SafeGuard LAN Crypt CLIENT
Contents
1. schen muss der Schl ssel der zur Verschl sselung der Dateien verwendet wurde vorhanden sein Ist der Schl ssel nicht vorhanden wird eine Fehlermeldung ausgegeben und Sie k nnen die betreffenden Dateien nicht von Ihrem System entfernen SafeGuard LAN Crypt 3 71 Client 1 3 5 1 3 6 1 3 7 Es k nnen Situationen auftreten in denen Verschl sselungsregeln ge ndert wurden nachdem eine Datei in den Papierkorb verschoben wurde In diesem Fall muss der alte Schl ssel verf gbar sein damit diese Datei endg ltig gel scht werden kann Von einer Verschl sselung ausgenommene Dateien und Verzeichnisse Folgende Dateien und Verzeichnisse sind von einer Verschl sselung automatisch ausgenommen auch wenn f r sie eine Verschl sselungsregel definiert wurde m Dateien im Installationsverzeichnis von SafeGuard LAN Crypt m Dateien im Installationsverzeichnis von Windows m Local Cache SafeGuard LAN Crypt und SafeGuard Enterprise Diese Version von SafeGuard LAN Crypt und SafeGuard Enterprise Version 5 35 4 oder h her k nnen gleichzeitig auf einem Computer verwendet werden Zum Beispiel k nnen alle Dateien auf Wechselmedien mit SafeGuard Enterprise Data Exchange verschl sselt werden w hrend alle Dateien auf Netzwerklaufwerken mit SafeGuard LAN Crypt verschl sselt sind SafeGuard LAN Crypt zeigt im Dialog Client Status alle auf dem System geltenden Verschl sselungsregeln an Generell gilt dass SafeGuard Enterprise Data E2. sselungsregeln Verschl sselung deaktivieren aktivieren Profil anzeigen Clientstatus Initialverschl sselung Schlie en m Info Benutzermen Ein Rechtsklick auf das SafeGuard LAN Crypt Symbol in der Windows Task Leiste ffnet das Benutzermen Dieses Symbol ver ndert sich entsprechend dem momentanen Status von SafeGuard LAN Crypt Hinweis Welche Men eintr ge tats chlich sichtbar sind ist von der Konfiguration des SafeGuard LAN Crypt Clients abh ngig Diese wird vom Security Officer zentral festgelegt Das SafeGuard LAN Crypt Benutzermen enth lt folgende Eintr ge m Verschl sselungsregeln laden Verschl sselungsregeln aktualisieren Mit diesem Befehl wird das aktuell g ltige Verschl sselungsprofil geladen Wenn z B im laufenden Betrieb das Verschl sselungsprofil ge ndert wurde muss es mit diesem Befehl aktualisiert werden 22 SafeGuard LAN Crypt 3 71 Client 23 m L sche Verschl sselungsregeln L scht das Verschl sselungsprofil Auf verschl sselte Daten kann nicht mehr zugegriffen werden Dies stellt eine Sicherheitsfunktion dar die die verschl sselten Daten auf dem Rechner vor unbefugtem Zugriff sch tzt wenn der Arbeitsplatz kurzfristig verlassen werden muss Diese Funktion macht nur Sinn wenn die Verwendung des privaten Schl ssels durch die Eingabe eines Passworts gesch tzt ist Ansonsten k nnte das Profil durch den Befehl Lade Verschl sselungsregeln einfach wieder geladen werde
3. 443 DATEN_ENC JO Dos_35_0_1 us F Volume gt RNA a s H volume Ausgew hlte Ordner werden mit einem H kchen markiert Ein Zeichen bei einem Ordner zeigt an dass sich darin Unterordner befinden die nicht bearbeitet werden in denen also keine berpr fung des Verschl sselungsstatus der Dateien durchgef hrt wird Durch Dr cken der Schaltfl che Profilregeln werden automatisch alle Verzeichnisse markiert f r die Verschl sselungsregeln im Profil des Benutzers existieren Durch Dr cken der Schaltfl che Erweitert kann die Pr fung auf bestimmte Dateitypen eingeschr nkt werden m Nur folgende Dateien einschlie en Werden hier bestimmte Dateitypen angegeben z B txt doc werden ausschlie lich Dateien vom angegebenen Typ gepr ft Befinden sich auch noch andere Dateien eines Typs der nicht hier angegeben wird in einem Verzeichnis werden sie nicht ber cksichtigt Zur Angabe mehrerer Dateitypen muss eine durch Strichpunkte getrennte Liste verwendet werden SafeGuard LAN Crypt 3 71 Client 3 Nach dem Klicken auf Weiter werden in Schritt 3 5 f r jede Datei das Ergebnis der Pr fung und der Schl sselname des verwendeten Schl ssels angezeigt Die Ergebnisse lassen sich per Mausklick auf die Spalten berschrift alphabetisch sortieren Der Statusbericht kann als XML Datei an einem gew nschten Ort gespeichert werden Schaltfl che Exportieren Durch Klicken auf Fertig wird der Assistent geschlos
4. Crypt Client deinstalliert wurde Anhang Fehlermeldungen beim Laden des Profils Wenn beim Laden des Profils Probleme auftreten weist der SafeGuard LAN Crypt Client den Benutzer durch folgende Fehlermeldungen auf die Ursache hin Benutzerzertifikat nicht gefunden LAN Crypt Security Officer Zertifikat nicht gefunden Problem beim Laden der Zertifikate Vorgang abgebrochen Fehler bei der berpr fung des Benutzerzertifikats Benutzerzertifikat abgelaufen oder noch nicht g ltig LAN Crypt Security Officer Zertifikat abgelaufen oder noch nicht g ltig SafeGuard LAN Crypt 3 71 Client Benutzerzertifikat wurde eingezogen LAN Crypt Security Officer Zertifikat wurde widerrufen Fehler bei der berpr fung des LAN Crypt Security Officer Zertifikats Userprofil s kann nicht ins lokale Cache Verzeichnis s kopiert werden Fehler beim Laden des Key Management Keys Diese Version der Richtliniendatei wird nicht unterst tzt Privaten Schl ssel f r das Zertifikat nicht gefunden Bitte stecken Sie den richtigen Token in den Leser und probieren Sie es erneut Der Aussteller des Zertifikats konnte nicht gefunden oder berpr ft werden Die Stamm Zertifizierungsstelle des Zertifikats konnte nicht gefunden oder berpr ft werden Der Widerrufstatus des Zertifikats ist unbekannt CRL nicht gefunden oder abgelaufen Das Benutzerzertifikat hat nicht die passenden Schl sselverwendungserweiterungen Das Benutzerzertifikat hat
5. GUID Dc De Dm FFiletype V1 V2 V3 X LLogfile Parameter E Startpfad Gibt entweder eine einzelne Datei an die ver ent oder umgeschl sselt werden soll z B C Daten Vertrieb doc oder ein Verzeichnis in dem die Ver Ent oder Umschl sselung durchgef hrt werden soll z B D Daten Unterverzeichnisse werden standardm ig nicht miteinbezogen E Profile Arbeitet alle im geladenen Verschl sselungsprofil enthaltenen Regeln mit absolutem Pfad ab Ver entschl sselt bzw schl sselt die Dateien wenn notwendig um Hinweis Zum Entschl sseln muss f r die entsprechenden Dateien im Profil eine EXCLUDE Regel existieren m s Inklusive aller Unterverzeichnisse ab dem Startpfad m h oder ffnet ein Hilfefenster zur Syntax von sglcinit exe m DignoreDirectory Ignoriere dieses Verzeichnis E Tv Task Modus v Zeigt den Verschl sselungsstatus der Dateien an SafeGuard LAN Crypt 3 71 Client E Te Task Modus e Verschl sselt wenn notwendig die Dateien entsprechend dem Verschl sselungsprofil E Tr Task Modus r Schl sselt die Dateien wenn notwendig entsprechend dem Verschl sselungsprofil um m Td Task Modus d Entschl sselt die Dateien wenn notwendig entsprechend dem Verschl sselungsprofil m Tdk Task Modus dk Entschl sselt die Dateien die mit den angegebenen Schl sseln verschl sselt sind Es muss die GUID f r die Schl ssel angegeben werden Hinw
6. LAN Crypt 3 71 Client 39 5 7 Kompatibilit t mit lteren Versionen 5 8 5 9 Bei einem gleichzeitigen Einsatz der neuen SafeGuard LAN Crypt 3 71 Software mit lteren Versionen sind folgende Punkte zu beachten Der SafeGuard LAN Crypt 3 71 Client kann nur Profile laden die mit der neuen Version 3 60 der SafeGuard LAN Crypt Administration erstellt wurden ltere SafeGuard LAN Crypt Clients k nnen die mit Version 3 60 erstellten Profile und Regeln nutzen abgesehen von Ausnahmen wie z B mit Unicode Japanisch erstellte Regeln da diese Funktion erst ab 3 50 unterst tzt wird SafeGuard LAN Crypt Clients vor der Version 3 50 k nnen Dateien die mit der Version 3 50 oder h her verschl sselt wurden nicht lesen Der neue Client l sst sich so konfigurieren dass er f r die Verschl sselung von Dateien das alte Format verwendet Der SafeGuard LAN Crypt 3 71 Client dagegen kann auch Dateien lesen die mit lteren Clients verschl sselt wurden Deinstallation des Clients Die Deinstallation des SafeGuard LAN Crypt Client erfolgt ber die Systemsteuerung von Windows W hlen Sie unter Start Einstellungen Systemsteuerung Software den Eintrag SafeGuard LAN Crypt Client und klicken Sie auf Entfernen In beiden F llen ist anschlie end ein Reboot erforderlich damit die nderungen wirksam werden Hinweis Mit SafeGuard LAN Crypt verschl sselte Dateien k nnen nicht mehr entschl sselt werden wenn der SafeGuard LAN
7. Vista Business SP2 32bit m Windows 7 Professional 32bit m Windows 7 Enterprise 32bit m Windows 7 Ultimate 32bit m Windows 7 Professional 64bit m Windows 7 Enterprise 64bit m Windows 7 Ultimate 64bit 1 4 2 Firewall Nachdem sich ein Benutzer angemeldet hat versucht SafeGuard LAN Crypt das Benutzerprofil zu laden Dabei werden die Zertifikate von Benutzer und Master Security Officer berpr ft Enth lt ein Zertifikat einen CRL Distribution Point und es ist keine g ltige CRL auf dem System verf gbar versucht Windows eine CRL von der angegebenen Adresse zu importieren Ist eine Firewall aktiv wird unter Umst nden eine Meldung angezeigt dass ein Programm loadprof exe versucht eine Verbindung zum Internet herzustellen 1 5 SafeGuard LAN Crypt und SafeGuard Enterprise m SafeGuard LAN Crypt 3 7x und SafeGuard Enterprise 5 35 4 und h her k nnen ohne Einschr nkungen auf einem Computer installiert werden und sind in vollem Umfang kompatibel m SafeGuard LAN Crypt Versionen unter 3 7x und SafeGuard Enterprise 5 4x k nnen nicht gleichzeitig auf einem Computer installiert werden Wenn Sie SafeGuard Enterprise 5 4x auf einem Computer installieren m chten auf dem bereits SafeGuard LAN Crypt 3 6x oder niedriger installiert ist wird die Installation 11 SafeGuard LAN Crypt 3 71 Client abgebrochen und eine entsprechende Fehlermeldung angezeigt SafeGuard LAN Crypt 3 7x und SafeGuard Enterprise Versionen niedriger als
8. einer Installation ohne Benutzerinteraktion muss msiexec mit bestimmten Parametern aufgerufen werden Unbedingt erforderliche Parameter 1 Gibt das Installations Package an das zu installieren ist ON Installation ohne Benutzerinteraktion Name der msi Datei sglc msi f r 32bit Betriebssysteme sglc_x64 msi f r 64bit Betriebssysteme SafeGuard LAN Crypt 3 71 Client Syntax msiexec i lt Pfad gt 1sglc msi sglc_x64 msi qn ADDLOCAL lt Komponentel gt lt Komponente2 gt Optionale Parameter L lt Pfad Dateiname gt Protokolliert alle Warnungen und Fehlermeldungen in der unter lt Pfad Dateiname gt angegebenen Datei Beispiel msiexec i C Install sglc msi qn ADDLOCAL ALL Die Installation von SafeGuard LAN Crypt 32bit wird ausgef hrt Das Programm wird im Standardverzeichnis lt systemlaufwerk gt Programme Sophos installiert Die msi Datei befindet sich im Verzeichnis Install auf Laufwerk C 16 SafeGuard LAN Crypt 3 71 Client 17 Deinstallation Der SafeGuard LAN Crypt Client kann nur deinstalliert werden wenn Sie mit Administratorrechten an das Betriebssystem angemeldet sind Bitte beachten Sie dass verschl sselte Dateien nach der Deinstallation nicht mehr entschl sselt werden k nnen Achtung Installieren Sie den SafeGuard LAN Crypt Client nach einer Deinstallation nicht erneut ohne dass Sie das System neu starten Sie m ssen den Computer mindestens einmal neu star
9. lokalen Festplatte oder auf mobilen Datentr gern zu sch tzen SafeGuard LAN Crypt 3 71 Client 1 2 Schutz von Daten durch SafeGuard LAN Crypt SafeGuard LAN Crypt garantiert dass sensible Dateien auf File Servern und Arbeitsstationen verschl sselt gespeichert werden k nnen Ebenso erfolgt die bertragung in Netzwerken LAN oder WAN gesch tzt da Ver und Entschl sselung im Hauptspeicher der Arbeitsstation des Benutzers durchgef hrt werden Auf dem File Server selbst muss keine spezielle Sicherheitssoftware installiert werden Die Richtliniendateien enthalten alle Regeln Zugriffsrechte und Schl ssel die f r die transparente Verschl sselung ben tigt werden Damit ein Benutzer auf seiner Arbeitsstation Daten mit SafeGuard LAN Crypt ver und entschl sseln kann muss er in der Lage sein auf die Richtliniendatei zuzugreifen Die Richtliniendatei ist durch ein Zertifikat vor unberechtigtem Zugriff gesichert Um Zugriff zu erhalten muss ein Benutzer ber den privaten Schl ssel des passenden Zertifikats verf gen Auf den Arbeitsstationen laufen alle Ver und Entschl sselungen transparent und weitgehend ohne die Notwendigkeit von Benutzerinteraktionen ab SafeGuard LAN Crypt erm glicht die Einteilung der Benutzer in verschiedene Berechtigungsgruppen durch die Definition unterschiedlicher Rechte auf Verzeichnis und Dateiebene Die Sammlung dieser Rechte ergibt ein Verschl sselungsprofil f r den Benutzer Durch den Besitz de
10. nach dem Verschieben sicher gel scht m Sicheres L schen Beim sicheren L schen wird der Speicherort der Dateien mehrmals berschrieben Die Dateien k nnen ber den Papierkorb nicht wiederhergestellt werden Hinweis Geladene Verschl sselungsregeln haben immer Vorrang vor einer expliziten Verschl sselung Entschl sselung mit den Befehlen Dateien entschl sseln Dateien verschl sseln Sollten Sie versuchen Dateien zu ent verschl sseln f r die eine Verschl sselungsregel etwas anderes definiert wird der Befehl nicht ausgef hrt und es wird eine Fehlermeldung angezeigt In folgenden Situationen kommt es beim Versuch Dateien ber das Kontextmen zu verschl sseln zu einer Fehlermeldung m das Verzeichnis enth lt Dateien die mit einem unbekannten Schl ssel verschl sselt sind m Wenn versucht wird eine Datei im Widerspruch zu ihrer Verschl sselungsregel zu ver entschl sseln z B wenn ein anderer Schl ssel gew hlt wird als in der Regel definiert Verschl sselungsinformation Zus tzlich wird dem Standard Eigenschaften Dialog von Windows ein Reiter mit Verschl sselungsinformationen hinzugef gt Dieser zeigt Informationen ber die verschl sselte Datei an Aktivieren und Deaktivieren der transparenten Verschl sselung Wenn die transparente Verschl sselung im SafeGuard LAN Crypt Benutzermen deaktiviert wird hat dies zur Folge dass die Dateien auf die nach der Deaktivierung zugegriffen wird nicht mehr
11. und Verschl sselungsregeln anderer SafeGuard Produkte anzeigen m Ausnahmen Gibt Auskunft ber unber cksichtigte Anwendungen Laufwerke und Ger te sowie ber die geladenen Ignorieren Regeln des aktuellen Benutzers Die Ausnahmen werden f r alle installierten SafeGuard Produkte angezeigt SafeGuard LAN Crypt behandelt standardm ig bestimmte Anwendungen als Unber cksichtigte Anwendungen Auch diese werden auf diesem Reiter angezeigt m Applikationen Hier werden Programme angezeigt die von SafeGuard LAN Crypt aufgrund ihres Verhaltens eine besondere Behandlung verlangen Programme mit speziellem Speicherverhalten Diese Programme wurden vom Security Officer eingetragen weil sie aufgrund ihres Verhaltens beim Abspeichern von Dateien ein besonderes Verhalten zeigen und deshalb von SafeGuard LAN Crypt speziell behandelt werden m ssen um problemlos zu funktionieren Antiviren Software Antiviren Software ben tigt zum Scannen von verschl sselten Dateien den Schl ssel mit dem diese Dateien verschl sselt sind Hier vom Security Officer eingetragene Antiviren Software hat Zugriff auf alle Schl ssel und kann dadurch auch verschl sselte Dateien pr fen m Schaltfl chen Importieren Exportieren Mit den beiden Schaltfl chen Importieren und Exportieren lassen sich die SafeGuard LAN Crypt Einstellungen aus einer XML Datei einlesen oder die aktuellen Client Settings in ein XML File exportieren 5 4 Initialverschl sselung un
12. 5 35 4 k nnen nicht gemeinsam auf einem Computer installiert werden Wenn Sie SafeGuard LAN Crypt 3 7x auf einem Computer installieren m chten auf dem bereits SafeGuard Enterprise in einer niedrigeren Version als 5 35 4 installiert ist wird die Installation abgebrochen und eine entsprechende Fehlermeldung angezeigt 12 SafeGuard LAN Crypt 3 71 Client 13 Installation Hinweis Die Installation von SafeGuard LAN Crypt ist nur m glich wenn Sie mit Administratorrechten an das Betriebssystem angemeldet sind 1 Doppelklicken Sie auf eine msi Datei im Install Verzeichnis der Installations CD sglc_x64 msi f r die Installation auf einem 64bit Betriebssystem oder sglc msi f r die Installation auf einem 32bit Betriebssystem Klicken Sie auf Weiter Der Dialog Lizenzvertrag wird angezeigt Bitte aktivieren Sie die Option Ich akzeptiere den Lizenzvertrag Wenn Sie dies nicht tun ist eine Installation von SafeGuard LAN Crypt nicht m glich Klicken Sie auf Weiter Der Dialog Zielordner wird angezeigt W hlen Sie aus wo SafeGuard LAN Crypt installiert werden soll Klicken Sie auf Weiter Der Dialog Installationsart ausw hlen wird angezeigt In diesem Dialog k nnen Sie ausw hlen welche Komponenten von SafeGuard LAN Crypt installiert werden sollen Standard Installation der gebr uchlichsten Anwendungsfunktionen des SafeGuard LAN Crypt Client Vollst ndig Komplette Client Installation An
13. Datei ist verschl sselt aber der Benutzer hat keinen Zugriff auf den Schl ssel m Grauer Schl ssel Die Datei ist unverschl sselt sollte aber an diesem Ort entsprechend einer vorhandenen Verschl sselungsregel verschl sselt sein m Gelber Schl ssel Die Datei ist verschl sselt die transparente Verschl sselung ist aber derzeit deaktiviert Hinweis F r Dateien die das Offline Attribut gesetzt haben physikalisch nicht vorhanden werden keine Schl sselsymbole angezeigt Der Eintrag SafeGuard LAN Crypt des Kontextmen s ffnet ein Untermen das weitere Eintr ge enth lt Diese Eintr ge k nnen variieren abh ngig davon ob ein Verzeichnis oder eine Datei ausgew hlt wurde und in welchem Verschl sselungszustand sich eine Datei befindet Hinweis Auch den Ordnern und Dateien im Windows Explorer selbst werden Schl sselsymbole hinzugef gt Schl ssel in verschiedenen Farben zeigen den Verschl sselungsstatus an m Gr ner Schl ssel Die Datei ist verschl sselt und der Benutzer hat Zugriff auf den Schl ssel m Roter Schl ssel Die Datei ist verschl sselt aber der Benutzer hat keinen Zugriff auf den Schl ssel 34 SafeGuard LAN Crypt 3 71 Client 35 m Grauer Schl ssel Die Datei ist unverschl sselt sollte aber an diesem Ort entsprechend einer vorhandenen Verschl sselungsregel verschl sselt sein m Gelber Schl ssel mit Fragezeichen Der Benutzer verf gt nicht ber die notwendigen Leser
14. Dateien entsprechend den Regeln umschl sseln aktivieren Sollten Dateien nach den neuen Regeln mit einem anderen Schl ssel verschl sselt werden m ssen werden diese umgeschl sselt m Dateien mit den ausgew hlten Schl sseln entschl sseln aktivieren und alle Schl ssel ausw hlen Verschl sselte Dateien f r die es nun keine Verschl sselungsregel mehr gibt werden entschl sselt SafeGuard LAN Crypt entschl sselt ausschlie lich Dateien f r die es keine Verschl sselungsregel gibt darum ist die Auswahl aller Schl ssel v llig unproblematisch Alle Dateien besitzen nach dem erfolgreichen Beenden des Assistenten den korrekten Verschl sselungsstatus 30 SafeGuard LAN Crypt 3 71 Client 5 4 2 31 Das explizite Entschl sseln von Dateien kann dann wichtig sein wenn die persistente Verschl sselung aktiviert ist In diesem Fall werden Dateien nicht automatisch entschl sselt wenn sie aus einem Verzeichnis f r das eine Verschl sselungsregel gilt in ein Verzeichnis ohne Verschl sselungsregel kopiert verschoben werden Initialverschl sselung im Unattended Modus Wenn sglcinit exe im Unattended Modus ausgef hrt werden soll muss das Tool mit bestimmten Parametern auf einer Kommandozeile aus dem Verzeichnis heraus aufgerufen werden in dem es sich befindet z B C Programme Sophos SafeGuard LAN Crypt Kommandozeilensyntax SGLCInit lt Startpfad S Profile gt S DIgnoreDirectory Tv Te Tr Td Tdk
15. Dauer ab versucht SafeGuard LAN Crypt noch einmal die Richtliniendatei vom Netzwerklaufwerk zu laden um sie zu aktualisieren Ist dies nicht m glich wird die Richtliniendatei entladen Der Benutzer hat keinen Zugriff mehr auf verschl sselte Daten Erst wenn wieder eine g ltige Richtliniendatei zur Verf gung steht z B beider n chsten Anmeldung mit einer Verbindung zum Speicherort der Richtliniendateien f r die Clients wird die Richtliniendatei aktualisiert und geladen Der Benutzer hat wieder Zugriff auf verschl sselte Daten Der Z hler f r die Dauer der Zwischenspeicherung wird zur ckgesetzt Die Angabe der Dauer der Zwischenspeicherung kann einerseits sicherstellen dass die Client Computer in regelm igen Intervallen mit aktuellen Richtliniendateien versorgt werden und die Benutzer immer aktuelle Richtlinien verwenden andererseits kann durch die Beschr nkung der G ltigkeitsdauer verhindert werden dass Benutzer mit Richtliniendateien unbeschr nkt lange weiterarbeiten k nnen Denn solange die Richtliniendateien durch eine Verbindung zum Speicherort f r Richtliniendateien nicht aktualisiert werden kann ein Benutzer mit einer zwischengespeicherten Version der Richtliniendatei unbeschr nkt lange arbeiten wenn diese Einstellung auf nicht konfiguriert gesetzt ist SafeGuard LAN Crypt 3 71 Client In folgenden F llen wird der Z hler f r die erlaubte Dauer der Zwischenspeicherung zur ckgesetzt m Der Speicherort der
16. Fenster ausf hren E LILogfile Ausgabe wird auch in die Datei geschrieben Hinweis Der Parameter Td kann nur dann mit Profile sinnvoll kombiniert werden wenn die zu entschl sselnden Dateien im Profil ber eine Exclude Regel aufgef hrt sind Andernfalls muss Td mit Startpfad kombiniert werden Beispiel sglcinit exe SPROFILE DC ignorieren S Te Tdk 1234ABCD 1234 1234 1234 1234ABCD 5678EFGH 5678 5678 5678 5678EFGH V1 LC logfile xml SafeGuard LAN Crypt 3 71 Client 5 5 Explorererweiterungen Die SafeGuard LAN Crypt Explorererweiterungen bieten folgende Funktionalit t m Initialverschl sselung von Dateien und Verzeichnissen m Explizite Ver und Entschl sselung von Dateien und Verzeichnissen m Einfache Kontrolle ber den Verschl sselungsstatus Ihrer Daten SafeGuard LAN Crypt f gt dem Windows Explorer Eintr ge hinzu Diese erscheinen in den Kontextmen s von Laufwerken Verzeichnissen und Dateien Des Weiteren wird auch dem Windows Eigenschaften Fenster f r Dateien ein Reiter mit Informationen zum Verschl sselungsstatus hinzugef gt Bei einem Rechtsklick auf ein Verzeichnis oder eine Datei wird im Kontextmen der Eintrag SafeGuard LAN Crypt angezeigt Ist eine Datei ausgew hlt zeigt ein Schl ssel in verschiedenen Farben den Verschl sselungsstatus der Datei an m Gr ner Schl ssel Die Datei ist verschl sselt und der Benutzer hat Zugriff auf den Schl ssel m Roter Schl ssel Die
17. Richtliniendateien ist erreichbar es wurde eine g ltige Richtliniendatei auf den Client bertragen z B bei der Anmeldung des Benutzers oder ausgel st durch ein eingestelltes Aktualisierungsintervall diese ist aber nicht neuer als die bestehende m Eine neue Richtliniendatei ist verf gbar und wurde erfolgreich geladen In folgenden F llen wird der Z hler f r die erlaubte Dauer der Zwischenspeicherung NICHT zur ckgesetzt m Der Client Computer versucht eine neue Richtliniendatei zu erhalten der Speicherort der Richtliniendateien ist aber nicht erreichbar m Eine neue Richtliniendatei wurde bertragen konnte aber aufgrund eines Fehlers nicht geladen werden m Es ist eine neue Richtliniendatei verf gbar sie verlangt aber ein neues Zertifikat Der Benutzer besitzt dieses Zertifikat nicht oder kann es nicht laden Schl gt die Aktualisierung der Richtliniendatei fehl wird auf dem Client Computer der Ablaufzeitpunkt der zwischengespeicherten Richtliniendatei in Form einer Balloon Hilfe angezeigt Der Benutzer kann dann eine manuelle Aktualisierung ber das SafeGuard LAN Crypt System Tray Icon ansto en siehe Verschl sselungsregeln laden Verschl sselungsregeln aktualisieren auf Seite 22 Keine Zwischenspeicherung der Richtliniendatei Ein Security Officer kann auch festlegen dass die Richtliniendatei nicht zwischengespeichert wird Das bedeutet dass der Benutzer sein Benutzerprofil bei der Anmeldung erh lt wenn der Spe
18. SOPHOS SafeGuard LAN Crypt 3 71 Client Benutzerhandbuch Stand Dezember 2010 Inhalt i berbli ino 2 Ze Installation aliada ei ita ho eaa 13 Dia 17 4 Terminal Servera iaa 18 5 SafeGuard LAN Crypt Benutzeranwendung uunnsessssenessenonnenenennnnonnennnnnonnnonnnnonnnnnnonnnnennenonnnnnnann 20 6 Rechtlicher Hinweis ii ia 41 7 Technischer SUpport aieeaa Aaa dote 42 SafeGuard LAN Crypt 3 71 Client 1 1 berblick Was ist SafeGuard LAN Crypt SafeGuard LAN Crypt ist ein Produkt zur transparenten Dateiverschl sselung Es wurde entwickelt um den vertraulichen Austausch von Daten zwischen Benutzern innerhalb von Berechtigungsgruppen in gro en Organisationen zu erm glichen Im Gegensatz zu anderen Verschl sselungsprodukten arbeitet SafeGuard LAN Crypt ohne Benutzerinteraktion Es unterst tzt die Rolle eines Security Officers der f r Dateien die mit SafeGuard LAN Crypt verschl sselt sind auch die Zugriffsrechte des Systemadministrators einschr nken kann Ein Master Security Officer kann Rechte zur Administration von SafeGuard LAN Crypt auch delegieren und so eine Administrationshierarchie schaffen die der Organisationsform jedes Unternehmens gerecht wird Jedes Mal wenn ein Benutzer eine Datei in ein verschl sseltes Verzeichnis verschiebt wird die Datei auf dem Computer dieses Benutzers verschl sselt Wenn ein anderer Benutzer aus derselben Berechtigungsgruppe die Datei aus dem Verzeichnis l
19. SafeGuard LAN Crypt Verschl sselungsprofilen erm glichen dem Benutzer den Zugriff auf verschl sselte Daten Die Regeln definieren welche Dateien in welchen Verzeichnissen mit welchem Schl ssel zu verschl sseln sind Sobald das Verschl sselungsprofil eines Benutzers geladen ist findet die Ver und Entschl sselung der Daten transparent im Hintergrund statt ohne dass der Benutzer davon etwas bemerkt Hinweis CA Zertifikate werden nur dann als korrekt akzeptiert wenn sie unter Trusted Root Certification Authorities liegen Die SafeGuard LAN Crypt Software importiert aber CA Zertifikate die in PKCS 12 Schl sseldateien enthalten sein k nnen gemeinsam mit den Benutzerzertifikaten in den Ordner Personal Certificates Um Fehlermeldungen zu vermeiden m ssen die CA Zeritfikate manuell nach Trusted Root Certification Authorities verschoben werden SafeGuard LAN Crypt 3 71 Client 5 3 5 3 1 Benutzerprogramm Ein Symbol in der Task Leiste zeigt den Status von SafeGuard LAN Crypt durch ein Schl sselsymbol an m Gr n bedeutet Verschl sselungsregeln geladen transparente Verschl sselung aktiviert m Gelb bedeutet Verschl sselungsregeln geladen transparente Verschl sselung deaktiviert m Rot bedeutet Kein Profil geladen Die Applikation bietet ber die rechte Maustaste dem Benutzer die folgenden Funktionen m Verschl sselungsregeln laden Verschl sselungsregeln aktualisieren L sche Verschl
20. aren die Dateien in diesen Verzeichnissen verschl sselt bleiben sie unter dem neuen Verzeichnisnamen bzw am neuen Speicherort verschl sselt Besitzt der Benutzer den entsprechenden Schl ssel kann er wie gewohnt mit diesen Dateien arbeiten Anders ist das Verhalten beim Verschieben von Verzeichnissen und Dateien auf eine andere Partition oder auf USB Speichermedien f r die keine Verschl sselungsregel eingerichtet wurde Ist die Persistente Verschl sselung nicht aktiviert werden die Dateien wie bisher entschl sselt wenn sie auf derartige Medien verschoben werden Hat der Administrator dagegen die Funktion Persistente Verschl sselung aktiviert bleiben die Dateien auch in diesem Fall verschl sselt Werden Dateien au erhalb des Windows Explorer kopiert oder verschoben z B Kommandozeile hat die Persistente Verschl sselung keine Auswirkung und die Dateien werden entschl sselt SafeGuard LAN Crypt 3 71 Client 1 3 3 1 3 4 Sicheres Verschieben SafeGuard LAN Crypt bietet eine eigene Funktion f r das Verschieben von Dateien und Verzeichnissen Beim Verschieben durch SafeGuard LAN Crypt werden die Dateien auch am neuen Speicherort entsprechend den geltenden Verschl sselungsregeln ver ent bzw umgeschl sselt Die Quelldateien werden nach dem Verschieben sicher gel scht Diese Funktion steht ber den Eintrag Sicheres Verschieben im Windows Explorer Kontextmen von SafeGuard LAN Crypt zur Verf gung ber einen Dialo
21. arf oder Sie verf gen ber eine schriftliche Genehmigung des Urheberrechtsinhabers Copyright Informationen von Drittanbietern finden Sie in der Datei 3rd_Party_Software rtf in Ihrem Produktverzeichnis SafeGuard LAN Crypt 3 71 Client Technischer Support Technischen Support zu Sophos Produkten k nnen Sie wie folgt abrufen m Rufen Sie das SophosTalk Forum unter http community sophos com auf und suchen Sie nach Benutzern mit dem gleichen Problem m Durchsuchen Sie die Sophos Support Knowledgebase unter http www sophos de support m Laden Sie Dokumentation zu den Produkten unter http www sophos de support docs herunter m Senden Sie eine E Mail an den technischen Support support sophos de und geben Sie die Versionsnummer n Betriebssystem e und Patch Level Ihrer Sophos Software sowie ggf den genauen Wortlaut von Fehlermeldungen an 42
22. automatisch ver bzw entschl sselt werden Neu erzeugte Dateien bleiben ebenfalls unverschl sselt auch wenn f r diese eine Verschl sselungsregel im Verschl sselungsprofil des Benutzers vorhanden ist SafeGuard LAN Crypt 3 71 Client 5 6 1 Hinweis Die Deaktivierung der Verschl sselung ist von Bedeutung wenn verschl sselte Dateien beim Kopieren Verschieben in ein Verzeichnis f r das keine Verschl sselungsregel besteht verschl sselt bleiben sollen oder wenn verschl sselte Dateien an eine E Mail angeh ngt werden sollen Entsprechend der Philosophie von SafeGuard LAN Crypt w rden diese Dateien entschl sselt werden wenn sie in ein unverschl sseltes Verzeichnis kopiert oder als E Mail Attachment versendet werden Wurde dagegen vom Administrator die Funktion Persistente Verschl sselung aktiviert bleiben Dateien automatisch auch dann verschl sselt wenn sie ber den Windows Explorer in ein Verzeichnis verschoben werden f r das keine Verschl sselungsregel existiert Mit der persistenten Verschl sselung ist es in den beschriebenen F llen nicht mehr erforderlich vorher die transparente Verschl sselung zu deaktivieren Die persistente Verschl sselung sorgt daf r dass Dateien auch dann verschl sselt bleiben wenn sie versehentlich in ein anderes Verzeichnis verschoben wurden oder wenn der Benutzer vergessen hat die Verschl sselung vor dem Verschieben bzw Kopieren zu deaktivieren Das Aktivieren oder Deaktivieren der per
23. d explizite Verschl sselung Nach der Installation von SafeGuard LAN Crypt muss eine Initialverschl sselung durchgef hrt werden bei der alle Daten entsprechend dem geladenen Verschl sselungsprofil verschl sselt werden Die Initialverschl sselung kann ber m das SafeGuard LAN Crypt System Tray Icon m die SafeGuard LAN Crypt Explorererweiterung siehe Explorererweiterungen auf Seite 34 oder m das Tool sglcinit exe ausgef hrt werden das auch einen Unattended Modus unterst tzt SafeGuard LAN Crypt 3 71 Client siehe Initialverschl sselung im Unattended Modus auf Seite 31 Neben der Initialverschl sselung von ganzen Verzeichnissen ist mit dem Kommandozeilen Tool sglcinit exe und mit der Explorererweiterung auch die Ver Ent und Umschliisselung einzelner Dateien m glich Die explizite Ver Ent oder Umschl sselung kann notwendig werden m Wenn unverschl sselte Dateien sich in Verzeichnissen befinden f r die eine Verschl sselungsregel existiert m Wenn verschl sselte Dateien sich in Verzeichnissen befinden f r die keine Verschl sselungsregel existiert m Wenn Dateien in verschl sselten Verzeichnissen mit einem falschen Schl ssel verschl sselt sind m Wenn sich die Verschl sselungsvorschriften im Verschl sselungsprofil ge ndert haben m Wenn Dateien mit mehreren Schl sseln verschl sselt wurden 5 4 1 Der Assistent zur Initialverschl sselung Das Tool f r die Initialverschl sselung sglcinit
24. d und wer auf diese Daten Zugriff hat Nach der Erzeugung der Richtliniendateien auf dem Administrationsrechner m ssen diese an die Benutzer verteilt werden SafeGuard LAN Crypt 3 71 Client Zur Administration von SafeGuard LAN Crypt wird ein Windows Standardmechanismus die Microsoft Management Konsole MMC verwendet Die Benutzeroberfl che der SafeGuard LAN Crypt Administration besteht aus Snap Ins f r die MMC Die SafeGuard LAN Crypt Administration speichert die meisten administrierbaren Objekte Benutzerdaten Schl ssel Verschl sselungspfade etc in einer eigenen Datenbank Die Verwendung des Datenbankkonzepts anstelle von ausschlie lich Windows Mechanismen z B Active Directory hat vor allem zwei Vorteile Systemadministration und Security Administration k nnen streng getrennt werden Die Verwendung einer eigenen Datenbank macht SafeGuard LAN Crypt unabh ngig von der Systemadministration Die Schl ssel in der SafeGuard LAN Crypt Administrationsdatenbank sind verschl sselt und dadurch vor unberechtigtem Zugriff gesch tzt Zus tzlich verhindert die Datenbank dass unbeabsichtigt nderungen vorgenommen werden z B dass ein Systemadministrator ein ben tigtes Sicherheitsobjekt l scht Andererseits ist es oft nicht erw nscht dass Personen die keine Systemadministratoren sind die Systemkonfiguration ndern k nnen Es liegt auf der Hand dass es problematisch ist Schreibrechte bei der Systemadministration zu
25. delegieren Auch aus dieser Sicht ist es sehr sinnvoll die SafeGuard LAN Crypt spezifischen Daten in einer separaten Datenbank zu speichern Um den bestm glichen Schutz zu bieten sind die SafeGuard LAN Crypt Funktionen wiederum in zwei Bereiche gegliedert SafeGuard LAN Crypt Benutzerfunktionen Die SafeGuard LAN Crypt Benutzerfunktionen enthalten die Ver Entschl sselungsinformationen der Daten die zur t glichen Arbeit mit SafeGuard LAN Crypt notwendig sind Sobald ein Benutzer auf die Schl sselinformationen zugreifen kann werden die Dateien transparent ver bzw entschl sselt Es ist ansonsten kein Benutzereingriff mehr notwendig Zus tzlich bietet SafeGuard LAN Crypt einige Anzeigefunktionen die es dem Benutzer erm glichen sich seine Verschl sselungsvorschriften anzeigen zu lassen SafeGuard LAN Crypt Security Officer Funktionen Die SafeGuard LAN Crypt Administration bietet Funktionen die einem Security Officer vorbehalten sind Verschl sselungsprofile k nnen nur dann administriert werden wenn man im Besitz des Security Officer Zertifikats ist Nur dann ist es m glich Verschl sselungsprofile zu erzeugen und bestehende zu verwalten Die SafeGuard LAN Crypt Administration kann getrennt vom Benutzerprogramm installiert werden da nur ein Security Officer Zugriff darauf haben sollte SafeGuard LAN Crypt 3 71 Client 1 3 Transparente Verschl sselung Transparente Verschl sselung bedeutet f r den Benutze
26. dung die Information wo diese Richtliniendateien gespeichert sind Diese Einstellungen werden vom Systemadministrator vorgenommen Der Pfad wird in die Windows Registrierung der Client Rechner eingetragen SafeGuard LAN Crypt l dt dann aus diesem Verzeichnis die Richtliniendatei f r den angemeldeten Benutzer und berpr ft anhand des Zertifikats ob der Benutzer berechtigt ist das Profil zu laden Anmeldung mit Token Eine Anmeldung an SafeGuard LAN Crypt ist auch mit Token m glich Voraussetzung daf r ist dass der Benutzer einen Token besitzt auf dem sein SafeGuard LAN Crypt Benutzerzertifikat gespeichert ist Wird das Benutzerzertifkat auf einem mit dem System verbundenen Token gefunden wird die Anmeldung durchgef hrt Werden Token zur Anmeldung verwendet kann es vorkommen dass SafeGuard LAN Crypt eine Richtliniendatei zu laden versucht bevor der Token vom Betriebssystem korrekt identifiziert wurde In diesem Fall wird eine Meldung angezeigt dass das Benutzerzertifikat nicht gefunden wurde obwohl der Token bereits mit dem System verbunden ist Der Benutzer muss in diesem Fall die Richtliniendatei manuell laden Benutzerprogramm in der Task Leiste gt Verschl sselungsregeln laden Dadurch wird der Token korrekt identifiziert und die Anmeldung wird durchgef hrt 20 SafeGuard LAN Crypt 3 71 Client 21 5 2 Zertifikate Damit der Benutzer Zugriff auf sein Verschl sselungsprofil hat muss das entsprechende Zertif
27. echte f r die Datei Daher kann SafeGuard LAN Crypt den Verschl sselungsstatus nicht feststellen Folgende Eintr ge k nnen in diesem Men angezeigt werden on GAD Reduzieren 5 ad Explorer O Be ffnen Ev Suchen de Freigabe und Sicherheit O Pr een LANCrypt Verschl sselungsstatus Initialverschl sselung Senden an gt Dateien verschl sseln Ausschneiden Dateien entschl sseln Kopieren Sicheres Verschieben Einf gen Sicher l schen L schen Umbenennen Eigenschaften F r Verzeichnisse m Verschl sselungsstatus Klicken auf diesen Eintrag zeigt eine Liste aller Dateien in diesem Verzeichnis und ihren Verschl sselungsstatus farbige Schl ssel an Es werden immer nur die Dateien der ersten Verzeichnisebene angezeigt Zur Anzeige der Dateien in Unterverzeichnissen muss auf das entsprechende Unterverzeichnis gewechselt werden Im Explorer sind Verzeichnisse f r die eine Verschl sselungsregel existiert an einem Schl sselsymbol zu erkennen Initialverschl sselung Verschl sselt alle Dateien im Verzeichnis entsprechend dem geladenen Verschl sselungsprofil Auch Unterverzeichnisse f r die eine Verschl sselungsregel gilt werden miteinbezogen Wie lange die Initialverschl sselung ungef hr dauern wird l sst sich an einem Fortschrittsbalken ablesen Zudem wird angezeigt wie viele Dateien das Verzeichnis insgesamt enth lt und wie viele davon bereits verschl sselt w
28. egeln im Profil des Benutzers existieren Durch Dr cken der Schaltfl che Erweitert stehen weitere Einstellungen f r die Initialverschl sselung zur Verf gung Hinweis Welche Einstellung vom Benutzer ge ndert werden k nnen ist von der Konfiguration des SafeGuard LAN Crypt Clients abh ngig Diese wird vom Security Officer zentral festgelegt SafeGuard LAN Crypt 3 71 Client EFS verschl sselte Dateien wenn notwendig entschl sseln Wird diesen Option ausgew hlt entschl sselt der Assistent EFS verschl sselte Dateien und verschl sselt sie anschlie end wenn f r sie eine SafeGuard LAN Crypt Verschl sselungsregel gilt Ist diese Option nicht ausgew hlt werden EFS verschl sselte Dateien vom Assistenten zur Initialverschl sselung ignoriert Sie werden nicht von SafeGuard LAN Crypt umgeschl sselt auch wenn f r sie eine Verschl sselungsregel besteht NTFS komprimierte Dateien wenn notwendig dekomprimieren Wird diese Option ausgew hlt dekomprimiert der Assistent NTFS komprimierte Dateien und verschl sselt sie anschlie end wenn f r sie eine Verschl sselungsregel gilt Ist diese Option nicht ausgew hlt werden NTFS komprimierte Dateien vom Assistenten zur Initialverschl sselung ignoriert Sie werden nicht verschl sselt auch wenn f r sie eine Verschl sselungsregel festgelegt wurde Dateien die wiederholt mit mehreren Schl ssel verschl sselt wurden entschl sseln umschl sseln Wird diese Option ausgew hlt
29. eis Alle Task Modus Parameter k nnen in einem Befehlsaufruf zusammen genutzt werden E Dc Diese Option dekomprimiert NTFS komprimierte Dateien und verschl sselt sie anschlie end Ist diese Option nicht gesetzt werden NTFS komprimierte Dateien ignoriert E De Diese Option entschl sselt EFS verschl sselte Dateien und verschl sselt sie anschlie end Ist diese Option nicht ausgew hlt werden EFS verschl sselte Dateien ignoriert E Dm Diese Option entschl sselt mehrfach verschl sselte Dateien und verschl sselt sie anschlie end neu Die Dateien sind dann wieder mit einem Schl ssel verschl sselt m 7 Dateityp Werden mit dieser Option Dateitypen angegeben z B Ftxt Fdoc werden ausschlie lich Dateien vom angegebenen Typ bearbeitet Diese Einstellung wirkt sich nur auf Dateien aus f r die eine Verschl sselungsregel existiert Befinden sich auch noch andere Dateien eines Typs der nicht hier angegeben wird in einem Verzeichnis werden sie bei der Initialverschl sselung nicht ber cksichtigt Sie werden erst verschl sselt wenn sie vom Benutzer ge ffnet und wieder abgespeichert werden m v1 Verbose Modus 1 Nur Fehlermeldungen werden ausgegeben E v2 Verbose Modus 2 Ausgabe der Dateien die ver um entschl sselt werden sowie der Fehlermeldungen 32 SafeGuard LAN Crypt 3 71 Client 33 m v3 Verbose Modus 3 Ausgabe aller Dateien E E Bei Fehler abbrechen m x Initialverschl sselung ohne
30. eln auf Der Benutzer kann zudem die Optionen Ignorieren Regeln anzeigen und Ausnahmeregeln anzeigen w hlen um auch diese Verschl sselungsregeln zu sehen Der Reiter Verf gbare Schl ssel zeigt alle f r den aktuellen Benutzer verf gbaren Schl ssel an m Clientstatus Die Funktion Clientstatus liefert auf acht Reitern zahlreiche Informationen zum aktuellen Status des SafeGuard LAN Crypt Clients m Initialverschl sselung Startet den Assistenten f r die Initialverschl sselung der gew nschten Dateien siehe Initialverschl sselung und explizite Verschl sselung auf Seite 25 SafeGuard LAN Crypt 3 71 Client 5 3 2 m Schlie en Beendet das SafeGuard LAN Crypt Benutzerprogramm m Info Zeigt Informationen zur Version von SafeGuard LAN Crypt an Hinweis Schlie en schlie t nur das SafeGuard LAN Crypt Benutzerprogramm SafeGuard LAN Crypt bleibt im aktuellen Status Dies bedeutet dass die transparente Ver und Entschl sselung weiterhin ausgef hrt wird Das Schlie en des Benutzerprogramms alleine sch tzt Daten nicht vor unberechtigtem Zugriff z B wenn ein Benutzer seine Arbeitsstation verl sst Der Dialog Clientstatus Der Dialog Clientstatus l sst sich auch ber Start Programme Sophos SafeGuard LAN Crypt Clientstatus ffnen Die Funktion Clientstatus liefert auf insgesamt acht Reitern n tzliche Informationen z B zu den geladenen Verschl sselungsregeln m Status Zeigt an ob das Benutzerprofil
31. en z B Kommandozeile hat diese Funktion keine Auswirkung und die Dateien werden entschl sselt Kopieren oder verschieben Sie verschl sselte Dateien an einen Ort an dem nicht mehr die bisherige Verschl sselungsregel gilt sondern eine andere werden die betreffenden Dateien zuerst entschl sselt und danach anhand der neuen Regel wieder verschl sselt Transparente Verschl sselung betrifft alle Arbeiten mit Dateien Der Benutzer bemerkt nichts von den Ver bzw Entschl sselungsvorg ngen da alle Prozesse im Hintergrund ablaufen Hinweis SafeGuard LAN Crypt kann keine Dateien verschl sseln f r die unter dem NTFS Dateisystem von Windows die NTFS Komprimierung und die EFS Verschl sselung verwendet wird Der Assistent zur Initialverschl sselung bietet allerdings die M glichkeit wenn f r NTFS komprimierte und oder EFS verschl sselte Dateien eine Verschl sselungsregel besteht diese im Rahmen der Initialverschl sselung zur dekomprimieren bzw zu entschl sseln Die Dateien werden anschlie end von SafeGuard LAN Crypt den Verschl sselungsregeln entsprechend verschl sselt Ob der Benutzer die M glichkeit hat NTFS komprimierte Dateien zu dekomprimieren oder EFS verschl sselte Dateien wenn notwendig zu entschl sseln wird vom Security Officer festgelegt SafeGuard LAN Crypt 3 71 Client 1 3 1 1 3 2 Zugriff auf verschl sselte Daten Gibt es in den Verschl sselungsvorschriften eines Benutzers keinen Sc
32. entschl sselt der Assistent mehrfach verschl sselte Dateien und verschl sselt sie anschlie end neu wenn f r sie eine Verschl sselungsregel gilt Die Dateien sind dann wieder mit einem Schl ssel verschl sselt Diese Option kann nur ausgew hlt werden wenn Dateien entsprechend den Regeln verschl sseln oder Dateien entsprechend den Regeln umschl sseln in Schritt 2 5 ausgew hlt wurde Wurde keine dieser Optionen gew hlt ist diese Option ausgegraut Nur folgende Dateien einschlie en Werden hier bestimmte Dateitypen angegeben z B txt doc usw werden ausschlie lich Dateien vom angegebenen Typ vom Assistenten zur Initialverschl sselung bearbeitet Diese Einstellung wirkt sich nur auf Dateien aus f r die eine Verschl sselungsregel existiert Befinden sich auch noch andere Dateien eines Typs der nicht hier angegeben wird in einem Verzeichnis werden sie bei der Initialverschl sselung nicht ber cksichtigt Sie werden erst verschl sselt wenn sie vom Benutzer ge ffnet und wieder abgespeichert werden Zur Angabe mehrerer Dateitypen muss eine durch Strichpunkte getrennte Liste verwendet werden Nach dem Klicken auf Weiter kann in Schritt 4 5 festgelegt werden welche Dateien im Bericht ber die Initialverschl sselung enthalten sein sollen F r den Bericht kann der Benutzer zwischen folgenden Optionen w hlen Nur Fehler berichten Der Statusbericht enth lt nur Dateien bei denen w hrend der Verschl sselung Fehler au
33. erechtigt ist erscheint in der Infobox anstelle des Schl sselnamens die GUID Verschl sselte Dateien sind im Explorer an einem kleinen gr nen Schl sselsymbol zu erkennen ber Ordneroptionen Ansicht Erweiterte Einstellungen kann der Benutzer f r sein Profil festlegen ob der Verschl sselungsstatus von Dateien und der Status von Verschl sselungsregeln auf Ordnern angezeigt wird oder nicht nderungen an diesen Einstellungen werden erst wirksam nachdem sich der Benutzer ab und wieder angemeldet hat m Initialverschl sselung Verschl sselt eine Datei entsprechend dem geladenen Verschl sselungsprofil Dieser Eintrag wird im Kontextmen nur dann angezeigt wenn der Verschl sselungsstatus einer Datei nicht mit dem Verschl sselungsprofil bereinstimmt 36 SafeGuard LAN Crypt 3 71 Client 5 5 1 37 5 6 m Dateien verschl sseln Erlaubt die explizite Verschl sselung einer Datei Es wird eine Liste der verf gbaren Schl ssel angezeigt aus welcher der entsprechende Schl ssel ausgew hlt werden kann m Dateien entschl sseln Entschl sselt die ausgew hlte Datei Dazu muss der entsprechende Schl ssel im Verschl sselungsprofil vorhanden sein Sollte dies nicht der Fall sein bleibt die Datei verschl sselt m Sicheres Verschieben Beim Verschieben ber SafeGuard LAN Crypt werden die Dateien entsprechend der geltenden Verschl sselungsregeln bei Bedarf ver ent bzw umgeschl sselt Die Quelldateien werden
34. exe verf gt ber einen Assistenten mit einer grafischen Oberfl che Dieser unterst tzt m das Ver Ent und Umschl sseln von Dateien m das Pr fen des Verschl sselungsstatus von Dateien Der Assistent l sst sich auf mehreren Wegen starten m ber das System Tray Icon m ber Start Programme Sophos SafeGuard LAN Crypt Tnitialverschl sselung m per Doppelklick auf sglcinit exe im Verzeichnis C Programme Sophos SafeGuard LAN Crypt Hinweis Die Ver Ent und Umschl sselung wird immer ausschlie lich entsprechend einem Verschl sselungsprofil vorgenommen Daher muss ein Verschl sselungsprofil geladen sein 5 4 1 1 Initialverschl sselung durchf hren 1 Nach dem Starten des Assistenten muss in Schritt 1 5 die Option Initialverschl sselung durchf hren ausgew hlt werden 2 Nach dem Klicken auf Weiter kann in Schritt 2 5 festgelegt werden wie die Dateien behandelt werden sollen 26 SafeGuard LAN Crypt 3 71 Client 27 m Dateien entsprechend den Regeln verschl sseln Wird diese Option ausgew hlt werden die Dateien entsprechend den Regeln im Profil des Benutzers verschl sselt Standardeinstellung Sollten bereits verschl sselte Dateien gefunden werden werden diese ignoriert m Dateien entsprechend den Regeln umschl sseln Wird diese Option aktiviert werden auch Dateien die mit einem anderen Schl ssel als im Profil festgelegt verschl sselt sind entschl sselt und mit dem korrekten Schl ssel versch
35. fgetreten sind a Ge nderte Dateien und Fehler berichten Der Statusbericht enth lt alle Dateien die ge ndert wurden oder bei denen w hrend der Verschl sselung Fehler aufgetreten sind Alle Dateien berichten Der Statusbericht enth lt alle Dateien 28 SafeGuard LAN Crypt 3 71 Client 5 Nach dem Klicken auf Weiter werden in Schritt 5 5 f r jede Datei das Ergebnis der Verschl sselung und der Schl sselname des verwendeten Schl ssels angezeigt Bei Dateien mit fehlgeschlagener Verschl sselung kann der Benutzer ber die Schaltfl che Wiederholen sofort einen neuen Verschl sselungsversuch starten Die Ergebnisse lassen sich per Mausklick auf die Spalten berschrift alphabetisch sortieren Der Statusbericht kann als XML Datei an einem gew nschten Ort gespeichert werden Schaltfl che Exportieren Mithilfe seiner Informationen ist es m glich die Verschl sselung der Dateien bei denen die Verschl sselung fehlgeschlagen ist zu einem sp teren Zeitpunkt erneut zu versuchen Durch Klicken auf Fertig wird der Assistent geschlossen 5 4 1 2 Verschl sselungsstatus pr fen 29 1 Nach dem Starten des Assistenten muss in Schritt 1 5 die Option Verschl sselungsstatus pr fen ausgew hlt werden 2 Nach dem Klicken auf Weiter kann in Schritt 2 5 ber eine Verzeichnisbaumstruktur festgelegt werden f r welche Ordner der Verschl sselungsstatus gepr ft werden soll Y a ec D E SOON gt is E volume
36. g kann dann ausgew hlt werden wohin die Dateien verschoben werden sollen Explizite Entschl sselung von Dateien Wenn eine Datei entschl sselt werden soll muss sie nur in ein Verzeichnis kopiert oder verschoben werden f r das keine Verschl sselungsregel existiert Dabei wird sie automatisch entschl sselt Dies gilt allerdings nur unter der Bedingung dass m cin entsprechendes Verschl sselungsprofil geladen ist m Sie ber den richtigen Schl ssel verf gen m im aktiven Verschl sselungsprofil keine Verschl sselungsregel f r den neuen Ablageort existiert m und die Persistente Verschl sselung nicht aktiviert ist Hinweis Die Verschl sselung durch SafeGuard LAN Crypt funktioniert auch mit Offline Foldern von Windows Allerdings k nnen hierbei in Verbindung mit Virenscannern unter Umst nden Probleme auftreten Genauere Informationen zu bekannten Problemen mit Virenscannern enth lt die Readme Datei zum SafeGuard LAN Crypt Client L schen verschl sselter Dateien Windows Papierkorb Wenn Ihr Verschl sselungsprofil geladen ist k nnen Sie jede verschl sselte Datei l schen f r die Sie einen Schl ssel besitzen Hinweis Eigentlich handelt es sich beim L schen von Dateien um ein Verschieben der Dateien in den Windows Papierkorb Um den h chsten Sicherheitsstandard zu gew hrleisten bleiben die SafeGuard LAN Crypt verschl sselten Dateien nat rlich auch im Papierkorb verschl sselt Um diese Dateien endg ltig zu l
37. geladen ist und ob die Verschl sselung aktiv ist Zudem enth lt der Reiter detaillierte Informationen zur Richtliniendatei Erstelldatum Ersteller etc Ist das Benutzerprofil nicht geladen ist auch die Verschl sselung deaktiviert Die Verschl sselung kann aber bei geladenem Benutzerprofil tempor r deaktiviert werden siehe Verschl sselung deaktivieren aktivieren auf Seite 23 m Einstellungen Gibt Auskunft ber die aktuell f r den Client wirksamen Einstellungen Diese Einstellungen werden zentral vom Security Officer festgelegt und betreffen die Verschl sselung das System Tray Icon und Einstellungen f r den Assistenten zur Initialverschl sselung Es wird unter anderem angezeigt ob die Ver und Entschl sselung erlaubt ist ob die persistente Verschl sselung aktiviert ist und welche Men eintr ge auf dem Client Computer angezeigt werden m Profil Hier werden vom Security Officer die zentral festgelegten Einstellungen f r das Benutzerprofil angezeigt m Zertifikate Zeigt Details zum Benutzerzertifikat Antragsteller Seriennummer G ltigkeit sowie die f r den Client geltenden Regeln f r die Zertifikats berpr fung m Schl ssel Zeigt Informationen zu allen f r das aktuell geladene Profil verf gbaren Schl ssel 24 SafeGuard LAN Crypt 3 71 Client 25 m Regeln Listet die f r den aktuellen Benutzer g ltigen Verschl sselungsregeln Durch Aktivieren von Kontrollk stchen lassen sich Ausnahmeregeln
38. hl ssel und keine Verschl sselungsregel f r ein Verzeichnis darf er nicht auf die verschl sselten Dateien in diesem Verzeichnis zugreifen Er darf dort keine verschl sselte Datei lesen kopieren verschieben umbenennen etc Verf gt der Benutzer ber den Schl ssel mit dem die Dateien verschl sselt sind kann er auch wenn in seinen Verschl sselungsvorschriften keine Verschl sselungsregel auf diese Dateien verweist diese Dateien ffnen Hinweis Beim Abspeichern von Dateien die nur mit dem vorhandenen Schl ssel keine Verschl sselungsregel f r diese Dateien ge ffnet wurden kann es dazu kommen dass diese unverschl sselt angelegt werden Dies ist bei Programmen der Fall die beim Speichern eine tempor re Datei anlegen die Quelldatei dann l schen und anschlie end die tempor re Datei umbenennen Da f r die neu angelegte Datei keine Verschl sselungsregel existiert wird sie unverschl sselt angelegt Um das zu verhindern muss ein solches Programm als Programm mit speziellem Speicherverhalten eingetragen werden siehe Programme mit speziellem Speicherverhalten auf Seite 25 Verzeichnisse umbenennen oder verschieben SafeGuard LAN Crypt f hrt aus Performance Gr nden beim Verschieben ganzer Verzeichnisse innerhalb eines Laufwerks ber den Windows Explorer keine nderung des Verschl sselungsstatus durch Das bedeutet dass es beim Verschieben eines Verzeichnisses zu keiner Ver Ent bzw Umschl sselung kommt W
39. icherort der Richtliniendatei erreichbar ist Ist dieser nicht erreichbar oder tritt ein Fehler beim Laden des Profils auf kann der Benutzer nicht auf verschl sselte Daten zugreifen Clients ab Version 3 12 Diese Funktionalit t steht f r ltere Client Versionen nicht zur Verf gung Clients ab der Version 3 12 k nnen jedoch mit Version 3 60 der SafeGuard LAN Crypt Administration betrieben werden Diese Clients verhalten sich beim Laden der Richtliniendateien wie folgt Es wird immer versucht die Richtliniendatei aus dem angegebenen Speicherort zu laden Ist dieser nicht erreichbar wird eine zwischengespeicherte Version der Richtliniendatei geladen Diese zwischengespeicherte Richtliniendatei hat kein Ablaufdatum und wird erst aktualisiert wenn eine neuere Version erfolgreich geladen wurde Es kann auch kein Aktualisierungsintervall f r die Richtlinien festgelegt werden Zwischengespeicherte Richtliniendateien behalten ihre G ltigkeit bis der Speicherort erreichbar ist und sie durch eine von dort neu geladene Datei ersetzt werden k nnen 10 SafeGuard LAN Crypt 3 71 Client 1 4 Systemanforderungen 1 4 1 Plattformen SafeGuard LAN Crypt Client ist f r folgende Betriebssysteme verf gbar m Windows XP SP2 32bit m Windows XP SP3 32bit m Windows Vista Ultimate SP1 32bit m Windows Vista Enterprise SP1 32bit m Windows Vista Business SP1 32bit m Windows Vista Ultimate SP2 32bit m Windows Vista Enterprise SP2 32bit m Windows
40. iest wird sie in verschl sselter Form bertragen Erst auf dem Zielcomputer wird die Datei entschl sselt eventuell ver ndert und erneut verschl sselt bevor sie wieder zur ck in das verschl sselte Verzeichnis gestellt wird Verschl sselte Dateien sind nicht an einen einzelnen Benutzer gebunden Alle Benutzer die den notwendigen Schl ssel besitzen k nnen auf die verschl sselte Datei zugreifen Dies erlaubt Security Officers das Erzeugen von logischen Benutzergruppen die gemeinsam auf verschl sselte Dateien zugreifen k nnen Dieser Vorgang kann mit einer Art Schl sselbund wie er im t glichen Leben verwendet wird verglichen werden SafeGuard LAN Crypt stattet Benutzer und Benutzergruppen mit einem Schl sselbund aus dessen Schl ssel f r verschiedene T ren oder Safes verwendet werden k nnen Nicht berechtigte Benutzer k nnen eventuell auf diese verschl sselten Dateien zugreifen nur von Arbeitsstationen ohne SafeGuard LAN Crypt k nnen die Daten aber ohne die entsprechende SafeGuard LAN Crypt Berechtigung nicht lesen Auf diese Weise bleibt die Datei immer gesch tzt auch wenn im Dateisystem selbst kein Zugriffsschutz definiert ist das Netzwerk angegriffen wird oder die Mitarbeiter sich nicht an die Sicherheitsrichtlinien der Organisation halten SafeGuard LAN Crypt sollte das Produkt Ihrer Wahl sein wenn es darum geht geistiges Eigentum in Dateiform vor unberechtigtem Zugriff in einem LAN auf einem File Server auf der
41. ikat auf seinem Computer vorhanden sein Die Zertifikate m ssen den Benutzern vom Security Officer zur Verf gung gestellt werden und von jedem Benutzer importiert werden Wurde dies vor der ersten Anmeldung an SafeGuard LAN Crypt durchgef hrt l uft der beschriebene Vorgang vollautomatisch ab SafeGuard LAN Crypt bietet die M glichkeit die Zertifikate beim ersten Laden der Benutzerprofile automatisch zu importieren In diesem Fall wird das System vom Security Officer so konfiguriert dass SafeGuard LAN Crypt bei der ersten Anmeldung auch eine Zertifikatsdatei findet und dann den Importvorgang automatisch startet Der Benutzer wird einmal aufgefordert die PIN f r den Import der PKCS 12 Schl sseldatei einzugeben Hinweis Die PIN f r den automatischen Import der Zertifikate muss den Benutzern vom Security Administrator mitgeteilt werden Das Zertifikat wird bei jedem Laden des Verschl sselungsprofils gepr ft Wird ein g ltiges Zertifikat gefunden ist der Benutzer an SafeGuard LAN Crypt angemeldet Ist kein g ltiges Zertifikat vorhanden kann der Benutzer nicht mit den verschl sselten Daten arbeiten Hinweis Wenn die Anmeldung an SafeGuard LAN Crypt fehlschl gt erh lt der Benutzer eine Fehlermeldung mit einem Hinweis dazu warum die Anmeldung nicht m glich war F r eine Auflistung der verschiedenen Fehlermeldungen siehe Anhang Fehlermeldungen beim Laden des Profils auf Seite 39 Die spezifischen Verschl sselungsregeln in den
42. l sselt Voraussetzung daf r ist dass der Schl ssel mit dem die Datei en bereits verschl sselt sind im Profil des Benutzers enthalten ist Diese Option erm glicht auch das Umschl sseln von mit SafeGuard Enterprise Data Exchange verschl sselten Daten f r die keine SafeGuard Enterprise Verschl sselungsregel mehr gilt Solche Dateien liegen zum Beispiel vor wenn die SafeGuard Enterprise Verschl sselungsregel aufgehoben wurde die Dateien aber nicht explizit entschl sselt wurden Ist diese Option aktiviert werden solche Dateien den SafeGuard LAN Crypt Verschl sselungsregeln entsprechend umgeschl sselt Bereits verschl sselte Daten k nnen entschl sselt werden wenn es f r sie keine Verschl sselungsregel mehr gibt siehe Dateien entschl sseln auf Seite 30 3 Nach dem Klicken auf Weiter kann in Schritt 3 5 ber eine Verzeichnisbaumstruktur festgelegt werden welche Ordner verschl sselt umgeschl sselt werden sollen B E KOO were DA io C a D z E Volume DO DATEN_ENC UG Dos_35_0_1 us F volume 7 ENTES e Je H Volume ES Ausgew hlte Ordner werden mit einem H kchen markiert Ein Zeichen bei einem Ordner zeigt an dass sich darin Unterordner befinden die nicht bearbeitet werden in denen also keine Verschl sselung Umschl sselung der Dateien durchgef hrt wird Durch Dr cken der Schaltfl che Profilregeln werden automatisch alle Verzeichnisse markiert f r die Verschl sselungsr
43. le Anmelde Session mit Administrationsrechten wenn Sie SafeGuard LAN Crypt auf einem Terminal Server installieren m Wenn Sie den Citrix Presentation Server oder Citrix XenApp verwenden m chten installieren Sie diesen bitte bevor Sie SafeGuard LAN Crypt installieren 18 Sophos SafeGuard LAN Crypt 3 71 Client 4 3 Einschr nkungen Citrix m Verschl sselung auf Citrix Client Drive Redirection Laufwerken wird nicht unterst tzt m Citrix Streamed Applications werden nicht unterst tzt 19 SafeGuard LAN Crypt 3 71 Client 5 1 5 1 1 SafeGuard LAN Crypt Benutzeranwendung Zur t glichen Arbeit mit SafeGuard LAN Crypt ist beinahe keine Benutzerinteraktion notwendig Der SafeGuard LAN Crypt Client wurde an mehreren Stellen verbessert damit die Benutzer noch sicherer mit ihren Dateien umgehen k nnen Der Anwender wird bei der Ver und Entschl sselung vom SafeGuard LAN Crypt Client aktiv unterst tzt Anmeldung an SafeGuard LAN Crypt Die Anmeldung an SafeGuard LAN Crypt besteht darin dass das in einer Richtliniendatei gespeicherte Verschl sselungsprofil des Benutzers geladen wird Das Verschl sselungsprofil kann nur geladen werden wenn der Benutzer ber das richtige Zertifikat verf gt Die SafeGuard LAN Crypt Verschl sselungsprofile werden von einem Security Officer entsprechend der firmenweiten Sicherheitspolitik erstellt und in Richtliniendateien gespeichert Die Benutzerrechner erhalten bei der Netzwerkanmel
44. n m Verschl sselung deaktivieren aktivieren Deaktiviert bzw aktiviert die transparente Verschl sselung Das Ausschalten der transparenten Verschl sselung ist von Bedeutung wenn Dateien verschl sselt bleiben sollen die von einem verschl sselten Verzeichnis an einen Ort kopiert verschoben werden f r den keine Verschl sselungsregel existiert Bei aktivierter Verschl sselung w rden diese Dateien entschl sselt werden wenn Sie in diesen Ordner kopiert werden Wenn zum Beispiel eine verschl sselte Datei an eine E Mail angeh ngt wird w rde sie bei aktivierter Verschl sselung automatisch entschl sselt werden Ist die transparente Verschl sselung deaktiviert k nnen verschl sselte Dateien als Anhang von E Mails versendet werden Hinweis Wenn vom Administrator die Funktion Persistente Verschl sselung aktiviert wurde bleiben verschl sselte Dateien auch dann verschl sselt wenn sie bei aktivierter Verschl sselung per Windows Explorer an einen Ort kopiert oder verschoben werden f r den keine Verschl sselungsregel existiert Werden Dateien au erhalb des Windows Explorer kopiert oder verschoben z B Kommandozeile hat diese Funktion keine Auswirkung und die Dateien werden entschl sselt m Profil anzeigen Zeigt auf zwei Reitern die Verschl sselungsregeln und die in den Verschl sselungsinformationen enthaltenen Schl ssel an Der Reiter Aktive Verschl sselungsregeln listet die f r den angemeldeten Benutzer g ltigen Reg
45. nd SafeGuard LAN Crypt berpr ft ob es eine neuere Version der Richtliniendatei gibt Ist das Netzwerklaufwerk nicht erreichbar arbeitet der Benutzer solange mit dem zwischengespeicherten Benutzerprofil bis dieses aktualisiert werden kann Hinweis SafeGuard LAN Crypt verifiziert die Zertifikate des Benutzers und des Master Security Officers Wenn das Zertifikat einen CRL Distribution Point enth lt und keine g ltige CRL im System vorhanden ist versucht Windows die CRL von der angegebene Adresse zu importieren Ist eine Firewall installiert kann es sein dass eine Meldung angezeigt wird dass ein Programm loadprof exe versucht eine Verbindung zum Internet aufzubauen In manchen F llen kann auch das Laden des Benutzerprofils diese Meldung ausl sen Durch Security Officers festgelegtes Verhalten Ein Security Officer kann das Standardverhalten durch zentrale Einstellungen beeinflussen Er kann festlegen wie lange die zwischengespeicherte Richtlinie auf den Client Computern g ltig ist und in welchen Intervallen die Richtliniendatei aktualisiert wird Die Einstellungen des Security Officers werden im Dialog Client Status auf dem Reiter Profil angezeigt siehe Der Dialog Clientstatus auf Seite 24 Innerhalb des angegebenen Zeitraums ist die Richtliniendatei auf dem Client g ltig und der Benutzer hat Zugriff auf verschl sselte Daten auch wenn keine Verbindung zum Speicherort der Richtliniendatei besteht L uft die angegebene
46. nicht unterst tzte Erweiterungen Das Benutzerzertifikat ist mit dem nicht unterst tzten Microsoft Base Cryptographic Service Provider verkn pft Die angegebene PIN ist m glicherweise falsch Der Aussteller des LAN Crypt Security Officer Zertifikats konnte nicht gefunden oder berpr ft werden Die Stamm Zertifizierungsstelle des LAN Crypt Security Officer Zertifikats konnte nicht gefunden oder berpr ft werden Der Widerrufstatus des LAN Crypt Security Officer Zertifikats ist unbekannt CRL nicht gefunden oder abgelaufen Das LAN Crypt Security Officer Zertifikat hat nicht die passenden Schl sselverwendungs Erweiterungen Das LAN Crypt Security Officer Zertifikat hat nicht unterst tzte Erweiterungen Kann Richtliniendatei nicht dekomprimieren Download der Richtliniendatei fehlgeschlagen 40 SafeGuard LAN Crypt 3 71 Client 41 Rechtlicher Hinweis Copyright 1996 2010 Sophos Group Alle Rechte vorbehalten SafeGuard ist ein eingetragenes Warenzeichen der Sophos Group Alle anderen erw hnten Produkt und Unternehmensnamen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Inhaber Diese Publikation darf weder elektronisch oder mechanisch reproduziert elektronisch gespeichert oder bertragen noch fotokopiert oder aufgenommen werden es sei denn Sie verf gen entweder ber eine g ltige Lizenz gem der die Dokumentation in bereinstimmung mit dem Lizenzvertrag reproduziert werden d
47. nten installiert werden sollen und klicken Sie auf Weiter 6 Nachdem Sie Ihre Angaben noch einmal pr fen k nnen wird nach Klicken auf Weiter die Installation gestartet 7 Nach erfolgreicher Installation wird ein Dialog angezeigt in dem Sie durch Klicken auf die Schaltfl che Fertigstellen die Installation beenden 14 SafeGuard LAN Crypt 3 71 Client 2 1 2 1 1 2 1 2 15 Hinweis Um alle Einstellungen zu bernehmen m ssen Sie das System neu starten damit der Treiber geladen wird Installation ohne Benutzerinteraktion Die Installation ohne Benutzerinteraktion erlaubt die automatische Installation von SafeGuard LAN Crypt auf einer gro en Zahl von Rechnern Das Verzeichnis Insta11 Ihrer Installations CD enth lt die msi Datei zur Installation der Benutzerkomponenten Installierbare Komponenten Die folgende Liste zeigt alle Komponenten die Sie installieren k nnen und die Art und Weise wie sie bei der Installation ohne Benutzerinteraktion angegeben werden m ssen Die Schl sselw rter Courier fett geben an wie die einzelnen Komponenten unter ADDLOCALS angegeben werden m ssen wenn eine Installation ohne Benutzerinteraktion ausgef hrt wird Die Bezeichnungen der einzelnen Komponenten sind case sensitive ADDLOCAL ALL installiert alle verf gbaren Komponenten Explorererweiterungen ShellExtensions Benutzerprogramm UserApplication Client API ClientAPI Kommandozeilensyntax Zum Ausf hren
48. passen Die einzelnen Komponenten sind ausw hlbar W hlen Sie Anpassen und klicken Sie auf Weiter SafeGuard LAN Crypt 3 71 Client Folgende Komponenten k nnen installiert werden m Client Installation Explorererweiterungen Installiert die SafeGuard LAN Crypt Explorererweiterungen SafeGuard LAN Crypt f gt dem Windows Explorer Eintr ge hinzu die die Initialverschl sselung von Dateien und Verzeichnissen die explizite Ver und Entschl sselung von Dateien und Verzeichnissen und die einfache Kontrolle ber den Verschl sselungsstatus Ihrer Dateien erlauben Die Eintr ge erscheinen in den Kontextmen s von Laufwerken Verzeichnissen und Dateien Des Weiteren wird auch dem Windows Eigenschaften Fenster f r Dateien eine Seite Verschl sselungsinformationen hinzugef gt a Benutzerprogramm Installiert die SafeGuard LAN Crypt Benutzerapplikation Ein Symbol in der Task Leiste repr sentiert das SafeGuard LAN Crypt Benutzerprogramm Es zeigt den Status von SafeGuard LAN Crypt durch ein Schl sselsymbol an Die Applikation bietet ber die rechte Maustaste dem Benutzer die folgenden Funktionen Verschl sselungsregeln laden aktualisieren L sche Verschl sselungsregeln Verschl sselung deaktivieren aktivieren Profil anzeigen Clientstatus Initialverschl sselung Schlie en Info Client API API zur Automatisierung von Aufgaben am SafeGuard LAN Crypt Client 5 W hlen Sie aus welche Kompone
49. r dass alle verschl sselt gespeicherten Daten sei es in verschl sselten Verzeichnissen oder Laufwerken automatisch im Hauptspeicher entschl sselt werden sobald sie in einem Programm ge ffnet werden Beim Abspeichern der Datei wird diese automatisch wieder verschl sselt Alle Dateien f r die eine Verschl sselungsregel existiert werden automatisch verschl sselt Werden Dateien in ein verschl sseltes Verzeichnis verschoben oder kopiert werden sie gem der f r dieses Verzeichnis definierten Verschl sselungsregel verschl sselt Nat rlich ist es m glich verschiedene Verschl sselungsregeln f r verschiedene Dateierweiterungen oder namen in ein und demselben Verzeichnis festzulegen Die Verschl sselung ist nicht von Verzeichnissen abh ngig sondern nur von Verschl sselungsregeln Beim Umbenennen von verschl sselten Dateien bleiben diese verschl sselt sofern nicht eine andere oder keine Verschl sselungsregel f r den neuen Dateinamen oder die neue Dateierweiterung besteht Kopieren oder verschieben Sie verschl sselte Dateien an einen Ort an dem die bisherige Verschl sselungsregel nicht mehr gilt werden sie automatisch entschl sselt Wurde vom Administrator die Persistente Verschl sselung aktiviert bleiben Dateien auch dann verschl sselt wenn sie im Windows Explorer an einen Ort verschoben wurden f r den keine Verschl sselungsregel gilt Werden Dateien au erhalb des Windows Explorer kopiert oder verschob
50. s zum Zertifikat geh renden privaten Schl ssels hat der Benutzer Zugriff auf seine Richtliniendatei in der das Verschl sselungsprofil gespeichert ist Alle SafeGuard LAN Crypt Benutzer die in ihrer Richtliniendatei dasselbe Verschl sselungsprofil gespeichert haben sind Mitglieder einer Berechtigungsgruppe Die Benutzer m ssen sich dazu weder um die Verschl sselung noch um den Schl sselaustausch k mmern Sie m ssen nur in der Lage sein auf die Richtliniendateien zuzugreifen Ist diese Voraussetzung erf llt werden die Dateien der Benutzer transparent ver bzw entschl sselt sobald sie ge ffnet bzw geschlossen werden Durch die Verteilung der Verschl sselungsprofile ber Richtliniendateien k nnen alle Organisationsformen abgebildet werden von einem zentralen LAN Modell in dem die Benutzer zentral administriert werden bis zu einem verteilten Modell in dem Benutzer Notebooks einsetzen SafeGuard LAN Crypt Administration und Windows Administration Die Verwaltung der Verschl sselungsprofile und die Konfiguration von SafeGuard LAN Crypt erfolgt auf einem eigenen Administrationsrechner Um eine klare Unterscheidung zwischen der Windows Administration und der Administration von SafeGuard LAN Crypt zu erreichen wird die Rolle eines Security Officers eingerichtet Der Security Officer legt durch die Definition der Verschl sselungsprofile in Richtliniendateien fest welche verschl sselten Daten in welchen Verzeichnissen abzulegen sin
51. sen 5 4 1 3 Dateien entschl sseln Von SafeGuard LAN Crypt verschl sselte Daten k nnen entschl sselt werden wenn es f r sie keine Verschl sselungsregel mehr gibt Wurde eine erneute Initialverschl sselung notwendig weil sich z B Verschl sselungsregeln im Profil des Benutzers ge ndert haben k nnen Dateien f r die es nun keine Verschl sselungsregeln mehr gibt ber diesen Assistenten entschl sselt werden Sollen Dateien entschl sselt werden muss in Schritt 1 5 des Assistenten Initialverschl sselung durchf hren und in Schritt 2 5 unter Entschl sselung die Option Dateien mit den ausgew hlten Schl sseln entschl sseln ausgew hlt werden Anschlie end k nnen die Schl ssel ausgew hlt werden Nur die Dateien die mit den ausgew hlten Schl sseln verschl sselt wurden werden entschl sselt Aber nur dann wenn f r sie keine Verschl sselungsregel mehr gilt Hinweis SafeGuard LAN Crypt entschl sselt ausschlie lich Dateien f r die keine Verschl sselungsregel gilt Beispiel Der Assistent zur Initialverschl sselung wird gestartet weil nderungen im Benutzerprofil vorgenommen wurden Um sicherzustellen dass nach dem Beenden des Assistenten zur Initialverschl sselung alle Dateien den gewollten Verschl sselungsstatus besitzen kann folgenderma en vorgegangen werden m Dateien entsprechend den Regeln verschl sseln aktivieren Alle Dateien werden gem den neuen Verschl sselungsregeln verschl sselt m
52. sistenten Verschl sselung wird erst nach einem Reboot des Client Rechners wirksam Hinweis Wenn ein Benutzer bei aktivierter persistenter Verschl sselung eine Datei in ein Verzeichnis verschiebt oder kopiert f r das eine Ignorieren Regel oder Ausnahmeregel gilt erh lt er einen Warnhinweis dass die Datei dadurch entschl sselt wird Transparente Verschl sselung und Komprimierungsprogramme Komprimierungsprogramme ffnen die Dateien lesen den Inhalt und komprimieren ihn Wenn die transparente Ent Verschl sselung aktiviert ist erhalten diese Programme die entschl sselten Dateien und diese werden dann komprimiert Die Dateien im Archiv sind nicht mehr verschl sselt Wird das Archiv in einem Verzeichnis f r das keine Verschl sselungsregel existiert gespeichert sind nun alle Dateien im Klartext gespeichert Auch wenn die persistente Verschl sselung aktiviert ist werden die Dateien nicht verschl sselt komprimiert da sich diese nur auf das Kopieren Verschieben im Windows Explorer bezieht Um sicherzustellen dass Dateien von Komprimierungsprogrammen verschl sselt komprimiert werden muss die transparente Verschl sselung w hrend der Verwendung solcher Programme deaktiviert werden Eine weitere M glichkeit sicherzustellen dass Dateien verschl sselt komprimiert werden besteht darin Komprimierungsprogramme als Unber cksichtigte Anwendung zu definieren Dies muss vom Security Officer vorgenommen werden 38 SafeGuard
53. ten bevor Sie SafeGuard LAN Crypt erneut installieren Sophos SafeGuard LAN Crypt 3 71 Client 4 1 4 1 1 4 1 2 4 2 Terminal Server Diese Version von SafeGuard LAN Crypt unterst tzt Windows Terminal Server und Citrix Terminal Server Systemanforderungen Plattformen SafeGuard LAN Crypt Client ist f r folgende Betriebssysteme verf gbar m Windows Server 2003 R2 SP2 32bit mit Terminal Server Services m Windows Server 2008 R2 64bit mit Terminal Server Services m Citrix Presentation Server 4 5 32bit mit Hotfix Rollup Pack 3 auf Windows Server 2003 R2 SP2 32bit m Citrix XenApp 6 auf Windows Server 2008 R2 64bit Firewall Nachdem sich ein Benutzer angemeldet hat versucht SafeGuard LAN Crypt das Benutzerprofil zu laden Dabei werden die Zertifikate von Benutzer und Master Security Officer berpr ft Enth lt ein Zertifikat einen CRL Distribution Point und es ist keine g ltige CRL auf dem System verf gbar versucht Windows eine CRL von der angegebenen Adresse zu importieren Ist eine Firewall aktiv wird unter Umst nden eine Meldung angezeigt dass ein Programm loadprof exe versucht eine Verbindung zum Internet herzustellen Installation Generell l uft die Installation ab wie f r Nicht Terminal Server Umgebungen beschreiben siehe Kapitel Installation Verwenden Sie zur Installation auf einem Terminal Server das Installationspaket sglets msi oder sglcts_x64 msi Wichtig m Verwenden Sie eine loka
54. urden Dabei wird auch der Pfad zu der Datei angezeigt die gerade verschl sselt wird SafeGuard LAN Crypt 3 71 Client m Dateien verschl sseln Verschl sselt alle Dateien in der ersten Verzeichnisebene mit einem im geladenen Verschl sselungsprofil vorhandenen Schl ssel Es wird eine Liste der vorhandenen Schl ssel angezeigt aus der jener Schl ssel der zur Verschl sselung aller Dateien verwendet werden soll ausgew hlt werden kann m Dateien entschl sseln Entschl sselt alle Dateien in der ersten Verzeichnisebene Dazu m ssen die entsprechenden Schl ssel im Verschl sselungsprofil vorhanden sein Sollte dies nicht der Fall sein bleiben diese Dateien verschl sselt m Sicheres Verschieben Beim Verschieben eines Ordners ber SafeGuard LAN Crypt werden die Dateien entsprechend der geltenden Verschl sselungsregeln bei Bedarf am neuen Speicherort ver ent bzw umgeschl sselt Die Quelldateien werden nach dem Verschieben sicher gel scht m Sicheres L schen Beim sicheren L schen wird der Speicherort der Dateien mehrmals berschrieben Die Dateien k nnen ber den Papierkorb nicht wiederhergestellt werden F r einzelne Dateien m Verschl sselungsstatus Zeigt den Verschl sselungsstatus der Datei an Bei verschl sselten Dateien listet eine Popup Infobox den zugeh rigen Schl ssel und gibt Auskunft ob der Benutzer berechtigt ist diesen Schl ssel zu verwenden Ist ein anderer Benutzer angemeldet der nicht b
55. xchange Regeln vor jenen von SafeGuard LAN Crypt angewendet werden Die Priorisierung kann jedoch ge ndert werden Umverschl sselung von mit SafeGuard Enterprise Data Exchange verschl sselten Daten Der Assistent zur Initialverschl sselung erm glicht das Umschl sseln von mit SafeGuard Enterprise Data Exchange verschl sselten Daten f r die keine SafeGuard Enterprise Verschl sselungsregel mehr gilt Solche Dateien liegen zum Beispiel vor wenn die SafeGuard Enterprise Verschl sselungsregel aufgehoben wurde die Dateien aber nicht explizit entschl sselt wurden In diesem Fall kann im Assistenten zur Initialverschl sselung die Option Dateien entsprechend den Regeln umschl sseln ausgew hlt werden wodurch diese Dateien den SafeGuard LAN Crypt Verschl sselungsregeln entsprechend umgeschl sselt werden Laden der Richtliniendatei Standardverhalten von SafeGuard LAN Crypt Wenn sich ein Benutzer an Windows anmeldet wird zuerst sein zwischen gespeichertes Benutzerprofil geladen Danach berpr ft SafeGuard LAN Crypt ob es eine neue Richtliniendatei f r den Benutzer gibt indem es eine Verbindung zum festgelegten Speicherort SafeGuard LAN Crypt 3 71 Client f r Richtliniendateien Netzwerklaufwerk aufbaut Wird dort einen neuere Richtliniendatei gefunden wird das zwischengespeicherte Benutzerprofil aktualisiert Diese Vorgehensweise hat den Vorteil dass der Benutzer bereits mit verschl sselten Daten arbeiten kann w hre
Download Pdf Manuals
Related Search