SafeGuard Enterprise Installationsanleitung
Contents
1. Pr fen der NET Framework Installation und Registrierung NET Framework Version 3 5 SP 1 ist erforderlich Sie finden das Programm in der SafeGuard Enterprise Produktlieferung So berpr fen Sie ob das Programm korrekt auf IIS 6 oder IIS 7 installiert ist 1 W hlen Sie im Start Men den Befehl Ausf hren 2 Geben Sie folgendes Kommando ein Appwiz cpl Alle auf dem Computer installierten Programme werden angezeigt 3 berpr fen Sie ob NET Framework Version 3 5 SP 1 angezeigt wird Wird die Version nicht angezeigt installieren Sie sie Folgen Sie den Schritten im Installationsassistenten und best tigen Sie alle Standardeinstellungen 4 Um zu pr fen ob die Installation korrekt registriert ist wechseln Sie in C Windows Microsoft NET Framework Jede installierte Version muss als separater Ordner mit der Version als Ordnername sichtbar sein v3 5 Installationsanleitung 4 2 1 2 4 2 1 3 4 2 1 4 Pr fen der ASP NET Registrierung bei IIS 6 ASP NET Version 2 0 50727 ist erforderlich So berpr fen Sie ob die korrekte ASP NET Version installiert und bei IIS 6 registriert ist 1 ffnen Sie den Internet Information Services Manager auf dem IIS Server 2 Klicken Sie im Navigationsbereich auf der rechten Seite unter Internet Information Services auf SGNSRV lokaler Computer und dann auf Websites 3 Klicken Sie unter Websites mit der rechten Maustaste auf Standard Websites und dann auf Eigenschaft2. Das Feature Multi Tenancy ist neu Der SafeGuard Management Center installiert Konfigurationsassistent wird gestartet Sie werden dazu aufgefordert die zu verwendende Datenbank auszuw hlen Der Assistent schl gt standardm ig eine bereits vorher verwendete Datenbank vor W hlen Sie die gew nschte Datenbank aus und beenden Sie den Assistenten Das Feature Multi Tenancy wurde Die zuletzt benutzte Datenbankkonfiguration wird im deinstalliert SafeGuard Management Center verwendet Das SafeGuard Management Center wurde auf die neueste Version aktualisiert Hinweis Scripting API Die Standardkonfigurationsdatei wurde umbenannt und an einem anderen Ablageort gespeichert Stellen Sie sicher dass Sie Pfad und Dateinamen gem dem neuen Ablageort ndern wenn Sie die folgende Methode mit dem Parameter confFilePathName verwenden AuthenticateOfficer string OfficerName string PinOrPassword stringconfFilePathName Vorhandene SafeGuard Enterprise Richtlinien haben sich eventuell ge ndert da sich die Richtlinienstruktur von SafeGuard Enterprise ab Version 5 30 aufw rts ge ndert hat 15 5 Aktualisieren von durch SafeGuard Enterprise gesch tzten Computern 92 Voraussetzungen SafeGuard Enterprise Client 5 40 oder h her muss installiert sein ltere Versionen m ssen zun chst auf SafeGuard Enterprise Client 5 40 aktualisiert werden SafeGuard Management Center 5 6x und SafeGuard Enterprise Server 5 6x k nnen
3. E SafeGuard Enterprise Power on Authentication wird installiert E SafeGuard Enterprise volume basierende Verschl sselung wird installiert E SafeGuard Data Exchange f r dateibasierende Verschl sselung wird ber die Angabe von SecureDataExchange installiert E Es wird eine Protokolldatei angelegt E Das Konfigurationspaket f r den SafeGuard Enterprise Client managed wird ausgef hrt Installationsanleitung 10 3 4 Beispiel msiexec i F Software SGxClientPreinstall msi qn log Temp SGxClientPreinstall log msiexec i F Software SGNClient msi qn log Temp SGNClient 1log ADDLOCAL Client Authentication BaseEncryption SectorBasedEncryption SecureDataExchange Installdir C Program Files Sophos SafeGuard Enterprise msiexec i F Software SGCNConfig msi qn log Temp SGNConfig log Beispielkommando f r BitLocker Unterst tzung unter Windows Vista Folgendes wird durch das unten aufgef hrte Kommando ausgef hrt Die Endpoint Computer werden mit den notwendigen Voraussetzungen f r eine erfolgreiche Installation der Verschl sselungssoftware ausgestattet Benutzer melden sich an ihren Computern ber den Windows Vista Credential Provider an SafeGuard Enterprise BitLocker Unterst tzung mit BitLocker volume basierender Verschl sselung wird installiert SafeGuard Data Exchange f r dateibasierende Verschl sselung wird ber die Angabe von SecureDataExchange in
4. Folgende Voraussetzungen m ssen erf llt sein E Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen E NET Framework 3 0 Service Pack 1 ist installiert NET Framework ist kostenlos verf gbar Sie finden das Programm z B auf Ihrer Windows DVD Je nach Windows Version wird es bereits als Standard mit installiert Sie k nnen das Programm auch herunterladen http microsoft com downloads E Wenn Sie eine neue SafeGuard Enterprise Datenbank w hrend der SafeGuard Management Center Konfiguration erzeugen wollen ben tigen Sie entsprechende SQL Zugriffsberechtigungen siehe Datenbankzugriffsrechte Seite 25 Installieren des SafeGuard Management Center 1 Starten Sie SGNManangementCenter msi aus dem Installationsordner Ihrer Produktlieferung Ein Assistent f hrt Sie durch die notwendigen Schritte Klicken Sie auf der Willkommenseite auf Weiter Akzeptieren Sie die Lizenzvereinbarung bernehmen Sie den Standardinstallationspfad ve O N W hlen Sie den Installationstyp aus E Wenn das SafeGuard Management Center nur eine Datenbank unterst tzen soll w hlen Sie eine Installation vom Typ Typisch aus m Wenn das SafeGuard Management Center mehrere Datenbanken unterst tzen soll Multi Tenancy w hlen Sie eine Installation vom Typ Typisch aus F r weitere Informationen siehe Multi Tenancy Konfigurationen Seite 35 33 SafeGuard Enterprise 34 6 3 6 4 6 Klicken Sie auf Beenden
5. SafeGuard Enterprise Clients managed und standalone Version 5 40 oder h her verwalten Installationsanleitung Verschiedene Client Versionen sollten nur w hrend der Aktualisierung vorhanden sein In der allgemeinen Anwendung sollte eine Mischung vermieden werden Hinweis Nach der Aktualisierung des SafeGuard Management Centers auf Version 5 6x sollten POA Benutzer nicht auf SafeGuard Enterprise Clients 5 4x oder 5 5x bertragen werden Dies wird in diesem Fall nicht unterst tzt da der POA Benutzer Besitzer des Computers werden w rde Die Aktualisierung der SafeGuard Enterprise Datenbank des SafeGuard Enterprise Servers und des SafeGuard Management Centers muss bereits durchgef hrt worden sein Ein SafeGuard Enterprise Client 5 6x kann nicht mit einem SafeGuard Enterprise Server unter Version 5 6x verbunden werden Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen Dieser Abschnitt gilt sowohl f r SafeGuard Enterprise Clients managed als auch Sophos SafeGuard Client standalone So aktualisieren Sie durch SafeGuard Enterprise gesch tzte Computer 1 Installieren Sie das vorbereitende MSI Paket SGxClientPreinstall msi das den Endpoint Computer mit den n tigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware ausstattet Installieren Sie das entsprechende Verschl sselungssoftware Installationspaket Client msi Version f r Version bis die
6. W hlen Sie Windows Firewall mit erweiterter Sicherheit 2 W hlen Sie in der Navigationsstruktur auf der linken Seite Eingehende Regeln 3 Klicken Sie in der Men leiste auf Aktion und w hlen Sie Neue Regel Der Assistent f r neue eingehende Regeln wird gestartet 4 W hlen Sie auf der Regeltyp Seite Benutzerdefiniert und klicken Sie auf Weiter Installationsanleitung 5 6 5 W hlen Sie auf der Programm Seite die Programme und Dienste auf die diese Regel angewendet werden soll Klicken Sie dann auf Weiter 6 W hlen Sie auf der Protokolle und Ports Seite TCP als Protokolltyp W hlen Sie f r Lokaler Port die Option Bestimmte Ports und geben Sie 1433 ein W hlen Sie f r Remoteport die Option Alle Ports Klicken Sie auf Weiter 7 Auf der Bereich Seite k nnen Sie festlegen dass die Regel nur f r den Netzverkehr von oder an die auf dieser Seite angegebenen IP Adressen gilt Nehmen Sie die entsprechende Konfiguration vor und klicken Sie auf Weiter 8 W hlen Sie auf der Aktion Seite die Option Verbindung zulassen und klicken Sie auf Weiter 9 Geben Sie auf der Profil Seite an wo die Regel angewendet werden soll Klicken Sie dann auf Weiter 10 Geben Sie auf der Name Seite einen Namen und eine Beschreibung f r Ihre Regel ein und klicken Sie auf Beenden Durchf hren von weiteren Konfigurationsschritten bei Benutzung eines Windows Benutzerkontos f r die Anmeldung am SQL Server Diese Beschreibung bezieht sich auf
7. W hlen Sie bei Identit t des anonymen Benutzers die Option Bestimmter Benutzer und berpr fen Sie ob der Benutzername IUSR lautet Korrigieren Sie ihn wenn n tig 21 Klicken Sie auf OK Die zus tzliche Konfiguration f r die Benutzung eines Windows Kontos f r die Anmeldung am SQL Server ist nun abgeschlossen Installationsanleitung 6 6 1 6 2 Einrichten des SafeGuard Management Centers Dieses Kapitel beschreibt die Installation und Konfiguration des SafeGuard Management Centers Das SafeGuard Management Center ist das zentrale Verwaltungswerkzeug f r SafeGuard Enterprise Installieren Sie es auf den Administrator Computern die Sie f r die Verwaltung von SafeGuard Enterprise einsetzen m chten Das SafeGuard Management Center muss nicht notwendigerweise nur auf einem Computer installiert sein Es kann auf jedem Rechner im Netzwerk installiert sein von wo aus auf die SafeGuard Enterprise Datenbanken zugegriffen werden kann Mit datenbankspezifischen Konfigurationen Multi Tenancy erm glicht das SafeGuard Management Center den Einsatz von SafeGuard Enterprise mit mehreren Datenbanken Sie k nnen verschiedene SafeGuard Enterprise Datenbanken f r unterschiedliche Bereiche z B Unternehmensstandorte Organisationseinheiten oder Dom nen einrichten und verwalten Um den Verwaltungsaufwand zu reduzieren k nnen Sie Datenbankkonfigurationen auch in Dateien exportieren und aus Dateien importieren Voraussetzungen
8. standalone beschrieben Die Installationsschritte sind identisch mit der Ausnahme dass f r jeden der beiden ein unterschiedliches Konfigurationspaket zugeordnet werden muss Die erforderlichen Arbeitsschritte werden auch f r Endpoint Computer mit Windows BitLocker Device Encryption beschrieben F r Informationen zum Vorbereiten der BitLocker Unterst tzung siehe Spezifische vorbereitende Ma nahmen f r die Unterst tzung von BitLocker Device Encryption Seite 58 Das Verhalten des Endpoint Computers bei der ersten Anmeldung nach der Installation von SafeGuard Enterprise ist in der Benutzerhilfe beschrieben Lokales Installieren der Verschl sselungssoftware So f hren Sie eine lokale Installation der Verschl sselungssoftware durch 1 Bereiten Sie die Installation auf den Endpoint Computern vor siehe Vorbereiten der Verschl sselung Seite 57 2 Melden Sie sich an dem Computer als Administrator an 3 Installieren Sie das Pr Installationspaket SGxClientPreinstall msi das den Endpoint Computer mit den n tigen Voraussetzungen f r eine erfolgreiche Installation der Verschl sselungssoftware ausstattet Hinweis Alternativ k nnen Sie auch die Datei vcredist_x86 exe installieren die Sie hier herunterladen k nnen http www microsoft com downloads details aspx FamilyID 766a6af7 ec73 40ff b072 9112bab119c2 oder sicherstellen dass sich die DLLMSVCR80 dIl in der Version 8 0 50727 4053 im Verzeichnis Windows WinSxS auf dem
9. 3 3 3 3 4 3 4 Kompatibilit t mit SafeGuard PrivateCrypto und SafeGuard PrivateDisk SafeGuard Enterprise 5 6x und die Standalone Produkte SafeGuard PrivateCrypto ab Version 2 30 sowie SafeGuard PrivateDisk ab Version 2 30 k nnen gleichzeitig auf einem Computer installiert sein Sowohl SafeGuard PrivateCrypto als auch SafeGuard PrivateDisk k nnen dann das SafeGuard Enterprise Schl sselmanagement mit benutzen Kompatibilit t mit SafeGuard Removable Media Das Modul SafeGuard Data Exchange und SafeGuard Removable Media k nnen nicht zusammen auf einem Computer installiert werden Bevor Sie das Modul SafeGuard Data Exchange auf einem Computer installieren pr fen Sie ob SafeGuard Removable Media bereits installiert ist In diesem Fall m ssen Sie SafeGuard Removable Media deinstallieren bevor Sie SafeGuard Data Exchange installieren Lokale Schl ssel die vor dem Wechsel zu SafeGuard Data Exchange mit einer SafeGuard Removable Media Version vor 1 20 erzeugt wurden k nnen auf dem SafeGuard Enterprise Client benutzt werden Sie werden jedoch nicht automatisch an die SafeGuard Enterprise Datenbank bertragen Kompatibilit t mit SafeGuard Easy Version 4 x SafeGuard Easy 4 x und SafeGuard Enterprise 5 6x k nnen auf demselben Computer installiert werden unter der Voraussetzung dass das SafeGuard Device Encryption Module von SafeGuard Enterprise nicht installiert wird Da beide Produkte eine eigene GINA graphische Identifizierun
10. 5 40 durchf hren Bis auf die SafeGuard Enterprise Datenbank handelt es sich bei der Aktualisierung des SafeGuard Enterprise Server SafeGuard Management Center und SafeGuard Enterprise Client um Neuinstallationen Ab SafeGuard Enterprise 5 30 aufw rts ist der Import einer g ltigen Lizenzdatei erforderlich die alle ausgerollten SafeGuard Clients abdeckt Wenn die Anzahl der Lizenzen berschritten ist wird die Richtlinien bertragung nach der Aktualisierung des Backends blockiert Bitte wenden Sie sich vor der Aktualisierung an Ihren Vertriebspartner und fordern Sie eine Lizenzdatei an Hinweis Halten Sie bei der Aktualisierung unbedingt die unten aufgef hrte Reihenfolge ein Nur dann ist eine Aktualisierung von einer fr heren Version auf die aktuelle Version von SafeGuard Enterprise erfolgreich 1 SafeGuard Enterprise Datenbank 2 SafeGuard Enterprise Server 3 SafeGuard Management Center 4 Durch SafeGuard Enterprise gesch tzte Endpoint Computer 15 1 Aktualisieren der SafeGuard Enterprise Datenbank Voraussetzungen m SafeGuard Enterprise Datenbank 5 20 oder h her muss installiert sein m Die auszuf hrenden SQL Skripts m ssen auf dem Datenbank Rechner vorhanden sein m F r die erfolgreiche Aktualisierung auf die aktuelle Version muss NET Framework 3 0 Service Pack 1 installiert sein m Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen m F hren Sie ein Backup der Datenbank durch bevor Sie mi
11. Die erste Anmeldung erfolgt noch ber Autologon Neue Schl ssel und Zertifikate werden dem Benutzer zugewiesen 4 Starten Sie den Computer nochmal neu Melden Sie sich an der Power on Authentication an Die Computer werden erst nach dem zweiten Neustart gesch tzt 5 L schen Sie veraltete und nicht mehr verwendete Konfigurationspakete Der Sophos SafeGuard Client standalone ist nun ein SafeGuard Enterprise Client managed 15 8 Aktualisieren des SafeGuard Configuration Protection Client F r Informationen zum Aktualisieren des SafeGuard Configuration Protection Client Moduls siehe Aktualisieren von SafeGuard Configuration Protection Seite 83 95 SafeGuard Enterprise 16 Aktualisieren des Betriebssystems Wenn SafeGuard Enterprise installiert ist ist es nur m glich die Service Pack Version Ihres Betriebssystems zu aktualisieren Sie k nnen z B ein neues Windows XP Service Pack installieren Es ist jedoch nicht m glich von einer Betriebssystem Serie auf eine andere zu migrieren Sie k nnen z B nicht von Windows Vista auf Windows 7 umstellen wenn SafeGuard Enterprise installiert ist 96 Installationsanleitung 17 Migration von Sophos SafeGuard auf SafeGuard 17 1 Enterprise Sophos SafeGuard l sst sich leicht auf die SafeGuard Enterprise Suite mit zentralem Management erweitern um den vollen Funktionsumfang von SafeGuard Enterprise z B Benutzer und Computerverwaltung umfangreiche Protokolldat
12. Enterprise Clients GRAZ mit dem Web Service WS_1 1 Klicken Sie im SafeGuard Management Center im Extras Men auf Optionen und dann auf Datenbank 2 W hlen Sie unter Verbindungseinstellungen WS_1 als Datenbankserver und GRAZ als Datenbank auf Server Klicken Sie auf OK Installationsanleitung 14 5 14 6 Klicken Sie im Extras Men auf Konfigurationspakete und dann auf Server Konfigurationspaket erstellen W hlen Sie den Server WS_1 den Ausgabepfad und klicken Sie auf Konfigurationspaket erstellen Wechseln Sie auf die Registerkarte Konfigurationspaket Managed erstellen Klicken Sie auf Konfigurationspaket hinzuf gen und geben Sie einen Namen f r das Paket ein W hlen Sie unter Prim rer Server den korrekten Server mit dem die SafeGuard Enterprise Clients GRAZ verbunden werden sollen WS_1 Legen Sie den Ausgabepfad fest und klicken Sie auf Konfigurationspaket erstellen Die SafeGuard Enterprise Server und Client Konfigurationspakete f r die Datenbank GRAZ werden am definierten Ausgabeort erstellt Erzeugen der Konfigurationspakete f r die Datenbank LINZ Sie m ssen die Konfigurationspakete f r die Datenbank LINZ erzeugen Ein Paket f r Server WS_2 f r die Kommunikation mit der Datenbank GRAZ sowie ein Paket f r die Verbindung des SafeGuard Enterprise Clients LINZ mit dem Web Service WS_2 1 Klicken Sie im SafeGuard Management Center im Extras Men auf Optionen und dann auf Datenbank W hl
13. Geben Sie unter Anmeldung mit Token an ob Sie einen Token eine Smartcard f r die Anmeldung benutzen m chten oder nicht Wir empfehlen dass Sie die Anmeldung mit Token nicht als Zwingend erforderlich definieren Eine Anmeldung mit Token bzw Smartcard erfordert eine gesonderte Konfiguration die innerhalb des SafeGuard Management Centers zu erledigen ist 3 F hren Sie auf der Seite Zertifikat f r den Haupt Sicherheitsbeauftragten einen der folgenden Schritte aus E Klicken Sie auf Erzeugen um ein neues Zertifikat f r den Haupt Sicherheitsbeauftragten zu erzeugen Sie werden dazu aufgefordert sowohl f r den Zertifikatsspeicher als auch f r die Datei in die das Zertifikat exportiert werden soll private Schl sseldatei P12 jeweils ein Kennwort einzugeben und zu best tigen Das Zertifikat wird erzeugt und unter Zertifikat f r den Haupt Sicherheitsbeauftragten angezeigt 37 SafeGuard Enterprise 6 4 6 1 6 4 6 2 38 E Klicken Sie auf Importieren um ein Zertifikat f r den Haupt Sicherheitsbeauftragten zu verwenden das bereits auf dem Netz zur Verf gung steht Suchen Sie unter Importieren des Zertifikats die gesicherte Schl sseldatei Geben Sie unter Kennwort der Datei das f r diese Datei festgelegte Kennwort ein und best tigen Sie es W hlen Sie Schl sseldatei im Zertifikatsspeicher speichern und geben Sie das Kennwort f r den Speicher ein Klicken Sie auf OK Das Zertifikat wird importiert und unter Zertifikat f
14. Internetinformationsdienste Manager IIS Manager EB WWW Publishingdienst Nur notwendige Webdiensterweiterungen aktivieren Stellen Sie sicher dass nur notwendige Webdiensterweiterungen aktiviert werden Dadurch reduziert sich das Risiko dass der IIS Server angegriffen wird Deaktivieren Sie alle unn tigen Einstellungen Die folgenden Einstellungen sind notwendig damit der IIS Server mit dem SafeGuard Enterprise Server l uft Webdiensterweiterungen E ASP NET v 1 1 4322 Prohibited E ASP NET v 2 50727 Allowed Website Inhalte auf eigener Partition IIS speichert die Dateien f r seine Default Website in folgendem Ordner systemroot inetpub wwwroot systemroot ist das Laufwerk auf dem das Windows Server 2003 Betriebssystem installiert ist Installationsanleitung 4 3 4 Verschieben Sie alle Dateien und Ordner f r Websites und Applikationen auf eigene Partitionen die vom Betriebssystem getrennt sind Dies tr gt zur Verhinderung von Angriffen bei bei denen der Angreifer eine Anfrage nach einer Datei sendet die sich au erhalb der Verzeichnisstruktur des IIS Servers befindet F r die Musterkonfiguration k nnen die Dateien und Ordner wie folgt verschoben werden m IIS Web Dateien nach E inetpub E SafeGuard Enterprise Server Web Dateien nach F mycompany web Hinweis Nach dem Verschieben der Web Dateien m ssen Sie die Pfadinformationen im IIS Manager entsprechend aktualisieren Einstellen von NTFS Berechtigun
15. Management Center f r die Unterst tzung von nur einer Datenbank installiert werden soll w hlen Sie eine Installation vom Typ Typisch aus m Wenn das SafeGuard Management Center f r die Unterst tzung mehrerer Datenbanken installiert werden soll Multi Tenancy w hlen Sie eine Installation vom Typ Typisch aus F r weitere Informationen siehe Multi Tenancy Konfigurationen Seite 35 6 Klicken Sie auf Beenden um die Installation abzuschlie en 7 Starten Sie Ihren ggf Computer neu 97 SafeGuard Enterprise 17 2 98 8 Starten Sie das SafeGuard Management Center um die Erstkonfiguration durchzuf hren siehe Konfigurieren des SafeGuard Management Centers Seite 34 Der SafeGuard Policy Editor wurde auf das SafeGuard Management Center migriert Migrieren von Sophos SafeGuard Client standalone auf SafeGuard Enterprise Client managed Es besteht die M glichkeit einen Endpoint Computer mit einer Sophos SafeGuard Client standalone Konfiguration auf eine SafeGuard Enterprise Client managed Konfiguration zu migrieren Die Endpoint Computer werden dann im SafeGuard Management Center zu Objekten die verwaltet werden k nnen und eine Verbindung zum SafeGuard Enterprise Server haben Voraussetzungen m F hren Sie ein Backup des Endpoint Computers durch bevor Sie die Migration starten m Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen So migrieren Sie Sophos SafeGuard Client standalone a
16. Registerkarte Server registrieren und klicken Sie auf Diesen Computer zum SGN Server machen 4 W hlen Sie die Registerkarte Server registrieren und klicken Sie auf Optionen Das SafeGuard Enterprise Server Configuration Setup wird automatisch gestartet 5 bernehmen Sie in allen folgenden Dialogen die Standardeinstellungen Der SafeGuard Enterprise Server ist installiert Ein Server Konfigurationspaket mit der Bezeichnung lt Server gt msi wird erstellt und direkt auf dem aktuellen Computer installiert Die Serverinformationen werden in der Registerkarte Server registrieren angezeigt Sie k nnen zus tzliche Konfigurationsschritte durchf hren Hinweis Wenn Sie ein neues Server Konfigurationspaket MSI auf dem SafeGuard Enterprise Server installieren m chten deinstallieren Sie zun chst das veraltete Konfigurationspaket L schen Sie dar ber hinaus den Local Cache manuell so dass er mit den neuen Konfigurationsdaten z B SSL Einstellungen aktualisiert werden kann Installieren Sie dieses Konfigurationspaket auf dem Server 49 SafeGuard Enterprise 50 8 2 Registrieren und Konfigurieren des SafeGuard Enterprise Servers f r die Benutzung auf einem anderen Computer Wenn der SafeGuard Enterprise Server auf einem anderen Computer als das SafeGuard Management Center installiert wurde registrieren und konfigurieren Sie den SafeGuard Enterprise Server 1 Starten Sie das SafeGuard Management Center 2 Klicken Sie im E
17. SafeGuard Configuration SGN_CP_Client msi optional Protection Schnittstellenschutz und Management von Peripherieger ten auf Endpoint Computern Dieses Installationspaket gilt nur f r SafeGuard Enterprise Clients f r Sophos SafeGuard Clients standalone nicht verf gbar 14 Endpoint Computer konfigurieren Konfigurationspaket Konfigurationspaket f r Endpoint Computer Konfigurationspakete Funktion managed oder standalone erzeugen und auf dem im SafeGuard Management Endpoint Computer installieren Center 3 7 Installationsschritte f r SafeGuard Enterprise Client auf mehreren Betriebssystemen Runtime System Der so genannte Runtime Client erm glicht das Booten von einem sekund ren Boot Laufwerk wenn mehrere Betriebssysteme installiert sind und erlaubt den Zugriff auf diese Laufwerke wenn diese durch eine SafeGuard Enterprise Installation verschl sselt sind Diese L sung steht sowohl f r SafeGuard Enterprise Clients managed als auch f r Sophos SafeGuard Clients standalone zur Verf gung Hinweis SafeGuard Enterprise for Windows unterst tzt keine Apple Hardware und kann nicht in einer Bootcamp Umgebung installiert werden Es kann nur das SafeGuard Device Encryption Installationspaket verwendet werden Wenn nur SafeGuard Data Exchange installiert ist kann der Runtime Client nicht verwendet werden Wenn das Betriebssystem des Endpoint Computers Windows 7 64 Bit oder Windows Vista 64 Bit ist
18. Seite mit dem Eintrag Check Connection erscheint ist die Verbindung zum SafeGuard Enterprise Server hergestellt F r weitere Informationen siehe Testen Der Verbindung IIS 6 auf Windows Server 2003 Seite 47 Spezifische vorbereitende Ma nahmen f r die Unterst tzung von BitLocker Device Encryption Hinweis Entscheiden Sie vor der Installation ob Sie SafeGuard Enterprise in Verbindung mit der BitLocker Drive Encryption oder die volume basierende Verschl sselung von SafeGuard Enterprise anwenden m chten Wenn Sie versuchen beides gleichzeitig zu installieren wird die Installation abgebrochen Wenn Sie mit SafeGuard Enterprise BitLocker Endpoint Computer verwalten m chten sind folgende spezifische vorbereitende Ma nahmen auf dem Endpoint Computer zu treffen E Auf dem Endpoint Computer muss Windows Vista Enterprise oder Ultimate oder Windows 7 installiert sein E Es muss eine zweite Partition f r das BitLocker System Volume mit einer NTFS formatierte Klartextpartition mit mindestens 1 5 GB vorhanden sein Microsoft bietet ein BitLocker Partitionierungs Tool E BitLocker Device Encryption muss installiert und aktiviert sein E Wenn TPM f r die Authentisierung verwendet werden soll muss TPM initialisiert im Besitz und aktiviert sein E Wenn Sie die volume basierende Verschl sselung von SafeGuard Enterprise installieren m chten sollten Sie sicherstellen dass die Volumes nicht bereits mit BitLocker Drive Encryption ve
19. Server auf IIS installieren Zuerst m ssen Sie Microsoft Internet Information Services IIS installieren und konfigurieren Voraussetzungen Folgende Voraussetzungen m ssen erf llt sein E Sie ben tigen Windows Administratorrechte E Microsoft Internet Information Services IIS muss verf gbar sein IIS ist kostenlos verf gbar Sie finden das Programm z B auf Ihrer Windows DVD oder auf der Microsoft Website E Wenn Sie SSL als Transportverschl sselung zwischen SafeGuard Enterprise Server und SafeGuard Enterprise Client verwenden muss der IIS daf r eingerichtet werden siehe Sichern von Transportverbindungen mit SSL Seite 9 Ein Zertifikat muss ausgestellt werden und der IIS Server so konfiguriert werden dass er SSL verwendet und auf das Zertifikat zeigt Der Servername den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben muss identisch sein mit dem Servernamen den Sie vorab im SSL Zertifikat angegeben haben Sonst k nnen Client und Server nicht miteinander kommunizieren F r jeden SafeGuard Enterprise Server wird ein separates SSL Zertifikat ben tigt Wenn Sie Network Load Balancer einsetzen vergewissern Sie sich dass der Portbereich den SSL Port mit einschlie t E NET Framework 3 5 Service Pack 1 muss verf gbar sein Sie finden das Programm in der SafeGuard Enterprise Produktlieferung E ASP NET Version 2 0 50727 muss verf gbar sein Sie finden das Programm z B auf Ihrer Windows DVD Je nac
20. Sie weiterhin benutzen m chten neu Um das SafeGuard Management Center benutzen zu k nnen importieren Sie nach der Installation das alte Maschinenzertifikat Um die SafeGuard Enterprise Verschl sselungssoftware benutzen zu k nnen installieren Sie nach der Installation der Verschl sselungssoftware das Client Konfigurationspaket Bevor Sie die Verschl sselungssoftware deinstallieren deinstallieren Sie zun chst das Konfigurationspaket Sie k nnen die Verschl sselungssoftware f r Volumes die mit einem benutzerspezifischen Schl ssel verschl sselt sind der Ihnen nicht zugewiesen ist nicht deinstallieren Wenn Sie SafeGuard Device Encryption Client Volumes deinstallieren die mit dem Standard Maschinenschl ssel verschl sselt wurden werden diese automatisch entschl sselt Um mit anderen Schl sseln verschl sselte Volumes zu entschl sseln erstellen Sie vor der Deinstallation von SafeGuard Device Encryption eine entsprechende Richtlinie und weisen Sie diese zu W hrend der Deinstallation der Verschl sselungssoftware die auch die Entschl sselung verschl sselter Volumes umfasst sollte der Computer nicht heruntergefahren oder neu gestartet werden Andernfalls gibt der Deinstaller eine Fehlermeldung aus Wird die Deinstallation ber ein Active Directory ausgel st stellen Sie sicher dass zuvor alle volume basierend verschl sselten Volumes korrekt entschl sselt wurden Nach einer Deinstallation verbleiben u U einige Date
21. TCP Installationsanleitung 7 1 2 Authentisierungsmethode ffnen Sie auf dem Computer auf dem SafeGuard Enterprise Server installiert ist den Internet Information Services IIS Manager Klicken Sie in der Baumstruktur auf Internet Information Services Manager Klicken Sie auf Servername Websites Standard Website Klicken Sie mit der rechten Maustaste auf SGNSRV und klicken Sie auf Eigenschaften 4 Klicken Sie auf die Registerkarte Verzeichnissicherheit Klicken Sie unter Authentifizierung und Zugriffssteuerung auf Bearbeiten In Authentifizierungsverfahren w hlen Sie Anonymen Zugriff aktivieren Deaktivieren Sie unter Authentifizierter Zugriff das Kontrollk stchen Integrierte Windows Authentifizierung 7 1 3 Proxyserver Einstellungen f r Webserver und Endpoint Computer Definieren Sie die Proxyserver Einstellungen wie folgt l Klicken Sie im Internet Explorer im Extras Men auf Internetoptionen Klicken Sie auf Verbindungen und dann auf LAN Einstellungen Deaktivieren Sie in LAN Einstellungen unter Proxyserver das Kontrollk stchen Proxyserver f r LAN verwenden Wenn ein Proxyserver notwendig ist w hlen Sie Proxyserver f r lokale Adressen umgehen 7 1 4 Microsoft SQL Server 2005 Einstellungen Wenn Sie Microsoft SQL Server 2005 verwenden nehmen Sie die folgenden Einstellungen vor l 2 3 ffnen Sie Microsoft SQL Server Management Studio Klicken Sie im linken Bereich des Objec
22. Verschl sselungssoftware die Eigenschaft FIPS_AES auf 1 Hierzu gibt es zwei M glichkeiten E F gen Sie die Eigenschaft zum Kommandozeilen Skript hinzu msiexec i F Software SGNClient msi FIPS_AES 1 E Verwenden Sie ein Transform Installation auf Endpoint Computern mit selbst verschl sselnden Opal Festplatten SafeGuard Enterprise unterst tzt den anbieter unabh ngigen Opal Standard f r selbst verschl sselnde Festplatten und bietet die Verwaltung von Endpoint Computern mit dieser Art von Festplatten Installationsanleitung Um sicherzustellen dass die Unterst tzung von selbst verschl sselnden Opal Festplatten diesem Standard m glichst genau entspricht werden bei der Installation von SafeGuard Enterprise auf dem Endpoint Computer zwei Arten von Pr fungen durchgef hrt E Funktionale Pr fungen Hier wird u a gepr ft ob sich die Festplatte als OPAL Festplatte identifiziert ob Kommunikationseinstellungen korrekt sind und ob alle f r SafeGuard Enterprise erforderlichen Opal Features von der Festplatte unterst tzt werden E Sicherheitspr fungen Mit Sicherheitspr fungen wird sichergestellt dass nur SafeGuard Enterprise Benutzer auf der Festplatte registriert sind und dass nur SafeGuard Enterprise Benutzer die Schl ssel f r die software basierende Verschl sselung von nicht selbst verschl sselnden Laufwerken haben Wird bei der Installation festgestellt dass andere Benutzer registriert sind versucht SafeGu
23. aktiviert werden kann dies zu unerw nschten Ergebnissen f hren Hinweis Detaillierte Informationen zur Absicherung von Web Servern finden Sie im Microsoft Solutions for Security and Compliance Windows Server 2003 Security Guide der auf der Microsoft Website kostenlos zum Download zur Verf gung steht Die Beschreibungen in diesem Kapitel basieren auf folgender Musterkonfiguration E Server 1 Microsoft Windows Server 2003 SP1 SafeGuard Enterprise Server aktuelle Version SafeGuard Management Center aktuelle Version Microsoft SQL Server 2005 Express IIS mit minimalen Komponenten 19 SafeGuard Enterprise 4 3 1 4 3 2 4 3 3 20 E Server 2 Microsoft Windows Server 2003 SP1 SafeGuard Enterprise Server aktuelle Version Microsoft SQL Server 2005 Express IIS mit minimalen Komponenten Auf Server 2 l uft nur der SafeGuard Enterprise Server IIS Server Wenn Server 2 zus tzlich in Gebrauch ist werden die f r Server 1 aktivierten Dienste automatisch deaktiviert E Client SafeGuard Enterprise Client SafeGuard Management Center aktuelle Version Nur notwendige IIS Komponenten installieren Stellen Sie sicher dass nur notwendige IIS Komponenten installiert werden Dadurch reduziert sich das Risiko dass der IIS Server angegriffen wird Deaktivieren Sie alle unn tigen Einstellungen Der IIS Server l uft mit SafeGuard Enterprise Server mit den folgenden minimalen Komponenten E Gemeinsame Dateien E
24. auf Zulassen Dateien erstellen Daten schreiben L schen und Lesen 8 Klicken Sie auf OK und beenden Sie den Windows Explorer 9 ffnen Sie den Internet Information Services Manager 31 SafeGuard Enterprise 32 10 W hlen Sie im Verbindungen Bereich auf der linken Seite die Anwendungspools f r den relevanten Server Knoten 11 W hlen Sie aus der Anwendungspools Liste auf der rechten Seite SGNSRV Pool 12 W hlen Sie im Aktionen Bereich auf der linken Seite Erweiterte Einstellungen 13 Klicken Sie in Erweiterte Einstellungen unter Prozessmodell f r die Eigenschaft Identit t auf die Schaltfl che 14 W hlen Sie in Identit t des Anwendungspools die Option Benutzerdefiniertes Konto und klicken Sie auf Festlegen 15 Geben Sie in Anmeldeinformationen festlegen den relevanten Windows Benutzernamen in folgender Form ein Dom ne Windows Benutzername Geben Sie das entsprechende Windows Kennwort ein best tigen Sie es und klicken Sie auf OK 16 W hlen Sie im Bereich Verbindungen auf der linken Seite den relevanten Server Knoten und klicken Sie im Aktionen Bereich auf Neu starten 17 W hlen Sie im Bereich Verbindungen auf der linken Seite unter dem relevanten Server Knoten unter Sites Standard Websites die Option SGNSRV 18 W hlen Sie im Aktionen Bereich auf der rechten Seite die Option Authentifizierung 19 Klicken Sie mit der rechten Maustaste auf Anonyme Authentifizierung und w hlen Sie Bearbeiten 20
25. auf die Datenbankserverinstanz benutzt werden soll Dies ist erforderlich damit das SafeGuard Management Center mit der Datenbank kommunizieren kann E Aktivieren Sie Windows NT Authentisierung verwenden um Ihre Windows Anmeldedaten zu verwenden Hinweis Verwenden Sie diese Art der Authentisierung wenn Ihr Computer Teil einer Dom ne ist Es sind jedoch noch zus tzliche Konfigurationsschritte erforderlich da der Benutzer zur Herstellung einer Verbindung mit der Datenbank berechtigt sein muss siehe Erstellen eines Windows Benutzerkontos f r die Anmeldung am SQL Server Seite 26 und siehe Durchf hren von weiteren Konfigurationsschritten bei Benutzung eines Windows Benutzerkontos f r die Anmeldung am SQL Server Seite 31 E Aktivieren Sie SQL Server Authentisierung verwenden um mit den entsprechenden SQL Anmeldeinformationen auf die Datenbank zuzugreifen Geben Sie die Anmeldeinformationen des SQL Benutzerkontos ein das Ihr SQOL Administrator erstellt hat Falls notwendig erhalten Sie diese Informationen von Ihrem SQL Administrator Hinweis Verwenden Sie diese Art der Authentisierung wenn Ihr Computer keiner Dom ne angeh rt Aktivieren Sie SSL verwenden um die Verbindung zum und vom Datenbankserver zu sichern 3 Klicken Sie auf Weiter Die Verbindung zum Datenbankserver ist hergestellt 36 Installationsanleitung 6 4 5 6 4 6 Erstellen oder Ausw hlen einer Datenbank Legen Sie auf der Seite Datenbankei
26. der Client Installationspakete lt Paketname gt _x64 msi installieren Die folgende Tabelle zeigt die f r Sophos SafeGuard Clients standalone verf gbaren Installationspakete Paket Beschreibung SGxClientPreinstall msi Muss vor der Verschl sselungssoftware auf den Endpoint Computern installiert werden obligatorisch Stattet Endpoint Computer mit notwendigen Voraussetzungen f r eine erfolgreiche Installation der Verschl sselungssoftware aus SGNClient msi SafeGuard Enterprise Device Encryption SGNClient_x64 msi Volume basierende Verschl sselung mit Power on Authentication SafeGuard Data Exchange Einfacher Datenaustausch mit Wechselmedien auf allen Plattformen ohne Neuverschl sselung Dateibasierende Verschl sselung SGNClient_withoutDE msi SGNClient_withoutDE_x64 msi Srfe uard Data Exchange Einfacher Datenaustausch mit Wechselmedien auf allen Plattformen ohne Neuverschl sselung Dateibasierende Verschl sselung ohne Power on Authentication SGNClientRuntime msi Runtime Client der das Starten des Computers von einem sekund ren Boot Volume erm glicht wenn mehrere Betriebssysteme installiert sind Zugriff auf diese Volumes wenn sie auf dem prim ren Volume durch eine SafeGuard Enterprise Installation verschl sselt sind SGNClientRuntime_x64 msi Einschr nkungen Beachten Sie die in den folgenden Abschnitten beschriebenen Einschr nkungen f r SafeGuard Enterprise auf Endp
27. ffneten Applikationen Mm berpr fen Sie die Systemanforderungen http www sophos de products enterprise encryption safeguard enterprise sysregs html E Lesen Sie die Release Notes F r Informationen zu den vorbereitenden Ma nahmen auf dem Endpoint Computer siehe Vorbereiten der Verschl sselung Seite 57 Installer Download 1 Gehen Sie auf https secure sophos com support updates 2 Geben Sie Ihren MySophos Benutzer und Ihr Kennwort ein 13 SafeGuard Enterprise 3 Klicken Sie auf der Web Seite f r Data Protection Downloads auf SafeGuard Enterprise und laden Sie die SafeGuard Enterprise Installer sowie die Dokumentation herunter 4 Legen Sie die Dateien an einem Speicherort ab an dem Sie auf diese f r die Installation Zugriff haben 14 Installationsanleitung 4 Einrichten des SafeGuard Enterprise Servers 4 1 Der SafeGuard Enterprise Server stellt die Schnittstelle zu den SafeGuard Enterprise Clients her Er greift wie das SafeGuard Management Center auf die Datenbank zu Er l uft als Applikation auf einem Web Server basierend auf Microsoft Internet Information Services IIS Wir empfehlen den Einsatz eines dedizierten IIS f r SafeGuard Enterprise Server Dadurch wird die Performance verbessert Au erdem verhindert dies dass andere Anwendungen mit SafeGuard Enterprise in Konflikt geraten z B wegen der verwendeten Version von ASP NET Dieses Kapitel beschreibt wie Sie SafeGuard Enterprise
28. im Tools Verzeichnis der Produktlieferung zwei Skripts zur Verf gung m CreateDatabase sql m CreateTables sql Die folgende Beschreibung der Arbeitsschritte wendet sich an SQL Administratoren und bezieht sich auf Microsoft SQL Server 2008 Standard Edition Als SQL Administrator ben tigen Sie das Recht zum Erstellen einer Datenbank 1 Kopieren Sie die Skripts CreateDatabase sql und CreateTables sql aus der SafeGuard Enterprise Produktlieferung auf den SQL Server 2 Starten Sie das Skript CreateDatabase sql durch Doppelklick Das Programm SQL Server Management Studio wird aufgerufen 3 Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an 4 berpr fen Sie ob die beiden Zielpfade die zu Beginn des Skripts unter FILENAME MDF LDF angegeben sind auf der lokalen Festplatte vorhanden sind Korrigieren Sie sie wenn n tig 5 Klicken Sie auf die Schaltfl che Ausf hren um die Datenbank zu erzeugen Sie haben die Datenbank SafeGuard angelegt Erzeugen Sie anschlie end die Tabellen mit Hilfe des Skripts CreateTables sql aus der Produktlieferung 6 Doppelklicken Sie auf CreateTables sql Ein weiterer Bereich wird in Microsoft SQL Server Management Studio ge ffnet 7 Geben Sie am Beginn des Skripts use SafeGuard ein um die SafeGuard Enterprise Datenbank auszuw hlen in der die Tabellen erstellt werden sollen 8 Klicken Sie auf die Schaltfl che Ausf hren um die Datenbank zu erzeugen Die SafeGuard Enterprise
29. installieren deinstallieren sie zun chst veraltete Konfigurationspakete Skript mit Befehlen f r die automatische Installation Wir empfehlen das Windows Installer Kommandozeilen Tool msiexec exe zu verwenden um das Skript zu erzeugen F r weitere Informationen siehe Kommando f r zentrale Installation Seite 64 oder http msdn microsoft com en us library aa367988 VS 85 aspx 3 Erstellen Sie ein Verzeichnis mit der Bezeichnung Software als zentralen Speicherort f r alle Anwendungen 4 Um das Skript zu erzeugen ffnen Sie eine Befehlseingabeaufforderung und geben Sie die Scripting Befehle ein 5 Verteilen Sie das Paket ber unternehmensinterne Software Verteilungsmechanismen an die Endpoint Computer Das Paket wird auf den Endpoint Computern ausgef hrt Danach sind die Endpoint Computer f r den Einsatz von SafeGuard Enterprise bereit 63 SafeGuard Enterprise 10 2 64 6 Starten Sie nach der Installation die Endpoint Computer zweimal neu um die Power on Authentication zu aktivieren Starten Sie den Computer ein drittes Mal neu um eine Sicherung der Kerneldaten bei jedem Windows Start durchzuf hren Diese Sicherungskopie wird nicht erstellt wenn der Endpoint Computer nur in den Ruhezustand oder in den Standby Modus versetzt wird Stellen Sie sicher dass der Computer nicht in den Ruhezustand oder den Standby Modus versetzt sondern ein drittes Mal neu gestartet wird um eine Sicherung de
30. installiert ist Hinweis Installationsanleitung Feature Parents Feature SafeGuard Data Exchange kann parallel zum BitLocker Client installiert werden Client BitLockerSupport Installiert die BitLocker Unterst tzung f r SafeGuard Enterprise mit den folgenden Funktionen Boot Volume Verschl sselung mit BitLocker Verschl sselung weiterer Volumes mit BitLocker BitLocker Pre Boot Authentication BitLocker Recovery Es kann entweder SectorBasedEncryption ODER BitLockerSupport angegeben werden Hinweis F r Sophos SafeGuard Clients standalone nicht verf gbar Client ConfigurationProtection Schnittstellenschutz und Management von Peripherieger ten Um SafeGuard Configuration Protection zu installieren m ssen Sie das Feature im msiexec Kommando des Client Installationspakets angeben UND zus tzliche Installationsschritte durchf hren siehe Einrichten von SafeGuard Configuration Protection Seite 78 Hinweis F r Sophos SafeGuard Clients standalone nicht verf gbar 10 3 2 Features f r SafeGuard Data Exchange Hinweis Die Features Client und Authentication m ssen Sie standardm ig auflisten Wenn Sie ein Feature ausw hlen m ssen Sie auch alle bergeordneten Features Feature Parents zur Kommandozeile hinzuf gen Feature Parents Feature Client eg Authentication Das Feature Authentication und sein Feature Parent Client m ssen standardm ig angegeben
31. jeder gr er angelegten SafeGuard Enterprise Installation die aktuelle Version der POA Konfigurationsdatei zu installieren Die Datei wird monatlich aktualisiert und steht hier zum Download zur Verf gung ftp POACFG POACFG ftp ou utimaco de Sie k nnen uns bei der Optimierung der Hardware Kompatibilit t unterst tzen indem Sie ein von uns zur Verf gung gestelltes Tool ausf hren Dieses Tool liefert ausschlie lich Hardware relevante Informationen Das Tool ist einfach zu bedienen Die gesammelten Informationen werden zur Hardware Konfigurationsdatei hinzugef gt F r weitere Informationen siehe http www sophos de support knowledgebase article 110285 html und http www sophos de support knowledgebase article 65700 html E Untersuchen Sie die Festplatte n mit folgendem Kommando auf Fehler chkdsk drive F V X Unter Umst nden werden Sie dazu aufgefordert den Computer neu zu starten und chkdsk noch einmal auszuf hren Weitere Informationen finden Sie hier http www sophos de support knowledgebase article 107799 html Die Ergebnisse Log Datei k nnen Sie in der Windows Ereignisanzeige pr fen Windows XP W hlen Sie Anwendung Winlogon Windows 7 Windows Vista W hlen Sie Windows Logs Anwendung Wininit E Benutzen Sie das Windows Tool defrag um fragmentierte Boot Dateien Datendateien und Ordner auflokalen Volumes aufzufinden und zu konsolidieren Weitere Informationen finden Sie hier http www sophos de support kn
32. k nnen sie sich an SafeGuard Enterprise nicht anmelden Die automatische Anmeldung an Windows wird in diesem Fall abgewiesen und die Benutzer k nnen sich nicht mehr an SafeGuard Enterprise anmelden Es besteht die Gefahr des Datenverlusts da Benutzer nicht in der Lage sind auf ihre Computer zuzugreifen 18 5 Starten der Migration Hinweis Die Installation kann auf einem laufenden SafeGuard Easy Sophos SafeGuard Disk Encryption System durchgef hrt werden Verschl sselte Festplatten oder Volumes m ssen nicht vorab entschl sselt werden Verwenden Sie das SafeGuard Device Encryption Client Installationspaket SGNClient msi aus dem Installationsverzeichnis mit dem Standard Funktionsumfang Das Client Paket SGNClient_withoutDE msi kann nicht verwendet werden Die Installation sollte am besten zentral im unbeaufsichtigten Modus erfolgen Die lokale Installation ber das Setup Verzeichnis wird nicht empfohlen So f hren Sie die Migration durch 1 Doppelklicken Sie im SafeGuard Easy Sophos SafeGuard Disk Encryption Programmordner des zu migrierenden Endpoint Computers auf WIZLDR exe Der Migrationsassistent wird gestartet 103 SafeGuard Enterprise Geben Sie im Migrationsassistenten das SYSTEM Kennwort ein und klicken Sie auf Weiter Klicken Sie im Zielordner auf Weiter und dann auf Beenden Die Migrations Konfigurationsdatei SGEMIG cfg wird erzeugt Benennen Sie diese Datei im Windows Explorer von SGEMIG cfg in SGE2SGN
33. r den Haupt Sicherheitsbeauftragten angezeigt Der Haupt Sicherheitsbeauftragte ben tigt das Kennwort des Zertifikatsspeichers f r die Anmeldung am SafeGuard Management Center Notieren Sie sich das Kennwort und bewahren Sie es an einem sicheren Ort auf Steht das Kennwort nicht mehr zur Verf gung so kann sich der Haupt Sicherheitsbeauftragte nicht mehr am SafeGuard Management Center anmelden F r die Wiederherstellung einer besch digten SafeGuard Management Center Installation ben tigt der Haupt Sicherheitsbeauftragte die private Schl sseldatei 4 Klicken Sie auf Weiter Der Haupt Sicherheitsbeauftragte ist angelegt Erzeugen des Zertifikats des Haupt Sicherheitsbeauftragten Gehen Sie in Zertifikat des Haupt Sicherheitsbeauftragten erzeugen folgenderma en vor 1 Best tigen Sie unter Haupt Sicherheitsbeauftragten ID den Namen des Haupt Sicherheitsbeauftragten 2 Geben Sie nun zweimal das Kennwort f r den Zertifikatsspeicher ein und klicken Sie auf OK Das Zertifikat des Haupt Sicherheitsbeauftragten wird erzeugt und lokal als Backup lt mso_name gt cer gespeichert Hinweis Notieren Sie sich das Kennwort und bewahren Sie es an einem sicheren Ort auf Sie m ssen sich am SafeGuard Management Center anmelden Export des Zertifikats des Haupt Sicherheitsbeauftragten Das Zertifikat des Haupt Sicherheitsbeauftragten wird in eine Datei exportiert die so genannte private Schl sseldatei P12 Diese ist mit einem Kenn
34. um die Installation abzuschlie en Das SafeGuard Management Center ist installiert Starten Sie Ihren ggf Computer neu Im n chsten Schritt f hren Sie die Erstkonfiguration im SafeGuard Management Center durch Anzeigen des SafeGuard Management Center Hilfesystems Das SafeGuard Management Center Hilfesystem wird in Ihrem Browser angezeigt Es bietet umfassende Features wie kontextsensitive Hilfe und Volltextsuche Das Hilfesystem ist f r die volle Funktionalit t der Inhaltsseiten konfiguriert und aktiviert JavaScript in Ihrem Browser Beim Microsoft Internet Explorer zeigt sich folgendes Verhalten E Windows XP Windows Vista Windows 7 Internet Explorer 6 7 8 Standardsicherheit Es wird keine Sicherheitsleiste angezeigt die angibt dass der Internet Explorer die Scripting Ausf hrung gesperrt hat JavaScript wird ausgef hrt m Windows 2003 Server Enterprise Edition Internet Explorer 6 Erweiterte Sicherheitskonfiguration Standardinstallationskonfiguration Eine Informationsbox gibt an dass die erweiterte Sicherheitskonfiguration aktiviert ist und die Seite das Scripting ausf hrt Sie k nnen diese Meldung deaktivieren JavaScript wird ausgef hrt Hinweis Auch wenn JavaScript deaktiviert ist k nnen Sie das SafeGuard Management Center Hilfesystem aufrufen und im System navigieren Bestimmte Funktionen z B die Suche lassen sich dann jedoch nicht anzeigen Konfigurieren des SafeGuard Management Centers Nach
35. und Haupt Sicherheitsbeauftragten anlegen 9 SafeGuard Enterprise Server registrieren und Server Konfigurationspaket konfigurieren Server Konfigurationspaket erzeugen Konfigurationspakete Funktion und auf dem IIS Server installieren im SafeGuard Management Center 10 Organisationsstruktur erstellen oder aus Active SafeGuard Management Center Directory importieren SafeGuard Enterprise Client 11 Obligatorisches vorbereitendes Paket installieren SGxClientPreinstall msi um die Endpoint Computer f r eine erfolgreiche Installation vorzubereiten 12 Eines der beiden SafeGuard Enterprise Verschl sselungssoftware Pakete auf dem Endpoint Computer installieren SafeGuard Device Encryption E Volume basierende Verschl sselung m dateibasierende Verschl sselung SafeGuard Data Exchange SGNClient msi SGNClient_x64 msi 11 SafeGuard Enterprise 12 Nr Schritt Installation Konfiguration Dieses Installationspaket gilt sowohl f r SafeGuard Enterprise Clients managed als auch f r Sophos SafeGuard Clients standalone SafeGuard Data Exchange SGNClient_withoutDE msi E Dateibasierende Verschl sselung SGNClient_withoutDE_x64 msi E ohne Power on Authentication Dieses Installationspaket gilt sowohl f r SafeGuard Enterprise Clients managed als auch f r Sophos SafeGuard Clients standalone F r die Unterst tzung von BitLocker Device Encryption nicht verf gbar 13 Installieren Sie zus tzlich
36. wird protokolliert Hinweis Wenn Sie eine Demoversion verwenden sollten Sie diese Richtlinieneinstellung nicht aktivieren bzw vor Ablauf der Demoversion deaktivieren damit die Demoversion auf einfache Art und Weise deinstalliert werden kann Installationsanleitung 20 Technischer Support Technischen Support zu Sophos Produkten k nnen Sie wie folgt abrufen E Rufen Sie das SophosTalk Forum unter http community sophos com auf und suchen Sie nach Benutzern mit dem gleichen Problem E Durchsuchen Sie die Sophos Support Knowledgebase unter http www sophos de support E Laden Sie Dokumentation zu den Produkten unter http www sophos de support docs herunter E Senden Sie eine E Mail an den technischen Support support sophos de und geben Sie die Versionsnummer n Betriebssystem e und Patch Level Ihrer Sophos Software sowie ggf den genauen Wortlaut von Fehlermeldungen an 109 SafeGuard Enterprise 21 Rechtliche Hinweise Copyright 1996 2011 Sophos Group Alle Rechte vorbehalten SafeGuard ist ein eingetragenes Warenzeichen von Sophos Group Sophos ist ein eingetragenes Warenzeichen von Sophos Limited Sophos Group bzw Utimaco Safeware AG Alle anderen erw hnten Produkt und Unternehmensnamen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Inhaber Diese Publikation darf weder elektronisch oder mechanisch reproduziert elektronisch gespeichert oder bertragen noch fotokopiert oder aufge
37. zu erm glichen Das SafeGuard Management Center kann auf jedem Rechner im Netzwerk installiert sein von wo aus auf die Datenbank zugegriffen werden kann SafeGuard Enterprise verwaltet die Zugriffsrechte auf das SafeGuard Management Center in einem eigenen Zertifikatsverzeichnis In diesem Verzeichnis m ssen die Zertifikate aller Sicherheitsbeauftragten die sich am SafeGuard Management Center anmelden d rfen vorhanden sein F r die Anmeldung an das SafeGuard Management Center ist dann nur das Kennwort f r den Zertifikatsspeicher erforderlich 1 Installieren Sie SGNManagementCenter msi mit den gew nschten Features auf einem weiteren Computer 2 Starten Sie das SafeGuard Management Center auf dem Computer mit dem neu installierten SafeGuard Management Center Der Konfigurationsassistent wird gestartet und f hrt Sie durch die notwendigen Schritte 3 Klicken Sie auf der Willkommen Seite auf Weiter 4 W hlen Sie im Dialog Datenbankverbindung unter Datenbankserver die erforderliche SQL Datenbankinstanz aus der Liste aus Alle auf Ihrem Computer oder Netzwerk verf gbaren Datenbankserver werden angezeigt W hlen Sie unter Authentisierung die Art der Authentisierung die f r den Zugriff auf diese Datenbankinstanz benutzt werden soll Wenn Sie SQL Server Authentisierung verwenden w hlen geben Sie die SQL Benutzerkontenanmeldedaten ein die Ihr SQL Administrator erstellt hat Klicken Sie auf Weiter 5 Aktivieren Sie unter Datenbankei
38. Computer befindet 4 Klicken Sie auf dem relevanten lt Client gt Installationspaket MSI doppelt um den Installationsassistenten der Verschl sselungssoftware zu starten Dieser f hrt Sie durch die notwendigen Schritte 5 bernehmen Sie in den folgenden Dialogen die Standardeinstellungen 6 W hlen Sie ggf den Installationstyp und die Features gem Ihren Anforderungen aus Kunden die SGNClient msi oder SGNClient_x64 msi installieren f hren einen der folgenden Handlungsschritte aus m W hlen Sie Vollst ndig um sowohl SafeGuard Enterprise Device Protection als auch Data Exchange zu installieren m W hlen Sie Typisch um nur SafeGuard Enterprise Device Protection zu installieren m W hlen Sie Angepasst um sowohl BitLocker Device Encryption zu installieren W hlen Sie unter Features das Feature Device Encryption aktivieren Sie BitLocker Support und deaktivieren Sie Base Encryption Hinweis 73 SafeGuard Enterprise 74 Es ist zwar m glich bei einer Erstinstallation nicht alle Features zu installieren wir empfehlen jedoch das Feature Device Encryption volume basierende Verschl sselung von Beginn an zu installieren 7 bernehmen Sie in allen weiteren Dialogen die Standardeinstellungen um den Installationsassistenten abzuschlie en SafeGuard Enterprise wird auf dem Endpoint Computer installiert 8 Wechseln Sie an den Speicherort des Standard Konfigurationspakets MSI das Sie zuvor im SafeGuard Ma
39. Datenbank und die zugeh rigen Tabellen werden erstellt 5 3 ndern der Zugriffsrechte f r die SafeGuard Enterprise Datenbank Nach dem Erstellen der SafeGuard Enterprise Datenbank entweder per Skript oder im SafeGuard Management Center k nnen die Zugriffsrechte wieder ge ndert werden Da es m glich ist einem Benutzer f r eine Datenbank unterschiedliche Rollen und Berechtigungen zuzuweisen werden nur die Rechte beschrieben die f r die Herstellung einer Verbindung zur SafeGuard Enterprise Datenbank mindestens erforderlich sind 1 ffnen Sie SQL Server Management Studio Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an 2 ffnen Sie den Objekt Explorer klicken Sie mit der rechten Maustaste auf Sicherheit und dann auf Anmeldungen 29 SafeGuard Enterprise 30 5 4 5 5 3 Klicken Sie mit der rechten Maustaste auf den erforderlichen Benutzer und w hlen Sie Figenschaften 4 W hlen Sie Benutzerzuordnung auf der linken Seite W hlen Sie unter Users mapped to this login Benutzer die dieser Anmeldung zugeordnet sind die Datenbank SafeGuard 5 Stellen Sie unter Database role membership for Datenbankrollenmitgliedschaft f r die Zugriffsrechte f r die Benutzung der SafeGuard Enterprise Datenbank ein w hlen Sie db_datareader db_datawriter und public 6 Klicken Sie auf OK berpr fung von Einstellungen f r SQL Dienste Named Pipes und TCP IP Diese Beschreibung bezieht sich auf Microsof
40. Microsoft Windows Server 2008 R2 mit Microsoft SQL Server 2008 Standard oder Express Edition F r Informationen zur Windows Authentisierung mit Windows Server 2003 und SQL Server 2005 siehe http www sophos de support knowledgebase article 108339 html Um die Kommunikation zwischen dem SafeGuard Enterprise Server und der SafeGuard Enterprise Datenbank bei Anwendung der Windows Authentisierung zu erm glichen muss der Benutzer zu einem Mitglied von Active Directory Gruppen gemacht werden Die Berechtigungen f r lokale Dateien m ssen angepasst werden und das SQL Benutzerkonto muss in den Anwendungspool des IIS aufgenommen werden 1 W hlen Sie Start und dann Ausf hren Geben Sie dsa msc ein ffnen Sie das Active Directory Users and Computers Snap in 2 Klappen Sie in der Navigationsstruktur auf der linken Seite die Dom nenstruktur aus und w hlen Sie Builtin 3 F gen Sie den relevanten Windows Benutzer zu folgenden Gruppen hinzu IIS_IUSRS Performance Log Users Performance Monitor Users 4 Beenden Sie das Snap in 5 Klicken Sie im lokalen Dateisystem im Windows Explorer mit der rechten Taste auf den C Windows Temp Ordner und w hlen Sie Sicherheit 6 Klicken Sie in Sicherheit auf Hinzuf gen und geben Sie unter Objektname den entsprechenden Windows Benutzernamen ein Klicken Sie auf OK 7 W hlen Sie in Sicherheit unter Berechtigungen Spezielle Berechtigungen und setzen Sie im Objekt Dialog die folgenden Berechtigungen
41. SOPHOS simple secure SafeGuard Enterprise Installationsanleitung Produktversion 5 60 Stand April 2011 Inhalt 1 SafeGuard Enterprise berblick se isn 3 2 SafeGuard Enterprise Komponenten eesesssssresesesseresesesseseresestssesesesessestnenestesestneseosestneneseeseseneseeeee 4 3 Erste Schiitte nie 6 4 Einrichten des SafeGuard Enterprise Servers uueesssssesssenonnenonnennnnnnnnonnenonnennnnnnnnonnenonnennnnnnnonnnnonn 15 5 Einrichten einer SafeGuard Enterprise Datenbank nsesessesessssenessenennenonnennnennnnonnnennnnnnonn 24 6 Einrichten des SafeGuard Management Centers ununssesessssesessnnonnenonnnnnonnnnonnenennnnnnonnnnonnnennnnnann 33 7 Testen der Kommunikation us a BE ee 46 8 Registrieren und Konfigurieren des SafeGuard Enterprise Servers uusesssenenenesesnsnenenenenesnenenne 49 9 SafeGuard Enterprise auf Endpoint Computern einrichten ucssssssesessesennennnennnnonnenennnnnnonn 53 10 Zentrales Einrichten von Endpoint Computern unessssesessesosnsnnnonnnonnenenonnnnonnnnonnenonnnnnsonnnnonn 62 11 Lokales Einrichten von Endpoint Computern usrssesossesesnenonensnnonnnnonnennnnnnnnonnenonnnnonnnnnsonnnnonn 73 12 Installieren von SafeGuard Enterprise auf einem Computer mit mehreren Betriebssystemen een isn ES EA ESEE EEEE RAEO ra 75 13 Einrichten von SafeGuard Configuration Protection sseseesesssesreresessesereresesssreresesresereseseeresenes 78 14 Replikation der SafeGua
42. Um die Datenbank automatisch w hrend der Konfiguration des SafeGuard Management Center zu erstellen m ssen Sie die Zugriffsrechte wie folgt ndern Weisen Sie jetzt unter Anmeldung Neu unter Allgemein die Zugangsberechtigungen Rollen zu indem Sie links auf Serverrollen klicken W hlen Sie dbcreator Nach der Installation von SafeGuard Enterprise kann die Datenbankrolle auf dbowner zur ckgesetzt werden lolx Seite ausw hk L Skript E Hilfe LA Allgemein Serverollen L Benutzerzuordnung 2 Sicherungsf hige Elemente A Status Die Serverrolle wird verwendet um einem Benutzer serverweite Sicherheitsprivilegien zu erteilen Serverollen L bulkadmin ME dbcrestor DO diskadmin C processadmin C securityadmin serveradmin setupadmin sysadmin Server SRV 2003R2 DE Verbindung sa 3 Verbindunaseigenschaften Em Bereit 0K Abbrechen ca eea Installationsanleitung 5 1 3 Erstellen eines SQL Kontos f r die Anmeldung am SQL Server Die nachfolgende Beschreibung der einzelnen Konfigurationsschritte richtet sich an SQL Administratoren Sie bezieht sich auf Microsoft Windows Server 2003 mit Microsoft SQL Server 2005 und auf alle Editionen von Microsoft Windows Server 2008 mit der Standardedition von Microsoft SQL Server 2008 Als SQL Administrator ben tigen Sie das Recht ein SQL Benutzerkonto zu erstellen l ffnen Sie SQL Server Management Studio Melden Sie sich am SQL Ser
43. aben Hinweis Die Administration sollte nur bei der Master Datenbank erfolgen nicht bei replizierten Datenbanken Mergereplikation Die Mergereplikation ist der Vorgang der Verteilung von Daten vom Verleger an die Abonnenten Dabei k nnen Verleger und Abonnenten unabh ngig voneinander Aktualisierungen vornehmen und danach einen Merge der Aktualisierungen zwischen den Standorten durchf hren Die Mergereplikation erlaubt es verschiedenen Standorten autonom zu arbeiten und sp ter die Aktualisierungen zu einem einzigen einheitlichen Ergebnis zusammenzuf hren Der initiale Snapshot wird auf die Abonnenten angewendet Microsoft SQL Server verfolgt dann die nderungen an ver ffentlichten Daten beim Verleger und bei den Abonnenten nach Die Daten werden zwischen den Servern kontinuierlich zu einem festgelegten Zeitpunkt oder auf Anforderung synchronisiert Da Aktualisierungen auf mehr als einem Server ausgef hrt werden sind dieselben Daten m glicherweise vom Verleger und von mindestens einem Abonnenten aktualisiert worden Daher kann es beim Zusammenf hren von Aktualisierungen zu Konflikten kommen Die Mergereplikation bietet Standardm glichkeiten sowie individuelle M glichkeiten f r die Konfliktl sung die Sie bei der Konfiguration einer Mergever ffentlichung definieren k nnen Tritt ein Konflikt auf ruft der Merge Agent einen Resolver auf Dieser bestimmt welche Daten akzeptiert und an andere Standorte verteilt werden Einr
44. afeGuard Enterprise 13 13 1 13 2 78 Einrichten von SafeGuard Configuration Protection SafeGuard Configuration Protection erm glicht es nur bestimmte Schnittstellen und Peripherieger te auf den Endpoint Computern zu erlauben Dies verhindert dass Malware auf den Endpoint Computer gelangt sowie Datenexporte ber unerw nschte Kan le z B WLAN SafeGuard Configuration Protection erkennt und blockiert auch gef hrliche Hardware wie Key Logger Voraussetzungen und Einschr nkungen Beachten Sie folgende Voraussetzungen und Einschr nkungen E Um SafeGuard Configuration Protection auf Windows 7 64 Bit Betriebssystemen einzurichten k nnen Sie die 64 Bit Varianten der Client Installationspakete verwenden E Configuration Protection steht nur f r SafeGuard Enterprise Clients managed zur Verf gung SafeGuard Configuration Protection wird nicht f r Sophos SafeGuard Clients standalone unterst tzt E NET Version 2 0 muss installiert sein Zentrales Installieren von SafeGuard Configuration Protection Wenn Sie SafeGuard Configuration Protection zentralauf den Endpoint Computern installieren m chten verwenden Sie die Windows Installer Komponente msiexec Die Kommandozeile lautet wie folgt msiexec i SGN_CP_Client msi quiet norestart Um SafeGuard Configuration Protection zu installieren f hren Sie die folgenden Schritte in der angegebenen Reihenfolge durch 1 Bereiten Sie die Installation auf den Endpoi
45. aktuelle Version erreicht ist siehe Zentrales Installieren der Verschl sselungssoftware Seite 62 oder siehe Lokales Installieren der Verschl sselungssoftware Seite 73 Der Windows Installer erkennt welche Features bereits installiert sind und installiert auch nur diese Features neu Wenn die Power on Authentication installiert ist steht nach erfolgreicher Migration Richtlinien Schl ssel usw auch ein aktualisierter POA Kernel zur Verf gung Um mit der Aktualisierung neue Features zu installieren w hlen Sie eine Installation vom Typ Angepasst aus W hlen Sie dann die neuen Features und die zu aktualisierenden Features Bei einer nicht berwachten Installation verwenden Sie die Eigenschaft ADDLOCAL zur Auswahl der gew nschten Features vorhandene und neue Wenn sich die Konfiguration des Endpoint Computers z B durch ge nderte Richtlinieneinstellungen ge ndert hat erstellen Sie ein neues Konfigurationspaket L schen Sie alle veralteten oder nicht mehr verwendeten Konfigurationspakete auf dem Endpoint Computer aus Sicherheitsgr nden Installieren Sie das Konfigurationspaket auf den relevanten Endpoint Computern Wenn Sie versuchen ein lteres Konfigurationspaket ber ein neues zu installieren wird die Installation abgebrochen Der Endpoint Computer wird mit der aktuellen Version der Verschl sselungssoftware mit den ausgew hlten Features aktualisiert Hinweis 93 SafeGuard Enterprise Benu
46. ard Enterprise API zu erm glichen Dies erm glicht die Ausf hrung von administrativen Aufgaben ber Skripts Server Rollen Klicken Sie hier um eine verf gbare Sicherheitsbeauftragtenrolle f r den ausgew hlten Server zu aktivieren deaktivieren Server Rolle hinzuf gen Klicken Sie hier um weitere spezifische Sicherheitsbeauftragtenrollen f r den ausgew hlten Server hinzuzuf gen falls erforderlich Sie werden dazu aufgefordert das Serverzertifikat auszuw hlen Die Sicherheitsbeauftragtenrolle wird hinzugef gt und kann unter Server Rollen angezeigt werden Datenbankverbindung Klicken Sie auf um die Verbindung zur Datenbank f r jeden registrierten Server zu konfigurieren Hier k nnen Sie auch die Anmeldeinformationen f r die Datenbank und die Transportverschl sselung zwischen Web Server und Datenbankserver festlegen F r weitere Informationen siehe Konfigurieren der Datenbankserver Verbindung Seite 35 Selbst wenn die Pr fung der Datenbankverbindung nicht erfolgreich ist kann ein neues Server Konfigurationspaket erstellt werden Hinweis Sie m ssen nicht den SafeGuard Management Center Konfigurationsassistenten erneut ausf hren um die Datenbankkonfiguration zu aktualisieren Sie m ssen nur daf r sorgen ein neues Server Konfigurationspaket zu erstellen und es an den entsprechenden Server zu verteilen Sobald dieses auf dem Server installiert ist kann auf die neue Datenbankverbindung zugegr
47. ard Enterprise Server Instanz einrichten So erstellen Sie eine weitere SafeGuard Enterprise Datenbankkonfiguration nach der Erstkonfiguration 1 Starten Sie das SafeGuard Management Center Der Dialog Konfiguration ausw hlen wird angezeigt 2 Klicken Sie auf Neu Der SafeGuard Management Center Konfigurationsassistent wird automatisch gestartet 3 Der Assistent f hrt Sie durch die notwendigen Schritte f r das Anlegen einer neuen Datenbankkonfiguration Nehmen Sie die erforderlichen Einstellungen vor Die neue Datenbankkonfiguration wird generiert 4 Zur Authentisierung werden Sie dazu aufgefordert den Sicherheitsbeauftragtennamen f r diese Konfiguration auszuw hlen und das entsprechende Zertifikatsspeicherkennwort einzugeben Klicken Sie auf OK Das SafeGuard Management Center wird ge ffnet und mit der ausgew hlten Datenbankkonfiguration verbunden Wenn Sie das SafeGuard Management Center das n chste Mal starten k nnen Sie die neue Datenbank Konfiguration aus der Liste ausw hlen Hinweis Installationsanleitung 6 6 Weitere Informationen zu Multi Tenancy finden Sie in der Administratorhilfe im Kapitel Mit mehreren Datenbankkonfigurationen arbeiten Konfigurieren zus tzlicher Instanzen des SafeGuard Management Center Sie k nnen zus tzliche Instanzen des SafeGuard Management Center konfigurieren um Sicherheitsbeauftragten den Zugriff f r die Durchf hrung administrativer Aufgaben auf verschiedenen Computern
48. ard Enterprise automatisch diese zu deaktivieren Diese Funktionalit t wird durch den Opal Standard gefordert Ausgenommen sind hier einige wenige Standard Authorities die f r den Betrieb eines Opal Systems erforderlich sind Hinweis Diese Sicherheitspr fungen werden wiederholt wenn nach einer erfolgreichen Installation im Opal Modus eine Verschl sselungsrichtlinie f r die Festplatte angewendet wird Schlagen die Sicherheitspr fungen in diesem Fall fehl so haben inzwischen au erhalb von SafeGuard Enterprise Eingriffe in die Laufwerksverwaltung stattgefunden In diesem Fall verweigert SafeGuard Enterprise den Zugriff auf das Laufwerk und es wird eine entsprechende Meldung angezeigt Sollten einige dieser Pr fungen ohne Recovery M glichkeit fehlschlagen so wird f r die Installation nicht die software basierende Verschl sselung angewendet Stattdessen bleiben alle Volumes auf der Opal Festplatte unverschl sselt Bei einigen Opal Festplatten bestehen u U Sicherheitsprobleme Es besteht keine M glichkeit automatisch festzustellen welche Privilegien unbekannten Benutzern Authorities zugeordnet sind die bereits zum Zeitpunkt der SafeGuard Enterprise Installation Verschl sselung registriert waren Wenn die Festplatte den Befehl diese Benutzer zu deaktivieren nicht ausf hrt wendet SafeGuard Enterprise die software basierende Verschl sselung an um die gr tm gliche Sicherheit f r den SafeGuard Enterprise Benutzer zu gew hr
49. ass Sie Wechselmedien entschl sseln oder Schl ssel f r die Verschl sselung von Wechselmedien hinzuf gen und entfernen k nnen 2 Klicken Sie im Windows Explorer auf das Wechselmedium doppelt auf das Sie zugreifen m chten 105 SafeGuard Enterprise 3 Sie werden dazu aufgefordert die Umwandlung der Verschl sselungsschl ssel in ein SafeGuard Enterprise kompatibles Format zu best tigen E Wenn Sie die Umwandlung best tigen so ist der Zugriff auf die migrierten Daten in vollem Umfang m glich E Wenn Sie die Umwandlung ablehnen lassen sich die migrierten Daten noch zum Lesen und Schreiben ffnen Neu hinzukommende Wechselmedien werden wie bei jedem SafeGuard Enterprise Computer verschl sselt wenn die entsprechende Richtlinie am Endpoint Computer vorliegt 106 Installationsanleitung 19 Deinstallation berblick Wenn die SafeGuard Enterprise Verschl sselungssoftware auf demselben Computer wie das SafeGuard Management Center SafeGuard Enterprise Server oder SafeGuard Web Help Desk installiert ist f hren Sie den folgende Deinstallationsvorgang durch damit Sie weiterhin eine der Komponenten benutzen k nnen 1 Deinstallieren Sie das SafeGuard Management Center SafeGuard Enterprise Server oder SafeGuard Web Help Desk 2 Deinstallieren Sie das SafeGuard Enterprise Client Konfigurationspaket 3 Deinstallieren Sie die SafeGuard Enterprise Client Verschl sselungssoftware 4 Installieren Sie das Paket das
50. atenbank Authentisierung Um auf die SafeGuard Enterprise Datenbank zuzugreifen muss sich der erste Sicherheitsbeauftragte des SafeGuard Management Centers am SQL Server authentisieren Es gibt folgende M glichkeiten E Windows Authentisierung ernennen Sie einen vorhandenen Windows Benutzer zum SQL Benutzer m SQL Authentisierung richten Sie ein SQL Benutzerkonto ein Fragen Sie Ihren SQL Administrator welche Form der Authentisierung f r Sie als Sicherheitsbeauftragter vorgesehen ist Sie ben tigen diese Information vor der Erzeugung der Datenbank und vor der Erstkonfiguration des SafeGuard Management Centers im SafeGuard Management Center Konfigurationsassistenten Verwenden Sie SQL Authentisierung f r Computer die sich nicht in einer Dom ne befinden Ansonsten verwenden Sie Windows Authentisierung Wenn Sie SQL Authentisierung einsetzen empfehlen wir die Verbindung zu und vom Datenbankserver durch SSL zu sichern F r weitere Informationen siehe Einrichten von SSL Seite 9 Installationsanleitung 5 1 1 Datenbankzugriffsrechte SafeGuard Enterprise ist so eingerichtet dass es f r das Zusammenspiel mit der SQL Datenbank nur ein einziges Benutzerkonto mit minimalen Zugriffsberechtigungen auf die Datenbank ben tigt Dieses Benutzerkonto wird vom SafeGuard Management Center genutzt und lediglich auf den ersten Sicherheitsbeauftragten des SafeGuard Management Centers ausgestellt Damit ist die Verbindung zur SafeGuard Enterpri
51. bserver auf dem der SafeGuard Enterprise Server eingerichtet ist SafeGuard Enterprise Komponenten Microsoft Active Directory optional 8 NS SafeGuard Management Center Administrator MSO SafeGuard Enterprise Datenbank Microsoft SQL Server Web Server MS Internet Information Services IIS SafeGuard Enterprise Server Benutzer PC SafeGuard Enterprise Client Die folgende Tabelle beschreibt die einzelnen Komponenten Komponente Beschreibung SafeGuard Enterprise Die SafeGuard Enterprise Datenbank en enth lt enthalten alle Datenbank en basierend auf relevanten Daten wie Schl ssel Zertifikate Informationen zu Microsoft SQL Server Benutzern amp Computern Ereignisse und die Richtlinieneinstellungen Datenbank Zugriff auf die Datenbank en ben tigt der SafeGuard Enterprise Server und ein einziger Sicherheitsbeauftragter des SafeGuard Management Centers meist der Haupt Sicherheitsbeauftragte MSO Die Erzeugung und Konfiguration der SafeGuard Enterprise Datenbank en kann ber einen Assistenten oder ber Skripte erfolgen Installationsanleitung Komponente Beschreibung SafeGuard Enterprise Server auf IIS basiertem Webserver SafeGuard Management Center mit NET Framework 3 0 SP 1 ASP Net 2 0 auf Administrator Computer Microsoft Internet Information Services ISS mit NET Framework 3 5 SP 1 und ASP NET 2 0 Der f r SafeGuard Enterprise eingesetzte Webserver muss auf Internet Informat
52. cfg um Hinweis Ersteller Besitzer Rechte m ssen f r diese Datei und den Dateipfad gesetzt sein auf dem sie w hrend der Migration gespeichert ist Andernfalls schl gt die Migration fehl und eine Meldung wird ausgegeben dass SGE2SGN cfg nicht gefunden werden konnte Geben Sie das Kommando msiexec in der Eingabeaufforderung ein um das vorbereitende SafeGuard Enterprise Installationspaket sowie das SafeGuard Enterprise Device Encryption Client Installationspaket auf dem SafeGuard Easy Sophos SafeGuard Disk Encryption Computer zu installieren F gen Sie den Parameter MIGFILE mit dem Pfad der Migrationsdatei SGE2SGN cfg hinzu Beispiel msiexec i Distributionserver Software Sophos SafeGuard SGxClientPreinstall msi msiexec i Distributionserver Software Sophos SafeGuard SGNClient msi L VX Distributionserver Software Sophos SafeGuard Computername log MIGFILE Distributionserver Software Sophos SafeGuard SGE2SGN cfg Wenn die Migration erfolgreich durchgef hrt wurde kann SafeGuard Enterprise auf dem Computer benutzt werden Schl gt die Migration fehl kann SafeGuard Easy Sophos SafeGuard Disk Encryption immer noch auf dem Computer benutzt werden In diesem Fall wird SafeGuard Enterprise automatisch entfernt 18 6 Anmelden am Endpoint Computer nach der Migration 104 So melden Sie sich an einem Computer an der von SafeGuard Easy 4 5x Sophos SafeGuard Disk Encryption 4 6x auf SafeGuard Enterprise 5 6x migriert wurd
53. d Datenbank Datenbank benutzen Server keine keine Master Datenbank keine keine SafeGuard Enterprise db_datareaderdd db_datareader TEDAN b_datawriter db_datawriter public Standard public Standard 25 SafeGuard Enterprise 5 1 2 Erstellen eines Windows Benutzerkontos f r die Anmeldung am SQL 26 Server Die folgende Beschreibung der einzelnen Konfigurationsschritte wendet sich an SQL Administratoren und bezieht sich auf Microsoft Windows Server 2008 und Microsoft SQL Server 2005 Standard oder Express Edition F r Informationen zur Windows Authentisierung mit Windows Server 2003 und SQL Server 2005 siehe http www sophos de support knowledgebase article 108339 html Als SQL Administrator ben tigen Sie das Recht Benutzerkonten zu erstellen 1 ffnen Sie SQL Server Management Studio Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an 2 ffnen Sie den Objekt Explorer klicken Sie mit der rechten Maustaste auf Sicherheit w hlen Sie Neu und klicken Sie dann auf Anmeldungen 3 W hlen Sie unter Anmeldung Neu auf der Allgemein Seite die Option Windows Authentifizierung 4 Klicken Sie auf Suchen Suchen Sie nach dem relevanten Windows Benutzernamen und klicken Sie auf OK Der Benutzername wird als Anmeldename angezeigt 5 Wennnoch keine SafeGuard Enterprise Datenbank durch ein Skript angelegt wurde w hlen Sie unter Standarddatenbank die Option Master 6 Klicken Sie auf OK 7
54. de MSI Paket SGxClientPreinstall msi das den Endpoint Computer mit den n tigen Voraussetzungen f r eine erfolgreiche Installation der Verschl sselungssoftware ausstattet W hlen Sie eines der folgenden SafeGuard Enterprise Client Installationspakete f r die Installation auf dem Endpoint Computer Um SafeGuard Configuration Protection auf Windows 7 64 Bit Betriebssystemen einzurichten k nnen Sie die 64 Bit Varianten der Client Installationspakete verwenden E SafeGuard Device Encryption SGNClient msi SGNClient_x64 msi E SafeGuard Data Exchange SGNClient_withoutDE msi SGNClient_withoutDE_x64 msi W hlen Sie im Installationsassistenten den Installationstyp Angepasst aus W hlen Sie unter Features zus tzlich das Feature Configuration Protection Installieren Sie das SafeGuard Configuration Protection Installationspaket SGN_CP_Client msi SGN_CP_Client_x64 msi verf gbar f r Windows 7 64 Bit Betriebssysteme ndern Sie das Installationsverzeichnis in C Programme Sophos SafeGuard Enterprise um sicherzustellen dass das Configuration Protection Module im SafeGuard Enterprise Verzeichnis installiert wird 7 Starten Sie den Computer nicht neu 8 Erzeugen Sie ein Konfigurationspaket f r den SafeGuard Enterprise Client managed und 9 installieren Sie es direkt nach der Installation der Verschl sselungssoftware auf dem Endpoint Computer Starten Sie den Endpoint Computer neu SafeGuard Configuration Prot
55. den Sie in der Produktlieferung Hinweis F r die meisten Client Installationspakete sind 64 Bit Varianten f r Windows 7 64 Bit und Windows Vista 64 Bit verf gbar lt Paketname gt _64 msi Wenn das Betriebssystem des Endpoint Computers Windows 7 64 Bit oder Windows Vista 64 Bit ist k nnen Sie die 64 Bit Variante der Client msi Pakete installieren Schritt Installation Konfiguration 1 Vorbereiten der Installationen Installationsanleitung Nr Schritt Installation Konfiguration SafeGuard Enterprise Server 2 Internet Information Services IIS mit NET Framework 3 5 und ASP NET 2 0 einrichten 3 Zus tzliche Konfiguration f r SSL 4 SafeGuard Enterprise Server auf dem IIS Server SGNServer msi installieren SafeGuard Enterprise Datenbank 5 Authentisierung f r den SafeGuard Enterprise Haupt Sicherheitsbeauftragten einrichten Das Benutzerkonto wird f r Microsoft SQL Server eingerichtet 6 SafeGuard Enterprise Datenbank en ber Skripts SQL Skripts im Verzeichnis Tools optional erzeugen der Produktlieferung SafeGuard Management Center 7 SafeGuard Management Center f r die zentrale SGNManagementCenter msi Administration z B Dom nen Benutzer Schl sseln Richtlinien usw einrichten 8 Basiskonfiguration der Administration SafeGuard Management Center Datenbankverbindungen konfigurieren SafeGuard Konfigurationsassistent Enterprise Datenbank en
56. der Computer nicht neu gestartet wird msiexec i SGN_CP_Client msi quiet norestart Konfigurationspaket f r den SafeGuard Enterprise Client managed Verwenden Sie die zuvor im SafeGuard Management Center erzeugten Konfigurationspakete Bevor Sie ein neues Konfigurationspaket installieren deinstallieren sie zun chst vorhandene veraltete Konfigurationspakete Skript mit Befehlen f r die automatische Installation Wir empfehlen das Windows Installer Kommandozeilen Tool msiexec exe zu verwenden um das Skript zu erzeugen Erstellen Sie ein Verzeichnis mit der Bezeichnung Software als zentralen Speicherort f r alle Anwendungen Um das Skript zu erzeugen ffnen Sie eine Befehlseingabeaufforderung und geben Sie die Scripting Befehle ein Verteilen Sie dieses Paket ber unternehmenseigene Software Verteilungsmechanismen an die Endpoint Computer 79 SafeGuard Enterprise 13 2 1 Beispielkommando f r SafeGuard Configuration Protection mit SafeGuard Device Encryption 80 Das msiexec Kommando muss in der im Beispiel angegebenen Reihenfolge ausgef hrt werden In diesem Beispiel wird folgendes installiert E Die Endpoint Computer werden mit den notwendigen Voraussetzungen f r eine erfolgreiche Installation der Verschl sselungssoftware ausgestattet E SafeGuard Device Encryption mit volume basierender Verschl sselung wird installiert E SafeGuard Configuration Protection muss als F
57. der Installation m ssen Sie das SafeGuard Management Center konfigurieren Der SafeGuard Management Center Konfigurationsassistent unterst tzt Sie bei der Erstkonfiguration durch Hilfestellung bei der Definition der grundlegenden SafeGuard Management Center Einstellungen sowie bei der Konfiguration der Datenbankverbindung Der Assistent wird automatisch aufgerufen wenn Sie das SafeGuard Management Center zum ersten Mal nach der Installation starten Sie k nnen das SafeGuard Management Center f r die Anwendung mit einer oder mehreren Datenbank Multi Tenancy konfigurieren Hinweis Die folgenden Schritte m ssen mit dem Konfigurationsassistenten sowohl f r Single Tenancy als auch f r Multi Tenancy Konfigurationen ausgef hrt werden Installationsanleitung 6 4 1 Voraussetzungen 6 4 2 6 4 3 6 4 4 Folgende Voraussetzungen m ssen erf llt sein E Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen Mm Halten Sie die folgenden Informationen bereit Diese erhalten Sie ggf von Ihrem SQL Administrator SQL Anmeldeinformationen Name des SQL Servers auf dem die SafeGuard Enterprise Datenbank laufen soll Name der SafeGuard Enterprise Datenbank falls diese bereits erzeugt wurde Multi Tenancy Konfigurationen Sie k nnen mehrere verschiedene SafeGuard Enterprise Datenbankkonfigurationen f r eine Instanz des SafeGuard Management Centers konfigurieren und verwalten Dies erweist sich vor allem dann als
58. dows Vista oder Windows 7 kann jeweils nur die volume basierende Verschl sselung von SafeGuard Enterprise oder BitLocker Device Encryption verwendet werden Die gleichzeitige Verwendung beider Verschl sselungstypen ist nicht m glich Wenn Sie den Verschl sselungstyp ndern m chten m ssen Sie zuerst alle Partitionen entschl sseln das SafeGuard Enterprise Client Paket deinstallieren und dann mit den gew nschten Features neu installieren Wenn Sie versuchen beide Features gleichzeitig zu installieren wird die Installation abgebrochen Installationsanleitung 9 2 3 9 3 Einschr nkungen f r Sophos SafeGuard Clients standalone Die folgende Features werden f r Sophos SafeGuard Clients standalone nicht unterst tzt E BitLocker Device Encryption BitLocker To Go E Configuration Protection Vorbereiten der Verschl sselung Vor der Installation von SafeGuard Enterprise empfehlen wir folgende vorbereitende Ma nahmen E F hren Sie die allgemeinen vorbereitenden Ma nahmen durch siehe Vorbereiten der Installation Seite 13 E Auf den Endpoint Computern muss ein Benutzerkonto eingerichtet und aktiv sein E Erstellen Sie einen kompletten Backup Ihrer Daten auf dem Endpoint Computer E Sophos stellt eine Liste f r die Hardware Konfiguration zur Verf gung um Konflikte zwischen der POA und Ihrer Computerhardware zu vermeiden Die Liste ist im Installationspaket der Verschl sselungssoftware enthalten Wir empfehlen vor
59. e L Starten Sie den migrierten Endpoint Computer neu Die erste Anmeldung erfolgt noch ber Autologon Neue Schl ssel und Zertifikate werden dem Benutzer zugewiesen Starten Sie den Computer nochmal neu Melden Sie sich an der Power on Authentication an Die Computer werden erst nach dem zweiten Neustart gesch tzt Um in der Lage zu sein die Festplatte zu entschl sseln und Schl ssel f r die Festplattenverschl sselung hinzuzuf gen und zu entfernen starten Sie den Computer noch einmal neu Nach erfolgreicher Migration steht Ihnen in SafeGuard Enterprise nach der Anmeldung an der Power on Authentication folgendes zur Verf gung m die Schl ssel und Algorithmen der verschl sselten Festplatten Verschl sselte Volumes bleiben verschl sselt und die Verschl sselungschl ssel werden automatisch in ein SafeGuard Enterprise kompatibles Format konvertiert Installationsanleitung 18 7 18 8 m die Schl ssel und Algorithmen f r verschl sselte Wechselmedien nur bei Migration von SafeGuard Easy Wechselmedien m ssen in ein SafeGuard Enterprise kompatibles Format konvertiert werden Konfigurieren von migrierten Endpoint Computern Endpoint Computer werden initial ber Konfigurationspakete konfiguriert die zum Beispiel die Power on Authentication aktivieren Voraussetzungen Die Konfiguration der Endpoint Computers sollte erst nach der Migration sowie nach der Aktivierung der POA und der erfolgreichen Anmeldung de
60. e Replikations berwachung zeigt ob der Replikationsmechanismus korrekt l uft 5 Stellen Sie sicher dass Sie den korrekten Datenbanknamen in der ersten Zeile des SQL Skripts eingeben Verwenden Sie zum Beispiel Graz oder Linz 6 Erzeugen Sie nochmal die Snapshots mit dem Snapshot Agenten Die Replikationsdatenbanken Graz und Linz wurden angelegt Installieren und Registrieren von SafeGuard Enterprise Servern Um SafeGuard Enterprise Server auf den Web Servern zu installieren gehen Sie wie folgt vor 1 Installieren Sie SafeGuard Enterprise Server auf dem Server WS_1 2 Installieren Sie SafeGuard Enterprise Server auf dem Server WS_2 3 Registrieren Sie beide Server im SafeGuard Management Center Klicken Sie im Extras Men auf Konfigurationspakete und dann auf Server registrieren Klicken Sie in der Registerkarte Server registrieren auf Hinzuf gen 4 Sie werden dazu aufgefordert die Serverzertifikate ws_l cer und ws_2 cer hinzuzuf gen Sie finden die Zertifikate im Ordner Program Files Sophos SafeGuard Enterprise MachCert Die Zertifikate werden ben tigt um die entsprechenden Konfigurationspakete zu erstellen Die SafeGuard Enterprise Server sind installiert und registriert Erzeugen der Konfigurationspakete f r die Datenbank GRAZ Erzeugen Sie die Konfigurationspakete f r die Datenbank GRAZ ein Paket f r Server WS_1 f r die Kommunikation mit der Datenbank GRAZ sowie ein Paket f r die Verbindung des SafeGuard
61. e auf Konfigurationspaket erstellen Ein Server Konfigurationspaket MSI mit der Bezeichnung lt S erver gt msi wird im angegebenen Ausgabeort erstellt 7 Best tigen Sie die Erfolgsmeldung mit OK 8 Klicken Sie in der Registerkarte Server registrieren auf Schlie en Die Registrierung und Konfiguration des SafeGuard Enterprise Servers ist beendet Installieren Sie das Server Konfigurationspaket MSI auf dem Computer auf dem der SafeGuard Enterprise Server l uft Sie k nnen die Serverkonfiguration in der Registerkarte Server registrieren jederzeit ndern Hinweis Installationsanleitung 8 3 Wenn Sie ein neues Server Konfigurationspaket MSI auf dem SafeGuard Enterprise Server installieren m chten deinstallieren Sie zun chst das veraltete Konfigurationspaket L schen Sie dar ber hinaus den Local Cache manuell so dass er mit den neuen Konfigurationsdaten z B SSL Einstellungen aktualisiert werden kann Installieren Sie dieses Konfigurationspaket auf dem Server ndern der SafeGuard Enterprise Server Konfigurationseinstellungen Sie k nnen die Eigenschaften und Einstellungen f r jeden registrierten Server und seine Datenbankverbindung jederzeit ndern 1 W hlen Sie den gew nschten Server in der Registerkarte Server registrieren des SafeGuard Management Center Konfigurationspakete Werkzeugs 2 Gehen Sie wie folgt vor Beschreibung Skripts ausf hren Klicken Sie hier um die Verwendung von SafeGu
62. e folgende Informationen zur Interaktion mit anderen SafeGuard Produkten Kompatibilit t mit SafeGuard LAN Crypt SafeGuard LAN Crypt 3 7x und SafeGuard Enterprise 5 6x k nnen zusammen auf einem Computer installiert werden und sind voll kompatibel Hinweis Wenn Sie SafeGuard Enterprise 5 6x ber eine SafeGuard LAN Crypt Installation installieren meldet das Installationsprogramm dass die zu aktualisierende Komponente SGLC Profile Loader derzeit benutzt wird Diese Meldung wird dadurch verursacht dass SafeGuard LAN Crypt und SafeGuard Enterprise gemeinsame Komponenten benutzen Die Meldung kann daher ignoriert werden Die betroffenen Komponenten werden beim Neustart aktualisiert SafeGuard LAN Crypt vor Version 3 7x und SafeGuard Enterprise 5 6x k nnen nicht zusammen auf einem Computer installiert werden Wenn Sie versuchen SafeGuard Enterprise 5 6x auf einem Computer zu installieren auf dem bereits SafeGuard LAN Crypt 3 6x oder eine ltere Version installiert ist wird die Installation mit einer Fehlermeldung abgebrochen SafeGuard LAN Crypt 3 7x und SafeGuard Enterprise vor Version 5 40 k nnen nicht zusammen auf einem Computer installiert werden Wenn Sie versuchen SafeGuard LAN Crypt 3 7x auf einem Computer zu installieren auf dem sich bereits SafeGuard Enterprise mit Versionen niedriger als 5 40 befindet wird die Installation abgebrochen und eine entsprechende Fehlermeldung ausgegeben SafeGuard Enterprise 3 3 2 3
63. eGuard Enterprise Client jedoch nicht direkt nach der Installation des Konfigurationspakets eine Verbindung mit dem SafeGuard Enterprise Server herstellt sondern vor bergehend offline ist werden nur Verschl sselungsrichtlinien mit den folgenden spezifischen Einstellungen sofort auf dem SafeGuard Enterprise Client wirksam Ger teschutz vom Typ volume basierend unter Anwendung des definierten Computerschl ssels als Verschl sselungsschl ssel Damit alle anderen Richtlinien die Verschl sselung mit benutzerdefinierten Schl sseln umfassen auf dem SafeGuard Enterprise Client aktiv werden muss das entsprechende Konfigurationspaket auch noch einmal der OU Organizational Unit des Clients zugewiesen werden Die benutzerdefinierten Schl ssel werden dann erst erstellt wenn der SafeGuard Enterprise Client wieder eine Verbindung zum SafeGuard Enterprise Server hergestellt hat Ursache hierf r ist dass der definierte Computerschl ssel direkt auf dem SafeGuard Enterprise Client beim ersten Neustart nach der Installation erstellt wird Benutzerdefinierte Schl ssel hingegen k nnen nur auf dem SafeGuard Enterprise Client erstellt werden wenn er beim SafeGuard Enterprise Server registriert wurde E Einschr nkungen f r die Unterst tzung von BitLocker Device Encryption Die Installationspakete SGNClient_withoutDE msi SGNClient_withoutDE_x64 msi stehen f r die Anwendung mit BitLocker Device Encryption nicht zur Verf gung Hinweis Unter Win
64. eature Client Authentication Das Feature Authentication und sein Feature Parent Client m ssen standardm ig angegeben werden Client Authentication CredentialProvider F r Computer mit Windows Vista und Windows 7 m ssen Sie dieses Feature installieren Es dient zur Anmeldung ber den Credential Provider Client BaseEncryption SectorBasedEncryption Installiert die volume basierende Verschl sselung von SafeGuard Enterprise mit den folgenden Funktionen Alle Volumes auch Wechselmedien lassen sich mit der volume basierenden Verschl sselung von SafeGuard Enterprise verschl sseln Sophos SafeGuard Power on Authentication POA Sophos SafeGuard Recovery mit Challenge Response Hinweis Es kann entweder SectorBasedEncryption ODER BitLockerSupport angegeben werden Client SecureDataExchange SafeGuard Data Exchange mit dateibasierender Verschl sselung wird immer auf lokaler Ebene und f r Wechselmedien installiert SafeGuard Data Exchange sorgt f r die sichere Verschl sselung von Wechselmedien Daten k nnen sicher und einfach mit anderen Benutzern ausgetauscht werden Alle Ver und Entschl sselungsvorg nge laufen transparent und mit minimaler Benutzerinteraktion ab Wenn Sie SafeGuard Data Exchange auf Ihrem Computer installiert haben wird auch SafeGuard Portable installiert SafeGuard Portable erm glicht den sicheren Datenaustausch mit Computern auf denen SafeGuard Data Exchange nicht
65. eature f r das SafeGuard Device Encryption Installationspaket angegeben werden E Um die Installa tion des Moduls SafeGuard Configuration Protection anzusto en muss ein separates Installationspaket durch Angabe eines weiteren msiexec Kommandos hinzugef gt we rden E Es wird eine Protokolldatei angelegt E Das Konfigurationspaket f r den SafeGuard Enterprise Client managed wird ausgef hrt Beispiel msiexec i F Software SGxClientPreinstall msi qn logI Temp SGxClientPreinstall log msiexec i F Software SGNClient msi qn log I Temp SGNClient log ADDLOCAL CLient Authentication Basekncryption SectorBasedEncrypticn ConfigurationProtection Installdir C msiexec i F msiexec i F I Temp SGCN Program Files Sophos SafeGuard Enterprise Software SGN_CP_Client msi quiet norestart Software SGNEnterpriseClientConfig msi qn loqg EnterpriseClientConfig log Installationsanleitung 13 2 2 Beispielkomm ando f r SafeGuard Configuration Protection mit SafeGuard Data Exchange Das msiexec Kommando muss in der im Beispiel angegebenen Reihenfolge ausgef hrt werden In diesem Beispiel wird folgendes installiert E Die Endpoint Computer werden mit den notwendigen Voraussetzungen f r eine erfolgreiche Installation der Verschl sselungssoftware ausgestattet E SafeGuard Data Exchange mit dateibasierender Verschl sselung wird in
66. echtigungen w hrend der SafeGuard Management Konfiguration nicht erw nscht sind F r weitere Informationen siehe Erzeugen der SafeGuard Enterprise Datenbank per Skript Seite 29 Erzeugen der Replikationsdatenbanken Graz und Linz Nach dem Einrichten der Master Datenbank k nnen Sie die Replikationsdatenbanken erzeugen Im Beispiel haben die Replikationsdatenbanken die Bezeichnungen Graz und Linz Hinweis Datentabellen und EVENT Tabellen werden in getrennten Datenbanken gehalten Ereigniseintr ge werden standardm ig nicht verkettet so dass die EVENT Datenbank zur 85 SafeGuard Enterprise 14 3 14 4 86 Erh hung der Performance auf mehrere SQL Server repliziert werden kann Wenn EVENT Tabellen verkettet werden k nnen w hrend der Replikation ihrer Datens tze Probleme auftreten So erzeugen Sie die Replikationsdatenbanken neu 1 Erzeugen Sie eine Ver ffentlichung f r die Master Datenbank in der Managementkonsole des SQL Servers Eine Ver ffentlichung definiert das Daten Set das repliziert werden soll 2 W hlen Sie alle Tabellen Ansichten und gespeicherten Prozeduren f r die Synchronisierung in dieser Ver ffentlichung aus 3 Erstellen Sie die Replikationsdatenbanken indem Sie ein Abonnement f r Graz und ein Abonnement f r Linz erzeugen Die neuen Datenbanken Graz und Linz erscheinen daraufhin in den Abonnements im SQL Konfigurationsassistenten 4 Schlie en Sie den SQL Konfigurationsassistenten Di
67. ection wird auf dem Endpoint Computer installiert Deinstallieren von SafeGuard Configuration Protection Um SafeGuard Configuration Protection zu deinstallieren f hren Sie die folgenden Schritte in der angegebenen Reihenfolge durch 1 Deinstallieren Sie das SafeGuard Enterprise Client managed Konfigurationspaket Starten Sie das SafeGuard Enterprise Client Installationspaket auf dem Computer entweder SGNClient msi oder SGNClient_withoutDE msi oder die entsprechende 64 Bit Variante W hlen Sie im Installationsassistenten den Installationstyp Angepasst aus 4 Deaktivieren Sie unter Features zus tzlich das Feature Configuration Protection 5 Wenn die Deinstallation beendet ist starten Sie den Computer auf keinen Fall neu Installationsanleitung 6 Deinstallieren Sie das SafeGuard Configuration Protection Installationspaket SGN_CP_Client msi SGN_CP_Client_x64 msi 7 Starten Sie den Computer neu SafeGuard Configuration Protection wird vom Endpoint Computer entfernt 13 5 Aktualisieren von SafeGuard Configuration Protection Um SafeGuard Configuration Protection zu aktualisieren f hren Sie die folgenden Schritte in der angegebenen Reihenfolge durch l Starten Sie das vorbereitende Installationspaket SGxClientPreinstall msi Dieses Paket stattet die Endpoint Computer mit notwendigen Voraussetzungen f r die erfolgreiche Installation der Verschl sselungssoftware aus Starten Sie f r die Aktualisierung da
68. ei usw nutzen zu k nnen Sophos SafeGuard umfasst die folgenden Produkte E Sophos SafeGuard Disk Encryption welches mit ESDP Endpoint Security and Data Protection verf gbar ist m SafeGuard Easy Ab Version 5 50 ist SafeGuard Easy der neue Produktname f r die SafeGuard Enterprise Standalone L sung Die Migration umfasst folgende Schritte E Der SafeGuard Policy Editor muss auf das SafeGuard Management Center migriert werden E Durch Sophos SafeGuard standalone gesch tzte Endpoint Computer m ssen mit einer SafeGuard Enterprise managed Konfiguration ausgestattet werden Migration von SafeGuard Policy Editor auf SafeGuard Management Center Voraussetzungen m Sie m ssen den SafeGuard Policy Editor nicht deinstallieren m Der SafeGuard Enterprise Server muss installiert und auf die aktuelle Version aktualisiert sein m Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen F r die Migration installieren Sie einfach das SGNManagementCenter msi Paket auf dem Computer auf dem der SafeGuard Policy Editor eingerichtet ist 1 Starten Sie SGNManangementCenter msi aus dem Installationsordner Ihrer Produktlieferung Ein Assistent f hrt Sie durch die notwendigen Schritte Best tigen Sie die Willkommen Seite und klicken Sie auf Weiter Akzeptieren Sie die Lizenzvereinbarung bernehmen Sie den Standardinstallationspfad a Ae U N W hlen Sie den Installationstyp aus m Wenn das SafeGuard
69. einstalliert werden Der Verschl sselungsalgorithmus der Festplatte wird bei der Migration nicht ver ndert Daher kann sich der tats chliche Algorithmus einer solchen migrierten Festplatte von der allgemeinen SafeGuard Enterprise Richtlinie unterscheiden Verschl sselte Wechselmedien Ja Verschl sselte Datentr ger z B USB Flash Drive gilt nur f r die Migration von k nnen in das SafeGuard Enterprise Format SafeGuard Easy konvertiert werden Hinweis Nach der Konvertierung kann ein verschl sselter Datentr ger nur noch mit SafeGuard Enterprise und nur auf dem Endpoint Computer gelesen werden an dem die Konvertierung durchgef hrt wurde Die Konvertierung muss jeweils best tigt werden Verschl sselungsalgorithmen Teilweise Die f r die Migration geeigneten Algorithmen AES128 AES256 3DES IDEA werden migriert AES 128 und 3 DES stehen jedoch nicht im Management Center zur Auswahl f r neu zu verschl sselnde Medien zur Verf gung Challenge Response Teilweise Das Challenge Response Verfahren bleibt erhalten Benutzernamen Nein Da in SafeGuard Enterprise die Windows Benutzernamen verwendet werden ist eine bernahme der bestehenden SafeGuard Easy Sophos SafeGuard Disk Encryption Benutzernamen nicht n tig Die Registrierung der migrierten Computer erfolgt deshalb wie bei einer Neuinstallation von SafeGuard Enterprise durch zentrales Zuweisen oder lokales Registrieren der Computer Benutzer Hinweis Nac
70. en W hlen Sie die ASP NET Registerkarte Unter ASP NET Version sollte Version 2 0 50727 angezeigt werden E Wenn diese Version angezeigt wird w hlen Sie sie aus Klicken Sie auf Anwenden und dann auf OK m Wird die Version nicht angezeigt wird geben Sie den Befehl aspnet_regiis exe lv auf der Kommandozeile ein um sicherzustellen dass die ASP Services in der Version 2 050727 installiert sind 4 Um zu berpr fen ob die korrekte Version installiert ist geben Sie aspnet_regiis exe lv auf der Kommandozeile ein Als ASP NET Version sollte 2 0 50727 angezeigt werden Konfigurieren von ASP NET f r IIS 6 auf Windows Server 2003 64 Bit Wenn Sie IIS 6 verwenden und SafeGuard Enterprise Server auf Windows Server 2003 64 Bit installieren wollen f hren Sie die folgenden zus tzlichen Schritte durch 1 Geben Sie folgenden Befehl ein cscript SYSTEMDRIVE inetpub adminscripts adsutil vbs SET W3SVC AppPools Enable32bitAppOnWin64 1 2 Registrieren Sie die ben tigte ASP NET Version mit folgendem Kommando SYSTEMROOT Microsoft NET Framework v2 0 50727 aspnet_regiis exe i 3 Um die 32 Bit Version von ASP Net 2 0 50727 zu aktivieren ffnen Sie den Internet Information Services Manager auf dem IIS Server 4 Klicken Sie im IIS Manager auf Server lokaler Computer und dann auf Webdiensterweiterungen 5 Klicken Sie mit der rechten Maustaste auf ASP NET v2 0 50727 32 Bit klicken Sie auf Eigenschaften und setzen Sie den Status auf Z
71. en Sie unter Verbindungseinstellungen WS_2 als Datenbankserver und LINZ als Datenbank auf Server Klicken Sie auf OK Klicken Sie im Extras Men auf Konfigurationspakete und dann auf Server Konfigurationspaket erstellen W hlen Sie den Server WS_2 den Ausgabepfad und klicken Sie auf Konfigurationspaket erstellen Wechseln Sie auf die Registerkarte Konfigurationspaket Managed erstellen Klicken Sie auf Konfigurationspaket hinzuf gen und geben Sie einen Namen f r das Paket ein W hlen Sie unter Prim rer Server den korrekten Server mit dem die SafeGuard Enterprise Clients LINZ verbunden werden sollen WS_2 Legen Sie den Ausgabepfad fest und klicken Sie auf Konfigurationspaket erstellen Klicken Sie auf Schlie en Verbinden Sie das SafeGuard Management Center wieder mit der Datenbank WIEN Klicken Sie im Extras Men auf Optionen und dann auf Datenbankverbindung Die SafeGuard Enterprise Server und Client Konfigurationspakete f r die Datenbank LINZ werden am definierten Ausgabeort erstellt Installieren der SafeGuard Enterprise Server Konfigurationspakete Installieren Sie das Server Konfigurationspaket ws_1l msi auf Web Service WS_1 der mit der Datenbank GRAZ kommunizieren soll Installieren Sie das Server Konfigurationspaket ws_2 msi auf Web Service WS_2 der mit der Datenbank LINZ kommunizieren soll Testen Sie die Kommunikation zwischen den SafeGuard Enterprise Servern und diesen Datenbanken siehe Testen D
72. engruppe des ersten Konfigurationspakets zuweisen das Sie nach der Installation der Verschl sselungssoftware auf dem Endpoint Computer installieren Weitere Informationen finden Sie in der Administrator Hilfe 61 SafeGuard Enterprise 10 Zentrales Einrichten von Endpoint Computern Durch das zentrale Einrichten von Endpoint Computern wird eine standardisierte Installation auf mehreren Computern erreicht Die Installation und Konfiguration wird sowohl f r SafeGuard Enterprise Clients managed als auch f r Sophos SafeGuard Clients standalone beschrieben Die Installationsschritte sind identisch mit der Ausnahme dass f r jeden der beiden ein unterschiedliches Konfigurationspaket zugeordnet werden muss Die erforderlichen Arbeitsschritte werden auch f r Endpoint Computer mit Windows BitLocker Device Encryption beschrieben F r Informationen zum Vorbereiten der BitLocker Unterst tzung siehe Spezifische vorbereitende Ma nahmen f r die Unterst tzung von BitLocker Device Encryption Seite 58 Das Verhalten des Endpoint Computers bei der ersten Anmeldung nach der Installation von SafeGuard Enterprise ist in der Benutzerhilfe beschrieben Hinweis Die Installations und Konfigurationspakete d rfen im Rahmen einer zentralen Softwareverteilung nur einem Computer zugewiesen werden nicht aber einem Benutzer 10 1 Zentrales Installieren der Verschl sselungssoftware 62 1 Bereiten Sie die Installation auf den Endpoint Compu
73. ent Center Als Sicherheitsbeauftragter k nnen Sie die SafeGuard Enterprise Datenbank w hrend der Erstkonfiguration im SafeGuard Management Centers leicht und bequem erstellen Der SafeGuard Management Center Konfigurationsassistent f hrt Sie durch die Basiskonfiguration zu der auch die Erstellung der Datenbank geh rt Installieren und konfigurieren Sie hierzu zuerst das SafeGuard Management Center siehe Einrichten des SafeGuard Management Centers Seite 33 und ndern Sie dann die Zugriffsrechte f r die SafeGuard Enterprise Datenbank siehe ndern der Zugriffsrechte f r die SafeGuard Enterprise Datenbank Seite 29 E Mit SQL Skripts die in der Produktlieferung zur Verf gung stehen Dieser Weg ist dann angebracht wenn die Erweiterung der Datenbankberechtigung w hrend der Installation des SafeGuard Management Centers nicht gew nscht ist Es h ngt von Ihrer Unternehmensumgebung ab welche Methode Sie anwenden Am besten sollte dies zwischen SQL Administrator und SafeGuard Enterprise Sicherheitsbeauftragten vorab gekl rt werden Installationsanleitung 5 2 1 Erzeugen der SafeGuard Enterprise Datenbank per Skript Wenn Sie die SafeGuard Datenbank automatisch w hrend der Konfiguration des SafeGuard Management Center erzeugen m chten k nnen Sie diesen Schritt berspringen Wenn erweiterte SQL Berechtigungen w hrend der SafeGuard Management Center Konfiguration nicht erw nscht sind f hren Sie diesen Schritt aus Dazu stehen
74. er ASP NET Registrierung bei IIS 7 4 2 3 4 3 ASP NET Version 2 0 50727 ist erforderlich 1 Um zu berpr fen ob ASP NET installiert und mit der korrekten Version registriert ist geben Sie das Kommando aspnet_regiis exe lv auf der Kommandozeile ein Als ASP NET Version sollte 2 0 50727 angezeigt werden Aktivieren der Speicherwiederverwendung Wir empfehlen f r IIS 6 IIS7 die Option Arbeitsprozesse wieder verwenden zu aktivieren 1 ffnen Sie den Internet Information Services Manager auf dem IIS Server 2 Klicken Sie im IIS Manager auf Server lokaler Computer 3 Klicken Sie mit der rechten Maustaste auf Anwendungspools und dann auf Eigenschaften 4 Setzen Sie unter Speicherwiederverwendung folgende Werte a Maximaler virtueller Speicher 500 MB b Maximaler verwendeter Speicher 192 MB 5 Klicken Sie auf Anwenden und dann auf OK Die Speicherwiederverwendung ist nun bei IIS 6 IIS 7 aktiviert H rten des IIS Zur Erh hung der Sicherheit im Intranet Ihres Unternehmens empfehlen wir jeden IIS Server sowie die Anwendungen die auf diesem Server laufen durch spezifische Sicherheitseinstellungen zu sch tzen und ihn so zu h rten Dieses Kapitel beschreibt wie Sie den IIS Server f r die Benutzung mit SafeGuard Enterprise so einrichten dass er den Absicherungsempfehlungen von Microsoft entspricht Sollten weitere Einstellungen die nicht von Microsoft empfohlen oder in diesem Kapitel beschrieben werden
75. er Verbindung IIS 6 auf Windows Server 2003 Seite 47 87 SafeGuard Enterprise 14 7 Installieren der SafeGuard Enterprise Client Software und der 88 Konfiguration auf den Endpoint Computern Die Installation der SafeGuard Enterprise Client Software entspricht der Client Installation ohne Replikation F r weitere Informationen siehe Kommando f r zentrale Installation Seite 64 Hinweis Stellen Sie f r eine korrekte Konfiguration nach der Installation der einzelnen SafeGuard Enterprise Clients sicher dass Sie das richtige Client Konfigurationspaket installieren 1 Installieren Sie das Client Konfigurationspaket GRAZ auf den Clients die mit dem GRAZ Server WS_1 verbunden werden sollen 2 Installieren Sie das Client Konfigurationspaket LINZ auf den Clients die mit dem LINZ Server WS_2 verbunden werden sollen F r Informationen zur Aktualisierung von replizierten SafeGuard Enterprise Datenbanken siehe Aktualisieren von replizierten SafeGuard Enterprise Datenbanken Seite 90 Installationsanleitung 15 Aktualisieren von SafeGuard Enterprise Wenn Sie bereits eine Vorg ngerversion von SafeGuard Enterprise installiert haben k nnen Sie SafeGuard Enterprise durch die Installation der neuesten Version aktualisieren Die Aktualisierung auf SafeGuard Enterprise Version 5 6x wird ab SafeGuard Enterprise Version 5 40 oder h her unterst tzt F r ltere Versionen m ssen Sie zun chst eine Aktualisierung auf Version
76. erbindungseigenschaften anzeigen Bereit oK Abbrechen o _Aecten 27 SafeGuard Enterprise 28 5 2 5 Um die Datenbank automatisch w hrend der Konfiguration des SafeGuard Management Center zu erstellen m ssen Sie die Zugriffsrechte wie folgt ndern Weisen Sie jetzt unter Anmeldung Neu unter Allgemein die Zugangsberechtigungen Rollen zu indem Sie links auf Serverrollen klicken W hlen Sie dbcreator Nach der Installation von SafeGuard Enterprise kann die Datenbankrolle auf dbowner zur ckgesetzt werden loix sw IB Skript 73 Hilfe LA Allgemein Serverollen L Benutzerzuordnung amp Sicherungsf hige Elemente LF Status Die Serverrolle wird verwendet um einem Benutzer serverweite Sicherheitsprivilegien zu erteilen Serveollen L bukadmin m dbcreator u DO diskadmin C processadmin securityadmin _ serveradmin C setupadmin sysadmin Server SRV 2003R2 DE Verbindung sa Verbindungseigenschaften anzeigen Stats Bereit OK Abbrech SE eeen Das SQL Benutzerkonto und die Zugriffsberechtigungen sind damit f r den SafeGuard Enterprise Sicherheitsbeauftragten eingerichtet Erzeugen der SafeGuard Enterprise Datenbank Nachdem das Benutzerkonto f r die SQL Server Anmeldung eingerichtet ist k nnen Sie die SafeGuard Enterprise Datenbank erzeugen Hier gibt es zwei M glichkeiten E im Konfigurationsassistenten f r das SafeGuard Managem
77. erender Verschl sselung ausgestattet Hinweis Die Schl ssel Recovery Datei sowie die lokalen Schl ssel die w hrend der Installation des Data Exchange Pakets erzeugt wurden bleiben erhalten Migrieren von Sophos SafeGuard Client standalone auf SafeGuard Enterprise Client managed Es besteht die M glichkeit einen Endpoint Computer mit einer Sophos SafeGuard Client standalone Konfiguration auf eine SafeGuard Enterprise Client managed Konfiguration zu migrieren Die Endpoint Computer werden dann im SafeGuard Management Center zu Objekten die verwaltet werden k nnen und eine Verbindung zum SafeGuard Enterprise Server haben Voraussetzungen m F hren Sie ein Backup des Endpoint Computers durch bevor Sie die Migration starten m Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen Installationsanleitung So migrieren Sie Sophos SafeGuard Client standalone auf SafeGuard Enterprise Client managed 1 Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete Um das Konfigurationspaket f r den SafeGuard Enterprise Client managed zu erzeugen klicken Sie auf Konfigurationspaket erstellen 2 Weisen Sie dieses Paket dem Endpoint Computer ber eine Gruppenrichtlinie zu Die Authentisierung ist deaktiviert da die Benutzer Computer Zuordnung nicht migriert wird Nach der Migration sind die Endpoint Computer damit ungesch tzt 3 Starten Sie den Endpoint Computer neu
78. erf gbar ist wird standardm ig Englisch benutzt Sprache des SafeGuard Management Center So definieren Sie die Sprache des SafeGuard Management Center im SafeGuard Management Center 1 Klicken Sie im Extras Men auf Optionen und dann auf Allgemein Klicken Sie auf Benutzerdefinierte Sprache verwenden und w hlen Sie eine verf gbare Sprache aus Die Sprachen Englisch Deutsch Franz sisch und Japanisch werden unterst tzt 2 Starten Sie das SafeGuard Management Center neu Es wird in der ausgew hlten Sprache angezeigt Installationsanleitung 3 2 3 SafeGuard Enterprise Oberfl chensprache auf Endpoint Computern 3 3 3 3 1 Um die SafeGuard Enterprise Oberfl chensprache auf dem Endpoint Computer zu definieren erstellen Sie eine Richtlinie vom Typ Allgemeine Finstellungen im SafeGuard Management Center und w hlen Sie im Feld Sprache am Client unter Anpassung die gew nschte Sprache aus Wenn die Sprache des Betriebssystems gew hlt wird richtet sich die Produktsprache nach der Spracheinstellung des Betriebssystems Steht die entsprechende Betriebssystemsprache in SafeGuard Enterprise nicht zur Verf gung wird standardm ig die englische Version von SafeGuard Enterprise angezeigt Wenn eine der zur Verf gung stehenden Sprachen gew hlt wird werden die SafeGuard Enterprise Produktanteile auf dem Endpoint Computer in der ausgew hlten Sprache angezeigt Zusammenspiel mit weiteren SafeGuard Produkten Beachten Si
79. erprise 3 3 1 3 2 3 2 1 3 2 2 Erste Schritte Dieses Kapitel erkl rt die notwendigen Vorbereitungsma nahmen f r eine erfolgreiche Installation von SafeGuard Enterprise E Erstinstallation Ein Installations Assistent vereinfacht die erstmalige Einrichtung der Management Komponenten einschlie lich Standardrichtlinien Um diesen Assistenten f r neue SafeGuard Enterprise Installationen zu aktivieren starten Sie SGNInstallAdvisor bat aus dem Stammverzeichnis der Produktlieferung E Aktualisierung F hren Sie die in dieser Hilfe beschriebenen Schritte durch Systemvoraussetzungen Informationen zu Hardware und Software Anforderungen Service Packs sowie Festplattenspeicherbedarf f r Installation und effektiven Betrieb finden Sie auf der Systemanforderungen Seite der Sophos Website http www sophos de products enterprise encryption safeguard enterprise sysregs html F r spezifische Anforderungen auf den Endpoint Computern siehe Allgemeine Einschr nkungen Seite 55 Sprache der Benutzeroberfl che Die Spracheinstellungen f r die Installations und Konfigurationsassistenten und die verschiedenen SafeGuard Enterprise Komponenten sind wie folgt Sprache w hrend der Installation Die Sprache der Installations und Konfigurationsassistenten der verschiedenen Installationspakete wird automatisch an die Spracheinstellungen des Betriebssystems angepasst Wenn die Betriebssystemsprache f r diese Assistenten nicht v
80. etzungen m SafeGuard Enterprise Server 5 35 oder h her muss installiert sein ltere Versionen als 5 35 m ssen zun chst auf SafeGuard Enterprise Server 5 40 aktualisiert werden m NET Framework 3 0 Service Pack 1 muss installiert sein AP NET 2 0 muss auf Version 2 0 aktualisiert sein m Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen So aktualisieren Sie den SafeGuard Enterprise Server 1 Installieren Sie die neueste Version des SafeGuard Enterprise Server Installationspakets Der SafeGuard Enterprise Server ist aktualisiert Er wird automatisch neu gestartet und kann benutzt werden Aktualisieren des SafeGuard Management Center Voraussetzungen m SafeGuard Management Center 5 40 oder eine neuere Version muss installiert sein ltere Versionen als 5 40 m ssen zun chst auf SafeGuard Management Center 5 40 aktualisiert werden m Die Aktualisierung der SafeGuard Enterprise Datenbank und des SafeGuard Enterprise Servers auf die aktuelle Version wurde bereits durchgef hrt m Die Aktualisierung der SafeGuard Enterprise Datenbank auf die aktuelle Version wurde bereits durchgef hrt Die Versionsnummer der SafeGuard Enterprise Datenbank und des SafeGuard Management Center m ssen bereinstimmen m NET Framework 3 0 Service Pack 1 muss installiert sein ASP NET muss auf Version 2 0 aktualisiert sein m Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen m Sie ben tigen eine
81. eu ausgestellt werden und wie bei jedem anderen SafeGuard Enterprise Endpoint Computer ber Richtlinien eingerichtet werden SafeGuard Easy Anmeldeinformationen in Dateiform auf Token Smartcards bleiben als solche erhalten k nnen aber lediglich zur Anmeldung an Computern mit SafeGuard Easy Unterst tzung verwendet werden Falls notwendig muss die benutzte Token Smartcard Middleware auf eine von SafeGuard Enterprise unterst tzte Version aktualisiert werden Anmeldung mit Lenovo Teilweise Die Anmeldung per Fingerabdruck kann in Fingerabdruck Leser SafeGuard Enterprise weiterhin benutzt werden Die Hardware sowie die Software f r den Fingerabdruck Leser muss von SafeGuard Enterprise unterst tzt werden Au erdem m ssen die Benutzerdaten erneut ausgerollt werden Weitere Informationen zur Anmeldung per Fingerabdruck finden Sie in der Benutzerhilfe Weitere Informationen zur Anmeldung per Fingerabdruck finden Sie in der Benutzerhilfe 18 4 Vorbereiten der Migration E Erstellen Sie zum Schutz vor Datenverlust ein komplettes Backup der zu migrierenden Computer F hren Sie die vor der Installation der Verschl sselungssoftware empfohlenen Schritte aus Benutzen Sie z B chkdsk und defrag F r weitere Informationen siehe Vorbereiten der Verschl sselung Seite 57 Siehe auch 102 Installationsanleitung chdsk http www sophos de support knowledgebase article 107799 html defrag http www sophos de suppor
82. f welchem Volume welchen Volumes der Festplatte SafeGuard Enterprise Runtime installiert werden soll In Zusammenhang mit SafeGuard Enterprise sind diese Volumes als sekund re Windows Installationen definiert Es k nnen mehrere sekund re Windows Installationen vorhanden sein Verwenden Sie folgendes Paket SGNClientRuntime msi oder SGNClientRuntime_x64 msi unter Windows Vista 64 Bit Window 7 64 Bit 3 Legen Sie fest auf welchem Volume der Festplatte die Vollversion des SafeGuard Enterprise Clients installiert werden soll In Zusammenhang mit SafeGuard Enterprise ist dieses Volume als prim re Windows Installation definiert Es kann jeweils nur eine prim re Windows Installation geben Verwenden Sie folgendes Paket SGNClient msi oder SGNClient_x64 msi unter Windows Vista 64 Bit Window 7 64 Bit Falls erforderlich k nnen Sie zus tzlich Configuration Protection SGN_CP_Client msi SGN_CP_Client_x64 msi verf gbar f r Windows 7 64 Bit Betriebssysteme installieren Einrichten von SafeGuard Enterprise Runtime 1 W hlen Sie das die gew nschte n sekund re n Volume s der Festplatte aus auf dem denen Sie SafeGuard Enterprise Runtime Client installieren m chten 2 Starten Sie die sekund re Windows Installation auf dem ausgew hlten Volume 3 Installieren Sie das Runtime Installationspaket auf dem ausgew hlten Volume 4 bernehmen Sie die Standardeinstellungen im n chsten Dialog des Installers Sie m ssen keine speziel
83. g ltige Lizenzdatei Wenden Sie sich daf r vorab an Ihren Vertriebspartner Hinweis Ist das SafeGuard Management Center auf einem Computer installiert auf dem auch der SafeGuard Enterprise Client installiert ist aktualisieren Sie die SafeGuard Enterprise Client Software zun chst auf Version 5 6x Aktualisieren Sie dann das SafeGuard Management Center auf Version 5 6x Wenn Sie nur das SafeGuard Management Center aktualisieren kann dies zu fehlgeschlagenen Anmeldungen auf Windows Ebene f hren Nach der Aktualisierung des SafeGuard Management Centers auf Version 5 6x sollten POA Benutzer nicht auf SafeGuard Enterprise Clients 5 4x oder 5 5x bertragen werden Dies wird in diesem Fall nicht unterst tzt da der POA Benutzer Besitzer des Computers werden w rde 91 SafeGuard Enterprise So aktualisieren Sie das SafeGuard Management Center 1 Installieren Sie die aktuelle Version des SafeGuard Management Center Installationspakets mit den erforderlichen Features siehe Einrichten des SafeGuard Management Centers Seite 33 Importieren Sie die Lizenzdatei Starten Sie das SafeGuard Management Center Das Systemverhalten beim ersten Start des SafeGuard Management Centers nach der Aktualisierung richtet sich nach den installierten Features Option Beschreibung Das Feature Multi Tenancy ist nicht Sie werden aufgefordert die SafeGuard Management installiert Center Sicherheitsbeauftragten Anmeldeinformationen einzugeben
84. g und Authentisierung installieren funktioniert SafeGuard Enterprise nur korrekt wenn die eigene GINA benutzt wird Um eine korrekte Konfiguration zu gew hrleisten muss SafeGuard Easy 4 x ohne GINA Unterst tzung installiert werden Option GINASYS 0 bevor das relevante SafeGuard Enterprise Modul installiert wird Wurde SafeGuard Easy 4 x mit GINA Unterst tzung installiert muss die Software vor der Installation von SafeGuard Enterprise 5 6x entfernt werden Hinweis Wenn SafeGuard Easy 4 x und das SafeGuard Data Exchange Module auf einem Computer installiert sind funktionieren die SafeGuard Easy GINA Mechanismen vor allem Windows Secure Autologon SAL nicht mehr Um dies zu umgehen muss SafeGuard Easy 4 x zuerst installiert werden und beide Produkte sollten nur zusammen deinstalliert werden ohne Neustart um GINA Konflikte zu vermeiden Allgemeine Vorsichtsma nahmen Die Computer auf denen der SafeGuard Enterprise Server die SafeGuard Enterprise Datenbank und das SafeGuard Management Center laufen sollten vor unberechtigtem Zugriff gesch tzt werden Hierzu sollten folgende praktische Ma nahmen durchgef hrt werden E Setzen Sie nur vertrauensw rdige Administratoren ein oder wenden Sie das Vieraugenprinzip an Installationsanleitung 3 5 3 5 1 E Sch tzen Sie die Computer vor elektronischen Angriffen Firewalls sichere Konfiguration Virus Scanner regelm ige Updates starke Kennw rter usw E Sch tze
85. gen Computer auf denen Windows Server 2003 mit SP1 l uft bestimmen anhand der NTFS Dateisystemberechtigungen die Zugriffsrechte die ein Benutzer oder ein Prozess an einer spezifischen Datei oder einem Ordner besitzt Sie sollten daher NTFS Berechtigungen zuweisen um den Website Zugriff bestimmten Benutzern auf dem IIS Server zu erlauben oder zu verweigern F r die Musterkonfiguration lauten die minimalen NTFS Berechtigungen wie folgt Benutzer Verzeichnis NTFS Berechtigungen NTFS Berechtigungen f r f r E inetpub F mycompany web Administratoren Vollzugriff Vollzugriff System Vollzugriff Vollzugriff Benutzer Ausf hren Ausf hren F r Benutzer k nnen Sie ein anderes Konto oder eine andere Gruppe einstellen unter der Voraussetzung dass dies auf dem IIS Server zur Verf gung gestellt wird In diesem Fall m ssen Sie das Konto IUSR_SRVERNAME auf dem IIS Server entsprechend aktualisieren Die NTFS Berechtigungen f r Dateitypen lauten wie folgt Dateityp Empfohlene NTF Berechtigungen CGI Dateien exe dll cmd pl Administratoren Vollzugriff System Vollzugriff Jeder Benutzer Ausf hren Skript Dateien asp Administratoren Vollzugriff System Vollzugriff Jeder Benutzer Ausf hren 21 SafeGuard Enterprise Dateityp Empfohlene NTF Berechtigungen Inklusive Dateien inc shtm shtml Administratoren Vollzugriff System Vollzugriff Jeder Benutzer Ausf h
86. greich zugegriffen werden Voraussetzungen und Einschr nkungen Beachten Sie E SafeGuard Enterprise Runtime bietet keine SafeGuard Enterprise Client spezifischen Features oder Funktionalit ten E SafeGuard Enterprise Runtime unterst tzt nur die Betriebssysteme die auch f r die SafeGuard Enterprise Verschl sselungssoftware unterst tzt werden m USB Tastaturen k nnen u U nur eingeschr nkt benutzt werden E Es werden nur Boot Manager unterst tzt die nach der Power on Authentication aktiv werden E Die Unterst tzung von Boot Managern von Drittanbietern wird nicht garantiert Wir empfehlen den Einsatz von Microsoft Boot Managern E SafeGuard Enterprise Runtime kann nicht auf eine SafeGuard Enterprise Client Installation in Vollversion aktualisiert werden E Das Runtime Installationspaket muss vor der Vollversion des Enterprise Client Pakets installiert werden E Es kann nur auf Volumes die mit dem definierten Computerschl ssel in SafeGuard Enterprise verschl sselt wurden zugegriffen werden Vorbereitung Um SafeGuard Enterprise Runtime einzurichten f hren Sie die folgenden vorbereitenden Schritte in der angegebenen Reihenfolge durch 1 Stellen Sie sicher dass die Volumes auf denen SafeGuard Enterprise Runtime laufen soll zum Zeitpunkt der Installation sichtbar sind und mit ihrem Windows Namen z B C angesprochen werden k nnen 75 SafeGuard Enterprise 12 3 12 4 76 2 Legen Sie fest au
87. guration die Sie verwenden m chten aus der Liste und klicken Sie auf OK Die ausgew hlte Datenbankkonfiguration wird mit dem SafeGuard Management Center verbunden und wird aktiv 3 Sie werden dazu aufgefordert den Sicherheitsbeauftragtennamen f r diese Konfiguration auszuw hlen und das entsprechende Zertifikatsspeicherkennwort einzugeben Klicken Sie auf OK Das SafeGuard Management Center wird ge ffnet und mit der ausgew hlten Datenbankkonfiguration verbunden Installationsanleitung 6 8 6 9 Hinweis Wenn Sie ein falsches Kennwort eingeben wird eine Fehlermeldung angezeigt und die n chste Anmeldung wird verz gert Diese Verz gerung wird mit jedem fehlgeschlagenen Anmeldeversuch gr er Fehlgeschlagene Anmeldeversuche werden protokolliert Einrichten der Organisationsstruktur im SafeGuard Management Center Es gibt zwei M glichkeiten Ihre Organisation in SafeGuard Enterprise abzubilden E Directory Service importieren z B Active Directory W hrend der Synchronisierung mit dem Active Directory werden Objekte z B Computer Benutzer und Gruppen in das SafeGuard Management Center importiert und in der SafeGuard Enterprise Datenbank gespeichert E Organisationsstruktur manuell aufbauen Steht kein Directory Service zur Verf gung oder gibt es nur wenige Organisationseinheiten so dass kein Directory Service ben tigt wird k nnen Sie neue Dom nen Arbeitsgruppen anlegen an denen sich der Benutzer Compute
88. h Windows Version wird es bereits als Standard mit installiert Sie k nnen das Programm auch herunterladen http www asp net ASP NET ist kostenlos verf gbar 15 SafeGuard Enterprise 4 2 Installation und Konfiguration von Microsoft Internet Information 4 2 1 4 2 1 1 16 Services IIS Dieses Kapitel beschreibt wie Sie Microsoft Internet Information Services IIS f r den Betrieb mit SafeGuard Enterprise Server vorbereiten Die Einstellungen variieren je nach IIS Version und Betriebssystemversion F r folgende Kombinationen werden spezifische Setup Informationen angegeben E JIS 6 auf Microsoft Windows Server 2003 E JIS 7 auf Microsoft Windows Server 2008 Installieren und Konfigurieren von IIS 6 auf Microsoft Windows Server 2003 IIS ist kostenlos verf gbar Sie finden das Programm z B auf Ihrer Windows DVD oder auf der Microsoft Website 1 Klicken Sie im Start Men auf Systemsteuerung und w hlen Sie Windows Komponenten hinzuf gen entfernen 2 Klicken Sie in der Komponenten Liste auf Application Server 3 Klicken Sie in Application Server auf Details und w hlen Sie Internet Information Services IIS 4 W hlen Sie au erdem ASP NET 5 Klicken Sie auf OK IIS 6 wird mit einer Standardkonfiguration zum Hosten von ASP NET installiert 6 berpr fen Sie mit http lt server name gt ob die Web Seite korrekt angezeigt wird Weitere Informationen finden Sie hier http support microsoft com
89. h der Migration wird der erste Benutzer der sich an Windows anmeldet als prim rer Benutzer innerhalb der POA definiert es sei denn der Benutzer ist auf einer Service Account Liste aufgef hrt Benutzerkennw rter Nein Da die Windows Kennw rter in SafeGuard Enterprise verwendet werden m ssen die SafeGuard Easy Sophos SafeGuard Disk Encryption Kennw rter nicht bernommen werden Die spezifischen SafeGuard Easy Sophos SafeGuard Disk Encryption Kennw rter werden deshalb nicht migriert 101 SafeGuard Enterprise SafeGuard Easy Sophos Upgrade SafeGuard Enterprise SafeGuard Disk Encryption Richtlinien Einstellungen z Nein Zur Sicherstellung der Konsistenz der gesamten B Mindestpasswortl nge Einstellungen ist eine automatische bernahme nicht vorgesehen Die Einstellungen m ssen im SafeGuard Management Center neu gesetzt werden Pre Boot Authentisierung Nein Die Pre Boot Authentication PBA wird durch die Sophos SafeGuard Power on Authentication POA ersetzt A S ER Installationen ohne GINA Ja Installationen ohne GINA werden auf SafeGuard Enterprise mit installierter SGNGINA migriert Token Smartcards gilt nur f r Teilweise Die Token Smartcard Hardware kann in die Migration von SafeGuard SafeGuard Enterprise weiterverwendet werden Easy Allerdings werden die Anmeldeinformationen nicht migriert Die in SafeGuard Easy verwendeten Token m ssen deshalb in SafeGuard Enterprise n
90. her importieren Hinweis Ein Zertifikat kann nicht aus einer Microsoft PKI importiert werden Ein importiertes Zertifikat muss minimal 1024 Bits haben und kann maximal 4096 Bits lang sein 1 Klicken Sie unter Authentisierungs Schl sseldatei importieren auf die Schaltfl che und w hlen Sie die Schl sseldatei aus Geben Sie das Kennwort der Schl sseldatei ein Geben Sie das zuvor unter Kennwort des Zertifikatsspeichers oder Token PIN definierte Kennwort f r den Zertifikatsspeicher ein W hlen Sie In den Zertifikatsspeicher importieren oder Auf den Token kopieren um das Zertifikat auf einem Token zu speichern 2 Geben Sie zur Initialisierung des Zertifikatsspeichers das Kennwort noch einmal ein Zertifikat und privater Schl ssel befinden sich nun im Zertifikatsspeicher Zur Anmeldung an das SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet Erzeugen des Unternehmenszertifikats Mit dem Unternehmenszertifikat lassen sich unterschiedliche SafeGuard Management Center Installationen auseinander halten In Verbindung mit dem Zertifikat des Haupt Sicherheitsbeauftragten l sst sich mit dem Unternehmenszertifikat eine besch digte SafeGuard Enterprise Datenbankkonfiguration wiederherstellen 1 W hlen Sie auf der Seite Unternehmenszertifikat die Option Neues Unternehmenszertifikat erzeugen 2 Geben Sie einen Namen Ihrer Wahl ein 3 Klicken Sie auf Weiter Das neu angelegte Unternehmenszertifikat wi
91. hselmedien die mit einem der folgenden Algorithmen verschl sselt sind k nnen nicht migriert werden XOR STEALTH DES RIJNDAEL Blowfish 8 Blowfish 16 Hinweis Es besteht die Gefahr von Datenverlust wenn ein Wechselmedium mit einem der Algorithmen XOR STEALTH DES RIJ ANDAEL Blowfish 8 Blowfish 16 verschl sselt wurde Die Daten auf dem Wechselmedium k nnen nach der Migration mit Sophos SafeGuard nicht mehr gelesen werden m Wechselmedien mit Super Floppy Volumen k nnen nach der Migration nicht umgewandelt werden m Wechselmedien k nnen in das SafeGuard Enterprise Format konvertiert werden Nach der Konvertierung kann ein verschl sselter Datentr ger nur noch mit SafeGuard Enterprise und nur auf dem Endpoint Computer gelesen werden an dem die Konvertierung durchgef hrt wurde 18 3 Welche Funktionalit t wird migriert Die folgende Tabelle zeigt welche Funktionalit t migriert wird und wie diese in SafeGuard Enterprise abgebildet wird SafeGuard Easy Sophos Upgrade SafeGuard Enterprise SafeGuard Disk Encryption Verschl sselte Festplatten Ja Die Festplattenschl ssel werden durch die SafeGuard Enterprise Power on Authentication gesch tzt Der Festplattenschl ssel ist somit zu keiner Zeit exponiert Wenn der Modus Boot 100 Installationsanleitung SafeGuard Easy Sophos Upgrade SafeGuard Enterprise SafeGuard Disk Encryption Protection gew hlt wurde muss die bisherige SafeGuard Easy Version d
92. ichten der Datenbankreplikation Der Vorgang des Einrichtens einer Replikation f r die SafeGuard Enterprise Datenbank wird am Beispiel von Microsoft SQL Server 2005 beschrieben Im Beispiel wird SafeGuard Enterprise ausschlie lich von der Datenbank in Wien aus administriert Alle nderungen werden vom SafeGuard Management Center ber den Microsoft SQL Server 2005 Replikationsmechanismus an die Datenbanken in Graz und Linz weitergegeben Die von den Client Computern ber die Web Server gemeldeten nderungen werden ebenfalls ber den Replikationsmechanismus an den Microsoft SQL Server 2005 weitergegeben Installationsanleitung 14 2 1 14 2 2 SGN Client_1 SGN Client_n SGN Client 1 SGN Client_n Erzeugen der Master Datenbank Legen Sie zun chst die SafeGuard Enterprise Master Datenbank an In unserem Beispiel ist dies die Datenbank Wien Der Vorgang zum Erzeugen der Master Datenbank ist mit dem entsprechenden Vorgang f r eine SafeGuard Enterprise Installation ohne Replikation identisch E Erzeugen der Master Datenbank im SafeGuard Management Center Konfigurationsassistenten F r diesen Vorgang muss das SafeGuard Management Center bereits installiert sein F r weitere Informationen siehe Starten der Erstkonfiguration des SafeGuard Management Center Seite 35 E Erzeugen der Master Datenbank mit einem SQL Skript das in der Produktlieferung Verf gung steht Dieser Vorgang wird h ufig bevorzugt wenn erweiterte SQL Ber
93. ien und Registry Eintr ge auf dem Computer Informationen zur manuellen S uberung der Installation finden Sie in der Sophos Wissensdatenbank Stichw rter SGN amp uninstall Eine manuelle S uberung ist notwendig damit die Verschl sselungssoftware auf dem Computer erneut erfolgreich installiert werden kann Wenn Sie SafeGuard Device Encryption und SafeGuard Data Exchange auf einem Computer installiert haben k nnen Sie SafeGuard Device Encryption nicht separat deinstallieren Sie m ssen das komplette Paket deinstallieren Bevor Sie eine Deinstallation des letzten SafeGuard Enterprise Client auf den Zugriff besteht durchf hren sollten Sie alle verschl sselten Wechselmedien entschl sseln Andernfalls besteht die Gefahr dass Sie nicht mehr auf Ihre Daten zugreifen k nnen Solange Sie Ihre SafeGuard Enterprise Datenbank beibehalten k nnen die Daten auf den Wechselmedien wiederhergestellt werden 107 SafeGuard Enterprise 19 1 Verhindern der Deinstallation auf Endpoint Computern 108 Um Endpoint Computer zus tzlich zu sch tzen kann die lokale Deinstallation von Sophos SafeGuard verhindert werden Setzen Sie das Feld Deinstallation erlaubt in einer Spezifische Computereinstellungen Richtlinie auf Nein und bermitteln Sie die Richtlinie an die Endpoint Computer Nach Wirksamwerden einer solchen Richtlinie auf dem Endpoint Computer werden Deinstallationsvorg nge abgebrochen Jeder unautorisierte Deinstallationsversuch
94. ieneinstellungen in einer Datenbank Die SafeGuard Enterprise Datenbank basiert auf Microsoft SQL Server Eine Liste der derzeit unterst tzten SQL Servertypen finden Sie in den Systemanforderungen Sie k nnen die Datenbank entweder automatisch w hrend der Erstkonfiguration im SafeGuard Management Center oder manuell mit den in Ihrer Produktlieferung verf gbaren SQL Skripten einrichten W hlen Sie die geeignete Methode nach den Gegebenheiten in Ihrer Firmenumgebung F r weitere Informationen siehe Datenbankzugriffsrechte Seite 25 Zur Optimierung der Performance l sst sich die SafeGuard Enterprise Datenbank auf mehrere SQL Server replizieren F r Informationen zum Aufsetzen der Datenbankreplizierung siehe Replikation der SafeGuard Enterprise Datenbank Seite 84 Sie k nnen mehrere SafeGuard Enterprise Datenbanken f r unterschiedliche Mandanten z B Firmenstandorte Organisationseinheiten oder Dom nen einrichten und verwalten F r Informationen zum Konfigurieren von Multi Tenancy siehe Multi Tenancy Konfigurationen Seite 35 Hinweis Wir empfehlen den Einsatz eines permanenten Online Backups f r die Datenbank F hren Sie ein regelm iges Backup Ihrer Datenbank durch um Schl ssel Unternehmenszertifikate und Benutzer Computer Zuordnungen zu sichern Beispiele f r empfohlene Backup Zyklen nach dem Erstimport der Daten nach gr eren nderungen oder in turnusm igen Abst nden z B w chentlich oder t glich D
95. iffen werden 3 Erstellen Sie ein neues Server Konfigurationspaket in der Registerkarte Server Konfigurationspaket erstellen 51 SafeGuard Enterprise 52 8 4 4 Deinstallieren Sie das veraltete Server Konfigurationspaket und installieren Sie danach das neue auf dem entsprechenden Server Die neue Server Konfiguration wird aktiv Registrieren des SafeGuard Enterprise Servers mit aktivierter Sophos Firewall Ein SafeGuard Enterprise Client kann keine Verbindung mit dem SafeGuard Enterprise Server herstellen wenn eine Sophos Firewall mit Standardeinstellungen auf dem Endpoint Computer installiert ist Die Sophos Firewall sperrt standardm ig NetBIOS Verbindungen die f r die Aufl sung des Netzwerknamens des SafeGuard Enterprise Servers ben tigt werden 1 F hren Sie als Workaround einen der folgenden Schritte aus E Geben Sie die NetBIOS Verbindungen in der Firewall frei E F gen Sie den Fully Qualified Name des SafeGuard Enterprise Servers im Konfigurationspaket hinzu F r weitere Informationen siehe Registrieren und Konfigurieren des SafeGuard Enterprise Servers f r die Benutzung auf einem anderen Computer Seite 50 Installationsanleitung 9 9 1 9 1 1 SafeGuard Enterprise auf Endpoint Computern einrichten SafeGuard Enterprise f gt sich nahtlos in die gewohnte Benutzerumgebung ein und l sst sich leicht und intuitiv bedienen Je nach Ihrer Strategie f r den Einsatz von SafeGuard Enter
96. ifikat und privater Schl ssel befinden sich nun im Zertifikatsspeicher Zur Anmeldung an das SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet Anmeldung am SafeGuard Management Center Die Anmeldung richtet sich danach ob Sie das SafeGuard Management Center im Single Tenancy Modus oder im Multi Tenancy Modus einsetzen Informationen zu den ersten Arbeitsschritten im SafeGuard Management Center finden Sie in der SafeGuard Enterprise Administrator Hilfe Anmeldung im Single Tenancy Modus 1 Starten Sie das SafeGuard Management Center ber das Start Men Ein Anmeldebildschirm wird angezeigt 2 Melden Sie sich als Haupt Sicherheitsbeauftragter an und geben Sie das Zertifikatsspeicherkennwort ein das w hrend der Konfiguration festgelegt wurde Klicken Sie auf OK Das SafeGuard Management Center wird gestartet Hinweis Wenn Sie ein falsches Kennwort eingeben wird eine Fehlermeldung angezeigt und die n chste Anmeldung wird verz gert Diese Verz gerung wird mit jedem fehlgeschlagenen Anmeldeversuch gr er Fehlgeschlagene Anmeldeversuche werden protokolliert Anmeldung im Multi Tenancy Modus Wenn Sie mehrere Datenbanken konfiguriert haben Multi Tenancy erweitert sich der Anmeldevorgang an das SafeGuard Management Center 1 Starten Sie das SafeGuard Management Center ber den Produktordner im Start Men Der Dialog Konfiguration ausw hlen wird angezeigt 2 W hlen Sie die Datenbankkonfi
97. in Windows Kennwort nicht wei weil er Secure Automatic Logon f r die Windows Anmeldung verwendet muss das Windows Kennwort des Benutzers zur ckgesetzt werden Das neue Kennwort muss dem Benutzer mitgeteilt werden F r weitere Informationen siehe Vorbereiten der Migration Seite 102 Einschr nkungen E Es kann nur das SafeGuard Device Encryption Installationspaket mit dem Standard Funktionsumfang installiert werden SGNClient msi Wenn zus tzlich das Modul SafeGuard Data Exchange SGNClient_withoutDE msi installiert werden soll 99 SafeGuard Enterprise muss dies in einem separaten Schritt erfolgen da eine direkte Migration f r dieses Paket nicht unterst tzt wird E Folgende SafeGuard Easy Installationen k nnen nicht auf SafeGuard Enterprise migriert werden In diesen F llen sollten Sie nicht versuchen SafeGuard Enterprise zu installieren Hinweis Wenn Sie in den nachfolgend genannten F llen eine Migration vornehmen erhalten Sie eine Fehlermeldung Fehlernummer 5006 Twin Boot Installationen Installationen mit aktivem Compaq Switch Lenovo Computrace Installationen Festplatten die nur teilweise verschl sselt sind z B nur mit Verschl sselung des Boot Sektors Festplatten mit versteckten Partitionen Festplatten die mit einem der folgenden Algorithmen verschl sselt sind XOR STEALTH DES RIIJNDAEL Blowfish 8 Blowfish 16 Multi Boot Szenarien mit einer zweiten Windows oder Linux Partition m Wec
98. inierte Kennwort einzugeben Geben Sie das Kennwort ein und klicken Sie auf OK Best tigen Sie die angezeigte Meldung mit Ja Das Unternehmenszertifikat wird importiert 7 Klicken Sie auf Weiter dann auf Beenden Die Datenbankkonfiguration ist wiederhergestellt 45 SafeGuard Enterprise 7 Testen der Kommunikation Wenn SafeGuard Enterprise Server die Datenbank und das SafeGuard Management Center eingerichtet sind sollten Sie einen Verbindungstest durchf hren Die n tigen Schritte werden in diesem Kapitel beschrieben 7 1 Voraussetzungen Vor dem Verbindungstest m ssen folgende Einstellungen gemacht bzw gepr ft werden 7 1 1 Ports Verbindungen Die Endpoint Computer m ssen folgende Verbindungen aufbauen SafeGuard Client Verbindung zu Port SafeGuard Enterprise Server Port 80 TCP Port 443 bei Benutzung der SSL Transportverbindung Das SafeGuard Management Center muss folgende Verbindungen aufbauen SafeGuard WERNER ET Verbindung zu SQL Datenbank Active Directory Port SQL Server 2005 SQL Server 2008 dynamischer Port Port 1433 TCP und Port 1434 TCP Port 389 TCP SLDAP Port 636 f r den Active Directory Import Der SafeGuard Enterprise Server muss folgende Verbindungen aufbauen SafeGuard Enterprise Server Verbindung zu Port SQL Datenbank Port 1433 TCP und Port 1434 TCP f r SQL 2005 Express dynamic port Active Directory 46 Port 389
99. ion Services IIS basieren Wir empfehlen den Einsatz eines dedizierten IIS Servers f r SafeGuard Enterprise Server Es ist m glich den IIS Server zu clustern EEE S Der SafeGuard Enterprise Server ist die Schnittstelle zwischen Datenbank und SafeGuard Enterprise Endpoint Computern Der SafeGuard Enterprise Server sendet auf Anfrage SafeGuard Enterprise Richtlinieneinstellungen an die Endpoint Computer Er ben tigt Zugriff auf die Datenbank Er l uft als Anwendung auf einem Microsoft Internet Information Services IIS basierten Webserver Zentrales Management Werkzeug f r durch SafeGuard Enterprise gesch tzte Computer zur Verwaltung von Schl sseln und Zertifikaten Benutzern amp Computern sowie zur Erstellung von SafeGuard Enterprise Richtlinien Das SafeGuard Management Center kommuniziert mit der SafeGuard Enterprise Datenbank Verzeichnisdienste optional Import eines Active Directory Es enth lt die Organisationsstruktur des Unternehmens mit Benutzern und Computern SafeGuard Enterprise Client auf Endpoint Computern Client Software zur Authentisierung und Datenverschl sselung auf Endpoint Computern Der SafeGuard Enterprise Client managed kommuniziert mit dem SafeGuard Enterprise Server Dar ber hinaus lassen sich auch Standalone Computer Sophos SafeGuard Clients standalone die nie eine Verbindung zum SafeGuard Enterprise Server haben mit SafeGuard Enterprise sch tzen SafeGuard Ent
100. ion eingestellt werden Es kann jedoch ebenso gut nachtr glich zu jedem beliebigen Zeitpunkt aktiviert werden Eine Neuinstallation ist dazu nicht erforderlich Es muss lediglich ein neues Konfigurationspaket erstellt und auf dem entsprechenden Server oder Client ausgef hrt werden Bevor SSL f r SafeGuard Enterprise aktiviert werden kann muss eine funktionsf hige SSL Umgebung eingerichtet werden Einrichten von SSL Die folgenden allgemeinen Aufgaben m ssen f r die SSL Einrichtung auf dem Web Server durchgef hrt werden E Certificate Authority muss auf dem Server installiert sein um die bei der SSL Verschl sselung verwendeten Zertifikate auszustellen E Ein Zertifikat muss ausgestellt werden und der IIS Server so konfiguriert werden dass er SSL verwendet und auf das Zertifikat zeigt E Der Servername den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben muss identisch sein mit dem Servernamen den Sie vorab im SSL Zertifikat angegeben haben Sonst k nnen Client und Server nicht miteinander kommunizieren F r jeden SafeGuard Enterprise Server wird ein separates SSL Zertifikat ben tigt SafeGuard Enterprise 3 3 2 10 3 6 m Wenn Sie Network Load Balancer einsetzen vergewissern Sie sich dass der Portbereich den SSL Port mit einschlie t Weitere Informationen erhalten Sie von unserem technischen Support oder hier E http msdn2 microsoft com en us library ms998300 aspx E http support microsof
101. k nnen Sie die 64 Bit Variante der Client msi Pakete installieren Um SafeGuard Enterprise auf mehreren Betriebssystemen zu installieren f hren Sie die folgenden Installationsschritte durch Installationsanleitung Nr Schritt Beschreibung Installation Konfiguration 1 Runtime System auf dem SafeGuard Client SGNClientRuntime msi Endpoint Computer Runtimepaket auf dem den A gt SGNClientRuntime_x64 msi einrichten sekund ren Boot Laufwerk en des Endpoint Computers installieren 2 SafeGuard Ausstatten der SGxClientPreinstall msi Verschl sselungssoftware Endpoint Computer mit auf den notwendigen Endpoint Computern Voraussetzungen f r die installieren erfolgreiche Installation der Verschl sselungssoftware obligatorisch SafeGuard Device SGNClient msi Encryption SGNClient_x64 msi Installationspaket auf dem prim ren Boot Laufwerk des Endpoint Computers installieren 3 Endpoint Computer Konfigurationspaket f r SGNClientConfig msi konfigurieren Endpoint Computer Client Konfigurationspaket im Konfigurationspakete Werkzeug des SafeGuard Management Center erzeugen managed oder standalone erzeugen und auf dem Endpoint Computer installieren 3 8 Vorbereiten der Installation 3 8 1 Vor der Installation von SafeGuard Enterprise empfehlen wir folgende vorbereitende Ma nahmen E Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen E Schlie en Sie alle ge
102. ket an die Endpoint Computer zur Installation Service Accounts f r die Durchf hrung von Aufgaben nach der Installation Wenn Sie SafeGuard Enterprise ber einen zentralen Rollout Vorgang installieren m chten empfehlen wir die Konfiguration einer Service Account Liste Ein IT Administrator der zu einer Service Account Liste hinzugef gt wurde kann sich nach der Installation von SafeGuard Enterprise an Computern anmelden ohne die Power on Authentication zu aktivieren Ein solches Vorgehen ist empfehlenswert da normalerweise der erste Benutzer der sich nach der Installation an einem Endpoint Computer anmeldet als prim res Benutzerkonto zur POA hinzugef gt wird Die in den Listen enthaltenen Benutzer werden als SafeGuard Enterprise Gastbenutzer behandelt Mit Service Accounts ergibt sich folgender Workflow E SafeGuard Enterprise wird auf einem Endpoint Computer installiert E Der Computer wird neu gestartet und ein Rollout Beauftragter der in einer Service Account Liste aufgef hrt ist meldet sich ber die Windows Eingabe Aufforderung an E Gem der auf den Computer angewendeten Service Account Liste wird der Benutzer als Service Account erkannt und als Gastbenutzer behandelt E Der Rollout Beauftragte wird nicht zur POA hinzugef gt und die POA wird nicht aktiviert Der Endbenutzer kann sich anmelden und die POA aktivieren Hinweis Service Account Listen m ssen Sie in einer Richtlinie anlegen und diese der ersten Richtlini
103. leisten Da wir f r die Festplatten selbst keine Sicherheitsgarantien geben k nnen haben wir einen speziellen Installationsschalter implementiert Diesen Schalter k nnen Sie verwenden um Festplatten mit potentiellen Sicherheitsrisken auf eigene Verwantwortung zu benutzen Eine Liste der Festplatten f r die dieser Schalter erforderlich ist sowie weitere Informationen zu unterst tzten Festplatten finden Sie in den SafeGuard Enterprise Release Notes Um den Installationsschalter anzuwenden benutzen Sie folgende Kommandozeilensyntax MSIEXEC i lt Name_des_ausgew hlten_Client_MSI msi gt IGNORE_OPAL_AUTHORITYCHECK_RESULTS Die interne Eigenschaft des msi Pakets hat denselben Namen Diese Information ben tigen Sie wenn Sie z B eine Installation mit mst Dateien ausf hren oder Ihre msi Datei z B mit ORCA modifizieren m chten 71 SafeGuard Enterprise Weitere Informationen zu SafeGuard Enterprise in Kombination mit Opal Festplatten finden Sie in der SafeGuard Enterprise Administratorhilfe und Benutzerhilfe 72 Installationsanleitung 11 11 1 Lokales Einrichten von Endpoint Computern Wenn Sie erst eine Probeinstallation auf einem Endpoint Computer durchf hren m chten ist es sinnvoll SafeGuard Enterprise zun chst lokal zu installieren Die Installation und Konfiguration wird sowohl f r SafeGuard Enterprise Clients managed als auch f r Sophos SafeGuard Clients
104. len Features ausw hlen 5 W hlen Sie einen Installationsordner f r die Runtime Installation 6 Klicken Sie auf Beenden um die Runtime Installation abzuschlie en 7 W hlen Sie das prim re Volume der Festplatte auf dem Sie SafeGuard Enterprise Client installieren m chten 8 Starten Sie die prim re Windows Installation auf dem ausgew hlten Volume 9 Starten Sie das vorbereitende Installationspaket SGxClientPreinstall msi Dieses Paket stattet die Endpoint Computer mit notwendigen Voraussetzungen f r die erfolgreiche Installation der Verschl sselungssoftware aus l D Installieren Sie das SafeGuard Enterprise Client Installationspaket auf dem ausgew hlten Volume 1 n Erstellen Sie ein Konfigurationspaket f r einen SafeGuard Enterprise Client managed oder Sophos SafeGuard Client standalone je nach Anforderung und verteilen Sie diese an die Endpoint Computer 12 Verschl sseln Sie beide Volumes mit dem definierten Computerschl ssel Starten von einem sekund ren Volume ber einen Boot Manager 1 Starten Sie den Computer 2 Melden Sie sich an der Power on Authentication mit Ihren Anmeldeinformationen an 3 Starten Sie den Boot Manager und w hlen Sie das gew nschte sekund re Volume als Boot Laufwerk 4 Starten Sie den Computer von diesem Volume neu Installationsanleitung Auf jedes Volume das mit dem definierten Computerschl ssel verschl sselt ist kann zugegriffen werden 77 S
105. lt Verzeichnis gt Gibt das Verzeichnis an in das der SafeGuard Enterprise Client installiert wird Ohne Angabe wird als Standardinstallationsverzeichnis lt SYSTEM gt PROGRAMME SOPHOS verwendet 10 3 SafeGuard Enterprise Features ADDLOCAL F r eine zentrale Installation m ssen Sie bereits im Vorfeld definieren welche Sophos SafeGuard Features auf den Endpoint Computern installiert werden sollen Listen Sie die Features nach der Eingabe der Option ADDLOCAL auf Hinweis Es ist zwar m glich bei einer Erstinstallation nicht alle Features zu installieren wir empfehlen jedoch das Feature Device Encryption volume basierende Verschl sselung von Beginn an zu installieren Entscheiden Sie vor der Installation ob Sie SafeGuard Enterprise in Verbindung mit der BitLocker Drive Encryption oder nur die native SafeGuard Enterprise Verschl sselung anwenden m chten In den folgenden Tabellen sind alle SafeGuard Enterprise Features aufgelistet die auf den Endpoint Computern installiert werden k nnen Weitere Informationen finden Sie hier http www sophos de support knowledgebase article 108426 html 65 SafeGuard Enterprise 10 3 1 Features f r SafeGuard Device Encryption 66 Hinweis Die Features Client und Authentication m ssen Sie standardm ig auflisten Wenn Sie ein Feature ausw hlen m ssen Sie auch alle bergeordneten Features Feature Parents zur Kommandozeile hinzuf gen Feature Parents F
106. ment Center starten werden die entsprechenden Warnungsmeldungen angezeigt Sie k nnen die Tabellen dann in den entsprechenden Dialogen reparieren Die aktuelle Version der SafeGuard Enterprise Datenbank ist einsatzbereit Hinweis Im n chsten Schritt aktualisieren Sie das SafeGuard Management Center auf die aktuelle Version Andernfalls wird eine Fehlermeldung angezeigt 15 2 Aktualisieren von replizierten SafeGuard Enterprise Datenbanken 90 Wenn die SafeGuard Enterprise Datenbank zu einer neueren Version aktualisiert werden soll und replizierte Datenbanken verwendet werden ist es am besten die replizierten Datenbanken zu deinstallieren bevor Sie mit der Aktualisierung der Master Datenbank beginnen F r die Aktualisierung von SafeGuard Enterprise Datenbanken ist die Ausf hrung von speziellen SQL Migrationsskripten erforderlich die andernfalls einen Konflikt mit den replizierten Datenbanken ausl sen k nnen So aktualisieren Sie die replizierte Datenbank 1 Deinstallieren Sie die replizierten Datenbanken 2 Wenden Sie die SQL Migrationsskripts auf die Master Datenbank an Sie finden die Skripts im Verzeichnis Tools in Ihrer Produktlieferung siehe Aktualisieren der SafeGuard Enterprise Datenbank Seite 89 3 Richten Sie die replizierten Datenbanken neu ein siehe Replikation der SafeGuard Enterprise Datenbank Seite 84 Installationsanleitung 15 3 15 4 Aktualisieren des SafeGuard Enterprise Servers Vorauss
107. n tzlich wenn Sie verschiedene Konfigurationen f r verschiedene Dom nen Organisationseinheiten oder Unternehmensstandorte einsetzen m chten Hinweis Sie m ssen pro Datenbank Mandant jeweils eine separate SafeGuard Enterprise Server Instanz einrichten Zur Vereinfachung der Konfiguration k nnen neu erstellte Datenbankkonfigurationen zur sp teren Wiederverwendung in eine Datei exportiert werden und zuvor erstellte Konfigurationen aus einer Datei eingelesen werden Um das SafeGuard Management Center f r Multi Tenancy zu konfigurieren f hren Sie zun chst die initiale Konfiguration und danach weitere spezifische Schritte f r die Multi Tenancy Konfiguration durch Starten der Erstkonfiguration des SafeGuard Management Center Nach der Installation des SafeGuard Management Center m ssen Sie die Erstkonfiguration durchf hren Die Erstkonfiguration muss sowohl f r den Single Tenancy als auch f r den Multi Tenancy Modus ausgef hrt werden So starten Sie den SafeGuard Management Center Konfigurationsassistenten 1 Starten Sie das SafeGuard Management Center ber das Start Men Der Konfigurationsassistent wird gestartet und f hrt Sie durch die notwendigen Schritte 2 Klicken Sie auf der Willkommen Seite auf Weiter Konfigurieren der Datenbankserver Verbindung Zum Speichern aller SafeGuard Enterprise spezifischen Verschl sselungsrichtlinien und Einstellungen wird eine Datenbank verwendet Damit das SafeGuard Managemen
108. n Sie die Computer vor unberechtigtem physischen Zugriff z B sicherer Standort in gesch tzten R umlichkeiten Sichern von Transportverbindungen mit SSL SafeGuard Enterprise unterst tzt zur Erh hung der Sicherheit die Verschl sselung der Transportverbindungen zwischen den einzelnen Komponenten mit SSL E Die Verbindung zwischen dem Datenbankserver und dem Web Server sowie die Verbindung zwischen dem Datenbankserver und dem Computer auf dem das SafeGuard Management Center installiert ist kann mit SSL verschl sselt werden E Die Verbindung zwischen dem SafeGuard Enterprise Server und dem SafeGuard Enterprise Client managed kann entweder mit SSL oder mit SafeGuard spezifischer Verschl sselung verschl sselt werden Der Vorteil bei SSL ist dass es ein Standardprotokoll ist und eine schnellere Verbindung aufgebaut werden kann als mit der SafeGuard Transportverschl sselung Hinweis Wir empfehlen dringend SSL verschl sselte Kommunikation zwischen dem SafeGuard Enterprise Server und dem SafeGuard Enterprise Client zu verwenden es sei denn es handelt sich um Demo oder Test Installationen Falls dies nicht m glich ist und die propriet re SafeGuard Verschl sselung verwendet werden muss so gilt die Obergrenze von 1000 Clients die eine Verbindung mit einer Serverinstanz herstellen k nnen SSL Verschl sselung kann f r SafeGuard Enterprise w hrend der Konfiguration der SafeGuard Enterprise Komponenten direkt nach der Installat
109. n und Fehlermeldungen w hrend der Installation in eine Datei protokollieren m Sophos SafeGuard Features die installiert werden sollen z B volume basierende Verschl sselung m Sophos SafeGuard Parameter die z B das Installationsverzeichnis angeben Kommandooptionen Alle verf gbaren Optionen k nnen Sie ber msiexec exe in der Eingabeaufforderung abrufen Im Folgenden sind wichtige Optionen beschrieben Installationsanleitung Option Beschreibung li Gibt an dass es sich um eine Installation handelt qn Installiert ohne Benutzerinteraktion und zeigt keine Benutzeroberfl che an ADDLOCAL Listet die Features auf die installiert werden Wird die Option nicht angegeben werden alle Features installiert die f r eine Standardinstallation vorgesehen sind Beachten Sie Trennen Sie die Features durch Kommas nicht durch Leerzeichen Achten Sie au erdem auf die Gro Kleinschreibung F gen Sie alle bergeordneten Features Feature Parents f r das ausgew hlte Feature zur Kommandozeile hinzu ADDLOCAL ALL Installiert alle verf gbaren Features REBOOT Force Erzwingt oder unterdr ckt einen Neustart nach der Installation Ohne ReallySuppress Angabe wird der Neustart erzwungen Force L lt path filename gt Protokolliert alle Warnungen und Fehlermeldungen in die angegebene Protokolldatei Der Parameter Le lt path filename gt protokolliert ausschlie lich Fehlermeldungen Installdir
110. nagement Center erzeugt haben F r SafeGuard Enterprise Clients managed und Sophos SafeGuard Clients standalone m ssen unterschiedliche Konfigurationspakete erstellt werden siehe Erstellen von Konfigurationspaketen berblick Seite 59 9 Installieren Sie das relevante Konfigurationspaket MSI auf dem Computer SafeGuard Enterprise wird auf dem Endpoint Computer eingerichtet Melden Sie sich nun zum ersten Mal nach der Installation an dem Computer an Informationen zum Verhalten des Computers nach der Installation von SafeGuard Enterprise finden Sie in der Benutzerhilfe Installationsanleitung 12 12 1 12 2 Installieren von SafeGuard Enterprise auf einem Computer mit mehreren Betriebssystemen Die SafeGuard Enterprise Verschl sselungssoftware kann auch dann auf einem Computer zum Schutz der Daten installiert werden wenn mehrere Betriebssysteme auf separaten Volumes der Festplatte installiert sind SafeGuard Enterprise bietet ein so genanntes Runtime System SafeGuard Enterprise Runtime stellt folgende Sachverhalte sicher wenn die Software auf Volumes mit einer zus tzlichen Windows Installation installiert wird E Die Windows Installation die sich auf diesen Volumes befindet kann erfolgreich durch einen Boot Manager gestartet werden E Auf Partitionen auf diesen Volumes die durch eine vollst ndige SafeGuard Enterprise Client Installation mit dem definierten Computerschl ssel verschl sselt worden sind kann erfol
111. ng SafeGuard Management Center Weitere Informationen finden Sie in der Administrator Hilfe m Die Kennw rter f r die beiden p12 Dateien sowie f r den Zertifikatsspeicher m ssen Ihnen bekannt sein So stellen Sie eine korrupte Datenbank wieder her 1 Installieren Sie das SafeGuard Management Center Installationspaket neu ffnen Sie das SafeGuard Management Center Der Konfigurationsassistent wird automatisch ge ffnet 2 W hlen Sie unter Datenbank Verbindung die Option Neue Datenbank erstellen Konfigurieren Sie unter Datenbankeinstellungen die Verbindung zur Datenbank Klicken Sie auf Weiter 3 W hlen Sie unter Daten des Sicherheitsbeauftragten den relevanten Haupt Sicherheitsbeauftragten und klicken Sie auf Importieren 4 Suchen Sie unter Importieren des Zertifikats die gesicherte Schl sseldatei Geben Sie unter Kennwort der Datei das f r diese Datei festgelegte Kennwort ein und best tigen Sie es W hlen Sie Schl sseldatei im Zertifikatsspeicher speichern und geben Sie das Kennwort f r den Speicher ein Klicken Sie auf OK 5 Das Zertifikat des Haupt Sicherheitsbeauftragten wird importiert Klicken Sie auf Weiter 6 Aktivieren Sie unter Unternehmenszertifikat die Option ber vorhandenes Unternehmenszertifikat wiederherstellen Klicken Sie auf Importieren um die gesicherte Zertifikatsdatei auszuw hlen die das g ltige Unternehmenszertifikat enth lt Sie werden aufgefordert das f r den Zertifikatsspeicher def
112. nommen werden es sei denn Sie verf gen entweder ber eine g ltige Lizenz gem der die Dokumentation in bereinstimmung mit dem Lizenzvertrag reproduziert werden darf oder Sie verf gen ber eine schriftliche Genehmigung des Urheberrechtsinhabers Copyright Informationen von Drittanbietern finden Sie in der Datei Disclaimer and Copyright for 3rd Party Software rtf in Ihrem Produktverzeichnis 110
113. nstellungen die Option Folgende bestehende Datenbank verwenden und w hlen Sie die Datenbank aus der Liste aus Klicken Sie auf Weiter 6 W hlen Sie unter SafeGuard Management Center Authentisierung eine autorisierte Person aus der Liste aus Wenn Multi Tenancy aktiviert ist zeigt der Dialog an welcher Konfiguration sich der Benutzer anmeldet Geben Sie das Kennwort f r den Zertifikatsspeicher ein und best tigen Sie es Der Zertifikatsspeicher f r das aktuelle Benutzerkonto wird angelegt und ist durch dieses abgesichert F r die nachfolgenden Anmeldungen ben tigen Sie nur noch dieses Kennwort 7 Klicken Sie auf OK Eine Meldung dass Zertifikat und privater Schl ssel nicht gefunden bzw nicht darauf zugegriffen werden kann wird angezeigt 8 Klicken Sie zum Importieren der Daten auf Ja und dann auf OK Dadurch wird der Importvorgang gestartet 41 SafeGuard Enterprise 6 7 6 7 1 6 7 2 42 9 Klicken Sie unter Authentisierungs Schl sseldatei importieren auf die Schaltfl che und w hlen Sie die Schl sseldatei aus Geben Sie das Kennwort der Schl sseldatei ein Geben Sie das zuvor unter Kennwort des Zertifikatsspeichers oder Token PIN definierte Kennwort f r den Zertifikatsspeicher ein W hlen Sie In den Zertifikatsspeicher importieren oder Auf den Token kopieren um das Zertifikat auf einem Token zu speichern 10 Geben Sie zur Initialisierung des Zertifikatsspeichers das Kennwort noch einmal ein Zert
114. nstellungen fest ob eine existierende Datenbank oder eine neue Datenbank zum Speichern der Administrationsdaten benutzt werden soll 1 Gehen Sie wie folgt vor m Wenn noch keine Datenbank existiert w hlen Sie Eine neue Datenbank mit folgendem Namen erstellen Geben Sie einen Namen f r die neue Datenbank ein Sie ben tigen dazu die entsprechenden SQL Zugriffsberechtigungen siehe Datenbankzugriffsrechte Seite 25 Um Probleme zu vermeiden sollten in SafeGuard Enterprise Datenbanknamen nur folgende Zeichen verwendet werden Buchstaben A Z a z Zahlen 0 9 Unterstriche _ E Wenn bereits eine Datenbank angelegt wurde oder wenn Sie das SafeGuard Management Center bereits auf einem anderen Computer installiert haben klicken Sie auf Folgende bestehende Datenbank w hlen und w hlen Sie die entsprechende Datenbank aus der Liste aus 2 Klicken Sie auf Weiter Erstellen eines Haupt Sicherheitsbeauftragten Master Security Officer MSO Als Sicherheitsbeauftragter melden Sie sich am SafeGuard Management Center an um SafeGuard Enterprise Richtlinien zu erstellen und die Verschl sselungssoftware f r die Endbenutzer zu konfigurieren Der Haupt Sicherheitsbeauftragte MSO ist der Administrator h chster Ebene mit allen Rechten und einem Zertifikat das nicht abl uft 1 Geben Sie auf der Seite Daten des Sicherheitsbeauftragten unter Haupt Sicherheitsbeauftragten ID einen Namen f r den Haupt Sicherheitsbeauftragten ein 2
115. nt Computern vor siehe Vorbereiten der Verschl sselung Seite 57 Installationsanleitung 2 Verwenden Sie Ihre eigenen Tools um das Installationspaket zu erstellen das auf den Endpoint Computern installiert werden soll Das Paket muss folgende Komponenten in der angegebenen Reihenfolge enthalten Vorbereitendes Installationspaket SGxClientPreinstall msi Das Paket stattet die Endpoint Computer mit den n tigen Voraussetzungen f r eine erfolgreiche Installation der Verschl sselungssoftware aus zum Beispiel mit der ben tigten DLLMSVCR80 dI Version 8 0 50727 4053 Hinweis Wenn dieses Paket nicht installiert ist wird die Installation der Verschl sselungssoftware abgebrochen SafeGuard Enterprise Verschl sselungssoftware Installationspaket Verwenden Sie entweder SafeGuard Device Encryption SGNClient msi oder SafeGuard Data Exchange SGN_withoutDe msi Um SafeGuard Configuration Protection auf Windows 7 64 Bit Betriebssystemen einzurichten k nnen Sie die 64 Bit Varianten der Client Installationspakete verwenden F gen Sie ConfigurationProtection als Feature zur ADDLOCAL Option hinzu SafeGuard Configuration Protection Installationspaket Verwenden Sie SGN_CP_Client msi Um SafeGuard Configuration Protection auf Windows 7 64 Bit Betriebssystemen einzurichten k nnen Sie die 64 Bit Variante der Client Installationspakete verwenden Verwenden Sie den Parameter norestart um sicherzustellen dass
116. oint Computern Allgemeine Einschr nkungen Beachten Sie folgende allgemeine Einschr nkungen f r SafeGuard Enterprise Clients E SafeGuard Enterprise for Windows unterst tzt keine Apple Hardware und kann nicht in einer Bootcamp Umgebung installiert werden 55 SafeGuard Enterprise 9 2 2 56 E Wenn auf dem Computer Intel Advanced Host Controller Interface AHCI benutzt wird so muss sich die Boot Festplatte in Slot 0 oder Slot 1 befinden Sie k nnen bis zu 32 Festplatten einlegen SafeGuard Enterprise l uft nur auf den ersten beiden Slot Nummern E Volume basierende Verschl sselung f r dynamische Festplatten und GUID Partitionstabellen GPT Platten werden nicht unterst tzt Die Installation bricht in diesem Fall ab Wenn diese Platten nachtr glich im System auftauchen werden sie nicht unterst tzt E Systeme mit Festplatten die ber einen SCSI Bus angeschlossen sind werden vom SafeGuard Enterprise Device Encryption Modul nicht unterst tzt Einschr nkungen f r SafeGuard Enterprise Clients managed Beachten Sie die folgenden Einschr nkungen f r die Initialverschl sselung von SafeGuard Enterprise Clients managed E Einschr nkungen f r die Initialverschl sselung Im Rahmen der initialen Konfiguration von SafeGuard Enterprise Clients managed k nnen Verschl sselungsrichtlinien erstellt werden die in einem Konfigurationspaket an die SafeGuard Enterprise Clients verteilt werden k nnen Wenn der Saf
117. omputer gefunden wird wird sie angezeigt Geben Sie das Kennwort ein das Sie zur Anmeldung an das SafeGuard Management Center benutzen E Wird die gesicherte Zertifikatsdatei nicht auf dem Computer gefunden w hlen Sie Importieren Suchen Sie nach der gesicherten Zertifikatsdatei und klicken Sie auf ffnen Geben Sie das Kennwort f r die Zertifikatsdatei ein Klicken Sie auf Ja Geben Sie ein Kennwort f r die Anmeldung am SafeGuard Management Center ein und best tigen Sie es 5 Klicken Sie auf Weiter und dann auf Fertig stellen um die Konfiguration des SafeGuard Management Center abzuschlie en Die SafeGuard Management Center Installation ist wiederhergestellt 6 11 Wiederherstellen einer besch digten Datenbankkonfiguration 44 Sie k nnen eine korrupte Datenbankkonfiguration wiederherstellen indem Sie das SafeGuard Management Center neu installieren und basierend auf den gesicherten Zertifikatsdateien eine neue Instanz der Datenbank erstellen Dadurch wird sichergestellt dass alle vorhandenen SafeGuard Enterprise Endpoint Computer Richtlinien von der neuen Installation annehmen Somit m ssen Sie nicht die gesamte Datenbank neu einrichten und wiederherstellen m Das Unternehmenszertifikat und das Haupt Sicherheitsbeauftragten Zertifikat der betreffenden Datenbankkonfiguration m ssen als p12 Dateien exportiert worden sein Die Dateien m ssen vorhanden und g ltig sein Erstellen Sie Zertifikate Backups im Installationsanleitu
118. on gefragt wo die Schl sseldatei gespeichert werden soll Die Schl ssel Recovery Datei XML wird f r die Durchf hrung von Recovery Vorg ngen bei durch Sophos SafeGuard gesch tzten Computern ben tigt Sie wird auf allen durch Sophos SafeGuard gesch tzten Computern erzeugt Hinweis Stellen Sie sicher dass diese Schl ssel Recovery Datei an einem Speicherort abgelegt wird auf den die Mitarbeiter des Helpdesk Zugriff haben Die Dateien k nnen dem Helpdesk auch ber andere Mechanismen zur Verf gung gestellt werden Die Datei ist mit dem Unternehmenszertifikat verschl sselt Sie kann also auch auf externen Medien oder auf dem Netzwerk gespeichert werden um sie dem Helpdesk f r Recovery Vorg nge zur Verf gung zu stellen Sie kann auch per E Mail verschickt werden Installationsanleitung 9 4 3 7 Unter POA Gruppe k nnen Sie eine POA Access Account Gruppe ausw hlen die dem Endpoint Computer zugeordnet wird POA Access Accounts bieten Zugang f r administrative Aufgaben auf dem Endpoint Computer nachdem die Power on Authentication aktiviert wurde Um POA Access Accounts zuzuweisen m ssen Sie die POA Gruppe zun chst im Bereich Benutzer und Computer des SafeGuard Management Center anlegen 8 Geben Sie einen Ausgabepfad f r das Konfigurationspaket MSI an 9 Klicken Sie auf Konfigurationspaket erstellen Das Konfigurationspaket MSI wird im angegebenen Verzeichnis angelegt Im n chsten Schritt verteilen Sie das Pa
119. onfiguriert E Die neuesten Windows Sicherheits Updates sind installiert W hlen Sie Rollen ausw hlen auf der rechten Seite und dann Webserver IIS Klicken Sie auf der folgenden Seite auf Erforderliche Features hinzuf gen Seite Webserver IIS ist im Navigationsbereich des Rollen hinzuf gen Assistenten aufgelistet Klicken Sie auf Webserver IIS und dann auf Rollendienste Behalten Sie die Standard Rollendienste bei W hlen Sie auf der rechten Seite zus tzlich Folgendes ASP NET dadurch werden alle notwendigen untergeordneten Rollendienste ebenfalls ausgew hlt W hlen Sie dann NET Extensibility ISAPI Extensions und ISAPI Filters W hlen Sie IIS Management Scripts and Tools Dies ist f r die richtige IIS 7 Konfiguration erforderlich Klicken Sie auf Weiter dann auf Installieren und dann auf Schlie en IIS 7 wird mit der Standardkonfiguration f r das Hosten von ASP Net auf Windows Server 2008 installiert berpr fen Sie mit http lt server name gt ob die Web Seite korrekt angezeigt wird Weitere Informationen finden Sie hier http support microsoft com 4 2 2 1 Pr fen der NET Framework Registrierung bei IIS 7 NET Framework Version 3 5 SP 1 ist erforderlich 18 l Um zu berpr fen ob NET Framework installiert und mit der korrekten Version registriert ist siehe Pr fen der NET Framework Installation und Registrierung Seite 16 Installationsanleitung 4 2 2 2 Pr fen d
120. owledgebase article 109226 html E Deinstallieren Sie Third Party Boot Manager z B PROnetworks Boot Pro und Boot US 57 SafeGuard Enterprise 9 3 1 58 E Wenn Sie Image Clone Programme verwendet haben empfehlen wir den MBR neu zu schreiben F r die Installation von Sophos SafeGuard ben tigen Sie einen sauberen einwandfreien Master Boot Record M glicherweise ist der MBR aber durch den Einsatz von Imaging Cloning Programmen nicht mehr in einwandfreiem urspr nglichen Zustand Sie k nnen den Master Boot Record s ubern indem Sie von einer Windows DVD booten und den Befehl FIXMBR innerhalb der Windows Recovery Console ausf hren Weitere Informationen finden Sie hier http www sophos de support knowledgebase article 108088 html E Wenn die Bootpartition von FAT nach NTFS konvertiert wurde der Computer aber noch nicht neu gestartet wurde installieren Sie SafeGuard Enterprise nicht M glicherweise wird die Installation nicht beendet da das Dateisystem zum Zeitpunkt der Installation noch FAT ist jedoch zum Zeitpunkt der Aktivierung NTFS vorgefunden wird In diesem Fall m ssen Sie den Computer einmalig neu starten bevor SafeGuard Enterprise installiert wird E Nur f r SafeGuard Enterprise Clients managed Kontrollieren Sie ob eine Verbindung zum SafeGuard Enterprise Server besteht Rufen Sie auf den Endpoint Computern im Internet Explorer folgende Web Adresse auf http lt ServerIPAddress gt sgnsrv Wenn die Trans
121. prise k nnen Sie die Endpoint Computer mit verschiedenen SafeGuard Enterprise Modulen ausstatten und sie gem Ihren Anforderungen konfigurieren Sicherheitsbeauftragte k nnen die Installation und Konfiguration lokal auf den Endpoint Computern oder im Rahmen einer zentralisierten Software Installation ausf hren Durch das zentrale Einrichten von Endpoint Computern wird eine standardisierte Installation auf mehreren Computern erreicht SafeGuard Konfigurationen f r Endpoint Computer Endpoint Computer k nnen folgenderma en konfiguriert werden E SafeGuard Enterprise Clients managed Zentrale Server basierte Verwaltung im SafeGuard Management Center F r SafeGuard Enterprise Clients managed besteht generell eine Verbindung zum SafeGuard Enterprise Server Sie erhalten ihre Richtlinien ber den SafeGuard Enterprise Server Die Verbindung kann tempor r unterbrochen sein z B w hrend einer Gesch ftsreise Trotzdem ist der Endpoint Computer auch in dieser Situation als SafeGuard Enterprise Client definiert E Sophos SafeGuard Standalone Clients Lokale Verwaltung im SafeGuard Management Center F r Sophos SafeGuard Clients standalone besteht nie eine Verbindung zum SafeGuard Enterprise Server Damit fehlt die Verbindung zur zentralen Verwaltung von SafeGuard Enterprise Er wird im Standalone Modus betrieben Der zentrale Unterschied zum SafeGuard Enterprise Client managed ist dass Sophos SafeGuard Clients standalone SafeGua
122. r anmelden kann Sie k nnen entweder nur eine von beiden M glichkeiten anwenden oder die beiden M glichkeiten mischen Zum Beispiel k nnen Sie ein Active Directory AD ganz oder teilweise importieren und weitere Organisationseinheiten OU manuell anlegen Egal ob die Organisationsstruktur importiert oder manuell angelegt wird die Richtlinienzuordnungkann in beiden F llen erfolgen Hinweis Beachten Sie dass bei der Kombination beider Verfahren die manuell angelegten Organisationseinheiten nicht im AD abgebildet werden Wenn in SafeGuard Enterprise angelegte Organisationseinheiten im AD abgebildet werden sollen so m ssen Sie diese separat zum AD hinzuf gen Hinweis Weitere Informationen zum Importieren oder Anlegen einer Organisationsstruktur finden Sie in der Administrator Hilfe im Kapitel Aufbau der Organisationsstruktur Importieren der Lizenzdatei SafeGuard Enterprise hat einen integrierten Lizenzz hler Die Installation umfasst standardm ig f r jedes SafeGuard Enterprise Modul eine festgelegte Anzahl von 5 Lizenzen Dadurch soll eine problemlose Evaluierung von anderen SafeGuard Enterprise Modulen ohne Nebeneffekte gew hrleistet werden Beim Kauf von SafeGuard Enterprise enth lt jedoch jeder Kunde eine individuelle Lizenzdatei f r das jeweilige Unternehmen die in das SafeGuard Management Center importiert werden muss Weitere Informationen finden Sie in der Administrator Hilfe im Kapitel Lizenzen 43 SafeG
123. rd Enterprise Datenbank eseresesssesessesennennnennnnonnenonnenonnnnnsonnnnenn 84 15 Aktualisieren von SafeGuard Enterprise neesessssessesenesnenonnennnnnnnnonnenonnennnnnnnnonnenonnenonnnnnonnnnonn 89 16 Aktualisieren des Betriebssystems 220202242022220nnnnonnennnonnenonnennnnnnnnonnnnonnenenennnnonnnnonnenonnnnnsonnnnonn 96 17 Migration von Sophos SafeGuard auf SafeGuard Enterprise uenessesessesenssnnensenennenonnnnnnennnnenn 97 18 Migration von SafeGuard Easy 4 x Sophos SafeGuard Disk Encryption 4 x auf Sophos SFEER SE SS E Venen 99 19 Deinstallation Ber bl che ne tee a 107 20 Technischer SUPPOrt 1 See EAEAN 109 DU Rechthehe Hinweise es Enid 110 Installationsanleitung 1 SafeGuard Enterprise berblick SafeGuard Enterprise ist eine umfassende modular aufgebaute Datensicherheitsl sung die Informationen und Informationsaustausch auf Servern PCs und mobilen Endger ten durch ein richtlinienbasiertes Verschl sselungskonzept zuverl ssig sch tzt Die zentrale Verwaltung wird im SafeGuard Management Center durchgef hrt Sicherheitsrichtlinien Schl ssel und Zertifikate Smartcards und Token k nnen ber ein rollenbasiertes Administrationskonzept bersichtlich verwaltet werden Ausf hrliche Protokollierung und Reportfunktionen gew hrleisten stets den berblick ber alle Ereignisse Auf Benutzerseite sind Datenverschl sselung und Schutz vor Angreifern die prim ren Sicherheitsfunktionen
124. rd Enterprise Richtlinien ausschlie lich ber ein Konfigurationspaket erhalten Diese Computer erhalten Richtlinien nie ber eine Verbindung zum SafeGuard Enterprise Server SafeGuard Enterprise Richtlinien werden im SafeGuard Management Center erstellt und in Konfigurationspakete exportiert Die Verteilung der Konfigurationspakete kann ber firmeneigene Software Verteilungsmechanismen erfolgen oder das Konfigurationspaket wird manuell auf den Endpoint Computern installiert Installationspakete f r SafeGuard Enterprise Clients managed Hinweis Wenn das Betriebssystem des Endpoint Computers Windows 7 64 Bit oder Windows Vista 64 Bit ist k nnen Sie die 64 Bit Variante der Client Installationspakete 53 SafeGuard Enterprise lt Paketname gt _x64 msi installieren Das 64 Bit Paket des Configuration Protection Client ist f r Windows 7 64 Bit verf gbar Die folgende Tabelle zeigt die f r SafeGuard Enterprise Clients managed verf gbaren Installationspakete Paket Beschreibung SGxClientPreinstall msi Muss vor der Verschl sselungssoftware auf den Endpoint Computern installiert werden obligatorisch Stattet Endpoint Computer mit notwendigen Voraussetzungen f r eine erfolgreiche Installation der Verschl sselungssoftware aus SGNClient msi F r SafeGuard Enterprise Clients und f r SafeGuard Enterprise SGNClient_x64 msi Clients mit BitLocker Unterst tzung SafeGuard Enterprise Device Encryption Volume basie
125. rd in der Datenbank gespeichert Erstellen Sie eine Sicherungskopie des Unternehmenszertifikats und legen Sie diese direkt nach der Erstkonfiguration an einem sicheren Speicherort ab F r Informationen zur Wiederherstellung einer korrupten Datenbankkonfiguration siehe Wiederherstellen einer besch digten Datenbankkonfiguration Seite 44 39 SafeGuard Enterprise 6 4 8 Abschlie en der Erstkonfiguration des SafeGuard Management Center 40 6 5 1 Klicken Sie auf Beenden um die Erstkonfiguration des SafeGuard Management Center abzuschlie en Eine Konfigurationsdatei wird erstellt Ergebnis m Eine Verbindung zum SafeGuard Enterprise Server m Eine SafeGuard Enterprise Datenbank m Ein Haupt Sicherheitsbeauftragten Konto f r die Anmeldung an das SafeGuard Management Center m Alle notwendigen Zertifikate f r die Wiederherstellung einer besch digten Datenbankkonfiguration oder SafeGuard Management Center Installation Sobald der Konfigurationsassistent geschlossen ist wird das SafeGuard Management Center gestartet Erstellen weiterer Datenbankkonfigurationen Multi Tenancy Voraussetzung Die Funktion Multi Tenancy muss ber eine Installation vom Typ Vollst ndig installiert worden sein Die Erstkonfiguration des SafeGuard Management Center muss durchgef hrt worden sein siehe Starten der Erstkonfiguration des SafeGuard Management Center Seite 35 Hinweis Sie m ssen pro Datenbank jeweils eine separate SafeGu
126. ren Statischer Content txt gif jpg htm Administratoren Vollzugriff html System Vollzugriff Jeder Benutzer Nur lesen 4 3 5 Deaktivieren der integrierten Windows Authentifizierung Wir empfehlen die integrierte Windows Authentisierung in IIS zu deaktivieren um so das Senden unn tiger Authentisierungsinformationen zu vermeiden 1 Doppelklicken Sie im IIS Manager auf den lokalen Computer klicken Sie mit der rechten Maustaste auf den Ordner Websites und klicken Sie danach auf Eigenschaften 2 Klicken Sie auf die Registerkarte Verzeichnissicherheit und danach im Bereich Authentifizierung und Zugriffssteuerung auf Bearbeiten 3 Deaktivieren Sie unter Authentifizierter Zugriff das Kontrollk stchen Integrierte Windows Authentifizierung 4 Klicken Sie zweimal auf OK 4 3 6 Einstellungen f r den Anwendungspool DefaultAppPool Die Einstellungen sind davon abh ngig wo sich der IIS Server befindet E Wenn sich der SQL Server auf dem gleichen Computer wie der IIS Server befindet stellen Sie das eingebaute Local Service Benutzerkonto f r DefaultAppPool ein In der Musterkonfiguration gilt dies f r Server 1 E Wenn sich der SQL Server auf einem anderen Computer als der IIS Server befindet stellen Sie das eingebaute Network Service Benutzerkonto f r DefaultAppPool ein In der Musterkonfiguration gilt dies f r Server 2 Andernfalls schl gt die Synchronisierung mit dem Client fehl 4 4 Ins
127. rende Verschl sselung mit Power on Authentication SafeGuard Data Fxchange Einfacher Datenaustausch mit Wechselmedien auf allen Plattformen ohne Neuverschl sselung Dateibasierende Verschl sselung SGNClient_withoutDE msi F r SafeGuard Enterprise Clients mit BitLocker Unterst tzung SGNClient_withoutDE_x64 msi steht dieses Paket nicht zur Verf gung SafeGuard Data Exchange Einfacher Datenaustausch mit Wechselmedien auf allen Plattformen ohne Neuverschl sselung Dateibasierende Verschl sselung ohne Power on Authentication SGN_CP_Client msi F r SafeGuard Enterprise Clients und f r SafeGuard Enterprise SGN_CP_Client_x64 msi Clients mit BitLocker Unterst tzung Die 64 Bit Variante dieses Pakets ist f r Windows 7 64 Bit Betriebssysteme verf gbar Configuration Protection Schnittstellenschutz und Management von Peripherieger ten SGNClientRuntime msi Runtime Client der das Starten des Computers von einem sekund ren Boot Volume erm glicht wenn mehrere Betriebssysteme installiert sind Zugriff auf diese Volumes wenn sie auf dem prim ren Volume durch eine SafeGuard Enterprise Installation verschl sselt sind SGNClientRuntime_x64 msi 9 1 2 Installationspakete f r Sophos SafeGuard Clients standalone Hinweis 54 Installationsanleitung 9 2 9 2 1 Wenn das Betriebssystem des Endpoint Computers Windows 7 64 Bit oder Windows Vista 64 Bit ist k nnen Sie die 64 Bit Variante
128. rschl sselt wurden Andernfalls kann es zu einer Besch digung des Systems kommen Installationsanleitung 9 3 2 9 4 9 4 1 E Um die BitLocker Drive Encryption Unterst tzung zu installieren deaktivieren Sie entweder User Access Control UAC oder melden Sie sich mit dem integrierten Administrator Benutzerkonto an Weitere Informationen erhalten Sie vom Microsoft Support oder auf den folgenden Websites E Vorbereitung f r BitLocker http technet2 microsoft com WindowsVistalen library c6 1Pa12 8ae64957 b081 97b44762J311083 mspxemfr true E BitLocker FAQ http hecmet2microsof com WindowsVista en library 58358421 475 497 ab41 2bc614584701033 mpx mfi true Vorbereiten einer ndern Installation Wenn Sie eine vorhandene SafeGuard Enterprise Installation ndern oder bestimmte Module zu einem sp teren Zeitpunkt installieren meldet das Installationsprogramm u U dass bestimmte Komponenten z B SafeGuard Removable Media Manager derzeit benutzt werden Diese Meldung wird dadurch verursacht dass diese Module gemeinsame Komponenten benutzen die derzeit verwendet werden und daher nicht sofort aktualisiert werden k nnen Diese Meldung kann ignoriert werden da die betroffenen Komponenten beim Neustart des Computers ohnehin aktualisiert werden Dieses Verhalten gilt f r die Installation in berwachtem und nicht berwachtem Modus Erstellen von Konfigurationspaketen Uberblick Erstellen Sie je nach erforderlicher Konfigura
129. s Benutzers an Windows auf dem migrierten Computer durchgef hrt werden 1 Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete und erstellen Sie das erste Konfigurationspaket mit den erforderlichen Richtlinieneinstellungen Die mit dem ersten Konfigurationspaket bertragenen Richtlinien sollten mit der vorigen Konfiguration des SafeGuard Easy Sophos SafeGuard Disk Encryption Computers bereinstimmen Wenn nach der Migration kein Konfigurationspaket installiert wird bleiben alle Laufwerke die mit SafeGuard Easy Sophos SafeGuard Disk Encryption verschl sselt wurden verschl sselt 2 Installieren Sie das Konfigurationspaket auf den Endpoint Computern Konvertieren von Schl sseln f r verschl sselte Wechselmedien Um die Umwandlung berhaupt erst zu initiieren muss auf dem Computer die entsprechende Richtlinie f r volume basierende Verschl sselung vorliegen Andernfalls werden die Schl ssel nicht konvertiert Verschl sselte Wechselmedien bleiben ebenfalls verschl sselt m ssen aber in ein SafeGuard Enterprise kompatibles Schl sselformat umgewandelt werden Hinweis Deshalb kann ein verschl sseltes Wechselmedium nach der Konvertierung nur mit SafeGuard Enterprise gelesen werden und nur an dem Endpoint Computer an dem es w hrend der Migration konvertiert wurde 1 Nehmen Sie das Wechselmedium vom Computer ab und verbinden Sie es danach wieder mit dem Computer Somit stellen Sie sicher d
130. s Kernel zu erstellen Zus tzliche Konfiguration kann erforderlich sein damit sich die Power on Authentication POA auf jeder Hardware Plattform korrekt verh lt Die meisten Hardware Konflikte lassen sich mit Hilfe von Hotkeys Funktionalit ten beheben die in die POA integriert sind Hotkeys k nnen nach der Installation konfiguriert werden entweder in der POA selbst oder ber eine zus tzliche Konfigurationseinstellung die dem Windows Installer Befehl msiexec mitgegeben wird Weitere Informationen finden Sie hier http www sophos de support knowledgebase article 107781 html http www sophos de support knowledgebase article 107785 html Kommando f r zentrale Installation Verwenden Sie zur zentralen Installation von SafeGuard Enterprise auf den Endpoint Computern die Windows Installer Komponente msiexec Msiexec ist in Windows XP Vista und Windows 7 bereits integriert und f hrt eine vorgefertigte SafeGuard Enterprise Installation automatisch aus Sie k nnen auch eine Quelle und ein Ziel f r die Installation angeben Eine Standardinstallation auf mehreren Endpoint Computern steht zur Verf gung Weitere Informationen finden Sie hier http msdn microsoft com en us library aa367988 VS 85 aspx Kommandozeilen Syntax msiexec i lt pathtmsi package name gt qn ADDLOCAL ALL lt SGN Features gt lt SGN parameter gt Die Kommandozeilensyntax setzt sich folgenderma en zusammen m Windows Installer Parameter die z B Warnunge
131. s neueste SafeGuard Enterprise Client Installationspaket auf dem Computer entweder SGNClient msi oder SGNClient_withoutDE msi oder die entsprechende 64 Bit Variante Um SafeGuard Configuration Protection auf Windows 7 64 Bit Betriebssystemen einzurichten k nnen Sie die 64 Bit Varianten der Client Installationspakete verwenden Starten Sie den Computer nach dem Abschluss der Aktualisierung nicht neu Entfernen Sie unter Software das SafeGuard SafeGuard Configuration Protection Client Installationspaket SGN_CP_Client msi 4 Starten Sie den Endpoint Computer neu 5 Installieren Sie das neueste SafeGuard Configuration Protection Installationspaket SGN_CP_Client msi SGN_CP_Client_x64 msi 6 Starten Sie den Endpoint Computer neu 7 Ordnen Sie im SafeGuard Management Center die relevante Configuration Protection Richtlinie dem Endpoint Computer erneut zu um die Funktion zu aktivieren SafeGuard Configuration Protection wird auf dem Endpoint Computer aktualisiert 83 SafeGuard Enterprise 14 Replikation der SafeGuard Enterprise Datenbank 14 1 14 2 84 Zur Optimierung der Performance l sst sich die SafeGuard Enterprise Datenbank auf mehrere SQL Server replizieren Dieses Kapitel beschreibt das Aufsetzen der Replikation f r die SafeGuard Enterprise Datenbank in einer verteilten Umgebung In der Beschreibung wird davon ausgegangen dass Sie bereits Erfahrung mit dem Microsoft SQL Server Replikationsmechanismus h
132. se Datenbank gew hrleistet W hrend des Betriebs von SafeGuard Enterprise ben tigt ein einziger Sicherheitsbeauftragter des SafeGuard Management Centers nur die Lese Schreib Berechtigung f r die SafeGuard Enterprise Datenbank Die SafeGuard Enterprise Datenbank kann entweder manuell oder automatisch w hrend der Erstkonfiguration im SafeGuard Management Center erzeugt werden Soll die Datenbank automatisch erstellt werden so sind f r den ersten SafeGuard Management Center Sicherheitsbeauftragten erweiterte Zugriffsrechte f r die SQL Datenbank db_creator erforderlich Diese Berechtigungen k nnen dem Sicherheitsbeauftragten danach vom SQL Administrator aber wieder bis zur n chsten Installation Aktualisierung entzogen werden Wenn die Erweiterung der Rechte w hrend der Installation des SafeGuard Management Centers nicht gew nscht ist kann der SQL Administrator die SafeGuard Enterprise Datenbank per Skript erzeugen Dazu k nnen die beiden Skripts CreateDatabase sql und CreateTables sql aus der Produktlieferung ausgef hrt werden Die folgende Tabelle zeigt die notwendigen SQL Berechtigungen f r die unterschiedlichen Versionen von Microsoft SQL Server Zugriffsberechtigung SQL Server 2005 SQL SQL Server 2008 SQL Server Server 2005 Express 2008 Express Datenbank erstellen Server db_creator db_creator Master Datenbank keine keine SafeGuard Enterprise db_ownerpublic Standard db_ownerpublic Standar
133. selt und neu verschl sselt werden SafeGuard Easy oder Sophos SafeGuard Disk Encryption muss auch nicht manuell deinstalliert werden Dieses Kapitel beschreibt wie Sie eine Migration auf Sophos SafeGuard durchf hren und zeigt welche Features migriert werden k nnen und welche Einschr nkungen bestehen Voraussetzungen E Die direkte Migration wurde getestet und wird unterst tzt f r SafeGuard Easy ab Version 4 5x Eine direkte Migration sollte auch f r Versionen zwischen 4 3x und 4 4x funktionieren F r ltere Versionen wird die direkte Migration nicht unterst tzt Versionen vor 4 3x m ssen daher zun chst auf SafeGuard Easy 4 50 aktualisiert werden E Die direkte Migration wird unterst tzt f r Sophos SafeGuard Disk Encryption 4 6x E SafeGuard Easy Sophos SafeGuard Disk Encryption muss auf folgendem Windows Betriebssystem laufen Windows XP Professional Workstation Service Pack 2 3 E Windows Installer Version 3 01 oder h her muss installiert sein E Die Hardware muss mit den Systemvoraussetzungen f r SafeGuard Enterprise 5 6x bereinstimmen E Wenn Sie spezifische Software z B Lenovo Middleware verwenden so muss diese mit den Systemvoraussetzungen f r SafeGuard Enterprise 5 6x bereinstimmen E Festplatten m ssen mit den folgenden Algorithmen verschl sselt sein um migriert werden zu k nnen AES128 AES256 3DES IDEA E Benutzer ben tigen ein g ltiges Windows Konto und ein Kennwort Falls der Benutzer se
134. stalliert E Es wird eine Protokolldatei angelegt E Anschlie end wird das Konfigurationspaket f r den SafeGuard Enterprise Client managed ausgef hrt Hinweis Stellen Sie f r die Installation von SafeGuard Enterprise mit BitLocker sicher dass nur BitLockerSupport ausgef hrt wird Nehmen Sie SafeGuard Enterprise BaseEncryption nicht in die Kommandozeile auf 69 SafeGuard Enterprise 10 4 10 5 70 Beispiel msiexec i F Software SGxClientPreinstall msi qn log I Temp SGxClientPreinstall 1log msiexec i F Software SGNClient msi qn log I Temp SGNClient log ADDLOCAL Client Authentication CredentialProvider BaseEncryption BitLockerSupport SecureDatakExchange Installdir C Program Files Sophos SafeGuard Enterprise msiexec i F Software SGCNConfig msi qn log I Temp SGNConfig 1log Installation gem FIPS Die FIPS Zertifizierung beschreibt Sicherheitsanforderungen f r Verschl sselungsmodule So stellen z B Beh rden in den USA und in Kanada an Software f r besonders sicherheitskritische Informationen die Anforderung der FIPS 140 2 Zertifizierung SafeGuard Enterprise nutzt FIPS zertifizierte AES Algorithmen Standardm ig wird eine neue schnellere Implementierung der AES Algorithmen installiert die noch nicht FIPS zertifiziert ist Um die FIPS zertifizierte Variante des AES Algorithmus zu nutzen setzen Sie beim Installieren der SafeGuard Enterprise
135. stalliert E SafeGuard Con figuration Protection muss als Feature f r das SafeGuard Data Exchange Installationspaket angegeben werden E Um die Installa tion des Moduls SafeGuard Configuration Protection anzusto en muss ein separates Installationspaket durch Angabe eines weiteren msiexec Kommandos hinzugef gt we rden E Es wird eine Protokolldatei angelegt E Das Konfigurationspaket f r den SafeGuard Enterprise Client managed wird ausgef hrt Beispiel msiexec i F Software SGxClientPreinstall msi qn logI Temp SGxClientPreinstall log msiexec i F I Temp SGNClient log Software SGNClient msi qn log ADDLOCAL Client Authentication SecureDataExchange ConfigurationProtection Installdir C msiexec i F msiexec i F I Temp SGCN Program Files Sophos SafeGuard Enterprise Software SGN_CP_Client msi quiet norestart Software SGNEnterpriseClientConfig msi qn log EnterpriseClientConfig log 81 SafeGuard Enterprise 13 3 Lokales Installieren von SafeGuard Configuration Protection 13 4 82 Um SafeGuard Configuration Protection lokal zu installieren f hren Sie die folgenden Schritte in der angegebenen Reihenfolge durch 1 Bereiten Sie die Installation auf den Endpoint Computern vor siehe Vorbereiten der Verschl sselung Seite 57 Melden Sie sich an dem Computer als Administrator an Installieren Sie das vorbereiten
136. t lt xml version 1 0 encoding utf 8 gt lt string mins http utimaco org gt lt Dataroot gt lt WebService gt OK lt WebService gt lt DBAuth gt OK lt DBAuth gt lt Dataroot gt lt string gt Testen der Verbindung IIS 7 auf Windows Server 2008 1 ffnen Sie auf dem Computer auf dem SafeGuard Enterprise Server installiert ist den Internet Information Services IIS Manager 2 Klicken Sie in der Baumstruktur auf Servername Websites Standard Website berpr fen Sie ob die Web Seite SGNSRV im Ordner Standard Website verf gbar ist 3 Klicken Sie mit der rechten Maustaste auf SGNSRV w hlen Sie Anwendung und klicken Sie Browse um die SGNSRV Homepage Sophos SafeGuard Web Service zu ffnen 4 Auf der Sophos SafeGuard Web Service Seite wird eine Liste mit m glichen Aktionen angezeigt Klicken Sie in dieser Liste auf die Aktion CheckConnection 5 Klicken Sie auf der CheckConnection Seite auf Aufrufen Der Verbindungstest war erfolgreich wenn Sie diese Ausgabe erhalten F http localhost SGNSRY Trans asmx CheckConnection Microsoft Internet Explorer ioj xj Datei Bearbeten Anscht_ Eavorten Extras 2 Zur ck O x a A PP Suchen Favoriten Medien O7 a B Adresse http Mocalhost SGNSRV Trans asmx checkConnection i ER Wechseln zu Links gt lt xml version 1 0 encoding utf 8 gt lt string mins http utimaco org gt lt Dataroo
137. t gt lt WebService gt OK lt WebService gt lt DBAuth gt OK lt DBAuth gt lt Dataroot gt lt string gt Installationsanleitung 8 Registrieren und Konfigurieren des SafeGuard 8 1 Enterprise Servers Zur Implementierung der Informationen f r die Kommunikation zwischen IIS Server Datenbank und SafeGuard Client muss der SafeGuard Enterprise Server registriert und konfiguriert werden Die Informationen werden in einem Server Konfigurationspaket MSI gespeichert Diesen Schritt f hren Sie im SafeGuard Management Center aus Der Workflow ist davon abh ngig ob der SafeGuard Enterprise Server auf demselben Computer wie das SafeGuard Management Center oder auf einem anderen Computer installiert ist Sie k nnen auch weitere Eigenschaften festlegen So lassen sich z B zus tzliche Sicherheitsbeauftragte f r den ausgew hlten Server hinzuf gen Sie k nnen auch die Verbindung zur Datenbank konfigurieren Registrieren und Konfigurieren des SafeGuard Enterprise Server f r die Benutzung auf dem aktuellen Computer Nachdem Sie das SafeGuard Management Center und SafeGuard Enterprise Server auf dem Computer mit dem Sie derzeit arbeiten installiert haben registrieren und konfigurieren Sie den SafeGuard Enterprise Server Hinweis Wenn Multi Tenancy installiert ist steht diese Option nicht zur Verf gung 1 Starten Sie das SafeGuard Management Center 2 Klicken Sie im Extras Men auf Konfigurationspakete 3 W hlen Sie die
138. t Center mit dem SafeGuard Enterprise Server kommunizieren kann m ssen Sie eine 35 SafeGuard Enterprise Authentisierungsmethode f r den Zugriff auf die Datenbank festlegen entweder Windows NT Authentisierung oder SQL Authentisierung Wenn Sie eine Verbindung zum Datenbankserver mit SQL Authentisierung herstellen m chten stellen Sie sicher dass Sie die notwendigen SQL Anmeldedaten zur Hand haben Falls notwendig erhalten Sie diese Informationen von Ihrem SQL Administrator 1 F hren Sie auf der Seite Datenbankserver Verbindung folgende Schritte aus m W hlen Sie unter Verbindungseinstellungen den SQL Datenbankserver aus der Datenbankserver Liste aus Es werden alle Rechner eines Netzwerks aufgelistet auf denen ein Microsoft SQL Server installiert ist Wenn der Server nicht ausw hlbar ist tragen Sie Servername bzw IP Adresse mit dem SQL Instanznamen manuell ein E Aktivieren Sie SSL verwenden um die Verbindung zwischen SafeGuard Management Center und SQL Datenbankserver zu sichern Wenn Sie SQL Server Authentisierung ausgew hlt haben empfehlen wir dringend diese Einstellung zu aktivieren da dadurch der Transport der SQL Anmeldedaten verschl sselt wird SSL Verschl sselung erfordert eine funktionsf hige SSL Umgebung auf dem SQL Datenbankserver die Sie vorab einrichten m ssen siehe Sichern von Transportverbindungen mit SSL Seite 9 2 W hlen Sie unter Authentisierung die Art der Authentisierung die f r den Zugriff
139. t Explorer auf Sicherheit Klicken Sie mit der rechten Maustaste auf Anmeldungen und klicken Sie auf Neue Anmeldung F gen Sie in Microsoft SQL Server Management Studio folgenden Benutzer Rolle sysadmin hinzu NTAUTHORITY NETWORK SERVICE 7 2 Testen Der Verbindung IIS 6 auf Windows Server 2003 i ffnen Sie auf dem Computer auf dem SafeGuard Enterprise Server installiert ist den Internet Information Services IIS Manager Klicken Sie in der Baumstruktur auf Internet Information Services Manager Klicken Sie auf Servername Websites Standard Website berpr fen Sie ob die Web Seite SGNSRV im Ordner Standard Web Seite verf gbar ist Klicken Sie mit der rechten Maustaste auf SGNSRV und klicken Sie auf Durchsuchen Auf der rechten Seite des Fensters wird eine Liste mit m glichen Aktionen angezeigt 47 SafeGuard Enterprise 7 3 48 4 W hlen Sie aus dieser Liste die Aktion Verbindung pr fen Die m gliche Aktion wird auf der rechten Seite des Fensters angezeigt 5 Um die Verbindung zu pr fen klicken Sie auf Aufrufen Der Verbindungstest war erfolgreich wenn Sie diese Ausgabe erhalten A http localhost SGNSRY Trans asmx CheckConnection Microsoft Internet Explorer ioj xj Datei Bearbeten Ansicht Favoriten Extras 2 O EEE De g Jad O x a A P Suchen r Favoriten P Medien 7 a Adresse http flocalhost scnsRv Trans asmx Checkconnection ER Wechseln zu Links g
140. t Windows Server 2008 R2 und Microsoft SQL Server 2008 Standard oder Fxpress Edition 1 ffnen Sie den SQL Server Konfigurations Manager 2 W hlen Sie in der Navigationsstruktur auf der linken Seite SQL Server Dienste 3 berpr fen Sie ob der Status von SQL Server und SQL Server Browser L uft und der Startmodus Automatisch ist 4 W hlen Sie in der Navigationsstruktur auf der linken Seite SQL Server Netzwerkkonfiguration 5 Klicken Sie mit der rechten Maustaste auf das Protokoll Named Pipes und w hlen Sie Aktiviert 6 Klicken Sie mit der rechten Maustaste auf das Protokoll TCP IP und w hlen Sie Aktiviert 7 Klicken Sie au erdem mit der rechten Maustaste auf das Protokoll TCP IP und w hlen Sie Eigenschaften Belassen Sie in der Registerkarte IP Adressen unter IPAIII das Feld Dynamische TCP Ports leer Geben Sie im Feld TCP Port 1433 ein 8 Starten Sie die SQL Dienste neu Erstellen einer Windows Firewall Regel auf Windows Server 2008 R2 Diese Beschreibung bezieht sich auf Microsoft Windows Server 2008 R2 mit Microsoft SQL Server 2008 Standard oder Express Edition Wenn Sie diese Konfiguration verwenden f hren Sie die nachfolgend angegebenen Schritte aus um sicherzustellen dass eine Verbindung zwischen der SafeGuard Enterprise Datenbank und dem SafeGuard Management Center hergestellt werden kann 1 Klicken Sie auf dem Computer der als Host f r die SQL Server Instanz dient auf Start und dann auf Verwaltung
141. t com default aspx scid kb en us 316898 E https blogs msdn com sql_protocols archive 2005 11 10 491563 aspx Aktivieren der SSL Verschl sselung in SafeGuard Enterprise So aktivieren Sie die SSL Verschl sselung in SafeGuard Enterprise E Verbindung zwischen Web Server und Datenbankserver Aktivieren Sie SSL Verschl sselung w hrend der Registrierung des SafeGuard Enterprise Servers im SafeGuard Management Center Konfigurationspakete Werkzeug F r weitere Informationen siehe Konfigurieren der Datenbankserver Verbindung Seite 35 oder siehe http www sophos de support knowledgebase article 109012 html E F r die Verbindung zwischen Datenbankserver und SafeGuard Management Center Aktivieren Sie die SSL Verschl sselung im SafeGuard Management Center Konfigurationsassistenten siehe Konfigurieren der Datenbankserver Verbindung Seite 35 E Verbindung zwischen SafeGuard Enterprise Server und durch SafeGuard Enterprise gesch tzte Computer Aktivieren Sie SSL Verschl sselung beim Erzeugen des Konfigurationspakets f r den SafeGuard Enterprise Client managed im SafeGuard Management Center Konfigurationspakete Werkzeug siehe Erstellen eines Konfigurationspakets f r SafeGuard Enterprise Client managed Seite 60 Installationsschritte f r SafeGuard Enterprise Um SafeGuard Enterprise zu installieren f hren Sie die beschriebenen Installationsschritte durch Alle SafeGuard Enterprise Installationskomponenten msi Pakete fin
142. t der Aktualisierung beginnen Im Tools Verzeichnis Ihrer Produktlieferung finden Sie mehrere SQL Skripts f r die Aktualisierung der Datenbank So aktualisieren Sie die Datenbank 1 Nehmen Sie alle SafeGuard Enterprise Server IIS Server vom Netz die mit der relevanten SafeGuard Enterprise Datenbank verbunden sind 2 Schlie en Sie das SafeGuard Management Center 3 Stellen Sie zum Ausf hren der Skripts die Datenbank auf den SINGLE_USER Modus um damit Sie exklusiven Zugriff auf die Datenbank haben 89 SafeGuard Enterprise 4 Die Datenbank muss Version f r Version auf die aktuelle Version konvertiert werden Abh ngig von der installierten Version starten Sie nacheinander die folgenden SQL Skripts a 5 20 gt 5 3x MigrateSGN520_SGN530 sql oder MigrateSGN520_SGN535 sqlausf hren Vorhandene SafeGuard Enterprise Richtlinien werden modifiziert da sich die Richtlinienstruktur von Version 5 20 zu 5 3x ge ndert hat b 5 3x gt 5 35 MigrateSGN530_SGN535 sql ausf hren c 5 3x gt 5 4x MigrateSGN530_SGN535 sql ausf hren d 5 35 gt 5 4x MigrateSGN535_SGN540 sql ausf hren e 5 4x gt 5 5x MigrateSGN540_SGN550 sql ausf hren f 5 5x gt 5 6x MigrateSGN550_SGN560 sql ausf hren 5 Stellen Sie die relevante Datenbank wieder auf den MULTI_USER Modus zur ck Nach Aktualisierung der Datenbank sind unter Umst nden die kryptographischen Pr fsummen einiger Tabellen nicht mehr korrekt Wenn Sie das SafeGuard Manage
143. t knowledgebase article 109226 html E Wir empfehlen einen g ltigen Kernel Backup zu erstellen und diesen an einem Speicherort abzulegen auf den immer zugegriffen werden kann zum Beispiel Netzwerkpfad Weitere Informationen hierzu finden Sie in den SafeGuard Easy 4 5x Sophos SafeGuard Disk Encryption 4 6x Handb chern Hilfen im Kapitel Systemkern sichern und Notfallmedien erstellen Legen Sie bei der ersten Migration zur Sicherheit eine Testumgebung an Migrieren Sie ltere Versionen von SafeGuard Easy zuerst auf die Version 4 50 Lassen Sie die Computer w hrend des gesamten Migrationsprozesses eingeschaltet Der Sicherheitsbeauftragte sollte die Windows Anmeldeinformationen der Benutzer bereithalten falls diese nach der erfolgreichen Migration ihre Windows Kennw rter vergessen haben Dieser Fall kann eintreten wenn die Benutzer sich fr her an der Pre Boot Authentisierung angemeldet haben und eventuell zu einem sp teren Zeitpunkt ber das Windows Secure Autologon SAL angemeldet wurden Die Benutzer haben somit nie ihre Windows Anmeldeinformationen benutzt Hinweis Benutzern muss vor der Migration ein Kennwort zur Windows Anmeldung bekannt sein Dies ist wichtig da ein Windows Kennwort nicht nachtr glich nach der Migration und Installation von SafeGuard Enterprise gesetzt werden kann Wenn die Benutzer Ihr Windows Kennwort nicht kennen weil Sie sich ber SAL in SafeGuard Easy Sophos SafeGuard Disk Encryption angemeldet haben
144. tallieren von SafeGuard Enterprise Server Nachdem der IIS konfiguriert ist k nnen Sie SafeGuard Enterprise Server auf dem IIS Server installieren Das Installationspaket SGNServer msi finden Sie in der Produktlieferung Starten Sie SGNServer msi Klicken Sie auf der Willkommen Seite auf Weiter Akzeptieren Sie die Lizenzvereinbarung bernehmen Sie den Standardinstallationspfad ver UO N Klicken Sie auf Beenden um die Installation abzuschlie en 22 Installationsanleitung SafeGuard Enterprise Server ist installiert Hinweis Aus Performance Gr nden ist die Verkettung von protokollierten Ereignissen f r die SafeGuard Enterprise Datenbank nach der Installation des SafeGuard Enterprise Servers standardm ig deaktiviert Ohne die Verkettung steht f r die protokollierten Ereignisse jedoch kein Integrit tsschutz zur Verf gung Die Verkettung verkn pft alle Eintr ge in der Ereignistabelle miteinander so dass die Entfernung eines Eintrags sichtbar wird und ber eine Integrit tspr fung nachgewiesen werden kann Um den Integrit tsschutz zu nutzen aktivieren Sie die Verkettung manuell Weitere Informationen finden Sie in der Administrator Hilfe im Kapitel Berichte 23 SafeGuard Enterprise 24 5 Einrichten einer SafeGuard Enterprise Datenbank 5 1 SafeGuard Enterprise speichert alle relevanten Daten wie Schl ssel Zertifikate Informationen zu Benutzern amp Computern Freignisse und die Richtlin
145. tern vor siehe Vorbereiten der Verschl sselung Seite 57 Installationsanleitung 2 Verwenden Sie Ihre eigenen Tools um das Installationspaket zu erstellen das auf den Endpoint Computern installiert werden soll Das Paket muss Folgendes in der angegebenen Reihenfolge enthalten Element Beschreibung Vorbereitendes Installationspaket SGxClientPreinstall msi Das Paket stattet die Endpoint Computer mit den n tigen Voraussetzungen f r eine erfolgreiche Installation der Verschl sselungssoftware aus zum Beispiel mit der ben tigten DLL MSVCR80 dll Version 8 0 50727 4053 Hinweis Wenn dieses Paket nicht installiert ist wird die Installation der Verschl sselungssoftware abgebrochen Verschl sselungssoftware Installationspaket F r die f r SafeGuard Enterprise Clients managed verf gbaren Pakete siehe Installationspakete f r SafeGuard Enterprise Clients managed Seite 53 F r die f r Sophos SafeGuard Clients standalone verf gbaren Pakete siehe Installationspakete f r Sophos SafeGuard Clients standalone Seite 54 Konfigurationspaket f r Endpoint Computer Verwenden Sie die zuvor im SafeGuard Management Center erzeugten Konfigurationspakete F r SafeGuard Enterprise Clients managed und Sophos SafeGuard Clients standalone m ssen unterschiedliche Konfigurationspakete erstellt werden siehe Erstellen von Konfigurationspaketen berblick Seite 59 Bevor Sie ein neues Konfigurationspaket
146. tion spezifische Konfigurationspakete f r die Endpoint Computer im SafeGuard Management Center E F r SafeGuard Enterprise Clients managed E F r Sophos SafeGuard Standalone Clients E Wenn Sie Service Accounts f r Aufgaben nach der Installation verwenden Erstellen eines Konfigurationspakets f r SafeGuard Enterprise Client managed Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete W hlen Sie Konfigurationspaket managed erstellen Klicken Sie auf Konfigurationspaket hinzuf gen Geben Sie einen beliebigen Namen f r das Konfigurationspaket ein a A N e Ordnen Sie einen prim ren SafeGuard Enterprise Server zu der sekund re Server ist nicht zwingend notwendig 59 SafeGuard Enterprise 9 4 2 60 6 8 9 Falls erforderlich geben Sie eine Richtliniengruppe an die auf die Computer angewendet werden soll Diese m ssen Sie zuvor im SafeGuard Management Center erstellt haben Wenn Sie f r Aufgaben nach der Installation auf dem Computer Service Accounts verwenden m chten stellen Sie sicher dass die entsprechende Richtlinieneinstellung in dieser ersten Richtliniengruppe definiert ist siehe Service Accounts f r die Durchf hrung von Aufgaben nach der Installation Seite 61 W hlen Sie den Modus f r die Transportverschl sselung der bestimmt wie die Verbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Server verschl sselt wird SafeG
147. tzer die importiert wurden als nur SafeGuard Data Exchange installiert wurde werden nicht automatisch in die Power on Authentication importiert wenn SafeGuard Device Encryption sp ter installiert wird In diesem Fall m ssen Sie eine Benutzeraktualisierung ausl sen indem Sie z B dem Verzeichnisstamm vor bergehend einen Schl ssel zuweisen 15 6 Ausstatten von Sophos SafeGuard Clients standalone mit 15 7 94 volume basierender Verschl sselung Um einen Sophos SafeGuard Client standalone auf dem nur das SafeGuard Data Exchange Module mit dateibasierender Verschl sselung installiert ist mit volume basierender Verschl sselung auszustatten m ssen Sie die folgenden Schritte ausf hren Diese Schritte sind notwendig um eine korrekte und sichere Anmeldung an der Power on Authentication zu gew hrleisten 1 Deinstallieren Sie das SafeGuard Data Exchange Installationspaket SGNClient_withoutDE msi SGNClient_withoutDE_x64 msi 2 Deinstallieren Sie das Konfigurationspaket 3 Installieren Sie das SafeGuard Enterprise Device Encryption Installationspaket mit volume und dateibasierender Verschl sselung SGNClient msi SGNClient_x64 msi Wenn Sie dazu aufgefordert werden w hlen Sie die Features Device Encryption und Data Exchange und beenden Sie den Installationsassistenten 4 Erstellen Sie ein neues Konfigurationspaket und installieren Sie es auf dem Computer Der Sophos SafeGuard Client standalone wurde mit volume basi
148. uard Enterprise 6 10 Wiederherstellen einer besch digten SafeGuard Enterprise Installation Eine besch digte SafeGuard Management Center Installation kann auf einfache Art und Weise wiederhergestellt werden wenn die Datenbank noch intakt ist In diesem Fall m ssen Sie nur das SafeGuard Management Center neu installieren und die vorhandene Datenbank sowie das gesicherte Sicherheitsbeauftragten Zertifikat verwenden m Das Unternehmenszertifikat und das Haupt Sicherheitsbeauftragten Zertifikat der betreffenden Datenbankkonfiguration m ssen als p12 Dateien exportiert worden sein Die Dateien m ssen vorhanden und g ltig sein m Die Kennw rter f r die p12 Dateien sowie f r den Zertifikatsspeicher m ssen Ihnen bekannt sein So stellen Sie eine besch digte SafeGuard Management Center Installation wieder her 1 Installieren Sie das SafeGuard Management Center Installationspaket neu ffnen Sie das SafeGuard Management Center Der Konfigurationsassistent wird automatisch ge ffnet 2 W hlen Sie unter Datenbankverbindung den relevanten Datenbankserver und konfigurieren Sie falls erforderlich die Verbindung zur Datenbank Klicken Sie auf Weiter 3 Aktivieren Sie unter Datenbankeinstellungen die Option Folgende bestehende Datenbank verwenden und w hlen Sie die Datenbank aus der Liste aus 4 F hren Sie unter Daten des Sicherheitsbeauftragten einen der folgenden Schritte aus E Wenn die gesicherte Zertifikatsdatei auf dem C
149. uard Verschl sselung oder SSL Verschl sselung Der Vorteil bei SSL ist dass es ein Standardprotokoll ist und eine schnellere Verbindung aufgebaut werden kann als mit der SafeGuard Transportverschl sselung F r weitere Informationen siehe Einrichten von SSL Seite 9 Geben Sie einen Ausgabepfad f r das Konfigurationspaket MSI an Klicken Sie auf Konfigurationspaket erstellen Das Konfigurationspaket MSI wird im angegebenen Verzeichnis angelegt Im n chsten Schritt verteilen Sie das Paket an die SafeGuard Enterprise Client managed Endpoint Computer zur Installation Erstellen eines Konfigurationspakets f r Sophos SafeGuard standalone ve OU N e Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete W hlen Sie Konfigurationspaket standalone erstellen Klicken Sie auf Konfigurationspaket hinzuf gen Geben Sie einen beliebigen Namen f r das Konfigurationspaket ein Geben Sie eine zuvor im SafeGuard Management Center erstellte Richtliniengruppe an die f r die Computer gelten soll Geben Sie unter Speicherort f r Schl ssel Sicherungskopie einen freigegebenen Netzwerkpfad f r das Speichern der Schl ssel Recovery Datei an oder w hlen Sie einen Netzwerkpfad aus Geben Sie den freigegebenen Pfad in folgender Form ein networkcomputer z B mycompany edu Wenn Sie hier keinen Pfad angeben wird der Benutzer beim ersten Anmelden am Endpoint Computer nach der Installati
150. uf SafeGuard Enterprise Client managed 1 Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete Um das Konfigurationspaket f r den SafeGuard Enterprise Client managed zu erzeugen klicken Sie auf Konfigurationspaket erstellen 2 Weisen Sie dieses Paket dem Endpoint Computer ber eine Gruppenrichtlinie zu Die Authentisierung ist deaktiviert da die Benutzer Computer Zuordnung nicht migriert wird Nach der Migration sind die Endpoint Computer damit ungesch tzt 3 Starten Sie den Endpoint Computer neu Die erste Anmeldung erfolgt noch ber Autologon Neue Schl ssel und Zertifikate werden dem Benutzer zugewiesen 4 Starten Sie den Computer nochmal neu Melden Sie sich an der Power on Authentication an Die Computer werden erst nach dem zweiten Neustart gesch tzt 5 L schen Sie veraltete und nicht mehr verwendete Konfigurationspakete Der Sophos SafeGuard Client standalone ist nun ein SafeGuard Enterprise Client managed Installationsanleitung 18 18 1 18 2 Migration von SafeGuard Easy 4 x Sophos SafeGuard Disk Encryption 4 x auf Sophos SafeGuard 5 6x SafeGuard Easy SGE Version 4 5x sowie Sophos SafeGuard Disk Encryption Version 4 6x k nnen direkt auf SafeGuard Enterprise 5 6x migriert werden indem einfach das SafeGuard Enterprise Client Installationspaket auf dem Computer installiert wird Die Verschl sselung von Festplatten bleibt bestehen Diese m ssen nicht entschl s
151. ugelassen 6 Klicken Sie auf Anwenden und dann auf OK Spezifisches SafeGuard Benutzerkonto f r IIS 6 W hrend der Konfiguration von US 6 wird ein Benutzer angelegt der sich anonym vom Client am SGNSRV Bereich auf dem IIS anmeldet Wenn der SafeGuard Enterprise Server auf dem IIS Server installiert wird wird der individualisierte Benutzer IUSR_SafeGuard angelegt Mit IUSR_SafeGuard k nnen Sie auch dann immer noch den anonymen Zugang zum SGNSRV Bereich nutzen wenn sich der IIS Hostname ndert 17 SafeGuard Enterprise 4 2 2 Bei IIS 6 ist der Standardbenutzername JUSR_LMACHINENAME Wenn der IIS Hostname nach der Installation ge ndert wird stimmt er nicht mehr mit dem Standardbenutzernamen berein und der anonyme Zugang schl gt fehl Mit IUSR_SafeGuard haben Sie immer einen g ltigen Anmeldenamen auch wenn der IIS Hostname ge ndert wird Installieren und Konfigurieren von IIS 7 auf Microsoft Windows Server 2008 IIS ist kostenlos verf gbar Sie finden das Programm z B auf Ihrer Windows DVD oder auf der Microsoft Website l Klicken Sie im Start Men auf Alle Programme Administration und dann auf Server Manager Scrollen Sie im Server Manager zur Rollen bersicht und klicken Sie auf Rollen hinzuf gen Verifizieren Sie auf der Vorbemerkungen Seite des Rollen hinzuf gen Assistenten Folgendes E Das Administratorenkonto hat ein sicheres Kennwort E Die Netzwerkeinstellungen z B IP Adressen sind k
152. ver mit Ihren Anmeldeinformationen an ffnen Sie den Objekt Explorer klicken Sie mit der rechten Maustaste auf Sicherheit w hlen Sie Neu und klicken Sie dann auf Anmeldungen W hlen Sie unter Anmeldung Neu auf der Allgemein Seite die Option SQL Server Authentifizierung F hren Sie auf der Allgemein Seite bei Anmeldename folgende Schritte durch a Geben Sie den Namen des neuen Benutzers ein z B SGN SQLSERVICE b Geben Sie ein Kennwort f r das Konto ein und best tigen Sie es c Deaktivieren Sie Kennwortrichtlinie erzwingen d Wenn noch keine SafeGuard Enterprise Datenbank durch ein Skript angelegt wurde w hlen Sie unter Standarddatenbank die Option Master Klicken Sie auf OK Notieren Sie sich die Authentisierungsmethode und die Anmeldedaten Sie m ssen diese dem SafeGuard Management Center Sicherheitsbeauftragten mitteilen PP sw h 5 Skript E Hite Allgemein 2 Serverrollen Benutzerzuordnung Anmeldensine SGN SQLSERVICE Suchen Sicherungsf hige Elemente Windows Auhenliizierung Status SAL Server Authentifizierung Kennwot Jeosesesnese Kennwort best tigen ELTIITIITTT IT Kennwortrichtlinie erzwingen r r 4 Zugeordhet zu Zertifikat Zertifikatsname Zugeordnet eu asymmetrischen Schl Verbindung Schlisselname Server SAV 2003R2 DE Standarddatenbank master v Verbindung Standsrdsprache Standare gt UTIMACO Administrator 3 V
153. von SafeGuard Enterprise SafeGuard Enterprise f gt sich dabei nahtlos in die gewohnte Benutzerumgebung ein und l sst sich leicht und intuitiv bedienen Die SafeGuard eigene Authentisierung die Power on Authentication POA sorgt f r den n tigen Zugriffsschutz und bietet komfortable Unterst tzung bei der Wiederherstellung von Anmeldeinformationen Hinweis Nutzen Sie auch die M glichkeit SafeGuard Enterprise ber Video Tutorials kennenzulernen Sie finden die Video Tutorials in der Produktlieferung unter Tutorials Sie zeigen die Installation von SafeGuard Enterprise und stellen die Arbeit mit dem SafeGuard Management Center vor SafeGuard Enterprise 2 SafeGuard Enterprise Komponenten In diesem Kapitel lernen Sie die Komponenten von SafeGuard Enterprise und das Zusammenspiel zwischen den einzelnen Komponenten kennen Eine oder mehrere Microsoft SQL Datenbanken sammeln Informationen ber die Endpoint Computer im Firmennetzwerk Der Administrator bei SafeGuard Enterprise hei t er Haupt Sicherheitsbeauftragter oder Master Security Officer MSO nutzt das SafeGuard Management Center um die Datenbankinhalte zu steuern und neue Sicherheitsrichtlinien Policies zu erstellen Die PCs Notebooks der Benutzer lesen die Richtlinien aus der Datenbank und berichten die erfolgreiche Ausf hrung an die Datenbank Die Kommunikation zwischen Datenbank und Endpoint Computern bernimmt dabei ein Internet Information Services IIS basierter We
154. werden SecureDataExchange 67 SafeGuard Enterprise Feature Parents Feature SafeGuard Data Exchange mit dateibasierender Verschl sselung wird immer auf lokaler Ebene und f r Wechselmedien installiert SafeGuard Data Exchange sorgt f r die sichere Verschl sselung von Wechselmedien Daten k nnen sicher und einfach mit anderen Benutzern ausgetauscht werden Alle Ver und Entschl sselungsvorg nge laufen transparent und mit minimaler Benutzerinteraktion ab Wenn Sie SafeGuard Data Exchange auf Ihrem Computer installiert haben ist auch SafeGuard Portable installiert SafeGuard Portable erm glicht den sicheren Datenaustausch mit Computern auf denen SafeGuard Data Exchange nicht installiert ist Client ConfigurationProtection Schnittstellenschutz und Management von Peripherieger ten Um SafeGuard Configuration Protection zu installieren m ssen Sie das Feature im msiexec Kommandbo des Client Installationspakets angeben UND zus tzliche Installationsschritte durchf hren siehe Einrichten von SafeGuard Configuration Protection Seite 78 Hinweis F r Sophos SafeGuard Clients standalone nicht verf gbar 10 3 3 Beispielkommando f r volume und dateibasierende Verschl sselung 68 Folgendes wird durch das unten aufgef hrte Kommando ausgef hrt E Die Endpoint Computer werden mit den notwendigen Voraussetzungen f r eine erfolgreiche Installation der Verschl sselungssoftware ausgestattet
155. wort gesichert Das Zertifikat des Haupt Sicherheitsbeauftragten ist dadurch zus tzlich gesch tzt Die private Schl sseldatei wird f r die Wiederherstellung einer besch digten SafeGuard Management Center Installation ben tigt So exportieren Sie das Zertifikat eines Haupt Sicherheitsbeauftragten 1 Geben Sie unter Zertifikat exportieren ein Kennwort f r den privaten Schl ssel P12 Datei ein und best tigen Sie es Das Kennwort muss aus 8 alphanumerischen Zeichen bestehen 2 Klicken Sie auf OK 3 Geben Sie einen Speicherort f r die private Schl sseldatei ein Die private Schl sseldatei wird erzeugt und die Datei wird am angegebenen Speicherort gespeichert lt mso_name p12 Installationsanleitung 6 4 6 3 6 4 7 Hinweis Erstellen Sie eine Sicherungskopie des privaten Schl ssels P12 Datei und legen Sie diese direkt nach der Erstkonfiguration an einem sicheren Speicherort ab Andernfalls f hrt ein eventueller PC Absturz zum Verlust des Schl ssels und SafeGuard Enterprise muss neu installiert werden Das gilt f r alle von SafeGuard Enterprise generierten Sicherheitsbeauftragten Zertifikate Weitere Informationen finden Sie in der Administrator Hilfe im Kapitel Unternehmenszertifikat und Master Security Officer Zertifikat exportieren Import des Zertifikats des Haupt Sicherheitsbeauftragten Wenn bereits ein Zertifikat eines Haupt Sicherheitsbeauftragten zur Verf gung steht m ssen Sie es in den Zertifikatsspeic
156. xtras Men auf Konfigurationspakete 3 4 Klicken Sie unter Serverregistrierung auf die Schaltfl che um das Maschinenzertifikat W hlen Sie die Registerkarte Server registrieren und klicken Sie auf Hinzuf gen des Servers auszuw hlen Es wird bei der Installation des SafeGuard Enterprise Servers erzeugt Sie finden es standardm ig im Verzeichnis MachCert des SafeGuard Enterprise Server Installationsverzeichnisses Es tr gt den Dateinamen lt Computername gt cer Wenn der SafeGuard Enterprise Server auf einem anderen Computer als das SafeGuard Management Center installiert ist muss diese cer Datei als Kopie oder Netzwerkfreigabe zugreifbar sein W hlen Sie nicht das MSO Zertifikat Der Fully Qualified Name FQDN z B server mycompany edu sowie Zertifikatsinformationen werden angezeigt Hinweis Wenn SSL als Tansportverschl sselung zwischen Client und Server verwendet werden soll muss der Servername den Sie hier eingeben mit dem Servernamen bereinstimmen den Sie im SSL Zertifikat vergeben haben Andernfalls k nnen Client und Server nicht miteinander kommunizieren Klicken Sie auf OK Die Serverinformationen werden in der Registerkarte Server registrieren angezeigt Klicken Sie auf die Registerkarte Server Konfigurationspaket erstellen Hier werden alle verf gbaren Server angezeigt W hlen Sie dort den gew nschten Server aus Geben Sie einen Ausgabepfad f r das Konfigurationspaket an Klicken Si
Download Pdf Manuals
Related Search