SafeGuard Enterprise Installationsanleitung
Contents
1. Installationsanleitung Schritt 3 Hinweis Dieser Schritt ist nur erforderlich wenn Sie beim Standalone Betrieb administrative Ma nahmen im SafeGuard Management Center protokollieren wollen oder wenn Sie SafeGuard Enterprise im zentral verwalteten Modus betreiben wollen Beschreibung Installieren Sie SafeGuard Enterprise Server Paket Tool SGNServer msi Konfigurieren Sie die Microsft SQL Server Authentisierung f r den SafeGuard Enterprise Haupt Sicherheitsbeauftragten SafeGuard Enterprise Datenbank en ber Skripte erzeugen Datenbank Skripte im Verzeichnis Tools Database Scripts der Produktlieferung Installieren Sie die Management Konsole SafeGuard Management Center f r die zentrale Verwaltung von Benutzern Computern Richtlinien Schl sseln und Berichten SGNManagementCenter msi Konfigurieren Sie das SafeGuard Management Center Datenbank und Datenbankserver Verbindungen Zertifikate Anmeldeinformationen f r den Haupt Sicherheitsbeauftragten SafeGuard Management Center Konfigurationsassistent 8 Hinweis Dieser Schritt ist nur erforderlich wenn Sie beim Standalone Betrieb administrative Ma nahmen im SafeGuard Management Center protokollieren wollen oder wenn Sie SafeGuard Registrieren und konfigurieren Sie den SafeGuard Enterprise Server Erzeugen Sie das Server Konfigurationspaket und installieren SIe es auf dem IIS Server Konfigur2. 7 2 Aktivieren der SSL Verschl sselung in SafeGuard Enterprise So aktivieren Sie die SSL Verschl sselung in SafeGuard Enterprise Verbindung zwischen Web Server und Datenbankserver Aktivieren Sie SSL Verschl sselung w hrend der Registrierung des SafeGuard Enterprise Servers im SafeGuard Management Center Konfigurationspakete Werkzeug F r weitere Informationen siehe Konfigurieren der Datenbankserver Verbindung Seite 34 oder http www sophos com de de support knowledgebase 109012 aspx Verbindung zwischen Datenbankserver und SafeGuard Management Center Aktivieren Sie die SSL Verschl sselung im SafeGuard Management Center Konfigurationsassistenten siehe Konfigurieren der Datenbankserver Verbindung Seite 34 Verbindung zwischen SafeGuard Enterprise Server und durch SafeGuard Enterprise gesch tzte Endpoints Aktivieren Sie SSL Verschl sselung beim Erzeugen des Konfigurationspakets f r den durch SafeGuard Enterprise verwalteten Endpoint im SafeGuard Management Center Konfigurationspakete Werkzeug siehe Erzeugen eines Konfigurationspakets f r zentral verwaltete Computer Seite 58 Sie k nnen die SSL Verschl sselung f r SafeGuard Enterprise w hrend der Erstkonfiguration der SafeGuard Enterprise Komponenten oder zu einem sp teren Zeitpunkt einrichten Erstellen Sie danach ein neues Konfigurationspaket und installieren Sie es auf der entsprechenden Komponente oder dem zentral verwalteten Endpoint Installationsanlei
3. SAV 2003R2 DE Verbindung sa 5 Verbindungseigenschaften anzeigen Bereit 0K Abbrech SE een 25 SafeGuard Enterprise 4 1 3 Erstellen eines SQL Kontos f r die Anmeldung am SQL Server 26 Die nachfolgende Beschreibung der einzelnen Konfigurationsschritte richtet sich an SQL Administratoren Sie bezieht sich auf Microsoft Windows Server 2003 mit Microsoft SQL Server 2005 und auf alle Editionen von Microsoft Windows Server 2008 mit der Standardedition von Microsoft SQL Server 2008 Als SQL Administrator ben tigen Sie das Recht ein SQL Benutzerkonto zu erstellen 1 ffnen Sie SQL Server Management Studio Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an 2 ffnen Sie den Objekt Explorer klicken Sie mit der rechten Maustaste auf Sicherheit w hlen Sie Neu und klicken Sie dann auf Anmeldungen 3 W hlen Sie unter Anmeldung Neu auf der Allgemein Seite die Option SQL Server Authentifizierung 4 F hren Sie auf der Allgemein Seite bei Anmeldename folgende Schritte durch a Geben Sie den Namen des neuen Benutzers ein z B SGN SQLSERVICE b Geben Sie ein Kennwort f r das Konto ein und best tigen Sie es c Deaktivieren Sie Kennwortrichtlinie erzwingen d Wenn noch keine SafeGuard Enterprise Datenbank durch ein Skript angelegt wurde w hlen Sie unter Standarddatenbank die Option Master Klicken Sie auf OK Notieren Sie sich die Authentisierungsmethode und die Anmeldeda
4. SOPHOS simple secure Produktv n 5 60 2 VS NfD Stan os ne 2012 Inhalt T UbersafeGuard Enterprisen gas 3 A Erste sche A elnelnebareseregren 6 3 Einrichten des SafeGuard Enterprise Servers ucnssesssesessssnnesnenonnenonnnnnnonnnnonnnnennnnnnonnnnonnenonnnnnnonn 13 4 Einrichten einer SafeGuard Enterprise Datenbank eesssenssesessenennesnnennnnonnenonnennnnnnnnonnnnonn 23 5 Einrichten des SafeGuard Management Centers uuunssesessssesessnnonnenonnennnonnnnonnnnennnnnnonnnnonnnnonnnnnann 32 6 Testen der Kommimikation un 46 7 Sichern von Transportverbindungen mit SSL 2 2224202240020200nennnnonnenonnnnnnonnenonnennnnnnnennnnennnnnn 49 8 Registrieren und Konfigurieren des SafeGuard Enterprise Server unnsssessesesnssnneesnnennnnennennnenn 51 9 Einrichten von SafeGuard Enterprise auf Endpoints nesesessesesesnnessenonnenonnennonnnnonnnnennnnnnann 55 10 Einrichten von SafeGuard Enterprise RuUntiMe sseseesessssssesesesrsresesesssseresestesereseneseesereseseseseses 72 11 Replikation der SafeGuard Enterprise Datenbank enessscsssesessesennennnennnnonnenonnennnnnnnnennnnonn 75 12 Aktualisierung er Eins Biester 80 13 Deinstallation berblick ns ee seen Sessel 86 14 Technischer Sapport senna RmaH ins A ENA E O EE S Aa E A ERE Eea 89 15 Rechtliche Hinweise enable 90 Installationsanleitung 1 1 ber SafeGuard Enterprise SafeGuard Enterprise ist eine umfassende modular auf
5. SafeGuard Enterprise 12 Wenn auf dem Endpoint Intel Advanced Host Controller Interface AHCI benutzt wird muss sich die Boot Festplatte in Slot 0 oder Slot 1 befinden Sie k nnen bis zu 32 Festplatten einlegen SafeGuard Enterprise l uft nur auf den ersten beiden Slot Nummern Volume basierende Verschl sselung f r Volumes auf dynamischen Festplatten und auf GUID Partitionstabellen GPT Platten werden nicht unterst tzt Die Installation bricht in diesen F llen ab Wenn diese Platten auf dem Endpoint gefunden werden werden sie nicht unterst tzt Systeme mit Festplatten die ber einen SCSI Bus angeschlossen sind werden vom SafeGuard Modul Festplattenverschl sselung SGNClient msi nicht unterst tzt Der schnelle Benutzerwechsel wird nicht unterst tzt Der Einsatz von SafeGuard Enterprise in einer Terminal Server Umgebung wird nicht unterst tzt Installationsanleitung 3 Einrichten des SafeGuard Enterprise Servers 3 1 Hinweis Sie m ssen die Aufgaben in diesem Kapitel nur in folgenden F llen ausf hren m Wenn Sie beim Standalone Betrieb administrative Ma nahmen im SafeGuard Management Center protokollieren wollen In diesem Fall m ssen Sie die Server Software auf dem Computer installieren auf dem Sie auch das SafeGuard Management Center installieren F r Informationen zur SafeGuard Enterprise Protokollierung siehe die SafeGuard Enterprise Administratiorhilfe Kapitel Berichte E Wenn Sie SafeGuard En
6. So aktualisieren Sie den SafeGuard Enterprise Server 1 Installieren Sie die neue Version des SafeGuard Enterprise Server Installationspakets SafeGuard Enterprise Server wurde auf die neueste Version aktualisiert Er wird automatisch neu gestartet und kann benutzt werden Aktualisieren des SafeGuard Management Center Voraussetzungen m SafeGuard Management Center 5 60 1 muss installiert sein ltere Versionen m ssen zun chst auf Version 5 60 1 aktualisiert werden m Die Aktualisierung der SafeGuard Enterprise Datenbank und des SafeGuard Enterprise Servers auf 5 60 2 VS N D wurde bereits durchgef hrt Die Versionsnummern der SafeGuard Enterprise Datenbank des SafeGuard Enterprise Servers und des SafeGuard Management Center m ssen bereinstimmen m Das SafeGuard Management Center 5 60 2 VS NfD kann durch SafeGuard Enterprise gesch tzte Endpoints mit Version 5 60 1 und 5 60 2 VS NfD verwalten m NET Framework 4 ist erforderlich Dies muss vor der Aktualisierung installiert werden Das Programm steht in der SafeGuard Enterprise Produktlieferung zur Verf gung m Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen Installationsanleitung 12 4 So aktualisieren Sie das SafeGuard Management Center 1 Installieren Sie die neue Version des SafeGuard Management Center Installationspakets mit den erforderlichen Features Starten Sie das SafeGuard Management Center Das Systemverhalten beim ersten
7. Proxyserver f r LAN verwenden Wenn ein Proxyserver notwendig ist w hlen Sie Proxyserver f r lokale Adressen umgehen 6 1 4 Microsoft SQL Server 2005 Einstellungen Wenn Sie Microsoft SQL Server 2005 verwenden nehmen Sie die folgenden Einstellungen vor 1 ffnen Sie Microsoft SQL Server Management Studio 2 Klicken Sie im linken Bereich des Object Explorer auf Sicherheit 3 Klicken Sie mit der rechten Maustaste auf Anmeldungen und klicken Sie auf Neue Anmeldung F gen Sie in Microsoft SQL Server Management Studio folgenden Benutzer Rolle sysadmin hinzu NT AUTHORITY NETWORK SERVICE 47 SafeGuard Enterprise 48 6 2 Testen der Verbindung IIS 6 auf Windows Server 2003 5 ffnen Sie auf dem Computer auf dem SafeGuard Enterprise Server installiert ist den Internet Information Services IIS Manager Klicken Sie in der Baumstruktur auf Internet Information Services Manager Klicken Sie auf Servername Websites Standard Website berpr fen Sie ob die Web Seite SGNSRV im Ordner Standard Web Seite verf gbar ist Klicken Sie mit der rechten Maustaste auf SGNSRV und klicken Sie auf Durchsuchen Auf der rechten Seite des Fensters wird eine Liste mit m glichen Aktionen angezeigt W hlen Sie aus dieser Liste die Aktion CheckConnection Die m gliche Aktion wird auf der rechten Seite des Fensters angezeigt Um die Verbindung zu pr fen klicken Sie auf Aufrufen Der Verbindungstest war erfolgreich w
8. hrt Sie durch die notwendigen Schritte f r das Anlegen einer neuen Datenbankkonfiguration Nehmen Sie die erforderlichen Einstellungen vor Die neue Datenbankkonfiguration wird generiert 4 Zur Authentisierung werden Sie dazu aufgefordert den Sicherheitsbeauftragtennamen f r diese Konfiguration auszuw hlen und das entsprechende Zertifikatsspeicherkennwort einzugeben Klicken Sie auf OK Das SafeGuard Management Center wird ge ffnet und mit der ausgew hlten Datenbankkonfiguration verbunden Wenn Sie das SafeGuard Management Center das n chste Mal starten k nnen Sie die neue Datenbank Konfiguration aus der Liste ausw hlen Hinweis Weitere Informationen zu Multi Tenancy finden Sie in der SafeGuard Enterprise Administratorhilfe im Kapitel Mit mehreren Datenbankkonfigurationen arbeiten Konfigurieren zus tzlicher Instanzen des SafeGuard Management Center Sie k nnen zus tzliche Instanzen des SafeGuard Management Center konfigurieren um Sicherheitsbeauftragten den Zugriff f r die Durchf hrung administrativer Aufgaben auf verschiedenen Computern zu erm glichen Das SafeGuard Management Center kann auf jedem Rechner im Netzwerk installiert sein von wo aus auf die Datenbank zugegriffen werden kann SafeGuard Enterprise verwaltet die Zugriffsrechte auf das SafeGuard Management Center in einem eigenen Zertifikatsverzeichnis In diesem Verzeichnis m ssen die Zertifikate aller Sicherheitsbeauftragten die sich am SafeGuard Management C
9. r diese Assistenten nicht verf gbar ist wird automatisch Englisch benutzt SafeGuard Management Center So stellen Sie die Sprache das SafeGuard Management Center ein m Klicken Sie im SafeGuard Management Center auf Extras gt Optionen gt Allgemein Klicken Sie auf Benutzerdefinierte Sprache verwenden und w hlen Sie eine verf gbare Sprache aus Die Sprachen Englisch Deutsch Franz sisch und Japanisch sind verf gbar m Starten Sie das SafeGuard Management Centers neu Er wird in der ausgew hlten Sprache angezeigt SafeGuard Enterprise 2 5 2 5 1 10 Sophos SafeGuard auf Endpoints Die Sprache von Sophos SafeGuard auf Endpoints steuern Sie ber den Richtlinientyp Allgemeine Einstellungen im SafeGuard Management Center Einstellung Anpassung gt Sprache am Client m Wenn die Sprache des Betriebssystems gew hlt wird richtet sich die Produktsprache nach der Spracheinstellung des Betriebssystems Steht die entsprechende Betriebssystemsprache in Sophos SafeGuard nicht zur Verf gung wird standardm ig die englische Version von Sophos SafeGuard angezeigt m Wenn eine der zur Verf gung stehenden Sprachen gew hlt wird werden die Sophos SafeGuard Funktionen auf dem Endpoint in der ausgew hlten Sprache angezeigt Kompatibilit t mit weiteren SafeGuard Produkten Dieser Abschnitt beschreibt die Kompatibilit t von SafeGuard Enterprise mit anderen SafeGuard Produkten Kompatibilit t mit SafeGuard LAN Crypt Sa
10. Instanz des SafeGuard Management Center konfigurieren und verwalten Dies erweist sich vor allem dann als n tzlich wenn Sie verschiedene Konfigurationen f r verschiedene Dom nen Organisationseinheiten oder Unternehmensstandorte einsetzen m chten Hinweis Sie m ssen pro Datenbank Mandant jeweils eine separate SafeGuard Enterprise Server Instanz einrichten Zur Vereinfachung der Konfiguration k nnen neu erstellte Datenbankkonfigurationen zur sp teren Wiederverwendung in eine Datei exportiert werden und zuvor erstellte Konfigurationen aus einer Datei eingelesen werden Um das SafeGuard Management Center f r Multi Tenancy zu konfigurieren f hren Sie zun chst die initiale Konfiguration und danach weitere spezifische Schritte f r die Multi Tenancy Konfiguration durch Starten der Erstkonfiguration des SafeGuard Management Center Nach der Installation des SafeGuard Management Center m ssen Sie die Erstkonfiguration durchf hren Die Erstkonfiguration muss sowohl f r den Single Tenancy als auch f r den Multi Tenancy Modus ausgef hrt werden So starten Sie den SafeGuard Management Center Konfigurationsassistenten 1 Starten Sie das SafeGuard Management Center ber das Start Men Der Konfigurationsassistent wird gestartet und f hrt Sie durch die notwendigen Schritte 2 Klicken Sie auf der Willkommen Seite auf Weiter Konfigurieren der Datenbankserver Verbindung Zum Speichern aller SafeGuard Enterprise spezifischen Ver
11. Kapitel beschreibt wie Sie den IIS Server f r die Benutzung mit SafeGuard Enterprise so einrichten dass er den Absicherungsempfehlungen von Microsoft entspricht Sollten weitere Einstellungen die nicht von Microsoft empfohlen oder in diesem Kapitel beschrieben werden aktiviert werden kann dies zu unerw nschten Ergebnissen f hren Hinweis Detaillierte Informationen zur Absicherung von Web Servern finden Sie im Microsoft Solutions for Security and Compliance Windows Server 2003 Security Guide der auf der Microsoft Website kostenlos zum Download zur Verf gung steht Die Beschreibungen in diesem Kapitel basieren auf folgender Musterkonfiguration E Server 1 Microsoft Windows Server 2003 SP1 SafeGuard Enterprise Server aktuelle Version SafeGuard Management Center aktuelle Version Microsoft SQL Server 2005 Express IIS mit minimalen Komponenten E Server 2 Microsoft Windows Server 2003 SP1 SafeGuard Enterprise Server aktuelle Version Microsoft SQL Server 2005 Express IIS mit minimalen Komponenten Auf Server 2 l uft nur der SafeGuard Enterprise Server IIS Server Wenn Server 2 zus tzlich in Gebrauch ist werden die f r Server 1 aktivierten Dienste automatisch deaktiviert E Client SafeGuard Enterprise Client SafeGuard Management Center aktuelle Version Nur notwendige IIS Komponenten installieren Stellen Sie sicher dass nur notwendige IIS Komponenten installiert werden Dadurch reduziert sich das Risiko dass
12. Sicherheitsprivilegien zu erteilen Serverrollen U bulkadmin IF dbcrestor I diskadmin processadmin C securityadmin E serveradmin E setupadmin sysadmin Server SRV 2003R2 DE Verbindung sa 2 Verbindungseigenschaften EEE Bereit 0K Abbrech ee inc Das SQL Benutzerkonto und die Zugriffsberechtigungen sind damit f r den SafeGuard Enterprise Sicherheitsbeauftragten eingerichtet Erzeugen der SafeGuard Enterprise Datenbank Nachdem das Benutzerkonto f r die SQL Server Anmeldung eingerichtet ist k nnen Sie die SafeGuard Enterprise Datenbank erzeugen Hier gibt es zwei M glichkeiten E Mit dem SafeGuard Management Center Konfigurationsassistenten Als Sicherheitsbeauftragter k nnen Sie die SafeGuard Enterprise Datenbank w hrend der Erstkonfiguration im SafeGuard Management Centers leicht und bequem erstellen Der SafeGuard Management Center Konfigurationsassistent f hrt Sie durch die Basiskonfiguration zu der auch die Erstellung der Datenbank geh rt Fahren Sie hierzu mit der Installation und Konfiguration des SafeGuard Management Center fort siehe Einrichten des SafeGuard Management Centers Seite 32 und ndern Sie dann die relevanten Zugriffsrechte siehe ndern der Zugriffsrechte f r die SafeGuard Enterprise Datenbank Seite 29 E Mit SQL Skripts die in der Produktlieferung zur Verf gung stehen Dieser Weg ist dann angebracht wenn die Erweiterung der Datenbankberechtig
13. Start des SafeGuard Management Center nach der Aktualisierung richtet sich nach den installierten Features Option Beschreibung Das Feature Multi Tenancyist nicht Sie werden aufgefordert die SafeGuard installiert Management Center Sicherheitsbeauftragten Anmeldeinformationen einzugeben Das Feature Multi Tenancy ist neu Der SafeGuard Management Center installiert Konfigurationsassistent wird gestartet Sie werden dazu aufgefordert die zu verwendende Datenbank auszuw hlen Der Assistent schl gt standardm ig eine bereits vorher verwendete Datenbank vor W hlen Sie die gew nschte Datenbank aus und beenden Sie den Assistenten Das Feature Multi Tenancy wurde Die zuletzt benutzte Datenbankkonfiguration deinstalliert wird im aktualisierten SafeGuard Management Center verwendet Importieren Sie im SafeGuard Management Center die neue Lizenzdatei Klicken Sie im Bereich Benutzer amp Computer auf dem Stammknoten in der Navigationsbaumstruktur auf der linken Seite Wechseln Sie im Aktionsbereich in die Registerkarte Lizenzen Klicken Sie auf die Schaltfl che Lizenzdatei importieren suchen Sie nach der relevanten Lizenzdatei und klicken Sie auf ffnen Klicken Sie im Lizenz anwenden Dialog auf Lizenz anwenden Das SafeGuard Management Center wurde auf die neueste Version aktualisiert und kann benutzt werden Hinweis bertragen Sie nach der Aktualisierung des SafeGuard Management Center auf die n
14. Weitere Informationen zu SafeGuard Enterprise in Kombination mit Opal Festplatten finden Sie in der SafeGuard Enterprise Administratorhilfe und Benutzerhilfe 71 SafeGuard Enterprise 10 Einrichten von SafeGuard Enterprise Runtime 10 1 72 Hinweis Wenn nicht anders erw hnt gilt dieses Kapitel sowohl f r die zentral verwaltete Variante als auch f r die Standalone Variante von SafeGuard Enterprise Die SafeGuard Enterprise Verschl sselungssoftware kann auch dann zum Schutz der Daten installiert werden wenn mehrere Betriebssysteme auf separaten Volumes der Endpoint Festplatte Runtime System installiert sind SafeGuard Enterprise Runtime stellt folgende Sachverhalte sicher wenn die Software auf Volumes mit einer zus tzlichen Windows Installation installiert wird Die Windows Installation die sich auf diesen Volumes befindet kann erfolgreich durch einen Boot Manager gestartet werden Auf Partitionen auf diesen Volumes die durch eine vollst ndige SafeGuard Enterprise Client Installation mit dem definierten Computerschl ssel verschl sselt worden sind kann erfolgreich zugegriffen werden Voraussetzungen und Einschr nkungen Beachten Sie SafeGuard Enterprise Runtime bietet keine SafeGuard Enterprise Verschl sselungs Features oder Funktionalit ten SafeGuard Enterprise Runtime unterst tzt nur die Betriebssysteme die auch f r die SafeGuard Enterprise Verschl sselungssoftware unterst tzt werden USB Tastatur
15. Zugriff auf die Datenbank en ben tigt der SafeGuard Enterprise Server und ein einziger Sicherheitsbeauftragter des SafeGuard Management Centers meist der Haupt Sicherheitsbeauftragte MSO Die Erzeugung und Konfiguration der SafeGuard Enterprise Datenbank en kann ber einen Assistenten oder ber Skripte erfolgen SafeGuard Enterprise Server auf IIS basiertem Webserver Hinweis Diese Komponente ist nur erforderlich wenn Sie beim Standalone Betrieb administrative Ma nahmen im SafeGuard Management Center protokollieren wollen oder wenn Sie SafeGuard Enterprise im zentral verwalteten Modus betreiben wollen Microsoft Internet Information Services ISS NET Framework 4 und ASP NET 4 sind erforderlich Der f r SafeGuard Enterprise eingesetzte Webserver muss auf Internet Information Services IIS basieren Wir empfehlen den Einsatz eines dedizierten IIS f r SafeGuard Enterprise Server Es ist m glich den IIS zu clustern Installationsanleitung Komponente Beschreibung Der SafeGuard Enterprise Server ist die Schnittstelle zwischen Datenbank und SafeGuard Enterprise Endpoints Der SafeGuard Enterprise Server sendet auf Anfrage SafeGuard Enterprise Richtlinieneinstellungen an die Endpoints Er ben tigt Zugriff auf die Datenbank Er l uft als Anwendung auf einem Microsoft Internet Information Services IIS basierten Webserver SafeGuard Management Center auf dem Administratorcomputer Verzeichnisdienste opti
16. der Benutzername IUSR lautet Korrigieren Sie ihn wenn n tig Klicken Sie auf OK Die zus tzliche Konfiguration f r die Benutzung eines Windows Kontos f r die Anmeldung am SQL Server ist nun abgeschlossen 31 SafeGuard Enterprise 32 5 Einrichten des SafeGuard Management Centers 5 1 Hinweis Wenn nicht anders erw hnt gilt dieses Kapitel sowohl f r die zentral verwaltete Variante als auch f r die Standalone Variante von SafeGuard Enterprise Dieser Abschnitt beschreibt die Installation und Konfiguration des SafeGuard Management Center Das SafeGuard Management Center ist das zentrale Verwaltungswerkzeug f r SafeGuard Enterprise Installieren Sie es auf den Administrator Computern die Sie f r die Verwaltung von SafeGuard Enterprise einsetzen m chten Das SafeGuard Management Center kann auf jedem Rechner im Netzwerk installiert sein von wo aus auf die SafeGuard Enterprise Datenbanken zugegriffen werden kann Mit datenbankspezifischen Konfigurationen Multi Tenancy erm glicht das SafeGuard Management Center den Einsatz von SafeGuard Enterprise mit mehreren Datenbanken Sie k nnen verschiedene SafeGuard Enterprise Datenbanken f r unterschiedliche Bereiche z B Unternehmensstandorte Organisationseinheiten oder Dom nen einrichten und verwalten Um den Verwaltungsaufwand zu reduzieren k nnen Sie Datenbankkonfigurationen auch in Dateien exportieren und aus Dateien importieren Das SafeGuard Management Center
17. der Festplatte unterst tzt werden E Sicherheitspr fungen Mit Sicherheitspr fungen wird sichergestellt dass nur SafeGuard Enterprise Benutzer auf der Festplatte registriert sind und dass nur SafeGuard Enterprise Benutzer die Schl ssel f r die software basierende Verschl sselung von nicht selbst verschl sselnden Laufwerken haben Wird bei der Installation festgestellt dass andere Benutzer registriert sind versucht SafeGuard Enterprise automatisch diese zu deaktivieren Diese Funktionalit t wird durch den Opal Standard gefordert Ausgenommen sind hier einige wenige Standard Authorities die f r den Betrieb eines Opal Systems erforderlich sind Hinweis Diese Sicherheitspr fungen werden wiederholt wenn nach einer erfolgreichen Installation im Opal Modus eine Verschl sselungsrichtlinie f r die Festplatte angewendet wird Schlagen die Sicherheitspr fungen in diesem Fall fehl so haben inzwischen au erhalb von SafeGuard Enterprise Eingriffe in die Laufwerksverwaltung stattgefunden In diesem Fall verweigert SafeGuard Enterprise den Zugriff auf das Laufwerk und es wird eine entsprechende Meldung angezeigt Sollten einige dieser Pr fungen ohne Recovery M glichkeit fehlschlagen so wird f r die Installation nicht die software basierende Verschl sselung angewendet Stattdessen bleiben alle Volumes auf der Opal Festplatte unverschl sselt Wenn Sie erzwingen m chten dass keine Opal Pr fungen durchgef hrt werden verwenden Sie fo
18. die Option Neues Unternehmenszertifikat erzeugen Installationsanleitung 5 4 8 5 3 2 Geben Sie einen Namen Ihrer Wahl ein Hinweis Von SafeGuard Enterprise erzeugte Zertifikate zum Beispiel Unternehmens Maschinen Sicherheitsbeauftragten und Benutzerzertifikate sind bei einer Erstinstallation standardm ig zur Erweiterung der Sicherheit mit dem Hash Algorithmus SHA 256 signiert Wenn Sie noch SafeGuard Enterprise Endpoints mit Version 5 60 1 mit dem SafeGuard Management Center der Version 5 60 2 verwalten m ssen m ssen Sie unter Hash Algorithmus f r erzeugte Zertifikate den Algorithmus SHA 1 ausw hlen Weitere Informationen finden Sie in der SafeGuard Enterprise Administrator Hilfe im Abschnitt ndern des Algorithmus f r selbst signierte Zertifikate Der ausgew hlte Algorithmus wird zum Signieren aller von SafeGuard Enterprise erzeugten Zertifikate benutzt Dies sind die Unternehmens und Maschinenzertifikate sowie die Sicherheitsbeauftragten und Benutzerzertifikate 3 Klicken Sie auf Weiter Das neu angelegte Unternehmenszertifikat wird in der Datenbank gespeichert Erstellen Sie eine Sicherungskopie des Unternehmenszertifikats und legen Sie diese direkt nach der Erstkonfiguration an einem sicheren Speicherort ab F r Informationen zum Wiederherstellen einer besch digten Datenbankkonfiguration siehe Wiederherstellen einer besch digten Datenbankkonfiguration Seite 44 Abschlie en der Erstkonfigurat
19. die erstmalige Einrichtung der Management Komponenten einschlie lich Standardrichtlinien Um den SGN Install Advisor f r neue SafeGuard Enterprise Installationen aufzurufen starten Sie SGNInstallAdvisor bat aus Ihrer Produktlieferung Ein Assistent f hrt Sie durch die Installation E Aktualisierung F hren Sie die in dieser Anleitung beschriebenen Schritte durch Hinweis Nutzen Sie auch die M glichkeit SafeGuard Enterprise ber Video Tutorials kennen zu lernen Sie zeigen die Installation von SafeGuard Enterprise und stellen die Arbeit mit dem SafeGuard Management Center vor Weitere Informationen finden Sie auf unserer Website http www sophos com 2 1 Installationschritte Um SafeGuard Enterprise zu installieren f hren Sie die beschriebenen Installationsschritte durch Hinweis SafeGuard Enterprise for Windows unterst tzt keine Apple Hardware und kann nicht in einer Boot Camp Umgebung installiert werden Alle SafeGuard Enterprise Komponenten msi Pakete finden Sie in der Produktlieferung Schritt Beschreibung Paket Tool Installieren Sie NET Framework 4 mit ASP NET 4 2 Richten Sie Internet Information Services IIS f r die Anwendung mit SafeGuard Enterprise ein Hinweis Dieser Schritt ist nur erforderlich wenn Sie beim Standalone Betrieb administrative Ma nahmen im SafeGuard Management Center protokollieren wollen oder wenn Sie SafeGuard Enterprise im zentral verwalteten Modus betreiben wollen
20. entweder per Skript oder im SafeGuard Management Center k nnen die Zugriffsrechte wieder ge ndert werden Da es m glich ist einem Benutzer f r eine Datenbank unterschiedliche Rollen und Berechtigungen zuzuweisen sind nur die Mindestrechte f r die Herstellung einer Verbindung zur SafeGuard Enterprise Datenbank erforderlich 1 ffnen Sie SQL Server Management Studio Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an 2 ffnen Sie den Objekt Explorer doppelklicken Sie auf Sicherheit und dann auf Anmeldungen 3 Klicken Sie mit der rechten Maustaste auf den erforderlichen Benutzer und klicken Sie dann auf Eigenschaften 4 W hlen Sie Benutzerzuordnung auf der linken Seite W hlen Sie unter Users mapped to this login Benutzer die dieser Anmeldung zugeordnet sind die Datenbank SafeGuard 5 Stellen Sie unter Database role membership for Datenbankrollenmitgliedschaft f r die Zugriffsrechte f r die Benutzung der SafeGuard Enterprise Datenbank ein w hlen Sie db_datareader db_datawriter und public 6 Klicken Sie auf OK berpr fung von Einstellungen f r SQL Dienste Named Pipes und TCP IP Diese Beschreibung bezieht sich auf Microsoft Windows Server 2008 R2 und Microsoft SQL Server 2008 Standard oder Express Edition 1 ffnen Sie den SQL Server Konfigurations Manager 2 W hlen Sie in der Navigationsstruktur auf der linken Seite SQL Server Dienste 3 berpr fen Sie ob der Status von SQL Serve
21. herstellen verlieren ihre Benutzer Computer Zuordnung Dies hat zur Folge dass die Power on Authentication vor bergehend ausgeschaltet ist Challenge Response Mechanismen stehen erst dann wieder zur Verf gung wenn der entsprechende Endpoint seine Schl sselinformationen wieder erfolgreich bertragen hat So stellen Sie eine besch digte Datenbank wieder her 1 Installieren Sie das SafeGuard Management Center Installationspaket neu ffnen Sie das SafeGuard Management Center Der Konfigurationsassistent wird automatisch ge ffnet 2 W hlen Sie auf der Datenbankverbindung Seite die Option Neue Datenbank erstellen Konfigurieren Sie unter Datenbankeinstellungen die Verbindung zur Datenbank Klicken Sie auf Weiter 3 W hlen Sie auf der Seite Daten des Sicherheitsbeauftragten den relevanten Haupt Sicherheitsbeauftragten und klicken Sie auf Importieren 4 Suchen Sie unter Importieren des Zertifikats die gesicherte Schl sseldatei Geben Sie unter Kennwort der Datei das f r diese Datei festgelegte Kennwort ein und best tigen Sie es W hlen Sie Schl sseldatei im Zertifikatsspeicher speichern und geben Sie das Kennwort f r den Speicher ein Klicken Sie auf OK 5 Das Zertifikat des Haupt Sicherheitsbeauftragten wird importiert Klicken Sie auf Weiter Installationsanleitung 6 Aktivieren Sie auf der Seite Unternehmenszertifikat die Option ber vorhandenes Unternehmenszertifikat wiederherstellen Klicken Sie auf Importieren um
22. nach E inetpub E SafeGuard Enterprise Server Web Dateien nach F mycompany web Hinweis Nach dem Verschieben der Web Dateien m ssen Sie die Pfadinformationen im IIS Manager entsprechend aktualisieren Einstellen von NTFS Berechtigungen Computer auf denen Windows Server 2003 mit SP1 l uft bestimmen anhand der NTFS Dateisystemberechtigungen die Zugriffsrechte die ein Benutzer oder ein Prozess an einer spezifischen Datei oder einem Ordner besitzt Sie sollten daher NTFS Berechtigungen 19 SafeGuard Enterprise zuweisen um den Website Zugriff bestimmten Benutzern auf dem IIS Server zu erlauben oder zu verweigern F r die Musterkonfiguration lauten die minimalen NTFS Berechtigungen wie folgt Benutzer Verzeichnis Administratoren System NTFS Berechtigungen f r E inetpub Vollzugriff NTFS Berechtigungen f r F mycompany web Vollzugriff Benutzer Ausf hren Ausf hren F r Benutzer k nnen Sie ein anderes Konto oder eine andere Gruppe einstellen unter der Voraussetzung dass dies auf dem IIS Server zur Verf gung gestellt wird In diesem Fall m ssen Sie das Konto IUSR_SERVERNAME auf dem IIS Server entsprechend aktualisieren Die NTFS Berechtigungen f r Dateitypen lauten wie folgt DEIGLAN CGI Dateien exe dll cmd pl Empfohlene NTF Berechtigungen Administratoren Vollzugriff System Vollzugriff Jeder Benutzer Ausf hren Skript Dateien asp Administ
23. und die vorhandene Datenbank sowie das gesicherte Haupt Sicherheitsbeauftragten Zertifikat verwenden m Das Unternehmenszertifikat und das Haupt Sicherheitsbeauftragten Zertifikat der betreffenden Datenbankkonfiguration m ssen als p12 Dateien exportiert worden sein Die Dateien m ssen vorhanden und g ltig sein m Die Kennw rter f r die beiden p12 Dateien und f r den Zertifikatsspeicher m ssen Ihnen bekannt sein So stellen Sie eine besch digte SafeGuard Management Center Installation wieder her 1 Installieren Sie das SafeGuard Management Center Installationspaket neu ffnen Sie das SafeGuard Management Center Der Konfigurationsassistent wird automatisch ge ffnet 2 W hlen Sie auf der Seite Datenbankverbindung den relevanten Datenbankserver und konfigurieren Sie falls erforderlich die Verbindung zur Datenbank Klicken Sie auf Weiter 3 Aktivieren Sie auf der Seite Datenbankeinstellungen die Option Folgende bestehende Datenbank verwenden und w hlen Sie die Datenbank aus der Liste aus 4 F hren Sie auf der Seite Daten des Sicherheitsbeauftragten Seite einen der folgenden Schritte aus E Wenn die gesicherte Zertifikatsdatei auf dem Computer gefunden wird wird sie angezeigt Geben Sie das Kennwort ein das Sie zur Anmeldung an das SafeGuard Management Center benutzen 43 SafeGuard Enterprise 5 11 44 E Wird die gesicherte Zertifikatsdatei nicht auf dem Computer gefunden w hlen Sie Importieren Suchen Si
24. 2008 dynamischer Port Port 1433 TCP und Port 1434 TCP Active Directory Port 389 TCP SLDAP Port 636 f r den Active Directory Import Der SafeGuard Enterprise Server muss folgende Verbindungen aufbauen Installationsanleitung SafeGuard Enterprise Server Verbindung zu SQL Datenbank Port 1433 TCP und Port 1434 TCP f r SQL 2005 Express dynamischer Port Active Directory Port 389 TCP 6 1 2 Authentisierungsmethode 1 ffnen Sie auf dem Computer auf dem SafeGuard Enterprise Server installiert ist den Internet Information Services IIS Manager 2 Klicken Sie in der Baumstruktur auf Internet Information Services Manager Klicken Sie auf Servername Websites Standard Website 3 Klicken Sie mit der rechten Maustaste auf SGNSRV und klicken Sie auf Eigenschaften 4 Klicken Sie auf die Registerkarte Verzeichnissicherheit 5 Klicken Sie unter Authentifizierung und Zugriffssteuerung auf Bearbeiten In Authentifizierungsverfahren w hlen Sie Anonymen Zugriff aktivieren Deaktivieren Sie unter Authentifizierter Zugriff das Kontrollk stchen Integrierte Windows Authentifizierung 6 1 3 Proxyserver Einstellungen f r Webserver und Endpoint Definieren Sie die Proxyserver Einstellungen wie folgt 1 Klicken Sie im Internet Explorer im Extras Men auf Internetoptionen Klicken Sie auf Verbindungen und dann auf LAN Einstellungen 2 Deaktivieren Sie in LAN Einstellungen unter Proxyserver das Kontrollk stchen
25. 5 60 gt 5 60 2 MigrateSGN560_SGN560_VS Nf fD sql ausf hren Wenn Sie w hrend der Installation den Standard Datenbanknamen ge ndert haben ndern Sie den Befehl USE SafeGuard im Skript entsprechend W hlen Sie im Fenster Datenbankeigenschaften Fenster die Seite Optionen auf der linken Seite W hlen Sie unter Status Zugriff beschr nken den Modus MULTI_USER Aktualisieren Sie eine Instanz des SafeGuard Management Center indem Sie die aktuelle Version des SafeGuard Management Center Installationspakets SGNManagementCenter msi aus dem Install Ordner des Produkts installieren Starten Sie das aktualisierte SafeGuard Management Center Die Datenbank Konsistenz wird nun automatisch gepr ft Wenn Fehler bei den kryptographischen Pr fsummen von einigen Tabellen gefunden werden werden Warnungsmeldungen angezeigt Um die Tabellen zu reparieren w hlen Sie im entsprechenden Dialog Reparieren Die Pr fsummen f r die ge nderten Tabellen werden neu berechnet Die aktuelle Version der SafeGuard Enterprise Datenbank ist einsatzbereit Aktualisieren von replizierten SafeGuard Enterprise Datenbanken Wenn die SafeGuard Enterprise Datenbank zu einer neueren Version aktualisiert werden soll und replizierte Datenbanken verwendet werden empfehlen wir die replizierten Datenbanken zu deinstallieren bevor Sie mit der Aktualisierung der Master Datenbank beginnen F r die Aktualisierung von SafeGuard Enterprise Datenbanken ist die Aus
26. ClientRuntime_x64 msi for Window 7 64 Bit 3 Legen Sie fest auf welchem Volume der Festplatte die Vollversion des SafeGuard Enterprise Clients installiert werden soll In Zusammenhang mit SafeGuard Enterprise ist dieses Volume als prim re Windows Installation definiert Es kann jeweils nur eine prim re Windows Installation geben Verwenden Sie folgendes Paket SGNClient msi f r Windows 7 32 Bit oder SGNClient_x64 msi f r Window 7 64 Bit 4 Bereiten Sie die Computer f r die Verschl sselung vor siehe Vorbereiten der Endpoints f r die Verschl sselung Seite 56 Installieren von SafeGuard Runtime 1 W hlen Sie das die gew nschte n sekund re n Volume s der Festplatte aus auf dem denen Sie SafeGuard Enterprise Runtime Client installieren m chten 2 Starten Sie die sekund re Windows Installation auf dem ausgew hlten Volume 3 Installieren Sie das Runtime Installationspaket auf dem ausgew hlten Volume 4 bernehmen Sie die Standardeinstellungen im n chsten Dialog des Installers Sie m ssen keine speziellen Features ausw hlen 5 W hlen Sie einen Installationsordner f r die Runtime Installation 6 Klicken Sie auf Beenden um die Runtime Installation abzuschlie en 7 W hlen Sie das prim re Volume der Festplatte auf dem Sie die SafeGuard Enterprise Verschl sselungssoftware installieren m chten 8 Starten Sie die prim re Windows Installation auf dem ausgew hlten Volume 9 Starten Sie das Pr Installa
27. Datenbank auf mehrere SQL Server replizieren F r Informationen zum Einrichten der Datenbankreplikation siehe Replikation der SafeGuard Enterprise Datenbank Seite 75 Sie k nnen mehrere SafeGuard Enterprise Datenbanken f r unterschiedliche Mandanten z B Firmenstandorte Organisationseinheiten oder Dom nen einrichten und verwalten F r Informationen zur Konfiguration von Multi Tenancy siehe Multi Tenancy Konfigurationen Seite 34 Hinweis Wir empfehlen den Einsatz eines permanenten Online Backups f r die Datenbank F hren Sie ein regelm iges Backup Ihrer Datenbank durch um Schl ssel Unternehmenszertifikate und Benutzer Computer Zuordnungen zu sichern Beispiele f r empfohlene Backup Zyklen nach dem Erstimport der Daten nach gr eren nderungen oder in turnusm igen Abst nden z B w chentlich oder t glich Datenbank Authentisierung Um auf die SafeGuard Enterprise Datenbank zuzugreifen muss sich der erste Sicherheitsbeauftragte des SafeGuard Management Centers am SQL Server authentisieren Es gibt folgende M glichkeiten mM Windows Authentisierung Ernennen Sie einen vorhandenen Windows Benutzer zum SQL Benutzer E SQL Authentisierung Richten Sie ein SQL Benutzerkonto ein Fragen Sie Ihren SQL Administrator welche Form der Authentisierung f r Sie als Sicherheitsbeauftragter vorgesehen ist Sie ben tigen diese Information vor der Erzeugung der Datenbank und vor der Erstkonfiguration des SafeGuard Manageme
28. Endpoints mit Windows 7 Das Feature dient zur Anmeldung ber den Credential Provider Client BaseEncryption SectorBasedEncryption SafeGuard Festplattenverschl sselung Client SecureDataExchange SafeGuard dateibasierende Verschl sselung 9 5 3 6 Beispielbefehl SafeGuard Festplattenverschl sselung Folgendes wird durch den Befehl installiert E Die Endpoints werden mit den notwendigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware ausgestattet E Anmeldung an die Endpoints mit dem Windows 7 Credential Provider E SafeGuard Enterprise Power on Authentication POA E SafeGuard Enterprise Festplattenverschl sselung volume basierend E Konfigurationspaket das den Endpoint als Standalone Endpoint konfiguriert E Log Dateien werden erzeugt 68 Installationsanleitung 9 6 9 7 Beispielbefehl msiexec i F Software SGxClientPreinstall msi qn log I Temp SGxClientPreinstall 1log msiexec i F Software SGNClient msi qn log I Temp SGNClient log ADDLOCAL Client Authentication CredentialProvider BaseEncryption SectorBasedEncryption Installdir C Program Files Sophos SafeGuard Enterprise msiexec i F Software SGNConfig_unmanaged msi qn log I Temp SGNConfig_unmanaged loqg Installation gem FIPS Die FIPS Zertifizierung beschreibt Sicherheitsanforderungen f r Verschl sselungsmodule So stellen z B Beh rde
29. Gibt an dass es sich um eine Installation handelt Installationsanleitung Beschreibung qn Installiert ohne Benutzerinteraktion und zeigt keine Benutzeroberfl che an ADDLOCAL Listet die Sophos SafeGuard Features auf die installiert werden Wird die Option nicht angegeben werden alle Features installiert die f r eine Standardinstallation vorgesehen sind Eine Liste der Sophos SafeGuard Features in den einzelnen Installationspaketen und Informationen zu deren Verf gbarkeit je nach Endpoint Konfiguration finden Sie unter Installationspakete und Features Seite 60 F r eine Liste der Feature Parameter f r die ADDLOCAL Option siehe Feature Parameter f r die ADDLOCAL Option Seite 67 ADDLOCAL ALL Installiert alle verf gbaren SafeGuard Enterprise Features REBOOT Force Erzwingt oder unterdr ckt einen Neustart nach der Installation ReallySuppress Ohne Angabe wird der Neustart erzwungen Force L lt path filename gt Protokolliert alle Warnungen und Fehlermeldungen in die angegebene Protokolldatei Der Parameter Le lt Pfad Dateiname gt protokolliert ausschlie lich Fehlermeldungen Installdir Gibt das Verzeichnis an in das die SafeGuard Enterprise lt Verzeichnis gt Verschl sselungssoftware installiert werden soll Ohne Angabe wird als Standardinstallationsverzeichnis lt SYSTEM gt PROGRAMME SOPHOS verwendet 9 5 3 4 Feature Parameter f r die ADDLOCAL Option Sie m ssen Sie be
30. Hinweis Beachten Sie dass bei der Kombination beider Verfahren die manuell angelegten Organisationseinheiten nicht im AD abgebildet werden Wenn in SafeGuard Enterprise Installationsanleitung 5 9 5 10 angelegte Organisationseinheiten im AD abgebildet werden sollen so m ssen Sie diese separat zum AD hinzuf gen Weitere Informationen zum Importieren oder Anlegen einer Organisationsstruktur finden Sie in der SafeGuard Enterprise Administratorhilfe im Kapitel Aufbau der Organisationsstruktur Importieren der Lizenzdatei SafeGuard Enterprise hat einen integrierten Lizenzz hler Die Installation umfasst standardm ig f r jede SafeGuard Enterprise Komponente eine festgelegte Anzahl von 5 Lizenzen Dadurch soll eine problemlose Evaluierung von anderen SafeGuard Enterprise Komponenten ohne Nebeneffekte gew hrleistet werden Beim Kauf von SafeGuard Enterprise enth lt jeder Kunde eine individuelle Lizenzdatei f r das jeweilige Unternehmen die in das SafeGuard Management Center importiert werden muss Detaillierte Informationen hierzu finden Sie im Kapitel Lizenzen der SafeGuard Enterprise Administratorhilfe Wiederherstellen einer besch digten SafeGuard Enterprise Installation Wenn eine SafeGuard Management Center Installation besch digt jedoch die Datenbank noch intakt ist kann die Installation auf einfache Art und Weise wiederhergestellt werden In diesem Fall m ssen Sie nur das SafeGuard Management Center neu installieren
31. Konfigurationspaket MSI an 9 Klicken Sie auf Konfigurationspaket erstellen Das Konfigurationspaket MSI wird im angegebenen Verzeichnis angelegt Im n chsten Schritt verteilen Sie das Paket an die Endpoints zur Installation Erzeugen eines Konfigurationspakets f r Standalone Computer 1 Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete 2 W hlen Sie Pakete f r Standalone Clients 3 Klicken Sie auf Konfigurationspaket hinzuf gen Installationsanleitung 9 4 3 4 Geben Sie einen beliebigen Namen f r das Konfigurationspaket ein 5 Geben Sie eine zuvor im SafeGuard Management Center erstellte Richtliniengruppe an die f r die Computer gelten soll 6 Geben Sie unter Speicherort f r Schl ssel Sicherungskopie einen freigegebenen Netzwerkpfad f r das Speichern der Schl ssel Recovery Datei an oder w hlen Sie einen Netzwerkpfad aus Geben Sie den freigegebenen Pfad in folgender Form ein network computer zum Beispiel mycompany edu Wenn Sie hier keinen Pfad angeben wird der Benutzer beim ersten Anmelden am Endpoint nach der Installation gefragt wo die Schl sseldatei gespeichert werden soll Die Schl ssel Recovery Datei XML wird f r die Durchf hrung von Recovery Vorg ngen bei durch Sophos SafeGuard gesch tzten Computern ben tigt Sie wird auf allen durch Sophos SafeGuard gesch tzten Computern erzeugt Hinweis Stellen Sie sicher dass diese Schl ssel Recovery Datei
32. Konfigurationspakete k nnen im Rahmen einer zentralen Softwareverteilung nur einem Endpoint zugewiesen werden nicht aber einem Benutzer E Verwenden Sie f r jedes Paket ein separates Gruppenrichtlinienobjekt GPO und sortieren Sie die Objekte in der korrekten Reihenfolge Kompatibilit tskomponente Pr Installationspaket Verschl sselungssoftware Paket Endpoint Konfigurationspaket F r weitere Informationen zur den Paketen siehe Vorbereiten des Installationsskripts Seite 64 E Wenn die Sprache des Endpoints nicht auf Deutsch gestellt ist f hren Sie zus tzlich folgendes aus W hlen Sie im Gruppenrichtlinien Editor das entsprechende Gruppenobjekt aus und w hlen Sie dann Computerkonfiguration gt Softwareeinstellungen gt Erweitert W hlen Sie im Dialog Erweiterte Bereitstellungsoptionen Sprache beim Bereitstellen dieses Pakets ignorieren und klicken Sie OK 9 5 3 2 Vorbereiten des Installationsskripts Voraussetzungen m Die Endpoints m ssen f r die Verschl sselung vorbereitet sein m Entscheiden Sie welches Verschl sselungspaket und welche Features installiert werden sollen So f hren Sie eine zentrale Installation der Verschl sselungssoftware durch 1 Erstellen Sie ein Verzeichnis mit der Bezeichnung Software als zentralen Speicherort f r alle Anwendungen 64 Installationsanleitung 2 Verwenden Sie Ihre eigenen Tools um das Installationspaket zu erstellen das auf den Endpoints installiert werden so
33. QL Server 2008 Standard Edition Als SQL Administrator ben tigen Sie das Recht zum Erstellen einer Datenbank 1 Kopieren Sie die Skripte CreateDatabase sql und CreateTables sql aus der SafeGuard Enterprise Produktlieferung auf den SQL Server 2 Doppelklicken Sie auf dem Skript CreateDatabase sql Das Programm SQL Server Management Studio wird aufgerufen 3 Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an 4 berpr fen Sie ob die beiden Zielpfade die zu Beginn des Skripts unter FILENAME MDF LDF angegeben sind auf der lokalen Festplatte vorhanden sind Korrigieren Sie sie wenn n tig 5 Klicken Sie auf die Schaltfl che Ausf hren in der Symbolleiste um die Datenbank zu erzeugen Sie haben die Datenbank SafeGuard angelegt Erzeugen Sie anschlie end die Tabellen mit Hilfe des Skripts CreateTables sql aus der Produktlieferung 6 Doppelklicken Sie auf CreateTables sql Ein weiterer Bereich wird in Microsoft SQL Server Management Studio ge ffnet 7 Geben Sie am Beginn des Skripts use SafeGuard ein um die SafeGuard Enterprise Datenbank auszuw hlen in der die Tabellen erstellt werden sollen Installationsanleitung 4 3 4 4 8 Klicken Sie auf die Schaltfl che Ausf hren um die Datenbank zu erzeugen Die SafeGuard Enterprise Datenbank und die zugeh rigen Tabellen sind erzeugt ndern der Zugriffsrechte f r die SafeGuard Enterprise Datenbank Nach dem Erstellen der SafeGuard Enterprise Datenbank
34. WebService gt OK lt WebService gt lt DBAuth gt OK lt DBAuth gt lt Dataroot gt lt string gt Installationsanleitung 7 Sichern von Transportverbindungen mit SSL 7 1 Hinweis Wenn Sie SafeGuard Enterprise im Standalone Modus betreiben wollen m ssen Sie nur die Transportverbindung zwischen dem SafeGuard Enterprise Datenbank Server und dem SafeGuard Management Center wie in diesem Kapitel beschrieben sichern Wenn Sie SafeGuard Enterprise im zentral verwalteten Modus betreiben wollen f hren Sie alle in diesem Kapitel beschriebenen Aufgaben aus SafeGuard Enterprise unterst tzt zur Erh hung der Sicherheit die Verschl sselung der Transportverbindungen zwischen den einzelnen Komponenten mit SSL E Die Verbindung zwischen dem Datenbankserver und dem Web Server sowie die Verbindung zwischen dem Datenbankserver und dem Computer auf dem das SafeGuard Management Center installiert ist kann mit SSL verschl sselt werden E Die Verbindung zwischen dem SafeGuard Enterprise Server und dem von SafeGuard Enterprise verwalteten Computer kann entweder mit SSL oder mit SafeGuard spezifischer Verschl sselung verschl sselt werden Der Vorteil bei SSL ist dass es ein Standardprotokoll ist und daher eine schnellere Verbindung aufgebaut werden kann als mit der SafeGuard Transportverschl sselung Hinweis Wir empfehlen dringend SSL verschl sselte Kommunikation zu verwenden es sei denn es handelt sich um Demo oder Test Installationen Falls
35. aften Sie k nnen die Eigenschaften und Einstellungen f r jeden registrierten Server und seine Datenbankverbindung jederzeit ndern 1 W hlen Sie den gew nschten Server in der Registerkarte Server des SafeGuard Management Center Konfigurationspakete Werkzeugs 2 Gehen Sie wie folgt vor Element Beschreibung Skript ausf hren Klicken Sie hier um die Verwendung von SafeGuard Enterprise Management API zu erm glichen Dies erm glicht die Ausf hrung von administrativen Aufgaben ber Skripte Server Rollen Klicken Sie hier um eine verf gbare Sicherheitsbeauftragtenrolle f r den ausgew hlten Server zu aktivieren deaktivieren Server Rolle Klicken Sie hier um weitere spezifische hinzuf gen Sicherheitsbeauftragtenrollen f r den ausgew hlten Server hinzuzuf gen falls erforderlich Sie werden dazu aufgefordert das Serverzertifikat auszuw hlen Die Sicherheitsbeauftragtenrolle wird hinzugef gt und kann unter Server Rollen angezeigt werden Datenbankverbindung Klicken Sie auf um die Verbindung zur Datenbank f r jeden registrierten Server zu konfigurieren Hier k nnen Sie auch die Anmeldeinformationen f r die Datenbank und die Transportverschl sselung zwischen Web Server und Datenbankserver festlegen F r weitere Informationen siehe Konfigurieren der Datenbankserver Verbindung Seite 34 Selbst wenn die Pr fung der Datenbankverbindung nicht erfolgreich ist kann ein neues Server Konfigurationspa
36. an einem Speicherort abgelegt wird auf den die Mitarbeiter des Helpdesk Zugriff haben Die Dateien k nnen dem Helpdesk auch durch andere Mechanismen zug nglich gemacht werden Die Datei ist mit dem Unternehmenszertifikat verschl sselt Sie kann also auch auf externen Medien oder auf dem Netzwerk gespeichert werden um sie dem Helpdesk f r Recovery Vorg nge zur Verf gung zu stellen Sie kann auch per E Mail verschickt werden 7 Unter POA Gruppe k nnen Sie eine POA Gruppe ausw hlen die dem Endpoint zugeordnet wird POA Benutzer k nnen f r administrative Aufgaben auf den Endpoint zugreifen nachdem die Power on Authentication aktiviert wurde Um POA Benutzer zuzuweisen m ssen Sie die POA Gruppe zun chst im Bereich Benutzer amp Computer des SafeGuard Management Center anlegen 8 Geben Sie einen Ausgabepfad f r das Konfigurationspaket MSI an 9 Klicken Sie auf Konfigurationspaket erstellen Das Konfigurationspaket MSI wird im angegebenen Verzeichnis angelegt Im n chsten Schritt verteilen Sie das Paket an die Endpoints zur Installation Service Accounts f r die Durchf hrung von Aufgaben nach der Installation Wenn Sie SafeGuard Enterprise ber einen zentralen Rollout Vorgang installieren m chten empfehlen wir die Konfiguration einer Service Account Liste Ein IT Administrator der zu einer Service Account Liste hinzugef gt wurde kann sich nach der Installation von SafeGuard Enterprise an Endpoints anmelden ohne die Pow
37. ationspakete Funktion im SafeGuard Management Center SafeGuard Enterprise Schritt Enterprise im zentral verwalteten Modus betreiben wollen Beschreibung Erstellen Sie die Organisationsstruktur aus Active Directory oder manuell Paket Tool SafeGuard Management Center Vorbereiten der Endpoints f r die Verschl sselung Erstellen Sie das erste Konfigurationspaket f r die Endpoint Konfiguration SGxClientPreinstall msi Konfigurationspakete Funktion im SafeGuard Management Center Installation der Verschl sselungssoftware und des Konfigurationspakets auf den Endpoints 2 2 Handlungsschritte f r Runtime Systeme F r Informationen zu den verf gbaren Paketen siehe Installationspakete und Features Seite 60 Ein Runtime System erm glicht das Booten von einem sekund ren Boot Laufwerk wenn mehrere Betriebssysteme installiert sind und erlaubt den Zugriff auf diese Laufwerke wenn diese durch eine SafeGuard Enterprise Installation verschl sselt sind Diese L sung steht sowohl f r zentral verwaltete Endpoints als auch f r Standalone Endpoints die durch SafeGuard Enterprise gesch tzt sind zur Verf gung Hinweis SafeGuard Enterprise for Windows unterst tzt keine Apple Hardware und kann nicht in einer Boot Camp Umgebung installiert werden Um SafeGuard Enterprise auf mehreren Betriebssystemen zu installieren f hren Sie die folgenden Installationsschritte durch Schri
38. das Volume das entschl sselt werden soll und klicken Sie dann auf Verschl sselung gt Entschl sselung Stellen Sie sicher dass die Verschl sselung erfolgreich abgeschlossen werden konnte Hinweis Endpoints k nnen w hrend der Verschl sselung Entschl sselung heruntergefahren und neu gestartet werden Wenn auf die Entschl sselung die Deinstallation folgt empfehlen wir den Endpoint nicht in einen Energiesparmodus oder den Ruhezustand zu versetzen Starten der Deinstallation Folgende Voraussetzungen m ssen erf llt sein Verschl sselte Daten m ssen korrekt entschl sselt werden damit nach der Deinstallation Zugriff auf die Daten besteht Der Entschl sselungsvorgang muss abgeschlossen sein Die korrekte Entschl sselung ist besonders wichtig wenn die Deinstallation von Active Directory ausgel st wird Alle verschl sselten Medien m ssen vor der Deinstallation des letzten durch SafeGuard Enterprise gesch tzten Endpoint entschl sselt werden Andernfalls besteht die Gefahr dass Benutzer nicht mehr auf Ihre Daten zugreifen k nnen Solange die SafeGuard Enterprise 87 SafeGuard Enterprise 88 Datenbank zur Verf gung steht k nnen die Daten auf den Wechselmedien wiederhergestellt werden F r die Deinstallation der SafeGuard Festplattenverschl sselung m ssen alle volume basierend verschl sselten Volumes einen Laufwerksbuchstaben haben Deinstallieren Sie jeweils immer das komplette Paket mit allen installier
39. ddress gt sgnsrv Wenn die Trans Seite mit dem Eintrag Check Connection erscheint ist die Verbindung zum SafeGuard Enterprise Server hergestellt Vorbereiten einer ndern Installation Wenn Sie eine vorhandene SafeGuard Enterprise Installation ndern oder bestimmte Module zu einem sp teren Zeitpunkt installieren meldet das Installationsprogramm u U dass bestimmte Komponenten z B SafeGuard RemovableMedia Manager derzeit benutzt werden Diese Meldung wird dadurch verursacht dass diese Module gemeinsame Komponenten benutzen die derzeit verwendet werden und daher nicht sofort aktualisiert werden k nnen Diese Meldung kann ignoriert werden da die betroffenen Komponenten beim Neustart des Computers ohnehin aktualisiert werden Dieses Verhalten gilt f r die Installation in berwachtem und nicht berwachtem Modus 57 SafeGuard Enterprise 9 4 Erzeugen von Konfigurationspaketen 9 4 1 9 4 2 58 Erzeugen Sie je nach erforderlicher Konfiguration die passenden Konfigurationspakete f r die Endpoints im SafeGuard Management Center E F r zentral verwaltete Windows Endpoints Pakete f r Managed Clients E F r Standalone Windows Endpoints Pakete f r Standalone Clients E Wenn Sie Service Accounts f r IT Aufgaben nach der Installation verwenden sowohl auf zentral verwalteten Endpoints als auch auf Standalone Endpoints Das erste Konfigurationspaket muss auf den Endpoints zusammen mit der Verschl sselungssoftware i
40. der IIS Server angegriffen wird Deaktivieren Sie alle unn tigen Einstellungen Installationsanleitung 3 3 2 3 3 3 3 3 4 Der IIS Server l uft mit SafeGuard Enterprise Server mit den folgenden minimalen Komponenten E Gemeinsame Dateien E Internetinformationsdienste Manager IIS Manager BE WWW Publishingdienst Nur notwendige Webdiensterweiterungen aktivieren Stellen Sie sicher dass nur notwendige Webdiensterweiterungen aktiviert werden Dadurch reduziert sich das Risiko dass der IIS Server angegriffen wird Deaktivieren Sie alle unn tigen Einstellungen Die folgenden Einstellungen sind notwendig damit der IIS Server mit dem SafeGuard Enterprise Server l uft Webdiensterweiterungen E ASP NET v 1 1 4322 und 2 0 50727 Prohibited E ASP NET v 2 50727 Allowed Website Inhalte auf eigener Partition IIS speichert die Dateien f r seine Default Website in folgendem Ordner systemroot inetpub wwwroot systemroot ist das Laufwerk auf dem das Windows Server 2003 Betriebssystem installiert ist Verschieben Sie alle Dateien und Ordner f r Websites und Applikationen auf eigene Partitionen die vom Betriebssystem getrennt sind Dies tr gt zur Verhinderung von Angriffen bei bei denen der Angreifer eine Anfrage nach einer Datei sendet die sich au erhalb der Verzeichnisstruktur des IIS Servers befindet F r die Musterkonfiguration k nnen die Dateien und Ordner wie folgt verschoben werden E IIS Web Dateien
41. die gesicherte Zertifikatsdatei auszuw hlen die das g ltige Unternehmenszertifikat enth lt Sie werden aufgefordert das f r den Zertifikatsspeicher definierte Kennwort einzugeben Geben Sie das Kennwort ein und klicken Sie auf OK Best tigen Sie die angezeigte Meldung mit Ja Das Unternehmenszertifikat wird importiert 7 Klicken Sie auf Weiter dann auf Beenden Die Datenbankkonfiguration ist wiederhergestellt 45 SafeGuard Enterprise 6 Testen der Kommunikation 6 1 6 1 1 46 Hinweis Sie m ssen die Aufgaben in diesem Kapitel nur ausf hren wenn Sie beim Standalone Betrieb administrative Ma nahmen im SafeGuard Management Center protokollieren wollen oder wenn Sie SafeGuard Enterprise im zentral verwalteten Modus betreiben wollen Wenn SafeGuard Enterprise Server die Datenbank und das SafeGuard Management Center eingerichtet sind sollten Sie einen Verbindungstest durchf hren Dieser Abschnitt beschreibt die erforderlichen Schritte Voraussetzungen Vor dem Verbindungstest m ssen folgende Einstellungen gemacht bzw gepr ft werden Ports Verbindungen Die Endpoints m ssen folgende Verbindungen aufbauen SafeGuard Endpoint Port Verbindung zu SafeGuard Enterprise Port 80 TCP Server Port 443 bei Benutzung der SSL Transportverbindung Das SafeGuard Management Center muss folgende Verbindungen aufbauen SafeGuard Port Management Center Verbindung zu SOL Daienhatik SQL Server 2005 SQL Server
42. dies nicht m glich ist und die SafeGuard spezifische Verschl sselung verwendet wird so gilt die Obergrenze von 1000 Clients die eine Verbindung mit einer Serverinstanz herstellen k nnen Bevor SSL f r SafeGuard Enterprise aktiviert werden kann muss eine funktionsf hige SSL Umgebung eingerichtet werden Einrichten von SSL Die folgenden allgemeinen Aufgaben m ssen f r die SSL Einrichtung auf dem Web Server durchgef hrt werden E Certificate Authority muss auf dem Server installiert sein um die bei der SSL Verschl sselung verwendeten Zertifikate auszustellen E Ein Zertifikat muss ausgestellt und der IIS Server so konfiguriert werden dass er SSL verwendet und auf das Zertifikat zeigt E Der Servername den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben muss identisch sein mit dem Servernamen den Sie vorab im SSL Zertifikat angegeben haben Sonst k nnen Client und Server nicht miteinander kommunizieren F r jeden SafeGuard Enterprise Server wird ein separates SSL Zertifikat ben tigt E Wenn Sie Network Load Balancer einsetzen vergewissern Sie sich dass der Portbereich den SSL Port mit einschlie t Weitere Informationen erhalten Sie von unserem technischen Support oder hier E http msdn2 microsoft com en us library ms998300 aspx 49 SafeGuard Enterprise 50 http support microsoft com default aspx scid kb en us 316898 https blogs msdn com sql_protocols archive 2005 11 10 491563 aspx
43. e Verschl sselung ein Legen Sie unter Benutzer und Computer eine Gruppe f r die Computer an die Sie entschl sseln m chten Rechtsklicken Sie auf den Dom nenkonten an dem Sie die Gruppe erstellen m chten W hlen Sie dann Neu gt Neue Gruppe erzeugen W hlen Sie den Dom nenknoten dieser Gruppe und weisen Sie die Entschl sselungsrichttlinie zu indem Sie die Richtlinie aus der Verf gbare Richtlinien Liste in die Registerkarte Richtlinien ziehen Aktivieren Sie die Richtlinie indem Sie jetzt die Gruppe aus der Liste der Verf gbaren Gruppen in den Bereich Aktivierung ziehen Stellen Sie in der Registerkarte Richtlinien des Dom nenknotens sicher dass die Priorit t auf 1 gesetzt und die Einstellung Kein berschreiben aktiviert ist Stellen Sie im Bereich Aktivierung des Dom nenknotens sicher dass nur Mitglieder der Gruppe von dieser Richtlinie betroffen sind W hlen Sie im Benutzer und Computer Navigationsbereich die Gruppe rechtsklicken Sie auf die im Aktionsbereich angezeigte Mitglieder Registerkarte und klicken Sie auf Hinzuf gen um die Computer die Sie entschl sseln m chten zur Gruppe hinzuzuf gen F hren Sie auf dem Endpoint der entschl sselt werden soll eine Synchronisierung mit dem SafeGuard Enterprise Server durch Damit stellen Sie sicher dass die Richtlinienaktualisierung auf dem Computer eingegangen und aktiv ist ffnen Sie den Windows Explorer Klicken Sie mit der rechten Maustaste auf
44. e en Sie den Dialog Eigenschaften f r Temp und schlie en Sie dann den Windows Explorer ffnen Sie den Internet Information Services Manager 10 W hlen Sie im Verbindungen Bereich auf der linken Seite die Anwendungspools f r den relevanten Server Knoten W hlen Sie aus der Anwendungspools Liste auf der rechten Seite SGNSRV Pool W hlen Sie im Aktionen Bereich auf der linken Seite Erweiterte Einstellungen Klicken Sie in Erweiterte Einstellungen unter Prozessmodell f r die Eigenschaft Identit t auf die Schaltfl che W hlen Sie in Identit t des Anwendungspools die Option Benutzerdefiniertes Konto und klicken Sie auf Festlegen Geben Sie in Anmeldeinformationen festlegen den relevanten Windows Benutzernamen in folgender Form ein Dom ne lt Windows Benutzername gt Geben Sie das entsprechende Windows Kennwort ein best tigen Sie es und klicken Sie auf OK W hlen Sie im Bereich Verbindungen auf der linken Seite den relevanten Server Knoten und klicken Sie im Aktionen Bereich auf Neu starten W hlen Sie im Bereich Verbindungen auf der linken Seite unter dem relevanten Server Knoten unter Sites Standard Websites die Option SGNSRV Doppelklicken Sie auf der SGNSRV Homepage in der Mitte auf Authentifizierung Klicken Sie mit der rechten Maustaste auf Anonyme Authentifizierung und w hlen Sie Bearbeiten W hlen Sie bei Identit t des anonymen Benutzers die Option Bestimmter Benutzer und berpr fen Sie ob
45. e in der Ereignistabelle miteinander so dass die Entfernung eines Eintrags sichtbar wird und ber eine Integrit tspr fung nachgewiesen werden kann Um den Integrit tsschutz zu nutzen m ssen 21 SafeGuard Enterprise Sie die Verkettung von protokollierten Ereignissen manuell aktivieren Detaillierte Informationen hierzu finden Sie im Kapitel Berichte der SafeGuard Enterprise Administrator Hilfe 22 Installationsanleitung 4 Einrichten einer SafeGuard Enterprise Datenbank 4 1 Hinweis Wenn nicht anders erw hnt gilt dieses Kapitel sowohl f r die zentral verwaltete Variante als auch f r die Standalone Variante von SafeGuard Enterprise SafeGuard Enterprise speichert alle relevanten Daten wie Schl ssel Zertifikate Informationen zu Benutzern und Computern Ereignisse und die Richtlinieneinstellungen in einer Datenbank Die SafeGuard Enterprise Datenbank basiert auf Microsoft SQL Server Pr fen Sie die Liste der aktuell unterst tzten SQL Server Typen im Abschnitt zu den Systemanforderungen in den Versionsinfos Sie k nnen die Datenbank entweder automatisch w hrend der Erstkonfiguration im SafeGuard Management Center oder manuell mit den in Ihrer Produktlieferung verf gbaren SQL Skripten einrichten W hlen Sie die geeignete Methode nach den Gegebenheiten in Ihrer Firmenumgebung F r weitere Informationen siehe Datenbankzugriffsrechte Seite 24 Zur Optimierung der Performance l sst sich die SafeGuard Enterprise
46. e nach der gesicherten Zertifikatsdatei und klicken Sie auf ffnen Geben Sie das Kennwort f r die Zertifikatsdatei ein Klicken Sie auf Ja Geben Sie ein Kennwort f r die Anmeldung am SafeGuard Management Center ein und best tigen Sie es 5 Klicken Sie auf Weiter und dann auf Fertig stellen um die Konfiguration des SafeGuard Management Center abzuschlie en Die SafeGuard Management Center Installation ist wiederhergestellt Wiederherstellen einer besch digten Datenbankkonfiguration Sie k nnen eine besch digte Datenbankkonfiguration wiederherstellen indem Sie das SafeGuard Management Center neu installieren und basierend auf den gesicherten Zertifikatsdateien eine neue Instanz der Datenbank erstellen Dadurch wird sichergestellt dass alle vorhandenen SafeGuard Enterprise Endpoints Richtlinien von der neuen Installation annehmen m Das Unternehmenszertifikat und das Haupt Sicherheitsbeauftragten Zertifikat der betreffenden Datenbankkonfiguration m ssen als p12 Dateien exportiert worden sein Die Dateien m ssen vorhanden und g ltig sein Erstellen Sie Zertifikate Backups im SafeGuard Management Center m Die Kennw rter f r die beiden p12 Dateien sowie f r den Zertifikatsspeicher m ssen Ihnen bekannt sein Hinweis Diese Art der Wiederherstellung ist nur dann zu empfehlen wenn keine g ltige Sicherungskopie der Datenbank verf gbar ist Alle Computer die eine Verbindung mit einem auf diese Weise wiederhergestellten Backend
47. efiniert E Standalone Sophos SafeGuard Clients Standalone Lokale Verwaltung durch im SafeGuard Management Center erstellte Konfigurationspakete F r Standalone Endpoints besteht nie eine Verbindung zum SafeGuard Enterprise Server Damit fehlt die Verbindung zur zentralen Verwaltung von SafeGuard Enterprise Sie werden im Standalone Modus betrieben Standalone Endpoints erhalten SafeGuard Enterprise Richtlinien ber Konfigurationspakete Diese Computer erhalten Richtlinien nie ber eine Verbindung zum SafeGuard Enterprise Server SafeGuard Enterprise Richtlinien werden im SafeGuard Management Center erstellt und in Konfigurationspakete exportiert Die Verteilung der Konfigurationspakete kann ber firmeneigene Software Verteilungsmechanismen erfolgen oder das Konfigurationspaket wird manuell auf den Endpoints installiert F r die verschiedenen Endpoint Typen stehen unterschiedliche Pakete und Module Features zur Verf gung Hinweis Einige Features sind nicht in allen Lizenzen enthalten F r Informationen dazu was in Ihrer Lizenz enthalten ist wenden Sie sich an Ihren Vertriebspartner 55 SafeGuard Enterprise 9 2 1 56 9 2 Einschr nkungen Beachten Sie die in den folgenden Abschnitten beschriebenen Einschr nkungen f r SafeGuard Enterprise auf Endpoints Einschr nkungen f r zentral verwaltete Endpoints Beachten Sie folgende Einschr nkungen f r zentral verwaltete Endpoints Finschr nkungen f r die Ini
48. en k nnen u U nur eingeschr nkt benutzt werden Es werden nur Boot Manager unterst tzt die nach der Power on Authentication aktiv werden Die Unterst tzung von Boot Managern von Drittanbietern wird nicht garantiert Wir empfehlen den Einsatz von Microsoft Boot Managern SafeGuard Enterprise Runtime kann nicht auf eine SafeGuard Enterprise Verschl sselungsinstallation in Vollversion aktualisiert werden Das Runtime Installationspaket muss vor der Installation der Vollversion des Enterprise Verschl sselungspakets installiert werden Es kann nur auf Volumes die mit dem definierten Computerschl ssel in SafeGuard Enterprise verschl sselt wurden zugegriffen werden Installationsanleitung 10 2 10 3 Vorbereitung Um SafeGuard Enterprise Runtime einzurichten f hren Sie die folgenden vorbereitenden Schritte in der angegebenen Reihenfolge durch 1 Stellen Sie sicher dass die Volumes auf denen SafeGuard Enterprise Runtime laufen soll zum Zeitpunkt der Installation sichtbar sind und mit ihrem Windows Namen z B C angesprochen werden k nnen 2 Legen Sie fest auf welchem Volume welchen Volumes der Festplatte SafeGuard Enterprise Runtime installiert werden soll In Zusammenhang mit SafeGuard Enterprise sind diese Volumes als sekund re Windows Installationen definiert Es k nnen mehrere sekund re Windows Installationen vorhanden sein Verwenden Sie folgendes Paket SGNClientRuntime msi for Window 7 32 Bit oder SGN
49. enancy w hlen Sie eine Installation vom Typ Vollst ndig aus F r weitere Informationen siehe Multi Tenancy Konfigurationen Seite 34 Das SafeGuard Management Center ist installiert Starten Sie Ihren ggf Computer neu Im n chsten Schritt f hren Sie die Erstkonfiguration im SafeGuard Management Center durch Anzeigen des SafeGuard Management Center Hilfesystems Das SafeGuard Management Center Hilfesystem wird in Ihrem Browser angezeigt Es bietet umfassende Features wie kontextsensitive Hilfe und Volltextsuche Das Hilfesystem ist f r die volle Funktionalit t der Inhaltsseiten konfiguriert und aktiviert JavaScript in Ihrem Browser Beim Microsoft Internet Explorer zeigt sich folgendes Verhalten E Windows XP Windows Vista Windows 7 Internet Explorer 6 7 8 Standardsicherheit Es wird keine Sicherheitsleiste angezeigt die angibt dass der Internet Explorer die Scripting Ausf hrung gesperrt hat JavaScript wird ausgef hrt m Windows 2003 Server Enterprise Edition Internet Explorer 6 Erweiterte Sicherheitskonfiguration Standardinstallationskonfiguration Eine Informationsbox gibt an dass die erweiterte Sicherheitskonfiguration aktiviert ist und die Seite das Scripting ausf hrt Sie k nnen diese Meldung deaktivieren JavaScript wird ausgef hrt Hinweis Auch wenn JavaScript deaktiviert ist k nnen Sie das SafeGuard Management Center Hilfesystem aufrufen und im System navigieren Bestimmte Funktionen z B Suchen
50. enn Sie diese Ausgabe erhalten onnection Microsoft Internet Explorer Datei Bearbeiten Eavoriten E 2 3 O arid Dr a suchen Favoriten Meden Ss B Adresse http localhost s6NSRV Trans asmx Checkconnection E Wechseln zu Links gt lt xml version 1 0 encoding utf 8 gt Fd lt string xmins http utimaco org gt lt Dataroot gt lt WebService gt 0K lt WebService gt lt DBAuth gt 0K lt DBAuth gt lt Dataroot gt lt string gt 6 3 Testen der Verbindung IIS 7 auf Windows Server 2008 5 ffnen Sie auf dem Computer auf dem SafeGuard Enterprise Server installiert ist den Internet Information Services IIS Manager Klicken Sie in der Baumstruktur auf Servername Seiten Standard Web Seite berpr fen Sie ob die Web Seite SGNSRV im Ordner Standard Web Seite verf gbar ist Klicken Sie mit der rechten Maustaste auf SGNSRV w hlen Sie Anwendung verwalten und klicken Sie auf Browse um die SGNSRV Home Seite Sophos SafeGuard Web Service zu ffnen Auf der Seite Sophos SafeGuard Web Service wird eine Liste mit m glichen Aktionen angezeigt Klicken Sie in dieser Liste auf CheckConnection Klicken Sie auf der CheckConnection Seite auf Aufrufen Der Verbindungstest war erfolgreich wenn Sie diese Ausgabe erhalten Era la Ra ER Wechseln zu Links gt lt xml version 1 0 encoding utf 8 gt lt string mins http utimaco org gt lt Dataroot gt lt
51. enter anmelden d rfen vorhanden sein F r die Anmeldung an das SafeGuard Management Center ist dann nur das Kennwort f r den Zertifikatsspeicher erforderlich 1 Installieren Sie SGNManagementCenter msi mit den gew nschten Features auf einem weiteren Computer 2 Starten Sie das SafeGuard Management Center auf dem Computer mit dem neu installierten SafeGuard Management Center Der Konfigurationsassistent wird gestartet und f hrt Sie durch die notwendigen Schritte 3 Klicken Sie auf der Willkommen Seite auf Weiter Installationsanleitung 4 W hlen Sie im Dialog Datenbankverbindung unter Datenbankserver die erforderliche SQL Datenbankinstanz aus der Liste aus Alle auf Ihrem Computer oder Netzwerk verf gbaren Datenbankserver werden angezeigt W hlen Sie unter Authentisierung die Art der Authentisierung die f r den Zugriff auf diese Datenbankinstanz benutzt werden soll Wenn Sie Folgende Anmeldeinformationen f r SQL Server Authentisierung anwenden w hlen geben Sie die SQL Benutzerkontenanmeldedaten ein die Ihr SQL Administrator erstellt hat Klicken Sie auf Weiter 5 Aktivieren Sie unter Datenbankeinstellungen die Option Folgende bestehende Datenbank verwenden und w hlen Sie die Datenbank aus der Liste aus Klicken Sie auf Weiter 6 W hlen Sie unter SafeGuard Management Center Authentisierung eine autorisierte Person aus der Liste aus Wenn Multi Tenancy aktiviert ist zeigt der Dialog an an welcher Konfiguration sich der B
52. enutzer anmeldet Geben Sie das Kennwort f r den Zertifikatsspeicher ein und best tigen Sie es Der Zertifikatsspeicher f r das aktuelle Benutzerkonto wird angelegt und ist durch dieses abgesichert F r die nachfolgenden Anmeldungen ben tigen Sie nur noch dieses Kennwort 7 Klicken Sie auf OK Eine Meldung dass Zertifikat und privater Schl ssel nicht gefunden bzw nicht darauf zugegriffen werden kann wird angezeigt 8 Klicken Sie zum Importieren der Daten auf Ja und dann auf OK Dadurch wird der Importvorgang gestartet 9 Klicken Sie unter Authentisierungs Schl sseldatei importieren auf die Schaltfl che und w hlen Sie die Schl sseldatei aus Geben Sie das Kennwort der Schl sseldatei ein Geben Sie das zuvor unter Kennwort des Zertifikatsspeichers oder Token PIN definierte Kennwort f r den Zertifikatsspeicher ein W hlen Sie In den Zertifikatsspeicher importieren oder Auf den Token kopieren um das Zertifikat auf einem Token zu speichern 10 Geben Sie zur Initialisierung des Zertifikatsspeichers das Kennwort noch einmal ein Zertifikat und privater Schl ssel befinden sich nun im Zertifikatsspeicher Zur Anmeldung an das SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet 5 7 Anmeldung am SafeGuard Management Center Die Anmeldung richtet sich danach ob Sie das SafeGuard Management Center im Single Tenancy Modus oder im Multi Tenancy Modus einsetzen Informationen zu den ersten Arbeit
53. er angelegt der sich anonym vom Client am SGNSRV Bereich auf dem IIS anmeldet Wenn der SafeGuard Enterprise Server auf dem IIS Server installiert wird wird der individualisierte Benutzer IUSR_SafeGuard angelegt Mit IUSR_SafeGuard k nnen Sie auch dann immer noch den anonymen Zugang zum SGNSRV Bereich nutzen wenn sich der IIS Hostname ndert Bei IIS 6 ist der Standardbenutzername TIUSR_MACHINENAME Wenn der IIS Hostname nach der Installation ge ndert wird stimmt er nicht mehr mit dem Standardbenutzernamen berein und der anonyme Zugang schl gt fehl Mit IUSR_SafeGuard haben Sie immer einen g ltigen Anmeldenamen auch wenn der IIS Hostname ge ndert wird Aktivieren der Speicherwiederverwendung bei IIS 6 Wenn Sie IIS 6 anwenden empfehlen wird Arbeitsprozesse wiederverwenden zu aktivieren 1 ffnen Sie den Internet Information Services Manager auf dem IIS Server 2 Doppelklicken Sie im IIS Manager auf Server lokaler Computer 3 Klicken Sie mit der rechten Maustaste auf Anwendungspools und dann auf Eigenschaften 4 Setzen Sie unter Speicherwiederverwendung folgende Werte a Maximaler virtueller Speicher 500 MB b Maximaler verwendeter Speicher 192 MB 5 Klicken Sie auf Anwenden und dann auf OK Die Speicherwiederverwendung ist nun bei IIS 6 aktiviert Hinweis Es ist nur ein Arbeitsprozess zul ssig Mehrere Arbeitsprozesse sind nur bei Anwendung von SSL zul ssig Installieren und Konfigurieren von IIS 7 7 5 auf M
54. er on Authentication zu aktivieren Ein solches Vorgehen ist empfehlenswert da normalerweise der erste Benutzer der sich nach der Installation an einem Endpoint anmeldet als prim res Benutzerkonto zur POA hinzugef gt wird Die in den Listen enthaltenen Benutzer werden als SafeGuard Enterprise Gastbenutzer behandelt Mit Service Accounts ergibt sich folgender Workflow E SafeGuard Enterprise wird auf einem Endpoint installiert E Der Endpoint wird neu gestartet und ein Rollout Beauftragter der in einer Service Account Liste aufgef hrt ist meldet sich ber die Windows Eingabe Aufforderung an 59 SafeGuard Enterprise 9 5 9 5 1 60 E Gem der auf den Endpoint angewendeten Service Account Liste wird der Benutzer als Service Account erkannt und als Gastbenutzer behandelt E Der Rollout Beauftragte wird nicht zur POA hinzugef gt und die POA wird nicht aktiviert Der Endbenutzer kann sich anmelden und die POA aktivieren Hinweis Service Account Listen m ssen Sie in einer Richtlinie anlegen und diese der ersten Richtliniengruppe des ersten Konfigurationspakets zuweisen das Sie nach der Installation der Verschl sselungssoftware auf dem Endpoint installieren Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Administrator Hilfe Installation der Verschl sselungssoftware Hinweis Bevor Sie mit der Installation beginnen pr fen Sie die verf gbaren Installationspakete und Features f r zentral verwalt
55. er speichern und geben Sie das Kennwort f r den Speicher ein Klicken Sie auf OK Das Zertifikat wird importiert und unter Zertifikat f r den Haupt Sicherheitsbeauftragten angezeigt Der Haupt Sicherheitsbeauftragte ben tigt das Kennwort des Zertifikatsspeichers f r die Anmeldung am SafeGuard Management Center Notieren Sie sich das Kennwort und bewahren Sie es an einem sicheren Ort auf Steht das Kennwort nicht mehr zur Verf gung so kann sich der Haupt Sicherheitsbeauftragte nicht mehr am SafeGuard Management Center anmelden F r die Wiederherstellung einer besch digten SafeGuard Management Center Installation ben tigt der Haupt Sicherheitsbeauftragte die private Schl sseldatei 4 Klicken Sie auf Weiter Der Haupt Sicherheitsbeauftragte wird angelegt Erzeugen des Zertifikats des Haupt Sicherheitsbeauftragten Gehen Sie in Zertifikat des Haupt Sicherheitsbeauftragten erzeugen folgenderma en vor 1 Best tigen Sie unter Haupt Sicherheitsbeauftragten ID den Namen des Haupt Sicherheitsbeauftragten 2 Geben Sie nun zweimal das Kennwort f r den Zertifikatsspeicher ein und klicken Sie auf OK Das Zertifikat des Haupt Sicherheitsbeauftragten wird erzeugt und lokal als Backup lt mso_name gt cer gespeichert Hinweis Notieren Sie sich das Kennwort und bewahren Sie es an einem sicheren Ort auf Sie m ssen sich am SafeGuard Management Center anmelden Export des Zertifikats des Haupt Sicherheitsbeauftragten Das Zertifika
56. eschreibt wie sie zusammenspielen Eine oder mehrere Microsoft SQL Datenbanken sammeln Informationen ber die Endpoints im Firmennetzwerk Der Administrator bei SafeGuard Enterprise hei t er Haupt Sicherheitsbeauftragter oder Master Security Officer MSO nutzt das SafeGuard Management Center um die Datenbankinhalte zu steuern und neue Sicherheitsrichtlinien Policies zu erstellen Die Endpoints der Benutzer lesen die Richtlinien aus der Datenbank und berichten die erfolgreiche Ausf hrung an die Datenbank Die Kommunikation zwischen Datenbank und Endpoints bernimmt dabei in der zentral verwalteten Variante ein Internet Information Services IIS basierter Webserver auf dem der SafeGuard Enterprise Server eingerichtet ist SafeGuard Enterprise SafeGuard Enterprise Komponenten Microsoft Active Directory optional amp s NS SafeGuard Management Center Administrator MSO SafeGuard Enterprise Datenbank Microsoft SAL Server NS Web Server MS Internet Information Services IIS lo SafeGuard Enterprise Server W Benutzer PC SafeGuard Enterprise Client Die folgende Tabelle beschreibt die einzelnen Komponenten Komponente Beschreibung SafeGuard Enterprise Die SafeGuard Enterprise Datenbank en enth lt enthalten Datenbank en basierend alle relevanten Daten wie Schl ssel Zertifikate Informationen auf Microsoft SQL Server zu Benutzern und Computern Ereignisse und die Datenbank Richtlinieneinstellungen
57. ete Endpoints und Standalone Endpoints Die Installationsschritte f r beide Varianten sind identisch mit der Ausnahme dass Sie f r jeden der beiden ein unterschiedliches Konfigurationspaket zuordnen m ssen F r das Einrichten der SafeGuard Enterprise Verschl sselungssoftware auf Endpoints gibt es zwei M glichkeiten mM Lokales Installieren der Verschl sselungssoftware Dies ist zum Beispiel f r eine Testinstallation empfehlenswert E Zentrales Installieren der Verschl sselungssoftware Dadurch wird eine standardisierte Installation auf mehreren Endpoints erreicht Das Verhalten des Endpoint bei der ersten Anmeldung nach der Installation von SafeGuard Enterprise und der Aktivierung der Power on Authentication ist in der SafeGuard Enterprise Benutzerhilfe beschrieben Installationspakete und Features Die folgende Tabelle zeigt die Installationspakete und Features der Sophos SafeGuard Verschl sselungssoftware auf Endpoints Sie finden die Installationspakete im Installers Ordner Ihrer Produktlieferung Hinweis F r diese Release unterst tzte SafeGuard Enterprise Endpoint Plattformen Windows 7 Enterprise Ultimate Professional mit den aktuellen Service Packs 32 Bit und 64 Bit Installieren Sie bei einem 64 Bit Betriebssystem das 64 Bit Installationspaket lt Paketname gt _x64 msi Es ist zwar m glich bei einer Erstinstallation nicht alle Features zu installieren wir empfehlen jedoch das komplette SafeGuard Paket f r die Fe
58. eue Version keine vorhandenen POA Benutzer an durch SafeGuard Enterprise gesch tzte Endpoints mit Version 5 60 1 Diese w rden in diesem Fall als normale Benutzer behandelt und als Benutzer auf den entsprechenden Endpoints registriert Aktualisierung von Endpoints Dieser Abschnitt gilt sowohl f r zentral verwaltete Endpoints als auch f r Standalone Endpoints Voraussetzungen m Version 5 60 1 der SafeGuard Enterprise Verschl sselungssoftware muss installiert sein ltere Versionen m ssen zun chst auf Version 5 60 1 aktualisiert werden 83 SafeGuard Enterprise 84 Die SafeGuard Enterprise Datenbank der SafeGuard Enterprise Server und das SafeGuard Management Center m ssen auf Version 5 60 2 VS N D aktualisiert worden sein SafeGuard Management Center 5 60 2 VS N D und SafeGuard Enterprise Server 5 60 2 VS NfD k nnen durch SafeGuard Enterprise gesch tzte Endpoints mit Version 5 60 1 oder 5 60 2 VS NfD verwalten Wie empfehlen jedoch im Allgemeinen eine Mischung aus Endpoint Verschl sselungssoftware Versionen zu vermeiden m Stellen Sie sicher dass SafeGuard Configuration Protection deinstalliert ist m Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen So aktualisieren Sie durch SafeGuard Enterprise gesch tzte Endpoints lokal 1 Melden Sie sich an dem Computer als Administrator an Wenn Sie auf einem Endpoint LAN Crypt 3 7x installiert haben und SafeGuard Data Exchange aktualis
59. f hrung von speziellen SQL Migrationsskripten erforderlich die andernfalls einen Konflikt mit den replizierten Datenbanken ausl sen k nnen So aktualisieren Sie die replizierte Datenbank l Deinstallieren Sie die replizierten Datenbanken 81 SafeGuard Enterprise 12 2 12 3 82 2 F hren Sie die Handlungsschritte f r die Aktualisierung der Master Datenbank und des Datenbankschemas aus siehe Aktualisieren der SafeGuard Enterprise Datenbank und des Datenbankschemas Seite 80 3 Legen Sie die Replikationsdatenbanken neu an siehe Replikation der SafeGuard Enterprise Datenbank Seite 75 Aktualisieren von SafeGuard Enterprise Server Hinweis Sie m ssen die Schritte in diesem Abschnitt nur ausf hren wenn Sie beim Standalone Betrieb administrative Ma nahmen im SafeGuard Management Center protokollieren wollen oder wenn Sie SafeGuard Enterprise im zentral verwalteten Modus betreiben wollen Voraussetzungen m SafeGuard Enterprise Server 5 60 1 muss installiert sein ltere Versionen m ssen zun chst auf SafeGuard Enterprise Server 5 60 1 aktualisiert werden m NET Framework 4 und ASP NET 4 ist erforderlich Dies muss vor der Aktualisierung installiert werden Das Programm steht in der SafeGuard Enterprise Produktlieferung zur Verf gung Die Software steht auch kostenlos zum Download zur Verf gung http www microsoft com downloads m Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen
60. f r Server WS_1 f r die Kommunikation mit der Datenbank Graz sowie ein Paket f r die Verbindung des SafeGuard Enterprise Clients Graz mit dem Web Service WS_1 1 Klicken Sie im SafeGuard Management Center im Extras Men auf Optionen und dann auf Datenbank 2 W hlen Sie unter Verbindungseinstellungen WS_1 als Datenbankserver und Graz als Datenbank auf Server Klicken Sie auf OK 77 SafeGuard Enterprise 11 5 11 6 78 Klicken Sie im Extras Men auf Konfigurationspakete und dann auf Server Pakete W hlen Sie den ServerWS_1 den Ausgabepfad und klicken Sie auf Konfigurationspaket erstellen Wechseln Sie auf die Registerkarte Pakete f r Managed Clients Klicken Sie auf Konfigurationspaket hinzuf gen und geben Sie einen Namen f r das Paket ein W hlen Sie unter Prim rer Server den korrekten Server mit dem die SafeGuard Enterprise Clients Graz verbunden werden sollen WS_1 Legen Sie den Ausgabepfad fest und klicken Sie auf Konfigurationspaket erstellen Die SafeGuard Enterprise Server und Client Konfigurationspakete f r die Datenbank Graz werden am definierten Ausgabeort erstellt Erzeugen der Konfigurationspakete f r die Datenbank Linz Sie m ssen die Konfigurationspakete f r die Datenbank Linz erzeugen Ein Paket f r Server WS_2 f r die Kommunikation mit der Datenbank Linz sowie ein Paket f r die Verbindung des SafeGuard Enterprise Clients Linz mit dem Web Service WS_2 1 Klicken Sie im Sa
61. feGuard LAN Crypt 3 7x und SafeGuard Enterprise 5 60 2 VS NfD k nnen zusammen auf einem Endpoint installiert werden Wenn Sie das Feature SafeGuard Data Exchange nutzen m chten m ssen Sie eine zus tzliche Kompatibili tskomponente f r den erfolgreichen Betrieb dieser Produktversionen auf einem Endpoint installieren Hinweis Sie finden die Kompatibili tskomponente in Ihrer Produktlieferung Installieren Sie SSFileEncCompLayer msi auf 32 Bit Systemen und SGFileEncCompLayer_x64 msi auf 64 Bit Systemen SafeGuard LAN Crypt 3 7x ist bereits installiert 1 Installieren Sie die Kompatibilit tskomponente auf dem Endpoint 2 Installieren Sie SafeGuard Data Exchange auf dem Endpoint 3 Installieren Sie das SafeGuard Client Konfigurationspaket auf dem Endpoint 4 Starten Sie den Endpoint neu Hinweis W hrend der Installation wird unter Umst nden eine Meldung angezeigt die Sie dar ber informiert dass die Komponente SGLC Profile Loader bereits in Gebrauch ist Sie k nnen diese Meldung ignorieren Sie wird dadurch verursacht dass SafeGuard LAN Crypt und SafeGuard Enterprise gemeinsame Komponenten benutzen Die betroffenen Komponenten werden beim Neustart aktualisiert SafeGuard Enterprise 5 60 2 VS NE D ist bereits installiert 1 Installieren Sie SafeGuard LAN Crypt 3 7x auf dem Endpoint 2 Installieren Sie die Kompatibili tskomponente auf dem Endpoint 3 Starten Sie den Endpoint neu Hinweis Fr here Versionen beider P
62. feGuard Management Center im Extras Men auf Optionen und dann auf Datenbank W hlen Sie unter Verbindungseinstellungen WS_2 als Datenbankserver und Linz als Datenbank auf Server Klicken Sie auf OK Klicken Sie im Extras Men auf Konfigurationspakete und dann auf Server Pakete W hlen Sie den ServerWS_2 den Ausgabepfad und klicken Sie auf Konfigurationspaket erstellen Wechseln Sie auf die Registerkarte Pakete f r Managed Clients Klicken Sie auf Konfigurationspaket hinzuf gen und geben Sie einen Namen f r das Paket ein W hlen Sie unter Prim rer Server den korrekten Server mit dem die SafeGuard Enterprise Clients Linz verbunden werden sollen WS_2 Legen Sie den Ausgabepfad fest und klicken Sie auf Konfigurationspaket erstellen Klicken Sie auf Schlie en Verbinden Sie das SafeGuard Management Center wieder mit der Datenbank Wien Klicken Sie im Extras Men auf Optionen und dann auf Datenbank Die SafeGuard Enterprise Server und Client Konfigurationspakete f r die Datenbank Linz werden am definierten Ausgabeort erstellt Installieren der SafeGuard Enterprise Server Konfigurationspakete Installieren Sie das Server Konfigurationspaket ws_1 msi auf Web Service WS_1 der mit der Datenbank Graz kommunizieren soll Installieren Sie das Server Konfigurationspaket ws_2 msi auf Web Service WS_2 der mit der Datenbank Linz kommunizieren soll Testen Sie die Kommunikation zwischen den SafeGuard Enterprise Se
63. fhin in den Abonnements im SQL Konfigurationsassistenten 4 Schlie en Sie den SQL Konfigurationsassistenten Die Replikations berwachung zeigt ob der Replikationsmechanismus korrekt l uft 5 Stellen Sie sicher dass Sie den korrekten Datenbanknamen in der ersten Zeile des SQL Skripts eingeben Verwenden Sie zum Beispiel Graz oder Linz 6 Erzeugen Sie nochmal die Snapshots mit dem Snapshot Agenten Die Replikationsdatenbanken Graz und Linz wurden angelegt Installieren und Registrieren von SafeGuard Enterprise Servern Um SafeGuard Enterprise Server auf den Web Servern zu installieren gehen Sie wie folgt vor 1 Installieren Sie SafeGuard Enterprise Server auf dem Server WS_1 2 Installieren Sie SafeGuard Enterprise Server auf dem Server WS_2 3 Registrieren Sie beide Server im SafeGuard Management Center Klicken Sie im Extras Men auf Konfigurationspakete und dann auf Server registrieren Klicken Sie in der Registerkarte Server registrieren auf Hinzuf gen 4 Sie werden dazu aufgefordert die Serverzertifikate ws_1 cer undws_2 cer hinzuzuf gen Sie finden die Zertifikate im Ordner Program Files Sophos Sophos SafeGuard MachCert Die Zertifikate werden ben tigt um die entsprechenden Konfigurationspakete zu erstellen Die SafeGuard Enterprise Server sind installiert und registriert Erzeugen der Konfigurationspakete f r die Datenbank Graz Erzeugen Sie die Konfigurationspakete f r die Datenbank Graz ein Paket
64. gebaute Datensicherheitsl sung die Informationen und Informationsaustausch auf Servern PCs und mobilen Endger ten durch ein richtlinienbasiertes Verschl sselungskonzept zuverl ssig sch tzt Die zentrale Verwaltung wird im SafeGuard Management Center durchgef hrt Sicherheitsrichtlinien Schl ssel und Zertifikate Smartcards und Token k nnen ber ein rollenbasiertes Administrationskonzept bersichtlich verwaltet werden Ausf hrliche Protokollierung und Reportfunktionen gew hrleisten stets den berblick ber alle Ereignisse Auf Benutzerseite sind Datenverschl sselung und Schutz vor Angreifern die prim ren Sicherheitsfunktionen von SafeGuard Enterprise SafeGuard Enterprise f gt sich dabei nahtlos in die gewohnte Benutzerumgebung ein und l sst sich leicht und intuitiv bedienen Die SafeGuard spezifische Authentisierung die Power on Authentication POA sorgt f r umfassenden Zugriffsschutz und bietet komfortable Unterst tzung bei der Wiederherstellung von Anmeldeinformationen Hinweis Einige Features sind nicht in allen Lizenzen enthalten F r Informationen dazu was in Ihrer Lizenz enthalten ist wenden Sie sich an Ihren Vertriebspartner Hinweis Wenn nicht anders erw hnt gilt diese Anleitung sowohl f r die zentral verwaltete Variante als auch f r die Standalone Variante von SafeGuard Enterprise SafeGuard Enterprise Komponenten Dieser Abschnitt bietet einen berblick ber die SafeGuard Enterprise Komponenten und b
65. hlen Sie dann Start gt Systemsteuerung gt Software gt Sophos SafeGuard Client gt Entfernen E Verwenden Sie f r eine zentrale Deinstallation einen Software Verteilungsmechanismus Ihrer Wahl Stellen Sie sicher dass alle erforderlichen Daten vor dem Starten der Deinstallation korrekt entschl sselt wurden Installationsanleitung 14 Technischer Support Technischen Support zu Sophos Produkten k nnen Sie wie folgt abrufen E Rufen Sie das SophosTalk Forum unter http community sophos com auf und suchen Sie nach Benutzern mit dem gleichen Problem E Durchsuchen Sie die Sophos Support Knowledgebase unter http www sophos com de de support E laden Sie Dokumentation zu den Produkten unter http www sophos com de de support docs herunter E Senden Sie eine E Mail an den technischen Support support sophos de und geben Sie die Versionsnummer n Betriebssystem e und Patch Level Ihrer Sophos Software sowie ggf den genauen Wortlaut von Fehlermeldungen an 89 SafeGuard Enterprise 90 15 Rechtliche Hinweise Copyright 1996 2012 Sophos Group Alle Rechte vorbehalten SafeGuard ist ein eingetragenes Warenzeichen von Sophos Group Diese Publikation darf weder elektronisch oder mechanisch reproduziert elektronisch gespeichert oder bertragen noch fotokopiert oder aufgenommen werden es sei denn Sie verf gen entweder ber eine g ltige Lizenz gem der die Dokumentation in bereinstimmung mit dem Lizenzve
66. hreibung wird davon ausgegangen dass Sie bereits Erfahrung mit dem Microsoft SQL Server Replikationsmechanismus haben Hinweis Die Administration sollte nur bei der Master Datenbank erfolgen nicht bei replizierten Datenbanken Mergereplikation Die Mergereplikation ist der Vorgang der Verteilung von Daten vom Verleger an die Abonnenten Dabei k nnen Verleger und Abonnenten unabh ngig voneinander Aktualisierungen vornehmen und danach einen Merge der Aktualisierungen zwischen den Standorten durchf hren Die Mergereplikation erlaubt es verschiedenen Standorten autonom zu arbeiten und sp ter die Aktualisierungen zu einem einzigen einheitlichen Ergebnis zusammenzuf hren Der initiale Snapshot wird auf die Abonnenten angewendet Microsoft SQL Server verfolgt dann die nderungen an ver ffentlichten Daten beim Verleger und bei den Abonnenten nach Die Daten werden zwischen den Servern kontinuierlich zu einem festgelegten Zeitpunkt oder auf Anforderung synchronisiert Da Aktualisierungen auf mehr als einem Server ausgef hrt werden sind dieselben Daten m glicherweise vom Verleger und von mindestens einem Abonnenten aktualisiert worden Daher kann es beim Zusammenf hren von Aktualisierungen zu Konflikten kommen Die Mergereplikation bietet Standardm glichkeiten sowie individuelle M glichkeiten f r die Konfliktl sung die Sie bei der Konfiguration einer Mergever ffentlichung definieren k nnen Tritt ein Konflikt auf ruft der Merge Agen
67. icken Sie auf OK Das SafeGuard Management Center wird ge ffnet und mit der ausgew hlten Datenbankkonfiguration verbunden Hinweis Wenn Sie ein falsches Kennwort eingeben wird eine Fehlermeldung angezeigt und die n chste Anmeldung wird verz gert Diese Verz gerung wird mit jedem fehlgeschlagenen Anmeldeversuch gr er Fehlgeschlagene Anmeldeversuche werden protokolliert Einrichten der Organisationsstruktur im SafeGuard Management Center Es gibt zwei M glichkeiten Ihre Organisation in SafeGuard Enterprise abzubilden E Directory Service importieren z B Active Directory W hrend der Synchronisierung mit dem Active Directory werden Objekte z B Computer Benutzer und Gruppen in das SafeGuard Management Center importiert und in der SafeGuard Enterprise Datenbank gespeichert E Organisationsstruktur manuell aufbauen Steht kein Directory Service zur Verf gung oder gibt es nur wenige Organisationseinheiten so dass kein Directory Service ben tigt wird k nnen Sie neue Dom nen Arbeitsgruppen anlegen an denen sich der Benutzer Computer anmelden kann Sie k nnen entweder nur eine von beiden M glichkeiten anwenden oder die beiden M glichkeiten mischen Zum Beispiel k nnen Sie ein Active Directory AD ganz oder teilweise importieren und weitere Organisationseinheiten OU manuell anlegen Egal ob die Organisationsstruktur importiert oder manuell angelegt wird die Richtlinienzuordnungkann in beiden F llen erfolgen
68. icrosoft Windows Server 2008 2008 R2 Diese Beschreibung gilt f r folgende Installationen m IIS 7 auf Microsoft Windows Server 2008 Installationsanleitung 3 2 2 1 3 2 2 2 m IIS 7 5 auf Microsoft Windows Server 2008 R2 IIS ist kostenlos verf gbar Sie finden das Programm z B auf Ihrer Windows DVD oder auf der Microsoft Website 1 Klicken Sie im Start Men auf Alle Programme Administration und dann auf Server Manager 2 Klicken Sie im Server Manager auf Rollen bersicht und klicken Sie dann auf Rollen hinzuf gen 3 Verifizieren Sie auf der Vorbemerkungen Seite des Rollen hinzuf gen Assistenten Folgendes E Das Administratorenkonto hat ein sicheres Kennwort E Die Netzwerkeinstellungen z B IP Adressen sind konfiguriert E Die neuesten Windows Sicherheits Updates sind installiert 4 W hlen Sie Rollen ausw hlen auf der rechten Seite und dann Webserver IIS Klicken Sie auf der folgenden Seite auf Erforderliche Features hinzuf gen Seite Webserver IIS ist im Navigationsbereich des Rollen hinzuf gen Assistenten aufgelistet 5 Klicken Sie auf Webserver IIS und dann auf Rollendienste Behalten Sie die Standard Rollendienste bei 6 W hlen Sie auf der rechten Seite zus tzlich Folgendes ASP NET dadurch werden alle notwendigen untergeordneten Rollendienste ebenfalls ausgew hlt 7 W hlen Sie IIS Management Scripts and Tools Dies ist f r die richtige IIS 7 Konfiguration erforderlich 8 Klicke
69. ientPreinstall msi das den Endpoint mit den n tigen Voraussetzungen f r eine erfolgreiche Installation der neuen Verschl sselungssoftware ausstattet Verwenden Sie keine veralteten Pr Installationspakete Doppelklicken Sie im Install Ordner des Produkts auf der aktuellen Version der SafeGuard Enterprise Verschl sselungssoftware Ein Assistent f hrt Sie durch die notwendigen Schritte bernehmen Sie im Assistenten in allen folgenden Dialogen die Standardeinstellungen Um mit der Aktualisierung neue Features zu installieren w hlen Sie eine Installation vom Typ Angepasst aus W hlen Sie dann die neuen Features und die zu aktualisierenden Features SafeGuard Enterprise wird auf dem Endpoint installiert Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete Klicken Sie auf Pakete f r Managed Clients und erstellen Sie ein Konfigurationspaket f r zentral verwaltete Endpoints siehe Erzeugen eines Konfigurationspakets f r zentral verwaltete Computer Seite 58 Weisen Sie dieses Paket dem Endpoint ber eine Gruppenrichtlinie zu Die Authentisierung ist deaktiviert da die Benutzer Computer Zuordnung nicht migriert wird Nach der Migration sind die Endpoints damit ungesch tzt Der Benutzer muss den Endpoint neu starten Die erste Anmeldung erfolgt noch ber Autologon Neue Schl ssel und Zertifikate werden dem Benutzer zugewiesen Der Benutzer muss den Endpoint noch einmal star
70. ieren m chten installieren Sie zuerst die Kompatibilit tskomponente SGFileEncCompLayer msi oder SGFileEncCompLayer_x64 msi Sie finden die Komponente in Ihrer Produktlieferung F r weitere Informationen siehe Kompatibilit t mit SafeGuard LAN Crypt Seite 10 Installieren Sie das neue Pr Installationspaket S6xClientPreinstall msi dasden Endpoint mit den n tigen Voraussetzungen f r eine erfolgreiche Installation der neuen Verschl sselungssoftware ausstattet Verwenden Sie keine veralteten Pr Installationspakete Doppelklicken Sie im Install Ordner des Produkts auf der aktuellen Version der SafeGuard Enterprise Verschl sselungssoftware Ein Assistent f hrt Sie durch die notwendigen Schritte bernehmen Sie im Assistenten in allen folgenden Dialogen die Standardeinstellungen Um mit der Aktualisierung neue Features zu installieren w hlen Sie eine Installation vom Typ Angepasst aus W hlen Sie dann die neuen Features und die zu aktualisierenden Features SafeGuard Enterprise wird auf dem Endpoint installiert Erstellen Sie im aktualisierten SafeGuard Management Center ein neues Konfigurationspaket und installieren Sie es auf den Endpoints Hinweis Die Installation eines Konfigurationspakets einer fr heren Version auf einem Endpoint der auf die neueste Version aktualisiert wurde wird nicht unterst tzt Wenn Sie versuchen ein lteres Konfigurationspaket ber ein neues zu installieren wird die Insta
71. inem SQL Skript Sie finden SQL Skripte in Ihrer Produktlieferung Dieser Vorgang wird h ufig bevorzugt wenn erweiterte SQL Berechtigungen w hrend der SafeGuard Management Konfiguration nicht erw nscht sind F r weitere Informationen siehe Erzeugen der SafeGuard Enterprise Datenbank per Skript Seite 28 Erzeugen der Replikationsdatenbanken Graz und Linz Nach dem Einrichten der Master Datenbank erzeugen Sie die Replikationsdatenbanken Im Beispiel haben die Replikationsdatenbanken die Bezeichnungen Graz und Linz Hinweis Datentabellen und EVENT Tabellen werden in getrennten Datenbanken gehalten Ereigniseintr ge werden standardm ig nicht verkettet so dass die EVENT Datenbank zur Erh hung der Performance auf mehrere SQL Server repliziert werden kann Wenn Installationsanleitung 11 3 11 4 EVENT Tabellen verkettet werden k nnen w hrend der Replikation ihrer Datens tze Probleme auftreten So erzeugen Sie die Replikationsdatenbanken neu 1 Erzeugen Sie eine Ver ffentlichung f r die Master Datenbank in der Management Konsole des SQL Servers Eine Ver ffentlichung definiert das Daten Set das repliziert werden soll 2 W hlen Sie alle Tabellen Ansichten und gespeicherten Prozeduren f r die Synchronisierung in dieser Ver ffentlichung aus 3 Erstellen Sie die Replikationsdatenbanken indem Sie ein Abonnement f r Graz und ein Abonnement f r Linz erzeugen Die neuen Datenbanken Graz und Linz erscheinen darau
72. ion des SafeGuard Management Center 1 Klicken Sie auf Beenden um die Erstkonfiguration des SafeGuard Management Center abzuschlie en Eine Konfigurationsdatei wird erstellt Ergebnis m Eine Verbindung zum SafeGuard Enterprise Server m Eine SafeGuard Enterprise Datenbank m Ein Haupt Sicherheitsbeauftragten Konto f r die Anmeldung an das SafeGuard Management Center m Alle notwendigen Zertifikate f r die Wiederherstellung einer besch digten Datenbankkonfiguration oder SafeGuard Management Center Installation Sobald der Konfigurationsassistent geschlossen ist wird das SafeGuard Management Center gestartet Erstellen weiterer Datenbankkonfigurationen Multi Tenancy Voraussetzung Die Funktion Multi Tenancy muss ber eine Installation vom Typ Vollst ndig installiert worden sein Die initiale Konfiguration des SafeGuard Management Center muss 39 SafeGuard Enterprise 40 5 6 durchgef hrt worden sein siehe Starten der Erstkonfiguration des SafeGuard Management Center Seite 34 Hinweis Sie m ssen pro Datenbank jeweils eine separate SafeGuard Enterprise Server Instanz einrichten So erstellen Sie eine weitere SafeGuard Enterprise Datenbankkonfiguration nach der Erstkonfiguration 1 Starten Sie das SafeGuard Management Center Der Dialog Konfiguration ausw hlen wird angezeigt 2 Klicken Sie auf Neu Der SafeGuard Management Center Konfigurationsassistent wird automatisch gestartet 3 Der Assistent f
73. ise Server f r den aktuellen Computer Hinweis F hren Sie die Schritte in diesem Abschnitt aus wenn Sie beim Standalone Betrieb administrative Ma nahmen im SafeGuard Management Center protokollieren wollen Wenn SafeGuard Management Center und SafeGuard Enterprise Server auf dem Computer installiert sind mit dem Sie derzeit arbeiten registrieren und konfigurieren Sie den SafeGuard Enterprise Server auf diesem Computer Hinweis Wenn Multi Tenancy installiert ist steht diese Option nicht zur Verf gung 1 Starten Sie das SafeGuard Management Center 2 Klicken Sie im Extras Men auf Konfigurationspakete 3 W hlen Sie die Registerkarte Server und klicken Sie auf Diesen Computer zum SGN Server machen Das SafeGuard Enterprise Server Configuration Setup wird automatisch gestartet 4 bernehmen Sie in allen folgenden Dialogen die Standardeinstellungen Der SafeGuard Enterprise Server ist installiert Ein Server Konfigurationspaket mit der Bezeichnung lt Server gt msi wird erstellt und direkt auf dem aktuellen Computer installiert Die Serverinformationen werden in der Registerkarte Server angezeigt Sie k nnen zus tzliche Konfigurationsschritte durchf hren 51 SafeGuard Enterprise 52 8 2 Hinweis Wenn Sie ein neues Server Konfigurationspaket MSI auf dem SafeGuard Enterprise Server installieren m chten deinstallieren Sie zun chst das veraltete Konfigurationspaket L schen Sie dar ber hinaus den Local Cache
74. k bertragen Kompatibilit t mit SafeGuard Easy Version 4 x SafeGuard Easy 4 x und SafeGuard Enterprise 5 60 2 VS NfD k nnen auf demselben Computer installiert werden unter der Voraussetzung dass das Modul SafeGuard Festplattenverschl sselung SGNClinet msi nicht installiert wird Da beide Produkte eine eigene GINA graphische Identifizierung und Authentisierung installieren funktioniert SafeGuard Enterprise nur korrekt wenn die eigene GINA benutzt wird Um eine korrekte Konfiguration zu gew hrleisten muss SafeGuard Easy 4 x ohne GINA Unterst tzung installiert werden Option GINASYS 0 bevor das relevante SafeGuard Enterprise Modul installiert wird Wurde SafeGuard Easy 4 x mit GINA Unterst tzung installiert muss die Software vor der Installation von SafeGuard Enterprise 6 entfernt werden Hinweis Wenn SafeGuard Easy 4 x und das Modul SafeGuard Data Exchange auf einem Computer installiert sind funktionieren die SafeGuard Easy GINA Mechanismen vor allem Windows Secure Autologon SAL nicht mehr Um dies zu umgehen muss SafeGuard Easy 4 x zuerst installiert werden und beide Produkte sollten nur zusammen deinstalliert werden ohne Neustart um GINA Konflikte zu vermeiden Allgemeine Einschr nkungen Beachten Sie folgende allgemeine Einschr nkungen f r SafeGuard Enterprise auf Endpoints E SafeGuard Enterprise for Windows unterst tzt keine Apple Hardware und kann nicht in einer Boot Camp Umgebung installiert werden 11
75. k nnen dem Sicherheitsbeauftragten danach vom SQL Administrator aber wieder bis zur n chsten Installation Aktualisierung entzogen werden Wenn die Erweiterung der Rechte w hrend der Installation des SafeGuard Management Centers nicht gew nscht ist kann der SQL Administrator die SafeGuard Enterprise Datenbank per Skript erzeugen Dazu k nnen die beiden Skripte CreateDatabase sql und CreateTables sql aus der Produktlieferung ausgef hrt werden Die folgende Tabelle zeigt die notwendigen SQL Berechtigungen f r die unterschiedlichen Versionen von Microsoft SQL Server Zugriffsberechtigung SQL Server 2005 SAL SQL Server 2008 SAL Server Server 2005 Express 2008 Express Datenbank erstellen Server db_creator db_creator Master Datenbank keine keine SafeGuard Enterprise db_ownerpublic db_ownerpublic Standard Datenbank Standard Datenbank benutzen Server Master Datenbank SafeGuard Enterprise db_datareaderdd db_datareader Datenbank b_datawriter db_datawriter public Standard public Standard Installationsanleitung 4 1 2 Konfigurieren eines Windows Benutzerkontos f r die Anmeldung am SQL Server Die folgende Beschreibung der einzelnen Konfigurationsschritte wendet sich an SQL Administratoren und bezieht sich auf Microsoft Windows Server 2008 und Microsoft SQL Server 2005 Standard oder Express Edition Als SQL Administrator ben tigen Sie das Recht zum Anlegen von Benutzerkonten l ff
76. ket erstellt werden Hinweis Sie m ssen nicht den SafeGuard Management Center Konfigurationsassistenten erneut ausf hren um die Datenbankkonfiguration zu aktualisieren Erstellen Sie einfach ein neues Server Konfigurationspaket und verteilen Sie es an den entsprechenden Server Sobald dieses auf dem Server installiert ist kann auf die neue Datenbankverbindung zugegriffen werden 53 SafeGuard Enterprise 54 8 4 3 Erstellen Sie ein neues Server Konfigurationspaket in der Registerkarte Server Pakete 4 Deinstallieren Sie das veraltete Server Konfigurationspaket und installieren Sie danach das neue auf dem entsprechenden Server Die neue Server Konfiguration wird aktiv Registrieren des SafeGuard Enterprise Servers mit aktivierter Sophos Firewall Ein durch SafeGuard Enterprise gesch tzter Endpoint kann keine Verbindung mit dem SafeGuard Enterprise Server herstellen wenn eine Sophos Firewall mit Standardeinstellungen auf dem Endpoint installiert ist Die Sophos Firewall sperrt standardm ig NetBIOS Verbindungen die f r die Aufl sung des Netzwerknamens des SafeGuard Enterprise Servers ben tigt werden 1 F hren Sie als Workaround einen der folgenden Schritte aus E Geben Sie die NetBIOS Verbindungen in der Firewall frei E F gen Sie den Fully Qualified Name des SafeGuard Enterprise Servers im Konfigurationspaket hinzu F r weitere Informationen siehe Registrieren und Konfigurieren des SafeGuard Enterp
77. lassen sich dann jedoch nicht anzeigen Konfigurieren des SafeGuard Management Center Nach der Installation m ssen Sie das SafeGuard Management Center konfigurieren Der SafeGuard Management Center Konfigurationsassistent unterst tzt Sie bei der Erstkonfiguration durch Hilfestellung bei der Definition der grundlegenden SafeGuard Management Center Einstellungen sowie bei der Konfiguration der Datenbankverbindung Der Assistent wird automatisch aufgerufen wenn Sie das SafeGuard Management Center zum ersten Mal nach der Installation starten Sie k nnen das SafeGuard Management Center f r die Anwendung mit einer oder mehreren Datenbank Multi Tenancy konfigurieren Hinweis Die folgenden Schritte m ssen mit dem Konfigurationsassistenten sowohl f r Single Tenancy als auch f r Multi Tenancy Konfigurationen ausgef hrt werden 33 SafeGuard Enterprise 5 4 1 5 4 2 5 4 3 5 4 4 34 Voraussetzungen Folgende Voraussetzungen m ssen erf llt sein E Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen E Halten Sie die folgenden Informationen bereit Diese erhalten Sie ggf von Ihrem SQL Administrator SQL Anmeldeinformationen Name des SQL Servers auf dem die SafeGuard Enterprise Datenbank laufen soll Name der SafeGuard Enterprise Datenbank falls diese bereits erzeugt wurde Multi Tenancy Konfigurationen Sie k nnen mehrere verschiedene SafeGuard Enterprise Datenbankkonfigurationen f r eine
78. lgende Kommandozeilensyntax MSIEXEC i lt name_of_selected_client_msi gt msi OPALMODE 2 Bei einigen Opal Festplatten bestehen u U Sicherheitsprobleme Es besteht keine M glichkeit automatisch festzustellen welche Privilegien unbekannten Benutzern Authorities zugeordnet sind die bereits zum Zeitpunkt der SafeGuard Enterprise Installation Verschl sselung registriert waren Wenn die Festplatte den Befehl diese Benutzer zu deaktivieren nicht ausf hrt wendet SafeGuard Enterprise die software basierende Verschl sselung an um die gr tm gliche Sicherheit f r den SafeGuard Enterprise Benutzer zu gew hrleisten Da wir f r die Festplatten selbst keine Sicherheitsgarantien geben k nnen haben wir einen speziellen Installationsschalter implementiert Diesen Schalter k nnen Sie verwenden um Festplatten mit potentiellen Sicherheitsrisiken auf eigene Verantwortung zu benutzen Eine Liste der Festplatten f r die dieser Schalter erforderlich ist sowie weitere Informationen zu unterst tzten Festplatten finden Sie in den SafeGuard Enterprise Release Notes Um den Installationsschalter anzuwenden benutzen Sie folgende Kommandozeilensyntax MSIEXEC i lt name_of_selected_client_msi gt msi IGNORE_OPAL_AUTHORITYCHECK_RESULTS Wenn Sie die Installation mit einem Transform durchf hren m chten Die interne Eigenschaft der msi Datei hat denselben Namen Installationsanleitung
79. ll Das Paket muss Folgendes in der angegebenen Reihenfolge enthalten Paket Beschreibung Kompatibilit tskomponente Das Paket i d forderlich wenn Sie SGFileEncCompLayer msi as Paket stnur dann erforderlich wenn 91 SafeGuard Data Exchange 5 60 2 auf einem Endpoint nn La 64 installieren m chten auf dem bereits SafeGuard 64 Bi payer TAN Crypt 3 7x installiert ist Es wird f r den erfolgreichen Betrieb beider Produkte auf einem Endpoint ben tigt Pr Installationspaket D li ische P ie E i it SGxClientPreinstall msi P3 obligatorische Paket stattet die Endpoints mi den n tigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware aus zum Beispiel mit der ben tigten DLL MSVCR110 d1ll Hinweis Wenn dieses Paket nicht installiert ist wird die Installation der Verschl sselungssoftware abgebrochen Verschl sselungssoftware Paket F r eine Liste der verf gbaren Pakete siehe Installationspakete und Features Seite 60 Konfigurationspaket f r Verwenden Sie die zuvor im SafeGuard Management Endpoints Center erzeugten Konfigurationspakete F r zentral verwaltete Endpoints und Standalone Endpoints m ssen unterschiedliche Konfigurationspakete installiert werden siehe Erzeugen von Konfigurationspaketen Seite 58 L schen Sie zun chst alle veralteten im SafeGuard Management Center erstellten Pakete 3 Erstellen Sie ein Skript mit den Kommand
80. llation abgebrochen L schen Sie alle veralteten oder nicht mehr verwendeten Konfigurationspakete auf den Endpoints aus Sicherheitsgr nden Die neue Version der SafeGuard Enterprise Verschl sselungssoftware mit den ausgew hlten Features ist auf den Endpoints installiert Hinweis F r Informationen zum zentralen Aktualisieren von durch SafeGuard Enterprise gesch tzten Endpoints siehe Installation der Verschl sselungssoftware Seite 60 Verwenden Sie die Eigenschaft ADDLOCAL zur Auswahl der gew nschten Features vorhandene und neue Installationsanleitung 12 5 Aktualisieren zu zentral verwalteten Endpoints Standalone Endpoints lassen sich zu Endpoints mit einer zentral verwalteten Konfiguration aktualisieren Diese Endpoints k nnen im SafeGuard Management Center verwaltet werden und haben eine Verbindung zum SafeGuard Enterprise Server Voraussetzungen F hren Sie ein Backup des Endpoint durch bevor Sie die Migration starten Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen Es ist keine Deinstallation der Sophos SafeGuard Verschl sselungssoftware auf den Endpoints n tig Sophos SafeGuard Version 5 60 1 ist auf dem Endpoint installiert ltere Versionen m ssen aktualisiert werden bis Version 5 60 1 erreicht ist So aktualisieren Sie Endpoint Konfigurationen lokal 9 Melden Sie sich an dem Computer als Administrator an Installieren Sie das neue Pr Installationspaket S6xCl
81. ls der IIS Server befindet stellen Sie das eingebaute Network Service Benutzerkonto f r DefaultAppPool ein In der Musterkonfiguration gilt dies f r Server 2 Andernfalls schl gt die Synchronisierung mit dem Client fehl Installieren von SafeGuard Enterprise Server Hinweis Sie m ssen die Aufgaben in diesem Abschnitt nur ausf hren wenn Sie beim Standalone Betrieb administrative Ma nahmen im SafeGuard Management Center protokollieren wollen oder wenn Sie SafeGuard Enterprise im zentral verwalteten Modus betreiben wollen Nachdem der IIS konfiguriert ist k nnen Sie SafeGuard Enterprise Server auf dem IIS Server installieren Das Installationspaket SGNServer msi finden Sie in der Produktlieferung 1 Doppelklicken Sie auf dem Server auf dem Sie SafeGuard Enterprise Server installieren m chten auf SGNServer msi Ein Assistent f hrt Sie durch die notwendigen Schritte 2 bernehmen Sie in den folgenden Dialogen die Standardeinstellungen Der Taskplaner wird automatisch mit dem Installationstyp Vollst ndig installiert SafeGuard Enterprise Server mit Taskplaner wird installiert Hinweis Aus Performance Gr nden ist die Verkettung von protokollierten Ereignissen f r die SafeGuard Enterprise Datenbank nach der Installation des SafeGuard Enterprise Servers standardm ig deaktiviert Ohne die Verkettung steht f r die protokollierten Ereignisse jedoch kein Integrit tsschutz zur Verf gung Die Verkettung verkn pft alle Eintr g
82. manuell so dass er mit den neuen Konfigurationsdaten z B SSL Einstellungen aktualisiert werden kann Installieren Sie das neue Konfigurationspaket auf dem Server Registrieren und Konfigurieren des SafeGuard Enterprise Servers f r einen anderen Computer Wenn der SafeGuard Enterprise Server auf einem anderen Computer als das SafeGuard Management Center installiert wurde registrieren und konfigurieren Sie den SafeGuard Enterprise Server 1 Starten Sie das SafeGuard Management Center 2 Klicken Sie im Extras Men auf Konfigurationspakete 3 W hlen Sie die Registerkarte Server und klicken Sie auf Hinzuf gen 4 Klicken Sie unter Serverregistrierung auf die Schaltfl che um das Maschinenzertifikat des Servers auszuw hlen Es wird bei der Installation des SafeGuard Enterprise Servers erzeugt Sie finden es standardm ig im Verzeichnis MachCert des SafeGuard Enterprise Server Installationsverzeichnisses Es tr gt den Dateinamen lt Computername gt cer Wenn der SafeGuard Enterprise Server auf einem anderen Computer als das SafeGuard Management Center installiert ist muss diese cer Datei als Kopie oder Netzwerkfreigabe zugreifbar sein W hlen Sie nicht das MSO Zertifikat Der Fully Qualified Name FQDN z B server mycompany com sowie Zertifikatsinformationen werden angezeigt Hinweis Wenn SSL als Transportverschl sselung zwischen Endpoint und Server verwendet werden soll muss der Servername den Sie hier ei
83. muss nicht notwendigerweise nur auf einem Computer installiert sein Es kann auf jedem Rechner im Netzwerk installiert sein von wo aus auf die Datenbank zugegriffen werden kann Voraussetzungen Folgende Voraussetzungen m ssen erf llt sein E F r diese Release unterst tzte SafeGuard Management Plattformen Windows Server 2008 und Windows Server 2008 R2 mit den aktuellen Service Packs 32 Bit und 64 Bit E Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen E NET Framework 4 muss installiert sein Das Programm steht in der SafeGuard Enterprise Produktlieferung zur Verf gung E Wenn Sie eine neue SafeGuard Enterprise Datenbank w hrend der SafeGuard Management Center Konfiguration erzeugen wollen ben tigen Sie entsprechende SQL Zugriffsberechtigungen siehe Datenbankzugriffsrechte Seite 24 5 2 Installieren des SafeGuard Management Center 1 Starten Sie SGNManagementCenter msi aus dem Installationsordner Ihrer Produktlieferung Ein Assistent f hrt Sie durch die notwendigen Schritte 2 bernehmen Sie die Standardeinstellungen in den n chsten Dialogen wie folgt F hren Sie auf der Installationsart ausw hlen Seite einen der folgenden Schritte aus E Wenn das SafeGuard Management Center nur eine Datenbank unterst tzen soll w hlen Sie eine Installation vom Typ Typisch aus Installationsanleitung 5 3 5 4 m Wenn das SafeGuard Management Center mehrere Datenbanken unterst tzen soll Multi T
84. n Sie SafeGuard Enterprise im zentral verwalteten Modus betreiben wollen Dieser Abschnitt beschreibt wie Sie Microsoft Internet Information Services IIS f r den Betrieb mit SafeGuard Enterprise Server vorbereiten Die Einstellungen variieren je nach IIS Version und Betriebssystemversion F r folgende Kombinationen werden spezifische Setup Informationen angegeben E IIS 6 auf Microsoft Windows Server 2003 E JIS 7 auf Microsoft Windows Server 2008 E JIS 7 5 auf Microsoft Windows Server 2008 R2 Installieren und Konfigurieren von IIS 6 auf Microsoft Windows Server 2003 IIS ist kostenlos verf gbar Sie finden das Programm z B auf Ihrer Windows DVD oder auf der Microsoft Website 1 Klicken Sie im Start Men auf Systemsteuerung und w hlen Sie Windows Komponenten hinzuf gen entfernen 2 Klicken Sie in der Komponenten Liste auf Application Server 3 Klicken Sie in Application Server auf Details und w hlen Sie Internet Information Services IIS 4 W hlen Sie au erdem ASP NET 5 Klicken Sie auf OK IIS 6 wird mit einer Standardkonfiguration zum Hosten von ASP NET installiert 6 berpr fen Sie mit http lt server name gt ob die Web Seite korrekt angezeigt wird Weitere Informationen finden Sie unter http support microsoft com Installationsanleitung 3 2 1 1 Pr fen der NET Framework Installation und Registrierung 3 2 1 2 3 2 1 3 NET Framework 4 ist erforderlich Sie finden das Programm in de
85. n Sie auf Weiter dann auf Installieren und dann auf Schlie en IIS wird mit einer Standardkonfiguration zum Hosten von ASP NET installiert 9 berpr fen Sie mit http lt server name gt ob die Web Seite korrekt angezeigt wird Weitere Informationen finden Sie unter http support microsoft com Pr fen der NET Framework Registrierung bei IIS 7 NET Framework Version 4 ist erforderlich 1 Um zu berpr fen ob NET Framework installiert und mit der korrekten Version registriert ist siehe Pr fen der NET Framework Installation und Registrierung Seite 15 Pr fen der ASP NET Registrierung bei IIS 7 ASP NET Version 4 ist erforderlich 1 Um zu berpr fen ob ASP NET installiert und mit der korrekten Version registriert ist geben Sie das Kommando aspnet_regiis exe lv auf der Kommandozeile ein F r ASP NET Version sollte Version 4 0 angezeigt werden 17 SafeGuard Enterprise 3 3 H rten des IIS Servers 3 3 1 18 Hinweis Sie m ssen die Aufgaben in diesem Abschnitt nur ausf hren wenn Sie beim Standalone Betrieb administrative Ma nahmen im SafeGuard Management Center protokollieren wollen oder wenn Sie SafeGuard Enterprise im zentral verwalteten Modus betreiben wollen Zur Erh hung der Sicherheit im Intranet Ihres Unternehmens empfehlen wir jeden IIS Server sowie die Anwendungen die auf diesem Server laufen durch spezifische Sicherheitseinstellungen zu sch tzen und ihn so zu h rten Dieses
86. n in den USA und in Kanada an Software f r besonders sicherheitskritische Informationen die Anforderung der FIPS 140 2 Zertifizierung SafeGuard Enterprise nutzt FIPS zertifizierte AES Algorithmen Standardm ig wird eine neue schnellere Implementierung der AES Algorithmen installiert die noch nicht FIPS zertifiziert ist Um die FIPS zertifizierte Variante des AES Algorithmus zu nutzen setzen Sie beim Installieren der SafeGuard Enterprise Verschl sselungssoftware die Eigenschaft FIPS_AES auf 1 eins Hierzu gibt es zwei M glichkeiten E F gen Sie die Eigenschaft zum Kommandozeilen Skript hinzu msiexec i F Software SGNClient msi FIPS_AES E Verwenden Sie ein Transform Installation auf selbst verschl sselnden Opal Festplatten SafeGuard Enterprise unterst tzt den anbieter unabh ngigen Opal Standard f r selbst verschl sselnde Festplatten und bietet die Verwaltung von Endpoints mit dieser Art von Festplatten Um sicherzustellen dass die Unterst tzung von selbst verschl sselnden Opal Festplatten diesem Standard m glichst genau entspricht werden bei der Installation von SafeGuard Enterprise auf dem Endpoint zwei Arten von Pr fungen durchgef hrt E Funktionale Pr fungen 69 SafeGuard Enterprise 70 Hier wird u a gepr ft ob sich die Festplatte als OPAL Festplatte identifiziert ob Kommunikationseinstellungen korrekt sind und ob alle f r SafeGuard Enterprise erforderlichen Opal Features von
87. nde Komponenten aktualisiert werden F hren Sie die Aktualisierung in der angegebenen Reihenfolge aus 1 SafeGuard Enterprise Datenbank 2 SafeGuard Enterprise Server 3 SafeGuard Management Center 4 Durch SafeGuard Enterprise gesch tzte Endpoints Hinweis Eine Aktualisierung von SafeGuard Enterprise 5 60 2 VS NfD auf SafeGuard Enterprise 6 wird nicht unterst tzt Nach der Aktualisierung aller SafeGuard Enterprise Komponenten und Endpoints auf Version 5 60 2 empfehlen wir die Umstellung auf den sichereren Algorithmus SHA 256 f r das Signieren von durch SafeGuard Enterprise erzeugten Zertifikaten Hinweis ndern Sie den Algorithmus nur dann wenn bei allen SafeGuard Enterprise Komponenten und Endpoints eine Aktualisierung auf die aktuelle Version durchgef hrt wurde In gemischten Umgebungen in denen zum Beispiel SafeGuard Enterprise 5 60 1 Endpoints mit dem SafeGuard Management Center 5 60 2 verwaltet werden wird SHA 256 nicht unterst tzt Weitere Informationen finden Sie in der SafeGuard Enterprise Administrator Hilfe im Abschnitt ndern des Algorithmus f r selbst signierte Zertifikate Aktualisieren der SafeGuard Enterprise Datenbank und des Datenbankschemas Voraussetzungen m Eine SafeGuard Enterprise Datenbank 5 60 1 muss installiert sein ltere Versionen m ssen zun chst auf Version 5 60 1 aktualisiert werden m Es werden SQL Migrationsskripte f r die Aktualisierung ben tigt Sie finden diese im Tools Databa
88. nen Sie SQL Server Management Studio Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an ffnen Sie den Objekt Explorer klicken Sie mit der rechten Maustaste auf Sicherheit w hlen Sie Neu und klicken Sie dann auf Anmeldungen W hlen Sie unter Anmeldung Neu auf der Allgemein Seite die Option Windows Authentifizierung Klicken Sie auf Suchen Suchen Sie nach dem relevanten Windows Benutzernamen und klicken Sie auf OK Der Benutzername wird als Anmeldename angezeigt Wenn noch keine SafeGuard Enterprise Datenbank durch ein Skript angelegt wurde w hlen Sie unter Standarddatenbank die Option Master 6 Klicken Sie auf OK 7 Um die Datenbank automatisch w hrend der Erstkonfiguration des SafeGuard Management Centers zu erzeugen m ssen Sie die Zugriffsrechte wie folgt ndern Weisen Sie jetzt unter Anmeldung Neu die Zugangsberechtigungen Rollen zu indem Sie links auf Serverrollen klicken W hlen Sie dbcreator Nach der Installation von SafeGuard Enterprise kann die Datenbankrolle auf dbowner zur ckgesetzt werden lalx L Skript E Hilfe LA Allgemein Serverrollen Benutzerzuordnung L Sicherungsf hige Elemente A Status Die Serverrolle wird verwendet um einem Benutzer serverweite Sicherheitsprivilegien zu erteilen Serverrollen U bulkadmin dbcreator FI dbcresto U diskadmin processadmin securiyadmin serveradmin setupadmin sysadmin Server
89. ngeben mit dem Servernamen bereinstimmen den Sie im SSL Zertifikat vergeben haben Andernfalls ist keine Kommunikation m glich 5 Klicken Sie auf OK Die Serverinformationen werden in der Registerkarte Server angezeigt 6 Klicken Sie auf die Registerkarte Server Pakete Hier werden alle verf gbaren Server angezeigt W hlen Sie dort den gew nschten Server aus Geben Sie einen Ausgabepfad f r das Konfigurationspaket an Klicken Sie auf Konfigurationspaket erstellen Ein Server Konfigurationspaket MSI mit der Bezeichnung lt Server gt msi wird im angegebenen Ausgabeort erstellt 7 Best tigen Sie die Erfolgsmeldung mit OK 8 Klicken Sie in der Registerkarte Server auf Schlie en Die Registrierung und Konfiguration des SafeGuard Enterprise Servers ist beendet Installieren Sie das Server Konfigurationspaket MSI auf dem Computer auf dem der SafeGuard Enterprise Server l uft Sie k nnen die Serverkonfiguration in der Registerkarte Server jederzeit ndern Installationsanleitung Hinweis Wenn Sie ein neues Server Konfigurationspaket MSI auf dem SafeGuard Enterprise Server installieren m chten deinstallieren Sie zun chst das veraltete Konfigurationspaket L schen Sie dar ber hinaus den Local Cache manuell so dass er mit den neuen Konfigurationsdaten z B SSL Einstellungen aktualisiert werden kann Installieren Sie dieses Konfigurationspaket auf dem Server 8 3 ndern der Safe uard Enterprise Server Eigensch
90. nstalliert werden Erzeugen eines Konfigurationspakets f r zentral verwaltete Computer Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete W hlen Sie Pakete f r Managed Clients Klicken Sie auf Konfigurationspaket hinzuf gen Geben Sie einen beliebigen Namen f r das Konfigurationspaket ein ver O N e Ordnen Sie einen prim ren SafeGuard Enterprise Server zu der sekund re Server ist nicht notwendig 6 Falls erforderlich geben Sie eine Richtliniengruppe an die auf die Computer angewendet werden soll Diese m ssen Sie zuvor im SafeGuard Management Center erstellt haben Wenn Sie f r Aufgaben nach der Installation auf dem Computer Service Accounts verwenden m chten stellen Sie sicher dass die entsprechende Richtlinieneinstellung in dieser ersten Richtliniengruppe definiert ist siehe Service Accounts f r die Durchf hrung von Aufgaben nach der Installation Seite 59 7 W hlen Sie den Modus f r die Transportverschl sselung der bestimmt wie die Verbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Server verschl sselt wird Sophos Verschl sselung oder SSL Verschl sselung Der Vorteil bei SSL ist dass es ein Standardprotokoll ist und eine schnellere Verbindung aufgebaut werden kann als mit der SafeGuard Transportverschl sselung F r weitere Informationen siehe Sichern von Transportverbindungen mit SSL Seite 49 8 Geben Sie einen Ausgabepfad f r das
91. nt Centers im SafeGuard Management Center Konfigurationsassistenten Verwenden Sie SQL Authentisierung f r Computer die sich nicht in einer Dom ne befinden Ansonsten verwenden Sie Windows Authentisierung Wenn Sie SQL Authentisierung einsetzen empfehlen wir die Verbindung zu und vom Datenbankserver durch SSL zu sichern F r weitere Informationen siehe Einrichten von SSL Seite 49 23 SafeGuard Enterprise 4 1 1 Datenbankzugriffsrechte 24 SafeGuard Enterprise ist so eingerichtet dass es f r das Zusammenspiel mit der SQL Datenbank nur ein einziges Benutzerkonto mit minimalen Zugriffsberechtigungen auf die Datenbank ben tigt Dieses Benutzerkonto wird vom SafeGuard Management Center genutzt und lediglich auf den ersten Sicherheitsbeauftragten des SafeGuard Management Centers ausgestellt Damit ist die Verbindung zur SafeGuard Enterprise Datenbank gew hrleistet W hrend des Betriebs von SafeGuard Enterprise ben tigt ein einziger Sicherheitsbeauftragter des SafeGuard Management Centers nur die Lese Schreib Berechtigung f r die SafeGuard Enterprise Datenbank Die SafeGuard Enterprise Datenbank kann entweder manuell oder automatisch w hrend der Erstkonfiguration im SafeGuard Management Center erzeugt werden Soll die Datenbank automatisch erstellt werden so sind f r den ersten SafeGuard Management Center Sicherheitsbeauftragten erweiterte Zugriffsrechte f r die SQL Datenbank db_creator erforderlich Diese Berechtigungen
92. onal Zentrales Management Werkzeug f r durch SafeGuard Enterprise gesch tzte Endpoints zur Verwaltung von Schl sseln und Zertifikaten Benutzern und Computern sowie zur Erstellung von SafeGuard Enterprise Richtlinien Das SafeGuard Management Center kommuniziert mit der SafeGuard Enterprise Datenbank NET Framework 4 ist erforderlich Import eines Active Directory Es enth lt die Organisationsstruktur des Unternehmens mit Benutzern und Computern SafeGuard Enterprise Verschl sselungssoftware auf Endpoints Verschl sselungssoftware zur Authentisierung und Datenverschl sselung auf Endpoints Durch SafeGuard Enterprise gesch tzte Endpoints k nnen entweder mit dem SafeGuard Enterprise Server verbunden sein zentral verwaltet oder keine Verbindung zu einem SafeGuard Enteprise Server haben Standalone Zentral verwaltete Endpoints erhalten ihre Richtlinien direkt vom SafeGuard Enterprise Server Standalone Endpoints erhalten ihre Richtlinien in Konfigurationspaketen die mit einen Dritt Verteilungsmechanismus verteilt werden k nnen SafeGuard Enterprise 2 Erste Schritte Hinweis Wenn nicht anders erw hnt gilt dieses Kapitel sowohl f r die zentral verwaltete Variante als auch f r die Standalone Variante von SafeGuard Enterprise Dieser Abschnitt erkl rt die notwendigen Vorbereitungsma nahmen f r eine erfolgreiche Installation von SafeGuard Enterprise E Erstinstallation Der SGN Install Advisor vereinfacht
93. os f r die vorkonfigurierte Installation Im Skript m ssen die Features der Verschl sselungssoftware aufgelistet sein die Sie installieren m chten siehe Feature Parameter f r die ADDLOCAL Option Seite 67 ffnen Sie eine Befehlseingabeaufforderung und geben Sie die Scripting Befehle ein F r Informationen zur Kommandozeilen Syntax siehe Kommandozeilenoptionen f r die zentrale Installation Seite 66 4 Verteilen Sie das Paket ber unternehmensinterne Software Verteilungsmechanismen an die Endpoints Das Installation wird auf den Endpoints ausgef hrt Danach sind die Endpoints f r den Einsatz von SafeGuard Enterprise bereit 65 SafeGuard Enterprise 9 5 3 3 66 5 Stellen Sie nach der Installation sicher dass die Endpoints zweimal neu gestartet werden um die Power on Authentication zu aktivieren Die Computer m ssen ein drittes Mal neu gestartet werden um eine Sicherung der Kerneldaten bei jedem Windows Start durchzuf hren Stellen Sie sicher dass die Computer vor dem dritten Neustart nicht in den Ruhezustand versetzt werden damit die Sicherung der Kerneldaten erfolgreich abgeschlossen werden kann Zus tzliche Konfiguration kann erforderlich sein damit sich die Power on Authentication POA auf jeder Hardware Plattform korrekt verh lt Die meisten Hardware Konflikte lassen sich mit Hilfe von Hotkeys Funktionalit ten beheben die in die POA integriert sind Hotkeys k nnen nach der Installation konfiguriert
94. ownloads details aspx FamilyID 766a6af7 ec73 40f b072 9112bab119c2 oder stellen Sie sicher dass MSVCR100 d11 im Ordner Windows WinSxS folder auf dem Computer vorhanden ist Doppelklicken Sie auf dem relevanten Verschl sselungssoftwarepaket MSI Ein Assistent f hrt Sie durch die notwendigen Schritte Installationsanleitung 9 5 3 9 5 3 1 5 bernehmen Sie im Assistenten in allen folgenden Dialogen die Standardeinstellungen Hinweis Bei einer Erstinstallation empfehlen wir von Beginn an eine Vollst ndige Installation auszuw hlen Um nur einen Teil der Features zu installieren w hlen Sie eine Angepasste Installation und aktivieren deaktivieren Sie die entsprechenden Features SafeGuard Enterprise wird auf dem Endpoint installiert 6 Wechseln Sie an den Speicherort des relevanten Konfigurationspakets MSI das Sie zuvor im SafeGuard Management Center erzeugt haben F r zentral verwaltete Endpoints und Standalone Endpoints m ssen spezifische Konfigurationspakete installiert werden siehe Erzeugen von Konfigurationspaketen Seite 58 7 Installieren Sie das relevante Konfigurationspaket MSI auf dem Computer 8 Stellen Sie nach der Installation sicher dass die Endpoints zweimal neu gestartet werden um die Power on Authentication zu aktivieren Die Computer m ssen ein drittes Mal neu gestartet werden um eine Sicherung der Kerneldaten bei jedem Windows Start durchzuf hren Stellen Sie sicher dass die Computer vo
95. r SafeGuard Enterprise Produktlieferung So berpr fen Sie ob das Programm korrekt auf IIS 6 oder IIS 7 installiert ist l 2 W hlen Sie im Start Men den Befehl Ausf hren Geben Sie folgendes Kommando ein Appwiz cpl Alle auf dem Computer installierten Programme werden angezeigt berpr fen Sie ob NET Framework Version 4 angezeigt wird Wird die Version nicht angezeigt installieren Sie sie Folgen Sie den Schritten im Installationsassistenten und best tigen Sie alle Standardeinstellungen Um zu pr fen ob die Installation korrekt registriert ist wechseln Sie in C Windows Microsoft NET Framework Jede installierte Version muss als separater Ordner mit der Version als Ordnername sichtbar sein v4 0 Pr fen der ASP NET Registrierung bei IIS 6 ASP NET Version 4 ist erforderlich So berpr fen Sie ob die korrekte ASP NET Version installiert und bei IIS 6 registriert ist l 2 ffnen Sie den Internet Information Services Manager auf dem IIS Server Klicken Sie in der Navigationsbaumstruktur unter Internet Information Services auf SGNSRV SGNSRV lokaler Computer und dann auf Websites Klicken Sie unter Websites mit der rechten Maustaste auf Standard Websites und dann auf Eigenschaften W hlen Sie die ASP NET Registerkarte Neben ASP NET Version sollte Version 4 0 angezeigt werden E Wenn diese Version angezeigt wird w hlen Sie sie aus Klicken Sie auf Anwenden und dann auf OK E Wird
96. r dem dritten Neustart nicht in den Ruhezustand versetzt werden damit die Sicherung der Kerneldaten erfolgreich abgeschlossen werden kann SafeGuard Enterprise wird auf dem Endpoint eingerichtet Informationen zum Anmeldeverhalten des Computers nach der Installation von SafeGuard Enterprise finden Sie in der SafeGuard Enterprise Benutzerhilfe Zentrale Installation der Verschl sselungssoftware Durch die zentrale Installation der Verschl sselungssoftware wird eine standardisierte Installation auf mehreren Endpoints erreicht Hinweis Die Installations und Konfigurationspakete k nnen im Rahmen einer zentralen Softwareverteilung nur einem Endpoint zugewiesen werden nicht aber einem Benutzer So f hren Sie eine zentrale Installation durch M Pr fen Sie die verf gbaren Installationspakete und Features f r zentral verwaltete Endpoints und Standalone Endpoints siehe Installationspakete und Features Seite 60 Pr fen Sie die Kommandozeilenoptionen Pr fen Sie die Liste mit Feature Parametern f r die ADDLOCAL Befehlszeilenoption Pr fen Sie die Beispielbefehle Bereiten Sie das Installationsskript vor Zentrale Installation der Verschl sselungssoftware ber Active Directory Stellen Sie sicher dass Sie die folgenden Schritte bei der zentralen Installation der Verschl sselungssoftware ber Gruppenrichtlinienobjekte GPO in einem Active Directory durchf hren 63 SafeGuard Enterprise Hinweis Die Installations und
97. r und SQL Server Browser L uft und der Startmodus auf Automatisch eingestellt ist 4 W hlen Sie in der Navigationsstruktur auf der linken Seite SQL Server Netzwerkkonfiguration 5 Klicken Sie mit der rechten Maustaste auf das Protokoll Named Pipes und klicken Sie auf Aktiviert 6 Klicken Sie mit der rechten Maustaste auf das Protokoll TCP IP und klicken Sie auf Aktiviert 7 Klicken Sie au erdem mit der rechten Maustaste auf das Protokoll TCP IP und klicken Sie auf Eigenschaften Belassen Sie in der Registerkarte IP Adressen unter IPAlll das Feld Dynamische TCP Ports leer Geben Sie im Feld TCP Port 1433 ein 8 Starten Sie die SQL Dienste neu 29 SafeGuard Enterprise 30 4 5 4 6 Erstellen einer Windows Firewall Regel auf Windows Server 2008 R2 Diese Beschreibung bezieht sich auf Microsoft Windows Server 2008 R2 mit Microsoft SQL Server 2008 Standard oder Express Edition Wenn Sie diese Konfiguration verwenden f hren Sie die nachfolgend angegebenen Schritte aus um sicherzustellen dass eine Verbindung zwischen der SafeGuard Enterprise Datenbank und dem SafeGuard Management Center hergestellt werden kann 1 Klicken Sie auf dem Computer der als Host f r die SQL Server Instanz dient auf Start w hlen Sie Verwaltung und klicken Sie dann auf Windows Firewall mit erweiterter Sicherheit 2 W hlen Sie in der Navigationsstruktur auf der linken Seite Eingehende Regeln 3 Klicken Sie in der Men leiste auf Ak
98. ratoren Vollzugriff System Vollzugriff Jeder Benutzer Ausf hren Inklusive Dateien inc shtm shtml Administratoren Vollzugriff System Vollzugriff Jeder Benutzer Ausf hren Statischer Content txt gif jpg htm html Administratoren Vollzugriff System Vollzugriff Jeder Benutzer Nur lesen Installationsanleitung 3 3 5 3 3 6 3 4 Deaktivieren der integrierten Windows Authentifizierung Wir empfehlen die integrierte Windows Authentisierung in IIS zu deaktivieren um so das Senden unn tiger Authentisierungsinformationen zu vermeiden 1 Doppelklicken Sie im IIS Manager auf den lokalen Computer klicken Sie mit der rechten Maustaste auf den Ordner Websites und klicken Sie danach auf Eigenschaften 2 Klicken Sie auf die Registerkarte Verzeichnissicherheit und danach im Bereich Authentifizierung und Zugriffssteuerung auf Bearbeiten 3 Deaktivieren Sie unter Authentifizierter Zugriff das Kontrollk stchen Integrierte Windows Authentifizierung 4 Klicken Sie zweimal auf OK Einstellungen f r den Anwendungspool DefaultAppPool Die Einstellungen sind davon abh ngig wo sich der IIS Server befindet E Wenn sich der SQL Server auf dem gleichen Computer wie der IIS Server befindet stellen Sie das eingebaute Local Service Benutzerkonto f r DefaultAppPool ein In der Musterkonfiguration gilt dies f r Server 1 E Wenn sich der SQL Server auf einem anderen Computer a
99. rch E Entschl sseln Sie verschl sselte Daten E Deinstallieren Sie die Verschl sselungssoftware Hinweis F r Entschl sselung und Deinstallation m ssen auf den Endpoints die entsprechenden Richtlinien wirksam sein Verhindern einer Deinstallation auf den Endpoints Um den Schutz f r Endpoints noch zu verst rken empfehlen wir dass Sie die lokale Deinstallation von SafeGuard Enterprise auf Endpoints verhindern Setzen Sie das Feld Deinstallation erlaubt in einer Spezifische Computereinstellungen Richtlinie auf Nein und bermitteln Sie die Richtlinie an die Endpoints Versuche die Software zu deinstallieren werden daraufhin abgebrochen und die nicht autorisierten Versuche werden protokolliert Entschl sseln von verschl sselten Daten Folgende Voraussetzung muss erf llt sein Installationsanleitung 13 2 3 F r die Entschl sselung von verschl sselten Volumes m ssen alle volume basierend verschl sselten Volumes einen Laufwerksbuchstaben haben l Bearbeiten Sie im SafeGuard Management Center die aktuelle Richtlinie vom Typ Ger teschutz den den zu entschl sselnden Computern zugewiesen ist W hlen Sie die Ziele und stellen Sie die Option Benutzer darf Volume entschl sseln auf Ja ein Weisen Sie die Richtlinie den relevanten Endpoints zu Erstellen Sie eine Richtlinie vom Typ Ger teschutz w hlen Sie die Ziele die entschl sselt werden sollen und stellen Sie den Verschl sselungsmodus f r Medien auf Kein
100. reits im Vorfeld definieren welche Features auf den Endpoints installiert werden sollen Die Feature Namen werden als Parameter zur Kommandozeilenoption ADDLOCAL hinzugef gt Listen Sie die Features nach der Eingabe der Option ADDLOCAL auf E Trennen Sie die Features durch Kommas nicht durch Leerzeichen E Achten Sie au erdem auf die Gro Kleinschreibung E Wenn Sie ein Feature ausw hlen m ssen Sie auch alle bergeordneten Features Feature Parents zur Kommandozeile hinzuf gen E Die Features Client und Authentication m ssen Sie standardm ig auflisten In den folgenden Tabellen sind alle Features aufgelistet die auf den Endpoints installiert werden k nnen Weitere Informationen finden Sie unter http www sophos com de de support knowledgebase 108426 aspx 67 SafeGuard Enterprise 9 5 3 5 Features f r die Sophos SafeGuard Festplattenverschl sselung In der folgenden Tabelle sind die f r das Paket f r die Sophos SafeGuard Festplattenverschl sselung von SGNClient msi SGNClient_x64 msi verf gbaren Features aufgelistet die zur ADDLOCAL Option hinzugef gt werden k nnen Hinweis Das Feature Parent Client und das Feature Authentication m ssen standardm ig angegeben werden Feature Parents Feature Client Authentisierung Obligatorisch Das Feature Authentication und sein Feature Parent Client m ssen standardm ig angegeben werden Client Authentication CredentialProvider Obligatorisch f r
101. rise Servers f r einen anderen Computer Seite 52 Installationsanleitung 9 Einrichten von SafeGuard Enterprise auf Endpoints 9 1 Hinweis Wenn nicht anders erw hnt gilt dieses Kapitel sowohl f r die zentral verwalteten Endpoints als auch f r Standalone Endpoints Die SafeGuard Enterprise Verschl sselungssoftware f gt sich nahtlos in die gewohnte Benutzerumgebung ein und l sst sich leicht und intuitiv bedienen Je nach Ihrer Strategie f r den Einsatz von SafeGuard Enterprise k nnen Sie die Endpoints mit verschiedenen SafeGuard Enterprise Modulen ausstatten und sie gem Ihren Anforderungen konfigurieren Sicherheitsbeauftragte k nnen die Installation und Konfiguration lokal auf den Endpoints oder im Rahmen einer zentralisierten Software Installation ausf hren Durch eine zentrale Installation wird eine standardisierte Installation auf mehreren Endpoints erreicht Zentral verwaltete Endpoints und Standalone Endpoints Endpoints k nnen folgenderma en konfiguriert werden E Zentral verwaltet SafeGuard Enterprise Clients Managed Zentrale server basierte Verwaltung im SafeGuard Management Center F r zentral verwaltete Endpoints besteht generell eine Verbindung zum SafeGuard Enterprise Server Sie erhalten ihre Richtlinien ber den SafeGuard Enterprise Server Die Verbindung kann tempor r unterbrochen sein z B w hrend einer Gesch ftsreise Trotzdem ist der Endpoint auch in dieser Situation als zentral verwaltet d
102. rodukte k nnen nicht zusammen auf einem Computer installiert werden Wenn Sie zum Beispiel versuchen SafeGuard LAN Crypt 3 6x auf einem Installationsanleitung 2 5 2 2 5 3 2 5 4 2 6 Computer zu installieren auf dem bereits SafeGuard Enterprise 5 60 2 installiert ist wird die Installation mit einer Fehlermeldung abgebrochen Kompatibilit t mit SafeGuard PrivateCrypto und SafeGuard PrivateDisk SafeGuard Enterprise 5 60 2 VS NfD und die Standalone Produkte SafeGuard PrivateCrypto ab Version 2 30 sowie SafeGuard PrivateDisk ab Version 2 30 k nnen gleichzeitig auf einem Computer installiert sein Sowohl SafeGuard PrivateCrypto als auch SafeGuard PrivateDisk k nnen dann das SafeGuard Enterprise Schl sselmanagement mit benutzen Kompatibilit t mit SafeGuard RemovableMedia Die Komponente SafeGuard Data Exchange und SafeGuard RemovableMedia k nnen nicht zusammen auf einem Computer installiert werden Bevor Sie das SafeGuard Data Exchange auf einem Endpoint installieren pr fen Sie ob SafeGuard RemovableMedia bereits installiert ist In diesem Fall m ssen Sie SafeGuard RemovableMedia deinstallieren bevor Sie SafeGuard Data Exchange installieren Lokale Schl ssel die vor dem Wechsel zu SafeGuard Data Exchange mit einer SafeGuard RemovableMedia Version vor 1 20 erzeugt wurden k nnen auf durch SafeGuard Enterprise gesch tzte Computer benutzt werden Sie werden jedoch nicht automatisch an die SafeGuard Enterprise Datenban
103. rtrag reproduziert werden darf oder Sie verf gen ber eine schriftliche Genehmigung des Urheberrechtsinhabers Sophos Sophos Anti Virus und SafeGuard sind eingetragene Warenzeichen von Sophos Limited Sophos Group und Utimaco Safeware AG sofern anwendbar Alle anderen erw hnten Produkt und Unternehmensnamen sind Marken oder eingetragene Marken der jeweiligen Inhaber Copyright Informationen von Drittanbietern finden Sie in dem Dokument Disclaimer and Copyright for 3rd Party Software in Ihrem Produktverzeichnis
104. rvern und diesen Datenbanken siehe Testen der Verbindung IIS 6 auf Windows Server 2003 Seite 48 Installationsanleitung 11 7 Einrichten des Endpoint F r Informationen zum Installieren der Verschl sselungssoftware auf Endpoints siehe Zentrale Installation der Verschl sselungssoftware Seite 63 Hinweis Stellen Sie zum Einrichten der Endpoints sicher dass Sie nach der Installation das korrekte Konfigurationspaket installieren 1 Installieren Sie das Client Konfigurationspaket Graz auf den Endpoints die mit dem Graz Server WS_1 verbunden werden sollen 2 Installieren Sie das Client Konfigurationspaket Linz auf den Endpoints die mit dem Linz Server WS_2 verbunden werden sollen F r Informationen zum Aktualisieren von replizierten SafeGuard Enterprise Datenbanken siehe Aktualisieren von replizierten SafeGuard Enterprise Datenbanken Seite 81 79 SafeGuard Enterprise 12 Aktualisierung 12 1 80 Hinweis Wenn nicht anders erw hnt gilt dieses Kapitel sowohl f r die zentral verwaltete Variante als auch f r die Standalone Variante von SafeGuard Enterprise Sie k nnen eine direkte Aktualisierung von SafeGuard Enterprise 5 60 1 auf SafeGuard Enterprise 5 60 2 VS NfD durchf hren Wenn Sie eine Aktualisierung von einer lteren Version durchf hren m chten m ssen Sie zun chst eine Aktualisierung auf Version 5 60 1 durchf hren F r eine Aktualisierung auf SafeGuard Enterprise 5 60 2 VS NfD m ssen folge
105. schl sselungsrichtlinien und Einstellungen wird eine Datenbank verwendet Damit das SafeGuard Management Center mit dem SafeGuard Enterprise Server kommunizieren kann m ssen Sie eine Authentisierungsmethode f r den Zugriff auf die Datenbank festlegen entweder Windows NT Authentisierung oder SQL Authentisierung Wenn Sie eine Verbindung zum Installationsanleitung Datenbankserver mit SQL Authentisierung herstellen m chten stellen Sie sicher dass Sie die notwendigen SQL Anmeldedaten zur Hand haben Falls notwendig erhalten Sie diese Informationen von Ihrem SQL Administrator 1 F hren Sie auf der Seite Datenbankserver Verbindung folgende Schritte aus m W hlen Sie unter Verbindungseinstellungen den SQL Datenbankserver aus der Datenbankserver Liste aus Es werden alle Rechner eines Netzwerks aufgelistet auf denen ein Microsoft SQL Server installiert ist Wenn der Server nicht ausw hlbar ist tragen Sie Servername bzw IP Adresse mit dem SQL Instanznamen manuell ein E Aktivieren Sie SSL verwenden um die Verbindung zwischen SafeGuard Management Center und SQL Datenbankserver zu sichern Wenn Sie Folgende Anmeldeinformationen f r SQL Server Authentisierung anwenden unter Authentisierung ausw hlen empfehlen wir dringend diese Einstellung zu aktivieren da dadurch der Transport der SQL Anmeldedaten verschl sselt wird SSL Verschl sselung erfordert eine funktionsf hige SSL Umgebung auf dem SQL Datenbankserver die Sie vorab einrich
106. se scripts Verzeichnis Ihrer Software Lieferung Stellen Sie sicher dass sie auf dem Datenbank Computer vorhanden sind m NET Framework 4 ist erforderlich Dies muss vor der Aktualisierung installiert werden Das Programm steht in der SafeGuard Enterprise Software Lieferung zur Verf gung m Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen Installationsanleitung 12 1 1 So aktualisieren Sie die SafeGuard Enterprise Datenbank und das Datenbankschema 1 2 3 4 l fen Schlie en Sie alle Instanzen des SafeGuard Management Centers Erstellen Sie eine Sicherungskopie von der SafeGuard Enterprise Datenbank ffnen Sie Microsoft SQL Server Management Studio Klicken Sie im Objekt Explorer mit der rechten Maustaste auf der SafeGuard Enterprise Datenbank und klicken Sie auf Eigenschaften W hlen Sie im Fenster Datenbankeigenschaften Fenster die Seite Optionen auf der linken Seite W hlen Sie unter Status Zugriff beschr nken den Modus Single f r das Ausf hren der SQL Migrationskripte Klicken Sie im Objekt Explorer mit der rechten Maustaste auf der SafeGuard Enterprise Datenbank und klicken Sie auf Neue Abfrage Aktualisieren Sie mit den SQL Migrationsskripten das Datenbankschema Die Datenbank muss Version f r Version auf die aktuelle Version konvertiert werden Abh ngig von der installierten Version starten Sie nacheinander die folgenden SQL Skripte zum Beispiel a
107. sie nicht angezeigt geben Sie das Kommando aspnet_regiis exe i auf der Kommandozeile ein um sicherzustellen dass die ASP Services in der Version 4 0 installiert sind Um zu berpr fen ob die korrekte Version installiert ist geben Sie aspnet_regiis exe lv auf der Kommandozeile ein F r ASP NET Version sollte Version 4 0 angezeigt werden Konfigurieren von ASP NET f r IIS 6 auf Windows Server 2003 64 Bit Wenn Sie IIS 6 verwenden und SafeGuard Enterprise Server auf Windows Server 2003 64 Bit installieren wollen f hren Sie die folgenden zus tzlichen Schritte durch l Geben Sie folgendes Kommando ein cscript SYSTEMDRIVE inetpub adminscripts adsutil vbs SET W3SVC AppPools Enable32bitAppOnWin64 1 15 SafeGuard Enterprise 3 2 1 4 3 2 1 5 3 2 2 16 2 Registrieren Sie die ben tigte ASP NET Version mit folgendem Kommando SYSTEMROOT Microsoft NET Framework64 v4 0 aspnet_regiis exe i 3 Um die 32 Bit Version von ASP Net 4 0 zu aktivieren ffnen Sie den Internet Information Services Manager auf dem IIS Server 4 Doppelklicken Sie im IIS Manager auf Server lokaler Computer und dann auf Webdiensterweiterungen 5 Klicken Sie mit der rechten Maustaste auf ASP NET v4 0 32 Bit klicken Sie auf Eigenschaften und setzen Sie den Status auf Zugelassen 6 Klicken Sie auf Anwenden und dann auf OK Spezifisches SafeGuard Benutzerkonto f r IIS 6 W hrend der Konfiguration von US 6 wird ein Benutz
108. sschritten im SafeGuard Management Center finden Sie in der SafeGuard Enterprise Administratorhilfe 5 7 1 Anmeldung im Single Tenancy Modus 1 Starten Sie das SafeGuard Management Center ber das Start Men Ein Anmeldebildschirm wird angezeigt 2 Melden Sie sich als Haupt Sicherheitsbeauftragter an und geben Sie das Zertifikatsspeicherkennwort ein das w hrend der Konfiguration festgelegt wurde Klicken Sie auf OK 41 SafeGuard Enterprise Das SafeGuard Management Center wird gestartet Hinweis Wenn Sie ein falsches Kennwort eingeben wird eine Fehlermeldung angezeigt und die n chste Anmeldung wird verz gert Diese Verz gerung wird mit jedem fehlgeschlagenen Anmeldeversuch gr er Fehlgeschlagene Anmeldeversuche werden protokolliert 5 7 2 Anmeldung im Multi Tenancy Modus 42 5 8 Wenn Sie mehrere Datenbanken konfiguriert haben Multi Tenancy erweitert sich der Anmeldevorgang am SafeGuard Management Center 1 Starten Sie das SafeGuard Management Center ber den Produktordner im Start Men Der Dialog Konfiguration ausw hlen wird angezeigt 2 W hlen Sie die Datenbankkonfiguration aus die Sie verwenden m chten und klicken Sie auf OK Die ausgew hlte Datenbankkonfiguration wird mit dem SafeGuard Management Center verbunden und wird aktiv 3 Sie werden dazu aufgefordert den Sicherheitsbeauftragtennamen f r diese Konfiguration auszuw hlen und das entsprechende Zertifikatsspeicherkennwort einzugeben Kl
109. stellt 35 SafeGuard Enterprise 5 4 5 5 4 6 36 Erstellen oder Ausw hlen einer Datenbank Legen Sie auf der Seite Datenbankeinstellungen fest ob eine existierende Datenbank oder eine neue Datenbank zum Speichern der Administrationsdaten benutzt werden soll 1 Gehen Sie wie folgt vor m Wenn noch keine Datenbank existiert w hlen Sie Eine neue Datenbank mit folgendem Namen erstellen Geben Sie einen Namen f r die neue Datenbank ein Sie ben tigen dazu die entsprechenden SQL Zugriffsberechtigungen siehe Datenbankzugriffsrechte Seite 24 Um Probleme zu vermeiden sollten in SafeGuard Enterprise Datenbanknamen nur folgende Zeichen verwendet werden Buchstaben A Z a z Zahlen 0 9 Unterstriche _ E Wenn bereits eine Datenbank angelegt wurde oder wenn Sie das SafeGuard Management Center bereits auf einem anderen Computer installiert haben klicken Sie auf Folgende bestehende Datenbank w hlen und w hlen Sie die entsprechende Datenbank aus der Liste aus 2 Klicken Sie auf Weiter Erstellen eines Haupt Sicherheitsbeauftragten Master Security Officer MSO Als Sicherheitsbeauftragter melden Sie sich am SafeGuard Management Center an um SafeGuard Enterprise Richtlinien zu erstellen und die Verschl sselungssoftware f r die Endbenutzer zu konfigurieren Der Haupt Sicherheitsbeauftragte MSO ist der Administrator h chster Ebene mit allen Rechten und einem Zertifikat das nicht abl uft 1 Geben Sie a
110. stplattenverschl sselung von Beginn an zu installieren Installationsanleitung SGFileEncComplayer msi Inhalt SafeGuard LAN Crypt Kompatibilit tspaket Kompatibilit tskomponente f r den erfolgreichen Betrieb von SafeGuard Data Exchange 5 60 2 mit SafeGuard LAN Crypt 3 7x auf einem Endpoint Das Paket muss nur in diesem Fall installiert werden Verf gbar Verf gbar f r zentral f r verwaltete Sarkhreiirkis Endpoints SGxClientPreinstall msi SGNClient msi SGNClient_x64 msi Pr Installations Paket Diese Paket muss vor der Installation eines Verschl sselungsinstallationspakets installiert werden Es stattet Endpoints mit notwendigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware aus SafeGuard Paket f r die Festplattenverschl sselung L Obligatorisch Obligatorisch Festplattenverschl sselung f r interne und externe Festplatten Mit Power on Authentication W hlen Sie den Installationstyp Vollst ndig Typisch oder Angepasst SecureDataExchange SafeGuard Data Exchange Dateibasierende Verschl sselung von Daten auf Wechselmedien auf allen Plattformen ohne Neuverschl sselung W hlen Sie den Installationstyp Vollst ndig oder Angepasst 61 SafeGuard Enterprise Inhalt Verf gbar Verf gbar f r zentral f r verwaltete Sarbhreiirkis Endpoints SGNClientRuntime msi SafeGuard Runtime Paket a SGNClientR
111. stratorrechte E Microsoft Internet Information Services IIS muss verf gbar sein IIS ist kostenlos verf gbar Sie finden das Programm z B auf Ihrer Windows DVD oder auf der Microsoft Website E Wenn Sie SSL als Transportverschl sselung zwischen SafeGuard Enterprise Server und SafeGuard Enterprise Client verwenden muss der IIS Server daf r eingerichtet werden siehe Sichern von Transportverbindungen mit SSL Seite 49 Ein Zertifikat muss ausgestellt und der IIS Server so konfiguriert werden dass er SSL verwendet und auf das Zertifikat zeigt 13 SafeGuard Enterprise Der Servername den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben muss identisch sein mit dem Servernamen den Sie vorab im SSL Zertifikat angegeben haben Sonst k nnen Client und Server nicht miteinander kommunizieren F r jeden SafeGuard Enterprise Server wird ein separates SSL Zertifikat ben tigt Wenn Sie Network Load Balancer einsetzen vergewissern Sie sich dass der Portbereich den SSL Port mit einschlie t E NET Framework 4 und ASP NET 4 muss installiert sein Das Programm steht in der SafeGuard Enterprise Produktlieferung zur Verf gung 3 2 Installation und Konfiguration von Microsoft Internet Information 3 2 1 14 Services IIS Hinweis Sie m ssen die Aufgaben in diesem Abschnitt nur ausf hren wenn Sie beim Standalone Betrieb administrative Ma nahmen im SafeGuard Management Center protokollieren wollen oder wen
112. t des Haupt Sicherheitsbeauftragten wird in eine Datei exportiert die so genannte private Schl sseldatei P12 Diese ist mit einem Kennwort gesichert Das Zertifikat des Haupt Sicherheitsbeauftragten ist dadurch zus tzlich gesch tzt Die private Schl sseldatei wird f r die Wiederherstellung einer besch digten SafeGuard Management Center Installation ben tigt So exportieren Sie das Zertifikat eines Haupt Sicherheitsbeauftragten 1 Geben Sie unter Zertifikat exportieren ein Kennwort f r den privaten Schl ssel P12 Datei ein und best tigen Sie es Das Kennwort muss aus 8 alphanumerischen Zeichen bestehen 2 Klicken Sie auf OK 3 Geben Sie einen Speicherort f r die private Schl sseldatei ein Die private Schl sseldatei wird erzeugt und die Datei wird am angegebenen Speicherort gespeichert lt mso_name p12 37 SafeGuard Enterprise 5 4 6 3 5 4 7 38 Hinweis Erstellen Sie eine Sicherungskopie des privaten Schl ssels P12 Datei und legen Sie diese direkt nach der Erstkonfiguration an einem sicheren Speicherort ab Andernfalls f hrt ein eventueller PC Absturz zum Verlust des Schl ssels und SafeGuard Enterprise muss neu installiert werden Das gilt f r alle von SafeGuard Enterprise generierten Sicherheitsbeauftragten Zertifikate Weitere Informationen finden Sie in der SafeGuard Enterprise Administratorhilfe im Kapitel Unternehmenszertifikat und Master Security Officer Zertifikat exportieren Import des Zer
113. t einen Resolver auf Dieser bestimmt welche Daten akzeptiert und an andere Standorte verteilt werden Einrichten der Datenbankreplikation Der Vorgang des Einrichtens einer Replikation f r die SafeGuard Enterprise Datenbank wird am Beispiel von Microsoft SQL Server 2005 beschrieben Im Beispiel wird SafeGuard Enterprise ausschlie lich von der Datenbank in Wien aus administriert Alle nderungen werden vom SafeGuard Management Center ber den Microsoft SQL Server 2005 Replikationsmechanismus an die Datenbanken in Graz und Linz weitergegeben Die von den Client Computern ber die Web Server gemeldeten nderungen werden ebenfalls ber den Replikationsmechanismus an den Microsoft SQL Server 2005 weitergegeben 75 SafeGuard Enterprise 11 2 1 11 2 2 76 SGN Client_1 SGN Client_n SGN Client 1 SGN Client_n Erzeugen der Master Datenbank Legen Sie zun chst die SafeGuard Enterprise Master Datenbank an In unserem Beispiel ist dies die Datenbank Wien Der Vorgang zum Erzeugen der Master Datenbank ist mit dem entsprechenden Vorgang f r eine SafeGuard Enterprise Installation ohne Replikation identisch E Erzeugen der Master Datenbank im SafeGuard Management Center Konfigurationsassistenten F r diesen Vorgang muss das SafeGuard Management Center bereits installiert sein F r weitere Informationen siehe Starten der Erstkonfiguration des SafeGuard Management Center Seite 34 E Erzeugen Sie die Master Datenbank mit e
114. ten Sie m ssen diese dem SafeGuard Management Center Sicherheitsbeauftragten mitteilen oix Seite aus sw h Re ur O de L Skript 1 Hilfe Allgemein Serverrollen f TE I Beruszerzuordhung Anmeldename SGN SQLSERVICE Suchen Sicherungsf hige Elemente T ANAA NENTA Status 5 SAL Server Authentifizierung Kennwort 00 jooeseneenes Kennwort best tigen ELTIIIIIITT I Kennwortrichtlinie erzwingen I Ablauf des Kennwortes erzwingen Fe J Enderr Zugeordnet zu Zertifikat Zertifikatsname Zugeordnetzu asymmetrischen Schl ssel Verbindung Schl sselname Zi Server SAV 2003R2 DE Standarddatenbank master v Standardsprache KStandare gt z Verbindung UTIMACO Administrator 2 Verbindungseigenschaften anzeigen stats Bereit 0K Abbreche Installationsanleitung 4 2 5 Um die Datenbank automatisch w hrend der Erstkonfiguration des SafeGuard Management Centers zu erzeugen m ssen Sie die Zugriffsrechte wie folgt ndern Weisen Sie jetzt unter Anmeldung Neu unter Allgemein die Zugangsberechtigungen Rollen zu indem Sie links auf Serverrollen klicken W hlen Sie dbcreator Nach der Installation von SafeGuard Enterprise kann die Datenbankrolle auf dbowner zur ckgesetzt werden loix L Skript 7 Hilfe LA Allgemein Serverollen L Benutzerzuordnung L Sicherungsf hige Elemente A Status Die Serverrolle wird verwendet um einem Benutzer serverweite
115. ten Features Bearbeiten Sie im SafeGuard Management Center die Richtlinie vom Typ Spezifische Computereinstellungen Stellen Sie die Option Deinstallation erlaubt auf Ja ein Legen Sie unter Benutzer und Computer eine Gruppe f r die Computer an die Sie entschl sseln m chten Rechtsklicken Sie auf den Dom nenkonten an dem Sie die Gruppe erstellen m chten W hlen Sie dann Neu gt Neue Gruppe erzeugen W hlen Sie den Dom nenknoten dieser Gruppe und weisen Sie die Richtlinien zum Deinstallieren zu indem Sie die Richtlinie aus der Verf gbare Richtlinien Liste in die Registerkarte Richtlinien ziehen Aktivieren Sie die Richtlinie indem Sie jetzt die Gruppe aus der Liste der Verf gbaren Gruppen in den Bereich Aktivierung ziehen Stellen Sie in der Registerkarte Richtlinien des Dom nenknotens sicher dass die Priorit t auf 1 gesetzt und die Einstellung Kein berschreiben aktiviert ist Stellen Sie im Bereich Aktivierung des Dom nenknotens sicher dass nur Mitglieder der Gruppe von dieser Richtlinie betroffen sind F gen Sie die Endpoints bei denen die Deinstallation ausgef hrt werden soll zur Gruppe hinzu Wenden Sie zum Starten der Deinstallation eine der folgenden Methoden an E Um eine lokale Deinstallation auf dem Endpoint durchzuf hren synchronisieren Sie diesen mit dem SafeGuard Enterprise Server Damit stellen Sie sicher dass die Richtlinienaktualisierung auf dem Computer eingegangen und aktiv ist W
116. ten m ssen siehe Sichern von Transportverbindungen mit SSL Seite 49 2 W hlen Sie unter Authentisierung die Art der Authentisierung die f r den Zugriff auf die Datenbankserverinstanz benutzt werden soll Dies ist erforderlich damit das SafeGuard Management Center mit der Datenbank kommunizieren kann E Aktivieren Sie Windows NT Authentisierung verwenden um Ihre Windows Anmeldedaten zu verwenden Hinweis Verwenden Sie diese Art der Authentisierung wenn Ihr Computer Teil einer Dom ne ist In diesem Fall sind jedoch zus tzliche Konfigurationsschritte notwendig da der Benutzer dazu berechtigt sein muss eine Verbindung mit der Datenbank herzustellen siehe Konfigurieren eines Windows Benutzerkontos f r die Anmeldung am SQL Server Seite 25 und Konfigurieren der Windows Authentisierung f r die Anmeldung am SQL Server Seite 30 E Aktivieren Sie Folgende Anmeldeinformationen f r SQL Server Authentisierung anwenden um mit den entsprechenden SQL Anmeldeinformationen auf die Datenbank zuzugreifen Geben Sie die Anmeldeinformationen des SQL Benutzerkontos ein das Ihr SQL Administrator erstellt hat Falls notwendig erhalten Sie diese Informationen von Ihrem SQL Administrator Hinweis Verwenden Sie diese Art der Authentisierung wenn Ihr Computer keiner Dom ne angeh rt Aktivieren Sie SSL verwenden um die Verbindung zum und vom Datenbankserver zu sichern 3 Klicken Sie auf Weiter Die Verbindung zum Datenbankserver ist herge
117. ten und sich an der Power on Authentication anmelden Die Endpoints werden erst nach dem zweiten Neustart gesch tzt L schen Sie veraltete und nicht mehr verwendete Konfigurationspakete Der Endpoint hat nun eine Verbindung zum SafeGuard Enterprise Server 85 SafeGuard Enterprise 13 13 1 13 2 13 2 1 13 2 2 86 Deinstallation berblick Hinweis Wenn nicht anders erw hnt gilt dieses Kapitel sowohl f r die zentral verwaltete Variante als auch f r die Standalone Variante von SafeGuard Enterprise Dieser Abschnitt behandelt folgende Themen Mm Verhindern der Deinstallation der Sophos SafeGuard Verschl sselungssoftware E Best Practices f r die Deinstallation E Deinstallation der Sophos SafeGuard Verschl sselungssoftware Best Practices f r die Deinstallation Wenn die SafeGuard Enterprise Verschl sselungssoftware auf demselben Computer wie das SafeGuard Management Center installiert ist f hren Sie den folgende Deinstallationsvorgang durch damit Sie weiterhin eine der beiden Komponenten benutzen k nnen 1 Deinstallieren Sie das SafeGuard Management Center 2 Deinstallieren Sie das Konfigurationspaket 3 Deinstallieren Sie die Verschl sselungssoftware 4 Installieren Sie das Paket das Sie weiterhin benutzen m chten neu Deinstallation der SafeGuard Enterprise Verschl sselungssoftware F hren Sie zum Deinstallieren der SafeGuard Enterprise Verschl sselungssoftware folgende Schritte du
118. terprise im zentral verwalteten Modus betreiben wollen Der SafeGuard Enterprise Server stellt die Schnittstelle zu den SafeGuard Enterprise Clients her Er greift wie das SafeGuard Management Center auf die Datenbank zu Er l uft als Applikation auf einem Web Server basierend auf Microsoft Internet Information Services IIS Der SafeGuard Enterprise Server bietet au erdem den Taskplaner mit dem Sie periodische Tasks die auf Skripten basieren erstellen und geplant ausf hren lassen k nnen Die Tasks laufen automatisch auf dem SafeGuard Enterprise Server Sie finden die Skripte in der SafeGuard Enterprise Produktlieferung Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Administratorhilfe Wir empfehlen den Einsatz eines dedizierten IIS f r SafeGuard Enterprise Server Dadurch wird die Performance verbessert Au erdem verhindert dies dass andere Anwendungen mit SafeGuard Enterprise in Konflikt geraten z B wegen der verwendeten Version von ASP NET Dieses Kapitel beschreibt wie Sie SafeGuard Enterprise Server mit Taskplaner auf IIS installieren Zuerst m ssen Sie Microsoft Internet Information Services IIS installieren und konfigurieren Voraussetzungen Folgende Voraussetzungen m ssen erf llt sein E F r diese Release unterst tzte SafeGuard Enterprise Server Plattformen Windows Server 2008 und Windows Server 2008 R2 mit den aktuellen Service Packs 32 Bit und 64 Bit E Sie ben tigen Windows Admini
119. tialverschl sselung Im Rahmen der initialen Konfiguration von zentral verwalteten Endpoints k nnen Verschl sselungsrichtlinien erstellt werden die in einem Konfigurationspaket an die durch SafeGuard Enterprise gesch tzten Endpoints verteilt werden k nnen Wenn der durch SafeGuard Enterprise gesch tzte Endpoint jedoch nicht direkt nach der Installation des Konfigurationspakets eine Verbindung mit dem SafeGuard Enterprise Server herstellt sondern vor bergehend offline ist werden nur Verschl sselungsrichtlinien mit den folgenden spezifischen Einstellungen sofort wirksam Ger teschutz vom Typ volume basierend unter Anwendung des definierten Computerschl ssels als Verschl sselungsschl ssel Damit alle anderen Richtlinien die Verschl sselung mit benutzerdefinierten Schl sseln umfassen auf dem durch SafeGuard Enterprise gesch tzten Endpoint wirksam werden muss das entsprechende Konfigurationspaket auch noch einmal der Organizational Unit des Endpoint zugewiesen werden Die benutzerdefinierten Schl ssel werden dann erst erstellt wenn der Endpoint wieder eine Verbindung zum SafeGuard Enterprise Server hergestellt hat Ursache hierf r ist dass der definierte Computerschl ssel direkt auf dem durch SafeGuard Enterprise gesch tzten Endpoint beim ersten Neustart nach der Installation erstellt wird Benutzerdefinierte Schl ssel hingegen k nnen nur auf dem Endpoint erstellt werden wenn er beim SafeGuard Enterprise Server registriert
120. tifikats des Haupt Sicherheitsbeauftragten Wenn bereits ein Zertifikat eines Haupt Sicherheitsbeauftragten zur Verf gung steht m ssen Sie es in den Zertifikatsspeicher importieren Hinweis Ein Zertifikat kann nicht aus einer Microsoft PKI importiert werden Ein importiertes Zertifikat muss minimal 1024 Bits haben und kann maximal 4096 Bits lang sein 1 Klicken Sie unter Authentisierungs Schl sseldatei importieren auf die Schaltfl che und w hlen Sie die Schl sseldatei aus Geben Sie das Kennwort der Schl sseldatei ein Geben Sie das zuvor unter Kennwort des Zertifikatsspeichers oder Token PIN definierte Kennwort f r den Zertifikatsspeicher ein W hlen Sie In den Zertifikatsspeicher importieren oder Auf den Token kopieren um das Zertifikat auf einem Token zu speichern 2 Geben Sie zur Initialisierung des Zertifikatsspeichers das Kennwort noch einmal ein Zertifikat und privater Schl ssel befinden sich nun im Zertifikatsspeicher Zur Anmeldung an das SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet Erzeugen des Unternehmenszertifikats Mit dem Unternehmenszertifikat lassen sich unterschiedliche SafeGuard Management Center Installationen auseinander halten In Verbindung mit dem Zertifikat des Haupt Sicherheitsbeauftragten l sst sich mit dem Unternehmenszertifikat eine besch digte SafeGuard Enterprise Datenbankkonfiguration wiederherstellen 1 W hlen Sie auf der Seite Unternehmenszertifikat
121. tion und dann auf Neue Regel Der Assistent f r neue eingehende Regeln wird gestartet 4 W hlen Sie auf der Regeltyp Seite Benutzerdefiniert und klicken Sie auf Weiter 5 W hlen Sie auf der Programm Seite die Programme und Dienste auf die diese Regel angewendet werden soll Klicken Sie dann auf Weiter 6 W hlen Sie auf der Protokolle und Ports Seite TCP als Protokolltyp W hlen Sie f r Lokaler Port die Option Bestimmte Ports und geben Sie 1433 ein W hlen Sie f r Remoteport die Option Alle Ports Klicken Sie auf Weiter 7 Auf der Bereich Seite k nnen Sie festlegen dass die Regel nur f r den Netzverkehr von oder an die auf dieser Seite angegebenen IP Adressen gilt Nehmen Sie die entsprechende Konfiguration vor und klicken Sie auf Weiter 8 W hlen Sie auf der Seite Aktion die Option Verbindung zulassen und klicken Sie auf Weiter 9 Geben Sie auf der Seite Profil an wo die Regel angewendet werden soll Klicken Sie dann auf Weiter 10 Geben Sie auf der Seite Name einen Namen und eine Beschreibung f r Ihre Regel ein und klicken Sie auf Beenden Konfigurieren der Windows Authentisierung f r die Anmeldung am SQL Server Diese Beschreibung bezieht sich auf Microsoft Windows Server 2008 R2 mit Microsoft SQL Server 2008 Standard oder Express Edition Um die Kommunikation zwischen dem SafeGuard Enterprise Server und der SafeGuard Enterprise Datenbank bei Anwendung der Windows Authentisierung zu erm glichen muss der Benutzer
122. tionspaket SGxClientPreinstall msi Dieses Paket stattet die Endpoints mit notwendigen Voraussetzungen f r die erfolgreiche Installation der Verschl sselungssoftware aus l fe Installieren Sie das SafeGuard Enterprise Verschl sselungspaket auf dem ausgew hlten Volume 11 Erstellen Sie ein Konfigurationspaket gem Ihren Anforderungen und verteilen Sie esan den Endpoint 12 Verschl sseln Sie beide Volumes mit dem definierten Computerschl ssel 73 SafeGuard Enterprise 10 4 Starten von einem sekund ren Volume ber einen Boot Manager 1 Starten Sie den Computer 2 Melden Sie sich an der Power on Authentication mit Ihren Anmeldeinformationen an 3 Starten Sie den Boot Manager und w hlen Sie das gew nschte sekund re Volume als Boot Laufwerk 4 Starten Sie den Computer von diesem Volume neu Auf jedes Volume das mit dem definierten Computerschl ssel verschl sselt ist kann zugegriffen werden 74 Installationsanleitung 11 11 1 11 2 Replikation der SafeGuard Enterprise Datenbank Hinweis Die in diesem Kapitel beschriebenen Aufgaben sind nur relevant wenn Sie SafeGuard Enterprise im zentral verwalteten Modus betreiben wollen Zur Optimierung der Performance der SafeGuard Enterprise Datenbank l sst sich diese auf mehrere SQL Server replizieren Dieser Abschnitt beschreibt das Aufsetzen der Replikation f r die SafeGuard Enterprise Datenbank in einer verteilten Umgebung In der Besc
123. tt Beschreibung Richten Sie das Runtime System auf dem sekund ren Boot Laufwerk des Endpoint ein Paket Tool SGNClientRuntime msi SGNClientRuntime_x64 msi Statten Sie die Endpoints mit notwendigen Voraussetzungen f r eine SGxClientPreinstall msi Installationsanleitung 2 3 2 4 Schritt Beschreibung erfolgreiche Installation der aktuellen Verschl sselungssoftware aus Paket Tool Installieren Sie das SafeGuard Paket Festplattenverschl sselung SGNClient msi auf dem prim ren Boot Laufwerk des Endpoint SGNClient msi SGNClient_x64 msi Erstellen Sie das erste Konfigurationspaket f r die Endpoint Konfiguration Konfigurationspakete Funktion im SafeGuard Management Center berpr fen der Systemanforderungen Bevor Sie SafeGuard Enterprise installieren pr fen Sie die Systemanforderungen Informationen zu Hardware und Software Anforderungen Service Packs sowie Festplattenspeicherbedarf f r Installation und effektiven Betrieb finden Sie in den Versionsinfos Sprache der Benutzeroberfl che Die Spracheinstellungen f r die Installations und Konfigurationsassistenten und die verschiedenen SafeGuard Enterprise Komponenten sind wie folgt Assistenten Die Sprache der Installations und Konfigurationsassistenten der verschiedenen Installationspakete wird automatisch an die Spracheinstellungen des Betriebssystems angepasst Wenn die Betriebssystemsprache f
124. tung 8 Registrieren und Konfigurieren des SafeGuard 8 1 Enterprise Server Hinweis Sie m ssen die Aufgaben in diesem Kapitel nur ausf hren wenn Sie beim Standalone Betrieb administrative Ma nahmen im SafeGuard Management Center protokollieren wollen oder wenn Sie SafeGuard Enterprise im zentral verwalteten Modus betreiben wollen wenn Sie beim Standalone Betrieb administrative Ma nahmen im SafeGuard Management Center protokollieren wollen registrieren Sie die Server Software auf dem Computer auf dem auch das SafeGuard Management Center installiert ist siehe Registrieren und Konfigurieren des SafeGuard Enterprise Server f r den aktuellen Computer Seite 51 Zur Implementierung der Informationen f r die Kommunikation zwischen IIS Server Datenbank und dem SafeGuard gesch tzten Endpoint muss der SafeGuard Enterprise Server registriert und konfiguriert werden Die Informationen werden in einem Server Konfigurationspaket gespeichert Diesen Schritt f hren Sie im SafeGuard Management Center durch Der Workflow ist davon abh ngig ob der SafeGuard Enterprise Server auf demselben Computer wie das SafeGuard Management Center oder auf einem anderen Computer installiert ist Sie k nnen auch weitere Eigenschaften festlegen So lassen sich z B zus tzliche Sicherheitsbeauftragte f r den ausgew hlten Server hinzuf gen Sie k nnen auch die Verbindung zur Datenbank konfigurieren Registrieren und Konfigurieren des SafeGuard Enterpr
125. uf der Seite Daten des Sicherheitsbeauftragten unter Haupt Sicherheitsbeauftragten ID einen Namen f r den Haupt Sicherheitsbeauftragten ein 2 Geben Sie unter Anmeldung mit Token an ob Sie einen Token eine Smartcard f r die Anmeldung benutzen m chten oder nicht Wir empfehlen dass Sie die Anmeldung mit Token nicht als Zwingend erforderlich definieren Eine Anmeldung mit Token bzw Smartcard erfordert eine gesonderte Konfiguration die innerhalb des SafeGuard Management Centers zu erledigen ist 3 F hren Sie auf der Seite Zertifikat f r den Haupt Sicherheitsbeauftragten einen der folgenden Schritte aus E Klicken Sie auf Erzeugen um ein neues Zertifikat f r den Haupt Sicherheitsbeauftragten zu erzeugen Sie werden dazu aufgefordert sowohl f r den Zertifikatsspeicher als auch f r die Datei in die das Zertifikat exportiert werden soll private Schl sseldatei P12 jeweils ein Kennwort einzugeben und zu best tigen Das Zertifikat wird erzeugt und unter Zertifikat f r den Haupt Sicherheitsbeauftragten angezeigt Installationsanleitung 5 4 6 1 5 4 6 2 E Klicken Sie auf Importieren um ein Zertifikat f r den Haupt Sicherheitsbeauftragten zu verwenden das bereits auf dem Netz zur Verf gung steht Suchen Sie unter Importieren des Zertifikats die gesicherte Schl sseldatei Geben Sie unter Kennwort der Datei das f r diese Datei festgelegte Kennwort ein und best tigen Sie es W hlen Sie Schl sseldatei im Zertifikatsspeich
126. ung w hrend der Konfiguration des SafeGuard Management Centers nicht gew nscht ist 27 SafeGuard Enterprise 4 2 1 4 2 2 28 Es h ngt von Ihrer Unternehmensumgebung ab welche Methode Sie anwenden Am besten sollte dies zwischen SQL Administrator und SafeGuard Enterprise Sicherheitsbeauftragten vorab gekl rt werden Voraussetzungen Folgende Voraussetzungen m ssen erf llt sein E Microsoft SQL Server muss bereits installiert und konfiguriert sein F r kleinere Unternehmen eignet sich der Einsatz der Microsoft SQL Express Edition da keine Lizenzkosten anfallen M Aus Performance Gr nden sollte Microsoft SQL Server nicht auf dem Rechner installiert werden auf dem der SafeGuard Enterprise Server installiert wird E Die Authentisierungsverfahren sowie die Zugriffsrechte f r die Datenbank sollten gekl rt werden Erzeugen der SafeGuard Enterprise Datenbank per Skript Wenn Sie die SafeGuard Datenbank automatisch w hrend der Konfiguration des SafeGuard Management Center erzeugen m chten k nnen Sie diesen Schritt berspringen Wenn erweiterte SQL Berechtigungen w hrend der SafeGuard Management Center Konfiguration nicht erw nscht sind f hren Sie diesen Schritt aus Dazu stehen im Tools Verzeichnis der Produktlieferung zwei Datenbank Skripte zur Verf gung m CreateDatabase sql m CreateTables sql Die folgende Beschreibung der Arbeitsschritte wendet sich an SQL Administratoren und bezieht sich auf Microsoft S
127. untime x64 msi Erm glicht das Starten des Endpoint von einem sekund ren Boot Laufwerk erm glicht wenn mehrere Betriebssysteme installiert sind und der den Zugriff auf diese Laufwerke erlaubt wenn diese durch die prim re SafeGuard Enterprise Installation verschl sselt sind 9 5 2 Lokales Installieren der Verschl sselungssoftware 62 Voraussetzungen Die Computer m ssen f r die Verschl sselung vorbereitet sein siehe Vorbereiten der Endpoints f r die Verschl sselung Seite 56 Entscheiden Sie welches Verschl sselungspaket und welche Features installiert werden sollen So f hren Sie eine lokale Installation der Verschl sselungssoftware durch 1 Melden Sie sich an dem Computer als Administrator an Wenn Sie auf einem Endpoint LAN Crypt 3 7x installiert haben und SafeGuard Data Exchange installieren m chten installieren Sie zuerst die Kompatibilit tskomponente SGFileEncCompLayer msi oder SGFileEncCompLayer_x64 msi Sie finden die Komponente in Ihrer Produktlieferung F r weitere Informationen siehe Kompatibilit t mit SafeGuard LAN Crypt Seite 10 Installieren Sie das Pr Installationspaket S6xClientPreinstall msi das den Endpoint mit den n tigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware ausstattet Hinweis Alternativ k nnen Sie auch die Datei veredist_x86 exe installieren die Sie hier herunterladen k nnen http www microsoft com d
128. ware Konfigurationsdatei hinzugef gt F r weitere Informationen siehehttp www sophos com de de support knowledgebase 110285 aspx Untersuchen Sie die Festplatte n mit folgendem Kommando auf Fehler chkdsk drive F V X Unter Umst nden werden Sie dazu aufgefordert den Endpoint neu zu starten und chkdsk noch einmal auszuf hren Weitere Informationen finden Sie unter http www sophos com de de support knowledgebase 107799 aspx So pr fen Sie die Ergebnisse Log Datei in der Windows Ereignisanzeige Windows XP W hlen Sie Anwendung Winlogon Windows 7 Windows Vista W hlen Sie Windows Logs Anwendung Wininit Benutzen Sie das Windows Tool defrag um fragmentierte Boot Dateien Datendateien und Ordner auf lokalen Volumes aufzufinden und zu konsolidieren Weitere Informationen finden Sie unter http www sophos com de de support knowledgebase 109226 aspx Deinstallieren Sie Third Party Boot Manager z B PROnetworks Boot Pro und Boot US Wenn die Bootpartition auf dem Endpoint von FAT nach NTFS konvertiert wurde der Endpoint aber noch nicht neu gestartet wurde sollten Sie den Endpoint einmal neu starten Andernfalls kann die Installation unter Umst nden nicht erfolgreich abgeschlossen werden Nur f r zentral verwaltete SafeGuard Enterprise Endpoints Kontrollieren Sie ob eine Verbindung zum SafeGuard Enterprise Server besteht Rufen Sie auf den Endpoints im Internet Explorer folgende Web Adresse auf http lt ServerlPA
129. werden entweder in der POA selbst oder ber eine zus tzliche Konfigurationseinstellung die dem Windows Installer Befehl msiexec mitgegeben wird Weitere Informationen finden Sie unter http www sophos com de de support knowledgebase 107781 aspx http www sophos com de de support knowledgebase 107785 aspx Kommandozeilenoptionen f r die zentrale Installation Wir empfehlen f r die zentrale Installation ein Skript mit der Windows Installer Komponente msiexec zu erstellen Msiexec f hrt eine vorkonfigurierte SafeGuard Enterprise Installation automatisch aus Msiexec steht in Windows XP Vista und Windows 7 zur Verf gung Weitere Informationen finden Sie unter http msdn microsoft com en us library aa367988 VS 85 aspx Kommandozeilen Syntax msiexec i lt pathtmsi package name gt qn ADDLOCAL ALL lt SGN Features gt lt SGN parameter gt Die Kommandozeilensyntax setzt sich folgenderma en zusammen m Windows Installer Parameter die z B Warnungen und Fehlermeldungen w hrend der Installation in eine Datei protokollieren m Sophos SafeGuard Features die installiert werden sollen z B vollst ndige volume basierende Festplattenverschl sselung m Sophos SafeGuard Parameter die z B das Installationsverzeichnis angeben Kommandozeilen Optionen Alle verf gbaren Optionen k nnen Sie ber msiexec exe in der Eingabeaufforderung abrufen Im Folgenden sind wichtige Optionen beschrieben Option Beschreibung
130. wurde 9 3 Vorbereiten der Endpoints f r die Verschl sselung Hinweis Wenn nicht anders erw hnt gilt dieses Kapitel sowohl f r die zentral verwalteten Endpoints als auch f r Standalone Endpoints Vor der Installation von SafeGuard Enterprise empfehlen wir folgende vorbereitende Ma nahmen Auf dem Endpoint muss ein Benutzerkonto eingerichtet und aktiv sein Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen Erstellen Sie einen kompletten Backup Ihrer Daten auf dem Endpoint Laufwerke die verschl sselt werden sollen m ssen komplett formatiert sein und einen Laufwerksbuchstaben zugewiesen haben Installationsanleitung 9 3 1 E Sophos stellt eine Datei f r die Hardware Konfiguration zur Verf gung um Konflikte zwischen der POA und Ihrer Endpoint Hardware zu vermeiden Die Datei ist im Installationspaket der Verschl sselungssoftware enthalten Wir empfehlen vor jeder gr er angelegten SafeGuard Enterprise Installation die aktuelle Version dieser Datei zu installieren Die Datei wird monatlich aktualisiert und steht hier zum Download zur Verf gung http www sophos com de de support knowledgebase 65700 aspx Sie k nnen uns bei der Optimierung der Hardware Kompatibilit t unterst tzen indem Sie ein von uns zur Verf gung gestelltes Tool ausf hren Dieses Tool liefert ausschlie lich Hardware relevante Informationen Das Tool ist einfach zu bedienen Die gesammelten Informationen werden zur Hard
131. zu einem Mitglied von Active Directory Gruppen gemacht werden Die Berechtigungen f r lokale Dateien m ssen angepasst werden und das SQL Benutzerkonto muss in den Anwendungspool des IIS aufgenommen werden 1 W hlen Sie Start und dann Ausf hren Geben Sie dsa msc ein ffnen Sie das Active Directory Users and Computers Snap in Installationsanleitung Klappen Sie in der Navigationsstruktur auf der linken Seite die Dom nenstruktur aus und w hlen Sie Builtin F gen Sie den relevanten Windows Benutzer zu folgenden Gruppen hinzu IIS_IUSRS Performance Log Users Performance Monitor Users 4 Beenden Sie das Snap in 11 12 13 14 15 16 17 18 19 20 21 Klicken Sie im lokalen Dateisystem im Windows Explorer mit der rechten Taste auf den C Windows Temp Ordner und w hlen Sie Eigenschaften W hlen unter Eigenschaften die Registerkarte Sicherheit Klicken Sie unter Sicherheit auf Hinzuf gen und geben Sie den relevanten Windows Benutzernamen im Feld Geben Sie die zu verwendenden Objektnamen ein ein Klicken Sie auf OK Klicken Sie unter Sicherheit bei Berechtigungen auf Erweitert Klicken Sie in der Berechtigungen Registerkarte des Dialogs Erweiterte Sicherheitseinstellungen f r Temp auf Bearbeiten Setzen Sie dann im Objekt Dialog die folgenden Berechtigungen auf Zulassen Ordner auflisten Daten lesen Dateien erstellen Daten schreiben L schen Klicken Sie auf OK schli
Download Pdf Manuals
Related Search