SafeGuard Enterprise Installationsanleitung
Contents
1. SGN Client_1 SGN Client_n SGN Client 1 SGN Client_n Erzeugen der Master Datenbank Legen Sie zun chst die SafeGuard Enterprise Master Datenbank an In unserem Beispiel ist dies die Datenbank Wien Der Vorgang zum Erzeugen der Master Datenbank ist mit dem entsprechenden Vorgang f r eine SafeGuard Enterprise Installation ohne Replikation identisch E Erzeugen der Master Datenbank im SafeGuard Management Center Konfigurationsassistenten F r diesen Vorgang muss das SafeGuard Management Center bereits installiert sein F r weitere Informationen siehe Starten der Erstkonfiguration des SafeGuard Management Centers Seite 32 E Erzeugen Sie die Master Datenbank mit einem SQL Skript Sie finden SQL Skripte in Ihrer Produktlieferung Dieser Vorgang wird h ufig bevorzugt wenn erweiterte SQL Berechtigungen w hrend der SafeGuard Management Konfiguration nicht erw nscht sind F r weitere Informationen siehe Erzeugen der SafeGuard Enterprise Datenbank per Skript Seite 26 Erzeugen der Replikationsdatenbanken Graz und Linz Nach dem Einrichten der Master Datenbank erzeugen Sie die Replikationsdatenbanken Im Beispiel haben die Replikationsdatenbanken die Bezeichnungen Graz und Linz Hinweis Datentabellen und EVENT Tabellen werden in getrennten Datenbanken gehalten Ereigniseintr ge werden standardm ig nicht verkettet so dass die EVENT Datenbank zur 83 SafeGuard Enterprise 12 3 12 4 84 Erh hung der Performanc2. 14 4 14 5 102 3 Sie werden dazu aufgefordert die Umwandlung der Verschl sselungsschl ssel in ein SafeGuard Enterprise kompatibles Format zu best tigen E Wenn Sie die Umwandlung best tigen so ist der Zugriff auf die migrierten Daten in vollem Umfang m glich E Wenn Sie die Umwandlung ablehnen lassen sich die migrierten Daten noch zum Lesen und Schreiben ffnen Migration von Endpoints auf eine andere Lizenz Sie k nnen bei Endpoints auf denen nur die dateibasierende Verschl sselung SGNClient_withoutDE msi installiert ist eine Migration f r die Unterst tzung von SafeGuard Device Protection Festplattenverschl sselung SGNClient msi durchf hren 1 Deinstallieren Sie auf dem Endpoint das Paket SGNClient_withoutDE msi 2 Deinstallieren Sie das relevante Konfigurationspaket 3 Installieren Sie das SGNClient msi Paket aus dem Install Ordner des Produkts Ein Assistent f hrt Sie durch die Installation bernehmen Sie die Standardeinstellungen und w hlen eine Vollst ndige Konfiguration um alle verf gbaren Verschl sselungs Features zu installieren 4 Erstellen Sie ein neues Konfigurationspaket und installieren Sie es auf dem Endpoint Hinweis Die w hrend der Installation des SGNClient_withoutDE msi Installationspakets erzeugten Schl ssel stehen immer noch zur Verf gung F r Informationen zum Hinzuf gen von SafeGuard Configuration Protection auf einem Endpoint siehe Einrichten von SafeGuard Config
3. E Die anbieterspezifische Cloud Storage Software muss eine Anwendung oder einen Systemdienst im lokalen Dateisystem f r die Synchronisierung zwischen der Cloud und dem lokalen System enthalten E Die anbieterspezifische Cloud Storage Software muss die synchronisierten Daten im lokalen Dateisystem speichern Hinweis Cloud Storage verschl sselt nur neue in der Cloud gespeicherte Daten Wurden Daten bereits vor der Installation von Cloud Storage in der Cloud gespeichert so werden diese Daten nicht automatisch verschl sselt Um diese Daten zu verschl sseln m ssen die Benutzer sie zun chst aus der Cloud entfernen und sie nach der Installation von Cloud Storage wieder an die Cloud bergeben Vorbereitung f r die Unterst tzung von BitLocker Drive Encryption Hinweis Bevor Sie mit der Installation beginnen entscheiden Sie ob Sie SafeGuard Enterprise in Verbindung mit der BitLocker Drive Encryption oder die SafeGuard Enterprise Device Protection anwenden m chten Wenn Sie versuchen beides gleichzeitig zu installieren wird die Installation abgebrochen Wenn Sie mit SafeGuard Enterprise BitLocker Endpoints verwalten m chten treffen Sie folgende spezifische vorbereitende Ma nahmen auf dem Endpoint E Aufdem Endpoint muss Windows Vista Enterprise oder Ultimate oder Windows 7 installiert sein E Es muss eine zweite Partition f r das BitLocker System Volume mit einer NTFS formatierten Klartextpartition mit mindestens 1 5 GB vorhande
4. SafeGuard Enterprise for Windows unterst tzt keine Apple Hardware und kann nicht in einer Boot Camp Umgebung installiert werden Um SafeGuard Enterprise auf mehreren Betriebssystemen zu installieren f hren Sie die folgenden Installationsschritte durch Schritt Beschreibung Paket Tool 1 Laden Sie die Installer herunter 2 Richten Sie das SGNClientRuntime msi Runtime System auf dem SGNClientRuntime_x64 msi sekund ren Boot Laufwerk des Endpoint ein 3 Statten Sie die Endpoints mit SGxClientPreinstall msi notwendigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware aus 4 Installieren Sie das SafeGuard SGNClient msi Device Encryption Paket auf SGNClient_x64 msi dem prim ren Boot Laufwerk des Endpoint 5 Erstellen Sie das erste Konfigurationspakete Funktion Konfigurationspaket f r die im SafeGuard Management Endpoint Konfiguration Center berpr fen der Systemanforderungen Bevor Sie SafeGuard Enterprise installieren pr fen Sie die Systemanforderungen Informationen zu Hardware und Software Anforderungen Service Packs sowie Festplattenspeicherbedarf f r Installation und effektiven Betrieb finden Sie im Abschnitt zu den Systemanforderungen in den aktuellen Versionsinfos http de sophos com support knowledgebase article 114138 html Installer Download 1 Laden Sie die Installer von der Sophos Website herunter Sie erhalten hierzu von Ih
5. 3 W hlen Sie die Registerkarte Server und klicken Sie auf Hinzuf gen 4 Klicken Sie unter Serverregistrierung auf die Schaltfl che um das Maschinenzertifikat des Servers auszuw hlen Es wird bei der Installation des SafeGuard Enterprise Servers erzeugt Sie finden es standardm ig im Verzeichnis MachCert des SafeGuard Enterprise Server Installationsverzeichnisses Es tr gt den Dateinamen lt Computername gt cer Wenn der SafeGuard Enterprise Server auf einem anderen Computer als das SafeGuard Management Center installiert ist muss diese cer Datei als Kopie oder Netzwerkfreigabe zugreifbar sein W hlen Sie nicht das MSO Zertifikat Der Fully Qualified Name FQDN z B server mycompany com sowie Zertifikatsinformationen werden angezeigt Hinweis Wenn SSL als Transportverschl sselung zwischen Endpoint und Server verwendet werden soll muss der Servername den Sie hier eingeben mit dem Servernamen bereinstimmen den Sie im SSL Zertifikat vergeben haben Andernfalls ist keine Kommunikation m glich 5 Klicken Sie auf OK Die Serverinformationen werden in der Registerkarte Server angezeigt 6 Klicken Sie auf die Registerkarte Server Pakete Hier werden alle verf gbaren Server angezeigt W hlen Sie dort den gew nschten Server aus Geben Sie einen Ausgabepfad f r das Konfigurationspaket an Klicken Sie auf Konfigurationspaket erstellen Ein Server Konfigurationspaket MSI mit der Bezeichnung lt S erver gt
6. 1 Installieren Sie das aktuelle Pr Installationspaket SGxClientPreinstall msi das den Endpoint mit den n tigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware ausstattet Verwenden Sie keine veralteten Pr Installationspakete 2 Installieren Sie aus dem Install Ordner des Produkts die aktuelle Version der Sophos SafeGuard Verschl sselungssoftware siehe Zentrale Installation der Verschl sselungssoftware Seite 64 Der Windows Installer erkennt welche Features bereits installiert sind und installiert auch nur diese Features neu Wenn die Power on Authentication installiert ist steht nach erfolgreicher Migration Richtlinien Schl ssel usw auch ein aktualisierter POA Kernel zur Verf gung Sophos SafeGuard wird auf dem Endpoint automatisch neu gestartet Um mit der Aktualisierung neue Features zu installieren w hlen Sie eine Installation vom Typ Angepasst aus W hlen Sie dann die neuen Features und die zu aktualisierenden Features Bei einer nicht berwachten Installation verwenden Sie die Eigenschaft ADDLOCAL zur Auswahl der gew nschten Features vorhandene und neue 3 Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete W hlen Sie Konfigurationspaket managed erstellen 4 Weisen Sie dieses Paket dem Endpoint ber eine Gruppenrichtlinie zu Die Authentisierung ist deaktiviert da die Benutzer Computer Zuordnung nicht migriert wird Nach de
7. 9 2 2 Einschr nkungen f r Standalone Endpoints Die folgenden Features werden f r Standalone Endpoints Sophos SafeGuard Clients Standalone nicht unterst tzt E BitLocker Drive Encryption BitLocker To Go E SafeGuard Configuration Protection E File Share 53 SafeGuard Enterprise 54 9 3 Vorbereiten der Endpoints f r die Verschl sselung Vor der Installation von SafeGuard Enterprise empfehlen wir folgende vorbereitende Ma nahmen Auf dem Endpoint muss ein Benutzerkonto eingerichtet und aktiv sein Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen Erstellen Sie einen kompletten Backup Ihrer Daten auf dem Endpoint Laufwerke die verschl sselt werden sollen m ssen komplett formatiert sein und einen Laufwerksbuchstaben zugewiesen haben Sophos stellt eine Datei f r die Hardware Konfiguration zur Verf gung um Konflikte zwischen der POA und Ihrer Endpoitn Hardware zu vermeiden Die Datei ist im Installationspaket der Verschl sselungssoftware enthalten Wir empfehlen vor jeder gr er angelegten SafeGuard Enterprise Installation die aktuelle Version dieser Datei zu installieren Die Datei wird monatlich aktualisiert und steht hier zum Download zur Verf gung http de sophos com support knowledgebase article 65700 html Sie k nnen uns bei der Optimierung der Hardware Kompatibilit t unterst tzen indem Sie ein von uns zur Verf gung gestelltes Tool ausf hren Dieses Tool liefert ausschlie l
8. Boot Protection gew hlt wurde muss die bisherige SafeGuard Easy Version deinstalliert werden Der Verschl sselungsalgorithmus der Festplatte wird bei der Migration nicht ver ndert Daher kann sich der tats chliche Algorithmus f r eine solche Migration von der allgemeinen SafeGuard Enterprise Richtlinie unterscheiden Verschl sselte Wechselmedien gilt nur f r die Migration von SafeGuard Easy Ja Verschl sselte Wechselmedien z B USB Flash Drive k nnen in das SafeGuard Enterprise Format konvertiert werden Hinweis Nach der Konvertierung kann ein verschl sselter Datentr ger nur noch mit SafeGuard Enterprise und nur auf dem Endpoint gelesen werden an dem die Konvertierung durchgef hrt wurde Die Konvertierung muss jeweils best tigt werden Verschl sselungsalgorithmen Teilweise Die f r die Migration geeigneten Algorithmen AES128 AES256 3DES IDEA werden migriert AES 128 und 3 DES stehen jedoch nicht im Management Center zur Auswahl f r neu zu verschl sselnde Medien zur Verf gung SafeGuard Easy Sophos SafeGuard Disk Encryption Benutzernamen und Kennw rter Nein In SafeGuard Enterprise werden Windows Benutzernamen und Kennw rter verwendet Fine Wiederverwendung der SafeGuard Easy Sophos SafeGuard Disk Encryption Benutzernamen ist somit nicht n tig Hinweis 98 Installationsanleitung SafeGuard Easy Sophos SafeGuard Disk Encryption Migration SafeGuard Enterprise
9. Datenbank und klicken Sie auf Neue Abfrage 7 Aktualisieren Sie mit den SQL Migrationsskripten das Datenbankschema Die Datenbank muss Version f r Version auf die aktuelle Version konvertiert werden Abh ngig von der installierten Version starten Sie nacheinander die folgenden SQL Skripte zum Beispiel a 5 5x gt 5 60 MigrateSGN550_SGN560 sql ausf hren b 5 6x gt 6 0 MigrateSGN560_SGN60 sql ausf hren Wenn Sie w hrend der Installation den Standard Datenbanknamen ge ndert haben ndern Sie den Befehl USE SafeGuard im Skript entsprechend 8 W hlen Sie im Fenster Datenbankeigenschaften Fenster die Seite Optionen auf der linken Seite W hlen Sie unter Status Zugriff beschr nken den Modus Multiple 9 Aktualisieren Sie eine Instanz des SafeGuard Management Center indem Sie die aktuelle Version des SafeGuard Management Center Installationspakets SGNManagementCenter msi aus dem Install Ordner des Produkts installieren l fen Starten Sie das aktualisierte SafeGuard Management Center Die Datenbank Konsistenz wird nun automatisch gepr ft Wenn Fehler bei den kryptographischen Pr fsummen von einigen Tabellen gefunden werden werden Warnungsmeldungen angezeigt Um die Tabellen zu reparieren w hlen Sie im entsprechenden Dialog Reparieren Die Pr fsummen f r die ge nderten Tabellen werden neu berechnet Die aktuelle Version der SafeGuard Enterprise Datenbank ist einsatzbereit 13 1 1 Aktualisieren von repliziert
10. F r Macs wird Sophos als Transportverschl sselung nicht unterst tzt 7 Geben Sie einen Ausgabepfad f r das Konfigurationspaket ZIP an 8 Klicken Sie auf Konfigurationspaket erstellen Installationsanleitung 9 4 4 9 5 Das Konfigurationspaket ZIP wird nun im angegebenen Verzeichnis angelegt Im n chsten Schritt verteilen Sie das Paket an Ihre Macs zur Installation Service Accounts f r die Durchf hrung von Aufgaben nach der Installation Wenn Sie SafeGuard Enterprise ber einen zentralen Rollout Vorgang installieren m chten empfehlen wir die Konfiguration einer Service Account Liste Ein IT Administrator der zu einer Service Account Liste hinzugef gt wurde kann sich nach der Installation von SafeGuard Enterprise an Endpoints anmelden ohne die Power on Authentication zu aktivieren Ein solches Vorgehen ist empfehlenswert da normalerweise der erste Benutzer der sich nach der Installation an einem Endpoint anmeldet als prim res Benutzerkonto zur POA hinzugef gt wird Die in den Listen enthaltenen Benutzer werden als SafeGuard Enterprise Gastbenutzer behandelt Mit Service Accounts ergibt sich folgender Workflow E SafeGuard Enterprise wird auf einem Endpoint installiert E Der Endpoint wird neu gestartet und ein Rollout Beauftragter der in einer Service Account Liste aufgef hrt ist meldet sich ber die Windows Eingabe Aufforderung an E Gem der auf den Endpoint angewendeten Service Account Liste wird
11. Seite 32 Hinweis Sie m ssen pro Datenbank jeweils eine separate SafeGuard Enterprise Server Instanz einrichten So erstellen Sie eine weitere SafeGuard Enterprise Datenbankkonfiguration nach der Erstkonfiguration 1 Starten Sie das SafeGuard Management Center Der Dialog Konfiguration ausw hlen wird angezeigt 2 Klicken Sie auf Neu Der SafeGuard Management Center Konfigurationsassistent wird automatisch gestartet 3 Der Assistent f hrt Sie durch die notwendigen Schritte f r das Anlegen einer neuen Datenbankkonfiguration Nehmen Sie die erforderlichen Einstellungen vor Die neue Datenbankkonfiguration wird generiert 4 Zur Authentisierung werden Sie dazu aufgefordert den Sicherheitsbeauftragtennamen f r diese Konfiguration auszuw hlen und das entsprechende Zertifikatsspeicherkennwort einzugeben Klicken Sie auf OK Das SafeGuard Management Center wird ge ffnet und mit der ausgew hlten Datenbankkonfiguration verbunden Wenn Sie das SafeGuard Management Center das n chste Mal starten k nnen Sie die neue Datenbank Konfiguration aus der Liste ausw hlen Hinweis Weitere Informationen zu Multi Tenancy finden Sie in der Administratorhilfe im Kapitel Mit mehreren Datenbankkonfigurationen arbeiten 37 SafeGuard Enterprise 38 5 6 Konfigurieren zus tzlicher Instanzen des SafeGuard Management Center Sie k nnen zus tzliche Instanzen des SafeGuard Management Center konfigurieren um Sicherheitsbeauftragten d
12. support microsoft com default aspx scid kb en us 316898 E https blogs msdn com sql_protocols archive 2005 11 10 491563 aspx Installationsanleitung 7 2 Aktivieren der SSL Verschl sselung in SafeGuard Enterprise So aktivieren Sie die SSL Verschl sselung in SafeGuard Enterprise Verbindung zwischen Web Server und Datenbankserver Aktivieren Sie SSL Verschl sselung w hrend der Registrierung des SafeGuard Enterprise Servers im SafeGuard Management Center Konfigurationspakete Werkzeug F r weitere Informationen siehe Konfigurieren der Datenbankserver Verbindung Seite 32 oder http www sophos de support knowledgebase article 109012 html F r die Verbindung zwischen Datenbankserver und SafeGuard Management Center Aktivieren Sie die SSL Verschl sselung im SafeGuard Management Center Konfigurationsassistenten siehe Konfigurieren der Datenbankserver Verbindung Seite 32 Verbindung zwischen SafeGuard Enterprise Server und durch SafeGuard Enterprise gesch tzte Computer Aktivieren Sie SSL Verschl sselung beim Erzeugen des Konfigurationspakets f r den durch SafeGuard Enterprise verwalteten Endpoint im SafeGuard Management Center Konfigurationspakete Werkzeug siehe Erzeugen eines Konfigurationspakets f r zentral verwaltete Computer Seite 57 Sie k nnen die SSL Verschl sselung f r SafeGuard Enterprise w hrend der Erstkonfiguration der SafeGuard Enterprise Komponenten oder zu einem sp teren Zeitpunkt einrichten Erstel
13. verschl sselt sind AES128 AES256 3DES IDEA E Benutzer ben tigen ein g ltiges Windows Konto und ein Kennwort Falls Benutzer Ihre Windows Kennw rter nicht wissen weil sie Secure Automatic Logon f r die Windows Anmeldung verwendet haben muss das Windows Benutzerkennwort vor der Migration zur ckgesetzt werden Das neue Kennwort muss den Benutzern mitgeteilt werden Einschr nkungen E Die Migration von Endpoints auf denen nur das SGNClient_withoutDE msi Paket installiert ist wird nicht unterst tzt Sie m ssen dieses Paket zun chst deinstallieren Installationsanleitung 14 3 2 3 Es kann nur das SafeGuard Device Protection Paket mit dem Standard Funktionsumfang installiert werden SGNClient msi Wenn zus tzlich das Paket SGNClient_withoutDE msi installiert werden soll muss dies in einem separaten Schritt erfolgen da eine direkte Migration f r dieses Paket nicht unterst tzt wird Die folgenden Installationen k nnen nicht auf SafeGuard Enterprise migriert werden Es sollte kein Versuch zur Migration unternommen werden Hinweis Wenn Sie in den nachfolgend genannten F llen eine Migration vornehmen erhalten Sie eine Fehlermeldung Fehlernummer 5006 Twin Boot Installationen Installationen mit aktivem Compaq Switch Lenovo Computrace Installationen Festplatten die nur teilweise verschl sselt sind z B nur mit Verschl sselung des Boot Sektors Festplatten mit versteckten Partitionen Festplatten die
14. Center oder manuell mit den in Ihrer Produktlieferung verf gbaren SQL Skripten einrichten W hlen Sie die geeignete Methode nach den Gegebenheiten in Ihrer Firmenumgebung F r weitere Informationen siehe Datenbankzugriffsrechte Seite 22 Zur Optimierung der Performance l sst sich die SafeGuard Enterprise Datenbank auf mehrere SQL Server replizieren F r Informationen zum Einrichten der Datenbankreplikation siehe Replikation der SafeGuard Enterprise Datenbank Seite 82 Sie k nnen mehrere SafeGuard Enterprise Datenbanken f r unterschiedliche Mandanten z B Firmenstandorte Organisationseinheiten oder Dom nen einrichten und verwalten F r Informationen zur Konfiguration von Multi Tenancy siehe Multi Tenancy Konfigurationen Seite 32 Hinweis Wir empfehlen den Einsatz eines permanenten Online Backups f r die Datenbank F hren Sie ein regelm iges Backup Ihrer Datenbank durch um Schl ssel Unternehmenszertifikate und Benutzer Computer Zuordnungen zu sichern Beispiele f r empfohlene Backup Zyklen nach dem Erstimport der Daten nach gr eren nderungen oder in turnusm igen Abst nden z B w chentlich oder t glich Datenbank Authentisierung Um auf die SafeGuard Enterprise Datenbank zuzugreifen muss sich der erste Sicherheitsbeauftragte des SafeGuard Management Centers am SQL Server authentisieren Es gibt folgende M glichkeiten E Windows Authentisierung Ernennen Sie einen vorhandenen Windows Benutzer zum
15. Computer angewendet werden soll Diese m ssen Sie zuvor im SafeGuard Management Center erstellt haben Wenn Sie f r Aufgaben nach der Installation auf dem Computer Service Accounts verwenden m chten stellen Sie sicher dass die entsprechende Richtlinieneinstellung in dieser ersten Richtliniengruppe definiert ist siehe Service Accounts f r die Durchf hrung von Aufgaben nach der Installation Seite 59 W hlen Sie den Modus f r die Transportverschl sselung der bestimmt wie die Verbindung zwischen SafeGuard Enterprise Client und SafeGuard Enterprise Server verschl sselt wird Sophos Verschl sselung oder SSL Verschl sselung Der Vorteil bei SSL ist dass es ein Standardprotokoll ist und eine schnellere Verbindung aufgebaut werden kann als mit der SafeGuard Transportverschl sselung F r weitere Informationen siehe Sichern von Transportverbindungen mit SSL Seite 46 8 Geben Sie einen Ausgabepfad f r das Konfigurationspaket MSI an 9 Klicken Sie auf Konfigurationspaket erstellen Das Konfigurationspaket MSI wird im angegebenen Verzeichnis angelegt Im n chsten Schritt verteilen Sie das Paket an die Endpoint Computer zur Installation Erzeugen eines Konfigurationspakets f r Standalone Computer ver UU N e Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete W hlen Sie Pakete f r Standalone Clients Klicken Sie auf Konfigurationspaket hinzuf gen Geben Sie einen belieb
16. Die m gliche Aktion wird auf der rechten Seite des Fensters angezeigt 5 Um die Verbindung zu pr fen klicken Sie auf Aufrufen Der Verbindungstest war erfolgreich wenn Sie diese Ausgabe erhalten A http localhost SGNSRY Trans asmx CheckConnection Microsoft Internet Explorer ioj xj Datei Bearbeten Ansicht Favoriten Extras 2 O EEE De g Jad O x a A P Suchen r Favoriten P Medien 7 a Adresse http flocalhost scnsRv Trans asmx Checkconnection ER Wechseln zu Links gt lt xml version 1 0 encoding utf 8 gt lt string mins http utimaco org gt lt Dataroot gt lt WebService gt OK lt WebService gt lt DBAuth gt OK lt DBAuth gt lt Dataroot gt lt string gt Testen der Verbindung IIS 7 auf Windows Server 2008 1 ffnen Sie auf dem Computer auf dem SafeGuard Enterprise Server installiert ist den Internet Information Services IIS Manager 2 Klicken Sie in der Baumstruktur auf Servername Seiten Standard Web Seite berpr fen Sie ob die Web Seite SGNSRV im Ordner Standard Web Seite verf gbar ist 3 Klicken Sie mit der rechten Maustaste auf SGNSRV w hlen Sie Applikation und klicken Sie auf Browse um die SGNSRV Home Seite Sophos SafeGuard Web Service zu ffnen 4 Auf der Seite Sophos SafeGuard Web Service wird eine Liste mit m glichen Aktionen angezeigt Klicken Sie in dieser Liste auf CheckConnection 5 Klicken Sie auf der CheckConnection
17. Enterprise gesch tzten Endpoint wirksam werden muss das entsprechende Konfigurationspaket auch noch einmal der Organizational Unit des Endpoint zugewiesen werden Die benutzerdefinierten Schl ssel werden dann erst erstellt wenn der Endpoint wieder eine Verbindung zum SafeGuard Enterprise Server hergestellt hat Ursache hierf r ist dass der definierte Computerschl ssel direkt auf dem durch SafeGuard Enterprise gesch tzten Endpoint beim ersten Neustart nach der Installation erstellt wird Benutzerdefinierte Schl ssel hingegen k nnen nur auf dem Endpoint erstellt werden wenn er beim SafeGuard Enterprise Server registriert wurde E Einschr nkungen f r die Unterst tzung von BitLocker Drive Encryption Das SafeGuard Data Exchange Paket SGNClient_withoutDE msi SGNClient_withoutDE_x64 msi steht f r die Anwendung mit BitLocker Drive Encryption Unterst tzung nicht zur Verf gung Hinweis Unter Windows Vista oder Windows 7 kann jeweils nur SafeGuard Enterprise Device Protection oder BitLocker Drive Encryption verwendet werden Die gleichzeitige Verwendung beider Verschl sselungstypen ist nicht m glich Wenn Sie den Verschl sselungstyp ndern m chten m ssen Sie zuerst alle verschl sselten Laufwerke entschl sseln die SafeGuard Enterprise Verschl sselungssoftware deinstallieren und dann mit den gew nschten Features neu installieren Wenn Sie versuchen beide Features gleichzeitig zu installieren wird die Installation abgebrochen
18. FileShare CloudStorage Installationsanleitung 9 5 3 4 9 5 3 5 Feature Parents Feature Client ConfigurationProtection Um SafeGuard Configuration Protection zu installieren aktivieren Sie dieses Feature UND installieren Sie ein zus tzliches Paket siehe Einrichten von SafeGuard Configuration Protection Seite 73 Beispielbefehl SafeGuard Device Protection mit File Share Folgendes wird durch den Befehl installiert E Die Endpoints werden mit den notwendigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware ausgestattet Anmeldung an die Endpoints mit dem Windows Vista Windows 7 Credential Provider SafeGuard Enterprise Power on Authentication POA SafeGuard Enterprise Festplattenverschl sselung volume basierend File Share mit dateibasierender Verschl sselung von Daten auf der lokalen Festplatte und auf Netzwerkfreigaben E Das Konfigurationspaket das den Endpoint als zentral verwalteten Endpoint konfiguriert und eine Verbindung zum SafeGuard Enterprise Server erm glicht E Log Dateien werden erzeugt Beispielbefehl msiexec i F Software SGxClientPreinstall msi qn log I Temp SGxClientPreinstall log msiexec i F Software SGNClient msi qn log I Temp SGNClient log ADDLOCAL Client Authentication CredentialProvider BaseEncryption SectorBasedEncryption FileShare Installdir C Program Files Sophos SafeGuard Enterprise msiexec i F
19. Initialisierung des Zertifikatsspeichers das Kennwort noch einmal ein Zertifikat und privater Schl ssel befinden sich nun im Zertifikatsspeicher Zur Anmeldung an das SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet Anmeldung am SafeGuard Management Center Die Anmeldung richtet sich danach ob Sie das SafeGuard Management Center im Single Tenancy Modus oder im Multi Tenancy Modus einsetzen Informationen zu den ersten Arbeitsschritten im SafeGuard Management Center finden Sie in der SafeGuard Enterprise Administrator Hilfe Anmeldung im Single Tenancy Modus 1 Starten Sie das SafeGuard Management Center ber das Start Men Ein Anmeldebildschirm wird angezeigt 2 Melden Sie sich als Haupt Sicherheitsbeauftragter an und geben Sie das Zertifikatsspeicherkennwort ein das w hrend der Konfiguration festgelegt wurde Klicken Sie auf OK Das SafeGuard Management Center wird gestartet Hinweis Wenn Sie ein falsches Kennwort eingeben wird eine Fehlermeldung angezeigt und die n chste Anmeldung wird verz gert Diese Verz gerung wird mit jedem fehlgeschlagenen Anmeldeversuch gr er Fehlgeschlagene Anmeldeversuche werden protokolliert Anmeldung im Multi Tenancy Modus Wenn Sie mehrere Datenbanken konfiguriert haben Multi Tenancy erweitert sich der Anmeldevorgang am SafeGuard Management Center 1 Starten Sie das SafeGuard Management Center ber den Produktordner im Start Men Der Dialog Kon
20. Installieren und Konfigurieren von IIS 6 auf Microsoft Windows Server 2003 IIS ist kostenlos verf gbar Sie finden das Programm z B auf Ihrer Windows DVD oder auf der Microsoft Website 1 Klicken Sie im Start Men auf Systemsteuerung und w hlen Sie Windows Komponenten hinzuf gen entfernen 2 Klicken Sie in der Komponenten Liste auf Application Server 3 Klicken Sie in Application Server auf Details und w hlen Sie Internet Information Services IIS 4 W hlen Sie au erdem ASP NFT 5 Klicken Sie auf OK IIS 6 wird mit einer Standardkonfiguration zum Hosten von ASP NET installiert 6 berpr fen Sie mit http lt server name gt ob die Web Seite korrekt angezeigt wird Weitere Informationen finden Sie unter http support microsoft com Pr fen der NET Framework Installation und Registrierung NET Framework 4 ist erforderlich Sie finden das Programm in der SafeGuard Enterprise Produktlieferung So berpr fen Sie ob das Programm korrekt auf IIS 6 oder IIS 7 installiert ist 1 W hlen Sie im Start Men den Befehl Ausf hren 2 Geben Sie folgendes Kommando ein Appwiz cpl Alle auf dem Computer installierten Programme werden angezeigt 3 berpr fen Sie ob NET Framework Version 4 angezeigt wird Wird die Version nicht angezeigt installieren Sie sie Folgen Sie den Schritten im Installationsassistenten und best tigen Sie alle Standardeinstellungen 4 Um zu pr fen ob die Installation korrekt re
21. Knoten unter Sites Standard Websites die Option SGNSRV 18 W hlen Sie im Aktionen Bereich auf der rechten Seite die Option Authentifizierung 19 Klicken Sie mit der rechten Maustaste auf Anonyme Authentifizierung und w hlen Sie Bearbeiten 20 W hlen Sie bei Identit t des anonymen Benutzers die Option Bestimmter Benutzer und berpr fen Sie ob der Benutzername IUSR lautet Korrigieren Sie ihn wenn n tig 21 Klicken Sie auf OK Die zus tzliche Konfiguration f r die Benutzung eines Windows Kontos f r die Anmeldung am SQL Server ist nun abgeschlossen 29 SafeGuard Enterprise 5 Einrichten des SafeGuard Management Centers 5 1 Dieser Abschnitt beschreibt die Installation und Konfiguration des SafeGuard Management Centers Das SafeGuard Management Center ist das zentrale Verwaltungswerkzeug f r SafeGuard Enterprise Installieren Sie es auf den Administrator Computern die Sie f r die Verwaltung von SafeGuard Enterprise einsetzen m chten Das SafeGuard Management Center kann auf jedem Rechner im Netzwerk installiert sein von wo aus auf die SafeGuard Enterprise Datenbanken zugegriffen werden kann Mit datenbankspezifischen Konfigurationen Multi Tenancy erm glicht das SafeGuard Management Center den Einsatz von SafeGuard Enterprise mit mehreren Datenbanken Sie k nnen verschiedene SafeGuard Enterprise Datenbanken f r unterschiedliche Bereiche z B Unternehmensstandorte Organisationseinheiten oder Dom nen ein
22. Registrieren Sie beide Server im SafeGuard Management Center Klicken Sie im Extras Men auf Konfigurationspakete und dann auf Server registrieren Klicken Sie in der Registerkarte Server registrieren auf Hinzuf gen 4 Sie werden dazu aufgefordert die Serverzertifikate ws_l cer und ws_2 cer hinzuzuf gen Sie finden die Zertifikate im Ordner Program Files Sophos Sophos SafeGuard MachCert Die Zertifikate werden ben tigt um die entsprechenden Konfigurationspakete zu erstellen Die SafeGuard Enterprise Server sind installiert und registriert Erzeugen der Konfigurationspakete f r die Datenbank GRAZ Erzeugen Sie die Konfigurationspakete f r die Datenbank GRAZ ein Paket f r Server WS_1 f r die Kommunikation mit der Datenbank GRAZ sowie ein Paket f r die Verbindung des SafeGuard Enterprise Clients GRAZ mit dem Web Service WS_1 1 Klicken Sie im SafeGuard Management Center im Extras Men auf Optionen und dann auf Datenbank 2 W hlen Sie unter Verbindungseinstellungen WS_1 als Datenbankserver und GRAZ als Datenbank auf Server Klicken Sie auf OK Installationsanleitung 12 5 12 6 Klicken Sie im Extras Men auf Konfigurationspakete und dann auf Server Konfigurationspaket erstellen W hlen Sie den Server WS_1 den Ausgabepfad und klicken Sie auf Konfigurationspaket erstellen Wechseln Sie auf die Registerkarte Konfigurationspaket Managed erstellen Klicken Sie auf Konfigurationspaket hinzuf gen und ge
23. Seite auf Aufrufen Der Verbindungstest war erfolgreich wenn Sie diese Ausgabe erhalten F http localhost SGNSRY Trans asmx CheckConnection Microsoft Internet Explorer ioj xj Datei Bearbeten Anscht_ Eavorten Extras 2 Zur ck O x a A PP Suchen Favoriten Medien O7 a B Adresse http Mocalhost SGNSRV Trans asmx checkConnection i ER Wechseln zu Links gt lt xml version 1 0 encoding utf 8 gt lt string mins http utimaco org gt lt Dataroot gt lt WebService gt OK lt WebService gt lt DBAuth gt OK lt DBAuth gt lt Dataroot gt lt string gt 45 SafeGuard Enterprise 46 7 Sichern von Transportverbindungen mit SSL 7 1 SafeGuard Enterprise unterst tzt zur Erh hung der Sicherheit die Verschl sselung der Transportverbindungen zwischen den einzelnen Komponenten mit SSL E Die Verbindung zwischen dem Datenbankserver und dem Web Server sowie die Verbindung zwischen dem Datenbankserver und dem Computer auf dem das SafeGuard Management Center installiert ist kann mit SSL verschl sselt werden E Die Verbindung zwischen dem SafeGuard Enterprise Server und dem von SafeGuard Enterprise verwalteten Computer kann entweder mit SSL oder mit SafeGuard spezifischer Verschl sselung verschl sselt werden Der Vorteil bei SSL ist dass es ein Standardprotokoll ist und daher eine schnellere Verbindung aufgebaut werden kann als mit der SafeGuard Transportversc
24. Sie auf OK Das Zertifikat wird importiert und unter Zertifikat f r den Haupt Sicherheitsbeauftragten angezeigt Der Haupt Sicherheitsbeauftragte ben tigt das Kennwort des Zertifikatsspeichers f r die Anmeldung am SafeGuard Management Center Notieren Sie sich das Kennwort und bewahren Sie es an einem sicheren Ort auf Steht das Kennwort nicht mehr zur Verf gung so kann sich der Haupt Sicherheitsbeauftragte nicht mehr am SafeGuard Management Center anmelden F r die Wiederherstellung einer besch digten SafeGuard Management Center Installation ben tigt der Haupt Sicherheitsbeauftragte die private Schl sseldatei 4 Klicken Sie auf Weiter Der Haupt Sicherheitsbeauftragte ist angelegt Erzeugen des Zertifikats des Haupt Sicherheitsbeauftragten Gehen Sie in Zertifikat des Haupt Sicherheitsbeauftragten erzeugen folgenderma en vor 1 Best tigen Sie unter Haupt Sicherheitsbeauftragten ID den Namen des Haupt Sicherheitsbeauftragten 2 Geben Sie nun zweimal das Kennwort f r den Zertifikatsspeicher ein und klicken Sie auf OK Das Zertifikat des Haupt Sicherheitsbeauftragten wird erzeugt und lokal als Backup lt mso_name gt cer gespeichert Hinweis Notieren Sie sich das Kennwort und bewahren Sie es an einem sicheren Ort auf Sie m ssen sich am SafeGuard Management Center anmelden Export des Zertifikats des Haupt Sicherheitsbeauftragten Das Zertifikat des Haupt Sicherheitsbeauftragten wird in eine Datei exportiert die
25. Sie auf der Seite Name einen Namen und eine Beschreibung f r Ihre Regel ein und klicken Sie auf Beenden Konfigurieren der Windows Authentisierung f r die Anmeldung am SQL Server Diese Beschreibung bezieht sich auf Microsoft Windows Server 2008 R2 mit Microsoft SQL Server 2008 Standard oder Express Edition F r Informationen zur Windows Authentisierung mit Windows Server 2003 und SQL Server 2005 siehe http www sophos de support knowledgebase article 108339 html Um die Kommunikation zwischen dem SafeGuard Enterprise Server und der SafeGuard Enterprise Datenbank bei Anwendung der Windows Authentisierung zu erm glichen muss der Benutzer zu einem Mitglied von Active Directory Gruppen gemacht werden Die Installationsanleitung Berechtigungen f r lokale Dateien m ssen angepasst werden und das SQL Benutzerkonto muss in den Anwendungspool des IIS aufgenommen werden 1 W hlen Sie Start und dann Ausf hren Geben Sie dsa msc ein ffnen Sie das Active Directory Users and Computers Snap in 2 Klappen Sie in der Navigationsstruktur auf der linken Seite die Dom nenstruktur aus und w hlen Sie Builtin 3 F gen Sie den relevanten Windows Benutzer zu folgenden Gruppen hinzu IIS_IUSRS Performance Log Users Performance Monitor Users 4 Beenden Sie das Snap in 5 Klicken Sie im lokalen Dateisystem im Windows Explorer mit der rechten Taste auf den C Windows Iemp Ordner und w hlen Sie Sicherheit 6 Klicken Sie in Sicherh
26. Software SGNConfig_managed msi qn log I Temp SGNConfig_managed log Beispielbefehl Dateibasierende Verschl sselung Folgendes wird durch den Befehl installiert E Die Endpoints werden mit den notwendigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware ausgestattet E SafeGuard Data Exchange mit dateibasierender Verschl sselung von Daten auf Wechselmedien 69 SafeGuard Enterprise 70 9 6 SafeGuard File Share mit dateibasierender Verschl sselung von Daten auf der lokalen Festplatte und auf Netzwerkfreigaben SafeGuard Cloud Storage mit dateibasierender Verschl sselung von in der Cloud gespeicherten Daten Das Konfigurationspaket das den Endpoint als zentral verwalteten Endpoint konfiguriert und eine Verbindung zum SafeGuard Enterprise Server erm glicht Log Dateien werden erzeugt Beispielbefehl msiexec i F Software SGxClientPreinstall msi qn log Temp SGxClientPreinstall 1log msiexec i F Software SGNClient_withoutDE msi qn log Temp SGNClient_withoutDE log ADDLOCAL Client Authentication SecureDataExchange FileShare CloudStorage Installdir C Program Files Sophos SafeGuard Enterprise msiexec i F Software SGCNConfig_managed msi qn log Temp SGNConfig_managed loqg Lokales Installieren der Verschl sselungssoftware f r Mac l Gehen Sie mit der Web Adresse und den Download Anmeldedaten auf die Sophos Webs
27. Suchen lassen sich dann jedoch nicht anzeigen 5 4 Konfigurieren des SafeGuard Management Centers Nach der Installation m ssen Sie das SafeGuard Management Center konfigurieren Der SafeGuard Management Center Konfigurationsassistent unterst tzt Sie bei der Erstkonfiguration durch Hilfestellung bei der Definition der grundlegenden SafeGuard Management Center Einstellungen sowie bei der Konfiguration der Datenbankverbindung Der Assistent wird automatisch aufgerufen wenn Sie das SafeGuard Management Center zum ersten Mal nach der Installation starten Sie k nnen das SafeGuard Management Center f r die Anwendung mit einer oder mehreren Datenbank Multi Tenancy konfigurieren Hinweis Die folgenden Schritte m ssen mit dem Konfigurationsassistenten sowohl f r Single Tenancy als auch f r Multi Tenancy Konfigurationen ausgef hrt werden 5 4 1 Voraussetzungen Folgende Voraussetzungen m ssen erf llt sein E Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen 31 SafeGuard Enterprise 5 4 2 5 4 3 5 4 4 32 mM Halten Sie die folgenden Informationen bereit Diese erhalten Sie ggf von Ihrem SQL Administrator SQL Anmeldeinformationen Name des SQL Servers auf dem die SafeGuard Enterprise Datenbank laufen soll Name der SafeGuard Enterprise Datenbank falls diese bereits erzeugt wurde Multi Tenancy Konfigurationen Sie k nnen mehrere verschiedene SafeGuard Enterprise Datenbankkonfigurati
28. dann die nderungen an ver ffentlichten Daten beim Verleger und bei den Abonnenten nach Die Daten werden zwischen den Servern kontinuierlich zu einem festgelegten Zeitpunkt oder auf Anforderung synchronisiert Da Aktualisierungen auf mehr als einem Server ausgef hrt werden sind dieselben Daten m glicherweise vom Verleger und von mindestens einem Abonnenten aktualisiert worden Daher kann es beim Zusammenf hren von Aktualisierungen zu Konflikten kommen Die Mergereplikation bietet Standardm glichkeiten sowie individuelle M glichkeiten f r die Konfliktl sung die Sie bei der Konfiguration einer Mergever ffentlichung definieren k nnen Tritt ein Konflikt auf ruft der Merge Agent einen Resolver auf Dieser bestimmt welche Daten akzeptiert und an andere Standorte verteilt werden Einrichten der Datenbankreplikation Der Vorgang des Einrichtens einer Replikation f r die SafeGuard Enterprise Datenbank wird am Beispiel von Microsoft SQL Server 2005 beschrieben Im Beispiel wird SafeGuard Enterprise ausschlie lich von der Datenbank in Wien aus administriert Alle nderungen werden vom SafeGuard Management Center ber den Microsoft SQL Server 2005 Replikationsmechanismus an die Datenbanken in Graz und Linz weitergegeben Die von den Client Computern ber die Web Server gemeldeten nderungen werden ebenfalls ber den Replikationsmechanismus an den Microsoft SQL Server 2005 weitergegeben Installationsanleitung 12 2 1 12 2 2
29. der SafeGuard Enterprise Datenbank des SafeGuard Enterprise Server und des SafeGuard Management Center m ssen bereinstimmen Verschiedene Versionen der Endpoint Verschl sselungssoftware sollten nur w hrend der Aktualisierung vorhanden sein In der allgemeinen Anwendung sollte eine Mischung vermieden werden Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen So aktualisieren Sie durch SafeGuard Enterprise gesch tzte Endpoints l Installieren Sie das aktuelle Pr Installationspaket SGxClientPreinstall msi das den Endpoint mit den n tigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware ausstattet Verwenden Sie keine veralteten Pr Installationspakete Installieren Sie aus dem Install Ordner des Produkts die aktuelle Version der entsprechenden SafeGuard Enterprise Verschl sselungssoftware Version f r Version bis die aktuelle Version erreicht ist siehe Zentrale Installation der Verschl sselungssoftware Seite 64 Der Windows Installer erkennt welche Features bereits installiert sind und installiert auch nur diese Features neu Wenn die Power on Authentication installiert ist steht nach erfolgreicher Migration Richtlinien Schl ssel usw auch ein aktualisierter POA Kernel zur Verf gung Sophos SafeGuard wird auf dem Computer automatisch neu gestartet Um mit der Aktualisierung neue Features zu installieren w hlen Sie eine Installation vom Typ Ang
30. der Benutzer als Service Account erkannt und als Gastbenutzer behandelt E Der Rollout Beauftragte wird nicht zur POA hinzugef gt und die POA wird nicht aktiviert Der Endbenutzer kann sich anmelden und die POA aktivieren Hinweis Service Account Listen m ssen Sie in einer Richtlinie anlegen und diese der ersten Richtliniengruppe des ersten Konfigurationspakets zuweisen das Sie nach der Installation der Verschl sselungssoftware auf dem Endpoint installieren Weitere Informationen finden Sie in der Administrator Hilfe Installation der Verschl sselungssoftware F r das Einrichten der SafeGuard Enterprise Verschl sselungssoftware auf Endpoints gibt es zwei M glichkeiten Mm Lokales Installieren der Verschl sselungssoftware Dies ist zum Beispiel f r eine Testinstallation empfehlenswert E Zentrales Installieren der Verschl sselungssoftware Dadurch wird eine standardisierte Installation auf mehreren Endpoints erreicht Bevor Sie mit der Installation beginnen pr fen Sie die verf gbaren Installationspakete und Features f r zentral verwaltete Endpoints und Standalone Endpoints Die Installationsschritte f r beide Varianten sind identisch mit der Ausnahme dass f r jeden der beiden ein unterschiedliches Konfigurationspaket zugeordnet werden muss Das Verhalten des Endpoint bei der ersten Anmeldung nach der Installation von SafeGuard Enterprise und der Aktivierung der Power on Authentication ist in der Benutzerhilfe beschriebe
31. des SafeGuard Management Center erzeugen m chten k nnen Sie diesen Schritt berspringen Wenn erweiterte SQL Berechtigungen w hrend der SafeGuard Management Center Konfiguration nicht erw nscht sind f hren Sie diesen Schritt aus Dazu stehen im Tools Verzeichnis der Produktlieferung zwei Datenbank Skripte zur Verf gung m CreateDatabase sql m CreateTables sql Die folgende Beschreibung der Arbeitsschritte wendet sich an SQL Administratoren und bezieht sich auf Microsoft SQL Server 2008 Standard Edition Als SQL Administrator ben tigen Sie das Recht zum Erstellen einer Datenbank 1 Kopieren Sie die Skripte CreateDatabase sql und CreateTables sql aus der SafeGuard Enterprise Produktlieferung auf den SQL Server 2 Doppelklicken Sie auf dem Skript CreateDatabase sql Das Programm SQL Server Management Studio wird aufgerufen 3 Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an 4 berpr fen Sie ob die beiden Zielpfade die zu Beginn des Skripts unter FILENAME MDF LDF angegeben sind auf der lokalen Festplatte vorhanden sind Korrigieren Sie sie wenn n tig 5 Klicken Sie auf die Schaltfl che Ausf hren um die Datenbank zu erzeugen Sie haben die Datenbank SafeGuard angelegt Erzeugen Sie anschlie end die Tabellen mit Hilfe des Skripts Create Tables sql aus der Produktlieferung 6 Doppelklicken Sie auf CreateTables sql Ein weiterer Bereich wird in Microsoft SQL Server Management Studio ge ffnet 7 Ge
32. die nachfolgend angegebenen Schritte aus um sicherzustellen dass eine Verbindung zwischen der SafeGuard Enterprise Datenbank und dem SafeGuard Management Center hergestellt werden kann 1 Klicken Sie auf dem Computer der als Host f r die SQL Server Instanz dient auf Start w hlen Sie Verwaltung und klicken Sie dann auf Windows Firewall mit erweiterter Sicherheit 2 W hlen Sie in der Navigationsstruktur auf der linken Seite Eingehende Regeln 3 Klicken Sie in der Men leiste auf Aktion und dann auf Neue Regel Der Assistent f r neue eingehende Regeln wird gestartet 4 W hlen Sie auf der Regeltyp Seite Benutzerdefiniert und klicken Sie auf Weiter 5 W hlen Sie auf der Programm Seite die Programme und Dienste auf die diese Regel angewendet werden soll Klicken Sie dann auf Weiter 6 W hlen Sie auf der Protokolle und Ports Seite TCP als Protokolltyp W hlen Sie f r Lokaler Port die Option Bestimmte Ports und geben Sie 1433 ein W hlen Sie f r Remoteport die Option Alle Ports Klicken Sie auf Weiter 7 Auf der Bereich Seite k nnen Sie festlegen dass die Regel nur f r den Netzverkehr von oder an die auf dieser Seite angegebenen IP Adressen gilt Nehmen Sie die entsprechende Konfiguration vor und klicken Sie auf Weiter 8 W hlen Sie auf der Seite Aktion die Option Verbindung zulassen und klicken Sie auf Weiter 9 Geben Sie auf der Seite Profil an wo die Regel angewendet werden soll Klicken Sie dann auf Weiter 10 Geben
33. dritten Neustart nicht in den Ruhezustand versetzt werden damit die Sicherung der Kerneldaten erfolgreich abgeschlossen werden kann Zus tzliche Konfiguration kann erforderlich sein damit sich die Power on Authentication POA auf jeder Hardware Plattform korrekt verh lt Die meisten Hardware Konflikte lassen sich mit Hilfe von Hotkeys Funktionalit ten beheben die in die POA integriert sind Hotkeys k nnen nach der Installation konfiguriert werden entweder in der POA selbst oder ber eine zus tzliche Konfigurationseinstellung die dem Windows Installer Befehl msiexec mitgegeben wird Weitere Informationen finden Sie unter http de sophos com support knowledgebase article 107781 html http de sophos com support knowledgebase article 107785 html Kommandozeilenoptionen f r die zentrale Installation Wir empfehlen f r die zentrale Installation ein Skript mit der Windows Installer Komponente msiexec zu erstellen Msiexec f hrt eine vorkonfigurierte SafeGuard Enterprise Installation automatisch aus Msiexec steht in Windows XP Vista und Windows 7 zur Verf gung Weitere Informationen finden Sie unter http msdn microsoft com en us library aa367988 VS 85 aspx Kommandozeilen Syntax msiexec i lt pathtmsi package name gt qn ADDLOCAL ALL lt SGN Features gt lt SGN parameter gt Die Kommandozeilensyntax setzt sich folgenderma en zusammen m Windows Installer Parameter die z B Warnungen und Fehlermeldungen w hrend der
34. n sekund re n Volume s der Festplatte aus auf dem denen Sie SafeGuard Enterprise Runtime Client installieren m chten Starten Sie die sekund re Windows Installation auf dem ausgew hlten Volume Installieren Sie das Runtime Installationspaket auf dem ausgew hlten Volume bernehmen Sie die Standardeinstellungen im n chsten Dialog des Installers Sie m ssen keine speziellen Features ausw hlen 5 W hlen Sie einen Installationsordner f r die Runtime Installation 6 Klicken Sie auf Beenden um die Runtime Installation abzuschlie en 7 W hlen Sie das prim re Volume der Festplatte auf dem Sie die SafeGuard Enterprise Verschl sselungssoftware installieren m chten 8 Starten Sie die prim re Windows Installation auf dem ausgew hlten Volume 9 Starten Sie das Pr Installationspaket SGxClientPreinstall msi Dieses Paket stattet die l fen 11 12 Endpoint Computer mit notwendigen Voraussetzungen f r die erfolgreiche Installation der Verschl sselungssoftware aus Installieren Sie das SafeGuard Enterprise Verschl sselungspaket auf dem ausgew hlten Volume Erstellen Sie ein Konfigurationspaket gem Ihren Anforderungen und verteilen Sie esan den Endpoint Computer Verschl sseln Sie beide Volumes mit dem definierten Computerschl ssel 11 4 Starten von einem sekund ren Volume ber einen Boot Manager 80 Starten Sie den Computer Melden Sie sich an der Power on Authentication mi
35. schl gt fehl Mit IUSR_SafeGuard haben Sie immer einen g ltigen Anmeldenamen auch wenn der IIS Hostname ge ndert wird Aktivieren der Speicherwiederverwendung bei IIS 6 Wenn Sie IIS 6 anwenden empfehlen wird Arbeitsprozesse wiederverwenden zu aktivieren 1 ffnen Sie den Internet Information Services Manager auf dem IIS Server 2 Klicken Sie im IIS Manager auf Server lokaler Computer 3 Klicken Sie mit der rechten Maustaste auf Anwendungspools und dann auf Eigenschaften 4 Setzen Sie unter Speicherwiederverwendung folgende Werte a Maximaler virtueller Speicher 500 MB b Maximaler verwendeter Speicher 192 MB 5 Klicken Sie auf Anwenden und dann auf OK Die Speicherwiederverwendung ist nun bei IIS 6 aktiviert Hinweis Es ist nur ein Arbeitsprozess zul ssig Mehrere Arbeitsprozesse sind nur bei Anwendung von SSL zul ssig Installieren und Konfigurieren von IIS 7 7 5 auf Microsoft Windows Server 2008 2008 R2 Diese Beschreibung gilt f r folgende Installationen m IIS 7 auf Microsoft Windows Server 2008 m IIS 7 5 auf Microsoft Windows Server 2008 R2 IIS ist kostenlos verf gbar Sie finden das Programm z B auf Ihrer Windows DVD oder auf der Microsoft Website 1 Klicken Sie im Start Men auf Alle Programme Administration und dann auf Server Manager 2 Klicken Sie im Server Manager auf Rollen bersicht und klicken Sie dann auf Rollen hinzuf gen 3 Verifizieren Sie auf der Vorbemerkungen Seite des Rollen hin
36. um eine verf gbare Sicherheitsbeauftragtenrolle f r den ausgew hlten Server zu aktivieren deaktivieren Server Rolle hinzuf gen Klicken Sie hier um weitere spezifische Sicherheitsbeauftragtenrollen f r den ausgew hlten Server hinzuzuf gen falls erforderlich Sie werden dazu aufgefordert das Serverzertifikat auszuw hlen Die Sicherheitsbeauftragtenrolle wird hinzugef gt und kann unter Server Rollen angezeigt werden Datenbankverbindung Klicken Sie auf um die Verbindung zur Datenbank f r jeden registrierten Server zu konfigurieren Hier k nnen Sie auch die Anmeldeinformationen f r die Datenbank und die Transportverschl sselung zwischen Web Server und Datenbankserver festlegen F r weitere Informationen siehe Konfigurieren der Datenbankserver Verbindung Seite 32 Selbst wenn die Pr fung der Datenbankverbindung nicht erfolgreich ist kann ein neues Server Konfigurationspaket erstellt werden Hinweis Sie m ssen nicht den SafeGuard Management Center Konfigurationsassistenten erneut ausf hren um die Datenbankkonfiguration zu aktualisieren Erstellen Sie einfach ein neues Server Konfigurationspaket und verteilen Sie es an den entsprechenden Server Sobald dieses auf dem Server installiert ist kann auf die neue Datenbankverbindung zugegriffen werden 3 Erstellen Sie ein neues Server Konfigurationspaket in der Registerkarte Server Pakete 4 Deinstallieren Sie das veraltete Server Konfigur
37. 3 Klicken Sie auf Weiter Das neu angelegte Unternehmenszertifikat wird in der Datenbank gespeichert Erstellen Sie eine Sicherungskopie des Unternehmenszertifikats und legen Sie diese direkt nach der Erstkonfiguration an einem sicheren Speicherort ab F r Informationen zum Wiederherstellen einer besch digten Datenbankkonfiguration siehe Wiederherstellen einer besch digten Datenbankkonfiguration Seite 41 5 4 8 Abschlie en der Erstkonfiguration des SafeGuard Management Centers 36 1 Klicken Sie auf Beenden um die Erstkonfiguration des SafeGuard Management Centers abzuschlie en Installationsanleitung 5 3 Eine Konfigurationsdatei wird erstellt Ergebnis m Eine Verbindung zum SafeGuard Enterprise Server m Eine SafeGuard Enterprise Datenbank m Ein Haupt Sicherheitsbeauftragten Konto f r die Anmeldung an das SafeGuard Management Center m Alle notwendigen Zertifikate f r die Wiederherstellung einer besch digten Datenbankkonfiguration oder SafeGuard Management Center Installation Sobald der Konfigurationsassistent geschlossen ist wird das SafeGuard Management Center gestartet Erstellen weiterer Datenbankkonfigurationen Multi Tenancy Voraussetzung Die Funktion Multi Tenancy muss ber eine Installation vom Typ Vollst ndig installiert worden sein Die initiale Konfiguration des SafeGuard Management Center muss durchgef hrt worden sein siehe Starten der Erstkonfiguration des SafeGuard Management Centers
38. Data Exchange auf einem Computer installieren pr fen Sie ob SafeGuard RemovableMedia bereits installiert ist In diesem Fall m ssen Sie SafeGuard RemovableMedia deinstallieren bevor Sie SafeGuard Data Exchange installieren Lokale Schl ssel die vor dem Wechsel zu SafeGuard Data Exchange mit einer SafeGuard RemovableMedia Version vor 1 20 erzeugt wurden k nnen auf durch SafeGuard Enterprise gesch tzte Computer benutzt werden Sie werden jedoch nicht automatisch an die SafeGuard Enterprise Datenbank bertragen Kompatibilit t mit SafeGuard Easy Version 4 x SafeGuard Easy 4 x und SafeGuard Enterprise 6 k nnen auf demselben Computer installiert werden unter der Voraussetzung dass das SafeGuard Enterprise Device Protection Modul nicht installiert wird Da beide Produkte eine eigene GINA graphische Identifizierung und Authentisierung installieren funktioniert SafeGuard Enterprise nur korrekt wenn die eigene GINA benutzt wird Um eine korrekte Konfiguration zu gew hrleisten muss SafeGuard Easy 4 x ohne GINA Unterst tzung installiert werden Option GINASYS 0 bevor das relevante SafeGuard Enterprise Modul installiert wird Wurde SafeGuard Easy 4 x mit Installationsanleitung GINA Unterst tzung installiert muss die Software vor der Installation von SafeGuard Enterprise 6 entfernt werden Hinweis Wenn SafeGuard Easy 4 x und das SafeGuard Modul f r dateibasierende Verschl sselung auf einem Computer installiert sind funktio
39. Entschl sseln Sie verschl sselte Daten E Deinstallieren Sie die Verschl sselungssoftware Damit Entschl sselung und Deinstallation m glich sind m ssen auf den Endpoint Computern die entsprechenden Richtlinien wirksam sein 15 2 1 Verhindern einer Deinstallation auf den Endpoints Um den Schutz f r Endpoints noch zu verst rken empfehlen wir dass Sie die lokale Deinstallation von SafeGuard Enterprise auf Endpoints verhindern Setzen Sie das Feld Deinstallation erlaubt in einer Spezifische Computereinstellungen Richtlinie auf Nein und bermitteln Sie die Richtlinie an die Endpoints Versuche die Software zu deinstallieren werden daraufhin abgebrochen und die nicht autorisierten Versuche werden protokolliert 103 SafeGuard Enterprise 15 2 2 Entschl sseln von verschl sselten Daten Folgende Voraussetzungen m ssen erf llt sein F r die Entschl sselung von verschl sselten Volumes m ssen alle volume basierend verschl sselten Volumes einen Laufwerksbuchstaben haben Bearbeiten Sie im SafeGuard Management Center die aktuelle Richtlinie vom Typ Ger teschutz den den zu entschl sselnden Computern zugewiesen ist W hlen Sie die Ziele und stellen Sie die Option Benutzer darf Volume entschl sseln auf Ja ein Weisen Sie die Richtlinie den relevanten Endpoint Computern zu Erstellen Sie eine Richtlinie vom Typ Ger teschutz w hlen Sie die Ziele die entschl sselt werden sollen und stellen Sie den Verschl sselun
40. Guard Enterprise Server stellt die Schnittstelle zu den SafeGuard Enterprise Clients her Er greift wie das SafeGuard Management Center auf die Datenbank zu Er l uft als Applikation auf einem Web Server basierend auf Microsoft Internet Information Services IIS Der SafeGuard Enterprise Server bietet au erdem den Taskplaner mit dem Sie periodische Tasks die auf Skripten basieren erstellen und geplant ausf hren lassen k nnen Die Tasks laufen automatisch auf dem SafeGuard Enterprise Server Sie finden die Skripte in der SafeGuard Enterprise Produktlieferung Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Administrator Hilfe Wir empfehlen den Einsatz eines dedizierten IIS f r SafeGuard Enterprise Server Dadurch wird die Performance verbessert Au erdem verhindert dies dass andere Anwendungen mit SafeGuard Enterprise in Konflikt geraten z B wegen der verwendeten Version von ASP NET Dieses Kapitel beschreibt wie Sie SafeGuard Enterprise Server mit Taskplaner auf IIS installieren Zuerst m ssen Sie Microsoft Internet Information Services IIS installieren und konfigurieren Voraussetzungen Folgende Voraussetzungen m ssen erf llt sein E Sie ben tigen Windows Administratorrechte E Microsoft Internet Information Services IIS muss verf gbar sein IIS ist kostenlos verf gbar Sie finden das Programm z B auf Ihrer Windows DVD oder auf der Microsoft Website E Wenn Sie SSL als Transportverschl sselun
41. Installation in eine Datei protokollieren m Sophos SafeGuard Features die installiert werden sollen z B vollst ndige volume basierende Festplattenverschl sselung m Sophos SafeGuard Parameter die z B das Installationsverzeichnis angeben Kommandozeilen Optionen Alle verf gbaren Optionen k nnen Sie ber msiexec exe in der Eingabeaufforderung abrufen Im Folgenden sind wichtige Optionen beschrieben Beschreibung l Gibt an dass es sich um eine Installation handelt qn Installiert ohne Benutzerinteraktion und zeigt keine Benutzeroberfl che an Installationsanleitung Option Beschreibung ADDLOCAL Listet die Sophos SafeGuard Features auf die installiert werden Wird die Option nicht angegeben werden alle Features installiert die f r eine Standardinstallation vorgesehen sind Eine Liste der Sophos SafeGuard Features in den einzelnen Installationspaketen und Informationen zu deren Verf gbarkeit je nach Endpoint Konfiguration finden Sie unter Installationspakete und Features Seite 60 F r eine Liste der Feature Parameter f r die ADDLOCAL Option siehe Feature Parameter f r die ADDLOCAL Option Seite 67 ADDLOCAL ALL Installiert alle verf gbaren SafeGuard Enterprise Features REBOOT Force Erzwingt oder unterdr ckt einen Neustart nach der Installation Ohne ReallySuppress Angabe wird der Neustart erzwungen Force L lt path filename gt Protokolliert alle Warnungen und Fehlermeldung
42. L Option hinzugef gt werden k nnen Hinweis 67 SafeGuard Enterprise Feature Parents Feature Client Ed Authentication Obligatorisch Das Feature Authentication und sein Feature Parent Client m ssen standardm ig angegeben werden Client Authentication CredentialProvider Obligatorisch f r Endpoints mit Windows Vista Windows 7 Das Feature dient zur Anmeldung ber den Credential Provider Client BaseEncryption SectorBasedEncryption Festplattenverschl sselung Hinweis Es kann entweder SectorBasedEncryption ODER BitLockerSupport angegeben werden Client BitLockerSupport Client SecureDataExchange Client FileShare Client CloudStorage Client ConfigurationProtection Um SafeGuard Configuration Protection zu installieren aktivieren Sie dieses Feature UND installieren Sie ein zus tzliches Paket siehe Einrichten von SafeGuard Configuration Protection Seite 73 9 5 3 3 2 Features f r die dateibasierende Verschl sselung 68 In der folgenden Tabelle sind die f r das Paket f r die dateibasierende Verschl sselung SGNClient_withoutDE msi SGNClient_withoutDE_x64 msi verf gbaren Features aufgelistet die zur ADDLOCAL Option hinzugef gt werden k nnen Feature Parents Feature Client NER Authentication Obligatorisch Das Feature Authentication und sein Feature Parent Client m ssen standardm ig angegeben werden SecureDataExchange Client
43. Management Center gem Ihren Anforderungen Richtlinien an und weise Sie diese zu Die migrierten Endpoints bleiben in Enterprise Console als verwaltet durch SafeGuard Enterprise sichtbar Alle Aufgaben die sich nicht auf Verschl sselung beziehen k nnen weiterhin bei diesen Rechnern durchgef hrt werden Migration von SGE SDE 5 5x oder h her Sie k nnen eine Migration von SafeGuard Easy Sophos SafeGuard Disk Encryption 5 5x oder h her auf SafeGuard Enterprise 6 mit zentraler Verwaltung durchf hren Somit k nnen Sie 93 SafeGuard Enterprise 14 2 1 14 2 2 94 umfassende Verwaltungsfunktionen nutzen zum Beispiel Benutzer und Computerverwaltung oder umfangreiche Protokollierungfunktionen So migrieren Sie von SGE SDE 5 5 x oder h her zu SafeGuard Enterprise 6 E Migrieren Sie die Management Konsole E Migrieren Sie die Endpoints Migration der Management Konsole Voraussetzungen m Sie m ssen den SafeGuard Policy Editor nicht deinstallieren m NET Framework 4 mit ASP NET 4 ist erforderlich Dies muss vor der Migration installiert werden Das Programm steht in der SafeGuard Enterprise Produktlieferung zur Verf gung m Richten Sie vor der Migration die aktuelle Version von SafeGuard Enterprise Server ein F r weitere Informationen siehe Einrichten des SafeGuard Enterprise Servers Seite 12 m Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen So migrieren Sie die Management Konsol
44. Nach der Migration wird der erste Benutzer der sich an Windows anmeldet als prim rer Benutzer innerhalb der POA definiert es sei denn der Benutzer ist auf einer Service Account Liste aufgef hrt Richtlinien Pre Boot Authentisierung Nein Nein Um die Konsistenz der gesamten Einstellungen sicherzustellen ist eine automatische Migration nicht vorgesehen Die Einstellungen m ssen im SafeGuard Management Center neu gesetzt werden Die Pre Boot Authentisierung PBA wird durch die SafeGuard Enterprise Power on Authentication POA ersetzt Installationen ohne GINA Token Smartcards gilt nur f r die Migration von SafeGuard Easy Ja Teilweise Installationen ohne GINA werden auf SafeGuard Enterprise mit installierter SGNGINA migriert Die Token Smartcard Hardware kann in SafeGuard Enterprise weiterverwendet werden Allerdings werden die Anmeldeinformationen nicht migriert Die zuvor benutzten Token m ssen daher in SafeGuard Enterprise neu ausgestellt und ber Richtlinien eingerichtet werden Anmeldeinformationen in Dateiform auf Token Smartcards bleiben als solche erhalten k nnen aber lediglich zur Anmeldung an Endpoints mit SafeGuard Easy Sophos SafeGuard Disk Encryption Unterst tzung verwendet werden Falls notwendig muss die benutzte Token Smartcard Middleware auf eine von SafeGuard Enterprise unterst tzte Version migriert werden Anmeldung mit Lenovo Fingerabdruck Leser 14 3 2 5 S
45. SOPHOS simple secure SafeGuard Enterprise Installationsanleitung Produktversion 6 Stand Februar 2012 o mMm 9 Q Inhalt T UbersafeGuard Erlasse een 3 2 Eisteschutle Hs 6 3 Einrichten des SafeGuard Enterprise Servers uucnssesessesensssnnesnenonnnnonnnnnnonnnnonnnnonnnnnnennnonnnnonnnnnonen 12 4 Einrichten einer SafeGuard Enterprise Datenbank usesessssesessenennesnnnnnnnonnenonnennnnnnnnennnnonn 21 5 Einrichten des SafeGuard Management Centers uuenssescssesesessnnonnenonnennonnnonnenonnnnnnonnnonnnnonnnnnonn 30 6 Testen der Kommunikaatio increase en ri nn nenne SRA POE Eerenrirennieeerhehe 43 7 Sichern von Transportverbindungen mit SSL 2 222420224002020nnonnnnonneonnnnnnonnnnennennnnnnnnennnnennnnen 46 8 Registrieren und Konfigurieren des SafeGuard Enterprise Server unnessesssenenenesesnsnenenennnesnenenene 48 9 Einrichten von SafeGuard Enterprise auf Endpoints nesesessesensesnnensenonnenonnennnennnnonnenennnnnnonn 52 10 Einrichten von SafeGuard Configuration Protection rsesersesesssnnensenonnennnennnnonnnnennenonnnnnnonnnnonn 73 11 Einrichten von SafeGuard Enterprise Runtime nesenssesessesesensnnonnenonnenenennnnonnnnonnenonnnnnsonnnnonn 79 12 Replikation der SafeGuard Enterprise Datenbank euesesesssesessenennennnnnnnnonnenonnenonnnnnnonnnnenn 82 13 Aktualisier ig nhi e be np A 87 14 Migration nen AE E T E 93 15 Deinstallation ber bl che ee rar
46. SQL Benutzer m SQL Authentisierung Richten Sie ein SQL Benutzerkonto ein Fragen Sie Ihren SQL Administrator welche Form der Authentisierung f r Sie als Sicherheitsbeauftragter vorgesehen ist Sie ben tigen diese Information vor der Erzeugung der Datenbank und vor der Erstkonfiguration des SafeGuard Management Centers im SafeGuard Management Center Konfigurationsassistenten Verwenden Sie SQL Authentisierung f r Computer die sich nicht in einer Dom ne befinden Ansonsten verwenden Sie Windows Authentisierung Wenn Sie SQL Authentisierung einsetzen empfehlen wir die Verbindung zu und vom Datenbankserver durch SSL zu sichern F r weitere Informationen siehe Einrichten von SSL Seite 46 21 SafeGuard Enterprise 4 1 1 Datenbankzugriffsrechte SafeGuard Enterprise ist so eingerichtet dass es f r das Zusammenspiel mit der SQL Datenbank nur ein einziges Benutzerkonto mit minimalen Zugriffsberechtigungen auf die Datenbank ben tigt Dieses Benutzerkonto wird vom SafeGuard Management Center genutzt und lediglich auf den ersten Sicherheitsbeauftragten des SafeGuard Management Centers ausgestellt Damit ist die Verbindung zur SafeGuard Enterprise Datenbank gew hrleistet W hrend des Betriebs von SafeGuard Enterprise ben tigt ein einziger Sicherheitsbeauftragter des SafeGuard Management Centers nur die Lese Schreib Berechtigung f r die SafeGuard Enterprise Datenbank Die SafeGuard Enterprise Datenbank kann entweder manuell oder aut
47. S_2 verbunden werden sollen F r Informationen zum Aktualisieren von replizierten SafeGuard Enterprise Datenbanken siehe Aktualisieren von replizierten SafeGuard Enterprise Datenbanken Seite 88 Installationsanleitung 13 Aktualisierung 13 1 SafeGuard Enterprise 5 5x oder h her kann direkt auf die aktuelle Version von SafeGuard Enterprise aktualisiert werden Bestehende Einstellungen m ssen nicht ge ndert werden Wenn Sie eine Aktualisierung von einer lteren Version durchf hren m chten m ssen Sie zun chst eine Aktualisierung auf Version 5 50 durchf hren F r eine Aktualisierung auf die aktuelle Version von Sophos SafeGuard m ssen folgende Komponenten aktualisiert werden F hren Sie die Aktualisierung in der angegebenen Reihenfolge aus 1 SafeGuard Enterprise Datenbank 2 SafeGuard Enterprise Server 3 SafeGuard Management Center 4 Durch SafeGuard Enterprise gesch tzte Endpoint Computer Hinweis Wenn Sie eine Aktualisierung von SafeGuard Enterprise 5 x auf SafeGuard Enterprise 6 durchf hren m ssen Sie manuell eine Standard Evaluierungslizenz f r SafeGuard Cloud Storage und SafeGuard File Share importieren Die Lizenzdatei steht in Ihrer Produktlieferung zur Verf gung Wenn Sie eine Aktualisierung von einer SafeGuard Enterprise Version vor 5 30 durchf hren wenden Sie sich bitte vorher an Ihren Vertriebspartner und fordern Sie eine g ltige Lizenz an Ab SafeGuard Enterprise 5 30 muss eine g ltige Lizenz
48. Seite Daten des Sicherheitsbeauftragten Seite einen der folgenden Schritte aus E Wenn die gesicherte Zertifikatsdatei auf dem Computer gefunden wird wird sie angezeigt Geben Sie das Kennwort ein das Sie zur Anmeldung an das SafeGuard Management Center benutzen E Wird die gesicherte Zertifikatsdatei nicht auf dem Computer gefunden w hlen Sie Importieren Suchen Sie nach der gesicherten Zertifikatsdatei und klicken Sie auf ffnen Geben Sie das Kennwort f r die Zertifikatsdatei ein Klicken Sie auf Ja Geben Sie ein Kennwort f r die Anmeldung am SafeGuard Management Center ein und best tigen Sie es 5 Klicken Sie auf Weiter und dann auf Fertig stellen um die Konfiguration des SafeGuard Management Center abzuschlie en Die SafeGuard Management Center Installation ist wiederhergestellt Wiederherstellen einer besch digten Datenbankkonfiguration Sie k nnen eine besch digte Datenbankkonfiguration wiederherstellen indem Sie das SafeGuard Management Center neu installieren und basierend auf den gesicherten Zertifikatsdateien eine neue Instanz der Datenbank erstellen Dadurch wird sichergestellt dass alle vorhandenen SafeGuard Enterprise Endpoint Computer Richtlinien von der neuen Installation annehmen m Das Unternehmenszertifikat und das Haupt Sicherheitsbeauftragten Zertifikat der betreffenden Datenbankkonfiguration m ssen als p12 Dateien exportiert worden sein 41 SafeGuard Enterprise 42 Die Dateien m ssen vorha
49. allation der aktuellen Verschl sselungssoftware ausgestattet SafeGuard Data Exchange mit dateibasierender Verschl sselung auf Wechselmedien wird installiert Hinweis SafeGuard Configuration Protection muss als Feature f r das SafeGuard Data Exchange Installationspaket angegeben werden Um die Installation des Moduls SafeGuard Configuration Protection anzusto en muss das Configuration Protection Installationspaket durch Angabe eines weiteren msiexec Kommandos hinzugef gt werden 75 SafeGuard Enterprise 10 3 76 E Das Konfigurationspaket das den Endpoint als zentral verwalteten Endpoint konfiguriert und eine Verbindung zum SafeGuard Enterprise Server erm glicht wird installiert E Log Dateien werden erzeugt Beispiel msiexec i F Software SGxClientPreinstall msi qn l1ogI Temp SGxClientPreinstall log msiexec i F Software SGNClient msi qn log I Temp SGNClient log ADDLOCAL Client Authentication SecureDatakxchange ConfigurationProtection Installdir C Program Files Sophos SafeGuard Enterprise msiexec i F Software SGNCPClient msi quiet norestart msiexec i F Software SGNClientConfig_managed msi qn log I Temp SGNClientConfig_managed loqg Lokales Installieren von SafeGuard Configuration Protection Voraussetzungen Die Computer m ssen f r die Verschl sselung vorbereitet sein siehe Vorbereiten der Endpoints f r die Verschl sselung Seite 54 So f hren Sie e
50. allation von SafeGuard Enterprise und stellen die Arbeit mit dem SafeGuard Management Center vor Weitere Informationen finden Sie auf unserer Website http www sophos com Installationschritte Um SafeGuard Enterprise zu installieren f hren Sie die beschriebenen Installationsschritte durch Hinweis SafeGuard Enterprise for Windows unterst tzt keine Apple Hardware und kann nicht in einer Boot Camp Umgebung installiert werden Alle SafeGuard Enterprise Komponenten msi Pakete finden Sie in der Produktlieferung Schritt Beschreibung Paket Tool 1 Laden Sie die Installer herunter 2 Installieren Sie NET Framework 4 mit ASP NET 4 3 Richten Sie Internet Information Services IIS f r die Anwendung mit SafeGuard Enterprise ein 4 Installieren Sie SafeGuard SGNServer msi Enterprise Server 5 Konfigurieren Sie die Microsft SQL Server Authentisierung f r den SafeGuard Enterprise Haupt Sicherheitsbeauftragten 5 SafeGuard Enterprise Datenbank Skripte im Datenbank en ber Skripte Verzeichnis Tools der erzeugen Produktlieferung Installationsanleitung Schritt Beschreibung Installieren Sie die Management Konsole SafeGuard Management Center f r die zentrale Verwaltung von Benutzern Computern Richtlinien Schl sseln und Berichten Paket Tool SGNManagementCenter msi Konfigurieren Sie das SafeGuard Management Center Datenbank und Datenbankserver Verbindungen Zert
51. anagement Centers meist der Haupt Sicherheitsbeauftragte MSO Die Erzeugung und Konfiguration der SafeGuard Enterprise Datenbank en kann ber einen Assistenten oder ber Skripte erfolgen SafeGuard Enterprise Server Microsoft Internet Information Services ISS NET Framework 4 auf IIS basiertem Webserver und ASP NET 4 sind erforderlich Der f r SafeGuard Enterprise eingesetzte Webserver muss auf Internet Information Services IIS basieren Wir empfehlen den Einsatz eines dedizierten IIS f r SafeGuard Enterprise Server Es ist m glich den HS zu clustern Der SafeGuard Enterprise Server ist die Schnittstelle zwischen Datenbank und SafeGuard Enterprise Endpoints Der SafeGuard Enterprise Server sendet auf Anfrage SafeGuard Enterprise Richtlinieneinstellungen an die Endpoint Computer Er ben tigt Zugriff auf die Datenbank Er l uft als Anwendung auf einem Microsoft Internet Information Services IIS basierten Webserver SafeGuard Management Zentrales Management Werkzeug f r durch SafeGuard Enterprise Center auf dem gesch tzte Endpoints zur Verwaltung von Schl sseln und Administratorcomputer Zertifikaten Benutzern amp Computern sowie zur Erstellung von SafeGuard Enterprise Richtlinien Das SafeGuard Management Center Installationsanleitung Komponente Beschreibung kommuniziert mit der SafeGuard Enterprise Datenbank NET Framework 4 ist erforderlich Verzeichnisdienste optional I
52. andene und neue Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete W hlen Sie Konfigurationspaket managed erstellen Weisen Sie dieses Paket dem Endpoint ber eine Gruppenrichtlinie zu Die Authentisierung ist deaktiviert da die Benutzer Computer Zuordnung nicht migriert wird Nach der Migration sind die Endpoints damit ungesch tzt Der Benutzer muss den Endpoint neu starten Die erste Anmeldung erfolgt noch ber Autologon Neue Schl ssel und Zertifikate werden dem Benutzer zugewiesen Der Benutzer muss den Endpoint noch einmal neu starten Melden Sie sich an der Power on Authentication an Die Endpoints werden erst nach dem zweiten Neustart gesch tzt L schen Sie veraltete und nicht mehr verwendete Konfigurationspakete Der durch Sophos SafeGuard gesch tzte Endpoint hat nun eine Verbindung zum SafeGuard Enterprise Server Aktualisieren von SafeGuard Configuration Protection F r Informationen zum Aktualisieren von Configuration Protection siehe Aktualisieren von SafeGuard Configuration Protection Seite 77 Installationsanleitung 14 14 1 14 2 Migration Dieser Abschnitt beschreibt die Migrationsszenarien die eine nderung in Ihrer Lizenz f r die Sophos Verschl sselungssoftware umfassen Sowohl die Migration der serverseitigen Software als auch der Endpoint Software wird abgedeckt Es werden folgende Migrationsszenarien f r SafeGuard Enterprise 6 besch
53. ationspaket des Typs Managed und installieren Sie es direkt 8 nach der Installation beider Softwarepakete auf dem Endpoint Computer Starten Sie den Endpoint Computer neu SafeGuard Configuration Protection wird auf dem Endpoint Computer installiert 10 4 Deinstallieren von SafeGuard Configuration Protection Um SafeGuard Configuration Protection zu deinstallieren f hren Sie die folgenden Schritte in der angegebenen Reihenfolge durch l Deinstallieren Sie das Sophos SafeGuard Konfigurationspaket 2 Doppelklicken Sie auf dem installierten Sophos SafeGuard Verschl sselungspaket Ein Assistent f hrt Sie durch die notwendigen Schritte W hlen Sie im Installationsassistenten den Installationstyp ndern aus Deaktivieren Sie unter Features zus tzlich das Feature Configuration Protection Wenn die Deinstallation beendet ist starten Sie den Computer auf keinen Fall neu Deinstallieren Sie das SafeGuard Configuration Protection Paket SGNCPClient msi Starten Sie den Computer neu SafeGuard Configuration Protection wird vom Endpoint Computer entfernt 10 5 Aktualisieren von SafeGuard Configuration Protection So aktualisieren Sie SafeGuard Configuration Protection l Installieren Sie das aktuelle vorbereitende Installationspaket SGxClientPreinstall msi Dieses Paket stattet die Endpoint Computer mit notwendigen Voraussetzungen f r die erfolgreiche Installation der aktuellen Verschl sselungssoftware a
54. ationspaket und installieren Sie danach das neue auf dem entsprechenden Server Die neue Server Konfiguration wird aktiv 50 Installationsanleitung 8 4 Registrieren des SafeGuard Enterprise Servers mit aktivierter Sophos Firewall Ein durch SafeGuard Enterprise gesch tzter Endpoint kann keine Verbindung mit dem SafeGuard Enterprise Server herstellen wenn eine Sophos Firewall mit Standardeinstellungen auf dem Endpoint Computer installiert ist Die Sophos Firewall sperrt standardm ig NetBIOS Verbindungen die f r die Aufl sung des Netzwerknamens des SafeGuard Enterprise Servers ben tigt werden 1 F hren Sie als Workaround einen der folgenden Schritte aus E Geben Sie die NetBIOS Verbindungen in der Firewall frei E F gen Sie den Fully Qualified Name des SafeGuard Enterprise Servers im Konfigurationspaket hinzu F r weitere Informationen siehe Registrieren und Konfigurieren des SafeGuard Enterprise Servers f r einen anderen Computer Seite 49 51 SafeGuard Enterprise 52 9 9 1 9 2 Einrichten von SafeGuard Enterprise auf Endpoints Die SafeGuard Enterprise Verschl sselungssoftware f gt sich nahtlos in die gewohnte Benutzerumgebung ein und l sst sich leicht und intuitiv bedienen Je nach Ihrer Strategie f r den Einsatz von SafeGuard Enterprise k nnen Sie die Endpoints mit verschiedenen SafeGuard Enterprise Modulen ausstatten und sie gem Ihren Anforderungen konfigurieren Sicherheitsbeauftragte
55. beauftragten ID einen Namen f r den Haupt Sicherheitsbeauftragten ein 2 Geben Sie unter Anmeldung mit Token an ob Sie einen Token eine Smartcard f r die Anmeldung benutzen m chten oder nicht Wir empfehlen dass Sie die Anmeldung mit Token nicht als Zwingend erforderlich definieren Eine Anmeldung mit Token bzw Smartcard erfordert eine gesonderte Konfiguration die innerhalb des SafeGuard Management Centers zu erledigen ist 3 F hren Sie auf der Seite Zertifikat f r den Haupt Sicherheitsbeauftragten einen der folgenden Schritte aus E Klicken Sie auf Erzeugen um ein neues Zertifikat f r den Haupt Sicherheitsbeauftragten zu erzeugen Sie werden dazu aufgefordert sowohl f r den Zertifikatsspeicher als auch f r die Datei in die das Zertifikat exportiert werden soll private Schl sseldatei P12 jeweils ein Kennwort einzugeben und zu best tigen Das Zertifikat wird erzeugt und unter Zertifikat f r den Haupt Sicherheitsbeauftragten angezeigt Installationsanleitung 5 4 6 1 5 4 6 2 E Klicken Sie auf Importieren um ein Zertifikat f r den Haupt Sicherheitsbeauftragten zu verwenden das bereits auf dem Netz zur Verf gung steht Suchen Sie unter Importieren des Zertifikats die gesicherte Schl sseldatei Geben Sie unter Kennwort der Datei das f r diese Datei festgelegte Kennwort ein und best tigen Sie es W hlen Sie Schl sseldatei im Zertifikatsspeicher speichern und geben Sie das Kennwort f r den Speicher ein Klicken
56. beauftragten zur Verf gung steht m ssen Sie es in den Zertifikatsspeicher importieren Hinweis Ein Zertifikat kann nicht aus einer Microsoft PKI importiert werden Ein importiertes Zertifikat muss minimal 1024 Bits haben und kann maximal 4096 Bits lang sein 1 Klicken Sie unter Authentisierungs Schl sseldatei importieren auf die Schaltfl che und w hlen Sie die Schl sseldatei aus Geben Sie das Kennwort der Schl sseldatei ein Geben Sie das zuvor unter Kennwort des Zertifikatsspeichers oder Token PIN definierte Kennwort f r den Zertifikatsspeicher ein W hlen Sie In den Zertifikatsspeicher importieren oder Auf den Token kopieren um das Zertifikat auf einem Token zu speichern 2 Geben Sie zur Initialisierung des Zertifikatsspeichers das Kennwort noch einmal ein Zertifikat und privater Schl ssel befinden sich nun im Zertifikatsspeicher Zur Anmeldung an das SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet Erzeugen des Unternehmenszertifikats Mit dem Unternehmenszertifikat lassen sich unterschiedliche SafeGuard Management Center Installationen auseinander halten In Verbindung mit dem Zertifikat des Haupt Sicherheitsbeauftragten l sst sich mit dem Unternehmenszertifikat eine besch digte SafeGuard Enterprise Datenbankkonfiguration wiederherstellen 1 W hlen Sie auf der Seite Unternehmenszertifikat die Option Neues Unternehmenszertifikat erzeugen 2 Geben Sie einen Namen Ihrer Wahl ein
57. ben Sie am Beginn des Skripts use SafeGuard ein um die SafeGuard Enterprise Datenbank auszuw hlen in der die Tabellen erstellt werden sollen 8 Klicken Sie auf die Schaltfl che Ausf hren um die Datenbank zu erzeugen Die SafeGuard Enterprise Datenbank und die zugeh rigen Tabellen sind erzeugt Installationsanleitung 4 3 ndern der Zugriffsrechte f r die SafeGuard Enterprise Datenbank 4 4 Nach dem Erstellen der SafeGuard Enterprise Datenbank entweder per Skript oder im SafeGuard Management Center k nnen die Zugriffsrechte wieder ge ndert werden Da es m glich ist einem Benutzer f r eine Datenbank unterschiedliche Rollen und Berechtigungen zuzuweisen sind nur die Mindestrechte f r die Herstellung einer Verbindung zur SafeGuard Enterprise Datenbank erforderlich l ffnen Sie SQL Server Management Studio Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an ffnen Sie den Objekt Explorer klicken Sie mit der rechten Maustaste auf Sicherheit und dann auf Anmeldungen Klicken Sie mit der rechten Maustaste auf den erforderlichen Benutzer und klicken Sie dann auf Eigenschaften W hlen Sie Benutzerzuordnung auf der linken Seite W hlen Sie unter Users mapped to this login Benutzer die dieser Anmeldung zugeordnet sind die Datenbank SafeGuard Stellen Sie unter Database role membership for Datenbankrollenmitgliedschaft f r die Zugriffsrechte f r die Benutzung der SafeGuard Enterp
58. ben Sie einen Namen f r das Paket ein W hlen Sie unter Prim rer Server den korrekten Server mit dem die SafeGuard Enterprise Clients GRAZ verbunden werden sollen WS_1 Legen Sie den Ausgabepfad fest und klicken Sie auf Konfigurationspaket erstellen Die SafeGuard Enterprise Server und Client Konfigurationspakete f r die Datenbank GRAZ werden am definierten Ausgabeort erstellt Erzeugen der Konfigurationspakete f r die Datenbank LINZ Sie m ssen die Konfigurationspakete f r die Datenbank LINZ erzeugen Ein Paket f r Server WS_2 f r die Kommunikation mit der Datenbank GRAZ sowie ein Paket f r die Verbindung des SafeGuard Enterprise Clients LINZ mit dem Web Service WS_2 1 Klicken Sie im SafeGuard Management Center im Extras Men auf Optionen und dann auf Datenbank W hlen Sie unter Verbindungseinstellungen WS_2 als Datenbankserver und LINZ als Datenbank auf Server Klicken Sie auf OK Klicken Sie im Extras Men auf Konfigurationspakete und dann auf Server Konfigurationspaket erstellen W hlen Sie den Server WS_2 den Ausgabepfad und klicken Sie auf Konfigurationspaket erstellen Wechseln Sie auf die Registerkarte Konfigurationspaket Managed erstellen Klicken Sie auf Konfigurationspaket hinzuf gen und geben Sie einen Namen f r das Paket ein W hlen Sie unter Prim rer Server den korrekten Server mit dem die SafeGuard Enterprise Clients LINZ verbunden werden sollen WS_2 Legen Sie den Ausgabepfad fest u
59. bssystemen k nnen Sie die 64 Bit Varianten der Installationspakete verwenden SafeGuard Configuration Protection Paket Installieren Sie SGNCPClient msi Um SafeGuard Configuration Protection auf Windows 7 64 Bit Betriebssystemen einzurichten k nnen Sie die 64 Bit Varianten der Installationspakete verwenden Verwenden Sie den Parameter norestart um sicherzustellen dass der Computer nicht neu gestartet wird msiexec i SGNCPClient msi quiet norestart Konfigurationspaket f r zentral verwaltete Endpoints Verwenden Sie die zuvor im SafeGuard Management Center erzeugten Konfigurationspakete Bevor Sie ein neues Konfigurationspaket installieren deinstallieren sie zun chst vorhandene veraltete Konfigurationspakete 4 Um das Skript zu erzeugen ffnen Sie eine Befehlseingabeaufforderung und geben Sie die Scripting Befehle ein 5 Verteilen Sie dieses Paket ber unternehmenseigene Software Verteilungsmechanismen an die Endpoint Computer Beispielbefehl SafeGuard Configuration Protection mit Device Protection Das msiexec Kommando muss in der im Beispiel angegebenen Reihenfolge ausgef hrt werden In diesem Beispiel wird folgendes installiert E Die Endpoints werden mit den notwendigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware ausgestattet E SafeGuard Enterprise Power on Authentication POA E SafeGuard Enterprise Festplattenverschl sselung volum
60. ch Benutzern mit dem gleichen Problem E Durchsuchen Sie die Sophos Support Knowledgebase unter http www sophos de support E Laden Sie Dokumentation zu den Produkten unter http www sophos de support docs herunter E Senden Sie eine E Mail an den technischen Support support sophos de und geben Sie die Versionsnummer n Betriebssystem e und Patch Level Ihrer Sophos Software sowie ggf den genauen Wortlaut von Fehlermeldungen an 106 Installationsanleitung 17 Rechtliche Hinweise Copyright 1996 2012 Sophos Group Alle Rechte vorbehalten SafeGuard ist ein eingetragenes Warenzeichen von Sophos Group Diese Publikation darf weder elektronisch oder mechanisch reproduziert elektronisch gespeichert oder bertragen noch fotokopiert oder aufgenommen werden es sei denn Sie verf gen entweder ber eine g ltige Lizenz gem der die Dokumentation in bereinstimmung mit dem Lizenzvertrag reproduziert werden darf oder Sie verf gen ber eine schriftliche Genehmigung des Urheberrechtsinhabers Sophos Sophos Anti Virus und SafeGuard sind eingetragene Warenzeichen von Sophos Limited Sophos Group und Utimaco Safeware AG sofern anwendbar Alle anderen erw hnten Produkt und Unternehmensnamen sind Marken oder eingetragene Marken der jeweiligen Inhaber Copyright Informationen von Drittanbietern finden Sie in dem Dokument Disclaimer and Copyright for 3rd Party Software in Ihrem Produktverzeichnis 107
61. ction zu installieren aktivieren Sie dieses Feature UND installieren Sie ein zus tzliches Paket siehe Einrichten von SafeGuard Configuration Protection Seite 73 61 SafeGuard Enterprise 62 SSN ht wihnuDE Ans Inhalt Dateibasierende Verschl sselung F r zentral verwaltete Endpoints verf gbar F r Standalone Endpoints verf gbar SecureDataExchange Dateibasierende Verschl sselung von Daten auf Wechselmedien auf allen Plattformen ohne Neuverschl sselung Es steht keine Power on Authentication zur Verf gung W hlen Sie den Installationstyp Vollst ndig Typisch oder Angepasst FileShare Dateibasierende Verschl sselung von Daten auf lokalen Festplatten und Netzwerkfreigaben speziell f r Arbeitsgruppen W hlen Sie den Installationstyp Vollst ndig oder Angepasst 4 GV CloudStorage Dateibasierende Verschl sselung f r in der Cloud gespeicherte Daten Lokale Kopien von in der Cloud gespeicherten Daten werden stets transparent verschl sselt F r das bertragen von Daten an die Cloud oder den Empfang von Daten aus der Cloud muss anbieterspezifische Software benutzt werden W hlen Sie den Installationstyp Vollst ndig oder Angepasst ConfigurationProtection Kontrolle und Schutz von Endpoint Computern und Ger ten an allen Schnittstellen Schutz von Ports W hlen Sie den Installationstyp Angepasst Um SafeGuard Config
62. datei importiert werden Aktualisieren der SafeGuard Enterprise Datenbank und des Datenbankschemas Voraussetzungen m SafeGuard Enterprise Datenbank 5 50 oder h her muss installiert sein ltere Versionen m ssen zun chst auf Version 5 50 aktualisiert werden m Es werden SQL Migrationsskripte f r die Aktualisierung ben tigt Sie finden diese im Tools Verzeichnis Ihrer Software Lieferung Stellen Sie sicher dass sie auf dem Datenbank Computer vorhanden sind m NET Framework 4 ist erforderlich Dies muss vor der Aktualisierung installiert werden Das Programm steht in der SafeGuard Enterprise Software Lieferung zur Verf gung m Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen So aktualisieren Sie die SafeGuard Enterprise Datenbank und das Datenbankschema Schlie en Sie alle Instanzen des SafeGuard Management Centers Erstellen Sie eine Sicherungskopie von der SafeGuard Enterprise Datenbank 1 2 3 ffnen Sie Microsoft SQL Server Management Studio 4 Klicken Sie im Objekt Explorer mit der rechten Maustaste auf der SafeGuard Enterprise Datenbank und klicken Sie auf Eigenschaften 87 SafeGuard Enterprise 5 W hlen Sie im Fenster Datenbankeigenschaften die Seite Optionen auf der linken Seite W hlen Sie unter Status Zugriff beschr nken den Modus Single f r das Ausf hren der SQL Migrationskripte 6 Klicken Sie im Objekt Explorer mit der rechten Maustaste auf der SafeGuard Enterprise
63. der auch die Erstellung der Datenbank geh rt Fahren Sie hierzu mit der Installation und Konfiguration des SafeGuard Management Center fort siehe Einrichten des SafeGuard Management Centers Seite 30 und ndern Sie dann die relevanten Zugriffsrechte siehe ndern der Zugriffsrechte f r die SafeGuard Enterprise Datenbank Seite 27 m Mit SQL Skripts die in der Produktlieferung zur Verf gung stehen Dieser Weg ist dann angebracht wenn die Erweiterung der Datenbankberechtigung w hrend der Konfiguration des SafeGuard Management Centers nicht gew nscht ist Es h ngt von Ihrer Unternehmensumgebung ab welche Methode Sie anwenden Am besten sollte dies zwischen SQL Administrator und SafeGuard Enterprise Sicherheitsbeauftragten vorab gekl rt werden 25 SafeGuard Enterprise 4 2 1 4 2 2 26 Voraussetzungen Folgende Voraussetzungen m ssen erf llt sein E Microsoft SQL Server muss bereits installiert und konfiguriert sein F r kleinere Unternehmen eignet sich der Einsatz der Microsoft SQL Express Edition da keine Lizenzkosten anfallen E Aus Performance Gr nden sollte Microsoft SQL Server nicht auf dem Rechner installiert werden auf dem der SafeGuard Enterprise Server installiert wird E Die Authentisierungsverfahren sowie die Zugriffsrechte f r die Datenbank sollten gekl rt werden Erzeugen der SafeGuard Enterprise Datenbank per Skript Wenn Sie die SafeGuard Datenbank automatisch w hrend der Konfiguration
64. dpoint aber noch nicht neu gestartet wurde sollten Sie den Endpoint einmal neu starten Andernfalls kann die Installation unter Umst nden nicht erfolgreich abgeschlossen werden Installationsanleitung 9 3 1 9 3 2 E Nur f r SafeGuard Enterprise Clients managed Kontrollieren Sie ob eine Verbindung zum SafeGuard Enterprise Server besteht Rufen Sie auf den Endpoints im Internet Explorer folgende Web Adresse auf http lt ServerlPAddress gt sgnsrv Wenn die Trans Seite mit dem Eintrag Check Connection erscheint ist die Verbindung zum SafeGuard Enterprise Server hergestellt Vorbereitung f r Cloud Storage Das SafeGuard Enterprise Modul Cloud Storage bietet dateibasierende Verschl sselung von in der Cloud gespeicherten Daten Cloud Storage stellt sicher dass die lokalen Kopien von Cloud Daten transparent verschl sselt werden und auch verschl sselt bleiben wenn sie in der Cloud gespeichert werden Die Art und Weise wie Benutzer mit in der Cloud gespeicherten Daten arbeiten wird dadurch nicht beeinflusst Auf die anbieterspezifische Cloud Software hat die Anwendung des Moduls keine Auswirkungen Sie kann wie zuvor zum bertragen von Daten an die Cloud oder zum Empfangen von Daten aus der Cloud benutzt werden So bereiten Sie Ihre Endpoints f r Cloud Storage vor E Die anbieterspezifische Cloud Storage Software muss auf den Endpoint Computern auf denen Sie das Modul Cloud Storage installieren m chten installiert sein
65. e 1 Starten Sie auf dem Computer auf dem der SafeGuard Policy Editor installiert ist SGNManagementCenter msi aus dem Install Verzeichnis des Produkts Ein Assistent f hrt Sie durch die Installation bernehmen Sie die Standardeinstellungen 2 Starten Sie Ihren Computer neu wenn Sie dazu aufgefordert werden 3 Starten Sie das SafeGuard Management Center um die Erstkonfiguration durchzuf hren siehe Konfigurieren des SafeGuard Management Centers Seite 31 4 Konfigurieren Sie die SafeGuard Enterprise Richtlinien nach Ihren W nschen Der SafeGuard Policy Editor wurde zum SafeGuard Management Center migriert Migration von Endpoints Sie k nnen durch Sophos SafeGuard gesch tzte Endpoints mit einer Standalone Konfiguration zu einer zentral verwalteten Konfiguration migrieren Die Endpoints werden dann im SafeGuard Management Center zu Objekten die verwaltet werden k nnen und eine Verbindung zum SafeGuard Enterprise Server haben Voraussetzungen m F hren Sie ein Backup des Endpoint durch bevor Sie die Migration starten m Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen m Es ist keine Deinstallation der Sophos SafeGuard Verschl sselungssoftware auf den Endpoints n tig Sophos SafeGuard Version 5 5 x oder h her muss auf den Endpoints installiert sein ltere Versionen m ssen aktualisiert werden bis Version 5 50 erreicht ist Installationsanleitung 14 3 So migrieren Sie die Endpoints
66. e 103 16 Technischer SUPPOft 1 4schsisapensetedeteintatenshetn EASE EAEE 106 17 Rechtliche HINWEISE use ee 107 Installationsanleitung 1 1 1 ber SafeGuard Enterprise SafeGuard Enterprise ist eine umfassende modular aufgebaute Datensicherheitsl sung die Informationen und Informationsaustausch auf Servern PCs und mobilen Endger ten durch ein richtlinienbasiertes Verschl sselungskonzept zuverl ssig sch tzt Die zentrale Verwaltung wird im SafeGuard Management Center durchgef hrt Sicherheitsrichtlinien Schl ssel und Zertifikate Smartcards und Token k nnen ber ein rollenbasiertes Administrationskonzept bersichtlich verwaltet werden Ausf hrliche Protokollierung und Reportfunktionen gew hrleisten stets den berblick ber alle Ereignisse Auf Benutzerseite sind Datenverschl sselung und Schutz vor Angreifern die prim ren Sicherheitsfunktionen von SafeGuard Enterprise SafeGuard Enterprise f gt sich dabei nahtlos in die gewohnte Benutzerumgebung ein und l sst sich leicht und intuitiv bedienen Die SafeGuard spezifische Authentisierung die Power on Authentication POA sorgt f r umfassenden Zugriffsschutz und bietet komfortable Unterst tzung bei der Wiederherstellung von Anmeldeinformationen SafeGuard Enterprise Komponenten Dieser Abschnitt bietet einen berblick ber die SafeGuard Enterprise Komponenten und beschreibt wie sie zusammenspielen Eine oder mehrere Microsoft SQL Datenbanken sammeln In
67. e 13 3 2 2 2 Pr fen der ASP NET Registrierung bei IIS 7 16 3 3 ASP NET Version 4 ist erforderlich 1 Um zu berpr fen ob ASP NET installiert und mit der korrekten Version registriert ist geben Sie das Kommando aspnet_regiis exe lv auf der Kommandozeile ein F r ASP NET Version sollte Version 4 0 angezeigt werden H rten des IIS Servers Zur Erh hung der Sicherheit im Intranet Ihres Unternehmens empfehlen wir jeden IIS Server sowie die Anwendungen die auf diesem Server laufen durch spezifische Sicherheitseinstellungen zu sch tzen und ihn so zu h rten Dieses Kapitel beschreibt wie Sie den IIS Server f r die Benutzung mit SafeGuard Enterprise so einrichten dass er den Absicherungsempfehlungen von Microsoft entspricht Sollten weitere Einstellungen die nicht von Microsoft empfohlen oder in diesem Kapitel beschrieben werden aktiviert werden kann dies zu unerw nschten Ergebnissen f hren Hinweis Detaillierte Informationen zur Absicherung von Web Servern finden Sie im Microsoft Solutions for Security and Compliance Windows Server 2003 Security Guide der auf der Microsoft Website kostenlos zum Download zur Verf gung steht Die Beschreibungen in diesem Kapitel basieren auf folgender Musterkonfiguration E Server 1 Microsoft Windows Server 2003 SP1 SafeGuard Enterprise Server aktuelle Version SafeGuard Management Center aktuelle Version Microsoft SQL Server 2005 Express IIS mit minimalen Kompo
68. e Server mit Taskplaner wird installiert 19 SafeGuard Enterprise 20 Hinweis Aus Performance Gr nden ist die Verkettung von protokollierten Ereignissen f r die SafeGuard Enterprise Datenbank nach der Installation des SafeGuard Enterprise Servers standardm ig deaktiviert Ohne die Verkettung steht f r die protokollierten Ereignisse jedoch kein Integrit tsschutz zur Verf gung Die Verkettung verkn pft alle Eintr ge in der Ereignistabelle miteinander so dass die Entfernung eines Eintrags sichtbar wird und ber eine Integrit tspr fung nachgewiesen werden kann Um den Integrit tsschutz zu nutzen m ssen Sie die Verkettung von protokollierten Ereignissen manuell aktivieren Detaillierte Informationen hierzu finden Sie im Kapitel Berichte der SafeGuard Enterprise Administrator Hilfe Installationsanleitung 4 Einrichten einer SafeGuard Enterprise Datenbank 4 1 SafeGuard Enterprise speichert alle relevanten Daten wie Schl ssel Zertifikate Informationen zu Benutzern amp Computern Freignisse und die Richtlinieneinstellungen in einer Datenbank Die SafeGuard Enterprise Datenbank basiert auf Microsoft SQL Server Pr fen Sie die Liste der aktuell unterst tzten SQL Server Typen im Abschnitt zu den Systemanforderungen in den aktuellen Versionsinfos unter http www sophos de support knowledgebase article 112776 html Sie k nnen die Datenbank entweder automatisch w hrend der Erstkonfiguration im SafeGuard Management
69. e auf mehrere SQL Server repliziert werden kann Wenn EVENT Tabellen verkettet werden k nnen w hrend der Replikation ihrer Datens tze Probleme auftreten So erzeugen Sie die Replikationsdatenbanken neu 1 Erzeugen Sie eine Ver ffentlichung f r die Master Datenbank in der Management Konsole des SQL Servers Eine Ver ffentlichung definiert das Daten Set das repliziert werden soll 2 W hlen Sie alle Tabellen Ansichten und gespeicherten Prozeduren f r die Synchronisierung in dieser Ver ffentlichung aus 3 Erstellen Sie die Replikationsdatenbanken indem Sie ein Abonnement f r Graz und ein Abonnement f r Linz erzeugen Die neuen Datenbanken Graz und Linz erscheinen daraufhin in den Abonnements im SQL Konfigurationsassistenten 4 Schlie en Sie den SQL Konfigurationsassistenten Die Replikations berwachung zeigt ob der Replikationsmechanismus korrekt l uft 5 Stellen Sie sicher dass Sie den korrekten Datenbanknamen in der ersten Zeile des SQL Skripts eingeben Verwenden Sie zum Beispiel Graz oder Linz 6 Erzeugen Sie nochmal die Snapshots mit dem Snapshot Agenten Die Replikationsdatenbanken Graz und Linz wurden angelegt Installieren und Registrieren von SafeGuard Enterprise Servern Um SafeGuard Enterprise Server auf den Web Servern zu installieren gehen Sie wie folgt vor 1 Installieren Sie SafeGuard Enterprise Server auf dem Server WS_1 2 Installieren Sie SafeGuard Enterprise Server auf dem Server WS_2 3
70. e basierender Ger teschutz Installationsanleitung 10 2 2 Hinweis SafeGuard Configuration Protection muss als Feature im Paket f r die SafeGuard Enterprise Festplattenverschl sselung angegeben werden Um die Installation des Moduls SafeGuard Configuration Protection anzusto en muss das Configuration Protection Installationspaket durch Angabe eines weiteren msiexec Kommandos hinzugef gt werden Das Konfigurationspaket das den Endpoint als zentral verwalteten Endpoint konfiguriert und eine Verbindung zum SafeGuard Enterprise Server erm glicht wird installiert Log Dateien werden erzeugt Beispiel msiexec i F Software SGxClientPreinstall msi qn log Temp SGxClientPreinstall log msiexec i F Software SGNClient msi qn log Temp SGNClient log ADDLOCAL Client Authentication CredentialProvider BaseEncryption SectorBasedEncryption ConfiqurationProtection Installdir C Program Files Sophos SafeGuard Enterprise msiexec i F Software SGNCPClient msi quiet norestart msiexec i F Software SGNClientConfig_managed msi qn log Temp SGNClientConfig_managed log Beispielbefehl SafeGuard Configuration Protection mit dateibasierender Verschl sselung Das msiexec Kommando muss in der im Beispiel angegebenen Reihenfolge ausgef hrt werden In diesem Beispiel wird folgendes installiert Die Endpoints werden mit den notwendigen Voraussetzungen f r eine erfolgreiche Inst
71. einsame Komponenten benutzen Die Meldung kann daher ignoriert werden Die betroffenen Komponenten werden beim Neustart aktualisiert E SafeGuard LAN Crypt vor Version 3 7x und SafeGuard Enterprise 6 k nnen nicht zusammen auf einem Computer installiert werden Wenn Sie versuchen SafeGuard Enterprise 6 auf einem Computer zu installieren auf dem bereits SafeGuard LAN Crypt 3 6x oder eine ltere Version installiert ist wird die Installation mit einer Fehlermeldung abgebrochen E SafeGuard LAN Crypt 3 7x und SafeGuard Enterprise vor Version 5 40 k nnen nicht zusammen auf einem Computer installiert werden Wenn Sie versuchen SafeGuard LAN Crypt 3 7x auf einem Computer zu installieren auf dem sich bereits SafeGuard Enterprise mit Versionen niedriger als 5 40 befindet wird die Installation abgebrochen und eine entsprechende Fehlermeldung ausgegeben Kompatibilit t mit SafeGuard PrivateCrypto und SafeGuard PrivateDisk SafeGuard Enterprise 6 und die Standalone Produkte SafeGuard PrivateCrypto ab Version 2 30 sowie SafeGuard PrivateDisk ab Version 2 30 k nnen gleichzeitig auf einem Computer installiert sein Sowohl SafeGuard PrivateCrypto als auch SafeGuard PrivateDisk k nnen dann das SafeGuard Enterprise Schl sselmanagement mit benutzen Kompatibilit t mit SafeGuard RemovableMedia Die Komponente SafeGuard Data Exchange und SafeGuard RemovableMedia k nnen nicht zusammen auf einem Computer installiert werden Bevor Sie das SafeGuard
72. eisen Sie jetzt unter Anmeldung Neu unter Allgemein die Zugangsberechtigungen Rollen zu indem Sie links auf Serverrollen klicken W hlen Sie dbcreator Nach der Installation von SafeGuard Enterprise kann die Datenbankrolle auf dbowner zur ckgesetzt werden loix sw IB Skript 73 Hilfe LA Allgemein Serverollen L Benutzerzuordnung amp Sicherungsf hige Elemente LF Status Die Serverrolle wird verwendet um einem Benutzer serverweite Sicherheitsprivilegien zu erteilen Serveollen L bukadmin m dbcreator u DO diskadmin C processadmin securityadmin _ serveradmin C setupadmin sysadmin Server SRV 2003R2 DE Verbindung sa Verbindungseigenschaften anzeigen Stats Bereit OK Abbrech SE eeen Das SQL Benutzerkonto und die Zugriffsberechtigungen sind damit f r den SafeGuard Enterprise Sicherheitsbeauftragten eingerichtet Erzeugen der SafeGuard Enterprise Datenbank Nachdem das Benutzerkonto f r die SQL Server Anmeldung eingerichtet ist k nnen Sie die SafeGuard Enterprise Datenbank erzeugen Hier gibt es zwei M glichkeiten E Mit dem SafeGuard Management Center Konfigurationsassistenten Als Sicherheitsbeauftragter k nnen Sie die SafeGuard Enterprise Datenbank w hrend der Erstkonfiguration im SafeGuard Management Centers leicht und bequem erstellen Der SafeGuard Management Center Konfigurationsassistent f hrt Sie durch die Basiskonfiguration zu
73. eit auf Hinzuf gen und geben Sie unter Objektname den entsprechenden Windows Benutzernamen ein Klicken Sie auf OK 7 W hlen Sie in Sicherheit unter Berechtigungen Spezielle Berechtigungen und setzen Sie im Objekt Dialog die folgenden Berechtigungen auf Zulassen Ordner auflisten Daten lesen Dateien erstellen Daten schreiben L schen 8 Klicken Sie auf OK und beenden Sie den Windows Explorer 9 ffnen Sie den Internet Information Services Manager 10 W hlen Sie im Verbindungen Bereich auf der linken Seite die Anwendungspools f r den relevanten Server Knoten 11 W hlen Sie aus der Anwendungspools Liste auf der rechten Seite SGNSRV Pool 12 W hlen Sie im Aktionen Bereich auf der linken Seite Erweiterte Einstellungen 13 Klicken Sie in Erweiterte Einstellungen unter Prozessmodell f r die Eigenschaft Identit t auf die Schaltfl che 14 W hlen Sie in Identit t des Anwendungspools die Option Benutzerdefiniertes Konto und klicken Sie auf Festlegen 15 Geben Sie in Anmeldeinformationen festlegen den relevanten Windows Benutzernamen in folgender Form ein Dom ne lt Windows Benutzername gt Geben Sie das entsprechende Windows Kennwort ein best tigen Sie es und klicken Sie auf OK 16 W hlen Sie im Bereich Verbindungen auf der linken Seite den relevanten Server Knoten und klicken Sie im Aktionen Bereich auf Neu starten 17 W hlen Sie im Bereich Verbindungen auf der linken Seite unter dem relevanten Server
74. en Richtlinieneinstellungen Die mit dem ersten Konfigurationspaket bertragenen Richtlinien sollten mit der vorigen Konfiguration des SafeGuard Easy Sophos SafeGuard Disk Encryption Endpoint bereinstimmen Wenn nach der Migration kein Konfigurationspaket installiert wird bleiben alle Laufwerke die mit SafeGuard Easy Sophos SafeGuard Disk Encryption verschl sselt wurden verschl sselt 2 Installieren Sie das Konfigurationspaket auf den Endpoints Konvertieren von Schl sseln f r verschl sselte Wechselmedien Verschl sselte Wechselmedien bleiben verschl sselt m ssen aber in ein SafeGuard Enterprise kompatibles Schl sselformat umgewandelt werden Um die Umwandlung berhaupt erst zu initiieren muss auf dem Endpoint die entsprechende Richtlinie f r volume basierende Verschl sselung vorliegen Andernfalls werden die Schl ssel nicht konvertiert Hinweis Nach der Konvertierung kann ein verschl sselter Datentr ger nur noch mit SafeGuard Enterprise 6 und nur auf dem Endpoint gelesen werden auf dem die Konvertierung durchgef hrt wurde 1 Nehmen Sie das Wechselmedium vom Endpoint ab und verbinden Sie es danach wieder mit dem Endpoint Somit stellen Sie sicher dass Sie Wechselmedien entschl sseln oder Schl ssel f r die Verschl sselung von Wechselmedien hinzuf gen und entfernen k nnen 2 Klicken Sie im Windows Explorer auf das Wechselmedium doppelt auf das Sie zugreifen m chten 101 SafeGuard Enterprise
75. en W hlen Sie dbcreator Nach der Installation von SafeGuard Enterprise kann die Datenbankrolle auf dbowner zur ckgesetzt werden lolx Seite ausw hk L Skript E Hilfe LA Allgemein Serverollen L Benutzerzuordnung 2 Sicherungsf hige Elemente A Status Die Serverrolle wird verwendet um einem Benutzer serverweite Sicherheitsprivilegien zu erteilen Serverollen L bulkadmin ME dbcrestor DO diskadmin C processadmin C securityadmin C serveradmin setupadmin sysadmin Server SRV 2003R2 DE Verbindung sa 3 Verbindunaseigenschaften Em Bereit 0K Abbrechen ca eea 23 SafeGuard Enterprise 4 1 3 Erstellen eines SQL Kontos f r die Anmeldung am SQL Server 24 Die nachfolgende Beschreibung der einzelnen Konfigurationsschritte richtet sich an SQL Administratoren Sie bezieht sich auf Microsoft Windows Server 2003 mit Microsoft SQL Server 2005 und auf alle Editionen von Microsoft Windows Server 2008 mit der Standardedition von Microsoft SQL Server 2008 Als SQL Administrator ben tigen Sie das Recht ein SQL Benutzerkonto zu erstellen l ffnen Sie SQL Server Management Studio Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an ffnen Sie den Objekt Explorer klicken Sie mit der rechten Maustaste auf Sicherheit w hlen Sie Neu und klicken Sie dann auf Anmeldungen W hlen Sie unter Anmeldung Neu auf der Allgemein Seite die Option SQL Server Aut
76. en SafeGuard Enterprise Datenbanken Wenn die SafeGuard Enterprise Datenbank zu einer neueren Version aktualisiert werden soll und replizierte Datenbanken verwendet werden empfehlen wir die replizierten Datenbanken zu deinstallieren bevor Sie mit der Aktualisierung der Master Datenbank beginnen F r die Aktualisierung von SafeGuard Enterprise Datenbanken ist die Ausf hrung von speziellen SQL Migrationsskripten erforderlich die andernfalls einen Konflikt mit den replizierten Datenbanken ausl sen k nnen So aktualisieren Sie die replizierte Datenbank 1 Deinstallieren Sie die replizierten Datenbanken 2 F hren Sie die Handlungsschritte f r die Aktualisierung der Master Datenbank und des Datenbankschemas aus siehe Aktualisieren der SafeGuard Enterprise Datenbank und des Datenbankschemas Seite 87 3 Legen Sie die Replikationsdatenbanken neu an siehe Replikation der SafeGuard Enterprise Datenbank Seite 82 88 Installationsanleitung 13 2 Aktualisieren von SafeGuard Enterprise Server 13 3 Voraussetzungen SafeGuard Enterprise Server 5 50 oder h her muss installiert sein ltere Versionen als 5 50 m ssen zun chst auf SafeGuard Enterprise Server 5 50 aktualisiert werden NET Framework 4 und ASP NET 4 ist erforderlich Dies muss vor der Aktualisierung installiert werden Das Programm steht in der SafeGuard Enterprise Produktlieferung zur Verf gung Die Software steht auch kostenlos zum Download zur Verf gung h
77. en Sie sich an der Power on Authentication an Die Endpoints werden erst nach dem zweiten Neustart gesch tzt Um in der Lage zu sein die Festplatte zu entschl sseln und Schl ssel f r die Festplattenverschl sselung hinzuzuf gen und zu entfernen starten Sie den Endpoint noch einmal neu Nach erfolgreicher Migration steht Ihnen in SafeGuard Enterprise nach der Anmeldung an der Power on Authentication folgendes zur Verf gung m die Schl ssel und Algorithmen der verschl sselten Festplatten Installationsanleitung 14 3 2 7 14 3 2 8 Verschl sselte Volumes bleiben verschl sselt und die Verschl sselungschl ssel werden automatisch in ein SafeGuard Enterprise kompatibles Format konvertiert m die Schl ssel und Algorithmen f r verschl sselte Wechselmedien nur bei Migration von SafeGuard Easy Wechselmedien m ssen in ein SafeGuard Enterprise kompatibles Format konvertiert werden Konfiguration von migrierten Endpoint Computern Endpoints werden initial ber Konfigurationspakete konfiguriert die zum Beispiel die Power on Authentication aktivieren Voraussetzungen Die Endpoint Konfiguration sollte erst nach der Migration sowie nach der Aktivierung der POA und der erfolgreichen Anmeldung des Benutzers an Windows auf dem migrierten Endpoint durchgef hrt werden 1 Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete und erstellen Sie das erste Konfigurationspaket mit den erforderlich
78. en Zugriff f r die Durchf hrung administrativer Aufgaben auf verschiedenen Computern zu erm glichen Das SafeGuard Management Center kann auf jedem Rechner im Netzwerk installiert sein von wo aus auf die Datenbank zugegriffen werden kann SafeGuard Enterprise verwaltet die Zugriffsrechte auf das SafeGuard Management Center in einem eigenen Zertifikatsverzeichnis In diesem Verzeichnis m ssen die Zertifikate aller Sicherheitsbeauftragten die sich am SafeGuard Management Center anmelden d rfen vorhanden sein F r die Anmeldung an das SafeGuard Management Center ist dann nur das Kennwort f r den Zertifikatsspeicher erforderlich 1 Installieren Sie SGNManagementCenter msi mit den gew nschten Features auf einem weiteren Computer 2 Starten Sie das SafeGuard Management Center auf dem Computer mit dem neu installierten SafeGuard Management Center Der Konfigurationsassistent wird gestartet und f hrt Sie durch die notwendigen Schritte 3 Klicken Sie auf der Willkommen Seite auf Weiter 4 W hlen Sie im Dialog Datenbankverbindung unter Datenbankserver die erforderliche SQL Datenbankinstanz aus der Liste aus Alle auf Ihrem Computer oder Netzwerk verf gbaren Datenbankserver werden angezeigt W hlen Sie unter Authentisierung die Art der Authentisierung die f r den Zugriff auf diese Datenbankinstanz benutzt werden soll Wenn Sie SQL Server Authentisierung verwenden w hlen geben Sie die SQL Benutzerkontenanmeldedaten ein die Ihr SQL Admi
79. en in die angegebene Protokolldatei Der Parameter Le lt Pfad Dateiname gt protokolliert ausschlie lich Fehlermeldungen Installdir lt Verzeichnis gt Gibt das Verzeichnis an in das die SafeGuard Enterprise Verschl sselungssoftware installiert werden soll Ohne Angabe wird als Standardinstallationsverzeichnis lt SYSTEM gt PROGRAMME SOPHOS verwendet 9 5 3 3 Feature Parameter f r die ADDLOCAL Option 9 5 3 3 1 Sie m ssen Sie bereits im Vorfeld definieren welche Features auf den Endpoints installiert werden sollen Die Feature Namen werden als Parameter zur Kommandozeilenoption ADDLOCAL hinzugef gt Listen Sie die Features nach der Eingabe der Option ADDLOCAL auf E Trennen Sie die Features durch Kommas nicht durch Leerzeichen E Achten Sie au erdem auf die Gro Kleinschreibung E Wenn Sie ein Feature ausw hlen m ssen Sie auch alle bergeordneten Features Feature Parents zur Kommandozeile hinzuf gen E Die Features Client und Authentication m ssen Sie standardm ig auflisten In den folgenden Tabellen sind alle Features aufgelistet die auf den Endpoints installiert werden k nnen Weitere Informationen finden Sie unter http www sophos de support knowledgebase article 108426 html Features f r SafeGuard Device Protection In der folgenden Tabelle sind die f r das SafeGuard Device Protection Paket SGNClient msi SGNClient_x64 msi verf gbaren Features aufgelistet die zur ADDLOCA
80. epasst aus W hlen Sie dann die neuen Features und die zu aktualisierenden Features Bei einer nicht berwachten Installation verwenden Sie die Eigenschaft ADDLOCAL zur Auswahl der gew nschten Features vorhandene und neue Erstellen Sie im SafeGuard Management Center das auf die neueste Version aktualisiert wurde ein neues Konfigurationspaket und verteilen Sie es an die Endpoints Hinweis Die Installation eines Konfigurationspakets einer fr heren Version auf einem Endpoint der auf die neueste Version aktualisiert wurde wird nicht unterst tzt Wenn Sie versuchen ein lteres Konfigurationspaket ber ein neues zu installieren wird die Installation abgebrochen L schen Sie alle veralteten oder nicht mehr verwendeten Konfigurationspakete auf den Endpoints aus Sicherheitsgr nden Die aktuelle Version der SafeGuard Enterprise Verschl sselungssoftware mit den ausgew hlten Features ist auf den Endpoints installiert Migration von Endpoints Sie k nnen durch Sophos SafeGuard gesch tzte Endpoints mit einer Standalone Konfiguration zu einer zentral verwalteten Konfiguration migrieren Die Endpoints werden dann im SafeGuard Management Center zu Objekten die verwaltet werden k nnen und eine Verbindung zum SafeGuard Enterprise Server haben 91 SafeGuard Enterprise 13 5 92 Voraussetzungen F hren Sie ein Backup des Endpoint durch bevor Sie die Migration starten Stellen Sie sicher dass Sie ber Windows Ad
81. erbindungen mit SSL Seite 46 2 W hlen Sie unter Authentisierung die Art der Authentisierung die f r den Zugriff auf die Datenbankserverinstanz benutzt werden soll Dies ist erforderlich damit das SafeGuard Management Center mit der Datenbank kommunizieren kann E Aktivieren Sie Windows NT Authentisierung verwenden um Ihre Windows Anmeldedaten zu verwenden Hinweis Verwenden Sie diese Art der Authentisierung wenn Ihr Computer Teil einer Dom ne ist In diesem Fall sind jedoch zus tzliche Konfigurationsschritte notwendig da der Benutzer dazu berechtigt sein muss eine Verbindung mit der Datenbank herzustellen siehe Konfigurieren eines Windows Benutzerkontos f r die Anmeldung am SQL Server Seite 23 und Konfigurieren der Windows Authentisierung f r die Anmeldung am SQL Server Seite 28 E Aktivieren Sie SQL Server Authentisierung verwenden um mit den entsprechenden SQL Anmeldeinformationen auf die Datenbank zuzugreifen Geben Sie die Anmeldeinformationen des SQL Benutzerkontos ein das Ihr SQOL Administrator erstellt hat Falls notwendig erhalten Sie diese Informationen von Ihrem SQL Administrator Hinweis Verwenden Sie diese Art der Authentisierung wenn Ihr Computer keiner Dom ne angeh rt Aktivieren Sie SSL verwenden um die Verbindung zum und vom Datenbankserver zu sichern 3 Klicken Sie auf Weiter Die Verbindung zum Datenbankserver ist hergestellt 33 SafeGuard Enterprise 5 4 5 5 4 6 34 Er
82. erkontos f r die Anmeldung am SQL Server Die folgende Beschreibung der einzelnen Konfigurationsschritte wendet sich an SQL Administratoren und bezieht sich auf Microsoft Windows Server 2008 und Microsoft SQL Server 2005 Standard oder Express Edition F r Informationen zur Windows Authentisierung mit Windows Server 2003 und SQL Server 2005 siehe http www sophos de support knowledgebase article 108339 html Als SQL Administrator ben tigen Sie das Recht zum Anlegen von Benutzerkonten l ffnen Sie SQL Server Management Studio Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an ffnen Sie den Objekt Explorer klicken Sie mit der rechten Maustaste auf Sicherheit w hlen Sie Neu und klicken Sie dann auf Anmeldungen W hlen Sie unter Anmeldung Neu auf der Allgemein Seite die Option Windows Authentifizierung Klicken Sie auf Suchen Suchen Sie nach dem relevanten Windows Benutzernamen und klicken Sie auf OK Der Benutzername wird als Anmeldename angezeigt Wenn noch keine SafeGuard Enterprise Datenbank durch ein Skript angelegt wurde w hlen Sie unter Standarddatenbank die Option Master 6 Klicken Sie auf OK 7 Um die Datenbank automatisch w hrend der Erstkonfiguration des SafeGuard Management Centers zu erzeugen m ssen Sie die Zugriffsrechte wie folgt ndern Weisen Sie jetzt unter Anmeldung Neu unter Allgemein die Zugangsberechtigungen Rollen zu indem Sie links auf Serverrollen klick
83. eueste Version durch F r weitere Informationen siehe Aktualisieren des SafeGuard Management Centers Seite 89 Migration von Endpoints Die direkte Migration von Endpoints wurde getestet und wird unterst tzt f r SafeGuard Easy ab Version 4 5x Eine direkte Migration sollte auch f r Versionen zwischen 4 3x und 4 4x funktionieren F r ltere Versionen wird die direkte Migration nicht unterst tzt Versionen vor 4 3x m ssen daher zun chst auf SafeGuard Easy 4 50 aktualisiert werden Die direkte Migration von Endpoints wurde getestet und wird unterst tzt f r Sophos SafeGuard Disk Encryption ab Version 4 6x Die Verschl sselung von Festplatten bleibt bestehen Diese m ssen nicht entschl sselt und neu verschl sselt werden SafeGuard Easy Sophos SafeGuard Disk Encryption 4 x muss nicht manuell deinstalliert werden Voraussetzungen Folgende Voraussetzungen m ssen erf llt sein m SafeGuard Easy Sophos SafeGuard Disk Encryption muss auf folgendem Windows Betriebssystem laufen Windows XP Professional Workstation Service Pack 2 3 E Windows Installer Version 3 01 oder h her muss installiert sein E Die Hardware muss mit den Systemvoraussetzungen f r SafeGuard Enterprise 6 bereinstimmen E Wenn Sie spezifische Software z B Lenovo Middleware verwenden so muss diese mit den Systemvoraussetzungen f r SafeGuard Enterprise 6 bereinstimmen E Eine Migration ist m glich wenn die Festplatten mit den folgenden Algorithmen
84. figuration ausw hlen wird angezeigt 2 W hlen Sie die Datenbankkonfiguration aus die Sie verwenden m chten und klicken Sie auf OK Die ausgew hlte Datenbankkonfiguration wird mit dem SafeGuard Management Center verbunden und wird aktiv 3 Sie werden dazu aufgefordert den Sicherheitsbeauftragtennamen f r diese Konfiguration auszuw hlen und das entsprechende Zertifikatsspeicherkennwort einzugeben Klicken Sie auf OK Das SafeGuard Management Center wird ge ffnet und mit der ausgew hlten Datenbankkonfiguration verbunden Hinweis 39 SafeGuard Enterprise 40 5 8 5 9 Wenn Sie ein falsches Kennwort eingeben wird eine Fehlermeldung angezeigt und die n chste Anmeldung wird verz gert Diese Verz gerung wird mit jedem fehlgeschlagenen Anmeldeversuch gr er Fehlgeschlagene Anmeldeversuche werden protokolliert Einrichten der Organisationsstruktur im SafeGuard Management Center Es gibt zwei M glichkeiten Ihre Organisation in SafeGuard Enterprise abzubilden E Directory Service importieren z B Active Directory W hrend der Synchronisierung mit dem Active Directory werden Objekte z B Computer Benutzer und Gruppen in das SafeGuard Management Center importiert und in der SafeGuard Enterprise Datenbank gespeichert E Organisationsstruktur manuell aufbauen Steht kein Directory Service zur Verf gung oder gibt es nur wenige Organisationseinheiten so dass kein Directory Service ben tigt wird k nnen Sie ne
85. finden Sie in der Administrator Hilfe im Kapitel Lizenzen Installationsanleitung 5 10 Wiederherstellen einer besch digten SafeGuard Enterprise 5 11 Installation Wenn eine SafeGuard Management Center Installation besch digt jedoch die Datenbank noch intakt ist kann die Installation auf einfache Art und Weise wiederhergestellt werden In diesem Fall m ssen Sie nur das SafeGuard Management Center neu installieren und die vorhandene Datenbank sowie das gesicherte Sicherheitsbeauftragten Zertifikat verwenden m Das Unternehmenszertifikat und das Haupt Sicherheitsbeauftragten Zertifikat der betreffenden Datenbankkonfiguration m ssen als p12 Dateien exportiert worden sein Die Dateien m ssen vorhanden und g ltig sein m Die Kennw rter f r die p12 Dateien sowie f r den Zertifikatsspeicher m ssen Ihnen bekannt sein So stellen Sie eine besch digte SafeGuard Management Center Installation wieder her 1 Installieren Sie das SafeGuard Management Center Installationspaket neu ffnen Sie das SafeGuard Management Center Der Konfigurationsassistent wird automatisch ge ffnet 2 W hlen Sie auf der Seite Datenbankverbindung den relevanten Datenbankserver und konfigurieren Sie falls erforderlich die Verbindung zur Datenbank Klicken Sie auf Weiter 3 Aktivieren Sie auf der Seite Datenbankeinstellungen die Option Folgende bestehende Datenbank verwenden und w hlen Sie die Datenbank aus der Liste aus 4 F hren Sie auf der
86. formationen ber die Endpoints im Firmennetzwerk Der Administrator bei SafeGuard Enterprise hei t er Haupt Sicherheitsbeauftragter oder Master Security Officer MSO nutzt das SafeGuard Management Center um die Datenbankinhalte zu steuern und neue Sicherheitsrichtlinien Policies zu erstellen Die Endpoints der Benutzer lesen die Richtlinien aus der Datenbank und berichten die erfolgreiche Ausf hrung an die Datenbank Die Kommunikation zwischen Datenbank und Endpoints bernimmt dabei ein Internet Information Services IIS basierter Webserver auf dem der SafeGuard Enterprise Server eingerichtet ist SafeGuard Enterprise SafeGuard Enterprise Komponenten Microsoft Active Directory optional amp s N SafeGuard Management Center Administrator MSO SafeGuard Enterprise Datenbank Microsoft SQL Server Web Server MS Internet Information Services IIS fo SafeGuard Enterprise Server W Benutzer PC SafeGuard Enterprise Client Die folgende Tabelle beschreibt die einzelnen Komponenten Komponente Beschreibung SafeGuard Enterprise Die SafeGuard Enterprise Datenbank en enth lt enthalten alle Datenbank en basierend auf relevanten Daten wie Schl ssel Zertifikate Informationen zu Microsoft SQL Server Benutzern amp Computern Ereignisse und die Richtlinieneinstellungen Datenbank Zugriff auf die Datenbank en ben tigt der SafeGuard Enterprise Server und ein einziger Sicherheitsbeauftragter des SafeGuard M
87. g in SGE2SGN cfg um Hinweis Ersteller Besitzer Rechte m ssen f r diese Datei und den Dateipfad gesetzt sein auf dem sie w hrend der Migration gespeichert ist Andernfalls schl gt die Migration fehl und eine Meldung wird ausgegeben dass SGE2SGN cfg nicht gefunden werden konnte Geben Sie den Befehl msiexec in der Eingabeaufforderung ein um auf den Endpoints das aktuelle Pr Installationspaket und das aktuelle SafeGuard Device Protection Paket zu installieren F gen Sie den Parameter MIGFILE mit dem Pfad der Migrationsdatei SGE2SGN cfg hinzu Beispiel msiexec i Distributionserver Software Sophos SafeGuard SGxClientPreinstall msi msiexec i Distributionserver Software Sophos SafeGuard SGNClient msi L VX Distributionserver Software Sophos SafeGuard Computername log MIGFILE Distributionserver Software Sophos SafeGuard SGE2SGN cfg Wenn die Migration erfolgreich durchgef hrt wurde kann SafeGuard Enterprise auf dem Computer benutzt werden Schl gt die Migration fehl kann SafeGuard Easy Sophos SafeGuard Disk Encryption immer noch auf dem Computer benutzt werden In diesem Fall wird SafeGuard Enterprise automatisch entfernt Anmelden am Endpoint nach der Migration So melden Sie sich nach der Migration am Endpoint an i Starten Sie den Endpoint neu Die erste Anmeldung erfolgt noch ber Autologon Neue Schl ssel und Zertifikate werden dem Benutzer zugewiesen Starten Sie den Endpoint nochmal neu Meld
88. g zwischen SafeGuard Enterprise Server und SafeGuard Enterprise Client verwenden muss der IIS Server daf r eingerichtet werden siehe Sichern von Transportverbindungen mit SSL Seite 46 Ein Zertifikat muss ausgestellt und der IIS Server so konfiguriert werden dass er SSL verwendet und auf das Zertifikat zeigt Der Servername den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben muss identisch sein mit dem Servernamen den Sie vorab im SSL Zertifikat angegeben haben Sonst k nnen Client und Server nicht miteinander kommunizieren F r jeden SafeGuard Enterprise Server wird ein separates SSL Zertifikat ben tigt Wenn Sie Network Load Balancer einsetzen vergewissern Sie sich dass der Portbereich den SSL Port mit einschlie t E NET Framework 4 und ASP NET 4 muss installiert sein Das Programm steht in der SafeGuard Enterprise Produktlieferung zur Verf gung Installationsanleitung 3 2 3 2 1 3 2 1 1 Installation und Konfiguration von Microsoft Internet Information Services IIS Dieser Abschnitt beschreibt wie Sie Microsoft Internet Information Services IIS f r den Betrieb mit SafeGuard Enterprise Server vorbereiten Die Einstellungen variieren je nach IIS Version und Betriebssystemversion F r folgende Kombinationen werden spezifische Setup Informationen angegeben E JIS 6 auf Microsoft Windows Server 2003 E JIS 7 auf Microsoft Windows Server 2008 E JIS 7 5 auf Microsoft Windows Server 2008 R2
89. gistriert ist wechseln Sie in C Windows Microsoft NET Framework Jede installierte Version muss als separater Ordner mit der Version als Ordnername sichtbar sein v4 0 13 SafeGuard Enterprise 3 2 1 2 3 2 1 3 3 2 1 4 14 Pr fen der ASP NET Registrierung bei IIS 6 ASP NET Version 4 ist erforderlich So berpr fen Sie ob die korrekte ASP NET Version installiert und bei IIS 6 registriert ist 1 ffnen Sie den Internet Information Services Manager auf dem IIS Server 2 Klicken Sie im Navigationsbereich auf der rechten Seite unter Internet Information Services auf SGNSRV lokaler Computer und dann auf Websites 3 Klicken Sie unter Websites mit der rechten Maustaste auf Standard Websites und dann auf Eigenschaften W hlen Sie die ASP NET Registerkarte Unter ASP NET Version sollte Version 4 0 angezeigt werden E Wenn diese Version angezeigt wird w hlen Sie sie aus Klicken Sie auf Anwenden und dann auf OK E Wird sie nicht angezeigt geben Sie das Kommando aspnet_regiis exe i auf der Kommandozeile ein um sicherzustellen dass die ASP Services in der Version 4 0 installiert sind 4 Um zu berpr fen ob die korrekte Version installiert ist geben Sie aspnet_regiis exe Iv auf der Kommandozeile ein F r ASP NET Version sollte Version 4 0 angezeigt werden Konfigurieren von ASP NET f r IIS 6 auf Windows Server 2003 64 Bit Wenn Sie IIS 6 verwenden und SafeGuard Enterprise Server auf Windows Server 2003 64 Bi
90. gsmodus f r Medien auf Keine Verschl sselung ein Legen Sie unter Benutzer amp Computer eine Gruppe f r die Computer an die Sie entschl sseln m chten Klicken Sie mit der rechten Maustaste und klicken Sie dann auf Neu gt Neue Gruppe erzeugen Weisen Sie die Richtlinie f r die Entschl sselung dem Dom nenknoten dieser Gruppe zu und aktivieren Sie sie Stellen Sie in der Registerkarte Richtlinien des Dom nenknotens sicher dass die Priorit t auf 1 gesetzt und die Einstellung Kein berschreiben aktiviert ist Stellen Sie ber die Registerkarte Aktivierung sicher dass sich die Richtlinie nur auf Mitglieder dieser Gruppe auswirkt 5 F gen Sie die Computer die entschl sselt werden sollen zur Gruppe hinzu 6 F hren Sie auf dem Endpoint Computer der entschl sselt werden soll eine Synchronisierung mit dem SafeGuard Enterprise Server durch Damit stellen Sie sicher dass die Richtlinienaktualisierung auf dem Computer eingegangen und aktiv ist ffnen Sie den Windows Explorer Klicken Sie mit der rechten Maustaste auf das Volume das entschl sselt werden soll und klicken Sie dann auf Verschl sselung gt Entschl sselung Stellen Sie sicher dass die Verschl sselung erfolgreich abgeschlossen werden konnte Hinweis Endpoints k nnen w hrend der Verschl sselung Entschl sselung heruntergefahren und neu gestartet werden Wenn auf die Entschl sselung die Deinstallation folgt empfehlen wir den Endpoint nicht i
91. h 1 Stellen Sie sicher dass die Volumes auf denen SafeGuard Enterprise Runtime laufen soll zum Zeitpunkt der Installation sichtbar sind und mit ihrem Windows Namen z B C angesprochen werden k nnen 79 SafeGuard Enterprise 11 3 2 Legen Sie fest auf welchem Volume welchen Volumes der Festplatte SafeGuard Enterprise Runtime installiert werden soll In Zusammenhang mit SafeGuard Enterprise sind diese Volumes als sekund re Windows Installationen definiert Es k nnen mehrere sekund re Windows Installationen vorhanden sein Verwenden Sie folgendes Paket SGNClientRuntime msi oder SGNClientRuntime_x64 msi unter Windows Vista 64 Bit Window 7 64 Bit Legen Sie fest auf welchem Volume der Festplatte die Vollversion des SafeGuard Enterprise Clients installiert werden soll In Zusammenhang mit SafeGuard Enterprise ist dieses Volume als prim re Windows Installation definiert Es kann jeweils nur eine prim re Windows Installation geben Verwenden Sie folgendes Paket SGNClient msi oder SGNClient_x64 msi unter Windows Vista 64 Bit Window 7 64 Bit Falls erforderlich k nnen Sie zus tzlich Configuration Protection SGNCPClient msi SGNCPClient_x64 msi verf gbar f r Windows 7 64 Bit Betriebssysteme installieren Bereiten Sie die Computer f r die Verschl sselung vor siehe Vorbereiten der Endpoints f r die Verschl sselung Seite 54 Installieren von SafeGuard Runtime W hlen Sie das die gew nschte
92. h die Produktsprache nach der Spracheinstellung des Betriebssystems Steht die entsprechende Betriebssystemsprache in Sophos SafeGuard nicht zur Verf gung wird standardm ig die englische Version von Sophos SafeGuard angezeigt m Wenn eine der zur Verf gung stehenden Sprachen gew hlt wird werden die Sophos SafeGuard Funktionen auf dem Endpoint in der ausgew hlten Sprache angezeigt Kompatibilit t mit weiteren SafeGuard Produkten Dieser Abschnitt beschreibt die Kompatibilit t von SafeGuard Enterprise 6 mit anderen SafeGuard Produkten Kompatibilit t mit SafeGuard LAN Crypt E SafeGuard LAN Crypt 3 7x und die SafeGuard Enterprise 6 Komponente File Share k nnen nicht zusammen auf einem Computer installiert werden Ist SafeGuard LAN Crypt bereits auf dem Computer installiert steht die Komponente File Share bei der Installation der SafeGuard Enterprise Verschl sselungssoftware auf dem Computer nicht zur Auswahl E Abgesehen von dieser Ausnahme k nnen SafeGuard LAN Crypt 3 7x und SafeGuard Enterprise 6 zusammen auf einem Computer installiert werden und sind voll kompatibel Hinweis Wenn Sie SafeGuard Enterprise 6 ber eine SafeGuard LAN Crypt Installation installieren meldet das Installationsprogramm dass die zu aktualisierende Komponente SafeGuard Enterprise 2 6 2 2 6 3 2 6 4 10 SGLC Profile Loader derzeit benutzt wird Diese Meldung wird dadurch verursacht dass SafeGuard LAN Crypt und SafeGuard Enterprise gem
93. hentifizierung F hren Sie auf der Allgemein Seite bei Anmeldename folgende Schritte durch a Geben Sie den Namen des neuen Benutzers ein z B SGN SQLSERVICE b Geben Sie ein Kennwort f r das Konto ein und best tigen Sie es c Deaktivieren Sie Kennwortrichtlinie erzwingen d Wenn noch keine SafeGuard Enterprise Datenbank durch ein Skript angelegt wurde w hlen Sie unter Standarddatenbank die Option Master Klicken Sie auf OK Notieren Sie sich die Authentisierungsmethode und die Anmeldedaten Sie m ssen diese dem SafeGuard Management Center Sicherheitsbeauftragten mitteilen PP sw h 5 Skript E Hite Allgemein 2 Serverrollen Benutzerzuordnung Anmeldensine SGN SQLSERVICE Suchen Sicherungsf hige Elemente Windows Auhenliizierung Status SAL Server Authentifizierung Kennwot Jeosesesnese Kennwort best tigen ELTIITIITTT IT Kennwortrichtlinie erzwingen r r 4 Zugeordhet zu Zertifikat Zertifikatsname Zugeordnet eu asymmetrischen Schl Verbindung Schl sselname re Server SAV 2003A2 DE Standarddatenbank master X Verbindung Standsrdsprache Standare gt UTIMACD Administrater 3 Verbindungseigenschaften anzeigen Status _ Bereit 0K Abbrech Installationsanleitung 4 2 5 Um die Datenbank automatisch w hrend der Konfiguration des SafeGuard Management Center zu erstellen m ssen Sie die Zugriffsrechte wie folgt ndern W
94. hl sselung Hinweis Wir empfehlen dringend SSL verschl sselte Kommunikation zu verwenden es sei denn es handelt sich um Demo oder Test Installationen Falls dies nicht m glich ist und die SafeGuard spezifische Verschl sselung verwendet wird so gilt die Obergrenze von 1000 Clients die eine Verbindung mit einer Serverinstanz herstellen k nnen Bevor SSL f r SafeGuard Enterprise aktiviert werden kann muss eine funktionsf hige SSL Umgebung eingerichtet werden Einrichten von SSL Die folgenden allgemeinen Aufgaben m ssen f r die SSL Einrichtung auf dem Web Server durchgef hrt werden E Certificate Authority muss auf dem Server installiert sein um die bei der SSL Verschl sselung verwendeten Zertifikate auszustellen E Ein Zertifikat muss ausgestellt und der IIS Server so konfiguriert werden dass er SSL verwendet und auf das Zertifikat zeigt E Der Servername den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben muss identisch sein mit dem Servernamen den Sie vorab im SSL Zertifikat angegeben haben Sonst k nnen Client und Server nicht miteinander kommunizieren F r jeden SafeGuard Enterprise Server wird ein separates SSL Zertifikat ben tigt E Wenn Sie Network Load Balancer einsetzen vergewissern Sie sich dass der Portbereich den SSL Port mit einschlie t Weitere Informationen erhalten Sie von unserem technischen Support oder hier E http msdn2 microsoft com en us library ms998300 aspx E http
95. ich Hardware relevante Informationen Das Tool ist einfach zu bedienen Die gesammelten Informationen werden zur Hardware Konfigurationsdatei hinzugef gt F r weitere Informationen siehe http www sophos de support knowledgebase article 110285 html Untersuchen Sie die Festplatte n mit folgendem Kommando auf Fehler chkdsk drive F V X Unter Umst nden werden Sie dazu aufgefordert den Endpoint neu zu starten und chkdsk noch einmal auszuf hren Weitere Informationen finden Sie unter http www sophos de support knowledgebase article 107799 html So pr fen Sie die Ergebnisse Log Datei in der Windows Ereignisanzeige Windows XP W hlen Sie Anwendung Winlogon Windows 7 Windows Vista W hlen Sie Windows Logs Anwendung Wininit Benutzen Sie das Windows Tool defrag um fragmentierte Boot Dateien Datendateien und Ordner auflokalen Volumes aufzufinden und zu konsolidieren Weitere Informationen finden Sie unter http www sophos de support knowledgebase article 109226 html Deinstallieren Sie Third Party Boot Manager z B PROnetworks Boot Pro und Boot US Wir empfehlen vor jeder gr er angelegten SafeGuard Enterprise Installation die aktuelle Version der POA Konfigurationsdatei zu installieren Die Datei wird monatlich aktualisiert und steht hier zum Download zur Verf gung http www sophos de support knowledgebase article 657000 html Wenn die Bootpartition auf dem Endpoint von FAT nach NTFS konvertiert wurde der En
96. ien f r seine Default Website in folgendem Ordner systemroot inetpub wwwroot systemroot ist das Laufwerk auf dem das Windows Server 2003 Betriebssystem installiert ist 17 SafeGuard Enterprise 3 3 4 18 Verschieben Sie alle Dateien und Ordner f r Websites und Applikationen auf eigene Partitionen die vom Betriebssystem getrennt sind Dies tr gt zur Verhinderung von Angriffen bei bei denen der Angreifer eine Anfrage nach einer Datei sendet die sich au erhalb der Verzeichnisstruktur des IIS Servers befindet F r die Musterkonfiguration k nnen die Dateien und Ordner wie folgt verschoben werden m IIS Web Dateien nach E inetpub E SafeGuard Enterprise Server Web Dateien nach F mycompany web Hinweis Nach dem Verschieben der Web Dateien m ssen Sie die Pfadinformationen im IIS Manager entsprechend aktualisieren Einstellen von NTFS Berechtigungen Computer auf denen Windows Server 2003 mit SP1 l uft bestimmen anhand der NTFS Dateisystemberechtigungen die Zugriffsrechte die ein Benutzer oder ein Prozess an einer spezifischen Datei oder einem Ordner besitzt Sie sollten daher NTFS Berechtigungen zuweisen um den Website Zugriff bestimmten Benutzern auf dem IIS Server zu erlauben oder zu verweigern F r die Musterkonfiguration lauten die minimalen NTFS Berechtigungen wie folgt Benutzer Verzeichnis NTFS Berechtigungen NTFS Berechtigungen f r f r E inetpub F mycompany web Administratoren Vollzugriff V
97. ifikate Anmeldeinformationen f r den Haupt Sicherheitsbeauftragten SafeGuard Management Center Konfigurationsassistent Registrieren und konfigurieren Sie den SafeGuard Enterprise Server Erzeugen Sie das Server Konfigurationspaket und installieren SIe es auf dem IIS Server Konfigurationspakete Funktion im SafeGuard Management Center 10 Erstellen Sie die Organisationsstruktur aus Active Directory oder manuell SafeGuard Management Center 11 Vorbereiten der Endpoints f r die Verschl sselung SGxClientPreinstall msi 12 Frstellen Sie das erste Konfigurationspaket f r die Endpoint Konfiguration Konfigurationspakete Funktion im SafeGuard Management Center 13 Installieren Sie die Verschl sselungssoftware und das Konfigurationspaket auf den Endpoints F r Informationen zu den verf gbaren Paketen siehe Zentral verwaltete Endpoints und Standalone Endpoints Seite 52 2 2 Handlungsschritte f r Runtime Systeme Fin Runtime System erm glicht das Booten von einem sekund ren Boot Laufwerk wenn mehrere Betriebssysteme installiert sind und erlaubt den Zugriff auf diese Laufwerke wenn diese durch eine SafeGuard Enterprise Installation verschl sselt sind Diese L sung steht sowohl f r zentral verwaltete Endpoints als auch f r Standalone Endpoints die durch SafeGuard Enterprise gesch tzt sind zur Verf gung Hinweis SafeGuard Enterprise 2 3 2 4
98. igen Namen f r das Konfigurationspaket ein Geben Sie eine zuvor im SafeGuard Management Center erstellte Richtliniengruppe an die f r die Computer gelten soll 57 SafeGuard Enterprise 9 4 3 58 6 8 9 Geben Sie unter Speicherort f r Schl ssel Sicherungskopie einen freigegebenen Netzwerkpfad f r das Speichern der Schl ssel Recovery Datei an oder w hlen Sie einen Netzwerkpfad aus Geben Sie den freigegebenen Pfad in folgender Form ein network computer zum Beispiel mycompany edu Wenn Sie hier keinen Pfad angeben wird der Benutzer beim ersten Anmelden am Endpoint Computer nach der Installation gefragt wo die Schl sseldatei gespeichert werden soll Die Schl ssel Recovery Datei XML wird f r die Durchf hrung von Recovery Vorg ngen bei durch Sophos SafeGuard gesch tzten Computern ben tigt Sie wird auf allen durch Sophos SafeGuard gesch tzten Computern erzeugt Hinweis Stellen Sie sicher dass diese Schl ssel Recovery Datei an einem Speicherort abgelegt wird auf den die Mitarbeiter des Helpdesk Zugriff haben Die Dateien k nnen dem Helpdesk auch durch andere Mechanismen zug nglich gemacht werden Die Datei ist mit dem Unternehmenszertifikat verschl sselt Sie kann also auch auf externen Medien oder auf dem Netzwerk gespeichert werden um sie dem Helpdesk f r Recovery Vorg nge zur Verf gung zu stellen Sie kann auch per E Mail verschickt werden Unter POA Gruppe k nnen Sie eine POA Grup
99. igen Sie es W hlen Sie Schl sseldatei im Zertifikatsspeicher speichern und geben Sie das Kennwort f r den Speicher ein Klicken Sie auf OK 5 Das Zertifikat des Haupt Sicherheitsbeauftragten wird importiert Klicken Sie auf Weiter 6 Aktivieren Sie auf der Seite Unternehmenszertifikat die Option ber vorhandenes Unternehmenszertifikat wiederherstellen Klicken Sie auf Importieren um die gesicherte Zertifikatsdatei auszuw hlen die das g ltige Unternehmenszertifikat enth lt Sie werden aufgefordert das f r den Zertifikatsspeicher definierte Kennwort einzugeben Geben Sie das Kennwort ein und klicken Sie auf OK Best tigen Sie die angezeigte Meldung mit Ja Das Unternehmenszertifikat wird importiert 7 Klicken Sie auf Weiter dann auf Beenden Die Datenbankkonfiguration ist wiederhergestellt Installationsanleitung 6 Testen der Kommunikation Wenn SafeGuard Enterprise Server die Datenbank und das SafeGuard Management Center eingerichtet sind sollten Sie einen Verbindungstest durchf hren Dieser Abschnitt beschreibt die erforderlichen Schritte 6 1 Voraussetzungen Vor dem Verbindungstest m ssen folgende Einstellungen gemacht bzw gepr ft werden 6 1 1 Ports Verbindungen Die Endpoints m ssen folgende Verbindungen aufbauen SafeGuard Endpoint Verbindung zu Port SafeGuard Enterprise Server Port 80 TCP Port 443 bei Benutzung der SSL Transportverbindung Das SafeGuard Management Center muss fo
100. igurationspakete exportiert Die Verteilung der Konfigurationspakete kann ber firmeneigene Software Verteilungsmechanismen erfolgen oder das Konfigurationspaket wird manuell auf den Endpoints installiert F r die verschiedenen Endpoint Typen stehen unterschiedliche Pakete und Module zur Verf gung Einschr nkungen Beachten Sie die in den folgenden Abschnitten beschriebenen Einschr nkungen f r SafeGuard Enterprise auf Endpoints Installationsanleitung 9 2 1 Einschr nkungen f r zentral verwaltete Endpoints Beachten Sie folgende Einschr nkungen f r zentral verwaltete Endpoints E Einschr nkungen f r die Initialverschl sselung Im Rahmen der initialen Konfiguration von zentral verwalteten Endpoints k nnen Verschl sselungsrichtlinien erstellt werden die in einem Konfigurationspaket an die durch SafeGuard Enterprise gesch tzten Endpoints verteilt werden k nnen Wenn der durch SafeGuard Enterprise gesch tzte Endpoint jedoch nicht direkt nach der Installation des Konfigurationspakets eine Verbindung mit dem SafeGuard Enterprise Server herstellt sondern vor bergehend offline ist werden nur Verschl sselungsrichtlinien mit den folgenden spezifischen Einstellungen sofort wirksam Ger teschutz vom Typ volume basierend unter Anwendung des definierten Computerschl ssels als Verschl sselungsschl ssel Damit alle anderen Richtlinien die Verschl sselung mit benutzerdefinierten Schl sseln umfassen auf dem durch SafeGuard
101. indet kann erfolgreich durch einen Boot Manager gestartet werden E Auf Partitionen auf diesen Volumes die durch eine vollst ndige SafeGuard Enterprise Client Installation mit dem definierten Computerschl ssel verschl sselt worden sind kann erfolgreich zugegriffen werden Voraussetzungen und Einschr nkungen Beachten Sie E SafeGuard Enterprise Runtime bietet keine SafeGuard Enterprise Verschl sselungs Features oder Funktionalit ten E SafeGuard Enterprise Runtime unterst tzt nur die Betriebssysteme die auch f r die SafeGuard Enterprise Verschl sselungssoftware unterst tzt werden m USB Tastaturen k nnen u U nur eingeschr nkt benutzt werden E Es werden nur Boot Manager unterst tzt die nach der Power on Authentication aktiv werden E Die Unterst tzung von Boot Managern von Drittanbietern wird nicht garantiert Wir empfehlen den Einsatz von Microsoft Boot Managern E SafeGuard Enterprise Runtime kann nicht auf eine SafeGuard Enterprise Verschl sselungsinstallation in Vollversion aktualisiert werden E Das Runtime Installationspaket muss vor der Installation der Vollversion des Enterprise Verschl sselungspakets installiert werden E Es kann nur auf Volumes die mit dem definierten Computerschl ssel in SafeGuard Enterprise verschl sselt wurden zugegriffen werden Vorbereitung Um SafeGuard Enterprise Runtime einzurichten f hren Sie die folgenden vorbereitenden Schritte in der angegebenen Reihenfolge durc
102. ine lokale Installation von SafeGuard Configuration Protection durch 1 Melden Sie sich an dem Computer als Administrator an 2 Installieren Sie das Pr Installationspaket SGxClientPreinstall msi das den Endpoint Computer mit den n tigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware ausstattet 3 Doppelklicken Sie auf das Sophos SafeGuard Verschl sselungspaket das Sie installieren m chten SGNClient msi or SGNClient_withoutDE mis Ein Assistent f hrt Sie durch die notwendigen Schritte 4 Akzeptieren Sie im Assistenten die Standardeinstellungen mit Ausnahme der folgenden W hlen Sie den Installationstyp Angepasst aus Treffen Sie unter Features Ihre Auswahl und w hlen Sie zus tzlich das Feature Configuration Protection Die Sophos SafeGuard Verschl sselungssoftware wird auf dem Endpoint Computer installiert und f r die Anwendung mit SafeGuard Configuration Protection aktiviert Installationsanleitung Doppelklicken Sie auf dem SafeGuard Configuration Protection Paket SGNCPClient msi Ein Assistent f hrt Sie durch die notwendigen Schritte Akzeptieren Sie im Assistenten die Standardeinstellungen mit Ausnahme der folgenden ndern Sie den Installationspfad in C Program Files Sophos Sophos SafeGuard um sicherzustellen dass das Configuration Protection Modul im korrekten Verzeichnis installiert wird 6 Starten Sie den Computer nicht neu 7 Erzeugen Sie ein Konfigur
103. ise spezifischen Verschl sselungsrichtlinien und Einstellungen wird eine Datenbank verwendet Damit das SafeGuard Management Center mit dem SafeGuard Enterprise Server kommunizieren kann m ssen Sie eine Authentisierungsmethode f r den Zugriff auf die Datenbank festlegen entweder Windows NT Authentisierung oder SQL Authentisierung Wenn Sie eine Verbindung zum Datenbankserver mit SQL Authentisierung herstellen m chten stellen Sie sicher dass Sie die Installationsanleitung notwendigen SQL Anmeldedaten zur Hand haben Falls notwendig erhalten Sie diese Informationen von Ihrem SQL Administrator 1 F hren Sie auf der Seite Datenbankserver Verbindung folgende Schritte aus m W hlen Sie unter Verbindungseinstellungen den SQL Datenbankserver aus der Datenbankserver Liste aus Es werden alle Rechner eines Netzwerks aufgelistet auf denen ein Microsoft SQL Server installiert ist Wenn der Server nicht ausw hlbar ist tragen Sie Servername bzw IP Adresse mit dem SQL Instanznamen manuell ein E Aktivieren Sie SSL verwenden um die Verbindung zwischen SafeGuard Management Center und SQL Datenbankserver zu sichern Wenn Sie SQL Server Authentisierung ausgew hlt haben empfehlen wir dringend diese Einstellung zu aktivieren da dadurch der Transport der SQL Anmeldedaten verschl sselt wird SSL Verschl sselung erfordert eine funktionsf hige SSL Umgebung auf dem SQL Datenbankserver die Sie vorab einrichten m ssen siehe Sichern von Transportv
104. it den n tigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware ausstattet Hinweis Alternativ k nnen Sie auch die Datei vcredist_x86 exe installieren die Sie hier herunterladen k nnen http www microsoft com downloads details aspx FamilyID 766a6af7 ec73 40ff b072 9112bab119c2 oder stellen Sie sicher dass MSVCR100 dll im Ordner Windows WinsSxS folder auf dem Computer vorhanden ist 63 SafeGuard Enterprise 9 5 3 9 5 3 1 64 3 Doppelklicken Sie auf dem relevanten Verschl sselungssoftwarepaket MSI Ein Assistent f hrt Sie durch die notwendigen Schritte 4 bernehmen Sie im Assistenten in allen folgenden Dialogen die Standardeinstellungen Hinweis Bei einer Erstinstallation empfehlen wir von Beginn an eine Vollst ndige Installation auszuw hlen Um nur einen Teil der Features zu installieren w hlen Sie eine Angepasste Installation und aktivieren deaktivieren Sie die entsprechenden Features SafeGuard Enterprise wird auf dem Endpoint Computer installiert 5 Wechseln Sie an den Speicherort des relevanten Konfigurationspakets MSI das Sie zuvor im SafeGuard Management Center erzeugt haben F r zentral verwaltete Endpoints und Standalone Endpoints m ssen unterschiedliche Konfigurationspakete installiert werden siehe Erzeugen von Konfigurationspaketen Seite 56 6 Installieren Sie das relevante Konfigurationspaket MSI auf dem Computer 7 Stellen Sie nach der Ins
105. ite und laden Sie den Sophos SafeGuard Disk Encryption Installer for Mac OS X herunter Suchen Sie im Download Ordner nach dem Installer Disk Image ffnen Sie das Image Suchen Sie Sophos SafeGuard pkg und klicken Sie auf dem Paket doppelt um den Installer zu starten Klicken Sie auf Weiter F hren Sie die angegebenen Handlungsschritte aus Geben Sie die Mac OS X Administratoranmeldedaten ein wenn Sie der Installer dazu auffordert Dies ist notwendig damit der Installer nderungen vornehmen kann Wenn der Installer abgeschlossen ist starten Sie Ihren Mac neu Nach dem Neustart ist Sophos SafeGuard Disk Encryption installiert Die Power on Authentication ist noch nicht aktiviert Es wird jedoch Secured by SOPHOS angezeigt Nach etwa einer Sekunde wird das Betriebssystem gestartet Solange noch kein SafeGuard Benutzer vorhanden ist zeigt die Software weiterhin Secured by SOPHOS an Wenn der erste Benutzer erstellt wird wird die Power on Authentication aktiviert Sophos SafeGuard Disk Encryption for Mac platziert ein Symbol auf die rechte Seite der Men leiste Durch Klicken auf dieses Symbol erhalten Sie Zugriff auf die Sophos SafeGuard Disk Encryption Benutzer und Disk Verwaltungsfunktionen Installationsanleitung 9 7 9 8 Deinstallation von Sophos SafeGuard Disk Encryption for Mac Um Sophos SafeGuard Disk Encryption zu deinstallieren verwenden Sie das Uninstaller Package Sophos SafeGuard Uninstaller p
106. k nnen die Installation und Konfiguration lokal auf den Endpoint Computern oder im Rahmen einer zentralisierten Software Installation ausf hren Durch das zentrale Einrichten von Endpoints wird eine standardisierte Installation auf mehreren Computern erreicht Zentral verwaltete Endpoints und Standalone Endpoints Endpoints k nnen folgenderma en konfiguriert werden E Zentral verwaltet SafeGuard Enterprise Clients Managed Zentrale server basierte Verwaltung im SafeGuard Management Center F r zentral verwaltete Endpoints besteht generell eine Verbindung zum SafeGuard Enterprise Server Sie erhalten ihre Richtlinien ber den SafeGuard Enterprise Server Die Verbindung kann tempor r unterbrochen sein z B w hrend einer Gesch ftsreise Trotzdem ist der Endpoint auch in dieser Situation als zentral verwaltet definiert E Standalone Sophos SafeGuard Clients Standalone Lokale Verwaltung durch im SafeGuard Management Center erstellte Konfigurationspakete F r Standalone Endpoints besteht nie eine Verbindung zum SafeGuard Enterprise Server Damit fehlt die Verbindung zur zentralen Verwaltung von SafeGuard Enterprise Sie werden im Standalone Modus betrieben Standalone Endpoints erhalten SafeGuard Enterprise Richtlinien ber Konfigurationspakete Diese Computer erhalten Richtlinien nie ber eine Verbindung zum SafeGuard Enterprise Server SafeGuard Enterprise Richtlinien werden im SafeGuard Management Center erstellt und in Konf
107. kg aus Library Sophos SafeGuard Sie m ssen zun chst die Festplatte entschl sseln Installation gem FIPS Die FIPS Zertifizierung beschreibt Sicherheitsanforderungen f r Verschl sselungsmodule So stellen z B Beh rden in den USA und in Kanada an Software f r besonders sicherheitskritische Informationen die Anforderung der FIPS 140 2 Zertifizierung SafeGuard Enterprise nutzt FIPS zertifizierte AES Algorithmen Standardm ig wird eine neue schnellere Implementierung der AES Algorithmen installiert die noch nicht FIPS zertifiziert ist Um die FIPS zertifizierte Variante des AES Algorithmus zu nutzen setzen Sie beim Installieren der SafeGuard Enterprise Verschl sselungssoftware die Eigenschaft FIPS_AES auf 1 eins Hierzu gibt es zwei M glichkeiten E F gen Sie die Eigenschaft zum Kommandozeilen Skript hinzu msiexec i F Software SGNClient msi FIPS_AES E Verwenden Sie ein Transform Installation auf selbst verschl sselnden Opal Festplatten SafeGuard Enterprise unterst tzt den anbieter unabh ngigen Opal Standard f r selbst verschl sselnde Festplatten und bietet die Verwaltung von Endpoints mit dieser Art von Festplatten Um sicherzustellen dass die Unterst tzung von selbst verschl sselnden Opal Festplatten diesem Standard m glichst genau entspricht werden bei der Installation von SafeGuard Enterprise auf dem Endpoint zwei Arten von Pr fungen durchgef hrt E Funktionale Pr fungen Hier
108. len Sie danach ein neues Konfigurationspaket und installieren Sie es auf dem entsprechenden Server oder zentral verwalteten Computer 47 SafeGuard Enterprise 48 8 Registrieren und Konfigurieren des SafeGuard 8 1 Enterprise Server Zur Implementierung der Informationen f r die Kommunikation zwischen IIS Server Datenbank und dem SafeGuard gesch tzten Endpoint muss der SafeGuard Enterprise Server registriert und konfiguriert werden Die Informationen werden in einem Server Konfigurationspaket gespeichert Diesen Schritt f hren Sie im SafeGuard Management Center durch Der Workflow ist davon abh ngig ob der SafeGuard Enterprise Server auf demselben Computer wie das SafeGuard Management Center oder auf einem anderen Computer installiert ist Sie k nnen auch weitere Eigenschaften festlegen So lassen sich z B zus tzliche Sicherheitsbeauftragte f r den ausgew hlten Server hinzuf gen Sie k nnen auch die Verbindung zur Datenbank konfigurieren Registrieren und Konfigurieren des SafeGuard Enterprise Server f r den aktuellen Computer Wenn Sie das SafeGuard Management Center und SafeGuard Enterprise Server auf dem Computer mit dem Sie derzeit arbeiten installiert haben registrieren und konfigurieren Sie den SafeGuard Enterprise Server Hinweis Wenn Multi Tenancy installiert ist steht diese Option nicht zur Verf gung 1 Starten Sie das SafeGuard Management Center 2 Klicken Sie im Extras Men auf Konfiguration
109. lgende Verbindungen aufbauen SafeGuard WERNER 1 Verbindung zu SQL Datenbank Active Directory Port SQL Server 2005 SQL Server 2008 dynamischer Port Port 1433 TCP und Port 1434 TCP Port 389 TCP SLDAP Port 636 f r den Active Directory Import Der SafeGuard Enterprise Server muss folgende Verbindungen aufbauen SafeGuard Enterprise Server Verbindung zu Port SQL Datenbank Port 1433 TCP und Port 1434 TCP f r SQL 2005 Express dynamischer Port Active Directory Port 389 TCP 43 SafeGuard Enterprise 6 1 2 6 1 3 6 1 4 44 6 2 Authentisierungsmethode ffnen Sie auf dem Computer auf dem SafeGuard Enterprise Server installiert ist den Internet Information Services IIS Manager Klicken Sie in der Baumstruktur auf Internet Information Services Manager Klicken Sie auf Servername Websites Standard Website Klicken Sie mit der rechten Maustaste auf SGNSRV und klicken Sie auf Eigenschaften Klicken Sie auf die Registerkarte Verzeichnissicherheit Klicken Sie unter Authentifizierung und Zugriffssteuerung auf Bearbeiten In Authentifizierungsverfahren w hlen Sie Anonymen Zugriff aktivieren Deaktivieren Sie unter Authentifizierter Zugriff das Kontrollk stchen Integrierte Windows Authentifizierung Proxyserver Einstellungen f r Webserver und Endpoint Definieren Sie die Proxyserver Einstellungen wie folgt 1 Klicken Sie im Internet Explore
110. ministratorrechte verf gen Es ist keine Deinstallation der Sophos SafeGuard Verschl sselungssoftware auf den Endpoints n tig Sophos SafeGuard Version 5 5 x oder h her muss auf den Endpoints installiert sein ltere Versionen m ssen aktualisiert werden bis Version 5 50 erreicht ist So migrieren Sie die Endpoints 1 7 Installieren Sie das aktuelle Pr Installationspaket SGxClientPreinstall msi das den Endpoint mit den n tigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware ausstattet Verwenden Sie keine veralteten Pr Installationspakete Installieren Sie aus dem Install Ordner des Produkts die aktuelle Version der Sophos SafeGuard Verschl sselungssoftware siehe Zentrale Installation der Verschl sselungssoftware Seite 64 Der Windows Installer erkennt welche Features bereits installiert sind und installiert auch nur diese Features neu Wenn die Power on Authentication installiert ist steht nach erfolgreicher Migration Richtlinien Schl ssel usw auch ein aktualisierter POA Kernel zur Verf gung Sophos SafeGuard wird auf dem Endpoint automatisch neu gestartet Um mit der Aktualisierung neue Features zu installieren w hlen Sie eine Installation vom Typ Angepasst aus W hlen Sie dann die neuen Features und die zu aktualisierenden Features Bei einer nicht berwachten Installation verwenden Sie die Eigenschaft ADDLOCAL zur Auswahl der gew nschten Features vorh
111. mit einem der folgenden Algorithmen verschl sselt sind XOR STEALTH DES RIINDAEL Blowfish 8 Blowfish 16 Multi Boot Szenarien mit einer zweiten Windows oder Linux Partition Wechselmedien die mit einem der folgenden Algorithmen verschl sselt sind k nnen nicht migriert werden XOR STEALTH DES RIINDAEL Blowfish 8 Blowfish 16 Hinweis In diesen F llen besteht die Gefahr des Datenverlusts Nach der Migration k nnen die Daten auf dem Wechselmedium mit SafeGuard Enterprise nicht mehr gelesen werden Wechselmedien mit Super Floppy Volumes k nnen nach der Migration nicht umgewandelt werden Wechselmedien k nnen in das SafeGuard Enterprise Format konvertiert werden Nach der Konvertierung kann ein verschl sselter Datentr ger nur noch mit SafeGuard Enterprise und nur auf dem Endpoint gelesen werden an dem die Konvertierung durchgef hrt wurde Vorbereiten der Endpoints Bereiten Sie die Endpoints f r die Installation der Verschl sselungssoftware vor siehe Vorbereiten der Endpoints f r die Verschl sselung Seite 54 Wir empfehlen einen g ltigen Kernel Backup zu erstellen und diesen an einem Speicherort abzulegen auf den immer zugegriffen werden kann zum Beispiel Netzwerkfreigabe Weitere Informationen hierzu finden Sie in den SafeGuard Easy 4 5x Sophos SafeGuard Disk Encryption 4 6x Handb chern Hilfen im Kapitel Systemkern sichern und Notfallmedien erstellen Legen Sie bei der ersten Migration zur Sicherheit eine Test
112. mport eines Active Directory Es enth lt die Organisationsstruktur des Unternehmens mit Benutzern und Computern SafeGuard Enterprise Verschl sselungssoftware auf Endpoint Computern Verschl sselungssoftware zur Authentisierung und Datenverschl sselung auf Endpoints Durch SafeGuard Enterprise gesch tzte Endpoints k nnen entweder mit dem SafeGuard Enterprise Server verbunden sein zentral verwaltet oder keine Verbindung zu einem SafeGuard Enteprise Server haben Standalone Zentral verwaltete Endpoints erhalten ihre Richtlinien direkt vom SafeGuard Enterprise Server Standalone Endpoints erhalten ihre Richtlinien in Konfigurationspaketen die mit einen Dritt Verteilungsmechanismus verteilt werden k nnen SafeGuard Enterprise 2 Erste Schritte 2 1 Dieser Abschnitt erkl rt die notwendigen Vorbereitungsma nahmen f r eine erfolgreiche Installation von SafeGuard Enterprise E Erstinstallation Der SGN Install Advisor vereinfacht die erstmalige Einrichtung der Management Komponenten einschlie lich Standardrichtlinien Um den SGN Install Advisor f r neue SafeGuard Enterprise Installationen aufzurufen starten Sie SGNInstallAdvisor bat aus Ihrer Produktlieferung Ein Assistent f hrt Sie durch die Installation E Aktualisierung F hren Sie die in dieser Anleitung beschriebenen Schritte durch Hinweis Nutzen Sie auch die M glichkeit SafeGuard Enterprise ber Video Tutorials kennen zu lernen Sie zeigen die Inst
113. msi wird im angegebenen Ausgabeort erstellt 7 Best tigen Sie die Erfolgsmeldung mit OK 8 Klicken Sie in der Registerkarte Server auf Schlie en Die Registrierung und Konfiguration des SafeGuard Enterprise Servers ist beendet Installieren Sie das Server Konfigurationspaket MSI auf dem Computer auf dem der SafeGuard Enterprise Server l uft Sie k nnen die Serverkonfiguration in der Registerkarte Server jederzeit ndern Hinweis Wenn Sie ein neues Server Konfigurationspaket MSI auf dem SafeGuard Enterprise Server installieren m chten deinstallieren Sie zun chst das veraltete Konfigurationspaket L schen Sie dar ber hinaus den Local Cache manuell so dass er mit den neuen Konfigurationsdaten 49 SafeGuard Enterprise z B SSL Einstellungen aktualisiert werden kann Installieren Sie dieses Konfigurationspaket auf dem Server 8 3 ndern der Safe uard Enterprise Server Eigenschaften Sie k nnen die Eigenschaften und Einstellungen f r jeden registrierten Server und seine Datenbankverbindung jederzeit ndern 1 W hlen Sie den gew nschten Server in der Registerkarte Server des SafeGuard Management Center Konfigurationspakete Werkzeugs 2 Gehen Sie wie folgt vor Beschreibung Skript ausf hren Klicken Sie hier um die Verwendung von SafeGuard Enterprise Management API zu erm glichen Dies erm glicht die Ausf hrung von administrativen Aufgaben ber Skripte Server Rollen Klicken Sie hier
114. n 59 SafeGuard Enterprise 9 5 1 60 Installationspakete und Features Die folgende Tabelle zeigt die Installationspakete und Features der Sophos SafeGuard Verschl sselungssoftware auf Endpoints Sie finden die Installationspakete im Installers Ordner Ihrer Produktlieferung Hinweis Wenn das Betriebssystem des Endpoint Windows 7 64 Bit oder Windows Vista 64 Bit ist k nnen Sie die 64 Bit Variante der Installationspakete lt Paketname gt _x64 msi installieren Das 64 Bit Paket von SafeGuard Configuration Protection ist f r Windows 7 64 Bit verf gbar Es ist zwar m glich bei einer Erstinstallation nicht alle Features zu installieren wir empfehlen jedoch das komplette SafeGuard Device Protection Paket von Beginn an zu installieren Inhalt F r zentral F r verwaltete Standalone Endpoints Endpoints verf gbar verf gbar GV GV Obligatorisch Obligatorisch Pr Installations Paket Diese Paket muss vor der Installation eines Verschl sselungsinstallationspakets installiert werden Es stattet Endpoints mit notwendigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware aus SGNClient msi SafeGuard Device Protection Paket SGNClient_x64 msi BaseEncryption SectorBasedEncryption Festplattenverschl sselung f r interne und externe Festplatten Mit Power on Authentication W hlen Sie den Installationstyp Vollst ndig Typisch oder Angepas
115. n Sie die zuvor im SafeGuard Management Endpoint Computer Center erzeugten Konfigurationspakete F r zentral verwaltete Endpoints und Standalone Endpoints m ssen unterschiedliche Konfigurationspakete installiert werden siehe Erzeugen von Konfigurationspaketen Seite 56 L schen Sie zun chst alle veralteten im SafeGuard Management Center erstellten Pakete 3 Erstellen Sie ein Skript mit den Kommandos f r die vorkonfigurierte Installation Im Skript m ssen die Features der Verschl sselungssoftware aufgelistet sein die Sie installieren m chten siehe Feature Parameter f r die ADDLOCAL Option Seite 67 ffnen Sie eine Befehlseingabeaufforderung und geben Sie die Scripting Befehle ein F r Informationen zur Kommandozeilen Syntax siehe Kommandozeilenoptionen f r die zentrale Installation Seite 66 4 Verteilen Sie das Paket ber unternehmensinterne Software Verteilungsmechanismen an die Endpoint Computer Das Installation wird auf den Endpoint Computern ausgef hrt Danach sind die Endpoint Computer f r den Einsatz von SafeGuard Enterprise bereit 65 SafeGuard Enterprise 9 5 3 2 66 5 Stellen Sie nach der Installation sicher dass die Endpoint Computer zweimal neu gestartet werden um die Power on Authentication zu aktivieren Die Computer m ssen ein drittes Mal neu gestartet werden um eine Sicherung der Kerneldaten bei jedem Windows Start durchzuf hren Stellen Sie sicher dass die Computer vor dem
116. n einen Energiesparmodus oder den Ruhezustand zu versetzen 15 2 3 Starten der Deinstallation 104 Folgende Voraussetzungen m ssen erf llt sein Verschl sselte Daten m ssen korrekt entschl sselt werden damit nach der Deinstallation Zugriff auf die Daten besteht Der Entschl sselungsvorgang muss abgeschlossen sein Die korrekte Entschl sselung ist besonders wichtig wenn die Deinstallation von Active Directory ausgel st wird Dar ber hinaus m ssen vor der Deinstallation des letzten durch SafeGuard Enterprise gesch tzten Endpoint alle verschl sselten Wechselmedien entschl sselt werden Andernfalls besteht die Gefahr dass Benutzer nicht mehr auf Ihre Daten zugreifen Installationsanleitung k nnen Solange die SafeGuard Enterprise Datenbank zur Verf gung steht k nnen die Daten auf den Wechselmedien wiederhergestellt werden F r die Deinstallation von SafeGuard Device Protection m ssen alle volume basierend verschl sselten Volumes einen Laufwerksbuchstaben haben Deinstallieren Sie jeweils immer das komplette Paket mit allen installierten Features Bearbeiten Sie im SafeGuard Management Center die Richtlinie vom Typ Computerspezifische Einstellungen Stellen Sie die Option Deinstallation erlaubt auf Ja ein Legen Sie unter Benutzer amp Computer eine Gruppe f r die Endpoints bei denen die Deinstallation durchgef hrt werden soll an Klicken Sie mit der rechten Maustaste und klicken Sie auf Neu gt Neue Gr
117. n sein Microsoft bietet ein BitLocker Partitionierungs Tool 55 SafeGuard Enterprise 9 3 3 56 9 4 E BitLocker Drive Encryption muss installiert und aktiviert sein E Wenn TPM f r die Authentisierung verwendet werden soll muss TPM initialisiert im Besitz und aktiviert sein E Wenn Sie die volume basierende Verschl sselung von SafeGuard Enterprise installieren m chten sollten Sie sicherstellen dass die Volumes nicht bereits mit BitLocker Drive Encryption verschl sselt wurden Andernfalls kann es zu einer Besch digung des Systems kommen E Um die BitLocker Drive Encryption Unterst tzung zu installieren deaktivieren Sie entweder User Access Control UAC oder melden Sie sich mit dem integrierten Administrator Benutzerkonto an Weitere Informationen erhalten Sie vom Microsoft Support oder auf den folgenden Websites E Vorbereitung f r BitLocker http technet2 microsoft com WindowsVista en library c61f2a12 8ae6 4957 b031 97b4d762cf3 11033 mspx mfr true m BitLocker FAQ http technet2 microsoft com WindowsVista en library 58358421 a7f5 4c97 ab41 2bcc61a58a701033 mspx mfr true Vorbereiten einer ndern Installation Wenn Sie eine vorhandene SafeGuard Enterprise Installation ndern oder bestimmte Module zu einem sp teren Zeitpunkt installieren meldet das Installationsprogramm u U dass bestimmte Komponenten z B SafeGuard Removable Media Manager derzeit benutzt werden Diese Meldung wird dadurch ve
118. nd klicken Sie auf Konfigurationspaket erstellen Klicken Sie auf Schlie en Verbinden Sie das SafeGuard Management Center wieder mit der Datenbank WIEN Klicken Sie im Extras Men auf Optionen und dann auf Datenbankverbindung Die SafeGuard Enterprise Server und Client Konfigurationspakete f r die Datenbank LINZ werden am definierten Ausgabeort erstellt Installieren der SafeGuard Enterprise Server Konfigurationspakete Installieren Sie das Server Konfigurationspaket ws_1l msi auf Web Service WS_1 der mit der Datenbank GRAZ kommunizieren soll Installieren Sie das Server Konfigurationspaket ws_2 msi auf Web Service WS_2 der mit der Datenbank LINZ kommunizieren soll Testen Sie die Kommunikation zwischen den SafeGuard Enterprise Servern und diesen Datenbanken siehe Testen der Verbindung IIS 6 auf Windows Server 2003 Seite 44 85 SafeGuard Enterprise 12 7 Einrichten des Endpoint Computers 86 F r Informationen zum Installieren der Verschl sselungssoftware auf Endpoint Computern siehe Zentrale Installation der Verschl sselungssoftware Seite 64 Hinweis Stellen Sie zum Einrichten der Endpoints sicher dass Sie nach der Installation das korrekte Konfigurationspaket installieren 1 Installieren Sie das Client Konfigurationspaket GRAZ auf den Endpoints die mit dem GRAZ Server WS_1 verbunden werden sollen 2 Installieren Sie das Client Konfigurationspaket LINZ auf den Endpoints die mit dem LINZ Server W
119. nden und g ltig sein Erstellen Sie Zertifikate Backups im SafeGuard Management Center m Die Kennw rter f r die beiden p12 Dateien sowie f r den Zertifikatsspeicher m ssen Ihnen bekannt sein Hinweis Diese Art der Wiederherstellung ist nur dann zu empfehlen wenn keine g ltige Sicherungskopie der Datenbank verf gbar ist Alle Computer die eine Verbindung mit einem auf diese Weise wiederhergestellten Backend herstellen verlieren ihre Benutzer Computer Zuordnung Dies hat zur Folge dass die Power on Authentication vor bergehend ausgeschaltet ist Challenge Response Mechanismen stehen erst dann wieder zur Verf gung wenn der entsprechende Endpoint seine Schl sselinformationen wieder erfolgreich bertragen hat So stellen Sie eine besch digte Datenbank wieder her 1 Installieren Sie das SafeGuard Management Center Installationspaket neu ffnen Sie das SafeGuard Management Center Der Konfigurationsassistent wird automatisch ge ffnet 2 W hlen Sie auf der Datenbankverbindung Seite die Option Neue Datenbank erstellen Konfigurieren Sie unter Datenbankeinstellungen die Verbindung zur Datenbank Klicken Sie auf Weiter 3 W hlen Sie auf der Seite Daten des Sicherheitsbeauftragten den relevanten Haupt Sicherheitsbeauftragten und klicken Sie auf Importieren 4 Suchen Sie unter Importieren des Zertifikats die gesicherte Schl sseldatei Geben Sie unter Kennwort der Datei das f r diese Datei festgelegte Kennwort ein und best t
120. nenten Installationsanleitung 3 3 1 3 3 2 3 3 3 E Server 2 Microsoft Windows Server 2003 SP1 SafeGuard Enterprise Server aktuelle Version Microsoft SQL Server 2005 Express IIS mit minimalen Komponenten Auf Server 2 l uft nur der SafeGuard Enterprise Server IIS Server Wenn Server 2 zus tzlich in Gebrauch ist werden die f r Server 1 aktivierten Dienste automatisch deaktiviert E Client SafeGuard Enterprise Client SafeGuard Management Center aktuelle Version Nur notwendige IIS Komponenten installieren Stellen Sie sicher dass nur notwendige IIS Komponenten installiert werden Dadurch reduziert sich das Risiko dass der IIS Server angegriffen wird Deaktivieren Sie alle unn tigen Einstellungen Der IIS Server l uft mit SafeGuard Enterprise Server mit den folgenden minimalen Komponenten E Gemeinsame Dateien E Internetinformationsdienste Manager IIS Manager BE WWW Publishingdienst Nur notwendige Webdiensterweiterungen aktivieren Stellen Sie sicher dass nur notwendige Webdiensterweiterungen aktiviert werden Dadurch reduziert sich das Risiko dass der IIS Server angegriffen wird Deaktivieren Sie alle unn tigen Einstellungen Die folgenden Einstellungen sind notwendig damit der IIS Server mit dem SafeGuard Enterprise Server l uft Webdiensterweiterungen E ASP NET v 1 1 4322 und 2 0 50727 Prohibited E ASP NET v 2 50727 Allowed Website Inhalte auf eigener Partition IIS speichert die Date
121. nieren die SafeGuard Easy GINA Mechanismen vor allem Windows Secure Autologon SAL nicht mehr Um dies zu umgehen muss SafeGuard Easy 4 x zuerst installiert werden und beide Produkte sollten nur zusammen deinstalliert werden ohne Neustart um GINA Konflikte zu vermeiden 2 7 Allgemeine Einschr nkungen Beachten Sie folgende allgemeine Einschr nkungen f r SafeGuard Enterprise auf Endpoints SafeGuard Enterprise for Windows unterst tzt keine Apple Hardware und kann nicht in einer Boot Camp Umgebung installiert werden Wenn auf dem Endpoint Intel Advanced Host Controller Interface AHCI benutzt wird muss sich die Boot Festplatte in Slot 0 oder Slot 1 befinden Sie k nnen bis zu 32 Festplatten einlegen SafeGuard Enterprise l uft nur auf den ersten beiden Slot Nummern Volume basierende Verschl sselung f r Volumes auf dynamischen Festplatten und auf GUID Partitionstabellen GPT Platten werden nicht unterst tzt Die Installation bricht in diesen F llen ab Wenn diese Platten auf dem Endpoint gefunden werden werden sie nicht unterst tzt Systeme mit Festplatten die ber einen SCSI Bus angeschlossen sind werden vom SafeGuard Device Protection Modul nicht unterst tzt E Der schnelle Benutzerwechsel wird nicht unterst tzt E Der Einsatz von SafeGuard Enterprise in einer Terminal Server Umgebung wird nicht unterst tzt 11 SafeGuard Enterprise 3 Einrichten des SafeGuard Enterprise Servers 3 1 12 Der Safe
122. nistrator erstellt hat Klicken Sie auf Weiter 5 Aktivieren Sie unter Datenbankeinstellungen die Option Folgende bestehende Datenbank verwenden und w hlen Sie die Datenbank aus der Liste aus Klicken Sie auf Weiter 6 W hlen Sie unter SafeGuard Management Center Authentisierung eine autorisierte Person aus der Liste aus Wenn Multi Tenancy aktiviert ist zeigt der Dialog an an welcher Konfiguration sich der Benutzer anmeldet Geben Sie das Kennwort f r den Zertifikatsspeicher ein und best tigen Sie es Der Zertifikatsspeicher f r das aktuelle Benutzerkonto wird angelegt und ist durch dieses abgesichert F r die nachfolgenden Anmeldungen ben tigen Sie nur noch dieses Kennwort 7 Klicken Sie auf OK Eine Meldung dass Zertifikat und privater Schl ssel nicht gefunden bzw nicht darauf zugegriffen werden kann wird angezeigt 8 Klicken Sie zum Importieren der Daten auf Ja und dann auf OK Dadurch wird der Importvorgang gestartet Installationsanleitung 5 7 5 7 1 5 7 2 9 Klicken Sie unter Authentisierungs Schl sseldatei importieren auf die Schaltfl che und w hlen Sie die Schl sseldatei aus Geben Sie das Kennwort der Schl sseldatei ein Geben Sie das zuvor unter Kennwort des Zertifikatsspeichers oder Token PIN definierte Kennwort f r den Zertifikatsspeicher ein W hlen Sie In den Zertifikatsspeicher importieren oder Auf den Token kopieren um das Zertifikat auf einem Token zu speichern 10 Geben Sie zur
123. nstallation vom Typ Vollst ndig aus F r weitere Informationen siehe Multi Tenancy Konfigurationen Seite 32 Das SafeGuard Management Center ist installiert Starten Sie Ihren ggf Computer neu Im n chsten Schritt f hren Sie die Erstkonfiguration im SafeGuard Management Center durch Installationsanleitung 5 3 Anzeigen des SafeGuard Management Center Hilfesystems Das SafeGuard Management Center Hilfesystem wird in Ihrem Browser angezeigt Es bietet umfassende Features wie kontextsensitive Hilfe und Volltextsuche Das Hilfesystem ist f r die volle Funktionalit t der Inhaltsseiten konfiguriert und aktiviert JavaScript in Ihrem Browser Beim Microsoft Internet Explorer zeigt sich folgendes Verhalten E Windows XP Windows Vista Windows 7 Internet Explorer 6 7 8 Standardsicherheit Es wird keine Sicherheitsleiste angezeigt die angibt dass der Internet Explorer die Scripting Ausf hrung gesperrt hat JavaScript wird ausgef hrt m Windows 2003 Server Enterprise Edition Internet Explorer 6 Erweiterte Sicherheitskonfiguration Standardinstallationskonfiguration Eine Informationsbox gibt an dass die erweiterte Sicherheitskonfiguration aktiviert ist und die Seite das Scripting ausf hrt Sie k nnen diese Meldung deaktivieren JavaScript wird ausgef hrt Hinweis Auch wenn JavaScript deaktiviert ist k nnen Sie das SafeGuard Management Center Hilfesystem aufrufen und im System navigieren Bestimmte Funktionen z B
124. nz f r SafeGuard Cloud Storage und SafeGuard File Share importieren Die Lizenzdatei steht in Ihrer Produktlieferung zur Verf gung So aktualisieren Sie das SafeGuard Management Center l Installieren Sie die aktuelle Version des SafeGuard Management Center Installationspakets mit den erforderlichen Features siehe Migration Seite 93 89 SafeGuard Enterprise 13 4 90 2 Starten Sie das SafeGuard Management Center Das Systemverhalten beim ersten Start des SafeGuard Management Center nach der Aktualisierung richtet sich nach den installierten Features Option Beschreibung Das Feature Multi Tenancy ist nicht Sie werden aufgefordert die SafeGuard Management installiert Center Sicherheitsbeauftragten Anmeldeinformationen einzugeben Das Feature Multi Tenancy ist neu Der SafeGuard Management Center installiert Konfigurationsassistent wird gestartet Sie werden dazu aufgefordert die zu verwendende Datenbank auszuw hlen Der Assistent schl gt standardm ig eine bereits vorher verwendete Datenbank vor W hlen Sie die gew nschte Datenbank aus und beenden Sie den Assistenten Das Feature Multi Tenancy wurde Die zuletzt benutzte Datenbankkonfiguration wird im deinstalliert aktualisierten SafeGuard Management Center verwendet 3 Importieren Sie im SafeGuard Management Center die Standard Evaluierungslizenz DefaultLicense_CSFS xml f r SafeGuard Cloud Storage und SafeGuard File Share aus dem So
125. ollzugriff System Vollzugriff Vollzugriff Benutzer Ausf hren Ausf hren F r Benutzer k nnen Sie ein anderes Konto oder eine andere Gruppe einstellen unter der Voraussetzung dass dies auf dem IIS Server zur Verf gung gestellt wird In diesem Fall m ssen Sie das Konto IUSR_SERVERNAME auf dem IIS Server entsprechend aktualisieren Die NTFS Berechtigungen f r Dateitypen lauten wie folgt Dateityp Empfohlene NTF Berechtigungen CGI Dateien exe dll cmd pl Administratoren Vollzugriff System Vollzugriff Jeder Benutzer Ausf hren Skript Dateien asp Administratoren Vollzugriff System Vollzugriff Jeder Benutzer Ausf hren Installationsanleitung Dateityp Empfohlene NTF Berechtigungen Inklusive Dateien inc shtm shtml Administratoren Vollzugriff System Vollzugriff Jeder Benutzer Ausf hren Statischer Content txt gif jpg htm Administratoren Vollzugriff html System Vollzugriff Jeder Benutzer Nur lesen 3 3 5 Deaktivieren der integrierten Windows Authentifizierung 3 3 6 3 4 Wir empfehlen die integrierte Windows Authentisierung in IIS zu deaktivieren um so das Senden unn tiger Authentisierungsinformationen zu vermeiden l Doppelklicken Sie im IIS Manager auf den lokalen Computer klicken Sie mit der rechten Maustaste auf den Ordner Websites und klicken Sie danach auf Eigenschaften Klicken Sie auf die Regi
126. omatisch w hrend der Erstkonfiguration im SafeGuard Management Center erzeugt werden Soll die Datenbank automatisch erstellt werden so sind f r den ersten SafeGuard Management Center Sicherheitsbeauftragten erweiterte Zugriffsrechte f r die SQL Datenbank db_creator erforderlich Diese Berechtigungen k nnen dem Sicherheitsbeauftragten danach vom SQL Administrator aber wieder bis zur n chsten Installation Aktualisierung entzogen werden Wenn die Erweiterung der Rechte w hrend der Installation des SafeGuard Management Centers nicht gew nscht ist kann der SQL Administrator die SafeGuard Enterprise Datenbank per Skript erzeugen Dazu k nnen die beiden Skripte CreateDatabase sql und CreateTables sql aus der Produktlieferung ausgef hrt werden Die folgende Tabelle zeigt die notwendigen SQL Berechtigungen f r die unterschiedlichen Versionen von Microsoft SQL Server Zugriffsberechtigung SQL Server 2005 SQL SQL Server 2008 SQL Server Server 2005 Express 2008 Express Datenbank erstellen Server db_creator db_creator Master Datenbank keine keine SafeGuard Enterprise db_ownerpublic Standard db_ownerpublic Standard Datenbank Datenbank benutzen Server keine keine Master Datenbank keine keine SafeGuard Enterprise db_datareaderdd db_datareader TEDAN b_datawriter db_datawriter public Standard public Standard 22 Installationsanleitung 4 1 2 Konfigurieren eines Windows Benutz
127. on nicht die software basierende Verschl sselung angewendet Stattdessen bleiben alle Volumes auf der Opal Festplatte unverschl sselt Wenn Sie erzwingen m chten dass keine Opal Pr fungen durchgef hrt werden verwenden Sie folgende Kommandozeilensyntax MSIEXEC i lt name_of_selected_client_msi gt msi OPALMODE 2 Bei einigen Opal Festplatten bestehen u U Sicherheitsprobleme Es besteht keine M glichkeit automatisch festzustellen welche Privilegien unbekannten Benutzern Authorities zugeordnet sind die bereits zum Zeitpunkt der SafeGuard Enterprise Installation Verschl sselung registriert waren Wenn die Festplatte den Befehl diese Benutzer zu deaktivieren nicht ausf hrt wendet SafeGuard Enterprise die software basierende Verschl sselung an um die gr tm gliche Sicherheit f r den SafeGuard Enterprise Benutzer zu gew hrleisten Da wir f r die Festplatten selbst keine Sicherheitsgarantien geben k nnen haben wir einen speziellen Installationsschalter implementiert Diesen Schalter k nnen Sie verwenden um Festplatten mit potentiellen Sicherheitsrisiken auf eigene Verantwortung zu benutzen Eine Liste der Festplatten f r die dieser Schalter erforderlich ist sowie weitere Informationen zu unterst tzten Festplatten finden Sie in den SafeGuard Enterprise Release Notes Um den Installationsschalter anzuwenden benutzen Sie folgende Kommandozeilensyntax MSIEXEC i lt name_of_selected_client_msi g
128. onen f r eine Instanz des SafeGuard Management Centers konfigurieren und verwalten Dies erweist sich vor allem dann als n tzlich wenn Sie verschiedene Konfigurationen f r verschiedene Dom nen Organisationseinheiten oder Unternehmensstandorte einsetzen m chten Hinweis Sie m ssen pro Datenbank Mandant jeweils eine separate SafeGuard Enterprise Server Instanz einrichten Zur Vereinfachung der Konfiguration k nnen neu erstellte Datenbankkonfigurationen zur sp teren Wiederverwendung in eine Datei exportiert werden und zuvor erstellte Konfigurationen aus einer Datei eingelesen werden Um das SafeGuard Management Center f r Multi Tenancy zu konfigurieren f hren Sie zun chst die initiale Konfiguration und danach weitere spezifische Schritte f r die Multi Tenancy Konfiguration durch Starten der Erstkonfiguration des SafeGuard Management Centers Nach der Installation des SafeGuard Management Center m ssen Sie die Erstkonfiguration durchf hren Die Erstkonfiguration muss sowohl f r den Single Tenancy als auch f r den Multi Tenancy Modus ausgef hrt werden So starten Sie den SafeGuard Management Center Konfigurationsassistenten 1 Starten Sie das SafeGuard Management Center ber das Start Men Der Konfigurationsassistent wird gestartet und f hrt Sie durch die notwendigen Schritte 2 Klicken Sie auf der Willkommen Seite auf Weiter Konfigurieren der Datenbankserver Verbindung Zum Speichern aller SafeGuard Enterpr
129. onfiguration Protection zentralauf den Endpoint Computern installieren m chten verwenden Sie die Windows Installer Komponente msiexec Die Kommandozeile lautet wie folgt msiexec i SGNCPClient msi quiet norestart F hren Sie die Schritte in der angegebenen Reihenfolge aus 1 Bereiten Sie die Installation auf den Endpoint Computern vor siehe Vorbereiten der Endpoints f r die Verschl sselung Seite 54 2 Erstellen Sie ein Verzeichnis mit der Bezeichnung Software als zentralen Speicherort f r alle Anwendungen 73 SafeGuard Enterprise 10 2 1 74 3 Verwenden Sie Ihre eigenen Tools um das Installationspaket zu erstellen das auf den Endpoint Computern installiert werden soll Das Paket muss folgende Komponenten in der angegebenen Reihenfolge enthalten Vorbereitendes Installationspaket SGxClientPreinstall msi Das Paket stattet die Endpoint Computer mit den n tigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware aus zum Beispiel mit der ben tigten DLL MSVCR110 dIl Hinweis Wenn dieses Paket nicht installiert ist wird die Installation der Verschl sselungssoftware abgebrochen SafeGuard Enterprise Verschl sselungssoftware Paket Installieren Sie entweder das SafeGuard Device Protection Paket oder das SafeGuard Paket f r dateibasierende Verschl sselung F gen Sie ConfigurationProtection als Feature zur ADDLOCAL Option hinzu Bei Windows 7 64 Bit Betrie
130. pe ausw hlen die dem Endpoint Computer zugeordnet wird POA Benutzer k nnen f r administrative Aufgaben auf den Endpoint zugreifen nachdem die Power on Authentication aktiviert wurde Um POA Benutzer zuzuweisen m ssen Sie die POA Gruppe zun chst im Bereich Benutzer amp Computer des SafeGuard Management Center anlegen Geben Sie einen Ausgabepfad f r das Konfigurationspaket MSI an Klicken Sie auf Konfigurationspaket erstellen Das Konfigurationspaket MSI wird im angegebenen Verzeichnis angelegt Im n chsten Schritt verteilen Sie das Paket an die Endpoint Computer zur Installation Erzeugen eines Konfigurationspakets f r Macs Ein Konfigurationspaket f r einen Mac enth lt die relevanten Serverinformationen sowie das Unternehmenszertifikat Der Mac benutzt diese Informationen zum Zur ckmelden von Statusinformationen POA an aus Verschl sselungsstatus usw Die Statusinformationen werden im SafeGuard Management Center angezeigt ver OU N e Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete W hlen Sie Pakete f r Managed Clients Klicken Sie auf Konfigurationspaket hinzuf gen Geben Sie einen beliebigen Namen f r das Konfigurationspaket ein Ordnen Sie einen prim ren SafeGuard Enterprise Server zu der sekund re Server ist nicht notwendig W hlen Sie SSL als Transportverschl sselung f r die Verbindung zwischen dem Endpoint und dem SafeGuard Enterprise Server
131. phos Produktordner Sophos SafeGuard Enterprise Management Center Das SafeGuard Management Center wurde auf die neueste Version aktualisiert Hinweis Vorhandene SafeGuard Enterprise Richtlinien wurden u U ge ndert wenn eine Aktualisierung von einer lteren Version als 5 40 durchgef hrt wurde da sich mit Version 5 35 die Richtlinienstruktur ge ndert hat Konfigurieren Sie die Richtlinien in diesem Fall nach Ihren Anforderungen neu bertragen Sie nach der Aktualisierung des SafeGuard Management Center auf die aktuelle Version keine vorhandenen POA Benutzer an durch SafeGuard Enterprise gesch tzte Endpoints mit Version 5 5x oder 5 6x Diese w rden in diesem Fall als normale Benutzer behandelt und als Benutzer auf den entsprechenden Endpoints registriert Aktualisierung von Endpoints Dieser Abschnitt gilt sowohl f r zentral verwaltete Endpoints als auch f r Standalone Endpoints Voraussetzungen m Version 5 5x oder h her der SafeGuard Enterprise Verschl sselungssoftware muss installiert sein ltere Versionen m ssen zun chst auf Version 5 50 aktualisiert werden SafeGuard Management Center 6 und SafeGuard Enterprise Server 6 k nnen durch SafeGuard Enterprise gesch tzte Endpoint Computer mit Version 5 5x und h her verwalten Installationsanleitung 13 4 1 Die Aktualisierung der SafeGuard Enterprise Datenbank und des SafeGuard Enterprise Servers auf die aktuelle Version wurde bereits durchgef hrt Die Versionsnummern
132. pts Voraussetzungen m Die Computer m ssen f r die Verschl sselung vorbereitet sein Installationsanleitung m Entscheiden Sie welche Softwarepakete und Features installiert werden sollen So f hren Sie eine zentrale Installation der Verschl sselungssoftware durch 1 Erstellen Sie ein Verzeichnis mit der Bezeichnung Software als zentralen Speicherort f r alle Anwendungen 2 Verwenden Sie Ihre eigenen Tools um das Installationspaket zu erstellen das auf den Endpoint Computern installiert werden soll Das Paket muss Folgendes in der angegebenen Reihenfolge enthalten Hinweis Wenn Sie die Installation ber Active Directory ausf hren verwenden Sie f r jedes Paket ein separates Gruppenrichtlinienobjekt und sortieren Sie die Pakete in der nachfolgend angegebenen Reihenfolge So stellen Sie sicher dass die Installation erfolgreich durchgef hrt werden kann Paket Beschreibung Pr Installationspaket SGxClientPreinstall msi Das obligatorische Paket stattet die Endpoint Computer mit den n tigen Voraussetzungen f r eine erfolgreiche Installation der aktuellen Verschl sselungssoftware aus zum Beispiel mit der ben tigten DLL MSVCR110 dIl Hinweis Wenn dieses Paket nicht installiert ist wird die Installation der Verschl sselungssoftware abgebrochen Verschl sselungssoftware Paket F r eine Liste der verf gbaren Pakete siehe Installationspakete und Features Seite 60 Konfigurationspaket f r Verwende
133. r Migration sind die Endpoints damit ungesch tzt 5 Der Benutzer muss den Endpoint neu starten Die erste Anmeldung erfolgt noch ber Autologon Neue Schl ssel und Zertifikate werden dem Benutzer zugewiesen 6 Der Benutzer muss den Endpoint noch einmal neu starten Melden Sie sich an der Power on Authentication an Die Endpoints werden erst nach dem zweiten Neustart gesch tzt 7 L schen Sie veraltete und nicht mehr verwendete Konfigurationspakete Der durch Sophos SafeGuard gesch tzte Endpoint hat nun eine Verbindung zum SafeGuard Enterprise Server Migration von SGE 4 5 SDE 4 6 Sie k nnen eine direkte Migration von SafeGuard Easy SGE 4 5x und Sophos SafeGuard Disk Encryption 4 6x auf SafeGuard Enterprise 6 durchf hren So migrieren Sie von SGE 4 5x SDE 4 6x E Richten Sie die Management Konsole SafeGuard Management Center ein E Migrieren Sie die Endpoints Dieser Abschnitt beschreibt die notwendigen Schritte und zeigt welche Features migriert werden k nnen und welche Einschr nkungen bestehen 95 SafeGuard Enterprise 14 3 1 14 3 2 14 3 2 1 14 3 2 2 96 Einrichten der Management Konsole Wenn Sie kein SafeGuard Management Center installiert haben installieren Sie die aktuelle Version F r weitere Informationen siehe Einrichten des SafeGuard Management Centers Seite 30 Wenn Sie eine ltere Version des SafeGuard Management Center installiert haben f hren Sie einen Aktulisierung auf die n
134. r im Extras Men auf Internetoptionen Klicken Sie auf Verbindungen und dann auf LAN Einstellungen Deaktivieren Sie in LAN Einstellungen unter Proxyserver das Kontrollk stchen Proxyserver f r LAN verwenden Wenn ein Proxyserver notwendig ist w hlen Sie Proxyserver f r lokale Adressen umgehen Microsoft SQL Server 2005 Einstellungen Wenn Sie Microsoft SQL Server 2005 verwenden nehmen Sie die folgenden Einstellungen vor l 2 3 ffnen Sie Microsoft SQL Server Management Studio Klicken Sie im linken Bereich des Object Explorer auf Sicherheit Klicken Sie mit der rechten Maustaste auf Anmeldungen und klicken Sie auf Neue Anmeldung F gen Sie in Microsoft SQL Server Management Studio folgenden Benutzer Rolle sysadmin hinzu NTAUTHORITY NETWORK SERVICE Testen der Verbindung IIS 6 auf Windows Server 2003 ffnen Sie auf dem Computer auf dem SafeGuard Enterprise Server installiert ist den Internet Information Services IIS Manager Klicken Sie in der Baumstruktur auf Internet Information Services Manager Klicken Sie auf Servername Websites Standard Website berpr fen Sie ob die Web Seite SGNSRV im Ordner Standard Web Seite verf gbar ist Klicken Sie mit der rechten Maustaste auf SGNSRV und klicken Sie auf Durchsuchen Auf der rechten Seite des Fensters wird eine Liste mit m glichen Aktionen angezeigt Installationsanleitung 6 3 4 W hlen Sie aus dieser Liste die Aktion Verbindung pr fen
135. rem Systemadministrator die entsprechende Web Adresse und die erforderlichen Download Anmeldeinformationen 2 Legen Sie die Dateien an einem Speicherort ab auf den Sie f r die Installation Zugriff haben Installationsanleitung 2 5 2 6 2 6 1 Sprache der Benutzeroberfl che Die Spracheinstellungen f r die Installations und Konfigurationsassistenten und die verschiedenen SafeGuard Enterprise Komponenten sind wie folgt Assistenten Die Sprache der Installations und Konfigurationsassistenten der verschiedenen Installationspakete wird automatisch an die Spracheinstellungen des Betriebssystems angepasst Wenn die Betriebssystemsprache f r diese Assistenten nicht verf gbar ist wird automatisch Englisch benutzt SafeGuard Management Center So stellen Sie die Sprache das SafeGuard Management Center ein m Klicken Sie im SafeGuard Management Center auf Extras gt Optionen gt Allgemein Klicken Sie auf Benutzerdefinierte Sprache verwenden und w hlen Sie eine verf gbare Sprache aus Die Sprachen Englisch Deutsch Franz sisch und Japanisch sind verf gbar m Starten Sie das SafeGuard Management Centers neu Er wird in der ausgew hlten Sprache angezeigt Sophos SafeGuard auf Endpoints Die Sprache von Sophos SafeGuard auf Endpoints steuern Sie ber den Richtlinientyp Allgemein im SafeGuard Policy Editor Einstellung Anpassung gt Sprache am Client m Wenn die Sprache des Betriebssystems gew hlt wird richtet sic
136. richten und verwalten Um den Verwaltungsaufwand zu reduzieren k nnen Sie Datenbankkonfigurationen auch in Dateien exportieren und aus Dateien importieren Das SafeGuard Management Center muss nicht notwendigerweise nur auf einem Computer installiert sein Es kann auf jedem Rechner im Netzwerk installiert sein von wo aus auf die Datenbank zugegriffen werden kann Voraussetzungen Folgende Voraussetzungen m ssen erf llt sein E Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen E NET Framework 4 muss installiert sein Das Programm steht in der SafeGuard Enterprise Produktlieferung zur Verf gung E Wenn Sie eine neue SafeGuard Enterprise Datenbank w hrend der SafeGuard Management Center Konfiguration erzeugen wollen ben tigen Sie entsprechende SQL Zugriffsberechtigungen siehe Datenbankzugriffsrechte Seite 22 5 2 Installieren des SafeGuard Management Center 30 1 Starten Sie SGNManangementCenter msi aus dem Installationsordner Ihrer Produktlieferung Ein Assistent f hrt Sie durch die notwendigen Schritte 2 bernehmen Sie die Standardeinstellungen in den n chsten Dialogen wie folgt F hren Sie auf der Installationstyp Seite einen der folgenden Schritte aus E Wenn das SafeGuard Management Center nur eine Datenbank unterst tzen soll w hlen Sie eine Installation vom Typ Typisch aus m Wenn das SafeGuard Management Center mehrere Datenbanken unterst tzen soll Multi Tenancy w hlen Sie eine I
137. rieben E Migration von Sophos Disk Encryption 5 61 verwaltet durch Sophos Enterprise Console 5 1 E Migration von SGE SDE 5 5 oder h her E Migration von SGE SDE 4 x E Migration von Endpoints auf eine andere Lizenz Hinweis F r eine erfolgreiche Migration ist eine g ltige Lizenz erforderlich Migration von Sophos SafeGuard Disk Encryption 5 61 So f hren Sie eine Migration von Sophos Disk Encryption 5 61 verwaltet durch Sophos Enterprise Console 5 1 auf SafeGuard Enterprise 6 durch E Export des SEC Unternehmenszertifikats Klicken Sie in Enterprise Console im Men Extras auf Verschl sselung verwalten und w hlen Sie Unternehmenszertifikat sichern W hlen Sie ein Zielverzeichnis und einen Dateinamen und geben Sie ein Kennwort f r die P12 Datei ein wenn Sie dazu aufgefordert werden E Installieren Sie das SafeGuard Management Center und den SafeGuard Enterprise Server auf separaten Servern E Erstellen Sie im SafeGuard Management Center Konfigurationsassistenten eine neue Datenbank und importieren Sie das Unternehmenszertifikat aus Enterprise Console E Erstellen Sie im SafeGuard Management Center das Endpoint Konfigurationspaket E Installieren Sie das Konfigurationspaket auf den Endpoints Wenn die Endpoints das Paket erhalten haben k nnen sie eine Verbindung zum SafeGuard Enterprise Server herstellen Ab diesem Zeitpunkt kann der Endpoint mit dem SafeGuard Management Center verwaltet werden E Legen Sie im SafeGuard
138. rise Datenbank ein w hlen Sie db_datareader db_datawriter und public Klicken Sie auf OK berpr fung von Einstellungen f r SQL Dienste Named Pipes und TCP IP Diese Beschreibung bezieht sich auf Microsoft Windows Server 2008 R2 und Microsoft SQL Server 2008 Standard oder Express Edition 1 ffnen Sie den SQL Server Konfigurations Manager W hlen Sie in der Navigationsstruktur auf der linken Seite SQL Server Dienste berpr fen Sie ob der Status von SQL Server und SQL Server Browser L uft und der Startmodus auf Automatisch eingestellt ist W hlen Sie in der Navigationsstruktur auf der linken Seite SQL Server Netzwerkkonfiguration Klicken Sie mit der rechten Maustaste auf das Protokoll Named Pipes und klicken Sie auf Aktiviert Klicken Sie mit der rechten Maustaste auf das Protokoll TCP IP und klicken Sie auf Aktiviert Klicken Sie au erdem mit der rechten Maustaste auf das Protokoll TCP IP und klicken Sie auf Eigenschaften Belassen Sie in der Registerkarte IP Adressen unter IPAlll das Feld Dynamische TCP Ports leer Geben Sie im Feld TCP Port 1433 ein Starten Sie die SQL Dienste neu 27 SafeGuard Enterprise 28 4 5 4 6 Erstellen einer Windows Firewall Regel auf Windows Server 2008 R2 Diese Beschreibung bezieht sich auf Microsoft Windows Server 2008 R2 mit Microsoft SQL Server 2008 Standard oder Express Edition Wenn Sie diese Konfiguration verwenden f hren Sie
139. rursacht dass diese Module gemeinsame Komponenten benutzen die derzeit verwendet werden und daher nicht sofort aktualisiert werden k nnen Diese Meldung kann ignoriert werden da die betroffenen Komponenten beim Neustart des Computers ohnehin aktualisiert werden Dieses Verhalten gilt f r die Installation in berwachtem und nicht berwachtem Modus Erzeugen von Konfigurationspaketen Erzeugen Sie je nach erforderlicher Konfiguration die passenden Konfigurationspakete f r die Endpoints im SafeGuard Management Center E F r zentral verwaltete Windows Endpoints Pakete f r Managed Clients E F r Standalone Windows Endpoints Pakete f r Standalone Clients E F r Macs Pakete f r Managed Clients E Wenn Sie Service Accounts f r Aufgaben nach der Installation verwenden Das erste Konfigurationspaket muss auf den Endpoints zusammen mit der Verschl sselungssoftware installiert werden Installationsanleitung 9 4 1 Erzeugen eines Konfigurationspakets f r zentral verwaltete Computer 9 4 2 ver aO N Klicken Sie im SafeGuard Management Center im Extras Men auf Konfigurationspakete W hlen Sie Pakete f r Managed Clients Klicken Sie auf Konfigurationspaket hinzuf gen Geben Sie einen beliebigen Namen f r das Konfigurationspaket ein Ordnen Sie einen prim ren SafeGuard Enterprise Server zu der sekund re Server ist nicht notwendig Falls erforderlich geben Sie eine Richtliniengruppe an die auf die
140. so genannte private Schl sseldatei P12 Diese ist mit einem Kennwort gesichert Das Zertifikat des Haupt Sicherheitsbeauftragten ist dadurch zus tzlich gesch tzt Die private Schl sseldatei wird f r die Wiederherstellung einer besch digten SafeGuard Management Center Installation ben tigt So exportieren Sie das Zertifikat eines Haupt Sicherheitsbeauftragten 1 Geben Sie unter Zertifikat exportieren ein Kennwort f r den privaten Schl ssel P12 Datei ein und best tigen Sie es Das Kennwort muss aus 8 alphanumerischen Zeichen bestehen 2 Klicken Sie auf OK 3 Geben Sie einen Speicherort f r die private Schl sseldatei ein Die private Schl sseldatei wird erzeugt und die Datei wird am angegebenen Speicherort gespeichert lt mso_name p12 35 SafeGuard Enterprise 5 4 6 3 5 4 7 Hinweis Erstellen Sie eine Sicherungskopie des privaten Schl ssels P12 Datei und legen Sie diese direkt nach der Erstkonfiguration an einem sicheren Speicherort ab Andernfalls f hrt ein eventueller PC Absturz zum Verlust des Schl ssels und SafeGuard Enterprise muss neu installiert werden Das gilt f r alle von SafeGuard Enterprise generierten Sicherheitsbeauftragten Zertifikate Weitere Informationen finden Sie in der Administrator Hilfe im Kapitel Unternehmenszertifikat und Master Security Officer Zertifikat exportieren Import des Zertifikats des Haupt Sicherheitsbeauftragten Wenn bereits ein Zertifikat eines Haupt Sicherheits
141. spakete 3 W hlen Sie die Registerkarte Server und klicken Sie auf Diesen Computer zum SGN Server machen 4 W hlen Sie die Registerkarte Server und klicken Sie auf Optionen Das SafeGuard Enterprise Server Configuration Setup wird automatisch gestartet 5 bernehmen Sie in allen folgenden Dialogen die Standardeinstellungen Der SafeGuard Enterprise Server ist installiert Ein Server Konfigurationspaket mit der Bezeichnung lt Server gt msi wird erstellt und direkt auf dem aktuellen Computer installiert Die Serverinformationen werden in der Registerkarte Server angezeigt Sie k nnen zus tzliche Konfigurationsschritte durchf hren Hinweis Wenn Sie ein neues Server Konfigurationspaket MSI auf dem SafeGuard Enterprise Server installieren m chten deinstallieren Sie zun chst das veraltete Konfigurationspaket L schen Sie dar ber hinaus den Local Cache manuell so dass er mit den neuen Konfigurationsdaten z B SSL Einstellungen aktualisiert werden kann Installieren Sie dieses Konfigurationspaket auf dem Server Installationsanleitung 8 2 Registrieren und Konfigurieren des SafeGuard Enterprise Servers f r einen anderen Computer Wenn der SafeGuard Enterprise Server auf einem anderen Computer als das SafeGuard Management Center installiert wurde registrieren und konfigurieren Sie den SafeGuard Enterprise Server 1 Starten Sie das SafeGuard Management Center 2 Klicken Sie im Extras Men auf Konfigurationspakete
142. st BitLockerSupport BitLocker Drive Encryption mit SafeGuard Enterprise Unterst tzung Erfordert Microsoft BitLocker Es kann entweder SectorBasedEncryption W hlen Sie den Installationstyp ODER Angepasst BitLockerSupport installiert werden Installationsanleitung Inhalt F r zentral F r verwaltete Standalone Endpoints Endpoints verf gbar verf gbar GV SecureDataExchange SafeGuard Data Exchange Dateibasierende Verschl sselung von Daten auf Wechselmedien auf allen Plattformen ohne Neuverschl sselung W hlen Sie den Installationstyp Vollst ndig oder Angepasst FileShare Dateibasierende Verschl sselung von Daten auf lokalen Festplatten und Netzwerkfreigaben speziell f r Arbeitsgruppen W hlen Sie den Installationstyp Vollst ndig oder Angepasst CloudStorage Dateibasierende Verschl sselung f r in der Cloud gespeicherte Daten Lokale Kopien von in der Cloud gespeicherten Daten werden stets transparent verschl sselt F r das bertragen von Daten an die Cloud oder den Empfang von Daten aus der Cloud muss anbieterspezifische Software benutzt werden W hlen Sie den Installationstyp Vollst ndig oder Angepasst ConfigurationProtection Kontrolle und Schutz von Endpoint Computern und Ger ten an allen Schnittstellen Schutz von Ports W hlen Sie den Installationstyp Angepasst aus Um SafeGuard Configuration Prote
143. stellen oder Ausw hlen einer Datenbank Legen Sie auf der Seite Datenbankeinstellungen fest ob eine existierende Datenbank oder eine neue Datenbank zum Speichern der Administrationsdaten benutzt werden soll 1 Gehen Sie wie folgt vor m Wenn noch keine Datenbank existiert w hlen Sie Eine neue Datenbank mit folgendem Namen erstellen Geben Sie einen Namen f r die neue Datenbank ein Sie ben tigen dazu die entsprechenden SQL Zugriffsberechtigungen siehe Datenbankzugriffsrechte Seite 22 Um Probleme zu vermeiden sollten in SafeGuard Enterprise Datenbanknamen nur folgende Zeichen verwendet werden Buchstaben A Z a z Zahlen 0 9 Unterstriche _ E Wenn bereits eine Datenbank angelegt wurde oder wenn Sie das SafeGuard Management Center bereits auf einem anderen Computer installiert haben klicken Sie auf Folgende bestehende Datenbank w hlen und w hlen Sie die entsprechende Datenbank aus der Liste aus 2 Klicken Sie auf Weiter Erstellen eines Haupt Sicherheitsbeauftragten Master Security Officer MSO Als Sicherheitsbeauftragter melden Sie sich am SafeGuard Management Center an um SafeGuard Enterprise Richtlinien zu erstellen und die Verschl sselungssoftware f r die Endbenutzer zu konfigurieren Der Haupt Sicherheitsbeauftragte MSO ist der Administrator h chster Ebene mit allen Rechten und einem Zertifikat das nicht abl uft 1 Geben Sie auf der Seite Daten des Sicherheitsbeauftragten unter Haupt Sicherheits
144. sterkarte Verzeichnissicherheit und danach im Bereich Authentifizierung und Zugriffssteuerung auf Bearbeiten Deaktivieren Sie unter Authentifizierter Zugriff das Kontrollk stchen Integrierte Windows Authentifizierung Klicken Sie zweimal auf OK Einstellungen f r den Anwendungspool DefaultAppPool Die Einstellungen sind davon abh ngig wo sich der IIS Server befindet Wenn sich der SQL Server auf dem gleichen Computer wie der IIS Server befindet stellen Sie das eingebaute Local Service Benutzerkonto f r DefaultAppPool ein In der Musterkonfiguration gilt dies f r Server 1 Wenn sich der SQL Server auf einem anderen Computer als der IIS Server befindet stellen Sie das eingebaute Network Service Benutzerkonto f r DefaultAppPool ein In der Musterkonfiguration gilt dies f r Server 2 Andernfalls schl gt die Synchronisierung mit dem Client fehl Installieren von SafeGuard Enterprise Server Nachdem der IIS konfiguriert ist k nnen Sie SafeGuard Enterprise Server auf dem IIS Server installieren Das Installationspaket SGNServer msi finden Sie in der Produktlieferung l Doppelklicken Sie auf dem Server auf dem Sie SafeGuard Enterprise Server installieren m chten auf SGNServer msi Fin Assistent f hrt Sie durch die notwendigen Schritte bernehmen Sie in den folgenden Dialogen die Standardeinstellungen Der Taskplaner wird automatisch mit dem Installationstyp Vollst ndig installiert SafeGuard Enterpris
145. t installieren wollen f hren Sie die folgenden zus tzlichen Schritte durch 1 Geben Sie folgenden Befehl ein cscript SYSTEMDRIVE inetpub adminscripts adsutil vbs SET W3SVC AppPools Enable32bitAppOnWin64 1 2 Registrieren Sie die ben tigte ASP NET Version mit folgendem Kommando SYSTEMROOT Microsoft NET Framework v4 0 aspnet_regiis exe i 3 Um die 32 Bit Version von ASP Net 4 0 zu aktivieren ffnen Sie den Internet Information Services Manager auf dem IIS Server 4 Klicken Sie im IIS Manager auf Server lokaler Computer und dann auf Webdiensterweiterungen 5 Klicken Sie mit der rechten Maustaste auf ASP NET v4 0 32 Bit klicken Sie auf Eigenschaften und setzen Sie den Status auf Zugelassen 6 Klicken Sie auf Anwenden und dann auf OK Spezifisches SafeGuard Benutzerkonto f r IIS 6 W hrend der Konfiguration von IIS 6 wird ein Benutzer angelegt der sich anonym vom Client am SGNSRV Bereich auf dem IIS anmeldet Wenn der SafeGuard Enterprise Server auf dem IIS Server installiert wird wird der individualisierte Benutzer IUSR_SafeGuard angelegt Mit IUSR_SafeGuard k nnen Sie auch dann immer noch den anonymen Zugang zum SGNSRV Bereich nutzen wenn sich der IIS Hostname ndert Installationsanleitung 3 2 1 5 3 2 2 Bei IIS 6 ist der Standardbenutzername JUSR_LMACHINENAME Wenn der IIS Hostname nach der Installation ge ndert wird stimmt er nicht mehr mit dem Standardbenutzernamen berein und der anonyme Zugang
146. t msi IGNORE_OPAL_AUTHORITYCHECK_RESULTS Wenn Sie die Installation mit einem Transform durchf hren m chten Die interne Eigenschaft der msi Datei hat denselben Namen Weitere Informationen zu SafeGuard Enterprise in Kombination mit Opal Festplatten finden Sie in der SafeGuard Enterprise Administratorhilfe und Benutzerhilfe Installationsanleitung 10 10 1 10 2 Einrichten von SafeGuard Configuration Protection SafeGuard Configuration Protection erm glicht es nur bestimmte Schnittstellen und Peripherieger te auf den Endpoints zu erlauben Dies verhindert dass Malware auf den Endpoint gelangt sowie Datenexporte ber unerw nschte Kan le z B WLAN SafeGuard Configuration Protection erkennt und blockiert auch gef hrliche Hardware wie Key Logger Voraussetzungen und Einschr nkungen Beachten Sie folgende Voraussetzungen und Einschr nkungen E Um SafeGuard Configuration Protection auf Windows 7 64 Bit Betriebssystemen einzurichten k nnen Sie die 64 Bit Varianten der Client Installationspakete verwenden E SafeGuard Configuration Protection steht nur f r zentral verwaltete Endpoints SafeGuard Enterprise Clients Managed zur Verf gung SafeGuard Configuration Protection wird f r Standalone Endpoints Sophos SafeGuard Clients Standalone nicht unterst tzt E NET Version 2 1 muss installiert sein Zentrales Installieren von SafeGuard Configuration Protection Wenn Sie SafeGuard C
147. t Ihren Anmeldeinformationen an Starten Sie den Boot Manager und w hlen Sie das gew nschte sekund re Volume als Boot Laufwerk Installationsanleitung 4 Starten Sie den Computer von diesem Volume neu Auf jedes Volume das mit dem definierten Computerschl ssel verschl sselt ist kann zugegriffen werden 81 SafeGuard Enterprise 12 12 1 12 2 82 Replikation der SafeGuard Enterprise Datenbank Zur Optimierung der Performance der SafeGuard Enterprise Datenbank l sst sich diese auf mehrere SQL Server replizieren Dieser Abschnitt beschreibt das Aufsetzen der Replikation f r die SafeGuard Enterprise Datenbank in einer verteilten Umgebung In der Beschreibung wird davon ausgegangen dass Sie bereits Erfahrung mit dem Microsoft SQL Server Replikationsmechanismus haben Hinweis Die Administration sollte nur bei der Master Datenbank erfolgen nicht bei replizierten Datenbanken Mergereplikation Die Mergereplikation ist der Vorgang der Verteilung von Daten vom Verleger an die Abonnenten Dabei k nnen Verleger und Abonnenten unabh ngig voneinander Aktualisierungen vornehmen und danach einen Merge der Aktualisierungen zwischen den Standorten durchf hren Die Mergereplikation erlaubt es verschiedenen Standorten autonom zu arbeiten und sp ter die Aktualisierungen zu einem einzigen einheitlichen Ergebnis zusammenzuf hren Der initiale Snapshot wird auf die Abonnenten angewendet Microsoft SQL Server verfolgt
148. tallation sicher dass die Endpoint Computer zweimal neu gestartet werden um die Power on Authentication zu aktivieren Die Computer m ssen ein drittes Mal neu gestartet werden um eine Sicherung der Kerneldaten bei jedem Windows Start durchzuf hren Stellen Sie sicher dass die Computer vor dem dritten Neustart nicht in den Ruhezustand versetzt werden damit die Sicherung der Kerneldaten erfolgreich abgeschlossen werden kann SafeGuard Enterprise wird auf dem Endpoint Computer eingerichtet Informationen zum Anmeldeverhalten des Computers nach der Installation von SafeGuard Enterprise finden Sie in der SafeGuard Enterprise Benutzerhilfe Zentrale Installation der Verschl sselungssoftware Durch die zentrale Installation der Verschl sselungssoftware wird eine standardisierte Installation auf mehreren Endpoints erreicht Hinweis Die Installations und Konfigurationspakete k nnen im Rahmen einer zentralen Softwareverteilung nur einem Endpoint zugewiesen werden nicht aber einem Benutzer So f hren Sie eine zentrale Installation durch E Pr fen Sie die verf gbaren Installationspakete und Features f r zentral verwaltete Endpoints und Standalone Endpoints siehe Installationspakete und Features Seite 60 Pr fen Sie die Kommandozeilenoptionen Pr fen Sie die Liste mit Feature Parametern f r die ADDLOCAL Befehlszeilenoption Pr fen Sie die Beispielbefehle Bereiten Sie das Installationsskript vor Vorbereiten des Installationsskri
149. tarten der Migration Teilweise Die Anmeldung per Fingerabdruck kann in SafeGuard Enterprise weiterhin benutzt werden Die Hardware sowie die Software f r den Fingerabdruck Leser muss von SafeGuard Enterprise unterst tzt werden Au erdem m ssen die Benutzerdaten erneut ausgerollt werden Weitere Informationen zur Anmeldung per Fingerabdruck finden Sie in der Benutzerhilfe Hinweis Die Installation kann auf einem laufenden SGE SDE System durchgef hrt werden Verschl sselte Festplatten oder Volumes m ssen nicht vorab entschl sselt werden Die Installation sollte am besten zentral im unbeaufsichtigten Modus erfolgen Die lokale Installation ber das Setup Verzeichnis wird nicht empfohlen 99 SafeGuard Enterprise 14 3 2 6 100 Verwenden Sie das SafeGuard Device Protection Paket SGNClient msi aus dem Install Verzeichnis mit dem Standard Funktionsumfang Das SafeGuard Paket SGNClient_withoutDE msi kann nicht f r die Migration verwendet werden So migrieren Sie die Endpoints i Doppelklicken Sie im SafeGuard Easy Sophos SafeGuard Disk Encryption Programmordner des zu migrierenden Endpoint auf WIZLDR exe Der Migrationsassistent wird gestartet Geben Sie im Migrationsassistenten das SYSTEM Kennwort ein und klicken Sie auf Weiter Klicken Sie im Zielordner auf Weiter und dann auf Beenden Die Migrations Konfigurationsdatei SGEMIG cfg wird erzeugt Benennen Sie diese Datei im Windows Explorer von SGEMIG cf
150. ttp www microsoft com downloads Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen So aktualisieren Sie den SafeGuard Enterprise Server 1 Installieren Sie die neueste Version des SafeGuard Enterprise Server Installationspakets SafeGuard Enterprise Server wurde auf die neueste Version aktualisiert Er wird automatisch neu gestartet und kann benutzt werden Aktualisieren des SafeGuard Management Centers Voraussetzungen SafeGuard Management Center 5 50 oder eine neuere Version muss installiert sein ltere Versionen als 5 50 m ssen zun chst auf SafeGuard Management Center 5 50 aktualisiert werden Die Aktualisierung der SafeGuard Enterprise Datenbank und des SafeGuard Enterprise Servers auf die aktuelle Version wurde bereits durchgef hrt Die Versionsnummern der SafeGuard Enterprise Datenbank des SafeGuard Enterprise Server und des SafeGuard Management Center m ssen bereinstimmen Das SafeGuard Management Center 6 kann durch SafeGuard Enterprise gesch tzte Endpoints mit Version 5 5x und h her verwalten NET Framework 4 ist erforderlich Dies muss vor der Aktualisierung installiert werden Das Programm steht in der SafeGuard Enterprise Produktlieferung zur Verf gung m Stellen Sie sicher dass Sie ber Windows Administratorrechte verf gen m Wenn Sie eine Aktualisierung von SafeGuard Enterprise 5 x auf SafeGuard Enterprise 6 durchf hren m ssen Sie manuell eine Standard Evaluierungslize
151. ue Dom nen Arbeitsgruppen anlegen an denen sich der Benutzer Computer anmelden kann Sie k nnen entweder nur eine von beiden M glichkeiten anwenden oder die beiden M glichkeiten mischen Zum Beispiel k nnen Sie ein Active Directory AD ganz oder teilweise importieren und weitere Organisationseinheiten OU manuell anlegen Egal ob die Organisationsstruktur importiert oder manuell angelegt wird die Richtlinienzuordnung kann in beiden F llen erfolgen Hinweis Beachten Sie dass bei der Kombination beider Verfahren die manuell angelegten Organisationseinheiten nicht im AD abgebildet werden Wenn in SafeGuard Enterprise angelegte Organisationseinheiten im AD abgebildet werden sollen so m ssen Sie diese separat zum AD hinzuf gen Hinweis Weitere Informationen zum Importieren oder Anlegen einer Organisationsstruktur finden Sie in der Administrator Hilfe im Kapitel Aufbau der Organisationsstruktur Importieren der Lizenzdatei SafeGuard Enterprise hat einen integrierten Lizenzz hler Die Installation umfasst standardm ig f r jede SafeGuard Enterprise Komponente eine festgelegte Anzahl von 5 Lizenzen Dadurch soll eine problemlose Evaluierung von anderen SafeGuard Enterprise Komponenten ohne Nebeneffekte gew hrleistet werden Beim Kauf von SafeGuard Enterprise enth lt jeder Kunde eine individuelle Lizenzdatei f r das jeweilige Unternehmen die in das SafeGuard Management Center importiert werden muss Weitere Informationen
152. umgebung an um das Datenverlustrisiko zu reduzieren E Aktualisieren Sie ltere Versionen von SafeGuard Easy zuerst auf die Version 4 50 E Lassen Sie die Computer w hrend des gesamten Migrationsprozesses eingeschaltet 97 SafeGuard Enterprise E Der Administrator sollte die Windows Anmeldeinformationen der Benutzer bereithalten falls diese nach der erfolgreichen Migration ihre Windows Kennw rter vergessen haben Benutzer ben tigen ein g ltiges Windows Konto und ein Kennwort Falls die Benutzer ihre Windows Kennw rter nicht wissen weil sie Secure Automatic Logon f r die Windows Anmeldung verwendet haben muss das Windows Benutzerkennwort vor der Migration zur ckgesetzt werden Das neue Kennwort muss den Benutzern mitgeteilt werden Hinweis Wenn das Windows Kennwort nicht bekannt ist ist eine Anmeldung an SafeGuard Enterprise nicht m glich In diesem Fall wird die durchgehende Anmeldung an Windows zur ckgewiesen Es besteht die Gefahr des Datenverlusts da Benutzer nicht in der Lage sind auf ihre Computer zuzugreifen 14 3 2 4 Welche Funktionalit t wird migriert Die folgende Tabelle zeigt welche Funktionalit t migriert wird und wie diese in SafeGuard Enterprise abgebildet wird SafeGuard Easy Sophos SafeGuard Disk Encryption Migration SafeGuard Enterprise Verschl sselte Festplatten Ja Die Festplattenschl ssel werden durch die Power on Authentication gesch tzt Sie sind somit nicht gef hrdet Wenn der Modus
153. uppe erzeugen oder benutzen Sie die Gruppe die Sie f r die Entschl sselung von Daten angelegt haben Weisen Sie die Richtlinie f r die Deinstallation dem Dom nenknoten dieser Gruppe zu und aktivieren Sie sie Stellen Sie in der Registerkarte Richtlinien des Dom nenknotens sicher dass die Priorit t auf 1 gesetzt und die Einstellung Kein berschreiben aktiviert ist Stellen Sie ber die Registerkarte Aktivierung sicher dass sich die Richtlinie nur auf Mitglieder dieser Gruppe auswirkt F gen Sie die Endpoints bei denen die Deinstallation ausgef hrt werden soll zur Gruppe hinzu Wenden Sie zum Starten der Deinstallation eine der folgenden Methoden an E Um eine lokale Deinstallation auf dem Endpoint durchzuf hren synchronisieren Sie diesen mit dem SafeGuard Enterprise Server Damit stellen Sie sicher dass die Richtlinienaktualisierung auf dem Computer eingegangen und aktiv ist W hlen Sie dann Start gt Programme gt Systemsteuerung gt Software gt Sophos SafeGuard Client gt Entfernen E Verwenden Sie f r eine zentrale Deinstallation einen Software Verteilungsmechanismus Ihrer Wahl Stellen Sie sicher dass alle erforderlichen Daten vor dem Starten der Deinstallation korrekt entschl sselt wurden 105 SafeGuard Enterprise 16 Technischer Support Technischen Support zu Sophos Produkten k nnen Sie wie folgt abrufen E Rufen Sie das SophosTalk Forum unter http community sophos com auf und suchen Sie na
154. uration Protection zu installieren aktivieren Sie dieses Feature UND installieren Sie ein zus tzliches Configuration Installationsanleitung Inhalt F r zentral F r verwaltete Standalone Endpoints Endpoints verf gbar verf gbar Protection Paket siehe Einrichten von SafeGuard Configuration Protection Seite 73 SGNCPClient msi SGNCPClient_x64 msi SafeGuard Configuration Protection Paket Kontrolle und Schutz von Endpoint Computern und Ger ten an allen Schnittstellen Schutz von Ports Das 64 Bit Paket ist f r Windows 7 64 Bit verf gbar SafeGuard Runtime Paket Erm glicht das Starten des Endpoint von einem sekund ren Boot Laufwerk erm glicht wenn mehrere Betriebssysteme installiert sind und der den Zugriff auf diese Laufwerke erlaubt wenn diese durch die prim re SafeGuard Enterprise Installation verschl sselt sind 9 5 2 Lokales Installieren der Verschl sselungssoftware Voraussetzungen m Die Computer m ssen f r die Verschl sselung vorbereitet sein siehe Vorbereiten der Endpoints f r die Verschl sselung Seite 54 m Entscheiden Sie welches Verschl sselungspaket und welche Features installiert werden sollen So f hren Sie eine lokale Installation der Verschl sselungssoftware durch 1 Melden Sie sich an dem Computer als Administrator an 2 Installieren Sie das Pr Installationspaket SGxClientPreinstall msi das den Endpoint Computer m
155. uration Protection Seite 73 Migration des Betriebssystems Wenn SafeGuard Enterprise installiert ist ist es nur m glich die Service Pack Version Ihres Betriebssystems zu aktualisieren Sie k nnen z B ein neues Windows XP Service Pack installieren Es ist jedoch nicht m glich von einer Betriebssystem Serie auf eine andere zu migrieren Sie k nnen z B nicht von Windows XP auf Windows 7 umstellen wenn SafeGuard Enterprise installiert ist Installationsanleitung 15 Deinstallation berblick Dieser Abschnitt behandelt folgende Themen Mm Verhindern der Deinstallation der Sophos SafeGuard Verschl sselungssoftware E Best Practices f r die Deinstallation E Deinstallation der Sophos SafeGuard Verschl sselungssoftware 15 1 Best Practices f r die Deinstallation Wenn die SafeGuard Enterprise Verschl sselungssoftware auf demselben Computer wie das SafeGuard Management Center installiert ist f hren Sie den folgende Deinstallationsvorgang durch damit Sie weiterhin eine der beiden Komponenten benutzen k nnen 1 Deinstallieren Sie das SafeGuard Management Center 2 Deinstallieren Sie das Konfigurationspaket 3 Deinstallieren Sie die Verschl sselungssoftware 4 Installieren Sie das Paket das Sie weiterhin benutzen m chten neu 15 2 Deinstallation der SafeGuard Enterprise Verschl sselungssoftware F hren Sie zum Deinstallieren der SafeGuard Enterprise Verschl sselungssoftware folgende Schritte durch E
156. us Installieren Sie das aktuelle Sophos SafeGuard Verschl sselungspaket auf dem Computer entweder SGNClient msi oder SGNClient_withoutDE msi Um SafeGuard Configuration Protection auf Windows 7 64 Bit Betriebssystemen einzurichten k nnen Sie die 64 Bit Varianten der Verschl sselungspakete verwenden Starten Sie den Computer nach dem Abschluss der Installation nicht neu Entfernen Sie unter Software das SafeGuard Configuration Protection Paket 4 Starten Sie den Endpoint Computer neu 5 Installieren Sie das aktuelle SafeGuard Configuration Protection Paket SGNCPClient msi SGNCPClient_x64 msi 77 SafeGuard Enterprise 6 Starten Sie den Endpoint Computer neu 7 Ordnen Sie im SafeGuard Management Center die relevante Configuration Protection Richtlinie dem Endpoint Computer erneut zu um die Funktion zu aktivieren SafeGuard Configuration Protection wird auf dem Endpoint Computer aktualisiert 78 Installationsanleitung 11 11 1 11 2 Einrichten von SafeGuard Enterprise Runtime Die SafeGuard Enterprise Verschl sselungssoftware kann auch dann zum Schutz der Daten installiert werden wenn mehrere Betriebssysteme auf separaten Volumes der Endpoint Festplatte Runtime System installiert sind SafeGuard Enterprise Runtime stellt folgende Sachverhalte sicher wenn die Software auf Volumes mit einer zus tzlichen Windows Installation installiert wird E Die Windows Installation die sich auf diesen Volumes bef
157. wird u a gepr ft ob sich die Festplatte als OPAL Festplatte identifiziert ob Kommunikationseinstellungen korrekt sind und ob alle f r SafeGuard Enterprise erforderlichen Opal Features von der Festplatte unterst tzt werden E Sicherheitspr fungen Mit Sicherheitspr fungen wird sichergestellt dass nur SafeGuard Enterprise Benutzer auf der Festplatte registriert sind und dass nur SafeGuard Enterprise Benutzer die Schl ssel f r die software basierende Verschl sselung von nicht selbst verschl sselnden Laufwerken haben Wird bei der Installation festgestellt dass andere Benutzer registriert sind versucht SafeGuard Enterprise automatisch diese zu deaktivieren Diese Funktionalit t wird durch den Opal Standard gefordert Ausgenommen sind hier einige wenige Standard Authorities die f r den Betrieb eines Opal Systems erforderlich sind 71 SafeGuard Enterprise 72 Hinweis Diese Sicherheitspr fungen werden wiederholt wenn nach einer erfolgreichen Installation im Opal Modus eine Verschl sselungsrichtlinie f r die Festplatte angewendet wird Schlagen die Sicherheitspr fungen in diesem Fall fehl so haben inzwischen au erhalb von SafeGuard Enterprise Eingriffe in die Laufwerksverwaltung stattgefunden In diesem Fall verweigert SafeGuard Enterprise den Zugriff auf das Laufwerk und es wird eine entsprechende Meldung angezeigt Sollten einige dieser Pr fungen ohne Recovery M glichkeit fehlschlagen so wird f r die Installati
158. zuf gen Assistenten Folgendes E Das Administratorenkonto hat ein sicheres Kennwort E Die Netzwerkeinstellungen z B IP Adressen sind konfiguriert E Die neuesten Windows Sicherheits Updates sind installiert 4 W hlen Sie Rollen ausw hlen auf der rechten Seite und dann Webserver IIS Klicken Sie auf der folgenden Seite auf Erforderliche Features hinzuf gen Seite Webserver IIS ist im Navigationsbereich des Rollen hinzuf gen Assistenten aufgelistet 5 Klicken Sie auf Webserver IIS und dann auf Rollendienste Behalten Sie die Standard Rollendienste bei 15 SafeGuard Enterprise 6 W hlen Sie auf der rechten Seite zus tzlich Folgendes ASP NET dadurch werden alle notwendigen untergeordneten Rollendienste ebenfalls ausgew hlt 7 W hlen Sie IIS Management Scripts and Tools Dies ist f r die richtige IIS 7 Konfiguration erforderlich 8 Klicken Sie auf Weiter dann auf Installieren und dann auf Schlie en IIS wird mit einer Standardkonfiguration zum Hosten von ASP NET installiert 9 berpr fen Sie mit http lt server name gt ob die Web Seite korrekt angezeigt wird Weitere Informationen finden Sie unter http support microsoft com 3 2 2 1 Pr fen der NET Framework Registrierung bei IIS 7 NET Framework Version 4 ist erforderlich 1 Um zu berpr fen ob NET Framework installiert und mit der korrekten Version registriert ist siehe Pr fen der NET Framework Installation und Registrierung Seit
Download Pdf Manuals
Related Search