Info über Trend Micro Endpoint Encryption
Contents
1. Endpoint Encryption Client Installation RicHTLINIE BESCHREIBUNG USB Laufwerk Geben Sie an ob das USB Laufwerk immer nie oder deaktivieren nur wenn nicht angemeldet deaktiviert werden soll 3 Legen Sie fest ob Ordner auf dem Host mit FileArmor automatisch verschl sselt werden sollen Dateien die in einen gesch tzten Ordner kopiert werden werden automatisch verschl sselt In der Standardeinstellung wird ein von FileArmor verschl sselter Ordner auf dem Desktop erstellt Verwenden Sie Verschl sselung gt Ordner zum Verschl sseln angeben um gesch tzte Ordner auf dem Host zu erstellen Verwenden Sie Verschl sselung gt Wechselmedien gt Zu verschl sselnde Ordner auf Wechselmedien um gesch tzte Ordner auf einem USB Speicherger t zu erstellen FileArmor Installation FileArmor kann mit einer der folgenden Methoden installiert werden Mit einem Automatisierungs Tool z B Microsoft SCCM oder SMS Manuell auf einem lokalen Computer Systemvoraussetzungen f r FileArmor TABELLE 4 5 Systemvoraussetzungen f r FileArmor VORGANG VORAUSSETZUNG Prozessor IntelT Core 2 oder kompatibler Prozessor Arbeitsspeicher e Mindestens 512MB Empfohlen 1GB Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch VORGANG VORAUSSETZUNG Festplattenspeicher e Mindestens 2GB Erforderlich 20 verf gbaren Festplattenspeicher Netzw2. Das Installationsprogramm berpr ft die Datenbankverbindung Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch 6 Klicken Sie im Fenster PolicyServer Frage auf Ja wenn die vorhandenen Datenbanken gesichert werden sollen Klicken Sie auf Nein um die vorhandenen Daten zu berschreiben PolicyServer Frage x M chten Sie MobileArmorDB und MobileArmorLog sichern bevor Sie Datenbankvorg nge durchf hren Bj Ass Loung 5 1 Meldung zur Datenbanksicherung 7 Geben Sie im Fenster Datenbankanmeldung die Anmeldedaten f r das Konto an das zuvor von PolicyServer zur Verwaltung von Datentransaktionen verwendet wurde PolicyServer Windows Dienst Wenn dieses Konto nicht verf gbar ist geben Sie Anmeldedaten zum Erstellen eines neuen Kontos ein 8 Geben Sie im Fenster Web Service Installationsspeicherort den IIS Standort an den PolicyServer MMC und der Client Web Service f r die Kommunikation mit PolicyServer verwenden sollen Die Standardportnummer ist 8080 Ist Port 8080 bereits belegt wird der n chste verf gbare Port zugewiesen a W hlen Sie eine Site aus dem Listenfeld Ziel Site aus b berpr fen Sie den aktuell zugewiesenen Port und geben Sie falls erforderlich im Feld Neuer Port eine andere Portnummert an Hinweis Trend Micro empfiehlt Port 80 f r den Client Web Service zu reservieren c Klicken Sie auf Fortfahren 9 Mit dem n chsten Schritt wird der Client Web Servi
3. Lizenz Wird von Trend Micro zur Verf gung gestellt F r die erstmalige Authentifizierung bei der PolicyServer MMC erforderlich Wichtig Kopieren Sie vor der Installation alle Installationsdateien auf die lokale Festplatte Erforderliche Konten Zum Installieren von PolicyServer m ssen bestimmte Konten verf gbar sein In der folgenden Tabelle werden die Konten und die Services denen sie zugeordnet sind Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch aufgef hrt Dar ber hinaus wird erl utert zu welchem Zweck PolicyServer die einzelnen Konten verwendet TABELLE 3 5 Konten die f r die Installation von PolicyServer ben tigt werden Dienst Konto DIENST ZWECK SQL SA PolicyServer Dieses Konto wird NUR zum Installationsprogramm Erstellen der PolicyServer Datenbanken verwendet SQL MADB PolicyServer Windows Das Konto wird w hrend der Installation zum Authentifizieren bei den PolicyServer Datenbanken erstellt Dienstkonto PolicyServer Windows Dienst und IIS ber dieses Konto werden der PolicyServer Windows Dienst und der Web Service ausgef hrt PolicyServer Enterprise Administrator PolicyServer MMC Dieses Konto wird von Trend Micro bereitgestellt aus der Lizenzdatei Es ist erforderlich um PolicyServer MMC zum ersten Mal zu authentifizieren PolicyServer Installationsvorgang Installieren Sie Microsoft SQL Server bevor Sie
4. uneneneneennen 6 3 Probleme schneller l sen aa 6 3 Trendl absissasi 6 4 Anhang A Checkliste f r das Endpoint Encryption Pilotprogramm Anhang B Checkliste f r die Sicherheitsinfrastruktur Anhang C Installationsvoraussetzungen f r Full Disk Encryption Stichwortverzeichnis Stichwortverzeichnis eeesssseesesessennenennennenennnnenennennenennnnnenennnenennensenesnnnonnennnn IN 1 Vorwort Vorwort Willkommen beim Installationshandbuch f r Trend Micro Endpoint Encryption Dieses Handbuch enth lt eine Einf hrung in die Sicherheitsarchitektur und die Funktionen von Endpoint Encryption um Administratoren die Installation und Einrichtung in k rzester Zeit zu erm glichen Folgende Themen werden behandelt Systemvoraussetzungen Vorbereitungsschritte f r die Verteilung Installation von PolicyServer und der Client Software Erl uterungen f r Endbenutzer Upgrade bzw Migration von Server und Client Instanzen Das Vorwort umfasst folgende Themen Produktdokumentation auf Seite vi e Dokumentationskonventionen auf Seite vi Zielgruppe auf Seite vii Begriffe auf Seite viii e Info ber Trend Micro auf Seite x Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Produktdokumentation In der Dokumentation zu Trend Micro Endpoint Encryption sind folgende Dokumente enthalten TABELLE 1 Produktdokumentation DOKUMENT BESCHREIBUNG Installationshandbuch Im Installationshandbuc
5. e Beide Tools befinden sich im Ordner Tools in der ZIP Datei die Sie von Trend Micro erhalten haben Wenn Sie Hilfe ben tigen wenden Sie sich an den Trend Micro Support Command Line Helper Die Verwendung von Command Line Helper zusammen mit DAAutoLogin erm glicht eine problemlose Patch Verwaltung mit Full Disk Encryption Mit Command Line Helper k nnen Sie ber Ihr Skript verschl sselte Werte an Full Disk Encryption Preboot bergeben DAAutoLogin l sst das einmalige Umgehen von Full Disk Encryption Preboot zu Upgrades Migrationen und Deinstallationen Prozedur 1 Kopieren Sie CommandLineHelper exe auf die lokale Festplatte des Computers auf dem Full Disk Encryption installiert ist In diesem Beispiel wird CommandLineHelper exe nach C kopiert 2 ffnen Sie ein Eingabeaufforderungsfenster und geben Sie C CommandLineHelper exe sowie den zu verwendenden Benutzernamen oder das Kennwort ein Wenn der Benutzername SMSUser ist lautet der Befehl C CommandLineHelper exe SMSUser 3 Dr cken Sie die Eingabetaste um den verschl sselten Wert anzuzeigen 4 F hren Sie Command Line Helper erneut aus um den zweiten Wert zu verschl sseln Falls Sie zun chst den Benutzernamen verschl sselt haben verschl sseln Sie im zweiten Durchgang das Kennwort Patching Verfahren f r Full Disk Encryption Prozedur 1 Senden Sie die Patches per Push Verfahren an die Zielger te 2 Senden Sie ein Skript
6. BEGRIFF BESCHREIBUNG Authentifizierung Der Prozess des Identifizierens eines Benutzers ColorCode Ein Kennwort mit einer Farbfolge Command Line Helper Mit dem Command Line Helper k nnen verschl sselte Werte erzeugt werden die als sichere Anmeldedaten beim Erstellen von Installationsskripts verwendet werden k nnen Command Line Installer Mit dem Command Line Installer Helper k nnen Helper verschl sselte Werte erzeugt werden die als sichere Anmeldedaten beim Erstellen von Skripts f r automatisierte Installationen verwendet werden k nnen Ger t Computer Laptop oder Wechselmedium externes Laufwerk USB Laufwerk Dom nenauthentifizierun SSO Single Sign On mit Hilfe von Active Directory g DriveTrust Hardware basierte Verschl sselungstechnologie von Seagate Endpunkt Client Ein Ger t auf dem eine Endpoint Encryption Anwendung installiert ist Vorwort BEGRIFF BESCHREIBUNG FileArmor Der Endpoint Encryption Client f r die Verschl sselung von Dateien und Ordnern auf lokalen Laufwerken und Wechselmedien FIPS Federal Information Processing Standard Der Datenverarbeitungsstandard der US Regierung Festes Kennwort Ein Standardbenutzerkennwort das aus Buchstaben und oder Ziffern und oder Sonderzeichen besteht Full Disk Encryption Der Endpoint Encryption Client f r die Verschl sselung von Hardware und Software mit Preboot Authe
7. Polieysesver MME nieht een an nen 3 10 PolicyServer AD Synchronisierung Active Directory berblick Active Directory konfigurieren EDAP Proxy optional 2 num eek LDAP Voraussetzungen nenn i Checkliste f r LDAP Proxy Hardware usneeenennenenen 3 19 Kapitel 4 Endpoint Encryption Client Installation berlegungen zur Installationsvorbereitung ueeenenne 4 2 Installieren von Full Disk Encryption Optionen vor der Verteilung Installationsvoraussetzungen uuueesnsnensnennenennennenennensenensennenensenennenenns Full Disk Encryption Systemvoraussetzungen nnsnneneenenennenen 4 3 Festplatte vorbereiten n u se0semunie gesamt 4 4 Inhaltsverzeichnis Full Disk Encryption Installation ueessnssnsnssnenensnennen 4 7 FileArmot tostalliere t niens 4 13 berblick ber die FileArmor Verteilung enee 4 13 HileArm r Installation ana Bene ea KIAMO euere E EE E Systemvoraussetzungen f r KeyArmor Geratekomponenten nn EA aa berblick ber die KeyArmor Verteilung neeenenen 4 19 KeyArmor Richtlinien f r Endbenutzer uuneeneneenene 4 20 KeyArmor Dateien sch tzen nn 4 20 Skripts zur Automatisierung von Installationen verwenden n s 4 21 Voraussetzungen Skriptargumente Command Line Installer Helper 4 23 Command Line Helper unnuunseesnsunanssnesensennee 4 25 Kapitel 5 Upgrades Migrationen und Deinstallationen Upgrad
8. Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Skriptargumente In der nachfolgenden Tabelle werden die Argumente zum Aufbau von Skripts zur automatischen Installation von Endpunkt Clients erl utert TABELLE 4 7 Skript Argumente f r automatisierte Full Disk Encryption Installationen ARGUMENT WERT Hinweise ENTERPRISE Der Name des Unternehmens Sie finden den Namen des Unternehmens mit Hilfe Ihrer Lizenzdatei HOST DNS Host Name oder IP Adresse Der Name oder Standort von PolicyServer USERNAME _ Gruppenadministrator Ein Administrator oder IR Authentifiziererkonto auf Gruppenauthentifizierer Unternehmensebene kann nicht __ Gruppenbenutzer wenn die zur Installation von Full Disk Richtlinie zum Erlauben der Encryption verwendet werden Installation aktiviert ist PASSWORD Kennwort f r den angegebenen Das feste Kennwort das in Benutzernamen PolicyServer f r den Benutzer konfiguriert wurde oder ein Dom nenkennwort TABELLE 4 8 Skript Argumente f r automatisierte FileArmor Installationen Adresse ARGUMENT WERT Hinweise PSENTERPRISE Der Name des Unternehmens Sie finden den Namen des Unternehmens mit Hilfe Ihrer Lizenzdatei PSHOST DNS Host Name oder IP Der Name oder Standort von PolicyServer Endpoint Encryption Client Installation ARGUMENT WERT Hinweise FAUSERNAME Gruppenadministrator Ein Administrator oder Authentifiziererkon
9. auf Seite 4 5 Weitere Voraussetzungen f r Clients unter Windows XP Microsoft NET Framework 2 0 SP1 oder h her Microsoft Windows Installer 3 1 Festplatte Seagate DriveTrust Laufwerke Seagate OPAL und OPAL 2 Laufwerke Hinweis RAID und SCSI Festplatten werden nicht unterst tzt Full Disk Encryption f r Windows 8 unterst tzt keine RAID SCSI eDrive oder OPAL 2 Laufwerke Andere Hardware ATA AHCI oder IRRT Festplattencontroller TABELLE 1 5 Systemvoraussetzungen f r FileArmor Netzwerkverbindung VORGANG VORAUSSETZUNG Prozessor Intel Core 2 oder kompatibler Prozessor Arbeitsspeicher e Mindestens 512MB Empfohlen 1GB Festplattenspeicher Mindestens 2GB Erforderlich 20 verf gbaren Festplattenspeicher Kommunikation mit PolicyServer f r verwaltete Installationen erforderlich Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch VORGANG VORAUSSETZUNG Betriebssysteme Andere Software Windows 8 32 64 Bit Windows 7 32 64 Bit Windows Vista mit SP1 32 64 Bit Windows XP mit SP3 32 Bit Weitere Voraussetzungen f r Windows 8 Microsoft NET Framework 3 5 ist aktiviert Informationen zum ndern der Startreihenfolge f r Ger te mit UEFI finden Sie unter Vorbereiten des Ger ts auf Seite 4 5 Weitere Voraussetzungen f r Clients unter Windows XP Microsoft NET Framework 2 0
10. die heute auf Endpunkten eingesetzt wird weil Sie alle Laufwerksdaten inkl dem Betriebssystem Programmdateien tempor re Dateien und Endbenutzerdateien sichert Viele Full Disk Encryption Anwendungen erh hen zudem die Betriebssystemsicherheit indem sie den Benutzer dazu auffordern sich vor dem Starten bzw Entsperren des Laufwerks und vor dem Zugriff auf das Betriebssystem zu authentifizieren Als eine Verschl sselungsl sung bietet Trend Micro Full Disk Encryption sowohl Software basierte als auch Hardware basierte Verschl sselung W hrend Hardware basierte Verschl sselung leichter auf neuer Hardware bereitgestellt und verwaltet werden kann und eine h here Leistungsstufe bietet ist f r die Software basierte Verschl sselung keine Hardware erforderlich und die Bereitstellung auf vorhandenen Endpunkten ist billiger Trend Micro PolicyServer kann Full Disk Encryption zentral verwalten und bietet Unternehmen die Flexibilit t Software basierte oder Hardware basierte verschl sselte Ger te nach Bedarf einzusetzen Einzigartig an Endpoint Encryption ist eine netzwerkorientierte Funktion die Richtlinien in Echtzeit aktualisiert bevor die Authentifizierung zugelassen wird Endpoint Encryption erm glicht Administratoren ein Laufwerk zu sperren oder per Wipe zu l schen bevor auf das Betriebssystem und auf vertrauliche Daten zugegriffen werden kann Schl sselverwaltung Nicht verwaltete Verschl sselungsprodukte erfordern dass Adm
11. 64 Bit Anwendungen und _ Anwendungsserver Einstellungen IIS ASP Active Server Pages zulassen ASP NET zulassen Net Framework 2 0 SP2 Hinweis PolicyServer 3 1 3 ben tigt zwei IIS Standorte Die PolicyServer Verwaltungsschnittstelle und die Client Anwendungsschnittstelle m ssen an verschiedenen IIS Speicherorten installiert werden Datenbank Microsoft SQL 2005 2008 2008 R2 Microsoft SQL Express 2005 SP3 2008 Mixed Mode Authentication SA Kennwort installiert Berichtsdienste installiert TABELLE 3 3 berlegungen zur Software f r Windows Server 2008 und 2008 R2 Server OS 2008 2008 R2 PolicyServer Installation Rollen Funktionen Anwendungsserverrolle installieren IIS Unterst tzung hinzuf gen Webserverrolle installieren SMTP hinzuf gen Anwendungsserverrolle installieren IIS Unterst tzung hinzuf gen Webserverrolle installieren SMTP hinzuf gen Weitere Voraussetzungen NET 3 5 SP1 Zum Ausf hren von SQL 2008 muss SQL 2008 SP1 installiert werden Kein NET Upgrade erforderlich Erforderliche Installationsdateien TABELLE 3 4 Dateien die f r die Installation von PolicyServer ben tigt werden DATEI ZWECK PolicyServerInstaller exe Installiert PolicyServer Datenbanken und Dienste PolicyServerMMCSnapinSetup msi Installiert die PolicyServer Management Konsole als MMC Snap In
12. F Festplatten Installationsvorbereitung 4 4 Festplatten Controller 4 7 FileArmor Dateiverschl sselung 1 10 Deinstallieren 5 19 installation 4 13 weitere Voraussetzungen 4 16 Installation 4 15 Manuell 4 17 Skripts 4 17 PolicyServer wechseln 5 16 Richtlinien 4 14 Systemvoraussetzungen 1 7 4 15 Unterst tzte Betriebssysteme 1 7 4 15 Upgrades 5 8 Verteilung 4 13 FIPS 1 2 FIPS 140 2 1 2 1 12 Info ber 1 12 Sicherheitsstufen 1 12 FIPS 140 2 1 2 Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Full Disk Encryption 4 2 Anderes Produkt ersetzen 5 11 Deinstallieren 5 18 Festplatte vorbereiten 4 4 Ger teverschl sselung 4 2 Ger t vorbereiten 4 5 installation 4 7 Installation Automatisiert 4 8 Nicht verwaltet 4 8 Skripts 4 9 Verwaltet 4 8 4 9 Verwaltete Voraussetzungen 4 9 installationstypen 4 8 Installationsvoraussetzungen 4 3 C 1 patching 5 11 PolicyServer wechseln 5 13 5 14 Richtlinien 4 2 Systemvoraussetzungen 1 6 4 3 Unternehmen wechseln 5 14 5 15 Unterst tzte Betriebssysteme 1 6 4 3 upgrades 5 7 Ger teverwaltung 1 9 GPO 4 23 H Hardware basierte Verschl sselung 1 6 4 3 I Info ber Client Server Architektur 1 2 Endpunktverschl sselung 1 2 Full Disk Encryption 4 2 KeyArmor 4 18 PolicyServer 3 2 installation FileArmot 4 13 weitere Voraussetzungen 4 16 PolicyServer Datenbanken 3 7 PolicyServer MMC 3 11 PolicyS
13. FileArmor kann automatisiert werden F ralle Produkinstallationen werden Administratorrechte ben tigt Weitere Informationen zu unterst tzten Plattformen und anderen berlegungen vor der Verteilung finden Sie unter Unterst tzte Plattformen und Checkliste vor der Verteilung anf Seite 2 3 Installieren von Full Disk Encryption Full Disk Encryption wurde daf r entwickelt mit Hilfe von obligatorischer starker Authentifizierung und Full Disk Encryption eine umfassende Endpunkt Datensicherheit zu bieten Full Disk Encryption sichert nicht nur die Datendateien sondern dar ber hinaus alle Anwendungen Registrierungseinstellungen tempor ren Dateien Auslagerungsdateien Druck Spooler und gel schten Dateien Eine starke Preboot Authentifizierung beschr nkt den Zugriff auf das anf llige Host Betriebssystem bis der Benutzer validiert wird Optionen vor der Verteilung Um die Auswirkungen auf den Endbenutzer auf ein Minimum zu reduzieren und die Verteilung auf viele Ger te zu vereinfachen deaktivieren Sie die Endpoint Encryption Client Installation Laufwerkverschl sselung vor bergehend Sobald die Kompatibilit t best tigt ist kann die Verschl sselung im Rahmen des Standard Produkt Rollouts wieder aktiviert werden TABELLE 4 1 Ger teverschl sselung aktivieren deaktivieren KONFIGURATIONSEINSTELLU NG OPTIONEN PoLicyServer PFAD Ger teverschl sselung Ja Nein Full Disk Encryption gt PC gt Verschl
14. Folgendes ist f r verwaltete Installationen erforderlich e Client ist w hrend der Installation mit PolicyServer verbunden PolicyServer muss mit einem Unternehmen einem Host Namen und einer IP Adresse konfiguriert sein A Hinweis Trend Micro empfiehlt die Verwendung des vollqualifizierten Dom nennamens des PolicyServer Wenn sich die IP Adresse oder der Host Name des PolicyServers ndert muss nicht jeder Client manuell aktualisiert werden Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Das Benutzerkonto muss zu einer PolicyServer Gruppe geh ren und ber die Berechtigung verf gen Ger te zu dieser Gruppe hinzuzuf gen Warnung PolicyServer Enterprise Administrator oder Authentifiziererkonten k nnen nicht zur Installation von Full Disk Encryption verwendet werden Das installierende Konto ben tigt lokale Administratorrechte Wenn Dom nenauthentifizierung Single Sign On aktiviert ist muss der Benutzername mit Active Directory bereinstimmen Stattdessen wird das Active Directory Kennwort verwendet Installieren von Full Disk Encryption als ein verwalteter Client berpr fen Sie die Systemvoraussetzungen bevor Sie Full Disk Encryption als einen verwalteten Client installieren Weitere Informationen finden Sie unter Fu Disk Encryption Systemvoranssetzungen anf Seite 4 3 Nach der Installation von Full Disk Encryption wird der Computer f r Software basierte Verschl ss
15. Hardware Full Disk Encryption unterst tzt Seagate Hardwarekompatibili Verschl sselung ist DriveTrust OPAL und OPAL 2 t t aktiviert falls Laufwerke vorhanden BitLocker kann nicht auf dem Ger t installiert werden Wenn BitLocker installiert ist muss es entfernt werden bevor Full Disk Encryption installiert werden kann Hinweis Wenn die Pr installationspr fung aus einem dieser Gr nde fehlschl gt wenden Sie sich f r weitere Hilfe an den Support von Trend Micro Stichwortverzeichnis A Active Directory 3 12 4 10 Konfiguration 3 13 bersicht 3 12 AHCI 4 7 nderungsverwaltung 2 9 Active Directory 2 9 ATA 47 Authentifizierung 1 9 Automatisierte Installation 4 8 B Begriffe viii x Berichte 1 2 1 9 BIOS 4 7 BitLocker 4 5 c Checkliste f r die Sicherheitsinfrastruktur B 2 Client Server Architektur 1 2 Command Line Helper 4 25 5 10 f r FileArmor 4 27 f r Full Disk Encryption 4 26 Command Line Installer Helper 4 21 4 23 Community 6 2 D DAAutoLogin 5 10 DataArmor SP7 4 7 Datenbankanforderungen 1 5 3 4 Datenschutz 1 2 Deinstallieren 5 1 Client Anwendungen 5 18 FileArmor 5 19 Full Disk Encryption 5 18 E Endpunkt Clients Installation 4 1 Skriptgesteuerte Installationen 4 24 Unterst tzte Plattformen 2 3 Endpunktverschl sselung Checkliste f r das Pilotprogramm A 1 Info ber 1 2 Entschl sselung 5 18
16. Micro Dateien erst auf das KeyArmor Ger t zu kopieren nachdem die ersten Antivirus Updates durchgef hrt wurden Endpoint Encryption Client Installation A Warnung F hren Sie immer die folgenden Schritte f r das sichere Entfernen von KeyArmor Ger ten aus 1 W hlen Sie Abmelden in der KeyArmor Anwendung aus 2 Klicken Sie mit der rechten Maustaste auf das KeyArmor Symbol in der Task Leiste und w hlen Sie Abmelden aus Durch das sichere Entfernen des KeyArmor Ger ts beugen Sie vorzeitiger Abnutzung und Datenverlusten vor Skripts zur Automatisierung von Installationen verwenden Die skriptgesteuerte Installationsmethode wird bei gro en Verteilungen mit Hilfe von automatischen Tools wie Microsoft SMS oder Active Directory am h ufigsten verwendet Command Line Installer Helper weitere Details unter Command Line Installer Helper anf Seite 4 23 ist ein Tool zum Erstellen von Skripts Die verf gbaren Argumente unterst tzen vollst ndig oder teilweise unbeaufsichtigte Installationen Y Warnung Eine unzureichende Einrichtung des Systems oder Vorbereitung der Festplatte kann zu irreversiblen Datenverlusten f hren Voraussetzungen Alle Installationsskripts sollten lokal ausgef hrt werden nicht von einem freigegebenen Netzwerklaufwerk oder USB Laufwerk Skripts m ssen als lokaler Administrator ausgef hrt werden Installationsskripts sollten in einem Pilotprogramm getestet werden
17. Organizational Unit OU verweist 3 Entsprechende Anmeldedaten f r den Zugriff auf die AD Dom ne die mit dem eindeutigen Namen der PolicyServer Gruppe bereinstimmen Wenn die Synchronisierung ordnungsgem konfiguriert ist erstellt sie automatisch neue PolicyServer Benutzer und verschiebt diese in die zugeordneten Gruppen auf dem PolicyServer W hrend der Synchronisierung wird der PolicyServer aktualisiert so dass die Benutzer und die Gruppenzuweisungen der zugeordneten Gruppen bereinstimmen Wenn ein neuer Benutzer zur Dom ne hinzugef gt und in der Organisationseinheit platziert wird wird dieser Benutzer markiert so dass AD diesen Benutzer w hrend der n chsten Synchronisierung in PolicyServer erstellt und anschlie end in die zugeordnete PolicyServer Gruppe verschiebt Wenn ein Benutzer aus AD gel scht wird wird er automatisch aus der zugeordneten PolicyServer Gruppe und dem Unternehmen entfernt PolicyServer Administratoren k nnen eigene Benutzer erstellen und sie zu den zugeordneten PolicyServer Gruppen hinzuzuf gen ohne dass diese Benutzer vom Synchronisierungssystem ge ndert werden Dies erm glicht den Administratoren Nicht Dom nenbenutzer Gruppen hinzuzuf gen die mit der Dom ne synchronisiert werden Wenn ein PolicyServer Administrator einen Benutzer manuell aus einer zugeordneten Gruppe auf dem PolicyServer entfernt wird dieser Dom nenbenutzer nicht wieder vom Synchronisierungssystem automatisch hinzuge
18. SP1 oder h her Microsoft Windows Installer 3 1 TABELLE 1 6 Systemvoraussetzungen f r KeyArmor VORGANG VORAUSSETZUNG Hardware USB 2 0 Port Netzwerkverbindung Kommunikation mit PolicyServer f r verwaltete Installationen erforderlich Betriebssysteme Windows 7 32 64 Bit Windows Vista mit SP1 32 64 Bit Windows XP mit SP3 32 Bit Andere Software Weitere erforderliche Software bei der Installation auf Windows XP Microsoft NET Framework 2 0 SP1 oder h her Einf hrung in Trend Micro Endpoint Encryption Wichtigste Funktionen und Vorteile Endpoint Encryption umfasst die folgenden Funktionen und bietet die folgenden Vorteile TABELLE 1 7 Wichtigste Funktionen in Endpoint Encryption FUNKTION VORTEILE Verschl sselung Schutz durch Full Disk Encryption einschlie lich MBR Master Boot Record Betriebssystem und alle Systemdateien Hardware und Software basierte Verschl sselung f r gemischte Umgebungen Authentifizierung Flexible Authentifizierungsmethoden einschlie lich Einzel und Multi Faktor Authentifizierung Richtlinienaktualisierungen vor der Authentifizierung und dem Systemstart Konfigurierbare Aktionen f r den Schwellenwert f r die Eingabe falscher Kennw rter Ger teverwaltung Richtlinien zum Schutz von Daten auf PCs Laptops Tablets USB Laufwerken CDs und DVDs M glichkeit zum Sperren L
19. Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Full Disk Encryption und FileArmor sind mit Tools zur automatischen Software Verteilung kompatibel beispielsweise mit SMS SCCM Tivoli GPO und LANDesk PolicyServer Installationsskripts erstellen Die folgenden Informationen sind mindestens erforderlich um ein Skript zu erstellen e Adresse der prim ren Datenbank und Anmeldedaten des Administrators e Pfad zum Installationsprogramm von PolicyServer Wichtig Eine skriptgesteuerte Installation wird nur von PolicyServer Version 3 1 2 oder neuer unterst tzt Prozedur 1 Geben Sie alle erforderlichen Informationen ein 2 Geben Sie ggf zus tzliche Informationen ein 3 Klicken Sie auf Generate Command Das Codefeld Policy Server Install Command wird ausgef llt 4 Klicken Sie auf Copy to Clipboard Das resultierende Skript wird in die Zwischenablage kopiert Client Installationsskripts erstellen Die folgenden Informationen sind erforderlich um ein Skript f r die unbeaufsichtigte Installation zu generieren Host Name oder IP Adresse des PolicyServer Name des Unternehmens Benutzername Kennwort sowie Pfad und Versionsnummer des Endpunkt Client Installationsprogramms Endpoint Encryption Client Installation Prozedur 1 Geben Sie die erforderlichen Informationen in die entsprechenden Textfelder ein 2 W hlen Sie die Optionen aus die im Skript enthalten sein sollen 3 Klicken Sie auf Gene
20. W hlen Sie den Installationsordner aus oder verwenden Sie den vorgegebenen Speicherort und klicken Sie auf Weiter 8 Klicken Sie auf Weiter um die Installation zu best tigen Upgrades Migrationen und Deinstallationen Der Upgrade Vorgang wird gestartet 9 Klicken Sie auf Schlie en um die Installation abzuschlie en 10 Klicken Sie auf Ja um das Ger t neu zu starten optional 11 Melden Sie sich wieder beim Server an und ffnen Sie PolicyServer MMC ber die Desktop Verkn pfung Das Upgrade von PolicyServer MMC ist abgeschlossen Authentifizieren Sie sich bei PolicyServer MMC Verwenden Sie hierzu die Anmeldedaten des Unternehmensadministrators Hinweis Eine Liste der empfohlenen Aufgaben nach der Installation z B Anwendungen aktivieren Ger te und Benutzer erstellen sowie Richtlinien festlegen finden Sie im Endpoint Encryption Administratorhandbuch Upgrade von Full Disk Encryption Das Installationsprogramm von Full Disk Encryption Upgrade TMFDEUpgrade exe unterst tzt DataArmor SP7g 3 0 12 861 und DataArmor 3 1 2 F r ein Upgrade von DataArmor SP7g muss das Ger t mit PolicyServer verbunden sein F r ltere Versionen von DataArmor und DriveArmor deinstallieren Sie die Anwendung und starten Sie das Ger t neu bevor Sie Full Disk Encryption installieren Hinweis Nicht englische Betriebssysteme auf denen aktuell eine ltere Version von Full Disk Eneryption DataArmor 3 0 12 oder 3 1 2
21. ausgef hrt wird verwenden nach dem Upgrade weiterhin Englisch Um ein Upgrade auf eine unterst tzte Sprache durchzuf hren deinstallieren Sie zuerst die bisherige Anwendung und installieren Sie Full Disk Encryption 3 1 3 Informationen zum Deinstallieren von Full Disk Encryption finden Sie unter Fz Disk Encryption deinstallieren auf Seite 5 18 Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Prozedur 1 Kopieren Sie das Installationspaket von Full Disk Encryption auf die lokale Festplatte 2 F hren Sie TMFDEUpgrade exe aus Hinweis Falls die Windows Benutzerkontensteuerung ge ffnet wird klicken Sie auf Ja um fortzufahren 3 Wenn die Meldung dass das Upgrade abgeschlossen ist angezeigt wird starten Sie das Ger t neu Upgrade von FileArmor Verwenden Sie FA_ 313 Upgrade exe um f r ein Ger t ein Upgrade von FileArmor 3 0 13 oder FileArmor 3 0 14 durchzuf hren FA_313_ Upgrade exebefindet sich im Ordner Tools des FileArmor Installationsverzeichnisses Hinweis FA_313_Upgrade exe umgeht die Richtlinie Deinstallation dutch Benutzer zulassen und f hrt ein Upgrade durch ohne zu ber cksichtigen ob die Richtlinie auf Ja oder auf Nein gesetzt ist Prozedur 1 F hren Sie FA_313_Upgrade exe aus Windows Installer deinstalliert die ltere FileArmor Version und installiert dann FileArmor 3 1 3 Wenn der Vorgang abgeschlossen ist wird Windows neu gestartet 2 Me
22. das DA AutoLogin ausf hrt 3 Senden Sie einen Befehl zum Neustarten so dass das Ger t Windows GINA l dt und die erfolgreiche Durchf hrung des Patching best tigt oder um weitere Patches per Push Verfahren zu senden Installiertes Verschl sselungsprodukt ersetzen Sie k nnen Full Disk Encryption auf einem Ger t installieren das vorher mit einer anderen Software zur Full Disk Encryption verschl sselt wurde Da die meisten Full Disk Encryption Programme jeden Sektor der Festplatte ndern ist es sehr wichtig dass Sie Ihr Verfahren zur Vorbereitung der Festplatte und Ihre Verteilungsmethode testen Je nachdem wie lange es dauert ein Ger t zu entschl sseln und mit Full Disk Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Encryption zu verschl sseln ist es ggf sinnvoll vor der Installation von Full Disk Encryption einfach die Benutzerdaten zu sichern und ein neues Image des Computers aufzuspielen M glichkeit 1 Installiertes Verschl sselungsprodukt entfernen Prozedur 1 Entschl sseln Sie die Festplatte gem der vom Softwareanbieter angegebenen Methode 2 Deinstallieren Sie die Software des Anbieters oder stellen Sie sicher dass die BitLocker Verschl sselung deaktiviert ist 3 Starten Sie das Ger t neu 4 F hren Sie den Befehl chkdsk aus und defragmentieren Sie das Laufwerk 5 berpr fen Sie auf jedem Ger t ob ein normaler Master Boot Record MBR vorliegt und vergewiss
23. eine beliebige PolicyServer Installationsdatei ausf hren Die Installationsprogramme f r die einzelnen PolicyServer Anwendungen sind so konfiguriert dass die Installation unkompliziert und einfach ist Der Installationsvorgang 1 Installieren Sie die Microsoft SQL Datenbank Hinweis In diesem Dokument wird die Installation von Microsoft SQL nicht erl utert 2 Installieren Sie die PolicyServer Datenbank und Dienste PolicyServer Installation 3 Installieren Sie PolicyServer MMC PolicyServer Datenbank und Web Services installieren Vorbereitungen Microsoft SQL Server ist bereits eingerichtet Das PolicyServer Installationsprogramm konfiguriert Datenbankeinstellungen und installiert Windows Web Services Neu in PolicyServer 3 1 3 ist die M glichkeit eine Portnummer f r den PolicyServer Web Service anzugeben F r den Client Web Service wird jetzt au erdem ein zweiter Port ben tigt Wenn kein zweiter Port vorhanden ist wird w hrend der Installation ein neuer Port erstellt Weitere Informationen zur neuen Architektur finden Sie unter Komponenten von Endpoint Encryption auf Seite 1 2 Um Endpoint Encryption testweise f r eine begrenzte Zeit zu verwenden k nnen der Unternehmensname und das Konto f r den Unternehmensadministrator zum Zeitpunkt der Installation konfiguriert werden PolicyServer funktioniert normal mit allen Client Anwendungen einer unbegrenzten Zahl von Ger ten und bis zu 100 Benutzer
24. erforderlich _LDAP Proxy Versionen vor 3 1 werden nicht mehr unterst tzt Kunden die eine ltere LDAP Proxy Version verwenden m ssen ein Upgrade auf Version 3 1 durchf hren LDAP Voraussetzungen TABELLE 3 6 Hardware und Softwarespezifikationen f r LDAP VORGANG VORAUSSETZUNG Prozessor Intel Core 2 oder kompatibler Prozessor Arbeitsspeicher Mindestens 2GB Festplattenspeicher e Mindestens 30GB Erforderlich 20 verf gbaren Festplattenspeicher PolicyServer Installation VORGANG VORAUSSETZUNG Netzwerkverbindung Der Server muss sich in der Dom ne befinden und Zugriff auf AD haben Die Serveradresse muss ber das Internet zug nglich sein Eingehende Proxy Verbindungen m ssen zugelassen werden PolicyServer muss Zugriff auf den IIS Server dieses Servers haben Betriebssysteme Windows Server 2003 32 64 Bit Windows Server 2008 oder 2008 R2 32 64 Bit Anwendungen und _ Anwendungsserverrolle Einstellungen zus ASP Active Server Pages zulassen ASP NET zulassen Net Framework 2 0 SP2 Checkliste f r LDAP Proxy Hardware TABELLE 3 7 Checkliste f r LDAP Proxy Hardware LDAP PRoxY SERVER ANMERKUNGEN Angaben zu Windows Betriebssystemversion Server Service Pack Version Angaben zur Hardware Marke RAM Modell CPU Trend Micro Endpoint Encryption 3 1 3 Instal
25. hrend Ihre Verteilungsmethode weiter in der Produktionsumgebung validiert wird und wenn Ihre internen IT und Helpdesk Teams zustimmen k nnen Tausende von Ger ten f r die gleichzeitige Verteilung festgelegt werden Erkl ren Sie den Benutzern die Aktionen Termine und Gr nde Trend Micro empfiehlt dass die leitende Person des Datenschutzprojckts eine Nachricht an die Endbenutzer schickt in der die Bedeutung des Projekts f r das Unternehmen und die Vorteile f r die Benutzer herausgestellt wird In unserer Knowledge Base befinden sich mehrere Vorlagen f r die Endbenutzer Kommunikation die vor der Verteilung von Endpoint Encryption benutzt und an Ihre Kommunikationsanforderungen angepasst werden k nnen Einf hrung der nderung 1 Einen Monat vor dem Rollout sollte eine Person aus dem Management beschreiben warum die neue Software Hardware Verschl sselung eingef hrt wird und welche Vorteile f r die Endbenutzer und das Unternehmen durch die Einhaltung der neuen Prozesse entstehen Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch 2 Teilen Sie den Benutzern einen Zeitplan f r den Rollout mit und informieren Sie sie dar ber wie es nach Tag 1 weitergeht und wie sie Hilfe zur neuen Software erhalten k nnen Kommunikation eine Woche vor dem Rollout 1 Wiederholen Sie welche nderungen kommen und was die Benutzer am Umstellungstag erwarten k nnen wenn neue Authentifizierungsverfahren f r ihre PCs mobil
26. installieren Prozedur 1 Starten Sie PolicyServerMMCSnapinSetup msi Die Installation beginnt Klicken Sie auf Weiter um den Setup Assistenten f r PolicyServer MMC zu ffnen Lesen Sie die Lizenzvereinbarung sorgf ltig durch und w hlen Sie anschlie end Ich stimme zu um den Bedingungen zuzustimmen Klicken Sie dann auf Weiter W hlen Sie den Installationsordner aus oder verwenden Sie den vorgegebenen Speicherort und klicken Sie auf Weiter Klicken Sie auf Weiter um die Installation zu best tigen Der Installationsvorgang wird gestartet Auf dem Desktop wird die Verkn pfung PolicyServer MMC erstellt Klicken Sie auf Schlie en um die Installation abzuschlie en Klicken Sie auf Ja um den Server neu zu starten Melden Sie sich wieder beim Server an und ffnen Sie PolicyServer MMC ber die Desktop Verkn pfung Nachdem PolicyServer MMC ge ffnet wurde f hren Sie einen der folgenden Schritte aus Anmeldung mit Hilfe des Unternehmensnamens und Kontos f r den Unternehmensadministrator die bei der Installation der PolicyServer Datenbanken und Dienste erstellt wurden Der 30 Tage Testzeitraum erm glicht unbegrenzte Ger te und bis zu 100 Benutzer e Lizenzdatei importieren A Hinweis Nehmen Sie Kontakt mit den Support von Trend Micro um eine Lizenzdatei zu erhalten Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch a Navigieren Sie zu Datei gt Lizenz importier
27. mit SP3 32 Bit Andere Software Weitere Voraussetzungen f r Windows 8 Microsoft NET Framework 3 5 ist aktiviert Informationen zum ndern der Startreihenfolge f r Ger te mit UEFI finden Sie unter Vorbereiten des Ger ts auf Seite 4 5 Weitere Voraussetzungen f r Clients unter Windows XP Microsoft NET Framework 2 0 SP1 oder h her Microsoft Windows Installer 3 1 Festplatte Seagate DriveTrust Laufwerke Seagate OPAL und OPAL 2 Laufwerke Hinweis RAID und SCSI Festplatten werden nicht unterst tzt Full Disk Encryption f r Windows 8 unterst tzt keine RAID SCSI eDrive oder OPAL 2 Laufwerke Andere Hardware ATA AHCI oder IRRT Festplattencontroller Festplatte vorbereiten Full Disk Encryption verschl sselt jeden Sektor auf dem physischen Laufwerk Da viele Anwendungen inkl dem Betriebssystem nicht den vollst ndigen physischen Endpoint Encryption Client Installation Festplattenspeicher verwenden k nnen Sektoren besch digt sein Eventuell ist auch das Laufwerk extrem fragmentiert Hinweis Trend Micro empfiehlt ein kleines Pilotprojekt mit Neuinstallationen und Upgrades durchf hren bevor der neueste Full Disk Encryption Build verteilt wird Wenn Sie Fragen haben oder technische Unterst tzung ben tigen wenden Sie sich an den Support von Trend Micro Vorbereiten des Ger ts Prozedur 1 Trennen Sie alle USB Speicherger te Sie k nne
28. nnen innerhalb oder berlegungen zur Verteilung au erhalb des Netzwerks jederzeit um sicherzustellen dass die Benutzer Ihre Sicherheitsrichtlinien und ziele einhalten Im Administratorhandbuch finden Sie eine vollst ndige Beschreibung der Richtlinien Standardwerte und konfigurierbaren Optionen Hinweis Wenn Endpoint Encryption zum Verwalten von Richtlinien und Wechselmedien verwendet wird Testen und validieren Sie vor der Verteilung die Richtlinienvorlagen Entscheiden Sie welche USB Ger te und Wechselmedien erlaubt sind und wann und wo diese verwendet werden k nnen im Netzwerk au erhalb des Netzwerks oder beides um sicherzustellen dass die Benutzer die Sicherheitsvorgaben einhalten Die Wichtigkeit eines Pilotprogramms Trend Micro empfiehlt das Ausf hren eines Pilotprogramms und die Durchf hrung einer Testverteilung an eine kleine Gruppe von Benutzern bevor die Verteilung an ein gr eres Publikum erfolgt Ein Pilotprogramm erm glicht einem Unternehmen die Installationsmethode die bei der Installation von Endpoint Encryption angewendet werden soll endg ltig festzulegen Die effektivsten Pilotprogramme schlie en verschiedene Abteilungen Zielbenutzer und Ger te ein Wenn das Unternehmen beispielsweise zehn verschiedene Laptop Hersteller unterst tzt sollte jedes dieser Ger te in das Pilotprogramm aufgenommen werden Ebenso sollten wenn bestimmte wichtige Gruppen speziell betroffen sind ei
29. schen oder Ausl schen eines Ger ts Zentrale Verwaltung Vollzugriff auf Verschl sselung berwachung und Datenschutz Automatisierte Durchsetzung von Richtlinien mit Korrekturen an Sicherheitsereignissen Aufzeichnung von Analysieren von Nutzungsstatistik mit geplanten Berichten Protokollen Berichten und Warnmeldungen und Auditing Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Verwaltung und Integration Wenn Endbenutzer einen verst rkten Datenschutz auf verschiedenen Ger tetypen ben tigen von denen die meisten unterschiedliche Verschl sselungstypen erfordern senkt eine zentral verwaltete und integrierte Endpunktverschl sselungsl sung die Verwaltungs und Wartungskosten Endpoint Encryption ist eine zentral verwaltete L sung die folgende Datenschutzfunktionen erm glicht Zentrales und transparentes Aktualisieren der Endpunktverschl sselungs Clients wenn neue Versionen ver ffentlicht werden Verwalten und Nutzen von Sicherheitsrichtlinien f r Einzelpersonen und Gruppen von einem einzigen Richtlinienserver aus Steuern der Kennwortst rke und Regelm igkeit von Kennwort nderungen Aktualisieren von Sicherheitsrichtlinien in Echtzeit vor der Authentifizierung um Benutzer Anmeldedaten vor dem Booten des Betriebssystems zu widerrufen Verschl sselung verstehen Verschl sselung bezeichnet den Vorgang mit dem Daten unlesbar gemacht werden wenn kein Zugriff
30. 2 und f gt physischen Manipulationswiderstand und identit tsbasierte Authentifizierung hinzu Stufe 4 Beinhaltet alle Anforderungen von Stufe 3 und f gt weitere physische Sicherheitsanforderungen hinzu Endpoint Encryption stellt einen durchg ngigen Datenschutz durch die Verschl sselung gem FIPS 140 2 f r Daten auf dem Policy Server bereit alle Daten die zwischen dem PolicyServer und Endpunkt Clients bertragen werden alle Daten die auf dem Endpunkt Ger t gespeichert werden sowie alle lokal gespeicherten Client Protokolle Kapitel 2 berlegungen zur Verteilung Wenn ein Verschl sselungsprojekt umgesetzt werden sUnternehmen die explizite Anforderungen hinsichtlich der Einhaltung gesetzlicher Bestimmungen erf llen m ssen ben tigen h ufig weiter gefasste Verschl sselungsl sungen mit einem Schwerpunkt auf der Berichterstellung w hrend Unternehmen die die Datensicherheit erh hen m chten m glicherweise gezieltere Bed rfnisse f r den Schutz spezifischer Daten Assets haben oll ist es wichtig die Implementierungsziele zu identifizieren Unternehmen die explizite Anforderungen hinsichtlich der Einhaltung gesetzlicher Bestimmungen erf llen m ssen ben tigen h ufig weiter gefasste Verschl sselungsl sungen mit einem Schwerpunkt auf der Berichterstellung w hrend Unternehmen die die Datensicherheit erh hen m chten m glicherweise gezieltere Bed rfnisse f r den Schutz spezifischer Daten Asse
31. Armor 1 7 4 15 Full Disk Encryption 1 6 4 3 KeyArmor 1 8 4 18 PolicyServer 1 5 3 3 3 4 T Testlizenz 3 7 3 11 5 2 tools Command Line Helper 4 25 Command Line Installer Helper 4 23 DAAutoLogin 4 25 Wiederherstellungskonsole 5 16 Tools Command Line Helper 5 10 DAAutoLogin 5 10 Wiederherstellungskonsole 5 15 TrendLabs 6 4 Trivoli 4 23 U berlegungen zur Installationsvorbereitung 4 2 berlegungen zu Windows Server 2008 1 5 3 4 UEFI 4 5 Upgrade PolicyServer Web Services 5 2 upgrades 5 1 Full Disk Encryption 5 7 PolicyServer 5 2 PolicyServer Datenbanken 5 2 Upgrades FileArmot 5 8 PolicyServer MMC 5 6 v Verschl sselung 1 10 BitLocker 4 5 Datei und Ordner 1 10 FIPS 1 12 Funktionen 1 9 Hardware basiert 1 10 1 11 Stichwortverzeichnis Installationsskripts 4 22 Wiederherstellungskonsole Projektplanung 2 1 Unternehmen oder Server wechseln Software basiert 1 10 1 11 5 14 Vollst ndige Festplatte 1 11 Unternehmen wechseln 5 15 verstehen Windows 8 1 6 4 3 4 5 Dateiverschl sselung 1 10 Upgraden auf 5 9 FIPS 1 12 Z full disk encryption 1 11 Schl sselverwaltung 1 11 Verteilung nderungsverwaltung 2 9 Disponieren 2 5 Endbenutzer 2 5 FileArmor 4 13 KeyArmor 4 19 Pilotprogramm 2 9 Projektteam 2 7 Richtlinien 2 8 Sicherheitsinfrastruktur 2 8 Skalierung 2 12 berlegungen 2 1 2 6 Unterst tzte Plattformen FileArmor 2 3 Full Disk Encryp
32. Proxy 3 18 Skalierung 2 12 Skriptgesteuerte Installationen 4 24 Software Voraussetzungen 1 5 3 4 SQL Konten 3 5 Systemvoraussetzungen hardware 1 5 3 3 Upgrade ausf hren 5 2 upgrades Datenbank 5 2 Web Services 5 2 Upgrade von MMC 5 6 von der internen Website herunterzuladen 3 5 Voraussetzungen 3 3 Dateien durchsuchen 3 5 Konten 3 5 SQL 1 5 3 3 Voraussetzungen f r SQL 1 5 3 3 Web Service 1 2 PolicyServer Installationsskripts 4 24 PolicyServer MMC 1 2 3 10 Anwendungen 3 10 Benutzer und Gruppen 3 10 Richtlinien 3 10 PolicyServer wechseln 5 14 Produktdefinitionen viii x Produktkomponenten 1 2 Produkt bersicht 1 1 R Richtlinien 1 10 Sicherheitsplanung 2 8 Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Synchronisierung 1 11 Richtliniensteuerung 1 10 S SATA 4 7 SCCM 4 23 Schl sselverwaltung 1 11 4 18 Schrittweiser Rollout 2 11 Seagate DriveTrust Laufwerke 1 6 4 3 Sicherheit Antivirus Anti Malware Schutz 1 2 Sicherheitsinfrastruktur 2 8 Single Sign On 4 10 Skalierung Server und Datenbankvoraussetzungen 2 12 Skalierungsanforderungen 2 1 Skriptgesteuerte Installationen 4 21 Skripts Argumente 4 22 FileArmor 4 22 4 27 Full Disk Encryption 4 22 4 26 Verschl sselung 4 22 Voraussetzungen 4 21 software 1 5 3 4 Support Knowledge Base 6 2 Schnellere Probleml sung 6 3 TrendLabs 6 4 Systemarchitektur 1 2 Systemvoraussetzungen File
33. Systemverwaltungs Software Tivoli SCCM SMS oder LANDesk sowie ein Installationsskript Empfohlene Methode f r Unternehmen mit vielen Endpunkten Manuell Einfache Installation direkt aus Windows entweder ber ein grafisches Installationsprogramm oder eine Befehlszeile Eignet sich f r kleine Unternehmen Testverteilungen oder individuelle Installationen Endpoint Encryption Client Installation Automatisierte Installation Die Installation von Full Disk Encryption mit Hilfe von Skripts automatisiert den Prozess und vereinfacht die Verteilung der Software im gesamten Unternehmen Weitere Informationen finden Sie unter Skripts zur Automatisierung von Installationen verwenden auf Seite 4 21 Verwaltete Installation Eine verwaltete Installation von Full Disk Encryption ist der h ufigste Installationstyp f r Ger te die normalerweise mit PolicyServer verbunden sind Authentifizierungs und Verschl sselungstichtlinien werden von PolicyServer verwaltet In diesem Abschnitt werden die grundlegenden Installationsschritte f r einen verwalteten Endpunktclient beschrieben F hren Sie das Folgende aus bevor Sie fortfahren Lesen Sie Full Disk Encryption Systemvoraussetzungen auf Seite 43 Pr fen Sie die Festplatte vorbereiten auf Seite 44 Warnung Eine unzureichende Einrichtung des Systems oder Vorbereitung der Festplatte kann zu irreversiblen Datenverlusten f hren Voraussetzungen
34. Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Einf hrung in PolicyServer PolicyServer verwendet eine Microsoft Management Konsole MMC PolicyServer hat eine hierarchische Struktur die administrativen Verantwortlichkeiten verteilt und eine zentralisierte Steuerung aufrecht erh lt wenn Parameter f r Sicherheitsrichtlinien definiert werden Benutzer Ger te und Gruppen Offline Gruppen verwaltet werden Endpunktanwendungen aktiviert deaktiviert werden Verwenden Sie die Audit und Berichterstellungsfunktionen von PolicyServer MMC um die Sicherheitsinfrastruktur zu berwachen und die Einhaltung von Bestimmungen zu gew hrleisten Inhalt des Installationsordners Der Installationsordner f r Trend Micro PolicyServer enth lt die folgenden Installationsprogramme PolicyServerMMCSnapinSetup msi G PolicyServerInstaller exe LDAProxyInstaller exe e Tools Au erdem wird folgende Datei ben tigt Die von Trend Micro erhaltene Lizenztextdatei und der Code zum Entsperren Kennwort Verwenden Sie die Lizenzdatei und den Code zum Entsperren wenn Sie sich das erste Mal bei der PolicyServer MMC anmelden Hinweis PolicyServer 3 1 3 enth lt eine Testlizenz f r 30 Tage Weitere Informationen ber die Testlizenz finden Sie unter PolicyServer Datenbank und Web Services installieren auf Seite 3 7 PolicyServer Installation Voraussetzungen f r PolicyServer In diesem Abschnitt werden di
35. auf den zur Verschl sselung verwendeten Schl ssel besteht Die Verschl sselung kann durch eine Software oder Hardware basierte Verschl sselung oder eine Kombination aus beidem vorgenommen werden um sicherzustellen dass Daten lokal auf einem Ger t auf einem Wechselmedium in bestimmten Dateien und Ordnern und beim Durchqueren von Netzwerken oder des Internets gesch tzt werden Die Endpunktverschl sselung ist das wichtigste Mittel um die Datensicherheit zu gew hrleisten und die Einhaltung gesetzlicher Vorschriften zum Datenschutz sicherzustellen Dateiverschl sselung FileArmor sch tzt einzelne Dateien und Ordner auf lokalen Festplatten und auf Wechselmedien USB Laufwerken Administratoren k nnen Richtlinien festlegen die angeben welche Ordner und Laufwerke auf dem Ger t verschl sselt sind und die Einf hrung in Trend Micro Endpoint Encryption Richtlinien zu verschl sselten Daten auf Wechselmedien festlegen Die Datei und Ordnerverschl sselung wird durchgef hrt nachdem die Authentifizierung stattgefunden hat FileArmor kann auch verschiedene Dateien mit unterschiedlichen Schl sseln sch tzen was Administratoren erm glicht Zugriffsrichtlinien f r ein Ger t und separate Richtlinien f r den Zugriff auf bestimmte Dateien festzulegen Dies ist in Umgebungen n tzlich in denen mehrere Benutzer auf einen Endpunkt zugreifen Full Disk Encryption Full Disk Encryption ist die h ufigste Verschl sselungsl sung
36. ce der IIS Standotrt den alle Endpoint Encryption Clients f r die Kommunikation mit PolicyServer nutzen konfiguriert Abh ngig davon ob ein zweiter IIS Standort verf gbar ist wird eines der folgenden Fenster angezeigt Upgrades Migrationen und Deinstallationen Wenn ein zweiter IIS Standort verf gbar ist wird das Fenster Speicherort f r Client Web Service angezeigt a W hlen Sie eine Site aus dem Listenfeld Ziel Site aus b berpr fen Sie die Standardportzuweisung f r den Client Web Service 4 Hinweis Trend Micro empfiehlt Port 80 beizubchalten Falls erforderlich k nnen Sie jedoch im Feld Neuer Port eine andere Portnummer angeben Die Portnummer muss eine positive Ganzzahl zwischen 1 und 65535 sein c Klicken Sie auf Fortfahren Wenn kein zweiter IIS Standort verf gbar ist wird das Fenster Speicherort f r Client Web Service erstellen angezeigt um einen neuen IIS Standort erstellen zu k nnen a Geben Sie im Feld Name der Site einen Namen f r den IIS Speicherort an b Suchen Sie nach dem Speicherort f r die Site Wenn noch kein Ordner vorhanden ist erstellen Sie einen neuen c Geben Sie die IP Adresse und Portnummer f r den neuen IS Speicherort an Hinweis Trend Micro empfiehlt Port 80 beizubchalten Falls erforderlich k nnen Sie jedoch eine andere Portnummer angeben Die Portnummer muss eine positive Ganzzahl zwischen 1 und 65535 sein d Klicken Sie auf For
37. chl sselungsschl ssel b Zu verschl sselnde Ordner c Verwendung von Wechselmedien d Authentifizierungsmethode Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch 3 Richten Sie Benutzer und Gruppen ein 4 Erstellen und testen Sie das Installationspaket 5 berpr fen Sie ob die festgelegten Richtlinieneinstellungen erzwungen werden 6 Bereiten Sie die Endbenutzer Kommunikation vor Erforderliche FileArmor Richtlinieneinstellungen Prozedur 1 Die wichtigste Entscheidung vor der Verteilung von FileAmort ist es den richtigen Verschl sselungsschl ssel auszuw hlen Benutzerschl ssel Nur der Benutzer kann auf die verschl sselte Datei zugreifen _ Gruppenschl ssel Alle Benutzer innerhalb der Richtliniengruppe k nnen auf die Datei zugreifen Unternehmensschl ssel Alle Benutzer innerhalb aller Gruppen k nnen auf die Datei zugreifen 2 Die zweite Entscheidung betrifft die FileArmor Richtlinien f r Wechselmedien Alle Richtlinien befinden sich unter FileArmor gt Verschl sselung gt Wechselmedien TABELLE 4 4 Zu konfigurierende FileArmor Richtlinien RICHTLINIE BESCHREIBUNG Wechselmedien Aktiviert den Schutz f r USB Speicherger te Zul ssige USB Ger te Sie k nnen alle USB Speicherger te oder nur KeyArmor Ger te zulassen Ger t vollst ndig FileAmor verschl sselt automatisch alle Dateien die verschl sseln auf das USB Speicherger t kopiert werden
38. die Verbindung zum PolicyServer beeintr chtigen Endbenutzer Kommunikation Endbenutzer m ssen im Rahmen eines gut durchdachten Kommunikationsplans vorab benachrichtigt werden um unerw nschte Auswirkungen zu beschr nken und den bergang zu vereinfachen Die Kommunikation nach der Verteilung spielt ebenfalls eine wichtige Rolle f r den reibungslosen Einstieg in die Verwendung von Trend Micro Endpoint Encryption Zu beantwortende Fragen Ein h ufiges Hindernis f r die Akzeptanz im Unternehmen ist mangelnde Kommunikation F r eine erfolgreiche Implementierung sind klare Informationen f r Endbenutzer erforderlich Dabei m ssen drei Fragen beantwortet werden berlegungen zur Verteilung 1 Warum ben tigen wir Endpoint Encryption 2 Wie unterst tzt Endpoint Encryption mich und das Unternehmen 3 Was wird sich ndern Strategie eines schrittweisen Rollouts implementieren Wenn Ihr Pilotprogramm erfolgreich war beginnen Sie mit dem Verteilen des Programms indem Sie schrittweise auf jeweils 25 bis 50 Endpunkt Clients mit der Produktionsverteilung der L sung beginnen Stellen Sie sicher dass sich einen Tag nach der Installation der neuen L sung die Entwicklungsingenieure bei der ersten Bereitstellungsgruppe vor Ort befinden damit unmittelbar Hilfe geleistet werden kann Verteilen Sie die L sung aufbauend auf den Erfahrungen der anf nglichen Gruppe von Endpunkt Clients auf 100 bis 200 Endpunkt Clients pro Nacht W
39. e Voraussetzungen f r PolicyServer beschrieben darunter die Hardware und Software Voraussetzungen die zum Ausf hren der Installationen erforderlichen Dateien sowie die zum Einrichten der Datenbank und Windows Server Umgebungen ben tigten Konten Hardware Voraussetzungen F r die Installation von PolicyServer wird empfohlen dass mindestens zwei dedizierte Server zur Verf gung stehen 1 Ein Server f r die Datenbank Alternativ k nnen Sie die Datenbank zu einem vorhandenen SQL Cluster hinzuf gen 2 Ein Server f r den PolicyServer Service Web Service Hinweis Virtualisierte Hardware wird unter VMware Virtual Infrastructure unterst tzt TABELLE 3 1 Hardware Voraussetzungen f r PolicyServer SEPARATE Hosts EinzELner Host PolicyServer Host 3 000 SQL Server Host 3 000 PolicyServer und SQL Benutzer Benutzer Server 1 500 Benutzer 2 GHz Dual Quad Core 2 GHz Dual Quad Core 2 GHz Quad Core Core2 Intel Xeon Core2 Intel Xeon Core2 Intel Xeon Prozessoren Prozessoren Prozessoren 4GB RAM 8GB RAM 8GB RAM 40 GB 100GB 120GB Festplattenspeicher Festplattenspeicher Festplattenspeicher Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Software Voraussetzungen TABELLE 3 2 Software Mindestvoraussetzungen f r PolicyServer FUNKTION VORAUSSETZUNG Betriebssystem Windows Server 2003 SP2 32 64 Bit Windows Server 2008 oder 2008 R2
40. e anderen Marken und Produktnamen sind Marken oder eingetragene Marken der entsprechenden Unternehmen Kapitel 1 Einf hrung in Trend Micro Endpoint Encryption Bei der Pr fung des Nutzens eines Endpunktverschl sselungsprojekts ist eine sorgf ltige Planung ausschlaggebend In diesem Kapitel werden die folgenden Themen vorgestellt Info ber Trend Micro Endpoint Encryption auf Seite 1 2 Systemvoraussetzungen auf Seite 1 5 Wichtigste Funktionen und Vorteile auf Seite 1 9 Verwaltung und Integration auf Seite 1 10 Verschl sselung verstehen auf Seite 1 10 Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Info ber Trend Micro Endpoint Encryption Trend Micro Endpoint Encryption ist eine vollst ndig integrierte Hardware und Software basierte Verschl sselungsl sung zum Schutz f r Laptops Desktops Dateien und Ordner Wechselmedien und verschl sselte ESB Laufwerke mit eingebautem Antivirus Anti Malware Schutz Mit Endpoint Encryption k nnen Administratoren mit einer einzigen Management Konsole flexibel eine Kombination aus Hardware und Software basierter Verschl sselung mit voller Transparenz f r Endbenutzer verwalten Trend Micro Endpoint Encryption stellt einen durchg ngigen Datenschutz durch die Verschl sselung gem FIPS 140 2 f r folgende Daten bereit Daten die sich auf dem Verwaltungsserver befinden alle Daten die zum oder vom Server bertragen werden alle Daten die auf dem Endp
41. e des Servers und der Client Softwate nennen 5 2 Upgrade von PolicyServet uesessessssensenennsensensnnsensensensensensensensenssnnensens 5 2 Upgrade von Full Disk Encryption neenensnenensenenneenennennsen 5 7 Upgrade von FileArmor auna anieenesnee n eak 5 8 Auf Windows 8 upgraden sssasmenenessigiidniinnii aian ia 5 9 Patch Verwaltung mit Full Disk Encryption sensensnensenenenennennenne 5 10 Command Line Helper sauna eaaa G 5 10 Patching Verfahren f r Full Disk Encryption essen 5 11 Installiertes Verschl sselungsprodukt ersetzen nnennenen 5 11 M glichkeit 1 Installiertes Verschl sselungsprodukt entfernen 5 12 M glichkeit 2 Sicherung durchf hren und neues Image auf das Ger t Jufspielen a s aueh Endpunkt Clients auf einen neuen PolicyServer migrieren Full Disk Encryption PolicyServer wechseln Full Disk Encryption einem anderen Unternehmen zuordnen 5 15 FileArmor PolicyServer wechseln uuneneeensenssensenensensenenennen 5 16 KeyArmor einem anderen Unternehmen zuordnen uneee 5 17 Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Client Anwendungen deinstallieren unsnsnensensnsennensennennennenn Full Disk Encryption deinstallieren FileArmor deinstallieren unceeeeeeeeeeenesnenenenennnnnnnennnnennenenennnnn Kapitel 6 Unterst tzung erhalten TrendCommuniiy onra srana EE EEEE 6 2 Support Portal sssrinin aiaiai 6 2 Kontaktaufnahme mit dem technischen Support
42. eenden 15 Starten Sie den Server neu PolicyServer MMC Die PolicyServer Microsoft Management Konsole MMC ist die grafische Benutzeroberfl che ber die Administratoren auf die Funktionen von PolicyServer zugreifen Der PolicyServer MMC kombiniert eine hierarchische Struktur mit separaten Administrator und Authentifiziererrollen Unternehmen k nnen so die administrativen Verantwortlichkeiten verteilen und weiterhin eine zentralisierte Steuerung aufrecht erhalten ber die PolicyServer MMC k nnen Sie Folgendes verwalten e Alle Trend Micro Endpoint Encryption Anwendungen PolicyServer Benutzer und Gruppen einschlie lich Offline Gruppen e Client Ger te z B Laptops Desktop Computer PDAs Smartphones und USB Speicherger te Alle Verschl sselungs Kennwortkomplexit ts und Authentifizierungsrichtlinien Ereignisprotokolle zum Anzeigen von Authentifizierungsereignissen Verwaltungsereignissen und Sicherheitsverst en sowie dem Ger teverschl sselungsstatus Remote Hilfe zum Zur cksetzen des Kennworts Funktion zum Sperren Ausl schen des Ger ts Zudem bietet PolicyServer messbare Vorteile dank der Audit und Berichterstellungsoptionen Dadurch k nnen F hrungskr fte aus dem Unternehmen und andere Personen den Erfolg messen Eine detaillierte Beschreibung der Funktionen der PolicyServer MMC finden Sie im Endpoint Encryption Administratorhandbuch PolicyServer Installation PolicyServer MMC
43. eicher Installiert auf PolicyServer Frontend Host 3 000 1 PolicyServer Frontend Host 2 GHz Dual Quad Core Core2 Intel Xeon Prozessoren 4GB RAM 40GB RAID 1 Festplattenspeicher 1 PolicyServer SQL Datenbank Host 2 GHz Quad Core Core2 Intel Xeon Prozessoren 8GB RAM 100GB RAID 5 Festplattenspeicher TABELLE 2 6 Skalierung mit Redundanz und hoher Verf gbarkeit GER TE M NnDESTSYSTEMVORAUSSETZUNGEN PoLicYSErRVER FRONTEND PoLicvServer SQL DATENBANK 10 000 2 PolicyServer Frontend Hosts 2 GHz Dual Quad Core Core2 Intel Xeon Prozessoren 4GB RAM 40GB RAID 1 Festplattenspeicher 1 PolicyServer SQL Datenbank Hosts 2 GHz Quad Core Core2 Intel Xeon Prozessoren 8GB RAM 120GB RAID 5 Festplattenspeicher Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch MiNDESTSYSTEMVORAUSSETZUNGEN 2 GHz Dual Quad Core Core2 Intel Xeon Prozessoren 4GB RAM 40GB RAID 1 Festplattenspeicher GER TE PoLicYSErVER FRONTEND PoLicvServer SQL DATENBANK 20 000 4 PolicyServer Frontend Hosts 1 PolicyServer SQL Datenbank Hosts 2 GHz Dual Quad Core2 Intel Xeon Prozessoren 2 GHz Quad Core2 Intel AGB RAM Xeon M Prozessoren 40GB RAID 1 16GB RAM Festplattenspeicher 160GB RAID 5 Festplattenspeicher 40 000 8 PolicyServer Frontend Hosts 2 PolicyServer SQL Datenbank Cluster Hosts 2 GHz Quad Core Core2 Intel Xe
44. eis Microsoft oder VMware auf virtualisierter Hardware bietet keine Unterst tzung f r den Microsoft Cluster Service berlegungen zur Verteilung M NDESTSYSTEMVORAUSSETZUNGEN GER TE PoLicYSERVER FRONTEND PoLicvServer SQL DATENBANK 40 000 e 8 PolicyServer Frontend Hosts 4 PolicyServer SQL Datenbank Hosts 2 GHz Dual Quad Core Core2 Intel Xeon Prozessoren 2 GHz Dual Quad Core Core2 4GB RAM Intel Xeon Prozessoren 16GB RAM e 40GB RAID 1 6G Festplattenspeicher e 60GB RAID 5 Festplattenspeicher Hinweis 350GB Festplattenspeicher auf Virtualisierte Hardware wird a genutzten RAID 5 unter VMware Virtual Infrastructure unterst tzt Hinweis Microsoft oder VMware auf virtualisierter Hardware bietet keine Unterst tzung f r den Microsoft Cluster Service Skalierungsbeispiel MS SQL Protokollserver PolicyServer Y Server ABBILDUNG 2 1 PolicyServer f r die Unterst tzung von 40 000 Benutzern skaliert Kapitel 3 PolicyServer Installation Dieses Kapitel gibt einen berblick ber die Installation von PolicyServer sowie ber die Dateien und Konten die hierf r ben tigt werden In diesem Kapitel werden die folgenden Themen erl utert Voraussetzungen f r PolicyServer auf Seite 3 3 e PolicyServer Installationsvorgang auf Seite 3 6 e PolicyServer AD Synchronisierung auf Seite 3 12 e LDAP Proxy optional auf Seite 3 18
45. eitpunkt an welchem Ort im Unternehmen und auf welche Weise einsetzt Systemvoraussetzungen f r KeyArmor In der folgenden Tabelle werden die Mindestanforderungen f r die Verwendung von KeyArmor USB Sticks erl utert TABELLE 4 6 Systemvoraussetzungen f r KeyArmor VORGANG VORAUSSETZUNG Hardware USB 2 0 Port Netzwerkverbindung Kommunikation mit PolicyServer f r verwaltete Installationen erforderlich Betriebssysteme Windows 7 32 64 Bit Windows Vista mit SP1 32 64 Bit Windows XP mit SP3 32 Bit Andere Software Weitere erforderliche Software bei der Installation auf Windows XP Microsoft NET Framework 2 0 SP1 oder h her Endpoint Encryption Client Installation Ger tekomponenten KeyArmor stellt zwei Laufwerke bereit wenn Sie das Ger t an einen USB Port anschlie en Devices with Removable Storage u 314 Floppy A Audio CD D I Key rmor Ei N SECURE DATA F ABBILDUNG 4 1 KeyArmor Ger te KeyArmor E enth lt die Programmdateien von KeyArmor SECURE DATA F ist das Benutzerspeicherger t von KeyArmor KeyArmor verschl sselt alle auf diesem Laufwerk gespeicherten Dateien berblick ber die KeyArmor Verteilung hnlich wie f r Full Disk Encryption und FileArmor sind f r die KeyArmor Verteilung folgende Schritte erforderlich 1 Aktivieren Sie KeyArmor in PolicyServer 2 Konfigurieren Sie die ents
46. elung neu gestartet oder f r Hardware basierte Verschl sselung heruntergefahren A Hinweis Bei dem installierenden Benutzer darf es sich nicht um ein Enterprise Administrator oder Authentifiziererkonto handeln Prozedur 1 Kopieren Sie das Installationspaket von Full Disk Encryption auf die lokale Festplatte 2 Starten Sie TMFDEInstall exe Hinweis Wenn das Fenster Benutzerkontensteuerung angezeigt wird klicken Sie auf Ja damit das Installationsprogramm nderungen am Ger t vornehmen kann Endpoint Encryption Client Installation Der Begr ungsbildschirm f r die Installation wird angezeigt W hlen Sie die Option Verwaltete Installation aus und klicken Sie auf Weiter Das Fenster Verwaltete Installation wird angezeigt Geben Sie die Anmeldedaten f r das Benutzerkonto die PolicyServer Adresse und das Unternehmen ein und klicken Sie anschlie end auf Weiter Die Installation von Full Disk Encryption wird gestartet Das Programm wird nach Abschluss der Installation geschlossen Dies dauert u U mehrere Minuten Tipp Wenn die verwaltete Installation fehlschl gt verwenden Sie die Ger te ID die sich unten rechts auf dem Bildschirm des Installationsprogramms befindet um zu pr fen ob das Ger t bereits in PolicyServer vorhanden ist Die Ger te ID wird nur angezeigt nachdem ein Installationsfehler aufgetreten ist 0Ifebfbff 0002 0837 000029e0fbf30000 2012 Trend Mic
47. en b Geben Sie den Code zum Entsperren ein und w hlen Sie die Lizenzdatei aus Klicken Sie anschlie end auf Update c Klicken Sie auf OK wenn das Fenster Lizenz aktualisiert angezeigt wird Die PolicyServer Installation ist abgeschlossen Authentifizieren Sie sich bei PolicyServer MMC Verwenden Sie hierzu die Anmeldedaten des Unternehmensadministrators die Sie von Trend Micro erhalten haben N chste Ma nahme 1 Erstellen Sie ein Ersatzkonto des Typs Unternehmensadministrator und ndern Sie das Standardkennwortt 2 Aktivieren Sie alle Anwendungen die innerhalb des Unternehmens verwendet werden bevor Sie Testgruppen oder Gruppen f r die endg ltige Verteilung einrichten 3 Eine Liste der empfohlenen Aufgaben nach der Installation z B Ger te und Benutzer erstellen sowie Richtlinien festlegen finden Sie im Endpoint Encryption Administratorhandbuch PolicyServer AD Synchronisierung PolicyServer unterst tzt die Active Directory AD Synchtonisierung f r eine konfigurierte PolicyServer Gruppe Durch die Synchronisierung werden AD Benutzer automatisch zu konfigurierten PolicyServer Gruppen hinzugef gt bzw aus diesen entfernt Active Directory berblick F r die PolicyServer AD Synchronisierung sind drei Komponenten erforderlich 1 Eine konfigurierte AD Dom ne PolicyServer Installation 2 Eine PolicyServer Gruppe die so konfiguriert ist dass sie auf eine g ltige AD Organisationseinheit
48. en Ger te und Wechseldatentr ger erforderlich sind 2 F gen Sie Screenshots und detaillierte Anweisungen zum Benutzernamen zu Kennwortkonventionen und zu anderen internen Support Diensten hinzu Kommunikation am Tag vor dem Rollout 1 Bekr ftigen Sie das Timing des Rollout Zeitplans welche Erwartungen erf llt werden und an wen man sich zur Unterst tzung wenden kann 2 Verteilen Sie Merkzettel und Helpdesk Informationen und geben Sie Kontaktinformationen f r den Ansprechpartner vor Ort an der verf gbar ist um am n chsten Tag die Benutzer zu unterst tzen Kommunikation nach dem Rollout 1 Wiederholen Sie die Helpdesk Informationen und geben Sie die Kontaktinformationen f r den Ansprechpartner vor Ort an der verf gbar ist um am n chsten Tag die Benutzer zu unterst tzen 2 Stellen Sie Tools zur Unterst tzung der Fehlerbehebung bereit Skalierung Anforderungen f r PolicyServer und die SQL Datenbank Nachfolgend finden Sie Empfehlungen f r die Skalierung an einem einzelnen Standort die verschiedene Hardware Optionen f r die Systemredundanz und keinen Single Point of Failure bietet berlegungen zur Verteilung TABELLE 2 5 Skalierung ohne Redundanz GER TE MiNnDESTSYSTEMVORAUSSETZUNGEN PoLicYSErVER FRONTEND PoLicvServer SQL DATENBANK 1 500 PolicyServer und Datenbank Mehrzweck Server 2 GHz Quad Core Core2 Intel Xeon Prozessoren 8GB RAM 120GB RAID 5 Festplattensp
49. er t neu c Tauschen Sie das Laufwerk aus wenn chkdsk mehrere fehlerhafte Sektoren meldet berpr fen Sie ob bei der Festplatte ein normaler Master Boot Record MBR vorliegt und best tigen Sie dass ein normaler Bootsektor auf der Bootpartition vorhanden ist Beispiel Auf einem Computer mit zwei bootf higen Betriebssystemen befindet sich ein modifizierter Bootsektor Hinweis GPT wird derzeit nicht unterst tzt Kopieren Sie die Full Disk Encryption Installations Software auf das Systemlaufwerk von Windows Endpoint Encryption Client Installation Wichtige Hinweise f r DataArmor SP7 und fr here Versionen e SP6 und fr her berpr fen Sie im BIOS ob der Festplatten Controller auf ATA oder AHCI Modus eingestellt ist Bei Laptops mit einer Docking Station installieren Sie die Software w hrend das Ger t nicht an ein Multi Bay Geh use angeschlossen ist Intel MRapid Recovery Technology IRRT Einige neuere Systeme unterst tzen IRRT im BIOS Wenn f r den BIOS Festplattencontroller der IRR T Modus festgelegt ist m ssen Sie diesen vor der Installation von Full Disk Encryption in den AHCI Modus ndern IRRT muss vom Betriebssystem unterst tzt werden Intel M Matrix Manager Software Standardm ig ist unter Window XP die Intel Matrix Manager Software nicht installiert Die Einstellungen m ssen im BIOS ohne eine erneute Neuinstallation des Betriebssystems vorge
50. er upgraden beachten Sie Folgendes Vor der Durchf hrung des Datenbank Upgrades m ssen alle PolicyServer Frontend Server oder Dienste gestoppt werden Wenn Sie mehrere PolicyServer die mit derselben Datenbank verbunden sind upgraden 1 Stellen Sie sicher dass nur ein PolicyServer das Datenbank Upgrade durchf hrt 2 Beenden Sie den PolicyServer Windows Dienst auf allen PolicyServern bis auf einen 3 F hren Sie das Upgrade auf dem aktiven Server durch 4 Nachdem das Upgrade abgeschlossen und die Datenbank repliziert ist f hren Sie das Upgrade auf den anderen Servern aus Wenn Trend Micro LDAP Proxy verwendet wird f hren Sie erst das Upgrade von LDAP Proxy durch und dann das Upgrade auf PolicyServer 3 1 3 A Hinweis Trend Micro unterst tzt gehostete PolicyServer Umgebungen zurzeit nicht Upgrade von PolicyServer Datenbanken und Diensten Das PolicyServer Installationsprogramm konfiguriert Datenbankeinstellungen und installiert Windows Web Services Neu in PolicyServer 3 1 3 ist die M glichkeit eine Portnummer f r den PolicyServer Web Service anzugeben F r den Client Web Service wird jetzt au erdem ein zweiter Port ben tigt Wenn kein zweiter Port vorhanden ist Upgrades Migrationen und Deinstallationen wird w hrend der Installation ein neuer Port erstellt Weitere Informationen zur neuen Architektur finden Sie unter Komponenten von Endpoint Encryption auf Seite 1 2 Um Endpoint E
51. erkverbindung Kommunikation mit PolicyServer f r verwaltete Installationen erforderlich Betriebssysteme Windows 8 32 64 Bit Windows 7 32 64 Bit Windows Vista mit SP1 32 64 Bit Windows XP mit SP3 32 Bit Andere Software Weitere Voraussetzungen f r Windows 8 Microsoft NET Framework 3 5 ist aktiviert Informationen zum ndern der Startreihenfolge f r Ger te mit UEFI finden Sie unter Vorbereiten des Ger ts auf Seite 4 5 Weitere Voraussetzungen f r Clients unter Windows XP Microsoft NET Framework 2 0 SP1 oder h her Microsoft Windows Installer 3 1 Weitere Voraussetzungen Der die Installation durchf hrende Benutzer muss ber Administratorrechte auf dem Ger t verf gen e Kopieren Sie das Installationspaket auf den lokalen Computer und f hren Sie es dort aus e Legen Sie ein festes Kennwort f r alle PolicyServer Benutzer fest e Das Benutzerkonto muss zu einer PolicyServer Gruppe geh ren und ber die Berechtigung verf gen Ger te zu dieser Gruppe hinzuzuf gen Endpoint Encryption Client Installation A Hinweis PolicyServer Enterprise Administrator oder Authentifiziererkonten k nnen nicht zur Installation von FileArmor verwendet werden Manuelle FileArmor Installation Der manuelle Installationsvorgang besteht aus dem Ausf hren eines Installationsprogramms auf dem Client und dem Durchf hren der schrittweisen Anweisungen FileArmor ka
52. ern Bei Fragen Anmerkungen oder Anregungen zu diesem oder anderen Dokumenten von Trend Micro wenden Sie sich bitte an docs trendmicro com Bewerten Sie diese Dokumentation auf der folgenden Website http www trendmicro com download documentation rating asp Inhaltsverzeichnis Vorwort Kapitel 1 Kapitel 2 VOL WORT ar ee ee ET ae ser esse re v Produktdokumentation eseesssesesesnenenennnnnnnnnnnnnnnnnnenennnnennnennnnnnnnnnnnnsnnnnnenennnn vi Dokumentationskonventionen ZielBruppe un euen nein en URA BestiHe n i ne R E viii Info ber Trend Micro uessesesessesesesesnenenenenenenensenennnnnnenenenenenenansenenennenenenen nenn x Einf hrung in Trend Micro Endpoint Encryption Info ber Trend Micro Endpoint Encryption ueessnnsennennensennensennen 1 2 Komponenten von Endpoint Eneryption uses 1 2 SYStENIVOTAUSSELZUNGEN snnre renio RR 1 5 Wichtigste Funktionen und Vorteile sssississinesnianininiii 1 9 Verwaltung und Integration aussen nennt 1 10 Verschl sselung vetstehen annaseenn nennen 1 10 Dateiverschl sselung Full Disk Encryption Schlusselverwaltung u a Infor ber TIP D nen ng berlegungen zur Verteilung Unterst tzte Plattformen und Checkliste vor der Verteilung 2 3 Anf ngliche Fragen zur Verteilung uuessssensenssenenseensenennsensunsenene 2 5 Projektteam zuweisen unsssnssosnsesinsensesensinsesensensseehssndeesuschne enninshnenienah nn 2 7 Checkliste f r d
53. ern Richtlinien und Protokollen gespeichert werden Active Directory Der PolicyServer Web Service synchronisiert Benutzerkontoinformationen durch Kommunikation mit Active Directory ber LDAP Die Kontoinformationen werden lokal in der MobileArmorDB zwischengespeichert A Hinweis Active Directory ist optional Client Web Service Der IIS Web Service den Endpoint Encryption Clients f r die Kommunikation mit dem PolicyServer Web Service verwenden Einf hrung in Trend Micro Endpoint Encryption Systemvoraussetzungen Die unten stehenden Tabellen geben einen berblick ber die Systemvoraussetzungen f r Endpoint Encryption TABELLE 1 2 Hardware Voraussetzungen f r PolicyServer SEPARATE Hosts EinzELner Host PolicyServer Host 3 000 SQL Server Host 3 000 PolicyServer und SQL Benutzer Benutzer Server 1 500 Benutzer 2 GHz Dual Quad Core 2 GHz Dual Quad Core 2 GHz Quad Core Core2 Intel Xeon Core2 Intel Xeon Core2 Intel Xeon Prozessoren Prozessoren Prozessoren 4GB RAM 8GB RAM 8GB RAM 40GB 100GB 120GB Festplattenspeicher Festplattenspeicher Festplattenspeicher TABELLE 1 3 Software Mindestvoraussetzungen f r PolicyServer FUNKTION VORAUSSETZUNG Betriebssystem Windows Server 2003 SP2 32 64 Bit Windows Server 2008 oder 2008 R2 64 Bit Anwendungen und Anwendungsserver Einstellungen IIS ASP Active Server Pages zula
54. ern Sie sich dass ein normaler Bootsektor auf der Bootpartition vorhanden ist A Hinweis Das Ger t darf nicht ber zwei bootf hige Betriebssysteme verf gen 6 Sichern Sie die Benutzerdateien 7 Installieren Sie Full Disk Encryption Weitere Informationen finden Sie unter Installieren von Full Disk Encryption auf Seite 4 2 Upgrades Migrationen und Deinstallationen M glichkeit 2 Sicherung durchf hren und neues Image auf das Ger t aufspielen Prozedur 1 Sichern Sie die Benutzerdateien 2 Spielen Sie ein Image des Ger ts auf a F hren Sie ber eine Befchlszeile DiskPart Clean All aus b Erstellen Sie eine Partition c Formatieren Sie das Laufwerk d Spielen Sie ein Image des Laufwerks auf 3 Installieren Sie Full Disk Encryption und verschl sseln Sie das Ger t 4 Stellen Sie die Benutzerdateien wieder her Endpunkt Clients auf einen neuen PolicyServer migrieren In diesem Abschnitt wird beschrieben wie Sie den PolicyServer der die Richtlinien eines Endpunkt Clients steuert wechseln Dies ist sinnvoll wenn ein Endbenutzer in eine Abteilung oder einen Gesch ftsbereich wechselt die bzw der von einer anderen PolicyServer Instanz verwaltet wird Full Disk Encryption PolicyServer wechseln Sie k nnen die Full Disk Encryption PolicyServer Einstellungen konfigurieren indem Sie von Full Disk Encryption Preboot aus die Wiederhetstellungskonsole ffnen oder indem Sie die Datei C Progra
55. erver Web Services 3 7 Verwalteter Client 4 12 Installation Automatisiert 4 8 Checkliste f r das Pilotprogramm A 1 Checkliste f r die Sicherheitsinfrastruktur B 2 Festplatte vorbereiten 4 4 Manuell 4 8 Methoden 4 8 PolicyServer 3 1 Verwaltet 4 9 Verwalteter Client 4 10 Installationsskripts 4 17 Installationsvoraussetzungen 4 3 Intel Matrix Manager 4 7 Intel Rapid Recovery Technology 4 7 G K Kennw tter 1 10 KeyArmor 4 18 Endbenutzer 4 20 Ger tekomponenten 4 19 Schl sselverwaltung 1 11 sicher entfernen 4 20 SICHERES LAUFWERK 4 19 Systemvoraussetzungen 1 8 4 18 Unternehmen wechseln 5 17 Verteilung 4 19 Kryptographie 1 2 Kryptographie von Mobile Armor 4 25 Stichwortverzeichnis L LANDesk 4 23 LDAP Proxy 3 18 Hardware Checkliste 3 19 3 20 Voraussetzungen 3 18 Lizenzdatei 3 2 3 5 M Manuelle Installation 4 8 Microsoft NET 2 3 Microsoft SMS 4 21 Migration KeyArmor 5 17 Migrationen 5 1 Endpunkt Clients migrieren 5 13 N Nicht verwaltete Installation 4 8 oO Online Community 6 2 OPAL 1 6 4 3 P Patch Verwaltung 5 10 Pilotprogramm 2 9 PolicyServer AD Synchronisierung 3 1 3 12 ndern 5 14 Client Web Service 1 2 Einf hrung 3 2 installation Datenbank 3 7 MMC 3 11 Web Services 3 7 Installation Microsoft SQL DB 3 6 Reihenfolge 3 6 Installationsdateien 3 2 Installationsprozess 3 1 Installationsvoraussetzungen 3 1 LDAP
56. f gt Dies verhindert das berschreiben der Administratoraktion f r diesen Benutzer Wenn ein Administrator einen synchronisierten Dom nenbenutzer manuell wieder in eine zugeordnete Gruppe verschiebt beginnt das Synchronisierungssystem automatisch wieder damit den Benutzer in der Gruppe zu verwalten Active Directory konfigurieren F r diese Aufgabe wird vorausgesetzt dass der Dom nencontroller auf Windows Server 2003 eingerichtet wurde und AD installiert ist Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Prozedur 1 Navigieren Sie zu Start gt Programme gt Verwaltung gt Active Directory Benutzer und Computer Das Fenster Active Directory Benutzer und Computer wird ge ffnet 44 Active Directory Benutzer und Computer lt Datei Aktion Ansicht Eenster 2 EBlBBBRRrEARTER Gespeicherte Abfragen i di p en C Gespeicherte Abfragen BPe d com ABBILDUNG 3 1 Active Directory Benutzer und Computer 2 Klicken Sie mit der rechten Maustaste auf die neue Dom ne die bei der Installation von AD erstellt wurde und w hlen Sie Neu aus 3 W hlen Sie Organisationseinheit aus 4 Klicken Sie auf Weiter 5 Geben Sie im Fenster Neues Objekt Organisationseinheit den neuen Namen an und klicken Sie auf OK Die neue Gruppe wird in der linken Navigation unter der Dom ne angezeigt PolicyServer Installation 10 11 12 13 Die neue Gruppe wird zur Synchroni
57. gen f r die einzelnen Trend Micro Endpoint Encryption Clients aufgef hrt TABELLE 2 1 PolicyServer 3 1 3 UNTERST TZTE PLATTFORMEN CHECKLISTE VOR DER VERTEILUNG Windows Server 2003 Stellen Sie sicher dass Microsoft NET 2 0 SP2 oder 32 64 Bit Version h her auf dem Host Computer installiert ist Windows Server 2008 2008 Verwenden Sie ein Admin Konto f r die Installation R2 64 Bit Version von PolicyServer MMC Zum Authenitifizieren bei MMC ist eine Verbindung zum PolicyServer erforderlich Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch TABELLE 2 2 Full Disk Encryption UNTERST TZTE PLATTFORMEN CHECKLISTE VOR DER VERTEILUNG Windows 8 32 64 Bit Bei UEFI kompatiblen Ger ten muss die Startreihenfolge im BIOS auf Legacy First statt UEFI First festgelegt werden Vergewissern Sie sich dass Microsoft Net 3 5 aktiviert ist e F hren Sie scandisk und defrag vor der Installation aus Best tigen Sie dass ein normaler Master Boot Record MBR vorliegt 20 verf gbaren Festplattenspeicher Sichern Sie die Benutzerdaten Hinweis Full Disk Encryption f r Windows 8 unterst tzt keine RAID SCSI eDrive oder OPAL 2 Laufwerke Windows 7 32 64 Bit Vergewissern Sie sich dass Microsoft NET 2 0 SP1 oder h her installiert ist Windows Vista mit SP1 32 64 Bit Windows Installer 3 1 Wenn verwaltet Verbindung zu Po
58. h werden die Systemvoraussetzungen beschrieben Es enth lt zudem detaillierte Anweisungen zur Einrichtung Installation und Migration sowie zum Upgrade von PolicyServer und den Endpunkt Clients Administratorhandbuch Im Administratorhandbuch werden die Produktkonzepte und funktionen erl utert Au erdem enth lt es ausf hrliche Informationen zur Konfiguration und Verwaltung von PolicyServer und den Endpunkt Clients Readme Datei Die Readme Datei enth lt aktuelle Produktinformationen die in der Online Hilfe oder im Benutzerhandbuch noch nicht erw hnt sind Zu den Themen geh ren die Beschreibung neuer Funktionen L sungen bekannter Probleme und eine Liste bereits ver ffentlichter Produktversionen Knowledge Base Eine Online Datenbank mit Informationen zur Probleml sung und Fehlerbehebung Sie enth lt aktuelle Hinweise zu bekannten Softwareproblemen Die Knowledge Base finden Sie im Internet unter folgender Adresse http esupport trendmicro com A Hinweis Die Dokumentation steht unter folgender Adresse zum Download bereit http docs trendmicro com de de home aspx Dokumentationskonventionen In der Dokumentation werden die folgenden Konventionen verwendet Vorwort TABELLE 2 Dokumentationskonventionen KONVENTION BESCHREIBUNG GROSSSCHREIBUNG Akronyme Abk rzungen und die Namen bestimmter Befehle sowie Tasten auf der Tastatur Fettdruck Men s und Men befehle Scha
59. ie Sicherheitsinfrastruktur ueenenesnenenenn 2 8 Richtlinien und Sicherheitsprofile erstellen ueenene 2 8 Die Wichtigkeit eines Pilotprogramms unnenenennsensenensensenenennennenenn 2 9 Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch berlegungen zur nderungsverwaltung ennnnnennn 2 9 Endbenutzer Kommunikation uessesseneneensensensensensensensensensensensennensenne 2 10 Zu beantwortende Fragen unsessnsensensensensensensensennensennensensennensenn 2 10 Strategie eines schrittweisen Rollouts implementieren 2 11 Erkl ren Sie den Benutzern die Aktionen Termine und Gr nde 2 11 Skalierung Anforderungen f r PolicyServer und die SQL Datenbank 2 12 Skalierungsbeispiel aussen Ri 2 17 Kapitel 3 PolicyServer Installation Einf hrung in PolicySetver uu us003005e 00005000000502cHen enssnshneninnn san eninnassnn nn 3 2 Inhalt des Installatonsordners u uu 0uu 00n 0 3 2 Voraussetzungen f r PolicyServet usnesssssssenennenennensensnsensensnnnnsenensensnnenenne 3 3 Hardware Voraussetzungen unesnsesensensenensennensensennensennennennennennennsannn 3 3 Software V otaussetzungen usa 3 4 Erforderliche Installationsdateien unenneensnenennenenneen 3 5 Erforderliche Konten u nennen nennen 3 5 PolicyServer Installationsvorgang nuenensesesssensenensensenensenennenennennenennennen 3 6 PolicyServer Datenbank und Web Services installieren 3 7
60. ient Software installiert Full Disk Encryption und oder FileArmor Software lokal auf den Computer kopiert und ausgef hrt Administratoren Authentifizierer und Endbenutzer k nnen basierend auf den Richtlinieneinstellungen auf Ger te zugreifen Festes Kennwort Single Sign On SmartCard Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch CHECKLISTE F R DAS PILOTPROGRAMM DATUM Hinweise Alle Computer sind mit der neuen Software kompatibel Preboot Authentifizierung und oder Verbindung best tigt Verschl sselung wird abgeschlossen Computer funktioniert normal Dateien Ordner gem Richtlinie verschl sselt USB Port wird gem der Richtliniendefinition gesteuert Warnungen Ereignisprotokolle und Berichte von PolicyServer best tigen die Administrator und Endbenutzer Aktivit t Endbenutzer k nnen Aktivit ten des Tagesgesch fts durchf hren Mit dem bestehenden Benutzernamen Kennwort oder SSO aus Preboot auf Windows zugreifen Der Computer funktioniert innerhalb und au erhalb des Netzwerks normal Der Benutzer kann auf alle Benutzerdaten Anwendungen und Netzwerkressourcen zugreifen Checkliste f r das Endpoint Encryption Pilotprogramm CHECKLISTE F R DAS PILOTPROGRAMM DATUM Hinweise Systemadministratoren testen Support Prozesse e Backup Administratoren erstellen Berichterstellung und Warnungen testen Full Di
61. ine Helper ARGUMENTE FuLL Disk FUNKTION FuLL Disk ENCRYPTION FILEARMOR ENCRYPTION VERSCHL SSELT Unternehmen ENTERPRISE eENTERPRISE PSENTERPRISE PolicyServer HOST eHOST PSHOST Benutzername USERNAME eUSERNAME FAUSERNAME Kennwort PASSWORD ePASSWORD FAPASSWORD A Hinweis Das Installationsprogramm von FileArmor kann verschl sselte Werte automatisch verarbeiten Full Disk Encryption Skriptbeispiel Nur ein Wert kann an Command Line Helper bergeben werden Dieser kann jedoch so oft wie n tig ausgef hrt werden um alle erforderlichen verschl sselten Werte zu sammeln Speicherort der Software C Programme Trend Micro Full Disk Encryption TMFDEInstaller exe ENTERPRISE MyCompany HOST PolicyServer mycompany com eUSERNAME GroupAdministrator ePASSWORD 123456 Hinweis In diesem Beispiel werden der Benutzername und das Kennwort verschl sselt Endpoint Encryption Client Installation Ausgabe zum Installieren von Full Disk Encryption C Program Files Trend Micro Full Disk Encryption TMFDEInstaller exe ENTERPRISE MyCompany HOST PolicyServer mycompany com eUSERNAME JJUJC Lu4C Uj7yYwxubYhAuCcrY4f f7AbVFp5hKo2PR4AO ePASSWORD 5mih67uKdy7T1VaN2ISWGOQO FileArmor Skript Beispiel Dies ist ein Beispiel eines FileArmor Installationsskripts f r ein Ger t auf dem ein 32 Bit Betriebssystem ausgef hrt wird Verwenden Sie f r 64 Bit Ger te stattdessen FASetup
62. inistratoren oder Benutzer den Verschl sselungsschl ssel auf einem USB Ger t aufbewahren Endpoint Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Encryption sichert und hinterlegt Verschl sselungsschl ssel transparent w hrend es einem Administrator erm glicht sich mit einem Administratorschl ssel bei dem gesch tzten Ger t anzumelden um gesch tzte Daten wiederherzustellen KeyArmor USB Ger te sch tzen Daten mit st ndig verf gbarer Hardware Verschl sselung und integriertem Antivirus Anti Malware Schutz um strenge gesetzliche Vorschriften und Richtlinien zu erf llen Mit KeyArmor haben Administratoren vollst ndige Transparenz und Kontrolle dar ber wer USB Ger te zu welchem Zeitpunkt an welchem Ort im Unternehmen und auf welche Weise einsetzt Info ber FIPS Die Federal Information Processing Standard FIPS Publication 140 2 ist ein Ger tesicherheitsstandard der US amerikanischen Regierung der die Sicherheitsstandards f r Verschl sselungsmodule vorgibt FIPS 140 2 beinhaltet vier Sicherheitsstufen TABELLE 1 8 FIPS 140 2 Sicherheitsstufen STUFE BESCHREIBUNG Stufe 1 Alle Verschl sselungskomponenten m ssen sich auf der Produktionsstufe befinden und d rfen keine Sicherheitsl cken aufweisen Stufe 2 Beinhaltet alle Anforderungen von Stufe 1 und f gt physischen Manipulationsbeweis und rollenbasierte Authentifizierung hinzu Stufe 3 Beinhaltet alle Anforderungen von Stufe
63. inition von Sicherheitsfragen und administrativen bzw Support Prozessen Endbenutzer 1 F r wie viele Benutzer soll die Verteilung insgesamt durchgef hrt werden Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch 2 Wie viele davon sind e Administratoren des Unternehmens _ Gruppen Administratoren e Authentifizierer Helpdesk Mitarbeiter Endbenutzer Endpunkt Ger te 1 Gibt es auf der Hardware eine Standard Anzahl von Partitionen 2 Besitzen die Ger te mehrere physische Festplatten 3 Gibt es Ger te mit Dual Boot Managern 4 Welche Standard Software ist installiert Pr fen Sie Folgendes a Virenschutz b Sicherheitsanwendungen die Software Installationen blockieren c Fr here Verschl sselungsprodukte Unternehmensnetzwerke und datenbanken 1 Wie viele PolicyServer werden zur Unterst tzung der Benutzerbasis erforderlich sein a Sch tzen Sie die maximale Benutzeranzahl f r die n chsten drei Jahre b Falls die Dom nenauthentifizierung verwendet wird ist ein PolicyServer f r jede Active Directory Dom ne erforderlich 2 Ist eine Lastverteilung auf den Servern erforderlich a Die Lastverteilung wird f r Installationen empfohlen die Redundanz und hohe Verf gbarkeit f r PolicyServer verlangen b Es kann Clustering verwendet werden um Redundanz und hohe Verf gbarkeit f r die Datenbankserver zu bieten 3 Wie lauten die Sch tzungen f r die Datenbankgr e berlegunge
64. innerhalb eines bestimmten Zeitraums synchronisiert wurden Reparatur CD Verwenden Sie diese startf hige CD um das Laufwerk zu entschl sseln bevor Sie Full Disk Encryption im Falle einer Besch digung der Festplatte entfernen RSA SecurlD Ein Mechanismus zum Ausf hren der Zwei Faktor Authentifizierung f r einen Benutzer bei einer Netzwerkressource Selbsthilfe Kombinationen aus Fragen und Antworten mit denen ein Benutzer ein vergessenes Kennwort zur cksetzen kann ohne sich an den Support zu wenden Info ber Trend Micro Trend Micro weltweit f hrend in der Internet Content Security und der Bew ltigung von Bedrohungen hat sich als Ziel gesetzt den globalen Austausch von digitalen Informationen f r Unternehmen und Endverbraucher sicher zu machen Mit einer Erfahrung von ber 20 Jahren bietet Trend Micro Client Server und Cloud basierte L sungen die neue Bedrohungen schneller unterbinden und die Daten in physischen virtuellen und Cloud Umgebungen sch tzen Da neue Bedrohungen und Schwachstellen immer wieder auftauchen bleibt Trend Micro seiner Verpflichtung treu seine Kunden beim Sichern von Daten Einhalten der Konformit t Senken der Kosten und Wahren der Gesch ftsintegrit t zu unterst tzen Weitere Informationen finden Sie unter http www trendmicro com Trend Micro und das Trend Micro T Ball Logo sind Marken von Trend Micro Incorporated und in einigen Rechtsgebieten eingetragen All
65. is Um den Status der Entschl sselung anzuzeigen ffnen Sie Full Disk Encryption von der Task Leiste aus 5 Wenn die Entschl sselung abgeschlossen ist klicken Sie auf OK 6 F hren Sie TMFDEUninstall exe erneut aus um die Deinstallation abzuschlie en 7 Starten Sie das Ger t neu Hinweis Der Ger tedatensatz wird nicht automatisch gel scht Er muss manuell aus PolicyServer entfernt werden FileArmor deinstallieren Deinstallieren Sie FileAmor ber die Windows Funktion Software Hinweis x Setzen Sie Richtlinien gt FileArmor gt Computer gt Deinstallation durch Benutzer zulassen auf Ja um allen Benutzern oder Gruppen Authentifizierern die Ausf hrung des Deinstallationsprogramms unter Windows zu erlauben Entschl sseln Sie manuell alle verschl sselten Dateien bevor Sie FileArmor deinstallieren Anderenfalls sind diese nicht mehr lesbar Speichern und schlie en Sie alle Dokumente bevor Sie die Deinstallation durchf hren Nachdem die Deinstallation abgeschlossen ist m ssen Sie einen Neustart durchf hren Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Prozedur 1 Melden Sie sich bei FileArmor mit einem Konto an das ber die Berechtigung zum Deinstallieren von FileArmor verf gt 2 ffnen Sie das Windows Startmen und navigieren Sie zu Systemsteuerung gt Programme gt Programm deinstallieren 3 W hlen Sie FileArmor aus der Liste aus und
66. ive Ganzzahl zwischen 1 und 65535 sein c Klicken Sie auf Fortfahren Wenn kein zweiter IIS Standort verf gbar ist wird das Fenster Speicherort f r Client Web Service erstellen angezeigt um einen neuen IIS Standort erstellen zu k nnen a Geben Sie im Feld Name der Site einen Namen f r den IIS Speicherort an b Suchen Sie nach dem Speicherort f r die Site Wenn noch kein Ordner vorhanden ist erstellen Sie einen neuen c Geben Sie die IP Adresse und Portnummer f r den neuen IS Speicherort an Hinweis Trend Micro empfiehlt Port 80 beizubchalten Falls erforderlich k nnen Sie jedoch eine andere Portnummer angeben Die Portnummer muss eine positive Ganzzahl zwischen 1 und 65535 sein d Klicken Sie auf Fortfahren berpr fen Sie die Einstellungen im Fenster Mobile Web Service Installationsspeicherort und klicken Sie dann auf Fortfahren Geben Sie im Fenster Unternehmensnamen und Administrator Anmeldung erstellen den neuen Unternehmensnamen und die Anmeldedaten f r ein neues Unternehmensadministrator Konto an das w hrend des anf nglichen Testzeitraums zum Verwalten von PolicyServer verwendet wird Klicken Sie auf Fortfahren Der Installationsvorgang wird gestartet Klicken Sie in der PolicyServer Installation Meldung auf OK Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch 13 Klicken Sie auf Beendet 14 Klicken Sie im Fenster des PolicyServer Installationsprogramms auf B
67. kehr k nnen zum Zeitpunkt der Installation oder ber Einstellungen auf dem Endpoint Encryption Client konfiguriert werden Active Directory PolicyServer MMC HTTP I LDAP 3ER Endpoint Encryption Client Web Service PolicyServer Client Web Service MobileArmorDB ABBILDUNG 1 1 Endpoint Encryption Client Server Architektur In der folgenden Tabelle werden diese Komponenten beschrieben Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch TABELLE 1 1 Komponenten von Endpoint Encryption KOMPONENTE BESCHREIBUNG PolicyServer Web Service Der IIS Web Service f r die zentrale Verwaltung der Administration Authentifizierung und Berichterstellung im Zusammenhang mit Richtlinien PolicyServer MMC Die PolicyServer Microsoft Management Konsole MMC ist die Oberfl che zur Steuerung von PolicyServer Endpoint Encryption client Ein Endpoint Encryption Client ist jedes Ger t auf dem entweder Full Disk Encryption FileArmor oder KeyArmor installiert ist Full Disk Encryption bietet Hardware und Software basierte Full Disk Encryption sowie Preboot Authentifizierung FileArmor bietet Datei und Ordnerverschl sselung f r Inhalte auf lokalen Festplatten und Wechselmedien KeyArmor ist ein robustes verschl sseltes USB Laufwerk mit integriertem Virenschutz MobileArmorDB Die Microsoft SQL Server Datenbank in der alle Details zu Benutz
68. klicken Sie dann auf Deinstallieren Kapitel 6 Unterst tzung erhalten Je nach dem welche Art von Support ben tigt wird gibt es verschiedene M glichkeiten Hilfe zu erhalten Dieses Kapitel umfasst folgende Themen Trend Community auf Seite 6 2 Support Portal auf Seite 6 2 Kontaktaufnahme mit dem technischen Support auf Seite 6 3 TrendLabs auf Seite 6 4 Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Trend Community Hier erhalten Sie Hilfe k nnen Erfahrungen austauschen Fragen stellen und Sicherheitsprobleme mit anderen Benutzern Enthusiasten und Sicherheitsexperten diskutieren http community trendmicro com Support Portal ber das Trend Micro Support Portal k nnen Sie rund um die Uhr auf Tausende von hilfreichen und einfach zu nutzenden L sungsvorschl gen zu technischen Problemen mit Trend Micro Produkten und Diensten zugreifen T glich werden neue L sungen hinzugef gt Prozedur 1 Gehen Sie zu http esupport trendmicro com 2 W hlen Sie ein Produkt oder einen Service aus dem entsprechenden Dropdown Men aus und geben Sie weitere verwandte Informationen an wenn Sie dazu aufgefordert werden Die Produktseite f r den Technischen Support wird angezeigt 3 Geben Sie Suchkriterien an z B eine Fehlermeldung und klicken Sie anschlie end auf das Suchsymbol Eine Liste mit L sungen wird angezeigt 4 Wenn in der Liste keine L sung f r Ih
69. lationshandbuch LDAP PRoxY SERVER ANMERKUNGEN Installierte Software auf IIS dem Server Microsoft NET SP 2 0 Sp1 oder h her Angaben zum Netzwerk IP Adresse Subnetzmaske Host Name Dom nenname Verf gbare Anmeldedaten der Dom ne nur f r SSO Kapitel 4 Endpoint Encryption Client Installation Jede Endpoint Encryption Anwendung hat eigene Installations und Systemanforderungen Detaillierte Erl uterungen zur Konfiguration und Verwendung von Endpunkt Anwendungen finden Sie im Endpoint Encryption Administratorhandbuch In diesem Kapitel werden die folgenden Themen erl utert berlegungen zur Installationsvorbereitung auf Seite 4 2 Unterst tzte Plattformen und Checkliste vor der Verteilung auf Seite 23 Installieren von Full Disk Encryption anf Seite 4 2 FileArmor installieren auf Seite 4 13 KeyArmor auf Seite 4 18 Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch berlegungen zur Installationsvorbereitung Bevor Sie mit der Installation beginnen beachten Sie Folgendes Kopieren Sie alle Endpunkt Client Installationsdateien auf das Ger t F r alle Endpunkt Client Anwendungen wird Microsoft NET Framework 2 0 SP1 oder h her ben tigt Ey A Hinweis Zum Installieren von Endpunkt Clients unter Windows 8 ist Kompatibilit t mit Microsoft NET Framework 3 5 erforderlich e Die Installation von Full Disk Encryption und
70. latte Full Disk Encryption kann nicht auf Wechseldatentr gern installiert werden auf denen Windows ausgef hrt wird Verwenden Sie FileArmor f r Datei und Ordnerverschl sselung auf Wechselmedien Freier Speicher Mindestens 256MB Arbeitsspeicher Mindestens 1GB Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch SYSTEM BERPR FUNG VORAUSSETZUNG Hinweise Partitionsanzahl Weniger als 25 Partitionen mit erweiterten MBRs sind nicht Partitionen verf gbar Partitionstyp Nur MBR wird GPT erforderlich f r Festplatten die unterst tzt gr er als 2 TB sind wird gegenw rtig nicht unterst tzt Physisches Eine bootf hige Full Disk Encryption muss auf einer Laufwerk ist Partition ist bootf higen Partition installiert werden bootf hig erforderlich SCSI Festplatte ATA AHCI oder IRRT Festplattencontroller SCSI wird nicht unterst tzt Die Pr fung gibt nur eine Warnung aus da Windows ein SATA Laufwerk m glicherweise als SCSI Laufwerk meldet Wenn es sich bei der Festplatte nicht um echtes SCSI Laufwerk handelt kann Full Disk Encryption installiert werden Wenn Sie sich nicht sicher sind nehmen Sie eine physische berpr fung des Laufwerks vor Net Framework F r Windows XP oder h her ist Net 2 0 SP1 oder neuer Wird f r Windows Vista oder neuere Betriebssysteme weggelassen BitLocker ist nicht installiert erforderlich SED
71. lden Sie sich nach dem Neustart von Windows an und pr fen Sie den neuen FileArmor Ordner Verschl sselte Dateien und Ordner werden beibehalten Upgrades Migrationen und Deinstallationen Auf Windows 8 upgraden Endpoint Encryption unterst tzt kein Upgrade auf Windows 8 Ist ein Upgrade erforderlich empfiehlt Trend Micro diese Vorgehensweise um Datenverlust zu vermeiden wenn Full Disk Encryption oder FileArmor bereits auf dem Endpunkt Client installiert ist KeyArmor unterst tzt die Windows 8 Umgebung nicht Prozedur 1 Befolgen Sie die Anweisungen im Endpoint Encryption Administratorhandbuch zum Entschl sseln des Ger ts 2 Deinstallieren Sie Endpunkt Client Anwendungen Informationen ber das Deinstallieren von Full Disk Encryption finden Sie unter Full Disk Encryption deinstallieren auf Seite 5 18 Informationen ber das Deinstallieren von FileArmor finden Sie unter FileArmor deinstallieren auf Seite 5 19 3 Upgraden Sie das Betriebssystem auf Windows 8 bzw installieren Sie Windows 8 Hinweis In diesem Dokument wird die Installation der Windows 8 Umgebung nicht erl utert Anweisungen dazu finden Sie in der entsprechenden Benutzerdokumentation von Microsoft 4 Stellen Sie sicher dass die Windows 8 Umgebung stabil ist und dass das Upgrade erfolgreich durchgef hrt wurde 5 Installieren Sie Endpunkt Client Anwendungen neu Informationen ber das Installieren von Full Disk Encryptio
72. licyServer Windows XP mit SP3 32 Bit F hren Sie scandisk und defrag vor der Installation aus Best tigen Sie dass ein normaler Master Boot Record MBR vorliegt 20 verf gbaren Festplattenspeicher Sichern Sie die Benutzerdaten A Hinweis Full Disk Encryption unterst tzt keine RAID oder SCSI Laufwerke berlegungen zur Verteilung TABELLE 2 3 FileArmor 3 1 3 UNTERST TZTE PLATTFORMEN CHECKLISTE VOR DER VERTEILUNG Windows 8 32 64 Bit Bei UEFI kompatiblen Ger ten muss die Startreihenfolge im BIOS auf Legacy First statt UEFI First festgelegt werden Vergewissern Sie sich dass Microsoft Net 3 5 aktiviert ist Windows 7 32 64 Bit Vergewissern Sie sich dass Microsoft NET 2 0 SP1 oder h her installiert ist Windows Vista mit SP1 32 64 Bit Windows XP mit SP3 32 Bit TABELLE 2 4 KeyArmor UNTERST TZTE PLATTFORMEN CHECKLISTE VOR DER VERTEILUNG Windows 8 32 64 Bit Windows 8 wird nicht unterst tzt Windows 7 32 64 Bit USB Port ist verf gbar Windows Vista mit SP1 32 64 Bit Windows XP mit SP3 32 Bit Anf ngliche Fragen zur Verteilung Der Fragebogen unterst tzt Sie bei der Definition des Projektteams der Dokumentation Ihrer Betriebsumgebung der Bewertung der Architekturanforderungen der Erm glichung der Pr fung von Desktop Hardware und Software Profilen und der Def
73. liste f r neue Mitarbeiter aktualisiert so dass sie alle neuen Prozesse f r Endpoint Encryption enth lt 2 Wurden die Prozesse bei Beendigung des Arbeitsverh ltnisses aktualisiert so dass sie alle neuen Prozesse f r Endpoint Encryption enthalten insbesondere das Ausl schen Wipe von Ger ten Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch PR FEN FRAGEN Einhaltung von Richtlinien Wurde das Konformit tsprofil aktualisiert so dass es die von Endpoint Encryption gebotenen Vorteile enth lt Wurde eine Konformit tspr fung f r alle Aspekte der Implementierung und Verteilung von Endpoint Encryption durchgef hrt Anhang C Installationsvoraussetzungen f r Full Disk Encryption Vor der Installation von Full Disk Encryption startet das Installationsprogramm von Full Disk Encryption das Zielger t und berpr ft dieses um sicherzustellen dass alle erforderlichen Systemvoraussetzungen erf llt sind Das Installationsprogramm wird geschlossen wenn diese nicht erf llt werden Verwenden Sie die Pr fliste um fehlende Voraussetzungen zu ermitteln Einzelheiten finden Sie in der Datei PreInstallCheckReport txt PreInstallCheckReport txt istin demselben Ordner wie die Full Disk Encryption Installationsdateien gespeichert TABELLE C 1 Vom Installationsprogramm berpr fte Bedingungen SYSTEM BERPR FUNG VORAUSSETZUNG Hinweise Feste Medien Interne Festp
74. ltfl chen Registerkarten und Optionen Kursivdruck Referenzen auf andere Dokumente Schreibmaschinenschrift Beispiele f r Befehlszeilen Programmcode Internet Adressen Dateinamen und Programmanzeigen Navigation gt Pfad Navigationspfad f r den Zugriff auf ein bestimmtes Fenster Beispiel Datei gt Speichern bedeutet auf der Benutzeroberfl che auf Datei und dann auf Speichern zu klicken Hinweis Konfigurationshinweise Q Tipp Empfehlungen oder Vorschl ge Wichti Informationen zu erforderlichen oder standardm igen 9 Konfigurationseinstellungen und Produkteinschr nkungen Warnung Kritische Aktionen und Konfigurationsoptionen Zielgruppe Dieses Handbuch wurde f r IT Administratoren geschrieben die Trend Micro Endpoint Encryption in mittleren bis gro en Unternehmen einsetzen Es richtet sich zudem an Helpdesk Mitarbeiter die Benutzer Gruppen Richtlinien und Ger te Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch verwalten In dieser Dokumentation werden grundlegende Kenntnisse zu Ger ten Netzwerken und Sicherheit vorausgesetzt Dazu geh ren Setup und Konfiguration der Ger te Hardware Partitionierung Formatierung und Wartung der Festplatte Client Server Architektur Begriffe Die folgende Tabelle enth lt die Terminologie die innerhalb der Dokumentation verwendet wird TABELLE 3 Endpoint Encryption Terminologie
75. mme Trend Micro Full Disk Encryption RecoveryConsole exe ausf hren Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch PolicyServer Einstellungen verwalten Prozedur 1 ffnen Sie die Registerkarte PolicyServer Die Registerkarte enth lt zwei Textfelder Aktueller Server und Aktuelles Unternehmen Das aktuelle Unternehmen wechseln a Klicken Sie auf Unternehmen wechseln b Klicken Sie auf Ja wenn die Warnmeldung angezeigt wird c Geben Sie den Benutzernamen das Kennwort das Unternehmen und den Servernamen f r den neuen Server ein und klicken Sie anschlie end auf Speichern Warnung Wenn Sie das Unternehmen wechseln m ssen Sie die Richtlinien erneut konfigurieren und die Gruppen neu erstellen Die gespeicherten Kennw rter der Kennwortverlauf und die Audit Protokolle werden gel scht Den aktuellen Server wechseln a Klicken Sie auf Server wechseln b Klicken Sie auf Ja wenn die Warnmeldung angezeigt wird c Geben Sie die Adresse des neuen Servers ein und klicken Sie auf Speichern 2 Klicken Sie auf Abbrechen um zum Fenster mit den Men optionen f r die Wiederherstellungskonsole zur ckzukehren Upgrades Migrationen und Deinstallationen Full Disk Encryption einem anderen Unternehmen zuordnen T Warnung Wenn Sie das Unternehmen wechseln m ssen Sie die Richtlinien erneut konfigurieren und die Gruppen neu erstellen Die gespeicherten Kennw rter der Kennwortverla
76. n f r einen Testzeitraum von 30 Tagen Wenden Sie sich nach 30 Tagen an den Technischen Support um eine Lizenzdatei zu erhalten Nach Ablauf der Testzeitraums k nnen sich Benutzer und Ger te weiterhin anmelden Prozedur 1 F hren Sie PolicyServerInstaller exe aus 2 Lesen Sie sich die Endbenutzer Lizenzvereinbarung aufmerksam durch Wenn Sie einverstanden sind klicken Sie auf Zustimmen 3 berpr fen Sie im Fenster PolicyServer Services die PolicyServer Version und klicken Sie dann auf Installieren 4 Die Standardeinstellungen im Dienstanmeldungsfenster von Windows sind f r die meisten Installationen geeignet Klicken Sie auf Fortfahren 5 Geben Sie im Datenbankadministrator Anmeldefenster den Host Namen oder die IP Adresse des Microsoft SQL Server sowie die Anmeldedaten eines Kontos mit der Sysadmin Rolle f r die angegebene SQL Instanz an Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Hinweis Bei Umgebungen mit mehreren SQL Server Instanzen f gen Sie die SQL Instanz ans Ende des PolicyServer Hostnamens oder die verwendete IP Adresse an Verwenden Sie zur Angabe einer Instanz die folgende Syntax lt Hostname oder IP Adresse gt lt Datenbankinstanz gt Das Installationsprogramm berpr ft die Datenbankverbindung 6 Geben Sie im Fenster Datenbankanmeldung die Anmeldedaten eines Kontos f r den Windows Dienst PolicyServer an das f r alle Datentransaktionen verwendet werden soll Wenn P
77. n finden Sie unter Installieren von Full Disk Encryption auf Seite 4 2 Informationen ber das Installieren von FileArmor finden Sie unter FiJ eArmor installieren auf Seite 4 13 Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Patch Verwaltung mit Full Disk Encryption Verwenden Sie Command Line Helper zusammen mit DAAutoLogin zur Ausf hrung der Windows Patch Verwaltung auf Ger ten auf denen Full Disk Encryption installiert ist Command Line Helper erstellt verschl sselte Werte f r Skripts und DAAutoLogin erm glicht das einmalige Umgehen von Full Disk Encryption Preboot DAAutoLogin bietet je nach Anforderung mehrere Anwendungsm glichkeiten Sie k nnen Patches per Push Verfahren senden gefolgt von einem Skript mit DAAutoLogin das einen Befehl zum Neustarten an das Ger t sendet Auf dem Ger t wird dann Windows GINA angezeigt und die erfolgreiche Durchf hrung des Patching best tigt oder es k nnen weitere Patches bereitgestellt werden DAAutoLogin akzeptiert die folgenden Switches DAAutoLogin lt Preboot Benutzername gt lt Preboot Kennwort gt lt Dom nenname gt lt Dom nenbenutzername gt lt Dom nenkennwort gt Sie k nnen alle erforderlichen Werte bergeben und durch ein Leerzeichen trennen Wenn Sie die Parameter zur Dom ne hinzuf gen erm glichen Sie die Windows Authentifizierung Hinweis F hren Sie beide Tools auf einem Ger t aus auf dem Full Disk Encryption installiert ist
78. n oder zwei Mitglieder der Gruppe n am Pilotprogramm teilnehmen Weitere Informationen finden Sie unter Checkliste f r das Endpoint Encryption Pilotprogramm anf Seite A 1 berlegungen zur nderungsverwaltung PolicyServer und die dazugeh rigen Datenbanken sind unternehmensktitische Dienste berlegungen zur nderungsverwaltung sind wichtig um die Verf gbarkeit f r Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Endbenutzer die sich im Netzwerk authentifizieren m chten zu jeder Zeit sicherzustellen Wenn nderungen erforderlich sind berwachen Sie aktiv die CPU Auslastung und legen Sie einen Schwellenwert daf r fest wann der PolicyServer Windows Dienst neu gestartet werden sollte Starten Sie den Dienst regelm ig gem einem Zeitplan entsprechend neu der in etablierten Wartungsfenster des Unternehmens passt t glich w chentlich monatlich e Starten Sie den PolicyServer Windows Dienst immer dann neu wenn Wartungsma nahmen f r die Active Directory Umgebung den Server die Datenbank oder zugeh rige Kommunikation durchgef hrt werden Sichern Sie regelm ig die PolicyServer Datenbanken genau wie alle anderen unternehmenskritischen Datenbanken Es wird empfohlen prim re Datenbanken und Protokolldatenbanken nachts zu sichern und die Sicherungen in einem anderen Geb ude aufzubewahren Warnung Alle nderungen an den Active Directory oder Datenbank Umgebungen k nnen
79. n sie nach der Installation wieder anschlie en 2 Vergewissern Sie sich dass das Laufwerk mit dem Betriebssystem nicht bereits verschl sselt wurde und BitLocker ausgeschaltet ist 3 ndern Sie f r Windows 8 Ger te die UEFI BIOS unterst tzen die Startreihenfolge in Legacy First a Halten Sie in Windows 8 die UMSCHALTTASTE gedr ckt und starten Sie das Ger t neu Das Ger t wird neu gestartet und UEFI BIOS wird geladen b Klicken Sie auf die Kachel Problembehandlung Das Fenster Erweiterte Optionen wird angezeigt c Klicken Sie auf die Kachel UEFI Firmwareeinstellungen Wenn die Kachel UEFI Firmwareeinstellungen nicht vorhanden ist verwendet das Ger t kein UEFI und es ist keine nderung erforderlich d Legen Sie UEFI Legacy Boot Priority auf Legacy First fest e Starten Sie das Ger t neu Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Laufwerk vorbereiten Prozedur 1 F hren Sie das Defragmentierungs Dienstprogramm von Windows auf dem Systemlaufwerk aus berpr fen Sie ob auf dem Systemlaufwerk mindestens 256MB an zusammenh ngendem freiem Speicher zur Verf gung stehen F hren Sie das Dienstprogramm f r die Pr fung der Datentr ger Integrit t von Windows aus erfordert einen Neustart a Rufen Sie mit einem Skript oder ber eine Befchlszeile chkdsk r auf und planen Sie die berpr fung der Festplatte nach dem n chsten Systemneustart b Starten Sie das G
80. n zur Verteilung a Sch tzen Sie die maximale Benutzeranzahl f r die n chsten drei Jahre b Der Speicherplatzbedarf betr gt etwa 1 GB pro Jahr je 1 000 Endbenutzer 4 Werden Endpunkt Clients erforderlich sein um ber das Internet mit dem PolicyServer zu kommunizieren a Fragen Sie beim internen Netzwerk Sicherheits Team nach um die Anforderungen f r das Verf gbarmachen eines Webservers im Internet zu verstehen b Folgendes wird mit einem von au en erreichbaren PolicyServer vollst ndig unterst tzt Dom nenauthentifizierung Single Sign On kann ber das Internet verwendet werden Richtlinien Updates ber das Internet Ger te Auditing ber das Internet Online Kennwortzur cksetzung Projektteam zuweisen Zu der erfolgreichen Implementierung eines Produkts geh ren die Gew hrleistung der Kontinuit t sowie das Erzielen der Akzeptanz durch die internen Benutzer Wenn das Team so strukturiert wird dass es ein oder mehrere strategische Mitglieder aus den von der Software Verteilung betroffenen Abteilungen umfasst kann dies das Erzielen eine Akzeptanz unterst tzen und die F hrungsst rke des Projektteams erh hen Es wird empfohlen dass Ihr Projektteam ein oder mehrere Mitglieder aus jeder der folgenden Gruppen umfassen sollte Gesch ftsleitung Anwendungsserver des Unternehmens Datenbank Administratoren des Unternehmens Datensicherheit Trend Micro Endpoint Encryption 3 1 3 Installati
81. ncryption testweise f r eine begrenzte Zeit zu verwenden k nnen der Unternehmensname und das Konto f r den Unternehmensadministrator zum Zeitpunkt der Installation konfiguriert werden PolicyServer funktioniert normal mit allen Client Anwendungen einer unbegrenzten Zahl von Ger ten und bis zu 100 Benutzern f r einen Testzeitraum von 30 Tagen Wenden Sie sich nach 30 Tagen an den Technischen Support um eine Lizenzdatei zu erhalten Nach Ablauf der Testzeitraums k nnen sich Benutzer und Ger te weiterhin anmelden Prozedur 1 F hren Sie PolicyServerInstaller exe aus 2 Lesen Sie sich die Endbenutzer Lizenzvereinbarung aufmerksam durch Wenn Sie einverstanden sind klicken Sie auf Zustimmen 3 berpr fen Sie die PolicyServer Version und klicken Sie anschlie end auf Upgrade 4 Die Standardeinstellungen im Dienstanmeldungsfenster von Windows sind f r die meisten Installationen geeignet Klicken Sie auf Fortfahren 5 Geben Sie im Fenster Datenbankadministrator Anmeldung den Host Namen localhost oder die IP Adresse des Microsoft SQL Server sowie den Benutzernamen und das Kennwort eines Kontos mit der Sysadmin Rolle f r die angegebene SQL Instanz an Hinweis Bei Umgebungen mit mehreren SQL Server Instanzen f gen Sie die SQL Instanz ans Ende des PolicyServer Hostnamens oder die verwendete IP Adresse an Verwenden Sie zur Angabe einer Instanz die folgende Syntax lt Hostname oder IP Adresse gt lt Datenbankinstanz gt
82. nn von PolicyServer Gruppenadministratoren Authentifizierern oder Standardbenutzern installiert werden Prozedur 1 F hren Sie FASetup msi f r ein 32 Bit Betriebssystem oder FASetup x64 msi f r ein 64 Bit Betriebssystem aus Der FileArmor Setup Assistent beginnt mit dem FileArmor Installationsvorgang 2 Klicken Sie auf Weiter Hinweis Wenn Sie eine Nachfrage von der Benutzerkontensteuerung erhalten klicken Sie auf Ja 3 Wenn die Installation abgeschlossen ist klicken Sie auf Schlie en 4 Klicken Sie auf Ja um Windows neu zu starten Nach dem Neustart des Ger ts wird die FileArmor Software installiert und zwei FileArmor Symbole werden angezeigt eine Verkn pfung auf dem Desktop und ein Symbol in der Task Leiste Automatische FileArmor Installation Die Installation von FileArmor mit Hilfe von Skripts automatisiert den Prozess und vereinfacht die Verteilung der Software im gesamten Unternehmen Weitere Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Informationen finden Sie unter Skripts zur Automatisierung von Installationen verwenden auf Seite 4 21 KeyArmor KeyArmor USB Ger te sch tzen Daten mit st ndig verf gbarer Hardware Verschl sselung und integriertem Antivirus Anti Malware Schutz um strenge gesetzliche Vorschriften und Richtlinien zu erf llen Mit KeyArmor haben Administratoren vollst ndige Transparenz und Kontrolle dar ber wer USB Ger te zu welchem Z
83. nommen werden Unter Windows Vista ist die Intel Matrix Manager Software standardm ig installiert Hinweis Wenn die Einstellung f r den SATA Betrieb unter Windows VISTA ge ndert und Full Disk Encryption installiert wird wird Windows nicht gestartet ndern Sie die Einstellung wieder in IRRT und Vista wird normal geladen Full Disk Encryption Installation In diesem Abschnitt wird die Installation von Full Disk Encryption unter Windows beschrieben Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Installationstypen Abh ngig von den spezifischen Anforderungen des Unternehmens kann Full Disk Encryption als verwalteter oder nicht verwalteter Client installiert werden Typ DETAILS Verwaltet Authentifizierungs und Verschl sselungsrichtlinien werden von PolicyServer verwaltet H ufigster Installationstyp f r Ger te die normalerweise mit PolicyServer verbunden sind Nicht verwaltet Die Authentifizierungs und Verschl sselungsrichtlinien werden direkt innerhalb von Full Disk Encryption und der Wiederherstellungskonsole verwaltet Geeignet f r Ger te die nicht zentral von PolicyServer verwaltet werden Installationsoptionen Installieren Sie Full Disk Encryption manuell oder erstellen Sie Skripts um die Installationsaufgaben zu automatisieren TABELLE 4 3 Full Disk Encryption Installationsoptionen OPTIONEN DETAILS Automatisiert Erfordert
84. ntifizierung KeyArmor Der Endpoint Encryption Client f r ein durch ein Kennwort gesch tztes verschl sseltes USB Laufwerk OCSP Das OCSP Online Certificate Status Protocol ist ein f r digitale X 509 Zertifikate verwendetes Internet Protokoll OPAL Die Subsystemklasse f r Sicherheit der Trusted Computing Group f r Client Ger te Kennwort Alle Arten von Authentifizierungsdaten wie beispielsweise ein festes Kennwort eine PIN und ein ColorCode PolicyServer Der zentrale Verwaltungsserver der die Verschl sselungs und Authentifizierungsrichtlinien an Endpunkt Clients bereitstellt Full Disk Encryption FileArmor KeyArmor SED Secure Encrypted Device sicher verschl sseltes Ger t Eine Festplatte oder ein anderes Ger t das verschl sselt wurde Smartcard Eine physische Karte wird in Verbindung mit einer PIN oder einem festen Kennwort verwendet PIN Eine pers nliche Identifikationsnummer die im Allgemeinen f r Automatentransaktionen verwendet wird Wiederherstellungskons ole Wiederherstellung eines Ger ts beim Ausfall des prim ren Betriebssystems beim Beheben von Netzwerkproblemen und beim Verwalten von Benutzern Richtlinien und Protokollen Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch BEGRIFF BESCHREIBUNG Rembote Hilfe Interaktive Authentifizierung f r Benutzer die ihre Anmeldedaten vergessen haben oder f r Ger te deren Richtlinien nicht
85. olicyServer zum ersten Mal installiert wird wird das angegebene Konto erstellt 7 Geben Sie im Fenster Web Service Installationsspeicherort den IIS Standort an den PolicyServer MMC und der Client Web Service f r die Kommunikation mit PolicyServer verwenden sollen Die Standardportnummer ist 8080 Ist Port 8080 bereits belegt wird der n chste verf gbare Port zugewiesen a W hlen Sie eine Site aus dem Listenfeld Ziel Site aus b berpr fen Sie den aktuell zugewiesenen Port und geben Sie falls erforderlich im Feld Neuer Port eine andere Portnummer an Hinweis Trend Micro empfiehlt Port 80 f r den Client Web Service zu reservieren c Klicken Sie auf Fortfahren 8 Mit dem n chsten Schritt wird der Client Web Service der IIS Standort den alle Endpoint Encryption Clients f r die Kommunikation mit PolicyServer nutzen konfiguriert Abh ngig davon ob ein zweiter IIS Standort verf gbar ist wird eines der folgenden Fenster angezeigt Wenn ein zweiter IIS Standort verf gbar ist wird das Fenster Speicherort f r Client Web Service angezeigt a W hlen Sie eine Site aus dem Listenfeld Ziel Site aus b berpr fen Sie die Standardportzuweisung f r den Client Web Service PolicyServer Installation 10 11 12 Hinweis Trend Micro empfiehlt Port 80 beizubchalten Falls erforderlich k nnen Sie jedoch im Feld Neuer Port eine andere Portnummer angeben Die Portnummer muss eine posit
86. on Organization Information Please ensure Active Directory and PolicyServer are available and configured for Active Directory to enable synchronization for each configured group m 17 Klicken Sie auf Add um die Anmeldedaten f r die AD Organisationseinheit anzugeben Hinweis F r Server die zus tzliche Anmeldedaten erfordern k nnen die Benutzer den entsprechenden Administrator Benutzernamen und das Administrator Kennwort eingeben um ber dieses Tool eine Verbindung zum Dom nencontroller herzustellen 18 Beenden Sie das ADSyncConfiguration Tool Die Synchronisierung zwischen dem AD und PolicyServer ist abgeschlossen Die Synchronisierung erfolgt automatisch alle 45 Minuten dies ist das standardm ig von Microsoft Dom nencontrollern verwendete Synchronisierungsintervall Sie k nnen eine Synchronisierung erzwingen indem Sie den PolicyServer Windows Dienst anhalten und Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch neu starten Die Dom nensynchronisierung wird kurz nach dem Start des PolicyServer Windows Dienstes und anschlie end alle 45 Minuten ausgef hrt LDAP Proxy optional Die optionale Funktion LDAP Proxy erm glicht die Dom nenauthentifizierung bzw das Single Sign On SSO ber einen externen Proxy Server in der DMZ des Kunden Hinweis Die LDAP Proxy Installation ist in gehosteten Umgebungen die Dom nenauthentifizierung Single Sign On SSO verwenden
87. on Prozessoren 16GB RAM 320GB RAID 5 Festplattenspeicher berlegungen zur Verteilung TABELLE 2 7 Skalierung ohne Single Point of Failure GER TE M NDESTSYSTEMVORAUSSETZUNGEN PoLicYSErRVER FRONTEND PoLicvServer SQL DATENBANK 10 000 e 2 GHz Quad Core Core2 2 PolicyServer Frontend Hosts 2 PolicyServer SQL Datenbank Hosts Intel Xeon Prozessoren 2 GHz Dual Quad Core Core2 4GB RAM Intel Xeon Prozessoren B RAM 40GB RAID 1 2 Festplattenspeicher 60GB RAID 5 Festplattenspeicher 2 Hinweis 130GB Festplattenspeicher auf Virtualisierte Hardware wird Fa genau BD unter VMware Virtual Infrastructure unterst tzt Hinweis Microsoft oder VMware auf virtualisierter Hardware bietet keine Unterst tzung f r den Microsoft Cluster Service Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch GER TE MiNDESTSYSTEMVORAUSSETZUNGEN PoLicYSErVER FRONTEND PoLicvServer SQL DATENBANK 20 000 2 GHz Dual Quad Core Core2 4 PolicyServer Frontend Hosts 2 PolicyServer SQL Datenbank Hosts Intel Xeon Prozessoren 2 GHz Dual Quad Core Core2 4GB RAM Intel Xeon Prozessoren 8GB RAM e 40GB RAID 1 Festplattenspeicher 60GB RAID 5 Festplattenspeicher Hinweis 180GB Festplattenspeicher auf Virtualisierte Hardware wird iu genutzten RAID 5 unter VMware Virtual Infrastructure unterst tzt Hinw
88. onshandbuch Desktop Unterst tzung Notfall Wiederherstellung Checkliste f r die Sicherheitsinfrastruktur berpr fen Sie die bestehende Sicherheitsinfrastruktur bevor Sie einen neuen IT Dienst in der Produktionsumgebung verteilen Trend Micro bietet eine Checkliste f r die Sicherheitsinfrastruktur die die Punkte enth lt die in folgenden Bereichen berpr ft werden sollten Endbenutzer e Reaktion auf Vorf lle Risikobewertung Personalabteilung e Einhaltung von Richtlinien Weitere Informationen finden Sie unter Checkliste f r die Sicherheitsinfrastruktur auf Seite B 1 Richtlinien und Sicherheitsprofile erstellen Trend Micro Endpoint Encryption verf gt ber Standard Sicherheitsrichtlinien die im Hinblick auf die Verteilungs und Schutzziele gepr ft werden sollten Neben weiteren Standard Richtlinieneinstellungen gibt es Standard Richtlinien f r den Benutzernamen die Kennwortkomplexit t und nderungsanforderungen die Ger testeuerung die Richtliniensynchronisierung die Ger tesperre und den Ger te Wipe Standard Richtlinien k nnen abh ngig von den Sicherheitszielen und den Anforderungen hinsichtlich der Einhaltung von Gesetzesvorschriften zum Datenschutz einfach ge ndert werden Wenn Endpoint Encryption verwendet wird um die Nutzung von USB Medien und Wechselmedien zu steuern sollte im Voraus entschieden werden welche USB Medien zugelassen werden und wann und wo diese verwendet werden k
89. prechenden KeyArmor Richtlinien Authentifizierungsmethode Muss mit dem Server verbunden sein Nur ein Benutzer pro Ger t Aktion bei fehlgeschlagener Anmeldung Antivirus Update Optionen 3 Richten Sie Benutzer und Gruppen ein 4 Bereiten Sie die Ger teauthentifizierung und die Kennw rter vor Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch 5 Bereiten Sie die Endbenutzer Kommunikation vor KeyArmor Richtlinien f r Endbenutzer Das Ger t wird beim Anschluss an einen USB 2 0 Port von Windows automatisch erkannt und konfiguriert Wenn der Endbenutzer ein neues Ger t erh lt muss er den Setup Vorgang einmal ausf hren Anschlie end ben tigt er nur einen g ltigen Benutzernamen und ein Kennwort KeyArmor verschl sselt automatisch alle Dateien die auf dem KeyAmor Ger t gespeichert werden Das ffnen Anzeigen Verschieben oder Kopieren von Dateien auf einen Host sind Benutzeraktivit ten die nur nach ordnungsgem er Authentifizierung am KeyArmor Ger t durchgef hrt werden k nnen KeyArmor Dateien sch tzen Auf dem KeyArmor Ger t gespeicherte Dateien und Ordner werden automatisch verschl sselt Zum Zugriff auf die Dateien und Ordner ist die Anmeldung am Ger t mit einem g ltigen Benutzernamen und einem Kennwort erforderlich Die Dateien bleiben verschl sselt solange sie auf KeyArmor gespeichert sind Um sicherzustellen dass die Antivirusdefinitionen aktuell sind empfiehlt Trend
90. r Problem enthalten ist bermitteln Sie Ihr Problem als Fall Ein Support Mitarbeiter von Trend Micro wird sich dann um das Problem k mmern Die Reaktionszeit betr gt in der Regel maximal 24 Stunden bermitteln Sie einen Support Fall online unter http esupport trendmicro com srf SRFMain aspx Unterst tzung erhalten Kontaktaufnahme mit dem technischen Support Bei allen Produktlizenzen erhalten Sie ein Jahr lang technischen Support Pattern Downloads und Produkt Service Updates Wenn Sie die Lizenz nach Ablauf des Jahres verl ngern erhalten Sie weiterhin Support von Trend Micro Anschriften Telefonnummern weltweit Weltweite Kontaktadressen f r den asiatisch pazifischen Raum Australien http www trendmicro de ueber uns kontakt index html e Auf der folgenden Website finden Sie eine Liste unserer weltweiten Support B ros http www trendmicro com us about us contact index html Auf dieser Website finden Sie die neuesten Dokumentationen von Trend Micro http docs trendmicro com de de home aspx Probleme schneller l sen Um das L sen eines Problems zu beschleunigen halten Sie die folgenden Informationen bereit Schritte um das Problem nachvollziehen zu k nnen Informationen zu Ger t oder Netzwerk e Marke und Modell des Computers sowie weitere an den Endpunkt angeschlossene Hardware Gr e des Arbeitsspeichers und des freien Festplattenspeichers Version und Service Pack de
91. rate Command Die Skripts werden generiert 4 Klicken Sie auf Copy Full Disk Encryption Command oder Copy FileArmor Command Das resultierende Skript wird in die Zwischenablage kopiert Command Line Helper Mit Command Line Helper k nnen verschl sselte Werte erzeugt werden die als sichere Anmeldedaten beim Erstellen von Installationsskripts oder f r DAAutoLogin verwendet werden k nnen Command Line Helper befindet sich im Ordner FileArmor Tools Hinweis Command Line Helper kann nur auf Systemen ausgef hrt werden auf denen PolicyServer Full Disk Encryption oder FileArmor installiert ist da die Kryptographie von Mobile Armor genutzt wird Das Programm akzeptiert eine einfache Zeichenfolge als einziges Argument und gibt einen verschl sselten Wert zur ck der im Installationsskript verwendet werden kann Die vorangestellten und nachgestellten Zeichen sind Teil der gesamten verschl sselten Zeichenfolge und m ssen auf der Befchlszeile angegeben werden Wenn der verschl sselte Wert kein vorangestelltes Zeichen enth lt m ssen Sie es in das Skript einf gen ber die Optionen k nnen die Installationskontodaten verschl sselt und verborgen sowie verschiedene Optionen f r die Eingabe ausgew hlt werden Skriptergebnisse k nnen zum Exportieren auf einfache Weise in die Zwischenablage kopiert werden Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch TABELLE 4 9 Argumente f r Command L
92. rnehmens an Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch 13 Pr fen Sie die Protokollereignisse zu dieser neuen Unternehmensgruppe und vergewissern Sie sich dass das Ger t zur korrekten Gruppe hinzugef gt wurde Client Anwendungen deinstallieren In diesem Abschnitt wird die Deinstallation von Endpoint Encryption Client Anwendungen beschrieben Full Disk Encryption deinstallieren Zum Deinstallieren von Full Disk Encryption muss der Benutzer ber die entsprechenden Deinstallationsrechte f r die Gruppe verf gen und zudem lokale Administratorrechte unter Windows haben Tipp Jeder Benutzer oder Gruppen Authentifizierer kann das Deinstallationsprogramm unter Windows ausf hren wenn folgende Richtlinieneinstellung gilt Full Disk Encryption gt Allgemein gt Client gt Deinstallation durch Benutzer zulassen Ja Prozedur 1 Melden Sie sich bei erst bei Full Disk Encryption an und dann bei Windows 2 Wechseln Sie unter Windows zuC Programme Trend Micro Full Disk Encryption und f hren Sie TMFDEUninstall exe aus Hinweis Wenn Sie eine Nachfrage von der Benutzerkontensteuerung erhalten klicken Sie auf Ja Das Fenster zum Deinstallieren von Full Disk Encryption wird ge ffnet 3 Klicken Sie auf Weiter Upgrades Migrationen und Deinstallationen Full Disk Encryption wird deinstalliert 4 Klicken Sie zur Best tigung der Laufwerksentschl sselung auf OK Hinwe
93. ro Incorporated Alle Rechte vorbehalten Klicken Sie im Best tigungsfenster auf Ja um das Ger t neu zu starten oder herunterzufahren Die Installation von Full Disk Encryption ist abgeschlossen sobald Preboot angezeigt wird Die Verschl sselung der Festplatte beginnt nach dem Starten von Windows Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch N chste Ma nahme Wenn Full Disk Encryption Preboot geladen wird muss sich der Benutzer anmelden bevor er auf Windows zugreifen kann Wenn die Richtlinie festgelegt ist wird der Benutzer m glicherweise aufgefordert das Kennwort nach der Anmeldung zu ndern Nicht verwaltete Installation Eine nicht verwaltete Full Disk Encryption Installation ist mit einer verwalteten Installation vergleichbar abgesehen davon dass die Benutzer Anmeldedaten und Richtlinien nur f r das Client Ger t gelten Full Disk Encryption als nicht verwalteten Client installieren berpr fen Sie die Systemvoraussetzungen bevor Sie Full Disk Encryption als einen verwalteten Client installieren Weitere Informationen finden Sie unter Fu Disk Encryption Systemvoranssetzungen anf Seite 4 3 Nach der Installation von Full Disk Encryption wird der Computer f r Software basierte Verschl sselung neu gestartet oder f r Hardware basierte Verschl sselung heruntergefahren Prozedur 1 Kopieren Sie das Installationspaket von Full Disk Encryption auf die lokale Festplatte 2 Star
94. rung gt Netzwerkanmeldung Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch 14 15 16 Datei Aktion Ansicht Favoriten Fenster 3 Amua FE Console Root PS1 test Gruppe Richtlinien Allgemein Console Root ffnen Sie Eindeutiger Name und geben Sie den vollst ndig qualifizierten eindeutigen Namen aus der konfigurierten AD Organisation an die mit dieser Gruppe synchronisiert werden soll Klicken Sie anschlie end auf OK Hinweis Das Format f r den eindeutigen Namen einer Organisationseinheit namens Engineering auf der Dom ne test home ist OU Engineering DC TEST DC HOME ffnen Sie Dom nenname und geben Sie den NetBIOS Dom nennamen an der zum Konfigurieren des AD Servers verwendet wurde Nachdem die PolicyServer Richtlinie konfiguriert wurde ist als letzter Konfigurationsvorgang die Erstellung der Synchronisierungskonfiguration ber das AD Synchronization Configuration Tool erforderlich Dieses Tool erm glicht den Administratoren f r jede synchronisierte Organisationseinheit und jeden Dom nencontroller separate AD Anmeldedaten zu erstellen Um auf das AC Synchronization Configuration Tool zuzugreifen navigieren Sie zum Installationsordner von PolicyServer und ffnen Sie ADSyncConfiguration exe Das Fenster PolicyServer AD Synchronization Tool wird ge ffnet PolicyServer Installation PolicyServer Active Directory Synchronizati
95. s verwendeten Betriebssystems Endpunkt Clientversion Seriennummer oder Aktivierungscode e Ausf hrliche Beschreibung der Installationsumgebung Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Genauer Wortlaut eventueller Fehlermeldungen TrendLabs TrendLabs ist ein weltweites Netzwerk aus Forschungs Entwicklungs und L sungszentren das rund um die Uhr Bedrohungen berwacht Pr ventionsstrategien entwickelt sowie rasche und kontinuierliche L sungen bereitstellt TrendLabs bildet die Grundlage der Trend Micro Service Infrastruktur und besch ftigt mehrere hundert Mitarbeiter und zertifizierte Support Experten die sich um die vielf ltigen Anfragen zu Produkten und technischem Support k mmern TrendLabs berwacht die weltweite Bedrohungslage und liefert wirksame Sicherheitsma nahmen f r die Erkennung Vermeidung und Beseitigung von Angriffen Die Kunden profitieren von diesen t glichen Bem hungen in Form von h ufigen Viren Pattern Updates und Erweiterungen der Scan Engine Weitere Informationen ber TrendLabs finden Sie unter http cloudsecurity trendmicro com us technology innovation experts index html trendlabs Anhang A Checkliste f r das Endpoint Encryption Pilotprogramm CHECKLISTE F R DAS PILOTPROGRAMM DATUM Hinweise Erforderliche Konfiguration von PolicyServer durchgef hrt Richtlinien festgelegt Gruppen erstellt Benutzer erstellt importiert Cl
96. sierung mit einer PolicyServer Gruppe verwendet Zun chst m ssen jedoch Benutzer zur Gruppe hinzugef gt werden Klicken Sie mit der rechten Maustaste auf die neue Gruppe und w hlen Sie Neuer Benutzer aus Geben Sie im Fenster Neues Objekt Benutzer die Kontoinformationen des neuen Benutzers an und klicken Sie auf Weiter Geben Sie das Dom nenkennwort des neuen Benutzers an und best tigen Sie es Klicken Sie auf Weiter um fortzufahren Hinweis Deaktivieren Sie die Option Benutzer muss Kennwort bei n chster Anmeldung ndern und aktivieren Sie die Option Kennwort l uft nie ab um weitere Tests zu einem sp teren Zeitpunkt zu vereinfachen Wenn die Installation abgeschlossen ist klicken Sie auf Fertig stellen Der Dom nenconttroller ist mit einer neuen Organisationseinheit und einem Benutzer in dieser Gruppe konfiguriert Um diese Gruppe mit PolicyServer zu synchronisieren installieren Sie PolicyServer und erstellen Sie eine Gruppe f r die Synchronisierung F r den n chsten Abschnitt wird vorausgesetzt dass PolicyServer bereits installiert ist Melden Sie sich bei PolicyServer MMC an Klicken Sie mit der rechten Maustaste auf das Unternehmen und w hlen Sie Top Gruppe hinzuf gen Geben Sie den Namen und die Beschreibung f r die Gruppe an und klicken Sie anschlie end auf Anwenden Um die Synchronisierungsrtichtlinie zu konfigurieren ffnen Sie die Gruppe und navigieren Sie zu Allgemein gt Authentifizie
97. sk Encryption Recovery Console zum Sichern und Wiederherstellen von Dateien verwenden Full Disk Encryption Recovery CD zum Entschl sseln des Ger ts und Entfernen des Preboot Authentifizierungsprozesses f r die Remote Hilfe verwenden Ger tesperre und Ger te Wipe testen Warnung L schen Sie ein KeyArmor Ger t nicht per Wipe Das Ger t kann nicht wiederhergestellt werden Anhang B Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Checkliste f r die Sicherheitsinfrastruktur TABELLE B 1 Checkliste f r die Sicherheitsinfrastruktur PR FEN FRAGEN Endbenutzer 1 Enth lt die Endbenutzerschulung die neuen Funktionen von Endpoint Encryption 2 Wurde die Richtlinie zur akzeptablen Nutzung Acceptable Use Policy AUP aktualisiert so dass sie Verschl sselungsdienste einschlie t insbesondere Strafen f r die Nichtverwendung oder Umgehung der Verschl sselung 3 Werden Benutzer benachrichtigt wenn sie sich bei einem Computer anmelden der auf die AUP hinweist 4 Wurden alle Benutzer umfassend darin geschult wie man den Verlust oder Diebstahl eines Ger ts meldet 5 Wurden die Benutzer in den Verfahren hinsichtlich fehlgeschlagener Anmeldeversuche und der Kennwortwiederherstellung geschult 6 Gibt es eine Richtlinie f r die Verschl sselung vertraulicher Dokumente die aus dem Unternehmen hinaus gesendet werden 7 Wurden der AUP neue Kenn
98. sselung gt Ger t verschl sseln Installationsvoraussetzungen Das Installationsprogramm von Full Disk Encryption berpr ft das Zielsystem um sicherzustellen dass alle erforderlichen Systemvoraussetzungen vor der Installation der Anwendung erf llt sind Weitere Informationen finden Sie in der Datei PreInstallCheckReport txt die nach der Ausf hrung des Installationsprogramms im Installationsverzeichnis abgelegt wird Ausf hrliche Informationen ber die System berpr fung und die Voraussetzungen finden Sie unter Installationsvoraussetzungen f r Full Disk Encryption auf Seite C 1 Full Disk Encryption Systemvoraussetzungen In diesem Abschnitt werden die minimalen und empfohlenen Systemanforderungen zur Installation von Full Disk Encryption beschrieben TABELLE 4 2 Full Disk Encryption Systemvoraussetzungen VORGANG VORAUSSETZUNG Prozessor Intel Core 2 oder kompatibler Prozessor Arbeitsspeicher Mindestens 1GB Festplattenspeicher e Mindestens 30GB Erforderlich 20 verf gbaren Festplattenspeicher Erforderlich 256 MB zusammenh ngender freier Speicher Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch VORGANG VORAUSSETZUNG Netzwerkverbindung Kommunikation mit PolicyServer 3 1 3 f r verwaltete Installationen erforderlich Betriebssysteme Windows 8 32 64 Bit Windows 7 32 64 Bit Windows Vista mit SP1 32 64 Bit Windows XP
99. ssen ASP NET zulassen Net Framework 2 0 SP2 Hinweis PolicyServer 3 1 3 ben tigt zwei IIS Standorte Die PolicyServer Verwaltungsschnittstelle und die Client Anwendungsschnittstelle m ssen an verschiedenen IIS Speicherorten installiert werden Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch FUNKTION VORAUSSETZUNG Datenbank Microsoft SQL 2005 2008 2008 R2 Microsoft SQL Express 2005 SP3 2008 Mixed Mode Authentication SA Kennwort installiert Berichtsdienste installiert TABELLE 1 4 Full Disk Encryption Systemvoraussetzungen VORGANG VORAUSSETZUNG Prozessor Intel Core 2 oder kompatibler Prozessor Arbeitsspeicher Mindestens 1GB Festplattenspeicher e Mindestens 30GB Erforderlich 20 verf gbaren Festplattenspeicher Erforderlich 256 MB zusammenh ngender freier Speicher Netzwerkverbindung Kommunikation mit PolicyServer 3 1 3 f r verwaltete Installationen erforderlich Betriebssysteme Windows 8 32 64 Bit Windows 7 32 64 Bit Windows Vista mit SP1 32 64 Bit Windows XP mit SP3 32 Bit Einf hrung in Trend Micro Endpoint Encryption VORGANG VORAUSSETZUNG Andere Software Weitere Voraussetzungen f r Windows 8 Microsoft NET Framework 3 5 ist aktiviert Informationen zum ndern der Startreihenfolge f r Ger te mit UEFI finden Sie unter Vorbereiten des Ger ts
100. ten Sie TMFDEInstall exe Hinweis Wenn das Fenster Benutzerkontensteuerung angezeigt wird klicken Sie auf Ja damit das Installationsprogramm nderungen am Ger t vornehmen kann Der Begr ungsbildschirm f r die Installation wird angezeigt 3 W hlen Sie die Option Nicht verwaltete Installation aus und klicken Sie auf Weiter Das Fenster Nicht verwaltete Installation wird angezeigt Endpoint Encryption Client Installation 4 Geben Sie den Benutzernamen und das Kennwort f r ein neues Konto zur Anmeldung beim nicht verwalteten Client ein und klicken Sie auf Weiter Die Installation beginnt 5 Klicken Sie im Fenster Installation abgeschlossen auf Schlie en 6 Klicken Sie im Best tigungsfenster auf Ja um das Ger t neu zu starten oder herunterzufahren Die Installation von Full Disk Encryption ist abgeschlossen sobald Preboot angezeigt wird Die Verschl sselung der Festplatte beginnt nach dem Starten von Windows N chste Ma nahme Wenn Full Disk Encryption Preboot geladen wird muss sich der Benutzer anmelden bevor er auf Windows zugreifen kann FileArmor installieren Mit der FileArmor Verschl sselung k nnen Sie die Dateien und Ordner auf nahezu jedem Ger t das als Laufwerk im Host Betriebssystem angezeigt wird sch tzen berblick ber die FileArmor Verteilung Prozedur 1 Aktivieren Sie FileArmor in PolicyServer MMC 2 Konfigurieren Sie die FileArmor Richtlinien a Verwendeter Vers
101. tfahren 10 berpr fen Sie die Einstellungen im Fenster Mobile Web Service Installationsspeicherort und klicken Sie dann auf Fortfahren 11 Geben Sie im Fenster Unternehmensnamen und Administrator Anmeldung erstellen den neuen Unternehmensnamen und die Anmeldedaten f r ein neues Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch 12 13 14 15 16 Unternehmensadministrator Konto an das w hrend des anf nglichen Testzeitraums zum Verwalten von PolicyServer verwendet wird Klicken Sie auf Fortfahren Der Installationsvorgang wird gestartet Klicken Sie in der PolicyServer Installation Meldung auf OK Klicken Sie auf Beendet Klicken Sie im Fenster des PolicyServer Installationsprogramms auf Beenden Starten Sie den Server neu Upgrade von PolicyServer MMC Entfernen Sie zun chst PolicyServer MMC mit Hilfe der Windows Funktion Software bevor Sie die neue Version installieren Prozedur 1 Navigieren Sie zu Start gt Systemsteuerung gt Software 2 W hlen Sie PolicyServer MMC Snapin aus der Liste aus und klicken Sie auf Entfernen 3 Klicken Sie auf Ja um PolicyServer MMC zu entfernen 4 Starten Sie PolicyServerMMCSnapinSetup nsi 5 Klicken Sie auf Weiter um den Setup Assistenten f r PolicyServer MMC zu ffnen 6 Lesen Sie die Lizenzvereinbarung sorgf ltig durch und w hlen Sie anschlie end Ich stimme zu um den Bedingungen zuzustimmen Klicken Sie dann auf Weiter 7
102. tion 2 3 KeyArmor 2 3 PolicyServer 2 3 Verteilungsanforderungen 2 1 Verwaltete Installation 4 8 4 9 Voraussetzungen 4 9 Verwalteter Client installation 4 12 Installation 4 10 VMware Virtual Infrastructure 1 5 3 3 Vorinstallations Pr fbericht C 1 Zentrale Verwaltung 1 9 1 10 W Wichtigste Funktionen 1 9 TREND MICRO INCORPORATED T R E N D 10101 North De Anza Blvd Cupertino CA 95014 USA TM MICRO Tel 1 408 257 1500 1 800 228 5651 Fax 1 408 257 2003 info trendmicro com www trendmicro com Item Code APGM35735 121016
103. to auf Unternehmensebene kann nicht Gruppenbenutzer wenn die Zur Installation von FileArmor Richtlinie zum Erlauben der Verwendet werden Installation aktiviert ist Gruppenauthentifizierer FAPASSWORD Kennwort f r den angegebenen Das feste Kennwort das in Benutzernamen PolicyServer f r den Benutzer konfiguriert wurde oder ein Dom nenkennwort Command Line Installer Helper Der Command Line Installer Helper CommandLineInstallerHelper exe kann Skripts generieren um Full Disk Encryption FileArmor und PolicyServer zu installieren ber die Optionen k nnen die Installationskontodaten verschl sselt und verborgen sowie verschiedene Optionen f r die Eingabe ausgew hlt werden Skriptergebnisse k nnen zum Exportieren auf einfache Weise in die Zwischenablage kopiert werden Das Tool hat zwei Registerkarten eine f r Clients und eine f r PolicyServer A Hinweis Die Befehlszeileninstallation von PolicyServer wird von den Versionen 3 1 2 und h her unterst tzt Beim Verwenden von Command Line Installer Helper F hren Sie Installationsskripts nur auf einem Endpunkt Client aus nicht ber das Netzwerk F hren Sie Skripts als lokaler Administrator aus Testen Sie Installationsskripts zun chst in einem Pilotprogramm berpr fen Sie ob alle Installationsvoraussetzungen von Full Disk Encryption und FileArmor erf llt sind bevor Sie eine Massenverteilung der Software ausf hren
104. ts haben Ein einzelner Plan ist nicht f r jedes Anwendungsszenario passend Das Verst ndnis davon was von einer Verschl sselungsl sung verlangt wird verk rzt die Verteilungszeiten bedeutend minimiert oder verhindert einen Leistungsabfall und stellt den Erfolg des Projekts sicher Es ist eine sorgf ltige Planung erforderlich um die Verteilungsanforderungen und Einschr nkungen f r die Skalierung von Endpoint Encryptio f r Endpunkte in einem gro en Unternehmen zu verstehen Die Planung ist besonders wichtig wenn diese nderung auf Tausenden von Endpunkten mit Auswirkungen auf alle Endbenutzer umgesetzt wird Dieses Kapitel umfasst folgende Themen Unterst tzte Plattformen und Checkliste vor der Verteilung auf Seite 2 3 Anf ngliche Fragen zur Verteilung auf Seite 2 5 Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Projektteam zuweisen auf Seite 2 7 e Checkliste f r die Sicherheitsinfrastruketur auf Seite 2 8 Richtlinien und Sicherheitsprofile erstellen auf Seite 2 8 Die Wichtigkeit eines Pilotprogramms auf Seite 2 9 d berlegungen zur nderungsverwaltung auf Seite 2 9 Endbenutzer Kommunikation auf Seite 2 10 Skalierung Anforderungen f r PolicyServer und die SOL Datenbank auf Seite 2 12 berlegungen zur Verteilung Unterst tzte Plattformen und Checkliste vor der Verteilung In den folgenden Tabellen werden die unterst tzten Betriebssysteme und Bereitstellungsvoraussetzun
105. uf und die Audit Protokolle werden gel scht Prozedur 1 ffnen Sie die Wiederherstellungskonsole Die Wiederherstellungskonsole kann auf zwei Arten ge ffnet werden e Aus Full Disk Encryption Preboot a Aktivieren Sie das Kontrollk stchen Wiederherstellungskonsole b Geben Sie die Anmeldedaten ein und klicken Sie auf Anmelden e Aus Windows a Navigieren Sie zuC Programme Trend Micro Full Disk Encryption b F hren Sie RecoveryConsole exe aus c Geben Sie die Anmeldedaten ein und klicken Sie auf Anmelden 2 Klicken Sie auf Netzwerk Setup 3 W hlen Sie die Registerkarte PolicyServer 4 Klicken Sie auf Unternehmen wechseln Das Fenster Unternehmen wechseln wird angezeigt Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Full Disk Encryption Netzwerk Setup Festpl entschl ss lPv amp 1Pv amp __ PolicyServer Partit bereitst Unternehmen wechseln Benutzer verwalten Richtl verwalten Protokolle anzeigen Netzwerk Setup Beenden wm B a ecYc b PKx lt T zz ey P zo ABBILDUNG 5 2 Wiederherstellungskonsole Unternehmen wechseln 5 Geben Sie den Benutzernamen das Kennwort die PolicyServer IP Adresse oder den PolicyServer Host Namen f r den neuen Server ein 6 Klicken Sie auf Speichern Full Disk Encryption validiert den Server und gibt eine Best tigungsmeldung aus 7 Wenn die Best tigungsmeld
106. ung angezeigt wird klicken Sie auf OK FileArmor PolicyServer wechseln Prozedur 1 Klicken Sie mit der rechten Maustaste auf das FileArmor Symbol in der Task Leiste und w hlen Sie Info ber FileArmor 2 Klicken Sie auf PolicyServer bearbeiten Upgrades Migrationen und Deinstallationen 3 Geben Sie die IP Adresse oder den Host Namen f r den neuen PolicyServer an und klicken Sie dann auf OK KeyArmor einem anderen Unternehmen zuordnen Prozedur 1 Melden Sie sich mit den aktuellen Endpoint Encryption Administrator Anmeldedaten am Ger t an 2 Klicken Sie mit der rechten Maustaste auf das KeyArmor Symbol in der Task Leiste und w hlen Sie Info ber KeyArmor aus 3 Klicken Sie auf den Bearbeiten Link neben dem Feld Serveradresse und geben Sie die neue Serveradtesse ein 4 Klicken Sie auf OK 5 Melden Sie sich von KeyArmor ab 6 Stellen Sie das Ger t wieder bereit und melden Sie sich mit den Administrator Anmeldedaten wieder an 7 Klicken Sie mit der rechten Maustaste auf das KeyArmor Symbol in der Task Leiste und w hlen Sie Info ber KeyArmor aus 8 Klicken Sie auf den Bearbeiten Link neben dem Feld Unternehmen und geben Sie den neuen Namen des Unternehmens ein 9 Klicken Sie auf OK 10 Klicken Sie auf Schlie en 11 Melden Sie sich von KeyArmor ab 12 Melden Sie sich beim KeyArmor Ger t mit dem Benutzernamen und Kennwort eines Gruppenadministrators des neu festgelegten Unte
107. unkt Ger t gespeichert werden sowie alle lokal gespeicherten Client Protokolle Mit zertifizierter FIPS 140 2 Kryptographie bietet Endpoint Encryption die folgenden Vorteile Umfassender Datenschutz durch vollst ndig integrierte Full Disk Encryption sowie durch Verschl sselung von Dateien Ordnern USB Laufwerken und Wechselmedien Zentrale Richtlinienverwaltung und Schl sselverwaltung ber einen einzelnen Verwaltungsserver und eine einzelne Management Konsole e Ger teverwaltung durch Sammeln von ger tespezifischen Informationen Ger tesperre und Wiederherstellung sowie anhand der M glichkeit zum L schen aller Endpunktdaten Erweiterte Berichtsfunktion und erweitertes Auditing in Echtzeit zur Einhaltung der Sicherheitsrichtlinien Komponenten von Endpoint Encryption Endpoint Encryption besteht aus einem zentralen Verwaltungsserver PolicyServer Web Service der die Richtlinien und Protokolldatenbanken MobileArmor DB die LDAP Authentifizierung mit Active Directory und alle Client Server Aktivit ten verwaltet Endpoint Encryption Clients verf gen ber keine direkte Schnittstelle zu PolicyServer und m ssen die Verbindung ber den Client Web Service herstellen Eine Einf hrung in Trend Micro Endpoint Encryption Darstellung dieser Architektur finden Sie unter Abbildung 1 1 Endpoint Encryption Client Server Architektur auf Seite 1 3 Fi Hinweis Die Porteinstellungen f r den gesamten HTTP Datenver
108. wortrichtlinien hinzugef gt Checkliste f r die Sicherheitsinfrastruktur PR FEN FRAGEN Reaktion auf 1 Wurde die Richtlinie f r die Reaktion auf Vorf lle Incident Vorf lle Response IR aktualisiert so dass sie die bei Verlust oder Diebstahl eines Ger ts durchzuf hrenden Aktionen einschlie t 2 Wurde f r die PolicyServer Protokolle ein Zeitplan f r die Pr fung der Audit Protokolle festgelegt 3 Wurden die E Mail Warnungen einschlie lich der Empf nger und der erwarteten Reaktion beim Empfang eines Alarms zur IR Richtlinie hinzugef gt 4 Wurden bestimmte Kriterien daf r entwickelt dass ein Ger t ausgel scht oder per Wipe gel scht werden darf einschlie lich der Audit Trail Dokumentation nach der Durchf hrung der Aktion Risikobewertung 1 Wurde eine neue Risikobewertung durchgef hrt um die von Endpoint Encryption gebotene nderung des Risikoprofils zu zeigen 2 Wurden die Risikobewertungsverfahren aktualisiert so dass sie die vom PolicyServer bereitgestellten Audit Daten einschlie en Notfall 1 Wurde der PolicyServer zur Liste der kritischen Dienste Wiederherstellung hinzugef gt 2 Wurde der Plan zur Notfall Wiederherstellung aktualisiert so dass er die Wiederherstellung des PolicyServer Dienstes einschlie t 3 Wurde ein Verfahren entwickelt das die Wiederherstellung der auf einem Ger t gespeicherten Benutzerdaten erm glicht Personalabteilung 1 Wurde die Check
109. x64 msi Software location C Programme Trend Micro FileArmor FASetup msi PSEnterprise MyCompany PSHost PolicyServer mycompany com FAUser GroupAdministrator FAPassword 123456 Hinweis In diesem Beispiel werden der Benutzername und das Kennwort verschl sselt Ausgabe f r die Installation von FileArmor C Programme Trend Micro FileArmor FASetup msi PSEnterprise MyCompany PSHost PolicyServer mycompany com FAUser jJUJC Lu4C Uj7yYwxubYhAucrY4f7AbVFp5hKo2PR40 FAPassword 5mih67uKdy7T1VaN2ISWGOO Kapitel 5 Upgrades Migrationen und Deinstallationen In diesem Kapitel werden die verschiedenen Aspekte der Aktualisierung Verwaltung Migration und Deinstallation von Trend Micro Endpoint Encryption erl utert Dieses Kapitel enth lt folgende Themen Upgrade des Servers und der Client S oftware auf Seite 5 2 Auf Windows 8 upgraden auf Seite 5 9 Patch Verwaltung mit Full Disk Encryption auf Seite 5 10 e Installiertes V erschl sselungsprodukt ersetzen auf Seite 5 11 Endpunkt Chients auf einen neuen PolicyServer migrieren auf Seite 5 13 e Client Anwendungen deinstallieren auf Seite 5 18 Trend Micro Endpoint Encryption 3 1 3 Installationshandbuch Upgrade des Servers und der Client Software In diesem Abschnitt wird beschrieben wie Sie ein Upgrade von PolicyServer und Endpoint Encryption Client Software durchf hren Upgrade von PolicyServer Bevor Sie PolicyServ
110. z 0 om Z Endpoint Security Trend Micro Incorporated beh lt sich das Recht vor nderungen an diesem Dokument und dem hierin beschriebenen Produkt ohne Vorank ndigung vorzunehmen Lesen Sie vor der Installation und Verwendung des Produkts die Readme Dateien die Anmerkungen zu dieser Version und oder die neueste Version der verf gbaren Dokumentation durch http docs trendmicro com de de enterprise endpoint encryption aspx Trend Micro das Trend Micro T Ball Logo Endpoint Encryption PolicyServer Full Disk Eneryption FileArmor und KeyArmor sind Marken oder eingetragene Marken von Trend Micro Incorporated Alle anderen Produkt oder Firmennamen k nnen Marken oder eingetragene Marken ihrer Eigent mer sein Copyright 2012 Trend Micro Incorporated Alle Rechte vorbchalten Dokument Nr APGM35735 121016 Release Datum Dec 2012 Gesch tzt durch U S Patent Nr Zum Patent angemeldet In dieser Dokumentation finden Sie eine Einf hrung in die Hauptfunktionen des Produkts und oder Installationsanweisungen f r eine Produktionsumgebung Lesen Sie die Dokumentation vor der Installation und Verwendung des Produkts aufmerksam durch Ausf hrliche Informationen ber die Verwendung bestimmter Funktionen des Produkts sind m glicherweise in der Trend Micro Online Hilfe und oder der Trend Micro Knowledge Base auf der Website von Trend Micro verf gbar Das Trend Micro Team ist stets bem ht die Dokumentation zu verbess
Download Pdf Manuals
Related Search