ZENworks Endpoint Security Management - Hilfe zur
Contents
1. 2222222 e seen 39 1 7 1 Erl uterung ZENworks Storage Encryption Solution sasaaa 2er en 39 1 7 2 Freigabe verschl sselter Dateien 22222000 eer een een 40 1 8 Verwenden der Schl sselverwaltung 222220 seen rennen rennen ren 40 1 8 1 Exportieren von Verschl sselungsschl sseln 222222202 een een 41 1 8 2 Importieren von Verschl sselungsschl sseln 2 222220 2 seen 41 1 8 3 Generieren eines neuen Schl ssels 2 2 2220 eee een een een ren 42 1 9 Verwenden des ZENworks File Decryption Utility 2 222222 0 seen een een 42 1 9 1 Verwenden des File Decryption Utility 2 2 2220 22n seen een nenn 42 1 9 2 Konfigurieren des File Decryption Utility 22 2202 seen ren 42 1 10 Verwenden des Benutzerau erkraftsetzung Schl sselgenerators 22222222000 43 1 11 USB Laufwerkscanner 22 H2n dinie rennen een 44 2 Erstellen und Verteilen von Sicherheitsrichtlinien 47 2 1 Navigieren in der Verwaltungskonsole 222 22a enerenee rennen nennen 47 2 1 1 Verwenden der Registerkarten und des Baums f r Richtlinien 47 2 1 2 Verwenden der Richtliniensymbolleiste 22 222 22no seen 48 2 2 Erstellen von Sicherheitsrichtlinien 222222 e seen rennen ernennen 50 Inhalt 5 6 2 2 1 Allgemeine Richtlinieneinstellungen 2 2 2 Standorte 2 2 3 Integrit ts und Behebungsregeln 2 2 4 Einhaltungsberichterstellung 2 2 5 Herausgeben2. Datei e P GA Ameisen von Berarerechten II Sherhotsoptionen E Richt nien lfenkcher Schl ssel C rchrinsen f r Softwareeinachr nkung H 1P Scherhersnichtinien auf Lokaler Comp Boom in Securky Descriptor Definition Language SOOL Syrtax puterkorterkernnm rten verweigern mo niela Servere ER Domsnerwontroler Siorat usankcederungen f r LDAP Server ER Domsnermagbed Anderungen won Comauterkontenkennm rtenn lt Einwichten von geplanten Tasks erlauben Ir Fon ERlGersre vorhaten bei der Installation won nichtsignierten Treibern Sr Gerate Zugriff auf CO ROM Laufwerke auf kkal angemeldete Derutzer beschr nken seite Tugt md Dikettnrimdwerkn md k s ar germiiete Barst beschr nken ER Meruntertahren Auslagerungsati des virtuellen Arbeit speichees l schen Eiliterunterfahren Herunterfahren des Systems ohne Anmeldung zulassen Winter aktive Anmeldung Armenien wor Ablauf des Kannmorts zum ndern des Kennmorts auffordern finger aktive Anmeldung Anzahl avaschrenzuspeichender vorheriger Anmeldungen f r den Fall dass der Dom nenco Interaktive Armekin Berndzerindoemabionen anenigen wenn Skang gesperrt it AR Inter aktive Anmeldung Dom neneontrollerauthentifiserung zum Aufheben der Sperrung der Arbeitsstation erforder interativa Anmeldung Ken SIRGHALT HONTE erforderlich Einer atve Anmeldung Letzten Darntzernanan nicht ansegin Inder sitive Amekiri Nachricht f r Baratrer de uch anesai
3. IP Bei diesem Typ ist die Adresse auf 15 Zeichen beschr nkt und enth lt lediglich die Zahlen 0 9 sowie Punkte Beispiel 123 45 6 189 IP Adressen k nnen auch als Bereich eingegeben werden beispielsweise 123 0 0 0 123 0 0 255 MAC Bei diesem Typ ist die Adresse auf 12 Zeichen beschr nkt und enth lt lediglich die Zahlen 0 9 sowie die Buchstaben A F Gro und Kleinbuchstaben durch Doppelpunkte voneinander getrennt Beispiel 00 01 02 34 05 B6 5 Klicken Sie in die Dropdown Liste f r das ACL Verhalten und legen Sie fest ob die aufgelisteten ACL Verb rgt immer erlauben auch wenn s mtliche TCP UDP Ports geschlossen sind oder Nicht verb rgt Zugriff blockieren sein sollen 6 Wenn Sie Verb rgt ausgew hlt haben w hlen Sie optionale verb rgte Ports TCP UDP aus die diese ACL verwenden soll Diese Ports erlauben s mtlichen ACL Verkehr w hrend andere TCP UDP Ports ihre aktuellen Einstellungen beibehalten Die Auswahl von Keine bedeutet dass diese ACL jeden Port verwenden kann 7 Klicken Sie auf Richtlinie speichern So verkn pfen Sie eine vorhandene ACL bzw ein vorhandenes Makro mit dieser Firewall Einstellung 1 W hlen Sie Zugriffssteuerungsliste im Komponentenbaum aus und klicken Sie dann auf die Schaltfl che Komponente verkn pfen 2 W hlen Sie die ACL bzw Makros in der Liste aus Erstellen und Verteilen von Sicherheitsrichtliiniien 87 3 Konfigurieren Sie die Einstellungen f r das ACL Verhalten na
4. 7 Donnerstag Aktivieren beim Wechsel von E Freitag El Samstag Sonntag E Ausf hren des Zeitgebers ale und beim Wechsel zu Minuten Stunden Fehler beim Speichern Das Skriptwerkzeug verwendet die g ngigen Skriptsprachen VBScript oder JScript zur Erstellung von Regeln die sowohl einen Ausl ser wann die Regel ausgef hrt werden soll als auch das eigentliche Skript die Logik der Regel enthalten Der Administrator ist nicht auf einen Typ des auszuf hrenden Skripts eingeschr nkt Die Implementierung der erweiterten Skripterstellung erfolgt sequenziell gemeinsam mit anderen Integrit tsregeln Folglich unterbindet ein Skript dessen Ausf hrung geraume Zeit in Anspruch nimmt die Ausf hrung anderer Regeln einschlie lich zeitlich festgelegter Regeln so lange bis dieses Skript abgeschlossen ist So erstellen Sie eine neue erweiterte Skriptregel 1 Klicken Sie im Komponentenbaum mit der rechten Maustaste auf Erweiterte Skriptregeln und w hlen Sie dann die Option zum Hinzuf gen neuer Skriptregeln 2 Geben Sie einen Namen und eine Beschreibung f r die Regel ein Erstellen und Verteilen von Sicherheitsrichtliiniien 105 3 Geben Sie die Ausl se Ereignisse an Zeitpunkte und Tage f r die Ausf hrung Sie k nnen bis zu f nf unterschiedliche Zeitpunkte f r die Skriptausf hrung angeben Das Skript wird w chentlich ausgef hrt und zwar an den ausgew hlten Tagen Zeit
5. I Client Selbstverteidigung m A Integrit ts Erzwingung 0 Standort 0 Ausgehende Inhalte Einhaltung Administrative Overrides 0 Endpunkt Aktualisierungen USB Devices 0 Wireless Erzwingung E Warnmeldungen Berichte werden durch Angabe des Datumsbereichs und anderer Parameter beispielsweise Benutzer oder Standort konfiguriert Wenn Sie die Daten festlegen m chten erweitern Sie die Ansicht so dass der Kalender angezeigt wird und w hlen Sie dann Monat und Tag aus Klicken Sie in jedem Fall auf den Tag um den Datumsparameter zu ndern Verwenden der ZENworks Endpoint Security Management Konsole 29 Berichte Datumsbereich Donnerstag 20 M rz 2008 m M rz 2008 gt 1 2 456789 11 12 13 14 15 16 18 19 23 2 23 25 265 27 28 29 30 Heute 20 03 2008 Mit Anzeigen wird der Bericht generiert Nachdem ein Bericht generiert wurde k nnen Sie die Symbolleiste f r Berichte nutzen um den Bericht in der Verwaltungskonsole anzuzeigen den Bericht zu drucken den Bericht als E Mail zu senden oder ihn als pdf Datei zu exportieren Auz A Beim Ansehen von Berichten navigieren Sie mithilfe der Pfeiltasten durch die Seiten des Berichts Berichte enthalten in der Regel auf der ersten Seite Diagramme und auf den brigen Seiten die gesammelten Daten nach Datum und Zeit geordnet ber die Schaltfl che Drucker wird der vollst ndige Bericht auf dem Standarddrucker f r diesen Comput
6. auf Seite 72 7 Klicken Sie auf Richtlinie speichern Wenn Ihre Richtlinie Fehler aufweist ziehen Sie Abschnitt 2 2 6 Fehlerbenachrichtigung auf Seite 112 zurate 8 Definieren Sie die Integrit tspr fungen 9 Wiederholen Sie die obigen Schritte um gegebenenfalls einen neuen Antivirus oder Spyware Test zu erstellen Integrit tspr fungen Mithilfe der Pr fungen f r die einzelnen Tests wird ermittelt ob einer oder mehrere der Antivirus Spyware Prozesse ausgef hrt werden bzw ob essenzielle Dateien vorhanden sind Mindestens eine Pr fung muss definiert werden damit ein Integrit tstest ausgef hrt werden kann Erstellen und Verteilen von Sicherheitsrichtliniien 103 Datei Tools Komponenten Anzeigen Hilfe E Richtlinie speichern Neue Komponente Komponente zuweisen amp Komponente entfernen Richtlinien Security Policy Allgemeine Richtinieneinstellungen Standorte Integrit ts und Sanierungsregeln Einhaltungs Berichterstellung Ver ffentlichen 3 Integrit ts und Sanierungsreg e B Antivirus Spyware Regeln Integrit tspr fungen ER OfficeScan 2E 9 8 Tests T Sf Installed EE Integrit tspr Vorgang wird ausgef hrt E EE Datei vorhanden E System Proces E Client running Erweiterte Skripterstellungs Dateiname ntrtscan exe Verzeichnis CAProgramme Trend Micro Client Server Security Vergleich Gr er oder gleich x Vergleichen nach Datum Alter 24 11 20
7. Richtlinien ver ffentlichen auf Seite 111 Aktualisieren einer ver ffentlichten Richtlinie auf Seite 112 Richtlinien ver ffentlichen 1 W hlen Sie eine Benutzergruppe oder Einzelbenutzer im Verzeichnisbaum links aus Doppelklicken Sie auf Benutzer um sie auszuw hlen ist eine Benutzergruppe ausgew hlt sind alle Benutzer eingeschlossen Neben den Namen von Benutzern die die Richtlinie nicht erhalten haben wird das Symbol g angezeigt Wenn ein Benutzer eine Gruppe die Richtlinie bereits erhalten hat wird neben den Eintr gen im Verzeichnisbaum das Symbol E angezeigt Erstellen und Verteilen von Sicherheitsrichtlinien 111 Wenn Sie die Auswahl eines Benutzers einer Gruppe aufheben m chten doppelklicken sie das jeweilige Element um das Symbol t gt zu entfernen 2 Klicken Sie auf Ver ffentlichen um die Richtlinie an den Richtlinienverteilungsservice zu senden Aktualisieren einer ver ffentlichten Richtlinie Nachdem eine Richtlinie f r Benutzer ver ffentlicht wurde k nnen einfache Aktualisierungen verwaltet werden indem die Komponenten in einer Richtlinie bearbeitet werden und die Richtlinie erneut ver ffentlicht wird Wenn der ZENworks Endpoint Security Management Administrator beispielsweise den WEP Schl ssel f r einen Zugriffspunkt ndern muss muss er lediglich den Schl ssel bearbeiten die Richtlinie speichern und dann auf Ver ffentlichen klicken Die betroffenen Benutzer erhalten die aktualisier
8. 2 222220 een een nennen 24 1 5 Verwenden der Warnmeldungs berwachung 2 2 2222 n ss nene een nn 25 1 5 1 Konfigurieren von ZENworks Endpoint Security Management f r Warnmeldungen 26 1 5 2 _ Warnmeldungsausl ser konfigurieren 2222222 eee een een ern 27 1 5 3 _ Verwalten von Warnmeldungen 2 22202 seen rennen rn 28 1 6 Verwenden von Berichten 4 2 42 2 r 20s zes nes an ee ee ana 29 1 6 1 Adherence Reports u 0 2 302 2 202 0 20002 000 Dan son na ne an E ne 31 1 6 2 Drill Down Berichte f r Warnmeldungen 2222222 ee rennen nen 32 1 6 3 Berichte ber Anwendungssteuerung 222220 eee ernennen een 33 1 6 4 Encryption Solution Reports 2 22 22m onen rennen ernennen 34 1 6 5 Berichte ber Endpunktaktivit ten 222 auaa en nennen 34 1 6 6 Berichte ber Endpunktaktualisierungen 22 22n2ee seen 35 1 6 7 Client Self Defense Reports 2 2 2 2 2 een 35 1 6 8 Integrity Enforcement Reports 2222 un seen nern nennen 35 1 6 9 St ndortberichte 1 nse a one ne ee rn k er he 36 1 6 10 Outbound Content Compliance Reports 22 2222 ne nennen nennen 37 1 6 11 Administrative Overrides Report 22 2222 ee seen een nennen 37 1 6 12 Berichte ber Endpunktaktualisierungen 22222202 ee rennen nenn 38 1 6 13 Wireless Enforcement Reports 2222220 eeeeeee rennen een nn 38 1 7 Verwenden von ZENworks Storage Encryption Solution
9. 2 2 6 Fehlerbenachrichtigung 2 2 7 Auslastung anzeigen 2 3 Importieren und Exportieren von Richtlinien 2 3 1 Importieren von Richtlinien 2 3 2 Exportieren einer Richtlinie 2 3 3 Exportieren von Richtlinien an nicht verwaltete Benutzer ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Verwenden der ZENworks Endpoint Security Management Konsole Die Verwaltungskonsole dient dem zentralen Zugriff und der Steuerung des Novell ZENworks Endpoint Security Management Service Wenn Sie das Anmeldefenster der Verwaltungskonsole aufrufen m chten w hlen Sie die Optionsfolge Start gt Alle Programme gt Novell gt ESM Management Console gt Verwaltungskonsole Melden Sie sich bei der Konsole an indem Sie Namen und Passwort des Administrators angeben Der eingegebene Benutzername muss einem autorisierten Benutzer im Verwaltungsdienst entsprechen siehe Abschnitt 1 3 Wenn Sie Berechtigungseinstellungen auf Seite 10 Hinweis Es empfiehlt sich die Konsole zu schlie en bzw zu minimieren wenn sie nicht verwendet wird 1 1 Verwenden der Taskleiste Die Taskleiste auf der linken Seite erm glicht den Zugriff auf die Aufgaben der Verwaltungskonsole Wird die Taskleiste nicht angezeigt klicken Sie links in der Konsole auf die Schaltfl che Aufgaben Aufgaben q Richtlinienaufgaben EF Aktive Richtlinien Richtlinie erstellen Richtlinie importieren Richtlinien Richtlinienname Richtliniena
10. Abschnitt 2 2 6 Fehlerbenachrichtigung auf Seite 112 zurate So verkn pfen Sie eine vorhandene erweiterte Skriptregel 1 W hlen Sie Erweiterte Skriptregeln im Komponentenbaum aus und klicken Sie auf Neue verkn pfen 2 W hlen Sie die gew nschten Regeln in der Liste aus 3 Definieren Sie Ausl se Ereignis Variablen bzw Skript nach Bedarf neu Hinweis Wenn Sie die Einstellungen in einer freigegebenen Komponente ndern beeinflusst dies alle Instanzen dieser Komponente Mithilfe des Befehls Auslastung anzeigen k nnen alle anderen mit dieser Komponente verkn pften Richtlinien angezeigt werden 4 Klicken Sie auf Richtlinie speichern Wenn Ihre Richtlinie Fehler aufweist ziehen Sie Abschnitt 2 2 6 Fehlerbenachrichtigung auf Seite 112 zurate 106 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Skriptvariablen Dies ist eine optionale Einstellung mit welcher der Administrator eine Variable var f r das Skript definieren kann Damit hat er die M glichkeit ZENworks Endpoint Security Management Funktionalit t zu verwenden z B benutzerdefinierte Meldungen oder Hyperlinks starten zu einem definierten Standort oder einer Firewall Einstellung umschalten oder den Wert einer Variablen zu ndern ohne das eigentliche Skript zu ndern Datei Tools Komponenten Anzeigen Hilfe E Richtlinie speichern Neue Komponente Komponente zuweisen amp Komponente entfernen Richtlinien Securit
11. Es kann eine Voreinstellung f r den Verbindungsaufbau mit Zugriffspunkten festgelegt werden nach Verschl sselungsstufe oder Signalst rke wenn zwei oder mehr Zugriffspunkte in die Liste der verwalteten und gefilterten Zugriffspunkte aufgenommen werden Durch die ausgew hlte Stufe wird die Konnektivit t mit Zugriffspunkten erzwungen die mindestens die Mindestverschl sselungsanforderung erf llen Wenn beispielsweise WEP 64 die Verschl sselungsanforderung ist und die Verschl sselung ausschlaggebend ist haben Zugriffspunkte mit dem h chsten Verschl sselungsgrad Vorrang vor allen anderen Wenn die Signalst rke ausschlaggebend ist hat beim Verbindungsaufbau das st rkste Signal Vorrang 2 2 3 Integrit ts und Behebungsregeln ZENworks Endpoint Security Management bietet die M glichkeit zu berpr fen ob erforderliche Software am Endpunkt ausgef hrt wird und stellt bei einem negativen Ergebnis sofortige Abhilfeprozeduren zur Verf gung Die folgenden Abschnitte enthalten weitere Informationen Antivirus und Spyware Regeln auf Seite 100 Integrit tstests auf Seite 102 Integrit tspr fungen auf Seite 103 Erweiterte Skriptregeln auf Seite 105 Antivirus und Spyware Regeln Antivirus und Spyware Regeln pr fen ob vorgesehene Antivirus oder Spyware Software am Endpunkt ausgef hrt wird und auf dem neuesten Stand ist Mithilfe von Tests wird ermittelt ob die Software l uft und die Version a
12. en Spei en Diese Wammeldung aktivieren 2 Passen Sie den Schwellenwert f r den Ausl ser an indem Sie in der Dropdown Liste eine Bedingung ausw hlen Damit legen Sie das Verh ltnis zur Ausl seranzahl fest Gleich Gr er als lt Gr er gleich lt Kleiner als gt Kleiner gleich gt Verwenden der ZENworks Endpoint Security Management Konsole 27 3 Stellen Sie die Ausl seranzahl ein Diese Zahl variiert abh ngig vom Typ der Warnmeldung 4 W hlen Sie das Intervall aus innerhalb dessen diese Zahl erreicht werden muss 5 W hlen Sie den Ausl sertyp aus Hierbei kann es sich um ein Warnsymbol Cl oder ein Notfallsymbol handeln 6 Vergewissern Sie sich dass das Kontrollk stchen Diese Warnmeldung aktivieren aktiviert ist 7 Klicken Sie auf Speichern um die Warnmeldung zu speichern 1 5 3 Verwalten von Warnmeldungen Warnmeldungen informieren Sie ber Probleme die innerhalb der Endpunkt Sicherheitsumgebung behoben werden m ssen Abhilfe wird normalerweise individuell oder auf Gruppenbasis geschaffen Als Hilfe bei der Problemsuche werden Warnmeldungsberichte angezeigt wenn die Warnmeldung ausgew hlt wird E Vorwatungskonsots uni Diem Tick namen Mile Autgaben 3 Wammaianga Endeuna anding FED Vans seoaty D Sechesrg ig Communication part Secusty S Potenkal pot scan giemgted g Wermeiiegn J Clant irieg y von 24052007 135052 IrNDX lt SERATA M
13. r die Generierung dieses Berichts sind keine Parameter erforderlich Removable Storage Activity by Device Zeigt Wechseldatentr ger auf die Dateien kopiert wurden W hlen Sie Datumsbereich Benutzernamen sowie Standorte aus um diesen Bericht zu generieren Kopiervorg nge von Wechseldatentr ger nach Konto Zeigt Dateien an die von Wechselspeicherger ten auf verwaltete Ger te kopiert wurden Detected Removable Storage Devices Zeigt Wechseldatentr ger die am Endpunkt erkannt wurden W hlen Sie Datumsbereich Benutzernamen und Standorte aus um diesen Bericht zu generieren Verwaltungsinnsehe BAX Date Toch Anzepen He Zu Palast Po Wat Di Fuge var tee _ IHASSAR Sove 20 Mar O f Zl re Diagramm ESM Konten die die meisten unterschiedlichen Wechseldatentr gerger te verwendet haben noss FARE 3 hasbi m vas monteton Wechnch enei som ger ateo Detected Removable Storage Devices LEXAKJUMFIPRIYE LSH Doder G son Cumert Page Ne 1 Tetai Page No 4 Zeem Fi Prstung Deggrblchen Se md de Zei um zu dem Feher du nmgeren Diagramm ber 7 Tage Wechselspeicheraktivit ten nach Konto Zeigt ein Diagramm mit Konten die k rzlich Daten auf ein Wechselmedium kopiert haben Geben Sie den Datumsbereich an um diesen Bericht zu generieren 1 6 11 Administrative Overrides Report Der Administrative Overrides Report gibt Aufschluss ber Instanzen in denen Selbstverteidigungsmecha
14. zus tzliche Einstellungen auf den Adapter an diesem Standort angewendet werden F r den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Standorte und klicken Sie dann im Richtlinienbaum auf der linken Seite auf Wi Fi Sicherheit Hinweis Wird im Bereich f r die Wi Fi Sicherheit oder die Wi Fi Verwaltung die Auswahl der Option Aktivieren aufgehoben wird jegliche Wi Fi Konnektivit t an diesem Standort deaktiviert I Verwaltung skonsole Seu Fol Datei Tools Komponenten Anzeigen Hilfe Meldung wenn Minimum richt erreicht ist Kane Verschunselung etorierich wert WEP 128 Prutung Doppmik scken Sse md de Zale uen zu dem Fehler zu nannperen Der Wi Fi Adapter kann so konfiguriert werden dass er an einem bestimmten Standort nur mit Zugriffspunkten mit einem bestimmten Verschl sselungsgrad kommuniziert Wird beispielsweise eine WPA Konfiguration von Zugriffspunkten in einer Zweigstelle bereitgestellt kann der Adapter darauf beschr nkt werden nur mit Zugriffspunkten mit dem Verschl sselungsgrad WEP 128 oder einem h heren Grad zu kommunizieren So wird verhindert dass unbeabsichtigt mit fremden Zugriffspunkten kommuniziert wird die nicht sicher sind Es empfiehlt sich eine benutzerdefinierte Meldung zu verfassen wenn eine andere sicherere Einstellung als die verwendet wird die besagt dass keine Verschl sselung erforderlich ist Erstellen und Verteilen von Sicherheitsrichtliiniien 99
15. 2b W hlen Sie die entsprechenden Benutzer oder Gruppen in der Liste aus Wenn Sie mehrere Benutzer ausw hlen m chten k nnen Sie diese bei gedr ckt gehaltener Steuerungstaste einzeln ausw hlen Sie k nnen auch eine Reihe von Benutzern ausw hlen indem Sie den oberen Eintrag ausw hlen die Umschalttaste gedr ckt halten und dann den unteren Eintrag ausw hlen 2c Sind alle Benutzer oder Gruppen ausgew hlt klicken Sie auf OK 3 Weisen Sie den verf gbaren Benutzern bzw Gruppen einige oder alle Berechtigungen zu Wenn Sie einen ausgew hlten Benutzer eine ausgew hlte Gruppe entfernen m chten w hlen Sie den Namen aus und klicken Sie dann auf Entfernen Der ausgew hlte Name wird wieder in die Organisationstabelle verschoben 1 3 2 Einstellungen f r Ver ffentlichen an Benutzer bzw Gruppen f r die Richtlinie herausgeben aktiviert ist m ssen Benutzern oder Gruppen zugewiesen werden an die sie ver ffentlichen k nnen So legen Sie die Einstellungen f r Ver ffentlichen an fest 1 Klicken Sie auf die Registerkarte Einstellungen f r Ver ffentlichen an 2 W hlen Sie in der Dropdown Liste die Benutzer bzw Gruppen mit der Berechtigung Ver ffentlichen aus 12 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole WE Berechtigungen Verwaltungsberechtigungen In Einstellungen ver ffentlichen E Administrator x PMarek DEW3SQLS_TEST Schlie en Hinzuf gen
16. Alert Data Berichtet ber den Verlauf von bestandenen und nicht bestandenen Client Integrit tspr fungen Override Attempts Alert Data Zeigt Instanzen in denen Selbstverteidigungsmechanismen des Client administrativ au er Kraft gesetzt wurden um privilegierte Kontrolle ber den ZENworks Security Client zu erhalten Port Scan Alert Data Zeigt die Anzahl blockierter Pakete bei der angegebenen Anzahl verschiedener Ports an Eine gro e Anzahl an Ports kann darauf hinweisen dass ein Portscan erfolgt ist Uninstall Attempt Alert Data Listet Benutzer auf die versucht haben den ZENworks Security Client zu deinstallieren Unsecure Access Point Alert Data Listet nicht sichere Zugriffspunkte auf die vom ZENworks Security Client erkannt wurden Unsecure Access Point Connection Alert Data Listet nicht sichere Zugriffspunkte auf mit denen der ZENworks Security Client eine Verbindung hergestellt hat 1 6 3 Berichte ber Anwendungssteuerung In Berichten ber Anwendungssteuerung werden s mtliche unbefugten Versuche blockierter Anwendungen auf das Netzwerk zuzugreifen bzw zur Ausf hrung zu gelangen obwohl dies durch die Richtlinie untersagt ist angezeigt Folgender Bericht steht zur Verf gung Application Control Details Zeigt das Datum den Standort die vom ZENworks Security Client ergriffene Ma nahme die Anwendung die versucht hat zur Ausf hrung zu gelangen sowie die H ufigkeit an mit der die Anwendun
17. Das bedeutet dass die ersten Berichts 30 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole und Warnmeldungsdaten erst 12 Stunden nach der Installation von ZENworks Endpoint Security Management zur Verf gung stehen Um diesen Zeitrahmen anzupassen ffnen Sie das Werkzeug Konfiguration siehe Planung auf Seite 15 und passen Sie das Intervall f r Client Berichte an die Anzahl der Minuten an die f r Ihre Anforderungen und Ihre Umgebung geeignet sind Bei Berichten ohne Daten ist die Schaltfl che Konfigurieren bzw Vorschau abgeblendet darunter ist 0 Daten zu lesen Keine Daten Folgende Berichte stehen zur Verf gung Abschnitt 1 6 1 Adherence Reports auf Seite 31 Abschnitt 1 6 2 Drill Down Berichte f r Warnmeldungen auf Seite 32 Abschnitt 1 6 3 Berichte ber Anwendungssteuerung auf Seite 33 Abschnitt 1 6 4 Encryption Solution Reports auf Seite 34 Abschnitt 1 6 5 Berichte ber Endpunktaktivit ten auf Seite 34 Abschnitt 1 6 6 Berichte ber Endpunktaktualisierungen auf Seite 35 Abschnitt 1 6 7 Client Self Defense Reports auf Seite 35 Abschnitt 1 6 8 Integrity Enforcement Reports auf Seite 35 Abschnitt 1 6 9 Standortberichte auf Seite 36 Abschnitt 1 6 10 Outbound Content Compliance Reports auf Seite 37 Abschnitt 1 6 11 Administrative Overrides Report auf Seite 37 Abschnitt 1 6 12
18. Entfernen 3 Weisen Sie diesem Benutzer dieser Gruppe Benutzer bzw Gruppen zu 3a Klicken Sie am unteren Bildschirmrand auf Hinzuf gen Daraufhin wird die Organisationstabelle angezeigt 3b W hlen Sie die entsprechenden Benutzer oder Gruppen in der Liste aus Mit Steuerungstaste bzw der Umschalttaste lassen sich mehrere Benutzer ausw hlen 3c Sind alle Benutzer bzw Gruppen ausgew hlt klicken Sie auf die Schaltfl che OK um die Benutzer und Gruppen der Ver ffentlichungsliste des ausgew hlten Namens hinzuzuf gen W Berechtigungen X Verwaltungsberechtigungen In Einstellungen ver ffentlichen Administrator PMarek DEW3S0L5 TEST Benutzer Gruppen Organisationen f DEW3SQLS_TEST SYSTEM d Administrators DEW3SQLS_TEST 4 Domain Admins DEW3SQLS_TEST Domain Users DEW3SQLS_TEST T Enterprise Admins DEW3SQLS_TEST Group Policy Creator Owners DEW3SQLS_TEST i Schema Admins DEW3SQLS_TEST 4 Users DEW3SOLS_TEST Schlie en Hinzuf gen Entfernen Die Berechtigungss tze werden umgehend implementiert 4 Wenn Sie einen ausgew hlten Benutzer bzw eine ausgew hlte Gruppe entfernen m chten w hlen Sie den Namen in der Liste aus und klicken Sie dann auf Entfernen 5 Mit Schlie en bernehmen Sie die nderungen und kehren zum Editor zur ck Verwenden der ZENworks Endpoint Security Management Konsole 13 Der ausgew hlte Name wird wied
19. Portbereiche wie folgt ein Einzelne Ports Einen Portbereich mit der ersten Portnummer gefolgt von einem Bindestrich und der letzten Portnummer Mit 1 100 werden beispielsweise alle Ports von 1 bis 100 hinzugef gt Eine vollst ndige Liste von Ports und Transporttypen finden Sie auf der Webseite Assigned Numbers Authority http www iana org 6 Klicken Sie auf Richtlinie speichern So verkn pfen Sie einen bestehenden TCP UDP Port mit dieser Firewall Einstellung 1 W hlen Sie TCP UDP Anschl sse im Komponentenbaum aus und klicken Sie dann auf die Schaltfl che Komponente verkn pfen 2 W hlen Sie die gew nschten Ports in der Liste aus 3 Konfigurieren Sie die Einstellungen f r das Standardverhalten Wenn Sie die Einstellungen in einer freigegebenen Komponente ndern beeinflusst dies alle Instanzen dieser Komponente Mithilfe des Befehls Auslastung anzeigen k nnen alle anderen mit dieser Komponente verkn pften Richtlinien angezeigt werden 4 Klicken Sie auf Richtlinie speichern Mehrere TCP UDP Portgruppen wurden geb ndelt und stehen bei der Installation zur Verf gung 84 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Name Beschreibung Transport Wert Alle Ports Alle Ports Alle 1 65535 BlueRidge VPN Ports die vom BlueRidge VPN Client UDP 820 genutzt werden Cisco VPN Ports die vom Cisco VPN Client IP 50 51 genutzt werden jbp 500 4500 UDP 1000 1200 UDP 62514 62515 62517 UDP 62519 62521
20. Standortnutzung also beispielsweise dar ber welche Standorte von den Benutzern am h ufigsten genutzt werden Folgender Bericht steht zur Verf gung Daten zur Standortnutzung nach Datum und Benutzer Stellt von individuellen Clients erfasste Daten ber die verwendeten Standorte und den jeweiligen Zeitpunkt der Verwendung bereit Datumsangaben werden in UTC Universal Coordinated Time angezeigt Bei den angezeigten Standorten handelt es sich um von dem Benutzer genutzte Standorte nicht genutzte Standorte werden nicht angezeigt W hlen Sie einen Datumsbereich aus um den Bericht zu generieren Verwaltungibanzohe BOX Deren gan HSARA fonrenn 0 wo gt naa Domes Diagramm Standorte an denen ESM CHents die meiste Zeit verbracht haben Diagramm ESM Konten die an den meisten Standorten Zeit verbracht haben snoss PARAK Gas son Cument Page Ne Tatal Page No 3 Zeem Factor 100 Pidung Degpebichen Se a de Zeile um zu dem Fehlen zu ngoen 36 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole 1 6 10 Outbound Content Compliance Reports Outbound Content Compliance Reports stellen Informationen zur Nutzung von Wechsellaufwerken bereit und geben Aufschluss dar ber welche Dateien auf diese Laufwerke heraufgeladen wurden Folgende Berichte stehen zur Verf gung Removable Storage Activity by Account Zeigt Konten die Daten auf Wechselspeichermedien kopiert haben F
21. UDP 62532 62524 Allgemeines Networking Allgemein verwendete Netzwerkports TCP 53 f r die Erstellung von Firewalls BE 85 UDP 67 68 TCP 546 547 UDP 546 547 TCP 647 847 UDP 647 847 Datenbankkommunikatio Microsoft Oracle Siebel TCP 4100 n Sybase SAP Datenbankports Tep ie TCP 1433 UDP 1444 TCP 2320 TCP 49998 TCP 3200 TCP 3600 File Transfer Protocol Port f r das File Transfer Protocol TCP UDP 21 FTP Erstellen und Verteilen von Sicherheitsrichtlinien 85 Name Beschreibung Transport Wert Instant Messaging Microsoft AOL und Yahoo Instant TCP 6891 6900 Messaging Ports TCP 1863 443 UDP 1863 443 UDP 5190 TCP 6901 UDP 6901 TCP 5000 5001 UDP 5055 TCP 20000 20059 UDP 4000 TCP 4099 TCP 5190 Internet Key Exchange Ports die von Internet Key Exchange UDP 500 kompatibles VPN kompatiblen VPN Clients genutzt werden Microsoft Networking bliche Dateifreigabe Active TCP UDP 135 139 445 Directory Ports Offene Ports Ports die f r diese Firewall offen sind TCP UDP 80 Streaming Medien bliche Ports f r Microsoft und Real TCP 7070 554 1755 8000 Streaming Media Webbrowser bliche Webbrowser Ports Alle 80 443 einschlie lich SSL Zugriffssteuerungslisten Es gibt Adressen bei denen unerw nschter Datenverkehr m glicherweise passieren k nnen muss ungeachtet des aktuellen Portverhaltens z B Sicherungsserver oder Exchange Server Instanz des Unternehmens In Instanzen in denen unerw nschte
22. aktuellen Client IP Konfiguration Wenn dieser Wert eingegeben wird erlaubt der ZENworks Security Client s mtlichen Netzwerkverkehr vom Standard DNS Server der aktuellen IP Konfiguration als verb rgte ACL Wie Dns jedoch f r alle definierten DNS Server Repr sentiert die Standard DHCP Server Adresse der aktuellen Client IP Konfiguration Wenn dieser Wert eingegeben wird erlaubt der ZENworks Security Client s mtlichen Netzwerkverkehr vom Standard DHCP Server der aktuellen IP Konfiguration als verb rgte ACL Wie Dhcp jedoch f r alle definierten DHCP Server Anwendungssteuerungselemente Diese Funktion erm glicht es dem Administrator f r Anwendungen den Netzwerkzugriff zu blockieren oder einfach ihre Ausf hrung ganz zu verhindern Hinweis Diese Funktion steht nur bei der ZENworks Endpoint Security Installation zur Verf gung und kann f r UWS Unlimited Web Solutions Sicherheitsrichtlinien nicht verwendet werden F r den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Standorte klicken Sie auf das Symbol neben Firewall Einstellungen klicken Sie auf das Symbol neben der gew nschten Firewall und klicken Sie dann im Richtlinienbaum auf der linken Seite auf das Symbol f r Anwendungssteuerelemente Erstellen und Verteilen von Sicherheitsrichtliiniien 89 amp Komponente entfernen DD Arwerungssie Kartarsn tugen Aufitengevetaten a O Nezwerkumgebungen amp USE Konnekavitat Fe V
23. der ZENworks Security Client die Standortsicherung f r mobile Benutzer Die Entscheidung hinsichtlich der Verf gbarkeit von Ports der Verf gbarkeit von Netzwerkanwendungen dem Zugriff auf Speicherger te sowie dar ber ob die Konnektivit t verkabelt oder kabellos Wi Fi erfolgt trifft der Administrator f r die einzelnen Standorte Sicherheitsrichtlinien k nnen ganz individuell f r das Unternehmen einzelne Benutzergruppen oder einzelne Benutzer Computer erstellt werden Sicherheitsrichtlinien k nnen f r 100 ige Mitarbeiterproduktivit t bei gleichzeitigem Schutz des Endpunkts sorgen Mitarbeiter k nnen jedoch auch auf die Ausf hrung bestimmter Anwendungen und die ausschlie liche Nutzung autorisierter Hardware beschr nkt werden Die folgenden Abschnitte enthalten weitere Informationen Abschnitt 2 1 Navigieren in der Verwaltungskonsole auf Seite 47 Abschnitt 2 2 Erstellen von Sicherheitsrichtlinien auf Seite 50 Abschnitt 2 3 Importieren und Exportieren von Richtlinien auf Seite 113 2 1 Navigieren in der Verwaltungskonsole So erstellen Sie eine Sicherheitsrichtlinie 1 W hlen Sie in der Verwaltungskonsole die Optionsfolge Datei gt Neue Richtlinie erstellen 2 Geben Sie den Namen f r die neue Richtlinie an und klicken Sie dann auf Erstellen Daraufhin wird die Verwaltungskonsole mit der Symbolleiste und den Registerkarten f r Richtlinien angezeigt In den nachfolgenden Abschnitten w
24. geht hervor welche Benutzer das Check in vorgenommen und die Aktualisierung erhalten haben Diagramm Art der Security Client Aktualisierungen bei denen ein Fehler aufgetreten ist Zeigt die ZENworks Security Client Aktualisierungen an bei denen ein Fehler aufgetreten ist und keine Korrektur erfolgte W hlen Sie den Datumsbereich aus und klicken Sie dann auf Anzeigen um den Bericht auszuf hren Aus dem Bericht geht hervor welche Benutzer das Check in vorgenommen haben bei denen die Aktualisierung jedoch nicht installiert werden konnte 1 6 13 Wireless Enforcement Reports Wireless Enforcement Reports geben Aufschluss ber Wi Fi Umgebungen denen der Endpunkt ausgesetzt ist Folgende Berichte stehen zur Verf gung Wireless Connection Availability Zeigt die Zugriffspunkte die f r Verbindungen zur Verf gung stehen nach Richtlinie und Standort Umfasst Kanal SSID MAC Adresse sowie Angaben dazu ob der Zugriffspunkt verschl sselt ist Wireless Verbindungsversuche Stellt eine Liste mit Zugriffspunkten bereit mit denen Ger te versucht haben eine Verbindung herzustellen nach Standort und Konto geordnet Wireless Umgebung Verlauf Stellt eine bersicht ber alle ermittelten Zugriffspunkte bereit ungeachtet des Eigent mers Gibt Aufschluss ber Frequenz Signalst rke sowie dar ber ob der Zugriffspunkt verschl sselt ist Datumsangaben werden in UTC Universal Coordinated Time angezeigt W hlen Sie die gew nsc
25. in der Dropdown Liste eine Einstellung aus die Einstellung f r das globale Wechselspeicherger t findet bei dieser Richtlinie keine Anwendung Aktivieren Den Ger ten in der Bevorzugt Liste werden uneingeschr nkte Lese Schreibrechte erteilt alle anderen USB Ger te und alle anderen externen Speicherger te werden deaktiviert Nur Lesen Den Ger ten in der Bevorzugt Liste wird das Recht Nur Lesen erteilt alle anderen USB Ger te und anderen externen Speicherger te werden deaktiviert Wiederholen Sie diese Schritte f r s mtliche Ger te die gem dieser Richtlinie zul ssig sind Auf s mtliche Ger te wird dieselbe Einstellung angewendet 94 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Importieren von Ger telisten Der Novell USB Laufwerkscanner generiert eine Liste mit Ger ten und deren Seriennummer Abschnitt 1 11 USB Laufwerkscanner auf Seite 44 Wenn Sie diese Liste importieren m chten klicken Sie auf Importieren und begeben Sie sich zu der Liste Daraufhin werden die Felder Beschreibung und Seriennummer ausgef llt Wi Fi Verwaltung Im Rahmen der Wi Fi Verwaltung kann der Administrator Listen mit Zugriffspunkten erstellen Durch die in diese Listen aufgenommenen Wireless Zugriffspunkte wird bestimmt mit welchen Zugriffspunkten der Endpunkt am Standort eine Verbindung herstellen darf Zudem wird hiermit festgelegt welche Zugriffspunkte f r den Endpunkt in Zero Configuration Man
26. inweraktive Anmeldung Armender vor Allan des Kenrworts zum ndern des Kenswsoets auff ndenn 14 Tage linker uve Anmelchung Ansah avascherzuspencheeher vorheriger An melkkungen f r den Fal dass der Dom nenco 10 Anmekdungen interaktive Anmeldung Benutzern oemahnnen ansman wenn Sarg gesperrt ht Nicht deine Inter aktive Anmeldung Dem nencontrelleruthentifizienung zum Aufheben der Sperrung der Arbeitsstahon erforder Deaktiviert Einer aktive Anmeldung Ken SIRGHALT HONTE erforderlich Destet Einer tve Anmeldung Letzten Derwkzenamen nicht anzeigen Deaktiviert inte aktive Armekin Nachwicht f r Barataer de sich aremnkder wolle Einte danve Anmeldung Nacheichtertttel t r Banugzer die sich anmeiden wollen Nacht definiert Einte aktive Anmeldung Smartcard erforderlich Deaktiviert interaktive anmeldung Verh ken bam Entfernen von Smartcards Kone Aktion Efjronken Admet ator umbenennen Adkranistr ator Meter Adrinistratorkontostatus Altiviert Eireren Gasthonkenstahus Desktniert ilkanken Gastkonko umbenennen Gat Eijkonken Lokale Konterrerwendung von leeren Kannm etern auf Konsalenanmeldung beschr nken Aktiviert EP Mirrosolt Netzwerk Cent Kommunikation dakal sizeren mmer Deaktivert gt HP Mirrosoft Netzwerk Cant Kommundustion Gata soriren wenn Server zustimmt Ather x Die folgenden Abschnitte enthalten weitere Informationen Bevorzugt Importiere Bevorzugte Ge Bevorzugte Wechselspeicherger te k nnen
27. optional in eine Liste aufgenommen werden um nur autorisierten Ger ten den Zugriff zu erlauben wenn die globale Einstellung an einem Standort verwendet wird In diese Liste aufgenommene Ger te m ssen eine Seriennummer aufweisen e Ger te auf Seite 57 n von Ger telisten auf Seite 58 r te So nehmen Sie ein bevorzugtes Ger t in die Liste auf 1 Verbinden Sie das Ger t mit dem USB Anschluss des Computers auf dem die Verwaltung 2 Wenn das Ger t bereit ist klicken Sie auf die Schaltfl che f r die Absuche Verf gt das Ger t ber eine Seriennummer werden die zugeh rige Beschreibung und Seriennummer in der Liste aufgef hrt 3 W hlen Sie in der Dropdown Liste eine Einstellung aus die Einstellung f r das globale skonsole installiert ist Wechselspeicherger t findet bei dieser Richtlinie keine Anwendung Aktiviert Den Ger ten in der Bevorzugt Liste werden uneingeschr nkte Lese Schreibrechte erteilt alle anderen USB Ger te und alle anderen externen Speicherger te werden deaktiviert Nur Lesen Den Ger ten in der Bevorzugt Liste wird das Recht Nur Lesen erteilt alle anderen USB Ger te und externen Speicherger te werden deaktiviert Wiederholen Sie diese Schritte f r s mtliche Ger te die gem dieser Richtlinie zul ssig sind Auf s mtliche Ger te wird dieselbe Einstellung angewendet Erstellen und Verteilen von Sicherheitsrichtlinien 57 Hinweis Standortbasierte
28. t Erweitert Wireless Steuerung Komm Hardware uaqe jny Speicherger tsteuerung E Q USB Konnektivit t f Emeiter EL Datenverschl sselung fe ZSC Update E Erweiterte Spaten B yA VPN Erzwingung Ger tebeschreibung Hersteller Produkt Anzeigename Seriennummer Kor Die Standardspalten enthalten folgende Eintr ge Zugriff Ziehen Sie die Maus ber Standardger tezugriff und geben Sie eine Zugriffsstufe an Immer blockieren Das Ger t immer blockieren Diese Einstellung kann nicht berschrieben werden Immer zulassen Zugriff immer erlauben es sei denn f r das Ger t trifft der Filter Immer blockieren zu Blockieren Zugriff immer blockieren es sei denn das Ger t stimmt mit Filter mmer zulassen berein Zulassen Zugriff erlauben es sei denn das Ger t stimmt mit Filter Immer blockieren oder Blockieren berein Standardger tezugriff F r das Ger t die gleiche Zugriffsstufe anwenden wie unter Standardger tezugriff wenn keine andere bereinstimmung gefunden wird Hersteller Klicken Sie auf die Spalte Hersteller und geben Sie den Namen des Herstellers ein den Sie zum Filter hinzuf gen m chten zum Beispiel Canon Produkt Klicken Sie auf die Spalte Produkt und geben Sie den Namen des Produkts ein das Sie zum Filter hinzuf gen m chten Anzeigename Klicken Sie auf die Spalte Anzeigename und geben Sie den Anzeigenamen f r das Ger t ein das Sie zum Filter h
29. z Port Scan Alert Data SPRUNGSIP QUELLMAC Qul Port ZIELE LIEL MAC Anzahl an blocklerten L rsprungs IP Adresse 0 0 0 0 0 0 00 D000E287120 6B 255 255 255 255 FFFFFFFFFFF 1 Anzahl an blockserten Ports IP Adresse 0 0 0 0 und MAC Adresse 0000E287120C 1 0 0 0 0 00022D33D71A 68 255 255 255 255 FFFFFFFFFFFF Anzahl an blockierten Ports IP Adresse 0 0 0 0 und MAC Adresse 00022D33D71A 0 0 0 0 000475BC5A 16 68 55 255 255255 _FERFRFFRRRTE un Anzahl an blockierten Ports IP Adresse 0 0 0 0 und MAC Adresse 000475BC3A16 ls Dieser Bericht zeigt die aktuellen Ausl serergebnisse mit Informationen zu dem betroffenen Benutzer oder Ger t Mithilfe der hier bereitgestellten Daten k nnen hinsichtlich potenzieller Bedrohungen der Unternehmenssicherheit die entsprechenden Gegenma nahmen ergriffen werden Zus tzliche Informationen finden Sie indem Sie Berichterstellung ffnen Nachdem Abhilfema nahmen ergriffen wurden bleibt die Warnmeldung bis zur n chsten Berichtaktualisierung aktiv So l schen Sie eine Warnmeldung vor der geplanten Aktualisierung 1 W hlen Sie eine Warnmeldung in der Liste aus und klicken Sie dann rechts in der Verwaltungskonsole auf die Registerkarte Konfiguration 28 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Informationen gt Konfiguration Wammeldung ausl sen wenn Incidents gt 1 000 000 innerhalb 7 Tage X Anzeige
30. 08 x Pr fung Doppelklicken Sie auf die Zeile um zu dem Fehler zu navigieren Fehler beim Speichern Wenn Sie eine neue Pr fung erstellen m chten klicken Sie im Richtlinienbaum auf der linken Seite mit der rechten Maustaste auf Integrit tspr fungen und w hlen Sie dann die Option zum Hinzuf gen neuer Integrit tspr fungen W hlen Sie einen der beiden Pr fungstypen und geben Sie die unten beschriebenen Informationen ein Prozess wird ausgef hrt Hiermit kann ermittelt werden ob die Software z B der AV Client zum Zeitpunkt der Ereignisausl sung ausgef hrt wird Die einzige erforderliche Information f r diesen Test ist der Name der ausf hrbaren Datei Datei vorhanden Anhand dieser Pr fung wird festgestellt ob die Software zum Zeitpunkt des Ausl seereignisses auf dem aktuellen Stand war Geben Sie die folgenden Informationen in die entsprechenden Felder ein Dateiname Geben Sie den Namen der Datei an die Sie berpr fen m chten Verzeichnis Geben Sie das Verzeichnis an in dem sich die Datei befindet Vergleich W hlen Sie in der Dropdown Liste einen Datumsvergleich aus None Gleich Gr er oder gleich Kleiner oder gleich Vergleich nach Geben Sie Alter oder Datum an Datum stellt sicher dass die Datei nicht lter als das angegebene Datum mit Uhrzeit ist z B das Datum der letzten Aktualisierung Alter stellt sicher dass die Datei nicht lter als ein
31. AUTHORIZED DOCUMENTATION Hilfe zur Verwaltungskonsole August 1 2008 Novell ZENworks Endpoint Security Management 3 5 www novell com Rechtliche Hinweise Novell Inc leistet keinerlei Gew hr bez glich des Inhalts oder Gebrauchs dieses Handbuchs Insbesondere werden keine ausdr cklichen oder stillschweigenden Gew hrleistungen hinsichtlich der handels blichen Qualit t oder Eignung f r einen bestimmten Zweck bernommen Novell Inc beh lt sich weiterhin das Recht vor diese Dokumentation zu revidieren und ihren Inhalt jederzeit und ohne vorherige Ank ndigung zu ndern Des Weiteren bernimmt Novell Inc f r Software keinerlei Haftung und schlie t insbesondere jegliche ausdr cklichen oder impliziten Gew hrleistungsanspr che bez glich der Marktf higkeit oder der Eignung f r einen bestimmten Zweck aus Au erdem beh lt sich Novell Inc das Recht vor Novell Software ganz oder teilweise jederzeit inhaltlich zu ndern ohne dass f r Novell Inc die Verpflichtung entsteht Personen oder Organisationen von diesen berarbeitungen oder nderungen in Kenntnis zu setzen Alle im Zusammenhang mit dieser Vereinbarung zur Verf gung gestellten Produkte oder technischen Informationen unterliegen m glicherweise den US Gesetzen zur Exportkontrolle sowie den Handelsgesetzen anderer L nder Sie erkennen alle Ausfuhrkontrollbestimmungen an und erkl ren sich damit einverstanden alle f r ausstehende Exporte Re Exporte oder Imp
32. B Konnektivit t auf Seite 58 Datenverschl sselung auf Seite 64 ZSC Aktualisierung auf Seite 67 VPN Erzwingung auf Seite 68 Benutzerdefinierte Meldung auf Seite 71 Hyperlinks auf Seite 72 Richtlinieneinstellungen Zu den prim ren allgemeinen Einstellungen z hlen Name und Beschreibung Der Richtlinienname wird zu Beginn des Richtlinienerstellungsvorgangs angegeben Sie k nnen den Namen bearbeiten oder eine Beschreibung der Richtlinie eingeben Client Selbstverteidigung aktivieren Die Client Selbstverteidigung kann nach Richtlinie aktiviert bzw deaktiviert werden Bleibt dieses K stchen aktiviert mit einem H kchen versehen wird sichergestellt dass die Client Selbstverteidigung aktiv ist Durch Deaktivieren Entfernen des H kchens wird die Client Selbstverteidigung f r alle Endpunkte deaktiviert die diese Richtlinie verwenden Passwort Au erkraftsetzung Mit dieser Funktion kann ein Administrator eine Passwort Au erkraftsetzung festlegen durch die die Richtlinie f r einen festgelegten Zeitraum vor bergehend deaktiviert werden kann Aktivieren Sie das Kontrollk stchen Passwort Au erkraftsetzung und geben Sie das Passwort im entsprechenden Feld an Geben Sie im Best tigungsfeld das Passwort erneut ein Verwenden Sie dieses Passwort im Generator f r die Passwort Au erkraftsetzung um den Passwortschl ssel f r diese Richtlinie zu generieren Weitere Informationen finden
33. Baia me SpySweeper Anti Spyware Morozs ist akt men oe Worses ist akt otcdog ane EE chent ist aktiv i A Skripts Stamp Once Skript Windows Aktuslisierungen l Berichte Standort DeierseOverride Umgsbungen Zugriffspunkt Integrit t Biochierte Pakete Anwendungen Aktivit t Defensehiack 2 2 1 Allgemeine Richtlinieneinstellungen Die allgemeinen Richtlinieneinstellungen werden als grundlegende Standardwerte f r die Richtlinie angewendet Wenn Sie auf dieses Steuerelement zugreifen m chten wechseln Sie zur Verwaltungskonsole und klicken Sie dann auf die Registerkarte Allgemeine Richtlinieneinstellungen Datei Tools Komponenten Anzeigen Hilfe E Richtlinie speichern amp Neue Komponente Komponente zuweisen amp Komponente entfemen Richtlinien Security Policy Allgemeine Richtinieneinstellungen 7 Client Selbstverteidigung aktivieren Passwort Au erkraftsetzung Hyperlink verwenden Passwort Tokio Einstellung In den nachfolgenden Abschnitten finden Sie weitere Informationen zu den Einstellungen die auf allgemeiner globaler Basis konfiguriert werden k nnen Richtlinieneinstellungen auf Seite 52 Erstellen und Verteilen von Sicherheitsrichtliiniien 51 Wireless Steuerung auf Seite 53 Kommunikationshardware auf Seite 54 Steuerelement f r Speicherger tsteuerung auf Seite 55 US
34. Berichte ber Endpunktaktualisierungen auf Seite 38 Abschnitt 1 6 13 Wireless Enforcement Reports auf Seite 38 1 6 1 Adherence Reports Adherence Reports enthalten Informationen ber die Einhaltung bei der Verteilung von Sicherheitsrichtlinien an verwaltete Benutzer Eine Einhaltung von 100 gibt an dass alle verwalteten Benutzer das Check in vorgenommen und die aktuelle Richtlinie erhalten haben Folgende Berichte stehen zur Verf gung Endpunkt Check In Einhaltung Stellt eine bersicht ber die Tage seit dem Check in nach Unternehmensendpunkten geordnet bereit und gibt das Alter der jeweiligen aktuellen Richtlinie an Zur bersicht im Bericht wird der Durchschnittswert dieser Angaben ermittelt Verwenden der ZENworks Endpoint Security Management Konsole 31 F r diesen Bericht m ssen keine Variablen eingegeben werden Der Bericht zeigt die Benutzer nach Namen an und gibt Aufschluss dar ber welche Richtlinien ihnen zugewiesen wurden wie viele Tage seit ihrem letzten Check in verstrichen sind und wie alt ihre Richtlinie ist Endpunkt Clientversionen Zeigt die zuletzt gemeldete Version des Clients an jedem Endpunkt Stellen Sie die Datumsparameter ein um diesen Bericht zu generieren Endpunkte die nie eingecheckt haben Listet die Benutzerkonten auf die sich beim Verwaltungsdienst registriert haben aber sich nie beim Verteilungsservice f r eine Richtlinienaktualisierung angemeldet haben W hlen Sie eine o
35. Client wechselt wenn das VPN aktiviert wird F r diesen Standort sollten bestimmte Einschr nkungen gelten und es sollte nur eine einzige restriktive Firewall Einstellung als Standard verwendet werden Die Firewall Einstellung Alle geschlossen gem der s mtliche TCP UDP Ports geschlossen werden wird f r die strikte VPN Erzwingung empfohlen Mit dieser Einstellung werden s mtliche nicht autorisierten Netzwerkvorg nge unterbunden und die VPN IP Adresse dient als ACL Access Control List Zugriffssteuerungsliste f r den VPN Server Zudem wird hiermit die Netzwerkkonnektivit t erm glicht 4 W hlen Sie die Ausl serstandorte aus an denen die Regel f r die VPN Erzwingung angewendet werden soll Zur strikten VPN Erzwingung sollte der standardm ige Standort Unbekannt f r diese Richtlinie verwendet werden Nach der Netzwerkauthentifizierung wird die VPN Regel aktiviert und bewirkt den Wechsel zu dem zugewiesenen Wechselstandort Hinweis Der Wechsel zum Standort erfolgt vor der VPN Verbindung nachdem die Netzwerkauthentifizierung vorgenommen wurde 5 Geben Sie eine benutzerdefinierte Meldung ein die nach der Authentifizierung des VPN beim Netzwerk angezeigt wird F r VPN ohne Client sollte dies ausreichend sein Nehmen Sie f r VPN mit einem Client einen Hyperlink mit auf der auf den VPN Client verweist Erstellen und Verteilen von Sicherheitsrichtlinien 69 Beispiel C Programme Cisco Systems VPN Client ipsecdial
36. Comenseraugrftsenschr nkungen in Secunky Descriptor Dafinkkon Language SDOL Synkax tache defriert Bi Dominencontroler Anderungen von Computerkonkenkennm rtenn wermehgern Nicht definiert KM Demsnencontr ller San weropmaboren dm Finnichten von gepkanten Tasks erkadien Nicht deiner Eilom nencontroler Synau arko derungen f r LAP Server Nicht definiert ER DomsnenmRged nderungen von Computerk nkenkennm rtem datieren Deaktiviert Kanal aka ugweren mern mogh Atert Dominernmt gins Daten des charan Karak dyta ver schhk rseden wann m glich Abtiiert Aij Dominerme ged Daten des sicheren Kanals Agta verschl sseln oder sgrieren immer Aaert ER Dom nermkgbed Maxmalaker von Computerkonkenkennw rtern X Tage R bomsnenmitgbed Starker Sazungsschlassel erf rderiich indoms 2000 oder haar Deaktiviert Ef Ger te Acnvendenn das Instalkeren von Druckertreibern nicht erlauben Ativiert Ger te Enifieenen ohne vorherige Anmeldung erlauben Abtihviert lien te Formatieren und Aupmerfen von Wechselmeden zdassen Adest toren ER Garie Verhaken bei der Inar llation won nichtagrierten Tredern Wannen aber Insta SiJoer te Zugriff auf CD ROM Laufwerk auf ical angemeldete Derusizer beschr nken Desevet EM Gern Tugt md Dishatterdmd werk md k s nrnjerrmk nte Baestonr b schrirkan Dasktivinrt enrtertaneen Ausisgerungsdatei des veturien utet spechers kachen Destmert Eijiennterfahren Herunterfahren des Systems ohne Anmeldung zulassen Desktiviert Wfl
37. Einstellungen hinsichtlich der Speicherger tsteuerung setzen die globalen Einstellungen au er Kraft Sie k nnen beispielsweise Konfigurieren dass am Standort Arbeit alle externen Speicherger te zul ssig sind w hrend an allen anderen Standorten der globale Standardwert G ltigkeit hat die Benutzer werden auf die Ger te in der Bevorzugt Liste beschr nkt Importieren von Ger telisten Der Novell USB Laufwerkscanner generiert eine Liste mit Ger ten und deren Seriennummer Abschnitt 1 11 USB Laufwerkscanner auf Seite 44 Wenn Sie diese Liste importieren m chten klicken Sie auf Importieren und begeben Sie sich zu der Liste Daraufhin werden die Felder Beschreibung und Seriennummer ausgef llt USB Konnektivit t S mtliche Ger te die ber den USB BUS eine Verbindung aufbauen k nnen nach der Richtlinie zugelassen oder verweigert werden Diese Ger te k nnen aus dem USB Ger tinventarbericht per Absuche in die Richtlinie bernommen werden eine weitere M glichkeit ist die Absuche aller Ger te die derzeit mit einem Computer verbunden sind Diese Ger te k nnen basierend auf Hersteller Produktname Seriennummer Typ usw gefiltert werden Zu Supportzwecken kann der Administrator die Richtlinie so konfigurieren dass ein Satz Ger te akzeptiert wird entweder nach Herstellertyp Beispiel alle HP Ger te sind zul ssig oder nach Produkttyp alle USB Eingabeger te Maus und Tastatur sind zul ssig Zudem k nnen ei
38. Endpoint Security Management Hilfe zur Verwaltungskonsole A ESM Management Console Verzeichnisdienstkonfiguration Neu Willkommen zum ESM Assistenten zur Erstellung einer neuen Verzeichnisdienstkonfiguration Dieser Assistent unterst tzt Sie bei der Erstellung einer Verzeichnisdienstkonfiguration die den Umfang Ihrer ESM Client Installationen definiert Die neue Konfiguration verwendet Ihren vorhandenen Verzeichnisdienst um die logische Begrenzung f r Ihre benutzer und computerbasierten EMS Client Installationen zu definieren Der Assistent f hrt Sie durch den Vorgang zur Auswahl des Verzeichnisdienstes und der Kontexte in dem sich die aktuellen und zuk nftigen ESM Client Konten befinden Mit dem Assistenten k nnen Sie auch die in der neuen Konfiguration enthaltenen Yerzeichniseintr ge synchronisieren nachdem Sie den Assistenten abgeschlossen haben Die Synchronisation wird im Hintergrund ausgef hrt sodass Sie Ihre neue K Klicken Sie auf Weiter um mit der Directory Service Configuration 4 Klicken Sie auf Weiter um die Seite Server konfigurieren anzuzeigen t ESM Assistent zur Erstellung einer neuen Verzeichnisdienstkonfiguration o X A ESM Management Console Server konfigurieren W hlen Sie den Typ des Verzeichnisdiensts der f r diese Konfiguration verwendet wird Diensttyp Geben Sie zur Beschreibung der Konfiguration des Verzeichnisservers einen nzeigenamen ein Name Geben Sie den DNS Namen o
39. Klicken Sie auf Extrahieren Die Transaktion kann berwacht werden indem Sie auf Status anzeigen klicken 1 9 2 Konfigurieren des File Decryption Utility Das File Decryption Utility kann mit dem aktuellen Schl sselsatz im Administrator Modus konfiguriert werden um alle Daten von einem verschl sselten Speicherger t zu extrahieren Von dieser Konfiguration wird abgeraten da hierbei die Gefahr besteht dass alle aktuellen Schl ssel die von ZENworks Storage Encryption Solution verwendet werden beeintr chtigt werden In F llen in denen sich die Daten auf andere Weise nicht wiederherstellen lassen ist diese Konfiguration jedoch m glicherweise die einzige L sung 42 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole So konfigurieren Sie das Tool 1 Erstellen Sie eine Verkn pfung mit dem File Decryption Utility in seinem aktuellen Verzeichnis Klicken Sie mit der rechten Maustaste auf die Verkn pfung und klicken Sie dann auf Eigenschaften Geben Sie am Ende des Zielnamens und nach den Anf hrungszeichen k ein Beispiel C Admin Tools stdecrypt exe k Klicken Sie auf Anwenden gt OK Rufen Sie das Werkzeug ber die Verkn pfung auf und klicken Sie dann auf Erweitert 6 Klicken Sie auf die Schaltfl che Schl ssel laden um das Dialogfeld Schl ssel importieren zu 7 ffnen Suchen Sie die Schl sseldatei und geben Sie dann das Passwort f r die Schl ssel an Alle Dateien die mit diese
40. Sie unter Abschnitt 1 10 Verwenden des Benutzerau erkraftsetzung Schl sselgenerators auf Seite 43 Warnung Es wird dringend davon abgeraten Benutzern dieses Passwort zu nennen Der Override Password Generator sollte verwendet werden um einen tempor ren Schl ssel f r sie zu generieren Passwort deinstallieren Es empfiehlt sich jede ZENworks Security Client Instanz mit einem Deinstallationspasswort zu installieren um Benutzer daran zu hindern die Software zu deinstallieren Dieses Passwort wird normalerweise zum Installationszeitpunkt konfiguriert das Passwort kann jedoch per Richtlinie aktualisiert aktiviert bzw deaktiviert werden Passwort deinstallieren Einstellung Vorhandene verwenden l Vorhandene verwenden Aktiviert Deaktiviert 52 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole In der Dropdown Liste k nnen Sie eine der folgenden Einstellungen ausw hlen Vorhandene verwenden Das ist die Standardeinstellung Hiermit bleibt das aktuelle Passwort unver ndert Aktiviert Aktiviert bzw ndert ein Deinstallationspasswort Geben Sie das neue Passwort an und best tigen Sie es anschlie end Deaktiviert Sorgt daf r dass kein Deinstallationspasswort erforderlich ist Meldung bei Richtlinienaktualisierung verwenden Sie k nnen festlegen dass bei jeder Aktualisierung der Richtlinie eine benutzerdefinierte Meldung angezeigt wird Klicken Sie in das Kontrol
41. Verwaltungsdiensts erstellt wurden Weitere Informationen finden Sie unter Abschnitt 2 3 1 Importieren von Richtlinien auf Seite 113 Wenn Sie auf eine der Richtlinienaufgaben klicken wird die Taskleiste minimiert Klicken Sie links auf die Schaltfl che Aufgaben um sie wieder anzuzeigen In Kapitel 2 Erstellen und Verteilen von Sicherheitsrichtlinien auf Seite 47 erhalten Sie Informationen ber die Richtlinienaufgaben und die Erstellung und Verwaltung von Sicherheitsrichtlinien 1 1 2 Ressourcen In der Aufgabenliste Ressourcen werden die Ressourcen f r technischen Support und Hilfe angezeigt die zur Verf gung stehen Wenden Sie sich an den Support Startet einen Browser und zeigt die Seite mit den Kontaktinformationen und Niederlassungen von Novell an Online Technical Support Startet einen Browser und zeigt die Seite mit dem Schulungs und Supportangebot von Novell an Hilfe zur Verwaltungskonsole Ruft die Online Hilfe zu ZENworks Endpoint Security Management auf 1 1 3 Konfiguration Das Konfigurationsfenster des Verwaltungsdiensts enth lt sowohl Steuerelemente f r die ZENworks Endpoint Security Management Serverinfrastruktur als auch Steuerelemente f r die berwachung zus tzlicher Verzeichnisdienste f r Unternehmen Weitere Informationen finden Sie unter Abschnitt 1 4 Verwenden des Fensters Konfiguration auf Seite 14 Dieses Steuerelement ist nicht verf gbar wenn die Standalone V
42. ager Zero Config von Microsoft angezeigt werden Drittanbieter Manager f r die Wireless Konfiguration werden f r diese Funktionalit t nicht unterst tzt Wenn keine Zugriffspunkte eingegeben werden stehen dem Endpunkt alle Zugriffspunkte zur Verf gung F r den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Standorte und klicken Sie dann im Richtlinienbaum auf der linken Seite auf Wi Fi Verwaltung Hinweis Wird im Bereich f r die Wi Fi Sicherheit oder die Wi Fi Verwaltung die Auswahl der Option Aktivieren aufgehoben wird jegliche Wi Fi Konnektivit t an diesem Standort deaktiviert Neu Definienie Standone L Komm Hardanre ER Sperchergeraisteuerun Firewslt Erstellungen Al Adagteve Netzwerkumgebungen Jo Neu Netrwerkumge Die Syarie it nur bes der 2 e merg Hach enem nauen Zugffiupurka mchan aan Wen Sekere M chdesee U Unknom Zu einem neuen Zugrfisgunkt wechsehn wenn deter 20 dB st rker als dan scuole Sam Bevorzugte AP Auswahl nach Srultike Verschlusselungstyp Prufung Doppalkicien Se auf de Zeile um zu dem Fehler zu nangeren Durch die Eingabe von Zugriffspunkten in die Liste Verwaltete Zugriffspunkte wird Zero Config deaktiviert und der Endpunkt wird gezwungen nur eine Verbindung mit den Zugriffspunkten herzustellen wenn sie verf gbar sind Wenn die verwalteten Zugriffspunkte nicht zur Verf gung stehen nutzt der ZENworks Security Client wieder die Liste d
43. akete 88 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Makro Beschreibung Allow8021X Gateway GatewayAll Wins WinsAll Dns DnsAll Dhcp DhopAlll Erlaubt 802 1x Pakete Um Defizite in Wired Equivalent Privacy WEP Schl sseln zu berwinden nutzen Microsoft und andere Unternehmen 802 1x als alternative Authentifizierungsmethode 802 1x ist eine portbasierte Netzwerk Zugriffsteuerung bei der Extensible Authentication Protocol EAP oder Zertifikate zum Einsatz kommen Derzeit unterst tzen die meisten Hersteller von Wireless Karten und viele Hersteller von Zugriffspunkten 802 1x Diese Einstellung erlaubt auch Light Extensible Authentication Protocol LEAP und WiFi Protected Access WPA Authentifizierungspakete Repr sentiert die Standard Gateway Adresse der aktuellen IP Konfiguration Wenn dieser Wert eingegeben wird erlaubt der ZENworks Security Client s mtlichen Netzwerkverkehr vom Standard Gateway der aktuellen IP Konfiguration als verb rgte ACL Wie Gateway jedoch f r alle definierten Gateways Repr sentiert die Standard WINS Server Adresse der aktuellen Client IP Konfiguration Wenn dieser Wert eingegeben wird erlaubt der ZENworks Security Client s mtlichen Netzwerkverkehr vom Standard WINS Server der aktuellen IP Konfiguration als verb rgte ACL Wie Wins jedoch f r alle definierten WINS Server Repr sentiert die Standard DNS Server Adresse der
44. akete ICMPs werden von Routern zwischengeschalteten Ger ten oder Hosts verwendet um Aktualisierungen oder Fehlerinformationen an andere Router zwischengeschaltete Ger te oder Hosts zu bermitteln ICMP Meldungen werden in mehreren Situationen gesendet etwa wenn ein Datagramm sein Ziel nicht erreichen kann das Gateway nicht ber die Pufferkapazit t zur Weiterleitung eines Datagramms verf gt und wenn das Gateway den Host anweisen kann Datenverkehr auf einer k rzeren Route zu senden Erlaubt IP Multicast Pakete Multicast ist eine Bandbreiten konservierende Technologie die den Verkehr reduziert indem sie gleichzeitig einen einzelnen Informationsstrom an Tausende von Empf ngern im Unternehmen und daheim liefert Anwendungen die Multicast nutzen sind Videokonferenzen Unternehmenskommunikation Fernkurse sowie Verteilung von Software B rsenkursen und Nachrichten Multicast Pakete k nnen mit IP oder Ethernet Adressen verteilt werden Erlaubt Ethernet Multicast Pakete Erlaubt Subnet Broadcast Pakete Subnet Broadcasts werden verwendet um Pakete an alle Hosts eines Netzwerks zu senden das Subnetze oder Supernetze besitzt oder auf andere Weise au erhalb der normalen Klasseneinteilung liegt Alle Hosts eines Netzwerks au erhalb der normalen Klasseneinteilung die den Eingang von Paketen berwachen und Pakete verarbeiten die an die Subnet Broadcast Adresse gesendet werden Erlaubt Snap kodierte Pakete Erlaubt LLC kodierte P
45. an die Anzahl der Minuten an die f r Ihre Anforderungen und Ihre Umgebung geeignet sind Wenn Daten sofort ben tigt werden k nnen ber die Option Service Synchronisierung im Werkzeug Konfiguration sofort der Richtlinienverteilungsservice der Berichtsdaten von den Endpunkten erfasst und der Berichtsservice der alle Warnmeldungen auf der Basis der neu erfassten Daten aktualisiert gestartet werden Weitere Informationen finden Sie in Abschnitt 1 4 3 Service Synchronisierung auf Seite 24 1 5 2 Warnmeldungsausl ser konfigurieren Warnmeldungsausl ser k nnen an Schwellenwerte angepasst werden die den Sicherheitsanforderungen Ihres Unternehmens gen gen 1 W hlen Sie eine Warnmeldung in der Liste aus und klicken Sie dann rechts in der Verwaltungskonsole auf die Registerkarte Konfiguration Richtlinien Security Policy Warnmeldungen Berichte x S Wireless Security a o Informationen RX Konfiguration Unsecure access points detected a z5 Unsecure access point connections m3 Communication port Security p Potential port scan attempted Wammeldung ausl sen wenn Incidents Client Integrity gt iz 1 000 000 k 8 Unremediated integrity test failures Data Protection innerhab 7 Tage Files copied to device One day total 3 3 Security Client Configuration EIE 8 Incorrect security client version i Incorrect policy 3 Security Client Tampering L sch ich Hack attempts
46. arte zul ssig ist Hierdurch werden die Kosten verringert die entstehen wenn Mitarbeiter nicht unterst tzte Hardware verwenden Liste der genehmigten Wireless Adapter Der ZENworks Security Client kann daf r sorgen dass nur die angegebenen genehmigten Wireless Adapter eine Verbindung herstellen k nnen So kann ein Administrator beispielsweise eine Richtlinie implementieren gem der nur eine bestimmte Marke oder Art von Wireless Karte zul ssig ist Hierdurch werden die Supportkosten verringert die entstehen wenn Mitarbeiter nicht unterst tzte Hardware verwenden Zudem werden so die Unterst tzung und die Umsetzung von auf IEEE Institute of Electrical amp Electronics Engineers Standards aufbauenden Sicherheitsinitiativen vereinfacht Dies gilt u a auch f r LEAP Lightweight Extensible Authentication Protocol PEAP Protected Extensible Authentication Protocol WPA Wireless Protected Access und TKIP Temporal Key Integrity Protocol Verwenden der AdapterAware Funktion Der ZENworks Security Client wird bei jeder Installation eines Netzwerkger ts im System benachrichtigt und ermittelt ob das Ger t autorisiert oder nicht autorisiert ist Ist es nicht autorisiert wird der Ger tetreiber deaktiviert das neue Ger t kann also nicht verwendet werden Der Benutzer wird entsprechend benachrichtigt Hinweis Wenn ein neuer nicht autorisierter Adapter gilt sowohl f r Einw hl als auch f r Wireless Adapter erstmals seine Tr
47. atus DEW3SQLS Verzeichnisdienstkonfiguration Pending gp STOA senforce com Dom ne Pending Ei OU _basic OU OldTest ccounts Container Umfang Eine Stufe Pending amp vaclays Konfigurationskonto Pending Ready Klicken Sie auf amp quot weiter amp quot um mit der Directory Service Configuration Zur ck i j Abbrechen 15 berpr fen Sie die Informationen und klicken Sie anschlie end auf Weiter um die Konfiguration zu speichern Sie k nnen gegebenenfalls zur nderung der Einstellungen auf Zur ck klicken 16 Klicken Sie auf Fertig stellen Wenn Sie auf Fertig stellen klicken wird das Symbol T im Benachrichtigungsbereich von Windows angezeigt und die Synchronisierung startet Sie k nnen auf das Symbol doppelklicken um das Dialogfeld Synchronisierung von Verzeichnisdiensten anzuzeigen Verwenden der ZENworks Endpoint Security Management Konsole 23 ESM Assistent zur Erstellung einer neuen Verzeichnisdienstkonfiguration ESM Management Console Konfiguration speichern Der Assistent f r die Yerzeichnisdienstkonfiguration kann Ihre Konfigurationseinstellungen nun speichern Name Typ Status gt DEW3SQLS Verzeichnisdienstkonfiguration wird verarbeitet BP STOA senforce com Dom ne Pending E 0U _basic OU OldTest ccounts Container Umfang Eine Stufe Pending amp vaclavs Konfigurationskonto Pending Verzeichnisdienstkonfiguration wird gespeichert Klicken Sie a
48. ch Bedarf Hinweis Wenn Sie die Einstellungen in einer freigegebenen Komponente ndern beeinflusst dies alle Instanzen dieser Komponente Mithilfe des Befehls Auslastung anzeigen k nnen alle anderen mit dieser Komponente verkn pften Richtlinien angezeigt werden 4 Klicken Sie auf Richtlinie speichern Liste mit Netzwerkadressmakros Nachfolgend finden Sie eine Liste mit speziellen Zugriffssteuerungsmakros Diese k nnen individuell als Teil einer ACL in einer Firewall Einstellung verkn pft werden Tabelle 2 1 Netzwerkadressmakros Makro Beschreibung Arp Icmp IpMulticast EthernetMulticast I pSubnetBrdcast Snap LLC Erlaubt ARP Address Resolution Protocol Pakete Der Begriff Address Resolution Adressaufl sung bezeichnet den Suchvorgang nach einer Adresse eines Computers in einem Netzwerk Die Adresse wird mithilfe eines Protokolls aufgel st in dem eine Information durch einen auf dem lokalen Computer ausgef hrten Clientprozess an einen Serverprozess gesendet wird der auf einem Remote Computer ausgef hrt wird Die vom Server empfangenen Informationen erm glichen es dem Server eindeutig das Netzwerksystem zu identifizieren f r das die Adresse angefordert wurde um so die gew nschte Adresse bereitzustellen Der Adressaufl sungsvorgang wird abgeschlossen wenn der Client vom Server eine Antwort mit der angeforderten Adresse erh lt Erlaubt ICMP Internet Control Message Protocol P
49. ch auf alle Richtlinien aus die damit verkn pft sind Bevor Sie eine Richtlinienkomponente aktualisieren oder anderweitig ndern sollten Sie den Befehl Auslastung anzeigen ausf hren um zu ermitteln welche Richtlinien von der nderung betroffen sind 1 Klicken Sie mit der rechten Maustaste auf die Komponente und klicken Sie dann auf Auslastung anzeigen Daraufhin wird ein Popup Fenster mit s mtlichen Instanzen dieser Komponente in anderen Richtlinien angezeigt Office Verwendung Office ist in den Folgenden Richtlinien 1 enthalten Sicherheitsrichtlinie 2 3 Importieren und Exportieren von Richtlinien Die folgenden Abschnitte enthalten weitere Informationen Abschnitt 2 3 1 Importieren von Richtlinien auf Seite 113 Abschnitt 2 3 2 Exportieren einer Richtlinie auf Seite 113 Abschnitt 2 3 3 Exportieren von Richtlinien an nicht verwaltete Benutzer auf Seite 114 2 3 1 Importieren von Richtlinien Eine Richtlinie kann von einem beliebigen Dateispeicherort im verf gbaren Netzwerk importiert werden 1 W hlen Sie in der Verwaltungskonsole die Optionsfolge Datei gt Richtlinie importieren Wenn Sie zurzeit eine Richtlinie bearbeiten oder entwerfen schlie t der Editor die Richtlinie und fordert Sie auf sie zu speichern bevor das Importfenster ge ffnet wird 2 Klicken Sie auf Durchsuchen um den Dateispeicherort anzugeben und geben Sie den Dateinamen im entsprechenden F
50. chr nken welche Karten auf diese Netzwerkumgebung zugreifen k nnen Werden keine SSIDs eingegeben wird allen Adaptern des zul ssigen Typs Zugriff gew hrt So verkn pfen Sie eine bestehende Netzwerkumgebung mit diesem Standort Hinweis Das Verkn pfen einer einzelnen Netzwerkumgebung mit zwei oder mehr Standorten in derselben Sicherheitsrichtlinie f hrt zu unvorhergesehenen Ergebnissen und wird nicht empfohlen 1 W hlen Sie im Komponentenbaum den Eintrag Netzwerkumgebungen aus und klicken Sie dann auf die Schaltfl che Komponente verkn pfen 2 W hlen Sie die Netzwerkumgebungen in der Liste aus 3 Konfigurieren Sie die Umgebungsparameter nach Bedarf Hinweis Wenn Sie die Einstellungen in einer freigegebenen Komponente ndern beeinflusst dies alle Instanzen dieser Komponente Mithilfe des Befehls Auslastung anzeigen k nnen alle anderen mit dieser Komponente verkn pften Richtlinien angezeigt werden 4 Klicken Sie auf Richtlinie speichern USB Konnektivit t S mtliche Ger te die ber den USB BUS eine Verbindung aufbauen k nnen nach Richtlinie erlaubt oder verweigert werden Diese Ger te k nnen aus dem USB Ger tinventarbericht per Absuche in die Richtlinie bernommen werden eine weitere M glichkeit ist die Absuche aller Ger te die derzeit mit einem Computer verbunden sind Diese Ger te k nnen basierend auf Hersteller Produktname Seriennummer Typ usw gefiltert werden Zu Supportzwecken kann der Administra
51. ckieren Erstellen und Verteilen von Sicherheitsrichtlinien 53 Zu den Einstellungen f r die Wireless Steuerung z hlen u a Wi Fi bertragungen deaktivieren Deaktiviert global alle Wi Fi Adapter dies schlie t die vollst ndige Stummschaltung eines integrierten Wi Fi Radios ein Sie k nnen festlegen dass eine benutzerdefinierte Meldung und ein Hyperlink angezeigt werden wenn der Benutzer versucht eine Wi Fi Verbindung zu aktivieren Weitere Informationen finden Sie unter Benutzerdefinierte Meldung auf Seite 71 Adapter Bridge deaktivieren Deaktiviert global die Netzwerk Bridge Funktionalit t von Windows XP mit deren Hilfe der Benutzer mehrere Adapter zu einer Bridge zusammenschlie en kann Funktion als Hub im Netzwerk Sie k nnen festlegen dass eine benutzerdefinierte Meldung und ein Hyperlink angezeigt werden wenn der Benutzer versucht eine Wi Fi Verbindung herzustellen Weitere Informationen finden Sie unter Benutzerdefinierte Meldung auf Seite 71 Wi Fi deaktivieren wenn verbunden Deaktiviert global alle Wi Fi Adapter wenn der Benutzer mit einer verkabelten Verbindung LAN ber NIC arbeitet Adhoc Netzwerke deaktivieren Deaktiviert global s mtliche Adhoc Konnektivit tsfunktionen so werden die Wi Fi Konnektivit t ber ein Netzwerk z B ber einen Zugriffspunkt erzwungen sowie s mtliche Peer to Peer Netzwerkfunktionen dieser Art beschr nkt Wi Fi Verbindungen blockier
52. curity Management Hilfe zur Verwaltungskonsole Nachfolgend finden Sie eine Erl uterung der Tools Speichern Richtlinie Speichert die Richtlinie in ihrem aktuellen Zustand Wichtig Bei der Durcharbeitung der einzelnen Komponententeilmengen wird dringend empfohlen regelm ig auf das Symbol Speichern in der Richtliniensymbolleiste zu klicken Wenn in einer Komponente unvollst ndige oder falsche Daten eingegeben werden wird der Bildschirm mit der Fehlerbenachrichtigung angezeigt weitere Details finden Sie unter Abschnitt 2 2 6 Fehlerbenachrichtigung auf Seite 112 Neue Komponente Erstellt in einer Teilmenge f r Standort oder Integrit t eine neue Komponente Nach dem Speichern der Richtlinie steht eine neue Komponente zur Verf gung die mit anderen Richtlinien verkn pft werden kann Komponente verkn pfen ffnet den Bildschirm f r die Komponentenauswahl f r die aktuelle Teilmenge Zu den verf gbaren Komponenten z hlen s mtliche vordefinierten Komponenten die zum Installationszeitpunkt zur Verf gung standen sowie alle Komponenten die in anderen Richtlinien erstellt wurden Beschreibung Alwil avast AntiVirus Make sure AV is up and running McAfee VirusScan Enterprise Edition 7 03 6000 Integrity Check Verify that McAfee VirusScan software McAfee VirusScan Enterprise Edition 8 0 0 Integrity Check Verify that McAfee VirusScan software New Antivirus Spyware Rules New Antivirus Spyware Rules Ne
53. dan wolle Inder aktive Anmeldung Nacheicheentiteii f r Benutzer de sich anmelden wollen linker tve Anmeldung Smartcard erforderikch flinteraktive anmeldung verhsten bam Entfernen von Smartcards Ef orker Ad ninstrakor umbenennen Ekorren Adninmtrakorhntentatun karten Gosthontenstatus Ehiionken Gasthonko umbenennen Broren Lokale Kontenmerwendung von leeren Kannmietern auf Konsolenarmekdung beschr nken ER Mirosolt Netzwerk Cent Kommunikation dakal sizeren Immer KfMierosatt Netzwerk Obere KONNTEN SRN AFEN wenn Server DIDENT Ja Schehersonstelheg a Macht dofiriert Nocht definiert Nicht deliriert Mich delriert Nicht definiert Destet Aert Aktiviert Aatnert To Deaktiviert Atmert Adtiviert Admrustr toren Warmen aber Insta Danktivimrt Deaktiviert Deaktiviert 14 Tage 10 Antmekdungen Nicht deliroert Deaktiviert Deaktiviert Deaktiviert Nacht Gifininet Deaktiviert Kone Aktion Adnan abo Ativert Deaktiviert Gat Aktiviert Deaktiviert anert x 80 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Firewall Einstellungen Mit Firewall Einstellungen wird die Konnektivit t s mtlicher Netzwerkports Zugriffssteuerungslisten Netzwerkpakete ICMP Internet Control Message Protocol ARP Address Resolution Protocol usw gesteuert Zudem wird gesteuert welche Anwendungen ber ein ausgehendes Socket verf gen bzw verwendet werden k nnen wenn die Firewa
54. der Warnmeldungs berwachung auf Seite 25 1 2 Verwenden der Men leiste ber die ZENworks Endpoint Security Management Men leiste k nnen Sie auf s mtliche Funktionen der Verwaltungskonsole zugreifen Mit den zur Verf gung stehenden Optionen k nnen Sie Datei Tools Komponenten Anzeigen Hilfe Datei ber das Men Datei werden Sicherheitsrichtlinien erstellt und verwaltet Neue Richtlinie erstellen Startet den Assistenten f r neue Richtlinien mit dem Sie eine neue Sicherheitsrichtlinie erstellen k nnen Richtlinienliste aktualisieren Aktualisiert die Liste der Richtlinien es werden alle aktiven Richtlinien angezeigt L schrichtlinie L scht die ausgew hlte Richtlinie Richtlinie importieren Erm glicht Ihnen das Importieren einer Richtlinie in die Verwaltungskonsole Richtlinie exportieren Hiermit k nnen Sie eine Richtlinie und die erforderliche setup sen Datei an einem angegebenen Speicherort au erhalb der Verwaltungsdienstdatenbank speichern Beenden Schlie t die Verwaltungskonsole und meldet den Benutzer ab Werkzeuge ber das Men Werkzeuge k nnen Sie Konfiguration Verschl sselungsschl ssel und Berechtigungen des Verwaltungsdiensts steuern Konfiguration ffnet das Fenster Konfiguration Exportieren von Verschl sselungsschl sseln ffnet das Dialogfeld Verschl sselungsschl ssel exportieren in dem Sie die zu exportierenden Schl ssel sowie das Passwort an
55. der die IP Adresse des Verzeichnisservers an Hostname Durchsuchen Yerwenden Sie denselben Port den Sie auch f r den Verbindungsaufbau mit dem Verzeichnisserver verwenden Port 389 Klicken Sie auf Weiter um mit der Directory Service Configuration Verwenden der ZENworks Endpoint Security Management Konsole 17 5 F llen Sie die Felder aus Service Typ W hlen Sie eine Dienstart aus der Dropdown Liste Dienstart aus Microsoft Active Directory Novell eDirectory Name Geben Sie zur Beschreibung der Verzeichnisdienstkonfiguration einen Anzeigenamen ein Hostname Geben Sie den DNS Namen oder die IP Adresse des Verzeichnisservers ein oder suchen Sie ihn Port Geben Sie den Port an ber den die Verbindung mit dem Verzeichnisserver hergestellt werden soll Port 389 ist voreingestellt Wenn Sie einen anderen Port verwenden um eine Verbindung zum Verzeichnisserver herzustellen k nnen Sie auch diesen Port angeben 6 Klicken Sie auf Weiter um die Seite Berechtigungsnachweis angeben anzuzeigen 7 z A ESM Assistent zur Erstellung einer neuen Verzeichnisdienstkonfiguration Ja ESM Management Console Berechtigungsnachweise zur Verf gung stellen Geben Sie die zur Anbindung an das Verzeichnis verwendeten Kontoinformationen ein Dieses Konto fungiert als Administrator der Verzeichnisdienstkonfiguration Benutzername Pass
56. der mehrere Gruppen aus um den Bericht zu generieren Das k nnen Benutzer der Verwaltungskonsole sein in deren Namen kein Security Client installiert ist Nichteinhaltung der Gruppenrichtlinie Zeigt Gruppen in denen einige Benutzer nicht ber die richtige Richtlinie verf gen F r die Generierung des Berichts k nnen f r eine oder mehrere Gruppen Auswahlen getroffen werden Endpunkt Statusverlauf nach Rechner Zeigt den aktuellsten Status innerhalb eines bestimmten Datumsbereichs von Endpunkten an die durch ZENworks Endpoint Security Management gesch tzt werden Die Ansicht erfolgt nach Computernamen geordnet Er zeigt den Namen des angemeldeten Benutzers die aktuelle Richtlinie die Version des ZENworks Endpoint Security Management Client sowie den Netzwerkstandort an F r diesen Bericht muss ein Datumsbereich eingegeben werden Der Administrator kann einen Drill Down Vorgang ausf hren indem er auf einen Eintrag doppelklickt um eine vollst ndige Liste von Statusberichten f r einen bestimmten Computer zu sehen Richtlinienzuweisung Zeigt welche Benutzer und Gruppen Konten die angegebene Richtlinie erhalten haben W hlen Sie die gew nschte Richtlinie in der Liste aus und klicken Sie dann auf Anzeigen um den Bericht auszuf hren Endpunkt Statusverlauf nach Benutzer Zeigt den aktuellsten Status innerhalb eines bestimmten Datumsbereichs von Endpunkten an die durch ZENworks Endpoint Security Management gesch tz
57. des ZENworks Security Client Aktualisierungsvorgangs angezeigt siehe ZSC Aktualisierung auf Seite 67 Datumsangaben werden in UTC Universal Coordinated Time angezeigt Folgende Berichte stehen zur Verf gung Diagramm Prozentsatz der Security Client Aktualisierungen bei denen ein Fehler aufgetreten ist Stellt den prozentualen Anteil von fehlgeschlagenen ZENworks Security Client Aktualisierungen die nicht korrigiert wurden in einem Diagramm dar F r die Generierung dieses Berichts sind keine Parameter erforderlich Verlauf des Security Client Aktualisierungsstatus Zeigt den Statusverlauf des ZENworks Security Client Aktualisierungsvorgangs W hlen Sie den Datumsbereich aus und klicken Sie auf Anzeigen um den Bericht auszuf hren Der Bericht zeigt welche Benutzer sich angemeldet und die Aktualisierung erhalten haben Diagramm Art der Security Client Aktualisierungen bei denen ein Fehler aufgetreten ist Zeigt die ZENworks Security Client Aktualisierungen an bei denen ein Fehler aufgetreten ist und keine Korrektur erfolgte W hlen Sie den Datumsbereich aus und klicken Sie auf Anzeigen um den Bericht auszuf hren Der Bericht zeigt welche Benutzer sich angemeldet haben bei denen aber die Installation des Updates misslang 1 6 7 Client Self Defense Reports Mit Client Self Defense Reports werden Sie informiert wenn Benutzer versuchen den ZENworks Security Client zu ndern oder zu deaktivieren Folgender Ber
58. die Treiber initialisiert und beim zweiten werden etwaige Safe Harbor Bereiche in die Verschl sselung einbezogen Wenn nach der Anwendung der Richtlinie weitere Safe Harbor Bereiche ausgew hlt werden ist nur ein einmaliges erneutes Booten erforderlich um den betreffenden Safe Harbor Bereich in die Richtlinie aufzunehmen ZSC Aktualisierung Patches zur Beseitigung geringf giger Probleme mit dem ZENworks Security Client werden im Rahmen regelm iger ZENworks Endpoint Security Management Aktualisierungen zur Verf gung gestellt Anstatt ein neues Installationsprogramm zur Verf gung zu stellen das ber MSI an alle Endpunkte verteilt werden muss kann der Administrator dank der ZENworks Security Client Aktualisierungsfunktion eine Zone im Netzwerk bestimmen von der aus Aktualisierungspatches an Endbenutzer verteilt werden wenn diese eine Verbindung mit dieser Netzwerkumgebung herstellen F r den Zugriff auf dieses Steuerelement wechseln Sie zur Registerkarte Allgemeine Richtlinieneinstellungen und klicken Sie dann im Richtlinienbaum auf der linken Seite auf ZSC Aktualisierung Verwaltungskonsole Datei Tools Komponenten Anzeigen Hilfe EI Richtlinie speichern Neue Komponente 9 Komponente zuweisen amp Komponente entfe Richtlinien Security Policy x z Allgemeine Richtinieneinstellungen Standorte Integrit ts und Sanierungsregeln Einhaltungs Berichterstellung Ver ffentlichen E Globale Einstellungen Richtlinieneinstellu
59. die der Endpunkt ausf hrt in einen Bericht aufgenommen werden Der Endpunkt kann jedes optionale Systeminventar f r Fehlerbehebung und Richtlinienerstellung ausf hren Der Zugriff auf diese Berichte erfolgt ber die Registerkarte Einhaltungs Berichterstellung Hinweis Berichterstellung ist nicht verf gbar wenn die Standalone Verwaltungskonsole ausgef hrt wird 108 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Komponenten Anzeigen Hilfe E Richtlinie speichern Neue Komponente Komponente zuweisen amp Komponente entfernen Richtlinien Security Policy ine Richtinieneinstellungen Standorte Integrit ts und Sanierungsregeln Einhaltungs Berichterstellung v Erstellen von Berichten alle 1 Minuten Stunden a M lEn vl IV ii Erkannte Netzwerkumgebungen EM Systemintegrit t IV Ei Antivirus Spyware und benutzerdefinierte I ii Endpunkt Manipulations Schutzaktivit t IV li Richtlinien Au erkraftsetzungen Vi Aktivit t zur Erzwingung verwalteter Anwen 7 2 Speicherger te M Ei Erkannte Wechselger te IV ii Dateien wurden auf ein Vechselger t kopi IV ki Dateien wurden von einem Wechselger t a Vi Verschl sselungsverwaltung und aktivit t I il Auf Festplatten geschriebene Dateien F ii Auf CD DVD geschriebene Dateien E M 2 Networking VB Firewall Aktivit t I li Netzwerkadapter Aktivit t ER W Fi M El Erkannte Wireless Zugriffspunkte I il Wireless Zugriffspunktverbin
60. dienstprogramm Bequeme Aktualisierung Sicherung und Wiederherstellung von Schl sseln ber die Richtlinie ganz ohne Datenverlust 1 7 1 Erl uterung ZENworks Storage Encryption Solution Datenverschl sselung wird durch die Erstellung und Verteilung von Sicherheitsrichtlinien zur Datenverschl sselung durchgesetzt Vertrauliche Daten am Endpunkt werden in einem verschl sselten Ordner gespeichert Der Benutzer kann auf diese Daten au erhalb des verschl sselten Ordners zugreifen und sie kopieren und die Dateien freigeben jedoch bleiben die Daten innerhalb des Ordners verschl sselt Versuche die Daten zu lesen sind f r unbefugte Verwenden der ZENworks Endpoint Security Management Konsole 39 Benutzer an diesem Computer nicht erfolgreich Wenn die Richtlinie aktiviert ist wird ein verschl sselter Safe Harbor Ordner dem Stammverzeichnis aller Nichtsystemlaufwerke am Endger t hinzugef gt Vertrauliche Daten die auf einem Thumbdrive oder einem anderen Wechselspeicherger t gespeichert werden werden sofort verschl sselt und k nnen nur auf Computern derselben Richtliniengruppe gelesen werden Ein Freigabeordner kann optional aktiviert werden wodurch Benutzer die Dateien mit Personen au erhalb ihrer Richtliniengruppe ber ein Passwort gemeinsam nutzen k nnen siehe Datenverschl sselung auf Seite 64 1 7 2 Freigabe verschl sselter Dateien Benutzer in derselben Richtliniengruppe Benutzer die dieselbe Sicherheitsricht
61. dorte verkn pft werden 74 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole So erstellen Sie einen neuen Standort 1 Klicken Sie auf Definierte Standorte und dann in der Symbolleiste auf die Schaltfl che Neue Komponente 2 Benennen Sie den Standort und geben Sie eine Beschreibung ein 3 Definieren Sie die Standorteinstellungen Symbol W hlen Sie ein Standortsymbol als optische Hilfestellung aus um dem Benutzer die Identifizierung des aktuellen Standorts zu erleichtern Das Standortsymbol wird im Benachrichtigungsbereich der Taskleiste angezeigt Zeigen Sie die verf gbaren Standortsymbole in der Dropdown Liste an und treffen Sie eine Auswahl Aktualisierungsintervall Legen Sie fest wie oft der ZENworks Security Client an diesem Standort auf Richtlinienaktualisierungen pr ft Der H ufigkeitswert wird in Minuten Stunden oder Tagen angegeben Wenn die Auswahl dieses Parameters aufgehoben wird pr ft der ZENworks Security Client an diesem Standort nicht auf Aktualisierungen Benutzerberechtigungen Geben Sie die Benutzerberechtigungen an Manuellen Standortwechsel zulassen Erm glicht dem Benutzer den Wechsel zu von diesem Standort F r nicht verwaltete Standorte Hotspots Flugh fen Hotels usw sollte diese Berechtigung erteilt werden In gesteuerten und kontrollierten Umgebungen in denen die Netzwerkparameter bekannt sind kann diese Berechtigung deaktiviert werden Wenn diese Berechtigung deaktiviert is
62. dungen F Mli USB Ger te Ki E Pr fung Doppelklicken Sie auf die Zeile um zu dem Fehler zu navigieren So f hren Sie die Einhaltungs Berichterstellung f r diese Richtlinie durch 1 Geben Sie an wie oft Berichte generiert werden sollen Dies ist die H ufigkeit mit der das Heraufladen von Daten vom ZEN works Security Client zum Richtlinienverteilungsservice erfolgt 2 W hlen Sie s mtliche Berichtskategorien bzw Typen aus die erfasst werden sollen Folgende Berichte stehen zur Verf gung Endpunkt Nutzung der Standortrichtlinien Der ZENworks Security Client meldet alle erzwungenen Standortrichtlinien und die Dauer dieser Erzwingung Erkannte Netzwerkumgebungen Der ZENworks Security Client meldet alle erkannten Netzwerkumgebungs Einstellungen Systemintegrit t Antivirus Spyware und benutzerdefinierte Regeln Der ZENworks Security Client meldet die konfigurierten Integrit tsmeldungen auf der Basis von Testergebnissen Schutzaktivit t gegen unbefugten Endpunktzugriff Der ZENworks Security Client meldet alle Security Client Manipulationsversuche Verwaltungsanweisung Der ZENworks Security Client meldet alle Versuche die Verwaltungsanweisung in der Security Client Instanz zu initiieren Erzwingungsaktivit ten f r verwaltete Anwendungen Der ZENworks Security Client meldet alle Aktivit ten zur Erzwingung bei verwalteten Anwendungen Erstellen und Verteilen von Sicherheitsrich
63. dware global festlegen m chten klicken Sie auf die Registerkarte Allgemeine Richtlinieneinstellungen erweitern Sie den Eintrag Globale Einstellungen im Baum und klicken Sie dann auf Komm Hardware Weitere Informationen finden Sie unter Kommunikationshardware auf Seite 54 aeaea Datei Tools Komponenten Anzeigen Hilfe EE Richtlinie speichem Neue Komponente 9 Komponente zuweisen amp Komponente entfemen Richtlinien Security Policy x 316 Definierte Standorte Office Komm Hardware 4 Speicherger tsteuerun H E Firewall Einstellungen 1394 FireWire Einw hlen Netzwerkumgebungen Globale Einstellung anwenden S mtlichen Zugriff erlauben Q USB Konnektivit t IDAS Wi Fi Verwaltung Verkabelt Wi Fi Sicherheit Globale Einstellung anwenden S mtlichen Zugriff erlauben EB Unknown Bluetooth Globale Einstellung anwenden Seriell Parallel Globale Einstellung anwenden Genehmigte Kabeladapter Genehmigte Einw hladapter Genehmigte Wireless Adapter MAC Adresse Treffen Sie eine Auswahl um zu aktivieren zu deaktivieren oder um die globale Einstellung f r die einzelnen aufgef hrten Kommunikationshardware Ger te anzuwenden 1394 FireWire Steuert den Zugriff auf den FireWire Anschluss des Endpunkts IrDA Steuert den Zugriff auf den Infrarotanschluss des Endpunkts Bluetooth Steuer
64. e Richtlinie Fehler aufweist ziehen Sie Abschnitt 2 2 6 Fehlerbenachrichtigung auf Seite 112 zurate Es sollten mehrere definierte Standorte ber einfache Standorte vom Typ Arbeit und Unbekannt hinaus in die Richtlinie aufgenommen werden um den Benutzern beim Verbindungsaufbau au erhalb der Firewall des Unternehmens unterschiedliche Sicherheitsberechtigungen zur Verf gung zu stellen Wenn die Standortnamen einfach gehalten werden z B Cafes Flugh fen Zuhause und das Standortsymbol in der Taskleiste optische Hilfestellung gibt k nnen Benutzer ganz einfach zu den entsprechenden Sicherheitseinstellungen wechseln die f r die jeweilige Netzwerkumgebung erforderlich sind Kommunikationshardware Mithilfe der Einstellungen f r die Kommunikationshardware wird nach Standort gesteuert welche Hardwaretypen in dieser Netzwerkumgebung eine Verbindung herstellen d rfen 76 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Hinweis Sie k nnen die Steuerelemente f r Kommunikationshardware auf der Registerkarte Allgemeine Richtlinieneinstellungen global bzw auf der Registerkarte Standorte f r einzelne Standorte festlegen Wenn Sie die Steuerelemente f r Kommunikationshardware f r einen Standort festlegen m chten klicken Sie auf die Registerkarte Standorte erweitern Sie den gew nschten Standort im Baum und klicken Sie dann auf Komm Hardware oder Wenn Sie die Steuerelemente f r Kommunikationshar
65. e bestimmte Zeitspanne gemessen in Tagen ist 104 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Hinweis Der Dateivergleich Gleich wird bei Verwendung der Alterspr fung als Kleiner oder gleich behandelt Die Pr fungen werden in der Reihenfolge durchgef hrt in der sie eingegeben werden Erweiterte Skriptregeln ZENworks Endpoint Security Management enth lt ein Werkzeug zur erweiterten Regel Skripterstellung mit dem Administratoren ausgesprochen flexible und komplexe Regeln und Abhilfema nahmen definieren k nnen F r den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Integrit ts und Sanierungsregeln und klicken Sie dann im Richtlinienbaum auf der linken Seite auf das Symbol f r Erweiterte Skriptregeln Datei Tools Komponenten Anzeigen Hilfe HE Richtlinie speichern Neue Komponente Komponente zu ien Security Policy B Integrit ts und Sanierungsreg Antivirus Spyware Regeln ER OfficeScan 30 Tests SF Installed eo rend Firewall All Open on Startup ntriscan Ef System Proces Beschreibung E Client running JavaScript scripting example that opens all ports on iterte Skripterstellungs f startup Firewall All Open on St Name Richtlinie aktualisiert E Vorgangs nderung j Firewall durch den Benutzer ge ndert Uhrzeit und Datum der Ausf hrung Montag E Dienstag Mittwoch E Standort nderungsereignis
66. eben Sie einen Pfad sowie einen Dateinamen an oder klicken Sie auf Durchsuchen um einen Dateispeicherort auszuw hlen 3 Stellt das Passwort bereit Der Schl ssel kann nicht ohne Passwort exportiert werden 4 Klicken Sie auf OK Alle Schl sseldateien in der Datenbank sind Bestandteil der exportierten Datei 1 8 2 Importieren von Verschl sselungsschl sseln Sie k nnen Schl ssel aus einer Sicherungskopie oder aus einer anderen Instanz des Verwaltungsdiensts importieren So k nnen Endpunkte die von diesem Verwaltungsdienst verwaltet werden Dateien lesen die durch andere ZENworks Endpoint Security Management Installationen gesch tzt sind Duplikate werden beim Importieren von Schl sseln ignoriert Importierte Schl ssel werden Teil Ihres Schl sselsatzes und ersetzen nicht den aktuellen gemeinsamen Schl ssel Alle Schl ssel werden mitgegeben wenn eine neue Richtlinie ver ffentlicht wird 1 W hlen Sie die Optionsfolge Werkzeuge gt Verschl sselungsschl ssel importieren 2 Geben Sie den Dateinamen und den Dateispeicherort an oder klicken Sie auf Durchsuchen um die Schl sseldatei auszuw hlen 3 Geben Sie das Passwort f r den Verschl sselungsschl ssel an 4 Mit OK wird der Schl ssel in die Datenbank importiert Verwenden der ZENworks Endpoint Security Management Konsole 41 1 8 3 Generieren eines neuen Schl ssels 1 W hlen Sie die Optionsfolge Werkzeuge gt Neuen Schl ssel generieren Alle vorherigen Schl ssel
67. eiber am Endpunkt installiert ber PCMCIA oder USB wird der Adapter im Windows Ger te Manager bis zum Neubooten des Systems als aktiviert angezeigt obwohl jegliche Netzwerkkonnektivit t blockiert ist Geben Sie den Namen jedes zul ssigen Adapters an Es ist zul ssig nur Teile von Adapternamen einzugeben Adapternamen sind auf 50 Zeichen beschr nkt und die Gro Kleinschreibung wird beachtet Das Betriebssystem Windows 2000 ben tigt den Ger tenamen um diese Funktionalit t bereitstellen zu k nnen Werden keine Adapter eingegeben sind alle Adapter des Typs zul ssig Wird nur ein Adapter eingegeben ist nur dieser eine Adapter an diesem Standort zul ssig Hinweis Befindet sich der Endpunkt an einem Standort an dem als Netzwerkidentifikation lediglich eine Zugriffspunkt SSID Service Set Identification angegeben wird wechselt der ZENworks Security Client zu diesem Standort bevor der nicht autorisierte Adapter deaktiviert wird Die Passwort Au erkraftsetzung sollte erm glicht werden um f r diesen Fall einen manuellen Standortwechsel bereitzustellen 78 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Steuerelement f r Speicherger tsteuerung Mit Steuerelementen f r die Speicherger tsteuerung werden die Speicherger t Standardeinstellungen f r die Richtlinie festgelegt in denen s mtliche externen Dateispeicherger te ber Lese oder Schreibrechte f r Dateien verf gen im schreibgesch tzten M
68. eichnisse werden authentifiziert EF Service Synchronisierung URL des Verteilungsdiensts http SSIBETA2 Policy Server ShieldClient asmc Der Verwaltungsserver synchronisiert Informationen mit den Verteilungsdienst und Infrastrukturservem in festgelegten Minutenintervallen nderungen von Verzeichnisdiensten Richtlinien Berichterstellungsdaten oder Verwaltungsereignissen werden w hrend der Ausf hrungszeit repliziert oder in diesen Intervallen verarbeitet je nach Verf gbarkeit des Dienstes Verteilungsdienst 605 Richtliniendaten und aktivit t co Verwaltungsdaten 240 4 Untemehmensstruktur 7205 Ciient Berichterstellung 720 5 Sie k nnen Wammeldungen mit Snapshots von Daten erstellen die von den Endpunkten gemeldet werden Um die Leistung zu optimieren und sicherzustellen dass Wammeldungen f r die letzten Aktivit ten relevant sind kann ein Speicherschwellwert festgelegt werden Wammeldungsdaten behalten f r 7 Tage 08 2 Abbrechen Hire Die folgenden Abschnitte enthalten weitere Informationen Verteilungsservice URL auf Seite 15 Planung auf Seite 15 14 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Verteilungsservice URL ber die Einstellung Verteilungsservice URL wird der Speicherort des Richtlinienverteilungsservice sowohl f r den Verwaltungsdiensts als auch f r s mtliche ZENworks Security Client Instanzen aktualisiert ohne dass sie neu i
69. eine Standalone Verwaltungskonsole installiert werden Weitere Informationen finden Sie in der ZENworks Endpoint Security Management Installationsanleitung So verteilen Sie nicht verwaltete Richtlinien 1 Kopieren Sie die Datei setup sen der Verwaltungskonsole in einen separaten Ordner Die Datei setup sen wird bei der Installation der Verwaltungskonsole generiert und im Verzeichnis Programme Novell ESM Management Console gespeichert 2 Erstellen Sie in der Verwaltungskonsole eine Richtlinie Weitere Informationen finden Sie unter Abschnitt 2 2 Erstellen von Sicherheitsrichtlinien auf Seite 50 3 Exportieren Sie mit dem Befehl Exportieren die Richtlinie in den Ordner der auch die Datei setup sen enth lt S mtliche verteilten Richtlinien m ssen nach dem Schema policy sen benannt werden damit der ZENworks Security Client sie akzeptiert 4 Verteilen Sie die Dateien policy sen und setup sen Diese Dateien m ssen f r alle nicht verwalteten Client Instanzen in das Verzeichnis Programme Novell ZENworks Security Client kopiert werden Die Datei setup sen muss nur einmal gemeinsam mit der ersten Richtlinie auf die nicht verwalteten ZENworks Security Client Instanzen kopiert werden Im Anschluss m ssen nur noch neue Richtlinien verteilt werden 114 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole
70. eld an Nachdem die Richtlinie importiert wurde kann sie weiter bearbeitet oder sofort ver ffentlicht werden 2 3 2 Exportieren einer Richtlinie Richtlinien k nnen ber die Verwaltungskonsole exportiert und per E Mail oder ber eine Netzwerkfreigabe verteilt werden Auf diese Weise k nnen Richtlinien auf Unternehmensebene in Umgebungen verteilt werden in denen mehrere Verwaltungsdienste und Richtlinieneditoren eingesetzt sind So exportieren Sie eine Sicherheitsrichtlinie 1 W hlen Sie in der Verwaltungskonsole die Optionsfolge Datei gt Exportieren Erstellen und Verteilen von Sicherheitsrichtliniien 113 2 Geben Sie ein Verzeichnis an und benennen Sie die Richtlinie die Erweiterung muss hierbei sen lauten Beispiel C Desktop salespolicy sen Sie k nnen auf Durchsuchen klicken und einen Speicherort angeben 3 Klicken Sie auf Exportieren Daraufhin werden zwei Dateien exportiert Bei der ersten Datei handelt es sich um die Richtlinie sen Datei Bei der zweiten Datei handelt es sich um die Datei setup sen die erforderlich ist um die Richtlinie beim Importieren zu entschl sseln Exportierte Richtlinien m ssen in die Verwaltungskonsole importiert werden bevor sie an verwaltete Benutzer ver ffentlicht werden k nnen 2 3 3 Exportieren von Richtlinien an nicht verwaltete Benutzer Wurden im Unternehmen nicht verwaltete ZENworks Security Client Instanzen bereitgestellt muss zur Erstellung von Richtlinien
71. eldung ausl sen wenn Incidents ein Files copied to device One day total Security Client Configuration Incorrect security client version Epes mug 0 1 2 gt Security Client Tampering Hack attempts Override password used nn Uninstall attempts 2 Speichen innerhalb 7 gt Tage Diese Wammeldung aktivieren Warnungs berwachung ist f r die folgenden Bereiche verf gbar Client Integrit t Benachrichtigt ber nicht korrigierte Ergebnisse eines Integrit tstests Sicherheit des Kommunikationsports Benachrichtigt ber potenzielle Portscan Versuche Datenschutz Benachrichtigt ber Dateien die innerhalb eines Tages auf Wechselspeicherger te kopiert wurden Security Client Konfiguration Benachrichtigt ber falsche Security Client Versionen und fehlerhafte Richtlinien Security Client Tampering Benachrichtigt ber Hackversuche Deinstallationsversuche und Nutzung des Override Passworts durch Benutzer Drahtlose Sicherheit Benachrichtigt ber nicht sichere Zugriffspunkte die erkannt wurden und zu denen der Benutzer eine Verbindung aufgebaut hat 1 5 1 Konfigurieren von ZENworks Endpoint Security Management f r Warnmeldungen F r Warnmeldungen m ssen Berichtsdaten regelm ig erfasst und heraufgeladen werden um ein m glichst pr zises Bild der aktuellen Endpunkt Sicherheitsumgebung zu vermitteln Nicht verwaltete ZENworks Security Clie
72. ement Hilfe zur Verwaltungskonsole oix EuA Beschreibung Seriennummer So generieren Sie eine Liste mit zugelassenen Ger ten 1 ffnen Sie den USB Laufwerkscanner Hinweis Es handelt sich hierbei um eine separate Installation die nicht im Zusammenhang mit dem Verwaltungsdienst und der Verwaltungskonsole steht Auf dem Desktop befindet sich eine Verkn pfung zu diesem Werkzeug 2 Verbinden Sie ein USB Universal Serial Bus Ger t mit dem USB Anschluss des Computers Das Ger t muss eine Seriennummer aufweisen 3 Klicken Sie auf das Symbol f r die Absuche A Der Name des Ger ts sowie seine Seriennummer werden in den entsprechenden Feldern angezeigt iix 2 wA Beschreibung Seriennummer gt f Kingston DataTraveler 2 0 USB Device 28819640D23C 4 Wiederholen Sie Schritt 2 und Schritt 3 bis s mtliche Ger te in die Liste aufgenommen wurden 5 Klicken Sie auf das Symbol zum Speichern de Anweisungen zum Importieren der Liste in eine Richtlinie finden Sie unter Abschnitt Bevorzugte Ger te auf Seite 57 Verwenden der ZENworks Endpoint Security Management Konsole 45 Wenn Sie eine gespeicherte Datei bearbeiten m chten klicken Sie auf das Symbol zum Durchsuchen um die Datei zu ffnen 46 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Erstellen und Verteilen von Sicherheitsrichtlinien Mithilfe von Sicherheitsrichtlinien gew hrleistet
73. en F r den Zugriff auf dieses Steuerelement wechseln Sie zur Registerkarte Allgemeine Richtlinieneinstellungen und klicken Sie dann im Richtlinienbaum auf der linken Seite auf VPN Erzwingung 68 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole ler kon Datei Tools Komponenten Anzeigen Hilfe E Richtlinie speichern Neue Komponente 9 Komponente zuweisen amp Komponente entfernen Richtlinien Security Policy Allgemeine Richtinieneinstellungen 21 Globale Einstellungen Richtlinieneinstellungen E VPN Erzwingung Wireless Steuerung UPN Komm Hardware N Speicherger tsteverung Aktivieren Q USB Konnektivit t IP Adresse des VPN Servers Datenverschl sselung mehrere Eintr ge durch Semikolon trennen Re ZSC Update uaqebjny Wechseln zu Standort Um die Regel f r die VPN Erzwingung verwenden zu k nnen m ssen mindestens zwei Standorte vorhanden sein So erg nzen Sie eine neue oder vorhandene Sicherheitsrichtlinie um die VPN Erzwingung 1 W hlen Sie Aktivieren um den Bildschirm und die Regel zu aktivieren 2 Geben Sie die IP Adressen f r den VPN Server in dem daf r vorgesehenen Feld an Wenn Sie mehrere Adressen angeben trennen Sie die einzelnen Eintr ge durch einen Strichpunkt voneinander ab Beispiel 10 64 123 5 66 744 82 36 3 W hlen Sie in der Dropdown Liste den Standort aus zu dem gewechselt werden soll Dies ist der Standort zu dem der ZENworks Security
74. en Blockiert Wi Fi Verbindungen global ohne das Wi Fi Radio stummzuschalten Verwenden Sie diese Einstellung wenn Sie Wi Fi Verbindungen deaktivieren jedoch Zugriffspunkte f r die Standorterkennung verwenden m chten Weitere Informationen finden Sie unter Abschnitt 2 2 2 Standorte auf Seite 73 Kommunikationshardware Mithilfe der Einstellungen f r die Kommunikationshardware wird nach Standort gesteuert welche Hardwaretypen in dieser Netzwerkumgebung eine Verbindung herstellen d rfen Hinweis Sie k nnen die Steuerelemente f r Kommunikationshardware auf der Registerkarte Allgemeine Richtlinieneinstellungen global bzw auf der Registerkarte Standorte f r einzelne Standorte festlegen Wenn Sie die Steuerelemente f r Kommunikationshardware global festlegen m chten klicken Sie auf die Registerkarte Allgemeine Richtlinieneinstellungen erweitern Sie den Eintrag Globale Einstellungen im Baum und klicken Sie dann auf Komm Hardware Wenn Sie die Steuerelemente f r Kommunikationshardware f r einen Standort festlegen m chten klicken Sie auf die Registerkarte Standorte erweitern Sie den gew nschten Standort im Baum und klicken Sie dann auf Komm Hardware Weitere Informationen zum Festlegen der Einstellungen f r Kommunikationshardware f r einen Standort finden Sie unter Kommunikationshardware auf Seite 76 Legen Sie fest ob die allgemeine Einstellung f r die einzelnen aufgelisteten Kommunikationshardware Ger te
75. en Sie das Kontrollk stchen f r die Anzeige von Hyperlinks und machen Sie die erforderlichen Angaben 4 VPN Meldung verwenden Meldung Text anzeigen Verkn pfung Parameter Hinweis Wird die Meldung bzw der Hyperlink in einer freigegebenen Komponente ge ndert bewirkt dies die nderung in allen anderen Instanzen dieser Komponente Mithilfe des Befehls Auslastung anzeigen k nnen alle anderen mit dieser Komponente verkn pften Richtlinien angezeigt werden Hyperlinks Ein Administrator kann Hyperlinks in benutzerdefinierte Meldungen aufnehmen um Sicherheitsrichtlinien weiter zu erl utern oder Links zu Software Aktualisierungen bereitzustellen zur Gew hrleistung der Integrit tseinhaltung Hyperlinks stehen in mehreren Richtlinienkomponenten zur Verf gung Es kann ein VPN Hyperlink erstellt werden der entweder auf die ausf hrbare Datei des VPN Client oder auf eine Stapeldatei verweist die ausgef hrt wird und so den Benutzer vollst ndig beim VPN anmeldet weitere Details finden Sie unter VPN Erzwingung auf Seite 68 72 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Anmeldung Melden Sie sich im YPN an YPN starten So erstellen Sie einen Hyperlink 1 Geben Sie einen Namen f r den Link an Dieser Name wird unterhalb der Meldung angezeigt Er ist auch f r Hyperlinks f r erweitertes VPN erforderlich 2 Geben Sie den Hyperlink an 3 Geben Sie s mt
76. enden Die Synchronisierung vieler Benutzer und Computer kann einige Stunden in Anspruch nehmen Wenn Sie keine Container zur Synchronisierung angeben werden die Benutzer und Computer in diesen Containern in der Verwaltungskonsole ausgef llt sobald sie sich anmelden Bei der Synchronisierung von Containern wird die Verwaltungskonsole vorab mit diesen Benutzern und Computern ausgef llt sodass Sie sofort Aktionen wie die Erstellung von Sicherheitsrichtlinien durchf hren k nnen Wenn sich die Benutzer und Computer dann am System anmelden werden diese Richtlinien aktiviert und angewendet Wenn die Verwaltungskonsole vorab ausgef llt wird k nnen Sie sofort damit beginnen f r Einzelbenutzer oder Computer spezifische Richtlinien zu erstellen statt Richtlinien zu erstellen die f r alle Benutzer und Computer im Container zutreffen Wenn Sie den Container nicht synchronisieren m ssen Sie warten bis sich diese Benutzer und Computer am System anmelden bevor Sie eindeutige Richtlinien f r verschiedene Benutzer und Computer erstellen k nnen 14 Klicken Sie auf Weiter um die Seite Konfiguration speichern anzuzeigen 22 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole ESM Assistent zur Erstellung einer neuen Verzeichnisdienstkonfiguration A ESM Management Console Konfiguration speichern Der Assistent f r die Verzeichnisdienstkonfiguration kann Ihre Konfigurationseinstellungen nun speichern Name Te 2 St
77. ennen zur Steuerung der clientbasierten VPN Aktivierung verwendet Geben Sie den Standort des VPN Client und die erforderlichen Schalter in den Parameterfeldern an Der Trennbefehl ist optional und wird f r VPN Clients zur Verf gung gestellt bei denen der Benutzer die Verbindung trennen muss bevor die Abmeldung beim Netzwerk erfolgt Hinweis Bei VPN Clients die virtuelle Adapter generieren z B Cisco Systems VPN Client 4 0 wird eine Meldung ausgegeben die besagt dass die Richtlinie aktualisiert wurde und m glicherweise erfolgt der vor bergehende Wechsel an einen anderen Standort Die Richtlinie wurde nicht aktualisiert der ZENworks Security Client gleicht lediglich den virtuellen Adapter mit s mtlichen Adapterbeschr nkungen in der aktuellen Richtlinie ab Bei der Ausf hrung von VPN Clients dieses Typs wird von der Verwendung des Hyperlinks f r den Trennbefehl abgeraten Adapter Hierbei handelt es sich um eine Mini Adapterrichtlinie die sich speziell auf die VPN Erzwingung bezieht Wenn ein Adapter ausgew hlt ist nderung in eine Option mit dem Ausdruck deaktiviert mit Ausnahme von kann der jeweilige Adapter Wireless bezieht sich hierbei spezifisch auf den Kartentyp die Konnektivit t zum VPN nutzen Adapter die in die nachfolgenden Ausnahmelisten aufgenommen werden k nnen die VPN Konnektivit t nicht nutzen alle anderen Adapter des jeweiligen Typs hingegen schon Wenn ein Adapter nicht ausgew hl
78. entifiziert aus Tili a r Ep zessqa com Klicken Sie auf amp quot weiter amp quot um mit der Directory Service Configuration Zur ck J Weiter gt Die Dom ne die den in Schritt 7 angegebenen verwaltungsbefugten Benutzer enth lt wird ausgew hlt diese Auswahl kann nicht wieder aufgehoben werden Die Installation eines Client schl gt beim Versuch der Anmeldung am Verwaltungsserver fehl wenn der Client kein Mitglied der Dom nen ist die in der Konfiguration ausgew hlt wurden 11 Klicken Sie auf Weiter um die Seite Client Container ausw hlen anzuzeigen und w hlen Sie anschlie end die Container f r die von dieser Konfiguration verwendeten Konten aus 20 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole 12 ESM Assistent zur Erstellung einer neuen Verzeichnisdienstkonfiguration i A ESM Management Console Client Container ausw hlen Bitte w hlen Sie die Container fiir die von dieser Konfiguration verwendeten Konten aus H A Adventure Works Cycle H E Builtin H E Computers H Ag Computers without Windows Update policy H D Domain Controllers H E ForeignSecurityPrincipals H E Lost ndFound S E System JR UserAccounts S A UserlT H A Users H A UserService Klicken Sie auf amp quot weiter amp quot um mit der Directory Service Configuration Zur ck l Weiter gt Abbrechen Der Contai
79. er tegrupen HID Massenspeicherklasse Druckklasse und Scanning Imaging um den meisten USB Ger ten den Zugriff zu erlauben oder zu verweigern Bei Ger ten die nicht in einer dieser Gruppen registriert sind k nnen Sie die Einstellungen auf der Seite USB Konnektivit t Erstellen und Verteilen von Sicherheitsrichtliniien 59 Erweitert konfigurieren Sie k nnen auch die Einstellungen auf der Seite Erweitert verwenden um Whitelist Zugriff auf bestimmte Ger te zu erlauben auch wenn ihnen bereits aufgrund der Einstellungen auf der Seite USB Konnektivit t der Zugriff verweigert wurde Zum Zugriff auf die erweiterten Optionen f r USB Konnektivit t klicken Sie auf das Pluszeichen neben USB Konnektivit t im Baum Globale Einstellungen und anschlie end auf Erweitert Sie k nnen den USB Ger teauditbericht dazu verwenden alle Informationen abzurufen die Sie potenziell auf der Seite USB Konnektivit tssteuerung Erweitert verwenden k nnen Abbildung 2 2 Seite USB Konnektivit tssteuerung Erweitert RE Verwaltungskonsole Security Peiicy E Datei Tools Komponenten Anzeigen Hilfe E Richtliniespeichern amp Neue Komponente Komponente zuweisen amp Komponente entferner Richtlinien Security Policy Allgemeine Richtinieneinstellungen Standorte Integrit ts und Sanierungsregeln Einhaltungs Berichterstellung Ver ffentlichen S Globale Einstellungen Richtlinieneinstellungen 0 USB Konnektivit
80. er ausgegeben Mit der Schaltfl che Exportieren speichern Sie den Bericht als PDF Datei Excel Arbeitsblatt Word Dokument oder RTF Datei Die Schaltfl che Gruppenhierarchie blendet eine Liste von Parametern als Seitenleiste neben dem Bericht ein und aus W hlen Sie einen dieser Parameter aus um tiefere Ebenen des Berichts anzuzeigen Klicken Sie auf die Schaltfl che Gruppenhierarchie um die Seitenleiste zu schlie en Durch Klicken auf das Symbol mit der Lupe wird ein Dropdown Men zur Anpassung der aktuellen Anzeigegr e eingeblendet Durch Klicken auf das Symbol mit dem Fernglas wird ein Suchfenster ge ffnet Wenn Sie die Maus auf einen bestimmten Parameter beispielsweise einen Benutzer oder Ger tenamen bewegen wird der Mauszeiger zur Lupe Sie k nnen auf das entsprechende Element doppelklicken und einen neuen Bericht ausschlie lich zu diesem Objekt anzeigen Klicken Sie auf die Schaltfl che Schlie en um die aktuelle Ansicht zu schlie en und zum urspr nglichen Bericht zur ckzukehren Wenn Sie wieder zur Berichtliste wechseln m chten klicken Sie auf das Symbol Berichtliste oberhalb des Berichtfensters Datei Tools Anzeigen Hilfe E Berichtliste aktualisieren p Berichtliste anzeigen Berichte stehen erst zur Verf gung wenn Daten von den ZENworks Security Clients heraufgeladen wurden Standardm ig erfolgt die Synchronisierung des Berichtsservice von ZENworks Endpoint Security Management alle 12 Stunden
81. er exe ber diesen Link wird die Anwendung aufgerufen der Benutzer muss sich aber dennoch anmelden In das Parameterfeld kann ein Schalter eingegeben werden es kann auch eine Stapeldatei erstellt werden auf die anstelle der ausf hrbaren Client Datei verwiesen wird Hinweis Bei VPN Clients die virtuelle Adapter generieren z B Cisco Systems VPN Client 4 0 wird eine Meldung ausgegeben die besagt dass die Richtlinie aktualisiert wurde Die Richtlinie wurde nicht aktualisiert der ZENworks Security Client gleicht lediglich den virtuellen Adapter mit s mtlichen Adapterbeschr nkungen in der aktuellen Richtlinie ab Bei den oben erw hnten Standardeinstellungen f r die VPN Erzwingung ist VPN Konnektivit t eine Option Benutzer verf gen ber Konnektivit t zum aktuellen Netzwerk egal ob sie das VPN starten oder nicht Ziehen Sie hinsichtlich der strikteren Erzwingung den nachfolgenden Abschnitt zu erweiterten VPN Einstellungen zurate Erweiterte VPN Einstellungen Mit Steuerelementen f r erweitertes VPN werden Authentifizierungs Zeit berschreitungen zum Schutz vor VPN Fehlern und Verbindungsbefehle f r clientbasierte VPN festgelegt sowie Adaptersteuerelemente zur Steuerung der Adapter mit VPN Zugriffsrecht verwendet F r den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Allgemeine Richtlinieneinstellungen klicken Sie auf das Symbol neben VPN Erzwingung und klicken Sie dann im Richtlinienbaum a
82. er gefilterten Zugriffspunkte Fallback Zugriffspunkte die in die Liste der unzul ssigen Zugriffspunkte eingegeben wurden werden in Zero Config unter keinen Umst nden angezeigt Erstellen und Verteilen von Sicherheitsrichtliiniien 95 Hinweis Die Liste mit den Zugriffspunkten wird nur unter dem Betriebssystem Windows XP unterst tzt Vor der Bereitstellung einer Liste mit Zugriffspunkten wird empfohlen dass an s mtlichen Endpunkten die Liste der bevorzugten Netzwerke aus Zero Config gel scht wird Die folgenden Abschnitte enthalten weitere Informationen Einstellungen f r die Wi Fi Signalst rke auf Seite 96 Verwaltete Zugriffspunkte auf Seite 97 Gefilterte Zugriffspunkte auf Seite 98 Unzul ssige Zugriffspunkte auf Seite 98 Einstellungen f r die Wi Fi Signalst rke Wenn in der Liste mehr als ein WEP verwalteter Zugriffspunkt definiert ist kann die Signalst rken Umschaltung f r den Wi Fi Adapter festgelegt werden Die Schwellenwerte f r die Signalst rke k nnen nach Standort angepasst werden um zu bestimmen wann der ZENworks Security Client nach einem anderen in der Liste definierten Zugriffspunkt sucht ihn verwirft bzw zu ihm wechselt Signalst rkeeinstellungen Such o Nach einem neuen Zugriffspunkt suchen wenn die aktuelle Signalst rke unter iT 2 Niedrig f llt Zu einem neuen Zugriffspunkt wechseln wenn dieser 20 dB st rker als das aktuelle Signal is
83. er in die Organisationstabelle verschoben Wenn ein neuer Verzeichnisdienst hinzugef gt wird siehe Authentifizierungsverzeichnisse auf Seite 16 werden dem eingegebenen Ressourcenkonto wie oben beschrieben uneingeschr nkte Berechtigungseinstellungen gew hrt 1 4 Verwenden des Fensters Konfiguration ber das Fenster Konfiguration kann der ZENworks Endpoint Security Management Administrator auf die Steuerelemente f r Infrastruktur und Planung Authentifizierungsverzeichnisse sowie Serversynchronisierung zugreifen Klicken Sie auf der Hauptseite auf den Link Konfiguration oder ffnen Sie das Men Werkzeuge und klicken Sie dann auf Konfiguration Daraufhin wird das Fenster Konfiguration angezeigt Hinweis Diese Funktion ist bei einer Standalone Verwaltungskonsole nicht verf gbar Die folgenden Abschnitte enthalten weitere Informationen Abschnitt 1 4 1 Infrastruktur und Planung auf Seite 14 Abschnitt 1 4 2 Authentifizierungsverzeichnisse auf Seite 16 Abschnitt 1 4 3 Service Synchronisierung auf Seite 24 1 4 1 Infrastruktur und Planung Mithilfe des Moduls f r Infrastruktur und Planung kann der ZENworks Endpoint Security Management Administrator die URL f r den Richtlinienverteilungsservice festlegen und ndern sowie die Synchronisierungsintervalle f r die ZEN works Endpoint Security Management Komponenten steuern A Konfiguration es Irastukturund Planung EY Verz
84. er unter DVD CD ROM Laufwerke aufgef hrt sind Erstellen und Verteilen von Sicherheitsrichtlinien 55 Wechseldatentr ger Steuert s mtliche Ger te die im Windows Ger te Manager unter Laufwerke aufgef hrt sind Diskettenlaufwerk Steuert s mtliche Ger te die im Windows Ger te Manager unter Diskettenlaufwerke aufgef hrt sind Bevorzugte Ger te L sst nur die Wechselspeicherger te zu die im Fenster Speicherger tsteuerung aufgef hrt sind Alle anderen Ger te die als Wechseldatentr ger gemeldet werden sind nicht zul ssig Feste Speicher Festplatten und Netzlaufwerke falls verf gbar sind immer zul ssig Wenn Sie den Richtlinienstandard f r Speicherger te festlegen m chten w hlen Sie in den Dropdown Listen die globale Einstellung f r beide Typen aus Aktivieren Der Ger tetyp ist standardm ig zul ssig Deaktivieren Der Ger tetyp ist nicht zul ssig Wenn Benutzer versuchen auf einem definierten Speicherger t auf Dateien zuzugreifen wird eine Fehlermeldung des Betriebssystems bzw der Anwendung die auf das lokale Speicherger t zuzugreifen versucht ausgegeben die besagt dass bei dem Vorgang ein Fehler aufgetreten ist Nur Lesen F r den Ger tetyp ist Nur Lesen festgelegt Wenn Benutzer versuchen auf das Ger t zu schreiben wird eine Fehlermeldung des Betriebssystems bzw der Anwendung die auf das lokale Speicherger t zuzugreifen versucht ausgegeben die besagt dass bei de
85. erwaltung MKE Scherben bD uam rapirye ee rosipisy exe spree exe Auch T imePlsyer exe Pr ung Doppelklicken Sie auf de Zeile um zu dem Fehler zu navigieren So legen Sie eine neue Einstellung f r Anwendungssteuerungselemente fest 1 Klicken Sie im Komponentenbaum mit der rechten Maustaste auf Anwendungssteuerelemente und w hlen Sie dann die Option zum Hinzuf gen neuer Anwendungssteuerelemente 2 Geben Sie einen Namen und eine Beschreibung f r die Liste der Anwendungssteuerelemente ein 3 W hlen Sie ein Ausf hrungsverhalten aus Dieses Verhalten wird auf alle aufgelisteten Anwendungen angewendet Wenn mehrere Verhaltensweisen erforderlich sind Beispiel Einigen Netzwerkanwendungen wird der Netzwerkzugriff verweigert allen Anwendungen f r die Dateifreigabe hingegen die Ausf hrung m ssen mehrere Anwendungssteuerelemente definiert werden Aktivieren Sie einen der folgenden Parameter Alle erlaubt Alle aufgelisteten Anwendungen d rfen ausgef hrt werden und auf das Netzwerk zugreifen Keine Ausf hrung Keine der aufgelisteten Anwendungen darf ausgef hrt werden Kein Netzwerkzugriff Keine der aufgelisteten Anwendungen darf auf das Netzwerk zugreifen Anwendungen z B Webbrowser die von einer anderen Anwendung aus aufgerufen werden d rfen ebenfalls nicht auf das Netzwerk zugreifen Hinweis Das Blockieren des Netzwerkzugriffs hat keinen Einfluss auf das Speichern von Dateien auf zugeordnete Netzwe
86. erwaltungskonsole ausgef hrt wird Weitere Informationen finden Sie in der ZENworks Endpoint Security Management Installationsanleitung 1 1 4 Endpunkt berwachung ber das Fenster Endpunkt berwachung k nnen Sie auf ZENworks Endpoint Security Management Funktionen f r Berichte und Warnmeldungen zugreifen ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Berichterstellung Berichte sind f r die Anlayse und Implementierung starker Sicherheitsrichtlinien von entscheidender Bedeutung Wenn Sie auf Berichte zugreifen m chten klicken Sie in der Verwaltungskonsole auf Berichte Die erfassten und gemeldeten Endpunktsicherheitsdaten k nnen ebenfalls uneingeschr nkt konfiguriert sowie nach Dom ne Gruppe oder einzelnem Benutzer zusammengestellt werden Weitere Informationen finden Sie unter Abschnitt 1 6 Verwenden von Berichten auf Seite 29 Warnmeldungen Die berwachung von Warnmeldungen stellt sicher dass jegliche Verst e gegen Sicherheitsrichtlinien des Unternehmens in der Verwaltungskonsole gemeldet werden Mit Warnmeldungen wird der ZENworks Endpoint Security Management Administrator auf potenzielle Probleme hingewiesen und kann die entsprechenden Ma nahmen zur Behebung ergreifen Das Dashboard Warnmeldungen kann uneingeschr nkt konfiguriert werden Auf diese Weise k nnen Sie steuern wann und wie oft Warnmeldungen ausgegeben werden Weitere Informationen finden Sie unter Abschnitt 1 5 Verwenden
87. ewalls und Integrit tsregeln und abschlie end die Einhaltungs Berichterstellungsfunktion f r die Richtlinie eingerichtet Die Komponenten werden entweder in einer Dummy Richtlinie erstellt oder es werden von anderen Komponenten aus Verkn pfungsvorg nge durchgef hrt Bei den ersten paar Richtlinien wird davon ausgegangen dass Sie s mtliche eindeutigen Standorte Firewall Einstellungen und Integrit tsregeln f r das Unternehmen definieren Diese Komponenten werden f r die etwaige sp tere Verwendung in anderen Richtlinien in der Datenbank des Verwaltungsdienst gespeichert Im nachfolgenden Diagramm sind die Komponenten der einzelnen Ebenen sowie eine Richtlinie zu sehen die auf der jeweiligen Auswahl basiert 50 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole ESM Sicherheitsrichtlinie Richtlinienberechtigungen Wi Fi bertragungen deaktivieren Adapter Bridge deaktivieren Wi Fi bei Kabelanschluss deaktivieren Ad Hoc Netzwerke deaktivieren Wi Fi Verbindungen blockieren Kommunikationshardware Standard ALLE ZUGELASSEN Speicherger te Standards CDR DVDR ZUGELASSEN USB SCHREIBGESCH TZT VPN Erzwingung An VA Fi Hotapot Standort angewendet A Standorte Unbekannt Privat BB Wi Fi Hotspots ER Antivius Spyware Regein Wr integritststests B megritstspr fungen RR Integrit tsregeln Pestpur ar Va Trend Micro OffioeScan Antivirus Remediation Firewall Bla ae
88. fentlichen 5 Globale Einstellungen Richtlinieneinstellungen Wireless Steuerung Komm Hardware uaqebjny 3f Speicherger tsteuerung CD DVD Autom Wiedergabe E Q USB Konnektivit t S mtlichen Zugriff erlauben Autom Wiedergabe zulassen EL Datenverschl sselung z u Be ZSC Update Wechseldatentr ger E ya VPN Erzwingung S mtlichen Zugriff erlauben Diskettenlaufwerk S mtlichen Zugriff erlauben Bevorzugte Ger te Liste der bevorzugten Ger te in der Richtlinie aktivieren Bevorzugte Ger te Beschreibung Seriennummer Kommentar Die Speicherger tsteuerung ist in folgende Kategorien unterteilt CD DVD Steuert s mtliche Ger te die im Windows Ger te Manager unter DVD CD ROM Laufwerke aufgef hrt sind Erstellen und Verteilen von Sicherheitsrichtlinien 79 Wechseldatentr ger Steuert s mtliche Ger te die im Windows Ger te Manager unter Laufwerke aufgef hrt sind Diskettenlaufwerk Steuert s mtliche Ger te die im Windows Ger te Manager unter Diskettenlaufwerke aufgef hrt sind Feste Speicher Festplatten und Netzlaufwerke falls verf gbar sind immer zul ssig Wenn Sie den Richtlinienstandard f r Speicherger te festlegen m chten w hlen Sie in den Dropdown Listen die globale Einstellung f r beide Typen aus Aktivieren Der Ger tetyp ist standardm ig zul ssig Deaktivieren Der Ger tetyp ist nicht zul ssig Wenn Benut
89. g gestartet wurde Datumsangaben werden in UTC Universal Coordinated Time angezeigt Geben Sie die Datumsparameter an w hlen Sie die Anwendungsnamen in der Liste aus w hlen Sie die Benutzerkonten aus und klicken Sie dann auf Anzeigen um den Bericht auszuf hren Verwenden der ZENworks Endpoint Security Management Konsole 33 aax Diagramm Relative Anzahl am bieckierten Anwendungen pro Henutzer sooous IBERRER Anso dee Einchan ungen Anwendungssteuerungsdetails Gase essen Ze Gumeni Page Ne 1 Tetai Page No 2 Zoom Factor 100 Prha Degoeblchen Se au Se Zeile um zu dem Fehlen zu ngoen 1 6 4 Encryption Solution Reports Ist die Endpunktverschl sselung aktiviert geben Encryption Solutions Reports Aufschluss ber die bermittlung von Dateien an verschl sselte Ordner von verschl sselten Ordnern Folgende Berichte stehen zur Verf gung File Encryption Activity Zeigt Dateien auf die Verschl sselung angewendet wurde Encryption Exceptions Zeigt Fehler aus dem Verschl sselungs Subsystem Beispiel eine gesch tzte Datei konnte nicht entschl sselt werden da der Benutzer nicht ber die richtigen Schl ssel verf gte File Encryption Volumes Zeigt Volumes z B Wechsellaufwerke oder Festplattenpartitionen die von Novell Encryption Solution verwaltet werden 1 6 5 Berichte ber Endpunktaktivit ten Berichte ber Endpunktaktivit ten bieten Feedback zu einzelnen Richtlinienkom
90. geben k nnen Importieren von Verschl sselungsschl sseln ffnet das Dialogfeld Verschl sselungsschl ssel importieren in dem Sie die zu importierenden Schl ssel sowie das Passwort angeben k nnen Verwenden der ZENworks Endpoint Security Management Konsole 9 Neuen Schl ssel generieren Generiert einen neuen Verschl sselungsschl ssel der der Erzwingung des Schutzes von Daten dient Berechtigungen ffnet das Fenster Berechtigungen Anzeigen ber das Men Anzeigen k nnen Sie h ufige Richtlinienaufgaben ausf hren ohne die Taskleiste verwenden zu m ssen Richtlinie Ist eine Richtlinie ge ffnet wird zu ihr gewechselt Aktive Richtlinien Zeigt die Richtlinienliste an Warnmeldungen Zeigt das Dashboard Warnmeldungen an Berichterstellung Zeigt das Dashboard Bericht an Hilfe Zeigt die Hilfe sowie das Dialogfeld Info der Verwaltungskonsole an Hilfe Ruft die Online Hilfe der Verwaltungskonsole auf in der Sie schrittweise Anleitungen zur Erstellung von Richtlinien sowie zur Durchf hrung von Verwaltungskonsolenaufgaben finden Die Hilfe kann auch ber die Taste F1 auf der Tastatur aufgerufen werden Info zur Verwaltungskonsole ffnet das Fenster Info in dem der Installationstyp ZENworks Endpoint Security Management oder UWS sowie die aktuelle Versionsnummer der Verwaltungskonsole angezeigt werden In diesem Fenster wird auch der Lizenzschl ssel eingegeben falls er nach de
91. geberausf hrung alle Geben Sie an wie oft der Zeitgeber ausgef hrt werden soll Sonstige Ereignisse Geben Sie die Ereignisse am Endpunkt an die zur Ausl sung des Skripts f hren Ereignis Standortwechsel Geben Sie das Standortwechselereignis an das zur Ausl sung des Skripts f hrt Diese Ereignisse sind nicht unabh ngig sondern vielmehr als Erg nzung des vorangegangenen Ereignisses zu verstehen Ereignis Standortpr fung Das Skript wird bei jedem Standortwechsel ausgef hrt Aktivieren bei Wechsel von Das Skript wird nur ausgef hrt wenn der Benutzer diesen angegebenen Standort verl sst und an einen beliebigen anderen Standort wechselt Aktivieren bei Wechsel zu Das Skript wird ausgef hrt wenn der Benutzer von einem beliebigen anderen Standort an diesen angegebenen Standort wechselt Wenn bei Aktivieren bei Wechsel von ein Standortparameter angegeben wurde beispielsweise B ro wird das Skript nur ausgef hrt wenn der Standortwechsel vom B ro zu dem angegebenen Standort erfolgt Wechsel muss manuell erfolgen Das Skript wird nur ausgef hrt wenn der Benutzer den manuellen Standortwechsel vornimmt 4 Erstellen Sie Skriptvariablen Weitere Informationen hierzu finden Sie in Skriptvariablen auf Seite 107 5 Schreiben Sie den Skripttext Weitere Informationen finden Sie unter Skripttext auf Seite 108 6 Klicken Sie auf Richtlinie speichern Wenn Ihre Richtlinie Fehler aufweist ziehen Sie
92. gen ndern und Richtlinien l schen erhalten 1 3 1 Administrative Berechtigungen So legen Sie die administrativen Berechtigungen fest 1 W hlen Sie die Optionsfolge Werkzeuge gt Berechtigungen Die dieser Dom ne zugeordneten Gruppen werden angezeigt Zugriff Richtlinie Berechtigun Richtlinien Richtlinien Verwaltungs ver ffentich ndern erstellen l schen W Berec htigungen In Einstellungen ver ffentlichen JR a 8 Administrators DEW3S0L5_TE 8 Domain Admins DEW3S0L5_T T Domain Users DEW3SQLS_TE Di Enterprise Admins DEW3SQL5 Group Policy Creator Owners D E Schema Admins DEW3SQLS_T T Users DEW3SQLS_TEST K Schlie en Hinzufiigen Entfernen Hinweis Alle Gruppen erhalten standardm ig Zugriff auf die Verwaltungskonsole jedoch k nnen sie keine Richtlinienaufgaben ausf hren Der Zugriff auf die Konsole kann durch das Aufheben der Berechtigungsauswahl entzogen werden Verwenden der ZENworks Endpoint Security Management Konsole 11 2 So laden Sie Benutzer oder Gruppen in diese Liste 2a Klicken Sie am unteren Bildschirmrand auf die Schaltfl che Hinzuf gen Organizationselect Benutzer Gruppen Organisationen T Administrators CERTSVC_DCOM_ACCESS Domain Admins 48 Domain Users T Enterprise Admins Group Policy Creator Owners Schema Admins DK Cancel
93. genschaften um das Dialogfeld Eigenschaften des Ger ts anzuzeigen 4 Klicken Sie auf die Registerkarte Details und w hlen Sie in der Dropdown Liste Ger teinstanzkennung aus Der Produkttyp wird in der Ger teinstanzkennung nach der Zeichenfolge amp PROD angezeigt Im folgenden Beispiel ist DATATRAVELER der Produkttyp 62 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole amp Systemsteuerun Datei Bearbeiten Ansicht Favoriten Extras amp Zur ck 9 i P Suchen Ordner WE X 19 Mr Systemeigenschaften 2 L Eweitet Automatische Updates Remote Allgemein Computername Hardware A Ger te Manager Eigenschaften von 128MB USB Device Datei Aktion Ansicht e mESspma RN DEWS3SQLS i Anschl sse COM und LPT Audio Video und Gamecontroller mn Computer DYD CD ROM Laufwerke Eingabeger te Human Interface Device wert m Grafikkarte ga N_KINGSTON PROD_DATATRAVELER_2 IDE ATAJATAPI Controller we Laufwerke eo 128MB USB Device lt WDC WD1600J5 75NCB1 i Pa an 5 z Hersteller H M use und andere Zeigeger te Monitore E Netzwerkadapter MR Prozessoren Allgemein Richtlinien Volumes Treiber Details gt 128MB USB Device Speichervolumes p Systemger te gt Tastaturen amp USB Controller So nehmen Sie ein USB Ger t in die wei e Liste auf Behal
94. gibt dass er durch Verschl sselung gesch tzte Dateien enth lt Alle Dateien die in diesem Ordner gespeichert werden werden verschl sselt und durch den ZENworks Security Client verwaltet Daten die in diesem Ordner gespeichert werden werden automatisch verschl sselt und nur autorisierte Benutzer dieses Computers k nnen darauf zugreifen Erstellen und Verteilen von Sicherheitsrichtliiniien 65 Wenn Sie den Ordnernamen ndern m chten klicken Sie in das Feld Ordnername markieren Sie den dort enthaltenen Text und geben Sie den von Ihnen gew nschten Namen ein Benutzerordner Eigene Dateien verschl sseln Aktivieren Sie dieses Kontrollk stchen um den Ordner Eigene Dateien der Benutzer als verschl sselten Ordner zu definieren zus tzlich zum Safe Harbor Ordner Dies bezieht sich nur auf den lokalen Ordner mit der Bezeichnung Eigene Dateien Benutzerdefinierte Ordner zulassen Nichtsystemlaufwerk Aktivieren Sie dieses Kontrollk stchen damit Benutzer ausw hlen k nnen welche Ordner auf ihrem Computer verschl sselt sein sollen Dies bezieht sich nur auf lokale Ordner Wechselspeicherger te oder Netzlaufwerke k nnen nicht verschl sselt werden Warnung Vergewissern Sie sich vor der Deaktivierung der Datenverschl sselung dass s mtliche in diesen Ordnern gespeicherten Daten vom Benutzer extrahiert und an einem anderen Ort gespeichert wurden Verschl sselung f r Wechselspeicherger te aktivieren S mtlic
95. griffspunkte Gefilterte Zuariffspunkte Unzul ssige Zugriffspunkte MAC Adresse Geben Sie f r jeden Zugriffspunkt folgende Informationen ein SSID Geben Sie die SSID Nummer an Bei der SSID Nummer muss die Gro Kleinschreibung beachtet werden MAC Adresse Geben Sie die MAC Adresse an wird aufgrund der H ufigkeit unter SSID empfohlen Erfolgt keine Angabe wird angenommen dass es mehrere Zugriffspunkte gibt die bei St rmeldungen dieselbe SSID verwenden Unzul ssige Zugriffspunkte In die Liste Unzul ssige Zugriffspunkte eingegebene Zugriffspunkte werden in Zero Config nicht angezeigt und der Endpunkt darf keine Verbindung zu ihnen herstellen Verwaltete Zugriffspunkte Gefilterte Zugrifispunkte Unzul ssige Zuariffspunkte MAC Adresse 98 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Geben Sie f r jeden Zugriffspunkt folgende Informationen ein SSID Geben Sie die SSID Nummer an Bei der SSID Nummer muss die Gro Kleinschreibung beachtet werden MAC Adresse Geben Sie die MAC Adresse an wird aufgrund der H ufigkeit unter SSID empfohlen Erfolgt keine Angabe wird angenommen dass es mehrere Zugriffspunkte gibt die bei St rmeldungen dieselbe SSID verwenden Wi Fi Sicherheit Wenn Wi Fi Kommunikationshardware Wi Fi Adapter PCMCIA Karten oder andere Karten und integrierte Wi Fi Radios global zul ssig ist siehe Wireless Steuerung auf Seite 53 k nnen
96. gro angelegten Bereitstellung empfiehlt sich eine berwachungs und Anpassungsphase mit einem Test Client in der jeweiligen Umgebung Netzwerkadapter Aktivit t Der ZENworks Security Client meldet alle Datenverkehrsaktivit ten f r ein verwaltetes Netzwerkger t Wi Fi Erkannte Wireless Zugriffspunkte Der ZENworks Security Client meldet alle erkannten Zugriffspunkte Wireless Zugriffspunktverbindungen Der ZENworks Security Client meldet alle Zugriffspunktverbindungen die vom Endpunkt erfolgt sind Ger teinventar USB Ger te Der ZENworks Security Client meldet alle erkannten USB Ger te im System 2 2 5 Herausgeben Fertiggestellte Sicherheitsrichtlinien werden ber den Ver ffentlichungsmechanismus an Benutzer gesendet Sobald eine Richtlinie ver ffentlicht ist kann sie weiter aktualisiert werden die Benutzer erhalten zu diesem Zweck bei geplanten Check ins Aktualisierungen Wenn Sie eine Richtlinie ver ffentlichen m chten klicken Sie auf die Registerkarte Ver ffentlichen Die folgenden Informationen werden angezeigt Der aktuelle Verzeichnisbaum 110 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Erstellungs und nderungsdatum f r die Richtlinie Schaltfl chen Aktualisieren und Ver ffentlichen Verwaltungskonsole Security Policy Datei Tools Komponenten Anzeigen Hilfe E Richtlinie speichern amp Neue Komponente Komponente zuweisen amp Komponente entfernen Richtlin
97. he Daten die an einem durch diese Richtlinie gesch tzten Endpunkt auf Wechselspeicherger te geschrieben werden werden verschl sselt Benutzer f r deren Computer diese Richtlinie gilt K nnen die Daten lesen folglich ist die Dateifreigabe ber ein Wechselspeicherger t innerhalb einer Richtliniengruppe m glich Benutzer die dieser Richtliniengruppe nicht angeh ren k nnen die auf dem Laufwerk verschl sselten Dateien nicht lesen Sie k nnen lediglich unter Angabe des entsprechenden Passworts auf Dateien im Ordner Freigegebene Dateien falls aktiviert zugreifen Verschl sselung mit benutzerdefiniertem Passwort aktivieren Diese Einstellung erm glicht es dem Benutzer Dateien in einem Ordner mit freigegebenen Dateien auf dem Wechselspeicherger t zu speichern dieser Ordner wird bei Anwendung dieser Einstellung automatisch generiert Der Benutzer kann beim Hinzuf gen von Dateien zu diesem Ordner ein Passwort angeben dass dann von Benutzern die nicht Mitglied der aktuellen Richtliniengruppe sind zum Extrahieren der Dateien verwendet wird Wenn Sie den Ordnernamen ndern m chten klicken Sie in das Feld Ordnername markieren Sie den dort enthaltenen Text und geben Sie dann den von Ihnen gew nschten Namen ein Sicheres Passwort erforderlich Durch diese Einstellung wird der Benutzer gezwungen ein sicheres Passwort f r den Ordner Freigegebene Dateien festzulegen Ein starkes Passwort enth lt folgende Merkmale Siebe
98. hten Standorte und den Datumsbereich aus um diesen Bericht zu generieren 38 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole A Verwaltungskonsele er Ox Daten Tods Arsen Male Fo In lt EAnQA A Marioon srren Diagramm Standorte an denen die meisten Zugriffspunkte erkannt wurden Zus Aeson Comert Page Ne 1 Tatai Page No 3 Zeem Factor 100 Prshung Doppebichen Se m de Zei um zu dem Fehlen su ngaren 1 7 Verwenden von ZENworks Storage Encryption Solution ZENworks Storage Encryption Solution erm glicht die vollst ndige und zentrale Sicherheitsverwaltung aller mobilen Daten durch aktive Durchsetzung einer unternehmensspezifischen Verschl sselungsrichtlinie am Endpunkt selbst Mit ZENworks Storage Encryption Solution haben Sie folgende M glichkeiten Zentrale Erstellung Verteilung Durchsetzung und berwachung von Verschl sselungsrichtlinien an allen Endpunkten und Wechseldatentr gern Verschl sselung aller Dateien die in ein bestimmtes Verzeichnis auf allen Partitionen des Festplattenlaufwerks gespeichert oder kopiert werden Verschl sselung aller Dateien die auf Wechseldatentr ger kopiert werden Beliebige Freigabe von Dateien in einem Unternehmen w hrend unbefugter Zugriff auf Dateien blockiert wird Freigabe von passwortgesch tzten verschl sselten Dateien f r Mitarbeiter au erhalb des Unternehmens durch ein verf gbares Verschl sselungs
99. icht steht zur Verf gung ZENworks Security Client Hack Attempts Meldet Instanzen in denen ein unbefugter Benutzer versuchte den ZENworks Security Client zu ndern oder zu deaktivieren In UTC angezeigte Datumswerte Geben Sie die Datumsparameter ein und klicken Sie auf Anzeigen um den Bericht auszuf hren 1 6 8 Integrity Enforcement Reports Integrity Enforcement Reports geben Aufschluss ber Antivirus Anti Spyware Integrit tsergebnisse Verwenden der ZENworks Endpoint Security Management Konsole 35 Folgende Berichte stehen zur Verf gung Client Integrity History Berichtet ber Erfolg bzw Misserfolg von Client Integrit tspr fungen Datumsangaben werden in UTC Universal Coordinated Time angezeigt W hlen Sie den Datumsbereich f r den Bericht Integrit tsregeln sowie Benutzernamen aus Unremediated Integrity Failures by Rule Berichtet ber Integrit tsregeln und Tests bei denen Fehler aufgetreten sind nicht bestanden und die noch nicht korrigiert wurden W hlen Sie die Integrit tsregeln aus und klicken Sie dann auf Anzeigen um den Bericht auszuf hren Unremediated Integrity Failures by User Berichtet ber Benutzer die Integrit tstests nicht bestanden haben und bei denen noch keine Korrektur vorgenommen wurde W hlen Sie die Benutzernamen aus und klicken Sie dann auf Anzeigen um den Bericht auszuf hren 1 6 9 Standortberichte Der Standortbericht gibt Aufschluss ber die allgemeine
100. ie mit der rechten Maustaste auf Anwendungssteuerung und w hlen Sie dann die Option zum Hinzuf gen neuer Anwendungssteuerungen um Anwendungen entweder am Netzwerkzugriff zu hindern oder einfach ihre Ausf hrung zu unterbinden Weitere Informationen finden Sie unter Anwendungssteuerungselemente auf Seite 89 6 Legen Sie fest ob diese Firewall im ZENworks Security Client Men angezeigt werden soll bei Deaktivierung dieser Option wird diese Firewall Einstellung f r den Benutzer nicht angezeigt 7 Klicken Sie auf Richtlinie speichern Wenn Ihre Richtlinie Fehler aufweist ziehen Sie Abschnitt 2 2 6 Fehlerbenachrichtigung auf Seite 112 zurate So verkn pfen Sie eine bestehende Firewall Einstellung 1 W hlen Sie im Komponentenbaum den Eintrag Firewall Einstellungen aus und klicken Sie dann auf die Schaltfl che Komponente verkn pfen 2 W hlen Sie die gew nschten Firewall Einstellungen in der Liste aus 3 ndern Sie im Bedarfsfall die Einstellung f r das Standardverhalten Hinweis Wenn Sie die Einstellungen in einer freigegebenen Komponente ndern beeinflusst dies alle Instanzen dieser Komponente Mithilfe des Befehls Auslastung anzeigen k nnen alle anderen mit dieser Komponente verkn pften Richtlinien angezeigt werden 4 Klicken Sie auf Richtlinie speichern Wenn Ihre Richtlinie Fehler aufweist ziehen Sie Abschnitt 2 2 6 Fehlerbenachrichtigung auf Seite 112 zurate An einem einzigen Standort kann e
101. ien 107 Neue Firewall Einstellungen Non Compliant Integrity 5 Klicken Sie auf Richtlinie speichern Wenn Ihre Richtlinie Fehler aufweist ziehen Sie Abschnitt 2 2 6 Fehlerbenachrichtigung auf Seite 112 zurate Skripttext Der ZENworks Endpoint Security Management Administrator ist nicht auf den Skripttyp beschr nkt den der ZENworks Security Client ausf hren kann Es empfiehlt sich s mtliche Skripte zu testen bevor die Richtlinie verteilt wird W hlen Sie den Skripttyp aus Jscript oder VBscript und geben Sie den Skripttext in das Feld ein Das Skript kann aus einer anderen Quelle kopiert und in das Feld eingef gt werden mponente 9 Komponente zuweisen Integrit ts und Sanierungsregeln Einhaltungs Berichterstellung Ver ffentlichen Integrit ts und Sanierungsreg E E Antivirus Spyware Regeln Skripttext B a OfficeScan E 88 Tests B Installed Sprache Jscript Integrit tspr ntriscan var Beh new Activexobject wScript Shell sg System Proces var RegLocate HKEY_ LOCAL HACHENEN Sy Stem currentcontrolset services shield paraml wSHSshell Regwr i te RegLochte 8193 REG CDWORD a 5 Client running Erweiterte Skripterstellungs S Firewall All Open on St B Skriptvariablen Neu Skriptvaria airm 2 2 4 Einhaltungsberichterstellung Aufgrund von Ebene und Zugriff der ZENworks Security Client Treiber kann praktisch jede Transaktion
102. ien Security Policy Allgemeine Richtinieneinstellungen Standorte Integrit ts und Sanierungsregeln Einhaltungs Berichterstellung Ver ffentlichen Richtlinie ver ffentlichen Erstellt 21 11 2008 10 39 19 Zuletzt ge ndert 21 11 2008 10 39 25 Klicken Sie zum Anzeigen der Legende mit der rechten Maustaste auf die Baumsteul it corpdomain S gP corpdomain 3 Dom ne H A Domain Controllers u Organisationseinheit w Al UserAccounts S Builtin TR Administrators m a Computers W Q ForeignSecurityPrincipals a E LostAndFound P E Program Data M Gruppe Mitgliedschaft S E System H a Users Diese Richtlinie wurde bereits zu einem fr heren Zeitpunkt ver ffentlicht Durch Klicken auf Ver ffentlichen wird sie aktualisiert Aktualisieren Ver ffentlichen Auf der Basis der aktuellen Ver ffentlichungsberechtigungen des Benutzers kann der Verzeichnisbaum eine oder mehrere Auswahlen in Rot anzeigen Benutzer d rfen keine Benutzer Gruppen ver ffentlichen die in Rot angezeigt sind Benutzer und ihre verkn pften Gruppen werden erst angezeigt wenn sie sich beim Verwaltungsdienst authentifiziert haben nderungen im Verzeichnisdienst des Unternehmens werden eventuell nicht sofort in der Verwaltungskonsole angezeigt Klicken Sie auf Aktualisieren um den Verzeichnisbaum f r den Verwaltungsdienst zu aktualisieren Die folgenden Abschnitte enthalten weitere Informationen
103. ierten Zeitraum wiederhergestellt Am Ende dieses Zeitraums wird die aktuelle bzw aktualisierte Richtlinie wiederhergestellt Das Passwort f r eine Richtlinie wird in den Einstellungen Globale Regeln der Sicherheitsrichtlinie festgelegt Die Passwort Au erkraftsetzung hat folgende Funktionen Setzt eine Anwendungsblockierung au er Kraft Erm glicht den Benutzern den Standort zu ndern Erm glicht den Benutzern Firewall Einstellungen zu ndern Setzt die Hardwaresteuerung Thumbdrives CD ROM usw au er Kraft Verwenden der ZENworks Endpoint Security Management Konsole 43 Das in die Richtlinie eingegebene Passwort sollte unter keinen Umst nden an einen Benutzer weitergegeben werden Der Benutzerau erkraftsetzung Schl sselgenerator sollte zur Generierung eines Schl ssels f r die kurzfristige Verwendung verwendet werden i BE ZENworks Security Client Benutzerau erkraftsetzung Schl sselgenerator Administrator Passwort rererere Passwort best tigen rer Benutzer ID Minuten f r Au erkraftsetzung 1 10080 15 Benutzerschl ssel UHQB8EMJYWV2VG15 So generieren Sie einen berschreibungsschl ssel 1 Rufen Sie den Benutzerau erkraftsetzung Schl sselgenerator auf Start gt Alle Programme gt Novell gt ESM Management Console gt Benutzerau erkraftsetzung Schl sselgenerator 2 Geben Sie das Richtlinienpasswort im Feld f r das Administratorpasswort an und best
104. ierung verwendet werden soll Diese Option ist standardm ig aktiviert 8 Klicken Sie zum Fortfahren auf Weiter 9 Wenn der in Schritt 7 angegebene Konfigurations Administratorbenutzer in der Dom ne nicht gefunden werden kann wird die Seite Kontoeintrag suchen angezeigt ESM Management Console Kontoeintrag finden U ESM Assistent zur Erstellung einer neuen Verzeichnisdienstkonfiguration oog B Adventure Works Cycle amp v D Builtin W v E Computers vg Computers without Windows Update policy E vB Domain Controllers amp v E Foreign ecurityPrincipals vA Lost ndFound amp System H v A User ccounts v e UserlT SvE Users amp v B UserService Klicken Sie auf amp quot weiter amp quot um mit der Directory Service Configuration Zur ck Weiter gt Abbrechen A Geben Sie den Container an in dem sich der Administrator befindet und klicken Sie anschlie end auf Weiter 10 Durchsuchen Sie auf der Seite Authentifizierungsdom ne n ausw hlen den Baum um die Dom nen auszuw hlen die zur Authentifizierung der Benutzer und Computer dieser Konfiguration verwendet werden Verwenden der ZENworks Endpoint Security Management Konsole 19 ESM Assistent zur Erstellung einer neuen Verzeichnisdienstkonfiguration A ESM Management Console Dom nen werden authentifiziert ausw hlen Bitte w hlen Sie f r diese Konfiguration Dom nen werden auth
105. inien Security Policy Allgemeine Richtinieneinstellungen Standorte Integrit ts und Sanierungsregeln Einhaltungs Berichterstellung 3 Integrit ts und Sanierungsreg B Antivirus Spyware Regeln gt Antivirus Spyware Regeln ER Jonceseen i 3 0 Tests Bf Installed Ej System Proces Ej Client running Erweiterte Skripterstellungs Trigger Auswahl Start Standort nderung E Zeitgeber H Minuten Stunden Pr fung Doppelklicken Sie auf die Zeile um zu dem Fehler zu navigieren Fehler beim Speichern F r Software die sich nicht in der Standardliste befindet k nnen spezielle Tests definiert werden Ein einzelner Test kann erstellt werden der Pr fungen f r einen oder mehrere Softwareteile in derselben Regel ausf hrt Jede Vornahme der Pr fungen Prozess l uft und Datei vorhanden hat ihre eigenen Erfolgs und Fehler Ergebnisse So erstellen Sie eine neue Antivirus oder Spyware Regel 1 W hlen Sie im Komponentenbaum den Eintrag Antivirus Spyware Regeln und klicken Sie dann auf die Option zum Erstellen einer neuen Antivirus Spyware Regel 2 Klicken Sie auf Neue Komponente 3 Geben Sie einen Namen und eine Beschreibung f r die Regel ein 4 W hlen Sie den Ausl ser f r die Regel aus Programmstart F hrt Tests beim Systemstart aus Standortwechsel F hrt Tests aus wenn der ZENworks Security Client zu einem anderen Standort wechselt Zeitgebe
106. inzuf gen m chten 60 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Seriennummer Klicken Sie auf die Spalte Seriennummer und geben Sie die Seriennummer des Ger ts ein das Sie zum Filter hinzuf gen m chten Kommentar Klicken Sie auf die Spalte Kommentar und geben Sie den Kommentar ein den Sie zum Filter hinzuf gen m chten zum Beispiel Canon Sie k nnen auf das Feld Erweiterte Spalten klicken um die folgenden Spalten hinzuzuf gen USB Version Ger teklasse Ger teunterklasse Ger teprotokoll H ndler ID Produkt ID BCD Ger t BS Ger te ID sowie BS Ger teklasse Ein Ger t stellt dem BS einen Satz Attribute zur Verf gung Der Client gleicht diese Attribute mit den Feldern ab die von einem Filter ben tigt werden Alle Felder im Filter m ssen einem vom Ger t zur Verf gung gestellten Attribut entsprechen um eine bereinstimmung zu finden Wenn das Ger t kein Attribut oder Feld zur Verf gung stellt das f r den Filter erforderlich ist kann dieser Filter keine bereinstimmung finden Angenommen ein Ger t stellt beispielsweise die folgenden Attribute zur Verf gung Hersteller Acme Klasse 8 Seriennummer 1234 Der Filter Klasse 8 w rde eine bereinstimmung f r dieses Ger t finden Der Filter Produkt Acme w rden keine bereinstimmung finden da das Ger t dem BS kein Produkt Attribut zur Verf gung gestellt hat Die folgenden Felder bieten bereinstimmungen in Teil
107. ird die Benutzeroberfl che der Verwaltungskonsole erl utert und zwar im Hinblick auf das Erstellen und Verteilen von Sicherheitsrichtlinien ber ZENworks Endpoint Security Management Abschnitt 2 1 1 Verwenden der Registerkarten und des Baums f r Richtlinien auf Seite 47 Abschnitt 2 1 2 Verwenden der Richtliniensymbolleiste auf Seite 48 2 1 1 Verwenden der Registerkarten und des Baums f r Richtlinien Wenn Sie eine Sicherheitsrichtlinie erstellen oder bearbeiten m chten nutzen Sie die verf gbaren Registerkarten am oberen Rand der Verwaltungskonsole sowie die Optionen im Baum Globale Einstellungen im linken Bereich Erstellen und Verteilen von Sicherheitsrichtliniien 47 Es stehen u a folgende Registerkarten zur Verf gung Allgemeine Richtlinieneinstellungen Die allgemeinen Richtlinieneinstellungen werden in der gesamten Richtlinie als Standard angewendet und sind nicht standortspezifisch ber die allgemeinen Richtlinieneinstellungen lassen sich folgende Einstellungen konfigurieren Richtlinieneinstellungen Wireless Steuerung Kommunikationshardware Steuerelement f r Speicherger tsteuerung USB Konnektivit t Datenverschl sselung ZENworks Security Client VPN Erzwingung Standorte Diese Richtlinienregeln werden f r einen spezifischen Standorttyp angewendet egal ob als einzelnes Netzwerk oder eine Art von Netzwerk Cafe Flughafen angegeben Integrit ts und Behebung
108. ktuell ist Ein positives Ergebnis beider Pr fungen erlaubt den Wechsel zu einem beliebigen der definierten Standorte Wenn einer der Tests nicht bestanden wird kann dies folgende Vorg nge nach sich ziehen vom Administrator definiert Ein Bericht wird an den Berichtsservice gesendet Eine benutzerdefinierte Meldung wird angezeigt mit einer optionalen Verkn pfung die Informationen ber die Behebung der Regelverletzung bietet Der Benutzer wird in einen Quarant nezustand geschaltet der seinen Netzwerkzugriff begrenzt und f r bestimmte Anwendungen den Zugriff auf das Netzwerk unterbindet so wird verhindert dass der Benutzer das Netzwerk weiter infiziert Sobald in einem Folgetest festgestellt wird dass die Endpunkte die Regeln einhalten gelten f r die Sicherheitseinstellungen automatisch wieder die urspr nglichen Werte Hinweis Diese Funktion steht nur bei der ZENworks Endpoint Security Installation zur Verf gung und kann f r UWS Unlimited Web Solutions Sicherheitsrichtlinien nicht verwendet werden F r den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Integrit ts und Sanierungsregeln und klicken Sie dann im Richtlinienbaum auf der linken Seite auf Antivirus Spyware Regeln 100 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Datei Tools Komponenten Anzeigen Hilfe E Richtlinie speichern Neue Komponente Komponente zuweisen amp Komponente entfernen Richtl
109. l sselung und Aktivierung der Safe Harbor Funktion Zur Aktivierung der einzelnen Steuerelemente aktivieren Sie das Kontrollk stchen Datenverschl sselung aktivieren Hinweis Verschl sselungsschl ssel werden an alle Computer verteilt die Richtlinien vom Richtlinienverteilungsservice erhalten unabh ngig davon ob die Datenverschl sselung aktiviert ist oder nicht Mit diesem Steuerelement wird der ZENworks Security Client jedoch angewiesen die eigenen Verschl sselungstreiber zu aktivieren wodurch ein Benutzer die an ihn gesendeten Dateien lesen kann ohne dass hierf r das File Decryption Utility erforderlich ist Weitere Einzelheiten finden Sie unter Abschnitt 1 9 Verwenden des ZENworks File Decryption Utility auf Seite 42 Legen Sie fest welche Verschl sselungsgrade diese Richtlinie erlaubt Richtlinienpasswort f r Entschl sselung Geben Sie ein Passwort an damit alle Benutzer die diese Richtlinie verwenden dieses Passwort eingeben m ssen bevor sie verschl sselte Dateien entschl sseln k nnen die in ihren Safe Harbor Ordnern gespeichert sind Hierbei handelt es sich um eine optionale Einstellung Wenn hier keine Angabe erfolgt ist das Passwort nicht erforderlich Festplattenverschl sselung innerhalb von Safe Harbor Ordner aktivieren Nichtsystemlaufwerke Generiert im Stammverzeichnis s mtlicher Nichtsystemlaufwerke am Endger t einen Ordner dessen Name Aufschluss dar ber
110. l sselungsschl ssel der f r alle Datenverschl sselungsagenten verwendet wird Der Verschl sselungsschl ssel kann im Manipulationsfall bzw als Sicherheitsma nahme aktualisiert werden Das Generieren eines neuen gemeinsamen Schl ssels f hrt zu einem tempor ren Leistungsabfall w hrend der verwaltete Inhalt neu verschl sselt wird Der Zugriff auf Steuerelemente f r Verschl sselungsschl ssel erfolgt ber das Men Werkzeuge der Verwaltungskonsole 40 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole ers af ee leeks Datei Tools Komponenten Anzeigen Hilfe Rit Konfiguration Aufgabe Al Verschl sselungsschl ssel exportieren F10 Richtlit Verschl sselungsschl ssel importieren F11 Erstellt Erstellt von Zuletzt ge ndert Zuletzt ge ndert von Ef Ag Neuen Schl ssel generieren F12 2 50 55 ir 6 44 09 Jin Ag RINE ESENE maska 21 11 2008 15 09 19 dirid 24 11 2008 09 15 56 Jirid Richtlinie importieren Pr fung Doppeiklicken Sie auf die Zeile um zu dem Fehler zu navigieren Fehler beim Speichern 1 8 1 Exportieren von Verschl sselungsschl sseln F r Sicherungszwecke und zum bertragen des Schl ssels an eine andere Instanz des Verwaltungsdiensts kann der aktuelle Verschl sselungsschl sselsatz an einen angegeben Dateispeicherort exportiert werden 1 W hlen Sie die Optionsfolge Werkzeuge gt Verschl sselungsschl ssel exportieren 2 G
111. liche Schalter oder anderen Parameter f r den Link an V VPN Meldung verwenden Meldung Text anzeigen Verkn pfung Parameter Hinweis Wird die Meldung bzw der Hyperlink in einer freigegebenen Komponente ge ndert bewirkt dies die nderung in allen anderen Instanzen dieser Komponente Mithilfe des Befehls Auslastung anzeigen k nnen alle anderen mit dieser Komponente verkn pften Richtlinien angezeigt werden 2 2 2 Standorte Unter Standorten versteht man Regelgruppen die Netzwerkumgebungen zugewiesen sind Diese Umgebungen k nnen in der Richtlinie siehe Netzwerkumgebungen auf Seite 91 oder vom Benutzer festgelegt werden falls erlaubt F r jeden Standort k nnen individuelle Sicherheitseinstellungen definiert werden So kann beispielsweise in feindlicheren Netzwerkumgebungen der Zugriff auf bestimmte Netzwerkfunktionen und Hardware untersagt werden w hrend in vertrauensw rdigen Umgebungen weniger Einschr nkungen gelten F r den Zugriff auf die standortbezogenen Steuerelemente klicken Sie auf die Registerkarte Standorte Erstellen und Verteilen von Sicherheitsrichtliiniien 73 T Verweltungskonzole SECUN Fol Datei Tools Komponenten Anzeigen Hilfe EI Sicht inie speichern G Komponente entiernen Secunty Pehey E Detnerte Standorte DO Unknomn Client Standorischerung Office 7 Intervall aktuahnieren 15 Mieten Kunden Brn timanto nye Manuelle Stardortarder
112. linie erhalten haben besitzen die Schl ssel f r den Zugriff auf Daten die auf dem Endpunkt gespeichert sind sowie auf Daten die auf Thumbdrives und andere Wechselspeicherger te verschoben wurden Benutzer in einer separaten Richtliniengruppe mit aktivierter Verschl sselung k nnen mithilfe eines Zugriffspassworts auf verschl sselte Daten zugreifen die sich im Ordner Freigegebene Dateien befinden Diese Benutzer k nnen keine verschl sselten Dateien au erhalb des Ordners Freigegebene Dateien lesen Benutzer in deren Richtlinie die Verschl sselung nicht aktiviert ist und Benutzer auf deren Computer der ZENworks Security Client nicht installiert ist z B unternehmensfremde Auftragnehmer k nnen keine Dateien lesen die sich au erhalb des Ordners Freigegebene Dateien befinden Sie ben tigen das ZENworks File Decryption um mit einem Passwort auf die Dateien zuzugreifen und sie lesen zu k nnen Weitere Informationen finden Sie unter Abschnitt 1 9 Verwenden des ZENworks File Decryption Utility auf Seite 42 1 8 Verwenden der Schl sselverwaltung Mithilfe der Schl sselverwaltung k nnen Sie einen Verschl sselungsschl ssel sichern importieren und aktualisieren Es wird empfohlen Verschl sselungsschl ssel zu exportieren und zu speichern um sicherzustellen dass Daten nach einen Systemausfall oder versehentlicher Richtlinien nderung entschl sselt werden k nnen Der gemeinsame Schl ssel ist der Standard Versch
113. lk stchen und geben Sie dann in den daf r vorgesehenen Feldern die Informationen zur Meldung an Hyperlink verwenden Sie k nnen einen Hyperlink hinzuf gen ber den weitere Informationen die Unternehmensrichtlinie o aufgerufen werden weitere Informationen finden Sie unter Hyperlinks auf Seite 72 ET Aktualisierte Sicherheitsrichtlinie 2 Diese Richtlinie wurde aktualisiert um den Sicherheitsrichtlinien unseres Unternehmens zu entsprechen Weitere Informationen erhalten Sie unter dem untenstehenden Link Corpotate Security Policy Wireless Steuerung Mit Wireless Steuerung werden Parameter f r die Adapterkonnektivit t global festgelegt um sowohl den Endpunkt als auch das Netzwerk zu sch tzen F r den Zugriff auf dieses Steuerelement wechseln Sie zur Registerkarte Allgemeine Richtlinieneinstellungen und klicken Sie im Richtlinienbaum auf der linken Seite auf das Symbol Wireless Steuerung Datei Tools Komponenten Anzeigen Hilfe E Richtlinie speichern amp Neue Kor Z Richtlinien Security Policy mponente Komponente zuweisen amp Komponente entfemen H Q USB Konnektivit t Datenverschl sselung Re ZSC Update Hyh VPN Erzwingung Wireless Steuerung wi Fi bertragungen deaktivieren I dapier Bridge deaktivieren Meldung T Wi Fi deaktivieren wenn verbunden V Ad Hoc Wireless Verbindungen deaktivieren E Wi Fi Verbindungen blo
114. ll Einstellung angewandt wird Hinweis Diese Funktion steht nur bei der ZENworks Endpoint Security Installation zur Verf gung und kann f r UWS Unlimited Web Solutions Sicherheitsrichtlinien nicht verwendet werden F r den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Standorte und klicken Sie dann im Richtlinienbaum auf der linken Seite auf das Symbol f r Firewall Einstellungen Die einzelnen Komponenten einer Firewall Einstellung werden separat konfiguriert hierbei muss lediglich das Standardverhalten der TCP UDP Ports festgelegt werden Ist diese Einstellung aktiviert wirkt sie sich auf s mtliche TCP UDP Ports aus Individuelle oder zu Gruppen zusammengefasste Ports k nnen mit einer anderen Einstellung erstellt werden Verweitungskonsole Security Poly Neu Firewall Einstellungen Firenst Eesiellungen f Beschretung Netzwerkumgebungen F USB Konneirenm x M F S Vernaltung W F e Schertet H Unknon Prufung Doppalkiciten Se md de Zele um zu dam Fehler zu nmsgeran So erstellen Sie eine neue Firewall Einstellung 1 W hlen Sie im Komponentenbaum den Eintrag Firewall Einstellungen aus und klicken Sie dann auf die Schaltfl che Neue Komponente 2 Benennen Sie die Firewall Einstellung und geben Sie eine Beschreibung ein 3 Klicken Sie im Komponentenbaum mit der rechten Maustaste auf TCP UDP Anschl sse und w hlen Sie dann die Option zum Hinzuf gen neuer TCP UDP Ports um das Sta
115. m Vorgang ein Fehler aufgetreten ist Hinweis Wenn Sie CD ROM Laufwerke bzw Diskettenlaufwerke f r eine Gruppe von Endpunkten auf Nur Lesen einstellen m chten muss in den lokalen Sicherheitseinstellungen die durch ein Verzeichnisdienst Gruppenrichtlinienobjekt bergeben wurden sowohl f r Ger te Zugriff auf CD ROM Laufwerke auf lokal angemeldete Benutzer beschr nken als auch f r Ger te Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschr nken die Option Deaktiviert festgelegt sein Um dies sicherzustellen ffnen Sie entweder das Gruppenrichtlinienobjekt oder sehen in der Systemsteuerung unter Verwaltung nach W hlen Sie die Optionsfolge Lokale Sicherheitseinstellungen Sicherheitsoptionen und vergewissern Sie sich dass beide Ger te deaktiviert sind Deaktiviert ist der Standardwert 56 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Lokale Sicherheitseinstellungen Dokei Aktion Ansicht 2 DE X EB ED Scerhenserstebungen D Kontencht nien S GP Lokale Richtinien E GD berwschungsekchtinie QP zuweisen von Benutzerrechten L Scherhetsoptionen E Richlnien lfenkikcher Schl ssel I Rahera f r Softwarseinschr nkung E 3 P scherhenencht nien auf Lokaler Comp E Oominerma gied Daten des sc JE Richesse Scherhersenstelung a XH Computerstarteinschr nkungen in Securky Descriptor Definkkon Language 500 Syrkax Nicht defiriert Eco
116. mmen dass es mehrere Zugriffspunkte gibt die bei St rmeldungen dieselbe SSID verwenden Tasten Geben Sie den WEP Schl ssel f r den Zugriffspunkt an 10 oder 26 Hexadezimalzeichen Schl sseltyp Geben Sie den Verschl sselungsschl sselindex an indem Sie in der Dropdown Liste die entsprechende Ebene ausw hlen St rungsmeldung Aktivieren Sie diese Option wenn der definierte Zugriffspunkt zurzeit seine SSID per Rundsendung bekannt gibt Wenn es sich um einen Zugriffspunkt handelt auf den dies nicht zutrifft belassen Sie diese Option deaktiviert Hinweis Der ZENworks Security Client versucht zun chst die Verbindung zu den einzelnen st rungsmeldenden Zugriffspunkten herzustellen die in der Richtlinie aufgelistet sind Wenn kein st rungsmeldender Zugriffspunkt gefunden werden kann versucht der ZENworks Security Client die Verbindung zu einem nicht st rungsmeldenden Zugriffspunkt Identifizierung anhand der SSID herzustellen der in der Richtlinie aufgelistet ist Wenn in der Liste Verwaltete Zugriffspunkte ein oder mehrere Zugriffspunkte definiert sind kann die Signalst rken Umschaltung f r den Wi Fi Adapter festgelegt werden Gefilterte Zugriffspunkte Die in die Liste Gefilterte Zugriffspunkte eingegebenen Zugriffspunkte sind die einzigen die in Zero Config angezeigt werden Dadurch wird ein Endpunkt daran gehindert eine Verbindung zu nicht autorisierten Zugriffspunkten herzustellen Verwaltete Zu
117. n I Diese Wammeldung aktivieren 2 Klicken Sie auf L schen Hiermit werden die Berichtsdaten unter Warnmeldungen gel scht diese Daten stehen in der Berichtsdatenbank weiterhin zur Verf gung Die erneute Aktivierung erfolgt erst beim Eingang neuer Daten 1 6 Verwenden von Berichten Der Berichtsservice stellt Einhaltungs und Statusberichte f r das Unternehmen bereit Die verf gbaren Daten werden f r Verzeichnisse und Benutzergruppen in einem Verzeichnis geliefert Novell Berichte geben Feedback zu den Auswirkungen die einzelne Richtlinienkomponenten auf Unternehmensendpunkte haben Anforderungen dieser Berichte werden in der Sicherheitsrichtlinie festgelegt siehe Abschnitt 2 2 4 Einhaltungsberichterstellung auf Seite 108 und k nnen hilfreiche Daten f r Richtlinienaktualisierungen bereitstellen W hlen Sie die Option Bericht entweder in der Taskleiste Endpunkt berwachung oder im Men Anzeigen aus Die Liste der verf gbaren Berichte wird angezeigt klicken Sie auf das Pluszeichen neben den einzelnen Berichtstypen um die Liste zu erweitern RE Verwaltungskonsole Security Poly Datei Tools Komponenten Anzeigen Hilfe 9 Richtlinienliste aktualisieren Berichtliste aktualisieren Berichtliste anzeigen GE Riiner Security Policy Berichte Endpnke uding fr 5 Beichiersicung Drill Down Berichte f r Warnmeldungen M G Amwendungssieverung D Endpunktaktivit t
118. n klicken Sie mit der rechten Maustaste auf die gew nschte Firewall Einstellung und w hlen Sie dann Als Standard einrichten TCP UDP Ports Endpunktdaten werden haupts chlich durch Steuerung der TCP UDP Port Aktivit t gesichert Mit dieser Funktion k nnen Sie eine Liste der TCP UDP Ports erstellen die nur in dieser Firewall Einstellung behandelt werden Die Listen enthalten eine Sammlung an Ports und Portbereichen zusammen mit ihren Transporttypen die die Funktion des Bereichs definieren Hinweis Diese Funktion steht nur bei der ZENworks Endpoint Security Installation zur Verf gung und kann f r UWS Unlimited Web Solutions Sicherheitsrichtlinien nicht verwendet werden F r den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Standorte klicken Sie auf das Symbol neben Firewall Einstellungen klicken Sie auf das Symbol neben der gew nschten Firewall und klicken Sie dann im Richtlinienbaum auf der linken Seite auf das Symbol f r TCP UDP Anschl sse gt TCP UDP Ports SH Wi Fi Hotspot Name Komm Hardware Streaming Media Speicherger tsteuerun Firewall Einstellungen Beschreibung MJ All Open Standard Common Microsoft Media Real Media Streaming SE Wi Fi Environment Media Ports S E TCP UDP Ans A Internet Key 9 Cisco VPN SE Standardverhalten Zugriffssteuerun H E Anwendungsste Netzwerkumgebungen Geschlossei A Anschlussbereich E Q USB Konnektivit t Wi Fi Verwalt
119. n Klartext per E Mail oder Memo weitergegeben werden Dem Endbenutzer muss der Schl ssel nicht bekannt sein um die automatische Verbindung zum Zugriffspunkt herzustellen Hierdurch wird die potenzielle erneute Verteilung der Schl ssel an nicht autorisierte Benutzer verhindert Aufgrund der Sicherheitsl cken die die Shared WEP Key Authentication mit sich bringt wird von Novell nur die Open WEP Key Authentication unterst tzt Bei der Shared Authentication sendet der Best tigungsprozess f r den Client Zugriffspunkt Schl ssel sowohl eine unverschl sselte als auch eine verschl sselte Version eines Herausforderungssatzes der ohne M he drahtlos ausspioniert werden kann Auf diese Weise kann ein Hacker sowohl in den Besitz der unverschl sselten Version Klartextversion als auch der verschl sselten Version eines Satzes gelangen Sobald ihm diese Information zur Verf gung steht ist das Knacken des Schl ssels ein Kinderspiel Verwaltete Zuariffspunkte Gefilterte Zugriffspunkte Unzul ssige Zugriffspunkte amp MAC Adresse Schl sseltyp Schl ssel Signalisierend Geben Sie f r jeden Zugriffspunkt folgende Informationen an SSID Geben Sie die SSID Nummer an Bei der SSID Nummer muss die Gro Kleinschreibung beachtet werden Erstellen und Verteilen von Sicherheitsrichtlinien 97 MAC Adresse Geben Sie die MAC Adresse an wird aufgrund der H ufigkeit unter SSID empfohlen Erfolgt keine Angabe wird angeno
120. n Schl sseln verschl sselt sind k nnen nun extrahiert werden 1 10 Verwenden des Benutzerau erkraftsetzung Schl sselgenerators Unterbrechungen des produktiven Ablaufs die unter Umst nden aufgrund eingeschr nkter Konnektivit t Unterbindung der Ausf hrung bestimmter Software bzw eingeschr nkten Zugriffs auf Wechselspeicherger te auftreten sind h chstwahrscheinlich auf die Sicherheitsrichtlinie zur ckzuf hren die vom ZENworks Security Client erzwungen wird Durch einen Standortwechsel oder das ndern der Firewall Einstellungen lassen sich diese Einschr nkungen in der Regel umgehen und es stehen wieder s mtliche Funktionen zur Verf gung In einigen F llen kann die Einschr nkung jedoch so implementiert sein dass sie f r alle Standorte und Firewall Einstellungen gilt oder dass der Benutzer nicht in der Lage ist den Standort oder eine Firewall Einstellung zu ndern In diesem Fall k nnen die Einschr nkungen in der aktuellen Richtlinie durch ein berschreiben des Passworts aufgehoben werden um Produktivit t zu erm glichen bis die Richtlinie ge ndert werden kann Mithilfe dieser Funktion kann ein Administrator ein passwortgesch tztes berschreiben f r angegebene Benutzer und Funktionen einrichten um die erforderlichen Aktivit ten tempor r zu erlauben Durch die Passwort Au erkraftsetzung wird die aktuelle Sicherheitsrichtlinie deaktiviert und die standardm ige Richtlinie Alle ge ffnet f r einen vordefin
121. n Sie dann im Richtlinienbaum auf der linken Seite auf Datenverschl sselung 64 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole AU Verwaltungskonsole Security Policy am Datei Tools Komponenten Anzeigen Hilfe Richtliniespeichern Neue Komponente Komponente zuweisen amp Komponente entfernen pi F BE USB Konnektivit t irn FT Datenverschl sselung aktivieren E ZC Update E Richtlinien Passwort um Entschl sselung zu erlauben F7 Verschl sselten Safe Harbor Ordner f r Festplatten aktivieren Ordnemame Encrypted Files E Benutzerdefinierte Ordner erlauben 7 Verschl sselung f r Wechselspeicherger te aktivieren F Verschl sselung ber benutzerdefiniertes Passwort aktivieren Ordnemame Password Encrypted Files Sicheres Passwort erforderlich E ient Neustart bei Bedarf erzwingen Z Richtlinien Security Policy Allgemeine Richtinieneinstellungen Standorte Interit ts und Sanierungsregeln Einhaltungs Berichterstellung Ver ffentichen I 2 Globale Einstell z ger nein Datenverschl sselung Wireless Steverung A Verschl sselung wird nur unter Windows XP SP2 unterst tzt Der Verschl sselungsteil der Komm Hardware Sicherheitsrichtlinie wird f r Ger te die dieser Anforderung des Betriebssystems nicht Speicherger tsteuerung entsprechen ignoriert Ausl ser f r einen Neustart sind Aktivierung y VPN Erzwingung oder Deaktivierung der Versch
122. n angezeigt werden Erstellen und Verteilen von Sicherheitsrichtliniien 49 Komponente entfernen Entfernt eine Komponente aus der Richtlinie Die Komponente kann weiterhin in dieser und anderen Richtlinien verkn pft werden Richtlinienliste aktualisieren Aktualisiert die Richtlinienliste Berichtsliste Zeigt die Liste der Berichte an 2 2 Erstellen von Sicherheitsrichtlinien 1 W hlen Sie in der Verwaltungskonsole die Optionsfolge Datei gt Neue Richtlinie erstellen Geben Sie den Namen f r die neue Richtlinie an und klicken Sie dann auf Erstellen Daraufhin wird die Verwaltungskonsole mit der Symbolleiste und den Registerkarten f r Richtlinien angezeigt Konfigurieren Sie die Richtlinieneinstellungen anhand der Informationen in folgenden Abschnitten Abschnitt 2 2 1 Allgemeine Richtlinieneinstellungen auf Seite 51 Abschnitt 2 2 2 Standorte auf Seite 73 Abschnitt 2 2 3 Integrit ts und Behebungsregeln auf Seite 100 Abschnitt 2 2 4 Einhaltungsberichterstellung auf Seite 108 Abschnitt 2 2 5 Herausgeben auf Seite 110 Abschnitt 2 2 6 Fehlerbenachrichtigung auf Seite 112 Abschnitt 2 2 7 Auslastung anzeigen auf Seite 113 Zum Erstellen von Sicherheitsrichtlinien werden s mtliche allgemeinen Einstellungen Standardverhalten definiert dann Komponenten f r diese Richtlinie erstellt und vorhandene Komponenten verkn pft z B Standorte Fir
123. n der Bevorzugt Liste werden uneingeschr nkte Lese Schreibrechte erteilt alle anderen USB Ger te und alle anderen externen Speicherger te werden deaktiviert Nur Lesen Den Ger ten in der Bevorzugt Liste wird das Recht Nur Lesen erteilt alle anderen USB Ger te und anderen externen Speicherger te werden deaktiviert Wiederholen Sie diese Schritte f r jedes Ger t das in dieser Richtlinie zul ssig sein soll Auf s mtliche Ger te wird dieselbe Einstellung angewendet Aufnehmen eines Ger ts in die wei e bzw schwarze Liste nach Produkttyp Im folgenden Abschnitt wird beschrieben wie ein USB Ger t entsprechend seines Produkttyps in die wei e bzw schwarze Liste aufgenommen wird Hinweis Nachfolgendes Verfahren dient lediglich als Beispiel das Ihnen zeigen soll wie Sie den Produkttyp Ihres USB Wechselspeicherger ts ermitteln Je nachdem welche Informationen der Hersteller Ihres Ger ts bereitstellt funktioniert dieses Verfahren eventuell nicht Sie k nnen den USB Ger teauditbericht dazu verwenden alle Informationen abzurufen die Sie potenziell auf der Seite USB Konnektivit tssteuerung Erweitert verwenden k nnen So ermitteln Sie den Produkttyp eines USB Wechselspeicherger ts 1 ffnen Sie den Ger te Manager von Microsoft Windows 2 Klicken Sie auf das Pluszeichen neben Laufwerke um den Baum zu erweitern 3 Klicken Sie mit der rechten Maustaste auf das USB Ger t und klicken Sie dann auf Ei
124. n oder mehr Zeichen Mindestens ein Zeichen von jedem der vier folgenden Zeichenklassen e Gro buchstaben A Z Kleinbuchstaben a z Zahlen von 0 9 Mindestens ein Sonderzeichen amp 1 lt gt Beispiel yIG wb 66 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Warnung Vergewissern Sie sich vor der Deaktivierung der Datenverschl sselung dass s mtliche auf Wechseldatentr gern Wechselspeicherger ten gespeicherten Daten vom Benutzer extrahiert und an einem anderen Ort gespeichert wurden Client Neustart bei Bedarf erzwingen Wenn eine Richtlinie um Verschl sselung erg nzt wird erfolgt die Aktivierung erst nachdem der Endpunkt neu gebootet wurde Mit dieser Einstellung wird das erforderliche Neubooten erzwungen Es wird ein Countdown angezeigt und der Benutzer wird gewarnt dass der Computer nach der angegebenen Anzahl an Sekunden neu gebootet wird So lange hat der Benutzer Zeit seine Arbeit zu speichern bevor der Computer neu gebootet wird Erneutes Booten ist erforderlich wenn die Verschl sselung in einer Richtlinie erstmals aktiviert wird und wenn die Safe Harbor Verschl sselung oder die Verschl sselung f r Wechseldatentr ger aktiviert wird wenn die Aktivierung getrennt von der Verschl sselungsaktivierung erfolgt Beispielsweise ist zweimaliges erneutes Booten erforderlich wenn eine Verschl sselungsrichtlinie erstmals angewendet wird Beim ersten erneuten Booten werden
125. ndardverhalten f r s mtliche TCP UDP Ports festzulegen Die Firewall Einstellungen k nnen um weitere Ports und Listen erg nzt werden und ihnen k nnen individuelle und eindeutige Verhaltensweisen zugewiesen werden die die Standardeinstellungen au er Kraft setzen Erstellen und Verteilen von Sicherheitsrichtliiniien 81 Die Standardeinstellung f r s mtliche Ports lautet beispielsweise Alle Stateful Das bedeutet dass die Portlisten f r Streaming Medien und Webbrowsing der Firewall Einstellung hinzugef gt werden Das Verhalten des Ports f r Streaming Medien ist auf Geschlossen eingestellt das Verhalten des Ports f r Webbrowsing auf Ge ffnet Der Netzwerkverkehr ber die TCP Ports 7070 554 1755 und 8000 wird blockiert Der Netzwerkverkehr ber die Ports 80 und 443 ist m glich Port offen und kann im Netzwerk nachvollzogen werden Alle anderen Ports befinden sich im Stateful Modus der Datenverkehr der ber sie abgewickelt wird muss also erst angefordert werden Weitere Informationen finden Sie unter TCP UDP Ports auf Seite 83 4 Klicken Sie mit der rechten Maustaste auf Zugriffssteuerungslisten und w hlen Sie dann die Option zum Hinzuf gen neuer Zugriffssteuerungslisten um Adressen hinzuzuf gen bei denen unerw nschter Datenverkehr m glicherweise passieren k nnen muss ungeachtet des aktuellen Portverhaltens Weitere Informationen finden Sie unter Zugriffssteuerungslisten auf Seite 86 5 Klicken S
126. ner der den in Schritt 7 angegebenen verwaltungsbefugten Benutzer enth lt wird ausgew hlt diese Auswahl kann nicht wieder aufgehoben werden Auf der Seite Client Container ausw hlen k nnen Sie die Suche auf jene Container eingrenzen die die verwalteten Benutzer und Computer enth lt Dadurch wird die Leistung verbessert Die Installation eines Client schl gt beim Versuch der Anmeldung am Verwaltungsserver fehl wenn dessen Konto sich nicht in einem der in der Konfiguration ausgew hlten Container befindet Klicken Sie auf Weiter um die Seite Zu synchronisierende r Container anzuzeigen Verwenden der ZENworks Endpoint Security Management Konsole 21 SS ESTONIA NS NUN n og ESM Management Console Container zur Synchronisation ausw hlen 7 B m STQA senforce com S A Adventure Works Cycle E3 Builtin amp Computers H A Computers without Windows Update policy H A Domain Controllers W E ForeignSecurityPrincipals amp E Lost ndFound E System W Mi User ccounts S Bi UserlT S E Users A UserService Klicken Sie auf amp quot weiter amp quot um mit der Directory Service Configuration Zur ck weiter gt Abbrechen 13 Optional W hlen Sie die Container aus die als Teil des Konfigurationsvorgangs synchronisiert werden sollen Die Synchronisierung wird im Hintergrund ausgef hrt weshalb Sie sofort damit beginnen k nnen Ihre neue Konfiguration zu verw
127. net 40 dB Sehr gut 50 dB Gut 60 dB Niedrig 70 dB Sehr niedrig 80 dB Hinweis Obwohl die oben angegebenen Signalst rkenbezeichnungen denen entsprechen die vom Zero Configuration Service von Microsoft verwendet werden ist dies bei den Schwellenwerten m glicherweise nicht der Fall Zero Config ermittelt die Werte basierend auf dem St rabstand Signal to Noise Ratio SNR nicht nur auf dem von RSSI gemeldeten dB Wert Angenommen ein Wi Fi Adapter empf ngt ein Signal mit 54 dB und weist einen St rpegel von 22 dB auf dann wird der St rabstand als 32 dB 54 22 32 gemeldet was laut der Zero Configuration Skala einer ausgezeichneten Signalst rke entspricht Auf der Novell Skala jedoch entspricht das Signal mit 54 dB falls so vom Miniport Treiber gemeldet einer sehr guten Signalst rke Wichtiger Hinweis F r den Endbenutzer werden die Novell Schwellenwerte f r die Signalst rke unter keinen Umst nden angezeigt diese Angaben sollen lediglich verdeutlichen was f r den Benutzer von Zero Config angezeigt wird und was sich hinter den Kulissen tats chlich abspielt Verwaltete Zugriffspunkte In ZENworks Endpoint Security Management gibt es einen einfachen Prozess f r die automatische Verteilung und Anwendung von Wired Equivalent Privacy WEP Schl sseln ohne Benutzereingriff hierbei wird Zero Configuration Manager von Microsoft umgangen und beendet Die Integrit t der Schl ssel bleibt hierbei gewahrt da sie nicht i
128. ngen Fr ZSC Update Wireless Steuerung g Komm Hardware Speicherger tsteuerung T Aktivieren E Q USB Konnektivit t Datenverschl sselung A zSC Upiste E pih VPN Erzwingung Pfad aktualisieren Anwenden am Standort Unknown Aufr stungsversion Haupt Neben Build Revision Erstellen und Verteilen von Sicherheitsrichtlinien 67 F hren Sie folgende Schritte durch um die einfache und sichere Verteilung dieser Patches an s mtliche ZENworks Security Client Benutzer zu erm glichen 1 W hlen Sie die Option Aktivieren um den Bildschirm und die Regel zu aktivieren 2 Geben Sie den Ort an an dem der ZENworks Security Client nach den Aktualisierungen suchen soll Basierend auf den Empfehlungen im nachfolgenden Schritt empfiehlt sich hierf r der mit der Unternehmensumgebung verkn pfte Standort Standort Arbeit 3 Geben Sie den URI Uniform Resource Identifier an unter dem der Patch gespeichert wurde Hier muss der Verweis auf die Patchdatei erfolgen entweder die Datei setup exe f r den ZENworks Security Client oder eine MSI Datei die anhand der exe Datei erstellt wurde Aus Sicherheitsgr nden empfiehlt es sich diese Dateien auf einem sicheren Server hinter der Firewall des Unternehmens zu speichern 4 Geben Sie die Versionsinformationen zu dieser Datei in den daf r vorgesehenen Feldern an Die Versionsinformationen k nnen Sie anzeigen indem Sie den ZENworks Sec
129. nicht angezeigt wird aktivieren Sie das Kontrollk stchen Erweiterte Spalten Geben Sie in der zweiten Zeile in der Spalte Zugriff die Einstellung mmer blockieren an in der Spalte Produkt den Produkttyp im Beispiel DATATRAVELER und in der Spalte Ger teklasse die Zahl 8 Die Seite USB Konnektivit t Erweitert sollte wie folgendes Beispiel aussehen Das USB Ger t mit dem Produkttyp DATATRAVELER ist nun in die schwarze Liste aufgenommen Ihm wird der Zugriff von ZENworks Endpoint Security Management verweigert w hrend allen anderen USB Ger ten Zugriff gew hrt wird Datenverschl sselung Mit Datenverschl sselung wird bestimmt ob die Dateiverschl sselung am Endpunkt erzwungen wird und welche Art der Verschl sselung zur Verf gung steht Daten k nnen verschl sselt werden um die Dateifreigabe mit Passwortschutz zu erm glichen au erdem kann auf Computern auf denen ZENworks Storage Encryption Solution ausgef hrt wird festgelegt werden dass Daten schreibgesch tzt sind Hinweis Verschl sselung wird nur unter Windows XP SP2 unterst tzt Auf Ger ten mit anderen Betriebssystemen wird der Verschl sselungsteil der Sicherheitsrichtlinie ignoriert Die Speicherger tsteuerung von ZENworks Endpoint Security darf nicht verwendet werden wenn ZENworks Storage Encryption Solution aktiviert ist F r den Zugriff auf dieses Steuerelement wechseln Sie zur Registerkarte Allgemeine Richtlinieneinstellungen und klicke
130. nismen des Client administrativ au er Kraft gesetzt wurden um privilegierte Kontrolle ber den ZENworks Security Client zu erhalten Verwenden der ZENworks Endpoint Security Management Konsole 37 Folgender Bericht steht zur Verf gung ZENworks Security Client Overrides Zeigt erfolgreiche Versuche der Au erkraftsetzung nach Benutzer und Datum geordnet Datumsangaben werden in UTC Universal Coordinated Time angezeigt W hlen Sie den Benutzer und den Datumsbereich aus und klicken Sie dann auf Anzeigen um den Bericht auszuf hren 1 6 12 Berichte ber Endpunktaktualisierungen In Berichten ber Endpunktaktualisierungen wird der Status des ZENworks Security Client Aktualisierungsvorgangs angezeigt siehe ZSC Aktualisierung auf Seite 67 Datumsangaben werden in UTC Universal Coordinated Time angezeigt Folgende Berichte stehen zur Verf gung Diagramm Prozentsatz der Security Client Aktualisierungen bei denen ein Fehler aufgetreten ist Stellt den prozentualen Anteil der ZENworks Security Client Aktualisierungen bei denen ein Fehler aufgetreten ist und keine Korrektur erfolgte in einem Diagramm dar F r die Generierung dieses Berichts sind keine Parameter erforderlich Verlauf des Security Client Aktualisierungsstatus Zeigt den Statusverlauf des ZENworks Security Client Aktualisierungsvorgangs W hlen Sie den Datumsbereich aus und klicken Sie dann auf Anzeigen um den Bericht auszuf hren Aus dem Bericht
131. nsole gestartet wird werden die Berechtigungen aus der Berechtigungstabelle abgerufen Diese Berechtigungen teilen der Konsole mit ob der Benutzer berechtigt ist sich bei der Konsole anzumelden Richtlinien zu erstellen oder zu l schen Berechtigungseinstellungen zu ndern und ob und an wen der Benutzer Richtlinien ver ffentlichen darf 10 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Folgende Zugriffseinstellungen stehen zur Verf gung Zugriff auf die Verwaltungskonsole Der Benutzer kann Richtlinien und Komponenten anzeigen und bestehende Richtlinien bearbeiten Benutzer denen nur diese Berechtigung erteilt wurde k nnen Richtlinien weder hinzuf gen noch l schen da die Ver ffentlichungs und Berechtigungsoptionen nicht verf gbar sind Richtlinie herausgeben Der Benutzer kann Richtlinien nur f r zugewiesene Benutzer oder Gruppen herausgeben Berechtigungen ndern Der Benutzer hat die M glichkeit auf die Berechtigungseinstellungen f r andere bereits definierte Benutzer zuzugreifen und diese zu ndern sowie neuen Benutzern Berechtigungen zu gew hren Richtlinien erstellen Der Benutzer kann in der Verwaltungskonsole neue Richtlinien erstellen Richtlinien l schen Der Benutzer kann s mtliche Richtlinien in der Verwaltungskonsole l schen Hinweis Aus Sicherheitsgr nden wird empfohlen dass nur der Ressourcenbenutzer oder sehr wenige Administratoren die Berechtigung Berechtigun
132. nstalliert werden m ssen wenn der Richtlinienverteilungsservice auf einen neuen Server verlagert wird Die URL des aktuellen Servers ist im Textfeld angegeben Wenn Sie den Server ndern m ssen ndern Sie lediglich den Servernamen um auf den neuen Server zu verweisen ndern Sie keine der Informationen die auf den Servernamen folgen Wird die aktuelle URL beispielsweise als http ACME PolicyServer ShieldClient asmx angegeben und der Richtlinienverteilungsservice ist auf einem neuen Server namens ACME 43 installiert sollte die URL folgenderma en aktualisiert werden http ACME43 PolicyServer ShieldClient asmx Klicken Sie nach der Aktualisierung der URL auf OK um alle Richtlinien zu aktualisieren und eine automatische Aktualisierung des Richtlinienverteilungsservice zu bermitteln Auf diese Weise wird auch der Verwaltungsdienst aktualisiert Beim ndern der Server URL sollte der alte Richtlinienverteilungsservice erst beendet werden wenn die aktualisierten Richtlinien eine Einhaltungsstufe von 100 aufweisen siehe Abschnitt 1 6 Verwenden von Berichten auf Seite 29 Planung Mithilfe der Komponenten f r die Planung kann der ZENworks Endpoint Security Management Administrator festlegen wann der Verwaltungsdienst mit anderen ZENworks Endpoint Security Management Komponenten synchronisiert wird um sicherzustellen dass alle Daten und Auftr ge in der Warteschlange den vorangegangenen Aktivit ten entsp
133. nste und zum Verarbeiten der sich derzeit in der Warteschlange befindlichen Aktivit ten auf Synchronisieren Aktualisieren Synchronisieren OK Abbrechen Hilfe 1 Um den aktuellen Service Status zu aktualisieren klicken Sie auf Aktualisieren 2 Um die Services neu zu starten und die aktuell in der Warteschlange befindlichen Aktivit ten zu verarbeiten klicken Sie auf Synchronisieren 1 5 Verwenden der Warnmeldungs berwachung Mithilfe der Warnmeldungs berwachung kann der ZENworks Endpoint Security Management Administrator den Sicherheitsstatus s mtlicher mit ZENworks Endpoint Security Management verwalteten Endpunkte im gesamten Unternehmen beurteilen Warnungsausl ser sind uneingeschr nkt konfigurierbar und k nnen entweder eine Warnung ausgeben oder als Notfallwarnung dienen Der Zugriff auf dieses Werkzeug erfolgt entweder ber Endpunkt berwachung in der Taskleiste oder ber das Men Anzeigen 1 Wenn Sie auf Warnmeldungen zugreifen m chten klicken Sie auf das Symbol Warnmeldungen a Warnmeldungen Verwenden der ZENworks Endpoint Security Management Konsole 25 Datei Tools Komponenten Anzeigen Hilfe inien Security P Warnmeldungen Berichte Richtli Wireless Security Informationen XX Konfiguration Communication port Security i Fe Potential port scan attempted E Warnmeldungen Client Integrity g Unremediated integrity test failures Wamm
134. nt Instanzen stellen keine Berichtsdaten bereit und werden daher bei der Warnmeldungs berwachung nicht ber cksichtigt Die folgenden Abschnitte enthalten weitere Informationen Aktivieren der Berichterstellung auf Seite 27 Optimieren der Synchronisierung auf Seite 27 26 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Aktivieren der Berichterstellung Berichterstellung sollte in jeder Sicherheitsrichtlinie aktiviert sein Weitere Informationen ber das Einrichten der Berichterstellung f r eine Sicherheitsrichtlinie erhalten Sie in Abschnitt 2 2 4 Einhaltungsberichterstellung auf Seite 108 Passen Sie die Sendezeiten f r Berichte an ein Intervall an das konsistente Aktualisierungen zum Endpunktstatus gew hrleistet Dar ber hinaus wird eine Warnmeldung nicht ohne einen Bericht aktiviert Einer Aktivit t ber die Sie informiert werden m chten muss in der Sicherheitsrichtlinie ein entsprechender Bericht zugewiesen sein Optimieren der Synchronisierung Standardm ig erfolgt die Synchronisierung des Berichtsservice von ZENworks Endpoint Security Management alle 12 Stunden Das bedeutet dass die ersten Berichts und Warnmeldungsdaten erst 12 Stunden nach der Installation von ZENworks Endpoint Security Management zur Verf gung stehen Um diesen Zeitrahmen anzupassen ffnen Sie das Werkzeug Konfiguration siehe Planung auf Seite 15 und passen Sie das Intervall f r Client Berichte
135. nte Komponente zuweisen amp Komponente entfernen chtlinien Security Policy Integrit ts und Sanierungsregeln Einhaltungs Berichterstellung Ver ffentlichen ests BE System Proces Installed H Client running F Fehlermeldung verwenden E Erweiterte Skripterstellungs Beretrebure OfficeScan Software Meldung OfficeScan is not installerd or running Contact your Erfolg Bericht E Hyperlink verwenden OfficeScan has been installed g Fehler E Bei Fehler fortfahren Firewall Non Compliant Integrity Bericht OfficeScan is not installed 2 _ Pr fung Doppeikicken Sie auf die Zeile um zu dem Fehler zu navigieren Fehler beim Speichern F r alle definierten Antivirus und Spyware Regeln wurden vorab Standardtests und pr fungen geschrieben Zus tzliche Tests k nnen der Integrit tsregel hinzugef gt werden Mehrere Tests werden in der hier angegebenen Reihenfolge ausgef hrt Der erste Test muss erfolgreich abgeschlossen sein bevor der n chste Test ausgef hrt wird So erstellen Sie einen Integrit tstest 1 W hlen Sie im Komponentenbaum den Eintrag Integrit tstests klicken Sie zum Erweitern der Liste neben dem gew nschten Bericht auf das Symbol klicken Sie mit der rechten Maustaste auf Tests und w hlen Sie dann die Option zum Hinzuf gen neuer Tests 2 Geben Sie einen Namen und eine Beschreibung f r den Test ein 3 Geben Sie den Text f
136. nzelne Ger te erlaubt werden um zu verhindern dass nicht unterst tzte Ger te Bestandteil des Netzwerks werden Beispiel mit Ausnahme dieses Druckers sind keine Drucker zul ssig F r den Zugriff auf dieses Steuerelement wechseln Sie zur Registerkarte Allgemeine Richtlinieneinstellungen und klicken Sie dann im Richtlinienbaum auf der linken Seite auf USB Konnektivit t Abbildung 2 1 Seite USB Konnektivit t WE Verwaltungskonsole Security Pe cy E jie Datei Tools Komponenten Anzeigen Hilfe EI Richtliniespeichern amp Neue Komponente 9 Komponente zuweisen amp Komponente entferner Richtlinier Security Policy x vogedyny Allgemeine Richtinieneinstellungen Standorte Integrit ts und Sanierungsregeln Einhaltungs Berichterstellung Ver ffentlichen S Globale Einstellungen a 0 USB Konnektivit t Wireless Steuerung Komm Hardware Y Speicherger tsteuerung USB Ger te HINWEIS USB Konnektivit t S mtlichen Zugriff erlauben EA Das Erstellen einer Liste mit Ger ten die f r Q Erweitert USB Verbindungen genehmigt sind stellt nur sicher dass EL Datenverschl sselung Standardger tezugrff das Ger t durch die Richtlinie aktiviert ist Funktionen Re ZSC Update S mtlichen Zugiff enauben und oder Ger tekomponenten k nnen durch weitere Richtiinieneinstellungen gesteuert oder als unzul ssig erkl rt werden zum Beispiel Steuerung von Wechseldatentr gem Modems usw yh VPN Er
137. odus betrieben werden oder vollst ndig deaktiviert sind Bei Deaktivierung k nnen diese Ger te keine Daten vom Endpunkt abrufen Der Zugriff auf die Festplatte und alle Netzlaufwerke sowie deren Verwendung sind weiterhin m glich Die Speicherger tsteuerung von ZENworks Endpoint Security darf nicht verwendet werden wenn ZENworks Storage Encryption Solution aktiviert ist Hinweis Sie k nnen die Steuerelemente f r Speicherger te auf der Registerkarte Allgemeine Richtlinieneinstellungen global bzw auf der Registerkarte Standorte f r einzelne Standorte festlegen Wenn Sie die Steuerelemente f r Speicherger te f r einen Standort festlegen m chten klicken Sie auf die Registerkarte Standorte erweitern Sie den gew nschten Standort im Baum und klicken Sie dann auf Speicherger tsteuerung oder Wenn Sie die Steuerelemente f r Speicherger te global festlegen m chten klicken Sie auf die Registerkarte Allgemeine Richtlinieneinstellungen erweitern Sie den Eintrag Globale Einstellungen im Baum und klicken Sie dann auf Speicherger tsteuerung Weitere Informationen finden Sie unter Steuerelement f r Speicherger tsteuerung auf Seite 55 Ve 5 Datei Tools Komponenten Anzeigen Hilfe E Richtlinie speichern Neue Komponente Komponente zuweisen amp Komponente entfernen Richtlinien Security Policy Allgemeine Richtinieneinstellungen Standorte Integrit ts und Sanierungsregeln Einhaltungs Berichterstellung Ver f
138. orte erforderlichen Lizenzen bzw Klassifizierungen einzuholen Sie erkl ren sich damit einverstanden nicht an juristische Personen die in der aktuellen US Exportausschlussliste enthalten sind oder an in den US Exportgesetzen aufgef hrte terroristische L nder oder L nder die einem Embargo unterliegen zu exportieren oder zu reexportieren Sie stimmen zu keine Lieferungen f r verbotene nukleare oder chemisch biologische Waffen oder Waffen im Zusammenhang mit Flugk rpern zu verwenden Weitere Informationen zum Export von Novell Software finden Sie auf der Webseite Novell International Trade Services http www novell com info exports Novell bernimmt keine Verantwortung f r das Nichteinholen notwendiger Exportgenehmigungen Copyright 2007 2008 Novell Inc Alle Rechte vorbehalten Ohne ausdr ckliche schriftliche Genehmigung des Herausgebers darf kein Teil dieser Ver ffentlichung reproduziert fotokopiert bertragen oder in einem Speichersystem verarbeitet werden Novell Inc besitzt Anrechte auf geistiges Eigentum f r Technologie die in das in dieser Dokumentation beschriebene Produkt integriert ist Diese Rechte auf geistiges Eigentum umfassen m glicherweise insbesondere ein oder mehrere Patente in den USA die auf der Webseite Legal Patents von Novell http www novell com company legal patents aufgef hrt sind sowie ein oder mehrere andere Patente oder laufende Patentantr ge in den USA und in anderen L ndern No
139. ponenten und deren Auswirkung auf den Betrieb des Endpunkts Folgende Berichte stehen zur Verf gung Blockierte Pakete nach IP Adresse Zeigt blockierte Pakete an nach Ziel IP gefiltert Die Datumsangaben werden in UTC Universal Coordinated Time angezeigt W hlen Sie die Ziel IP in der Liste aus und stellen Sie die Datumsparameter ein Der Bericht zeigt Datumsangaben Standorte betroffene Ports und die Namen der blockierten Pakete Blockierte Pakete nach Benutzer Zeigt blockierte Pakete an nach Benutzer gefiltert Datumsangaben werden in UTC Universal Coordinated Time angezeigt Die Daten sind im Prinzip dieselben wie f r Blockierte Pakete nach Ziel IP jedoch nach Benutzer gegliedert 34 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Network Usage Statistics by User Listet gesendete empfangene oder blockierte Pakete sowie Netzwerkfehler auf gefiltert nach Benutzern F r diesen Bericht muss ein Datumsbereich eingegeben werden Datumsangaben werden in UTC Universal Coordinated Time angezeigt Network Usage Statistics by Adapter Type Listet gesendete empfangene oder blockierte Pakete sowie Netzwerkfehler auf gefiltert nach Adaptertyp F r diesen Bericht m ssen ein Datumsbereich sowie der Standort eingegeben werden Datumsangaben werden in UTC Universal Coordinated Time angezeigt 1 6 6 Berichte ber Endpunktaktualisierungen In Berichten ber Endpunktaktualisierungen wird der Status
140. r F hrt Integrit tstests gem einem definierten Zeitplan auf Basis von Minute Stunde oder Tag aus 5 Klicken Sie auf Richtlinie speichern Wenn Ihre Richtlinie Fehler aufweist ziehen Sie Abschnitt 2 2 6 Fehlerbenachrichtigung auf Seite 112 zurate 6 Definieren Sie die Integrit tstests So verkn pfen Sie bestehende Antivirus oder Spyware Regeln 1 W hlen Sie Antivirus Spyware Regeln aus und klicken Sie dann auf Komponente verkn pfen 2 W hlen Sie die gew nschten Regeln in der Liste aus 3 Optional Definieren Sie Tests berpr fungen und Ergebnisse neu Erstellen und Verteilen von Sicherheitsrichtliniien 101 Hinweis Wenn Sie die Einstellungen in einer freigegebenen Komponente ndern beeinflusst dies alle Instanzen dieser Komponente Mithilfe des Befehls Auslastung anzeigen k nnen alle anderen mit dieser Komponente verkn pften Richtlinien angezeigt werden 4 Klicken Sie auf Richtlinie speichern Wenn Ihre Richtlinie Fehler aufweist ziehen Sie Abschnitt 2 2 6 Fehlerbenachrichtigung auf Seite 112 zurate Integrit tstests und pr fungen sind automatisch inbegriffen und k nnen nach Bedarf bearbeitet werden Integrit tstests Bei jedem Integrit tstest k nnen zwei berpr fungen vorgenommen werden Datei vorhanden und Prozess l uft Jeder Test erh lt seine eigenen Erfolgs oder Fehlerergebnisse Datei Tools Komponenten Anzeigen Hilfe NE Richtlinie speichern amp Neue Kompone
141. r Datenverkehr an und von verb rgte n Server n geleitet werden muss kann zur L sung dieses Problems eine Zugriffssteuerungsliste ACL definiert werden Hinweis Diese Funktion steht nur bei der ZENworks Endpoint Security Installation zur Verf gung und kann f r UWS Unlimited Web Solutions Sicherheitsrichtlinien nicht verwendet werden F r den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Standorte klicken Sie auf das Symbol neben Firewall Einstellungen klicken Sie auf das Symbol neben der gew nschten Firewall klicken Sie im Richtlinienbaum auf der linken Seite mit der rechten Maustaste auf Zugriffssteuerungslisten und w hlen Sie dann die Option zum Hinzuf gen neuer Zugriffssteuerungslisten 86 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Datei Tools Komponenten Anzeigen Hilfe EI Ficht nie speichern Ga Sacus ty Pobey Netzwerkumgebungen Io Ne Nerzwerkumge 4 x USB Kanne Wi Fi Verwaltung DB wi Fi Sicherheit D Offer D G Office Wireless DB WiFi Hosoot U Unknomn So erstellen Sie eine neue ACL Einstellung 1 Klicken Sie im Komponentenbaum mit der rechten Maustaste auf Zugriffssteuerungslisten und w hlen Sie dann die Option zum Hinzuf gen neuer Zugriffssteuerungslisten 2 Geben Sie einen Namen und eine Beschreibung f r die Zugriffssteuerungsliste ein 3 Geben Sie Adresse oder Makro f r die Zugriffssteuerungsliste an 4 Geben Sie den ACL Typ an
142. r Installation erworben wurde 1 3 Wenn Sie Berechtigungseinstellungen Berechtigungseinstellungen befindet sich im Men Werkzeuge Nur der prim re Administrator des Verwaltungsdiensts sowie s mtliche Administratoren denen dieser Administrator den Zugriff gew hrt hat k nnen hierauf zugreifen Dieses Steuerelement ist nicht verf gbar wenn die Standalone Verwaltungskonsole ausgef hrt wird Durch die Berechtigungseinstellungen wird definiert welcher Benutzer bzw welche Benutzergruppe Zugriff auf die Verwaltungskonsole bzw die Einstellungen f r Administrative Berechtigungen bzw Ver ffentlichen an hat W hrend der Installation des Verwaltungsservers wird ein Administrator bzw Ressourcenkontoname in das Konfigurationsformular eingegeben siehe ZENworks Endpoint Security Management Installationsanleitung Wenn der Test erfolgreich verlaufen ist und die Benutzerinformationen gespeichert wurden werden diesem Benutzer automatisch alle Berechtigungen erteilt Nach der Installation der Verwaltungskonsole ist der Ressourcenbenutzer der einzige Benutzer mit uneingeschr nkten Berechtigungen obwohl allen Benutzergruppen innerhalb der Dom ne der Zugriff auf die Verwaltungskonsole gew hrt wird Der Ressourcenbenutzer sollte s mtlichen Gruppen oder Benutzern die sie nicht ben tigen die Zugriffsberechtigung entziehen Der Ressourcenbenutzer kann zus tzliche Berechtigungen f r bestimmte Benutzer festlegen Wenn die Verwaltungsko
143. r den Erfolgsbericht des Tests ein 102 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole 4 Definieren Sie Folgendes f r einen Testfehler Bei Fehler fortfahren W hlen Sie diese Option wenn die Netzwerkkonnektivit t bei Fehlschlag des Tests weiterhin f r den Benutzer gegeben sein soll Sie k nnen auch festlegen dass der Test wiederholt werden soll Firewall Diese Einstellung wird angewendet wenn der Test fehlschl gt Alle geschlossen Non compliant Integrity oder eine benutzerdefinierte Quarant ne Firewall Einstellung verhindert dass der Benutzer eine Verbindung zum Netzwerk herstellen kann Nachricht W hlen Sie eine benutzerdefinierte Meldung die bei Fehlschlag des Tests angezeigt werden soll Diese kann Schritte zur Problembehebung durch den Endbenutzer enthalten Bericht Geben Sie den Fehlschlag Bericht an der an den Berichtsservice gesendet werden soll 5 Geben Sie eine Fehlschlag Meldung an Diese Meldung wird nur angezeigt wenn eine oder mehrere der Pr fungen nicht bestanden werden Aktivieren Sie das Kontrollk stchen und geben Sie dann in den daf r vorgesehenen Feldern die Informationen zur Meldung an 6 Ein Hyperlink kann hinzugef gt werden ber den Abhilfema nahmen bereitgestellt werden Dabei kann es sich um einen Link zu weiteren Informationen oder zum Download eines Patches oder einer Aktualisierung f r den nicht bestandenen Test handeln siehe Abschnitt Hyperlinks
144. rechen und um die SQL Wartungsauftr ge zu planen Alle Zeitangaben erfolgen in Minuten Die Planung wird wie folgt gegliedert Verteilungsservice Synchronisierungsplan mit dem Richtlinienverteilungsservice Richtliniendaten und aktivit t Synchronisierungsplan mit Richtlinienaktualisierungen Verwaltungsdaten Richtliniensynchronisierung mit dem Verwaltungsdienst Unternehmensstruktur Synchronisierungsplan mit dem Verzeichnisdienst des Unternehmens eDirectory Active Directory NT Dom ne und oder LDAP nderungen im Verzeichnisdienst des Unternehmens werden berwacht damit entsprechende nderungen in Zuweisungen von Benutzerrichtlinien erkannt und zur Client Authentifizierung an den Richtlinienverteilungsservice gesendet werden Client Berichterstellung H ufigkeit mit der der Verwaltungsdienst Berichtsdaten vom Richtlinienverteilungsservice anfordert und herunterl dt Warnmeldungsdaten behalten f r Sie k nnen Warnmeldungen auf der Basis eines von den Endpunkten gemeldeten Datensnapshots konfigurieren Um die Leistung zu optimieren und sicherzustellen dass die Warnmeldungen f r k rzlich erfolgte Aktivit ten relevant sind k nnen Sie den Speicherschwellenwert in Tagen festlegen Verwenden der ZENworks Endpoint Security Management Konsole 15 1 4 2 Authentifizierungsverzeichnisse Nach der Installation von ZENworks Endpoint Security Management m ssen Sie einen Verzeichnisdienst erstellen und konfig
145. rklaufwerke Benutzer d rfen auf allen Netzlaufwerken speichern die ihnen zur Verf gung stehen 4 Geben Sie jede zu blockierende Anwendung an Es muss eine Anwendung pro Zeile eingegeben werden Wichtig Das Blockieren der Ausf hrung von wichtigen Anwendungen kann sich negativ auf den Systembetrieb auswirken Blockierte Microsoft Office Anwendungen versuchen ihre Installationsprogramme auszuf hren 5 Klicken Sie auf Richtlinie speichern 90 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole So verkn pfen Sie eine vorhandene Anwendungssteuerungselementliste mit dieser Firewall Einstellung 1 W hlen Sie Anwendungssteuerelemente im Komponentenbaum aus und klicken Sie dann auf die Schaltfl che Komponente verkn pfen 2 W hlen Sie einen Anwendungssatz in der Liste aus 3 Konfigurieren Sie die Anwendungen und den Beschr nkungsgrad nach Bedarf Hinweis Wenn Sie die Einstellungen in einer freigegebenen Komponente ndern beeinflusst dies alle Instanzen dieser Komponente Mithilfe des Befehls Auslastung anzeigen k nnen alle anderen mit dieser Komponente verkn pften Richtlinien angezeigt werden 4 Klicken Sie auf Richtlinie speichern Die verf gbaren Anwendungssteuerelemente sind nachfolgend aufgef hrt Das Standardverhalten bei der Ausf hrung ist Kein Netzwerkzugriff Tabelle 2 2 Anwendungssteuerungselemente Name Anwendungen Webbrowser explore exe netscape exe netscp exe Instan
146. s mehrere Firewall Einstellungen geben Eine Einstellung ist als Standardeinstellung definiert die restlichen Einstellungen stehen dem Benutzer als Optionen zur Verf gung die er im Bedarfsfall nutzen kann Mehrere Einstellungen sind hilfreich wenn f r einen Benutzer im Regelfall bestimmte Sicherheitseinschr nkungen innerhalb einer Netzwerkumgebung erforderlich sind und diese Einschr nkungen beispielsweise f r ICMP Rundsendungen f r kurze Zeit entweder aufgehoben oder verst rkt werden m ssen 82 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Nach der Installation stehen folgende Firewall Einstellungen zur Verf gung Alle adaptiv Legt s mtliche Netzwerkports als Stateful fest jeglicher unerw nscht eingehender Netzwerkverkehr wird blockiert jeglicher ausgehender Netzwerkverkehr ist zul ssig ARP und 802 1x Pakete sind zul ssig und s mtliche Netzwerkanwendungen d rfen eine Netzwerkverbindung aufbauen Alle ge ffnet Legt s mtliche Netzwerkports als ge ffnet fest jeglicher Netzwerkverkehr ist zul ssig und alle Pakettypen sind zul ssig S mtliche Netzwerkanwendungen d rfen eine Netzwerkverbindung aufbauen Alle geschlossen Hiermit werden s mtliche Netzwerkports geschlossen und s mtliche Pakettypen beschr nkt Bei einem neuen Standort ist eine einzige Firewall Einstellung Alle ge ffnet als Standard eingestellt Wenn Sie eine andere Firewall Einstellung als Standard festlegen m chte
147. sind in der Richtlinie gespeichert 1 9 Verwenden des ZENworks File Decryption Utility Das ZENworks File Decryption Utility extrahiert gesch tzte Daten aus dem Ordner Freigegebene Dateien auf verschl sselte Wechselspeicherger te Dieses einfache Werkzeug kann Dritten zur Verf gung gestellt werden um ihnen den Zugriff auf die Dateien im Ordner Freigegebene Dateien zu erm glichen es kann jedoch nicht auf dem Wechselspeicherger t gespeichert werden Abschnitt 1 9 1 Verwenden des File Decryption Utility auf Seite 42 Abschnitt 1 9 2 Konfigurieren des File Decryption Utility auf Seite 42 Die folgenden Abschnitte enthalten weitere Informationen 1 9 1 Verwenden des File Decryption Utility So verwenden Sie das Dienstprogramm zur Dateientschl sselung File Decryption Utility 1 Schlie en Sie den Wechseldatentr ger an den passenden Anschluss an Ihrem Computer an 2 ffnen Sie das File Decryption Utility 3 Navigieren Sie zum Verzeichnis Freigegebene Dateien des Speicherger ts und w hlen Sie die gew nschte Datei aus 4 Wenn Sie Verzeichnisse Ordner anstelle von Dateien extrahieren m chten klicken Sie auf die Schaltfl che Erweitert w hlen Sie Verzeichnisse aus und navigieren Sie dann zum entsprechenden Verzeichnis Klicken Sie auf Standard um zur Standardanzeige zur ckzukehren 5 W hlen Sie auf dem lokalen Computer das Verzeichnis aus in dem diese Dateien gespeichert werden sollen 6
148. sregeln Diese Regeln gew hrleisten dass essenzielle Software z B Antivirus und Spyware Programme auf dem Ger t ausgef hrt wird und auf dem neuesten Stand ist Einhaltungsberichterstellung Informiert die Richtlinie dar ber ob Berichtsdaten einschlie lich des Datentyps f r diese spezielle Richtlinie erfasst werden Herausgeben Ver ffentlicht die vollst ndige Richtlinie f r einzelne Benutzer Verzeichnisdienst Benutzergruppen und einzelne Computer Im Richtlinienbaum werden die verf gbaren Teilmengenkomponenten f r die Registerkartenkategorien angezeigt Unter Allgemeine Richtlinieneinstellungen sind beispielsweise Richtlinieneinstellungen Wireless Steuerung Komm Hardware und Speicherger tsteuerung zu finden F r die Definition einer Kategorie sind nur die in der prim ren Teilmenge enthaltenen Elemente erforderlich bei den restlichen Teilmengen handelt es sich um optionale Komponenten 2 1 2 Verwenden der Richtliniensymbolleiste Die Richtliniensymbolleiste enth lt sechs Steuerelemente Das Steuerelement Richtlinie speichern steht w hrend der gesamten Richtlinienerstellung zur Verf gung die Komponentensteuerelemente hingegen nur auf den Registerkarten f r Standorte und Integrit t und Sanierung E Verwaltungskonsole Security Policy Lukas a i Datei Tools Komponenten Anzeigen Hilfe E Richtlinie speichern a Neue Komponente 9 Komponente zuweisen amp Komponente entferne al nn 48 ZENworks Endpoint Se
149. stellungen erweitern Sie den Eintrag Globale Einstellungen im Baum und klicken Sie dann auf Speicherger tsteuerung Wenn Sie die Steuerelemente f r Speicherger te f r einen Standort festlegen m chten klicken Sie auf die Registerkarte Standorte erweitern Sie den gew nschten Standort im Baum und klicken Sie dann auf Speicherger tsteuerung Weitere Informationen finden Sie unter Kommunikationshardware auf Seite 76 Vei Datei Tools Komponenten Anzeigen Hilfe El Richtlinie speichern Neue Komponente Komponente zuweisen amp Komponente entfernen Richtlinien Security Policy Allgemeine Richtinieneinstellungen Standorte Integrit ts und Sanierungsregeln Einhaltungs Berichterstellung Ver ffentlichen E Globale Einstellungen Richtlinieneinstellungen Wireless Steuerung uogedjny Komm Hardware 3 Speicherger tsteuerung Autom Wiedergabe E Q USB Konnektivit t S mtlichen Zugriff erlauben Autom Wiedergabe zulassen BL Datenverschl sselung z u Be ZSC Update Wechseldatentr ger E ya VPN Erzwingung S mtlichen Zugriff erlauben Diskettenlaufwerk S mtlichen Zugriff erlauben Bevorzugte Ger te Liste der bevorzugten Ger te in der Richtinie aktivieren men Bevorzugte Ger te Beschreibung Seriennummer Kommentar Die Speicherger tsteuerung ist in folgende Kategorien unterteilt CD DVD Steuert s mtliche Ger te die im Windows Ger te Manag
150. t Folgende Informationen k nnen angepasst werden Search Wenn die Signalst rke diesen Grad erreicht beginnt der ZENworks Security Client mit der Suche nach einem neuen Zugriffspunkt mit dem eine Verbindung hergestellt werden kann Niedrig 70 dB ist die Standardeinstellung Switch Damit der ZENworks Security Client die Verbindung mit einem neuen Verbindungspunkt herstellen kann muss die Rundsendung dieses Zugriffspunkts mit der angegebenen Signalst rke erfolgen oberhalb der aktuellen Verbindung Die Standardeinstellung ist 20 dB Die Schwellenwerte f r die Signalst rke werden anhand der Leistung in dB bestimmt die vom Miniport Treiber des Computers gemeldet wird Da die dB Signale hinsichtlich der Received Signal Strength Indication RSSI Angabe der Funksignalst rke von jeder Wi Fi Karte und jedem Radio anders verarbeitet werden k nnen die Werte von Adapter zu Adapter unterschiedlich sein Sie k nnen basierend auf folgenden Kriterien die von Ihnen bevorzugte Zugriffspunktauswahl festlegen Signalst rke Verschl sselungstyp Die Standardwerte die den definierten Schwellenwerten in der Verwaltungskonsole zugeordnet sind sind f r die meisten Wi Fi Adapter zutreffend Es empfiehlt sich die RSSI Werte Ihrer Wi Fi Karte zu ermitteln um den genauen Grad eingeben zu k nnen Die Novell Werte lauten 96 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Name Standardwert Ausgezeich
151. t kann der Benutzer nicht von zu Standorten wechseln stattdessen verwendet der ZENworks Security Client die Netzwerkumgebungsparameter die f r diesen Standort angegeben wurden Netzwerkumgebung speichern Hiermit kann der Benutzer die Netzwerkumgebung an diesem Standort speichern und so bei seiner R ckkehr den automatischen Wechsel zu dem Standort erm glichen Diese Einstellung empfiehlt sich f r s mtliche Standorte zu denen der Benutzer wechseln muss Es k nnen mehrere Netzwerkumgebungen f r einen einzelnen Standort gespeichert werden Wenn beispielsweise ein Standort der als Flughafen definiert ist Teil der aktuellen Richtlinie ist kann jeder Flughafen den der Benutzer besucht als Netzwerkumgebung f r diesen Standort gespeichert werden Auf diese Weise kann ein mobiler Benutzer zu einer gespeicherten Flughafen Umgebung zur ckkehren und der ZENworks Security Client wechselt automatisch zum Standort Flughafen und wendet die definierten Sicherheitseinstellungen an Ein Benutzer hat selbstverst ndlich die M glichkeit einen Standortwechsel vorzunehmen ohne die Umgebung zu speichern Manuelle nderung von Firewall Einstellungen zulassen Erm glicht dem Benutzer die Firewall Einstellungen zu ndern Standort in Client Men anzeigen Hiermit kann der Standort im Client Men angezeigt werden Ist diese Option nicht ausgew hlt wird der Standort unter keinen Umst nden angezeigt Client Location Assurance Da die Net
152. t Messaging aim exe icq exe msmsgs exe msnmsgr exe trillian exe ypager exe Dateifreigabe blubster exe grokster exe imesh exe kazaa exe morpheus exe napster exe winmx exe Internet Medien mplayer2 exe wmplayer exe naplayer exe realplay exe spinner exe QuickTimePlayer exe Wenn dieselbe Anwendung zu zwei unterschiedlichen Anwendungssteuerelementen in derselben Firewall Einstellung hinzugef gt wird Beispiel Die Ausf hrung von kazaa exe wird in einem Anwendungssteuerelement blockiert und in einem anderen definierten Anwendungssteuerelement unter derselben Firewall Einstellung wird der Netzwerkzugriff f r kazaa exe blockiert wird die strikteste Steuerung f r die entsprechende ausf hrbare Datei Anwendung angewendet in diesem Beispiel w rde die Ausf hrung von kazaa blockiert Netzwerkumgebungen Wenn die Netzwerkparameter Gateway Server DNS Server DHCP Server WINS Windows Internet Naming Service Server verf gbare Zugriffspunkte und spezifische Adapterverbindungen f r einen Standort bekannt sind k nnen die Servicedetails IP und MAC die der Identifizierung des Netzwerks dienen in die Richtlinie eingegeben werden um den sofortigen Standortwechsel zu erm glichen ohne dass der Benutzer die Umgebung als Standort speichern muss F r den Zugriff auf dieses Steuerelement klicken Sie auf die Registerkarte Standorte und klicken Sie im Richtlinienbaum auf der linken Seite auf den Ordner Netzwerkumgebungen Ers
153. t den Zugriff auf den Bluetooth Anschluss des Endpunkts Seriell Parallel Steuert den Zugriff auf den seriellen parallelen Anschluss des Endpunkts Einw hlen Steuert die Modemkonnektivit t nach Standort Diese Option steht bei der globalen Konfiguration von Einstellungen f r Kommunikationshardware ber die Registerkarte Allgemeine Richtlinieneinstellungen nicht zur Verf gung Wired Steuert die LAN Kartenkonnektivit t nach Standort Diese Option steht bei der globalen Konfiguration von Einstellungen f r Kommunikationshardware ber die Registerkarte Allgemeine Richtlinieneinstellungen nicht zur Verf gung Erstellen und Verteilen von Sicherheitsrichtliniien 77 Lautet die Einstellung Aktivieren ist der uneingeschr nkte Zugriff auf den Kommunikationsanschluss m glich Lautet die Einstellung Deaktivieren wird jeglicher Zugriff auf den Kommunikationsanschluss unterbunden Hinweis Wi Fi Adapter werden entweder global gesteuert oder mithilfe der Steuerelemente f r die Wi Fi Sicherheit lokal deaktiviert Adapter k nnen nach Marke angegeben werden und zwar anhand der Liste der genehmigten Wireless Adapter Liste der genehmigten Einw hladapter Der ZENworks Security Client kann daf r sorgen dass nur die angegebenen genehmigten Einw hladapter Modems eine Verbindung herstellen k nnen So kann ein Administrator beispielsweise eine Richtlinie implementieren gem der nur eine bestimmte Marke oder Art von Modemk
154. t ist mit dem Ausdruck deaktiviert mit Ausnahme von d rfen nur die in die Ausnahmeliste aufgenommenen Adapter eine Verbindung zum VPN herstellen alle anderen hingegen nicht Dieses Steuerelement kann beispielsweise f r Adapter verwendet werden die mit dem VPN nicht kompatibel sind oder f r Adapter die von der IT Abteilung nicht unterst tzt werden Diese Regel setzt die Adapterrichtlinie au er Kraft welche f r den Standort festgelegt wurde zu dem gewechselt wird Benutzerdefinierte Meldung Mithilfe der Funktion f r benutzerdefinierte Meldungen kann der ZENworks Endpoint Security Management Administrator Meldungen als direkte Antwort auf Fragen zu Sicherheitsrichtlinien erstellen Dies ist hilfreich um Benutzern die auf richtlinienerzwungene Sicherheitsbeschr nkungen sto en Unterst tzung zukommen zu lassen Auf diese Weise k nnen auch spezifische Anweisungen f r die Benutzer bereitgestellt werden Steuerelemente f r Benutzermeldungen stehen in mehreren Komponenten der Richtlinie zur Verf gung Erstellen und Verteilen von Sicherheitsrichtliiniien 71 Anmeldung Melden Sie sich im YPN an YPN starten So erstellen Sie eine benutzerdefinierte Meldung 1 Geben Sie einen Titel f r die Meldung ein Dieser Titel wird in der oberen Leiste des Meldungsfelds angezeigt 2 Geben Sie die Meldung ein Die Meldung darf maximal 1000 Zeichen umfassen 3 Ist ein Hyperlink erforderlich aktivier
155. t werden Die Ansicht erfolgt nach Benutzernamen geordnet Er zeigt den Computernamen die aktuelle Richtlinie die Version des ZENworks Endpoint Security Management Client sowie den Netzwerkstandort an F r diesen Bericht muss ein Datumsbereich eingegeben werden Der Administrator kann einen Drill Down Vorgang ausf hren indem er auf einen Eintrag doppelklickt um eine vollst ndige Liste von Statusberichten f r einen bestimmten Benutzer zu sehen 1 6 2 Drill Down Berichte f r Warnmeldungen Drill Down Berichte f r Warnmeldungen stellen zus tzliche warnmeldungsbezogene Informationen zur Verf gung Diese Berichte zeigen Daten nur dann an wenn eine Warnmeldung ausgel st wird Das L schen einer Warnmeldung zieht das L schen des Warnmeldungsberichts nach sich jedoch stehen die Daten weiterhin in einem Standardbericht zur Verf gung Folgende Berichte stehen zur Verf gung Client Tampering Alert Data Zeigt Instanzen an in denen ein unbefugter Benutzer versucht hat den ZENworks Security Client zu ndern oder zu deaktivieren Files Copied Alert Data Zeigt Konten die Daten auf Wechselspeicherger te kopiert haben 32 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Incorrect Client Version Alert Data Zeigt den Statusverlauf des ZENworks Security Client Aktualisierungsvorgangs Incorrect Client Policy Alert Data Zeigt Benutzer die nicht ber die korrekte Richtlinie verf gen Integrity Failures
156. te Richtlinie und den neuen Schl ssel bei ihrem n chsten Check in 2 2 6 Fehlerbenachrichtigung Wenn der Administrator versucht eine Richtlinie mit unvollst ndigen oder falschen Daten in einer Komponente zu speichern wird der Best tigungsbereich am unteren Rand der Verwaltungskonsole angezeigt in dem die einzelnen Fehler hervorgehoben sind S mtliche Fehler m ssen korrigiert werden bevor die Richtlinie gespeichert werden kann Doppelklicken Sie auf die einzelnen Best tigungszeilen um zum Bildschirm mit dem jeweiligen Fehler zu gelangen Fehler werden wie in der nachfolgenden Abbildung dargestellt hervorgehoben Datei Tools Komponenten Anzeigen Hilfe EI Richtlinie speichern 0 A z Secunty Policy Eig F 1 Dehrserte Standorte Die Sgnaistarkn it nur bei der Nach erem neuen Zugifiapunkt suchen bagnat hart isch wer de aktunde Syria urter Gae Ro Fono INGA Nean tar wird angeno mehrere Zugfiupunkte voranden und im desata 550 uyunlamn Zu oren raen 2 metor wern dese ZU CB Maker ua das duete Sin Bevare AP Amabi nach Syunse Venima vernaliete Zuat flacnchie Gehhene Zugei ugunkte Unndisege Zugnfisgunkie Gurigkeitsmeisongten Schlussel muss genau 10 Mexadezimal 2 Hexadezimal oder 8 bis 4 alphan mensche Zeschen lang sen 112 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole 2 2 7 Auslastung anzeigen nderungen die an freigegebenen Richtlinienkomponenten vorgenommen werden wirken si
157. tellen und Verteilen von Sicherheitsrichtliiniien 91 i Verweltungskonzole Security Policy Datei Tools Komponenten Anzeigen Hilfe 3 Speschergeraisteuerun Firemsil Einstellungen e AI dove Netzwerkumgebungen Vorgesehnebene Entsprechung Anhand der Listen kann der Administrator definieren welche Netzwerkservices in der Umgebung vorhanden sind Jeder Netzwerkservice kann mehrere Adressen umfassen Der Administrator bestimmt wie viele der Adressen in der Umgebung bereinstimmen m ssen damit der Standortwechsel aktiviert wird In jeder Netzwerkumgebungsdefinition m ssen mindestens zwei Standortparameter angegeben werden So definieren Sie eine Netzwerkumgebung 1 W hlen Sie im Komponentenbaum den Eintrag Netzwerkumgebungen aus und klicken Sie dann auf die Schaltfl che Neue Komponente 2 Benennen Sie die Netzwerkumgebung und geben Sie eine Beschreibung ein 3 W hlen Sie in der Dropdown Liste zur Einschr nkung auf den Adaptertyp den Adaptertyp aus der auf diese Netzwerkumgebung zugreifen darf Wireless Alle Modem Wired Wireless 4 Geben Sie an wie viele Netzwerkservices zur Identifizierung dieser Netzwerkumgebung mindestens erforderlich sind Jede Netzwerkumgebung weist eine Mindestanzahl an Adressen auf anhand derer die Identifizierung durch den ZENworks Security Client erfolgt Die unter Mindestentsprechung angegebene Anzahl darf die Gesamtzahl der Netzwerkadressen nicht berschrei
158. ten die in den Registerkartenlisten als erforderlich angegeben werden Geben Sie an wie viele Netzwerkservices zur Identifizierung dieser Netzwerkumgebung mindestens erforderlich sind 92 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole 5 Geben Sie f r jeden Service folgende Informationen an IP Adresse Geben Sie bis zu 15 Zeichen an die sich nur aus den Zahlen 0 9 und Punkten zusammensetzen Zum Beispiel 123 45 6 789 MAC Adresse Sie k nnen auch bis zu 12 Zeichen angeben die sich nur aus den Zahlen 0 9 und den Buchstaben A F Gro und Kleinbuchstaben zusammensetzen und durch Doppelpunkte getrennt sind Beispiel 00 01 02 34 05 B6 Aktivieren Sie das Kontrollk stchen Muss entsprechen wenn die Identifizierung dieses Service f r die Definition der Netzwerkumgebung erforderlich ist 6 Machen Sie f r die Registerkarten Einw hlverbindungen und Karten folgende Angaben Geben Sie bei Einw hlverbindungen den Namen des RAS Remote Access Services Eintrags aus dem Telefonbuch bzw die gew hlte Nummer an Hinweis Telefonbucheintr ge m ssen alphanumerische Zeichen enthalten und d rfen nicht nur aus Sonderzeichen usw bestehen oder Ziffern 1 9 bestehen Eintr ge die nur aus Sonderzeichen und Ziffern bestehen werden als gew hlte Nummern angesehen Geben Sie bei Karten die SSID f r die einzelnen zul ssigen Karten an Karten k nnen angegeben werden um ganz genau zu bes
159. ten Sie auf der Seite USB Konnektivit t die Standardeinstellungen bei Erstellen Sie auf der Seite Erweitert zwei Zeilen Geben Sie in der ersten Zeile in der Spalte Zugriff die Einstellung Verweigern an und in der Spalte Ger teklasse die Zahl 8 wenn Ger teklasse nicht angezeigt wird aktivieren Sie das Kontrollk stchen Erweiterte Spalten Geben Sie in der zweiten Zeile in der Spalte Zugriff die Einstellung Immer zulassen an in der Spalte Produkt den Produkttyp im Beispiel DATATRAVELER und in der Spalte Ger teklasse die Zahl 8 Die Seite USB Konncektivit t Erweitert sollte wie folgendes Beispiel aussehen MB Verweltungskonsole USB nen Pe u Datei Tools Komponenten Anzeigen Hilfe Richtlinie speichern Neue K te x ente z amp x USS amp 0 7 Rochlinieneinstellungen Erstellen und Verteilen von Sicherheitsrichtlinien 63 Das USB Ger t mit dem Produkttyp DATATRAVELER ist nun in die wei e Liste aufgenommen Ihm wird von ZENworks Endpoint Security Management Zugriff gew hrt w hrend allen anderen USB Ger ten der Zugriff verweigert wird So nehmen Sie ein USB Ger t in die schwarze Liste auf Behalten Sie auf der Seite USB Konnektivit t die Standardeinstellungen bei Erstellen Sie auf der Seite Erweitert zwei Zeilen Geben Sie in der ersten Zeile in der Spalte Zugriff die Einstellung Immer zulassen an und in der Spalte Ger teklasse die Zahl 8 wenn Ger teklasse
160. tigen Sie es im darauffolgenden Feld 3 Geben Sie den Benutzernamen an unter dem sich der Endbenutzer angemeldet hat Geben Sie den Zeitraum an f r den die Richtlinie deaktiviert werden soll 5 Klicken Sie auf Schl ssel generieren um einen berschreibungsschl ssel zu generieren Dieser Schl ssel kann dem Benutzer entweder w hrend eines Anrufs beim Helpdesk vorgelesen werden oder er kann kopiert und in eine E Mail eingef gt werden Der Benutzer gibt dann den Schl ssel in das ZENworks Security Client Verwaltungsfenster ein ziehen Sie das Endpoint Security Management Handbuch zu ZENworks Security Client zurate Dieser Schl ssel hat nur f r die Richtlinie dieses Benutzers und nur f r den angegebenen Zeitraum G ltigkeit Der Schl ssel kann nur ein einziges Mal verwendet werden Hinweis Wenn sich der Benutzer w hrend der Passwort Au erkraftsetzung abmeldet oder den Computer neu bootet l uft das Passwort ab und es muss ein neues ausgegeben werden Wird vor Ablauf der Frist eine neue Richtlinie geschrieben sollte der Benutzer angewiesen werden auf Richtlinienaktualisierung zu pr fen anstatt im Dialogfeld Info des ZENworks Security Client auf die Schaltfl che Richtlinie laden zu klicken 1 11 USB Laufwerkscanner Eine Liste mit zugelassenen USB Ger ten kann mit dem optionalen USB Laufwerkscanner im Installationspaket enthalten generiert und in eine Richtlinie importiert werden 44 ZENworks Endpoint Security Manag
161. timmt mit Filter Immer zulassen berein Zulassen Zugriff erlauben es sei denn das Ger t stimmt mit Filter Immer blockieren oder Blockieren berein Standardger tezugriff F r das Ger t die gleiche Zugriffsstufe anwenden wie unter Standardger tezugriff wenn keine andere bereinstimmung gefunden wird Ein Ger t wird f r jede Gruppe in der oben genannten Reihenfolge evaluiert zuerst die Gruppe Immer blockieren dann Immer zulassen etc Wenn ein Ger t mit mindestens einem Filter in einer Gruppe bereinstimmt wird der Zugriff f r dieses Ger t auf diese Stufe festgelegt und die Evaluierung wird gestoppt Wenn das Ger t hinsichtlich aller Filter evaluiert und keine bereinstimmung gefunden wird wird die Stufe Standardger tezugriff angewendet Der im Bereich Ger tegruppenzugriff festgelegte Ger tezugriff wird ber cksichtigt einschlie lich aller anderen auf diesem Standort verwendeten Filter Dies erfolgt durch Generieren bereinstimmender Filter f r jede Gruppierung wenn die Richtlinie f r den Client ver ffentlicht wird Diese Filter sind Ger tegruppenzugriff Filter Ein und Ausgabeger te Human Interface Ger teklasse entspricht 3 Device HID Massenspeicherklasse Ger teklasse entspricht 8 Druckklasse Ger teklasse entspricht 7 Scanning lmaging PTP Ger teklasse entspricht 6 Speziell In den meisten Situationen reichen die vier auf der Seite USB Konnektivit t aufgelisteten G
162. tliniien 109 Speicherger te Erkannte Wechseldatentr ger Der ZENworks Security Client meldet alle Wechselspeicherger te die von der Security Client Instanz erkannt wurden Aufeinen Wechseldatentr ger kopierte Dateien Der ZENworks Security Client meldet Dateien die auf ein Wechselspeicherger t kopiert werden Von einem Wechseldatentr ger ge ffnete Dateien Der ZENworks Security Client meldet Dateien die auf einem Wechselspeicherger t ge ffnet werden Verschl sselungsverwaltung und aktivit t Der ZENworks Security Client meldet Verschl sselungs Entschl sselungsaktivit ten mit ZENworks Storage Encryption Solution Auf Festplatten geschriebene Dateien Der ZENworks Security Client meldet wie viele Dateien auf die Festplatten des Systems geschrieben werden Auf CD DVD Laufwerke geschriebene Dateien Der ZENworks Security Client meldet wie viele Dateien auf die CD DVD Laufwerke des Systems geschrieben werden Netzwerke Firewall Aktivit t Der ZENworks Security Client meldet s mtlichen Datenverkehr der von der Firewall blockiert wurde die f r die angewendete Standortrichtlinie konfiguriert wurde Wichtig Das Aktivieren dieses Berichts kann dazu f hren dass gro e Datenmengen erfasst werden Die Daten k nnen sehr schnell zur berlastung der Datenbank f hren Ein Test von einer ZENworks Security Client Instanz ergab 1 115 Daten Uploads blockierter Pakete in einem Zeitraum von 20 Stunden Vor der
163. tor die Richtlinie so konfigurieren dass ein Satz Ger te akzeptiert wird entweder nach Herstellertyp Beispiel alle HP Ger te sind zul ssig oder nach Produkttyp alle USB Eingabeger te etwa Maus und Tastatur sind zul ssig Zudem k nnen einzelne Ger te erlaubt werden um zu verhindern dass nicht unterst tzte Ger te Bestandteil des Netzwerks werden Beispiel mit Ausnahme des Druckers in der Richtlinie sind keine Drucker zul ssig Erstellen und Verteilen von Sicherheitsrichtliniien 93 F r den Zugriff auf dieses Steuerelement wechseln Sie zur Registerkarte Allgemeine Richtlinieneinstellungen und klicken Sie dann im Richtlinienbaum auf der linken Seite auf USB Konnektivit t Geben Sie an ob der Zugriff auf nicht in der Liste enthaltene Ger te erlaubt oder verweigert werden soll Mithilfe der folgenden Methoden k nnen Sie die Liste ausf llen und dann angeben ob Sie die USB Konnektivit t f r Ger te zulassen oder verweigern Manuelles Hinzuf gen von Ger ten auf Seite 94 Importieren von Ger telisten auf Seite 95 Manuelles Hinzuf gen von Ger ten 1 Verbinden Sie das Ger t mit dem USB Anschluss des Computers auf dem die Verwaltungskonsole installiert ist 2 Wenn das Ger t bereit ist klicken Sie auf die Schaltfl che f r die Absuche Verf gt das Ger t ber eine Seriennummer werden die zugeh rige Beschreibung und Seriennummer in der Liste aufgef hrt 3 W hlen Sie
164. uf amp quotWeiter amp quot um mit der Directory Service Configuration Abbrechen Die Synchronisierung wird im Hintergrund ausgef hrt Wenn Sie die Verwaltungskonsole beenden wird die Synchronisierung angehalten Beim erneuten Offnen der Verwaltungskonsole wird die Synchronisierung dort fortgesetzt wo sie angehalten wurde 1 4 3 Service Synchronisierung Mit diesem Steuerelement k nnen Sie die Synchronisierung des Verwaltungsdienst und des Richtlinienverteilungsservice erzwingen Dabei werden s mtliche Warnmeldungen Berichte und Richtlinienverteilungen aktualisiert 24 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole A Konfiguration es p A A A Der Verteilungsdienst Agent wurde zuletzt ausgef hrt am 24 11 2008 14 24 00 3 Berichtpakete befinden sich zur Verarbeitung in der Warteschlange und 0 neue bemmittlungen von Endpunkten warten auf die Verpackung EF Infrastruktur und Planung EF Verzeichnisse werden authentifiziert E H Service Synchronisierung Der Management Service Agent wurde zuletzt ausgef hrt am 24 11 2008 14 27 00 Es wurden 0 Kontoaktionen und 0 Richtlinienzuweisungen zur Reproduktion im Verteilungsdienst in die Warteschlange eingereiht Des Weiteren steht der Export von 1248 Verwaltungsrevisions Datens tzen in die Berichterstellungsdatenbank an Klicken Sie zum Aktualisieren des aktuellen Dienststatus auf Aktualisieren Klicken Sie zum Neustarten der Die
165. uf der linken Seite auf Erweitert Verwal kor Datei Tools Komponenten Anzeigen Hilfe E Richtlinie speichern Neue Komponente Komponente zuweisen amp Komponente entferner Richtlinien Security Policy x uaqejny S Globale Einstellungen Richtlinieneinstellungen VPN Beschr nkung Erweitert Wireless Steuerung UPN Komm Hardware r Speicherger tsteuerung Authentifizierung der Zeit berschreitung H Q USB Konnektivit t Datenverschl sselung Re ZSC Update Stunden Tage Sy VPN Erzwingung ACEM Minuten capter Wireless Adapter Einw hl Adapter Es k nnen folgende erweiterte Einstellungen f r die VPN Erzwingung konfiguriert werden Zeit berschreitung bei der Authentifizierung Administratoren k nnen den Endpunkt in eine gesicherte Firewall Einstellung aufnehmen die oben erw hnte Einstellung f r den Standort zu dem gewechselt wird zum Schutz vor Ausfall der VPN Konnektivit t Bei der Authentifizierungs Zeit berschreitung handelt es sich um den Wert der angibt wie lange der ZENworks Security 70 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Client auf die Authentifizierung beim VPN Server wartet Dieser Parameter sollte auf l nger als 1 Minute eingestellt werden um die Authentifizierung auch bei langsameren Verbindungen zu erm glichen Verbindungs Trennbefehle Bei Einsatz des Authentifizierungszeitgebers werden die Befehle Verbinden und Tr
166. ufgaben Ressourcen Konfiguration Endpunkt Auditing Pr fung Doppelklicken Sie auf die Zeile um zu dem Fehler zu In den nachfolgenden Abschnitten finden Sie weitere Informationen zu den Aufgaben die Sie ber die Taskleiste durchf hren k nnen Abschnitt 1 1 1 Richtlinienaufgaben auf Seite 8 Abschnitt 1 1 2 Ressourcen auf Seite 8 Abschnitt 1 1 3 Konfiguration auf Seite 8 Abschnitt 1 1 4 Endpunkt berwachung auf Seite 8 Verwenden der ZENworks Endpoint Security Management Konsole 7 1 1 1 Richtlinienaufgaben Die Verwaltungskonsole dient haupts chlich der Erstellung von Sicherheitsrichtlinien und deren Anwendung auf verwaltete Endger te Die Richtlinienaufgaben dienen dem Administrator als Schritt f r Schritt Anleitungen f r das Erstellen und Bearbeiten von Sicherheitsrichtlinien mit deren Hilfe der ZENworks Security Client zentral verwaltete Sicherheitsaspekte auf die einzelnen Endger te anwendet Die Richtlinienaufgaben umfassen Folgendes Aktive Richtlinien Zeigt eine Liste mit aktuellen Richtlinien an die berpr ft und bearbeitet werden k nnen Klicken Sie auf eine Richtlinie um sie zu ffnen Richtlinie erstellen Startet den Assistenten f r neue Richtlinien mit dem Sie eine neue Sicherheitsrichtlinie erstellen k nnen Richtlinie importieren Zeigt das Dialogfeld Richtlinie importieren an ber das Richtlinien erstellt werden k nnen die mit anderen
167. ung Wi Fi Sicherheit EB Unknown Pr fung Doppelklicken Sie auf die Zeile um zu dem Fehler zu navigieren Fehler beim Speichern Erstellen und Verteilen von Sicherheitsrichtliniien 83 Neue Listen mit TCP UDP Ports k nnen mit einzelnen Ports oder als Bereich 1 100 definiert werden pro Listenzeile So erstellen Sie eine neue TCP UDP Port Einstellung 1 Klicken Sie im Komponentenbaum mit der rechten Maustaste auf TCP UDP Anschl sse und w hlen Sie dann die Option zum Hinzuf gen neuer TCP UDP Ports 2 Benennen Sie die Portliste und geben Sie eine Beschreibung ein 3 W hlen Sie das Portverhalten in der Dropdown Liste aus Ge ffnet S mtlicher ein und ausgehender Netzwerkverkehr ist zul ssig Da s mtlicher Netzwerkverkehr zul ssig ist kann die Identit t Ihres Computers f r diesen Port bzw Portbereich eingesehen werden Geschlossen S mtlicher ein und ausgehender Netzwerkverkehr ist blockiert Da s mtliche Netzwerk Identifikationsanforderungen blockiert werden ist Ihre Computeridentit t f r diesen Port oder Portbereich verborgen Stateful S mtlicher unerw nscht eingehender Netzwerkverkehr wird blockiert S mtlicher ausgehende Netzwerkverkehr ist ber diesen Port oder Portbereich erlaubt 4 Geben Sie den Transporttyp an indem Sie in der Spalte Anschlusstyp auf den Abw rtspfeil klicken TCP UDP Ether IP TCP UDP 5 Geben Sie Ports und
168. ung erlauben Netzwerkurgebung speschern Manuelle nderung der Firewall Esnstellungen erlauben Randon im Client Menu anzergen Prung Doppeikicten Se md de Zeile um zu Die folgenden Abschnitte enthalten weitere Informationen Info zu Standorten auf Seite 74 Kommunikationshardware auf Seite 76 Steuerelement f r Speicherger tsteuerung auf Seite 79 Firewall Einstellungen auf Seite 81 Netzwerkumgebungen auf Seite 91 USB Konnektivit t auf Seite 93 Wi Fi Verwaltung auf Seite 95 Wi Fi Sicherheit auf Seite 99 Info zu Standorten Folgende Standorttypen k nnen konfiguriert werden Standort Unbekannt S mtliche Richtlinien verf gen ber einen standardm igen Standort mit der Bezeichnung Unbekannt Dies ist der Standort an den der ZENworks Security Client Benutzer versetzt wenn sie eine bekannte Netzwerkumgebung verlassen Der Standort Unbekannt ist f r jede Richtlinie eindeutig und steht nicht als freigegebene Komponente zur Verf gung Das Festlegen und Speichern von Netzwerkumgebungen ist f r diesen Standort nicht m glich F r den Zugriff auf die Steuerelemente f r den Standort Unbekannt klicken Sie auf die Registerkarte Standorte und dann im Richtlinienbaum auf der linken Seite auf den Standort Unbekannt Definierte Standorte F r die Richtlinie k nnen definierte Standorte erstellt oder bestehende f r andere Richtlinien erstellte Stan
169. urieren bevor Sie mit der Verwaltung von Ger ten in Ihrem System beginnen k nnen Mit dem Assistenten zur Neukonfiguration von Verzeichnisdiensten k nnen Sie eine Verzeichnisdienstkonfiguration erstellen die den Umfang Ihrer Client Installationen in ZENworks Endpoint Security Managment definiert Die neue Konfiguration verwendet Ihren vorhandenen Verzeichnisdienst um die logische Begrenzng f r Ihre benutzer und computerbasierten Client Installationen zu definieren Der Assistent f hrt Sie durch den Prozess der Auswahl eines Verzeichnisdiensts und der Kontexte in denen sich die aktuellen und zuk nftigen Client Konten befinden Mithilfe des Assistenten k nnen Sie au erdem die in der neuen Konfiguration enthaltenen Verzeichniseintr ge synchronisieren Diese Synchronisierung wird im Hintergrund ausgef hrt sodass Sie sofort beginnen k nnen Ihre neue Konfiguration zu verwenden Nach der Installation von ZENworks Endpoint Security Management wird der Assistent zur Neukonfiguration von Verzeichnisdiensten automatisch angezeigt Nach der Installation des Produkts und der Anzeige der Seite Willkommen springen Sie zu Schritt 4 in der folgenden Prozedur So konfigurieren Sie den Verzeichnisdienst 1 Klicken Sie in der Verwaltungskonsole auf Werkzeuge gt Konfiguration 2 Klicken Sie auf Authentifizierungsverzeichnisse 3 Klicken Sie auf Neu um den Assistenten zur Neukonfiguration von Verzeichnisdiensten aufzurufen 16 ZENworks
170. urity Client installieren und das Dialogfeld Info ffnen Details finden Sie in der ZENworks Endpoint Security Management Installationsanleitung In den Feldern muss die Versionsnummer von STEngine exe eingegeben werden Jedes Mal wenn sich der Benutzer an den zugewiesenen Standort begibt sucht der ZENworks Security Client unter dem URI nach einer Aktualisierung die dieser Versionsnummer entspricht Ist eine Aktualisierung verf gbar wird sie vom ZENworks Security Client heruntergeladen und installiert VPN Erzwingung Mit dieser Regel wird die Nutzung eines SSL Secure Sockets Layer VPN oder eines clientbasierten VPN Virtual Private Network erzwungen Diese Regel wird im Normalfall an Wireless Hotspots angewendet Es wird dem Benutzer erm glicht eine Verkn pfung mit dem eine Verbindung zum ffentlichen Netzwerk herzustellen dann versucht die Regel die VPN Verbindung aufzubauen und daf r zu sorgen dass der Benutzer einen definierten Standort und eine definierte Firewall Einstellung verwendet Alle Parameter werden vom Administrator festgelegt Alle Parameter setzen vorhandene Richtlinieneinstellungen au er Kraft Um die Komponente f r die VPN Erzwingung verwenden zu k nnen muss der Benutzer vor dem Starten mit einem Netzwerk verbunden sein Hinweis Diese Funktion steht nur bei der ZENworks Endpoint Security Installation zur Verf gung und kann f r UWS Unlimited Web Solutions Sicherheitsrichtlinien nicht verwendet werd
171. vell Inc 404 Wyman Street Suite 500 Waltham MA 02451 U S A www novell com Online Dokumentation Die neueste Online Dokumentation f r dieses und andere Novell Produkte finden Sie auf der Dokumentations Webseite von Novell http www novell com documentation Novell Marken Hinweise zu Novell Marken finden Sie in der Novell Trademark and Service Mark Liste http www novell com company legal trademarks tmlist htm Materialien von Drittanbietern Die Rechte f r alle Marken von Drittanbietern liegen bei den jeweiligen Eigent mern Inhalt 1 Verwenden der ZENworks Endpoint Security Management Konsole 7 1 1 Verwenden der Taskleiste te ae ea seen mare near 7 1 1 1 Richtlinienaufgaben r ei een m en a 8 1 1 2 RESSOUFCEEN er Be ee ertuen 8 1 1 3 Konfiguration rn he ren Dr naeh tue e 8 1 1 4 Endpunkt berwachung 2 222 nan nennen een nennen 8 1 2 Verwenden der Men leiste 24H es nenne nn nn 9 1 3 Wenn Sie Berechtigungseinstellungen 2 222222 eee rennen nennen 10 1 3 1 Administrative Berechtigungen sasaaa aaa 11 1 3 2 Einstellungen f r Ver ffentlichen an 2222222 eeeee rennen ren 12 1 4 Verwenden des Fensters Konfiguration 2 22 22 case seen nenn 14 1 4 1 Infrastruktur und Planung 22 222 m nassen enneneen nennen 14 1 4 2 Authentifizierungsverzeichnisse 2 222222 n een een 16 1 4 3 Service Synchronisierung
172. w Antivirus Spyware Rules New Antivirus Spyware Rules N Norton AntiVirus Corporate Edition 7 6 0 0000 Integrity Check Verify that Norton Antivirus software is Nuovo Regole antivirus antispyware OfficeScan OfficeScan OfficeScan Verify that OfficeScan is running correc PestPatrol Verify that PestPatrol software is runnir Sophos AntiVirus Make sure AV is up and running SpySweeper Verify that SpySweeper software is run Symantec AntiVirus Coporate Edition 8 0 Integrity Check Verify that Symantec Antivirus software Trend Micro PC cillin Security 2004 Integrity Check Verify that Trend Micro software is runr Abbrechen Wichtig nderungen die an verkn pften Komponenten vorgenommen wurden wirken sich auf alle anderen Instanzen der jeweiligen Komponente aus Sie k nnen beispielsweise eine einzelne Standortkomponente namens Arbeit erstellen die die Unternehmens Netzwerkumgebung und die Sicherheitseinstellungen definiert die jedes Mal angewendet werden sollen wenn sich ein Endpunkt in dieser Umgebung befindet Diese Komponente kann nun auf alle Sicherheitsrichtlinien angewendet werden Wenn Aktualisierungen der Umgebung oder Sicherheitseinstellungen in der Komponente in einer Richtlinie ge ndert werden wird die Aktualisierung derselben Komponente in allen anderen Richtlinien vorgenommen mit denen sie verkn pft ist Mithilfe des Befehls Auslastung anzeigen k nnen alle anderen mit dieser Komponente verkn pften Richtlinie
173. wenn alle anderen Netzwerkparameter bereinstimmen Wenn Sie CLAS f r einen Standort aktivieren m chten aktivieren Sie das Kontrollk stchen f r Client Location Assurance klicken Sie auf mportieren und w hlen Sie dann die Datei aus Nach erfolgreichem Import des Schl ssels wird das Wort Konfiguriert angezeigt Diese Option steht f r den Standort Unbekannt nicht zur Verf gung Standortmeldung verwenden Hiermit kann eine optionale benutzerdefinierte Meldung angezeigt werden wenn der ZENworks Security Client zu diesem Standort wechselt Diese Meldung kann Anweisungen f r den Endbenutzer Details zu Richtlinienbeschr nkungen an diesem Standort oder einen Hyperlink f r weitere Informationen enthalten 4 Klicken Sie auf Richtlinie speichern Wenn Ihre Richtlinie Fehler aufweist ziehen Sie Abschnitt 2 2 6 Fehlerbenachrichtigung auf Seite 112 zurate So verkn pfen Sie einen bestehenden Standort 1 Klicken Sie auf Definierte Standorte und dann in der Symbolleiste auf die Schaltfl che Komponente verkn pfen 2 W hlen Sie die gew nschten Standorte in der Liste aus 3 Bearbeiten Sie die Einstellungen gegebenenfalls Hinweis Wenn Sie die Einstellungen in einer freigegebenen Komponente ndern beeinflusst dies alle Instanzen dieser Komponente Mithilfe des Befehls Auslastung anzeigen k nnen alle anderen mit dieser Komponente verkn pften Richtlinien angezeigt werden 4 Klicken Sie auf Richtlinie speichern Wenn Ihr
174. wort Dom ne zesm bb test v W Stellen Sie die Verbindung zum Server mithilfe einer sicheren Authentifizierung her Klicken Sie auf Weiter um mit der Directory Service Configuration 7 F llen Sie die Felder aus Benutzername Geben Sie den Kontoadministrator an der mit dem Verzeichnis verbunden werden soll Dieses Konto fungiert bei der Verzeichnisdienst Konfiguration als Administratorkonto Bei dem Anmeldenamen muss es sich um einen Benutzer handeln der berechtigt ist den gesamten Verzeichnisbaum einzusehen Es wird empfohlen dass dieser Benutzer entweder der Dom nen Administrator oder ein OU Administrator ist Verwenden Sie bei der Konfiguration f r eDirectory das LDAP Format beispielsweise cn admin o acmeserver hierbei steht cn f r den Benutzer und o f r das Objekt in dem das Benutzerkonto gespeichert ist 18 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Passwort Geben Sie das Passwort f r den Kontoadministrator an Dieses Konto fungiert bei dieser Verzeichnisdienstkonfiguration als Administratorkonto F r das Passwort sollte keine Ablauffrist festgelegt werden und dieses Konto sollte unter keinen Umst nden deaktiviert werden Dom ne Geben Sie die Dom ne an bei der der Kontoadministrator Mitglied ist Stellen Sie mithilfe der sicheren Authentifizierung eine Verbindung zum Server her Heben Sie die Auswahl f r diese Option auf wenn keine sichere Authentifiz
175. y Policy Allgemeine Richtinieneinstellungen Standorte Integrit ts und Sanierungsregeln Einhaltungs Berichterstellung Ver ffentlichen E Integrit ts und Sanierungsreg z z S Antivirus Spyware Regeln E Skriptvariable Name ff Neu Skriptvariablen E ntrtscan Beschreibu Sf System Proces ra B Client running B Erweiterte Skripterstellungs S Firewall All Open on St E E Skriptvariablen 2 Skripttext Pr fung Doppeiklicken Sie auf die Zeile um zu dem Fehler zu navigieren Fehler beim Speichern So erstellen Sie eine neue Skriptvariable 1 Klicken Sie im Komponentenbaum mit der rechten Maustaste auf Skriptvariablen und w hlen Sie dann die Option zum Hinzuf gen neuer Variablen 2 Geben Sie einen Namen und eine Beschreibung f r die Variable ein 3 W hlen Sie den Typ der Variablen Benutzerdefinierte Meldungen Definiert eine benutzerdefinierte Meldung die als Aktion gestartet werden kann Firewall Definiert eine Firewall Einstellung die als Aktion angewendet werden kann Hyperlinks Definiert einen Hyperlink der als Aktion gestartet werden kann Standort Definiert einen Standort der als Aktion angewendet werden kann Nummer Definiert einen Zahlenwert String Definiert einen Zeichenkettenwert 4 Geben Sie den Wert der Variablen an Alle adaptiv Alle geschlossen Alle ge ffnet Erstellen und Verteilen von Sicherheitsrichtlin
176. zeichenketten Hersteller Produkt und Anzeigename Alle anderen Felder sind exakte bereinstimmungen Es ist interessant dass das Feld der USB Seriennummern SN nach Spez nur eindeutig ist wenn es bei der Angabe der folgenden Felder zusammen mit der SN ber cksichtigt wird USB Version H ndler ID Produktions ID und BCD Ger t Zurzeit g ltige Werte f r USB Version in Dezimalschreibweise sind 512 USB 2 0 272 USB 1 1 256 USB 1 0 Die folgenden Abschnitte enthalten weitere Informationen Manuelles Hinzuf gen von Ger ten auf Seite 61 Aufnehmen eines Ger ts in die wei e bzw schwarze Liste nach Produkttyp auf Seite 62 Manuelles Hinzuf gen von Ger ten Mithilfe der folgenden Methoden k nnen Sie die Liste ausf llen und dann angeben ob Sie die USB Konnektivit t f r Ger te zulassen oder verweigern So f gen Sie ein Ger t manuell hinzu 1 Verbinden Sie das Ger t mit dem USB Anschluss des Computers auf dem die Verwaltungskonsole installiert ist Erstellen und Verteilen von Sicherheitsrichtliiniien 61 2 Wenn das Ger t bereit ist klicken Sie auf die Schaltfl che Scan Verf gt das Ger t ber eine Seriennummer werden die zugeh rige Beschreibung und Seriennummer in der Liste aufgef hrt 3 W hlen Sie in der Dropdown Liste eine Einstellung aus die Einstellung f r das globale Wechselspeicherger t findet bei dieser Richtlinie keine Anwendung Aktivieren Den Ger ten i
177. zer versuchen auf einem definierten Speicherger t auf Dateien zuzugreifen wird eine Fehlermeldung des Betriebssystems bzw der Anwendung die auf das lokale Speicherger t zuzugreifen versucht ausgegeben die besagt dass bei dem Vorgang ein Fehler aufgetreten ist Nur Lesen F r den Ger tetyp ist Nur Lesen festgelegt Wenn Benutzer versuchen auf das Ger t zu schreiben wird eine Fehlermeldung des Betriebssystems bzw der Anwendung die auf das lokale Speicherger t zuzugreifen versucht ausgegeben die besagt dass bei dem Vorgang ein Fehler aufgetreten ist Hinweis Wenn Sie CD ROM Laufwerke bzw Diskettenlaufwerke f r eine Gruppe von Endpunkten auf Nur Lesen einstellen m chten muss in den lokalen Sicherheitseinstellungen die durch ein Verzeichnisdienst Gruppenrichtlinienobjekt bergeben wurden sowohl f r Ger te Zugriff auf CD ROM Laufwerke auf lokal angemeldete Benutzer beschr nken als auch f r Ger te Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschr nken die Option Deaktiviert festgelegt sein Um dies sicherzustellen ffnen Sie entweder das Gruppenrichtlinienobjekt oder sehen in der Systemsteuerung unter Verwaltung nach W hlen Sie die Optionsfolge Lokale Sicherheitseinstellungen Sicherheitsoptionen und vergewissern Sie sich dass beide Ger te deaktiviert sind Deaktiviert ist der Standardwert Lokale Sicherheitseinstellungen Abe ake 2 ED Schertenserstelungen oech
178. zugelassen oder deaktiviert werden soll 1394 FireWire Steuert den Zugriff auf den FireWire Anschluss des Endpunkts IrDA Steuert den Zugriff auf den Infrarotanschluss des Endpunkts 54 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Bluetooth Steuert den Zugriff auf den Bluetooth Anschluss des Endpunkts Seriell Parallel Steuert den Zugriff auf den seriellen parallelen Anschluss des Endpunkts Steuerelement f r Speicherger tsteuerung Mithilfe von Steuerelementen f r Speicherger te werden die Speicherger t Standardeinstellungen f r die Richtlinie festgelegt Hierbei wird u a festgelegt ob externe Dateispeicherger te ber Lese oder Schreibrechte f r Dateien verf gen im schreibgesch tzten Modus betrieben oder vollst ndig deaktiviert werden Bei Deaktivierung sind diese Ger te nicht in der Lage Daten vom Endpunkt abzurufen Der Zugriff auf die Festplatte und alle Netzlaufwerke sowie deren Verwendung sind weiterhin m glich Die Speicherger tsteuerung von ZENworks Endpoint Security darf nicht verwendet werden wenn Storage Encryption Solution aktiviert ist Hinweis Sie k nnen die Steuerelemente f r Speicherger te auf der Registerkarte Allgemeine Richtlinieneinstellungen global bzw auf der Registerkarte Standorte f r einzelne Standorte festlegen Wenn Sie die Steuerelemente f r Speicherger te global festlegen m chten klicken Sie auf die Registerkarte Allgemeine Richtlinienein
179. zwerk Umgebungsinformationen zur Ermittlung eines Standorts leicht gef lscht werden k nnen und so der Endpunkt potenzielles Angriffsziel f r Eindringlinge werden kann stellt Client Location Assurance Service CLAS eine Option zur kryptographischen berpr fung des Standorts bereit Dieser Service ist nur in Netzwerkumgebungen zuverl ssig die vollst ndig und ausschlie lich der Kontrolle des Unternehmens unterstehen Wenn ein Standort um Client Location Assurance erg nzt wird k nnen die Firewall Einstellungen und Berechtigungen f r diesen Standort weniger strikt festgelegt werden da davon ausgegangen wird dass der Endpunkt nun hinter der Netzwerk Firewall gesch tzt ist Erstellen und Verteilen von Sicherheitsrichtlinien Der ZENworks Security Client verwendet einen festen von Unternehmen konfigurierbaren Port um eine Herausforderung an Client Location Assurance Service zu senden Client Location Assurance Service entschl sselt das Paket antwortet auf die Herausforderung und beweist so dass er ber den privaten Schl ssel verf gt der dem ffentlichen Schl ssel entspricht Im Symbol in der Taskleiste ist ein H kchen zu sehen so wird angegeben dass sich der Benutzer am richtigen Standort befindet Der ZENworks Security Client kann nur zu dem Standort wechseln wenn der CLAS Server erkannt wird Wird der CLAS Server nicht erkannt verbleibt der ZENworks Security Client am Standort Unbekannt um den Endpunkt zu sichern selbst
180. zwingung Ger tegruppenzugnif Human Interface Device HID M Standardger tezugriff r Massenspeicherklasse Standardgeratezugriff zj Druckklasse Standardgerstezugrif Durchsuchen lmageerstellung PTP Gesang 58 ZENworks Endpoint Security Management Hilfe zur Verwaltungskonsole Zugriff wird zun chst danach evaluiert ob der Bus aktiv ist Dies h ngt von der Einstellung unter USB Ger te ab Wenn hier Zugriff generell deaktivieren festgelegt ist wird das Ger t deaktiviert und die Evaluierung wird gestoppt Wenn hier Zugriff generell zulassen festgelegt ist setzt der Client die Evaluierung und den Ger tesatz fort und sucht nach bereinstimmungen im Filter Wie bei den anderen Feldern in der ZENworks Verwaltungszone wenn diese auf einen Standort festgelegt ist kann der Wert f r USB Ger te auch auf Globale Einstellungen anwenden festgelegt werden wodurch in diesem Feld dann der globale Wert verwendet wird Der Client sammelt die Filter die von der Richtlinie angewendet werden basierend auf Standort und globale Einstellungen Der Client gruppiert dann die Filter basierend auf dem Zugriff in den folgenden Gruppen Immer blockieren Das Ger t immer blockieren Diese Einstellung kann nicht berschrieben werden Immer zulassen Zugriff immer erlauben es sei denn f r das Ger t trifft der Filter Immer blockieren zu Blockieren Zugriff immer blockieren es sei denn das Ger t s
Download Pdf Manuals
Related Search