angelegten SafeGuard Enterprise Installation die aktuelle Version der SafeGuard POA Konfigurationsdatei zu installieren Die Datei wird monatlich aktualisiert und steht hier zum Download zur Verf gung http www sophos com de de support knowledgebase 110285 aspx Sie k nnen diese Datei anpassen um die Hardware einer spezifischen Umgebung abzudecken Hinweis Wenn Sie eine angepasste Datei definieren wird nur diese verwendet nicht die in der msi Datei integrierte Datei Die Standarddatei wird nur angewendet wenn keine SafeGuard POA Konfigurationsdatei definiert ist oder keine gefunden wird 111 SafeGuard Enterprise 112 Um die SafeGuard POA Konfigurationsdatei zu installieren geben Sie folgenden Befehl ein MSIEXEC i lt Client MSI Paket gt POACFG lt Pfad der SafeGuard POA Konfigurationsdatei gt Sie k nnen uns bei der Optimierung der Hardware Kompatibilit t unterst tzen indem Sie ein von uns zur Verf gung gestelltes Tool ausf hren Dieses Tool liefert ausschlie lich Hardware relevante Informationen Das Tool ist einfach zu bedienen Die gesammelten Informationen wer
340. n File Encryption Verschl sselungsregeln Seite 184 Hinweis Die Verschl sselung des gesamten Benutzerprofils mit dem Platzhalter lt User Profile gt kann zu einem instabilen Windows Desktop auf dem Endpoint f hren E Klicken Sie auf die Browse Schaltfl che um den gew nschten Ordner im Dateisystem auszuw hlen E Sie k nnen auch einfach einen Pfadnamen eingeben Hinweis F r n tzliche Informationen f r die Konfiguration von Pfaden in File Encryption Verschl sselungsregeln siehe Zus tzliche Informationen f r die Konfiguration von Pfaden in File Encryption Verschl sselungsregeln Seite 183 3 W hlen Sie in der Spalte Anwendungsbereich E Nur dieser Ordner um die Regeln nur auf den Ordner anzuwenden der in der Spalte Pfad angegeben ist oder 181 SafeGuard Enterprise 182 E Mit Unterordnern um die Regel auch auf alle Unterordner des Ordners anzuwenden 4 Legen Sie in der Spalte Modus fest wie File Encryption den in der Spalte Pfad angegebenen Ordner behandeln soll m W hlen Sie Verschl sseln um neue Dateien im Ordner zu verschl sseln Der Inhalt der vorhandenen verschl sselten Dateien wird transparent entschl sselt wenn ein Benutzer mit dem erforderlichen Schl ssel auf die Dateien zugreift Hat der Benutzer nicht den erforderlichen Schl ssel wird der Zugriff verweigert E Wenn Sie Ausschlie en ausw hlen werden neue Dateien im Ordner nicht verschl sselt Sie k nnen diese Option verwenden wen
341. n SafeGuard Enterprise Endpoints Die in den Listen enthaltenen Benutzer werden als SafeGuard Enterprise Gastbenutzer behandelt Damit Sie hier eine Liste ausw hlen k nnen m ssen Sie diese zun chst im Richtlinien Navigationsbereich unter Service Account Listen anlegen Hinweis Soll der Benutzer in der Lage sein anderen Benutzern Zugriff auf seinen Computer zu gew hren muss er in der Lage sein die durchgehende Anmeldung an Windows zu deaktivieren m Benutzer w hlen lassen Im SafeGuard POA Anmeldedialog kann der Benutzer durch Aktivieren Deaktivieren dieser Option entscheiden ob er automatisch an Windows angemeldet werden will oder nicht Durchgehende Anmeldung deaktivieren Nach der Anmeldung an der SafeGuard POA wird anschlie end der Windows Anmeldedialog angezeigt Der Benutzer muss sich manuell an Windows anmelden Durchgehende Anmeldung erzwingen Der Benutzer wird immer automatisch an Windows angemeldet BitLocker Anmeldemodus F r den BitLocker Anmeldemodus sind folgende Optionen verf gbar m TPM Der Schl ssel f r die Anmeldung wird auf dem TPM Chip gespeichert m TPM PIN Der Schl ssel f r die Anmeldung wird auf dem TPM Chip gespeichert und zus tzlich wird eine PIN zur Anmeldung ben tigt Einstellungen f r die PIN werden unter PIN und Kennwort vorgenommen Administratorhilfe Richtlinieneinstellung Erkl rung m USB Stick Der Schl ssel f r die Anmeldung wird auf einem US
342. n Sie zum Beispiel einen Unterordner von der Verschl sselung ausnehmen m chten dessen bergeordneter Ordner bereits von einer Regel mit der Option Verschl sseln abgedeckt ist E Wenn Sie Ignorieren ausw hlen werden die Dateien im Ordner von File Encryption nicht beachtet Neue Dateien werden in Klartext gespeichert Wenn ein Benutzer auf bereits verschl sselte Dateien in diesem Ordner zugreift wird der verschl sselte Inhalt angezeigt Dabei spielt es keine Rolle ob der Benutzer den erforderlichen Schl ssel hat oder nicht W hlen Sie in der Spalte Schl ssel den Schl ssel der f r den Verschl sseln Modus verwendet werden soll Sie k nnen Schl ssel verwenden die in Benutzer amp Computer erstellt und angewendet wurden E Klicken Sie auf die Browse Schaltfl che um den Dialog Schl ssel suchen zu ffnen Klicken Sie auf Jetzt suchen um eine Liste mit allen verf gbaren Schl sseln aufzurufen W hlen Sie den gew nschten Schl ssel aus Hinweis Computerschl ssel werden in dieser Liste nicht angezeigt Sie k nnen von File Encryption nicht benutzt werden da sie nur auf einem einzelnen Computer verf gbar sind Mit diesen Schl ssel k nnen daher Benutzergruppen nicht auf dieselben Daten zugreifen E Klicken Sie auf die Schaltfl che Pers nlicher Schl ssel mit dem Schl sselsymbol um den Platzhalter Pers nlicher Schl ssel in die Spalte Schl ssel einzuf gen Auf dem Endpoint wird dieser Platzhalter in den aktiven per
343. n der dateibasierende Verschl sselung ausnehmen W hlen Sie im Editor Listenfeld Netzwerk aus um ein vordefiniertes Ger t auszuw hlen oder geben Sie die erforderlichen Ger tenamen ein um bestimmte Ger te von der Verschl sselung auszuschlie en F r die dateibasierende Verschl sselung durch File Encryption und SafeGuard Data Exchange k nnen Sie die persistente Verschl sselung konfigurieren Mit persistenter Verschl sselung bleiben Kopien von verschl sselten Dateien auch dann verschl sselt wenn sie an einem Speicherort abgelegt werden f r den keine Verschl sselungsregel gilt Diese Einstellung ist standardm ig aktiviert Benutzer darf Standardschl ssel festlegen 20 2 Authentisierung Richtlinieneinstellung ZUGRIFF F r die dateibasierende Verschl sselung durch Cloud Storage k nnen Sie festlegen ob der Benutzer eine Standardschl ssel festlegen darf oder nicht Wenn der Benutzer dies darf steht der Befehl Standardschl ssel festlegen im Windows Explorer Kontextmen der Cloud Storage Synchronisierungsordner zur Verf gung Mit diesem Befehl k nnen Benutzer separate Standardschl ssel angeben die f r die Verschl sselung von unterschiedlichen Synchronisierungsordnern verwendet werden soll Erkl rung Benutzer kann nur von interner Festplatte booten 132 Hinweis Diese Einstellung wird nur von Endpoints unterst tzt auf denen eine ltere SafeGuard Enterprise Version als 6 1 install
344. n mit der SQL Datenbank synchronisiert werden Wird nur eine untergeordnete Datenbank synchronisiert so werden die Elemente nicht verschoben sondern gel scht Hinweis Es wird empfohlen Importvorg nge mit mehr als 400 000 Objekten aus dem AD in mehrere Vorg nge aufzuteilen Unter Umst nden ist dies nicht m glich wenn sich mehr als 400 000 Objekte in einer Organisationseinheit befinden Eine neue Dom ne aus einem Active Directory importieren 1 Klicken Sie im linken Navigationsfenster auf das Stammverzeichnis Stamm Filter ist aktiv 2 W hlen Sie Datei gt Neu gt Neue Dom ne aus AD importieren 3 Klicken Sie im Aktionsbereich auf der rechten Seite auf Synchronisieren 4 W hlen Sie das gew nschte Verzeichnis aus der Verzeichnis DSN Liste und klicken Sie auf das Lupensymbol oben rechts Es erscheint eine Abbildung der Active Directory Struktur der Organisationseinheiten OU in Ihrem Unternehmen 5 W hlen Sie die Dom ne die synchronisiert werden soll und klicken Sie auf Synchronisieren Hinweis Wenn Elemente von einer untergeordneten Baumstruktur in eine andere im Active Directory verschoben wurden m ssen beide Baumstrukturen mit der SQL Datenbank synchronisiert werden Wird nur eine untergeordnete Datenbank synchronisiert so werden die Elemente nicht verschoben sondern gel scht Hinweis Durch die AD Synchronisierung wird der NetBIOS Name der Dom ne vor Windows 2000 nicht synchronisiert wenn der Dom
345. n werden Das angegebene Kennwort ist falsch Das Kennwort wurde mehrere Male falsch eingegeben und ist daher geblockt Benutzen Sie ein Verwaltungstool um dieses zu entsperren Die Identit t stimmt nicht mit der definierten Identit ts Gegenprobe berein Mehrere Fehler sind aufgetreten Benutzen Sie diesen Fehlercode wenn dies die einzige M glichkeit ist einen Fehlercode zu erhalten aber vorher verschiedene Fehler aufgetreten sind Einige Elemente sind noch vorhanden daher kann z B die Verzeichnisstruktur etc nicht gel scht werden Fehler w hrend des Konsistenztestes Die ID ist auf der Schwarzen Liste Die angefragte Aktion ist daher nicht erlaubt Ung ltiges Handle Ung ltige Konfigurationsdatei Abschnitt nicht gefunden Eintrag nicht gefunden Keine weiteren Abschnitte vorhanden Ende der Datei erreicht Der angegebene Element existiert bereits 313 SafeGuard Enterprise 314 Fehler ID 30088 Anzeige Das Kennwort ist zu kurz 30089 Das Kennwort ist zu lang 30090 Ein Element z B ein Zertifikat ist abgelaufen 30091 Das Kennwort ist nicht gesperrt 30092 Der Pfad konnte nicht gefunden werden 30093 Das Datenverzeichnis ist nicht leer 30094 Keine weiteren Daten verf gbar 30095 Auf dem Medium ist kein Speicherplatz mehr verf gbar 30096 Eine Operation wurde abgebrochen
346. n wird eine automatische Anmeldung an der SafeGuard Power on Authentication durchgef hrt Windows wird gestartet 134 Administratorhilfe Richtlinieneinstellung Erkl rung PIN Regeln m ssen hier nicht beachtet werden Hinweis m Diese Option steht nur dann zur Verf gung wenn die Option Token als Anmeldemodus gew hlt wurde m Wenn diese Option ausgew hlt wird muss bei Durchgehende Anmeldung an Windows die Einstellung Durchgehende Anmeldung deaktivieren gew hlt werden Erfolglose Anmeldeversuche dieses Zeigt Einstellung Ja nach der Anmeldung in der SafeGuard Benutzers anzeigen POA und Windows einenDialog mit Informationen ber die letzte fehlgeschlagene Anmeldung Benutzername Datum Zeit an Letzte Benutzeranmeldung Zeigt Einstellung Ja nach der Anmeldung in der SafeGuard anzeigen POA und Windows einenDialog mit Informationen ber die mM Letzte erfolgreiche Anmeldung Benutzername Datum Zeit m Letzte Anmeldeinformationen des angemeldeten Benutzers an Erzwungene Abmeldung bei Sperre der Arbeitsstation deaktivieren Hinweis Diese Einstellung wird nur unter Windows XP wirksam Windows XP wird mit SafeGuard Enterprise 6 1 nicht l nger unterst tzt Die entsprechende Richtlinie ist im SafeGuard Management Center 6 1 noch verf gbar um SafeGuard Enterprise 6 Clients zu unterst tzen die ber ein 6 1 Management Center verwaltet werden Wenn Benutzer den Endpoint nur f r kurze Zeit verlasse
347. nach f nf Tagen eine neue PIN definieren darf PIN l uft ab nach Tage Wird die maximale G ltigkeitsdauer aktiviert muss der Benutzer nach dem eingetragenen Zeitraum seine PIN wechseln und ein neue definieren Warnung vor Ablauf Tage Ab n Tagen vor Ablauf der PIN wird eine Warnmeldung ausgegeben und der Benutzer darauf hingewiesen dass er in n Tagen seine PIN ndern muss Er erh lt daraufhin die M glichkeit die PIN sofort zu ndern ALLGEMEIN Eintr ge verbergen Definiert ob Eingaben verborgen werden wenn PINs eingegeben werden PIN Generationen Legt fest wann bereits verwendete PINs wieder benutzt werden d rfen Sinnvoll ist die Definition von PIN Generationen insbesondere in Verbindung mit der Einstellung PIN l uft ab nach Tage Beispiel Die Anzahl der PIN Generationen f r den Benutzer M ller wurde auf 4 festgelegt die der Tage nach denen der Benutzer die PIN wechseln muss auf 30 Herr M ller meldete sich bislang mit der PIN Informatik an Nach Ablauf der Frist von 30Tagen wird er 141 SafeGuard Enterprise Richtlinieneinstellung NETTE aufgefordert seine PIN zu ndern Herr M ller tippt als neue PIN wieder Informatik ein und erh lt die Fehlermeldung dass er diese PIN bereits verwendet hat und eine andere PIN w hlen muss Informatik darf Herr M ller erst nach der vierten da PIN Generationen 4 Aufforderung zur Eingabe eine
348. nanderfolgende Zeichen verboten Als Tastaturspalten werden eingetippte Zeichenreihen wie yaq1 5 xsw2 oder 3edc nicht aber yse4 xdr5 oder cft6 bezeichnet Erlaubt sind maximal zwei in einer Tastaturspalte befindliche Zeichen Verbieten Sie Tastaturspalten werden derartige Zeichenkombinationen als Kennw rter abgelehnt Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil Verboten werden mit Aktivierung dieser Option Zeichenketten E dieim ASCII Code aufeinander folgen sowohl in auf als auch in absteigender Reihenfolge abc cba lt usw EM die aus drei oder mehr identischen Zeichen aaa oder 111 bestehen Benutzername als PIN verboten Bestimmt ob Benutzername und PIN identisch sein d rfen Ja Windows Benutzername und PIN m ssen unterschiedlich sein Nein Benutzer darf seinen Windows Benutzernamen gleichzeitig als PIN verwenden Liste nicht erlaubter PINs benutzen Bestimmt ob bestimmte Zeichenfolgen f r PINs nicht verwendet werden d rfen Abgelegt sind die Zeichenfolgen in der Liste nicht erlaubter PINs z B Datei im Format txt Liste nicht erlaubter PINs Definiert Zeichenfolgen die in einer PIN nicht verwendet werden d rfen Wenn ein Benutzer eine verbotene PIN verwendet wird eine Fehlermeldung ausgegeben Voraussetzung Eine Liste eine Datei mit verbotenen PINs muss im Management Center unter I
349. nd Sie werden im Standalone Modus betrieben Die f r Challenge Response Vorg nge ben tigten Recovery Informationen basieren in diesem Fall auf der Schl ssel Recovery Datei Diese Schl ssel Recovery Datei wird auf jedem Standalone Endpoint w hrend der Installation der SafeGuard Enterprise Verschl sselungssoftware erzeugt Die Schl ssel Recovery Datei muss dem Sophos SafeGuard Helpdesk zur Verf gung stehen zum Beispiel auf einer Netzwerkfreigabe Um die Suche nach und die Gruppierung von Recovery Dateien zu vereinfachen enthalten die Dateinamen den Namen des Computers computername GUID xml Somit sind Suchvorg nge mit Asterisken als Platzhalter m glich z B GUID xml Hinweis Wenn ein Computer umbenannt wird wird er im Local Cache nicht automatisch entsprechend umbenannt Im Local Cache werden alle Schl ssel Richtlinien Benutzerzertifikate und Audit Dateien gespeichert F r die Datei Generierung muss der neue Computername daher aus dem Local Cache entfernt werden so dass nur der vorige Name verbleibt auch wenn der Computer unter Windows umbenannt wird Recovery Aktionen f r Sophos SafeGuard Clients standalone F r einen Standalone Endpoint kann in den folgenden Situationen ein Challenge Response Verfahren gestartet werden E Der Benutzer hat das Kennwort zu oft falsch eingegeben E Der Benutzer hat das Kennwort vergessen E Ein besch digter Local Cache muss repariert werden F r einen Standalone Endpoint ste
350. nd verhindern dass Objekte in der SafeGuard Enterprise Datenbank unbeabsichtigt gel scht werden F r Informationen zum Zuweisen der notwendigen Rechte siehe http www sophos com de de support knowledgebase 107979 aspx Importieren der Organisationsstruktur Hinweis Mit dem SafeGuard Management Center Taskplaner k nnen Sie einen periodischen Task f r die automatische Synchronisierung zwischen dem Active Directory und SafeGuard Enterprise erstellen In Ihrer Produktlieferung steht hierzu eine vordefinierte Skript Vorlage zur Verf gung F r weitere Informationen siehe Planen von Tasks Seite 283 und Vordefinierte Skripte f r periodische Tasks Seite 289 1 W hlen Sie im SafeGuard Management Center Extras gt Optionen 2 W hlen Sie die Registerkarte Verzeichnis und klicken Sie auf Hinzuf gen 3 Gehen Sie in LDAP Authentisierung folgenderma en vor a Bei Servername oder IP geben Sie den NetBIOS Name des Dom nencontrollers oder dessen IP ein b Bei Anmeldeinformationen des Benutzers geben Sie Ihre Windows Anmeldeinformationen zur Test Umgebung ein c Klicken Sie auf OK Hinweis Bei Windows Einzelplatzcomputern muss auf dem Computer ein Verzeichnis freigegeben sein damit eine Verbindung via LDAP m glich wird 4 Klicken Sie auf Benutzer amp Computer 5 Klicken Sie im linken Navigationsfenster auf das Stammverzeichnis Stamm Filter ist aktiv 6 Klicken Sie im Aktionsbereich auf der rechten Seite auf die Regist
351. nden Ereignisse m ID 3020 File tracking Erzeugen m ID 3021 File tracking Umbenennen m ID 3022 File tracking L schen Um festzulegen dass ein Ereignis in der SafeGuard Enterprise Datenbank protokolliert werden soll w hlen Sie das Ereignis in der Spalte mit dem Datenbanksymbol Ereignisse in der Datenbank protokollieren durch Klicken mit der Maus aus F r Ereignisse die in der Windows Ereignisanzeige protokolliert werden sollen klicken Sie in der Spalte mit dem Ereignisprotokollsymbol Im Ereignisprotokoll protokollieren Bei den f r die Protokollierung ausgew hlten Ereignissen wird in der betreffenden Spalte ein gr nes H kchen angezeigt 4 Speichern Sie Ihre Einstellungen Nach dem Zuweisen der Richtlinie ist Datei Tracking f r Wechselmedien aktiviert und die ausgew hlten Ereignisse werden am ausgew hlten Zielort protokolliert Einsehen von Datei Tracking Ereignissen Um Datei Tracking Protokolle einzusehen ben tigen Sie das Recht Datei Tracking Ereignisse anzeigen l Klicken Sie im Navigationsbereich des SafeGuard Management Center auf die Schaltfl che Berichte Markieren Sie im Berichte Navigationsbereich den Eintrag Datei Tracking Anzeige Klicken Sie im Aktionsbereich der Datei Tracking Anzeige auf der rechten Seite auf das Lupensymbol Alle in der zentralen Datenbank protokollierten Ereignisse werden in der Datei Tracking Anzeige angezeigt Die Ansicht ist mit der Ansicht der Ereignisanzeige identisch F r
352. nen Benutzer im Bereich Benutzer amp Computer zum Sicherheitsbeauftragten ernennen E Sie k nnen einen Sicherheitsbeauftragten im Bereich Sicherheitsbeauftragte zu einem Haupt Sicherheitsbeauftragten ernennen Voraussetzungen f r die Ernennung eines Benutzers zum Sicherheitsbeauftragten Ein Sicherheitsbeauftragter mit den erforderlichen Rechten kann Benutzer zu Sicherheitsbeauftragten machen und ihnen Rollen zuweisen Auf diese Weise ernannte Sicherheitsbeauftragte k nnen sich mit Ihren Windows Anmeldeinformationen oder ihrer Token Smartcard PIN an das SafeGuard Management Center anmelden Sie k nnen genauso wie andere Sicherheitsbeauftragte agieren und verwaltet werden Folgende Voraussetzungen m ssen erf llt sein E Benutzer die zu Sicherheitsbeauftragten ernannt werden sollen m ssen aus einem Active Directory importiert und im SafeGuard Management Center unter Benutzer amp Computer sichtbar sein E Ein zum Sicherheitsbeauftragter ernannter Benutzer ben tigt f r die Anmeldung an das SafeGuard Management Center als Sicherheitsbeauftragter ein Benutzerzertifikat Sie erzeugen diese Zertifikat wenn Sie den Benutzer zum Sicherheitsbeauftragten ernennen siehe Ernennen eines Benutzers zum Sicherheitsbeauftragten Seite 66 F r die Anmeldung mit den Windows Anmeldeinformationen muss die p12 Datei mit dem privaten Schl ssel in der SafeGuard Enterprise Datenbank vorhanden sein F r die Anmeldung mit Token bzw Smartcard PIN m
353. nen Controller mit einer IP Adresse Administratorhilfe 10 1 3 konfiguriert ist Konfigurieren Sie den Dom nen Controller so dass stattdessen der Servername NetBIOS oder DNS verwendet wird Der Client auf dem die AD Synchronisierung l uft muss entweder Teil der Dom ne sein oder es muss sichergestellt sein dass der DNS Name zum Ziel Dom nen Controller aufgel st werden kann Zugriffsrechte f r Sicherheitsbeauftragte und Import aus Active Directory F r die erforderlichen Zugriffsrechte f r den Import der Organisationsstruktur aus Active Directory gilt Wenn Sie eine Active Directory Verbindung zu einer bereits vorhandenen Dom ne hinzuf gen gilt Folgendes m Wenn Sie das Zugriffsrecht Voller Zugriff f r die Dom ne DNS haben werden die Anmeldeinformationen f r die Directory Verbindung aktualisiert m Wenn Sie das Zugriffsrecht Schreibgesch tzt oder weniger Zugriffsrechte f r die Dom ne DNS haben werden die Anmeldeinformationen nicht aktualisiert Sie k nnen jedoch vorhandene Anmeldeinformationen f r die Synchronisierung benutzen F r Active Directory Import und Synchronisierung werden die Zugriffsrechte f r einen Container oder eine Dom ne auf die Dom nenbaumstruktur die sie importieren k nnen bertragen Wenn Sie f r eine untergeordnete Baumstruktur nicht das Zugriffsrecht Voller Zugriff haben kann diese nicht synchronisiert werden Wenn eine untergeordnete Baumstruktur nicht ge ndert werden kann
354. nen zur Unterst tzung der BitLocker To Go Erweiterung in Windows 7 und 8 durch SafeGuard Enterprise siehe BitLocker To Go Seite 176 21 2 4 Verschl sselung mit BitLocker ber SafeGuard Enterprise 21 2 4 1 172 Mit der Unterst tzung der BitLocker Laufwerkverschl sselung in SafeGuard Enterprise lassen sich die folgenden Komponenten verschl sseln E Boot Volume mit BitLocker Verschl sselung und BitLocker Schl sseln E Andere Volumes mit BitLocker Verschl sselung und BitLocker Schl sseln E Daten z B von Wechselmedien mit SafeGuard Enterprise dateibasierender Verschl sselung und SafeGuard Enterprise Schl sseln BitLocker Verschl sselungsschl ssel Bei der Verschl sselung des Boot Volumes oder anderer Volumes mit BitLocker ber SafeGuard Enterprise werden die Verschl sselungsschl ssel immer durch BitLocker erzeugt BitLocker erzeugt jeweils einen Schl ssel f r jedes Volume Dieser Schl ssel l sst sich f r keinen anderen Zweck verwenden Der Schl ssel muss an einem sicheren Ort gespeichert werden Eine Sicherungskopie des Schl ssels wird in der SafeGuard Enterprise Datenbank gespeichert wenn BitLocker mit SafeGuard Enterprise verwendet wird Dies erm glicht die Einrichtung eines Helpdesk und Recovery Mechanismus hnlich der SafeGuard Enterprise Challenge Response Funktionalit t Es ist jedoch nicht m glich Schl ssel global auszuw hlen oder wiederzuverwenden wie dies bei nativen SafeGuard Enterprise Clie
355. ner benutzerdefinierten Rolle hinzuf gen oder Rechte aus der Rolle entfernen Im Gegensatz zu vordefinierten Rollen k nnen benutzerdefinierte je nach Anforderung auch gel scht werden Wird die Rolle gel scht so ist sie keinem Benutzer mehr zugewiesen Ist einem Benutzer nur eine Rolle zugewiesen und wird diese Rolle gel scht so kann sich der Benutzer nicht mehr am SafeGuard Management Center anmelden Hinweis Die Rolle und die darin definierten Aktionen bestimmen was ein Benutzer darf und was nicht Auch dann wenn dem Benutzer mehrere Rollen zugewiesen worden sind Nachdem er sich am System angemeldet hat werden nur die Bereiche des SafeGuard Management Centers aktiviert und angezeigt die f r seine Rolle n tig sind Das betrifft auch die Bereiche Skripte und API Sie sollten deshalb f r einen Bereich in dem Sie Aktionen vergeben immer auch die Anzeige dieses Bereichs als Aktion ausw hlen Aktionen werden nach Funktionsbereich sortiert und sind hierarchisch strukturiert Diese Struktur zeigt welche Aktionen vor der Durchf hrung bestimmter anderer Aktionen erforderlich sind Zus tzliche Autorisierung Die zus tzliche Autorisierung auch Vier Augen Prinzip genannt kann spezifischen Aktionen einer Rolle zugeordnet werden Das bedeutet dass der Benutzer dieser Rolle eine bestimmte Aktion nur ausf hren darf wenn ein Benutzer einer weiteren Rolle anwesend ist und die Ausf hrung der Aktion best tigt Jedes Mal wenn ein Benutzer dies
356. ner Ordner F r Egnyte Administratoren wird dieser Platzhalter in der Regel in mehrere Ordner umgesetzt lt EgnyteShared gt Synchronisierungsordner Hinweis Alle freigegebenen Ordner in der Egnyte Cloud Storage nderungen an der Egnyte Ordnerstruktur auch das Hinzuf gen oder Entfernen von privaten oder freigegebenen Ordnern werden automatisch erkannt Die entsprechenden Richtlinien werden automatisch angepasst 205 SafeGuard Enterprise Anbieter Platzhalter Kann in CSD Einstellung Wird aufgel st in verwendet werden Hinweis Da sich Egnyte Synchronisierungsordner im Netzwerk befinden k nnen k nnen Sie bei der Finstellung Synchronisierungsordner Netzwerkpfade eingeben Das SafeGuard Enterprise Cloud Storage Modile verbindet sich daher standardm ig mit Netzwerkdateisystemen Wenn dies nicht erforderlich ist k nnen Sie dieses Verhalten deaktivieren indem Sie eine Richtlinie vom Typ Allgemeine Finstellungen definieren und unter Ignorierte Ger te die Option Netzwerk ausw hlen Google Drive lt GoogleDrive gt Synchronisierungsapplikation F r Synchronisierungsordner Synchronisierungsapplikationen Der Fully qualified Pfad der Synchronisierungsapplikation die von der Google Drive Software benutzt wird F r Synchronisierungsordner Der Fully qualified Pfad des Synchronisierungsordners der von der Google Drive Software benutzt wird SkyDrive lt SkyDrive gt Synchronis
357. neue SO PIN ein wiederholen Sie die Eingabe und best tigen Sie mit OK Die SO PIN wurde ge ndert 227 SafeGuard Enterprise 27 8 3 27 8 4 27 8 5 27 9 27 9 1 228 ndern einer Benutzer PIN Voraussetzung m Die Benutzer PIN muss bekannt sein m Sie ben tigen das Zugriffsrecht Voller Zugriff f r den relevanten Benutzer 1 Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Benutzer PIN ndern Symbol 2 Geben Sie die alte und die neue Benutzer PIN ein wiederholen Sie die neue Benutzer PIN und klicken Sie auf OK Die Benutzer PIN wurde ge ndert Falls Sie die PIN f r einen anderen Benutzer ge ndert haben teilen Sie ihm die nderung mit Erzwingen einer PIN nderung Um eine PIN nderung zu erzwingen ben tigen Sie das Zugriffsrecht Voller Zugriff f r den relevanten Benutzer 1 Klicken Sie in der SafeGuard Management Center Symbolleiste auf das PIN nderung erzwingen Symbol Wenn sich der Benutzer beim n chsten Mal mit dem Token anmeldet muss er seine Benutzer PIN ndern PIN Historie Die PIN Historie kann gel scht werden Klicken Sie dazu auf das Symbol PIN Historie l schen Verwalten von Token und Smartcards Im Bereich Token des SafeGuard Management Centers hat der Sicherheitsbeauftragte folgende M glichkeiten E Einsehen einer bersicht ber die ausgestellten Token und Zertifikate m Filtern von bersichten E Sperren von Token f r die Anmeldung E Le
358. nformationstext im Richtlinien Navigationsbereich registriert werden Erst nach der Registrierung ist die Liste verf gbar Maximale Dateigr e 50 KB Unterst tztes Format Unicode Nicht erlaubte PINs definieren In den Listen werden die verbotenen PINs durch einen Leerraum oder einen Zeilenumbruch voneinander getrennt Administratorhilfe Richtlinieneinstellung NDERUNGEN PIN nderung erlaubt nach mindestens Tage NETTE Platzhalter An der Position an der Sie den Zeichentyp eingeben k nnen mehrere beliebige Zeichen in der PIN enthalten sein Beispielsweise wird durch 123 jede Zeichenfolge die 123 enth lt als PIN verboten Hinweis MH Wenn Sie nur den Platzhalter in die Liste einf gen k nnen sich Benutzer nach einer erzwungenen Kennwort nderung nicht mehr im System anmelden M Benutzer d rfen auf die Datei keinen Zugriff haben E Die Option Liste nicht erlaubter PINs verwenden muss aktiviert sein Legt den Zeitraum fest in dem eine PIN nicht erneut ge ndert werden darf Diese Einstellung verhindert dass ein Benutzer seine PIN innerhalb eines bestimmten Zeitraums beliebig oft ndern kann Beispiel Die Benutzerin Schmidt definiert eine neue PIN z B 13jk56 F r sie oder f r die Gruppe der sie zugeordnet ist ist ein Wechsel nach mind f nf Tagen festgelegt Bereits nach zwei Tagen will sie die PIN 13jk56 ndern Dies wird abgelehnt da Frau Schmidt erst
359. ng ber diesen Befehl k nnen Sie sich eine Liste mit Benutzern anzeigen lassen die sich an der SafeGuard Power on Authentication als SGN Benutzer und an Windows als SGN Windows Benutzer anmelden k nnen Im angezeigten Dialog k nnen Benutzer aus der Liste entfernt werden Nach dem Entfernen von SGN Benutzern oder SGN Windows Benutzern k nnen sich diese nicht mehr an der SafeGuard Power on Authentication oder an Windows anmelden Maximale Anzahl von SGN Windows Benutzern bevor Benutzer automatisch gel scht werden Hinweis Diese Einstellung gilt nur f r zentral verwaltete Endpoints Mit dieser Einstellung k nnen Sie eine automatisch Bereinigung der SafeGuard Enterprise Windows Benutzer auf zentral verwalteten Endpoints aktiviert Sobald der hier gesetzte Schwellwert von einem SafeGuard Enterprise Windows Benutzer berschritten wird werden alle vorhandenen SafeGuard Enterprise Windows Benutzer au er dem neuen aus der Benutzer Computer Zuordnung entfernt Die Standardeinstellung ist 10 ANZEIGEOPTIONEN Computer Identifikation anzeigen Zeigt in der Titelleiste der SafeGuard POA entweder den Computernamen oder einen frei definierbaren Text an Existiert ein Computername in den Windows Netzwerkeinstellungen wird dieser in der Grundeinstellung automatisch bernommen Text f r Computer Identifikation Der Text der in der Titelleiste der SafeGuard POA angezeigt werden soll Ist unter Computer Identifika
360. ng f r eine Gruppe aktiviert ob diese Richtlinie an diesem Container in die Berechnung der resultierenden Richtlinie einflie t Vererbte Richtlinien k nnen durch diese Aktivierungen nicht kontrolliert werden Hierf r m sste an der lokaleren OU Richtlinienvererbung blockieren gesetzt werden damit die globalere Richtlinie hier nicht wirken kann Benutzer Gruppeneinstellungen Richtlinieneinstellungen f r Benutzer im SafeGuard Management Center schwarz dargestellt ziehen st rker als Richtlinieneinstellungen f r Computer im SafeGuard Management Center blau dargestellt Werden bei einer Richtlinie f r Computer Benutzereinstellungen festgelegt werden diese Einstellungen durch die Richtlinie f r den Benutzer berschrieben Hinweis Nur die Benutzereinstellungen werden berschrieben Sollte eine Richtlinie f r Benutzer auch Maschineneinstellungen beinhalten blau dargestellte Einstellungen werden diese nicht von einer Benutzerrichtlinie berschrieben Beispiel 1 Wird f r eine Computergruppe die Kennwortl nge 4 definiert die Benutzergruppe hat aber f r dieselbe Einstellung den Wert 3 gilt f r diesen Benutzer auf einem Computer der Computergruppe ein Kennwort mit der L nge 3 Beispiel 2 Wird f r eine Benutzergruppe ein Serverintervall von 1 Minute definiert und f r eine Computergruppe der Wert 3 so wird der Wert 3 verwendet da es sich beim Wert 1 Minute um eine Maschineneinstellung die in einer Richtlinie f
361. nge angefordert wurden Wenn auf Client Seite zum Beispiel Crypto Token erforderlich angefordert wurde stehen f r die Response die Aktionen SGN Client mit Benutzeranmeldung booten und SGN Client ohne Benutzeranmeldung booten zur Verf gung 10 W hlen Sie die Aktion die der Benutzer ausf hren soll 11 Wenn Sie SGN Client mit Benutzeranmeldung booten ausgew hlt haben k nnen Sie zus tzlich auch die Option Benutzerkennwort anzeigen w hlen um das Kennwort auf dem Zielcomputer anzeigen zu lassen 12 Klicken Sie auf Weiter 13 Es wird ein Response Code erzeugt Teilen Sie dem Benutzer den Response Code mit Hierzu steht eine Buchstabierhilfe zur Verf gung Sie k nnen den Response Code auch in die Zwischenablage kopieren Administratorhilfe 29 2 5 3 29 2 5 4 Der Benutzer kann nun den Response Code auf dem Endpoint eingeben und die autorisierte Aktion durchf hren Response f r mit BitLocker verschl sselte SafeGuard Enterprise Clients UEFI Endpoints F r UEFI Endpoints die bestimmte Voraussetzungen erf llen bietet SafeGuard Enterprise ein Challenge Response Verfahren zum Recovery Auf UEFI Endpoints die die Voraussetzungen nicht erf llen wird automatisch SafeGuard BitLocker ohne Challenge Response installiert Informationen ber den Recovery Vorgang bei diesen Enpoints finden Sie unter Recovery Schl ssel f r mit BitLocker verschl sselte SafeGuard Enterprise Clients BIOS Endpoints Seite 245 1 W h
362. ngsregeln zu verwenden E Offline Ordner Bei Anwendung der Windows Funktion Offline verf gbar machen m ssen Sie keine speziellen Regeln f r lokale Offline Kopien von Ordnern erstellen Neue Dateien in der lokalen Kopie eines Ordners der offline verf gbar gemacht wurde werden entsprechend den Regeln f r den urspr nglichen Netzwerk Speicherplatz verschl sselt Hinweis F r weitere Informationen zur Benennung von Dateien und Pfaden siehe http msdn microsoft com en us library aa365247 aspx 23 1 2 Platzhalter f r Pfade in File Encryption Verschl sselungsregeln Beim Angeben von Pfaden in Verschl sselungsregeln in File Encryption Richtlinien k nnen die folgenden Platzhalter verwendet werden Um diese Platzhalter auszuw hlen klicken Sie auf die Dropdown Schaltfl che des Felds Pfad Pfad Platzhalter Betriebssystem Wert auf dem Endpoint Alle Windows TCE E TOR X lt environment_variable_name gt Alle Wert der Umgebungsvariable Beispiel lt USERNAME gt Hinweis Wenn Umgebungsvariablen mehrere Speicherorte enthalten zum Beispiel die PATH Umgebungsvariable werden die Pfade nicht in mehrere Regeln aufgeteilt Dies verursacht einen Fehler und die Verschl sselungsregel ist ung ltig lt Desktop gt Windows Der virtuelle Ordner f r das Microsoft Windows Desktop lt Documents gt Alle Das ist der virtuelle Ordner f r den Desktop Bereich Eigene Dateien quivalent zu CSIDL_MYDOCUMENTS Typischer
363. nicht notwendig 10 W hlen Sie die zuvor zur Aktualisierung des Unternehmenszertifikats erstellte CCO 11 W hlen Sie den Modus f r die Transportverschl sselung der bestimmt wie die Verbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Server verschl sselt wird Sophos Verschl sselung oder SSL Verschl sselung Der Vorteil bei SSL ist dass es ein Standardprotokoll ist und eine schnellere Verbindung aufgebaut werden kann als mit der SafeGuard Transportverschl sselung SSL Verschl sselung wird standardm ig ausgew hlt Weitere Informationen zur Absicherung von Transportverbindungen mit SSL finden Sie in der SafeGuard Enterprise Installationsanleitung 12 Geben Sie einen Ausgabepfad f r das Konfigurationspaket MSI an 13 Klicken Sie auf Konfigurationspaket erstellen WennSie als Modus f r die Transportverschl sselung die SSL Verschl sselung ausgew hlt haben wird die Serververbindung validiert Wenn die Verbindung fehlschl gt wird eine Warnungsmeldung angezeigt Das Konfigurationspaket MSI wird im angegebenen Verzeichnis angelegt Starten Sie alle SGN Server neu Im n chsten Schritt verteilen Sie das Paket an die SafeGuard Enterprise Client managed Endpoints zur Installation Ersetzen des Unternehmenszertifikats Das Ersetzen des Unternehmenszertifikats ist notwendig wenn Sie einen Endpoint von einer Standalone Umgebung in eine andere verschieben m chten Der zu verschiebende Endpoint ben tig
364. nien Gruppen angezeigt 6 W hlen Sie die Richtlinien Gruppe aus Im Aktionsbereich werden alle f r das Gruppieren der Richtlinien notwendigen Elemente angezeigt 7 Zum Gruppieren der Richtlinien ziehen Sie sie aus der Liste der verf gbaren Richtlinien in den Richtlinienbereich Administratorhilfe 14 3 2 14 4 8 Sie k nnen f r jede Richtlinie eine Priorit t festlegen indem Sie die Richtlinie ber das Kontextmen nach oben oder unten reihen Wenn Sie Richtlinien vom selben Typ in einer Gruppe zusammenfassen werden die Einstellungen automatisch vereinigt Sie k nnen daf r eine Auswertungsreihenfolge festlegen Die Einstellungen einer h her gereihten Richtlinie berschreiben jene einer niedriger priorisierten Ist eine Einstellung auf nicht konfiguriert gesetzt wird die Einstellung in einer niedriger priorisierten Richtlinie nicht berschrieben Ausnahme Ger teschutz Richtlinien f r den Ger teschutz werden nur vereinigt wenn sie f r dasselbe Ziel z B Boot Volume angelegt werden Weisen sie auf verschiedene Ziele werden sie addiert 9 Speichern Sie die Richtliniengruppe ber Datei gt Speichern Die Richtliniengruppe enth lt nun die Einstellungen aller einzelnen Richtlinien Ergebnis der Gruppierung Das Ergebnis der Zusammenfassung wird in einer eigenen Ansicht dargestellt Klicken Sie zum Anzeigen der Zusammenfassung auf die Registerkarte Ergebnis E F r jeden Richtlinien Typ steht eine eigene Re
365. nistration Die Lizenz wurde verletzt Administration Schl sseldatei wurde erzeugt Administration Schl ssel f r Schl sseldatei wurde gel scht Administration Administration Sicherheitsbeauftragter hat die Power on Authentication in einer Richtlinie deaktiviert LSH Fragenthema erstellt Administration LSH Fragenthema ge ndert Administration LSH Fragenthema gel scht Administration Frage ge ndert Administration Schreibgesch tzt Zugriff auf den Container 1 wurde dem Sicherheitsbeauftragten 2 zugeordnet Administration Voller Zugriff auf Container 1 wurde dem Sicherheitsbeauftragten 2 zugeordnet Administration Voller Zugriff auf Container 1 wurde dem Sicherheitsbeauftragten 2 zugeordnet Administration Zugriff auf Container 1 wurde f r den Sicherheitsbeauftragten 2 explizit verweigert Administration Verweigerter Zugriff auf Container 1 wurde f r Sicherheitsbeauftragten 2 widerrufen Administration Lesezugriff auf Container 1 wurde dem Sicherheitsbeauftragten 2 zugeordnet Administration POA Benutzer 1 angelegt Administration POA Benutzer 1 ge ndert Administration POA Benutzer 1 gel scht Administration Erstellen von POA Benutzer 1 fehlgeschlagen Administration ndern von POA Benutzer 1 fehlgeschlagen Administration L schen von POA Benutz
366. nitionen zur Verf gung Die Einstellungen f r die Verschl sselung von Cloud Storage Daten legen Sie in einer Richtlinie vom Typ Ger teschutz fest 1 Erstellen Sie im Richtlinien Navigationsbereich eine neue Richtlinie vom Typ Ger teschutz 2 W hlen eine Cloud Storage Definition als Ziel aus 3 Klicken Sie auf OK Die neu angelegte Richtlinie wird im Navigationsfenster unter Richtlinien angezeigt Im Aktionsbereich werden alle Einstellungen f r die Richtlinie vom Typ Ger teschutzangezeigt Die Einstellungen k nnen dort ge ndert werden 4 W hlen Sie f r die Option Verschl sselungsmodus f r Medien die Einstellung Dateibasierend Volume basierende Verschl sselung wird nicht unterst tzt 5 W hlen Sie unter Algorithmus f r die Verschl sselung den Algorithmus der f r die Verschl sselung der Daten in den Synchronisierungsordnern die in der Cloud Storage Definition definiert sind verwendet werden soll 6 Mit den Einstellungen Schl ssel f r die Verschl sselung und F r Verschl sselung definierter Schl ssel definieren Sie den Schl ssel oder die Schl ssel die f r die Verschl sselung verwendet werden sollen F r weitere Informationen siehe Ger teschutz Seite 150 7 Wenn Sie die Einstellung SafeGuard Portable auf das Ziel kopieren aktivieren wird SafeGuard Portable in jeden Synchronisierungsordner kopiert sobald Inhalte in den Ordner geschrieben werden SafeGuard Portable ist eine Anwendung mit der verschl s
367. nk eintr gt Die bergabe erfolgt standardm ig immer dann wenn der Transportmechanismus erfolgreich eine Verbindung zum Server aufbauen konnte Um die Gr e einer Protokolldatei einzuschr nken k nnen Sie in einer Richtlinie des Typs Allgemeine Einstellungen eine maximale Anzahl an Protokolleintr gen definieren Die Protokolldatei wird dann vom Protokollsystem nach Erreichen der festgelegten Anzahl an Eintr gen in die Transportqueue des SafeGuard Enterprise Servers gestellt Die in der zentralen Datenbank protokollierten Ereignisse lassen sich in der SafeGuard Enterprise Ereignisanzeige oder in der Datei Tracking Anzeige abrufen F r das Einsehen Analysieren und Verwalten der in der Datenbank protokollierten Ereignisse ben tigen Sie als Sicherheitsbeauftragter die relevanten Berechtigungen Konfigurieren von Einstellungen f r die Protokollierung Die Definition von Berichten erfolgt ber zwei Richtlinien E Richtlinie des Typs Allgemeine Einstellungen In einer Richtlinie des Typs Allgemeine Einstellungen k nnen Sie die Anzahl an protokollierten Ereignissen angeben nach deren Erreichen die Protokolldatei mit den f r die zentrale Datenbank bestimmten Ereignissen an die SafeGuard Enterprise Datenbank bermittelt werden soll Dadurch wird die Gr e der einzelnen zu bertragenden Protokolldateien begrenzt Diese Einstellung ist optional E Richtlinie des Typs Protokollierung Die zu protokollierenden Ereignisse werden in der Proto
368. nn Endpoints ohne TPM Wenn ein Endpoint nicht mit TPM ausgestattet ist k nnen Sie einen BitLocker Systemstartschl ssel erzeugen indem Sie einen USB Speicherstick verwenden um die Schl ssel f r das Ver und Entschl sseln zu speichern Sie werden den USB Stick bei jedem Neustart des Computers ben tigen Wenn SafeGuard Enterprise BitLocker aktiviert werden Sie dazu aufgefordert den BitLocker Systemstartschl ssel zu speichern Ein Dialog erscheint der die g ltigen Ziellaufwerke f r das Speichern des Systemstartschl ssels anzeigt Hinweis Bei Bootlaufwerken ist es wesentlich dass der Systemstartschl ssel verf gbar ist wenn Sie den Endpoint starten Deshalb ist das Speichern des Systemstartschl ssels auf Wechselmedien beschr nkt Bei Datenlaufwerken ist es m glich den BitLocker Systemstartschl ssel auf einem bereits verschl sselten Bootlaufwerk zu speichern Falls das Laufwerk verschl sselt ist wird es unter G ltiges Ziellaufwerk angezeigt und kann ausgew hlt werden BitLocker Recovery Schl ssel F r BitLocker Recovery bietet SafeGuard Enterprise einen Challenge Response Mechanismus der es erlaubt Informationen auf vertraulichem Weg auszutauschen sowie den BitLocker Recovery Schl ssel vom Helpdesk zu beziehen siehe Response f r mit BitLocker verschl sselte SafeGuard Enterprise Clients UEFI Endpoints Seite 245 und Recovery Schl ssel f r mit BitLocker verschl sselte SafeGuard Enterprise Clients BIOS Endp
369. nnwort f r neues Zertifikat Dialog ein Kennwort ein und best tigen Sie es Nun wird der Rollenauswahl Dialog angezeigt 4 W hlen Sie im Rollenauswahl Dialog die erforderlichen Rollen aus und klicken Sie auf OK Der Benutzer ist nun Sicherheitsbeauftragter und wird im Bereich Sicherheitsbeauftragte mit seinem Benutzernamen angezeigt Die jeweiligen Eigenschaften lassen sich durch Auswahl des gew nschten Sicherheitsbeauftragten im Navigationsfenster anzeigen Ist der private Schl ssel des Benutzers in der Datenbank gespeichert so ist Kein Token aktiviert Wenn sich der private Schl ssel auf dem Token oder der Smartcard befindet ist Optional aktiviert Nach Wunsch k nnen Sie den Sicherheitsbeauftragten per Drag amp Drop auf der gew nschten Position in der Baumstruktur des Bereichs Sicherheitsbeauftragte platzieren Der Sicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuard Management Center anmelden Ernennen eines Sicherheitsbeauftragten zum Haupt Sicherheitsbeauftragten Voraussetzung Um einen Sicherheitsbeauftragten zum Haupt Sicherheitsbeauftragten zu ernennen ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und zu modifizieren 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Sicherheitsbeauftragten den Sie zum Haupt Sicherheitsbeauftragten ernennen m chten W hlen Sie Zum Haupt Sicherheitsbeauftra
370. nschten virtuellen Client aus und klicken Sie auf OK Der Name des virtuellen Clients wird nun auf der Recovery Typ Seite unter Virtueller Client angezeigt Klicken Sie auf Weiter um den Namen der Datei mit dem virtuellen Client zu best tigen Administratorhilfe 29 2 6 6 29 2 6 7 Im n chsten Schritt w hlen Sie die erforderliche Recovery Aktion aus Auswahl der erforderlichen Recovery Aktion 1 W hlen Sie bei Virtueller Client auf der Angeforderte Aktion Seite eine der folgenden Optionen m W hlen Sie Schl ssel angefordert um einen einzelnen Schl ssel f r den Zugriff auf ein verschl sseltes Volume auf dem Computer wiederherzustellen Diese Option ist sowohl f r zentral verwaltete Endpoints als auch f r Standalone Endpoints verf gbar m W hlen Sie Kennwort f r Schl sseldatei angefordert um mehrere Schl ssel f r den Zugriff auf verschl sselte Volumes auf dem Computer wiederherzustellen Die Schl ssel werden in einer Datei gespeichert die mit einem Zufallskennwort verschl sselt wird das in der Datenbank abgelegt ist Das Kennwort ist f r jede angelegte Schl sseldatei einzigartig Das Kennwort wird innerhalb des Response Codes an den Zielcomputer bertragen Diese Option ist nur f r zentral verwaltete Endpoints verf gbar 2 Klicken Sie auf Weiter Auswahl des angeforderten Schl ssel einzelner Schl ssel Voraussetzung Sie m ssen den erforderlichen virtuellen Client im Recovery Assistenten de
371. nsnessesessesenenenennenonnennnnnnnnonnenonnennnonnnnonnnnonnnnnnennnennnnnn 100 SafeGuard Enterprise Power on Authentication POA nesesessesesssenesnenennenonnnnnnennnennnnennnnnn 104 Administrative Zugangsoptionen f r Endpoints uueseesesessssesessenonnenonnnnnonnenenneenennnnennnnennnnen 114 Service Account Listen f r die Windows Anmeldung uesssessnssesessenonnenonnesnnnnnnennnennnnnn 115 POA Benutzer f r die Anmeldung an der SafeGuard POA uesssseesenensenenesenennnnennnnennnnnn 120 Richtlinieneinstellungen 4 4 lehnte a a 126 Pestplattenyverschl sselung n en ar ARA Eaa A EATERS NEE EINER 165 SafeGuard Configuration Protection eseesessssesesesssseresesesseseresesteseresesessesenenestesesenenesteseneseseese 179 File Eneryption mit Bile Sh re 2 sunesanesuiakienanumaienbemiehsrmmene 180 SafeGuard Data Exchange rn En 192 Cloud Storage u222 Hin a LEERE a e e e aE e E EE eei 203 Benutzer Computer Zuordnung sseeesesessererestesererestsseseseststesestresestesentnestesesenestetesenenesteseseses 209 27 Token und Sm artcards r u0 4ssasesustatesnseisee ntatstenssstpenfestiesnennnlesriehhtaseeenbisertnenhedneenhatehenehhten ee 214 28 Sicheres Wake on LAN WOL Janeina i ea e aaa aaa a a aaa aa a 231 29 Recovery OPON E er ne 233 30 Wiederherstellen einer besch digten SafeGuard Enterprise Installation neesseese 261 31 Wiederherstellen einer besch digten Datenbankkonfi
372. nte zu registrieren gehen Sie wie beschrieben vor Alle registrierten Textelemente werden als Unterknoten angezeigt Hinweis Mit der Schaltfl che Text ndern k nnen Sie weiteren Text zum bestehenden Text hinzuf gen Es wird ein Dialog ge ffnet in dem eine weitere Textdatei ausgew hlt werden kann Der in dieser Datei enthaltene Text wird am Ende des bestehenden Texts eingef gt Syntaxregeln f r PINs In Richtlinien vom Typ PIN definieren Sie Einstellungen f r Token PINs PINs k nnen sowohl Ziffern Buchstaben als auch Sonderzeichen wie etc enthalten Verwenden Sie bei der Vergabe einer neuen PIN jedoch keine Zeichen mit der Kombination ALT lt Zeichen gt da dieser Eingabemodus an der SafeGuard Power on Authentication nicht zur Verf gung steht Hinweis Definieren Sie PIN Regeln entweder im SafeGuard Management Center oder im Active Directory nicht an beiden Stellen Richtlinieneinstellung NETTE PIN Mindestl nge der PIN Gibt an aus wie vielen Zeichen eine PIN bei der nderung durch den Benutzer mindestens bestehen muss Der gew nschte Wert kann entweder direkt eingegeben oder durch Bet tigen der Richtungsschaltfl chen vergr ert bzw verkleinert werden Maximall nge der PIN Gibt an aus wie vielen Zeichen eine PIN bei der nderung durch den Benutzer maximal bestehen darf Der gew nschte Wert kann entweder direkt eingegeben oder durch Bet tigen der Richtungsschaltfl chen vergr ert bzw verkl
373. nterprise Tools Anleitung Algorithmus Zeigt f r verschl sselte Laufwerke den Algorithmus der zur Verschl sselung benutzt wurde an 32 8 Registerkarte Benutzer Die Registerkarte Benutzer zeigt Bestands und Statusinformationen zu den Benutzern des Computers Spalte Erkl rung Benutzername Zeigt den Benutzernamen des Benutzers Distinguished Name Zeigt den DNS Namen f r den Benutzer zum Beispiel CN Administrator CN Users DC domain DC mycompany DC net Benutzer ist Besitzer Gibt an ob der Benutzer als Besitzer des Computers definiert ist Benutzer ist gesperrt Gibt an ob der Benutzer gesperrt ist SGN Windows Benutzer Gibt an ob es sich um einen SGN Windows Benutzer handelt Ein SGN Windows Benutzer wird nicht zur SafeGuard POA hinzugef gt hat aber einen Schl sselring f r den Zugriff auf verschl sselte Dateien wie jeder andere SGN Benutzer Sie k nnen die Registrierung von SGN Windows Benutzern auf Endpoints ber Richtlinien des Typs Spezifische Computereinstellungen aktivieren 267 SafeGuard Enterprise 32 9 Registerkarte Module Die Registerkarte Module liefert eine bersicht zu allen auf dem Computer installierten SafeGuard Enterprise Modulen Spalte Erkl rung Zeigt den Namen des installierten SafeGuard Enterprise Moduls Zeigt die Software Version des installierten SafeGuard Enterprise Moduls 32 10 Registerkarte Unternehmenszertifikat Die Registerkarte Unternehmenszertifikat
374. nterschiedliche IDs F r die korrekte Verarbeitung in SafeGuard Enterprise m ssen Sie beide IDs zur White List hinzuf gen Der SafeGuard Port Auditor ermittelt beide IDs wenn ein SafeStick Ger t mindestens einmal auf dem von SafeGuard Port Auditor gescannten Computer ge ffnet wurde 20 8 1 Anlegen einer White List f r Ger teschutz Richtlinien f r die 148 dateibasierende Verschl sselung 1 Markieren Sie im Richtlinien Navigationsbereich den Eintrag White List 2 Klicken Sie im Kontextmen von White List auf Neu gt White List 3 W hlen Sie den Typ der White List aus E Um eine White List f r spezifische Datentr germodelle zu erstellen w hlen Sie Datentr germodelle E Um eine White List f r bestimmte Datentr ger nach Seriennummer zu erstellen w hlen Sie Einzelne Datentr ger Administratorhilfe 20 8 2 4 Geben Sie unter White List Quelle an wie Sie die White List erstellen m chten E Um Datentr ger manuell einzugeben w hlen Sie White List manuell erstellen Wenn Sie auf OK klicken wird eine leere White List im SafeGuard Management Center ge ffnet In dieser leeren White List k nnen Sie die Eintr ge manuell erstellen Klicken Sie dazu auf das gr ne Symbol Hinzuf gen Einf gen in der SafeGuard Management Center Symbolleiste Hinweis Um die relevanten Strings f r ein Ger t mit dem Windows Ger te Manager abzurufen ffnen Sie das Eigenschaften Fenster f r das Ger t und entnehmen Sie die Werte
375. ntifiziert werden 805306381 Die Richtlinie ist einer Richtlinien Gruppe zugewiesen Um die Richtlinie zu l schen muss diese Zuweisung aufgehoben werden 805306382 Die Richtlinie ist einer OU zugewiesen Bitte entfernen Sie zuerst die Zuweisung 805306383 Das Zertifikat dieses Beauftragten ist ung ltig 805306384 Das Zertifikat dieses Beauftragten ist abgelaufen 805306385 Der Beauftragte konnte nicht in der Datenbank gefunden werden 805306386 Der gew hlte Beauftragte ist nicht eindeutig 805306387 Der Beauftragte ist gesperrt und kann nicht authentisiert werden 805306388 Der Beauftragte ist nicht mehr oder noch nicht g ltig 805306389 Der Beauftragte konnte nicht authentisiert werden Anfrage au erhalb der gestatteten Arbeitszeiten 805306390 Ein Beauftragter kann sich nicht selbst l schen 805306391 Der Haupt Sicherheitsbeauftragte kann nicht gel scht werden da ein zweiter Haupt Sicherheitsbeauftragte zur zus tzlichen Authentisierung erforderlich ist 805306392 Der Sicherheitsbeauftragte kann nicht gel scht werden da ein zweiter Sicherheitsbeauftragte zur zus tzlichen Authentisierung erforderlich ist 805306393 Der Pr fungsbeauftragte kann nicht gel scht werden da ein weiterer Pr fungsbeauftragter zur zus tzlichen Authentisierung erforderlich ist 805306394 Der Recovery Beauftragte kann nicht gel scht werden da ein Recove
376. nts der Fall ist Die Schl ssel werden au erdem auch nicht im SafeGuard Management Center angezeigt Hinweis Wenn ein Volume bei bereits installierter SafeGuard Enterprise BitLocker Unterst tzung verschl sselt wird kann der Systemverwalter die mit einem Recovery Kennwort gesicherten Sicherungskopien der Schl ssel zus tzlich zum Speichern in der SafeGuard Enterprise Datenbank im Active Directory speichern Dieser Vorgang muss manuell mit dem Windows Tool Manage BDE sowie durch Speichern der Schl ssel in einer Gruppenrichtlinie durchgef hrt werden F r Windows 2003 Server muss das Active Directory Schema erweitert werden Au erdem sind f r die Wiederherstellung der gespeicherten Informationen Dom nenadministratorrechte erforderlich Administratorhilfe 21 2 4 2 21 2 4 3 BitLocker Algorithmen in SafeGuard Enterprise BitLocker unterst tzt die folgenden Advanced Encryption Standard AES Algorithmen E AES 128 E AES 256 m AES 128 mit Diffuser m AES 256 mit Diffuser Der Diffuser ist BitLocker spezifisch und wird nicht f r die volume basierende Verschl sselung von SafeGuard Enterprise verwendet Microsoft empfiehlt den Diffuser Algorithmus nicht mehr zu verwenden Laufwerke die bereits mit einem Algorithmus mit Diffuser verschl sselt wurden k nnen mit SafeGuard Enterprise verwaltet werden F r Laufwerke die noch nicht verschl sselt sind kann der Algorithmus mit Diffuser nicht ausgew hlt werden AES 128 mit Diffus
377. nutzer der die entsprechende Passphrase kennt Zugang zu verschl sselten Dateien auf Wechselmedien Auf diese Weise ist ein Austausch von verschl sselten Daten mit Partnern die SafeGuard Enterprise nicht installiert haben m glich Sie ben tigen lediglich SafeGuard Portable sowie die Passphrase f r die Dateien auf die sie zugreifen sollen Durch Verwendung von verschiedenen lokalen Schl sseln f r die Verschl sselung von Dateien auf Wechselmedien l sst sich der Zugang zu den Dateien sogar selektiv einschr nken Zum Beispiel Sie verschl sseln die Dateien auf einem USB Stick mit einem Schl ssel mit der Passphrase mein_lokalerSchl ssel F r eine einzelne Datei mit dem Dateinamen F rPartner doc verwenden Sie die Passphrase partner_lokalerSchl ssel Wenn Sie den USB Stick nun an einen Partner weitergeben und ihm die Passphrase partner_lokalerSchl ssel mitteilen hat dieser nur Zugriff auf die Datei F rPartner doc Hinweis Standardm ig wird SafeGuard Portable automatisch auf die am System angeschlossenen Wechselmedien kopiert sobald Inhalte auf die von einer Verschl sselungsregel abgedeckten Medien geschrieben werden Um SafeGuard Portable nicht auf die Wechselmedien zu kopieren deaktivieren Sie die Option SafeGuard Portable auf das Ziel kopieren in einer Richtlinie vom Typ Ger teschutz Medien Passphrase SafeGuard Data Exchange erm glicht es Ihnen festzulegen dass eine einzige Medien Passphrase f r alle Wechselmedien mit
378. nutzer u U sein Windows Kennwort ndern Die folgende Tabelle zeigt wann es erforderlich ist das Kennwort zu ndern Die ersten vier Spalten zeigen spezifische Bedingungen die w hrend des Challenge Response Verfahrens auftreten k nnen Die letzte Spalte gibt basierend auf den Bedingungen aus den ersten vier Spalten an ob der Benutzer sein Kennwort ndern muss Administratorhilfe 29 2 3 29 2 4 Bedingung C R Bedingung C R Bedingung Bedingung Ergebnis mit mit Dom nen Controller Option zur Benutzer muss Benutzeranmeklung Benutzeranmeklung verf gbar Kennwortanzeige sein und Anzeige des vom Benutzer Windows Kennwort Kennworts abgelehnt ndern Ja Ja Nein Nein Ja Ja Ja Ja Nein Nein C CE CE CE CS Starten des Recovery Assistenten Damit Sie in der Lage sind ein Recovery Verfahren auszuf hren stellen Sie sicher dass Sie ber die erforderlichen Rechte und Berechtigungen verf gen 1 Melden Sie sich am SafeGuard Management Center an 2 Klicken Sie auf Extras gt Recovery in der Men leiste Der SafeGuard Recovery Assistent wird gestartet Sie k nnen w hlen welchen Recovery Typ Sie verwenden m chten Recovery Typen W hlen Sie den Recovery Typ den Sie verwenden m chten Folgende Recovery Typen stehen zur Verf gung E SafeGuard Enterprise Clients managed Challenge Response f r zentral durch das SafeGuard Management Center verwaltete Endpoints Die Computer sind im Bereich Benutzer
379. nutzername als Kennwort verboten Bestimmt ob Benutzername und Kennwort identisch sein d rfen Ja Windows Benutzername und Kennwort m ssen unterschiedlich sein Nein Windows Benutzername und Kennwort m ssen nicht unterschiedlich sein Liste nicht erlaubter Kennw rter verwenden Bestimmt ob bestimmte Zeichenfolgen f r Kennw rter nicht verwendet werden d rfen Abgelegt sind die Zeichenfolgen in der Liste nicht erlaubter Kennw rter z B Datei im Format txt Liste nicht erlaubter Kennw rter Definiert Zeichenfolgen die in einem Kennwort ausgeschlossen sind Wenn ein Benutzer ein verbotenes Kennwort verwendet wird eine Fehlermeldung ausgegeben Fine Liste eine Datei mit verbotenen Kennw rtern muss im SafeGuard Management Center unter Informationstext im Richtlinien Navigationsbereich registriert werden Erst nach der Registrierung ist die Liste verf gbar Maximale Dateigr e 50 KB Unterst tztes Format Unicode Nicht erlaubte Kennw rter definieren In der Liste werden die verbotenen Kennw rter durch einen neuen Zeilenanfang getrennt Platzhalter An der Position an der Sie den Zeichentyp eingeben k nnen mehrere beliebige Zeichen im Kennwort enthalten sein Beispielsweise wird durch 123 jede Zeichenfolge die 123 enth lt als Kennwort verboten Hinweis Administratorhilfe Richtlinieneinstellung Erkl rung Wenn Sie nur den Platzhalter in die Liste einf gen k nnen sic
380. nwortregeln entweder im SafeGuard Management Center oder im Active Directory nicht an beiden Stellen Richtlinieneinstellung Erkl rung KENNWORT Mindestl nge des Kennworts Gibt an aus wie vielen Zeichen ein Kennwort bei der nderung durch den Benutzer mindestens bestehen muss Der gew nschte Wert kann entweder direkt eingegeben oder durch Bet tigen der Richtungsschaltfl chen vergr ert bzw verkleinert werden Maximall nge des Kennwortes Gibt an aus wie vielen Zeichen ein Kennwort bei der nderung durch den Benutzer maximal bestehen darf Der gew nschte Wert kann entweder direkt eingegeben oder durch Bet tigen der Richtungsschaltfl chen vergr ert bzw verkleinert werden Mindestanzahl an Buchstaben Mit diesen Einstellungen wird erreicht dass Kennw rter nicht ausschlie lich Zeichen Ziffern oder Sonderzeichen enthalten Mindestanzahl an Ziffern ER P sondern aus einer Kombination bestehen m ssen z B Mindestanzahl an Symbolen 15blume etc Diese Einstellungen sind nur dann sinnvoll wenn eine Kennwortmindestl nge definiert ist die gr er 2 ist Gro Kleinschreibung beachten Diese Einstellung wird nur bei den Punkten Liste nicht erlaubter Kennw rter verwenden und Benutzername als Kennwort verboten wirksam Beispiel 1 Sie haben in der Liste der verbotenen Kennw rter Tafel eingetragen Steht die Option Gro Kleinschreibung beachten auf Ja werden zus tzliche Kennwortvarianten
381. oblems zu beseitigen Wenn im schlimmsten Fall das Problem nicht gel st werden kann kann sie Daten auf ein anderes Laufwerk sichern das Volume neu formatieren oder es ganz neu aufsetzen Administratorhilfe 30 Wiederherstellen einer besch digten SafeGuard Enterprise Installation Eine besch digte SafeGuard Management Center Installation kann auf einfache Art und Weise wiederhergestellt werden wenn die Datenbank noch intakt ist In diesem Fall m ssen Sie nur das SafeGuard Management Center neu installieren und die vorhandene Datenbank sowie das gesicherte Sicherheitsbeauftragten Zertifikat verwenden Das Unternehmenszertifikat und das Haupt Sicherheitsbeauftragten Zertifikat der betreffenden Datenbankkonfiguration m ssen als p12 Dateien exportiert worden sein Die Dateien m ssen vorhanden und g ltig sein Die Kennw rter f r die pl2 Dateien sowie f r den Zertifikatsspeicher m ssen Ihnen bekannt sein So stellen Sie eine besch digte SafeGuard Management Center Installation wieder her Installieren Sie das SafeGuard Management Center Installationspaket neu ffnen Sie das SafeGuard Management Center Der Konfigurationsassistent wird automatisch ge ffnet W hlen Sie unter Datenbankverbindung den relevanten Datenbankserver und konfigurieren Sie falls erforderlich die Verbindung zur Datenbank Klicken Sie auf Weiter Aktivieren Sie unter Datenbankeinstellungen die Option Folgende bestehende Datenbank verw
382. og nicht mehr anzeigen w hlen um ihre Auswahl f r das relevante Ger t zu speichern In diesem Fall wird der Dialog f r das Ger t nicht mehr angezeigt Wenn der Benutzer im auf dem Endpoint angezeigten Dialog Nein w hlt wird weder eine initiale noch eine transparente Verschl sselung durchgef hrt 20 10 Spezifische Computereinstellungen Grundeinstellungen 156 Richtlinieneinstellungen Erkl rung POWER ON AUTHENTICATION POA Power on Authentication aktivieren Definiert ob die SafeGuard POA ein oder ausgeschaltet sein soll Hinweis Aus Sicherheitsgr nden empfehlen wir dringend die SafeGuard POA eingeschaltet zu lassen Durch Deaktivierung Administratorhilfe Richtlinieneinstellungen Erkl rung der SafeGuard POA reduziert sich die Systemsicherheit auf den Schutz durch die Windows Anmeldung Dadurch erh ht sich das Risiko des unberechtigten Zugriffs auf verschl sselte Daten Zugriff verweigern falls keine Verbindung zum Server in Tagen 0 keine berpr fung Verweigert eine Anmeldung in der SafeGuard POA wenn der Endpoint l nger als festgelegt keine Verbindung mit dem Server hatte SICHERES WAKE ON LAN WOL Mit den Sicheres Wake On LAN Einstellungen k nnen Sie Endpoints f r Software Rollouts vorbereiten Nach dem Wirksamwerden einer solchen Richtlinie auf Endpoints werden die notwendigen Parameter z B SafeGuard POA Deaktivierung und ein Zeitabstand f r Wake on LAN dire
383. oints Seite 245 Damit Recovery Vorg nge ber Challenge Response oder ber das Abrufen des Recovery Schl ssels durchgef hrt werden k nnen m ssen die notwendigen Daten f r den Helpdesk verf gbar sein Die f r den Recovery Vorgang erforderlichen Daten werden in spezifischen Schl ssel Recovery Dateien gespeichert Administratorhilfe 21 2 4 5 Hinweis Wenn SafeGuard BitLocker Verwaltung ohne Challenge Response auf einem Standalone Endpoint verwendet wird dann wird der Recovery Schl ssel nach einem Recovery Vorgang nicht ge ndert Hinweis Wenn eine mit BitLocker verschl sselte Festplatte in einem Computer durch eine neue Festplatte ersetzt wird diese den Laufwerksbuchstaben der alten Festplatte erh lt und ebenfalls mit BitLocker verschl sselt wird speichert SafeGuard Enterprise nur den BitLocker Recovery Schl ssel der neuen Festplatte Verwalten bereits mit BitLocker verschl sselter Laufwerke Falls es bereits mit BitLocker verschl sselte Laufwerke auf Ihrem Rechner gibt wenn SafeGuard Enterprise installiert wird dann bernimmt SafeGuard Enterprise die Verwaltung dieser Laufwerke Verschl sselte Bootlaufwerke m Abh ngig von der verwendeten SafeGuard Enterprise BitLocker Unterst tzung werden Sie m glicherweise aufgefordert Ihren Computer neu zu starten Es ist wichtig dass Sie den Neustart so bald als m glich durchf hren m Eine SafeGuard Enterprise Verschl sselungsrichtlinie gilt f r das verschl ss
384. olumes m glich Das Tool BE_Restore kann den zerst rten Bootsektor wiederherstellen Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Tools Anleitung Originaler Bootsektor Beide KSAs enthalten den originalen Bootsektor Das ist jener der ausgef hrt wird nachdem der DEK Data Encryption Key entschl sselt wurde und der Algorithmus und der Schl ssel in den BE Filtertreiber geladen wurden Ist dieser Bootsektor defekt kann Windows nicht auf das Volume zugreifen Normalerweise wird die bekannte Fehlermeldung Ger t ist nicht formatiert M chten Sie es jetzt formatieren Ja Nein angezeigt SafeGuard Enterprise wird den DEK f r dieses Volume dennoch laden Jedes Tool das den Bootsektor reparieren kann soll dennoch laufen vorausgesetzt es passiert den SafeGuard Enterprise Upper Volume Filter Windows Bootprobleme SafeGuard Enterprise ist mit seinem kryptographischen Konzept der volume spezifischen Schl ssel Bootsektor Key Storage Area KSA sehr flexibel Sie k nnen ein besch digtes System durch Booten eines Wiederherstellungsmediums von der SafeGuard Power on Authentication aus Windows PE mit dem SafeGuard Enterprise Verschl sselungs Subsystem installiert retten Diese Medien haben einen transparenten Administratorhilfe 29 3 5 1 29 3 6 29 3 7 Ver Entschl sselungszugriff auf mit SafeGuard Enterprise verschl sselte Volumes Der Grund f r das nicht bootbare System kann von dort aus
385. one Endpoints Hinweis Bitte beachten Sie beim Erstellen von Richtlinien f r Standalone Computer dass f r die dateibasierende Verschl sselung ausschlie lich die Option Beliebiger Schl ssel im Schl sselring des Benutzers m glich ist Zus tzlich darf das Erzeugen von lokalen Schl sseln nicht verboten werden Falls die Medien Passphrase Funktion f r Standalone Endpoints aktiviert ist wird der Medienverschl sselungsschl ssel automatisch als F r Verschl sselung definierter Schl ssel verwendet da auf Standalone Endpoints keine Gruppenschl ssel zur Verf gung stehen Wenn Sie beim Erstellen einer Wechselmedien Richtlinie f r Standalone Endpoints einen anderen Schl ssel unter F r Verschl sselung definierter Schl ssel ausw hlen so hat dies keine Auswirkung F r Verschl sselung definierter Schl ssel Dieses Feld wird nur dann aktiv wenn Sie im Feld Schl ssel f r die Verschl sselung die Option Definierter Schl ssel aus der Liste ausgew hlt haben Klicken Sie auf die Schaltfl che um den Dialog Schl ssel suchen aufzurufen Klicken Sie auf Jetzt suchen um nach Schl sseln zu suchen und w hlen Sie einen Schl ssel aus der angezeigten Liste aus Bei einer Richtlinie vom Typ Ger teschutz mit dem Ziel Wechselmedien wird dieser Schl ssel zur Verschl sselung des Medienverschl sselungsschl ssel verwendet wenn die Medien Passphrase Funktionalit t aktiviert ist Benutzer darf eine Medien Passphrase f r W
386. ophos com de de support knowledgebase 113334 aspx m Verwenden Sie nur den Algorithmus AES 256 f r die Datenverschl sselung SafeGuard Enterprise m Verwenden Sie SSL TLS SSL Version 3 oder h her f r den Schutz der Kommunikation zwischen Client und Server Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung m Verhindern Sie die Deinstallation Um den Schutz von Endpoints noch zu erweitern k nnen Sie die lokale Deinstallation von Sophos SafeGuard ber eine Richtlinie vom Typ Spezifische Computereinstellungen als unzul ssig definieren Setzen Sie das Feld Deinstallation erlaubt auf Nein und bermitteln Sie die Richtlinie an die Endpoints Versuche die Software zu deinstallieren werden abgebrochen und die nicht autorisierten Versuche werden protokolliert Wenn Sie eine Demoversion benutzen setzen Sie vor Ablauf der Demoversion die Option Deinstallation erlaubt auf Ja Wenden Sie den Sophos Manipulationsschutz auf Endpoints an auf denen Sophos Endpoint Security and Control installiert ist Administratorhilfe ber das SafeGuard Management Center Das SafeGuard Management Center ist das zentrale Instrument f r die Verwaltung von mit SafeGuard Enterprise verschl sselten Computern Mit dem SafeGuard Management Center k nnen Sie eine unternehmensweite Sicherheitsstrategie implementieren und auf Endpoints anwenden Im SafeGuard Management Center k nnen Sie E Organisationsstruk
387. ort oder hier E http msdn2 microsoft com en us library ms998300 aspx E http support microsoft com default aspx scid kb en us 316898 37 SafeGuard Enterprise 38 9 2 https blogs msdn com sql_protocols archive 2005 11 10 491563 aspx Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung Aktivieren der SSL Verschl sselung in SafeGuard Enterprise So aktivieren Sie die SSL Verschl sselung in SafeGuard Enterprise Verbindung zwischen Web Server und Datenbankserver Aktivieren Sie SSL Verschl sselung w hrend der Registrierung des SafeGuard Enterprise Servers im SafeGuard Management Center Konfigurationspakete Werkzeug F r weitere Informationen siehe Konfigurieren der Datenbankserver Verbindung Seite 15 oder http www sophos com de de support knowledgebase 109012 aspx F r die Verbindung zwischen Datenbankserver und SafeGuard Management Center Aktivieren Sie die SSL Verschl sselung im SafeGuard Management Center Konfigurationsassistenten siehe Konfigurieren der Datenbankserver Verbindung Seite 15 Verbindung zwischen SafeGuard Enterprise Server und durch SafeGuard Enterprise gesch tzte Endpoints Aktivieren Sie SSL Verschl sselung beim Erzeugen des Konfigurationspakets f r den durch SafeGuard Enterprise verwalteten Endpoint im SafeGuard Management Center Konfigurationspakete Werkzeug siehe Erzeugen eines Konfigurationspakets f r zentral verwaltete Endpoints Seite
388. pers nlichen Schl ssel f r die Verschl sselung vorsieht werden f r die relevanten Benutzer automatisch pers nliche Schl ssel erzeugt wenn sie noch keine aktiven pers nlichen Schl ssel haben Als Sicherheitsbeauftragter mit den erforderlichen Rechten k nnen Sie pers nliche Schl ssel f r ausgew hlte Benutzer oder alle Benutzer in ausgew hlten Gruppen im SafeGuard Management Center erzeugen Sie k nnen aktive pers nliche Schl ssel auch zur ckstufen wenn zum Beispiel ein Benutzer das Unternehmen verl sst Automatisches Erzeugen von pers nlichen Schl sseln Wenn eine File Encryption Verschl sselungsregel einen pers nlichen Schl ssel f r die Verschl sselung vorsieht und der Benutzer noch keinen aktiven pers nlichen Schl ssel hat 73 SafeGuard Enterprise 12 2 2 74 erzeugt der SafeGuard Enterprise Server diesen automatisch Nach Eingang der Richtlinie auf dem Endpoint kann der Benutzer so lange keine neuen Dateien in den von der File Encryption Verschl sselungsregel abgedeckten Ordner anlegen bis der erforderliche aktive pers nliche Schl ssel verf gbar wird Wenn Sie zum ersten Mal File Encryption Richtlinien mit Verschl sselungsregeln mit pers nlichen Schl sseln auf eine gr ere Gruppe von Benutzern mehrere hundert oder mehr anwenden die noch keine aktiven pers nlichen Schl ssel haben empfehlen wir pers nliche Schl ssel im SafeGuard Management Center zu erzeugen siehe Erzeugen von pers nlic
389. point fehl so wird der Benutzer an der SafeGuard Power on Authentication aufgefordert die Token PIN einzugeben Zuweisung von Zertifikaten Au er den Anmeldeinformationen k nnen auf einen Token auch Zertifikate geschrieben werden Es ist m glich den privaten Teil des Zertifikats p12 Datei ausschlie lich auf dem Token zu speichern Benutzer k nnen sich dann jedoch nur mit dem Token anmelden Wir empfehlen den Einsatz von PKI Zertifikaten So k nnen Sie Authentisierungsdaten Token zuweisen E durch Generieren von Zertifikaten direkt auf dem Token E durch Zuweisen von Daten die sich bereits auf dem Token befinden 223 SafeGuard Enterprise 27 7 1 27 1 2 224 E durch Importieren von Zertifikaten aus einer Datei Hinweis CA Zertifikate k nnen nicht von einem Token entnommen und in der Datenbank oder im Zertifikatsspeicher gespeichert werden Wenn Sie CA Zertifikate verwenden m ssen diese in Dateiform zur Verf gung stehen nicht nur auf einem Token Dies gilt auch f r CRLs Certificate Revocation List Au erdem muss die Kombination von CA Zertifikaten und CRL zusammenpassen da ansonsten eine Anmeldung an allen betroffenen Computern nicht mehr m glich ist berpr fen Sie ob CA und die entsprechende CRL korrekt sind SafeGuard Enterprise bernimmt diese berpr fung nicht SafeGuard Enterprise kann dann nur mit ablaufenden Zertifikaten umgehen wenn der alte und neue private Schl ssel auf demselben Token stehe
390. points kann mit dem Kommandozeilen Tool SGNState berpr ft werden Detaillierte Informationen hierzu finden Sie in der SafeGuard Enterprise Tools Anleitung SafeGuard Challenge Response f r BitLocker Um SafeGuard Enterprise BitLocker Challenge Response zu verwenden m ssen folgende Voraussetzungen erf llt sein m 64bit Windows m UEFI Version 2 3 1 oder h her m Microsoft UEFI Zertifikat ist verf gbar oder Secure Boot ist deaktiviert m NVRAM Booteintr ge sind von Windows aus zug nglich m Windows im GPT Modus installiert m Die Hardware ist in der POACFG xml Datei nicht aufgelistet Sophos liefert eine Standard POACFG xml Datei die im Setup eingebettet ist Es wird empfohlen die neueste Datei herunterzuladen und dem Installationsprogramm bereitzustellen SafeGuard Enterprise berpr ft w hrend der Installation am Endpoint und w hrend dem ersten Neustart ob die Hardware die Anforderungen f r BitLocker mit SafeGuard Challenge Response erf llt Falls nicht wird die SafeGuard Enterprise BitLocker Verwaltung ohne Challenge Response ausgef hrt In diesem Fall kann der BitLocker Recovery Schl ssel mit dem SafeGuard Policy Editor abgerufen werden BitLocker Drive Encryption mit SafeGuard Enterprise verwalten Mit SafeGuard Enterprise k nnen Sie BitLocker Drive Encryption vom SafeGuard Management Center aus verwalten wie einen nativen SafeGuard Enterprise Client Als Sicherheitsbeauftragter k nnen Sie Verschl sselungs und A
391. portieren neben dem Feld Skript Ein Speichern unter Dialog wird angezeigt 4 W hlen Sie den Speicherort zum Speichern des Skripts ein und klicken Sie auf Speichern Das Skript wird am angegebenen Speicherort gespeichert Vordefinierte Skripte f r periodische Tasks In SafeGuard Enterprise stehen folgende vordefinierte Skripte zur Verf gung E ActiveDirectorySynchronization vbs Verwenden Sie dieses Skript f r die automatische Synchronisierung zwischen dem Active Directory und SafeGuard Enterprise E EventLogDeletion vbs Verwenden Sie dieses Skript um protokollierte Ereignisse automatisch zu l schen Die Skripte werden automatisch im Unterverzeichnis Script Templates der SafeGuard Management Center Installation installiert Um diese Skripte f r Tasks zu verwenden importieren Sie sie in den Taskplaner und nehmen Sie vor der Anwendung die notwendigen Parameter nderungen vor Vordefiniertes Skript f r die Active Directory Synchronisierung Sie haben die M glichkeit eine bestehende Organisationsstruktur ber ein Active Directory in die SafeGuard Enterprise Datenbank zu importieren F r weitere Informationen siehe Importieren der Organisationsstruktur Seite 39 Nach dem Importieren der Struktur k nnen Sie einen periodischen Task f r die automatische Synchronisierung zwischen dem Active Directory und SafeGuard Enterprise erstellen F r diesen Task k nnen Sie das vordefinierte Skript ActiveDirectorySynchronization vb
392. pr fung konnte nicht ausgef hrt werden Authentisierung Kernelinitialisierung erfolgreich abgeschlossen Authentisierung Kernel Initialisierung ist fehlgeschlagen Authentisierung Maschinenschl ssel wurden auf dem Client erfolgreich erzeugt Authentisierung Maschinenschl ssel konnten auf dem Client nicht erzeugt werden Interner Code 0x 1 Authentisierung Abfrage der Platteneigenschaften oder Opal Initialisierung ist fehlgeschlagen Interner Code 0x 1 Authentisierung Importieren eines Benutzers in den Kernel wurde erfolgreich beendet Authentisierung L schen eines Benutzers aus dem Kernel wurde erfolgreich beendet Authentisierung Import eines Benutzers in den Kernel ist fehlgeschlagen Authentisierung L schen eines Benutzers aus dem Kernel ist fehlgeschlagen Authentisierung Response mit Aktion Benutzer wird sein Kennwort angezeigt erzeugt 299 SafeGuard Enterprise 300 ELL Authentisierung Ereignis ID Beschreibung Response f r virtuellen Client erzeugt Authentisierung Response f r Standalone Client erzeugt Authentisierung Wake on LAN konnte nicht aktiviert werden Authentisierung Authentisierung Authentisierung Authentisierung Ein Zertifkat wurde einem Standalone Client Benutzer zugewiesen Wake on LAN konnte nicht deaktiviert werden Der Benutzer hat sich zum ersten Mal mit dem Standby Token
393. prise generierten Sicherheitsbeauftragten Zertifikate Weitere Informationen finden Sie in der Administrator Hilfe im Kapitel Unternehmenszertifikat und Master Security Officer Zertifikat exportieren Import des Zertifikats des Haupt Sicherheitsbeauftragten Wenn bereits ein Zertifikat eines Haupt Sicherheitsbeauftragten zur Verf gung steht m ssen Sie es in den Zertifikatsspeicher importieren Administratorhilfe 5 7 Hinweis Ein Zertifikat kann nicht aus einer Microsoft PKI importiert werden Ein importiertes Zertifikat muss minimal 1024 Bits haben und kann maximal 4096 Bits lang sein 1 Klicken Sie unter Authentisierungs Schl sseldatei importieren auf die Schaltfl che und w hlen Sie die Schl sseldatei aus Geben Sie das Kennwort der Schl sseldatei ein Geben Sie das zuvor unter Kennwort des Zertifikatsspeichers oder Token PIN definierte Kennwort f r den Zertifikatsspeicher ein W hlen Sie In den Zertifikatsspeicher importieren oder Auf den Token kopieren um das Zertifikat auf einem Token zu speichern 2 Geben Sie zur Initialisierung des Zertifikatsspeichers das Kennwort noch einmal ein Zertifikat und privater Schl ssel befinden sich nun im Zertifikatsspeicher Zur Anmeldung an das SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet Erzeugen des Unternehmenszertifikats Mit dem Unternehmenszertifikat lassen sich unterschiedliche SafeGuard Management Center Installationen auseinander h
394. r Absicherung von Transportverbindungen mit SSL finden Sie in der SafeGuard Enterprise Installationsanleitung Geben Sie einen Ausgabepfad f r das Konfigurationspaket MSI an 101 SafeGuard Enterprise 15 2 102 10 Klicken Sie auf Konfigurationspaket erstellen WennSie als Modus f r die Transportverschl sselung die SSL Verschl sselung ausgew hlt haben wird die Serververbindung validiert Wenn die Verbindung fehlschl gt wird eine Warnungsmeldung angezeigt Das Konfigurationspaket MSI wird im angegebenen Verzeichnis angelegt Im n chsten Schritt verteilen Sie das Paket an die Endpoints zur Installation Erzeugen eines Konfigurationspakets f r Standalone Endpoints ver UO N e Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete W hlen Sie Pakete f r Standalone Clients Klicken Sie auf Konfigurationspaket hinzuf gen Geben Sie einen beliebigen Namen f r das Konfigurationspaket ein Geben Sie eine zuvor im SafeGuard Management Center erstellte Richtliniengruppe an die f r die Endpoints gelten soll Geben Sie unter Speicherort f r Schl ssel Sicherungskopie einen freigegebenen Netzwerkpfad f r das Speichern der Schl ssel Recovery Datei an oder w hlen Sie einen Netzwerkpfad aus Geben Sie den freigegebenen Pfad in folgender Form ein network computer zum Beispiel mycompany edu Wenn Sie hier keinen Pfad angeben wird der Benutzer beim ersten Anmel
395. r Benutzer definiert wurde handelt Sich widersprechende Verschl sselungsrichtlinien Es werden zwei Richtlinien Pl und P2 angelegt F r Pl wurde eine dateibasierende Verschl sselung f r Laufwerk E definiert und f r P2 eine volume basierende Verschl sselung f r Laufwerk E P1 wird der OU FBE User und P2 der OU VBE User zugewiesen Fall 1 Ein Benutzer aus OU FBE User meldet sich zuerst am Client W7 100 Container Computer an Das Laufwerk E wird dateibasierend verschl sselt Meldet sich ein Benutzer danach aus der OU VBE User am Client W7 100 an so wird das Laufwerk E volume basierend verschl sselt Haben beide Benutzer dieselben Schl ssel k nnen beide auf die Laufwerke bzw Dateien zugreifen Fall 2 Ein Benutzer aus der OU VBE User meldet sich zuerst am Computer W7 100 Container Computer an Das Laufwerk wird volume basierend verschl sselt Meldet sich nun ein Benutzer der OU FBE User an und hat dieser einen gemeinsamen Schl ssel mit den Benutzern aus der OU VBE User so wird das Laufwerk E die volume basierende Verschl sselung bleibt erhalten innerhalb der volume basierenden Verschl sselung dateibasierend verschl sselt Administratorhilfe 14 9 9 14 9 10 14 9 11 Hat der Benutzer aus der OU FBE User allerdings keinen gemeinsamen Schl ssel kann er auf das Laufwerk E nicht zugreifen Priorisierung innerhalb einer Zuweisung Innerhalb einer Zuweisung hat die Richtlinie mit der h chsten Prio
396. r EVENT Tabelle stehen im tools Verzeichnis Ihrer SafeGuard Enterprise Software Lieferung vier SQL Skripte zur Verf gung E spShrinkEventTable_install sql E ScheduledShrinkEventTable_install sql E spShrinkEventTable_uninstall sql E ScheduledShrinkEventTable_uninstall sql Die beiden Skripte spshrinkEventTable_install sql und ScheduledShrinkEventTable_install sql installieren eine gespeicherte Prozedur sowie den Scheduled Job auf dem Datenbank Server Der Scheduled Job f hrt die gespeicherte Prozedur in festgelegten regelm igen Abst nden aus Die gespeicherte Prozedur verschiebt Ereignisse aus der EVENT Tabelle in die Backup Log Tabelle EVENT_BACKUP Dabei wird eine definierte Anzahl an neuesten Ereignissen in der EVENT Tabelle belassen Die beiden Skripte spshrinkEventTable_uninstall sql und ScheduledShrinkEventTable_uninstall sql deinstallieren die gespeicherte Prozedur sowie den Scheduled Job Diese beiden Skripte l schen auch die EVENT_BACKUP Tabelle Hinweis Wenn Sie die Ereignisse ber die gespeicherte Prozedur aus der EVENT Tabelle in die Backup Log Tabelle verschieben findet die Verkettung der Protokollierung keine Anwendung mehr Es ist nicht sinnvoll die Verkettung zu aktivieren und gleichzeitig die gespeicherte Prozedur zur S uberung der EVENT Tabelle einzusetzen F r weitere Informationen siehe Verkettung von protokollierten Ereignissen Seite 277 Erstellen der gespeicherten Prozedur Das Skript spShrinkEventTabl
397. r Ger tesperre usw PIN Legt Anforderungen an die verwendeten PINs fest Kennw rter Legt Anforderungen an die verwendeten Kennw rter fest Passphrasen Legt Anforderungen f r in SafeGuard Data Exchange verwendete Passphrasen fest Ger teschutz Einstellungen f r volume oder dateibasierende Verschl sselung auch Einstellungen f r SafeGuard Data Exchange SafeGuard Cloud Storage und SafeGuard Portable Algorithmen Schl ssel Laufwerke auf denen Daten verschl sselt werden sollen usw Spezifische Computereinstellungen Einstellungen zur SafeGuard Power on Authentication aktivieren deaktivieren zum sicheren Wake on LAN Anzeigeoptionen usw Protokollierung Legt fest welche Ereignisse wo protokolliert werden Configuration Protection Hinweis Configuration Protection wird nur f r SafeGuard Enterprise Clients bis zur Version 6 0 unterst tzt Die Richtlinie ist im 6 1 SafeGuard Management Center noch verf gbar um 6 0 Clients mit installierter Configuration Protection zu unterst tzen die ber ein 6 1 Management Center verwaltet werden Configuration Protection wird f r Endpoints die SafeGuard Enterprise 6 1 installiert haben nicht unterst tzt Einstellungen erlauben sperren f r die Verwendung von Ports Peripherieger ten Wechselmedien Druckern usw Dateiverschl sselung Administratorhilfe Einstellungen f r dateibasierende Verschl sselung auf lokalen Festplatten und im Netzwerk spezie
398. r SafeGuard POA mit Benutzername und Kennwort anmelden Hinweis Um die Benutzer und Computer Zuordnung unter Benutzer amp Computer einzusehen ben tigen Sie mindestens das Zugriffsrecht Schreibgesch tzt f r eines der beteiligten Objekte Benutzer oder Computer Um die Zuweisung zu definieren oder zu ndern ben tigen Sie das Zugriffsrecht Voller Zugriff f r beide beteiligten Objekte Die UMA Anzeige zeigt die verf gbaren Benutzer Maschinen gefiltert nach Ihren Zugriffsrechten In der UMA Anzeige die die Computern zugewiesenen Benutzer und umgekehrt zeigt werden Objekte f r die Sie nicht die erforderlichen Zugriffsrechte haben zu Ihrer Information angezeigt Sie k nnen die Zuordnung jedoch nicht ndern Im Rahmen dieser Zuordnung kann auch festgelegt bzw ge ndert werden wem es erlaubt ist weiteren Benutzern die Anmeldung an diesen Computer zu erm glichen 209 SafeGuard Enterprise 210 Unter Typ wird im SafeGuard Management Center angezeigt wie der Benutzer in die SafeGuard Enterprise Datenbank aufgenommen wurde bernommen gibt an dass der Benutzer auf einem Endpoint in die UMA f r den Computer aufgenommen worden ist Hinweis Wird im SafeGuard Management Center keine Zuweisung vorgenommen und kein Benutzer als Besitzer festgelegt wird der Benutzer der sich als erster nach der Installation von SafeGuard Enterprise an den Computer anmeldet als Besitzer eingetragen Dieser Benutzer kann weiteren Benutzern die Anm
399. r neuen PIN verwenden 20 5 Anlegen einer Liste verbotener Kennw rter f r die Verwendung 142 mit Richtlinien F r Richtlinien des Typs Kennwort kann eine Liste mit verbotenen Kennw rtern angelegt werden Diese Liste definiert die Zeichenfolgen die in nicht in Kennw rtern verwendet werden d rfen Hinweis In den Listen werden die nicht erlaubten Kennw rter durch einen Zeilenumbruch voneinander getrennt Die Textdateien mit den gew nschten Informationen m ssen erstellt werden bevor sie im SafeGuard Management Center registriert werden k nnen Die maximale Dateigr e f r Textdateien betr gt 50 KB Sophos SafeGuard verwendet nur Unicode UTF 16 kodierte Texte Wenn Sie die Textdateien in einem anderen Format erstellen werden sie bei der Registrierung automatisch in dieses Format konvertiert Wenn eine Datei konvertiert wird wird eine entsprechende Meldung angezeigt So registrieren Sie die Textdateien 1 Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Informationstext und w hlen Sie Neu gt Text 2 Geben Sie unter Textelementname einen Namen f r den anzeigenden Text ein 3 W hlen Sie ber die Schaltfl che die zuvor erstellte Textdatei aus Wenn eine Konvertierung notwendig ist wird eine entsprechende Meldung angezeigt 4 Klicken Sie auf OK Das neue Textelement wird als Unterknoten des Eintrags Informationstext im Richtlinien Navigationsbereich angezeigt Ist ein T
400. r sind Um Zertifikate zu ndern ben tigen Sie das Zugriffsrecht Voller Zugriff f r den Container in dem sich der Benutzer befindet Importieren von CA Zertifikaten und Certificate Revocation Lists Wenn CA Zertifikate verwendet werden importieren Sie die vollst ndige CA Hierarchie einschlie lich aller CRLs in die SafeGuard Datenbank CA Zertifikate k nnen nicht von Token entnommen werden Diese Zertifikate m ssen als Dateien zur Verf gung stehen damit Sie sie in die SafeGuard Enterprise Datenbank importieren k nnen Dies gilt auch f r Certificate Revocation Lists CRL 1 Klicken Sie im SafeGuard Management Center auf Schl ssel amp Zertifikate 2 W hlen Sie Zertifikate und klicken Sie auf das CA Zertifikate importieren Symbol in der Symbolleiste Suchen Sie die CA Zertifikatsdateien die Sie importieren m chten Die importierten Zertifikate werden im rechten Aktionsbereich angezeigt 3 W hlen Sie Zertifikate und klicken Sie auf das CRL importieren Symbol in der Symbolleiste Suchen Sie die CRL Dateien die Sie importieren m chten Die importierten CRLs werden im rechten Aktionsbereich angezeigt 4 berpr fen Sie ob CA und CRL korrekt sind und bereinstimmen Die Kombination von CA Zertifikaten und CRL zusammenpassen da ansonsten eine Anmeldung an allen betroffenen Computern nicht mehr m glich ist SafeGuard Enterprise bernimmt diese berpr fung nicht 12 3 2 ndern des Algorithmus f r selbst signierte
401. ragten wird erzeugt und lokal als Backup lt mso_name gt cer gespeichert Hinweis Notieren Sie sich das Kennwort und bewahren Sie es an einem sicheren Ort auf Sie m ssen sich am SafeGuard Management Center anmelden Export des Zertifikats des Haupt Sicherheitsbeauftragten Das Zertifikat des Haupt Sicherheitsbeauftragten wird in eine Datei exportiert die so genannte private Schl sseldatei P12 Diese ist mit einem Kennwort gesichert Das Zertifikat des Haupt Sicherheitsbeauftragten ist dadurch zus tzlich gesch tzt Die private Schl sseldatei wird f r die Wiederherstellung einer besch digten SafeGuard Management Center Installation ben tigt So exportieren Sie das Zertifikat eines Haupt Sicherheitsbeauftragten 1 Geben Sie unter Zertifikat exportieren ein Kennwort f r den privaten Schl ssel P12 Datei ein und best tigen Sie es Das Kennwort muss aus 8 alphanumerischen Zeichen bestehen 2 Klicken Sie auf OK 3 Geben Sie einen Speicherort f r die private Schl sseldatei ein Die private Schl sseldatei wird erzeugt und die Datei wird am angegebenen Speicherort gespeichert lt mso_name p12 Hinweis Erstellen Sie eine Sicherungskopie des privaten Schl ssels P12 Datei und legen Sie diese direkt nach der Erstkonfiguration an einem sicheren Speicherort ab Andernfalls f hrt ein eventueller PC Absturz zum Verlust des Schl ssels und SafeGuard Enterprise muss neu installiert werden Das gilt f r alle von SafeGuard Enter
402. rbindung Klicken Sie auf um die Verbindung zur Datenbank f r jeden registrierten Server zu konfigurieren Hier k nnen Sie auch die Anmeldeinformationen f r die Datenbank und die Transportverschl sselung zwischen Web Server und Datenbankserver festlegen F r weitere Informationen siehe Konfigurieren der Datenbankserver Verbindung Seite 15 Selbst wenn die Pr fung der Datenbankverbindung nicht erfolgreich ist kann ein neues Server Konfigurationspaket erstellt werden Hinweis Sie m ssen nicht den SafeGuard Management Center Konfigurationsassistenten erneut ausf hren um die Datenbankkonfiguration zu aktualisieren Erstellen Sie einfach ein neues Server Konfigurationspaket und verteilen Sie es an den entsprechenden Server Sobald dieses auf dem Server installiert ist kann auf die neue Datenbankverbindung zugegriffen werden 3 Erstellen Sie ein neues Server Konfigurationspaket in der Registerkarte Server Pakete 4 Deinstallieren Sie das veraltete Server Konfigurationspaket und installieren Sie danach das neue auf dem entsprechenden Server Die neue Server Konfiguration wird aktiv 35 SafeGuard Enterprise 8 4 Registrieren des SafeGuard Enterprise Servers mit aktivierter Sophos Firewall Ein durch SafeGuard Enterprise gesch tzter Endpoint kann keine Verbindung mit dem SafeGuard Enterprise Server herstellen wenn eine Sophos Firewall mit Standardeinstellungen auf dem Endpoint installiert ist Die Sophos Fir
403. rch das importierte Zertifikat berschrieben So f gen Sie den privaten Teil des Zertifikats p12 Datei aus einer Datei auf dem Token hinzu 1 Klicken Sie im SafeGuard Management Center auf Token 2 Stecken Sie den Token an der USB Schnittstelle ein SafeGuard Enterprise liest den Token ein 3 Markieren Sie den Token auf den Sie den privaten Teil des Zertifikats aufbringen wollen und ffnen Sie im rechten Arbeitsbereich die Registerkarte Anmeldeinformationen amp Zertifikate 4 Klicken Sie auf das Symbol P12 auf Token in der SafeGuard Management Center Symbolleiste 5 W hlen Sie die passende Zertifikatsdatei aus 6 Geben Sie die Token PIN und das Kennwort f r die p12 Datei ein und best tigen Sie mit OK Der private Teil des Zertifikats wird auf den Token aufgebracht Sie m ssen das Zertifikat nun einem Benutzer zuweisen siehe Zuweisen von Token Zertifikaten zu einem Benutzer Seite 224 Benutzer k nnen sich dann nur mit diesem Token anmelden Administratorhilfe 27 8 Verwalten von PINs 27 8 1 Als Sicherheitsbeauftragter k nnen Sie sowohl die Benutzer PIN als auch die SO PIN ndern bzw die nderung der Benutzer PIN erzwingen Dies wird blicherweise bei der Erstausstellung eines Token notwendig Au erdem k nnen Sie PINs initialisieren d h neu vergeben und sperren Hinweis Um PINs zu initialisieren zu ndern oder zu sperren ben tigen Sie das Zugriffsrecht Voller Zugriff f r alle relevanten
404. rechten Maustaste und w hlen Sie im angezeigten Kontextmen Richtlinie wiederherstellen Hinweis Der Befehl Richtlinie wiederherstellen steht auch im Men Aktionen zur Verf gung W hlen Sie die XML Datei f r die Wiederherstellung der Richtlinie Richtliniengruppe aus und klicken Sie auf ffnen Die Richtlinie Richtliniengruppe ist wiederhergestellt Zuweisen von Richtlinien Um Richtlinien zuzuweisen ben tigen Sie das Zugriffsrecht Voller Zugriff f r alle beteiligten Objekte l 2 Klicken Sie auf Benutzer amp Computer W hlen Sie im Navigationsbereich das gew nschte Objekt aus z B Benutzer Gruppe oder Container Wechseln Sie in die Registerkarte Richtlinien Im Aktionsbereich werden alle f r die Zuweisung der Richtlinie notwendigen Elemente angezeigt Zum Zuweisen einer Richtlinie ziehen Sie sie aus der Liste der verf gbaren Richtlinien in die Registerkarte Richtlinien Sie k nnen f r jede Richtlinie eine Priorit t festlegen indem Sie die Richtlinie ber das Kontextmen nach oben oder unten reihen Die Einstellungen einer h her gereihten Richtlinie berschreiben jene einer niedriger priorisierten Wenn Sie f r eine Richtlinie Kein berschreiben aktivieren k nnen die Einstellungen dieser Richtlinie nicht von anderen berschrieben werden Hinweis Wenn Sie bei einer Richtlinie mit niedrigerer Priorit t die Option Kein berschreiben aktivieren so zieht diese Richtlinie trotz n
405. reignisse wurden vom Beginn der Kette entfernt Integrit t verletzt Ein oder mehrere Ereignisse sind in der Kette entfernt worden Die Mitteilungen bei denen der Bruch der Kette entdeckt worden ist ist hervorgehoben 805306406 Integrit t verletzt Ein oder mehrere Ereignisse wurden vom Ende der Kette entfernt 805306407 Exportieren der Ereignisse in Datei fehlgeschlagen Grund 805306408 Die momentane Ansicht enth lt ungesicherte Daten M chten Sie die nderungen speichern bevor Sie die Ansicht verlassen 805306409 Die Datei konnte nicht geladen werden oder die Datei ist besch digt Grund 805306410 Die Integrit t des Protokolls ist verletzt worden Ein oder mehrere Ereignisse sind entfernt worden 805306411 Sollen die Ereignisse in einer Datei gesichert werden bevor sie gel scht werden 805306412 Anzeige der Auftr ge 805306413 CRL mehrfach in der Datenbank gefunden CRL konnte nicht gel scht werden 805306414 CRL nicht in der Datenbank gefunden 805306415 Der Benutzer dem das Zertifikat zugewiesen werden sollte konnte nicht in der Datenbank gefunden werden 805306416 Ein P7 Blob ist f r eine Zertifikats Zuweisung zwingend erforderlich 805306417 Der Benutzer dem das Zertifikat zugewiesen werden sollte ist nicht eindeutig benannt 805306418 Die Zertifikats Zuweisung kann nicht gefunden werden 805306419 Die Zuweisung d
406. relevante Ereignisse und speichert diese zentral Die Protokollierung zeichnet Ereignisse auf die installierte SafeGuard Produkte ausl sen Die Art des Protokolls wird in Richtlinien vom Typ Protokollierung definiert Hier legen Sie auch den fest wo die protokollierten Ereignisse ausgegeben und gespeichert werden sollen in der Windows Ereignisanzeige des Endpoint oder in der SafeGuard Enterprise Datenbank Als Sicherheitsbeauftragter mit den entsprechenden Rechten k nnen Sie die im SafeGuard Management Center angezeigten Statusinformationen und Protokollberichte einsehen ausdrucken und archivieren Umfassende Sortier und Filterfunktionen unterst tzen Sie im SafeGuard Management Center bei der Auswahl relevanter Ereignisse aus den verf gbaren Informationen Auch eine automatisierte Auswertung der Log Datenbank zum Beispiel ber Crystal Reports oder Microsoft System Center Operations Manager ist m glich Die Protokolleintr ge werden von SafeGuard Enterprise sowohl auf Client als auch auf Server Seite durch Signatur gegen unbefugte Manipulation gesch tzt Gem der Protokollierungsrichtlinie k nnen Ereignisse aus den folgenden Kategorien protokolliert werden E Authentisierung E Administration E System E Verschl sselung E Client E Zugriffskontrolle F r SafeGuard Data Exchange l sst sich der Zugriff auf Dateien auf Wechselmedien durch Protokollierung der relevanten Ereignisse verfolgen F r weitere Informationen zu dieser
407. rend der initialen Konfiguration des SafeGuard Management Center wird automatisch ein Administrator h chster Ebene angelegt der Haupt Sicherheitsbeauftragte Master Security Officer MSO Das MSO Zertifikat wird standardm ig nach 5 Jahren ung ltig und kann im Management Center im Abschnitt Sicherheitsbeauftragte erneuert werden F r andere spezifische Aufgaben z B Helpdesk oder Audit Aufgaben k nnen dann weitere Sicherheitsbeauftragte zugewiesen werden Sicherheitsbeauftragte lassen sich im Navigationsbereich des SafeGuard Management Center gem der Organisationsstruktur Ihres Unternehmens hierarchisch anordnen Diese hierarchische Anordnung gibt jedoch keine Hierarchie in Bezug auf Rechte und Rollen wieder Hinweis Zwei Sicherheitsbeauftragte d rfen nicht das gleiche Windows Konto auf einem Computer benutzen Andernfalls lassen sich ihre Zugriffsrechte nicht sauber trennen Unter Umst nden ist die zus tzliche Autorisierung nur dann sinnvoll wenn sich die Sicherheitsbeauftragten mit kryptographischen Token Smartcards anmelden m ssen Rollen f r Sicherheitsbeauftragte SafeGuard Enterprise bietet f r die komfortable Verwaltung bereits vordefinierte Rollen mit verschiedenen Funktionen f r Sicherheitsbeauftragte an Ein Sicherheitsbeauftragter mit den erforderlichen Rechten hat die M glichkeit aus einer Liste von Aktionen Rechten selbst neue Rollen zu definieren und bestimmten Sicherheitsbeauftragten zuzuweisen Folgende Rol
408. rheitsbeauftragten Knoten angezeigt Der Sicherheitsbeauftragte verliert alle Rechte f r alle Objekte und erh lt nur die Rechte die den zugewiesenen Rollen zugeordnet sind Ein Sicherheitsbeauftragter dessen Ernennung zum Haupt Sicherheitsbeauftragten r ckg ngig gemacht wurde hat zun chst keine Dom nen Zugriffsrechte Dom nen Zugriffsrechte m ssen einzeln im Bereich Benutzer amp Computer in der Registerkarte Zugriff gew hrt werden ndern des Zertifikats eines Sicherheitsbeauftragten Voraussetzung Um das Zertifikat eines Sicherheitsbeauftragten oder Haupt Sicherheitsbeauftragten zu ndern ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und zu modifizieren 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster auf den Sicherheitsbeauftragten dessen Zertifikat Sie ndern m chten Das aktuelle Zertifikat wird im Aktionsbereich auf der rechten Seite im Feld Zertifikate angezeigt 3 Klicken Sie im Aktionsbereich auf die Dropdownliste Zertifikate und w hlen Sie ein anderes Zertifikat aus 4 Klicken Sie auf das Speichern Symbol in der Symbolleiste um Ihre nderungen in der Datenbank zu speichern 11 14 Anordnen von Sicherheitsbeauftragten in der Baumstruktur Sicherheitsbeauftragte lassen sich im Sicherheitsbeauftragte Navigationsbereich des SafeGuard Management Center gem der Organisationsstruktur Ihres Unternehmens hierarchisch anordnen Die Baumst
409. riebssystem Zeigt das Betriebssystem des Computers 265 SafeGuard Enterprise Spalte Erkl rung Letzter Server Kontakt Zeigt an wann Datum und Uhrzeit der Computer zuletzt mit dem Server kommuniziert hat Zuletzt erhaltene Richtlinie Zeigt an wann Datum und Uhrzeit der Computer die letzte Richtlinie erhalten hat Verschl sselte Laufwerke Zeigt die verschl sselten Laufwerke des Computers Unverschl sselte Laufwerke Zeigt die unverschl sselten Laufwerke des Computers POA Typ Gibt an ob der Computer ein nativer SafeGuard Enterprise Endpoint ein BitLocker Endpoint mit Challenge Response ein BitLocker Endpoint mit eingebautem Recovery Mechanismus ein FileVault 2 Endpoint oder ein Endpoint mit einer selbst verschl sselnden Opal Festplatte ist Gibt an ob die SafeGuard Power on Authentication f r den Computer aktiviert ist WOL Gibt an ob Wake on LAN f r den Computer aktiviert ist nderungsdatum Zeigt das Datum an dem sich die Bestandsinformationen durch Anforderung einer Bestandsaktualisierung oder bermittlung neuer Bestandsinformationen vom Client ge ndert haben Aktualisierung angefordert Zeigt das Datum der letzten Aktualisierungsanforderung an Der in diesem Feld angezeigte Wert wird bei der Verarbeitung der Anforderung durch den Client wieder gel scht Stamm DSN Zeigt den Distinguished Name des dem Computer bergeordneten Containerobjekts an Diese Spalte wird nur dann angezei
410. rise 29 2 7 2 Erzeugen einer Response f r Standalone Endpoints mit der Schl ssel Recovery Datei 29 3 29 3 1 256 Hinweis Die Schl ssel Recovery Datei die w hrend der Installation der SafeGuard Enterprise Verschl sselungssoftware generiert wurde muss an einem Speicherort abgelegt sein auf den der Helpdesk Beauftragte Zugriff hat Dar ber hinaus muss der Name der Datei bekannt sein 1 W hlen Sie in der Men leiste des SafeGuard Management Center Extras gt Recovery um den Recovery Assistenten zu ffnen 2 W hlen Sie unter Recovery Typ die Option Sophos SafeGuard Client Standalone 3 Suchen Sie nach der Schl ssel Recovery Datei indem Sie auf die Schaltfl che neben dem Feld Schl ssel Recovery Datei klicken Zur Vereinfachung der Identifizierung tragen die Recovery Dateien den Namen des Computers computername GUID xml 4 Geben Sie den vom Benutzer erhaltenen Challenge Code ein und klicken Sie auf Weiter Der Challenge Code wird gepr ft Wenn der Challenge Code korrekt eingegeben wurde werden die vom Endpoint Computer angeforderte Recovery Aktion sowie die m glichen Recovery Aktionen angezeigt Wenn der Code nicht korrekt eingegeben wurde wird unterhalb des Blocks der den Fehler enth lt der Text Ung ltige Challenge angezeigt 5 W hlen Sie die vom Benutzer durchzuf hrende Aktion aus und klicken Sie auf Weiter 6 Es wird ein Response Code erzeugt Teilen Sie den Response Code dem Benutzer mit
411. rit t 1 Vorrang gegen ber einer Richtlinie mit einer geringeren Priorit t Hinweis Wurde auf gleicher Ebene eine Richtlinie mit niedriger Priorit t aber mit der Option Kein berschreiben zugeordnet so zieht die Richtlinie trotz niedrigerer Priorit t gegen ber den Richtlinien mit der h heren Priorit t Priorisierung innerhalb einer Gruppe Innerhalb einer Gruppe hat die Richtlinie mit der h chsten Priorit t 1 Vorrang gegen ber einer Richtlinie mit einer geringeren Priorit t Statusindikatoren Durch das Setzen von Statusindikatoren kann das Standardregelwerk der Richtlinien ver ndert werden E Richtlinienvererbung blockieren Wird direkt bei dem Container gesetzt der keine bergeordneten Richtlinien empfangen will Rechtsklick auf das Objekt im Navigationsfenster gt Eigenschaften Soll ein Container Objekt keine Richtlinie eines bergeordneten Objektes erben k nnen Sie das durch das Setzen von Richtlinienvererbung blockieren verhindern Ist Richtlinienvererbung blockieren gesetzt werden keine bergeordneten Richtlinieneinstellungen f r dieses Container Objekt wirksam Ausnahme Kein berschreiben wurde bei der Richtlinienzuweisung aktiviert E Kein berschreiben Wird bei der Zuweisung gesetzt und bedeutet dass diese Richtlinie nicht von anderen berschrieben werden kann Je weiter die Richtlinienzuweisung mit Kein berschreiben vom Zielobjekt entfernt ist umso st rker wird die Wirkung dieser Ri
412. rn und Dateien angezeigt werden Virtuelle Tastatur in der POA Bestimmt ob im SafeGuard POA Anmeldedialog bei Bedarf eine virtuelle Tastatur zur Eingabe des Kennworts angezeigt werden kann INSTALLATIONSOPTIONEN Deinstallation erlaubt Bestimmt ob die Deinstallation von SafeGuard Enterprise auf den Endpoints m glich ist Wird Deinstallation erlaubt auf Nein gesetzt kann SafeGuard Enterprise solange eine Richtlinie mit dieser Einstellung wirksam ist auch mit Administratorrechten nicht deinstalliert werden Sophos Manipulationsschutz aktivieren Aktiviert deaktiviert die Funktion Sophos Manipulationsschutz Wenn Sie die Deinstallation von SafeGuard Enterprise ber die Richtlinieneinstellung Deinstallation erlaubt als zul ssig definiert haben k nnen Sie diese Richtlinieneinstellung auf Ja setzen um Deinstallationsvorg nge durch die Funktion Sophos Manipulationsschutz berpr fen zu lassen und somit ein leichtfertiges Entfernen der Software zu verhindern Erlaubt die Funktion Sophos Manipulationsschutz die Deinstallation nicht wird der Deinstallationsvorgang abgebrochen Ist Sophos Manipulationsschutz aktivieren auf Nein eingestellt werden SafeGuard Enterprise Deinstallationsvorg nge durch die Funktion Sophos Manipulationsschutz weder gepr ft noch verhindert Hinweis Diese Einstellung gilt nur f r Endpoints auf denen Sophos Endpoint Security and Control in der Version 9 5 oder einer neueren Version ins
413. rorte zuerst evaluiert werden m Wenn zwei Regeln mit den gleichen Einstellungen f r Pfad und Anwendungsbereich aus Richtlinien stammen die unterschiedlichen Knoten zugewiesen sind wird die Regel aus der Richtlinie angewendet die sich n her am Benutzerobjekt in Benutzer amp Computer befindet Administratorhilfe 23 5 23 6 m Wenn zwei Regeln mit den gleichen Einstellungen f r Pfad und Anwendungsbereich aus Richtlinien stammen die demselben Knoten zugewiesen sind wird die Regel aus der Richtlinie mit der h chsten Priorit t angewendet m Absolute Regeln werden vor relativen Regeln evaluiert zum Beispiel c encrypt vor encrypt F r weitere Informationen siehe Zus tzliche Informationen f r die Konfiguration von Pfaden in File Encryption Verschl sselungsregeln Seite 183 m Regeln mit einem Pfad mit mehr Unterverzeichnissen werden vor Regeln mit einem Pfad mit weniger Unterverzeichnissen evaluiert m Mit UNC definierte Regeln werden vor Regeln mit Laufwerksbuchstabeninformationen evaluiert m Regeln bei denen die Option Nur dieser Ordner aktiviert ist werden vor Regeln ohne diese Option evaluiert m Regeln mit dem Modus Ignorieren werden vor Regeln mit dem Modus Verschl sseln oder Ausschlie en evaluiert m Regeln mit dem Modus Ausschlie en werden vor Regeln mit dem Modus Verschl sseln evaluiert m Wenn bei zwei Regeln die aufgelisteten Kriterien bereinstimmen werden die Regeln in alphabetischer Reihenfolg
414. rschl sselten Laufwerken E Anzahl an unverschl sselten Laufwerken E Letzter Server Kontakt m nderungsdatum E Informationen dazu ob das aktuelle Unternehmenszertifikat verwendet wird Erzeugen eines Konfigurationspakets f r Macs Ein Konfigurationspaket f r einen Mac enth lt die relevanten Serverinformationen sowie das Unternehmenszertifikat Der Mac benutzt diese Informationen zum Zur ckmelden von Statusinformationen SafeGuard POA an aus Verschl sselungsstatus usw Die Statusinformationen werden im SafeGuard Management Center angezeigt 1 Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete 2 W hlen Sie Pakete f r Managed Clients 3 Klicken Sie auf Konfigurationspaket hinzuf gen 293 SafeGuard Enterprise 4 Geben Sie einen beliebigen Namen f r das Konfigurationspaket ein 5 Ordnen Sie einen prim ren SafeGuard Enterprise Server zu der sekund re Server ist nicht notwendig 6 W hlen Sie SSL als Transportverschl sselung f r die Verbindung zwischen dem Endpoint und dem SafeGuard Enterprise Server F r Macs wird Sophos als Transportverschl sselung nicht unterst tzt 7 Geben Sie einen Ausgabepfad f r das Konfigurationspaket ZIP an 8 Klicken Sie auf Konfigurationspaket erstellen Die Server Verbindung f r den SSL Transportverschl sselung Modus wird validiert Wenn die Verbindung fehlschl gt wird eine Warnungsmeldung angezeigt Das Konfigurationspaket ZIP w
415. rtieren Sie k nnen das Skript beim Erstellen eines neuen Tasks importieren Sie k nnen auch Skripts f r bereits vorhandene Tasks importieren 1 W hlen Sie in der SafeGuard Management Center Men leiste Extras gt Taskplaner Der Dialog Taskplaner mit einer bersicht ber die geplanten Tasks wird angezeigt 287 SafeGuard Enterprise 34 5 2 288 W hlen Sie den gew nschten Task und klicken Sie auf die Schaltfl che Eigenschaften Der lt Task Name gt Eigenschaften Dialog mit den Eigenschaften des ausgew hlten Tasks wird angezeigt Klicken Sie auf die Dropdown Schaltfl che Importieren neben dem Feld Skript Der Dialog Skript Datei f r den Import ausw hlen wird angezeigt Hinweis Im Verzeichnis Script Templates Ihrer SafeGuard Management Center Installation stehen zwei vordefinierte Skripte zur Verf gung Der Dialog Skript Datei f r den Import ausw hlen zeigt automatisch dieses Verzeichnis an F r weitere Informationen siehe Vordefinierte Skripte f r periodische Tasks Seite 289 W hlen Sie das zu importierende Skript aus und klicken Sie auf OK Der Skript Name wird im Feld Skript angezeigt Klicken Sie auf OK Wenn das Skript bereits importiert wurde werden Sie aufgefordert zu best tigen dass das alte Skript berschrieben werden soll Wenn die Gr e der zu importierenden Datei 10 MB berschreitet wird eine Fehlermeldung angezeigt und der Importvorgang wird zur ckgewiesen Das S
416. rtierte Konfigurationsdatei SGNConfig an Sollte diese Konfiguration bereits vorhanden sein so werden Sie gefragt ob Sie die vorhandene Konfiguration berschreiben m chten Die Datenbankkonfiguration wird am angegebenen Speicherort gespeichert Import einer Konfiguration aus einer Datei Um eine Datenbankkonfiguration zu verwenden oder zu ndern k nnen Sie eine zuvor erstellte Konfiguration in das SafeGuard Management Center importieren Hier gibt es zwei M glichkeiten E ber das SafeGuard Management Center f r Multi Tenancy E durch Doppelklicken auf die Konfigurationsdatei f r Single und Multi Tenancy Administratorhilfe 7 5 7 6 Import einer Konfiguration ber das SafeGuard Management Center 1 Starten Sie das SafeGuard Management Center Der Dialog Konfiguration ausw hlen wird angezeigt 2 Klicken Sie auf Import w hlen Sie die gew nschte Konfigurationsdatei aus und klicken Sie auf ffnen 3 Geben Sie das Kennwort ein das w hrend des Exports f r die Konfigurationsdatei erstellt wurde und klicken Sie auf OK Die ausgew hlte Konfiguration wird angezeigt 4 Um die Konfiguration zu aktivieren klicken Sie auf OK 5 Zur Authentisierung werden Sie dazu aufgefordert den Sicherheitsbeauftragtennamen f r diese Konfiguration auszuw hlen und das entsprechende Zertifikatsspeicherkennwort einzugeben Klicken Sie auf OK Das SafeGuard Management Center wird ge ffnet und mit der importierte
417. ruktur l sst sich f r alle Sicherheitsbeauftragten au er f r Haupt Sicherheitsbeauftragte ordnen Haupt Sicherheitsbeauftragte werden in einer nicht hierarchischen Liste unter dem Haupt Sicherheitsbeauftragten Knoten angezeigt Der 67 SafeGuard Enterprise 11 15 11 16 68 Sicherheitsbeauftragten Knoten enth lt eine Baumstruktur in der jeder Knoten einen Sicherheitsbeauftragten repr sentiert Diese hierarchische Anordnung gibt jedoch keine Hierarchie in Bezug auf Rechte und Rollen wieder Voraussetzung Um einen Sicherheitsbeauftragten in der Baumstruktur zu verschieben ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und zu modifizieren 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Ziehen Sie den gew nschten Sicherheitsbeauftragten im Navigationsfenster per Drag amp Drop zum gew nschten Knoten Alle dem Sicherheitsbeauftragten untergeordneten Sicherheitsbeauftragte werden ebenfalls verschoben Schneller Wechsel zwischen Sicherheitsbeauftragten Sie k nnen das SafeGuard Management Center schnell und einfach neu starten wenn Sie sich mit einem anderen Sicherheitsbeauftragten anmelden m chten 1 W hlen Sie im SafeGuard Management Center Datei gt Sicherheitsbeauftragten wechseln Das SafeGuard Management Center wird neu gestartet und es wird ein Anmeldedialog angezeigt 2 W hlen Sie den Sicherheitsbeauftragten mit dem Sie sich an das SafeGuard Management Center anm
418. ry Beauftragter zur zus tzlichen Authentisierung erforderlich ist 805306395 Der Beratungsbeauftragte kann nicht gel scht werden da ein Beratungsbeauftragter zur zus tzlichen Authentisierung erforderlich ist 805306396 Die Funktion des Haupt Sicherheitsbeauftragten kann nicht entfernt werden da ein zweiter Haupt Sicherheitsbeauftragter zur zus tzlichen Authentisierung erforderlich ist 805306397 Die Funktion des Sicherheitsbeauftragten kann nicht entfernt werden da ein Sicherheitsbeauftragter zur zus tzlichen Authentisierung erforderlich ist 319 SafeGuard Enterprise 320 Fehler ID 805306398 Anzeige Die Funktion des Pr fungsbeauftragten kann nicht entfernt werden da ein Pr fungsbeauftragter zur zus tzlichen Authentisierung erforderlich ist 805306399 Die Funktion des Wiederherstellungsbeauftragten kann nicht entfernt werden da ein Recovery Beauftragter zur zus tzlichen Authentisierung erforderlich ist 805306400 805306401 Die Funktion des Beratungsbeauftragten kann nicht entfernt werden da ein Beratungsbeauftragter zur zus tzlichen Authentisierung erforderlich ist Ein zus tzlicher Beauftragter mit der gew nschten Funktion ist zur zus tzlichen Authentisierung nicht verf gbar 805306402 Ereignisanzeige 805306403 Integrit t des zentralen Ereignisprotokolls erfolgreich verifiziert 805306404 805306405 Integrit t verletzt Ein oder mehrere E
419. rzeichnisse m Die PATH Umgebungsvariable sollte keine Komponenten enthalten die auf Ordner verweisen auf die externe Angreifer zugreifen k nnen siehe oben m Regul re Benutzer sollten keine Administratorenrechte haben Best Practices f r die Verschl sselung m Stellen Sie sicher dass allen Laufwerken ein Laufwerksbuchstabe zugewiesen ist Nur Laufwerke die einen Laufwerksbuchstaben zugewiesen haben k nnen verschl sselt entschl sselt werden Folglich k nnen Laufwerke ohne Laufwerksbuchstaben missbraucht werden um an vertrauliche Daten in Klartext zu gelangen So wenden Sie diese Bedrohung ab Erlauben Sie den Benutzern nicht die Laufwerkbuchstabenzuweisungen zu ndern Konfigurieren Sie die Benutzerrechte entsprechend Regul re Benutzer haben dieses Recht standardm ig nicht m Gehen Sie bei der Anwendung der schnellen Initialverschl sselung vorsichtig vor Sophos SafeGuard bietet die schnelle Initialverschl sselung zur Beschleunigung der Initialverschl sselung von Volumes Dies wird dadurch erreicht dass nur auf den Speicherplatz zugegriffen wird der tats chlich in Gebrauch ist Dieser Modus kann zu einem unsichereren Zustand f hren wenn ein Volume vor der Verschl sselung mit SafeGuard Enterprise bereits in Gebrauch war Aufgrund Ihres Aufbaus sind Solid State Disks SSD hier st rker betroffen als regul re Festplatten Dieser Modus ist standardm ig deaktiviert F r weitere Informationen siehe http www s
420. s nlichen Schl ssel des angemeldeten SafeGuard Enterprise Benutzers umgesetzt Wenn die relevanten Benutzer noch keine aktiven pers nlichen Schl ssel haben werden diese automatisch angelegt Sie k nnen pers nliche Schl ssel f r einzelne oder mehrere Benutzer unter Benutzer amp Computer erzeugen F r weitere Informationen siehe Pers nliche Schl ssel f r die dateibasierende Verschl sselung mit File Share Seite 73 Der System Typ Windows Mac OS X oder Alle Plattformen f r Windows und Mac OSX systems werden automatisch zugewiesen F gen Sie je nach Anforderung weitere Verschl sselungsregeln hinzu und speichern Sie Ihre nderungen Hinweis Alle File Encryption Verschl sselungsregeln die ber Richtlinien zugewiesen und f r Benutzer Computer an unterschiedlichen Knoten unter Benutzer amp Computer aktiviert werden werden kumuliert Die Reihenfolge der Verschl sselungsregeln innerhalb einer File Encryption Richtlinie ist f r die Evaluierung auf dem Endpoint nicht von Bedeutung Innerhalb einer File Encryption Richtlinie k nnen Sie die Regeln durch Ziehen mit der Maus zur besseren bersicht nach Wunsch anordnen Administratorhilfe 23 1 1 Zus tzliche Informationen f r die Konfiguration von Pfaden in File Encryption Verschl sselungsregeln Beachten Sie beim Konfigurieren von Pfaden in File Encryption Verschl sselungsregeln die folgenden Informationen Ein Pfad darf nur Zeichen enthalten die auch in Da
421. s SafeGuard Management Center sowie die Recovery Aktion Schl ssel angefordert ausgew hlt haben 1 W hlen Sie im Recovery Assistenten auf der Seite Virtueller Client aus ob die Aktion von einem zentral verwalteten Endpoint oder einem Standalone Endpoint angefordert wird m W hlen Sie f r zentral verwaltete Endpoints Recovery Schl ssel f r einen SafeGuard Enterprise Managed Client Klicken Sie auf In Schl ssel suchen k nnen Sie sich die Schl ssel nach Schl ssel ID oder symbolischem Namen anzeigen lassen Klicken Sie auf Jetzt suchen w hlen Sie den Schl ssel und klicken Sie auf OK Hinweis Eine Response kann nur f r zugewiesene Schl ssel erzeugt werden Ist ein Schl ssel inaktiv d h der Schl ssel ist nicht mindestens einem Benutzer zugewiesen ist eine Response mit einem virtuellen Client nicht m glich In diesem Fall kann der inaktive Schl ssel zun chst einem beliebigen Benutzer zugewiesen werden Danach kann eine Response f r den Schl ssel generiert werden m W hlen Sie f r Standalone Endpoints Recovery Schl ssel f r einen Sophos SafeGuard Standalone Client Klicken Sie neben dieser Option auf um nach der entsprechenden Datei zu suchen Zur Vereinfachung der Identifizierung tragen die Recovery Dateien den Namen des Computers computername GUID xml W hlen Sie die Datei aus und klicken Sie auf ffnen Hinweis Die Schl ssel Recovery Datei die zur Wiederherstellung des Zugriffs auf den Computer erfor
422. s SafeGuard Disc encryption for Mac und Sophos SafeGuard File Encryption for Mac 103 SafeGuard Enterprise 16 SafeGuard Enterprise Power on Authentication POA Hinweis Diese Beschreibung gilt f r Windows 7 Endpoints mit SafeGuard Festplattenverschl sselung N here Informationen zu den Anmeldemodi die f r Windows 7 und Windows 8 Endpoints mit BitLocker Drive Encryption angeboten werden finden Sie in Ihren Microsoft Handb chern SafeGuard Enterprise identifiziert den Benutzer bereits bevor das Betriebssystem startet Hierbei startet vorher ein SafeGuard Enterprise eigener Systemkern Dieser ist gegen Modifikationen gesch tzt und versteckt auf der Festplatte gespeichert Erst wenn sich der Benutzer in der SafeGuard POA korrekt authentisiert hat wird das Betriebssystem Windows von der verschl sselten Partition aus gestartet Die Anmeldung an Windows erfolgt sp ter automatisch Analog wird verfahren wenn sich ein Endpoint im Ruhezustand Hibernation Suspend to Disk befindet und wieder eingeschaltet wird SafeGuard Logon O SOPHOS User name john BEIEETE Domain MY_COMPANY 7 En OK Recovery Shutdown Options gt gt Die SafeGuard Power on Authentication bietet unter anderem folgende Vorteile E Grafische Benutzeroberfl che mit Mausunterst tzung und verschiebbaren Fenstern und damit einfache bersichtliche Bedienung E Vom Firmenkunden per Richtlinie anpassbares grafi
423. s ersten Benutzers an Computer_ABC wird ein Autologon f r die SafeGuard POA ausgef hrt Die Computerrichtlinien werden an den Endpoint geschickt Da Benutzer_a in der UMA eingetragen ist wird er im Zuge der Windows Anmeldung komplettiert Seine Benutzerrichtlinien Zertifikate und Schl ssel werden an den Endpoint geschickt Die SafeGuard POA wird aktiviert Hinweis Der Benutzer kann ber die Statusausgabe im SafeGuard Tray Icon berpr fen wann dieser Vorgang abgeschlossen ist Benutzer_a existiert nun als kompletter Benutzer in SafeGuard Enterprise und kann sich bei der n chsten Anmeldung in der SafeGuard POA authentisieren und wird automatisch angemeldet Benutzer_a f hrt nun den Computer herunter und Benutzer_b will sich anmelden Da die SafeGuard POA aktiviert ist findet kein Autologon mehr statt F r die Benutzer_b und Benutzer_c gibt es nun zwei M glichkeiten Zugang zu diesem Computer zu erlangen E Benutzer_a deaktiviert im SafeGuard POA Anmeldedialog die Option Durchgehende Anmeldung an Windows und meldet sich an 211 SafeGuard Enterprise 26 1 1 26 1 2 212 E Benutzer_b authentisiert sich ber Challenge Response in der SafeGuard POA In beiden F llen wird anschlie end der Windows Anmeldedialog angezeigt Benutzer_b kann dort seine Windows Anmeldeinformationen eingeben Seine Benutzerrichtlinien Zertifikate und Schl ssel werden an den Endpoint geschickt Er wird in der SafeGuard POA aktiviert Benu
424. s f r Medien die Einstellung Volume basierend F r weitere Informationen siehe Ger teschutz Seite 150 Hinweis E Die Volume basierende Verschl sselung Entschl sselung wird f r Laufwerke ohne Laufwerksbuchstaben nicht unterst tzt E Wenn f r ein Volume oder einen Volume Typ eine Verschl sselungsrichtlinie existiert und die Verschl sselung des Volumes schl gt fehl darf der Benutzer nicht auf das Volume zugreifen E Endpoints k nnen w hrend der Verschl sselung Entschl sselung heruntergefahren und neu gestartet werden E Wenn auf die Entschl sselung die Deinstallation folgt empfehlen wir den Endpoint nicht in einen Energiesparmodus oder den Ruhezustand zu versetzen E Wenn nach der volume basierenden Verschl sselung eine Richtlinie auf einen Endpoint Computer angewendet wird die die Entschl sselung erlaubt ist Folgendes zu beachten Nach einer vollst ndigen volume basierenden Verschl sselung muss der Endpoint Computer mindestens einmal neu gestartet werden bevor die Entschl sselung gestartet werden kann Schnelle Initialverschl sselung SafeGuard Enterprise bietet die schnelle Initialverschl sselung als Spezialmodus f r die volume basierende Verschl sselung Dieser Modus reduziert den Zeitraum der f r die initiale Verschl sselung oder die endg ltige Entschl sselung von Volumes auf Endpoints ben tigt wird Dies wird dadurch erreicht dass nur auf den Festplattenspeicherplatz zugegriffen wird der tats
425. s verwenden Das Skript synchronisiert alle vorhandenen Container in der SafeGuard Enterprise Datenbank mit einem Active Directory Bevor Sie das Skript in einem periodischen Task verwenden k nnen Sie folgende Parameter anpassen 289 SafeGuard Enterprise 34 5 4 2 290 Parameter Beschreibung logFileName Legen Sie den Ausgabepfad f r die Skript Protokolldatei fest Dieser Parameter ist obligatorisch Ist der Parameter leer oder ung ltig so kann die Synchronisierung nicht durchgef hrt werden und es wird eine Fehlermeldung angezeigt Standardm ig ist dieser Parameter leer Ist bereits eine Protokolldatei vorhanden so werden neue Protokolle am Ende der Datei angeh ngt synchronizeMembership Setzen Sie diesen Parameter auf 1 um auch Mitgliedschaften zu synchronisieren Wenn dieser Parameter auf 0 gesetzt ist werden die Mitgliedschaften nicht synchronisiert Die Standardeinstellung ist 1 synchronizeAccountState Setzen Sie diesen Parameter auf 1 um auch den Benutzer Aktiv Status zu synchronisieren Wenn dieser Parameter auf 0 gesetzt ist wird der Benutzer Aktiv Status nicht synchronisiert Die Standardeinstellung ist 0 Hinweis Stellen Sie sicher dass sie ber die erforderlichen Zugriffsrechte f r die Active Directory Synchronisierung verf gen und dass die notwendigen SQL Berechtigungen f r das Konto das f r die Ausf hrung des SafeGuard Enterprise Taskplaners benutzt wird eingestellt sind F r
426. sbeauftragten Bei der Erstinstallation von SafeGuard Enterprise besteht f r den ersten Sicherheitsbeauftragten bereits die M glichkeit sich einen Token ausstellen zu lassen und den Anmeldemodus festzulegen siehe SafeGuard Enterprise Installationsanleitung F r alle weiteren Sicherheitsbeauftragten nehmen Sie die Ausstellung eines Token im SafeGuard Management Center vor Voraussetzung m Der Token muss initialisiert und das passende PKCS 11 Modul aktiviert worden sein m Sie ben tigen die Rechte die Angaben f r den Sicherheitsbeauftragten festlegen zu d rfen 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Stecken Sie den Token an der USB Schnittstelle ein SafeGuard Enterprise liest den Token ein 3 Markieren Sie im linken Navigationsfenster Sicherheitsbeauftragte und w hlen Sie im Kontextmen Neu gt Neuer Sicherheitsbeauftragter Der Dialog Neuen Sicherheitsbeauftragten erstellen wird angezeigt 4 Geben Sie im Feld Token Anmeldung die Art der Anmeldung f r den Sicherheitsbeauftragten ein E Wenn sich der Sicherheitsbeauftragte wahlweise mit oder ohne Token authentisieren soll w hlen Sie Optional E Um festzulegen dass sich der Sicherheitsbeauftragte mit Token anmelden muss w hlen Sie Zwingend erforderlich Bei dieser Einstellung verbleibt der private Schl ssel auf dem Token Der Token muss immer eingesteckt sein ansonsten wird ein Neustart des Systems notwendig 221 SafeGuard
427. sch tzt werden Nach der Installation von SafeGuard Enterprise und der Aktivierung der SafeGuard Power on Authentication POA kann der Zugang zu Endpoints f r administrative Aufgaben notwendig sein Mit POA Benutzern k nnen sich Benutzer z B Mitglieder des IT Ieams zur Durchf hrung von administrativen Aufgaben an der SafeGuard Power on Authentication anmelden ohne ein Challenge Response Verfahren durchf hren zu m ssen Eine automatische Anmeldung an Windows erfolgt nicht Die Benutzer m ssen sich an Windows mit ihren vorhandenen Windows Benutzerkonten anmelden Sie k nnen POA Benutzer anlegen diese in POA Gruppen gruppieren und die Gruppen den Endpoints zuweisen Die Benutzer die in der POA Gruppe enthalten sind werden zur SafeGuard POA hinzugef gt und k nnen sich mit Ihrem vordefinierten Benutzernamen und Kennwort an der POA anmelden Hinweis F r die Verwaltung von POA Benutzern und POA Gruppen ben tigen Sie das Zugriffsrecht Voller Zugriff f r den POA Knoten unter Benutzer amp Computer Erstellen von POA Benutzern F r das Erstellen von POA Benutzern und POA Gruppen ben tigen Sie das Zugriffsrecht Voller Zugriff f r den POA Knoten unter Benutzer amp Computer 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Benutzer amp Computer Navigationsfenster unter POA den Knoten POA Benutzer 3 Klicken Sie im POA Benutzer Kontextmen auf Neu gt Ne
428. schen einem Token Anmeldemodus mit nicht kryptographischem Token oder mit Kerberos Unterst tzung kryptographisch w hlen Als Sicherheitsbeauftragter legen Sie den zu verwendenden Anmeldemodus in einer Sicherheitsrichtlinie vom Typ Authentisierung fest Auswahl der Token Anmeldeoption Kerberos E Sie m ssen ein Zertifikat in einer PKI ausstellen und es auf dem Token ablegen Dieses Zertifikat wird als Benutzerzertifikat in die SafeGuard Enterprise Datenbank importiert Falls dort bereits ein automatisch erzeugtes Zertifikat existiert wird es durch das importierte Zertifikat berschrieben Aktivieren der automatischen Anmeldung an der SafeGuard POA mit Default Token PIN Eine per Richtlinie verteilte Default Token PIN erm glicht die automatische Benutzeranmeldung an der SafeGuard Power on Authentication Somit muss nicht jeder Administratorhilfe 27 7 einzelne Token separat ausgestellt werden und die Benutzer k nnen sich ohne Benutzerinteraktion automatisch an der SafeGuard Power on Authentication anmelden Wenn bei der Anmeldung ein Token benutzt wird und dem Computer eine Default PIN zugeordnet ist wird eine durchgehende Anmeldung an der SafeGuard Power on Authentication durchgef hrt Der Benutzer muss hier keine PIN eingeben Als Sicherheitsbeauftragter k nnen Sie diese spezifische PIN in einer Richtlinie vom Typ Authentisierung festlegen und sie verschiedenen Computern oder Computergruppen z B allen Computern eines St
429. sches Layout Hintergrundbild Anmeldebild Willkommensmeldung etc E Unterst tzung f r eine Reihe von Smartcard Leseger ten und Smartcards E Unterst tzung von Windows Benutzerkonten und Kennw rtern bereits zum Pre Boot Zeitpunkt keine separaten Zugangsdaten mehr die sich der Benutzer merken muss E Unterst tzung von Unicode und damit auch fremdsprachigen Kennw rtern bzw Benutzeroberfl chen 16 1 Ablauf der Anmeldung 104 SafeGuard Enterprise arbeitet mit zertifikatsbasierter Anmeldung Deswegen ben tigt ein Benutzer zur erfolgreichen Anmeldung in der SafeGuard Power on Authentication Schl ssel und Zertifikate Benutzerspezifische Schl ssel und Zertifikate werden jedoch erst nach einer erfolgreichen Windows Anmeldung erzeugt Nur Benutzer die sich erfolgreich an Windows Administratorhilfe 16 1 1 angemeldet haben k nnen sich sp ter auch in der SafeGuard Power on Authentication authentisieren Um den Ablauf der Anmeldung eines Benutzers in SafeGuard Enterprise zu verdeutlichen im Folgenden eine kurze Einf hrung Eine detaillierte Beschreibung der SafeGuard POA Anmeldevorg nge finden Sie in der SafeGuard Enterprise Benutzerhilfe SafeGuard Autologon Nach dem Neustart erscheint bei der ersten Anmeldung am Endpoint der SafeGuard Enterprise Autologon Was passiert 1 Ein Autouser wird angemeldet 2 Der Computer registriert sich automatisch am SafeGuard Enterprise Server 3 Der Maschinenschl ssel wir
430. schl sselten Dateien auch dann verschl sselt wenn sie an einem Speicherort abgelegt werden f r den keine Verschl sselungsregel gilt Sie k nnen die persistente Verschl sselung in Richtlinien vom Typ Allgemeine Einstellungen konfigurieren Die Richtlinieneinstellung Persistente Verschl sselung aktivieren ist standardm ig aktiviert Hinweis E Wenn Dateien an ein ignoriertes Ger t oder in einen Ordner kopiert oder verschoben werden f r den eine Richtlinie mit dem Modus f r die Verschl sselung Ignorieren gilt hat die Einstellung Persistente Verschl sselung aktivieren keine Auswirkungen E Kopiervorg nge werden anhand des Dateinamens erkannt Wenn ein Benutzer eine verschl sselte Datei mit Speichern unter unter einem anderen Dateinamen an einem Speicherort speichert f r den keine Verschl sselungsregel gilt ist die Datei unverschl sselt Protokollierung des Dateizugriffs auf Wechselmedien Mit der Funktion Berichte des SafeGuard Management Center l sst sich der Dateizugriff auf Wechselmedien protokollieren Datei Tracking F r Datei Tracking spielt es keine Rolle ob f r die Dateien auf den Wechselmedien eine Verschl sselungsrichtlinie gilt In einer Richtlinie vom Typ Protokollierung k nnen Sie Folgendes konfigurieren E Protokollierung eines Ereignisses wenn eine Datei oder ein Verzeichnis auf dem Wechselmedium angelegt wird E Protokollierung eines Ereignisses wenn eine Datei oder ein Verzeichnis auf dem We
431. scue and Recovery Authentisierung finden Sie in der Lenovo Rescue and Recovery Dokumentation 113 SafeGuard Enterprise 114 17 Administrative Zugangsoptionen f r Endpoints Hinweis Die folgenden Beschreibungen beziehen sich auf Windows Endpoints die mit SafeGuard Enterprise mit SafeGuard Power on Authentication gesch tzt sind Um es Benutzern zu erm glichen sich nach der Installation von SafeGuard Enterprise zur Durchf hrung von administrativen Aufgaben an Endpoints anzumelden bietet SafeGuard Enterprise zwei verschiedene Benutzerkontotypen E Service Accounts f r die Windows Anmeldung Mit Service Accounts k nnen sich Benutzer z B Rollout Beauftragte Mitglieder des IT Teams nach der Installation von SafeGuard Enterprise an Endpoints anmelden Windows Anmeldung ohne die SafeGuard Power on Authentication zu aktivieren Die Benutzer werden auch nicht als SafeGuard Enterprise Benutzer zum Endpoint hinzugef gt Service Account Listen werden im Bereich Richtlinien des SafeGuard Management Center angelegt und ber Richtlinien den Endpoints zugewiesen Benutzer die in eine Service Account Liste aufgenommen wurden werden bei der Anmeldung am Endpoint als Gastbenutzer behandelt Hinweis Service Account Listen werden den Endpoints ber Richtlinien zugewiesen Sie sollten bereits im ersten SafeGuard Enterprise Konfigurationspaket das Sie f r die Konfiguration der Endpoints erstellen enthalten sein F r weitere Informa
432. se ber das Skript aus der EVENT Tabelle in die Backup Log Tabelle verschieben findet die Verkettung der Protokollierung keine Anwendung mehr Es ist nicht sinnvoll die Verkettung zu aktivieren und gleichzeitig die gespeicherte Prozedur zur S uberung der EVENT Tabelle einzusetzen F r weitere Informationen siehe Verkettung von protokollierten Ereignissen Seite 277 Einschr nkungen in Bezug auf registrierte Server Wenn Sie im SafeGuard Management Center mit der Funktion Konfigurationspakete Server registrieren k nnen Sie mit einem Maschinenzertifikat mehrere Server Templates registrieren Sie k nnen jedoch jeweils nur ein Template auf der realen Maschine installieren Wenn Sie f r beide Server das Kontrollk stchen Skripts ausf hren erlaubt ausw hlen zeigt der Taskplaner beide Server in der Dropdownliste SGN Server in den Dialogen Neuer Task und lt Task Name gt Eigenschaften zur Auswahl an Der Taskplaner kann nicht ermitteln welches der beiden Templates auf der Maschine installiert wurde Um dies zu vermeiden w hlen Sie das Kontrollk stchen Skript ausf hren erlaubt f r Templates die nicht auf dem Server installiert sind nicht aus Vermeiden Sie au erdem eine Doppelung von Templates mit demselben Maschinenzertifikat Weitere Informationen zum Registrieren von Servern finden Sie in der SafeGuard Enterprise Installationsanleitung 291 SafeGuard Enterprise 34 7 Protokollierte Ereignisse f r den Taskplaner 292
433. selte Dateien auf Windows Computern auf denen SafeGuard Enterprise installiert ist Hinweis Um verschl sselte Daten die in der Cloud gespeichert sind mit Benutzern zu teilen die SafeGuard Enterprise nicht installiert haben sollten die Benutzer zum Erzeugen lokaler Schl ssel berechtigt sein siehe Lokale Schl ssel Seite 192 8 Mit der Option Klartext Ordner k nnen Sie einen Ordner definieren der von der Verschl sselung ausgeschlossen wird Daten in Unterordnern des definierten Klartext Ordners werden ebenfalls von der Verschl sselung ausgeschlossen SafeGuard Cloud Storage erstellt automatisch leere Klartext Ordner in allen in der Cloud Storage Definition definierten Synchronisierungsordnern Administratorhilfe 26 Benutzer Computer Zuordnung 26 1 SafeGuard Enterprise verwaltet die Informationen welcher Benutzer sich an welchem Computer anmelden darf in einer Liste f r die in der Folge der Begriff UMA f r User Machine Assignment verwendet wird Voraussetzung f r die Aufnahme in die UMA ist dass sich der Benutzer einmal an einem Computer mit installiertem SafeGuard Enterprise angemeldet hat und als kompletter Benutzer im Sinne von SafeGuard Enterprise im SafeGuard Management Center vorhanden ist Als komplett wird ein Benutzer dann bezeichnet wenn f r ihn nach der ersten Anmeldung ein Zertifikat erzeugt und danach sein Schl sselring aufgebaut wurde Erst dann ist die M glichkeit gegeben dass diese
434. sen oder L schen der Daten auf einem Token Anzeigen von Token Smartcard Informationen Als Sicherheitsbeauftragter k nnen Sie sich Informationen ber alle oder einzelne ausgestellte Token anzeigen lassen Sie k nnen auch bersichten filtern Administratorhilfe 27 9 2 27 9 3 Voraussetzung Der Token muss eingesteckt sein 1 Klicken Sie im SafeGuard Management Center auf Token 2 Um Informationen zu einzelnen Token anzeigen zu lassen w hlen Sie den gew nschten Token unter Token Slots Unter Token Information werden Hersteller Typ Seriennummer Angaben zu Hardware und PIN Regeln angezeigt Au erdem sehen Sie welchem Benutzer der Token zugeordnet ist Hinweis Unter Token Slots werden die ausgestellten Token ungeachtet Ihrer Zugriffsrechte f r die relevanten Benutzer angezeigt damit Sie sehen k nnen ob der Token in Gebrauch ist oder nicht Wenn Sie keine Zugriffsrechte oder das Zugriffsrecht Schreibgesch tzt f r den relevanten Benutzer haben werden alle Token Daten in den Registerkarten Token Information und Anmeldeinformationen und Zertifikate ausgegraut und Sie k nnen den Token nicht verwalten 3 Um eine bersicht ber Token anzeigen zu lassen w hlen Sie Ausgestellte Token Sie k nnen alle ausgestellten Token anzeigen lassen oder die bersicht nach Benutzern filtern Es werden die Seriennummer der Token die Benutzerzuordnung und das Ausstellungsdatum angezeigt Au erdem erkennen Sie ob der Token gesp
435. ss Installation kein SQL Server Agent vorhanden ist werden Jobs hier nicht unterst tzt E Der Skript Teil muss in der msdb ausgef hrt werden Wenn Sie f r Ihre SafeGuard Enterprise Datenbank einen anderen Namen als SafeGuard ausgew hlt haben ndern Sie den Namen entsprechend Default Database name SafeGuard change if required SELECT SafeGuardDataBase SafeGuard E Sie k nnen auch die Anzahl an Ereignissen festlegen die in der EVENT Tabelle verbleiben sollen Die Standardeinstellung ist 100 000 Default keep the latest 100000 events change if required SELECT ShrinkCommand exec spShrinkEventTable 100000 E Sie k nnen festlegen ob die Ausf hrung des Jobs im NT Event Log protokolliert werden soll exec sp_add_Jjob job_name AutoShrinkEventTable enabled 1 notify_level_eventlog 3 F r den Parameter notify_level_eventlog sind folgende Werte verf gbar Wert Ergebnis Jede Ausf hrung des Jobs protokollieren Administratorhilfe 33 13 3 Ergebnis Fehlschlagen des Jobs protokollieren Erfolgreiche Ausf hrung des Jobs protokollieren Ausf hrung des Jobs nicht im NT Event Log protokollieren E Sie k nnen festlegen wie oft die Ausf hrung des Jobs im Fall eines Fehlschlags wiederholt werden soll exec sp_add_jobstep E Q retry_attempts 3 Dieses Beispiel legt 3 Versuche f r die Ausf hrung des Jobs im Fall eines Fehlschlags fest E Q retry_interval 60 Dieses
436. stallation am Endpoint automatisch aktiviert Stellen Sie sicher dass die Einstellungen nicht von anderen Gruppenrichtlinien berschrieben werden Um die Einstellungen zu berpr fen ffnen Sie den Editor f r lokale Gruppenrichtlinien mit Start Ausf hren gpedit msc und w hlen Sie Computerkonfiguration Administrative Vorlagen Windows Komponenten BitLocker Laufwerksverschl sselung Betriebssystemlaufwerke Klicken Sie doppelt auf Zus tzliche Authentifizierung beim Start anfordern Aktiviert muss ausgew hlt sein F r den Anmeldemodus USB Stick muss zus tzlich die Checkbox BitLocker ohne kompatibles TPM zulassen erfordert einen Startschl ssel auf einem USB Flashlaufwerk aktiviert sein Trusted Platform Module TPM Das TPM ist ein Modul auf dem Motherboard das einer Smartcard hnelt und Verschl sselungsfunktionen sowie Vorg nge f r die digitale Signatur ausf hrt Es ist in der Lage Benutzerschl ssel anzulegen zu speichern und zu verwalten Das TPM ist gegen Angriffe gesch tzt USB Stick Die externen Schl ssel k nnen auf einem ungesch tzten USB Stick gespeichert werden Voraussetzungen f r die Verwaltung von BitLocker auf Endpoints E Um die Anmeldemodi TPM PIN TPM USB Stick oder USB Stick verwenden zu k nnen aktivieren Sie die Gruppenrichtlinie Zus tzliche Authentifizierung beim Start anfordern entweder im Active Directory oder auf den Computern lokal Im Editor f r lokale Gruppenrichtlinien gpedit
437. ste m Definierter Schl ssel aus der Liste lt Gruppen Dom nenschl ssel gt z B group_users_Bob_Alice DC um sicherzustellen dass beide denselben Schl ssel benutzen Wenn die Firmenrichtlinien zus tzlich festlegen dass alle Dateien auf Wechselmedien immer verschl sselt werden sollen f gen Sie folgende Einstellungen hinzu E Initialverschl sselung aller Dateien Ja Stellt sicher dass Dateien auf Wechselmedien verschl sselt werden sobald die Wechselmedien zum ersten Mal mit dem System verbunden werden E Benutzer darf Initialverschl sselung abbrechen Nein Der Benutzer kann die Initialverschl sselung nicht abbrechen um sie z B zu einem sp teren Zeitpunkt durchzuf hren E Benutzer darf auf unverschl sselte Dateien zugreifen Nein Werden auf Wechselmedien unverschl sselte Dateien entdeckt so wird der Zugriff auf diese Dateien verweigert E Benutzer darf Dateien entschl sseln Nein Der Benutzer darf Dateien auf Wechselmedien nicht entschl sseln E SafeGuard Portable auf das Ziel kopieren Nein F r die gemeinsame Benutzung von Wechselmedien innerhalb der Arbeitsgruppe ist SafeGuard Portable nicht erforderlich Au erdem w rde SafeGuard Portable das Entschl sseln von Dateien auf Computern ohne SafeGuard Enterprise erlauben Die Benutzer k nnen Daten einfach durch Austausch von Wechselmedien gemeinsam nutzen Wenn sie die Wechselmedien mit ihren Computern verbinden haben sie transparenten Zugriff au
438. t sobald sie sich an Windows angemeldet haben SGN Windows Benutzer lassen sich auf zentral verwalteten Endpoints automatisch und auf Standalone Endpoints manuell aus der UMA entfernen F r weitere Informationen siehe Spezifische Computereinstellungen Grundeinstellungen Seite 156 Beispiel Das folgende Beispiel zeigt wie Sie im SafeGuard Management Center festlegen k nnen dass sich ausschlie lich drei bestimmte Benutzer Benutzer_a Benutzer_b Benutzer_c auf dem Computer Computer_ABC anmelden k nnen Ausgangssituation Sie legen im SafeGuard Management Center das gew nschte Verhalten fest SafeGuard Enterprise wird in der Nacht auf allen Endpoints installiert Am Morgen sollen sich die Benutzer an ihrem Computer anmelden k nnen 1 Weisen Sie im SafeGuard Management Center Benutzer_a Benutzer_b Benutzer_c dem Computer Computer_ABC zu Benutzer amp Computer gt Computer_ABC ausw hlen gt Benutzer via Drag amp Drop zuweisen Damit haben Sie eine UMA festgelegt 2 Setzen Sie in einer Richtlinie vom Typ Spezifische Computereinstellungen die Einstellung Registrieren von neuen SGN Benutzern erlauben auf Niemand Da es Benutzer_a Benutzer_b Benutzer_c nicht erlaubt werden soll Benutzer hinzuzuf gen ist es nicht notwendig einen Benutzer als Besitzer festzulegen 3 Weisen Sie die Richtlinie dem Computer zu bzw an einer Stelle in der Verzeichnisstruktur zu wo sie f r den Computer wirksam wird Bei der Anmeldung de
439. t Center eine Warnungsmeldung angezeigt Das SafeGuard Management Center wird ge ffnet und zeigt den Lizenzstatus berblick in der Registerkarte Lizenzen des Bereichs Benutzer amp Computer Auch hier informiert Sie eine Warnungsmeldung dar ber dass die Lizenz ung ltig ist ber die detaillierten Informationen zur Lizenzdatei l sst sich ermitteln f r welches Modul die Anzahl an verf gbaren Lizenzen berschritten wurde Durch Verl ngerung Erneuerung oder Erweiterung der Lizenz l sst sich dieser Lizenzstatus ndern Ung ltige Lizenz Fehler Wird der in der Lizenz festgelegte Toleranzwert f r die Anzahl an Lizenzen oder die G ltigkeitsdauer berschritten so zeigt das SafeGuard Management Center eine Fehlermeldung an Im SafeGuard Management Center wird die bertragung von Richtlinien auf die Endpoint Computer deaktiviert 27 SafeGuard Enterprise 28 In der Registerkarte Lizenzen im Bereich Benutzer amp Computer wird eine Fehlermeldung angezeigt ber die detaillierten Informationen zur Lizenzdatei l sst sich ermitteln f r welches Modul die Anzahl an verf gbaren Lizenzen berschritten wurde Um die Einschr nkung der Funktionalit t aufzuheben habe Sie folgende M glichkeiten m Lizenzen umverteilen Um ausreichend verf gbare Lizenzen zu erhalten k nnen Sie die Software auf nicht genutzten Endpoints deinstallieren und diese somit dauerhaft aus der SafeGuard Enterprise Datenbank entfernen E Lizen
440. t Cookies dient Typischer Pfad C Documente und Finstellungen Benutzername Cookies lt Favorites gt Das Dateisystemverzeichnis das als allgemeines Repository f r die Favoriten des Benutzers dient Typischer Pfad C Documente und Einstellungen Benutzername Favoriten lt Local Application Data gt Das Dateisystemverzeichnis das als allgemeines Daten Repository f r lokale Applikationen ohne Roaming dient Typischer Pfad C Dokumente und 185 SafeGuard Enterprise Pfad Platzhalter Betriebssystem Wert auf dem Endpoint Alle Windows TCE E TOR X Finstellungen Benutzername Lokale Finstellungen Anwendungsdaten lt Program Data gt Das Dateisystemverzeichnis das Anwendungsdaten f r alle Benutzer enth lt Typischer Pfad C Dokumente und Einstellungen Alle Benutzer Anwendungsdaten lt Program Files gt Der Programme Ordner Typischer Pfad Programme For 64 Bit Systeme wird dies auf zwei Regeln erweitert eine f r 32 Bit Anwendungen und eine f r 64 Bit Anwendungen lt Public Music gt Das Dateisystemverzeichnis das als allgemeines Repository f r Musikdateien f r alle Benutzer dient Typischer Pfad C Documente und Einstellungen Alle Benutzer Eigene Musik lt Public Pictures gt Windows Das Dateisystemverzeichnis das als allgemeines Repository f r Bilddateien f r alle Benutzer dient Typischer Pfad C Documente und Einstellungen Alle Benutzer Dateien Eigene Bilder lt
441. t das Unternehmenszertifikat der Umgebung in die er verschoben werden soll Andernfalls akzeptiert der Endpoint keine Richtlinien in der neuen Umgebung Die Vorg nge die zum Ersetzen des Unternehmenszertifikats notwendig sind k nnen im sowohl im SafeGuard Management Center als auch im SafeGuard Policy Editor ausgef hrt werden In der folgenden Beschreibung wird f r das SafeGuard Management Center und den SafeGuard Policy Editor der Begriff Management Konsole verwendet da der Vorgang des Ersetzens des Unternehmenszertifikats in beiden F llen identisch ist Folgende Voraussetzungen m ssen erf llt sein Legen Sie die Ausgangs und die Ziel Management Center Policy Editor Umgebung fest Die Ausgangs Management Konsole ist die die Sie f r das Erstellen der Konfigurationspakete f r die Endpoints die verschoben werden sollen benutzt haben Das Ziel ist die Management Konsole in die die Endpoints verschoben werden sollen 85 SafeGuard Enterprise 13 3 86 So ersetzen Sie das Unternehmenszertifikat l Exportieren Sie in der Ziel Management Konsole das Unternehmenszertifikat Klicken Sie im Men Extras auf Optionen Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im Bereich Unternehmenszertifikat auf Exportieren Wenn aufgefordert geben Sie ein Kennwort f r den Zertifikatsspeicher ein und best tigen Sie es und w hlen Sie das Zielverzeichnis und den Dateinamen Das Unternehmenszertifikat wird exportiert cer
442. t das alte Token Zertifikat unter Umst nden noch f r die Windows Anmeldung g ltig Solange das alte Zertifikat noch g ltig ist ist die Anmeldung an Windows noch m glich und der Computer kann entsperrt werden Um eine Anmeldung zu verhindern sperren Sie den Token Standby Zertifikate k nnen in folgenden F llen verwendet werden m ndern von durch kryptographische Token erzeugten Zertifikaten m Wechsel von automatisch erzeugten zu durch Token erzeugten Zertifikaten m Wechsel von Authentisierung per Benutzername Kennwort zur Authentisierung durch kryptographischen Token Kerberos Voraussetzungen m Der neue Token ist ausgestellt m Dem Benutzer ist nur ein Zertifikat zugewiesen m Sie haben das Zugriffsrecht Voller Zugriff f r den relevanten Benutzer So ndern Sie das Zertifikat f r die Token Anmeldung f r einen Benutzer 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Stecken Sie den Token an der USB Schnittstelle ein SafeGuard Enterprise liest den Token ein 3 W hlen Sie den Benutzer aus f r den Sie das Zertifikat ndern wollen und ffnen Sie im rechten Arbeitsbereich die Registerkarte Zertifikat 4 Klicken Sie in der Symbolleiste auf das Symbol f r die Aktion die Sie durchf hren m chten 225 SafeGuard Enterprise 27 7 4 226 5 W hlen Sie das relevante Zertifikat aus und geben Sie die Token PIN ein 6 Klicken Sie auf OK 7 bergeben Sie dem Benutzer den ne
443. t in der Datenbank zu speichern Der neue virtuelle Client wird im Aktionsbereich angezeigt Export von virtuellen Clients Nach dem Anlegen des virtuellen Client muss dieser in eine Datei exportiert werden Diese Datei hat immer die Bezeichnung recoverytoken tok und muss an den Helpdesk verteilt werden Beim Starten eines Challenge Response Verfahrens ber ein Recovery Tool z B bei einer besch digten SafeGuard POA muss diese Datei in der Endpoint Umgebung zur Verf gung stehen Der Benutzer muss die Datei recoverytoken tok im selben Verzeichnis ablegen in dem sich auch das Recovery Tool befindet damit ein Challenge Response Verfahren unterst tzt wird 1 Klicken Sie im SafeGuard Management Center auf Schl ssel und Zertifikate 2 Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients 3 Klicken Sie im Aktionsbereich auf das Lupensymbol um nach dem gew nschten virtuellen Client zu suchen Die verf gbaren virtuellen Clients werden angezeigt 4 W hlen Sie den gew nschten Eintrag im Aktionsbereich aus und klicken Sie in der Symbolleiste auf Virtuellen Client exportieren 5 W hlen Sie einen Speicherort f r die Datei recoverytoken tok und klicken Sie auf OK Eine entsprechende Meldung wird angezeigt 6 Verteilen Sie die virtuelle Client Datei recoverytoken tok an die betreffenden SafeGuard Enterprise Benutzer Der Benutzer sollte diese Datei an einem sicheren Speicherort speichern z B auf einem US
444. t werden k nnen Die maximale Dateigr e f r Informationstexte betr gt 50 KB SafeGuard Enterprise verwendet nur Unicode UTF 16 kodierte Texte Wenn Sie die Textdateien nicht in diesem Format erstellen werden sie bei der Registrierung automatisch in dieses Format konvertiert Bei der Verwendung von Sonderzeichen in den Informationstexten f r die SafeGuard POA sollte vorsichtig vorgegangen werden Einige dieser Zeichen werden u U nicht korrekt dargestellt So registrieren Sie Informationstexte 1 Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Informationstext und w hlen Sie Neu gt Text 2 Geben Sie unter Textelementname einen Namen f r den anzeigenden Text ein 3 W hlen Sie ber die Schaltfl che die zuvor erstellte Textdatei aus Wenn eine Konvertierung notwendig ist wird eine entsprechende Meldung angezeigt 4 Klicken Sie auf OK Das neue Textelement wird als Unterknoten des Eintrags Informationstext im Richtlinien Navigationsbereich angezeigt Ist ein Textelement markiert wird sein Inhalt im Aktionsbereich auf der rechten Seite angezeigt Das Textelement kann jetzt beim Erstellen von Richtlinien ausgew hlt werden Um weitere Textelemente zu registrieren gehen Sie wie beschrieben vor Alle registrierten Textelemente werden als Unterknoten angezeigt Hinweis Mit der Schaltfl che Text ndern k nnen Sie weiteren Text zum bestehenden Text hinzuf gen Wenn Sie auf diese Schaltfl ch
445. tallieren Sie vor der Installation eines neuen Konfigurationspakets auf dem Computer Server jeweils die veralteten Konfigurationspakete Administratorhilfe 15 1 Erzeugen eines Konfigurationspakets f r zentral verwaltete Endpoints Voraussetzungen va OU N e Pr fen Sie im Benutzer amp Computer Navigationsbereich in der Registerkarte Bestand ob f r die Endpoints die das neue Konfigurationspaket erhalten sollen ein Wechsel des Unternehmenszertifikats erforderlich ist Wenn das Feld Aktuelles Unternehmenszertifikat nicht aktiviert ist unterscheiden sich das derzeit aktive Unternehmenszertifikat in der SafeGuard Enterprise Datenbank und auf dem Computer voneinander Daher ist ein Wechsel des Unternehmenszertifikats erforderlich Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete W hlen Sie Pakete f r Managed Clients Klicken Sie auf Konfigurationspaket hinzuf gen Geben Sie einen beliebigen Namen f r das Konfigurationspaket ein Ordnen Sie einen prim ren SafeGuard Enterprise Server zu der sekund re Server ist nicht notwendig Falls erforderlich geben Sie eine Richtliniengruppe an die auf die Endpoints angewendet werden soll Diese m ssen Sie zuvor im SafeGuard Management Center erstellt haben Wenn Sie f r Aufgaben nach der Installation auf dem Endpoint Service Accounts verwenden m chten stellen Sie sicher dass die entsprechende Richtlinieneinstellung in dieser ersten
446. talliert ist EINSTELLUNGEN F R CREDENTIAL PROVIDERS Credential Provider Wrapping In SafeGuard Enterprise k nnen Sie konfigurieren dass ein anderer Credential Provider als der Windows Credential Provider verwendet wird Vorlagen f r die unterst tzten Credential Provider stehen auf Sophos com zum Download zur Verf gung Eine Liste mit Vorlage f r getestete Credential Provider sowie die Information zum Download erhalten Sie vom Sophos Support 161 SafeGuard Enterprise Richtlinieneinstellungen Erkl rung Mit Hilfe der Richtlinieneinstellung Credential Provider k nnen Sie eine Vorlage importieren und auf Endpoints anwenden Klicken Sie auf Vorlage importieren und suchen Sie nach der Vorlagendatei Die importierte Vorlage und deren Inhalt werden im mehrzeiligen Feld Credential Providerangezeigt und als Richtlinie eingestellt Um eine Vorlage zu l schen klicken Sie auf Vorlage l schen Hinweis Bearbeiten Sie die bereitgestellten Vorlagendateien nicht Wenn die XML Struktur dieser Dateien ge ndert wird werden die Einstellungen unter Umst nden auf dem Endpoint nicht erkannt Dann wird unter Umst nden der Standard Windows Credential Provider verwendet EINSTELLUNGEN F R DIE TOKENUNTERST TZUNG Token Middleware Modulname Registriert das PKCS 11 Modul eines Token Folgende Optionen stehen zur Verf gung mM Benutzerdefinierte PKCS 11 Einstellungen Activeldentity ActivClient Activeldentity A
447. tandalone Endpoints haben niemals eine Verbindung zum SafeGuard Enterprise Server sie laufen im Standalone Modus Die Computer erhalten ihre Richtlinien ber Konfigurationspakete F r den erfolgreichen Einsatz der Software m ssen Sie ein Konfigurationspaket mit den relevanten Richtliniengruppen erstellen und es ber unternehmenseigene Verteilungsmechanismen an die Endpoints verteilen Wenn Sie Richtlinieneinstellungen ndern m ssen Sie jeweils neue Konfigurationspakete erstellen und an die Endpoints verteilen Hinweis Konfigurationspakete f r Standalone Endpoints k nnen nur auf Windows Endpoints verwendet werden E Konfigurationspaket f r den SafeGuard Enterprise Server F r den erfolgreichen Einsatz der Software m ssen Sie ein Konfigurationspaket f r den SafeGuard Enterprise Server erstellen das die Datenbank sowie die SSL Verbindung definiert Scripting API aktiviert usw E Konfigurationspaket f r Macs ber dieses Konfigurationspaket erhalten Macs die Server Adresse und das Unternehmenszertifikat Die Macs bermitteln ihre Statusinformationen die dann im SafeGuard Management Center angezeigt werden F r Informationen zum Erstellen von Konfgurationspaketen f r Macs siehe Erzeugen eines Konfigurationspakets f r Macs Seite 293 Hinweis berpr fen Sie Ihr Netzwerk und Ihre Computer in regelm igen Abst nden auf veraltete oder nicht benutzte Konfigurationspakete und l schen Sie diese aus Sicherheitsgr nden Deins
448. te Versuch dazu dass der Computer gesperrt wird Meldungen zur fehlgeschlagenen Definiert die Detailebene f r Meldungen zu fehlgeschlagenen Anmeldung in der POA anzeigen Anmeldungen m Standard Zeigt eine kurze Beschreibung an m Verbose ausf hrlich Zeigt detaillierte Informationen an TOKEN OPTIONEN Aktion bei Verlust des Definiert das Verhalten nach dem Trennen des Token vom Anmeldestatus des Token Computer M gliche Aktionen sind 137 SafeGuard Enterprise Richtlinieneinstellung Erkl rung m Computer sperren m PIN Dialog anzeigen m Keine Aktion Freigabe des Token erlauben Bestimmt ob der Token bei der Anmeldung entsperrt werden darf OPTIONEN F R SPERRE DES GER TS Bildschirm nach X Minuten Bestimmt die Zeit nach deren berschreitung ein nicht mehr Leerlauf sperren benutzter Desktop automatisch gesperrt wird Der Standardwert betr gt 0 Minuten in diesem Fall erfolgt kein automatisches Schlie en Bei Entfernung des Token Bestimmt ob der Bildschirm gesperrt wird wenn w hrend Bildschirm sperren einer Arbeitssitzung der Token entfernt wird Bildschirm nach dem Fortsetzen Bestimmt ob der Bildschirm bei Reaktivierung aus dem sperren Standby Modus gesperrt wird 20 3 Anlegen von Listen verbotener PINs f r die Verwendung mit 138 Richtlinien F r Richtlinien des Typs PIN kann eine Liste mit verbotenen PINs angelegt werden Diese Liste definiert die
449. teisystemen verwendet werden k nnen Zeichen wie lt gt und sind nicht zul ssig Geben Sie nur g ltige Platzhalter ein F r eine Liste aller unterst tzten Platzhalter siehe Platzhalter f r Pfade in File Encryption Verschl sselungsregeln Seite 184 Hinweis Die Namen von Umgebungsvariablen werden durch das SafeGuard Management Center nicht berpr ft Sie m ssen nur auf dem Endpoint vorhanden sein Das Feld Pfad gibt immer einen Ordner an Sie k nnen keine Regel f r eine einzelne Datei festlegen Au erdem k nnen Sie keine Platzhalter f r Ordnernamen Dateinamen oder Dateierweiterungen verwenden Absolute und relative Regeln Sie k nnen absolute und relative Regeln definieren Eine absolute Regel definiert einen bestimmten Ordner zum Beispiel C encrypt Eine relative Regel enth lt keine UNC Server Freigabe Informationen Laufwerksbuchstaben oder Informationen zu bergeordneten Ordnern In einer relativen Regel wird zum Beispiel ein Pfad wie der folgende verwendet encrypt_sub In diesem Fall werden alle Dateien auf allen Laufwerken einschlie lich Speicherorte im Netzwerk die sich in einem Ordner mit der Bezeichnung enerypt__sub oder in einem untergeordneten Ordner befinden von der Regel abgedeckt Lange Ordnernamen und 8 3 Notation Geben Sie f r File Encryption Verschl sselungsregeln immer die langen Ordnernamen an da die 8 3 Bezeichnungen f r lange Ordnernamen von Computer zu Computer unterschiedlich
450. telement ausw hlen das im Richtlinien Navigationsbereich unter Informationstext registriert wurde Anzeigedauer in Sekunden Zeitraum in Sekunden f r die Anzeige zus tzlicher Informationen Sie k nnen hier die Anzahl der Sekunden eingeben nach denen die Textbox f r zus tzliche Informationen automatisch geschlossen wird Der Benutzer kann die Textbox jederzeit durch Klicken auf OK schlie en System Tray Icon aktivieren und anzeigen ber das SafeGuard Enterprise System Tray Icon kann auf dem Endpoint einfach und schnell auf alle Benutzerfunktionen zugegriffen werden Zus tzlich k nnen f r den Benutzer Informationen ber den Status des Endpoint neue Richtlinien erhalten usw ber Balloon Tool Tips ausgegeben werden Ja System Tray Icon wird im Infobereich der Taskleiste angezeigt der Benutzer wird ber Balloon Tool Tips laufend ber den Status des durch SafeGuard Enterprise gesch tzten Endpoint Nein System Tray Icon wird nicht angezeigt Keine Statusinformationen f r den Benutzer ber Ballon Tool Tips Stumm Administratorhilfe Richtlinieneinstellungen NETTE System Tray Icon wird im Infobereich der Taskleiste angezeigt es werden aber keine Statusinformationen f r den Benutzer ber Ballon Tool Tips ausgegeben Overlay Symbole im Explorer anzeigen Bestimmt ob im Windows Explorer Schl sselsymbole zur Anzeige des Verschl sselungsstatus von Volumes Ger ten Ordne
451. tellung als nicht konfiguriert ausgew hlt haben Setzen von Einstellungen auf Standardwerte In der Symbolleiste stehen folgende Symbole f r Richtlinieneinstellungen zur Verf gung Richtlinieneinstellung Zeigt Standardwerte f r Richtlinieneinstellungen an die nicht konfiguriert wurden Einstellung nicht konfiguriert Die Standardwerte f r Richtlinieneinstellungen werden standardm ig angezeigt Klicken Sie auf das Symbol um die Standardwerte auszublenden Setzt die markierte Richtlinieneinstellung auf nicht konfiguriert Setzt alle Richtlinieneinstellungen eines Bereichs auf nicht konfiguriert Setzt den Standardwert f r die markierte Richtlinieneinstellung Setzt alle Richtlinieneinstellungen eines Bereichs auf den Standardwert Unterscheidung zwischen maschinen und benutzerspezifischen Richtlinien Richtlinienfarbe blau Richtlinie wird nur f r Maschinen angewandt nicht f r Benutzer 89 SafeGuard Enterprise Richtlinienfarbe schwarz Richtlinie wird f r Maschinen und Benutzer angewandt 14 3 Richtliniengruppen 14 3 1 90 SafeGuard Enterprise Richtlinien k nnen in Richtliniengruppen zusammengefasst werden Eine Richtliniengruppe kann verschiedene Richtlinientypen enthalten Im SafeGuard Management Center steht eine Default Richtliniengruppe zur Verf gung die standardm ig unter Benutzer und Computer zu Stamm zugewiesen wird Wenn Sie Richtlinien vom selben Typ in einer Gruppe
452. ten E auf den Autoregistriert Knoten im Stammverzeichnis oder in Dom nen oder E auf einen Organisationseinheitenknoten 3 W hlen Sie aus dem Kontextmen den Befehl Pers nliche Schl ssel f r Benutzer erzeugen 4 F hren Sie im Dialog Pers nliche Schl ssel f r Benutzer erzeugen folgende Schritte durch a Geben Sie eine Beschreibung f r die pers nlichen Schl ssel ein b Um die pers nlichen Schl ssel im Schl sselring der Benutzer zu verbergen w hlen Sie Schl ssel verbergen c Um vorhandene aktive Schl ssel durch neue zu ersetzen w hlen Sie Vorhandene aktive pers nliche Schl ssel ersetzen 5 Klicken Sie auf OK F r alle Benutzer im ausgew hlten Knoten werden pers nliche Schl ssel erzeugt In der Registerkarte Schl ssel werden die Schl ssel als Aktive pers nliche Schl ssel f r die Benutzer angezeigt Wenn Benutzer bereits zuvor einen aktiven pers nlichen Schl ssel hatten und Sie Vorhandene aktive pers nliche Schl ssel ersetzen gew hlt haben werden die vorhandenen Schl ssel zur ckgestuft und die Benutzer erhalten neue Die zur ckgestuften pers nlichen Schl ssel verbleiben in den Schl sselringen der Benutzer Die einzelnen aktiven pers nlichen Schl ssel k nnen anderen Benutzern nicht zugewiesen werden Zur ckstufen von aktiven pers nlichen Schl sseln Um aktive pers nliche Schl ssel zur ckzustufen ben tigen Sie die Rechte Schl ssel ndern und Pers nliche Schl ssel verwalten Das R
453. ten angelegt Dieses Konto wird bei der ersten Anmeldung an das SafeGuard Management Center ben tigt Um das SafeGuard Management Center zu starten ben tigt der Benutzer das Kennwort f r den Zertifikatsspeicher sowie den privaten Schl ssel des Zertifikats Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung Die Anmeldung richtet sich danach ob Sie das SafeGuard Management Center mit einer Verbindung zu einer Datenbank Single Tenancy oder zu mehreren Datenbanken Multi Tenancy einsetzen Hinweis Zwei Sicherheitsbeauftragte d rfen nicht das gleiche Windows Konto auf einem Computer benutzen Andernfalls lassen sich ihre Zugriffsrechte nicht sauber trennen Warnung bei Ablauf des Unternehmenszertifikats Sechs Monate vor Ablauf des Unternehmenszertifikats zeigt das SafeGuard Management Center bei der Anmeldung eine Warnung an und fordert Sie dazu auf das Zertifikat zu erneuern und an die Endpoints zu bertragen Ohne g ltiges Unternehmenszertifikat k nnen Endpoints keine Verbindung mit dem Server herstellen Sie k nnen das Unternehmenszertifikat jederzeit erneuern Dies ist auch dann m glich wenn das Unternehmenszertifikat bereits abgelaufen ist Wenn ein Unternehmenszertifikat abgelaufen ist wird dies auch durch eine Meldung angegeben F r Informationen zum Erneuern des Unternehmenszertifikats siehe Erneuern des Unternehmenszertifikats Seite 84 4 2 Anmeldung im Single Tenancy Modus
454. teter BitLocker Verschl sselung w hlen Die BIOS Version verwendet den BitLocker eigenen Wiederherstellungsmechanismus Hinweis Wenn in diesem Handbuch von SafeGuard Power on Authentication oder SafeGuard Festplattenverschl sselung die Rede ist dann bezieht sich das nur auf Windows 7 BIOS Endpoints E F r UFFI Systeme verwenden Sie die von SafeGuard Enterprise verwaltete BitLocker Verschl sselung f r die Festplattenverschl sselung F r diese Endpoints bietet SafeGuard Enterprise verbesserte Challenge Response Funktionalit ten N here Informationen bez glich der unterst tzten UEFI Versionen und Einschr nkungen zur SafeGuard BitLocker Challenge Response Unterst tzung entnehmen Sie bitte den Versionsinfos unter http downloads sophos com readmes readsgn_61_eng html Hinweis Wenn sich die Beschreibung nur auf UEFI bezieht ist das explizit angegeben Die Tabelle zeigt welche Komponenten verf gbar sind SafeGuard SafeGuard Power BitLocker mit SafeGuard C R Fesiplllenversch ssdung On Authentication Pre Boot Wiederherstellung mit SafeGuard POA mit C R Authentication f r BitLocker Power on Recovery PBA von Pre Boot Authentication SafeGuard Authentication POA verwaltet 2 7 V Windows 7 JA JA JA BIOS Windows 7 JA UEFI Windows 8 UEFI Windows 8 BIOS SafeGuard Festplattenverschl sselung Ein Kernst ck von SafeGuard Enterprise ist die Verschl sselung von Daten auf unterschiedlichen Datentr gern Di
455. timmte Gruppe geltenden Einstellungen relevant sind setzt die Service Account Liste in der zuletzt angewandten Richtlinie alle zuvor zugewiesenen Service Account Listen au er Kraft Service Account Listen werden nicht zusammengef hrt Um das RSOP unter Benutzer amp Computer einzusehen brauchen Sie zumindest das Zugriffsrecht Schreibgesch tzt f r die relevanten Objekte bertragen der Richtlinie an den Endpoint Service Account Listen sind w hrend der Installation in der Rollout Phase einer Implementation besonders hilfreich und wichtig Es wird daher empfohlen die Service Account Einstellungen unmittelbar nach der Installation an den Endpoint zu bertragen Um die Service Account Liste zu diesem Zeitpunkt auf dem Endpoint zur Verf gung zu stellen nehmen Sie in das erste Konfigurationspaket das Sie zur Konfiguration des Endpoint nach der Installation erstellen eine Richtlinie vom Typ Authentisierung mit den entsprechenden Einstellungen auf Sie k nnen die Einstellungen f r die Service Account Liste jederzeit ndern eine neue Richtlinie erstellen und diese an die Endpoints bertragen Anmeldung auf einem Endpoint mit einem Service Account Bei der ersten Windows Anmeldung nach dem Neustart des Endpoint meldet sich ein Benutzer der auf einer Service Account Liste aufgef hrt ist an dem Endpoint als SafeGuard Enterprise Gastbenutzer an Diese erste Windows Anmeldung an diesem Endpoint l st weder eine ausstehende Aktivierung der S
456. tion anzeigen die Option Definierter Name ausgew hlt k nnen Sie in diesem Eingabefeld den Text eingeben Rechtliche Hinweise anzeigen Zeigt eine Textbox mit frei konfigurierbarem Inhalt an die vor der Anmeldung in der SafeGuard POA erscheint In manchen L ndern ist das Erscheinen eines Textfelds mit bestimmtem Inhalt gesetzlich vorgeschrieben Die Box muss vom Benutzer best tigt werden bevor das System fortf hrt 159 SafeGuard Enterprise 160 Richtlinieneinstellungen NETTE Bevor Sie einen Text angeben k nnen muss dieser als Textelement im Richtlinien Navigationsbereich unter Informationstext registriert werden Text f r rechtliche Hinweise Text der als rechtlicher Hinweis angezeigt werden soll Sie k nnen hier ein Textelement ausw hlen das im Richtlinien Navigationsbereich unter Informationstext registriert wurde Zus tzliche Informationen anzeigen Zeigt eine Textbox mit frei konfigurierbarem Inhalt an die nach den rechtlichen Hinweisen wenn diese aktiviert sind erscheint Sie k nnen festlegen ob die zus tzlichen Informationen angezeigt werden u Nie m Bei jedem Systemstart m Bei jeder Anmeldung Bevor Sie einen Text angeben k nnen muss dieser als Textelement im Richtlinien Navigationsbereich unter Informationstext registriert werden Text f r zus tzliche Informationen Text der als zus tzliche Information angezeigt werden soll Sie k nnen hier ein Tex
457. tionen siehe Service Account Listen f r die Windows Anmeldung Seite 115 E POA Benutzer f r die Anmeldung an der SafeGuard POA POA Benutzer sind vordefinierte lokale Benutzerkonten die es Benutzern z B Mitgliedern des IT Teams erm glichen sich nach der Aktivierung der SafeGuard POA an Endpoints zur Ausf hrung administrativer Aufgaben anzumelden SafeGuard POA Anmeldung Diese Benutzerkonten werden im Bereich Benutzer amp Computer des SafeGuard Management Center definiert Benutzername und Kennwort und werden den Endpoints ber POA Gruppen in Konfigurationspaketen zugewiesen F r weitere Informationen siehe POA Benutzer f r die Anmeldung an der SafeGuard POA Seite 120 Administratorhilfe 18 Service Account Listen f r die Windows Anmeldung Hinweis Service Accounts werden nur von Windows Endpoints unterst tzt die von SafeGuard Enterprise mit SafeGuard Power on Authentication gesch tzt werden Bei den meisten Implementationen von SafeGuard Enterprise installiert zun chst ein Rollout Team neue Computer in einer Umgebung Danach folgt die Installation von SafeGuard Enterprise Zu Installations und Pr fungszwecken meldet sich der Rollout Beauftragte dann am jeweiligen Computer an bevor der Endbenutzer diesen erh lt und die M glichkeit hat die SafeGuard Power on Authentication zu aktivieren So ergibt sich folgendes Szenario 1 SafeGuard Enterprise wird auf einem Endpoint installiert 2 Nach dem Neustart
458. tionspaket MSI auf dem SafeGuard Enterprise Server installieren m chten deinstallieren Sie zun chst das veraltete Konfigurationspaket L schen Sie dar ber hinaus den Local Cache manuell so dass er mit den neuen Konfigurationsdaten z B SSL Einstellungen aktualisiert werden kann Installieren Sie dieses Konfigurationspaket auf dem Server 33 SafeGuard Enterprise 34 8 2 Registrieren und Konfigurieren des SafeGuard Enterprise Servers f r einen anderen Computer Wenn der SafeGuard Enterprise Server auf einem anderen Computer als das SafeGuard Management Center installiert wurde registrieren und konfigurieren Sie den SafeGuard Enterprise Server 7 8 1 Starten Sie das SafeGuard Management Center 2 Klicken Sie im Extras Men auf Konfigurationspakete 3 4 Klicken Sie unter Serverregistrierung auf die Schaltfl che um das Maschinenzertifikat W hlen Sie die Registerkarte Server und klicken Sie auf Hinzuf gen des Servers auszuw hlen Es wird bei der Installation des SafeGuard Enterprise Servers erzeugt Sie finden es standardm ig im Verzeichnis MachCert des SafeGuard Enterprise Server Installationsverzeichnisses Es tr gt den Dateinamen lt Computername gt cer Wenn der SafeGuard Enterprise Server auf einem anderen Computer als das SafeGuard Management Center installiert ist muss diese cer Datei als Kopie oder Netzwerkfreigabe zugreifbar sein W hlen Sie nicht das MSO Zertifikat Der Fully Qua
459. tlinien des Typs Ger teschutz f r dateibasierende Verschl sselung ausw hlen Somit k nnen Sie Verschl sselungsrichtlinien f r spezifische Ger temodelle und sogar f r spezifische Ger te erstellen Damit Sie eine White List als Ziel f r eine Ger teschutz Richtlinie ausw hlen k nnen m ssen Sie die Liste im SafeGuard Management Center anlegen Sie k nnen White Lists f r spezifische Ger temodelle z B iPod USB Ger te eines bestimmten Herstellers usw oder f r einzelne Ger te nach Seriennummer definieren Sie k nnen die Ger te manuell zu den White Lists hinzuf gen oder die Ergebnisse eines SafeGuard Port Auditor Scan Vorgangs verwenden Weitere Informationen finden Sie im SafeGuard PortAuditor User Guide Sie k nnen dann die White List als Ziel beim Anlegen einer Richtlinie vom Typ Ger teschutz ausw hlen Hinweis Wenn Sie eine White List f r eine Richtlinie vom Typ Ger teschutz als Ziel ausw hlen k nnen Sie als Verschl sselungsmodus f r Medien nur Keine Verschl sselung oder Dateibasierend ausw hlen Wenn Sie Keine Verschl sselung f r eine Ger teschutz Richtlinie mit einer White List ausw hlen wird durch diese Richtlinie ein Ger t dann nicht von der Verschl sselung ausgenommen wenn eine andere geltende Richtlinie die volume basierende Verschl sselung fordert Hinweis F r Block Master SafeStick gelten spezielle Anforderungen Diese Ger te haben f r Administratoren und Benutzer ohne Administratorrechte u
460. triebssystemsprache in SafeGuard Enterprise nicht zur Verf gung wird standardm ig die englische Version von SafeGuard Enterprise angezeigt m Wenn eine der zur Verf gung stehenden Sprachen gew hlt wird werden die SafeGuard Enterprise Funktionen auf dem Endpoint in der ausgew hlten Sprache angezeigt 13 SafeGuard Enterprise 14 5 5 1 5 2 Konfigurieren des SafeGuard Management Center Nach der Installation m ssen Sie das SafeGuard Management Center konfigurieren Der SafeGuard Management Center Konfigurationsassistent unterst tzt Sie bei der Erstkonfiguration durch Hilfestellung bei der Definition der grundlegenden SafeGuard Management Center Einstellungen sowie bei der Konfiguration der Datenbankverbindung Der Assistent wird automatisch aufgerufen wenn Sie das SafeGuard Management Center zum ersten Mal nach der Installation starten Sie k nnen das SafeGuard Management Center f r die Anwendung mit einer oder mehreren Datenbank Multi Tenancy konfigurieren Hinweis Die folgenden Schritte m ssen mit dem Konfigurationsassistenten sowohl f r Single Tenancy als auch f r Multi Tenancy Konfigurationen ausgef hrt werden Voraussetzungen Folgende Voraussetzungen m ssen erf llt sein E Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen Mm Halten Sie die folgenden Informationen bereit Diese erhalten Sie ggf von Ihrem SQL Administrator m SQL Anmeldeinformationen m Name des SQL Ser
461. ts unterst tzt Mit diesem Verfahren k nnen Benutzer wieder Zugriff auf verschl sselte Volumes auf Ihren Endpoints erlangen Komponenten F r die Benutzung von Token Smartcards in Verbindung mit SafeGuard Enterprise sind folgende Komponenten erforderlich m Token Smartcard m Token Smartcard Leseger t m Token Smartcard Treiber m Token Smartcard Middleware PKCS 11 Modul USB Token 215 SafeGuard Enterprise 27 2 1 27 2 2 27 2 3 216 USB Token bestehen aus einer Smartcard und einem Smartcard Leser wobei sich die beiden Einheiten in einem Geh use befinden F r die Benutzung von USB Token ist ein USB Port erforderlich Token Smartcards Leseger te und Treiber E Windows Auf Windows Betriebssystemebene werden PC SC kompatible Kartenleser unterst tzt Die PC SC Schnittstelle regelt die Kommunikation zwischen Computer und Smartcard Viele dieser Kartenleser sind bereits Teil der Windows Installation Smartcards ben tigen PKCS 11 kompatible Smartcard Treiber damit sie von SafeGuard Enterprise unterst tzt werden k nnen E Power on Authentication aktivieren An der SafeGuard Power on Authentication wird die PC SC Schnittstelle unterst tzt die die Kommunikation zwischen Computer und Smartcard regelt Die unterst tzten Smartcard Treiber sind fest implementiert und die Benutzer k nnen keine zus tzlichen Treiber hinzuf gen Die passenden Smartcard Treiber m ssen ber eine Richtlinie in SafeGuard Enterprise
462. tsgruppen oder Standalone Endpoints deaktiviert Protokollierung Vom BitLocker Client gemeldete Ereignisse werden wie f r alle anderen SafeGuard Enterprise Clients protokolliert Dabei wird nicht explizit erw hnt dass sich das Ereignis auf einen BitLocker Client bezieht Die Berichte entsprechen den f r jeden anderen SafeGuard Enterprise Client erzeugten Berichten FileVault 2 Festplattenverschl sselung FileVault 2 ist eine in OS X eingebaute Verschl sselungstechnogie die das ganze Laufwerk sch tzt und von SafeGuard Enterprise verwaltet werden kann FileVault 2 Festplattenverschl sselung mit SafeGuard Enterprise verwalten Mit SafeGuard Enterprise k nnen Sie FileVault 2 Festplattenverschl sselung vom SafeGuard Management Center aus verwalten wie einen nativen SafeGuard Enterprise Client Die SafeGuard Enterprise Client Installation beinhaltet nicht auch die Komponente f r die Verwaltung von FileVault 2 Sie muss separat installiert werden N here Informationen finden Sie in der Sophos SafeGuard Disk Encryption for Mac Dokumentation Die zentrale und vollst ndig transparente Verwaltung von FileVault 2 durch SafeGuard Enterprise erm glicht die Anwendung in heterogenen IT Umgebungen Sicherheitsrichtlinien f r verschiedene Plattformen k nnen zentral ausgerollt werden Verwalten von FileVault 2 Endpoints im SafeGuard Management Center Im SafeGuard Management Center lassen sich FileVault 2 Endpoints wie andere native Safe
463. tur aufbauen oder importieren E Sicherheitsbeauftragte anlegen E Richtlinien definieren E Konfigurationen exportieren und importieren E Computer mit einer umfassenden Protokollierungsfunktionalit t berwachen E Kennw rter und den Zugriff auf verschl sselte Endpoints wiederherstellen Mit dem SafeGuard Management Center wird Multi Tenancy f r die Verwaltung von mehreren Dom nen und Datenbanken unterst tzt Sie k nnen verschiedene SafeGuard Enterprise Datenbanken verwalten und unterschiedliche Konfigurationen verwenden Der Zugriff auf das SafeGuard Management Center ist nur privilegierten Benutzern den Sicherheitsbeauftragten erlaubt Es k nnen mehrere Sicherheitsbeauftragte gleichzeitig mit den Daten arbeiten Die verschiedenen Sicherheitsbeauftragten k nnen entsprechend den ihnen zugewiesenen Rollen und Rechten T tigkeiten ausf hren Sie k nnen die SafeGuard Enterprise Richtlinien und Einstellungen an Ihre Anforderungen anpassen Nach dem Speichern der neuen Einstellungen in der Datenbank k nnen diese an die Endpoints bertragen werden wo sie dann wirksam werden Hinweis Einige Features sind nicht in allen Lizenzen enthalten F r Informationen dazu was in Ihrer Lizenz enthalten ist wenden Sie sich an Ihren Vertriebspartner SafeGuard Enterprise 10 4 Anmelden am SafeGuard Management Center 4 1 W hrend der Erstkonfiguration von SafeGuard Enterprise wird ein Konto f r einen Haupt Sicherheitsbeauftrag
464. tzen weiterzugeben k nnen Sie SafeGuard Portable benutzen F r SafeGuard Portable ist die Verwendung von lokalen Schl sseln oder einer Medien Passphrase erforderlich Lokale Schl ssel SafeGuard Data Exchange unterst tzt die Verschl sselung mit lokalen Schl sseln Lokale Schl ssel werden auf dem Benutzercomputer erzeugt und k nnen zur Verschl sselung von Wechselmedien benutzt werden Die Schl ssel werden durch Eingabe einer Passphrase erstellt In der SafeGuard Enterprise Datenbank wird jeweils eine Sicherungskopie des lokalen Schl ssels erstellt Hinweis Ein Benutzer ist standardm ig dazu berechtigt lokale Schl ssel zu erzeugen Sollen Benutzer nicht dazu berechtigt sein so m ssen Sie diese Option explizit deaktivieren Dies muss in einer Richtlinie vom Typ Ger teschutz mit Lokale Datentr ger als Ziel des Ger teschutzes festgelegt werden Allgemeine Einstellungen gt Benutzer darf einen lokalen Schl ssel erzeugen gt Nein Administratorhilfe 24 3 Werden lokale Schl ssel zum Verschl sseln von Dateien auf Wechselmedien verwendet lassen sich diese Dateien auf einem Computer ohne SafeGuard Data Exchange mit SafeGuard Portable entschl sseln Beim ffnen der Dateien mit SafeGuard Portable wird der Benutzer dazu aufgefordert die Passphrase einzugeben die beim Erzeugen des Schl ssels angegeben wurde Wenn dem Benutzer die Passphrase bekannt ist kann er die Datei ffnen Mit SafeGuard Portable erh lt jeder Be
465. tzer_b existiert nun als kompletter Benutzer in SafeGuard Enterprise Er kann sich bei der n chsten Anmeldung in der SafeGuard POA authentisieren und wird automatisch angemeldet Es wurde in der Computerrichtlinie zwar festgelegt dass auf diesem Computer niemand Benutzer importieren darf da sie sich aber bereits in der UMA befinden k nnen Benutzer_b und Benutzer_c durch die Windows Anmeldung dennoch komplettiert und in der SafeGuard POA aktiviert werden Alle anderen Benutzer werden nicht in die UMA aufgenommen und k nnen sich daher niemals an der SafeGuard Power on Authentication authentisieren Alle Benutzer die sich an Windows anmelden und nicht Benutzer_a Benutzer_b oder Benutzer_c sind werden in diesem Szenario nicht in die UMA aufgenommen und daher auch nie in der SafeGuard POA aktiv Sie k nnen im SafeGuard Management Center sp ter weitere Benutzer hinzuf gen Allerdings steht ihr Schl sselring nach der ersten Anmeldung noch nicht zur Verf gung da eine Synchronisierung erst durch diese Anmeldung angesto en wird Nach einer erneuten Anmeldung steht auch der Schl sselring zur Verf gung und die Benutzer k nnen entsprechend den geltenden Richtlinien auf den Computer zugreifen Haben sie sich zuvor noch an keinem Endpoint erfolgreich angemeldet k nnen sie wie zuvor beschrieben aufgenommen werden Benutzer sperren Durch Ausw hlen des Kontrollk stchens in der Spalte Benutzer sperren wird dem Benutzer die Anmeldung an diesem
466. uard Management Center aktiviert werden werden kumuliert Sie k nnen eine allgemeine File Encryption Richtlinie mit Regeln die f r alle Benutzer relevant sind am Stammverzeichnisknoten und Richtlinien f r spezifischere Anforderungen an den einzelnen Unterknoten zuweisen Alle Regeln aus allen Richtlinien die Benutzern Computern zugewiesen sind werden kumuliert und treten auf dem Endpoint in Kraft File Encryption Richtlinien im RSOP Wenn f r einen Benutzer Computer mehrere File Encryption Richtlinien gelten zeigt die Registerkarte RSOP Resulting Set of Policies unter Benutzer amp Computer die Summe aller File Encryption Verschl sselungsregeln aus allen File Encryption Richtlinien an Die Regeln werden in der Reihenfolge ihrer Evaluierung auf dem Endpoint Computer sortiert siehe Reihenfolge der Evaluierung von File Encryption Verschl sselungsregeln auf Endpoints Seite 190 Die Spalte Name der Richtlinie gibt an woher die einzelnen Regeln stammen F r doppelte Regeln wird die zweite und dritte usw Regel mit einem Symbol markiert Dieses Symbol bietet auch einen Tooltip der Sie informiert das die Regel auf dem Endpoint verworfen wird da sie ein Duplikat einer Regel mit einer h heren Priorit t ist Reihenfolge der Evaluierung von File Encryption Verschl sselungsregeln auf Endpoints File Encryption Verschl sselungsregeln werden auf Endpoints in einer Reihenfolge sortiert die bewirkt dass genauer definierte Speiche
467. uard Management Center oder auf einem anderen Computer installiert ist Sie k nnen auch weitere Eigenschaften festlegen So lassen sich z B zus tzliche Sicherheitsbeauftragte f r den ausgew hlten Server hinzuf gen Sie k nnen auch die Verbindung zur Datenbank konfigurieren Registrieren und Konfigurieren des SafeGuard Enterprise Server f r den aktuellen Computer Wenn Sie das SafeGuard Management Center und SafeGuard Enterprise Server auf dem Computer mit dem Sie derzeit arbeiten installiert haben registrieren und konfigurieren Sie den SafeGuard Enterprise Server Hinweis Wenn Multi Tenancy installiert ist steht diese Option nicht zur Verf gung 1 Starten Sie das SafeGuard Management Center 2 Klicken Sie im Extras Men auf Konfigurationspakete 3 W hlen Sie die Registerkarte Server und klicken Sie auf Diesen Computer zum SGN Server machen 4 W hlen Sie die Registerkarte Server und klicken Sie auf Optionen Das SafeGuard Enterprise Server Configuration Setup wird automatisch gestartet 5 bernehmen Sie in allen folgenden Dialogen die Standardeinstellungen Der SafeGuard Enterprise Server ist installiert Ein Server Konfigurationspaket mit der Bezeichnung lt Server gt msi wird erstellt und direkt auf dem aktuellen Computer installiert Die Serverinformationen werden in der Registerkarte Server angezeigt Sie k nnen zus tzliche Konfigurationsschritte durchf hren Hinweis Wenn Sie ein neues Server Konfigura
468. uen Benutzer erstellen Der Dialog Neuen Benutzer erstellen wird angezeigt 4 Geben Sie im Feld Vollst ndiger Name einen Namen den Anmeldenamen f r den neuen POA Benutzer ein 5 Optional k nnen Sie eine Beschreibung f r den neuen POA Benutzer eingeben 6 Geben Sie ein Kennwort f r den neuen POA Benutzer ein und best tigen Sie es Hinweis Aus Sicherheitsgr nden sollte das Kennwort bestimmten Mindest Komplexit tsanforderungen entsprechen Zum Beispiel sollte es eine Mindestl nge von 8 Zeichen haben und sowohl aus numerischen als auch alphanumerischen Zeichen bestehen Ist das hier eingegebene Kennwort zu kurz so wird eine entsprechende Warnungsmeldung angezeigt 7 Klicken Sie auf OK Administratorhilfe 19 2 19 3 19 4 Der neue POA Benutzer wird angelegt und unter POA Benutzer im Benutzer amp Computer Navigationsbereich angezeigt ndern des Kennworts f r einen POA Benutzer F r das Bearbeiten von POA Benutzern und POA Gruppen ben tigen Sie das Zugriffsrecht Voller Zugriff f r den POA Knoten unter Benutzer amp Computer 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Benutzer amp Computer Navigationsfenster unter POA POA Benutzer den relevanten POA Benutzer 3 W hlen Sie im Kontextmen des POA Benutzers den Befehl Eigenschaften Der Eigenschaften Dialog f r den POA Benutzer wird angezeigt 4 Geben Sie in der Registerk
469. uen Token Das Zertifikat wird dem Benutzer als Standby Zertifikat zugewiesen Dies wird durch eine H kchen in der Spalte Standby in der Zertifikate Registerkarte des Benutzers angegeben Nach der Synchronisierung zwischen dem Endpoint und dem SafeGuard Enterprise Server gibt der Status Dialog auf dem Endpoint an dass dieser Bereit f r Zertifikatwechsel ist Der Benutzer muss nun einen Zertifikatwechsel auf dem Endpoint Computer initiieren Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Benutzerhilfe Nach dem Zertifikatwechsel auf dem Endpoint wird das Zertifikat w hrend der n chsten Synchronisierung auch auf dem SafeGuard Enterprise Server erneuert Dadurch wird das alte Zertifikat aus der Zertifikate Registerkarte des Benutzers im SafeGuard Management Center entfernt Der neue Token ist nun der Standard Token f r den Benutzer Hinweis Im SafeGuard Management Center k nnen beide Zertifikate separat gel scht werden Ist nur ein Standby Zertifikat verf gbar so wird das n chste Zertifikat als Standardzertifikat zugewiesen Importieren eines Zertifikats aus einer Datei auf einen Token Voraussetzung Der Token ist ausgestellt F r einen Token mit Kerberos Unterst tzung f r zentral verwaltete Endpoints m ssen Sie diesen Vorgang ausw hlen Das Zertifikat muss von SafeGuard Enterprise erkannt werden und auf den Token aufgebracht werden Falls bereits ein automatisch generiertes Zertifikat existiert wird es du
470. uf hren w hlen Sie W chentlich und geben Sie den gew nschten Tag in der Woche an E Um den Task monatlich auszuf hren w hlen Sie Monatlich und geben Sie den gew nschten Tag im Monat aus einem Bereich von 1 bis 31 an Um den Task am letzten Tag des Monats auszuf hren w hlen Sie Letzter aus der Dropdownliste Wenn Sie alle obligatorischen Felder ausgef llt haben wird die Schaltfl che OK aktiv 9 Klicken Sie auf OK Der Task wird in der Datenbank gespeichert und in der Taskplaner bersicht angezeigt Er wird gem dem angegebenen Plan auf dem ausgew hlten Server ausgef hrt Die Taskplaner bersichtanzeige Nachdem Sie Tasks zur Ausf hrung auf einem SafeGuard Enterprise Server erstellt haben werden diese im Dialog Taskplaner angezeigt den Sie ber Extras gt Taskplaner ffnen Administratorhilfe Dieser Dialog zeigt die folgenden Spalten f r die einzelnen Tasks Task Name Beschreibung Zeigt den eindeutigen Task Namen SGN Server Geplante Ausf hrung Gibt an auf welchem Server der Task ausgef hrt wird Zeigt den f r den Task definierten Zeitplan inklusive Wiederholung und Zeit N chste Ausf hrung Zeigt an wann der Task zum n chsten Mal ausgef hrt wird Datum und Uhrzeit Wenn f r diesen Task keine weiteren Ausf hrungen vorgesehen sind wird in dieser Spalte Keine angezeigt Letzte Ausf hrung Ergebnis der letzten Ausf hrung Zeigt an wann der Task zum letzten
471. uf das Symbol Aktualisierung anfordern in der Symbolleiste klicken bertragen die jeweiligen Endpoint Computer ihre aktuellen Bestandsinformationen Wie auch in anderen Bereichen des SafeGuard Management Center k nnen Sie die Anzeige mit dem Befehl Aktualisieren aktualisieren Sie k nnen diesen Befehl aus dem Kontextmen f r einzelne Computer oder alle Computer in einem Knoten ausw hlen Der Befehl steht au erdem im Ansicht Men in der Men leiste zur Verf gung Zur Aktualisierung der Ansicht k nnen Sie auch das Doppelpfeilsymbol Aktualisieren in der Symbolleiste w hlen berblick Die einzelnen Spalten der bersicht zeigen folgende Informationen Hinweis Einige Spalten sind standardm ig ausgeblendet Sie k nnen diese in der Anzeige einblenden F r weitere Informationen siehe Anzeigen ausgeblendeter Spalten Seite 264 Erkl rung Computername Zeigt den Namen des Computers Dom ne Zeigt den Dom nennamen des Computers Dom ne Pr 2000 Zeigt den Dom nennamen des Computers vor Windows 2000 Benutzername Besitzer Zeigt den Benutzernamen des Besitzers des Computers falls verf gbar Vorname Zeigt den Vornamen des Besitzers falls verf gbar Nachname Zeigt den Nachnamen des Besitzers falls verf gbar E Mail Adresse Zeigt die E Mail Adresse des Besitzers falls verf gbar Weitere registrierte Benutzer Zeigt die Namen von weiteren registrierten Benutzern des Computers falls verf gbar Bet
472. uf dem Endpoint erzeugt und kann direkt nach Abschluss der Installation f r die Verschl sselung verwendet werden Der Schl ssel steht als vordefinierter Schl ssel im Schl sselring des Benutzers zur Verf gung und wird in Dialogen f r die Schl sselauswahl als lt Benutzername gt angezeigt Falls verf gbar werden die Medienverschl sselungsschl ssel auch f r alle initialen Verschl sselungsvorg nge verwendet Best Practice Dieser Abschnitt beschreibt einige typische Anwendungsf lle f r SafeGuard Data Exchange und deren Umsetzung durch Erstellen der entsprechenden Richtlinien Bob und Alice sind zwei Mitarbeiter des gleichen Unternehmens und haben beide SafeGuard Data Exchange installiert Joe ist ein externer Partner Auf seinem Computer ist SafeGuard Enterprise nicht installiert Unternehmensinterne Anwendung Bob m chte verschl sselte Daten auf Wechselmedien an Alice weitergeben Beide geh ren derselben Gruppe an und haben daher den entsprechenden Gruppenschl ssel in ihrem SafeGuard Enterprise Schl sselring Da sie den Gruppenschl ssel benutzen k nnen sie transparent auf die verschl sselten Dateien zugreifen ohne eine Passphrase eingeben zu m ssen Administratorhilfe 24 4 2 Die notwendigen Einstellungen legen Sie in einer Richtlinie vom Typ Ger teschutz Wechselmedien fest E Verschl sselungsmodus f r Medien Dateibasierend E Schl ssel f r die Verschl sselung Definierter Schl ssel aus der Li
473. uf den Endpoints aktiviert wird mitgegeben L schen von Fragenthemen Um ein Fragenthema zu l schen klicken Sie mit der rechten Maustaste auf das Fragenthema unter Local Self Help Fragen im Richtlinien Navigationsbereich und w hlen Sie L schen Hinweis Wenn Sie ein Fragenthema l schen nachdem die Benutzer bereits Fragen aus diesem Thema zur Aktivierung von Local Self Help auf ihren Computern beantwortet haben werden die Antworten der Benutzer ung ltig da die Fragen nicht mehr vorhanden sind Registrieren von Willkommenstexten Sie k nnen einen Willkommenstext registrieren der im ersten Dialog des Local Self Help Assistenten angezeigt werden soll Die Textdateien mit den gew nschten Informationen m ssen erstellt werden bevor sie im SafeGuard Management Center registriert werden k nnen Die maximale Dateigr e f r Informationstexte betr gt 50 KB SafeGuard Enterprise verwendet nur Unicode UTF 16 kodierte Texte Wenn Sie die Textdateien nicht in diesem Format erstellen werden sie bei der Registrierung automatisch in dieses Format konvertiert 1 Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Informationstext und w hlen Sie Neu gt Text 2 Geben Sie unter Textelementname einen Namen f r den anzeigenden Text ein 3 W hlen Sie ber die Schaltfl che die zuvor erstellte Textdatei aus Wenn eine Konvertierung notwendig ist wird eine entsprechende Meldung angezeigt 4 Klicken Sie auf
474. unbegrenzt Niedrig m Aufl sung 413 x 140 Pixel m Farben 16 Farben Vertrauensw rdige Anwendungen Ignorierte Anwendungen F r die dateibasierende Verschl sselung durch File Encryption und SafeGuard Data Exchange k nnen Sie vertrauensw rdige Anwendungen angeben die auf verschl sselte Dateien zugreifen k nnen Dies ist zum Beispiel notwendig damit Antivirus Software verschl sselte Dateien berpr fen kann Geben Sie die Anwendungen die Sie als vertrauensw rdig definieren m chten in das Editor Listenfeld des Felds ein Anwendungen m ssen als Fully Qualified Paths eingegeben werden F r die dateibasierende Verschl sselung durch File Encryption und SafeGuard Data Exchange k nnen Sie ignorierte Anwendungen angeben um Sie von der transparenten Dateiverschl sselung Dateientschl sselung auszuschlie en Wenn Sie zum Beispiel ein Backup Programm als ignorierte Anwendung definieren bleiben die vom Programm gesicherten verschl sselten Daten verschl sselt 131 SafeGuard Enterprise Richtlinieneinstellung Erkl rung Geben Sie die Anwendungen die Sie als ignoriert definieren m chten in das Editor Listenfeld des Felds ein Anwendungen m ssen als Fully Qualified Paths eingegeben werden Ignorierte Ger te Persistente Verschl sselung aktivieren F r die dateibasierende Verschl sselung durch File Encryption und SafeGuard Data Exchange k nnen Sie ganze Ger te zum Beispiel Festplatten vo
475. und klicken Sie im Bereich lt Administrator gt Zertifikat auf Exportieren 3 Sie werden aufgefordert ein Kennwort f r die Sicherung der exportierten Datei einzugeben Geben Sie ein Kennwort ein best tigen Sie es und klicken Sie auf OK 79 SafeGuard Enterprise 12 5 12 5 1 80 4 Geben Sie einen Dateinamen und einen Speicherort f r die zu exportierende Datei ein und klicken Sie auf OK Das Zertifikat des derzeit angemeldeten Haupt Sicherheitsbeauftragten wird als P12 Datei an den definierten Speicherort exportiert und kann f r Recovery Vorg nge benutzt werden Virtuelle Clients Hinweis Virtuelle Clients k nnen nur f r SafeGuard full disk encryption with SafeGuard Power on Authentication POA verwendet werden Virtuelle Clients sind spezifische verschl sselte Schl sseldateien die im Rahmen eines Challenge Response Verfahrens f r Recovery Zwecke verwendet werden k nnen wenn die ben tigten Benutzerinformationen nicht zur Verf gung stehen und ein Challenge Response Verfahren normalerweise nicht m glich w re z B bei besch digter SafeGuard POA Um in dieser komplexen Recovery Situation ein Challenge Response Verfahren zu erm glichen lassen sich spezifische Dateien die als virtuelle Clients bezeichnet werden erstellen Diese Dateien m ssen vor dem Challenge Response Verfahren an den Benutzer verteilt werden Mit virtuellen Clients lasst sich ein Challenge Response Verfahren mit einem Schl ssel Recover
476. ung f r Benutzer aufgehoben Administration Ausstellen des Tokens f r Benutzer fehlgeschlagen Administration ndern der Benutzer PIN auf Token fehlgeschlagen Administration ndern der Sicherheitsbeauftragten PIN auf Token fehlgeschlagen Administration Sperren des Tokens fehlgeschlagen Administration Entsperren des Tokens fehlgeschlagen Administration L schen des Tokens fehlgeschlagen Administration Richtlinie erstellt Administration Richtlinie ge ndert Administration Richtlinie gel scht Administratorhilfe LEICHTE Administration Beschreibung Richtlinie der OU zugewiesen und aktiviert Administration Zugewiesene Richtlinie wurde von OU entfernt Administration Erstellen der Richtlinie fehlgeschlagen Administration ndern der Richtlinie fehlgeschlagen Administration Zuweisung und Aktivierung der Richtlinie zu OU fehlgeschlagen Administration Entfernen der zugewiesenen Richtlinie von OU ist fehlgeschlagen Administration Richtlinien Gruppe angelegt Administration Richtlinien Gruppe ge ndert Administration Richtlinien Gruppe gel scht Administration Anlegen der Richtlinien Gruppe fehlgeschlagen Administration ndern der Richtlinien Gruppe fehlgeschlagen Administration Folgende Richtlinie wurde der Richtlinien Gruppe hinzugef gt Administration
477. ung hergestellt wird Mit Hilfe von Registry Keys k nnen Sie eine Liste von verbundenen und ignorierten Ger ten aufrufen Anzeige von verbundenen und ignorierten Ger ten f r die SafeGuard Data Exchange Konfiguration Als Hilfestellung f r die Definition von ignorierten Ger ten k nnen Sie mit Registry Keys ermitteln welche Ger te f r die Verschl sselung in Betracht gezogen werden verbundene Ger te und welche Ger te derzeit ignoriert werden Die Liste mit ignorierten Ger ten enth lt nur Ger te die tats chlich auf dem Computer verf gbar sind und ignoriert werden Wird ein Ger t in einer Richtlinie als ignoriert definiert und das Ger t ist nicht verf gbar so wird das Ger t auch nicht aufgelistet Administratorhilfe 24 7 24 8 Benutzen Sie folgende Registry Keys um verbundene und ignorierte Ger te zu ermitteln E HKIM System CurrentControlSet Control Utimaco SGLCENC Log AttachedDevices E HKLM System CurrentControlSet Control Utimaco SGLCENC Log IgnoredDevices Konfigurieren der persistenten Verschl sselung f r SafeGuard Data Exchange Der Inhalt von mit SafeGuard Data Exchange verschl sselten Dateien wird jeweils direkt entschl sselt wenn der Benutzer den erforderlichen Schl ssel hat Wenn der Inhalt in einer neuen Datei an einem Ablageort gespeichert wird f r den keine Verschl sselungsregel gilt bleibt die resultierende neue Datei unverschl sselt Mit persistenter Verschl sselung bleiben Kopien von ver
478. uss sich die p12 Datei mit dem privaten Schl ssel auf dem Token bzw der Smartcard befinden Hinweis Wenn Sie ein Zertifikat erstellen wenn Sie einen Benutzer h her stufen dann ist das Kennwort des Zertifikats f r die Anmeldung am SafeGuard Management Center notwendig Es ist das Kennwort des Zertifikats einzugeben obwohl nach dem Windows Kennwort gefragt wird Das ist auch der Fall bei der Anmeldung zum SafeGuard Enterprise Web Help Desk 65 SafeGuard Enterprise 11 11 2 11 11 3 66 Ernennen eines Benutzers zum Sicherheitsbeauftragten Voraussetzung Um einen Benutzer zum Sicherheitsbeauftragten zu ernennen m ssen Sie ein Haupt Sicherheitsbeauftragter oder ein Sicherheitsbeauftragter mit den erforderlichen Rechten sein 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 Klicken Sie mit der rechten Maustaste auf den Benutzer den Sie zum Sicherheitsbeauftragten machen m chten W hlen Sie Diesen Benutzer zum Sicherheitsbeauftragten machen 3 Der n chste Schritt richtet sich danach ob f r den ausgew hlten Benutzer ein Benutzerzertifikat verf gbar ist E Wurde dem Benutzer bereits ein Benutzerzertifikat zugewiesen so wird der Rollenauswahl Dialog angezeigt Fahren Sie mit Schritt 4 fort E Ist kein Benutzerzertifikat verf gbar so werden Sie in einer Meldung gefragt ob f r diesen Benutzer ein selbst signiertes Schl sselpaar erzeugt werden soll Klicken Sie auf Ja geben Sie im Ke
479. uthentisierungsrichtlinien f r die BitLocker Endpoints einrichten und verteilen W hrend der Installation des SafeGuard Enterprise Client muss BitLocker explizit ausgew hlt werden um die Verwaltung von BitLocker zu erm glichen Sobald ein BitLocker Endpoint bei SafeGuard Enterprise registriert ist werden Informationen zu Benutzer Computer Anmeldemodus und Verschl sselungsstatus angezeigt Dar ber hinaus werden Ereignisse f r BitLocker Clients protokolliert 171 SafeGuard Enterprise Die Verwaltung von BitLocker Clients in SafeGuard Enterprise ist transparent Das hei t die Verwaltungsfunktionen haben im Allgemeinen dieselbe Funktionsweise f r BitLocker und native SafeGuard Enterprise Clients Der Computertyp l sst sich in der Registerkarte Bestand eines Containers unter Benutzer amp Computer ermitteln Die Spalte POA Typ zeigt an ob es sich bei dem betreffenden Computer um einen BitLocker Client handelt Die zentrale und vollst ndig transparente Verwaltung von BitLocker durch SafeGuard Enterprise erm glicht somit die Anwendung in heterogenen IT Umgebungen SafeGuard Enterprise erweitert die Funktionalit t von BitLocker signifikant ber SafeGuard Enterprise lassen sich die Sicherheitsrichtlinien f r BitLocker zentral ausrollen Bei der Verwaltung von BitLocker ber SafeGuard Enterprise stehen dar ber hinaus u erst wichtige Prozesse wie Schl sselverwaltung und Schl ssel Recovery zur Verf gung F r Informatio
480. vers auf dem die SafeGuard Enterprise Datenbank laufen soll m Name der SafeGuard Enterprise Datenbank falls diese bereits erzeugt wurde Multi Tenancy Konfigurationen Sie k nnen mehrere verschiedene SafeGuard Enterprise Datenbankkonfigurationen f r eine Instanz des SafeGuard Management Center konfigurieren und verwalten Dies erweist sich vor allem dann als n tzlich wenn Sie verschiedene Konfigurationen f r verschiedene Dom nen Organisationseinheiten oder Unternehmensstandorte einsetzen m chten Hinweis Sie m ssen pro Datenbank Mandant jeweils eine separate SafeGuard Enterprise Server Instanz einrichten Zur Vereinfachung der Konfiguration k nnen neu erstellte Datenbankkonfigurationen zur sp teren Wiederverwendung in eine Datei exportiert werden und zuvor erstellte Konfigurationen aus einer Datei eingelesen werden Um das SafeGuard Management Center f r Multi Tenancy zu konfigurieren f hren Sie zun chst die initiale Konfiguration und danach weitere spezifische Schritte f r die Multi Tenancy Konfiguration durch Administratorhilfe 5 3 5 4 Starten der Erstkonfiguration des SafeGuard Management Centers Nach der Installation des SafeGuard Management Center m ssen Sie die Erstkonfiguration durchf hren Die Erstkonfiguration muss sowohl f r den Single Tenancy als auch f r den Multi Tenancy Modus ausgef hrt werden So starten Sie den SafeGuard Management Center Konfigurationsassistenten 1 Starten Sie
481. ware siehe Unterst tzte Middleware Seite 216 Starten Sie die Computer auf denen Sie die neue Middleware installiert haben neu Hinweis Wenn Sie Gemalto NET Card oder Nexus Personal Middleware installieren m ssen Sie den Installationspfad der Middleware auch zur PATH Umgebungsvariable der Systemeigenschaften Ihres Computers hinzuf gen E Standard Installationspfad f r Gemalto NET Card C Programme Gemalto PKCS11 for NET V2 smart cards E Standard Installationspfad f r Nexus Personal C Programme Personal bin Aktivieren der Middleware Sie m ssen im SafeGuard Management Center ber eine Richtlinie die passende Middleware in Form des PKCS 11 Moduls zuweisen Dies m ssen Sie sowohl f r den Computer auf dem das SafeGuard Management Center l uft als auch f r den Endpoint erledigen Dann erst kann SafeGuard Enterprise mit dem Token kommunizieren Die Einstellung f r das PKCS 11 Modul k nnen Sie folgenderma en ber eine Richtlinie festlegen Voraussetzung Die Middleware wurde auf dem entsprechenden Computer installiert und der Token wurde initialisiert Das SafeGuard Enterprise Client Konfigurationspaket muss zudem auf dem Computer installiert sein auf dem das SafeGuard Management Center l uft 1 Klicken Sie im SafeGuard Management Center auf Richtlinien 219 SafeGuard Enterprise 27 5 27 5 1 220 2 Legen Sie eine neue Richtlinie des Typs Spezifische Computereinstellungen an oder w hlen S
482. ware in Ihrem Produktverzeichnis
483. weitere Informationen siehe Einsehen von protokollierten Ereignissen Seite 273 Administratorhilfe 33 7 Drucken von Berichten Die in der SafeGuard Management Center Ereignisanzeige oder in der Datei Tracking Anzeige angezeigten Ereignisberichte lassen sich ber das Datei Men in der Men leiste des SafeGuard Management Center drucken E Um vor dem Drucken eine Druckvorschau zu erstellen w hlen Sie Datei gt Druckvorschau In der Druckvorschau stehen verschiedene Funktionen zum Beispiel f r den Export des Dokuments in eine Reihe von Ausgabeformaten zum Beispiel PDF oder die Bearbeitung des Seitenlayouts zum Beispiel Kopf und Fu zeile zur Verf gung E Um das Dokument sofort zu drucken w hlen Sie Datei gt Drucken 33 8 Verkettung von protokollierten Ereignissen Die f r die zentrale Datenbank bestimmten Ereignisse werden in der EVENT Tabelle der SafeGuard Enterprise Datenbank protokolliert Auf diese Tabelle kann ein spezieller Integrit tsschutz angewendet werden Die Ereignisse lassen sich als verkettete Liste in der EVENT Tabelle protokollieren Durch die Verkettung ist ein Eintrag in der Liste jeweils von seinem Vorg ngereintrag abh ngig Wird ein Eintrag aus der Liste entfernt so ist dies sichtbar und ber eine Integrit tspr fung nachweisbar Zur Optimierung der Performance ist die Verkettung der Ereignisse in der EVENT Tabelle standardm ig deaktiviert Zur berpr fung der Integrit t der protokollierten
484. weitere Informationen siehe Zugriffsrechte f r Sicherheitsbeauftragte und Import aus Active Directory Seite 41 F r Informationen zum Einstellen der Active Directory Zugriffsrechte siehe http www sophos com de de support knowledgebase 107979 aspx F r Informationen zum Einstellen der SQL Berechtigungen siehe http www sophos com de de support knowledgebase 113582 asp Wenn die Rechte korrekt eingestellt sind wenden Sie die nderungen an und starten Sie den Dienst neu Wechseln Sie auf den Server der die SafeGuard Web Seite hostet Klicken Sie Start gt Run gt Services msc um die Services Oberfl che zu ffnen Klicken Sie mit der rechten Maustaste auf SafeGuard Scheduler Service und klicken Sie auf All Tasks gt Restart Hinweis Wir empfehlen dass Sie das Active Directory in einem vergleichsweise moderaten Abstand maximal zweimal am Tag synchronisieren damit sich die Serverleistung nicht bedeutend verringert Neue Objekte werden in diesen Abst nden im SafeGuard Management Center unter Autoregistered angezeigt Hier k nnen Sie wie blich verwaltet werden Vordefiniertes Skript f r das automatische L schen von protokollierten Ereignissen Die in der SafeGuard Enterprise Datenbank protokollierten Ereignisse werden in der EVENT Tabelle gespeichert F r weitere Informationen zur Protokollierung siehe Berichte Seite 270 Mit dem Taskplaner k nnen Sie einen periodischen Task f r das automatische L schen von protokol
485. wie der Lizenzg ltigkeitsdauer festgelegt Bei berschreiten der verf gbaren Lizenzen pro Modul oder der G ltigkeitsdauer wird somit zun chst eine Warnungsmeldung ausgegeben Der laufende Betrieb des Systems wird dadurch nicht beeintr chtigt und es tritt in diesem Fall auch keine Einschr nkung der Funktionalit t in Kraft So haben Sie die Gelegenheit den Lizenzstatus zu pr fen und Ihre Lizenz zu erweitern bzw zu erneuern Der Toleranzwert ist auf 10 der Anzahl an erworbenen Lizenzen der Mindestwert 5 der H chstwert 5 000 festgelegt Bei berschreiten der Toleranzwerte wird eine Fehlermeldung ausgegeben In diesem Fall tritt eine Funktionalit tseinschr nkung in Kraft Die bertragung von Richtlinien auf die Endpoints wird deaktiviert Diese Deaktivierung l sst sich nicht im SafeGuard Management Center manuell wieder aufheben Die Lizenz muss erweitert bzw erneuert werden um wieder alle Funktionen nutzen zu k nnen Au er der Deaktivierung der Richtlinien bertragung hat die Funktionalit tseinschr nkung keine Auswirkungen auf die Endpoints Bereits zugeordnete Richtlinien bleiben aktiv Die Deinstallation von Clients ist auch weiterhin m glich Die folgenden Abschnitte beschreiben das Systemverhalten bei Lizenz berschreitungen sowie die Ma nahmen zur Aufhebung der Funktionalit tseinschr nkung Ung ltige Lizenz Warnung Ist die Anzahl an verf gbaren Lizenzen berschritten so wird beim Starten des SafeGuard Managemen
486. wird sie nicht in der Synchronisierungs Baumstruktur angezeigt Unabh ngig von Ihren Sicherheitsbeauftragten Zugriffsrechten f r Verzeichnisobjekte k nnen Sie eine neue Dom ne aus dem Active Directory importieren wenn diese noch nicht in der SafeGuard Enterprise Datenbank existiert Sie und Ihre bergeordneten Sicherheitsbeauftragten erhalten automatisch das Zugriffsrecht Voller Zugriff f r die neue Dom ne Wenn Sie einen untergeordneten Container Sub Container f r die Synchronisierung ausw hlen muss die Synchronisierung bis zum Stammverzeichnis durchgef hrt werden In der Synchronisierungs Baumstruktur werden alle relevanten Container automatisch ausgew hlt Dies ist auch dann der Fall wenn sich ber dem Sub Container Container befinden die gem ihren Zugriffsrechten Schreibgesch tzt sind oder f r die der Zugriff Verweigert wird Wenn Sie die Auswahl eines Sub Containers aufheben m ssen Sie dies entsprechend Ihren Zugriffsrechten auch bei den Containern dar ber bis zum Stammverzeichnis tun Wenn eine Gruppe f r die nur die Zugriffsrechte Schreibgesch tzt oder Verweigert verf gbar sind in den Synchronisierungsvorgang einbezogen wird passiert Folgendes m Die Gruppenmitgliedschaften werden nicht aktualisiert m Wenn die Gruppe im Active Directory gel scht wurde wird sie nicht aus der SafeGuard Enterprise Datenbank gel scht m Wenn die Gruppe jedoch im Active Directory verschoben wurde wird sie auch innerhalb
487. x als Ordner der mit Dropbox synchronisiert werden soll konfiguriert hat Wenn der durch Sophos SafeGuard gesch tzte Endpoint eine Richtlinie mit einer solchen Cloud Storage Definition erh lt werden die Platzhalter in der Cloud Storage Definition automatisch entsprechend dem Pfad der Dropbox exe f r die Synchronisierungsapplikation umgesetzt Au erdem wird die Dropbox Konfiguration gelesen und die Verschl sselungsrichtlinie auf den Ordner d dropbox encrypt eingestellt Exportieren und Importieren von Cloud Storage Definitionen Als Sicherheitsbeauftragter k nnen Sie Cloud Storage Definitionen exportieren und importieren Eine Cloud Storage Definition wird als xml Datei exportiert E Um eine Cloud Storage Definition zu exportieren w hlen Sie im Kontextmen der gew nschten Cloud Storage Definition im Bereich Richtlinie den Befehl Cloud Storage Definition exportieren 207 SafeGuard Enterprise 25 3 208 E Um eine Cloud Storage Definition zu importieren w hlen Sie im Kontextmen des Cloud Storage Definition Knotens im Bereich Richtlinie den Befehl Cloud Storage Definition importieren Beide Befehle sind auch im Men Aktionen des SafeGuard Management Center verf gbar Erstellen einer Ger teschutz Richtlinie mit dem Ziel Cloud Storage Die Cloud Storage Definitionen m ssen bereits angelegt worden sein Es stehen f r mehrere Cloud Storage Anbieter zum Beispiel Dropbox oder Egnyte vordefinierte Cloud Storage Defi
488. y Tool auf dem Endpoint Computer starten Der Benutzer muss dann nur den Helpdesk Beauftragten ber den die ben tigten Schl ssel informieren und den Response Code eingeben um wieder Zugriff auf die verschl sselten Volumes zu erhalten Der Zugriff kann entweder mit Hilfe eines einzelnen Schl ssels oder mit Hilfe einer verschl sselten Schl sseldatei die mehrere Schl ssel enth lt wiederhergestellt werden Im Bereich Schl ssel und Zertifikate des SafeGuard Management Centers haben Sie folgende M glichkeiten Mm Virtuelle Clients anlegen und exportieren Mm Verschl sselte Schl sseldateien mit mehreren Schl sseln anlegen und exportieren E Virtuelle Clients und exportierte Schl sseldateien anzeigen lassen und filtern E Virtuelle Clients l schen Anlegen von virtuellen Clients Virtuelle Clients k nnen f r verschiedene Computer und in mehreren Challenge Response Verfahren benutzt werden 1 Klicken Sie im SafeGuard Management Center auf Schl ssel und Zertifikate 2 Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients 3 Klicken Sie in der Symbolleiste auf Virtuellen Client hinzuf gen 4 Geben Sie einen eindeutigen Namen f r den virtuellen Client ein und klicken Sie auf OK Die virtuellen Clients werden anhand der hier eingegebenen Namen in der Datenbank identifiziert Administratorhilfe 12 5 2 12 5 3 5 Klicken Sie auf das Speichern Symbol in der Symbolleiste um den virtuellen Clien
489. zeigt die Eigenschaften des derzeit verwendeten Unternehmenszertifikats und gibt an ob ein neueres Unternehmenszertifikat verf gbar ist Spalte Erkl rung Antragsteller Zeigt den Distinguished Name des Antragstellers des Unternehmenszertifikats Zeigt die Seriennummer des Unternehmenszertifikats Aussteller Zeigt den Distinguished Name des Ausstellers des Unternehmenszertifikats G ltig ab Zeigt das Datum und die Uhrzeit ab das Unternehmenszertifikat g ltig wird G ltig bis Zeigt das Datum und die Uhrzeit ab das Unternehmenszertifikat ung ltig wird Fin neueres Gibt an ob ein neueres Unternehmenszertifikat als das aktuelle des Unternehmenszertifikat ist Endpoints verf gbar ist verf gbar 32 11 Erstellen von Bestandsberichten Als Sicherheitsbeauftragter k nnen Sie Bestandsberichte in unterschiedlichen Formaten erstellen So k nnen Sie z B Compliance Berichte erstellen die die Verschl sselung von Endpoints nachweisen Sie k nnen die Berichte drucken oder in eine Datei exportieren 32 11 1 Drucken von Bestandsberichten 1 Klicken Sie in der SafeGuard Management Center Men leiste auf Datei 2 Sie k nnen den Bericht sofort drucken oder zun chst eine Druckvorschau anzeigen lassen 268 Administratorhilfe Die Druckvorschau bietet eine Reihe von Funktionen z B f r die Bearbeitung des Seitenlayouts Kopf und Fu zeile usw E Um eine Druckvorschau anzuzeigen w hlen Sie Datei gt Druckvorsch
490. zen erweitern erneuern Wenden Sie sich an Ihren Vertriebspartner um Ihre Lizenz zu erweitern bzw zu erneuern Sie erhalten eine neue Lizenzdatei zum Import in die SafeGuard Enterprise Datenbank m Neue Lizenzdatei importieren Wenn Sie Ihre Lizenz bereits erneuert bzw erweitert haben importieren Sie die erhaltene Lizenzdatei in die SafeGuard Enterprise Datenbank Diese neu importierte Datei ersetzt die ung ltige Lizenzdatei Durch Umverteilen von Lizenzen oder Importieren einer g ltigen Lizenzdatei wird die Funktionalit tseinschr nkung aufgehoben und der normale Betrieb des Systems kann fortgesetzt werden Administratorhilfe 7 Mit mehreren Datenbankkonfigurationen arbeiten 7 1 Das SafeGuard Management Center erm glicht die Benutzung mehrerer Datenbankkonfigurationen Multi Tenants Wenn Sie diese Funktion nutzen m chten m ssen Sie sie w hrend der Installation aktivieren Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung Mit Multi Tenancy k nnen Sie verschiedene SafeGuard Enterprise Datenbankkonfigurationen konfigurieren und sie f r eine Instanz des SafeGuard Management Centers verwalten Dies erweist sich vor allem dann als n tzlich wenn Sie verschiedene Konfigurationen f r verschiedene Dom nen OUs oder Unternehmensstandorte einsetzen m chten Voraussetzung Die Funktion Multi Tenancy muss ber eine Installation vom Typ Vollst ndig installiert worden sein Die initial
491. zten Ger te mit Tools von Dritt Anbietern z B OSR Device Tree anzeigen lassen SafeGuard Enterprise protokolliert alle Ger te mit denen eine Verbindung hergestellt wird Mit Hilfe von Registry Keys k nnen Sie eine Liste von verbundenen und ignorierten Ger ten aufrufen F r weitere Informationen siehe Anzeigen von ignorierten und verbundenen Ger ten f r die File Encryption Konfiguration Seite 189 Sie k nnen einzelne Netzwerk Festplattenlaufwerke von der Verschl sselung ausschlie en in dem Sie eine File Encryption Verschl sselungsregel in einer File Encryption Richtlinie erstellen und den Modus f r die Verschl sselung auf Ignorieren einstellen Sie k nnen diese Einstellung nur auf durch Windows verwaltete Laufwerke nicht auf Mac OSX Volumes Anzeigen von ignorierten und verbundenen Ger ten f r die File Encryption Konfiguration Als Hilfestellung f r die Definition von ignorierten Ger ten k nnen Sie mit Registry Keys ermitteln welche Ger te f r die Verschl sselung in Betracht gezogen werden verbundene Ger te und welche Ger te derzeit ignoriert werden Die Liste mit ignorierten Ger ten enth lt nur Ger te die tats chlich auf dem Computer verf gbar sind und ignoriert werden Wird ein Ger t in einer Richtlinie als ignoriert definiert und das Ger t ist nicht verf gbar so wird das Ger t auch nicht aufgelistet Benutzen Sie folgende Registry Keys um verbundene und ignorierte Ger te zu ermitteln E HKIM Syst
492. zugreift wird der verschl sselte Inhalt angezeigt Sind in den durch die Verschl sselungsrichtlinie abgedeckten Speicherorten bereits Dateien vorhanden so werden diese nicht automatisch verschl sselt Die Benutzer m ssen auf dem Endpoint eine Initialverschl sselung im SafeGuard Assistent f r Dateiverschl sselung durchf hren Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Benutzerhilfe Hinweis SafeGuard File Share ist mit der in Windows integrierten EFS Verschl sselung und Dateikomprimierung nicht kompatibel Wenn die EFS Verschl sselung aktiviert ist erh lt sie Priorit t vor etwaig anwendbaren File Encryption Verschl sselungsregeln In den relevanten Ordnern angelegte Dateien k nnen in diesem Fall nicht von File Encryption verschl sselt werden Wenn die Komprimierung aktiviert ist hat die Verschl sselung durch File Encryption eine h here Priorit t Dateien werden verschl sselt jedoch nicht komprimiert Um Dateien mit File Encryption zu verschl sseln muss die EFS Verschl sselung oder die Komprimierung zun chst deaktiviert werden Dies kann manuell oder durch Ausf hren des SafeGuard Enterprise Assistenten f r die Initialverschl sselung erfolgen Hinweis Administratorhilfe 23 1 N here Informationen bei Verwendung von Mac Endpoints und SafeGuard File Encryption for Mac entnehmen Sie den folgenden Dokumenten m SafeGuard File Encryption for Mac Schnellstartanleitung Dieses Dokument
493. zusammenfassen werden die Einstellungen automatisch vereinigt Sie k nnen daf r eine Auswertungsreihenfolge festlegen Die Einstellungen einer h her gereihten Richtlinie berschreiben jene einer niedriger priorisierten Eine definierte Richtlinieneinstellung berschreibt Einstellungen aus anderen Richtlinien wenn E die Richtlinie mit dieser Einstellung eine h here Priorit t hat E die Richtlinieneinstellung noch nicht definiert ist nicht konfiguriert Hinweis berlappende Richtlinien die einer Gruppe zugeordnet sind k nnen zu einer falschen Ermittlung der Priorit ten f hren Verwenden Sie separate Richtlinieneinstellungen Ausnahme Ger teschutz Richtlinien f r den Ger teschutz werden nur vereinigt wenn sie f r dasselbe Ziel z B Boot Volume angelegt werden Weisen sie auf verschiedene Ziele werden sie addiert Zusammenfassen von Richtlinien zu Gruppen Prerequisite Die einzelnen Richtlinien der verschiedenen Typen m ssen angelegt sein 1 Klicken Sie im Navigationsbereich auf Richtlinien 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf Richtlinien Gruppen und w hlen Sie Neu 3 Klicken Sie auf Neue Richtlinien Gruppe Es wird ein Dialog f r die Benennung der Richtlinien Gruppe angezeigt 4 Geben Sie einen eindeutigen Namen und optional eine Beschreibung f r die Richtlinien Gruppe ein Klicken Sie auf OK 5 Die neu angelegte Richtlinie Gruppe wird im Navigationsfenster unter Richtli
494. zuzuf gen wiederholen Sie diesen Vorgang Speichern Sie Ihre nderungen indem Sie auf das Speichern Symbol in der Symbolleiste klicken Ihr Fragenthema ist registriert Es wird der Richtlinie vom Typ Allgemeine Einstellungen ber die Local Self Help auf den Endpoints aktiviert wird automatisch mitgegeben 29 1 7 Bearbeiten von Fragenthemen l Markieren Sie das gew nschte Fragenthema unter Local Self Help Fragen im Richtlinien Navigationsbereich 237 SafeGuard Enterprise 29 1 8 29 1 9 238 2 Sie k nnen nun Fragen hinzuf gen ndern oder l schen E Um Fragen hinzuzuf gen klicken Sie im Arbeitsbereich mit der rechten Maustaste um das Kontextmen anzuzeigen Klicken Sie im Kontextmen auf Hinzuf gen Der Fragenliste wird eine neue Zeile hinzugef gt Geben Sie Ihre Frage auf der Zeile ein E Um Fragen zu ndern klicken Sie auf den Fragentext im Arbeitsbereich Bei der gew hlten Frage wird ein Stiftsymbol angezeigt Geben Sie auf der Fragenzeile Ihre nderungen ein E Um Fragen zu l schen markieren Sie die gew nschte Frage durch Klicken auf das graue K stchen zu Beginn der Fragenzeile im Arbeitsbereich und w hlen Sie im Kontextmen des Frageneintrags Entfernen 3 Speichern Sie Ihre nderungen indem Sie auf das Speichern Symbol in der Symbolleiste klicken Ihr ge ndertes Fragenthema ist registriert Es wird der Richtlinie vom Typ Allgemeine Einstellungen ber die Local Self Help a

Download Pdf Manuals

Related Search

Related Contents

ITTM Maxy1 2" 82g Black  Mode d`emploi - Etudiant - Pass`Pro    to read User Manual & Installation Instructions  obtenir le fichier - (USH) Midi    Quickbooks User Guide  Istruzioni per l`uso Congelatore Manual de instrucciones  Samsung ME87H User Manual    

Copyright © All rights reserved. Failed to retrieve file