Home

SafeGuard Enterprise Administrator-Hilfe

image

Contents

1. 1 1 1 1 1 Anmeldung an das SafeGuard Management Center Bei der Installation und Konfiguration von SafeGuard Enterprise werden alle notwendigen Konfigurationseinstellungen ausgef hrt Au erdem wird ein Konto f r den Haupt Sicherheitsbeauftragten erstellt Dieses Konto wird bei der ersten Anmeldung an das SafeGuard Management Center ben tigt Um das Management Center zu starten ben tigt der Benutzer das Kennwort f r den Zertifikatsspeicher sowie den privaten Schl ssel des Zertifikats Weitere Informationen hierzu finden Sie im Installationshandbuch Die Anmeldung richtet sich danach ob Sie das SafeGuard Management Center im Single Tenancy Modus oder im Multi Tenancy Modus einsetzen Anmeldung im Single Tenancy Modus 1 Starten Sie das SafeGuard Management Center ber das Start Men Ein Anmeldedialog wird angezeigt Y SafeGuard Management Center x Bitte w hlen Sie einen Sicherheitsbeauftragten zur Authentisierung mso M Passwort f r Zertifikatsspeicher Token PIN Abbrechen 2 Melden Sie sich als Haupt Sicherheitsbeauftragter an und geben Sie das Zertifikatsspeicherkennwort ein das w hrend der Konfiguration festgelegt wurde Klicken Sie auf OK Hinweis Wenn Sie ein falsches Kennwort eingeben wird eine Fehlermeldung angezeigt und die n chste Anmeldung wird verz gert Diese Verz gerung wird mit jedem fehlgeschlagenen Anmeldeversuch gr er Nicht erfolgreiche Anmeldeversuche werden pro
2. HKEY_LOCAL_MACHINE SOFTWARE Utimaco SafeGuard Enterprise DWORD DisableLogEventChaining 0 SafeGuard Enterprise 5 50 Administrator Hilfe 4 Starten Sie den Webservice neu Die Verkettung ist wieder aktiviert Um die Verkettung wieder zu deaktivieren setzen Sie den Registry Key auf 1 26 8 Integrit t protokollierter Ereignisse pr fen Voraussetzung F r die berpr fung der Integrit t von protokollierten Ereignissen muss die Verkettung der Ereignisse in der EVENT Tabelle aktiviert sein So pr fen Sie die Integrit t der in der SafeGuard Enterprise Ereignisanzeige angezeigten Ereignisse Sie befinden sich im ge ffneten Management Center im Bereich Berichte W hlen Sie in der SafeGuard Management Center Men leiste Aktionen gt Integrit t pr fen oder klicken Sie in der Symbolleiste auf das Symbol Integrit t von protokollierten Ereignissen pr fen Eine Meldung liefert die Informationen zur Integrit t der protokollierten Ereignisse Hinweis Wenn die Verkettung der Ereignisse deaktiviert ist wird bei der berpr fung der Integrit t protokollierter Ereignisse im SafeGuard Management Center ein Fehler ausgegeben 26 9 Ausgew hlte oder alle Ereignisse l schen So l schen Sie ausgew hlte Ereignisse aus dem Ereignisprotokoll Sie befinden sich im ge ffneten Management Center im Bereich Berichte 1 Markieren Sie in der Ereignisanzeige die Ereignisse die gel scht werden sollen 2 Um ausgew
3. 4 Klicken Sie auf das Speichern Symbol in der Symbolleiste um Ihre nderungen in der Datenbank zu speichern 7 14 Sicherheitsbeauftragte in der Baumstruktur anordnen Sicherheitsbeauftragte lassen sich im Navigationsbereich des SafeGuard Management Center gem der Organisationsstruktur Ihres Unternehmens hierarchisch anordnen Die Baumstruktur l sst sich f r alle Sicherheitsbeauftragten au er f r Haupt Sicherheitsbeauftragte ordnen Haupt Sicherheitsbeauftragte werden in einer nicht hierarchischen Liste unter dem Haupt Sicherheitsbeauftragten Knoten angezeigt Der Sicherheitsbeauftragten Knoten enth lt eine Baumstruktur in der jeder Knoten einen Sicherheitsbeauftragten repr sentiert Diese hierarchische Anordnung gibt jedoch keine Hierarchie in Bezug auf Rechte und Rollen wieder Voraussetzung Um einen Sicherheitsbeauftragten in der Baumstruktur zu verschieben ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und zu modifizieren Gehen Sie wie folgt vor 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Ziehen Sie im den gew nschten Sicherheitsbeauftragten im Navigationsfenster per Drag amp Drop zum gew nschten Knoten Alle dem Sicherheitsbeauftragten untergeordneten Sicherheitsbeauftragte werden ebenfalls verschoben 60 SafeGuard Enterprise 5 50 Administrator Hilfe 61 7 15 Schneller Wechsel zwischen Sicherheitsbeauftragten Siek nnen das SafeGuard Management Ce
4. als Platzhalter m glich z B GUID xml Hinweis Wenn ein Computer umbenannt wird wird er im Local Cache nicht automatisch entsprechend umbenannt Im Local Cache werden alle Schl ssel Richtlinien Benutzertifikate und Audit Dateien gespeichert F r die Datei Generierung muss der neue Computername daher aus dem Local Cache entfernt werden so dass nur der vorige Name verbleibt auch wenn der Computer unter Windows umbenannt werden 268 SafeGuard Enterprise 5 50 Administrator Hilfe 23 10 1 Recovery Aktionen f r Sophos SafeGuard Clients Standalone 269 F r einen Endpoint Computer kann in den folgenden Situationen ein Challenge Response Verfahren gestartet werden m Der Benutzer hat sein Kennwort auf POA Ebene zu oft falsch eingegeben und der Computer wurde gesperrt m Der Benutzer hat das Kennwort vergessen m Ein besch digter Local Cache muss repariert werden F r einen Standalone Computer steht kein Benutzerschl ssel in der Datenbank zur Verf gung Somit ist in einem Challenge Response Verfahren nur die Recovery Aktion SGN Client ohne Benutzeranmeldung booten Das Challenge Response Verfahrens erm glicht das Booten des Computers durch die Power on Authentication Der Benutzer kann sich dann an Windows anmelden Der Benutzer hat das Kennwort auf POA Ebene zu oft falsch eingegeben und der Computer wurde gesperrt Der Computer ist gesperrt und der Benutzer wird dazu aufgefordert ein Challenge Response V
5. 2 Klicken Sie auf das Symbol Anmeldeinformationen des Benutzers abrufen und geben Sie die Benutzer PIN f r den Token ein Die Daten die sich auf dem Token befinden werden angezeigt 3 Token Smartcard Daten l schen Als Sicherheitsbeauftragter k nnen Sie die Daten die ber SafeGuard Enterprise auf den Token geschrieben wurden vom Token entfernen Voraussetzung Der Token muss eingesteckt sein Sie befinden sich im ge ffneten Management Center im Bereich Token 1 Markieren Sie links im Navigationsbereich unter Token Slots den gew nschten Token 2 Klicken Sie auf das Symbol Token l schen in der SafeGuard Management Center Symbolleiste 3 Geben Sie die dem Token zugeordnete SO PIN ein und best tigen Sie mit OK Es werden alle Daten entfernt die von SafeGuard Enterprise verwaltet werden Zertifikate verbleiben auf dem Token SafeGuard Enterprise 5 50 Administrator Hilfe Die Benutzer PIN wird auf 1234 zur ckgesetzt Auf diese Weise gel schte Token werden automatisch aus der Liste der ausgestellten Token entfernt 18 11 4 Token oder Smartcard sperren Als Sicherheitsbeauftragter k nnen Sie Token sperren Dies ist z B sinnvoll wenn ein Token verloren gegangen ist Sie befinden sich im ge ffneten Management Center im Bereich Token 1 Markieren Sie links im Navigationsbereich Ausgestellte Token 2 Markieren Sie den Token der gesperrt werden soll und klicken Sie auf das Symbol Token sperren in der Sa
6. Bitte rufen Sie Ihren Support unter der Telefonnummer 01234 56789 an Bevor Sie einen Text angeben k nnen muss dieser als Textdatei im Richtlinien Navigationsbereich unter Informationstext erstellt werden BILDER Hintergrundbild in der POA Hintergrund Bild in der POA niedrige Aufl sung Voraussetzung Neue Bilder m ssen im Management Center im Richtlinien Navigationsbereich unter Bilder registriert werden Erst nach der Registrierung sind die Bilder verf gbar Unterst tzte Formate BMP PNG JPEG Tauscht das blaue Hintergrund Bitmap mit SafeGuard Enterprise Design gegen ein selbstgew hltes aus Kunden k nnen hier z B das Unternehmens Logo in der POA verwenden Maximale Dateigr e f r alle Hintergrundbilder 500 KB Aufl sung 1024x768 VESA Modus Farben keine Einschr nkung Aufl sung 640x480 VGA Modus Farben 16 Farben SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinieneinstellung Erkl rung Tauscht das SafeGuard Enterprise Bitmap aus das im Anmeldedialog der POA angezeigt wird Hier kann zum Beispiel das Firmenlogo angezeigt werden Maximale Dateigr e 100 KB Anmeldebild in der POA Aufl sung 413x140 Pixel Farben keine Finschr nkung Anmeldebild in der POA Aufl sung 413x140 Pixel niedrige Aufl sung Farben 16 feGuard Logon WS XP DE 01 UTIMACO EDU SOPHOS Benutzername Administrator Dom ne UTIMACO z 116 SafeGuard
7. E Mail G ltig von 12 10 2009 bis 12 10 2108 w Token Anmeldung Ohne Token O Optional O zwingend erforderlich Zertifikat al Erzeugen Importieren Rollen Al verwaltungsbeauftragter C Sicherheitsbeauftragter C Helpdesk Beauftragter C Audit Beauftragter C Recovery Beauftragter 52 SafeGuard Enterprise 5 50 Administrator Hilfe 53 Eingabefeld Kontrollk stchen Aktiviert Kurzname Beschreibung Hier kann der Beauftragte bis auf Weiteres deaktiviert werden Das bedeutet dass er zwar im System existiert sich aber noch nicht an das Management Center anmelden kann Erst wenn er durch einen anderen Beauftragten aktiviert wird kann er sich anmelden und seine administrativen T tigkeiten ausf hren Hier wird der Name des Beauftragten angegeben wie er in den von SafeGuard Enterprise erzeugten Zertifikaten unter cn eingetragen wird Unter diesem Namen wird er auch im Navigationsfenster des Management Centers angezeigt Dieser Name muss eindeutig sein Maximalwert 256 Zeichen Beschreibung Mobiltelefon Optional Maximalwert 256 Zeichen Optional Maximalwert 128 Zeichen E Mail Optional Maximalwert 256 Zeichen G ltig von bis Hier wird angegeben ab und bis wann Datum sich der Beauftragte am Management Center anmelden darf Token Anmeldung Die Anmeldung kann auf folgende Art erfolgen Ohne Token Der Beauftragte darf sich nicht mit einem T
8. 3 Klicken Sie auf das Doppelpfeil Symbol Aktualisieren in der Symbolleiste Die Rolle ist dem Sicherheitsbeauftragten nun zugewiesen Sicherheitsbeauftragten und Rolleneigenschaften einsehen Voraussetzung Um sich einen berblick ber die Sicherheitsbeauftragteneigenschaften oder die Rollenzuordnungen anzeigen zu lassen ben tigen Sie das Recht zum Einsehen von Sicherheitsbeauftragten und Sicherheitsbeauftragtenrollen Gehen Sie wie folgt vor 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Doppelklicken Sie im Navigationsbereich auf der linken Seite auf dem Objekt zu dem Sie einen berblick erhalten m chten Die im Aktionsbereich angezeigten Informationen richten sich nach dem ausgew hlten Objekt Eigenschaften f r den Haupt Sicherheitsbeauftragten anzeigen Die allgemeinen Informationen sowie die nderungsinformationen f r den Haupt Sicherheitsbeauftragten werden angezeigt 44 SafeGuard Enterprise 5 50 Administrator Hilfe 7 4 2 7 4 3 7 4 4 7 4 5 45 Eigenschaften f r Sicherheitsbeauftragte anzeigen Die allgemeinen Informationen sowie die nderungsinformationen f r den Sicherheitsbeauftragten werden angezeigt 1 W hlen Sie unter Eigenschaften die Registerkarte Aktionen Diese Registerkarte bietet eine Zusammenfassung der zul ssigen Aktionen sowie der Rollen die dem Sicherheitsbeauftragten zugewiesen sind Rechte und Rollen von Sicherheitsbeauftragten anzeige
9. Detect devices connected through the following ports VW use W Firewire WM PCMCIA IV PCI Internal Storage IV wifi More Filters More r Output Options Report name Reporti C Program Files Utimaco SafeGuardP Browse Reports directory Gathering all information This may take several minutes Checked 0 Computers Got information from 0 Computers A Write data to file C Program Files Utimaco SafeGuard PortAuditorkAudits R Audit finished successfully r Audit Results Summary Report Load Report Reporti Total Connected Total Computers Accessed Computers Successfully Audited Protected by Safend USB Devices PCYPCMCIA Devices FireWire Devices Internal Storage WiFi Networks Storage Devices Communication Adapters Export Results Exit 166 SafeGuard Enterprise Administrator Hilfe 16 3 3 Schritt 2 Richtlinie planen 167 Bevor Sie mit der Definition der Richtlinie beginnen sollten Sie die f r Ihr Unternehmen optimal geeignete Richtlinie entwerfen Die optimale SafeGuard Configuration Protection Richtlinie f r Ihr Unternehmen erf llt Ihre Sicherheitsanforderungen und entspricht gleichzeitig den Anforderungen der Personen die Zugang zu den Computern im Unternehmen ber die Ports ben tigen Im ersten Schritt sollte festgelegt werden f r welche Arten von Organisationseinheiten Organizational Units OUs und Gruppen
10. Dom ne bekannt Dom nen Computer darin vorhanden Dom ne nicht bekannt Anzeige im Management Center unter Arbeitsgruppe bereits vorhanden unter Arbeitsgruppe Automatisch registriert neu hinzugef gt Achtung In diesem Fall m ssen Sie pr fen ob der Arbeitsgruppen Computer zweimal in der Arbeitsgruppe vorhanden ist Zur Unterscheidung identischer Computer gibt es unter Eigenschaften das Feld Beschreibung Wir empfehlen jedoch den Computer aus dem Verzeichnis Automatisch registriert der Arbeitsgruppe manuell zu entfernen unter Arbeitsgruppe Automatisch registriert neu hinzugef gt unter Stammverzeichnis Automatisch registriert bereits vorhanden unter Stammverzeichnis Automatisch registriert neu hinzugef gt unter Dom ne bereits vorhanden unter Stammverzeichnis Automatisch registriert neu hinzugef gt Dom ne noch nicht synchronisiert unter Dom ne Automatisch registriert neu hinzugef gt SafeGuard Enterprise 5 50 Administrator Hilfe 3 2 Anwendungsbeispiele f r Auto Registrierung Im Folgenden finden Sie zwei Anwendungsbeispiele f r das Verhalten von automatisch registrierten Objekten Beispiel 1 Benutzer Computer au erhalb eines Active Directory verwalten In einem Unternehmen m ssen nicht zwangsl ufig alle Benutzer Computer Teil eines Active Directory AD sein z B lokale Benutzer Ein Unternehmen hat m glicherweise nur einen oder wenige Comput
11. Sophos SafeGuard SOPHOS Sprachauswahl Verschl sselte Laufwerke Deutsch 1031 X f Laufwerk verschl sselt mit Import mit Datei Abbrechen Fertig 3 Suchen Sie nach der Schl ssel ID des Laufwerks auf das Sie zugreifen m chten Die Schl ssel ID wird sp ter abgefragt Im n chsten Schritt importieren Sie den virtuellen Client in das Key Recovery Tool 23 9 3 Virtuellen Client in das KeyRecovery Tool importieren Voraussetzung m Der Computer wurde von der Recovery Disk gebootet m Stellen Sie sicher dass das USB Laufwerk mit der Datei recoverytoken tok erfolgreich bereitgestellt wurde 1 W hlen Sie im Windows PE Dateimanager das Laufwerk aus auf dem der virtuelle Client gespeichert ist Die Datei recoverytoken tok wird auf der rechten Seite angezeigt 260 SafeGuard Enterprise 5 50 Administrator Hilfe 2 W hlen Sie die Datei recoverytoken tok aus und ziehen Sie sie auf das Laufwerk auf dem sich das KeyRecovery Tool befindet Legen Sie die Datei hier im Verzeichnis Tools SGN Tools ab De Floppy Disk Drive A i Eg System C Elsa Local Disk D Program Files ProgramData BE Restore KeyRecovery 261 SafeGuard Enterprise 5 50 Administrator Hilfe 23 9 4 Challenge im KeyRecovery Tool starten 1 Klicken Sie unten im Bereich Quick Launch des Dateimanagers auf das KeyRecovery Symbol um das KeyRecovery Tool zu ffnen Das Key Recover
12. 1504 Baledi REPORT kornea richt an den Sarver gasaridet wurden Gr Kommunikation walz0Os 3 54 51 PM 1504 Befehl REPORT konnte richt an den Server gesendet werden Gr Kommunikation EIER 1504 Befehl LMA_ADOUSER borrie nicht an den Server gesendet wer Kormmsikalicn IHRODS IAAI PM 1504 Befehl UMA_ADOUSER konnte niht an den Sarver gesendet wen Kommunikation 5 JAIO 3 53 24 PM 100 von 782 292 SafeGuard Enterprise 5 50 Administrator Hilfe Die einzelnen Spalten zeigen folgende Informationen zu den protokollierten Ereignissen Spalte Erkl rung Ebene Symbol Zeigt ein Symbol das die Klassifizierung des Ereignisses z B Warnung Fehler angibt Ereignis ID Zeigt eine Nummer zur Identifizierung des Ereignisses Ereignis Zeigt den Ereignistext d h eine Beschreibung des Ereignisses Kategorie Zeigt die Klassifizierung des Ereignisses durch die Quelle z B Verschl sselung Anmeldung System Anwendung Zeigt den Bereich der Software der das Ereignis bermittelt hat z B SGMAuth SGBaseENc SGMAS Computer Zeigt den Namen des Computers auf dem das protokollierte Ereignis aufgetreten ist Computerdom ne Zeigt die Dom ne des Computers auf dem das protokollierte Ereignis aufgetreten ist Benutzer Zeigt den Benutzer der beim Auftreten des Ereignisses angemeldet war Benutzerdom ne Zeigt die Dom ne des Benutzers der beim Auftreten des Ereignisses angemeldet war Zeitpunkt der Zeigt Systemdatum und
13. 4026531844 Kein lt DATAROOT gt Abschnitt gefunden XML 4026531845 XML Tag nicht gefunden 4026531847 printtree Fehler SafeGuard Enterprise 5 50 Administrator Hilfe 31 Technischer Support Technischen Support zu Sophos Produkten k nnen Sie wie folgt abrufen Rufen Sie das SophosTalk Forum unter http community sophos com auf und suchen Sie nach Benutzern mit dem gleichen Problem Durchsuchen Sie die Sophos Support Knowledgebase unter http www sophos de support Laden Sie Dokumentation zu den Produkten unter http www sophos de support docs herunter Senden Sie eine E Mail an den technischen Support support sophos de und geben Sie die Versionsnummer n Betriebssystem e und Patch Level Ihrer Sophos Software sowie ggf den genauen Wortlaut von Fehlermeldungen an 334 SafeGuard Enterprise 5 50 Administrator Hilfe 335 32 Copyright Copyright 1996 2010 Sophos Group und Utimaco Safeware AG Alle Rechte vorbehalten Diese Publikation darf weder elektronisch oder mechanisch reproduziert elektronisch gespeichert oder bertragen noch fotokopiert oder aufgenommen werden es sei denn Sie verf gen entweder ber eine g ltige Lizenz gem der die Dokumentation in bereinstimmung mit dem Lizenzvertrag reproduziert werden darf oder Sie verf gen ber eine schriftliche Genehmigung des Urheberrechtsinhabers Sophos ist ein eingetragenes Warenzeichen von Sophos Plc und der Sophos Group Safe
14. 805306370 Ung ltiger Handle 805306371 Ung ltiger Parameter in Benutzung 805306372 Das Objekt existiert bereits 805306373 Das Objekt konnte nicht gefunden werden 805306376 Das Token ist keinem bestimmten Benutzer zugewiesen 805306377 Das Token ist mehr als einem Benutzer zugewiesen 805306378 Das Token konnte nicht in der Datenbank gefunden werden 805306379 Das Token wurde erfolgreich gel scht und aus der Datenbank entfernt 805306381 Die Richtlinie ist einer Richtlinien Gruppe zugewiesen Um die Richtlinie zu l schen muss diese Zuweisung aufgehoben werden 805306382 Die Richtlinie ist einer OU zugewiesen Bitte entfernen Sie zuerst die Zuweisung 805306383 Das Zertifikat dieses Beauftragten ist ung ltig SafeGuard Enterprise 5 50 Administrator Hilfe 805306386 Der gew hlte Beauftragte ist nicht eindeutig 805306387 Der Beauftragte ist gesperrt und kann nicht authentisiert werden 805306388 Der Beauftragte ist nicht mehr oder noch nicht g ltig 805306389 Der Beauftragte konnte nicht authentisiert werden Anfrage au erhalb der gestatteten Arbeitszeiten 805306390 Ein Beauftragter kann sich nicht selbst l schen 805306391 Der Haupt Sicherheitsbeauftragte kann nicht gel scht werden da ein zweiter Haupt Sicherheitsbeauftragte zur zus tzlichen Authentisierung erforderlich ist 805306392 Der Sicherheitsbeauftragte kann nicht gel scht werden da ein zweiter Sicherheitsbeauftragte zu
15. Administrator Hilfe 219 Die Medien Passphrase Funktionalit t steht zur Verf gung wenn die Option Benutzer darf eine Medien Passphrase f r Wechselmedien erzeugen in einer Richtlinie des Typs Ger teschutz aktiviert ist Nach dem Wirksamwerden dieser Einstellung auf dem Benutzercomputer wird der Benutzer automatisch aufgefordert eine Medien Passphrase einzugeben wenn er zum ersten Mal Wechselmedien mit dem Computer verbindet Die Medien Passphrase ist auf allen Computern auf denen sich der Benutzer anmelden darf g ltig Der Benutzer kann die Medien Passphrase auch ndern In diesem Fall findet automatisch eine Synchronisierung statt wenn die Medien Passphrase auf dem Computer und die Medien Passphrase der Wechselmedien nicht mehr synchron sind Sollte der Benutzer die Medien Passphrase vergessen so kann er diese ohne Helpdesk Unterst tzung wiederherstellen Hinweis Um die Medien Passphrase zu aktivieren aktivieren Sie die Option Benutzer darf eine Medien Passphrase f r Wechselmedien erzeugen in einer Richtlinie vom Typ Ger teschutz Medien Passphrase und Standalone Computer Auf einem Standalone Computer d h Computer der nicht zentral verwaltet wird stehen ohne aktvierte Medien Passphrase Funktion nach der Installation keine Schl ssel zur Verf gung da Standalone Computer nur lokale Schl ssel verwenden Vor der Benutzung der Verschl sselung muss der Benutzer einen Schl ssel erzeugen Ist die Medien Passphrase
16. Benutzername als Passphrase Bestimmt ob Benutzername und Passphrase identisch sein verboten d rfen JA Windows Benutzername und Passphrase m ssen unterschiedlich sein NEIN Benutzer darf seinen Windows Benutzernamen gleichzeitig als Passphrase verwenden 138 SafeGuard Enterprise 5 50 Administrator help 15 8 Ger teschutz 139 Ein Kernst ck von SafeGuard Enterprise ist die Verschl sselung von Daten auf unterschiedlichen Datentr gern Die Verschl sselung kann volume oder dateibasierend durchgef hrt werden mit unterschiedlichen Schl sseln und Algorithmen Richtlinien des Typs Ger teschutz enthalten auch Einstellungen f r SafeGuard Data Exchange und SafeGuard Portable Weitere Informationen zu SafeGuard Data Exchange und SafeGuard Portable finden Sie in der SafeGuard Enterprise Benutzerhilfe Richtlinieneinstellung Verschl sselungsmodus f r Medien Erkl rung Dient dem Schutz von Endger ten PCs Notebooks und allen Arten von Wechseldatentr gern Hauptaufgabe ist die Verschl sselung aller auf lokalen oder externen Datentr gern gespeicherten Daten Durch die transparente Arbeitsweise k nnen Benutzer einfach ihre gewohnten Anwendungen z B Microsoft Office weiter benutzen Transparente Verschl sselung bedeutet f r den Benutzer dass alle verschl sselt gespeicherten Daten sei es in verschl sselten Verzeichnissen oder Laufwerken automatisch im Hauptspeicher entschl sselt werden sob
17. Ger teschutz Wechselmedien fest m Verschl sselungsmodus f r Medien Dateibasierend m Schl ssel f r die Verschl sselung Definierter Schl ssel aus der Liste m Definierter Schl ssel aus der Liste lt Gruppen Dom nenschl ssel gt z B group_users_Bob_Alice DC um sicherzustellen dass beide denselben Schl ssel benutzen Wenn die Firmenrichtlinien zus tzlich festlegen dass alle Dateien auf Wechselmedien immer verschl sselt werden sollen f gen Sie folgende Einstellungen hinzu m Initialverschl sselung aller Dateien Ja Stellt sicher dass Dateien auf Wechselmedien verschl sselt werden sobald die Wechselmedien erstmals mit dem System verbunden werden m Benutzer darf Initialverschl sselung abbrechen Nein Der Benutzer kann die Initialverschl sselung nicht abbrechen um sie z B zu einem sp teren Zeitpunkt durchzuf hren m Benutzer darf auf unverschl sselte Dateien zugreifen Nein Werden auf Wechselmedien unverschl sselte Dateien entdeckt so wird der Zugriff auf diese Dateien verweigert m Benutzer darf Dateien entschl sseln Nein Der Benutzer darf Dateien auf Wechselmedien nicht entschl sseln 220 SafeGuard Enterprise 5 50 Administrator Hilfe m SafeGuard Portable auf Wechselmedien kopieren Nein F r die gemeinsame Benutzung von Wechselmedien innerhalb der Arbeitsgruppe ist SafeGuard Portable nicht erforderlich Au erdem w rde SafeGuard Portable das Entschl sseln von Dateien auf Computer
18. Gro Kleinschreibung Diese Einstellung wird nur bei den Punkten Liste nicht beachten erlaubter Kennw rter verwenden und Benutzername als Kennwort verboten wirksam Fall 1 Sie haben in der Liste der verbotenen Kennw rter Tafel eingetragen Steht die Option Gro Kleinschreibung beachten auf JA werden zus tzliche Kennwortvarianten wie z B TAFEL oder TaFeL nicht akzeptiert und die Anmeldung wird verweigert Fall 2 Der Benutzername f r einen Anwender lautet EMaier Steht Gro Kleinschreibungbeachten aufJA und Benutzername als Kennwort verboten auf NEIN darf Benutzer EMaier keine Variante seines Benutzernamens z B emaier oder eMaiEr etc als Kennwort verwenden 132 SafeGuard Enterprise 5 50 Administrator Hilfe 133 Richtlinieneinstellung Tastaturzeile verboten Erkl rung Tastaturzeilen sind 123 oder qwe Maximal zwei auf der Tastatur nebeneinander liegende Zeichen sind erlaubt Tastaturzeilen beziehen sich nur auf den alphanumerischen Tastaturteil Tastaturspalte verboten Als Tastaturspalten werden eingetippte Zeichenreihen wie yaql xsw2 oder 3edc nicht aber yse4 xdr5 oder cft6 bezeichnet Erlaubt sind maximal zwei in einer Tastaturspalte befindliche Zeichen Verbieten Sie Tastaturspalten werden derartige Zeichenkombinationen als Kennw rter abgelehnt Tastaturspalten beziehen sich nur auf den alphanum
19. Klicken Sie im Arbeitsbereich mit der rechten Maustauste Das Kontextmen f r das Fragenthema wird ge ffnet W hlen Sie Importieren 4 W hlen Sie das Verzeichnis in dem das Fragenthema abgelegt ist sowie das gew nschte Fragenthema und klicken Sie auf ffnen Die importierten Fragen werden im Arbeitsbereich angezeigt Sie k nnen das Fragenthema nun unver ndert speichern oder bearbeiten 22 4 Neues Fragenthema erstellen und Fragen hinzuf gen 243 Neben Fragenthemen in verschiedenen Sprachen k nnen Sie auch neue Fragenthemen zu unterschiedlichen Themenbereichen erstellen Somit k nnen Sie Benutzern mehrere Fragenthemen zur Verf gung stellen aus denen das f r sie am besten geeignete Thema ausw hlen k nnen So erstellen Sie ein neues Fragenthema und f gen Fragen hinzu 1 Markieren Sie im Richtlinien Navigationsbereich den Eintrag Local Self Help Fragen 2 Klicken Sie mit der rechten Maustaste auf Local Self Help Fragen und w hlen Sie Neu gt Fragenthema 3 Geben Sie einen Namen f r das Fragenthema ein und klicken Sie auf OK 4 Markieren Sie im Richtlinien Navigationsbereich das neue Fragenthema unter Local Self Help Fragen 5 Klicken Sie im Arbeitsbereich mit der rechten Maustaste Das Kontextmen f r das Fragenthema wird ge ffnet W hlen Sie Hinzuf gen SafeGuard Enterprise 5 50 Administrator Hilfe 6 Eine neue Fragenzeile wird hinzugef gt Geben Sie Ihre Frage ein und dr cken Sie Enter Um wei
20. W hlen Sie den gew nschten Namen und klicken Sie auf OK Der Name wird unter Dom ne im Recovery Typ Fenster angezeigt m Geben Sie den Benutzernamen direkt ein Stellen Sie sicher dass der Name korrekt geschrieben ist SafeGuard Enterprise 5 50 Administrator Hilfe Recovery Assistent E R f r die Anmeldung ecovery f r die e SOPHOS SafeGuard Enterprise Client UTIMACO EDU Benutzer_XPClient 3 Klicken Sie auf Weiter Ein Fenster f r die Eingabe des Challenge Codes wird angezeigt 4 Geben Sie den Challenge Code ein den der Benutzer Ihnen genannt hat und klicken Sie auf Weiter Der Challenge Code wird gepr ft Wenn er falsch eingegeben wurde wird der Hinweis ung ltig unterhalb des fehlerhaften Blocks angezeigt Recovery Assistent i E R f r die Anmeld ecovery f r die An ung SOPHOS SafeGuard Enterprise Client moss eure avna Iseear aroaz 2260n 254 SafeGuard Enterprise 5 50 Administrator Hilfe 255 Recovery Assistent 5 Wenn der Challenge Code korrekt eingegeben wurde werden die vom SafeGuard Enterprise Client angeforderte Aktion sowie die m glichen Recovery Aktionen auf dem Client angezeigt Die m glichen Response Aktionen richten sich nach den Aktionen die auf Client Seite beim Aufrufen der Challenge angefordert wurden Wenn auf Client Seite zum Beispiel Crypto Token erforderlich angefordert wurde stehen f r die Response die Aktionen SGN Client mit Benutzeranme
21. existiert die Autorun Funktionalit t aktiviert so k nnen folgende Probleme auftreten m Das Volume wird nicht verschl sselt m Wenn es sich um ein UFO handelt wird der Zugriff nicht verweigert Zugriff auf mit BitLocker To Go verschl sselte Volumes Wird SafeGuard Enterprise mit aktivierter BitLocker To Go Unterst tzung verwendet und existiert eine SafeGuard Enterprise Verschl sselungsrichtlinie f r ein mit BitLocker To Go verschl sseltes Volume so wird der Zugriff auf das Volume verweigert Existiert keine SafeGuard Enterprise Verschl sselungsrichtlinie so kann der Benutzer auf das Volume zugreifen Hinweis Wenn die Autorun Einstellungen f r ein mit BitLocker To Go verschl sseltes Volume auf die Standardwerte eingestellt sind kann es vorkommen dass der Zugriff trotz vorhandener SafeGuard Enterprise Verschl sselungsrichtlinie nicht verweigert wird Diese Situation tritt nur unter Windows Vista auf F r weitere Informationen zu BitLocker To Go see SafeGuard Enterprise und BitLocker To Go on page 308 m Dateibasierend transparente dateibasierte Verschl sselung Smart MediaEncryption Stellt sicher dass alle Daten verschl sselt sind au er Boot Medium und Verzeichnisinformationen mit dem Vorteil dass auch optische Medien wie CD DVD verschl sselt werden k nnen oder Daten mit Fremdrechnern auf denen kein SafeGuard installiert ist ausgetauscht werden k nnen soweit von der Richtlinie erlaubt Hinw
22. glich 1501 Nicht genug Speicher vorhanden 1502 Unzul ssiger oder falscher Parameter definiert 1503 Ein Puffer f r Daten ist zu klein 1504 Ein DLL Modul konnte nicht geladen werden 1505 Eine Funktion oder ein Prozess wurde abgebrochen 1511 Ein Programm konnte nicht gestartet werden 1512 Eine Funktion ein Objekt oder Daten sind nicht vorhanden 1513 Unzul ssiger Eintrag 1514 Ein Objekt existiert bereits 1515 Unzul ssiger Funktionsaufruf 1516 Es ist ein interner Fehler aufgetreten 1517 Es ist eine Zugriffsverletzung aufgetreten 1518 Funktion oder Modus wird nicht unterst tzt 1519 Deinstallation ist fehlgeschlagen 1520 Es ist ein Ausnahmefehler aufgetreten 1550 Der MBR Sektor der Festplatte konnte nicht ersetzt werden 20001 Unbekannt 20002 Prozess beendet 20003 Datei nicht verifiziert 20004 Ung ltige Richtlinie 30050 Die Anweisung ffnen war nicht erfolgreich 30051 Nicht genug Speicherplatz 322 SafeGuard Enterprise 5 50 Administrator Hilfe 323 30052 Allgemeiner Fehler in der Prozess Kommunikation 30053 Auf eine Resource kann nicht zugegriffen werden Das ist ein tempor rer Zustand und ein sp terer Versuch k nnte erfolgreich beendet werden 30054 Allgemeiner Kommunikationsfehler 30055 Unerwarteter R ckgabewert 30056 Kein Kartenlesegr t angeschlossen 30058 Karte ist nicht in Betrie
23. hlte Ereignisse zu l schen w hlen Sie in der SafeGuard Management Center Men leiste Aktionen gt Ereignisse l schen oder klicken Sie in der Symbolleiste auf das Symbol Ausgew hlte Ereignisse l schen Um alle Ereignisse zu l schen w hlen Sie in der SafeGuard Management Center Men leiste Aktionen gt Alle Ereignisse l schen oder klicken Sie in der Symbolleiste auf das Symbol Alle Ereignisse l schen 3 Vor dem L schen der ausgew hlten Ereignisse wird ein Fenster zur Erstellung einer Sicherungsdatei angezeigt siehe Sicherungsdatei erstellen auf Seite 297 Die ausgew hlten Ereignisse sind aus dem Ereignisprotokoll gel scht 296 SafeGuard Enterprise 5 50 Administrator Hilfe 26 10 Sicherungsdatei erstellen Sicherungsdateien von den in der Ereignisanzeige angezeigten Berichten lassen sich im Rahmen des L schvorgangs erstellen Wenn Sie Aktionen gt Ereignisse l schen oder Aktionen gt Alle Ereignisse l schen w hlen wird vor dem L schen der Ereignisse das Fenster Ereignisse sichern als zur Erstellung einer Sicherungsdatei angezeigt Um eine Sicherung des Ereignisprotokolls in Form einer XML Datei zu erstellen geben Sie einen Dateinamen und einen Speicherort an und klicken Sie auf OK 26 11 Sicherungsdatei ffnen So ffnen Sie die im Rahmen eines L schvorgangs erstellte XML Sicherungsdatei Sie befinden sich im ge ffneten Management Center unter Berichte 1 W hlen Sie in der SafeGuard Management Cente
24. hrt Hinweis Ab der Version 5 20 wird eine WOL Einstellung nur wirksam wenn ein Zeitintervall definiert ist Das bedeutet im Falle eines Versionsupdates auch dass mit der Version 5 10 festgelegte WOL Richtlinien zun chst nicht mehr wirksam sind Der Sicherheitsbeauftragte muss nach der Migration zus tzlich ein Zeitfenster f r diese Richtlinien definieren Computer Identifikation anzeigen Zeigt in der Titelleiste der POA entweder den Computernamen oder einen frei definierbaren Text an Existiert ein Maschinenname in den Windows Netzwerkeinstellungen wird dieser in der Grundeinstellung automatisch bernommen Text f r die Computer Identifikation Der Text der in der Titelleiste der POA angezeigt werden soll Ist im Feld Computer Identifikation anzeigen die Option Definierter Name ausgew hlt k nnen Sie in diesem Eingabefeld den Text eingeben 152 SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinieneinstellung Rechtliche Hinweise anzeigen Text f r rechtliche Hinweise Zus tzliche Informationen anzeigen Text f r zus tzliche Informationen Anzeigedauer in Sekunden Erkl rung Zeigt eine Textbox mit frei konfigurierbarem Inhalt an die vor der Anmeldung in der POA erscheint In manchen L ndern ist das Erscheinen eines Textfelds mit bestimmtem Inhalt gesetzlich vorgeschrieben Die Box muss vom Benutzer best tigt werden bevor das System fortf hrt Bevor Sie einen
25. keine USB Unterst tzung NOATA Definiert ob der Int13 Ger tetreiber verwendet wird 0 Standard ATA Ger tetreiber Standard 1 Int13 Ger tetreiber ACPIAPIC Definiert ob die ACPI APIC Unterst tzung benutzt wird 0 Keine ACPV APIC Unterst tzung 1 ACPV APIC Unterst tzung ist aktiv NOVESA Definiert ob VESA oder VGA Modus verwendet wird 0 VESA Modus Standard 1 VGA Modus 20 5 Deaktivierte POA und Lenovo Rescue and Recovery Sollte auf dem Endpoint Computer die Power on Authentication deaktiviert sein so sollte zum Schutz vor dem Zugriff auf verschl sselte Dateien aus der Rescue and Recovery Umgebung heraus die Rescue and Recovery Authentisierung eingeschaltet sein Detaillierte Informationen zur Aktivierung der Rescue and Recovery Authentisierung finden Sie in der Lenovo Rescue and Recovery Dokumentation 237 SafeGuard Enterprise 5 50 Administrator Hilfe 21 Recovery Optionen SafeGuard Enterprise bietet verschiedene Recovery Optionen die aufunterschiedliche Szenarien zugeschnitten sind m Recovery f r die Anmeldung ber Local Self Help Mit Local Self Help k nnen sich Benutzer die ihr Kennwort vergessen haben ohne Unterst tzung eines Helpdesks wieder an Ihrem Computer anmelden So erhalten Benutzer auch in Situationen in denen sie keine Telefon oder Netzwerkverbindung und somit auch kein Challenge Response Verfahren nutzen k nnen z B an Bord eines Flugzeugs wieder Zugang zu ihrem
26. nnen Nach der Replikation kann sich der Benutzer auch auf diesen Computern in der POA anmelden In der Standardeinstellung wird der erste Benutzer der sich nach der Installation von SafeGuard Enterprise an den Benutzer Computer anmeldet in der UMA als Besitzer dieses Computers eingetragen Dieses Attribut erlaubt es dem Benutzer nachdem er sich im Rahmen der Power on Authentication authentisiert hat weiteren Benutzern die Anmeldung an diesem Computer zu erm glichen siehe Weitere Benutzer importieren auf Seite 203 Dadurch werden auch sie in die UMA f r diesen Computer aufgenommen So wird automatisch eine Liste aufgebaut die bestimmt welcher Benutzer sich an welchem Computer anmelden darf Diese Liste kann im SafeGuard Management Center bearbeitet werden 17 1 Benutzer Computer Zuordnung im SafeGuard Management 193 Center Im SafeGuard Management Center kann eine Zuweisung von Benutzern zu bestimmten Computern vorgenommen werden Wird ein Benutzer im SafeGuard Management Center einem Computer zugeordnet oder umgekehrt wird diese Zuweisung in die UMA aufgenommen Seine Benutzerdaten Zertifikat Schl ssel usw werden auf diesen Rechner repliziert und er kann sich an diesen Computer anmelden Im Rahmen dieser Zuordnung kann auch festgelegt bzw ge ndert werden wem es erlaubt ist weiteren Benutzern die Anmeldung an diesen Computer zu erm glichen Unter Typ wird angezeigt wie der Benutzer in die SafeGuard Enterprise Da
27. r den Computer aktiviert ist Zeigt das Datum an dem sich die Bestandsinformationen durch Anforderung einer Bestandsaktualisierung oder bermittlung neuer Bestandsinformationen vom Client ge ndert haben Aktualisierung angefordert Zeigt das Datum der letzten Aktualisierungsanforderung an Der in diesem Feld angezeigte Wert wird bei der Verarbeitung der Anforderung durch den Client wieder gel scht Stamm DSN Zeigt den Distinguished Name des dem Computer bergeordneten Containerobjekts an Diese Spalte wird nur dann angezeigt wenn im Filter Bereich das Feld Einschlie lich Sub Container aktiviert wurde SafeGuard Enterprise 5 50 Administrator Hilfe 25 1 4 Registerkarte Laufwerke Die Registerkarte Laufwerke zeigt Bestand und Statusinformationen zu den Laufwerken des jeweiligen Computers 9 SafeGuard Management Center MSO auf SGNSRY SafeGuard loxi Ghea E 77 Verschieben Schl ssel Richtlinien Bestand Synchronisation Lizenzen E Authentisierte Computer p Filter 9 Automatisch registriert SHO urImaco EDu Computername Pa 9 Automatisch registriert M Einschlie lich Sub Container Letzte nderung anzeigen 15 8 Board Group amp BoardMembers 0 Bulltin I Computers Computerma Betriebss Letzte erhaltene Ri Verschl sseke Lau UnverschlissekeLa _ POR E W5 XP
28. so werden die Volumes durch die BitLocker Laufwerkverschl sselung verschl sselt 27 6 Authentisierung mit BitLocker Laufwerkverschl sselung Die BitLocker Laufwerkverschl sselung bietet eine Reihe von Optionen f r die Authentisierung BitLocker Benutzer k nnen sich entweder ber ein Trusted Platform Module TPM oder einen USB Stick oder ber eine Kombination aus beidem authentisieren Der Sicherheitsbeauftragte kann die verschiedenen Anmeldemodi in einer Richtlinie im SafeGuard Management Center einstellen und sie an die BitLocker Endpoint Computer verteilen F r SafeGuard Enterprise BitLocker Benutzer sind folgende Anmeldemodi verf gbar Nur TPM TPM PIN TPM USB Stick Nur USB Stick ohne TPM 306 SafeGuard Enterprise 5 50 Administrator Hilfe Trusted Platform Module TPM Das TPM ist ein Modul auf dem Motherboard das einer Smartcard hnelt und Verschl sselungsfunktionen sowie Vorg nge f r die digitale Signatur ausf hrt Es ist in der Lage Benutzerschl ssel anzulegen zu speichern und zu verwalten Das TPM ist gegen Angriffe gesch tzt USB Stick Die von BitLocker verwendeten Schl ssel k nnen auf einem ungesch tzten USB Stick gespeichert werden 27 7 Protokollierung Vom BitLocker Client gemeldete Ereignisse werden wie f r alle anderen SafeGuard Enterprise Clients protokolliert Dabei wird nicht explizit erw hnt dass sich das Ereignis auf einen BitLocker Client bezieht Die Berichte e
29. ssel wiederherstellen Eg Sophos SafeGuard SOPHOS Sprachauswahl verschl sselte Laufwerke Deutsch a0 o Laufwerk verschl sselt mit i Abbrechen Fertig 3 Um sicherzustellen dass die Entschl sselung erfolgreich durchgef hrt werden konnte w hlen Sie das entschl sselte Laufwerk im Windows PE Dateimanager aus l x jeeececeelcoos IE andaa y hE system m i Pubic EE Computer IJ Utimaco File Folder 10 9 2005 10 25 O Utimaco Da O bytes Text Documen t 10 9 2008 10 26_ i wB CD Drive E CD_ROM UTIMACO F a Boot X m Control Panel m Control Panel 9 Recycle Bin zj Inema Overwrite I Zip Password T Relative Path IT Update I Hidden System 2 objects 0 object s selected D 72 64 MB free 86 26 MB total Quick Launch Text Editor FM Extra Find File Hex Viewer Image Viewer FIEBER F BE Restore KeyRecoveny Main SafeGuard Enterprise 5 50 Administrator Hilfe Der Inhalt des entschl sselten Laufwerks wird nun im Dateimanager angezeigt Das Dateisystem und die Kapazit t sowie der benutzte freie Speicherplatz werden nun in den Eigenschaften des entschl sselten Laufwerks angegeben Der Zugriff auf die in dieser Partition gespeicherten Daten ist wiederhergestellt Nach der erfolgreichen Entschl sselung haben Sie auf dem entsprechenden Laufwerk Lese und Schreibzugriff f r
30. sselung verwendet wurde 19 1 3 Weitergabe von Wechselmedien an externe Partner 223 Bob m chte ein verschl sseltes Medium an Joe externer Partner weitergeben der SafeGuard Data Exchange nicht installiert hat und daher SafeGuard Portable verwenden muss Bob m chte Joe jedoch nicht auf alle verschl sselten Dateien auf dem Wechselmedium Zugriff geben Er kann hierzu einen lokalen Schl ssel erzeugen und die Dateien mit dem lokalen Schl ssel verschl sseln Joe kann nun mit SafeGuard Portable die verschl sselten Dateien mit der Passphrase des lokalen Schl ssels ffnen Bob dagegen kann immer noch die Medien Passphrase f r den Zugriff auf alle Dateien auf dem Wechselmedium benutzen Verhalten auf dem Computer m Bob verbindet das Wechselmedium zum ersten Mal mit dem Computer Der Medienverschl sselungsschl ssel der f r jedes Medium einzigartig ist wird automatisch erzeugt m Bob wird aufgefordert die Medien Passphrase f r die Offline Nutzung einzugeben m Der Medienverschl sselungsschl ssel wird ohne Benutzerinteraktion f r die Datenverschl sselung verwendet aber SafeGuard Enterprise 5 50 Administrator Hilfe Bob kann nun einen lokalen Schl ssel z B mit der Bezeichnung JoeSchl ssel f r die Verschl sselung der spezifischen Dateien die mit Joe ausgetauscht werden sollen erzeugen oder ausw hlen Bob und Alice haben innerhalb der gleichen Gruppe oder Dom ne transparenten Zugriff da sie beide den gl
31. sselungsrichtlinie so kann der Benutzer auf das Volume zugreifen Hinweis Existiert f r ein Unidentified File System Object eine Verschl sselungsrichtlinie bei der die Richtlinieneinstellung Schl ssel f r die Verschl sselung auf eine Option eingestellt ist die die Schl sselauswahl erm glicht z B Beliebiger Schl ssel im Schl sselring des Benutzers so entsteht zwischen der Anzeige des Schl sselauswahldialogs und der Verweigerung des Zugriffs auf das Volume eine zeitliche L cke W hrend dieser Zeit kann auf das Volume zugegriffen werden So lange der Schl sselauswahldialog nicht vom Benutzer best tigt wird besteht Zugriff auf das Volume Um dies zu vermeiden definieren Sie einen vorausgew hlten Schl ssel f r die Verschl sselung siehe Beschreibung der Richtlinieneinstellung Schl ssel f r die Verschl sselung Diese zeitliche L cke entsteht auch dann f r mit dem Endpoint Computer verbundene Unidentified File System Objects wenn der Benutzer zu dem Zeitpunkt an dem die Verschl sselungsrichtlinie wirksam wird bereits Dateien auf dem Volume ge ffnet hat In diesem Fall kann nicht gew hrleistet werden dass der Zugriff auf das Volume verweigert wird da dies zu Datenverlust f hren k nnte 140 SafeGuard Enterprise 5 50 Administrator help 141 Richtlinieneinstellung Erkl rung Volumes mit aktivierter Autorun Funktionalit t Ist f r ein Volume f r das eine Verschl sselungsrichtlinie
32. t wenn es sich tats chlich um ein Speicherger t handelt zur White List f r Speicherger te Ihrer Richtlinie hinzuf gen Speicherger te d rfen nicht zu einer Ger tekontrolle White List hinzugef gt werden Ebenso d rfen keine Nicht Speicherger te zu einer Speicherkontrolle White List hinzugef gt werden In diesen beiden F llen ignoriert der SafeGuard Configuration Protection Client die hinzugef gten Ger te Hinweis Wenn Sie ein Ger t hinzuf gen das sich bereits auf einer anderen Ger te White List in der betreffenden Richtlinie befindet und die Zulassungen in den White Lists unterscheiden sich voneinander so gilt die White List die mehr zul sst 16 4 2 3 Schritt 3 White List speichern Speichern Sie die White List durch Klicken auf das Symbol in der SafeGuard Enterprise Symbolleiste Mit der Inhalt ndern Schaltfl che k nnen Sie den Inhalt aus einer anderen Datei in die White List einf gen Neue Eintr ge werden am Ende der White List hinzugef gt 16 4 3 Ger t manuell hinzuf gen 187 Wenn Sie eine leere White List angelegt haben m ssen Sie die Eintr ge manuell erstellen Wenn Sie Ger te zu einer bereits vorhandenen White List hinzuf gen m chten z B Ger te die nicht mit einem Endger t in Ihrem Unternehmen verbunden waren und somit nicht in den Pr fergebnissen von SafeGuard PortAuditor erscheinen m ssen Sie diese Ger te ebenfalls manuell hinzuf gen Die folgenden Handlungsschritte gelten sow
33. wie USB Sticks und Digitalkameras als auch traditionelle Speichermedien wie Diskettenlaufwerke CD DVD Laufwerke externe Festplatten und Magnetbandlaufwerke Der Bereich Speicherkontrolle einer Richtlinie wird bei allen Ports an denen ein Speicherger t angeschlossen werden kann wirksam Dies betrifft sowohl zugelassene oder eingeschr nkte Ports als auch Ports die nicht durch SafeGuard Configuration Protection gesch tzt sind Bei einem gesperrten Port sind alle Speicherger te gesperrt da der Port in diesem Fall nicht mehr zur Verf gung steht Hinweis Da Angriffe und Informationslecks nur sehr selten direkt ber interne Festplattenlaufwerke auftreten lassen sich diese Laufwerke nicht ber SafeGuard Configuration Protection sperren oder einschr nken damit der laufende Betrieb nicht beeintr chtigt bzw unterbrochen wird 172 SafeGuard Enterprise Administrator Hilfe 173 Speicherkontrolle Einstellungen Der Bereich Speicherkontrolle umfasst folgende Unterbereiche 1 Alle Datentr ger oberer Bereich Hier k nnen Sie den Zugang zu allen Speicherger ten zulassen einschr nken oder sperren Wenn Sie f r Alle Datentr ger die Optionen Zulassen oder Sperren w hlen wird der Rest dieses Bereichs deaktiviert Sie k nnen auch festlegen ob die AutoRun Funktionalit t die auf einigen Datentr gern z B CD DVD enthalten ist gesperrt werden soll 2 Speicherarten unterer Bereich Wenn Sie die Option Einschr n
34. 5 30 9 99 30 06 regular Lizensierte Token AET SafeSign Identity Client Charismathics Smart Security Interface Siemens HiPath Security Card API Aladdin eToken PKI Client RSA Authentication Client ActivIdentity ActivClient a sign Client 1775 7 Richtlinien 2 Schl ssel amp Zertifikate g Token amp Sicherheitsbeauftragte Berichte Lizenzdatei laden Lizenzstatus aktualisieren 31 SafeGuard Enterprise 5 50 Administrator Hilfe Die Anzeige ist in drei Bereiche unterteilt Der obere Bereich zeigt den Namen des Kunden f r den die Lizenz ausgestellt wurde sowie das Datum an dem die Lizenz ausgestellt wurde Der mittlere Bereich liefert detaillierte Informationen zur Lizenz Die einzelnen Spalten enthalten folgende Angaben Spalte Erkl rung Status Symbol Zeigt den Status der Lizenzen g ltig Warnung Fehler f r das jeweilige Modul durch ein Symbol an Modul Zeigt das installierte Modul an Erworbene Lizenzen Zeigt die Anzahl an erworbenen Lizenzen f r das installierte Modul an Benutzte Lizenzen Zeigt die Anzahl an genutzten Lizenzen f r das installierte Modul an H chste erlaubte Zeigt die h chste SafeGuard Enterprise Version f r die Version die Lizenzen g ltig sind an H chste benutzte Zeigt die neueste installierte SafeGuard Enterprise Version Version an L uft ab Zeigt das Lizenzablaufdatum an Typ Gibt die Lizenzart Demo Lizenz oder
35. Anmeldung 2020 Der Benutzer hat nach der Anmeldung sein Kennwort PIN ge ndert Anmeldung 2021 Kennwort PIN Qualit t Anmeldung 2022 Der Kennwort PIN Wechsel konnte nicht durchgef hrt werden Anmeldung 2023 Der LocalCache war korrupt und wurde restauriert Anmeldung 2024 Ung ltige Passwort Blacklist Konfiguration Anmeldung 2025 Der empfangene Response Code erlaubt es dem Benutzer sich sein Passwort anzeigen zu lassen Anmeldung 2071 Kernel Initialisierung wurde erfolgreich beendet Anmeldung 2072 Kernel Initialisierung ist fehlgeschlagen Anmeldung 2073 Maschinenschl ssel wurden erfolgreich zum Server gesendet Anmeldung 2074 Maschinenschl ssel konnten nicht erfolgreich zum Server gesendet werden Anmeldung 2079 Import eines Benutzers in den Kernel wurde erfolgreich beendet Anmeldung 2080 L schen eines Benutzers aus dem Kernel wurde erfolgreich beendet Anmeldung 2081 Import eines Benutzers in den Kernel ist fehlgeschlagen Anmeldung 2082 L schen eines Benutzers aus dem Kernel ist fehlgeschlagen Anmeldung 2083 Response mit Aktion Benutzer wird sein Kennwort angezeigt erzeugt Anmeldung Response f r virtuellen Client erzeugt Anmeldung Response f r Standalone Client erzeugt Anmeldung Wake on LAN konnte nicht aktiviert werden Anmeldung Wake on LAN konnte nicht deaktiviert werden Administration 2500 SafeGuard Enterprise Administration gestartet Administration 2501 Anmeldung an der SafeGuard Enterprise Administ
36. Benutzer d rfen auf die Datei keinen Zugriff haben m Die Option Liste nicht erlaubter PINs benutzen muss aktiviert sein NDERUNGEN PIN nderung erlaubt nach mindestens Tage PIN l uft ab nach Tage Legt den Zeitraum fest in dem eine PIN nicht erneut ge ndert werden darf Diese Einstellung verhindert dass ein Benutzer seine PIN innerhalb eines bestimmten Zeitraums beliebig oft ndern kann Beispiel Die Benutzerin Schmidt definiert eine neue PIN z B 13jk56 F r sie oder f r die Gruppe der sie zugeordnet ist ist ein Wechsel nach mind f nf Tagen festgelegt Bereits nach zwei Tagen will sie die PIN 13jk56 ndern Dies wird abgelehnt da Frau Schmidt erst nach f nf Tagen eine neue PIN definieren darf Wird die maximale G ltigkeitsdauer aktiviert muss der Benutzer nach dem eingetragenen Zeitraum seine PIN wechseln und ein neue definieren SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinieneinstellung Erkl rung Warnung vor Ablauf Tage Ab n Tagen vor Ablauf der PIN wird eine Warnmeldung ausgegeben und der Benutzer darauf hingewiesen dass er in n Tagen seine PIN ndern muss Er erh lt daraufhin die M glichkeit die PIN sofort zu ndern ALLGEMEIN PIN Generationen Bestimmt wann bereits verwendete PINs wieder verwendet werden d rfen Sinnvoll ist die Definition von PIN Generationen insbesondere in Verbindung mit der Eins
37. Betriebssystem Spracheinstellung des Endpoint Computers ausgew hlt werden RECOVERY F R DIE ANMELDUNG Recovery f r die Anmeldung Der Windows Local Cache ist Start und Endpunkt f r den nach Besch digung des Datenaustausch zwischen Endpoint Computer und Server Im Windows Local Cache Windows Local Cache werdenalle Schl ssel Richtlinien aktivieren Benutzerzertifikate und Audit Dateien abgelegt Alle im Local Cache abgelegten Daten sind signiert und k nnen nicht manuell ge ndert werden Standardm ig ist der Recovery Vorgang f r die Anmeldung in diesem Fall deaktiviert d h der Windows Local Cache wird automatisch aus seiner Sicherungskopie wiederhergestellt In diesem Fall ist kein Challenge Response Verfahren f r die Reparatur notwendig Soll die Reparatur des Windows Local Cache explizit ber ein Challenge Response Verfahren durchgef hrt werden soll setzen Sie dieses Feld auf JA Local Self Help aktivieren Local Self Help aktivieren Legt fest ob der Benutzer ber Local Self Help an seinem Computer anmelden darf wenn er das Kennwort vergessen hat Local Self Help erm glicht dem Benutzer die Anmeldung durch die Beantwortung einer definierten Anzahl an zuvor festgelegten Fragen in der Power on Authentication Somit kann sich der Benutzer im Notfall auch in Situationen in denen weder eine Telefon noch eine Internetverbindung zur Verf gung steht ohne die Durchf hrung eines Challenge Response V
38. BitLocker Clients protokolliert Die Verwaltung von BitLocker Clients in SafeGuard Enterprise ist transparent Das hei t die Verwaltungsfunktionen haben im allgemeinen dieselbe Funktionsweise f r BitLocker und native SafeGuard Enterprise Clients Der Computertyp l sst sich in der Registerkarte Bestand eines Containers unter Benutzer amp Computer ermitteln Die Spalte POA Typ zeigt an ob es sich bei dem betreffenden Benutzer PC um einen BitLocker Client oder einen nativen SafeGuard Enterprise Client handelt 27 5 Verschl sselung mit BitLocker ber SafeGuard Enterprise Mit der Unterst tzung der BitLocker Laufwerkverschl sselung in SafeGuard Enterprise lassen sich die folgenden Komponenten verschl sseln m Boot Volume mit BitLocker Verschl sselung und BitLocker Schl sseln m andere Volumes mit BitLocker Verschl sselung und BitLocker Schl sseln m Daten z B von Wechselmedien mit SafeGuard Enterprise dateibasierender Verschl sselung und SafeGuard Enterprise Schl sseln Bitte beachten Sie dass im Rahmen der SafeGuard Enterprise BitLocker Unterst tzung externe Festplatten als weitere Volumes und nicht als Wechselmedien behandelt werden Sie k nnen somit volume basierend verschl sselt werden 27 5 1BitLocker Verschl sselungsschl ssel Bei der Verschl sselung des Boot Volumes oder anderer Volumes mit BitLocker ber SafeGuard Enterprise werden die Verschl sselungsschl ssel immer durch BitLocker erzeugt BitLocker erzeug
39. Bridging werden im Bereich Anti Hybrid Network Bridging definiert 16 3 6 Schritt 5 Ger tekontrolle definieren Im Bereich Port Kontrolle k nnen Sie f r USB FireWire und PCMCIA Ports festlegen dass der Zugang zu Ports dieser Art eingeschr nkt ist dies trifft auch f r WLAN Ports zu siehe Schritt 7 WLAN Kontrolle definieren Bei Auswahl der Option Einschr nken k nnen Sie im Bereich Ger tekontrolle genauer festlegen welche Ger te f r die betreffenden Ports zugelassen sind Im Bereich Ger tekontrolle geben Sie an welche Ger tetypen f r den Zugang zugelassen sind Hier k nnen Sie auch die entsprechende White List zuweisen in der Sie festlegen welche Ger temodelle oder Einzelger te zugelassen sind Wenn ein Ger t unter Anwendung eines der nachfolgend beschriebenen Verfahren als nicht zugelassen definiert ist wird es gesperrt Der Bereich Ger tekontrolle einer Richtlinie gilt f r alle Ports die eingeschr nkt sind Ger tekontrolle Einstellungen m Alle Ger te oberer Bereich Hier k nnen Sie den Zugang f r alle Ger tetypen zulassen einschr nken oder sperren Wenn Sie f r Alle Ger te die Optionen Zulassen oder Sperren w hlen wird der Rest dieses Bereichs deaktiviert Sie k nnen auch Hardware Key Logger zulassen oder sperren m Ger tetypen mittlerer Bereich Wenn Sie f r Alle Ger te die Option Einschr nken w hlen k nnen Sie den Zugang f r ein Ger t nach Typ einschr nken Zum Beispiel Drucker N
40. Daten Sie k nnen Daten vom und auf das Laufwerk kopieren 23 10 Challenge Response f r Sophos SafeGuard Clients Standalone SafeGuard Enterprise bietet auch ein Challenge Response Verfahren f r Standalone Computer Sophos SafeGuard Clients Diese Computer haben nie eine Verbindung zum SafeGuard Enterprise Server auch nicht vor bergehend Sie werden im Standalone Modus betrieben Da sie nicht in der SafeGuard Enterprise Datenbank registriert sind stehen keine Informationen f r ihre Identifikation die f r ein Challenge Response Verfahren ben tigt werden zur Verf gung F r diese Computer bietet SafeGuard Enterprise ein Challenge Response Verfahren z B f r den Fall dass ein Benutzer sein Kennwort vergessen oder zu oft falsch eingegeben hat Die f r das Challenge Response Verfahren ben tigten Identifikationsinformationen basieren in diesem Fall auf der Schl ssel Recovery Datei Diese Schl ssel Recovery Datei wird auf jedem Endpoint Computer w hrend der Installation der SafeGuard Enterprise Verschl sselungssoftware erzeugt Steht diese Schl ssel Recovery Datei dem Helpdesk zur Verf gung z B ber eine Netzwerkfreigabe so kann ein Challenge Response Verfahren f r den durch SafeGuard Enteprise gesch tzten Computer durchgef hrt werden Um die Suche nach und die Gruppierung von Recovery Dateien zu vereinfachen enthalten die Dateienamen den Namen des Computers computername GUID xml Somit sind Suchvorg nge mit Asterisken
41. Directory importiert werden Markieren Sie die Organisationseinheiten OU die synchronisiert werden sollen Klicken Sie unten im Aktionsbereich auf Synchronisieren Hinweis Bei der Synchronisierung von Benutzern und deren Gruppen Zugeh rigkeiten wird die Zugeh rigkeit zu einer primary group nicht synchronisiert da diese Zugeh rigkeit nicht in der Gruppe aufscheint Die Dom nen werden synchronisiert und Details der Synchronisierung werden angezeigt Die Fortschrittsanzeige links unten in der Statusleiste zeigt ein Synchronisierungsprotokoll an Wenn Sie auf diese Anzeige klicken k nnen Sie das Synchronisierungsprotokoll kopieren und zum Beispiel in eine E Mail oder eine Datei kopieren um Ihre Benutzer ber die Ergebnisse der Synchronisierung zu informieren 3 13 Eine neue Dom ne aus einem Active Directory importieren Wenn Sie nur eine neue Dom ne aus dem Active Directory importieren m chten gehen Sie wie folgt vor l 2 Klicken Sie im linken Navigationsfenster auf das Stammverzeichnis Stamm Filter ist aktiv W hlen Sie Datei gt Neu gt Neue Dom ne aus AD importieren W hlen Sie im rechten Aktionsbereich die Registerkarte Synchronisation W hlen Sie das gew nschte Verzeichnis aus der Verzeichnis DSN Liste Klicken Sie auf das Lupensymbol rechts oben Es erscheint eine Abbildung der Active Directory Struktur der Organisationseinheiten OU in Ihrem Unternehmen W hlen Sie die Dom ne die synchr
42. Enterprise 5 50 Administrator Hilfe 15 2 Authentisierung 117 Wie sich Benutzer an ihrer Arbeitsstation anmelden mit oder ohne Token wird in einer Richtlinie vom Typ Authentisierung festgelegt Richtlinieneinstellung Erkl rung ZUGRIFF Benutzer kann nur von der Festplatte Legt fest ob Benutzer den PC von Festplatte und booten oder anderem Medium starten d rfen JA Benutzer darf ausschlie lich von der Festplatte booten Die M glichkeit den PC mit Diskette oder einem weiteren externen Medium zu starten wird nicht in der POA angeboten NEIN Benutzer darf den PC von Festplatte Diskette oder einem externen Medium USB CD usw starten ANMELDEOPTIONEN Anmeldemodus Legt fest wie sich ein Benutzer in der POA authentisieren muss m Benutzername Kennwort Der Benutzer darf sich nicht mit einem Token sondern nur mit Benutzernamen und Kennwort in der POA anmelden m Token Der Benutzer darf sich nur mit einem Token oder einer Smartcard in der POA anmelden Dieses Verfahren bietet eine h here Sicherheit Bei der Anmeldung wird der Benutzer aufgefordert seinen Token einzustecken Durch den Besitz des Token und der Pr sentation der PIN wird die Identit t des Benutzers verifiziert Nach korrekter Eingabe der PIN liest SafeGuard Enterprise automatisch die Daten f r die Anmeldung des Benutzers aus SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinieneinstellung Erkl run
43. Funktionalit t in einer Wechselmedienrichtlinie f r diese Computer aktiviert so wird der Medienverschl sselungschl ssel automatisch auf dem Computer erzeugt und kann direkt nach Abschluss der Installation f r die Verschl sselung verwendet werden Der Schl ssel steht als vordefinierter Schl ssel im Schl sselring des Benutzers zur Verf gung und wird in Dialogen als lt Benutzername gt f r die Schl sselauswahl angezeigt Falls verf gbar werden die Medienverschl sselungsschl ssel auch f r alle initialen Verschl sselungsvorg nge verwendet SafeGuard Enterprise 5 50 Administrator Hilfe 19 1 Best Practice Dieser Abschnitt beschreibt einige typische Anwendungsf lle f r SafeGuard Enterprise und deren Umsetzung durch Erstellen der entsprechenden Richtlinien Bob und Alice sind zwei Mitarbeiter des gleichen Unternehmens und haben beide SafeGuard Data Exchange installiert Joe ist ein externer Partner Auf seinem Computer ist SafeGuard Enterprise nicht installiert 19 1 1 Unternehmensinterne Anwendung Bob m chte verschl sselte Daten auf Wechselmedien an Alice weitergeben Beide geh ren derselben Gruppe an und haben daher den entsprechenden Gruppenschl ssel in ihrem SafeGuard Enterprise Schl sselring Da sie den Gruppenschl ssel benutzen k nnen sie transparent auf die verschl sselten Dateien zugreifen ohne eine Passphrase eingeben zu m ssen Die notwendigen Einstellungen legen Sie in einer Richtlinie vom Typ
44. Hilfe 14 5 POA Access Accounts zu Gruppen hinzuf gen So f gen Sie Benutzer d h POA Access Accounts zu POA Access Account Gruppen hinzu 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Benutzer amp Computer Navigationsfenster unter POA POA Gruppe die relevante POA Gruppe Im Aktionsbereich des SafeGuard Management Center auf der rechten Seite wird die Mitglieder Registerkarte angezeigt 3 Klicken Sie in der SafeGuard Management Center Symbolleiste auf das Hinzuf gen Symbol gr nes Pluszeichen Der Mitgliedobjekt ausw hlen Dialog wird angezeigt 4 W hlen Sie den Benutzer d h das POA Access Account den Sie zur Gruppe hinzuf gen m chten 5 Klicken Sie auf OK Das POA Access Account wird zur Gruppe hinzugef gt und in der Registerkarte Mitglieder angezeigt Hinweis Sie k nnen POA Access Accounts auch zu einer Gruppe hinzuf gen indem Sie den POA Benutzer im Navigationsfenster ausw hlen und die beschriebenen Schritte ausf hren Der einzige Unterschied bei dieser Vorgehensweise besteht darin dass nach Auswahl des Benutzers die Mitglied von Registerkarte im Aktionsbereich angezeigt wird Diese Registerkarte zeigt die Gruppen denen der Benutzer zugewiesen wurde Der grundlegende Workflow ist identisch 14 6 Mitglieder aus POA Access Account Gruppen entfernen So entfernen Sie Mitglieder d h POA Access Accounts aus Gruppen 1 Klicken Si
45. Hinweis Wenn Sie Hardware Key Logger sperren werden sowohl USB als auch PS 2 Key Logger gesperrt Wenn der SafeGuard Configuration Protection Client vor PS 2 Key Logger sch tzt werden keine Benutzermeldungen angezeigt Der Key Logger wird jedoch unbrauchbar da die Informationen die er protokolliert verschl sselt werden Hinweis Wird ein PS 2 Key Logger bei Benutzung einer PS 2 Keyboard Video Mouse KVM gesperrt so k nnen Sie mit der KVM nicht von der Tastatur aus zwischen Computern wechseln Dies muss ber die KVM selbst erfolgen 4 Wenn Sie die Option Einschr nken f r Alle Ger te w hlen stellen Sie die Zulassungseinstellungen f r jeden Ger tetyp im Bereich Ger tetypen wie folgt ein a Zulassen L sst alle Ger te dieses Typs zu b Einschr nken Alle Ger te werden gesperrt es sei denn sie werden ausdr cklich in der White List zugelassen siehe Ger te und WLAN Verbindungen zulassen 5 W hlen Sie die Optionen White List f r Ger temodelle und White List f r einzelne Ger te um die zugelassenen Ger te zur White List hinzuzuf gen siehe Ger te und WLAN Verbindungen zulassen 16 3 7 Schritt 6 Speicherkontrolle definieren Speicherger te bilden in der Regel die Hauptkan le f r Informationslecks in einem Unternehmen Mit SafeGuard Configuration Protection k nnen Sie den Zugang vollst ndig zulassen oder jedes Ger t das als Speicherger t identifiziert wird sperren Dies betrifft sowohl Wechselmedien
46. Konfiguration ausw hlen wird angezeigt W hlen Sie die Datenbankkonfiguration die Sie verwenden m chten aus der Dropdownliste und klicken Sie auf OK Die ausgew hlte Datenbankkonfiguration wird mit dem SafeGuard Management Center verbunden und wird aktiv Zur Authentisierung werden Sie dazu aufgefordert den Sicherheitsbeauftragtennamen f r diese Konfiguration auszuw hlen und das entsprechende Zertifikatsspeicherkennwort einzugeben Best tigen Sie Ihre Angaben mit OK Das SafeGuard Management Center wird ge ffnet und mit der ausgew hlten Datenbankkonfiguration verbunden Konfiguration in eine Datei exportieren Um eine Konfiguration zu speichern damit sie sp ter wiederverwendet werden kann k nnen Sie sie in eine Datei exportieren Gehen Sie hierzu wie folgt vor l Starten Sie das SafeGuard Management Center Der Dialog Konfiguration ausw hlen wird angezeigt Klicken Sie auf Exportieren Zum Schutz der Konfigurationsdatei werden Sie dazu aufgefordert ein Kennwort einzugeben und zu best tigen das die Konfigurationsdatei verschl sselt Klicken Sie auf OK SafeGuard Enterprise 5 50 Administrator Hilfe 4 4 4 5 4 Geben Sie einen Dateinamen und einen Speicherort f r die exportierte Konfigurationsdatei SGNConfig an 5 Sollte diese Konfiguration bereits vorhanden sein so werden Sie gefragt ob Sie die vorhandene Konfiguration berschreiben m chten Die Datenbankkonfiguration wi
47. Konsistenztestes 30080 Die ID ist auf der Schwarzen Liste Die angefragte Aktion ist daher nicht erlaubt 30081 Ung ltiges Handle 30082 Ung ltige Konfigurationsdatei 30083 Abschnitt nicht gefunden 30084 Eintrag nicht gefunden 30085 Keine weiteren Abschnitte vorhanden 30086 Ende der Datei erreicht 30087 Der angegebene Element existiert bereits 30088 Das Kennwort ist zu kurz 30089 Das Kennwort ist zu lang 30090 Ein Element z B ein Zertifikat ist abgelaufen 30091 Das Kennwort ist nicht gesperrt 30092 Der Pfad konnte nicht gefunden werden 30093 Das Datenverzeichnis ist nicht leer 30094 Keine weiteren Daten verf gbar 30095 Auf dem Medium ist kein Speicherplatz mehr verf gbar 30096 Eine Operation wurde abgebrochen 30097 Read Only Daten eine Schreiboperation ist fehlgeschlagen 12451841 Der Schl ssel ist nicht verf gbar 12451842 Der Schl ssel ist nicht definiert 12451843 Zugriff auf unverschl sseltes Medium verweigert 12451844 Zugriff auf unverschl sseltes Medium verweigert wenn nicht es nicht leer ist 352321637 Die Datei ist nicht verschl sselt 352321638 Der Schl ssel ist nicht verf gbar 352321639 Der richtige Schl ssel ist nicht verf gbar 324 SafeGuard Enterprise 5 50 Administrator Hilfe 325 352321642 Ung ltiger Dateiname 352321643 Fehler bei
48. Mal mit dem Computer Der Medienverschl sselungsschl ssel der f r jedes Medium einzigartig ist wird automatisch erzeugt m Bob wird aufgefordert die Medien Passphrase f r die Offline Nutzung ber SafeGuard Portable einzugeben m Der Benutzer muss nichts ber den zu verwendenden Schl ssel oder den Schl sselring wissen Der Medienverschl sselungschl ssel wird ohne Benutzerinteraktion immer f r die Datenverschl sselung verwendet Der Medienverschl sselungschl ssel ist f r den Benutzer auch nicht sichtbar Nur der zentral definierte Gruppen Dom nenschl ssel ist sichtbar SafeGuard Enterprise 5 50 Administrator Hilfe Bob und Alice haben innerhalb der gleichen Gruppe oder Dom ne transparenten Zugriff da sie beide den gleichen Gruppen Dom nenschl ssel verwenden Wenn Bob auf verschl sselte Dateien auf Wechselmedien auf einem Computer ohne SafeGuard Data Exchange zugreifen m chte kann er die Medien Passphrase in SafeGuard Portable benutzen Die notwendigen Einstellungen legen Sie in einer Richtlinie vom Typ Ger teschutz Wechselmedien fest Verschl sselungsmodus f r Medien Dateibasierend Schl ssel f r die Verschl sselung Definierter Schl ssel aus der Liste Definierter Schl ssel aus der Liste lt Gruppen Dom nenschl ssel gt z B group_users_Bob_Alice DC um sicherzustellen dass beide denselben Schl ssel benutzen Benutzer darf eine Medien Passphrase f r Wechselmedien erzeugen Ja D
49. Netzwerken ist im Abschnitt WLAN Verbindungen hinzuf gen beschrieben SafeGuard Configuration Protection bietet drei Berechtigungsebenen m Ger tetypen und Speicherarten ber diese Optionen k nnen Sie den Zugang zu einem Endger t in Abh ngigkeit vom angeschlossenen Ger tetyp zulassen oder einschr nken Zum Beispiel Wechselmedien Netzwerkadapater Eingabeger te HID z B Maus oder Bildverarbeitungsger te Die f r die Auswahl verf gbaren Ger tetypen und Speicherarten sind in SafeGuard Configuration Protection integriert und befinden sich in den beschriebenen Bereichen Ger tekontrolle und Speicherkontrolle Ein Ger tetyp kann zugelassen Default gesperrt oder eingeschr nkt sein Wenn Sie einen Ger tetyp einschr nken werden alle Ger te dieses Typs gesperrt es sei denn sie sind ausdr cklich in einer White List als zugelassen definiert m White List f r Ger temodelle Diese Option bezieht sich auf das Zulassen von Ger te oder Speichermodellen z B alle HP Drucker oder alle M Systems USB Sticks m White List f r einzelne Ger te Diese Option bezieht sich auf das Zulassen von einzelnen Ger ten oder Speicherger ten mit eindeutiger Seriennummer d h spezifische Einzelger te Wenn z B die Verwendung des USB Sticks des CEO zugelassen werden soll alle anderen USB Sticks jedoch gesperrt sein sollen setzen Sie die Speicherart Wechselmedien auf Einschr nken und geben Sie die kennzeichnenden Parameter des USB Sticks d
50. Neuer Beauftragter 3 Wenn sich der SO wahlweise mit oder ohne Token authentisieren soll aktivieren Sie im rechten Arbeitsbereich bei Anmeldung mit Token die Finstellung Optional 4 Wenn sich der SO ausschlie lich mit dem Token authentisieren soll aktivieren Sie bei Anmeldung mit Token die Einstellung Zwingend erforderlich Bei dieser Einstellung verbleibt der private Schl ssel auf dem Token Der Token muss immer eingesteckt sein ansonsten wird ein Neustart des Systems notwendig 5 Wenn Sie neue Zertifikate erzeugen wollen klicken Sie auf Erzeugen Geben Sie das Kennwort f r das Zertifikat zweimal ein und best tigen Sie mit OK Legen Sie den Speicherort f r das Zertifikat fest 6 Wenn Sie Zertifikate importieren wollen klicken Sie auf Importieren ffnen Sie die gew nschte Zertifikatedatei Nach Zertifikaten wird zuerst in einer Zertifikatedatei dann auf dem Token gesucht Die Zertifikate k nnen an den jeweiligen Speicherorten verbleiben 7 Aktivieren Sie die Rollen und Dom nen die dem Beauftragten zugewiesen werden sollen unter Rollen und Dom nen des Beauftragten 206 SafeGuard Enterprise 5 50 Administrator Hilfe 8 Best tigen Sie die Eingaben mit OK Der SO wird angelegt der Token wird ausgestellt die Anmeldedaten werden je nach Einstellung auf den Token geschrieben und die Token Informationen werden in der SafeGuard Enterprise Datenbank hinterlegt Im Bereich Token k nnen Sie sich in der Registerkarte
51. Probleme zu vermeiden empfehlen wir den FullQualifiedName und den Netbios Namen einzugeben oder Platzhalter zu verwenden SafeGuard Enterprise 5 50 Administrator Hilfe 13 2 2 Einschr nkungen Asterisken sind nur als erstes letztes und einziges Zeichen zul ssig Beispiele f r g ltige und ung ltige Zeichenfolgen m G ltige Zeichenfolgen sind z B admin strator minis m Ung ltige Zeichenfolgen sind z B Admin trator Ad minst Dar ber hinaus gelten folgende Einschr nkungen m Das Zeichen ist in Benutzernamen nicht zul ssig m Die Zeichen lt gt sindin Dom nennamen nicht zul ssig 13 3 Service Account Listen bearbeiten und l schen Als Sicherheitsbeauftragter mit der Berechtigung Service Account Listen ndern k nnen Sie Service Account Listen jederzeit bearbeiten oder l schen m Um eine Service Account Liste zu bearbeiten doppelklicken Sie auf der Liste im Richtlinien Navigationsfenster Die Service Account Liste wird ge ffnet und Sie k nnen Benutzernamen zuf gen l schen oder ndern m Um eine Service Account Liste zu l schen w hlen Sie die Liste im Richtlinien Navigationsfenster aus ffnen Sie das Kontextmen und w hlen Sie L schen 13 4 Service Account Liste ber Richtlinie zuweisen So weisen Sie eine Service Account Liste zu 1 Legen Sie eine Richtlinie vom Typ Authentisierung an oder w hlen Sie eine bereits vorhandene aus 2 W hlen Sie unter Anmelde
52. Smartcards und Smartcard Leser Treiber 199 SafeGuard Enterprise unterst tzt nicht kryptographische und kryptographische Anmeldeverfahren bei der Power on Authentication Bei nicht kryptographischen Smartcards werden Benutzerkennung und Kennwort auf der Karte gespeichert Kryptographische Smartcards verwenden zur Authentisierung RSA Schl sselpaare Zertifikate Windows m Auf Windows Betriebssystemebene werden PC SC kompatible Kartenleser unterst tzt Die PC SC Schnittstelle regelt die Kommunikation zwischen PC und Smartcard Viele dieser Kartenleser sind bereits Teil der Windows Installation m Smartcards ben tigen PKCS 11 kompatible Smartcard Treiber damit sie von SafeGuard Enterprise unterst tzt werden k nnen Power on Authentication Eine genaue Liste aller unterst tzten Smartcards Smartcard Leser und Treiber an der Power on Authentication finden Sie in den Release Notes m An der Power on Authentication wird die PC SC Schnittstelle unterst tzt die die Kommunikation zwischen PC und Smartcard regelt Die unterst tzten Smartcard Treiber sind fest implementiert und die Benutzer k nnen keine zus tzlichen Treiber hinzuf gen Die passenden Smartcard Treiber m ssen ber eine Richtlinie in SafeGuard Enterprise aktiviert werden m Die Schnittstelle f r Smartcard Leser ist standardisiert und viele Kartenleser haben eine USB Schnittstelle oder eine ExpressCard 54 Schnittstelle und implementieren den CCID Standard In SafeG
53. Statusinformationen SafeGuard Enterprise liest eine F lle von Bestand und Statusinformationen von den Clients aus Diese Informationen zeigen den aktuell bekannten globalen Zustand der einzelnen Maschinen Im SafeGuard Management Center werden diese Informationen im Bereich Benutzer amp Computer in der Registerkarte Bestand bersichtlich dargestellt Als Sicherheitsbeauftragter k nnen Sie die im SafeGuard Management Center angezeigten Bestand und Statusinformationen einsehen und ausdrucken So lassen sich zum Beispiel zum Nachweis der Verschl sselung von Endger ten die entsprechenden ausgedruckten Berichte erstellen Umfassende Sortier und Filterfunktionen unterst tzen Sie bei der Auswahl der relevanten Informationen Der Bestand liefert u a folgende Informationen zu den einzelnen Maschinen m Informationen zu erhaltenen Richtlinien m Informationen zum Verschl sselungsstatus m Informationen zum POA Status sowie zum POA Typ Informationen zu den installierten SafeGuard Enterprise Modulen Informationen zum WOL Status m Benutzerinformationen 25 1 Bestandinformationen einsehen So rufen Sie die Bestandinformationen ab Sie befinden sich im ge ffneten Management Center 1 Klicken Sie im Navigationsbereich des SafeGuard Management Centers auf die Schaltfl che Benutzer amp Computer 2 Klicken Sie im Navigationsfenster auf der linken Seite auf den jeweiligen Container Dom ne Arbeitsgruppe oder Computer 3 Wechsel
54. Token Information die Daten anzeigen lassen 18 6 Token oder Smartcards mit Zertifikaten versehen Au er den Anmeldeinformationen k nnen aufeinen Token auch Zertifikate geschrieben werden Es ist m glich den privaten Teil des Zertifikats p12 Datei ausschlie lich auf dem Token zu speichern Im Regelfall haben Benutzer dann aber nur noch bei Anmeldung mit dem Token Zugriff auf ihren privaten Schl ssel Es wird empfohlen PKI Zertifikate zu verwenden Sie k nnen Authentisierungsdaten auf verschiedene Arten dem Token zuweisen m durch Generieren von Zertifikaten direkt auf dem Token m durch Zuweisen von Daten die sich bereits auf dem Token befinden m durch Importieren von Zertifikaten aus einer Datei m SafeGuard Enterprise kann nur dann mit ablaufenden Zertifikaten umgehen wenn der alte und neue private Schl ssel auf demselben Token stehen Hinweis Es k nnen keine CA Zertifikate von einem Token geholt und in der Datenbank oder im Zertifikate Store abgelegt werden Wenn CA Zertifikate verwendet werden sollen oder m ssen m ssen diese Zertifikate auch als Datei vorliegen und nicht nur auf dem Token vorhanden sein Dies gilt auch f r CRLs Certificate Revocation List Au erdem muss die Kombination von CA Zertifikaten und CRL auf einem Token zusammenpassen da ansonsten eine Anmeldung an allen betroffenen Benutzer PCs nicht mehr m glich ist berpr fen Sie bitte die Korrektheit von CA und CRL SafeGuard Enterprise bernimmt
55. Verf gung Zeigt die Standardwerte f r nicht konfigurierte Richtlinieneinstellungen a Setzt die markierte Richtlinieneinstellung auf nicht konfiguriert Setzt alle Richtlinieneinstellungen eines Bereichs auf nicht konfiguriert Setzt den Standardwert f r die markierte Richtlinieneinstellung Setzt alle Richtlinieneinstellungen eines Bereichs auf den Standardwert 10 2 2 Maschinen und benutzerspezifische Richtlinien unterscheiden Richtlinienfarbe blau Richtlinie wird nur f r Maschinen angewandt nicht f r Benutzer Richtlinienfarbe schwarz Richtlinie wird f r Maschinen und Benutzer angewandt 79 SafeGuard Enterprise 5 50 Administrator Hilfe 10 3 Richtliniengruppen SafeGuard Enterprise Richtlinien m ssen in Richtliniengruppen zusammengefasst werden Eine Richtliniengruppe kann verschiedene Richtlinientypen enthalten Wenn Sie Richtlinien vom selben Typ in einer Gruppe zusammenfassen werden die Einstellungen automatisch vereinigt Sie k nnen daf r eine Auswertungsreihenfolge festlegen Die Einstellungen einer h her gereihten Richtlinie berschreiben jene einer niedriger priorisierten Ist eine Einstellung auf nicht konfiguriert gesetzt wird die Einstellung in einer niedriger priorisierten Richtlinie nicht berschrieben Ausnahme Ger teschutz Richtlinien f r den Ger teschutz werden nur vereinigt wenn sie f r dasselbe Ziel z B Boot Volume angeleg
56. Verteilen Sie die Konfigurationsdatei an die Computer der Sicherheitsbeauftragten Teilen Sie ihnen das Kennwort f r diese Datei sowie das Zertifikatsspeicherkennwort mit das Sie f r Anmeldung an das SafeGuard Management Center ben tigen 8 Die Sicherheitsbeauftragten m ssen nur auf die Konfigurationsdatei doppelklicken 9 Sie werden aufgefordert das Kennwort f r die Konfigurationsdatei einzugeben 10 Zur Anmeldung an das SafeGuard Management Center werden die Sicherheitsbeauftragten aufgefordert ihr Zertifikatsspeicherkennwort einzugeben SafeGuard Enterprise 5 50 Administrator Hilfe 4 7 4 8 Das SafeGuard Management Center startet mit der importierten Konfiguration Diese Konfiguration wird nun als neue Standardkonfiguration definiert Schneller Wechsel zwischen Datenbankkonfigurationen Zur Vereinfachung von Verwaltungsaufgaben bei mehreren Datenbanken bietet das SafeGuard Management Center den schnellen Wechsel zwischen Datenbankkonfigurationen So wechseln Sie zu einer anderen Datenbankkonfiguration 1 W hlen Sie Datei in der Men leiste des Management Centers und klicken Sie auf Konfiguration wechseln 2 W hlen Sie die Datenbank zu der Sie wechseln m chten aus der Dropdownliste aus und best tigen Sie mit OK Das Management Center wird automatisch mit der ausgew hlten Konfiguration neu gestartet Hinweis Dieser Vorgang ist auch im Single Tenancy Modus m glich Datenbankintegrit t pr fen
57. Zeitangabe Zertifikat noch nicht g ltig 536870930 Das Zertifikat ist entzogen worden 536870931 Die Zertifikats Kette ist ung ltig 536870932 Die Zertifikats Kette konnte nicht erstellt werden 536870933 CDP konnte nicht kontaktiert werden 536870934 Ein Zertifikat welches nur als End Dateneinheit genutzt werden kann ist als CA oder umgekehrt genutzt worden 536870935 Probleme mit der G ltigkeitsl nge der Zertifikate in der Kette 536870936 Fehler bei der ffnung der Datei 536870937 Fehler beim Lesen einer Datei 536870938 Ein oder mehrere Parameter die an die Funktion bergeben worden sind sind nicht korrekt 536870939 Die Ausgabe der Funktion passt nicht in den zur Verf gung gestellten Puffer 536870940 Ein Problem mit dem Token und oder Slot ist aufgetaucht 536870941 Der Token hat nicht genug Speicherkapazit t um die gew nschte Funktion auszuf hren 536870942 Der Token ist aus dem Slot entfernt worden w hrend die Funktion ausgef hrt wurde 536870943 Die gew nschte Funktion konnte nicht ausgef hrt werden es liegen aber keine detaillierten Informationen ber den Grund der Fehlermeldung vor 536870944 Ein allgemeiner Fehler ist aufgetreten Das System k nnte instabil sein 536870945 Der Computer auf dem die CBI Sammlung l uft besitzt ungen genden Speicher um die gew nschte Funktion auszuf hren Im schlechtesten Fall k nnte es sein dass die Funktion
58. andere Sprache ausgew hlt hat Hinweis Dar ber hinaus ist es erforderlich die Sprache des Tastaturlayouts f r nicht Unicode Programme zu ndern Falls die gew nschte Sprache nicht im System vorhanden ist werden Sie von Windows evtl aufgefordert die Sprache zu installieren Danach m ssen Sie den Endpoint Computer zweimal neu starten damit das neue Tastaturlayout von der Power on Authentication eingelesen werden und dann auch ber diese eingestellt werden kann Sie k nnen das gew nschte Tastaturlayout der Power on Authentication mit der Maus oder mit der Tastatur Alt Shift ndern Sie k nnen ber Start gt Ausf hren gt regedit gt HKEY_USERS DEFAULT Keyboard Layout Preload einsehen welche Sprachen auf dem System installiert und damit verf gbar sind 20 4 In der Power on Authentication unterst tzte Hotkeys 235 Bestimmte Hardware Einstellungen und Funktionalit ten k nnen Probleme beim Booten des Endpoint Computers verursachen die dazu f hren dass der Rechner im Startvorgang h ngen bleibt Die Power on Authentication unterst tzt eine Reihe von Hotkeys mit denen sich Hardware Einstellungen modifizieren und Funktionalit ten modifizieren lassen Dar ber hinaus sind in die auf dem Computer zu installierenden MSI Datei Grey Lists und Black Lists integriert die Funktionen abdecken von denen ein solches Problemverhalten bekannt ist SafeGuard Enterprise 5 50 Administrator Hilfe Wir empfehlen vor jeder
59. auf die Netzwerkkarte zuzugreifen wird gesperrt Wenn Sie eine Reihe von WLAN Karten verwenden die propriet re Treiber in Kraft setzen k nnen Sie WLAN als Port nur zulassen oder sperren WLAN Kontrolle Einstellungen WLAN Verbindungsarten Mit dieser Option k nnen Sie den Zugang zu WLAN Netzwerken zulassen oder einschr nken sowie WLAN Peer to Peer Verbindungen zulassen oder einschr nken Wenn Sie f r WLAN Netzwerke die Option Einschr nken w hlen k nnen Sie festlegen welche spezifischen Netzwerke zugelassen sind 174 SafeGuard Enterprise Administrator Hilfe WLAN Kontrolle White List White List f r WLAN Diese Option bezieht sich auf einzelne Netzwerke einschlie lich der Authentisierungs und Verschl sselungseigenschaften Hinweis Wenn Sie die Option Zulassen f r Netzwerke w hlen ist dieser Bereich deaktiviert WLAN Kontrolle definieren 1 Wechseln Sie zur WLAN Option im Bereich Wireless Ports Setzen Sie WLAN auf Einschr nken Dadurch werden die Optionen unter WLAN Verbindungsarten aktiviert 2 Definieren Sie im Bereich WLAN Verbindungsarten die Zugangseinstellungen f r Netzwerke Infrastruktur wie folgt a Zulassen L sst die Verbindung mit allen WLAN Netzwerken zu b Einschr nken Alle Netzwerke sind gesperrt es sei denn sie sind ausdr cklich in der White List siehe Ger te und WLAN Verbindungen zulassen zugelassen 3 Definieren Sie im Bereich WLAN Verbindungsarten die Zulassun
60. aus der Liste aus 4 F hren Sie unter Daten des Sicherheitsbeauftragten einen der folgenden Schritte aus Wenn die gesicherte Zertifikatdatei auf dem Computer gefunden wird wird sie angezeigt Geben Sie das Kennwort ein das Sie zur Anmeldung an das SafeGuard Management Center benutzen 26 SafeGuard Enterprise 5 50 Administrator Hilfe 27 5 4 Wird die gesicherte Zertifikatdatei nicht auf dem Computer gefunden klicken Sie auf Importieren Suchen Sie nach der gesicherten Zertifikatdatei und best tigen Sie Ihre Auswahl mit ffnen Geben Sie das Kennwort f r die ausgew hlte Zertifikatdatei ein Best tigen Sie das Kennwort mit Ja Geben Sie ein Kennwort f r die Anmeldung am SafeGuard Management Center ein und best tigen Sie es 5 Klicken Sie auf Weiter und dann auf Fertig stellen um die Konfiguration des SafeGuard Management Center abzuschlie en Die SafeGuard Management Center Installation ist wiederhergestellt Korrupte Datenbankkonfiguration wiederherstellen Sie k nnen eine korrupte Datenbankkonfiguration wiederherstellen indem Sie das SafeGuard Management Center neu installieren und basierend auf den gesicherten Zertifikatsdateien einen neue Instanz der Datenbank erstellen Dadurch wird sichergestellt dass alle vorhandenen durch SafeGuard Enterprise gesch tzten Computer Richtlinien von der neuen Installation annehmen Somit m ssen Sie nicht die gesamte Datenbank neu einrichten und wiederherstellen m D
61. ber kritische Ereignisse zum Beispiel Zugriff auf Dateien f r die ein Benutzer keine Berechtigung hat oder eine Reihe von fehlgeschlagenen Anmeldungsversuchen innerhalb eines bestimmten Zeitraums informiert werden ber eine Protokollierungsrichtlinie l sst sich die Protokollierung so konfigurieren dass alle auf den relevanten Benutzer PCs auftretenden sicherheitskritischen Ereignisse in einer lokalen Protokolldatei protokolliert und beim Erreichen einer ebenfalls in einer Richtlinie festgelegten Anzahl an Ereignissen ber den SafeGuard Enterprise Server in die SafeGuard Enterprise Datenbank bertragen werden In der Ereignisanzeige des SafeGuard Management Centers kann der Sicherheitsbeauftragte die Ereignisse abrufen einsehen und analysieren Somit lassen sich die Vorg nge auf den verschiedenen Benutzer PCs kontrollieren ohne dass Mitarbeiter Einfluss auf die Aufzeichnungen nehmen k nnen berwachen mobiler Benutzer Mobile Benutzer sind in der Regel nicht st ndig mit dem Unternehmensnetzwerk verbunden Ein Au endienstmitarbeiter nimmt zum Beispiel f r einen Termin sein Notebook vom Netz Sobald er sich wieder am Netzwerk anmeldet werden die w hrend der Offline Zeit protokollierten SafeGuard Enterprise Ereignisse bertragen Die Protokollierung liefert somit einen genauen berblick ber die Benutzeraktivit ten w hrend der betreffende Computer nicht an das Netzwerk angeschlossen war 26 2 Voraussetzung Eine Maschine auf de
62. darf der Benutzer beispielsweise dreimal hintereinander seinen Benutzernamen oder sein Kennwort falsch eingeben beim vierten Mal greift die Einstellung unter Reaktion auf erfolglose Anmeldungen Meldungen zur fehlgeschlagenen Anmeldung in der POA anzeigen Definiert die Detailebene f r Meldungen zu fehlgeschlagenen Anmeldungen m Standard Zeigt eine kurze Beschreibung an m Verbose ausf hrlich Zeigt detaillierte Informationen an Reaktion auf erfolglose Anmeldeversuche Computer sperren Legt fest ob der PC nach fehlgeschlagenen Anmeldeversuchen gesperrt wird Die Computersperre kann durch Neustart des PCs und durch Anmeldung eines lokalen Administrators aufgehoben werden Beachten Sie in diesem Zusammenhang auch die Benutzersperre von Windows TOKEN OPTIONEN Aktion bei Verlust des Anmeldestatus des Token Definiert das Verhalten nach dem Trennen des Token vom PC M gliche Aktionen sind m Computer sperren m PIN Dialog anzeigen m Keine Aktion Freigabe des Token erlauben Bestimmt ob der Token bei der Anmeldung entsperrt werden darf 124 SafeGuard Enterprise 5 50 Administrator Hilfe 125 Richtlinieneinstellung Erkl rung OPTIONEN F R SPERRE DES GER TS Bildschirm nach X Minuten Leerlauf sperren Bestimmt die Zeit nach deren berschreitung ein nicht mehr benutzter Desktop automatisch gesperrt wird Der Standardwert betr gt 0 Minuten in diesem Fall
63. darf seinen Windows Benutzernamen gleichzeitig als PIN verwenden NEIN Windows Benutzername und PIN m ssen unterschiedlich sein Liste nicht erlaubter PINs benutzen Bestimmt ob bestimmte Zeichenfolgen f r PINs nicht verwendet werden d rfen Abgelegt sind die Zeichenfolgen in der Liste der verbotenen PINs z B Datei im Format txt 128 SafeGuard Enterprise 5 50 Administrator Hilfe 129 Richtlinieneinstellung Erkl rung Liste nicht erlaubter PINs Definiert Zeichenfolgen die in einer PIN nicht verwendet werden d rfen Wenn ein Benutzer eine verbotene PIN verwendet wird eine Fehlermeldung ausgegeben Wichtige Voraussetzung Eine Liste eine Datei mit verbotenen PINs muss im Management Center unter Informationstext im Richtlinien Navigationsbereich registriert werden Erst nach der Registrierung ist die Liste verf gbar Maximale Dateigr e 50 KB Unterst tztes Format Unicode Nicht erlaubte PINs definieren In der Liste werden die verbotenen PINs mit einem Leerzeichen oder durch einen neuen Zeilenanfang getrennt Wildcard An der Position an der Sie den Zeichentyp eingeben k nnen mehrere beliebige Zeichen in der PIN enthalten sein Beispielsweise wird durch 123 jede Zeichenfolge die 123 enth lt als PIN verboten Achtung m Wenn Sie nur die Wildcard in die Liste einf gen k nnen sich Benutzer nach einer erzwungenen PIN nderung nicht mehr im System anmelden m
64. das Management Center ben tigt ein Beauftragter immer ein Zertifikat Das Zertifikat kann entweder von SafeGuard Enterprise selbst erstellt werden oder es wird ein bereits existierendes verwendet Ist eine Anmeldung mit Token zwingend notwendig so muss das Zertifikat auf den Token des Sicherheitsbeauftragten aufgebracht werden Erzeugen Zertifikat und Schl sseldatei werden neu erstellt und an einem ausw hlbaren Ort gespeichert Dabei muss ein Kennwort f r die p1l2 Schl sseldatei angegeben und best tigt werden Die p12 Datei muss dem Sicherheitsbeauftragten bei der Anmeldung zur Verf gung stehen Das erstellte Zertifikat wird dem Sicherheitsbeauftragten automatisch zugeteilt und unter Zertifikat angezeigt Wenn SafeGuard Enterprise Kennwortregeln angewendet werden sollten die Regeln im Active Directory deaktiviert werden Hinweis Maximale L nge des Speicherpfads und des Dateinamens 260 Zeichen Zum Anlegen eines Sicherheitsbeauftragten ist der ffentliche Teil des Zertifikats zwar ausreichend Bei der Anmeldung am Management Center wird allerdings der private Teil des Zertifikats die Schl sseldatei verlangt Liegt diese nicht in der Datenbank vor muss sie dem Sicherheitsbeauftragten zur Verf gung stehen und kann bei der Anmeldung dann ggf im Zertifikatsspeicher abgelegt werden Importieren Ein existierendes Zertifikat wird importiert und anschlie end dem Beauftragten zugewiesen Wird aus einer p12 Schl sseldate
65. deaktiviert In der Registerkarte Lizenzen im Bereich Benutzer amp Computer wird ebenfalls eine Fehlermeldung angezeigt SafeGuarde Management Genter MSO auf SGNSRVXUTIMAGO SafeGuard loj xj Datei Bearbeiten Ansicht Gehezu Aktionen Extras Hilfe Cis Verschieben Authentisierte Benutzer Schl ssel Richtlinien Bestand Synchronisation Lizenzen Authentisierte Computer 2 Miz y 9 Automatisch registriert Lizenz ausgestellt f r Demo Lizenz HE UTIMACO EDU Ausgestellt am 2008 07 03 Erworbene Benutzte Lize Data Exchange Device Encryption demo demo 5 30 0 99 2018 0 demo 11 5 30 0 99 5 30 0 90 2018 0 demo 11 5 30 0 99 5 30 0 90 2018 0 demo x Partner Connect Management Center _ Configuration Prot nano Lizensierte Token AET SafeSign Identity Client Charismathics Smart Security Interface Siemens HiPath Security Card API Aladdin eToken PKI Client RSA Authentication Client ActivIdentity ActivClient a sign Client Richtlinien Sie k nnen ns m f nicht ben tigte Computer aus der Datenbank entfernen um in Ihr Lizenzlimit zur ckzufallen oder amp Schl ssel amp Zertifikate XR Ihren Vertriebspartner kontaktieren um Ihr Lizenzlimit zu erh hen oder T Token eine neue Lizenz laden amp Sicherheitsbeauftragte f Weitere Informationen entnehmen Sie bitte dem SafeGuard Enterprise Administra
66. den Zugriff auf das Volume zu erm glichen 23 9 1 Recovery Workflow mit virtuellen Clients ber folgenden allgemeinen Workflow l sst sich der Zugang zum verschl sselten Computer wiederherstellen 1 Sie erhalten die SafeGuard Enterprise Recovery Disk vom technischen Support 2 F r den Helpdesk steht die Windows PE Recovery Disk mit den aktuellen SafeGuard Enteprise Filter Treibern auf der Sophos Support Website zum Download zur Verf gung Weitere Informationen finden Sie in der Wissensdatenbank http www sophos com support knowledgebase article 108805 html 3 Erstellen Sie den virtuellen Client im SafeGuard Management Center 4 Exportieren Sie den virtuellen Client in eine Datei 5 Booten Sie den Computer von der Recovery Disk 6 Importieren Sie die Datei mit dem virtuellen Client in das KeyRecovery Tool 7 Starten Sie die Challenge im KeyRecovery Tool 8 Best tigen Sie den virtuellen Client im SafeGuard Management Center 9 W hlen Sie die erforderliche Recovery Aktion 10 Geben Sie den Challenge Code im SafeGuard Management Center ein 11 Generieren Sie den Response Code im SafeGuard Management Center 12 Geben Sie den Response Code im KeyRecovery Tool ein Auf den Computer kann wieder zugegriffen werden 258 SafeGuard Enterprise 5 50 Administrator Hilfe 23 9 2 Computer von der Recovery Disk booten Voraussetzung Stellen Sie sicher dass die Boot Reihenfolge im BIOS das Booten von CD erlaubt 1 L
67. den gew nschten Schl sseln suchen und diese ausw hlen k nnen wird angezeigt Best tigen Sie Ihre Auswahl mit OK Klicken Sie auf OK um Ihre Angaben zu best tigen Verteilen Sie diese Schl sseldatei an die betreffenden Benutzer Sie muss den Benutzern vor der Eingabe des Response Codes auf Client Seite zur Verf gung stehen Virtuelle Clients anzeigen und Ansicht filtern Um Ihnen das Auffinden des erforderlichen virtuellen Clients oder Schl ssels w hrend eines Challenge Response Verfahrens zu erleichtern bietet der Bereich Schl ssel amp Zertifikate des SafeGuard Management Centers verschiedene Filter und Suchfunktionalit ten Ansichten f r virtuelle Clients r 2 3 Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients Klicken Sie auf das Lupensymbol um eine vollst ndige Liste aller virtuellen Clients zu erstellen Filtern Sie die virtuellen Clients nach Symbolischer Name oder Schl ssel GUID Ansichten f r exportierte Schl sseldateien l 2 Klicken Sie auf Virtuelle Clients und dann auf Exportierte Schl sseldateien Klicken Sie auf das Lupensymbol um eine vollst ndige Liste aller exportierten Schl sseldateien zu erstellen Klicken Sie auf das Symbol neben der gew nschten Schl sseldatei um die in der Datei enthaltenen Schl ssel anzuzeigen 76 SafeGuard Enterprise 5 50 Administrator Hilfe 9 3 5 Virtuelle Clients l schen 77 So l schen Sie ei
68. die Eingabe einer einzigen Medien Passphrase Wenn die Firmenrichtlinien zus tzlich festlegen dass alle Dateien auf Wechselmedien immer verschl sselt werden sollen f gen Sie folgende Einstellungen hinzu Initialverschl sselung aller Dateien Ja Stellt sicher dass Dateien auf Wechselmedien verschl sselt werden sobald die Wechselmedien erstmals mit dem System verbunden werden Benutzer darf Initialverschl sselung abbrechen Nein Der Benutzer kann die Initialverschl sselung nicht abbrechen um sie z B zu einem sp teren Zeitpunkt durchzuf hren 224 SafeGuard Enterprise 5 50 Administrator Hilfe 225 m Benutzer darf auf unverschl sselte Dateien zugreifen Nein Werden auf Wechselmedien unverschl sselte Dateien entdeckt so wird der Zugriff auf diese Dateien verweigert m Benutzer darf Dateien entschl sseln Nein Im B ro haben Bob und Alice transparenten Zugriff auf verschl sselte Dateien auf Wechselmedien Zuhause k nnen sie verschl sselte Dateien mit SafeGuard Portable durch Eingabe der Medien Passphrase ffnen Wenn Bob oder Alice die Wechselmedien an einen Dritt PC weitergeben m chten auf dem SafeGuard Data Exchange nicht installiert ist k nnen sie mit lokalen Schl sseln sicherstellen dass externe Partner nur auf einige spezifische Dateien zugreifen k nnen Dies ist eine erweiterte Konfiguration die durch die M glichkeit lokale Schl ssel auf den Computern zu erzeugen ein h heres Ma an Benutzer
69. die M glichkeit sich einen Token ausstellen zu lassen und den Anmeldemodus festzulegen siehe Installationshandbuch F r alle weiteren Sicherheitsbeauftragten nehmen Sie die Ausstellung eines Token im SafeGuard Management Center vor Voraussetzung Der Token muss initialisiert sein und das passende PKCS 11 Modul aktiviert worden sein Sie ben tigen die Rechte die Angaben f r den SO festlegen zu d rfen SafeGuard Enterprise 5 50 Administrator Hilfe Sie befinden sich im ge ffneten Management Center im Bereich Sicherheitsbeauftragte P Neuen Beauftragten erstellen x r Eigenschaften des Sicherheitsbeauftragten Aktiviert M Kurz name Beschreibung Mobiltelefon E Mail G ltig ab 20 09 2007 G ltig bis 31 12 2099 Anmeldung ab 00 00 00 Anmeldung bis 23 59 59 Anmeldung mit Token O Ohne Token O zwingend erforderlich Zertifikat Erzeugen Importieren r Rollen und Dom nen des Beauftragten W Haupt Sicherheitsbeauftragter M UTIMACO EDU Sicherheitsbeauftragter V workgroup 1 Helpdesk Beauftragter Audit Beauftragter wWiederherstellungs Beauftragter C R Beauftragter Richtlinien Beauftragter Ok Abbrechen 1 Stecken Sie den Token an der USB Schnittstelle ein SafeGuard Enterprise liest den Token ein 2 Markieren Sie im linken Navigationsfenster Sicherheitsbeauftragte und w hlen Sie im Kontextmen Neu gt
70. diese berpr fung nicht m SafeGuard Enterprise kann nur dann mit ablaufenden Zertifikaten umgehen wenn der alte und neue private Schl ssel auf demselben Token stehen SafeGuard Enterprise 5 50 Administrator Hilfe 18 6 1 Zertifikate durch Token generieren lassen Sie k nnen neue Zertifikate direkt durch den Token generieren lassen wenn zum Beispiel keine Zertifikatsinfrastruktur vorhanden ist Hinweis Wird der private Teil des Zertifikats allein auf den Token geschrieben hat der Benutzer nur mit dem Token Zugriff auf seinen privaten Schl ssel Der private Schl ssel befindet sich dann nur noch aufdem Token Wenn der Token verlorengeht ist der Zugriff auf den privaten Schl ssel nicht mehr m glich Voraussetzung Der Token ist ausgestellt Sie befinden sich im ge ffneten Management Center im Bereich Benutzer amp Computer 1 Stecken Sie den Token an der USB Schnittstelle ein SafeGuard Enterprise liest den Token ein 2 Markieren Sie den Benutzer f r den Sie ein Zertifikat generieren wollen und ffnen Sie im rechten Arbeitsbereich die Registerkarte Zertifikat 3 Klicken Sie aufdas Symbol Neues Zertifikat generieren und Token zuweisen in der SafeGuard Management Center Symbolleiste Beachten Sie dass die Schl ssell nge auf die Tokengr e abgestimmt sein muss 4 W hlen Sie den Slot aus und geben Sie die Token PIN ein Klicken Sie auf Erzeugen Das Zertifikat wird durch den Token generiert und dem Benutzer
71. diesen Ordner kopiert werden bleiben immer unverschl sselt 148 SafeGuard Enterprise 5 50 Administrator Hilfe 15 9 Spezifische Computereinstellungen Grundeinstellungen 149 Richtlinieneinstellung Erkl rung POWER ON AUTHENTICATION POA Power on Authentication aktivieren Definiert ob die POA permanent ein oder ausgeschaltet sein soll Gastbenutzer nicht zulassen Definiert ob ein Benutzer zur Windows Anmeldung zugelassen wird Zugriff verweigern falls keine Verbindung zum Server in Tagen 0 keine berpr fung Verweigert eine Anmeldung in der POA wenn der PC l nger als festgelegt keine Verbindung mit dem Server hatte Nur der zugewiesene Benutzer darf sich anmelden Importieren von neuen Benutzern erlaubt f r Definiert ob ein Benutzer zur Windows Anmeldung zugelassen wird JA L sst nur Benutzer zur Windows Anmeldung zu die in der POA bekannt sind NEIN L sst Benutzer zur Windows Anmeldung zu die in der POA unbekannt sind Legt fest ob ein weiterer Benutzer in die POA hinzugef gt werden darf Hierbei wird unterschieden ob das nur der Maschineneigent mer Besitzer darf oder jeder Benutzer der bereits in der POA vorhanden ist SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinieneinstellung Erkl rung Sicheres Wake On LAN Mit der Richtlinie Sicheres Wake On LAN ist es m glich WOL den Client f r Software Roll outs optimal vo
72. dieses Vorgangs voir Slaven einer Festplatte a la page 275 24 4 Volumes 273 SafeGuard Enterprise bietet die laufwerksbezogene Verschl sselung Dies beinhaltet die Speicherung von Verschl sselungsinformationen bestehend aus Bootsektor prim re bzw Backup KSA und Originalbootsektor auf jedem Laufwerk selbst Sobald eine dieser Einheiten besch digt ist besteht kein Zugriff mehr auf das Volume m eine der beiden Key Storage Areas KSA m Original MBR SafeGuard Enterprise 5 50 Administrator Hilfe 24 4 1 Bootsektor Der Bootsektor eines Volumes wird bei der Verschl sselung gegen den SafeGuard Enterprise Bootsektor ausgetauscht Der SafeGuard Enterprise Bootsektor enth lt Informationen ber m den Ort der prim ren und Backup KSA in Clustern und Sektoren bezogen auf den Start der Partition m die Gr e der KSA Auch wenn der SafeGuard Enterprise Bootsektor zerst rt ist ist kein Zugriff auf verschl sselte Volumes m glich Das Tool BE_Restore kann den zerst rten Bootsektor wiederherstellen Eine detaillierte Beschreibung dieses Tools finden Sie in der SafeGuard Tools Anleitung 24 4 2 Originaler Bootsektor Beide KSAs enthalten den originalen Bootsektor Das ist jener der ausgef hrt wird nachdem der DEK Data Encryption Key entschl sselt wurde und der Algorithmus und der Schl ssel in den BE Filtertreiber geladen wurden Ist dieser Bootsektor defekt kann Windows nicht auf das Volume zugreifen
73. einstellbare Sicherheitsrichtlinien f r alle Arten von Schnittstellen und externen Speicherger ten an 1 Physikalische Ports a USB b FireWire c PCMCIA d Secure Digital SD e Parallel f Seriell g Modem 2 Wireless Ports a WLAN b Bluetooth c Infrarot IrDA 3 Externe Speicher a Wechselmedien b Externe Festplatten c CD DVD Laufwerke d Diskettenlaufwerke e Magnetbandlaufwerke 158 SafeGuard Enterprise Administrator Hilfe SafeGuard Configuration Protection erkennt Ger tetypen Modelle und sogar spezifische Seriennummern und erm glicht eine Einschr nkung der Benutzung nach diesen Angaben Mit SafeGuard Configuration Protection k nnen Sicherheitsbeauftragte alle Speichermedien vollst ndig blockieren WLAN Kontrollen basieren auf MAC Adresse SSID oder Netzwerksicherheitsebene 16 1 1 Funktionen 1 Port Kontrolle Mit SafeGuard Configuration Protection k nnen Sie die Benutzung bestimmter oder aller Computer Ports innerhalb Ihres Unternehmens nach dem jeweiligen Computer dem angemeldeten Benutzer und oder dem Port Typ zulassen sperren oder einschr nken SafeGuard Configuration Protection kontrolliert USB PCMCIA FireWire Secure Digital Serial Parallel Modem z B Dial Up 3G usw WLAN IrDA und Bluetooth Ports 2 Ger tekontrolle SafeGuard Configuration Protection bietet die detailliert einstellbare Identifikation und Zulassung von Ger ten mit einer umfassenden Liste von Ger tetypen und d
74. erfolgt kein automatisches Schlie en Bestimmt ob der Bildschirm gesperrt wird wenn w hrend einer Arbeitssitzung der Token entfernt wird Bei Entfernung des Token Bildschirm sperren Bildschirm nach dem Fortsetzen sperren Bestimmt ob der Bildschirm bei Reaktivierung aus dem Standby Modus gesperrt wird SafeGuard Enterprise 5 50 Administrator Hilfe 15 3 Liste verbotener PINs f r die Verwendung mit Richtlinien anlegen F r Richtlinien des Typs PIN kann eine Liste mit verbotenen PINs angelegt werden Diese Liste definiert die Zeichenfolgen die in nicht in PINs verwendet werden d rfen Hinweis In den Listen werden die verbotenen PINs durch einen Leerraum oder einen Zeilenumbruch voneinander getrennt Die Textdateien mit den gew nschten Informationen m ssen erstellt werden bevor sie im SafeGuard Management Center registriert werden k nnen Die maximale Dateigr e f r Textdateien betr gt 50 KB SafeGuard Enterprise verwendet nur Unicode UTF 16 kodierte Texte Wenn Sie die Textdateien nicht in diesem Format erstellen werden Sie bei der Registrierung automatisch in dieses Format konvertiert Wenn eine Konvertierung durchgef hrt wird werden Sie durch eine Meldung dar ber informiert So registrieren Sie die Textdateien 1 Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Informationstext und w hlen Sie Neu gt Text 2 Geben Sie im Feld Textelementname einen Namen f r de
75. haben Hierzu gibt es verschiedene M glichkeiten m Geben Sie den eindeutigen Namen direkt ein W hlen Sie einen Namen indem Sie auf im Abschnitt Virtueller Client des Dialogs Recovery Typ klicken Klicken Sie anschlie end auf Jetzt suchen Eine Liste mit virtuellen Clients wird angezeigt W hlen Sie den gew nschten virtuellen Client aus und klicken Sie auf OK Der Name des virtuellen Clients wird nun im Fenster Recovery Typ unter Virtueller Client angezeigt Klicken Sie auf Weiter um den Namen der Datei mit dem virtuellen Client zu best tigen Im n chsten Schritte w hlen Sie die erforderliche Recovery Aktion aus 23 9 7 Angeforderten Schl ssel ausw hlen zentral verwaltete Clients Voraussetzung Sie m ssen den erforderlichen virtuellen Client im Recovery Assistenten des SafeGuard Management Center ausgew hlt haben Eine Response kann nur f r zugewiesene Schl ssel erzeugt werden Ist ein Schl ssel inaktiv d h der Schl ssel ist nicht mindestens einem Benutzer zugewiesen ist eine Response mit einem virtuellen Client nicht m glich In diesem Fall kann der inaktive Schl ssel zun chst einem beliebigen Benutzer zugewiesen werden Danach kann eine Response f r den Schl ssel generiert werden l W hlen Sie im Recovery Assistenten unter Virtueller Client die erforderliche Recovery Aktion Schl ssel angefordert und klicken Sie auf Weiter Aktivieren Sie Recovery Schl ssel aus der Datenbank a
76. in der Datenbank gespeichert sein 1 W hlen Sie im Recovery Assistenten unter Virtueller Client die erforderliche Recovery Aktion Kennwort f r ausgew hlte Schl sseldatei und klicken Sie auf Weiter 2 Klicken Sie neben dieser Option auf und dann auf Suchen W hlen Sie die Schl sseldatei aus und klicken Sie auf OK 3 Best tigen Sie Ihre Auswahl mit Weiter Das Fenster f r die Eingabe des Challenge Codes wird angezeigt 4 Geben Sie den vom Benutzer erhaltenen Challenge Code ein und klicken Sie auf Weiter Der Challenge Code wird gepr ft Wenn der Challenge Code korrekt eingegeben wurde wird der Response Code erzeugt Wurde der Code nicht korrekt eingegeben wird unterhalb des Blocks der den Fehler enth lt der Text Ung ltig angezeigt 5 Teilen Sie dem Benutzer den Response Code mit Hierzu steht eine Buchstabierhilfe zur Verf gung Sie k nnen den Response Code auch in die Zwischenablage kopieren Der angeforderte Schl ssel wird mit dem Response Code an die Benutzerumgebung bertragen 266 SafeGuard Enterprise 5 50 Administrator Hilfe 23 9 10 Response Code im KeyRecovery Tool eingeben 267 1 Geben Sie im KeyRecovery Tool auf dem Endpoint Computer den Response Code ein den Sie vom Helpdesk erhalten haben Mit dem Response Code wird der erforderliche Recovery Schl ssel bertragen 2 Klicken Sie auf OK Das f r das Challenge Response Verfahren gew hlte Laufwerk wird entschl sselt A Schl
77. lange auf dem Computer zurVerf gung bis ein neues Konfigurationspaket erstellt und zugewiesen wird F r weitere Details zu POA Gruppen siehe POA Access Account Gruppen erstellen Seite 105 F r weitere Details zum ndern der POA Access Account Zuweisung siehe POA Access Account Zuweisungen auf Endpoint Computern ndern Seite 108 14 4 POA Access Account Gruppen erstellen 105 Damit die POA Access Accounts Endpoint Computern ber Konfigurationspakete zugewiesen werden k nnen m ssen sie in Gruppen zusammengefasst werden Beim Erstellen von Konfigurationspaketen k nnen Sie dann eine POA Access Account Gruppe f r die Zuweisung ausw hlen So erstellen Sie POA Access Account Gruppen 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Benutzer amp Computer Navigationsbereich unter POA den Knoten POA Gruppen 3 Klicken Sie im POA Gruppen Kontextmen auf Neu gt Neue Gruppe erstellen Der Neue Gruppe erstellen Dialog wird angezeigt 4 Geben Sie im Feld Vollst ndiger Name einen Namen f r die neue POA Gruppe ein 5 Optional k nnen Sie eine Beschreibung f r die neue POA Gruppe eingeben 6 Klicken Sie auf OK Die neue POA Access Account Gruppe wird angelegt und unter POA Gruppen im Benutzer amp Computer Navigationsbereich angezeigt Sie k nnen nun Benutzer d h POA Access Accounts zur Gruppe hinzuf gen SafeGuard Enterprise 5 50 Administrator
78. nur teilweise erfolgreich durchgef hrt wird 326 SafeGuard Enterprise 5 50 Administrator Hilfe 536870946 Eine gew nschte Funktion wird nicht vom CBI Archiv unterst tz 536870947 Es wurde versucht einen Wert f r ein Objekt einzustellen welches nicht eingestellt oder abge ndert werden kann 536870948 Ein ung ltiger Wert wurde f r ein Objekt angegeben 536870949 Es wurde versucht den Wert eines Objektes zu erlangen was jedoch fehlschlug da es sich um ein sensibles Objekt handelt bzw es nicht extrahierbar ist 536870950 Die angegebene OIN Lust abgelaufen Ob eine PIN eines normalen Benutzers auf einem ausgegebenen Token jemals abl uft variiert von Token zu Token 536870951 Die angegebene PIN ist falsch der Benutzer konnte nicht authentisiert werden 536870952 Die angegebene PIN enth lt ung ltige Zeichen Dieser Antwort Code wird nur f r Funktionen angewandt die versuchen eine PIN einzurichten 536870953 Die angegebene PIN ist zu lang oder zu kurz Dieser Antwort Code wird nur f r Funktionen angewandt die versuchen eine PIN einzurichten 536870954 Die angegebene PIN ist geblockt und kann nicht genutzt werden Dies tritt auf weil eine gewisse Anzahl an fehlgeschlagenen Versuchen zur Authentisierung aufgetreten ist und der Token weitere Versuche zur Authentisierung ablehnt 536870955 Die angegebene Slot ID ist ung ltig 536870956 Der Token war zu dem Zeitpunkt als die Fun
79. regul re Voll Lizenz an Toleranzwert Zeigt den festgelegten Toleranzwert f r die berschreitung der Anzahl an erworbenen Lizenzen an Wenn Sie die Registerkarte Lizenzen in einer Dom ne OU aufrufen zeigt die bersicht den Status basierend auf den Computern im jeweiligen Zweig Unterhalb dieser bersicht finden Sie Informationen zu den lizenzierten Token Modulen Im unteren Bereich wird der globale Lizenzstatus unabh ngig davon welche Dom ne oder OU ausgew hlt wurde angezeigt Dies erfolgt durch eine Meldung mit einer dem Ampelprinzip folgenden Hintergrundfarbe Gr n g ltig Gelb Warnung Rot Fehler und ein Symbol Bei Warnungs und Fehlermeldungen erhalten Sie au erdem im unteren Bereich Hinweise zur Aufhebung des ung ltigen Lizenzstatus 32 SafeGuard Enterprise 5 50 Administrator Hilfe 33 6 5 Die im mittleren und unteren Bereich angezeigten Symbole haben folgende Bedeutung GV G ltige Lizenz A Ung ltige Lizenz Warnung Ung ltige Lizenz Fehler Zu Lizenzstatus die eine Warnung oder einen Fehler zur Folge haben siehe Lizenz berschreitung auf Seite 34 Sie k nnen die Ansicht des Lizenzstatus berblicks aktualisieren indem Sie auf die Schaltfl che Lizenzstatus aktualisieren klicken Lizenzdateien importieren Voraussetzung Um eine Lizenzdatei in die SafeGuard Enterprise Datenbank zu importieren ben tigen Sie als Sicherheitsbeauftragter die Berechtigung Lizenzdatei
80. rtern bereits zum Pre Boot Zeitpunkt keine separaten Zugangsdaten mehr die sich der Benutzer merken muss Unterst tzung von Unicode und damit auch fremdsprachigen Kennw rtern bzw Benutzeroberfl chen 226 SafeGuard Enterprise 5 50 Administrator Hilfe 20 1 Ablauf der Anmeldung SafeGuard Enterprise arbeitet mit zertifikatsbasierter Anmeldung Deswegen ben tigt ein Benutzer zur erfolgreichen Anmeldung in der Power on Authentication Schl ssel und Zertifikate Benutzerspezifische Schl ssel und Zertifikate werden jedoch erst nach einer erfolgreichen Windows Anmeldung erzeugt Das hei t nur Benutzer die sich erfolgreich an Windows angemeldet haben k nnen sich sp ter auch in der Power on Authentication authentisieren Um den Ablauf der Anmeldung eines Benutzers in SafeGuard Enterprise zu verdeutlichen im Folgenden eine kurze Einf hrung Eine detaillierte Beschreibung der POA Anmeldevorg nge finden Sie in der SafeGuard Enterprise Benutzerhilfe Hinweis Unter Windows Vista m ssen Benutzer erst die Tastenkombination Strg Alt Entf dr cken um Autologon und Anmeldung zu starten Diese Einstellung kann der Administrator in der MMC Konsole im Gruppenrichtlinien Objekteditor unter Windows Einstellungen gt Sicherheitseinstellungen gt Lokale Richtlinien gt Sicherheitsoptionen deaktivieren Interaktive Anmeldung kein Strg Alt Entf erforderlich 20 1 1 SafeGuard Autologon 227 Nach dem Neustart erscheint bei der ersten An
81. sich festlegen welche Art von TPM Plattform Validierungsprofil verwendet werden soll Das TPM Plattform Validierungsprofil spezifiziert die Ma nahmen die zum Schutz der BitLocker Verschl sselungsschl ssel angewendet werden sollen Ein TPM Plattform Validierungsprofil besteht aus einer Reihe von PCR Indizes Platform Configuration Register Microsoft empfiehlt die Verwendung des Default Profils f r die Validierung der TPM Plattform in Windows Vista das die folgenden Komponenten absichert m den Verschl sselungsschl ssel gegen nderungen am CRTM Core Root of Trust of Measurement BIOS sowie an Plattformerweiterungen PCR 0 m Option ROM Code PCR 2 m Master Boot Record MBR Code PCR 4 m NTFS Boot Sector PCR 8 m NTFS Boot Block PCR 9 m Boot Manager PCR 10 m BitLocker DE Access Control PCR 11 Hinweis Diese Option steht nur dann zur Verf gung wenn TPM als Anmeldemodus ausgew hlt wurde Wurde USB Stick ausgew hlt ist diese Option nicht verf gbar Weitere Informationen zum TPM Plattform Validierungsprofil finden Sie hier http msdn2 microsoft com en us library aa376469 aspx SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinieneinstellung Erkl rung ERFOLGLOSE ANMELDUNGEN Maximalanzahl von erfolglosen Anmeldeversuchen Bestimmt wie oft ein Benutzer ohne Folgen bei der Anmeldung einen ung ltigen Benutzernamen bzw ein ung ltiges Kennwort eingeben darf Mit 3
82. sie sich an ihrem anderen Computer anmeldet Laptop_Alice hat sie keinen Zugriff auf das Volume das mit dem Bootschl ssel des Computers SGNCLT verschl sselt ist Der SafeGuard Enterprise Client SGMCLT besitzt nur seinen eigenen Bootschl ssel BOOT_SGMCLT 276 SafeGuard Enterprise 5 50 Administrator Hilfe 277 Der Sicherheitsbeauftragte teilt Alice den Bootschl ssel BOOT_SGNCLT auf folgende Weise zu 1 Auswahl des Benutzers Alice 2 Klick auf das Fernglas Symbol in der SafeGuard Enterprise Symbolleiste Das startet den Suchdialog in dem auch Bootschl ssel angezeigt werden k nnen 3 Auswahl des Schl ssels BOOT_SGMCLT Jetzt verf gt Alice ber zwei Schl ssel User_Alice und BOOT_SGMCLT Das kann unter Schl ssel amp Zertifikate nachgepr ft werden Der Schl ssel BOOT_SGMCLT ist zweimal zugewiesen zum Computer SGMCLT und zum Benutzer Alice Alice ist es nun m glich auf das verschl sselte Volume von jedem anderen SafeGuard Enterprise Client zuzugreifen auf dem sie sich anmelden kann Dann kann sie auf einfache Weise Tools wie den Windows Explorer oder regedit exe verwenden um die Ursache des Bootproblems zu beseitigen Wenn im schlimmsten Fall das Problem nicht gel st werden kann kann sie Daten aufein anderes Laufwerk sichern das Volume neu formatieren oder es ganz neu aufsetzen SafeGuard Enterprise 5 50 Administrator Hilfe 25 Bestand und
83. speichert den Benutzernamen und aktivieren die Dom ne des letzten angemeldeten Benutzers Benutzer m ssen den Benutzernamen also nicht jedesmal eingeben wenn sie sich anmelden NEIN Die POA speichert den Benutzernamen und die Dom ne des letzten angemeldeten Benutzers nicht 120 SafeGuard Enterprise 5 50 Administrator Hilfe 121 Richtlinieneinstellung Durchgehende Anmeldung an Windows Service Account Liste Erkl rung Hinweis Soll der Benutzer in der Lage sein anderen Benutzern Zugriff auf seinen Computer zu gew hren muss er in der Lage sein die durchgehende Anmeldung an Windows zu deaktivieren m Benutzer w hlen lassen Im POA Anmeldedialog kann der Benutzer durch Aktivieren Deaktivieren dieser Option entscheiden ob er automatisch an Windows angemeldet werden will oder nicht m Durchgehende Anmeldung erzwingen Der Benutzer wird immer automatisch an Windows angemeldet m Durchgehende Anmeldung deaktivieren Der Windows Anmeldedialog wird nach der POA Anmeldung angezeigt und der Benutzer muss sich manuell an Windows anmelden Um zu verhindern dass durch administrative Vorg nge auf einem durch SafeGuard Enterprise gesch tzten Computer die Power on Authentication aktivert wird und Rollout Beauftragte als Benutzer zum Computer hinzugef gt werden bietet SafeGuard Enterprise Service Account Listen f r Endpoint Computer Die Benutzer auf diesen Listen werden als SafeGuard Enterpris
84. 00 Uhr gestartet ist 150 SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinieneinstellung Anzahl der automatischen Anmeldungen Erkl rung Das SW Rollout Team erstellt 2 Kommandos f r das Scheduling Skript m Starte am 24 Sept 2010 12 15 Uhr SGSMCMDIntn exe WOlstart m Starte am 26 Sept 2010 09 00 Uhr SGMCMDIntn exe WOLstop Das SW Roll out Skript wird auf den 25 09 2010 03 00 datiert Am Ende des Skripts kann WOL explizit wieder deaktiviert werden mit SGMCMDlIntn exe WOLstop Alle Clients die sich bis zum 24 Sept 2010 an SafeGuard Enterprise anmelden und mit den Roll out Servern in Verbindung treten erhalten die neue Richtlinie und die Scheduling Kommandos Jeder Client auf dem der Scheduler zwischen dem 24 Sept 2010 12 00 Uhr und dem 25 Sept 2010 06 00 Uhr das Kommando SGMCMDIntn WOl start ausl st f llt in das obige WOL Zeitintervall und aktiviert demzufolge Wake OnLAN Definiert die Anzahl der Neustarts mit ausgeschalteter Power on Authentication f r Wake On LAN Diese Einstellung berschreibt tempor r die Einstellung von Power on Authentication aktivieren bis die Anzahl der eingestellten automatischen Anmeldungen erreicht ist Danach wird die Power on Authentication wieder aktiviert Beispiel Die Zahl der automatischen Anmeldungen ist auf 2 gesetzt Power on Authentication aktivieren ist eingeschaltet Der PC bootet zweimal ohne eine Authentisierung in der POA zu
85. 2 Der Benutzername f r einen Anwender lautet EMaier Steht Gro Kleinschreibung beachten auf JA und Mit Benutzernamen identisch auf NEIN darf Benutzer EMaier keine Variante seines Benutzernamens z B emaier oder eMaiEr etc als PIN verwenden SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinieneinstellung Erkl rung Tastaturzeile verboten Tastaturzeilen sind 123 oder qwe Maximal zwei auf der Tastatur nebeneinander liegende Zeichen sind erlaubt Tastaturzeilen beziehen sich nur auf den alphanumerischen Tastaturteil Tastaturspalte verboten Als Tastaturspalten werden eingetippte Zeichenreihen wie yaql xsw2 oder 3edc nicht aber yse4 xdr5 oder cft6 bezeichnet Erlaubt sind maximal zwei in einer Tastaturspalte befindliche Zeichen Verbieten Sie Tastaturspalten werden derartige Zeichenkombinationen als PINs abgelehnt Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil Drei oder mehr aufeinanderfolgende Zeichen verboten Verboten werden mit Aktivierung dieser Option Zeichenketten m dieim ASCI Code aufeinander folgen sowohl in auf als auch in absteigender Reihenfolge abc cba lt etc m die aus drei oder mehr identischen Zeichen aaa oder 111 bestehen Benutzername als PIN Bestimmt ob Benutzername und PIN identisch sein d rfen verboten JA Benutzer
86. 2415919105 Keine Konfigurationsdatei verf gbar 2415919106 Keine Verbindung zum Server 2415919107 Keine weiteren Datenpakete vorhanden 2415919108 Ung ltige Priorit t beim Senden zum Server 2415919111 Datenbank Anmeldung fehlgeschlagen 2415919112 Falsche Session ID 2415919113 Datenpaket ignoriert 3674210305 Dom ne nicht gefunden 3758096385 Das Kennwort enth lt nicht gen gend Buchstaben 3758096386 Das Kennwort enth lt nicht gen gend Zahlen 3758096387 Das Kennwort enth lt nicht gen gend Sonderzeichen 3758096388 Das Kennwort entspricht dem Benutzernamen 3758096391 Das Kennwort wurde in der Liste der verbotenen Kennw rter gefunden 332 SafeGuard Enterprise 5 50 Administrator Hilfe 333 3758096394 Das Kennwort enth lt eine Tastaturspalte mit mehr als zwei Zeichen 3758096395 Das Kennwort hat seinen G ltigkeitszeitraum noch nicht erreicht 3758096396 Das Kennwort hat seine G ltigkeitsdauer berschritten 3758096397 Das Kennwort hat seine minimale G ltigkeitsdauer noch nicht erreicht 3758096399 Information ber einen bevorstehenden Wechsel des Kennwortes mu angezeigt werden 3758096400 nderung bei Erstanmeldung erforderlich 3758096401 Das Kennwort wurde in der History gefunden 3758096402 Fehler beim Verifizieren gegen die spezifizierte Blacklist 4026531842 XML Parse Fehler 4026531843 Fehler im Document Object Model XML
87. 3 Detect devices connected through the following ports PCI PCMCIA Devices 3 5 VW use W Firewire IV pcmcia W pci Internal Storage M wifi FireWire Devices o 0 More Filters Internal Storage o 0 WiFi Networks 1 More l Storage Devices 46 0 RO Oan a Communication Adapters 5 0 Report name Reporti Reports directory C Program Files Utimaco SafeGuardP Browse Gathering all information This may take several minutes A Write data to file C Program Files Utimaco SafeGuard PortAuditor Audits R Checked 0 Computers Got information from 0 Computers a Audit finished successfully m View Report Export Results Weitere Informationen hierzu finden Sie im SafeGuard PortAuditor User Guide SafeGuard Enterprise Administrator Hilfe 16 3 Richtlinien f r den Konfigurationsschutz In einer Richtlinie vom Typ Konfigurationsschutz wird festgelegt welche Ports zugelassen gesperrt oder eingeschr nkt sind Werden Ports eingeschr nkt so bedeutet dies dass nur die angegebenen Ger tetypen Ger temodelle Einzelger te oder WLAN Verbindungen Zugang ber den betreffenden Port erhalten sollen Eine Richtlinie definiert auch die Zugangsberechtigungen von Speicherger ttypen Speicherger tmodellen oder einzelnen Speicherger ten sowie WLAN Verbindungen Hier k nnen Sie entsprechend der Vorgehensweise f r Ger te festlegen ob Speicherger te zugelass
88. 8 16 5 Hier wird die Priorit t ber ein Kontextmen definiert und festgelegt ob die Richtlinie von anderen Einstellungen berschrieben werden Verschieben Gehezu f Verf gbare Richtlinien q 5A Richtlinien i fk Allgemeine Einstellungen i j Allgemeine Einstellungen Anmeldung OU_DE c Ger teschutz OU_LINZ Passphrase j PIN i E Spezifische Computereins SH Richtlinien Gruppen B LO_Linz A Bereits verwendete Richtlinien werden ausgegraut r Aktivierung Distinguished Name Distinguished Name Authenticated User 24 04 2008 17 03 04 24 04 2008 17 03 04 F Authenticated Users Authenticated Comp Authenticated Computers Authentisierte Benutzer und Authentisierte Computer zeigt an dass die Richtlinie f r alle Benutzer und Computer im Container Objekt gilt Verf gbare Gruppen q Stamm Filter ist aktiv a Authentisierte Benutzer Authentisierte Comp SHE uTmaco EDU f 3 Computers f2 Domain Controllers HZ Users DHCP Adminis iO AON M 4 Im Aktivierungsbereich werden die Gruppen Authentisierte Benutzer bzw Computer angezeigt Die Richtlinie gilt jetzt f r alle Gruppen innerhalb der OU bzw Dom ne 84 SafeGuard Enterprise 5 50 Administrator Hilfe 10 6 1 Richtlinien f r einzelne Gruppen aktivieren 85 Richtlinie Priorit t A Kein berschreiben nderungsdatum Richtlini
89. ABC ausw hlen gt Benutzer via Drag amp Drop zuweisen Damit haben Sie eine UMA festgelegt 2 Setzen Sie in einer Computerrichtlinie die Einstellung Importieren von neuen Benutzern erlaubt f r auf Niemand Da es Benutzer_a Benutzer_b Benutzer_c nicht erlaubt werden soll Benutzer hinzuzuf gen ist es nicht notwendig einen Benutzer als Besitzer festzulegen 3 Weisen Sie die Richtlinie dem Computer zu bzw an einer Stelle in der Verzeichnisstruktur zu wo sie f r den Computer wirksam wird Bei der Anmeldung des ersten Benutzers an Computer_ABC siehe Ablauf der Anmeldung auf Seite 201 wird ein Autologon f r die POA ausgef hrt Die Computerrichtlinien werden an den Benutzer Computer geschickt Da Benutzer_a in der UMA eingetragen ist wird er im Zuge der Windows Anmeldung komplettiert Seine Benutzerrichtlinien Zertifikate und Schl ssel werden an den Endpoint Computer geschickt Die POA wird aktiviert Hinweis Der Benutzer kann ber die Statusausgabe im SafeGuard Tray Icon berpr fen wann dieser Vorgang abgeschlossen ist Benutzer_a existiert nun als kompletter Benutzer in SafeGuard Enterprise und kann sich bei der n chsten Anmeldung in der POA authentisieren und wird automatisch angemeldet Benutzer_a f hrt nun den Computer herunter und Benutzer_b will sich anmelden Da die POA aktiviert ist findet kein Autologon mehr statt F r die Benutzer_b und Benutzer_c gibt es nun zwei M glichkeiten Zugang zu diesem Computer z
90. Anmeldung an der POA angezeigt werden Option im Richtlinientyp Spezifische Computereinstellungen Text f r rechtliche Hinweise m Text mit zus tzlichen Informationen der nach der Anmeldung an der POA angezeigt werden soll Option im Richtlinientyp Spezifische Computereinstellungen Text f r zus tzliche Informationen 20 3 2 1 Informationstexte registrieren Die Textdateien mit den gew nschten Informationen m ssen erstellt werden bevor sie im SafeGuard Management Center registriert werden k nnen Die maximale Dateigr e f r Informationstexte betr gt 50 KB SafeGuard Enterprise verwendet nur Unicode UTF 16 kodierte Texte Wenn Sie die Textdateien nicht in diesem Format erstellen werden Sie bei der Registrierung automatisch in dieses Format konvertiert Wenn eine Konvertierung durchgef hrt wird werden Sie durch eine Meldung dar ber informiert 232 SafeGuard Enterprise 5 50 Administrator Hilfe So registrieren Sie die Textdateien 1 Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Informationstext und w hlen Sie Neu gt Text 2 Geben Sie unter Textelementname einen Namen f r den anzuzeigenden Text ein 3 W hlen Sie ber die Schaltfl che die zuvor erstellte Textdatei aus Wenn eine Konvertierung notwendig ist wird eine entsprechende Meldung angezeigt 4 Klicken Sie auf OK Informationstext im Richtlinien Navigationsbereich angezeigt Ist ein Textelement markiert wird sei
91. Bei der Anmeldung an die Datenbank wird die Datenbankintegrit t automatisch gepr ft Sollte diese berpr fung Fehler ergeben wird der Dialog Datenbankintegrit t pr fen angezeigt Sie k nnen die Datenbankintegrit t auch jederzeit nach der Anmeldung pr fen und hierzu den Dialog Datenbankintegrit t pr fen aufrufen 1 W hlen Sie Extras gt Datenbankintegrit t in der Men leiste des SafeGuard Management Centers 2 Um die Tabellen zu pr fen klicken Sie auf Alle pr fen oder Ausgew hlte pr fen Danach werden fehlerhafte Tabellen im Dialog markiert Um die Fehler zu beheben klicken Sie auf Reparieren 24 SafeGuard Enterprise 5 50 Administrator Hilfe 25 5 1 Unternehmenszertifikate und Zertifikat des Haupt Sicherheitsbeauftragten exportieren In einer SafeGuard Enterprise Installation sind die beiden folgenden Elemente von entscheidender Bedeutung und erfordern daher die Erstellung von Backups an einem sicheren Speicherort m dasin der SafeGuard Datenbank gespeicherte Unternehmenszertifikat m das Zertifikat des Haupt Sicherheitsbeauftragten MSO im Zertifikatsspeicher des Computers auf dem das SafeGuard Management Center installiert ist Beide Zertifikate lassen sich als p12 Dateien zur Erstellung von Sicherungskopien exportieren Installationen lassen sich dann durch Importieren des relevanten Unternehmenszertifikats sowie des Zertifikats des Haupt Sicherheitsbeauftragten als P12 Dateien wiederherstellen
92. BoardMembers Bulltin H Computers E ws p en 01 E r apm n E p cuent 8 Desktops HZ Domain Controllers H ForeignSecurityPrincipals 42 Headquarter Laptops 8 NewEmployees HD Users Richtlinien EP Veschieben Teen EI A Schl ssel amp Zertifikate 7 Token amp Sicherheitsbeauftragte Berichte Schl ssel Richtlinien Bestand Synchronisation Lizenzen Filter Computername 2 IV Einschlie lich Sub Container Letzte nderung anzeigen F Computerna Betriebss Letzte erhaltene Ri verschl sselte Lau Unverschl sselte La POA nderungsdatum Aktualisierung Stamm DSN A E WS XP EN indows X 5 19 2008 4 23 12 A C D EFGH SGN M C 5 19 2008 4 26 3 Computers Laufwerke Benutzer Module Spalte Benutzername Erkl rung Zeigt den Benutzernamen des jeweiligen Benutzers Benutzer ist Besitzer Benutzer ist gesperrt Gibt an ob der Benutzer als Besitzer der Maschine definiert ist Gibt an ob der Benutzer gesperrt ist SafeGuard Enterprise 5 50 Administrator Hilfe 25 1 6 Registerkarte Module Die Registerkarte Module liefert eine bersicht zu allen auf dem Computer installierten SafeGuard Enterprise Modulen SafeGuard Management Center MSO auf SGNSRY SafeGuard oj x Datei Bearbeiten Ansicht Gehezu Aktionen E
93. C 154 SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinieneinstellung Erkl rung TOKENUNTERST TZUNG EINSTELLUNGEN F R PKCS 11 MODUL 1 Registriert das PKCS 11 Modul eines Token Zur Auswahl stehen Modulname m Siemens CardOS API m AET SafeSign Identity Client m Charismatics Smart Security Interface m Aladdin eToken PKI Client m RSA Authentication Client 2 x m RSA Smart Card Middleware 3 x m Activldentity ActivClient m a sign Client m Gemalto NET Card m Gemalto Classic Client m Gemalto Access Client m IT Solution trustWare CSP m Estonian ID Card m NetKey 3 0 155 SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinieneinstellung Dienste auf die gewartet wird Erkl rung Lizenzinformationen f r Siemens und Charismatics Beachten Sie dass f r die Benutzung der jeweiligen Middleware f r das Standard Betriebssystem eine Lizenzvereinbarung mit Siemens Medical Charismatics erforderlich ist Um Lizenzen zu erwerben wenden Sie sich bitte an m Global Siemens Healthcare Headquarters Siemens AG Healthcare Sector Henkestrasse 127 D 91052 Erlangen Tel 49 69 797 6602 m http www charismathics com cryptoshop shop_content php oder sales charismathics com Diese Einstellung dient zur Problembehebung mit bestimmten Token Entsprechende Einstellungen werden gegebenenfalls von unserem Support bekanntgegeben 156 SafeGuard Enterprise Admini
94. Challenge Response Verfahren wieder Zugang zu seinem Computer zu erhalten JA Benutzer darf Challenge erzeugen In diesem Fall kann der Benutzer ber ein Challenge Response Verfahren in Notf llen wieder Zugang zu seinem Computer erhalten NEIN Benutzer darf keine Challenge erzeugen In diesem Fall kann der Benutzer im Notfall kein Challenge Response Verfahren starten um wieder Zugang zu seinem Computer zu erhalten Automatische Anmeldung an Windows erlauben Erlaubt dem Benutzer nach einer Authentisierung per Challenge Response die automatische Anmeldung an Windows JA Benutzer wird automatisch an Windows angemeldet NEIN Windows Anmeldebildschirm erscheint Anwendungsfall Ein Benutzer hat sein Kennwort vergessen SafeGuard Enterprise meldet ihn nach Austausch von Challenge und Response ohne SGN Kennwort am PC an In diesem Fall wird die automatische Anmeldung an Windows ausgeschaltet und der Windows Anmeldebildschirm erscheint Da der Benutzer sein SGN Kennwort Windows Kennwort nicht wei kann er sich nicht anmelden Mit JA wird eine automatische Anmeldung erlaubt und der Benutzer bleibt nicht im Windows Anmeldebildschirm stecken 114 SafeGuard Enterprise 5 50 Administrator Hilfe 115 Richtlinieneinstellung Erkl rung Informationstext Zeigt nach dem Starten eines Challenge Response Vorgangs in der POA einen Informationstext Als Informationstext kann hier beispielsweise stehen
95. Computer Um sich anzumelden m ssen sie lediglich eine bestimmte Anzahl an vordefinierten Fragen in der Power on Authentication beantworten Local Self Help reduziert die Anzahl an Helpdesk Anforderungen f r Recovery Vorg nge die die Anmeldung betreffen Helpdesk Mitarbeitern werden somit Routine Aufgaben abgenommen und sie k nnen sich auf komplexere Support Anforderungen konzentrieren F r detaillierte Informationen siehe Recovery ber Local Self Help auf Seite 240 m Recovery ber Challenge Response Das Challenge Response Verfahren ist ein sicheres und effizientes Recovery System das Benutzer unterst tzt die sich nicht mehr an ihrem Computer anmelden oder nicht mehr auf verschl sselte Daten zugreifen k nnen W hrend eines Challenge Response Verfahrens bermittelt der Benutzer einen auf dem Endpoint Computer erzeugten Challenge Code an den Helpdesk Beauftragten Dieser erzeugt auf der Grundlage des Challenge Codes einen Response Code der den Benutzer zum Ausf hren einer bestimmten Aktion auf dem Computer berechtigt Mit Recovery ber Challenge Response bietet SafeGuard Enterprise verschiedene Workflows f r typische Recovery Szenarien f r die die Unterst tzung durch ein Helpdesk erforderlich ist F r detaillierte Informationen siehe Recovery ber Challenge Response auf Seite 246 m System Recovery SafeGuard Enterprise bietet verschiedene Methoden und Tools f r Recovery Vorg nge in Bezug auf wichtige System und Saf
96. Computer des SafeGuard Management Center definiert Benutzer ID und Kennwort und werden den Endpoint Computer ber POA Gruppen in Konfigurationspaketen zugewiesen F r detaillierte Informationen zu POA Access Accounts siehe POA Access Accounts f r die POA Anmeldung an Standalone Computern auf Seite 103 96 SafeGuard Enterprise 5 50 Administrator Hilfe 97 13 Service Account Listen f r die Windows Anmeldung Bei den meisten Implementationen von SafeGuard Enterprise installiert zun chst ein Rollout Team neue Computer in einer Umgebung Danach folgt die Installation von SafeGuard Enterprise Zu Installations und Pr fungszwecken meldet sich der Rollout Beauftragte dann am jeweiligen Computer an bevor der Endbenutzer diesen erh lt und die M glichkeit hat die Power on Authentication zu aktivieren So ergibt sich folgendes Szenario 1 SafeGuard Enterprise wird auf einem Computer installiert 2 Nach dem Neustart des Computers meldet sich der Rollout Beauftragte an 3 Der Rollout Beauftragte wird zur POA hinzugef gt und die POA wird aktiv Wenn der Endbenutzer den Computer erh lt kann er sich nicht an der POA anmelden und muss ein Challenge Response Verfahren durchf hren Um zu verhindern dass administrative Vorg nge auf einem durch SafeGuard Enterprise gesch tzten Computer bewirken dass die Power on Authentication aktiviert wird und Rollout Beauftragte als Benutzer zum Computer hinzugef gt werden erm glicht Saf
97. Data Exchange muss der Benutzer eine Passphrase eingeben die f r die Erzeugung von lokalen Schl sseln verwendet wird Die auf den Endpoint Computern erzeugten Schl ssel werden auch in der SafeGuard Enterprise Datenbank gespeichert Welchen Anforderungen diese Passphrase entsprechen muss wird in Richtlinien vom Typ Passphrase eingestellt Weitere Informationen zu SafeGuard Data Exchange und SafeGuard Portable finden Sie in der SafeGuard Enterprise Benutzerhilfe Richtlinieneinstellung Erkl rung REGELN Mindestl nge der Passphrase Legt fest aus wie vielen Zeichen die Passphrase aus der der Schl ssel erzeugt wird mindestens bestehen muss Der gew nschte Wert kann entweder direkt eingegeben oder durch Bet tigen der Richtungstasten vergr ert bzw verkleinert werden Maximall nge der Passphrase Mindestanzahl an Buchstaben Mindestanzahl an Ziffern Mindestanzahl an Symbolen Gro Kleinschreibung beachten Legt fest aus wie vielen Zeichen die Passphrase maximal bestehen darf Der gew nschte Wert kann entweder direkt eingegeben oder durch Bet tigen der Richtungstasten vergr ert bzw verkleinert werden Mit diesen Einstellungen wird erreicht dass eine Passphrase nicht ausschlie lich Zeichen Ziffern oder Sonderzeichen enth lt sondern aus einer Kombination bestehen muss z B 15blume etc Diese Einstellung ist nur dann sinnvoll wenn eine Mindestl nge definiert ist die gr er 2 ist Diese Einste
98. Dateinamens 260 Zeichen Zum Anlegen eines Sicherheitsbeauftragten ist der ffentliche Teil des Zertifikats zwar ausreichend Bei der Anmeldung am Management Center wird allerdings der private Teil des Zertifikats die Schl sseldatei verlangt Liegt diese nicht in der Datenbank vor muss sie dem Sicherheitsbeauftragten zur Verf gung stehen und kann bei der Anmeldung dann ggf im Zertifikatsspeicher abgelegt werden Importieren Ein existierendes Zertifikat wird importiert und anschlie end dem Beauftragten zugewiesen Wird aus einer p12 Schl sseldatei importiert muss das Kennwort des Zertifikats bekannt sein Wird ein PKCS 12 Zertifikatscontainer ausgew hlt werden alle Zertifikate in die Liste der zuweisbaren Zertifikate geladen Die Zuweisung des Zertifikats erfolgt nach dem Import indem das Zertifikat im Dropdown Listenfeld ausgew hlt wird 54 SafeGuard Enterprise 5 50 Administrator Hilfe 55 Eingabefeld Kontrollk stchen Beschreibung Rollen des Beauftragten Rollen Dem Beauftragten k nnen vordefinierte oder benutzerdefinierte Rollen zugewiesen werden Die mit jeder Rolle verbundenen Rechte werden nach dem Klicken auf die entsprechende unter zugelassene Aktion im Aktionsbereich angezeigt Zum Aufrufen der Rechte k nnen Sie auch mit der rechten Maustaste auf den Sicherheitsbeauftragten klicken und Eigenschaften Aktionen w hlen Einem Benutzer k nnen mehrere Rollen zugewiesen werden Vordefinierte
99. Device Protection Ziel Lokale Datentr ger Massenspeicher Boot Laufwerke ael B General Settings Global 80 General Settings OU_EN Lokale Datentr ger Massenspeicher Boot Laufwerke B Logging Verschl sselungsmodus f r Medien S Passphrase Alk ine Ei a E Device Protection Ger teschutz Passwort d Al lung rn Schl ssel f r die Verschl sselung AES128 Specific Machine Settings F r Verschl sselung definierter Schl ssel AES256 1 Richtlinien Gruppen H wert AES128 mit Diffuser E Bider CPU Maximalwert AES256 mit Diffuser B Informationstext Benutzer darf einen lokalen Schl ssel erzeugen Yolume basierende Einstellungen EA White I icke 27 5 3Verschl sselungsrichtlinien f r die BitLocker Laufwerkverschl sselung Der Sicherheitsbeauftragte kann eine Richtlinie f r die Erst Verschl sselung im SafeGuard Management Center anlegen und diese an die BitLocker Endpoint Computer verteilen Die Richtlinie wird daraufhin auf den Endpoint Computern ausgef hrt Da die BitLocker Clients im Management Center transparent verwaltet werden muss der Sicherheitsbeauftragte keine speziellen BitLocker Einstellungen f r die Verschl sselung vornehmen SafeGuard Enterprise kennt den Status der Clients und w hlt die BitLocker Verschl sselung entsprechend Wird ein Bitlocker Client mit SafeGuard Enterprise installiert und wird die Volume Verschl sselung aktiviert
100. Die Zertifikate k nnen beim Anlegen einer neuen Datenbank verwendet werden Das Wiederherstellen einer Sicherungskopie der gesamten Datenbank ist somit nicht notwendig Hinweis Wir empfehlen diesen Vorgang direkt nach der Erstkonfiguration des SafeGuard Management Center auszuf hren Zertifikat des Haupt Sicherheitsbeauftragten exportieren Um ein Backup des Zertifikats des derzeit am SafeGuard Management Center angemeldeten Haupt Sicherheitsbeauftragten zu erstellen gehen Sie wie folgt vor 1 W hlen Sie Extras gt Optionen in der SafeGuard Management Center Men leiste 2 Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im Bereich lt Administrator gt Zertifikat auf Exportieren 3 Sie werden dazu aufgefordert ein Kennwort f r die Sicherung der exportierten Datei einzugeben Geben Sie ein Kennwort ein best tigen Sie es und klicken Sie auf OK 4 Geben Sie einen Dateinamen und eine Speicherort f r die zu exportierende Datei ein und klicken Sie auf OK Das Zertifikat des derzeit angemeldeten Hauptsicherheitsbeauftragten wird als P12 Dateian den definierten Speicherort exportiert und kann f r Recovery Vorg nge benutzt werden SafeGuard Enterprise 5 50 Administrator Hilfe 5 2 5 3 Unternehmenszertifikate exportieren Hinweis Nur Haupt Sicherheitsbeauftragte sind dazu berechtigt Unternehmenszertifikate zur Erstellung eines Backups zu exportieren 1 W hlen Sie Extras gt Optionen in der SafeGuar
101. Dienst starten fehlgeschlagen System Dienst angehalten System Integrit tstest der Dateien fehlgeschlagen System Logging Ziel nicht verf gbar System Nicht genehmigter Versuch SafeGuard Enterprise zu deinstallieren Anmeldung Externe GINA erkannt und erfolgreich eingebunden Anmeldung Externe GINA erkannt Einbindung fehlgeschlagen Anmeldung Power on Authentication ist aktiviert Anmeldung Power on Authentication ist deaktiviert Anmeldung Wake on LAN ist aktiviert Anmeldung 2006 Wake on LAN ist deaktiviert Anmeldung 2007 Challenge erzeugt Anmeldung Response erzeugt Anmeldung Anmeldung erfolgreich durchgef hrt Anmeldung Anmeldung fehlgeschlagen Anmeldung Benutzer w hrend Anmeldung importiert und als Besitzer markiert Anmeldung 2012 Benutzer vom Besitzer importiert und als Nicht Besitzer markiert Anmeldung 2013 Benutzer von Nicht Besitzer importiert und als Nicht Besitzer markiert Anmeldung 2014 Benutzer als Besitzer entfernt Anmeldung 2015 Import des Benutzers w hrend der Anmeldung fehlgeschlagen Anmeldung 2016 Benutzer hat sich abgemeldet Anmeldung 2017 Benutzer wurde zwangsweise abgemeldet 310 SafeGuard Enterprise 5 50 Administrator Hilfe Kategorie Ereignis ID Beschreibung Anmeldung 2018 Aktion wurde auf dem Ger t ausgef hrt Anmeldung 2019 Benutzer hat einen Kennwort PIN Wechsel eingeleitet
102. Directory speichern Dieser Vorgang muss manuell ber das Windows Tool Manage BDE sowie durch Speichern der Schl ssel in einer Gruppenrichtlinie durchgef hrt werden F r Windows 2003 Server muss hierzu jedoch das verwendete Active Directory Schema erweitert werden Dar ber hinaus sind f r die Wiederherstellung der Informationen Dom nen Administratorrechte erforderlich 27 5 2BitLocker Algorithmen in SafeGuard Enterprise 305 BitLocker unterst tzt die folgenden Advanced Encryption Standard AES Algorithmen m AES 128 m AES 256 m AES 128 mit Diffuser m AES 256 mit Diffuser Der Diffuser ist BitLocker spezifisch und wird nicht f r die volume basierende Verschl sselung von SafeGuard Enterprise verwendet Wird ein Algorithmus mit Diffuser f r die Verschl sselung ausgew hlt verwenden alle nativen SafeGuard Enterprise Module den entsprechenden Algorithmustyp ohne Diffuser Wird sowohl den Computern mit BitLocker Unterst tzung als auch den nativen SafeGuard Enterprise Computern eine Richtlinie zugewiesen so verwenden die nativen SafeGuard Enterprise Computer den Algorithmus ohne Diffuser und die BitLocker Computer den Algorithmus mit Diffuser SafeGuard Enterprise 5 50 Administrator Hilfe SafeGuard Management Center MSO an SGNSRY SafeGuard lol x Datei Bearbeiten Ansicht Gehezu Aktionen Extras Hilfe e 93 0 amp E A 5 A Richtlinien E Authentication OU_EN E Configuration Protection E
103. EN 01 9 2008 4 2 amp aom Laufwerke Benutzer Module P cuent 8 Desktops M Donan controler Laufwerksname a m Status Algorithmus sa BiA nA yPriieipa ba Wechseldatentr ger Unverschl sselt Z Headquarter 2 a c Fest Unverschl sseit B Laptops 8 NewEmployees D CD ROM DYD Unverschl sselt Qusers Efe Fest Unverschl sselt Er Fest Unverschl sselt E G Fest Unverschl sselt H Fest Unverschl sselt G Richtlinien IR Schl ssel amp Zertifikate 7 Token amp Sicherheitsbeauftragte Berichte 1voni x Erkl rung Laufwerksname Zeigt den Laufwerksnamen an Zeigt den Laufwerkstyp an z B Fest Wechseldatentr ger oder CD ROM DVD Typ Status Algorithmus Zeigt den Verschl sselungsstatus des Laufwerks an Zeigt f r verschl sselte Laufwerke den Algorithmus der zur Verschl sselung benutzt wurde an 282 SafeGuard Enterprise 5 50 Administrator Hilfe 25 1 5 Registerkarte Benutzer 283 Die Registerkarte Benutzer zeigt Bestand und Statusinformationen zu den Benutzern des jeweiligen Computers T SafeGuard Management Center MSO auf SGNSRY SafeGuard Datei Bearbeiten Ansicht Gehezu Aktionen Extras Hilfe porals ei Benutzer amp Computer E ker ist aktiv uthentisierte Benutzer I Authentisierte Computer 3 Automatisch registriert SHO UTIMACO EDU 9 Automatisch registriert amp Board Group 8
104. ER Schl ssel amp Zertifikate ol Token amp Sicherheitsbeauftragte Berichte Schl ssel Richtlinien Bestand Lizenzen Schl sselname r Vererbte Schl ssel Objektpfad Root_Root SGN SafeGuard Enterprise 5 50 Administrator Hilfe 3 1 Sich als neuer Benutzer registrieren Die Anmeldung eines neuen Benutzers erfolgt wie im Kapitel zur Power on Authentication beschrieben siehe Die Power on Authentication POA auf Seite 200 Wenn sich ein neuer Benutzer zum ersten Mal an SafeGuard Enterprise anmeldet wird bei der ersten Synchronisierung mit der Datenbank sein Status in der Datenbank gepr ft und das neue Objekt entsprechend den Informationen in der Datenbank unter dem jeweiligen Container angezeigt Wenn noch keine neue Arbeitsgruppe oder Dom ne angelegt wurde werden Benutzer im Verzeichnis Automatisch registriert des Stammverzeichnisses angelegt Wenn bereits eine Dom ne angelegt wurde der Benutzer Computer aber noch nicht importiert wurde werden sie im Verzeichnis Automatisch registriert der Dom ne hinzugef gt Hinweis Lokale Benutzer k nnen sich nicht mit einem leeren Kennwort an SafeGuard Enterprise anmelden Wenn sich lokale Benutzer mit leerem Kennwort an SafeGuard Enterprise anmelden bleiben sie G ste und werden nicht in der Datenbank gespeichert Wenn f r diese Benutzer zudem noch Windows Autologin aktiviert ist wird die Anmeldung abgebro
105. Eintr ge erstellen k nnen b SafeGuard PortAuditor Ergebnis importieren 185 Wenn Sie diese Option w hlen wird das Ergebnis eines Scans durch SafeGuard PortAuditor importiert Sie k nnen dann die von SafeGuard PortAuditor zur Verf gung gestellte Datei ber die Schaltfl che ausw hlen Nach dem Klicken auf OK wird der Inhalt der importierten Datei im SafeGuard Management Center angezeigt SafeGuard Enterprise Administrator Hilfe 16 4 2 Ger t unter Benutzung einer SafeGuard PortAuditor Datei hinzuf gen Voraussetzung Erstellen einer Ger teinformationsdatei Um eine Datei zu erstellen die Informationen zu den Ger ten die Sie zulassen m chten enth lt verwenden Sie SafeGuard PortAuditor zum Scannen der betreffenden Computer SafeGuard PortAuditor scannt die ausgew hlten Computer und liefert Informationen zu allen Ger ten und WLAN Netzwerken die derzeit mit diesen Computern verbunden sind bzw zu einem fr heren Zeitpunkt mit ihm verbunden waren Die Ergebnisse dieses Pr fvorgangs werden in einer XML Datei gespeichert Weitere Informationen zu SafeGuard PortAuditor finden Sie im SafeGuard PortAuditor 3 2 User Guide 16 4 2 1 Schritt 1 Ger teinformationen abrufen In diesem Schritt geben Sie die Datei an aus der die Informationen zu den Ger ten die hinzugef gt werden entnommen werden Das hei t Sie geben den Speicherort der SafeGuard PortAuditor XML Datei an die die erforderlichen Ger teinformatio
106. Gemalto Classic Client Gemalto Access Client IT Solution trustWare CSP Estonian ID Card NetKey 3 0 IT Solution GmbH Sertifitseerimiskeskus AS T Systems 200 SafeGuard Enterprise 5 50 Administrator Hilfe Lizenzinformationen f r Siemens und Charismatics Beachten Sie dass f r die Benutzung der jeweiligen Middleware f r das Standard Betriebssystem eine Lizenzvereinbarung mit Siemens Medical Charismatics erforderlich ist Um Lizenzen zu erwerben wenden Sie sich bitte an m Global Siemens Healthcare Headquarters Siemens AG Healthcare Sector Henkestrasse 127 D 91052 Erlangen Tel 49 69 797 6602 m http www charismathics com cryptoshop shop_content php oder sales charismathics com Die Middleware wird ber eine Richtlinie in SafeGuard Enterprise gesetzt Das SafeGuard Enterprise Client Konfigurationspaket muss zudem auf dem PC installiert sein auf dem das Management Center l uft 18 2 USB Token USB Token bestehen wie Smartcards aus einem Smartcard Leser und einer Smartcard wobei sich die beiden Einheiten in einem Geh use befinden 18 2 1 Unterst tzte USB Token an der Power on Authentication SafeGuard Enterprise unterst tzt sehr viele USB Token Voraussetzung ist dass eine der von der Power on Authentication von SafeGuard Enterprise unterst tzten Smartcards eingebaut ist und einer der unterst tzten Treiber verwendet wird Au erdem m ssen die USB Token von der entsprechenden M
107. Ger te auf einen Port zugreifen d rfen F r USB PCMCIA und FireWire Ports k nnen Sie festlegen welche Ger tetypen Ger temodelle und oder Einzelger te auf einen Port zugreifen k nnen m Ger tetypen Mit dieser Option k nnen Sie den Zugriff aufeinen Port nach dem Typ des Ger ts dasan dem Port angeschlossen ist einschr nken Bei Ger tetypen handelt es sich zum Beispiel um Drucker Netzwerkadapter Eingabeger te z B Maus oder Audio Video Ger te Die ausw hlbaren Ger tetypen sind in SafeGuard Configuration Protection integriert Wenn Sie ein Ger t zulassen m chten das nicht in der Typenliste aufgef hrt ist k nnen Sie die Optionen White List f r Ger temodelle oder White List f r einzelne Ger te wie nachfolgend beschrieben verwenden m White List f r Ger temodelle Diese Option bezieht sich auf das Modell eines bestimmten Ger tetyps z B alle HP Drucker oder alle USB Sticks des Modells M Systems m White List f r einzelne Ger te Diese Option bezieht sich auf eine Liste einzelner Ger te mit jeweils eindeutiger Seriennummer einzelne spezifische Ger te Zum Beispiel der PDA des CEO ist zugelassen alle anderen PDAs sind gesperrt Schutz gegen Hardware Key Logger Hardware Key Logger sind Ger te die in b sartiger Absicht zwischen Tastatur und Computer angebracht werden um die Tastatureingaben nachzuverfolgen und aufzuzeichnen und sich somit wertvolle Informationen insbesondere ID und Kennwort anzueig
108. Guard ist ein eingetragenes Warenzeichen von Utimaco Safeware AG a member of the Sophos Group Alle anderen erw hnten Produkt und Unternehmensnamen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Inhaber Alle SafeGuard Produkte unterliegen dem Urheberrecht der Utimaco Safeware AG amember of the Sophos Group oder sofern anwendbar ihrer Lizenzinhaber Alle weiteren Sophos Produkte unterliegen dem Urheberrecht der Sophos Plc oder sofern anwendbar ihrer Lizenzinhaber Copyright Informationen von Drittanbietern finden Sie in der Datei Disclaimer and Copyright for 3rd Party Software rtf in Ihrem Produktverzeichnis
109. Icon finden Sie in der SafeGuard Enterprise Benutzerhilfe Kapitel System Tray Icon und Balloon Ausgabe Beschreibung des Benutzerstatus Felds 13 7 Protokollierte Ereignisse Die in Zusammenhang mit Service Account Listen durchgef hrten Aktionen werden ber die folgenden Ereignisse protokolliert SafeGuard Management Center m Service Account Liste lt Name gt angelegt m Service Account Liste lt Name gt ge ndert m Service Account Liste lt Name gt gel scht Durch SafeGuard Enterprise gesch tzter Computer m Windows Benutzer lt Dom ne Benutzer gt hat sich um lt Zeit gt an Maschine lt Dom ne Computer gt als SGN Service Account angemeldet m Neue Service Account Liste importiert m Service Account Liste lt Name gt gel scht 102 SafeGuard Enterprise 5 50 Administrator Hilfe 14 POA Access Accounts f r die POA Anmeldung an 14 1 103 Standalone Computern F r durch SafeGuard Enterprise gesch tzte Standalone Computer d h Computer die nie eine Verbindung zum Server haben und im Standalone Modus laufen bietet SafeGuard Enterprise POA Access Accounts Nach der Installation von SafeGuard Enterprise und der Aktivierung der Power on Authentication POA kann der Zugang zu Endpoint Computern f r administrative Aufgaben notwendig sein Mit POA Access Accounts k nnen sich Benutzer z B Mitglieder des IT Teams zur Durchf hrung von administrativen Aufgaben an der Power on Authentication anmelden oh
110. Kategorie Ereignis ID Beschreibung Verschl sselung F amp F Frst Verschl sselung auf einem Laufwerk fehlerfrei beendet Verschl sselung 3516 F amp F Frst Verschl sselung auf einem Laufwerk fehlgeschlagen und beendet Verschl sselung F amp F Frst Verschl sselung auf einem Laufwerk abgebrochen Verschl sselung F amp F Entschl sselung auf einem Laufwerk gestartet Verschl sselung 3520 F amp F Entschl sselung auf einem Laufwerk fehlerfrei beendet Verschl sselung 3521 F amp F Entschl sselung auf einem Laufwerk fehlgeschlagen und beendet Verschl sselung 3522 F amp F Entschl sselung auf einem Laufwerk abgebrochen Verschl sselung F amp F Verschl sselung einer Datei gestartet Verschl sselung F amp F Verschl sselung einer Datei fehlerfrei beendet Verschl sselung F amp F Verschl sselung einer Datei fehlgeschlagen Verschl sselung F amp F Entschl sselung einer Datei gestartet Verschl sselung F amp F Entschl sselung einer Datei fehlerfrei beendet Verschl sselung F amp F Entschl sselung einer Datei fehlgeschlagen Verschl sselung Backup von Bootkey durchgef hrt Verschl sselung berschreitung der Anzahl von Verschl sselungsalgorithmen f r Start Laufwerke Verschl sselung Lesefehler von Schl sseldatenbereiche Verschl sselung Abweisen von Laufwerken gem den Richtlinien Verschl sselung Zugriffsschutz Verschl sselung Allgemeiner Verschl sselungsfehler Verschl sselung Verschl sselungsfehler
111. Laufwerk nicht gefunden Verschl sselung Verschl sselungsfehler Laufwerk nicht verf gbar Verschl sselung Verschl sselungsfehler Laufwerk entfernt Verschl sselung Verschl sselungsfehler Laufwerksfehler Verschl sselung Verschl sselungsfehler Der Schl ssel fehlt Verschl sselung Verschl sselungsfehler Der Original KSA Bereich ist 3610 besch digt SafeGuard Enterprise 5 50 Administrator Hilfe Kategorie Ereignis ID Beschreibung Verschl sselung 3611 Verschl sselungsfehler Der Sicherungs KSA Bereich ist besch digt Verschl sselung Verschl sselungsfehler Der ESA Bereich ist besch digt Zugriffskontrolle Port erfolgreich freigegeben Zugriffskontrolle Ger t erfolgreich freigegeben Zugriffskontrolle Speicherger t erfolgreich freigegeben Zugriffskontrolle 4403 WLAN erfolgreich freigegeben Zugriffskontrolle 4404 Port erfolgreich entfernt Zugriffskontrolle Ger t erfolgreich entfernt Zugriffskontrolle Speicherger t erfolgreich entfernt Zugriffskontrolle WLAN Verbindung erfolgreich getrennt Zugriffskontrolle Port eingeschr nkt Zugriffskontrolle 4409 Ger t eingeschr nkt Zugriffskontrolle 4410 Speicherger t eingeschr nkt Zugriffskontrolle WLAN eingeschr nkt Zugriffskontrolle Port gesperrt Zugriffskontrolle Ger t gesperrt Zugriffskontrolle Speicherger t gesperrt Zugriffskontrolle 4415 WLAN gesperrt 318 SafeGuard Enterp
112. Normalerweise wird die bekannte Fehlermeldung Ger t ist nicht formatiert M chten Sie es jetzt formatieren Ja Nein angezeigt SafeGuard Enterprise wird den DEK f r dieses Volume dennoch laden Jedes Tool das den Bootsektor reparieren kann soll dennoch laufen vorausgesetzt es passiert den SafeGuard Enterprise Upper Volume Filter 24 5 Windows Bootprobleme SafeGuard Enterprise ist mit seinem kryptographischen Konzept der volume spezifischen Schl ssel Bootsektor Key Storage Area KSA sehr flexibel Sie k nnen ein besch digtes System durch Booten eines Wiederherstellungsmediums von der Power on Authentication von SafeGuard Enterprise aus Windows PE mit dem SafeGuard Enterprise Verschl sselungs Subsystem installiert retten Diese Medien haben einen transparenten Ver Entschl sselungszugriff auf mit SafeGuard Enterprise verschl sselte Volumes Der Grund f r das nicht bootbare System kann von dort aus beseitigt werden 274 SafeGuard Enterprise 5 50 Administrator Hilfe 24 5 1 Verschl sselungs Subsystem Verschl sselungs Subsysteme sind z B BEFLT sys Systeme F hren Sie das unter Windows Bootprobleme beschriebene Verfahren aus und reparieren Sie das System 24 5 2 GINA Probleme F hren Sie zur Behebung von GINA Problemen z B Circular Loops das unter Windows Bootprobleme beschriebene Verfahren aus 24 6 Setup WinPE f r SafeGuard Enterprise 24 7 275 Um Zugriff auf verschl sselte Laufwerke mit
113. O EDU Authentisierte Benutzer und Authentisierte Computer wurden C Computers entfernt 3 Domain Controllers H Users 8 DHCP Adminis gt DHCP Benutzer Durch Ziehen in den Aktivierungsbereich wird die Richtlinie f r B DnsUpdateProxy die Gruppe aktiviert 8 Dom nen Adm Diese Richtlinie gilt jetzt ausschlie lich f r diese Gruppe SafeGuard Enterprise 5 50 Administrator Hilfe Wurden der bergeordneten OU ebenfalls Richtlinien zugeordnet gilt diese Richtlinie f r diese Gruppe zus tzlich zu jenen die f r die gesamte OU festgelegt wurden 10 7 bertragung von Richtlinien deaktivieren Um die bertragung von Richtlinien an dieEndpoint Computer zu deaktivieren stehen in der SafeGuard Management Center Symbolleiste die Schaltfl che Richtlinienverteilung aktivieren deaktivieren sowie im Men Bearbeiten der Befehl Richtlinienverteilung aktivieren deaktivieren zur Verf gung Wenn Sie auf diese Schaltfl che klicken den Befehl ausw hlen oder F3 dr cken werden keine Richtlinien an die Endpoint Computer gesendet Durch erneutes Klicken auf die Schaltfl che und Ausw hlen des Befehls oder Dr cken der F3 Taste wird die Deaktivierung wieder aufgehoben Hinweis Um die bertragung von Richtlinien zu deaktivieren ben tigen Sie als Sicherheitsbeauftragter die Berechtigung Richtlinienverteilung aktivieren deaktivieren Den beiden vordefinierten Rollen Haupt Sicherheitsbeauftragte
114. PIN eingeben Als Sicherheitsbeauftragter k nnen Sie diese spezifische PIN in einer Richtlinie vom Typ Authentisierung festlegen und sie verschiedenen Computern oder Computergruppen z B allen Computern eines Standorts zuordnen So aktivieren Sie die automatische Anmeldung mit einer Default Token PIN 1 Klicken Sie im SafeGuard Management Center auf Richtlinien 2 W hlen Sie eine Richtlinie des Typs Authentisierung 3 W hlen Sie unter Anmeldeoptionen bei Anmeldemodus die Option Token 4 Geben Sie bei PIN f r automatische Anmeldung mit Token die Default PIN an die f r die automatische Anmeldung verwendet werden soll In diesem Fall m ssen keine PIN Regeln beachtet werden Hinweis Diese Einstellung steht nur dann zur Verf gung wenn Sie als m glichen Anmeldemodus die Option Token gew hlt haben 5 W hlen Sie bei Durchgehende Anmeldung an Windows die Option Durchgehende Anmeldung deaktivieren Wenn Sie diese Einstellung nicht ausw hlen und eine Default PIN angeben k nnen Sie die Richtlinie nicht speichern Wenn Sie die Durchgehende Anmeldung an Windows dennoch aktivieren m chten k nnen Sie eine weitere Richtlinie vom Typ Authentisierung mit der aktivierten Option erstellen und sie derselben Computergruppe zuordnen Im RSOP Resulting Set of Policies sind somit beide Richtlinien aktiv 6 Definieren Sie nach Wunsch weitere Token Einstellungen 7 Speichern Sie Ihre Einstellungen und ordnen Sie die Richtlinie den re
115. QL Server Management Studio New Query exec spShrinkEventTable 1000 Bei Verwendung dieses Beispielbefehls werden alle Ereignisse au er den neuesten 1000 verschoben 26 12 2Scheduled Job f r die Ausf hrung der gespeicherten Prozedur anlegen Um die EVENT Tabelle in regelm igen Abst nden automatisch zu s ubern k nnen Sie einen Job am SQL Server anlegen Dieser Job kann ber das Skript SscheduledShrinkEventTable_install sql oder ber den SQL Enterprise Manager erstellt werden Achtung Der Job funktioniert nicht bei SQL Express Datenbanken Damit der Job ausgef hrt werden kann muss der SQL Server Agent laufen Da bei SQL Server Express Installation kein SQL Server Agent vorhanden ist werden Jobs hier nicht unterst tzt 298 SafeGuard Enterprise 5 50 Administrator Hilfe m Der Skript Teil muss in der msdb ausgef hrt werden Wenn Sie f r Ihre SafeGuard Enterprise Datenbank einen anderen Namen als SafeGuard ausgew hlt haben ndern Sie den Namen entsprechend Default Database name SafeGuard change if required SELECT SafeGuardDataBase SafeGuard m Sie k nnen auch die Anzahl an Ereignissen festlegen die in der EVENT Tabelle verbleiben sollen Die Standardeinstellung ist 100 000 Default keep the latest 100000 events change if required SELECT ShrinkCommand exec spShrinkEventTable 100000 m Sie k nnen festlegen ob die Ausf hrung des Jobs im NT Event Lo
116. Rechten kann Rechte zu einer benutzerdefinierten Rolle hinzuf gen oder Rechte aus der Rolle entfernen Im Gegensatz zu vordefinierten Rollen k nnen benutzerdefinierte je nach Anforderung auch gel scht werden Ist einem Benutzer nur eine Rolle zugewiesen und wird diese Rolle gel scht so kann sich der Benutzer nicht mehr am SafeGuard Management Center anmelden Die Rolle und die darin definierten Aktionen bestimmen was ein Benutzer darf und was nicht Auch dann wenn dem Benutzer mehrere Rollen zugewiesen worden sind Nachdem er sich am System angemeldet hat werden nur die Bereiche des Management Centers aktiviert und angezeigt die f r seine Rolle n tig sind Das betrifft auch die Bereiche Skripte und API Sie sollten deshalb f r einen Bereich in dem Sie Aktionen vergeben immer auch die Anzeige dieses Bereichs als Aktion ausw hlen Aktionen werden nach Funktionsbereich sortiert und sind hierarchisch strukturiert Diese Struktur zeigt welche Aktionen vor der Durchf hrung bestimmter anderer Aktionen erforderlich sind 40 SafeGuard Enterprise 5 50 Administrator Hilfe 7 1 4 Zus tzliche Autorisierung 41 Die zus tzliche Autorisierung auch Vier Augen Prinzip genannt kann spezifischen Aktionen einer Rolle zugeordnet werden Das bedeutet dass der Benutzer dieser Rolle eine bestimmte Aktion nur ausf hren darf wenn ein Benutzer einer weiteren Rolle anwesend ist und die Ausf hrung der Aktion best tigt Die zus tzliche Auto
117. Rollen werden fett dargestellt Das Ausf hren einer zus tzlichen Authentisierung ist ausdr cklich an den Besitz einer bestimmten Rolle gebunden 4 Klicken Sie zur Best tigung Ihrer Einstellungen auf OK Der neu angelegte Sicherheitsbeauftragte wird im Navigationsfenster unter dem jeweiligen Sicherheitsbeauftragten Knoten angezeigt Die jeweiligen Eigenschaften lassen sich durch Auswahl des gew nschten Sicherheitsbeauftragten im Navigationsfenster anzeigen Der Sicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuard Management Center anmelden Im n chsten Schritt m ssen Sie nun dem Sicherheitsbeauftragten Verzeichnisobjekte Dom nen zuweisen damit dieser die erforderlichen Aufgaben ausf hren kann 7 10 Einem Sicherheitsbeauftragten Verzeichnisobjekte zuweisen F r die Ausf hrung ihrer Aufgaben ben tigten Sicherheitsbeauftragte Zugriffsrechte f r Verzeichnisobjekte Unter dem Stammverzeichnis l sst sich der Zugriff auf Dom nen und Arbeitsgruppenknoten sowie auf den Knoten Autoregistered gew hren Voraussetzung Um einem Sicherheitsbeauftragten Verzeichnisobjekte zuzuweisen ben tigten Sie die Benutzer und Computer Rechte Zugriffsrechte von Sicherheitsbeauftragten anzeigen und Zugriffsrechte f r Verzeichnis gew hren verweigern Gehen Sie wie folgt vor 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Navigationsfenster auf der linke
118. SOPHOS SafeGuard Enterprise 5 50 Administrator Hilfe Stand November 2010 Inhalt 10 11 12 13 14 15 16 17 18 Das SafeGuard Management Center ii Ena EE EAA ARE REEE ERER 3 Arbeitsschritte im Management Center sseesesssssreresessssesesestreresestesestnesteteseneststesesenesessesenentetesesenesnes 6 Aufbau der Organisationsstr KUN seoran aeiae aa aeaa a i SEa E R raaa SERE aO E at 9 Mit mehreren Datenbankonfigurationen arbeiten s s ssesssssssseesesesssresesesseseresestssssesenessesereneseesenenesees 20 Unternehmenszertifikate und Zertifikat des Haupt Sicherheitsbeauftragten exportieren 25 VA a EEEE E E EE E EE OEE S E Beer ren hen ee 29 SafeGuard Enterprise Sicherheitsbeauftragte uunnscsesenessenennennnnnnnnonnnonnennnnnnnnonnenonnenonnnnnnonnnnonn 38 D tenverschl ssel ng soreer ia e i E EE IRA E REA ANE 63 SafeGuard Enterprise Schl sselmanagement s s ssssseesessssssssesesssresesestsssresesesssseresesesserenenereserenesesesenes 67 MitRi btlinien arbeiten ya see 78 Mit Konfigurationspaketen arbeiten s seesessssssesesesssreresesesssesestsssserenestesererentstestnesesteseseneurseesentesenes 95 Administrative Zugangsoptionen f r Endpoint Computer uusssesessesensesesnnnnnennenonnennnnnnnennnnennnnnn 96 Service Account Listen f r die Windows Anmeldung uesessssssesessenonnenennnnnnonnnnonnenonnnnnnonnnnonn 97 POA Access Accounts f r die POA Anmeldung a
119. SafeGuard Enterprise Systems Der Lizenzstatus berblick steht in der Registerkarte Lizenzen f r den Stamm Knoten f r Dom nen OUs Containerobjekte und Arbeitsgruppen zur Verf gung Sicherheitsbeauftragte erhalten hier detaillierte Informationen zum Lizenzstatus und k nnen mit der entsprechenden Berechtigung Lizenzen in die SafeGuard Enterprise Datenbank importieren Dieses Kapitel beschreibt das Lizenzkonzept sowie die Verwaltung von Lizenzen im SafeGuard Management Center Lizenzdatei Die Lizenzdatei die Sie zum Import in die SafeGuard Enterprise Datenbank erhalten ist eine XML Datei mit Signatur Sie enth lt folgende Informationen m Kundenname m Zus tzliche Informationen zum Beispiel Abteilung Niederlassung m Datum an dem die Lizenz ausgestellt wurde m Bereich von SafeGuard Enterprise Versionen f r den die Lizenz g ltig ist m Anzahlan Lizenzen pro Modul m Token Lizenzinformationen m Lizenzablaufdatum m Lizenztyp Demo oder Voll Lizenz m Signatur mit Lizenzsignaturzertifikat SafeGuard Enterprise 5 50 Administrator Hilfe 6 2 6 3 6 3 1 6 3 2 Token Lizenzen F r die Verwaltung von Token bzw Smartcards sind die entsprechenden zus tzlichen Token Lizenzen erforderlich Sind diese Token Lizenzen nicht vorhanden so lassen sich im SafeGuard Management Center keine Richtlinien f r Token erstellen Evaluierungs und Demo Lizenzen Es besteht die M glichkeit f r Evaluierungs oder initi
120. Schl ssel angefordert und klicken Sie auf Weiter 2 Aktivieren Sie die Option Schl ssel Recovery Datei mit Recovery Schl ssel ausw hlen 3 Klicken Sie neben dieser Option auf um nach der entsprechenden Datei zu suchen Zur Vereinfachung tragen die Recovery Dateien den Namen des jeweiligen Computers computername GUID xml 4 Best tigen Sie Ihre Auswahl mit Weiter Das Fenster f r die Eingabe des Challenge Codes wird angezeigt 5 Geben Sie den vom Benutzer erhaltenen Challenge Code ein und klicken Sie auf Weiter Der Challenge Code wird gepr ft Wenn der Challenge Code korrekt eingegeben wurde wird der Response Code erzeugt Wurde der Code nicht korrekt eingegeben wird unterhalb des Blocks der den Fehler enth lt der Text Ung ltig angezeigt 6 Teilen Sie dem Benutzer den Response Code mit Hierzu steht eine Buchstabierhilfe zur Verf gung Sie k nnen den Response Code auch in die Zwischenablage kopieren Der angeforderte Schl ssel wird mit dem Response Code an die Benutzerumgebung bertragen SafeGuard Enterprise 5 50 Administrator Hilfe 23 9 9 Mehrere Schl ssel in einer Schl sseldatei ausw hlen Sie m ssen die erforderliche Datei mit dem virtuellen Client im SafeGuard Management Center Recovery Assistenten ausgew hlt haben Sie m ssen die Schl sseldatei zuvor im SafeGuard Management Center unter Schl ssel amp Zertifikate angelegt haben und das Kennwort mit dem die Datei verschl sselt ist muss
121. Sicherheitsbeauftragte agieren und verwaltet werden Folgende Voraussetzungen m ssen erf llt sein m Benutzer die zu Sicherheitsbeauftragten ernannt werden sollen m ssen aus einem Active Directory importiert und im SafeGuard Management Center unter Benutzer amp Computer sichtbar sein m Damit sich ein zum Sicherheitsbeauftragten ernannter Benutzer an das SafeGuard Management Center anmelden kann muss ein Benutzerzertifikat ausgestellt oder importiert und zugewiesen sein F r die Anmeldung mit den Windows Anmeldeinformationen muss die p12 Datei mit dem privaten Schl ssel in der SafeGuard Enterprise Datenbank vorhanden sein F r die Anmeldung mit Token bzw Smartcard PIN muss sich die p12 Datei mit dem privaten Schl ssel auf dem Token bzw der Smartcard befinden 56 SafeGuard Enterprise 5 50 Administrator Hilfe 7 11 2 Einen Benutzer zum Sicherheitsbeauftragten machen 57 Voraussetzung Nur Haupt Sicherheitsbeauftragte d rfen einen Benutzer zum Sicherheitsbeauftragten machen Gehen Sie wie folgt vor 1 Klicken Sie im SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie den Benutzer aus den Sie zum Sicherheitsbeauftragten machen m chten und klicken Sie auf die Registerkarte Zertifikat im Aktionsbereich auf der rechten Seite m Wenn dem Benutzer ein Zertifikat zugeordnet ist wird es im Aktionsbereich angezeigt m Wenn dem Benutzer noch kein Zertifikat zugeordnet ist klicken Sie zum Zuweisen
122. Sie Dom nen l schen Falls die Dom ne Mitglieder hatte werden diese ebenfalls gel scht L 1 Klicken Sie im SafeGuard Management Center auf den Bereich Benutzer amp Computer Rechts klicken Sie im linken Navigationsfenster die Dom ne die gel scht werden soll und w hlen Sie L schen Best tigen Sie mit Ja Die Dom ne ist nun gel scht Eventuelle Mitglieder werden ebenfalls gel scht 3 10 Automatisch registrierte Computer l schen Wenn ein automatisch registrierter Computer gel scht wird werden alle lokalen Benutzer dieses Computers ebenfalls gel scht Bei der n chsten Anmeldung dieses Computers wird er erneut automatisch registriert SafeGuard Enterprise 5 50 Administrator Hilfe 3 11 Filter f r lokale Objekte Benutzer amp Computer Unter Benutzer amp Computer k nnen Sie die Ansicht im linken Navigationsfenster nach lokalen Benutzern filtern oder einen bestimmten lokalen Benutzer suchen 1 Klicken Sie im SafeGuard Management Center auf den Bereich Benutzer amp Computer 2 Klicken Sie links unten im Navigationsbereich auf Filter 3 Aktivieren Sie Lokaler Benutzer Wenn Sie einen bestimmten Benutzer suchen geben Sie noch dessen Namen ein 4 Klicken Sie auf das Lupen Symbol Die Ansicht auf Benutzer amp Computer wird entsprechend den Kriterien gefiltert Protokollierung Die erfolgreiche bzw nicht erfolgreiche Registrierung eines Benutzers Computers oder einer Arbeitsgruppe wird prot
123. Sie eine bereits bestehende Richtlinie dieses Typs aus 3 W hlen Sie im rechten Arbeitsbereich unter Tokenunterst tzung gt Modulname die passende Middleware aus Speichern Sie die Einstellungen 4 Weisen Sie die Richtlinie zu SafeGuard Enterprise kann nun mit dem Token kommunizieren und den Token verwalten Der Token kann nun ausgestellt werden 18 5 Token ausstellen 203 Beim Ausstellen eines Token in SafeGuard Enterprise werden Daten auf den Token geschrieben die dann f r die Authentisierung verwendet werden Bei den Daten handelt es sich um die Anmeldeinformationen und Zertifikate In SafeGuard Enterprise k nnen Token f r folgende Benutzerrollen ausgestellt werden m Token f r normale Benutzer m Token f r Sicherheitsbeauftragte SO Zugriff auf den Token haben sowohl der Benutzer als auch der Sicherheitsbeauftragte SO Der Benutzer ist der der den Token benutzen soll Nur er hat Zugriff auf private Objekte und Schl ssel Der SO hat nur Zugriff auf ffentliche Objekte kann allerdings die Benutzer PIN zur cksetzen SafeGuard Enterprise 5 50 Administrator Hilfe 18 5 1 Token oder Smartcard f r Benutzer ausstellen T SafeGuard Management Center MSO an SRY 2003R2 DE SafeGuard e Date Bearbeiten Ansicht Gehezu Aktionen Extras Hilfe eranc B PEREEI Benutzer amp Computer CN IUSR_SRV 2003R2 DE CN Users DC Utimaco DC edu 3 Company Users 3 Computers Z Domain Controllers 3 ForeignSecurityPrincipals
124. Stammverzeichnis des Management Center sichtbarer Benutzer oder alle Mitglieder eines Containers k nnen unter Benutzer amp Computer zu Sicherheitsbeauftragten gemacht werden Den Sicherheitsbeauftragten k nnen eine oder mehrere Rollen zugeordnet werden Einem Benutzer kann z B die Rolle des Verwaltungsbeauftragten und die Rolle des Helpdesk Beauftragten zugewiesen werden Hinweis Der Haupt Sicherheitsbeauftragte kann aber auch selbst definierte Rollen anlegen und bestimmten Sicherheitsbeauftragten zuweisen Vordefinierte Rollen Im SafeGuard Management Center sind neben dem Haupt Sicherheitsbeauftragten die folgenden Rollen vordefiniert Die diesen vordefinierten Rollen zugewiesenen Rechte k nnen nicht ge ndert werden Verf gt eine vordefinierte Rolle z B ber das Recht Richtlinien und Richtliniengruppen anlegen so kann dieses Recht nicht aus der Rolle entfernt werden Es k nnen auch keine neuen Rechte zu einer vordefinierten Rollen hinzugef gt werden Die zus tzliche Autorisierung durch einen weiteren Sicherheitsbeauftragten hingegen l sst sich jederzeit den vordefinierten Rollen zuordnen m Verwaltungsbeauftragter Verwaltungsbeauftragte k nnen Ihren eigenen Knoten im Bereich Sicherheitsbeauftragte einsehen und sind dazu berechtigt die ihrem Knoten zugeh rigen Sicherheitsbeauftragten zu verwalten m Sicherheitsbeauftragter Sicherheitsbeauftragte haben umfassende Rechte u a f r die SafeGuard Enterprise Konf
125. Systemuhrzeit der Protokollierung Protokollierung des Ereignisses auf dem Client Durch Klicken auf den Spalten Header l sst sich die Ereignisanzeige nach Ebene Kategorie usw sortieren Dar ber hinaus steht ber das Kontextmen der einzelnen Spalten eine Reihe von Funktionen f r die Sortierung Gruppierung und Anpassung der Ereignisanzeige zur Verf gung Wenn Sie auf einen Eintrag in der Ereignisanzeige doppelklicken werden Details zum protokollierten Ereignis angezeigt 293 SafeGuard Enterprise 5 50 Administrator Hilfe 26 5 1 SafeGuard Enterprise Ereignisanzeige filtern Das SafeGuard Management Center bietet umfassende Filterfunktionen mit deren Hilfe Sie die jeweils relevanten Ereignisse schnell aus F lle der in der Ereignisanzeige dargestellten Informationen ermitteln k nnen Im Filter Bereich der Ereignisanzeige stehen folgende Felder f r die Definition von Filtern zur Verf gung Beschreibung Unter Anwendung dieses Felds l sst sich die Ereignisanzeige nach den in der Spalte Kategorie angegebenen Klassifizierungen durch die Quelle zum Beispiel Verschl sselung Anmeldung System filtern W hlen Sie hierzu die gew nschten Kategorien in der Dropdownliste des Felds aus Kategorien Unter Anwendung dieses Felds l sst sich die Ereignisanzeige nach den in der Spalte Ebene angegebenen Windows Ereignisklassifizierungen z B Warnung Fehler filtern W hlen Sie hierzu die ge
126. Text angeben k nnen muss dieser als Textelement im Richtlinien Navigationsbereich unter Informationstext registriert werden Text der als rechtlicher Hinweis angezeigt werden soll Sie k nnen hier ein Textelement ausw hlen das im Richtlinien Navigationsbereich unter Informationstext registriert wurde Zeigt eine Textbox mit frei konfigurierbarem Inhalt an die nach den rechtlichen Hinweisen wenn diese aktiviert sind erscheint Sie k nnen festlegen ob die zus tzlichen Informationen m Nie m Beijedem Systemstart m Beijeder Anmeldung angezeigt werden Text der als zus tzliche Information angezeigt werden soll Sie k nnen hier ein Textelement ausw hlen das im Richtlinien Navigationsbereich unter Informationstext registriert wurde Zeitraum in Sekunden f r die Anzeige zus tzlicher Informationen Sie k nnen hier die Anzahl der Sekunden eingeben nach denen die Textbox f r zus tzliche Informationen automatisch geschlossen wird Der Benutzer kann die Textbox jederzeit durch Klicken auf OK schlie en 153 SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinieneinstellung System Tray Icon aktivieren und anzeigen Overlay Symbole im Explorer anzeigen Erkl rung ber das SafeGuard Enterprise System Tray Icon kann auf dem Endpoint Computer einfach und schnell auf alle Benutzerfunktionen zugegriffen werden Zus tzlich k nnen f r den Benutzer Informationen ber den Status des Compute
127. Users a _ Benutzer ID IUSR_S5RV 2003R2 DE v amp Administrator amp DHCP Administratoren Baer Token ausstelen 3 en o LTIMACO EDU Y Token Ausstellen jo B Dns dmins B DnsUpdateProxy Bitte w hlen Sie den Slot mit dem Token auf dem die Daten B Dom nen Adinins gespeichert werden sollen Wird eine Beauftragten PIN eingegeben dann wird die bestehende Benutzer PIN des Token B Dom nen Benutzer durch die eingegebenen ersetzt Ansonsten wird die eingegeben B Dom nencomputer Benutzer PIN verwendet B Dom nencontroller Verf gbare Slots B Dom nen G ste OMNIKEY AG Smart Card Reader USB 0 Gast 7 B Hilfedienstgruppe Benutzer PIN erforderlich Benutzer PIN best tigen optional SO PIN optional Abbreche Verschieben Gehe zu Schl ssel Zertifikat _Token Daten RSOP Computer Benutzerkonto x Token jetzt ausstellen Richtlinien R Schl ssel amp Zertifikate a Token EA Sicherheitsbeauftragte Berichte Synchronisation abgeschlossen Voraussetzung Der Token muss initialisiert und das passende PKCS 11 Modul aktiviert worden sein Das SafeGuard Enterprise Client Konfigurationspaket muss zudem auf dem PC installiert sein auf dem das Management Center l uft Sie befinden sich im ge ffneten Management Center im Bereich Benutzer amp Computer 1 Stecken Sie den Token an der USB Schnittstelle ein SafeGuard Ente
128. Zeichen und als einziges Zeichen zul ssig 98 SafeGuard Enterprise 5 50 Administrator Hilfe 99 Zum Beispiel m Benutzername Administrator sm Dom nenname Mit dieser Kombination geben Sie alle Benutzer mit dem Benutzernamen Administrator an die sich an einem Netzwerk oder an einer beliebigen lokalen Maschine anmelden Der vordefinierte Dom nenname LOCALHOST der in der Dropdownliste des Felds Dom nenname zur Verf gung steht steht f r die Anmeldung an einer beliebigen lokalen Maschine Zum Beispiel m Benutzername Admin m Dom nenname LOCALHOST Mit dieser Kombination geben Sie alle Benutzer an deren Benutzernamen mit Admin beginnen und die sich an einer beliebigen lokalen Maschine anmelden Dar ber hinaus k nnen sich Benutzer auf verschiedene Art und Weise anmelden z B m Benutzer test Dom ne mycompany m Benutzer test Dom ne mycompany com Da Dom nenangaben in Service Account Listen nicht automatisch aufgel st werden gibt es drei m gliche Methoden f r das korrekte Angeben der Dom ne m Sie wissen genau wie der Benutzer sich anmelden wird und geben die Dom ne entsprechend exakt ein m Sie erstellen mehrere Eintr ge in der Service Account Liste m Sie verwenden Platzhalter um alle unterschiedlichen F lle abzudecken Benutzer test Dom ne mycompany Hinweis Windows verwendet m glicherweise nicht dieselbe Zeichenfolge und k rzt Namen ab Um dadurch entstehende
129. Zertifikat konnte nicht verifiziert werden 536870976 Es ist ein Fehler w hrend einer Netzwerkfunktion aufgetreten 536870977 Ein ung ltiger Aufruf einer Funktion ist empfangen worden 536870978 Ein Objekt konnte nicht gefunden werden 536870979 Eine Terminal Server Sitzung wurde unterbrochen 536870982 Der Zufallszahlengenerator wurde nicht initialisiert CBIRNDlInit wurde nicht angefragt 536870983 Unbekannter Befehl siehe CBIControl 536870984 UNICODE wird nicht unterst tzt 536870987 Falsche Algorithmus Kombination Siehe CBIRecrypt 536870988 Das Cryptoki Modul PKCS 11 ist nicht initialisiert 536870989 Das Cryptoki Modul PKCS 11 ist bereits initialisiert 536870990 Das Cryptoki Modul PKCS 11 konnte nicht geladen werden 328 SafeGuard Enterprise 5 50 Administrator Hilfe 329 536870995 Der angegebene Algorithmus wird momentan nicht unterst tzt 536870996 Der angegebene Entschl sselungsmodus wird nicht unterst tzt 536870997 Ein Fehler in der GSENC Sammlung ist aufgetreten 536870998 Format der Datenabfrage ist nicht bekannt 536871001 Eine Operation ist aktiv 536871002 Ein Zertifikat in der Kette ist zeitlich nicht verschachtelt 536871003 Die CRL konnte nicht ersetzt werden 536871004 Die BENUTZER PIN wurde bereits initialisiert 805306369 Sie haben keine ausreichenden Rechte um diese Aktion auszuf hren Zugriff verweigert
130. Zertifikate 3 Klicken Sie auf das Symbol P12 auf Token in der SafeGuard Management Center Symbolleiste W hlen Sie die passende Zertifikatedatei aus 4 Geben Sie die Token PIN und das Kennwort f r die p12 Datei ein und best tigen Sie mit OK Der private Teil des Zertifikats wird auf den Token aufgebracht Sie m ssen diesen nun einem Benutzer zuweisen siehe Zertifikat von Token einem Benutzer zuweisen auf Seite 208 Hinweis W hlen Sie f r einen Token mit Kerberos Unterst tzung dieses Vorgehen Das Zertifikat muss von SafeGuard Enterprise erkannt werden und auf den Token aufgebracht werden Falls bereits ein automatisch generiertes Zertifikat existiert wird es von dem importierten Zertifikat berschrieben 18 7 Richtlinien f r Token zuweisen 209 Mit der Zuweisung von Richtlinien k nnen Sie weitere Token Optionen festlegen Sie beziehen sich auf m PINs m Anmeldemodus m Verhalten wenn der Status des Token nicht mehr erkannt wird m Entsperrung des Token m zu benutzende Middleware PKCS 11 Modul SafeGuard Enterprise 5 50 Administrator Hilfe 18 8 Mit Token an der Power on Authentication anmelden So melden Sie sich mit einem Token an der Power on Authentication an Voraussetzung Achten Sie bitte darauf dass die USB Unterst tzung im BIOS aktiviert ist Die Token Unterst tzung muss initialisiert und der Token muss f r Sie ausgestellt sein 1 Stecken Sie den Token an der USB Schnittstelle ein 2 Scha
131. a _ Betriebss Letzte erhaltene Ri Verschl sselte Lau Unverschl sselte La POA u nderungsdatum Aktualisierung Stamm DSN A E WS P EN 01 WS XP EN ROLAT 9 2008 A C D 9 2008 ompute amp e aomN Laufwerke Benutzer Module r cuent 8 Desktops a Doman en i 9 Laufwerksname A Tw Status Algorithmus I ee mindpale YA Wechseldatentr ger Unverschl sselt Z Headquarter 2 ia 2 c Fest Unverschl sselt B Laptops ml E Newenployees Ejo CD ROMJDYD Unverschl sselt 1C Users RG Fest Unverschl sselt Ar Fest Unverschl sselt Hs Fest Unverschl sselt EH Fest Unverschl sselt A Richtlinien A Schl ssel amp Zertifikate 7 Token amp Sicherheitsbeauftragte Berichte Tan gt Durch Klicken auf die einzelnen Spalten Header lassen sich die Bestand und Statusinformationen nach den jeweiligen Spalteninformationen sortieren Dar ber hinaus steht ber das Kontextmen der einzelnen Spalten eine Reihe von Funktionen f r die Sortierung Gruppierung und Anpassung der angezeigten Anzeige zur Verf gung SafeGuard Enterprise 5 50 Administrator Hilfe 25 1 1 Bestandinformationen filtern F r die bersicht der Bestandinformationen f r OUs lassen sich Filter definieren um die Darstellung nach bestimmten Kriterien einzuschr nken Im Filter Bereich der Registerkarte Bestand stehen folgende Felder f r die Definition von Filtern zur Verf gung Schl ssel Richtlinien B
132. afeGuard Enterprise an Endpoint Computern anmelden Windows Anmeldung ohne die Power on Authentication zu aktivieren Die Benutzer werden auch nicht als SafeGuard Enterprise Benutzer zum Computer hinzugef gt Service Account Listen werden im Bereich Richtlinien des SafeGuard Management Center angelegt und ber Richtlinien den Endpoint Computern zugewiesen Benutzer die in eine Service Account Liste aufgenommen wurden werden beider Anmeldung am Endpoint Computer als Gastbenutzer behandelt Hinweis Service Account Listen werden den Endpoint Computern ber Richtlinien zugewiesen Sie sollten bereits im ersten SafeGuard Enterprise Konfigurationspaket das Sie f r die Konfiguration der Endpoint Computer erstellen enthalten sein F r weitere Informationen zu Service Accounts siehe Service Account Listen f r die Windows Anmeldung auf Seite 97 POA Access Accounts f r die POA Anmeldung an durch SafeGuard Enterprise gesch tzte Standalone Computer F r Endpoint Computer die im Standalone Modus laufen bietet SafeGuard Enterprise POA Access Accounts POA Access Accounts sind vordefinierte lokale Benutzerkonten die es Benutzern z B Mitgliedern des IT Teams erm glichen sich nach der Aktivierung der POA an Endpoint Computern zur Ausf hrung administrativer Aufgaben anzumelden POA Access Accounts erm glichen die Anmeldung an der POA eine automatische Anmeldung an Windows erfolgt nicht Diese Benutzerkonten werden im Bereich Benutzer amp
133. ald sie in einem Programm ge ffnet werden Beim Abspeichern der Datei wird diese automatisch wieder verschl sselt Folgende Optionen stehen zur Verf gung m Keine Verschl sselung m Volume basierend transparente sektorbasierte Verschl sselung Stellt sicher dass alle Daten verschl sselt sind inkl Boot Dateien Swapfile Datei f r den Ruhezustand Hibernation File tempor re Dateien Verzeichnisinformationen usw ohne dass sich der Benutzer in seiner Arbeitsweise anpassen oder auf Sicherheit achten muss Hinweis Wenn f r ein Volume oder einen Volume Typ eine Verschl sselungsrichtlinie existiert und die Verschl sselung des Volumes schl gt fehl darf der Benutzer nicht auf das Volume zugreifen SafeGuard Enterprise 5 50 Administrator help Richtlinieneinstellung Erkl rung Windows 7 System Partition F r Windows 7 Professional Enterprise und Ultimate wird auf dem Endpoint Computer eine System Partition angelegt der kein Laufwerksbuchstabe zugeordnet ist Diese System Partition kann nicht von SafeGuard Enterprise verschl sselt werden Zugriff auf Unidentified File System Objects Unidentified File System Objects sind Volumes die von SafeGuard Enterprise nicht eindeutig als verschl sselt oder unverschl sselt identifiziert werden k nnen Existiert f r ein Unidentified File System Volume eine Verschl sselungsrichtlinie so wird der Zugriff auf das Volume verweigert Existiert keine Verschl
134. ale Rollout Prozesse die Standard Lizenzdatei Evaluierungslizenz oder individuelle Demo Lizenzdateien zu nutzen Die Nutzungsdauer dieser Lizenzen ist zeitlich begrenzt die Funktionalit t ist jedoch in keinster Weise eingeschr nkt Hinweis Evaluierungs und Demo Lizenzen d rfen nicht f r den regul ren produktiven Betrieb von SafeGuard Enterprise Modulen genutzt werden Standard Lizenzdatei Bei der Installation des SafeGuard Management Centers wird automatisch eine Standard Lizenzdatei geladen Diese Evaluierungslizenz mit der Bezeichnung SafeGuard Enterprise Evaluation License enth lt jeweils f nf Lizenzen pro Modul und hat eine zeitlich begrenzte G ltigkeitsdauer von zwei Jahren ab dem Release Datum der jeweiligen SafeGuard Enterprise Version Individuelle Demo Lizenzdateien Sollte die Standard Lizenzdatei f r die Durchf hrung einer Evaluierung nicht ausreichen so besteht auch die M glichkeit eine an Ihre spezifischen Anforderungen angepasste Demo Lizenz zu erhalten Wenden Sie sich hierzu bitte an Ihren Vertriebspartner Die Nutzungsdauer einer solchen Demo Lizenz ist ebenfalls zeitlich begrenzt Dar ber hinaus ist die Lizenz auf die jeweils mit dem Vertriebspartner vereinbarte Anzahl an Lizenzen pro Modul beschr nkt Wenn Sie das SafeGuard Management Center starten werden Sie durch eine Warnungsmeldung darauf aufmerksam gemacht dass Sie Demo Lizenzen nutzen Bei berschreiten der in einer Demo Lizenz festgelegten Anza
135. an dass der Port beliebig ohne Einschr nkungen auf diesem Kommunikationskanal genutzt werden darf m Sperren Diese Option legt fest dass ber den betreffenden Port kein Zugang besteht Der Port steht nicht zur Verf gung m Einschr nken F r USB FireWire PCMCIA und WLAN Ports k nnen Sie auch festlegen dass der Zugang zu Ports dieser Art eingeschr nkt werden soll Bei Auswahl der Option Einschr nken k nnen Sie die Ger te oder Verbindungen die auf den Port zugreifen d rfen genauer d h mit h herer Granularit t definieren So k nnen Sie zum Beispiel festlegen dass nur USB Ger te eines bestimmten Modells oder nur spezifische USB Ger te d h Einzelger te mit eindeutiger Seriennummer zugelassen sind F r physikalische Ports erfolgt dies ber die Option Ger tekontrolle siehe Schritt 5 Ger tekontrolle definieren sowie ber die Option Speicherkontrolle siehe Schritt 6 Speicherkontrolle definieren F r Wireless Ports wird die Option WLAN Kontrolle siehe Schritt 7 WLAN Kontrolle definieren benutzt Hinweis Die Bereiche Ger tekontrolle und WLAN Kontrolle einer Richtlinie gelten nur f r Ports die als eingeschr nkt definiert sind Der Bereich Speicherkontrolle einer Richtlinie gilt sowohl f r eingeschr nkte als auch f r zugelassene Ports Legen Sie f r jeden Port den gew nschten Aktionstyp Zulassen Sperren oder Einschr nken fest indem Sie die betreffende Option aus der Dropdownliste des jeweiligen Fe
136. ank Index MySQL MyISAM Generic Dictionary dBase Datenbank Microsoft FoxPro Datenbank Borland InterBase Datenbank Paradox Datenbank 182 SafeGuard Enterprise Administrator Hilfe Microsoft Outlook PST DBX PGP PGP Verschl sselung ASC CTX Computer Aided DWG Design CAD DXF ASM PRT Adobe FrameMaker DOC FM FRM BOOK MIF Outlook pers nlicher Ordner Outlook Express E Mail Ordner Pretty Good Privacy PGP Encrypted Pretty Good Privacy PGP Armored Encrypted Pretty Good Privacy PGP Ciphertext AutoCAD Zeichnung AutoCAD Interchange Pro ENGINEER Assembly Pro ENGINEER Modell Adobe FrameMaker FrameBuilder Dokument Adobe FrameMaker Dokument Adobe FrameMaker Dokument Adobe FrameMaker Buch Adobe FrameMaker Austauschformat 16 3 10 Schritt 9 Richtlinie speichern und ver ffentlichen Richtlinien werden wie f r alle anderen Richtlinien beschrieben gespeichert und ver ffentlicht 183 SafeGuard Enterprise Administrator Hilfe 16 4 White Lists Ger te und WLAN Verbindungen zulassen Die Beschreibungen in den folgenden Abschnitten beziehen sich auf das Hinzuf gen von zugelassenen Ger ten zu einer White List vom Typ Ger tekontrolle sowie auf das Hinzuf gen von zugelassenen Speichermedien zu einer White List vom Typ Speicherkontrolle Unterschiede beim Hinzuf gen von Speicherger ten und anderen Ger te werden gesondert hervorgehoben und beschrieben Das Hinzuf gen von zugelassenen WLAN
137. anzeige 805306403 Integrit t des zentralen Ereignisprotokolls erfolgreich verifiziert 805306404 Integrit t verletzt Ein oder mehrere Ereignisse wurden vom Beginn der Kette entfernt 330 SafeGuard Enterprise 5 50 Administrator Hilfe 805306405 Integrit t verletzt Ein oder mehrere Ereignisse sind in der Kette entfernt worden Die Mitteilungen bei denen der Bruch der Kette entdeckt worden ist ist hervorgehoben 805306406 Integrit t verletzt Ein oder mehrere Ereignisse wurden vom Ende der Kette entfernt 805306407 Exportieren der Ereignisse in Datei fehlgeschlagen Grund 805306408 Die momentane Ansicht enth lt ungesicherte Daten M chten Sie die nderungen speichern bevor Sie die Ansicht verlassen 805306409 Die Datei konnte nicht geladen werden oder die Datei ist besch digt Grund 805306410 Die Integrit t des Protokolls ist verletzt worden Ein oder mehrere Ereignisse sind entfernt worden 805306411 Sollen die Ereignisse in einer Datei gesichert werden bevor sie gel scht werden 805306412 Anzeige der Auftr ge 805306413 CRL mehrfach in der Datenbank gefunden CRL konnte nicht gel scht werden 805306414 CRL nicht in der Datenbank gefunden 805306415 Der Benutzer dem das Zertifikat zugewiesen werden sollte konnte nicht in der Datenbank gefunden werden 805306416 Ein P7 Blob ist f r eine Zertifikats Zuweisung zwingend erforderlich 805306417 Der Benutzer dem das Zertifika
138. ar Gehen Sie wie folgt vor 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf die Rolle die Sie kopieren m chten und w hlen Sie Neu gt Neue Kopie der Rolle Unter Neue benutzerdefinierte Rolle werden alle Eigenschaften der vorhandenen Rolle bereits vorausgew hlt 3 Geben Sie einen neuen Namen f r diese Rolle ein und ndern Sie die Eigenschaften nach Wunsch 4 Klicken Sie auf das Speichern Symbol in der Symbolleiste um Ihre nderungen in der Datenbank zu speichern Die neue Rolle ist angelegt Rolle l schen Hinweis Vordefinierte Rollen k nnen nicht gel scht werden Voraussetzung Um eine Rolle zu l schen ben tigen Sie das Recht zum Einsehen und L schen von Sicherheitsbeauftragtenrollen Gehen Sie wie folgt vor 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen mit der rechten Maustaste auf die Rolle die Sie l schen m chten und w hlen Sie L schen Je nach den Eigenschaften der Rolle wird eine entsprechende Warnungsmeldung angezeigt 48 SafeGuard Enterprise 5 50 Administrator Hilfe 7 8 49 Hinweis Wenn Sie eine Rolle l schen geht diese Rolle bei allen Sicherheitsbeauftragten denen sie zugeordnet ist verloren Ist einem Sicherheitsbeauftragten nur diese eine Rolle zugewiesen so kann dieser sich erst w
139. ara erang r id oar e zn Samas Areeklung Amgame his vetunlen Ciri era t e t D idonsarnien aa A Aian G a t t m D Wree ints D 5 adres ton Safesnard Erterprse kinnet star gestartet amp sam AINEI tion Armekdung an der SafeGuard Lnterpnse Ad unstraten fehlgeschlagen o Aree son Autoren ar der Uew trempe Anti sion frbgan pr zu Sams Arenio Berndzer grete zus k diche Moraru t er 25 SMS Ame Don Dusstziche Ansorserung von Berufizer Nohkgeschlagen t t 2506 Saas Admiris aion Osterimport vom Verzeichnis erfolgreich amp D S AINEI DON Datermport vom Verzeichnis abgebrochen Qo n yama imeat won Derapate v r zas hen atkjenchlagen r 2513 SMAS Arents ion Berner wurde gr rdert D Admis yoon Bontzer gel scht t t 2 Administ ation L schen des Benutzers fehlgeschlagen derart abc Computer gel scht o arent ton Louhan den C omgaan fatigo tingan r D 253 aus Arerian 0U aneio IB benutzer amp Computer D IAI SPUS Ame IN O gose L t x 2547 Sams Administ sion Importieren der OU fehlgeschlagen t t aus Aarau abc L schen der OU fehlgeschlagen A Schiossel amp Zertikate 1553 SMAS p agent t D 2555 SMAS Aberin Grusoe ge ndert m l MD Token Te Hinweis al amp Scherheitsbesutragte feri In der Daterbark speichern Ereignisprotchall D Berichte zj z werden soll w hlen Sie das Ereignis in der Spalte mit dem Datenbanksymbol Ereignisse in der Datenbank protokolliere
140. ard Enterprise Datenbank protokolliert Auf diese Tabelle kann ein spezieller Integrit tsschutz angewendet werden Die Ereignisse lassen sich als verkettete Liste in der EVENT Tabelle protokollieren Durch die Verkettung ist ein Eintrag in der Liste jeweils von seinem Vorg ngereintrag abh ngig Wird ein Eintrag aus der Liste entfernt so ist dies sichtbar und ber eine Integrit tspr fung nachweisbar Zur Optimierung der Performance ist die Verkettung der Ereignisse in der EVENT Tabelle standardm ig deaktiviert Zur berpr fung der Integrit t der protokollierten Ereignsse siehe Integrit t protokollierter Ereignisse pr fen auf Seite 296 k nnen Sie jedoch die Verkettung auch aktivieren Achtung Wenn die Verkettung von protokollierten Ereignissen deaktiviert ist gilt kein spezieller Integrit tsschutz f r die EVENT Tabelle 26 7 1Verkettung protokollierter Ereignisse aktivieren 295 So aktivieren Sie die Verkettung protokollierter Ereignisse 1 Stoppen Sie den Webservice SGNSRV auf dem Web Server 2 L schen Sie alle Ereignisse aus der Datenbank und erstellen Sie w hrend des L schvorgangs eine Sicherungskopie siehe Ausgew hlte oder alle Ereignisse l schen auf Seite 296 Hinweis Wenn Sie die alten Ereignisse nicht aus der Datenbank l schen funktioniert die Verkettung nicht da f r die verbleibenden alten Ereignisse die Verkettung nicht aktiviert war 3 Setzen Sie folgenden Registry Key auf 0 oder l schen Sie ihn
141. as Unternehmenszertifikat und das Haupt Sicherheitsbeauftragten Zertifikat der betreffenden Datenbankkonfiguration m ssen als p12 Dateien exportiert worden sein Die Dateien m ssen vorhanden und g ltig sein m Die Kennw rter f r die beiden p12 Dateien sowie f r den Zertifikatsspeicher m ssen Ihnen bekannt sein Gehen Sie wie folgt vor 1 Installieren Sie das SafeGuard Management Center Installationspaket neu ffnen Sie das SafeGuard Management Center Der Konfigurationsassistent wird automatisch ge ffnet 2 W hlen Sie unter Datenbank Verbindung die Option Neue Datenbank erstellen Konfigurieren Sie unter Datenbankeinstellungen die Verbindung zur Datenbank Klicken Sie auf Weiter 3 W hlen Sie unter Daten des Sicherheitsbeauftragten den relevanten Haupt Sicherheitsbeauftragten und klicken Sie auf Importieren 4 Suchen Sie unter Importieren des Zertifikats die gesicherte Zertifikatsdatei Geben Sie unter Schl sseldatei das f r diese Datei festgelegte Kennwort ein und best tigen Sie es Klicken Sie auf OK 5 Das Zertifikat des Haupt Sicherheitsbeauftragten wird importiert Klicken Sie auf Weiter SafeGuard Enterprise 5 50 Administrator Hilfe 6 Aktivieren Sie unter Unternehmenszertifikat die Option ber vorhandenes Unternehmenszertifikat wiederherstellen Klicken Sie auf Importieren um die gesicherte Zertifikatsdatei auszuw hlen die das g ltige Unternehmenszertifikat enth lt Sie werden dazu aufgefordert
142. ass der Inhaber dieses Kontos Besitzer der Computer werden kann Diese Einstellung kann nach der initialen Zuweisung ge ndert werden Nach der Beantwortung der Frage werden alle Computer aus der zugewiesenen Gruppe im Aktionsbereich angezeigt Der Benutzer darf sich jetzt an allen Computern anmelden die so zugewiesen wurden Die Zuweisung einer Benutzergruppe an einen einzelnen Computer funktioniert analog zu dieser Beschreibung SafeGuard Enterprise 5 50 Administrator Hilfe 18 Token und Smartcards Token und Smartcards sind Hardware Komponenten die einen autorisierten Benutzer eines Computersystems bei der Authentisierung unterst tzen Auf ihnen k nnen Zertifikate digitale Signaturen oder biometrische Daten gespeichert werden Es k nnen keine Daten manipuliert werden Die Authentisierung mit Benutzername und Kennwort gen gt heutzutage oft nicht mehr den Kundenanforderungen nach optimalem Schutz vor Angriffen von Dritten Deswegen bietet SafeGuard Enterprise als Alternative dazu und zur Steigerung der Sicherheit die Anmeldung mit Token und Smartcards Die Token Anmeldung basiert auf dem Prinzip der Zwei Faktor Authentisierung Ein Benutzer verf gt ber einen Token Besitz kann den Token aber nur nutzen wenn er das spezifische Token Kennwort kennt Wissen Bei Verwendung eines Token oder einer Smartcard ben tigen die Benutzer zur Authentisierung nur noch den Token und eine PIN Hinweis Smartcards und Token werde
143. atoren kann das Standardregelwerk der Richtlinien ver ndert werden m Richtlinienvererbung blockieren Wird direkt bei dem Container gesetzt der keine bergeordneten Richtlinien empfangen will Rechtsklick auf das Objekt im Navigationsfenster gt Eigenschaften m Kein berschreiben Wird bei der Zuweisung gesetzt und bedeutet dass diese Richtlinie nicht von anderen berschrieben werden kann SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinienvererbung blockieren Soll ein Container Objekt keine Richtlinie eines bergeordneten Objektes erben k nnen Sie das durch das Setzen von Richtlinienvererbung blockieren verhindern Ist Richtlinienvererbung blockieren gesetzt werden keine bergeordneten Richtlinieneinstellungen f r dieses Container Objekt wirksam Ausnahme Kein berschreiben wurde bei der Richtlinienzuweisung aktiviert Kein berschreiben Je weiter die Richtlinienzuweisung mit Kein berschreiben vom Zielobjekt entfernt ist umso st rker wird die Wirkung dieser Richtlinie f r alle untergeordneten Container Objekte Das hei t Kein berschreiben eines bergeordneten Containers berschreibt die Richtlinieneinstellungen eines untergeordneten Containers So kann z B eine Dom nenrichtlinie definiert werden deren Einstellungen nicht berschrieben werden k nnen auch nicht wenn f r eine OU Richtlinienvererbung blockieren gesetzt wurde Achtung Wurde auf gleich
144. auf das Symbol Zertifikat importieren in der Symbolleiste W hlen Sie den notwendigen Zertifikatsspeicher cer sowie die private Schl sseldatei p12 und best tigen Sie die Auswahl mit OK 3 Klicken Sie mit der rechten Maustaste auf den Benutzer den Sie zum Sicherheitsbeauftragten machen m chten W hlen Sie Diesen Benutzer zum Sicherheitsbeauftragten machen 4 Aktivieren Sie unter Rollenauswahl die gew nschte n Rolle n durch Anklicken und best tigen Sie mit OK Vordefinierte Rollen werden fett dargestellt Sind einem untergeordnetem Sicherheitsbeauftragten mehr Rollen zugeordnet als dem angemeldeten Sicherheitsbeauftragten so werden diese Rollen kursiv dargestellt 5 Klicken Sie auf das Speichern Symbol in der Symbolleiste um Ihre nderungen in der Datenbank zu speichern Der Benutzer ist nun Sicherheitsbeauftragter und wird im Bereich Sicherheitsbeauftragte mit seinem Benutzernamen angezeigt Seine Eigenschaften lassen sich durch Auswahl des Sicherheitsbeauftragten im Navigationsfenster anzeigen Ist der private Schl ssel des Benutzers in der Datenbank gespeichert so ist Kein Token aktiviert Wenn sich der private Schl ssel auf dem Token oder der Smartcard befindet ist Optional aktiviert Nach Wunsch k nnen Sie den Sicherheitsbeauftragten per Drag amp Drop auf der gew nschten Position in der Baumstruktur des Bereichs Sicherheitsbeauftragte platzieren Der Sicherheitsbeauftragte kann sich nun mit dem angezeigten Nam
145. aufwerk E volume basierend verschl sselt Haben beide Benutzer dieselben Schl ssel k nnen beide auf die Laufwerke bzw Dateien zugreifen 90 SafeGuard Enterprise 5 50 Administrator Hilfe Fall 2 Ein Benutzer aus der OU VBE User meldet sich zuerst am Computer XP 100 Container Computer an Das Laufwerk wird volume basierend verschl sselt Meldet sich nun ein Benutzer der OU FBE User an und hat einen gemeinsamen Schl ssel mit den Benutzern aus der OU VBE User wird das Laufwerk E die volume basierende Verschl sselung bleibt erhalten innerhalb der volume basierenden Verschl sselung dateibasierende verschl sselt Hat der Benutzer aus der OU FBE User allerdings keinen gemeinsamen Schl ssel kann er auf das Laufwerk E nicht zugreifen 10 8 8 Priorisierung innerhalb einer Zuweisung Innerhalb einer Zuweisung hat die Richtlinie mit der h chsten Priorit t 1 Vorrang gegen ber einer Richtlinie mit einer geringeren Priorit t Achtung Wurde auf gleicher Ebene eine Richtlinie mit niedriger Priorit t aber mit der Option Kein berschreiben zugeordnet so zieht die Richtlinie trotz niedrigerer Priorit t gegen ber den Richtlinien mit der h heren Priorit t 10 8 9 Priorisierung innerhalb einer Gruppe Innerhalb einer Gruppe hat die Richtlinie mit der h chsten Priorit t 1 Vorrang gegen ber einer Richtlinie mit einer niedrigeren Priorit t 10 8 10 Statusindikatoren 91 Durch das Setzen von Statusindik
146. b 30059 Eine Zeit berschreitung ist eingetreten 30060 Unerlaubter Kartentyp 30061 Die gew nschte Funktionsart wird nicht unterst tzt zu dieser Zeit In dieser OS in dieser Situation 30063 Die Firmware der angeschlossenen Hardware ist von dieser Software nicht nutzbar 30064 ffnen der Datei ist fehlgeschlagen 30065 Datei nicht gefunden 30066 Karte nicht eingef hrt 30068 Die Semaphore wird derzeit verwendet 30069 Die Semaphore ist momentan in Benutzung 30070 Allgemeiner Fehler 30071 Sie haben momentan nicht die Rechte die angefragte Aktion durchzuf hren Normalerweise ist es notwendig zuvor ein Kennwort einzugeben 30072 Der Service ist momentan nicht verf gbar 30073 Ein Element z B ein Schl ssel mit einem bestimmten Namen konnte nicht gefunden werden 30074 Das angegebene Kennwort ist falsch 30075 Das Kennwort wurde mehrere Male falsch eingegeben und ist daher geblockt Benutzen Sie ein Verwaltungstool um dieses zu entsperren 30076 Die Identit t stimmt nicht mit der definierten Identit ts Gegenprobe berein SafeGuard Enterprise 5 50 Administrator Hilfe 30077 Mehrere Fehler sind aufgetreten Benutzen sie diesen Fehlercode wenn dies die einzige M glichkeit ist einen Fehlercode zu erhalten aber vorher verschiedene Fehler aufgetreten sind 30078 Einige Elemente sind noch vorhanden daher kann z B die Verzeichnisstruktur etc nicht gel scht werden 30079 Fehler w hrend des
147. bindungen werden zur WLAN Netzwerk White List auf die gleiche Art und Weise hinzugef gt wie Ger te zu den entsprechenden White Lists Erstellen Sie eine WLAN White List und f gen Sie dann die zugelassenen Verbindungen unter Anwendung der SafeGuard PortAuditor Datei oder manuell hinzu 188 SafeGuard Enterprise Administrator Hilfe 16 4 4 1 WLAN Verbindung manuell hinzuf gen 189 WLAN Verbindungen die nicht von SafeGuard PortAuditor erkannt wurden und somit nicht ber den Importmechanismus hinzugef gt werden k nnen lassen sich manuell zu einer White List hinzuf gen WLAN Netzwerkinformationen eingeben An dieser Stelle definieren Sie die Parameter denen ein Netzwerk entsprechen muss um zugelassen zu werden Sie k nnen ein Netzwerk mit seinem Namen oder seiner MAC Adresse spezifizieren Nach der Eingabe eines Netzwerknamens oder einer MAC Adresse k nnen Sie auch die Authentisierungs und Datenverschl sselungsparameter angeben die bereinstimmen m ssen Nur Netzwerke die allen Parametern entsprechen werden zugelassen So f gen Sie eine WLAN Verbindung manuell zu einer White List hinzu 1 ffnen Sie die White List f r WLAN Verbindungen 2 Klicken Sie auf das Symbol in der SafeGuard Enterprise Symbolleiste um einen neuen Eintrag zur White List hinzuzuf gen 3 Geben Sie den Netzwerknamen die MAC Adresse oder beide Angaben ein Mindestens ein Feld muss ausgef llt werden 4 Wenn Sie nur den Netzwerknam
148. ch jeweils die Anmeldeverz gerung Nach einer fehlgeschlagenen Anmeldung erscheint ein Dialog der die verbleibende Verz gerungszeit anzeigt Hinweis Wenn ein Benutzer w hrend der Anmeldung mit Token eine falsche PIN eingibt tritt keine Anmeldeverz gerung ein Sie k nnen die Anzahl an erlaubten Anmeldeversuchen in einer Richtlinie vom Typ Authentisierung ber die Option Maximalanzahl von erfolglosen Anmeldeversuchen festlegen 228 SafeGuard Enterprise 5 50 Administrator Hilfe 20 1 5 Computersperre In einer Richtlinievom Typ Authentisierung k nnen Sie au erdem festlegen dass der Computer nach der eingestellten Anzahl an fehlgeschlagenen Anmeldeversuchen gesperrt wird W hlen Sie hierzu bei der Option Computer sperren die Einstellung Ja Um eine Computersperre aufzuheben kann der Benutzer ein Challenge Response Verfahren starten 20 2 Weitere Benutzer importieren 229 Der erste Benutzer der sich in Windows anmeldet ist automatisch in der POA registriert Zun chst kann sich kein weiterer Windows Benutzer in der POA anmelden Weitere Benutzer m ssen mit Hilfe des ersten Benutzers importiert werden Eine detaillierte Beschreibung zum Importieren weiterer Benutzer finden Sie in der SafeGuard Enterprise Benutzerhilfe Eine Richtlinieneinstellung legt fest wer einen neuen Benutzer importieren darf Sie finden diese Richtlinie im Management Center unter Richtlinien m Typ Spezifische Computereinstellungen m Feld Imp
149. chanismen an die Endpoint Computer verteilen Wenn Richtlinieneinstellungen ge ndert werden m ssen jeweils neue Konfigurationspakete erstellt und an die Endpoint Computer verteilt werden Konfigurationspaket f r den SafeGuard Enterprise Server F r den erfolgreichen Einsatz der Software m ssen Sie ein Konfigurationspaket f r den SafeGuard Enterprise Server erstellen das die Datenbank sowie die SSL Verbindung definiert Scripting API aktiviert usw Eine detaillierte Beschreibung zum Erstellen der verschiedenen Arten von Konfigurationspaketen finden Sie im SafeGuard Enterprise Installationshandbuch Hinweis berpr fen Sie Ihr Netzwerk und Ihre Computer in regelm igen Abst nden auf veraltete oder nicht benutzte Konfigurationspakete und l schen Sie diese aus Sicherheitsgr nden Deinstallieren Sie vor der Installation eines neuen Konfigurationspakets auf dem Computer Server jeweils die alten Konfigurationspakete SafeGuard Enterprise 5 50 Administrator Hilfe 12 Administrative Zugangsoptionen f r Endpoint Computer F r den Fall dass nach der Installation von SafeGuard Enterprise der Zugang zur Durchf hrung von administrativen Vorg ngen auf Endpoint Computern erforderlich ist bietet SafeGuard Enterprise folgende administrative Zugangsoptionen Service Accounts f r die Windows Anmeldung Mit Service Accounts k nnen sich Benutzer z B Rollout Beauftragte Mitglieder des IT Teams nach der Installation von S
150. chen F r die erfolgreiche Anmeldung an SafeGuard Enterprise muss in diesem Fall ein neues Kennwort vergeben werden und das Autologin f r Windows in der Registry des Benutzer Computers deaktiviert werden Anmelde Status in der Datenbank Anzeige im Management Center Informationen zu lokalem Objekt Lokaler Benutzer nicht unter Stammverzeichnis bekannt Automatisch registriert neu hinzugef gt unter seinem Computer Lokaler Benutzer Lokaler Benutzer Dom nenknoten bekannt unter Dom nenknoten bereits Computer Benutzer Computer darin vorhanden Dom ne vorhanden Dom nenknoten bekannt unter Dom nenknoten Automatisch Benutzer Computer darin registriert neu hinzugef gt nicht vorhanden 10 SafeGuard Enterprise 5 50 Administrator Hilfe 11 Anmelde Informationen zu lokalem Objekt Arbeitsgruppen Computer Arbeitsgruppe Dom nen Computer Dom ne Status in der Datenbank Arbeitsgruppe bekannt Arbeitsgruppen Computer darin physikalisch vorhanden Arbeitsgruppe bekannt Name des Arbeitsgruppen Computers darin unter Automatisch registriert vorhanden Arbeitsgruppe bekannt Arbeitsgruppen Computer darin nicht vorhanden Arbeitsgruppe nicht bekannt Arbeitsgruppen Computer unter Stammverzeichnis Automatisch registriert bekannt Arbeitsgruppe nicht bekannt Arbeitsgruppen Computer unter Stammverzeichnis Automatisch registriert unbekannt
151. chl ssel amp Zertifikate 2 Klicken Sie im Navigationsfenster auf der linken Seite zun chst auf Virtuelle Clients und dann auf Exportierte Schl sseldateien ft SafeGuard Management Center MSO auf SGNSRY SafeGuard m Datei Bearbeiten Ansicht Gehezu Aktionen Extras Hilfe Oe S CIS OT Schl ssel amp Zertifikate Es Exportierte Schl sseldateien l R Schl ssel HHE Zertifikate Virtuelle Clients r Filter Name der Schl sseldatei x 5 Exportierte Schl sseldateien BT NYARG3S7A76745AF4SaNT7SRA1SF1ACN P Export keys to a key file x Directory Backend lseriManagement Helpdesk Recover ee File name OXAGA43EEE41A3F045AC0682D44511D658 Comments Keys 0x02C44C7867E49243B453F5D9F9845718 0x0D8DEODFC7DDED4890C2318080491095 3 Klicken Sie in der Symbolleiste auf Neue exportierte Schl sseldatei SafeGuard Enterprise 5 50 Administrator Hilfe 9 3 4 Geben Sie im Dialog Schl ssel in eine Schl sseldatei exportieren folgende Informationen ein Verzeichnis Klicken Sie auf um einen Speicherort f r die Schl sseldatei auszuw hlen Dateiname Die Schl sseldatei ist mit einem Zufallskennwort verschl sselt das hier angezeigt wird Sie k nnen den hier angezeigten Namen nicht ndern m Klicken Sie auf Schl ssel hinzuf gen oder Schl ssel entfernen um Schl ssel hinzuzuf gen oder zu entfernen Ein Popupfenster in dem Sie nach
152. chlusselnng des Derurzers au er hal erzeugte Schl ssel Defirierter Schl ssel aus der Liste eacht kanfguriert 69 SafeGuard Enterprise 5 50 Administrator Hilfe Hier k nnen Sie festlegen welche Schl ssel der Benutzer bei der Verschl sselung verwenden darf bzw muss Beliebiger Schl ssel im Schl sselring des Benutzers Der Benutzer kann nach der Anmeldung an Windows ausw hlen welchen Schl ssel er f r die Verschl sselung des Laufwerks verwenden m chte Es wird ein Dialog angezeigt in dem der Benutzer den gew nschten Schl ssel ausw hlen kann Alle au er pers nliche Schl ssel im Schl sselring Ein Benutzer darf seinen pers nlichen Schl ssel nicht verwenden um Daten zu verschl sseln Beliebiger Gruppenschl ssel im Schl sselring des Benutzers Der Benutzer darf nur aus den in seinem Schl sselbund vorhandenen Gruppenschl sseln ausw hlen Definierter Computerschl ssel Ist der eindeutige Schl ssel der beim ersten Hochfahren des Computers exklusiv f r diesen Computer in SafeGuard Enterprise erzeugt wird Der Benutzer hat keine Auswahlm glichkeit Ein definierter Computerschl ssel wird nur f r die Boot und Systempartition eingesetzt und f r Laufwerke auf denen sich Dokumente und Einstellungen befinden Definierter Schl ssel aus der Liste Diese Option erlaubt es Ihnen einen bestimmten Schl ssel zu definieren der vom Benutzer zur Verschl sselung verwendet werden muss Wenn Sie dem Benut
153. cht aufgelistet ist verwenden Sie die Funktion zur Einschr nkung von Einzelger ten siehe Ger te und WLAN Verbindungen zulassen F r Speicherger te erkennt SafeGuard PortAuditor in den meisten F llen durch Identifizieren des Volume oder unter Verwendung der eingebetteten Klassendaten ob es sich um ein Speicherger t oder ein Nicht Speicherger t handelt Dadurch wird eine Kategorisierung von Ger telisten nach Speicherger ten und einfachen Nicht Speicherger ten f r Ihre Auswahl erm glicht Sie erhalten somit eine Hilfestellung bei der Definition Ihrer Richtlinie SafeGuard Configuration Protection bietet eine Auswahl an integrierten Typen im Bereich Speicherkontrolle mit deren Hilfe Sie festlegen k nnen welche Ger tetypen zugelassen oder gesperrt werden sollen Die folgenden Ger tetypenlisten sind in Nicht Speicherger te und Speicherger te aufgeteilt 16 5 1 Nicht Speicherger te Typen Dieser Abschnitt liefert eine Auflistung der integrierten Nicht Speicherger tetypen f r die in SafeGuard Configuration Protection eine Richtlinie definiert werden kann Hinweis Die Ger tekontrolle f r Nicht Speicherger te kann nur f r USB FireWire und PCMCIA Ports definiert werden 1 Eingabeger te Human Interface Devices HID Ger te zur Steuerung und Benutzung von Computersystemen Typische Beispiele Tastaturen Steuerungsger te wie Maus Steuerungsball und Joystick 2 Drucker ber USB PCMCIA oder FireWire angeschlos
154. chte Maustaste gt Benutzer darf eine Medien Passphrase f r Wechselmedien erzeugen Bewirkt dass der Benutzer eine Medien Passphrase auf seinem Computer festlegen kann Die Medien Passphrase erm glicht den einfachen Zugriff auf alle lokalen Schl ssel auf Computern ohne SafeGuard Data Exchange ber SafeGuard Portable Unber cksichtigte Anwendungen Erlaubt die Definition von Anwendungen die vom SafeGuard Enterprise Filter Treiber ignoriert werden sollen und damit von der transparenten Ver Entschl sselung ausgenommen sind Die einzelnen Anwendungen m ssen durch voneinander getrennt werden Ein Beispiel f r eine unber cksichtigte Anwendung kann ein Backup Programm sein Damit die Daten beim Erstellen eines Backups nicht entschl sselt werden kann diese Anwendung von der Verschl sselung Entschl sselung ausgenommen werden Die Daten werden verschl sselt gesichert 146 SafeGuard Enterprise 5 50 Administrator help 147 Richtlinieneinstellung Erkl rung Hinweis Da es sich dabei um maschinenspezifische Einstellungen handelt werden diese erst nach einem Neustart der Benutzer Computer wirksam Unber cksichtigte Anwendungen definieren Typische Verwendung Backup Programme k nnen als unber cksichtigt definiert werden damit sie immer die verschl sselten Daten lesen und sichern Anwendungen die bei gleichzeitiger Verwendung mit SafeGuard Enterprise Funktionsst rungen ausl sen k nn
155. chtigungen 288 SafeGuard Enterprise 5 50 Administrator Hilfe 26 4 Einstellungen f r die Protokollierung festlegen Die Definition von Berichten erfolgt ber zwei Richtlinien m Richtlinie des Typs Allgemeine Einstellungen In einer Richtlinie des Typs Allgemeine Einstellungen k nnen Sie die Anzahl an protokollierten Ereignissen angeben nach deren Erreichen die Protokolldatei mit den f r die zentrale Datenbank bestimmten Ereignissen an die SafeGuard Enterprise Datenbank bermittelt werden soll Dadurch wird die Gr e der einzelnen zu bertragenden Protokolldateien begrenzt Diese Einstellung ist optional Richtlinie des Typs Protokollierung Die zu protokollierenden Ereignisse werden in der Protokollierungsrichtlinie definiert Hier legen Sie als Sicherheitsbeauftragter mit den relevanten Berechtigungen fest welche Ereignisse an welchem Ausgabeort protokolliert werden Die folgenden beiden Abschnitte beschreiben die Definition dieser beiden Richtlinien f r die Protokollierung 26 4 1Anzahl an Ereignissen f r R ckmeldung festlegen 289 So definieren Sie in einer Richtlinie die Anzahl an Ereignissen nach deren Erreichen die Protokolldatei bermittelt werden soll 1 2 Sie befinden sich im ge ffneten Management Center im Bereich Richtlinien Legen Sie eine neue Richtlinie des Typs Allgemeine Einstellung an oder w hlen Sie eine bereits bestehende Richtlinie aus Legen Sie im Feld R ckmeldung nach An
156. cker Computern Sicherheitsrichtlinien lassen sich aktualisieren verteilen und automatisch anwenden m Der BitLocker Verschl sselungsstatus wird angezeigt m Sie k nnen den BitLocker Anmeldemodus definieren 302 SafeGuard Enterprise 5 50 Administrator Hilfe Die Aktivierung sowie die Erstellung von Sicherungskopien von Schl sseln wird im Vergleich zu nativen Vista Umgebungen vereinfacht Sowohl f r Boot Volumes als auch f r andere Volumes steht ein BitLocker Recovery Mechanismus f r die Wiederherstellung von Passw rtern und Schl sseldateien zur Verf gung 27 3 Einsatz von SafeGuard Enterprise ohne BitLocker Laufwerkverschl sselung 303 Die volume basierende Verschl sselung mit SafeGuard Enterprise bietet im Vergleich zur BitLocker Laufwerkverschl sselung eine Reihe von Vorteilen z B SafeGuard Enterprise unterst tzt zus tzlich Windows XP und Vista Business BitLocker unterst tzt lediglich Vista Enterprise und Ultimate F r die Installation ist keine spezifische Festplattenpartition erforderlich F r BitLocker ist eine eigene Partition erforderlich SafeGuard Enterprise unterst tzt verschiedene Smartcards und Token f r die Pre Boot Authentisierung BitLocker unterst tzt keine Smartcards sondern nur USB Sticks die eine kopierbare Schl sseldatei enthalten SafeGuard Enterprise unterst tzt mehrere verschiedene Benutzer und unterscheidet zwischen den einzelnen Benutzern in der Power on Auth
157. d Enterprise ist der Zugriff auf verschl sselte Daten auf Wechselmedien nicht m glich Eine Ausnahme ist hier der zentrale definierte Dom nen Gruppenschl ssel der in Verbindung mit der Medien Passphrase benutzt werden kann Hinweis Um verschl sselte Daten auf Wechselmedien auch auf mit Computern ohne SafeGuard Enterprise zu benutzen weiterzugeben k nnen Sie SafeGuard Portable benutzen F r SafeGuard Portable ist die Verwendung von lokalen Schl sseln oder einer Medien Passphrase erforderlich Lokale Schl ssel SafeGuard Data Exchange unterst tzt die Verschl sselung mit lokalen Schl sseln Lokale Schl ssel werden auf dem Benutzercomputer erzeugt und k nnen zur Verschl sselung von Wechselmedien benutzt werden Die Schl ssel werden durch Eingabe einer Passphrase erstellt In der SafeGuard Enterprise Datenbank wird jeweils eine Sicherungskopie des lokalen Schl ssels erstellt Hinweis Ein Benutzer ist standardm ig dazu berechtigt lokale Schl ssel zu erzeugen Sollen Benutzer nicht dazu berechtigt sein so m ssen Sie diese Option explizit deaktivieren Dies muss in einer Richtlinie vom Typ Ger teschutz mit Zieldes Ger teschutzes Lokale Datentr ger erfolgen Allgemeine Einstellungen gt Benutzer darf einen lokalen Schl ssel erzeugen Nein SafeGuard Enterprise 5 50 Administrator Hilfe Werden lokale Schl ssel zum Verschl sseln von Dateien auf Wechselmedien verwendet lassen sich diese Dateien auf einem Computer o
158. d Management Center Men leiste 2 Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im Bereich Unternehmenszertifikat auf Exportieren 3 Sie werden dazu aufgefordert ein Kennwort f r die Sicherung der exportierten Datei einzugeben Geben Sie ein Kennwort ein best tigen Sie es und klicken Sie auf OK 4 Geben Sie einen Dateinamen und einen Speicherort f r die zu exportierende Datei ein und klicken Sie auf OK Das Unternehmenszertifikat wird als P12 Datei an den definierten Speicherort exportiert und kann f r Recovery Vorg nge benutzt werden Korrupte SafeGuard Management Center Installation wiederherstellen Eine korrupte SafeGuard Management Center Installation kann auf einfache Art und Weise wiederhergestellt werden wenn die Datenbank noch intakt ist In diesem Fall m ssen Sie nur das SafeGuard Management Center neu installieren und die vorhandene Datenbank sowie das gesicherte Sicherheitsbeauftragten Zertifikat verwenden Gehen Sie wie folgt vor 1 Installieren Sie das SafeGuard Management Center Installationspaket neu ffnen Sie das SafeGuard Management Center Der Konfigurationsassistent wird automatisch ge ffnet 2 W hlen Sie unter Datenbankverbindung den relevanten Datenbankserver und konfigurieren Sie falls erforderlich die Verbindung zur Datenbank Klicken Sie auf Weiter 3 Aktivieren Sie unter Datenbankeinstellungen die OptionFolgende bestehende Datenbank verwenden und w hlen Sie die Datenbank
159. das Benutzerkennwort anzuzeigen In diesem Fall startet der Computer jedoch nach Eingabe des Response Codes bis zur Betriebssystemebene Der Benutzer muss somit unter der Voraussetzung dass Zugriff auf die Dom ne besteht das Kennwort auf Windows Ebene ndern Danach kann der Benutzer sich sowohl an Windows als auch an der Power on Authentication mit dem neuen Kennwort anmelden 250 SafeGuard Enterprise 5 50 Administrator Hilfe Best practice zur Wiederherstellung des Kennworts auf POA Ebene Hinweis Wir empfehlen in erster Linie die folgenden Methoden einzusetzen um ein vergessenes Kennwort wiederherzustellen damit das Kennwort nicht zentral zur ckgesetzt werden muss Verwenden Sie Local Self Help Mit Recovery ber Local Self Help kann der Benutzer selbst ohne die Unterst tzung des Helpdesk das vergessene Kennwort anzeigen lassen und es weiterverwenden ohne es zur cksetzen zu m ssen F r weitere Informationen siehe Recovery ber Local Self Help auf Seite 4 Beim Einsatz von Challenge Response Wir raten davon ab das Kennwort zentral im Active Directory zur ckzusetzen bevor das Challenge Response Verfahren gestartet wird Damit bleibt gew hrleistet dass das Kennwort zwischen Windows und Sophos SafeGuard weiterhin synchronisiert ist Stellen Sie sicher dass der Helpdesk entsprechend informiert ist Generieren Sie als SafeGuard Enterprise Helpdesk Beauftragter eine Response mit der Option SGN Client mit Benutzeranmel
160. das Kennwort vor dem Challenge Response Verfahren nicht zentral im Active Directory zur ckzusetzen Dadurch wird sichergestellt dass das Kennwort zwischen Windows und SafeGuard Enterprise synchron bleibt Stellen Sie sicher dass der Windows Helpdesk entsprechend informiert ist 3 Wir empfehlen die folgenden Methoden f r das Zur cksetzen des Kennworts auf Windows Ebene m ber ein Service Benutzerkonto oder ein Administratorkonto mit den erforderlichen Windows Rechten auf dem Endpoint Computer a ber eine Windows Kennwortr cksetz Diskette auf dem Endpoint Computer Als Helpdesk Beauftragter k nnen Sie den Benutzer dar ber informieren welche Methode benutzt werden soll und ihm die zus tzlichen Windows Anmeldeinformationen oder die erforderliche Diskette zur Verf gung stellen Der Benutzer gibt das vom Helpdesk zur Verf gung gestellte neue Kennwort auf Windows Ebene ein Unmittelbar danach ndert der Benutzer das Kennwort in ein nur ihm bekanntes Kennwort SafeGuard Enterprise stellt fest dass das neu gew hlte Kennwort nicht mehr den aktuellen Kennwort entspricht das in der POA verwendet wird Der Benutzer wird aufgefordert das alte Kennwort einzugeben Da er das Passwort vergessen hat muss er auf Abbrechen klicken Da beim Zur cksetzen eines Kennworts ohne Angabe des alten Kennworts in SafeGuard Enterprise ein neues Zertifikat generiert werden muss muss der Benutzer diesen Vorgang best tigen Ein
161. das Volume verweigert Existiert keine Verschl sselungsrichtlinie so kann der Benutzer auf das Volume zugreifen Hinweis Existiert f r ein Unidentified File System Object eine Verschl sselungsrichtlinie bei der die Richtlinieneinstellung Schl ssel f r die Verschl sselung auf eine Option eingestellt ist die die Schl sselauswahl erm glicht z B Beliebiger Schl ssel im Schl sselring des Benutzer so entsteht zwischen der Anzeige des Schl sselauswahldialogs und der Verweigerung des Zugriffs auf das Volume eine zeitliche L cke W hrend dieser Zeit kann auf das Volume zugegriffen werden So lange der Schl sselauswahldialog nicht vom Benutzer best tigt wird besteht Zugriff auf das Volume Um dies zu vermeiden geben Sie einen vorausgew hlten Schl ssel f r die Verschl sselung an Diese zeitliche L cke entsteht auch dann f r mit dem Endpoint Computer verbundene Unidentified File System Objects wenn der Benutzer zu dem Zeitpunkt an dem die Verschl sselungsrichtlinie wirksam wird bereits Dateien auf dem Volume ge ffnet hat In diesem Fall kann nicht gew hrleistet werden dass der Zugriff auf das Volume verweigert wird da dies zu Datenverlust f hren k nnte 64 SafeGuard Enterprise 5 50 Administrator Hilfe 8 1 4 Verschl sselung von Volumes mit aktivierter Autorun Funktionalit t 8 1 5 65 8 2 Wenn Sie auf Volumes f r die die Autorun Funktionalit t aktiviert ist eine Verschl sselungsrichtlinie anwenden
162. das f r den Zertifikatsspeicher festgelegte Kennwort einzugeben Geben Sie das Kennwort ein und best tigen Sie es mit OK Best tigen Sie die angezeigte Meldung mit Ja Das Unternehmenszertifikat wird importiert 7 Klicken Sie auf Weiter und dann auf Fertig stellen Die Datenbankkonfiguration ist wiederhergestellt 28 SafeGuard Enterprise 5 50 Administrator Hilfe 29 6 1 Lizenzen F r die Nutzung des SafeGuard Enterprise Management Centers im produktiven Betrieb ist eine g ltige Lizenz erforderlich So ist eine g ltige Lizenz in der SafeGuard Enterprise Datenbank zum Beispiel die Voraussetzung f r die bertragung von Richtlinien an die Benutzer Computer Dar ber hinaus sind f r die Token Verwaltung die entsprechenden Token Lizenzen notwendig Von Ihrem Vertriebspartner erhalten Sie Ihre Kunden Lizenzdatei zum Import in die SafeGuard Enterprise Datenbank nach der Installation Die Lizenzdatei enth lt u a Informationen zur Anzahl an erworbenen Lizenzen pro Modul Name des Lizenzinhabers sowie ein festgelegtes Toleranzlimit f r die Lizenz berschreitung Bei berschreiten der verf gbaren Lizenzen bzw des Toleranzlimits werden beim Starten des SafeGuard Management Centers entsprechende Warnungs bzw Fehlermeldungen ausgegeben siehe Lizenz berschreitung auf Seite 34 F r die Lizenzverwaltung bietet das SafeGuard Management Center im Bereich Benutzer amp Computer einen berblick zum Lizenzstatus des installierten
163. dem BOOTKEY eines Computers innerhalb einer WinPE Umgebung zu erhalten stellt SafeGuard Enterprise WinPE mit notwendigen SafeGuard Enterprise Funktionsmodulen wie Treibern zur Verf gung Um SetupWinPE zu starten geben Sie folgenden Befehl ein SetupWinPE pe2 lt WinPE Image Datei gt WinPE Image Datei ist dabei die vollst ndige Pfadangabe des 1386 Verzeichnisses f r eine WinPE CD SetupWinPE f hrt alle erforderlichen nderungen durch Remarque Beachten Sie dass ber eine derartige WinPE Umgebung nur auf verschl sselte Laufwerke zugegriffen werden kann die mit dem BOOTKEY verschl sselt sind Auf Laufwerke die mit einem Benutzerschl ssel verschl sselt sind kann nicht zugegriffen werden da die Schl ssel in dieser Umgebung nicht verf gbar sind Slaven einer Festplatte SafeGuard Enterprise erlaubt das Slaven von verschl sselten Volumes oder Festplatten Es gestattet dem Endbenutzer dem Windows Administrator dem SafeGuard Enterprise Sicherheitsbeauftragten trotz sektorbasierter Verschl sselung neue Volumes oder Festplatten anzuschlie en oder zu entfernen Die Key Storage Area KSA eines Volumes enth lt selbst alle notwendigen Informationen m Den zufallsgenerierten DEK Data Encryption Key m Eine Identifikation f r den Verschl sselungsalgorithmus mit dem das Volume verschl sselt ist SafeGuard Enterprise 5 50 Administrator Hilfe m Die Liste von GUIDs der KEKs Key Encryption Keys die den DEK v
164. den Aktionen hinzuf gen l schen Ei Die zus tzliche Autorisierung kann ge ndert werden Beide nderungsm glichkeiten sind verf gbar Hinweis Vordefinierte Rollen und die ihnen zugewiesenen Aktionen k nnen nicht ge ndert werden Ist die zus tzliche Autorisierung aktiviert so kann dies f r jede Rolle auch f r vordefinierte Rollen ge ndert werden 46 SafeGuard Enterprise 5 50 Administrator Hilfe 7 5 1 7 5 2 47 Zus tzliche Autorisierung ndern Voraussetzung Um die zus tzliche Autorisierung zuzuweisen ben tigen Sie das Recht Sicherheitsbeauftragtenrollen einzusehen sowie das Recht Einstellungen f r zus tzliche Autorisierung ndern Gehen Sie wie folgt vor 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen auf die Rolle die Sie ndern m chten Klicken Sie im Aktionsbereich auf der rechten Seite bei der gew nschten Einstellung in der Spalte Zus tzliche Autorisierung und w hlen Sie eine andere Rolle aus der Liste aus Vordefinierte Rollen werden fett angezeigt 3 Klicken Sie auf das Speichern Symbol in der Symbolleiste um Ihre nderungen in der Datenbank zu speichern Die zus tzliche Autorisierung f r diese Rolle wurde ge ndert Alle Eigenschaften einer Rolle ndern Voraussetzung Um eine benutzerdefinierte Rolle zu ndern ben tigen Sie das Recht zum Einse
165. den Sarver gesendet werden Gr Kommunikation E JAIO 4 00 57 PM 1504 Befehl REPORT kornte richt an den Server gesendet werden Ge Kermmusikalicn SAROOS 4 00 55 PM 1504 Bafe REPORT kornite richt an den Server gesendet werden Gr Kommunikation SNT 3 OJI 4 00 55 PM 1504 Befehl LMA_ALOUSER konnte richt an den Server gesendet wen Kommunikation IHIZI 4 0054 PM 1504 Bunt REPORT korrea racht an den Sarver gemeint vmrden Gr Komurkaton SJA JT0S 3 59 44 ma 1504 Befehl REPORT konnte richt an den Server gesendet werden Gr Kommunikation EDER 3 5943 PM 1504 Befehl REPORT korne richt an den Server gesendet werden Ge Kermmusikalicn IHRODS 3 5943 PM 1504 Befehl UMA_ADOUSER konnte niht an den Sarver gesendet wen Kommunikation SGN 3 HD IWW PM 1524 Befehl REPORT harte richt an den Server gesendet werden Gr Kommunikation IHIZI TSTZOM 1504 Balah REPORT kornea richt an dee Sarver gesendet wurden Gr Kommunikation SJA T06 3 57 18 PM 1504 Befehl LMa_ALOUSER konnte richt an den Server gesendet wen Kommunikation SJAJ2006 3 57 17 PM 1504 Befehl LMA_ADOUSER korrie richt an den Server gesendet ven Kormmsikalicn SAROOS 3 57 16 PM 1504 Befehl UMA_ACOUSER konnte nicht an den Server gesendet wen Kommunikation EIER 3 5603 PM 1504 Befehl LMA_ADOUSER konnte richt an den Server gesendet wen Kermmusikalicn EEE 1504 Befehl UMA_ADOUSER konnte nicht an den Sarver gesendet wen Kommunikation E JAG I A PM 1504 Befehl LMA_ALOUSER konnte richt an den Server gesendet wen Kommunikation 50 IHIZI IEO EM
166. den d rfen festlegen Schritt 7 WLAN Kontrolle definieren Beschreibt die Definition der zugelassenen WLAN Verbindungen Schritt 8 Dateikontrolle definieren Beschreibt wie Sie die Berechtigungen f r Dateitypen die von und an Speicherger te bertragen werden festlegen Schritt 9 Richtlinie speichern und ver ffentlichen Beschreibt die Optionen f r das Speichern der Richtlinie in der Richtliniendatenbank sowie f r das Ver ffentlichen der Richtlinie um sie den betreffenden Clients zuzuweisen SafeGuard Enterprise Administrator Hilfe 16 3 2 Schritt 1 Computer scannen und Port Ger te WLAN Nutzung ermitteln Mit SafeGuard Port Auditor steht Ihnen zus tzlich zu SafeGuard Configuration Protection ein umfangreiches Werkzeug zur Verf gung Der SafeGuard PortAuditor bietet in Erg nzung zu SafeGuard Configuration Protection einen vollst ndigen berblick dar ber welche Ports Ger te und Netzwerke von den Benutzern im Unternehmen benutzt werden oder wurden Das Ergebnis einer SafeGuard PortAuditor Abfrage k nnen Sie zur Auswahl der Ger te und Netzwerke die Sie zulassen m chten benutzen SafeGuard Port uditor Eile Settings Report Help SafeGuard PortAuditor Credentials Current Credentials UTIMACO Administrator Computers to Audit Specify the computers you want to audit Organizational Unit Headquarter Browse C Computer Name s C IP Range m Audit Filters
167. den k nnen wenn die ben tigten Benutzerinformationen nicht zur Verf gung stehen und ein Challenge Response Verfahren normalerweise nicht m glich w re z B bei besch digter POA Um in dieser komplexen Notfallsituation ein Challenge Response Verfahren zu erm glichen lassen sich spezifische Dateien die als virtuelle Clients bezeichnet werden erstellen Diese Dateien m ssen vor dem Challenge Response Verfahren an den Benutzer verteilt werden Daraufhin l sst sich mit Hilfe der virtuellen Clients ein Challenge Response Verfahren ber ein Schl ssel Recovery Tool auf dem Endpoint Computer starten Der Benutzer muss dann nur den Helpdesk Beauftragten ber den die ben tigten Schl ssel informieren und den Response Code eingeben um wieder Zugriff auf das verschl sselte Volume zu erhalten Der Zugriff kann entweder mit Hilfe eines einzelnen Schl ssels oder mit Hilfe einer verschl sselten Schl sseldatei die mehrere Schl ssel enth lt wiederhergestellt werden 72 SafeGuard Enterprise 5 50 Administrator Hilfe 9 3 1 73 Im Bereich Schl ssel amp Zertifikate des SafeGuard Management Centers haben Sie folgende M glichkeiten m Virtuelle Clients anlegen und exportieren m Verschl sselte Schl sseldateien mit mehreren Schl sseln anlegen und exportieren m Virtuelle Clients und exportierte Schl sseldateien anzeigen lassen und filtern m Virtuelle Clients l schen Virtuelle Clients anlegen Virtuelle Client Dateien
168. dende SafeGuard Enterprise Module nicht verf gbar sind oder nicht funktionieren Die folgenden Abschnitte beschreiben m gliche Fehlerquellen und Recovery Verfahren Daten Recovery durch Booten von einem externen Medium Dieser Recovery Typ kann angewendet werden wenn sich der Benutzer zwar noch an der POA anmelden jedoch nicht mehr auf das verschl sselte Volume zugreifen kann In diesem Fall kann der Zugriff auf die verschl sselten Daten durch Booten des Computers ber eine f r SafeGuard Enterprise angepasste Windows PE Recovery Disk wiederhergestellt werden Voraussetzungen m Der Benutzer der vom externen Medium bootet muss dazu berechtigt sein Dieses Recht kann entweder im SafeGuard Management Center innerhalb einer Richtlinie vom Typ Authentisierung konfiguriert werden Benutzer darf Volume entschl sseln auf Ja eingestellt oder es kann f r die einmalige Benutzung ber ein Challenge Response Verfahren erlangt werden m Der Computer muss das Booten von anderen Medien au er von der fest eingebauten Festplatte unterst tzen So erhalten Sie wieder Zugriff auf die verschl sselten Daten auf dem Computer 1 Sie erhalten die SafeGuard Enterprise Recovery Disk vom technischen Support F r den Helpdesk steht die Windows PE Recovery Disk mit den aktuellen SafeGuard Enterprise Filtertreibern auf der Sophos Support Website zum Download zur Verf gung Weitere Informationen finden Sie in unserer Wissensdatenbank http www soph
169. der Textdateien erstellt werden und k nnen dann im Navigationsbereich registriert werden 20 3 1 1 Bilder registrieren So registrieren Sie Bilder 1 2 Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Bilder und w hlen Sie Neu gt Bild Geben Sie unter Bildname einen Namen f r das Bild ein SafeGuard Enterprise 5 50 Administrator Hilfe 3 W hlen Sie ber die Schaltfl che das zuvor erstellte Bild aus 4 Klicken Sie auf OK Das neue Bild wird als Unterknoten des Eintrags Bilder im Richtlinien Navigationsbereich angezeigt Ist ein Bild markiert wird es im Aktionsbereich angezeigt Das Bild kann jetzt beim Erstellen von Richtlinien ausgew hlt werden Sie k nnen so weitere Bilder registrieren Alle registrierten Bilder werden als Unterknoten angezeigt Hinweis Mit der Schaltfl che Bild ndern k nnen Sie das zugeordnete Bild austauschen Es wird ein Dialog ge ffnet in dem ein anderes Bild ausgew hlt werden kann 20 3 2 Benutzerdefinierter Informationstext in der POA Sie k nnen die POA f r die Anzeige der folgenden benutzerdefinierten Informationstexte anpassen m Informationstexte die beim Starten eines Challenge Response Verfahrens f r Recovery Vorg nge angezeigt werden z B Bitte wenden Sie sich an den Helpdesk unter der Telefonnummer 01234 56789 Option im Richtlinientyp Allgemeine Einstellungen Informationstext m Rechtliche Hinweise die nach der
170. der mit dem SafeGuard Enterprise Server verbunden ist gestartet werden W hlen Sie Schl ssel angefordert Recovery Schl ssel aus der Datenbank m Die Challenge kann zum Wiederherstellen eines einzelnen Schl ssels f r den Zugriff auf ein verschl sseltes Volume auf einem Standalone Computer gestartet werden der nie eine Verbindung zum SafeGuard Enterprise Server hat W hlen Sie Schl ssel angefordert Schl ssel Recovery Datei Standalone Die Challenge kann zum Wiederherstellen mehrerer Schl ssel f r den Zugriff auf verschl sselte Volumes auf einem Computer der mit dem SafeGuard Enterprise Server verbunden ist Die Schl ssel werden in einer Datei gespeichert die mit einem Zufallskennwort verschl sselt wird das in der Datenbank abgelegt ist Das Kennwort ist f r jede erstellte Schl sseldatei einzigartig Das Kennwort wird innerhalb des Response Codes an den Zielcomputer bertragen W hlen Sie Schl ssel angefordert 23 9 6 Virtuellen Client best tigen 263 Der virtuelle Client muss im SafeGuard Management Center unter Virtuelle Clients angelegt worden sein und er muss in der Datenbank zur Verf gung stehen 1 Klicken Sie im SafeGuard Management Center auf Extras gt Recovery um den Recovery Assistenten zu ffnen 2 W hlen Sie unter Recovery Typ die Option Virtueller Client SafeGuard Enterprise 5 50 Administrator Hilfe 3 4 Geben Sie den Namen des virtuellen Client ein den Sie vom Benutzer erhalten
171. derungen an den Einstellungen f r die Zertifikatserneuerung fehlgeschlagen Administration Zertifikat f r Beauftragten gewechselt Administration Zertifikatswechsel f r Beauftragten fehlgeschlagen Administration Erzeugen von Arbeitsgruppen Administration Fehlgeschlagenes Erzeugen von Arbeitsgruppen Administration L schen von Arbeitsgruppen Administration Fehlgeschlagenes L schen von Arbeitsgruppen Administration Erzeugen von Benutzern Administration Fehlgeschlagenes Erzeugen von Benutzern Administration Erzeugen von Maschinen Administration Fehlgeschlagenes Erzeugen von Maschinen Administration Die Lizenz wurde verletzt Administration 2701 Schl sseldatei wurde erzeugt Administration 2702 Schl ssel f r Schl sseldatei wurde gel scht Administration 2703 Sicherheitsbeauftragter hat die Power on Authentication in einer Richtlinie deaktiviert Client Kernelsicherung erfolgreich Client Kernelr cksicherung beim ersten Versuch erfolgreich SafeGuard Enterprise 5 50 Administrator Hilfe ELS Ereignis ID Beschreibung Client 3006 Kernelr cksicherung beim zweiten Versuch erfolgreich Client 3007 Kernelsicherung fehlgeschlagen Client 3008 Kernelr cksicherung fehlgeschlagen Client 3405 Deinstallation des Configuration Protection Clients fehlgeschlagen Client 3406 Interner Fehler im Configuration Protection Client Client 3407 M glicher Manipulationsvorgang vom Configuration Prot
172. des Dom nen Controllers e Unter Verbindungsstatus wird der Typ des Objekts angezeigt in diesem Fall Dom ne f Klicken Sie auf Richtlinienvererbung stoppen wenn Richtlinien nicht vererbt werden sollen g Best tigen Sie die Angaben mit OK Die Dom ne ist nun neu angelegt Ein Benutzer und oder ein Computer wird bei der Autoregistrierung automatisch dieser Dom ne zugeordnet Unterhalb des Dom nen Containers wird das Standardverzeichnis Automatisch registriert angelegt Es kann weder umbenannt noch gel scht werden 16 SafeGuard Enterprise 5 50 Administrator Hilfe 17 3 8 Dom ne umbenennen Als Sicherheitsbeauftragter mit den n tigen Berechtigungen k nnen Sie eine Dom ne umbenennen und weitere Eigenschaften f r sie festlegen E 2 6 Klicken Sie im SafeGuard Management Center auf den Bereich Benutzer amp Computer Rechts klicken Sie im linken Navigationsfenster auf die Dom ne die Sie umbenennen m chten und w hlen Sie im Kontextmen Eigenschaften ndern Sie in Allgemeine Informationen unter Vollst Name den Namen der Dom ne und evtl die Beschreibung In Dom ne NetBios k nnen Sie den Namen des Dom nen Controllers ndern Au erdem k nnen Sie in der Registerkarte Containereinstellungen den Wake on LAN Modus f r den automatischen Neustart festlegen Best tigen Sie mit OK Die nderungen sind nun gespeichert 3 9 Dom ne l schen Als SO mit den n tigen Berechtigungen k nnen
173. die Richtlinien gelten sollen Benutzer und Computerrichtlinien SafeGuard Configuration Protection verwendet standardm ig Benutzergruppen und Computergruppendefinitionen die durch Active Directory gesteuert werden Jede Option bietet eigene Vorteile m Nach Benutzergruppen Wenn Sie Ihre Richtlinien nach Benutzergruppen definieren k nnen Sie die spezifischen Berechtigungen f r jeden Benutzer festlegen Richtlinien die f r Benutzer gelten haben Priorit t gegeben ber Richtlinien die f r Computer gelten Wenn Sie sich daf r entscheiden Richtlinien Benutzergruppen zuzuweisen empfehlen wir trotzdem eine oder mehrere allgemeine Richtlinien f r Computer zu erstellen Auf diese Weise l sst sich jeder einzelne Computer Port auch dann sch tzen wenn kein Benutzer angemeldet ist Wenn Sie Benutzerrichtlinien und Maschinenrichtlinien in Kombination verwenden k nnen Sie z B alle USB Speicherger te auf allen Computern in der Abteilung Kundenservice blockieren und gleichzeitig dem Abteilungsleiter eine liberalere Richtlinie nach Benutzername und Kennwort zuordnen bei der es keine Rolle spielt auf welchem Computer die Anmeldung erfolgt m Nach Computergruppen Wenn Sie Ihre Richtlinien nach Computern definieren k nnen Sie die Endger te im Unternehmen sch tzen ohne dass es eine Rolle spielt welcher Benutzer angemeldet ist SafeGuard Configuration Protection setzt die Richtlinien wie folgt in Kraft Zuerst wird eine Benutzer
174. dung booten und Benutzerkennwort anzeigen Dies bietet den Vorteil dass das Kennwort nicht im Active Directory ge ndert werden muss Benutzer k nnen mit dem alten Kennwort weiterarbeiten und es gegebenenfalls sp ter lokal ndern 23 7 1 2 Benutzerkennwort anzeigen SafeGuard Enterprise bietet Benutzern die M glichkeit sich ihr Kennwort w hrend des Challenge Response Verfahrens anzeigen zu lassen Dies bietet den Vorteil dass das Kennwort nicht im Active Directory ge ndert werden muss Diese Option ist verf gbar wenn die Anforderung SGN Client mit Benutzeranmeldung booten gestellt wird 23 7 1 3 Ein anderer Benutzer muss den durch SafeGuard Enterprise gesch tzten Computer booten In diesem Fall bootet der Benutzer der Zugriff auf den Computer ben tigt den Computer und gibt seinen Benutzernamen ein Der Benutzer fordert dann eine Challenge an Der SafeGuard Helpdesk generiert eine Response vom Typ SGN Client mit Benutzeranmeldung booten mit aktivierter durchgehender Anmeldung an Windows Der Benutzer wird angemeldet und kann den Computer benutzen 23 7 1 4 Zugriff auf Daten durch Booten von externem Medium oder Diskette Mit Hilfe des Challenge Response Verfahrens l sst sich ein Computer auch von einem externen Medium wie WinPE booten Hierzu muss der Benutzer im POA Anmeldedialog die Option Weiterbooten von Diskette externem Medium w hlen und eine Challenge starten Nach Erhalt der Response kann der Benutzer die Anmeldeinformati
175. durchgef hrt m Schnell sobald der Computer eine Verbindung hergestellt hat ndert der Benutzer sein Kennwort aufeinem SafeGuard Enterprise Benutzer PC so wird die Kennwortsynchronisierung mit einem anderen Computer auf dem er als Benutzer eingetragen ist durchgef hrt sobald der andere Computer eine Verbindung mit dem Server hergestellt hat Dies erfolgt zum Beispiel dann wenn sich ein anderer Benutzer der ebenfalls auf dem Computer als Benutzer eingetragen ist in der Zwischenzeit an diesem Computer anmeldet Legt den Zeitraum fest in dem ein Kennwort nicht erneut ge ndert werden darf Diese Einstellung verhindert dass ein Benutzer sein Kennwort innerhalb eines bestimmten Zeitraums beliebig oft ndern kann Bei einem durch Windows erzwungenen Kennwortwechsel oder beieinem Wechsel des Kennworts nach der Anzeige der Warnung dass das Kennwort in x Tagen abl uft wird diese Einstellung nicht ausgewertet Beispiel Die Benutzerin Schmidt definiert ein neues Kennwort z B 13jk56 F r sie oder f r die Gruppe der sie zugeordnet ist ist ein Wechsel nach mind f nf Tagen festgelegt Bereits nach zwei Tagen will sie das Kennwort 13jk56 ndern Dies wird abgelehnt da Frau Schmidt erst nach f nf Tagen ein neues Kennwort definieren darf SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinieneinstellung Erkl rung Kennwort l uft ab nach Tage Wird die maximale G ltigkeitsda
176. e Gastbenutzer behandelt Damit Sie hier eine Liste ausw hlen k nnen m ssen Sie diese zun chst im Richtlinien Navigations bereich unter Service Account Listen anlegen SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinieneinstellung Erkl rung BitLocker OPTIONEN BitLocker Anmeldemodus Als Anmeldemodus f r BitLocker k nnen Sie aus folgenden Optionen ausw hlen m TPM Der Schl ssel f r die Anmeldung wird auf dem TPM Chip gespeichert m TPM PIN Der Schl ssel f r die Anmeldung wird auf dem TPM Chip gespeichert und zus tzlich wird eine PIN zur Anmeldung ben tigt Einstellungen f r die PIN werden unter PIN und Kennwort vorgenommen m USB Stick Der Schl ssel f r die Anmeldung wird auf einem USB Stick gespeichert m TPM USB Stick Der Schl ssel f r die Anmeldung wird aufdem TPM Chip und auf einem USB Stick gespeichert Die Anmeldung kann dann entweder mit TPM Chip oder USB Stick erfolgen BitLocker Anmeldemodus Fallback F r den Fall dass die Anmeldung fehlschl gt bietet SafeGuard Enterprise als Fallback Mechanismus die Anmeldung mit USB Stick oder die Ausgabe einer Fehlermeldung an Hinweis Wird USB Stick als Anmeldemodus ausgew hlt wird diese Option nicht angeboten 122 SafeGuard Enterprise 5 50 Administrator Hilfe 123 Richtlinieneinstellung TPM Plattform Validierungsprofil Erkl rung Ist TPM auf dem Endpoint Computer vorhanden so l sst
177. e Priorit t festlegen indem Sie die Richtlinie ber das Kontextmen nach oben oder unten reihen Die Einstellungen einer h her gereihten Richtlinie berschreiben jene einer niedriger priorisierten Wenn Sie f r eine Richtlinie Kein berschreiben aktivieren k nnen die Einstellungen dieser Richtlinie nicht von anderen berschrieben werden Hinweis Wenn Sie bei einer Richtlinie mit niedrigerer Priorit t die OptionKein berschreiben aktivieren so zieht diese Richtlinie trotz niedrigerer Priorit t gegen ber einer Richtlinie mit einer h heren Priorit t P SafeGuard Management Center MSO_Utimaco an SRY 2003R2 DE SafeGuard u lm x Datei Bearbeiten Ansicht Gehezu Aktionen Extras Hilfe 5 B B Benutzer amp Computer Stamm Filter ist aktiv D Authentisierte Benutzer HE Authentisierte Comp j 2 Automatisch registriert SHE UTIMAaCO EDU 2 Automatisch regl H Computers H Domain Contfollers Iministrator 8 DHCP Adminis i R DHCP Benutzer i B Dns dmins be B DnsUpdateProxy j 8 Dom nen Adm 8 Pom nen Ben pe B Dom nencomp j B Dom nencontr B Dom nen G ste i D Gast i B Hilfedienstgru BZ Richtlinien ER Schl ssel amp Zertifikate f m Token amp Sicherheitsbeauftragte B CA e Richtlinie 4 Allgemeine Einstellungen PIN BY Anmeldung OU_DE 1 24 04 2008 16 5 24 04 2008 16 5 24 04 200
178. e autorisierte Aktion durchf hren 23 8 Response f r mit BitLocker verschl sselte SafeGuard Enterprise Clients F r mit BitLocker verschl sselte Computer l sst sich ein Volume auf das nicht mehr zugegriffen werden kann wiederherstellen Hinweis Der Name muss immer der Distinguished Name des Computers sein 1 W hlen Sie im Fenster Recovery Typ die Option SafeGuard Enterprise Client 2 W hlen Sie die Dom ne aus der Liste 3 Geben Sie den Computernamen ein Hierf r gibt es mehrere M glichkeiten a W hlen Sie einen Namen indem Sie auf im Abschnitt Computer Information des Dialogs Recovery Typ klicken und anschlie end Jetzt suchen klicken Eine Liste mit Computern wird angezeigt W hlen Sie den gew nschten Computer aus und klicken Sie auf OK Der Computername wird nun im Fenster Recovery Typ unter Dom ne angezeigt m Geben Sie den Kurznamen des Computers ein Wenn Sie auf Weiter klicken wird der Name in der Datenbank gesucht Der gefundene Computername wird als Distinguished Name angezeigt m Geben Sie den Computernamen direkt als Distinguished Name ein zum Beispiel CN Desktopl1 0U Development OU Headquarter DC Utimaco DC edu 256 SafeGuard Enterprise 5 50 Administrator Hilfe 257 4 Klicken Sie auf Weiter Das Programm bestimmt nun automatisch ob es sich um einen nativen SafeGuard Enterprise Computer oder um einen mit BitLocker verschl sselten Computer handelt und passt den Recovery Workfl
179. e bei der Vergabe eines neuen Kennworts jedoch keine Zeichen mit der Kombination ALT lt Zeichen gt da dieser Eingabemodus an der Power on Authentication nicht zur Verf gung steht Wie Kennw rter mit denen sich Benutzer am System anmelden beschaffen sein m ssen wird in Richtlinien vom Typ Kennwort eingestellt Achtung Wenn im SafeGuard Enterprise Management Center Regeln f r Kennw rter definiert werden dann sollten im Active Directory keine Regeln definiert werden Richtlinieneinstellung Erkl rung REGELN Mindestl nge des Kennwortes Zeigt an aus wie vielen Zeichen ein Kennwort bei der nderung durch den Benutzer mindestens bestehen muss Der gew nschte Wert kann entweder direkt eingegeben oder durch Bet tigen der Richtungstasten vergr ert bzw verkleinert werden Maximall nge des Zeigt an aus wie vielen Zeichen ein Kennwort bei der Kennwortes nderung durch den Benutzer maximal bestehen darf Der gew nschte Wert kann entweder direkt eingegeben oder durch Bet tigen der Richtungstasten vergr ert bzw verkleinert werden Mindestanzahl an Buchstaben Mit diesen Einstellungen wird erreicht dass Kennw rter Mindestanzahl an Ziffern nicht ausschlie lich Zeichen Ziffern oder Sonderzeichen enthalten sondern aus einer Kombination bestehen m ssen z B l5blume etc Diese Einstellung ist nur dann sinnvoll wenn eine Kennwortmindestl nge definiert ist die gr er 2 ist Mindestanzahl an Symbolen
180. e im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Benutzer Navigationsfenster unter POA POA Gruppe die relevante POA Gruppe Im Aktionsbereich des SafeGuard Management Center auf der rechten Seite wird die Mitglieder Registerkarte angezeigt 106 SafeGuard Enterprise 5 50 Administrator Hilfe 3 W hlen Sie den Benutzer den Sie aus der Gruppe entfernen m chten 4 Klicken Sie in der SafeGuard Management Center Symbolleiste auf das L schen Symbol rotes Kreuzzeichen Der Benutzer wird aus der Gruppe entfernt Hinweis Sie k nnen POA Access Accounts aus einer Gruppe entfernen indem Sie den POA Benutzer im Navigationsfenster ausw hlen und die beschriebenen Schritte ausf hren Der einzige Unterschied bei dieser Vorgehensweise besteht darin dass nach Auswahl des Benutzers die Mitglied von Registerkarte im Aktionsbereich angezeigt wird Diese Registerkarte zeigt die Gruppen denen der Benutzer zugewiesen wurde Der grundlegende Workflow ist identisch 14 7 POA Access Accounts zu Endpoint Computern zuweisen 107 So weisen Sie POA Access Accounts Endpoint Computern ber Konfigurationspakete zu 1 5 6 W hlen Sie im SafeGuard Management Center aus dem Men Extras den Befehl Konfigurationspakete W hlen Sie ein vorhandenes Konfigurationspaket aus oder erstellen Sie ein neues W hlen Sie eine POA Gruppe aus die sie zuvor im Bereich Benutzer am
181. eGuard Enterprise das Anlegen von Listen mit Service Accounts Die in den Listen enthaltenen Benutzer werden dadurch auf den betreffenden Computern als SafeGuard Enterprise Gastbenutzer behandelt Mit Service Accounts ergibt sich folgendes Szenario 1 SafeGuard Enterprise wird auf einem Computer installiert 2 Der Computer wird neu gestartet und ein Rollout Beauftragter der in einer Service Account Liste aufgef hrt ist meldet sich an Windows Anmeldung 3 Gem der auf den Computer angewendeten Service Account Liste wird der Benutzer als Service Account erkannt und als Gastbenutzer behandelt Der Rollout Beauftragte wird nicht zur POA hinzugef gt und die POA wird nicht aktiviert Der Endbenutzer kann sich anmelden und die POA aktivieren Hinweis Service Account Listen sollten bereits im ersten SafeGuard Enterprise Konfigurationspaket das Sie f r die Konfiguration der Endpoint Computer erstellen enthalten sein SafeGuard Enterprise 5 50 Administrator Hilfe 13 1 Service Account Listen anlegen und Benutzer hinzuf gen So legen Sie Service Account Listen an und f gen Benutzer hinzu 1 Klicken Sie auf Richtlinien im Navigationsbereich 2 Markieren Sie Service Account Listen im Richtlinien Navigationsfenster 3 Klicken Sie im Kontextmen von Service Account Listen auf Neu gt Service Account Liste 4 Geben Sie einen Namen f r die Service Account Liste ein und klicken Sie auf OK 5 Markieren Sie die neue Liste unte
182. eGuard Enterprise Komponenten z B Korrupter MBR Probleme in Bezug auf den SafeGuard Enterprise Kernel Probleme in Bezug auf Volume Zugriff 238 SafeGuard Enterprise 5 50 Administrator Hilfe m Probleme in Bezug auf Windows Boot Vorg nge Probleme in Bezug auf die GINA F r detaillierte Informationen siehe Systemwiederherstellung auf Seite 272 239 SafeGuard Enterprise 5 50 Administrator Hilfe 22 Recovery ber Local Self Help 22 1 SafeGuard Enterprise bietet f r Endpoint Computer die Funktion Local Self Help ber Local Self Help k nnen sich Benutzer die Ihr Kennwort vergessen haben ohne Unterst tzung des Helpdesks wieder an ihrem Computer anmelden Mit Local Self Help erhalten Benutzer auch in Situationen in denen sie keine Telefon oder Netzwerkverbindung und somit auch kein Challenge Response Verfahren nutzen k nnen z B an Bord eines Flugzeugs wieder Zugang zu ihrem Computer Um sich anzumelden muss der Benutzer lediglich eine bestimmte Anzahl an vordefinierten Fragen in der Power on Authentication beantworten Die zu beantwortenden Fragen k nnen Sie als zust ndiger Sicherheitsbeauftragter zentral vordefinieren und per Richtlinie an die Endpoint Computer verteilen Als Vorlage liefern wir Ihnen ein vordefiniertes Fragenthema das Sie unver ndert benutzen oder modifizieren k nnen Sie k nnen die Benutzer auch per Richtlinie berechtigen selbst Fragen zu definieren F r die initiale B
183. eantwortung und sp tere Bearbeitung der Fragen steht dem Benutzer nach der Aktivierung der Funktion auf seinem Computer der Local Self Help Assistent zur Verf gung Detaillierte Informationen zu Local Self Help auf dem Endpoint Computer finden Sie in der SafeGuard Enterprise Benutzer Hilfe im Kapitel Recovery ber Local Self Help Local Self Help reduziert die Anzahl an Helpdesk Anforderungen f r Notf lle die die Anmeldung betreffen Helpdesk Mitarbeitern werden somit Routine Aufgaben abgenommen und sie k nnen sich auf komplexere Support Anforderungen konzentrieren Parameter f r Local Self Help ber eine Richtlinie definieren Die Einstellungen f r Local Self Help definieren Sie in einer Richtlinie vom Typ Allgemeine Einstellungen unter Recovery f r die Anmeldung Local Self Help aktivieren Hier aktivieren Sie die Funktion zur Benutzung auf den Endpoint Computern und legen weitere Berechtigungen und Parameter fest 240 SafeGuard Enterprise 5 50 Administrator Hilfe 22 1 1 Local Self Help aktivieren Um die Funktion Local Self Help f r die Benutzung auf Endpoint Computern zu aktivieren w hlen Sie im Feld Local Self Help die Option Local Self Help aktivieren Nach dem Wirksamwerden der Richtlinie auf den Computern sind die Benutzer aufgrund dieser Einstellung berechtigt Local Self Help f r Recovery Vorg nge die die Anmeldung betreffen zu benutzen Hierzu m ssen die Benutzer die Funktion auf Ihrem Computer durch Beantwort
184. ection Client festgestellt Client 3408 M glicher Manipulationsvorgang am Ereignisprotokoll des Configuration Protection Clients Verschl sselung 3501 Zugriff auf Medium im Laufwerk verweigert Verschl sselung 3502 Zugriff auf Datei verweigert Verschl sselung 3503 Sektorbasierte Erst Verschl sselung des Laufwerks gestartet Verschl sselung 3504 Sektorbasierte Erst Verschl sselung des Laufwerks gestartet Schnellmodus Verschl sselung 3505 Sektorbasierte Erst Verschl sselung des Laufwerks fehlerfrei beendet Verschl sselung 3506 Sektorbasierte Erst Verschl sselung des Laufwerks gescheitert und beendet Verschl sselung 3507 Sektorbasierte Erst Verschl sselung des Laufwerks abgebrochen Verschl sselung 3508 Sektorbasierte Erst Verschl sselung des Laufwerks fehlgeschlagen Verschl sselung 3509 Sektorbasierte Entschl sselung des Laufwerks gestartet Verschl sselung 3510 Sektorbasierte Entschl sselung des Laufwerks fehlerfrei beendet Verschl sselung 3511 Sektorbasierte Entschl sselung des Laufwerks gescheitert und beendet Verschl sselung 3512 Sektorbasierte Entschl sselung des Laufwerks abgebrochen Verschl sselung 3513 Sektorbasierte Entschl sselung des Laufwerks fehlgeschlagen Verschl sselung 3514 F amp F Erst Verschl sselung auf einem Laufwerk gestartet 316 SafeGuard Enterprise 5 50 Administrator Hilfe 317
185. ee Objektname Schl sselname Objekttyp Objektpfad Root Root_Root SGN B Root Root 2 miehinen Dazugeh rige Ansichten ER s ate k nnen zur Verwaltung ben tigte Elemente oder Informatig ber die derzeit bearbeiteten Objekte enthalten start O S E Scan 9 SafeGuard Manage Navigationsbereich Schaltfl chen f r alle administrativen T tigkeiten Im Navigationsbereich befinden sich Schaltfl chen f r alle administrativen T tigkeiten Benutzer amp Computer Zum Importieren von Gruppen und Benutzern aus einem Active Directory aus der Dom ne oder von einem einzelnen Computer m Richtlinien Zum Erzeugen der Richtlinien m Schl ssel amp Zertifikate Zum Verwalten der Schl ssel und Zertifikate SafeGuard Enterprise 5 50 Administrator Hilfe m Token Zur Verwaltung von Token und Smartcards m Sicherheitsbeauftragte Zum Anlegen neuer Sicherheitsbeauftragter und Definieren von Aktionen f r deren Ausf hrung eine zus tzliche Autorisierung notwendig ist m Berichte Erm glicht die Protokollierung aller sicherheitsrelevanten Ereignisse und deren Verwaltung Navigationsfenster Abh ngig davon welche administrative Aufgabe ber eine Schaltfl che gew hlt wurde werden im Navigationsfenster Objekte zur Bearbeitung angezeigt Active Directory Objekte wie OUs Benutzer und Computer Richtlinien usw bzw k nnen dort erstellt werden Aktionsbereich Hier werden die Einstellungen f r das im Naviga
186. egen Sie auf dem Endpoint Computer die Recovery Disk ein und starten Sie den Computer Der integrierte Dateimanager wird ge ffnet Hier sehen Sie auf einen Blick die bereitgestellten Volumes und Laufwerke Fie edit New Favorites Go view Toos Hep 2 0 ello So x l Seel u aaae f a at aD BE aX la D 7 Haee O ae Tone mean j Computer Hei Floppy Disk Drive A Hg System C xa Local Disk D CD Drive E CD_ROM g Boot X Control Panel OHNE Control Panel Recycle Bin Morra z Overwrite M Zip Password T Relative Path M Update M Hidden System 0 object s 0 object s selected D 0 00 KB free 0 00 KB total Quick Launch Text Editor FM Extra Find File Hex Viewer Image Viewer 355 El wA BE Restore KeyRecovery kl Main Der Inhalt des verschl sselten Laufwerks ist im Dateimanager nicht sichtbar In den Eigenschaften des verschl sselten Laufwerks werden weder das Dateisystem noch die Kapazit t sowie der verwendete freie Speicherplatz angegeben 259 SafeGuard Enterprise 5 50 Administrator Hilfe 2 Klicken Sie unten im Bereich Quick Launch des Dateimanagers auf das KeyRecovery Symbol um das KeyRecovery Tool zu ffnen Das Key Recovery Tool zeigt dieSchl ssel ID verschl sselter Laufwerke t Schl ssel wiederherstellen R
187. eibasierender Verschl sselung verschl sselte Daten k nnen nicht komprimiert werden Umgekehrt k nnen auch komprimierte Dateien nicht dateibasierend verschl sselt werden Hinweis Boot Volumes werden niemals dateibasierend verschl sselt Sie sind automatisch von einer dateibasierenden Verschl sselung ausgenommen auch wenn eine entsprechende Regel definiert ist Um dateibasierende Verschl sselung auf Endpoint Computer anzuwenden erstellen Sie eine Richtlinie vom Typ Ger teschutz und w hlen Sie bei Verschl sselungsmodus f r Medien die Einstellung Dateibasierend SafeGuard Enterprise 5 50 Administrator Hilfe 8 2 1 Anwendungen von der Verschl sselung ausnehmen Sie k nnen f r Anwendungen festlegen dass sie vom SafeGuard Enterprise Filter Treiber ignoriert werden sollen Damit sind sie von der transparenten Ver Entschl sselung ausgenommen Ein Beispiel hierf r ist ein Backup Programm Damit die Daten beim Erstellen eines Backups nicht entschl sselt werden kann diese Anwendung von der Verschl sselung Entschl sselung ausgenommen werden Die Daten werden verschl sselt gesichert Als typischer Anwendungsfall k nnen Backup Programme zum Beispiel als unber cksichtigt definiert werden damit sie immer die verschl sselten Daten lesen und sichern Anwendungen die bei gleichzeitiger Verwendung mit SafeGuard Enterprise Funktionsst rungen ausl sen k nnen aber keine Verschl sselung erfordern k nnen generell von d
188. eichen Gruppen Dom nenschl ssel verwenden Wenn Bob auf verschl sselte Dateien auf Wechselmedien auf einem Computer ohne SafeGuard Data Exchange zugreifen m chte kann er die Medien Passphrase in SafeGuard Portable benutzen Joe kann auf die spezifischen Dateien durch Eingabe der Passphrase des Schl ssels JoeSchl ssel zugreifen ohne auf die restlichen Dateien auf dem Wechselmedium zugreifen zu m ssen Die notwendigen Einstellungen legen Sie in einer Richtlinie vom Typ Ger teschutz Wechselmedien fest Verschl sselungsmodus f r Medien Dateibasierend Schl ssel f r die Verschl sselung Beliebiger Schl ssel im Schl sselring des Benutzers Erm glicht dem Benutzer die Auswahl unterschiedlicher Schl ssel f r die Verschl sselung von Dateien auf Wechselmedien m Definierter Schl ssel aus der Liste lt Gruppen Dom nenschl ssel gt z B group_users_Bob_Alice DC um sicherzustellen dass beide denselben Schl ssel benutzen und um beiden den transparenten Zugriff auf Wechselmedien zu erm glichen wenn sie sie mit ihren Computern im B ro verbinden Benutzer darf eine Medien Passphrase f r Wechselmedien erzeugen Ja Der Benutzer definiert eine Medien Passphrase auf seinem Computer die f r alle seine Wechselmedien gilt SafeGuard Portable auf Wechselmedien kopieren Ja SafeGuard Portable gibt dem Benutzer in einem System ohne SafeGuard Data Exchange Zugriff auf alle verschl sselten Dateien auf den Wechselmedien durch
189. eilen Sie die virtuelle Client Datei recoverytoken tok an die betreffenden SafeGuard Enterprise Benutzer Der Benutzer sollte diese Datei an einem sicheren Speicherort z B auf einem USB Stick speichern Beim Starten eines Challenge Response Verfahrens muss diese Datei im selben Verzeichnis wie das Recovery Tool abgelegt sein 74 SafeGuard Enterprise 5 50 Administrator Hilfe 9 3 3 75 Schl sseldateien f r den Recovery Vorgang anlegen und exportieren Sind mehrere Schl ssel erforderlich um den Zugriff auf ein verschl sseltes Volume im Rahmen eines Recovery Verfahrens mit virtuellen Clients wiederherzustellen so kann der Sicherheitsbeauftragte diese Schl ssel in einer exportierten Schl sseldatei zusammenfassen Diese Schl sseldatei wird mit einem Zufallskennwort verschl sselt das in der Datenbank gespeichert wird Das Kennwort ist f r jede angelegte Schl sseldatei einzigartig Die verschl sselte Schl sseldatei muss an den Benutzer bertragen werden und ihm beim Starten eines Challenge Response Verfahrens ber ein Recovery Tool zur Verf gung stehen Im Rahmen des Challenge Response Verfahrens wird das Kennwort f r die Schl sseldatei mit dem Response Code bertragen Die Schl sseldatei kann daraufhin mit dem Kennwort entschl sselt werden und es besteht wieder Zugriff auf alle Volumes die mit den verf gbaren Schl sseln verschl sselt sind 1 ffnen Sie das SafeGuard Management Center und klicken Sie auf S
190. einstellung Erkl rung Erfolglose Anmeldeversuche dieses Benutzers anzeigen Zeigt Einstellung JA nach der Anmeldung in der POA und Windows einen Dialog mit Informationen ber die letzte fehlgeschlagene Anmeldung Benutzername Datum Zeit an Letzte Benutzeranmeldung anzeigen Zeigt Einstellung JA nach der Anmeldung in der POA und Windows einen Dialog mit Informationen ber die m letzte erfolgreiche Anmeldung Benutzername Datum Zeit m letzten Anmeldeinformationen des angemeldeten Benutzers an Wenn Benutzer den Endpoint Computer nur f r kurze Zeit verlassen wollen k nnen Sie den Rechner mittels Klick auf die Schaltfl che Arbeitsstation sperren f r andere Benutzer sperren und danach mit ihrem Kennwort wieder entsperren Steht diese Einstellung auf NEIN dann kann sowohl jener Benutzer der die Arbeitsstation gesperrt hat als auch ein Administrator diese Sperre aufheben Hebt ein Administrator die Sperre auf so wird der aktuell angemeldete Benutzer zwangsweise abgemeldet Die Einstellung JA ndert dieses Verhalten In diesem Fall kann nur der Benutzer die Sperre der Arbeitsstation aufheben Ein Aufheben der Sperre durch den Administrator und das damit verbundene erzwungene Abmelden des Benutzers ist nicht mehr m glich Erzwungene Abmeldung bei Sperre der Arbeitsstation deaktivieren Hinweis Diese Einstellung wird nur unter Windows XP wirksam Letzte Benutzer Dom nen Auswahl JA Die POA
191. eis Mit Dateibasierender Verschl sselung verschl sselte Daten k nnen nicht komprimiert werden Umgekehrt k nnen auch komprimierte Dateien nicht dateibasierend verschl sselt werden Boot Volumes werden niemals dateibasierend verschl sselt Sie sind automatisch von einer dateibasierenden Verschl sselung ausgenommen auch wenn eine entsprechende Regel definiert ist SafeGuard Enterprise 5 50 Administrator help Richtlinieneinstellung ALLGEMEINE EINSTELLUNGEN Algorithmus f r die Verschl sselung Schl ssel f r die Verschl sselung Erkl rung Setzt den Verschl sselungsalgorithmus Liste aller einsetzbaren Algorithmen mit ihren jeweiligen Standards AES256 32 Bytes 256 Bits AES128 16 Bytes 128 Bits AES256 mit Diffuser AES128 mit Diffuser Legt fest welcher Schl ssel zur Verschl sselung verwendet wird Es k nnen bestimmte Schl ssel festgelegt werden z B Computer Schl ssel oder ein definierter Schl ssel oder dem Benutzer kann die Auswahl eines Schl ssels erlaubt werden Die Schl ssel die ein Benutzer verwenden darf k nnen eingeschr nkt werden Folgende Optionen stehen zur Verf gung m Beliebiger Schl ssel im Schl sselring des Benutzers Alle Schl ssel aus dem Schl sselbund des Benutzers werden angezeigt und der Benutzer darf einen daraus ausw hlen Hinweis Diese Option muss gew hlt werden wenn eine Richtlinie f r dateibasierende Verschl sselung f r einen Sta
192. elle bietet eine Auflistung der Dateitypen und Dateierweiterungen die von der SafeGuard Configuration Protection Dateitypkontrolle unterst tzt werden Dateityp Erweiterungen Beschreibung Microsoft Office DOC Microsoft Word Dokument DOCX Microsoft Word Dokument DOCM Microsoft Word Dokument DOT Microsoft Word Dokumentvorlage DOTX Microsoft Word Dokumentvorlage DOTM Microsoft Word Dokumentvorlage RTF Rich Text Format PPT Microsoft PowerPoint Pr sentation PPTX Microsoft PowerPoint Pr sentation PPTM Microsoft PowerPoint Pr sentation POT Microsoft PowerPoint Vorlage POTX Microsoft PowerPoint Vorlage POTM Microsoft PowerPoint Vorlage PPS Microsoft PowerPoint Show PPSX Microsoft PowerPoint Show PPSM Microsoft PowerPoint Show PPA Microsoft PowerPoint Add In PPAM Microsoft PowerPoint Add In XLS Microsoft Excel Arbeitsmappe XLSX Microsoft Excel Arbeitsmappe XLSM Microsoft Excel Arbeitsmappe XLSB Microsoft Excel Arbeitsmappe XLT Microsoft Excel Vorlage XLTX Microsoft Excel Vorlage XLTM Microsoft Excel Vorlage XLA Microsoft Excel Add In XLAM Microsoft Excel Add In MPP Microsoft Project Projekt 177 SafeGuard Enterprise Administrator Hilfe Publizierte Dokumente Web Seiten Bilder MPT VSD VDX VSS VSX VST VTX PUB ONE ADP ADE PDF PS EPS HTML HTM MHT MHTML PHP HLP CHM ASP ASPX ASMX JHTML JSP JPG JPEG GIF BMP DIB Microsoft Project Vorlage Microsoft Visio Zeichnung Microsoft Visio Zeichnung Micros
193. ellt Wenn eine Richtlinie nur ber einen Computer kommt dann werden auch die benutzerspezifischen Einstellungen dieser Richtlinie verwendet Die Computerrichtlinie stellt dann eine f r alle Benutzer Richtlinie dar 94 SafeGuard Enterprise 5 50 Administrator Hilfe 95 11 Mit Konfigurationspaketen arbeiten Im SafeGuard Management Center lassen sich Konfigurationspakete der folgenden Typen erstellen m Konfigurationspakete f r zentral verwaltete Computer Computer die eine Verbindung zum SafeGuard Enterprise Server haben erhalten Ihre Richtlinien ber den Server F r den erfolgreichen Einsatz der SafeGuard Enterprise Client Software nach der Installation m ssen Sie zun chst ein Konfigurationspaket f r zentral verwaltete Computer erzeugen und es auf den Computern installieren Nach der ersten Konfiguration der Endpoint Computer ber das Konfigurationspaket erhalten die Computer Richtlinien ber den SafeGuard Enterprise Server wenn Sie diese im Bereich Benutzer amp Computer des SafeGuard Management Center zugewiesen haben Konfigurationspakete f r Standalone Computer Standalone Computer haben niemals eine Verbindung zum SafeGuard Enterprise Server sie laufen im Standalone Modus Die Computer erhalten ihre Richtlinien ber Konfigurationspakete F r den erfolgreichen Einsatz der Software m ssen Sie ein Konfigurationspaket mit den relevanten Richtliniengruppen erstellen und es ber unternehmenseigene Verteilungsme
194. en Der Schl ssel muss unter F r Verschl sselung definierter Schl ssel ausgew hlt werden Hinweis Bei Verwendung von Definierter Computer Schl ssel If SafeGuard Enterprise Device Encryption is not installed on a endpoint computer no POA no volume based encryption a policy defining the Defined machine key as the key to be used for file based encryption will not become effective on this computer The defined machine key is not available on a computer of this type The data cannot be encrypted Richtlinien f r durch SafeGuard Enterprise gesch tzte Standalone Computer Bitte beachten Sie beim Erstellen von Richtlinien f r Standalone Computer dass f r die dateibasierende Verschl sselung ausschlie lich die Option Beliebiger Schl ssel im Schl sselring des Benutzers m glich ist Zus tzlich darf das Erzeugen von lokalen Schl sseln nicht verboten werden Falls die Medien Passphrase Funktion f r Standalone Computer aktiviert ist wird der Medienverschl sselungschl ssel automatisch als F r Verschl sselung definierter Schl ssel verwendet da auf Standalone Clients keine Gruppenschl ssel zur Verf gung stehen SafeGuard Enterprise 5 50 Administrator help Richtlinieneinstellung Erkl rung Wenn Sie beim Erstellen einer Wechselmedien Richtlinie f r Standalone Computer einen anderen Schl ssel unter F r Verschl sselung definierter Schl ssel ausw hlen so hat dies keine Auswirkung F r V
195. en Konfigurationsschutz Enth lt Einstellungen erlauben sperren f r die Verwendung von Ports Peripherieger ten PDAs Wechselmedien Druckern usw 110 SafeGuard Enterprise 5 50 Administrator Hilfe 15 1 Allgemeine Einstellungen 111 Richtlinieneinstellung Richtlinien Loopback Erkl rung LADEN DER EINSTELLUNGEN Computereinstellungen wiederholen Wird bei einer Richtlinie unter Richtlinien Loopback Computereinstellungen wiederholen ausgew hlt und die Richtlinie kommt von einer Maschine Computereinstellungen wiederholen einer Benutzer Richtlinie hat keine Auswirkung wird diese Richtlinie zum Schluss nochmals ausgef hrt Dadurch werden etwaige Benutzereinstellungen wieder berschrieben und es gelten die Computereinstellungen Benutzer ignorieren Wird bei einer Richtlinie Maschinen Richtlinie unter Richtlinien Loopback Benutzer ignorieren ausgew hlt und die Richtlinie kommt von einer Maschine werden nur die Computereinstellungen ausgewertet Benutzereinstellungen werden nicht ausgewertet Kein Loopback Kein Loopback beschreibt das Standardverhalten Benutzer Richtlinien gelten vor Maschinen Richtlinien Wie werden die Einstellungen Benutzer ignorieren und Computereinstellungen wiederholen ausgewertet Existieren aktive Richtlinien Zuweisungen werden zuerst die Maschinen Richtlinien ausgewertet und vereinigt Ergibt diese Vereinigung der einzelnen Richtlini
196. en aber keine Verschl sselung brauchen k nnen generell von der Verschl sselung ausgenommen werden Zur Angabe einer unber cksichtigten Anwendung wird der vollst ndige Name der ausf hrbaren Datei optional inklusive Pfadinformation verwendet Hinweis Unber cksichtigte Anwendungen k nnen nur global f r Lokale Datentr ger angegeben werden F r eine globale Richtlinie vom Typ Ger teschutz muss als Ziel Lokale Datentr ger ausgew hlt sein F r alle anderen Ziele wird diese Option nicht angeboten Nur f r Wechselmedien SafeGuard Portable auf Wechselmedien kopieren Ist diese Option eingeschaltet wird SafeGuard Portable auf jedes Wechselmedium das mit dem Endpoint Computer verbunden wird kopiert SafeGuard Portable erm glicht den verschl sselten Datenaustausch mit wechselbaren Medien ohne dass der Empf nger der Daten SafeGuard Enterprise installiert haben muss Der Empf nger kann mit Hilfe von SafeGuard Portable und der entsprechenden Passphrase die verschl sselten Daten entschl sseln und auch wieder verschl sseln Der Empf nger kann mit SafeGuard Portable die Daten neu verschl sseln oder den urspr nglich verwendeten Schl ssel f r die Verschl sselung verwenden SafeGuard Portable muss nicht auf den Computer des Empf ngers installiert oder kopiert werden sondern kann vom wechselbaren Medium verwendet werden SafeGuard Enterprise 5 50 Administrator help Richtlinieneinstellung Standa
197. en bergeordneten Knoten f r den Sicherheitsbeauftragten zu w hlen und mindestens eine Rolle zuzuweisen Die Ernennung des Sicherheitsbeauftragten zum Haupt Sicherheitsbeauftragten wird r ckg ngig gemacht und der Sicherheitsbeauftragte wird unter dem ausgew hlten Sicherheitsbeauftragten Knoten angezeigt Der Sicherheitsbeauftragte verliert alle Rechte f r alle Objekte und erh lt nur die Rechte die den zugewiesenen Rollen zugeordnet sind Ein Sicherheitsbeauftragter dessen Ernennung zum Haupt Sicherheitsbeauftragten r ckg ngig gemacht wurde hat zun chst keine Dom nen Zugriffsrechte Dom nen Zugriffsrechte m ssen einzeln im Bereich Benutzer amp Computer in der Registerkarte Zugriff gew hrt werden SafeGuard Enterprise 5 50 Administrator Hilfe 7 13 Zertifikat eines Sicherheitsbeauftragten ndern Voraussetzung Um das Zertifikat eines Sicherheitsbeauftragten oder Haupt Sicherheitsbeauftragten zu ndern ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und zu modifizieren Gehen Sie wie folgt vor 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Sicherheitsbeauftragten dessen Zertifikat Sie ndern m chten Das aktuelle Zertifikat wird im Aktionsbereich auf der rechten Seite unter Zertifikate angezeigt 3 Klicken Sie im Aktionsbereich auf die Dropdownliste Zertifikate und w hlen Sie ein anderes Zertifikat aus
198. en gesperrt oder eingeschr nkt werden sollen ber eine Richtlinie lassen sich auch Hardware Key Logger die an einen USB oder PS 2 Port angeschlossen werden blockieren Hardware Key Logger sind Ger te die in b sartiger Absicht zwischen der Tastatur und dem Computer angebracht werden um die Tastatureingaben zu protokollieren In Ihrer Richtlinie k nnen Sie festlegen ob Hardware Key Logger blockiert werden sollen wenn sie durch SafeGuard Configuration Protection erkannt werden SafeGuard Configuration Protection l sst standardm ig alle Ger te zu es sei denn Sie definieren eine Richtlinie die den Zugang blockiert Die folgenden Abschnitte beschreiben die Vorgehensweise beim Anlegen einer Richtlinie 16 3 1 Richtlinien f r den Konfigurationsschutz definieren Workflow Der folgenden Abschnitte bieten einen berblick zum Workflow f r das Definieren einer neuen Richtlinie Jeder einzelne Schritt verweist auf den jeweiligen Unterabschnitt der den Schritt im Detail beschreibt Der Workflow schl gt eine einfache und direkte Vorgehensweise f r die Durchf hrung der einzelnen Schritte vor Nach Wunsch k nnen Sie von der vorgeschlagenen Reihenfolge abweichen m Schritt 1 Computer scannen und Port Ger te WLAN Nutzung ermitteln Scannen Sie mit SafeGuard PortAuditor die Computer in Ihrem Netzwerk um die Ger te und WLAN Netzwerke zu ermitteln die derzeit angeschlossen sind und zu fr heren Zeitpunkten angeschlossen waren i
199. en Computer unter dem Richtlinieninhalt Allgemein bei der Option Richtlinien Loopback Benutzer ignorieren ausgew hlt und die Richtlinie kommt von einer Maschine werden nur die Maschineneinstellungen ausgewertet Benutzereinstellungen werden nicht ausgewertet Kein Loopback Sie finden diese Einstellung unter Richtlinien gt Richtlinie vom Typ Allgemeine Einstellungen gt Laden der Einstellungen gt Richtlinien Loopback Kein Loopback beschreibt das Standardverhalten Benutzerrichtlinien gelten vor Computerrichtlinien Auswertung der Einstellungen Benutzer ignorieren und Computereinstellungen wiederholen Existieren aktive Richtlinienzuweisungen werden zuerst die Maschinenrichtlinien ausgewertet und vereinigt Ergibt diese Vereinigung der einzelnen Richtlinien bei der Option Richtlinien Loopback den Wert Benutzer ignorieren werden die Richtlinien die f r den Benutzer bestimmt gewesen w ren nicht mehr ausgewertet Das bedeutet sowohl f r den Benutzer als auch f r den Computer gelten die gleichen Richtlinien Ist nach der Vereinigung der einzelnen Maschinenrichtlinien der Wert bei Richtlinien Loopback Computereinstellungen wiederholen werden die Benutzerrichtlinien mit den Maschinenrichtlinien vereinigt Nach der Vereinigung werden die Maschinenrichtlinien nochmals geschrieben und berschreiben gegebenenfalls Einstellungen aus den Benutzerrichtlinien Ist eine Einstellung in beiden Richtlinien v
200. en Passphrase eingeben und erhalten somit Zugriff aufalle verschl sselten Dateien Dies ist eine einfache und sichere Methode f r die Verschl sselung von Daten auf allen Wechselmedien Ziel dieser Konfiguration ist es die Benutzerinteraktion auf ein Minimum zu reduzieren und trotzdem jede Datei auf Wechselmedien zu verschl sseln und den Benutzern Zugriff auf die verschl sselten Dateien im Offline Modus zu geben Der Benutzer darf Dateien auf Wechselmedien nicht entschl sseln Achtung In dieser Konfiguration sind Benutzer nicht dazu berechtigt lokale Schl ssel zu erzeugen da dies in diesem Anwendungsfall nicht notwendig ist Dies muss in einer Richtlinie vom Typ Ger teschutz mit Ziel des Ger teschutzes Lokale Datentr ger festgelegt werden Allgemeine Einstellungen gt Benutzer darf einen lokalen Schl ssel erzeugen Nein SafeGuard Portable auf Wechselmedien kopieren Nein F r die gemeinsame Benutzung von Wechselmedien innerhalb der Arbeitsgruppe ist SafeGuard Portable nicht erforderlich Au erdem w rde SafeGuard Portable das Entschl sseln von Dateien auf Computern ohne SafeGuard Enterprise erlauben Im B ro haben die Benutzer transparenten Zugriff auf verschl sselte Dateien auf Wechselmedien Zuhause ffnen sie verschl sselte Dateien mit SafeGuard Portable Die Benutzer m ssen nur die Medien Passphrase eingeben und erhalten somit Zugriff auf alle verschl sselten Dateien unabh ngig davon welcher Schl ssel f r die Verschl
201. en an das SafeGuard Management Center anmelden SafeGuard Enterprise 5 50 Administrator Hilfe F isset Management Center mso on Company SGNSRY SafeGuard le Edit View GoTo Actions Tools Help PB age Security Officers 3 Administrator UTIMACO 8 Master Security Officers amp mso k amp mso 2 Hg Security Officers Enabled v This user imported from the AD was promoted to Security Officer Name Administrator UTIMACO Description ADS Officer Administrator UTIMACO amp SO London Cell phone amp SO Paris E Mail HE Predefined Roles 32 Custom Roles validity 7127 20097 to 27 2108 7 Token logon ONotoken Optional O Mandatory Certificate CN tesr OU 5afeGuard Enterprise Officer Certificate CN tesr OU 5afeGuard Enterprise Officer Certificate 42F067294853091740AF2FBC35B11 Roles Y Supervising Officer O Security Officer C Helpdesk Officer C Audit Officer O Recovery Officer O Policy Officer C test O test2 ER Users and Computers A Policies R Keys and Certificates Tokens 7 11 3 Einen Sicherheitsbeauftragten zum Haupt Sicherheitsbeauftragten machen Voraussetzung Um einen Sicherheitsbeauftragten zum Haupt Sicherheitsbeauftragten zu machen ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und zu modifizieren Gehen Sie wie folgt vor 1 Klicken Sie im SafeGuard Management Center auf Sicherhei
202. en angeben m chten geben Sie den Namen ein und fahren Sie mit Schritt 6 fort 5 Wenn Sie nur die MAC Adresse angeben m chten geben Sie die Adresse ein und fahren Sie mit Schritt 6 fort 6 Um Sicherheitseinstellungen zu definieren spezifizieren Sie die erforderlichen Einstellungen f r Netzwerkauthentisierung und Datenverschl sselung durch Auswahl aus den Dropdownlisten Angaben in diesen Feldern sind optional Hinweis Die in der Dropdownliste verf gbaren Optionen f r die Datenverschl sselung richten sich nach dem ausgew hltenTyp der Netzwerkauthentisierung F r WPA Netzwerkauthentisierung stehen zum Beispiel die Verschl sselungsoptionen TKIP und AES zur Verf gung F r die 802 1X Authentisierung dagegen nur die Option WEP 7 Stellen Sie sicher dass Sie in allen Feldern die korrekten Daten eingegeben haben und speichern Sie die White List SafeGuard Enterprise Administrator Hilfe 16 5 Unterst tzte Ger tetypen Dieses Kapitel liefert eine Auflistung der Ger tetypen die SafeGuard Configuration Protection beim Erstellen einer Richtlinie f r die Auswahl zur Verf gung stellt F r Nicht Speicherger te k nnen Sie die Verwendung von Ger ten an USB FireWire und PCMCIA Ports einschr nken SafeGuard Configuration Protection bietet im Ger tekontrolle Bereich eine Auswahl an integrierten Ger tetypen f r die Definition von zugelassenen oder gesperrten Ger tetypen Wenn Sie einen Ger tetyp ben tigen der hier ni
203. en beim Attribut Richtlinien Loopback den Wert Benutzer ignorieren so werden Richtlinien welche f r den Benutzer bestimmt gewesen w ren nicht mehr ausgewertet Das hei t sowohl f r den Benutzer wie auch f r die Maschine gelten die gleichen Richtlinien Ist nach der Vereinigung der einzelnen Maschinen Richtlinien der Wert bei Richtlinien Loopback Computereinstellungen wiederholen werden die Benutzer Richtlinien mit den Maschinen Richtlinien vereinigt Nach der Vereinigung werden die Maschinen Richtlinien nochmals geschrieben und berschreiben gegebenenfalls Einstellungen aus Benutzer Richtlinien Das hei t Ist eine Einstellung in beiden Richtlinien vorhanden so ersetzt der Wert der Maschinen Richtlinie den Wert der Benutzer Richtlinie SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinieneinstellung Erkl rung Ergibt die Vereinigung der einzelnen Maschinen Richtlinien den Standardwert so gilt Benutzereinstellungen vor Maschineneinstellungen TRANSFERRATE Server Verbindungsintervall in Minuten Legt den Zeitraum in Minuten fest nach dem ein SafeGuard Enterprise Client beim SafeGuard Enterprise Server eine Anfrage nach Richtlinien nderungen stellt Hinweis Um zu vermeiden dass eine gro e Anzahl an Clients gleichzeitig den Server kontaktiert findet die Kommunikation immer in einem Zeitraum 50 des eingestellten Verbindungsintervalls statt Beispiel Die Einstellu
204. en den oben angef hrten Beispielwerten l sst sich noch eine Vielzahl von verschiedenen Zeitplanoptionen mit sp_add jobschedule definieren So l sst sich der Job zum Beispiel alle zwei Minuten oder nur einmal pro Woche ausf hren Detaillierte Informationen hierzu finden Sie in der Microsoft Transact SQL Dokumentation 26 12 3Gespeicherte Prozeduren Jobs und Tabellen l schen Das Skript spshrinkEvent Table l scht die gespeicherte Prozedur sowie die EVENT BACKUP Tabelle Das Skript SscheduledShrinkEventTable_uninstall sql deaktiviert den Scheduled Job Achtung Wenn Sie spshrinkEventTable ausf hren wird die Tabelle EVENT_BACKUP mit allen enthaltenen Daten vollst ndig gel scht 26 13 Texte f r Ereignisberichte In der SafeGuard Enterprise Datenbank werden die Ereignisse nicht mit kompletten Ereignistexten protokolliert sondern jeweils nur mit ihrer ID sowie mit den entsprechenden Parameterwerten in die Datenbanktabelle geschrieben Beim Abrufen der Ereignisse werden die Parameterwerte zusammen mit den in der dll enthaltenen L ckentexten in die kompletten Ereignistexte umgesetzt Dies erfolgt in der jeweils benutzten Systemsprache des SafeGuard Management Centers Die f r die Ereignistexte verwendeten L ckentexte lassen sich zum Beispiel durch SQL Abfragen bearbeiten und aufbereiten Hierzu l sst sich eine Tabelle mit allen L ckentexten f r die Ereignismeldungen erzeugen die Sie dann Ihren spezifischen Anforderungen anpas
205. en werden immer einer OU bzw einer Dom ne oder Arbeitsgruppe zugewiesen Sie gelten standardm ig f r alle Gruppen in diesen Container Objekten die Gruppen Authentisierte Benutzer und Authentisierte Computer werden im Aktivierungsbereich angezeigt Sie k nnen aber auch Richtlinien festlegen und sie f r eine einzelne oder mehrere Gruppen aktivieren Diese Richtlinien gelten dann ausschlie lich f r diese Gruppen Gehen Sie zum Festlegen einer Richtlinie die nur f r eine bestimmte Gruppe gelten soll folgenderma en vor 1 Weisen Sie die Richtlinie der OU in der sich die Gruppe befindet zu 2 Im Aktivierungsbereich werden die Gruppen Authentisierte Benutzer und Authentisierte Computer angezeigt 3 Ziehen Sie diese beiden Gruppen aus dem Aktivierungsbereich in die Liste der verf gbaren Gruppen Die Richtlinie ist in dieser Konstellation f r keinen Benutzer und keinen Computer wirksam 4 Ziehen Sie jetzt die gew nschte Gruppe oder auch mehrere Gruppen aus der Liste der verf gbaren Gruppen in den Aktivierungsbereich SHEA Richtlinien i i Allgemeine Einstellung Allgemeine Einstellung __ FA Anmeldung OU_DE 24 04 2008 17 0 A Ger teschutz OU_LINZ i Dacenhraca j Aktivierung Distinguished Name Distinguished Name nderungsdatum Dns dmins CN Dns dmins CN Users 24 04 2008 17 07 13 i D Authentisierte Benutzer E Authentisierte Comp SHEI UTIMAC
206. en zu lassen Der Benutzer kann dann z B Anmeldeinformationen durch Klick auf die am Bildschirm angezeigten Tasten eingeben Als Sicherheitsbeauftragter k nnen Sie die Anzeige der virtuellen Tastatur in einer Richtlinievom Typ Spezifische Computereinstellungen ber die Option Virtuelle Tastatur aktivieren deaktivieren F r die virtuelle Tastatur werden verschiedene Layouts angeboten und das Layout kann mit den gleichen Einstellungen wie das normale Tastaturlayout ge ndert werden 234 SafeGuard Enterprise 5 50 Administrator Hilfe 20 3 4 2 Tastaturlayout ndern Das normale wie das virtuelle Tastaturlayout der Power on Authentication kann nachtr glich ge ndert werden So ndern Sie die Sprache des Tastaturlayouts 1 W hlen Sie Start gt Systemsteuerung gt Regions und Sprachoptionen 2 W hlen Sie auf der Registerkarte Regionale Einstellungen die gew nschte Sprache aus 3 Aktivieren Sie dann auf der Registerkarte Erweitert unter Standardeinstellungen f r Benutzerkonten die Option Alle Einstellungen auf das aktuelle Benutzerkonto und Standardbenutzerprofil anwenden 4 Best tigen Sie die vorgenommenen Einstellungen mit OK Die POA merkt sich das bei der letzten erfolgreichen Anmeldung verwendete Tastaturlayout und aktiviert dieses beim n chsten Anmelden automatisch Wenn dieses gemerkte Tastaturlayout ber die Regions und Sprachoptionen abgew hlt wird bleibt es dem Anwender noch so lange erhalten bis er eine
207. enden Rechten kann sogenannte Arbeitsgruppen oder noch nicht importierte Dom nen einrichten um die automatisch registrierten Benutzer und Computer zu verwalten Neue Benutzer Computer die sich an SafeGuard Enterprise anmelden werden nach der ersten Synchronisierung mit der Datenbank im SafeGuard Management Center unter ihren entsprechenden Containern angezeigt Danach kann der SO sie genau wie jedes importierte Objekt verwalten Das f r diese Benutzer Computer vorgesehene Verzeichnis Automatisch registriert wird automatisch unterhalb des Stammverzeichnisses sowie unter jeder Dom ne Arbeitsgruppe erzeugt Es kann nicht umbenannt oder verschoben werden Objekte die diesem Verzeichnis zugeordnet sind k nnen auch nicht manuell verschoben werden T SafeGuard Management Center MSO auf SGNSRY SafeGuard Datei Bearbeiten Ansicht Gehezu Aktionen Extras Hilfe ee TAR Benutzer amp Computer Stamm Filter ist aktiv amp Authentisierte Benutzer A Authentisierte Computer Automatisch registriert GE E Automatisch registriert SHE UTIMACO EDU ie Automatisch registriert amp Board Group amp BoardMembers 1 Builtin Computers B Desktops H Domain Controllers H ForeignSecurityPrincipals HZ Headquarter SHZ Development amp Ale amp Bob a Desktop1 a Desktop2 HZ Finance HZ Management Z Marketing a Desktop5 E Richtlinien Verschieben G
208. entication BitLocker unterscheidet nicht zwischen verschiedenen Benutzern SafeGuard Enterprise bietet den sicheren dynamischen Challenge Response Mechanismus zum Zur cksetzen vergessener Passw rter BitLocker verwendet einen festgelegten 48 stelligen Recovery Schl ssel SafeGuard Enterprise bietet eine grafische Benutzeroberfl che in der Pre Boot Authentisierung BitLocker bietet nur Text SafeGuard Enterprise akzeptiert komplexe Passw rter und Passwortregeln die mit Windows synchronisiert sind Bei BitLocker ist nur eine TPM PIN zul ssig SafeGuard Enterprise erm glicht die sektorbasierende Verschl sselung von Wechselmedien BitLocker verschl sselt keine Wechselmedien Wenn ein BitLocker Client in Verbindung mit SafeGuard Enterprise verwendet wird ist die dateibasierende Verschl sselung von Wechselmedien m glich SafeGuard Enterprise 5 50 Administrator Hilfe 27 4 BitLocker Clients mit SafeGuard Enterprise verwalten Im SafeGuard Enterprise Management Center lassen sich BitLocker Endpoint Computer wie andere native SafeGuard Endpoint Computer verwalten Als Sicherheitsbeauftragter k nnen Sie Verschl sselungs und Authentisierungsrichtlinien f r die BitLocker Computer einrichten und verteilen Sobald ein BitLocker Endpoint Computer bei SafeGuard Enterprise registriert ist werden Informationen zu Benutzer Computer Anmeldemodus und Verschl sselungsstatus angezeigt Dar ber hinaus werden Ereignisse f r
209. er so dass sich der Aufbau eines ADs nicht lohnt Dieses Unternehmen m chte SafeGuard Enterprise einsetzen um dann seine Benutzer Computerobjekte mit Richtlinien zu versehen Deshalb wird die Organisationsstruktur des Unternehmens im SafeGuard Management Center folgenderma en manuell aufgebaut Benutzer amp Computer Baum Stammverzeichnis _ Authentisierte Computer _ Authentisierte Benutzer _ Automatisch registriert _BeispielArbeitsgruppe Eintrag manuell erzeugt _ Automatisch registriert _BeispielComputer001 Eintrag erzeugt bei Anmeldung _BeispielComputer002 Eintrag erzeugt bei Anmeldung Die Benutzer Computerobjekte bleiben im Verzeichnis Automatisch registriert Aber sie k nnen im SafeGuard Management Center normal verwaltet werden z B Richtlinien hinzuf gen oder l schen 12 SafeGuard Enterprise 5 50 Administrator Hilfe 13 Beispiel 2 SafeGuard Enterprise Datenbank und Active Directory nicht synchronisiert Ein Benutzer oder Computer SafeGuard Enterprise Client ist bereits Teil eines Active Directory AD in einem Unternehmen Jedoch sind die SafeGuard Enterprise Datenbank und das AD nicht synchronisiert Benutzer und Computer werden im SafeGuard Management Center noch nicht angezeigt Der Benutzer meldet sich am Computer SafeGuard Enterprise Client mit folgenden Anmeldeinformationen an BeispielBenutzer BeispielKennwort BeispielDom ne Diese Informationen werden an den SafeGuard Ente
210. er tetypen werden von SafeGuard Configuration Protection unterst tzt Wechselmedien Wechselmedien umfassen Nur Speicherger te z B disk on key USB Sticks und SD Flash Cards und Ger te die einen einzigartigen Anwendungszweck haben jedoch vom Computer als neues Speicherlaufwerk angesehen werden z B MP3 Player Digitalkameras und PDAs Externe Festplatten Extern z B ber USB angeschlossene Festplatten CD DVD Laufwerke Sowohl integriert als auch extern angeschlossen Diskettenlaufwerke Sowohl integriert als auch extern angeschlossen Magnetbandlaufwerke Sowohl integriert als auch extern angeschlossen 192 SafeGuard Enterprise 5 50 Administrator Hilfe 17 Benutzer Computer Zuordnung SafeGuard Enterprise verwaltet die Informationen welcher Benutzer sich an welchem Computer anmelden darf in einer Liste f r die in der Folge der Begriff UMA f r User Machine Assignment verwendet wird Voraussetzung f r die Aufnahme in die UMA ist dass sich der Benutzer einmal an einem Computer mit installiertem SafeGuard Enterprise angemeldet hat und als kompletter Benutzer im Sinne von SafeGuard Enterprise im SafeGuard Management Center vorhanden ist Als komplett wird ein Benutzer dann bezeichnet wenn f r ihn nach der ersten Anmeldung ein Zertifikat erzeugt und danach sein Schl sselring aufgebaut wurde Erst dann ist die M glichkeit gegeben dass diese Benutzerdaten auch aufandere Computer repliziert werden k
211. er Benutzer definiert eine Medien Passphrase auf seinem Computer die f r alle seine Wechselmedien gilt SafeGuard Portable auf Wechselmedien kopieren Ja SafeGuard Portable gibt dem Benutzer in einem System ohne SafeGuard Data Exchange Zugriff auf alle verschl sselten Dateien auf den Wechselmedien durch die Eingabe einer einzigen Medien Passphrase Wenn die Firmenrichtlinien zus tzlich festlegen dass alle Dateien auf Wechselmedien immer verschl sselt werden sollen f gen Sie folgende Einstellungen hinzu Initialverschl sselung aller Dateien Ja Stellt sicher dass Dateien auf Wechselmedien verschl sselt werden sobald die Wechselmedien zum ersten Mal mit dem System verbunden werden Benutzer darf Initialverschl sselung abbrechen Nein Der Benutzer kann die Initialverschl sselung nicht abbrechen um sie z B zu einem sp teren Zeitpunkt durchzuf hren Benutzer darf auf unverschl sselte Dateien zugreifen Nein Werden auf Wechselmedien unverschl sselte Dateien entdeckt so wird der Zugriff auf diese Dateien verweigert Benutzer darf Dateien entschl sseln Nein Der Benutzer darf Dateien auf Wechselmedien nicht entschl sseln 222 SafeGuard Enterprise 5 50 Administrator Hilfe Im B ro haben sowohl Bob als auch Alice transparenten Zugriff auf verschl sselte Dateien auf Wechselmedien Zuhause oder auf Dritt Computern k nnen sie verschl sselte Dateien mit SafeGuard Portable ffnen Die Benutzer m ssen nur die Medi
212. er Ebene eine Richtlinie mit niedriger Priorit t aber mit der Option Kein berschreiben zugeordnet so zieht die Richtlinie trotz niedrigerer Priorit t gegen ber den Richtlinien mit der h heren Priorit t 10 8 11 Einstellungen in Richtlinien Computereinstellungen wiederholen Sie finden diese Einstellung unter Richtlinien gt Richtlinie vom Typ Allgemeine Einstellungen gt Laden der Einstellungen gt Richtlinien Loopback Wird bei einer Richtlinie vom Typ Allgemeine Einstellungen bei der Option Richtlinien Loopback Computereinstellungen wiederholen ausgew hlt und die Richtlinie kommt von einem Computer Computereinstellungen wiederholen hat f r eine Benutzerrichtlinie keine Auswirkung wird diese Richtlinie am Ende der Auswertung noch einmal ausgef hrt Dadurch werden etwaige Benutzereinstellungen wieder berschrieben und es gelten die Computereinstellungen F r das neuerliche Schreiben werden s mtliche Computereinstellungen die der Computer direkt oder indirekt bekommt auch von Richtlinien die bei Richtlinien Loopback Computereinstellungen wiederholen nicht gesetzt haben neu geschrieben Benutzer ignorieren Sie finden diese Einstellung unter Richtlinien gt Richtlinie vom Typ Allgemeine Einstellungen gt Laden der Einstellungen gt Richtlinien Loopback 92 SafeGuard Enterprise 5 50 Administrator Hilfe 93 Wird bei einer Richtlinie vom Typ Allgemeine Einstellungen f r ein
213. er Verschl sselung ausgenommen werden Siek nnen Anwendungen von der Verschl sselung Entschl sselung in einer Richtlinie vom Typ Ger teschutz mit dem Ziel Lokale Datentr ger ausnehmen Zur Angabe von Unber cksichtigten Anwendungen wird der vollst ndige Name der ausf hrbaren Datei optional inklusive Pfadinformation verwendet 66 SafeGuard Enterprise 5 50 Administrator Hilfe 67 SafeGuard Enterprise Schl sselmanagement SafeGuard Enterprise erzeugt in der Standardeinstellung beim Import der Verzeichnisstruktur automatisch Schl ssel f r m Dom nen m Container OUs m Gruppen und weist diese den entsprechenden Objekten zu Computer und Benutzerschl ssel werden bei Bedarf erzeugt Schl ssel k nnen nicht gel scht werden Sie sind immer in der SafeGuard Enterprise Datenbank enthalten Beim ersten Starten eines Endpoint Computers erzeugt SafeGuard Enterprise einen Computerschl ssel f r diesen Computer definierter Computerschl ssel Bei der Anmeldung erh lt jeder Benutzer alle Schl ssel aus seinem Schl sselbund Dieser Schl sselbund besteht aus m einem pers nlichen Schl ssel m aus den Schl sseln der Gruppen in denen der Benutzer Mitglied ist m aus den Schl sseln der den Gruppen in denen er Mitglied ist bergeordneten Container OUs Durch die Schl ssel in seinem Schl sselbund ist festgelegt auf welche Daten der Benutzer zugreifen kann Es ist dem Benutzer nur m glich auf Daten zuzugre
214. eren Sie die Option SafeGuard Portable auf Wechselmedien kopieren in einer Richtlinie vom Typ Ger teschutz Medien Passphrase SafeGuard Data Exchange erm glicht es Ihnen auch festzulegen dass eine einzige Medien Passphrase f r alle Wechselmedien mit Ausnahme von optischen Medien auf den Endpoint Computern erstellt werden muss Die Medien Passphrase erm glicht sowohl den Zugriff auf alle zentral definierten Dom nen Gruppenschl ssel als auch auf alle in SafeGuard Portable verwendeten lokalen Schl ssel Der Benutzer muss nur eine einzige Passphrase eingeben und erh lt Zugriff auf alle verschl sselten Dateien in SafeGuard Portable Dabei spielt es keine Rolle welcher lokale Schl ssel f r die Verschl sselung verwendet wurde Aufjedem Computer wird automatisch ein einzigartiger Medienverschl sselungsschl ssel f r die Datenverschl sselung f r jedes Medium erstellt Dieser Schl ssel ist durch die Medien Passphrase und einen zentral definierten Dom nen Gruppenschl ssel gesichert Auf einem Computer mit SafeGuard Data Exchange ist es daher nicht notwendig die Medien Passphrase einzugeben um auf die verschl sselten Dateien auf Wechselmedien zuzugreifen Der Zugriff wird automatisch gew hrt wenn sich der entsprechende Schl ssel im Schl sselring des Benutzers befindet Der zu verwendende Dom nen Gruppenschl ssel muss unter F r Verschl sselung definierter Schl ssel festgelegt werden 218 SafeGuard Enterprise 5 50
215. erf gung m Rolle des Haupt Sicherheitsbeauftragten Master Security Officer MSO m Vordefinierte Rollen m Benutzerdefinierte Rollen Haupt Sicherheitsbeauftragter Nach der Installation von SafeGuard Enterprise wird bei der initialen Konfiguration des SafeGuard Management Center automatisch ein Haupt Sicherheitsbeauftragter Master Security Officer MSO angelegt Der Haupt Sicherheitsbeauftragte ist der Sicherheitsbeauftragte der h chsten Ebene und hat alle Rechte sowie Zugriff auf alle Objekte vergleichbar mit dem Administrator bei Windows Die Rechte des Haupt Sicherheitsbeauftragten k nnen nicht ge ndert werden 38 SafeGuard Enterprise 5 50 Administrator Hilfe 7 1 2 39 F r eine Instanz des SafeGuard Management Centers k nnen mehrere Haupt Sicherheitsbeauftragte angelegt werden Aus Sicherheitsgr nden empfehlen wir mindestens einen weiteren Haupt Sicherheitsbeauftragten anzulegen Zus tzliche Haupt Sicherheitsbeauftragte k nnen jederzeit gel scht werden es muss jedoch immer ein Benutzer mit der Rolle des Haupt Sicherheitsbeauftragten vorhanden sein der explizit als Hauptsicherheits Beauftragter in der SafeGuard Enterprise Datenbank angelegt wurde Ein Haupt Sicherheitsbeauftragter kann Aufgaben an andere Personen delegieren Dazu gibt es zwei M glichkeiten m Ein neuer Benutzer Sicherheitsbeauftragter kann unter Sicherheitsbeauftragte angelegt werden m Ein aus dem Active Directory importierter und im
216. erfahren zu starten um wieder Zugriff auf den Computer zu erhalten Da in diesem Fall das Kennwort nicht zur ckgesetzt werden muss weil der Benutzer das Kennwort noch wei erm glicht das Challenge Response Verfahren das Booten des Computers durch die Power on Authentication Der Benutzer kann dann das korrekte Kennwort auf Windows Ebene eingeben und den Computer wieder benutzen Der Benutzer hat das Kennwort vergessen Hinweis Wir empfehlen in erster Linie Local Self Help einzusetzen um ein vergessenes Kennwort wiederherzustellen Mit Recovery ber Local Self Help kann sich der Benutzer selbst das aktuelle Benutzerkennwort unter Wahrung der Vertraulichkeit in der Power on Authentication anzeigen lassen und es weiterhin zur Anmeldung verwenden F r weitere Informationen siehe Recovery ber Local Self Help Seite 4 SafeGuard Enterprise 5 50 Administrator Hilfe Wenn das Kennwort ber ein Challenge Response Verfahren wiederhergestellt wird muss das Kennwort zur ckgesetzt werden l Das Challenge Response Verfahren erm glicht das Booten des Computers durch die Power on Authentication Da dem Benutzer das Kennwort nicht bekannt ist kann er es im Windows Dialog nicht eingeben Das Kennwort muss daher auf Windows Ebene zur ckgesetzt werden Hierzu sind weitere Recovery Vorg nge au erhalb von SafeGuard Enterprise erforderlich die ber Windows Standard Verfahren durchgef hrt werden m ssen Hinweis Wir empfehlen
217. erfahrens wieder Zugang zu seinem Computer verschaffen Mit Local Self Help lassen sich Helpdesk Aufw nde und Kosten reduzieren Achtung F r die Benutzung von Local Self Help ist es notwendig dass die automatische Anmeldung an Windows aktiviert ist Andernfalls funktioniert die Anmeldung ber Local Self Help nicht Minimale L nge der Legen Sie hier die Mindestl nge in Zeichen f r die Antwort Antworten fest die f r Local Self Help auf dem Endpoint Computer hinterlegt werden SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinieneinstellung Erkl rung Willkommenstext unter Windows Hier k nnen Sie einen individuellen Informationstext angeben der beim Starten des Local Self Help Assistenten im ersten Dialog angezeigt werden soll Dieser Text muss zuvor erstellt und registriert werden Benutzer d rfen eigene Fragen festlegen Die f r Local Self Help zu beantwortenden Fragen k nnen Sie als zust ndiger Sicherheitsbeauftragter zentral vordefinieren und per Richtlinie an die Endpoint Computer verteilen Sie k nnen die Benutzer jedoch auch per Richtlinie berechtigen selbst Fragen zu definieren Um die Benutzer zur Definition eigener Fragen zu berechtigen w hlen Sie in diesem Feld die Einstellung JA Challenge Response C R Recovery f r die Anmeldung ber C R aktivieren Legt fest ob ein Benutzer in der Power on Authentication POA eine Challenge erzeugen darf um ber ein
218. erischen Tastaturteil Drei oder mehr aufeinanderfolgende Zeichen verboten Benutzername als Kennwort verboten Verboten werden mit Aktivierung dieser Option Zeichenketten m dieim ASCIH Code aufeinander folgen sowohl in auf als auch in absteigender Reihenfolge abc cba lt etc m die aus drei oder mehr identischen Zeichen aaa oder 111 bestehen Bestimmt ob Benutzername und Kennwort identisch sein d rfen JA Windows Benutzername und Kennwort m ssen unterschiedlich sein NEIN Benutzer darf seinen Windows Benutzernamen gleichzeitig als Kennwort verwenden Liste nicht erlaubter Kennw rter verwenden Bestimmt ob bestimmte Zeichenfolgen f r Kennw rter nicht verwendet werden d rfen Abgelegt sind die Zeichenfolgen in der Liste nicht erlaubter Kennw rter z B Datei im Format txt SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinieneinstellung Erkl rung Liste nicht erlaubter Kennw rter Definiert Zeichenfolgen die in einem Kennwort ausgeschlossen sind Wenn ein Benutzer ein verbotenes Kennwort verwendet wird eine Fehlermeldung ausgegeben Wichtige Voraussetzung Eine Liste eine Datei mit verbotenen Kennw rtern muss im Management Center unter Informationstext im Richtlinien Navigationsbereich registriert werden Erst nach der Registrierung ist die Liste verf gbar Maximale Dateigr e 50KB Unterst tztes Format Unicode Nic
219. ernehmen ist daher die interne Sicherheit vor allem der interne Zugang zu Netzwerkressourcen noch vor Gateway L sungen wie Antivirenprogramme und Firewalls Die gr te Herausforderung was die Sicherheit im Unternehmen angeht besteht darin den Zugang zu wichtigen Unternehmensdaten zu erm glichen ohne diese zu gef hrden Dar ber hinaus soll internen Benutzern Vertrauen entgegengebracht werden gleichzeitig soll jedoch die M glichkeit bestehen ihre Verl sslichkeit zu pr fen Echter Schutz l sst sich nur durch Errichten einer digitalen Mauer um jeden einzelnen Computer erreichen die einzelnen Ports m ssen intelligent gesch tzt der Zugang zu zugelassenen Ger ten muss berlegt gew hrt werden SafeGuard Enterprise Administrator Hilfe 16 1 Die SafeGuard Configuration Protection L sung In Verbindung mit SafeGuard Port Auditor siehe SafeGuard PortAuditor User Guide bietet SafeGuard Configuration Protection eine umfassende L sung Mit dieser L sung erhalten Unternehmen einen berblick dar ber welche Ports und Ger te innerhalb des Unternehmens benutzt werden Sichtbarkeit Dar ber hinaus k nnen sie eine Richtlinie definieren die die Benutzung kontrolliert und die Daten beim bertragen sch tzt SafeGuard Configuration Protection kontrolliert jeden Endpoint und jedes Ger t ber jedes Netzwerk an allen Schnittstellen Das Modul berwacht den Datenverkehr in Echtzeit und wendet darauf abgestimmte detailliert
220. erprise 5 50 Administrator Hilfe 17 2 Zuweisen von Benutzer und Computergruppen 197 So weisen Sie einem Benutzer eine Gruppe von Computern zu Hinweis Das Zuweisen einzelner Benutzer an einen Computer oder umgekehrt funktioniert analog zur Beschreibung f r Gruppen l 2 Klicken Sie auf Benutzer amp Computer Zum Zuweisen einer Gruppe von Computern zu einem Benutzer markieren Sie den Benutzer Klicken Sie im Aktionsbereich auf die Registerkarte Computer Unter Verf gbare Computer werden alle Computer und Computergruppen angezeigt Ziehen Sie die gew nschte Gruppe aus der Liste der verf gbaren Computer in den Aktionsbereich Ein Dialog in dem Sie gefragt werden ob der Benutzer Besitzer aller Computer werden k nnen soll wird angezeigt Ist f r einen Computer im SafeGuard Management Center kein Besitzer festgelegt wird der erste Benutzer der sich an diesen Computer anmeldet automatisch als Besitzer eingetragen Damit hat er das Recht anderen Benutzern Zugriff auf diesen Computer zu erlauben Voraussetzung daf r ist dass er das Recht Kann Besitzer werden besitzt Beantworten Sie diese Frage mit Ja kann der Benutzer wenn er sich als erster an diesen Computer anmeldet Besitzer werden und damit weiteren Benutzern Zugriff gew hren Beantworten Sie diese Frage mit Nein kann der Benutzer nicht Besitzer dieses Computers werden F r ein Service Konto ist es in der Regel nicht notwendig d
221. erschl sseln und entschl sseln k nnen m Das Volume selbst enth lt seine Gr e Auf ein mit SafeGuard Enterprise verschl sseltes Volume kann von allen SafeGuard Enterprise Endpoint Computern zugegriffen werden vorausgesetzt der Benutzer oder der Computer besitzt einen KEK des KSA des Volumes im Schl sselring Benutzer oder Computer m ssen den durch den KEK verschl sselten DEK entschl sseln k nnen Auf ein Volume das mit einem verteilbaren KEK wie einem OU Gruppen oder Dom nenschl ssel verschl sselt ist kann von vielen Benutzern und Computern zugegriffen werden da viele Benutzer Computer einer Dom ne diesen Schl ssel in ihrem Schl sselring haben Jedoch kann auf ein Volume das nur mit dem individuellen Bootschl ssel Boot_machinename des SafeGuard Enterprise Clients verschl sselt wird nur von diesem Computer selbst zugegriffen werden Soll ein Volume nicht in seinem originalen Computer booten kann es in einem anderen SafeGuard Enterprise Client geslaved werden Dann kann aber auf den korrekten Bootschl ssel nicht zugegriffen werden Der Zugriff darauf muss m glich gemacht werden Immer wenn der Benutzer versucht von einem anderen Computer auf das Volume zuzugreifen ist dies m glich weil jetzt erneut bereinstimmung zwischen den KEKs im KSA und den Schl sselringen der anderen Benutzer oder Computer besteht 24 7 1 Beispiel Alice besitzt ihren individuellen Benutzerschl ssel Immer wenn
222. erschl sselung definierter Schl ssel Dieses Feld wird aktiv wenn Sie im Feld Schl ssel f r die Verschl sselung die Option Definierter Schl ssel aus der Liste ausgew hlt haben Klicken Sie auf die Schaltfl che um den Dialog Schl ssel suchen aufzurufen Klicken Sie auf Jetzt suchen um nach Schl sseln zu suchen und w hlen Sie einen Schl ssel aus der angezeigten Liste aus Dies muss in einer Richtlinie vom Typ Ger teschutz mit Ziel des Ger teschutzes Bei einer Richtlinie vom Typ Ger teschutz mit dem Ziel Wechselmedien wird dieser Schl ssel zur Verschl sselung des Medienverschl sselungschl ssel verwendet wenn die Medien Passphrase Funktionalit t aktiviert ist Benutzer darf eine Medien Passphrase definieren Ja F r Richtlinien vom Typ Ger teschutz f r Wechselmedien m ssen daher die Finstellungen m Schl ssel f r die Verschl sselung m F r Verschl sselung definierter Schl ssel unabh ngig voneinander spezifiziert werden Richtlinien f r durch SafeGuard Enterprise gesch tzte Standalone Computer Falls die Medien Passphrase Funktion f r Standalone Computer aktiviert ist wird der Medienverschl sselungschl ssel automatisch als F r Verschl sselung definierter Schl ssel verwendet da auf Standalone Computern keine Gruppenschl ssel zur Verf gung stehen 144 SafeGuard Enterprise 5 50 Administrator help 145 Richtlinieneinstellung Benutzer darf einen lokalen Schl ssel erz
223. ersten Anmeldung noch nicht zur Verf gung da eine Synchronisierung erst durch diese Anmeldung angesto en wird Nach einer erneuten Anmeldung steht auch der Schl sselring zur Verf gung und die Benutzer k nnen entsprechend den geltenden Richtlinien auf den Computer zugreifen Haben sie sich zuvor noch an keinem Benutzer Computer erfolgreich angemeldet k nnen sie wie zuvor beschrieben aufgenommen werden Benutzer sperren Durch Aktivieren des Kontrollk stchens in der Spalte Benutzer sperren wird dem Benutzer die Anmeldung an diesem Computer verboten Dar berhinaus wird der Computer automatisch heruntergefahren wenn der betreffende Benutzer angemeldet ist wenn eine Richtlinie die diese Einstellung enth lt auf dem Computer wirksam wird 17 1 1 Gruppen Im SafeGuard Management Center k nnen auch Computergruppen einem Benutzer Konto bzw Benutzergruppen einem Computer zugewiesen werden Beispiel Service Konto Auf diese Weise ist es z B einfach m glich ber ein Service Konto eine gro e Anzahl Computer zu warten Dazu m ssen sich die Computer in einer Gruppe befinden Diese Gruppe wird dann einem Service Konto Benutzer zugewiesen Der Besitzer des Service Kontos kann sich dann an alle Computer dieser Gruppe anmelden Ebenso kann durch das Zuweisen einer Gruppe die verschiedene Benutzer enth lt diesen Benutzern in einem einfachen Schritt die Anmeldung an einem bestimmten Computer erm glicht werden 196 SafeGuard Ent
224. erungs Software des Token Herstellers F r weitere Informationen wenden Sie sich an den entsprechenden Token Hersteller 18 4 1 Middleware auf dem Client installieren Installieren Sie anschlie end die korrekte Middleware sowohl auf dem PC auf dem das SafeGuard Management Center l uft als auch auf dem entsprechenden Benutzer Computer siehe Unterst tzte Middleware auf Seite 200 202 SafeGuard Enterprise 5 50 Administrator Hilfe 18 4 2 Middleware PKCS 11 Modul aktivieren Bevor Sie den Token ausstellen m ssen Sie ihm im SafeGuard Management Center ber eine Richtlinie die passende Middleware in Form des PKCS 11 Moduls zuweisen Dies m ssen Sie sowohl f r den Computer auf dem das SafeGuard Management Center l uft als auch f r den Benutzer Computer erledigen Dann erst kann SafeGuard Enterprise mit dem Token kommunizieren Die Einstellung f r das PKCS 11 Modul k nnen Sie folgenderma en ber eine Richtlinie festlegen Voraussetzung Die Middleware wurde auf dem entsprechenden PC installiert und der Token wurde initialisiert Das SafeGuard Enterprise Client Konfigurationspaket muss zudem auf dem PC installiert sein auf dem das Management Center l uft Sie befinden sich im ge ffneten Management Center im Bereich Richtlinien 1 Stecken Sie den Token an der USB Schnittstelle ein SafeGuard Enterprise liest den Token ein 2 Legen Sie eine neue Richtlinie des Typs Spezifische Computereinstellungen an oder w hlen
225. es CEO in einer White List f r einzelne Datentr ger ein Dieser Abschnitt beschreibt folgende Vorg nge m Anlegen einer White List m Hinzuf gen von zugelassenen Modellen oder einzelnen Ger ten zu einer White List Als Grundlage dient hier entweder die Liste mit Ger ten deren Verwendung von SafeGuard PortAuditor erkannt wurde oder eine manuell erstellte Liste 184 SafeGuard Enterprise Administrator Hilfe 16 4 1 White Lists anlegen So registrieren Sie eine White List 1 Markieren Sie White List im Richtlinien Navigationsbereich 2 Klicken Sie im Kontextmen des Eintrags auf Neu gt White List 3 Geben Sie unter Name der White List einen Namen ein 4 Typ der White List ausw hlen White Lists k nnen angelegt werden f r Ger temodelle Einzelne Ger te Datentr germodelle Einzelne Datentr ger WLAN Netzwerke Die einzelnen White Lists k nnen dann bei den Richtlinieneinstellungen ausgew hlt werden 5 W hlen Sie aus ob Sie die White List manuell erstellen wollen oder ob als Quelle das Ergebnis eines Scans Ihrer Computer durch SafeGuard PortAuditor verwendet werden soll Hinweis Die Ergebnisse des Scans durch SafeGuard PortAuditor m ssen vorliegen XML Datei wenn Sie die White List auf diese Weise erzeugen wollen a White List manuell erstellen Haben Sie diese Option gew hlt wird nach dem Klicken auf OK eine leere White List im SafeGuard Management Center ge ffnet in der Sie manuell
226. esen an Benutzer amp Computer A Richtlinien ER Schl ssel amp Zertifikate amp Sicherheitsbeauftragte Berichte Astar G 8 V safesuarde Manage m Informationen zu einzelnen Token Markieren Sie unter Token Slots den gew nschten Token Unter Token Information werden Hersteller Typ Seriennummer Angaben zu Hardware und PIN Regeln angezeigt Au erdem sehen Sie welchem Benutzer der Token zugeordnet ist 214 SafeGuard Enterprise 5 50 Administrator Hilfe 13 11 13 11 215 m bersicht ber Token Markieren Sie Ausgestellte Token Sie k nnen alle ausgestellten Token anzeigen lassen oder die bersicht nach Benutzern filtern Es werden die Seriennummer der Token die Benutzerzuordnung und das Ausstellungsdatum angezeigt Au erdem erkennen Sie ob der Token gesperrt ist 2 Token Smartcard Daten lesen Als Sicherheitsbeauftragter k nnen Sie mit der f r den Token ausgestellten Benutzer PIN einsehen welche Daten sich auf dem Token befinden Voraussetzung Der Token muss eingesteckt sein Die PIN muss dem Sicherheitsbeauftragten bekannt sein Oder sie muss initialisiert worden sein siehe Benutzer PIN initialisieren auf Seite 212 Sie befinden sich im ge ffneten Management Center im Bereich Token 1 Markieren Sie links im Navigationsbereich unter Token Slots den gew nschten Token und w hlen Sie die Registerkarte Anmeldeinformationen amp Zertifikate aus
227. estand Lizenzen Filter Computername a Y Einschlie lich Sub Container Letzte nderung anzeigen 0 Beschreibung Um die Bestand und Statusinformationen f r bestimmte Computer anzeigen zu lassen geben Sie in diesem Feld den Computernamen an Computername Einschlie lich Sub Container Aktivieren Sie dieses Feld um Sub Container in die Anzeige mit einzubeziehen Letzte nderung anzeigen Legen Sie in diesem Feld die Anzahl der anzuzeigenden letzten nderungen festlegen Dar ber hinaus k nnen Sie mit dem Filter Editor benutzerdefinierte Filter erstellen Der Filter Editor l sst sich ber das Kontextmen der einzelnen Berichtsspalten aufrufen Im Fenster Filterdefinition k nnen Sie eigene Filter definieren und auf die jeweilige Spalte anwenden 25 1 2 Bestandinformationen aktualisieren Die Benutzer PCs bertragen die jeweils aktuellen Bestandinformationen wenn sich die Informationen ge ndert haben ber den Befehl Aktualisierung anfordern k nnen Sie manuell eine Aktualisierung der Bestandinformationen anfordern Dieser Befehl steht f r einen einzelnen oder alle Computer eines Knotens ber das Kontextmen sowie ber das Men Aktionen in der SafeGuard Management Center Men leiste zur Verf gung Dar ber hinaus l sst sich der Befehl ber das Kontextmen der Listeneintr ge ausw hlen Wenn Sie diesen Befehl ausw hlen oder auf das Symbol Aktualisie
228. eten Sicherheitsbeauftragten auszuw hlen Der Sicherheitsbeauftragte wird aus der Datenbank gel scht Hinweis Mindestens ein Haupt Sicherheitsbeauftragter der explizit als Beauftragter angelegt wurde und nicht nur zum Haupt Sicherheitsbeauftragten ernannt wurde muss immer in der Datenbank verbleiben Wird ein Benutzer der zum Sicherheitsbeauftragten ernannt wurde aus der Datenbank gel scht so wird auch sein Benutzerkonto aus der Datenbank gel scht SafeGuard Enterprise 5 50 Administrator Hilfe Hinweis Wenn der zu l schende Sicherheitsbeauftragte eine Rolle hat die zus tzliche Autorisierung umfasst und dem Sicherheitsbeauftragten als einziger diese Rolle zugewiesen ist wird der Sicherheitsbeauftragte trotzdem gel scht Es wird angenommen dass der Haupt Sicherheitsbeauftragte die zus tzliche Autorisierung bernimmt 62 SafeGuard Enterprise 5 50 Administrator Hilfe 8 1 8 1 1 63 Datenverschl sselung Ein Kernst ck von SafeGuard Enterprise ist die Verschl sselung von Daten auf unterschiedlichen Datentr gern Die Verschl sselung kann volume oder dateibasierend durchgef hrt werden mit unterschiedlichen Schl sseln und Algorithmen Dateien werden transparent verschl sselt Wenn Benutzer Dateien ffnen bearbeiten und speichern werden Sie nicht zur Ver oder Entschl sselung aufgefordert Als Sicherheitsbeauftragter legen Sie die Einstellungen f r die Verschl sselung in einer Sicherheitsricht
229. etzwerkadapter oder Audio Video Ger te Die f r die Auswahl verf gbaren Ger tetypen sind in SafeGuard Configuration Protection integriert Wenn Sie ein Ger t eines Typs zulassen m chten der nicht in der Liste aufgef hrt ist f gen Sie diesen Typ zu Ihrer Liste der zugelassenen Ger te der White List unter Anwendung der Option White List f r Ger temodelle oder White List f r einzelne Ger te wie nachfolgend beschrieben hinzu Eine Beschreibung der unterst tzten Ger tetypen finden Sie im Abschnitt Unterst tzte Ger tetypen 170 SafeGuard Enterprise Administrator Hilfe 171 m Unbekannte Ger te unterer Bereich Mit dieser Option k nnen Sie festlegen ob der Zugang zu unbekannten Ger ten zugelassen ist oder nicht Ger tekontrolle White List In diesem Bereich k nnen Sie eine White List f r Ger temodelle und oder eine White List f r einzelne Ger te zuweisen m White List f r Ger temodelle Diese Option bezieht sich auf ein spezifisches Ger temodell z B ein bestimmtes HP Druckermodell wie LaserJet 4050N Geben Sie eine White List an die die entsprechenden Angaben enth lt m White List f r einzelnen Ger te Diese Option bezieht sich auf einzelne Ger te mit eindeutiger Serienummer d h spezifische Einzelger te Zum Beispiel der pers nliche Drucker des CEO wird zugelassen andere Drucker nicht Geben Sie eine White List an die die entsprechenden Angaben enth lt Hinweis Wenn Sie f r Al
230. eugen VOLUME BASIERENDE EINSTELLUNGEN Benutzer darf dem verschl sseltem Volume Schl ssel hinzuf gen oder diese entfernen Erkl rung Diese Einstellung bestimmt ob der Benutzer auf seinem Computer lokale Schl ssel erzeugen darf oder nicht Lokale Schl ssel werden auf dem Endpoint Computer basierend auf einer vom Benutzer eingegebenen Passphrase erzeugt Die Anforderungen denen eine Passphrase entsprechen muss k nnen in Richtlinien vom Typ Passphrase festgelegt werden Diese Schl ssel werden ebenfalls in der Datenbank gespeichert Der Benutzer kann sie aufjedem Computer auf dem er sich anmelden darf verwenden Lokale Schl ssel k nnen zum sicheren Datenaustausch ber SafeGuard Data Exchange SG DX verwendet werden JA Endpoint Computer Benutzer darf einen zus tzlichen Schl ssel aus seinem Schl sselbund einf gen entfernen Der Dialog wird angezeigt ber den Kontextmen eintrag Verschl sselung Registerkarte Verschl sselung NEIN Endpoint Computer Benutzer darf keinen zus tzlichen Schl ssel einf gen Reaktion auf unverschl sselte Volumes Definiert wie Sophos SafeGuard mit unverschl sselten Medien umgeht Folgende Optionen stehen zur Verf gung Abweisen Klartext Medium wird nicht verschl sselt Nur unverschl sselte Medien akzeptieren und verschl sseln Alle Medien akzeptieren und verschl sseln Benutzer darf Volume entschl sseln Bewirkt dass der Benutzer ber einen Kon
231. ezeigt m Nicht aktiviert Eine Richtlinie wurde zugewiesen Die Gruppe befindet sich nicht im Aktivierungsbereich Wird eine Richtlinie einem Container zugewiesen dann bestimmt die Aktivierungseinstellung f r eine Gruppe aktiviert ob diese Richtlinie an diesem Container in die Berechnung der resultierenden Richtlinie einflie t Vererbte Richtlinien k nnen durch diese Aktivierungen nicht kontrolliert werden Hierf r m sste an der lokaleren OU Richtlinienvererbung blockieren gesetzt werden damit die globalere Richtlinie hier nicht wirken kann 88 SafeGuard Enterprise 5 50 Administrator Hilfe Beispiel 1 SH urImaco com HZ Auth User A aum SHZ AUTHCHRYPTOTOKEN amp G nther HZ AUTHMANUELL lt P1 f r alle aktiv 8 Emil EHZ AUTHNONCRYPTOTOKEN 8 Auth LUser Group G nter und Emil sind Mitglied von A Computer1 Auth User Group Es gibt eine g ltige Zuweisung der Richtlinie Pl f r die OU AUTHMANUELL und eine Aktivierung f r die Gruppe Auth User Group Die Gruppe Auth User Group hat als Mitglieder die Benutzer Emil und G nther Obwohl auch der Benutzer G nther Mitglied der Gruppe Auth User Group ist gilt die Richtlinie P1 nicht f r ihn sondern nur f r den Benutzer Emil Da es f r den Benutzer G nther keine g ltige Zuweisung der Richtlinie P1 gibt Benutzer G nther geh rt nicht zur OU AUTHMANUELL hat die Aktivierung der Gruppe Auth User Group f r ihn keine Wirkung Beispiel 2 HEN UTIMACO COM f S
232. ezu Aktionen Extras Hilfe ARR O apral snow Benutzer amp Computer R Stamm Filter ist aktiv amp Authentisierte Benutzer D Authentisierte Computer Schl ssel Richtlinien Bestand Lizenzen u OU Headquarter DC Utimaco DC edu yerschieben R EgIStErKaT leur Auswahl verschiedener Aufgaben bzw Ghez i Automatisch registriert g uTmaco EDU 9 Automatisch registriert amp Board Group amp BoardMembers S Buitin 4 Computers amp Desktops 1 8 Domain Controllers _ ForeignSecurityPrincipals E He er SHZ Development amp Alice amp Bob E Desktopi 1 aaministrierdbare OD e Aktionsbereich Anzeige abh ngig von der Auswahl im Navigationsbei ietr Anzeigeyan Informationen _Computers f SR Conttainer_ForeignSecurityPrincipals Container_Users DC Utimaco DC edu Domain_UTIMACO EDU DC Utimaco Ur Group_ Authentisierte Benutzer 5SGN VA Group_ Authentisierte Computer SGN I Group_Administratoren DC Utimaco _Benutzer DC Utimaco DC edu are asa ossos egiyen Group_DHCP Administratoren DC Ut IP Graup_DHCP Benutzer DC Utimaco E a E Desktop2 zugewiesen Mi Md a 1 Finance 1000 12 Management SHZ Marketing I Desktops ZI Fiter amp Helen Vererbte Schl ssel E Laptops E Laptop4
233. feGuard Enterprise Client verwalten W hrend der Installation des SafeGuard Enterprise Client muss die BitLocker Unterst tzung explizit ausgew hlt werden um die Integration von BitLocker zu erm glichen Die zentrale und vollst ndig transparente Verwaltung von BitLocker durch SafeGuard Enterprise erm glicht somit die Anwendung in heterogenen IT Umgebungen Neben der nahtlosen Integration von BitLocker bietet SafeGuard Enterprise jedoch auch eine erhebliche Aufwertung dieses Features ber SafeGuard Enterprise lassen sich die Sicherheitsrichtlinien f r BitLocker zentral ausrollen Bei der Verwaltung von BitLocker ber SafeGuard Enterprise stehen dar ber hinaus u erst wichtige Prozesse wie Schl sselverwaltung und Schl ssel Recovery zur Verf gung F r Informationen zur Unterst tzung der BitLocker To Go Erweiterung in Windows 7 durch SafeGuard Enterprise siehe SafeGuard Enterprise und BitLocker To Go auf Seite 308 27 2 Aufwertung von BitLocker Funktionalit ten mit SafeGuard Enterprise Die Verwaltung von BitLocker mit SafeGuard Enterprise bietet Ihnen folgende Vorteile m Neben der Boot Partition lassen sich auch weitere Volumes der lokalen Festplatte ber die BitLocker Verschl sselung verschl sseln m Zus tzlich l sst sich die dateibasierende Verschl sselung von SafeGuard Enterprise auf alle Volumes anwenden einschlie lich Wechselmedien m Das SafeGuard Management Center erm glicht die einfache Verwaltung von BitLo
234. feGuard Management Center Symbolleiste Der Token wird f r die Authentisierung gesperrt der zugeordnete Benutzer kann sich nicht mehr damit anmelden Der Token kann nur mithilfe der SO PIN entsperrt werden 216 SafeGuard Enterprise 5 50 Administrator Hilfe 19 SafeGuard Data Exchange Mit SafeGuard Data Exchange lassen sich Daten die auf mit Endpoint Computern verbundenen Wechselmedien gespeichert werden verschl sseln und mit anderen Benutzern austauschen Alle Ver und Entschl sselungsprozesse laufen transparent und mit minimaler Benutzerinteraktion ab Nur Benutzer die ber die entsprechenden Schl ssel verf gen k nnen den Inhalt der verschl sselten Daten lesen Alle nachfolgenden Verschl sselungsprozesse laufen transparent In der zentralen Administration definieren Sie wie Daten auf Wechselmedien behandelt werden sollen Als Sicherheitsbeauftragter legen Sie die spezifischen Einstellungen in einer Richtlinie vom Typ Ger teschutz mit Ziel des Ger teschutzes Wechselmedien fest F r SafeGuard Data Exchange muss dateibasierende Verschl sselung benutzt werden Gruppenschl ssel F r den Austausch von verschl sselten Daten zwischen Benutzern m ssen SafeGuard Enterprise Gruppenschl ssel verwendet werden Wenn sich der Gruppenschl ssel in den Schl sselringen der Benutzer befindet erhalten diese vollen transparenten Zugriff auf die mit ihren Computern verbundenen Wechselmedien Auf Computern ohne SafeGuar
235. fficer Die neue Rolle wird unter Benutzerdefinierte Rollen im Navigationsfenster angezeigt Wenn Sie die Rolle anklicken werden im rechten Aktionsbereich die zul ssigen Aktionen dargestellt ioj xi Action permitted Enabled Additional officer authe Display policy assignments Assign policies i Unassign policies 4 Display certificate assignments j Import certificates Create certificates i Unassign certificates isplay token data i Issue tokens Policy Management Display policy management Display policy items and policy groups items and policy groups Bo policy items and policy groups Delete policy items and policy groups isplay images Create images Modify images i Delete images Display information text Create information text Master Security 0 Supervising Officer Security Officer Helpdesk Officer Audit Officer SafeGuard Enterprise 5 50 Administrator Hilfe 7 3 7 4 7 4 1 Rolle einem Sicherheitsbeauftragten zuweisen Voraussetzung Um eine neue Rolle anzulegen ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und zu ndern Gehen Sie wie folgt vor 1 W hlen Sie den gew nschten Sicherheitsbeauftragten im Navigationsfenster aus Die Eigenschaften werden im rechten Aktionsbereich f r ihn angezeigt 2 Weisen Sie die gew nschten Rollen durch Aktivieren der entsprechenden Kontrollk stchen zu Vordefinierte Rollen werden fett angezeigt
236. figuration verbunden Hinweis Wenn Sie ein falsches Kennwort eingeben wird eine Fehlermeldung angezeigt und die n chste Anmeldung wird verz gert Diese Verz gerung wird mit jedem fehlgeschlagenen Anmeldeversuch gr er Nicht erfolgreiche Anmeldeversuche werden protokolliert SafeGuard Enterprise 5 50 Administrator Hilfe Arbeitsschritte im Management Center F r den produktiven Einsatz von SafeGuard Enterprise sind folgende Schritte notwendig damit die unternehmensweiten Sicherheitsrichtlinien auf dem Endpoint Computer durchgesetzt werden k nnen m Organisationsstruktur aufbauen oder importieren m Zus tzliche Sicherheitsbeauftragte anlegen m Erste grundlegende Richtlinien festlegen m In die Datenbank speichern m Konfigurationen exportieren und importieren Alltagseinsatz Nach der ersten Anmeldung lassen sich die Einstellungen beliebig erweitern Die verschiedenen Sicherheitsbeauftragten k nnen entsprechend den ihnen zugewiesenen Rollen T tigkeiten ausf hren Nach dem Speichern der neuen Einstellungen in der Datenbank k nnen diese an die Endpoint Computer bertragen werden wo sie dann wirksam werden SafeGuard Enterprise 5 50 Administrator Hilfe 2 1 Der Arbeitsbereich des Management Centers Navigationsbereich Navigationsfenster Symbolleiste zur Auswahl von Aktionen SaleGuard Management Center MSO auf SGNSRY XafeGuard Datei Bearbeiten Ansicht Geh
237. g Achtung Beachten Sie dass Sie sich bei Wahl dieses Anmeldeverfahrens nur mit einem vorher ausgestellten Token anmelden k nnen Eine Kombination beider Einstellungen ist erlaubt Um zu pr fen ob die Anmeldung mit Token reibungslos funktioniert w hlen Sie zun chst beide Einstellungen aus Erst nach erfolgreicher Token Anmeldung sollten Sie das Anmeldeverfahren Benutzername Kennwort deaktivieren m Fingerabdruck W hlen Sie diese Option um die Anmeldung mit Lenovo Fingerabdruck Leser zu aktivieren Benutzer f r die diese Richtlinie wirksam ist k nnen sich mit Fingerabdruck oder Benutzername Kennwort anmelden Dieser Vorgang bietet das h chste Ma an Sicherheit Bei der Anmeldung f hrt der Benutzer den Finger ber den Fingerabdruck Leser Wenn der Fingerabdruck erfolgreich erkannt wurde liest die Power on Authentication die Anmeldeinformationen des Benutzers und meldet den Benutzer an der Power on Authentication an Die Anmeldeinformationen werden dann an Windows bertragen und der Benutzer wird an seinem Computer angemeldet Achtung Nach Auswahl dieses Anmeldevorgangs kann sich der Benutzer nur mit einem vorher registrierten Fingerabdruck oder mit Benutzername und Kennwort anmelden 118 SafeGuard Enterprise 5 50 Administrator Hilfe 119 Richtlinieneinstellung Anmeldeoptionen mit Token PIN f r automatische Anmeldung mit Token Erkl rung Legt den Typ des Token bzw der Smartcard fe
238. g Es wird daher empfohlen die Service Account Einstellungen unmittelbar nach der Installation an den Endpoint Computer zu bertragen Um die Service Account Liste zu diesem Zeitpunkt auf dem Computer zur Verf gung zu stellen nehmen Sie in das erste Konfigurationspaket das Sie zur Konfiguration des Computers nach der Installation erstellen eine Richtlinie vom Typ Authentisierung mit den entsprechenden Einstellungen auf Sie k nnen die Einstellungen f r die Service Account Liste jederzeit ndern Die nderungen werden dann wie blich ber den Server an den Endpoint Computer bertragen 13 6 Auf einem Endpoint Computer mit einem Service Account 101 anmelden Bei der ersten Windows Anmeldung nach dem Neustart des Endpoint Computers meldet sich ein Benutzer der auf einer Service Account Liste aufgef hrt ist an dem Computer als SafeGuard Enterprise Gastbenutzer an Diese erste Windows Anmeldung an dieser Maschine l st weder eine ausstehende Aktivierung der Power on Authentication aus noch wird durch die Anmeldung der Benutzer zum Computer hinzugef gt Das SafeGuard Enterprise System Tray Icon zeigt in diesem Fall auch nicht den Balloon Tool Tip Initialer Benutzerabgleich abgeschlossen an SafeGuard Enterprise 5 50 Administrator Hilfe 13 6 1 Anzeige des Service Account Status auf dem Endpoint Computer Der Gastbenutzer Anmeldestatus wird auch ber das System Tray Icon angezeigt Weitere Informationen zum System Tray
239. g unter Konfigurationspakete zur Verf gung steht Geben Sie einen Ausgabepfad f r das Konfigurationspaket an Kicken Sie auf Konfigurationspaket erstellen Verteilen Sie das Konfigurationspaket an die Endpoint Computer Durch Installation des Konfigurationspakets werden alle POA Access Accounts von den Endpoint Computern entfernt Somit werden alle relevanten Benutzer aus der POA entfernt 14 9 POA Access Account Zuweisungen auf Endpoint Computern ndern So ndern Sie die Zuweisung von POA Access Accounts auf Endpoint Computern l Legen Sie einen neue POA Access Account Gruppe an oder ndern Sie eine bestehende Gruppe Erstellen Sie ein neues Konfigurationspaket und w hlen Sie die neue oder modifizierte POA Access Account Gruppe aus Die neue POA Access Account Gruppe steht auf dem Endpoint Computer zur Verf gung Alle enthaltenen Benutzer werden zur POA hinzugef gt Die neue Gruppe berschreibt die alte POA Access Account Gruppen werden nicht miteinander kombiniert 108 SafeGuard Enterprise 5 50 Administrator Hilfe 14 10 Mit POA Access Account am Endpoint Computer anmelden 109 So melden Sie sich mit einem POA Access Account an 1 Schalten Sie den Computer ein Der Power on Authentication Anmeldedialog wird angezeigt 2 Geben Sie den Benutzernamen und das Kennwort des vordefinierten POA Access Account ein Sie werden nicht automatisch an Windows angemeldet Der Windows Anmeldedialog wird angeze
240. g protokolliert werden soll exec sp_add_job job_name AutoShrinkEventTable enabled 1 notify_level_eventlog 3 F r den Parameter notify_level_eventlog sind folgende Werte verf gbar Ergebnis Jede Ausf hrung des Jobs protokollieren Fehlschlagen des Jobs protokollieren Erfolgreiche Ausf hrung des Jobs protokollieren Ausf hrung des Jobs nicht im NT Event Log protokollieren m Sie k nnen festlegen wie oft die Ausf hrung des Jobs im Fall eines Fehlschlags wiederholt werden soll exec sp_add_jobstep m Qretry_attempts 3 Dieses Beispiel legt 3 Versuche f r die Ausf hrung des Jobs im Fall eines Fehlschlags fest m Q retry_interval 60 Dieses Beispiel legt fest dass die Ausf hrung des Jobs in einem Abstand von 60 Minuten wiederholt werden soll m Sie k nnen einen Zeitplan f r die Ausf hrung des Jobs festlegen exec sp_add_jobschedule m Q freg_type 4 Dieses Beispiel legt fest dass der Job t glich ausgef hrt wird SafeGuard Enterprise 5 50 Administrator Hilfe m Q freg_interval 1 Dieses Beispiel legt fest dass der Job einmal pro Tag ausgef hrt wird us Gactive_start_time 010000 Dieses Beispiel legt fest dass der Job um 01 00 Uhr ausgef hrt wird Achtung Die f r Parameter active_start_time oben angegebene Syntax funktioniert mit SQL Server 2005 Die korrekte Syntax f r SQL Server 2000 lautet active_start_time 1 00 00 Hinweis Neb
241. ge Code erzeugt wird SafeGuard Management Center in dem Sie als Helpdesk Beauftragter mit ausreichenden Rechten einen Response Code erstellen der den Benutzer zur Ausf hrung der angeforderten Aktion auf dem Computer berechtigt Der Benutzer fordert auf seinem Computer einen Challenge Code an Je nach Recovery Typ wird der Challenge Code in der Power on Authentication oder ber das KeyRecovery Tool angefordert Ein Challenge Code in Form einer ASCII Zeichenfolge wird generiert und angezeigt 2 Der Benutzer wendet sich an den Helpdesk und bermittelt seine notwendige Identifikation sowie den Challenge Code Der Helpdesk Beauftragte startet den Recovery Assistenten im SafeGuard Management Center Der Helpdesk Beauftragte w hlt den entsprechenden Recovery Typ best tigt die Identifikationsinformationen sowie den Challenge Code und w hlt die gew nschte Recovery Aktion aus Ein Response Code in Form einer ASCII Zeichenfolge wird generiert und angezeigt 5 Der Helpdesk Beauftragte bermittelt dem Benutzer den Response Code z B ber das Telefon oder ber eine Textmitteilung Der Benutzer gibt den Response Code ein Je nach Recovery Typ erfolgt dies in der POA oder ber das KeyRecovery Tool Der Benutzer kann die autorisierte Aktion z B R cksetzen des Kennworts ausf hren und wieder mit dem Computer arbeiten SafeGuard Enterprise 5 50 Administrator Hilfe 23 4 Wann muss der Benutzer sein Kennwort nder
242. gement Center verwaltete Computer Die Computer sind im Bereich Benutzer amp Computer im SafeGuard Management Center aufgelistet Challenge Response mit virtuellen Clients Recovery Vorg nge f r verschl sselte Volumes lassen sich in F llen in denen ein Challenge Response Vorgang normalerweise nicht unterst tzt w rde z B bei einer korrupten POA aufeinfache Art und Weise unter Anwendung von spezifischen Dateien mit der Bezeichnung virtuelle Clients durchf hren Challenge Response for Sophos SafeGuard Clients Standalone Challenge Response f r lokal verwaltete Computer Diese Computer haben nie eine Verbindung zum SafeGuard Enterprise Server F r jeden dieser Computer wird w hrend der Konfiguration eine Schl ssel Recovery Datei generiert Diese Datei enth lt den definierten Computerschl ssel der mit dem Unternehmenszertifikat verschl sselt ist Wenn diese Datei f r den Zugriff durch den Helpdesk Beauftragten zur Verf gung steht z B auf einem USB Stick oder ber eine Netzwerkfreigabe wird das Challenge Response Verfahren f r einen Standalone Computer unterst tzt Hinweis Dar ber hinaus steht das Recovery Verfahren Local Self Help zur Verf gung f r das keine Unterst tzung durch den Helpdesk ben tigt wird SafeGuard Enterprise 5 50 Administrator Hilfe 23 7 Recovery ber Challenge Response f r SafeGuard Enterprise Clients SafeGuard Enterprise bietet ein Recovery Verfahren f r in der Datenbank regis
243. gen werden Wer Benutzer in die UMA aufnehmen darf wird zus tzlich ber die Richtlinieneinstellung Importieren von neuen Benutzern erlaubt f r in einer Richtlinie vom Typ Spezifische Computereinstellungen gesteuert m Importieren von Benutzern erlaubt f r Niemand Auch der als Besitzer eingetragene Benutzer kann keinen weiteren Benutzern die Aufnahme in die UMA erm glichen Die Funktionalit t dass ein Besitzer weitere Aufnahmen erm glichen kann wird damit ausgeschaltet Besitzer Standardeinstellung Nur der Besitzer kann weitere Benutzer in die UMA aufnehmen Hinweis Ein Sicherheitsbeauftragter kann im SafeGuard Management Center immer Benutzer hinzuf gen Jeder Hebt die Einschr nkung auf dass nur der Besitzer Benutzer hinzuf gen darf 194 SafeGuard Enterprise 5 50 Administrator Hilfe 195 Beispiel Das folgende Beispiel zeigt wie Sie im SafeGuard Management Center festlegen k nnen dass sich ausschlie lich drei bestimmte Benutzer Benutzer_a Benutzer_b Benutzer_c auf dem Computer Computer_ABC anmelden k nnen Ausgangssituation Sie legen im SafeGuard Management Center das gew nschte Verhalten fest SafeGuard Enterprise wird in der Nacht auf allen Benutzer PCs installiert Am Morgen sollen sich die Benutzer entsprechend Ihren Vorgaben anmelden 1 Weisen Sie im SafeGuard Management Center Benutzer_a Benutzer_b Benutzer_c dem Computer Computer_ABC zu Benutzer amp Computer gt Computer_
244. gnisse in der SafeGuard Management Center Ereignisanzeige einsehen So rufen Sie in der zentralen Datenbank protokollierte Ereignisse ab 1 Klicken Sie im Navigationsbereich des SafeGuard Management Centers auf die Schaltfl che Berichte 2 Klicken Sie im rechten Fensterbereich Ereignisanzeige auf das Lupensymbol Alle in der zentralen Datenbank protokollierten Ereignisse werden in der Ereignisanzeige angezeigt Guar d Management Center Master an testlab w2k arv GLI_TESI_530 Ereignisanzeige 782 Piter a ZI fahlerstufe unbekannt information Warnung fehler w Zeige letzte 100 nn be boya Kengre Ietjar t der 1508 Bunt REPORT kornea rich an den Sarver gemeint wurden Gr Kommunikation WeL2UOS 4 03 71 PM 1504 Befehl REPORT konnte richt an den Server gesendet werden Gr Kommunikation SSI SJAJ2006 4 03 21 PM 1504 Befehl REPORT korne richt an den Server gesendet werden Gr Kermmusikalicn IHIRODS 4 03 20 PM 1504 Befehl UMA_ADOUSER konnte nicht an den Server gesendet mar Kommunikation i OJAI 4 03 19 PM 1524 Befehl LMA_ALOUSER konnte richt an den Server gesendet wen Kommunikation IHIG 4 03 19 PM 1504 Baladi REPORT korren racht an den Sarver gasari et vmrdn Gr Kormmu katicn Sja jzo06 02cm Pra 1504 Befehl REPORT konnte richt an den Server gesendet werden Gr Kommunikation SJA J2006 4 02 07 PM 1504 Befehl LMA_ADOUSER kornte richt an den Server gesendet wer Kormmusikalicn IPODS 4 02 06 PM 1504 Bafahl REPORT konnte nicht an
245. gr er angelegten SafeGuard Enterprise Installation die aktuelle Version der POA Konfigurationsdatei zu installieren Die Datei wird monatlich aktualisiert und steht unter ftp POACFG POACFG ftp ou utimaco de zum Download zur Verf gung Sie k nnen diese Datei gem der Hardware einer bestimmten Umgebung anpassen Hinweis Wenn Sie eine angepasste Datei definieren wird nur diese verwendet nicht die in der msi Datei integrierte Datei Die Standarddatei wird nur dann verwendet wenn keine POA Konfigurationsdatei definiert ist oder gefunden wird Um die POA Konfigurationsdatei zu installieren geben Sie folgenden Befehl ein MSIEXEC i lt Client MSI Paket gt POACFG lt Pfad der POA Konfigurationsdatei gt Weitere Informationen finden Sie in unserer Wissensdatenbank http www sophos com support knowledgebase article 65700 html Die folgenden Hotkeys werden in der POA unterst tzt m Shift F3 USB Legacy Unterst tzung An Aus m Shift F4 VESA Grafikmodus Aus An m Shift F5 USB 1 x und 2 0 Unterst tzung Aus An m Shift F6 ATA Controller Aus An m Shift F7 nur USB 2 0 Unterst tzung Aus An USB 1 x Unterst tzung bleibt wie ber Shift F5 gesetzt m Shift F9 ACPV APIC Aus An USB Hotkeys Abh ngigkeitsmatrix Shift F3 Shift F5 Shift F7 USB 2 0 Comment an 3 aus aus an an Standard aus an aus aus 1 2 aus an aus aus 1 2 Ca CEE an 236 SafeGuard Enterprise 5 50 Administra
246. gseinstellungen f r Peer to Peer Ad Hoc wie folgt a Zulassen L sst Peer to Peer WLAN Verbindungen zu b Sperren Sperrt alle Peer to Peer WLAN Verbindungen F r diese Option stehen keine weiteren granularen Zulassungseinstellungen zur Verf gung 16 3 9 Schritt 8 Dateikontrolle definieren 175 Mit SafeGuard Configuration Protection k nnen Sie nicht nur Berechtigungen f r Speicherger te sondern auch f r die Dateien die an und von diesen Ger ten bertragen werden einstellen Hierzu werden die Dateien beim Transfer an von externe n Speicherger ten aufihren Typ berpr ft Diese Technologie erm glicht eine h chst zuverl ssige Klassifizierung der Dateien durch berpr fung des Inhalts des Datei Headers anstatt der Dateierweiterungen Der Schutzmechanismus kann somit nicht einfach durch Umbenennen der Dateierweiterung umgangen werden Durch die berpr fung sowohl von Dateien die von externen Speicherger ten heruntergeladen werden als auch von Dateien die auf den gesch tzten Endpoint hochgeladen werden l sst sich eine Reihe von Vorteilen erzielen m Eine zus tzliche Schutzschicht zur Verhinderung von Daten Lecks Data Leakage m Schutz vor dem Einbringen von Viren Malware ber externe Speicherger te SafeGuard Enterprise Administrator Hilfe m Schutz vor dem Einbringen von verbotenen Inhalten ber externe Speicherger te z B nicht lizensierte Software nicht lizensierte Inhalte z B Musik und Fil
247. gten POA muss diese Datei dem Benutzer zur Verf gung stehen Der Benutzer muss die Dateirecoverytoken tok im selben Verzeichnis in dem sich auch das Recovery Tool befindet ablegen damit ein Challenge Response Verfahren unterst tzt wird 1 ffnen Sie das SafeGuard Management Center und klicken Sie auf Schl ssel amp Zertifikate 2 Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients T SafeGuard Management Center MSO auf SGNSRY SafeGuard S Datei Bearbeiten Ansicht Gehezu Aktionen Extras Hilfe 2em Schl ssel amp Zertifikate 3 Virtuelle Clients ER schl ssel FFiter amp Zertifikate PE virtuelle Clients OOOO O em zj 3 B Eeport Schl sseldateien Name Virtueller Client 1 i E Virtueller Client 2 irtuelle Clients x Folgende Dateien wurden erfolgreich exportiert WBackendeiUserMgmt HelpdeskiRecoverirecoverytoken tok 3 Suchen Sie im Aktionsbereich nach dem entsprechenden virtuellen Client indem Sie auf das Lupensymbol klicken Die verf gbaren virtuellen Clients werden angezeigt 4 W hlen Sie den gew nschten Eintrag im Aktionsbereich aus und klicken Sie in der Symbolleiste auf Virtuellen Client exportieren 5 W hlen Sie einen Speicherort f r die Datei recoverytoken tok und klicken Sie auf OK 6 Eine Meldung die Sie ber das erfolgreiche Speichern sowie den Speicherort der Datei informiert wird angezeigt 7 Vert
248. hen und ndern von Sicherheitsbeauftragtenrollen Zum ndern der Einstellung f r die zus tzliche Autorisierung ben tigen Sie au erdem das Recht Einstellungen f r zus tzliche Autorisierung ndern Gehen Sie wie folgt vor 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster unter Benutzerdefinierte Rollen auf die Rolle die Sie ndern m chten und w hlen Sie Sicherheitsbeauftragtenrolle ndern 3 ndern Sie die Eigenschaften nach Wunsch ndern Sie die Einstellungen f r die zus tzliche Autorisierung indem Sie auf den Wert in dieser Spalte klicken und die gew nschte Rolle ausw hlen 4 Klicken Sie auf das Speichern Symbol in der Symbolleiste um Ihre nderungen in der Datenbank zu speichern Die Rolle wurde ge ndert SafeGuard Enterprise 5 50 Administrator Hilfe 7 6 7 7 Rolle kopieren Um eine Rolle anzulegen die hnliche Eigenschaften wie eine bereits vorhandene Rolle hat k nnen Sie die vorhandene Rolle als Vorlage benutzen Sie k nnen eine vordefinierte oder eine benutzerdefinierte Rolle als Vorlage ausw hlen Voraussetzung Die Verwendung von vorhandenen Rollen als Vorlage ist nur dann m glich wenn der derzeit authentisierte Sicherheitsbeauftragte alle Rechte hat die in dieser spezifischen Rollenvorlage enthalten sind Diese Funktion ist also u U f r Sicherheitsbeauftragte deren zul ssige Aktionen begrenzt sind nicht verf gb
249. hl an verf gbaren Lizenzen oder der zeitlich begrenzten Nutzungsdauer wird eine Fehlermeldung ausgegeben siehe Lizenz berschreitung auf Seite 34 30 SafeGuard Enterprise 5 50 Administrator Hilfe 6 4 Lizenzstatus berblick So rufen Sie den Lizenzstatus berblick auf 1 Sie befinden sich im ge ffneten Management Center im Bereich Benutzer amp Computer 2 Klicken Sie im Navigationsfenster auf der linken Seite auf den Stammknoten die Dom ne die OU das Containerobjekt oder die Arbeitsgruppe 3 Wechseln Sie im Aktionsbereich auf der rechten Seite in die Registerkarte Lizenzen Der Lizenzstatus wird angezeigt Y SafeGuard Management Center MSO auf SGNSRY SafeGuard Datei Bearbeiten Ansicht Gehezu Aktionen Extras Hilfe B mp E gu ge ui Lo Yerschieben Gehe zu Benutzer amp Computer tarnm Filter ist aktiv Authentisierte Benutzer B Authentisierte Computer i a 9 Automatisch registriert Lizenz ausgestellt f r Sophos SafeGuard Evaluation License a lt poA gt Ausgestellt am 1 12 2010 Sta Modul Erworbene Benutzte Lize H chste erlaubte H chste L uf Typ Schl ssel Richtlinien Bestand Synchronisation Lizenzen Data Exchange 5 3 reqular Configuration Prot 5 0 30 06 regular Management Center 5 0 5 30 9 99 30 06 regular Partner Connect B 5 0 5 30 9 99 30 06 regular Device Encryption 5 0
250. hne SafeGuard Data Exchange mit SafeGuard Portable entschl sseln Beim ffnen der Dateien mit SafeGuard Portable wird der Benutzer dazu aufgefordert die Passphrase einzugeben die beim Erzeugen des Schl ssels angegeben wurde Wenn dem Benutzer die Passphrase bekannt ist kann er die Datei ffnen Mit SafeGuard Portable erh lt jeder Benutzer der die entsprechende Passphrase kennt Zugang zu verschl sselten Dateien auf Wechselmedien Auf diese Weise ist ein Austausch von verschl sselten Daten mit Partnern die nicht ber SafeGuard Enterprise verf gen m glich Sie ben tigen lediglich SafeGuard Portable sowie die Passphrase f r die Dateien auf die sie zugreifen sollen Durch Verwendung von verschiedenen lokalen Schl sseln f r die Verschl sselung von Dateien auf Wechselmedien l sst sich der Zugang zu den Dateien sogar selektiv einschr nken Zum Beispiel Sie verschl sseln die Dateien auf einem USB Stick mit einem Schl ssel mit der Passphrase my_localkey F r eine einzelne Datei mit dem Dateinamen F rPartner doc verwenden Sie die Passphrase partner_lokalerSchl ssel Wenn Sie den USB Stick nun an einen Partner weitergeben und ihm die Passphrase partner_lokalerSchl ssel mitteilen hat dieser nur Zugriff auf die Datei F rPartner doc Hinweis Standardm ig wird SafeGuard Portable automatisch auf alle mit dem System verbundenen Wechselmedien kopiert Um SafeGuard Portable nicht automatisch auf die Wechselmedien zu kopieren deaktivi
251. ht erlaubte Kennw rter definieren In der Liste werden die verbotenen Kennw rter durch einen neuen Zeilenanfang getrennt Wildcard An der Position an der Sie den Zeichentyp eingeben k nnen mehrere beliebige Zeichen im Kennwort enthalten sein Beispielsweise wird durch 123 jede Zeichenfolge die 123 enth lt als Kennwort verboten Achtung m Wenn Sie nur die Wildcard in die Liste einf gen k nnen sich Benutzer nach einer erzwungenen Kennwort nderung nicht mehr im System anmelden m Benutzer d rfen auf die Datei keinen Zugriff haben m Die Option Liste nicht erlaubter Kennw rter verwenden muss aktiviert sein 134 SafeGuard Enterprise 5 50 Administrator Hilfe 135 Richtlinieneinstellung Benutzerkennwort synchronisation mit anderen SGN Clients NDERUNGEN Kennwort nderung erlaubt nach mindestens Tage Erkl rung Dieses Feld steuert die Synchronisierung bei nderung des Kennworts durch Benutzer die auf mehreren SafeGuard Enterprise Benutzer PCs arbeiten und als Benutzer eingetragen sind Hier stehen folgende Optionen zur Verf gung m Langsam sobald Benutzer sich anmeldet ndert ein Benutzer sein Kennwort auf einem SafeGuard Enterprise Benutzer PC so muss dieser Benutzer sich auf anderen Computern auf denen er als Benutzer eingetragen ist zun chst noch einmal mit seinem alten Kennwort an der Power on Authentication anmelden Erst dann wird die Kennwortsynchronisation
252. hte Estan JOSA c ING sefesuord manage E ssam 1 Diese Ansicht wird durch Klicken auf Benutzer amp Computer ge ffnet 2 Die Schl ssel eines hier markierten Objekts werden im Aktionsbereich und in den dazugeh rigen Ansichten angezeigt 3 Aktionsbereich Anzeige abh ngig von der Auswahl im Navigationsbereich Es werden alle dem Objekt zugewiesenen Schl ssel angezeigt 4 Hier werden alle verf gbaren Schl ssel angezeigt Dem ausgew hlten Objekt bereits zugewiesene Schl ssel sind ausgegraut ber Filter kann zwischen bereits einem Objekt zugewiesenen aktiven und noch keinem Objekt zugewiesenen inaktiven Schl sseln umgeschaltet werden Nach dem Import verf gt jeder Benutzer ber eine Anzahl von Schl sseln die zur Datenverschl sselung verwendet werden k nnen 68 SafeGuard Enterprise 5 50 Administrator Hilfe 9 1 Schl ssel f r die Datenverschl sselung Benutzern k nnen bestimmte Schl ssel zur Verschl sselung von Volumes zugewiesen werden indem Richtlinien vom Typ Ger teschutz angelegt werden Folgende Volumes stehen zur Verf gung Y Ger teschutz Device Protection c9 Boot Laufwerke c9 Andere volumes c9 Wechselmedien c9 Optische Laufwerke S Laufwerksbuchstaben ea Wenn Sie die Einstellungen f r die verschiedenen Medien vornehmen finden Sie bei jedem Medium die Option Schl ssel f r die Verschl sselung Computerschl ssel Deiebiger Schl ssel m S
253. hten aus oder klicken Sie auf Neu zum Erzeugen einer neuen Konfiguration Neu L schen Importieren Exportieren Weitere Datenbankkonfigurationen erstellen So erstellen Sie eine weitere SafeGuard Enterprise Datenbankkonfiguration nach der initialen Konfiguration 1 Starten Sie das SafeGuard Management Center Der Dialog Konfiguration ausw hlen wird angezeigt 2 Klicken Sie auf Neu Der SafeGuard Management Center Konfigurationsassistent wird automatisch gestartet 20 SafeGuard Enterprise 5 50 Administrator Hilfe 21 4 2 4 3 Der Assistent f hrt Sie durch die notwendigen Schritte f r das Anlegen einer neuen Datenbankkonfiguration Nehmen Sie die erforderlichen Einstellungen vor Die neue Datenbankkonfiguration wird generiert Zur Authentisierung werden Sie dazu aufgefordert den Sicherheitsbeauftragtennamen f r diese Konfiguration auszuw hlen und das entsprechende Zertifikatsspeicherkennwort einzugeben Best tigen Sie Ihre Angaben mit OK Das SafeGuard Management Center wird ge ffnet und mit der neuen Datenbankkonfiguration verbunden Wenn Sie das SafeGuard Management Center das n chste Mal starten k nnen Sie die neue Datenbank Konfiguration aus der Liste ausw hlen Mit bereits vorhandener Datenbankkonfiguration verbinden So benutzen Sie eine bereits vorhandene SafeGuard Enterprise Datenbankkonfiguration l Starten Sie das SafeGuard Management Center Der Dialog
254. htlinien Navigationsbereich unter Local Self Help Fragen zur Verf gung Das Fragenthema steht optional auch in den Sprachen Franz sisch Italienisch Spanisch und Japanisch zur Verf gung Diese Sprachversionen lassen sich zus tzlich in den Navigationsbereich importieren Hinweis Bei der Eingabe von Antworten auf Japanisch zur Aktivierung von Local Self Help auf Endpoint Computern m ssen die Benutzer Romajii Zeichen r mische lateinische Zeichen verwenden Andernfalls wird bei der Eingabe der Antworten in der Power on Authentication keine bereinstimmung erreicht Sie k nnen das vordefinierte Fragenthema unver ndert verwenden bearbeiten oder l schen Wenn Sie die beiden Sprachversionen des vordefinierten Fragenthemas unver ndert belassen und Local Self Help ber eine Richtlinie vom Typ Allgemeine Einstellungen werden die beiden vordefinierten Fragenthemen automatisch mit dieser Richtlinie an die Endpoint Computer weitergegeben 242 SafeGuard Enterprise 5 50 Administrator Hilfe 22 3 Fragenthemen importieren ber den Importvorgang k nnen Sie zus tzliche Sprachversionen des vordefinierten Fragenthemas oder eigene als XML Datei erstellte Fragenlisten importieren So importieren Sie ein Fragenthema 1 Erstellen Sie ein neues Fragenthema siehe Neues Fragenthema erstellen und Fragen hinzuf gen Seite 243 2 Markieren Sie im Richtlinien Navigationsbereich das neue Fragenthema unter Local Self Help Fragen 3
255. i importiert muss das Kennwort des Zertifikats bekannt sein Wird ein PKCS 12 Zertifikatscontainer ausgew hlt werden alle Zertifikate in die Liste der zuweisbaren Zertifikate geladen Die Zuweisung des Zertifikats erfolgt nach dem Import indem das Zertifikat im Dropdown Listenfeld ausgew hlt wird 4 Klicken Sie zur Best tigung Ihrer Einstellungen auf OK 5l SafeGuard Enterprise 5 50 Administrator Hilfe 7 9 Der neu angelegte Haupt Sicherheitsbeauftragte wird im Navigationsfenster unter dem Knoten Haupt Sicherheitsbeauftragte angezeigt Die jeweiligen Eigenschaften lassen sich durch Auswahl des gew nschten Sicherheitsbeauftragten im Navigationsfenster anzeigen Der Haupt Sicherheitsbeauftragte kann sich mit dem angezeigten Namen an das SafeGuard Management Center anmelden Sicherheitsbeauftragten anlegen Voraussetzung Um einen neuen Sicherheitsbeauftragten anzulegen ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und anzulegen Gehen Sie wie folgt vor 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Sicherheitsbeauftragten Knoten in dem Sie den neuen Sicherheitsbeauftragten anlegen m chten und w hlen Sie Neu gt Neuer Sicherheitsbeauftragter 3 Nehmen Sie die relevanten Eintr ge unter Neuer Sicherheitsbeauftragter vor Aktiviert vl Name al Beschreibung Mobiltelefon
256. iddleware unterst tzt werden Da die Unterst tzung von Token von Release zu Release erweitert wird werden die in der jeweils aktuellen SafeGuard Enterprise Version unterst tzten Token und Smartcards in den Release Notes aufgef hrt SafeGuard Enterprise 5 50 Administrator Hilfe 18 3 Mit Token arbeiten Folgende Aufgaben m ssen Sie durchf hren damit Token zur Authentisierung verwendet werden k nnen 1 Leeren Token initialisieren 2 Token f r Benutzer und Sicherheitsbeauftragte ausstellen 3 Zertifikate und Schl ssel auf Token schreiben 4 Richtlinien f r Token festlegen Sie k nnen auch einen bereits mit Daten einer anderen Anwendung versehenen Token zur Authentisierung verwenden sofern gen gend freier Speicherplatz f r die Zertifikate und Anmeldeinformationen darauf vorhanden ist Folgende M glichkeiten stehen Ihnen in SafeGuard Enterprise zur komfortablen Verwaltung von Token zur Verf gung m Token Informationen anzeigen und filtern m PINs initialisieren ndern zur cksetzen und sperren m Token Daten lesen und l schen m Token sperren 18 4 Token initialisieren Bevor ein leerer unformatierter Token in SafeGuard Enterprise f r einen Benutzer ausgestellt werden kann muss er nach den Angaben des Token Herstellers f r die Verwendung vorbereitet also initialisiert werden Bei der Initialisierung wird er mit Basisinformationen z B den Standard PINs beschrieben Dies erfolgt ber die Initialisi
257. ieder am SafeGuard Management Center anmelden wenn ein bergeordneter Sicherheitsbeauftragter ihm eine neue Rolle zuweist Wird die Rolle f r die zus tzliche Autorisierung verwendet so wird der Haupt Sicherheitsbeauftragte dazu aufgefordert die zus tzliche Autorisierung durchzuf hren 3 Um die Rolle zu l schen best tigen Sie die Meldung mit Ja 4 Klicken Sie auf das Speichern Symbol in der Symbolleiste um Ihre nderungen in der Datenbank zu speichern Die Rolle wird aus dem Navigationsfenster entfernt und aus der Datenbank gel scht Haupt Sicherheitsbeauftragten anlegen Voraussetzung Um einen neuen Haupt Sicherheitsbeauftragten anzulegen ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und anzulegen Gehen Sie wie folgt vor 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Knoten Haupt Sicherheitsbeauftragte und w hlen Sie Neu gt Neuer Sicherheitsbeauftragter 3 Nehmen Sie die relevanten Eintr ge unter Neuer Haupt Sicherheitsbeauftragter vor Eingabefeld Kontrollk stchen Beschreibung Aktiviert Hier kann der Beauftragte bis auf Weiteres deaktiviert werden Das bedeutet dass er zwar im System existiert sich aber noch nicht an das SafeGuard Management Center anmelden kann Erst wenn er durch einen anderen Beauftragten aktiviert wird kann er sich anmelden und seine administrativen T tigkeite
258. ifen f r die er den passenden Schl ssel besitzt Alle vorhandenen Schl ssel werden angezeigt wenn Sie im Navigationsbereich des SafeGuard Management Centers auf Benutzer amp Computer klicken und die Registerkarte Schl ssel w hlen Alle berhaupt vohandenen Schl ssel k nnen angezeigt werden wenn Sie im Navigationsbereich des SafeGuard Management Centers auf Schl ssel amp Zertifikate klicken und Zugewiesene Schl ssel bzw Inaktive Schl ssel ausw hlen F r alle Schl ssel k nnen Sie sich dort Listen generieren lassen SafeGuard Enterprise 5 50 Administrator Hilfe P safeLuard Management Lenter MSU auf SGNSRV A eGuard E omm Fiker ist atv Ausherkiserte Denutzer E Audtverkisiente Computer 9 Automatisch registriert sHO utimaco eou 9 Automatisch regastwiert B hord aap A Richtlinien A Schkissel amp Zertifikate Token Sicherheitsbeauftragte ta OU Heackuarter DC Utimaoo DC edu Schl ssel icht nien Bestand Lrercen INT Cortairer _Compters OC Utimsco D N Container Fereiysanrtyrnopaap Conkainer UserspOCeutimaco OCaedu Doman UTIMACO EDUPOC UUMACO N Gop_Asherkiierte Bentar ISSN IP Croup _Austhertiderte Comgateng SaN AD AANER RO OPOL JONICO Grop_ Henne oc Lrmao DCmedu NP Group DROP Akira nn OR RP Grup _DCP Benutzeniptx Litimaco fh veric
259. igt 3 W hlen Sie im Dom ne Feld die Dom ne lt POA gt 4 Melden Sie sich mit Ihrem vorhandenen Windows Benutzerkonto an Windows an SafeGuard Enterprise 5 50 Administrator Hilfe 15 Sicherheitsrichtlinien Die SafeGuard Enterprise Richtlinien enthalten alle Einstellungen die zur Abbildung einer unternehmensweiten Sicherheitsrichtlinie auf den Endpoint Computern wirksam werden sollen Sie k nnen Richtlinien f r folgende Bereiche Richtlinientypen erstellen Allgemeine Einstellungen Enth lt Einstellungen f r z B Transferrate Hintergrundbilder usw Authentisierung Enth lt Einstellungen zum Anmeldemodus zur Ger tesperre usw PINs Legt Anforderungen an die verwendeten PINs fest Kennw rter Legt Anforderungen an die verwendeten Kennw rter fest Passphrasen Legt Anforderungen f r die verwendeten Passphrasen fest Passphrasen werden bei der Schl sselerzeugung f r den sicheren Datenaustausch mit SafeGuard Data Exchange verwendet Ger teschutz Enth lt Einstellungen f r die volume oder dateibasierende Verschl sselung auch Einstellungen f r SafeGuard Data Exchange und SafeGuard Portable Algorithmen Schl ssel Daten auf welchen Laufwerken sollen verschl sselt werden usw Spezifische Computereinstellungen Enth lt Einstellungen zur Power on Authentication aktivieren deaktivieren zum sicheren Wake On LAN Anzeigeoptionen usw Protokollierung Legt fest welche Ereignisse wo protokolliert werd
260. iguration Richtlinien und Schl sselverwaltung sowie f r berwachung und Recovery SafeGuard Enterprise 5 50 Administrator Hilfe 7 1 3 m Helpdesk Beauftragter Helpdesk Beauftragte sind zurDurchf hrung von Recovery Vorg ngen berechtigt Dar ber hinaus k nnen Sie sich die meisten Funktionsbereiche des SafeGuard Management Center anzeigen lassen m Audit Beauftragter Um SafeGuard Enterprise berwachen zu k nnen haben Audit Beauftragte die Berechtigung sich die meisten Funktionsbereiche des SafeGuard Management Center anzeigen zu lassen m Recovery Beauftragter Recovery Beauftragte sind dazu berechtigt die SafeGuard Enterprise Datenbank zu reparieren Benutzerdefinierte Rollen Als Sicherheitsbeauftragter mit den erforderlichen Rechten k nnen Sie neue Rollen aus einer Liste mit Aktionen Rechten definieren und sie einem vorhandenen oder einem neuen Sicherheitsbeauftragten zuweisen Wie auch bei den vordefinierten Rollen l sst sich die zus tzliche Autorisierung durch einen weiteren Sicherheitsbeauftragten f r eine Funktion der betreffenden Rolle jederzeit aktivieren Bei der Zuweisung einer neuen Rolle ist f r die zus tzliche Autorisierung Folgendes zu beachten Achtung Wenn ein Benutzer zwei Rollen mit der gleichen Funktion inne hat und bei einer der Rollen die zus tzliche Autorisierung zugeordnet ist dann gilt das automatisch auch bei der anderen Rolle Ein Sicherheitsbeauftragter mit den erforderlichen
261. iguration Protection lassen sich USB Hardware Key Logger die jeden Tastendruck auf den Endger ten verfolgen und aufzeichnen sperren und PS 2 Hardware Key Logger unbrauchbar machen 6 Benachrichtigungen f r Benutzer Wenn SafeGuard Configuration Protection eine Richtlinie auf einem Client wirksam werden l sst wird der Benutzer durch eine Meldung ber gesperrte Ports und Ger te benachrichtigt 16 2 Schutz durch SafeGuard Configuration Protection SafeGuard Configuration Protection sch tzt Ihre Endpoints wie in den folgenden Abschnitten beschrieben 16 2 1 Port Kontrolle Mit SafeGuard Configuration Protection k nnen Sie die Benutzung bestimmter oder aller Computer Ports innerhalb Ihres Unternehmens nach dem jeweiligen Computer dem angemeldeten Benutzer und oder dem Port Typ zulassen sperren oder einschr nken SafeGuard Configuration Protection kontrolliert USB PCMCIA FireWire Secure Digital Serial Parallel Modem z B Dial Up 3G usw WLAN IrDA und Bluetooth Ports Ein gesperrter Port steht nicht zur Verf gung Wenn der Computer startet oder eine Richtlinie angewendet wird die einen zuvor zugelassenen Port blockiert wird eine entsprechende Meldung angezeigt 160 SafeGuard Enterprise Administrator Hilfe 16 2 2 Ger tekontrolle 161 Neben der Kontrolle von Portzug ngen bietet SafeGuard Configuration Protection eine weitere Detailebene Mit SafeGuard Configuration Protection k nnen Sie festlegen welche
262. importieren So importieren Sie eine Lizenzdatei 1 Sie befinden sich im ge ffneten Management Center im Bereich Benutzer amp Computer 2 Klicken Sie im Navigationsfenster auf der linken Seite auf den Stamm Knoten die Dom ne oder die OU 3 Wechseln Sie im Aktionsbereich auf der rechten Seite in die Registerkarte Lizenzen 4 Klicken Sie auf die Schaltfl che Lizenzdatei importieren Es wird ein Fenster zur Auswahl der Lizenzdatei angezeigt 5 W hlen Sie die zu importierende Lizenzdatei aus und klicken Sie auf ffnen 6 Der Inhalt der neuen Lizenzdatei wird im berblick angezeigt Best tigen Sie dass Sie die Lizenzdatei importieren m chten Die Lizenzdatei wurde in die SafeGuard Enterprise Datenbank importiert Nach dem Import der Lizenzdatei wird bei Modulen f r die Lizenzen erworben wurden der Lizenztyp regul r angegeben Bei Modulen f r die keine Lizenzen erworben wurden und f r die die Evaluierungslizenz Standard Lizenzdatei oder individuelle Demo Lizenzen f r Evaluierungsprozesse genutzt werden wird der Lizenztyp Demo angegeben SafeGuard Enterprise 5 50 Administrator Hilfe 6 6 Hinweis Wenn Sie eine neue Lizenzdatei importieren werden jeweils nur die Module die in dieser Datei enthalten sind aktualisiert Alle brigen Modul Lizenzinformationen werden entsprechend den in der Datenbank enthaltenen Informationen beibehalten Dieses Importverhalten vereinfacht die sp tere Evaluierung von zu
263. in Dialog f r die Benennung der Richtlinie des ausgew hlten Richtlinientyps angezeigt Geben Sie einen Namen und optional eine Beschreibung f r die Richtlinie ein Richtlinien f r den Ger teschutz Wenn Sie eine Richtlinie f r den Ger teschutz anlegen wollen m ssen Sie in diesem Dialog auch das Ziel des Ger teschutzes angeben M gliche Ziele sind Massenspeicher Boot Laufwerke Andere Volumes Wechselmedien Optische Laufwerke F r jedes Ziel muss eine eigene Richtlinie angelegt werden Sie k nnen die einzelnen Richtlinien sp ter z B zu einer Richtliniengruppe mit der Bezeichnung Verschl sselung zusammenfassen Klicken Sie auf OK Die neu angelegte Richtlinie wird im Navigationsfenster unter Richtlinien angezeigt Im Aktionsbereich werden alle Einstellungen f r den gew hlten Richtlinientyp angezeigt 78 SafeGuard Enterprise 5 50 Administrator Hilfe 10 2 Richtlinieneinstellungen bearbeiten Wenn Sie im Navigationsfenster eine Richtlinie ausw hlen k nnen Sie deren Einstellungen im Aktionsbereich bearbeiten Das rote Symbol vor dem Text nicht konfiguriert gibt an dass f r diese Einstellung not configured ein Wert festgelegt werden muss Sie k nnen die Richtlinie erst speichern wenn Sie eine andere Einstellung als nicht konfiguriert ausgew hlt haben 10 2 1 Einstellungen auf Standardwerte setzen In der Symbolleiste stehen folgende Symbole f r Richtlinieneinstellungen zur
264. inistriert werden Mit der rollenbasierten Administration ist es m glich die Verwaltung von SafeGuard Enterprise auf mehrere Benutzer zu verteilen Dabei kann einem Benutzer eine oder mehrere Rollen zugewiesen werden Um die Sicherheit noch zu erh hen kann einer Sicherheitsbeauftragtenrolle die zus tzliche Autorisierung eines Vorgangs zugewiesen werden W hrend der initialen Konfiguration des SafeGuard Management Center wird automatisch ein Administrator h chster Ebene angelegt der Haupt Sicherheitsbeauftragte Master Security Officer MSO Dieser verf gt ber alle Rechte sowie ber ein Zertifikat das nicht abl uft F r andere spezifische Aufgaben z B Helpdesk oder Audit Aufgaben k nnen dann weitere Sicherheitsbeauftragte zugewiesen werden Sicherheitsbeauftragte lassen sich im Navigationsbereich des SafeGuard Management Center gem der Organisationsstruktur Ihres Unternehmens hierarchisch anordnen Diese hierarchische Anordnung gibt jedoch keine Hierarchie in Bezug auf Rechte und Rollen wieder Rollen f r Sicherheitsbeauftragte SafeGuard Enterprise bietet f r die komfortable Verwaltung bereits vordefinierte Rollen mit verschiedenen Funktionen f r Sicherheitsbeauftragte an Dar ber hinaus hat ein Sicherheitsbeauftragter mit den erforderlichen Rechten die M glichkeit aus einer Liste von Aktionen Rechten selbst neue Rollen zu definieren und bestimmten Sicherheitsbeauftragten zuzuweisen Folgende Rollentypen stehen zur V
265. interaktion umfasst Achtung Voraussetzung f r diesen Beispielanwendungsfall ist es dass der Benutzer dazu berechtigt ist lokale Schl ssel zu erzeugen Standardeinstellung in SafeGuard Enterprise SafeGuard Enterprise 5 50 Administrator Hilfe 20 Die Power on Authentication POA SafeGuard Enterprise identifiziert den Benutzer bereits bevor das Betriebssystem startet Hierbei startet vorher ein SafeGuard Enterprise eigener Systemkern der gegen Modifikationen gesch tzt und versteckt auf der Festplatte gespeichert ist Erst wenn sich der Benutzer in der POA korrekt authentisiert hat wird das eigentliche Betriebssystem Windows von der verschl sselten Partition gestartet und der Benutzer sp ter automatisch an Windows angemeldet Analog wird verfahren wenn der Computer aus dem Ruhezustand Hibernation Suspend to Disk wieder eingeschaltet wird rd Anmeldung SOPHOS Benutzername Kennwert aka Dom ne MY_COMPANY r Herunterfahren Die SafeGuard Enterprise Power on Authentication bietet unter anderem folgende Vorteile Grafische Benutzeroberfl che mit Mausunterst tzung und verschiebbaren Fenstern und damit einfache bersichtliche Bedienung Vom Firmenkunden per Richtlinie anpassbares grafisches Layout Hintergrundbild Anmeldebild Willkommensmeldung etc Unterst tzung f r eine Reihe von Smartcard Leseger ten und Smartcards Unterst tzung von Windows Benutzerkonten und Kennw
266. ive Lab s Soundblaster Audio 179 SafeGuard Enterprise Administrator Hilfe Text amp Programmcode OGG VOX FLAC MPEG MPG AVI ASF WMV MOV SWF FLI FLC TXT CSV PRN CPP XML F T90 MAKEFILE MAKEFILE IN PL1 ASM PAS JAVA M4 BCPL CS PL Ogg Vorbis Codec Audio Dialogic Audio Free Loseless Codec Audio MPEG Multimedia MPEG Multimedia Audio Video Interleave Advanced Streaming Format Windows Media Multimedia QuickTime Video Clip Flash Animationsdatei FLIC Animation FLIC Animation Textdatei Formatierter Text durch Kommas getrennt Formatted Text durch Leerzeichen getrennt C Programmcode C C Programmcode C Java Header Datei XML Datei FORTRAN Programmcode FORTRAN Programmcode Kompilierungssteuerungdatei Kompilierungssteuerungdatei PL1 Programmcode Assembler Programmcode PASCAL Programmcode JAVA Programmcode Meta4 Programmcode BCPL Programmcode Visual C NET Programmcode Perl Programmcode 180 SafeGuard Enterprise Administrator Hilfe PM PY PDB BAS VB VBS JS Ausf hrbare EXE Dateien DLL PIF BAT COM OCX CMD CPL SCR VXD SYS CLASS PYC LIB INS OBJ Komprimierte ZIP Archive ARJ RAR GZIP TAR 181 Perl Programmcode Modul Python Programmcode Visual C NET Programmdatenbank BASIC Programmcode Visual Basic Programmcode VBScript Skript JavaScript Source Code Ausf hrbare Datei Dynamic Link Library Windows P
267. k nnen von verschiedenen Computern und f r mehrere Challenge Response Verfahren genutzt werden 1 ffnen Sie das SafeGuard Management Center und klicken Sie auf Schl ssel amp Zertifikate 2 Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients T SafeGuard Management BEMA MS0 auf SGNSRY SafeGuard u ji Datei Bearbeiten Ansicht Gehezu Aktionen Extras Hilfe I A Bes H Schl ssel Filter amp Zertifikate F vrtule ciens Er Sri fies Virtueller Client 1 Pr P Neuer virtuelller Client x Name virtueller Client 2 Abbrechen 3 Klicken Sie in der Symbolleiste auf Virtuellen Client hinzuf gen 4 Geben Sie einen eindeutigen Namen f r den virtuellen Client ein und klicken Sie auf OK Die virtuellen Clients werden anhand der hier eingegebenen Namen in der Datenbank identifiziert 5 Speichern Sie den virtuellen Client in der Datenbank indem Sie in der Symbolleiste auf das Symbol Speichern klicken Der neue virtuelle Client wird im Aktionsbereich angezeigt SafeGuard Enterprise 5 50 Administrator Hilfe 9 3 2 Virtuelle Clients exportieren Nach dem Anlegen des virtuellen Client muss dieser in eine Datei exportiert werden Diese Datei hat immer die Bezeichnung recoverytoken tok und muss an die Benutzer verteilt werden Beim Starten eines Challenge Response Verfahrens ber ein Recovery Tool z B bei einer besch di
268. ken f r Alle Datentr ger gew hlt haben k nnen Sie den Zugang zu einem Datentr ger nach Typ einschr nken bzw zulassen Zum Beispiel Wechselmedien oder CD DVD Die f r die Auswahl verf gbaren Ger tetypen sind in SafeGuard Configuration Protection integriert Sie k nnen folgende Ger tetypen und Optionen w hlen a Wechselmedien Betrifft alle Plug and Play Speicherger te z B USB Sticks Digitalkameras MP3 Player usw b Smart Funktionalit t von Wechselmedien zulassen W hlen Sie die Einstellung Zulassen um die Verwendung von Wechselmedien die Smart Funktionalit t implementieren zuzulassen W hlen Sie die Einstellung Sperren um die Smart Funktionalit t solcher Medien zu sperren c Externe Festplatten d CD DVD Laufwerke e Diskettenger te f Magnetbandger te Wechselmedien externe Festplatten CD DVD Laufwerke und Diskettenlaufwerke k nnen zus tzlich auf Schreibgesch tzt gesetzt werden Verwenden Sie die White List um die Benutzung spezifischer Speichermodelle oder einzelner Datentr ger zuzulassen Eine Beschreibung der unterst tzten Ger tetypen finden Sie unter Unterst tzte Ger tetypen Abschnitt Speicherkontrolle definieren beschreibt die Definition von Optionen SafeGuard Enterprise Administrator Hilfe Speicherkontrolle White List Hier k nnen Sie eine White List f r Speichermodelle und oder eine White List f r einzelne Datentr ger zuweisen 1 White List f r Speichermodelle Die
269. ktion angefragt wurde nicht in seinem Slot 536870957 Das CBI Archiv und oder der Slot konnte keinen Token im Slot erkennen 536870958 Die angefragte Aktion kann nicht durchgef hrt werden da der Token schreibgesch tzt ist 536870959 Der angegebene Benutzer kann nicht angemeldet werden da dieser Benutzername bereits zur Sitzung angemeldet ist 536870960 Der angegebene Benutzer kann nicht angemeldet werden da ein anderer Benutzer bereits zur Sitzung angemeldet ist 536870961 Die gew nschte Aktion kann nicht ausgef hrt werden da der geeignete Benutzer oder ein geeigneter Benutzer nicht angemeldet ist Zum Beispiel kann die Abmeldung von der Sitzung nicht vor der Anmeldung liegen 536870962 Die normale Benutzer PIN ist nicht mit CBllInitPin initialisiert 536870963 Es wurde versucht gleichzeitig mehrere verschiedene Benutzer auf dem Token anzumelden was der Token und oder das Archiv zugelassen haben SafeGuard Enterprise 5 50 Administrator Hilfe ASCI11 User Types definiert 536870965 Ein Objekt mit der angegebenen Kennzeichnung konnte auf dem Token nicht gefunden werden 536870966 Eine Zeit berschreitung ist aufgetreten 536870967 Diese Version der IE ist nicht unterst tzt 536870970 Keine CRL gefunden 536870971 Keine aktive Internetverbindung vorhanden 536870972 Es befindet sich ein Fehler im Zeitwert eines Zertifikates 536870973 Das
270. lds ausw hlen Hinweis Interne Ports z B Speicher BUS wie IDE SCSI ATA and S ATA die zum Anschlie en interner Festplattenlaufwerke sowie PCI und PCI X verwendet werden sind standardm ig zugelassen Hinweis Die Einstellungen f r SecureDigital im Bereich Physikalische Ports sind relevant wenn SecureDigital als Port benutzt wird Wenn SecureDigital ber einen USB Adapter angeschlossen ist wird es als USB Massenspeicher eingestuft Wenn SecureDigital direkt mit dem PC oder Laptop verbunden ist richtet sich die Art und Weise der Ger te Erkennung nach dem PC oder Laptop Modell SafeGuard Enterprise Administrator Hilfe Zulassungseinstellungen f r Hybrid Network Bridging Mit SafeGuard Configuration Protection k nnen Administratoren die gleichzeitige Nutzung verschiedener Netzwerkprotokolle die zu unabsichtlichem oder absichtlichem Hybrid Network Bridging z B WLAN Bridging und 3G Card Bridging f hren kann kontrollieren und verhindern SafeGuard Configuration Protection Clients lassen sich so konfigurieren dass der Zugang zu WLAN Bluetooth Modems oder IrDA Links blockiert ist wenn die Haupt TCP IP Netzwerkschnittstelle mit dem Netzwerk verbunden ist Benutzer k nnen somit die verschiedenen Netzwerkprotokolle nur dann anwenden wenn sie keine Verbindung zum Netzwerk haben Dadurch lassen sich Erzeugung und m glicher Missbrauch einer Hybrid Network Bridge vermeiden Die Zulassungseinstellungen f r Hybrid Network
271. ldung booten und SGN Client ohne Benutzeranmeldung booten zur Verf gung Recovery f r die Anmeldung SafeGuard Enterprise Client m Yom SGN Client angeforderte Aktion SGN Client Start ohne Benutzeranmeldung r Aktion f r Response C Benutzerki rt anzeigen lt Zur ck Abbrechen W hlen Sie die Aktion die der Benutzer ausf hren soll Wenn Sie SGN Client mit Benutzeranmeldung booten als Response Aktion ausgew hlt haben k nnen Sie zus tzlich auch die Option Benutzerkennwort anzeigen w hlen um das Kennwort auf dem Zielcomputer anzeigen zu lassen Klicken Sie auf Weiter Ein Response Code wird generiert Teilen Sie den Response Code dem Benutzer mit Hierzu steht eine Buchstabierhilfe zur Verf gung Sie k nnen den Response Code auch in die Zwischenablage kopieren SafeGuard Enterprise 5 50 Administrator Hilfe Recovery Assistent Recovery f r die Anmeldung SafeGuard Enterprise Client Client Informationen Computerdom ne UTIMACO EDU Computername WS XP DE 01 Benutzer Arbeitsgruppe Lokaler Benutzer des Computers Benutzername Administrator Aktion SGN Client ohne Benutzeranmeldung booten Response zwy14 LAYPF SSTEL I5ELA NR3FZ TEZU4 NBSLJ 9Iuy4 GBELSYV sesy4 BIITGW A3I6YM Buchstabierhilfe In die Zwischenablage kopieren lt Zur ck Weiter gt Der Benutzer kann nun den Response Code eingeben und di
272. le Ger te die Optionen Zulassen oder Sperren w hlen wird dieser Bereich deaktiviert siehe Ger tekontrolle definieren Hinweis Wenn ein Ger t mehreren Gruppen angeh rt und diese Gruppen dieselben Zulassungseinstellungen aufweisen w hlt SafeGuard Configuration Protection die Gruppen willk rlich aus Ger tekontrolle definieren 1 Legen Sie im Bereich Alle Ger te durch Auswahl aus der Dropdownliste fest ob alle Ger te zugelassen eingeschr nkt oder gesperrt sind Hinweis W hlen Sie Zulassen oder Sperren wenn Sie zu diesem Zeitpunkt keine granulare Ger tekontrolle anwenden m chten Sie k nnen diese Optionen auch dann verwenden wenn Sie vorhandene granulare Definitionen vor bergehend au er Kraft setzen m chten 2 Wenn Sie die Optionen Zulassen oder Sperren f r Alle Ger te w hlen m ssen Sie im Bereich Ger tekontrolle keine weiteren Einstellungen mehr vornehmen und Sie k nnen mit Schritt 6 Speicherkontrolle definieren fortfahren 3 Wenn Sie die Option Einschr nken f r Alle Ger te w hlen legen Sie fest ob Hardware Key Logger zugelassen oder gesperrt werden sollen Hinweis Wenn der SafeGuard Configuration Protection Client vermutet dass ein USB Hardware Key Logger an der Tastatur angeschlossen wurde und Hardware Key Logger gesperrt sind wird die Tastatur ebenfalls gesperrt Um die Tastatur zu aktivieren muss diese direkt mit dem Computer verbunden werden SafeGuard Enterprise Administrator Hilfe
273. levanten Computern oder Computergruppen zu SafeGuard Enterprise 5 50 Administrator Hilfe Wenn die automatische Anmeldung auf dem Benutzer Computer erfolgreich durchgef hrt werden konnte wird Windows gestartet Schl gt die automatische Anmeldung auf dem Benutzer Computer fehl so wird der Benutzer an der Power on Authentication aufgefordert die Token PIN einzugeben 18 10 PIN initialisieren ndern und sperren Als Sicherheitsbeauftragter k nnen Sie sowohl die Benutzer PIN als auch die SO PIN ndern bzw die nderung der Benutzer PIN erzwingen Dies wird blicherweise bei der Erstausstellung eines Token notwendig Au erdem k nnen Sie PINs initialisieren d h neu vergeben und sperren F r Benutzer Computer k nnen Sie weitere PIN Optionen ber Richtlinien festlegen Hinweis Beachten Sie bei PIN nderungen dass manche Token Hersteller selbst PIN Regeln festlegen die den PIN Regeln von SafeGuard Enterprise widersprechen k nnen M glicherweise k nnen PINs deshalb nicht wie gew nscht ge ndert werden auch wenn sie den PIN Regeln von SafeGuard Enterprise entsprechen Ber cksichtigen Sie daher auf jeden Fall die PIN Regeln des Token Herstellers Diese werden im Management Center im Bereich Token unter Token Information angezeigt Die Verwaltung der PINs wird im Management Center unter Token durchgef hrt Der Token ist eingesteckt und links im Navigationsfenster markiert 18 10 1 Benutzer PIN initialisieren Vorau
274. liche Schl ssel Recovery Datei auszuw hlen Zur Vereinfachung der Identifizierung tragen die Recovery Dateien den Namen des Computers computername GUID xml 4 Geben Sie den vom Benutzer erhaltenen Challenge Code ein und klicken Sie auf Weiter Der Challenge Code wird gepr ft Wenn der Challenge Code korrekt eingegeben wurde werden die vom Endpoint Computer angeforderte Recovery Aktion sowie die m glichen Recovery Aktionen angezeigt Wenn der Code nicht korrekt eingegeben wurde wird unterhalb des Blocks der den Fehler enth lt der Text Ung ltig angezeigt 5 W hlen Sie die vom Benutzer durchzuf hrende Aktion aus und klicken Sie auf Weiter 6 Es wird ein Response Code erzeugt Teilen Sie den Response Code dem Benutzer mit Hierzu steht eine Buchstabierhilfe zur Verf gung Sie k nnen den Response Code auch in die Zwischenablage kopieren Der Benutzer kann den Response Code eingeben die angeforderte Aktion ausf hren und dann wieder mit dem Computer arbeiten SafeGuard Enterprise 5 50 Administrator Hilfe 24 Systemwiederherstellung 24 1 SafeGuard Enterprise verschl sselt Dateien und Laufwerke transparent Dar ber hinaus k nnen auch Bootlaufwerke verschl sselt werden so dass Entschl sselungsfunktionalit ten wie Code Verschl sselungsalgorithmen und Verschl sselungschl ssel sehr fr h in der Bootphase verf gbar sein m ssen Folglich kann auf verschl sselte Informationen nicht zugegriffen werden wenn entschei
275. linie vom Typ Ger teschutz fest Volume basierende Verschl sselung Mit der volume basierenden Verschl sselung werden alle Daten auf einem Volume einschlie lich Boot Dateien Pagefiles Hibernation Files tempor re Dateien Verzeichnisinformationen usw verschl sselt Benutzer m ssen sich in ihrer Arbeitsweise nicht anpassen oder auf Sicherheit achten Hinweis Wenn f r ein Volume oder einen Volume Typ eine Verschl sselungsrichtlinie existiert und die Verschl sselung des Volumes schl gt fehl darf der Benutzer nicht auf das Volume zugreifen Um volume basierende Verschl sselung auf Endpoint Computer anzuwenden erstellen Sie eine Richtlinie vom Typ Ger teschutz und w hlen Sie bei Verschl sselungsmodus f r Medien die Einstellung Volume basierend Schnelle Initialverschl sselung SafeGuard Enterprise bietet die schnelle Initialverschl sselung als Spezialmodus f r die volume basierende Verschl sselung Dieser Modus reduziert den Zeitraum der f r die initiale Verschl sselung oder die endg ltige Entschl sselung von Volumes auf Endpoint Computern ben tigt wird Dies wird dadurch erreicht dass nur auf den Festplattenspeicherplatz zugegriffen wird der tats chlich in Gebrauch ist F r die schnelle Initialverschl sselung gelten folgende Voraussetzungen m Die schnelle Initialverschl sselung funktioniert nur auf NTFS formatierten Volumes m Bei NTFS formatierten Volumes mit einer Cluster Gr e von 64 KB kann die
276. llung wird beim Setzen der Option Benutzername als Passphrase verboten wirksam Beispiel Der Benutzername f r einen Anwender lautet EMaier Steht Gro Kleinschreibungbeachten aufJA und Benutzername als Passphrase verboten auf NEIN darf Benutzer EMaier keine Variante seines Benutzernamens z B emaier oder eMaiEr etc als Passphrase verwenden Tastaturzeile verboten 137 Tastaturzeilen sind 123 oder qwe Maximal zwei auf der Tastatur nebeneinander liegende Zeichen sind erlaubt Tastaturzeilen beziehen sich nur auf den alphanumerischen Tastaturteil SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinieneinstellung Erkl rung Tastaturspalte verboten Als Tastaturspalten werden eingetippte Zeichenreihen wie yaql xsw2 oder 3edc nicht aber yse4 xdr5 oder cft6 bezeichnet Erlaubt sind maximal zwei in einer Tastaturspalte befindliche Zeichen Verbieten Sie Tastaturspalten werden derartige Zeichenkombinationen als Passphrase abgelehnt Tastaturspalten beziehen sich nur auf den alphanumerischen Tastaturteil Drei oder mehr Verboten werden mit Aktivierung dieser Option aufeinanderfolgende Zeichen Zeichenketten verboten m dieim ASCII Code aufeinander folgen sowohl in auf als auch in absteigender Reihenfolge abc cba lt etc m die aus drei oder mehr identischen Zeichen aaa oder 111 bestehen
277. lt tee El aum Hg AUTHCHRYPTOTOKEN g G nther HHZ AUTHMANUELL 3 AUTHNONCRYPTOTOKEN mi Computer1 Z Manuelle Gruppe HH Builtin GHA CertUser DO NOT DELETE 32 Computers HHZ Development HHZ Domain Controllers Hg FBE User E c Christian a C Doris amp Christian amp Doris dB FBE User 3 ForeignSecurityPrincipals nn Globale_Gruppe 89 sStruktur des ADs wie rechts sRichtlinie Pl wird der OU Auth User zugewiesen und wirkt nur f r die OU auth User und deren Sub OUs mRichtlinie P1 ist f r Authenticated Users und f r Authenticated Computer NICHT aktiviert sRichtlinie P1 ist nur f r die Globale Gruppe Globale_Gruppe aktiviert nur der Benutzer G nther ist Mitglied dieser Gruppe Die Globale_Gruppe selber ist direkt unter dem Dom nenknoten SafeGuard Enterprise 5 50 Administrator Hilfe Die Richtlinie P1 wirkt f r den Benutzer G nter da er eine g ltige indirekte Zuweisung der Richtlinie von der OU Auth User bekommen hat Dieses Beispiel veranschaulicht dass die Aktivierung einer Richtlinie an einer beliebigen Stelle im Active Directory gemacht werden kann Wichtig ist hier nur dass eine g ltige Zuweisung existiert 10 8 6 Benutzer Gruppeneinstellungen Richtlinieneinstellungen f r Benutzer im SafeGuard Management Center schwarz dargestellte Einstellungen ziehen st rker als Richtlinieneinstellungen f r Computer im SafeGuard Management Center blau dargestellte Einstellungen We
278. lten Sie den PC ein und warten Sie bis der PC an der Power on Authentication stoppt 3 Geben Sie Ihre Token PIN ein Die Anmeldung an SafeGuard Enterprise wird ausgef hrt Anmeldemodus an der Power on Authentication F r Token gibt es zwei verschiedene Anmeldeformen Eine Kombination der beiden Anmeldeformen ist m glich m Anmeldung mit Benutzer ID Kennwort m Anmeldung mit Token Wenn Sie sich mit einem Token oder einer Smartcard anmelden k nnen Sie zwischen einem Token Anmeldemodus mit nicht kryptographischem Token oder mit Kerberos Unterst tzung kryptographisch w hlen Bei Kerberos Unterst tzung ist kein Challenge Response Verfahren m glich da keine Anmeldeinformationen in der POA vorliegen Den Modus legt der Sicherheitsbeauftragte f r Benutzer und Computer ber eine Richtlinie fest 210 SafeGuard Enterprise 5 50 Administrator Hilfe 18 9 Automatische Anmeldung an der POA mit Default Token PIN aktivieren Eine ber eine Richtlinie verteilte Default Token PIN erm glicht die automatische Benutzeranmeldung an der Power on Authentication Somit muss nicht jeder einzelne Token separat ausgestellt werden und die Benutzer k nnen sich ohne Benutzerinteraktion automatisch an der Power on Authentication anmelden Wenn bei der Anmeldung ein Token benutzt wird und dem Computer eine Default PIN zugeordnet ist wird eine durchgehende Anmeldung an der Power on Authentication durchgef hrt Der Benutzer muss hier keine
279. m Lesen Schreiben der tempor ren Datei 352321644 Zugriff auf unverschl sselte Dateien ist nicht erlaubt 352321645 Key Storage Area KSA voll 352321647 Datei ist mit NTFS komprimiert und kann daher nicht verschl sselt werden 352321648 Datei ist mit EFS verschl sselt 352321649 Ung ltiger Datei Besitzer 352321650 Ung ltiger Dateiverschl sselungsmodus 402653185 Das Token enth lt keine Berechtigungen 402653186 Berechtigungen k nnen nicht auf das Token geschrieben werden 402653187 TDF Tag konnte nicht angelegt werden 402653188 TDF Tag enth lt die angeforderten Daten nicht 402653191 Seriennummer konnte nicht gelesen werden 402653192 Verschl sselung des Tokens ist gescheitert 402653193 Entschl sselung des Tokens ist gescheitert 536870913 Die Schl sseldatei enth lt eine ung ltige Daten 536870916 Das Format der Schl sseldatei ist ung ltig 536870917 Keine Daten verf gbar 536870918 Der Import des Zertifikates ist fehlgeschlagen da das Zertifikat bereits exsitiert SafeGuard Enterprise 5 50 Administrator Hilfe 536870921 Die ASN 1 Verschl sselung ist fehlerhaft 536870922 Fehlerhafte Datenl nge 536870923 Fehlerhafte Signatur 536870924 Fehlerhafter Verschl sselungsmechanismus angewandt 536870925 Diese Version wird nicht unterst tzt 536870926 Padding Fehler 536870927 Ung ltige Flags 536870928 Das Zertifikat ist abgelaufen und nicht l nger g ltig 536870929 Unkorrekte
280. mationen die unberechtigte Dritte durch Mitverfolgen dieses Vorgangs erhalten k nnten lassen sich weder zu einem sp teren Zeitpunkt noch auf anderen Ger ten verwenden m F r den Computer auf den zugegriffen wird ist keine Online Netzwerkverbindung erforderlich Der Response Code Assistent f r den Helpdesk l uft auch auf einem Standalone Computer ohne Verbindung zum SafeGuard Enterprise Server Eine komplexe Infrastruktur ist nicht erforderlich m Der Benutzer kann schnell wieder mit dem Computer arbeiten Es gehen keine verschl sselten Daten verloren nur weil der Benutzer das Kennwort vergessen hat 23 2 Typische Situationen in denen Hilfe beim Helpdesk angefordert wird m Ein Benutzer hat sein Kennwort f r die Anmeldung vergessen Der Computer ist gesperrt m Der Local Cache der Power on Authentication ist teilweise besch digt m Ein Benutzer ist krank oder im Urlaub und ein Kollege muss auf die Daten auf dem Computer zugreifen m Ein Benutzer m chte auf ein Volume zugreifen das mit einem Schl ssel verschl sselt ist der auf dem Computer nicht verf gbar ist SafeGuard Enterprise bietet f r diese typischen Szenarien unterschiedliche Recovery Workflows die dem Benutzer wieder den Zugang zu seinem Computer erm glichen 246 SafeGuard Enterprise 5 50 Administrator Hilfe 23 3 Challenge Response Workflow 247 Das Challenge Response Verfahren basiert auf zwei Komponenten Endpoint Computer auf dem der Challen
281. matisch mitgegeben 22 6 Fragenthemen l schen Um ein Fragenthema zu l schen klicken Sie mit der rechten Maustaste auf das Fragenthema unter Local Self Help Fragen im Richtlinien Navigationsbereich und w hlen Sie L schen Hinweis Wenn Sie ein Fragenthema l schen nachdem die Benutzer bereits Fragen aus diesem Thema zur Aktivierung von Local Self Help aufihren Computern beantwortet haben werden die Antworten der Benutzer ung ltig da die Fragen nicht mehr vorhanden sind 244 SafeGuard Enterprise 5 50 Administrator Hilfe 22 7 Willkommenstexte registrieren 245 Sie k nnen im Richtlinien Navigationsbereich des SafeGuard Management Center einen Willkommenstext registrieren der im ersten Dialog des Local Self Help Assistenten angezeigt werden soll Die Textdateien mit den gew nschten Informationen m ssen erstellt werden bevor sie im SafeGuard Management Center registriert werden k nnen Die maximale Dateigr e f r Informationstexte betr gt 50 KB SafeGuard Enterprise verwendet nur Unicode UTF 16 kodierte Texte Wenn Sie die Textdateien nicht in diesem Format erstellen werden Sie bei der Registrierung automatisch in dieses Format konvertiert Wenn eine Konvertierung durchgef hrt wird werden Sie durch eine Meldung dar ber informiert So registrieren Sie Informationstexte 1 Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Informationstext und w hlen Sie Neu gt Text 2 Geben Sie u
282. me private Inhalte wie private Bilder usw Mit dieser Funktion k nnen Sie Richtlinien definieren die spezifische Dateitypen auf den Kan len nach innen und nach au en zulassen sperren Die SafeGuard Configuration Protection Dateikontrolle umfasst folgende Funktionalit t m Dateitypkontrolle Verfahren zur Kontrolle der bertragung von Dateien nach deren Typ Dateikontrolle ist auf Wechselmedien externe Festplatten und CDs DVDs anwendbar Dateikontrolle Einstellungen Dieser Abschnitt enth lt folgende Bereiche 1 Speicherarten In diesem Bereich k nnen Sie die Dateitypkontrolle auf Speicherarten anwenden oder Speicherarten von der Dateitypkontrolle ausnehmen Die f r die Auswahl zur Verf gung stehenden Speicherarten sind in SafeGuard Configuration Protection integriert und umfassen folgende Arten a Von Wechselmedien lesen b Auf Wechselmedien schreiben c Von externen Festplatten lesen d Auf externe Festplatten schreiben e Von CD DVD Medien lesen 2 Wenn Sie f r mindestens eine der Speicherarten Anwenden oder Ausnehmen w hlen wird der Rest des Abschnitts Dateitypen aktiviert F r jeden Dateityp k nnen Sie die folgenden Berechtigungen einstellen a Zulassen b Schreibgesch tzt c Nur schreiben d Sperren Die Berechtigungen gelten f r alle Speicherarten auf die Sie die Dateikontrolle im Abschnitt Speicherarten angewendet haben 176 SafeGuard Enterprise Administrator Hilfe Die folgende Tab
283. meldung am Endpoint Computer der SafeGuard Enterprise Autologon Was passiert 1 Ein Autouser wird angemeldet 2 Der Computer registriert sich automatisch am SafeGuard Enterprise Server 3 Der Maschinenschl ssel wird an den SafeGuard Enterprise Server geschickt und in der SafeGuard Enterprise Datenbank abgelegt 4 Maschinenrichtlinien werden an den Endpoint Computer geschickt SafeGuard Enterprise 5 50 Administrator Hilfe 20 1 2 Windows Anmeldung Der Windows Anmeldedialog erscheint Der Benutzer meldet sich an Was passiert 1 Benutzer ID und das verschl sselte Kennwort werden an den Server geschickt 2 Benutzerrichtlinien Zertifikate und Schl ssel werden erzeugt und an den Endpoint Computer geschickt 3 Die POA wird aktiviert 20 1 3 POA Anmeldung Nach dem Neustart des Endpoint Computers erscheint die POA Was passiert 1 Zertifikate und Schl ssel f r den Benutzer sind vorhanden und er kann sich in der POA anmelden 2 Alle Daten sind sicher mit dem ffentlichen RSA Schl ssel des Benutzers verschl sselt 3 Alle weiteren Benutzer die sich anmelden wollen m ssen erst in die POA importiert werden 20 1 4 Anmeldeverz gerung Aufeinem durch SafeGuard Enterprise gesch tzten Computer tritt eine Anmeldeverz gerung in Kraft wenn ein Benutzer w hrend der Anmeldung an Windows oder an die Power on Authentication falsche Anmeldeinformationen eingibt Mit jedem fehlgeschlagenen Anmeldeversuch verl ngert si
284. n Im Rahmen eines SafeGuard Enterprise Recovery Vorgangs muss der Benutzer u U sein Windows Kennwort ndern Die folgende Tabelle zeigt wann es erforderlich ist das Kennwort zu ndern Die ersten vier Spalten zeigen spezifische Bedingungen die w hrend des Challenge Response Verfahrens auftreten k nnen Die letzte Spalte gibt basierend auf den Bedingungen aus den ersten vier Spalten an ob der Benutzer sein Kennwort ndern muss Bedingung C R Bedingung C R Bedingung Bedingung Ergebnis Benutzer mit Benutzer mit Benutzer Dom nen Option zur muss sein anmeldung und anmeldung Controller Kennwortanzeige Windows Anzeige des verf gbar vom Benutzer Kennwort ndern Kennworts abgelehnt Ja Ja Ja 23 5 Recovery Assistenten starten Damit Sie in der Lage sind ein Recovery Verfahren auszuf hren stellen Sie sicher dass sie ber die erforderlichen Rechte und Berechtigungen verf gen 1 Melden Sie sich am SafeGuard Management Center an 2 Klicken Sie auf Extras gt Recovery in der Men leiste Der SafeGuard Recovery Assistent wird gestartet Sie k nnen den angeforderten Recovery Typ ausw hlen 248 SafeGuard Enterprise 5 50 Administrator Hilfe 23 6 Recovery Typen 249 W hlen Sie den Recovery Typ den Sie verwenden m chten Folgende Recovery Typen stehen zur Verf gung m Challenge Response f r SafeGuard Enterprise Clients Managed Challenge Response f r zentral durch das SafeGuard Mana
285. n Eine Zusammenfassung der Aktionen aller Rollen die dem Sicherheitsbeauftragten zugewiesen sind wird angezeigt Die Baumstrukturansicht zeigt welche Aktionen erforderlich sind damit bestimmte andere Aktionen durchgef hrt werden k nnen Dar ber hinaus k nnen die zugewiesenen Rollen angezeigt werden 1 W hlen Sie unter Aktionen eine Aktion um alle zugewiesenen Rollen anzeigen zu lassen die diese Aktion enthalten 2 Doppelklicken Sie auf einer Rolle um den Dialog Eigenschaften zu schlie en und danach die Eigenschaften der Rolle anzeigen zu lassen Rolleneigenschaften anzeigen Die allgemeinen Informationen sowie die nderungsinformationen f r die Rolle werden angezeigt 1 W hlen Sie unter Eigenschaften die Registerkarte Zuweisung um die Sicherheitsbeauftragten anzeigen zu lassen die dieser Rolle zugeordnet sind Rollenzuordnung anzeigen Doppelklicken Sie unter Zuweisung auf einem Sicherheitsbeauftragten um den Dialog Eigenschaften zu schlie en und danach die allgemeinen Daten und Rollen des Sicherheitsbeauftragten anzeigen zu lassen SafeGuard Enterprise 5 50 Administrator Hilfe 7 5 Rolle ndern F r das ndern von Rollen gibt es folgende M glichkeiten m Sie k nnen nur die Einstellungen f r die zus tzliche Autorisierung ndern m Sie k nnen alle Eigenschaften der Rolle ndern Das Symbol neben den Rollen zeigt welche Aktion m glich ist Beschreibung 4 Die Rolle kann ge ndert wer
286. n ausf hren Hier wird der Name des Beauftragten angegeben wie er in den von SafeGuard Enterprise erzeugten Zertifikaten unter cn eingetragen wird Unter diesem Namen wird er auch im Navigationsfenster des Management Centers angezeigt Dieser Name muss eindeutig sein Maximalwert 256 Zeichen Kurzname SafeGuard Enterprise 5 50 Administrator Hilfe Eingabefeld Kontrollk stchen Beschreibung Beschreibung Optional Maximalwert 256 Zeichen G ltig ab bis Mobiltelefon Optional Maximalwert 128 Zeichen E Mail Optional Maximalwert 256 Zeichen Hier wird angegeben ab und bis wann Datum sich der Beauftragte am Management Center anmelden darf Token Anmeldung Die Anmeldung kann auf folgende Art erfolgen Ohne Token Der Sicherheitsbeauftragte darf sich nicht mit einem Token anmelden Er muss sich ber die Anmeldeinformationen Benutzername Kennwort anmelden Optional Die Anmeldung kann mit Token oder mit Anmeldeinformationen erfolgen Der Sicherheitsbeauftragte kann w hlen Zwingend erforderlich Die Verwendung eines Token zur Anmeldung ist zwingend vorgeschrieben Dazu muss sich der zum Zertifikat des Sicherheitsbeauftragten geh rende private Schl ssel auf dem Token befinden 50 SafeGuard Enterprise 5 50 Administrator Hilfe Eingabefeld Kontrollk stchen Zertifikat Zertifikat Beschreibung Zur Anmeldung an
287. n Kennwort und Response Code SafeGuard Enterprise bernimmt als Standard das Tastaturlayout in die POA das zum Zeitpunkt der Installation in den Regions und Sprachoptionen von Windows gesetzt ist Ist unter Windows Deutsch als Tastaturlayout gesetzt wird in der POA das deutsche Tastaturlayout verwendet Die Sprache des verwendeten Tastaturlayouts wird in der POA angezeigt z B EN f r Englisch Neben dem Standard Tastaturlayout kann das US Tastaturlayout Englisch gew hlt werden Es gibt bestimmte Ausnahmef lle m Das Tastaturlayout wird zwar unterst tzt aufgrund fehlender Schriften z B bei Bulgarisch werden im Feld Benutzername aber nur Sonderzeichen angezeigt m Es ist kein spezielles Tastaturlayout verf gbar z B Dominikanische Republik In solchen F llen greift die POA auf das Original Tastaturlayout zur ck F r die Dominikanische Republik ist dies Spanisch Hinweis Alle nicht unterst tzten Tastaturlayouts verwenden als Standard das US Tastaturlayout Das bedeutet dass auch nur Zeichen erkannt und eingegeben werden k nnen die im US Tastaturlayout unterst tzt werden Benutzer k nnen sich demnach nur an der POA anmelden wenn ihre Benutzernamen und Kennw rter sich aus Zeichen zusammensetzen die vom US Tastaturlayout oder dem entsprechenden Original Layout unterst tzt werden 20 3 4 1 Virtuelle Tastatur SafeGuard Enterprise bietet die M glichkeit in der POA eine virtuelle Tastatur anzeig
288. n 5 8 5 30 0 99 5 30 0 90 2018 demo amp Data Exchange 5 8 5 30 0 99 5 30 0 90 2018 demo Lizensierte Token AET SafeSign Identity Client Charismathics Smart Security Interface Siemens HiPath Security Card API Aladdin eToken PKI Client RSA Authentication Client ActivIdentity ActivClient a sign Client A Richtlinien z M glicherweise amp Schl ssel amp Zertifikate wurde das Lizenzlimit erreicht Fr m wird eine Version benutzt die nicht durch die Lizenz abgedeckt wird oder oken i die Lizenz ist abgelaufen amp Sicherheitsbeauftragte Berichte Lizenzdatei laden Lizenzstatus aktualisieren LEJ Auch hier informiert Sie eine Warnungsmeldung dar ber dass die Lizenz ung ltig ist ber die angezeigten detaillierten Informationen zur Lizenzdatei l sst sich ermitteln f r welches Modul die Anzahl an verf gbaren Lizenzen berschritten wurde Durch Verl ngerung Erneuerung oder Erweiterung der Lizenz l sst sich dieser Lizenzstatus wieder aufheben siehe Ung ltige Lizenz Fehler auf Seite 36 SafeGuard Enterprise 5 50 Administrator Hilfe 6 6 2 Ung ltige Lizenz Fehler Wird der in der Lizenz festgelegte Toleranzwert f r die Anzahl an Lizenzen oder die G ltigkeitsdauer berschritten so zeigt das SafeGuard Management Center eine Fehlermeldung an Im SafeGuard Management Center wird die bertragung von Richtlinien auf die Benutzer Computer
289. n Inhalt im Aktionsbereich angezeigt Das Textelement kann jetzt beim Erstellen von Richtlinien ausgew hlt werden Sie k nnen weitere Textelemente registrieren Alle registrierten Textelemente werden als Unterknoten angezeigt Hinweis Mit der Schaltfl che Text ndern k nnen Sie weiteren Text zum bestehenden Text hinzuf gen Es wird ein Dialog ge ffnet in dem eine weitere Textdatei ausgew hlt werden kann Der in dieser Datei enthaltene Text wird am Ende des bestehenden Texts eingef gt 20 3 3 Sprache der POA Dialogtexte 233 Alle Texte in der POA werden nach der Installation der SafeGuard Enterprise Verschl sselungs Software mit den Standardeinstellungen in der Sprache angezeigt die bei der Installation von SafeGuard Enterprise in den Regions und Sprachoptionen von Windows als Standardsprache am Endpoint Computer gesetzt ist Nach der Installation kann die Sprache in der POA nur ber eine im SafeGuard Management Center angelegte Richtlinie ge ndert werden Das ndern der Standardsprache unter Windows bewirkt keine nderung der Sprache in der POA Die Sprache in der POA wird ber eine Richtlinie vom Typ Allgemeine Einstellungen Option Sprache am Client festgelegt SafeGuard Enterprise 5 50 Administrator Hilfe 20 3 4 Tastaturlayout Beinahe jedes Land besitzt ein eigenes Tastaturlayout d h die Tastenbelegung ist unterschiedlich Bemerkbar macht sich das Tastaturlayout in der POA bei der Eingabe von Benutzername
290. n Mindestanzahl an Fragen k nnen die Benutzer zwischen vorgegebenen und eigenen Fragen w hlen oder eine Kombination aus beiden verwenden SafeGuard Enterprise 5 50 Administrator Hilfe m Sie berechtigen die Benutzer dazu eigene Fragen zu definieren und geben keine vordefinierten Fragen vor Die Benutzer aktivieren Local Self Help durch Definition und Beantwortung eigener Fragen Um die Benutzer zur Definition eigener Fragen zu berechtigen w hlen Sie im Feld Benutzer d rfen eigene Fragen festlegen die Einstellung Ja 22 2 Fragen definieren Voraussetzung daf r dass Local Self Help auf dem Endpoint Computer verwendet werden kann ist die Hinterlegung von mindestens zehn beantworteten Fragen Um sich ber Local Self Help an der Power on Authentication anzumelden muss der Benutzer f nf Fragen die per Zufallsprinzip aus diesen zehn Fragen ausgew hlt werden korrekt beantworten Wenn der Benutzer nicht dazu berechtigt ist eigene Fragen zu definieren m ssen Sie mindestens zehn vordefinierte Fragen mit der Richtlinie an den Endpoint Computer f r die Aktivierung von Local Self Help weitergeben F r die Definition und Bearbeitung von Local Self Help Fragen ben tigen Sie als Sicherheitsbeauftragter die Berechtigung Local Self Help Fragen modifizieren 22 2 1 Vorlage verwenden F r Local Self Help liefern wir Ihnen ein vordefiniertes Fragenthema Dieses Fragenthema steht standardm ig in den Sprachen Deutsch und Englisch im Ric
291. n Seite die gew nschten Verzeichnisobjekte aus SafeGuard Enterprise 5 50 Administrator Hilfe 3 Klicken Sie im Aktionsbereich auf der rechten Seite auf die Registerkarte Zugriff 4 Um die Rechte f r die ausgew hlten Objekte zuzuweisen ziehen Sie den gew nschten Sicherheitsbeauftragten von der u ersten rechten Seite per Drag amp Drop in die Zugriff Tabelle Um die Zuweisung r ckg ngig zu machen ziehen Sie den Sicherheitsbeauftragten wieder zur ck in die Sicherheitsbeauftragte Tabelle 5 Klicken Sie auf das Speichern Symbol in der Symbolleiste um Ihre nderungen in der Datenbank zu speichern Die ausgew hlten Objekte stehen dem ausgew hlten Sicherheitsbeauftragten zur Verf gung 7 11 Benutzer und Sicherheitsbeauftragte bef rdern Sie haben folgende M glichkeiten m Sie k nnen einen Benutzer im Bereich Benutzer amp Computer zum Sicherheitsbeauftragten machen m Sie k nnen einen Sicherheitsbeauftragten im Bereich Sicherheitsbeauftragte zu einem Haupt Sicherheitsbeauftragten machen 7 11 1 Voraussetzungen f r die Ernennung eines Benutzers zum Sicherheitsbeauftragten Ein Sicherheitsbeauftragter mit den erforderlichen Rechten kann Benutzer zu Sicherheitsbeauftragten machen und ihnen Rollen zuweisen Auf diese Weise ernannte Sicherheitsbeauftragte k nnen sich mit Ihren Windows Anmeldeinformationen oder ihrer Token Smartcard PIN an das SafeGuard Management Center anmelden Sie k nnen genauso wie andere
292. n Sie im Aktionsbereich auf der rechten Seite in die Registerkarte Bestand 4 W hlen Sie im Bereich Filter die gew nschten Filter f r die Bestandsanzeige siehe Bestandinformationen filtern auf Seite 280 Hinweis Wenn Sie einen einzelnen Computer w hlen stehen die Bestandinformationen direkt nach dem Wechsel in die Registerkarte Bestand zur Verf gung Der Bereich Filter ist hier nicht verf gbar 278 SafeGuard Enterprise 5 50 Administrator Hilfe 279 5 Klicken Sie im Bereich Filter auf das Lupensymbol Die Bestand und Statusinformationen werden in einer bersichtstabelle f r alle Maschinen des ausgew hlten Containers angezeigt Dar ber hinaus stehen f r die einzelnen Maschinen die Registerkarten Laufwerke Benutzer und Merkmale zur Verf gung Y SafeGuard Management Center MSO auf SGNSRY SafeGuard En lol xi Datei Bearbeiten Ansicht Gehezu Aktionen Extras Hilfe Gehezu f Werschieben B Al EI Benutzer amp Computer I 2 stanm Filter ist aktiv uthentisierte Benutzer Schl ssel Richtlinien Bestand Synchronisation Lizenzen I Authentisierte Computer Er 9 Automatisch registriert SHO ur maco EDu Somputername Ps 99 Automatisch registriert X Einschlie lich Sub Container Letzte nderung anzeigen 5 8 Board Group 8 BoardMembers F 402 Bulltin je HD Computers Computern
293. n Standalone Computern neeseeee 103 Sicherheitssichtimien sn 110 SafeGuard Configuration Protection ueneesesessesenessenonnenonnennnonnnnonnenonnennnnnnnnonnenonnenonnnnnnonnnnonnnnonnnnnn 157 Benutzer Computer Zuordnung uesesessssesssenonnenonnnnnnonnnnonnenonnnnnnonnenonnnnnnennnnonnenonnnnnnennnonenonnannnn 193 Token und Smartcards san nn eine ren 198 19 20 21 22 23 24 25 26 27 28 29 30 31 32 SafeGuard Data Exchange rn n nnessiesnnetstebsssintnsteisteintntesrengiadeheneindn ntehnehnrahneenentintnheheissehbentenrne 217 Die Power on Authentication POA uansesseeeenseeeneeennnnennnnennnnennnennnnennnnennnnnnennnnnnnnennnnennnnensnnnnnnnnnnnn 226 Recovery Optioner eiiiai a a a a i aa iges 238 Recovery ber Local Self Held een een A EE 240 Recovery ber Challenge Response s essssessesesresrssesresresesresesrestestssesteneseentsnentereseenteneseentseeresnesreresee 246 Systemwiederherstellung s ssesssseeeessssseesesesssseresesseseresestssssesesttesesesesessestreneteseneseseesesenentseeseseneseeeese 272 Bestand und Statusinformationen A En 278 BER lea ie ne ee ee ee engel rieeken 286 SafeGuard Enterprise und BitLocker Laufwerkverschl sselung esseeneessseenenennnennnn 302 SafeGuard Enterprise und BitLocker To GO u 22u2u2222022nsonnnnnnennnnonnennnnnnnnonnenonnennnonnnnonnnnonnnnnnann 308 F r Berichte ausw hlbare Ereignisse uunssessse
294. n Umbenennen der Gruppe fehlgeschlagen Administration L schen der Gruppe fehlgeschlagen Administration Mitglieder der Gruppe hinzugef gt 312 SafeGuard Enterprise 5 50 Administrator Hilfe 313 Kategorie Ereignis ID Beschreibung Administration Mitglieder aus Gruppe entfernt Administration Hinzuf gen der Mitglieder zur Gruppe fehlgeschlagen Administration Entfernen der Mitglieder aus Gruppe fehlgeschlagen Administration Gruppe von OU nach OU verschoben Administration Verschieben der Gruppe von OU nach OU fehlgeschlagen Administration Objekte der Gruppe hinzugef gt Administration Objekte aus Gruppe entfernt Administration Hinzuf gen der Objekte zur Gruppe fehlgeschlagen Administration Hinzuf gen der Objekte aus Gruppe fehlgeschlagen Administration Schl ssel erzeugt Algorithmus Administration Schl ssel zugeordnet Administration Schl sselzuordnung aufgehoben Administration Erzeugen des Schl ssels fehlgeschlagen Administration Zuordnung des Schl ssels fehlgeschlagen Administration Entfernen der Zuordnung des Schl ssels fehlgeschlagen Administration Zertifikat erzeugt Administration Zertifikat importiert Administration Zertifikat gel scht Administration Zertifikat Benutzer zugeordnet Administration Zertifikatszuordnung zu Benutzer aufgehoben Administration Erzeugen des Zertifikats fehlgeschlagen Administration Importieren de
295. n anzuzeigenden Text ein 3 W hlen Sie ber die Schaltfl che die zuvor erstellte Textdatei aus Wenn eine Konvertierung notwendig ist wird eine entsprechende Meldung angezeigt 4 Klicken Sie auf OK Das neue Textelement wird als Unterknoten des Eintrags Informationstext im Richtlinien Navigationsbereich angezeigt Ist ein Textelement markiert wird sein Inhalt im Aktionsbereich angezeigt Das Textelement kann jetzt beim Erstellen von Richtlinien ausgew hlt werden Um weitere Textelemente zu registrieren gehen Sie wie beschrieben vor Alle registrierten Textelemente werden als Unterknoten angezeigt Hinweis Mit der Schaltfl che Text ndern k nnen Sie weiteren Text zum bestehenden Text hinzuf gen Es wird ein Dialog ge ffnet in dem eine weitere Textdatei ausgew hlt werden kann Der in dieser Datei enthaltene Text wird am Ende des bestehenden Texts eingef gt 126 SafeGuard Enterprise 5 50 Administrator Hilfe 15 4 Syntaxregeln f r PINs 127 PINs k nnen sowohl Ziffern Buchstaben als auch Sonderzeichen wie etc enthalten Verwenden Sie bei der Vergabe einer neuen PIN jedoch keine Zeichen mit der Kombination ALT lt Zeichen gt da dieser Eingabemodus an der Power on Authentication nicht zur Verf gung steht Wie PINs mit der sich Benutzer am System anmelden beschaffen sein m ssen wird in Richtlinien vom Typ PIN eingestellt Achtung Wenn im SafeGuard Enterprise Management Center Regeln f r PIN
296. n aus Sicht von SafeGuard Enterprise gleich behandelt Deshalb werden im Produkt und im Handbuch die Begriffe Token und Smartcard gleichgesetzt Token werden unterst tzt m in der Power on Authentication m auf Betriebssystemebene m zur Anmeldung am Management Center Wenn ein Token f r einen Benutzer ausgestellt wird werden Daten wie Hersteller Typ Seriennummer Anmeldedaten und Zertifikate in der SafeGuard Enterprise Datenbank hinterlegt Token werden hierbei anhand der Seriennummer identifiziert und sind dann in SafeGuard Enterprise bekannt Dies bietet wichtige Vorteile m Es ist sichtbar welche Token im Umlauf sind und welchen Benutzern sie zugeordnet sind m Es ist klar erkennbar wann die Token ausgestellt wurden m Wenn Token verlorengegangen sind kann der Sicherheitsbeauftragte sie identifizieren und f r die Authentisierung sperren Damit kann Datenmissbrauch verhindert werden m Trotzdem kann der Sicherheitsbeauftragte ber Challenge Response die Anmeldung ohne Token zeitweilig erlauben z B wenn ein Benutzer seine PIN vergessen hat 198 SafeGuard Enterprise 5 50 Administrator Hilfe 18 1 Smartcards Um eine Smartcard an SafeGuard Enterprise benutzen zu k nnen wird au er der Smartcard ein Kartenleser sowie auf PC Seite ein Kartentreiber ben tigt Au erdem setzt die Kommunikation der Smartcards und Kartenleser mit SafeGuard Enterprise bestimmte Middleware in Form eines PKCS 11 Moduls voraus 18 1 1
297. n der Datenbank gel scht werden und Sie diese nicht mehr verwenden m chten sollten Sie diese Zertifikate manuell von allen Administrator PCs im lokalen Speicher entfernen m SafeGuard Enterprise kann in diesem Fall nur dann mit abgelaufenen Zertifikaten kommunizieren wenn sich alte und neue Schl ssel auf derselben Karte befinden m Die Kombination aus CA Zertifikaten und CRL Certificate Revocation List Zertifikaten auf einer Smartcard muss bereinstimmen Andernfalls k nnen sich die Benutzer nicht an den entsprechenden Computern anmelden Bitte berpr fen Sie ob die Kombination korrekt ist SafeGuard Enterprise f hrt diese berpr fung nicht durch m Die Anmeldezertifikate f r Sicherheitsbeauftragte m ssen sich in MY befinden m CA Zertifikate k nnen nicht von einem Token entnommen und in der Datenbank oder im Zertifikatsspeicher gespeichert werden Wenn Sie CA Zertifikate verwenden m chten oder m ssen m ssen diese in Dateiform zur Verf gung stehen nicht nur auf einem Token Dies gilt auch f r CRLs m Beachten Sie dass beim Importieren eines Benutzerzertifikats sowohl der ffentliche als auch der private Bereich des Zertifikats importiert werden Wird nur der ffentliche Bereich importiert so wird nur die Anmeldung mit Token unterst tzt Virtuelle Clients Virtuelle Clients sind spezifische verschl sselte Schl sseldateien die im Rahmen eines Challenge Response Verfahrens f r Recovery Zwecke verwendet wer
298. n der Registry des Computers angegeben Gehen Sie hierzu wie im SafeGuard PortAuditor User Guide beschrieben vor Mit diesen Informationen k nnen Sie beim Definieren einer Richtlinie auf einfache Art und Weise die Ports und Ger te angeben die zugelassen blockiert oder eingeschr nkt werden sollen m Schritt 2 Richtlinie planen Beschreibt das Sammeln der notwendigen Informationen f r die Planung der optimalen Schutzrichtlinie f r Ihr Unternehmen 164 SafeGuard Enterprise Administrator Hilfe 165 Schritt 3 Richtlinie erstellen Beschreibt das Erstellen einer neuen Richtlinie Sie k nnen je nach Ihren Anforderungen beliebig viele Richtlinien eine Richtlinie f r das gesamte Unternehmen oder unterschiedliche Richtlinien f r die einzelnen Computer oder Benutzergruppen erstellen Schritt 4 Portkontrolle definieren Beschreibt die Definition der Portkontrolle in Ihrer Richtlinie Hier legen Sie fest welche Ports zugelassen sind welche gesperrt sind und welche nur von bestimmten Ger ten benutzt werden d rfen Dar ber hinaus beschreibt dieser Abschnitt wie Sie Hybrid Network Bridging vermeiden Schritt 5 Ger tekontrolle definieren Beschreibt wie Sie die Ger te die ber die eingeschr nkten Ports auf Ihren Endger ten angeschlossen werden d rfen festlegen Schritt 6 Speicherkontrolle definieren Beschreibt wie Sie die Speicherger te die ber die eingeschr nkten Ports auf Ihren Endger ten angeschlossen wer
299. n durch Klicken mit der Maus aus F r Ereignisse die in der Windows Ereignisanzeige protokolliert werden sollen klicken Sie in der Spalte mit dem Ereignisprotokollsymbol Im Ereignisprotokoll protokollieren Durch wiederholtes Klicken l sst sich die Markierung wieder aufheben oder auf null setzen F r Ereignisse f r die Sie keine Einstellung festlegen gelten die vordefinierten Standardwerte Um die geltenden Standardwerte einzublenden klicken Sie auf das Standardwerte Lupensymbol Standardwerte f rnichtkonfigurierte Einstellungen anzeigen in der SafeGuard Management Center Symbolleiste 290 SafeGuard Enterprise 5 50 Administrator Hilfe Hinweis Sie k nnen diese Einstellungen auch ber das Kontextmen bei den einzelnen Ereignissen definieren 4 Bei den f r die Protokollierung ausgew hlten Ereignissen wird in der betreffenden Spalte ein gr nes H kchen angezeigt Speichern Sie Ihre Einstellungen Nach der Zuweisung der Richtlinie werden die ausgew hlten Ereignisse am festgelegten Ausgabeziel protokolliert Ausw hlbare Ereignisse F r eine Auflistung aller f r die Protokollierung ausw hlbaren Ereignisse siehe F r Berichte ausw hlbare Ereignisse auf Seite 310 SafeGuard Enterprise 5 50 Administrator Hilfe 26 5 Protokollierte Ereignisse einsehen Wenn Sie als Sicherheitsbeauftragter ber die entsprechenden Berechtigungen verf gen k nnen Sie die in der zentralen Datenbank protokollierten Frei
300. n kann oder besch digt ist Es ist daher empfehlenswert sowohl eine Maschinen als auch eine Benutzerrichtlinie zu erstellen wobei die Benutzerrichtlinie nicht so restriktiv wie die Maschinenrichtlinie sein sollte Hinweis Je nach Benutzercomputer kann es einige Sekunden dauern bis auf dem SafeGuard Configuration Protection Client nach der Anmeldung eine Richtlinien nderung wirksam wird Wenn die Maschinenrichtlinie restriktiver ist als die Benutzerrichtlinie kann es somit einige Sekunden dauern bis der Zugriff auf die Ger te f r den Benutzer gew hrt wird 16 3 4 Schritt 3 Richtlinie erstellen Die Erstellung von Richtlinien vom Typ Konfigurationsschutz erfolgt wie f r alle anderen Richtlinien beschrieben 16 3 5 Schritt 4 Port Kontrolle definieren Dieser Schritt umfasst sowohl die Definition von Zulassungseinstellungen f r Ports als auch f r Hybrid Network Bridging Zulassungseinstellungen f r Ports SafeGuard Configuration Protection erm glicht positiven Schutz durch Zulassen des Zugangs zu allen Ports aufallen Computern an die eine Richtlinie verteilt wird es sei denn die Richtlinie gibt an dass der Zugang zu einem betreffenden Port gesperrt ist siehe folgende Abs tze 168 SafeGuard Enterprise Administrator Hilfe 169 F r jeden Port USB FireWire PCMCIA Secure Digital Seriell Parallel Modem WLAN IrDA oder Bluetooth k nnen Sie aus folgenden Optionen w hlen m Zulassen Diese Option gibt
301. n ohne SafeGuard Enterprise erlauben Die Benutzer k nnen Daten einfach durch Austausch von Wechselmedien gemeinsam nutzen Wenn sie die Wechselmedien mit ihren Computern verbinden haben sie transparenten Zugriff auf verschl sselte Dateien Achtung Dieser Anwendungsfall kann durch Benutzung von SafeGuard Enterprise Device Encryption umgesetzt werden Hier ist das gesamte Wechselmedium sektorbasierend verschl sselt 19 1 2 Anwendung bei Heimarbeit oder f r pers nlichen Gebrauch auf Dritt Computern Heimarbeit Bob m chte seine verschl sselten Wechselmedien auf seinem Computer zuhause benutzen auf dem SafeGuard Enterprise nicht installiert ist Auf seinem Computer zuhause entschl sselt Bob Dateien mit SafeGuard Portable Da f r alle seine Wechselmedien eine einzige Medien Passphrase definiert ist muss Bob nur SafeGuard Portable ffnen und die Medien Passphrase eingeben Danach hat Bob transparenten Zugriff auf alle verschl sselten Dateien unabh ngig davon welcher Sch ssel f r die Verschl sselung verwendet wurde Pers nlicher Gebrauch auf Dritt Computern Bob verbindet das Wechselmedium mit Joes externer Partner Computer und gibt die Medien Passphrase ein um Zugriff auf die auf dem Medium gespeicherten verschl sselten Dateien zu erhalten Bob kann die Dateien nun verschl sselt oder unverschl sselt auf Joes Computer kopieren Verhalten auf dem Endpoint Computer m Bob verbindet das Wechselmedium zum ersten
302. ndalone Client angelegt wird Alle au er pers nliche Schl ssel im Schl sselring Alle Schl ssel aus dem Schl sselbund mit Ausnahme des pers nlichen Schl ssels werden angezeigt und der Benutzer darf einen daraus ausw hlen Beliebiger Gruppenschl ssel im Schl sselring des Benutzers Alle Gruppenschl ssel aus dem Schl sselbund des Benutzers werden angezeigt und der Benutzer darf einen daraus ausw hlen Definierter Computer Schl ssel Es wird der Maschinen Schl ssel verwendet der Benutzer selbst kann KEINEN Schl ssel ausw hlen 142 SafeGuard Enterprise 5 50 Administrator help 143 Richtlinieneinstellung Erkl rung Hinweis Diese Option muss gew hlt werden wenn eine Richtlinie f r volume basierende Verschl sselung f r einen Standalone Client angelegt wird Wenn Sie dennoch die Option Beliebiger Schl ssel im Schl sselring des Benutzers ausw hlen und der Benutzer w hlt einen lokal erzeugten Schl sel f r die volume basierende Verschl sselung wird der Zugriff auf dieses Volume verweigert m Beliebiger Schl ssel im Schl sselring des Benutzers au er lokal erzeugte Schl ssel Alle Schl ssel aus dem Schl sselring mit Ausnahme der lokal erzeugten Schl sse werden angezeigt und der Benutzer darf einen daraus ausw hlen m Definierter Schl ssel aus der Liste Der Administrator kann in der Administration bei der Richtlinien Einstellung einen beliebigen existierenden Schl ssel ausw hl
303. ne ein Challenge Response Verfahren durchf hren zu m ssen Eine automatische Anmeldung an Windows erfolgt nicht Die Benutzer m ssen sich an Windows mit ihren vorhandenen Windows Benutzerkonten anmelden POA Access Accounts erstellen So erstellen Sie POA Access Accounts 1 Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer 2 W hlen Sie im Benutzer amp Computer Navigationsfenster unter POA den Knoten POA Benutzer 3 Klicken Sie im POA Benutzer Kontextmen auf Neu gt Neuen Benutzer erstellen Der Dialog Neuen Benutzer erstellen wird angezeigt 4 Geben Sie im Feld Vollst ndiger Name einen Namen d h den Anmeldenamen f r den neuen POA Benutzer ein 5 Optional k nnen Sie eine Beschreibung f r den neuen POA Benutzer eingeben 6 Geben Sie ein Kennwort f r das neue POA Access Account ein und best tigen Sie es Hinweis Aus Sicherheitsgr nden sollte das Kennwort bestimmten Mindest Komplexit tsanforderungen entsprechen Zum Beispiel sollte es eine Mindestl nge von 8 Zeichen haben und sowohl aus numerischen als auch alphanumerischen Zeichen bestehen Ist das hier eingegebene Kennwort zu kurz so wird eine entsprechende Warnungsmeldung angezeigt SafeGuard Enterprise 5 50 Administrator Hilfe 7 Klicken Sie auf OK Das neue POA Access Account wird angelegt und der POA Benutzer d h das POA Access Account wird unter POA Benutzer im Benutzer amp Computer Navigation
304. nen Mit SafeGuard Configuration Protection k nnen Sie die Anwender vor dieser Bedrohung sch tzen SafeGuard Configuration Protection erkennt Hardware Key Logger die an einen USB oder PS 2 Port angeschlossen sind In einer Richtlinie k nnen Sie festlegen ob Hardware Key Logger bei ihrer Entdeckung blockiert werden sollen SafeGuard Enterprise Administrator Hilfe 16 2 3 Speicherkontrolle Die Speicherkontrolle bietet eine zus tzliche Detailebene bei der Festlegung der Sicherheitsanforderungen im Unternehmen Die Speicherkontrolle kann sich auf alle Speicherger te beziehen interne oder externe Speicher fest angebrachte oder abnehmbare Speicherger te Sie k nnen Speicherger te vollst ndig sperren hnlich wie die im vorigen Abschnitt beschriebenen Nicht Speicherger te k nnen auch Speicherger te nach Typ Modell oder Einzelkennung zugelassen werden Autorun Kontrolle Mit SafeGuard Configuration Protection k nnen Sie die Verwendung von neuen hoch entwickelten Speicherger ten durch die Endbenutzer zulassen und dabei sicherstellen dass die Endger te vor Sicherheitsrisiken durch Anwendungen die die Ger te bieten gesch tzt sind Im Rahmen der Sicherheitsrichtlinie k nnen Sie Autostart Vorg nge blockieren Unter Anwendung unserer einzigartigen granularen Client Technologie k nnen Sie Smart Speicherger te zulassen wenn diese Ihrer Speicherrichtlinie entsprechen und nur die potenziell unsichere Autorun Funktionali
305. nen enth lt Nachdem Sie die erforderliche Datei ber die Schaltfl che ausgew hlt haben klicken Sie auf OK um fortzufahren 16 4 2 2 Schritt 2 Ger te ausw hlen In Schritt 2 wird eine Tabelle mit den Ger ten die bei den Endger ten in Ihrem Netzwerk ermittelt wurden angezeigt Hier k nnen Sie die Ger te ausw hlen die zur White List hinzugef gt werden sollen Die Tabelle ist in Kategorien unterteilt Die Kategorien richten sich danach ob Sie Ger te zu einer White List f r Ger temodelle oder einer White List f r Einzelger te hinzuf gen und ob Sie Speicherger te oder Nicht Speicherger te hinzuf gen Neben ausw hlbaren Ger ten wird ein Kontrollk stchen angezeigt Aktivieren Sie dieses Kontrollk stchen wenn Sie das Ger temodell oder das Einzelger t zulassen m chten Sie k nnen alle markierten Ger te ausw hlen bzw die Auswahl aufheben indem Sie in der Tabelle mit der rechten Maustaste klicken Hinweis Speicherger te k nnen nicht zu einer Ger tekontrolle White List hinzugef gt werden Hinweis Ger te oder Speicherger te ohne eindeutige Kennung k nnen nicht zu einer Einzelger te White List hinzugef gt werden 186 SafeGuard Enterprise Administrator Hilfe Gelegentlich wird ein Ger t von SafeGuard Port Auditor nicht als Speicherger t identifiziert Dies kann zum Beispiel der Fall sein wenn vom Hersteller keine Ger teklasse eingebettet wurde In diesem Fall k nnen Sie das betreffende Ger
306. nen virtuellen Client l 2 ffnen Sie das SafeGuard Management Center und klicken Sie auf Schl ssel amp Zertifikate Klicken Sie im Navigationsfenster auf der linken Seite auf Virtuelle Clients Suchen Sie im Aktionsbereich nach dem entsprechenden virtuellen Client indem Sie auf das Lupensymbol klicken Die verf gbaren virtuellen Clients werden angezeigt W hlen Sie den gew nschten Eintrag im Aktionsbereich aus und klicken Sie in der Symbolleiste auf Virtuellen Client l schen Speichern Sie ihre nderungen in der Datenbank indem Sie in der Symbolleiste auf das Symbol Speichern klicken Der virtuelle Client wird aus der Datenbank gel scht SafeGuard Enterprise 5 50 Administrator Hilfe 10 Mit Richtlinien arbeiten 10 1 Die folgenden Abschnitte beschreiben richtlinienrelevanten Vorg nge z B das Erstellen Gruppieren und Sichern von Richtlinien Alle mit SafeGuard Enterprise verf gbaren Richtlinieneinstellungen sind unter Sicherheitsrichtlinien beschrieben Richtlinien anlegen So legen Sie eine neue Richtlinie an 1 6 Melden Sie sich mit dem Kennwort das Sie w hrend der Erstkonfiguration festgelegt haben am SafeGuard Management Center an Klicken Sie auf die Schaltfl che Richtlinien im Navigationsbereich Klicken Sie im Navigationsfenster mit der rechten Maustaste auf Richtlinien und w hlen Sie im Kontextmen den Befehl Neu W hlen Sie den Richtlinientyp aus Es wird e
307. neues Benutzerzertifikat wird basierend auf dem neu gew hlten Windows Kennwort erstellt Dies erm glicht es dem Benutzer sich wieder an seinem Computer und an der Power on Authentication mit dem neuen Kennwort anzumelden 270 SafeGuard Enterprise 5 50 Administrator Hilfe Schl ssel f r SafeGuard Data Exchange Hinweis Wenn der Benutzer das Windows Kennwort vergessen hat und ein neues eingeben muss wird auch ein neues Zertifikat erstellt In diesem Fall kann der Benutzer daher nicht mehr die bereits f r SafeGuard Data Exchange erstellten Schl ssel verwenden Damit bereits f r SafeGuard Data Exchange generierte Benutzerschl ssel weiterhin verwendet werden k nnen m ssen dem Benutzer die SafeGuard Data Exchange Passphrasen zur Reaktivierung dieser Schl ssel bekannt sein 23 10 2 Response f r Standalone Computer mit der Schl ssel Recovery Datei 271 erzeugen Hinweis Die Schl ssel Recovery Datei die w hrend der Installation der SafeGuard Enterprise Verschl sselungssoftware generiert wurde muss an einem Speicherort abgelegt sein auf den der Helpdesk Beauftragte Zugriff hat Dar ber hinaus muss der Name der Datei bekannt sein So generieren Sie eine Response 1 W hlen Sie in der Men leiste des SafeGuard Management Center Extras gt Recovery um den Recovery Assistenten zu ffnen 2 W hlen Sie unter Recovery Typ die Option Sophos SafeGuard Client Standalone 3 Klicken Sie auf Browse um die erforder
308. ng 90 Minuten ergibt einen Kommunikationszeitraum zwischen Client und Server von 45 bis 135 Minuten Protokollierung R ckmeldung nach Anzahl von Ereignissen Das Protokollsystem implementiert als Win32 Service SGM LogPlayer sammelt von SafeGuard Enterprise generierte f r die zentrale Datenbank bestimmte Protokolleintr ge in lokalen Protokolldateien Diese befinden sich im LocalCache im Verzeichnis auditing SGMTransLog Diese Dateien werden an den Transportmechanismus bergeben der sie dann ber den SGN Server in die Datenbank eintr gt Die bergabe erfolgt standardm ig immer dann wenn der Transportmechanismus erfolgreich eine Verbindung zum Server aufbauen konnte Die Gr e einer Protokolldatei nimmt also solange zu bis eine erfolgreiche Verbindung zustande kommt Um die Gr e einer einzelnen Protokolldatei einschr nken zu k nnen kann man ber die Richtlinie eine maximale Anzahl von Protokolleintr gen eintragen Dann wird die Protokolldatei vom Protokollsystem nach Erreichen der eingestellten Anzahl von Eintr gen in die Transportqueue des SGN Servers gestellt und eine neue Protokolldatei begonnen 112 SafeGuard Enterprise 5 50 Administrator Hilfe 113 Richtlinieneinstellung Erkl rung ANPASSUNG Sprache am Client Legt fest in welcher Sprache die Finstellungen f r SafeGuard Enterprise auf dem Endpoint Computer angezeigt werden Neben den unterst tzten Sprachen kann auch die
309. ngaben mit OK 14 SafeGuard Enterprise 5 50 Administrator Hilfe 15 3 6 3 7 Die Arbeitsgruppe ist nun erzeugt Unterhalb des Arbeitsgruppen Containers wird automatisch das Standardverzeichnis Automatisch registriert angelegt Es kann weder umbenannt noch gel scht werden Arbeitsgruppe l schen Als SO k nnen Sie Arbeitsgruppen l schen Falls die Arbeitsgruppe Mitglieder hatte werden diese ebenfalls gel scht Bei der n chsten Anmeldung werden sie wieder autoregistriert 1 Klicken Sie im SafeGuard Management Center auf den Bereich Benutzer amp Computer 2 Rechts klicken Sie im rechten Navigationsbereich die Arbeitsgruppe die gel scht werden soll und w hlen Sie L schen Best tigen Sie mit Ja Die Arbeitsgruppe ist nun gel scht Eventuelle Mitglieder werden ebenfalls gel scht Neue Dom ne erstellen Als SO mit den n tigen Berechtigungen k nnen Sie unter dem Stammverzeichnis eine neue Dom ne anlegen Sie sollten nur neue Dom nen anlegen wenn Sie keine Dom nen aus dem Active Directory AD importieren wollen oder k nnen z B weil kein AD vorhanden ist T SafeGuard Management Center MSO auf SGNSRY SafeGuard N Datei Bearbeiten Ansicht Gehezu Aktionen Extras Hilfe Benutzer amp Computer Verschieben ER Gehezu mm tiv Authentisierte Benutzer isi D Authentisierte Computer E 9 Automatisch registriert SHO UTIMACO EDU 2 9 Aut
310. ngruppe im Navigationsfenster unter Richtlinien bzw Richtlinien Gruppen Klicken Sie mit der rechten Maustaste und w hlen Sie im angezeigten Kontextmen Richtlinie sichern SafeGuard Enterprise 5 50 Administrator Hilfe Der Befehl Richtlinie sichern steht auch im Men Aktionen zur Verf gung 3 Geben Sie im Dialog Speichern unter einen Dateinamen f r die XML Datei an und w hlen Sie das Verzeichnis in dem die Datei gespeichert werden soll aus Klicken Sie auf Speichern Die Sicherungskopie der Richtlinie Richtliniengruppe ist im angegebenen Verzeichnis als XML Datei abgelegt 10 5 Richtlinien und Richtliniengruppen wiederherstellen So stellen Sie eine Richtlinie Richtliniengruppe aus einer XML Datei wieder her 1 Markieren Sie im Navigationsbereich Richtlinien Richtlinien Gruppen 2 Klicken Sie mit der rechten Maustaste und w hlen Sie im angezeigten Kontextmen Richtlinie wiederherstellen Der Befehl Richtlinie wiederherstellen steht auch im Men Aktionen zur Verf gung 3 W hlen Sie die XML Datei f r die Wiederherstellung der Richtlinie Richtliniengruppe aus und klicken Sie auf ffnen Die Richtlinie Richtliniengruppe ist wiederhergestellt 82 SafeGuard Enterprise 5 50 Administrator Hilfe 10 6 Richtlinien zuweisen So weisen Sie Richtlinien zu 1 Klicken Sie auf Benutzer amp Computer W hlen Sie das Container Objekt z B OU oder Dom ne im Navigationsfenster aus Klicken Sie falls not
311. nien entlang einer Hierarchiekette zugewiesen so wirkt jene Richtlinie am st rksten die n her beim Zielobjekt Benutzer Computer ist Das bedeutet mit der Entfernung zum Zielobjekt verliert die Richtlinie immer mehr an Kraft wenn n here Richtlinien vorhanden sind 10 8 4 Direkte und indirekte Zuweisung von Richtlinien 87 Direkte Zuweisung Der Benutzer Computer erh lt eine Richtlinie die direkt dem Container Objekt in dem er sich tats chlich befindet Mitgliedschaft alleine reicht nicht aus zugewiesen wurde Das Container Objekt hat diese Richtlinie nicht geerbt Indirekte Zuweisung Der Benutzer Computer erh lt eine Richtlinie die das Container Objekt in dem er sich tats chlich befindet die Mitgliedschaft in einer Gruppe die sich in einem anderen Container Objekt befindet als der Benutzer reicht nicht aus von einem ihr bergeordneten Container Objekt geerbt hat SafeGuard Enterprise 5 50 Administrator Hilfe 10 8 5 Aktivierung Deaktivierung von Richtlinien Damit eine Richtlinie f r einen Computer Benutzer wirken kann muss diese auf Gruppenebene aktiviert werden Richtlinien k nnen ausschlie lich auf Gruppenebene aktiviert werden Es spielt keine Rolle ob sich diese Gruppe im selben Container Objekt befindet oder nicht Wichtig ist hier nur dass der Benutzer oder Computer eine direkte bzw indirekte durch Vererbung Zuordnung der Richtlinie erhalten hat Befindet sich ein Computer oder Benut
312. nitte beschreiben das Systemverhalten bei Lizenz berschreitungen der Kategorien Warnung und Fehler sowie die Ma nahmen zur Aufhebung der Funktionalit tseinschr nkung 34 SafeGuard Enterprise 5 50 Administrator Hilfe 6 6 1 35 Ung ltige Lizenz Warnung Wird die Anzahl an verf gbaren Lizenzen das Lizenzg ltigkeitsdatum oder die h chste zul ssige SafeGuard Enterprise Version zum Beispiel durch ein Software Update berschritten so wird beim Starten des SafeGuard Management Centers eine Warnungsmeldung angezeigt Das SafeGuard Management Center wird ge ffnet und zeigt den Lizenzstatus berblick in der Registerkarte Lizenzen des Bereichs Benutzer amp Computer T SafeGuard Management Center MSO auf SGNSRY UTIMACO SafeGuard 01x Datei Bearbeiten Ansicht Gehe zu Aktionen Extras Hilfe Benutzer amp Computer ETES Stamm Filter ist aktiv 8 Authentisierte Benutzer 5 Authentisierte Computer Verschieben Gehe zu Schl ssel Richtlinien Bestand Synchronisation Lizenzen 9 Automatisch registriert Lizenz ausgestellt f r Demo Lizenz H UTIMACO EDU Ausgestellt am 2008 07 03 Sta Modul Erworben Benutzte Liz H chste erlaubt H chst L uf Typ Configuration Pro 5 8 5 30 0 99 5 30 0 90 2018 demo amp Management Ce 5 8 5 30 0 99 5 30 0 90 2018 demo Partner Connect 5 8 5 30 0 99 2018 demo Device Encryptio
313. nt Administration Erstellen der Richtlinie fehlgeschlagen Administration ndern der Richtlinie fehlgeschlagen Administration 2657 Zuweisung und Aktivierung der Richtlinie zu OU fehlgeschlagen Administration Entfernen der zugewiesenen Richtlinie von OU ist fehlgeschlagen Administration Richtlinien Gruppe angelegt Administration Richtlinien Gruppe ge ndert Administration Richtlinien Gruppe gel scht Administration Anlegen der Richtlinien Gruppe fehlgeschlagen Administration ndern der Richtlinien Gruppe fehlgeschlagen Administration Folgende Richtlinie wurde der Richtlinien Gruppe hinzugef gt 314 SafeGuard Enterprise 5 50 Administrator Hilfe 315 Kategorie Ereignis ID Beschreibung Administration Folgende Richtlinie wurde aus der Richtlinien Gruppe entfernt Administration 2668 Hinzuf gen der Richtlinie zur Richtlinien Gruppe fehlgeschlagen Administration Entfernen der Richtlinie aus Richtlinien Gruppe fehlgeschlagen Administration Protokollierte Ereignisse exportiert Administration Exportieren der protokollierten Ereignisse fehlgeschlagen Administration 2680 Protokollierte Ereignisse gel scht Administration 2681 L schen der protokollierten Ereignisse fehlgeschlagen Administration 2684 Sicherheitsbeauftragter erlaubt die Erneuerung eines Zertifikats Administration Beauftragter verbietet die Erneuerung eines Zertifikats Administration n
314. nt Center Symbolleiste Wenn sich der Benutzer beim n chsten Mal mit dem Token anmeldet muss er seine Benutzer PIN ndern 18 10 5 PIN Historie Die PIN Historie kann gel scht werden Klicken Sie dazu auf das Symbol PIN Historie l schen 213 SafeGuard Enterprise 5 50 Administrator Hilfe 18 11 Token und Smartcards verwalten Der Sicherheitsbeauftragte kann sich im Management Center unter Token einen berblick ber ausgestellte Token und Zertifikate verschaffen bersichten filtern und Token f r die Authentisierung sperren oder Daten die sich auf dem Token befinden lesen und l schen 18 11 1 Token Smartcard Informationen anzeigen Als Sicherheitsbeauftragter k nnen Sie sich Informationen ber alle oder einzelne ausgestellte Token anzeigen lassen und bersichten filtern Voraussetzung Der Token muss eingesteckt sein Sie befinden sich im ge ffneten Management Center im Bereich Token 9 SafeGuard Managment Center MSO an SRY 2003R2 DE SafeGuard 7 BE ee er Fun ES ve je 88227882 Token Ia OMNIKEY AG Smart Card Reader USB O HH Tokenschrittstelle 5 2 OLET AG iak CRO Rendir Token Information Anmeldeinformationen amp Zertifikate E ausgestellte Token euren 2 Produktname nja Seriennummer nja Hersteller nja Hardware Version nja Modell nja Firmware Version nja Minimale PIN L nge nja Maximale PIN L nge nja Benutzerinformationen Dieses Token ist zugewi
315. nter Textelementname einen Namen f r den anzeigenden Text ein 3 W hlen Sie ber die Schaltfl che die zuvor erstellte Textdatei aus Wenn eine Konvertierung notwendig ist wird eine entsprechende Meldung angezeigt 4 Klicken Sie auf OK Das neue Textelement wird als Unterknoten des Eintrags Informationstext im Richtlinien Navigationsbereich Ist ein Textelement markiert wird sein Inhalt im Aktionsbereich angezeigt Das Textelement kann jetzt beim Erstellen von Richtlinien ausgew hlt werden Um weitere Textelemente zu registrieren gehen Sie wie beschrieben vor Alle registrierten Textelemente werden als Unterknoten angezeigt SafeGuard Enterprise 5 50 Administrator Hilfe 23 Recovery ber Challenge Response Zur Optimierung von Workflows im Unternehmen und zur Reduzierung von Helpdesk Kosten bietet SafeGuard Enterprise eine Challenge Response Recovery L sung Mit einem benutzerfreundlichen Challenge Response Verfahren unterst tzt SafeGuard Enterprise Benutzer die sich an ihrem Computer nicht mehr anmelden oder nicht auf verschl sselte Daten zugreifen k nnen Diese Funktionalit t ist im SafeGuard Management Center in Form eines Recovery Assistenten integriert 23 1 Nutzen und Vorteile des Challenge Response Verfahrens Das Challenge Response Verfahren ist ein sicheres und effizientes Notfallsystem m W hrend des gesamten Vorgangs werden keine vertraulichen Daten in unverschl sselter Form ausgetauscht m Infor
316. nter schnell und einfach neu starten wenn Sie sich mit einem anderen Sicherheitsbeauftragten anmelden m chten Gehen Sie wie folgt vor 1 W hlen Sie im SafeGuard Management Center Datei gt Sicherheitsbeauftragten wechseln Das SafeGuard Management Center wird neu gestartet und es wird ein Anmeldedialog angezeigt 2 W hlen Sie den Sicherheitsbeauftragten mit dem Sie sich an das SafeGuard Management Center anmelden m chten und geben Sie das zugeh rige Kennwort ein Wenn Sie im Multi Tenancy Modus arbeiten werden Sie wieder an dieselbe Datenbankkonfiguration angemeldet Das SafeGuard Management Center wird neu gestartet und zeigt die dem angemeldeten Sicherheitsbeauftragten zugeordnete Ansicht 7 16 Sicherheitsbeauftragten l schen Voraussetzung Um einen Sicherheitsbeauftragten zu l schen ben tigen Sie das Recht Sicherheitsbeauftragte einzusehen und zu l schen Gehen Sie wie folgt vor 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Sicherheitsbeauftragten oder den Haupt Sicherheitsbeauftragten den Sie l schen m chten W hlen Sie L schen Beachten Sie dass Sie den Sicherheitsbeauftragten mit dem Sie angemeldet sind nicht l schen k nnen 3 Weist der ausgew hlte Sicherheitsbeauftragte untergeordnete Sicherheitsbeauftragte auf so werden Sie dazu aufgefordert einen neuen bergeordneten Knoten f r diese untergeordn
317. ntsprechen den f r jeden anderen SafeGuard Enterprise Client erzeugten Berichten SafeGuard Enterprise 5 50 Administrator Hilfe 28 SafeGuard Enterprise und BitLocker To Go Mit BitLocker To Go wurde in Microsoft Windows 7 die BitLocker Laufwerkverschl sselung erweitert BitLocker unterst tzt nun die Verschl sselung von internen Volumes und von Wechseldatentr gern auf Endpoint Computern ber das Windows Explorer Kontextmen m Wenn der native SafeGuard Enterprise Device Encryption Client mit aktivierter BitLocker Unterst tzung installiert wurde wird BitLocker To Go unterst tzt m Wenn der SafeGuard Enterprise Device Encryption Client ohne aktivierte BitLocker Unterst tzung installiert wurde oder wenn der SafeGuard Data Exchange Client installiert wurde ist die Verschl sselung ber BitLocker To Go nicht kompatibel Sie muss in diesem Fall deaktiviert werden Die Verschl sselung von internen Volumes und von Wechseldatentr gern kann jedoch zentral und komfortabel ber SafeGuard Enterprise Sicherheitsrichtlinien konfiguriert werden Interne Volumes und Wechseldatentr ger die bereits vor dem Einsatz des SafeGuard Enterprise Device Encryption Clients mit BitLocker To Go verschl sselt wurden bleiben weiterhin lesbar Gehen Sie folgenderma en vor um die BitLocker To Go Verschl sselung zu deaktivieren 1 W hlen Sie im Windows Gruppenrichtlinienverwaltungs Editor Default Domain Policy gt Computerkonfigurati
318. oft Visio Schablone Microsoft Visio Schablone Microsoft Visio Vorlage Microsoft Visio Vorlage Microsoft Publisher Microsoft OneNote Abschnitt Microsoft Access Projekt Microsoft Access Projekterweiterung Adobe Acrobat Dokument Post Script Dokument Encapsulated Post Script HTML Web Seite HTML Web Seite Archivierte Web Seite Archivierte Web Seite PHP Skript Windows Hilfedateien Kompilierte Hilfedateien Active Server Page ASP NET Web Seite ASP NET Webservices Java HTML Web Seite Java Server Page JPEG Bild JPEG Bild GIF Bild Bitmap Bild Device Independent Bitmap Bild 178 SafeGuard Enterprise Administrator Hilfe PNG PNG Bild TIF Tagged Image Format TIFF Tagged Image Format MDI Office Document Imaging Datei JNG JNG Bild MNG MNG Bild ICO Windows Symbol CUR Windows Cursor WMF Windows Metafile Bild EMF Enhanced Windows Metafile Bild FH9 Macromedia Freehand 9 Grafiken JP2 JPEG 2000 Bild PBM Portable Bitmap PGM Portable Graymap Bitmap PPM Portable Pixelmap Bitmap PSD Adobe Photoshop Grafiken CDR CorelDRAW Vector Grafiken SVG Scalable Vector Graphics Multimedia WAV Waveform Audio WMA Windows Media Audio MP2 MPEG Audio MP3 MPEG Audio AIFF Audio Interchange AIF Audio Interchange AU AU Audio RA RealMedia Streaming Media MID Musical Instrument Digital Sound MIDI Musical Instrument Digital Sound RMI Musical Instrument Digital Sound SDS Musical Instrument Digital Sound Sample VOC Creat
319. ohl f r das Hinzuf gen von Speicherger ten in Speicherkontrolle als auch f r das Hinzuf gen von Nicht Speicherger ten in Ger tekontrolle Hinweis Wenn Sie ein Ger t hinzuf gen das sich bereits auf einer anderen Ger te White List in der betreffenden Richtlinie befindet und die Zulassungen in den White Lists unterscheiden sich voneinander so gilt die White List die mehr zul sst SafeGuard Enterprise Administrator Hilfe So f gen Sie ein Ger t manuell zu einer White List hinzu 1 Klicken Sie auf das Symbol in der SafeGuard Enterprise Symbolleiste um einen neuen Eintrag zur White List hinzuzuf gen 2 Geben Sie in den folgenden Feldern die erforderlichen Informationen ein a Port optional b Beschreibung optional c Ger te Information optional d Hersteller Hersteller ID optional e Produkt Produkt ID optional f Hardware ID Instanz ID erforderlich Stellen Sie sicher dass Sie in allen Feldern die korrekten Daten eingegeben haben und speichern Sie die White List Um einen Eintrag aus der White List zu entfernen w hlen Sie den Eintrag aus und klicken Sie auf das Symbol in der SafeGuard Enterprise Symbolleiste Hinweis Die Hersteller ID VID Produkt ID PID die Hardware ID HID sowie die Instanz ID IID finden Sie in den SafeGuard PortAuditor Scan Ergebnissen auf einem Aufkleber auf dem Produkt selbst oder im Windows Ger te Manager 16 4 4 WLAN Verbindungen hinzuf gen WLAN Ver
320. oken anmelden Er muss sich ber die Anmeldeinformationen Benutzername Kennwort anmelden Optional Die Anmeldung kann mit Token oder mit Anmeldeinformationen erfolgen Der Sicherheitsbeauftragte kann w hlen Zwingend erforderlich Die Verwendung eines Token zur Anmeldung ist zwingend vorgeschrieben Dazu muss sich der zum Zertifikat des Beauftragten geh rende private Schl ssel auf dem Token befinden SafeGuard Enterprise 5 50 Administrator Hilfe Eingabefeld Kontrollk stchen Zertifikat Zertifikat Beschreibung Zur Anmeldung an das Management Center ben tigt ein Beauftragter immer ein Zertifikat Das Zertifikat kann entweder von SafeGuard Enterprise selbst erstellt werden oder es wird ein bereits existierendes verwendet Ist eine Anmeldung mit Token zwingend notwendig so muss das Zertifikat auf den Token des Sicherheitsbeauftragten aufgebracht werden Erzeugen Zertifikat und Schl sseldatei werden neu erstellt und an einem ausw hlbaren Ort gespeichert Dabei muss ein Kennwort f r die p12 Schl sseldatei angegeben und best tigt werden Die p12 Datei muss dem Sicherheitsbeauftragten bei der Anmeldung zur Verf gung stehen Das erstellte Zertifikat wird dem Sicherheitsbeauftragten automatisch zugeteilt und unter Zertifikat angezeigt Wenn SafeGuard Enterprise Kennwortregeln angewendet werden sollten die Regeln im Active Directory deaktiviert werden Hinweis Maximale L nge des Speicherpfads und des
321. okolliert Sie k nnen sich diese Informationen im SafeGuard Management Center unter Berichte in der Ereignisanzeige auflisten lassen 3 12 Import der Organisationsstruktur ber Active Directory Eine bereits bestehende Organisationsstruktur z B ein Active Directory kann in SafeGuard Enterprise importiert und dann verwaltet werden 1 W hlen Sie im SafeGuard Management Center Extras gt Optionen 2 W hlen Sie die Registerkarte Verzeichnis und klicken Sie auf Hinzuf gen 3 Gehen Sie in LDAP Authentisierung folgenderma en vor a Bei Servername oder IP geben Sie den NetBIOS Name des Dom nencontrollers oder dessen IP ein b Bei Benutzername und Kennwort geben Sie Ihre Windows Anmeldeinformationen zur Test Umgebung ein c Best tigen Sie mit OK Hinweis Bei Windows Einzelplatzcomputern muss auf dem PC ein Verzeichnis freigegeben sein damit eine Verbindung via LDAP m glich wird 4 Klicken Sie auf Benutzer amp Computer 18 SafeGuard Enterprise 5 50 Administrator Hilfe 19 9 Klicken Sie im linken Navigationsfenster auf das Stammverzeichnis Stamm Filter ist aktiv W hlen Sie im rechten Aktionsbereich die Registerkarte Synchronisation W hlen Sie aus dem Verzeichnis DSN das gew nschte Verzeichnis aus Klicken Sie auf das Lupensymbol rechts oben Es erscheint eine Abbildung der Active Directory Struktur der Organisationseinheiten OU in Ihrem Unternehmen Es muss nicht der gesamte Inhalt des Active
322. omatisch registriert f PEPE 8 Board croup B BoardMembers r Allgemeine Informationen nn f Vollst Name Domaini H 5 Dada Distinguished Name 13 Domain Controllers i Beschreibung 3 ForeignSecurityPrincipals SHZ Headquarter f Development f Verbindungsstatus Domain amp Alice amp Bob E Desktopi E Desktop2 HZ Finance H Management EHZ Marketing E Desktops Zi amp Helen 7 Vererbte Schl ssel E Laptops i a Laptop4 Sil Schl ssel Richtlinien Bestand Synchronisation Lizenzen Dom ne Netbios p Richtlinie U Richtlinienvererbung stoppen Richtlinien ER Schl ssel amp Zertifikate Token SafeGuard Enterprise 5 50 Administrator Hilfe 1 Klicken Sie im SafeGuard Management Center auf den Bereich Benutzer amp Computer 1 Rechts klicken Sie im linken Navigationsfenster auf Stamm Filter ist aktiv und w hlen Sie im Kontextmen Neu gt Neue Dom ne erzeugen autom Registrierung 2 In Allgemeine Informationen machen Sie folgende Angaben zum Dom nen Controller Alle drei Namenseingaben m ssen korrekt sein sonst wird die Dom ne nicht synchronisiert a Vollst Name z B rechnername dom ne com oder die IP Adresse des Dom nen Controllers b Distinguished Name DNS Name z B DC rechnername3 DC dom ne DC Land c Beschreibung der Dom ne optional d Dom ne Netbios Name
323. on gt Richtlinien gt Administrative Vorlagen lokaler Computer gt Windows Komponenten gt BitLocker Laufwerkverschl sselung gt Wechseldatentr ger 2 Unter Wechseldatentr ger w hlen Sie die folgende Richtlinie VerwendungvonBitLocker auf Wechseldatentr gern steuern Setzen Sie die Optionen wie folgt a W hlen Sie Aktiviert Unter Optionen deaktivieren Sie Benutzer k nnen BitLocker Schutz auf Wechseldatentr gern anwenden a Unter Optionen aktivieren Sie Benutzer k nnen BitLocker Schutz auf Wechseldatentr gern anhalten und entschl sseln 3 Best tigen Sie mit OK BitLocker To Go Verschl sselung wird auf den Endpoint Computern deaktiviert Der Benutzer kann neue Laufwerke nicht mehr mit BitLocker To Go verschl sseln Laufwerke die bereits vor dem Betrieb des nativen SafeGuard Enterprise Device Encryption Client mit BitLocker To Go verschl sselt wurden bleiben lesbar 308 SafeGuard Enterprise 5 50 Administrator Hilfe Die Registry Einstellungen werden folgenderma en gesetzt HKEY_LOCAL_MACHINE SOFTWARE Policies Microsoft FVE RDVConfigureBDE dword 00000001 RDVAllowBDE dword 00000000 RDVDisableBDE dword 00000001 309 SafeGuard Enterprise 5 50 Administrator Hilfe 29 F r Berichte ausw hlbare Ereignisse Die folgende Tabelle bietet einen berblick zu allen f r die Protokollierung ausw hlbaren Ereignissen ELS Ereignis ID Beschreibung System 1005 Dienst gestartet System 1006
324. onen wie gewohnt in der POA eingeben und den Boot Vorgang von einem externen Medium fortsetzen SafeGuard Enterprise 5 50 Administrator Hilfe F r den Zugriff auf ein verschl sseltes Volume m ssen folgende Voraussetzungen erf llt sein m Das zu verwendende Ger t muss den SafeGuard Enterprise Filtertreiber enthalten Eine detaillierte Beschreibung zum Erstellen einer solchen Treiber CD finden Sie in unserer Wissensdatenbank http www sophos com support knowledgebase article 108805 html m Der Benutzer muss von einem externen Medium booten und muss die hierzu erforderliche Berechtigung haben Diese Berechtigung wird erteilt indem man im SafeGuard Management Center eine Richtlinie erstellt und diese dem Client zuweist Richtlinie Authentisierung gt Zugriff Benutzer kann nur von Festplatte booten auf Nein setzen Standardm ig ist die Berechtigung zum Booten von externen Medien nicht zugewiesen m Der Endpoint Computer muss den Boot Vorgang von einem anderen Medium als einer Festplatte generell unterst tzen m Es kann nur auf Volumes die mit dem definierten Computerschl ssel verschl sselt sind zugegriffen werden Dieser Verschl sselungstyp kann in einer Ger teschutzrichtlinie im SafeGuard Management Center definiert und dem Client zugewiesen werden Bitte beachten Sie dass bei Anwendung von externen Medien wie WinPE f r den Zugriff auf ein verschl sseltes Laufwerk der Zugriff auf das Volume nur teilweise gew hr
325. onisiert werden soll und klicken Sie auf Synchronisieren SafeGuard Enterprise 5 50 Administrator Hilfe 4 1 Mit mehreren Datenbankonfigurationen arbeiten Das SafeGuard Management Center erm glicht die Benutzung mehrerer Datenbankkonfigurationen Multi Tenants Wenn Sie diese Funktion nutzen m chten m ssen Sie sie w hrend der Installation aktivieren Detaillierte Informationen hierzu finden Sie im SafeGuard Enterprise Installationshandbuch Mit Multi Tenancy k nnen Sie verschiedene SafeGuard Enterprise Datenbankkonfigurationen konfigurieren und sie f r eine Instanz des SafeGuard Management Centers verwalten Dies erweist sich vor allem dann als n tzlich wenn Sie verschiedene Konfigurationen f r verschiedene Dom nen OUs oder Unternehmensstandorte einsetzen m chten Voraussetzung Die Funktion Multi Tenancy muss ber eine Installation vom Typ Angepasst installiert worden sein Die initiale Konfiguration muss durchgef hrt worden sein Detaillierte Informationen hierzu finden Sie im SafeGuard Enterprise Installationshandbuch Zur Vereinfachung der Konfiguration haben Sie folgende M glichkeiten m Mehrere Datenbank Konfigurationen erstellen m Zuvor erstellte Datenbankkonfigurationen ausw hlen m Zuvor erstellte Datenbankkonfiguration aus einer Datei importieren Datenbankkonfiguration zur sp teren Wiederverwendung exportieren Y Konfiguration ausw hlen x Bitte w hlen Sie die Konfiguration die Sie verwenden m c
326. optionen die gew nschte Service Account Liste aus der Dropdownliste des Felds Service Account Liste 100 SafeGuard Enterprise 5 50 Administrator Hilfe Hinweis Die Standardeinstellung dieses Felds ist Keine Liste d h es gilt keine Service Account Liste Rollout Beauftragte die sich nach der Installation von SafeGuard Enterprise an dem Computer anmelden werden somit nicht als Gastbenutzer behandelt und k nnen die Power on Authentication aktivieren sowie zum Computer hinzugef gt werden Um die Zuweisung einer Service Account Liste r ckg ngig zu machen w hlen Sie die Option Keine Liste 3 Speichern Sie Ihre nderungen indem Sie auf das Speichern Symbol in der Symbolleiste klicken Sie k nnen die Richtlinie nun an den Endpoint Computer bertragen um die Service Accounts auf dem Computer zur Verf gung zu stellen Hinweis Wenn Sie unterschiedliche Service Account Listen in verschiedenen Richtlinien ausw hlen die alle nach dem RSOP Resulting Set of Policies die f r einen bestimmten Computer eine bestimmte Gruppe geltenden Einstellungen relevant sind setzt die Service Account Liste in der zuletzt angewandten Richtlinie alle zuvor zugewiesenen Service Account Listen au er Kraft Service Account Listen werden nicht zusammengef hrt 13 5 Richtlinie an den Endpoint Computer bertragen Service Account Listen sind w hrend der Installation in der Rollout Phase einer Implementation besonders hilfreich und wichti
327. orhanden so ersetzt der Wert der Maschinenrichtlinie den Wert der Benutzerrichtlinie Ergibt die Vereinigung der einzelnen Maschinenrichtlinien den Standardwert Kein Richtlinien Loopback so gilt Benutzereinstellungen vor Maschineneinstellungen Ausf hrungsreihenfolge der Richtlinien Benutzer ignorieren Computer Computereinstellungen wiederholen Computer gt Benutzer gt Computer Die erste Maschinen Ausf hrung wird f r die Richtlinien ben tigt die schon vor der Benutzeranmeldung z B Hintergrundbild bei der Anmeldung geschrieben werden Kein Richtlinien Loopback Standardeinstellung Computer gt Benutzer SafeGuard Enterprise 5 50 Administrator Hilfe 10 8 12 Sonstige Definitionen Die Entscheidung ob es sich um eine Benutzer bzw Maschinenrichtlinie handelt h ngt von der Herkunft der Richtlinie ab Ein Benutzerobjekt bringt eine Benutzerrichtlinie mit ein Computer bringt eine Computerrichtlinie mit Dieselbe Richtlinie kann bei unterschiedlicher Sicht sowohl Computer als auch Benutzerrichtlinie sein m Benutzerrichtlinie Jene Richtlinie die der Benutzer zur Auswertung bereitstellt Wenn eine Richtlinie nur ber einen Benutzer kommt dann werden die maschinenbezogenen Einstellungen dieser Richtlinie nicht verwendet Das hei t es gelten keine computerbezogenen Einstellungen sondern die Standardwerte Computerrichtlinie Jene Richtlinie die die Maschine zur Auswertung bereitst
328. ortieren von neuen Benutzern erlaubt f r Standardeinstellung Besitzer Wer der Besitzer eines Endpoint Computers ist wird im Management Center festgelegt unter Benutzer amp Computer m lt Computer Name gt markieren m Registerkarte Benutzer Hinweis F r Computer die im Standalone Modus laufen bietet SafeGuard Enterprise POA Access Accounts POA Access Accounts sind vordefinierte lokale Benutzerkonten die es Benutzern z B Mitgliedern des IT Teams erm glichen sich nach der Aktivierung der POA an Endpoint Computern zur Ausf hrung administrativer Aufgaben anzumelden POA Access Accounts erm glichen die Anmeldung an der POA eine automatische Anmeldung an Windows erfolgt nicht Diese Benutzerkonten werden im Bereich Benutzer amp Computer des SafeGuard Management Center definiert Benutzer ID und Kennwort und werden den Endpoint Computer ber POA Gruppen in Konfigurationspaketen zugewiesen Hinweis F r detaillierte Informationen zu POA Access Accounts siehe POA Access Accounts f r die POA Anmeldung an Standalone Computern Seite 4 SafeGuard Enterprise 5 50 Administrator Hilfe 20 3 Power on Authentication konfigurieren Der POA Dialog besteht aus folgenden Komponenten m Anmeldebild m Dialogtexte m Sprache des Tastaturlayouts SafeGuard Anmeldung SOPHOS Bear Knei Dom ne MY_COMPANY v Das Erscheinungsbild des POA Dialogs k nnen Sie u a ber Richtlinieneinstellungen im SafeGuard Management Cen
329. os com support knowledgebase article 108805 html 2 Melden Sie sich an der Power on Authentication mit Ihren Anmeldeinformationen an 272 SafeGuard Enterprise 5 50 Administrator Hilfe 3 Legen Sie die Windows PE Recovery Disk ein 4 W hlen Sie im POA Anmeldedialog unter Weiterbooten von die Option externes Medium Der Computer wird gestartet Der Zugriff auf die auf dieser Partition gespeicherten Daten ist wiederhergestellt 24 2 Besch digter MBR Zur Problembehebung im Fall eines besch digten MBR bietet SafeGuard Enterprise das Tool BE_Restore exe Eine detaillierte Beschreibung zur Wiederherstellung eines besch digten MBR finden Sie in der SafeGuard Tools Anleitung unter BE_Restore exe 24 3 Code Es kann auf eine Festplatte mit einem besch digten Kernel Bootcode zugegriffen werden Denn Schl ssel werden getrennt vom Kernel in der so genannten KSA Key Storage Area gespeichert Durch die Trennung von Kernel und Schl sseln k nnen solche Laufwerke angeschlossen an einen anderen Computer entschl sselt werden Dazu ben tigt der Benutzer der sich an dem anderen Computer anmeldet einen Schl ssel der KSA der nicht bootbaren Partition in seinem Schl sselring Im schlimmsten Fall ist die Partition nur mit dem Boot_Key des anderen Computers verschl sselt In diesem Fall muss der Haupt Sicherheitsbeauftragte oder der Recovery Beauftragte dem Benutzer diesen Boot_Key zuweisen F r eine detaillierte Beschreibung
330. ow entsprechend an Handelt es sich um einen mit BitLocker verschl sselten Computer so muss im n chsten Schritt das erforderliche Volume ausgew hlt werden Nachdem der betreffende Computer in der Datenbank gefunden wurde muss das Volume ausgew hlt werden f r das die Recovery Aktion am mit BitLocker verschl sselten Endpoint Computer durchgef hrt werden soll 1 W hlen Sie das Volume auf das zugegriffen werden soll aus der Liste und klicken Sie auf Weiter 2 Der Recovery Assistent zeigt nun den 48 stelligen Recovery Schl ssel an 3 Teilen Sie dem Benutzer diesen Schl ssel mit Der Benutzer kann nun den Schl ssel eingeben um den Zugriff auf das mit BitLocker verschl sselte Volume auf dem Endpoint Computer wiederherzustellen SafeGuard Enterprise 5 50 Administrator Hilfe 23 9 Challenge Response mit virtuellen Clients Mit Recovery ber Challenge Response mit virtuellen Clients bietet SafeGuard Enterprise ein Recovery Verfahren f r verschl sselte Volumes in komplexen Notfallsituationen z B wenn die POA korrupt ist Dieses Verfahren l sst sich sowohl auf zentral verwaltete Computer als auch auf Standalone Computer anwenden Hinweis Recovery mit virtuellen Clients sollte nur in komplexen Notfallsituationen angewendet werden Wenn zum Beispiel nur ein Schl ssel f r die Wiederherstellung eines Volumes fehlt ist es am besten den fehlenden Schl ssel dem Schl sselbund des entsprechenden Benutzers zuzuweisen um
331. p Computer des SafeGuard Management Center erstellt haben Die Standardeinstellung f r die POA Gruppe ist Keine Gruppe Dar ber hinaus steht standardm ig eine leere Gruppe zur Auswahl zur Verf gung Diese Gruppe kann dazu verwendet werden die Zuweisung einer POA Access Account Gruppe auf Endpoint Computern zu l schen F r weitere Details siehe POA Access Accounts auf Endpoint Computern l schen Seite 108 Geben Sie einen Ausgabepfad f r die MSI Datei an Klicken Sie auf Konfigurationspaket erstellen Installieren Sie das Konfigurationspaketauf den Endpoint Computern Durch die Installation des Konfigurationspakets werden die Benutzer d h die POA Access Accounts die in der Gruppe enthalten sind auf den Computern zur POA hinzugef gt Die POA Access Accounts stehen f r die Anmeldung an die POA zur Verf gung SafeGuard Enterprise 5 50 Administrator Hilfe 14 8 POA Access Accounts auf Endpoint Computern l schen Sie k nnen POA Access Accounts auf Endpoint Computern l schen indem Sie den Computern eine leere POA Access Account Gruppe zuweisen r 5 6 W hlen Sie im Tools Men des SafeGuard Management Center den Befehl Konfigurationspakete W hlen Sie ein vorhandenes Konfigurationspaket aus oder erstellen Sie ein neues W hlen Sie eine leere POA Gruppe die sie zuvor im Bereich Benutzer amp Computer des SafeGuard Management Center angelegt haben oder die leere POA Gruppe die standard i
332. privaten Schl ssel der vom Server bei Bedarf erzeugt wird Lokale Benutzer erhalten keine weiteren Schl ssel der ihnen bergeordneten Container auch keinen Root Schl ssel Arbeitsgruppen erhalten gar keine Schl ssel Richtlinien f r autoregistrierte Objekte F r autoregistrierte Objekte k nnen ohne Einschr nkung Richtlinien erstellt werden Lokale Benutzer werden zur Gruppe authentisierte Benutzer hinzugef gt Computer werden zur Gruppe authentisierte Computer hinzugef gt Dementsprechend gelten f r sie die Richtlinien die f r diese Gruppe aktiviert wurden Neue Arbeitsgruppe erstellen Als SO k nnen Sie unter dem Stammverzeichnis einen Container erzeugen der eine Windows Arbeitsgruppe repr sentiert Arbeitsgruppen erhalten keine Schl ssel Sie k nnen nicht umbenannt werden 1 Klicken Sie im SafeGuard Management Center auf den Bereich Benutzer amp Computer 2 Rechts klicken Sie im linken Navigationsfenster auf Stamm Filter ist aktiv und w hlen Sie Neu gt Neue Arbeitsgruppe erzeugen autom Registrierung 3 Machen Sie in Allgemeine Informationen folgende Angaben a Vollst Name Namen f r die Arbeitsgruppe b Sie k nnen optional eine Beschreibung der Arbeitsgruppe einf gen c Unter Verbindungsstatus wird der Typ des Objekts angezeigt in diesem Fall Arbeitsgruppe d Klicken Sie auf Richtlinienvererbung stoppen wenn Richtlinien nicht vererbt werden sollen e Best tigen Sie die A
333. r Men leiste Aktionen gt Sicherungsdatei ffnen oder klicken Sie in der Symbolleiste auf das Symbol Sicherungsdatei ffnen 2 Das Fenster Sicherung ffnen wird angezeigt W hlen Sie die zu ffnende Sicherungsdatei aus und klicken Sie auf ffnen Die Sicherungsdatei wird ge ffnet und die Ereignisse werden in der Ereignisanzeige angezeigt Um wieder zur regul ren Ansicht der Ereignisanzeige zur ckzukehren klicken Sie erneut auf das Symbol Sicherungsdatei ffnen in der Symbolleiste 26 12 Regelm ige S uberung der EVENT Tabelle ber Skript F r die automatische und effiziente S uberung der EVENT Tabelle stehen im tools Verzeichnis Ihrer SafeGuard Enterprise Produkt CD vier SQL Skripte zur Verf gung E spShrinkEventTable_install sql E ScheduledShrinkEventTable_install sql E spShrinkEventTable_uninstall sql E ScheduledShrinkEventTable_uninstall sql Die beiden Skripte spshrinkEventTable_install sql und ScheduledShrinkEventTable_install sql installieren eine gespeicherte Prozedur am Datenbankserver sowie einen Scheduled Job der die gespeicherte Prozedur in definierten regelm igen Abst nden ausf hren l sst Die gespeicherte Prozedur verschiebt Ereignisse aus der EVENT Tabelle in die Backup Log Tabelle EVENT_BACKUP Dabei wird eine definierte Anzahl an neuesten Ereignissen in der EVENT Tabelle belassen SafeGuard Enterprise 5 50 Administrator Hilfe Die beiden Skripte spSh
334. r Service Account Listen im Richtlinien Navigationsfenster 6 Klicken Sie im Aktionsbereich mit der rechten Maustaste um das Kontextmen f r die Service Account Liste zu ffnen W hlen Sie Hinzuf gen im Kontextmen 7 Klicken Sie im Arbeitsbereich mit der rechten Maustaste Das Kontextmen f r die Service Account Liste wird ge ffnet W hlen Sie Hinzuf gen 8 Speichern Sie Ihre nderungen indem Sie auf das Speichern Symbol in der Symbolleiste klicken Die Service Account Liste ist registriert und kann beim Anlegen einer Richtlinie ausgew hlt werden 13 2 Zus tzliche Informationen zur Eingabe von Benutzer und Dom nennamen F r die Definition von Benutzern in Service Account Listen in den beiden Feldern Benutzername und Dom nenname gibt es unterschiedliche Vorgehensweisen siehe Verschiedene Anmeldekombinationen abdecken Seite 98 Dar ber hinaus gelten f r die Eingabewerte in diesen Feldern bestimmte Einschr nkungen siehe Einschr nkungen Seite 100 13 2 1 Verschiedene Anmeldekombinationen abdecken Durch die beiden separaten Felder Benutzername und Dom nenname pro Listeneintrag bieten die Service Account Listen die zum Abdecken aller m glichen Anmeldekombinationen z B Benutzer Dom ne oder Dom ne Benutzer erforderliche Flexibilit t Um mehrere Kombinationen aus Benutzername und Dom nenname anzugeben k nnen Sie Asterisken als Platzhalter verwenden Ein ist als erstes Zeichen als letztes
335. r nur das SafeGuard Management Center installiert ist hat nach der ersten Installation keine Verbindung zum Server F r die Nutzung der Protokollierung ist es in diesem Fall notwendig auf dieser Maschine das Client Paket auszuf hren Dadurch wird die Maschine beim Server als Client aktiviert und die Protokollierungsfunktionalit t kann benutzt werden Weitere Informationen zum Client Paket finden Sie im SafeGuard Enterprise Installationshandbuch SafeGuard Enterprise 5 50 Administrator Hilfe 26 3 Ziel f r protokollierte Ereignisse Ziel der protokollierten Ereignisse kann die Windows Ereignisanzeige oder die SafeGuard Enterprise Datenbank sein In das jeweilige Ziel schreibt die Protokollierung nur Ereignisse die mit einem SafeGuard Produkt verkn pft sind Die Ausgabeziele f r zu protokollierende Ereignisse werden in der Protokollierungsrichtlinie festgelegt 26 3 1Windows Ereignisanzeige Ereignisse f r die Sie in der Protokollierungsrichtlinie die Windows Ereignisanzeige als Ziel festlegen werden in der Windows Ereignisanzeige abgelegt ber die Windows Ereignisanzeige lassen sich Protokolle f r System Sicherheits und Anwendungs Ereignisse anzeigen und verwalten sowie die Ereignisprotokolle sichern F r diese Vorg nge ben tigen Sie einen Administrator Account f r den jeweiligen Client In der Ereignisanzeige wird jeweils ein Fehlercode kein beschreibender Text des Ereignisses angezeigt Hinweis Dieses Kapitel besch
336. r und Sicherheitsbeauftragter ist diese Berechtigung standardm ig zugewiesen Neu angelegten benutzerdefinierten Rollen kann diese Berechtigung jederzeit zugewiesen werden 86 SafeGuard Enterprise 5 50 Administrator Hilfe 10 8 Regeln f r die Zuweisung und Auswertung von Richtlinien Die Verwaltung und Auswertung von Richtlinien folgt den in diesem Kapitel dargestellten Regeln 10 8 1 Richtlinien zuweisen und aktivieren Damit eine Richtlinie f r einen Benutzer Computer wirksam werden kann muss sie einem Container Objekt Root Knoten Dom ne OU BuiltIn Container oder Arbeitsgruppe zugewiesen werden Damit die zugewiesene Richtlinie f r Benutzer Computer wirksam wird werden beim Zuweisen einer Richtlinie an einer beliebigen Stelle in der Hierarchie alle Computer authentisierte Computer und alle Benutzer authentisierte Benutzer automatisch aktiviert die alleinige Zuweisung ohne Aktivierung reicht nicht aus In diesen Gruppen sind alle Benutzer bzw Computer zusammengefasst 10 8 2 Vererbung von Richtlinien Vererbung von Richtlinien ist nur zwischen Container Objekten m glich Nur Container Objekte k nnen Richtlinien von bergeordneten Container Objekten erben Innerhalb eines Containers vorausgesetzt er enth lt keine weiteren Container Objekte k nnen Richtlinien nur aktiviert werden auf Gruppenebene Vererbung zwischen Gruppen ist nicht m glich 10 8 3 Vererbungsreihenfolge von Richtlinien Werden Richtli
337. r zus tzlichen Authentisierung erforderlich ist 805306393 Der Pr fungsbeauftragte kann nicht gel scht werden da ein weiterer Pr fungsbeauftragter zur zus tzlichen Authentisierung erforderlich ist 805306394 Der Recovery Beauftragte kann nicht gel scht werden da ein Recovery Beauftragter zur zus tzlichen Authentisierung erforderlich ist 805306395 Der Beratungsbeauftragte kann nicht gel scht werden da ein Beratungsbeauftragter zur zus tzlichen Authentisierung erforderlich ist 805306396 Die Funktion des Haupt Sicherheitsbeauftragten kann nicht entfernt werden da ein zweiter Haupt Sicherheitsbeauftragter zur zus tzlichen Authentisierung erforderlich ist 805306397 Die Funktion des Sicherheitsbeauftragten kann nicht entfernt werden da ein Sicherheitsbeauftragter zur zus tzlichen Authentisierung erforderlich ist 805306398 Die Funktion des Pr fungsbeauftragten kann nicht entfernt werden da ein Pr fungsbeauftragter zur zus tzlichen Authentisierung erforderlich ist 805306399 Die Funktion des Wiederherstellungsbeauftragten kann nicht entfernt werden da ein Recovery Beauftragter zur zus tzlichen Authentisierung erforderlich ist 805306400 Die Funktion des Beratungsbeauftragten kann nicht entfernt werden da ein Beratungsbeauftragter zur zus tzlichen Authentisierung erforderlich ist 805306401 Ein zus tzlicher Beauftragter mit der gew nschten Funktion ist zur zus tzlichen Authentisierung nicht verf gbar 805306402 Ereignis
338. ration fehlgeschlagen SafeGuard Enterprise 5 50 Administrator Hilfe Kategorie Ereignis ID Beschreibung Administration Autorisierung an der SafeGuard Enterprise Administration fehlgeschlagen Administration Benutzer genehmigt zus tzliche Autorisierung Administration Zus tzliche Autorisierung von Benutzer fehlgeschlagen Administration Datenimport vom Verzeichnis erfolgreich Administration Datenimport vom Verzeichnis abgebrochen Administration 2508 Datenimport vom Verzeichnis fehlgeschlagen Administration 2511 Benutzer angelegt Administration Benutzer wurde ge ndert Administration Benutzer gel scht Administration Anlegen des Benutzers fehlgeschlagen Administration L schen des Benutzers fehlgeschlagen Administration 2525 Computer angelegt Administration 2529 Computer gel scht Administration Anlegen des Computers fehlgeschlagen Administration L schen des Computers fehlgeschlagen Administration OU angelegt Administration OU gel scht Administration Anlegen der OU fehlgeschlagen Administration Importieren der OU fehlgeschlagen Administration L schen der OU fehlgeschlagen Administration Gruppe angelegt Administration Gruppe ge ndert Administration Gruppe umbenannt Administration 2557 Gruppe gel scht Administration Anlegen der Gruppe fehlgeschlagen Administration ndern der Gruppe fehlgeschlagen Administratio
339. rd am angegebenen Speicherort gespeichert Konfiguration importieren Um eine Datenbankkonfiguration zu verwenden oder zu ndern k nnen Sie eine zuvor erstellte Konfiguration in das SafeGuard Management Center importieren Hier gibt es zwei M glichkeiten m ber das SafeGuard Management Center f r Multi Tenancy m durch Doppelklicken auf die Konfigurationsdatei f r Single und Multi Tenancy Konfiguration ber das SafeGuard Management Center importieren 1 Starten Sie das SafeGuard Management Center Der Dialog Konfiguration ausw hlen wird angezeigt 2 Klicken Sie auf Import w hlen Sie die gew nschte Konfigurationsdatei aus und klicken Sie auf ffnen 3 Geben Sie das Kennwort ein das w hrend des Exports f r die Konfigurationsdatei erstellt wurde und klicken Sie auf OK 4 Die ausgew hlte Konfiguration wird angezeigt Um zu best tigen dass diese Konfiguration aktiviert werden soll klicken Sie auf OK 5 Zur Authentisierung werden Sie dazu aufgefordert den Sicherheitsbeauftragtennamen f r diese Konfiguration auszuw hlen und das entsprechende Zertifikatsspeicherkennwort einzugeben Best tigen Sie Ihre Angaben mit OK Das SafeGuard Management Center wird ge ffnet und mit der ausgew hlten Datenbankkonfiguration verbunden 22 SafeGuard Enterprise 5 50 Administrator Hilfe 23 4 6 Konfiguration durch Doppelklicken auf die Konfigurationsdatei importieren Single und Multi Tenancy Hinwei
340. rden bei einer Richtlinie f r Computer Benutzereinstellungen durchgef hrt werden diese Einstellungen durch die Richtlinie f r den Benutzer berschrieben Achtung Nur die Benutzereinstellungen werden berschrieben Sollte eine Richtlinie f r Benutzer auch Maschineneinstellungen beinhalten blau dargestellte Einstellungen werden diese nicht von einer Benutzerrichtlinie berschrieben Beispiel 1 Wird f r eine Computergruppe die Kennwortl nge 4 definiert die Benutzergruppe hat aber f r dieselbe Einstellung den Wert 3 gilt f r diesen Benutzer auf einem Computer der Computergruppe ein Kennwort mit der L nge 3 Beispiel 2 Wird f r eine Benutzergruppe ein Serverintervall von 1 Minute definiert und f r eine Computergruppe der Wert 3 so wird der Wert 3 verwendet da es sich beim Wert 1 Minute um eine Maschineneinstellung die in einer Richtlinie f r Benutzer definiert wurde handelt 10 8 7 Sich widersprechende Verschl sselungsrichtlinien Es werden zwei Richtlinien Pl und P2 angelegt F r Pl wurde eine dateibasierende Verschl sselung f r Laufwerk E definiert und f r P2 eine volume basierende Verschl sselung f r Laufwerk E P1 wird der OU FBE User und P2 der OU VBE User zugewiesen Fall 1 Ein Benutzer aus OU FBE User meldet sich zuerst am Client XP 100 Container Computer an Das Laufwerk E wird dateibasierend verschl sselt Meldet sich ein Benutzer danach aus der OU VBE User am Client XP 100 an so wird das L
341. rdschl ssel f r die Initialverschl sselung Klartext Ordner Erkl rung ber einen Dialog kann ein Schl ssel ausgew hlt werden der f r die dateibasierte Initialverschl sselung verwendet wird Der Benutzer kann dann beim Start der Initialverschl sselung keinen Schl ssel w hlen Die Initialverschl sselung startet ohne Benutzerinteraktion F r die Initialverschl sselung wird immer der hier festgelegte Schl ssel verwendet Beispiel Voraussetzung Ein Standardschl ssel f r die Initialverschl sselung ist gesetzt Verbindet der Benutzer ein USB Ger t mit dem Computer startet die Initialverschl sselung automatisch Der definierte Schl ssel wird benutzt Es ist kein Benutzereingriff notwendig Will der Benutzer anschlie end Dateien umschl sseln oder neue Dateien auf dem USB Medium speichern kann er einen beliebigen Schl ssel ausw hlen falls erlaubt und verf gbar Schlie t er dann ein anderes USB Ger t an wird wiederum der Schl ssel der f r die Initialverschl sselung festgelegt wurde zur Initialverschl sselung verwendet Dieser Schl ssel wird auch f r folgende Verschl sselungsoperationen verwendet bis der Benutzer explizit einen anderen Schl ssel ausw hlt Hinweis Wenn die Medien Passphrase Funktion aktiviert ist wird diese Option deaktiviert Der f r die Verschl sselung definierte Schl ssel wird verwendet Der hier angegebene Ordner wird auf allen Wechselmedien erstellt Dateien die in
342. reiben jene einer niedriger priorisierten Ist eine Einstellung auf nicht konfiguriert gesetzt wird die Einstellung in einer niedriger priorisierten Richtlinie nicht berschrieben Ausnahme Ger teschutz Richtlinien f r den Ger teschutz werden nur vereinigt wenn sie f r dasselbe Ziel z B Boot Volume angelegt werden Weisen sie auf verschiedene Ziele werden sie addiert 9 Speichern Sie die Richtliniengruppe ber Datei gt Speichern Die Richtliniengruppe enth lt nun die Einstellungen aller einzelnen Richtlinien 10 3 2 Ergebnis der Gruppierung 8l Das Ergebnis der Zusammenfassung wird in einer eigenen Ansicht dargestellt Klicken Sie zum Anzeigen der Zusammenfassung auf die Registerkarte Ergebnis m F r jeden Richtlinien Typ steht eine eigene Registerkarte zur Verf gung Die aus der Zusammenfassung der einzelnen Richtlinien resultierenden Einstellungen werden angezeigt m F r Richtlinien zum Ger teschutz werden Registerkarten f r jedes Ziel der Richtlinie angezeigt z B Boot Volumes Laufwerk X usw 10 4 Richtlinien und Richtliniengruppen sichern Sie k nnen Sicherungskopien von Richtlinien und Richtliniengruppen in Form von XML Dateien erstellen Falls notwendig lassen sich die betreffenden Richtlinien Richtliniengruppen daraufhin aus diesen XML Dateien wiederherstellen So erstellen Sie eine Sicherungskopie von einer Richtlinie Richtliniengruppe l Markieren Sie die Richtlinie Richtlinie
343. reibt das Einsehen sowie die Verwaltung und Analyse der Ereignisprotokolle im SafeGuard Management Center Weitere Informationen zum Einsehen und Verwalten von Ereignisprotokollen ber die Windows Ereignisanzeige finden Sie in Ihrer Microsoft Dokumentation 26 3 2SafeGuard Enterprise Datenbank Ereignisse f r die Sie in der Protokollierungsrichtlinie die SafeGuard Enterprise Datenbank als Ziel festlegen werden in lokalen Protokolldateien im Local Cache des jeweiligen Benutzer PCs im Verzeichnis auditing SGMTranslog gesammelt Diese Dateien werden an den Transportmechanismus bergeben der sie dann ber den SafeGuard Enterprise Server in die Datenbank eintr gt Die bergabe erfolgt standardm ig immer dann wenn der Transportmechanismus erfolgreich eine Verbindung zum Server aufbauen konnte Um die Gr e einer Protokolldatei einzuschr nken k nnen Sie in einer Richtlinie des Typs Allgemeine Einstellungen eine maximale Anzahl an Protokolleintr gen definieren Die Protokolldatei wird dann vom Protokollsystem nach Erreichen der festgelegten Anzahl an Eintr gen in die Transportqueue des SafeGuard Enterprise Servers gestellt Danach wird eine neue Protokolldatei begonnen Die in der zentralen Datenbank protokollierten Ereignisse lassen sich in der SafeGuard Enterprise Ereignisanzeige abrufen F r das Einsehen Analysieren und Verwalten der in der Datenbank protokollierten Ereignisse ben tigen Sie als Sicherheitsbeauftragter die relevanten Bere
344. reits 1201 Registry Eintrag konnte nicht ge ffnet werden 1202 Registry Eintrag konnte nicht gelesen werden 1203 Registry Eintrag konnte nicht geschrieben werden 1204 Registry Eintrag konnte nicht entfernt werden 1205 Registry Eintrag konnte nicht erzeugt werden 1206 Kein Zugriff auf einen Systemdienst oder Treiber m glich 1207 Ein Systemdienst oder Treiber konnte nicht in der Registry eingetragen werden 1208 Ein Systemdienst oder Treiber konnte nicht aus der Registry entfernt werden 1209 Ein Systemdienst oder Treiber ist bereits in der Registry eingetragen 1210 Kein Zugriff auf den Service Control Manager m glich 1211 Ein Eintrag f r eine Session konnte in der Registry nicht gefunden werden 1212 Ein Registry Eintrag is ung ltig oder falsch 1301 Zugriff auf ein Laufwerk ist fehlgeschlagen 1302 Keine Informationen ber ein Laufwerk vorhanden 1303 Kein Zugriff auf ein Volume m glich 1304 Ung ltige Option definiert 1305 Unzul ssiges Dateisystem 1306 Das existierende Dateisystem auf einem Volume und das definierte sind unterschiedlich 1307 Die vorhandene Gr e eines Dateisystem Clusters und die definierte Gr e sind unterschiedlich 1308 Unzul ssige Sektorgr e eines Dateisystems definiert 320 SafeGuard Enterprise 5 50 Administrator Hilfe 1311 Es konnte kein unfragmen
345. richtlinie angewendet wenn eine Richtlinie f r den derzeit angemeldeten Benutzer vorhanden ist Ist dies nicht der Fall sucht SafeGuard Configuration Protection nach einer Richtlinie die f r den Computer gilt und wendet diese an falls vorhanden Ist also kein Benutzer angemeldet so wird die computergebundene Richtlinie angewendet Daher ist es empfehlenswert benutzerbasierte Richtlinien zu verteilen so dass jeder Benutzer unabh ngig vom Computer auf dem er sich anmeldet dieselbe Richtlinie erh lt und restriktivere computerbasierende Richtlinien zu definieren Die computerbasierenden Richtlinien sollten auch dann die Benutzung von Ger ten wie Maus und Tastatur zulassen wenn kein Benutzer oder ein Benutzer au erhalb der Dom ne angemeldet ist SafeGuard Enterprise Administrator Hilfe Die initiale Konfiguration des SafeGuard Protection Client l sst Port und Ger teaktivit ten vollst ndig zu d h nichts ist blockiert Dies ist notwendig damit nicht alle Port Aktivit ten automatisch nach der Installation des SafeGuard Configuration Protection Client blockiert werden Ein Computer auf dem SafeGuard Configuration Client gerade installiert wurde arbeitet somit wie zuvor Ports und Ger te sind nicht blockiert bis Sie Richtlinien definieren und an Ihre Endger te nach Benutzer oder Computer verteilen Hinweis Die Maschinenrichtlinie wird als Ersatzrichtlinie verwendet falls die Benutzerrichtlinie nicht verwendet werde
346. rierung automatisch in dieses Format konvertiert Wenn eine Konvertierung durchgef hrt wird werden Sie durch eine Meldung dar ber informiert So registrieren Sie die Textdateien 1 Klicken Sie im Richtlinien Navigationsbereich mit der rechten Maustaste auf Informationstext und w hlen Sie Neu gt Text 2 Geben Sie im Feld Textelementname einen Namen f r den anzuzeigenden Text ein 3 W hlen Sie ber die Schaltfl che die zuvor erstellte Textdatei aus Wenn eine Konvertierung notwendig ist wird eine entsprechende Meldung angezeigt 4 Klicken Sie auf OK Das neue Textelement wird als Unterknoten des Eintrags Informationstext im Richtlinien Navigationsbereich angezeigt Ist ein Textelement markiert wird sein Inhalt im Aktionsbereich angezeigt Das Textelement kann jetzt beim Erstellen von Richtlinien ausgew hlt werden Um weitere Textelemente zu registrieren gehen Sie wie beschrieben vor Alle registrierten Textelemente werden als Unterknoten angezeigt Hinweis Mit der Schaltfl che Text ndern k nnen Sie weiteren Text zum bestehenden Text hinzuf gen Es wird ein Dialog ge ffnet in dem eine weitere Textdatei ausgew hlt werden kann Der in dieser Datei enthaltene Text wird am Ende des bestehenden Texts eingef gt SafeGuard Enterprise 5 50 Administrator Hilfe 15 6 Syntaxregeln f r Kennw rter Kennw rter k nnen sowohl Ziffern Buchstaben als auch Sonderzeichen wie etc enthalten Verwenden Si
347. rinkEventTable_uninstall sql und ScheduledShrinkEventTable_uninstall sql deinstallieren die gespeicherte Prozedur sowie den Scheduled Job und l schen die Tabelle EVENT_BACKUP Achtung Wenn Sie die Ereignisse ber die gespeicherte Prozedur aus der EVENT Tabelle in die Backup Log Tabelle verschieben findet die Verkettung der Protokollierung keine Anwendung mehr Es ist daher nicht sinnvoll die Verkettung zu aktivieren und gleichzeitig die gespeicherte Prozedur zur S uberung der EVENT Tabelle einzusetzen F r weitere Informationen zur Verkettung von Ereignissen siehe Verkettung von protokollierten Ereignissen auf Seite 295 26 12 1Gespeicherte Prozedur erstellen Das Skript spshrinkEventTable_install sql erstellt eine gespeicherte Prozedur die Daten aus der EVENT Tabelle in eine Backup Log Tabelle mit dem Namen EVENT_BACKUP verschiebt Wenn die Tabelle EVENT_BACKUP noch nicht vorhanden ist wird sie automatisch erstellt Die erste Zeile lautet USE SafeGuard Wenn Sie f r Ihre SafeGuard Enterprise Datenbank einen anderen Namen als SafeGuard verwendet haben ndern Sie den Namen hier entsprechend Die gespeicherte Prozedur bel sst die lt n gt neuesten Ereignisse in der EVENT Tabelle und verschiebt den Rest in die Tabelle EVENT_BACKUP Die Anzahl an Ereignissen die in der EVENT Tabelle verbleiben sollen wird ber einen Parameter festgelegt Um die gespeicherte Prozedur auszuf hren verwenden Sie folgenden Befehl in S
348. rise 5 50 Administrator Hilfe 30 Bedeutung der SGMERR Codes in der Windows Ereignisanzeige In der Windows Ereignisanzeige k nnten Sie folgende Meldung finden Authorization for SafeGuard Enterprise Administration failed for user Reason 536870951 Welche Bedeutung die Nummer 536870951 hat finden Sie in dieser Tabelle Nummer 536870951 bedeutet zum Beispiel Die angegebene PIN ist falsch der Benutzer konnte nicht authentisiert werden Fehler ID Anzeige 0 OK 1 Fehler in Parameter 1 Fehler in Parameter 2 Fehler in Parameter 3 Fehler in Parameter 4 Fehler in Parameter 6 Fehler in Parameter 7 Fehler in Parameter 8 2 3 4 5 Fehler in Parameter 5 6 7 8 9 Fehler in Parameter 9 10 Fehler in Parameter 10 11 Fehler in Parameter 11 12 Fehler in Parameter 12 13 Fehler in Parameter 13 14 Fehler in Parameter 14 15 Fehler in Parameter 15 16 Fehler in Parameter 16 17 Fehler in Parameter 17 18 Fehler in Parameter 18 19 Fehler in Parameter 19 20 Funktion nicht ausgef hrt 21 Interner Fehler entdeckt 319 SafeGuard Enterprise 5 50 Administrator Hilfe 22 Modul nicht initialisiert 23 Datei I O Fehler entdeckt 24 Speicher kann nicht zugewiesen werden 25 Datei I O Lesefehler 26 Datei 1 O Schreibfehler 50 Keine Operation durchgef hrt 101 Allgemeiner Fehler 102 Zugriff verweigert 103 Datei existiert be
349. risierung l sst sich sowohl vordefinierten als auch benutzerdefinierten Rollen zuweisen Sobald es mindestens zwei Beauftragte mit der gleichen Rolle gibt kann auch die eigene Rolle ausgew hlt werden Die Rolle die die zus tzliche Autorisierung durchf hren soll muss einem Benutzer zugewiesen sein und es m ssen mindestens zwei Benutzer in der SafeGuard Datenbank vorhanden sein Wenn die zus tzliche Autorisierung f r eine Aktion erforderlich ist ist sie auch dann erforderlich wenn der Benutzer eine weitere Rolle hat die die zus tzliche Autorisierung f r diese Aktion nicht erfordert Wenn ein Sicherheitsbeauftragter ohne Berechtigung zum ndern der Einstellungen f r die zus tzliche Autorisierung eine Rolle anlegt werden die Einstellungen f r die zus tzliche Autorisierung der neuen Rolle gem den definierten Einstellungen f r den anlegenden Benutzer voreingestellt Hinweis Zwei Sicherheitsbeauftragte d rfen auf einem Computer nicht dasselbe Windows Account benutzern Andernfalls lassen sich ihre Zugriffsrechte nicht sauber trennen Unter Umst nden ist die zus tzliche Autorisierung nur dann sinnvoll wenn sich die Sicherheitsbeauftragten ber kryptographische Token Smartcards anmelden m ssen SafeGuard Enterprise 5 50 Administrator Hilfe 7 2 Eine neue Rolle anlegen Voraussetzung Um eine neue Rolle anzulegen ben tigen Sie das Recht benutzerdefinierte Rollen einzusehen und zu verwalten Um die zus tzliche Au
350. rmation des Dialogs Recovery Typ klicken und anschlie end Jetzt suchen klicken Eine Liste mit Computern wird angezeigt W hlen Sie den gew nschten Computer aus und klicken Sie auf OK Der Computername wird nun im Fenster Recovery Typ unter Dom ne angezeigt m Geben Sie den Kurznamen des Computers ein Wenn Sie auf Weiter klicken wird der Name in der Datenbank gesucht Der gefundene Computername wird als Distinguished Name angezeigt m Geben Sie den Computernamen direkt als Distinguished Name ein zum Beispiel CN Desktopl1 0U Development OU Headquarter DC Sophos DC edu 4 Klicken Sie auf Weiter Das Programm bestimmt nun automatisch ob es sich um einen nativen SafeGuard Enterprise Computer oder um einen mit BitLocker verschl sselten Computer handelt und passt den Recovery Workflow entsprechend an Im Falle eines nativen SafeGuard Enterprise Computers wird im n chsten Schritt die Auswahl der Benutzerinformationen verlangt Nachdem der Computer in der Datenbank gefunden wurde wird nun der entsprechende Benutzername und die Dom ne f r das Recovery eines SafeGuard Enterprise Clients ben tigt 1 W hlen Sie die Dom ne des Benutzers 2 Geben Sie den Benutzernamen ein Hierf r gibt es mehrere M glichkeiten W hlen Sie den Benutzernamen indem Sie auf im Abschnitt Benutzerinformation des Dialogs Recovery f r die Anmeldung klicken und anschlie end Jetzt suchen klicken Eine Liste mit Benutzernamen wird angezeigt
351. rogram Information Datei Batch Befehl ActiveX Object Linking and Embedding OLE Control Erweiterung Befehl Windows Systemsteuerung Erweiterung Windows Bildschirmschoner Virtual Device Treiber System Device Treiber Java Bytcode Python Compiler Skript Bytecode Program Library Common Object File Format COFF Dateiformat f r allgemeines Objekt InstallShield Skript Objektdatei Objektdatei ZIP komprimiertes Archiv ARJ komprimiertes Archiv WinRAR komprimiertes Archiv GZIP komprimiertes Archiv Bandarchiv SafeGuard Enterprise Administrator Hilfe CD DVD Disc Images Databanken JAR ACE HQX LZH LHA AR ARC CAB Ir ISO BIN CIF CCD IMG MDF DAA C2D MDB ACCDB ACCDT MDA MDW MDE MYD MYI FRM DBF DBT GDB PX JAR komprimiertes Archiv WinAce komprimiertes Archiv Macintosh BinHex 4 komprimiertes Archiv LHA komprimiertes Archiv LHA komprimiertes Archiv AIX Small Indexed Archiv LH ARC komprimiertes Archiv Cabinet komprimiertes Archiv Komprimierte Installationsdateien z B EX_ DL_ ISO Disc Image BIN Disc Image EasyCD Creator Disc Image CloneCD Disc Image CloneCD Disc Image Alcohol 120 Disc Image PowerISO Disc Image WinOnCD Disc Image Microsoft Access Datenbank Microsoft Access Datenbank Microsoft Access Datenbankvorlage Microsoft Access Add In Microsoft Access Arbeitsgruppe Microsoft Access kompilierte Datenbank MySQL MyISAM Datenbank MySQL MyISAM Datenb
352. rprise Server geschickt Im SafeGuard Management Center werden dann folgende Eintr ge erzeugt Benutzer amp Computer Baum Stammverzeichnis _ Authentisierte Computer _ Authentisierte Benutzer _ Automatisch registriert _BeispielDom ne Eintrag erzeugt wenn mit AD synchronisiert _ Automatisch registriert _BeispielComputer Eintrag erzeugt bei Anmeldung _BeispielBenutzer Eintrag erzeugt bei Anmeldung Mit der n chsten Synchronisierung zwischen dem AD und der SafeGuard Enterprise Datenbank werden BeispielComputer und BeispielBenutzer automatisch in ihre korrekten Organisationseinheiten OU verschoben Der Sicherheitsbeauftragte kann dem Verzeichnis Automatisch registriert zwar Richtlinien zuweisen aber diese Richtlinien gelten nur f r den BeispielComputer und den BeispielBenutzer so lange diese Objekte sich im Verzeichnis Automatisch registriert befinden Sobald die Objekte durch die Synchronisierung zwischen AD und der SafeGuard Enterprise Datenbank in ihre Organisationseinheiten OU verschoben werden gelten hingegen f r den BeispielComputer und den BeispielBenutzer die Richtlinien dieser OUs SafeGuard Enterprise 5 50 Administrator Hilfe 3 3 3 4 3 5 Schl ssel und Zertifikate f r autoregistrierte Objekte F r jedes autoregistrierte Objekt wird vom Server bei Bedarf ein Zertifikat erstellt Ein lokaler Benutzer erh lt zwei Schl ssel m den Schl ssel des Containers Automatisch registriert m den
353. rprise liest den Token ein 2 Markieren Sie den Benutzer f r den ein Token ausgestellt werden soll und ffnen Sie im rechten Arbeitsbereich die Registerkarte Token Daten 204 SafeGuard Enterprise 5 50 Administrator Hilfe 3 Gehen Sie im Dialog Token Daten wie folgt vor a W hlen Sie die Benutzer ID und Dom ne des betreffenden Benutzers aus und geben Sie sein Windows Kennwort ein b Klicken Sie auf Token ausstellen 4 W hlen Sie im Dialog Token ausstellen den entsprechenden Slot f r den Token aus 5 Vergeben Sie eine neue Benutzer PIN und wiederholen Sie die Eingabe 6 Geben Sie unter SO PIN die vom Hersteller erhaltene Standard PUK bzw die bei der Token Initialisierung vergebene PIN ein Hinweis Wenn Sie nur das Feld Benutzer PIN erforderlich ausf llen muss die Benutzer PIN mit der PIN bereinstimmen die bei der Token Initialisierung vergeben wurde Sie m ssen die Benutzer PIN dann nicht wiederholen und keine SO PIN eingeben 7 Klicken Sie auf Token jetzt ausstellen Der Token wird ausgestellt die Anmeldeinformationen auf den Token geschrieben und die Token Informationen in der SafeGuard Enterprise Datenbank hinterlegt Im Bereich Token k nnen Sie sich in der Registerkarte Token Information die Daten anzeigen lassen 18 5 2 Token oder Smartcard f r Sicherheitsbeauftragte ausstellen 205 Bei der Erstinstallation von SafeGuard Enterprise besteht f r den ersten Sicherheitsbeauftragten SO bereits
354. rs neue Richtlinien erhalten ber Balloon Tool Tips ausgegeben werden Ja System Tray Icon wird im Infobereich der Taskleiste angezeigt der Benutzer wird ber Balloon Tool Tips laufend ber den Status des durch SafeGuard Enterprise gesch tzten Computer Nein System Tray Icon wird nicht angezeigt Keine Statusinformationen f r den Benutzer ber Ballon Tool Tips Stumm System Tray Icon wird im Infobereich der Taskleiste angezeigt es werden aber keine Statusinformationen f r den Benutzer ber Ballon Tool Tips ausgegeben Bestimmt ob im Windows Explorer Schl sselsymbole zur Anzeige des Verschl sselungsstatus von Volumes Ger ten Ordnern und Dateien angezeigt werden Virtuelle Tastatur in der POA INSTALLATIONSOPTIONEN Deinstallation erlaubt EINSTELLUNGEN F R DIE KRYPTOGRAPHISCHE BASISINFRASTRUKTUR Windows Cryptographic Toolkits Bestimmt ob im POA Anmeldedialog bei Bedarf eine virtuelle Tastatur zur Eingabe des Kennworts angezeigt werden kann Bestimmt ob die Deinstallation von SafeGuard Enterprise auf den Client Computern m glich ist Wird Deinstallation erlaubt auf Nein gesetzt kann SafeGuard Enterprise solange eine Richtlinie mit dieser Einstellung wirksam ist auch mit Administratorrechten nicht deinstalliert werden M gliche Optionen m SafeGuard Cryptographic Engine m AFT SafeSign TPM Unterst tzung Hardwarezufallszahlengenerator Ben tigt ein spezielles Mainboard im P
355. rt die Windows Ereignisanzeige des jeweiligen Clients oder die SafeGuard Enterprise Datenbank Als Sicherheitsbeauftragter mit den entsprechenden Rechten k nnen Sie die im SafeGuard Management Center angezeigten Statusinformationen und Protokollberichte einsehen ausdrucken und archivieren Umfassende Sortier und Filterfunktionen unterst tzen Sie bei der Auswahl relevanter Ereignisse aus den verf gbaren Informationen Auch eine automatisierte Auswertung der Log Datenbank zum Beispiel ber Crystal Reports oder Microsoft System Center Operations Manager ist m glich Die Protokolleintr ge werden von SafeGuard Enterprise sowohl auf Client als auch auf Server Seite durch Signatur gegen unbefugte Manipulation gesch tzt Gem der definierten und zugewiesenen Protokollierungsrichtlinie k nnen Ereignisse aus den folgenden Kategorien protokolliert werden m Anmeldung m Administration m System m Verschl sselung m Client m Kommunikation m Zugriffskontrolle 286 SafeGuard Enterprise 5 50 Administrator Hilfe 26 1 Anwendungsgebiete Die SafeGuard Enterprise Protokollierung von Ereignissen ist eine benutzerfreundliche und umfassende L sung zum Aufzeichnen und Auswerten von Ereignissen Die folgenden Beispiele zeigen einige typische Anwendungsszenarien f r die SafeGuard Enterprise Berichte Funktionalit t Zentrale berwachung von Arbeitsstationen im Netzwerk Der zust ndige Sicherheitsbeauftragte will regelm ig
356. rung anfordern in der Symbolleiste klicken bertragen die jeweiligen Benutzer PCs ihre aktuellen Bestandinformationen W hlen Sie den Befehl f r einen Knoten so werden alle Computer im Knoten sowie in allen Unterknoten einbezogen 280 SafeGuard Enterprise 5 50 Administrator Hilfe F r die Aktualisierung der Ansicht im SafeGuard Management Center steht wie f r andere Bereiche des Management Centers der Befehl Aktualisieren im Kontextmen f r den einzelnen oder alle Computer eines Knotens sowie im Men Ansicht in der Men leiste zur Verf gung Zur Aktualisierung der Ansicht k nnen Sie auch das Doppelpfeilsymbol Aktualisieren in der Symbolleiste w hlen 25 1 3 bersicht Die einzelnen Spalten der bersicht zeigen folgende Informationen Spalte Computername Betriebssystem Erkl rung Zeigt den Namen des Computers Zeigt das Betriebssystem des Computers Letzte erhaltene Richtlinie Zeigt an wann Datum und Uhrzeit der Client die letzte Richtlinie erhalten hat Verschl sselte Laufwerke Unverschl sselte Laufwerke POA Typ Zeigt die verschl sselten Laufwerke des Computers Zeigt die unverschl sselten Laufwerke des Computers Gibt an ob es sich bei dem betreffenden Computer um einen BitLocker Client oder einen nativen SafeGuard Enterprise Client handelt POA WOL nderungsdatum Gibt an ob die Power on Authentication f r den Computer aktiviert ist Gibt an ob Wake On LAN f
357. rzubereiten indem daf r notwendige Parameter wie das tempor re Deaktivieren der POA und ein Zeitintervall f r Wake On LAN dem Client direkt mitgegeben werden k nnen und von ihm ausgewertet werden Das Roll out Team kann durch die zur Verf gung gestellten Kommandos ein Scheduling Skript so gestalten dass die gr tm gliche Sicherheit des Clients trotz deaktivierter POA gew hrleistet bleibt Wir weisen an dieser Stelle ausdr cklich darauf hin dass auch das zeitlich begrenzte Ausschalten der POA f r eine bestimmte Anzahl von Boot Vorg ngen ein Absenken des Sicherheitsniveaus bedeutet Beispiel Das SW Roll out Team informiert den SafeGuard Enterprise SO ber einen geplanten SW Roll out f r den 25 September 2010 zwischen 03 00 und 06 00 Uhr Es sind 2 Neustarts notwendig Der lokale SW Roll out Agent muss sich an Windows anmelden k nnen Der SO erstellt folgende Richtlinie und weist sie den entsprechenden Endpoint Computern zu Anzahl der automatischen Anmeldungen 0 kein WOL 5 Anmeldung an Windows erlaubt w hrend WOL Ja Beginn des Zeitfensters f r externen WOL Start 24 Sept 2010 12 00 Ende des Zeitfensters f r externen WOL Start 25 Sept 2010 06 00 Bei den automatischen Anmeldungen sieht der SO einen Puffer von 3 vor Das Zeitintervall setzt der SO auf 12 00 Uhr mittags auf den Tag vor dem SW Roll out damit das Scheduling Skript SGMCMDIntn exe rechtzeitig starten kann und WOL sp testens am 25 09 um 03
358. s Dieser Vorgang ist sowohl im Single Tenancy als auch im Multi Tenancy Modus m glich Es besteht auch die M glichkeit eine Konfiguration zu exportieren und diese an mehrere Sicherheitsbeauftragte zu verteilen Die Sicherheitsbeauftragten m ssen lediglich auf die Konfigurationsdatei doppelklicken um ein vollst ndig konfiguriertes SafeGuard Management Center zu ffnen Dies erweist sich vor allem dann als vorteilhaft wenn Sie die SQL Authentisierung f r die Datenbank verwenden und vermeiden m chten dass das SQL Kennwort jedem Administrator bekannt ist Sie m ssen das Kennwort dann nur einmal eingeben eine Konfigurationsdatei erstellen und sie an die Computer der Sicherheitsbeauftragten verteilen Voraussetzung Die initiale Konfiguration des SafeGuard Management Centers muss durchgef hrt worden sein Detaillierte Informationen hierzu finden Sie im SafeGuard Enterprise Installationshandbuch 1 Starten Sie das SafeGuard Management Center ber den Produktordner im Start Men 2 W hlen Sie im Extras Men Optionen und wechseln Sie in die Registerkarte Datenbank 3 Geben Sie die Anmeldeinformationen f r die Verbindung zum SQL Datenbankserver ein oder best tigen Sie diese 4 Klicken Sie auf Konfiguration exportieren um die Konfiguration in eine Datei zu exportieren 5 Geben Sie ein Kennwort f r die Konfigurationsdatei ein und best tigen Sie es 6 Geben Sie einen Dateinamen ein und w hlen Sie einen Speicherort aus 7
359. s tzlichen Modulen wenn Sie bereits ein oder mehrere Module erworben haben Lizenz berschreitung In Ihrer Lizenzdatei ist ein Toleranzwert f r die berschreitung der erworbenen Lizenzen sowie der Lizenzg ltigkeitsdauer festgelegt Bei berschreiten der verf gbaren Lizenzen pro Modul oder der G ltigkeitsdauer wird somit zun chst eine Warnungsmeldung ausgegeben Der laufende Betrieb des Systems wird dadurch nicht beeintr chtigt und es tritt in diesem Fall auch keine Einschr nkung der Funktionalit t in Kraft So haben Sie die Gelegenheit den Lizenzstatus zu pr fen und Ihre Lizenz zu erweitern bzw zu erneuern Der Toleranzwert ist auf 10 der Anzahl an erworbenen Lizenzen Mindestwert 5 H chstwert 5 000 festgelegt Bei berschreiten der Toleranzwerte wird eine Fehlermeldung ausgegeben In diesem Fall tritt eine Einschr nkung der Funktionalit t ein Die bertragung von Richtlinien an die Benutzer Computer wird deaktiviert Diese Deaktivierung l sst sich nicht im SafeGuard Management Center manuell wieder aufheben Die Lizenz muss erweitert bzw erneuert werden um die Funktionalit t wieder in vollem Umfang nutzen zu k nnen Au er der Deaktivierung der Richtlinien bertragung hat die Funktionalit tseinschr nkung keine Auswirkungen auf die Benutzer Computer bereits zugeordnete Richtlinien bleiben aktiv Dar ber hinaus lassen sich auch bei Deaktivierung der Richtlinien bertragung Clients deinstallieren Die folgenden Absch
360. s SafeGuard Management Centers als Bestandberichte drucken Um vor dem Drucken eine Druckvorschau zu erstellen w hlen Sie Datei gt Druckvorschau In der Druckvorschau stehen verschiedene Funktionen zum Beispiel f r den Export des Dokuments in eine Reihe von Ausgabeformaten zum Beispiel PDF oder die Bearbeitung des Seitenlayouts zum Beispiel Kopf und Fu zeile zur Verf gung Um das Dokument sofort zu drucken w hlen Sie Datei gt Drucken SafeGuard Enterprise 5 50 Administrator Hilfe 26 Berichte Die Aufzeichnung sicherheitsrelevanter Vorf lle ist Voraussetzung f r eine gr ndliche Systemanalyse Anhand der protokollierten Ereignisse k nnen Vorg nge auf einer Arbeitsstation bzw innerhalb eines Netzwerks exakter nachvollzogen werden Durch die Protokollierung lassen sich zum Beispiel Schutzverletzungen unautorisierter Dritter nachweisen Dem Administrator bzw Sicherheitsbeauftragten bietet die Protokollierung auch eine Hilfe um irrt mlich verwehrte Benutzerrechte ausfindig zu machen und zu korrigieren SafeGuard Enterprise protokolliert alle Client Aktivit ten und Statusinformationen sowie Administratoraktionen und sicherheitsrelevante Ereignisse und speichert diese zentral Die Protokollierung zeichnet Ereignisse auf die installierte SafeGuard Produkte ausl sen Die Art der Protokolle wird in Protokollierungsrichtlinien festgelegt Hier wird auch der Ausgabe und Speicherort der protokollierten Ereignisse definie
361. s Zertifikats fehlgeschlagen Administration L schen des Zertifikats fehlgeschlagen Administration Verl ngern des Zertifikats fehlgeschlagen Administration Zuordnen des Zertifikats zu Benutzer fehlgeschlagen Administration Entfernen der Zuordnung des Zertifikats vom Benutzer fehlgeschlagen Administration Token eingesteckt Administration Token entfernt Administration Token wurde f r Benutzer ausgestellt SafeGuard Enterprise 5 50 Administrator Hilfe Kategorie Ereignis ID Beschreibung Administration PIN des Benutzers auf Token ndern Administration PIN des Sicherheitsbeauftragten auf Token ndern Administration Token wurde gesperrt Administration Token entsperrt Administration Token gel scht Administration Tokenzuordnung f r Benutzer aufgehoben Administration Ausstellen des Tokens f r Benutzer fehlgeschlagen Administration ndern der Benutzer PIN auf Token fehlgeschlagen Administration 2642 ndern der Sicherheitsbeauftragten PIN auf Token fehlgeschlagen Administration 2643 Sperren des Tokens fehlgeschlagen Administration 2644 Entsperren des Tokens fehlgeschlagen Administration L schen des Tokens fehlgeschlagen Administration Richtlinie erstellt Administration Richtlinie ge ndert Administration Richtlinie gel scht Administration Richtlinie der OU zugewiesen und aktiviert Administration Zugewiesene Richtlinie wurde von OU entfer
362. s definiert werden dann sollten im Active Directory keine Regeln definiert werden Richtlinieneinstellung Erkl rung REGELN Mindestl nge der PIN Zeigt an aus wie vielen Zeichen eine PIN bei der nderung durch den Benutzer mindestens bestehen muss Der gew nschte Wert kann entweder direkt eingegeben oder durch Bet tigen der Richtungstasten vergr ert bzw verkleinert werden Maximall nge der PIN Zeigt an aus wie vielen Zeichen eine PIN bei der nderung durch den Benutzer maximal bestehen darf Der gew nschte Wert kann entweder direkt eingegeben oder durch Bet tigen der Richtungstasten vergr ert bzw verkleinert werden Mindestanzahl an Buchstaben Mit diesen Einstellungen wird erreicht dass PINs nicht ausschlie lich Zeichen Ziffern oder Sonderzeichen enthalten sondern aus einer Kombination bestehen m ssen z B l5blume etc Diese Einstellung ist nur dann sinnvoll wenn eine PIN Mindestl nge definiert ist die gr er 2 ist Mindestanzahl an Ziffern Mindestanzahl an Symbolen Gro Kleinschreibung Diese Einstellung wird nur bei den Punkten Liste nicht beachten erlaubter PINs benutzen und Benutzername als PIN verboten wirksam Fall 1 Sie haben in der Liste der verbotenen PINs Tafel eingetragen Steht die Option Gro Kleinschreibung beachten auf JA werden zus tzliche Kennwortvarianten wie z B TAFEL oder TaFeL nicht akzeptiert und die Anmeldung wird verweigert Fall
363. sbereich angezeigt 14 2 Kennwort f r ein POA Access Account ndern So ndern Sie das Kennwort f r ein POA Access Account l 3 Klicken Sie auf Benutzer amp Computer im Navigationsbereich des SafeGuard Management Center W hlen Sie im Benutzer amp Computer Navigationsfenster unter POA POA Benutzer den relevanten POA Benutzer W hlen Sie im Kontextmen des POA Benutzers den Befehl Eigenschaften Der Eigenschaftendialog f r den POA Benutzer wird angezeigt 4 Geben Sie in der Registerkarte Allgemein unter Benutzerkennwort das neue Kennwort ein 5 und best tigen Sie es Klicken Sie auf OK F r das relevante POA Access Account gilt das neue Kennwort 14 3 POA Access Accounts l schen So l schen Sie POA Access Accounts L Klicken Sie im Navigationsbereich des SafeGuard Management Center auf Benutzer amp Computer W hlen Sie im Benutzer amp Computer Navigationsfenster unter POA POA Benutzer das relevante POA Access Account Klicken Sie mit der rechten Maustaste auf das POA Access Account und w hlen Sie L schen aus dem Kontextmen Das POA Access Account d h der POA Benutzer wird gel scht und nicht mehr im Benutzer amp Computer Navigationsfenster angezeigt 104 SafeGuard Enterprise 5 50 Administrator Hilfe Hinweis Wenn der Benutzer einer oder mehreren POA Gruppen angeh rt wird er auch aus allen Gruppen entfernt Das POA Access Account steht jedoch noch so
364. schnelle Initialverschl sselung nicht angewendet werden SafeGuard Enterprise 5 50 Administrator Hilfe 8 1 2 8 1 3 Hinweis Dieser Modus kann zu einem unsichereren Zustand f hren wenn eine Platte vor der Verwendung mit SafeGuard Enterprise bereits in Gebrauch war Nicht verwendete Sektoren k nnen noch Daten enthalten Daher ist die schnelle Initialverschl sselung standardm ig deaktiviert Um die schnelle Initialverschl sselung zu aktivieren w hlen Sie die Einstellung Schnelle Initialverschl sselung in einer Richtlinie vom Typ Ger teschutz Hinweis F r die Entschl sselung eines Volumes wird unabh ngig von der gew hlten Richtlinieneinstellung immer die schnelle Initialverschl sselung verwendet F r die Entschl sselung gelten ebenfalls die angegebenen Einschr nkungen Volume basierende Verschl sselung und die Windows 7 Systempartition F r Windows 7 Professional Enterprise und Ultimate wird auf den Endpoint Computern eine Systempartition angelegt der kein Laufwerksbuchstabe zugeordnet ist Diese System Partition kann nicht von SafeGuard Enterprise verschl sselt werden Volume basierende Verschl sselung und Unidentified File System Objects Unidentified File System Objects sind Volumes die von SafeGuard Enterprise nicht eindeutig als verschl sselt oder unverschl sselt identifiziert werden k nnen Existiert f r ein Unidentified File System Object eine Verschl sselungsrichtlinie so wird der Zugriff auf
365. se Option bezieht sich auf das Modell eines spezifischen Speicherger tetyps z B ein bestimmtes USB Stick Modell 2 White List f r einzelne Datentr ger Einzelne Speicherger te mit einer eindeutigen Seriennummer d h ein spezifisches Speicherger t Zum Beispiel Der pers nliche USB Stick des CEOs wird zugelassen andere USB Sticks nicht Hinweis Wenn Sie die Optionen Zulassen oder Blockieren f r Alle Datentr ger w hlen ist dieser Bereich deaktiviert Hinweis W hlen Sie Zulassen oder Sperren wenn Sie zu diesem Zeitpunkt keine granulare Ger tekontrolle anwenden m chten Sie k nnen diese Optionen auch dann verwenden wenn Sie vorhandene granulare Definitionen vor bergehend au er Kraft setzen m chten 16 3 8 Schritt 7 WLAN Kontrolle definieren SafeGuard Configuration Protection steuert und berwacht neben Ger ten auch WLAN Verbindungen um sicherzustellen dass Clients nur autorisierte sichere Verbindungen benutzen Im Bereich Port Kontrolle k nnen Sie festlegen dass der Zugang zu einem WLAN Port eingeschr nkt ist Wenn Sie die Option Einschr nken w hlen k nnen Sie im Bereich WLAN Verbindungsarten genauer festlegen welche Netzwerke auf den betreffenden Port zugreifen d rfen Hinweis Wenn Sie die Benutzung von WLAN als Port einschr nken berwacht und reguliert SafeGuard Configuration Protection WLAN Verbindungen ber die Microsoft WZC Infrastruktur Jeder Ger tetreiber der versucht ohne Anwendung von WZC
366. sen k nnen So erstellen Sie eine Tabelle mit den Texten f r die einzelnen Ereignis IDs 1 W hlen Sie in der Men leiste des SafeGuard Management Centers Extras gt Optionen 2 Wechseln Sie im Fenster Optionen in die Registerkarte Datenbank 3 Klicken Sie im Bereich Texte f r Ereignisberichte auf die Schaltfl che Erzeuge Tabelle 300 SafeGuard Enterprise 5 50 Administrator Hilfe Die Tabelle mit den Texten f r die Bericht IDs wird in der jeweils aktuellen Sprache des SafeGuard Management Centers erstellt und kann angepasst werden Achtung Vor jedem neuen Erstellen der L ckentexte wird die Tabelle jeweils geleert Wenn die Texte f r eine Sprache wie beschrieben erstellt wurden und ein Benutzer erstellt die Texte f r eine andere Sprache so werden die Texte f r die erste Sprache entfernt SafeGuard Enterprise 5 50 Administrator Hilfe 27 SafeGuard Enterprise und BitLocker Laufwerkverschl sselung Die BitLocker Laufwerkverschl sselung ist ein in Microsoft Windows Vista und Windows 7 Betriebssysteme integriertes Feature f r die Festplattenverschl sselung mit Pre Boot Authentication BitLocker bietet Datenschutz durch die Verschl sselung des Boot Volumes 27 1 Integration von BitLocker in SafeGuard Enterprise In SafeGuard Enterprise lassen sich alle in einer Windows Vista Windows 7 Enterprise oder Ultimate Installation verf gbaren BitLocker Funktionen ber das SafeGuard Management Center wie ein nativer Sa
367. sene Drucker 190 SafeGuard Enterprise Administrator Hilfe 3 Personal Data Assistants PDAs Diese umfassen a Windows Mobile Ger te Pocket PC Ger te b Blackberry Ger te c Palm OS Ger te 4 Mobiltelefone Neue Mobiltelefonmodelle die f r USB als Wireless USB Devices eingestuft sind 5 Netzwerkadapter Kommunikationsger te z B Ethernet Netzwerkadapter WiFi Adapter ADSL und Kabel Modems mit USB Verbindung 6 Bildverarbeitungsger te In erster Linie Ger te wie Scanner und Digitalfotokameras 7 Audio Videoger te Zum Beispiel Mikrofone Telefone Lautst rkeregler Web Kameras digitale Camcorder digitale TV Karten sowie Digitalfotokameras mit Video Streaming Unterst tzung 8 Smartcards Smartcard Ger te 9 Content Security Devices Zur Bereitstellung spezieller Sicherheitsfunktionen z B verst rkte Authentisierung biometrische Identifizierung und Software Lizensierung 16 5 2 Speicherger tetypen 191 Der Speicherger teschutz bezieht sich auf alle nicht gesperrten Ports Das hei t es spielt keine Rolle an welchem Port das Speicherger t angeschlossen ist solange der betreffende Port nicht als gesperrt definiert ist Hinweis Die Ger tekontrolle f r Speicherkontrolle kann f r jeden Port Typ auch zum Beispiel f r Parallel Ports USB FireWire und PCMCIA Ports definiert werden SafeGuard Enterprise Administrator Hilfe Die nachfolgend aufgelisteten integrierten G
368. sensenonnennnennnnonnenonnennnnnnnnonnnnonnenennnnnnonnnnonnenonnnnnnonn 310 Bedeutung der SGMERR Codes in der Windows Ereignisanzeige uenessssenssenensenenenennnnnennnnenn 319 Technischer Support iiien esea aeaee tee apena iye este pres 334 Eopyricht A ETE E A E E O T E E E 335 SafeGuard Enterprise 5 50 Administrator Hilfe 1 Das SafeGuard Management Center Das SafeGuard Management Center ist das zentrale Instrument zur Durchf hrung aller administrativen T tigkeiten Es greift auf eine Datenbank zu in der alle relevanten Informationen gespeichert werden Mit datenbank spezifischen Konfigurationen Multi Tenancy erm glicht das SafeGuard Management Center den Einsatz von SafeGuard Enterprise mit mehreren Datenbanken und Dom nen Sie k nnen verschiedene SafeGuard Enterprise Datenbanken verwalten und unterschiedliche Konfigurationen verwenden Diese Konfigurationen k nnen auch zur Vereinfachung der Konfiguration in Dateien exportiert und aus Dateien importiert werden Das SafeGuard Management Center muss nicht notwendigerweise nur auf einem Computer installiert sein Es kann auf jedem Rechner im Netzwerk installiert sein von wo aus auf die Datenbank zugegriffen werden kann Der Zugriff auf das SafeGuard Management Center ist nur privilegierten Benutzern den Sicherheitsbeauftragten erlaubt Es k nnen mehrere Sicherheitsbeauftragte gleichzeitig mit den Daten arbeiten SafeGuard Enterprise 5 50 Administrator Hilfe
369. so k nnen folgende Probleme auftreten m Das Volume wird nicht verschl sselt m Wenn es sich bei dem Volume um ein Unidentified File System Object siehe Volume basierende Verschl sselung und Unidentified File System Objects auf Seite 64 handelt so wird der Zugriff nicht verweigert Zugriff auf mit BitLocker To Go verschl sselte Volumes Wird SafeGuard Enterprise mit aktivierter BitLocker To Go Unterst tzung verwendet und existiert eine SafeGuard Enterprise Verschl sselungsrichtlinie f r ein mit BitLocker To Go verschl sseltes Volume so wird der Zugriff auf das Volume verweigert Existiert keine SafeGuard Enterprise Verschl sselungsrichtlinie so kann der Benutzer auf das Volume zugreifen Hinweis Wenn die Autorun Einstellungen f r ein mit BitLocker To Go verschl sseltes Volume auf die Standardwerte eingestellt sind kann es vorkommen dass der Zugriff trotz vorhandener SafeGuard Enterprise Verschl sselungsrichtlinie nicht verweigert wird Diese Situation tritt nur unter Windows Vista auf Dateibasierende Verschl sselung Die dateibasierende Verschl sselung stellt sicher dass alle Daten verschl sselt sind au er Boot Medium und Verzeichnisinformationen Mit dateibasierender Verschl sselung lassen sich auch optische Medien wie CD DVD verschl sseln Au erdem k nnen Daten mit Fremdrechnern auf denen SafeGuard Enterprise nicht installiert ist ausgetauscht werden soweit von der Richtlinie erlaubt Hinweis Mit Dat
370. ssetzung Die SO PIN muss bekannt sein 1 Wenn Sie die Benutzer PIN neu vergeben wollen klicken Sie auf das Symbol Benutzer PIN initialisieren in der SafeGuard Management Center Symbolleiste Geben Sie die SO PIN ein 2 Geben Sie die neue Benutzer PIN ein wiederholen Sie die Eingabe und best tigen Sie mit OK Die Benutzer PIN wurde initialisiert 212 SafeGuard Enterprise 5 50 Administrator Hilfe 18 10 2 SO PIN ndern Voraussetzung Die bisherige SO PIN muss bekannt sein 1 Wenn Sie die SO PIN ndern wollen klicken Sie auf das Symbol PIN des Beauftragten ndern in der SafeGuard Management Center Symbolleiste 2 Geben Sie die alte SO PIN ein 3 Geben Sie die neue SO PIN ein wiederholen Sie die Eingabe und best tigen Sie mit OK Die SO PIN wurde ge ndert 18 10 3 Benutzer PIN ndern Voraussetzung Die Benutzer PIN muss bekannt sein 1 Wenn Sie die Benutzer PIN ndern wollen klicken Sie auf das Symbol Benutzer PIN ndern in der SafeGuard Management Center Symbolleiste 2 Geben Sie die alte und die neue Benutzer PIN ein wiederholen Sie die neue Benutzer PIN und best tigen Sie mit OK Die Benutzer PIN wurde ge ndert Falls Sie die PIN f r einen anderen Benutzer ge ndert haben teilen Sie ihm die nderung mit 18 10 4 PIN nderung erzwingen Um eine nderung der PIN zu erzwingen gehen Sie folgenderma en vor 1 Klicken Sie auf das Symbol PIN nderung erzwingen in der SafeGuard Manageme
371. st der am Benutzer PC verwendet werden soll m Nicht kryptographisch Authentisierung an der POA und an Windows mit Anmeldeinformationen m Kerberos Zertifikatsbasierte Authentisierung an der POA und an Windows Der Sicherheitsbeauftragte stellt ein Zertifikat in einer PKI aus und legt es auf dem Token ab Dieses Zertifikat wird als Benutzerzertifikat in die SafeGuard Enterprise Datenbank importiert Falls dort bereits ein automatisch erzeugtes Zertifikat existiert wird es durch das importierte Zertifikat berschrieben Hinweis Challenge Response ist mit einem Token der Kerberos unterst tzt nicht m glich da keine Anmeldeinformationen in der POA zur Verf gung stehen die bei einem Challenge Response Verfahren verwendet werden Geben Sie hier eine Default PIN an die dem Benutzer die automatische Anmeldung an der Power on Authentication mit Token oder Smartcard erm glicht Der Benutzer muss den Token bei der Anmeldung einstecken Daraufhin wird eine automatische Anmeldung an der Power on Authentication durchgef hrt und Windows wird gestartet PIN Regeln m ssen hier nicht beachtet werden Achtung m Diese Option steht nur dann zur Verf gung wenn die Option Token als Anmeldemodus gew hlt wurde m Wenn diese Option aktiviert wird muss bei Durchgehende Anmeldung an Windows die Einstellung Durchgehende Anmeldung deaktivieren gew hlt werden SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinien
372. strator Hilfe 157 16 SafeGuard Configuration Protection Netzwerke in Unternehmen sind heute durch eine Vielzahl an leicht zug nglichen Ports z B USB FireWire und PCMCIA gekennzeichnet Dar ber hinaus erm glicht eine Reihe verschiedener Datenanschlussger te z B Bluetooth IrDA und WLAN sowie Ger tetypen z B externe Speicherger te Drucker Digitalkameras Smartphones und PDAs den einfachen Zugang zu Endpoints die diese Ports und Ger te nutzen Diese Ger te erm glichen optimale Zug nglichkeit und Produktivit t Die Endpoints sind dadurch jedoch offen und es besteht die Gefahr der Infiltration Sch tzungen zufolge befinden sich ber 60 der Daten eines Unternehmens auf Endpoints Somit bilden sie den wertvollsten und zugleich verwundbarsten Teil eines Unternehmensnetzwerks Im IT Bereich eines Unternehmens werden h ufig Kompromisse zwischen Produktivit t und Sicherheit eingegangen Aufgrund der hohen Produktivit tsanforderungen sind innovative Ger te und Sicherheitskonzepte f r Unternehmen sehr interessant Die Umsetzung von u erst effektiven und verl sslichen Sicherheitsma nahmen gegen Informationslecks Diebstahl Betrug Viren Abh ren und Missbrauch von Informationen und Ressourcen stellt Unternehmen jedoch vor gro e Herausforderungen Untersuchungen haben ergeben dass 70 aller Sicherheitsrisiken und Sicherheitsverletzungen innerhalb des Unternehmens selbst auftreten Die h chste Priorit t von Unt
373. t t blockieren 16 2 4 WLAN Kontrolle Die WLAN Kontrolle stellt sicher dass Benutzer nur die zugelassenen Netzwerke benutzen Sie k nnen festlegen welche Netzwerke oder Ad hoc Links Zugang erhalten Die zugelassenen Verbindungen lassen sich durch Angeben der MAC Adresse der Zugangspunkte der SSID des Netzwerks der Authentisierungsmethode und der Verschl sselungsmethoden definieren 162 SafeGuard Enterprise Administrator Hilfe 16 2 5 SafeGuard PortAuditor 163 Mit SafeGuard Port Auditor steht Ihnen zus tzlich zu SafeGuard Configuration Protection ein umfangreiches Werkzeug zur Verf gung Der SafeGuard PortAuditor bietet in Erg nzung zu SafeGuard Configuration Protection einen vollst ndigen berblick dar ber welche Ports Ger te und Netzwerke von den Benutzern im Unternehmen benutzt werden oder wurden Das Ergebnis einer SafeGuard PortAuditor Abfrage k nnen Sie zur Auswahl der Ger te und Netzwerke die Sie zulassen m chten benutzen Eile Settings Report Help SafeGuard PortAuditor Credentials m Audit Results Summary Current Credentials UTIMACO Administrator Report Load Report Reporti Computers to Audit Specify the computers you want to audit Organizational Unit Headquarter Browse Browse Total Computers 17 Computer Name s Accessed Computers 1 C IP Range Successfully Audited 1 Protected by Safend o Audit Filters t e A ee USB Devices 63
374. t jeweils einen Schl ssel f r jedes Volume Dieser Schl ssel l sst sich f r keinen anderen Zweck verwenden und muss an einem sicheren Ort gespeichert werden Ein Vorteil der Anwendung von BitLocker in Verbindung mit SafeGuard Enterprise besteht hier darin dass f r jeden von BitLocker generierten Schl ssel eine Sicherungskopie des Schl ssels in der SafeGuard Enterprise Datenbank gespeichert wird Dies erm glicht die Einrichtung eines Helpdesk und Recovery Mechanismus hnlich der SafeGuard Enterprise Challenge Response Funktionalit t der andernfalls in BitLocker nicht verf gbar w re 304 SafeGuard Enterprise 5 50 Administrator Hilfe Es ist jedoch nicht m glich Schl ssel global auszuw hlen oder wiederzuverwenden wie dies bei nativen SafeGuard Enterprise Clients der Fall ist Die Schl ssel werden au erdem auch nicht im SafeGuard Management Center angezeigt Wenn vor der Installation der SafeGuard Enterprise BitLocker Unterst tzung bereits ein Volume mit BitLocker verschl sselt wurde muss der Systemadministrator Sicherungskopien von den Schl sseln dieses Laufwerks ber die von Microsoft zur Verf gung gestellten Sicherungsmechanismen erstellen Wenn ein Volume bei bereits installierter SafeGuard Enterprise BitLocker Unterst tzung verschl sselt wird kann der Systemverwalter die mit einem Recovery Kennwort gesicherten Sicherungskopien der Schl ssel zus tzlich zum Speichern in der SafeGuard Datenbank im Active
375. t werden Weisen sie auf verschiedene Ziele werden sie addiert 10 3 1 Richtlinien zu Gruppen zusammenfassen Die einzelnen Richtlinien der verschiedenen Typen m ssen angelegt sein So fassen Sie Richtlinien zu Gruppen zusammen 1 2 Klicken Sie auf die Schaltfl che Richtlinien im Navigationsbereich Klicken Sie im Navigationsfenster mit der rechten Maustaste Richtlinien Gruppen und w hlen Sie Neu Klicken Sie auf Neue Richtlinien Gruppe Es wird ein Dialog f r die Benennung der Richtlinien Gruppe angezeigt Geben Sie einen eindeutigen Namen und optional eine Beschreibung f r die Richtlinien Gruppe ein Klicken Sie auf OK Die neu angelegte Richtlinie Gruppe wird im Navigationsfenster unter Richtlinien Gruppen angezeigt W hlen Sie die Richtlinien Gruppe aus Im Aktionsbereich werden alle f r das Gruppieren der Richtlinien notwendigen Elemente angezeigt Zum Gruppieren der Richtlinien ziehen Sie sie aus der Liste der verf gbaren Richtlinien in den Richtlinienbereich Sie k nnen f r jede Richtlinie eine Priorit t festlegen indem Sie die Richtlinie ber das Kontextmen nach oben oder unten reihen 80 SafeGuard Enterprise 5 50 Administrator Hilfe Wenn Sie Richtlinien vom selben Typ in einer Gruppe zusammenfassen werden die Einstellungen automatisch vereinigt Sie k nnen daf r eine Auswertungsreihenfolge festlegen Die Einstellungen einer h her gereihten Richtlinie bersch
376. t wird 23 7 1 5 SafeGuard Enterprise Local Cache wiederherstellen Dieser Vorgang ist notwendig wenn der SafeGuard Enterprise Local Cache besch digt ist Im Local Cache werden alle Schl ssel Richtlinien Benutzertifikate und Audit Dateien gespeichert Standardm ig ist in diesem Fall der Recovery Vorgang deaktiviert d h der Local Cache wird automatisch aus seiner Sicherungskopie wiederhergestellt In diesem Fall ist kein Challenge Response Verfahren f r die Reparatur notwendig Soll die Reparatur des Local Cache explizit ber ein Challenge Response Verfahren durchgef hrt werden kann der Recovery Vorgang ber eine Richtlinie aktiviert werden In diesem Fall wird der Benutzer automatisch bei der Anmeldung an der Power on Authentication aufgefordert ein Challenge Response Verfahren zu starten 23 7 2 Response f r SafeGuard Enterprise Clients Um f r einen SafeGuard Enterprise Client eine Response in einem Challenge Response Verfahren zu generieren werden der Name des betreffenden Endpoint Computers und die Dom ne ben tigt Hinweis Der Name muss immer der Distinguished Name des Computers sein 1 W hlen Sie SafeGuard Enterprise Client Managed im Dialog Recovery Typ 2 W hlen Sie die Dom ne aus der Liste aus 252 SafeGuard Enterprise 5 50 Administrator Hilfe 253 3 W hlen Sie den Computernamen Hierzu gibt es mehrere M glichkeiten a W hlen Sie einen Namen indem Sie auf im Abschnitt Computer Info
377. t zugewiesen werden sollte ist nicht eindeutig benannt 805306418 Die Zertifikats Zuweisung kann nicht gefunden werden 805306419 Die Zuweisung des Zertifikats ist nicht eindeutig Es ist nicht klar welche Zuweisung entfernt werden soll 805306420 Der Benutzer f r den das Zertifikat erstellt werden soll konnte nicht in der Datenbank gefunden werden 805306421 Der Benutzer f r den das Zertifikat erstellt werden soll kann nicht eindeutig benannt werden 805306422 Das Zertifikat wurde bereits einem anderen Benutzer zugeordnet Ein Zertifikat kann nur einem Benutzer zugeordnet werden 805306423 Der Computer dem das Zertifikat zugewiesen werden soll konnte nicht in der Datenbank gefunden werden 805306424 Der Computer dem das Zertifikat zugewiesen werden soll konnte nicht eindeutig identifiziert werden SafeGuard Enterprise 5 50 Administrator Hilfe 805306427 Die Erneuerung des Zertifikats wurde nicht von einem Sicherheitsbeauftragten genehmigt 805306428 Fehler beim L schen des Token 805306429 Das Zertifikat kann nicht vom Token gel scht werden denn es wurde f r die Authentisierung des aktuellen Benutzers verwendet 805306430 Ein Systemzugang mit diesem Namen existiert bereits Bitte w hlen Sie einen anderen Namen 805306431 Dem Sicherheitsbeauftragen sind keine Rollen zugewiesen Anmeldung nicht m glich 805306432 Die Lizenz wurde verletzt
378. tellung PIN l uft ab nach Tage Beispiel Die Anzahl der PIN Generationen f r den Benutzer M ller wurde auf 4 festgelegt die der Tage nach denen der Benutzer die PIN wechseln muss auf 30 Herr M ller meldete sich bislang mit der PIN Informatik an Nach Ablauf der Frist von 30 Tagen wird er aufgefordert seine PIN zu ndern Herr M ller tippt als neue PIN wieder Informatik ein und erh lt die Fehlermeldung dass er diese PIN bereits verwendet hat und eine andere PIN w hlen muss Informatik darf Herr M ller erst nach der vierten da PIN Generationen 4 Aufforderung zur Eingabe einer neuen PIN verwenden 130 SafeGuard Enterprise 5 50 Administrator Hilfe 15 5 Liste verbotener Kennw rter f r die Verwendung mit Richtlinien 131 anlegen F r Richtlinien des Typs Kennwort kann eine Liste mit verbotenen Kennw rtern angelegt werden Diese Liste definiert die Zeichenfolgen die in nicht in Kennw rtern verwendet werden d rfen Hinweis In den Listen werden die verbotenen Kennw rter durch einen Leerraum oder einen Zeilenumbruch voneinander getrennt TDie Textdateien mit den gew nschten Informationen m ssen erstellt werden bevor sie im SafeGuard Management Center registriert werden k nnen Die maximale Dateigr e f r Textdateien betr gt 50 KB SafeGuard Enterprise verwendet nur Unicode UTF 16 kodierte Texte Wenn Sie die Textdateien nicht in diesem Format erstellen werden Sie bei der Regist
379. tenbank aufgenommen wurde bernommen gibt an dass der Benutzer auf einem Client in die UMA f r den Computer aufgenommen worden ist SafeGuard Enterprise 5 50 Administrator Hilfe Hinweis Wird im SafeGuard Management Center keine Zuweisung vorgenommen und kein Benutzer als Besitzer festgelegt wird der Benutzer der sich als erster nach der Installation von SafeGuard Enterprise an den Benutzer Computer anmeldet als Besitzer eingetragen Dieser Benutzer kann dann weiteren Benutzern die Anmeldung an diesen Computer erm glichen siehe Weitere Benutzer importieren auf Seite 203 Werden im Management Center diesem Computer nachtr glich Benutzer zugewiesen so k nnen sich diese dann auch in der Power On Authentication anmelden Voraussetzung daf r ist allerdings dass es sich um komplette Benutzer deren Zertifikat und Schl ssel bereits existieren handelt Die Erlaubnis durch den Besitzer des Computers ist dann nicht notwendig ber folgende Einstellungen kann festgelegt werden wem es erlaubt ist weitere Benutzer in die UMA aufzunehmen m Kann Besitzer werden Die Aktivierung dieser Einstellung ist Voraussetzung daf r dass ein Benutzer als Besitzer eines Computers eingetragen werden kann m Benutzer ist Besitzer Ist diese Einstellung ausgew hlt wird dieser Benutzer als Besitzer in die UMA eingetragen Er kann weitere Benutzer in die UMA aufnehmen Es kann jeweils nur ein Benutzer pro Computer als Besitzer in der UMA eingetra
380. ter an Ihre jeweiligen Anforderungen anpassen 20 3 1 Hintergrund und Anmeldebild In der Standardeinstellung werden Bilder im SafeGuard Design als Hintergrund und Anmeldebild angezeigt Es ist jedoch m glich andere Bilder anzuzeigen z B das Firmenlogo Hintergrund und Anmeldebilder werden ber eine Richtlinie vom Typ Allgemeine Finstellungen festgelegt Hintergrund und Anmeldebilder m ssen bestimmten Anforderungen entsprechen damit sie in SafeGuard Enterprise verwendet werden k nnen Hintergrundbild in der POA Maximale Dateigr e f r alle Hintergrundbilder 500 KB 230 SafeGuard Enterprise 5 50 Administrator Hilfe SafeGuard Enterprise unterst tzt f r Hintergrundbilder zwei Varianten 1024x768 VESA Modus Farben keine Einschr nkung Option im Richtlinientyp Allgemeine Einstellungen Hintergrundbild in der POA 640x480 VGA Modus Farben 16 Option im Richtlinientyp Allgemeine Einstellungen Hintergrundbild in der POA niedrige Aufl sung Anmeldebild in der POA Maximale Dateigr e f r alle Anmeldebilder 100 KB SafeGuard Enterprise unterst tzt f r Anmeldebilder zwei Varianten 413x140 Farben keine Einschr nkung Option im Richtlinientyp Allgemeine Einstellungen Anmeldebild in der POA 413x140 Farben 16 Option im Richtlinientyp Allgemeine Einstellungen Anmeldebild in der POA niedrige Aufl sung Bilder Informationstexte und Listen m ssen zun chst als Dateien BMP PNG JPG o
381. tere Fragen hinzuf gen wiederholen Sie diesen Vorgang 7 Speichern Sie Ihre nderungen indem Sie auf das Speichern Symbol in der Symbolleiste klicken Ihr Fragenthema ist registriert und wird der Richtlinie vom Typ Allgemeine Einstellungen ber die Local Self Help auf den Endpoint Computern aktiviert wird automatisch mitgegeben 22 5 Fragenthemen bearbeiten So bearbeiten Sie bereits vorhandene Fragenthemen 1 Markieren Sie das gew nschte Fragenthema unter Local Self Help Fragen im Richtlinien Navigationsbereich 2 Sie k nnen nun Fragen hinzuf gen ndern oder l schen Um Fragen hinzuzuf gen klicken Sie im Arbeitsbereich mit der rechten Maustaste und w hlen Sie im Kontextmen Hinzuf gen Geben Sie nun in der neu angezeigten Zeile Ihre Frage ein Um Fragen zu ndern klicken Sie auf den Fragentext im Arbeitsbereich Bei der gew hlten Frage wird ein Stiftsymbol angezeigt Geben Sie auf der Fragenzeile Ihre nderungen ein Um Fragen zu l schen markieren Sie die gew nschte Frage durch Klicken auf das graue K stchen zu Beginn der Fragenzeile im Arbeitsbereich und w hlen Sie im Kontextmen des Frageneintrags L schen 3 Speichern Sie Ihre nderungen an der Fragenliste indem Sie auf das Speichern Symbol in der Symbolleiste klicken Das ge nderte Fragenthema ist registriert und wird der Richtlinie vom Typ Allgemeine Einstellungen ber die Local Self Help auf den Endpoint Computern aktiviert wird auto
382. textmen Eintrag im Windows Explorer das Laufwerk entschl sseln darf Schnelle Initialverschl sselung W hlen Sie diese Einstellung aus um den Modus der schnellen Initialverschl sselung f r die volume basierende Verschl sselung zu aktivieren Dieser Modus reduziert den Zeitraum der f r die Initialverschl sselung auf Endpoint Computern ben tigt wird Hinweis Dieser Modus kann zu einem unsicheren Zustand f hren SafeGuard Enterprise 5 50 Administrator help Richtlinieneinstellung Bei defekten Sektoren fortfahren Erkl rung Legt fest ob die Verschl sselung fortgesetzt oder gestoppt werden soll wenn defekte Sektoren entdeckt werden Die Standardeinstellung ist JA DATEIBASIERENDE EINSTELLUNGEN Initialverschl sselung aller Dateien Benutzer darf Initialverschl sselung abbrechen Bewirkt dass die Initialverschl sselung f r ein Laufwerk automatisch nach der Benutzeranmeldung gestartet wird Der Benutzer muss eventuell vorher einen Schl ssel aus dem Schl sselbund ausw hlen Bewirkt dass der Benutzer die Initialverschl sselung abbrechen kann Benutzer darf auf unverschl sselte Dateien zugreifen Benutzer darf Dateien entschl sseln Definiert ob ein Benutzer auf unverschl sselte Dateien auf einem Laufwerk zugreifen darf Bewirkt dass der Benutzer einzelne Dateien oder ganze Verzeichnisse entschl sseln kann ber die Windows Explorer Erweiterung lt re
383. tierter unbenutzer Bereich der erforderlichen Gr e auf einem Volume gefunden werden 1312 Dateisystem Cluster konnten nicht als benutzt markiert werden 1313 Dateisystem Cluster konnten nicht als GOOD markiert werden zz 22 1316 Es existieren keine Informationen ber die Cluster eines Dateisystems 1317 Der als BAD markierte Bereich auf einem Volume konnte nicht gefunden werden 1318 Unzul ssige Gr e eines Bereichs auf einem Volume definiert 1351 Unzul ssiger Algorithmus definiert 1352 Der Zugriff auf den Systemkern ist fehlgeschlagen 1353 Es ist kein Systemkern installiert 1354 Beim Zugriff auf den Systemkern ist ein Fehler aufgetreten 1402 Von einem Laufwerk konnten keine Daten gelesen werden 1403 Der Zugriff auf ein Laufwerk ist fehlgeschlagen 1404 Unzul ssiges Laufwerk 1405 nderung der Zugriffsposition auf einem Laufwerk ist fehlgeschlagen 1451 Datei konnte nicht ge ffnet werden 1452 Datei konnte nicht gefunden werden 1453 Unzul ssiger Dateipfad definiert 1454 Datei konnte nicht erzeugt werden SafeGuard Enterprise 5 50 Administrator Hilfe 1457 Die Position in einer Datei konnte nicht ge ndert werden 1458 Das Lesen von einer Datei ist fehlgeschlagen 1459 Es konnten keine Daten in eine Datei geschrieben werden 1460 Eine Datei konnte nicht entfernt werden 1461 Unzul ssiges Dateisystem 1462 Datei konnte nicht geschlossen werden 1463 Kein Zugriff auf eine Datei m
384. tionsfenster ausgew hlte Objekt vorgenommen Im Aktionsbereich stehen verschiedene Registerkarten zur Verf gung mit deren Hilfe die Objekte bearbeitet und die Einstellungen vorgenommen werden k nnen Informationen zu den ausgew hlten Objekten werden ebenfalls im Aktionsbereich angezeigt Dazugeh rige Ansichten Associated Views In diesen Ansichten werden bei Bedarf zus tzliche Objekte und Informationen angezeigt Diese geben einerseits n tzliche Informationen bei der Verwaltung des Systems und unterst tzen die einfache Bedienung Zum Beispiel k nnen Schl ssel ber Drag amp Drop Objekten zugewiesen werden Symbolleiste Hier befinden sich Symbole f r die verschiedenen Aktionen im Management Center Die Symbole werden eingeblendet wenn sie f r das ausgew hlte Objekt zur Verf gung stehen Nach der Anmeldung wird das Management Center immer mit der Ansicht gestartet in der es geschlossen wurde SafeGuard Enterprise 5 50 Administrator Hilfe Aufbau der Organisationsstruktur In SafeGuard Enterprise k nnen Benutzer und Computer auch ohne den Import aus dem Active Directory erfasst werden Wenn keine bestehende Organisationsstruktur vorhanden ist kann sie in SafeGuard Enterprise schnell aufgebaut und eine Struktur zum Verwalten von Richtlinien aufgesetzt werden Auch die Zuweisung von Richtlinien und oder Verschl sselungsregeln an lokale Benutzer ist dadurch m glich Der Sicherheitsbeauftragte mit den entsprech
385. tionshandbuch Berichte Lizenzdatei laden Lizenzstatus aktualisieren ber die detaillierten Informationen zur Lizenzdatei l sst sich ermitteln f r welches Modul die Anzahl an verf gbaren Lizenzen berschritten wurde Zur Aufhebung der Funktionalit tseinschr nkung haben Sie folgende M glichkeiten m Lizenzen umverteilen Um wieder ausreichend verf gbare Lizenzen zu erhalten k nnen Sie die Software auf nicht genutzten Computern deinstallieren und somit die Computer dauerhaft aus der SafeGuard Enterprise Datenbank entfernen m Lizenzen erweitern erneuern Wenden Sie sich an Ihren Vertriebspartner um Ihre Lizenz zu erweitern bzw zu erneuern Sie erhalten eine neue Lizenzdatei zum Import in die SafeGuard Enterprise Datenbank 36 SafeGuard Enterprise 5 50 Administrator Hilfe m Neue Lizenzdatei importieren Wenn Sie Ihre Lizenz bereits erneuert bzw erweitert haben importieren Sie die erhaltene Lizenzdatei in die SafeGuard Enterprise Datenbank Die neu importierte Datei ersetzt die ung ltige Lizenzdatei Durch Umverteilen von Lizenzen oder Importieren einer g ltigen Lizenzdatei wird die Funktionalit tseinschr nkung aufgehoben und der normale Betrieb des Systems kann fortgesetzt werden 37 SafeGuard Enterprise 5 50 Administrator Hilfe 7 1 7 1 1 SafeGuard Enterprise Sicherheitsbeauftragte SafeGuard Enterprise kann von einem oder mehreren Sicherheitsbeauftragten adm
386. tokolliert Das SafeGuard Management Center wird ge ffnet SafeGuard Enterprise 5 50 Administrator Hilfe 1 1 2 Anmeldung im Multi Tenancy Modus Wenn Sie mehrere Datenbanken konfiguriert haben Multi Tenancy erweitert sich der Anmeldevorgang siehe Mit mehreren Datenbankonfigurationen arbeiten auf Seite 20 1 Starten Sie das SafeGuard Management Center ber den Produktordner des Start Men s Der Dialog Konfiguration ausw hlen wird angezeigt Y Konfiguration ausw hlen x Bitte w hlen Sie die Konfiguration die Sie verwenden m chten aus oder klicken Sie auf Neu zum Erzeugen einer neuen Konfiguration m Neu L schen Importieren Exportieren 2 W hlen Sie die Datenbankkonfiguration die Sie verwenden m chten aus der Dropdownliste und klicken Sie auf OK Die ausgew hlte Datenbankkonfiguration wird mit dem Management Center verbunden und wird aktiv 3 Zur Authentisierung werden Sie dazu aufgefordert den Sicherheitsbeauftragtennamen f r diese Konfiguration auszuw hlen und das entsprechende Zertifikatsspeicherkennwort einzugeben Best tigen Sie Ihre Angaben mit OK Y SafeGuard Management Center x Konfiguration MyCompany2 SGNSRY SafeGuard 1 Bitte w hlen Sie den Sicherheitsbeauftragten f r die Authentisierung mso Kennwort f r Zertifikatsspeicher Token PIN Doo O Abbrechen Das SafeGuard Management Center wird ge ffnet und mit der ausgew hlten Datenbankkon
387. tor Hilfe 1 Shift F5 deaktiviert sowohl die Unterst tzung von USB 1 x als auch von USB 2 0 Hinweis Durch Dr cken von Shift F5 reduziert sich die Wartezeit bis zum Starten der POA erheblich Beachten Sie jedoch dass bei Benutzung einer USB Tastatur oder einer USB Maus am betreffenden Benutzer PC diese Ger te durch Dr cken von Shift F5 m glicherweise deaktiviert werden 2 Wenn die USB Unterst tzung nicht aktiviert ist versucht die POA BIOS SMM zu benutzen anstatt den USB Controller zu sichern und wiederherzustellen Der Legacy Modus kann in diesem Szenario funktionieren 3 Die Legacy Unterst tzung ist aktiviert die USB Unterst tzung ist aktiviert Die POA versucht den USB Controller zu sichern und wiederherzustellen Der Computer kann sich je nach eingesetzer BIOS Version aufh ngen Es besteht die M glichkeit nderungen die ber Hotkeys vorgenommen werden k nnen bei der Installation der SafeGuard Enterprise Verschl sselungs Software ber eine mst Datei bereits vorzudefinieren Verwenden Sie dazu den entsprechenden Aufruf in Verbindung mit msiexec NOVESA Definiert ob VESA oder VGA Modus verwendet werden 0 VESA Modus Standard 1 VGA Modus NOLEGACY Definiert ob nach der POA Anmeldung Legacy Unterst tzung aktiviert ist 0 Legacy Support aktiviert 1 kein Legacy Support Standard ALTERNATE Definiert ob USB Ger te von der POA unterst tzt werden 0 USB Unterst tzung ist aktiviert Standard 1
388. torisierung zuzuweisen ben tigen Sie das Recht Einstellungen f r zus tzliche Autorisierung ndern Gehen Sie wie folgt vor l 2 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte Klicken Sie mit der rechten Maustaste auf Benutzerdefinierte Rollen und w hlen Sie Neu gt Neue benutzerdefinierte Rolle Geben Sie im Dialog Neue benutzerdefinierte Rolle einen Namen und eine Beschreibung f r die Rolle ein W hlen Sie die Aktionen f r diese Rolle Aktivieren Sie die Kontrollk stchen neben den gew nschten Aktionen in der Spalte Aktiv Die Aktionen sind nach Funktionsbereich sortiert und hierarchisch strukturiert Diese Struktur zeigt welche Aktionen vor der Durchf hrung bestimmter anderer Aktionen erforderlich sind Falls erforderlich weisen Sie die zus tzliche Autorisierung zu Klicken Sie auf die Standardeinstellung Kein und w hlen Sie die gew nschte Rolle aus der angezeigten Dropdownliste Wenn ein Sicherheitsbeauftragter ohne die Berechtigung zum ndern der zus tzlichen Autorisierung eine Rolle anlegt wird die zus tzliche Autorisierung gem den Einstellungen der Rolle des betreffenden Sicherheitsbeauftragten vordefiniert Die zus tzliche Autorisierung kann ausgew hlt werden wenn sie f r mehr als eine Rolle des Sicherheitsbeauftragten eingestellt ist Klicken Sie auf OK 42 SafeGuard Enterprise 5 50 Administrator Hilfe 43 Y New custom role Policy O
389. trierte Endpoint Computer f r verschiedene Notfallszenarien z B Kennwort Recovery oder Zugriff auf Daten durch Booten von einem externen Medium Das Challenge Response Verfahren wird sowohl f r native SafeGuard Enterprise Computer als auch f r mit BitLocker verschl sselte Endpoint Computer unterst tzt W hrend des Challenge Response Verfahrens wird automatisch erkannt welcher Computertyp in Gebrauch ist Der Recovery Workflow wird entsprechend angepasst 23 7 1 Recovery Aktionen f r SafeGuard Enterprise Clients Der Recovery Workflow richtet sich danach f r welchen Typ von Endpoint Computer das Recovery Verfahren angefordert wird Hinweis F r mit BitLocker verschl sselte Computer steht als Recovery Aktion nur die Wiederherstellung des Schl ssels der f r die Verschl sselung eines spezifischen Volumes verwendet wurde zur Verf gung Eine Recovery Aktion f r Kennw rter ist nicht verf gbar 23 7 1 1 Kennwort auf POA Ebene wiederherstellen Einer der am h ufigsten auftretenden Recovery Szenarien besteht darin dass Benutzer ihr Kennwort vergessen haben SafeGuard Enterprise wird standardm ig mit aktivierter Power on Authentication POA installiert Das POA Kennwort mit dem auf den Computer zugegriffen wird ist identisch mit dem Windows Kennwort Wenn der Benutzer das Kennwort auf der POA Ebene vergessen hat generiert der Helpdesk Beauftragte eine Response mit der Option SGN Client mit Benutzeranmeldung booten ohne
390. tsbeauftragte 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Sicherheitsbeauftragten den Sie zum Haupt Sicherheitsbeauftragten machen m chten W hlen Sie Zum Haupt Sicherheitsbeauftragten ernennen 3 Weist der ausgew hlte Sicherheitsbeauftragte untergeordnete Sicherheitsbeauftragte auf so werden Sie dazu aufgefordert einen neuen bergeordneten Knoten f r diese untergeordneten Sicherheitsbeauftragten auszuw hlen 58 SafeGuard Enterprise 5 50 Administrator Hilfe 59 7 12 Der Sicherheitsbeauftragte wird zum Haupt Sicherheitsbeauftragten gemacht und unter dem Knoten Haupt Sicherheitsbeauftragte angezeigt Als Haupt Sicherheitsbeauftragter erh lt der ernannte Sicherheitsbeauftragte alle Rechte auf alle Objekte und verliert somit alle zugewiesenen Rollen sowie einzeln gew hrte Dom nen Zugriffsberechtigungen im Bereich Benutzer und Computer Ernennung zum Haupt Sicherheitsbeauftragten r ckg ngig machen Voraussetzung Nur Haupt Sicherheitsbeauftragte k nnen die Ernennung von Sicherheitsbeauftragten zu Haupt Sicherheitsbeauftragten r ckg ngig machen Gehen Sie wie folgt vor 1 Klicken Sie im SafeGuard Management Center auf Sicherheitsbeauftragte 2 Klicken Sie im Navigationsfenster mit der rechten Maustaste auf den Haupt Sicherheitsbeauftragten dessen Ernennung Sie r ckg ngig machen m chten W hlen Sie Zum Sicherheitsbeauftragten zur ckstufen 3 Sie werden dazu aufgefordert ein
391. u erlangen a Benutzer_a deaktiviert im POA Anmeldedialog die Option Durchgehende Anmeldung an Windows und meldet sich an b Benutzer_b authentisiert sich ber Challenge Response in der POA In beiden F llen wird anschlie end der Windows Anmeldedialog angezeigt SafeGuard Enterprise 5 50 Administrator Hilfe Benutzer_b kann dort seine Windows Anmeldeinformationen eingeben Seine Benutzerrichtlinien Zertifikate und Schl ssel werden an den Benutzer Computer geschickt Er wird in der POA aktiviert Benutzer_b existiert nun als kompletter Benutzer in SafeGuard Enterprise Er kann sich bei der n chsten Anmeldung in der POA authentisieren und wird automatisch angemeldet Es wurde in der Computerrichtlinie zwar festgelegt dass auf diesem Computer niemand Benutzer importieren darf da sie sich aber bereits in der UMA befinden k nnen Benutzer_b und Benutzer_c durch die Windows Anmeldung dennoch komplettiert und in der POA aktiviert werden Alle anderen Benutzer werden nicht in die UMA aufgenommen und k nnen sich daher niemals an der Power on Authentication authentisieren Alle Benutzer die sich an Windows anmelden und nicht Benutzer_a Benutzer_b oder Benutzer_c sind werden in diesem Szenario nicht in die UMA aufgenommen und daher auch nie in der POA aktiv Sie k nnen im SafeGuard Management Center sp ter weitere Benutzer hinzuf gen Diese Benutzer k nnen sich an Computer_ABC anmelden Allerdings steht ihr Schl sselring nach der
392. uard Enterprise ist dies eine Voraussetzung um bei der Power on Authentication unterst tzt zu werden Au erdem muss auf Treiber Seite das PKCS 11 Modul unterst tzt werden SafeGuard Enterprise 5 50 Administrator Hilfe 18 1 2 Unterst tzte Smartcards an der Power on Authentication SafeGuard Enterprise unterst tzt ein gro e Anzahl von Smartcards und Smartcard Lesern sowie g ngige Smartcard Treiber an der Power on Authentication An SafeGuard Enterprise werden Token Smartcards unterst tzt die 2 048 Bit RSA Operationen unterst tzen Da die Unterst tzung von Smartcards von Release zu Release erweitert wird werden die in der jeweils aktuellen SafeGuard Enterprise Version unterst tzten Token und Smartcards in den Release Notes aufgef hrt 18 1 3 Unterst tzte Middleware Die in der folgenden Liste aufgef hrte Middleware wird ber deren jeweiliges PKCS 11 Modul unterst tzt PKCS 11 ist eine standardisierte Schnittstelle zur Anbindung kryptographischer Token Smartcards an verschiedenste Software und dient hier der Kommunikation zwischen kryptographischen Token Smartcard Smartcard Leser und SafeGuard Enterprise NICKISSITEIG Hersteller Activldentity ActivClient Aladdin eToken PKI Client AET SafeSign Identity Client Charismatics Smart Security Interface RSA Authentication Client 2 x RSA Smart Card Middleware 3 x Siemens CardOS API a sign Client Gemalto Gemalto NET Card
393. uer aktiviert muss der Benutzer nach dem eingetragenen Zeitraum sein Kennwort wechseln und ein Neues definieren Ab n Tagen vor Ablauf des Kennworts wird eine Warnmeldung ausgegeben und der Benutzer darauf hingewiesen dass er in n Tagen sein Kennwort ndern muss Fr erh lt daraufhin die M glichkeit das Kennwort sofort zu ndern Warnung vor Ablauf Tage ALLGEMEIN Kennwortgenerationen Bestimmt wann bereits verwendete Kennw rter wieder verwendet werden d rfen Sinnvoll ist die Definition von Kennwortgenerationen insbesondere in Verbindung mit der Finstellung Kennwort l uft ab nach Tage Beispiel Die Anzahl der Kennwortgenerationen f r den Benutzer M ller wurde auf 4 festgelegt die der Tage nach denen der Benutzer das Kennwort wechseln muss auf 30 Herr M ller meldete sich bislang mit dem Kennwort Informatik an Nach Ablauf der Frist von 30 Tagen wird er aufgefordert sein Kennwort zu ndern Herr M ller tippt als neues Kennwort wieder Informatik ein und erh lt die Fehlermeldung dass er dieses Kennwort bereits verwendet hat und ein anderes Kennwort w hlen muss Informatik darf Herr M ller erst nach der vierten da Kennwortgenerationen 4 Aufforderung zur Eingabe eines neuen Kennworts verwenden 136 SafeGuard Enterprise 5 50 Administrator Hilfe 15 7 Passphrase f r SafeGuard Data Exchange F r den sicheren Datenaustausch ber SafeGuard Enterprise Secure
394. ung der erhaltenen Fragen oder durch Erstellung und Beantwortung eigener Fragen je nach Berechtigung aktivieren Nach dem Erhalt der von Ihnen erstellten Richtlinie und dem Neustart des Computers steht den Benutzern daf r der Local Self Help Assistent ber das System Tray Icon in der Windows Task Leiste zur Verf gung 22 1 2 Weitere Einstellungen definieren 241 Neben der Aktivierung von Local Self Help k nnen Sie in einer Richtlinie vom Typ Allgemeine Einstellung folgende weiteren Einstellungen definieren m Minimale L nge der Antwort Legen Sie hier die Mindestl nge der Antworten in Zeichen fest Die Standardeinstellung ist 1 m Willkommenstext unter Windows Hier k nnen Sie einen individuellen Informationstext angeben der beim Starten des Local Self Help Assistenten auf dem Benutzercomputer im ersten Dialog angezeigt werden soll Dieser Text muss zuvor erstellt und registriert werden m Benutzer d rfen eigene Fragen festlegen F r die Hinterlegung der Fragen und Antworten f r Local Self Help gibt es folgende M glichkeiten Sie definieren als Sicherheitsbeauftragter die Fragen und verteilen Sie an die Benutzer Die Benutzer sind nicht dazu berechtigt eigene Fragen zu definieren Sie definieren als Sicherheitsbeauftragter die Fragen und verteilen Sie an die Benutzer Die Benutzer sind dazu berechtigt zus tzlich eigene Fragen zu definieren Bei der Beantwortung der f r die Aktivierung von Local Self Help notwendige
395. urch Erstellung von White Lists mit Ger tetypen oder einzelnen Ger ten nach Seriennummer 3 Speicherkontrolle SafeGuard Configuration Protection bietet spezielle Kontrolle externer und interner Speicherger te u a Wechselmedien externe Festplatten CD DVD Diskette und Band ber eine Richtlinie lassen sich Ger tetypen Modelle und einzelne Ger te nach Seriennummer sperren 4 Hybrid Network Bridging blockieren Mit SafeGuard Configuration Protection k nnen Sicherheitsbeauftragte die gleichzeitige Nutzung verschiedener Netzwerkprotokolle die zu unabsichtlichem oder absichtlichem Hybrid Network Bridging z B WLAN Bridging und 3G Card Bridging f hren kann kontrollieren und verhindern SafeGuard Configuration Protection Clients lassen sich so konfigurieren dass der Zugang zu WLAN Bluetooth Modems oder IrDA Links gesperrt ist wenn die Haupt TCP IP Netzwerkschnittstelle mit dem Netzwerk verbunden ist Benutzer k nnen somit die verschiedenen Netzwerkprotokolle nur dann anwenden wenn sie keine Verbindung zum Netzwerk haben Dadurch lassen sich Erzeugung und m glicher Missbrauch einer Hybrid Network Bridge vermeiden Hinweis Interne Ports z B Speicher BUS wie IDE SCSI ATA und S ATA die zum Anschlie en interner Festplattenlaufwerke sowie PCI und PCI X verwendet werden sind standardm ig zugelassen 159 SafeGuard Enterprise Administrator Hilfe 5 USB und PS 2 Hardware Key Logger blockieren Mit SafeGuard Conf
396. usw hlen Klicken Sie auf Sie k nnen sich die Schl ssel entweder nach Schl ssel ID oder symbolischem Namen anzeigen lassen Klicken Sie auf Suchen w hlen Sie den Schl ssel und klicken Sie auf OK Best tigen Sie Ihre Auswahl mit Weiter Das Fenster f r die Eingabe des Challenge Codes wird angezeigt Geben Sie den vom Benutzer erhaltenen Challenge Code ein und klicken Sie auf Weiter Der Challenge Code wird gepr ft 264 SafeGuard Enterprise 5 50 Administrator Hilfe Wenn der Challenge Code korrekt eingegeben wurde wird der Response Code erzeugt Wurde der Code nicht korrekt eingegeben so wird unterhalb des Blocks der den Fehler enth lt der Text Ung ltig angezeigt 6 Teilen Sie dem Benutzer den Response Code mit Hierzu steht eine Buchstabierhilfe zur Verf gung Sie k nnen den Response Code auch in die Zwischenablage kopieren Der angeforderte Schl ssel wird innerhalb des Response Codes an die Benutzerumgebung bertragen 23 9 8 Schl ssel Recovery Datei ausw hlen Standalone Computer 265 Sie m ssen den erforderlichen virtuellen Client im Recovery Assistenten des SafeGuard Management Center ausgew hlt haben Die Schl ssel Recovery Datei die zur Wiederherstellung des Zugriffs auf den Computer erforderlich ist muss dem Helpdesk zur Verf gung stehen z B ber eine Netzwerkfreigabe 1 W hlen Sie im Recovery Assistenten unter Virtueller Client die erforderliche Recovery Aktion
397. verlangen Wir empfehlen f r Wake On LAN immer drei Neustarts mehr als notwendig zu erlauben um unvorhergesehene Probleme zu umgehen Anmeldung an Windows w hrend WOL erlaubt 151 Legt fest ob w hrend eines Wake On LAN ein Logon an Windows erlaubt ist z B f r ein SW Update Diese Einstellung wird von der POA ausgewertet SafeGuard Enterprise 5 50 Administrator Hilfe Richtlinieneinstellung Beginn des Zeitfensters f r externen WOL Start Ende des Zeitfensters f r externen WOL Start ANZEIGEOPTIONEN Erkl rung Datum und Uhrzeit f r den Beginn und das Ende des Wake On LAN WOL k nnen ausgew hlt oder eingegeben werden Datumsformat MM TT JJJJ Zeitformat HH MM Folgende Eingabekombinationen sind m glich m Beginn und Ende des WOL werden festgelegt m Nur das Ende des WOL wird festgelegt der Beginn bleibt offen m Keine Eingaben es wird kein Zeitintervall f r den Client festgelegt Bei einem geplanten SW Roll out sollte der SO den Zeitrahmen f r WOL so bemessen dass das Scheduling Skript fr h genug startet und allen Clients gen gend Zeit zum Booten bleibt WOlstart Der Startpunkt f r den WOL im Scheduling Skript muss innerhalb des hier in der Richtlinie festgelegten Zeitintervalls liegen Wenn kein Intervall definiert ist wird WOL lokal am SafeGuard Enterprise Client nicht aktiviert WOLstop Dieses Kommando wird unabh ngig vom hier festgelegten Endpunkt des WOL ausgef
398. w nschten Ebenen in der Dropdownliste des Felds aus Fehlerstufe In diesem Feld k nnen Sie die Anzahl der anzuzeigenden Ereignisse festlegen Es werden jeweils die zuletzt protokollierten Ereignisse standardm ig die 100 letzten Ereignisse angezeigt Zeige letzte Dar ber hinaus k nnen Sie mit dem Filter Editor benutzerdefinierte Filter erstellen Der Filter Editor l sst sich ber das Kontextmen der einzelnen Berichtsspalten aufrufen Im Fenster Filterdefinition k nnen Sie eigene Filter definieren und auf die jeweilige Spalte anwenden EF Fiterdetiition OOOO x Und Ereignis ID Gleicht OK Abbrechen Anwenden 294 SafeGuard Enterprise 5 50 Administrator Hilfe 26 6 Berichte drucken Die in der SafeGuard Management Center Ereignisanzeige angezeigten Ereignisberichte lassen sich ber das Datei Men in der Men leiste des SafeGuard Management Centers drucken Um vor dem Drucken eine Druckvorschau zu erstellen w hlen Sie Datei gt Druckvorschau In der Druckvorschau stehen verschiedene Funktionen zum Beispiel f r den Export des Dokuments in eine Reihe von Ausgabeformaten zum Beispiel PDF oder die Bearbeitung des Seitenlayouts zum Beispiel Kopf und Fu zeile zur Verf gung Um das Dokument sofort zu drucken w hlen Sie Datei gt Drucken 26 7 Verkettung von protokollierten Ereignissen Die f r die zentrale Datenbank bestimmten Ereignisse werden in der EVENT Tabelle der SafeGu
399. wendig auf die Registerkarte Richtlinien Im Aktionsbereich werden alle f r die Zuweisung der Richtlinie notwendigen Elemente angezeigt Y SafeGuard Management Center MSO_Utimaco an SRY 2003R2 DE SafeGuard EB ol x Datei Bearbeiten Ansicht Gehezu Aktionen Extras Hilfe B 9 8 5 T p B E verschieben Gehezu k Allgemeine Einstellungen Hier werden alle dem Containerobjekt Allgemeine Einstellungen zugewiesenen Richtlinien angezeigt E Anmeldung OU_DE c Ger teschutz OU_LINZ amp Administrator Zuweisen der Richtlinie via Drag amp Drop DHCP Adminis jr B DHCP Benutzer amp DnsAdmins B DnsUpdateProxy amp Dom nen Adm E Spezifische Computereins H Richtlinien Gruppen Allgemeine Einstellungen IB UO _Linz A R Dom nen Ben Hier werden alle angelegten B Dom nencomp B Dom nencontr B Dom nen G ste amp Gast B Hilfedienstgru hd Richtlinien angezeigt Distinguished Name amp Authenticated Users j Authenticated Comp Authenticated Computers Authentisierte Computer 2 Richtlinien f HEJ UTIMACO EDU ER Schl ssel amp Zertifikate oe Token amp Sicherheitsbeauftragte Berichte 83 SafeGuard Enterprise 5 50 Administrator Hilfe 2 Zum Zuweisen einer Richtlinie ziehen Sie sie aus der Liste der verf gbaren Richtlinien in den Richtlinienbereich 3 Sie k nnen f r jede Richtlinie ein
400. xtras Hilfe O E e esn e E Benutzer amp Computer m ilter ist aktiv uthentisierte Benutzer DO Authentisierte Computer Schl ssel Richtlinien Bestand Synchronisation Lizenzen Filter 39 Automatisch registriert H ur maco eou Gomputername Pad 99 Automatisch registriert 4 Einschlie lich Sub Container Letzte nderung anzeigen oJ 8 Board Group 8 BoardMembers 4 Buitin Computers Computerna Betriebss Letzte erhaltene Ri Unverschl sseltela POA I Aktualisierung Stamm Dsn A E WS XP EN Windows X 5 19 2008 4 23 12 A CD EF G H SGN v 5 19 2008 4 26 3 Computers Laufwerke Benutzer Module HZ Domain Controllers H ForeignSecurityPrincipals HZ Headquarter Laptops B NewEmployees J Users Modul Name Data Exchange Device Encryption A Richtlinien IR Schl ssel amp Zertifikate Token amp Sicherheitsbeauftragte B Berichte Ivoni ka Erkl rung Module Name Zeigt den Namen des installierten SafeGuard Enterprise Moduls Version Zeigt die Software Version des installierten SafeGuard Enterprise Moduls 284 SafeGuard Enterprise 5 50 Administrator Hilfe 25 2 Bestandberichte drucken 285 Die in der Registerkarte Bestand angezeigten Informationen lassen sich ber das Datei Men in der Men leiste de
401. y Tool zeigt die Schl ssel ID verschl sselter Laufwerke Das Tool startet und zeigt eine Liste aller Volumes mit den jeweiligen Verschl sselungsinformationen Schl ssel ID Z Schl ssel wiederherstellen B Sophos SafeGuard SOPHOS Sprachauswahl verschl sselte Laufwerke Deutsch 1031 v Laufwerk verschl sselt mit Import mit Datei ii Abbrechen Fertig 2 W hlen Sie das Volume das Sie entschl sseln m chten und klicken Sie auf Import mit C R um den Challenge Code zu erzeugen Die Datei mit dem virtuellen Client wird als Referenz in der SafeGuard Enterprise Datenbank verwendet und in der Challenge angegeben Der Challenge Code wird erzeugt und angezeigt 3 bermitteln Sie den Namen des virtuellen Clients und den Challenge Code an den Helpdesk z B ber Telefon oder eine Textmitteilung Hierzu steht eine Buchstabierhilfe zur Verf gung 262 SafeGuard Enterprise 5 50 Administrator Hilfe 23 9 5 Response mit virtuellen Clients erzeugen Um aufeinen durch SafeGuard Enterprise gesch tzten Computer zuzugreifen und eine Response mit virtuellen Clients zu erzeugen sind zwei Aktionen erforderlich 1 Best tigen Sie den virtuellen Client in der SafeGuard Management Center Datenbank 2 W hlen Sie die erforderliche Recovery Aktion aus a Die Challenge kann zum Wiederherstellen eines einzelnen Schl ssels f r den Zugriff auf ein verschl sseltes Volume aufeinem Computer
402. zahl von Ereignissen die Anzahl an Ereignissen fest nach deren Erreichen die Protokolldatei mit den f r die zentrale Datenbank bestimmten Eintr gen bertragen werden soll Speichern Sie Ihre Einstellungen Nach der Zuweisung der Richtlinie gilt die festgelegte Anzahl von Ereignissen f r die Protokollierung SafeGuard Enterprise 5 50 Administrator Hilfe 26 4 2Ereignisse f r die Protokollierung ausw hlen So w hlen Sie die Ereignisse f r die Protokollierung aus Sie befinden sich im ge ffneten Management Center im Bereich Richtlinien 1 Legen Sie eine neue Richtlinie des Typs Protokollierung an oder w hlen Sie eine bereits bestehende Richtlinie aus Im rechten Aktionsbereich unter Protokollierung werden die vordefinierten Ereignisse die protokolliert werden k nnen angezeigt Ein Klick auf die Spalten berschrift sortiert die Ereignisse nach ID Kategorie usw Um festzulegen dass ein Ereignis in der SafeGuard Enterprise Datenbank protokolliert d lalx Dibi Goxteten Ante Ghons atenen Extras tje Jep 9 CEIA m 9 Richeinsen i Ben protection Prekckalberung G General Settings OU DE m mn EE un nn ertet at E odres D Kategorie Beschrebung alt pasire A E KA Bermas D f System re angehaten DR am o System Loggen Del nicht verf gbar eg lt 6 Anmeldung Response erzeu RB Richtinien ruppen a 5 immar Rmpornn mt Abben Baras rad san Carrot
403. zer au erhalb einer OU oder Vererbungslinie und ist Mitglied einer Gruppe die sich innerhalb dieser OU befindet so gilt diese Aktivierung f r diesen Benutzer oder Computer nicht Denn f r diesen Benutzer oder Computer ist keine g ltige Zuweisung direkt bzw indirekt vorhanden Die Gruppe wurde zwar aktiviert aber eine Aktivierung kann nur f r Benutzer und Computer gelten f r die es auch eine Richtlinienzuweisung gibt D h die Aktivierung von Richtlinien kann nicht ber Container Grenzen hinausgehen wenn keine direkte oder indirekte Richtlinienzuweisung f r dieses Objekt existiert Eine Richtlinie wird wirksam wenn sie entweder bei Benutzergruppen oder Computergruppen aktiviert wurde Es werden die Benutzergruppen und dann die Computergruppen ausgewertet auch authentisierte Benutzer und authentisierte Computer sind Gruppen Beide Ergebnisse werden ODER verkn pft Liefert diese ODER Verkn pfung einen positiven Wert f r die Computer Benutzer Beziehung gilt die Richtlinie Hinweis Werden mehrere Richtlinien f r ein Objekt aktiv werden die einzelnen Richtlinien unter Einhaltung der beschriebenen Regeln vereinigt Das hei t die tats chlichen Einstellungen f r ein Objekt k nnen aus mehreren unterschiedlichen Richtlinien zusammengesetzt werden F r eine Gruppe gibt es folgende Aktivierungseinstellungen m Aktiviert Eine Richtlinie wurde zugewiesen Die Gruppe wird im Aktivierungsbereich des SafeGuard Management Centers ang
404. zer einen Schl ssel auf diese Weise vorgeben wollen m ssen Sie unter F r Verschl sselung definierter Schl ssel wird erst angezeigt wenn die Option Definierter Schl ssel aus der Liste ausgew hlt wurde einen Schl ssel festlegen Wenn Sie auf die Schaltfl che neben der Option F r Verschl sselung definierter Schl ssel klicken wird ein Dialog angezeigt in dem Sie einen Schl ssel angeben k nnen Stellen Sie sicher dass der Benutzer auch im Besitz des entsprechenden Schl ssels ist wenn Sie so die Verwendung eines bestimmten Schl ssels festlegen 70 SafeGuard Enterprise 5 50 Administrator Hilfe Group_Incoming Forest Trust Builders Group_Network Configuration Operators Group_Performance Log Users Group_Performance Monitor Users Group_Pre Windows 2000 Compatible Access Group_Print Operators Group_RAS and IAS Servers Group_Remote Desktop Users Group_Replicator Hier werden alle gefundenen Schl ssel angezeigt Group_Schema Admins Group_Server Operators Group_Terminal Server License Servers Group_Users Markieren Sie den gew nschten Schl ssel und klicken Sie auf OK Der ausgew hlte Schl ssel wird auf dem Benutzer Computer zur Verschl sselung verwendet 71 SafeGuard Enterprise 5 50 Administrator Hilfe 9 2 9 3 Zertifikate m SafeGuard Enterprise kann mit signierten SHAl MD2 und MD5 Zertifikaten verifiziert werden m Wenn Certification Authority CA Zertifikate i
405. zugewiesen 18 6 2 Zertifikat von Token einem Benutzer zuweisen Wenn sich bereits Zertifikate auf dem Token befinden die Sie dem Benutzer zuweisen wollen gehen Sie wie folgt vor Voraussetzung Der Token ist ausgestellt Sie befinden sich im ge ffneten Management Center im Bereich Benutzer amp Computer 1 Stecken Sie den Token an der USB Schnittstelle ein SafeGuard Enterprise liest den Token ein 2 Markieren Sie den Benutzer dem Sie ein Zertifikat zuweisen wollen und ffnen Sie im rechten Arbeitsbereich die Registerkarte Zertifikat 3 Klicken Sie auf das Symbol Zertifikat von Token zuweisen in der SafeGuard Management Center Symbolleiste W hlen Sie das passende Zertifikat aus der Liste aus und geben Sie die Token PIN ein 4 Best tigen Sie mit OK 208 SafeGuard Enterprise 5 50 Administrator Hilfe Das Zertifikat wird dem Benutzer zugewiesen 18 6 3 Zertifikat aus einer Datei auf den Token aufbringen Wenn Sie den privaten Teil des Zertifikats p12 Datei aus einer Datei auf den Token aufbringen wollen gehen Sie wie folgt vor Voraussetzung Der Token ist ausgestellt Sie befinden sich im ge ffneten Management Center im Bereich Token 1 Stecken Sie den Token an der USB Schnittstelle ein SafeGuard Enterprise liest den Token ein 2 Markieren Sie den Token auf den Sie den privaten Teil des Zertifikats aufbringen wollen und ffnen Sie im rechten Arbeitsbereich die Registerkarte Anmeldeinformationen amp

Download Pdf Manuals

image

Related Search

Related Contents

BEDIENUNGSANLEITUNG MODE D'EMPLOI  MODE D`EMPLOI - La Pause Jardin  (DAS) Termos e Condições no Utilizador Final - D  Intel WiFi Link 1000  V680S-D8KF67    平成23年度火力設備立入検査結果(PDF形式185KB)  outlaw obl - Speedmodels  KEH-P5900R KEH    

Copyright © All rights reserved.
Failed to retrieve file