Home

SafeGuard Enterprise Installationsanleitung

Contents

1. SafeGuard Management Center auf dem Administratorcomputer Verzeichnisdienste optional Zentrales Management Werkzeug f r durch SafeGuard Enterprise gesch tzte Endpoints zur Verwaltung von Schl sseln und Zertifikaten Benutzern und Computern sowie zur Erstellung von SafeGuard Enterprise Richtlinien Das SafeGuard Management Center kommuniziert mit der SafeGuard Enterprise Datenbank NET Framework 4 ist erforderlich Import eines Active Directory Es enth lt die Organisationsstruktur des Unternehmens mit Benutzern und Computern SafeGuard Enterprise Verschl sselungssoftware auf Endpoints Verschl sselungssoftware zur Authentisierung und Datenverschl sselung auf Endpoints Durch SafeGuard Enterprise gesch tzte Endpoints k nnen entweder mit dem SafeGuard Enterprise Server verbunden sein zentral verwaltet oder keine Verbindung zu einem SafeGuard Enteprise Server haben Standalone Zentral verwaltete Endpoints erhalten ihre Richtlinien direkt vom SafeGuard Enterprise Server Standalone Endpoints erhalten ihre Richtlinien in Konfigurationspaketen die mit einen Dritt Verteilungsmechanismus verteilt werden k nnen Installationsanleitung 2 Erste Schritte Dieser Abschnitt erkl rt die notwendigen Vorbereitungsma nahmen f r eine erfolgreiche Installation von SafeGuard Enterprise a Erstinstallation Der SGN Install Advisor vereinfacht die erstmalige Einrichtung der Management Komponenten einschlie lich Standar
2. d Wenn noch keine SafeGuard Enterprise Datenbank durch ein Skript angelegt wurde c Deaktivieren Sie Kennwortrichtlinie erzwingen w hlen Sie unter Standarddatenbank die Option Master Klicken Sie auf OK Notieren Sie sich die Authentisierungsmethode und die Anmeldedaten Sie m ssen diese dem SafeGuard Management Center Sicherheitsbeauftragten mitteilen E Anmeldung Neu alx r J skm v Bhe hie Allgemein a JES Serverrolen Anmeldename SGN SQLSERVICE L Benutzerzuordnung L Sicherungsf hige Elemente Status Windows Authentifizierung SAL Server Authentifizierung Kennwort Kennwort best tigen I Kennwortrichtlinie erzwingen Ab Zertifikatsname Zugeordnet zu asymmetrischen Schl ssel Verbindung Schl sselname Server SRY 2003R2 DE Standarddatenbank master z Verbindung Standardsprache KStandare gt UTIMACO Administrator 3 Verbindunaseigenschaften anzeigen Bereit Abbrechen 5 A 4 2 Installationsanleitung 5 Um die Datenbank automatisch w hrend der Erstkonfiguration des SafeGuard Management Centers zu erzeugen m ssen Sie die Zugriffsrechte wie folgt ndern Weisen Sie jetzt unter Anmeldung Neu unter Allgemein die Zugangsberechtigungen Rollen zu indem Sie links auf Serverrollen klicken W hlen Sie dbcreator Nach der Installation von SafeGuard Enterprise kann die Datenbankrolle auf dbowner zur ckgesetzt werden JaA S
3. uusersnnnennennnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnn nn 16 4 2 Erzeugen der SafeGuard Enterprise Datenbank esenennnnnnn 21 4 3 ndern der Zugriffsrechte f r die SafeGuard Enterprise Datenbank 23 4 4 berpr fung von Einstellungen f r SQL Dienste Named Pipes und TOP Praicngnnnan a a a N LOBHRSERTEOBREISREFRRER 23 4 5 Erstellen einer Windows Firewall Regel auf Windows Server 2008 R2 24 4 6 Konfigurieren der Windows Authentisierung f r die Anmeldung am SQL SENNEP ean PFEIL E UNSER ERITERTERTEBENISEEREEEDNLENERISENEEEEN EETESERLENTILFFESUSEILFERTE 24 5 Einrichten des SafeGuard Management Centers 00us4ennnnnennnnnnnnnnnnnnnnnnnnnnnn nn 26 5 1 Voraussetzungen einen 26 5 2 Installieren des SafeGuard Management Center nnneennnnnnnnn 26 5 3 Anzeigen des SafeGuard Management Center Hilfesystems 27 5 4 Konfigurieren des SafeGuard Management Center enennn 27 5 5 Erstellen weiterer Datenbankkonfigurationen Multi Tenancy 32 5 6 Konfigurieren zus tzlicher Instanzen des SafeGuard Management Center 33 5 7 Anmeldung am SafeGuard Management Center snnnennnnnennn 34 5 8 Einrichten der Organisationsstruktur im SafeGuard Management Cernter 35 5 9 Importieren der Lizenzdatei 4444usnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn mann 35 5 10 Wiederherstellen e
4. 3 Testen Sie die Kommunikation zwischen den SafeGuard Enterprise Servern und diesen Datenbanken a ffnen Sie auf dem Computer auf dem SafeGuard Enterprise Server installiert ist den Internet Information Services IIS Manager b Klicken Sie in der Baumstruktur auf Internet Information Services Manager Klicken Sie auf Servername Websites Standard Website berpr fen Sie ob die Web Seite SGNSRV im Ordner Standard Web Seite verf gbar ist c Klicken Sie mit der rechten Maustaste auf SGNSRV und klicken Sie auf Durchsuchen Auf der rechten Seite des Fensters wird eine Liste mit m glichen Aktionen angezeigt d W hlen Sie aus dieser Liste die Aktion CheckConnection Die m gliche Aktion wird auf der rechten Seite des Fensters angezeigt e Um die Verbindung zu pr fen klicken Sie auf Aufrufen Der Verbindungstest war erfolgreich wenn Sie diese Ausgabe erhalten E http localhost SGNSRY Trans asmx CheckConnection Microsoft Internet Explorer loj xj Datei Bearbeiten Ansicht Een Extras kd J Zur ch 9AA 14 Suchen Favoriten P Medien 07 o B Adresse http E EERI asmx CheckConnection E wechseinzu Links gt lt xml version 1 0 encoding utf 8 gt lt string mins http utimaco org gt lt Dataroot gt lt WebService gt OK lt WebService gt lt DBAuth gt OK lt DBAuth gt lt Dataroot gt lt string gt 10 7 Einrichten des Endpoint F r Informationen zum I
5. SafeGuard Enterprise Funktionen die installiert werden sollen z B Festplattenvollverschl sselung SafeGuard Enterprise Parameter die z B das Installationsverzeichnis angeben Kommandozeilen Optionen Alle verf gbaren Optionen k nnen Sie ber msiexec exe in der Eingabeaufforderung abrufen Im Folgenden sind wichtige Optionen beschrieben Beschreibung Gibt an dass es sich um eine Installation handelt Installiert ohne Benutzerinteraktion und zeigt keine Benutzeroberfl che an Listet die SafeGuard Enterprise Features auf die installiert werden Wird die Option nicht angegeben werden alle Features installiert die f r eine Standardinstallation vorgesehen sind Eine Liste der SafeGuard Enteprise Features in den einzelnen Installationspaketen und Informationen zu deren Verf gbarkeit je nach Endpoint Konfiguration finden Sie unter Installationspakete und Features Seite 56 F r eine Liste der Feature Parameter f r die ADDLOCAL Option siehe Feature Parameter f r die ADDLOCAL Option Seite 62 ADDLOCAL ALL Unter Windows 7 BIOS installiert ADDLOCAL ALL die SafeGuard volume basierende Verschl sselung und alle anderen verf gbaren Module Unter Windows 8 installiert ADDLOCAL ALL BitLocker Unterst tzung und alle anderen verf gbaren Module 61 SafeGuard Enterprise Beschreibung REBOOT Force Erzwingt oder unterdr ckt einen Neustart nach der Installation Ohne NoRestart Angabe wird der Neustart er
6. bernehmen Sie in den folgenden Dialogen die Standardeinstellungen Der Taskplaner wird automatisch mit dem Installationstyp Vollst ndig installiert SafeGuard Enterprise Server mit Taskplaner wird installiert Hinweis Aus Performance Gr nden ist die Verkettung von protokollierten Ereignissen f r die SafeGuard Enterprise Datenbank nach der Installation des SafeGuard Enterprise Servers standardm ig deaktiviert F r den Integrit tsschutz protokollierter Ereignisse ist jedoch die Verkettung protokollierter Ereignisse erforderlich Dabei werden alle Eintr ge in der Ereignistabelle miteinander verkettet so dass die Entfernung eines Eintrags sichtbar wird und ber eine Integrit tspr fung nachgewiesen werden kann Um den Integrit tsschutz zu nutzen m ssen Sie die Verkettung von protokollierten Ereignissen manuell aktivieren Detaillierte Informationen hierzu finden Sie im Kapitel Berichte der SafeGuard Enterprise Administrator Hilfe 15 SafeGuard Enterprise 16 4 4 1 Einrichten einer SafeGuard Enterprise Datenbank SafeGuard Enterprise speichert alle relevanten Daten wie Schl ssel Zertifikate Informationen zu Benutzern und Computern Ereignisse und die Richtlinieneinstellungen in einer Datenbank Die SafeGuard Enterprise Datenbank basiert auf Microsoft SQL Server Pr fen Sie die Liste der aktuell unterst tzten SQL Server Typen im Abschnitt zu den Systemanforderungen in den aktuellen Versionsinfos unter http www soph
7. So berpr fen Sie ob das Programm korrekt auf IIS 6 oder IIS 7 installiert ist 1 W hlen Sie im Start Men den Befehl Ausf hren 2 Geben Sie folgendes Kommandb ein Appwiz cpl Alle auf dem Computer installierten Programme werden angezeigt 13 SafeGuard Enterprise 3 2 1 2 3 2 2 14 3 berpr fen Sie ob NET Framework Version 4 angezeigt wird Wird die Version nicht angezeigt installieren Sie sie Folgen Sie den Schritten im Installationsassistenten und best tigen Sie alle Standardeinstellungen 4 Um zu pr fen ob die Installation korrekt registriert ist wechseln Sie in C Windows Microsoft NET Framework Jede installierte Version muss als separater Ordner mit der Version als Ordnername sichtbar sein v4 0 Pr fen der ASP NET Registrierung bei IIS 7 ASP NET Version 4 ist erforderlich 1 Um zu berpr fen ob ASP NET installiert und mit der korrekten Version registriert ist geben Sie das Kommando aspnet_regiis exe Iv auf der Kommandozeile ein F r ASP NET Version sollte Version 4 0 angezeigt werden Installieren und Konfigurieren von IIS 8 auf Microsoft Windows Server 2012 2012 R2 IIS ist kostenlos verf gbar Sie finden das Programm z B auf Ihrer Windows DVD oder auf der Microsoft Website 1 Am Server ManagerDashboard klicken Sie auf Verwalten und w hlen Sie Rollen und Features hinzuf gen 2 Im Assistent zum Hinzuf gen von Rollen und Features auf der Seite Vorbemerkungen berpr f
8. das eine Verschl sselung ausl sen soll installiert wurde 9 2 2 Einschr nkungen f r Standalone Endpoints 50 File Encryption wird f r Standalone Endpoints Sophos SafeGuard Clients Standalone nicht unterst tzt 9 3 Vorbereiten der Endpoints f r die Verschl sselung Vor der Installation von SafeGuard Enterprise empfehlen wir folgende vorbereitende Ma nahmen Auf dem Endpoint muss ein Benutzerkonto eingerichtet und aktiv sein Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen Erstellen Sie einen kompletten Backup Ihrer Daten auf dem Endpoint 9 3 1 Installationsanleitung Laufwerke die verschl sselt werden sollen m ssen komplett formatiert sein und einen Laufwerksbuchstaben zugewiesen haben Sophos stellt eine Datei f r die Hardware Konfiguration zur Verf gung um Konflikte zwischen der POA und Ihrer Endpoitn Hardware zu vermeiden Die Datei ist im Installationspaket der Verschl sselungssoftware enthalten Wir empfehlen vor jeder gr er angelegten SafeGuard Enterprise Installation die aktuelle Version dieser Datei zu installieren Die Datei wird monatlich aktualisiert und steht hier zum Download zur Verf gung http www sophos com de de support knowledgebase 65700 aspx Sie k nnen uns bei der Optimierung der Hardware Kompatibilit t unterst tzen indem Sie ein von uns zur Verf gung gestelltes Tool ausf hren Dieses Tool liefert ausschlie lich Hardware relevante Informationen Das
9. Klicken Sie hier um die Windows Authentifizierung f r Web Helpdesk zu aktivieren Die Option ist standardm ig deaktiviert Server Rollen Klicken Sie hier um eine verf gbare Sicherheitsbeauftragtenrolle f r den ausgew hlten Server zu aktivieren deaktivieren Server Rolle hinzuf gen Klicken Sie hier um weitere spezifische Sicherheitsbeauftragtenrollen f r den ausgew hlten Server hinzuzuf gen falls erforderlich Sie werden dazu aufgefordert das Serverzertifikat auszuw hlen Die Sicherheitsbeauftragtenrolle wird hinzugef gt und kann unter Server Rollen angezeigt werden Datenbankverbindung Klicken Sie auf um die Verbindung zur Datenbank f r jeden registrierten Server zu konfigurieren Hier k nnen Sie auch die Anmeldeinformationen f r die Datenbank und die Transportverschl sselung zwischen Web Server und Datenbankserver festlegen Weitere Informationen finden Sie unter Konfigurieren der Datenbankserververbindung Seite 28 Selbst wenn die Pr fung der Datenbankverbindung nicht erfolgreich ist kann ein neues Server Konfigurationspaket erstellt werden Hinweis Sie m ssen nicht den SafeGuard Management Center Konfigurationsassistenten erneut ausf hren um die Datenbankkonfiguration zu aktualisieren Erstellen Sie einfach ein neues Server Konfigurationspaket und verteilen Sie es an den entsprechenden Server Sobald dieses auf dem Server installiert ist kann auf die neue Datenbankverbindung zu
10. hlen Sie die Registerkarte Server und klicken Sie auf Hinzuf gen 4 Klicken Sie unter Serverregistrierung auf die Schaltfl che um das Maschinenzertifikat des Servers auszuw hlen Es wird bei der Installation des SafeGuard Enterprise Servers erzeugt Sie finden es standardm ig im Verzeichnis MachCert des SafeGuard Enterprise Server Installationsverzeichnisses Es tr gt den Dateinamen lt Computername gt cer Wenn der SafeGuard Enterprise Server auf einem anderen Computer als das SafeGuard Management Center installiert ist muss diese cer Datei als Kopie oder ber eine Netzwerkfreigabe zug nglich sein W hlen Sie nicht das MSO Zertifikat Der Fully Qualified Name FQDN z B server mycompany com sowie Zertifikatsinformationen werden angezeigt Hinweis Wenn SSL als Transportverschl sselung zwischen Endpoint und Server verwendet werden soll muss der Servername den Sie hier eingeben mit dem Servernamen bereinstimmen den Sie im SSL Zertifikat vergeben haben Andernfalls ist keine Kommunikation m glich 5 Klicken Sie auf OK Die Serverinformationen werden in der Registerkarte Server angezeigt 6 Klicken Sie auf die Registerkarte Server Pakete Hier werden alle verf gbaren Server angezeigt W hlen Sie dort den gew nschten Server aus Geben Sie einen Ausgabepfad f r das Konfigurationspaket an Klicken Sie auf Konfigurationspaket erstellen Ein Server Konfigurationspaket MSI mit der Bezeichnu
11. r Managed Clients Wenn Sie Service Accounts f r Aufgaben nach der Installation verwenden Das erste Konfigurationspaket muss auf den Endpoints zusammen mit der Verschl sselungssoftware installiert werden Erzeugen eines Konfigurationspakets f r zentral verwaltete Computer arwm Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete W hlen Sie Pakete f r Managed Clients Klicken Sie auf Konfigurationspaket hinzuf gen Geben Sie einen beliebigen Namen f r das Konfigurationspaket ein Ordnen Sie einen prim ren SafeGuard Enterprise Server zu der sekund re Server ist nicht notwendig Falls erforderlich geben Sie eine Richtliniengruppe an die auf die Computer angewendet werden soll Diese m ssen Sie zuvor im SafeGuard Management Center erstellt haben Wenn Sie f r Aufgaben nach der Installation auf dem Computer Service Accounts verwenden m chten stellen Sie sicher dass die entsprechende Richtlinieneinstellung in dieser ersten Richtliniengruppe definiert ist siehe Service Accounts f r die Durchf hrung von Aufgaben nach der Installation Seite 55 W hlen Sie den Modus f r die Transportverschl sselung der bestimmt wie die Verbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Server verschl sselt wird SafeGuard Transportverschl sselung oder SSL Verschl sselung Der Vorteil bei SSL ist dass es sich um ein Standardprotokoll handelt und eine schn
12. 1 Starten Sie das SafeGuard Management Center ber den Produktordner im Start Men Der Dialog Konfiguration ausw hlen wird angezeigt 9 8 3 3 Installationsanleitung 2 W hlen Sie die Datenbankkonfiguration aus die Sie verwenden m chten und klicken Sie auf OK Die ausgew hlte Datenbankkonfiguration wird mit dem SafeGuard Management Center verbunden und wird aktiv 3 Sie werden dazu aufgefordert den Sicherheitsbeauftragtennamen f r diese Konfiguration auszuw hlen und das entsprechende Zertifikatsspeicherkennwort einzugeben Klicken Sie auf OK Das SafeGuard Management Center wird ge ffnet und mit der ausgew hlten Datenbankkonfiguration verbunden Hinweis Wenn Sie ein falsches Kennwort eingeben wird eine Fehlermeldung angezeigt und die n chste Anmeldung wird verz gert Diese Verz gerung wird mit jedem fehlgeschlagenen Anmeldeversuch gr er Fehlgeschlagene Anmeldeversuche werden protokolliert Einrichten der Organisationsstruktur im SafeGuard Management Center Es gibt zwei M glichkeiten Ihre Organisation in SafeGuard Enterprise abzubilden Directory Service importieren z B Active Directory W hrend der Synchronisierung mit dem Active Directory werden Objekte z B Computer Benutzer und Gruppen in das SafeGuard Management Center importiert und in der SafeGuard Enterprise Datenbank gespeichert rganisationsstruktur manuell aufbauen Steht kein Directory Service zur Verf gung oder gibt es nur we
13. Tool ist einfach zu bedienen Die gesammelten Informationen werden zur Hardware Konfigurationsdatei hinzugef gt F r weitere Informationen siehe http www sophos com de de support knowledgebase 110285 aspx Untersuchen Sie die Festplatte n mit folgendem Kommando auf Fehler chkdsk drive F V X Unter Umst nden werden Sie dazu aufgefordert den Endpoint neu zu starten und chkdsk noch einmal auszuf hren Weitere Informationen finden Sie unter http www sophos com de de support knowledgebase 107799 aspx So pr fen Sie die Ergebnisse Log Datei in der Windows Ereignisanzeige Windows 7 W hlen Sie Windows Logs Anwendung Wininit Benutzen Sie das Windows Tool defrag um fragmentierte Boot Dateien Datendateien und Ordner auf lokalen Volumes aufzufinden und zu konsolidieren Weitere Informationen finden Sie unter http www sophos com de de support knowledgebase 109226 aspx Deinstallieren Sie Third Party Boot Manager z B PROnetworks Boot Pro und Boot US Wir empfehlen vor jeder gr er angelegten SafeGuard Enterprise Installation die aktuelle Version der POA Konfigurationsdatei zu installieren Die Datei wird monatlich aktualisiert und steht hier zum Download zur Verf gung http www sophos com de de support knowledgebase 110285 aspx Wenn die Bootpartition auf dem Endpoint von FAT nach NTFS konvertiert wurde der Endpoint aber noch nicht neu gestartet wurde sollten Sie den Endpoint einmal neu starten Andernfalls ka
14. Verzeichnis angelegt Im n chsten Schritt verteilen Sie das Paket zur Installation an die Endpoints Erzeugen eines Konfigurationspakets f r Macs Ein Konfigurationspaket f r einen Mac enth lt die Serverinformationen und das Unternehmenszertifikat Der Mac benutzt diese Informationen zum Zur ckmelden von Statusinformationen z B POA an aus Verschl sselungsstatus Die Statusinformationen werden im SafeGuard Management Center angezeigt 1 W hlen Sie Pakete f r Managed Clients Klicken Sie auf Konfigurationspaket hinzuf gen Geben Sie einen beliebigen Namen f r das Konfigurationspaket ein Ordnen Sie einen prim ren SafeGuard Enterprise Server zu der sekund re Server ist OP OMN Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete nicht notwendig W hlen Sie SSL als Transportverschl sselung f r die Verbindung zwischen dem Endpoint und dem SafeGuard Enterprise Server F r Macs wird Sophos als Transportverschl sselung nicht unterst tzt Geben Sie einen Ausgabepfad f r das Konfigurationspaket ZIP an Klicken Sie auf Konfigurationspaket erstellen Die Server Verbindung f r den SSL Transportverschl sselung Modus wird validiert Wenn die Verbindung fehlschl gt wird eine Warnungsmeldung angezeigt 9 4 4 ske Installationsanleitung Das Konfigurationspaket ZIP wird nun im angegebenen Verzeichnis angelegt Im n chsten Schritt verteilen Sie das Paket zur In
15. Web Service WS_2 1 Klicken Sie im SafeGuard Management Center im Extras Men auf Optionen und dann auf Datenbank 2 W hlen Sie unter Verbindungseinstellungen ws_2 als Datenbankserver und Linz als Datenbank auf Server Klicken Sie auf OK 3 Klicken Sie im Extras Men auf Konfigurationspakete und dann auf Server Pakete W hlen Sie den Serverws_2 den Ausgabepfad und klicken Sie auf Konfigurationspaket erstellen 4 Wechseln Sie auf die Registerkarte Pakete f r Managed Clients Klicken Sie auf Konfigurationspaket hinzuf gen und geben Sie einen Namen f r das Paket ein W hlen Sie unter Prim rer Server den korrekten Server mit dem die SafeGuard Enterprise Clients Linz verbunden werden sollen wS_2 Legen Sie den Ausgabepfad fest und klicken Sie auf Konfigurationspaket erstellen Klicken Sie auf Schlie en 5 Verbinden Sie das SafeGuard Management Center wieder mit der Datenbank Wien Klicken Sie im Extras Men auf Optionen und dann auf Datenbank Die SafeGuard Enterprise Server und Client Konfigurationspakete f r die Datenbank Linz werden am definierten Ausgabeort erstellt Installieren der SafeGuard Enterprise Server Konfigurationspakete 1 Installieren Sie das Server Konfigurationspaket ws_1 msi auf Web Service WS_1 der mit der Datenbank Graz kommunizieren soll 2 Installieren Sie das Server Konfigurationspaket ws_2 msi auf Web Service WS_2 der mit der Datenbank Linz kommunizieren soll 71 SafeGuard Enterprise
16. Windows Server 2012 1 ffnen Sie den Internetinformationsdienste IIS Manager Im Navigationsbereich w hlen Sie den Server der die SGNSRV Webseite hostet Im Bereich rechts w hlen Sie Serverzertifikate aus dem Abschnitt IIS Auf der Seite Serverzertifikate klicken Sie im Bereich Aktionen auf Importieren W hlen Sie das Zertifikat aus das f r die Sicherung der SSL Verbindung verwendet werden soll Geben Sie das Kennwort ein und klicken Sie auf OK 6 Klicken Sie im Navigationsbereich mit der rechten Maustaste auf Default Web Site und klicken Sie dann auf Bindungen bearbeiten 7 Klicken Sie Hinzuf gen im Dialog Sitebindungen 8 Unter Typ w hlen Sie https und unter SSL Zertifikat w hlen Sie das Zertifikat das f r die Sicherung der SSL Verbindung verwendet werden soll 9 Klicken Sie OK und schlie en Sie den Dialog Sitebindungen 10 W hlen Sie im Navigationsbereich den Server und klicken Sie auf Neu starten im Bereich Aktionen pr a Den Endpoint f r SSL konfigurieren Um SSL auf einem mit SafeGuard Enterprise gesch tzten Endpoint zu verwenden f hren Sie die folgenden Schritte aus 1 Weisen Sie das Zertifikat dem Client zu 2 Erstellen Sie ein Client Konfigurationspaket das SSL beinhaltet siehe auch Erzeugen eines Konfigurationspakets f r zentral verwaltete Computer Seite 53 Zuweisen eines Zertifikats Es gibt verschiedene M glichkeiten ein Zertifikat einem Endpoint zuzuweisen Eine davon i
17. der Erstkonfiguration des SafeGuard Management Center Seite 28 5 6 Installationsanleitung Hinweis Sie m ssen pro Datenbank jeweils eine separate SafeGuard Enterprise Server Instanz einrichten So erstellen Sie eine weitere SafeGuard Enterprise Datenbankkonfiguration nach der Erstkonfiguration 1 Starten Sie das SafeGuard Management Center Der Dialog Konfiguration ausw hlen wird angezeigt 2 Klicken Sie auf Neu Der SafeGuard Management Center Konfigurationsassistent wird automatisch gestartet 3 Der Assistent f hrt Sie durch die notwendigen Schritte f r das Anlegen einer neuen Datenbankkonfiguration Nehmen Sie die erforderlichen Einstellungen vor Die neue Datenbankkonfiguration wird generiert 4 Zur Authentisierung werden Sie dazu aufgefordert den Sicherheitsbeauftragtennamen f r diese Konfiguration auszuw hlen und das entsprechende Zertifikatsspeicherkennwort einzugeben Klicken Sie auf OK Das SafeGuard Management Center wird ge ffnet und mit der ausgew hlten Datenbankkonfiguration verbunden Wenn Sie das SafeGuard Management Center das n chste Mal starten k nnen Sie die neue Datenbank Konfiguration aus der Liste ausw hlen Hinweis Weitere Informationen zu Multi Tenancy finden Sie in der SafeGuard Enterprise Administratorhilfe im Kapitel Mit mehreren Datenbankkonfigurationen arbeiten Konfigurieren zus tzlicher Instanzen des SafeGuard Management Center Sie k nnen zus tzliche Instanzen des SafeGuar
18. einer Mergever ffentlichung definieren k nnen Tritt ein Konflikt auf ruft der Merge Agent einen Resolver auf Dieser bestimmt welche Daten akzeptiert und an andere Standorte verteilt werden Einrichten der Datenbankreplikation Der Vorgang des Einrichtens einer Replikation f r die SafeGuard Enterprise Datenbank wird am Beispiel von Microsoft SQL Server beschrieben Im Beispiel wird SafeGuard Enterprise ausschlie lich von der Datenbank in Wien aus administriert Alle nderungen werden vom SafeGuard Management Center ber den Microsoft SQL Server Replikationsmechanismus an die Datenbanken in Graz und Linz weitergegeben Die von den Client Computern ber die Web Server gemeldeten nderungen werden ebenfalls ber den Replikationsmechanismus an den Microsoft SQL Server weitergegeben 10 2 1 102 2 Installationsanleitung SGN Client_1 SGN Client_n SGN Client_1 SGN Client_n Erzeugen der Master Datenbank Legen Sie zun chst die SafeGuard Enterprise Master Datenbank an In unserem Beispiel ist dies die Datenbank Wien Der Vorgang zum Erzeugen der Master Datenbank ist mit dem entsprechenden Vorgang f r eine SafeGuard Enterprise Installation ohne Replikation identisch Erzeugen der Master Datenbank im SafeGuard Management Center Konfigurationsassistenten F r diesen Vorgang muss das SafeGuard Management Center bereits installiert sein Weitere Informationen finden Sie unter Starten der Erstkonfiguration des SafeGuard Ma
19. gesicherte Schl sseldatei Geben Sie unter Kennwort der Datei das f r diese Datei festgelegte Kennwort ein und best tigen Sie es W hlen Sie Schl sseldatei im Zertifikatsspeicher speichern und geben Sie das Kennwort f r den Speicher ein Klicken Sie auf OK Das Zertifikat des Haupt Sicherheitsbeauftragten wird importiert Klicken Sie auf Weiter Aktivieren Sie auf der Seite Unternehmenszerrtifikat die Option ber vorhandenes Unternehmenszertifikat wiederherstellen Klicken Sie auf Importieren um die gesicherte Zertifikatsdatei auszuw hlen die das g ltige Unternehmenszertifikat enth lt Sie werden aufgefordert das f r den Zertifikatsspeicher definierte Kennwort einzugeben Geben Sie das Kennwort ein und klicken Sie auf OK Best tigen Sie die angezeigte Meldung mit Ja Das Unternehmenszertifikat wird importiert Klicken Sie auf Weiter dann auf Beenden Die Datenbankkonfiguration ist wiederhergestellt 37 SafeGuard Enterprise 6 Testen der Kommunikation Wenn SafeGuard Enterprise Server die Datenbank und das SafeGuard Management Center eingerichtet sind sollten Sie einen Verbindungstest durchf hren Dieser Abschnitt beschreibt die erforderlichen Schritte 6 1 Voraussetzungen Vor dem Verbindungstest m ssen folgende Einstellungen gemacht bzw gepr ft werden 6 1 1 Ports Verbindungen Die Endpoints m ssen folgende Verbindungen aufbauen SafeGuard Endpoint Port Verbindung zu SafeGuard Enterprise Port 8
20. zum SafeGuard Enterprise Server SafeGuard Enterprise Richtlinien werden im SafeGuard Management Center erstellt und in Konfigurationspakete exportiert Die Verteilung der Konfigurationspakete kann ber firmeneigene Software Verteilungsmechanismen erfolgen oder das Konfigurationspaket wird manuell auf den Endpoints installiert F r die verschiedenen Endpoint Typen stehen unterschiedliche Pakete und Module zur Verf gung Einschr nkungen Beachten Sie die in den folgenden Abschnitten beschriebenen Einschr nkungen f r SafeGuard Enterprise auf Endpoints 49 SafeGuard Enterprise 9 2 1 Einschr nkungen f r zentral verwaltete Endpoints Beachten Sie folgende Einschr nkungen f r zentral verwaltete Endpoints Einschr nkungen f r die Initialverschl sselung Im Rahmen der initialen Konfiguration von zentral verwalteten Endpoints k nnen Verschl sselungsrichtlinien erstellt werden die in einem Konfigurationspaket an die durch SafeGuard Enterprise gesch tzten Endpoints verteilt werden k nnen Wenn der durch SafeGuard Enterprise gesch tzte Endpoint jedoch nicht direkt nach der Installation des Konfigurationspakets eine Verbindung mit dem SafeGuard Enterprise Server herstellt sondern vor bergehend offline ist werden nur Verschl sselungsrichtlinien mit den folgenden spezifischen Einstellungen sofort wirksam Ger teschutz vom Typ volume basierend unter Anwendung des definierten Computerschl ssels als Verschl sselungsschl
21. 0 TCP Server Port 443 bei Benutzung der SSL Transportverbindung Das SafeGuard Management Center muss folgende Verbindungen aufbauen SafeGuard Management Port Center Verbindung zu SaL parengank SQL Server 2012 dynamischer Port Port 1433 TCP und Port 1434 TCP Active Directory Port 389 TCP SLDAP Port 636 f r den Active Directory Import Der SafeGuard Enterprise Server muss folgende Verbindungen aufbauen SafeGuard Enterprise Server Verbindung zu SQL Datenbank Port 1433 TCP und Port 1434 TCP f r SQL 2012 Express dynamic port Active Directory Port 389 TCP 38 Installationsanleitung 6 1 2 Authentisierungsmethode 6 1 3 6 2 1 ffnen Sie auf dem Computer auf dem SafeGuard Enterprise Server installiert ist den Internet Information Services IIS Manager Klicken Sie in der Baumstruktur auf Internet Information Services Manager Klicken Sie auf Servername Websites Standard Website Klicken Sie mit der rechten Maustaste auf SGNSRV und klicken Sie auf Eigenschaften Klicken Sie auf die Registerkarte Verzeichnissicherheit Klicken Sie unter Authentifizierung und Zugriffssteuerung auf Bearbeiten In Authentifizierungsverfahren w hlen Sie Anonymen Zugriff aktivieren Deaktivieren Sie unter Authentifizierter Zugriff das Kontrollk stchen Integrierte Windows Authentifizierung Proxyserver Einstellungen f r Webserver und Endpoint Definieren Sie die Proxyserver Einstellungen w
22. 6x auf einem Computer zu installieren auf dem bereits SafeGuard Enterprise 7 0 installiert ist wird die Installation mit einer Fehlermeldung abgebrochen Kompatibilit t mit SafeGuard PrivateCrypto und SafeGuard PrivateDisk SafeGuard Enterprise 7 0 und die Standalone Produkte SafeGuard PrivateCrypto ab Version 2 30 sowie SafeGuard PrivateDisk ab Version 2 30 k nnen gleichzeitig auf einem Computer installiert sein Sowohl SafeGuard PrivateCrypto als auch SafeGuard PrivateDisk k nnen dann das SafeGuard Enterprise Schl sselmanagement mit benutzen Kompatibilit t mit SafeGuard RemovableMedia Die Komponente SafeGuard Data Exchange und SafeGuard RemovableMedia k nnen nicht zusammen auf einem Computer installiert werden Bevor Sie das SafeGuard Data Exchange auf einem Endpoint installieren pr fen Sie ob SafeGuard RemovableMedia bereits installiert ist In diesem Fall m ssen Sie SafeGuard RemovableMedia deinstallieren bevor Sie SafeGuard Data Exchange installieren Lokale Schl ssel die vor dem Wechsel zu SafeGuard Data Exchange mit einer SafeGuard RemovableMedia Version vor 1 20 erzeugt wurden k nnen auf durch SafeGuard Enterprise gesch tzte Computer benutzt werden Sie werden jedoch nicht automatisch an die SafeGuard Enterprise Datenbank bertragen Kompatibilit t mit Sophos Enterprise Console Wenn Sie die Verschl sselung mit Sophos Enterprise Console SEC verwalten installieren Sie den SafeGuard Enterprise Server oder ein
23. Abonnement f r Linz erzeugen Die neuen Datenbanken Graz und Linz erscheinen daraufhin in den Abonnements im SQL Konfigurationsassistenten 4 Schlie en Sie den SQL Konfigurationsassistenten Die Replikations berwachung zeigt ob der Replikationsmechanismus korrekt l uft 5 Stellen Sie sicher dass Sie den korrekten Datenbanknamen in der ersten Zeile des SQL Skripts eingeben Verwenden Sie zum Beispiel Graz oder Linz 6 Erzeugen Sie nochmal die Snapshots mit dem Snapshot Agenten Die Replikationsdatenbanken Graz und Linz wurden angelegt Installieren und Registrieren von SafeGuard Enterprise Servern Um SafeGuard Enterprise Server auf den Web Servern zu installieren gehen Sie wie folgt vor 1 Installieren Sie SafeGuard Enterprise Server auf dem Server WS_1 2 Installieren Sie SafeGuard Enterprise Server auf dem Server WS_2 3 Registrieren Sie beide Server im SafeGuard Management Center Im Men Extras klicken Sie auf Konfigurationspakete und dann auf Server Auf der Registerkarte Server klicken Sie auf Hinzuf gen 4 Sie werden dazu aufgefordert die Serverzertifikate ws_1 cer und ws_2 cer hinzuzuf gen Sie finden die Zertifikate im Ordner Program Files Sophos Sophos SafeGuard MachCert Die Zertifikate werden ben tigt um die entsprechenden Konfigurationspakete zu erstellen Die SafeGuard Enterprise Server sind installiert und registriert Erzeugen der Konfigurationspakete f r die Datenbank Graz Erzeugen Sie
24. Challenge Response und File Encryption Folgendes wird durch den Befehl installiert Die Endpoints werden mit den notwendigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware ausgestattet Anmeldung an die Endpoints mit dem Windows 7 Credential Provider SafeGuard BitLocker Unterst tzung SafeGuard Challenge Response f r BitLocker Recovery SafeGuard File Encryption mit dateibasierender Verschl sselung von Daten auf der lokalen Festplatte und auf Netzwerkfreigaben Das Konfigurationspaket das den Endpoint als zentral verwalteten Endpoint konfiguriert und eine Verbindung zum SafeGuard Enterprise Server erm glicht Log Dateien werden erzeugt 9 6 Sl Installationsanleitung Beispielbefehl msiexec i F Software SGxClientPreinstall msi qn log I Temp SGxClientPreinstall log msiexec i F Software SGNClient msi qn log I Temp SGNClient log ADDLOCAI C1ient BaseEncryption CredentialProvider BitLockerSupport BitLockerSupportCR FileShare Installdir C Program Files Sophos SafeGuard Enterprise msiexec i F Software SGNConfig_managed msi qn log I Temp SGNConfig_managed log Lokales Installieren der Verschl sselungssoftware f r Mac Informationen zur Installation der Verschl sselungssoftware auf Mac OS X Clients finden Sie in der Sophos SafeGuard File Encryption for Mac Administratorhilfe und in der Sophos SafeGuard Native Device Encryption for Mac Admi
25. Erstellen Sie ein neues Zertifikat a Der Zertifikatsname muss dem Computer entsprechen der im Internetinformationsdienste IIS Manager im obersten Knoten angezeigt wird b Behalten Sie den Standardwert f r die Schl ssell nge bei c Geben Sie ein Kennwort ein d Klicken Sie auf OK 7 Speichern Sie die cert und p12 Dateien an einem Speicherort der vom Computer erreichbar ist auf dem der IIS installiert ist 1 3 4 1 39 138 7 3 6 1 Installationsanleitung Verwenden eines PKl generierten Zertifikats Wollen Sie ein PKlI generiertes Zertifikat f r die SSL Kommunikation verwenden erstellen Sie ein Zertifikat f r den Computer auf dem der SafeGuard Enterprise Server l uft Die folgenden Anforderungen sind gegeben Der Zertifikatsname muss dem Computer entsprechen der im Internetinformationsdienste IIS Manager im obersten Knoten angezeigt wird Der FQDN Name des Computers muss bei der Ausstellung des Zertifikats verwendet werden Hinweis Wenn nur ein von einer PKI erstelltes Zertifikat aber keine PKI Infrastruktur verf gbar ist k nnen Sie das Zertifikat nicht verwenden um die Kommunikation mit SSL zu sichern In diesem Fall m ssen Sie eine PKI aufsetzen oder ein selbst signiertes Zertifikat erstellen Konfigurieren der SCNSRV Webseite ein Zertifikat zu akzeptieren Voraussetzung Ein g ltiges Zertifikat um SSL zu verwenden ist verf gbar Hinweis Die folgende Beschreibung bezieht sich auf Microsoft
26. Festplatten diesem Standard m glichst genau entspricht werden bei der Installation von SafeGuard Enterprise auf dem Endpoint zwei Arten von Pr fungen durchgef hrt Funktionale Pr fungen Hier wird u a gepr ft ob sich die Festplatte als OPAL Festplatte identifiziert ob Kommunikationseinstellungen korrekt sind und ob alle f r SafeGuard Enterprise erforderlichen Opal Features von der Festplatte unterst tzt werden Sicherheitspr fungen Mit Sicherheitspr fungen wird sichergestellt dass nur SafeGuard Enterprise Benutzer auf der Festplatte registriert sind und dass nur SafeGuard Enterprise Benutzer die Schl ssel f r die software basierende Verschl sselung von nicht selbst verschl sselnden Laufwerken haben Wird bei der Installation festgestellt dass andere Benutzer registriert sind versucht SafeGuard Enterprise automatisch diese zu deaktivieren Diese Funktionalit t wird durch den Opal Standard gefordert Ausgenommen sind hier einige wenige Standard Authorities die f r den Betrieb eines Opal Systems erforderlich sind Hinweis Diese Sicherheitspr fungen werden wiederholt wenn nach einer erfolgreichen Installation im Opal Modus eine Verschl sselungsrichtlinie f r die Festplatte angewendet wird Schlagen diese fehl so haben seit der ersten Pr fung bei der Installation au erhalb von SafeGuard Enterprise Eingriffe in die Laufwerksverwaltung stattgefunden In diesem Fall sperrt SafeGuard Enterprise nicht die Opal Festpl
27. Management Centers am SQL Server authentisieren Es gibt folgende M glichkeiten Windows Authentisierung Ernennen Sie einen vorhandenen Windows Benutzer zum SQL Benutzer SQL Authentisierung Richten Sie ein SQL Benutzerkonto ein Fragen Sie Ihren SQL Administrator welche Form der Authentisierung f r Sie als Sicherheitsbeauftragter vorgesehen ist Sie ben tigen diese Information vor der Erzeugung der Datenbank und vor der Erstkonfiguration des SafeGuard Management Centers im SafeGuard Management Center Konfigurationsassistenten Verwenden Sie SQL Authentisierung f r Computer die sich nicht in einer Dom ne befinden Ansonsten verwenden Sie Windows Authentisierung Wenn Sie SQL Authentisierung einsetzen empfehlen wir die Verbindung zu und vom Datenbankserver durch SSL zu sichern Weitere Informationen finden Sie unter Einrichten von SSL Seite 40 Installationsanleitung 4 1 1 Datenbankzugriffsrechte SafeGuard Enterprise ist so eingerichtet dass es f r das Zusammenspiel mit der SQL Datenbank nur ein einziges Benutzerkonto mit minimalen Zugriffsberechtigungen auf die Datenbank ben tigt Dieses Benutzerkonto wird vom SafeGuard Management Center genutzt und lediglich auf den ersten Sicherheitsbeauftragten des SafeGuard Management Centers ausgestellt Damit ist die Verbindung zur SafeGuard Enterprise Datenbank gew hrleistet W hrend des Betriebs von SafeGuard Enterprise ben tigt ein einziger Sicherheitsbeauftragter des SafeGuar
28. Namen erstellen Geben Sie einen Namen f r die neue Datenbank ein Sie ben tigen dazu die entsprechenden SQL Zugriffsberechtigungen siehe Datenbankzugriffsrechte Seite 17 Um Probleme zu vermeiden sollten in SafeGuard Enterprise Datenbanknamen nur folgende Zeichen verwendet werden Buchstaben A Z a Z Zahlen 0 9 Unterstriche _ Wenn bereits eine Datenbank angelegt wurde oder wenn Sie das SafeGuard Management Center bereits auf einem anderen Computer installiert haben klicken Sie auf Folgende bestehende Datenbank w hlen und w hlen Sie die entsprechende Datenbank aus der Liste aus 2 Klicken Sie auf Weiter Erstellen eines Haupt Sicherheitsbeauftragten Master Security Officer MSO Als Sicherheitsbeauftragter melden Sie sich am SafeGuard Management Center an um SafeGuard Enterprise Richtlinien zu erstellen und die Verschl sselungssoftware f r die Endbenutzer zu konfigurieren 29 SafeGuard Enterprise 9 4 6 1 9 4 6 2 30 Der Haupt Sicherheitsbeauftragte MSO ist der Administrator h chster Ebene mit allen Rechten und einem Zertifikat das nicht abl uft 1 Geben Sie auf der Seite Daten des Sicherheitsbeauftragten unter Haupt Sicherheitsbeauftragten ID einen Namen f r den Haupt Sicherheitsbeauftragten ein 2 F hren Sie auf der Seite Zertifikat f r den Haupt Sicherheitsbeauftragten einen der folgenden Schritte aus a Klicken Sie auf Erzeugen um ein neues Zertifikat f r den Haupt Sicherheitsbea
29. SOPHOS Security made simple SafeGuard Enterprise Installationsanleitung Produktversion 7 Stand Dezember 2014 Inhalt 1 ber SafeGuard Enterprise uennesssesusssuansnsusnnnunnnnnnunnnnnnnnnnnnnnnnnnnennnnnennnnen 4 1 1 SafeGuard Enterprise Komponenten uerssssnsssennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nenn 4 2 Erste Schritte ianen SENEEEEFEENERLERE ESIEEEFELTENPERSCELFILEEEFUEPSIREFFEUNEEFPFFSPEITFERSEU 7 2 1 _Instalationsehitte niinniin nein 7 2 2 berpr fen der Systemanforderungen uuueeeseessneeesnansnnennnennnnnnnnnnnnnnennnnnn 8 2 3 Installer Download urss40usnnneennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnn 8 2 4 Sprache der Benutzeroberfl che 4ssrssnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnn 8 2 5 Kompatibilit t mit weiteren Sophos Produkten nessssensnnennsnnnnnnnnnnnnnnnnnn 9 2 6 Allgemeine Einschr nkungen ur snsusssneenssnnennnnnnnnnnnnnnnnnnnnnnn nn nnnnnnnn mann 10 3 Einrichten des SafeGuard Enterprise Servers unsessseennnnnnnnsnnnnnnnnnnnnnnnnnnnnn mann 12 3 1 Voraussetzungen ns ae ieeene 12 3 2 Installation und Konfiguration von Microsoft Internet Information Services Sjina 13 3 3 Installieren von SafeGuard Enterprise Server nesnseennnneennnnennnnnnnnnnnnnn 15 4 Einrichten einer SafeGuard Enterprise Datenbank nersssennsnnensnnnnnnnnnnnnnnnnn nn 16 4 1 Datenbank Authentisierung
30. SafeGuard Management Center nicht auf einem Server auf dem der SEC Management Server installiert ist Allgemeine Einschr nkungen Beachten Sie folgende allgemeine Einschr nkungen f r SafeGuard Enterprise auf Endpoints SafeGuard Enterprise for Windows unterst tzt keine Apple Hardware und kann nicht in einer Boot Camp Umgebung installiert werden Installationsanleitung Wenn auf dem Endpoint Intel Advanced Host Controller Interface AHCI benutzt wird muss sich die Boot Festplatte in Slot O oder Slot 1 befinden Sie k nnen bis zu 32 Festplatten einlegen SafeGuard Enterprise l uft nur auf den ersten beiden Slot Nummern SafeGuard volume basierende Verschl sselung f r Volumes die sich auf dynamischen Datentr gern oder auf GUID Partitionstabellen GPT Platten befinden wird nicht unterst tzt Die Installation bricht in diesen F llen ab Wenn diese Platten auf dem Endpoint gefunden werden werden sie nicht unterst tzt Systeme mit Festplatten die ber einen SCSI Bus angeschlossen sind werden von der SafeGuard Festplattenvollverschl sselung SafeGuard volume basierende Verschl sselung und BitLocker Unterst tzung nicht unterst tzt Der schnelle Benutzerwechsel wird nicht unterst tzt Der Einsatz von SafeGuard Enterprise in einer Terminal Server Umgebung wird nicht unterst tzt 11 SafeGuard Enterprise 3 3 1 12 Einrichten des SafeGuard Enterprise Servers Der SafeGuard Enterprise Server stellt die Sch
31. Schl ssel Zertifikate Informationen zu Benutzern Microsoft SQL Server und Computern Ereignisse und die Richtlinieneinstellungen Zugriff Datenbank auf die Datenbank en ben tigt der SafeGuard Enterprise Server und ein einziger Sicherheitsbeauftragter des SafeGuard Management Centers meist der Haupt Sicherheitsbeauftragte MSO Die Erzeugung und Konfiguration der SafeGuard Enterprise Datenbank en kann ber einen Assistenten oder ber Skripte erfolgen SafeGuard Enterprise Server Microsoft Internet Information Services ISS NET Framework 4 und auf IIS basiertem Webserver ASP NET 4 sind erforderlich Der f r SafeGuard Enterprise eingesetzte Webserver muss auf Internet Information Services IIS basieren Wir empfehlen den Einsatz eines dedizierten IIS f r SafeGuard Enterprise Server SafeGuard Enterprise Komponente Beschreibung Der SafeGuard Enterprise Server ist die Schnittstelle zwischen Datenbank und SafeGuard Enterprise Endpoints Der SafeGuard Enterprise Server sendet auf Anfrage SafeGuard Enterprise Richtlinieneinstellungen an die Endpoints Er ben tigt Zugriff auf die Datenbank Er l uft als Anwendung auf einem Microsoft Internet Information Services IIS basierten Webserver Basic Authentication und ASP NET 4 5 Wenn Sie NET 4 5 verwenden und SSL als Transportverschl sselungsmethode f r die Client Server Kommunikation w hlen installieren Sie die Rolle Basic Authentication zus tzlich zu ASRNET 4 5
32. Sie die Microsft SQL Server Authentisierung f r den SafeGuard Enterprise Haupt Sicherheitsbeauftragten SafeGuard Enterprise Datenbank en ber Skripte Datenbank Skripte im Verzeichnis erzeugen Tools Database Scripts der Produktlieferung SafeGuard Enterprise Shit Beschreibung Installieren Sie die Management Konsole SafeGuard Management Center f r die zentrale Verwaltung von Benutzern Computern Richtlinien Schl sseln und Berichten Paket Tool SGNManagementCenter msi Konfigurieren Sie das SafeGuard Management Center Datenbank und Datenbankserver Verbindungen Zertifikate Anmeldeinformationen f r den Haupt Sicherheitsbeauftragten Registrieren und konfigurieren Sie den SafeGuard Enterprise Server Erzeugen Sie das Server Konfigurationspaket und installieren Sle es auf dem IIS Server SafeGuard Management Center Konfigurationsassistent Konfigurationspakete Funktion im SafeGuard Management Center Erstellen Sie die Organisationsstruktur aus Active Directory oder manuell Vorbereiten der Endpoints f r die Verschl sselung SafeGuard Management Center SGxClientPreinstall msi Erstellen Sie das erste Konfigurationspaket f r die Endpoint Konfiguration Installieren Sie die Verschl sselungssoftware und das Konfigurationspaket auf den Endpoints Konfigurationspakete Funktion im SafeGuard Management Center F r Informationen zu den verf gbaren Paketen siehe Zentra
33. Sie die SSL Verschl sselung in SafeGuard Enterprise Verbindung zwischen Web Server und Datenbankserver Aktivieren Sie SSL Verschl sselung w hrend der Registrierung des SafeGuard Enterprise Servers im SafeGuard Management Center Konfigurationspakete Werkzeug Weitere Informationen finden Sie unter Konfigurieren der Datenbankserververbindung Seite 28 oder unter http www sophos com de de support knowledgebase 1090 12 aspx F r die Verbindung zwischen Datenbankserver und SafeGuard Management Center Aktivieren Sie die SSL Verschl sselung im SafeGuard Management Center Konfigurationsassistenten siehe Konfigurieren der Datenbankserververbindung Seite 28 Verbindung zwischen SafeGuard Enterprise Server und durch SafeGuard Enterprise gesch tzte Endpoints Aktivieren Sie die SSL Verschl sselung beim Erzeugen des Konfigurationspakets f r den durch SafeGuard Enterprise verwalteten Endpoint im SafeGuard Management Center Konfigurationspakete Werkzeug siehe Erzeugen eines Konfigurationspakets f r zentral verwaltete Computer Seite 53 N here Informationen wie SSL am SafeGuard Enterprise Server und dem durch SafeGuard Enterprise gesch tzten Endpoint zu konfigurieren ist entnehmen sie der Sichern der Kommunikation zwischen Server und Endpoint mit SSL Seite 41 Sie k nnen die SSL Verschl sselung f r SafeGuard Enterprise w hrend der Erstkonfiguration der SafeGuard Enterprise Komponenten oder zu einem sp teren Zeitpunkt ei
34. Verschl sselungspaket und welche Features installiert werden sollen So f hren Sie eine lokale Installation der Verschl sselungssoftware durch 1 Melden Sie sich an dem Endpoint als Administrator an 57 SafeGuard Enterprise 9 5 3 58 Wenn Sie auf einem Endpoint LAN Crypt 3 7x installiert haben und SafeGuard Data Exchange installieren m chten installieren Sie zuerst die Kompatibilit tskomponente SGFileEncCompLayer msi oder SGFileEncCompLayer_x64 msi Sie finden die Komponente in Ihrer Produktlieferung Weitere Informationen finden Sie unter Kompatibilit t mit SafeGuard LAN Crypt Seite 9 Installieren Sie das aktuelle Pr Installationspaket SGxClientPreinstall msi das den Endpoint mit den n tigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware ausstattet Hinweis Alternativ k nnen Sie auch die Datei veredist_x86 exe installieren die Sie hier herunterladen k nnen http www microsoft com downloads details aspx FamilyID 766a6af7 ec73 40ff b072 9112bab119c2 oder stellen Sie sicher dass MSVCR100 d11 im Ordner Windows WinSxS folder auf dem Computer vorhanden ist Doppelklicken Sie auf dem relevanten Verschl sselungssoftwarepaket MSI Ein Assistent f hrt Sie durch die notwendigen Schritte bernehmen Sie im Assistenten in allen folgenden Dialogen die Standardeinstellungen Hinweis Bei einer Erstinstallation empfehlen wir von Beginn an eine Vollst nd
35. allieren Sie das SafeGuard Management Center siehe auch Installieren des SafeGuard Management Center Seite 26 2 Installieren Sie den SafeGuard Enterprise Server siehe auch Installieren von SafeGuard Enterprise Server Seite 15 3 Testen Sie die Kommunikation zwischen SafeGuard Enterprise Server und der SQL Datenbank mit dem Aufruf Test Nachdem Sie diese Konfigurationsschritte erfolgreich abgeschlossen haben importieren Sie das Zertifikat das f r die SSL Kommunikation verwendet werden soll Sie k nnen entweder ein selbst signiertes Zertifikat oder ein bestehendes verwenden Wenn Sie ber eine PKI Infrastruktur verf gen k nnen Sie ein PKI generiertes Zertifikat verwenden Verwenden eines selbst signierten Zertifikats Um ein selbst signiertes Zertifikat mit SafeGuard Enterprise zu erstellen 1 ffnen Sie den Internetinformationsdienste IIS Manager auf dem Computer auf dem der SafeGuard Enterprise Server gehostet wird 2 berpr fen Sie den Namen des Servers der am obersten Knoten angezeigt wird 3 Auf dem Computer auf dem das SafeGuard Management Center installiert ist w hlen Sie Programme Sophos SafeGuard und SafeGuard Enterprise Zertifikatsverwaltung Die SafeGuard Enterprise Zertifikatsverwaltung wird angezeigt 4 Geben Sie Ihr Kennwort ein um den SafeGuard Zertifikatspeicher zu ffnen 5 Klicken Sie die Schaltfl che Neues Zertifikat erzeugen Der Dialog Neues Zertifikat erzeugen wird angezeigt 6
36. anager auf Rollen bersicht und klicken Sie dann auf Rollen hinzuf gen 3 Verifizieren Sie auf der Vorbemerkungen Seite des Rollen hinzuf gen Assistenten Folgendes Das Administratorenkonto hat ein sicheres Kennwort a Die Netzwerkeinstellungen z B IP Adressen sind konfiguriert a Die neuesten Windows Sicherheits Updates sind installiert 4 W hlen Sie Rollen ausw hlen auf der rechten Seite und dann Webserver IIS Klicken Sie auf der folgenden Seite auf Erforderliche Features hinzuf gen Seite Webserver IIS ist im Navigationsbereich des Rollen hinzuf gen Assistenten aufgelistet 5 Klicken Sie auf Webserver IIS und dann auf Rollendienste Behalten Sie die Standard Rollendienste bei 6 W hlen Sie auf der rechten Seite zus tzlich Folgendes ASP NET dadurch werden alle notwendigen untergeordneten Rollendienste ebenfalls ausgew hlt 7 W hlen Sie IIS Management Scripts and Tools Dies ist f r die richtige IIS 7 Konfiguration erforderlich 8 Klicken Sie auf Weiter dann auf Installieren und dann auf Schlie en IIS wird mit einer Standardkonfiguration zum Hosten von ASP NET installiert 9 berpr fen Sie mit http lt server name gt ob die Web Seite korrekt angezeigt wird Weitere Informationen finden Sie unter http support microsoft com Pr fen der NET Framework Registrierung bei IIS 7 NET Framework Version 4 ist erforderlich Sie finden das Programm in der SafeGuard Enterprise Produktlieferung
37. asmx checkConnection E wechseinzu Links gt lt xml version 1 0 encoding utf 8 gt lt string mins http utimaco org gt lt Dataroot gt lt WebService gt OK lt WebService gt lt DBAuth gt OK lt DBAuth gt lt Dataroot gt lt string gt 39 SafeGuard Enterprise 40 7 Sichern von Transportverbindungen mit Sol 71 SafeGuard Enterprise unterst tzt zur Erh hung der Sicherheit die Verschl sselung der Transportverbindungen zwischen den einzelnen Komponenten mit SSL Die Verbindung zwischen dem Datenbankserver und dem Web Server sowie die Verbindung zwischen dem Datenbankserver und dem Computer auf dem das SafeGuard Management Center installiert ist kann mit SSL verschl sselt werden Die Verbindung zwischen dem SafeGuard Enterprise Server und dem von SafeGuard Enterprise verwalteten Computer kann entweder mit SSL oder mit SafeGuard spezifischer Verschl sselung verschl sselt werden Der Vorteil bei SSL ist dass es sich um ein Standardprotokoll handelt und daher eine schnellere Verbindung aufgebaut werden kann als mit der SafeGuard Transportverschl sselung Mac Um die Verbindung zwischen dem SafeGuard Enterprise Server und Mac Endpoints abzusichern muss SSL verwendet werden Hinweis Wir empfehlen dringend die SSL verschl sselte Kommunikation zu verwenden es sei denn es handelt sich um Demo oder Test Installationen Falls dies nicht m glich ist und die SafeGuard spezifische Verschl sselung verwendet w
38. atte Es wird eine entsprechende Meldung angezeigt Sollten einige dieser Pr fungen ohne Recovery M glichkeit fehlschlagen so wird f r die Installation nicht die software basierende Verschl sselung angewendet Stattdessen bleiben alle Volumes auf der Opal Festplatte unverschl sselt Ab SafeGuard Enterprise Version 7 werden standardm ig keine Opal Pr fungen durchgef hrt Das bedeutet Auch wenn ein Opal Laufwerk vorhanden ist verschl sselt SafeGuard Enterprise Volumes auf diesem Laufwerk mit softwarebasierter Verschl sselung Wenn Sie erzwingen m chten dass Opal Pr fungen durchgef hrt werden verwenden Sie folgende Kommandozeilensyntax MSIEXEC i lt name_of_selected_client_msi gt msi OPALMODE 0 Hinweis Mit einem Upgrade von SafeGuard Enterprise 6 x auf SafeGuard Enterprise 7 0 auf einem System mit einer Opal HDD die im Opal HW Verschl sselungsmodus betrieben wird bleibt dieser Verschl sselungsmodus erhalten Bei einigen Opal Festplatten bestehen u U Sicherheitsprobleme Es besteht keine M glichkeit automatisch festzustellen welche Privilegien unbekannten Benutzern Authorities zugeordnet sind die bereits zum Zeitpunkt der SafeGuard Enterprise Installation Verschl sselung registriert waren Wenn die Festplatte den Befehl diese Benutzer zu deaktivieren nicht ausf hrt wendet SafeGuard Enterprise die software basierende Verschl sselung an um die gr tm gliche Installationsanleitung Siche
39. ature Parents Feature CredentialProvider Obligatorisch Das Feature dient zur Anmeldung ber den Credential Provider Client BaseEncryption SectorBasedEncryption SafeGuard Volume Based Encryption Hinweis Es kann entweder SectorBasedEncryption ODER BitLockerSupport angegeben werden 62 Installationsanleitung Feature Parents Feature Client BaseEncryption BitLockerSupport BitLocker Client BaseEncryption BitLockerSupport BitLockerSupportCR BitLocker C R SecureDataExchange Data Exchange FileShare File Encryption CloudStorage Cloud Storage 9 5 3 5 Beispielbefehl SafeGuard volume basierende Verschl sselung mit File Encryption Folgendes wird durch den Befehl installiert Die Endpoints werden mit den notwendigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware ausgestattet Anmeldung an die Endpoints mit dem Windows 7 Credential Provider SafeGuard Enterprise Power on Authentication POA SafeGuard Enterprise volume basierende Verschl sselung SafeGuard File Encryption mit dateibasierender Verschl sselung von Daten auf der lokalen Festplatte und auf Netzwerkfreigaben Das Konfigurationspaket das den Endpoint als zentral verwalteten Endpoint konfiguriert und eine Verbindung zum SafeGuard Enterprise Server erm glicht Log Dateien werden erzeugt Beispielbefehl msiexec i F Software SGxClientPreinstall msi qn log I T
40. d Management Center konfigurieren um Sicherheitsbeauftragten den Zugriff f r die Durchf hrung administrativer Aufgaben auf verschiedenen Computern zu erm glichen Das SafeGuard Management Center kann auf jedem Rechner im Netzwerk installiert sein von wo aus auf die Datenbank zugegriffen werden kann SafeGuard Enterprise verwaltet die Zugriffsrechte auf das SafeGuard Management Center in einem eigenen Zertifikatsverzeichnis In diesem Verzeichnis m ssen die Zertifikate aller Sicherheitsbeauftragten die sich am SafeGuard Management Center anmelden d rfen vorhanden sein F r die Anmeldung an das SafeGuard Management Center ist dann nur das Kennwort f r den Zertifikatsspeicher erforderlich 1 Installieren Sie SGNManagementCenter msi mit den gew nschten Features auf einem weiteren Computer 2 Starten Sie das SafeGuard Management Center auf dem Computer mit dem neu installierten SafeGuard Management Center Der Konfigurationsassistent wird gestartet und f hrt Sie durch die notwendigen Schritte 3 Klicken Sie auf der Willkommen Seite auf Weiter 4 W hlen Sie im Dialog Datenbankverbindung unter Datenbankserver die erforderliche SQL Datenbankinstanz aus der Liste aus Alle auf Ihrem Computer oder Netzwerk verf gbaren Datenbankserver werden angezeigt W hlen Sie unter Authentisierung die Art der Authentisierung die f r den Zugriff auf diese Datenbankinstanz benutzt werden soll Wenn Sie Folgende Anmeldeinformationen f r SQL Server Au
41. d Management Centers nur die Lese Schreib Berechtigung f r die SafeGuard Enterprise Datenbank Die SafeGuard Enterprise Datenbank kann entweder manuell oder automatisch w hrend der Erstkonfiguration im SafeGuard Management Center erzeugt werden Soll die Datenbank automatisch erstellt werden so sind f r den ersten SafeGuard Management Center Sicherheitsbeauftragten erweiterte Zugriffsrechte f r die SQL Datenbank db_creator erforderlich Diese Berechtigungen k nnen dem Sicherheitsbeauftragten danach vom SQL Administrator aber wieder bis zur n chsten Installation Aktualisierung entzogen werden Wenn die Erweiterung der Rechte w hrend der Installation des SafeGuard Management Centers nicht gew nscht ist kann der SQL Administrator die SafeGuard Enterprise Datenbank per Skript erzeugen Dazu k nnen die beiden Skripte CreateDatabase sql und CreateTables sql aus der Produktlieferung ausgef hrt werden Die folgende Tabelle zeigt die notwendigen SQL Berechtigungen f r die unterschiedlichen Versionen von Microsoft SQL Server SQL Server 2012 SQL Server 2012 Express Zugriffsberechtigung Datenbank erstellen Server db_creator Master Datenbank keine SafeGuard Enterprise Datenbank db_ownerpublic Standard Datenbank benutzen Server keine Master Datenbank keine SafeGuard Enterprise Datenbank db_datareader db_datawriter public Standard 17 SafeGuard Enterprise 4 1 2 Konfigurieren eines Windows Benut
42. dard oder Express Edition Um die Kommunikation zwischen dem SafeGuard Enterprise Server und der SafeGuard Enterprise Datenbank bei Anwendung der Windows Authentisierung zu erm glichen muss der Benutzer zu einem Mitglied von Active Directory Gruppen gemacht werden Die Berechtigungen f r lokale Dateien m ssen angepasst werden und das SQL Benutzerkonto muss in den Anwendungspool des IIS aufgenommen werden 1 W hlen Sie Start und dann Ausf hren Geben Sie dsa msc ein ffnen Sie das Active Directory Users and Computers Snap in 2 Klappen Sie in der Navigationsstruktur auf der linken Seite die Dom nenstruktur aus und w hlen Sie Builtin 3 F gen Sie den relevanten Windows Benutzer zu folgenden Gruppen hinzu IIS_IUSRS Performance Log Users Performance Monitor Users 4 Beenden Sie das Snap in 20 21 Installationsanleitung Klicken Sie im lokalen Dateisystem im Windows Explorer mit der rechten Taste auf den C Windows Temp Ordner und w hlen Sie Eigenschaften W hlen unter Eigenschaften die Registerkarte Sicherheit Klicken Sie unter Sicherheit auf Hinzuf gen und geben Sie den relevanten Windows Benutzernamen im Feld Geben Sie die zu verwendenden Objektnamen ein ein Klicken Sie auf OK Klicken Sie unter Sicherheit bei Berechtigungen auf Erweitert Klicken Sie in der Berechtigungen Registerkarte des Dialogs Erweiterte Sicherheitseinstellungen f r Temp auf Bearbeiten Setzen Sie dann im Objekt Dialog die f
43. die Konfigurationspakete f r die Datenbank Graz ein Paket f r Server WS_1 f r die Kommunikation mit der Datenbank Graz sowie ein Paket f r die Verbindung des SafeGuard Enterprise Clients Graz mit dem Web Service WS _1 1 Klicken Sie im SafeGuard Management Center im Extras Men auf Optionen und dann auf Datenbank 2 W hlen Sie unter Verbindungseinstellungen ws_1 als Datenbankserver und Graz als Datenbank auf Server Klicken Sie auf OK 3 Klicken Sie im Extras Men auf Konfigurationspakete und dann auf Server Pakete W hlen Sie den Serverws_1 den Ausgabepfad und klicken Sie auf Konfigurationspaket erstellen 10 5 10 6 Installationsanleitung 4 Wechseln Sie auf die Registerkarte Pakete f r Managed Clients Klicken Sie auf Konfigurationspaket hinzuf gen und geben Sie einen Namen f r das Paket ein W hlen Sie unter Prim rer Server den korrekten Server mit dem die SafeGuard Enterprise Clients Graz verbunden werden sollen wS_1 Legen Sie den Ausgabepfad fest und klicken Sie auf Konfigurationspaket erstellen Die SafeGuard Enterprise Server und Client Konfigurationspakete f r die Datenbank Graz werden am definierten Ausgabeort erstellt Erzeugen der Konfigurationspakete f r die Datenbank Linz Sie m ssen die Konfigurationspakete f r die Datenbank Linz erzeugen Ein Paket f r Server WS_2 f r die Kommunikation mit der Datenbank Linz sowie ein Paket f r die Verbindung des SafeGuard Enterprise Clients Linz mit dem
44. drichtlinien Um den SGN Install Advisor f r neue SafeGuard Enterprise Installationen aufzurufen starten Sie SGNInstallAdvisor bat aus Ihrer Produktlieferung Ein Assistent f hrt Sie durch die Installation Aktualisierung F hren Sie die in dieser Anleitung beschriebenen Schritte durch Hinweis Nutzen Sie auch die M glichkeit SafeGuard Enterprise ber Video Tutorials kennen zu lernen Sie zeigen die Installation von SafeGuard Enterprise und stellen die Arbeit mit dem SafeGuard Management Center vor Weitere Informationen finden Sie auf unserer Website http www sophos com de de 2 1 Installationschritte Um SafeGuard Enterprise zu installieren f hren Sie die beschriebenen Installationsschritte durch Hinweis SafeGuard Enterprise for Windows unterst tzt keine Apple Hardware und kann nicht in einer Boot Camp Umgebung installiert werden Alle SafeGuard Enterprise Komponenten msi Pakete finden Sie in der Produktlieferung Shit Beschreibung Paket Tool Laden Sie die Installer herunter Installieren Sie NET Framework 4 mit ASP NET 4 Wenn Sie NET 4 5 verwenden und SSL als Transportverschl sselungsmethode f r die Client Server Kommunikation w hlen wollen installieren Sie die Rolle Basic Authentication zus tzlich zu ASP NET 4 5 Richten Sie Internet Information Services IIS f r die Anwendung mit SafeGuard Enterprise ein Installieren Sie SafeGuard Enterprise Server SGNServer msi Konfigurieren
45. e Endpoints mit verschiedenen SafeGuard Enterprise Modulen ausstatten und sie gem Ihren Anforderungen konfigurieren Sicherheitsbeauftragte k nnen die Installation und Konfiguration lokal auf den Endpoints oder im Rahmen einer zentralisierten Software Installation ausf hren Durch eine zentrale Installation wird eine standardisierte Installation auf mehreren Endpoints erreicht Zentral verwaltete Endpoints und Standalone Endpoints Endpoints k nnen folgenderma en konfiguriert werden Zentral verwaltet SafeGuard Enterprise Clients Managed Zentrale server basierte Verwaltung im SafeGuard Management Center F r zentral verwaltete Endpoints besteht generell eine Verbindung zum SafeGuard Enterprise Server Sie erhalten ihre Richtlinien ber den SafeGuard Enterprise Server Die Verbindung kann tempor r unterbrochen sein z B w hrend einer Gesch ftsreise Trotzdem ist der Endpoint auch in dieser Situation als zentral verwaltet definiert Standalone Sophos SafeGuard Clients Standalone Lokale Verwaltung durch im SafeGuard Management Center erstellte Konfigurationspakete F r Standalone Endpoints besteht nie eine Verbindung zum SafeGuard Enterprise Server Damit fehlt die Verbindung zur zentralen Verwaltung von SafeGuard Enterprise Sie werden im Standalone Modus betrieben Standalone Endpoints erhalten SafeGuard Enterprise Richtlinien ber Konfigurationspakete Diese Computer erhalten Richtlinien nie ber eine Verbindung
46. e Synchronisierung mit dem SafeGuard Enterprise Server durch Damit stellen Sie sicher dass die Richtlinienaktualisierung auf dem Computer eingegangen und aktiv ist ffnen Sie den Windows Explorer Klicken Sie mit der rechten Maustaste auf das Volume das entschl sselt werden soll und klicken Sie dann auf Verschl sselung gt Entschl sselung Stellen Sie sicher dass die Verschl sselung erfolgreich abgeschlossen werden konnte Hinweis Endpoints k nnen w hrend der Verschl sselung Entschl sselung heruntergefahren und neu gestartet werden Wenn auf die Entschl sselung die Deinstallation folgt empfehlen wir den Endpoint nicht in einen Energiesparmodus oder den Ruhezustand zu versetzen 11 2 3 Starten der Deinstallation Folgende Voraussetzungen m ssen erf llt sein 74 Verschl sselte Daten m ssen korrekt entschl sselt werden damit nach der Deinstallation Zugriff auf die Daten besteht Der Entschl sselungsvorgang muss abgeschlossen sein Die korrekte Entschl sselung ist besonders wichtig wenn die Deinstallation von Active Directory ausgel st wird Dar ber hinaus m ssen vor der Deinstallation des letzten durch SafeGuard Enterprise gesch tzten Endpoint alle verschl sselten Wechselmedien entschl sselt werden Andernfalls besteht die Gefahr dass Benutzer nicht mehr auf Ihre Daten zugreifen k nnen Solange die SafeGuard Enterprise Datenbank zur Verf gung steht k nnen die Daten auf den Wechselmedien wiederhergestell
47. e Verwaltung und klicken Sie dann auf Windows Firewall mit erweiterter Sicherheit 2 W hlen Sie in der Navigationsstruktur auf der linken Seite Eingehende Regeln 3 Klicken Sie in der Men leiste auf Aktion und dann auf Neue Regel Der Assistent f r neue eingehende Regeln wird gestartet 4 W hlen Sie auf der Regeltyp Seite Benutzerdefiniert und klicken Sie auf Weiter 5 W hlen Sie auf der Programm Seite die Programme und Dienste auf die diese Regel angewendet werden soll Klicken Sie dann auf Weiter 6 W hlen Sie auf der Protokolle und Ports Seite TCP als Protokolltyp W hlen Sie f r Lokaler Port die Option Bestimmte Ports und geben Sie 1433 ein W hlen Sie f r Remoteport die Option Alle Ports Klicken Sie auf Weiter 7 Auf der Bereich Seite k nnen Sie festlegen dass die Regel nur f r den Netzverkehr von oder an die auf dieser Seite angegebenen IP Adressen gilt Nehmen Sie die entsprechende Konfiguration vor und klicken Sie auf Weiter 8 W hlen Sie auf der Seite Aktion die Option Verbindung zulassen und klicken Sie auf Weiter 9 Geben Sie auf der Seite Profil an wo die Regel angewendet werden soll Klicken Sie dann auf Weiter 10 Geben Sie auf der Seite Name einen Namen und eine Beschreibung f r Ihre Regel ein und klicken Sie auf Beenden Konfigurieren der Windows Authentisierung f r die Anmeldung am SQL Server Diese Beschreibung bezieht sich auf Microsoft Windows Server 2008 R2 mit Microsoft SQL Server 2012 Stan
48. e der folgenden Methoden an Um eine lokale Deinstallation auf dem Endpoint durchzuf hren synchronisieren Sie diesen mit dem SafeGuard Enterprise Server Damit stellen Sie sicher dass die Richtlinienaktualisierung auf dem Computer eingegangen und aktiv ist W hlen Sie dann Start gt Systemsteuerung gt Software gt Sophos SafeGuard Client gt Entfernen Verwenden Sie f r eine zentrale Deinstallation einen Software Verteilungsmechanismus Ihrer Wahl Stellen Sie sicher dass alle erforderlichen Daten vor dem Starten der Deinstallation korrekt entschl sselt wurden 75 SafeGuard Enterprise 76 12 Technischer Support Technischen Support zu Sophos Produkten k nnen Sie wie folgt abrufen Rufen Sie das Sophos Talk Forum unter community sophos com auf und suchen Sie nach Benutzern mit dem gleichen Problem Durchsuchen Sie die Support Knowledgebase unter www sophos com de de support aspx Begleitmaterial zu den Produkten finden Sie hier www sophos com de de support documentation ffnen Sie ein Ticket bei unserem Support Team unter https secure2 sophos com support contact support support query aspx Installationsanleitung 13 Rechtliche Hinweise Copyright 1996 2014 Sophos Limited Alle Rechte vorbehalten SafeGuard ist ein eingetragenes Warenzeichen von Sophos Limited und Sophos Group Diese Publikation darf weder elektronisch oder mechanisch reproduziert elektronisch gespeichert oder bertragen noch fotokop
49. ehmens und Maschinenzertifikate sowie die Sicherheitsbeauftragten und Benutzerzertifikate 3 Klicken Sie auf Weiter Das neu angelegte Unternehmenszertifikat wird in der Datenbank gespeichert Erstellen Sie eine Sicherungskopie des Unternehmenszertifikats und legen Sie diese direkt nach der Erstkonfiguration an einem sicheren Speicherort ab Informationen zur Wiederherstellung einer besch digten Datenbankkonfiguration finden Sie unter Wiederherstellung einer besch digten Datenbankkonfiguration Seite 36 Abschlie en der Erstkonfiguration des SafeGuard Management Centers 1 Klicken Sie auf Beenden um die Erstkonfiguration des SafeGuard Management Centers abzuschlie en Eine Konfigurationsdatei wird erstellt Ergebnis a Eine Verbindung zum SafeGuard Enterprise Server a Eine SafeGuard Enterprise Datenbank a Ein Haupt Sicherheitsbeauftragten Konto f r die Anmeldung an das SafeGuard Management Center a Alle notwendigen Zertifikate f r die Wiederherstellung einer besch digten Datenbankkonfiguration oder SafeGuard Management Center Installation Sobald der Konfigurationsassistent geschlossen ist wird das SafeGuard Management Center gestartet Erstellen weiterer Datenbankkonfigurationen Multi Tenancy Voraussetzung Die Funktion Multi Tenancy muss ber eine Installation vom Typ Vollst ndig installiert worden sein Die initiale Konfiguration des SafeGuard Management Center muss durchgef hrt worden sein siehe Starten
50. einstallation der SafeGuard Enterprise Verschl sselungssoftware 73 12 Technischer Support Arsen He Eee 76 13 Rechtliche Hinweise ussussssssssnennnnnnnnnnnannnnnnnnnnnnnnnnnnnnnannnnnnnnnnn nn nn nnannnnnnn 77 SafeGuard Enterprise 1 1 1 ber SafeGuard Enterprise SafeGuard Enterprise ist eine umfassende modular aufgebaute Datensicherheitsl sung die Informationen und Informationsaustausch auf Servern PCs und mobilen Ger ten durch ein richtlinienbasiertes Verschl sselungskonzept zuverl ssig sch tzt Die zentrale Verwaltung wird im SafeGuard Management Center durchgef hrt Sicherheitsrichtlinien Schl ssel und Zertifikate Smartcards und Token k nnen ber ein rollenbasiertes Administrationskonzept bersichtlich verwaltet werden Ausf hrliche Protokollierung und Reportfunktionen gew hrleisten stets den berblick ber alle Ereignisse Auf Benutzerseite sind Datenverschl sselung und Schutz vor Angreifern die prim ren Sicherheitsfunktionen von SafeGuard Enterprise SafeGuard Enterprise f gt sich dabei nahtlos in die gewohnte Benutzerumgebung ein und l sst sich leicht und intuitiv bedienen Die SafeGuard spezifische Authentisierung die Power on Authentication POA sorgt f r umfassenden Zugriffsschutz und bietet komfortable Unterst tzung bei der Wiederherstellung von Anmeldeinformationen Hinweis Einige Features sind nicht in allen Lizenzen enthalten F r Informationen dazu was
51. eite ausw hlen L5 Skript I Hilfe LAA Allgemein 2 Serverrollen Die Serverrolle wird verwendet um einem Benutzer serverweite Sicherheitsprivilegien zu erteilen 2A Benutzerzuordnung 2 Sicherungsf hige Elemente 2 Status Serverrollen bulk admin dbcreator disk admin processadmin securityadmin serveradmin setupadmin J sysadmin OO0O00080D0 Server SRV 2003R2 DE Verbindung sa 37 Verbindungseigenschaften anzeigen Bereit Abbrechen A Das SQL Benutzerkonto und die Zugriffsberechtigungen sind damit f r den SafeGuard Enterprise Sicherheitsbeauftragten eingerichtet Erzeugen der SafeGuard Enterprise Datenbank Nachdem das Benutzerkonto f r die SQL Server Anmeldung eingerichtet ist k nnen Sie die SafeGuard Enterprise Datenbank erzeugen Hier gibt es zwei M glichkeiten Mit dem SafeGuard Management Center Konfigurationsassistenten Als Sicherheitsbeauftragter k nnen Sie die SafeGuard Enterprise Datenbank w hrend der Erstkonfiguration im SafeGuard Management Centers leicht und bequem erstellen Der SafeGuard Management Center Konfigurationsassistent f hrt Sie durch die Basiskonfiguration zu der auch die Erstellung der Datenbank geh rt Installieren und konfigurieren Sie hierzu zuerst das SafeGuard Management Center siehe Einrichten des SafeGuard Management Centers Seite 26 und ndern Sie dann die relevanten Zugriffsrechte siehe ndern der Zugriffsrechte f r d
52. ellere Verbindung aufgebaut werden kann als mit der SafeGuard Transportverschl sselung SSL Verschl sselung wird standardm ig ausgew hlt Weitere Informationen finden Sie unter Sichern von Transportverbindungen mit SSL Seite 40 Geben Sie einen Ausgabepfad f r das Konfigurationspaket MSI an Klicken Sie auf Konfigurationspaket erstellen WennsSie als Modus f r die Transportverschl sselung die SSL Verschl sselung ausgew hlt haben wird die Serververbindung validiert Wenn die Verbindung fehlschl gt wird eine Warnungsmeldung angezeigt Das Konfigurationspaket MSI wird im angegebenen Verzeichnis angelegt Im n chsten Schritt verteilen Sie das Paket zur Installation an die Endpoints 9 4 2 Erzeugen eines Konfigurationspakets f r Standalone Computer 1 Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete 53 SafeGuard Enterprise 9 4 3 54 pP w m 8 9 W hlen Sie Pakete f r Standalone Clients Klicken Sie auf Konfigurationspaket hinzuf gen Geben Sie einen beliebigen Namen f r das Konfigurationspaket ein Geben Sie eine zuvor im SafeGuard Management Center erstellte Richtliniengruppe an die f r die Computer gelten soll Geben Sie unter Speicherort f r Schl ssel Sicherungskopie einen freigegebenen Netzwerkpfad f r das Speichern der Schl ssel Recovery Datei an oder w hlen Sie einen Netzwerkpfad aus Geben Sie den freigegebenen Pfad in folgender Form ein netwo
53. em des Endpoint 64 Bit ist installieren Sie die 64 Bit Variante der Installationspakete lt Paketname gt _x64 msi Es ist zwar m glich bei einer Erstinstallation nicht alle Features zu installieren wir empfehlen jedoch das komplette SafeGuard Enterprise Paket f r die Festplattenverschl sselung von Beginn an zu installieren SGxClientPreinstall msi Inhalt Pr Installations Paket Dieses Paket muss vor der Installation eines Verschl sselungsinstallationspakets installiert werden Es stattet Endpoints mit notwendigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware aus Verf gbar f r zentral verwaltete Endpoints GV Obligatorisch Verf gbar f r Standalone Endpoints GV Obligatorisch SGNClient msi SGNClient_x64 msi SafeGuard Client Installationspaket Es stattet Endpoints mit notwendigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware aus F r die Festplattenverschl sselung von internen und externen Laufwerken bietet SafeGuard Enterprise die Alternativen SafeGuard Volume Based Encryption oder BitLocker SafeGuard Volume Based Encryption nur Windows 7 BIOS SafeGuard Festplattenverschl sselung Mit SafeGuard Power on Authentication W hlen Sie den Installationstyp Vollst ndig Typisch oder Angepasst BitLocker oder BitLocker C R SafeGuard Enterprise verwaltet das Microsoft BitLocker Verschl sse
54. ement Center 2 Klicken Sie im Extras Men auf Konfigurationspakete 3 W hlen Sie die Registerkarte Server und klicken Sie auf Diesen Computer zum SGN Server machen Das SafeGuard Enterprise Server Configuration Setup wird automatisch gestartet 4 bernehmen Sie in allen folgenden Dialogen die Standardeinstellungen Der SafeGuard Enterprise Server ist installiert Ein Server Konfigurationspaket mit der Bezeichnung lt Server gt msi wird erstellt und direkt auf dem aktuellen Computer installiert Die Serverinformationen werden in der Registerkarte Server angezeigt Sie k nnen zus tzliche Konfigurationsschritte durchf hren Hinweis Wenn Sie ein neues Server Konfigurationspaket MSI auf dem SafeGuard Enterprise Server installieren m chten deinstallieren Sie zun chst das alte Konfigurationspaket L schen Sie dar ber hinaus den Local Cache manuell so dass er mit den neuen Konfigurationsdaten z B SSL Einstellungen aktualisiert werden kann Installieren Sie dieses Konfigurationspaket auf dem Server 45 SafeGuard Enterprise 46 8 2 Registrieren und Konfigurieren des SafeGuard Enterprise Servers f r einen anderen Computer Wenn der SafeGuard Enterprise Server auf einem anderen Computer als das SafeGuard Management Center installiert wurde registrieren und konfigurieren Sie den SafeGuard Enterprise Server 1 Starten Sie das SafeGuard Management Center 2 Klicken Sie im Extras Men auf Konfigurationspakete 3 W
55. ement Center Einstellungen sowie bei der Konfiguration der Datenbankverbindung Der Assistent wird automatisch aufgerufen wenn Sie das SafeGuard Management Center zum ersten Mal nach der Installation starten Sie k nnen das SafeGuard Management Center f r die Anwendung mit einer oder mehreren Datenbank Multi Tenancy konfigurieren Hinweis Die folgenden Schritte m ssen mit dem Konfigurationsassistenten sowohl f r Single Tenancy als auch f r Multi Tenancy Konfigurationen ausgef hrt werden 9 4 1 Voraussetzungen Folgende Voraussetzungen m ssen erf llt sein Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen Halten Sie die folgenden Informationen bereit Diese erhalten Sie ggf von Ihrem SQL Administrator SQL Anmeldeinformationen Name des SQL Servers auf dem die SafeGuard Enterprise Datenbank laufen soll Name der SafeGuard Enterprise Datenbank falls diese bereits erzeugt wurde 27 SafeGuard Enterprise 9 4 2 9 4 3 5 4 4 28 Multi Tenancy Konfigurationen Sie k nnen mehrere verschiedene SafeGuard Enterprise Datenbankkonfigurationen f r eine Instanz des SafeGuard Management Center konfigurieren und verwalten Dies erweist sich vor allem dann als n tzlich wenn Sie verschiedene Konfigurationen f r verschiedene Dom nen Organisationseinheiten oder Unternehmensstandorte einsetzen m chten Hinweis Sie m ssen pro Datenbank Mandant jeweils eine separate SafeGuard Enterprise Server I
56. emp SGxClientPreinstall log msiexec i F Software SGNClient msi qn log I Temp SGNClient log ADDLOCAL Client CredentialProvider BaseEncryption SectorBasedEncryption FileShare Installdir C Program Files Sophos SafeGuard Enterprise msiexec i F Software SGNConfig_managed msi qn 109 I Temp SGNConfig_managed log 63 SafeGuard Enterprise 9 9 3 6 9 5 3 7 64 Beispielbefehl SafeGuard BitLocker Unterst tzung mit Challenge Response Folgendes wird durch den Befehl installiert Die Endpoints werden mit den notwendigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware ausgestattet Anmeldung an die Endpoints mit dem Windows 7 Credential Provider SafeGuard BitLocker Unterst tzung SafeGuard Challenge Response f r BitLocker Recovery Das Konfigurationspaket das den Endpoint als zentral verwalteten Endpoint konfiguriert und eine Verbindung zum SafeGuard Enterprise Server erm glicht Log Dateien werden erzeugt Beispielbefehl msiexec i F Software SGxClientPreinstall msi qn log I Temp SGxClientPreinstall log msiexec i F Software SGNClient msi qn log I Temp SGNClient log ADDLOCAL Client BaseEncryption CredentialProvider BitLockerSupport BitLockerSupportCR Installdir C Program Files Sophos SafeGuard Enterprise msiexec i F Software SGNConfig_managed msi qn log I Temp SGNConfig_managed log Beispielbefehl SafeGuard BitLocker mit
57. en Sie Folgendes Das Administratorenkonto hat ein sicheres Kennwort a Die Netzwerkeinstellungen z B IP Adressen sind konfiguriert a Die neuesten Windows Sicherheits Updates sind installiert 3 W hlen Sie Serverrollen im linken Fenster und w hlen Sie dann Web Server IIS Klicken Sie auf Features hinzuf gen im angezeigten Fenster Rolle Webserver IIS wird im linken Bereich des Assistent zum Hinzuf gen von Rollen und Features gelistet 4 W hlen Sie Rollendienste unter Rolle Webserver IIS Behalten Sie die Standard Rollendienste bei 5 Scrollen Sie nach unten zum Knoten Application Development und aktivieren Sie ASP NET 4 5 ISAPI Extensions ISAPI Filters Notwendige untergeordnete Rollendienste werden automatisch ausgew hlt 6 Unter dem Knoten Security aktivieren Sie Basic Authentication a Windows Authentication 7 Klicken Sie auf Weiter dann Installieren and Schlie en Ihr IIS Serverdienst ist nun mit einer Standardkonfiguration zum Hosten von ASP NET installiert Installationsanleitung 3 3 Installieren von SafeGuard Enterprise Server Nachdem der IIS konfiguriert ist k nnen Sie SafeGuard Enterprise Server auf dem IIS Server installieren Das Installationspaket SGNServer msi finden Sie in der Produktlieferung 1 Doppelklicken Sie auf dem Server auf dem Sie SafeGuard Enterprise Server installieren m chten auf SGNServer msi Ein Assistent f hrt Sie durch die notwendigen Schritte 2
58. er betreffenden Datenbankkonfiguration m ssen als p12 Dateien exportiert worden sein Die Dateien m ssen vorhanden und g ltig sein Erstellen Sie Zertifikate Backups im SafeGuard Management Center Die Kennw rter f r die beiden p12 Dateien sowie f r den Zertifikatsspeicher m ssen Ihnen bekannt sein Hinweis Diese Art der Wiederherstellung ist nur dann zu empfehlen wenn keine g ltige Sicherungskopie der Datenbank verf gbar ist Alle Computer die eine Verbindung mit einem auf diese Weise wiederhergestellten Backend herstellen verlieren ihre Benutzer Computer Zuordnung Dies hat zur Folge dass die Power on Authentication vor bergehend ausgeschaltet ist Challenge Response Mechanismen stehen erst dann wieder zur Verf gung wenn der entsprechende Endpoint seine Schl sselinformationen wieder erfolgreich bertragen hat So stellen Sie eine besch digte Datenbank wieder her 1 7 Installieren Sie das SafeGuard Management Center Installationspaket neu ffnen Sie das SafeGuard Management Center Der Konfigurationsassistent wird automatisch ge ffnet W hlen Sie auf der Datenbankverbindung Seite die Option Neue Datenbank erstellen Konfigurieren Sie unter Datenbankeinstellungen die Verbindung zur Datenbank Klicken Sie auf Weiter W hlen Sie auf der Seite Daten des Sicherheitsbeauftragten den relevanten Haupt Sicherheitsbeauftragten und klicken Sie auf Importieren Suchen Sie unter Importieren des Zertifikats die
59. ertifikatsspeicher kopieren Klicken Sie auf Vertrauensw rdige Stammzertifizierungsstellen und wiederholen Sie die Schritte 5 und 6 um eine Kopie des Zertifikats in diesem Zertifikatsspeicher zu installieren 8 8 1 Installationsanleitung Registrieren und Konfigurieren des SafeGuard Enterprise Server Zur Implementierung der Informationen f r die Kommunikation zwischen IIS Server Datenbank und dem SafeGuard gesch tzten Endpoint muss der SafeGuard Enterprise Server registriert und konfiguriert werden Die Informationen werden in einem Server Konfigurationspaket gespeichert Diesen Schritt f hren Sie im SafeGuard Management Center durch Der Workflow ist davon abh ngig ob der SafeGuard Enterprise Server auf demselben Computer wie das SafeGuard Management Center oder auf einem anderen Computer installiert ist Sie k nnen auch weitere Eigenschaften festlegen So lassen sich z B zus tzliche Sicherheitsbeauftragte f r den ausgew hlten Server hinzuf gen Sie k nnen auch die Verbindung zur Datenbank konfigurieren Registrieren und Konfigurieren des SafeGuard Enterprise Server f r den aktuellen Computer Wenn Sie das SafeGuard Management Center und SafeGuard Enterprise Server auf dem Computer mit dem Sie derzeit arbeiten installiert haben registrieren und konfigurieren Sie den SafeGuard Enterprise Server Hinweis Wenn Multi Tenancy installiert ist steht diese Option nicht zur Verf gung 1 Starten Sie das SafeGuard Manag
60. gegriffen werden 4 Erstellen Sie ein neues Server Konfigurationspaket in der Registerkarte Server Pakete 5 Deinstallieren Sie das alte Server Konfigurationspaket und installieren Sie danach das neue auf dem entsprechenden Server Die neue Server Konfiguration wird aktiv 47 SafeGuard Enterprise 48 8 4 Registrieren des SafeGuard Enterprise Servers mit aktivierter Sophos Firewall Ein durch SafeGuard Enterprise gesch tzter Endpoint kann keine Verbindung mit dem SafeGuard Enterprise Server herstellen wenn eine Sophos Firewall mit Standardeinstellungen auf dem Endpoint installiert ist Die Sophos Firewall sperrt standardm ig NetBIOS Verbindungen die f r die Aufl sung des Netzwerknamens des SafeGuard Enterprise Servers ben tigt werden 1 F hren Sie als Workaround einen der folgenden Schritte aus Geben Sie die NetBIOS Verbindungen in der Firewall frei F gen Sie den Fully Qualified Name des SafeGuard Enterprise Servers im Konfigurationspaket hinzu Weitere Informationen finden Sie unter Registrieren und Konfigurieren des SafeGuard Enterprise Server f r einen anderen Computer Seite 46 9 9 1 9 2 Installationsanleitung Einrichten von SafeGuard Enterprise auf Endpoints Die SafeGuard Enterprise Verschl sselungssoftware f gt sich nahtlos in die gewohnte Benutzerumgebung ein und l sst sich leicht und intuitiv bedienen Je nach Ihrer Strategie f r den Einsatz von SafeGuard Enterprise k nnen Sie di
61. icher Zur Anmeldung an das SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet g Erzeugen des Unternehmenszertifikats Mit dem Unternehmenszertifikat lassen sich unterschiedliche SafeGuard Management Center Installationen auseinander halten In Verbindung mit dem Zertifikat des Haupt Sicherheitsbeauftragten l sst sich mit dem Unternehmenszertifikat eine besch digte SafeGuard Enterprise Datenbankkonfiguration wiederherstellen 1 W hlen Sie auf der Seite Unternehmenszertifikat die Option Neues Unternehmenszertifikat erzeugen 31 SafeGuard Enterprise 9 4 8 32 99 2 Geben Sie einen Namen Ihrer Wahl ein Hinweis Von SafeGuard Enterprise erzeugte Zertifikate zum Beispiel Unternehmens Maschinen Sicherheitsbeauftragten und Benutzerzertifikate sind bei einer Erstinstallation standardm ig zur Erweiterung der Sicherheit mit dem Hash Algoritnmus SHA 256 signiert Wenn Sie noch SafeGuard Enterprise Endpoints mit Version 6 0 oder einer fr heren Version mit dem SafeGuard Management Center der Version 7 0 verwalten m ssen m ssen Sie unter Hash Algorithmus f r erzeugte Zertifikate den Algorithmus SHA 1 ausw hlen Weitere Informationen finden Sie in der SafeGuard Enterprise Administrator Hilfe im Abschnitt ndern des Algorithmus f r selbst signierte Zertifikate Der ausgew hlte Algorithmus wird zum Signieren aller von SafeGuard Enterprise erzeugten Zertifikate benutzt Dies sind die Untern
62. icht Hinweis Die Installations und Konfigurationspakete k nnen im Rahmen einer zentralen Softwareverteilung nur einem Endpoint zugewiesen werden nicht aber einem Benutzer So f hren Sie eine zentrale Installation durch Pr fen Sie die verf gbaren Installationspakete und Features f r zentral verwaltete Endpoints und Standalone Endpoints siehe Installationspakete und Features Seite 56 Pr fen Sie die Kommandozeilenoptionen Pr fen Sie die Liste mit Feature Parametern f r die ADDLOCAL Befehlszeilenoption 95 3 1 9 5 3 2 Installationsanleitung a Pr fen Sie die Beispielbefehle a Bereiten Sie das Installationsskript vor Zentrale Installation der Verschl sselungssoftware ber Active Directory Stellen Sie sicher dass Sie die folgenden Schritte bei der zentralen Installation der Verschl sselungssoftware ber Gruppenrichtlinienobjekte GPO in einem Active Directory durchf hren Hinweis Die Installations und Konfigurationspakete k nnen im Rahmen einer zentralen Softwareverteilung nur einem Endpoint zugewiesen werden nicht aber einem Benutzer Verwenden Sie ein gesondertes Gruppenrichtlinienobjekt GPO f r jedes Installationspaket und sortieren Sie sie in der folgenden Reihenfolge Kompatibilit tskomponente Pr Installationspaket Verschl sselungssoftware Paket Endpoint Konfigurationspaket F r weitere Informationen zur den Paketen siehe Vorbereiten des Installationsskripts Seite 59 Wen
63. ie SafeGuard Enterprise Datenbank Seite 23 21 SafeGuard Enterprise a Mit SQL Skripts die in der Produktlieferung zur Verf gung stehen Dieser Weg ist dann angebracht wenn die Erweiterung der Datenbankberechtigung w hrend der Konfiguration des SafeGuard Management Centers nicht gew nscht ist Es h ngt von Ihrer Unternehmensumgebung ab welche Methode Sie anwenden Am besten sollte dies zwischen SQL Administrator und SafeGuard Enterprise Sicherheitsbeauftragtem vorab gekl rt werden 4 2 1 Voraussetzungen 4 2 2 22 Folgende Voraussetzungen m ssen erf llt sein Microsoft SQL Server muss bereits installiert und konfiguriert sein F r kleinere Unternehmen eignet sich der Einsatz der Microsoft SQL Express Edition da keine Lizenzkosten anfallen Aus Performance Gr nden sollte Microsoft SQL Server nicht auf dem Rechner installiert werden auf dem der SafeGuard Enterprise Server installiert wird Die Authentisierungsverfahren sowie die Zugriffsrechte f r die Datenbank sollten gekl rt werden Erzeugen der SafeGuard Enterprise Datenbank per Skript Wenn Sie die SafeGuard Datenbank automatisch w hrend der Konfiguration des SafeGuard Management Center erzeugen m chten k nnen Sie diesen Schritt berspringen Wenn erweiterte SQL Berechtigungen w hrend der SafeGuard Management Center Konfiguration nicht erw nscht sind f hren Sie diesen Schritt aus Dazu stehen im Tools Verzeichnis der Produktlieferung zwei Da
64. ie folgt 1 Klicken Sie im Internet Explorer im Extras Men auf Internetoptionen Klicken Sie auf Verbindungen und dann auf LAN Einstellungen Deaktivieren Sie in LAN Einstellungen unter Proxyserver das Kontrollk stchen Proxyserver f r LAN verwenden Wenn ein Proxyserver notwendig ist w hlen Sie Proxyserver f r lokale Adressen umgehen Testen der Verbindung IIS 7 auf Windows Server 2008 1 4 5 ffnen Sie auf dem Computer auf dem SafeGuard Enterprise Server installiert ist den Internet Information Services IIS Manager Klicken Sie in der Baumstruktur auf Servername Seiten Standard Web Seite berpr fen Sie ob die Web Seite SGNSRV im Ordner Standard Web Seite verf gbar ist Klicken Sie mit der rechten Maustaste auf SGNSRV w hlen Sie Anwendung verwalten und klicken Sie auf Browse um die SGNSRV Home Seite Sophos SafeGuard Web Service zu ffnen Auf der Seite Sophos SafeGuard Web Service wird eine Liste mit m glichen Aktionen angezeigt Klicken Sie in dieser Liste auf CheckConnection Klicken Sie auf der CheckConnection Seite auf Aufrufen Der Verbindungstest war erfolgreich wenn Sie diese Ausgabe erhalten A http localhost SGNSRY Trans asmx CheckConnection Microsoft Internet Explorer k loj xj Datei Bearbeiten Ansicht Favoriten Extras 2 au Zur ck r 2 4 Suchen Favoriten P Medien a vr e e E http ocalhost sanusrv Trans
65. iert oder aufgenommen werden es sei denn Sie verf gen entweder ber eine g ltige Lizenz gem der die Dokumentation in bereinstimmung mit dem Lizenzvertrag reproduziert werden darf oder Sie verf gen ber eine schriftliche Genehmigung des Urheberrechtsinhabers Sophos Sophos Anti Virus und SafeGuard sind eingetragene Warenzeichen der Sophos Limited Sophos Group und Utimaco Safeware AG Alle anderen erw hnten Produkt und Unternehmensnamen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Inhaber Copyright Informationen von Drittanbietern finden Sie im Dokument Disclaimer and Copyright for 3rd Party Software in Ihrem Produktverzeichnis 77
66. ige Installation auszuw hlen Um nur einen Teil der Features zu installieren w hlen Sie eine Angepasste Installation und aktivieren deaktivieren Sie die entsprechenden Features SafeGuard Enterprise wird auf dem Endpoint installiert Wechseln Sie an den Speicherort des relevanten Konfigurationspakets MSI das Sie zuvor im SafeGuard Management Center erzeugt haben F r zentral verwaltete Endpoints und Standalone Endpoints m ssen spezifische Konfigurationspakete installiert werden siehe Erzeugen von Konfigurationspaketen Seite 53 Installieren Sie das relevante Konfigurationspaket MSI auf dem Computer Stellen Sie nach der Installation sicher dass die Endpoints zweimal neu gestartet werden um die Power on Authentication zu aktivieren Die Computer m ssen ein drittes Mal neu gestartet werden um eine Sicherung der Kerneldaten bei jedem Windows Start durchzuf hren Stellen Sie sicher dass die Computer vor dem dritten Neustart nicht in den Ruhezustand versetzt werden damit die Sicherung der Kerneldaten erfolgreich abgeschlossen werden kann SafeGuard Enterprise wird auf dem Endpoint eingerichtet Informationen zum Anmeldeverhalten des Computers nach der Installation von SafeGuard Enterprise finden Sie in der SafeGuard Enterprise Benutzerhilfe Zentrale Installation der Verschl sselungssoftware Durch die zentrale Installation der Verschl sselungssoftware wird eine standardisierte Installation auf mehreren Endpoints erre
67. in Ihrer Lizenz enthalten ist wenden Sie sich an Ihren Vertriebspartner SafeGuard Enterprise Komponenten Dieser Abschnitt bietet einen berblick ber die SafeGuard Enterprise Komponenten und beschreibt wie sie zusammenspielen Eine oder mehrere Microsoft SQL Datenbanken sammeln Informationen ber die Endpoints im Firmennetzwerk Der Administrator bei SafeGuard Enterprise hei t er Haupt Sicherheitsbeauftragter oder Master Security Officer MSO nutzt das SafeGuard Management Center um die Datenbankinhalte zu steuern und neue Sicherheitsrichtlinien Policies zu erstellen Die Endpoints der Benutzer lesen die Richtlinien aus der Datenbank und berichten die erfolgreiche Ausf hrung an die Datenbank Die Kommunikation zwischen Datenbank und Endpoints bernimmt dabei ein Internet Information Services IIS basierter Webserver auf dem der SafeGuard Enterprise Server eingerichtet ist Installationsanleitung SafeGuard Enterprise Komponenten Microsoft Active Directory optional SafeGuard Management Center Administrator MSO SafeGuard Enterprise Datenbank Microsoft SQL Server Web Server MS Internet Information Services IIS SafeGuard Enterprise Server Benutzer PC SafeGuard Enterprise Client Die folgende Tabelle beschreibt die einzelnen Komponenten Komponente Beschreibung SafeGuard Enterprise Die SafeGuard Enterprise Datenbank en enth lt enthalten alle Datenbank en basierend auf relevanten Daten wie
68. iner besch digten SafeGuard Enterprise Installation 36 5 11 Wiederherstellen einer besch digten Datenbankkonfiguration 36 6 Testen der Kommunikation 4444sennnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 38 6 1 Voraussetzungen rania Ea AAE EENT aia AEEA AEE a 38 6 2 Testen der Verbindung IIS 7 auf Windows Server 2008 39 7 Sichern von Transportverbindungen mit SSL uurssssnsssennsnnnnnnnnnnnnnnnnnnnnnnnnnnnn nn 40 7 1 Einrichten yon SSe aa ra E A EERE 40 7 2 Aktivieren der SSL Verschl sselung in SafeGuard Enterprise 41 7 3 Sichern der Kommunikation zwischen Server und Endpoint mit SSL 41 8 Registrieren und Konfigurieren des SafeGuard Enterprise Server 45 8 1 Registrieren und Konfigurieren des SafeGuard Enterprise Server f r den aktuellen Computer u 240u0nssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 45 8 2 Registrieren und Konfigurieren des SafeGuard Enterprise Servers f r einen anderen Computer een E REA 46 8 3 ndern der SafeGuard Enterprise Server Eigenschaften neee 47 8 4 Registrieren des SafeGuard Enterprise Servers mit aktivierter Sophos Firewall una naeh daa aa aA aad ia 48 9 Einrichten von SafeGuard Enterprise auf Endpoints uursnsennsennnnnnnnnnnnnnnnnnnnnnnnnn 49 9 1 Zentral verwaltete Endpoints und Standalone Endpoints een 49 9 2 Einschr nkungen ss
69. ird so gilt die Obergrenze von 1000 Clients die eine Verbindung mit einer Serverinstanz herstellen k nnen Bevor SSL f r SafeGuard Enterprise aktiviert werden kann muss eine funktionsf hige SSL Umgebung eingerichtet werden Einrichten von SSL Die folgenden allgemeinen Aufgaben m ssen f r die SSL Einrichtung auf dem Web Server durchgef hrt werden Certificate Authority muss auf dem Server installiert sein um die bei der SSL Verschl sselung verwendeten Zertifikate auszustellen Ein Zertifikat muss ausgestellt und der IIS Server so konfiguriert werden dass er SSL verwendet und auf das Zertifikat zeigt Der Servername den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben muss identisch sein mit dem Servernamen den Sie vorab im SSL Zertifikat angegeben haben Sonst k nnen Client und Server nicht miteinander kommunizieren F r jeden SafeGuard Enterprise Server wird ein separates SSL Zertifikat ben tigt Wenn Sie Network Load Balancer einsetzen vergewissern Sie sich dass der Portbereich den SSL Port mit einschlie t Weitere Informationen erhalten Sie von unserem technischen Support oder hier http msdn2 microsoft com en us library ms998300 aspx http support microsoft com default aspx scid kb en us 316898 f2 1 3 7 3 1 Installationsanleitung https blogs msdn com sql_protocols archive 2005 11 10 491563 aspx Aktivieren der SSL Verschl sselung in SafeGuard Enterprise So aktivieren
70. izierung und w hlen Sie Bearbeiten W hlen Sie bei Identit t des anonymen Benutzers die Option Bestimmter Benutzer und berpr fen Sie ob der Benutzername IUSR lautet Korrigieren Sie ihn wenn n tig Klicken Sie auf OK Die zus tzliche Konfiguration f r die Benutzung eines Windows Kontos f r die Anmeldung am SQL Server ist nun abgeschlossen 25 SafeGuard Enterprise 5 ad 2 26 Einrichten des SafeGuard Management Centers Dieser Abschnitt beschreibt die Installation und Konfiguration des SafeGuard Management Center Das SafeGuard Management Center ist das zentrale Verwaltungswerkzeug f r SafeGuard Enterprise Installieren Sie es auf den Administrator Computern die Sie f r die Verwaltung von SafeGuard Enterprise einsetzen m chten Das SafeGuard Management Center kann auf jedem Rechner im Netzwerk installiert sein von wo aus auf die SafeGuard Enterprise Datenbanken zugegriffen werden kann Mit datenbankspezifischen Konfigurationen Multi Tenancy erm glicht das SafeGuard Management Center den Einsatz von SafeGuard Enterprise mit mehreren Datenbanken Sie k nnen verschiedene SafeGuard Enterprise Datenbanken f r unterschiedliche Bereiche z B Unternehmensstandorte Organisationseinheiten oder Dom nen einrichten und verwalten Um den Verwaltungsaufwand zu reduzieren k nnen Sie Datenbankkonfigurationen auch in Dateien exportieren und aus Dateien importieren Voraussetzungen Folgende Voraussetzungen m sse
71. l verwaltete Endpoints und Standalone Endpoints Seite 49 2 2 berpr fen der Systemanforderungen 2 3 2 4 Bevor Sie SafeGuard Enterprise installieren pr fen Sie die Systemanforderungen Informationen zu Hardware und Software Anforderungen Service Packs sowie Festplattenspeicherbedarf f r Installation und effektiven Betrieb finden Sie in den aktuellen Versionsinfos auf der SafeGuard Versionsinfos Landing Page http www sophos com de de support knowledgebase 112776 aspx Installer Download 1 Laden Sie die Installer von der Sophos Website herunter Sie erhalten hierzu von Ihrem Systemadministrator die entsprechende Web Adresse und die erforderlichen Download Anmeldeinformationen 2 Legen Sie die Dateien an einem Speicherort ab auf den Sie f r die Installation Zugriff haben Sprache der Benutzeroberfl che Die Spracheinstellungen f r die Installations und Konfigurationsassistenten und die verschiedenen SafeGuard Enterprise Komponenten sind wie folgt 2 9 2 5 1 Installationsanleitung Assistenten Die Sprache der Installations und Konfigurationsassistenten der verschiedenen Installationspakete wird automatisch an die Spracheinstellungen des Betriebssystems angepasst Wenn die Betriebssystemsprache f r diese Assistenten nicht verf gbar ist wird automatisch Englisch benutzt SafeGuard Management Center So stellen Sie die Sprache das SafeGuard Management Center ein Klicken Sie im SafeGuard Ma
72. len L5 Skript I Hilfe A Allgemein Seryerrollen Die Serverrolle wird verwendet um einem Benutzer serverweite Sicherheitsprivilegien zu erteilen 2A Benutzerzuordnung 2 Sicherungsf hige Elemente Status Serverrollen bulk admin dbcreator disk admin C processadmin O securityadmin serveradmin setupadmin sysadmin m Server SRV 2003R2 DE Verbindung sa 37 Verbindungseigenschaften anzeigen Bereit Abbrechen A 4 1 3 Erstellen eines SQL Kontos f r die Anmeldung am SQL Server Die nachfolgende Beschreibung der einzelnen Konfigurationsschritte richtet sich an SQL Administratoren Sie bezieht sich auf Microsoft Windows Server 2008 mit Microsoft SQL Server 2008 Standard Edition Als SQL Administrator ben tigen Sie das Recht ein SQL Benutzerkonto zu erstellen 1 ffnen Sie SQL Server Management Studio Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an ffnen Sie den Objekt Explorer klicken Sie mit der rechten Maustaste auf Sicherheit w hlen Sie Neu und klicken Sie dann auf Anmeldungen W hlen Sie unter Anmeldung Neu auf der Allgemein Seite die Option SQL Server Authentifizierung 19 SafeGuard Enterprise 20 4 F hren Sie auf der Allgemein a Geben Sie den Namen des neuen Benutzers ein z B SGN SQLSERVICE Seite bei Anmeldename folgende Schritte durch b Geben Sie ein Kennwort f r das Konto ein und best tigen Sie es
73. llationspakete und Features Seite 56 Konfigurationspaket f r Endpoints Verwenden Sie die zuvor im SafeGuard Management Center erzeugten Konfigurationspakete F r zentral verwaltete Endpoints und Standalone Endpoints m ssen unterschiedliche Konfigurationspakete installiert werden siehe Erzeugen von Konfigurationspaketen Seite 53 L schen Sie zun chst alle alten Konfigurationspakete 3 Erstellen Sie ein Skript mit den Kommandos f r die vorkonfigurierte Installation Im Skript m ssen die Features der Verschl sselungssoftware aufgelistet sein die Sie installieren m chten siehe Feature Parameter f r die ADDLOCAL Option Seite 62 ffnen Sie eine Befehlseingabeaufforderung und geben Sie die Scripting Befehle ein F r Informationen zur Kommandozeilen Syntax siehe Kommandozeilenoptionen f r die zentrale Installation Seite 61 4 Verteilen Sie das Paket ber unternehmensinterne Software Verteilungsmechanismen an die Endpoints Das Installation wird auf den Endpoints ausgef hrt Danach sind die Endpoints f r den Einsatz von SafeGuard Enterprise bereit 5 Stellen Sie nach der Installation sicher dass die Endpoints zweimal neu gestartet werden um die Power on Authentication zu aktivieren Die Computer m ssen ein drittes Mal neu gestartet werden um eine Sicherung der Kerneldaten bei jedem Windows Start durchzuf hren Stellen Sie sicher dass die Computer vor dem dritten Neustart nicht in den Ruhezustand versetz
74. lti Tenancy w hlen Sie eine Installation vom Typ Vollst ndig aus Weitere Informationen finden Sie unter Multi Tenancy Konfigurationen Seite 28 Das SafeGuard Management Center ist installiert Starten Sie Ihren ggf Computer neu Im n chsten Schritt f hren Sie die Erstkonfiguration im SafeGuard Management Center durch 5 3 Anzeigen des SafeGuard Management Center Hilfesystems Das SafeGuard Management Center Hilfesystem wird in Ihrem Browser angezeigt Es bietet umfassende Features wie kontextsensitive Hilfe und Volltextsuche Das Hilfesystem ist f r die volle Funktionalit t der Inhaltsseiten konfiguriert und aktiviert JavaScript in Ihrem Browser Beim Microsoft Internet Explorer zeigt sich folgendes Verhalten Windows 7 Internet Explorer 8 Standardsicherheit a Es wird keine Sicherheitsleiste angezeigt die angibt dass der Internet Explorer die Scripting Ausf hrung gesperrt hat JavaScript wird ausgef hrt Hinweis Auch wenn JavaScript deaktiviert ist k nnen Sie das SafeGuard Management Center Hilfesystem aufrufen und im System navigieren Bestimmte Funktionen z B Suchen lassen sich dann jedoch nicht anzeigen 5 4 Konfigurieren des SafeGuard Management Center Nach der Installation m ssen Sie das SafeGuard Management Center konfigurieren Der SafeGuard Management Center Konfigurationsassistent unterst tzt Sie bei der Erstkonfiguration durch Hilfestellung bei der Definition der grundlegenden SafeGuard Manag
75. lungsmodul Auf Systemen mit UEFI gibt es f r die BitLocker Pre Boot Authentication einen Challenge Response Mechanismus w hrend auf Systemen mit BIOS der Installationsanleitung Inhalt Verf gbar f r Verf gbar f r zentral Standalone Endponnts verwaltete Endpoints Recovery Schl ssel vom SafeGuard Management Center abgerufen wird W hlen Sie den Installationstyp Angepasst Data Exchange SafeGuard Data Exchange Dateibasierende Verschl sselung von Daten auf Wechselmedien auf allen Plattformen ohne Neuverschl sselung W hlen Sie den Installationstyp Vollst ndig oder Angepasst Cloud Storage Dateibasierende Verschl sselung f r in der Cloud gespeicherte Daten Lokale Kopien von in der Cloud gespeicherten Daten werden stets transparent verschl sselt F r das bertragen von Daten an die Cloud oder den Empfang von Daten aus der Cloud muss anbieterspezifische Software benutzt werden W hlen Sie den Installationstyp Vollst ndig oder Angepasst Dateiverschl sselung 2 8 Dateibasierende Verschl sselung von Daten auf lokalen Festplatten und Netzwerkfreigaben speziell f r Arbeitsgruppen W hlen Sie den Installationstyp Vollst ndig oder Angepasst 9 5 2 Lokales Installieren der Verschl sselungssoftware Voraussetzungen Die Endpoints m ssen f r die Verschl sselung vorbereitet sein siehe Vorbereiten der Endpoints f r die Verschl sselung Seite 50 Entscheiden Sie welches
76. m lokalen Dateisystem f r die Synchronisierung zwischen der Cloud und dem lokalen System enthalten a Die anbieterspezifische Cloud Storage Software muss die synchronisierten Daten im lokalen Dateisystem speichern Hinweis Cloud Storage verschl sselt nur neue in der Cloud gespeicherte Daten Wurden Daten bereits vor der Installation von Cloud Storage in der Cloud gespeichert so werden diese Daten nicht automatisch verschl sselt Um diese Daten zu verschl sseln m ssen die Benutzer sie zun chst aus der Cloud entfernen und sie nach der Installation von Cloud Storage wieder an die Cloud bergeben Vorbereitung f r die Unterst tzung von BitLocker Drive Encryption Hinweis Bevor Sie mit der Installation beginnen entscheiden Sie ob Sie SafeGuard Enterprise in Verbindung mit der BitLocker Drive Encryption oder die native SafeGuard Enterprise Festplattenverschl sselung anwenden m chten Wenn Sie versuchen beides gleichzeitig zu installieren wird die Installation abgebrochen Wenn Sie mit SafeGuard Enterprise BitLocker Endpoints verwalten m chten treffen Sie folgende spezifische vorbereitende Ma nahmen auf dem Endpoint Auf dem Endpoint muss Windows 7 oder Windows 8 installiert sein BitLocker Drive Encryption muss installiert und aktiviert sein Wenn TPM f r die Authentisierung verwendet werden soll muss TPM initialisiert im Besitz und aktiviert sein Wenn Sie die volume basierende Verschl sselung von SafeGuard Ente
77. mechanismus haben Hinweis Die Administration sollte nur bei der Master Datenbank erfolgen nicht bei replizierten Datenbanken Wichtig Die vorgeschlagene L sung beschreibt nicht die Datenbankreplikation f r die Zwecke eines redundanten Failovers sondern zur Verbesserung der Performance in Multi Site Szenarien Mergereplikation Die Mergereplikation ist der Vorgang der Verteilung von Daten vom Verleger an die Abonnenten Dabei k nnen Verleger und Abonnenten unabh ngig voneinander Aktualisierungen vornehmen und danach einen Merge der Aktualisierungen zwischen den Standorten durchf hren Die Mergereplikation erlaubt es verschiedenen Standorten autonom zu arbeiten und sp ter die Aktualisierungen zu einem einzigen einheitlichen Ergebnis zusammenzuf hren Der initiale Snapshot wird auf die Abonnenten angewendet Microsoft SQL Server verfolgt dann die nderungen an ver ffentlichten Daten beim Verleger und bei den Abonnenten nach Die Daten werden zwischen den Servern kontinuierlich zu einem festgelegten Zeitpunkt oder auf Anforderung synchronisiert Da Aktualisierungen auf mehr als einem Server ausgef hrt werden sind dieselben Daten m glicherweise vom Verleger und von mindestens einem Abonnenten aktualisiert worden Daher kann es beim Zusammenf hren von Aktualisierungen zu Konflikten kommen Die Mergereplikation bietet Standardm glichkeiten sowie individuelle M glichkeiten f r die Konfliktl sung die Sie bei der Konfiguration
78. n Die SafeGuard Enterprise Datenbank und die zugeh rigen Tabellen sind erzeugt ndern der Zugriffsrechte f r die SafeGuard Enterprise Datenbank Nach dem Erstellen der SafeGuard Enterprise Datenbank entweder per Skript oder im SafeGuard Management Center k nnen die Zugriffsrechte wieder ge ndert werden Da es m glich ist einem Benutzer f r eine Datenbank unterschiedliche Rollen und Berechtigungen zuzuweisen sind nur die Mindestrechte f r die Herstellung einer Verbindung zur SafeGuard Enterprise Datenbank erforderlich 1 ffnen Sie SQL Server Management Studio Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an 2 ffnen Sie den Objekt Explorer doppelklicken Sie auf Sicherheit und dann auf Anmeldungen 3 Klicken Sie mit der rechten Maustaste auf den erforderlichen Benutzer und klicken Sie dann auf Eigenschaften 4 W hlen Sie Benutzerzuordnung auf der linken Seite W hlen Sie unter Users mapped to this login Benutzer die dieser Anmeldung zugeordnet sind die Datenbank SafeGuard 5 Stellen Sie unter Database role membership for Datenbankrollenmitgliedschaft f r die Zugriffsrechte f r die Benutzung der SafeGuard Enterprise Datenbank ein w hlen Sie db_datareader db_datawriter und public 6 Klicken Sie auf OK berpr fung von Einstellungen f r SQL Dienste Named Pipes und TCP IP Diese Beschreibung bezieht sich auf Microsoft Windows Server 2008 R2 und Microsoft SQL Server 2012 Standard
79. n das SafeGuard Management Center importiert werden muss 35 SafeGuard Enterprise LO 5 11 36 Detaillierte Informationen hierzu finden Sie im Kapitel Lizenzen der SafeGuard Enterprise Administrator Hilfe Wiederherstellen einer besch digten SafeGuard Enterprise Installation Wenn eine SafeGuard Management Center Installation besch digt jedoch die Datenbank noch intakt ist kann die Installation auf einfache Art und Weise wiederhergestellt werden In diesem Fall m ssen Sie nur das SafeGuard Management Center neu installieren und die vorhandene Datenbank sowie das gesicherte Haupt Sicherheitsbeauftragten Zertifikat verwenden Das Unternehmenszertifikat und das Haupt Sicherheitsbeauftragten Zertifikat der betreffenden Datenbankkonfiguration m ssen als p12 Dateien exportiert worden sein Die Dateien m ssen vorhanden und g ltig sein Die Kennw rter f r die beiden p12 Dateien und f r den Zertifikatsspeicher m ssen Ihnen bekannt sein So stellen Sie eine besch digte SafeGuard Management Center Installation wieder her 1 Installieren Sie das SafeGuard Management Center Installationspaket neu ffnen Sie das SafeGuard Management Center Der Konfigurationsassistent wird automatisch ge ffnet W hlen Sie auf der Seite Datenbankverbindung den relevanten Datenbankserver und konfigurieren Sie falls erforderlich die Verbindung zur Datenbank Klicken Sie auf Weiter Aktivieren Sie auf der Seite Datenbankeinstellu
80. n die Sprache des Endpoints nicht auf Deutsch gestellt ist f hren Sie zus tzlich folgendes aus W hlen Sie im Gruppenrichtlinien Editor das entsprechende Gruppenobjekt aus und w hlen Sie dann Computerkonfiguration gt Softwareeinstellungen gt Erweitert W hlen Sie im Dialog Erweiterte Bereitstellungsoptionen Sprache beim Bereitstellen dieses Pakets ignorieren und klicken Sie OK Vorbereiten des Installationsskripts Voraussetzungen Die Endpoints m ssen f r die Verschl sselung vorbereitet sein Entscheiden Sie welches Verschl sselungspaket und welche Features installiert werden sollen So f hren Sie eine zentrale Installation der Verschl sselungssoftware durch 1 Erstellen Sie ein Verzeichnis mit der Bezeichnung Software als zentralen Speicherort f r alle Anwendungen 59 SafeGuard Enterprise 2 Verwenden Sie Ihre eigenen Tools um das Installationspaket zu erstellen das auf den Endpoints installiert werden soll Das Paket muss Folgendes in der angegebenen Reihenfolge enthalten Beschreibung ER l msi Das obligatorische Paket stattet die Endpoints mit den n tigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware aus zum Beispiel mit der ben tigten DLL MSVCR110 d11 Hinweis Wenn dieses Paket nicht installiert ist wird die Installation der Verschl sselungssoftware abgebrochen Verschl sselungssoftware Paket F r eine Liste der verf gbaren Pakete siehe Insta
81. n erf llt sein Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen NET Framework 4 muss installiert sein Das Programm steht in der SafeGuard Enterprise Produktlieferung zur Verf gung Wenn Sie eine neue SafeGuard Enterprise Datenbank w hrend der SafeGuard Management Center Konfiguration erzeugen wollen ben tigen Sie entsprechende SQL Zugriffsberechtigungen siehe Datenbankzugriffsrechte Seite 17 Wenn die SafeGuard Enterprise Datenbank und das SafeGuard Management Center auf verschiedenen Computern installiert werden gehen Sie sicher dass der systemeigene SQL Server 2012 Client und die SQL Server 2014 Kommandozeilen Tools auf dem Computer installiert werden auf dem Sie das SafeGuard Management Center installiert haben Diese sind im Drittanbieter Ordner der SafeGuard Enterprise Produktlieferung enthalten Installieren des SafeGuard Management Center 1 Starten Sie SGNManagementCenter msi aus dem Installationsordner Ihrer Produktlieferung Ein Assistent f hrt Sie durch die notwendigen Schritte 2 bernehmen Sie die Standardeinstellungen in den n chsten Dialogen wie folgt F hren Sie auf der Installationsart ausw hlen Seite einen der folgenden Schritte aus Wenn das SafeGuard Management Center nur eine Datenbank unterst tzen soll w hlen Sie eine Installation vom Typ Typisch aus Installationsanleitung Wenn das SafeGuard Management Center mehrere Datenbanken unterst tzen soll Mu
82. nagement Center Seite 28 Erzeugen Sie die Master Datenbank mit einem SQL Skript Sie finden SQL Skripte in Ihrer Produktlieferung Dieser Vorgang wird h ufig bevorzugt wenn erweiterte SQL Berechtigungen w hrend der SafeGuard Management Konfiguration nicht erw nscht sind Weitere Informationen finden Sie unter Erzeugen der SafeGuard Enterprise Datenbank per Skript Seite 22 Erzeugen der Replikationsdatenbanken Graz und Linz Nach dem Einrichten der Master Datenbank erzeugen Sie die Replikationsdatenbanken Im Beispiel haben die Replikationsdatenbanken die Bezeichnungen Graz und Linz Hinweis Datentabellen und EVENT Tabellen werden in getrennten Datenbanken gehalten Ereigniseintr ge werden standardm ig nicht verkettet so dass die EVENT Datenbank zur Erh hung der Performance auf mehrere SQL Server repliziert werden kann Wenn EVENT Tabellen verkettet werden k nnen w hrend der Replikation ihrer Datens tze Probleme auftreten 69 SafeGuard Enterprise 10 3 10 4 70 So erzeugen Sie die Replikationsdatenbanken neu 1 Erzeugen Sie eine Ver ffentlichung f r die Master Datenbank in der Management Konsole des SQL Servers Eine Ver ffentlichung definiert das Daten Set das repliziert werden soll 2 W hlen Sie alle Tabellen Ansichten und gespeicherten Prozeduren f r die Synchronisierung in dieser Ver ffentlichung aus 3 Erstellen Sie die Replikationsdatenbanken indem Sie ein Abonnement f r Graz und ein
83. nagement Center auf Extras gt Optionen gt Allgemein Klicken Sie auf Benutzerdefinierte Sprache verwenden und w hlen Sie eine verf gbare Sprache aus Die Sprachen Englisch Deutsch Franz sisch und Japanisch sind verf gbar Starten Sie das SafeGuard Management Centers neu Er wird in der ausgew hlten Sprache angezeigt SafeGuard Enterprise auf Endpoints Die Sprache von SafeGuard Enterprise auf Endpoints steuern Sie ber den Richtlinientyp Allgemeine Einstellungen im SafeGuard Management Center Einstellung Anpassung gt Sprache am Client Wenn die Sprache des Betriebssystems gew hlt wird richtet sich die Produktsprache nach der Spracheinstellung des Betriebssystems Steht die entsprechende Betriebssystemsprache in SafeGuard Enterprise nicht zur Verf gung wird standardm ig die englische Version von SafeGuard Enterprise angezeigt Wenn eine der zur Verf gung stehenden Sprachen gew hlt wird werden die SafeGuard Enterprise Funktionen auf dem Endpoint in der ausgew hlten Sprache angezeigt Kompatibilit t mit weiteren Sophos Produkten Dieser Abschnitt beschreibt die Kompatibilit t von SafeGuard Enterprise 7 0 mit anderen Sophos Produkten Kompatibilit t mit SafeGuard LAN Crypt SafeGuard LAN Crypt 3 7x und Sophos SafeGuard 7 0 k nnen zusammen auf einem Endpoint installiert werden Wenn Sie das Feature SafeGuard Data Exchange nutzen m chten m ssen Sie eine zus tzliche Kompatibili tskomponente f r den erfolg
84. nbankserver mit SQL Authentisierung herstellen m chten stellen Sie sicher dass Sie die notwendigen SQL Anmeldedaten zur Hand haben Falls notwendig erhalten Sie diese Informationen von Ihrem SQL Administrator 1 F hren Sie auf der Seite Datenbankserver Verbindung folgende Schritte aus W hlen Sie unter Verbindungseinstellungen den SQL Datenbankserver aus der Datenbankserver Liste aus Es werden alle Rechner eines Netzwerks aufgelistet auf denen ein Microsoft SQL Server installiert ist Wenn der Server nicht ausw hlbar ist tragen Sie Servername bzw IP Adresse mit dem SQL Instanznamen manuell ein Aktivieren Sie SSL verwenden um die Verbindung zwischen SafeGuard Management Center und SQL Datenbankserver zu sichern Wenn Sie Folgende Anmeldeinformationen f r SQL Server Authentisierung anwenden unter Authentisierung ausw hlen empfehlen wir dringend diese Einstellung zu aktivieren da dadurch der Transport der SQL Anmeldedaten verschl sselt wird SSL Verschl sselung erfordert eine funktionsf hige SSL Umgebung auf dem SQL Datenbankserver die Sie vorab einrichten m ssen siehe Sichern von Transportverbindungen mit SSL Seite 40 5 4 5 5 4 6 Installationsanleitung 2 W hlen Sie unter Authentisierung die Art der Authentisierung die f r den Zugriff auf die Datenbankserverinstanz benutzt werden soll Dies ist erforderlich damit das SafeGuard Management Center mit der Datenbank kommunizieren kann a Aktivieren Sie Wind
85. ng lt Server gt msi wird im angegebenen Ausgabeort erstellt 7 Best tigen Sie die Erfolgsmeldung mit OK 8 Klicken Sie in der Registerkarte Server auf Schlie en Die Registrierung und Konfiguration des SafeGuard Enterprise Servers ist beendet Installieren Sie das Server Konfigurationspaket MSI auf dem Computer auf dem der SafeGuard Enterprise Server l uft Sie k nnen die Serverkonfiguration in der Registerkarte Server jederzeit ndern Hinweis Wenn Sie ein neues Server Konfigurationspaket MSI auf dem SafeGuard Enterprise Server installieren m chten deinstallieren Sie zun chst das alte Konfigurationspaket L schen Sie dar ber hinaus den Local Cache manuell so dass er mit den neuen Konfigurationsdaten z B SSL Einstellungen aktualisiert werden kann Installieren Sie dieses Konfigurationspaket auf dem Server Installationsanleitung 8 3 ndern der SafeGuard Enterprise Server Eigenschaften Sie k nnen die Eigenschaften und Einstellungen f r jeden registrierten Server und seine Datenbankverbindung jederzeit ndern 1 Klicken Sie im Extras Men auf Konfigurationspakete 2 Gehen Sie zur Registerkarte Server und w hlen Sie den erforderlichen Server aus 3 Gehen Sie wie folgt vor Skript ausf hren Beschreibung Klicken Sie hier um die Verwendung von SafeGuard Enterprise Management API zu erm glichen Dies erm glicht die Ausf hrung von administrativen Aufgaben ber Skripte Win Auth WHD
86. ngen die Option Folgende bestehende Datenbank verwenden und w hlen Sie die Datenbank aus der Liste aus F hren Sie auf der Seite Daten des Sicherheitsbeauftragten Seite einen der folgenden Schritte aus Wenn die gesicherte Zertifikatsdatei auf dem Computer gefunden wird wird sie angezeigt Geben Sie das Kennwort ein das Sie zur Anmeldung an das SafeGuard Management Center benutzen Wird die gesicherte Zertifikatsdatei nicht auf dem Computer gefunden w hlen Sie Importieren Suchen Sie nach der gesicherten Zertifikatsdatei und klicken Sie auf ffnen Geben Sie das Kennwort f r die Zertifikatsdatei ein Klicken Sie auf Ja Geben Sie ein Kennwort f r die Anmeldung am SafeGuard Management Center ein und best tigen Sie es Klicken Sie auf Weiter und dann auf Fertig stellen um die Konfiguration des SafeGuard Management Center abzuschlie en Die SafeGuard Management Center Installation ist wiederhergestellt Wiederherstellen einer besch digten Datenbankkonfiguration Sie k nnen eine besch digte Datenbankkonfiguration wiederherstellen indem Sie das SafeGuard Management Center neu installieren und basierend auf den gesicherten Zertifikatsdateien eine neue Instanz der Datenbank erstellen Dadurch wird sichergestellt Installationsanleitung dass alle vorhandenen SafeGuard Enterprise Endpoints Richtlinien von der neuen Installation annehmen Das Unternehmenszertifikat und das Haupt Sicherheitsbeauftragten Zertifikat d
87. nige Organisationseinheiten so dass kein Directory Service ben tigt wird k nnen Sie neue Dom nen Arbeitsgruppen anlegen an denen sich der Benutzer Computer anmelden kann Sie k nnen entweder nur eine von beiden M glichkeiten anwenden oder die beiden M glichkeiten mischen Zum Beispiel k nnen Sie ein Active Directory AD ganz oder teilweise importieren und weitere Organisationseinheiten OU manuell anlegen Ganz gleich ob die Organisationsstruktur importiert oder manuell angelegt wird die Richtlinienzuordnung kann in beiden F llen erfolgen Hinweis Bei der Kombination beider Verfahren werden die manuell angelegten Organisationseinheiten nicht im AD abgebildet Wenn in SafeGuard Enterprise angelegte Organisationseinheiten im AD abgebildet werden sollen so m ssen Sie diese separat zum AD hinzuf gen Weitere Informationen zum Importieren oder Anlegen einer Organisationsstruktur finden Sie in der SafeGuard Enterprise Administratorhilfe im Kapitel Aufbau der Organisationsstruktur Importieren der Lizenzdatei SafeGuard Enterprise hat einen integrierten Lizenzz hler Die Installation umfasst standardm ig f r jede SafeGuard Enterprise Komponente eine festgelegte Anzahl von 5 Lizenzen Dadurch soll eine problemlose Evaluierung von anderen SafeGuard Enterprise Komponenten ohne Nebeneffekte gew hrleistet werden Beim Kauf von SafeGuard Enterprise enth lt jeder Kunde eine individuelle Lizenzdatei f r das jeweilige Unternehmen die i
88. nistratorhilfe Installation gem FIPS Die FIPS Zertifizierung beschreibt Sicherheitsanforderungen f r Verschl sselungsmodule So stellen z B Beh rden in den USA und in Kanada an Software f r besonders sicherheitskritische Informationen die Anforderung der FIPS 140 2 Zertifizierung SafeGuard Enterprise verwendet FIPS zertifizierte AES Algorithmen aber standardm ig wird eine neue schnellere Implementierung der AES Algorithmen installiert die noch nicht FIPS zertifiziert ist Um die FIPS zertifizierte Variante des AES Algorithmus zu nutzen setzen Sie beim Installieren der SafeGuard Enterprise Verschl sselungssoftware die Eigenschaft FIPS_AES auf 1 eins Das machen Sie indem Sie die Eigenschaft zum Kommandozeilen Skript hinzuf gen msiexec i F Software SGNClient msi FIPS 1 Hinweis Dies betrifft nur SafeGuard Enterprise Device Encryption und Windows 7 Hinweis Wenn Sie eine FIPS konforme Installation aktualisieren beachten Sie bitte dass die neuen Versionen ebenfalls gem FIPS installiert werden unabh ngig davon welche Einstellung Sie w hlen 65 SafeGuard Enterprise 66 9 8 Installation auf selbst verschl sselnden Opal Festplatten SafeGuard Enterprise unterst tzt den anbieter unabh ngigen Opal Standard f r selbst verschl sselnde Festplatten und bietet die Verwaltung von Endpoints mit dieser Art von Festplatten Um sicherzustellen dass die Unterst tzung von selbst verschl sselnden Opal
89. nittstelle zu den SafeGuard Enterprise Clients her Er greift wie das SafeGuard Management Center auf die Datenbank zu Er l uft als Applikation auf einem Web Server basierend auf Microsoft Internet Information Services IIS Der SafeGuard Enterprise Server bietet au erdem den Taskplaner mit dem Sie periodische Tasks die auf Skripten basieren erstellen und geplant ausf hren lassen k nnen Die Tasks laufen automatisch auf dem SafeGuard Enterprise Server Sie finden die Skripte in der SafeGuard Enterprise Produktlieferung Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Administratorhilfe Wir empfehlen den Einsatz eines dedizierten IIS f r SafeGuard Enterprise Server Dadurch wird die Performance verbessert Au erdem verhindert dies dass andere Anwendungen mit SafeGuard Enterprise in Konflikt geraten z B mit der zu verwendenden Version von ASP NET Dieses Kapitel beschreibt wie Sie SafeGuard Enterprise Server mit Taskplaner auf IIS installieren Zuerst m ssen Sie Microsoft Internet Information Services IIS installieren und konfigurieren Voraussetzungen Folgende Voraussetzungen m ssen erf llt sein Sie ben tigen Windows Administratorrechte Microsoft Internet Information Services IIS muss verf gbar sein IIS ist kostenlos verf gbar Sie finden das Programm z B auf Ihrer Windows DVD oder auf der Microsoft Website Wenn Sie SSL als Transportverschl sselung zwischen SafeGuard Enterprise Se
90. nn die Installation unter Umst nden nicht erfolgreich abgeschlossen werden Nur f r SafeGuard Enterprise Clients managed Kontrollieren Sie ob eine Verbindung zum SafeGuard Enterprise Server besteht Rufen Sie auf den Endpoints im Internet Explorer folgende Web Adresse auf http lt ServerlPAddress gt sgnsrv Wenn die Trans Seite mit dem Eintrag Check Connection erscheint ist die Verbindung zum SafeGuard Enterprise Server hergestellt Vorbereitung f r Cloud Storage Das SafeGuard Enterprise Modul Cloud Storage bietet dateibasierende Verschl sselung von in der Cloud gespeicherten Daten Cloud Storage stellt sicher dass die lokalen Kopien von Cloud Daten transparent verschl sselt werden und auch verschl sselt bleiben wenn sie in der Cloud gespeichert werden Die Art und Weise wie Benutzer mit in der Cloud gespeicherten Daten arbeiten wird dadurch nicht beeinflusst Auf die anbieterspezifische Cloud Software hat die Anwendung des Moduls 51 SafeGuard Enterprise 9 3 2 9 3 3 52 keine Auswirkungen Sie kann wie zuvor zum bertragen von Daten an die Cloud oder zum Empfangen von Daten aus der Cloud benutzt werden So bereiten Sie Ihre Endpoints f r Cloud Storage vor a Die anbieterspezifische Cloud Storage Software muss auf den Endpoint Computern auf denen Sie das Modul Cloud Storage installieren m chten installiert sein a Die anbieterspezifische Cloud Storage Software muss eine Anwendung oder einen Systemdienst i
91. nrichten Erstellen Sie danach ein neues Konfigurationspaket und installieren Sie es auf dem entsprechenden Server oder zentral verwalteten Computer Sichern der Kommunikation zwischen Server und Endpoint mit SSL Voraussetzungen Um die Kommunikation zwischen dem SafeGuard Enterprise Server und dem mit SafeGuard Enterprise gesicherten Endpoint mit SSL zu sichern ist ein g ltiges Zertifikat notwendig Sie k nnen die folgenden Typen von Zertifikaten verwenden Ein selbst signiertes Zertifikat siehe Verwenden eines selbst signierten Zertifikats Seite 42 Ein von einer PKI ausgestelltes Zertifikat mit einem privaten oder ffentlichen Stammzertifikat siehe Verwenden eines PKI generierten Zertifikats Seite 43 Technisch macht es keinen Unterschied ob Sie ein Zertifikat mit einem privaten oder ffentlichen Stammzertifikat verwenden 41 SafeGuard Enterprise 132 1 3 83 42 Hinweis Wenn ein von einer PKI erstelltes Zertifikat aber keine PKI Infrastruktur verf gbar ist k nnen Sie das Zertifikat nicht verwenden um die Kommunikation mit SSL abzusichern In diesem Fall m ssen Sie eine PKI aufsetzen oder ein selbst signiertes Zertifikat erstellen Den SafeGuard Enterprise Server aufsetzen Um den SafeGuard Enterprise Server so zu konfigurieren dass er SSL f r die Kommunikation zwischen Server und mit SafeGuard Enterprise gesch tztem Endpoint verwendet f hren Sie die folgenden allgemeinen Schritte aus 1 Inst
92. nstallieren der Verschl sselungssoftware auf Endpoints siehe Zentrale Installation der Verschl sselungssoftware Seite 58 Hinweis Stellen Sie zum Einrichten der Endpoints sicher dass Sie nach der Installation das korrekte Konfigurationspaket installieren 1 Installieren Sie das Client Konfigurationspaket Graz auf den Endpoints die mit dem Graz Server WS_1 verbunden werden sollen 2 Installieren Sie das Client Konfigurationspaket Linz auf den Endpoints die mit dem Linz Server WS_2 verbunden werden sollen Weitere Informationen zur Aktualisierung replizierter SafeGuard Enterprise Databanken finden Sie in der SafeGuard Enterprise Upgrade Anleitung 72 14 11 3 11 2 11 2 1 11 2 2 Installationsanleitung Deinstallation berblick Dieser Abschnitt behandelt folgende Themen a Best Practices f r die Deinstallation Deinstallation der SafeGuard Enterprise Verschl sselungssoftware Deinstallation von SafeGuard Enterprise Verschl sselungssoftware auf Endpoints verhindern Best Practices f r die Deinstallation Wenn die SafeGuard Enterprise Verschl sselungssoftware auf demselben Computer wie das SafeGuard Management Center installiert ist f hren Sie den folgende Deinstallationsvorgang durch damit Sie weiterhin eine der beiden Komponenten benutzen k nnen 1 Deinstallieren Sie das SafeGuard Management Center 2 Deinstallieren Sie das Konfigurationspaket 3 Deinstallieren Sie die Verschl sselungssoft
93. nstanz einrichten Zur Vereinfachung der Konfiguration k nnen neu erstellte Datenbankkonfigurationen zur sp teren Wiederverwendung in eine Datei exportiert werden und zuvor erstellte Konfigurationen aus einer Datei eingelesen werden Um das SafeGuard Management Center f r Multi Tenancy zu konfigurieren f hren Sie zun chst die initiale Konfiguration und danach weitere spezifische Schritte f r die Multi Tenancy Konfiguration durch Starten der Erstkonfiguration des SafeGuard Management Centers Nach der Installation des SafeGuard Management Center m ssen Sie die Erstkonfiguration durchf hren Die Erstkonfiguration muss sowohl f r den Single Tenancy als auch f r den Multi Tenancy Modus ausgef hrt werden So starten Sie den SafeGuard Management Center Konfigurationsassistenten 1 Starten Sie das SafeGuard Management Center ber das Start Men Der Konfigurationsassistent wird gestartet und f hrt Sie durch die notwendigen Schritte 2 Klicken Sie auf der Willkommen Seite auf Weiter Konfigurieren der Datenbankserver Verbindung Zum Speichern aller SafeGuard Enterprise spezifischen Verschl sselungsrichtlinien und Einstellungen wird eine Datenbank verwendet Damit das SafeGuard Management Center mit dem SafeGuard Enterprise Server kommunizieren kann m ssen Sie eine Authentisierungsmethode f r den Zugriff auf die Datenbank festlegen entweder Windows NT Authentisierung oder SQL Authentisierung Wenn Sie eine Verbindung zum Date
94. oder Express Edition 1 ffnen Sie den SQL Server Konfigurations Manager 2 W hlen Sie in der Navigationsstruktur auf der linken Seite SQL Server Dienste 3 berpr fen Sie ob der Status von SQL Server und SQL Server Browser L uft und der Startmodus auf Automatisch eingestellt ist 4 W hlen Sie in der Navigationsstruktur auf der linken Seite SQL Server Netzwerkkonfiguration 5 Klicken Sie mit der rechten Maustaste auf das Protokoll Named Pipes und klicken Sie auf Aktiviert 6 Klicken Sie mit der rechten Maustaste auf das Protokoll TCP IP und klicken Sie auf Aktiviert 7 Klicken Sie au erdem mit der rechten Maustaste auf das Protokoll TCP IP und klicken Sie auf Eigenschaften Belassen Sie in der Registerkarte IP Adressen unter IPAIII das Feld Dynamische TCP Ports leer Geben Sie im Feld TCP Port 1433 ein 8 Starten Sie die SQL Dienste neu 23 SafeGuard Enterprise 24 4 9 4 6 Erstellen einer Windows Firewall Regel auf Windows Server 2008 R2 Diese Beschreibung bezieht sich auf Microsoft Windows Server 2008 R2 mit Microsoft SQL Server 2012 Standard oder Express Edition Wenn Sie diese Konfiguration verwenden f hren Sie die nachfolgend angegebenen Schritte aus um sicherzustellen dass eine Verbindung zwischen der SafeGuard Enterprise Datenbank und dem SafeGuard Management Center hergestellt werden kann 1 Klicken Sie auf dem Computer der als Host f r die SQL Server Instanz dient auf Start w hlen Si
95. olgenden Berechtigungen auf Zulassen Ordner auflisten Daten lesen Dateien erstellen Daten schreiben L schen Klicken Sie auf OK schlie en Sie den Dialog Eigenschaften f r Temp und schlie en Sie dann den Windows Explorer ffnen Sie den Internet Information Services Manager W hlen Sie im Verbindungen Bereich auf der linken Seite die Anwendungspools f r den relevanten Server Knoten W hlen Sie aus der Anwendungspools Liste auf der rechten Seite SGNSRV Pool W hlen Sie im Aktionen Bereich auf der linken Seite Erweiterte Einstellungen Klicken Sie in Erweiterte Einstellungen unter Prozessmodell f r die Eigenschaft Identit t auf die Schaltfl che W hlen Sie in Identit t des Anwendungspools die Option Benutzerdefiniertes Konto und klicken Sie auf Festlegen Geben Sie in Anmeldeinformationen festlegen den relevanten Windows Benutzernamen in folgender Form ein Dom ne lt Windows Benutzername gt Geben Sie das entsprechende Windows Kennwort ein best tigen Sie es und klicken Sie auf OK W hlen Sie im Bereich Verbindungen auf der linken Seite den relevanten Server Knoten und klicken Sie im Aktionen Bereich auf Neu starten W hlen Sie im Bereich Verbindungen auf der linken Seite unter dem relevanten Server Knoten unter Sites Standard Websites die Option SGNSRV Doppelklicken Sie auf der SANSRV Homepage in der Mitte auf Authentifizierung Klicken Sie mit der rechten Maustaste auf Anonyme Authentif
96. os com de de support knowledgebase 112776 aspx Sie k nnen die Datenbank entweder automatisch w hrend der Erstkonfiguration im SafeGuard Management Center oder manuell mit den in Ihrer Produktlieferung verf gbaren SQL Skripten einrichten W hlen Sie die geeignete Methode nach den Gegebenheiten in Ihrer Firmenumgebung Weitere Informationen finden Sie unter Datenbankzugriffsrechte Seite 17 Zur Optimierung der Performance l sst sich die SafeGuard Enterprise Datenbank auf mehrere SQL Server replizieren Informationen zum Aufsetzen der Datenbankreplizierung finden Sie unter Replikation der SafeGuard Enterprise Datenbank Seite 68 Sie k nnen mehrere SafeGuard Enterprise Datenbanken f r unterschiedliche Mandanten z B Firmenstandorte Organisationseinheiten oder Dom nen einrichten und verwalten Informationen zum Konfigurieren von Multi Tenancy finden Sie unter Multi Tenancy Konfigurationen Seite 28 Hinweis Wir empfehlen den Einsatz eines permanenten Online Backups f r die Datenbank F hren Sie ein regelm iges Backup Ihrer Datenbank durch um Schl ssel Unternehmenszertifikate und Benutzer Computer Zuordnungen zu sichern Beispiele f r empfohlene Backup Zyklen nach dem Erstimport der Daten nach gr eren nderungen oder in turnusm igen Abst nden z B w chentlich oder t glich Datenbank Authentisierung Um auf die SafeGuard Enterprise Datenbank zuzugreifen muss sich der erste Sicherheitsbeauftragte des SafeGuard
97. ows NT Authentisierung verwenden um Ihre Windows Anmeldedaten zu verwenden Hinweis Verwenden Sie diese Art der Authentisierung wenn Ihr Computer Teil einer Dom ne ist Es sind jedoch noch zus tzliche Konfigurationsschritte erforderlich da der Benutzer zur Herstellung einer Verbindung mit der Datenbank berechtigt sein muss siehe Konfigurieren eines Windows Benutzerkontos f r die Anmeldung am SQL Server Seite 18 und Konfigurieren der Windows Authentisierung f r die Anmeldung am SQL Server Seite 24 Aktivieren Sie Folgende Anmeldeinformationen f r SQL Server Authentisierung anwenden um mit den entsprechenden SQL Anmeldeinformationen auf die Datenbank zuzugreifen Geben Sie die Anmeldeinformationen des SQL Benutzerkontos ein das Ihr SQL Administrator erstellt hat Falls notwendig erhalten Sie diese Informationen von Ihrem SQL Administrator Hinweis Verwenden Sie diese Art der Authentisierung wenn Ihr Computer keiner Dom ne angeh rt Aktivieren Sie SSL verwenden um die Verbindung zum und vom Datenbankserver zu sichern 3 Klicken Sie auf Weiter Die Verbindung zum Datenbankserver ist hergestellt Erstellen oder Ausw hlen einer Datenbank Legen Sie auf der Seite Datenbankeinstellungen fest ob eine existierende Datenbank oder eine neue Datenbank zum Speichern der Administrationsdaten benutzt werden soll 1 Gehen Sie wie folgt vor Wenn noch keine Datenbank existiert w hlen Sie Eine neue Datenbank mit folgendem
98. reichen Betrieb dieser Produktversionen auf einem Endpoint installieren Hinweis Sie finden die Kompatibili tskomponente in Ihrer Produktlieferung Installieren Sie SGFileEncCompLayer msi auf 32 Bit Systemen und SGFileEncCompLayer_x64 msi auf 64 Bit Systemen SafeGuard LAN Crypt 3 7x ist bereits installiert 1 Installieren Sie die Kompatibilit tskomponente auf dem Endpoint 2 Installieren Sie das SafeGuard Pr Installationspaket auf dem Endpoint 3 Installieren Sie SafeGuard Data Exchange auf dem Endpoint SafeGuard Enterprise 2 0 2 23 3 2 5 4 10 2 6 4 Installieren Sie das SafeGuard Client Konfigurationspaket auf dem Endpoint 5 Starten Sie den Endpoint neu Hinweis W hrend der Installation wird unter Umst nden eine Meldung angezeigt die Sie dar ber informiert dass die Komponente SGLC Profile Loader bereits in Gebrauch ist Sie k nnen diese Meldung ignorieren Sie wird dadurch verursacht dass SafeGuard LAN Crypt und SafeGuard Enterprise gemeinsame Komponenten benutzen Die betroffenen Komponenten werden beim Neustart aktualisiert SafeGuard Enterprise 7 0 ist bereits installiert 1 Installieren Sie SafeGuard LAN Crypt 3 7x auf dem Endpoint 2 Installieren Sie die Kompatibili tskomponente auf dem Endpoint 3 Starten Sie den Endpoint neu Hinweis Fr here Versionen beider Produkte k nnen nicht zusammen auf einem Computer installiert werden Wenn Sie zum Beispiel versuchen SafeGuard LAN Crypt 3
99. rheit f r den SafeGuard Enterprise Benutzer zu gew hrleisten Da wir f r die Festplatten selbst keine Sicherheitsgarantien geben k nnen haben wir einen speziellen Installationsschalter implementiert Diesen Schalter k nnen Sie verwenden um Festplatten mit potentiellen Sicherheitsrisiken auf eigene Verantwortung zu benutzen Eine Liste der Festplatten f r die dieser Schalter erforderlich ist sowie weitere Informationen zu unterst tzten Festplatten finden Sie in den SafeGuard Enterprise Release Notes Um den Installationsschalter anzuwenden benutzen Sie folgende Kommandozeilensyntax MSIEXEC i lt name_of_selected_client_msi gt msi IGNORE_OPAL_AUTHORITYCHECK_RESULTS 1 Wenn Sie die Installation mit einem Transform durchf hren m chten Die interne Eigenschaft der msi Datei hat denselben Namen Weitere Informationen zu SafeGuard Enterprise in Kombination mit Opal Festplatten finden Sie in der SafeGuard Enterprise Administratorhilfe und Benutzerhilfe 67 SafeGuard Enterprise 10 10 1 10 2 68 Replikation der SafeGuard Enterprise Datenbank Zur Optimierung der Performance der SafeGuard Enterprise Datenbank l sst sich diese auf mehrere SQL Server replizieren Dieser Abschnitt beschreibt das Aufsetzen der Replikation f r die SafeGuard Enterprise Datenbank in einer verteilten Umgebung In der Beschreibung wird davon ausgegangen dass Sie bereits Erfahrung mit dem Microsoft SQL Server Replikations
100. rk computer zum Beispiel mycompany edu Wenn Sie hier keinen Pfad angeben wird der Benutzer beim ersten Anmelden am Endpoint nach der Installation gefragt wo die Schl sseldatei gespeichert werden soll Die Schl ssel Recovery Datei XML wird f r die Durchf hrung von Recovery Vorg ngen bei durch SafeGuard Enterprise gesch tzten Computern ben tigt Sie wird auf allen durch SafeGuard Enterprise gesch tzten Computern erzeugt Hinweis Stellen Sie sicher dass diese Schl ssel Recovery Datei an einem Speicherort abgelegt wird auf den die Mitarbeiter des Helpdesk Zugriff haben Die Dateien k nnen dem Helpdesk auch durch andere Mechanismen zug nglich gemacht werden Die Datei ist mit dem Unternehmenszertifikat verschl sselt Sie kann also auch auf externen Medien oder auf dem Netzwerk gespeichert werden um sie dem Helpdesk f r Recovery Vorg nge zur Verf gung zu stellen Sie kann auch per E Mail verschickt werden Unter POA Gruppe k nnen Sie eine POA Gruppe ausw hlen die dem Endpoint zugeordnet wird POA Benutzer k nnen f r administrative Aufgaben auf den Endpoint zugreifen nachdem die Power on Authentication aktiviert wurde Um POA Benutzer zuzuweisen m ssen Sie die POA Gruppe zun chst im Bereich Benutzer amp Computer des SafeGuard Management Center anlegen Geben Sie einen Ausgabepfad f r das Konfigurationspaket MSI an Klicken Sie auf Konfigurationspaket erstellen Das Konfigurationspaket MSI wird im angegebenen
101. rprise installieren m chten sollten Sie sicherstellen dass die Volumes nicht bereits mit BitLocker Drive Encryption verschl sselt wurden Andernfalls kann es zu einer Besch digung des Systems kommen Um die BitLocker Drive Encryption Unterst tzung zu installieren deaktivieren Sie entweder User Access Control UAC oder melden Sie sich mit dem integrierten Administrator Benutzerkonto an Vorbereiten einer ndern Installation Wenn Sie eine vorhandene SafeGuard Enterprise Installation ndern oder bestimmte Module zu einem sp teren Zeitpunkt installieren meldet das Installationsprogramm u U dass bestimmte Komponenten z B SafeGuard Removable Media Manager derzeit benutzt werden Diese Meldung wird dadurch verursacht dass diese Module gemeinsame Komponenten benutzen die derzeit verwendet werden und daher nicht sofort aktualisiert werden k nnen Diese Meldung kann ignoriert werden da die betroffenen Komponenten beim Neustart des Computers ohnehin aktualisiert werden 9 4 9 4 1 Installationsanleitung Dieses Verhalten gilt f r die Installation in berwachtem und nicht berwachtem Modus Erzeugen von Konfigurationspaketen Erzeugen Sie je nach erforderlicher Konfiguration die passenden Konfigurationspakete f r die Endpoints im SafeGuard Management Center F r zentral verwaltete Windows Endpoints Pakete f r Managed Clients F r Standalone Windows Endpoints Pakete f r Standalone Clients F r Macs Pakete f
102. rver und SafeGuard Enterprise Client verwenden muss der IIS Server daf r eingerichtet werden siehe Sichern von Transportverbindungen mit SSL Seite 40 Ein Zertifikat muss ausgestellt und der IIS Server so konfiguriert werden dass er SSL verwendet und auf das Zertifikat zeigt Der Servername den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben muss identisch sein mit dem Servernamen den Sie vorab im SSL Zertifikat angegeben haben Sonst k nnen Client und Server nicht miteinander kommunizieren F r jeden SafeGuard Enterprise Server wird ein separates SSL Zertifikat ben tigt Wenn Sie Network Load Balancer einsetzen vergewissern Sie sich dass der Portbereich den SSL Port mit einschlie t NET Framework 4 und ASPNET 4 muss installiert sein Das Programm steht in der SafeGuard Enterprise Produktlieferung zur Verf gung 2 3 2 1 3211 Installationsanleitung Installation und Konfiguration von Microsoft Internet Information Services IIS Dieser Abschnitt beschreibt wie Sie Microsoft Internet Information Services IIS f r den Betrieb mit SafeGuard Enterprise Server vorbereiten Installieren und Konfigurieren von IIS 7 7 5 auf Microsoft Windows Server 2008 2008 R2 IIS ist kostenlos verf gbar Sie finden das Programm z B auf Ihrer Windows DVD oder auf der Microsoft Website 1 Klicken Sie im Start Men auf Alle Programme Administration und dann auf Server Manager 2 Klicken Sie im Server M
103. saaa ee nn na 49 9 3 Vorbereiten der Endpoints f r die Verschl sselung uu44 nennen 50 9 4 Erzeugen von Konfigurationspaketen usunennnnnnennnnnnnnnnnnnnnnnnnnnnnnnnn nn nam 53 9 5 Installation der Verschl sselungssoftware uuuursssennnnnnnnnnnnnnnnnnnnnnnnnnnn nn 55 9 6 Lokales Installieren der Verschl sselungssoftware f r Mac 65 9 7 Installation gem FIPS 2n444000rnnnannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnn 65 9 8 Installation auf selbst verschl sselnden Opal Festplatten 66 10 Replikation der SafeGuard Enterprise Datenbank ussseennnnnennnnennnnnnnnnnnnnn 68 10 1 Merggreplikation u 2 4882er esnihe 68 10 2 Einrichten der Datenbankreplikation urrsssnnnnnnennnnnennnennnnnennennnn nn 68 10 3 Installieren und Registrieren von SafeGuard Enterprise Servern 70 10 4 Erzeugen der Konfigurationspakete f r die Datenbank Graz 70 10 5 Erzeugen der Konfigurationspakete f r die Datenbank Linz 71 10 6 Installieren der SafeGuard Enterprise Server Konfigurationspakete 71 10 7 Einrichten des Endpoint 444sr44ssnnnnnnennnnnnnenennnnnnnnnnnnnnnnnnnnnnnnnnnrnnnnnn 72 11 Deinstallation berlin en ae a ae a ee et 73 11 1 Best Practices f r die Deinstallation r 244440nennnnnennnnnnnnnennen nenn 73 11 2 D
104. ssel Damit alle anderen Richtlinien die Verschl sselung mit benutzerdefinierten Schl sseln umfassen auf dem durch SafeGuard Enterprise gesch tzten Endpoint wirksam werden muss das entsprechende Konfigurationspaket auch noch einmal der Organizational Unit des Endpoint zugewiesen werden Die benutzerdefinierten Schl ssel werden dann erst erstellt wenn der Endpoint wieder eine Verbindung zum SafeGuard Enterprise Server hergestellt hat Ursache hierf r ist dass der definierte Computerschl ssel direkt auf dem durch SafeGuard Enterprise gesch tzten Endpoint beim ersten Neustart nach der Installation erstellt wird Benutzerdefinierte Schl ssel hingegen k nnen nur auf dem Endpoint erstellt werden wenn er beim SafeGuard Enterprise Server registriert wurde Einschr nkungen f r die Unterst tzung von BitLocker Drive Encryption Es kann entweder die SafeGuard Enterprise volume basierende Verschl sselung oder die BitLocker Laufwerkverschl sselung verwendet werden Die gleichzeitige Verwendung beider Verschl sselungstypen ist nicht m glich Wenn Sie den Verschl sselungstyp ndern m chten m ssen Sie zuerst alle verschl sselten Laufwerke entschl sseln die SafeGuard Enterprise Verschl sselungssoftware deinstallieren und dann mit den gew nschten Features neu installieren Der Installer verhindert die gleichzeitige Installation beider Features Die Deinstallation und Neuinstallation ist auch dann erforderlich wenn kein Konfigurationspaket
105. sseln auf Ja ein Weisen Sie die Richtlinie den relevanten Endpoints zu Erstellen Sie eine Richtlinie vom Typ Ger teschutz w hlen Sie die Ziele die entschl sselt werden sollen und stellen Sie den Verschl sselungsmodus f r Medien auf Keine Verschl sselung ein Legen Sie unter Benutzer amp Computer eine Gruppe f r die Computer an die Sie entschl sseln m chten Rechtsklicken Sie auf den Dom nenkonten an dem Sie die Gruppe erstellen m chten W hlen Sie dann Neu gt Neue Gruppe erzeugen W hlen Sie den Dom nenknoten dieser Gruppe und weisen Sie die Entschl sselungsrichttlinie zu indem Sie die Richtlinie aus der Verf gbare Richtlinien Liste in die Registerkarte Richtlinien ziehen Aktivieren Sie die Richtlinie indem Sie jetzt die Gruppe aus der Liste der Verf gbaren Gruppen in den Bereich Aktivierung ziehen Stellen Sie in der Registerkarte Richtlinien des Dom nenknotens sicher dass die Priorit t auf 1 gesetzt und die Einstellung Kein berschreiben aktiviert ist Stellen Sie im Bereich Aktivierung des Dom nenknotens sicher dass nur Mitglieder der Gruppe von dieser Richtlinie betroffen sind W hlen Sie im Benutzer amp Computer Navigationsbereich die Gruppe rechtsklicken Sie auf die im Aktionsbereich angezeigte Mitglieder Registerkarte und klicken Sie auf Hinzuf gen um die Computer die Sie entschl sseln m chten zur Gruppe hinzuzuf gen F hren Sie auf dem Endpoint der entschl sselt werden soll ein
106. st eine Microsoft Gruppenrichtlinie zu verwenden Dies wird in diesem Abschnitt beschrieben Falls Sie eine andere Methode verwenden wollen stellen Sie sicher dass das Zertifikat im Zertifikatspeicher des lokalen Computers abgelegt ist Zuweisen eines Zertifikats mittels Gruppenrichtlinie 43 SafeGuard Enterprise 44 ffnen Sie die Gruppenrichtlinienverwaltung Suchen Sie ein existierendes oder erstellen Sie ein neues GPO Gruppenrichtlinienobjekt das die Zertifikatseinstellungen beinhalten soll Vergewissern Sie sich dass das GPO mit der Domain Site oder Organisationseinheit verbunden ist deren Benutzer mit der Richtlinie verwaltet werden sollen Klicken Sie auf das GPO und w hlen Sie Bearbeiten Der Gruppenrichtlinienverwaltungs Editor ffnet sich und zeigt den aktuellen Inhalt des Richtlinienobjekts an ffnen Sie im Navigationsbereich Computerkonfiguration gt Windows Einstellungen gt Sicherheitseinstellungen gt Richtlinien f r ffentliche Schl ssel gt Vertrauensw rdige Herausgeber Klicken Sie das Aktionen Men und klicken Sie dann auf Importieren Folgen Sie den Anweisungen im Zertifikatimport Assistent um das Zertifikat zu finden und zu importieren Wenn das Zertifikat selbst signiert ist und nicht auf ein Zertifikat zur ckverfolgt werden kann das im Zertifikatsspeicher Vertrauensw rdigen Stammzertifizierungsstellen liegt dann m ssen die das Zertifikat auch in diesen Z
107. stallation an Ihre Macs Service Accounts f r die Durchf hrung von Aufgaben nach der Installation Wenn Sie SafeGuard Enterprise ber einen zentralen Rollout Vorgang installieren m chten empfehlen wir die Konfiguration einer Service Account Liste Ein IT Administrator der zu einer Service Account Liste hinzugef gt wurde kann sich nach der Installation von SafeGuard Enterprise an Endpoints anmelden ohne die Power on Authentication zu aktivieren Ein solches Vorgehen ist empfehlenswert da normalerweise der erste Benutzer der sich nach der Installation an einem Endpoint anmeldet als prim res Benutzerkonto zur POA hinzugef gt wird Die in den Listen enthaltenen Benutzer werden als SafeGuard Enterprise Gastbenutzer behandelt Mit Service Accounts ergibt sich folgender Workflow SafeGuard Enterprise wird auf einem Endpoint installiert Der Endpoint wird neu gestartet und ein Rollout Beauftragter der in einer Service Account Liste aufgef hrt ist meldet sich ber die Windows Eingabe Aufforderung an Gem der auf den Endpoint angewendeten Service Account Liste wird der Benutzer als Service Account erkannt und als Gastbenutzer behandelt Der Rollout Beauftragte wird nicht zur POA hinzugef gt und die POA wird nicht aktiviert Der Endbenutzer kann sich anmelden und die POA aktivieren Hinweis Service Account Listen m ssen Sie in einer Richtlinie anlegen und diese der ersten Richtliniengruppe des ersten Konfigurationspake
108. t werden F r die Deinstallation der Sophos SafeGuard Festplattenverschl sselung m ssen alle volume basierend verschl sselten Volumes einen Laufwerksbuchstaben haben Installationsanleitung Deinstallieren Sie jeweils immer das komplette Paket mit allen installierten Features Bearbeiten Sie im SafeGuard Management Center die Richtlinie vom Typ Spezifische Computereinstellungen Stellen Sie die Option Deinstallation erlaubt auf Ja ein Legen Sie unter Benutzer amp Computer eine Gruppe f r die Computer an die Sie entschl sseln m chten Rechtsklicken Sie auf den Dom nenkonten an dem Sie die Gruppe erstellen m chten W hlen Sie dann Neu gt Neue Gruppe erzeugen W hlen Sie den Dom nenknoten dieser Gruppe und weisen Sie die Richtlinien zum Deinstallieren zu indem Sie die Richtlinie aus der Verf gbare Richtlinien Liste in die Registerkarte Richtlinien ziehen Aktivieren Sie die Richtlinie indem Sie jetzt die Gruppe aus der Liste der Verf gbaren Gruppen in den Bereich Aktivierung ziehen Stellen Sie in der Registerkarte Richtlinien des Dom nenknotens sicher dass die Priorit t auf 1 gesetzt und die Einstellung Kein berschreiben aktiviert ist Stellen Sie im Bereich Aktivierung des Dom nenknotens sicher dass nur Mitglieder der Gruppe von dieser Richtlinie betroffen sind F gen Sie die Endpoints bei denen die Deinstallation ausgef hrt werden soll zur Gruppe hinzu Wenden Sie zum Starten der Deinstallation ein
109. t werden damit die Sicherung der Kerneldaten erfolgreich abgeschlossen werden kann Zus tzliche Konfiguration kann erforderlich sein damit sich die Power on Authentication POA auf jeder Hardware Plattform korrekt verh lt Die meisten Hardware Konflikte lassen sich mit Hilfe von Hotkeys Funktionalit ten beheben die in die POA integriert sind Hotkeys k nnen nach der Installation konfiguriert werden entweder in der POA selbst oder ber eine zus tzliche Konfigurationseinstellung die dem Windows Installer Befehl msiexec mitgegeben wird Weitere Informationen finden Sie unter http www sophos com de de support knowledgebase 107781 aspx http www sophos com de de support knowledgebase 107785 aspx 60 Installationsanleitung 9 5 3 3 Kommandozeilenoptionen f r die zentrale Installation Wir empfehlen f r die zentrale Installation ein Skript mit der Windows Installer Komponente msiexec zu erstellen Msiexec f hrt eine vorkonfigurierte SafeGuard Enterprise Installation automatisch aus Msiexec ist in Windows enthalten Weitere Informationen finden Sie unter http msdn microsoft com en us library aa367988 VS 85 aspx Kommandozeilen Syntax msiexec i lt pathtmsi package name gt qn ADDLOCAL ALL lt SGN Features gt lt SGN parameter gt Die Kommandozeilensyntax setzt sich folgenderma en zusammen a Windows Installer Parameter die z B Warnungen und Fehlermeldungen w hrend der Installation in eine Datei protokollieren
110. te Schl sseldatei ein Die private Schl sseldatei wird erzeugt und die Datei wird am angegebenen Speicherort gespeichert lt mso_name p12 Hinweis Erstellen Sie eine Sicherungskopie des privaten Schl ssels P12 Datei und legen Sie diese direkt nach der Erstkonfiguration an einem sicheren Speicherort ab Andernfalls f hrt ein eventueller PC Absturz zum Verlust des Schl ssels und SafeGuard Enterprise muss neu installiert werden Das gilt f r alle von SafeGuard Enterprise generierten Sicherheitsbeauftragten Zertifikate Weitere Informationen finden Sie in der SafeGuard Enterprise Administratorhilfe im Kapitel Unternehmenszertifikat und Master Security Officer Zertifikat exportieren Import des Zertifikats des Haupt Sicherheitsbeauftragten Wenn bereits ein Zertifikat eines Haupt Sicherheitsbeauftragten zur Verf gung steht m ssen Sie es in den Zertifikatsspeicher importieren Hinweis Ein Zertifikat kann nicht aus einer Microsoft PKI importiert werden Ein importiertes Zertifikat muss minimal 1024 Bits haben und kann maximal 4096 Bits lang sein 1 Klicken Sie unter Authentisierungs Schl sseldatei importieren auf die Schaltfl che und w hlen Sie die Schl sseldatei aus Geben Sie das Kennwort der Schl sseldatei ein Geben Sie das Kennwort f r den Zertifikatsspeicher ein Best tigen Sie das Kennwort f r den Zertifikatsspeicher 5 Klicken Sie auf OK Zertifikat und privater Schl ssel befinden sich nun im Zertifikatsspe
111. tenbank Skripte zur Verf gung CreateDatabase sql CreateTables sql Die folgende Beschreibung der Arbeitsschritte wendet sich an SQL Administratoren und bezieht sich auf Microsoft SQL Server 2008 Standard Edition Als SQL Administrator ben tigen Sie das Recht zum Erstellen einer Datenbank 1 Kopieren Sie die Skripte CreateDatabase sql und CreateTables sql aus der SafeGuard Enterprise Produktlieferung auf den SQL Server 2 Doppelklicken Sie auf dem Skript CreateDatabase sql Das Programm SQL Server Management Studio wird aufgerufen 3 Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an 4 berpr fen Sie ob die beiden Zielpfade die zu Beginn des Skripts unter FILENAME MDF LDF angegeben sind auf der lokalen Festplatte vorhanden sind Korrigieren Sie sie wenn n tig 5 Klicken Sie auf die Schaltfl che Ausf hren in der Symbolleiste um die Datenbank zu erzeugen Sie haben die Datenbank SafeGuard angelegt Erzeugen Sie anschlie end die Tabellen mit Hilfe des Skripts Create Tables sql aus der Produktlieferung 6 Doppelklicken Sie auf CreateTables sql Ein weiterer Bereich wird in Microsoft SQL Server Management Studio ge ffnet 7 Geben Sie am Beginn des Skripts use SafeGuard ein um die SafeGuard Enterprise Datenbank auszuw hlen in der die Tabellen erstellt werden sollen 4 3 4 4 Installationsanleitung 8 Klicken Sie auf die Schaltfl che Ausf hren in der Symbolleiste um die Tabellen zu erzeuge
112. thentisierung anwenden w hlen geben Sie die SQL Benutzerkontenanmeldedaten ein die Ihr SQL Administrator erstellt hat Klicken Sie auf Weiter 5 Aktivieren Sie unter Datenbankeinstellungen die Option Folgende bestehende Datenbank verwenden und w hlen Sie die Datenbank aus der Liste aus Klicken Sie auf Weiter 33 SafeGuard Enterprise ei SL 5 7 2 34 6 W hlen Sie unter SafeGuard Management Center Authentisierung eine autorisierte Person aus der Liste aus Wenn Multi Tenancy aktiviert ist zeigt der Dialog an an welcher Konfiguration sich der Benutzer anmeldet Geben Sie das Kennwort f r den Zertifikatsspeicher ein und best tigen Sie es Der Zertifikatsspeicher f r das aktuelle Benutzerkonto wird angelegt und ist durch dieses abgesichert F r die nachfolgenden Anmeldungen ben tigen Sie nur noch dieses Kennwort 7 Klicken Sie auf OK Eine Meldung dass Zertifikat und privater Schl ssel nicht gefunden bzw nicht darauf zugegriffen werden kann wird angezeigt 8 Klicken Sie zum Importieren der Daten auf Ja und dann auf OK Dadurch wird der Importvorgang gestartet 9 Klicken Sie unter Authentisierungs Schl sseldatei importieren auf die Schaltfl che und w hlen Sie die Schl sseldatei aus Geben Sie das Kennwort der Schl sseldatei ein Geben Sie das zuvor unter Kennwort des Zertifikatsspeichers oder Token PIN definierte Kennwort f r den Zertifikatsspeicher ein W hlen Sie In den Zertifikatsspeicher impor
113. tieren oder Auf den Token kopieren um das Zertifikat auf einem Token zu speichern 10 Geben Sie zur Initialisierung des Zertifikatsspeichers das Kennwort noch einmal ein Zertifikat und privater Schl ssel befinden sich nun im Zertifikatsspeicher Zur Anmeldung an das SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet Anmeldung am SafeGuard Management Center Die Anmeldung richtet sich danach ob Sie das SafeGuard Management Center im Single Tenancy Modus oder im Multi Tenancy Modus einsetzen Informationen zu den ersten Arbeitsschritten im SafeGuard Management Center finden Sie in der SafeGuard Enterprise Administratorhilfe Anmeldung im Single Tenancy Modus 1 Starten Sie das SafeGuard Management Center ber das Start Men Ein Anmeldebildschirm wird angezeigt 2 Melden Sie sich als Haupt Sicherheitsbeauftragter an und geben Sie das Zertifikatsspeicherkennwort ein das w hrend der Konfiguration festgelegt wurde Klicken Sie auf OK Das SafeGuard Management Center wird gestartet Hinweis Wenn Sie ein falsches Kennwort eingeben wird eine Fehlermeldung angezeigt und die n chste Anmeldung wird verz gert Diese Verz gerung wird mit jedem fehlgeschlagenen Anmeldeversuch gr er Fehlgeschlagene Anmeldeversuche werden protokolliert Anmeldung im Multi Tenancy Modus Wenn Sie mehrere Datenbanken konfiguriert haben Multi Tenancy erweitert sich der Anmeldevorgang am SafeGuard Management Center
114. ts zuweisen das Sie nach der Installation der Verschl sselungssoftware auf dem Endpoint installieren Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Administrator Hilfe Installation der Verschl sselungssoftware F r das Einrichten der SafeGuard Enterprise Verschl sselungssoftware auf Endpoints gibt es zwei M glichkeiten Lokales Installieren der Verschl sselungssoftware Dies ist zum Beispiel f r eine Testinstallation empfehlenswert Zentrales Installieren der Verschl sselungssoftware Dadurch wird eine standardisierte Installation auf mehreren Endpoints erreicht Bevor Sie mit der Installation beginnen pr fen Sie die verf gbaren Installationspakete und Features f r zentral verwaltete Endpoints und Standalone Engpoints Die Installationsschritte f r beide Varianten sind identisch mit der Ausnahme dass f r jeden der beiden ein unterschiedliches Konfigurationspaket zugeordnet werden muss Das Verhalten des Endpoint bei der ersten Anmeldung nach der Installation von SafeGuard Enterprise und der Aktivierung der Power on Authentication ist in der SafeGuard Enterprise Benutzerhilfe beschrieben 55 SafeGuard Enterprise 9 5 1 Installationspakete und Features 56 Die folgende Tabelle zeigt die Installationspakete und Features der SafeGuard Enterprise Verschl sselungssoftware auf Endpoints Sie finden die Installationspakete im Installers Ordner Ihrer Produktlieferung Hinweis Wenn das Betriebssyst
115. uftragten zu erzeugen Sie werden dazu aufgefordert sowohl f r den Zertifikatsspeicher als auch f r die Datei in die das Zertifikat exportiert werden soll private Schl sseldatei P12 jeweils ein Kennwort einzugeben und zu best tigen Das Zertifikat wird erzeugt und unter Zertifikat f r den Haupt Sicherheitsbeauftragten angezeigt Klicken Sie auf Importieren um ein Zertifikat f r den Haupt Sicherheitsbeauftragten zu verwenden das bereits auf dem Netz zur Verf gung steht Suchen Sie unter Importieren des Zertifikats die gesicherte Schl sseldatei Geben Sie unter Kennwort f r Schl sseldatei das f r diese Datei festgelegte Kennwort ein und best tigen Sie es Geben Sie unter Kennwort des Zertifikatsspeichers das Kennwort f r den Zertifikatsspeicher ein und best tigen Sie es Klicken Sie auf OK Das Zertifikat wird importiert und unter Zertifikat f r den Haupt Sicherheitsbeauftragten angezeigt Der Haupt Sicherheitsbeauftragte ben tigt das Kennwort des Zertifikatsspeichers f r die Anmeldung am SafeGuard Management Center Notieren Sie sich das Kennwort und bewahren Sie es an einem sicheren Ort auf Steht das Kennwort nicht mehr zur Verf gung so kann sich der Haupt Sicherheitsbeauftragte nicht mehr am SafeGuard Management Center anmelden F r die Wiederherstellung einer besch digten SafeGuard Management Center Installation ben tigt der Haupt Sicherheitsbeauftragte die private Schl sseldatei 3 Klicken Sie auf Weiter Der Ha
116. upt Sicherheitsbeauftragte wird angelegt Erzeugen des Zertifikats des Haupt Sicherheitsbeauftragten Gehen Sie in Zertifikat des Haupt Sicherheitsbeauftragten erzeugen folgenderma en vor 1 Best tigen Sie unter Haupt Sicherheitsbeauftragten ID den Namen des Haupt Sicherheitsbeauftragten 2 Geben Sie nun zweimal das Kennwort f r den Zertifikatsspeicher ein und klicken Sie auf OK Das Zertifikat des Haupt Sicherheitsbeauftragten wird erzeugt und lokal als Backup lt mso_name gt cer gespeichert Hinweis Notieren Sie sich das Kennwort und bewahren Sie es an einem sicheren Ort auf Sie m ssen sich am SafeGuard Management Center anmelden Export des Zertifikats des Haupt Sicherheitsbeauftragten Das Zertifikat des Haupt Sicherheitsbeauftragten wird in eine Datei exportiert die so genannte private Schl sseldatei P12 Diese ist mit einem Kennwort gesichert Das Zertifikat des Haupt Sicherheitsbeauftragten ist dadurch zus tzlich gesch tzt Die private Schl sseldatei wird f r die Wiederherstellung einer besch digten SafeGuard Management Center Installation ben tigt 9 4 6 3 9 4 7 Installationsanleitung So exportieren Sie das Zertifikat eines Haupt Sicherheitsbeauftragten 1 Geben Sie unter Zertifikat exportieren ein Kennwort f r den privaten Schl ssel P12 Datei ein und best tigen Sie es Das Kennwort muss aus 8 alphanumerischen Zeichen bestehen 2 Klicken Sie auf OK 3 Geben Sie einen Speicherort f r die priva
117. ware 4 Installieren Sie das Paket das Sie weiterhin benutzen m chten neu Deinstallation der SafeGuard Enterprise Verschl sselungssoftware F hren Sie zum Deinstallieren der SafeGuard Enterprise Verschl sselungssoftware folgende Schritte durch Entschl sseln Sie verschl sselte Daten a Deinstallieren Sie die Verschl sselungssoftware Damit Entschl sselung und Deinstallation m glich sind m ssen auf den Endpoints die entsprechenden Richtlinien wirksam sein Verhindern einer Deinstallation auf den Endpoints Um den Schutz f r Endpoints noch zu verst rken empfehlen wir dass Sie die lokale Deinstallation von SafeGuard Enterprise auf Endpoints verhindern Setzen Sie das Feld Deinstallation erlaubt in einer Spezifische Computereinstellungen Richtlinie auf Nein und bermitteln Sie die Richtlinie an die Endpoints Versuche die Software zu deinstallieren werden daraufhin abgebrochen und die nicht autorisierten Versuche werden protokolliert Entschl sseln von verschl sselten Daten Folgende Voraussetzung muss erf llt sein 73 SafeGuard Enterprise F r die Entschl sselung von verschl sselten Volumes m ssen alle volume basierend verschl sselten Volumes einen Laufwerksbuchstaben haben 1 Bearbeiten Sie im SafeGuard Management Center die aktuelle Richtlinie vom Typ Ger teschutz den den zu entschl sselnden Computern zugewiesen ist W hlen Sie die Ziele und stellen Sie die Option Benutzer darf Volume entschl
118. zerkontos f r die Anmeldung am 18 SQL Server Die folgende Beschreibung der einzelnen Konfigurationsschritte wendet sich an SQL Administratoren und bezieht sich auf Microsoft Windows Server 2008 und Microsoft SQL Server 2014 Standard oder Express Edition Als SQL Administrator ben tigen Sie das Recht zum Anlegen von Benutzerkonten 1 ffnen Sie SQL Server Management Studio Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an 2 ffnen Sie den Objekt Explorer klicken Sie mit der rechten Maustaste auf Sicherheit w hlen Sie Neu und klicken Sie dann auf Anmeldungen 3 W hlen Sie unter Anmeldung Neu auf der Allgemein Seite die Option Windows Authentifizierung 4 Klicken Sie auf Suchen Suchen Sie nach dem relevanten Windows Benutzernamen und klicken Sie auf OK Der Benutzername wird als Anmeldename angezeigt 5 Wenn noch keine SafeGuard Enterprise Datenbank durch ein Skript angelegt wurde w hlen Sie unter Standarddatenbank die Option Master 6 Klicken Sie auf OK Installationsanleitung 7 Um die Datenbank automatisch w hrend der Erstkonfiguration des SafeGuard Management Centers zu erzeugen m ssen Sie die Zugriffsrechte wie folgt ndern Weisen Sie jetzt unter Anmeldung Neu die Zugangsberechtigungen Rollen zu indem Sie links auf Serverrollen klicken W hlen Sie dbcreator Nach der Installation von SafeGuard Enterprise kann die Datenbankrolle auf dbowner zur ckgesetzt werden olx i h
119. zwungen Force L lt path filename gt Protokolliert alle Warnungen und Fehlermeldungen in die angegebene Protokolldatei Der Parameter Le lt Pfad Dateiname gt protokolliert ausschlie lich Fehlermeldungen Installdir Gibt das Verzeichnis an in das die SafeGuard Enterprise lt Verzeichnis gt Verschl sselungssoftware installiert werden soll Ohne Angabe wird als Standardinstallationsverzeichnis lt SYSTEM gt PROGRAMME SOPHOS verwendet 9 5 3 4 Feature Parameter f r die ADDLOCAL Option Sie m ssen Sie bereits im Vorfeld definieren welche Features auf den Endpoints installiert werden sollen Die Feature Namen werden als Parameter zur Kommandozeilenoption ADDLOCAL hinzugef gt Listen Sie die Features nach der Eingabe der Option ADDLOCAL auf Trennen Sie die Features durch Kommas nicht durch Leerzeichen Achten Sie au erdem auf die Gro Kleinschreibung Wenn Sie ein Feature ausw hlen m ssen Sie auch alle bergeordneten Features Feature Parents zur Kommandozeile hinzuf gen Bitte beachten Sie dass die Feature Namen von den zugeh rigen Modulnamen abweichen k nnen Sie finden sie in untenstehender Tabelle in Klammern a Die Features Client und CredentialProvider m ssen Sie standardm ig auflisten In den folgenden Tabellen sind alle Features aufgelistet die auf den Endpoints installiert werden k nnen Weitere Informationen finden Sie unter Installationspakete und Features Seite 56 Fe

Download Pdf Manuals

Related Search

Related Contents

Yamaha DD-20 Owner's Manual  SITRANS TH400  Sencor SLE 3210M4  Electro Adda catalogo Serie C  Manual de Utilização  Guida all`installazione dei cancelli motorizzati  User's Manual  TeleMatrix LP550 Speaker Phone User Guides  ノンスリップ仕上げ用フィラー  User Guide - B&H Photo Video Digital Cameras, Photography  

Copyright © All rights reserved. Failed to retrieve file