SafeGuard Easy
Contents
1. Beispiel f r den Installationsaufruf msiexec i sgeasy msi L v c temp easy log TRANSFORMS sgetrans mst qn 48 4 3 Zentrale Installation ohne Active Directory F r die Installation von SafeGuard Easy ohne Active Directory Umgebung ben tigen Sie Softwareverteilungsprogramme von Drittanbietern Erstellen Sie zu diesem Zweck ein Installationspaket das m die SafeGuard Easy Programmdateien enth lt m ein Skript das die Kommandozeile f r die automatische Installation enth lt Verteilen Sie das Installationspaket dann an die Clients 4 3 1 Kommandozeile f r automatische Installation Wenn SafeGuard Easy ohne Active Directory installiert werden soll ist das Programm msiexec zu verwenden Msiexec ist in Windows 2000 und Windows XP bereits integriert und f hrt eine vorgefertigte SafeGuard Easy Installation automatisch aus Da auch die Quelle und das Ziel f r die Installation angegeben werden k nnen besteht die M glichkeit zur einheitlichen Installation an mehreren PCs Kommandozeilensyntax msiexec i lt Pfad Name der MSI Datei gt qn ADDLOCAL ALL lt SGEasy Funktionen gt lt SGEasy Parameter Konfigurationsdatei gt Die Kommandozeilensyntax setzt sich zusammen aus m Parametern des Windows Installer die z B Warnungen und Fehlermeldungen w hrend der Installation in eine Datei protokol lieren m SafeGuard Easy Funktionen Features die mit einer MSI2. 466 31 6 Gruppen definieren Die Administrationskonsole verwaltet die einzelnen SafeGuard Easy Clients die sich am SafeGuard Easy Server registriert haben In gro en Organisationen ist es jedoch oft sinnvoll die SafeGuard Easy Clients in Gruppen zusammenzufassen um etwa an eine gro e Anzahl von PCs Konfigurationseinstellungen zu verteilen Gruppen gliedern sich bspw nach Abteilungen oder auch nach identischen SafeGuard Easy Einstellungen Trotz Gruppenzuordnung sind f r Clients zus tzlich eigene Konfigurationen m glich Innerhalb der SafeGuard Easy Gruppen gibt es keine Hierarchien d h Gruppe A kann nicht Gruppe B enthalten Gruppe C hat nicht mehr Rechte als Gruppe D etc Jedoch kann jeder SafeGuard Easy Client Mitglied in beliebig vielen Gruppen sein Die Gruppierung von Clients ist in gro en Organisationen sehr zeitauf wendig Im Rahmen einer vorkonfigurierten Installation weist ein SafeGu ard Easy Parameter Clients w hrend der Installation automatisch einer oder mehreren Gruppen zuzuweisen siehe Parameter Groups unter SafeGuard Easy Parameter Die SafeGuard Easy Gruppen arbeiten unabh ngig von existierenden Windows Benutzergruppen 31 6 1 Gruppen erstellen l schen Zum Erstellen einer Gruppe wechseln Sie in die Registerkarte Gruppen und w hlen Sie Gruppe erstellen Im erscheinenden Dialog geben Sie ei nen Gruppennamen ein der nach Best tigen in der Registerkarte Grup pen aufgeliste
3. D rehsuchen Utimaco Safeware AG Datentr gerkosten Zur cksetzen lt Zur ck Abbrechen Im weiteren Verlauf der Installation muss f r die verschiedenen Laufwerke jeweils einer der geforderten Algorithmen ausgew hlt werden AES 128 AES 256 3DES ESafeGuard Easy Konfigurationsassistent Arbeitsstation Konfiguration Bitte nehmen Sie nderungen der unten angezeigten Einstellungen vor die auf der Ziel Arbeitsstation vorgenommen werden sollen B Algorithmen Verschl sselung Diskettenlaufwerke AES 256 en Benutzer wechselmedienlaufwerke Festplattenlaufwerke B Schl ssel Diskettenlaufwerke Wechselmedienlaufwerke Festplattenlaufwerke B Laufwerke Diskettenlaufwerke wechselmedienlaufwerke Schl ssel Nicht konfiguriert 308 Nach Abschluss der Installation zeigt ein Icon in der Systemleiste an dass SafeGuard Easy im FIPS Modus l uft Wenn im Verlauf der Installation andere Algorithmen als die zugelassenen ausgew hlt werden l st SafeGuard Easy eine Fehlermeldung aus SafeGuard Easy x SafeGuard Easy bricht nach Best tigen der Fehlermeldung die Installation ab und der Benutzer muss den Installationsvorgang erneut starten 22 3 Sicherer Einsatz von SafeGuard Easy in zertifizierter Konfiguration Um SafeGuard Easy in einer zertifizierte Konfiguration einzusetzen und damit die mit dem Produkt gelieferte h chstm gliche Sicherheit zu ge
4. 493 31 10 2 Neues Backup Verzeichnis angeben 494 31 10 3 Systemkernsicherung exportieren 495 32 Remote Administration 000000 497 32 1 Voraussetzungen 020002c0sseeeeeeneeeenensnsnsnnsnsnnnn 498 32 2 Installieren der Remote Administration 500 32 3 Verbindung zu einem SafeGuard Easy Client AUfbauUenN 00 550000r000650 00 502 33 Fehlermeldungen 00000ss00000000eee0000 505 1 berblick Personalcomputer enthalten h ufig personenbezogene Daten vertrauli che und interne Firmeninformationen oder andere sensible Daten Nicht zu untersch tzen ist die Gefahr die durch den Diebstahl von Notebooks ausgeht Hochsensible Kundeninformationen auf dem Notebook eines Vertriebsmitarbeiters k nnten so z B an Wettbewerber gelangen und dem eigenen Unternehmen Schaden zuf gen Wer sich vor solchen Risiken sch tzen m chte ohne viel Zeit in die Implementierung von Sicherheits ma nahmen zu investieren findet in SafeGuard Easy die ideale L sung Wie sch tzt SafeGuard Easy nun die Arbeitsstationen vor unbefugtem Zugriff Die zentralen Sicherheitsfunktionen des Programms sind die Verschl sselung von Daten und der Schutz vor Angreifern die einen Rechner mit Hilfe eines externen Mediums starten wollen Die gr ten Vorteile von SafeGuard Easy bestehen darin dass das Programm m einfach aber effektiv die Vertraulichkeit von abgespeicherten Daten sichert
5. 27 5 3 Notfalldeinstallation von SafeGuard Easy Wenn der Systemfehler weder mit Restaurieren noch mit Reparieren zu beheben ist hilft nur noch das Entschl sseln der Festplatte samt Aus schalten der Pre Boot Authentisierung Nach der Deinstallation wird die Arbeitsstation zweimal automatisch neu gestartet Zu diesem Zweck muss jedoch das SafeGuard Easy Benutzerprofil mit entsprechenden Rechten ausgestattet sein Fehlt einem Benutzer das Recht zur Deinstallation kann es ihm mit Hilfe des Challenge Response Verfahrens erteilt werden Zus tzlich sollten Sie nach der Notfallentschl sselung eine Datentr ger berpr fung in Windows durchf hren Informationen hierzu finden Sie in Ih rer Windows Dokumentation Fehlerhafte Entschl sselung Kontaktieren Sie bitte unseren Support falls die Erstverschl sselung oder die Entschl sselung aus irgendeinem Grund fehlschl gt Erweiterte Forensic Unterst tzung Parameter NoReboot Die SafeGuard Easy Notfallentschl sselung bietet f r das Notfallpro gramm Sgeasy exe den Kommandozeilen Parameter NoReboot Mit diesem Kommandozeilenparameter wird der automatische Neustart nach der Notfallentschl sselung unterdr ckt Dies ist n tzlich zur forensischen Analyse der Platte Ablauf 1 Booten Sie das Notfallmedium 2 Starten Sie Sgeasy exe NoReboot 3 Die Notfallentschl sselung Deinstallation wird abgeschlossen 4 Der PC wird angehalten und ein Inform
6. 8 4 4 Konfigurationsdatei zur Deinstallation erstellen Der Konfigurationstyp Deinstallieren ffnet den Dialog SafeGuard Easy Authentisierung SafeGuard Easy Konfigurationsdateiassistent Der hier eingetragene Benutzer muss ber das Recht zur Deinstallation verf gen Nach der Dateneingabe springt der Assistent ber Weiter zum Dialog Zielverzeichnis Dort geben Sie der Konfigurationsdatei einen Namen 8 4 5 Konfigurationsdatei f r nderung Delta Datei erstellen Kurz gesagt ndert eine Delta Datei die Einstellungen einer bestehenden SafeGuard Easy Installation Wie eine Installationsdatei kann auch eine Delta Datei mit oder ohne Basiskonfiguration erstellt werden Im Gegensatz zur Installationsdatei ist es in Delta Dateien aber nicht m g lich den Status der Festplattenverschl sselung und der Token Unterst t zung zu ndern Die Optionen auf den einzelnen Konfigurationsseiten sind bei Delta Datei en erst bearbeitbar nachdem das entsprechende Auswahlk stchen ange klickt wurde nfigurationsassistent g 2 x Arbeitsstation Konfiguration Bitte nehmen Sie nderungen der unten angezeigten Einstellungen vor die auf der Ziel Arbeitsstation vorgenommen werden sollen B Token Token Anmeldung ohne Token B Wake On LAN Wake on LAN aktivieren Nein Anzahl der automatischen Anmeldev 0 Passwort bei Systemstart abfragen Ja Passworteingabe verdecken Nein Mindestl nge der
7. DSH Beau Fee ME Tables Feature Feature Parent Title Description Dis _ Level Dire Error Cfgwiz AdmTools Config F Installs the co 11 4 EventMapping Sgeasy Sgeasy 32513 3 INSTALL Extension Rewiz AdmTools Respons Installs the res 22 BE SCSAL Encryption SmartCa Extends the W 54 4 FeatureComponents AdmTools Sgeasy Administ 24 BE File SeryerCon Encryption Server Installs the ser 45 4 Font FIPS Encryption FIPS Mode Installs the sy 76 4 Icon SGAuth_UyM SGSAL Client 5 Extends the W 35 4 HINWEIS Wenn man ein Feature installieren will muss man auch alle dazugeh rigen Feature Parents Vaterkomponenten installieren 5 W hlen Sie unter Tables den Eintrag Property Es erscheinen alle alle Properties SafeGuard Easy Setup Parameter Eine Beschrei bung der Parameter die installiert werden d rfen finden Sie unter SafeGuard Easy Parameter Geben Sie z B den Namen und Ablageort der Konfigurationsdatei un ter CFGFILE an n Sgeasy msi transformed by Untitled Orca m Eile Edit Tables Transform Tools View Help DSH Ran tae M Tables Msi ssembly Msi ssemblyName MsiDigitalCertificate MsiDigitalSignature MsiFileHash ODBC ttribute ODBCDataSource ODBCDriver ODBCSource ttribute ODBC Translator Patch PatchPackage ProgId PublishComponent RadioButton RegLocator Danieckru Property ProductName ProductVersion Manufa
8. 252 17 1 4 SAL Dialog unterdr cken 000seresssneenen 254 17 1 5 SAL Smartcard SAL Daten l schen 255 17 1 6 Restriktion 00000000000000000s0ssssenssennnnnnnnnn0nn 256 17 2 Identisches Passwort f r Windows und SafeGuard Easy Passwortsynchronisierung 257 10 18 19 17 2 1 Vorteile der Passwortsynchronisierung 258 17 2 2 Passwortsynchronisierung vorbereiten 258 17 2 3 Passwortsynchronisierung einschalten 259 17 2 4 Passwortsynchronisierung durchf hren 260 17 2 5 Windows Kennwort ndern bei aktiver Passwortsynchronisierung 0r000000000 263 17 2 6 SafeGuard Easy Passwort wechseln 264 17 2 7 Dialog zur Passwortsynchronisierung dbbrechen TEAOR 265 17 2 8 Einschr nkungen creeessssssssnssnsssensesssnee 265 17 2 9 Was tun wenn ssssssssssesessesessesssecssessosesossee 267 17 3 Zus tzliche Optionen f r die Windows Anmelduns ssss000000000000000s0000e 268 17 3 1 Windows An Abmeldung sss000000000 269 17 3 2 Rechnersperre 000sss00000000sren00nnnnnenennnnnne 273 17 3 3 Bildsschirmschoner 020srs00000s0r ern 00e 274 17 3 4 Authentisierungsmodul GINA reparieren 278 17 3 5 Novell Anmeldung r ssrsssessseeenesnsenen 279 Arbeitsplatzsperre von SafeGuard Easy 281 18 1 Voraussetzungen 0000000sssssssesensesnnesennnnnene 282
9. Struktur AST VM W2K ENG Windows NT 6 Elemente f SQL Server Eigenschaften Konfigurieren AST YM W2K ENG x Date C Konsolenstamm B Microsoft SQL Servers B g SQL Server Gruppe Verbindungen Servereinstellungen i om er Datenbankeinstelungen Replikation Active Directoy E master Allgemein Arbeitsspeicher Prozessor Sicherheit e pe Siehe Northwind K oa SQL Server bietet die Authentifizierung basierend auf Windows Konten und einem SQL Server Benutzernamen und 3 pubs Konma p SGEASY Authentifizierung j tempdb 3 Data Transformation Services f SQL Server und Windows verwaltung Nur Windows H E Replikation z Sicherheit berwachungsebene Unterst tzungsdienste Keine Fehler 6 Meta Data Services F Erfolg C ke In der Registerkarte Sicherheit die Authentifizierung auf SQL Server und Windows setzen Meta Data Services 438 8 Optional Ein anderes als das Standard Systemkonto Standard ist Benutzer sa f r die SGEASY Datenbank wird erzeugt ber Sicherheit gt Benutzernamen gt Kontextmen eintrag Neuer Benutzer In der Registerkarte Allgemein unter Authentifizierung die Option SQL Server Authentifizierung w hlen und das Kennwort eingeben Als Datenbank SGEASY einstellen m SQL Server Enterprise Manager Konsolenstamm Microsoft SQL Servers SQL ar fe I Konsole fen
10. 12 7 2 Benutzerrechte weitergeben Ein Benutzer kann auch Rechte an andere Benutzer verteilen selbstver st ndlich nur diese ber die er selbst verf gt M chte ein Administrator z B Untersystemverwalter seine eigenen Rechte ndern kann er das nicht selbst tun Er muss zu einem h herrangigen Administrator gehen und diesen um die gew nschten nderungen bitten Um eigene Rechte an andere Benutzer weiterzugeben muss ein Benut zerprofil mit dem Recht Benutzereinstellungen ndern ausgestattet sein 164 13 Passworteinstellungen Das Passwort spielt eine zentrale Rolle in SafeGuard Easy Aus dem an der Pre Boot Authentisierung eingegebenen SafeGuard Easy Passwort wird der zum Booten erforderliche Schl ssel zum Entschl sseln einer ver schl sselten Festplatte berechnet Das SafeGuard Easy Passwort sollte berlegt gew hlt werden Oft neigen jedoch Benutzer dazu immer dieselben oder Passworte wie z B Vor oder Nachnamen Firmennamen aneinandergereihte Buchstaben oder Zah lenfolgen etc zu verwenden Leicht zu erratende SafeGuard Easy Pass worte erleichtern unbefugten Dritten jedoch den Zugriff auf eine Arbeitsstation Wie konsequent man bzgl der Vergabe von Passwortrestriktionen vorge hen m chte sollte gut berlegt und auch getestet werden 13 1 Vordefinierte Passwortregeln Aus Sicherheitsgr nden gibt SafeGuard Easy bestimmte Regeln f r alle Benutzer Passworte vor Ein SafeGuard Easy
11. HINWEIS Wenn SAL f r die normale Windows Anmeldung aktiviert war muss vor der CSS Integration die Datei SGSAL dat zu finden unter lt System laufwerk gt System32 gel scht werden SGSAL dat muss neu angelegt werden weil sich die TPM Daten im Format von denen einer normalen Windows Anmeldung unterschei den Daher darf keine SGSAL dat existieren wenn CSS SAL funktio nieren soll 23 4 Erforderliche Einstellungen f r die Erzeugung von Zufallsschl sseln ber den TPM Chip Die Erzeugung von Zufallsschl sseln ber den ESS TPM Chip erzwingen Registrierungseintr ge die vor der Installation von SafeGuard Easy an gelegt werden m ssen So erzeugen Sie Zufallsschl ssel mit dem TPM Chip 1 Chip Nutzung vorbereiten siehe Chip Nutzung vorbereiten 2 In der Windows Registrierung unter HKEY_LOCAL_MACHINE SOFTWARE Utimaco SGEasy folgende Eintr ge anlegen Cryptographic Service Provider Zeichenfolge Als Wert muss eingetragen werden a f r CSS lt 5 40 IBM Embedded Security Subsystem Enhanced CSP b f r CSS gt 6 0 ThinkVantage Client Security Solution CSP UseCSPRandomGenerator DWORD Wert Der Wert muss auf 1 gesetzt werden 3 SafeGuard Easy installieren Die Zufallsschl ssel werden nun ohne weitere Konfigurationseinstellun gen vom ESS TPM Chip erzeugt 318 23 5 Erforderliche Einstellungen f r die Sicherung der Client Server Authentisierung
12. ssseseennsnsnen 356 14 27 26 3 Response Code rss00nsessesnnnnenssssonsnnnennenns 358 26 3 1 Response Code erzeugen rerseereeren 359 26 4 Erweiterung des Challenge Response Konzepts 367 26 4 1 Helpdesk Konsole s000ssssss0noenree0e 367 26 4 2 Web Self Help sssseessessssecsessssseessssesoessssseeoe 368 26 4 3 VOICE TRUST 0002r2s0000000r0r000000000000000000000000000 369 Notfallmedien erstellen und Systemkern sichern 000000ssers0000ncerereennnne 371 27 1 Notfalldiskette erstellen rr000000re 00000 372 27 1 1 Notfallassistenten starten 0000000000 373 27 1 2 Systemkern per Kommandozeile sichern 376 27 1 3 SafeGuard Easy Notfalldateien manuell auf Diskette sichern 2 rrs0000000re see 0nnnsereesnsns nee 376 27 2 Bootf hige Notfalldiskette erstellen 377 27 3 Bootf hige Notfall CD erstellen 378 27 4 Bootf higen Notfall USB Stick erstellen 379 27 5 Notfallstart durchf hren 000000000000000000 380 27 5 1 Systemkern restaurieren 0020rr00000 000000 381 27 5 2 Systemkern reparieren 00000000000 00000 382 27 5 3 Notfalldeinstallation von SafeGuard Easy 383 27 5 4 Hinweise eeesesssseesessseseesessseeessssseeesssseseoeo 385 27 6 Nach Booten von externen Medien im Notfall auf verschl sselte Daten zugreifen 386
13. 15 Token Unterst tzung 0000000r rer 000 191 15 1 Vorteile einer Anmeldung mit Token 192 15 2 Unterst tzte Token zrrsrs00seeeeereennnneere rennen 194 15 3 Token Funktionen essesossesessesesseosssossessosessesse 195 15 4 Token Unterst tzung installieren 196 15 5 Das erste Mal mit Token in der Pre Boot Authentisierung anmelden 0000 199 15 6 Token Passwort ndern eeessssssssesssssssosssesesese 201 15 7 SafeGuard Easy Zugangsdaten auf dem Token ndern l schen esssssssessesessssessssocsssoosseosssesssso 201 15 8 Token ausstellen 2s000ss00er00s rn 0er nern nenne 202 15 8 1 Token Ausstellungsmodus r s0srr00000000 202 15 8 2 Token Ausstellung automatisieren 204 15 9 Mit Token an den Administrationswerkzeugen EILAO A EREET EIEE ES E 209 15 9 1 Token Unterst tzung f r die Administrationswerkzeuge installieren 210 15 9 2 PKCS 11 Modul des Token registrieren 211 15 9 3 Universal Token Interface 0rrsr0ee rer 213 15 10 Anmeldung mit Token an das Betriebssystem 0sss00000sreeonnnnneesennssnnereene 216 15 10 1 Betriebssystemdaten auf den Token schreiben r02eerr00e rer soee rennen 217 15 10 2 Gespeicherte Windows Daten in der SAL Datei seessesesesssssessseessssosseesssesssse 218 15 11Token mit der Token Administration zentral auss
14. 31 8 2 Neuen Request erstellen ber Arbeitsstationen Gruppen nderungen festlegen Erstellen wird ein Dialog aufgerufen in dem man eine Vorauswahl trifft ob ein Request mit Vorlage einer sogenannten Basiskonfiguration erstellt oder ob darauf verzichtet wird nderung festlegen Erstellen xj Requestname Requestbeschreibung nderung festlegen Erstellen 16 03 2005 15 55 15 IV Basiert auf Arbeitsstation Datei zur Installation Name der Arbeitsstation wKS01 Abbrechen Eine Vorlage zu laden bietet sich an wenn sie Einstellungen enth lt die sich nur geringf gig vom geplanten Request unterscheiden Sie erleichtert die Arbeit des Administrators da wiederholtes Eintippen Anklicken von Optionen entf llt Der Request basiert dann entweder auf den Einstellun gen eines am SafeGuard Easy Server registrierten Clients einzutippen ist dann etwa WKS 1 oder auf einer Konfigurationsdatei mit dem Attribut Installieren Mit diesem Mechanismus ist es u a m glich Einstellungen von einer Maschine zur anderen zu kopieren Ohne Vorlage wird ein neuer Request erstellt der seine Einstellungen we der aus einer Konfigurationsdatei noch von einer Arbeitsstation bezieht Dem Best tigen der Dialog Eintr ge folgt der Start des Konfigurationsda teiassistenten siehe Konfigurationsdateiassistent Erkennt der Konfigu rationsdateiassistent eine Installationsdatei als Basis verlangt er eine Aut
15. Diskettenschl ssel tempor r ndern Diskettenverschl sselung schalten Wechselmedienschl ssel tempor r ndern Wechselmedienverschl sselung schalten Bei ausgeschalteter Pre Boot Authentisierung melden sich alle Anwender mit den dem AUTOUSER zugewiesenen Rechten am System an Wird die Pre Boot Authentisierung wieder aktiviert verschwindet der AUTOU SER von der Benutzerliste 12 3 Benutzer anlegen Ein neues Benutzerprofil wird in den Verwaltungsprogrammen ber die Konfigurationsseite Benutzer angelegt Nach Dr cken des Symbols f r das Anlegen eines neuen Benutzers wird der Dialog Neuer Benutzer ge ffnet x Vorhandene Benutzer Benutzer Ver ndern User Neuer Benutzername Die unten angef hrte Liste enth lt alle zur Verf gung stehenden Ran tsar Benutzer Name Neuer enutzei Cancel Geben Sie dem neuen Benutzer einen Namen indem Sie eine Bezeich nung in das Eingabefeld eintragen Der neue Benutzername darf maximal 16 Zeichen umfassen Falls der Name schon vergeben ist wird eine ent sprechende Fehlermeldung ausgegeben Standardm ig hat das neue Profil keine Rechte F r die Verteilung von Rechten lesen Sie weiter bei Rechte zuweisen 12 4 Benutzer kopieren Benutzerprofile die hnlich sind k nnen Sie kopieren und dann ggf n dern Diese Vorgehensweise spart Zeit Nach Dr cken des Symbols A f r das Kopieren eines neuen Benutzers wird der Dialo
16. In configruation file mode it is also possible to specify a new delete command to delete a user profile from the target machine Konfigurations Kommando Kein Konfiguratic Cance W hlen Sie in der Benutzerliste das vorhandene Benutzerprofil aus das Sie l schen wollen Angezeigt werden alle Profile die in Ihrem Verwal tungsbereich liegen Klappen Sie das Pull Down Men hinter dem Benut zernamen auf und ordnen Sie die Eigenschaft Entfernen zu Sie k nnen nur Benutzerprofile l schen die eine niedrigere Hierarchiestu fe aufweisen als Ihr eigenes Profil Das Entfernen eines Benutzers kann nicht mehr r ckg ngig gemacht werden 156 12 6 Benutzermerkmale Welches Merkmal einem Benutzer zugewiesen ist erkennt man an den Erweiterungen hinter dem Benutzernamen E SafeGuard Easy Administration E lalx Datei View Benutzer Fernzugang Extras Hilfe Eg FP ALEAT af SYSTEM as Konfiguriert Token Anmeldung nicht erforderlich PaSSWO Passwort Konfiaune S Boot Manager Verschl sselung 7 Benutzer erforderlich Keine Nein Anmeldungsart Schablone Standardbenutzer Verk rzten C R Code erzeugen Passwortwechsel erlaubt Passwortwechsel nach 90 Passwort nderung bei n chster Anmeld Ja Passwort Passwort Konfiguriert Benutzerrechte Rechte 12 6 1 Benutzernamenmindestl nge In diesem Feld legen Sie fest wieviele Zeichen ein Benutzername min destens
17. Best tigung Per A Geben Sie einen selbstgew hlten Schl ssel nie an unbefugte Dritte weiter 11 6 7 Schl ssel ndern Verschl sselte Festplatte oder Partitionen m ssen zuerst entschl sselt werden bevor ein neuer Schl ssel gesetzt werden kann Der Schl ssel f r Disketten und Wechselmedien kann jederzeit entweder vom SafeGuard Easy Benutzer SYSTEM oder von einem Benutzer mit entsprechenden Rechten neu gesetzt werden Bitte beachten Sie aber dass die mit dem alten Schl ssel verschl sselten Medien nicht mehr lesbar sind Zugreifen k nnen Benutzer auf alte Medien nur wenn sie ber das Recht zum Schalten der Disketten Wechselmedienschl ssel verf gen siehe Disketten und Ger teverschl sselung schalten 11 7 Algorithmen Gemessen werden die verschiedenen Algorithmen insbesondere an ihrer Sicherheit Je sicherer ein Verfahren ist desto l nger dauert allerdings meistens der Verschl sselungsprozess 11 7 1 Algorithmus w hlen Um einen Algorithmus zu vergeben klicken Sie unter Algorithmen auf ein Laufwerk und w hlen im Pull Down Men einen Algorithmus aus Als Standard wird automatisch AES 256 gew hlt 11 7 2 SafeGuard Easy Algorithmen Im folgenden finden Sie eine Liste aller einsetzbaren Algorithmen mit ihren jeweiligen Standards Algorithmus Schl ssell ngen AES 256 32 bytes 256 bits AES 128 16 bytes 128 bits Rijndael 256 32 bytes 25
18. m Rescue and Recovery RnR SafeGuard Easy ist kompatibel mit Rescue and Recovery Das erlaubt Benutzern Lenovos effiziente Backup und Restore Methode zu nutzen auch wenn die Betriebssystem Partition mit SafeGuard Easy verschl sselt ist SafeGuard Easy bietet hier eine einzigartige Funktionalit t unter Produkten zur Festplattenverschl sselung Sicherungen von verschl sselten SafeGuard Easy Systemen k nnen auf allen von Rescue and Recovery angebotenen Laufwerken abgelegt werden Im Notfall ist es also m glich ein besch digtes System durch das Einspielen eines Backups von CD DVD Netzlaufwerk einer zweiten internen Festplatte sowie von USB Festplatte oder Stick wiederherzustellen m TCPA TPM Unterst tzung ESS Chip CSS SafeGuard Easy ist das erste Produkt zur Festplattenverschl sselung welches die in modernen Notebooks integrierten Sicherheitschips einbindet die von der Trusted Computing Group TCG spezifiziert wurden Unter anderem nutzt SafeGuard Easy den Chip zur Sicherung der Verbindung zwischen Client und Administrationsserver sowie zur Erzeugung von Zufallszahlen Die SafeGuard Easy SAL Funktion l sst sich selbstverst ndlich auch nutzen und stellt damit eine op timale Integration in die ESS Chip Infrastruktur dar Zertifizierung nach FIPS 140 2 Level 1 SafeGuard Easy erf llt die Richtlinien der FIPS 140 2 Level 1 FIPS Federal Information Processing Standard Zertifizierung des ame rikanischen National Inst
19. Kemelsicherung erstellen und SafeGuard Easy Notfalldateien kopieren Folgende Optionen stehen zur Auswahl Nur Kernelsicherung erstellen Sichert den kompletten Systemkern Treiber f r SafeGuard Easy und den Master Boot Record in eine Datei Kernelsicherung erstellen und SafeGuard Easy Notfalldateien kopieren Kopiert den Systemkern und die Notfalldateien m Startdiskette mit SafeGuard Easy Notfalldateien und Kernelsi cherung erstellen Erstellt eine bootf hige Rettungsdiskette mit einer FreeDOS Ver sion Systemkern und Notfalldateien Anschlie end w hlen Sie aus wo die Daten Systemkern und Not falldateien gespeichert werden s SafeGuard Easy Notfalldiskette Assistent i x r Pfad Info w hlen Sie den Pfad zum Kopieren der Dateien aus F C as Name der Kerneldatei BACKUP svf lt Zur ck Abbrechen Im Pfad Info Feld bestimmen Sie wo Systemkern und Notfalldatei en wenn ausgew hlt gesichert werden sollen Unter Name der Kerneldatei geben Sie f r den Systemkern einen Namen an Vor einstellung ist Backup svf Name und die Extension SVF k n nen aber ge ndert werden Es ist auch m glich den Systemkern auf der Festplatte oder einem Netzlaufwerk abzulegen Da Sie im Fall eines Systemdefekts wahrscheinlich nicht auf die Festplatte zugreifen k nnen sollte der Systemkern samt Notfalldateien immer auf einer Diskette einem Wechselmed
20. Administration an melden An Konfigurations x x dateien anmelden An Windows anmelden x x x Windows Arbeitsplatz x x2 sperren Schneller SafeGuard X x2 Easy Benutzerwechsel 1 Nur mit Aladdin Runtime Environment PKCS 11 Modul 2 Nur mit RSA Authenticator Client PKCS 11 Modul ACHTUNG F r Aufgaben auf Betriebssystemebene ben tigen Sie eine bestimmte Version des RSA Authenticator Client Wenden Sie sich f r weitere Informationen an Ihren Token Hersteller Die RSA Authenticator Utility wird von SafeGuard Easy Version 4 50 nicht mehr unterst tzt 3 Nur mit Lenovo Thinkvantage Fingerprint Software 15 4 Token Unterst tzung installieren So installieren Sie die Token Unterst tzung 1 Starten Sie das SafeGuard Easy Setup 2 W hlen Sie die Installationsoptionen und den Verschl sselungsmodus 3 W hlen Sie in den Konfigurationseinstellungen Allgemein Authentisierung Anmeldeart Hier bestimmen Sie ob sich ein Benutzer mit Tastatur Token oder Fingerabdruck an der Pre Boot Authentisierung anmeldet Tastatur Benutzer melden sich mit den SafeGuard Easy Zugangsdaten in der PBA an Aladdin eToken Benutzer melden sich mit Token Passwort des Aladdin eTokens in der PBA an Fingerprint Benutzer melden sich mit Fingerabdruck in der PBA an RSA SID 800 Benutzer melden sich mit Token Passwort des RSA SID Token an RSA SID 800 Random Benutzer melden sich mit To
21. Benutzen Sie f r den Verzeichnisnamen keine Sonderzeichen Klicken Sie auf Weiter Der Dialog Funktionen ausw hlen wird angezeigt In diesem Dialog k nnen Sie ausw hlen welche Funktionen Features installiert werden sollen Klicken Sie auf Weiter Ausf hrliche Informationen zu den Funktionen Features finden Sie in den jeweiligen Kapiteln Verschl sselung Installiert SafeGuard Easy komplett mit allen zur Verf gung stehenden Komponenten w hlbar sind nur m Sicherer automatischer Logon SAL Merkt sich bei der Erstanmeldung die Windows Zugangsdaten so dass bei jeder weiteren Anmeldung nur die SafeGuard Easy Zugangsdaten an der Pre Boot Authentisierung notwendig sind siehe Sicherer automatischer Logon SALY m Server Anbindung Ist f r die verschl sselte Kommunikation zwischen Client und Ser ver unbedingt erforderlich wenn die Arbeitsstation zentral verwal tet werden soll Die Server Anbindung muss nicht installiert werden wenn die Arbeitsstation nur Stand alone verwendet wird siehe Zentrale Administration m SmartCard Auto Logon Leitet die Windows Zugangsdaten einer Smartcard automatisch weiter so dass zur Anmeldung nur die SafeGuard Easy Zugangs daten an der Pre Boot Authentisierung notwendig sind siehe Anmeldung an Windows mit Smartcard Smartcard SAL FIPS Mode Garantiert dass SafeGuard Easy gem den Richtlinien von FIPS 140 2 Level 1 installiert wird siehe FIPS 140 2 Lev
22. F r die Verschl sselung k nnen unterschiedliche Algorithmen f r Disketten Wechselmedien und Festplatten gew hlt werden Zur Verf gung stehen AES Rijndael XOR STEALTH 40 IDEA BLOWFISH DES und 3DES Zugangskontrolle mit Pre Boot Authentisierung und Bootschutz Bei der Pre Boot Authentisierung handelt es sich um eine weitere zentrale Sicherheitsfunktion von SafeGuard Easy Die Pre Boot Authentisierung erlaubt nur die Anmeldung der auf dem System registrierten SafeGuard Easy Benutzer SafeGuard Easy Wird bei verschl sselter Festplatte versucht den Rechner von einem an deren Medium wie z B einer Systemdiskette einer CD ROM oder einer weiteren Festplatte zu starten bleibt die Festplatte gesperrt Dies bedeu tet der Systemstart ist zwar m glich die verschl sselten Daten auf der Festplatte k nnen aber nicht gelesen werden Wird die Pre Boot Authentisierung auf einer Arbeitsstation in Verbindung mit der Option Bootschutz eingesetzt ist es nicht m glich die Arbeitssta tion mit einem externen Medium zu starten ohne die korrekten SafeGuard Easy Benutzerdaten zu kennen 1 2 Weitere Sicherheitsfunktionen Unterst tzung von Lenovos IBMs Thinkvantage Technologien Client Security Solution CSS 8 10 und Rescue and Recovery 4 20 SafeGuard Easy unterst tzt diese und fr here Versionen von Lenovos Thinkvantage Technologien und ist kompatibel zu Lenovos Client Security Solution CSS und Rescue and Recovery RnR
23. HINWEISE m Die SafeGuard Komponente zur Anmeldung an das Betriebs system unterst tzt maximal 63 Zeichen lange Passworte Utimaco empfiehlt das Maximum beim Token Passwort nicht zu berschreiten m Es wird vorausgesetzt dass bestimmte Treiber PKCS 11 Cryptographic Service Provider CSP f r die Unterst tzung des Tokens auf Betriebssystemebene von den Tokenherstel lern zur Verf gung gestellt werden Diese k nnen blicherweise von den Webseiten der Hersteller heruntergeladen werden und sind dann separat zu installieren 15 10 1 Betriebssystemdaten auf den Token schreiben So schreiben Sie Betriebssystemdaten auf den Token 1 Stecken Sie den formatierten Token in den USB Port und starten Sie den PC 2 Geben Sie an der Pre Boot Authentisierung das Token Passwort ein 3 Das Betriebssystem startet Geben Sie das Token Passwort im Dialog PIN genannt ein 4 Der Token enth lt noch keine Windows Anmeldedaten Best tigen Sie den Dialog Token Anmeldung mit Ja Token Anmeldung SafeGuard Authentication nu Token Anmeldung Der Token enth lt keine Windows Zugangsdaten wollen Sie sich den Token ausstellen a e 218 5 Der Dialog Token mit Windows Zugangsdaten ausstellen wird ge ffnet Geben Sie Ihren Windows Benutzernamen und das Kennwort ein Ein Dialog best tigt die erfolgreiche Ausstellung des Token Beim n chsten Neustart des PCs werden Sie automatisch an Wi
24. HKEY_LOCAL_MACHINE SOFTWARE Utimaco Sgeasy der DWORD Wert ForcePasswordSync anzulegen Mit dem Wert 1 wird die Abbrechen Schaltfl che ausgegraut und der Benutzer kann erst fortfahren wenn der Sychronisationsdialog ausgef llt ist 0 erlaubt den Dialog zu berspringen Verlassen Sie anschlie end die Registry und starten Sie den PC neu 17 2 8 Einschr nkungen m SafeGuard Easy beschr nkt Passworte auf 16 Zeichen SafeGuard Easy akzeptiert bei der Anmeldung in der Pre Boot Authentisierung nur Passworte mit maximal 16 Zeichen Diese Regel gibt SafeGuard Easy vor und sie kann auch nicht umgangen werden Ist ein synchronisiertes Windows Passwort zu lang werden f r die Authentisierung in SafeGuard Easy Pre Boot Authentisierung Administration etc die berz hligen Zeichen abgeschnitten BEISPIEL Windows Kennwort mit 20 Zeichen UtimacoSecurity12345 Anmeldung in der PBA mit 16 Zeichen UtimacoSecurity1 Keine Synchronisierung erfolgt wenn das Windows Passwort den internen SafeGuard Easy Passwortregeln widerspricht siehe Vordefinierte Passwortregeln in der SafeGuard Easy Passworthistorie steht bestimmte Sonderzeichen enth lt Erlaubt sind Alle Zeichen die mit einem Tastendruck oder in Kombination mit der SHIFT Taste erzeugt werden z B 1 8 amp Nicht erlaubt sind Alle Zeichen die ber die Alt Gr Taste er
25. Multidesktop Support 5G Easy Zugangsdaten Windows Zugangsdaten FR AKS ifdh 1 Safe Guard Easy Benutzer Benno Passwort A A Best tigen A K Benutzer ID und Passwort importieren Safe Guard Easy Benutzer D SG Easy Configurationsdatei importieren 10 Best tigen Sie Ihre Eingaben mit OK Auf dem Token sind nun Ihre SafeGuard Easy Zugangsdaten gespeichert Weitere Informationen zu diesem Thema erhalten Sie in der Utimaco Wissensdatenbank http www utimaco de myutimaco Nutzen Sie bitte die Suchfunktion der Wissensdatenbank um nach Stichworten wie Token Admin zu suchen 15 11 2 SafeGuard Easy Zugangsdaten auf dem Token l schen Entfernt werden Token Daten ber den Befehl L schen im Kontextmen von SGEasy Zugangsdaten 222 15 11 3 SafeGuard Easy Zugangsdaten aus Konfigurationsdatei importieren Bei einem Import werden die SafeGuard Easy Benutzerdaten Name und Passwort aus einer bestehenden Konfigurationsdatei auf den Token ge schrieben Diese Vorgehensweise bietet sich an wenn dem Aussteller das SafeGuard Easy Benutzerpasswort nicht bekannt ist bzw nicht bekannt sein soll So importieren Sie SafeGuard Easy Zugangsdaten aus einer Konfigura tionsdatei 1 Starten Sie die Token Administration 2 ffnen Sie den Ordner User 3 Markieren Sie den Ordner SG Easy Zugangsdaten 4 Doppelklicken Sie auf das Schl sselsymbo
26. m Anschlie end muss diese leere Datenbank auf dem SafeGuard Easy Server registriert werden 30 4 1 Wichtige Hinweise m Der Microsoft SQL Server wird erst ab SafeGuard Easy 4 11 un terst tzt m Der Microsoft SQL Server kann muss aber nicht auf der Maschine installiert sein auf der der SafeGuard Easy Server sp ter installiert wird m Wenn geplant ist eine SQL Datenbank zu verwenden d rfen so lange keine SafeGuard Easy Clients installiert oder registriert wer den bis als Standard Datenbank der Microsoft SQL Server definiert wurde m Entwickelt und getestet wurde die Unterst tzung f r SQL Server mit folgenden Versionen SQL Server 2005 SQL Server Enterprise Edition 8 00 760 Service Pack 3 SQL Server Developer Edition8 00 194 RTM 30 4 2 Leere SafeGuard Easy Datenbank auf dem SQL Server erzeugen HINWEIS Unbedingt VOR der SafeGuard Easy Server Installation durchf hren 1 SQL Server installieren wenn nicht schon vorhanden Bei der Installation folgendes beachten Als Authentifizierungsmodus die Option Gemischter Modus w hlen Authentifizierungsmodus x w hlen Sie den Authentifizierungsmodus aus Windows Authentifizierungsmodus Gemischter Modus windows Authentifizierung und Sal ServerAuthentifizierung F gen Sie ein Kennwort f r die Systemadministratoranmeldung hinzu Kennwort eingeben Kennwort best tigen I Leeres Kennwor
27. ohne Token Keine Nein Die benutzerspezifischen Passwortregeln befassen sich mit Optionen f r den Passwortwechsel 13 6 1 Passwortwechsel erlauben Diese Option steuert ob ein Benutzer sein SafeGuard Easy Passwort in der Pre Boot Authentisierung oder Administration ndern darf oder nicht 178 13 6 2 Passwortwechsel nach n Tagen Ein SafeGuard Easy Passwort ist unbegrenzte Zeit g ltig Allerdings ist die Gefahr dass es bekannt wird sehr gro Um das Sicherheitsrisiko zu minimieren k nnen Sie festlegen dass ein Benutzer sein Passwort nach einer festgelegten Anzahl von Tagen ndern muss Stellen Sie die Zeitspanne nach der das Passwort ge ndert werden muss mit Hilfe der Richtungstasten oder ber direkte Eingabe per Tastatur ein Der Zeitraum f r die G ltigkeit der Passworte kann zwischen 1 und 365 Tagen liegen Die Standardvorgabe betr gt 90 Tage Ist die Frist abgelaufen muss der Benutzer bei der n chsten Anmeldung sein Passwort ndern 13 6 3 Passwort nderung bei n chster Anmeldung Der Benutzer muss sein SafeGuard Easy Passwort bei der n chsten An meldung ndern Um die Funktion zu nutzen muss die Pre Boot Authen tisierung aktiviert sein 13 7 Passwort definieren Ef SafeGuard Easy Administration Eii E x Datei Ansicht Benutzer Fernzugang Extras Hilfe me B Allgemeine Einstellungen Verschl sselung Mindestl nge des Benutzernamens 4 f ggd Benut
28. 1165 1166 1167 Keine Konfigurationsdatei definiert Sektionseintrag in der Konfigurationsdatei fehlt Ung ltiger Eintrag in der Konfigurationsdatei gefunden Konfigurationsdatei lt Name der Datei gt konnte nicht gefunden werden Fehler in Zeile lt Name der Datei gt der Konfigurationsdatei ge funden Die angegebene Konfigurationsdatei konnte nicht gefunden werden Ein unbekannter Befehl wurde in der Konfigurationsdatei ge funden Unbekannter Typ einer Konfigurationsdatei gefunden Typ der Konfigurationsdatei ist ung ltig Der Handle f r die Konfigurationsdatei ist ung ltig Konfigurationsdatei f r die Deinstallation konnte nicht erzeugt werden Konfigurationsdatei zur Deinstallation konnte nicht erzeugt werden Die Konfigurationsdatei lt Name der Konfigurationsdatei gt konnte nicht gefunden werden Der Typ der Konfigurationsdatei ist ung ltig SGE1157 Ausf hrung der Konfigurationsdatei lt Name der Konfigurationsdatei gt schlug fehl MESSAGE Control Fehler 1171 1172 1173 514 Message ID lt Nummer der ID gt nicht gefunden Kein Control Text f r eine Control ID gefunden Die Windows NT Logdatei konnte nicht geschrieben werden 1174 1175 1176 Eine ung ltige Datei oder ein ung ltiger Message Link wurden gefunden Message identifier 1 nLink command 2 Das Format der Messagedatei lt Name der Datei gt ist ung ltig Falsche Definition der Messagebox Attribute Pas
29. 18 2 Windows Bildschirmschoner mit Kennwortschutz aktivieren 2242022s4 00er 283 18 3 SafeGuard Easy Arbeitsplatzsperre nicht anzeigen ossessioni 285 Sicheres Wake On LAN esessesesesosessesesesess 287 19 1 berblick aueh rane 287 19 2 Sperre der Windows Anmeldung 288 19 3 Wake On LAN Meldung anpassen 289 20 21 22 19 4 Wake On LAN Sperre tempor r aufheben 290 19 5 Wake on LAN konfigurieren 0000000000000000 291 Ruhezustand Hibernation 293 20 1 berblekan ns 293 20 2 Ruhezustand und SafeGuard Easy 294 20 3 Voraussetzungen und Restriktionen 295 20 4 Ruhezustand einrichten 00000000000000 296 Disketten und Ger teverschl sselung Schalter sirsssosssssssessssississosisosesiessiestisssrsssissse 297 21 1 Notwendige SafeGuard Easy Rechte 298 21 2 Verschl sselung schalten 0000000000 299 21 3 Schl ssel setzen mit SgeCrypt 0000 000 300 21 3 1 Tempor re Schl ssel nicht zur cksetzen 301 21 4 Verschl sselungseinstellungen ber Kommandozeile schalten r00000 rer 0000 303 21 5 Hinweise zur Disketten und Ger teverschl sselung 00000000re00000 0000 304 FIPS 140 2 Level 1 Zertifizierung 305 22 1 Neue Funktionen f r FIPS sr0000ss000e rer 306 22 2 SafeGuar
30. Deinstallation Fehler 2201 Die Deinstallationsprozedur kann nicht gestartet werden weil ein Chiffrier oder Dechiffriervorgang gerade l uft 522 2202 Die Deregistrierung einer Komponente ist fehlgeschlagen 2203 Die Deinstallation von MSGFILE SGE_INFO dIl MSG LINK 102 kann nicht fortgesetzt werden Es wurde eine Fest platten gefunden die vor der Installation nicht vorhanden war Bitte entfernen Sie die nachtr glich eingebaute Festplatte Erweiterte Installation Fehler 2301 Das Installationspaket hat die falsche Version und kann nicht verwendet werden 2302 Beim Installationsmodus Standard oder Bootschutz sind nicht mehr als 8 Partitionen pro Festplatte erlaubt 2303 Eine COM Komponente konnte nicht registriert werden 2304 Die Installation von PN ben tigt den Windows Installer von Microsoft N here Informationen finden Sie im Handbuch oder in der README Datei 2305 Falsche Betriebssystemversion vorgefunden Das Betriebs system Windows NT 2000 ist erforderlich Notfallassistent Fehler 2401 Die Erzeugung der Kernelbackupdatei wurde abgebrochen 2402 Nicht alle Notfalldateien konnten erfolgreich kopiert werden SAL Fehler 2501 Die SAL Datei konnte nicht ge ffnet werden 2502 Die SAL Datei befindet sich in einem undefiniertem Zustand 2503 Undefinierter Fehler bei Dateioperationen 2504 SAL Datei konnte nicht korrekt positioniert werden 2505 SAL Datei Lesefehler 2506 SAL Datei Schreibf
31. So kombinieren Sie die Maschinenbindung und SafeGuard Easy 1 Chip Nutzung vorbereiten 2 SafeGuard Easy installieren Bei der SafeGuard Easy Installation ist darauf zu achten dass die Option Maschinenbindung aktiviert wird e SafeGuard Easy 4 20 0 144 Beta Setup Funktionen ausw hlen w hlen Sie die zu installierenden Funktionen aus Sgeasy Verschl sselung E v Sicherer automatischer La Server Anbindung amp r FIPS Mode ZM Administrationswerkzeuge Funktionsbeschreibung Erweitert den Windows Logon Prozess durch Unterst tzung der TPM Maschinen Bindung Diese Komponente wird auf der lokalen Festplatte installiert Diese Funktion erfordert 452KB auf Ihrer Festplatte Durchsuchen Utimaco Safeware AG Datentr gerkosten Zur cksetzen lt Zur ck Abbrechen 324 23 6 1 Initiale Maschinenbindung Beim ersten Hochfahren des Computers nach der Installation der Maschi nenbindung wird der SafeGuard Assistent f r die Maschinenbindung ge startet Sie informiert dass die Maschinenbindung f r diesen Computer noch nicht aktiviert wurde SafeGuard Authentication Maschinenbindung EE Ein Wilkommen zum Assistenten der Maschinenbindung SafeGuard Authentication sorgt f r eine sichere Anmeldung auf Ihren Computer und sch tzt vor Verwendung der Festplatte in einem anderen Computer oder Laptop
32. ber Stan dardmechanismen wie Cryptographic Service Provider CSP f r Benutzer und Applikationen nutzbar machen verschl sselt jedoch selbst keine Betriebssystem oder Nutzerdaten Dar ber hinaus k nnen durch die Nutzung des TPM neue Sicherheitskonzepte wie etwa Maschinenbin dung realisiert werden Lenovo r stet bereits heute eine Vielzahl seiner Notebooks und Desktop PCs mit einem TCG konformen Sicherheits Chip aus Lenovo nennt das System ESS Embedded Security Subsystem und die zugeh rige Client Software Client Security Software CSS Lenovo ist seit langem der f hrende Anbieter von Notebooks mit TPM und war bis vor kurzem der einzige Anbieter am Markt mit einer etablierten L sung 312 Utimaco Safeware erg nzt nun als erster professioneller Anbieter die Lenovo Basisl sung um eine ESS f hige Festplattenverschl sselung und weitere Sicherheitsprodukte Diese zeigen wie Anwender bestm gliche Vorteile aus Sicherheit in Hardware bei gleichzeitiger voller Kontrolle ber Ihre Infrastruktur ziehen k nnen F r weiterf hrende Informationen zu TPM ESS und CSS schlagen Sie bitte in Ihrer Lenovo Dokumentation nach 23 1 SafeGuard Easy und TPM Die SafeGuard Easy TPM Unterst tzung bietet eine erweiterte Funktiona lit t f r PCs mit ESS TPM Chip Die wichtigsten Funktionen sind Client Security Integration Wenn Benutzer von Arbeitsstationen mit TPM Chip die CSS Client Security Solution weiterhin
33. chen wird gepr ft und eine Fehlermeldung ausgegeben falls die Passwor te nicht bereinstimmen oder trivial bspw 12345 oder AAABBB sind Aus Sicherheitsgr nden wird der Eintrag nur mit Symbolen angezeigt Zur Korrektur von Eintr gen verwenden Sie bitte die R ckstelltaste Das Umgehen der nochmaligen Passworteingabe durch das Kopieren und Einf gen Verfahren ist nicht m glich 14 Twinboot Bootmanager Twinboot ist eine Installationsvariante die es Ihnen erlaubt eine klare Trennung zwischen gesch ftlichem und privatem Bereich eines PCs vorzunehmen 14 1 Funktionsweise Twinboot verlangt f r den Schutz von vertraulichen Gesch ftsdaten zwei prim re Partitionen mit jeweils einem bootf higen Betriebssystem Twinboot verschl sselt eine Partition Gesch ftspartition w hrend die andere im Klartext bleibt Privatpartition Die Gesch ftspartition ist nur zug nglich mit dem SafeGuard Easy Passwort Im Privatbereich besteht dagegen kein Schutz durch SafeGuard Easy die Daten sind unverschl sselt Gesch fts und Privatbereich sind f reinander unsichtbar es k nnen also keine sensiblen Daten von der Gesch ftspartition auf die ungesch tzte Privatpartition transferiert werden Wenn der Datenaustausch zwischen verschl sselter und unverschl sselter Partition gew nscht ist macht dies eine Option m glich ber den SafeGuard Easy Bootmanager entscheiden Sie beim Starten des Rechners welche Partitio
34. dim pin dim mustChangePIN dim userID dim password dim domain dim terminalServer dim fileName dim cerFile dim linkFile dim pkcsFile dim protFile dim cardInserted dim authFile dim configFile set scard WScript CreateObject SCardAdmScriptAPI SCScriptAPI Initialisieren WICHTIG slotID 0 res scard Initialize slotID Karte eingelegt cardInserted scard IsCardinserted if cardInserted then WScript Echo Card is inserted else WScript Echo NO Card in Slot end if 204 Seriennummer auslesen serialNumber scard GetCardSerialNumber WScript Echo serialNumber User PIN ndern pin lt Neue Benutzer PIN gt oldPIN lt Bisherige Benutzer PIN gt res scard SetUserPIN oldPIN pin SO PIN ndern pin lt Neue Security Officer PIN gt oldPIN lt Bisherige Security Officer PIN gt res scard SetSOPIN oldPIN pin User PIN Initialisieren pin lt Neue Benutzer PIN gt soPIN lt Security Officer PIN des Token gt res scard InitUserPIN soPIN pin Anmelden pin lt PIN des Token gt res scard LoginUser pin User PIN Wechsel 1 Wechsel erzwingen 0 Wechsel nicht erforderlich mustChangePIN lt 0 1 gt res scard SetUserChangePIN mustChangePIN Windows Account Daten setzen userlD lt Windows Benutzernamen gt password lt Windows Benutzerpasswort gt do
35. gung m SYSTEM m USER AUTOUSER 12 2 1 Der Benutzer SYSTEM Dieser Benutzer hat als einziger die h chste Hierarchiestufe Er kann sei ne eigenen Einstellungen nicht ndern Der Benutzer SYSTEM kann von niemandem gel scht werden und ist von niemandem administrierbar Der Benutzer SYSTEM kann als einziger die Einstellungen aller anderen Be nutzerprofile ndern Nur der oberste Sicherheitsbeauftragte des Systems sollte sich daher mit der Benutzerkennung SYSTEM anmelden k nnen Das Passwort f r den Benutzer SYSTEM sollte also nur dem obersten Si cherheitsbeauftragten bekannt sein Er sollte dieses Passwort notieren und z B in einem Tresor hinterlegen 12 2 2 Der Benutzer USER Wie der Benutzer SYSTEM ist der Benutzer USER nach einer SafeGuard Easy Installation automatisch vorhanden Dieses Benutzerprofil verf gt ber keinerlei Rechte und kann jederzeit gel scht werden 152 12 2 3 Der AUTOUSER Eine Besonderheit ist der AUTOUSER SafeGuard Easy legt immer wenn die Pre Boot Authentisierung ausgeschaltet wird den AUTOUSER an und kreiert f r diesen ein Zufallspasswort Dieses Passwort wird in verschie dene Teile aufgeteilt im SafeGuard Easy Kern abgelegt Beim Booten ist SafeGuard Easy in der Lage daraus das komplette Passwort wiederher zustellen und die Anmeldung durchzuf hren Der AUTOUSER hat keine voreingestellten Rechte allerdings k nnen ihm die vier nachfolgend aufgef hrten Rechte erteilt werden
36. logisches LW in erweiterter Partition unverschl sselt lesbar FA logisches LW in erweiterter Partition unverschl sselt lesbar verschl sselt Bootlaufwerk 1 unsichtbar 184 14 4 Twinboot konfigurieren 1 Erstellen Sie zwei prim re Partitionen und installieren Sie auf jeder Partition ein bootf higes Betriebssystem Booten Sie anschlie end die Partition die als Gesch ftspartition dienen soll Starten Sie die lokale Installation von SafeGuard Easy Best tigen Sie in der Folge alle Eingaben mit Weiter Im Dialog Verschl sselungsmodus markieren Sie Twinboot Setup Yerschl sselungsmodus 21 x Auswahl des Yerschl sselungsmodus Bitte w hlen Sie einen Verschl sselungsmodus aus Der Modus Standard verschl sselt vollst ndig alle Festplatten Der Modus Partitionsweise verschl sselt einzelne Partitionen von Festplatten und Bootschutz verschl sselt die Systembereiche aller Partitionen Standard Partitionsweise C Bootschutz She Abbrechen Hite 5 W hlen Sie in den SafeGuard Easy Verwaltungsprogrammen den Ordner Verschl sselung Neben der in der Grundeinstellung bereits als verschl sselt markierten Gesch ftspartition Prim re Partition die die zum Booten ben tigten Dateien wie Ntldr Boot ini Ntdetect com enth lt m ssen folgende Laufwerke verschl sselt werden m das Windows Systemlaufwerk auf dem sich die W
37. m die F Tasten z B F1 F2 die Pfeil Tasten E ae oaa H 168 13 3 SafeGuard Easy f r Einsatz im internationalen Umfeld konfigurieren SafeGuard Easy speichert alle Zeichenabfolgen in Scancode Form da in der Pre Boot Phase in der Regel keine Tastaturtreiber geladen sind Der Scancode ist eine Codenummer Hexadezimaler ScanCode welche die Tastatur bei einem Tastendruck an den PC weitergibt Dieser Code ist un abh ngig davon welche Buchstaben Ziffern oder Symbole auf der Taste abgebildet sind Der Scan Code stellt ein spezielles Kennzeichen f r die Taste selbst dar und ist f r eine bestimmte Taste immer gleich 13 3 1 Effekte verschiedener Tastaturlayouts SafeGuard Easy speichert also Passworte als Scancodes Das bedeutet dass z B das Passwort system bei deutschem Tastaturlayout als fol gende Scancode Sequenz gespeichert wird 1f 2d 1f 14 12 32 Alza s sd z si oj oj s Tes el al ulel eTtlz u 0 07 06 EI EI al tf oJ nd id da TEN EN Sf dd Sr Contea an _ TE arci cona System auf einem englischen Tastaturlayout ergibt folgenden Scan Code 1f 15 1f 14 12 32 Beachten Sie Y und Z sind vertauscht Der Benutzer m sste also Szstem eintippen um sich erfolgreich zu authentisieren A 2 3 4 5 6 z 8 2 oJ Baas Tf af v ed h td yd ud ih of od c a cs afs a tf of nh id d ad h i Enter ad dd I I Sn Auf einem franz sischen Tastaturlayout ergibt s
38. Ab Version 5 60 5 61 muss im Registry Zweig HKEY_LOCAL_MACHINE SOFTWARE Protector Suite QL 1 0 der DWORD Wert BiosFeatures auf 2 gesetzt werden 236 16 2 Unterst tzte Hardware SafeGuard Easy unterst tzt zur Authentisierung mit dem Fingerabdruck Lenovo PC Notebook Serien die seit Herbst 2005 auf dem Markt sind Unterst tzte Notebook Serien Z60 Z61 T60 T61 X60 X61 R60 Unterst tzte Desktop Serien A51 A52 M51 M52 M52e Nicht unterst tze Notebook Serien 3000 T4x Nicht unterst tztes Tablet PC Notebook X41 R61 238 HINWEISE Die Lenovo 3000 Notebook Serie wird nicht unterst tzt da sie einen Fingerabdruck Leser von einem anderen Anbieter nutzt Tablet PCs ben tigen f r Anmeldung mit Fingerabdruck eine ange schlossene Tastatur Eine Eingabe per Tastatur wird in der Pre Boot Authentisierung ben tigt um die SafeGuard Easy Zugangsdaten mit dem Fingerabdruck zu verbinden Handschriftliche Erkennung ist bei der Pre Boot Authentisierung nicht m glich 16 3 Unterst tzung f r Lenovo Fingerabdruck installieren ACHTUNG Bei der Anmeldung mit Fingerabdruck wird die SafeGuard Easy Funk tion Standardbenutzer nicht unterst tzt Ein SafeGuard Easy Be nutzer der mit einem Fingerabdruck verkn pft werden soll muss immer Benutzernamen und Passwort von SafeGuard Easy kennen So i
39. Administrator PC SafeGuard Easy Benutzer Pass wort SYSTEM Helpdesk PppTttZzz Windows Benutzername Passwort Administrator Admin Der SafeGuard Easy Benutzer am Administrator PC kann nur die Aufga ben ausf hren zu denen er gem seinem Benutzerprofil berechtigt ist HINWEIS Das Betriebssystem Windows XP verlangt folgende Lokale Sicher heitseinstellung auf Client und oder Administrator PC Netzwerkzugriff Modell f r gemeinsame Nutzung und Sicherheitsmo dell f r lokale Konten Klassisch lokale Benutzer authentifizieren sich als Sie selbst Zu den Lokalen Sicherheitseinstellungen gelangen Sie ber System steuerung Verwaltung Lokale Sicherheitsrichtlinie E Lokale Sicherheitseinstellungen Datei Aktion Ansicht 2 gt alx Ej BA Sicherheitseinstellungen Richtlinie ji er Ef Netzwerksicherheit Minimale Sitzungssicherheit f r NTLM 55P basierte Server einschlie lich siche F a ee rich B Netzwerksicherheit Signaturanforderungen f r LDAP Clients aE Turen ent Bi Netzwerkzugriff Anonyme Aufz hlung von SAM Konten nicht erlauben amp Sicherheiisoptionen Ef Netzwerkzugriff Anonyme Aufz hlung von SAM Konten und Freigaben nicht erlauben 4 Richtlinien ffentlicher Schl Masern Anonyme SID Namens bersetzung zulassen 9 Ex Netzwerkzuariff Die SENE von Jeder l ee f r anonyme Benutzer erm glichen Richtlinien f r Softwareeine 3 IP Si
40. Der eingestellte Ausstellungsmodus regelt ob ein Benutzer SafeGuard Easy Zugangsdaten selbst auf den Token schreiben darf SafeGuard Easy 6 Die Anmeldung an SafeGuard Easy wird ausgef hrt Bei der n chsten Anmeldung gen gt das Token Passwort 200 15 6 Token Passwort ndern So ndern Sie das Token Passwort in der Pre Boot Authentisierung 1 Stecken Sie den Token in den USB Port 2 Starten Sie den PC 3 Geben Sie das Token Passwort in der Pre Boot Authentisierung ein 4 Dr cken Sie die Taste F10 5 Geben Sie ein neues Token Passwort ein F r neue Token Passworte gelten folgende Regeln m Das neue Token Passwort darf nicht gleich dem Alten sein m Das neue Token Passwort darf nicht trivial sein z B 1234 oder asdf 15 7 SafeGuard Easy Zugangsdaten auf dem Token ndern l schen Die SafeGuard Easy Zugangsdaten werden ber die Token Administra tion gel scht oder ge ndert siehe auch Token mit der Token Administra tion zentral ausstellen 15 8 Token ausstellen Beim Ausstellen werden Daten auf den Token geschrieben die dann f r die Authentisierung verwendet werden ESafeGuard Easy Konfigurationsas 2j xj Arbeitsstation Konfiguration Bitte nehmen Sie nderungen der unten angezeigten Einstellungen vor die auf der Ziel Arbeitsstation vorgenommen werden sollen B Authentifizierung Verschl sselung Anmeldungsart Aladdin eToken m Benutzer Anmeld
41. Die Maschinenbindung dieses Computers ist noch nicht aktiviert Um sie zu aktivieren geben Sie bitte die Administratorpassphrase des Sicherheitschips ein Nach Best tigung der Passphrase wird f r Ihren Computer ein eindeutiger Geheimschl ssel generiert Dr cken Sie auf Fortsetzen um der Prozess fortzusetzen oder auf Herunterfahren um den Computer herunterzufahren Herunterfahren HINWEIS CSS lt 6 0 Security Chip Passwort erforderlich CSS gt 6 0 Kein Security Chip Passwort erforderlich Klicken Sie auf Fortsetzen um den Prozess der initialen Maschinenbin dung zu starten Da jede Operation auf dem Security Chip die den privaten Schl ssel be trifft ein Passwort erfordert muss das Security Chip Passwort eingegeben werden CSS 6 0 verlangt kein Security Chip Passwort Enter Administrator Password Before you can complete an IP Security certificate request you must enter the IBM Security Chip password below Too many consecutive incorrect entries will cause the security subsystem to be locked for increasing periods of time Ein Dialog best tigt die erfolgreiche Maschinenbindung Die lokale Fest platte kann nun ausschlie lich mit diesem Computer verwendet werden SafeGuard Authentication Maschinenbindung beendet EE nimm n Der Prozess zur Maschinenbindung wurde erfolgreich abgeschlossen Die SafeGuard Authentication Software kontrolliert jetzt die Hardware Ihres Computers Di
42. Sendet dem Benutzer einen leeren neu en Token mit Standard Passwort Gibt seine SafeGuard Easy Zugangsdaten in der Pre Boot Authentisierung ein und fordert mit F9 den Challenge Code an Ruft Administrator Support Helpdesk an Startet den Response Code Assistenten Erfragt den Challenge Code W hlt im Response Code im Dialog Aus zuf hrende Aktion die Option Erlaubnis zum Ausstellen eines Tokens erteilen Gibt den erzeugten Response Code an den Benutzer weiter Tr gt den Response Code in die daf r vor gesehenen Felder ein und meldet sich an Steckt beim n chsten Start des PC den neuen Token an gibt das Passwort ein und schreibt die SafeGuard Easy Zugangsda ten auf den Token wenn Token noch nicht ausgestellt Die Betriebssystemdaten muss der Benutzer nicht selbst ndig auf den Token schreiben sie werden bei der Anmeldung automatisch aus der SAL Datei gelesen und auf den Token gespeichert Voraussetzung SafeGuard Easy Token Anmeldeverfahren ist Wahlweise mit Token HINWEIS Wenn der Token bereits ber die Token Administration ausgestellt wurde ist kein Challenge Response Verfahren n tig Benutzer vergisst Token Passwort Benutzer Administrator Support Helpdesk Administrator erlaubt dem Benutzer zun chst ber Challenge Response Verfahren eine einmalige Anmeldung ohne Token siehe Benutzer vergisst Token Ist ber Challenge Response o
43. Token Passwort FF06D Token 3 R SGE Rolle User SGE Passwort utimaco Token Passwort a126 194 15 2 Unterst tzte Token SafeGuard Easy unterst tzt diese Token Aladdin eToken Pro Verisign USB Token und RSA SecurlD 800 Token Aladdin eToken Pro Aladdin Pro 16K Aladdin Pro 32K Aladdin Pro 64K OTP SafeGuard Easy unterst tzt den Kryptochip aber nicht die Einmal Passwort Funktion OTP One Time Password des Tokens Aladdin eToken NG FLASH und NG OTP Das Standard Passwort f r leere Aladdin eToken ist 1234567890 Verisign USB Token OEM Version des Aladdin eToken Die auf den USB Token gedruckte Seriennummer muss mit ALPR beginnen RSA SecurlD 800 Token SafeGuard Easy unterst tzt den Kryptochip aber nicht die Einmal Passwort Funktion OTP One Time Password des Tokens 5 PE a ACHTUNG Sie ben tigen eine bestimmte Version des RSA Authenticator Client Wenden Sie sich f r weitere Informationen an Ihren Token Hersteller Die RSA Authenticator Utility wird von SafeGuard Easy Version 4 50 nicht mehr unterst tzt Das Standard Passwort f r RSA SecurID 800 Token ist PIN_CODE Gro schreibung beachten 15 3 Token Funktionen X wird unterst tzt wird nicht unterst tzt Aktion AladdineToken RSA SecurlD Lenovo Finger VeriSign USB 800 Token abdruck Leser Token In der Pre Boot X X X Authentisierung anmelden An SafeGuard Easy x x2
44. Wenn der Standard Datenbankbenutzer sich OHNE Passwort anmel det sind die Schritte 10 und 11 nicht notwendig 444 Nach dem Start von SetDBPwd exe aus dem SafeGuard Easy Server Installationsverzeichnis erscheint ein Dialog zur Dateneingabe Default Zugangsdaten zur Datenbank setzen ojx r SafeGuard Easy Server Information Servemame AST m wK EnG r Default Zugangsdaten zur Datenbank Benutzername helpdesk Benutzerpasswort Bi Abbrechen HINWEISE m Im Feld Servername muss der Name oder die IP Adresse des PCs stehen auf dem der SafeGuard Easy Server installiert ist im Beispiel sind SafeGuard Easy Server und SQL Server auf derselben Maschine installiert m Unter Default Zugangsdaten zur Datenbank m ssen die Be nutzerdaten f r die SSEASY Datenbank am SQL Server einge tragen werden Wenn statt des Standardbenutzers in unserem Beispiel help desk ein anderes Benutzerkonto anmelden will muss dieses f r die SGEASY Datenbank vorhanden sein und ber entspre chende Rechte verf gen 12 PC neu starten Die Schritte 4 bis 7 k nnen auch folgenderma en durchgef hrt werden 1 Registrierungsdatei SCE_SOLSRV reg ffnen zu finden in der Datei SOL info zip im Verzeichnis TOOLS SGE_SQLSRY Editor ioj xi Datei Bearbeiten Format windows Registry Editor version 5 00 HKEY_LOCAL_MACHINENSOFTWARENODBCNODEC INI ODBC Data Sources safeGu
45. ber Kennwort ndern modifizieren Erfolgt die nderung auf diese Weise findet eine automatische bernahme des Windows Kennworts in der Datei Sgsal dat statt Der Benutzer muss nach einem Neustart die Windows Daten nicht erneut eintragen Wird das Kennwort ber die Benutzerverwaltung von Windows ge ndert findet KEINE automatische bernahme des Windows Kennworts statt Der Benutzer erh lt stattdessen bei der n chsten Anmeldung einen Warnhinweis dass das Kennwort nicht g ltig ist und wird aufgefordert das neue Kennwort in den Windows Anmeldedialog einzutragen Das Kennwort wird dann f r zuk nftige Anmeldungen gespeichert 250 17 1 2 Anmeldung an Windows mit Smartcard Smartcard SAL ACHTUNG Die Anmeldung mit Smartcard findet NICHT in der Pre Boot Authenti sierung statt Die Smartcard SAL Funktion legt die PIN so auf der Karte ab dass die Smartcard mit der Eingabe der SafeGuard Easy Zugangsdaten in der Pre Boot Authentisierung automatisch freigeschaltet wird Die Windows An meldedaten werden dann von der Smartcard gelesen vorausgesetzt sie sind auf der Karte gespeichert und erm glichen eine Anmeldung am Be triebssystem Wollen Sie die Smartcard SAL Funktion einsetzen 1 Installieren Sie SafeGuard Easy mit m Automatischer Smartcard Anmeldung ACHTUNG Die Option Sicherer automatischer Logon nicht in stallieren m Pre Boot Authentisierung Passwort beim Systemstart abfrage
46. bertragen werden Die Fernprotokollierung funktioniert nur in Verbindung mit dem Basismo dul von SafeGuard Advanced Security HINWEIS F r den Austausch von Protokollierungsdaten zwischen mehreren Ar beitsstationen wird empfohlen den Mechanismus der Fernprotokollie rung einzusetzen und das Schreiben in eine Protokolldatei auf einem freigegebenen Netzlaufwerk zu vermeiden ACHTUNG Bei der Protokollierung auf einen Windows NT Server muss die Fern protokollierung eingesetzt werden da der System Account mit dem die Protokollierung arbeitet keine Netzwerk Credentials hat und somit nicht in eine angegebene Protokolldatei schreiben kann 29 4 2 Neues Ziel erzeugen So erzeugen Sie ein neues Ziel 1 Klicken Sie auf Ziele 2 Klicken Sie auf das Icon a oder im Kontextmen von Ziele auf Neues Ziel hinzuf gen 3 Der Dialog Neues Ziel erscheint x Name Typ Ereignisanzeige ed Abbrechen 398 Name Tragen Sie hier eine selbstgew hlte Bezeichnung f r das Ziel ein Der Zielname kann aus beliebig vielen Leer bzw Sonderzeichen bestehen Typ Legt den Ort der Ereignisprotokollierung fest m W hlen Sie Ereignisanzeige EventLog wenn die Ereignisse in der Ereignisanzeige abgelegt werden sollten W hlen Sie Protokolldatei LogFile wenn die Ereignisse in einer Datei abgespeichert werden sollen HINWEIS Die gew hlte Datei darf nicht schreibgesch tzt sein m W
47. den USA und in Kanada FIPS 140 2 zertifizierte Software f r besonders sicherheitskritische Informationen Kennzeichen einer FIPS konformen SafeGuard Easy Installation ist dass nur bestimmte Algorithmen f r die Verschl sselung verwendet werden d rfen und zwar m AES 128 m AES 256 m 3DES Wenn SafeGuard Easy im FIPS Modus installiert ist erscheint ein Icon in der Taskleiste 22 1 Neue Funktionen f r FIPS Um die Anforderungen f r die FIPS 140 2 Zertifizierung zu erf llen unter st tzt SafeGuard Easy diese beiden neuen Funktionalit ten Known Answer Test KAT Der Known Answer Test wird durchgef hrt um zu testen ob die einge setzten Krypto Algorithmen korrekt arbeiten und korrekte Ergebnisse lie fern Der KAT wird f r alle von FIPS zugelassenen Krypto Algorithmen ausgef hrt auch f r die Hashfunktion HMAC 256 die beim Integrit ts check verwendet wird F r den KAT verschl sselt ein Verschl sselungsmodul einen definierten Datenblock und berpr ft das Verschl sselungsresultat wenn die erzeug ten verschl sselten Daten die erwarteten Daten sind Wenn das Resultat falsch ist muss das Verschl sselungsmodul jeden weiteren Verschl sse lungsprozess sperren Verschl sselungstreiber von SafeGuard Easy f h ren einen Known Answer Test KAT automatisch nach der Initialisierung des Treibers durch Der KAT wird f r Verschl sselung und Dekodierung durchgef hrt Die installierten Verschl sselungsmodule inne
48. die Windows Anmeldung erfolgt automatisch Die Passwortsynchronisierung besitzt auch Mechanismen die daf r sor gen dass SafeGuard Easy Passwort und Windows Kennwort nach Pass wortwechseln weiterhin synchron gehalten werden In der Grundeinstellung ist die Passwortsynchronisierung ausgeschaltet Sie wird ber einen Registry Key aktiviert 17 2 1 Vorteile der Passwortsynchronisierung m Benutzer m ssen sich nur noch an ein Passwort Windows Kenn wort erinnern Der Helpdesk muss nur noch ein einziges Passwort pro Benutzer verwalten Die Parallelverwaltung von SafeGuard Easy und Windows Rech ten entf llt Bei entsprechender Konfiguration werden die Kenn wortregeln allein ber Windows Richtlinien gesteuert 17 2 2 Passwortsynchronisierung vorbereiten So bereiten Sie die Passwortsynchronisierung vor 1 Sicheren automatischen Logon SAL aktivieren Notwendig wenn SafeGuard Easy Benutzername und Windows Benutzername verschieden sind Nicht notwendig wenn SafeGuard Easy Benutzername und Windows Benutzername identisch sind 2 Pre Boot Authentisierung aktivieren 3 SafeGuard Easy Passwort Regeln anpassen Utimaco empfiehlt bei Verwendung der Passwortsynchronisierung die SafeGuard Easy Passwortregeln weitgehend auszuschalten Werden die SafeGuard Easy Passwortregeln nicht ausgeschaltet k nnten diese mit den Windows Kontorichtlinien kollidieren und zu Inkonsistenzen f hren Folgende Einstellung
49. gt 5006 A Sicherheitseinstellunger 5007 amp E Administrative Vorlagen Liste exportieren 5008 5 Benutzerkonfiguration z 7 D Softwareeinstellungen Bajte ee so k Windows Einstellungen A Kritisc Sad W hlen Sie im Kontextmen den Befehl Alle Ereignisse konfigurieren Legen Sie im Dialog Alle Ereignisse Eigenschaften Status und aktive Ziele fest Klicken Sie auf Best tigen und dann auf OK gelten f r alle Ereig nisse die gew hlten Einstellungen 404 29 5 2 Ansicht ndern In der Grundeinstellung werden Ereignisse geordnet nach SafeGuard Applikationen angezeigt g Gruppenrich ie vang asit el Alm B A Struktur Richtlinien f r Lokaler Computer Arbeitsstation 5301 PBA Anmeldung Nicht Konfiguriert B 8 Computerkonfiguration Arbeitsstation 5302 PBA Anmeldung fehlgeschlagen Nicht Konfiguriert Softwareeinstellungen Arbeitsstation 5303 Password wurde ge ndert Nicht Konfiguriert Windows Einstellungen Arbeitsstation 5304 C R Anmeldung Nicht Konfiguriert EB SafeGuard Client 5001 nderungsanforderung empfangen Nicht Konfiguriert B Protokollierung Client 5002 nderungsanforderung ausgef hrt Nicht Konfiguriert 3 Ziele Client 5003 Arbeitsstation auf OFFLINE Nicht Konfiguriert Tu SafeGuard Easy u Client 5004 Server zugeordndet Nicht Konfiguriert o Universal Token Interface Client 5005 Lokale nderungen Nicht Konfiguriert Skript
50. m Aktionen Standard Deaktiviert Folgende Aktionen stehen zur Verf gung die nach Einsetzen des Bildschirmschoners und der definierten Aktionsverz gerung ausgef hrt werden k nnen Abh ngig davon ob sie f r eine lokale Arbeitsstation bzw einen Server oder eine Terminal Server Session definiert werden wirken sich die Aktionen verschieden aus Um die Aktionen f r Terminal Server Sessions zu definieren m ssen Sie auf dem Terminal Server vorgenommen werden A Benutzer abmelden Der aktuelle Benutzer wird abgemeldet Es k nnen sich nun auch andere auf der Arbeitsstation oder im Netzwerk registrierte Benutzer anmelden B Computer herunterfahren Der PC wird automatisch heruntergefahren und muss f r eine weitere Arbeitssitzung neu gestartet werden In einer Terminal Server Session wird der Benutzer abgemeldet C Computer neu starten Es erfolgt ein automatischer Neustart In einer Terminal Server Session wird der Benutzer abgemeldet D Computer in Ruhezustand versetzen Der Computer wird in den Ruhezustand versetzt In einer Terminal Server Session wird die Session gesperrt HINWEIS Sind auf dem System SafeGuard Advanced Security und SafeGuard Easy installiert funktioniert die Option Computer in Ruhezustand versetzen nur wenn die Version SafeGuard Easy 4 0 oder h her verwendet werden E Verbindung trennen Hat auf einer lokalen Arbeitsstation keine Auswirkung In einer Terminal Server Session wird die Verbin
51. m sich schnell implementieren l sst m eine hohe Benutzerfreundlichkeit aufweist m ein f r viele Anwendungsbereiche geeignetes Sicherheitskonzept bietet SafeGuard Easy ist einfach zu installieren und erfordert kaum Verwal tungsaufwand Daher eignet es sich insbesondere f r Einzelplatzsysteme und mobile Ger te wie Notebooks 1 1 Zentrale Sicherheitsfunktionen Verschl sselung SafeGuard Easy sch tzt auf einfache und effektive Weise die Vertraulich keit von Daten bei der Speicherung auf Festplatten Disketten und Wech selmedien durch Online Verschl sselung Online bedeutet in diesem Zusammenhang dass die Daten zum Lesezeitpunkt entschl sselt in den Arbeitsspeicher geladen und beim Schreiben automatisch wieder ver schl sselt werden Der Schl ssel ist nicht auf der Festplatte oder im PC gespeichert Er wird jedesmal beim Start aus dem SafeGuard Easy Pass wort des Benutzers ermittelt SafeGuard Easy verschl sselt nicht nur den gesamten Inhalt von Festplatten sondern auch von Wechselmedien wie USB Speichersticks Disketten ZIP oder JAZ Medien Damit l sst sich ein gesicherter Datentr geraustausch innerhalb des Unternehmens realisieren und gleichzeitig der Inhalt mobiler Datentr ger gegen Unbefugte sch tzen Dar ber hinaus kann so auch der unbefugte Datenimport von nicht lizenzierter Software oder Viren ber diesen Weg verhindert werden da Benutzer ohne das passende Recht keine Klartextmedien verwenden k nnen
52. nge m Ver Entschl sselungsvorg nge 394 29 1 Anwendungsgebiete Die Protokollierung ist eine benutzerfreundliche L sung zum Aufzeichnen von Ereignissen Beispiele zeigen einige typische Szenarien wie die Pro tokollierung eingesetzt werden kann Zentrale berwachung von Arbeitsstationen im Netzwerk Der Administrator will z B regelm ig ber sicherheitskritische SafeGuard Ereignisse z B Ausf hren von Dateien f r die ein Benutzer keine Erlaubnis hat etc informiert werden Er kann die Protokollierung so konfigurieren dass diese SafeGuard Ereignisse von bestimmten Computern automatisch an die Ereignisanzeige oder eine selbstgew hlte Protokolldatei auf einer definierte Arbeitsstation umgeleitet und gespeichert werden Die Vorg nge auf verschiedenen Arbeitsstationen werden also kontinuierlich kontrolliert ohne dass Mitarbeiter Einfluss auf die Aufzeichnungen nehmen k nnen Um diesen Mechanismus zu nutzen ist der Einsatz der Microsoft Komponente Message Queuing erforderlich berwachen mobiler Benutzer Mobile Benutzer sind in der Regel nicht st ndig mit dem Unternehmens netzwerk verbunden Ein Au endienstmitarbeiter nimmt z B f r einen Ter min sein Notebook vom Netz Sobald er sich wieder am Netzwerk anmeldet werden ber die Protokollierung die w hrend der Offline Zeit protokollierten SafeGuard Ereignisse bertragen Die Protokollierung lie fert dem Administrator somit einen genauen berblick ber die
53. pfungen Wenn die Variable f r das Maschinen Identifikationsfeld zu lang ist wird sie zu aufgel st Bei Variablennamen muss die Gro Kleinschreibung nicht beach tet werden Wenn ein Prozentzeichen in der Verkn pfung notwendig ist ver wenden Sie Die Aufl sung von Variablen wird nur einmal w hrend der Installa tion durchgef hrt nicht bei jedem Neustart des Computers 122 9 3 2 Begr ungstext Hier handelt es sich um eine Textbox mit frei konfigurierbarem Inhalt die in der Pre Boot Authentisierung vor der Anmeldung mit den SafeGuard Easy Zugangsdaten erscheint In manchen L ndern ist das Erscheinen ei nes Textfeldes mit bestimmtem Inhalt gesetzlich vorgeschrieben Der Titel kann bis zu 68 Zeichen umfassen der Textblock bis zu 10 Zeilen mit jeweils 70 Zeichen Die Box muss vom Benutzer best tigt werden bevor das System fortf hrt 10 Master Boot Record Eg SafeGuard Easy Administration Datei Ansicht Benutzer Fernzugang Extras Hilfe de Verschl sselung en Benutzer B Token Token Anmeldung EI Wake On LAN Wake on LAN aktivieren Anzahl der automatischen nmeldeversuche B Passworteinstellungen Passwort bei Systemstart abfragen Passworteingabe verdecken Mindestl nge der Passw rter Mindestalter der Passw rter Passwortgenerationen Mindestanzahl der Buchstaben Mindestanzahl der Zahlen Mindestanzahl der Symbole Gro Kleinschre
54. sselt unformatierte oder nicht be kannte Partitionen komplett Bei FAT und FAT32 werden die Systembereiche verschl sselt Bei NTFS wird vom Anfang der Partition bis zum Ende der MFT Master File Table die Partition verschl sselt Twinboot Modus wird nur bei mindestens zwei prim ren Par titionen angezeigt Mit dieser Option werden eine verschl sselte und eine unver schl sselte Partition erzeugt Beide m ssen bootf hige prim re Partitionen sein Wird die verschl sselte Partition gestartet ist kein Zugriff auf die unverschl sselte m glich und umgekehrt Auf diese Art und Weise ist es m glich private und gesch ftliche Daten von einander zu trennen Wenn die verschl sselte Partition gestartet wird muss das Safe Guard Easy Passwort an der Pre Boot Authentisierung eingege ben werden f r die unverschl sselte besteht kein SafeGuard Easy Passwortschutz Weitere Details siehe Twinboot Bootmanager 3 2 Nach der Installation PC neu starten Nach der Installation auch bei der Deinstallation von SafeGuard Easy muss der Rechner heruntergefahren und neu gestartet werden Auch zu diesem Zeitpunkt ge ffnete Applikationen werden ohne Sicherung geschlossen Um Datenverluste zu vermeiden schlie en sie bitte alle aktiven Anwendungen Pre Boot Authentisierung erscheint nach zweitem Neustart Nach dem ersten Neustart ist die Pre Boot Authentisierung noch inaktiv Zu diesem Zeitpunkt sind nur die Rechte verf gbar die d
55. www utimaco de myutimaco Nutzen Sie bitte die Suchfunktion der Wissensdatenbank um nach Stichworten wie Zugangsdaten amp Datenbank zu suchen Die mit SafeGuard Easy gelieferte Datenbank ist eine Microsoft Access Datenbank Sie wird w hrend der Installation vom SafeGuard Easy Server registriert als eine ODBC Datenquelle mit dem Datenquellen Namen DSN SafeGuard Easy Database Die SafeGuard Easy Datenbank nutzt den Standard ODBC Treiber f r Microsoft Access der in Ihre Windows Version integriert ist Da der ODBC Treiber f r Microsoft Access bereits in der Grundeinstellung f r Windows 2000 und Windows XP installiert ist ist es nicht n tig MS Access zu installieren um Zugriff auf die SafeGuard Easy Datenbank zu erhalten Wenn Sie jedoch aus bestimmten Gr nden die Standard Anmeldedaten f r Ihre Datenbank ndern wollen muss Microsoft Access installiert sein um eine Benutzerdaten Datei zu erstellen Eine Microsoft Access Benutzerdaten Datei enth lt Informationen ber Benutzer Passw rter und Gruppenzugeh rigkeit Eine Benutzerdaten Datei hat in der Grundeinstellung die Dateierweiterung MDW und wird von Microsoft auch als Workgroup Information File bezeichnet Eine Microsoft Access Installation erzeugt das Standard Workgroup Information File System mdw und legt es ab unter m MS Access 97 WinNT System32 m MS Access 2000 Programme Gemeinsame Dateien System 450 Das MS Access Tool Wrkgadm exe kan
56. 0002 0100 0101 0102 0103 0104 0105 0106 0107 0108 0109 0110 0111 0112 0113 0114 0115 0116 0117 0118 0119 0120 0121 Fataler Fehler Wiederhole Andere Version von PN oder Crypton bereits installiert Konfigurationsdatei kann nicht gelesen werden Ung ltige Konfigurationsdatei Konfigurationsdatei kann nicht geschrieben werden Der momentan installierte Treiber ist nicht konsistent Treiber bereits installiert Dieses Programm l uft nicht unter amp 0 Backup Datei kann nicht geschrieben werden Backup Datei kann nicht gelesen werden Backup Datei ung ltig Eine zweite Boot Partition kann nicht erzeugt werden Installation auf OS 2 Boot Manager nicht m glich Eine fr here Version von PN oder C CRYPT ist bereits instal liert Letzter Installations Deinstallations oder Updatevorgang nicht beendet Nicht gen gend zusammenh ngenden freien Festplattenspei cher auf der Boot Partition Zugriff auf Treiber Boot Partition nicht m glich Keine Resource Dateien gefunden Resource Datei kann nicht ge ffnet werden Ung ltige oder fehlerhafte Resource Datei Algorithmus Modul fehlt Kernel Modul fehlt PBA Modul fehlt 0122 0200 0201 0202 0203 0204 0205 0206 0300 0301 0302 0303 0304 0305 0306 0307 0308 0309 0310 0311 0312 0320 0321 0322 0500 0501 0502 0503 0999 AUTOUSER kann nicht erzeugt werden Festplatten Struktur kann nicht analysiert werden Festplatten Le
57. Aladdins Token Management System TMS Das Aladdin Token Management System ist ein auf Active Directory basierendes Werkzeug mit dem eToken ausgestellt werden k nnen Ab Version 1 1 bietet das Aladdin TMS die M glichkeit Plug Ins von Drittherstellern zu integrieren Utimaco stellt so ein Plug In zur Verf gung ber das SafeGuard Easy PBA Daten und Windows auf den eToken geschrieben werden k nnen Die Kombination von Aladdins TMS und Utimaco Plug In macht die SafeGuard Token Administration f r das Ausstellen von eToken berfl ssig beide Programme k nnen aber parallel verwendet werden Das SafeGuard TMS Plug in muss separat bestellt werden Eine 10 Benutzer Demo Lizenz wird mit SafeGuard Easy ausgeliefert und steht zum Download zur Verf gung Schneller Benutzerwechsel mit Token Benutzer die die Vorteile der SafeGuard Easy Token Anmeldung nutzen profitieren von einer weiteren Komforteinrichtung Wenn an Mehrbenutzer PCs das SafeGuard Easy Rechteprofil zu wechseln ist z B das Recht Wechselmedienverschl sselung abschalten melden Token Benutzer sich lediglich von Windows ab Der komplette Neustart des PCs samt Neuanmeldung in der Pre Boot Authentisierung wie sonst blich entf llt Hinweis Der schnelle SafeGuard Easy Benutzerwechsel ist nicht zu ver wechseln mit dem gleichnamigen Microsoft Feature Hibernation Suspend to Disk Unterst tzung Gerade mobile Anwender nutzen gerne die M glichkeiten mod
58. Anmeldung per Fingerabdruck ist aber auch m glich ber exter ne USB Tastaturen oder USB Leser SafeGuard Easy verkn pft einen Finger des Benutzers mit SafeGuard Easy Zugangsdaten Es gen gt f r eine Anmeldung also den Finger ber den Leser zu f hren die Anmeldung an SafeGuard Easy erfolgt automa tisch Vorteile einer Anmeldung mit Fingerabdruck m Sicherheit Kein Passwort oder Token zur Anmeldung n tig m Komfort Automatische Anmeldung an SafeGuard Easy und Win dows bzw alle Anwendungen die eine Authentisierung verlan gen HINWEIS Es wird nur ein einziger angeschlossener Fingerabdruck Leser akzeptiert X wird unterst tzt wird nicht unterst tzt Aktion Lenovo Fingerabdruck Leser In der Pre Boot Authentisierung anmelden x3 An SafeGuard Easy Administration anmelden An Konfigurationsdateien anmelden An Windows anmelden x3 Windows Arbeitsplatz sperren Schneller SafeGuard Easy Benutzerwechsel 3 Nur mit Lenovo Thinkvantage Fingerprint Software 16 1 Voraussetzungen m Lenovo PC Lenovo Notebook der Serien 5x oder 6x m aktuelles BIOS wird empfohlen m Lenovo Fingerprint Leser in Notebook USB Tastatur mit Finger print Reader USB Fingerprint Reader m SafeGuard Easy ab Version 4 30 unterst tzte Thinkvantage Fingerprint Software Minimum Thinkvantage Fingerprint Software 5 5 0 Thinkvantage Fingerprint Software 5 60 5 61
59. Boot Authentisierung nie deaktivieren 120 9 3 Identifikation Die Optionen unter Identifikation erlauben in der Pre Boot Authentisie rung frei definierbare Texte einzublenden SafeGuard Easy Maschinen identifikation Rechtlicher Hinweis Das ist der rechtliche Hinweis Weiter mit beliebiger Taste 9 3 1 Maschinen Identifikation Der in diesem Feld eingetragene Name Text erscheint im Pre Boot Au thentisierung Anmeldedialog Wurde bereits ein Maschinenname in den Windows Netzwerkeinstellungen eingetragen wird dieser in der Grund einstellung automatisch bernommen Es k nnen maximal 63 Zeichen eingegeben werden Die Maschinen Identifikation kann auch Verkn pfungen zu Umgebungsvariablen enthalten Diese Verkn pfungen werden bei der Installation aufgel st N tzlich ist dies vor allem bei der Erstellung von Konfigurationsdateien die auf mehreren Arbeitsstationen installiert werden BEISPIEL Der Eintrag in das Feld Maschinenidentifikation Das ist USERDOMAIN Es wird von WINDIR gebootet wird von Windows aufgel st zu Das ist PC1234 Es wird von C WINNT gebootet Es gibt f r alle Betriebssysteme die spezielle Variable COMPUTERNAME Mit dieser wird plattformunabh ngig der Computername eingebunden Die Variable COMPUTERNAME wird immer zum NETBIOS Namen des Computers aufgel st Zus tzlich gelten folgende Regeln Undefinierte Umgebungsvariablen ergeben leere Verkn
60. Console MMC Die MMC ist in der Grundeinstellung in die Betriebssysteme Windows 2000 und Windows XP integriert So rufen Sie das Snap In Gruppenrichtlinie auf 1 Klicken Sie auf Start Ausf hren und tippen Sie mmc ein 2 Die Microsoft Management Console ffnet sich ffnen Sie das Men Konsole w hlen Sie Snap In hinzuf gen entfernen und klicken Sie auf Hinzuf gen 3 Doppelklicken Sie unter Eigenst ndiges Snap In hinzuf gen auf das Snap In Gruppenrichtlinie 4 W hlen Sie Lokaler Computer f r die lokale Protokollierung oder in einer Active Directory Umgebung ber die Durchsuchen Schaltfl che ein Gruppenrichtlinienobjekt Danach wird der Knoten Protokollierung unter Computer und Benutzer konfiguration im Ordner Windows Einstellungen SafeGuard angezeigt Ietorunennine ee vorgang Ansicht e gt lm e aBIe Im Struktur ziele Tl SafeGuard Easy Richtlinien f r Lokaler Computer g Computerkonfiguration E Softwareeinstellungen 2 9 windows Einstellungen SafeGuard E Protokollierung Ziele II SafeGuard Easy 1A Universal Token Interface Skripts Start Herunterfahren E Sicherheitseinstellungen Administrative vorlagen fe Benutzerkonfiguration Softwareeinstellungen 396 29 4 Ereignisse protokollieren F r die Protokollierung der Ereignisse m ssen nacheinander folgende Sch
61. CryptoServer 2000 einge geben und dort sicher gespeichert Den Mitarbeitern des Helpdesk sind diese Passw rter nicht bekannt Der Response Code wird nun innerhalb des CryptoServer 2000 erzeugt Der Helpdesk Mitarbeiter kann auf diese Weise zu gegebenen Benutzerdaten Name Challenge Code einen Response Code erzeugen ohne selbst das Passwort des SafeGuard Easy Administrators zu kennen Jeder Helpdesk Mitarbeiter erh lt dazu vom Systemadministrator des CryptoServer 2000 einen Account Benutzername Passwort auf dem CryptoServer der ihn berechtigt einen Response Code zu erzeugen Dieser Account kann jederzeit gel scht werden z B bei Ausscheiden des Mitarbeiters so dass der betreffende Mitarbeiter nicht l nger in der Lage ist auf den CryptoServer 2000 zuzugreifen Die hardwarebasierende Helpdesk Konsole ist als separates Add on er h ltlich Zentrale Helpdesk Konsole Die zentrale Helpdesk Konsole funktioniert hnlich wie die CryptoServer L sung Auch hier kennen die Helpdesk Mitarbeiter die administrativen SafeGuard Easy Passw rter nicht Bei dieser softwarebasierenden Variante Webinterface ist die Informati on die notwendig ist um eine Response zu erzeugen in einer gesch tz ten mit AES 256 verschl sselten Datenbank auf einem PC gespeichert auf dem der Microsoft Internet Information Service l uft Zum Erzeugen von Response Code authentisieren sich die Helpdesk Mitarbeiter auf der Webseite am Internet Informa
62. Datei installiert werden sollen z B SAL m SafeGuard Easy Parametern ber die z B Konfigurationsdatei en mitgegeben werden einer Konfigurationsdatei f r eine Installation mit der Eigen schaft Installieren BEISPIEL msiexec i F Sgeasy msi qn L I Temp SafeGuard BEasy log ADDLOCAL Sgeasy Encryption SGSAL In stalldir C SafeGuard Easy CFGFILE F Install c fg SafeGuard Easy wird mit Sicherem Automatischen Logon SAL im Verzeichnis C SafeGuard Easy installiert und im Verzeichnis I TEMP muss existieren wird die Protokolldatei SafeGuard Easy log angelegt Die vorkonfigurierten Einstellungen f r SafeGuard Easy befinden sich in der Datei Install c g die mit dem Konfigurationsdateiassisten ten erzeugt wurde Die einzelnen Funktionen unter ADDLOCAL werden nur durch ein Komma und kein zus tzliches Leerzeichen getrennt Achten Sie au erdem auf die Gro Kleinschreibung der einzelnen Funktionen und der SafeGuard Easy Parameter Wenn man eine Funktion ausw hlt muss man auch alle Vaterkomponenten Feature Parents zur Kommandozeile hinzuf gen 4 3 2 Ausgew hlte Optionen des Windows Installers HINWEIS Alle verf gbaren Optionen k nnen ber msiexec exe in der Eingabe aufforderung abgerufen werden i Gibt an dass es sich um eine Installation handelt qn Installiert ohne Benutzerinteraktion und zeigt keine Benutzeroberfl che an ADDLOCAL Lis
63. Easy Treiber so dass nach dem Restore dieses Sys temabbilds Windows weiterhin fehlerfrei verschl sselt bootet Die Siche rungskopie mit SafeGuard Easy und seinen Treibern wird im folgenden kurz SafeGuard Easy Backup genannt Gibt es einen System Crash stellt der Benutzer ber die Notfall Umge bung von Rescue and Recovery den gespeicherten SafeGuard Easy Backup wieder her Vor dem Wiederherstellen werden die SafeGuard Easy Benutzerdaten in der Pre Boot Authentisierung abgefragt Festplat tenschl ssel und Algorithmus sind also vorhanden SafeGuard Easy berlebt einen System Restore ohne dabei die Ver schl sselung zu verlieren und muss nicht neu installiert werden Der Be nutzer kann ohne Unterbrechung nach dem Restore weiterarbeiten und wird nicht durch erneutes Ansto en der Verschl sselung gest rt 24 2 1 Vorteile der Kombination Rescue and Recovery und SafeGuard Easy SafeGuard Easy verschl sselt die komplette Festplatte inklusive tempor rer Dateien Auslagerungsdatei Hibernation und Memory Dump Datei und sch tzt sie durch Abfrage der SafeGuard Easy Zugangsdaten vor unerlaubtem Zugriff Alle Sicherungskopien sind kryptographisch gesichert sobald sie auf einer verschl sselten lokalen Festplatte gespeichert sind Rescue and Recovery stellt ein besch digtes System schnell wie der her ohne SafeGuard Easy neu installieren und die Festplatte erneut verschl sseln zu m ssen Wiederherstellen eines
64. Ein Klick auf eine Spalten berschrift sortiert die Ereignisse nach Typ Kategorie etc ppe e 0 x Vorgang Ansicht e gt am BA T 2 Struktur Richtlinien f r Lokaler Computer inform Arbeitsstation 5301 PBA genen Nicht Konfig B Computerkonfiguration Q alarm Arbeitsstation 5302 PBA Anmeldung fehlgeschlagen Nicht Konfig A Softwareeinstellungen inform Arbeitsstation 5303 Password wurde ge ndert Nicht Konfig B E windows Einstellungen nom Arbeitsstation 5304 CIR Anmeldung Nicht Konfig E SafeGuard nom Client 5001 nderungsanforderung empfangen Nicht Konfig H Q Protokollierung inform Client 5002 nderungsanforderung ausgef hrt Nicht Konfig 3 Ziele inform Client 5003 Arbeitsstation auf OFFLINE Nicht Konfig SafeGuard Easy inform Client 5004 Server zugeordndet Nicht Konfig o Universal Token Interface inform Client 5005 Lokale nderungen Nicht Konfig i Skripts Start Herunterfahren inform Client 5006 Arbeitsstation hat sich registriert Nicht Konfig a Aa ng nom Client 5007 nderungsanforderung importiert Nicht Konfig AI u iak agen inform Client 5008 nderungsergebnis exportiert Nicht Konfig B G Benutzerkonfiguration b A amp Fehler Client 5009 Kein Server definiert Nicht Konfig Softwareeinstellungen N an a 5 A Kritisch Client 5010 Ausnahmeverletzung aufgetreten Nicht Konfig E windows Einstellungen ap
65. Erweiterte Anmeldung Sollten Sie die erforderlichen Rechte nicht besitzen verwenden Sie das Challenge Response Yerfahren um die Deinstallation durchf hren zu k nnen Challenge lt Zur ck Abbrechen Hie 4 Geben Sie Benutzername und Passwort ein Sie m ssen das SafeGuard Easy Recht Deinstallieren besitzen 5 Klicken Sie auf Weiter beginnt SafeGuard Easy nach dem Best tigen der Sicherheitsabfrage automatisch mit der Deinstallation 6 2 Deinstallation mit Challenge Response Wenn ein SafeGuard Easy Benutzer laut seinem Benutzerprofil nicht zur Deinstallation von SafeGuard Easy berechtigt ist kann ihm der Administrator dieses Recht mit Hilfe des Challenge Response Verfahrens gew hren Zu diesem Zweck tauschen Benutzer und Administrator Challenge und Response Code aus Der Erzeuger des Response Codes Administrator muss ein SafeGuard Easy Benutzerprofil auf dem Benutzer PC kennen das ber das Recht zur Deinstallation verf gt Zus tzlich muss dieses Benutzerprofil auf dem Benutzer PC immer wenigstens ber die gleichen Rechte wie der anfragende Benutzer verf gen So deinstallieren Sie SafeGuard Easy mit Challenge Response 1 Der Benutzer leitet die Deinstallation ein siehe Lokale Deinstallation und gelangt in den Dialog Anmeldung an SG Easy 2 Der Benutzer gibt seine SafeGuard Easy Zugangsdaten ein fordert den Challenge Code an und gibt ihn per Telefon SMS oder Mail an den Administrator weiter a
66. Ger te 11 1 Verschl sselung konfigurieren Die Verschl sselungseinstellungen werden in den Verwaltungsprogram men auf der Konfigurationsseite Verschl sselung gesetzt AB Datei Ansicht Benutzer Fernzugang Extras Hilfe Allgemein Algorithmen 83 Boot Manager Diskettenlaufwerke AES 256 9 Vers wechselmedienlaufwerke AES 256 ER Benutzer Festplattenlaufwerke AES 256 B Schl ssel Diskettenlaufwerke Schl ssel Nicht konfiguriert Wechselmedienlaufwerke Schl ssel Nicht konfiguriert Festplattenlaufwerke Schl ssel Nicht konfiguriert B Laufwerke Diskettenlaufwerke Schl ssel Nicht konfiguriert wechselmedienlaufwerke Schl ssel Nicht konfiguriert erke Schl ssel Nicht konfiguriert Dr cke F1 f r Hilfe Partitionsweise keine Laufwerk e num dh 132 11 2 Unterst tzte Festplattenlaufwerke IDE SCSI Festplatten Serial ATA Festplatten hot pluggable Firewire Festplatten hot pluggable USB Festplatten hot pluggable HINWEISE ZUR FESTPLATTENVERSCHL SSELUNG Hot Pluggable Festplatten Alle Festplatten die verschl sselt werden sollen m ssen bei der Installation von SafeGuard Easy bereits mit dem PC verbunden sein Die Erstverschl sselung von hot pluggable Festplatten darf nicht unterbrochen werden Auch beim ersten Neustart nach der Erstverschl sselung m ssen die hot pluggable Festplatten noch angeschlossen sein Nach der Erstverschl sselung kann das Laufwerk nach Bedarf ang
67. Installationen weiterhin booten 42 4 Zentrale Installation Administratoren k nnen die gesamte Konfiguration der Benutzer PCs im Vorfeld der zentralen Softwareverteilung festlegen Der Administrator erstellt f r diesen Zweck an seinem PC eine Datei die alle notwendigen SafeGuard Easy Einstellungen f r die Benutzer PCs enth lt Diese Datei nennt SafeGuard Easy Konfigurationsdatei Mit Hilfe der Konfigurationsdatei wird SafeGuard Easy auf den Benutzer PCs installiert Nachtr gliche nderungen an der SafeGuard Easy Konfiguration sind ber weitere Konfigurationsdateien immer m glich SafeGuard Easy kann in einer Umgebung mit oder ohne Active Directory installiert werden 44 4 1 Konfigurationsdatei erstellen So erstellen Sie eine Konfigurationsdatei 1 Starten Sie den Konfigurationsdateiassistenten ber Programme Utimaco SafeGuard Easy Konfigurationsdateiassistent 2 W hlen Sie als Konfigurationsdateityp Installieren 3 Definieren Sie auf den Verwaltungsseiten des Konfigurationsdateiassistenten die SafeGuard Easy Einstellungen f r die Benutzer PCs Das Endergebnis ist eine Datei mit dem Standardnamen Install c g Die Datei Install cfg ist verschl sselt und enth lt die Passw rter der Benutzer und die Schl ssel f r Festplatten Disketten Wechselmedien Weitere Details siehe Konfigurationsdateiassistent HINWEIS Konfigurationsdateien sollten wie alle Elemente eine
68. Passwort darf m maximal 16 Zeichen haben Ein SafeGuard Easy Passwort darf in keinem Fall m zu 50 oder mehr aus demselben Zeichen bestehen z B aaabba 222122 m Zeichen und oder Ziffern in Folge enthalten z B abcdef 1234567 Tastaturreihen enthalten z B asdfghj mit dem SafeGuard Easy Benutzernamen identisch sein Ausnahme Passwort f r den Benutzer SYSTEM m dem SafeGuard Easy Benutzernamen hnlich sein Ausnahme Passwort f r den Benutzer SYSTEM m dem alten Passwort hnlich sein Der Begriff hnlich sein bedeutet hier dass sich die Zeichenfolge des neuen Passworts in mindestens 20 vom alten Passwort Benutzerna men unterscheiden muss BEISPIEL Der SafeGuard Easy Benutzer USER darf die Passworte U2SER13 U345SER angeben Passworte wie USER1 USERa USERab 12USER IUSERF lehnt SafeGuard Easy ab 166 13 2 Erlaubte Tasten f r das SafeGuard Easy Passwort Das SafeGuard Easy Passwort kann sich aus einer Mischung von alpha numerischen Zeichen und Satzzeichen zusammensetzen SafeGuard Easy akzeptiert m alle Tasten die in der Abbildung mit markiert sind m Die Umschalt Taste und Feststell Taste in der Abbildung mit markiert SafeGuard Easy akzeptiert nicht m die Umschalt Taste wenn die Feststell Taste bereits aktiv ist ma die Alt Taste die Strg Taste m die Num Tasten
69. SafeGuard Easy Zugangsschutz durch Verschl sselung ae Kg lt q Ke 72 O gt Windowse Server 2003 Windows XP Windows 2000 r Ter RSA Enabled Moo v Utimaco Safeware AG 2008 Alle Rechte vorbehalten Kein Teil dieser Dokumentation darf in irgendeiner Form Druck Fotokopie oder einem anderen Verfahren ohne schriftliche Genehmigung der Utimaco Safeware AG f r andere Zwecke als den Eigengebrauch reproduziert oder unter Verwendung elektronischer Systeme verarbeitet vervielf ltigt oder verbreitet werden Die Utimaco Safeware AG beh lt sich das Recht vor die Dokumentation ohne vorherige Ank ndigung jederzeit zu ndern oder zu erg nzen F r Druckfehler und dadurch entstandene Sch den bernimmt die Utimaco Safeware AG keine Haftung CryptoServer und SafeGuard sind eingetragene Marken der Utimaco Safeware AG Windows Windows 2000 Windows XP und Windows Server 2003 sind eingetragene Marken der Microsoft Corporation Patents rights of Ascom Tech Ltd given in EP JP US IDEA is a Trademark of Ascom Tech Ltd Andere in diesem Handbuch erw hnte Marken und Produktnamen sind Marken der jeweiligen Rechtsinhaber und werden hiermit anerkannt Microsoft Windows und das Windows Logo sind Marken der Microsoft Corporation in den Vereinigten Staaten und oder anderen L ndern Utimaco Safeware AG Postfach 20 26 61410 Oberursel Tel 06171 88 0 Fax 06171 88 10 10 inf
70. SafeGuard Easy Das Challenge Response Verfahren unterst tzt den Administrator indem es u a eine bestimmte Anzahl an Anmeldungen erm glicht ohne dass der Benutzer seinen Token ben tigt Der Einsatz von Challenge Response dient also dazu dem Benutzer den Zutritt zum System zu erm glichen wenn der Token nicht verf gbar ist oder das Token Passwort vergessen wurde Durch das Verfahren wird dennoch sichergestellt dass sich nur ein legitimer Benutzer anmelden kann 228 15 13 1 Voraussetzungen F r eine erfolgreiche Hilfe im Notfall muss SafeGuard Easy auf dem Safe Guard Easy Client mit folgenden Token Einstellungen installiert sein Anmeldemodus Wahlweise mit Token siehe Allgemein Authentifizierung Anmeldemodus Anmeldungsart Erforderlich siehe Benutzer lt Benutzername gt Anmeldung HINWEISE Der Benutzer muss die Daten des SafeGuard Easy Benutzers auf seinem PC wissen Ansonsten ist es nicht m glich das Challenge Response Verfahren einzuleiten au er der Administrator teilt dem Benutzer die Daten eines weiteren SafeGuard Easy Benutzers mit m Ein permanentes Deaktivieren der Token Unterst tzung ist ber Challenge Response nicht m glich 15 13 2 Einsatzbeispiele Im folgenden soll beispielhaft dargestellt werden welche Aufgaben Benut zer und Administrator zukommen wenn ein Benutzer den Token vergisst verliert oder das Token Passwort nicht mehr wei F r alle Beispiele m ssen
71. Schl ssel Nicht konfiguriert Schl ssel Ni Festlegen der Laufwerksverschl sselung hl sselung Doppelklicken Sie auf einen Laufwerksbuchstaben erscheint ein Schl sselsymbol Dadurch wird angezeigt dass das Laufwerk die Partition verschl sselt wird 136 Welche Festplatten bzw wieviele Partitionen verschl sselt werden k nnen ist abh ngig vom konfigurierten Verschl sselungsmodus Der Verschl sselungsmodus siehe Verschl sselungsmodus f r eine Arbeitsstation wird w hrend der Installation oder beim Erzeugen einer Konfigurationsdatei mit der Eigenschaft Installieren gesetzt und ist im Nachhinein nicht mehr nderbar 5 Wollen Sie die Verschl sselung ausschalten geschieht dies durch einen erneuten Doppelklick auf den Laufwerksbuchstaben Das Schl sselsymbol verschwindet und die Verschl sselung ist deaktiviert 11 6 Schl ssel Nur ein Benutzer der im Besitz des richtigen Schl ssels ist kann auf verschl sselte Laufwerke zugreifen Ein Schl ssel besteht aus einer Aneinanderreihung von Ziffern Zahlen Buchstaben bestimmte Sonderzeichen und hnlich wie ein Passwort unterliegt auch er bestimmten Regeln Laufwerks Schl ssel m ssen vor der Erstverschl sselung vergeben wer den Sie k nnen bei allen Laufwerken entweder selbst einen Schl ssel be stimmen oder sich vom System einen Zufallschl ssel generieren lassen 11 6 1 Schl sselmanagement Das SafeGuard Easy Schl
72. Verbindung die zwischen SafeGuard Easy Server und SafeGuard Easy Client besteht und somit bestimmen sie auch das Verhalten der Kommunikation zwi schen SafeGuard Easy Server und SafeGuard Easy Client Push ein und Push aus lassen sich mit den anderen beiden Status Standard Online und Offline kombinieren Arbeitsstationen mit dem Attribut Push ein markieren die Arbeitsstationen deren Queues nach Ausf hren eines Kommandos in der Administrationskonsole vom SafeGuard Easy Server sofort abgearbeitet werden sollen Die Status nderung erfolgt ber das Men Arbeitsstation Status n dern zu SafeGuard Easy Administration Konsole Server SERYERO1 Datei Bearbeiten Ansicht Arbeitsstationen Extras Hilfe z Konfiguration anzeigen Gruppen Arbeitsstatione Bene Gruppenzugeh rigkeit konfigurieren Bere Queue Details anzeigen Fernadministration ffnen Zu Gruppen zuweisen Yon Gruppen entfernen Status ndern zu nderung Festlegen Standard Auf anderem Server registrieren Tee Arbeitsstationen l schen Entf Push aus Kernel Backup exportieren Requestdatel exportieren Sobald der Status auf Standard oder Offline eines SafeGuard Easy Clients ge ndert wird reiht SafeGuard Easy einen Status Request in die Warteschleife ein Queue Details Arbeitsstation WKS01 x Requestname Requesttyp Datum Status Fehlerkenn Status n
73. Zugriff auf unverschl sselte Parti tionen m glich auch wenn die verschl sselte Partition gestartet wurde Der Benutzer ben tigt zum ndern der Einstellung das Recht Verschl s selungseinstellungen ndern 190 15 Token Unterst tzung Die Authentisierung mit Benutzername und Passwort gen gt heutzutage oft nicht mehr den Kundenanforderungen nach optimalem Schutz vor An griffen von Dritten Deswegen bietet SafeGuard Easy als Alternative zur traditionellen Anmeldemethode und zur Steigerung der Sicherheit die Anmeldung mit USB Token Die Token Anmeldung basiert auf dem Prinzip der Zwei Faktor Authentisierung Ein Benutzer verf gt ber einen Token Besitz kann den Token aber nur nutzen wenn er das spezifische Token Passwort kennt Wissen Im Anwendungsfall steckt der Benutzer einen Token in die USB Schnitt stelle des PCs Nach dem Start stoppt der PC an der Pre Boot Authenti sierung Es folgt die Abfrage des Token Passworts SafeGuard Easy Ist das Token Passwort korrekt eingegeben werden die SafeGuard Easy Zugangsdaten vom Token gelesen und anschlie end die Anmeldung au tomatisch durchgef hrt Verliert ein Benutzer seinen Token kann der Administrator ber Challenge Response zeitweilig die Anmeldung ohne Token erlauben 15 1 Vorteile einer Anmeldung mit Token m Benutzer m ssen sich nur das Token Passwort merken Die An meldung an SafeGuard Easy und das Betriebssystem berneh men bei ent
74. auf Benutzerrechte erscheinen alle vergebba ren Berechtigungen Der Doppelklick auf ein Recht bewirkt dass dessen Status je nach vorherigem Stand in Erteilt bzw Nicht erteilt umgewan delt wird Benutzerrechte konfigurieren x Die Liste zeigt alle f r den angemeldeten Benutzer verf gbare Rechte an die dem ausgew hlten Benutzerprofil zugeordnet werden k nnen Ausgew hlter Benutzer User Benutzerrechte Q WWechselmedienschliissel tempor r ndern vV Erteilt QG Diskettenschl ssel tempor r ndern v Erteilt G Diskettenverschl sselung schalten M Eiteilt Q Wechselmedienverschliisselung schalten M Eiteilt Q Schl ssel ndern Nicht erteilt Q Verschl sselungseinstellungen ndern L Nicht erteilt g Passwortregeln ndern L Nicht erteilt g Benutzereinstellungen ndern L Nicht erteilt g Boot Manager Einstellungen ndem Nicht erteilt EG Deinstallieren Nicht erteilt Boi e en Medien erlauben Erteilt 7 Aktivierung der Arbeitsstationssperre ndern Nicht erteilt g Arbeitsstationseinstellungen ndern Nicht erteilt EG MBR Einstellungen ndern Nicht erteilt Abbrechen Alle neuen Benutzer besitzen zun chst keine Rechte allein der Benutzer SYSTEM verf gt ber alle Rechte Rechte zu deren Bearbeitung der Benutzer nicht befugt ist sind in der Ansicht nicht dargestellt und k nnen nicht ge ndert werden 162
75. auf Kundenwunsch Partner die darauf spezialisiert sind physikalisch besch digte Laufwerk zu retten der SafeGuard Easy Systemkern besch digt ist Bei geringf gigen Fehlern wie einem berschriebenen MBR repariert Sgeasy exe den MBR oder spielt einen zuvor gesicherten Backup des Systemkerns ein die Initialverschl sselung abgebrochen wurde und Windows nicht mehr gebootet werden kann Wenden Sie sich in diesem Fall an den Utimaco Support die endg ltige Entschl sselung abgebrochen wurde und Windows nicht mehr gebootet werden kann Wenden Sie sich in diesem Fall an den Utimaco Support 350 25 Kompatibilit t zur Computrace Software der Absolute Software Corp Lenovo sch tzt seine neuen Thinkpad Notebooks mit zahlreichen Sicherheitsfeatures u a SafeGuard Easy und SafeGuard PrivateDisk und garantiert seinen Benutzern damit hohe mobile Sicherheit Neben den Produkten der SafeGuard Familie ist auch Computrace der Absolute Software Corp auf verschiedenen Lenovo Notebooks vorinstalliert Computrace hilft ein Notebook im Fall eines Diebstahls wieder aufzusp ren sobald sich der gestohlene PC mit dem Internet verbindet Zudem k nnen auf Wunsch des rechtm igen Nutzers vertrauliche Daten vom gestohlenen Rechner gel scht werden Lenovo integriert Computrace als bereits in die PC Hardware persistent BIOS based Agent Durch die Kompatibilit t mit SafeGuard Easy funktioniert die Computrace Software mit verschl ss
76. automatische Anmeldung entfernen g Gruppenrichtlinie lol x Vorgang Ansicht T e amp EJ Struktur Richtlinie Richtlinien f r Lokaler Computer sy Aktiviert 3 Computerkonfiguration A Softwareeinstellungen E Windows Einstellungen Eigenschaften von SGEasy 2 x 5 Administrative Vorlagen FH Windows Komponenten Richtlinie l Erkl rung E SafeGuard Sgeasy E Authentication E System E Netzwerk E Drucker Benutzerkonfiguration Softwareeinstellungen G windows Einstellungen E Administrative Vorlagen E SGEasy C Nicht konfiguriert Aktiviert C Deaktiviert IV Sichere automatische Anmeldung I Sichere ren mit Utimaco SmartCards IV R cksetzten tempor rer Verschl sselungseinstellungen beim Abme utzung ir Intervall f r re des Clients in Stunden 6 er Ad 17 1 5 SAL Smartcard SAL Daten l schen Wenn Sie Sgsal dat lt Systemlaufwerk gt System32 l schen wer den alle gespeicherten Benutzer Daten entfernt Nach einem Neustart des Rechners k nnen Sie einem SafeGuard Easy Benutzer neue Daten zu weisen Wurde ein SafeGuard Easy Benutzer der bereits eine Verbindung erstellt hat auf einem System gel scht bleibt diese Beziehung beim erneuten Anlegen desselben Benutzers bestehen 256 17 1 6 Restriktion Der SAL ist
77. bspw die Token Anmeldung und setzt sie auf die Standardwerte 8 4 2 Neue Konfigurationsdatei erstellen Mit Hilfe des Konfigurationsassistenten werden Dateien erzeugt die Installation Deinstallation und nderungen ohne Benutzerinteraktion ablaufen lassen Der Konfigurationsassistent erfasst schrittweise die Informationen die eine Datei enthalten soll Neue Konfigurationsdateien werden erzeugt ber Start Programme Utimaco SafeGuard Easy Konfigurationsdateiassistent Best tigen Sie im Assistenten alle richtigen Eingaben mit Weiter Nach dem Start wird zuerst festgelegt zu welchem Zweck die Konfigura tionsdatei erzeugt wird F r eine Installation m F r eine nderung einer bestehenden SafeGuard Easy Installation sog Delta Datei m F r eine Deinstallation SafeGuard Easy Konfigurationsdateiassistent xl Konfigurationsdateityp Bitte w hlen Sie den Konfigurationsdateityp aus C ndern C Deinstallieren lt Zur ck Abbrechen Hie 98 8 4 3 Konfigurationsdatei f r Installation erstellen Die Eigenschaft Installieren erzeugt eine Konfigurationsdatei mit der SafeGuard Easy automatisch auf einem Client installiert werden kann Nach Ausw hlen von Installieren w hlen Sie zuerst ob f r die neue Konfigurationsdatei eine Basiskonfiguration verwendet werden soll Basiskonfiguration SafeGuard Easy Konfigurationsdateiassistent xl Basiskonfigurati
78. die auch bei einer interaktiven Installation ausgew hlt werden k nnen Im Beispieldialog sehen Sie alle Funktionen Features von Sgeasy msi die bei einer angepassten interaktiven Installation w hlbar sind ia SafeGuard Easy Client 4 50 2 Setup Funktionen ausw hlen W hlen Sie die zu installierenden Funktionen aus Verschl sselung Funktionsbeschreibung E z Sicherer automatischer Logor Installiert ein komplettes System f r die amp r Server Anbindung Verschl sselung von Laufwerken Evz SmartCard Auto Logon einschliesslich Pre Boot Authentisierung am E7 FIPS Mode Rechner ZM Administrationswerkzeuge Diese Komponente wird auf der lokalen E z SafeGuard Easy Logging Festplatte installiert Konfigurationsdatei Assistent Diese Funktion erfordert 15MB auf Ihrer Response Code Assistent Festplatte Sie hat 4 von 4 Unterfunktionen amp r Token Unterst tzung f r Adm aktiviert Diese Unterfunktionen erfordern a 3854KB auf Ihrer Festplatte Utimaco Safeware AG Datentr gerkosten Abbrechen Installierbare Funktionen Features mit Sgeasy msi Funktion Feature Vaterkomponente Feature Parent Beschreibung Sgeasy Installiert alle notwendigen Datei en f r SafeGuard Easy Nach einem automatischen Neustart sind die Funktionen Encryption SGSAL usw nicht aktiv Sie k nnen nachtr glich per Kommandozeile aktiviert werden oder manuell ber Systemsteuerung Programm
79. die erstmalige Anmeldung vom Administrator mitge teilt Meldet sich der Benutzer das erste Mal an muss er diese Zugangs daten am Anmeldebildschirm eingeben Danach wird er aufgefordert einen neuen Benutzernamen und ein neues Passwort einzugeben mit dem er sich bei der n chsten Anmeldung auch identifizieren muss Eine Schablone kann entweder zum Umbenennen oder Kopieren eines Benutzers dienen Schablone umbenennen Wollen Sie sicherstellen dass sich nur genau ein Benutzer per Schablone an SafeGuard Easy anmeldet bspw bei mobilen Desktops f r Au en dienstmitarbeiter weisen Sie der Schablone das Attribut Umbenennen zu Die Schablone wird mit den neuen Benutzerdaten berschrieben Eine Anmeldung mit den bekannten Zugangsdaten ist nicht mehr m glich da sie durch den angemeldeten Benutzer ersetzt wurden Schablone kopieren Wird das Attribut Kopieren gew hlt so wird der neue Benutzernamen zu den SafeGuard Easy Benutzern hinzugef gt aber die Schablone bleibt weiterhin bestehen Weitere Benutzer k nnen sich mit den Zugangsdaten der Schablone anmelden Sind SYSTEM und USER voreingestellt k n nen noch maximal 13 Benutzer neu angelegt werden Aus Sicherheitsgr nden wird empfohlen die Schablonen nur zum Umbe nennen zu verwenden 12 6 6 Ablaufdatum Das Ablaufdatum bestimmt die maximale G ltigkeitsdauer f r ein SafeGuard Easy Benutzerprofil Sie k nnen einen Stichtag oder einen Zeitraum festlegen an
80. efeGuard Easy Passwort ein Passwort CT Abbrechen Sgeasy 7 Der Windows Desktop erscheint 8 PC neu starten 9 Die Pre Boot Authentisierung erscheint SafeGuard Easy Benutzerdaten eingeben SafeGuard Easy Benutzername User SafeGuard Easy Passwort WinSecurity Windows Kennwort Benutzer ID E 10 Der PC bootet keine Anmeldung an Windows mehr n tig 11 Der Windows Desktop erscheint 262 17 2 5 Windows Kennwort ndern bei aktiver Passwortsynchronisierung ACHTUNG Auf das neue Kennwort werden die Kennwortrichtlinien von Windows angewandt und nicht die SafeGuard Easy Regeln Fall 1 Benutzer ndert Windows Kennwort lokal ber den Dialog Windows Sicherheit Strg Alt Entf Windows Sicherheit Anmeldeinformationen user ist angemeldet als AST YM GER user Anmeldedatum 03 12 2004 13 46 08 Verwenden Sie den Task Manager um eine nicht reagierende Anwendung zu schlie en 5 uter sperren Abmelden Herunterfahren Germain ne e Ergebnis Das neue Windows Kennwort gilt sofort f r Windows und SafeGuard Easy Fall 2 Administrator ndert Windows Kennwort zentral oder per Fernwartung Ergebnis Das neue Kennwort gilt nur f r Windows aber nicht f r SafeGuard Easy So synchronisieren Sie das alte SafeGuard Easy Passwort und das neue Windows Kennwort 1 Nach einem Neustart tr gt der Benutzer das alte Passwort an der Pre Boot Au
81. effektiv wie m glich einzusetzen m ssen bereits vor der Installation umfangreiche Vorkehrungen getroffen werden Lesen Sie die nachfolgende Auflistung bitte sorgf ltig durch und vergewissern Sie sich dass Sie alle Punkte ber cksichtigt haben Erstellen Sie bitte vor der Installation von SafeGuard Easy einen kompletten Backup Ihrer Datentr ger Alle Festplatten die verschl sselt werden sollen m ssen bei der Installation von SafeGuard Easy bereits mit dem PC verbunden und eingeschaltet sein Die Partitionen Ihrer Festplatte sollten vollst ndig formatiert und ei nem Laufwerksbuchstaben zugeordnet sein Wechselmedienlaufwerke oder USB Speichersticks m ssen nicht am PC angeschlossen sein wenn SafeGuard Easy installiert wird Untersuchen Sie die Festplatte n auf Fehler Chkdsk Weitere Informationen zu diesem Thema erhalten Sie in der Utimaco Wissensdatenbank http www utimaco de myutimaco Nutzen Sie bitte die Suchfunktion der Wissensdatenbank um nach Stichworten wie Dateisystem oder NTFS zu suchen Schalten Sie bitte alle aktiven Virenscanner f r die Dauer der In stallation Deinstallation aus noch besser ist eine Deinstallation Wenn Sie einen Bootmanager benutzen ziehen Sie eine Neuin stallation des Systems ohne Bootmanager in Betracht m Wenn die Daten mit Hilfe eines Clone Tools Drive Image Ghost auf die Festplatte gebracht wurden empfehlen wir den MBR neu zu schreiben Die Ins
82. eine Administrationskonsole gesteuert Die Administrationskonsole verwaltet eine zentrale Datenbank die die Konfi gurationseinstellungen der SafeGuard Easy Clients beinhaltet Dar ber hi naus werden zus tzliche Daten wie z B gew nschte nderungen an Konfigurationseinstellungen ebenfalls in der Datenbank abgespeichert Die zentrale Administration von SafeGuard Easy ben tigt folgende Kom ponenten m Den SafeGuard Easy Server im folgenden SafeGuard Easy Server genannt mit der SafeGuard Easy Datenbank SafeGuard Easy Datenbank m Die SafeGuard Easy Administrationskonsole die die Datenbank auf dem Server kontrolliert SafeGuard Easy Administrationskons ole m SafeGuard Easy Client PCs SafeGuard Easy Clients SGE Adminkonsole SGE Datenbank 8 Verschl sselte Kommunikation Die zentrale SafeGuard Easy Datenbank sammelt verschiedene Informationen ber die SafeGuard Easy Clients Der SafeGuard Easy Administrator nutzt die Administrationskonsole um die Datenbankinhalte zu steuern und nderungsw nsche in Form von sogenannten Requests zu erstellen Die SafeGuard Easy Clients lesen mit Hilfe eines Netzwerkagenten die Konfigurations nderungen ber den Server aus der Datenbank und berichten erfolgreiche nderungen an den Server der bei erfolgreicher nderung die neuen Konfigurationseinstellungen in der Datenbank abspeichert Die Kommunikation mit dem SafeGuard Easy Server bernimmt der SafeGuard Easy Server Pro
83. erinnern oder diese selbst durchzuf hren Diese Aufgabe bernimmt im Rahmen der zentralen Administration ein Autobackup Mechanismus Er veranlasst den SafeGuard Easy Client nach einer erfolgreichen Registrierung eine Systemkernsicherung an den SafeGuard Easy Server zu senden Auch nach Eingriffen in die SafeGuard Easy Konfiguration z B ber ausgef hrte Konfigurationsdateien erzeugt der SafeGuard Easy Client die Sicherung sendet sie an den Server und berschreibt die alten Daten Der Autobackup garantiert dass der Administrator in Notfallsituationen unabh ngig ist von vorhandenen nicht vorhandenen Benutzersicherungen 31 10 1 Systemkern eines SafeGuard Easy Clients im Verzeichnis BACKUPS ablegen In der Grundeinstellung legt SafeGuard Easy den gesicherten Systemkern eines SafeGuard Easy Clients in das SafeGuard Easy Verzeichnis der Ma schine auf der die SafeGuard Easy Datenbank liegt i d R der SafeGuard Easy Server Dort wird eigens ein BACKUPS Verzeichnis erzeugt in das die Systemkerne kopiert werden Die Zuordnung der Sicherungen zu den Arbeitsstationen ist sehr einfach Der Dateiname setzt sich aus dem Na men der registrierten Arbeitsstation und der Erweiterung BAK zusammen N D SafeGuard Sgeasy BACKUPS lolx Ele Edit view Favorites Tools Help Back gt search Eyrolders History Ex A Er a wkso1 bak 65KB BAK File LE My Computer HE 3 Floppy A H E Win
84. fort bernommen 31 8 6 Request l schen Solange ein Request noch nicht erfolgreich ausgef hrt wurde k nnen un gewollte nderungen wieder r ckg ngig gemacht werden Zu diesem Zweck muss der Request aus Warteschleife herausgenommen werden W hlen Sie im Men Requests Request l schen wird ein markierter Request gel scht und aus der Warteschleife entfernt 31 8 7 Warteschleife anzeigen In der allgemeinen Warteschleife Men Arbeitsstation Queue details findet man alle Requests die f r SafeGuard Easy Clients bestimmt sind deren aktuellen Status erfolgreich ausgef hrt fehlgeschlagen sowie Zeitangaben dar ber wann der Request erstellt wurde Queue Details Arbeitsstation WKS01 x Rlequestname Requesttyp Datum Status Fehlerkenn Status ndern 1110985088 Status 16 03 2005 15 58 08 Erfolgreich 0 Neuer Benutzer Helpdesk nderung 16 03 2005 15 57 57 Fehlgeschlagen 1132 nderung festlegen Aus Da nderung 16 03 2005 15 56 13 Erfolgreich 0 nderung festlegen Erstelle nderung 16 03 2005 15 55 48 Erfolgreich 0 HINWEIS Die Schaltfl che L schen ist aktiv wenn keiner der selektierten Queue Eintr ge auf Wartend steht Die Request spezifische Warteschleife Men Requests Arbeitsstatio nen listet auf mit welchen Arbeitsstationen ein markierter Request ver bunden ist Arbeitsstationen anzeigen Request nderung festlegen Erstellen 1110888619
85. fr her gemachte Einstellung bleiben Aktiviert Die Einstellungen werden bernommen Deaktiviert Die Einstellungen werden aktiv entfernt 116 9 Pre Boot Authentisierung Ef SafeGuard Easy Administration loj x Datei Ansicht Benutzer Fernzugang Extras Hilfe Be Fa GHEAT E Token i Verschl sselung Token Anmeldung ohne Token i en Benutzer E Wake On LAN Wake on LAN aktivieren Nein Anzahl der automatischen nmeldeversuche 0 Passworteingabe verdecken Nein Mindestl nge der Passw rter 6 Mindestalter der Passw rter 30 Passwortgenerationen 4 28 Mindestanzahl der Buchstaben 0 Mindestanzahl der Zahlen 0 Mindestanzahl der Symbole 0 Gro Kleinschreibung verwenden 0 B Verbotene Passw rter E Identifikation Maschinen Identifikation AST VM GER Begr ungstext Begr ungstext Master Boot MBR Schutz Men anzeigen MBR Aktionen MBR Aktionen Dr cke F1 F r Hilfe Partitionsweise keine Laufwerk e verschl ss NUM INS y Bei der Pre Boot Authentisierung handelt es sich um eine Anmeldefunk tionalit t die eine Authentisierung vor dem Bootprozess verlangt Weitere Informationen ber die Pre Boot Authentisierung lesen Sie bitte unter Systemstart und Anmeldung nach Definiert werden die Pre Boot Authentisierung Einstellungen ber die Konfigurationsseite ALLGEMEIN 9 1 Sprache der Pre Boot Authentisierung nachtr glich ndern Der Anmeldebil
86. hlen Sie Fernprotokoll RemoteLog wenn die Ereignisse auf einer anderen Arbeitsstation abgelegt werden sollen Nur verf gbar in Kombination mit dem Basismodul von SafeGuard Advanced Security Ziel W hlt ber Suchen die Protokolldatei bzw der Arbeitsstation aus zu der die Ereignisse bermittelt werden Die Anzahl der anlegbaren Ziele ist unbegrenzt 400 29 4 3 Ziell schen Ben tigen Sie ein Ziel nicht mehr k nnen Sie dieses aus der Zielliste ent fernen Klicken Sie mit der rechten Maustaste auf das Ziel das Sie entfernen wol len W hlen Sie den Befehl L schen und best tigen Sie die Sicherheits abfrage HINWEIS Sobald ein Ziel gel scht wird wird allen damit verbundenen Ereignis sen der Status Deaktiviert zugewiesen 29 4 4 Ziel kopieren Kopiert werden Ziele zwischen verschiedenen Gruppenrichtlinienobjekten GPOs ber die Kontextmen befehle Kopieren Einf gen des Ordners Ziele mit Drag amp Drop Alle in einer GPO bisher vorhandenen Ziele werden berschrieben 29 5 Ereignisse ausw hlen Jedes Produkt der SafeGuard Familie reiht unter der Protokollierung ver schiedene Ordner ein die vordefinierte Ereignisse f r jedes der installier ten Produkte beinhalten So konfigurieren Sie Ereignisse und ordnen diese definierten Zielen zu 1 Klicken Sie auf einen der Ordner unter Protokollierung 2 Imrechten Bildschirmfeld erscheinen verschiedene Spalten
87. muss zwingend in SafeGuard Easy ge setzt sein Mindestalter der Passw rter 0 258 4 Passwortsynchronisierung einschalten Registry Key setzen wie unter Passwortsynchronisierung einschalten beschrieben und den PC neu booten 5 SafeGuard Easy Anmeldekomponente Utimaco Master GINA aktivieren Bei einer SafeGuard Easy Standardinstallation wird die Utimaco Master GINA immer installiert und muss nicht zus tzlich aktiviert werden Wird die Utimaco Master GINA allerdings im Rahmen einer zentralen Verteilung von SafeGuard Easy explizit augeschaltet ist die Passwortsynchronisierung nicht m glich 17 2 3 Passwortsynchronisierung einschalten F r die Aktivierung der Passwortsynchronisierung m ssen nderungen in der Windows Registrierungsdatenbank Registry vorgenommen wer den Die Registrierungsdatenbank ist ber den Registrierungseditor regedit bzw zentrale Mechanismen zu bearbeiten So schalten Sie die Passwortsynchronisierung ein 1 Registrierungseditor regedit ffnen 2 Im Registry Zweig HKEY_LOCAL_MACHINE SOFTWARE Utimaco Sgeasy der DWORD Wert Wert PasswordSync anlegen 3 Den Wert von PasswordSync von 0 ausgeschaltet auf 1 eingeschaltet setzen 4 Registry verlassen und PC neu starten 17 2 4 Passwortsynchronisierung durchf hren 1 Alle Vorbereitungsma nahmen f r Passwortsynchronisierung durchf hren Bitte diese SafeGuard Easy Einst
88. nach Dr cken von Strg Alt Entf und Computer sperren m nach Ablauf einer eingestellten Zeit ohne Bedienung Wartezeit m durch Ziehen des Token F r die Arbeitsplatzsperre erscheint dasselbe Hintergrundbild wie w hrend der Anmeldung dieses kann aber ge ndert werden siehe Hintergrund Bitmap in der Windows Anmeldung austauschen 282 18 1 Voraussetzungen Die Arbeitsplatzsperre funktioniert nur wenn m die Pre Boot Authentisierung aktiviert ist m der Benutzer ber den SAL automatisch an das Betriebssystem angemeldet wurde der Windows Bildschirmschoner mit Kennwortschutz eingeschaltet ist Nachtr glich ausgeschaltet wird die SafeGuard Easy Arbeitsplatzsperre wenn sich ein Benutzer nach erfolgreicher Anmeldung von Windows ab meldet und wieder anmeldet 18 2 Windows Bildschirmschoner mit Kennwortschutz aktivieren Die SafeGuard Easy Arbeitsplatzsperre wird in den Windows Einstellun gen ber Programme Systemsteuerung Anzeige Bildschirmschoner gesteuert Der PC muss nach Konfigurieren des Windows Bildschirmschoners neu gestartet werden Eigenschaften von Anzeige i xl Hintergrund Bildschirmschoner Darsteltung Web Effekte Einstellungen r Bildschirmschoner aD FlowerBox OpenGL 7 Einstellungen Testen Wartezeit 54 Minuteln r Energiesparfunktionen des Monitors Klicken Sie auf Energieverwaltung um die Energieeinstellungen f r den Monitor anzupasse
89. r Anmeldung erforderlich Ein Token ist immer erforderlich Verwendung eines Tokens ist abh ngig vom ar zumeldenden Benutzer r Token ustellungmode bei Anmeldung lt Zur ck Abbrechen Hite m Token f r Anmeldung benutzen Legt fest ob die Token Unterst tzung aktiviert wird oder nicht 62 m Token f r Anmeldung erforderlich Bestimmt ob sich alle SafeGuard Easy Benutzer mit Token an melden m ssen oder nur ausgew hlte Benutzer Token ist immer erforderlich Diese Option bedeutet dass SafeGuard Easy die Token Anmeldung f r alle SafeGuard Easy Benutzer einer Arbeitssta tion erzwingt HINWEIS Beim Verlust des Token ist keine tempor re Anmel dung per Challenge Response m glich Verwendung eines Token ist abh ngig vom anzumeldenden Benutzer Diese Option erlaubt gr tm gliche Flexibilit t da einem SafeGuard Easy Benutzer je nach Bedarf die Tokennutzung gew hrt bzw wieder entzogen werden kann auch nach der Installation von SafeGuard Easy m Token Ausstellungsmodus bei Anmeldung Legt fest wer berechtigt ist SafeGuard Easy Zugangsdaten auf einen Token zu schreiben Ausstellung immer erlaubt SafeGuard Easy Benutzer darf den Token immer ausstellen Externe Erlaubnis erforderlich Helpdesk ist involviert in Ausstellungsprozess Challenge Response Verfahren Keine Ausstellung durch den SGE Nutzer erlaubt SafeGuard Easy Benutzer darf keine Daten auf de
90. startet der Benutzer die Rescue and Recovery Umgebung Diese er scheint wenn beim Booten des PCs Notebooks diese Tasten gedr ckt werden m Thinkvantage Access IBM bei Lenovo Notebooks die Blaue Eingabetaste bei Lenovo Desktop PCs F11 bei sonstigen Tastaturen Hinweis zu Rescue and Recovery 2 0 Utimaco empfiehlt generell beim Restaurieren die komplette Festplatte wiederherzustellen Wenn Sie jedoch versehentlich die Option Nur das Windows Betriebssystem und Applikationen aus einem Backup wiederherstellen gew hlt haben garantiert Utimaco nicht dass die SafeGuard Easy Dateien vollst ndig restauriert werden Treten in diesem Fall Probleme beim Booten auf m ssen Sie jedoch keine negativen Folgen f r ihr System bef rchten Rufen Sie nach einem Neustart einfach ber die Lenovo Tasten ihres PCs oder Notebooks die Rescue and Recovery Umgebung auf und stellen Sie die komplette Festplatte wieder her 24 8 1 Boot Umgebung SafeGuard Easy erlaubt das Booten der Rescue and Recovery Umgebung von m Lokaler Festplatte Virtuelle Partition auf der lokalen Festplatte oder lokale Service Partition SafeGuard Easy erlaubt das Booten der Rescue and Recovery Umgebung NICHT von m Bootf higer CD m Bootf higer USB Festplatte Wird die Rescue and Recovery Umgebung trotzdem von einem externen Medium gebootet wird SafeGuard Easy w hrend des Restore Prozesses entfernt Um das System wieder abz
91. tempor r ausgeschaltet wenn sich ein Benutzer per Challenge Response ber die Option Einmalige Anmeldung anmeldet Die Einmalige Anmeldung erlaubt einem Benutzer sich in der Pre Boot Authentisierung von SafeGuard Easy anzumelden ohne das SafeGuard Easy Passwort zu kennen Wenn nun einem Benutzer die Einmalige Anmeldung in der Pre Boot Au thentisierung gestattet wurde wird er sie nicht automatisch an Windows angemeldet auch wenn der SAL aktiviert ist In diesem Fall stoppt das Be triebssystem am gewohnten Windows Anmeldedialog und verlangt g ltige Windows Daten Alle Aktionen werden nun unter dem Namen des ange meldeten Windows Benutzers aufgezeichnet Nach jeder weiteren regul ren Anmeldung mit SafeGuard Easy Zugangs daten in der Pre Boot Authentisierung wird der SAL und die automatische Windows Anmeldung wie gewohnt ausgef hrt 17 2 Identisches Passwort f r Windows und SafeGuard Easy Passwortsynchronisierung Die SafeGuard Easy Funktion Passwortsynchronisierung hilft die Wahrscheinlichkeit vergessener Passworte zu reduzieren indem sie das Windows Kennwort zum Passwort f r SafeGuard Easy macht D h der Benutzer muss sich nur noch ein Passwort merken n mlich das von Windows und kann sich damit an SafeGuard Easy und das Betriebs system anmelden Ist zus tzlich der Sichere automatische Logon SAL eingeschaltet ge n gt es das Windows Passwort in der Pre Boot Authentisierung einzu tragen
92. tzung der ThinkVantage Client Security Integration 54 Installierbare Funktionen Features mit Runtime msi Parameter Vaterkomponente Beschreibung RuntimeSys Installiert ein Laufzeitsystem Installierbare Funktionen Features mit Server msi Funktion Feature Vaterkomponente Feature Parent Beschreibung Server Installiert den SafeGuard Easy Server inkl Protokollierung SgeServer Server Installiert den SafeGuard Easy Server RemAdmSupport Server Installiert die Unterst tzung f r Remote Administration AdmConsole Server Installiert die Administrationskonsole 4 4 2 SafeGuard Easy Parameter HINWEIS Alle Parameter in Gro buchstaben in die Kommandozeile eintragen AUTOBACKUP 0 1 Definiert ob der Assistent f r die Notfalldiskette zum Erzeugen einer Sys temkernsicherung automatisch nach einer erfolgreichen Installation star ten soll In der Grundeinstellung startet AUTOBACKUP automatisch AUTOBACKUP 1 CFGFILE lt Konfigurations Migrationsdatei gt Definiert den kompletten Namen einer SafeGuard Easy Konfigurationsda tei f r eine Installation Migration KERNELDRV lt Name des Laufwerks C D gt Definiert das Laufwerk auf dem der SafeGuard Easy Systemkern gespei chert wird In der Grundeinstellung ist es das Windows Bootlaufwerk Ein Laufwerk zu bestimmen auf dem der Systemkern gespe
93. umfassen muss Sie k nnen den gew nschten Wert der Zeichen entweder direkt eingeben oder durch Bet tigen der Richtungstasten ver gr ern bzw verkleinern Es kann ein Wert zwischen einem und 16 Zei chen eingegeben werden 12 6 2 Token Anmeldung Diese Einstellung legt fest ob sich ein Benutzer mit Token anmelden muss oder nicht Diese Option ist nur w hlbar wenn w hrend der Installation die Token Unterst tzung mit der Option Wahlweise installiert wurde Details zur Token Unterst tzung lesen Sie unter Token Unterst tzung nach 12 6 3 Standardbenutzer Ein Standardbenutzer meldet sich sobald eine Authentisierung verlangt wird nur mit seinem SafeGuard Easy Passwort an Alle andere Benutzer m ssen sich mit Passwort und Benutzernamen anmelden siehe Erwei terte Anmeldung ber die Taste F2T Mit Ausnahme von SYSTEM kann jeder SafeGuard Easy Benutzer als Standardbenutzer definiert werden 12 6 4 Verk rzten C R Code erzeugen Diese Funktion eignet sich besonders f r Unter Systemverwalter die f r die Fernwartung per Challenge Response zust ndig sind Die Eigenschaft Verk rzten C R Code erzeugen beeinflusst die L nge des Response Codes der w hrend eines Challenge Response Verfahrens ausgetauscht wird Benutzer mit der Eigenschaft Verk rzten C R Code erzeugen und der Benutzer SYSTEM erzeugen kurze Response Codes mit nur 30 Zeichen w hrend von regul ren SafeGuard Easy Benutzer
94. unbekannter Benutzername f r Walz Abbrechen Verbinden als Kennwort 2 Stellen Sie ber die Computerverwaltung erneut eine Verbindung zum Benutzer PC her M Vorgang Ansicht e mml mii Verbindung zu anderem Computer hersi ml Alle Tasks gt m Liste exportieren 3 W hlen Sie den Benutzer PC aus Computer ausw hlen Ei Suchen in EP DEVELOPMENT i4 Semo2 DEVELOPMENT Semos DEVELOPMENT GSE DEVELOPMENT m 4 ffnen Sie die Token Administration ber die Computerverwaltung des Administrator PCs Vorgang Ansicht amp gt Bla System Datenspeicher Dienste und Anwendungen SafeGuard BE ADM Settings Viewer 1 Token Administration Pe IR AKS ifdh 0 No Public amp User amp amp 5 Melden Sie sich mit dem Administrator Passwort Security Officer PIN an den Token des Benutzers an Sie k nnen nun eine neue Benutzer PIN vergeben Token deblockieren etc 234 16 Mit Lenovo Fingerabdruck Leser anmelden Benutzer m ssen sich heutzutage unterschiedliche Ziffernkombinationen merken um Zugang zu ihrem Notebook PC zu erhalten Im Unterschied zu einem Token oder Passwort ist ein Fingerabdruck einmalig und kann nicht erraten Passwort oder vergessen Token werden Fingerabdruck Leser sind direkt in bestimmte Lenovo Notebooks inte griert Die
95. werden Die m gliche Kommandozeilensyntax zeigt der Befehl SGECRYPT an x G SGECRYPT Anzeige dieser Hilfe SGECRYPT SYSTRAY Anzeige des Icons in der Task Leiste SGECRYPT DRIVE lt Laufwerksname gt ON OFF L FLOPPYKEY lt Schl ssel gt L DEVICEKEY lt Schl ssel gt IDRIVE lt Laufwerksname gt ON OFF Verschl sselung Ein bzw Ausschalten JFLOPPYKEY lt Schl ssel gt Setzen eines Diskettenschl ssels Setzen des Systemschl ssels wenn nichts nach dem angegeben wird DEYICEKEY lt Schl ssel gt Setzen des Ger teschl ssels Setzen des Systemschl ssels wenn nichts nach dem angegeben wird Hinweis Sie m ssen diesen Parameter in Hochkommas eingeben wenn der Schl sselname Leerzeichen enth lt Beispiele Yerchl sselung f r Laufwerk A einschalten und Diskettenschl ssel abcde SGECRYPT DRIVE A ON FLOPPYKEY abcde Verschl sselung f r Laufwerk B einschalten und Diskettenschl ssel a b c d e SGECRYPT DRIVE B 0N FLOPPYKEY a b c d e Verschl sselung f r Laufwerk F ausschalten und Ger teschl ssel Systemschl ssel SGECRYPT DRIVE F OFF DEVICEKEY 21 5 Hinweise zur Disketten und Ger teverschl sselung Schl ssel und Algorithmus Verschl sselt wird ein Datentr ger sowohl mit Schl ssel als auch mit Algorithmus Informieren Sie sich bitte welche Algorithmen f r Disketten und oder Wechselmedienlaufwerke auf der jeweiligen Arbeitsstation verwe
96. wird wenn installiert entfernt m Die urspr ngliche Windows Anmeldung wird wieder hergestellt wenn SAL Smartcard SAL installiert war m Alle SafeGuard Easy Dateien werden gel scht Alle Registrierungseintr ge von SafeGuard Easy werden entfernt In der Grundeinstellung kann SafeGuard Easy nur vom Benutzer SYSTEM deinstalliert werden Generell darf aber jeder SafeGuard Easy Benutzer das Programm von einer Arbeitsstation entfernen der das Recht zur Deinstallation besitzt HINWEIS Versuchen Sie nicht SafeGuard Easy durch L schen der Dateien zu entfernen Wird SafeGuard Easy nicht korrekt deinstalliert bleiben Ein tr ge in der Registrierungsdatenbank bestehen Eine nochmalige In stallation von SafeGuard Easy k nnte deswegen m glicherweise fehl schlagen In diesem Fall sollten Sie das Betriebssystem des Rechners neu installieren 6 1 Lokale Deinstallation So deinstallieren Sie SafeGuard Easy 1 W hlen Sie nacheinander Start Programme Einstellungen Systemsteuerung Software und dann den Eintrag SafeGuard Easy oder Server Runtime 2 Klicken Sie auf Entfernen 3 Klicken Sie auf Weiter im Willkommenbildschirm Es erscheint der Dialog Anmeldung an SafeGuard Easy Anmeldung an SafeGuard Easy Bitte geben Sie den Benutzernamen und das Passwort ein Sie ben tigen die erforderlichen Rechte um SafeGuard Easy zu deinstallieren Benutzername amiter Passwort IV
97. wird die Pfadan gabe korrigiert und eine Dateisystemanalyse durchgef hrt 70 d Stellt den CRAREA Registrierungseintrag wieder her ltere Versionen von SafeGuard Easy hatten Probleme diesen Registrierungseintrag w hrend der Installation zu erzeugen Wenn der Registrierungseintrag nicht vorhanden ist kann es zu Problemen bei Deinstallation und Update zu neuen Versionen kommen SGelnteg d stellt den Eintrag wieder her unter HKEY_LOCAL_MACHINE SOFTWARE Utimaco SGEasy CRAREA ien Behebt ein Problem mit Rescue and Recovery RnR Beim Update zur aktuellen SafeGuard Easy Version kann bei installiertem RnR folgendes Problem auftreten Das Programm SGEDemon exe erscheint nach jedem Neu start und bricht anschlie end wieder ab Da SGEDemon nach dem Update nur einmal zur Anzeige einer Warnmeldung n tig ist kann es ohne negative Folgen deaktiviert werden SGelnteg len entfernt SGEDemon exe aus HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run N Aktiviert Verbose Modus Der Verbose Modus gibt ausf hrlichere Status Fehlermeldungen auf dem Bildschirm aus ly Aktiviert unbeaufsichtigten Modus Alle Dialoge werden automatisch mit JA best tigt 6 Deinstallation Eine Deinstallation von SafeGuard Easy zieht folgende Wirkungen nach sich m Alle bislang verschl sselten Bereiche der Festplatte n werden entschl sselt m Die Pre Boot Authentisierung
98. wird im gew hlten Verzeichnis angelegt Beispiel f r Kommandozeile msiexec i D Sgeasy msi CFGFILE D SGEmig cfg qn Spezialfall Zentrale Administration Wenn ein SafeGuard Easy Client nach dem Update ber die SafeGuard Easy Administrationskonsole zentral administriert werden soll vergessen Sie nicht die entsprechenden Funktionen ServerCon und Parameter SERVER in die Kommandozeile mit aufzunehmen z B msiexec i D Sgeasy msi ADDLOCAL Sgeasy Encryption ServerCon CFGFILE D SGEmig cfg SERVER Server0l qn 66 HINWEIS Die Serveranbindung kann nach dem Update nicht mehr nachtr glich aktiviert werden sondern erfordert eine Neuinstallation von SafeGuard Easy Nach dem Update Nach dem Update erfolgt ein Neustart und die Migration ist abgeschlossen 5 3 Systemkern Pr fung beim Update F r ein erfolgreiches Update muss der SafeGuard Easy Systemkern intakt sein Ab Version 4 20 1 pr ft SafeGuard Easy dies vor jedem Update und der Benutzer erh lt einen Hinweis im Setup Dialog Ihr Dateisystem wird gerade analysiert bitte warten Sie Ist der Systemkern in Ordnung verl uft das Update problemlos Ist der Systemkern nicht in Ordnung erscheint am Bildschirm eine Feh lermeldung die auf m gliche Probleme hinweist und das Ausf hren eines Reparaturprogramms SGElnteg vor dem Update empfiehlt 5 3 1 Was passiert wenn der Systemkern nicht in Ordnung ist 1 SafeGuard Easy Update
99. 00000s0s0000s0s0000000000 1 4 nderungen zu Vorg ngerversionen u 1 5 Systemvoraussetzungen esssosssseesennnensersesnnnne 1 6 Dokumentation 00000000000s000s0ssnsnssesenennnn0nn 1 7 Allgemeine Hinweise 000000000000000nsennnnnnn0n 1 8 Lizenzhinweise essseessseosssessesssseesssoessssossessssees 11 13 14 17 17 18 E Schri 1 rste Schritte 19 2 1 Installation vorbereiten 00rs rer 000re rer 0000 2 2 Installationsvoraussetzungen s00s00ssense00ee 2 3 Installierbare Module essseseeesesssseecsssssssesssssesoe 2 4 Sprache der Benutzeroberfl che 19 21 22 23 Lokale Installation er0s00e00eeeee nen 25 3 1 Schritt f r Schritt Anleitung 00000000000000 3 1 1 Verschl sselungsmodus 00000000000000000 3 2 Nach der Installation s err00ss rer 00e rer 00 3 3 Verschl sselungsfortschritt 00000000000000 3 3 1 _Verschl sselungsfortschritt ausschalten 3 3 2 _Verschl sselungsgeschwindigkeit definieren sus re 3 4 Hintergrund Bitmap in der Windows Anmeldung AUSTAUSCHEN sn itisto senis a EERE E Sii 26 31 33 35 35 36 39 3 5 SafeGuard Easy auf einem PC mit mehreren Betriebssystemen installieren 0000000 41 Zentrale Installation ese0se0eseen en 43 4 1 Konfigurationsda
100. 2 1 Erweiterte Anmeldung ber die Taste F2 79 7 3 Mit Token anmelden rs00eer00eererre rer ee BO 7 4 SafeGuard Easy Passwort ber die Taste F10 ANIEM iiti riis na a e 81 7 5 Vergessene Passw rter ber die Taste F9 zur cksetzen ueeseessesssssssnnnnensnsensnnssssssnssnnnnssnnnne B2 7 6 Fehlgeschlagene Anmeldung 00000 83 7 7 Anmeldung mit Pre Boot Authentisierung ber die Taste F2 erzwingen 0 000000000sneeennn B4 7 8 Automatische Anmeldung an das Betriebssystem 00000000000000000sssseen00e B5 7 9 Kompatibilit t mit Anmeldekomponenten anderer Hersteller sseessessesseessossossssssssessessesse B Verwaltung im berblick 2 2000 0 89 8 1 Funktionstrennung 000000ssseeesesseessnsnnnnnne BY 8 2 Administration und Konfigurationsdatei assistenten starten rusrrsseesonsssnsnsensennnnnne 91 8 3 Die Administration sseesssessseossssossssossesesseessse 92 8 3 1 Administrations Fenster 40rrsr0ee re ee 93 8 3 2 Symbol und Werkzeugleiste 000 000 95 8 4 Konfigurationsdateiassistent 0000000 96 8 4 1 _Konfigurationsdateien aus lteren SafeGuard Easy Versionen wiederverwenden 97 8 4 2 Neue Konfigurationsdatei erstellen 98 8 4 3 _Konfigurationsdatei f r Installation erstellen 99 8 4 4 Konfigurationsdatei zur Deinstallation erstellen se
101. 27 6 1 Voraussetzung 2c222c0sseeeeseeneneneenensnsnsssnnene 387 27 6 2 Vorgehensweise nesssssssssessssssnssnnnnee 388 97 6 3 Hinweise 389 27 6 4 Was tun wenn esssessssssssessssessssesssoesssessssoose 390 28 29 30 Systemstatus von SafeGuard Easy anzeigen 391 28 1 i 391 8 1 Reporfting sessesesissseesssessennsssnsssssennssnnnessntese 28 2 Parameter seesseeseessesssssosssssesseeseesseeseeseesssssssse SQP Protokollierung eessssseesssessssssssssssssesssssesese 393 29 1 Anwendungsgebiet eeessesserersseresesssssssresssese 394 29 2 Protokollierung installieren 00 395 29 3 Protokollierung konfigurieren 396 29 4 Ereignisse protokollieren rs r00er0000000 397 29 4 1 Ziel festlegen 000000000sseesssssssssssssnnnne 397 29 4 2 Neues Ziel erzeugen 0000r00reeereenennnnnnne 398 29 4 3 Ziel l schen esreeesessssssssssssnssssssssnennnnen 400 29 4 4 Ziel kopieren enereseererererereeeeennsnnsnssenunenee 400 29 5 Ereignisse ausw hlen e00000sseessnnerecennnnn 401 29 5 1 Alle Ereignisse konfigurieren 403 29 5 2 Ansicht ndern 00000ssseseeerseeseennnnnn 404 29 6 Protokollierte Ereignisse ansehen crcreseeeeeeeeesesenensnnsnsnssssssssssnssnsenenenene A05 29 6 1 Ereignisanzeige Event Log 000 0 406 29 6 2 Protokolld
102. 6 bits DES 7 bytes 56 bits 3DES 21 bytes 168 bits IDEA 16 bytes 128 bits Blowfish 8 32 bytes 256 bits Blowfish 16 32 bytes 256 bits STEALTH 40 6 8 bytes 48 64 bits XOR 8 bytes 64 bits AES 128 Der Advanced Encryption Standard AES ist ein Verschl sselungsalgo rithmus welcher den DES Algorithmus ersetzt F r diesen Algorithmus wurde vom National Institute for Standards and Technology USA der Al gorithmus Rijndael ausgew hlt Es handelt sich dabei um einen sehr schnellen und sicheren Verschl sselungsalgorithmus AES 128 arbeitet mit einem 128 Bit Schl ssel AES 256 Dieser Algorithmus entspricht dem AES 128 Algorithmus arbeitet jedoch mit einem 256 Bit Schl ssel und 128 bit Blockl nge Rijndael 256 Dieser Algorithmus ist eine spezifische Implementierung des AES 256 Er entspricht dem AES 256 verf gt jedoch ber 256 bit Blockl nge IDEA IDEA International Data Encryption Algorithm wurde Anfang der 90er Jahre entwickelt Es ist ein symmetrischer Verschl sselungsalgorithmus der mit einem 128 Bit Schl ssel arbeitet Er wird heutzutage als sicher an gesehen sowohl in Bezug auf mathematische Verfahren als auch auf Schl ssell nge und gilt als u erst resistent gegen ber allen Angriffen der Kryptoanalyse DES DES Data Encryption Standard wurde in den 70er Jahren entwickelt und verwendet eine Schl ssell nge von 56 Bit 3DES Triple DES Triple DES oder verk rzt 3DES ist eine Weite
103. ALTH 40 XOR und XOR SB I A B durchgef hrt werden Der Schl ssel wird nach seiner Definition verschl sselt und aus Sicherheitsgr nden nicht im System abgelegt Er wird jeweils beim Booten aus einem auf der Festplatte gespeicherten Code und dem SafeGuard Easy Passwort des Benutzers neu generiert Neben der Verschl sselung von maximal vier Festplatten k nnen wahl weise auch nur die Systembereiche oder einzelne Partitionen verschl s selt werden Unterst tzt werden folgende Dateisysteme FAT 12 FAT 16 FAT 32 HPFS NTFS und NTFS5 Die Anzahl der verschl sselbaren Par titionen einer Festplatte ist auf acht begrenzt 130 Zur Feinabstimmung des Zugriffsschutzes auf Ihrem System empfehlen wir Ihnen folgende Module aus der SafeGuard Produktfamilie m Anwendungsspezifische Zugriffsrechte ASAR Realisiert ein 3 dimensionales Sicherheitskonzept das es erm g licht explizite Rechte zwischen den Benutzern Daten und Anwen dungen zu spezifizieren Dies stellt einen Schutz gegen die Bedrohung durch bestimmte sogar momentan noch unbekannte Viren dar und implementiert ein hohes Ma an Sicherheit auch in unverwaltetem Code oder Umgebungen mit gemischten Windows Versionen Plug amp Play Management PnP Benutzer k nnen beliebige PnP Ger te wie z B USB Speicher sticks anstecken und sofort nutzen Das PnP Management er m glicht einen kontrollierten Datenimport export auf Speichermedien auf Klassenebene und f r einzelne
104. Ansicht Benutzer Fernzugang Extras Hilfe age sar Computer a 8 E Algorithmen Verschl sselung Diskettenlaufwerke AES 256 en Benutzer Wechselmedienlaufwerke AES 256 Festplattenlaufwerke AES 256 E Schl ssel Diskettenlaufwerke Schl ssel Nicht konfiguriert Konnte mit diesem SafeGuard Easy Benutzer keine erfolgreiche Anmeldung durchgef hrt werden wird der Benutzer zur Eingabe g ltiger Benutzerdaten aufgefordert 504 33 Fehlermeldungen In diesem Kapitel finden Sie eine Liste aller Fehlermeldungen Da bei je der Fehlermeldung von SafeGuard Easy die Fehlernummer angezeigt wird k nnen Sie den gesuchten Kommentar leicht finden Alle Fehlermeldungen haben folgendes Format SGEnnnn lt Erkl rung des Fehlers gt SafeGuard Easy ist die Produkt ID von SafeGuard Easy nnnn eine vierstellige Fehlernummer F r bestimmte SafeGuard Easy Fehler erhalten Sie zus tzliche Infor mation in der Utimaco Wissensdatenbank http www utimaco de myutimaco Hier finden Sie ausf hrliche Informationen zu folgenden SafeGuard Easy Fehlermeldungen 0104 0113 0400 0401 0404 1048 1062 1074 1089 1104 1109 1121 1123 1244 1254 1264 1274 1306 1315 1509 1602 Nutzen Sie bitte die Suchfunktion der Wissensdatenbank um nach Stichworten wie Fehlermeldungen Error message oder der Fehler nummer zu suchen 506 Produktspezifische Fehler 0001
105. Arbeitsstation optimal abzusichern ist es ratsam die Disketten und Ger teverschl sselung von SafeGuard Easy einzuschalten Manche Situationen erfordern allerdings ein flexibles Handhaben des Verschl sse lungsmechanismus SafeGuard Easy erm glicht die Verschl sselung von Disketten und Wechselmedienlaufwerken ein bzw auszuschalten und f r die Dauer ei ner Anmeldung eigene Schl ssel zu definieren Die tempor ren Einstel lungen werden nach der Abmeldung des angemeldeten Windows Benutzers wieder zur ckgesetzt und es gelten wieder die Systemeinstel lungen Voraussetzung f r das zeitweilige Wechseln der Verschl sselungseinstel lungen ist dass eine Authentisierung mit SafeGuard Easy Benutzerdaten in der Pre Boot Authentisierung stattgefunden hat und die Verschl sse lung f r Disketten Wechselmedien aktiviert ist Um Probleme zu vermeiden beachten Sie bitte Hinweise zur Disketten und Ger teverschl sselung 298 21 1 Notwendige SafeGuard Easy Rechte Voraussetzung f r das Schalten der Verschl sselung ist dass der Benutzer ber die entsprechenden SafeGuard Easy Rechte verf gt Ob ein Benutzer die Verschl sselung von Disketten oder Wechselmedienlaufwerken schalten darf wird in den SafeGuard Easy Benutzereinstellungen unter dem Punkt Rechte definiert siehe_ Benutzerrechte Folgende Benutzerrechte sind n tig F r das Schalten der Verschl sselung Diskettenverschl sselung
106. Aufzeichnung sicherheitsrelevanter Vorf lle ist Voraussetzung f r eine gr ndliche Systemanalyse Anhand der protokollierten Ereignisse k nnen Vorg nge auf einer Arbeitsstation bzw innerhalb eines Netzwerks exakter nachvollzogen werden Durch die Protokollierung k nnen z B Schutzver letzungen unautorisierter Dritter nachgewiesen werden Dem Administra tor bietet die Protokollierung auch eine Hilfe um irrt mlich verwehrte Benutzerrechte ausfindig zu machen und zu korrigieren Die Protokollierung zeichnet Ereignisse auf die installierte SafeGuard Produkte ausl sen Der Benutzer mit den entsprechenden Rechten kann die protokollierten Ereignisse entweder direkt ber die Windows eigene Ereignisanzeige einsehen oder sie f r Archivierungszwecke in eine selbst definierte Datei exportieren Protokolliert werden Daten entweder lokal oder per Fernprotokollierung zu einer zentralen Arbeitsstation geschickt Zus tzlich zur reinen Protokollierung gibt es einen Filtermechanismus der hilft relevante Ereignisse auszuw hlen Folgende SafeGuard Easy Ereignisse zeichnet die Protokollierung auf m Ablauf des Anmeldevorganges an der Pre Boot Authentisierung erfolgreich fehlgeschlagen m Adhministrationst tigkeiten Erzeugen eines Benutzers etc m Abl ufe bei einer zentralen Administration Client wurde Server zu geordnet etc m Erfolgreiche fehlgeschlagene Ausf hrung von Konfigurationsda teien m Installations Deinstallationsvorg
107. BM Embedded Security Subsystem Enhanced CSP ForceCSPUsage DWORD Wert Der Wert muss auf 1 gesetzt werden ForceCSPUsage bernimmt auch die Erzeugung von Zufallsschl sseln Auf einem PC mit installiertem SafeGuard Easy das Tool SGTpmApn exe aufrufen und die verschl sselte Datei mit dem Administrator Passwort f r den ESS TPM Chip erstellen Wenn der Standardname dieser Datei umbenannt wird in der Windows Registrierung des Clients unter HKEY_LOCAL_MACHINE SOFTWARE Utimaco SGEasy folgenden Eintrag angelegen ESSAdminPassword Zeichenfolge Als Wert muss die Datei mit dem Administrator Passwort eingetragen werden z B D Programme Utimaco SafeGuard Easy AdminPW dat 4 Verschl sselte Datei zusammen mit den SafeGuard Easy Paketen an die Clients verteilen Die Datei mit dem Administrator Passwort muss im SafeGuard Easy Installationsverzeichnis liegen Unmittelbar vor der RSA Schl sselgenerierung startet SafeGuard Easy einen Monitor der das Administrator Passwort aus der Datei liest den Passwort Dialog des ESS CSP automatisch bef llt und die Datei anschlie end l scht Nach der Installation von SafeGuard Easy wird das RSA Schl sselpaar automatisch erzeugt und der Benutzer muss keine weiteren Konfigurati onseinstellungen durchf hren Einstellungen f r Client Security Software CSS gt 6 0 Ab CSS Version 6 0 wird das Administrator Passwort bei einer interaktiven RSA Schl sselgenerierung nich
108. Benutzer aktivit ten w hrend der betreffende Computer nicht ans Netzwerk angeschlossen war 29 2 Protokollierung installieren Um die SafeGuard Easy Protokollierung zu installieren aktivieren Sie das Feature SafeGuard Logging w hrend der SafeGuard Easy Client Installa tion 1 Starten Sie Sgeasy msi im Client Verzeichnis der Produkt CD 2 Wenn der Dialog Funktionen ausw hlen angezeigt wird aktivieren Sie neben den bereits ausgew hlten Funktionen das Modul SafeGuard Easy Logging Setzen Sie den Installationsvorgang fort ia SafeGuard Easy Client 4 50 2 Installation Funktionen ausw hlen w hlen Sie die zu installierenden Funktionen aus utimaco I Installiert SafeGuard Easy Protokollierung die x Administrationswerkzeuge sicherheitsrelevante Ereignisse aufzeichnet SafeGuard Easy Logging Die Funktion bietet auch einen Konfiqurationsdatei Assistent Filtermechanismus Response Code Assistent Diese Komponente wird auf der lokalen amp r Token Unterst tzung f r Adn Festplatte installiert Diese Funktion erfordert 2563KB auf Ihrer Festplatte pS Funktionsbeschreibung Verschl sselung Durchsuchen Utimaco Safeware AG Datentr gerkosten Abbrechen 3 Starten Sie nach Abschluss der Installation Ihren Computer neu 29 3 Protokollierung konfigurieren Administriert werden alle Einstellungen f r die Protokollierung mit Hilfe des Snap In Gruppenrichtlinie in der Microsoft Management
109. Bootmedium starten und auf die PC Daten zugreifen nachdem g ltige SafeGuard Easy Zugangsdaten in der Pre Boot Authentisierung eingetragen wurden Als Bootmedien unterst tzt SafeGuard Easy MS DOS Windows 9x Boot disketten und Boot CDs USB Sticks f r DOS und Windows PE Wichtig ist dass die Bootmedien die SafeGuard Easy Treiber enthalten Die Boot Methode ist empfehlenswert um im Notfall Daten zu sichern bevor das Betriebssystem repariert bzw SafeGuard Easy per Notfall Deinstallation entfernt wird 27 6 1 Voraussetzung Das Booten von einem externen Medium ist ein administratives SafeGuard Easy Recht das in der Grundeinstellung nur dem SafeGuard Easy Benutzer SYSTEM gew hrt ist Soll das System von einem externen Medium gestartet werden muss das in der Pre Boot Authentisierung angemeldete SafeGuard Easy Profil ber das Recht Booten von externen Medien erlauben verf gen Benutzerrechte konfigurieren x Rechteliste Die Liste zeigt alle f r den angemeldeten Benutzer verf gbare Rechte an die dem ausgew hlten Benutzerprofil zugeordnet werden k nnen Ausgew hlter Benutzer User Benutzerrechte A Wechselmedienschlissel tempor r ndem V Erteilt A Diskettenschliissel tempor r ndern vl Erteilt Q Diskettenverschl sselung schalten v Erteilt Q WWechselmedienverschliisselung schalten v Erteilt Q Schl ssel nde
110. Client importiert die Request Datei mit SGETrans siehe auch Konfigurationsupdate auf Offline Client einspielen mit SGETRANS s a SafeGuard Easy SgeTrans IEI x Anderungs oder Report Datei Yaweso Jeq Import nderung nderungsdatei Reportdatei Export Report me 6 SafeGuard Easy teilt dem Benutzer des Offline Clients mit ob die nderungsdatei erfolgreich ausgef hrt wurde Gleichzeitig wird auf dem Offline Client ein Report Datei Dateierweiterung REP erzeugt die der Benutzer an den SafeGuard Easy Administrator schickt 7 Der SafeGuard Easy Administrator importiert die Report Datei in die Administrationskonsole ber das Men Datei Report Datei importieren SafeGuard Easy Administration Konsole Reportdatei importieren Offline 8 ber die Warteschleife oder die Eigenschaftenseite der Arbeitsstation sieht der SafeGuard Easy Administrator ob die nderungen erfolgreich ausgef hrt wurden Queue Details Arbeitsstation WKS01 nderung festlegen Erstelle nderung 04 03 2005 14 25 05 Eitogreich Status ndern 1109941869 Status 04 03 2005 14 11 09 fgreic 490 31 9 7 Konfigurationsupdate auf Offline Client einspielen mit SGETRANS Das Programm SGETrans dient als Schnittstelle f r den Austausch von Request und Report Dateien bei der Arbeit mit Offline Clients SGETrans istim SafeGu
111. Clients nach der SafeGuard Easy Installation ge ndert erkennt der Server den Client nicht mehr Als Fol ge muss der alte SafeGuard Easy Client Eintrag aus der SafeGuard Easy Datenbank gel scht werden und der Client neu registriert werden Servernamen nachtr glich angeben Wenn der Servername noch nicht bekannt ist kann er nachtr glich mit Standard Windows Mechanismen zentral am Client angepasst werden denn es handelt sich um einen Eintrag in Utimacos administrative Vorlage Sie finden die Richtlinie unter Computerkonfiguration Administrative Vorlagen SafeGuard SGEasy Auf der Eigenschaftenseite von SGEasy ist unter Name des Servers der aktuelle SafeGuard Easy Server einzutragen Vorgang Ansicht e 2 Elm E Struktur Einstellung Richtlinien f r Lokaler Computer Aktiviert a Computerkonfiguration E Softwareeinstellungen F Windows Einstellungen 5 Administrative Vorlagen F windows Komponenten Eigenschaften von SGEasy xl Richtlinie Erkl rung SafeGuard E SGEasy Sgeasy amp Authentication E A A System Nicht konfiguriert Netzwerk Aktiviert Drucker C Deaktiviert Re Benutzerkonfiguration E Softwareeinstellungen Windows Einstellungen amp Administrative Vorlagen IV Anzeige der Hintergrund Bitmap im WinlLogon Desktop I Sichere a
112. D ist abh ngig vom BIOS Support des PC 27 4 Bootf higen Notfall USB Stick erstellen Der USB Stick muss auf Ihrem System bootf hig sein So erstellen Sie einen bootf higen Notfall USB Stick 1 USB Stick so vorbereiten dass er bootf hig ist 2 SafeGuard Easy Notfalldateien auf den Stick kopieren Das erfolgreiche Booten ber USB Stick ist abh ngig vom BIOS Support des PC 27 5 Notfallstart durchf hren Tritt ein Systemfehler bei verschl sselter Festplatte auf gehen Sie folgen derma en vor 1 PC starten und von Notfalldiskette CD USB Stick booten 2 Das Notfallprogramm Sgeasy exe aufrufen wenn es nicht automatisch gestartet wird 3 SafeGuard Easy Zugangsdaten in den Anmeldebildschirm eingeben Angaben mit OK best tigen SafeGuard Easy 4 Es erscheint dann ein Men mit den Punkten Deinstallieren Sichern Restaurieren Reparieren 380 SafeGuard Easy Werkzeuge Deinstallieren Entschl sseln und Systemkern deinstallieren Systemkern in eine Datei sichern Systemkern aus Sicherungsdatei restaurieren Systemkern suchen und reaktivieren 27 5 1 Systemkern restaurieren Das Restaurieren des Systemkerns setzt das Vorhandensein eines g lti gen Systemkerns der Arbeitsstation voraus Wenn es eine Sicherung gibt werden der MBR und der SafeGuard Easy Systemkern einfach anhand dieses Datenbackups auf der Arbeitsstation wiederhergestellt Diese Funktion darf nicht ausgef hrt we
113. Diese Datei ist an den Administrator zu bermitteln und in die Administrationskonsole zu importieren eine ent sprechende Import Funktion steht dort zur Verf gung 484 Nach dem Import sieht der Administrator ob die Konfigurations nderun gen erfolgreich waren indem er die Eigenschaften des Offline Clients auf ruft Ein Client kann nur vom Offline in den Standardmodus wechseln wenn er mit der die Option Server Anbindung installiert und der SafeGuard Easy Servername mitgegeben wird Das Austauschen von Request Report Dateien ist nicht nur auf Offline Clients beschr nkt F llt etwa die Netzwerkverbindung zwischen SafeGu ard Easy Clients und SafeGuard Easy Server aus k nnen Konfigurations nderungen den nicht erreichbaren Clients mit diesem Verfahren mitgeteilt werden bis die Clients wieder zentral administrierbar sind 31 9 3 Status Push ein Ein SafeGuard Easy Client kann gezwungen werden seine Einstellungen vor allen anderen Clients mit dem Server zu synchronisieren Dies kann eintreffen wenn ein Benutzer einen Konfigurationswunsch hat oder der Administrator sofortige nderungen auf den Client berspielen muss Mit arbeiter verl sst das Unternehmen und der Zugriff auf den Client muss ge sperrt werden Damit der SafeGuard Easy Server wei welcher SafeGuard Easy Client gemeint ist erh lt der SafeGuard Easy Client ber das Men Arbeitsstati onen Status ndern zu Push ein das Attribu
114. E ZUR WECHSELMEDIENVERSCHL SSELUNG m Anschluss nach der Installation m glich Wechselmedien m ssen bei der Installation von SafeGuard Easy nicht angeschlossen sein Ausnahmen sind m glich wenn z B ein USB Speicherstick nicht mit dem Standard Microsoft Treiber zu sammenarbeitet sondern einen eigenen verlangt m Erstverschl sselung Wechselmedien werden nicht erstverschl sselt sie werden for matiert sobald die Verschl sselung eingeschaltet wird jederzeit nach der Installation von SafeGuard Easy m SG Eject Wechselmedienlaufwerke werden wie Festplatten behandelt so fern nicht entsprechende vom Hersteller des Laufwerks stammen de Software verwendet wird Ist ein Wechselmedienlaufwerk verschl sselt k nnen nur Benutzer mit Windows Administrator rechten ein eingelegtes Medium auswerfen lassen Benutzer ohne Administratorrechte m ssen SG Eject benutzen Zu finden ist SG Eject im Kontextmen des Laufwerkes 11 5 Laufwerke verschl sseln Im folgenden Beispiel verwenden wir die Festplattenverschl sselung f r Disketten und Wechselmedienlaufwerke ist die Vorgehensweise iden tisch 1 Algorithmus f r das Festplattenlaufwerk ausw hlen 2 Schl ssel definieren 3 Unter Laufwerke auf Festplattenlaufwerke doppelklicken SafeGuard Easy Administration Allgemein Boot Manager Schl ssel Nicht konfiguriert Schl ssel Nicht konfiguriert Schl ssel konfiguriert
115. ENG master sa Z SGE_SQLSRY sql a SsuH tt BegA m O master ha 5a ee ttttt Object Database SGEASY Tg 004 10 37 49 AM ttrrr r IF EXISTS SELECT name FROM master hren HERE name N SGEASY DROP DATABASE SGEASY Datei Bearbeiten Abfrage Extras Fenster 5 Nach Ausf hren des Skripts den SQL Enterprise Manager aufrufen ber Programme Microsoft SQL Server Enterprise Manager 6 In Ihrem SQL Server wurde eine leere SafeGuard Easy Datenbank mit Namen SGEASY erzeugt Mi SQL Server Enterprise Manager Konsolenstamm Microsoft SQL Servers SQL Server Gruppe AST YM W2K ENG fil Konsole Fenster vergeng ansicht Etras Amene N o EB Struktur C Konsolenstamm AST vM w2K ENG windows NT 6 Elemente Datenbanken Data Verwaltung Replikation Sicherheit Transforma B g Microsoft SQL Servers 28 SQL Server ciuppe EEE 6 a Datenbanken E 8 master 3 model 3 msdb 3 Northwind ogm pats Transformation Services verwaltung Replikation sicherheit 7 Wenn nicht bereits w hrend der SQL Server Installation geschehen In der Baumstruktur den eigenen SQL Server w hlen im Beispiel AST VM W2K ENG Windows NT und ber das Kontextmen die Eigenschaften Seite anzeigen lassen Unterst tzu Meta Data Services fh Konsole Fenster 2 Vorgang ansicht Extras e gt BE E ARIE
116. Guard Easy Viruswarnung angezeigt wird M gliche Gr nde daf r sind 1 Sie haben einen Virus auf Ihrem System Kontaktieren Sie bitte umgehend Ihren Systemadministrator 2 Sie haben vergessen nach der Installation Modifikation oder Deinstallation von Rescue and Recovery den MBR mit dem Kommando MBRsync exe Zu synchronisieren SafeGuard Easy erkennt Modifikationen am MBR und reagiert darauf in der Standardeinstellung mit einer Men anzeige siehe Master Boot Record Wenn Sie sich sicher sind dass die Meldung durch Rescue and Recovery ausgel st wurde w hlen Sie im Men bitte bernehmen Nur der Benutzer SYSTEM sieht die Men anzeige das Dateisystem besch digt ist Hier gen gt in der Regel ein einfaches Einspielen einer Sicherungskopie mit SafeGuard Easy mit Rescue and Recovery Alternativ kann die Festplatte ber die Notfalldiskette und das DOS Tool Sgeasy exe entschl sselt werden Deinstallation von SafeGuard Easy Die Festplatte ist dann wieder im Klartext vorhanden und kann mit blichen Tools f r die Daterettung bearbeitet werden Darf der Benutzer aufgrund fehlender Rechte SafeGuard Easy nicht deinstallieren hilft das SafeGuard Easy Challenge Response Verfahren und erteilt dem Benutzer tempor r das Recht dazu die Festplatte physikalisch besch digt ist Wenn die Festplatte physikalisch besch digt ist und nicht einmal mit Sgeasy exe entschl sselt werden kann kontaktiert Utimaco
117. Guard Easy Benutzers auf dem SafeGuard Easy Client ber einstimmen Zus tzlich muss das Rechteprofil des Erstellers es erm gli chen dass die angegebenen nderungen auf dem Client ausgef hrt werden d rfen Requests werden gem ihres Erstellungsdatums in eine Server Warte schleife eingereiht und warten dort auf Abholung durch den Client Clients holen immer zuerst den Request mit dem ltesten Erstellungsdatum ab 31 8 1 Requests erstellen Neue Requests k nnen f r einzelne SafeGuard Easy Clients oder f r Gruppen erstellt werden Kommt ein SafeGuard Easy Client in mehreren Gruppen vor wird der Request trotzdem nur einmal ausgef hrt Neue Request werden ber den Befehl nderung festlegen erzeugt der sowohl im Men Arbeitsstation als auch im Men Gruppen zu finden ist Datei Bearbeiten Ansicht Arbeitsstationen Extras Hilfe Konfiguration anzeigen Beschreibung ndern Gruppenzugeh rigkeit konfigurieren ae Queue Details anzeigen Fernadministration ffnen Gruppen Arbeitsstatione Zu Gruppen zuweisen Yon Gruppen entfernen Status ndern zu gt nderung f gen Erstellen Auf anderem Server registrieren Aus Datei laden Arbeitsstationen l schen Entf Kernel Backup exportieren N Nach dem Aufruf von nderung festlegen w hlt der Benutzer zwischen Erstellen Erzeugt einen neuen Request m Aus Datei laden Verwendet bestehende Konfigurationsdatei als Request
118. L sungen verf gbar Die webbasierte Passwort Selbsthilfe ist als separates Add on erh ltlich Umfangreiche Passwort Regeln SafeGuard Easy bietet eine Vielzahl von Optionen zur Durchsetzung spe zieller Passwort Regeln in der Pre Boot Authentisierung z B eine konfi gurierbare Liste verbotener Passw rter erweiterte Regeln f r Sonderzeichen Passwort UID etc Firmeninterne Regelvorgaben k nnen sehr gut abgebildet werden Protokollierung in Pre Boot Authentisierung und Betriebssystem SafeGuard Easy protokolliert sicherheitsrelevante Ereignisse wie zum Beispiel fehlgeschlagene Anmeldeversuche in der Pre Boot Phase und leitet diese sp ter an die Windows Ereignisanzeige oder optional ber eine Zusatzkomponente an einen zentralen Server zur Auswertung weiter Somit k nnen Angriffe schneller erkannt und Zust nde einfacher diagnos tiziert werden Optionale zentrale Administrationsdatenbank Neben der bew hrten Verteilung von Konfigurationsdateien steht als wei tere Option eine eigene zentrale Administrationssoftware f r SafeGuard Easy zur Verf gung die Systemkernsicherungen Verteilung von Konfigu rationsdaten und die Integration von Offline Clients bernimmt SafeGuard Easy unterst tzt als Standard Datenbanktyp neben Microsoft Access auch den Microsoft SQL Server um Informationen ber SafeGuard Easy Cli ents zu speichern Die zus tzlich verf gbare Remote Administration erlaubt dar ber hinaus einen einzelnen Cli
119. Mindestanzahl der Symbole 1 Gro Kleinschreibung verwenden 2 Ergebnis m AAaa12 darf verwendet werden m aaAA123 darf verwendet werden m 3456 wird abgelehnt m AAB1 wird abgelehnt Bereits bestehende Kennw rter von Benutzern gelten weiterhin auch wenn sie nicht mehr den Vorgaben entsprechen Die Regeln greifen erst wenn der Benutzer sein Passwort ndert 13 5 Verbotene Passworte Verbotene Passworte definieren bestimmte Zeichenfolgen deren Verwen dung im SafeGuard Easy Passwort ausgeschlossen ist Jedes neue Pass wort wird gegen die Liste verglichen und nur angenommen wenn es nicht enthalten ist Sie k nnen eine bereits bestehende Liste importieren oder verbotene Passworte selbst eintragen 13 5 1 Verbotene Passworte definieren Doppelklicken Sie auf Passw rter geben Sie unter Verbotene Passw r ter definieren nicht erlaubte Ziffernkombinationen ein und trennen Sie sie mit STRG Eingabe Konfiguration Yerbotener Passw rter 1 f P rtliste Importieren Passwortlist txt Importieren In die Liste sollten triviale Passworte wie Test System Benutzer usw ein getragen werden Alle Passworte die einem verbotenen Passwort hnlich sind werden abgelehnt Der Begriff hnlich sein bedeutet hier dass sich die Zeichenfolge des Passworts in mindestens 20 vom verbotenen Passwort unterscheiden muss Steht bspw tester in der Liste darf der Benutzer als Passwort test
120. NOWN i INSTALLED lt NOT READY FOR BACKUP gt N A i number N A i STANDARD i PAR ONED BOOT PROTECTION i UNKNOWN 1 NZA i ON N A ON N A ON N A i INAC Uersion number Installation Mode Disk Encryption Floppy Encryption Removable Media Encryption Initial Encryption N A ON N A WAKE ON LAN N A ON N A i ON NZA lt UNMANAGED gt i OFFLINE i server Pre Boot Authentication urrent Authentication Secure Auto Logon Secure Smartcard Auto Logon SGE Management Server Return code ReturnCode VLD IThe details are displayed in LANDesk mode VE Extended return code En Decryption in process SafeGuard Easy installed Floppy Encryption ONY Disk Encryption ONY 2 Installation Mode Boot Protection 16 Chex 18 Installation Mode Partitioned 32 Chex 28 Installation Mode Standard 64 Chex 46 only one mode is possible 16 32 or 64 YMvalue value mask for extended return code 1 127 or example SGESTATE E produces return code 43 Chex 2b This indicates Partitioned mode Disk Encryption ON SGEasy installed Encryption in proce For example SGESTATE E M15 produces return code 11 lt hex b vDvalue value for desired return code 9 127 The return code is computed until the desired one is reached Galculation can be stopped by pressing any key VYR the return code is stored in the registry The input charaters are not case sensitive 29 Protokollierung Die
121. NT C B Local Disk D E 4Prog E Dokumente und Einstellungen Programme SafeGuard 5 Sgeasy m san 494 31 10 2 Neues Backup Verzeichnis angeben Mit dem Registry Eintrag BackupDirectory in HKEY_LOCAL_MACHINE SOFTWARE Utimaco Sgeasy kann ein anderes Backup Verzeichnis definiert werden Die Einstellung wird erst nach einem Neustart wirksam Grunds tzlich ist es m glich so wohl lokale Laufwerkspfade als auch UNC Pfade anzugeben Bei UNC Pfaden muss sichergestellt sein dass ausreichende Berechtigungen n dern eingerichtet werden Der Registry Eintrag muss auf dem PC gesetzt werden auf dem sich die SafeGuard Easy Datenbank befindet 31 10 3 Systemkernsicherung exportieren Die Systemkernsicherungen aller SafeGuard Easy Clients sind auch direkt ber die Administrationskonsole exportierbar Speichern Sie den gesicher ten Systemkern ber das Men Arbeitsstationen Kernelbackup expor tieren in eine Datei Zielverzeichnis Dateinamen und erweiterung sind dabei frei w hlbar g SafeGuard Easy Administration Konsole Server SERYERO1 Datei Bearbeiten Ansicht Arbeitsstationen Extras Hilfe Konfiguration anzeigen Beschreibung ndern Gruppenzugeh rigkeit konfigurieren Fernadministration ffnen Gruppen Arbeitsstatione 2u Gruppen amesen Yon Gruppen entfernen Status ndern zu gt
122. Nutzung f r Verschl sselung nderbar Intervall f r Anfragen des Clients in Stunden fe gt N chste Richtlinie Vorherige Richtlinie 3 5 SafeGuard Easy auf einem PC mit mehreren Betriebssystemen installieren SafeGuard Easy kann zum Schutz der Daten auf einem Rechner einge setzt werden wenn mehrere Betriebssysteme gleichzeitig in separaten Partitionen installiert sind Damit die Betriebssysteme auch nach der Safe Guard Easy Installation problemlos gestartet werden k nnen muss auf ei nem Betriebssystem die Kompletteinstallation von SafeGuard Easy auf den anderen Betriebssystemen jeweils das sogenannte Laufzeitsystem installiert werden Das Laufzeitsystem wird aus dem CD Verzeichnis RUNTIME gestartet Runtime msi Ein Laufzeitsystem installiert zus tzlich das Programm zum Schalten der Disketten und Ger teverschl sselung SGECRYPT So installieren Sie SafeGuard Easy auf einem PC mit mehreren Betriebs systemen 1 Bestimmen Sie eine Windows Installation zur prim ren Installation 2 In der Folge booten Sie zun chst nacheinander alle nicht prim ren Windows Installationen und installieren dort jeweils das Laufzeitsystem W hlen Sie f r jede Installation ein anderes Verzeichnis aus 3 Abschlie end m ssen Sie Ihre prim re Windows Installation booten um dort SafeGuard Easy zu installieren 4 Nach abgeschlossener Verschl sselung k nnen Sie dann auch alle nicht prim ren Windows
123. Pack 2 zu nutzen Sie finden die Applikation auf der CD im Verzeichnis Tools DCOMWizard oder in der Wissensdatenbank Nutzen Sie die Suchfunktion und geben Sie SP2 oder SGE ein Hinweis zu Windows XP Home Edition SafeGuard Easy unterst tzt nicht m Sichere automatische Anmeldung mit Smartcard Smartcard SAL m Zentrale Protokollierung Hinweis zu Windows Server Edition SafeGuard Easy unterst tzt nicht m SMP m 64 Bit Server Unterst tzte Dateisysteme FAT 12 FAT 16 FAT 32 HPFS NTFS m NTFS5 16 Unterst tzte Speichermedien Festplatten IDE SCSI Serial ATA Firewire USB Disketten Wechselmedien wie ZIP JAZ USB Speichersticks RAID 0 Hardware RAID SafeGuard Easy unterst tzt nicht weitere RAID Klassen Software RAID 0 Unterst tzte Prozessoren AMD Intel Multi Prozessor Hyperthreading SafeGuard Easy 4 x wurde erfolgreich sowohl auf Multi Prozessor Rechnern wie auch auf Rechnern mit Hyperthreading Bsp Pentium IV getestet und installiert Hardwareanforderungen Festplattenspeicherplatz Abh ngig von der gew hlten Installationsmethode ben tigt Safe Guard Easy Festplattenspeicher zwischen minimal f nf und maxi mal 25 MB SafeGuard Easy hat die gleichen Mindestanforderungen wie das eingesetzte Betriebssystem Obwohl SafeGuard Easy auf dem beschriebenen System ein wandfrei l uft hat Verschl sselung ihren Preis Es wird deshalb empfohlen Hardware zu ve
124. Passw rter 6 Mindestalter der Passw rter Passwortgenerationen 4 Mindestanzahl der Buchstaben 0 Mindestanzahl der Zahlen 0 Mindestanzahl der Symbole 0 Gro Kleinschreibung verwenden 0 B Verbotene Passw rter Passw rter Passw rter B Identifikation Maschinen Identifikation nn Verschl sselung en Benutzer lt Zur ck Abbrechen Hie 104 Beachten Sie auf der Konfigurationsseite Benutzer bitte die Funktionalit ten der Schaltfl chen zum Anlegen Kopieren und L schen von Benutzern onfigurationsassistent 2x Arbeitsstation Konfiguration Bitte nehmen Sie nderungen der unten angezeigten Einstellungen vor die auf der Ziel Arbeitsstation vorgenommen werden sollen Verschl sselung en Benutzer B Allgemeine Einstellungen Mindestl nge des Benutzernamens 4 User lt Ver ndern gt Konfiguriert Peter lt Ver ndern gt Konfiguriert Paul lt Ver ndern gt Konfiguriert Mary lt L schen gt DEBEEO lt Zur ck Abbrechen Hie m Benutzer erzeugen L Erzeugt beim Ausf hren der Konfigurationsdatei einen neuen SafeGuard Easy Benutzer mit diesem Namen im Beispiel Benut zer Simon m Benutzer kopieren RA bernimmt s mtliche Einstellungen des kopierten Eintrags und der neue SafeGuard Easy Benutzer erh lt ebenfalls das Attribut Erzeugen m Benutzer ver ndern Erzeugt einen Benutzer der bereits auf einer Arbeitssta
125. Prozentwert gt Schieberegler deaktivieren Damit Benutzer die Verschl sselungsgeschwindigkeit nicht ndern bzw beeinflussen k nnen ist der Schieberegler zu deaktivieren Dies ge schieht ber den Registry Key DWORD Wert HKEY_LOCAL_MACHINE SOFTWARE Utimaco Sgeasy ChangeCPUUsage Wenn der Registry Key vorhanden und auf den Wert O gesetzt ist kann die Verschl sselungsgeschwindigkeit nicht beeinflusst werden 38 Einstellungen f r Verschl sselungsgeschwindigkeit in der administrativen Vorlage ndern Die Einstellungen f r die Verschl sselungsgeschwindigkeit sind auch ber eine Richtlinie in der administrativen Vorlage von SafeGuard Easy schaltbar siehe H ufig verwendete Registry Einstellungen f r SafeGuard Easy ber die administrative Vorlage ndern Die Richtlinie ist zu finden unter Computerkonfiguration Administrative Vorlagen SafeGuard Sgeasy Auf der Eigenschaftenseite der Richtlinie SGEasy sind daf r die Optio nen Standard CPU Nutzung f r Verschl sselung und CPU Nutzung f r Verschl sselung nderbar vorgesehen nix j Vorgang Ansicht e em fen Be Struktur ji Einstellung Aktiviert Richtlinien f r Lokaler Computer 3 Computerkonfiguration E Softwareeinstellungen C Wind Eraiekngen aixi 5 Administrative Vorlagen n windows Komp
126. Referenzsignatur wurde ver ndert Die Referenzsignatur fehlt Das f r die Signieroperation verwendete Schl sselpaar wurde ver ndert Bevor die Maschinenbindung erneut ausgef hrt wird m ssen Sie 1 unbedingt folgende Werte in der Registrierung l schen Machine Binding m Recovery unter dem Schl ssel HKEY_LOCAL_MACHINE SOFTWARE Utimaco SGLogon Embedded Security System ACHTUNG Diese Werte m ssen unbedingt gel scht werden bevor Sie die Ma schinenbindung erneut ausf hren Sind diese Werte beim Ausf hren einer erneuten Maschinenbindung vorhanden kann es zu einer Situa tion kommen in der Sie keinen Zugang zum System mehr haben 2 M ssen die auf dem Security Chip vorhandenen Daten mit Hilfe von Lenovo Tools zur ckgesetzt werden Die erneute initiale Maschinenbindung startet automatisch beim n chsten Starten des Systems 23 6 4 Konfiguration des Wiederherstellungsmodus Neben dem Standarddialog zur Wiederherstellung des Systems bietet die SafeGuard Authentication TPM Unterst tzung einen zweiten Dialog zur Autorisierung der Wiederherstellung an In diesem Dialog wird der Benut zername Passwort und optional der Dom nenname eines Benutzers mit Administratorrechten verwendet um wieder Zugriff auf das System zu er langen Welcher Dialog verwendet wird kann ber die administrative Vorlage die bei der Verwendung der TPM Unterst tzung installiert wird eingestellt werden Sie find
127. SP Hier werden alle auf dem System verf gbaren CSPs angezeigt Sie k n nen ausw hlen welchen Sie f r Operationen mit dem ffentlichen Schl s sel verwenden wollen Empfohlen ist die Verwendung des Microsoft Enhanced Cryptographic Service Provider Token CSP Hier m ssen Sie den CSP f r den von Ihnen verwendeten Token angeben Wenn Sie Utimaco Smartcards verwenden m ssen Sie den Utimaco Universal Smartcard CSP ausw hlen RSA Kryptografiemechanismus F r CSPs die keine direkte RSA Verschl sselung anbieten steht der Kryptografiemechanismus die Option asymmetrischer Mantel zur Verf gung Dabei wird das Datenpaket mit einem w hlbaren symmetrischen Al gorithmus verschl sselt Auf den verwendeten Schl ssel wird eine RSA Verschl sselung angewandt Bevorzugter symmetrischer Algorithmus W hlen Sie hier den Algorithmus f r die symmetrische Verschl sselung des Datenpaketes wenn Sie asymmetrischer Mantel als Kryptographie methode gew hlt haben Hash Algorithmus W hlen Sie hier aus welcher Hash Algorithmus verwendet werden soll 216 15 10 Anmeldung mit Token an das Betriebssystem Wenn die Anmeldung an SafeGuard Easy erfolgreich war fordert an schlie end das Betriebssystem vom Benutzer g ltige Zugangsdaten Dies bedeutet dass im Rahmen einer Token Anmeldung zweimal Benutzerda ten abgefragt werden Einmal in der Pre Boot Phase Token Passwort und bei der regul ren Anmeldung an das Betriebssystem
128. SafeGuard Easy Datenbank In der Grundeinstellung gelten diese Standardzugangsdaten Benutzername Admin Passwort Kein Passwort 448 Andere Zugangsdaten sind nach dem Deaktivieren des Auswahlk st chens eingebbar Nach einer erfolgreichen Verbindung werden der Servername und der Be nutzername aber nicht die Datenbank oder das Passwort in der Registry gespeichert und bei der n chsten Anmeldung automatisch wiederverwen det Die Administrationskonsole verbindet sich aber nur automatisch mit dem SafeGuard Easy Server wenn die letzte Anmeldung mit den Stan dard Zugangsdaten durchgef hrt wurde Meistens befinden sich SafeGuard Easy Server und Administrationskons ole auf ein und derselben Maschine ist aber nicht vorgeschrieben Wenn sie sich auf verschiedenen Maschinen befinden SafeGuard Easy Server und Administrator PC erfolgt der Verbindungsaufbau ber die Authenti sierung mit Windows Benutzerdaten d h der gegenw rtig am Administra tor PC angemeldete Benutzer muss auch am SafeGuard Easy Server ber ein entsprechendes Benutzerkonto verf gen 31 1 1 Verbindung trennen und wiederaufnehmen Ohne Standard Benutzerdaten melden Sie sich an wenn Sie ber das Men Datei in der Administrationskonsole die Verbindung zuerst trennen und dann wiederaufnehmen 31 1 2 Standardzugangsdaten zur SafeGuard Easy Datenbank ndern Weitere Informationen zu diesem Thema finden Sie in der Utimaco Wissensdatenbank http
129. SafeGuard Easy Backups aus der Rescue and Recovery Umgebung ist nur m glich wenn vorher SafeGuard Easy Zugangsdaten an der Pre Boot Authentisierung eingetragen werden 24 2 2 Voraussetzungen Lenovo PC Lenovo Notebook aktuellstes BIOS f r Ihr System SafeGuard Easy ab Version 4 10 unterst tzte Rescue and Recovery Versionen Rescue and Recovery 1 0 Build 033 Rescue and Recovery 2 0 Build 2 00 0170 Rescue and Recovery 3 0 Build 3 00 0029 00 Rescue and Recovery 4 0 Build 4 0 0114 Rescue and Recovery 4 2 Build 4 20 0510 336 24 3 Installation In den folgenden Installationsbeispielen wird angenommen dass die Rescue and Recovery Umgebung nicht in die Service Partition installiert wird Alle Besonderheiten die bei einer Verwendung der Service Partition zu ber cksichtigen sind sind im Kapitel Besonderheiten aufgelistet Wenn Sie Rescue and Recovery auf einer Festplatte ohne eine Service Partition installieren wird Rescue and Recovery mit folgenden Standardeinstellungen f r die Software installiert m Die Umgebung von Rescue and Recovery befindet sich standard m ig auf einer virtuellen Partition die auf Laufwerk C prim re Partition des Master Festplattenlaufwerks des Computers instal liert wird m Die virtuelle Partition besteht aus zwei Verzeichnissen minint und preboot Diese beiden Verzeichnisse werden durch Rescue and Recovery selbst ge
130. SafeGuard Easy spezielle Funktionen an Sichere Fernwartung Challenge Response Helpdesk Mitarbeiter k nnen Benutzern helfen wenn diese ihr Passwort vergessen haben Das Challenge Response Verfahren ist sicher und ideal f r mobile Anwender da dabei der PC keine direkte Online Verbindung mit dem Helpdesk ben tigt Challenge Response f r PDA SafeGuard Easy Benutzer die Passwort oder Token vergessen haben sind mit Hilfe eines zentralen Helpdesk rasch wieder produktiv Die Help desk Mitarbeiter k nnen ihre Arbeit auch mit Hilfe eines PDA Pocket PC mobil erledigen und sind nicht mehr auf Zugang zu einem PC angewiesen Windows Installer basierte Installation Die komplett auf dem aktuellen Windows Installer MSI Standard basie rende Installation l sst sich einfach und effizient im Windows Netzwerk verteilen und installieren Integrierter Boot Manager Twinboot Es ist eine h ufige Anforderung die Festplatte eines Notebooks aufzutei len In eine vom Benutzer verwaltete ungesch tzte Partition und eine vom Unternehmen verwaltete verschl sselte Partition SafeGuard Easy bringt daf r einen integrierten Boot Manager mit der es erm glicht solche oder hnliche Szenarien einfach und sicher zentral gesteuert zu realisieren Damit bleiben die Firmendaten gesch tzt und der Anwender hat auf seiner privaten Partition absolute Freiheit bis hin zur Wahl des Betriebssystems Verschl sselung von USB Speichermedien und laufwerksbezoge
131. Sie Server Anbindung ausgew hlt haben geben Sie den Namen des zentralen SafeGuard Easy Servers an a SafeGuard Easy Setup Eiei pa Hame des Server O Name des Servers 4 Zn Geben Sie den Namen des SafeGuard Easy Server f r die Zentrale Administration an Name des Servers OFFLINE 28 6 Im n chsten Schritt legen Sie den Verschl sselungsmodus f r die Festplatten Ihres PCs fest Weitere Details siehe Verschl sselungsmodus Setup Yerschl sselungsmodus x Auswahl des Yerschl sselungsmodus Bitte w hlen Sie einen Verschl sselungsmodus aus Der Partitionsweise Modus verschl sselt ausgew hlte Partitionen aller Festplatten Der Festplatten Verschl sselungsmodus verschl sselt die Partitionen aller Festplatten Der Bootschutz Modus verschl sselt die Systembereiche aller Partitionen Der Twinboot Modus unterst tzt mehrere Boot Partitionen und trennt verschl sselte und unverschl sselt Bereiche a Zurich Abbrechen Hie 7 Im n chsten Schritt folgen die Konfigurationseinstellungen Eine detaillierte Beschreibung der Einstellungen finden Sie in den entsprechenden Kapiteln im Handbuch ACHTUNG Die Option Nur mit Token siehe Allgemein Authentisierung Anmel dungsart bedeutet dass SafeGuard Easy die Token Anmeldung f r alle SafeGuard Easy Benutzer einer Arbeitsstation erzwingt Benutzer k nnen sich in diesem Modus nur in der Pre Boot Authenti si
132. Tiemporar gespeicherte Prozeduren f r vorbereitete SOL Anweisungen erstellen und gespeicherte Prozeduren l schen _ Nur beim Trermen c Beim Trennen und bei geeigneter Situation w hrend der Verbindung IV ANSI Anf hrungszeichen verwenden IV ANSI Nullen Leerstellen und Warnungen verwenden fa kallover SQL Server verwenden wenn der prim re SOL Gervernicht verf gbar ist an e 9 Als neuer SafeGuard Easy Datenbanktyp ist nun die SQL Datenbank eingetragen Ablaufverfolgung l Verbindungs Pooling Info Benutzer DSN System DSN Datei DSN Treiber Systemdatenquellen Entfernen Konfigurieren SafeGuard Easy Database SOL Server gespeichert wie eine Verbindung zu einem Datenprovider hergestellt wird Auf eine Systemdatenquelle k nnen alle Benutzer eines Computers und die Dienste von Windows 2000 zugreifen In einer ODBC Systemdatenquelle werden Informationen dar ber 0K Abbrechen bemehmen 10 Das System neu starten und die SGEasy Services SgeSrv exe und CfgDBSrv exe stoppen SgeSrv exe SafeGuard Easy Server und CfgDBSrv exe SafeGuard Easy Database Server 11 Die Zugangsdaten des Standardbenutzers zur SafeGuard Easy Datenbank werden nicht im Klartext bermittelt Das Tool SetDBPwd exe aktualisiert den Standardbenutzer und speichert das Passwort in die verschl sselte Datei DBPwd stg damit es vom SafeGuard Easy Server genutzt werden kann ACHTUNG
133. Um einen zus tzlichen Schutz des Systems ge gen das Aussp hen eines SafeGuard Easy Passworts durch ein Trojanisches Pferd Programm zu erzielen sollte der PC gegen das Booten von der Diskette durch eine mechanische Sperre oder eine systeminterne Ma nahme gesch tzt werden 1 3 Lizenzhinweise Jede unerlaubte Vervielf ltigung des Handbuchs sowie der Software von SafeGuard Easy wird strafrechtlich verfolgt Sie d rfen SafeGuard Easy nur auf einem PC installieren Falls Sie die Sicherheitskopie dazu missbrauchen um SafeGuard Easy auf mehreren PCs zu installieren versto en Sie gegen die Lizenzbestim mungen und machen sich strafbar Wollen Sie mehrere PCs sch tzen muss f r jeden PC eine Lizenz erworben werden Es gelten die Bedingungen des Software Lizenzvertrages Weitere Lizenzhinweise STEALTH Encryption Copyright c 1994 Intelligence Quotient Internatio nal Limited All rights reserved Patents pending STEALTH encryption is a trademark of Intelligence Quotient International Limited Patent rights of Ascom Tech Ltd given in EP JP US IDEA is a trademark of Ascom Tech Ltd Danksagungen Besonderer Dank gilt Dr Brian Gladman dessen AES Implementation wir als Basis f r unsere AES Verschl sselungstreiber verwendet haben 2 Erste Schritte Dieses Kapitel erkl rt die notwendigsten Voraussetzungen f r eine erfolg reiche Installation von SafeGuard Easy 2 1 Installation vorbereiten Um SafeGuard Easy so
134. ZI BW53 PAWJ FID8 8Z4P L516 RT2R PEBW AVGA 8576X 76LK CMWi In Zwischenablage kopieren lt Zur ck Beenden Neu Hilfe Response Code Zeigt den erzeugten Response Code in blauer Schrift an Dieser Code muss an den entfernten Benutzer gegeben werde Der entfernte Benutzer tr gt den Response Code in die daf r vorgesehenen Felder ein Der Response Code ist nur einmal g ltig F r jeden Request muss ein neuer erzeugt werden In Zwischenablage kopieren Der Response Code wird in die Zwischenablage kopiert und kann in einen beliebigen Texteditor eingef gt werden Dieses Feature erlaubt z B den Response Code einfach per SMS oder E Mail an den Benutzer zu verschicken Sind alle Angaben korrekt und der Benutzer konnte die erforderlichen Ak tionen ausf hren wird der Response Code Assistent durch einen Klick auf Beenden geschlossen Durch Klicken auf Neu werden alle Angaben ge l scht und Sie k nnen eine neue weitere Response erzeugen Buchstabierhilfe Um das bermitteln des Codes an den Benutzer zu erleichtern und Fehler zu vermeiden gibt es im Response Code Assistenten eine Buchstabierhilfe Dr cken Sie die Schaltfl che Buchstabierhilfe erscheint ein in drei Spal ten gegliedertes Fenster mit den jeweiligen Spalten berschriften Unter Position sehen Sie an welcher Stelle das Zeichen innerhalb des Codes steht Nachfragen k nnen somit sofort ohne gr eren Zeitaufwand wie z B Abz hl
135. Zielverzeichnis nderung festlegen gt Afani s redirieren erPROGRAM FILES UTIMACONSAFEGU Arbeitsstationen l schen Entf Dateiname Kernel Backup exportieren Geben Sie die Datei an den Benutzer weiter an dessen PC ein System fehler aufgetreten ist Wie mit Hilfe eines intakten Systemkerns System fehler auf Arbeitsstationen behoben werden k nnen erfahren Sie im Kapitel Notfallmedien erstellen und Systemkern sichern 496 32 Remote Administration Bei der Remote Administration verbindet sich der Administrator von seinem Arbeitsplatz aus mit genau einem einzigen SafeGuard Easy Client und passt die SafeGuard Easy Konfiguration seinen W nschen an Der Administrator hat das Gef hl als ob er direkt vor dem SafeGuard Easy Client sitzt und lokal die nderungen vornimmt nderungen ber die Remote Administration wirken teilweise unmittelbar auf dem SafeGuard Easy Client wie etwa beim Ansto en von Verschl s selung Entschl sselung andere erfordern einen Neustart des SafeGuard Easy Clients Die Remote Administration arbeitet unabh ngig von der zentralen Administration und bietet sich f r Verwaltungsaufgaben in kleineren Netzwerken an Sie kann stand alone oder als integraler Bestandteil der Administrationskonsole verwendet werden und erlaubt dem Administrator folgende Aufgaben m Verbinden zu einem SafeGuard Easy Client m Authentisierung an dem SafeGuard Easy Client m Einstellungen des Sa
136. acca huacheal an 5 Nach der Installation der Remoteverwaltung ist die SafeGuard Easy Administration um diese Funktionen erweitert m Clients ber eine Computerliste ausw hlen Computerliste aktualisieren m Verbindung mit dem Client aufbauen trennen Client Name manuell eintragen der nicht in der Computerliste auf taucht 32 3 Verbindung zu einem SafeGuard Easy Client aufbauen 1 Benutzer des Administrator PCs meldet sich an der SafeGuard Easy Administration an P SafeGuard Easy Anmeldung 2 Sobald die Computer Liste aufgeklappt wird sind die mit dem Netzwerk verbundenen PCs auch die Dom nen sichtbar Der gr n markierte PC ist dabei der Administrator PC SafeGuard Easy Administration 502 3 Wenn ein Client in der Liste angew hlt und anschlie end das Symbol mit dem gelb markierten PC gedr ckt wird baut sich eine Verbindung zwischen Administrator PC und SafeGuard Easy Client auf E SafeGuard Easy Administration j Ioj x Datei Ansicht Benutzer Fernzugang Extras Hilfe a2 GAEAF Computer 348 B Token Verschl sselung Token Anmeldung ohne Token en Benutzer B Wake On LAN Wake on LAN aktivieren Nein Mit Dr cken des Symbols mit dem gr n markierten PC meldet sich der Benutzer des Administrator PCs an den SafeGuard Easy Client an im Beispiel mit Helpdesk E SafeGuard Easy Administration loj x Datei
137. achricht angezeigt und das System angehalten Es ist nun nicht mehr m glich die Arbeitsstation zu booten und der Benutzer ist gezwungen die Hilfe des Administrators bzw des Supports anzufordern Hat sich der Benutzer SYSTEM angemeldet wird die Kopie auto matisch durch den Original MBR ersetzt und der Rechner bootet ohne das System zu stoppen 10 3 Unterst tzung f r Compaq Setup Partition Diese Option l sst den MBR weitgehend unver ndert Dies ist auf ver schiedenen Compag Systemen und eventuell anderen erforderlich um den Zugriff auf die Setup Partition zu erm glichen Sie k nnen obwohl SafeGuard Easy installiert ist bei COMPAQ Notebooks die Wartungspo sition booten Wollen Sie den Original MBR beibehalten klicken Sie auf Ein nachdem Sie den Men punkt markiert haben Deaktiviert wird die Einstellung durch einen Klick auf Aus Diese Option kann bei allen Ver schl sselungsmodi Standard Bootschutz Partitionsweise ein bzw aus geschaltet werden Da diese Option nur in Zusammenhang mit Compaq Setup Partitionen von Bedeutung ist wird sie in der Administration nur angezeigt wenn sich auf der Festplatte eine solche Partition befindet und die Partitionstabelle im MBR der ersten Festplatte noch mindestens einen freien Eintrag auf weist Im Konfigurationsdatei Assistenten steht diese Option immer zur Auswahl zur Verf gung HINWEIS Utimaco r t diese Option nur dann zu w hlen wenn sie unbedingt b
138. afeGuard Easy Utimaco Response Code Assistent Der erste Dialog zeigt Informationen ber den Assistenten an Best tigen Sie in der Folge richtige Eingaben mit Weiter Autorisierungskonto Im Dialog Autorisierungskonto w hlen Sie den SafeGuard Easy Benutzer mit dem Sie sich am System des entfernten Benutzers anmelden wollen SafeGuard Easy Response Code Assistent xl Autorisierungskonto Bitte geben Sie Benutzer ID und Passwort an mit denen Sie sich auf dem fernen System anmelden wollen w hlen Sie eine Benutzer ID C Benutzer mit Eigenschaft Verk rzten C R Code erzeugen Andere Benutzer ID Geben Sie das Passwort f r die ausgew hlte Benutzer ID ein Passwort Bitte wiederholen Use Token lt Zur ck Abbrechen Hite 360 SYSTEM Benutzername des SafeGuard Easy Benutzers SYSTEM SYSTEM darf alle Sonderrechte gew hren Benutzer mit Eigenschaft Vereinfachte Fern Anmeldung Benutzer dem auf dem Zielsystem diese Eigenschaft zugeordnet wurde Er muss mindestens ber die Rechte des fernen Benutzers verf gen Andere Benutzer ID Benutzernamen eines beliebigen SafeGuard Easy Benutzers der ein Sonderrecht gew hren darf Schaltfl che Token benutzen Liest das SafeGuard Easy Passwort des angegebenen Benutzers vom Token wenn sich der Benutzer mit Token in der PBA ange meldet hat Der hier gew hlte Benutzernamen beeinflusst die L nge des Response Cod
139. aktuellen Version nicht automatisch wiederverwendbar da sich das Datenformat auf dem Token ge ndert hat Diese alten Token m ssen neu ausgestellt werden um sich wie gewohnt an der Pre Boot Au thentisierung anzumelden Die Ausstellung bernimmt der Benutzer i d R selbst das entsprechende SafeGuard Easy Recht vorausgesetzt Bei der Erstanmeldung mit Token an das neue SafeGuard Easy zeigt die Pre Boot Authentisierung dann die Meldung Keine SafeGuard Easy Zugangsdaten auf dem Token bitte stellen Sie den Token jetzt aus an Diese Meldung muss Benutzer alter Token aber nicht beunruhigen sie geben einfach ihre SafeGuard Easy Zugangsdaten in die vorgegebenen Felder ein Sind die Daten korrekt werden sie auf den Token geschrieben und f r die n chste Anmeldung gen gt wieder die Angabe der Token PIN F r den Fall dass ein Benutzer seine SafeGuard Easy Zugangsdaten nicht kennt kontaktiert er einen Ansprechpartner beim Support Helpdesk Dieser schreibt die Daten ber das neue SafeGuard Easy Plug in f r die Token Administration auf den Token Das SafeGuard Easy Plug in f r die Token Administration ist auf der Produkt CD im Verzeichnis TOOLS abgelegt SCAdmin_SGEasy msi SGElnteg ersetzt CheckArea MigHelp Ab Version 4 30 hei t die Reparaturfunktion beim Update f r den SafeGuard Easy Systemkern SGElInteg SGEInteg bernimmt die Funktionalit t von CheckArea MigHelp und ist im Verzeichnis TOOLS der Programm CD zu
140. allation ist er in der Grundeinstellung eingeschaltet m Anzeigedauer Standard 30 Das Bootlaufwerk mit der Eigenschaft Standard festzulegen un ter Startlaufwerke startet beim Systemstart automatisch wenn sich der Benutzer innerhalb eines bestimmten Zeitraums nicht f r ein anderes Bootlaufwerk entscheidet Diese Zeitspanne wird ber das Feld Timeout definiert Gibt es kein Standardlaufwerk startet das Betriebssystem der ersten prim ren Partition 14 5 2 Startlaufwerke Nach einem Doppelklick auf Startlaufwerke wird der gleichnamige Dialog ge ffnet Hier werden die Eigenschaften des Bootmanager Men s defi niert Startlaufwerke konfigurieren x Startlaufwerke Hier geben Sie die Laufwerke an die ber ein Auswahlmen gestartet werden k nnen Die Liste zeigt die auf Ihrem Computer gefundenen startbaren Laufwerke an Festplatte Partition Name Standard Startbar 0 v v 1 Gesch ftlich 0 Ba no al Vorschau Abbrechen Es wird eine Liste angezeigt die alle prim ren Partitionen des Rechners darstellt Zur Unterscheidung der verschiedenen bootf higen Laufwerke im Boot manager Men empfiehlt es sich zun chst sprechende Bootnamen einzutragen maximal 40 Zeichen z B Privat Die eingetragenen Na men werden sp ter im Auswahlmen des Bootmanagers angezeigt Damit ein Laufwerk im SafeGuard Easy Bootmanager angezeigt wird muss es als startbar mar
141. als ASCII Zeichen Kette angezeigt Der entfernte Benutzer ruft anschlie end beim Helpdesk an und gibt seine Benutzerinformationen und den Challenge Code an Der Helpdesk startet den SafeGuard Easy Response Code As sistenten und erzeugt dann einen Response Code Der Helpdesk teilt den Response Code per Telefon oder SMS dem entfernten Benutzer mit und dieser kann nach der Eingabe des Response Codes sein Passwort neu setzen 354 Generell k nnen ber Challenge Response folgende Sonderrechte erteilt werden Neues SafeGuard Easy Benutzerpasswort setzen wenn das Alte vergessen wurde SafeGuard Easy deinstallieren Einmalige Anmeldung bspw f r Wartungsarbeiten Recht zum Schalten der Diskettenverschl sselung tempor r ver geben f r die Dauer einer Anmeldung Anmeldung ohne Token erlauben Erlaubnis einen Token auszustellen Der Response Code Assistent kann auf einem PC oder auf dem PDA des Helpdesk Mitarbeiters installiert sein 26 1 1 Response Code Assistenten f r PDA installieren Die PDA Version des Response Code Assistenten finden Sie auf der SafeGuard Easy CD 1 Kopieren Sie die Datei SSE_CRW PPC30_ARM cab aus dem TOOLS Verzeichnis der SafeGuard Easy CD auf den PDA 2 Rufen Sie SSE_CRW PPC30 _ ARM cab ber den PDA Datei Explorer auf Die Installation wird sofort ausgef hrt 3 Nach der Installation ist ein Soft Reset n tig SafeGuard PDA muss auf dem PDA installiert sein 26 2 Challenge Co
142. an Ihren abgesicherten PC anzumelden Ist ein USB Token gesteckt enth lt der Pre Boot Authentisierung Dialog ein Eingabefeld f r das Passwort Ihres Token Nach Best tigen der Eingabe wird verglichen ob der auf dem Token gespeicherte SafeGuard Easy Benutzer auf dem PC vorhanden ist Bei bereinstimmung der Daten wird die Anmeldung durchgef hrt SafeGuard Easy AST UM GER Sie F10 um Ihr Passwort zu ndern 7 4 SafeGuard Easy Passwort ber die Taste F10 ndern Benutzer k nnen das SafeGuard Easy Passwort ber die Taste F10 selbst ndig ndern Der Benutzer gibt in diesem Fall zun chst seine aktuellen SafeGuard Easy Zugangsdaten ein und best tigt die Eintr ge mit F10 Anschlie end erscheint die Aufforderung ein neues Passwort einzugeben Der SafeGuard Easy Administrator kann Benutzern aber auch vorschrei ben nach Ablauf einer gewissen Zeitspanne ein neues Passwort zu defi nieren Bei einer Anmeldung mit Token dient F10 dazu das Token Pass wort zu ndern und nicht die SafeGuard Easy Zugangsdaten auf dem Token 82 7 5 Vergessene Passw rter ber die Taste F9 zur cksetzen SafeGuard Easy bietet ein Challenge Response Verfahren zum Zur cksetzen vergessener Passworts Ben tigt ein Benutzer Hilfe muss er in der Pre Boot Authentisierung durch Dr cken der Taste F9 einen Challenge Code erzeugen SafeGuard Easy AST UM GER Code 55 7W 15 5X RX 1U K1 Bitte Antwortc
143. angt einen Schl ssel f r die Ver schl sselung der Festplatte Der Modus Standard verlangt einen Schl ssel f r die Ver schl sselung der Festplatte Der Schl ssel ist trivial nWollen Sie einen anderen Schl ssel angeben IPC Server konnte nicht gestartet werden IPC Client konnte nicht gestartet werden IPC Verbindung konnte nicht aufgebaut werden IPC Meldung konnte nicht aufgenommen werden IPC Meldung konnte nicht abgesetzt werden IPC Funktion IPC_SGE_PROCESS_DEF_MSGi nkonnte nicht verarbeitet werden IPC Server konnte nicht geschlossen werden IPC Klient konnte nicht geschlossen werden IPC Thread konnte nicht gestartet werden Das Warten auf eine IPC Meldung schlug fehl IPC Kommunikationsobjekt nicht gefunden Laufwerksfehler 1241 1242 1243 1244 1245 1246 1247 1248 1249 1250 1251 1252 1253 1254 1255 1256 1257 Unbekanntes oder ung ltiges Laufwerk definiert Keine weiteren Laufwerke gefunden Laufwerks I O Operation schlug fehl Lesezugriff von einem Laufwerk schlug fehl Schreibzugriff auf ein Laufwerk schlug fehl Startzugriff auf ein Laufwerk schlug fehl Laufwerk nicht bereit Sperren eines Laufwerks schlug fehl Entsperren eines Laufwerks schlug fehl Die Systemartition muss eine prim re Partition sein n nDas ist z B notwendig wenn die Option Unterst tzung f r Compaq Setup Partition aktiviert wurde Freigeben eines Volumes schlug fehl n nEventuell sind einige Dateie
144. ar erfolgreich aber Sie haben nicht gen gend Rechte um das Produkt zu deinstallieren Administration Fehler USER 1801 Der Benutzer lt Benutzername gt kann nicht erzeugt werden weil die Maximalanzahl an Benutzern erreicht ist 1802 1803 1804 1805 1806 1807 Es ist nicht m glich den Benutzer AUTOUSER zu erzeugen oder zu l schen Der Benutzer lt Benutzername gt existiert bereits Bitte legen Sie den Benutzer unter einem anderen Namen an Die Maximalanzahl an Benutzern wurde berschritten Es ist nicht erlaubt den Benutzer SYSTEM anzulegen oder zu l schen Nur ein Modifizieren ist erlaubt Das Benutzerprofil erfordert einen Token f r die Anmeldung an FILELINK SGE_INFO DLLI MSGLINK 102 Die Applikation wartet bereits 30 sekunden auf Abschlu des Vorganges Der Computer kann zu sehr besch ftigt sein Sie k nnen warten bis der Vorgang beendet ist oder m chten Sie abbrechen Migrationsassistent Fehler 2006 SGElnteg Das Dateisystem ist inkonsistent Die SafeGuard Easy Migration schlug fehl Bitte lesen Sie im SafeGuard Easy Benutzerhandbuch nach wie Sie den Fehler mittels SGeElnteg R reparieren k nnen SGEGINA Fehler 2100 2101 Der Auto Logon schlug fehl Wollen Sie die Verbindung zwi schen dem SafeGuard Easy Benutzer und dem Betriebssys tem Benutzer editieren Sie m ssen ihr Passwort jetzt wechseln nDer Auto Logon SAL ist f r diese Anmeldung deaktiviert
145. ard Easy Database SsQL Server HKEY_LOCAL_MACHINENSOFTWARENODBCNODEC INI SafeGuard Easy Database Database SGEASY bescription SQL server database for SafeGuard Easy Driver DI NWi ndows Syst em32 sqlsrw32 d11 server AST VM W2K ENG 2 Die folgenden Schl ssel ndern m Driver Korrekten Pfad f r die Datei SOLSRV32 d11 auf Ihrem SafeGu ard Easy Server eingeben z B D Win dows System32 SQLSRV32 dIl m Server Namen des SQL Servers angeben z B AST VM W2K ENG 3 SGE_SQLSRV reg ausf hren 446 31 Adhministrationskonsole Bevor mit der Datenbank gearbeitet werden kann muss ber die Adminis trationskonsole eine Verbindung zum SafeGuard Easy Server hergestellt werden 31 1 Anmelden an die SafeGuard Easy Datenbank Nach Aufrufen der Administrationskonsole ber Start Programme Utimaco SafeGuard Easy Administrationskonsole erscheint eine Anmeldemaske Datenbank Server Yerbindung x m SafeGuard Easy Server Information Servemame E ERVERDI IV Default Zugangsdaten zur Datenbank verwenden Benutzername Benutzerpasswort Abbrechen Folgende Informationen m ssen dort eingetragen werden Servername Name des SafeGuard Easy Servers auf dem die SafeGuard Easy Daten bank liegt Der Servername kann auch als IP Adresse eingegeben wer den Standard Zugangsdaten zur Datenbank Verwendet die aktuellen Standard Anmeldedaten f r die
146. ard Easy Verzeichnis nur vorhanden wenn bei der Client In stallation die Option Server Anbindung gew hlt wurde x SafeGuard Easy SgeTrans lol x Anderungs oder Report Datei Yaweso eq Import nderung nderungsdatei Reportdatei Export Report me m nderungsdatei L dt die Request Datei die der Benutzer vom Administrator z B per Mail zugesandt bekommt m Import nderung Speichert die Einstellungen der Request Datei auf dem Benutzer PC Report Datei Definiert einen Dateinamen f r die Report Datei Export Report Speichert die Report Datei die der Benutzer an den Administrator sendet 492 31 10 Systemkern automatisch sichern Der Systemkern h lt die f r die Authentisierung am Rechner erforderli chen Funktionen die f r den Start eines Betriebssystems notwendigen Treiber sowie alle Systemeinstellungen eines SafeGuard Easy Clients Eine aktuelle Sicherung ist besonders in Noffallsituationen gefragt wenn der Systemkern eines SafeGuard Easy Clients besch digt ist und Benut zer sich nicht mehr ans System anmelden k nnen In solchen F llen braucht man einen intakten Systemkern der betreffenden Arbeitsstation um den Urzustand wiederherzustellen und das System lauff hig zu ma chen siehe Notfallmedien erstellen und Systemkern sichern Die automatische Systemkernsicherung enthebt den Administrator der Aufgabe Benutzer an die notwendigen Sicherungen zu
147. asy Database Erweiterte Optionen festlegen 31 2 Benutzeroberfl che Nach erfolgreicher Anmeldung an die SafeGuard Easy Datenbank er scheint das Administrationsfenster der Administrationskonsole mit den Registerkarten Arbeitsstationen Gruppen und Requests Ein Wechsel zwischen den einzelnen Registerkarten ist ber einen einfachen Klick auf die entsprechende Registerkarte oder das Men Ansicht m glich Arbeitsstationen Zeigt eine Liste aller SafeGuard Easy Clients die sich am Server authen tisiert haben m Name UNC Netbios Name der registrierten Arbeitsstation Beschreibung Detaillierte Angaben zur registrierten Arbeitsstation m Status Arbeitsstation ist online Standard oder offline Konfigurationsdatum Zeigt an wann Datum Uhrzeit ein SafeGuard Easy Client zuletzt seine aktuellen Konfigurationsda ten an den SafeGuard Easy Server gesendet hat i SafeGuard Easy Administration Konsole Server SERYERO1 Datei Bearbeiten Ansicht Arbeitsstationen Extras Hilfe Gruppen Arbeitsstationen Requests Name 700000 status Beschreibung Kanfig WKS01 Standard Arbeitsstation Entwicklung 07 09 2005 15 36 09 Gruppen Zeigt alle angelegten SafeGuard Easy Gruppen in denen einzelne SafeGuard Easy Clients zusammengefasst sind ig SafeGuard Easy Administration Konsole Server SERYERO1 Datei Bearbeiten Ansicht Gruppen Extras Hilfe Gruppen Arbeitsstationen Reque
148. asy msi vorzunehmen Eine MST Dateien ndert die Installationseigenschaften der MSI Datei die MSI Datei selbst bleibt im Urzustand ACHTUNG Die Installation von modifizierten MSI Paketen wird nicht unterst tzt Wir empfehlen die Verwendung von Transform Dateien MST um An passungen vorzunehmen So erstellen Sie eine Transform Datei 1 Starten Sie Orca msi 2 W hlen Sie File gt Open und ffnen Sie Sgeasy msi 3 W hlen Sie Transform gt New Transform Sgeasy msi Orca aax Fie Edit Tables Transform Tools View Help D gE New Transform Apply Transform view Patch Tables Extension Feat Title Des AdmTools Config F Installs t 11 Sgeasy 32513 FeatureCompone AdmTools Respons Installs t 22 File Encryption SmartCa Extends 54 Font E Sgeasy Administ 24 Tran Server nn Fnrruntian Server Inchalle F 4S 4 W hlen Sie unter Tables den Eintrag Features aus Features sind alle SafeGuard Easy Komponenten die installiert werden sollen Eine Beschreibung der einzelnen Features finden Sie unter SafeGuard Easy Funktionen Ben Ob ein Feature installiert wird oder nicht entscheidet der Wert in der Spalte Level 3 Feature wird installiert 4 Feature wird nicht installiert Dire INSTALL Attri 40 Jo a Sgeasy msi transformed by Untitled Orca Eile Edit Tables Transform Tools Yiew Help
149. atei Log File 00 408 29 7 Hinwei 409 Zentrale Administration 0 411 30 1 Funktionsweise eeesssssesessssseeoesssesesesssseeeesese 412 30 1 1 SafeGuard Easy Server SafeGuard Easy Datenbank 0 lt 2002400850040850880042200 0050000 ATA 30 1 2 SafeGuard Easy Administrationskonsole 416 30 1 3 SafeGuard Easy Clients 417 16 31 30 1 4 Unterst tzte SafeGuard Easy Client SafeGuard Easy Server Kombinationen 418 30 2 Datenaustausch zwischen Client und Server 419 30 2 1 Sichere Kommunikation rrernsn000r 419 30 2 2 Zu erwartende Netzlast 000ss000rr0000 421 30 2 3 Intervall f r Datenaustausch zwischen Client und Server definieren s 000ss rer 000 re 422 30 3 Installation us 424 30 3 1 SafeGuard Easy Server Datenbank installieren EREEREER E E AERO N 426 30 3 2 SafeGuard Easy Administrationskonsole EE A CA E EEEE ee 428 30 3 3 SafeGuard Easy Clients installieren 429 30 3 4 Maximale Kapazit t der SafeGuard Easy B tenbank nissen 432 30 3 5 SafeGuard Easy Server Datenbank wiederherstellen 000s0s0000000r 0000000 432 30 4 Microsoft SQL Server Unterst tzung 434 30 4 1 Wichtige Hinweise rs0000000000000ss0000e 434 30 4 2 Leere SafeGuard Easy Datenbank auf dem SQL Server erzeugen erreeeeeeeesesensnssssssnsnnen 435 30 4 3 Neue leere SafeGuar
150. ationen die vom und zum SafeGuard Easy Server bertragen werden sind verschl sselt Nach erfolgreicher beidsei tiger Maschinenauthentisierung wird ein zuf lliger symmetrischer Session Key erzeugt ausgetauscht und f r den verschl sselten Datentransfer in der Zeit der Verbindung genutzt F r jede neue Verbindung zwischen SafeGuard Easy Client Maschine und SafeGuard Easy Server wird ein neuer Session Key erzeugt Das gleiche Verfahren gilt auch f r die Kommunikation zwischen SafeGuard Easy AdminKonsole und SafeGuard Easy Server F r die Verschl sselung des Session Keys wird RC4 mit einem 128 bit Schl ssel verwendet Der Session Key kann vom Client oder vom Server erzeugt werden und wird mit dem ffentlichen Schl ssel des Empf ngers verschl sselt bevor er gesendet wird 30 2 2 Zu erwartende Netzlast Ob nun Konfigurationsupdates beim Hochfahren des SafeGuard Easy Clients abgefragt werden oder nach einem definierten Zeitraum Die Menge der Daten unterscheidet sich nur geringf gig und zwar in Abh ngigkeit davon ob bzw welche nderungen es gibt In beiden F llen werden Daten ausgetauscht deren Gr e im Bereich um 2 KB liegt Die exakte Gr e h ngt ein wenig davon ab wie viele nderungen enthalten sind Wenn Sie bereits Konfigurationsdateien f r die Installation Konfiguration von SafeGuard Easy nutzen gibt deren Dateigr e eine ungef hre Vor stellung von der Datenmenge Aufgrund der unter Intervall f r Datenaus
151. ationstext erscheint In diesem Zustand wird kein Programmstart oder Benutzereingabe akzeptiert 384 Festplatte ist defekt Bitte beachten Sie Wenn Sie vermuten dass Ihre verschl sselte Fest platte physikalisch besch digt ist empfehlen wir die betreffende Festplat te NICHT per Notfallmedium zu entschl sseln Ein physikalischer Defekt macht sich z B so bemerkbar die Festplatte gibt ratternde oder klickende Ger usche von sich wird nicht mehr vom BIOS erkannt etc Unternehmen Sie in diesem Fall keine weiteren Rettungsversuche auf ei gene Faust sondern wenden Sie sich an Spezialisten Diese werden ver suchen den Inhalt der korrupten Festplatte auf eine intakte zu berspielen und dort eine Notfallentschl sselung durchzuf hren Durch externe Hilfe entstehen weitere Kosten entscheiden Sie selbst wie wertvoll die Daten auf der defekten Festplatte f r Sie sind Weitere Informationen zu diesem Thema erhalten Sie in der Utimaco Wissensdatenbank http www utimaco de myutimaco Nutzen Sie bitte die Suchfunktion der Wissensdatenbank um nach Stichworten wie Data amp Recovery zu suchen 27 5 4 Hinweise m Ablage des Systemkerns Ist die Windows Bootpartition nicht auf der ersten Festplatte wird der SafeGuard Easy Systemkern w hrend der Installation automa tisch auf der C Partition abgelegt Diese Partition sollte demzu folge nach der Installation nicht mehr formatiert werden da sie die wicht
152. ator auf einfache Weise den Sta tus einer SafeGuard Easy Installation abfragen kann Man kann SGEState aber beispielsweise auch so einsetzen dass be stimmte T tigkeiten Prozesse erst ausgef hrt werden wenn die Installati on von SafeGuard Easy bzw die Verschl sselung abgeschlossen ist SGEState ist nach der Installation des SafeGuard Easy Client Pakets im SafeGuard Easy Programmverzeichnis zu finden 28 1 Reporting SGEState kann auch zu Reporting Zwecken genutzt werden m Der Return Code von SGEState kann serverseitig von Third Party Management Tools ausgewertet werden m SGEState LD liefert eine f r LANDesk und ggf andere Produkte formatierte Ausgabe die in eine Datei umgeleitet und auf den Server zur Auswertung transportiert werden kann 392 SGEState kann mit folgenden Parametern aufgerufen werden SGESTATI E Q L LD E Mvalue Dvalue R SGEState gibt einen berblick ber alle verf gbaren Kommandozeilen parameter vQ Quiet mode No output program ends with return code not installed installed SafeGuard E i alled Encryption or decryption proc active An error occurred during the check In this case a message to the console will state the nature of the problem YL Loud mode Will display details to the console including Operating System WINDOWS 2888 i WINDOWS XP i WINDOWS SERVER 20031 stallation Status INSTALLED NOT INSTALLED UNK
153. auf der die Konfigurationsdatei ausgef hrt wird vorhanden sein und ber entsprechende Rechte verf gen 8 4 6 Delta Datei ausf hren Im Gegensatz zu Konfigurationsdateien zur Installation Deinstallation und Migration erfordert das Ausf hren einer Delta Datei einen speziellen Kom mandozeilenaufruf 1 Wechseln Sie zur Eingabeaufforderung oder rufen Sie den Befehl Ausf hren im Windows Startmen auf 2 Wechseln Sie in das SafeGuard Easy Verzeichnis 3 Geben Sie den Befehl EXECCFG exe lt Pfad Name der Konfigurationsdatei gt ein und klicken Sie anschlie end auf OK EXECCFG unterst tzt folgende Parameter REBOOT Neustart nach Ausf hren der Konfigurationsdatei Zeigt alle Parameter an BEISPIEL C SGEasy EXECCFG D Delta cfg Reboot Mit diesem Befehl wird die Konfigurationsdatei Delta cfg aufgerufen Danach erfolgt ein Neustart ACHTUNG Zwischen f und dem Verzeichnisnamen der Delta Datei darf KEIN LEERZEICHEN stehen 108 8 4 7 Konfigurationsdatei editieren Die Einstellungen von Konfigurationsdateien mit der Eigenschaft Installie ren k nnen auch nach dem Abspeichern nachtr glich ge ndert werden Um eine Konfigurationsdatei zu ver ndern gehen Sie wie folgt vor 1 Starten Sie den Konfigurationsdateiassistenten 2 W hlen Sie als Dateityp Installieren und laden Sie die zu editierende Datei im Dialog Ba
154. beitsstationen Gruppen Requests vorhanden sind ist eine Mehrfachselektion ber bekannte Windows Mechanismen STRG Umschalt Taste oder ber das Men Bearbeiten m glich Aus der Administrationskonsole kann auch die Remote Administration aufgerufen werden Men Arbeitsstation Fernadministration ffnen Details zur Remote Administration lesen Sie bitte im Kapitel Remote Ad ministration 31 2 1 Inhalt der Registerkarten als Textdatei speichern Die Administrationskonsole stellt eine Funktionalit t bereit die es erlaubt den Inhalt der momentan aktiven Registerkarte Gruppen Arbeitsstatio nen oder Requests in einer Text Datei abzuspeichern oder in der Zwi schenablage zu kopieren Text Datei und Inhalt der Zwischenablage k nnen in ein beliebiges Programm importiert und aufbereitet werden Die Funktionalit t ist aktiv sobald eine Gruppe Arbeitsstation oder ein Re quest selektiert ist Das Speichern des Registerkarteninhalts eignet sich vor allem f r Archivierungs Auswertungszwecke i SafeGuard Easy Administration Konsole Server SERYERO1 Datei Bearbeiten Ansicht Requests Extras Hilfe Daten kopieren Daten speichern als Strg 5 Alles markieren Strg A Markierung umkehren Aufgerufen wird die Kopier und Speicherfunktion ber das Men Bearbeiten in der Administrationskonsole Der Unterpunkt Daten speichern als erstellt eine ASCII Datei die mit beliebigem Namen in einem Verzeichni
155. ber den TPM Chip Einstellungen f r Client Security Software CSS lt 5 40 Das Erzeugen von Schl sselpaaren ber den ESS TPM Chip ist bis CSS 5 40 ber das Administrator Passwort des Chips abgesichert Das Admi nistrator Passwort wird w hrend der Installation der CSS Software festge legt Wird SafeGuard Easy im Rahmen einer zentralen Installation auf Clients mit TPM Chip verteilt wird das Administrator Passwort in einem Dialog abgefragt In Netzwerken mit mehreren TPM Clients kennen regu l re Benutzer in der Regel aber das Administrator Passwort des Chips nicht und oft m chten Administratoren f r alle TPM Rechner im Netz ein identisches Administrator Passwort verwenden Ein SafeGuard Easy Tool erzeugt zu diesem Zweck eine verschl sselte Datei mit dem Administrator Passwort f r den Chip Diese Datei wird im Rahmen einer zentralen Installation an die TPM Clients verteilt SafeGuard Easy bef llt dann auf Client Seite automatisch den Dialog der das Administrator Passwort abfragt und erm glicht so die RSA Schl sselgenerierung ohne Benutzerinteraktion 320 So erzeugen Sie RSA Schl sselpaare mit dem TPM Chip 1 Chip Nutzung auf Client Server vorbereiten siehe Chip Nutzung vorbereiten In der Windows Registrierung des Clients Servers unter HKEY_LOCAL_MACHINE SOFTWARE Utimaco SGEasy folgende Eintr ge anlegen Cryptographic Service Provider Zeichenfolge Als Wert muss eingetragen werden I
156. bereits installiert Eine Twinboot Installation ist auf einem System mit mehr als ei ner Festplatte nicht erlaubt Datei Config sys ist schreibgesch tzt Eintrag in INI Datei oder Konfigurationsdatei nicht gefunden Auf einem Rechner mit dynamischen Partitionen kann weder ein komplettes noch ein Laufzeit System von PN installiert werden Nur die Installation von Aministrationswerkzeugen ist auf diesem Rechner erlaubt Die Kerneldatei konnte nicht erzeugt werden Die Datei Config sys konnte nicht modifiziert werden Die Datei lt Name der Datei gt konnte nicht kopiert werden Kein Zielverzeichnis definiert Ein falsches Systemverwalterpasswort wurde angegeben Wollen Sie es nochmals versuchen Kein Systemverwalterpasswort angegeben 1074 1075 1076 1077 1078 1079 1080 1081 1082 1083 1084 1085 1086 1087 1088 1089 1090 510 F r den Twin Boot Modus muss das Windows Startlaufwerk auf startbar gesetzt sein Das Installationslaufwerk muss f r den Twin Boot Modus ver schl sselt werden Die Deinstallation ist fehlgeschlagen Zus tzliche Informatio nen k nnen Sie der Datei SGEASY LOG entnehmen Die Deinstallation des GINA Systems ist fehlgeschlagen Neue Treiber und Systemdienste wurden installiert Es wird empfohlen da Sie jetzt ein neues Backup erzeugen da die alten Backupdaten nicht f r ein Restore verwendet werden k nnen solange SafeGuard Easy installiert ist Die Deins
157. ca 20 bis 30 Minuten Falls die Erstverschl sselung fehlschl gt und der Computer nicht mehr gebootet werden kann wenden Sie sich bitte an den Utimaco Support 3 3 Verschl sselungsfortschritt Wurde w hrend der Installation die Verschl sselung der Festplatte bzw einer Partition aktiviert startet ein Programm das den Verschl sselungs fortschritt anzeigt ss 4 SafeGuard Easy ZJEIX ie Verschl sselung 4 B Abgelaufene Zeit 023 Fortschritt bei Verschl sselung Berechnete Zeit 10 37 30 eines Laufwerks Entschl sseln Verschl sseln von Laufwerken 4 a Abgelaufene Gesamtzeit 0 25 30 Fortschritt bei Verschl sselung Gesch tzte Gesamtzeit 10 37 05 aller Laufwerke Verschl sselungsgeschwindigkeit Die Verschl sselung erfolgt im Hintergrund d h der Benutzer kann w h rend der Verschl sselung an seinem Rechner arbeiten Werden sehr klei ne Partitionen oder nur Systembereiche verschl sselt kann es sein dass der Dialog nicht angezeigt wird 3 3 1 _ Verschl sselungsfortschritt ausschalten Zum Uhnterdr cken des Dialogs legen Sie in der Windows Registrierung folgenden Registry Key DWORD Wert neu an unter HKEY_LOCAL_MACHINE SOFTWARE Utimaco SGEasy ShowECView 0 3 3 2 Verschl sselungsgeschwindigkeit definieren Die Verschl sselungsgeschwindigkeit betr gt in der Grundeinstellung 100 und kann mit dem Schieberegler im Dialog zur Anzeige des Verschl sselungsfortschritt
158. cherheitsrichtlinien auf cmm Model gemeinsame Nutzung ae f r lokale Konten Named Pipes auf die anonym zugegriffen werden kann 500 32 2 Installieren der Remote Administration Zur Fernkonfiguration der SafeGuard Easy Clients ist es notwendig die Remote Administration auf dem Computer Administrator PC zu installie ren von dem aus Sie die SafeGuard Easy Clients konfigurieren m chten Die Installation erfordert diese Schritte 1 Rufen Sie Sgeasy msi aus dem CD Verzeichnis CLIENT auf W hlen Sie den Installationstyp Standard 2 Rufen Sie Server msi aus dem CD Verzeichnis SERVER auf W hlen Sie die Option Remote Administration 3 Stellen Sie sicher dass zwischen Administrator PC und Benutzer PC eine Netzwerkverbindung besteht 4 Starten Sie die Remote Administration ber Start Programme Utimaco SafeGuard Easy Administration Eg SafeGuard Easy Administration loj x Datei Ansicht Benutzer Fernzugang Extras Hilfe ap aaar B Allgemeine Einstellungen Mindestl nge des Benutzernam 4 Ef SYSTEM lt Ver ndern gt Konfiguriert Verschl sselung 7 Benutzer Token Anmeldung ohne Token Passwort Passwort Konfiguriert Bf User lt VYer ndern gt Konfiguriert Token Anmeldung ohne Token Schablone Keine Standardbenutzer Nein Femadministration erlauben Nein Ablaufdatum Nein Passwortwechsel erlauben Ja D
159. cht verf gbar Der Prozess wurde vom Benutzer abgebrochen Ung ltiger oder falscher Eintrittspunkt definiert Das System ver ndert zur Zeit einige Systemeinstellungen Gegenw rtig sind keine weiteren nderungen erlaubt Ung ltiger Datentyp f r das Dialogfeld Kernel Backup schlug fehl Definierte Arbeitsstation existiert nicht Der Logon Klient SgeGina dll konnte nicht gefunden werden Das limitiert ein Reihe von Funktionen von PN und kann ernsthafte Probleme nach sich ziehen die einen Neuinstallati on von PN oder des Betriebssystems erfordern k nnten Der Dienst SgeCtl exe konnte nicht gefunden werden Das li mitiert ein Reihe von Funktionen von PN und kann ernsthafte Probleme nach sich ziehen die einen Neuinstallation von PN oder des Betriebssystems erfordern k nnten System Kernel ist defekt Eine Partition wird gerade ver oder entschl sselt oder ein sol cher Prozess wurde initiiert nEin Kernelbackup kann nur durchgef hrt werden wenn alle Ver oder Entschl sselungs prozesse beendet sind Das Interface konnte nicht gefunden werden Klasse 1 3 Interface 2 Result 4 OSERRLINK 5 n nM glicherweise ist FI LELINK SGE_INFO DLLJ MSGLINK 102 auf 6 nicht in stalliert Fehler in der Konfigurationsdatei 1151 Die Konfigurationsdatei lt Name der Datei gt konnte nicht gefun den werden 1152 1153 1154 1155 1156 1158 1159 1160 1161 1162 1163 1164
160. cos admi nistrativer Vorlage schaltbar Die Richtlinie ist zu finden unter Computerkonfiguration Administrative Vorlagen SafeGuard SGEasy 252 5 u Is E i Bi Auf der Eigenschaftsseite von SGEasy einfach den Haken vor Sichere automatische Anmeldung oder Sichere automatische Anmeldung mit Smartcards entfernen bzw setzen gt Gruppenrichtlinie Richtlinien f r Lokaler Computer Computerkonfiguration Softwareeinstellungen windows Einstellungen B E Administrative vorlagen 0 Windows Komponenten SafeGuard Eigenschaften von SGEasy Authentication Benutzerkonfiguration Softwareeinstellungen Windows Einstellungen H E Administrative vorlagen aae aada 2 4 J 17 1 4 SAL Dialog unterdr cken Die SafeGuard Easy SAL Funktion meldet Benutzer automatisch an das Betriebssystem an Aktiviert wird der SAL vom Benutzer selbst ber den SAL Dialog SafeGuard Easy Sicherer Automatischer Logon Um zu vermeiden dass Benutzer die automatische Windows Anmeldung ablehnen unterdr ckt SafeGuard Easy auf Wunsch den Dialog f r alle SafeGuard Easy Benutzer und f hrt den SAL ohne Best tigung durch Ausgeschaltet wird der Dialog ber eine Richtlinie in Utimacos administra tiver Vorlage unter Computerkonfiguration Administrative Vorlagen SafeGuard SGEasy 254 Auf der Eigenschaftsseite von SGEasy einfach den Haken vor Dialog f r sichere
161. cturer ReinstallFileOlderversion ReinstallRepair InstallMode ErrorDialog Accept ALLUSERS WiseInitSpaceError _WiseDialogFontDefault ProductID _wiseDialogTitleFontDefault NoServerCon DiskPrompt ApplicationUsers MicaTnitl annNafa le Yalue SafeGuard Easy Client 4 40 4 40 Utimaco Safeware AG o r Custom ErrorDialog No 1 Could not create temporary file not enough fre amp MSSansSerif8 1 amp Ariald 0 ProductName 1 Allusers Ennlich 1022 6 W hlen Sie Transform gt Generate Transform Sgeasy msi transformed by Untitled Orca ll Fie Edit Tables Transform Tools View Help Deu Tables Yalue Msidssembly CET lame SafeGuard Easy Client 4 30 1 Msi ssemblyName close Transform rsion 4 30 1 12 MsiDigitalCertifica urer Utimaco Safeware AG MsiDigitalSignatur Transform Properties ileOlderVersion o MsiFileHash epair r ODBC ttribute InstallMode Custom 7 Speichern Sie die Transform Datei im freigegebenen Installationsverzeichnis z B Z SGEl install Save Transform As Ax Save in O install x O f pem My Recent Documents Desktop My Documents My Computer File name SGEtrans mst e My Network Save as type Windows Installer Transform mst x 8 Die Sgeasy msi Datei kann nun unter Anwendung der Transform Datei ber msiexec exe siehe Beispiel oder ber eine entsprechende Gruppenrichtlinie im AD verteilt werden
162. d Easy Datenbank auf dem SafeGuard Easy Server registrieren 440 Adhministrationskonsole BRRETEPRETHEERSRER 447 31 1 Anmelden an die SafeGuard Easy Datenbank 447 31 1 1 Verbindung trennen und wiederaufnehmen 448 31 1 2 Standardzugangsdaten zur SafeGuard Easy Datenbank ndern c2zssrsreerererereeenenen nenn 449 31 2 Benutzeroberfl che 000rrers000000srreen nn 00r 452 31 2 1 Inhalt der Registerkarten als Textdatei speichern 0000000000000000 0000 454 31 3 Aktuelle Konfiguration eines registrierten SafeGuard Easy Clients anzeigen 455 31 3 1 Beschreibung des Client ndern 456 31 3 2 Client l schen 0000000000ssersesnnnssnssnsnnne 456 31 4 SafeGuard Easy Client neu registrieren 457 31 4 1 Mehrere SafeGuard Easy Clients neu registrieren eeeeeeseeeesesssssnsnnsnesseeennnnnne 461 31 5 SafeGuard Easy Clients auf einem anderen SafeGuard Easy Server registrieren 462 31 6 Gruppen definieren rennen 467 31 6 1 Gruppen erstellen l schen 467 31 6 2 SafeGuard Easy Client einer Gruppe zuweisen aus einer Gruppe entfernen 468 31 6 3 Gruppenzugeh rigkeit sesseereeeseeeeeenennn 469 31 6 4 Gruppennamen ndern 470 31 6 5 Gruppe l schen sssssesessssssssssssssesessssessssssssse 470 31 7 Filter definieren eesssessssossssossseosssosss
163. d Easy FIPS konform installieren 307 12 23 24 22 3 Sicherer Einsatz von SafeGuard Easy in zertifizierter Konfiguration 000000000000000 309 SafeGuard Easy und Lenovo Thinkvantage Technologien Embedded Security Subsystem ESS Chip 311 23 1 SafeGuard Easy und TPM userreessnnnesessosenseseenenn 313 23 2 Chip Nutzung vorbereiten 00r0000000000000 314 23 3 Erforderliche Einstellungen f r Client Security Integration 0000000000000snsnsnnsnnsnnesnnsssnnsnsnnnne 315 23 4 Erforderliche Einstellungen f r die Erzeugung von Zufallsschl sseln ber den TPM Chip sseesssessseesseessseossseossseessesesseesssessee 318 23 5 Erforderliche Einstellungen f r die Sicherung der Client Server Authentisierung ber den TPM Chip 0060 319 23 6 Erforderliche Einstellungen f r die Maschinenbindung ss0000000000000000s0000e 323 23 6 1 Initiale Maschinenbindung 000 324 23 6 2 Maschinenbindung gescheitert 326 23 6 3 Maschinenbindung Wiederherstellung 327 23 6 4 Konfiguration des Wiederherstellungsmodus 330 SafeGuard Easy und Lenovo Thinkvantage Technologien Rescue and RecoveryTM 333 24 1 berblick esseseseessessseseessenseeneenneesnenneessennnnnn 333 24 2 Rescue and Recovery und SafeGuard Easy 334 25 26 24 2 1 Vorteile der Kombination Rescue and Recovery und SafeGuard Eas
164. d Easy Installation erscheint zur Anmeldung an das Betriebssystem der regul re Windows Dialog Kunden k nnen das Er scheinungsbild der Standard Anmeldung jedoch auch anpassen und die regul re Windows Anmeldung gegen einen Dialog im Utimaco Design austauschen Kompatibilit t mit dem Volumenschattenkopie Dienst von Windows XP Der Volumenschattenkopie Dienst von Windows XP erstellt einen Sofort Backup von ge ffneten Dateien oder Datenbanken Mitarbeiter m ssen ihre Arbeit also nicht unterbrechen w hrend ein Administrator ihre Daten sichert SafeGuard Easy unterst tzt den Volumenschattenkopie Dienst vollst ndig manuelle Systemkonfigurationen sind nicht notwendig Hinweis Als Alternative zur Kopierfunktion von Windows XP k nnen Benutzer auch andere SafeGuard Easy kompatible Tools wie Lenovos Rescue und Recovery verwenden das auch f r Nicht Lenovo Plattformen verf gbar ist 1 3 Neues in SafeGuard Easy Die Version 4 50 von SafeGuard Easy behebt in den Vorg ngerversionen aufgetretene Probleme Details entnehmen Sie bitte der Liesmich txt Neues in SafeGuard Easy 4 50 Unterst tzung der aktuellesten Betriebsystem Service Releases Der SafeGuard Easy Client unterst tzt die aktuellsten Version von eingesetzten Betriebssystemen z B Windows XP Service Pack 3 und Windows Server 2003 Service Pack 2 Unterst tzung der aktuellesten Token Hardware und Middleware SafeGuard Easy unterst tzt die aktuellsten Versionen von Alad
165. d in diesem Dialog die Checkbox bei Diese Meldung nicht mehr anzeigen aktiviert wird die Benutzerreaktion in der Regist rierung gespeichert und beim n chsten Neustart dieser Wert ver wendet Original Microsoft GINA verwenden Die Original Microsoft GINA wird an die erste Stelle der GINA Kette platziert Unbekannte GINA verwenden Platziert die unbekannte GINA an die erste Stelle der GINA Kette 17 3 5 Novell Anmeldung Gilt nur f r Single Sign On von SafeGuard Advanced Security Werden mehrsprachige Novell Versionen eingesetzt sucht SafeGuard Single Sign On den Standard Eintrag und den im Feld Titel des Anmelde dialogs eingetragenen Anmeldedialog und bef llt diesen mit den auf dem Token gespeicherten Novell Anmeldeinformationen Sie finden die Richtlinie in der administrativen Vorlage unter Computerkonfiguration Administrative Vorlagen SafeGuard Authentication Logon Optionen Novell Anmeldung 280 18 Arbeitsplatzsperre von SafeGuard Easy SafeGuard Easy ersetzt die regul re Windows Arbeitsplatzsperre mit einem eigenen Dialog Dieser Rechner wird zur Zeit benutzt und wurde gesperrt Bitte geben Sie zum Entsperren Ihr SafeGuard Easy Passwort ein Passwort Wenn der PC sich im Pausenmodus befindet kann nur der Benutzer der ihn gesperrt hatte durch Eingabe seines SafeGuard Easy Passworts die Arbeitsoberfl che wieder aktivieren Bildschirm und Arbeitsoberfl che werden gesperrt m
166. de erzeugen Der Challenge Code wird vom Benutzer erzeugt der z B sein SafeGuard Easy Passwort vergessen hat Abh ngig von der Art des Systemstarts ergeben sich unterschiedliche Vorgehensweisen beim Erzeugen des Challenge Codes Systemstart mit Pre Boot Authentisierung Beim Systemstart mit Pre Boot Authentisierung muss der Benutzer seinen SafeGuard Easy Benutzernamen an der Pre Boot Authentisierung eingeben und anschlie end in das Passwortfeld wechseln Nach Dr cken von F9 wird der Challenge Code angezeigt SafeGuard Easy AST UM GER Code 55 W 15 5X RX 1U K1 Bitte Antwortcode eingeben 356 Systemstart ohne Pre Boot Authentisierung Beim Systemstart ohne Pre Boot Authentisierung erscheint beim Booten des Rechners f r wenige Sekunden ein Diskettensymbol in der linken oberen Ecke des Bildschirms Der Benutzer dr ckt nun w hrend dieses Zeitraums die Taste F2 Der Anmeldedialog der Pre Boot Authentisierung erscheint und der Benutzer gibt seinen SafeGuard Easy Benutzernamen an der Pre Boot Authentisierung ein und wechselt ins Passwortfeld Nach Dr cken von F9 wird der Challenge Code angezeigt Sonderfall Deinstallation Um SafeGuard Easy per Challenge Response zu deinstallieren muss der Challenge Code ber den Deinstallationsdialog Programme Systemsteuerung Software SafeGuard Easy Entfernen erzeugt werden Eine Deinstallation von SafeGuard Easy mit Hilfe des Challenge Response Verfahrens kann nicht in
167. dem der Benutzer sich letztmalig im System anmelden kann Sie k nnen das Datum bzw die Zeitspanne durch Direkteingabe per Tastatur einstellen Geeignet ist diese Einstellung vor allem f r den Fall dass die Nutzung ei ner Arbeitsstation f r Mitarbeiter nur f r einen bestimmten Zeitraum vorge sehen ist z B Ferienarbeiter oder Werkstudenten etc Nach Ablauf der festgelegten Frist wird die Arbeitsstation f r den Benutzer gesperrt Diese Einstellung hat keine G ltigkeit f r den Benutzer SYSTEM 160 12 7 Benutzerrechte berlegen Sie welche Zugriffsberechtigungen den einzelnen SafeGuard Easy Benutzer bertragen werden sollen Die Vergabe der Rechte f r die einzelnen Benutzer sollte aus Sicherheitsgr nden gut durchdacht werden Sie k nnen Benutzern Rechte f r tempor re und permanente Einstellun gen geben Tempor r hei t bestimmte Einstellungen gelten nur f r die Dauer einer Arbeitssitzung Nach dem Neustart des Rechners sind sie nicht mehr g ltig und die Systemeinstellungen werden wieder bernom men Permanent sind Einstellungen die auch nach einem Neustart noch vorhanden sind Folgende Rechte k nnen vergeben werden Wechselmedienschl ssel tempor r ndern Erlaubt den Schl ssel f r Wechselme dienlaufwerke f r die Dauer einer An meldung zu ndern Diskettenschl ssel tempor r ndern Erlaubt den Schl ssel f r Diskettenlauf werke f r die Dauer einer Anmeldung zu nder
168. der Installation zugewei sen werden indem als Servername OFFLINE eingetragen wird Der Offline Status hat auch Auswirkungen auf die Handhabung von Re quests die f r den Offline geschalteten PC erstellt und auf diesem ausge f hrt werden sollen Erstellt der Administrator einen oder mehrere Requests f r den Client werden diese in die Warteschleife eingereiht warten aber vergeblich auf Abholung durch den SafeGuard Easy Client da keine Verbindung zum SafeGuard Easy Server besteht Damit die nderungen trotz fehlender Client Server Verbindung bertra gen werden exportiert eine Funktion der Administrationskonsole alle f r einen Offline Client geltenden Requests in eine Datei Diese Datei schickt der Administrator per Mail an den Benutzer des Offline Clients Dieser im portiert die Datei mit Hilfe eines von SafeGuard Easy mitgelieferten Tools Sobald Requests in eine Request Datei gespeichert werden erhalten sie die Eigenschaft Wartend in der Server Warteschleife Dies verhindert dass sie sp teren Request Dateien hinzugef gt werden Sobald die Re quest Datei importiert wurde werden die Requests in der vorgeschriebe nen Reihenfolge auf dem Offline PC abgearbeitet Ohne Kontakt zum Offline Client wei der Administrator nicht ob die n derungen erfolgreich ausgef hrt wurden oder fehlgeschlagen sind Die fehlenden Informationen liefert ihm eine Report Datei die nach Ausf h rung der Request Datei erzeugt wird
169. der Pre Boot Authentisierung begonnen werden 358 26 3 Response Code Der Administrator bzw Helpdesk Mitarbeiter erzeugt den Response Code mit dem Response Code Assistenten Wer den Response Code erzeugt muss die Daten eines SafeGuard Easy Benutzerprofils am entfernten Benutzer PC kennen z B die Daten des Benutzerprofils Helpdesk Helpdesk muss am Benutzer PC wenigs tens ber die gleichen Rechte wie der anfragende SafeGuard Easy Benut zer verf gen Damit das Benutzerprofil Helpdesk bestimmte Sonderrechte gew hren kann ben tigt es f r die jeweilige Aktion folgende Benutzerrechte Geplante Helpdesk Aktion auf einem Benutzer PC SafeGuard Easy deinstallieren N tiges SafeGuard Easy Recht SafeGuard Easy deinstallieren Neues Passwort festlegen Benutzereinstellungen ndern Einmalige Anmeldung Benutzereinstellungen ndern Recht zum Schalten der Dis kettenverschl sselung tempo r r vergeben Diskettenverschl sselung schalten Anmeldung ohne Token f r X Anmeldungen Benutzereinstellungen ndern Erlaubnis zum Ausstellen eines Token erteilen 26 3 1 Response Code erzeugen HINWEIS Auf einem PC muss der SafeGuard Easy Response Code Assistent in stalliert sein Auf einem PDA muss SafeGuard PDA und die PDA Version des Response Code Assistenten installiert sein Starten Sie den Response Code Assistenten ber Programme S
170. dern Diskettenverschl sselung schalten m USER User Rechte Keine Unter Verschl sselungseinstellungen folgende Einstellungen treffen Diskettenverschl sselung Aktivieren Festplattenverschl sselung Aktivieren Wechselmedienverschl sselung Aktivieren Unter MBR Einstellungen Standardeinstellungen bernehmen Unter Zielverzeichnis Basiskonfigurationsdatei Install cfg speichern 10 Install cfg verteilen 110 Beispiel 2 Basierend auf der Install cfg aus Beispiel 1 soll nun auf allen Arbeitsstati onen der Benutzer User tempor r den Diskettenschl ssel ndern d rfen Gem der festgelegten Administrationsstrukturen wird dieses Recht von dem Benutzer SUBADMIN gew hrt Um dies zu erreichen muss der SUBADMIN eine Konfigurationsdatei vom Typ ndern erzeugen und die se an die entsprechenden Arbeitsstationen verteilen Vorgehensweise 1 Konfigurationsdateiassistent starten 2 Konfigurationsdateityp ndern w hlen 3 Als Basiskonfiguration Install cfg w hlen 4 Bei der Authentisierung an Konfigurationsdatei mit SUBADMIN Passwort subadmin anmelden 5 Bei Benutzereinstellungen m Unter USER den Punkt Rechte doppelklicken m Diskettenverschl sselung schalten aktivieren 6 Unter Zielverzeichnis Change cfg speichern 7 Change cfg auf Benutzer PC verteilen 8 5 Konfigurationsdatei ber Kommandozeile erzeugen Wenn Sie eine Konfigurationsdate
171. dern 1110889014 Status 15 03 2005 13 16 54 Geplant 0 31 9 1 Status Standard Online Jeder Client besitzt nach dem Austausch der Kommunikationsinformatio nen Schl sselpaar GUID Erzeugung Zuweisung des SafeGuard Easy Servernamens und der anschlie enden Erstregistrierung am Server den Status Standard Clients mit dem Attribut Standard sind PCs die regel m ig Kontakt mit dem Netzwerk aufnehmen z B station re PCs im B rogeb ude Diese SafeGuard Easy Clients suchen immer von sich aus Kontakt mit dem Server und holen bei jeder Kontaktaufnahme die f r sie bestimmten Requests ab zuerst beim Start des SafeGuard Easy Clients und dann alle 6 Stunden 482 31 9 2 Status Offline Bei Offline Clients handelt sich um PCs von denen man im Voraus wei dass sie nie mit dem Netzwerk oder dem SafeGuard Easy Server verbun den sind z B Notebooks von Au endienstmitarbeitern aber dennoch zentral verwaltet werden sollen Die Installation wird f r solche PCs wie gewohnt mit Erstregistrierung am SafeGuard Easy Server durchgef hrt In der Administrationskonsole schaltet der Administrator den Status des be treffenden Clients dann auf Offline Das tut er nur wenn er wei dass dieser nicht von sich aus versuchen wird das Netz zu kontaktieren Fehl geschlagene Anfragen vom Client an den Server o weisen einen Client nicht als Offline aus Der Offline Status kann einem Client bereits bei
172. din CardOS und RSA SID800 Hardware und Middleware SafeGuard Easy unterst tzt auch den Aladdin NG Flash USB Token Der Token kann wie andere Token von Aladdin Verisign und RSA zur Authentisierung des Benutzer in der SafeGuard Easy Pre Boot Authentication PBA sowie in Managementanwendungen verwendet werden SafeGuard Easy 4 50 ist mit dem RSA Datenformat SID800 kompatibel Optionale Installation der SafeGuard Easy Protokollierung Das SafeGuard Easy Modul Logging wird nicht mehr standardm ig w hrend der Installation des SafeGuard Easy Client installiert Dieses Feature kann nun als optionales Feature bei der Einrichtung des SafeGuard Easy Client unter Administrationswerkzeuge ausgew hlt werden 12 Verschiedene Optimierungen Version 4 50 bietet verschiedene Optimierungen zum Beispiel Das Setup fragt das Betriebssystem ab Handelt es sich um Windows Vista so kann die Installation nicht erfolgen F r Windows Vista ist SafeGuard Enterprise als Sicherheitsl sung vorzuziehen Das Tool RepPBA exe wird auf der SafeGuard Easy Produkt CD mitgeleifert ber dieses Tool l sst sich die Anmeldungsmethode innerhalb der PBA ndern z B von Tastaturanmeldung zu Tokenanmeldung Eine vollst ndige Auflistung aller Optimierungen finden Sie in der Datei Liesmich txt 1 4 nderungen zu Vorg ngerversionen USB Token neu ausstellen USB Token die mit SafeGuard Easy Versionen vor 4 11 ausgestellt wur den sind in der
173. dschirm bernimmt die bei der Installation gew hlte Spra che Deutsch Englisch oder Franz sisch Benutzer m ssen SafeGuard Easy nun nicht mehr deinstallieren um die Texte der Pre Boot Authenti sierung in einer anderen Sprache darzustellen ACHTUNG Es lassen sich nachtr glich nur die in der Pre Boot Authentisierung an gezeigten Texte ndern nicht das Tastaturlayout Parameter f r die Sprach nderung SetPBALang kann mit folgenden Parametern aufgerufen werden SetPBALang en de fr n en de r Setzt die neue Sprache fest n Verwendet eine Nummer 1 255 f r die Spracheinstellung Folgende Sprachen werden unterst tzt 9 Englisch 7 Deutsch 12 Franz sisch Nach einem Neustart ist die Spracheinstellung ge ndert SetPBALang finden Sie im Programmverzeichnis von SafeGuard Easy 118 9 2 Passwort beim Systemstart abfragen Die Option Passwort beim Systemstart abfragen schaltet die Pre Boot Authentisierung ein aus Ist die Pre Boot Authentisierung eingeschaltet wird ein Anmeldebildschirm angezeigt bevor das Betriebssystem geladen wird Erst nach erfolgreicher Authentisierung mit den korrekten SafeGuard Easy Zugangsdaten startet Windows Schalten Sie die Pre Boot Authentisierung aus ist keine Anmeldung vor dem Systemstart erforderlich Die Authentisierung erfolgt dann wie ge wohnt ber den Anmeldedialog des Betriebssystems Aus Sicherheitsgr nden sollten Sie die Pre
174. dung getrennt F Standby Der Computer wird in den Standby Modus versetzt In einer Terminal Server Session wird die Session gesperrt berblick ber m gliche Aktionen und ihre Auswirkungen auf den lokalen Rechner bzw auf die Terminal Server Session Einstellung Aktion lokal bzw Aktion in Terminal auf Server Server Session lt Keine gt keine keine Benutzer abmelden abmelden abmelden Computer herunterfahren abmelden herunterfahren Computer neu starten abmelden neu starten Computer in in Ruhezustand Session sperren Ruhezustand versetzen versetzen Verbindung keine Verbindung trennen trennen Standby Standby Session sperren HINWEIS In einer Remote Desktop Session gelten f r die Einstellungen diesel ben Aktionen wie sie f r lokal bzw auf dem Server beschrieben sind 276 m Aktionsverz gerung Standard 15 Mit Aktionsverz gerung stellen Sie den Zeitraum in Minuten ein nach dem das System eine der beschriebenen Aktionen ausf hren soll Als Standardwert ist 15 vorgegeben Sie k nnen die Zahl ent weder direkt per Tastatureingabe oder mit den Richtungspfeilen ndern Bildschirmschoner sperren Standard Deaktiviert Ein gestarteter Bildschirmschoner wird in der Regel mit einer Mausbewegung oder Tastatureingabe aufgehoben und der Benut zer kann ohne Eingabe seiner Zugangsdaten weiterarbeiten Ist das Kontrollk stchen Bildschirmschoner sperren aktiviert wird die Arbeitssta
175. e Vorlagen gt Vorlagen hinzuf gen 114 Sguard_0407 adm ist abgelegt im SafeGuard Easy Installationsverzeichnis im Ordner ADM Vorgang Ansicht I e FEINSTE Struktur l E Computerkonfiguration Ml Benutzerkonfiguration Richtlinien f r Lokaler Computer a Computerkonfiguration FH Softwareeinstellungen E Windows Einstellungen Administra en fe Benutzerkonfiguration Softwareeinstellungen Ale Tasks gt Windows Einstellungen H A Administrative Vorlaaer Hilfedatei anzeigen Neben den bisherigen Ordnern erscheint der Ordner SafeGuard in der Computerkonfiguration g Group Potiey Action View e 7 am B e Tree Local Computer Policy Oisgeasy a Computer Configuration EAuthentication E Software Settings E Windows Settings Administrative Templates D Windows Components SEa Sar Guard Sgeasy Authentication ne m Bei Nicht Windows Vorlagen stellt die vorkonfigurierte Ansicht ein Problem da Deswegen muss zur Ansicht der einzelnen Richtlinien folgende Einstellung vorgenommen werden Windows 2000 Ordner Administrative Vorlagen markieren gt Men Ansicht gt Haken vor Nur Richtlinien anzeigen entfernen Windows XP Windows Server 2003 Ordner Administrative Vorlagen markieren gt M
176. e hinzuf gen entfernen Encryption Sgeasy Installiert SafeGuard Easy inkl SafeGuard Anmeldekomponente Utimaco Master GINA FIPS Encryption Installiert den FIPS Modus SCSAL Encryption Installiert den SAL mit Smartcard ServerCon Encryption Installiert die Server Anbindung Netzwerkagenten f r die zentrale Administration SGAuth_ MachineBinding Encryption Erweitert die Windows Anmelde prozedur um die TPM Maschinen bindung Features SGSAL Encryption Installiert den sicheren automati schen Logon SAL Installierbare Funktionen Features mit Sgeasy msi Forts AdmTools Sgeasy Installiert die Administrationswerk zeuge z B Konfigurationsdatei assistent Response Code Assistent Nach einem automatischen Neustart sind die Funktionen Features nicht aktiv Sie k nnen nachtr glich ohne Benutzerinteraktion aktiviert werden oder manuell ber Systemsteuerung Programme hinzuf gen entfernen Auditing AdmT ool Installiert die SafeGuard Easy Protokollierung TokenSup Adm m ool Installiert die Token Anmeldung f r die Administrationswerkzeuge CfgWiz AdmT ool Installiert den Konfigurationsdatei assistenten RcWiz Adm p ool Installiert den Response Code As sistenten SGAuth_UVM SGSAL Erweitert die Windows Anmeldeprozedur um die Unterst
177. e Funktionen m glicherweise enthalten sein 8 6 H ufig verwendete Registry Einstellungen f r SafeGuard Easy ber die administrative Vorlage ndern Um den Komfort bei der Konfiguration zu steigern hat Utimaco eine eige ne administrative Vorlage f r den Gruppenrichtlinieneditor Gpedit msc erstellt Mit dieser Vorlage Dateiname Sguard_0407 adm lassen sich bestimmte SafeGuard Easy Einstellungen bequem vornehmen ohne die Registry bearbeiten zu m ssen HINWEIS Die administrative Vorlage wird nur bei einer SafeGuard Easy Client Installation angelegt Die Einstellungen der administrativen Vorlage f r einen Benutzer PC ndert ein Administrator lokal ber den Gruppenrichtlinieneditor Gpedit msc oder zentral ber Gruppenrichtlinienobjekte GPOs in einer Active Directory Umgebung Benutzer haben in einer IT Umgebung gew hnlich keine Administratorrechte k nnen demzufolge selbst die SafeGuard Easy Richtlinien nicht ndern Im folgenden eine Kurzanleitung wie die Utimaco Vorlage in ein lokales System eingebunden wird Die Handhabung administrativer Vorlagen in einer Active Directory Umgebung mit GPOs lesen Sie bitte in der g ngi gen Microsoft Dokumentation nach 1 Als Benutzer mit Windows Administratorrechten anmelden 2 Unter Start Ausf hren das Kommando gpedit msc eingeben und den lokalen Gruppenrichtlinieneditor starten 3 Die SafeGuard Vorlage Sguard_0407 adm ber Administrativ
178. e Microsoft Access Datenbank im SafeGuard Easy Instal lationsverzeichnis Sgeasy mdb des Servers erzeugt siehe Systemsteu erung Verwaltung Datenquellen ODBC Diese Datenbank ist passwortgesch tzt IODBC Datenquellen Administrator al Ablaufverfolgung Verbindungs Pooling Info Benutzer DSN System DSN Datei DSN Treiber Systemdatenquellen Hinzuf gen Name Treiber Entfernen PEME ESIEEES Microsoft ccess Treiber mdb Konfigurieren In einer ODBC Systemdatenquelle werden Informationen dar ber gespeichert wie eine Verbindung mit einem Datenprovider hergestellt wird Auf eine Systemdatenquelle k nnen alle Benutzer eines Computers und die Dienste von Windows 2000 zugreifen DESIREN gt Installieren Sie den SafeGuard Easy Server durch Aufrufen von Server msi aus dem CD Verzeichnis SERVER W hlen Sie im Rahmen einer Angepassten Installation die Option Server aus Sobald Sie fertig sind m ssen Sie ihr System neu starten e SafeGuard Easy Server Funktionen ausw hlen W hlen Sie die zu installierenden Funktionen aus SafeGuard Sr Xr tzung f r Remote X v Administrationskonsole 30 3 2 SafeGuard Easy Administrationskonsole installieren Da es meistens unerw nscht ist direkt auf dem Server Installationen und Konfigurationen durchzuf hren sollte die Datenbank von einer administ rativen Workstation aus administriert werden Sie k nnen ein
179. e Token Anmeldung ist ein SafeGuard Easy Benutzerwechsel dann nur m glich wenn der PC komplett herunter gefahren wird und sich der neue Benutzer in der Pre Boot Authentisierung mit seinen Profildaten anmeldet Dies kann unter Umst nden viel Zeit in Anspruch nehmen Benutzer begr en es jedoch wenn zwischen Abmel dung des alten Benutzers und Erscheinen des Desktops des neuen Be nutzers m glichst wenig Zeit vergeht Zeitaufwendiges Neustarten des PCs f r einen SafeGuard Easy Benutzerwechsel ist nicht notwendig wenn Token eingesetzt werden In diesem Fall gen gt eine einfache Windows Abmeldung des alten Benutzers Im Windows Anmeldedialog steckt der neue Benutzer dann seinen Token in den USB Port authentisiert sich mit der PIN und wird mit dem auf dem Token gespeicherten SafeGuard Easy und Windows Rechteprofil angemeldet Voraussetzung f r den Benutzerwechsel ist jedoch dass die Pre Boot Authentisierung aktiviert ist und wenigstens einmal g ltige SafeGuard Easy Zugangsdaten dort eingetragen wurden 15 12 1 Voraussetzungen 1 Installieren Sie SafeGuard Easy und aktivieren Sie die Pre Boot Authentisierung 2 Schreiben Sie SafeGuard Easy und Windows Daten auf den Token 3 Beenden Sie die Windows Sitzung ber Start Beenden lt Benutzer gt abmelden oder Strg Alt Entf Abmelden beenden 15 12 2 Beispiel So funktioniert der schnelle SafeGuard Easy Benutzerwechsel 1 Benutzer 1 steckt s
180. e beliebige Arbeitsstation zur administrativen Arbeitsstation machen es muss nur eine Netzwerkverbindung zu der Server Maschine bestehen Installieren Sie die Administrationskonsole durch Aufrufen von Server msi aus dem CD Verzeichnis SERVER W hlen Sie im Rahmen einer Angepassten Installation die Option Administrationskonsole aus und setzen Sie die Installation fort N SafeGuard Easy Server Setup J oj xj Select Features O Please select which features you would like to install a S c Er BESTE Feature Description SEVE X v Remote Administration Su Ev Administration Console This feature will be completely removed This feature frees up 1156KB on your hard drive Utimaco Safeware AG Disk Cost Beset Cancel Sobald Sie fertig sind m ssen Sie ihr System neu starten Nach dem Neustart finden Sie unter Programme Utimaco SafeGuard Easy die Eintr ge Administrationskonsole und Konfigurationsdateiassis tent 428 30 3 3 SafeGuard Easy Clients installieren Die Installationsprozedur funktioniert wie gewohnt siehe lokale oder zen trale Installation Zur Kommunikation mit dem Server muss den Clients je doch der UNC NETBIOS Name des SafeGuard Easy Servers und der sog Netzwerkagent Server Anbindung mitgegeben werden der die Kom munikation mit dem Server erm glicht Der Netzwerkagent kann nach der Installation von SafeGuard Easy nicht mehr mitge
181. e der Hiberfile sys entspricht in etwa der Gr e des zur Verf gung stehenden Arbeitsspeichers Anschlie end wird der Computer ausge schaltet Wenn Sie den Computer wieder einschalten wird der Desktop genau so wiederhergestellt wie Sie ihn beim Herunterfahren verlassen haben d h der Inhalt der Hiberfile sys wird wieder zur ck in den Arbeits speicher geschrieben Nach der Deaktivierung des Ruhezustandes wird die Hiberfile sys ung ltig gemacht 294 20 2 Ruhezustand und SafeGuard Easy Auf einer unverschl sselten Betriebssystempartition ist das Umschal ten des Rechners in den Ruhezustand ein Sicherheitsrisiko weil dabei der komplette Hauptspeicherinhalt ausgelagert wird und f r nicht autorisierte Dritte leicht zug nglich ist Auf einer verschl sselten Betriebssystempartition erlaubt es SafeGuard Easy den Ruhezustand zu nutzen und die erzeugte Hiberfile sys verschl sselt und damit sicher auf der Platte abzulegen Somit sind alle Daten auf der Festplatte zu jeder Zeit verschl sselt Zugriff auf das System erhalten nur Benutzer die sich nach einem Wiederanlauf des Rechners in der Pre Boot Authentisierung vorausgesetzt diese ist aktiviert mit g ltigen SafeGuard Easy Zugangsdaten authentisieren k nnen HINWEIS Wenn sich unterschiedliche SafeGuard Easy Benutzer eine Arbeitssta tion teilen gelangt trotz Authentisierung mit unterschiedlichen SafeGuard Easy Zugangsdaten in der Pre Boot Authentisierung jeder von ih
182. e lokale Festplatte kann nur noch zum Hochfahren dieses Computers verwendet werden F r Informationen zur Herstellung einer Sicherungskopie schlagen Sie bitte im Handbuch nach Bei jedem folgenden Hochfahren des Computers pr ft die Software den Status der Maschinenbindung Der Bootvorgang wird nur fortgesetzt wenn die Signaturen identisch sind 23 6 2 Maschinenbindung gescheitert SafeGuard Authentication gt ra G C E E utmaco Die berpr fung der Maschinenbindung ist gescheitert Es k nnte sein dass die lokale Festplatte an einem anderen Computer angemeldet ist oder dass die Einstellung der Sichersheit Hardware ge ndert wurde beziehungsweise korrumpiert wurde F r zus tzliche Hilfe setzen Sie sich bitte mit Ihrem Sicherheitsadministrator in Verbindung Wiederherstellen Folgende Situationen verursachen ein Scheitern der Verifikation der Signaturen m Das Hardware Sicherheitsmodul ist deaktiviert m Das Hardware Sicherheitsmodul ist besch digt m Der Master Key des Sicherheitsmoduls wurde ge ndert m Die Referenzsignatur wurde ver ndert m Die Referenzsignatur fehlt m Das f r die Signieroperation verwendete Schl sselpaar wurde ver ndert m Der verwendete CSP funktioniert nicht oder wurde ge ndert m Die CSS Konfiguration wurde ge ndert 326 Um trotz gescheiterter Maschinenbindung den Zugang zum System zu er m glichen wird in diesem Dialog eine Wiederherstell
183. ebung Die Rettungs Tools sind aufrufbar ber den Microsoft Windows Desktop oder die in Lenovo Systeme integrierte blaue Thinkvantage ehem Access IBM Taste Rescue and Recovery unterst tzt aber auch Nicht Lenovo Systeme Rescue and Recovery zielt prim r auf mobile Endbenutzer die maximale Sicherheit f r ihre Notebooks anstreben aber sich im Fall eines Systemproblems selbst helfen m ssen Utimaco Safeware erg nzt als erster professioneller Anbieter von Fest plattenverschl sselung die Lenovo L sung um die M glichkeit besch digte Systeme wiederherzustellen ohne die Verschl sselung zu verlieren Verf gbarkeit Integrit t und Vertraulichkeit von Daten ist mit der Kombina tion von Rescue and Recovery und SafeGuard Easy garantiert F r weiterf hrende Informationen zu Rescue and Recovery schlagen Sie bitte in Ihrer Lenovo Dokumentation nach 334 24 2 Rescue and Recovery und SafeGuard Easy SafeGuard Easy integriert sich reibungslos in die Rescue and Recovery Vorgaben und unterst tzt nat rlich auch Lenovo eigene Features wie den Thinkvantage ehem Access IBM Button auf der Tastatur von Note books oder den blauen Eingabe Button bei Desktop PCs Angenommen ein Benutzer verschl sselt die komplette Festplatte mit SafeGuard Easy wird er unmittelbar nach der Installation aufgefordert eine Sicherungskopie zu erstellen In diesem Systemabbild enthalten sind u a die SafeGuard
184. edenen Konfigurationssei ten Mit einer Basiskonfigurationsdatei werden deren Einstellungen gela den ohne Basiskonfiguration erscheinen die Standardeinstellungen s Verschl sselung nel ohne Token 7 Benutzer Wake on LAN aktivieren Nein Anzahl der automatischen nmeldev 0 Passwort bei Systemstart abfragen Ja Passworteingabe verdecken Nein Mindestl nge der Passw rter Mindestalter der Passw rter 30 Mindestanzahl der Symbole Ei Gro Kleinschreibung verwenden Detaillierte Informationen zu den Konfigurationsseiten finden Sie in den entsprechenden Kapiteln 102 Zielverzeichnis Im Dialog Zielverzeichnis legen Sie fest in welchem Pfad Sie eine neu erstellte Konfigurationsdatei speichern wollen Um Probleme zu vermeiden notieren Sie sich bitte immer die Eigenschaf ten und Einstellungen die Sie einer Konfigurationsdatei zuweisen HINWEIS Bei einer Konfigurationsdatei vom Typ ndern mit Basiskonfiguration werden Sie nach dem Klick auf Speichern gefragt ob Sie die angegebene bereits existierende Basiskonfigurationsdatei ersetzen wollen Wenn Sie Ja dr cken wird die Datei berschrieben und die nderungen werden der bereits bestehenden Basiskonfigurationsdatei hinzugef gt Sie sollten die originale Basiskonfigurationsdatei behalten und eine neue Datei erzeugen Benennen Sie einfach die Basiskonfigurations datei um und speichern Sie sie unter anderem Namen ab
185. ee 3 Administrative Vorlagen Inform Server 5401 Report einer nderungsanforderung Nicht Konfig mform Server 5402 Report lokaler nderungen Nicht Konfig inform Server 5403 Arbeitsstation Registrierung Nicht Konfig inform Server 5404 nderungsanforderungen gesendet Nicht Konfig inform Server 5405 nderungsanforderungen abgeholt Nicht Konfig inform Server 5406 nderungsanforderungen exportiert Nicht Konfig 3 Doppelklicken Sie im rechten Feld auf ein Ereignis oder w hlen Sie in dessen Kontextmen Eigenschaften 4 Der Eigenschaften Dialog des Ereignisses erscheint Lesen verweigert Eigenschaften E xl Allgemein x Lesen verweigert C Aktiviert Deaktiviert Aktive Ziele f r dieses Ereignis Hinzuf gen L schen Abbrechen bernehme In diesem Dialog legen Sie Status und Ausgabeziel fest Nicht konfiguriert Standard Das Ereignis gilt als deaktiviert ACHTUNG Bereits zugewiesene Ziele zu Ereignissen haben Vorrang gegen ber dieser Einstellung Ist ein Ziel bereits einem Ereignis zugewiesen ist diese Option hinf llig Aktiviert Das Ereignis wird f r ein oder mehrere Ziele protokolliert Deaktiviert Das Ereignis wird deaktiviert und nicht protokolliert ber Hinzuf gen ffnet sich ein Dialog in dem alle registrierten Ziele angezeigt werden Die dort markierten Ziele werden in das Feld Aktive Ziele f r das Ereignis bernommen L
186. ehler 2507 2508 2509 2510 2511 Der angegebene Benutzer konnte nicht gefunden werden Keinen derzeitig angemeldeten Benutzer gefunden Es konnte nicht geschrieben werden weil ein existierender Eintrag zu klein f r den neuen Eintrag ist Der Zielpuffer ist zu klein f r den ganzen Eintrag Kein Speicher verf gbar Datenbanktreiber Fehler 2601 2602 2603 2604 2605 Das Schreiben von Daten in die Datenbank schlug fehl Das Lesen von Daten aus der Datenbank ist fehlgeschlagen Die Erzeugung eines Eintrages in der Datenbank ist fehlge schlagen Das L schen eines Eintrages aus der Datenbank ist fehlge schlagen Die Datenbank ist nicht erreichbar Interface Fehler 3001 3002 Das COM Interface Object kann nicht verschl sselt wer den nInterface Name 1 nFehler Nummer 2Zusatzinformation 3 Die Ausf hrung einer Interface Methode ist fehlgeschlagen Folgende detailierte Fehler Informationen wurden gemeldet nFehler Nummer 1 nhResult 2 nBeschreibung 3 nIn terface 4 nBitte kontaktieren Sie Ihren Systemadministrator Client Server Fehler 3201 Der Server oder der Client ist gegenw rtig besch ftigt und kann die Anforderung jetzt nicht bearbeiten 524 Administrationskonsole Fehler 3301 3302 3303 3304 Datenbankverbindung fehlgeschlagen Serverkonsole Schnittstelle nicht gefunden Fernadministration Schnittstelle nicht gefunden Dateikonfigurationsassistent Schnittste
187. ehlerhafte Kennworteingabe registriert wird dies im Lockdialog angezeigt So k nnen Sie beispielsweise kontrollieren ob sich Unbefugte w hrend Ihrer Abwesenheit ohne Ihr Wissen an Ihrer Arbeitsstati on anmelden wollten Bei Entfernen der Markierung wird wieder der entsprechende Windows Dialog angezeigt 270 Vorpr fung der Benutzerdaten bei DF Anmeldung ausschalten Wenn Sie das Kontrollk stchen markieren wird beim Aufbau von DF Verbindungen keine Vorpr fung von Benutzerkonten durchgef hrt Benutzerabmeldung bei gesperrter Arbeitsstation erm glichen Hat ein Benutzer eine Arbeitsstation gesperrt k nnen Sie anderen Benutzern das Aufheben der Sperre erlauben wenn Sie das Kon trollk stchen markieren Zum Aufheben der Sperre gen gt die An meldung des anderen Benutzers Deaktivieren der DF Auswahlbox im Utimaco Anmeldedialog Wenn Sie das Kontrollk stchen markieren wird die Option Anmelden ber das DF Netzwerk im Utimaco Anmeldedialog deaktiviert SafeGuard Plugin im 3rd Party Anmeldedialog anzeigen Wird diese Option aktiviert wird auch im 3rd Party Anmeldedialog angezeigt dass SafeGuard Authentication installiert ist kad Auf NT Technologie basierend OD U Benutzername amer Kennwort pe Abbreehen Optionen gt amp SafeGuard Security Plugin Copyright 1996 2004 Utimaco Safeware AG m Bitmap ersetzen mit In diesem Eingabefeld kann ein Bitmap angegeben werden das i
188. eignisanzeige oder der Proto kolldatei eingesehen werden Dargestellt werden m Computer Name des Computers auf dem das protokollierte Er eignis auftrat m Datum Systemdatum an dem das Ereignis erzeugt wurde m Zeit Systemzeit an dem das Ereignis erzeugt wurde m Benutzer Benutzer der beim Auftreten des Ereignisses angemel det war m Typ Klassifizierung des Ereignisses durch Windows z B Warnung Fehler m Ereignis ID Nummer zur Identifizierung des Ereignisses Quelle Die Software die das Ereignis produziert hat m Kategorie Klassifizierung des Ereignisses durch die Quelle Die Ereignisse werden immer in der eingestellten Systemsprache ausge geben 406 29 6 1 Ereignisanzeige Event Log Angezeigt werden die von der Protokollierung aufgezeichneten Ereignisse im Anwendungsprotokoll der Windows Ereignisanzeige Zum Starten der Ereignisanszeige klicken Sie unter Windows auf Start zeigen auf Programme dann auf Verwaltung und klicken dann auf Ereig nisanzeige Rufen Sie dann das Anwendungsprotokoll auf werden im so genannten Detailbereich die protokollierten Ereignisse angezeigt B treignisanzeige ioj xi vergang asit e gt alale nle Struktur Anwendungsprotokoll 134 Ereignis se Ereignisanzeige Lokal N Anwendungsprotokoll Informationen 03 05 2004 SGAuthentication Authenti Sicherheitsprotokoll Informationen 03 05 2004 19 28 48 Scecli Keine 1704 Systemprotak
189. eine Protokolldatei zu vermeiden und f r die zentrale Protokollierung der Ereignisse mehrerer Arbeitsstationen generell die Fernprotokollierung einzusetzen SNMP Traps Sie haben die M glichkeit SNMP Traps aus der Protokollierung f r den Fall zu erzeugen dass auf einer Clientmaschine ein Ereignis auftritt das an den Administrator gemeldet werden muss Weitere Informationen zu diesem Thema finden Sie in der Utimaco Wissensdatenbank http www utimaco de myutimaco Nutzen Sie bitte die Suchfunktion der Wissensdatenbank um nach Stichworten wie SNMP zu suchen 30 Zentrale Administration In Erg nzung zu den bekannten Verwaltungsmechanismen gibt es nun eine eigene Applikation die zentrale Aufgaben ausf hrt Diese verwaltet alle installierten SafeGuard Easy Clients in einem Firmennetzwerk und bernimmt auch die gesicherte zentrale Verteilung etwaiger Konfigurati ons Updates an Gruppen von Clients die Anzeige von deren aktuellem Status sowie das zentrale Archivieren von Systemkernsicherungen Auch Clients die sich nur unregelm ig mit dem Netzwerk verbinden Offline Clients sind in die zentrale Verwaltung integrierbar Der aus fr heren Versionen bekannte Administrationsmechanismus ber Konfigurationsdatei und Softwareverteilungswerkzeug eines Drittherstel lers ist weiterhin einsetzbar 412 30 1 Funktionsweise Im Rahmen der zentralen Administration werden SafeGuard Easy Client PCs von zentraler Stelle ber
190. einen Token schaltet den PC ein 2 Die Pre Boot Authentisierung erscheint Benutzer 1 gibt das Token Passwort in der Pre Boot Authentisierung an Auf dem Token befinden sich diese SafeGuard Easy Profildaten Benutzername Benutzer Passwort Passwort1 SafeGuard Easy Rechte Keine Sind auch Windows Daten auf dem Token gespeichert wird der Benutzer ohne weitere Angaben automatisch an SafeGuard Easy und Windows angemeldet Das SafeGuard Easy Profil von Benutzer 1 ist aktiv Der Benutzer hat keine SafeGuard Easy Rechte 3 Benutzer 1 beendet seine Arbeit meldet sich von Windows ber START BEENDEN Benutzer 1 abmelden ab Alternativ Strg Alt Entf Abmelden 4 Benutzer 1 zieht nach dem Abmelden seinen Token 5 Der Windows Anmeldedialog erscheint 6 Benutzer 2 steckt seinen Token mit SafeGuard Easy und Windows Daten in den USB Port gibt sein Token Passwort ein und wird mit diesen SafeGuard Easy Profildaten angemeldet Benutzername Benutzer2 Passwort Passwort2 SafeGuard Easy Rechte Diskettenverschl sselung schalten Das SafeGuard Easy Profil von Benutzer 2 ist aktiv Der Benutzer darf die Diskettenverschl sselung ein ausschalten 226 15 13 Hilfe im Notfall F r folgende Szenarien kann die Notfallhilfe notwendig sein m Benutzer verliert Token m Benutzer vergisst Token z B zu Hause m Benutzer wei das Token Passwort nicht mehr In allen F llen hilft das Challenge Response Verfahren von
191. el 1 Zertifizierung Administrationswerkzeuge Auf einem Administrator PC der ausschlie lich zur Verwaltung von SafeGuard Easy Clients dient m ssen nicht alle Funktionen vorhanden sein In der Regel gen gen die Administrationswerkzeuge Achtung SafeGuard Easy Administration wird nicht mit den Administrationswerkzeugen installiert Zu den Administrationswerkzeugen z hlen m SafeGuard Easy Logging Protokolliert sicherheitsrelevante Ereignisse die von installierten SafeGuard Produkten ausgel st werden Neben der reinen Proto kollierung bietet diese Funktion auch einen Filtermechanismus der den Administrator bei der Auswahl von relevanten Ereignissen unterst tzt siehe Protokollierung m Konfigurationsdateiassistent Erzeugt Dateien nach deren Ausf hrung die aktuelle Konfigurati on eines Clients automatisch ge ndert wird z B ein neuer Benut zer eingef gt wird siehe Konfigurationsdateiassistent m Response Code Assistent Dient dazu Benutzern bestimmte Aktionen zu erlauben z B neues Passwort setzen auch wenn der Administrator nicht vor Ort ist siehe Fernwartung Challenge Response Token Unterst tzung f r Administration Erlaubt sich mit Token an die Administrationswerkzeuge auch Administration anzumelden siehe Mit Token an den Administra tionswerkzeugen anmelden Detaillierten Informationen zu den Installationsoptionen finden Sie in den relevanten Kapiteln 5 Wenn
192. ellung nicht vergessen Mindestalter der Passw rter auf den Wert 0 setzen 2 PC neu starten 3 Der SafeGuard Easy Anmeldebildschirm Pre Boot Authentisierung erscheint SafeGuard Easy Benutzerdaten eingeben z B SafeGuard Easy Benutzername User SafeGuard Easy Passwort Sgeasy Benutzer 1D 260 4 Der Windows Anmeldebildschirm erscheint Windows Daten eingeben z B Windows Benutzername AMiller Windows Kennwort WinSecurity Windows Anmeldung Auf NT Technologie basierend en Benutzername AMiller Kennwort WinSecurity 5 Der SAL Dialog erscheint Mit JA best tigen SafeGuard Easy Sicherer Automatischer Logon SafeGuard Easy kann Sie mit den gerade gemachten Angaben automatisch an Windows anmelden wann immer Sie sich beim Systemstart mit dem BE derzeitigen SafeGuard Easy Benutzer anmelden Wollen Sie in Zukunft automatisch an Windows angemeldet werden J Diesen Dialog f r den angemeldeten SafeGuard Easy Benutzer nicht mehr anzeigen 6 Der Dialog zur Passwortsynchronisierung erscheint Hier wird das SafeGuard Easy Passwort verlangt in unserem Beispiel Sgeasy Mit dem korrekten Passwort erlaubt SafeGuard Easy das Synchronschalten der Passworte Mit OK best tigen Bee SafeGuard Easy Passwort Synchronis SafeGuard Easy synchronisiert Ihr Passwort mit Ihrem E Windows Passwort Dazu ben tigt es Ihr aktuelles Passwort Bitte geben Sie
193. elten Festplatten SafeGuard Easy ist kompatibel zu Computrace Complete mit BIOS Persistence nicht aber mit Software Persistence 352 26 Fernwartung Challenge Response SafeGuard Easy AST UN GER SafeGuard Easy Response Code Assistent Challenge Code Bitte geben Sie den erhaltenen Challenge Code ein Code 55 7W 15 5X RX 1U K1 Bitte Antwortcode eingeben p Thallenge Code E Eo w ps e e I SafeGuard Easy bietet das Challenge Response Verfahren zum Zur ck setzen vergessener SafeGuard Easy oder Token Passw rter Challenge Response ist sehr sicher und effizient m Es werden keine vertraulichen Daten ausgetauscht m Das Belauschen bzw die Verwendung abgeh rter Daten ist nutzlos m Ist auch f r Ger te ohne Netzwerkanbindung verwendbar m Der Benutzer kann in k rzester Zeit seine Arbeit wieder aufnehmen 26 1 Funktionsweise Bu ber lt F9 gt O Helpdesk Challenge System ID 1G925JX897 ax System PW Response User ID 55ZA88QS02 N gt Challenge 1G925JX897 Aktion Neues Passwort szene user Aston 55ZA88QS02 M gliche Aktionen SGE deinstallieren Neues Passwort Einmalige Anmeldung Wechselmediumverschl sselung ein aus Tempor res Anmelden ohne Token Ben tigt ein Benutzer entfernter Benutzer Hilfe muss er einen Challenge Code erzeugen Dieser Challenge Code wird auf seinem PC
194. em AUTOUSER zugeteilt wurden Sobald ein Windows Benutzer sich anmeldet den Rech ner wieder herunterf hrt und erneut startet erscheint bei aktivierter Pre Boot Authentisierung der SafeGuard Easy Anmeldebildschirm und ein SafeGuard Easy Benutzer kann sich anmelden Systemstart von Diskette Wird der PC heruntergefahren bevor die Verschl sselung der Festplatte beendet ist bootet der Rechner bei jedem Neustart IMMER direkt von der Festplatte d h ein Systemstart von Diskette ist nicht m glich Dies gilt auch f r den ersten Neustart nachdem die Verschl sselung beendet ist Partitionierung nicht mehr ndern Wenn die erste Festplatte ihres PCs verschl sselt wurde oder auch nur eine Partition d rfen Sie die Partitionierung nicht mehr ndern F r eine Neueinteilung deinstallieren Sie zuerst SafeGuard Easy Entschl sseln der ersten Festplatte erzeugen entfernen Sie Partitio nen und installieren Sie SafeGuard Easy erneut Erstverschl sselung von Hot Pluggable Festplatten nicht unterbrechen Als Hot pluggable bezeichnet man USB Ger te die angeschlossen und abgesteckt werden k nnen ohne das System neu zu starten Die Erstver schl sselung von Hot Pluggable Festplatten darf nicht unterbrochen wer den Weitere Informationen unter Unterst tzte Festplattenlaufwerke 34 Dauer der Erstverschl sselung SafeGuard Easy ben tigt f r 10 GB bei der Erstverschl sselung mit AES 256 auf einem aktuellen Notebook
195. em Fall die neue und die in der Sgsal dat abgelegte alte PIN der Smartcard nicht mehr bereinstimmen Bei einem Neustart stoppt das System beim PIN Eingabedialog Die ausgelesene alte PIN produziert eine Fehlermeldung und der Benutzer wird aufgefordert die korrekte PIN einzutragen Tr gt der Benutzer daraufhin die neue PIN ein erfolgt die Anmeldung und die PIN wird f r zuk nftige Anmeldungen gespeichert 17 1 3 SAL Smartcard SAL ausschalten Mit CHGSAL EXE aus dem SafeGuard Easy Verzeichnis k nnen SAL und Smartcard SAL nachtr glich von einem Benutzer mit Windows Admi nistratorrechten deaktiviert und auch wieder eingeschaltet werden So aktivieren deaktivieren Sie den SAL Smartcard SAL 1 Wechseln Sie zur Eingabeaufforderung oder rufen Sie den Befehl Ausf hren im Windows Startmen auf 2 Wechseln Sie in das Verzeichnis in dem SafeGuard Easy installiert ist Geben Sie folgendes Kommando mit dem entsprechenden Parameter ein CHGSAL EXE SAL ON SAL OFF SCSAL ON SCSAL OFF ISAL ON Aktiviere Sicherer automatischer Logon SAL OFF Deaktiviere Sicherer automatischer Logon ISCSAL ON Aktiviere Automatischer Smartcard Logon ISCSAL OFF Deaktiviere Automatischer Smartcard Logon 1 Zeige diese Hilfe CHGSAL funktioniert nur wenn SafeGuard Easy mit SAL oder Smartcard SAL installiert wurde SAL und Smartcard SAL sind auch ber eine Richtlinie in Utima
196. en Ansicht gt Filtern gt Haken vor Nur konfigurierte Richtlinien anzeigen entfernen 6 Richtlinie per Doppelklick ffnen und unter Eigenschaften von SGEasy Einstellungen vornehmen Vorgang Ansicht e s Elm Bl EX Struktur Aktiviert Richtlinien f r Lokaler Computer a Computerkonfiguration Softwareeinstellungen SW Entehngen ix Administrative Vorlagen Windows Komponenten Richtlinie l Erkl rung SafeGuard I Sgeasy N SGEasy E Authentication u Nicht konfiguriert Drucker Re Benutzerkonfiguration C Deaktiviert E Softwareeinstellungen R E 2 ee M Sichere aomatischa Anmeldung Administrative Vorlagen IV SGEasy Dialog zur Aufhebung der Arbeitsplatzsperre IV Anzeige der Hintergrund Bitmap im WinlLogon Desktop J7 Sichere automatische Anmeldung mit Utimaco SmartCards IV R cksetzten tempor rer Verschl sselungseinstellungen beim Abme Standard CPU Nutzung f r Verschl sselung fi 00 gt IV Dialog f r die sichere automatische Anmeldung DEE IV CPU Nutzung f r Verschl sselung nderbar De Intervall f r Anfragen des Clients in Stunden fe a Ra gt Die Richtlinien k nnen drei verschiedene Status annehmen Nicht konfiguriert Die aktuellen Einstellungen beim Benutzer werden nicht ver n dert d h
197. en WOL ist ein optimaler Kompromiss zwischen Pre Boot Schutz und dem Ausf hren zentral gesteuerter Aufgaben 19 1 berblick Generell erm glicht Wake on LAN einen Rechner im lokalen Netzwerk von einem zweiten Rechner aus einzuschalten um z B neue Softwareup dates einzuspielen oder generelle Wartungsarbeiten durchzuf hren Das bequeme Ausf hren zentraler Aufgaben auf mit SafeGuard Easy ge sicherten Rechnern scheitert in Versionen kleiner 4 0 an der Pre Boot Au thentisierung da der Rechner an der Pre Boot Authentisierung wenn vorhanden stoppt und die Eingabe der SafeGuard Easy Zugangsdaten erwartet In diesem Fall startet das Betriebssystem nicht und baut somit keine Netzwerkverbindung auf was dazu f hrt dass die Ausf hrung zen tral gesteuerter Aufgaben fehl schl gt Die neue WOL Technik in SafeGuard Easy erm glicht dem Administrator den SafeGuard Easy Clients eine Anzahl von Neustarts zu erlauben be vor automatisch wieder die Pre Boot Authentisierung aktiv wird Wenn etwa die Anzahl der Automatischen Anmeldungen auf 3 gesetzt wird startet der PC dreimal in Folge mit ausgeschalteter Pre Boot Authentisie rung beim vierten Neustart wird die Pre Boot Authentisierung wieder an gezeigt vorausgesetzt sie ist eingeschaltet 288 W hrend der n maligen Bootphase wird die Windows Anmeldung unterdr ckt Der Rechner bootet selbstt tig und das automatische Softwareupdate kann ber das Netzwerk durchgef hrt
198. en angezeigt SafeGuard Easy Response Code Assistent aaa aaa 362 Auszuf hrende Aktion Im n chsten Dialog w hlen Sie die Aktion die dem entfernten Benutzer erlaubt werden soll SafeGuard Easy Response Code Assistent 21x Auszuf hrende Aktion w hlen Sie die Aktion aus die das ferne System ausf hren soll Auszuf hrende Aktion ci C Neues Passwort festlegen Einmalige Anmeldung Recht zum Schalten der Diskettenverschl sselung tempor r vergeben Erlaubnis zum Austellen eines Tokens erteilen Anmeldung ohne Token f r 1 E Anmeldung Der Benutzer darf SafeGuard Easy f r Windows deinstallieren lt Zur ck Abbrechen Hite Eine der folgende Aktionen kann ausgef hrt werden Deinstallieren Benutzer darf SafeGuard Easy deinstallieren Diese Art der Dein stallation ist nur sinnvoll wenn der Administrator nicht vor Ort ist m Neues Passwort festlegen Benutzer darf sein Passwort ndern z B wenn er das alte Passwort vergessen hat oder sich durch mehrmalige falsche Passworteingabe die Wartezeit an der Pre Boot Authentisierung zu sehr erh ht hat Das Passwort des Benutzers SYSTEM kann nicht per Challenge Response neu vergeben werden 364 Einmalige Anmeldung Benutzer erh lt er f r die Dauer einer Arbeitssitzung Zugang zum betreffenden Rechner Dies ist sinnvoll wenn bspw ein Techniker Wartungsarbeiten durchf hrt Recht zum Schalten der Diskettenv
199. en tigt wird Dies betrifft verschiedene Compag Modelle Sind Sie nicht sicher wie Ihr Rechner reagiert kontaktieren Sie bitte die Compaq Hotline 128 11 Verschl sselung Das Kernst ck von SafeGuard Easy ist die Verschl sselung von Daten auf unterschiedlichen Datentr gern n mlich Festplatten Disketten und Wechselmedienlaufwerken Die Verschl sselung von Disketten und Wechselmedienlaufwerken bietet den Vorteil dass die gesamte Datenkommunikation mit der Au enwelt verschl sselt abl uft Auf einem PC mit aktivierter Verschl sselung sind regul re Klartext Disketten nicht lesbar Nicht lesbare Disketten m ssen erst im verschl sselten Laufwerk neu formatiert werden bevor sie benutzt werden k nnen Nach einer Formatierung gehen jedoch alle Daten verlo ren Werden Disketten zwischen verschiedenen Arbeitsstationen ausge tauscht m ssen die Laufwerke der betreffenden Arbeitspl tze mit identischem Algorithmus und Schl ssel verschl sselt sein Ist dies nicht der Fall kann das Medium nicht gelesen werden Benutzer mit entsprechenden Rechten k nnen die Disketten und Wech selmedienschl ssel tempor r ndern vorausgesetzt die Verschl sselung ist aktiviert siehe Disketten und Ger teverschl sselung schalten Die Verschl sselung mit jeweils unterschiedlichen Schl sseln kann in ver schiedenen Algorithmen AES 128 AES 256 Rijndael 256 IDEA DES 3DES DES SB Il Blowfish 8 Blowfish 16 STE
200. en Monitorecke ein Dis kettensymbol f r ca 5 Sekunden FH 1F2 bricht Auto login ab Wird w hrend dieser Zeit F2 gedr ckt erscheint die Pre Boot Authenti sierung und der Benutzer kann sich wie gewohnt mit g ltigen SafeGuard Easy Zugangsdaten und sp ter an Windows anmelden Dass der Rech ner sich im Wake On LAN Modus befindet sieht der Benutzer an einer ber F2 blinkenden Warnung Wird der PC ber den abgesicherten Modus gestartet F8 w hrend des Bootvorgangs dr cken erm glicht die eingebaute SafeGuard Sperre dass sich nur Benutzer mit Windows Administratorrechten im abgesicher ten Modus anmelden k nnen 19 5 Wake on LAN konfigurieren WOL wird in der Regel in gr eren IT Umgebungen und nicht f r Stand alone PCs eingesetzt Der Administrator erstellt eine Konfigurationsdatei mit den entsprechenden WOL Einstellungen und verteilt diese an die Clients im Unternehmen Konfiguriert wird SafeGuard Easys Sicheres Wake On LAN in den Verwal tungsprogrammen ber die Konfigurationsseite Allgemein Ef SafeGuard Easy Administration 1o x Datei view Benutzer Fernzugang Extras Hilfe ag t jl jsakar E Tokens Token nmeldung wahlweise mit Token Token Ausstellungsmodus Benutzer B Wake On Lan Wake on LAN aktiviert S Boot Manager Verschl sselung en Benutzer Anzahl von Autologins 1 B Passwort Einstellungen Passwortabfrage bei Systemstart Ja Folgende Einstellungen si
201. en der Stellen beantwortet werden Welches Zeichen anzuge ben ist sehen Sie unter der gleichnamigen Rubrik Alphabetisch gibt an mit welchem Wort die Zeichen verkn pft werden k nnen um Verwechs lungen zu vermeiden In der Regel werden Vornamen verwendet deren erster Buchstabe dann in die Codefelder eingetragen wird Im Fenster wird bereits der tats chliche Response Code dargestellt Sie m ssen diesen nur von oben nach unter vorlesen Response Code 56 Zeichen U95M 52SR B ZI BWS3 PAWJ FID8 8Z4P L516 RT2R PEBW AVGA 876X T6LK CMWI xi Position Zeichen Alphabetisch al 1 u Ulrich 2 3 Neun er 3 5 F nf er Be M Martha 5 5 F nf 6 2 Zwei 7 Siegfried 8 R Richard 9 B Berta 10 9 Neun 11 Z Zacharias 12 l Ida 13 B Berta Er va filba 366 26 4 Erweiterung des Challenge Response Konzepts Zus tzlich zum Standard Verfahren gibt es noch verschiedene software und hardwarebasierende Challenge Response L sungen 26 4 1 Helpdesk Konsole F r gro e Umgebungen in denen die Helpdesk Mitarbeiter die Master Passw rter der SafeGuard Easy Clients nicht kennen sollen kann das Challenge Response System auf Helpdesk Seite mit einem kryptographi schen Hardwaremodul CryptoServer oder einer software basierenden L sung erweitert werden Hardware basierende Helpdesk Konsole Bei Verwendung des CryptoServer 2000 werden die Passw rter vom SafeGuard Easy Administrator einmalig in den
202. en die Einstellung in der Management Konsole unter Computerkonfiguration Administrative Vorlagen SafeGuard Authentication Machine Binding Wiederherstellung Unter Wiederherstellungsart kann Administrative Zugangsdaten f r die Verwendung des Windows Benutzernamens und des Pass worts bzw m TPM Passwort Standardeinstellung f r die Verwendung des Security Chip Passworts ausgew hlt werden 330 2 EE Nin 2 Bitte geben sie einen Benutzer mit administrativen Rechten ein Benutzer Passwort l Dom ne l Geben Sie im angezeigten Dialog Benutzernamen und Passwort eines auf dem Rechner existierenden Benutzers ein Der Dom nenname ist optional HINWEIS Der Benutzer muss auf diesem Rechner Administratorrechte besitzen 332 24 SafeGuard Easy und Lenovo Thinkvantage Technologien Rescue and RecoveryTM SafeGuard Easy ist kompatibel mit Rescue and Recovery Das erlaubt Benutzern Lenovos effiziente Backup und Restore Methode zu nutzen auch wenn die Betriebssystem Partition mit SafeGuard Easy verschl s selt ist SafeGuard Easy bietet hier eine einzigartige Funktionalit t unter Produkten zur Festplattenverschl sselung 24 1 berblick Rescue and Recovery bietet als zentrale Funktion die Wiederherstellung von Daten per Tastendruck Auch wenn das prim re Betriebssystem besch digt ist und nicht mehr bootet rettet Rescue and Recovery Daten ber eine Notfall Umg
203. en und Reparieren erscheint Verlassen Sie das Men mit einem Klick auf Abbrechen Starten Sie das System neu wird die Wartezeit zur ckgesetzt 84 7 7 Anmeldung mit Pre Boot Authentisierung ber die Taste F2 erzwingen Bei ausgeschalteter Pre Boot Authentisierung ist es m glich nach Erscheinen eines Disketten Symbols in der linken oberen Monitorecke ber F2 den Pre Boot Authentisierung Anmeldedialog aufzurufen und sich wie gewohnt anzumelden FH F2 bricht Auto login ab 7 8 Automatische Anmeldung an das Betriebssystem SafeGuard Easy kann optional eine automatische Anmeldung an Win dows durchf hren Diese Funktion nennt SafeGuard Easy Sicherer Auto matischer Logon kurz SAL Der SAL legt die Windows Daten nach einmaliger Eingabe in einem gesch tzten Bereich ab und greift nach jeder erfolgreichen Benutzer Anmeldung in der Pre Boot Authentisierung dar auf zur ck Einzige Voraussetzung f r den SAL ist dass die Pre Boot Authentisierung eingeschaltet sein muss Der SAL Dialog erscheint nach der Anmeldung an das Betriebssystem SafeGuard Easy Sicherer Automatischer Logon Wird die Frage nach der automatischen Anmeldung bejaht sind in Zukunft nur noch die SafeGuard Easy Zugangsdaten zur Anmeldung n tig Der SAL kann auch in Verbindung mit Smartcards eingesetzt werden Details zur automatischen Anmeldung lesen Sie bitte im Kapitel Windows Anmeldung konfigurieren nach 7 9 Kompat
204. ents ber das Netzwerk direkt zu konfigurieren Vereinfachte Konfiguration bei der zentralen Administration Bestimmte Windows Servicepacks verlangen zus tzliche Einstellungen f r den Verbindungsaufbau zwischen SafeGuard Easy Client und zentralem Administrationsserver Eine neue Applikation setzt die notwendigen Einstellungen automatisch und vereinfacht die Konfiguration von Client und Server Applikation und Beschreibung sind im Verzeichnis Tools DCOMWizard auf der CD zu finden Gemeinsames Benutzer Passwort f r SafeGuard Easy und Windows Passwortsynchronisierung Anrufe wegen vergessener Benutzerpassworte geh ren f r viele Support Mitarbeiter zum Alltag Eine Regel lautet Je weniger Passworte sich ein Benutzer merken muss desto mehr wird der Support entlastet SafeGuard Easy tr gt ber eine Passwort Funktionalit t seinen Teil zur Verringerung von Benutzeranfragen bei denn die Software l sst sich so konfigurieren dass Windows und SafeGuard Easy Passwort nach einem Mausklick bereinstimmen Benutzer melden sich nach der erfolgreichen Synchroni sierung mit dem gleichen Passwort an SafeGuard Easy in der Pre Boot Authentisierung und am Betriebssystem an Sichere Wake On LAN Unterst tzung Die Pre Boot Authentisierung von SafeGuard Easy bietet optimalen Schutz gegen Hackerangriffe Um dennoch Softwareverteilung ber Wake OnLAN bei aktiver Festplattenverschl sselung auf m glichst sichere Wei se zu gew hrleisten bietet
205. enutzer anlegen 000000000000000eseerenennennnn 153 12 4 Benutzer kopieren 00000000sssssrerererennnenn nenn 154 12 5 Benutzer l schen 0s0ssss0sseresereresenennnnnnnnene 155 12 6 Benutzermerkmale 00000000000000seeeeneeeenennne 156 12 6 1 Benutzernamenmindestl nge 156 12 6 2 Token Anmeldung 2s0s0s0srereereeeenennne 156 12 6 3 Standardbenutzer 00020000r0ssseereennnnenne 157 12 6 4 Verk rzten C R Code erzeugen 157 12 6 5 Schablone 0000000000sssssssssesenerenssnnnenen 157 12 6 6 Ablaufdatum 00000000000sssssssssssereneseeeneen 159 12 7 Benutzerrechte essessesssossossesssosessessesseessessesse 160 12 7 1 Benutzerrechte zuweisen ner 162 12 7 2 Benutzerrechte weitergeben 163 Passworteinstellungen 00000 165 13 1 Vordefinierte Passwortregeln 166 13 2 Erlaubte Tasten f r das SafeGuard Easy Passwort e ssesssssssessssessssesss 167 13 3 SafeGuard Easy f r Einsatz im internationalen Umfeld konfigurieren 00000000ss0e ern 168 13 3 1 Effekte verschiedener Tastaturlayouts 13 3 2 International einheitliche Zugangsdaten f r SafeGuard Easy erzeugen c00sssresoonnenrer0 13 4 Allgemeine Passwortregeln 00r0000000 13 4 1 Passworteingabe beim Systemstart abfragen 13 4 2 Pas
206. er1234 angeben tester12 lehnt SafeGuard Easy ab Sie k nnen auch Wildcards einsetzen Als Wildcardzeichen wird nur das Symbol akzeptiert Das Zeichen steht f r ein beliebiges Zeichen im Passwort Beispielsweise werden durch ut ma o Passworte wie utima co utIma2o etc verboten ACHTUNG Wenn Sie nur die Wildcard oder entsprechend viele Wildcards in die Liste verbotener Kennw rter einf gen k nnen sich Benutzer nach ei ner erzwungenen Passwort nderung nicht mehr im System anmelden 13 5 2 Passwortliste importieren Ist bereits eine Liste mit verbotenen Passworten vorhanden kann diese importiert werden Dadurch k nnen Sie an mehreren Arbeitsstationen die selbe Liste verwenden Die Liste wird mit einem beliebigen Editor erstellt und k nnte folgenderma en aussehen oix Datei Bearbeiten Ansicht Einf gen Format Dlele sll al selel 12345 Kalender Juni Juli Getrennt werden die unterschiedlichen Passworte mit einem Leerzeichen oder durch einen neuen Zeilenanfang HINWEIS Benutzer d rfen auf diese Datei keinen Zugriff haben 176 13 6 Benutzerspezifische Passwortregeln Allgemein Verschl sselung Token Anmeldung Schablone Standardbenutzer Femadministration erlauben SafeGuard Easy Administration Mindestl nge des Benutzernamens 4 Ts aan Token nmeldung ohne Token Passwort Passwort Konfiguriert 8 Usi
207. erfolgt mittels chronologischem Listing Sie k nnen die Protokoll daten durch Speichern unter f r den Import z B in ein Datenbankprogramm bereitstellen um sie dann ggf zu konvertieren und auszuwerten HINWEIS Bitte verwenden Sie zum Protokollieren von Ereignissen keine Dateien die mit EFS verschl sselt sind oder in einem mit EFS verschl sselten Ordner liegen Der Eintrag in eine Protokolldatei kann beispielsweise so aussehen Dateiprotokoll Editor s Datei Bearbeiten Format AST VM GER 19 37 03 05 2004 SYSTEM Information 1501 Authentisierung EGAuthentication Aanmeldung des Benutzers Administrator Die einzelnen Eintr ge haben folgende Bedeutungen AST VM GER Computername 19 37 Uhrzeit 03 05 2004 Datum System Benutzer oder Gruppe der die das Ereignis erzeugt hat Information Warnstufe 1511 Ereignis ID Authentisierung Kategorie SGAuthentication Quelle Anmeldung des Benutzers Beschreibung Administrator 29 7 Hinweise Definiert man als Ausgabeziel eine Protokolldatei auf einem exter nen Medium wie z B einem Wechselmedium wird beim ber schreiten dessen Speicherkapazit t eine Fehlermeldung in die Ereignisanzeige ausgegeben Utimaco empfiehlt das Protokollieren in externe Medien soweit wie m glich zu vermeiden da es u U zur Systemverlangsamung f hren kann Ereignisse die nicht in eine Protokolldatei geschr
208. erlich Passwort Passwort Konfiguriert ER User lt Ver ndern gt Konfiguriert Token Anmeldung erforderlich Schablone Keine Standardbenutzer Nein Vereinfachte Fem Anmeldung Nein Ablaufdatum Nein Passwortwechsel erlaubt Ja Passwortwechsel nach 90 Passwort nderung bei n chster Anmeld Ja Passwort Passwort Konfiguriert Benutzerrechte Rechte Dr cke F1 f r Hilfe Partitionsweise kein e Laufwerk e verse NUM L In diesem Bereich legen Sie fest welche Benutzer an einem mit SafeGuard Easy gesch tzten Arbeitsplatz arbeiten d rfen Sie k nnen hier neue SafeGuard Easy Benutzer anlegen Bestehende modifizieren oder nicht ben tigte Benutzer wieder entfernen Au erdem bestimmen Sie ber welche zus tzlichen Eigenschaften und Rechte die definierten SafeGuard Easy Benutzer verf gen SafeGuard Easy erlaubt maximal 16 Benutzern inkl AUTOUSER den Zugang zum System Voreingestellt sind SYSTEM und USER wobei der Benutzer SYSTEM nie gel scht werden darf HINWEIS Der Konfigurationsdateiassistent zeigt SYSTEM und USER nur an wenn eine Datei mit der Eigenschaft Installieren erzeugt bzw als Basiskonfiguration verwendet wird 150 12 1 Festlegen von Verwaltungsaufgaben In SafeGuard Easy wird zwischen Benutzern mit Verwaltungsaufgaben und Benutzern ohne Verwaltungsaufgaben unterschieden Benutzer mit Verwaltungsaufgaben sind der Administrator und m Benutzer mit Verwalterfunktionen D
209. erner Be triebssysteme den Bootvorgang durch einfaches Pausieren und sp te res Wiederherstellen der aktuellen Arbeitssituation zu ersetzen Im Gegensatz zu den meisten anderen Festplattenverschl sselungspro dukten erlaubt SafeGuard Easy den Hibernation Modus zu nutzen und dabei sogar die erzeugten Image Daten zu verschl sseln Somit bleibt die Sicherheit allzeit gewahrt der Strombedarf wird gesenkt und die Anwen der sparen Zeit gegen ber dem sonst blichen normalen Bootvorgang Kompatibilit t zur Computrace Software Computrace sorgt daf r dass sich ein gestohlener Rechner per Netzwerk wieder meldet und seinen Standort preisgibt Durch die Kompatibilit t funktioniert das auch mit verschl sselten Festplatten SafeGuard Easy ist f r die Zusammenarbeit mit Computrace vorbereitet F r eine vollst ndige Kompatibilit t ist allerdings eine Computrace Version n tig die von Absolute Software zum jetzigen Zeitpunkt 12 2008 noch nicht freigegeben wurde Web Self Help Benutzer k nnen sich mit dem webbasierten Self Help selbst helfen wenn sie ihr SafeGuard Easy Passwort vergessen haben Der Selbsthilfe Mechanismus verringert die Anzahl der Helpdesk Anrufe die sich ausschlie lich mit dem Zur cksetzen vergessener Passw rter besch ftigt Das Helpdesk Personal hat somit mehr Zeit sich mit weniger trivialen Supportf llen zu besch ftigen Zus tzlich sind weitere software und hardwarebasierende Challenge Response
210. erprints for power on security Empty slots 18 User Name _Finger mai right index mai right middle Remove mai left index Cancel 17 Windows Anmeldung konfigurieren SafeGuard Easy verlangt mit seiner Pre Boot Authentisierung als erste Systemkomponente eine Authentisierung Erst nachdem das System mit g ltigen SafeGuard Easy Zugangsdaten aufgesperrt wurde erscheint der regul re Windows Anmeldedialog Benutzer finden es aber oft l stig sich verschiedene Passworte zu merken um Zugang zu ihrem PC zu erhalten Dies f hrt dazu dass die verschiedenen Passworte bspw schriftlich notiert werden was die Sicherheit im Unternehmen stark gef hrdet Vergessene Passworte sorgen in gro en Netzwerken au erdem f r zus tzlichen Aufwand beim Helpdesk SafeGuard Easy stellt deswegen mit dem Sicheren Automatischen Logon und der Passwortsynchronisierung Funktionalit ten bereit die den Benutzer von Mehrfachauthentisierungen entlasten und ihn nur noch ein einziges Mal auffordern n mlich an der Pre Boot Authentisierung Benutzerdaten einzutragen Um die Windows Anmeldung noch benutzerfreundlicher zu machen und das Erscheinungsbild des Windows Anmeldedialog anzupassen gibt es zus tzliche Optionen in der administrativen Vorlage 17 1 Sicherer automatischer Logon SAL Die automatische Anmeldung ist eine Komfort Einrichtung f r die Anmel deprozedur Ein Benutzer gibt nur einmal seine Windows Daten ei
211. erschl sselung tempor r vergeben Der Benutzer darf f r die Dauer einer Arbeitssitzung die Disketten verschl sselung ein bzw ausschalten Der Schl ssel f r die Dis kettenverschl sselung muss bereits gesetzt sein Erlaubnis zum Ausstellen eines Token erteilen Der Benutzer darf einmalig einen Token ausstellen Diese Option ist relevant wenn ein Token nur ber ein Challenge Response Verfahren ausgestellt werden kann Ausstellungsmodus Externe Erlaubnis erforderlich Anmeldung ohne Token f r X Anmeldungen Der Benutzer darf sich X mal Maximum 12 ohne Token anmel den Diese Aktion kommt zum Einsatz wenn der Token zuhause vergessen wurde der Benutzer aber nur mit Token Zugang zu sei nem PC erh lt Mit Best tigen der Eingaben wird der Response Code erzeugt Zusammenfassung Im letzten Dialog erhalten Sie einen kompletten berblick ber die von Ih nen in den vorangegangenen Dialogen des Response Code Assistenten getroffenen Einstellungen Zus tzlich wird folgendes angezeigt SafeGuard Easy Response Code Assistent 21x Zusammenfassung Diese Seite zeigt Ihnen den generierten Response Code zur bermittlung an den femen Benutzer Zus tzlich sehen Sie eine Zusammenfassung Ihrer Auswahlen m Zusammenfassung Autorisierungskonto 2999 Ferne Benutzer ID Standardbenutzer Challenge Code 55 WISEXAXTUKI Auszuf hrende Aktion Deinstallieren Response Code 56 Zeichen U95M 62SR B
212. ert ist auch die Cursor Bewegung deaktiviert Bitte machen Sie Ihre Benutzer darauf aufmerksam dass bei einem Tastendruck keine Zeichen angezeigt werden 13 4 3 Mindestl nge der Passw rter In diesem Feld legen Sie fest wieviele Zeichen ein Passwort bei der nderung durch den Benutzer mindestens umfassen muss Sie k nnen den gew nschten Wert der Zeichen entweder direkt eingeben oder durch Bet tigen der Richtungstasten vergr ern bzw verkleinern Es kann ein Wert zwischen einem und 16 Zeichen eingegeben werden 13 4 4 Mindestalter der Passw rter Das Passwortalter gibt eine Mindestdauer in Tagen an Innerhalb dieses Zeitraums darf der Benutzer das Passwort nicht ndern Diese Option verhindert dass sich der Benutzer das urspr ngliche Passwort wieder zur cksetzen kann 172 13 4 5 Passwortgenerationen Um zu verhindern dass der Benutzer st ndig zwischen wenigen Passw r tern wechselt k nnen Sie die Anzahl der Passwortgenerationen h her an setzen Jedes Passwort wird mit den in der Vergangenheit benutzten verglichen und bei bereinstimmung mit einem bereits Verwendeten ab gelehnt Wieviele in der Vergangenheit benutzte Passworte zum Vergleich gespeichert werden regelt diese Einstellung Die maximale Anzahl der speicherbaren bereits verwendeten Passworte betr gt 16 Sie k nnen den Wert sowohl nach einem Klick in das Eingabe feld ber die Tastatur eingeben als auch mit Hilfe der Richtungspfeile ver ndern S
213. ert werden 60 u IH 5 Nacheinander Lizenzbedingungen akzeptieren Zielverzeichnis f r SafeGuard Easy bestimmen und Funktionen ausw hlen SAL Server Anbindung etc 6 Die SafeGuard Easy Aktualisierung startet 7 Der Dialog SafeGuard Easy Administrator erscheint Nur der SafeGuard Easy Benutzer SYSTEM darf eine Migration auf einer Arbeitsstation ausf hren Zur Authentisierung muss hier das entsprechende SafeGuard Easy Passwort eingetragen werden B SafeGuard Easy Migrationsassistent J x SafeGuard Easy Administrator Bitte geben Sie das entsprechende Passwort ein BEMERKUNG Um eine Migration von SafeGuard Easy durchf hren zu k nnen mu das Passwort des Administrators benutzt werden Stellen Sie sicher da das Passwort richtig ist Es wird zum jetzigen Zeitpunkt nicht gegengepr ft Administrator ID SYSTEM Passwort mn best tige Passwort A lt Zur ck Abbrechen Hite 8 Der Dialog Benutzung eines Tokens f r eine Anmeldung erscheint In den Versionen kleiner SafeGuard Easy 4 0 wurde keine Token Unterst tzung angeboten Hier k nnen Sie diese Erg nzung im Rahmen des Updates nachtr glich vornehmen B SafeGuard Easy Migrationsassistent x Benutzung eines Tokens f r eine Anmeldung Legen Sie fest ob beim einer Anmeldung immer ein Token erforderlich ist oder dies vom anzumeldenden Benutzer abh ngen soll IV Token f r Anmeldung benutzen r Token f
214. erung Verwaltung Lokale Sicherheitseinstellungen aufrufen Unter Kontorichtlinien gt Kenn wortrichtlinien sind alle m glichen Einstellungen verf gbar okale erheitse e ge 10 x Vorgang Ansicht e gt alm B e Struktur Richtlinie _ Lokale Einstellung Effektive Einstellung Sicherheitseinstellungen R8 Kennwortchronik erzwingen 0 Gespeicherte Ken OD Gespeicherte Ken 2 8 Kontorichtlinien R2 Kennw rter m ssen den Komplexit tsanfor Deaktiviert Deaktiviert C9 Kennwortrichtlinien B8 Kennw rtern f r alle Dom nenbenutzer mit Deaktiviert Deaktiviert 8 Kontosperrungsrichtlinien 32 Maximales Kennwortalter 42 Tage 42 Tage G Lokale Richtlinien Ei Minimale Kennwortl nge 0 Zeichen 0 Zeichen amp Q Richtlinien ffentlicher Schl ssel B2 Minimales Kennwortalter 0 Tage 0 Tage Ic 8 IP Sicherheitsrichtlinien auf lokalem Compute 17 3 Zus tzliche Optionen f r die Windows Anmeldung ber die mitgelieferte administrative Vorlage lassen sich bestimmte Ein stellungen f r die Anmeldung an das Betriebssystem zwingend vorschrei ben die man normalerweise ber Windows Einstellungen nicht beeinflussen kann A Windows An Abmeldung Er Rechnersperre i Bildschirmschoner EA Gina Repair i Novell Anmeldung Benutzerkonfiguration Softwareeinstellungen windows Einstellungen E Administrative Vorlagen 268 17 3 1 Windows An Abmeldung Sie finden die Richtlinie in der administrat
215. erung anmelden wenn auf dem Token bereits SafeGuard Easy Zu gangsdaten vorhanden sind Mit einem leeren Token ist die Anmeldung in der Pre Boot Authentisierung nicht m glich 8 Im n chsten Schritt werden Sie aufgefordert Passw rter f r die vordefinierten SafeGuard Easy Benutzerprofile SYSTEM und User anzugeben Diese Passw rter m ssen den SafeGuard Easy Passwortregeln entsprechen Benutzerpasswort ndern x Um ein neues Passwort f r einen Benutzer vergeben zu k nnen mu dieses nochmals best tigt werden um Fehleingaben zu vermeiden Ausgew hlter Benutzer SYSTEM Passwort Passwort best tigen l Abbrechen ACHTUNG Bitte merken Sie sich die Passw rter die Sie hier eintragen Ist die Funktion Passwort beim Systemstart abfragen Pre Boot Au thentisierung im Ordner Allgemein aktiviert k nnen Sie sich nach dem Neustart des PC nur mit den definierten Benutzernamen und Passw r tern anmelden 9 Der Abschluss der Installation wird mit einem Dialog Gratulation angezeigt 10 Starten Sie den PC neu 3 1 1 Verschl sselungsmodus Angaben zum Verschl sselungsmodus werden immer dann verlangt wenn SafeGuard Easy installiert wird manuelle Installation Konfigurati onsdatei mit der Eigenschaft Installieren Setup Yerschl sselungsmodus x Auswahl des Yerschl sselungsmodus Bitte w hlen Sie einen Verschl sselungsmodus aus Der Partitionsweise Mod
216. es der sp ter erzeugt wird Je l nger der Response Code desto h her ist die Gefahr dass beim Eintippen bzw bermitteln an den Benutzer Fehler auftreten Benutzer ID L nge der Response Zei SYSTEM 30 Benutzer mit Eigenschaft Verk rz 30 ten C R Code erzeugen Andere Benutzer ID 56 Ferne Benutzer ID Im n chsten Dialog w hlen Sie den SafeGuard Easy Benutzernamen des entfernten Benutzers Fragen Sie den Benutzer mit welchen Zugangsda ten er sich blicherweise an seinem Rechner anmeldet SafeGuard Easy Response Code Assistent 21x Ferne Benutzer ID Bitte geben Sie die ID des fernen Benutzers an Der Response Code kann nur von diesem Benutzer verwendet werden W hlen Sie eine Benutzer ID aus ei I Andere Benutzer ID lt Zur ck Abbrechen Hite m Standardbenutzer Benutzer meldet sich nur mit seinem SafeGuard Easy Passwort an d h er ist auf dem Zielsystem als Standardbenutzer registriert und kennt demzufolge den Benutzernamen nicht Andere Benutzer ID Benutzer meldet sich mit SafeGuard Easy Benutzernamen und Passwort an Der SafeGuard Easy Benutzernamen ist demzufolge bekannt Tragen Sie ihn in das Feld ein Challenge Code Im n chsten Dialog geben Sie bitte in die paarweise getrennten Felder den Code ein den Ihnen der entfernte Benutzer z B per Telefon mitteilt Der Challenge Code wird dem Benutzer auf seinem PC als ASCII Zeichen kette 14 Zeich
217. eschlos sen und wieder entfernt werden Vorausgesetzt der Benutzer nimmt immer wieder ein und dieselbe Festplatte z B f r regelm Bige Datenbackups sind i d R keine Probleme zu erwarten Werden mehrere Festplatten genutzt z B eine verschl sselte Festplatte entfernt und danach eine unverschl sselte angeschlos sen kann dies Probleme nach sich ziehen z B die SafeGuard Easy Verschl sselungstabelle durcheinander bringen Grunds tzlich gilt Die Disknumerierung Disk Management bei Gebrauch muss der Numerierung w hrend des Installationsvor ganges bzw der Erstverschl sselung entsprechen Die genannten Einschr nkungen gelten f r Serial ATA Festplatten nur dann wenn sie als hot pluggable Festplatten genutzt werden Verschiedene Festplattentypen Vermeiden Sie es wenn m glich die unterschiedlichen Typen IDE SCSI auf einem System zu mischen Unformatierte Bereiche Wurde eine Partition keinem Dateisystem fest zugeordnet wird dies von SafeGuard Easy beim Installationstyp Bootschutz nicht erkannt und es wird auch der unformatierte Teilbereich der Fest platte verschl sselt Zus tzliche Festplatten SafeGuard Easy erkennt automatisch ob Ihr Rechner ber eine oder mehrere Festplatten verf gt Es sollten nach der Installation von SafeGuard Easy keine zus tzlichen Festplatten in das System integriert werden Wollen Sie eine zus tzliche Festplatte in das System integrieren sollten Sie zun chst SafeGuard Easy ko
218. f r diese zus tzliche Festplatte gew hrleistet m Auf der vorhandenen Festplatte m ssen vor der Installation von SafeGuard Easy mindestens zwei prim re Partitionen mit je weils einem bootf higen Betriebssystem existieren VOR der Installation von SafeGuard Easy sollten alle Betriebssys teme nur Windows wird unterst tzt installiert und die Partitio nierung der Festplatte festgelegt sein Nachtr gliche nderungen werden nicht empfohlen 14 3 Beispiel Ausgangskonfiguration C prim re Partition verschl sselt Bootlaufwerk 1 D prim re Partition unverschl sselt Bootlaufwerk 2 E logisches LW in erweiterter Partition verschl sselt Start des verschl sselten Bootlaufwerks 1 C prim re Partition verschl sselt Bootlaufwerk 1 lesbar D logisches LW in erweiterter Partition verschl sselt lesbar E logisches LW in erweiterter Partition unverschl sselt nicht lesbar FA logisches LW in erweiterter Partition unverschl sselt FA logisches LW in erweiterter Partition unverschl sselt nicht lesbar G logisches LW in erweiterter Partition unverschl sselt unverschl sselt Bootlaufwerk 2 unsichtbar Start des unverschl sselten Bootlaufwerks 2 c prim re Partition unverschl sselt Bootlaufwerk 2 lesbar D logisches LW in erweiterter Partition verschl sselt nicht lesbar E
219. fach per Doppelklick aufgerufen 24 5 Deinstallation Bei der Deinstallation beider Produkte ist folgendes zu beachten Deinstallieren Sie zun chst SafeGuard Easy und dann Rescue and Recovery Die Deinstallation von SafeGuard Easy darf nicht unmittelbar auf einen System Restore folgen Starten Sie den PC neu und dein stallieren Sie danach SafeGuard Easy 340 24 6 Sicherungskopie erstellen Sicherungskopien werden ber die Rescue and Recovery Software in der aktiven Windows Umgebung erstellt Auf PCs mit Rescue and Recovery r t SafeGuard Easy dem Benutzer nach einer erfolgreichen Installation unbedingt eine neue System Sicherungskopie zu erstellen Wie Sie aus der Windows Umgebung einen System Backup erstellen lesen Sie bitte in den entsprechenden Dokumenten von Lenovo nach SafeGuard Easy unterst tzt f r SafeGuard Easy Backups folgende Medien Lokale Festplatte 2 Festplattenlaufwerk m USB Festplattenlaufwerk m Netzlaufwerk USB Stick CD DVD 83 Rescue and Recovery Set backup preferences and schedule backups to occur automatically Backup locations Free Space Include partitions Used Spi Primary Local hard drive m 94 4 GB Secondary Local hard drive 2nd hard drive USB hard drive Network Schedule your backups Frequency When Warn when the backup storage space exceeds GB Protect your backups with a password The maximum number of incrementa
220. feGuard Easy Clients ndern m Anzeige von Ver Entschl sselungsprozessen auf SafeGuard Easy Client m Einstellungen speichern m Systemkernsicherung des SafeGuard Easy Clients initiieren Die Funktionalit t der Remote Administration integriert sich in die bekannte SafeGuard Easy Administration und nutzt deren vorhandene Verwaltungsmechanismen 498 32 1 Voraussetzungen Das Betrachten und Editieren von Einstellungen eines SafeGuard Easy Client auf dem Administrator PC ist nur m glich m wenn zwischen Administrator PC und SafeGuard Easy Client eine Netzwerkverbindung besteht m wenn auf dem SafeGuard Easy Client und dem Administrator PC das Windows Konto identischer Benutzername und Passwort besteht mit dem sich der Administrator am Administrator PC an gemeldet hat beim Aufbau der Verbindung erfolgt eine automati sche Anmeldung an den SafeGuard Easy Client m wenn auf dem SafeGuard Easy Client und dem Administrator PC mindestens ein identischer SafeGuard Easy Benutzer samt Pass wort angelegt ist m wenn sich der Benutzer des Administrator PC mit diesen identischen SafeGuard Easy Benutzerinformationen an die SafeGuard Easy Administration mit integrierter Remote Administration anmeldet SafeGuard Easy Client SafeGuard Easy Benutzer Pass wort SYSTEM Userf User Helpdesk PppTttZzz Windows Benutzername Passwort Benutzerf Administrator Admin
221. finden 14 1 5 Systemvoraussetzungen Minimale Betriebssystemvoraussetzungen m Windows 2000 Professional Service Pack 4 m Windows XP Home Edition Service Pack 2 m Windows XP Professional Edition Service Pack 2 m Windows 2000 Server nur Standard Version Service Pack 1 m Windows Server 2003 nur Standard Version Empfohlen wird f r alle oben aufgef hrten Betriebssysteme der aktuelle Service Pack Stand 12 2008 SafeGuard Easy wurde nicht getestet mit Windows XP Media Edition Hinweis zu Windows XP SafeGuard Easy kann in den Versionen 4 50 kann auch unter Windows XP SP2 oder SP3 betrieben werden Auch eine Migration zum Beispiel von SP2 zu SP3 bei installiertem SafeGuard Easy ist m glich Hinweis zu Windows XP SP 2 Windows Server 2003 SP 1 Bei Verwendung des optionalen zentralen Administrationsservers bzw der Remote Administration von SafeGuard Easy 4 x sind besondere Konfigurationseinstellungen in Windows XP SP2 und Windows Server 2003 SP 1 zu treffen Alle n tigen Einstellungen sind in unserer Wissensdatenbank http www utimaco de myutimaco im Knowledge Item 106898 SafeGuard Easy and SP2 Configuration for Windows XP beschrieben Nutzen Sie die Suchfunktion und geben Sie die Nummer 106898 ein Zus tzlich ist eine Applikation vorhanden mit der man die Konfigurations einstellungen automatisch setzen kann um die zentrale Administration und die Remote Administration mit Windows XP Service
222. folgende Vorgaben am SafeGuard Easy Client erf llt sein Anmeldungsmodus Wahlweise mit Token siehe Allgemein Authentifizierung Anmeldungsmodus Anmeldungsart Erforderlich siehe Benutzer lt Benutzername gt Anmeldung Ausstellungsmodus Benutzer siehe Allgemein Authentifizierung Ausstellungsmodus Pre Boot Authentisierung aktiviert Sicherer Automatischer Logon SAL aktiviert Benutzer vergisst Token Benutzer Administrator Support Helpdesk Gibt seine SafeGuard Easy Zugangsda ten in der Pre Boot Authentisierung ein und fordert mit F9 den Challenge Code an Ruft Administrator Support Helpdesk an Versichert sich dass der Anrufer der tat s chliche Benutzer ist Startet den Response Code Assistenten Erfragt den Challenge Code vom Benutzer und tr gt ihn ein W hlt im Response Code im Dialog Aus zuf hrende Aktion die Option Anmel dung ohne Token f r X Anmeldungen Gibt den erzeugten Response Code an den Benutzer weiter Tr gt den Response Code in die daf r vor gesehenen Felder ein und darf sich nun X mal ohne Token an der Pre Boot Authenti sierung anmelden F r die Anmeldung an das Betriebssystem Benutzer kennt die Daten nicht wird in diesem Fall die SAL Datei ge ffnet die Betriebssystemdaten des Benutzers aus gelesen und die Anmeldung automatisch durchgef hrt 230 Benutzer verliert Token Benutzer Administrator Support Helpdesk
223. g nge beendet sind und starten Sie dann das Programm erneut Die Deinstallation l uft gerade Administration ist nicht m g lich Die maximal Anzahl an Festplatten is bertroffen Die Installa tion eines PN Systems ist nicht erlaubt Einige non DOS Partitionen wurden gefunden die unter Ver wendung des gew hlten Installationstyps verschl sselt wer den w rden Wir empfehlen daher den Installationstyp Partitionsweise auszuw hlen Falsche Betriebssystemversion gefunden Es wird das Be triebssystem Windows 2000 ben tigt Die Installation von SafeGuard Easy ist fehlgeschlagen Die Deinstallation von SafeGuard Easy ist fehlgeschlagen Allgemeine Fehler 1101 1102 1103 1104 1105 1106 1107 1108 Selbst berpr fung schlug fehl Das Hilfesystem konnte nicht initialisiert werden Eine Klasse konnte nicht registriert werden Die Informationen ber die Partitionskonfiguration sind inkon sistent Ung ltiger oder falscher Parameter definiert Keiner oder zu wenige Parameter wurden definiert Unbekannter Parameter definiert Nicht gen gend freier Speicher verf gbar 512 1109 1110 1111 1112 1113 1114 1115 1117 1118 1119 1120 1121 1122 1123 1124 1125 1126 1127 1128 1129 1130 1131 1132 Modul lt Modulname gt konnte nicht geladen werden Ein Dialog konnte nicht kreiert werden Ein Dialog konnte nicht initialisiert werden Ein Thread konnte nicht kreiert werden E
224. g Benutzer kopieren angezeigt Benutzer Kopieren x vorhandene Benutzer Die unten angef hrte Liste enth lt alle zur Yerf gung stehende Benutzer Bitte w hlen Sie einen der Benutzer aus der als Basis f r den neu zu erzeugenden Benutzer User Neuer Benutzername Die unten angef hrte Liste enth lt alle zur Verf gung stehenden Ran tsar Benutzer Name UserKopie Cancel W hlen Sie in der Benutzerliste das vorhandene Profil aus das Sie kopie ren wollen Angezeigt werden alle Profile die in Ihrem Verwaltungsbereich liegen Sie k nnen aber nur Profile kopieren die eine niedrigere Hierar chiestufe aufweisen als Ihr eigenes Profil Der Benutzer SYSTEM kann nicht kopiert werden Geben Sie dem neuen Benutzer einen Namen und dr cken Sie zur Best tigung der korrekten Namensvergabe auf OK Falls der Name schon ver geben ist wird eine entsprechende Fehlermeldung ausgegeben Anschlie end k nnen Sie ggf das neue Profil modifizieren 154 12 5 Benutzer l schen Benutzerprofile die nicht mehr ben tigt werden k nnen gel scht werden Nach Dr cken des Symbols amp f r das L schen eines Benutzers wird der Dialog Benutzer l schen angezeigt Benutzer L schen x Existierende Benutzer L sche Die unten angef hrte Liste enth lt alle zur Verfiigung stehende Benutzer Bitte w hlen Sie einen oder mehrere Benutzer aus die nalsecht mardan enllan NeuerBenutzer
225. geben werden Soll ein Client zentral administriert werden muss SafeGuard Easy neu mit aktivierter Server Anbindung installiert werden Starten Sie die Installation durch Aufrufen von Sgeasy msi aus dem CD Verzeichnis CLIENT interaktive Installation W hlen Sie im Rahmen einer Angepassten Installation neben den bereits selektierten Kompo nenten die Option Server Anbindung aus i SafeGuard Easy Client 4 50 2 Setup Funktionen ausw hlen W hlen Sie die zu installierenden Funktionen aus Er Sgeasy u Funktionsbeschreibung M x Verschl sselung Installiert die Serveranbindung f r eine zentrale Administration Diese Komponente wird auf der lokalen Festplatte installiert Diese Funktion erfordert 434KB auf Ihrer Festplatte Durchsuchen Utimaco Safeware AG Datentr gerkosten Abbrechen 430 Im weiteren Verlauf der Installation tragen Sie im Dialog Server den UNC NETBIOS Name des SafeGuard Easy Servers ein z B Server01 i SafeGuard Easy Setup i IEI xj Hame des Server Le Name des Servers 4 Zu Geben Sie den Namen des SafeGuard Easy Server f r die Zentrale Administration an Name des Servers serveron Utimaco Safeware AG lt Zur ck weiter gt Abbrechen Setzen Sie die Installation wie unter Lokale Installation beschrieben fort Sobald Sie fertig sind m ssen Sie ihr System neu starten ACHTUNG Wird der Name des SafeGuard Easy
226. gebene Passwort wurde von diesem Benutzer bereits verwendet Das vergebene Passwort geh rt zur List der nicht erlaubten Passworte Datei lt Name der Datei gt kann nicht ge ffnet werden Datei lt Name der Datei gt kann nicht geschlossen werden Datei lt Name der Datei gt kann nicht erzeugt werden Fehler w hrend Schreibzugriff auf Datei lt Name der Datei gt Fehler w hrend Lesezugriff in Datei lt Name der Datei gt Fehler beim Zugriff auf Datei lt Name der Datei gt Datei lt Name der Datei gt konnte nicht gefunden werden Ung ltige Datei oder Pfadname Nicht gen gend Speicherplatz auf dem Datentr ger Die Festplattenpartition ist zu stark fragmenitiert 1041 1042 1043 1044 1045 1046 1047 1048 1049 1052 1053 Ung ltiges Dateisystem entdeckt Unbekanntes Dateisystem entdeckt Datei lt Name der Datei gt existiert bereits Korrupte Struktur im Dateisystem entdeckt Ung ltiger Eintrag im Dateisystem gefunden Anforderung nach Partitionsinformationen fehlgeschlagen Unbekanntes oder ung ltiges Dateisystem entdeckt Datei lt Name der Datei gt konnte nicht kopiert werden Datei lt Name der Datei gt konnte nicht gel scht werden Checksumme der Datei lt Name der Datei gt fehlerhaft Datei lt Name der Datei gt konnte nicht umbenannt werden Installationsfehler 1061 1063 1064 1065 1066 1067 1068 1069 1070 1071 1072 1073 Ung ltiges Installationslaufwerk SafeGuard Easy ist
227. gen erlauben weitere Vorgaben f r die Zusammensetzung von SafeGuard Easy Passworten zu definieren etwa den Anteil an Buchstaben und Zahlen oder deren Mindestl nge Die se Vorgaben gelten f r jeden SafeGuard Easy Benutzer und es werden keine Passworte akzeptiert die nicht diesen Standards entsprechen 11x Datei Ansicht Benutzer Eernzugang Extras Hife Be SET E Token Verschl sselung Token Anmeldung ohne Token gP Benutzer E Wake On LAN Wake on LAN aktivieren Nein Anzahl der automatischen nmeldeversuche 0 B Passworteinstellungen Passworteingabe verdecken Mindestl nge der Passw rter Mindestalter der Passw rter Passwortgenerationen 2 Mindestanzahl der Buchstaben Mindestanzahl der Zahlen Mindestanzahl der Symbole Gro Kleinschreibung verwenden f Verbotene Passw rter Passw rter Passw rter Maschinen Identifikation AST VM GER Begr ungstext Begr ungstext EI Master Boot Record MBR Schutz Men anzeigen MBR Aktionen MBR Aktionen Dr cke F1 F r Hilfe Partitionsweise kein e Laufwerk e verschl ss NUM INS 13 4 1 Passworteingabe beim Systemstart abfragen Siehe Passwort beim Systemstart abfragen 13 4 2 Passworteingabe verdecken Bei der verdeckten Passworteingabe werden im Gegensatz zu herk mm lichen Anmeldeprozeduren bei Eingabe des SafeGuard Easy Passworts keine Platzhalter z B Symbole angezeigt Ist diese Option aktivi
228. gestellte Fragen Ben tigt man zus tzliche Software wie Lenovos Client Security Solution CSS Die SafeGuard Easy Fingerabdruck L sung ist unabh ngig von CSS Sie ben tigen nur die Thinkvantage Fingerprint Software zum Enrollen von Fingern Werden mehrere Benutzer unterst tzt Es gibt auf jedem Leser Platz f r 21 Fingerabdr cke Jedem dieser Fingerabdr cke kann ein beliebiger Windows Benutzer ber die Thinkvantage Fingerprint Software zugeteilt werden Genauso verh lt es sich mit SafeGuard Easy nur dass die Verkn pfung von Finger und SafeGuard Easy Benutzerdaten in der Pre Boot Authentisierung stattfindet Beispiel Mehrere Finger f r einen SafeGuard Easy Benutzer ausstellen 244 Was passiert wenn die Fingerabdruck Anmeldung nicht funktioniert Ger t defekt 0 ber die Taste Esc gelangen Benutzer in die Pre Boot Authentisierung und k nnen sich mit SafeGuard Easy Benutzername und Passwort an melden Wenn dem Benutzer das Passwort nicht bekannt ist kann ber Challenge Response ein neues vergeben werden Wie l scht man einen Benutzer 1 W hlen Sie Programme gt Thinkvantage gt Thinkvantage Fingerprint Software TFS 2 ImTFS Startbildschirm w hlen Sie nacheinander Settings gt Power On Security Es erscheint der Dialog Power on Security 3 Markieren Sie einen Benutzer und dr cken Sie anschie end L schen Power on Security 4 xj IMPORTANT Learn more Authorized fing
229. gistrieren Wenn SafeGuard Easy Clients von einem anderen als dem bisherigen SafeGuard Easy Server administriert werden sollen geschieht dies ber die Funktion Auf einem anderen Server registrieren F r die Umregistrie rung wird ein sog Registrierungsrequest erzeugt Der Registrierungsre quest ist einem regul ren Request hnlich enth lt aber statt Konfigurationsupdates den neuen SafeGuard Easy Servernamen und SafeGuard Easy Zugangsdaten f r die Authentisierung am SafeGuard Easy Client der verschoben werden soll Die Abarbeitung eines Registrierungsrequests entspricht prinzipiell dem eines regul ren Requests Nach Fertigstellung reiht die Administrations konsole den Registrierungsrequest in die Warteschleife ein Sobald ein SafeGuard Easy Client am alten SafeGuard Easy Server nachfragt fin det er dort den Registrierungsrequest den er an den neuen SafeGuard Easy Server schickt Anschlie end erh lt der alte SafeGuard Easy Server vom SafeGuard Easy Client einen Bericht ber die Neuregistrierung wor aufhin der SafeGuard Easy Client aus der alten SafeGuard Easy Daten bank entfernt wird HINWEISE Der neue SafeGuard Easy Server darf nicht als SafeGuard Easy Client am alten SafeGuard Easy Server registriert sein Einzelne oder mehrere SafeGuard Easy Clients aber auch Gruppen sind verschiebbar Nach erfolgreichem Verschieben des SafeGuard Easy Clients wird der Registrierungsrequest ge
230. gt Requestname und beschreibung sollten aussagekr ftig sein Das Benutzerprofil des eingetragenen SafeGuard Easy Benutzers muss am SafeGuard Easy Client existieren aber keine speziellen SafeGuard Easy Rechte besitzen Auf anderem Server registrieren x Auf NEUERSERYER registrieren Auf anderem Server registrieren 24 02 2005 15 17 51 helpdesk 5 Angaben mit OK best tigen 6 Der Registrierungsrequest erscheint in der Warteschleife Queue Details Arbeitsstation KS01 Auf anderem Server registrieren wks01 Registrierung 2470272005 13 08 37 Geplant Anderung festlegen Erstellen 1109172801 nderung 23 02 2005 16 33 41 Erfolgreich 464 DE TEHE 7 Status des SafeGuard Easy Client auf Push setzen ber das Men Arbeitsstationen Status ndern zu Push ein gg SafeGuard Easy Administration Konsole Server SERYERDO1 8 Registrierungsrequest starten ber das Men Extras Push Request durchf hren 9 Der SafeGuard Easy Client seine Warteschleife Queue und andere Datenbankabh ngigkeiten werden aus der alten Datenbank entfernt 10 Die Administrationskonsole starten und zum neuen SafeGuard Easy Server verbinden Datenbank Server Yerbindung 11 Der umregistrierte SafeGuard Easy Client erscheint in der Administrationskonsole g SafeGuard Easy Administration Konsole Server LAB2
231. hentisierung bevor alle Daten angezeigt werden 416 31 8 3 Bestehende Konfigurationsdatei als Request verwenden ber Arbeitsstationen Gruppen nderungen festlegen Aus Datei Laden kann einem Request auch direkt eine bestehende Konfigurations datei mitgegeben werden die SafeGuard Easy von einem SafeGuard Easy Client deinstalliert oder nur nderungen vornimmt Voraussetzung daf r ist dass diese Datei zuvor mit dem Konfigurationsdateiassistenten erstellt wurde nderung festlegen Aus Datei laden x Requestname Anderung festlegen Aus Datei laden 1110984953 Requestbeschreibung Anderung festlegen Aus Datei laden 16 03 2005 15 55 53 V Aus Deinstallations oder Anderungskonfiaurationsdateiladen Deinstallations oder nderungskonfigurationsdatei C PROGRAM FILES UTIMACO SAFEGUARD EASY C Abbrechen F r die Arbeit mit bestehenden Konfigurationsdateien spricht ihre Le bensdauer Requests ohne mitgegebener Konfigurationsdatei sind nach Fertigstellung nicht als eigene Datei verf gbar sondern als Verkn pfung in der SafeGuard Easy Datenbank abgelegt Einmal erfolgreich ausgef hrt lassen sich ihre Einstellungen im Nachhinein nicht mehr editieren bzw an deren Arbeitsstationen zuweisen 478 31 8 4 Fehlgeschlagene Requests Requests k nnen fehlschlagen m wenn die Authentisierung des Request Erstellers auf dem SafeGuard Easy Client fehl schl gt wenn das Rechtep
232. her vor der Initialisierung des Universal Token Interfaces gestartet sein m ssen SCcardSvr Betriebssystemeigener Smartcard Service Dieser Eintrag muss immer vorhanden sein Manche Token verlangen dar ber hinaus zus tzlich einen token spezifi schen Service der ebenfalls angegeben werden muss Die Services m s sen durch ein Komma getrennt werden Bevorzugter Slot Index Die Token verlangen bestimmte Slot Indices Tragen Sie hier den Slot f r Ihren Token ein Wird das PKCS 11 Modul f r den SafeGuard Smartcard Provider angegeben wird der entsprechende Slot 0 automatisch eingetragen HINWEIS Stellen Sie sicher dass Ihr Token an dem angegebenen Slot ange steckt ist PKCS 11 Modul Das PKCS 11 Modul ist verantwortlich f r die Kommunikation lesen schreiben mit dem Token Geben Sie hier f r Ihren Token das entsprechende PKCS 11 Modul an PKCS 11 Module Services Slots Token Provider Software PKCS 11 Modul Services Aladdin USB Token aktuellstes eTpkcs11 dll SCardSvr Aladdin Runtime ETOKSRV Environment RTE Verisign USB Token wie Aladdin wie Aladdin wie Aladdin RSA SecurlD 800 aktuellster pkcs11 dll SCardSvr RSA Authenticator Client 214 Hohe Sicherheit f r den privaten Schl ssel Wenn Sie diese Option aktivieren wird der Benutzer bei jeder Operation die den privaten Schl ssel benutzt zur Authentisierung Eingabe der PIN aufgefordert Bevorzugter C
233. hl der automatischen nmeldev 0 B Passwort Einstellungen Passwortabfrage bei Systemstart Ja Verdeckte Passworteingabe Ja Passwortmindestl nge 6 Passwordmindestalter 30 Passwortgenerationen 4 Buchstaben 0 Zahlen 0 Symbole 0 Klein Gro schreibung 0 B Verbotene Passw rter Passw rter Passw rter B Identifikation Maschinen Identifikation AST VM GER Legal notice Legal notice Dr cke F1 f r Hilfe Partitionsweise keinfe Laufwerk e verse NUM Das linke Fenster zeigt eine Liste aller verf gbaren Konfigurationsseiten an Wird im linken Fenster eine Konfigurationsseite ausgew hlt werden im rechten Fenster Details ber Einstellungsm glichkeiten angezeigt Die verschiedenen Einstellm glichkeiten entsprechen denjenigen die w hrend der Installation von SafeGuard Easy vorgenommen werden k nnen 94 Die Statusleiste des Administrationsfensters gibt weitere Informationen ber m Verschl sselungsmodus und der Verschl sselungsstatus der Laufwerke im Bild Partitionsweise keine Laufwerke verschl s selt m Status der Tasten f r den Nummernblock und die Hochstell Taste im Bild ist Num Lock aktiviert In der Grundeinstellung darf jeder an der Administration angemeldete Benutzer dort sein SafeGuard Easy Passwort ndern Der weitere Handlungsspielraum h ngt von seinem Rechteprofil ab 8 3 2 Symbol und Werkzeugleiste Die Administration verf gt ber eine Symbolleiste mit Schaltfl chen f r die wichtig
234. hlversuch wird die Wartezeit des vorherigen Fehlversuches als Basiswert genommen Die Standardeinstellung ist 10 Minimaler Maximaler Wert 0 999 Multiplikator Standard 3 Der Multiplikator wird mit der Zeitbasis Verz gerung in Sekunden multipliziert Die Standardeinstellung ist 3 Minimaler Maximaler Wert 0 99 Deaktiviere STRG ALT Entf wenn Computer gesperrt ist Standard Aktiviert Die Rechnersperre kann bei einer Anmeldung mit Token nicht mit STRG ALT Entf aufgehoben werden BEISPIEL Verz gerung von 10 Sekunden und Multiplikator von 5 1 Fehlversuch 50 Sekunden Wartezeit 10 5 2 Fehlversuch 250 Sekunden Wartezeit 50 5 3 Fehlversuch 1250 Sekunden Wartezeit 250 5 Die Rechnersperre kann durch Neustart des Rechners und durch An meldung eines lokalen Administrators aufgehoben werden Beachten Sie in diesem Zusammenhang auch die Benutzersperre von Windows 17 3 3 Bildsschirmschoner Ist auf einer Arbeitsstation festgelegt dass ein Bildschirmschoner nach ei ner bestimmten Zeit starten soll k nnen Sie bestimmen wie das System nach einem definierten Zeitraum auf dessen Aktivierung reagieren soll Die Einstellungen sind nur wirksam wenn der Windows Bildschirmscho ner auch aktiviert ist Sie finden die Richtlinie in der administrativen Vorlage unter Computerkonfiguration Administrative Vorlagen SafeGuard Authentication Logon Optionen Bildschirmschoner 274
235. hne To ken an SafeGuard Easy und Windows angemeldet Steckt den Token in den USB Port Verbindet sich ber Remote Funktion siehe Token remote verwalten der Token Administration auf den PC des Benutzers und ndert das Token Passwort Teilt dem Benutzer das neue Token Pass wort mit Voraussetzung f r Remote Funktion Administrator wei das Administrator Passwort des Token Benutzer PC muss im Netzwerk sein Token Administration muss auf Administ rator PC und Benutzer PC installiert sein Token verf gt ber ein Administrator Passwort Security Officer PIN Startet den PC neu und meldet sich mit dem Token an 232 15 13 3 Token remote verwalten Die Remoteverwaltung dient dazu Benutzern in Notfallsituationen zu hel fen z B wenn sie ihr Token Passwort vergessen haben und sich nicht mehr anmelden k nnen Wollen Sie einen Token remote administrieren muss m zwischen Benutzer PC und Administrator PC eine Netzwerkver bindung bestehen m auf dem Administrator PC die Token Administration vorhanden sein m auf dem Benutzer PC die Token Unterst tzung und die Token Ad ministration installiert und der Token an die Arbeitsstation ange schlossen sein m der Administrator die Security Officer PIN des Benutzer Tokens kennen So verwalten Sie Token remote 1 Authentisieren Sie Administrator sich am Benutzer PC an dem der Token angeschlossen ist Falsches Kennwort oder
236. i ber die Kommandozeile erzeugen wollen nutzen Sie das Programm CfgWiz exe CfgWiz istim SafeGuard Easy Verzeichnis zu finden CfgWiz kann mit folgenden Parametern aufgerufen werden cmd install change uninstall Diese Option ersetzt den Dialog Konfigurationsdateityp base lt filename gt Diese Option benennt die Basiskonfiguration die genutzt werden soll Bei einer Install Datei ersetzt diese Option den Basiskonfigurationsdatei Dialog instfile lt filename gt Diese Option benennt den Namen der der Install Datei die erzeugt werden soll Wenn dieser Parameter vorhanden ist erscheint der Dialog Zielverzeichnis nicht Wenn die Datei bereits existiert wird sie mit der neuen Konfiguration berschrieben changefile lt filename gt Diese Option benennt den Namen der der Delta Datei die erzeugt werden soll Wenn dieser Parameter vorhanden ist erscheint der Dialog Zielverzeichnis nicht Wenn die Datei bereits existiert wird sie mit der neuen Konfiguration berschrieben 112 uninstfile lt filename gt Diese Option benennt den Namen der Deinstallationsdatei die erzeugt werden soll Wenn dieser Parameter vorhanden ist erscheint der Dialog Zielverzeichnis nicht Wenn die Datei bereits existiert wird sie mit der neuen Konfiguration berschrieben Beispiel CfgWiz cmd change base C install cfg changefile C Change cfg HINWEIS In zuk nftigen Versionen von LANDesk Management Systems werden dies
237. i um oder dem Netzlaufwerk abgelegt sein 374 2 Stellen Sie im Dialog Reminder ein in welchen Zeitabst nden Sie an die Systemkernsicherung erinnert werden m chten Damit bei auftretenden Systemfehlern immer die aktuellste Systemkern Version zur Hand ist ist es ratsam regelm ige Sicherungen durchzuf hren S SafeGuard Easy Notfalldiskette Assistent 27 1 2 Systemkern per Kommandozeile sichern Sie k nnen den Systemkern auch von der Kommandozeile sichern und zwar ber SGEBACK EXE lt PfaWDateiname gt S f Gibt den Pfad und Dateinamen der Kernelsicherung an Name und Extension der Zieldatei sind frei w hlbar S Schickt die im Parameter f definierte Kernelsicherung an den SafeGuard Easy Server Zeigt diese Hilfe 27 1 3 SafeGuard Easy Notfalldateien manuell auf Diskette sichern Sie k nnen die Notfalldateien auch manuell auf eine Diskette sichern Kopieren Sie folgende Dateien aus dem Installationsverzeichnis von SafeGuard Easy SGEASY exe Sgeasy hmf Sgecrypt mod Sgenls mod Sgekrnl mod 376 27 2 Bootf hige Notfalldiskette erstellen Als zus tzliche Option bietet der Notfallassistent an eine bootf hige Start diskette samt Systemkern Notfalltools und Treiberdateien f r das Tasta turlayout zu erstellen Dies ist eine komfortable M glichkeit Bootdiskette und SafeGuard Easy Notfalldiskette zu kombinieren SafeGuard Easy Notfalldis
238. ibilit t mit Anmeldekomponenten anderer Hersteller Um die Sicherheit immer zu gew hrleisten stellen die Anmeldekompo nenten von Utimaco sicher dass sie immer zuerst vom Betriebssystem aufgerufen werden Eine nderung dieser Aufrufsequenz z B durch In stallation fremder Anmeldesoftware wird automatisch wieder r ckg ngig gemacht Sollte dies bei einem nachfolgenden Reboot dazu f hren dass Sie sich nicht mehr an Windows anmelden k nnen oder Windows nach der Anmeldung nicht ordnungsgem zur Verf gung steht bietet Utimaco dem Administrator zwei M glichkeiten diese automatische nderung aufzuheben m Wird w hrend des Bootvorgangs nach Umschalten des blauen Bildschirms auf den Desktop F8 gedr ckt startet das Betriebs system weiter und der Administrator erh lt die M glichkeit manu ell die von Utimaco aufgerufene zus tzliche Anmeldekomponente zu definieren m Wird F8 nicht gedr ckt erscheint eine Abfrage die es einem Anwender zu entscheiden erlaubt ob die original Microsoft Anmeldekomponente oder die eines Drittherstellers nach Aufruf der Utimaco Anmeldekomponente angesprochen werden soll Diese Abfrage erscheint solange bis der Anwender zus tzlich entscheidet die Abfrage zu deaktivieren In diesem Fall bleibt die letzte getroffene Auswahl g ltig Die Verwendung der original Microsoft Komponente stellt ein korrektes Funktionieren des Logon sicher deaktiviert aber gegebenenfalls einige Funktionen des zus
239. ibung verwenden B Verbotene Passw rter Passw rter B Identifikation Maschinen Identifikation Begr ungstext E Master Boot Record MBR Schutz MBR Aktionen ohne Token Nein 0 Ja Nein 6 30 4 Passw rter AST YM GER Begr ungstext Men anzeigen MBR Aktionen Dr cke F1 F r Hilfe Partitionsweise keine Laufwerk e verschl ss NUM ms 4 Im Master Boot Record MBR einer Festplatte werden f r jede angelegte Partition verschiedene Informationen gespeichert Durch ihn erf hrt das System welche Festplatte beziehungsweise welche Partition zum Booten verwendet wird Er ist daher ein beliebter Angriffspunkt f r Viren da das BIOS den darin enthaltenen Maschinencode ganz zu Beginn des Bootvor gangs ausf hrt noch bevor das Betriebssystem geladen wird SafeGuard Easy kann Modifikationen am MBR erkennen und darauf in verschiedener Art und Weise reagieren z B ein Men anzeigen und den Benutzer die Reaktion ausw hlen lassen Definiert werden die Einstellungen des Master Boot Record auf der Konfi gurationsseite ALLGEMEIN 124 10 1 MBR Schutz Der MBR Schutz bietet einen Schutzmechanismus gegen Viren die den Partitionssektor befallen Sofern Sie nicht nderungen ignorieren einge stellt haben wird der MBR bei jedem Systemstart auf Ver nderungen berpr ft nderungen ignorieren Bei dieser Einstellung wird eine m gliche Ver nderung des MBR akzeptiert Der Bootprozess wi
240. ichert wird ist beispielsweise dann hilfreich wenn Sie die Windows Systempartition mit Tools wie GHOST wiederherstellen wollen Das Wiederherstellen w rde ansonsten den SafeGuard Easy Systemkern entfernen da dieser in der Grundeinstellung immer auf der Systempartition abgelegt ist Das Ziellaufwerk muss auf der ersten Festplatte sein NOACTIVATION O 1 Mit NoActivation 1 werden SafeGuard Easy Dateien nur auf einen PC ko piert das Programm aber nicht aktiviert Nicht aktiviert hei t Der Master Boot Record wird nicht ausgetauscht und der SafeGuard Easy System kern nicht installiert Aktiviert wird SafeGuard Easy nachtr glich per Kon figurationsdatei ber das Kommando execcfg z B execcfg f C SGE Install cfg In der Grundeinstellung ist SafeGuard Easy aktiviert NoActivation 0 PARTCHECK O 1 berpr ft ob die vorhandenen Partitionstypen bekannte Dateisysteme unterst tzen FAT FAT 32 NTFS Wenn ein Partitionstyp unbekannt ist wird die Installation abgebrochen In der Grundeinstellung ist die ber pr fung aktiv PARTCHECK 1 SERVER lt Servername gt Definiert den Namen der Arbeitsstation auf der der SafeGuard Easy Server installiert ist Der Parameter kann nur verwendet werden wenn die Komponente Server Anbindung unterst tzt die zentrale Administration auf einem Client f r die Installation gew hlt ist GROUPS lt Gruppenname1 Gruppenname2 gt Definiert die SafeGuard Ea
241. ichnis nacheinander diese Tools aufrufen MBRsync exe WinPERepair exe SafeGuard Easy lt 4 10 ist installiert 1 Auf SafeGuard Easy gt 4 10 updaten 2 Rescue and Recovery installieren 3 Vor dem Reboot aus dem SafeGuard Easy Verzeichnis nacheinander diese Tools aufrufen MBRsync exe WinPERepair exe oder 1 Rescue and Recovery installieren 2 Vor dem Reboot aus dem SafeGuard Easy Verzeichnis dieses Tool aufrufen MBRsync exe 3 Auf SafeGuard Easy gt Version 4 10 updaten 338 ACHTUNG Wann immer Rescue and Recovery nach SafeGuard Easy installiert wird m ssen vor dem Reboot den Rescue and Recovery ausl st die Tools MBRsync exe und WinPErepair exe ausgef hrt werden Bei de Tools liegen im SafeGuard Easy Verzeichnis und werden einfach per Doppelklick ausgef hrt 24 4 Upgrade Upgrade bedeutet dass sowohl SafeGuard Easy ab Version 4 10 und Rescue and Recovery installiert sind und eines der beiden Produkte aktualisiert wird 24 4 1 Upgrade von SafeGuard Easy Das Upgrade von SafeGuard Easy aktualisiert das komplette System in klusive Rescue and Recovery Es sind keine weiteren Aktionen n tig 24 4 2 Upgrade von Rescue and Recovery Wann immer Rescue and Recovery aktualisiert wird m ssen vor dem Reboot die Tools MBRsync exe und WinPErepair exe ausgef hrt werden Beide Tools liegen im SafeGuard Easy Verzeichnis und werden ein
242. ie Person ohne Verwaltungsaufgaben ist der m Benutzer Die Verwaltungsfunktion kann von der Benutzer Funktion getrennt oder aber mit ihr vereint sein Die Verwaltungsaufgaben k nnen von einer oder mehr Personen erf llt werden SafeGuard Easy kann also f r mindestens einen und maximal 16 Benutzer inkl AUTOUSER konfiguriert werden Je nach Organisation kann es aber sinnvoll sein ein mehrstufiges Rollen system zu schaffen wobei die Administratoren oder Unter Systemverwal ter unterschiedlich abgestufte Rechte erhalten Folgende Hierarchiestruktur ist denkbar Administrator Nur der Administrator kann alle Programm Funktionen ausf hren Er kann einen Gehilfen definieren und diesem bestimmte Verwaltungsrechte ver leihen Der Administrator darf sein Passwort niemals vergessen Er sollte es notieren und an einem sicheren Platz aufbewahren Unter Systemverwalter Unter Systemverwalter k nnen dem Benutzer weiterhelfen wenn dieser z B sein Passwort vergessen haben sollte Inwieweit ein Unter System verwalter den Systemverwalter bei der Arbeit unterst tzen kann h ngt von seinen vordefinierten Rechten ab Benutzer Der Benutzer kann nur seine Einstellungen einsehen Ausf hren kann er aber standardm ig nur die Funktion zur Benutzer Passwort nderung Zudem k nnen ihm vom Administrator verschiedene Rechte gew hrt wer den 12 2 Vordefinierte Benutzer SafeGuard Easy stellt folgende vordefinierte Benutzerprofile zur Verf
243. ieben werden k nnen werden als Fehler in die Ereignisanzeige eingetragen Schreiben mehrere Arbeitsstationen per Definition in eine Protokolldatei z B eine Datei auf einem Netzlaufwerk ergeben sich u U bei gleichzeitigem Zugriff der verschiedenen Rechner berschneidungen Um in diesem Fall Datenverluste zu vermeiden l st die Protokollierung diese Konkurrenzsituation folgenderma en Sobald auf die definierte Protokolldatei nicht zugegriffen werden kann da sie in diesem Moment von einer anderen Arbeitsstation in Bearbeitung ist erzeugt die Protokollierung f r die abgewiesenen Arbeitsstationen neue Protokolldateien Angelegt werden neue Protokolldateien nach folgendem Prinzip Zugriff auf die definierte Standardprotokolldatei Sglog txt wird verweigert Die Protokollierung legt die Ersatzdatei Sglog txt 1 an Zugriff auf Protokolldateien Sglog txt und Sglog txt 1 wird verweigert Die Protokollierung legt die Ersatzdatei Sglog txt 2 an etc 410 Es k nnen maximal 999 Dateien angelegt werden Bei berschreiten dieser Zahl werden die Ereignisse automatisch in die Ereignisanzeige geschrieben Wenn die Protokolldatei die Eigenschaft Nur Lesen besitzt oder ihre Gr e 2 GB berschreiten w rde legt SafeGuard Easy eine neue Protokolldatei an Die durch SGE angelegte Protokolldatei muss bei einer Deinstallation explizit gel scht werden Utimaco empfiehlt das direkte Protokollieren mehrerer Arbeitsstationen in
244. ient sofort an den Server um die Datenbank auf dem aktuellsten Stand zu halten Im Fall einer Deinstallation meldet der Client diese Dein stallation an den Server welcher den Eintrag f r den betreffenden Client aus der Datenbank l scht 418 30 1 4 Unterst tzte SafeGuard Easy Client SafeGuard Easy Server Kombinationen SafeGuard Easy Client und SafeGuard Easy Server Versionen sind grunds tzlich beliebig miteinander kombinierbar z B arbeiten SafeGuard Easy Server V4 50 problemlos mit SafeGuard Easy Clients V4 40 und um gekehrt F r SafeGuard Easy Clients lt V4 11 gelten allerdings folgende Einschr n kungen in der Funktionalit t m keine nderung des Client Status nach OFFLINE m keine Neuregistrierung eines Clients m keine Umregistrierung eines Clients 30 2 Datenaustausch zwischen Client und Server Im Rahmen der zentralen Administration werden sensible SafeGuard Easy Informationen nicht mehr nur per Konfigurationsdateien bermittelt sondern online zwischen SafeGuard Easy Server und SafeGuard Easy Client ausgetauscht Diese Verbindung muss gesch tzt und konfiguriert werden 30 2 1 Sichere Kommunikation Um die SafeGuard Easy Informationen ad quat zu sch tzen ist die Da ten bermittlung verschl sselt Verschl sselung der Verbindung macht aber nur Sinn nachdem sich jeder Client f r den Informationsaustausch am SafeGuard Easy Server authentisiert hat und umgekehrt HINWEIS Client und Serve
245. igsten Windows Informationen Systemkern Treiber etc enth lt Wird dennoch eine Formatierung nach der SafeGuard Easy Installation durchgef hrt muss das System neu installiert werden Die Systemkernsicherung ist system spezifisch d h der System kern kann nur auf dem PC wiederhergestellt werden auf dem er gesichert wurde Da Sie im Fall eines Systemdefekts wahrscheinlich nicht auf die Festplatte zugreifen k nnen sollte der Systemkern samt Notfall dateien immer auf einer Diskette einem Wechselmedium oder dem Netzlaufwerk abgelegt sein Spracheinstellung im Notfallprogramm Sgeasy exe Die Sprache der Benutzeroberfl che des Notfallprogramms bestimmt die Datei Sgeasy hmf befindet sich auf der Notfalldiskette Die verschiedenen Ausgaben der Sprachdatei f r Deutsch Sgeasy07 hmf Englisch Sgeasy09 hmf und Franz sisch SgeasyOC hmf sind im SafeGuard Easy Installationsverzeichnis zu finden Der Benutzer muss die jeweilige Sprachdatei Sgeasy lt 09 07 0C gt hmf f r die Notfalldiskette in Sgeasy hmf umbenennen um die gew nschte Sprache in Sgeasy exe zu erhalten 386 27 6 Nach Booten von externen Medien im Notfall auf verschl sselte Daten zugreifen In bestimmten Notfall Situationen wollen Benutzer ein mit SafeGuard Easy verschl sseltes System von einem externen Medium starten z B um Daten zu retten wenn das Betriebssystem nicht mehr startet Benutzer k nnen das System allerdings erst dann von einem externen
246. ile aufgeteilt im SafeGuard Easy Kern abgelegt Beim Booten ist SafeGuard Easy in der Lage daraus das komplette Passwort oder eigentlich die komplette Scan Code Sequenz wiederherzustellen 11 6 3 Schl ssell nge F r die Schl ssell nge gibt es keinen vorgegebenen Mindestwert die ma ximale Zeichenanzahl betr gt allerdings 32 32 bis 255 ASCII Code F r den Schl ssel d rfen mit Ausnahme landesspezifischer Sonderzeichen alphanumerische Zeichen A Z a z 0 9 und Sonderzeichen 8 verwendet werden Beachten Sie dass zwischen Gro und Kleinschreibung unterschieden wird 138 11 6 4 Triviale Schl ssel Schl ssel f r Disketten Festplatten und Wechselmedien werden auf Trivi alit t berpr ft Unter einem trivialen Schl ssel werden Zeichenfolgen ver standen die aus einem oder wenigen Zeichen bestehen z B 22222222 aad daad daadd 1h1h1h1h1h1h1h oder die der Folge einer Tastaturreihe entsprechen z B asdfghik Ikjhgfds Bei einem trivialen Schl ssel wer den Sie auf das Sicherheitsrisiko hingewiesen und k nnen einen neuen Schl ssel definieren 11 6 5 Zufallsschl ssel Ein Zufallsschl ssel hat immer die L nge von 32 Byte 256 Bit Er wird dann auf die passende L nge des eingestellten Algorithmus reduziert Die Zeichen im Eingabefeld f r den Schl ssel dienen nur als Platzhalter Das Generieren eines Zufallsschl ssels f r Festplatten bzw Partitionen empfiehlt sich insbesonde
247. in Fenster konnte nicht kreiert werden Sie ben tigen Administrator Rechte um zu installieren oder zu deinstallieren Es ist eine Speicherschutzverletzung aufgetreten Die Logdatei lt Dateiname gt konnte nicht ge ffnet werden Das Deinstallationsprogramm und das Administrationspro gramm von PN k nnen nicht gleichzeitig gestartet sein Kerneldatei nicht gefunden Die Installation des control handler schlug fehl Unbekannte Umgebungsvariable definiert Eine Umgebungsvariable konnte nicht gesetzt werden Puffergr e unzureichend Die DLL 5 konnte nicht geladen werden Die spezifizierte Funktion 5 konnte nicht gefunden werden Die Semaphore 5 konnte nicht ge ffnet werden Das Modul 5 konnte nicht freigegeben werden Ein Ausnahmefehler trat auf w hrend der Ausf hrung einer PN Subsystem Funktion Last error code 1Function re turn code 2Module 3Line number 4Address 5Bitte kontakten Sie Utimaco Safeware AG Ein kritischer Fehler trat auf bei der Ausf hrung einer oder mehrerer PN Subsystem Funktion en Fatal error code 1 nOS error code 2 nModule 3Function 4 Beschreibung MSGLINK 1 Belegter Hauptspeicher konnte nicht freigegeben werden Eine Funktion wird zur Zeit nicht unterst tzt Zugriff verweigert 1133 1134 1135 1136 1137 1139 1141 1143 1144 1145 1146 1147 1148 Programmstart von lt Name der Datei gt schlug fehl Funktion oder Ressource ni
248. indows System dateien befinden kann identisch sein mit der Bootpartition m das Laufwerk mit dem SafeGuard Easy Installationsverzeichnis um den Zugriff auf die SafeGuard Easy Dateien zu gew hrleisten m Eine Twinboot Installation verlangt zus tzlich dass Disketten und Wechselmedienlaufwerke verschl sselt werden 6 Der Twinboot Modus aktiviert automatisch den SafeGuard Easy Bootmanager Wechseln Sie zum Ordner Boot Manager und nehmen Sie die Feineinstellungen vor HINWEIS Beim Anw hlen von Partitionen auf die der Zugriff verboten ist er scheint nach der Installation ein Dialog mit Wollen Sie Partition forma tieren Wenn Sie JA dr cken sind die Daten verloren 186 14 5 Bootmanager konfigurieren Konfiguriert wird der Bootmanager ber den gleichnamigen Ordner in den Verwaltungsprogrammen Die Konfigurationsseite wird aber nur bei Wahl des Verschl sselungsmodus Twinboot angezeigt SafeGuard Easy Konfigurationsassistent 4 2 x Arbeitsstation Konfiguration Bitte nehmen Sie nderungen der unten angezeigten Einstellungen vor die auf der Ziel Arbeitsstation vorgenommen werden sollen B Allgemeine Einstellungen Boot Manager aktivieren Ja Verschl sselung Anzeigedauer 30 il Benutzer B Startlaufwerke Laufwerke Startlaufwerke 14 5 1 Allgemeine Einstellungen m Bootmanager aktiviert Definiert ob der Bootmanager ein ausgeschaltet ist Bei einer Twinboot Inst
249. info stg Pubkey sto m NetBIOS Name und die IP Adresse des alten SafeGuard Easy Servers f r Wiederherstellungszwecke notieren Mit Hilfe der gesicherten Dateien NetBIOS und IP Adresse k nnen Sie beim erneuten Aufsetzen eines SafeGuard Easy Servers den Stand der letzten Sicherung der Dateien wiederherstellen 432 Dabei sind folgende Punkte zu beachten 1 Dem neuen PC Server die gleiche IP Adresse und den gleichen NetBIOS Namen zuweisen Anschlie end den SafeGuard Easy Server Server msi neu installieren Nach abgeschlossener Installation den PC nicht sofort neu starten Die drei gesicherten Dateien in das Produktverzeichnis von SafeGuard Easy einspielen PC neu starten Nach dem Neustart die Administrationskonsole von SafeGuard Easy ffnen Die Eintr ge der SafeGuard Easy Clients sind wieder vorhanden 434 30 4 Microsoft SQL Server Unterst tzung Als Standard Datenbanktyp f r das Speichern von Informationen ber SafeGuard Easy Clients verwendet SafeGuard Easy eine Microsoft Access Datenbank Mancher Anwender m chte vielleicht statt der Stan dardeinstellung einen anderen Datenbanktyp nutzen SafeGuard Easy er f llt diesen Kundenwunsch und erweitert das Spektrum der unterst tzten Datenbanken um den Microsoft SQL Server Es gibt zwei Phasen f r die Einrichtung der Microsoft SQL Server Unter st tzung m Zuerst muss eine leere SafeGuard Easy Datenbank auf dem SQL Server erzeugt werden
250. inistrator erzeugt ber das Men Arbeitsstationen nderung festlegen ein Konfigurationsupdate nderungs Request In der Warteschleife wird der Request auf Geplant gesetzt Queue Details Arbeitsstation WKS01 xX _Requesttyp Datum Status Fehlerkenn nderung festlegen Erstelle nderung 04 03 2005 14 23 23 Geplant 0 Status ndern 1109941869 Status 04 03 2005 14 11 09 Erfolgreich 0 2 Der SafeGuard Easy Administrator exportiert den Request in eine Request Datei Dateierweiterung REQ ber das Men Arbeitsstation Request Datei exportieren i SafeGuard Easy Administration Konsole Server SERYERO1 Datei Bearbeiten Ansicht Arbeitsstationen Extras Hilfe Beschreibung ndern Fernadministration ffnen Gruppen Arbeitsstatione Zu Gruppen zuweisen Yon Gruppen entfernen Status ndern zu gt nderung Festlegen Requestdatei exportieren 488 3 Sobald eine Request Datei erstellt ist wechselt der Status des Request in der Warteschleife auf Wartend Queue Details Arbeitsstation WKS01 Requestname Requesttyp Datum Status Fehlerkenn nderung festlegen Erstelle nderung 04 03 2005 14 25 05 wartend 0 Status ndern 1109941869 Status 04 03 2005 14 11 09 Erfolgreich 0 4 Der SafeGuard Easy Administrator schickt die Request Datei z B per Mail an den Benutzer des Offline Clients 5 Der Benutzer des Offline
251. innvoll ist die Definition von Passwortgenerationen insbesondere in Verbindung mit der Einstellung Passwortwechsel nach n Tagen siehe Passwortwechsel nach n Tagen BEISPIEL Die Anzahl der Passwortgenerationen f r den Benutzer M ller wurde auf 4 festgelegt die der Tage nach denen der Benutzer das Passwort wechseln muss auf 30 Herr M ller meldete sich bislang mit dem SafeGuard Easy Passwort Informatik an Nach Ablauf der Frist wird er im SafeGuard Easy Anmeldebildschirm aufgefordert sein Passwort zu ndern Herr M ller tippt wieder Informatik ein und erh lt die Fehlermeldung dass er dieses Passwort bereits verwendet hat und ein anderes Passwort w hlen muss Informatik darf Herr M ller erst nach der vierten da Passwortgenerationen 4 Aufforderung zur Eingabe eines neuen Passworts wieder verwenden 174 13 4 6 Mindestanzahl an Buchstaben Zahlen Symbolen Um die Sicherheit von Passworten zu erh hen k nnen Sie eine Mischung von Buchstaben und Zahlen und oder Symbolen verlangen Die angege bene Zahl setzt immer einen Mindestwert Symbole sind Zeichen wie 8 etc 13 4 7 Gro Kleinschreibung verwenden Gro Kleinschreibung bedeutet dass genausoviele Gro wie Klein buchstaben verwendet werden m ssen Das folgende Beispiel zeigt den korrekten Einsatz von Syntaxregeln Vorgabe Mindestanzahl der Buchstaben 1 Mindestanzahl der Zahlen 2
252. inrichten F r die bestm gliche Sicherheit bei Aktivierung des Ruhezustands emp fehlen wir folgende Konfiguration 1 Rufen Sie im Windows Startmen nacheinander Einstellungen Systemsteuerung Energieoptionen auf In Registerkarte Ruhezustand aktivieren Sie die Checkbox Unterst tzung f r Ruhezustand Eigenschaften von Energieoptionen S x Energieschemas Erweitert Ruhezustand usy den Inhalt des Arbeitsspeichers auf der Festplatte und schaltet sich dann ab Wenn er wieder gestartet wird kehrt er zum vorherigen Zustand zur ck RI wenn der Computer in den Ruhezustand wechselt speichert er r Speicherplatz f r den Ruhezustand Freier Speicherplatz 567 MB F r Ruhezustand ben tigt 240 MB 2 Wenn sich zwei Benutzer einen SafeGuard Easy Rechner teilen aktivieren Sie in der Registerkarte Erweitert im Feld Optionen Kennwort beim Reaktivieren des Computers anfordern 3 Starten Sie die SafeGuard Easy Administration 4 Aktivieren Sie die Pre Boot Authentisierung wenn noch nicht geschehen unter Allgemein Passworteinstellungen Passwortabfrage beim Systemstart 5 Verschl sseln Sie mindestens die Betriebssystempartition ber Verschl sselung Laufwerke Festplattenlaufwerke Zum Schutz Ihres Systems empfehlen wir zus tzlich zur Betriebssystempartition ihre kompletten Datenpartitionen zu verschl sseln 296 21 Disketten und Ger teverschl sselung schalten Um eine
253. iskett iii cD p Freigabe Datentr ger kopieren Yerschl sselung einschalten ausschalten astau Formatieren Munich voltil Verkn pfung erstellen Umbenennen Eigenschaften HINWEIS Der Verschl sselungsstatus kann f r jedes Wechselmedienlaufwerk einzeln eingestellt werden 21 3 Schl ssel setzen mit SgeCrypt Neue Schl ssel werden f r die Dauer einer Anmeldung ber das Tool SGECRYPT vergeben Um SGECRYPT zu ffnen w hlen Sie nacheinander Programme Utimaco SafeGuard Easy Disketten und Ger teverschl sselung schalten x SafeGuard Easy SgeCrypt x r Auswahl des Schlisseltyps Floppyschl ssel C Wechselmedienschl ssel r Schl sseldefinition B Tempor rer Schliissel A Best tige Schl ssel MHA o I Icon in der Task Leiste anzeigen Abbrechen Hilfe Sie k nnen aus den folgenden Optionen w hlen m Auswahl des Schl sseltyps Bestimmt ob der Schl ssel f r Diskette oder Wechselmedien gel ten soll m Systemschl ssel verwenden Aktiviert Der auf der Arbeitsstation beispielsweise w hrend der Installati on f r Disketten oder Wechselmedienlaufwerke voreingestellte Schl ssel wird verwendet Deaktiviert Ein neuer Schl ssel wird verwendet 300 Um einen Systemschl ssel w hlen zu k nnen muss dieser auch auf der Arbeitsstation eingestellt sein Ist dies nicht der Fall kann ein Benutzer m
254. it entsprechenden Rechten in der Administration im nachhinein diesen Systemschl ssel setzen m Tempor rer Schl ssel Der tempor re Schl ssel gilt nur f r die Dauer einer Arbeitssit zung Nach dem Neustart wird er wieder entfernt und der System schl ssel wird wieder aktiv m Icon in der Task Leiste anzeigen Zeigt in der Taskleiste ein Icon an ber das dieser Dialog aufge rufen werden kann Die Einstellung ist nur f r den aktuell angemel deten Benutzer g ltig Es sind keine Windows Administratorrechte n tig um das Icon anzuzeigen nicht anzuzeigen 21 3 1 Tempor re Schl ssel nicht zur cksetzen Wenn die tempor ren Schl sseleinstellungen auch nach einem Neustart gelten sollen ist dies ber eine Richtlinie in Utimacos administrativer Vor lage konfigurierbar siehe H ufig verwendete Registry Einstellungen f r SafeGuard Easy ber die administrative Vorlage ndern Sie finden die Richtlinie unter Computerkonfiguration Administrative Vorlagen SafeGuard SGEasy Ist der Haken vor der Option R cksetzen der Verschl sselungseinstellun gen beim Abmelden entfernt werden die tempor ren Schl ssel nicht mehr zur ckgesetzt Eigenschaften von SGEasy N gi v M v m B v y Yorkenge Richtlinie 302 21 4 Verschl sselungseinstellungen ber Kommandozeile schalten Die Disketten Ger teverschl sselung kann auch von der Kommandozeile aus gestartet
255. itute of Standards and Technology NIST Das NIST bestimmt die Sicherheitskriterien f r Verschl sselungsprodukte der US amerikanischen Regierung SafeGuard Easy ist bereits zertifiziert nach den Standard Common Criteria Evaluation Assurance Level 3 EAL3 Optionale Zwei Faktor Authentisierung in der Pre Boot Phase SafeGuard Easy kann so konfiguriert werden dass nur Anwender mit pas sendem Token Zugriff auf den PC erhalten Der Token kann nicht nur in der Pre Boot Authentisierung sondern nat rlich ber den PKCS 11 bzw CSP Standard auch auf Betriebssystemebene f r weitere zertifikatsbasierte Anwendungen verwendet werden Auch die Anmeldung des SafeGuard Easy Administrators an den Verwaltungsprogrammen kann selbstver st ndlich ber den Token erfolgen Benutzern die ihren Token vergessen haben hilft ein zentraler Helpdesk Challenge Response Verfahren SafeGuard Easy unterst tzt diverse Aladdin eToken den Verisign USB Token und den RSA SecurlD 800 Token Biometrische Anmeldung mit Lenovo Fingerabdruck Leser SafeGuard Easy unterst tzt neben der Anmeldung mit USB Token RSA Aladdin die Anmeldung per Fingerabdruck in der Pre Boot Authentisie rung Vorteil des Fingerabdrucks ist dass sich ein Benutzer weder Safe Guard Easy Passw rter noch die PIN eines USB Tokens merken muss Er identifiziert sich z B an einem Lenovo Notebook einfach indem er einen Finger ber den dort eingebauten Leser f hrt SafeGuard Plug In f r
256. ity 15 11 1 Token Administration installieren So installieren Sie die Token Administration 1 220 Installieren Sie aus dem TOOLS Verzeichnis der SafeGuard Easy CD nacheinander TokenAdmin msi SCAdmin SGEasy msi Registrieren Sie nach dem Neustart des PCs das PKCS 11 Modul des Token Details lesen Sie unter PKCS 11 Modul des Token registrieren nach Verbinden Sie den Token mit dem PC Rufen Sie die Computerverwaltung ber Start Einstellungen Systemsteuerung Verwaltung auf Im Ordner SafeGuard der Computerverwaltung erscheint die Token Administration Melden Sie sich an die Token Administration mit Ihrem Token Passwort an ffnen Sie den Ordner Benutzer Markieren Sie den Ordner SGEasy Zugangsdaten ffnen Sie den Dialog Eigenschaften durch einen Doppelklick auf das SafeGuard Easy Symbol in der Benutzer Spalte Markieren Sie Benutzer ID und Passwort eingeben und tragen Sie Benutzername und Passwort ein ioii Vorgang Ansicht e gt am xB 2 la Struktur Doppelklicken 2 Computeryerwaltung Lokal System Datenspeicher Dienste und Anwendungen SafeGuard 1 0 0 Bon sau verer aixi g Token Administration AKS ifdh 0 SG Easy Zugangsdaten NR Public 5 User Benutzer ID und Passwort eingeben W Terminal Server
257. iven Vorlage unter Computerkonfiguration Administrative Vorlagen SafeGuard Authentication Logon Optionen Windows An Abmeldung Die Windows An Abmeldung gibt Benutzern u a die Oberfl che vor die bei der Anmeldung bzw beim Sperren der Arbeitsstation auf ihrem Bild schirm erscheint m Utimaco Anmeldedialog benutzen Wenn Sie das Kontrollk stchen markieren wird bei der Anmel dung der Utimaco Anmeldedialog angezeigt Nach Entfernen der Markierung k nnen Sie sich ber den Windows Anmeldedialog im System anmelden Anmeldeinformationen Dom ne ESTmSER z JT Anmelden ber DF Netzwerk Herunterfahren Hite Utimaco Startdialog benutzen Wenn Sie das Kontrollk stchen markieren wird beim Booten der SafeGuard Dialog Anmeldung beginnen angezeigt Hier werden Sie aufgefordert Strg Alt Entf zum ffnen des Anmeldedi alogs einzugeben Bei Entfernen der Markierung wird der entspre chende Windows Dialog angezeigt Anmeldung beginnen m Utimaco Lockdialog benutzen Wenn Sie das Kontrollk stchen markieren wird beim Sperren der Arbeitsstation mit Strg Alt Entf der SafeGuard Lock Dialog anstelle des Windows Dialogs angezeigt Nach Maus oder Tasta turbewegungen wird der Dialog angezeigt und Sie werden aufge fordert Strg Alt Entf zum Aufheben der Arbeitsplatzsperre einzugeben Vorteil des Utimaco Lockdialogs Wurde zwischen zwei korrekten Anmeldungen eine f
258. jx Anmeldung an SafeGuard Easy Bitte geben Sie den Benutzernamen und das Passwort ein 1 SafeGuard EGOA E E Eia derten Challenge Response xl Challenge Code VG IS 44 PU 85 67 TK 3 An Administrator weitergeben are 2 Challenge Code anfordern ka Buchstabierhilfe Challenge w hlen Sie die Codel nge und geben Sie den Response Code ein 30 Zeichen Code C 56 Zeichen Code 4 Response Code des Administrators eintragen 74 3 Der Administrator erzeugt mit dem Response Code Assistenten einen Response Code mit den SafeGuard Easy Zugangsdaten des Benutzers im Beispiel Benutzer Miller Dem Response Code wird das Recht zur Deinstallation mitgegeben SafeGuard Easy Response Code Assistent f 21 x Auszuf hrende Aktion w hlen Sie die Aktion aus die das ferne System ausf hren soll Auszuf hrende Aktion Neues Passwort festlegen Einmalige Anmeldung Recht zum Schalten der Diskettenverschl sselung tempor r vergeben Erlaubnis zum Austellen eines Tokens erteilen Anmeldung ohne Token f r 1 4 Anmeldung Der Benutzer darf SafeGuard Easy f r Windows deinstallieren lt Zur ck Abbrechen Hite 4 Nach Austausch von Challenge und Response Code wird SafeGuard Easy deinstalliert 6 3 Vorkonfigurierte Deinstallation mit Konfigurationsdatei Die Deinstallation von SafeGuard Easy l uft automatisiert ab wenn eine K
259. ken Passwort des RSA SID Token an Random bedeutet dass ein Zufallspass wort auf den Token geschrieben wird Dieses Zufallspasswort wird in SafeGuard Easy f r die Authentisierung registriert Benutzer kennen dieses Passwort nicht 196 4 Wenn Sie einen Token Aladdin RSA oder den Fingerabdruck ausgew hlt haben w hlen Sie die Anmeldemethode Nur mit Token Alle SafeGuard Easy Benutzer m ssen sich mit einem Token in der Pre Boot Authentisie rung anmelden ACHTUNG Im Modus Nur mit Token m ssen Sie einen Token mit SafeGuard Easy Zugangsdaten besitzen Mit einem leeren Token k nnen Sie sich sonst nach der Installation bei akti vierter Pre Boot Authentisierung nicht mehr an Ihrem PC anmelden Wahlweise mit Token Benutzer melden sich entweder mit Token empfohlene Installati oder durch manuelle Eingabe der SafeGuard onsmethode Easy Zugangsdaten in der Pre Boot Authen tisierung an 5 Wenn Sie Wahlweise mit Token gew hlt haben bestimmen Sie ber Benutzer lt Benutzername gt Anmeldeart wer sich mit Token anmelden muss Sie k nnen z B dem Benutzer User die Anmeldung mit Token vorschreiben Einstellung Erforderlich Benutzer SYSTEM hat dagegen die Wahl zwischen Token und manueller Eingabe der SafeGuard Easy Zugangsdaten Einstellung Nicht erforderlich 6 Definieren Sie unter Allgemein Anmeldung Ausstellungsmodus wer SafeGuard Easy Zugangsdaten auf eine
260. kette Assistent x m Auswahl Was wollen Sie machen Nur Kemelsicherung erstellen Kermelsicherung erstellen und SafeGuard Easy Notfalldateien kopieren i So erstellen Sie eine bootf hige Notfalldiskette 1 Formatierte Diskette einlegen und Notfallassistenten starten 2 Option Startdiskette mit SafeGuard Easy Notfalldateien und Kernelsicherung erstellen ausw hlen Utimaco empfiehlt beim erstmaligen Sichern des Systemkerns eine boot f hige Startdiskette zu erstellen und sobald der Systemkern ge ndert wird nur diesen zu aktualisieren 378 27 3 Bootf hige Notfall CD erstellen Mobile Ger te wie Notebooks besitzen heutzutage i d R kein Disketten laufwerk mehr SafeGuard Easy erlaubt deswegen auch einen Notfallstart von einer CD So erstellen Sie eine bootf hige Notfall CD 1 Boot Image Datei Floppy iso aus dem Verzeichnis TOOLS auf der Festplatte speichern und mit Hilfe eines handels blichen Brennprogramms auf eine CD brennen Die Iso Datei enth lt die komplette Boot Diskette wie sie vom Notfallassistenten erstellt wird mit Ausnahme der Systemkernsicherung 2 Systemkernsicherung erstellen ber den Assistent f r Notfalldiskette Systemkernsicherung entweder auf der CD selbst oder aber auf einem externen Klartextmedium speichern auf das im Notfall Zugriff m glich ist Stellen Sie im BIOS sicher dass das System von CD startet Das erfolgreiche Booten ber C
261. kiert werden Eines der angezeigten Laufwerke muss zudem zum Standardlaufwerk gemacht werden das automatisch beim Systemstart aufgerufen wird wenn keine Auswahl im Bootmanager er folgt ber die Vorschau lassen sich Verschl sselungsstadium und Zugriff getrennt nach gew hlter Bootpartition anzeigen Yorschau der Startlaufwerke E Startlaufwerk ausw hlen Bitte das Startlaufwerk ausw hlen Die Liste zeigt auch die bereits vorgenommen Twinboot Einstellungen Twin Boot Ja Klartext Partitionen sichtbar Nein Startlaufwerke Partition 1 Gesch ftlich Die Liste zeigt alle vorhandenen Laufwerke und deren jeweilige Verf gbarkeit Festplatte Partition Typ Name Status 0 1 Startbar Gesch ftlich Verschl sselt 0 2Starbar KE e E Nicht verf gbar m Verf gbar Twin Boot Zeigt ob dieser Verschl sselungsmodus aktiv ist Klartext Partitionen sichtbar wird eingestellt unter Verschl sselung Twinboot Zugriff auf unverschl sselte Laufwerke Zeigt ob Datenaustausch zwischen verschl sselten und unverschl ssel ten Partitionen m glich ist Startlaufwerk Zeigt die Zugriffsberechtigungen abh ngig vom Startlaufwerk hat aber KEINE Auswirkung auf die unter Startlaufwerke festlegen getroffenen Einstellungen 188 HINWEISE m Aus technischen Gr nden funktioniert der Bootmanager erst wenn Verschl sselungs Entschl sselungsprozesse abge schlossen sind Der erste Neusta
262. l E F Vorgang Ansicht I e em x Be l zi Struktur Benutze Computerverwaltung Lokal oppelklicken System E Datenspeicher E Dienste und Anwendungen 2x 5 SafeGuard SG Easy Zugangsdaten l a ADM Settings Viewer A Token Administration X AKS ifdh 0 N Public B amp User u Terminal Server Multidesktop Support 5G Easy Zugangsdaten Windows Zugangsdaten HR AKS ifdh 1 C Benutzer ID und Passwort eingeben Safe Guard Easy Benutzer Passwort kkk Best tigen 3 ek est tigent a Safe Guard Easy Benutzer SG Easy Configurationsdatei importieren 5 W hlen Sie die Option BenutzerlD und Passwort importieren 6 Dr cken Sie die Schaltfl che SG Easy Konfigurationsdatei importieren und w hlen Sie eine Konfigurationsdatei aus 7 Melden Sie sich an die Konfigurationsdatei mit einem SafeGuard Easy Benutzerprofil an das in der Konfigurationsdatei angelegt ist Authentifizierung 9 Dr cken Sie OK die Daten werden auf den Token geschrieben 224 15 12 SafeGuard Easy Benutzer schnell wechseln In der Regel besitzen SafeGuard Easy Benutzer die gemeinsam einen PC nutzen die gleichen Rechte Manchmal kommt es jedoch vor dass sich Benutzer mit unterschiedlichen SafeGuard Easy Rechteprofilen ei nen PC teilen Im Normalfall ohn
263. l scht da der SafeGuard Easy Client dann dort nicht mehr existiert Der Registrierungsrequest bleibt nur bis zu dem Zeitpunkt in der Warteschleife solange der Registrierungsrequest auf Wartend Geplant oder Fehlgeschlagen steht 462 Voraussetzungen m Zwischen SafeGuard Easy Client und SafeGuard Easy Server muss eine Netzwerkverbindung bestehen m Der Benutzer der Administrationskonsole muss die SafeGuard Easy Zugangsdaten zum SafeGuard Easy Client kennen m Der SafeGuard Easy Client muss bereits auf dem alten SafeGuard Easy Server registriert sein muss bereits in der SafeGuard Easy Datenbank vorhanden sein Vorgehensweise 1 Administrationskonsole starten und an Datenbank anmelden 2 Ausgew hlte Clients Gruppen markieren 3 Men Arbeitsstationen Gruppen Auf anderem Server registrieren aufrufen Datei Bearbeiten Ansicht Arbeitsstationen Extras Hilfe Konfiguration anzeigen Beschreibung ndern Gruppenzugeh rigkeit konfigurieren Eee Queue Details anzeigen Femadmimistratian offnen Gruppen Arbeitsstatione Zu Gruppen zuweisen Von Gruppen entfernen Status ndern zu gt nderung festlegen gt Auf anderem Server registrieren Arbeitsstationen l schen Entf Kemel Backup exportieren Reauestdateiesosrtieren 4 Ein Dialog erscheint der den Namen des neuen SafeGuard Easy Servers und die Authentisierungsdaten zu dem Client abfra
264. l backups allowed is 5 backups Die Sicherungen bzw Sicherungskopien werden in der Standardeinstel lung unter C RRUbackups gespeichert Dieses Verzeichnis wird wenn es sich auf der lokalen Partition des prim ren Festplattenlaufwerks befindet durch Rescue and Recovery gesch tzt damit es nicht gel scht oder ver schoben wird 342 24 7 Dateien aus SafeGuard Easy Backup wiederherstellen Rescue and Recovery stellt einzelne Dateien oder Verzeichnisse aus einem Backup der ein installiertes SafeGuard Easy enth lt problemlos wieder her Benutzer starten einfach Windows dann die Rescue and Recovery Software und restaurieren die gesuchten Dateien Es ist kein Neustart n tig d h die restaurierten Daten stehen dem Benutzer sofort zur Weiterbearbeitung zur Verf gung F F Rescue and Recovery e T Backup Restore Advanced Help Rescue and Rec y Rescue and recovery is a simple managed recovery solution that enables you to back up and restore your system and data Back up your system Manage settings je Back up your hard drive 6 Set schedule and preferences Go view all backups Optimize backup storage space e Restore your system Restore your system from a backup Restore individual files Rejuvenate your system G P E 344 24 8 SafeGuard Easy System wiederherstellen F r den Restore eines System Backups der SafeGuard Easy enth lt
265. lefon an den Benutzer bermittelt Der Benutzer tr gt den Response Code in die daf r vorgesehenen Felder ein Danach darf er SafeGuard Easy Zu gangsdaten auf den Token schreiben Diese Option involviert eine zentrale Stelle in einem Unternehmen Admi nistrator und verursacht unter Umst nden h heren Zeit und Arbeitsauf wand Es wird jedoch im Gegenzug gew hrleistet dass der Administrator immer benachrichtigt wird wenn f r eine Maschine ein Token ausgestellt werden soll Ausstellungsmodus Zentral Der Benutzer erh lt einen ausgestellten Token von zentraler Stelle und kann sich anmelden Die zentrale Ausstellung des Token bernimmt die Token Administration Details zum Ausstellen eines Token mit der Token Administration lesen Sie bitte unter Token mit der Token Administration zentral ausstellen nach 15 8 2 Token Ausstellung automatisieren Es besteht die M glichkeit die Ausstellung von Token zu automatisieren Hierzu erstellt die Einrichtung die die Token ausstellt ein Visual Basic Script vbs das in einem Schritt gew nschte Anmeldeinformationen Windows Terminal Server SafeGuard Easy etc auf die Token schreibt Dieses Verfahren eignet sich insbesondere f r die Erstausstellung einer gro en Anzahl von Token Beispielskript Die folgende Liste zeigt ein Beispielskript Editierbare Eintr ge stehen in Klammer und sind kursiv hervorgehoben z B lt PIN des Token gt dim scard dim res dim slotID
266. lients wird dann ben tigt wenn ein SafeGuard Easy Client dem SafeGuard Easy Server nicht bekannt ist In der Praxis k nnte die Funktion z B in diesem Fall angewandt werden In einem Unternehmen wird die SafeGuard Easy Datenbank jeden Tag um 5 00 Uhr gesichert Um 8 00 Uhr registriert sich ein neuer SafeGuard Easy Client erfolgreich am SafeGuard Easy Server und um 10 00 Uhr gibt es einen Servercrash Der SafeGuard Easy Server wird wiederhergestellt allerdings mit der alten Datenbanksicherung die um 5 00 Uhr durchgef hrt wurde Diese Sicherung enth lt nicht den neuen SafeGuard Easy Client der sich um 8 00 registriert hatte ber die Neuregistrierung wird der SafeGuard Easy Client der SafeGuard Easy Datenbank wieder hinzugef gt Damit die Neuregistrierung erfolgreich ist muss der Benutzer der Administrationskonsole g ltige SafeGuard Easy Benutzerdaten des neuen SafeGuard Easy Client kennen und sich mit diesen am Client authentisieren HINWEIS Es kann immer nur ein Client auf einmal neu registriert werden Voraussetzungen m Zwischen neuem SafeGuard Easy Client und SafeGuard Easy Server muss eine Netzwerkverbindung bestehen m SafeGuard Easy muss auf dem betreffenden SafeGuard Easy Client mit der Option Server Anbindung installiert sein Derneue SafeGuard Easy Client darf nicht bereits auf dem Server registriert sein Ist der neue SafeGuard Easy Client auf dem SafeGuard Easy Server bereits regis
267. lle nicht gefunden
268. lten Sie von Ihrem SafeGuard Easy Vertriebspartner 414 HINWEIS Im Netzwerk kann es nat rlich aus technischen oder organisatorischen Gr nden mehrere SafeGuard Easy Server geben denen die SafeGuard Easy Clients zugeordnet werden k nnen SafeGuard Easy 4 50 unterst tzt keine Synchronisationsmechanismen zwischen Servern Geliefert wird diese Funktionalit t u U von einer Datenbank mit Replikationsmechanismen 416 30 1 2 SafeGuard Easy Administrationskonsole Die Administrationskonsole ist ein Programm das auf die Server Daten bank zugreift und z B die zentrale Verteilung von Konfigurationsdateien anst t Der Zugriff auf die Administrationskonsole ist nur privilegierten Benutzern erlaubt Typische Aufgaben die die Administrationskonsole bernimmt m die Einstellungen von SafeGuard Easy Clients abfragen und ihren Status Offline Standard Push festlegen die SafeGuard Easy Clients in Gruppen zusammenfassen um die Administration zu vereinfachen m neue Konfigurationen erzeugen die an die SafeGuard Easy Cli ents verteilt werden das korrekte Abarbeiten der verteilten Konfigurationsdateien ber wachen Die Administrationskonsole muss nicht notwendigerweise auf der gleichen Maschine wie der SafeGuard Easy Server laufen sondern kann auf jedem Rechner im Netzwerk installiert und aufgerufen werden es muss nur der Name des SafeGuard Easy Server Rechners bekannt sein und eine Netz werk
269. m Utimaco Anmelde Start und Lockdialog angezeigt wird z B das Firmenlogo auf einen entsprechenden Hintergrund Das Bitmap muss das BMP Format haben und sich im SYSTEM32 Verzeichnis des Windows Installationsverzeichnis befinden Die Gr e des Bitmaps ist mit 413x140 Pixel festgelegt Anmeldeinformationen 272 17 3 2 Rechnersperre Bei der Richtlinie Rechnersperre wird festgelegt nach wie vielen fehlge schlagenen Anmeldeversuchen der Rechner gesperrt wird und wie sich die Wartezeit zwischen diesen Anmeldeversuchen erh ht Der Mechanis mus funktioniert nur bei Benutzern die kein Mitglied der lokalen Gruppe der Administratoren sind Sie finden die Richtlinie in der administrativen Vorlage unter Computerkonfiguration Administrative Vorlagen SafeGuard Authentication Logon Optionen Rechnersperre Anmelde Fehlversuche Standard 3 In diesem Feld bestimmen Sie die Anzahl der Anmelde Fehlversu che eines Benutzers der sich mit einem ung ltigen Benutzerna men bzw Kennwort anmeldet Geben Sie beispielsweise 3 ein wird der Rechner gesperrt wenn der Benutzer bei der Anmeldung dreimal hintereinander seinen Benutzernamen oder sein Kennwort falsch eingibt Minimaler Maximaler Wert 0 999 m Verz gerung in Sekunden Standard 10 Tragen Sie hier den Basiswert ein der multipliziert mit dem Multiplikator die Wartezeit nach dem ersten fehlgeschlagenen Anmeldeversuch ergibt Bei einem weiteren Fe
270. main lt Dom nennamen gt res scard SetWindowsAccount userlD password domain SGEasy Account Daten setzen configFile lt Absoluter Pfad und Name der SafeGuard Easy Install Konfigurationsdatei gt userlD lt SafeGuard Easy Benutzer der auf den Token geschrieben wird gt authFile lt Absoluter Pfad der Datei die die Authentisierungsdaten f r die Konfiguratiosdatei enth lt gt res scard SetSGEasyAccount4 configFile userID authFile WScript Echo res Windows User ID anzeigen userlD scard GetWindowsAccount WScript Echo userlD MultiDesktop Rolle n hinzuf gen userlD lt Rollennamen gt password lt Passwort zum Rollennamen gt domain lt Dom nennamen gt 206 res scard AddMultidesktopRole userlD password domain Terminal Server Account s hinzuf gen Krk userlD lt TS Benutzernamen gt password lt TS Passwort gt domain lt Dom nennamen gt terminalServer lt Name des TS gt res scard AddTerminalServerAccount userlD password domain terminalServer HINWEISE L schen Sie die angegebenen Anf hrungszeichen nicht Ein Zeileneintrag kann bspw so aussehen password Vertrieb Soll z B kein Passwort in ein Feld eingetragen werden belas sen Sie die vorhandenen Anf hrungszeichen als Platzhalter in der Zeile z B password Geben Sie immer die f r den gesteckten T
271. me auf Gr nde hier f r sind m Ein Image einer verschl sselten Partition kann niemals kompri miert werden Dies bedeutet dass ein Image einer verschl sselten Partition immer genau so gro wird wie die tats chliche Partition m Die Gr e der verschl sselten Partition darf sich nicht ndern Ansonsten ist es nicht m glich das Image zur ckzuspielen m Wird eine mit SafeGuard Easy verschl sselte Festplatte geklont sind s mtliche zuf llig erzeugte Verschl sselungsschl ssel identisch Es ist unter bestimmten Bedingungen trotzdem m glich Festplattenparti tionen auf einer mit SafeGuard Easy verschl sselten Festplatte mit Hilfe von Imaging Software z B Norton Ghost von Symantec zu sichern und zu restaurieren Unter anderem muss das Image Tool in die Lage versetzt werden die verschl sselte Partition zu entschl sseln 146 Weitere Informationen zu diesem Thema erhalten Sie in der Utimaco Wissensdatenbank http www utimaco de myutimaco Nutzen Sie bitte die Suchfunktion der Wissensdatenbank um nach Stichworten wie Image oder Imaging zu suchen 148 12 Benutzerprofile erstellen Eg SafeGuard Easy Administration loj xi Datei View Benutzer Fernzugang Extras Hilfe de SAGT B Allgemeine Einstellungen 8 Boot Manager Benutzernamemindestl nge 4 Verschl sselung a SYSTEM lt Ver ndern gt Konfiguriert en Benutzer Token Anmeldung nicht erford
272. mplett entfernen Nach der Deinstallation integrieren Sie die neue Fest platte und installieren das Programm Neupartitionierung Wenn eine Festplatte neu partitioniert wurde muss VOR der In stallation von SafeGuard Easy ein Neustart durchgef hrt werden Bitte ver ndern Sie die Partitionierung der Festplatte nach der Ver schl sselung nicht mehr Dies kann zu Datenverlusten f hren Schl ssel Es wird nur ein Festplattenschl ssel unabh ngig von der Anzahl der Festplatten definiert Systemkernsicherung Erstellen Sie nach der Festplattenverschl sselung unbedingt eine Sicherung des Systemkerns 11 3 Unterst tzte Diskettenlaufwerke SafeGuard Easy unterst tzt jedes in einen Standard PC integrierte Laufwerk HINWEISE ZUR DISKETTENVERSCHL SSELUNG m Boot Diskette Wenn die Diskettenverschl sselung aktiviert ist sollte in jedem Fall eine verschl sselte Boot Diskette erstellt werden m Mehrere Diskettenlaufwerke Ist mehr als ein Diskettenlaufwerk vorhanden werden die ver schiedenen Laufwerke nicht einzeln sondern zusammengefasst A B angezeigt Diskettenlaufwerke k nnen nicht einzeln verschl sselt werden Der Verschl sselungsstatus gilt f r alle Diskettenlaufwerke 11 4 Unterst tzte Wechselmedienlaufwerke m USB Speicherstick m Speicherkarte in integriertem Leseger t Steckplatz SD Karte CF Karte etc m Lenovo Microdrive m USB ZIP Laufwerk Paralleles ZIP Laufwerk 134 HINWEIS
273. n 2 Starten Sie Ihren Rechner neu 3 Authentisieren Sie sich in der Pre Boot Authentisierung mit den SafeGuard Easy Benutzerdaten 4 Stecken Sie die Smartcard in den Kartenleser erscheint der PIN Eingabedialog Tragen Sie dort die Benutzer PIN ein 5 Sind auf der Smartcard noch keine Windows Daten vorhanden wird ein Dialog aufgerufen mit der Frage ob die Daten jetzt eingetragen werden sollen Klicken Sie auf JA k nnen Sie Ihre Windows Daten Benutzername Passwort Dom ne auf die Smartcard schreiben Beachten Sie dass der eingetragene Windows Benutzer auch auf der Arbeitsstation angelegt ist Andernfalls schl gt die Anmeldung fehl 6 Anschlie end wird der Dialog angezeigt der den Smartcard SAL ein ausschaltet Mit Smartcard SAL JA Ohne Smartcard SAL NEIN 7 Beim n chsten Neustart erfolgt die Anmeldung an Windows bei gesteckter Smartcard automatisch nach der Eingabe der SafeGuard Easy Benutzerdaten in der Pre Boot Authentisierung Wie Sie die Smartcard Anmeldung einem Benutzer zwingend vorschreiben erfahren Sie im Handbuch zu SafeGuard Advanced Security im Kapitel Token Anmeldung Optionen unter Einstellungen f r Token Anmeldung Smartcard PIN ndern bei aktivem Smartcard SAL PINs k nnen mit externen SafeGuard Tools ge ndert werden z B mit der Token Administration ndert ein Benutzer seine PIN mit diesem Tool wirkt sich dies auf die SAL Anmeldung per Smartcard aus da in dies
274. n Diskettenverschl sselung schalten Erlaubt die Diskettenverschl sselung ein oder auszuschalten Wechselmedien verschl sselung schalten Erlaubt die Verschl sselung von Wech selmedienlaufwerken ein oder auszu schalten Schl ssel ndern Erlaubt die Schl ssel f r alle Laufwerke zu ndern Dies gilt nicht f r die Festplatte wenn diese verschl sselt ist Verschl sselungseinstel lungen ndern Erlaubt Verschl sselungsstatus und Schl ssel zu ndern Passwortregeln ndern Erlaubt alle allgemeinen Passwortre geln zu ndern Benutzereinstellungen ndern Erlaubt alle Benutzereinstellungen zu ndern Muss gesetzt sein um anderen Benut zern Rechte zu verleihen Deinstallieren Erlaubt SafeGuard Easy zu deinstallieren Booten von externen Medien erlauben Erlaubt ein mit SafeGuard Easy ge sch tztes System von externen Medien wie Diskette oder CD zu starten Arbeitsstationsein stellungen ndern Erlaubt folgende allgemeine Einstellun gen zu ndern Token Wake On LAN Passwort beim Systemstart ndern Verdeckte Passworteingabe Identifikation MBR Einstellungen ndern Erlaubt alle Einstellungen f r den Master Boot Record zu ndern Bootmanager Einstellun gen ndern Erlaubt die Einstellungen des SafeGuard Easy Boot Managers zu ndern 12 7 1 Benutzerrechte zuweisen Nach einem Doppelklick
275. n Energieyerwaltung Abbrechen bernehmen Es muss zun chst ein Bildschirmschoner ausgew hlt werden danach die Optionen Kennwortschutz und Wartezeit angepasst werden Kennwortschutz Erzwingt die Abfrage des SafeGuard Easy Passworts muss aktiviert werden m Wartezeit Gibt die Zeit in Minuten an die ohne Bedienung des Arbeitsplat zes vergehen muss bis die Arbeitsplatzsperre aktiviert wird Wenn Sie hier 15 einstellen w rde der Bildschirm nach 15 Minu ten ohne Tastatureingabe oder Mausbedienung gesperrt Der Benutzer muss sich zur Fortsetzung seiner Arbeit erneut mit dem SafeGuard Easy Passwort anmelden Um den Arbeitsplatz vor unbefugten Benutzern zu sch tzen schalten Sie bitte die Arbeitsplatzsperre ein 284 18 3 SafeGuard Easy Arbeitsplatzsperre nicht anzeigen Es besteht die M glichkeit die SafeGuard Easy Arbeitsplatzsperre auszu schalten und stattdessen den regul ren Windows Dialog anzuzeigen ACHTUNG Der regul re Windows Dialog wird nicht mit dem SafeGuard Easy Passwort sondern mit dem Windows Kennwort aufgesperrt Der SafeGuard Easy Passwortschutz f r die Arbeitsplatzsperre ist da mit nicht mehr gegeben ber die mitgelieferte administrative Vorlage l sst sich unter der Richtlinie SGEasy Dialog zur Aufhebung der Arbeitsplatzsperre Haken vor der Richtlinie entfernen die SafeGuard Easy Arbeitsplatzsperre deaktivieren Sie finde
276. n unabh ngig von ihrem Status in der Warteschleife unter der Registerkarte Requests gesammelt g SafeGuard Easy Administration Konsole Server SERYERO1 Datei Bearbeiten Ansicht Requests Extras Hilfe Gruppen Arbeitsstationen Requests nderung festlegen Aus Datei laden 1110984953 nderung nderung festlegen Aus Datei laden 16 03 2008 Anderung festlegen Erstellen 1110994915 Anderung Anderung festlegen Erstellen 16 03 2005 15 55 Neuer Benutzer Helpdesk nderung nderung festlegen Erstellen 16 03 2005 15 57 Status ndern 1110985088 Status Standard zu Offline 16 03 2005 15 58 08 Ein Request entspricht prinzipiell der Funktion einer Konfigurationsdatei siehe Neue Konfigurationsdatei erstellen und f hrt nderungen an bereits bestehenden SafeGuard Easy Einstellungen eines Clients durch Eine nderung kann ein kleiner Eingriff in die Konfiguration des SafeGuard Easy Client sein aber auch die Deinstallation von SafeGuard Easy ist m glich Einzig Installationen sind per Request nicht vorgesehen Im Bedarfsfall integrieren Requests auch bereits vorhandene Konfigurationsdateien Erfolg Misserfolg eines Requests werden sofort an den Server bermittelt so dass der Administrator immer genau ber den aktuellen Stand infor miert ist Erfolgreich ausgef hrt wird ein Request nur wenn die Ersteller informationen SafeGuard Easy Benutzer ID und Passwort mit denen eines Safe
277. n Als Wildcardzeichen wird nur das Symbol akzep tiert Dies bedeutet dass an der Position mit dem Zeichentyp mehrere beliebige Zeichen im Namen in der Beschreibung enthalten sein k nnen Allgemein gilt folgende Regel Angezeigt werden ausschlie lich Arbeits stationen Gruppen Requests f r die jede der gew hlten Eigenschaften zutrifft 31 7 2 Filter aktivieren ig SafeGuard Easy Administration Konsole Server SERYERO1 Datei Bearbeiten Ansicht Arbeitsstationen Extras Hilfe Gruppen Arbe Gruppen Arbeitsstationen Name 7 Requests wKS0l Filter konfigurieren Strg F v Filter aktiviert Umschalt F Der Filter entfaltet seine Wirkung erst wenn er aktiviert wurde Dass im Fil termodus gearbeitet wird erkennt der Benutzer an der ge nderten Farbe der Arbeitsoberfl che der Administrationskonsole Der wei e Standard Hintergrund wechselt dann beispielsweise zu blau 474 31 8 Requests und Warteschleifen Requests enthalten Konfigurationsupdates f r SafeGuard Easy Clients Der SafeGuard Easy Client holt diese Updates vom SafeGuard Easy Server ab sobald beide miteinander kommunizieren Findet ein SafeGuard Easy Client aktuelle nderungen f hrt er sie gem der Reihenfolge aus in der sie dem Client ber die Administrationskonsole zugewiesen wurden Einmal erstellte Requests sind beliebig oft f r verschiedene Gruppen Arbeitsstationen anwendbar Alle abgeschickten Requests werde
278. n Der Benutzer Administrator kann es auch manuell z B mit einem zus tzlichen Parameter aus dem Tools Verzeichnis der CD aufrufen SGeElnteg repariert beim Aufruf mit Parameter R das Dateisystem SGElnteg meldet sowohl reparierbare als auch fatale Fehler Bei der Re paratur ist es vielleicht notwendig anschlie end das Programm zur ber pr fung der Festplatte chkdsk zu starten In der Regel startet der Rechner dann nochmal neu 5 3 3 Parameter f r das Reparaturprogramm SGElnteg kann mit folgenden Parametern aufgerufen werden SGEINTEG c r p dl len v y 1 Hilfe Zeigt alle Parameter an Ic Startet die Analyse des Dateisystems Ir Aktiviert den Reparatur Modus Identifizierte Dateisystem Fehler werden repariert Ruft man SGElnteg R auf so wird auch der Parameter P und eine Dateisystemanalyse durchgef hrt Dies kann allerdings einen Reboot nach sich ziehen lp Korrigiert die SafeGuard Easy Pfadangabe unter HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run ltere Versionen von SafeGuard Easy f gen in diesen Regist rierungseintrag Pfadangaben ohne Anf hrungszeichen ein Bei neueren Windows Versionen f hrt dies unter Umst nden dazu dass diese Programme nicht ausgef hrt werden Mit diesem Parameter korrigiert SGEInteg die Pfadangaben Der Rechner muss anschlie end neu gestartet werden Ruft man SGElnteg ohne Parameter auf so
279. n Privat Gesch ftlich gebootet wird Ein Bootmanager Men erscheint auf dem Bildschirm und zeigt die ver schiedenen Betriebssysteme an Die verschl sselte Partition verlangt die Authentisierung mit dem SafeGuard Easy Passwort in der Pre Boot Au thentisierung w hrend f r die unverschl sselte Partition keine Authenti sierung erforderlich ist Aus diesem Grund muss die Entscheidung welches Betriebssystem gestartet wird vor der m glichen Pre Boot Au thentisierung fallen Die Twinboot Installation verlangt die Aktivierung von Disketten und Wechselmedienverschl sselung ZIP MO Laufwerke Disketten und Wechselmedien bleiben verschl sselt sobald man den PC von der verschl sselten Gesch fts Partition startet Wird die Klartext Privat Partition gew hlt sind Disketten und Wechselmedienlaufwerke unverschl sselt k nnen aber von SafeGuard Easy Benutzern mit den entsprechenden Benutzerrechten tempor r aus eingeschaltet werden 182 HINWEIS Weitere auf dem PC Notebook vorhandene Partitionen k nnen ver schl sselt werden oder unverschl sselt bleiben 14 2 Voraussetzungen Eine Twinboot Installation ist nur erlaubt wenn eine einzige Festplatte angeschlossen ist Werden zwei Festplatten erkannt ist die Twinboot Option ausgegraut Weitere Festplatten k nnen erst nach der Twinboot Installation angeschlossen werden es wird allerdings keine SafeGuard Easy Unterst tzung in Form von Verschl sselung
280. n bei weiteren Anmeldungen erfolgt die Windows Anmeldung automatisch und der Benutzer authentisiert sich nur noch mit SafeGuard Easy Benutzerda ten an der Pre Boot Authentisierung SafeGuard Easy nennt dieses An meldeverfahren Sicheren Automatischen Logon oder kurz SAL Der SAL kann mit oder ohne Smartcard durchgef hrt werden Dies ist w hlbar w hrend der Installation von SafeGuard Easy i SafeGuard Easy 4 11 0 131 Setup BEE Funktionen ausw hlen w hlen Sie die zu installierenden Funktionen aus utimaco Funktionsbeschreibung Verschl sselung amp r Sicherer automatis X Server Anbindung X v SmartCard Auto Lq x Administrationswerkzeugel Diese Komponente wird auf der lokalen Festplatte installiert Diese Funktion erfordert 177KB auf Ihrer Festnlatte Sie hat 1 wan Ilnterfunktinnen Die automatische Anmeldung an das Betriebssystem ist optional und kann nachtr glich mit dem SafeGuard Easy Kommando Chgsal exe ausge schaltet werden ACHTUNG Installieren Sie entweder den SAL oder die Automatische Anmeldung mit Smartcard Alle folgenden Anmeldungen an andere Applikationen m ssen manuell erfolgen Die Anmeldung an Novell funktioniert nur in Verbindung mit Smartcard Ist die Windows Option Immer diesen Benutzer anmelden aktiviert kann kein SAL durchgef hrt werden 246 17 1 1 Sicheren automatischen Logon SAL einschalten Technisch gesehen funktioniert de
281. n Token schreiben das Ausstellen bernimmt der Helpdesk Token Administration N here Informationen siehe Token Unterst tzung 64 9 Der Dialog Zielverzeichnis f r Migrationsdatei erscheint Legen Sie fest in welchem Pfad Sie die MigrationsdateiSgemig c g speichern wollen Die Migrationsdatei enth lt das SYSTEM Passwort und die Einstellungen f r die Token Unterst tzung Das Programm erkennt in welchem Verzeichnis die bisherige SafeGuard Easy Version abgelegt war und stellt diesen Pfad als Vorgabe ein Wenn Sie auf die Durchsuchen Schaltfl che klicken k nnen Sie selbst entscheiden in welchem Laufwerk und in welchem Verzeichnis die Datei abgelegt werden soll Klicken Sie auf Weiter wird die Migrationsdatei erstellt und die Migration gestartet 5 2 Update mit Migrationsdatei F r ein automatisiertes Update muss mit dem Migrationsassistenten der neuesten SafeGuard Easy Programmversion eine Migrationsdatei erstellt werden Diese Migrationsdatei wird dann ber msiexec ausgef hrt Migrationsdatei erstellen So erstellen Sie eine Migrationsdatei 1 Installieren Sie auf einem Administrator PC mindestens den Konfigurationsdateiassistenten Danach ist auch der Migrationsassistent verf gbar 2 Starten Sie den Migrationsassistenten ber WIZLDR exe im SafeGuard Easy Verzeichnis 3 Machen Sie im Migrationsassistenten alle notwendigen Angaben siehe Lokales Update 4 Die Datei SGEMig cfg
282. n Token schreiben darf Es gibt diese Ausstellungsvarianten Benutzer Benutzer kann in der Pre Boot Authentisierung immer einen leeren Token ausstellen Leer bedeutet dass sich keine SafeGuard Easy Zu gangsdaten auf dem Token befinden Externe Best ti Benutzer muss den Helpdesk anrufen und erh lt gung per Challenge Response die Erlaubnis einen Token in der Pre Boot Authentisierung auszu stellen Zentral Benutzer erh lt einen ausgestellten Token und darf den Token nie in der Pre Boot Authentisie rung ausstellen 7 Schlie en Sie die Installation ab Sie haben nun alle Einstellungen f r eine Token Anmeldung getroffen 8 Starten Sie den PC neu 198 15 5 Das erste Mal mit Token in der Pre Boot Authentisierung anmelden So melden Sie sich mit einem formatierten leeren Token an 1 Stecken Sie den Token in den USB Port 2 Schalten Sie den PC ein und warten Sie bis der Rechner an der Pre Boot Authentisierung stoppt 3 Geben Sie das Token Passwort ein Standard f r Aladdin eToken 1234567890 Standard f r RSA SID 800 Token PIN_CODE SafeGuard Easy 4 Es wird daran erinnert dass das Standard Passwort des Token ein Sicherheitsrisiko darstellt und ge ndert werden muss maximal 32 Zeichen m glich Geben Sie ein neues Token Passwort ein 5 Geben Sie die SafeGuard Easy Zugangsdaten Benutzername und Passwort ein Die Daten werden auf den Token geschrieben
283. n die Richtlinie unter Computerkonfiguration Administrative Vorlage SafeGuard Sgeasy Nach einem Logoff ist die Einstellung wirksam Gruppenrichtlinie imi xil g i IE all Struktur Richtlinie hichiinie Erkl rung Richtlinien f r Lokaler Computer EM SGEasy 3 Computerkonfiguration E Softwareeinstellungen P ER w E Windows Einstellungen Nicht konfiguriert E E Administrative Vorlagen Aktiviert Fl Windows Komponenten Deaktiviert SafeGuard a V_Sichere automatische Anmeldung 0 Authentication 7_SGEasy Dialog zur Aufhebung der Arbeitsplatzsperre a System Anzeige der Hinterarund Bitmap im WinLogen Desktopi E Netzwerk 7 Sichere automatische Anmeldung mit Utimaco SmartCards LO Drucker 5 IV R cksetzten tempor rer Verschl sselungseinstellungen beim Abme 286 19 Sicheres Wake On LAN Der Wake On LAN Modus im folgenden WOL von SafeGuard Easy ist der sicherste Weg um die Vorteile von Wake On LAN mit dem Schutz des PCs durch Festplattenverschl sselung zu kombinieren SafeGuard Easys WOL erlaubt zu diesem Zweck die Pre Boot Authentisierung f r eine definierte Anzahl von Neustarts auszuschalten und danach wieder zu aktivieren um z B neue Software zu verteilen W hrenddessen ist es jedoch nicht m glich die inaktive Pre Boot Authentisierung zu nutzen und sich ber eine gegl ckte Windows Anmeldung ins System einzuschleich
284. n eine neue MDW Datei erzeu gen und diese wird dann als SafeGuard Easy Benutzerdatei verwendet Sie k nnen aber auch die Standard MDW Datei verwenden Wrkgadm exe ist zu finden unter m MS Access 97 WinNT System32 m MS Access 2000 Progamme Microsoft Office Office 1033 Wenn Sie die Standard MDW Datei benutzen ffnen Sie MS Access Unter Werkzeuge Sicherheit w hlen Sie die Option Benutzer und Gruppenkonten Hier k nnen Sie Benutzer Passw rter und die Gruppenzugeh rigkeit bestimmen Danach ffnen Sie die SafeGuard Easy Datenbank Sgeasy mdb mit Microsoft Access Im Men Werkzeuge Sicherheit w hlen Sie Benutzer und Gruppenberechtigungen Hier k nnen Sie dann den definierten Benutzern Zugriffsrechte zuweisen In der Grundeinstellung verbindet SafeGuard Easy die SafeGuard Easy Datenbank nicht mit einer MDW Datei In diesem Fall werden als Stan dard Anmeldedaten der Benutzername Admin ohne Passwort verwen det Um andere Anmeldedaten zuzulassen rufen Sie Programme System steuerung Verwaltung Datenquellen ODBC System DSN Konfigu rieren auf Tragen Sie unter System Datenbank die Standard MDW Datei System mdw ein ber die Schaltfl che Erweitert k nnen auch ge n derte Standardanmeldedaten eingetragen werden DESIREN Beachten Sie bitte dass das als Standard eingetragene Benutzerprofil auch als berechtigter Benutzer der Datenbank existiert ODBC Microsoft Access Setup 2 x SafeGuard E
285. n erzeugte Response Codes 56 Zeichen lang sind Beim Eintippen bzw bermitteln an den Be nutzer kann dies zu einer erh hten Fehlerquote f hren Einzelheiten ber das Challenge Response Verfahren lesen Sie bitte im Kapitel Fernwartung Challenge Response nach 12 6 5 Schablone Schablonen erf llen einen ganz besonderen Zweck Sie dienen als Basis benutzerprofil und werden i d R dann eingesetzt wenn SafeGuard Easy mit Hilfe einer Konfigurationsdatei auf mehreren Rechnern installiert wer den soll G be es keine Schablonen so w rden die Benutzer auf allen Ma schinen denselben Benutzernamen besitzen Dies widerspricht jedoch in vielen F llen den organisatorischen Richtlinien von Firmen die besagen dass es individuelle Benutzernamen Passworte geben muss z B Nach name Personalnummer etc F r solche Umgebungen kann dann ein SafeGuard Easy Benutzerprofil als Schablone definiert werden 158 Das f hrt dazu dass dieser SafeGuard Easy Benutzer bei der ersten An meldung in der Pre Boot Authentisierung einen neuen Benutzernamen be kommt und somit individualisiert wird Eingesetzt wird die Schablonenfunktion folgenderma en Der Administrator legt einen SafeGuard Easy Benutzer an und definiert diesen als Schablone SafeGuard Easy wird dann mit diesen Einstellun gen auf einem Zielrechner installiert Dem Benutzer des Zielrechners wer den Benutzername und Passwort des Benutzers der als Schablone definiert wurde f r
286. n oder Fenster noch offen Die erste physikalische Disk ist keine Festplatte Alle Eintr ge in der Partitionstabelle des MBR Sectors auf der ersten Festplatte sind bereits belegt n nDie Option Unterst t zung f r Compaq Setup Partition erfordert einen freien unbe nutzten Eintrag in der Partitionstabelle System wurde im Kompatibilit tsmodus gestartet Um SafeGuard Easy zu installieren entfernen Sie bitte die steckbare Festplatte Es sind keine Laufwerke dieses Typs vorhanden Interner Fehler beim Zugriff auf die Systempartition SERVICE Fehler 1261 1262 Informationen ber ein Speicherobjekt f r einen Systemdienst konnten nicht freigegeben werden Fehler im Systemdienst Dispatcher entdeckt 1263 1264 1265 1266 1267 Systemdienst konnte nicht gestartet werden Status des Systemdienstes konnte nicht gewechselt werden Der Handler f r den Systemdienst konnte nicht registriert wer den Die Funktion zur Dienste Installation meldete einen Fehler Der service information block konnte nicht gefunden werden Vermutlich ist nicht gen gend Speicher verf gbar n nError code 1 REGISTRY Fehler 1271 1272 1273 1274 1275 1276 1277 1278 1279 1280 1281 1282 Eintrag in der Registry konnte nicht ge ffnet werden Eintrag in der Registry konnte nicht gelesen werden Eintrag in der Registry konnte nicht geschrieben werden Eintrag in der Registry konnte nicht kreiert werden Ei
287. n zu denen diese Arbeitsstation geh rt Name Beschreibung Name Beschreibung Entwicklung Marketing Vertrieb m das Men Gruppen Arbeitsstationen anzeigen Listet die Mitglieder einer Gruppe auf i SafeGuard Easy Administration Konsole Server SERYERO1 Datei Bearbeiten Ansicht Gruppen Extras Hilfe Gruppen Arbeitsstationen Requests Arbeitsstationen anzeigen Gruppe Marketing Gruppe erstellen Name und Beschreibung ndern 470 31 6 4 Gruppennamen ndern Zum ndern eines Gruppennamens klicken Sie auf Name und Beschrei bung ndern im Men Gruppen Geben Sie den neuen Gruppennamen ein und best tigen Sie ihn mit OK 31 6 5 Gruppe l schen Zum L schen einer Gruppe klicken Sie auf Gruppen l schen im Men Gruppen 31 7 Filter definieren Die Administrationskonsole verf gt ber einen Filtermechanismus mit dem der Administrator passgenau bestimmen kann welche SafeGuard Easy Clients Gruppen oder Requests er am Bildschirm sieht Dieses Verfahren bietet sich an bei einer gro en Anzahl an verwaltbaren Objekten um die Administration zu erleichtern und die bersichtlichkeit zu bewahren Die Filterdefinition wird ber das Men Ansicht der jeweiligen Register karte aufgerufen und erfolgt in zwei Schritten m Filter konfigurieren m Filter aktivieren SafeGuard Easy Administration Konsole Server SE Datei Bearbeiten Ansicht Gruppen Extras imco Gru
288. n zus tzlich zum Server die Administrationskonsole installiert werden WICHTIG Den PC nach der SafeGuard Easy Server Installation NICHT neu starten e SafeGuard Easy Server Funktionen ausw hlen w hlen Sie die zu installierenden Funktionen aus SafeGuard Unterst tzung f r Remote Administrationskonsole 2 Nacheinander Einstellungen Systemsteuerung Verwaltung Datenquellen ODBC aufrufen 440 DE TEHE 3 Die Registerkarte System DSN ffnen und die Standard SafeGuard Easy Database mit dem Microsoft Access Treiber aus der Liste entfernen ODBC Datenquellen Administrator 4 Eine neue Datenquelle erstellen ber Hinzuf gen in der Registerkarte System DSN 5 Als Treiber SQL Server w hlen Alle Dialoge mit Weiter best tigen Neue Datenquelle erstellen x W hlen Sie einen Treiber aus f r den Sie eine Datenquelle erstellen m chten a l Microsoft FoxPro YFP Driver dbf Microsoft ODBC for Oracle Microsoft Paradox Driver db Microsoft Paradox Treiber db Microsoft Text Driver txt csv Microsoft Text Treiber txt csv Microsoft Visual FoxPro Driver Microsoft Visual FoxPro Treiber UNNnNPPPPNMm BEZ 6 Verbindung mit SQL Server erstellen Neue Datenquelle f r SQL Server erstellen x Dieser Assistent ist Ihnen beim Erstellen einer ODBC Datenquelle behilflich anha
289. nd derer Sie sich mit einem SQL Server verbinden k nnen Welchen Namen m chten Sie verwenden um auf die Datenquelle zu verweisen Name SateGuard Easy Database wie m chten Sie die Datenquelle beschreiben Beschreibung Mit welchem SQL Server m chten Sie sich verbinden Server HEMA an _ Me HINWEIS Der Name der Datenbank muss zwingend SafeGuard Easy Database sein 442 7 Die Option Mit SQL Server Authentifizierung w hlen und Standardbenutzer f r die SQL Datenbank w hlen i d R Benutzer sa oder im Beispiel Benutzer helpdesk Neue Datenquelle f r SQL Server erstellen 2 x 3 si Wie soll SQL Server die Authentizit t des Benutzernamens best tigen C Mit Windows NT Authentifizierung anhand des Benutzernamens im Netzwerk E Mit SQL Server Authentifizierung anhand des vom Benutzer eingegebenen Benutzernamens und Kennworts Klicken Sie auf Clientkonfiguration um die Netzwerkbibliothek f r die Kommunikation mit dem SQL Server zu ndern Clientkonfiguration K Zum SQL Server verbinden um Standardeinstellungen f r die zus tzlichen Konfigurationsoptionen zu erhalten occ C Zur Wie aeren e 8 Als Standarddatenbank SGEASY ausw hlen und die anderen Standardeinstellungen behalten Neue Datenquelle f r SQL Server erstellen q x IV Die Standarddatenbank ndern auf SsEAsY 7 I Datenbank Dateinamen anf gen Br
290. nd m glich m Wake on LAN aktiviert Schaltet Wake On LAN Modus ein aus Anzahl Automatischer Anmeldungen Standard 1 Definiert die Anzahl der Neustarts mit ausgeschalteter Pre Boot Authentisierung wenn Wake On LAN eingeschaltet ist Utimaco empfiehlt immer einen Neustart mehr als notwendig zu erlauben um unvorhergesehene Probleme zu umgehen Sobald die Konfigurationsdatei an die Benutzer PCs verteilt wurde startet der PC nun n Mal ohne Pre Boot Authentisierung neu Nach Ablauf der definierten Anzahl an Neustarts ohne Pre Boot Authentisierung erscheint wie gewohnt die Pre Boot Authentisierung und verlangt nach den korrek ten SafeGuard Easy Benutzerdaten 292 20 Ruhezustand Hibernation Die Windows Funktion Ruhezustand wird von Benutzern mit mobilen Ger ten gerne genutzt um den Arbeitsvorgang tempor r zu unterbre chen Wird etwa ein Notebook bei aktiviertem Ruhezustand im laufenden Betrieb zugeklappt schaltet sich das Ger t automatisch aus und stellt nach einem Neustart wieder exakt die Bildschirmoberfl che der letzten Sitzung her Zur Sicherung der Daten im Ruhezustand hat SafeGuard Easy hier eine besondere L sung die nicht jedes Verschl sselungsprodukt bietet 20 1 berblick Im Ruhezustand wird der Inhalt des Arbeitsspeichers RAM in die Sys temdatei Hiberfile sys im Hauptverzeichnis der Betriebssystempartition i d R Laufwerk C geschrieben und auf der Festplatte gespeichert Die Gr
291. ndet werden BEISPIEL Disketten einer Arbeitsstation werden mit dem DES Algorithmus ver schl sselt Sie speichern wichtige Daten auf einer Diskette ab um Sie an einem anderen Rechner wieder einzulesen Werden dort Disketten mit IDEA verschl sselt wird der Zugriff auf die Daten verweigert Lesen verschl sselter Medien Vorsichtig muss auch verfahren werden wenn Sie versuchen ver schl sselte Datentr ger in einem unverschl sselten Laufwerk zu lesen und umgekehrt Legt man in ein unverschl sseltes Laufwerk ein verschl sseltes Wechselmedium ein erhalten Sie vom Be triebssystem die Meldung dass das Dateisystem Ihres verschl s selten Mediums ung ltig ist W rden Sie dieses nun aufgrund dieser Meldung in dem unverschl sselten Laufwerk formatieren sind die dort gespeicherten Daten unwiederbringlich verloren m Verschl sselung ein ausschalten Das Ein Ausschalten der Verschl sselung von Disketten bzw Wechselmedien in der SafeGuard Easy Administration ist sofort wirksam w hrend die Neuvergabe von Rechten f r SSECRYPT erst nach einem Neustart g ltig wird m Warnmeldung Beim Zugriff auf unformatierte oder verschl sselte Disketten Wechselmedien erscheint eine Meldung die vor dem Verlust von Daten bei einer Formatierung warnt 304 22 FIPS 140 2 Level 1 Zertifizierung Die FIPS Zertifizierung beschreibt Sicherheitsanforderungen f r Ver schl sselungsmodule Beispielsweise verlangen Regierungsbeh rden in
292. ndows angemeldet 15 10 2 Gespeicherte Windows Daten in der SAL Datei Die Betriebssystem Daten werden nach jeder erfolgreichen Anmeldung mit Token mit der verschl sselten SAL Datei SGSAL dat zu finden un ter lt Systemlaufwerk gt System32 synchronisiert vorausgesetzt das SafeGuard Easy Anmeldeverfahren Wahlweise mit Token wurde gew hlt Dies garantiert insbesondere in Notf llen Benutzer verliert Token mit Windows Daten o0 dass der Benutzer auf die Daten zur ckgreifen kann ndert der Benutzer seine Windows Daten wird auch die SGSAL dat aktualisiert 15 11 Token mit der Token Administration zentral ausstellen Die Token Administration bietet Ihnen eine umfangreiche Hilfestellung beim Vorbereiten und Ausstellen der Token Ist die Token Administration installiert k nnen Sie folgende Daten auf der Karte speichern m Token Passwort PIN m SafeGuard Easy Zugangsdaten m Windows Zugangsdaten Computerverwaltung vorgang Ansicht er alm x Struktur Computeryerwaltung Lokal System Datenspeicher Dienste und Anwendungen SafeGuard ADM Settings Viewer Token Administration ER AKS ifdh 0 NR Public amp User a Terminal Server i Multidesktop Support 5G Zugangsdaten Windows Zugangsdaten FR AKS ifdh 1 1 8 MultiDesktop Unterst tzung und Terminal Server funktionieren nur in Ver bindung mit SafeGuard Advanced Secur
293. ne Verschl sselung von Wechselmedien SafeGuard Easy unterst tzt die aktuelle Generation von Plug amp Play Spei cherkarten USB Speichermedien womit auch diese f r den gesicherten Datenaustausch verwendet werden k nnen Dar ber hinaus kann die Ver schl sselung eines Disketten oder Wechselmedien Laufwerks tempor r f r jedes einzelne Laufwerk gesondert an bzw abgeschaltet werden Flexible Benutzerf hrung bei der Pre Boot Authentisierung Es l sst sich bei der Pre Boot Authentisierung ein vom Administrator vor gegebener Hinweis auf rechtliche Belange Eigent mer des Ger ts o anzeigen Konfigurationsdateien aus lteren Versionen ab SafeGuard Easy 3 20 wieder verwenden Unternehmen setzen SafeGuard Easy Konfigurationsdateien ein wenn eine Vielzahl an Clients eine identische SafeGuard Easy Konfiguration er halten soll SafeGuard Easy importiert die alten Konfigurationsdateien und bernimmt so auf einfache Weise Einstellungen und Schl ssel bei ei nem Upgrade ohne diese neu eingeben zu m ssen Notfallstart von Diskette und CD PC Systeme werden heutzutage statt mit Diskettenlaufwerken mit CD DVD Laufwerken ausgestattet SafeGuard Easy passt sich diesen Ent wicklungen im Hardware Bereich an und unterst tzt als Notfallmedien ne ben Disketten auch CDs Es k nnen dabei sowohl MS DOS als auch Windows PE Bootmedien verwendet werden 10 Standard Windows Anmeldung statt SafeGuard Dialog Nach einer SafeGuar
294. nen in das Profil des SafeGuard Easy Benutzers der den Ruhe zustand initiiert hat In diesem Fall ist es m glich beim Wiederanlauf des Rechners das Windows Kennwort anzufordern Energieoptionen Erweitert Kenn wort beim Reaktivieren des Computers anfordern Diese Einstellung zwingt die Benutzer sich zus tzlich mit ihren Windows Daten anzumel den Nachteil zweifache Authentisierung 20 3 Voraussetzungen und Restriktionen Das Zusammenspiel von SafeGuard Easy und dem Ruhezustand funktio niert unter folgenden Voraussetzungen Ruhezustand mit Ruhezustand mit SafeGuard Easy unterst tzt SafeGuard Easy unterst tzt NICHT Windows 2000 und Windows XP Festplattenlaufwerke Microsoft Festplattentreiber von Dritther IDE Serial ATA SCSI die Micro stellern soft Standardschnittstellen benut zen bei Serial ATA k nnen bei manchen Ger ten Probleme auf treten wenn die Standardschnitt stellen nicht benutzt werden die SafeGuard Easy Verschl sse gen SafeGuard Easy Verschl s lungsmodi Standard und Partitio selungsmodus Bootschutz nierung HINWEIS Bei der Verwendung von externen Ger ten oder Einsteckkarten Soundkarten etc bitte pr fen ob diese die Microsoft Energieverwal tung unterst tzen und der Rechner auch ohne SafeGuard Easy pro blemlos in den Ruhezustand versetzt aus dem Ruhezustand zur ckgeholt werden kann 20 4 Ruhezustand e
295. ng an die Administration oder die Authentisierung an einer Basiskonfigurations datei im Konfigurationsdateiassistenten Die Token Unterst tzung in den Administrationswerkzeugen von SafeGuard Easy funktioniert analog zur Anmeldung in der Pre Boot Authentisierung Nach Anstecken des Token wird der Benutzer aufgefordert die PIN anzugeben das SafeGuard Easy Passwort und Benutzername werden vom Token gelesen und die Anmeldung bzw Authentisierung erfolgt Die Token Anmeldung in den Administrationswerkzeugen ist optional und gilt auch f r den Fall dass SafeGuard Easy deinstalliert werden soll 15 9 1 Token Unterst tzung f r die Admministrationswerkzeuge installieren So aktivieren Sie die Token Unterst tzung f r die Administrationswerk zeuge 1 W hlen Sie im SafeGuard Easy Setup die Option Token Unterst tzung f r Administration i SafeGuard Easy Client 4 50 2 Setup Funktionen ausw hlen w hlen Sie die zu installierenden Funktionen aus utimaco E Funktionsbeschreibung 2 Verschl sselung Installs support for tokens in SafeGuard Easy dministrationswerkzeuge administration tools Ev SafeGuard Easy Logging Konfigurationsdatei Assistent Ez Response Code Assistent Diese Komponente wird auf der lokalen LEERE Festplatte installiert Diese Funktion erfordert 4807KB auf Ihrer Festplatte Utimaco Safeware AG Datentr gerkosten Abbrechen 2 Starten Sie den PC neu 3 Installie
296. nistrativer Vorlage ausgeblendet werden siehe H ufig verwendete Registry Einstellungen f r SafeGuard Easy ber die administrative Vorlage ndern Die Richtlinie finden Sie unter Computerkonfiguration Administrative Vorlagen SafeGuard Sgeasy 40 Unter Eigenschaftenseite von SGEasy ist der Haken vor Anzeige der Hintergrund Bitmap im WinLogon Desktop zu entfernen Daraufhin er scheint kein SafeGuard Easy Bitmap mehr ioixi Vorgang Ansicht e om eB e Struktur Richtlinien f r Lokaler Computer a Computerkonfiguration E Softwareeinstellungen H E windows Einstellungen E Administrative vorlagen windows Komponenten E Safeguard E Sgeasy Authentication E System E Netzwerk E Drucker Ae Benutzerkonfiguration E Softwareeinstellungen C Windows Einstellungen Administrative Vorlagen T Einstellung Aktiviert Eigenschaften von SGEasy xl Richtlinie Erkl rung Ei SGEasy Nicht konfiguriert Aktiviert C Deaktiviert IV Sichere automatische Anmeldung IV _SGEasy Dialog j H Sichere automatische Anmeldung mit Utimaco SmartCards IV R cksetzten tempor rer Verschl sselungseinstellungen beim Abme Standard CPU Nutzung fiir Verschl sselung fi 00 z IV Dialog f r die sichere automatische Anmeldung IV CPU
297. nsbeschreibung Diese Komponente wird auf der lokalen Festplatte installiert Diese Funktion erfordert 309KB auf Ihrer Festplatte Sie hat 2 von 2 Unterfunktionen aktiviert Diese Unterfunktionen erfordem 14MB auf Ihrer Festplatte Aktueller Speicherort Durchsuch C Programme Utimacoh Quchsuchen Utimaco Safeware AG Datentr gerkosten Zur cksetzen lt Zur ck Abbrechen Ansonsten m ssen Sie in SafeGuard Easy keine weiteren speziellen Konfigurationseinstellungen vornehmen 4 Nach dem Neustart erhalten Sie einen ver nderten Anmeldebildschirm der statt dem regul ren Windows Passwort die Passphrase verlangt Anmeldung beginnen TEL T utimaco Benutzername Moneypenny Dom ne HEADQUARTER v Herunterfahren Hilfe CSS Integration und die sichere automatische Logon SAL Funktion von SafeGuard Easy Der SAL legt die Windows Daten nach einmaliger Eingabe in einem ge sch tzten Bereich ab und greift nach jeder erfolgreichen Benutzer Anmel dung in der Pre Boot Authentisierung darauf zur ck um den Benutzer automatisiert am Betriebssystem anzumelden siehe Windows Anmel dung konfigurieren hnlich verh lt es sich wenn CSS Integration und SAL zusammen auf ei nem PC eingesetzt werden Die Passphrase wird verschl sselt abgelegt und muss nicht mehr eingegeben werden Anmeldedaten werden nur in der Pre Boot Authentisierung abgefragt 316
298. nse Vorgang mit dem Benutzer ber Spracherkennung und synthese rund um die Uhr selbst ndig aus f hren Menschliche Helpdesk Mitarbeiter sind nur noch in Ausnahmef l len n tig und dadurch von Routineaufgaben wie dem Zur cksetzen von Passw rtern entlastet Bitte wenden Sie sich an Ihren lokalen SafeGuard Easy Anbieter f r Infor mationen ber die Erweiterungen zum Challenge Response Verfahren 370 27 Notfallmedien erstellen und Systemkern sichern Wenn Ihr Rechner bei verschl sselter Festplatte SafeGuard Easy Fehler meldungen anzeigt kann in den meisten aller F lle der Systemkern von SafeGuard Easy nicht gefunden werden Im Systemkern befinden sich die Treiber f r SafeGuard Easy und der Master Boot Record Aufgetretene Fehler k nnen jedoch h ufig mit Einspielen eines gesicher ten aktuellen Systemkerns behoben werden F r das Einspielen des Sys temkerns muss der Benutzer allerdings neben einem intakten Systemkern ein Notfallmedium Diskette CD oder USB Stick zur Hand haben Auf diesem Medium befinden sich der gesicherte Systemkern und Dateien die beim Beheben von SafeGuard Easy Fehlern helfen Da Sie im Fall eines Systemdefekts wahrscheinlich nicht auf die Festplatte zugreifen k nnen sollte der Systemkern immer auf einer Diskette einem Wechselmedium oder dem Netzlaufwerk abgelegt sein HINWEIS Weitere Informationen zu diesem Thema erhalten Sie in der Utimaco Wissensdatenbank http www utimaco de my
299. nstallation von SafeGuard Easy sind folgende Vorbereitungen zu treffen 1 Sicherstellen dass der ESS Chip im BIOS aktiviert ist 2 Atmel Treiber f r den ESS TPM Chip installieren Ab CSS 6 0 nicht mehr erforderlich 3 SMBus Treiber installieren jedes Lenovo Thinkpad hat einen eigenen Treiber 4 F r SafeGuard Easy ben tigen Sie folgende Versionen der Client Security Software CSS F r die Erzeugung von Zufallsschl sseln und Client Security Integration Client Security Software CSS Version 5 21 und h her F r die Client Server Authentisierung Client Security Software CSS Version 5 30 und h her 314 23 3 Erforderliche Einstellungen f r Client Security Integration Die CSS Integration von SafeGuard Easy setzt einen entsprechend konfi guriertes CSS voraus Details lesen Sie bitte im Handbuch zu CSS nach So kombinieren Sie CSS und SafeGuard Easy 1 Chip Nutzung vorbereiten 2 Beim Konfigurieren der Client Security Software ist darauf zu achten dass Ersetzen der normalen Windows Anmeldung durch die gesicherte Anmeldung des Lenovo Security Clients aktiviert wird Ab CSS 6 0 nicht mehr erforderlich 3 SafeGuard Easy installieren Bei der SafeGuard Easy Installation ist darauf zu achten dass die Option Client Security Integration aktiviert wird E3 SafeGuard Easy Setup Funktionen ausw hlen W hlen Sie die zu installierenden Funktionen aus Funktio
300. nstallieren Sie die Fingerabdruck Unterst tzung 1 Installieren Sie die Thinkvantage Fingerprint Software wenn nicht schon vorhanden 2 Enrollen Sie einen oder mehrere Finger mit der Fingerprint Software Das Enrollen verkn pft die Finger mit den Windows Anmeldedaten Wie man einen Finger enrollt finden Sie in der Hilfe zur Thinkvantage Fingerprint Software oder unter http www 307 ibm com pc support site wss document do Indocid MIGR 58403 3 Um den Fingerabdruck zu testen starten Sie den PC das Notebook neu F hren Sie nach dem Neustart einen der enrollten Finger ber den Leser Sie werden automatisch an Windows angemeldet O 4 Starten Sie das Control Center der Thinkvantage Fingerprint Software 5 Beim ersten Enrollen eines Fingers wird nachgefragt ob dieser auch f r Power On verwendet werden soll Klicken Sie auf JA 6 Installieren Sie SafeGuard Easy 7 Markieren Sie in den Konfigurationseinstellungen unter Allgemein Authentisierung Anmeldeart die Option Fingerabdruck 8 Starten Sie den PC neu 9 F hren Sie nach den Neustart einen der enrollten Finger ber den Leser 10 Die Pre Boot Authentisierung erscheint Es werden jedoch keine Daten abgefragt nur die Zeile Starte Authentifizierung per Fingerabdruck Leser weiter mit bel Taste wird angezeigt 11 Die Fingerprint Anmeldung erscheint F hren Sie nun den Finger ber den Leser der mit SafeGuard Easy Daten verkn pft werden
301. ntrag in der Registry konnte nicht gel scht werden Eintrag f r einen Systemdienst in der Registry konnte nicht ge ffnet werden Eintrag f r einen Systemdienst in der Registry konnte nicht kreiert werden Eintrag f r einen Systemdienst in der Registry konnte nicht ge l scht werden Eintrag f r einen Systemdienst in der Registry existiert bereits Der Session Control Manager konnte nicht ge ffnet werden Registryeintrag f r eine Session konnte nicht gefunden wer den Ung ltiger Registryeintrag entdeckt Datenbanktreiber Fehler 1291 518 Keine weiteren Verschl sselungstreiber gefunden 1292 1293 1294 1295 Datenbanktreiberdatei nicht gefunden Fehler trat auf beim Lesen der Datenbanktreiberdatei Datenbanktreiberdatei ist leer Ung ltiger oder illegaler Eintrag Eintrag in der Datenbanktrei berdatei CRAREA Fehler 1301 1302 1303 1304 1305 1306 1307 1308 1309 1310 1311 1312 1313 1314 1315 1316 1317 1318 1319 Zugriffsfehler auf das Installationslaufwerk Anforderung nach Partitionsinformationen schlug fehl Zugriff auf die Bootpartition schlug fehl Ung ltige Prozessoption definiert Unbekanntes oder ung ltiges Dateisystem defniert Unterschied entdeckt zwischen dem aktuellen und dem defi niertem Dateisystem Unterschied entdeckt zwischen der aktuellen und der definier ten Clustergr e Ung ltiger Start Cluster f r den Kernelbereich definiert Ung ltiger Sta
302. o pds utimaco com http www utimaco com Technischer Support Online Dokumentation Unsere Wissensdatenbank bietet Antworten auf viele typische Fragen rund um die SafeGuard Produktpalette so zum Beispiel zu Funktionsumfang Implementierung Administration oder Troubleshooting Direkter Link http www utimaco de myutimaco F r den Zugang zum ffentlichen Bereich der Wissensdatenbank k nnen Sie sich als Gast anmelden F r den Zugang zum gesch tzten Bereich ben tigen Sie einen g ltigen Softwarepflegevertrag Der Inhalt beider Bereiche wird von unseren Support Mitarbeitern fortw hrend berarbeitet und auf aktuellem Stand gehalten Weitergehender Support bzw Telefon Support Kunden mit einem g ltigen Softwarepflegevertrag inklusive Servicevereinbarung stehen qualifizierte Support Mitarbeiter auch telefonisch mit Rat und Tat zur Seite F r ein individuelles Vertragsangebot wenden Sie sich an Ihren Utimaco Vertriebspartner Wir bitten um Ihr Verst ndnis dass Anfragen von Kunden ohne g ltigen Softwarepflegevertrag Software Subscription je nach Aufkommen einige Arbeitstage in Anspruch nehmen k nnen In dringenden F llen wenden Sie sich bitte an den Utimaco Vertriebspartner ber den Sie Ihre Lizenzen bzw Software Subscription bezogen haben b rblick 1 1 1 Zentrale Sicherheitsfunktionen 0 2 1 2 Weitere Sicherheitsfunktionen 0 4 1 3 Neues in SafeGuard Easy 000
303. ode eingeben Dieser Challenge Code wird auf dem Bildschirm des Benutzers als ASCII Zeichenkette 14 Zeichen angezeigt Der Benutzer ruft anschlie end bei seinem Administrator an und gibt seine Benutzerinformationen und den Challenge Code an Der Administrator erzeugt dann einen Response Code Nach der Eingabe dieses Response Codes auf dem Benutzer PC kann der Benutzer sein Passwort neu setzen Details zum Challenge Response Verfahren lesen Sie bitte im Kapitel Fernwartung Challenge Response nach 7 6 Fehlgeschlagene Anmeldung Die Anmeldung in der Pre Boot Authentisierung schl gt fehl wenn m der SafeGuard Easy Benutzername falsch eingegeben wird m das SafeGuard Easy Passwort nicht korrekt ist m das Token Passwort nicht korrekt ist m das SafeGuard Easy Benutzerprofil abgelaufen ist siehe Ablaufdatum Hat ein Benutzer seine SafeGuard Easy Benutzerdaten falsch eingegeben muss er einige Sekunden warten bis er sich erneut anmelden kann Aus Sicherheitsgr nden erh ht sich die Wartezeit ab dem zweiten Fehlversuch Durch eine einmalige korrekte Anmeldung wird die Wartezeit zur ckgesetzt Fehlgeschlagene Anmeldung zur cksetzen Sie k nnen eine fehlgeschlagene Anmeldung folgenderma en zur cksetzen 1 Legen Sie die Notfalldiskette ein und booten Sie von Laufwerk A 2 Rufen Sie das Programm Sgeasy exe auf und geben Sie die korrekten SafeGuard Easy Zugangsdaten ein 3 Ein Men mit Deinstallieren Restaurier
304. oken aktuell g ltigen PINs an Ansonsten bricht das Skript mit einer Fehlermeldung ab Nach Ausf hren eines Skripts wird ein schon auf dem Token vorhandener Windows Account berschrieben Nach Ausf hren des Skripts wird auf dem Token eine zus tzli che neue Rolle angelegt Sind bereits MultiDesktop Rollen vor handen werden diese nicht gel scht bzw berschrieben Ist bereits ein Terminal Server Account vorhanden wird dieser nach Ausf hren des Skripts nicht gel scht bzw berschrieben Erkl rung zum Skriptteil SafeGuard Easy Account Daten setzen configFile Benennt den absoluten Pfad und Namen der SafeGuard Easy Konfigurationsdatei Beispiel configFile D Install cfg Die Konfigurationsdatei muss vor dem automatisierten Aufbringen mit dem SafeGuard Easy Konfigurationsdateiassistenten erstellt worden sein Es muss sich hierbei um eine Konfigurationsdatei mit der Eigenschaft Installieren handeln Unbedingt enthalten muss die Konfigurationsdatei diese SafeGuard Easy Benutzerprofile 1 den Benutzer der unter userID auf den Token geschrieben werden soll z B User 2 den Benutzer der sich unter authFile an der Konfigurationsdatei anmeldet z B Helpdesk m userlD SafeGuard Easy Benutzer der auf den Token geschrieben wird Dieser Benutzer muss in der Konfigurationsdatei angelegt sein Bsp userID User m authFile Absoluter Pfad der Datei die die SafeGuard Easy P
305. oll informationen 03 05 2004 19 28 46 Scecli Keine 1704 Q Informationen 03 05 2004 18 30 12 SGLogPlayer Keine 0 Doppelklicken Sie auf ein bestimmtes Ereignis im Detailbereich erschei nen die Detailinformationen zum Ereignis Eigenschaften von Ereignis 2lxl Ereignis Datum 03 05 2004 Quelle SGAuthentication Uhrzeit 19 31 Kategorie Authentisierung ignis ID 1501 BET AST VM GER Beschreibung Anmeldung des Benutzers Administrator Daten Bytes words Abbrechen berreimeni HINWEIS Beschreibung Bei der Fernprotokollierung werden in der Ereignisanzeige in den Feldern Computername Zeit und Datum immer die Daten der Arbeitsstation eingetragen die die Ereignisse protokolliert Die Daten des Computers der ein Ereignis ausl st erscheint im Feld Die Ereignisanzeige von Windows zeigt nicht alle Warnstufen von der Pro tokollierung an Deswegen werden die unterschiedlichen Warnstufen in der Ereignisanzeige folgenderma en ausgegeben SafeGuard Protokollierung Ereignisanzeige Notfall Alarm Fehler Fehler Kritisch Warnung Warnung Notiz Kein Information Information 408 29 6 2 Protokolldatei Log File Die Protokolldatei en der Protokollierung sind das Pendant zur Windows Protokolldatei In ihnen werden allerdings nur die Ereignisse abgelegt die von einem SafeGuard Produkt ausgel st wurden Die Darstellung der Er eignisse
306. on Bitte geben Sie an ob eine Basiskonfiguration verwendet werden soll Die Basiskonfigurationsdatei enth lt alle Einstellungen die notwendig sind um eine Installation von SafeGuard Easy durchf hren zu k nnen IV Basiskonfiguration benutzen Frogramme Utmaco Sgeasynstal ctd Durchsuchen lt Zur ck Abbrechen Hilfe Eine Basiskonfigurationsdatei ist eine bereits bestehende Konfigurations datei mit der Eigenschaft Installieren Sie kann als Grundlage f r eine neue Installationsdatei geladen werden 100 Authentisierung an der Basiskonfigurationsdatei optional Die Einstellungen einer gew hlten Basiskonfigurationsdatei werden erst nach der Anmeldung des SafeGuard Easy Benutzers SYSTEM sichtbar SafeGuard Easy Konfigurationsdateiassistent xl Authentisierung an der Konfigurationsdatei Bitte geben Sie das Benutzerpasswort ein Sie haben entschieden eine Basiskonfigurationsdatei zu verwenden Um die Einstellungen aus der Basiskonfigurationsdatei bearbeiten zu k nnen muss eine uthentisierung durchgef hrt werden Benutzer Passwort lt Zur ck Abbrechen Hie Verschl sselungsmodus Ohne Basiskonfiguration muss der neuen Konfigurationsdatei der Verschl sselungsmodus mitgegeben werden damit SafeGuard Easy wei welche Festplattenbereiche zu verschl sseln sind siehe Verschl sselungsmodus Konfiguration Anschlie end folgt die Ansicht mit den verschi
307. onenten Richtlinie l Erkl rung SafeGuard Sgeasy N SGEasy E Authentication ao Nicht konfiguriert E Drucker Rd Benutzerkonfiguration Softwareeinstellungen E windows Einstellungen Administrative Vorlagen IV Sichere automatische Anmeldung IV SGEasy Dialog zur Aufhebung der Arbeitsplatzsperre IV Anzeige der Hintergrund Bitmap im WinLogon Desktop T Sichere ackomalische Anmeldung mit Utimaca SmartCards IV R cksetzten tempor rer Verschl sse en beim Abme Ju Standard CPU Nutzung Keen 20 4 f r die E H A SE 3 4 Hintergrund Bitmap in der Windows Anmeldung austauschen Es besteht die M glichkeit das Bitmap anzupassen das nach Eingabe der SafeGuard Easy Zugangsdaten erscheint Dies erm glicht es Kun den den Hintergrund von SafeGuard Easy den Bed rfnissen ihres Unter nehmens anzupassen Das angezeigte Standard Bitmap hat den Namen SgeLogo bmp und liegt im gew hlten SafeGuard Easy Verzeichnis Um das Titel Bitmap auszutauschen muss nur das Standard Bitmap mit einem angepassten Bitmap gleichen Namens und Gr e ersetzt werden Das Bitmap hat eine Gr e von 640x480 Pixel und eine maximale Farb tiefe von 8 Bit Wenn KEIN Hintergrund Bitmap erscheinen soll m ssen Sie den Registry Key HKEY_LOCAL_MACHINE SOFTWARE Utimaco Sgeasy SgeLogoBackGnd auf den Wert O setzen Das Hintergrund Bitmap kann auch ber eine Richtlinie in Utimacos admi
308. onfigurationsdatei mit der Eigenschaft Deinstallieren ber das Kommando msiexec aufgerufen wird Kommandozeilensyntax msiexec x D Sgeasy msi CFGFILE D Deinstall cfg qn 76 7 Systemstart und Anmeldung SafeGuard Easy schaltet vor die Windows Anmeldung einen eigenen Au thentisierungsmechanismus vor den Bootprozess die sogenannte Pre Boot Authentisierung Die Anmeldung an der Pre Boot Authentisierung ist die voreingestellte Methode nach der Installation Wenn die Pre Boot Authentisierung eingeschaltet ist kann sich der Benutzer nur mit SafeGuard Easy Zugangsdaten anmelden Aus dem ein gegebenen Passwort wird der zum Booten erforderliche Schl ssel berech net der eine verschl sselten Festplatte entschl sselt Wenn die Pre Boot Authentisierung ausgeschaltet ist bleibt die Festplatte verschl sselt Der PC bootet aber ohne Benutzerinteraktion bis zum Windows Anmeldebildschirm In diesem Fall werden Pre Boot SafeGuard Easy Daten versteckt auf der Festplatte gespeichert Ohne Pre Boot Authentisierung ist das Sicherheitsniveau eines Systems niedriger als mit Pre Boot Authentisierung Benutzer k nnen sich in der Pre Boot Authentisierung anmelden m als regul rer Benutzer mit Benutzername und Passwort m als Standard Benutzer nur mit Passwort m mit Token mit Token Passwort Der Anmeldebildschirm der Pre Boot Authentisierung hat folgende Merk male und Funktionen m Name der Arbeitsstation und Text f r rech
309. overy Partition zu beachten Verschl sse Betriebs lungsmodus Status der beiden speziellen Partitionen system von SGEasy Windows 2000 Partitionsweise Die Partitionen ist nicht verschl sselt Vorteil f F Die Lenovo Werkseinstellungen k nnen von der windows XP Partitionsweise lokalen Festplatte wiederhergestellt werden Standard Bootschutz Nachteil Hacker k nnen eine unverschl sselte Rescue and Recovery Bootumgebung manipulieren Windows 2000 Standard Die Partitionen werden verschl sselt Bootschutz Vorteil Die Bootumgebung ist verschl sselt Sie kann nur ge ndert werden wenn das SafeGuard Easy Passwort bekannt ist Nachteil Die Lenovo Werkseinstellungen k nnen nicht von der lokalen Festplatte wiederhergestellt werden F r das Zur cksetzen auf die Werkseinstellungen ben tigen Sie eine spezielle CD DVD Der Support von Lenovo schickt Ihnen diese Medien auf Anfrage gerne zu Alternativ kann die Festplatte ber die Notfalldis kette und das DOS Tool Sgeasy exe entschl s selt werden Deinstallation von SafeGuard Easy Utimaco empfiehlt entweder die Service Partition zu verschl sseln oder stattdessen die Rescue and Recovery Umgebung in die virtuelle Partition zu installieren Die virtuelle Partition ist immer gesch tzt sobald das Windows Systemlaufwerk verschl sselt ist 348 24 10 Was tun wenn nach dem Neustart des PCs auf dem Bildschirm eine Safe
310. ppen Arbeitsstationen Requests Gruppen Arbe Filter konfigurieren Strg F Filter aktiviert Umschalt F Aktualisieren F5 31 7 1 Filter konfigurieren Arbeitsstationen k nnen anhand einer Vielzahl von Regeln sichtbar un sichtbar gemacht werden Eine erweiterte Option erlaubt sogar die Schnittmenge markierter Gruppen als Regel zu definieren d h Arbeitssta tionen werden nur angezeigt wenn sie Mitglied von Gruppe A und Gruppe B sind Filter f r Arbeitsstationen konfigurieren x 7 Name hnlich I Beschreibung hnlich J Push I Offline I Status Ansicht f r I Gruppen I Schnittmenge Arbeitsstationen Name Entwicklung Marketing Vertrieb F r Gruppen und Requests ist das Filtern nach Name und Beschreibung m glich F r Requests gibt es noch zus tzlich die M glichkeit den Request Typ und fehlgeschlagene bzw nicht zugeordnete Requests anzeigen zu lassen I Name wie market r m Ansicht f r Gruppen IV Beschreibung wie Entwicklung ac Filter f r Requests konfigurieren xj J Name hnlich T Beschreibung hnlich J Registrierung T Status Ansicht f r Requests M Typ I Nur Requests ausw hlen die mindestens an einer Arbeitsstation fehlgeschlagen haben JT Nur lose Requests ausw hlen die zu keiner Arbeitsstation zugeordnet sind 4712 Sie k nnen zur Definition in den Feldern Name und Beschreibung auch Wildcards verwende
311. r Anfragen an den Server in Stunden der gew nschte Wert einzutragen Computerkonfiguration Softwareeinstellungen windows Einstellungen Administrative Vorlagen E windows Komponenten SafeGuard I Sgeasy E Authentication E Drucker Benutzerkonfiguration Softwareeinstellungen windows Einstellungen Administrative Vorlagen Richtlinien f r Lokaler Computer Eigenschaften von SGEasy kesme eee 30 3 Installation Hinweis zu Windows XP SP 2 Windows Server 2003 SP1 Bei Verwendung des optionalen zentralen Administrationsservers bzw der Remote Administration von SafeGuard Easy 4 x sind besondere Konfigurationseinstellungen in Windows XP SP2 und Windows Server 2003 SP 1zu treffen Alle n tigen Einstellungen sind in unserer Wissensdatenbank http www utimaco de myutimaco im Knowledge Item 106898 SafeGuard Easy and SP2 Configuration for Windows XP beschrie ben Nutzen Sie die Suchfunktion und geben Sie die Nummer 106898 ein Zus tzlich ist auf der CD im Verzeichnis Tools DCOM eine Applikation vorhanden mit der man die Konfigurationseinstellungen automatisch setzen kann um die zentrale Administration und die Remote Adminis tration zu nutzen Vorbereitung High Encryption Package installieren Voraussetzung f r die zentrale Administration ist dass die Be triebssysteme auf Client Server und dem PC mit der Administrati onskonsole die Verschl s
312. r SAL folgenderma en Ein Benutzer meldet sich in der Pre Boot Authentisierung mit seinen SafeGuard Easy Zugangsdaten an und gibt dann im Windows Anmeldedialog seine Windows Daten ein Der SAL stellt zwischen dem angemeldeten SafeGuard Easy Benutzer und dem Windows Benutzer eine Beziehung her die in der verschl sselten Datei Sgsal dat abgespeichert wird Sgsal dat ist zu finden unter lt Systemlaufwerk gt SYSTEM32 Bei einer erneuten Anmeldung in der Pre Boot Authentisierung reicht der SAL ohne Benutzerinteraktion die Windows Daten an den Windows Anmeldedialog weiter Wollen Sie den SAL einsetzen 1 Installieren Sie SafeGuard Easy mit m Sicherem Automatischer Logon ACHTUNG Nicht die Option Automatische Smartcard Anmeldung installie ren m Pre Boot Authentisierung 2 Starten Sie Ihren Rechner neu 3 Authentisieren Sie sich in der Pre Boot Authentisierung mit den SafeGuard Easy Benutzerdaten 4 Nach der Anmeldung erscheint bei der erstmaligen Anmeldung der gewohnte Windows Logon Dialog 5 F llen Sie die Eingabefelder mit den korrekten Anmeldeinformationen und dr cken Sie OK 6 Anschlie end wird der SAL Dialog angezeigt SafeGuard Easy Sicherer Automatischer Logon Ja Aktiviert die Beziehung zwischen SafeGuard Easy und Windows Benutzer Nein Verwendet SAL Funktionalit t nicht Der Status des Auswahlk stchens Diesen Dialog f r den angemeldeten SafeGuard Easy Benutzer nich
313. r Systemadminis tration vor unbefugtem Zugriff gesch tzt und z B Benutzern nicht zu g nglich gemacht werden 4 2 Zentrale Installation mit Active Directory SafeGuard Easy wird auf Benutzer PCs in einer Active Directory Umge bung installiert indem eine MSI Datei Sgeasy msi zur Softwarevertei lungsfunktion eines Gruppenrichtlinienobjekts GPO hinzugef gt wird Zum Bearbeiten der MSI Datei ben tigen Sie einen zus tzlichen Editor z B ORCA oder Netinstall HINWEIS ORCA ist Teil des Microsoft Platform Software Development Kit PSDK PSDK kann von der Microsoft Webseite heruntergeladen werden 4 2 1 Voraussetzungen m Auf den Benutzer PCs muss entweder Windows 2000 oder Windows XP installiert sein m Auf den Benutzer PCs muss auf der Systempartition gen gend Speicherplatz verf gbar sein Alle zur Installation vorgesehenen Benutzer PCs m ssen vor einem Neustart in die Organisationseinheit verschoben werden f r welche die konfigurierte GPO Gruppenrichtlinienobjekt verwendet wird m Alle Benutzer PCs m ssen f r die zentrale Softwareverteilung an die Directory Dom ne angebunden sein und es muss ein Computerkonto f r den Benutzer PC eingerichtet und aktiv sein 46 4 2 2 MSl Pakete mit einem Editor bearbeiten Im folgenden Abschnitt wird gezeigt wie man mit dem Werkzeug Orca eine sogenannte Transform Datei Dateierweitertung mst erstellt um nderungen am MSI Paket Sge
314. r kommunizieren ber den RPC DCOM Dienst von Mi crosoft Es kann frei definiert werden ber welchen Port bzw welches Protokoll die Kommunikation ablaufen soll Wenn Sie eine Firewall einsetzen m ssen Sie die Ports an ihrer Firewall freischalten ber die Client und Server kommunizieren sollen Authentisierung Client Server SafeGuard Easy verwendet zur beidseitigen Authentisierung eine starke Verschl sselung mit Public Private Key Verfahren Zur Erzeugung des Schl sselpaars wird das RSA Verfahren eingesetzt und eine Schl ssel l nge von 1024 bit verwendet Die Kommunikation zwischen Client und Server wird durch das Interlock Protokoll gesch tzt Wenn noch kein RSA Schl sselpaar vorhanden ist wird dies w hrend der Installation der SafeGuard Easy Software auf Client und Server erzeugt Einmal erzeugt bleibt das Schl sselpaar unver ndert bestehen Wenn beide Parteien zum allerersten Mal in Kontakt treten werden die ffentli chen Schl ssel ausgetauscht Sowohl Client als auch Server speichern den ffentlichen Schl ssel und kennen sich von diesem Zeitpunkt an 420 Optional kann die Erzeugung des Schl sselpaars auch von einem Trusted Platform Module wie dem Lenovo ESS Chip bernommen werden Dies garantiert zus tzliche Hardware Sicherheit f r den Schl sselspeicher ist allerdings langsamer als die reine Software L sung Verschl sselung der Daten w hrend des Transfers Alle SafeGuard Easy Inform
315. ra 103 8 4 5 _Konfigurationsdatei f r nderung Delta Datei erstellen 104 8 4 6 Delta Datei ausf hren 000000 108 8 4 7 Konfigurationsdatei editieren 109 8 4 8 Anwendungsbeispiele ree00 109 8 5 Konfigurationsdatei ber Kommandozeile erzeugen errree00 112 8 6 H ufig verwendete Resistry Einstellungen f r SafeGuard Easy ber die administrative Vorlage Anden uses 114 Pre Boot Authentisierung 117 9 1 Sprache der Pre Boot Authentisierung nachtr glich ndern 0s00s000ssssnsenseneeene 118 9 2 Passwort beim Systemstart abfragen 119 9 3 Identifikation rrrrserereseseesnssnsnensnsssnnnssnneene 120 10 11 9 3 1 Maschinen Identifikation 0000 9 3 2 Begr ungstext ssssssssssesssssssssssnsssnennne 120 122 Master Boot Record r r0essrerrer ee 123 10 1 2MBR Sch tz 05000460208 10 2 MBR Standard Aktionen 00000s000000000 10 3 Unterst tzung f r Compaq Setup Partition 125 126 127 Verschl sselung essssssessssssessssssssssssssssssseee 129 11 1 Verschl sselung konfigurieren 11 2 Unterst tzte Festplattenlaufwerke 11 3 Unterst tzte Diskettenlaufwerke 11 4 Unterst tzte Wechselmedienlaufwerke 11 5 Laufwerke verschl s
316. rd Easy Datenbank notwendig Die zentrale Administration ber SafeGuard Easy Datenbank und SafeGuard Easy Server verlangt dass Windows die Verschl sse lung mit 128 bit Schl sseln unterst tzt Bei Windows XP standardm ig installiert Bei Windows 2000 ab Service Pack 2 installiert 22 2 3 Installierbare Module SafeGuard Easy setzt sich aus verschiedenen sogenannten Modulen zusammen die voneinander unabh ngig arbeiten Die verschiedenen Module sind in Form von MSI Paketen auf der Produkt CD im Verzeichnis SSEASY INSTALL unter CLIENT SERVER und RUNTIME abgelegt In den Unterverzeichnissen befinden sich sortiert nach Sprache die notwendigen Dateien Diese Module sind verf gbar SGEasy msi Client Applikation f r SafeGuard Easy Runtime msi Laufzeitsystem Server msi SafeGuard Easy Server Komponente SafeGuard Easy das Laufzeitsystem und der SafeGuard Easy Server werden als verschiedene Produkte installiert und erscheinen demzufolge auch separat in der Liste der vorhandenen Software auf einem System 2 4 Sprache der Benutzeroberfl che Startet man die Installation ber Setup exe ist die Sprache der Benutzeroberfl che w hrend und nach der Installation von SafeGuard Easy abh ngig von den unter Systemsteuerung L ndereinstellungen eingestellten Regions und Sprachoptionen SafeGuard Easy unterst tzt Deutsch Englisch und Franz sisch Wenn z B als Gebietsschema Deutsch eingestellt ist e
317. rd nicht unterbrochen m Men anzeigen Bei einer Ver nderung des MBR wird ein Men anzeigt ber das Sie eine der folgenden Aktionen w hlen k nnen Voreinstellung Restaurieren Ignorieren bernehmen Mit Voreinstellung w hlt der Benutzer die definierte Standardakti on siehe MBR Standard Aktionen mit Restaurieren wird der MBR aus der Sicherheitskopie restauriert mit Ignorieren wird die Ver nderung bergangen und mit bernehmen wird der aktuelle MBR akzeptiert Die berpr fung des MBR auf Ver nderungen findet vor der Be nutzeranmeldung statt Das Men wird aber erst nach einer g lti gen Anmeldung angezeigt Damit ist ausgeschlossen dass ein nicht autorisierter Benutzer entscheiden kann was in diesem Fall geschehen soll m Standardaktionen durchf hren Hierbei werden die unter MBR Aktionen definierten Standardaktionen durchgef hrt 126 10 2 MBR Standard Aktionen Sie k nnen eine oder mehrere Standardaktionen ausw hlen m Warnung anzeigen Dem Benutzer wird mitgeteilt dass der f r SafeGuard Easy erstell te MBR modifiziert wurde Der Benutzer muss diese Meldung durch Tastendruck best tigen MBR restaurieren Der Original MBR wird ohne Benachrichtigung des Benutzers aus der Sicherheitskopie wiederhergestellt um einen m glichen Virus zu entfernen Danach startet das System neu System anhalten Bei einer Ver nderung des MBR wird im Benutzer Status nach der Anmeldung eine N
318. rdSvr ETOKSRV Verisign USB Token PKCS 11 Modul etpkcs11 dil aus SYSTEM32 Verzeichnis RSA SecurlD 800 Services SCardSvr PKCS 11 Modul pkcs11 dll Wenn Sie das PKCS 11 Modul f r RSA hinzuf gen achten Sie darauf den vollen Pfadnamen anzugeben ACHTUNG Sie ben tigen eine bestimmte Version des RSA Authenticator Client Wenden Sie sich f r weitere Informationen an Ihren Token Hersteller Die RSA Authenticator Utility wird von SafeGuard Easy Version 4 50 nicht mehr unterst tzt Gruppenrichtlinie Vorgang Ansicht om eB e Struktur SCardSvr ETOKSRY Bevorzugter Slot Index 0 Richtlinien f r Lokaler Computer E 3 Computerkonfiguration w Softwareeinstellungen Hohe Sicherheit f r den pr aus 2 9 windows Einstellungen SRPKCS 11 Modul etpkcs11 dll SafeGuard HRSA Kryptografiemethode asymmetrischer Mantel amp Protokollierung lBevorzugter symmetrisch 3DES AA Universal Token Interface Hash Algorithmus MDS EJ Skripts Start Herunterfahren p evorzugter CSP Microsoft Enhanced Crypto 4 Speichern Sie die Einstellungen Die Anmeldung an die Administrationswerkzeuge von SafeGuard Easy ist nun mit Token m glich 15 9 3 Universal Token Interface Das Universal Token Interface ist ein API das Utimaco Applikationen ver wenden um mit verschiedenen Token zu kommunizieren Es stellt einer seits Funktionen zum Zugriff lesend und schreibend auf die a
319. rden wenn m SafeGuard Easy vorher deinstalliert wurde m die Systemkernsicherung nicht dem aktuellen Stand entspricht Dies trifft zu wenn z B zwischen dem Sichern des Systemkerns und dem Restaurieren der Verschl sselungsstatus der Festplat te n ge ndert wurde Alle SafeGuard Easy Benutzer eines PCs d rfen einen gesicherten Systemkern wieder einspielen 382 27 5 2 Systemkern reparieren Im Gegensatz zu Restaurieren funktioniert ein Reparieren auch ohne Si cherungskopie des Systemkerns Die Reparieren Funktion durchsucht die komplette Festplatte nach dem SafeGuard Easy Systemkern und versucht ihn wiederherzustellen keine Erfolgsgarantie Diese Funktion wird nur dann ben tigt wenn m keine Sicherung des Systemkerns existiert m die Sicherungsdatei nicht dem aktuellen Stand entspricht Dies trifft zu wenn zwischen dem Sichern des Systemkerns und dem Auftreten des Systemfehlers der Verschl sselungsstatus der Fest platte n ge ndert wurde Nach Wahl von Reparieren versucht eine Diagnoseroutine den Systemkern zu lokalisieren und wieder zu aktivieren Dies kann mehrere Minuten dauern Der Verlauf wird in einer Fortschrittsanzeige dargestellt Anschlie end wird Ihnen mitgeteilt ob das Reparieren erfolgreich gewesen ist ACHTUNG Der Versuch einen Systemfehler mit Reparieren zu beheben f hrt nicht immer zum Erfolg Daher sollten Sie immer eine aktuelle Siche rung des Systemkerns zur Verf gung haben
320. re Boot Authentisierung 1 Starten Sie den PC Die Fingerprint Anmeldung erscheint 2 Dr cken Sie Esc Die Pre Boot Authentisierung erscheint 3 Geben Sie Ihre SafeGuard Easy Zugangsdaten ein 4 Dr cken Sie F10 und ndern Sie das Passwort Der PC startet ohne den Fingerabdruck zu verlangen 5 Starten Sie den PC erneut Die Fingerprint Anmeldung erscheint 6 F hren Sie den Finger ber den Leser Die Pre Boot Authentisierung erscheint 7 Geben Sie Ihren Benutzernamen und das neue Passwort ein Standardbenutzer nur das Passwort 8 Best tigen Sie mit der Eingabe Taste Die Fingerabdruck Anmeldung erscheint 9 F hren Sie den Finger ber den Leser Die SafeGuard Easy Daten werden mit dem Finger verkn pft und die Anmeldung ausgef hrt Das Passwort wurde neu gesetzt 242 So ndern Sie das Passwort in der SafeGuard Easy Administration 1 Starten Sie die Administration ber Programme Utimaco SafeGuard Easy Administration 2 W hlen Sie den Ordner Benutzer und ndern Sie Ihr Passwort unter Passwort konfigurieren 3 Starten Sie den PC neu Die Fingerprint Anmeldung erscheint 4 F hren Sie den Finger ber den Leser Die Pre Boot Authentisierung erscheint mit der Meldung dass die Daten nicht bereinstimmen 5 Geben Sie Ihre SafeGuard Easy Zugangsdaten ein neues Passwort Sie werden angemeldet Die neuen SafeGuard Easy Zugangsdaten und der Fingerabdruck sind nun verkn pft 16 5 H ufig
321. re bei der Installation von SafeGuard Easy auf mehreren Arbeitsstationen mit einer einzigen Konfigurationsdatei Es wer den hierbei trotz gleicher Konfigurationseinstellungen auf den jeweiligen Rechnern unterschiedliche nicht triviale Zufallsschl ssel generiert Findet ein reger Austausch von Disketten Wechselmedien bspw unter Mitarbeitern statt sollte der Schl ssel nie per Zufall generiert werden Mit einem Zufallsschl ssel verschl sselte Medien k nnen nur auf der Arbeits station gelesen werden auf der sie verschl sselt wurden 11 6 6 Schl ssel definieren Alle Schl ssel k nnen in der Grundeinstellung nur vom Administrator SYSTEM eingegeben werden Anderen Benutzern muss das entsprechende Recht verliehen werden damit auch diese die M glichkeit haben Schl ssel f r Festplatte Diskette und Wechselmedien k nnen unterschiedlich sein F r alle Laufwerke ist nur ein Schl ssel vergebbar Zur Erstvergabe oder nderung eines Schl ssels klicken Sie auf den Un terpunkt Schl ssel Die Eingabe des Schl ssels erfolgt f r alle Laufwer ke gleich Es gelten auch die selben Schl ssel Regeln 140 Haben Sie den Schl ssel eingegeben bzw wurde der Zufallsschl ssel ge w hlt dr cken Sie bitte zur Best tigung die Schaltfl che OK Schl ssel Festlegen x Schl ssel Bitte geben Sie einen Schl ssel ein der f r die Yer und Entscl sselung der Daten verwendet werden soll Schl ssel R Zufallsschl sse
322. ren Sie folgende Software Pakete Eingesetzter Token Notwendige Software Aladdin eToken Aladdin eToken Runtime Environment siehe auch http www utimaco de etoken Verisign USB Token RSA SecurlD 800 RSA Authenticator Client 4 Registrieren Sie das 11 Modul des Token 210 15 9 2 PKCS 11 Modul des Token registrieren Um SafeGuard mit dem Token bekannt zu machen m ssen Sie das PKCS 11 Modul des Token registrieren So registrieren Sie das PKCS 11 Modul 1 Dr cken Sie den Windows Start Button und dann Ausf hren 2 Geben Sie in den Dialog das Kommando gpedit msc ein Ausf hren Se 763 Geben Sie den Namen eines Programms Ordners Dokuments oder einer Internetressource an ffnen Abbrechen Durchsuchen Die Microsoft Management Konsole MMC ffnet sich Vorgang Ansicht e Elm Struktur Richtlinien f r Lokaler Computer 5 g Computerkonfiguration E Softwareeinstellungen E Windows Einstellungen Administrative Vorlagen N Benutzerkonfiguration GI Softwareeinstellungen E windows Einstellungen I Administrative Vorlagen 3 Tragen Sie den Service und das PKCS 11 Modul f r den Token ein unter Computerkonfiguration Windows Einstellungen SafeGuard Universal Token Interface 212 Eingesetzter Token Notwendige Einstellungen Aladdin e Token Services SCa
323. rentwicklung des Data Encryption Standard DES 3DES verwendet drei aufeinanderfolgende Verschl sselungsl ufen des DES Algorithmus und arbeitet mit einem 168 Bit Schl ssel Das 3DES Verfahren gilt als sicher ist aber etwas langsam 142 Blowfish 16 Blowfish 8 Blowfish ist ein symmetrischer Algorithmus Er verwendet einen 64 Bit Blockchiffrieralgorithmus und eine Schl ssell nge von 256 Bit Der Blowfish 8 Algorithmus entspricht dem Blowfish 16 Algorithmus ist jedoch auf acht Runden reduziert Er verwendet eine Schl ssell nge von 256 Bit STEALTH 40 Dieser Algorithmus ist etwa gleich schnell wie XOR aber deutlich sicherer Der STEALTH Algorithmus verwendet eine Schl ssell nge von 48 64 Bit XOR XOR eXclusive Or opeRation ist ein symmetrischer Algorithmus und ver wendet eine Schl ssell nge von 64 Bit Seine Sicherheit ist allerdings als niedrig einzustufen HINWEIS Wenn Sie ein hochsicheres System aufsetzen wollen verwenden Sie bitte IDEA oder AES Rijndael Spezielle Algorithmen f r Diskettenlaufwerke XOR SB A B Eigenschaften siehe XOR X SB I A B ist mit dem Diskettenchiffrierer von SafeBoard I ab Version 1 43 C Crypt und Crypton DOS kompatibel m DES SB II Der Algorithmus DES SB Il ist kompatibel zur Diskettenverschl s selung der SafeBoards II und Ill bzw zu der Diskettenverschl sse lung der SafeBoards X II und III mit altem Schl sselmanagement 11 7 3 Algorithmus nde
324. rhalb des SafeGuard Easy Systemkerns f hren die gleichen Tests durch Integrit tscheck Ein Integrit tscheck wird f r die Verschl sselungsmodule durchgef hrt um sicherzustellen dass die Module nicht ge ndert wurden Wenn ein Integrit tscheck fehlschl gt stoppt das System alle weiteren Prozesse Dieser Test wird durchgef hrt f r die Verschl sselungstreiberdateien von SafeGuard Easy und die Verschl sselungsmodule innerhalb des SafeGuard Easy Systemkerns Zus tzlich wird der Integrit tscheck f r die Systemdaten innerhalb des Systemkerns durchgef hrt um illegale Manipulationen zu entdecken Sobald SafeGuard Easy FIPS konform installiert wird werden beide Test verfahren f r den Systemkern und den Win32 Modus ausgef hrt Der KAT sogar auch wenn der FIPS Modus nicht aktiv ist 306 22 2 SafeGuard Easy FIPS konform installieren Eine Einstellung w hrend der Installation FIPS Modus legt fest ob ein SafeGuard Easy System FIPS konform sein soll N SafeGuard Easy Funktionen ausw hlen w hlen Sie die zu installierenden Funktionen aus Funktionsbeschreibung Verschl sselung R Installiert den Systemmodus f r eine FIPS140 2 E v Sicherer automatischer Lo Konformit t E37 Server Anbindung X v SmartCard Auto Logon Biatan Diese Komponente wird auf der lokalen EM Festplatte installiert A Diese Funktion erfordert 261KB auf Ihrer Festplatte
325. ritte durchgef hrt werden m Ausgabeziel der Ereignisse festlegen m Ereignisse bestimmen die aufgezeichnet werden sollen m Protokollierte Daten anzeigen 29 4 1 Ziel festlegen Das Fehlschlagen bzw erfolgreiche Ausf hren von Ereignissen wird in so genannten Ausgabemodulen dokumentiert Die Protokollierung nennt die se Ausgabemodule Ziele Ziel kann die Windows eigene Ereignisanzeige oder eine selbstgew hlten Protokolldatei sein Ebenso ist die Protokollie rung von Ereignissen einer Arbeitsstation zur anderen m glich In ein Ziel schreibt die Protokollierung nur die Ereignisse die mit einem Utimaco Produkt verkn pft sind Ereignisanzeige EventLog Ein Werkzeug f r die Protokollierung der berwachungsinformationen ist die Windows Ereignisanzeige Die Ereignisanzeige kann Protokolle f r System Sicherheits und Anwendungs Ereignisse anzeigen und verwal ten sowie diese Ereignisprotokolle sichern Protokolldatei LogFile Zu Archivierungszwecken k nnen die SafeGuard Protokolldateien mit verschiedenen Werkzeugen z B MS Excel individuell aufbereitet und ausgewertet werden Fernprotokollierung Remote Log Aufgabe der Fernprotokollierung ist der Datenaustausch zwischen einer Zielarbeitsstation und einer entfernten Arbeitsstation in einem Netzwerk Dabei sammelt der Zielrechner in seiner Ereignisanzeige oder einer Pro tokolldatei Informationen Ereignisse die von der entfernten Arbeitsstati on per Fernprotokollierung
326. rn Sobald SafeGuard Easy installiert ist k nnen Algorithmen nicht mehr nachtr glich ge ndert werden Ein anderer Algorithmus erfordert eine Neuinstallation von SafeGuard Easy 144 11 8 Verschl sselungsstatus im Windows Explorer anzeigen Der Verschl sselungszustand der Laufwerke wird im Windows Explorer mit einem farbigen Schl ssel markiert Gelber Schl ssel bedeutet dass ein Laufwerk verschl sselt ist Roter Schl ssel bedeutet dass ein verschl sseltes Laufwerk gerade ent schl sselt wird oder umgekehrt a 314 Diskette A Arbeitsplatz Laufwerk ist verschl sselt y Markieren Sie ein Objekt um 1 i a seine Beschreibung __ Laufwerk wird momentan entschl sselt anzuzeigen Lokaler Datentr ger n a O verschl sselt Zeigt Dateien und Ordner m auf dem Computer an amp Siehe auch cD D Eigene Dateien 11 9 Image einer verschl sselten Festplatte erstellen Images von Festplatten werden in Unternehmen in der Regel zur Erstins tallation einer gro en Anzahl von PCs verwendet wenn z B 10 000 Note books einer Versicherung unter Verwendung eines Image Tools identisch aufgesetzt werden Desweiteren dienen Image Tools dazu an einzelnen PCs besch digte Partitionen per gespeicherter Image Datei von CD DVD zu restaurieren und das System wieder funktionsf hig zu machen In der Regel treten jedoch beim Erstellen von Images von verschl sselten Festplatten Partitionen Proble
327. rn Nicht erteilt A Verschl sselungseinstellungen ndern L Nicht erteilt EG Passwortregeln ndern Nicht erteilt G Benutzereinstellungen ndern Nicht erteilt g Boot Manager Einstellungen ndern Nicht erteilt Q Deinstallieren Nicht erteilt on externen Medien erlauben Erteit g Aktivierung der Arbeitsstationssperre ndern Nicht erteilt g Arbeitsstationseinstellungen ndern Nicht erteilt Q MBR Einstellungen ndern Nicht erteilt Abbrechen 388 27 6 2 Vorgehensweise 1 2 3 PC einschalten und System von der Festplatte booten Pre Boot Authentisierung erscheint SafeGuard Easy Zugangsdaten in Pre Boot Authentisierung eingeben a Boot Diskette einlegen Daten mit Eingabe best tigen b Boot CD einlegen Daten mit F7 best tigen Der PC startet neu vom externen Bootmedium Nach erfolgreichem Neustart ist es m glich auf Daten zuzugreifen oder diese zu sichern 27 6 3 Hinweise Das erfolgreiche Booten ber CD USB Stick ist abh ngig vom BIOS Support des PC Eine Beschreibung f r das Erstellen einer bootf higen Windows PE CD ist in unserer Wissensdatenbank http www utimaco de myutimaco abgelegt Nutzen Sie bitte die Suchfunktion der Wissensdatenbank um nach Stichworten wie BartPE oder SafeGuard Easy zu suchen Das Rescue and Recovery Feature Create Rescue Media erstellt bei installiertem SafeGuard Easy automatisch eine CD inkl Safe Guard Easy Treibern Die Op
328. rofil des Request Erstellers nicht erlaubt eine im Request eingetragene nderung am SafeGuard Easy Client durchzuf hren Wenn bereits eine Einstellung im Request nicht ausgef hrt werden kann wird der gesamte Request nicht ausge f hrt wenn aus bestimmten Gr nden keine Netzwerkverbindung zwischen SafeGuard Easy Client und SafeGuard Easy Server besteht In dringenden F llen R ckgriff auf das Verfahren mit Offline Clients empfohlen wenn Eintragungen im Request nicht mit den SafeGuard Easy Ein stellungen auf dem Client bereinstimmen z B Angabe eines fal schen SafeGuard Easy Passworts im Request f r einen SafeGuard Easy Benutzer Ein fehlgeschlagener Auftrag stoppt das Abarbeiten weiterer Auftr ge in der Warteschleife u a auch das Exportieren von Requestdateien f r Offline Clients Sobald der fehlgeschlagene Auftrag aus der Warteschleife entfernt oder neu eingereiht wurde Men Extras Fehlgeschlagene nderungen wer den alle anstehenden Requests wieder ausgef hrt SafeGuard Easy Administration Konsole Datei Bearbeiten Ansicht Gruppen Extras Hilfe Push Requests durchf hren Gruppen itsstati ii Arbstsstationen l Hem ee gene L schen Dr Wiederfestiegen I 31 8 5 Requestnamen ndern Um einem in der Registerkarte Requests angezeigten Request einen neuen Namen und Beschreibung zu geben ffnen Sie im Men Requests den Befehl Beschreibung ndern Die ge nderten Eintr ge werden so
329. rofildaten f r die Anmeldung an die Konfigurationsdatei enth lt Beispiel authFile D Token PWD Die verschl sselte Datei Token PWD enth lt die SafeGuard Easy Profildaten Erzeugt wird Token PWD mit dem Tool SGECP WF exe liegt auf der SafeGuard Easy CD im Tools Verzeichnis 3 SafeGuard Easy Create Password File User Name Helpdesk Password Filename D Token PwD Browse Cancel OK Skript ausf hren So f hren Sie ein Skript aus 1 208 Installieren Sie den Token Support und die Token Administration auf dem Aussteller PC Verbinden Sie f r Smartcard Anwendungen einen Smartcard Leser mit der Arbeitsstation Schreiben Kopieren Sie den kompletten aufgef hrten Skripttext in einen Editor und speichern Sie die Datei mit der Endung VBS z B Smartcard vbs Passen Sie die editierbaren Felder an Stecken Sie eine Smartcard in den Kartenleser einen Token an den Rechner an F hren Sie das Skript aus bspw durch einen Doppelklick im Windows Explorer Die Smartcard der Token wird mit den eingetragenen Daten ausgestellt 15 9 Mit Token an den Administrationswerkzeugen anmelden SafeGuard Easy besitzt f r administrative Aufgaben verschiedene Werk zeuge Administration Konfigurationsdateiassistenten Response Code Assistenten Bestimmte Aktionen innerhalb dieser Administrationswerk zeuge verlangen SafeGuard Easy Zugangsdaten z B die Anmeldu
330. rscheint die Benutzeroberfl che in Deutsch gleiches gilt f r Englisch und Franz sisch Die Online Hilfe ist immer in jener Sprache verf gbar die bei der Installation ausgew hlt war Die nderung der Regions und Sprachoptionen beeinflusst die Sprache der Online Hilfe nicht Startet man die Installation ber eine msi Datei ist die Sprache der Benutzeroberfl che immer Englisch Um andere Sprachen Deutsch Franz sisch zu unterst tzen m ssen sogenannte Transforms durchgef hrt werden Der Windows Installer nutzt Transformierungs Dateien um das Installationspaket automatisch auf die neue Sprache umzuschalten Derzeit gibt es folgende Transformierungs Dateien Sgeasy_g mst f r Deutsch und Sgeasy_f mst Franz sisch Um also angepasste Texte w hrend der Installation zu erhalten f hren Sie folgendes Kommando aus msiexec I lt Msi Package gt TRANSFORMS lt Transformierungsdatei gt Eine deutschsprachige Installation erfordert die Ausf hrung der folgenden Kommandozeile msiexec I Sgeasy msi TRANSFORMS Sgeasy g mst Beachten Sie dass der Parameter TRANSFORMS immer in Gro buch staben geschrieben werden muss SGEasy msi nutzt die Datei Setup ini in der zus tzliche Parameter definiert werden k nnen vorausgesetzt sie sind in der Syntax Cmd Line Parameter1 Parameter2 vorhanden Gleiches gilt f r die Installation des Laufzeitsystems Runtime msi und des SafeGuard Ea
331. rt Sektor f r den Kernelbereich definiert Ung ltiger Partitionstyp definiert Keine freien Cluster f r den Kernel gefunden Cluster konnten nicht als gebraucht markiert werden Cluster konnten nicht als gut markiert werden Cluster konnten nicht als unbenutzt markiert werden Cluster konnten nicht als schlecht markiert werden Cluster Informationen korrupt Der als bad markierte Bereich konnte nicht markiert werden Ung ltige Gr e des Kernelbereichs definiert Der MBR Sektor auf der ersten Festplatte konnte nicht ersetzt werden 520 SGOCA Fehler 1401 1402 1403 1404 1405 1406 Die angeforderten object communication area Informationen existieren bereits Die object communication area existiert bereits Die angeforderten object communication area Informationen existieren bereits Die object communication area konnte nicht gefunden wer den Die angeforderte object communication area Informationen existieren nicht Zus tzliche object information data gefunden SGUICL Fehler 1511 Die Komponenten Konfiguration konnte nicht geladen werden ADMLOGON Fehler 1601 1602 1603 1604 1605 Die Anmeldung war erfolglos Versuchen Sie es bitte noch ein mal Das PN Subsystem erlaubt nicht mehr als 5 Anmeldeversu che Sie m ssen den Rechner neu starten und die Anwendung neu starten Der Start der PN Logonkomponente schlug fehl Der Logon an PN w
332. rt nach Ver Entschl sselung ruft automatisch das Betriebssystem des Windows Systemlauf werks auf ohne den Bootmanager zu starten Dieses Verhalten tritt insbesondere bei einer Twinboot Installation und nach Er zeugen eines Kernelbackups mit dem Assistenten f r die Not falldiskette auf m Der Bootmanager ndert f r jede bootf hige prim re Partition die nicht gestartet wurde den Eintrag f r den Partitionstyp in der Partitionstabelle auf Hidden 48h Auch wenn der SafeGuard Easy MBR Bootcode mit dem Kommando FDISK MBR entfernt werden soll bleiben diese nderungen erhalten Grunds tzlich ist FDISK MBR mit gro er Vorsicht zu verwenden Um den Partitionstyp wiederherzustellen m ssen Sie SafeGuard Easy deinstallieren 14 6 Daten zwischen Bootpartitionen austauschen Sollte aus bestimmten Gr nden der Datenaustausch zwischen Gesch fts und Privatpartitionen n tig sein erm glicht dies die Einstellung Zugriff auf unverschl sselte Laufwerke in den Verschl sselungseinstellun gen amp SafeGuard Easy Konfigurationsassistent Allgemein Boot Manager i AES 128 Verschl sselung AES 128 i en Benutzer AES 128 Schl ssel Nicht Konfig Schl ssel Nicht Konfig Schl ssel Nicht Konfig Schl ssel Nicht Konfig Schl ssel Nicht Konfig Schl ssel Nicht Konfig U Zugiif auf unverschl sseite L Ja Steht diese Einstellung auf JA ist der
333. rwenden die ber die genannten mini malen Anforderungen hinausgeht Anzahl der Festplatten SafeGuard Easy unterst tzt maximal 4 Festplatten mit maximal 8 Partitionen pro Festplatte Es wird eine Warnung ausgegeben wenn ein nicht unterst tzter Partitionstyp gefunden wird 1 6 Dokumentation SafeGuard Easy wird mit diesem Handbuch und der Onlinehilfe SGEasy0407 chm ausgeliefert 1 7 Allgemeine Hinweise Die Funktion Schneller Benutzerwechsel von Windows XP wird von SafeGuard Easy nicht unterst tzt Nach der Installation von SafeGuard Easy wird der Willkommen Bildschirm automatisch ab geschaltet Wenn der PC in ein Peer to Peer LAN integriert ist d rfen Teile von Festplatten nicht f r andere Benutzer dieses LAN freigegeben werden Festplattenver und entschl sselung sind automatisch gegen Stromausf lle u abgesichert Bei Wiederherstellung der Strom versorgung wird der Vorgang ohne Benutzereingriff automatisch an der richtigen Stelle fortgesetzt HINWEIS Die Erstverschl sselung von hot pluggable Festplatten darf nicht unter brochen werden Bei kurzzeitigem Verlassen des PC sollte die Windows Bildschirm sperre Schaltfl che Arbeitsstation sperren aktiviert beil ngerer Abwesenheit der PC ausgeschaltet bzw neu gebootet werden 18 Bei korrekter Einstellung der empfohlenen Systemkonfiguration wird der logische Zugriff auf Festplatten nach dem Booten von Dis kette verhindert
334. s Start Herunterfahren Client 5006 Arbeitsstation hat sich registriert Nicht Konfiguriert IR ne haen Client 5007 nderungsanforderung importiert Nicht Konfiguriert 1 Ki Ben au f AA augen Client 5008 nderungsergebnis exportiert Nicht Konfiguriert araen ian Si Client 5009 Kein Server definiert Nicht Konfiguriert E Softwareeinstellungen 4 2 Su i Client 5010 Ausnahmeverletzung aufgetreten Nicht Konfiguriert Windows Einstellungen En sai Administrative Vorlagen Server 5401 Report einer nderungsanforderung Nicht Konfiguriert Server 5402 Report lokaler nderungen Nicht Konfiguriert Server 5403 Arbeitsstation Registrierung Nicht Konfiguriert Server 5404 nderungsanforderungen gesendet Nicht Konfiquriert Server 5405 nderungsanforderungen abgeholt Nicht Konfiguriert Server 5406 nderungsanforderungen exportiert Nicht Konfiguriert ber den Filtermechanismus ist es m glich Ereignisse sortiert nach Warnstufe anzuzeigen unabh ngig von der Anwendung durch die sie ausgel st werden z B alle kritischen Ereignisse Grupp ass arsch e gt Alme Richtlinien f r Lokaler Computer B EN Computerkonfiguration Softwareeinstellungen B E windows Einstellungen 8 SafeGuard 2 Ziele By Alarm E Kritisch Fehler 2 Warnung BR Information P 5 Sie wechseln die Ansichten ber die Icons u und 2 f 29 6 Protokollierte Ereignisse ansehen Protokollierte Ereignisse k nnen in der Er
335. s abgelegt werden kann Diese Datei enth lt die Spalten berschriften plus markierter Registerkarteneintr ge m Der Unterpunkt Daten kopieren parkt die markierten Register karteneintr ge ohne Spalten berschriften in der Zwischenabla ge Die Zwischenablage kann in jedes beliebige Programm eingef gt werden 454 31 3 Aktuelle Konfiguration eines registrierten SafeGuard Easy Clients anzeigen Sobald sich SafeGuard Easy Client und SafeGuard Easy Server erfolg reich authentisiert haben darf der an der Administrationskonsole ange meldete Benutzer die SafeGuard Easy Einstellungen des Clients einsehen Zum berpr fen aktueller Einstellungen oder zur Vorbereitung von nderungen ist es immer ratsam sich zun chst einen berblick ber aktuelle Konfigurationen zu verschaffen Desweiteren l sst sich auch ber diese Funktion leicht kontrollieren ob Requests tats chlich erfolgreich auf Clients ausgef hrt wurden oder nicht 1 Wechseln Sie in die Registerkarte Arbeitsstation und w hlen einen SafeGuard Easy Client aus 2 Das Men Arbeitsstation Konfiguration anzeigen w hlen 3 Eserscheint ein Fenster mit vier Registerkarten die identisch sind mit den Bezeichnungen in der SafeGuard Easy Administration n mlich Allgemein Verschl sselung Bootmanager und Benutzer Jede Registerkarte zeigt die SafeGuard Easy Konfiguration am ausgew hlten Client Konfigurationsanzeige Arbeitsstation WKS01 Allgemein Boo
336. s und SafeGuard Easy funktioniert nicht 5 Update Haben Sie bereits eine Vorg ngerversion von SafeGuard Easy auf Ihrer Arbeitsstation installiert k nnen Sie bequem einen Versionswechsel durchf hren Bereits getroffene Einstellungen Benutzername Benutzer passwort etc bleiben erhalten Ein Update ist ab Version 4 11 Buildnummer 4 11 0 138 m glich Ein Update wird entweder w hrend der Installation der neuen Version ge startet oder automatisch mit Hilfe einer vorkonfigurierten Migrationsdatei durchgef hrt In beiden F llen kommt der Migrationsassistent zum Ein satz 5 1 Lokales Update So f hren Sie ein Update durch 1 Auf der SafeGuard Easy CD in das Verzeichnis CLIENT wechseln und das Setup starten 2 SafeGuard Easy entdeckt dass bereits eine ltere Version auf einer Arbeitsstation installiert ist und zeigt dies in einem Dialog an E SafeGuard Easy Setup Willkommen beim SafeGuard Easy Installationsassistenten Eine ltere Version von SafeGuard Easy ist bereits installiert Die Installation wird ein Upgrade durchf hren 3 Ein Pr fprogramm analysiert die Konsistenz des Systemkerns Safetsuard Easy Setup Willkommen beim SafeGuard Easy Installationsassistenten Das Dateisystem wird analysiert Bitte warten 4 Ist der Systemkern in Ordnung verl uft das Update problemlos und der Willkommen Bildschirm erscheint Ist der Systemkern nicht in Ordnung muss er repari
337. s ver ndert werden Je h her der gew hlte Prozentsatz desto schneller wird verschl sselt em Gesch tzte Gesamtzeit 10 37 05 Prozentsatz UT ou Schieberegler nderungen der Verschl sselungsgeschwindigkeit speichert SafeGuard Easy nicht nach einem Neustart des PCs steht der Schieberegler wieder auf der h chsten Stufe Standard 100 Festen Wert f r Verschl sselungsgeschwindigkeit definieren Die Verschl sselungsgeschwindigkeit kann so angepasst werden dass sie bei jedem Neustart auf einen bestimmten Wert in Prozent gesetzt wird Um dies zu erreichen erzeugen Sie folgenden Registry Key DWORD Wert neu HKEY_LOCAL_MACHINE SOFTWARE Utimaco SGEasy DefaultCPUUsage lt Prozentwert gt Wenn der Registry Key vorhanden ist wird die Verschl sselung mit dem angegebenen Prozentwert beim Neustart fortgesetzt Der Prozentwert kann jedoch nach oben und unten ber den Schieberegler ver ndert werden Maximale Verschl sselungsgeschwindigkeit definieren Ale Gesch tzte Gesamtzeit 10 37 05 Maximale Verschl sselungs 1 75 geschwindigkeit a m er f Schieberegler a Die Verschl sselungsgeschwindigkeit kann auf einen Wert kleiner 100 Prozent begrenzt werden Um dies zu erreichen erzeugen Sie folgenden Registry Key DWORD Wert neu und geben einen Prozentwert ein z B 75 HKEY_LOCAL_MACHINE SOFTWARE Utimaco SGEasy MaxCPUUsage lt
338. sch tzt m Die Sicherungen bzw Sicherungskopien werden in der Standard einstellung unter C RRUbackups gespeichert Dieses Verzeichnis wird wenn es sich auf der lokalen Partition des prim ren Festplat tenlaufwerks befindet durch Rescue and Recovery gesch tzt da mit es nicht gel scht oder verschoben wird Bei der Installation von Rescue and Recovery und SafeGuard Easy ist die Installationsreihenfolge von Bedeutung Bitte beachten Sie unbedingt die Anweisungen in den folgenden Kapiteln 24 3 1 Weder SafeGuard Easy noch Rescue and Recovery sind installiert 1 Alle Rescue and Recovery mit Rapid Restore Versionen kleiner 4 0 deinstallieren 2 Rescue and Recovery installieren 3 SafeGuard Easy ab Version 4 10 installieren SafeGuard Easy pr ft ob die richtige Version von Rescue and Recovery installiert ist und f gt seine Dateien und Einstellungen in die Lenovo Notfall Umgebung ein Bitte stellen Sie sicher dass die Pre Boot Authentisierung aktiviert ist so dass kein Unbefugter unautorisiert beliebige Backups restaurieren kann Die Pre Boot Authentisierung wird w hrend der Installation oder sp ter in der Administration eingeschaltet ber den Ordner Allgemein Passworteinstellungen Passwort beim Systemstart abfragen 24 3 2 Nur SafeGuard Easy ist bereits installiert SafeGuard Easy ab Version 4 10 ist installiert 1 Rescue and Recovery installieren 2 Vor dem Reboot aus dem SafeGuard Easy Verze
339. schalten Wechselmedienverschl sselung schalten F r das Setzen eines tempor ren Schl ssels Diskettenschl ssel tempor r ndern Wechselmedienschl ssel tempor r ndern Benutzerrechte konfigurieren x Die Liste zeigt alle f r den angemeldeten Benutzer verf gbare Rechte an die dem ausgew hlten Benutzerprofil zugeordnet werden k nnen Ausgew hlter Benutze User Benutzerrechte wechselmedienschl ssel tempor r ndern C Diskettenschl ssel tempor r ndern Diskettenverschl sselung schalten wechselmedienverschl sselung schalten Schl ssel ndern g Verschl sselungseinstellungen ndern g Passwortregeln ndern g Benutzereinstellungen ndern C Boot Manager Einstellungen ndern Deinstalieren Erteilt Erteilt Erteilt Erteilt Nicht erteilt Nicht erteilt Nicht erteilt Nicht erteilt Nicht erteilt Nicht erteilt 21 2 Verschl sselung schalten Der Verschl sselungsstatus wird ber den Windows Explorer geschaltet SafeGuard Easy erweitert dazu das Windows Explorer Kontextmen um den Eintrag Verschl sselung Wenn Sie mit der rechten Maustaste auf ein verschl sseltes Laufwerk klicken wird ein Kommando zum Einschalten Ausschalten der Verschl sselung eines Disketten oder Wechselmedienlaufwerks angezeigt gi 4 2 BEER Lobalar Natantr ner Arbeitsplatz Explorer ffnen 31 Diskette A CO Suchen 3 D
340. schen entfernt aktive Ziele 5 Klicken Sie bernehmen und dann OK 402 Mehrfachselektion Es k nnen auch mehreren Ereignisse Ziele ausgew hlt werden Dies ge schieht mit Hilfe der Mehrfachselektion W hlen Sie ber die gewohnten Windows Mechanismen Strg und Um schalt Taste mehrere Ereignisse aus Im Kontextmen gehen Sie auf Ei genschaften und geben Status und Ziel an siehe Abbildung auf Seite_ 402 Nach einem Klick auf OK werden die getroffenen Einstellungen auf alle selektierten Ereignisse angewandt 29 5 1 Alle Ereignisse konfigurieren ber den Befehl Alle Ereignisse konfigurieren werden in einem Arbeits schritt Ereignisse mit identischen Einstellungen konfiguriert Klicken Sie auf den Ordner Protokollierung oder einen Unterordner z B SafeGuard Easy Vorgang Ansicht e s Elm EX ur 2 Struktur Typ kategorie m E Richtlinien f r Lokaler Computer inform Arbeitsstatio 5301 p 5 3 Computerkonfiguration Q alarm Arbeitsstatio 5302 P E Softwareeinstellungen inform Arbeitsstatio 5303 P E windows Einstellungen inform Arbeitsstatio 5304 E SafeGuard inform Client 5001 E Protokollierung Inform Client 5002 G Ziele inform Client 5003 Safe EEA s04 sS 4 A Universal Token Int O rO 5005 L a Skripts Start Herunterf ansicht
341. sefehler Festplatten Schreibfehler Ung ltige Partitionstabelle auf Festplatte 0 Inkompatibles ROM BIOS Ung ltiger Bootsektor Volume kann nicht gelockt werden Schreibschutzfehler Unbekannte Einheit Laufwerk amp 0 nicht bereit Unbekannter Befehl Daten Checksummenfehler Bad request structure length Suchfehler Unbekannter Medientyp Sektor nicht gefunden Drucker hat kein Papier mehr Schreibfehler Lesefehler Genereller Fehler Nicht gen gend Speicherplatz Divisionsfehler an Programmadresse amp 0 Runtime stack overflow Verschl sselungstreiber nicht installiert Inkorrekte Version des Verschl sselungstreibers Kommandozeilenargumente ung ltig Kein Schl ssel f r die Verschl sselung definiert Unbekannter Fehler 508 System API Fehler 1001 1002 1003 1004 1005 1006 1007 1008 1009 1010 1011 1012 Dateifehler 1031 1032 1033 1034 1035 1036 1037 1038 1039 1040 Kein Subsystem aktiv Unzul ssige nderung einer Systemeinstellung Verschl sselungsalgorithmus fehlt oder ist ung ltig Interner Fehler im Subsystem entdeckt Das Subsystem meldet einen I O Fehler Zugriff auf den Kernel nicht erfolgreich Ein Benutzer hat sich bereits an FILE LINK SGE_INFO DLL MSGLINK 102 angemeldet Ein ung ltiger Benutzer wurde angelegt Die Zuweisung definierter Rechte an den Benutzer ist nicht er laut Angelegter Benutzer existiert bereits Das ver
342. seln 0000000000s ren 11 6 Schl ssel u a 11 6 1 Schl sselmanagement 000000 11 6 2 Schl sselerzeugung 0000000000000000000000 11 6 3 Schl ssell nge s000s000000000sssnseseneeee 11 6 4 Triviale Schl ssel esss0000rss0000000sereennnnn nee 11 6 5 Zufallsschl ssel 2 rses000000rss00n00nossreennnnn nee 11 6 6 Schl ssel definieren 0 00s0sssss ses er 000000 11 6 7 Schl ssel ndern sss0000ssrses000oreeeenn 000 11 7 Algorithmen 000000000000sssssssssenssssssnsensnnnee 11 7 1 Algorithmus w hlen 000000000 000000000000 11 7 2 SafeGuard Easy Algorithmen 11 7 3 Algorithmus ndern ssr0000ssessssnneeennns 11 8 Verschl sselungsstatus im Windows Explorer ANZEIgEeN ine Bess 131 132 134 134 135 137 137 138 138 139 139 139 140 141 141 141 144 145 12 13 11 9 Image einer verschl sselten Festplatte erstellen 0s000sse00rsennenern ne 146 Benutzerprofile erstellen 149 12 1 Festlegen von Verwaltungsaufgaben 150 12 2 Vordefinierte Benutzer 0000rre0000eoeerernn 151 12 2 1 Der Benutzer SYSTEM s0000rr000esreenseeeee 151 12 2 2 Der Benutzer USER s 00ss00000rressesseesseeenn 151 12 2 3 Der AUTOUSER 0ssrss00000srreensnnsereeresnneeee 152 12 3 B
343. selung mit 128 bit Schl sseln unterst tzen Dazu muss berall das High Encryption Package von Microsoft installiert sein Ob dies auf einem PC der Fall ist er f hrt man u a ber den Internet Explorer Men Hilfe Info Ver schl sselungsst rke Das High Encryption Package ist bei Windows XP standardm ig installiert bei Windows 2000 ab dem Service Pack 2 424 m Ports Client und Server kommunizieren ber den RPC DCOM Dienst von Microsoft Es kann frei definiert werden ber welchen Port bzw welches Protokoll die Kommunikation ablaufen soll Wenn Sie eine Firewall einsetzen m ssen Sie die Ports an ihrer Firewall freischalten ber die Client und Server kommunizieren sollen 426 30 3 1 SafeGuard Easy Server Datenbank installieren Der Rechner der die SafeGuard Easy Datenbank h lt ist das Kernst ck der zentralen Administration und sollte als erstes eingerichtet werden bzw es sollte zumindest der Rechnername bekannt sein um ihn an die SafeGuard Easy Clients weitergeben zu k nnen Der SafeGuard Easy Server kann sich auf einem physikalischen Netz werkserver oder auf einer beliebigen Arbeitsstation im Netz befinden Vo raussetzung f r die Anbindung eines Clients an die zentrale SafeGuard Easy Datenbank ist dass ein entsprechendes Netzwerkprotokoll auf allen Arbeitsstationen installiert und aktiv ist Mit Installation der Server Komponente wird keine Anwendung installiert sondern nur ein
344. sich ber Konfigurationsdateien l sen In Netzwerkumgebungen schickt der Administrator die Konfigurationsdateien an die Benutzer PCs und l sst sie dort ohne Benutzerinteraktion ausf hren Nach Ausf hren derselben Konfigurationsdatei an mehreren PCs arbeitet SafeGuard Easy an diesen Rechnern mit der gleichen Konfiguration Eine Konfigurationsdatei ist systemunabh ngig kann also auch auf ande ren Systemen als jenem auf dem sie generiert wurde eingesetzt werden Nur die auf den verschiedenen Systemen verwendete SafeGuard Easy Version muss identisch sein HINWEISE Um eine Konfigurationsdatei zu erzeugen m ssen Sie nur die Adminis trationswerkzeuge installieren Beim Erzeugen einer Konfigurationsdatei wird SafeGuard Easy nicht auf Ihrem Rechner installiert Konfigurationsdateien sollten wie alle Elemente einer Systemadminis tration vor unbefugtem Zugriff gesch tzt und z B Benutzern nicht zu g nglich gemacht werden 8 4 1 Konfigurationsdateien aus lteren SafeGuard Easy Versionen wiederverwenden Konfigurationsdateien aus lteren Versionen lassen sich problemlos einle sen und weiterbearbeiten vorausgesetzt die Dateien m wurden mit einem Konfigurationsdateiassistenten ab SafeGuard Easy 3 20 erstellt m besitzen den Dateityp Installieren Beim Laden einer lteren Datei zeigt SafeGuard Easy selbstverst ndlich auch die neuen Konfigurationsm glichkeiten automatisch auf neu seit Version 3 20 ist
345. siskonfiguration 3 Mit einem Klick auf Weiter wird die Konfigurationsdatei gelesen 4 Die darin abgespeicherten Einstellungen werden angezeigt und k nnen ver ndert werden Wird versucht eine Datei mit der Eigenschaft ndern oder Entfernen aufzurufen wird eine Fehlermeldung ausgegeben 8 4 8 _Anwendungsbeispiele Beispiel 1 Erzeugen Sie im Konfigurationsdateiassistenten eine Datei mit der SafeGuard Easy ohne Benutzerinteraktion auf mehreren Arbeitsstationen eines Unternehmens installiert werden kann Die Konfigurationsdatei soll zus tzlich ein hierarchisches Administrationskonzept unterst tzen und folgende Benutzerprofile beinhalten m SYSTEM SafeGuard Easy Administrator der alle Rechte besitzt m SUBADMIN Unterverwalter an den administrative Aufgaben delegiert werden er darf Benutzereinstellungen ndern und die Diskettenverschl sselung schalten m USER Endbenutzer der ber keine Rechte verf gt Vorgehensweise 1 o e O Konfigurationsdateiassistent starten Konfigurationsdateityp Installieren w hlen Keine Basiskonfiguration w hlen Verschl sselungsmodus Festplatten Verschl sselung w hlen Unter Allgemein die Option Passwort beim Systemstart abfragen w hlen Unter Benutzer folgende Einstellungen treffen m SYSTEM Passwort System Rechte Alle m SUBADMIN Subadmin Verk rzten C R Code erzeugen JA Rechte Benutzereinstellungen n
346. soll Der Finger muss bereits ber die Thinkvantage Fingerprint Software enrollt worden sein 12 Die Pre Boot Authentisierung erscheint Geben Sie nun die SafeGuard Easy Zugangsdaten ein die zur Authentisierung mit Fingerabdruck verwendet werden SafeGuard Easy 240 13 Verkn pfen Sie ber die Taste F6 einen weiteren Finger mit den SafeGuard Easy Zugangsdaten f r den Fall dass der Erste nicht erkannt wird z B wegen einer Verletzung 14 Die Verkn pfung mit den Fingern ist nun hergestellt Bei jedem Neustart des PCs Notebooks gen gt nun das Pr sentieren eines enrollten Fingers zur Anmeldung an SafeGuard Easy und Windows HINWEISE Benutzer brechen mit der Taste Esc die Fingerabdruck Anmeldung ab und melden sich mit SafeGuard Easy Benutzernamen und Passwort an Der Abbruch ber Esc ist notwendig wenn m die Fingerabdruck Authentisierung installiert wird an den PC das Notebook aber kein Fingerabdruckleser angeschlossen ist m sich der Benutzer nicht mit Fingerabdruck anmelden kann oder der Fingerabdruck Leser defekt ist ber die Taste Esc geht er zur ck in die Pre Boot Authentisierung Dort kann er sich wie gewohnt mit SafeGuard Easy Benutzernamen und Passwort nur Passwort f r Standardbenutzer anmelden 16 4 SafeGuard Easy Passwort ndern Benutzer ndern ihr Passwort m in der Pre Boot Authentisierung m in der SafeGuard Easy Administration So ndern Sie das Passwort in der P
347. sossssosseee 471 31 7 1 Filter konfigurieren 0000000000eeseennnn 471 31 7 2 Filter aktivieren sseessesesseessssossssossssosssessseese 473 31 8 Requests und Warteschleifen 474 31 8 1 Requests erstellen r000000sssre0nneenn 475 31 8 2 Neuen Request erstellen 00 476 31 8 3 Bestehende Konfigurationsdatei als Request verwenden 0 0000000000ssssnsnenenee 477 31 8 4 Fehlgeschlagene Requests 478 31 8 5 Requestnamen ndern 479 31 8 6 Request l schen ssssssssssssseseoeoeeessessssesssssse 479 31 8 7 Warteschleife anzeigen 479 31 9 Status eines SafeGuard Easy Clients 481 31 9 1 Status Standard Online 482 31 9 2 Status Offline cececeeeesesesesesesenesensssnnenenenene 483 31 9 3 Status Push ein 000000000eennnene 484 31 9 4 Status Push aus 022000200eseeeeeeeeenenennn 486 31 9 5 SafeGuard Easy Client in den OFFLINE Modus schalten s000ss00000ss00000 000000000 486 31 9 6 Konfigurationsupdates f r Offline Clients in der Administrationskonsole erzeugen 488 31 9 7 Konfigurationsupdate auf Offline Client einspielen mit SGETRANS sesessesssssssssssssosos 491 31 10 Systemkern automatisch sichern 492 31 10 1 Systemkern eines SafeGuard Easy Clients im Verzeichnis BACKUPS ablegen
348. sprechender Konfiguration der Token bzw der Sichere Automatische Logon SAL m In einem Unternehmen kann ein hierarchisches zentralisiertes Administrationskonzept eingef hrt werden z B f r die Erstellung von Konfigurationsdateien m In einem Unternehmen bleibt dem regul ren Benutzer das SafeGuard Easy Benutzerkonzept verborgen weil er seine SafeGuard Easy Zugangsdaten nicht wei m Kennt der Benutzer die SafeGuard Easy Zugangsdaten nicht kann die fehlende bereinstimmung zwischen SafeGuard Easy und Windows Benutzer beseitigt und die Zahl der SafeGuard Easy Benutzer pro Arbeitsstation auf eine beliebige Anzahl erh ht werden Rollenbasierendes Konzept Mit dem rollen basierenden Zugriffskonzept k nnen Sie das SafeGuard Easy Benutzer Limit von maximal 15 Benutzern pro Arbeitsstation umgehen Benutzer wissen in einer Rollenumgebung nur ihr Token Passwort die SafeGuard Easy Zugangsdaten kennen sie nicht Stellt der Administrator etwa eine beliebige Anzahl an USB Token aus die dieselbe SafeGuard Easy Zugangsdaten enthalten k nnen sich beliebig viele Token Besitzer eine mit SafeGuard Easy gesch tzte Arbeitsstation teilen Unterschiedliche Windows Zugangsdaten garantieren jedem Benutzer seinen individuellen Desktop 192 Mit SafeGuard Easy gesch tzter PC SGE Rolle User SGE Passwort utimaco Token 1 SGE Rolle User SGE Passwort utimaco Token Passwort 1234 Token 2 SGE Rolle User SGE Passwort utimaco
349. sselmanagement speichert Schl ssel auf sichere Weise Alle Schl ssel werden in einem verschl sselten Bereich des SafeGuard Easy Systemkerns aufbewahrt und mit einem Verschl sselungsschl ssel dem sogenannten KEK von key encryption key verschl sselt Der KEK selbst ist nicht auf der Festplatte abgelegt sondern wird aus dem SafeGuard Easy Passwort erzeugt 11 6 2 Schl sselerzeugung Ohne korrektes Passwort sind die Schl ssel nicht zug nglich und demzu folge auch nicht die Daten auf Festplatte Diskette oder Wechselmedium Ist die Pre Boot Authentisierung eingeschaltet werden die Schl ssel zum Entschl sseln der Laufwerke nur erzeugt wenn korrekte SafeGuard Easy Zugangsdaten an der Pre Boot Authentisierung eingegeben werden Ist die Pre Boot Authentisierung ausgeschaltet werden die Schl ssel einweg verschl sselt und auf der Festplatte gespeichert Die Verschl sselung und das Schl sselmanagemernt ist trotzdem absolut identisch zur Auswahl Pre Boot Authentisierung eingeschaltet Die Handhabung des Passworts bzw des Scan Codes allerdings nicht Anstatt in der Pre Boot Authentisierung darauf zu warten dass ein Benutzer Benutzernamen und Passwort manuell eintippt verf gt SafeGuard Easy ber diese Daten Dazu legt SafeGuard Easy immer dann wenn die Pre Boot Authentisierung ausgeschaltet wird einen Benutzer AUTOUSER an und kreiert f r diesen ein Zufallspasswort Dieses Passwort wird in verschiedene Te
350. starten 2 Das Pr fprogramm SGelnteg startet im Hintergrund analysiert den Systemkern und stellt fest dass dieser nicht in Ordnung ist 3 Es erscheint eine Dialog Meldung SGElnteg Das Dateisystem ist inkonsistent Die SafeGuard Easy Migration schlug fehl Bitte lesen Sie im SafeGuard Easy Benutzerhandbuch nach wie Sie den Fehler mittels SGElnteg R reparieren k nnen A Info zu Installationsprogamm x Fehler 2006 SGElnteg Das Dateisystem ist inkonsistent und die SafeGuard Easy Migration schlug fehl Bitte lesen Sie im Safe uard Easy Benutzerhandbuch nach wie Sie den Fehler mittels SGElInteg exe R reparieren k nnen 68 Das Setup bricht an dieser Stelle ab Bei einer automatischen Installation wird die Fehlernummer 2006 in die Windows Installer Protokolldatei geschrieben Protokollierung muss eingeschaltet sein 4 ber die Kommandozeile SGElnteg R aufrufen SGElnteg befindet sich auf der SafeGuard Easy CD im Verzeichnis Tools SGeElnteg repariert Dateien und Dateisystem in zwei Stufen Zun chst werden alle Dateifehler korrigiert die keinen Neustart verlangen Werden Dateifehler mit Neustart Forderung entdeckt st t SGElnteg die berpr fung der Festplatte Chkdsk an Stimmt der Benutzer einem Neustart des Rechners zu wird Chkdsk ausgef hrt 5 3 2 ber das Reparaturprogramm Das Reparaturprogramm SGelnteg startet automatisch beim Update zur aktuellen SafeGuard Easy Versio
351. sten Kommandos v l n r SI ET TE Speichern Speichert neue Einstellungen Verlangen ge nderte Einstellungen nach einem Neustart wird ein Dialog angezeigt Arbeitsbereich Erlaubt die Administration bei der n chsten Anmeldung wieder so vorzufinden wie sie verlassen wurde gleiche Gr e Position des Fensters gleiche Konfigurationsseite etc Hilfe Zeigt die Onlinehilfe an Plus Minus Zeichen Das Plus Zeichen zeigt im rechten Fenster alle untergeordneten Einstellungen das Minuszeichen minimiert die Ansicht auf die Ein stellungs berschriften Benutzer anlegen F gt einen neuen Benutzer hinzu Anzeige abh ngig vom Rechte profil des angemeldeten Benutzers Benutzer kopieren Dupliziert einen vorhandenen Benutzer Anzeige abh ngig vom Rechteprofil des angemeldeten Benutzers Benutzer l schen Entfernt den Benutzer aus der Liste Anzeige abh ngig vom Rech teprofil des angemeldeten Benutzers Passwort ndern Erlaubt dem angemeldeten Benutzer sein Passwort zu ndern All diese Kommandos sind auch ber die verschiedenen Men s Datei Ansicht Benutzer Extras Hilfe aufrufbar 96 8 4 Konfigurationsdateiassistent Die einzige Aufgabe des Konfigurationsdateiassistenten ist es Dateien zu erzeugen mit deren Hilfe die Installation und Deinstallation von SafeGuard Easy automatisiert werden kann Auch administrative Aufgaben wie das ndern einer bestehenden SafeGuard Easy Installation lassen
352. ster 2 le i Vorgang ansicht Extras e gt Bm FARB AI HN OEM Struktur Benutzernamen 2 Elemente Konsolenstamm Standa BuLTIN Administrators wWindows G Zulassen master Germar Wisa Standard Zulassen master Germar SQL Server Anmeldungseigenschaften Neuer Benutze 3 xj Allgemein Serverrollen Datenbankzugrif Name helpdesk E Authentifizierung Windows Authentifizierung Dom ne z Sicherheitszugriff Ei Microsoft SQL Servers E 3 SQL Server Gruppe B Z gt AST YM W2K ENG Windows NT H Datenbanken amp I Data Transformation Services H A Verwaltung E Replikation B Sicherheit EP Benutzernamen E g Verbindungsserver g Remoteserver H E Unterst tzungsdienste Meta Data Services Zugnitf gew hren F Zuaniff verweigern SQL Server Authentifizierung Kennwort GE Standard Standardsprache und Standarddatenbank f r diesen A Benutzernamen angeben Datenbank Abbrechen Hilfe H DESIREN gt In der Registerkarte Datenbankzugriff als zugelassene Rollen public und owner markieren public 1 db_accessadmin IX db_securityadmin a db ddadmin 30 4 3 Neue leere SafeGuard Easy Datenbank auf dem SafeGuard Easy Server registrieren 1 SafeGuard Easy Server installieren durch Aufrufen der Datei Server msi aus dem SERVER Verzeichnis der Produkt CD Optional kan
353. sts l Entwicklung Alle Entwickler PCs Marketing Alle Marketing PCs Vertrieb Alle Vertrieb PCs 452 Requests Zeigt eine Liste aller erstellten Konfigurations nderungen die auf SafeGuard Easy Clients ausgef hrt wurden werden i SafeGuard Easy Administration Konsole Server SERYERO1 Datei Bearbeiten Ansicht Requests Extras Hilfe Gruppen Arbeitsstationen Requests Benutzer Miller einf gen nderung nderung festlegen Erstellen 15 09 2005 12 24 41 Passwortgenerationen ndern Anderung nderung festlegen Erstellen 15 09 2005 12 53 41 Die wichtigsten Kommandos f r eine Arbeitsstation Gruppe oder einen Request sind in deren Kontextmen verf gbar All diese Kommandos sind auch ber die verschiedenen Men s Arbeitsstation Gruppen Requests aufrufbar Die Men s werden entsprechend der Wahl der Registerkarte angezeigt Aktive Registerkarte Arbeitsstation zeigt Men Arbeitsstation an etc ig SafeGuard Easy Administration Konsole Server SERYERO1 Datei Bearbeiten Ansicht Arbeitsstationen Extras Hilfe Gruppen Arbeitsst tionen Requests l Konfiguration anzeigen Beschreibung ndern Gruppenzugeh rigkeit konfigurieren Queue Details anzeigen Fernadministration ffnen Zu Gruppen zuweisen Yon Gruppen entfernen Status ndern zu gt nderung festlegen gt Auf anderem Server registrieren Arbeitsstationen l schen Entf Sobald mehrere Ar
354. sworteingabe verdecken 0 13 4 3 Mindestl nge der Passw rter 000 13 4 4 Mindestalter der Passw rter 13 4 5 Passwortgenerationen 0s0ssssserererere 0000 13 4 6 Mindestanzahl an Buchstaben Zahlen Symbolen 00sss0000s0000ssr0n00 000 13 4 7 Gro Kleinschreibung verwenden 13 5 Verbotene Passworte sssessseessssessscosssecssesosse 13 5 1 Verbotene Passworte definieren 13 5 2 Passwortliste importieren ee 13 6 Benutzerspezifische Passwortregeln 13 6 1 Passwortwechsel erlauben 0 13 6 2 Passwortwechsel nach n Tagen 13 6 3 Passwort nderung bei n chster Anmeldung 13 7 Passwort definieren r 0ssrr0se rer 00re rer 14 1 Funktionsweise 00s0s0000000s0onnnnnnnsnssnnennnnnnee 14 2 Voraussetzungen sssnssssssssssssssssssssnnnnnnnnn 14 3 Beispiel un sind sts 14 4 Twinboot konfigurieren 00000000000000000 14 5 Bootmanager konfigurieren 000 000 14 5 1 Allgemeine Einstellungen 14 5 2 Startlaufwerke 0000000000000000nssesseeeenenennnne 14 6 Daten zwischen Bootpartitionen austauschen 168 169 171 172 172 172 172 173 174 174 175 175 176 177 177 178 178 179 14 Twinboot Bootmanager rrrrrereeee 181 181 182 183 184 186 186 187 190
355. swortfehler 1181 1182 1183 1184 1185 1186 1187 1188 1189 1190 Kein Systemverwalterpasswort definiert Unbekanntes Passwort Kein Passwort definiert Definiertes Passwort ist zu kurz Definiertes Passwort ist zu lang Definierte Passworte stimmen nicht berein Das Passwort ist trivial nWollen Sie ein anderes Passwort ein geben Das vergebene Passwort existiert f r einen anderen Benutzer Wollen Sie das Passwort dennoch verwenden Das vergebene Passwort enth lt nicht die geforderte Anzahl von Buchstaben Sonderbuchstaben Ziffern und Symbolen Das Passwort hat noch nicht sein definiertes Mindestalter er reicht Schl sselfehler 1201 1202 Kein Festplattenschl ssel angegeben n nDie Festplattenver schl sselung kann nur gesetzt werden wenn ein Festplatten schl ssel angegeben wurde Kein Diskettenschl ssel angegeben n nDie Diskettenver schl sselung kann nur gesetzt werden wenn ein Disketten schl ssel angegeben wurde 1203 1204 1205 1206 1207 1208 1209 1210 IPC Fehler 1221 1222 1223 1224 1225 1226 1227 1228 1229 1230 1231 516 Kein Ger teschl ssel angegeben n nDie Ger teverschl sse lung kann nur gesetzt werden wenn ein Ger teschl ssel an gegeben wurde Der definierte Schl ssel ist zu lang Der definierte Schl ssel ist zu kurz Die angegebenen Schl ssel stimmen nicht berein Kein Schl ssel definiert Der Modus Bootschutz verl
356. sy Gruppen denen die Arbeitsstation im Rahmen der zentralen Administration zugeordnet wird wenn sie sich am SafeGuard Easy Server registriert Der Parameter kann nur verwendet werden wenn die Komponente Server Anbindung unterst tzt die zentrale Administration auf einem Client gew hlt ist 58 GINASYS O 1 Definiert ob die SafeGuard Anmeldekomponente Utimaco Master GINA zur Kontrolle der Windows Anmeldung installiert werden soll In der Grundeinstellung wird die Utimaco Master GINA installiert GINASYS 1 ACHTUNG Wir empfehlen Ihnen die Utimaco Master GINA immer einzusetzen Das Utimaco GINA System ist ein wichtiger funktioneller Bestandteil von SafeGuard Easy Dem GINA System wird in Zukunft immer gr e re Bedeutung zukommen um neue Funktionalit ten zu implementie ren Ist die GINA nicht installiert werden bestimmte Funktionalit ten nach der Migration zu der neuen Version nicht zur Verf gung stehen Eine fehlende GINA kann sogar zuk nftige Migrationen beeintr chti gen Ohne die Utimaco Master GINA sind bestimmte Funktionen von SafeGuard Easy nach der Installation nicht verf gbar m Dialog f r Verschl sselung Entschl sselung wird nicht ange zeigt wenn der Benutzer nicht angemeldet ist m Sicherer automatischer Logon und Automatische Smartcard Anmeldung funktionieren nicht m Windows Anmeldung wird bei aktivem Sicheren Wake On LAN nicht blockiert m Passwortsynchronisierung zwischen Window
357. sy Servers SGEasy msi 24 3 Lokale Installation Bei einer lokalen Installation wird SafeGuard Easy von der Produkt CD auf einen Stand alone Client installiert Die folgenden Schritte zeigen wie man eine lokale Installation ausf hrt Der Benutzer der SafeGuard Easy installieren will muss mit Windows Administratorrechten angemeldet sein da hier auf die Festplatte zuge griffen werden muss bzw Treiber und Systemdienste installiert werden die ebenfalls Administratorrechte erfordern 26 3 1 Schritt f r Schritt Anleitung 1 Benutzen Sie eine Programm CD wird die Installation nach dem Einlegen der CD in das CD ROM Laufwerk automatisch gestartet sollte dies nicht der Fall sein rufen Sie die Datei Setup exe aus dem Verzeichnis CLIENT der Programm CD auf Ein Installations assistent f hrt Sie dann durch die Installation Klicken Sie auf Weiter Der Dialog Lizenzvertrag erscheint Wenn Sie sich mit den Lizenzbedingungen einverstanden erkl ren markieren Sie das Kontrollk stchen Ich akzeptiere den Lizenzvertrag Akzeptieren Sie die Lizenzbedingungen nicht wird die Installation beendet Klicken Sie auf Weiter Der Dialog Zielordner erscheint Geben Sie das gew nschte Installationsverzeichnis ein Das Standard Installationsverzeichnis ist Utimaco SafeGuard auf dem Bootlaufwerk Ist bereits ein SafeGuard Produkt auf der Arbeitsstation vorhanden wird automatisch dessen Installationsverzeichnis ausgew hlt
358. t Push z B Standard Push ig SafeGuard Easy Administration Konsole Server SERYERO1 Datei Bearbeiten Ansicht Arbeitsstationen Extras Hilfe Gruppen Arbeitsst tionen Requests l Standard Push Das Push Attribut eines Clients weckt nach Ausf hren des Kommandos Push Requests sofort anwenden aus dem Men Extras den Server der sich in der Regel passiv verh lt und auf die Anfragen der Clients wartet Der SafeGuard Easy Server versucht von sich aus einmal den Client mit dem Attribut Push zu kontaktieren und alle in der Warteschleife befindlichen Auftr ge mit der Eigenschaft Geplant f r diesen Client abzuarbeiten bis die Warteschleife leer ist oder ein Auftrag fehl schl gt In beiden F llen f llt der Server wieder in den passiven normalen Zustand zur ck und beh lt diesen bis ihn der Administrator erneut pusht Auch die Clients erhalten dann automatisch wieder den Status Standard Auch das Attribut Push wird dabei automatisch wieder entfernt Der Push Mechanismus ist ein Kompromiss aus Netzwerklast und Sicherheit Wenn der Push Modus nicht sofort ausgef hrt werden soll kann die Kon taktaufnahme des SafeGuard Easy Servers mit Clients im nachhinein ber das Men Extras Push Requests durchf hren angesto en werden ig SafeGuard Easy Administration Konsole Server SERVERD1 Datei Bearbeiten Ansicht Arbeitssta tionen Extras Hilfe Push Requests d
359. t nicht empfohlen Hilfe Abbrechen Der Authentifizierungsmodus kann auch nach der SQL Server Installation umgestellt werden 2 SQL Query Analyzer ber Programme Microsoft SQL Server Query Analyzer aufrufen 436 3 Die Datei SGE_SOLSRV sql im Query Analyzer ffnen SGE_SOLSRV sql befindet sich in der Datei SOL info zip im Verzeichnis TOOLS SGE_SOLSRV sql enth lt das Skript das ben tigt wird um eine leere SafeGuard Easy Datenbank auf dem SafeGuard Easy Server zu erzeugen Diese Datenbank wird sp ter als SafeGuard Easy Datenbank vom SafeGuard Easy Server genutzt Die Eintr ge C Program Files Microsoft SQL Server mit dem Installationsverzeichnis des SQL Servers auf Ihrem PC berschreiben z B D Microsoft SQL Server t SQL Query Analyzer Abfrage AST VM W2K ENG master sa Z SGE_SOLSRY sql i Datei Bearbeiten Abfrage Extras Fenster lB suHsBeBA omv nUe JESA TE ttttat Object Database SGEASY Script Date 11 25 2004 10 37 49 AM trrrr IF EXISTS SELECT name FROM master dbo sysdatabases WHERE name N SGEASY DROP DATABASE SGEASY bE co CREATE DATABASE SGEASY ON NAME N SGEASY_dat FILENAME N C Program Files Microsoft SQL Se COLLATE SQL_Latini_General_CP1_CI_AS so exec sp_dboption N SGEASY N autoclose N false Go exec sp_dboption N SGEASY N bulkcopy N false Go 4 Das Skript ausf hren SQL Query Analyzer Abfrage AST YM W2K
360. t Manager Verschl sselung l Benutzer Parameter Einstellung Verbotene Passw rter Installationstyp Partitionsweise Token nmeldung Nein Token Ausstellungsmodus Nein Wake on LAN aktivieren Nein Anzahl der automatischen Anmeldeversuche 0 Passwort bei Systemstart abfragen Ja Passworteingabe verdecken Nein Mindestl nge des Benutzemamens 4 Mindestl nge der Passw rter 6 Mindestalter der Passw rter 30 Tagle Passwortgenerationen 4 Passwortzusammensetzung Mindestanzahl der Buchstaben 0 Passwortzusammensetzung Gro Kleinschreibung verwenden 0 Passwortzusammensetzung Mindestanzahl der Zahlen 0 Passwortzusammensetzung Mindestanzahl der Symbole 0 MBR Schutz Men anzeigen MBR Aktion Warnung anzeigen Ja MBR Aktion MBR restaurieren Ja MBR Aktion System anhalten Nein Unterst tzung f r Compaq Setuppartition Nein 456 31 3 1 Beschreibung des Client ndern Um einer in der Registerkarte Arbeitsstationen angezeigten Arbeitsstati on eine neue Beschreibung zu geben ffnen Sie im Men Arbeitsstatio nen den Befehl Beschreibung ndern Die ge nderten Eintr ge werden sofort bernommen 31 3 2 Client l schen Zum L schen eines Client klicken Sie im Men Arbeitsstationen auf Ar beitsstation l schen Der Client wird dann aus der Liste der registrierten Arbeitsstationen entfernt 31 4 SafeGuard Easy Client neu registrieren Der Modus f r die Neuregistrierung eines SafeGuard Easy C
361. t mehr abgefragt d h es muss keine mit dem SafeGuard Easy Tool verschl sselte Datei erstellt und verteilt werden wie bei CSS lt 5 40 So erzeugen Sie RSA Schl sselpaare mit dem TPM Chip 1 In der Windows Registrierung des Clients Servers unter HKEY_LOCAL_MACHINE SOFTWARE Utimaco SGEasy folgende Eintr ge anlegen Cryptographic Service Provider Zeichenfolge Als Wert muss eingetragen werden ThinkVantage Client Security Solution CSP 322 ForceCSPUsage DWORD Wert Der Wert muss auf 1 gesetzt werden ForceCSPUsage bernimmt auch die Erzeugung von Zufallsschl sseln HINWEIS Die Erzeugung der Schl sselpaare ber den TPM Chip ist deutlich langsamer als die reine Software L sung was zu Performance Einbu en f hren kann Die Performance Einbu en werden durch den Authentisierungsvorgang von Client und Server verursacht nicht durch Verschl sselungsvorg nge 23 6 Erforderliche Einstellungen f r die Maschinenbindung Die Maschinenbindung erzeugt eine eindeutige Verbindung zwischen dem Computer und der angeschlossenen Festplatte Dies erfolgt ber eine Signatur die auf bereinstimmung mit jener Signatur die beim Ausf hren der initialen Maschinenbindung erzeugt wurde gepr ft wird Die Referenzsignatur wird in der Registrierung gespeichert Der Boot Prozess wird nur fortgesetzt wenn die Signaturen identisch sind In jedem anderen Fall wird der Boot Prozess abgebrochen
362. t mehr anzeigen entscheidet ob der Dialog bei jeder Anmeldung erneut erscheint oder nicht 7 Dr cken Sie OK und aktivieren Sie das Auswahlk stchen 8 Der SafeGuard Easy Benutzer wird mit dem Windows Benutzer verkn pft Beim n chsten Neustart des PC wird nach der Eingabe der SafeGuard Easy Benutzerdaten in der Pre Boot Authentisierung die Anmeldung an Windows automatisch durchgef hrt 248 Windows Kennwort bei aktivem SAL ndern Windows Kennworte m ssen aus Sicherheitsgr nden immer wieder ge ndert werden Wie ein neues Kennwort in den Sicheren automatischen Logon integriert wird ist jedoch abh ngig davon wie es ge ndert wird Administrator erzwingt Kennwort nderung Erzwungen wird eine Kennwort nderung im Benutzerprofil ber die Option Benutzer muss Kennwort ndern bei der n chsten An meldung Ist die Option aktiviert wird der Benutzer durch eine System Mitteilung dazu aufgefordert Der SAL ist zu diesem Zeit punkt deaktiviert Diese Meldung muss mit OK best tigt und im folgenden Dialog ein neues Kennwort eingegeben werden Sobald der Benutzer das neue Kennwort best tigt hat wird die SAL Datei mit den neuen Daten synchronisiert Bei der n chsten Anmeldung werden die Windows Benutzerdaten wieder automatisch durchgereicht m Benutzer ndert Kennwort lokal Dr ckt der Benutzer auf seinem Desktop die Schaltfl chen STRGJ ALTI ENTF kann er sein Kennwort im Dialog Windows Sicherheit
363. t wird Nicht mehr ben tigte Gruppen werden ber das Men Gruppen Gruppe l schen entfernt Trotz L schen bleiben Requests die f r Gruppen abgeschickt wurden in der Warteschleife bestehen und werden ausgef hrt 468 31 6 2 SafeGuard Easy Client einer Gruppe zuweisen aus einer Gruppe entfernen Sollen SafeGuard Easy Clients auf Gruppenbasis administriert werden muss ihnen ein bereits existierender Gruppenname zugeordnet werden 1 In die Registerkarte Arbeitsstation wechseln 2 Einen SafeGuard Easy Client markieren 3 Im Men Arbeitsstation den Befehl Zu Gruppen zuweisen aufrufen 4 Gruppe markieren und Angabe best tigen Entfernt wird ein Client ber das Men Arbeitsstation Aus Gruppe ent fernen Die Gruppenzusammensetzung sollte nicht ge ndert werden solange noch auszuf hrende Requests anstehen 31 6 3 Gruppenzugeh rigkeit Administratoren m ssen sich einen schnellen berblick ber die Gruppenzusammensetzungen verschaffen k nnen um sicherzustellen dass Clients immer mit korrekten Daten versorgt werden Die Administrationskonsole liefert diese Daten ber m das Men Arbeitsstationen Gruppenzugeh rigkeit Fragt die Gruppenzugeh rigkeit eines SafeGuard Easy Clients ab ber die Pfeiltasten gibt es die M glichkeit die Gruppenzugeh rigkeit zu ndern Gruppenzugeh rigkeit konfigurieren Arbeitsstation WKS01 x Gruppen zu denen diese Arbeitsstation nicht geh rt Gruppe
364. tallation der GINA Clients SGEGINA schlug fehl Das Erzeugen eines Men eintrages schlug fehl Das Entfernen eines Men eintrages schlug fehl Eintrag in INI Datei nicht gefunden Die Installation der Cardman API schlug fehl F r den Twinboot Modus muss das Kernellaufwerk verschl s selt sein 0 F r den Twinboot Modus muss mindestens ein unverschl s seltes Startlaufwerk definiert sein Ein komplettes PN System ist noch installiert auf Ihrem Com puter auf einer anderen Plattform Sie m ssen dieses System zuerst deinstallieren bevor Sie das Runtime System des aktu ellen Systems deinstallieren k nnen Die Installation eines PN Systems ist nicht erlaubt Eine ben tigte PBA Ressourcendatei MOD konnte nicht ge funden werden Die Installation von PN ist fehlgeschlagen Folgender Fehler trat auf Bitte klicken Sie auf OK um alle bereits installierten Komponenten von PN wieder zu entfernen Danach wird das System automatisch neu gestartet Falsche Betriebssystemversion vorgefunden 1091 1092 1093 1094 1095 1096 1097 1098 1099 Falsche Betriebssystemversion vorgefunden Das Betriebs system Windows 95 98 ME ist erforderlich Der Deinstallationsvorgang kann nicht gestartet werden weil eine oder mehrere PN Komponenten sind momentan nicht aktiv Dieser Prozess kann nicht ausgef hrt werden weil zur Zeit ein Verschl sselungsprozess l uft Bitte warten Sie bis alle Ver schl sselungsvor
365. tallation von SafeGuard Easy ben tigt einen einwandfrei en Master Boot Record und dieser k nnte eventuell durch Image Clone Programme nicht mehr in diesem Zustand sein S ubern Sie den Master Boot Record indem Sie von Diskette CD oder DVD booten identisches System wie auf der Festplatte emp fohlen und fdisk MBR ausf hren m Wenn die Bootpartition von FAT nach NTFS konvertiert wurde der Systemabschluss mit einem Neustart aber noch nicht durchgef hrt wurde sollte SafeGuard Easy nicht installiert werden Hierbei ist es m glich dass die Installation nicht beendet wird da das Datei system zum Zeitpunkt der Installation noch FAT ist jedoch zum Zeitpunkt der Aktivierung NTFS vorgefunden wird In diesem Fall m ssen Sie einmalig neu starten bevor SafeGuard Easy installiert wird SafeGuard Easy wird st ndig weiterentwickelt Daher kann Ihre Version bereits Neuerungen enthalten die bei Redaktionsschluss des Handbuches bzw der Online Hilfe noch nicht ber cksichtigt werden konnten Diese nderungen sind in der Datei Liesmich txt beschrieben 2 2 Installationsvoraussetzungen F r die Installation von SafeGuard Easy m ssen verschiedene Vorausset zungen auf einer Arbeitsstation erf llt sein m Microsoft Windows Software Installer MSI v2 0 Bei Windows XP standardm ig vorhanden Bei Windows 2000 vorhanden ab Service Pack 3 oder h her m High Encryption Package nur f r zentrale Administration mit SafeGua
366. tausch zwischen Client und Ser ver definieren beschriebenen Konfigurierbarkeit des Datenaustausch In tervalls tr gt die zentrale SafeGuard Easy Administration aus Utimaco Sicht nur unwesentlich zu h herer Netzwerklast bei 30 2 3 Intervall f r Datenaustausch zwischen Client und Server definieren Generell stellt ein SafeGuard Easy Client regelm ig beim Hochfahren beim SafeGuard Easy Server eine Anfrage ob nderungen durchzuf h ren sind Weitere Anfragen finden nach definierten zeitlichen Abst nden statt Der Standard Wert f r weitere Aktualisierungsanfragen ist auf 6 Stunden eingestellt Dieses Intervall kann mit standardm igen Windows Mechanismen zen tral angepasst werden denn es handelt sich dabei um einen Registry Ein trag Zum Anpassen des Intervalls erzeugen Sie also folgenden Registry Key DWORD Wert neu HKEY_LOCAL_MACHINE SOFTWARE Utimaco SGEasy NotifyPeriod lt Intervall gt Wenn ein Wert vorhanden ist fragen Clients im angegebenen Intervall nach Requests m gliche Werte 1 bis X Stunden Das Intervall ist auch ber eine Richtlinie in Utimacos administrativer Vor lage bestimmbar siehe H ufig verwendete Registry Einstellungen f r SafeGuard Easy ber die administrative Vorlage ndern Die Richtlinie ist zu finden unter Computerkonfiguration Administrative Vorlagen SafeGuard Sgeasy 422 Auf der Eigenschaftenseite von SGEasy ist unter Intervall f
367. tei erstellen 000000000 44 4 2 Zentrale Installation mit Active Directory 45 4 2 1 Voraussetzungen c crseseeeeeeeeeennnnnsnnnnsnenennnn AD 4 2 2 _ MSI Pakete mit einem Editor bearbeiten 46 4 3 Zentrale Installation ohne Active Directory 49 4 3 1 Kommandozeile f r automatische Installation 49 4 3 2 Ausgew hlte Optionen des Windows Installers essessssseeesosessesessssessessse DT 4 4 SafeGuard Easy Funktionen und Parameter 52 4 4 1 SafeGuard Easy Funktionen 00000000 52 4 4 2 SafeGuard Easy Parameter 00000 0000 D 5 1 Lokales Update 000000ssss00nnnnnssssnnsnnnsnssennnnne GO 5 2 Update mit Migrationsdatei 00000000000 65 5 3 Systemkern Pr fung beim Update 67 5 3 1 Was passiert wenn der Systemkern nicht in Ordnung ist u unnweisissenussnse 67 5 3 2 ber das Reparaturprogramm 00 68 5 3 3 Parameter f r das Reparaturprogramm 69 Dei llati 7 einstallation sun 71 6 1 Lokale Deinstallation esssssssssessssssssssssesesesese 72 6 2 Deinstallation mit Challenge Response 73 6 3 Vorkonfigurierte Deinstallation mit Konfigurationsdatei 000000000sseeseersennnnn 73 Systemstart und Anmeldung 77 7 1 Als regul rer Benutzer anmelden 78 7 2 Als Standardbenutzer anmelden 79 7
368. tellen 3 52 42 reset reset sent 219 15 11 1 Token Administration installieren 220 15 11 2 SafeGuard Easy Zugangsdaten auf dem Token l schen u u uue0ussesensssinse 221 15 11 3 SafeGuard Easy Zugangsdaten aus Konfigurationsdatei importieren 222 15 12SafeGuard Easy Benutzer schnell wechseln 224 15 12 1 Voraussetzungen 0000000000000002000nnnnnnnen00000 225 15 12 2 Beispiel s sssesssssersessenssunsessssnssersssersssenssersnennne 225 15 13Hifeim NOtf lliser 0054504800805 0 227 15 13 1 Voraussetzungen ssssseseresseesersrerssrersssssesesese 228 15 13 2 Einsatzbeispiele s eseeseseesseesesesesssssssrssesses 229 15 13 3 Token remote verwalten sesssesssssesesssessssees 233 16 1 Voraussetzungen ssesssssssssrssssosororersssesssersesesese 236 16 2 Unterst tzte Hardware 00srs0000seereessnneennnn 237 16 3 Unterst tzung f r Lenovo Fingerabdruck installieren 0000000 239 16 4 SafeGuard Easy Passwort ndern 242 16 5 H ufig gestellte Fragen 0c0s0ssssssssererenennn nn 243 17 Windows Anmeldung konfigurieren 245 17 1 Sicherer automatischer Logon SAL 246 17 1 1 Sicheren automatischen Logon SAL einschalten 000000000000000000000000 247 17 1 2 Anmeldung an Windows mit Smartcard Smartcard SAL 000000000000000000000000000000000 250 17 1 3 SAlL Smartcard SAL ausschalten
369. tet die Funktionen Features auf die installiert werden Wird die Option nicht angegeben werden alle Funktionen Features installiert die f r eine Standardinstallation vorgesehen sind ALL nstalliert alle verf gbaren Funktionen Features REBOOT forcerestart norestart Erzwingt oder unterdr ckt Neustart nach Installation Ohne Angabe wird der Neustart erzwungen Force L lt Pfad Dateiname gt Protokolliert alle Warnungen und Fehlermeldungen in die angegebene Protokolldatei Ausschlie lich Fehlermeldungen protokolliert der Parame ter Le lt Pfad Dateiname gt Installdir lt Verzeichnis gt Gibt das Verzeichnis an in das SafeGuard Easy installiert wird Ohne Angabe wird als Standardinstallationsverzeichnis lt SYSTEM gt PROGRAMME UTIMACO verwendet 52 4 4 SafeGuard Easy Funktionen und Parameter F r eine zentrale Installation muss bereits im Vorfeld definiert werden welche SafeGuard Easy Funktionen Features Parameter auf den Clients installiert werden Bei einer Installation ber Active Directory geschieht dies indem die MSI Datei mit einem Tool wie ORCA angepasst wird Ohne Active Directory m ssen die zu installierenden Funktionen Features Parameter in eine Kommandozeilensyntax integriert werden 4 4 1 SafeGuard Easy Funktionen In den folgenden Tabellen sind alle Funktionen Features aufgelistet die automatisch installiert werden k nnen Sie entsprechen zum Gro teil den jenigen
370. thentisierung ein 2 Die automatische Windows Anmeldung schl gt fehl da SafeGuard Easy Passwort und Windows Kennwort noch nicht synchronisiert wurden Der Benutzer wird deshalb am Windows Anmeldebildschirm aufgefordert das neue Windows Kennwort einzugeben 3 Der SAL Dialog erscheint und muss wieder mit JA best tigt werden 4 Der Dialog zur Passwortsynchronisierung erscheint Nach Eingabe des alten Passworts findet die Synchronisierung statt 5 Nach einem Neustart des PC meldet sich der Benutzer mit dem neuen Windows Passwort in der Pre Boot Authentisierung an 17 2 6 SafeGuard Easy Passwort wechseln Die Passwortsynchronisierung macht das aktuelle Windows Kennwort im mer wieder zum Passwort f r SafeGuard Easy Utimaco r t deswegen davon ab das SafeGuard Easy Passwort zu n dern Wir empfehlen zum Passwort Wechsel die bekannten Windows Me chanismen zu verwenden Ist es dennoch aus einem bestimmten Anlass n tig das SafeGuard Easy Passwort zu ndern unterliegt das neue Passwort den in der SafeGuard Easy Administration definierten Passwortregeln 264 17 2 7 Dialog zur Passwortsynchronisierung abbrechen Ob es erlaubt ist den Dialog zur Passwortsynchronisierung unausgef llt abzubrechen ist per Registry Key schaltbar Mit dieser Einstellung k nnen z B Administratoren die Benutzer zwingen die Passwortsynchronisierung durchzuf hren Ist der Registrierungseditor ge ffnet ist unter dem Registry Zweig
371. tion Server Die zentrale Helpdesk Konsole ist als separates Add on erh ltlich 26 4 2 Web Self Help Wichtigster Vorteil der webbasierten Hilfe ist dass Benutzer ohne Einbin dung des Helpdesk vergessene SafeGuard Easy Passw rter zur ckset zen k nnen Damit ein Benutzer in Eigenverantwortung sein Passwort neu setzen darf muss er sich zun chst an einer zentralen Datenbank regist rieren Die Registrierung erfolgt ber einen speziellen Mechanismus Der Benutzer gibt f r eine bestimmte Anzahl frei w hlbarer Fragen seine Ant worten ein Diese Antworten werden in der Datenbank gespeichert Der registrierte Benutzer wird vom Administrator freigegeben und erh lt eine Mail mit einer PIN Will der Benutzer anschlie end ber die Web based Self Help einen Response Code f r sein registriertes SafeGuard Easy Profil erzeugen muss er die PIN und die korrekten Antworten eingeben Das Verfahren ist webbasierend und damit beinahe uneingeschr nkt f r Benutzer zug nglich es ist auch keine zus tzliche Software auf dem Client n tig Die webbasierte Passwort Selbsthilfe ist als separates Add on erh ltlich 368 26 4 3 VOICE TRUST Eine andere m gliche Erweiterung des Challenge Response Systems ist die Einrichtung eines biometrischen Servers von VOICE TRUST mit Plug in f r SafeGuard Easy oder SafeGuard PDA Der VOICE TRUST Server kann anrufende Benutzer anhand ihrer Stimme Voiceprint authentisie ren und den gesamten Challenge Respo
372. tion gesperrt Der Zugriff auf die Arbeitsstation ist erst wieder nach korrekter Eingabe der Zugangsdaten m glich BEISPIEL Auf den Arbeitsstationen ist definiert dass der Bildschirmschoner zehn Minuten nach der letzten Benutzeraktion Tastatureingabe Mausbewe gung einsetzen soll Haben Sie als auszuf hrende Aktion Computer herunterfahren gew hlt und als Aktionsverz gerung den Wert 13 ein gegeben wird der PC 23 Minuten nach der letzten Aktion am Arbeits platz automatisch heruntergefahren 278 17 3 4 Authentisierungsmodul GINA reparieren Utimaco besitzt eine eigene Anmeldekomponente die Utimaco Master GINA SGGINA d11 Die Utimaco Master GINA wird nach der Installati on eines Utimaco Produkts als Erste in der GINA Kette platziert und kon trolliert damit den Anmeldemechanismus Die Installation anderer Produkte kann die Reihenfolge der aufgerufenen Anmeldekomponenten ndern Sie finden die Richtlinie in der administrativen Vorlage unter Computerkonfiguration Administrative Vorlagen SafeGuard Authentication Logon Optionen GINA Repair Automatische Korrektur der Aufrufsequenz Standard Aktiviert Stellt sicher dass die Utimaco Master GINA automatisch an der ersten Stelle der GINA Kette platziert wird m Verhalten bei unbekannten GINAs Benutzer fragen Beim erstmaligen Initialisieren wird in einem Dialog gefragt ob die unbekannte oder die original Microsoft GINA verwendet werden soll Wir
373. tion ist aufrufbar ber Programme Thinkvantage Access IBM Create rescue media Create rescue media Rescue media enables you to access IBM R Rescue and Recovery TM tools even if you are unable to start Windows Select the type of media you want to use then click OK USB hard disk drive Note All data currently on the selected media will be overwritten DVD RAM is not supported 390 27 6 4 Was tun wenn das Booten nach der Pre Boot Authentisierung von einem externen Medium fehlschl gt Folgende Gr nde sind denkbar m Der angemeldete SafeGuard Easy Benutzer verf gt nicht ber das Recht Booten von externem Medium erlaubt Die Verschl sselung der Festplatte wurde angesto en ist aber noch nicht beendet F r das Fehlschlagen des Bootens von Diskette sind zus tzlich folgende Gr nde denkbar m Das Diskettenlaufwerk wird im PC nicht ber den Standard Disket ten Controller angesprochen sondern ber die USB Schnittstelle Das Diskettenlaufwerk ist verschl sselt die Bootdiskette ist jedoch nicht verschl sselt 28 Systemstatus von SafeGuard Easy anzeigen SafeGuard Easy besitzt mit SGEState ein Kommandozeilentool das den aktuellen Status einer SafeGuard Easy Installation auf einem Benutzer PC anzeigt Versionsangabe Verschl sselungsmodus Verschl sselt Nicht verschl sselt etc Das Tool eignet sich am besten f r Installationen in gro en Umgebungen da ein Administr
374. tion vor handen ist und weist ihm neue Eigenschaften zu im Beispiel Be nutzer User Peter und Paul mit dem Attribut Ver ndern 106 Alle aus einer Basiskonfiguration geladenen Benutzer besitzen au tomatisch die Eigenschaft Ver ndern Ohne Basiskonfiguration m ssen Benutzer mit dieser Eigenschaft erst erzeugt werden m Benutzer l schen RB Gibt den Namen eines bestehenden Benutzers an der beim Aus f hren der Konfigurationsdatei auf diesem Zielsystem entfernt wird im Beispiel Benutzerin Mary HINWEIS In Delta Dateien ohne Basiskonfiguration ist Benutzern ber das Feld Konfigurationskommando die Eigenschaft L schen zuzuweisen Benutzer l schen Existierende Benutzer l schen Die unten angef hrte Liste enth lt alle zur Verf gung stehenden Benutzer Bitte w hlen Sie einen oder mehrere Benutzer aus die gel scht werden sollen Paul Nicht entfernen Peter Nicht entfernen Konfigurationskommando Im speziellen Konfigurationsdatei Modus ist es auch m glich ein L schkommando zu erzeugen welches am Zielcomputer ausgef hrt den Benutzer mit diesen Namen l scht Konfigurationskommando M ar Nach der Dateneingabe gelangt man ber Weiter zum Dialog Authenti sierung und dann zum Zielverzeichnis Authentisierung SafeGuard Easy Konfigurationsdateiassistent Der hier eingetragene SafeGuard Easy Benutzer muss auf der Arbeitssta tion
375. tliche Hinweise m Hilfe Funktion zum ndern des SafeGuard Easy Token Passworts m Hilfe Funktion zum Zur cksetzen vergessener Passw rter 7 1 Als regul rer Benutzer anmelden SafeGuard Easy Im Normalfall melden sich Benutzer an der Pre Boot Authentisierung mit ihrem SafeGuard Easy Benutzernamen und Passwort an Unter dem Produktnamen wird der Name der Arbeitsstation angezeigt im Beispiel AST VM GER Diese Daten werden aus den Systemeinstellun gen Ihrer Arbeitsstation bernommen 78 7 2 Als Standardbenutzer anmelden SafeGuard Easy Ist auf einer Arbeitsstation ein beliebiger SafeGuard Easy Benutzer als Standardbenutzer festgelegt wird immer nur das SafeGuard Easy Pass wort abgefragt Die zus tzliche Eingabe des Benutzernamens entf llt 7 2 1 Erweiterte Anmeldung ber die Taste F2 Will sich jemand anderer als der Standardbenutzer anmelden muss die erweiterte Anmeldung eingeschaltet werden d h zus tzlich zum SafeGuard Easy Passwort auch der Benutzername eingetragen werden Wird F2 gedr ckt erscheint ber der Abfragezeile f r das Passwort das Feld f r die Eingabe des Benutzernamens ACHTUNG Der Benutzer SYSTEM muss sich immer mit Benutzernamen und Passwort anmelden 80 7 3 Mit Token anmelden SafeGuard Easy gibt Ihnen die M glichkeit sich mit einem Token an der Pre Boot Authentisierung anzumelden Dies stellt einen schnellen und be quemen Weg dar sich
376. triert und soll unbedingt nochmals registriert werden muss der Client Eintrag zuerst aus der Datenbank gel scht und dann neu registriert werden Gel scht werden Clients aus der SafeGuard Easy Datenbank ber das Men Arbeitsstationen Arbeitsstationen l schen m Der Benutzer der Administrationskonsole muss SafeGuard Easy Zugangsdaten zum neuen SafeGuard Easy Client kennen Vorgehensweise 1 Netzwerkverbindung zwischen Client und Server sicherstellen 2 Administrationskonsole starten und an Datenbank anmelden Datenbank Server Yerbindung x r SafeGuard Easy Server Information Servername E ERVEROI M Default Zugangsdaten zur Datenbank verwenden Benutzername Benutzerpasswort Abbrechen 458 3 Men Extras Arbeitsstation registrieren aufrufen g SafeGuard Easy Administration Konsole Server SERYERO1 4 Ein Dialog erscheint der den Namen des SafeGuard Easy Client und die Authentisierungsdaten zu diesem Client abfragt Das Benutzerprofil des eingetragenen SafeGuard Easy Benutzers muss am SafeGuard Easy Client existieren Das Profil ben tigt keine speziellen SafeGuard Easy Rechte Arbeitsstation registrieren 5 Angaben mit OK best tigen Erfolg Misserfolg werden in einem Dialog angezeigt SafeGuard Easy G E 6 Der Client hinterl sst dann Informationen am SafeGuard Easy Server Dies kann je nach Netzwerkbelas
377. tung einige Zeit in Anspruch neh men In der Administrationskonsole erscheint nach der Wartezeit der neue SafeGuard Easy Client Die Anzeige in der Administrationskon sole kann auch ber F5 manuell aktualisiert werden Eg SafeGuard Easy Administration Konsole Server SERYERO1 Datei Bearbeiten Ansicht Arbeitsstationen Extras Hilfe Gruppen Arbeitsst tionen Requests l Name Staus Beschreibung Konfigurationsdatum WKS01 Standard 07 09 2005 14 10 33 lab neu 460 31 4 1 Mehrere SafeGuard Easy Clients neu registrieren Die Neuregistrierung funktioniert f r alle SafeGuard Easy Clients ab der Version 4 11 So registrieren Sie mehrere SafeGuard Easy Clients neu 1 Erstellen Sie mit dem Konfigurationsdateiassistenten eine neue Konfigurationsdatei mit der Eigenschaft Installieren Geben Sie in dieser Konfigurationsdatei das auf den SafeGuard Easy Clients eingestellte Passwort des Benutzers SYSTEM an Speichern Sie die Konfigurationsdatei unter SGEREG cfg ab Kopieren Sie am SafeGuard Easy Client die Datei SSEREG cfg in das Verzeichnis lt Systemlaufwerk gt System 32 Erstellen Sie am SafeGuard Easy Client unter HKEY_LOCAL_MACHINE SOFTWARE Utimaco Sgeasy zwei neue Registrierungseintr ge DWORD Werte NotRegistered 1 RegReport 1 Starten Sie den SafeGuard Easy Client neu oder den SafeGuard Easy Service 31 5 SafeGuard Easy Clients auf einem anderen SafeGuard Easy Server re
378. tzlichen Drittherstellerprodukts Mangels geeigneter Standardisierung ist es nicht in allen F llen m glich beliebige Windows Anmeldeprodukte gleichzeitig auf einer Maschine zu betreiben Im Fall umfangreicher Rollouts besteht die M glichkeit dieses Programmverhalten vorab zu konfigurieren Zu diesem Zweck muss unmittelbar nach der Installation neuer Software und vor dem nachfolgenden Systemstart sichergestellt sein dass der Registry Eintrag ForceKnownGina im Schl ssel HKEY_LOCAL_MACHINE Software Utimaco SGLogon von 0 auf 1 neue Komponente wird durch Utimaco Anmeldekomponente aufgerufen gesetzt wird Durch das Setzen dieses Wertes auf 2 wird auch weiterhin die original Microsoft Anmeldekomponente von Utimaco aufgerufen 88 8 Verwaltung im berblick SafeGuard Easy ist ber das Konfigurationsprogramm Konfigurationsda teiassistent oder ber die SafeGuard Easy Administration konfigurierbar ber die Administration wird direkt in die SafeGuard Easy Konfiguration des PC eingegriffen sie eignet sich f r die lokale Verwaltung an einem ein zelnen PC Der Konfigurationsdateiassistent ndert nichts an den lokalen Einstellungen sondern sammelt SafeGuard Easy Einstellungen in einer Datei die dann an Clients verteilt wird Die Verwaltungsprogramme unterscheiden sich in den m glichen Einstel lungen nur geringf gig In beiden Programmen ist es vorgeschrieben sich mit korrekten SafeGuard Easy Zugangsdaten
379. uf den Token gespeicherten privaten Daten zur Verf gung Andererseits erm g licht es die Ver und Entschl sselung das Signieren bzw die Verifikation von Daten unter Verwendung der auf den Token gespeicherten RSA Schl sselpaare Das Universal Token Interface wird angezeigt wenn Token Unterst tzung f r Administration installiert ist Sie finden die Einstellungen f r das Universal Token Interface in der MMC unter Computerkonfiguration Windows Einstellungen SafeGuard Universal Token Interface gt Gruppenrichtlinie f Vorgang Ansicht e 2 mlm EAEE Struktur 7 SCardSvr ETOKSRY 3 Bevorzugter Slot Index 0 Richtlinien f r Lokaler Computer E g Computerkonfiguration Softwareeinstellungen Hohe Sicherheit f r den pr aus 2 9 windows Einstellungen SOPKCS 11 Modul etpkcs11 dll SafeGuard DRSA Kryptografiemethode asymmetrischer Mantel 3 Protokollierung lBevorzugter symmetrisch 3DES Ea Universal Token Interface E Hash Algorithmus MDS a Skripts Start Herunterfahren Wj Bevorzugter CSP Microsoft Enhanced Crypto Sicherheitseinstellungen Token CSP Microsoft Enhanced Crypto E E Administrative vorlagen gt rA en Er Folgende Einstellungen k nnen f r das Universal Token Interface konfigu riert werden Services Unter Services m ssen jene Services angegeben werden die zum Betrieb des verwendeten Tokens ben tigt werden und da
380. ungsfunktion ange boten F r das Wiederherstellen des Systems ber ein Backup des Embedded Security System ESS schlagen Sie bitte in Ihrer Lenovo Dokumentation nach 23 6 3 Maschinenbindung Wiederherstellung Damit Sie bei einer gescheiterten Maschinenbindung wieder Zugang zum System erlangen klicken Sie auf die Schaltfl che Wiederherstellen M E E T utimaco Bitte geben sie dass w hrend der Initialisierung verwendete Passwort ein Passwort Abbrechen In diesem Dialog muss jenes Security Chip Passwort angegeben werden das bei der initialen Maschinenbindung angegeben wurde Auch dann wenn das Passwort nach der initialen Maschinenbindung ge ndert wurde Wird die Wiederherstellungsfunktion verwendet weil ein neuer Security Chip eingebaut wurde muss zur Wiederherstellung das Passwort des al ten Chips eingegeben werden 328 Ab CSS gt 6 0 wird der Dialog durch den Standard SafeGuard Authentication Wiederherstellung Dialog ersetzt und Windows Benutzer Passwort und Dom ne abgefragt SafeGuard Authentication Wiederherstellung x Bitte geben sie einen Benutzer mit administrativen Rechten ein Nachdem Sie wieder Zugang zum System haben m ssen Sie die initiale Maschinenbindung erneut ausf hren wenn eine der folgenden Situatio nen das Scheitern der Verifikation verursacht hat Das Hardware Sicherheitsmodul ist besch digt Der Master Key des Sicherheitsmoduls wurde ge ndert Die
381. ungsmodus wahlweise mit Token Ausstellungsmodus Zentral X E Wake On LAN Wake on LAN aktivieren Esteme Best tigung Zentral Anzahl der automatischen nmeldev A Passworteinstellungen Der Ausstellungsmodus gibt an wer SafeGuard Easy Zugangsdaten auf den Token schreiben darf Dem Benutzer der den Token ausstellt muss das Token Passwort bekannt sein Ansonsten ist es keiner Instanz m glich den Token auszustellen 15 8 1 Token Ausstellungsmodus Ausstellungsmodus Benutzer Ein Benutzer darf nach erstmaligem Erscheinen der Pre Boot Authentisie rung selbst ndig seine SafeGuard Easy Zugangsdaten auf einen leeren Token schreiben Voraussetzung ist nat rlich dass die Zugangsdaten ei nes SafeGuard Easy Benutzerprofils dem Benutzer bekannt und auf der Arbeitsstation vorhanden sind Ausstellungsmodus Externe Best tigung Ein Benutzer darf nur nach dem Austausch von Challenge und Response Code den Token mit SafeGuard Easy Zugangsdaten ausstellen 202 Der Benutzer muss in diesem Fall durch Dr cken der Taste F9 in der Pre Boot Authentisierung einen Challenge Code anfordern und sich mit dem Administrator in Verbindung setzen Der Administrator startet den Response Code Assistenten bef llt die Dialoge zur Authentisierung und gibt den Challenge Code ein Als Auszuf hrende Aktion w hlt er Erlaubnis zum Ausstellen eines Tokens erteilen Der erzeugte Response Code wird dann per Mail SMS oder Te
382. urchf hren Fehlgeschlagene nderungen gt F9 Gruppen Arbeitsstationen Requests l Arbeitsstation registrieren 31 9 4 Status Push aus ber das Men Arbeitsstationen Status ndern zu Push aus ent fernt SafeGuard Easy das Push Attribut vom SafeGuard Easy Client 31 9 5 SafeGuard Easy Client in den OFFLINE Modus schalten 1 Men Arbeitsstationen Status ndern zu aufrufen Status setzen auf a Offline b Push ein ig SafeGuard Easy Administration Konsole Server SERYERO1 Datei Bearbeiten Ansicht Arbeitsstationen Extras Hilfe Gruppen Arbeitsstationen Reauests Standard Push 2 Soll der SafeGuard Easy Client sofort in den OFFLINE Modus geschaltet werden den folgenden Dialog mit JA beantworten SafeGuard Easy xj Q Wollen Sie die Push Requests gleich durchf hren 3 Inder Warteschleife des SafeGuard Easy Clients wird ein Request zur Status nderung erzeugt der das Attribut Erfolgreich erh lt Queue Details Arbeitsstation WKS01 Requestname Requesttyp Datum Status Fehle Status ndern 1109941869 Status 04 03 2005 14 11 09 Erfolgreich 0 486 DESIREN 4 Der SafeGuard Easy Client besitzt nun den Status Offline i SafeGuard Easy Administration Konsole Server SERYERO1 31 9 6 Konfigurationsupdates f r Offline Clients in der Administrationskonsole erzeugen 1 Der SafeGuard Easy Adm
383. us verschl sselt ausgew hlte Partitionen aller Festplatten Der Festplatten Yerschl sselungsmodus verschl sselt die Partitionen aller Festplatten Der Bootschutz Modus verschl sselt die Systembereiche aller Partitionen Der Twinboot Modus unterst tzt mehrere Boot Partitionen und trennt verschl sselte und unverschl sselt Bereiche a L Zurich Abbrechen Hie m Partitionsweise Modus Alle ausgew hlten Partitionen werden komplett verschl sselt W hlen Sie diese Einstellung wenn Ihre Festplatte n mehrere Par titionen besitzt en Sie allerdings nicht alle verschl sseln wollen Welche Partitionen zu verschl sseln sind entscheiden Sie sp ter in den Verschl sselungseinstellungen Festplatten Verschl sselungsmodus Alle w hrend der Installation von SafeGuard Easy angeschlosse nen Festplatten werden komplett verschl sselt SafeGuard Easy erkennt automatisch ob Ihr Rechner ber eine oder mehrere Fest platten verf gt Das Programm kann auf Systemen mit bis zu vier physikalischen Festplatten installiert werden und unterst tzt bis zu acht logische Laufwerke Partitionen je Festplatte 32 sm Bootschutz Modus Mit dieser Option darf niemand ohne entsprechende Berechtigung den Rechner von einer Betriebssystem Diskette CD DVD booten um Zugriff auf die Festplatte eines PCs zu erhalten Effektiver Bootschutz besteht aber nur in Verbindung mit aktivierter Pre Boot Authentisierung Der Bootschutz Modus verschl
384. usichern muss SafeGuard Easy erneut instal liert werden 24 8 2 Vorgehensweise 1 Rescue and Recovery Umgebung starten Thinkvantage Taste Blauen Eingabetaste oder F11 2 Die Pre Boot Authentisierung erscheint und verlangt SafeGuard Easy Zugangsdaten 3 Die Benutzeroberfl che der Rescue and Recovery Umgebung erscheint Den Willkommen Bildschirm mit einem Klick auf Weiter beenden Im linken Men ber Sicherung wiederherstellen w hlen Der Dialog Von einer Sicherung wiederherstellen erscheint no a p Den Backup der ein installiertes SafeGuard Easy enth lt ausw hlen und wiederherstellen 346 24 9 Service Partition und Factory Recovery Partition Lenovo liefert neue PCs mit speziellen vorinstallierten Partitionen aus Lenovo nennt diese Partitionen Service Partion und Factory Recovery Partition m Service Partition enth lt die Rescue and Recovery Bootumge bung Factory Recovery Partition enth lt alle Informationen um die Werkseinstellungen Factory settings des Rechners wiederher zustellen Wenn auf Ihrem PC noch keine Service Partition vorhanden ist Sie aber dennoch mit ihr arbeiten wollen legen Sie sie vor der Installation von SafeGuard Easy an Wie Sie die Service Partition anlegen schlagen Sie bitte in der entsprechenden Lenovo Dokumentation nach 24 9 1 Besonderheiten Folgende Besonderheiten sind bei Verwenden der Service Partition u nd der Factory Rec
385. utimaco Nutzen Sie bitte die Suchfunktion der Wissensdatenbank um nach Stichworten wie Notfall oder Emergency zu suchen 372 27 1 Notfalldiskette erstellen Die Notfalldiskette erstellt der Assistent f r Notfalldiskette der nach jeder Standard Installation auf einem Client vorhanden ist Sind Disketten Wechselmedienlaufwerke verschl sselt wird die Verschl sselung w h rend der Erstellung der Notfalldiskette ausgeschaltet Damit auf einer Notfalldiskette immer der aktuellste Systemkern vorhan den ist sollte eine Sicherung nach jeder signifikanten nderung wie etwa der nderung des Verschl sselungsstatus durchgef hrt werden Es ist ber eine Option im Notfallassistenten konfigurierbar dass Benutzer in re gelm igen Abst nden aufgefordert werden den Systemkern zu sichern Dieser muss dann auf die Notfalldiskette kopiert werden 27 1 1 Notfallassistenten starten Der Notfallassistent startet automatisch nach dem ersten Neustart nach der Installation von SafeGuard Easy ist aber auch aufrufbar ber Programme Utimaco SafeGuard Easy Assistent f r Notfalldiskette Best tigen Sie alle richtigen Angaben im Assistenten mit Weiter 1 Ist der Assistent gestartet legen Sie im zweiten Dialog fest welche Dateien auf der Notfalldiskette gespeichert werden sollen SafeGuard Easy Notfalldiskette Assistent x 7 Auswahl Was wollen Sie machen C Nur Kemelsicherung erstellen
386. utomatische Anmeldung mit Utimaco SmartCards J R cksetzten tempor rer Verschl sselungseinstellungen beim Abme Standard CPU Nutzung f r Verschl sselung 100 IV Dialog f r die sichere automatische Anmeldung IV CPU Nutzung f r Verschl sselung nderbar Intervall f r Anfragen des Clients in Stunden 6 Name des Servers ServerD1 Worhenige Richtinie N chste Richtlinie 30 3 4 Maximale Kapazit t der SafeGuard Easy Datenbank Die SafeGuard Easy Datenbank ist in der Grundeinstellung eine Microsoft Access Datenbank Die Gr e einer Microsoft Access Datenbank ist begrenzt auf 2 GB kann aber erweitert werden durch Verweis auf andere Datenbanken Ein SafeGuard Easy Client beansprucht nach der Registrierung ungef hr 5 bis 7 KB des Speicherplatzes der Datenbank Das bedeutet f r 50 000 Clients ca 340 bis 350 MB Wir empfehlen jedoch nicht eine so gro e Anzahl an Arbeitsstationen mit einer einzigen Server Datenbank zu administrieren sondern eine pas sende Organisations und Administrationstruktur einzuf hren bei der die Arbeitsstationen ber mehrere Server verwaltet werden 30 3 5 SafeGuard Easy Server Datenbank wiederherstellen F r die erfolgreiche Wiederherstellung des SafeGuard Easy Servers ist folgendes zu beachten m Folgende Dateien sichern die sich standardm ig im Produktver zeichnis befinden C Programme Utimaco SafeGuard Easy Sgeasy mdb Wks
387. verbindung bestehen Es ist zur Wahrung der Datenkonsistenz nur eine administrative Verbin dung zur selben Zeit m glich Der Versuch mehrere Verbindungen aufzu bauen schl gt fehl 30 1 3 SafeGuard Easy Clients SafeGuard Easy Clients sind mit installierter Server Anbindung in der Lage mit dem SafeGuard Easy Server eine Verbindung aufzubauen Die Verbindung zwischen SafeGuard Easy Server und SafeGuard Easy Client erm glicht ein Netzwerkagent und der UNC NETBIOS Name des SafeGuard Easy Servers die den Clients bei der Installation mitgegeben werden Der SafeGuard Easy Client berichtet bei der Erstregistrierung am SafeGuard Easy Server m seine SafeGuard Easy Konfigurationseinstellungen m die GUID m seinen ffentlichen Schl ssel m seinen Netzwerknamen Dar ber hinaus erfolgt bei der Erstregistrierung auch der Austausch des ffentlichen Schl ssel des Servers Bei jeder weiteren Kontaktaufnahme mit dem Server fragt der SafeGuard Easy Client nach einer Aktualisierung der f r ihn relevanten Einstellungen In der Regel versuchen die SafeGuard Easy Clients mit dem SafeGuard Easy Server jedesmal eine Verbindung aufzunehmen wenn der PC boo tet W hrend dieser Phase werden alle nderungen die zentral auf dem SafeGuard Easy Server lagern abgeholt und auf dem Client ausgef hrt nderungen die lokal am SafeGuard Easy Client vorgenommen werden wenn z B der Administrator vor Ort Einstellungen vornimmt berichtet der Cl
388. verwenden wollen bindet SafeGuard Easy diese Funktion problemlos ein Wird SafeGuard Easy mit CSS kombiniert besteht f r den Benutzer die M glichkeit sich nach der Pre Boot Authentisierung automatisch an das TPM anmelden zu lassen Die Daten werden in diesem Fall von SafeGuard Easy gespeichert automatisch an den SafeGuard Logon Prozess weitergegeben und der Benutzer wird nicht durch zus tzliche Passw rter belastet m Zufallsschl ssel ber TPM erzeugen Der ESS TPM Chip besitzt einen Generator der Zufallszahlen er zeugt SafeGuard Easy nutzt diesen Mechanismus zum Erzeugen von Session Keys und Zufallsschl sseln m Verbindung von SafeGuard Easy Client und SafeGuard Easy Server ber TPM sichern SafeGuard Easy kann den TPM Generator auch f r die Sicherung der Verbindung Client Server im Rahmen der zentralen Administ ration nutzen SafeGuard Easy Client und SafeGuard Easy Server erzeugen im Rahmen der zentralen Administration jeweils ein RSA Schl ssel paar um sich gegenseitig zu authentisieren und die Verbindung zur Datenbank abzusichern Dieses Schl sselpaar kann auch vom ESS TPM Chip erzeugt werden m Maschinenbindung Erm glicht die Bindung einer Festplatte an ein bestimmtes ESS TPM Es ist dann nicht mehr m glich eine eventuell gestohlene Festplatte in einem anderen Computer zu verwenden Auch dann nicht wenn das Passwort bekannt ist 23 2 Chip Nutzung vorbereiten Bevor der Chip genutzt werden kann und vor der I
389. w hrleisten sollte das System folgenderma en konfiguriert sein m Installation mit Pre Boot Authentisierung Minimale Passwortl nge 6 Zeichen Algorithmen AES 128 AES 256 oder 3DES verwenden m Vollst ndige Verschl sselung der Festplatte aktivieren m Disketten Wechselmedienverschl sselung aktivieren m Benutzer d rfen Disketten Wechselmedienverschl sselung nicht schalten m SafeGuard Easy Bildschirmsperre aktivieren m Bei der manuellen Definition von Schl sseln ist eine m glichst gro e Anzahl von zuf llig gew hlten Zeichen max 32 Zeichen einzugeben Es sollten keine trivialen Schl ssel vergeben werden da diese leicht von einem Angreifer erraten werden k nnen 310 23 SafeGuard Easy und Lenovo Thinkvantage Technologien Embedded Security Subsystem ESS Chip Die Trusted Computing Group TCG hat sich als Zusammenschluss inter nationaler Hersteller zum Ziel gesetzt die Sicherheit und Vertrauensw r digkeit moderner Computer Plattformen und Betriebssysteme zu verbessern Als Kerntechnologie dient das Trusted Platform Module TPM ein in das Motherboard eingebauter kryptographischer Hardware Chip welcher als kryptografisches Device als sicherer Schl sselspeicher und Zufallszah lengenerator dient hnlich wie bei Smartcards ben tigt auch das TPM passende Software um seine Leistungsf higkeit entfalten zu k nnen In seinen Basisfunktio nen kann das TPM Schl ssel gesichert verwalten und diese
390. wenden Sie den Konfigurationsdateiassistenten Damit erstellen Sie eine Datei in der die Definitionen gesichert werden Die Konfigurationsdatei wird ber eine vorkonfigurierte Installation an die Benutzer PCs weitergegeben Wenn Sie am Administrator PC andere Einstellungen verwenden wollen ist auch die Administration zu verwenden 8 2 Administration und Konfigurationsdateiassistenten starten r E Ba Nach einer Komplettinstallation legt SafeGuard Easy einen gleichnamigen Ordner unter Programme Utimaco an ber diesen sind die Administrati on und der Konfigurationsdateiassistent startbar 8 3 Die Administration Nach dem Start der Administration erscheint eine Anmeldemaske ber die Daten in SafeGuard Easy eingegeben werden k nnen und verlangt vor dem Zugriff g ltige SafeGuard Easy Zugangsdaten P SafeGuard Easy Anmeldung Die Zahl der Anmeldeversuche ist auf f nf begrenzt Danach muss das System neu gestartet werden um sich erneut anzumelden 92 8 3 1 _Administrations Fenster Nach der korrekten Eingabe der SafeGuard Easy Benutzerdaten ffnet sich das Administrations Fenster ioixi Datei View Benutzer Fernzugang Extras Hilfe Be i HET B Tokens amp Boot Manager Token Anmeldung wahlweise mit Token Verschl sselung Token Ausstellungsmodus Benutzer ER Benutzer El Wake On Lan Wake on LAN aktiviert Nein Anza
391. werden 19 2 Sperre der Windows Anmeldung Im Wake On LAN Modus ist der Rechner gegen lokale Windows Benutzeranmeldungen gesichert Es erscheint statt des gewohnten Windows Anmeldedialogs die Wake On LAN Meldung Eine Anmeldung an Windows ist nicht zul ssig da dieser Rechner ber Wake On LAN ohne Anmeldung gestartet wurde SafeGuard Easy E Eine Anmeldung an Windows ist nicht zul ssig da dieser Rechner ber Wake On LAN Die Sperre der Windows Anmeldung im WOL Modus funktioniert nur wenn die SafeGuard Anmeldekomponente Utimaco Master GINA installiert ist 19 3 Wake On LAN Meldung anpassen Die WOL Meldung Eine Anmeldung an Windows ist nicht zul ssig kann mit Standard Windows Mechanismen Registry Eintr ge zentral an gepasst werden SafeGuard Easy P Neustart Schaltfl che einf gen Die Schaltfl che Neustart wird im Dialog eingef gt wenn folgender Registry Key DWORD Wert auf 0 gesetzt wird HKEY_LOCAL_MACHINE SOFTWARE Utimaco SGEasy WOLDisableShutdown Meldunsgstext ndern Ein neuer Meldungstext erscheint wenn unter folgendem Registry Key Zeichenfolge ein neuer Text eingegeben wird HKEY_LOCAL_MACHINE Software Utimaco SGEasy WOLNotice 290 19 4 Wake On LAN Sperre tempor r aufheben Wenn Benutzer trotz WOL Modus ihren PC nutzen m ssen gibt es eine M glichkeit die Sperre zeitweise aufzuheben In der Pre Boot Phase erscheint in der linken ober
392. x Arbeitsstation Datum _Status Fehlerkennung WKS01 15 03 2005 13 11 08 Geplant 0 Die Auftr ge einer Warteschleife k nnen folgende Eigenschaften besitzen m Erfolgreich Der Request wurde auf dem SafeGuard Easy Client ausgef hrt und der Server hat eine Benachrichtigung ber den er folgreichen Abschluss erhalten m Fehlgeschlagen Der Request wurde ausgef hrt aber es trat ein Fehler w hrend der Ausf hrung auf und der Server wurde benach richtigt Die Bedeutung der angezeigten Nummer kann im Kapitel Fehlermeldungen nachgeschlagen werden m Wartend Der Request wurde zum SafeGuard Easy Client ge schickt es ist aber noch keine Nachricht ber eine erfolgreiche fehlgeschlagene Ausf hrung am Server eingetroffen Geplant Der Request wartet darauf zum SafeGuard Easy Client geschickt zu werden Dieser Zustand tritt ein sobald der SafeGuard Easy Client den Server kontaktiert oder wenn die Warteschleife in den Push Modus versetzt wird 480 31 9 Status eines SafeGuard Easy Clients Der Status einer Arbeitsstation bezeichnet die Art der Verbindung die zwi schen SafeGuard Easy Server und SafeGuard Easy Client besteht ber dies bestimmt der Status wie die Arbeitstations Queue vom SafeGuard Easy Server abgearbeitet wird Arbeitsstationen k nnen verschiedene Status annehmen n mlich m Standard Online Offline m Push ein m Push aus Die Status Standard Online und Offline zeigen die Art der
393. y 335 24 2 2 Voraussetzungen 2222c02sseeeeeeeesennenensnsnenn 335 24 3 Installation s 2 52 5 02000 use 336 24 3 1 Weder SafeGuard Easy noch Rescue and Recovery sind installiert 337 24 3 2 Nur SafeGuard Easy ist bereits installiert 338 24 4 Upgrade 00002000020000000sssensnnenensnnnsensnssssnssnnnen 340 24 4 1 Upgrade von SafeGuard Easy 0000000 340 24 4 2 Upgrade von Rescue and Recovery 340 24 5 Deinstallation rses000000ssrennsnnnereesnsnsnsreene 340 24 6 Sicherungskopie erstellen 000000000 341 24 7 Dateien aus SafeGuard Easy Backup wiederherstellen 0rss00000s0 sr 0000000000000 343 24 8 SafeGuard Easy System wiederherstellen 344 24 8 1 Boot Umgebung rsrsseeesnnnnenensnnsnsnnnnns 345 24 8 2 Vorgehensweise nessessessssssessssssnsnnsnnnes 345 24 9 Service Partition und Factory Recovery Partition 346 24 9 1 Besonderheiten rrs000000r ren 0n0ne 0 347 24 10 Was tun wenn esessssssssessssessssesssoesssoessesesseoose 349 Kompatibilit t zur Computrace Software der Absolute Software Corp 0rs00ssreeeneren00 351 Fernwartung Challenge Response 353 26 1 Funktionsweise s sseeseessseseoessssseessssesoeosssseoe 354 26 1 1 Response Code Assistenten f r PDA installieren 0000000000000000 0000000000 355 26 2 Challenge Code erzeugen
394. ystem wieder einen anderen Scan Code n mlich 1f 15 1f 14 12 27 Der Benutzer m sste Swste eintippen um sich erfolgreich zu authentisieren Weitere Tastaturlayouts finden Sie unter http www microsoft com globaldev reference keyboards mspx 13 3 2 International einheitliche Zugangsdaten f r SafeGuard Easy erzeugen Sobald SafeGuard Easy in internationalen Umgebungen eingesetzt wird ist sicherzustellen dass Passworte und Schl ssel auf allen verf gbaren Tastaturen korrekt eingegeben werden k nnen Auf weltweite Einsetzbar keit sollte insbesondere bei den SafeGuard Easy Benutzerprofilen geach tet werden die administrative Aufgaben erf llen Als Beispiel zu nennen w re das Challenge Response Verfahren wenn der anrufende Benutzer und der Helpdesk Benutzer der den Response Code Assistenten bedient unterschiedliche Tastaturlayouts benutzen Wenn die SafeGuard Easy Zugangsdaten besser Tastenfolgen aus ei ner Kombination der folgenden 21 Tasten erstellt werden ist die Chance f r einen problemlosen Einsatz von SafeGuard Easy in internationalem Umfeld sehr hoch Gedruckte Werte auf Hexadezimaler Scan Code den Tasten b 30 c 2E d 20 e 12 f 21 g 22 h 23 i 17 j 24 k 25 l 26 n 31 o 18 p 19 r 13 s 1F t 14 u 16 x 2D v 2F Leerzeichen 39 170 13 4 Allgemeine Passwortregeln Die Allgemeinen Passworteinstellun
395. zer E SYSTEM lt Ver ndern gt Konfiguriert Token Anmeldung ohne Token Passwort Passwort Konfiguriert Bf User lt Ver ndern gt Konfiguriert Token Anmeldung ohne Token Schablone Keine Standardbenutzer Nein Femadministration erlauben Nein Ablaufdatum Nein Passwortwechsel erlauben Ja Passwortwechsel 90 Passwort Passwort Konfiguriert Dr cke F1 f r Hilfe Partitionsweise keinfe Laufwerk e verschl sssel NUM A Benutzerpassworte sollten berlegt gew hlt werden damit sie nicht ein fach ausgesp ht werden k nnen Sie d rfen s mtliche Buchstaben Gro oder Kleinschreibung Ziffern und Zeichen 8 amp _ enthalten soweit die Zusammensetzung nicht durch die Allgemeinen Passwortre geln eingeschr nkt wurde Das Benutzerpasswort darf maximal 16 Zeichen umfassen Die Zahlen des Zahlenblocks d rfen nicht verwendet werden Doppelklicken Sie auf Passwort erscheint der Dialog in dem das Pass wort definiert wird 180 Benutzerpasswort festlegen x Um ein neues Benutzer Passwort vergeben zu k nnen mu dieses nochmals best tigt werden um Fehleingaben zu vermeiden Ausgew hlter Benutzer User Passwort ee Password Best tigen a iina Cancel Geben Sie in die obere Zeile das gew nschte Passwort ein und tragen Sie es erneut in das Feld Best tigung ein Die Wiederholung ist notwendig da Tippfehler vermieden werden sollen Die Gleichheit der eingegebenen Zei
396. zess der ein ODBC Interface nutzt 30 1 1 SafeGuard Easy Server SafeGuard Easy Datenbank Der SafeGuard Easy Server ist die zentrale Anlaufstelle f r alle Clients da hier die Einstellungen aller SafeGuard Easy Clients in einer Datenbank gespeichert werden In der Grundeinstellung hat SafeGuard Easy Microsoft Access als Daten banktyp implementiert unterst tzt jedoch auch den Microsoft SQL Server Die SafeGuard Easy Datenbank auf dem SafeGuard Easy Server enth lt folgende Informationen ber die SafeGuard Easy Clients m Aktuelle SafeGuard Easy Einstellungen ohne Passw rter und Schl ssel m Netzwerkname Diese Informationen sind ber die SafeGuard Easy Administrationskons ole einsehbar Auf dem Server wird zus tzlich das Verzeichnis Backups erstellt in dem automatisch von jeder am Server registrierten Arbeitsstation eine System kernsicherung erstellt wird die nach Konfigurations nderungen aktuali siert wird HINWEIS Wenn Sie SafeGuard Easy in Verbindung mit der serverbasierten Administration in einer neuen Installation anwenden m chten so kann sich der Einsatz des Utimaco Produkts der n chsten Generation SafeGuard Enterprise von Anfang an als vorteilhaft f r Sie erweisen SafeGuard Enterprise bietet erweiterte Verwaltungsoptionen u a die Integration von Active Directory die auf Web Service basierte Verteilung von Richtlinien sowie die Unterst tzung von Windows Vista Weitere Informationen erha
397. zeugt werden z B ypee6 amp und alle weiteren Buchstaben mit Accents HINWEIS Manche Tastaturlayouts erlauben ein Sonderzeichen mit einem Tastendruck oder in Kombination mit der SHIFT Taste zu erstellen z B Buchstaben mit Accent auf einer franz si schen Tastatur In diesem Fall akzeptiert die Passwortsynchro nisierung von SafeGuard Easy das Sonderzeichen m Weitere Einschr nkungen bei aktivierter Passwortsynchroni sierung Nicht mehr als 16 Windows Benutzer pro Maschine erlaubt 16 maximale Anzahl an SafeGuard Easy Benutzern Passwortsynchronisierung mit dem Token ist nur dann m g lich wenn der Token beim Passwortwechsel auch steckt 266 17 2 9 Was tun wenn die Passwortsynchronisierung fehlschl gt und eine Fehlermeldung angezeigt wird Folgende Gr nde sind denkbar m Das synchronisierte Passwort entspricht nicht den SafeGuard Easy Passwort Regeln es ist z B zu kurz etc Das synchronisierte Passwort enth lt ung ltige oder von SafeGuard Easy nicht unterst tzte Sonderzeichen m Das synchronisierte Passwort wurde laut SafeGuard Easy Pass worthistorie bereits verwendet Probleml sung Definieren Sie ein neues synchronisiertes Passwort das nicht mit den Windows SafeGuard Easy Regeln kollidiert nicht bekannt ist wie die Richtlinien f r das synchronisierte Passwort Windows Kennwort definiert werden Im Windows Startmen Einstellungen Systemsteu
398. zu authentisieren um Ver nderungen durchf hren zu d rfen Welches der beiden Programme zu verwenden ist h ngt von Ihrer indivi duellen Situation ab und wird im folgenden beschrieben 8 1 Funktionstrennung Zun chst muss definiert werden ob die Funktion des Administrators mit der des einfachen Benutzers kombiniert oder getrennt wird Bei getrenn ten Funktionen besteht die M glichkeit zus tzlich einen mehrere Verwal tungsgehilfen mit einzubeziehen m Kombinierte Funktion Der Benutzer ist selbst der Administrator Er konfiguriert SafeGuard Easy an seinem PC f r sich selbst eine Person Alle Einstellungen werden in der Administration vorge nommen Das Konfigurationsprogramm wird nicht ben tigt Es muss auch keine Konfigurationsdatei erstellt werden m Getrennte Funktionen an einem PC Der Administrator konfiguriert SafeGuard Easy am Benutzer PC Definiert er neben dem Benutzer auch einen Verwalter haben drei Personen Zugriff Es k nnen beliebig viele Personen hinzugef gt werden deren Rechte individuell einstellbar sind Die Konfiguration erfolgt in der Administration Das Konfigurationsprogramm wird nicht ben tigt da keine Konfigurationsdatei erstellt werden muss 90 m Getrennte Funktionen an mehreren PCs Der Administrator konfiguriert SafeGuard Easy an seinem PC f r mehrere Arbeitsstationen F r die weiteren Verwaltungsaufgaben kann ein Verwaltungsgehilfe eingebunden werden F r diese Aufgabe ver
Download Pdf Manuals
Related Search