SafeGuard PortProtector Benutzerhilfe
Contents
1. ee Eigenschaften Port zu kontrollieren lye Si rn die Berechtigungen detaillierter zu definieren setzen Sie den Port auf Einschranken und definieren die Geratekontralle bzw Speicherkontrolle gt Portkontrolle Physische Ports Aktion Log Alarm Geratekontrolle Arbeitsbereich 7 use Ger tekontrolle definieren Arbeitsbereich speicherkontraite FireWire x Geratekontrolle definieren e Beileid PCMcIA Ser tekontrolle definieren WiFi Kontrolle SecureDigital vy ES Seriell vi Protokollierung S Parallel vy Alarme Modem ve gt Endbenutzer Meldungen Interne Ports v Mediaverschl sselung Drahtlose Ports Aktion Log Alarm Shadowing WiFi vi gt Optionen IrDA xv Bluetooth x Anti Hybridnetziiberbriickung Aktion Hybridnetzdberbrickung vy Benutzer Administrator UTIMACO amp Server localhost Das Fenster enth lt folgende Bereiche Welten Registerkarten jede Registerkarte oder Welt beinhaltet einen anderen Aspekt der Anwendung siehe Welten Men leiste zeigt die Men s Fensterleiste zeigt die Namen der ge ffneten Fenster in der Policies und in der Logs Welt Symbolleiste hier finden Sie verschiedene Funktionen die f r die Registerkarten Policies Logs und Clients unterschiedlich sind2. Abrufen der aktuellsten Informationen von einem Client beschreibt wie Logs erfasst werden um die aktuellsten verf gbaren Informationen von Clients zu sehen Verfolgen des Fortschritt von Client Tasks beschreibt wie der Fortschritt von Client Tasks wie etwa Policy Aktualisierung oder Logerfassung verfolgt werden Vor bergehendes Aufheben des SafeGuard PortProtector Schutzes beschreibt das Generieren eines Kennworts das die tempor re Suspendierung eines Clients erm glicht Zur cksetzen und Aktualisieren des Client Status beschreibt wie Client aus der Clients Tabelle entfernt werden die nicht gesch tzt werden L schen von nicht in der Dom ne befindlichen Clients beschreibt wie Clients gel scht werden die nicht in der Dom ne sind Auditing von Ger ten beschreibt wie SafeGuard PortAuditor von der Management Console aus gestartet wird 205 SafeGuard PortProtector 3 30 Benutzerhilfe 6 1 bersicht Die Clients Welt dient als zentrale Stelle zur Anzeige des Status und der Details von SafeGuard PortProtector Clients zur Ausf hrung von Tasks wie etwa das Aktualisieren von Policies auf den Clients und Erfassen von Logs von den Clients zum Anzeigen des Taskverlaufs zum Generieren eines Kennworts f r die tempor re Aufhebung des Schutzes auf einem SafeGuard PortProtector Client etc 6 2 Kurze bersicht ber die Clients Welt So ffnen Sie die Clients Welt Klicken Sie auf die Registerkarte Clients
3. SafeGuard PortProtector Management Console Datei Bearbeten Ansicht Extras Fenster Hilfe Wi RSTn Qe Policies W VET NMC oie Policies B neu Bi Policies B untitleds 4 gt x ew Xoo a _General__ These permissions apply to all storage devices regardless of the port through which they connect Properties Port Control General White List Device Control Approved Models apNew jEdit Delete Storage Control gt File Control k To add a new group right click the blank area and select New Group WiFi Control Logging Alerts End User Messages Encryption Approved Distinct Devices Media dh New jEdit J Delete Shadowing B Opkons Action Policy Permissions Markeanomedaixt ni O Su Oa gt z User administrator SAFENDQA amp Server 192 168 2 42 In der obigen Abbildung sind zwei Mediengruppen zu sehen Marketing Media und R amp D Media Die Gruppen sind automatisch auf Schreibgeschiitzt gesetzt weil der Inhalt freigegebene Medien nicht ver ndert werden darf 116 SafeGuard PortProtector 3 30 Benutzerhilfe 3 5 2 Bearbeiten einer Mediengruppe Nachdem eine Gruppe angelegt wurde kann sie modifiziert werden So bearbeiten Sie eine Gerategruppe Doppelklicken Sie auf der Registerkarte Wei e Liste auf die gew nschte Gruppe ODER Klicken Sie mit der rechten Maustaste auf d
4. L schen einer Policy erl utert in L schen von Policies Anzeigen und Drucken einer Policy bersicht siehe auch Anzeigen und Drucken einer Policy bersicht 123 SafeGuard PortProtector 3 30 Benutzerhilfe Exportieren oder Importieren einer Policy in aus einer Datei siehe auch Exportieren und Importieren einer Policy Abfrage der mit einem Organisationsobjekt verkn pften Policies erl utert in Abfragen zugeh riger Policies 3 6 1 ffnen einer Policy Sie k nnen eine vorhandene Policy ber das Fenster Policies ffnen So ffnen Sie eine Policy Doppelklicken Sie im Fenster Policies auf die zu ffnende Policy ODER Klicken Sie mit der rechten Maustaste auf die Policy und w hlen Sie ffnen ODER Klicken Sie in der Symbolleiste auf die Schaltfl che ffnen Ge ffnen Das Fenster Policy wird mit den Definitionen der Policy angezeigt 3 6 2 ndern einer Policy Nachdem Sie eine Policy ge ffnet haben k nnen Sie ihre Definitionen ndern und speichern oder diese als eine neue Policy unter einem anderen Namen speichern 124 SafeGuard PortProtector 3 30 Benutzerhilfe 3 6 3 Erstellen einer neuen Policy Die verschiedenen Wege fiir das Offnen einer neuen Policy sind in Schritt 3 Policy erstellen erl utert eine weitere M glichkeit zum ffnen einer neuen Policy ist ber das Fenster Policy Management So erstellen Sie eine neue Policy von aus den Standardeinstellungen Klicken Si
5. Zum Schutz der Backupdatei der Systemkonfiguration ist ein Kennwort erforderlich Kennwort Best tigen Das Kennwort muss den Kennwortrichtlinien der Organisation entsprechen 2 W hlen Sie einen Pfad in dem die Backupdatei der Systemkonfiguration gespeichert werden soll 3 Legen Sie ein Kennwort f r die Backup Datei fest und best tigen Sie es 4 Klicken Sie auf OK Die Backupdatei der Systemkonfiguration ist gespeichert Hinweis 1 Sie k nnen jederzeit ein Backup des Systems erstellen Es wird empfohlen mehrere Backups auf unterschiedlichen Computern und Standorten zu speichern 2 Wenn Sie das Kennwort vergessen haben erstellen Sie einfach ein neues Backup und benutzen Sie ein neues Kennwort 265 SafeGuard PortProtector 3 30 Benutzerhilfe 7 7 1 4 2 Planen des Systembackups Sie k nnen den Zeitplan f r das Systembackup konfigurieren Konfigurieren des Zeitplans f r das Systembackup 1 Klicken Sie auf ndern Das Dialogfeld Geplantes Systembackup wird angezeigt 5 Geplantes Systembackup Eg Bitte Zeitplan f r Systembackup konfigurieren Backups erstellen T glich v um o1 00 S N chstes Backup 20 01 2010 01 00 00 Zum Schutz der Backupdatei der Systemkonfiguration ist ein Kennwort erforderlich Kennwort Best tigen Das Kennwort muss den Kennwortrichtlinien der Organisation entsprechen 2 Legen Sie das Intervall f r Backups erstellen T glich W chentlich Mon
6. 3 3 7 2 Dateikontrolle Registerkarte Lesen Der obere T eil dieses Fensters enth lt eine Liste der unterst tzten Dateitypen F r jeden Dateityp k nnen Sie ber das Men Aktion Lese Berechtigungen festlegen Mit den Kontrollk stchen k nnen Sie Log and Alarmeinstellungen ausw hlen Im unteren Teil des Fensters k nnen Sie Berechtigungen sowie Log und Alarmeinstellungen f r andere Dateiformate festlegen die nicht unter den unterst tzten Dateitypen aufgef hrt sind Eine Beschreibung f r die Definition der Einstellungen in diesem Fenster finden Sie in Definieren der Dateikontrolle 70 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 7 3 Definieren der Dateikontrolle Hinweis Die Dateikontrolle bezieht sich auf Dateien die auf die folgenden externen Speicherger te geschrieben bzw von ihnen gelesen werden Wechselspeicherger te externe Festplatten und CD DVD Laufwerke bei CD DVD kann die Dateikontrolle auf Dateien angewandt werden die davon gelesen werden aber nicht auf Dateien die darauf geschrieben werden Sie k nnen bei Bedarf eins oder mehrere dieser Speicherger te von der Dateikontrolle ausnehmen Eine Erkl rung hierzu finden Sie in Festlegen der Berechtigungen f r Wechselspeicher Festlegen der Berechtigungen f r externe Festplatte und Festlegen der Berechtigungen f r CD DVD So definieren Sie die Dateikontrolle 1 Klicken Sie im Fenster Dateikontrolle auf die Registerkarte Schreiben 2 Wahlen Sie
7. SafeGuard PortProtector 3 30 Benutzerhilfe Consideration 3 Policies and Procedures A security policy is a statement of management s intent for protecting corporate assets from fraud waste and abuse To be compliant with PCI DSS the organization must have a strong security policy that provides the employees with security awareness and informs them of their responsibilities for protecting the organization s assets Specifically PCI DSS requires a security policy address the following relevant areas concerning the implementation of a technology such as SafeGuard PortProtector Technology Usage Policy A PCI organization is required to have a usage policy for employee facing technology The organization will require management approval of the SafeGuard PortProtector product and an update to the acceptable use policies regarding the administration of SafeGuard PortProtector Information Security Responsibilities A PCI organization is required to define and assign information security and security management responsibilities for all employees and contractors The organization will need to update job descriptions or other means of assigning security responsibilities to include the administration of the SafeGuard PortProtector product Formal Awareness Program A PCI organization is required to implement a formal security awareness program The introduction of SafeGuard PortProtector to endpoints i e desktops and laptops
8. 1 Klicken Sie mit der rechten Maustaste auf ein CD DVD Laufwerk 2 W hlen Sie SafeGuard Protector und dann Verschl sselte CD DVD erstellen W My Computer 4 314 Floppy 4 S Local Disk C gt E contr Expand 4 My Netwe Explore Vy Recycle E Open Search Sharing and Security EEE Verschl sselte CD DVD erstellen Eject Copy Properties 3 Klicken Sie im SafeGuard PortProtector Client Fenster auf die Registerkarte Tools Das folgende Fenster wird angezeigt SafeGuard PortProtector x SafeGuard PortProtector SOPHOS General Tools about File Messages Use this option to start stop showing file messages on your desktop r Device Encryption Encryption related tasks are available on right clicking removable storage devices in My Computer Open My Computer r Disc Encryption Create and manage encrypted volume files Encrypt Disc Administration Mode 4 Klicken Sie auf die Schaltfl che Disk verschl sseln Der Assistent Verschl sselte Disk erstellen wird angezeigt 307 SafeGuard PortProtector 3 30 Benutzerhilfe So erstellen Sie eine verschliisselte CD DVD Dieser Assistent fiihrt Sie durch die Erstellung einer verschliisselten CD DVD 1 ffnen Sie den Assistenten Verschl sselte Disk erstellen wie oben beschrieben Der folgende Assistent wird angezeigt Create E
9. Auf der Registerkarte WiFi Links definieren Sie die anzuzeigenden Logdatens tze bez glich ihrer WiFi Attribute In der Log Tabelle erscheinen nur Datens tze die den von Ihnen hier festgelegten Kriterien entsprechen Hinweis Diese Registerkarte ist nur dann aktiviert wenn Sie WiFi im Abschnitt Umfang der Registerkarte Allgemein ausw hlen Im Folgenden werden die Abschnitte dieser Registerkarte beschrieben Nach WiFi Gruppenname In diesem Abschnitt k nnen Sie den Namen ganz oder teilweise der WiFi Gruppe eingeben die in die Log Tabelle aufgenommen werden soll Es werden nur Logdatens tze angezeigt die mit den zu dieser Gruppe geh renden WiFi Verbindungen verkn pft sind Wenn Sie keinen Gruppennamen eingeben werden in der Log Tabelle Datens tze unabh ngig von der Gruppe angezeigt der sie angeh ren Nach WiFi Netz In diesem Abschnitt k nnen Sie den Namen ganz oder teilweise das Netzwerk bzw dessen MAC Adresse eingeben das in die Log Tabelle aufgenommen werden soll Es werden nur Logdatens tze mit den ausgew hlten Netzeigenschaften angezeigt Wenn Sie keine Netzwerkeigenschaften eingeben werden in der Log Tabelle Datens tze unabh ngig von dem Netz mit dem sie verkn pft sind angezeigt 178 SafeGuard PortProtector 3 30 Benutzerhilfe Nach Authentifizierung In diesem Abschnitt k nnen Sie festlegen ob die WiFi Links in der Log Tabelle authentifizierte Verbindungen sein sollen Ansonsten wenn Sie
10. Log Type Scope Device Log Port Log Port Log Port Log Port Log Port Log Port Log Port Log Port Log Port Log Port Log Port Alert Admin Alert Storage Alert Storage Log Port S Log Port Log Port A Log Port fj Log Port Alert Admin i Log Device Log Port Log Port A Log Port Log Port a Log Port 4 Time Computer 16 07 2006 14 0 avnertest1607 16 07 2006 14 0 avnertest1607 16 07 2006 14 0 avnertest1607 16 07 2006 14 0 avnertest1607 16 07 2006 14 0 avnertest1607 16 07 2006 14 0 aynertest1607 16 07 2006 14 0 avnertest1607 16 07 2006 14 0 avnertest1607 16 07 2006 14 0 aynertest1607 16 07 2006 14 0 avnertest1607 16 07 2006 14 0 avnertest1607 16 07 2006 14 0 aynertest1607 16 07 2006 14 0 avnertest1607 16 07 2006 14 0 elad test 16 07 2006 14 0 elad test 16 07 2006 14 0 elad test 16 07 2006 14 0 elad test 16 07 2006 14 0 elad test 16 07 2006 14 0 elad test 16 07 2006 14 0 elad test 16 07 2006 14 0 elad test 16 07 2006 14 0 elad test 16 07 2006 13 5 elad test 16 07 2006 13 5 elad test 16 07 2006 13 5 elad test 16 07 2006 13 5 elad test 16 07 2006 13 5 elad test administrator safen administrator safen administrator safen administrator safen administrator safen administrator safen administrator safen administrator safen administrator safen administrator safen administrator safen admin
11. PortProtector 3 30 Benutzerhilfe 14 2 1 Implementation Approaches The SOX 404 COBIT regulation requires SOX regulated organizations to provide adequate internal controls However the SOX 404 COBIT does not specify precisely how to implement these safeguards or what mechanisms must be employed Since each organization has its own unique business objectives there will be a variety of COBIT implementations throughout the SOX regulated organization community In an effort to address these differing implementations this document provides guidance for both a Standard and an Aggressive approach for implementing SafeGuard PortProtector to protect the organization s assets Both of these approaches meet the SOX 404 COBIT standards for the requirements they address Standard Approach The standard approach to implementing SafeGuard PortProtector within a SOX regulated environment implements good security practices for protecting endpoints from targeted attacks and ensuring that adequate internal controls for the protection of data leakage at network endpoints Aggressive Approach The aggressive approach to implementing SafeGuard PortProtector within a SOX regulated environment implements a more strict set of security practices for protecting endpoints from targeted attacks and ensuring adequate internal controls for the protection of data leakage at network end points The selection of the appropriate approach for meeting both SOX
12. Benutzer und Dom nenname Der Dom nenname Der Pfad zum Client Standort in Active Directory Novell eDirectory Der Name der Policy die auf dem Computer in Kraft ist Wenn auf diesem Client Policies zusammengef hrt sind werden alle zusammengef hrten Policies aufgef hrt Der Typ der geltenden Policy Computer oder Benutzer Datum und Uhrzeit wann die geltende Policy zuletzt aktualisiert wurde Spalte Computer Policy CP CP Updated Last Handshake Received Logs Received Tampering Logs Suspension Status Suspension Start Time Suspension Duration SafeGuard PortProtector 3 30 Benutzerhilfe Beschreibung Der Name der Computer Policy Dies kann von Effektive Policy abweichen wenn eine Benutzer Policy in Kraft ist Datum und Uhrzeit wann die Computer Policy zuletzt aktualisiert wurde Datum und Uhrzeit des letzten Handshakes zwischen dem Client und dem Management Server Datum und Uhrzeit wann zuletzt Logs empfangen wurden Datum und Uhrzeit wann zuletzt Manipulationslogs empfangen wurden Suspended Schutz ist aufgehoben ansonsten Protected Datum und Uhrzeit wann die Suspendierung begann Der vom Administrator definierte Zeitraum f r den dieser Computer suspendiert sein wird Sie k nnen die Tabellenansicht folgenderma en ndern Sortieren Sie die Tabelle indem Sie auf den Spaltentitel der Spalte klicken nach der Sie sortieren m chten Klicken Sie noc
13. Instructions Determine user roles within your SafeGuard PortProtector implementation User this role is the normal user role that has no additional privileges associated Privileged user this role has extended privileges such as the use of a specifically permitted non encrypting device Determine compensating controls placed on privileged users Logs and alerts at a minimum plan to set privilege user policies to log allowed behavior that is extended from the normal user role Consider setting alerts on highly sensitive behavior such as the use of a specifically permitted non encrypting device Preparation 3 Determine Administration Roles SafeGuard PortProtector allows for multiple administration roles according to privilege and domain The use of these administrative role options should be determined prior to installation of SafeGuard PortProtector Instructions Determine if your implementation of SafeGuard PortProtector will follow a centralized or de centralized administration model Centralized a single entity is responsible for the administration of SafeGuard PortProtector De centralized administration of SafeGuard PortProtector is delegated to departments that are responsible for the administration of their own domain If you chose this method of administration then determine the domain partitions for which each department will be responsible for the administration Determine administra
14. create policies that force the use of encrypted Wi Fi channels for secure transfer of data These policies can even be set to require a specific level of encryption Requirement Requirement Description Relevant SafeGuard How to apply Number PortProtector SafeGuard Features PortProtector policies for FISMA compliance AC 18 1 2 Wireless Access SafeGuard Under port control restrict Wi Fi networks Under Wi Fi networks set a white list of approved Wi Fi networks to WPA encrypted networks establishes usage restrictions and implementation guidance for portable and mobile devices and authorizes monitors and controls device access to organizational information systems to control access to portable storage devices such as USB drives PDAs and mobile phones The flexibility of SafeGuard PortProtector policies allows for a granularity of control that matchs the organization s needs SafeGuard PortProtector also provides encryption for hard disks and removable storage e g WPA To restrict anti In addition br idging et SafeGuard Hybrid Network PortProtector Bridging to provides anti Block bridging capabilities preventing computers from connecting to wireless networks while connected to the organizational LAN AC 19 Access Control for SafeGuard Configure Portable and Mobile PortProtector SafeGuard Devices The organization provides the ability PortProtector t
15. dem ausgew hlten Objekt verkn pften Policies angezeigt So zeigen Sie wieder alle Policies an W hlen Sie im Fenster Policies im Men Abfrage die Option Alle Policies Im Fenster Policies werden jetzt alle Policies angezeigt 3 7 Optionen f r aktives Fenster Das aktive Policy Fenster kann dupliziert gel st und geschlossen werden Diese Optionen sind in Optionen f r aktives Fenster im Kapitel Erste Schritte beschrieben 129 SafeGuard PortProtector 3 30 Benutzerhilfe 4 Verteilen von Policies Uber dieses Kapitel Dieses Kapitel beschreibt die Verteilung von SafeGuard PortProtector Policies zum Schutz der Endpunkte in Ihrer Organisation bersicht beschreibt die Optionen der Verteilung von SafeGuard PortProtector Policies direkt vom Management Server aus ber SSL Policy Server ber Active Directory oder als Registry Dateien f r die allgemeine Nutzung durch Tools von Drittanbietern Verteilen von SafeGuard PortProtector Policies direkt vom Management Server aus beschreibt wie Policies ber die Management Console mit Organisationsobjekten verkn pft werden so dass sie direkt von den Servern an die SafeGuard PortProtector Clients verteilt werden k nnen Verteilen von SafeGuard PortProtector Policies unter Verwendung von Active Directory beschreibt wie SafeGuard PortProtector Policies GPOs zu den Computern und Benutzern in Ihrer Organisation zugewiesen werden und wie Sie die erforderlichen SafeGu
16. die auf den Endpunkten in Ihrem Netz erkannt wurden und erm glicht Ihnen die Auswahl der Ger te die der Ger tegruppe hinzugef gt werden sollen Die Tabelle ist in Kategorien unterteilt die davon abh ngen ob Sie Ger te in eine Gruppe freigegebener Modelle oder in eine Gruppe spezifischer Ger te hinzuf gen und ob Sie Speicherger te oder Nicht Speicherger te hinzuf gen Neben den ausw hlbaren Ger ten steht ein Kontrollk stchen das Sie markieren m ssen um das Ger temodell bzw das spezifische Ger t freizugeben Ger te die bereits zur aktuellen Gruppe geh ren sind grau markiert Das Kontrollk stchen daneben ist bereits markiert Hinweis Sie k nnen der wei en Liste in Ger tekontrolle keine Speicherger te hinzuf gen Hinweis Ger te oder Speicherger te ohne eindeutige ID k nnen einer Gruppe Spezifische Ger te nicht hinzugef gt werden Gelegentlich kann es vorkommen dass ein Ger t von SafeGuard PortAuditor nicht als Speicherger t gekennzeichnet wurde Das kann z B dann vorkommen wenn eine Ger teklasse vom Hersteller nicht integriert wurde In diesem Fall k nnen Sie das Ger t zur wei en Liste der Speicherger te in Ihrer Policy eintragen wenn Sie wissen dass es tats chlich ein Speicherger t ist Sorgen Sie daf r dass der Ausnahmenliste bei Ger tekontrolle keine Speicherger te und einer Ausnahmenliste bei Speicherkontrolle keine Nicht Speicherger te hinzugef gt werden weil sie durch den SafeGuard
17. ffnen Policies speichern Policies exportieren und importieren etc Bearbeiten Neu Policies Extras Fenster Policy Client Logs Speichern und ver ffentlichen Speichern unter Server Logs Datei Logs Policy bersicht Importieren Exportieren Abmelden Beenden Das Men Datei enth lt folgende Optionen Option Neu Policies Speichern und Ver ffentlichen Speichern unter Policy bersicht Importieren Exportieren 40 Beschreibung ffnet ein Untermen ber das Sie ein neues Policy Fenster ein neues Client Log Fenster ein neues Server Log Fenster oder ein neues File Log Fenster ffnen k nnen Erm glicht Ihnen das Verwalten der Policies Speichert und ver ffentlicht die Policy Speichert die Policy unter einem neuen Namen und ver ffentlicht sie Zeigt alle Policy Informationen in einem einzelnen Fenster und in druckbarer Form Importiert eine exportierte Policy Exportiert die Policy in eine externe Datei SafeGuard PortProtector 3 30 Benutzerhilfe Option Beschreibung Abmelden Meldet den aktuellen Benutzer von der Management Console ab Beenden Meldet den aktuellen Benutzer ab und schlie t die SafeGuard PortProtector Management Console 3 2 2 2 Men Bearbeiten Das Men Bearbeiten umfasst die Optionen Ausschneiden Kopieren und Einf gen f r die Option Ger t hinzuf gen Speicherger t hinzuf gen ode
18. gt werden Sie k nnen die Berechtigungen f r freigegebene Modelle und spezifische Ger te auf der Registerkarte Ausnahmen des Fensters Ger tekontrolle und des Fensters Speicherkontrolle festlegen die wie zuvor beschrieben in die Abschnitte Freigegebene Modelle und Spezifische Ger te aufgeteilt sind 98 SafeGuard PortProtector 3 30 Benutzerhilfe Freigegebene Ger te werden der wei en Liste mit den folgenden Schritten hinzugef gt Hinzuf gen einer Ger tegruppe Hinzuf gen von Modellen und spezifischen Ger ten zur Ger tegruppe entweder mit Hilfe des Assistenten oder manuell Festlegen der Gruppenberechtigungen Hinzuf gen weiterer Gruppeneinstellungen wie Log und Alarmeinstellungen Speichern der Policy 3 4 1 Hinzuf gen von Ger tegruppen Freigegebene Modelle und spezifische Ger te werden in Gruppen angeordnet damit Sie zusammengeh rige Ger te mit denselben Berechtigungen leichter verwalten k nnen z B alle Ger te die von der Marketing Gruppe benutzt werden Bevor Sie Ger te hinzuf gen k nnen m ssen Sie Ger tegruppen festlegen Je nach Bedarf k nnen Sie Gruppen von Modellen oder spezifischen Ger ten definieren So f gen Sie eine neue Gruppe hinzu Hinweis Der untere Abschnitt der Registerkarte Speicherkontrolle Ausnahmen hei t Freigegebene spezifische Ger te Medien 1 Klicken Sie im Bereich Freigegebene Modelle oder Freigegebene spezifische Ger te auf die Schaltfl che Hinzu
19. lich der Dom nenendung des Computers an f r den das Ereignis gilt User Zeigt den Namen des Benutzers an f r den das Ereignis gilt Event Zeigt das Dateiereignis an M gliche Werte sindZugelassen Warnung Wenn die Inhaltspr fung aktiviert ist und sensible Inhalte festgestellt werden Gesperrt Wenn Sie gew hlt haben das Schreiben von Dateien zu sperren wenn das Brennformat keine Protokollierung erm glicht siehe Festlegen der Berechtigungen f r CD DVD in Kapitel 3 Definieren von Policies gibt diese Spalte an dass das Schreiben gesperrt wurde Operation Zeigt den Typ der ausgef hrten Operation an M gliche Werte sind Read Write Read encrypted Write encrypted Read offline Write offline File Type Zeigt den Namen des Dateityps an z B Microsoft Word 198 Spalte Extension File Name Shadow File Shadow File ID File Size Created Modified Inspect Results Inspect Time Inspect Details SafeGuard PortProtector 3 30 Benutzerhilfe Beschreibung Zeigt die Dateierweiterung der protokollierten Datei Zeigt den Pfad und den Namen der protokollierten Datei Zeigt ein Kontrollh kchen wenn f r diesen Logeintrag eine Shadow Datei erstellt wurde Zeigt die eindeutige Datei ID der Shadow Datei an die durch diesen Logeintrag im Datei Shadow Speicher dargestellt wird Weitere Informationen zur Konfiguration des zentralen Datei Shadow Speichers f
20. oder jede beliebige erforderliche Kombination Jede Organisationseinheit enth lt eine Gruppe von Computern oder Benutzern in der Dom ne Ihrer Organisation Zum Beispiel die Computer in die Marketing Abteilung oder der Gruppe der Administratoren Jeder Computer oder Benutzer kann zu einer einzigen Organisationseinheit geh ren Nachdem Sie eine Policy GPO erstellt haben k nnen Sie sie mit einer Organisationseinheit verkn pfen Das verkn pfte GPO gilt f r alle die Computer und Benutzer die zu der Organisationseinheit geh ren Die Policy sch tzt den Computer nach einem Neustart oder nachdem das definierte GPO Aktualisierungsintervall abgelaufen ist das im Active Directory festgelegt wurde Wenn sich ein gesch tzter Benutzer am Computer anmeldet wird die GPO des Benutzers angewendet d h dass eine Benutzer Policy Vorrang vor einer Computer Policy hat 141 SafeGuard PortProtector 3 30 Benutzerhilfe Hinweis Wann immer erforderlich k nnen Sie Policies aktualisieren ohne auf den standardm igen Zeitraum der Policy Verteilung warten zu m ssen der im Allgemeinen 90 Minuten betr gt Das kann unter Umst nden dann der Fall sein wenn ein bestimmter Benutzer ein Disk on Key Ger t auf einem bestimmten Computer benutzen muss und nicht warten kann Das erfolgt problemlos ber die SafeGuard PortProtector Management Console in der Clients Welt mit der Option Update Policy siehe auch Aktualisieren einer Policy auf einem Client
21. te verwendet werden Allgemeine Einstellungen verwenden Verschl sselung der Ger tepartition Policy spezifische Einstellungen festlegen erschl sselung des Ger te ime ing Mit der Verschl sselung des Gerate Volumes k nnen befugte Benutzer auf ungesch tzten Computern sicher auf verschl sselte Ger te zugreifen auch wenn sie keine administrativen Berechtigungen auf dem Zielcomputer haben Erfahren Sie mehr ber Sophos Verschl sselungsmethoden Benutzer Administrator UTIMACO Server localhost 3 3 13 1 Definieren der Mediaverschl sselungseinstellungen Hinweis Sie k nnen in jedem Abschnitt dieses Fensters angeben ob Sie die globalen Policy Einstellungen verwenden m chten indem Sie die Optionsschaltfl che Allgemeine Einstellungen verwenden aktivieren um die globalen Policy Einstellungen anzuzeigen oder zu bearbeiten klicken Sie oben im Fenster auf Allgemeine Policy Einstellungen ffnen Das Fenster enth lt die folgenden Abschnitte Nutzung verschl sselter Ger te Die Einstellungen in diesem Abschnitt legen fest ob die Benutzer auf organisatorisch verschl sselte Wechselspeicherger te auf organisationsfremden Computern mit vollem Zugriff oder schreibgesch tzten Zugriff zugreifen d rfen siehe Offline Zugriff auf verschl sselte Ger te in Kapitel 9 Endbenutzer Erfahrung Auch ob man auf verschl sselte Wechselspeicherger te selbst in der Organisation zugreifen kann d h ein Kennwort f r den Zugriff erforderli
22. ten verschoben wurden siehe Einstellungen f r Datei Shadowing definieren Die Dateikontrolle ist auf alle Wechselspeicherger te externe Festplatten und CD DVD anwendbar 69 SafeGuard PortProtector 3 30 Benutzerhilfe So ffnen Sie das Fenster Dateikontrolle 1 Klicken Sie auf der linken Seite im Men Sicherheit auf die Schaltfl che Dateikontrolle Das folgende Fenster wird angezeigt SafeGuard PortProtector Management Console al x Datei Bearbeiten Ansicht Extras Fenster Hilfe RSS Gy Policies VW rae Policies i Neu Bi Policies Bi integriert Alle zulassen Keine Protokollier li Unbenannt 3 ax Ge Xe oo Gg Pe Allgemein I These Bereciitigungen gelten far alle Speicherger ts au er denen die ausdr cklich in der Speicherkontrolle ausgenommen wurden Eigenschaften Portkontrolle Schreiben Lesen Ger tekontrolle 5 Dateitypen Aktion Log Alarm Speicherkontrolle le Microsoft office ve Dateikontrolle Ver ffentlichte Dokumente vy gt WiFi Kontrolle Webseiten vy ET SITES ee Images vy Multimedia vy gt Protokollierung Alarme Text und Programmcode vy Ausf hrbare Dateien LA gt Endbenutzer Meldungen Komprimierte Archive vy CD DVD Disk Images ww Datenbanken vw Shadowing gt Mediaverschl sselung E a zj
23. um sie gegen unberechtigte Nutzung ihrer Ports zu schiitzen Es ist keine Einrichtung oder Konfiguration des Clients erforderlich und der Bedienungsaufwand ist bis auf die Verschliisselung bzw Entschliisselung von Wechselspeichergeraten gering Weitere Informationen finden Sie in Durchsetzung der SafeGuard Policy SafeGuard PortProtector Client im Kapitel Einf hrung in SafeGuard PortProtector Auf einem durch SafeGuard PortProtector gesch tzten Computer k nnen zwei Anzeigen erscheinen je nachdem wie der Administrator die Policy konfiguriert hat wie in Schritt 17 Optionen definieren in Kapitel 3 Definieren von Policies beschrieben Nachrichten und Taskleistensymbole Hinweis Wenn die Client Sichtbarkeit auf Endpunkten auf den Stealth Modus siehe Definieren der Client Sichtbarkeit auf Endpunkten im Kapitel Definieren von Policies gesetzt ist bleiben Meldungen und Taskleistensymbol verborgen Dieses Kapitel beschreibt die Benutzer Erfahrung durch SafeGuard PortProtector Client gesch tzt zu sein Es enth lt die folgenden Abschnitte Meldungen des SafeGuard PortProtector Clients beschreibt die Meldungen die bei der Durchsetzung der SafeGuard PortProtector Policies erscheinen SafeGuard PortProtector Client Taskleistensymbol beschreibt die Zust nde des Taskleistensymbols das das Verhalten des SafeGuard PortProtector Clients repr sentiert Optionen des SafeGuard PortProtector Clients beschreibt auf dem Client verf gbar
24. wenn ihre zugeh rigen Organisationsobjekte in der Dom nenpartition eines Administrators liegen x __Einstellungen__ sichbarkeit der Policy Protokollierung Unterschiedliche Safend Protector Administratoren die die Console benutzen haben unterschiedliche Berechtigungen fir Alarme Organisationsobjekte Die Policy soll verf gbar sein f r Endbenutzer Meldungen Mediaverschl sselung Alle Administratoren der Organisation Festplattenverschl sselung Nur Administratoren mit Berechtigungen f r die verkn pften Organisationsobjekte Shadowing Anmerkung Bei beiden Definitionen ist den Safend Protector Administratoren Folgendes nicht m glich Optionen 1 Die verkn pften Organisationsobjekte zu sehen f r die sie keine Berechtigungen haben 2 Eine Policy zu ndern die f r Organisationsobjekte gilt f r die sie keine Berechtigungen haben Policy Berechtigungen Q Diese Definitionen gelten sofern Sie keine policy spezifischen Definitionen angeben nderungen die Sie hier vornehmen aktualisieren alle Policies L ox J Abbrechen 93 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 17 1 Definieren von Policy Berechtigungen Hinweis Die Einstellungen f r die Policy Berechtigung sind nur dann relevant wenn die Funktion der Dom nenpartitionierung aktiviert ist und im Safend Protector System ein Policy Server genutzt wird Mit Safend Protector Domain Partitioning ist die Partitionierung
25. zu einem bestimmten Ger t einmal protokolliert hat wird dies nicht noch einmal protokolliert es sei denn eine der folgenden Bedingungen wird erf llt Seit der letzten Protokollierung ist eine Stunde vergangen Der Computer wurde neu gestartet Das Ger t wurde neu angeschlossen Auf diese Weise wird verhindert dass mehrere Logdatens tze geschrieben werden wenn dieselbe Datei wiederholt auf dasselbe Ger t geschrieben wird wenn z B ein Endbenutzer eine Datei auf einem Speicherger t bearbeitet und sie wiederholt speichert 71 SafeGuard PortProtector 3 30 Benutzerhilfe 4 Markieren Sie das Kontrollk stchen Alarm f r die einzelnen Dateitypen wenn Schreibaktivit ten einen Alarm ausl sen sollen 5 Wiederholen die oben beschriebenen Schritte f r jeden Dateityp und f r die anderen Dateitypen die unter Andere Dateitypen im unteren Teil des Fensters erscheinen Hinweis Die Berechtigungen die Sie bei Andere Dateitypen festlegen gelten f r jeden Dateityp der nicht in der Liste im oberen Teil des Fensters steht Hinweis Die Standardberechtigungen f r alle Dateitypen sind Zulassen und Log kein Alarm 6 Klicken Sie auf die Registerkarte Lesen 7 F hren Sie die oben beschriebenen Schritte 2 5 aus Der einzige Unterschied zwischen den Registerkarten Lesen und Schreiben besteht darin dass auf der Registerkarte Lesen die Option Pr fen nicht im Men Aktion erscheint weil nur ausgehende Dateien gepr ft werden
26. 09 8 27 38 Integriert HIPAA Optimales Der Standard Ansatz zur Implementierung von Sophos innerhalb einer 30 12 09 8 27 38 Integriert PCI DSS Optimales Diese integrierte Policy ist f r die Implementierung des Payment Card 30 12 09 8 27 38 Integriert SOX Optimales Der aggressive Ansatz zur Implementierung von Sophos innerhalb einer 30 12 09 8 27 38 Integriert SOX Optimales Der Standard Ansatz zur Implementierung von Sophos innerhalb einer 30 12 09 8 27 38 Benutzer Administrator UTIMACO E amp amp Server localhost Das Fenster der Policies Welt enth lt die Abschnitte und Steuerungsschaltfl chen die in bersicht ber die Anwendung im Kapitel Erste Schritte beschrieben wurden Die Startschaltfl chen und einige der Men optionen sind speziell f r die Policies Welt 3 2 1 Startschaltfl chen Die spezifischen Startschaltfl chen in der Policies Welt sind Policies Policies _ durch Klicken auf diese Schaltfl che wird das Fenster Policies ge ffnet in dem Sie Ihre Policies verwalten k nnen Neu B neu _ durch Klicken auf diese Schaltfl che wird ein neues unbenanntes Policy Fenster ge ffnet 39 SafeGuard PortProtector 3 30 Benutzerhilfe 3 2 2 Men s Einige der Men optionen in der Policies Welt sind speziell f r diese Welt Nachstehend finden Sie eine Beschreibung der einzelnen Men s und der Optionen 3 2 2 1 Men Datei Im Men Datei in der Policies Welt k nnen Sie andere Welt Fenster
27. 238 SafeGuard PortProtector 3 30 Benutzerhilfe 7 3 1 5 2 1 Definieren von Berechtigungen Mit diesem Modus wird eine weitere Ebene der Zugangskontrolle angewandt indem die Benutzer auf eine Untergruppe von Funktionen innerhalb der Management Console eingeschr nkt werden Sie k nnen mehrere Benutzerrollen anlegen und jede auf bestimmte Funktionen in der Console beschr nken Zum Beispiel Sie k nnen eine Rolle als Logs Reviewer definieren die die Benutzer nur auf die Logs Welt beschr nken w rde ohne dass sie die M glichkeit haben Policies anzuzeigen oder zu bearbeiten Auf die gleiche Weise k nnen Sie eine Rolle als Policy Administrators definieren die den Benutzer auf die Policies Welt beschr nkt ohne dass er Logs anzeigen kann Dar ber hinaus k nnen Sie Read Only Benutzer definieren die Informationen in der Management Console lediglich anzeigen und keine nderungen vornehmen k nnen Eine Rolle ist im Grunde ein Satz von Berechtigungen die mit einer Benutzergruppe in Ihrem Active Directory verkn pft sind Wenn ein Benutzer versucht auf die Management Console zuzugreifen werden seine Credentials d h Anmeldeinformationen mit der Dom ne verglichen und es wird die Liste der Gruppen abgerufen bei denen er ein Mitglied ist Der Benutzer wird autorisiert die Funktionen auszuf hren die in den Rollen definiert sind denen er zugewiesenen ist Zum Beispiel Wenn der Benutzer sowohl ein Mitglied der Gruppe Pol
28. 404 COBIT and an organization s business objectives maybe either the Standard Approach the Aggressive Approach or even a combination or customization of either of these approaches Recall Consideration 1 Control Objectives under Considerations which stresses the importance of understanding the business objectives and environment in which SafeGuard PortProtector is to be deployed prior to determining the configuration and setting of the product Just as technology implementation to meet SOX 404 COBIT requirements is flexible so is the configuration of SafeGuard PortProtector The flexibility is designed to meet the variety of business objectives of SOX regulated organizations 14 2 2 SOX policy settings The following table is a guide to the SafeGuard PortProtector administrator in the setting and configuration of SafeGuard PortProtector for implementation within a SOX regulated environment The standard and aggressive approaches are to be used as guidelines for setting the parameters of SafeGuard PortProtector and not to be interpreted as additional SOX requirements In fact the SOX regulation does not specify protection requirements down to this level of detail However these configuration settings do follow general security principles and can be used as a baseline in creating a policy set for your own organization Setting Standard SOX lAggressive SOX Rationale Approach Approach Policy Create new policies based
29. 5 5 Alle x LOS 2 m 4 a 5 ie B m Br 2 a Computer 0 Benutzer 0 GH0E 0 Gruppen 0 A N Das Fenster Objekt ausw hlen zeigt die Registerkarten Nach Namen suchen und Organisationsstruktur auf der linken Seite Die rechte Seite enth lt die Tabelle der Objekte Die Registerkarten helfen Ihnen bei der Auswahl der gew nschten Objekte mit denen die Policy verkn pft werden soll Die Registerkarten enthalten auch eine Dropdown Liste das Men Objekttyp ber die Sie festlegen k nnen welche Objekttypen in der Tabelle gezeigt werden sollen Die Objekttabelle zeigt das Ergebnis Ihre Auswahl an Aus den angezeigten Objekten k nnen Sie anschlie end die zu verkn pfenden Objekte ausw hlen 134 SafeGuard PortProtector 3 30 Benutzerhilfe 4 2 3 3 Filtern und Verkn pfen von Objekten Die linke Seite des Fensters Objekt ausw hlen enth lt zwei Registerkarten in denen Sie festlegen k nnen welche Organisationsobjekte im Fenster angezeigt werden und aus denen Sie die mit der Policy zu verkn pfenden Objekte ausw hlen Dabei handelt es sich um die Registerkarten Nach Namen suchen und Organisationsstruktur Hinweis Wenn die Funktion der Dom nenpartitionierung aktiviert ist siehe Definieren von Dom nenpartitionen werden nur die der Rolle dieses Benutzers zugewiesenen Organisationseinheiten angezeigt 4 2 3 3 1 Filtern von Objekten nach Namen Die Registerkarte Nach Namen suchen ist ein Tool mit dessen H
30. 6 10 1 1 Client Task Fehler Da SafeGuard PortProtector f r die Ausf hrung von Remote Client Tasks die WMI Infrastruktur von Windows nutzt m ssen WMI Ports ge ffnet sein damit der Befehl durchgeht Es kann 3 verschiedene F lle geben bei denen der WMI Befehl nicht richtig funktioniert Wenn eine oder mehrere Client Tasks fehlgeschlagen sind pr fen Sie Folgendes anhand der in der Spalte Details im Fenster Verlauf der Client Tasks angezeigten Aufgabendetails Aufgabendetails L sung Access Denied Vergewissern Sie sich dass die definierten Server Berechtigungen die f r den Scan herangezogen werden lokale Administratorrechte auf dem Remote Computer beinhalten Weitere Informationen hierzu finden Sie in Server Berechtigungen The service cannot Vergewissern Sie sich dass der WMI Dienst auf dem Remote be started Computer gestartet und auf automatischen Start eingestellt ist The RPC serveris Vergewissern Sie sich dass die WMI Ports bei der aktiven Firewall unavailable zugelassen sind und dass Remote Administration in der Windows Firewall zugelassen ist So berpr fen Sie die WMI Konnektivitat in Ihrer Umgebung 1 W hlen Sie auf dem Server Computer Ausf hren im Men Start und geben Sie wmimgmt msc ein 2 Klicken Sie auf der linken Seite mit der rechten Maustaste auf WMI Control Local und w hlen Sie Connect to another computer 3 Wahlen Sie einen anderen Computer und geben Sie den Namen des Computers ein mit dem
31. Access Utility SafeGuard PortProtector SOPHOS Dieses Utility erm glicht Ihnen den Zugriff auf die Daten auf Ger te die durch Safend Protector verschl sselt wurden 3 Das Hilfsprogramm wird ausgef hrt und fordert das Kennwort f r den Offline Zugriff das Kennwort das in Festlegen eines Kennworts f r den Offline Zugriff festgelegt wurde immer dann an wenn ein verschl sseltes Ger t an den Computer angeschlossen wird 4 Klicken Sie auf Verkleinern wenn Sie das Fenster schlie en m chten Das folgende Fenster wird angezeigt Safend Protector Offline Access Utility i The utility is running in the background Don t show this again 5 Klicken Sie auf OK Das Hilfsprogramm l uft jetzt im Hintergrund und fordert das Kennwort fiir den Offline Zugriff das Kennwort das in Festlegen eines Kennworts fiir den Offline Zugriff festgelegt wurde jedes Mal an wenn ein verschl sseltes Ger t an den Computer angeschlossen wird 301 SafeGuard PortProtector 3 30 Benutzerhilfe Sobald das Offline Access Utility l uft wechselt das Offline Access Utility Taskleistensymbol zu sobald Sie ein verschl sseltes Ger t anschlie en Das folgende Fenster ffnet sich aus der Taskleiste SafeGuard PortProtector SOPHOS Dieses Fenster bleibt zwei Minuten lang ge ffnet In dieser Zeit k nnen Sie das Entschl sselungskennwort des Ger ts eingeben Nach Ablauf dieses Zeitraums wird das Fenster geschlossen und Sie m
32. Alle sperren HID Ger te Interne Ports zugelassen Keine 30 12 09 8 27 38 Integriert Alle sperren Log Alle sperren HID Ger te Interne Ports zugelassen Log 30 12 09 8 27 38 Integriert Alle zulassen Keine Alle zulassen Keine Protokollierung Dateikontrolle 30 12 09 8 27 38 Integriert Alle zulassen Log Alle zulassen Log Dateikontrolle Nur Schreib Ereignisse 30 12 09 8 27 38 Integriert HIPAA Optimales Der aggressive Ansatz zur Implementierung von Sophos innerhalb einer 30 12 09 8 27 38 Integriert HIPAA Optimales Der Standard Ansatz zur Implementierung von Sophos innerhalb einer 30 12 09 8 27 38 Integriert PCI DSS Optimales Diese integrierte Policy ist f r die Implementierung des Payment Card 30 12 09 8 27 38 Integriert SOX Optimales Der aggressive Ansatz zur Implementierung von Sophos innerhalb einer 30 12 09 8 27 38 Integriert SOX Optimales Der Standard Ansatz zur Implementierung von Sophos innerhalb einer 30 12 09 8 27 38 Benutzer Administrator UTIMACO E Server localhost SafeGuard PortProtector Management Console verf gt ber mehrere integrierten Policies Eine Beschreibung hierzu finden Sie in Schritt 3 Policy erstellen Im Fenster Policies k nnen Sie folgende Aktionen ausf hren ffnen einer Policy erl utert in ffnen einer Policy ndern einer Policy erl utert in ndern einer Policy Erstellen einer neuen Policy erl utert in Erstellen einer neuen Policy
33. As discussed throughout this document SafeGuard PortProtector can address data leakage risks targeted attack threats and many of the PCI DSS requirements Although obvious it should be noted that SafeGuard PortProtector provides a portion of the control objectives necessary for complete PCI DSS compliance The table below provides additional advice on how SafeGuard PortProtector helps to meet PCI DSS requirements IPCI Requirement Requirement Relevant SafeGuard How to Satisfy PCI Number Description PortProtector Features DSS Controls with SafeGuard PortProtector 2 Do not use vendor SafeGuard Change the default supplied defaults for PortProtector provides administration and system passwords administrators the install passwords for and other security ability to change SafeGuard parameters passwords including PortProtector the default password 370 SafeGuard PortProtector 3 30 Benutzerhilfe 2 1 Always change vendor supplied defaults before installing a system on the network 2 2 2 Disable all SafeGuard Use the SafeGuard unnecessary and PortProtector provides PortProtector insecure services and tthe ability to block recommended protocols access to unnecessary Settings for port 2 4 Remove all ports and storage device storage file devices that may pose land Wi Fi network unnecessary El a threat to cardholder control to block or functionality such f data restrict acc
34. Berechtigungen haben wird SafeGuard PortProtector die Gruppen willk rlich ausw hlen Wenn die Gruppen nicht dieselben Log und Alarmeinstellungen haben ist nicht vorhersehbar welche Einstellungen angewendet werden 118 SafeGuard PortProtector 3 30 Benutzerhilfe 3 5 3 1 Hinzuf gen eines Mediums mit Hilfe des Assistenten Sobald Sie eine Mediengruppe definiert haben steht ein einfacher Assistent Freigegebene Medien hinzufiigen zur Verfiigung Dieser leitet Sie durch die Schritte beim Hinzuftigen freigegebener Medien aus einer Liste der zuvor vom Media Scanner gescannten Medien siehe Appendix D CD DVD Media Scanner Der Assistent wird ge ffnet sobald Sie auf Medien hinzuf gen im Fenster Gruppe bearbeiten klicken oder Zu Gruppe hinzuf gen im Kontextmen ausw hlen siehe auch Hinzuf gen von Medien Der Assistent beinhaltet drei Schritte Schritt 1 Mediendaten beschaffen Schritt 2 Medium ausw hlen Schritt 3 Best tigen 3 5 3 2 Schritt 1 Mediendaten beschaffen Assistent f r das Hinzuf gen freigegebener Medien Speicherkontrolle Integriert Alle zulassen Keine Protokollierung xj 1 Mediendaten beschaffen A Medium ausw hlen 3 Best tigen D MyMediengruppe Geben Sie an wie die Mediendaten beschafft werden sollen Aus Mediendatendatei lesen Vorgehen zum Erstellen einer Mediendatendatei Datei ausw hlen Durchsuchen Zur ck N chste 3 5 3 2 1 Beschaffen von Mediend
35. Computer bzw Benutzer gelten Die folgende Abbildung zeigt die Registerkarte Nach Namen suchen rach namen suchen Geben Sie den Name eines Computer oder Benutzers ein um seinen Logdatensatz abzurufen C Exakte bereinstimmung Mehrere Parameter Einf gen mehrerer Suchparameter durch Komma Semikolon oder Leerzeichen getrennt zulassen LOS Alle a Benutzer G Computer Organisationsstruktur Nach Namen suchen 169 SafeGuard PortProtector 3 30 Benutzerhilfe So suchen Sie nach bestimmten Computern oder Benutzern 1 Geben Sie im Textfeld den Namen des Computers oder Benutzers ein dessen Logdatens tze Sie in der Log Tabelle anzeigen m chten Sie k nnen mehrere Namen durch Komma Semikolon oder Leerzeichen getrennt eingeben 2 Markieren Sie das Kontrollk stchen Exakte bereinstimmung wenn Sie in der Log Tabelle Logs f r einen Computer Benutzer mit einem Namen anzeigen m chten der genau mit der von Ihnen im Textfeld eingegebenen Zeichenfolge bereinstimmt F r Computer m ssen Sie den vollst ndigen Computernamen eingeben einschlie lich der Dom nenendung Wenn Exakte bereinstimmung nicht markiert ist werden in der Log Tabelle Logs f r alle Computer und Benutzer angezeigt deren Name die von Ihnen eingegebene Zeichenfolge enth lt 3 W hlen Sie im Men Nach Namen suchen die Alle v a Benutzer G Computer Option Computer wenn Sie nach Computernamen suchen m c
36. DC safendga DC Sa B 44 Domain Controllers OU Domain 2 H E S Builtin CN Builtin DC safedev DC Saf 5 H 7 SQ IT Team OU IT 6 Sa Safend OU Safend DC safendga DC M 44 CREDANT OU CREDANT DC safendga DC F 48 Builtin CN Builtin DC safendga DC S C 48 AdminTeam OU AdminTeam DC safedev D M 43 Training OU Training DC safendga DC F 44 us Branch OU US M a9 Computers CN Computers DC safedev DC C Sa Computers CN Computers DC safendga D M 49 Temp OUu s OU Temp 17 ag Agent Team OU Agent C Gi Test Objects OU Test Qi IL Divisions OU IL 4 gt M SA Server Roles OU Server of lle LOS G Computer 4060 Benutzer 541 ggou 662 Gruppen 1353 A 137 SafeGuard PortProtector 3 30 Benutzerhilfe Hinweis Die Organisationsstruktur steht nur dann zur Verf gung wenn Sie Active Directory oder Novell eDirectory nutzen und die entsprechenden Verzeichnisdefinitionen im Fenster Administration festgelegt haben siehe Konfigurieren der Einstellungen auf der Registerkarte Allgemein in Kapitel 8 Administration Wenn Sie keinen dieser Directory Services nutzen wird nur eine Gruppe in der Struktur angezeigt Not In Domain Durch Auswahl dieser Gruppe werden alle Computer ausgew hlt 4 2 3 3 2 1 Ausw hlen und Verkn pfen von Objekten aus der Organisationsstruktur Hinweis Die Anleitungen in diesem Abschnitt beziehen sich auch auf das Abfragen zugeh riger Policies nach Namen In diesem Fa
37. Definieren der Netzanteile f r Datei Shadowing beschrieben 260 So ffnen Sie das Fenster Datenbankpflege SafeGuard PortProtector 3 30 Benutzerhilfe Klicken Sie im Abschnitt Datenbankpflege neben dem Feld Zur Steuerung von Datenbanktiefe und Grofe auf Konfigurieren Das Fenster Datenbankpflege wird angezeigt Datenbankpflege r Datenbanktiefe Bitte die Tiefe der Log Tage angeben die Sie in der Datenbank speichern m chten Ist Maximum Client Logs 8 go s Datei Logs 8 30 s Server Logs 8 90 gt Shadow Dateien 0 a9 g x 7 7 1 2 1 mPlattenkapazit t Die Datenbank wird nicht ber die zugeordnet Plattenkapazit t hinaus anwachsen Bitte w hlen Sie den Modus f r die Zuordnung der Plattenkapazit t Automatisch nutzen Sie so viel Sie k nnen Manuell Aktuelle DB Gr e 0 04 GB Max Gr e 15 gt GB Anmerkung Die Einstellungen der Plattenkapazitat gelten nicht f r Shadow Dateien Die Quote des Shadow Dateispeichers wird direkt f r jedes Netzsegment konfiguriert Das Fenster Datenbankpflege enth lt zwei Abschnitte Definieren der Datenbankpflege Einstellungen Datenbanktiefe Zeigt die tats chlich Anzahl an Tagen die derzeit f r jeden Logtyp gespeichert wird und erm glicht es Ihnen die erforderliche maximale Anzahl der Speichertage pro Logtyp festzulegen Plattenkapazit t Hier k nnen Sie die Plattenkapazit t f r die Datenbank automatisch
38. Directory Synchronization Englisch Appendix B Supported Device Types Englisch f hrt die Ger temodelle auf die SafeGuard PortProtector beim Erstellen einer Policy zur Auswahl bietet Appendix C Supported File Types Englisch f hrt die Dateitypen und Dateierweiterungen auf die von der Funktion der Dateitypenkontrolle in SafeGuard PortProtector zur Kontrolle der auf Speicherger te geschriebene bzw von Speicherger ten gelesene Dateien unterst tzt werden Appendix D CD DVD Media Scanner Englisch beschreibt wie bestimmte CD DVD Medien gescannt und mit Fingerprints versehen werden so dass sie in einer wei en Liste zur Nutzung freigegeben werden k nnen Appendix E Using SafeGuard PortProtector in a HIPAA Regulated Organization Englisch liefert Anleitungen wie diese Bedrohungen in einer HIPAA geregelten Umgebung angegangen werden Appendix F Using SafeGuard PortProtector in a SOX Regulated Organization Englisch liefert Anleitungen wie diese Bedrohungen in einer SOX 404 geregelten Umgebung angegangen werden SafeGuard PortProtector 3 30 Benutzerhilfe Appendix G Using SafeGuard PortProtector in a PCI Regulated Organization Englisch liefert Anleitungen wie diese Bedrohungen in einer PCI DSS geregelten Umgebung angegangen werden Appendix H Using SafeGuard PortProtector in a FISMA Regulated Organization Englisch liefert Anleitungen zur Adressierung dieser Bedrohungen in einer FISMA regu
39. Es enth lt die folgenden Abschnitte Starten der SafeGuard PortProtector Management Console beschreibt wie die Management Console gestartet wird bersicht ber die Anwendung beschreibt die Hauptabschnitte und Schaltfl chen in der Anwendung Welten beschreibt die wesentlichen Registerkarten die sich jeweils mit einem anderen Aspekt der Anwendung befassen Men leiste beschreibt die Men optionen in der SafeGuard PortProtector Management Console Fensterleiste und Fensteroptionen beschreibt diese spezielle Leiste die in einigen der Anwendungsfenster vorhanden ist sowie deren Steuerungen Auch die in einigen Fenstern verf gbaren Funktionen werden beschrieben wie etwa das Duplizieren und L sen eines Fensters Start Welt beschreibt das das Einstiegsfenster der SafeGuard PortProtector Management Console 22 SafeGuard PortProtector 3 30 Benutzerhilfe 2 1 Starten der SafeGuard PortProtector Management Console Starten Sie die SafeGuard PortProtector Management Console wie folgt So melden Sie sich an Klicken Sie auf Ihrem Desktop auf das Symbol w 5 ODER W hlen Sie Start gt Programme gt SafeGuard PortProtector gt Management Console Das folgende Fenster wird angezeigt SafeGuard PortProtector SOPHOS Server localhost Benutzer Administrator Kennwort Domane UTIMACO 1 Geben Sie Ihren Benutzernamen Ihr Kennwort und die Dom ne ein 2 Klicken Sie auf Anmelden
40. Fy Handys viv Netzwerkadapter vy gt Bildbearbeitungsger te vy Audio Videoger te ee I Smart Cards ey Content Security Gerate ey Nicht bei Ger tetypen oder in der wei en Liste freigegebene Ger te Aktion Log Alarm Nicht klassifizierte Ger te x Benutzer Administrator UTIMACO Server localhost Modelle Diese Option bezieht sich auf das Modell eines bestimmten Ger tetyps wie beispielsweise alle HP Drucker oder alle M Systems Disk on keys Spezifische Ger te Diese Option bezieht sich auf eine Liste spezifischer Ger te von denen jedes eine eindeutige Seriennummer hat wodurch es eigentlich ein spezifisches Ger t ist Zum Beispiel Es ist m glich das PDA des CEO zuzulassen und alle anderen PDAs zu sperren SafeGuard PortProtector 3 30 Benutzerhilfe 1 2 2 1 Schutz vor Hardware K eylogger Hardware Keylogger sind Ger te die in feindlicher Absicht von Dritten zwischen eine Tastatur und den zugeh rigen Hostcomputer geschaltet wurden um Tastatureingaben abzuh ren und aufzuzeichnen und auf diese Weise kritische Informationen insbesondere Identifizierungen und Kennworter zu stehlen Mit SafeGuard PortProtector k nnen Sie Ihre Benutzer gegen diese Bedrohung sch tzen SafeGuard PortProtector kann Hardware Keylogger erkennen die an einen USB oder PS 2 Port angeschlossen sind Und mit Ihrer Policy k nnen Sie festlegen ob die Hardware Keylogger bei Ihrer Erkennung gesperrt werden sollen Weitere Informati
41. Ger te zu einer Gruppe hinzuzuf gen haben Sie im Fenster Gruppe bearbeiten 1 ffnen Sie das Fenster Edit Group auf einem der in Bearbeiten einer Ger tegruppe beschriebenen Wege 2 Um ein Ger t mit Hilfe des Assistenten Freigegebenes Ger t hinzuf gen hinzuzuf gen klicken Sie auf Ger te e hinzuf gen und fahren mit dem n chsten Abschnitt Hinzuf gen eines Ger ts mit Hilfe des Assistenten fort Um ein Ger t manuell hinzuzuf gen klicken Sie auf Ger te e manuell hinzuf gen und fahren Sie mit Manuelles Hinzuf gen eines Ger ts fort Wenn Sie USB Ger tedaten aus einem Log siehe Kopieren von USB Ger ten oder CD DVD Mediadaten im Kapitel Anzeigen von Logs kopiert haben k nnen Sie auch mit der rechten Maustaste auf den leeren Bereich von im Fenster Gruppe bearbeiten klicken und Einf gen w hlen um die USB Ger tedaten in eine Gruppe zu kopieren vergewissern Sie sich dass Sie keine Speicherger tedaten in eine Gruppe von Nicht Speicherger ten oder umgekehrt kopieren Dieselben Schritte k nnen Sie auch beim ffnen einer neuen Gruppe verwenden um Ger te hinzuzuf gen Hinweis Wenn Sie ein Ger t hinzuf gen das bereits zu einer anderen Ger tegruppe in dieser Policy geh rt und die Berechtigungen der Gruppen unterschiedlich sind gelten die mit mehr Berechtigungen Zulassen gibt die h chste Berechtigung Verschl sseln verleiht weniger Berechtigung ist wie Zulassen bei Verschl sselung und Schreibge
42. Hinweis Die Optionen im Men Datenverschl sselung h ngen von dem Authentifizierungstyp ab der unter Authentifizierung definiert wurde Zum Beispiel sind bei WPA Authentifizierung die Verschl sselungsoptionen TKIP oder AES wohingegen bei 802 1X Authentifizierung nur WEP Verschl sselung verf gbar ist 5 F gen Sie bei Anmerkungen Anmerkungen hinzu optional 6 berpr fen Sie sorgf ltig ob Sie in allen Feldern die richtigen Daten eingegeben haben und klicken Sie auf OK 3 4 8 L schen einer Gruppe Sie k nnen bei Bedarf eine Ger tegruppe oder eine WiFi Gruppe aus der wei en Liste l schen Dadurch wird die Gruppe mit allen ihren Mitgliedern gel scht So l schen Sie eine Gruppe 1 Klicken Sie auf der Registerkarte Wei e Liste mit der rechten Maustaste auf zu l schende Gruppe 2 Klicken Sie im Men auf L schen Ein Best tigungsfenster wird angezeigt Klicken Sie auf Ja um die Gruppe zu l schen ODER 1 W hlen Sie die zu l schende Gruppe aus 2 Klicken Sie auf die Schaltfl che Gruppe l schen 9 112 SafeGuard PortProtector 3 30 Benutzerhilfe 3 5 Freigeben von CD DVD Medien Neben der Kontrolle von CD DVD Laufwerken bietet SafeGuard PortProtector die M glichkeit die Nutzung spezifische CD DVD Medien zu autorisieren Ein besonderer Scan Mechanismus der so genannte Media Scanner berechnet einen eindeutigen Fingerprint der die Daten auf den einzelnen Medien kennzeichnet Jede Anderung an den Daten
43. Kontrolle ODER Klicken Sie im Fenster Portkontrolle Control auf den Link WiFi Kontrolle definieren rechts neben der Option WiFi Das folgende Fenster wird angezeigt SafeGuard PortProtector Management Console Datei Bearbeiten Ansicht Extras Eenster Hilfe a lx a ys 1 amp Policies WE TENEN Policies Neu Policies E integriert Alle zulassen Keine Protokolier ji Unbenannt 3 a gt Ge Xho oe Gi el Diese Berechtigungen gelten nur wenn der WiFi Eigenschaften Port mit Einschr nken definiert wurde Portkontroll Em Coe Allgemein wei e Liste Ger tekontrolle j ER u wiFi Verbindungsarten Aktion Log Alarm Speicherkontrolle p ares fi ki v v Fern Netzwerke Infrastruktur Kal amp Peer to Peer ad hoc vy ca WiFi Kontrolle Protokollierung Alarme Endbenutzer Meldungen Mediaverschl sselung Shadowing Optionen Benutzer Administrator UTIMACO amp Server localhost Das Fenster WiFi Kontrolle enth lt zwei Registerkarten die nachfolgend beschrieben werden Die Registerkarte Allgemein auf der Sie angeben welchen Verbindungsarten der Zugriff erlaubt ist und die Registerkarte Wei e Liste auf der Sie angeben welchen spezifischen Netzen der Zugriff erlaubt ist Wenn eine Verbindung auf keine der nachfolgend beschriebenen Weisen zugelassen wird ist sie gesperr
44. Log Tabelle aufgenommen werden soll Es werden nur Ger te angezeigt die zu diesen Gruppen geh ren Wenn Sie keinen Gruppennamen eingeben werden in der Log Tabelle Datens tze unabh ngig von der Gruppe angezeigt der sie angeh ren Nach Ger t In diesem Abschnitt k nnen Sie die Ger te ausw hlen die in die Log Tabelle aufgenommen werden sollen Sie k nnen sie durch Eingabe des Ger tenamens ganz oder teilweise oder der Vendor ID des Modells oder der Distinct ID ausw hlen Wenn Sie in diesem Abschnitt keine Auswahl treffen werden Datens tze f r alle Ger te angezeigt 5 5 2 4 Speicherger teeigenschaften Client Logs Die Speicherger te Abfrageeigenschaften werden auf der Registerkarte Speicherger te definiert Abfrageeigenschaften Unbenannt Client Logs E Zeit Allgemein Ger te C Wechselspeichergerate CO CD DVD Laufwerke O Disketten Speicherger te C Externe Festplattenlaufwerke O co ovo C Bandlaufwerke WiFi Links C Smart Disks C CD DVD Brenner V Nach Speichertypen Manipulation Administration Nach Gruppenname Name enthalt V Nach Ger t Medium Ger t Medium Felder enthalten Ger te durch ID identifizieren IRA Ger t nach Hersteller identifizieren Hersteller ausw hlen wechselmediengr e liegt zwischen 0 E Unbeschr nkt gl mB hee Speichern unter Speichern Auf hren Sch
45. Markieren Sie das Kontrollk stchen Enable Compartmentalization um die Funktion der Dom nenpartitionierung zu aktivieren mit der Sie Dom nenpartitionen auf Rollen aufteilen k nnen Dann k nnen Sie das Fenster die Dom nenpartitionen definieren ffnen wie nachfolgend beschrieben So ffnen Sie das Fenster Dom nenpartitionen definieren Klicken Sie auf Partitionen definieren Das Fenster Dom nenpartitionen definieren wird angezeigt Dom nenpartitionen definieren Q Schlie en Dieses Fenster zeigt eine Liste der vorhandenen Dom nenpartitionen Sie k nnen hier neue Dom nenpartitionen anlegen oder vorhandene Dom nenpartitionen bearbeiten bzw l schen Um eine vorhandene Dom nenpartition zu bearbeiten klicken Sie auf Bearbeiten 242 SafeGuard PortProtector 3 30 Benutzerhilfe So erstellen Sie eine neue Dom nenpartition 1 Klicken Sie auf Neu Das folgende Fenster wird angezeigt Zugelassene Container partitionieren x Name der Dom nenpartition aw vl Nicht in Dom ne 2 Geben Sie den Namen f r die Dom nenpartition oben im Fenster ein 3 Markieren Sie die Kontrollk stchen der Container die in dieser Dom ne enthalten sein sollen Dazu m ssen Sie evtl die Struktur erweitern um die auszuw hlenden Container sehen zu k nnen 4 Klicken Sie auf OK Diese Dom nenpartition wird im Feld Dom nenpartition im Fenster Rollenberechtigungen zur Auswahl angeboten wie in Definieren v
46. Mobile Pocket PCs C Smart Cards Administration Blackberry Gerate CO Content Security Ger te Palm OS Ger te C Nicht klassifiziert CO iPhones C Hardware Keylogger C Handys C Nach Gruppenname Name enthalt r Nach Gerat Ger t Felder enthalten Ger te durch ID identifizieren O Hersteller VID Modell PID Eindeutige ID 17 EA Ger t nach Hersteller identifizieren Speichern unter Speichern Auf hren Schlie en 175 SafeGuard PortProtector 3 30 Benutzerhilfe 5 5 2 3 1 Definieren von Ger te Abfrageeigenschaften Client Logs Auf der Registerkarte Ger te definieren Sie die anzuzeigenden Logdatens tze bez glich ihrer Ger teattribute Es werden nur Datens tze angezeigt die den von Ihnen hier festgelegten Kriterien entsprechen Hinweis Diese Registerkarte ist nur dann aktiviert wenn Sie Ger t im Abschnitt Umfang der Registerkarte Allgemein ausw hlen Im Folgenden werden die Abschnitte dieser Registerkarte beschrieben Nach Ger tetypen In diesem Abschnitt k nnen Sie den Ger tetyp festlegen der in die Log Tabelle aufgenommen werden soll Sie k nnen mehrere Typen ausw hlen Wenn Sie diesen Abschnitt nicht ausw hlen werden die Datens tze unabh ngig von dem Ger tetyp f r den sie gelten angezeigt Nach Gruppenname In diesem Abschnitt k nnen Sie den Namen ganz oder teilweise der Ger tegruppe eingeben die in die
47. Optionen die unter Allgemeine Policy Einstellungen definiert wurden oder legen Sie policy spezifische Definitionen fest Eigenschaften Sicherheit Portkontrolle es Kennwirter f r Client Deinstallation und Administration Ger tekontrolle m O Allgemeine Einstellungen verwenden Speicherkontrolle y Policy spezifische Einstellungen festlegen Dateikontrolle a Kennwort f r Administrationsaufgaben auf SafeGuard PortProtector Clients Kennwort ndern WiFi Kontrolle ET T Ein anderes Kennwort zum Deinstallieren von SafeGuard PortProtector Clients verwenden Kennwort ndern Fa En gt Protokollierung Client Sichtbarkeit auf Endpunkten gt Alarme Allgemeine Einstellungen verwenden Voll sichtbar Endbenutzer Meldungen Policy spezifische Einstellungen festlegen Mediaverschl sselung r und Ereignismeldungen Shadowing Optionen tor ausblenden und keine Ereignismeldunger Trennung aktiver Ger te die bei einer Policy nderung nicht mehr freigegeben sind wie folgt handhaben Allgemeine Einstellungen verwenden Schrittweise Policy spezifische Einstellungen festlegen i u U nicht sofort getrennt n sofort getrennt de Intervall fiir Policy Aktualisierung Legen Sie das Intervall fest in dem Clients die Policy aktualisieren wenn Policies vom Server aus d h nicht ber GPO oder Registry Dateien ver ffentlicht werde Allgemeine Eins
48. Organisation zugegriffen werden kann Au erdem kann der Zugriff darauf auch mit Hilfe des Access Utility von einem ungesch tzten Computer aus erfolgen 8 8 1 Erstellen einer verschl sselten CD DVD Safend Protector startet automatisch den Assistenten Verschl sselte Disk erstellen mit dem Sie ein verschl sseltes Volume erzeugen k nnen wenn Sie eine unverschl sselte CD DVD auf einem gesch tzten Computer brennen wollen Der Assistent wird auf einem der folgenden Wege gestartet Wenn ein Benutzer der ein CD DVD Medium gem der Policy verschl sseln muss ein leeres beschreibbares Medium in einem gesch tzten Computer einlegt wird ein Fenster angezeigt Klicken Sie auf Verschl sseln um die erste Seite des Assistenten Verschl sselte Disk erstellen anzuzeigen wie weiter unten in Schritt 3 beschrieben Alternativ wird wenn Sie mit der rechten Maustaste auf das Brenner Laufwerk klicken ein Men angezeigt W hlen Sie Safend Protector und dann Verschl sselte CD DVD erstellen um die erste Seite des Assistenten Verschliisselte Disk erstellen anzuzeigen 8 8 2 Erstellen und Verwenden einer verschl sselten CD DVD Mit dem Assistenten Verschl sselte Disk erstellen k nnen Sie ein verschl sseltes CD DVD Medium erstellen 306 SafeGuard PortProtector 3 30 Benutzerhilfe So ffnen Sie den Assistenten Verschliisseltes Volume erstellen Sie k nnen den Assistenten Verschl sselte Disk erstellen auf zwei Arten ffnen
49. Policies im Fenster Administration definiert siehe auch Zulassen Sperren nicht klassifizierter Ger te Durch diese Einstellungen wird festgelegt ob hier Gesperrt oder Zugelassen angezeigt wird 9 W hlen Sie bei Freigegebene Modelle die freigegebenen Modelle und bei Spezifische Ger tes die spezifischen Ger te aus die den zugelassenen Ger ten auf der Registerkarte Wei e Liste hinzugef gt werden sollen siehe auch Freigeben von Ger ten und WiFi Verbindungen 3 3 6 Schritt 6 Speicherkontrolle definieren Speicherger te sind normalerweise die Haupttr ger f r das Durchsickern von Informationen in einer Organisation Deshalb sind standardm ig alle Speichereinheiten gesperrt es sei denn Sie geben etwas anderes an Mit SafeGuard PortProtector k nnen Sie den Zugriff steuern und kontrollieren indem Sie vollen Zugang zulassen sperren oder nur schreibgesch tzten Zugang f r Ger te zulassen die als Speicherger te identifiziert wurden Dazu z hlen Wechselmedien wie Disk on Keys Digitalkameras etc sowie herk mmliche Ger te wie Diskettenlaufwerke CD DVD Laufwerke externe Festplatten und Bandlaufwerke F r Wechselspeicherger te k nnen Sie den Zugang auch auf organisatorisch verschl sselte Ger te beschr nken siehe SafeGuard PortProtector Speicherverschl sselung im Kapitel Einf hrung in SafeGuard PortProtector Hinweis Die Schreibschutz Option Schreibgesch tzt ist f r Bandlaufwerke nicht verf gbar Der Aspek
50. Policy Protokollierungen Alarme Endbenutzer Meldungen Verschl sselung und Policy Optionen Diese Definitionen werden sp ter in diesem Kapitel beschrieben Auf der rechten Seite dem Hauptteil des Arbeitsbereichs werden die verschiedenen Inhaltsarten angezeigt die davon abh ngen was Sie im Abschnitt Allgemein Sicherheit oder Einstellungen auf der linken Seite des Fensters ausgew hlt haben Wenn alle Fenster geschlossen sind ist der Arbeitsbereich leer Sie k nnen das Fenster Policies oder eine bestimmte Policy ffnen indem Sie auf eine der Startschaltfl chen Policies aj Neu oben rechts im Fenster klicken Weitere Informationen zum Policy Management finden Sie in Verwalten von Policies Weitere Informationen zum Definieren von Policies finden Sie in Schritt 3 Policy erstellen 44 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 Definieren von SafeGuard PortProtector Policies Workflow Im Folgenden finden Sie eine Ubersicht tiber den Workflow zum Definieren einer neuen Policy Jeder dieser Schritte verweist zu einem Unterabschnitt in dem eine detailliertere Beschreibung zu finden ist In diesem Workflow wird ein einfacher und klarer Vorgang zur Durchfiihrung dieser Schritte beschrieben Sie k nnen bei Bedarf von diesem Verfahren abweichen Schritt 1 Computer scannen und Port Ger te WiFi Nutzung erkennen Verwenden Sie SafeGuard PortAuditor um die Computer in Ihrem Netz zu scannen und so die Ger te und Wi
51. Policy auf einem Client im Kapitel Verwalten von Clients erl utert wie SafeGuard PortProtector Clients benachrichtigt werden ihre Policy zum fr hestm glichen Zeitpunkt ber die SafeGuard PortProtector Management Console zu aktualisieren Bei einem einzelnen spezifischen Client ist dies auch vom Host Computer aus m glich So aktualisieren Sie eine Policy vom Host Computer aus Klicken Sie auf der Registerkarte Allgemein im SafeGuard PortProtector Client Fenster auf Jetzt aktualisieren Wenn eine aktualisierte Policy gefunden wird wird eine Meldung Policy Updated angezeigt 8 5 2 Aufheben des SafeGuard PortProtector Schutzes auf einem Client Wie im Kapitel Verwalten von Clients erl utert k nnen Sie den SafeGuard PortProtector Schutz tempor r auf einem Client aufheben ohne die Anwendung deinstallieren zu m ssen Dazu erzeugen Sie in der Management Console ein Suspendierungskennwort das Sie dem Benutzer zur Verf gung stellen und das er dann zur Aufhebung des Schutzes eingibt Mit dieser Option k nnen Sie den Schutz f r bis zu einer Woche aufheben Im n chsten Abschnitt wird erl utert was auf Client Seite getan werden muss Dar ber hinaus kann der Systemadministrator selbst den Schutz ad hoc kurzzeitig nicht l nger als einen Tag aufheben Beide Optionen werden im Folgenden erl utert 8 5 2 1 Aufhebung des Schutzes durch den Benutzer So heben Sie als Benutzer den SafeGuard PortProtector Schutz auf 1 Klicken Sie auf der
52. PortProtector Client ignoriert w rden Hinweis Wenn Sie ein Ger t hinzuf gen das bereits zu einer anderen Ger tegruppe in dieser Policy geh rt und die Berechtigungen der Gruppen unterschiedlich sind gelten die mit mehr Berechtigungen Zum Beispiel Wenn die Gruppe Freigegebene Modelle die ein Speicherger t enth lt auf Zugelassen gesetzt ist und das spezifische Ger t auf Schreibgesch tzt gesetzt ist gilt die Berechtigung Zugelassen Log and Alarmeinstellungen werden ebenfalls von der Definition mit den meisten Berechtigungen bernommen 105 SafeGuard PortProtector 3 30 Benutzerhilfe Falls ein Ger t zu mehreren Gruppen geh rt und diese Gruppen dieselben Berechtigungen haben wird SafeGuard PortProtector die Gruppen willk rlich ausw hlen Wenn die Gruppen nicht dieselben Log und Alarmeinstellungen haben ist es nicht vorhersehbar welche Einstellungen angewendet werden Sobald Sie die der Gruppe hinzuzuf genden Ger te ausgew hlt haben klicken Sie auf N chste um mit Schritt 3 fortzufahren 3 4 4 3 Schritt 3 Best tigen Assistent f r das Hinzuf gen freigegebener Ger te Ger tekontrolle Integriert Alle zulassen Keine Protokollierung 1 Ger tedaten beschaffen A Gerate auswahlen E Best tigen lt i meine gruppe Nachstehend sehen Sie die aktualisierte Gruppe der Modelle berpr fen Sie sie und best tigen Sie dann Ihre Auswahl indem Sie auf Fertig stellen klicken Beschreibung Geratei
53. Registerkarte Allgemein im SafeGuard PortProtector Client Fenster auf Jetzt deaktivieren Das Fenster Schutz deaktivieren wird angezeigt Schutz deaktivieren x Um den Schutz von Safend Protector vor bergehend zu deaktivieren wenden Sie sich an Ihren Administrator und Fragen ihn nach einem Kennwort Hostname vuval2 safendga Safend com Kennwort eingeben I I I I jf Abbrechen 2 Geben Sie das Suspendierungskennwort ein das Sie vom Administrator erhalten haben und klicken Sie auf OK Es wird eine Meldung angezeigt die den Zeitraum der Aufhebung angibt Der SafeGuard PortProtector Schutz wird auf dem Host f r die vom Systemadministrator bei der Generierung des Suspendierungskennworts definierten Zeitraum aufgehoben Nach Ablauf dieses Zeitraums wird der Schutz automatisch wieder hergestellt 281 SafeGuard PortProtector 3 30 Benutzerhilfe 8 5 3 Anzeigen und Ausblenden von Dateimeldungen Wie weiter oben in diesem Kapitel erl utert werden Dateimeldungen immer dann angezeigt wenn ein Dateitransfer gesperrt ist oder eine Datei mit sensiblem Inhalt auf ein Speicherger t bertragen wird In manchen F llen k nnen diese Meldungen zu h ufig auftreten und so den Endbenutzer bei seiner laufenden Arbeit st ren Wenn SafeGuard PortProtector Client dies feststellt gem hartcodierter Definitionen wird die Anzeige der Dateimeldungen gestoppt und die folgende Meldung angezeigt i Hide file messages x Multipl
54. Schritt 10 Protokollierung definieren beschreibt wie Protokollierungseinstellungen fiir die aktuelle Policy definiert werden wie etwa die H ufigkeit mit der Logeintr ge von einem gesch tzten Endpunkt an SafeGuard PortProtector gesendet werden Schritt 11 Alarme definieren beschreibt die Auswahl der Ziele f r Alarme die von einem durch diese Policy gesch tzten Endpunkt stammen Schritt 12 Endbenutzer Meldungen definieren beschreibt die Definition der Meldungen die dem Endbenutzer vom SafeGuard PortProtector Client auf jedem Computer angezeigt werden Schritt 13 Mediaverschl sselung definieren beschreibt die Definition der Verschl sselungseinstellungen wenn die Policy eine Verschl sselung verlangt sowie das Verhalten des Endpunkts beim Versuch auf ein nicht verschl sseltes Ger t zuzugreifen und die Zugriffsautorisierung auf ein verschl sseltes Ger t wenn es nicht an das Organisationsnetz angeschlossen ist Schritt 14 Inhaltspr fung definieren beschreibt die Definition bestimmter Einstellungen die bei der Inhaltspr fung ben tigt werden z B ob f r als sensibel erkannte Dateien Alarme ausgegeben werden sollen Dieser Schritt braucht nur dann ausgef hrt zu werden wenn Sie SafeGuard PortProtector mit einer L sung zur Inhaltspr fung eines Drittanbieters integrieren Schritt 15 Einstellungen f r Datei Shadowing definieren beschreibt wie Sie SafeGuard PortProtector Einstellungen zur R ckverfolgung und zum Erfassen
55. Sie auf diese Schaltfl che klicken wird ein neues Fenster File Logs f r die aktuelle Auswahl in der Organisationsstruktur angezeigt eine Erl uterung der Organisationsstruktur finden Sie in Filtern nach Herkunft des Logdatensatzes Eg Server Logs Server Logs Wenn Sie auf diese Schaltfl che klicken wird ein neues Fenster Server Logs mit den Server Logs angezeigt Eine Beschreibung zu Client File und Server Logs finden Sie in Log Tabelle 5 2 2 Men s Einige der Men optionen in der Logs Welt sind speziell f r diese Welt Nachstehend finden Sie eine Beschreibung der einzelnen Men s und der Optionen 5 2 2 1 Men Datei Im Men Datei in der Logs Welt k nnen Sie andere Welt Fenster ffnen Abfragen verwalten Abfragen exportieren etc Ansicht Extras Fensl Bearbeiten Neu gt Policy Abfragen Client Logs Exportieren Server Logs Manueller Log Import Datei Logs Abmelden Beenden 156 SafeGuard PortProtector 3 30 Benutzerhilfe Das Men Datei enth lt in der Logs Welt folgende Optionen Option Neu Abfragen Exportieren Manueller Log Import Benutzerrolle ndern Abmelden Beenden Beschreibung ffnet ein Untermen ber das Sie ein neues Policy ein neues Client Log ein neues Server Log oder ein neues File Log Fenster ffnen k nnen Erm glicht Ihnen das Verwalten der Abfragen Exportiert die Abfrage in eine externe Datei Erm glicht
56. Sie die anzuzeigenden Logdatens tze bez glich ihrer Speicherger teattribute In der Log Tabelle erscheinen nur Datens tze die den von Ihnen hier festgelegten Kriterien entsprechen Im Folgenden werden die Abschnitte dieser Registerkarte beschrieben Nach Speichertypen In diesem Abschnitt k nnen Sie den Speicherger tetyp einschlie lich CD DVD Medien festlegen der in die Log Tabelle aufgenommen werden soll Sie k nnen mehrere Typen ausw hlen Wenn Sie diesen Abschnitt nicht ausw hlen werden die Datens tze unabh ngig von dem Speicherger tetyp f r den sie gelten angezeigt Nach Gruppenname In diesem Abschnitt k nnen Sie den Namen ganz oder teilweise der Speicherger tegruppe eingeben die in die Log Tabelle aufgenommen werden soll Es werden nur Ger te angezeigt die zu diesen Gruppen geh ren Wenn Sie keinen Gruppennamen eingeben werden in der Log Tabelle Datens tze unabh ngig von der Gruppe angezeigt der sie angeh ren Nach Ger t Medium In diesem Abschnitt k nnen Sie die Speicherger te oder CD DVD ausw hlen die in die Log Tabelle aufgenommen werden sollen Sie k nnen sie ausw hlen indem Sie den Ger tenamen ganz oder teilweise oder ein anderes Textfeld oder Vendor ID Modell oder Distinct ID oder bei CD DVD ihren Fingerprint eingeben Wenn Sie in diesem Abschnitt keine Auswahl treffen werden Datens tze f r alle Ger te die zu den Speicherger tetypen geh ren angezeigt 186 SafeG
57. Sie f r jeden Port an ob der Aktionstyp Zulassen Sperren oder Einschr nken ist indem Sie die entsprechende Option aus der Dropdown Liste im Men Aktion w hlen Die Bedeutung der einzelnen Optionen wurde zu Beginn dieses Abschnitts beschrieben Wenn Sie im vorangegangenen Schritt f r die USB FIREWIRE PCMCIA Ports Einschr nken gew hlt haben wird rechts neben der Dropdown Liste der Link perstebantrolle definieren angezeigt Das Fenster Ger tekontrolle kann ber diesen Link oder durch Auswahl der Schaltfl che Ger tekontrolle im Men Sicherheit ge ffnet werden Verwenden Sie eine dieser M glichkeiten um die Ger temodelle oder spezifische Ger te zu definieren denen Zugriff ber diesen Port gew hrt wird Weitere Informationen finden Sie in Schritt 5 Ger tekontrolle definieren Wenn Sie im vorangegangenen Schritt f r den WiFi Port Einschr nken gew hlt haben wird rechts neben der Dropdown Liste der Link Petite WiFi Control angezeigt Das Fenster WiFi Control kann ber diesen Link oder durch Auswahl der Schaltfl che WiFi Kontrolle im Men Sicherheit ge ffnet werden Verwenden eine dieser M glichkeiten um die zugelassenen WiFi Verbindungen zu definieren Weitere Informationen finden Sie in Schritt 5 Ger tekontrolle definieren Geben Sie f r jeden Port mit dem Kontrollk stchen Log an ob eine Portinitialisierung f r diesen Port protokolliert werden soll Wenn dieses Kontrollk stchen markiert ist
58. Sie fahren dann fort mit Schritt 6 Speicherkontrolle definieren Wenn Sie Einschr nken f r Alle Ger te w hlen legen Sie die Log und Alarmdefinitionen f r die verschiedenen Ger tetypen im Abschnitt Ger tetypen wie nachfolgend beschrieben fest 4 Wenn Sie Einschr nken f r Alle Ger tes gew hlt haben geben Sie an ob Hardware Keylogger in Schutz vor Hardware Keylogger in Kapitel 1 Einf hrung in SafeGuard PortProtector erl utert Zugelassen oder Gesperrt sind Sie k nnen zudem definieren ob die Identifizierung und oder Sperrung eines Hardware Keyloggers protokolliert und oder ob ein Alarm generiert werden soll Hinweis Wenn der SafeGuard PortProtector Client vermutet dass ein USB Hardware Keylogger an die Tastatur angeschlossen ist und Hardware Keylogger auf Gesperrt gesetzt sind ist auch die Tastatur gesperrt Empfehlen Sie dem Benutzer die Tastatur direkt an den Computer anzuschlie en um sie zu aktivieren Dar ber hinaus k nnen Sie den Speicher des SafeGuard PortProtector Client zur cksetzen so dass die Tastatur wieder wie gewohnt funktioniert siehe hierzu in Zur cksetzen von Tastaturen Tastatur Hubs freigeben in Kapitel 9 Endbenutzer Erfahrung Hinweis Wenn Sie Hardware Keylogger sperren werden sowohl USB als auch PS 2 Key Logger gesperrt Wenn SafeGuard PortProtector Client gegen PS 2 Key Logger sch tzt wird keine Benutzermeldung angezeigt Der Key Logger wird dennoch unbrauchbar da die von ihm protokolli
59. Sie in Clients Tabelle Organisationsstruktur und Nach Namen suchen Diese Registerkarten erscheinen im linken Fensterausschnitt Diese Registerkarten dienen als Filter f r die in der Clients Tabelle anzuzeigenden Datens tze Die Registerkarten werden in Filtern von Clients behandelt Client Eigenschaften Dieser Fensterausschnitt wird unter der Clients Tabelle angezeigt und enth lt die Eigenschaften des in der Clients Tabelle ausgew hlten Computers Weitere Informationen finden Sie in Fensterausschnitt Client Eigenschaften 209 SafeGuard PortProtector 3 30 Benutzerhilfe 6 3 Clients Tabelle Die Clients Tabelle zeigt Informationen zu den Clients die die in der Organisationsstruktur ausgew hlten Elemente der Organisation sch tzen Die Clients Tabelle zeigt folgende Spalten Spalte Computername Vollst ndiger Computername Status Software Version Angemeldeter Benutzer Dom ne Pfad Effective Policy EP EP Type EP aktualisiert 210 Beschreibung Der Name des Computers auf den sich die Spalten in der Zeile beziehen Der vollst ndige Name des Computers auf den sich die Spalten in der Zeile beziehen einschlie lich seiner Dom nenendung Served Y durch SafeGuard PortProtector gesch tzter Client oder Not Served nicht gesch tzt Die auf dem Computer installierte Version von SafeGuard PortProtector Wenn ein Benutzer angemeldet ist erscheinen hier sein
60. Sie umfassen auch Log and Alarmdefinitionen f r Ereignisse die nicht policy spezifisch sind wie etwa Manipulationsversuche Policy Aktualisierungen Schutzaufhebung am SafeGuard PortProtector Client etc Hinweis Das Modifizieren der allgemeinen Policy Einstellungen ist optional Wenn Sie SafeGuard PortProtector nur testen ist es zu diesem Zeitpunkt eigentlich unn tig Da die Phasen der Schritte genau so definiert sind wie f r die policy spezifischen Einstellungen folgen Sie bitte den nachstehenden Links zur Modifizierung der allgemeinen Policy Einstellungen Definieren der Protokollierungseinstellungen Definieren der Alarmeinstellungen Definieren von Endbenutzer Meldungen Definieren der Mediaverschl sselungseinstellungen Definieren der Einstellungen f r die Inhaltspr fung Definieren der Einstellungen f r Datei Shadowing Definieren der Optionseinstellungen 75 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 9 1 Definieren der allgemeinen Policy Einstellungen So definieren Sie die allgemeinen Policy Einstellungen 1 Klicken Sie im Men Extras auf Allgemeine Policy Einstellungen Das Fenster Allgemeine Policy Einstellungen wird angezeigt Allgemeine Policy Einstellungen ____ Einstellungen Max Cache Gr e Protokollierung reer A f a Cache Gr e berschreitet nicht 1024 gt MB Alarme Aktion wenn Cache maximale Gr e berschreitet Endbenutzer Meldungen gt gt gt Me
61. So f gen Sie eine neue Mediengruppe hinzu 1 Klicken Sie auf der Registerkarte Speicherkontrolle Wei e Liste im Bereich Freigegebene spezifische Ger te Medien auf die Schaltfl che Neu Ein Men wird angezeigt 2 W hlen Sie im Men die Option Mediengruppe Das Fenster Mediengruppe bearbeiten wird angezeigt ODER 1 Klicken Sie mit der rechten Maustaste im Abschnitt Freigegebene spezifische Ger te Medien auf die Registerkarte Wei e Liste Ein Men wird angezeigt 2 W hlen Sie in dem Men die Option Neue Gruppe w hlen Sie im Untermen die Option Medien 114 SafeGuard PortProtector 3 30 Benutzerhilfe Das Fenster Mediengruppe bearbeiten wird angezeigt Mediengruppe bearbeiten 0 x 4 Name Beschreibung all dl Gruppenmitglieder Yolumename Fingerprink Anmerkungen wahl l schen Medien hinzuf gen Einf gen 3 5 1 1 Hinzuf gen einer Mediengruppe Das Fenster Mediengruppe bearbeiten zeigt f r jedes Medium in dieser Gruppe folgende Informationen an Volumename Name des gescannten Volumes sofern eins zugeordnet wurde Typ CD oder DVD Fingerprint Der dem Medium vom Media Scanner zugewiesene Fingerprint siehe Appendix D CD DVD Media Scanner Gr e Gr e des Inhalts auf dem Medium Zeit Datum und Uhrzeit wann das Medium gescannt wurde Anmerkungen Eventuell von Ihnen hinzugef gte Anmerkungen So f gen Sie eine CD DVD Mediengruppe hinzu 1 Mit den Schal
62. Speicherung von GPOs in Dies ist ein schreibgesch tztes Feld das den Pfad angibt in dem SafeGuard PortProtector GPOs in Active Directory installiert werden Policies werden als GPOs gespeichert die sp ter zu Benutzern und Computern zugewiesen werden wie im Kapitel Verteilen von Policies beschrieben Dieses Feld gibt an wo diese GPOs gespeichert und von wo sie w hrend der Verteilung genommen werden Dom ne bei jedem Ver ffentlichen einer Policy ausw hlen beim Speichern Wenn Sie einen Dom nenwald haben markieren Sie diese Option damit Sie die Dom ne ausw hlen k nnen an die die Policies beim Speichern ver ffentlicht werden 7usammenf hren von Policies aktivieren Wenn Sie dieses Kontrollk stchen aktivieren werden auf Clients angewandte Policies mit denen zusammengef hrt die zuvor auf die Clients angewendet wurden Auf diese Weise werden die geltenden Definitionen erzeugt Eine Erl uterung finden Sie in Zusammenf hren von Policies im Kapitel Verteilen von Policies Wenn Sie dieses Kontrollk stchen sp ter deaktivieren wird die letzte Policy angewandt und nur diese Policy wird nach der n chsten Aktualisierung in Kraft sein Registry Dateien in einem freigegebenen Ordner Aktivieren Sie die Option Policies an freigegebenen Ordner ver ffentlichen um anzugeben dass SafeGuard PortProtector Policies in einem freigegebenen Ordner im Format einer Registry Datei gespeichert werden Diese Dateien k nnen dann mittels eine
63. Tages v SP SY Abfragen Aktualisierung alle Aus Shaktualsieren ii Q G ass lat a Er Zeit Bo Benutzer a p Port Ger te Loc d 5 7 2009 9 segevtestserver h Betriebssystem 5 Meine Firma Log Admin 5 7 2009 11 50 49 segevtestserver Policy aktualisier 5 A M E Safend com Log Port 5 7 2009 11 50 49 segevtestserver Port eingeschr r USB Nicht kle a Ww 7 Nicht in Dom ne Log Port 5 7 2009 11 50 49 segevtestserver Port eingeschr r USB Nicht kle E Log Admin 5 7 2009 11 48 57 segevtestserver Verschl sselung Sonstige Nicht etka Interne F 2 6 Ei 2 Fd F x 5 A a c S q o 4 e 5 5 2 i Ei Alle v LOS lo 3225 Benutzer administrator safendga Server localhost 155 SafeGuard PortProtector 3 30 Benutzerhilfe Das Fenster der Logs Welt enth lt die Abschnitte und Steuerungsschaltflachen die in bersicht ber die Anwendung im Kapitel Erste Schritte beschrieben wurden Die Startschaltfl chen und einige der Men optionen sind speziell f r die Logs Welt 5 2 1 Startschaltfl chen Die spezifischen Startschaltfl chen in der Logs Welt sind Client Logs Q lienttoss _ Wenn Sie auf diese Schaltfl che klicken wird ein neues Fenster Client Logs f r die aktuelle Auswahl in der Organisationsstruktur angezeigt eine Erl uterung der Organisationsstruktur finden Sie in Filtern nach Herkunft des Logdatensatzes File Logs Ofile Loss _ Wenn
64. The file contains one line for each medium and displays the following columns VolumeName name of the scanned volume if one has been assigned Type CD or DVD Size size ofthe content on the medium Time date and time when scan was performed ShortFingerprint a shorter version of the long fingerprint LongFingerprint the actual fingerprint used by SafeGuard PortProtector 327 SafeGuard PortProtector 3 30 Benutzerhilfe Note When viewing the file do not make any changes to it Modifying the file may later prevent adding the modified medium to the CD DVD Media White List 328 SafeGuard PortProtector 3 30 Benutzerhilfe 13 Appendix E Using SafeGuard PortProtector in a HIPAA Regulated Organization About This Appendix Recent security breaches and changes in the use of portable and storage technology have prompted the Department of Health and Human Services DHHS to require Health Insurance Portability and Accountability Act HIPAA regulated organization s i e covered entities to address data leakage problems In recognition of the data leakage threat DHHS has issued specific guidance for the use of portable mobile devices and offsite transport of EPHI such as laptops PDAs and USB drives HIPAA Security Guidance for Remote Use of and Access to Electronic Protected Health Information Department of Health amp Human Services Centers for Medicare amp Medicaid Services January 8 2007 The Pri
65. Type Control File Type Extensions Description Microsoft Office DOC Microsoft Word Document DOCX Microsoft Word Document DOCM Microsoft Word Document DOT Microsoft Word Template DOTX Microsoft Word Template DOTM Microsoft Word Template RTF Rich Text Format PPT Microsoft PowerPoint Presentation PPTX Microsoft PowerPoint Presentation PPTM Microsoft PowerPoint Presentation POT Microsoft PowerPoint Template POTX Microsoft PowerPoint Template POTM Microsoft PowerPoint Template PPS Microsoft PowerPoint Show PPSX Microsoft PowerPoint Show PPSM Microsoft PowerPoint Show PPA Microsoft PowerPoint Add In PPAM Microsoft PowerPoint Add In XLS Microsoft Excel Workbook XLSX Microsoft Excel Workbook XLSM Microsoft Excel Workbook XLSB Microsoft Excel Workbook XLT Microsoft Excel Template XLTX Microsoft Excel Template XLTM Microsoft Excel Template XLA Microsoft Excel Add In XLAM Microsoft Excel Add In MPP Microsoft Project Project 318 File Type Published Documents Web Pages Images Extensions MPT VSD VDX VSS VSX VST VTX PUB ONE ADP ADE PDF PS EPS HTML HTM MHT MHTML PHP HLP CHM ASP ASPX ASMX JHTML JSP JPG JPEG GIF BMP DIB PNG TIF TIFF MDI JNG MNG SafeGuard PortProtector 3 30 Benutzerhilfe Description Microsoft Project Template Microsoft Visio Drawing Microsoft Visio Drawing Microsoft Visio Stencil Microsoft Visio Stencil Microsoft Visio Template Microsoft Visio Template Microsoft Publish
66. Up Options Delete Properties Down 7 Block Policy inheritance Cancel Apply 4 Klicken Sie auf die Schaltfl che Hinzuf gen Das folgende Fenster wird angezeigt Add a Group Policy Object Link xl Domains OUs Sites all Look in users sates west Coast North America amp te z Domains OUs and linked Group Policy Objects 5 Sales Policy In diesem Fenster werden alle GPOs aufgefiihrt die derzeit mit dieser Organisationseinheit verkn pft sind 5 Wahlen Sie in diesem Fenster die Registerkarte Alle Es wird eine alphabetische Liste der GPOs angezeigt 6 Wahlen Sie aus der Liste die Policy GPO aus die Sie dieser Organisationseinheit hinzuf gen m chten und klicken Sie auf OK Sobald Sie eine Policy ausgew hlt haben wird sie im Fenster OU Properties auf der Registerkarte Group Policy und in der Organisationsstruktur im Fenster Active Directory Users and Computers angezeigt Wiederholen Sie diesen Vorgang f r jede dieser Organisationseinheit hinzuzuf gende Policy 145 SafeGuard PortProtector 3 30 Benutzerhilfe 7 Klicken Sie auf OK Diese Policies werden dann automatisch an die Organisationseinheiten Computer und Benutzer verteilt denen Sie sie zugewiesen haben In Policy aktualisiert im Kapitel Endbenutzer Erfahrung finden Sie eine Beschreibung der Endbenutzer Erfahrung bei der Verteilung einer neuen Policy 4 3 1 1 Anwenden von Policies pro Sicherheits gruppe Normalerweise w
67. W hlen Sie Logs aus Ordner importieren Klicken Sie auf Importieren 4 Wahlen Sie bei Ordner suchen den Ordner der die Logs enth lt und klicken Sie auf OK Die Logs erscheinen jetzt auf der Registerkarte Logs 204 SafeGuard PortProtector 3 30 Benutzerhilfe 6 Verwalten von Clients Uber dieses Kapitel Dieses Kapitel beschreibt die Clients Welt die als Zentralstelle f r das Ausf hren von Operationen auf den SafeGuard PortProtector Clients in der Organisation dient Dieses Kapitel enth lt die folgenden Abschnitte bersicht liefert eine kurze Beschreibung der Clients Welt Kurze bersicht ber die Clients Welt beschreibt das Hauptfenster der Clients Welt Clients Tabelle beschreibt die in der Clients Tabelle verf gbaren Information und wie die Tabelle verwaltet wird Fensterausschnitt Client Eigenschaften beschreibt die Informationen und Links im Fensterausschnitt Client Eigenschaften Filtern von Clients beschreibt die Struktur und deren Nutzung zur Anzeige der gew nschten Clients Exportieren der Clients Tabelle beschreibt das Exportieren der Clients Tabelle als XML Datei die von MS Excel f r Auswertungszwecke genutzt werden kann Vorbereiten des Client Deployments liefert Informationen dar ber was vor dem Deployment von SafeGuard PortProtector Clients auf Endpunkten zu tun ist Aktualisieren einer Policy auf einem Client beschreibt wie eine Policy auf einem Client aktualisiert wird
68. a HIPAA Regulated Organization This section provides specific SafeGuard PortProtector setting guidance for the policy user and administrator parameters within the SafeGuard PortProtector product Implementation Approaches describes the various implementation approaches suggested in this document Policy Settings describes the setting and configuration of SafeGuard PortProtector Policies for implementation within a HIPAA environment Other SafeGuard PortProtector Settings describes the setting and configuration of SafeGuard PortProtector Settings that are not a part of the policy according to the business objectives and the environment of the HIPAA organization HIPAA Security Rule SafeGuard PortProtector Feature Mapping provides additional advice on how SafeGuard PortProtector helps to meet HIPAA Security Rule requirements 13 2 1 Implementation Approaches The HIPAA Security Rule requires HIPAA regulated organizations to protect EPHI through a set ofrequired and addressable standards The HIPAA Security Rule Health Insurance Reform Security Standards February 20 2003 68 FR 8334 However the HIPAA Security Rule does not specify precisely how to implement these safeguards or what mechanisms must be employed Since each organization has its own unique business objectives there will be a variety of HIPAA implementations throughout the HIPAA regulated organization community In an effort to address these differing implementat
69. angezeigten Liste w hlen Sie die zu verkn pfenden Objekte aus 135 SafeGuard PortProtector 3 30 Benutzerhilfe Hinweis Mit SafeGuard PortProtector Domain Partitioning ist die Partitionierung der Gruppen Organisationseinheiten OU und Dom nen einer Organisation m glich so dass darauf nur von den SafeGuard PortProtector Console Administratoren zugegriffen werden kann die f r deren Bearbeitung verantwortlich sind Policies die nicht mit allen Organisationseinheiten in der Dom ne des Administrators verkn pft sind werden im Bereich Policy mit Organisationsobjekten verkn pfen des Fensters Policy und in Policy Abfragen nicht angezeigt und k nnen nicht ge ndert werden Wenn jedoch einige der OE mit denen eine Policy verkn pft ist in einer Dom nenpartition eines Administrators liegen andere aber nicht kann die Policy im schreibgesch tzten Modus erscheinen So suchen Sie nach einem bestimmten Objekt 1 Geben Sie im Textfeld den Namen des anzuzeigenden Computers oder Benutzers ein Sie k nnen mehrere Namen durch Komma Semikolon oder Leerzeichen getrennt eingeben 2 Markieren Sie das Kontrollk stchen Exakte bereinstimmung wenn Sie ein Objekt mit einem Namen anzeigen m chten der genau mit der von Ihnen im Textfeld eingegebenen Zeichenfolge bereinstimmt F r Computer m ssen Sie den vollst ndigen Computernamen eingeben einschlie lich der Dom nenendung Wenn Exakte bereinstimmung nicht markiert ist werden im Fens
70. attempted tampering The following alert options should be set in order to preserve the security functions provided by SafeGuard PortProtector 340 SafeGuard PortProtector 3 30 Benutzerhilfe Log all administrative events Logs all administrative actions and provides oversight of SafeGuard PortProtector administration Alert all tempering events Detects tempering attempts and ensures the integrity of end point protection controls SafeGuard PortProtector Administration SafeGuard PortProtector may be run by a single administrator or an organization may implement additional access control by defining additional administrators to a subset of administrative functions This is an implementation of role based access control and should be considered based on the organizations approach as defined in Preparation 3 Determine Administrative Roles Among the roles a HIPAA organization should consider are the following Log Reviewer Access to all logs and log functions without ability to edit policies Policy Administrator Access to edit and administer policies without ability to view logs Audit Read only access to administrators console without ability to perform any changes The setting of these roles should be based on the administration model and approach of the organization and the support needed for incident response and maintenance Refer to Part 1 of this whitepaper for more complete instructions for SafeGuard PortPr
71. auf dem Medium widerruft den Fingerprint so dass das Medium nicht mehr freigegeben ist Mit dieser Funktion k nnen Administratoren die Benutzer darauf beschr nken auf ihren CD DVD Laufwerken nur freigegebene Medien zu nutzen Der Administrator pflegt eine wei e Liste der freigegebenen Medien und kann darin Software Installations CDs mit genehmigtem Inhalt etc aufnehmen Der Zugriff auf diese autorisierten Medien erfolgt nur im schreibgesch tzten Modus um sicherzustellen dass sie nach der Autorisierung unver ndert bleiben Das folgende Diagramm zeigt wie Medien mit Fingerprints versehen und der wei en Liste f r CD DVD hinzugef gt werden CD DVD in Laufwerk e Schritt 1 einlegen Medien scannen f r Schritt 2 l Mediendatei Wei e Liste Gruppe f r Schritt 3 CD DVD Medien erstellen Medien aus Mediendatei Schritt 4 Zur Liste hinzuf cen Das Scannen von Medien das Erstellen von Fingerprints und das Erstellen einer Datei der gescannten Medien Schritte 1 und 2 ist in Appendix D CD DVD Media Scanner erl utert Die Schritte 3 und 4 werden nachstehend beschrieben Hinweis Wenn alle CD DVD Laufwerke mit Zugelassen zugelassen sind oder ein CD DVD Laufwerk benutzt wird das ber die wei e Liste zugelassen ist sind alle Medien zugelassen Wenn ein Medium das in der wei en Liste steht oder mit einem Fingerprint versehen wurde auf einem freigebeneben CD DVD Ger t benutzt wird sind darauf alle Aktione
72. autorun IA convenience feature of unction function function many operating systems is the ability to automatically execute a program upon the insertion of removable media This feature known as autorun or smart functionality is also a security threat and should be disabled by default Removable Encrypt log Encrypt log Storage devices present a clear storage f risk to the organization s Block smart Block smart function ssets At a minimum a SOX function rganization restrict the use of External HD Inner ypt log Encrypt log storage devices to approved devices aD Encrypt log Encrypt log Any data being written to Block Block unsupported storage devices should be formats encrypted providing further unsupported ie protection in the event the formats ai torage device is lost or stolen Floppy Read only log Read only log Drives Tape Drives Restrict log Restrict log 356 SafeGuard PortProtector 3 30 Benutzerhilfe Setting Standard SOX Aggressive SOX Rationale Approach Approach File Control WiFi Network Allow Log write only Allow Log Allow Log write only Restrict white list WPA encrypted networks log In order to support audit and investigation of security incidents involving EPHI log all files written to external storage devices Wireless networks present a clear risk to the control and protection of data Ata minimum a SOX regulated organi
73. bridging or unapproved data removal will require special permissions within SafeGuard PortProtector and access to auditing tools Document the incident response roles within your organization and the permissions and access required Maintenance those responsible for handling end user issues such as peripherals and network connectivity will require the ability to request modifications to object or user permissions Document maintenance roles within your organization and the permissions and access required 16 2 Implementing SafeGuard PortProtector in a FISMA Regulated Organization This section provides specific SafeGuard PortProtector setting guidance for the policy user and administrator parameters within the SafeGuard PortProtector product FISMA policy settings describes the setting and configuration of SafeGuard PortProtector Policies for implementation within a FISMA regulated environment Other SafeGuard PortProtector FISMA Settings describes the setting and configuration of SafeGuard PortProtector Settings that are not a part of the policy FISMA SafeGuard PortProtector Feature Mapping provides additional information on the FISMA Security Rule requirements 16 2 1 FISMA policy settings The following table is a guide for the SafeGuard PortProtector administrator in the setting and configuration of SafeGuard PortProtector for implementation within a FISMA regulated environment SafeGuard PortProtector provides organi
74. das Ereignis gilt Zeigt den Namen des Administrators an f r den das Ereignis gilt 201 SafeGuard PortProtector 3 30 Benutzerhilfe Spalte Beschreibung Event Diese Spalte zeigt den Ereignistyp an M gliche Werte License Admin Login Logout Policy Saved Policy Published Policy Deleted Suspension Password Generated Global Policy Settings Changed Administration Changed Backup Succeeded Backup Failed Datenbank Notl schen Schl ssel f r Zur cksetzen der Festplattenverschliisselung gew hrt Einmal Schliissel f r Festplattenverschl sselung gew hrt Schl ssel f r Wiederherstellung der Festplattenverschl sselung gew hrt Details Zeigt ggf weitere Details an wie etwa Lizenzalarmdetails oder den Namen einer Richtlinie bei einem Policy Ver ffentlichungsereignis etc 5 10 Anzeigen von Shadow Dateien Das Datei Shadowing bietet die M glichkeit der R ckverfolgung und Erfassung von Kopien von Dateien die zu von externen Speicherger ten verschoben wurden Dadurch erhalten Sie die einmalige Gelegenheit nicht nur Informationen ber die verschobenen Dateien sondern auch ber die Dateien selbst zu erhalten wie nachfolgend beschrieben Wenn SafeGuard PortProtector daf r definiert ist mit rollenbasierten Berechtigungen zu arbeiten k nnen nur Administratoren mit der Rollenberechtigung Shadow Dateien anzeigen siehe Rollenbasiert erweitert 202 SafeGuard PortProtector
75. das entsprechende Kontrollk stchen f r den gew nschten Typ Sie k nnen mehrere Optionen ausw hlen Wenn Sie das Kontrollk stchen Nach Dateityp deaktiviert lassen werden Logs f r alle Dateitypen in die Log Tabelle aufgenommen Nach Dateiname Markieren Sie dieses Kontrollk stchen wenn die Log Tabelle nur Logs f r Dateien enthalten soll deren Name eine bestimmte Zeichenfolge enth lt Geben Sie die Zeichenfolge im Feld Name enth lt ein Nach Dateierweiterung Markieren Sie dieses Kontrollk stchen wenn die Log Tabelle nur Logs f r Dateien eines bestimmten Typs nach ihrer Dateierweiterung enthalten sollt Geben Sie dann die Dateierweiterung im Feld Erweiterung ein Sie k nnen mehrere Dateierweiterungen angeben Trennen Sie diese mit Semikolon oder Doppelpunkt Nach Dateieigenschaften Klicken Sie auf dieses Kontrollk stchen wenn die Log Tabelle nur Dateien enthalten soll die ber die in diesem Abschnitt angegebenen Eigenschaften verf gen Dateigr e Zeit der Dateierstellung oder Zeit der Datei nderung Markieren Sie das gew nschte Kontrollk stchen f r jede der Eigenschaften und geben Sie bei Bedarf die Parameter an 183 SafeGuard PortProtector 3 30 Benutzerhilfe 5 5 3 3 Shadowing Eigenschaften Datei Logs Auf der Registerkarte Shadowing k nnen Sie Abfrageeigenschaften hinsichtlich Shadow Dateien definieren x r Nach Shadow Datei DEE 3 Datei Shadowing C Datei Shadow exis
76. dass Organisationseinheiten auf niedrigeren Ebenen angezeigt werden 2 W hlen Sie die gew nschten Objekte durch Aktivieren der entsprechenden Kontrollk stchen aus 3 W hlen Sie aus dem Men Objekttyp unterhalb der Organisationsstruktur ba die anzuzeigenden Objekttypen aus die Sie f r die ausgew hlten Objekte anzeigen m chten oder w hlen Sie Alle wenn Sie alle Typen anzeigen m chten Das bedeutet Wenn Sie beispielsweise eine bestimmte Organisationseinheit in der Struktur ausgew hlt haben k nnen Sie dann ber diese Men auswahl festlegen welche Mitglieder der Einheit angezeigt werden sollen nur Computer nur Benutzer etc Hinweis Beim Abfragen zugeh riger Policies enth lt das Men Objekttyp nur Computer und Benutzer 138 SafeGuard PortProtector 3 30 Benutzerhilfe 4 Klicken Sie unten auf der Registerkarte Organisationsstruktur auf LOS E Das Fenster zeigt jetzt eine Tabelle mit den ausgew hlten Strukturobjekten und allen dazu geh renden Objekten Die Objekttabelle enth lt eine Liste der Objekte die Ihren Filterkriterien entsprechen Jede Zeile enth lt die folgenden Spalten Kontrollk stchen Objektname Beschreibung Pfad Sie k nnen die Tabellenansicht folgenderma en ndern Sortieren Sie die Tabelle indem Sie auf den Spaltentitel der Spalte klicken nach der Sie sortieren m chten Klicken Sie nochmals auf die berschrift um zwischen auf und absteigender Reihenfolge zu
77. dem gesch tzten Computer gespeichert bis sie auf einen Server geleitet werden Hinweis Auf Laptops wird eventuell mehr Speicherplatz f r diesen lokalen Cache ben tigt da sie im Gegensatz zu Desktop Computern einen Gro teil der Zeit au erhalb des Organisationsnetzes benutzt werden Aktion wenn Cache maximale Gr e berschreitet ber die Einstellungen in diesem Abschnitt werden die Ma nahmen festgelegt die von SafeGuard PortProtector ergriffen werden sollen wenn der lokal Cache die im Bereich Max Cache Gr e definierte Gr e berschreitet Max Dateigr e Dieser Bereich legt die maximale Gr e der Shadow Dateien fest Dateien die diese Gr e berschreiten werden nicht kopiert So definieren Sie die Einstellungen f r das Datei Shadowing 1 Geben Sie im Abschnitt Max Cache Gr e im Feld Cache Gr e berschreitet nicht die maximale Gr e des lokalen Caches in MB an Wenn dieser Cache zu voll wird handelt SafeGuard PortProtector gem den oben beschriebenen Ma nahmen 2 Aktivieren Sie im Bereich Aktion wenn Cache maximale Gr e berschreitet eine der beiden folgenden Optionsschaltfl chen Benutzer d rfen Dateien auf Speicherger te schreiben Shadowing nicht verf gbar Wenn der oben definierte lokale Cache voll wird l sst SafeGuard PortProtector alle auf das Speicherger t geschriebenen Dateien zu Auf ein Speicherger t geschriebene Dateien immer sperren Wenn der oben de
78. der Basis einer vorhandenen Policy Wenn Sie bereits Policies ber die Management Server Console definiert haben k nnen Sie diese Definitionen als Grundlage f r eine neue Policy verwenden indem Sie die vorhandene Policy duplizieren oder sie unter einem anderen Namen speichern Auf der Basis einer Policy Vorlage Sie k nnen auch eine Policy Vorlage definieren die dann anstelle der Standardwerte als Grundlage f r neue Policy Definitionen dient siehe Policy Vorlage im Kapitel Administration 49 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 3 1 Erstellen einer neuen Policy Dieser Abschnitt erl utert wie Sie eine neue Policy von Grund auf erstellen So erstellen Sie eine neue Policy Klicken Sie in der Policies Welt oben rechts in der Registerkarte auf Neu m Bau ODER Klicken Sie in der Symbolleiste auf Neu ODER Klicken Sie in der Fensterleiste mit der rechten Maustaste auf eine Policy und w hlen Sie Neue Policy ODER W hlen Sie im Men Datei die Option Neu Die Registerkarte Eigenschaften wird mit einer neuen unbenannten Policy ge ffnet SafeGuard PortProtector Management Console la x Datei Bearbeiten Ansicht Extras Eenster Hilfe N i Vu P Q9 Policies W CE Vere Policies B Neu E Policies Integriert Alle zulassen Keine Protokollie Unbenannt 3 4 gt x Am Hyb E oe 2 Allgemein Geben Sie im oberen Teil dieser Seite die allgem
79. der Organisationseinheiten und Dom nen auch als Container bezeichnet einer Organisation m glich so dass darauf nur von den Safend Protector Console Administratoren zugegriffen werden kann die f r deren Bearbeitung verantwortlich sind Die Dom ne Ihrer Organisation kann gem ihrer Organisationsstruktur partitioniert werden und den einzelnen Dom nenpartitionen k nnen dabei verschiedene Safend Protector Administratoren zugeordnet werden Eine Beschreibung f r die Definition von Dom nenpartitionen finden Sie in Definieren von Dom nenpartitionen In Bezug auf Policies bedeutet das dass Administratoren nur solche Policies ndern k nnen die mit Organisationsobjekten verkn pft sind die zu der ihnen zugeteilten Dom nenpartition geh ren Policies die mit Organisationsobjekten verkn pft sind die nicht zu der dem Administrator zugewiesenen Dom nenpartition geh ren werden im Bereich Policy mit Organisationsobjekten verkn pfen des Fensters Policy und in Policy Abfragen nicht angezeigt und k nnen nicht ge ndert werden Es gibt jedoch eine Ausnahme hinsichtlich einer Policy die mit einigen der Container in der Dom ne eines Administrators verkn pft ist aber nicht mit anderen Das folgende Beispiel beschreibt diese Situation Beispiel Gerhard ist Administrator der Container A Bund C Das bedeutet dass sie zu der Dom nenpartition geh ren die seiner Rollenberechtigung zugeordnet sind Maria ist Administrator der Contain
80. detects tampering attempts and ensures the integrity of endpoint protection controls SafeGuard PortProtector Administration SafeGuard PortProtector can be run by a single administrator or an organization may implement additional access control by defining additional administrators to a subset of administrative functions This is an implementation of role based access control and should be considered based on the organizations approach as defined in Preparation 3 Determine Administrative Roles which can be found under Preparations Among the roles within the sensitive data environment the organization should consider are the following Log Reviewer Access to alllogs and log functions without the ability to edit policies Policy Administrator Access to edit and administer policies without the ability to view logs Audit Read only access to the administrators console without the ability to perform any changes The setting of these roles should be based on the administration model and approach ofthe organization and the support needed for incident response and maintenance Refer to Pre Requisites for Addressing FISMA Compliance Issues for more complete instructions about SafeGuard PortProtector implementation preparation Domain Partitioning Further access control granularity may be added with the SafeGuard PortProtector domain partitioning feature The role based access mechanism includes domain partitioning which al
81. devices Content Security Devices used to provide special security features such as strong authentication biometric identification and software licensing 10 2 Storage Device Types Protection of storage devices applies to all non blocked ports meaning that it applies to the specified storage device no matter to which port it is connected as long as that port is not defined as blocked Note Device Control for storage devices can be defined for any port type including for example parallel ports USB FireWire and PCMCIA ports Internally attached storage device are also controlled The following lists the storage built in device types that are supported by SafeGuard PortProtector Removable storage devices These devices range from storage only devices such as disk on key Memory Sticks and SD flash cards to devices that have a unique purpose but appear to the computer as a new storage drive such as portable digital music players digital cameras and PDAs External Hard Disks hard disk devices which are externally attached e g via USB CD DVD Drives both internally and externally attached Floppy Drives both internally and externally attached Tape Drives both internally and externally attached 317 SafeGuard PortProtector 3 30 Benutzerhilfe 11 Appendix C Supported File Types About This Appendix The following table lists the file types and extensions supported by SafeGuard PortProtector s File
82. die Registerkarten Organisationsstruktur und Suche nach Namen Dieser Abschnitt gilt nicht f r Server Logs 5 4 1 Filtern der Log Tabelle nach Organisationseinheit Die Organisationsstruktur ist ein Tool mit dem Sie die Organisationseinheiten bestimmen k nnen deren Logdatens tze in Client oder File Logs angezeigt werden sollen Zusammen mit Abfrage siehe Abfragen wird durch die Auswahl der Elemente in der Organisationsstruktur festgelegt welche Datens tze in der Log Tabelle angezeigt werden siehe Log Tabelle Dieser Abschnitt beschreibt wie die Organisationsstruktur gehandhabt und aus der Struktur heraus festgelegt wird welche Logs und Alarme in der Client oder Datei Log Tabelle angezeigt werden Wie bereits erw hnt erscheint die Struktur nicht im Fenster Server Log weil Server Logs per Definition nicht f r Computer bzw Benutzer gelten Die Registerkarte Organisationsstruktur zeigt die Dom ne n Organisationseinheiten sowie die Gruppe Nicht in Dom ne die alle Computer enth lt die derzeit zu keiner Dom ne geh ren wie in der folgenden Abbildung dargestellt Organisationsstruktur 1 DB com Z j safedev Safend com H y S98 AdminTeam SE Agent Team M8 Builtin M24 Computers M284 Domain Controller H V S8 IT Team M28 Lost ndFound M24 Server Roles M28 Users v 5 safendga Safend corr vl 28 Builtin V 29 Computers M 28 Domain Controllers V S8 LostandFound Hy SE Safend v 5
83. ein Netz manuell hinzuf gen m chten wird das folgende Fenster angezeigt Wifi Netz hinzuf gen x Freigegebene Wifi Netz m ssen den folgenden Parametern entsprechen V Netzwerkname V MAC Adresse IV Authentifizierung ffnen v I Datenverschl sselung Deaktiviert Anmerkungen l 111 SafeGuard PortProtector 3 30 Benutzerhilfe 3 4 7 1 1 Eingeben der WiFi Netzwerkdaten In diesem Fenster definieren Sie Parameter denen ein Netzwerk entsprechen muss um f r eine Verbindung freigegeben zu werden Sie k nnen ein Netzwerk anhand seines Namens seiner MAC Adresse oder seines Authentifizierungstyps identifizieren Nachdem Sie einen Netzwerk Authentifizierungstyp eingegeben haben k nnen Sie auch die Parameter f r die Datenverschl sselung angeben Es werden nur Netze freigegeben die alle Parameter erf llen Geben Sie im Fenster WiFi Netz hinzuf gen die Netzwerkdaten wie folgt ein So f gen Sie einen WiFi Link manuell hinzu 1 Markieren Sie im Fenster Wifi Netz hinzuf gen die Option Netzwerkname MAC Adresse oder Authentifizierung 2 Wenn Sie Netzwerkname markiert haben geben Sie den Namen ein und fahren Sie fort 3 Wenn Sie MAC Adresse markiert haben geben Sie die Adresse ein und fahren Sie fort 4 Wenn Sie Authentifizierung markiert haben k nnen Sie den Authentifizierungstyp aus dem Men ausw hlen Eventuell m chten Sie auch die Datenverschl sselung definieren
84. eines E Mail Anhangs oder einem komprimierten Windows Ordner 295 SafeGuard PortProtector 3 30 Benutzerhilfe Nach der Verschl sselung erscheint das volumeverschl sselte Ger t das an einen Computer angeschlossen ist auf dem Safend Protector l uft in Mein Computer G My Computer DAR File Edit View Favorites Tools Help gt gt 63 Search Folders EEK Address 3 My Computer j Folders B Desktop ES SD IBM PRELOAD C SP Voue 2 E lt IBM_PRELOAD C 3 DVD RAM Drive D Removable Disk E E S VOLUME 2 Devices with Removable Storage Control Panel Qe _ DVD RAM Drive D Removable Disk E g My Network Places ep Recycle Bin gt Symantec Client Security Other client 30611 Gat Safend Protector Client 3 3 3541 Safend Protector Client 3 3 3548 My Bluetooth Places Sie sehen 2 Symbole F r ein DOK Plattenvolume z erscheint unter Festplattenlaufwerke und ein abgedunkeltes Symbol erscheint unter Ger te mit Wechselspeicher F r ein externes Festplattenlaufwerk Beide Symbole erscheinen unter Festplattenlaufwerke So greifen Sie offline auf ein volumeverschl sseltes Ger t zu auf ungesch tztem Computer 1 Schlie en Sie das verschl sselte Ger t f r das ein Kennwort f r den Offline Zugriff festgelegt wurde an den ungesch tzten Computer an Auf diesem Laufwerk werden zwei Dateien angezeigt AcessSecureData exe und MyVolume ses Name Se Typ
85. einschr nken f r die sie verantwortlich sind Der Standardmodus nach der Installation ist Einzelne Rolle einfach 7 3 1 5 1 Einzelne Rolle einfach 7 3 1 5 1 1 Mit mehreren Management Consoles arbeiten Der Modus Einzelne Rolle ist darauf ausgelegt mehreren Management Consoles jeweils mit eigenem Benutzernamen und Kennwort den Zugriff auf den Management Server zu gestatten Dazu wird berpr ft ob der Benutzer ein Mitglied er Benutzergruppe ist die als Protector Administrators User Group definiert wurde Standardm ig ist diese Eigenschaft nach der Installation des Management Servers auf BUILTIN Administrators gesetzt Dadurch wird der Zugriff auf die lokalen Administratoren des Server Computers eingeschr nkt Wenn Sie mehrere Administratoren f r die SafeGuard PortProtector Management Console planen wird empfohlen dass Sie hier eine Benutzergruppe aus Ihrem Active Directory festlegen und die entsprechenden Administratoren als Mitglieder dieser Benutzergruppe hinzuf gen Hierf r benutzen Sie das Fenster Benutzergruppe ndern 237 SafeGuard PortProtector 3 30 Benutzerhilfe So ffnen Sie das Fenster Benutzergruppe ndern Klicken Sie im Abschnitt Benutzerverwaltung auf ndern Das folgende Fenster wird angezeigt Benutzergruppe ndern x W hlen Sie eine Benutzergruppe wie in Ihrem Active Directory definiert vorhandene Benutzergruppe w hlen BUILTIN Administrators Neue Benutzergr
86. empfohlene Option Sie ist f r die meisten Ger te geeignet weil sie auf g ngigen Konventionen f r Ger tedaten beruht die von den meisten Hardwareherstellern verwendet werden Freitext Identifizierung Hiermit k nnen Sie freien Text f r Informationen zum Ger t eingeben anhand derer SafeGuard PortProtector es identifizieren kann Verwenden Sie diese Option nur wenn Sie die Felder bei der Option Strukturierte Ger tedaten in den SafeGuard PortProtector Logs nicht sehen k nnen 107 SafeGuard PortProtector 3 30 Benutzerhilfe 3 4 5 1 1 Eingeben der Ger temodelldaten Geben Sie im Fenster Ger temodell hinzuf gen die Ger temodelldaten wie folgt ein So f gen Sie ein Ger temodell hinzu 1 W hlen Sie die Methode zur Ger teidentifizierung Structured Information empfohlen oder Freitext Identifizierung wie oben beschrieben 2 Wenn Sie die strukturierte Ger teidentifizierung gew hlt haben W hlen Sie im Men Port den Porttyp aus Hinweis F r FireWire und PCMCIA Ports stehen mehrere Optionen zur Verf gung Wenn Sie sich bez glich der richtigen Option nicht sicher sind sehen Sie im Windows Ger temanager oder in den SafeGuard PortAuditor Scanergebnissen nach 3 Tragen Sie die erforderlichen Daten in den folgenden Feldern ein Ger tebeschreibung erforderlich Ger tedaten optional Hersteller Hersteller ID erforderlich Modell Produkt ID erforderlich Hinweis Die Hersteller ID VID und Prod
87. es Ihnen Ihre Log Dateien in organisierter Form zu speichern Sie k nnen entweder Bestimmte Dateien importieren oder Logs aus Ordner importieren Einem SafeGuard PortProtector Administrator k nnen mehrere Rollen zugewiesen werden um die verschiedenen Dom nenpartitionen zu definieren f r die er verantwortlich ist Nachdem sich ein solcher Administrator angemeldet hat wird automatisch ein Auswahlfenster angezeigt in dem er die entsprechende Rolle f r seine Arbeit ausw hlen kann Anmerkung Eine Benutzerrolle definiert die Funktionen Organisationseinheiten und Dom nen einer Organisation auf die ein SafeGuard PortProtector Administrator zugreifen kann siehe auch Definieren von Rollen ber die Option Benutzerrolle ndern kann ein solcher Administrator von dieser Rolle jederzeit zu einer anderen ihm zugewiesenen Rolle wechseln Meldet den aktuellen Benutzer von der Management Console ab Meldet den aktuellen Benutzer ab und schlie t die SafeGuard PortProtector Management Console 5 2 2 2 Men Bearbeiten Das Men Bearbeiten ist in der Logs Welt deaktiviert 157 SafeGuard PortProtector 3 30 Benutzerhilfe 5 2 2 3 Men Ansicht ber das Men Ansicht k nnen Sie das Fenster Logs aktualisieren das eine Liste Ihrer Logs anzeigt und den Fortschritt von Client Tasks anzeigen lassen Extras Hilfe Fenster Aktualisieren Autom Aktualisieren Aus Alle 10 Minuten Client Tasks Al
88. es die Policy des Endpunkts zul sst kann der Endbenutzer auf organisatorisch verschl sselte Ger te auf firmenfremden Computern mit Hilfe des von ihm festgelegten Kennworts f r den Offline Zugriff Entschl sselung zugreifen Bis der Endbenutzer das Kennwort eingegeben hat kann nur auf das Offline Access Utility auf dem Ger t zugegriffen werden welches das Dienstprogramm zur Eingabe des Kennworts ist So greifen Sie offline auf ein partitionsverschl sseltes Ger t zu auf ungesch tztem Computer 1 Schlie en Sie das verschl sselte Ger t f r das ein Kennwort f r den Offline Zugriff festgelegt wurde an den ungesch tzten Computer an Das folgende Windows Fenster Mein Computer wird angezeigt CE _ic1x Datei Bearbeiten Ansicht Favoriten Extras ay Q zur ck P A suchen gt Ordner i x 19 Mr Adresse gt GA zl Wechseln zu Name rife Typ Ge ndert am Attribute F OffinenccessUkiity exe 5 352 KB Anwendung 10 07 2008 17 54 A Beschreibung Safend Protector Home Utility Firma Safend Ltd Dateiversion 3 3 32019 0 Erstellt am 5 22 MB 3 Arbeitsplatz Hinweis L schen Sie den Container der verschl sselten Dateien nicht vom Wechselspeicherger t 300 SafeGuard PortProtector 3 30 Benutzerhilfe 2 Doppelklicken Sie im Windows Fenster Mein Computer auf OfflineAccessUtility exe um das Utility auszuf hren Das folgende Fenster wird angezeigt A SafeGuard PortProtector Offline
89. folgenden Schritten ffnen des Fensters Objekt ausw hlen beschrieben in ffnen des Fensters Objekt ausw hlen Filtern von Objekten und Ausw hlen von Objekten f r die Policy Verkniipfung beschrieben in Filtern und Verkn pfen von Objekten Einschranken der Policy auf Benutzer Computer beschrieben in Einschr nken der Policy auf Benutzer Computer 132 SafeGuard PortProtector 3 30 Benutzerhilfe Die Verkn pfung einer Policy mit Organisationsobjekten erfolgt im Fenster Objekt ausw hlen auf das Sie ber die Registerkarte Properties der Policy zugreifen Im Fenster Objekt ausw hlen werden Organisationsobjekte angezeigt aus denen Sie die gew nschten Objekte ausw hlen k nnen In diesem Fenster k nnen Sie die Organisationseinheiten so filtern dass die Liste der Objekte aus der Sie die verkn pften Objekte ausw hlen Ihren Anforderungen entspricht wenn Sie zum Beispiel eine Policy mit Benutzern in einer bestimmten Dom ne verkn pfen m chten ist es nicht notwendig andere Dom nen oder Computer in der Dom ne anzuzeigen Hinweis Bevor mit der Verkn pfung begonnen wird m ssen Sie Policies direkt vom Server an die Clients ver ffentlichen im Fenster Administration w hlen siehe Ver ffentlichungsmethode im Kapitel Administration 4 2 3 1 ffnen des Fensters Objekt ausw hlen Das Fenster Objekt ausw hlen wird ber die unten gezeigte Registerkarte Eigenschaften der Policy ge ffnet SafeGuard PortProtec
90. folgt ein So f gen Sie ein spezifisches Ger t hinzu 1 W hlen Sie die Methode zur Ger teidentifizierung Strukturierte Ger tedaten empfohlen oder Freitext Identifizierung wie oben beschrieben 2 Wenn Sie die strukturierte Ger teidentifizierung gew hlt haben W hlen Sie im Men Port den Porttyp aus Hinweis F r FireWire und PCMCIA Ports stehen mehrere Optionen zur Verf gung Wenn Sie sich bez glich der richtigen Option nicht sicher sind sehen Sie im Windows Ger temanager oder in den SafeGuard PortAuditor Scanergebnissen nach Tragen Sie die erforderlichen Daten in den folgenden Feldern ein Ger tebeschreibung erforderlich Ger tedaten optional Hersteller Hersteller ID erforderlich Modell Produkt ID erforderlich Hinweis Die Hersteller ID VID und Produkt ID PID k nnen Sie in den SafeGuard PortAuditor Scanergebnissen auf einem Aufkleber auf dem Produkt selbst oder im Windows Ger temanager finden 109 SafeGuard PortProtector 3 30 Benutzerhilfe Verwenden Sie die Option Freitext Identifizierung nur wenn die Felder Hersteller und Modell in dem Log f r das in die Ausnahmen aufzunehmende Ger t leer sind Im Feld Freitext Identifizierung k nnen Sie die Hardware ID des Ger ts eingeben 3 4 6 Weitere Einstellungen f r Ger tegruppen Nachdem Sie die gew nschten Ger te zu einer Gruppe hinzugef gt haben m ssen Sie noch einige Einstellungen definieren Log and Alarmeinstell
91. geben Sie den Computernamen in dem Feld ein Wenn Sie mehrere Computernamen eingeben m chten trennen Sie sie mit einem Doppelpunkt oder Semikolon ab Klicken Sie auf Ausf hren Die Erfassung der Logs von den ausgew hlten Computern beginnt und das Fenster Verlauf der Client Tasks wird angezeigt Sie k nnen den Verlauf des Aktualisierungsvorgangs in diesem Fenster verfolgen siehe auch Verfolgen des Fortschritts von Client Tasks 6 9 2 Erfassen von Logs von zuvor ausgew hlten Clients Diese Option f hrt dieselben Aktionen aus wie im vorangehenden Abschnitt beschrieben Sie erm glicht es Ihnen aber die Clients f r die Logerfassung vorher auszuw hlen So erfassen Sie Logs durch Klicken mit der rechten Maustaste 1 2 Wahlen Sie in der Organisationsstruktur die gew nschten Knoten aus Klicken Sie mit der rechten Maustaste Ein Men wird angezeigt W hlen Sie im Men die Option Retrieve Latest Info Die Erfassung der Logs von den ausgew hlten Computern beginnt und das Fenster Verlauf der Client Tasks wird angezeigt Sie k nnen den Verlauf des Aktualisierungsvorgangs in diesem Fenster verfolgen wie in Verfolgen des Fortschritts von Client Tasks erl utert 221 SafeGuard PortProtector 3 30 Benutzerhilfe 6 10 Verfolgen des Fortschritts von Client Tasks Wenn die Anwendung Tasks ausf hrt wie etwa das Erfassen von Logs oder das Aktualisieren von Policies k nnen Sie den Verlauf dieser Tasks im Fenster Client Tas
92. gt Optionen Microsoft Outlook vy Verschl sselung vy Computer Aided Design CAD vy THR HHH CEE FrameMaker vy Dateitypen Aktion Log Alarm E Andere Dateitypen vi m Benutzer Administrator UTIMACO Server localhost Das Fenster Dateikontrolle enth lt zwei Registerkarten Die Registerkarte Schreiben auf der Sie die Berechtigungen f r auf Speicherger te geschriebene Dateitypen festlegen und die Registerkarte Lesen auf der Sie die Berechtigungen f r von Speicherger ten gelesene Dateitypen festlegen In diesem Fenster geben Sie auch f r jeden Dateityp an ob Sie eine Protokollierung oder Alarmausl sung f r die Dateien des jeweiligen Typs w nschen Eine Liste der unterst tzten Dateitypen finden Sie im Anhang unter Supported File Types 3 3 7 1 Dateikontrolle Registerkarte Schreiben Der obere T eil dieses Fensters enth lt eine Liste der unterst tzten Dateitypen F r jeden Dateityp k nnen Sie ber das Men Aktion Schreib Berechtigungen festlegen Mit den Kontrollk stchen k nnen Sie Log and Alarmeinstellungen ausw hlen Im unteren Teil des Fensters k nnen Sie Berechtigungen sowie Log und Alarmeinstellungen f r andere Dateiformate festlegen die nicht unter den unterst tzten Dateitypen aufgef hrt sind Fine Beschreibung f r die Definition der Finstellungen in diesem Fenster finden Sie in Definieren der Dateikontrolle
93. human interface devices such as keyboards and mice Printers Allow Allow Although a printer can be a data leakage source printing is a common user function within most organizations Compared to storage devices and PDAs printers have a much lower capacity to leak large amounts of EPHI This risk can be mitigated by physical 336 SafeGuard PortProtector 3 30 Benutzerhilfe Setting Standard HIPAA Aggressive HIPAA Rationale Approach Approach and administrative controls PDA Allow Log Restrict White List Log PDAs mobile phones Mobile Imaging devices such Phones as scanners and Audio Video devices such as Imaging IMP3 players present a Audio clear risk to the control and protection of EPHI video me Devices At a minimum a HIPAA organization should log any such behavior A more aggressive setting to not only log the behavior but restrict use to an approved list of devices such as company issued PDAs Network Allow Adapters Allow Network adapters allow the PC to be connected to a network This is a common configuration and should not be blocked or logged Smart Cards Allow Allow Smart Cards are common as an authentication device They do not pose a reasonable threat to EPHI data Content Allow security devices Allow Content security devices monitor the content of the flow of data to and from the e
94. ist in Verschl sseln eines Ger ts erl utert Eine Policy kann auch autorisierten Benutzern mittels Entschl sselung Zugriff auf ein organisatorisch verschl sseltes Ger t auf einem organisationsfremden Computer gew hren Dies ist in Offline Zugriff auf verschl sselte Ger te erl utert Hinweis Organisatorisch verschl sselte Wechselspeicherger te und externe Festplatten k nnen auf jedem durch SafeGuard PortProtector gesch tzten Computer der Organisation genutzt werden auch auf denen deren geltende Policy keine Verschl sselung erfordert 8 7 1 Verschl sseln eines Ger ts Wie zuvor erw hnt k nnen Wechselspeicherger te und externe Festplatten verschl sselt werden unabh ngig davon ob die Endpunkt Policy dies verlangt oder nicht Falls die Policy eine Verschl sselung fordert und ein unverschl sseltes Ger t an den Computer angeschlossen wird wird das Ger t entweder gesperrt oder erh lt nur Lesezugriff je nach Policy Einstellungen siehe Mediaverschl sselung definieren im Kapitel Definieren von Policies Um das Ger t voll nutzen zu k nnen muss es von einem durch SafeGuard PortProtector gesch tzten Computer in Ihrer Organisation verschl sselt werden Wenn ein unverschl sseltes Ger t angeschlossen wird erscheint ein Fenster das den Benutzer dar ber informiert und ihn auffordert das Ger t zu verschl sseln 287 SafeGuard PortProtector 3 30 Benutzerhilfe SafeGuard PortProtector SOPHOS Ein Ger t versu
95. key elements of the upcoming SOX 404 compliance project Careful consideration of these elements can help an organization avoid several common pitfalls and increase its efficiency in the SOX 404 compliance effort 348 SafeGuard PortProtector 3 30 Benutzerhilfe Consideration 1 Control Objectives Common Objectives of Information and Related Technology COBIT is an internal control framework used as a guide by external auditors to review the effectiveness of the controls on your internal financial systems It is important to remember that COBIT is a guide and can be tailored to meet your business objectives by choosing appropriate control objectives and compensating controls where applicable Work with your external audit team to develop the appropriate set of control objectives for your organization As the COBIT and the audit process can seem foreign to many within the IT department the addition of a Certified Information System Auditor CISA to your internal team overseeing the external audit can create efficiencies in your SOX 404 compliance project Instructions Work with external audit team to develop an appropriate set of control objectives Review reasonableness and completeness of proposed control objectives Add a Certified Information System Auditor CISA to your internal team working with the external auditors Consideration 2 Policies and Procedures A security policy is a statement of management s intent for pr
96. klicken Sie auf Aktualisieren um den aktualisierten Status anzuzeigen 225 SafeGuard PortProtector 3 30 Benutzerhilfe Hinweis Die Option Client Status zur cksetzen ist nur f r Served Clients aktiviert Hinweis Sie k nnen in der Clients Tabelle mehrere Clients f r das Zur cksetzen ausw hlen Wenn Sie in der Organisationsstruktur ein Objekt ausw hlen wie etwa eine Organisationseinheit oder eine Dom ne werden alle zu diesem Objekt geh renden Clients zur ckgesetzt 4 Klicken Sie in der Symbolleiste auf Aktualisieren Der Client Status wird aktualisiert und Not Served Clients die zuvor als Served erschienen werden jetzt mit ihrem richtigen Status Not Served angezeigt Hinweis Zur ckgesetzte Clients werden wieder als Bedient angezeigt sobald sie mit dem Server kommunizieren 6 13 L schen von nicht in der Dom ne befindlichen Clients Wie zuvor erl utert kann die Organisationsstruktur Clients enthalten die nicht mehr zu einer der Dom nen in der Organisationsstruktur geh ren und in der Struktur unter Not in Domain erscheinen Einige dieser Clients sind m glicherweise nicht mehr relevant und Sie m chten sie vielleicht aus der Struktur l schen Sie k nnen entweder alle nicht in der Dom ne befindlichen Clients sowohl Served als auch Not Served oder nur bestimmte Clients l schen Hinweis Ein Client wird als Not in Domain hinzugef gt sobald er mit dem Server kommuniziert und festgestellt wird
97. lokal auf dem Endpunkt zu speichern und sie nie an den Management Server zu senden 3 Klicken Sie im Abschnitt Intervall f r Logtransfer auf die Optionsschaltfl che Policy spezifische Einstellungen festlegen 4 W hlen Sie eine der folgenden Optionsschaltfl chen Logs senden alle um Logs periodisch zu senden Geben Sie die Anzahl und die Einheit f r das gew nschte Intervall an Logs sofort senden um Logs sofort beim Auftreten eines Ereignisses zu senden 78 SafeGuard PortProtector 3 30 Benutzerhilfe Hinweis Achten Sie bei der Konfiguration des Log Transferintervalls besonders darauf dass Ihr Netz und die Endpunkte nicht durch berm iges Versenden von Logs belastet werden Beachten Sie Folgendes Die Anzahl der Endpunkte in Ihrem Netz Die Anzahl der erwarteten Ereignisse von den einzelnen Endpunkten Client und File Logs Der Bedarf an Echtzeit Logdaten in der Management Console W hrend der Installation wird das Standard Logintervall auf 90 Minuten gesetzt Bei gro angelegten Deployments wenden Sie sich bitte an den Sophos Support um Ihre Einstellungen zu optimieren 5 10 11 Klicken Sie im Abschnitt Zeit f r Logtransfer einschr nken auf die Optionsschaltfl che Policy spezifische Finstellungen festlegen Markieren Sie das Kontrollk stchen Log Versand nur zwischen und geben Sie den gew nschten Zeitrahmen f r das Versenden der Logs ein W hlen Sie die Anzahl der Tage nach deren A
98. protects PortProtector policies under digital and non digital provides built in Storage Control media during transport media encryption define which outside of controlled areas capabilities based on devices should be and documents where AES 256 bit encrypted or use appropriate activities encryption the built in associated with the Permissions canbe FISMA policy transport ofthe media set to limit use of with encrypted devices to recommended organizational pre configured computers only or settings which by allow use outside of default encrypts the network all storage offline with devices password SI 4 2 4 Information System SafeGuard To set logging 5 Monitoring Tools and PortProtector and alert levels for Techniques The includes extensive administrative organization employs logging alerting events open the tools and techniques to and shadowing Administration monitor events on the capabilities which window and information system detect notify select Logs amp attacks and provide administrators of Alerts identification of any security unauthorized use of the incidents and the To set logging for system content of data security incidents copied to removable Modify both storage devices security policies and Global Policy Settings as needed SI 5 1 Security Alerts and SafeGuard In security Advisories The PortProtector policies click the organization employs security policies End User Messages
99. sselung in den algemeinen Policy Einstellungen oder legen Sie policy spezifische Eigenschaften I verschl sselungseinstellungen fest Portkontrolle Nutzung verschl sselter Ger te Ger tekontrolle Allgemeine Einstellungen verwenden Zugriff auf ungesch tzten Computern nicht zulassen Policy spezifische Einstellungen festlegen gt gt Speicherkontrolle gt gt Dateikontrolle E Benutzer d rfen auf verschl sselte Ger te an unverschl sselten Computern zugreifen nach Festlegung eines Ger tekennworts WiFi Kontrolle pm auf die verschl sselten Ger te an diesem System zugreifen zu k nnen ist ein Passwort erforderlich Diese Option ist nur verf gbar wenn nn _______ Ger te Volume Verschl sselung als Verschl sselungsmethode ausgew hlt worden ist Anmerkung Shadowing von Dateien au erhalb der Organisation ist nicht m glich pe eratokelliering Unverschl sselte Ger te Alarme Wie folgt vorgehen wenn versucht wird ein unverschl sseltes Ger t zu lesen und die Policy eine Verschl sselung verlangt Endbenutzer Meldungen Allgemeine Einstellungen verwenden Schreibgesch tzten Zugriff f r dieses Ger t freigeben Mediaverschliisselung Policy spezifische Einstellungen festlegen Shadowing Schreibgesch tzten Zugriff f r dieses Ger t freigebe Optionen Ger t sperre Verschl sselungsmethode welche Verschl sselungsmethode soll f r externe Speicherger
100. such as MP3 players present a clear risk to the control and protection of data and networks Organizations must ensure that any use of PDAs or Mobile phones supports encryption of sensitive information Access to such devices should be restricted to an approved list of devices such as company issued PDAs and such access should be logged Network Adapters Allow Allow Network adapters allow the IPC to be connected to a network This is a common configuration and should not be blocked or logged Smart Cards Allow Allow Smart Cards are common as an authentication device They do not pose a reasonable threat to the organization s assets 355 SafeGuard PortProtector 3 30 Benutzerhilfe Setting Standard SOX Aggressive SOX Rationale Approach Approach Content security devices Allow Allow Content security devices Imonitor the content of the flow of data to and from the endpoint If such devices are present they are part of a solution to enforce security and should not be blocked at the endpoint Unclassified devices Block Log Block Log Unclassified devices are any devices that are not otherwise specified These should not turn up very often At a minimum there connection should be logged An aggressive setting would block access to these devices Storage Control REN Block autorun Block
101. temodelle und spezifische Speicherger te sowie auch f r WiFi Verbindungen angegeben Dabei k nnen Sie festlegen ob sie zugelassen gesperrt oder eingeschr nkt wie f r Ger te oder mit schreibgesch tztem Zugriff zugelassen sind Eine Policy kann auch Hardware Keylogger sperren die an einen USB oder PS 2 Port angeschlossen wurden Hardware Keylogger sind Ger te die in feindlicher Absicht von Dritten zwischen eine Tastatur und den zugeh rigen Hostcomputer geschaltet wurden um Tastatureingaben zu protokollieren Mit Ihrer Policy k nnen Sie festlegen ob Hardware Keylogger gesperrt werden sollen wenn sie von SafeGuard PortProtector entdeckt werden SafeGuard PortProtector Policies k nnen auch f r jeden Port jedes Ger t jedes Speicherger t und jeden WiFi Anschluss definieren ob die Aktivit ten wie etwa Anschlie en oder Entfernen eines Ger ts protokolliert werden und ob diese Aktivit ten einen Alarm ausl sen Logs und Alarme werden verschl sselt auf dem SafeGuard PortProtector Management Server gespeichert und k nnen in der Logs Welt angezeigt werden wie in Kapitel 5 Anzeigen von Logs beschrieben Alarme werden sofort an vordefiniert Ziele gesendet und k nnen auch in der Logs Welt angezeigt werden Die Dateitypkontrolle bietet eine weitere Ebene f r die berwachung der Aktivit ten in Ihrer Organisation indem Sie eine versteckte Kopie der auf Wechselmedien bzw CD DVD geschriebenen oder davon gelesenen Dateien kontro
102. the use of the device For assistance contact the System Administrator 8 1 3 Speichergerat gesperrt Es wird eine Meldung angezeigt wenn versucht wird ein Speicherger t anzuschlie en f r das weder Typ noch Modell noch das spezifische Ger t freigegeben sind x SONY DYD RW DRU 7104 x Company policy prohibits the use of the storage device For assistance contact the System Administrator POA 1 39PM 8 1 4 Datei gesperrt Es wird eine Meldung angezeigt wenn die bertragung einer Datei aufgrund der Dateikontrolleinstellungen gesperrt ist G check doc x Company policy prohibits copying this file from to this device The file has been blocked Hinweis Diese Meldung wird auch angezeigt wenn eine Datei gesperrt ist weil die maximale Cache Gr e berschritten wurde 8 1 5 Dateitransfer Warnung Es wird eine Meldung angezeigt wenn eine Datei mit sensiblem Inhalt eine Datei die einer Inhaltspr fung unterzogen wurde auf ein Speicherger t geschrieben wird A G check doc x Company policy prohibits copying this file to this device enf SEO 11 29AM 275 SafeGuard PortProtector 3 30 Benutzerhilfe 8 1 6 Schreibgesch tztes Speicherger t Es wird eine Meldung angezeigt wenn versucht wird ein Speicherger t anzuschlie en das auf Read Only Zugriff gesetzt wurde Diese Meldung besagt dass Sie von diesem Speicherger t lesen aber nicht d
103. und umgekehrt i Policy Updated new Safend security policy has been applied on your computer This may have changed your device access permissions For assistance please contact the System Administrator POA 1 39Pm 276 SafeGuard PortProtector 3 30 Benutzerhilfe 8 1 10 Unverschl sseltes Ger t angeschlossen Ger t verschl sseln Sobald ein unverschl sseltes Ger t angeschlossen wird und die Policy eine Verschl sselung fordert wird ein Fenster angezeigt ber dieses Fenster kann das Ger t verschl sselt werden wie in Verschl sselung und Entschl sselung von Wechselspeicherger ten erl utert SafeGuard PortProtector SOPHOS 8 2 Zugelassen zu Gesperrt Wenn durch eine Policy Anderung festgelegt wird dass ein angeschlossenes Ger t jetzt gesperrt ist ruft SafeGuard PortProtector Client das Betriebssystem auf und fordert dass das die Verbindung zu dem Ger t unterbrochen wird Wenn das Ger t derzeit benutzt wird kann es vorkommen dass das Betriebssystem nicht dazu in der Lage ist In Definieren der Trennung aktiver Ger te im Kapitel Definieren von Policies erfahren Sie wie sich SafeGuard PortProtector Client in diesem Fall verh lt 277 SafeGuard PortProtector 3 30 Benutzerhilfe 8 3 Gesperrt zu Zugelassen Wenn durch eine Policy nderung festgelegt wird dass ein gesperrtes Ger t jetzt zugelassen ist erscheint das Symbol gr nes Kontrollh kchen Der SafeGuard
104. und ihre Beschreibung ein unten erl utert Dieser Abschnitt zeigt auch den Eigent mer ein Administrator der Policy den Zeitpunkt der letzten Speicherung und der letzten berarbeitung Policy mit Organisationsobjekten verkn pfen der untere Abschnitt Hier verkn pfen Sie die Policy mit Organisationsobjekten Eine Erkl rung finden Sie in Verteilen von SafeGuard PortProtector Policies direkt vom Management Server aus in Kapitel 4 Verteilen von Policies So geben Sie den Namen und die Beschreibung der Policy ein Geben Sie im Abschnitt Allgemeine Eigenschaften den Namen und die Beschreibung der Policy ein Anschlie end k nnen Sie die Einstellungen f r die Policy definieren und sie speichern 125 SafeGuard PortProtector 3 30 Benutzerhilfe 3 6 4 L schen von Policies Sie k nnen nicht mehr ben tigte Policies l schen Durch das L schen von Policies werden diese aus dem Active Directory und aus der Management Console entfernt Mit Hilfe der Strg Taste k nnen Sie eine Mehrfachauswahl der zu l schenden Policies treffen Hinweis Wenn Policies in der Management Console gel scht werden sind sie noch nicht auf dem SafeGuard PortProtector Client gel scht auf dem sie aktiv sind Somit ist die Sicherheit Ihrer Organisation nicht gef hrdet Hinweis Wir raten dringend davon ab Policies zu l schen die f r Computern und oder Benutzer in Ihrer Organisation gelten Denken Sie vor dem L schen daran dass Sie nach dem L s
105. user s policy remains effective until it is either updated from the Client window see Aktualisieren der Client Policy in Chapter 9 End user Experience or until the next update occurs according to the policy update interval In logs Novell objects appear in type less format for example mike pm acme com 315 SafeGuard PortProtector 3 30 Benutzerhilfe 10 Appendix B Supported Device Types About This Appendix This appendix lists the device types that SafeGuard PortProtector provides for your selection when building a policy For non storage devices you can restrict the usage of devices on USB FireWire and PCMCIA ports SafeGuard PortProtector provides a selection of built in types in the Device Control window to enable you to define which types of devices are approved or blocked If you require control of a device type that is not listed here you can use the Distinct Device restriction feature described in Approving Devices and WiFi Connections in Chapter 3 Defining Policies For storage devices SafeGuard PortAuditor is able in most cases to identify whether a device is a storage device or a non storage device by detecting its volume or using its embedded class data This ability helps categorize and organize device lists into storage devices and simple non storage devices for your selection thus enabling you to define your policy more easily SafeGuard PortProtector provides a selection of built in types in the Storage
106. utert was f r das Deployment von Clients und Ports f r die Position der Installationsdateien erforderlich ist Erm glicht die Anzeige und nderung der globalen Policy Einstellungen weitere Informationen hierzu finden Sie in Schritt 9 Allgemeine Policy Einstellungen definieren im Kapitel Definieren von Policies Anmerkung Auf diese Option k nnen Sie auch zugreifen indem Sie in der Clients Welt mit der rechten Maustaste auf diesen Client klicken Erm glicht es dem Administrator administrative Aufgaben auszuf hren weitere Informationen hierzu finden Sie in Fenster Administration im Kapitel Administration 2 4 5 Men Fenster Das Men Fenster haben alle Welten gemeinsam ber dieses Men k nnen Sie zu anderen Welten wechseln weitere Fenster ffnen und Fenster in der Policies Welt und Logs Welt duplizieren l sen und schlie en diese Optionen werden in Fensterleiste und Fensteroptionen erkl rt Duplizieren Schlie er Start Policies Logs Clients 29 SafeGuard PortProtector 3 30 Benutzerhilfe Das Men Fenster enth lt folgende Optionen Option Beschreibung Duplizieren Diese Option ist nur in der Policies Welt und in der Logs Welt verf gbar L sen Diese Option ist nur in der Policies Welt und in der Logs Welt verf gbar Schlie en Diese Option ist nur in der Policies Welt und in der Logs Welt verf gbar Start ffnet die Start Welt Policies ffnet die Policies Welt Logs ffnet di
107. von allgemeinen Abfrageeigenschaften Server Logs Auf der Registerkarte Allgemein definieren Sie die anzuzeigenden Logdatens tze bez glich ihrer Attribute In der Log Tabelle erscheinen nur Datens tze die den von Ihnen hier festgelegten Kriterien entsprechen Im Folgenden werden die Abschnitte dieser Registerkarte beschrieben Nach Ereignissen Klicken Sie auf dieses Kontrollk stchen wenn das Log Datens tze anzeigen soll die zu bestimmten Server Ereignissen geh ren W hlen Sie die gew nschten Ereignisse durch Aktivieren des entsprechenden Kontrollk stchens aus Nach Benutzer Klicken Sie auf dieses Kontrollk stchen wenn die Log Tabelle Datens tze enthalten soll die zu einem bestimmten Administrator geh ren dessen Name eine bestimmte Zeichenfolge enth lt In diesem Fall geben Sie die gew nschte Zeichenfolge im Feld Name enth lt ein Nach Computer Klicken Sie auf dieses Kontrollk stchen wenn die Log Tabelle Datens tze enthalten soll die zu einer bestimmten SafeGuard PortProtector Management Console geh ren deren Name eine bestimmte Zeichenfolge enth lt In diesem Fall geben Sie die gew nschte Zeichenfolge im Feld Name enth lt ein Nach zus tzlichen Daten Klicken Sie auf dieses Kontrollk stchen wenn die Log Tabelle Datens tze enthalten soll die in ihrem Details Feld eine bestimmte Zeichenfolge enthalten In diesem Fall geben Sie die gew nschte Zeichenfolge im Feld Details enthalten ein Logt
108. vorhanden 233 SafeGuard PortProtector 3 30 Benutzerhilfe 7 3 1 2 Log Delegierung Hinweis Wenn Sie beabsichtigen diese Funktion einzusetzen beraten Sie sich vorher mit dem Sophos Support um sicherzustellen dass das wirklich die richtige Architektur fiir Ihre Umgebung ist Mit dieser Funktion ist es m glich in einem einzelnen Management Server die Logs von anderen Management Servern zu sehen Hinweis Hier einige wichtige Punkte zur Beachtung 1 Alle Server m ssen mit denselben Verschl sselungsschl sseln installiert werden mittels der Option Wiederherstellen w hrend Server Installation 2 Der Delegationsserver darf nur zur Anzeige der Logs von anderen Servern und nicht zur Anwendung von Policies oder Verwaltung von Clients benutzt werden Empfohlen wird eine rollenbasierte Benutzerverwaltung siehe Benutzerverwaltung und ein Benutzer mit nur Rechten als Log Reviewer 3 Es wird empfohlen diese Option nur dann zu nutzen wenn die Umgebung ber mehrere Dom nenw lder verf gt So konfigurieren Sie die Log Delegierung 1 W hlen Sie auf dem Ziel Server Delegationsserver in der Management Console die Option Administration im Men Extras 2 Klicken Sie oben auf der Registerkarte Allgemein auf die Schaltfl che Konfigurieren neben Logs von diesem Server werden nicht auf einen anderen Server delegiert Das Fenster Einstellungen f r Log Delegierung wird angezeigt Einstellungen f r Log Delegierung x
109. wechseln Sie k nnen eine zweite Sortierebene hinzuf gen indem Sie die Umschalttaste dr cken und auf den zweiten Spaltentitel klicken ndern Sie die Spaltenbreite indem Sie die Spaltentrennlinien an die gew nschte Stelle ziehen Verschieben Sie eine Spalte indem Sie sie an die gew nschte Position ziehen So verkn pfen Sie eine Policy mit einem Organisationsobjekt Hinweis Die Anleitungen 1 3 in diesem Abschnitt beziehen sich auch auf das Abfragen zugeh riger Policies nach Namen In diesem Fall werden als Ergebnis Ihrer Auswahl im Fenster Policies die Policies angezeigt die mit den ausgew hlten Objekten verkn pft sind 1 W hlen Sie in der Liste der Objekte die Objekte eins oder mehrere aus mit denen Sie die Policy verkn pfen m chten Markieren Sie dazu die entsprechenden Kontrollk stchen 2 Um die Objekte der Liste der verkn pften Objekte hinzuzuf gen ohne das Fenster zu schlie en und weitere Objekte ber eine zus tzliche Suche hinzuzuf gen klicken Sie auf Anwenden 3 Um die Objekte der Liste der verkn pften Objekte hinzuzuf gen und das Fenster zu schlie en klicken Sie auf OK Die Objekte werden der Liste hinzugef gt und das FensterObjekt ausw hlen wird geschlossen Sie k nnen jetzt eine Liste der verkn pften Objekte im unteren Teil des Fensters Eigenschaften sehen 4 Optional Schr nken Sie die Policy Verkn pfung entweder auf Computer oder auf Benutzer innerhalb der selektierten Objekte ein wie i
110. will be able to gain WiFi access through that laptop based on his SafeGuard PortProtector user profile With this rule in mind it is strongly recommended that you be very careful when creating any user privileges User privileges will supersede any restrictions placed on endpoints Instructions Determine user roles within your SafeGuard PortProtector implementation User this role is the normal user role that has no additional privileges other than the privileges that are common throughout the organization Privileged user this role has extended privileges for example the ability to write files to a USB device or connect to a WiFi network Determine compensating controls placed on privileged users Logs and alerts at a minimum plan to set privileged user policies to log allowed behavior that is extended from the normal user role Consider setting alerts on highly sensitive behavior such as connecting an external hard disk Preparation 3 Determine Administration Roles SafeGuard PortProtector allows for multiple administration roles according to roles and organizational structure The use of these administrative role options should be determined prior to installation of SafeGuard PortProtector Instructions Determine if your implementation of SafeGuard PortProtector will follow a centralized or de centralized administration model Centralized a single entity is responsible for the administration of SafeGu
111. wird bei jeder Initialisierung des Ports im SafeGuard PortProtector Log ein Ereignis aufgezeichnet Das gilt auch f r interne Ports 53 SafeGuard PortProtector 3 30 Benutzerhilfe 6 Geben Sie f r jeden Port an ob eine Portinitialisierung zus tzlich zur Protokollierung einen Alarm ausl st indem Sie das Kontrollk stchen Alarm f r diesen Port markieren Ein Alarm muss immer von einem Logeintrag begleitet sein Deshalb wird automatisch auch das Kontrollk stchen Log markiert sobald Sie das Kontrollk stchen Alarm markieren Hinweis Anfangs nach der Installation von SafeGuard PortProtector m chten Sie vielleicht lieber eine der integrierten Policies verwenden siehe Schritt 3 Policy erstellen Alternativ k nnen Sie eine Policy mit einem hohen Ma an Berechtigungen erstellen und verteilen die den Zugriff auf alle Ports zul sst nicht gesperrt oder eingeschr nkt und einfach die Aktivit ten protokolliert In diesem Fall setzen Sie die Ports auf Zulassen und markieren das Kontrollk stchen Log f r jeden Port Die Optionen bei Port Kontrolle k nnten dann folgenderma en aussehen SafeGuard PortProtector Management Console lex Datei Bearbeiten Ansicht Extras Fenster Hilfe M Start gt Policies E Cintegriert Alle zulassen Keine Protokolier Bn Hi h E Q Policies i Neu ax G ee Wunneraser Seite legen Sie die allgemeinen Portberechtigungen fest Setzen Sie einen Ports auf Zulassen Sperren um
112. x Ziel fischen 6 6 1 Exportieren der Clients Tabelle in eine externe Datei Verwenden Sie diese Option um die Clients Tabelle zu exportieren um sie zu drucken oder weitere Analysen durchzuf hren Die exportierte Datei wird im XML Format gespeichert das ganz einfach z B mit MS Excel ge ffnet werden kann So exportieren Sie Clients 1 Klicken Sie auf die Schaltfl che Durchsuchen um einen Pfad auszuw hlen und einen Dateinamen einzugeben oder den Pfad f r die exportierte Datei einzugeben 2 Klicken Sie auf OK Ein Verlaufsfenster wird angezeigt und der Export beginnt 216 SafeGuard PortProtector 3 30 Benutzerhilfe 6 7 Vorbereiten des Client Deployments Das Deployment von SafeGuard PortProtector Client Installation erfolgt ber ein standardm iges MSI Installationspaket Die Installation kann ber Active Directory ber verschiedene andere Deployment Tools oder manuell erfolgen Vor dem Deployment k nnen Sie berpr fen ob die erforderlichen Dateien vorhanden sind So bereiten Sie die Client Installation vor Klicken Sie im Men Extras auf Client Deployment vorbereiten Das Fenster Clients Deployment vorbereiten wird angezeigt Clients Deployment vorbereiten xi SafeGuard PortProtector Clients setzen die Policies der Ger tenutzung auf den Endpunkten durch Safend Protector Clients werden mit Hilfe eines standardm igen MSI Installationspaketes installiert das ber Active D
113. z B Logdatens tze f r authentifizierte und nicht authentifizierte Verbindungen w nschen w hlen Sie diesen Abschnitt nicht aus Nach Datenverschl sselung In diesem Abschnitt k nnen Sie festlegen ob die WiFi Verbindungen in der Log Tabelle verschl sselte Verbindungen sein sollen 5 5 2 6 Manipulationseigenschaften Client Logs Die Manipulations Abfrageeigenschaften werden auf der Registerkarte Manipulation definiert Abfrageeigenschaften Unbenannt Client Logs b x Zeit Allgemein Ger te O Fehlende Logs Speicherger te C Prozess beendet WiFi Links C Ung ltige Dateien Manipulati see C Ung ltige Policy Administration m Zwischengespeicherte Dateien fehlen O Authentifizierung fehlgeschlagen Computer 5 5 2 6 1 Definieren von Manipulationseigenschaften Client Logs Auf der Registerkarte Manipulation definieren Sie die anzuzeigenden Logdatens tze bez glich der Ereignisse ihrer Manipulationsversuche In der Log Tabelle erscheinen nur Datens tze die den von Ihnen hier festgelegten Kriterien entsprechen Hinweis Diese Registerkarte ist nur dann aktiviert wenn Sie Manipulation im Abschnitt Umfang der Registerkarte Allgemein ausw hlen Im Abschnitt Auf Manipulationsversuche einschr nken k nnen Sie die Art des Versuchs festlegen der in die Log Tabelle aufgenommen werden soll Sie k nnen mehrere Ereignisse ausw hlen Wenn Sie diesen Abschnitt nicht ausw hlen werden die Datens tz
114. zu best tigen Das Objekt verschwindet aus der Liste der verkn pften Organisationsobjekte 4 Speichern Sie die Policy Hinweis Die Policy gilt weiter f r das Objekt mit der gel schten Verkn pfung bis Sie die Policy speichern 4 3 Verteilen von SafeGuard PortProtector Policies unter Verwendung von Active Directory SafeGuard PortProtector Policies k nnen mit Hilfe der Microsoft Active Directory GPO Standardverteilungsfunktion verteilt bzw ver ffentlicht werden Um diese Funktion nutzen zu k nnen konfigurieren Sie zun chst das Fenster Administration so dass Active Directory verwenden wird siehe auch Ver ffentlichungsmethode im Kapitel Administration Dies erm glicht die zentrale Verwaltung der Sicherheitspolicies durch die Systemadministratoren und die automatische Verteilung der Policies an vorhandene Endbenutzer und Computergruppen Es brauchen keine Benutzer und Computergruppen definiert zu werden und es ist keine spezielle Konfiguration oder Einrichtung erforderlich SafeGuard PortProtector legt automatisch jede Policy die Sie in der SafeGuard PortProtector Management Console definieren als ein GPO in Active Directory an Diese Policies werden anschlie end automatisch von Active Directory an die Computer und Benutzer verteilt die zu der Organisationseinheit OU geh ren der Sie sie zuweisen Sie k nnen eine Policy an Ihre gesamte Organisation verteilten eine andere Policy an die einzelnen Organisationseinheiten
115. zugegriffen werden Lesen und Schreiben so dass der Management Server die Policies an diesen Ordner ver ffentlichen kann 6 Optional Sie k nnen Ausf hrbare Datei nach Ver ffentlichung ausf hren aktivieren siehe unten Wenn diese Option genutzt wird erzeugt SafeGuard PortProtector zwei Kopien von der Registry Datei von denen eine f r Computer zum Beispiel MyPolicy MACHINE reg und eine f r Benutzer zum Beispiel namens MyPolicy USER reg geeignet ist Weitere Informationen finden Sie in Kapitel 4 Verteilen von Policies 7 4 1 1 1 Ausf hrbare Datei nach Ver ffentlichung ausf hren Gegebenenfalls m chten Sie den Vorgang bei dem Policies durch ein Drittanbieter Tool verteilt werden wie etwa SMS Novell eDirectory nach dem Bearbeiten Erstellen von Policies automatisieren Diese Option erm glicht die automatische Aktivierung einer ausf hrbaren Datei wenn Policies als reg Dateien ver ffentlicht werden Diese ausf hrbare Datei f hrt dann die n tigen Funktionen aus um dem Drittanbieter Tool die Policy nderung mitzuteilen F r Informationen ber APIs und Schnittstellenparameter wenden Sie sich bitte an den Sophos Support mailto support sophos com 7 4 1 2 Policy Vorlage Jedes Mal wenn Sie eine neue Policy erstellen werden Vorgabewerte f r die Sicherheitsoptionen Ports Ger te etc und f r die Einstellungen Endbenutzer Meldungen Log Intervalle etc angezeigt Mit dieser Option k nnen Sie eine
116. zugewiesenen Rolle wechseln Exportiert die Clients Tabelle in eine externe Datei Meldet den aktuellen Benutzer von der Management Console ab Meldet den aktuellen Benutzer ab und schlie t die SafeGuard PortProtector Management Console 207 SafeGuard PortProtector 3 30 Benutzerhilfe 6 2 2 Men Bearbeiten In der Clients Welt sind die Optionen in diesem Men deaktiviert 6 2 3 Men Ansicht ber das Men Ansicht k nnen Sie das aktuelle Fenster aktualisieren und den Fortschritt von Client Tasks anzeigen lassen Aktualisieren Client Tasks Das Men Ansicht enth lt folgende Optionen Option Beschreibung Refresh Aktualisiert die Clients Tabelle entsprechend der Auswahl in der Organisationsstruktur und aktualisiert die Datens tze der Clients Tabelle gem den aktuellen Logs Client Tasks Zeigt den Verlauf der Client Tasks weitere Informationen finden Sie in Verfolgen des Fortschritts von Client Tasks 6 2 4 Men Extras Das Men Extras das bei allen Welten gleich ist ist im Kapitel Erste Schritte beschrieben 6 2 5 Men Fenster Das Men Fenster das bei allen Welten gleich ist ist im Kapitel Erste Schritte beschrieben 6 2 6 Men Hilfe Das Men Hilfe das bei allen Welten gleich ist ist im Kapitel Erste Schritte beschrieben 208 SafeGuard PortProtector 3 30 Benutzerhilfe 6 2 7 Symbolleiste Die Symbolleiste der Clients Welt bietet schnellen Zugriff auf h ufig gen
117. 288 SafeGuard PortProtector 3 30 Benutzerhilfe Hinweis Falls Sie nicht gen gend Zeit hatten auf das Fenster Unverschliisseltes Ger t angeschlossen zu klicken und es ausgeblendet wurde folgen Sie den nachfolgenden Anleitungen f r das Verschl sseln eines Ger ts wenn kein Fenster angezeigt wird 2 Aktivieren Sie die entsprechende Optionsschaltfl che ob Sie die die Daten auf dem Ger t sichern und wiederherstellen m chten oder ob sie vorhandenen Daten auf dem Ger t l schen m chten diese Angabe ist erforderlich weil das Ger t beim Verschl sseln formatiert wird 3 Klicken Sie auf Weiter 4 Das folgende Fenster wird f r eine externe Festplatte angezeigt Yerschl sselung aufheben G SOPHOS Hinweis Es wird dringend empfohlen die Daten auf dem Ger t zu sichern bevor Sie mit der Verschl sselung fortfahren 5 Klicken Sie auf Weiter 289 SafeGuard PortProtector 3 30 Benutzerhilfe 6 Wenn Sie ber die Rechte verf gen ein Kennwort f r den Offline Zugriff auf Speicherger te festzulegen wird das folgende Fenster angezeigt Yerschl sseln G SOPHOS 7 Geben Sie das Kennwort ein das auf Computern au erhalb Ihrer Organisation eingegeben werden muss um auf den Inhalt zuzugreifen Falls Sie das Kennwort vergessen haben k nnen Sie jederzeit ein neues Kennwort festlegen Hinweis Es ist zwingend erforderlich ein Kennwort festzulegen um den Offline Zugriff zu erm glichen
118. 3 30 Benutzerhilfe So zeigen Sie die Shadow Dateien an 1 Klicken Sie auf die Registerkarte Logs 2 Klicken Sie auf die Registerkarte Datei Logs Bei Shadow Dateien steht ein Kontrollh kchen in der Spalte Shadow Dateien und eine sequentielle eindeutige ID in der Spalte ID der Shadow Datei siehe Log Tabelle 3 Wahlen Sie die relevanten Organisationseinheiten aus siehe Filtern der Log Tabelle nach Organisationseinheit 4 Definieren Sie eine neue File Log Abfrage siehe efinieren einer neuen Datei Log Abfrage Vergewissern Sie sich dass Sie alle Optionen auf der Registerkarte Shadowing ausgef llt haben siehe Shadowing Eigenschaften Datei Logs 5 Klicken Sie auf Ausf hren um die Abfrage ausf hren 6 ffnen Sie das entsprechende Fenster der Logdatensatz Eigenschaften 7 W hlen Sie ffnen oder Speichern in der Spalte Shadow Datei um die Shadow Datei aus dem Speicher herunterzuladen 5 11 Logs von einem Standalone SafeGuard PortProtector Client Computer lesen Sie haben die M glichkeit Logs von einem Standalone SafeGuard PortProtector Computer zu lesen Wenn diese Sicherheitspolicy auf einen Standalone Computer bernommen wird konfigurieren Sie den Client so dass er die lokalen Logs speichert statt sie ber das Netz an den Management Server zu senden Dadurch wird verhindert dass der Agent regelm ig versucht Logs an den nicht verf gbaren Management Server zu senden So konfigurieren Sie eine Policy f r di
119. 3 Wenn Sie eine permanente Lizenz erworben und das voreingestellte globale Kennwort f r die Deinstallation von SafeGuard PortProtector Clients noch nicht ge ndert haben werden Sie dazu im nachfolgend angezeigten Fenster aufgefordert Password Change Required 5 You are still using the default global uninstall password for Safend Protector Clients Passwordi It is highly recommended that you change this password now Tools gt Global Policy Settings 4 Klicken Sie auf OK Die Anwendung wird ge ffnet und das Hauptfenster wird angezeigt Hinweis Einem SafeGuard PortProtector Administrator k nnen mehrere Rollen zugewiesen werden um die verschiedenen Dom nenpartitionen zu definieren f r die er verantwortlich ist Nachdem sich ein solcher Administrator angemeldet hat wird automatisch ein Auswahlfenster angezeigt in dem er die entsprechende Rolle f r seine Arbeit ausw hlen kann Eine Benutzerrolle definiert die Funktionen Organisationseinheiten und Dom nen einer Organisation auf die ein SafeGuard PortProtector Administrator zugreifen kann siehe auch Definieren von Rollen 23 SafeGuard PortProtector 3 30 Benutzerhilfe 2 2 bersicht ber die Anwendung Nach der Anmeldung bei der SafeGuard PortProtector Management Console wird das folgende Fenster angezeigt SafeGuard PortProtector Management Console laj xj Datei Bearbeiten Ansicht Extras Fenster Hilfe 4 gt Start EO Wer Ceo E EEE D Policies B Lo
120. 4443 SafeGuardPortProtector consolelnstall aspx X Go Links gt SafeGuard PortProtector SOPHOS SafeGuard PortProtector Management Console Installation Klicken Sie unten auf den Link um die SafeGuard PortProtector Management Console Software auf Ihrem Computer zu installieren Sobald Sie die Software installiert haben brauche Sie diese Seite nicht mehr zu ffnen Link zu Management Console Installation https chuti2003 utimaco com 4443 SafeGuardPortProtector console ManagementConsole de DE msi Voraussetzung Microsoft NET Framework 2 0 SafeGuard PortProtector Management Console ben tigt Microsoft NET Framework 2 0 f r die Installation auf Ihrem Computer Wenn das Programm nicht installiert ist laden Sie es bitter herunter und installieren Sie es bevor Sie mit der SafeGuard PortProtector Management Console Installation fortfahren Link zum NET Framework 2 0 Installationspaket http www microsoft com downloads details aspx FamilyID 0856eacb 4362 4b0d 8edd 33b15c5e04f5 amp DisplayLang en Serverdetails Geben Sie bei der Aufforderung zur Eingabe der Serververbindungsdetails bei laufender Management Console bitte folgende Details ein Server Host chuti2003 utimaco com Port 4443 M E Done I 77718 Internet Hinweis Sie k nnen auch das Installationspaket selbst verwenden um die Management Console zu installieren Dieses Paket ist auch auf Ihrer CD unter dem Namen ManagementConsole msi
121. 9 SafeGuard PortProtector 3 30 Benutzerhilfe 7 7 1 Systempflegeeinstellungen Auf der Registerkarte Maintenance k nnen Sie verschiedene Aktivit ten der Systempflege durchf hren Sie k nnen hier Einstellungen f r Datenbankpflege und den System Backup definieren Sie enth lt die folgenden Abschnitte Allgemein Datenbankpflege System Backup Log Backup Hinweis Bei jeder nderung einer der Einstellungen auf dieser Registerkarte m ssen Sie unten im Fenster Administration auf OK klicken damit die nderungen bernommen werden 7 7 1 1 Allgemein Dieser Abschnitt zeigt den Namen des Datenbankservers und ob es sich um den internen MySQL Server von SafeGuard PortProtector oder einen externen MS SQL Server handelt 7 7 1 2 Datenbankpflege Dieser Abschnitt befasst sich mit der Verwaltung der Datenbank Hier legen Sie die Anzahl der Protokollierungstage Tiefe fest die Sie f r jeden Logtyp speichern m chten und definieren die der Datenbank zugeteilte Plattenkapazit t bei der Logs den gr ten Teil der Plattenkapazit t ausmachen ber die Datenbankverwaltung k nnen Sie die ben tigte Tiefe oder zumindest eine Tiefe soweit wie m glich speichern Dies definieren Sie im Fenster Datenbankpflege siehe auch Definieren der Datenbankpflege Einstellungen Dar ber hinaus k nnen Sie in diesem Abschnitt den Netzanteil definieren der als zentraler Speicher f r Shadow Dateien genutzt werden soll wie im Abschnitt
122. Alarmziel Speicher System Systemalarm Definitionen Hinweis Bei jeder nderung einer der Einstellungen auf dieser Registerkarte m ssen Sie unten im Fenster Administration auf OK klicken damit die nderungen bernommen werden 7 5 1 1 Alarmziel Speicher Hier k nnen Sie die in Ihrem Netzwerk zum Versenden von Alarmen verf gbaren Ziele ansehen bearbeiten definieren und l schen Unter einem Ziel versteht man die Adresse an die Alarme gesendet werden Die Liste dieser Adressen wird als Alarmziel Speicher bezeichnet Nachdem Sie das Repository angelegt haben k nnen Sie daraus die gew nschten Ziele f r Systemalarme siehe Systemalarmdefinitionen f r policy spezifische Alarmeinstellungen siehe Definieren der Alarmeinstellungen im Kapitel Definieren von Policies und f r globale Policy Alarmeinstellungen siehe Schritt 9 Allgemeine Policy Einstellungen definieren im Kapitel Definieren von Policies ausw hlen Die Ziele k nnen zu mehrere Protokolltypen geh ren darunter E Mail Senden an eine mehrere Adressen Windows Event Log Einf gen eines Logeintrag in ein bestimmtes Computer Eventlog SNMP Erzeugen eines SNMP Trap der an Netzwerk berwachungssysteme gesendet wird d h HP Openview IBM Tivolli Executable Ausf hren einer ausf hrbaren Datei die anhand der Alarminformation eine beliebige Aktion ausf hrt Syslog Senden einer Nachricht an einen Syslog kompatiblen Server Alarmdefinitionen we
123. Appendix A Novell eDirectory Synchronization About This Appendix Similarly to its existing seamless integration with Active Directory SafeGuard PortProtector supports full integration with Novell s eDirectory With this integration the Management Server can be configured to connect to the eDirectory in order to import the organizational tree including OUs Groups Users and Computers This enables viewing of directory objects computers user groups through the Management Console for policy association log filtering and Client management purposes When you configure a SafeGuard PortProtector system to synchronize with eDirectory you will typically choose to distribute policies using the Policy Server see Verteilen von SafeGuard PortProtector Policies direkt vom Management Server aus in Chapter Distributing Policies However if you wish to use a different distribution method such as a third party tool using registry files you can do so To learn about policy distribution methods refer to Chapter Verteilen von Policies 311 SafeGuard PortProtector 3 30 Benutzerhilfe 9 1 Configuring SafeGuard PortProtector to Synchronize with Novell eDirectory Configuring SafeGuard PortProtector to synchronize with Novell eDirectory is performed in the Administration window and explained below refer to Chapter Error Reference source not found for further details about the Administration window Note There is no need for a Novell client t
124. Control window to enable you to define which types of devices will be approved or blocked as described in Chapter 3 Definieren von Policies The following device type lists are divided into Non Storage Devices and Storage Devices 10 1 Non Storage Device Types The following lists the non storage built in device types for which a policy can be defined in SafeGuard PortProtector Note Device Control for non storage devices can only be defined for USB FireWire and PCMCIA ports Human Interface Device devices used to control the operation of computer systems Typical examples include keyboards and pointing devices such as mouse trackballs and joysticks Printing Devices Printers connected over USB PCMCIA or FireWire Personal Data Assistants PDA s These include Windows Mobile Pocket PC Devices Blackberry Devices Palm OS Devices Mobile Phones New models of cellular phones categorized in USB as Wireless USB Devices Network Adapters Communication devices such as Ethernet network adapters WiFi adapters and USB connected ADSL and cable modems Imaging Devices Primarily devices such as scanners and digital still cameras 316 SafeGuard PortProtector 3 30 Benutzerhilfe Audio Video Devices devices such as microphones telephones volume controls web cameras digital camcorders digital television tuners and digital still image cameras that support video streaming Smart Cards Smart Card
125. Das Fenster Clients wird angezeigt Organisationsstruktur Suche nach Namen Organisat Dennzer Administ stor SAMENOQA M server teconast 206 SafeGuard PortProtector 3 30 Benutzerhilfe 6 2 1 Ment Datei Uber das Men Datei in der Clients Welt k nnen Sie neue Welt Fenster ffnen die Clients Tabelle exportieren sich von der Management Console abmelden und die Anwendung beenden Neu Exportieren Benutzerrolle ndern Abmelden Beenden Das Men Datei enth lt folgende Optionen Option Neu Benutzerrolle ndern Exportieren Abmelden Beenden Beschreibung ffnet ein Untermen ber das Sie ein neues Policy ein neues Client Log ein neues Server Log oder ein neues File Log Fenster ffnen k nnen Einem SafeGuard PortProtector Administrator k nnen mehrere Rollen zugewiesen werden um die verschiedenen Dom nenpartitionen zu definieren f r die er verantwortlich ist Nachdem sich ein solcher Administrator angemeldet hat wird automatisch ein Auswahlfenster angezeigt in dem er die entsprechende Rolle f r seine Arbeit ausw hlen kann Hinweis Eine Benutzerrolle definiert die Funktionen Organisationseinheiten und Dom nen einer Organisation auf die ein SafeGuard PortProtector Administrator zugreifen kann wie in Definieren von Rollen beschrieben ber die Option Benutzerrolle ndern kann ein solcher Administrator von dieser Rolle jederzeit zu einer anderen ihm
126. Delegierungsstatus Logs von diesem Server werden nicht auf einen anderen Server delegiert Log Delegierung aktivieren Ziel Delegierung URL Validieren Anmerkung Die Ziel Delegierung URL kann im Administrationsfenster des Management Server auf dem Ziel gefunden werden Lokale Delegierung URL Um die Logs anderer Server auf diesen Management Server zu delegieren verwenden Sie diese URL https 2k3server german safendga Safend com 443 SafendProtectorwS EventSink WebService 3 Kopieren Sie die URL in das Feld Lokale Delegierung URL und speichern Sie sie in einer Datei damit sie auf bei den auf anderen Computern installierten delegierenden Servern genutzt werden kann 4 ffnen Sie bei jedem der Server deren Logs gelesen werden in der Management Console das Fenster der Einstellungen fiir Log Delegierung 234 SafeGuard PortProtector 3 30 Benutzerhilfe 5 Wahlen Sie bei Delegierungsstatus die Option Log Delegierung aktivieren 6 Kopieren Sie die URL vom Ziel Server in das Feld Ziel Delegierung URL 7 Klicken Sie auf die Schaltfl che Validieren um diese URL zu validieren Klicken Sie auf die Schaltfl che OK um die Einstellungen zu speichern Ab diesem Zeitpunkt wird eine Kopie aller Client und Datei Logs von diesen Servern an den Ziel Server gesendet 7 3 1 3 Gesch tzte Dom ne Dieser Abschnitt definiert die gesch tzte Dom ne und gibt an ob es sich um eine Active Directory oder ein
127. Dictionary dBase Database Microsoft FoxPro Database Borland InterBase Database Paradox Database Outlook Personal Folder Outlook Express E mail Folder Pretty Good Privacy PGP Encrypted Pretty Good Privacy PGP Armored Encrypted Pretty Good Privacy PGP Ciphertext AutoCAD Drawing AutoCAD Interchange Pro ENGINEER Assembly Pro ENGINEER Model Adobe FrameMaker FrameBuilder Document Adobe FrameMaker Document Adobe FrameMaker Document Adobe FrameMaker Book Adobe FrameMaker Interchange Format 323 SafeGuard PortProtector 3 30 Benutzerhilfe 12 Appendix D CD DVD Media Scanner About This Appendix In addition to controlling CD DVD drives SafeGuard PortProtector includes the ability to identify specific CD DVD media in order to authorize their use A special scanning mechanism known as the Media Scanner computes a unique fingerprint identifying the data on each medium and adds the medium s details to its output file the Scanned Media file The Media Scanner may be used on any computer and does not require any network connection to the Management Server This allows you to run the utility on a stand alone machine in order to avoid the inherent risks of viruses and Trojans which can be introduced via CDs and DVDs From the output file scanned media can then be added to a CD DVD Media White List in order to authorize their use This means that any medium that is not white listed is prohibited unless it is use
128. Directory m Server Credentials Credentials UTIMACO Administrator what are these credentials used for r Users Management Choose a mode for managing user access to management consoles Single Role Simple Protector Administrators User Group BUILTIN Administrators O Role Based Advanced Define Permissions I Enable Domain Partitioning Define Partitions System Language System Language English US 8 Inthe Administration window click OK SafeGuard PortProtector will now be synchronized with eDirectory All previous tree objects are deleted Note When using Novell it is best to perform the above configuration prior to installing Clients This way the Client installation will contain the appropriate configuration and Clients will immediately identify themselves as Novell clients Note If you previously had policies applied to deleted AD tree objects you can still view their logs through querying logs by name 314 SafeGuard PortProtector 3 30 Benutzerhilfe 9 2 A Few Additional Points When using Novell role based administration explained in Role Based Advanced in Chapter 7 Administration is possible only using local groups on the Management Server SafeGuard PortProtector Client detects changes in the Novell user logged in to the endpoint using login and changes the effective endpoint policy accordingly In session user changes are not detected This means that the previous
129. Eine Beschreibung fiir die Definition der Optionen in diesem Fenster finden Sie in Definieren der Ger tekontrolle 3 3 5 3 Definieren der Gerdtekontrolle So definieren Sie die Ger tekontrolle 1 Klicken Sie im Fenster Ger tekontrolle auf die Registerkarte Allgemein falls sie nicht die aktive Registerkarte ist Im oberen Teil des Fensters sind die Ports aufgelistet die als Eingeschr nkt im Fenster Portkontrolle definiert wurden wie in Schritt 4 Portkontrolle definieren beschrieben Die Ger te die Sie wie in diesem Abschnitt beschrieben im Fenster Ger tekontrolle zulassen oder sperren gelten nur f r diese Ports 2 Im Abschnitt Policy f r alle Ger te geben Sie in der Dropdown Liste Aktion mit Zugelassen Y Eingeschr nkt oder Gesperrt an ob alle Ger te zugelassen eingeschr nkt oder gesperrt sind Hinweis W hlen Sie Zulassen oder Sperren wenn Sie zu diesem Zeitpunkt keine granulare Ger tekontrolle w nschen Alternativ k nnen Sie diese Option nutzen wenn Sie bestehende Definitionen berschreiben sie aber zu einem sp teren Zeitpunkt wieder verwenden m chten 3 Wenn Sie Zulassen oder Sperren f r Alle Ger te w hlen k nnen Sie au erdem angeben ob Ger teaktivit ten protokolliert und oder ob Alarme generiert werden sollen Hierf r markieren Sie die Kontrollk stchen Log bzw Alarm Wenn Sie Zulassen oder Sperren f r Alle Ger te w hlen brauchen Sie im Fenster Ger tekontrolle nichts weiter zu tun
130. Extras Dieser Abschnitt enth lt Symbole und Links zu Folgendem Status Allgemeine Policy Einstellungen ndern klicken Sie hierauf um das Fenster Allgemeine Policy Einstellungen zu ffnen in dem Sie allgemeinen Policy Einstellungen ndern k nnen Dabei handelt es sich um die Standardeinstellungen f r alle Policies sofern keine policy spezifischen Einstellungen definiert wurden In Schritt 9 Allgemeine Policy Einstellungen definieren in Kapitel 3 Definieren von Policies finden Sie eine detaillierte Erl uterung Administrationseinstellungen ndern klicken Sie hierauf um das Fenster Administration zu ffnen in dem Sie die Administrationseinstellungen ndern k nnen SafeGuard PortAuditor starten klicken Sie hierauf um das Fenster Pfad zum SafeGuard PortAuditor zu ffnen in dem Sie SafeGuard PortAuditor starten und Ihr Organisationsnetz scannen k nnen um aktuell und zuvor angeschlossene Ger te und WiFi Links zu erkennen Eine detaillierte Erl uterung finden Sie im SafeGuard PortAuditor Benutzerhandbuch Dieser Bereich in der unteren H lfte des Fensters zeigt Informationen zu Ihrer SafeGuard PortProtector Datenbank und Lizenz an Der Bereich ist in zwei Abschnitte unterteilt wie nachfolgend beschrieben Datenbank f r jeden Logtyp Client File Server wird die Anzahl gespeicherter Tage angezeigt Durch Klicken auf den Link Pflegen oder auf den Titel des Abschnitts wird in das Fenster Datenbank Management
131. Fi Netze zu erkennen die derzeit angeschlossen sind bzw fr her angeschlossen waren in der Registry des Computers angegeben wie im SafeGuard PortAuditor Benutzerhandbuch beschrieben Diese Informationen ziehen Sie bei der Definition einer Policy zu Rate um einfach anzugeben welche Ports und Ger te zugelassen gesperrt eingeschr nkt oder schreibgesch tzt zugelassen werden Schritt 2 Policy planen beschreibt die Informationen die Sie f r die richtige Planung der besten Policy f r den Schutz der Endpunkte in Ihrer Organisation erfassen sollten Schritt 3 Policy erstellen beschreibt die Erstellung einer neuen Policy Sie k nnen so beliebig viele Policies erstellen eine f r Ihre gesamte Organisation oder verschiedene Policies jeweils eine f r jede Computer oder Benutzergruppe Schritt 4 Portkontrolle definieren beschreibt wie die Portkontrolle in Ihrer Policy definiert wird d h welche Ports zugelassen welche gesperrt und welche auf die Nutzung durch bestimmte Ger te eingeschr nkt werden Bei der Portkontrolle k nnen Sie au erdem Log und Alarmoptionen f r die Portinitialisierung und oder aktivit ten festlegen Dar ber hinaus wird in diesem Abschnitt beschrieben wie eine Hybridnetz berbr ckung vermieden wird Schritt 5 Ger tekontrolle definieren beschreibt wie man noch detaillierter definiert welche Ger te ber eingeschr nkte Ports an Ihren Endpunkten angeschlossen werden d rfen Bei der Ger tekontrolle k
132. Hinweis Beim Entfernen der Verschl sselung wird das Ger t formatiert Das bedeutet dass alle Daten auf dem Ger t gel scht werden Es wird dringend empfohlen dass Sie die Daten sichern bevor Sie die Verschl sselung entfernen 4 Klicken Sie auf Weiter Das folgende Best tigungsfenster wird angezeigt Delete Data A You are about to delete all data on this device Are you sure you want to continue Cancel 5 Klicken Sie auf OK um mit der Entfernung der Verschl sselung zu beginnen Es wird eine Fortschrittsanzeige angezeigt Sobald der Vorgang beendet ist wird folgendes Fenster angezeigt Remove Encryption F Encryption successfully removed from your device Data you store on this device will NOT be protected in case the device is lost or stolen It is recommended that you encrypt your device as soon as possible to protect your data To encrypt the device start this wizard from My Computer Click Finish to exit 6 Klicken Sie auf Beenden um den Assistenten Remove Encryption zu beenden Hinweis f r Systemadministratoren Endbenutzer mit einer g ltigen Policy die eine Verschl sselung der Wechselspeicherger te erfordert m ssen ber die Anleitungen in Verschl sselung und Entschl sselung von Wechselspeicherger ten in Kapitel 9 Endbenutzer Erfahrung im Benutzerhandbuch informiert werden da der Client m glicherweise Meldungen anzeigt die sie zur Verschl sselung der Wechsel
133. Hinweis Die Standardberechtigungen f r alle Dateitypen sind Zulassen keine Logs oder Alarme Hinweis Die Protokollierung von Dateien die von Ger ten gelesen werden kann beispielsweise beim Installieren von Software zu einer berm igen Anzahl an Logdatens tze f hren 3 3 8 Schritt 8 WiFi Kontrolle definieren Zus tzlich zu Ger ten kontrolliert und berwacht SafeGuard PortProtector Ihre WiFi Verbindungen um sicherzustellen dass die Clients nur autorisierte sichere Verbindungen nutzen Im Fenster Port Control k nnen Sie mit Eingeschr nkt festlegen dass der Zugriff auf einen Port beschr nkt ist Durch die Auswahl von Eingeschr nkt k nnen Sie im Fenster WiFi Kontrolle detailliertere Angaben dar ber machen welche Netze auf diesen Port zugreifen d rfen Hinweis Wird die WiFi Nutzung f r einen Port eingeschr nkt berwacht und steuert SafeGuard PortProtector die WiFi Verbindungen ber die Microsoft WZC Infrastruktur Jeder Ger tetreiber der ohne WZC einen Zugriff auf die Netzwerkkarte versucht wird gesperrt Au erdem ist WZC unter Windows 2000 nicht verf gbar Wenn Sie viele WiFi Karten nutzen die eigene Treiber verwenden oder in Ihrer Organisation nur Windows 2000 einsetzen k nnen Sie WiFi als Port nur auf Zulassen oder Sperren setzen 72 SafeGuard PortProtector 3 30 Benutzerhilfe So ffnen Sie das Fenster WiFi Kontrolle Klicken Sie auf der linken Seite im Men Sicherheit auf die Schaltfl che WiFi
134. IMACO E Server localhost Das Fenster Ger tekontrolle enth lt zwei Registerkarten Die oben abgebildete Registerkarte Allgemein auf der Sie angeben welchen Ger tetypen der Zugriff erlaubt ist und die Registerkarte Wei e Liste auf der Sie angeben welchen Ger temodellen oder spezifischen Ger ten der Zugriff erlaubt ist Wenn ein Ger t auf keine der nachfolgend beschriebenen Arten zugelassen wird ist es gesperrt Der Aspekt der Ger tekontrolle gilt f r alle eingeschr nkten Ports Dar ber hinaus k nnen Sie mit Ger tekontrolle Optionen f r Aktivit tslog und Alarm bis auf die Ebene der Gruppe spezifischer Ger te angeben Das bedeutet Sie k nnen beispielsweise Aktivit ten bei Handys im Allgemeinen protokollieren aber die Aktivit ten bei einer bestimmten Gruppe zugelassener Handys nicht 56 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 5 1 Ger tekontrolle Registerkarte Allgemein SafeGuard PortProtector Management Console lejx Datei Bearbeiten Ansicht Extras Eenster Policies B Neu Ei Policies Integriert Alle zulassen Keine Protokoller Unbenannt 3 4 gt x Ge 4x BEE oe a Le Allgemein Diese Berechtigungen gelten nur f r die folgenden Ports die mit Einschr nken definiert wurden Eigenschaften USB Portkontroll EDENIS aA ui Allgemein wei e Liste gt G
135. Information about Clients and users in the organization Each record reports a specific event such as the connection of a detachable device to a computer ora tampering attempt File Log File information for removable storage devices external hard disks or CD DVD Server Log Information about the Management Server and administrative actions Each record reports a specific event such as logging into the Management Console and changing Global Policy Settings Configure SafeGuard PortProtector to collect logs and send alerts according to your organizations policy Two built in HIPAA approaches provide reasonable approaches and rationale for these settings Review logs according to organization policy and procedures 344 SafeGuard PortProtector 3 30 Benutzerhilfe HIPAA Section of HIPAA Section of HIPAA Section of HIPAA Section of HIPAA Security Rule Security Rule Security Rule Security Rule Technical Safeguards 164 312 a 2 iv Encryption and Using the policy SafeGuard Decryption A manager user PortProtector Implement a behavior is controlled extends the ability mechanism to at the endpoint to enforce encrypt and decrypt electronic protected health information Depending on the connected device SafeGuard PortProtector can force all information directed to a specific device to be encrypted As a rule organizationally encrypted remov
136. Kennwort muss den Kennwortregeln in Ihrer Organisation entsprechen 2 Klicken Sie auf OK Hinweis Bei der Installation des Produkts sind beide Kennw rter auf Password1 gesetzt Da das Kennwort einer der Grundpfeiler f r die Manipulationssicherheit des Clients ist wird dringend empfohlen das Kennwort zu ndern sobald Sie mit dem Deployment des Produkts in einer Produktionsumgebung beginnen 91 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 16 1 3 Definieren der Client Sichtbarkeit auf Endpunkten Die Einstellungen in diesem Abschnitt legen fest ob und wann das Taskleistensymbol und die Ereignismeldungen des SafeGuard PortProtector Client angezeigt werden 1 Klicken Sie im Abschnitt Client Sichtbarkeit auf Endpunkten auf die Optionsschaltfl che Policy spezifische Einstellungen festlegen 2 W hlen Sie eine der folgenden Optionsschaltfl chen Vollsichtbar Wenn Sie diese Option w hlen wird das SafeGuard PortProtector Symbol d immer in der Taskleiste angezeigt auch wenn der SafeGuard PortProtector Client unt tig ist Au erdem werden Ereignismeldungen angezeigt In diesem Fall ist SafeGuard PortProtector f r den Endbenutzer erkennbar Teilweise sichtbar Wenn Sie diese Option w hlen wird das SafeGuard PortProtector Symbol ausgeblendet wenn der Client unt tig ist Sobald ein Ereignis eintritt werden das Symbol und die Ereignismeldung kurz eingeblendet und verschwinden dann wieder Stealth Modus Wenn Sie dies
137. Links Pfeile 4 gt in der oberen rechten Ecke des Fensters bis das gew nschte Fenster in der Fensterleiste sichtbar ist 2 6 Start Welt Die Start Welt stellt den zentralen Zugangspunkt zu den g ngigsten Aufgaben und aktuellen Informationen aus den anderen Welten dar Hinweis Hier wird eine allgemeine Beschreibung der ber die Start Welt zug nglichen Aufgaben und Informationsarten gegeben Um mehr ber die einzelnen Aufgaben Informationsarten zu erfahren lesen Sie bitte die entsprechenden Kapitel in diesem Benutzerhandbuch PS satecuardPortrotectonanagement console ee E Datei Bearbeiten Ansicht Extras Fenster Hilfe A Start D Policies B Logs W clients ED Neue Policy E Client Logs amp Suspendierungskennwort gew hren Policy ffnen GD Server Logs Bh Client Logs erfassen Eih Datei Logs E Client Policy aktualisieren Zuletztbearbeitete Policies Ge ndert Zuletzt angezeigt Integriert Alle zulassen 12 30 2009 Extras Gitarer Ahe zulassen dbase Allgemeine Policy Einstellungen ndem Administrationseinstellungen ndem Integriert Alle sperren 12 30 2009 Sophos Auditor starten Integriert Alle speren 12 30 2009 Benutzerrolle ndem Integrier HIPAA Optim 12 30 2009 Datenbank Tiefe Client Logs 7Tage Datei Logs 7Tage Server Logs 7Tage Shadow Dateien OTage Pflegen Benutzer Administrator UTIMACO Server localhost 34 SafeGuard PortProtector 3 30 Benutzerhilfe 2 6 1 Start Welt Besch
138. P network interface protects endpoints from the dangerous practice of hybrid network bridging INetwork Bridging Block All Block All Blocking user access to WiFi Bluetooth Modems and IrDA links while connected to the TCP IP network interface protects endpoints from the dangerous practice of hybrid network bridging Device Control Hardware Allow Keyloggers Allow Although the use of hardware keyloggers should be restricted and users should be protected from these attacks usability concerns override the need for this restriction 354 SafeGuard PortProtector 3 30 Benutzerhilfe Setting Standard SOX Aggressive SOX Rationale Approach Approach Human Interface Printers Allow Allow Allow Allow It is typically not considered a risky practice to allow users to connect to human interface devices such as keyboards and mice Although a printer can be a data leakage source printing is a common user function within most organizations Compared to storage devices and PDAs printers have a much lower capacity to leak large amounts of EPHI This risk can be mitigated by physical and administrative controls PDA Restrict White Mobile Phones List Log Imaging Audio video Devices Restrict White List Log PDAs mobile phones Imaging devices such as scanners and Audio Video devices
139. Pfad aus und klicken Sie dann auf Neuen Ordner erstellen Es wird ein Fenster angezeigt in dem die Credentials d h Anmeldeinformationen f r den Zugriff auf diesen Ordner angefordert werden 5 Geben Sie die Credentials ein und klicken Sie auf Validieren um den Zugriff auf den Ordner zu testen Klicken Sie auf OK Hinweis Wenn mehrere Netzsegmente definierte werden wird ein Lastausgleichsalgorithmus genutzt um sicherzustellen dass die Last auf alle Teile gleichm ig verteilt wird und dass im Fall einer St rung beim Zugriff auf einen der Anteile ein reibungsloser Fallover m glich ist 6 Sie k nnen die Dateien im Speicher komprimieren und verschl sseln indem Sie eine der folgenden Optionen w hlen Nur autorisierte Administratoren k nnen auf verschl sselte Dateien auf der Management Console zugreifen Dateien komprimieren Dateien komprimieren und verschl sseln Dateien nicht komprimieren 7 Der hinzugef gte Netzanteile wird standardm ig im Shadow Dateispeicher als Aktiv definiert Sie k nnen mit der rechten Maustaste darauf klicken um die Option Deaktivieren zu w hlen Die Deaktivierung eines Netzanteils bedeutet dass keine Shadow Dateien mehr dorthin geschrieben werden Jedoch k nnen Dateien die sich bereits in dem Netzanteil befinden weiterhin von einem autorisierten Administrator betrachtet werden Sie k nnen ein Netzsegment l schen indem Sie ihn unter Shadow Dateispeicher ausw hlen und auf L schen kli
140. Policy aktualisieren wenn die Policies direkt vom Management Server d h Policy Server verteilt werden Hinweis Dieser Abschnitt wird auf der Seite Optionen nur dann angezeigt wenn der Policy Server zur Policy Verteilung genutzt wird d h entweder alleine oder zus tzlich zu GPO oder Registry Dateien 3 3 16 1 1 Kennwort f r Client Administration Hierbei handelt es sich um das Kennwort zur Ausf hrung von Administratorsaufgaben auf SafeGuard PortProtector Clients Hierzu geh ren auch das Aufheben und Deinstallieren des Clients Sie legen das Kennwort im Fenster Administrationskennwort fest So ffnen Sie das Fenster 1 Klicken Sie im Abschnitt Kennw rter f r Client Deinstallation und Administration auf die Optionsschaltfl che Policy spezifische Einstellungen festlegen ignorieren Sie diesen Schritt wenn Sie allgemeine Policy Einstellungen definieren 2 Klicken Sie neben dem Kennwort f r die Ausf hrung von Administrationsaufgaben auf dem SafeGuard PortProtector Client auf die Schaltfl che Kennwort ndern Das Fenster Administrationskennwort wird angezeigt Administrationskennwort x Kennwort f r Administrationsaufgaben auf Safend Protector Clients eingeben Kennwort Best tigen Das Kennwort muss den Kennwortrichtlinien der Organisation entsprechen Q 90 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 16 1 1 1 Definieren des Kennworts fur die Client Administration So definier
141. PortProtector Client ruft das Betriebssystem und fordert dass die Verbindung zu dem Ger t hergestellt wird Auf Endpunkten mit Windows 2000 ist das Betriebssystem gelegentliche nicht dazu in der Lage und das System muss neu gestartet werden Dazu werden Sie in einer SafeGuard PortProtector Meldung aufgefordert um die Verbindung zu dem Ger t herzustellen 8 4 SafeGuard PortProtector Client Taskleistensymbol Auf jedem durch SafeGuard PortProtector gesch tzten Computer wird ein Taskleistensymbol angezeigt Es kann st ndig oder zeitweilig erscheinen je nachdem wie der Administrator die Policy konfiguriert hat wie in Definieren der Client Sichtbarkeit auf Endpunkten im Kapitel Definieren von Policies beschrieben Hinweis Wenn die Client Sichtbarkeit auf Endpunkten auf den Stealth Modus gesetzt ist bleibt das Taskleistensymbol verborgen Wenn Sie den Mauszeiger ber das Taskleistensymbol bewegen werden dieselben Informationen angezeigt die in der Meldung erscheinen Bei der Freigabe eines Ger ts wird keine Meldung gezeigt und die Ger teeigenschaften erscheinen hier Hier einige Beispiele Use of Prolific USB to Serial Bridge COM3 is approved OS 16 39 PM Use of SONY DYD RW DRU 7104 is approved Mall 1 52 PM Dies ist das normale SafeGuard PortProtector Client Taskleistensymbol Der Administrator kann angeben dass das SafeGuard PortProtector Symbol immer in der Taskleiste angezeigt wird auch wenn SafeGuard PortProtec
142. Portkontrolle Allgemeine Eigenschaften Ger tekontrolle Policy Name Unbenannt 3 Eigent mer UTIMAC Administrator Speicherkontrolle gt Dateikontrolle Beschreibung 2 Gespeichert ZU berarbeitung 0 WiFi Kontrolle Einstellungen Protokollierung Alarme dbNeu L schen Optionen Endbenutzer Meldungen Objektname Beschreibung Die Policy ist mit keinem Organisationsobjekt verkn pft Klicken Sie auf Neu um sie zu verkn pfen Mediaverschl sselung Shadowing Optionen Benutzer Administrator UTIMACO Server localhost 43 SafeGuard PortProtector 3 30 Benutzerhilfe Die linke Seite des Fensters enth lt die folgenden Abschnitte Allgemein In diesem Abschnitt geben Sie den Namen und die Beschreibung der Policy ein und verkn pfen diese mit Organisationsobjekten In Verteilen von SafeGuard PortProtector Policies direkt vom Management Server aus in Kapitel 4 Verteilen von Policies finden Sie eine Erkl rung dieses Abschnitts Sicherheit Dieser Abschnitt enth lt die Definitionen der Sicherheitseinstellungen der Policy Portkontrolle Ger tekontrolle Speicherkontrolle Dateikontrolle und WiFi Kontrolle Diese Definitionen werden sp ter in diesem Kapitel beschrieben Einstellungen Dieser Abschnitt enth lt die Definitionen der zus tzlichen Einstellungen der
143. Protector Feature Mapping SafeGuard PortProtector 3 30 Benutzerhilfe The following table provides a list of relevant FISMA requirements and maps the relevant corresponding SafeGuard PortProtector features and brief instructions on how to apply them The full FISMA requirements list updated to August 2009 can be found at the following link http csrc nist gov publications nistpubs 800 53 Rev3 sp800 53 rev3 final pdf security relevant information to explicitly authorized personnel Requirement Requirement Description Relevant SafeGuard How to apply Number PortProtector SafeGuard Features PortProtector policies for FISMA compliance AC 3 1 Access Enforcement The SafeGuard In the Policies information system PortProtector World create a restricts access to prevents the use of New Policy and privileged functions and unauthorized configure it as devices on network computers and can prevent certain file types from being copied to storage media Different policies can be applied to different users so authorized personnel can get higher permissions needed To set file type control click the File Control tab in security policies 385 SafeGuard PortProtector 3 30 Benutzerhilfe Restrictions The organization uses authentication and encryption to protect wireless access and scans for unauthorized wireless access points PortProtector allows the organization to
144. S compliant context for the implementation of technology Foundation 1 Information Security Program An information security program consists of dedicated security professionals supported by management with the appropriate scope authority and budget to assess information security risks recommend mitigation techniques and ensure appropriate security risk management of the organization s assets A strong information security program will include an identification of reasonable threats to the organization s assets a review of the physical administrative and technical controls and the planning and implementation oversight of security controls to bring the security posture to an acceptable assurance level Any organization responsible for the protection of cardholder data will need a strong baseline of security controls and organizational support to implement PCI DSS requirements Foundation 2 PCI Compliance Project Demonstrating compliance with PCI DSS requirements will require internal and external resources sufficient to manage the project assess current controls create or revise existing security policies and procedures and configure or install new information technology This compliance process will require resources with experience in your organization s business objectives and current technology infrastructure as well as resources with experience in PCI DSS compliance readiness or assessment The compliance process can be a demandi
145. SOPHOS SafeGuard PortProtector 3 30 SP6 Benutzerhilfe Stand Marz 2010 SafeGuard PortProtector 3 30 Benutzerhilfe Wichtiger Hinweis Dieses Benutzerhandbuch wird vorbehaltlich folgender Bedingungen und Einschr nkungen ausgeliefert Dieses Handbuch enth lt Eigentumsinformationen die Eigentum von Sophos sind Diese Informationen werden ausschlie lich zum Zweck der Unterst tzung ausdr cklich und ordnungsgem befugter Benutzer von Sophos SafeGuard PortProtector ausgegeben Kein Teil seines Inhalts darf ohne vorherige schriftliche Genehmigung von Sophos f r einen anderen Zweck verwendet anderen Person oder Unternehmen offenbart oder in irgendeiner Weise elektronisch oder mechanisch reproduziert werden Text und Grafik dienen ausschlie lich der bildhaften Darstellung und Referenz nderungen der Angaben auf welchen sie basieren bleiben vorbehalten Die in diesem Handbuch beschriebene Software wird unter Lizenz zur Verf gung gestellt Die Software darf nur in bereinstimmung mit den Bedingungen dieser Vereinbarung verwendet oder kopiert werden nderungen der in diesem Handbuch enthaltenen Informationen bleiben vorbehalten Sofern nichts anderes erw hnt wird sind die in diesem Dokument verwendeten Namen und Daten von Unternehmen und Einzelpersonen frei erfunden Alle Informationen in diesem Dokument sind nach bestem Wissen und Gewissen gegeben jedoch ohne jegliche Gew hr auf Genauigkeit Vollst ndigkeit oder
146. SafeGuard PortProtector 3 30 Benutzerhilfe Port Device Type 196 Beschreibung Zeigt das Ereignis an M gliche Werte sind Port restricted Allowed Encrypted Read Only Blocked Disconnected Missing Logs tampering attempt Process Killed tampering attempt Invalid Files tampering attempt Invalid Policy tampering attempt Install Uninstall Uninstall Failed Wrong Admin Password Suspension Password Generated Suspended User Suspended Admin Suspension Failed Wieder aufgenommen d h fortgesetzter Schutz nach Suspendierung Set Offline Access Password Policy aktualisiert Other Client Errors Zugriffskennwort ge ndert Falsches Deinstallationskennwort Nicht authentifizierter Zugriff Zeigt den Porttyp des Ports der mit dem Ereignis verkn pft ist Zeigt den Ger tetyp des Ger ts das mit dem Ereignis verkn pft ist Spalte Device Description Device Info Group Policy Type Policy Vendor Model Distinct ID Details Client Local DB Insert Sequence SafeGuard PortProtector 3 30 Benutzerhilfe Beschreibung Zeigt die Beschreibung des Ger ts das mit dem Ereignis verkn pft ist Die Ger tebeschreibung wird vom Ger t entnommen Zeigt die Ger tedaten des Ger ts an das mit dem Dateiereignis verkn pft ist Die Ger tedaten werden vom Ger t entnommen Zeigt den Namen der Gruppe der freigegebenen Ger te Speicherger te oder WiFi Verbindungen an zu der d
147. SafeGuard PortProtector administration Incident response those responsible for responding to incidents involving lost or stolen storage devices rogue networks hybrid network bridging or unapproved data removal will require special permissions within SafeGuard PortProtector and access to audit tools Document the incident response roles within your organization and the permissions and access required Maintenance those responsible for handling end user issues such as peripherals and network connectivity will require the ability to request modifications to object or user permissions Document maintenance roles within your organization and the permissions and access required 14 2 Implementing SafeGuard PortProtector in a SOX Regulated Organization This section provides specific SafeGuard PortProtector setting guidance for the policy user and administrator parameters within the SafeGuard PortProtector product 352 Implementation Approaches describes the different implementation approaches suggested in this document SOX policy settings describes the setting and configuration of SafeGuard PortProtector Policies for implementation within a SOX regulated environment Other SafeGuard PortProtector SOX Settings describes the setting and configuration of SafeGuard PortProtector Settings that are not a part of the policy Relevant SOX Requirements provides additional information on the SOX Security Rule requirements SafeGuard
148. SafeGuard PortProtector erl utert Ger tetypen mittlerer Bereich Wenn Sie die Option Einschr nken f r Alle Ger te wie im vorangegangenen Absatz beschrieben ausgew hlt haben k nnen Sie mit dieser Option den Zugriff auf ein Ger t anhand seines Typs zulassen oder einschr nken z B Drucker Netzwerkadapter oder Bildbearbeitungsger te Die zur Auswahl stehenden Ger tetypen sind in SafeGuard PortProtector integriert Wenn Sie ein Ger t zulassen m chten das nicht hier aufgef hrt ist f gen Sie es Ihrer Liste der zugelassenen Ger te in der Wei e Liste hinzu Verwenden Sie hierf r die unten beschriebene Option Freigegebene Modelle oder Spezifische Ger te Eine Liste der unterst tzten Ger tetypen finden Sie im Anhang unter Supported Device Types Nicht bei den Ger tetypen oder in der Wei en Liste freigegebene Ger te unterer Bereich Wenn Sie die Option Finschr nken f r Alle Ger te gew hlt haben k nnen Sie mit dieser Option festlegen ob eine versuchte Aktivit t von Ger ten unbekannten Typs die gem Voreinstellung gesperrt sind protokolliert und oder daf r ein Alarm erzeugt werden soll Weitere Informationen finden Sie in Zulassen Sperren nicht klassifizierter Ger te 57 SafeGuard PortProtector 3 30 Benutzerhilfe Eine Beschreibung fiir die Definition der Optionen in diesem Fenster finden Sie in Definieren der Ger tekontrolle 3 3 5 2 Ger tekontrolle Registerkarte Wei e Liste SafeGuard PortPr
149. SafeGuard See Consideration 2 access to cardholder PortProtector canbe Data Environment data applied to network Separation for a endpoints to restrict discussion of data leakage or separating the unintended data cardholder data transfers between environment systems PCI organizations must limit system components that require access transmission or storage of cardholder data and physically separate these from other network components 10 Track and monitor SafeGuard Use the SafeGuard all access to network PortProtector records PortProtector resources and endpoint events recommended cardholder data associated with storage logging p for n ort device storage 10 2 implement devices and media in File And WiFi 8 automated audit trails for all system components to reconstruct the following events Individual user accesses to cardholder data All actions taken by any individual with administrative privileges Access to all audit trials Invalid logical access attempts Use of identification land authentication Imechanisms Initialization of the audit logs client logs An event Imay be a device connection or disconnection a wireless network connection tampering attempts or administrator login Event logs include endpoint identify user event type and time SafeGuard PortProtector also creates server logs for administrative events such as administrator login publishing po
150. Sie die Kommunikation herstellen m chten Klicken Sie auf OK 4 Klicken Sie auf der linken Seite mit der rechten Maustaste auf WMI Control hostname und w hlen Sie Properties Die Anwendung scannt den Remote Computer unter Verwendung von WMI 5 Das Scanergebnis gibt den Status der WMI Konnektivitat zwischen dem SafeGuard PortProtector Management Server und dem Zielrechner an 223 SafeGuard PortProtector 3 30 Benutzerhilfe 6 11 Vor bergehende Aufhebung des SafeGuard Schutzes Es kann manchmal erforderlich sein den SafeGuard Schutz auf einem Client tempor r au er Kraft zu setzen ohne SafeGuard PortProtector Client zu deinstallieren Das k nnte beispielsweise der Fall sein wenn ein Benutzer der sich nicht im B ro befindet auf einem Laptop einmalig ein nicht autorisiertes Disk on Key Ger t anschlie en muss um eine wichtige Pr sentation einzusehen die sich auf diesem Disk on Key befindet Der Endbenutzer ben tigt ein Kennwort um die Suspendierung durchzuf hren Dieses Kennwort wird vom Administrator generiert und dem Benutzer zur Verf gung gestellt Die Aufhebung beginnt sobald der Benutzer das Kennwort eingibt und gilt f r einen voreingestellten begrenzten Zeitraum Sobald der Zeitraum abgelaufen ist wird der Schutz des Clients wiederhergestellt Wenn der Schutz wieder hergestellt ist werden die Client Logs hinsichtlich der Ger te aktualisiert die w hrend des Suspendierungszeitraums angeschlossen wurden und hin
151. Sonstiges und mit dem ausdr cklichen Verst ndnis dass Sophos keinerlei Verpflichtungen gegen ber Dritten in irgendeiner Form hat die aus den Informationen oder im Zusammenhang mit den Informationen oder deren Nutzung entstehen Sophos SafeGuard PortProtector und Sophos SafeGuard PortAuditor sind OEM Versionen der Safend Produkte Safend Protector und Safend Auditor Einige Screenshots in diesem Handbuch weisen daher das Safend Branding auf haben jedoch die gleiche Bedeutung und Funktionsweise wie in der SafeGuard OEM Version Boston USA Oxford UK Copyright 2010 Sophos Alle Rechte vorbehalten All trademarks are the property of their respective owners Namen anderer Unternehmens und Markenprodukte und Dienstleistungen sind Marken oder eingetragene Marken ihrer jeweiligen Eigent mer POWERED BY 8 safend SafeGuard PortProtector 3 30 Benutzerhilfe Uber dieses Handbuch Dieses Handbuch besteht aus den folgenden Kapiteln Kapitel 1 Einf hrung in SafeGuard PortProtector stellt die SafeGuard PortProtector L sung sowie die Architektur des Systems vor und beschreibt wie es funktioniert Es beschreibt die Funktionen und Vorteile insbesondere die neuen Funktionen in dieser Version und zeigt einen Workflow Vorschlag wie das System fiir den Schutz der Endpunkte in Ihrer Organisation eingesetzt werden kann Kapitel 2 Erste Schritte beschreibt wie die SafeGuard PortProtector Management Console gestartet wird Da
152. Steuerungsschaltfl chen vereinfachen das ffnen und die Handhabung der Fenster in der Policies Welt und Logs Welt Arbeitsbereich bietet je nach aktiver Welt andere Informationen und Optionen die in sp teren Kapiteln beschrieben werden Die Home Welt die als Erste nach dem Start der SafeGuard PortProtector Management Console angezeigt wird ist in Start Welt beschrieben 25 SafeGuard PortProtector 3 30 Benutzerhilfe 2 3 Welten Die SafeGuard PortProtector Management Console besteht aus vier Registerkarten Jede Registerkarte oder Welt verwaltet einen anderen Aspekt der Anwendung Start diese Welt die in Start Welt beschrieben ist liefert sowohl eine bersicht ber die g ngigsten Aufgaben als auch Informationen aus anderen Welten Sie ist die zentrale Stelle von der aus Sie diese Aufgaben aktivieren und auf die Informationen zugreifen k nnen Policies in dieser Welt die im Kapitel Definieren von Policies beschrieben ist definieren und verwalten Sie die Policies einschlie lich Port Ger te und WiFi Berechtigungen freigegebener Ger te und Netze White List Verschl sselung der Wechselspeicherger t etc Logs in dieser Welt die im Kapitel Anzeigen von Logs beschrieben ist k nnen Sie die Logs die von gesch tzten Clients gesendet wurden abfragen anzeigen und verwalten Client in dieser Welt die im Kapitel Verwalten von Clients beschrieben ist zeigen Sie Client Eigenschaften u
153. The SafeGuard PortAuditor utility will automatically detect devices and networks that are currently or previously connected Review your Default No Access and least privilege policies as they apply to the endpoints that have now been inventoried classified and scanned Make a list of the intended profiles for each endpoint classification Preparation 2 Determine User Access Roles SafeGuard PortProtector allows for the specification of allowed ports devices and Wi Fi usage according to user user group or organizational unit as defined by Active Directory or Novel eDirectory It is important to note that any user privileges granted through this mechanism will trump those specified for an individual endpoint For example if you set up a user to have Wi Fi access over WPA networks and have also locked down a laptop to block Wi Fi access that user will be able to gain Wi Fi access through that laptop With this rule in mind it is strongly recommended that you be very careful when creating any user privileges as those privileges will apply to any endpoint to into which that user logs Instructions Determine user roles within your SafeGuard PortProtector implementation User this role is the normal user role that has no additional privileges associated Privileged user this role has extended privileges such as the ability to write files to a USB device or connect to aWPA enabled Wi Fi network Determine compensating
154. UILTIN Administrators v Neue Benutzergruppe erstellen Format Dom ne Benutzergruppe 3 Eine Erl uterung dieses Fensters finden Sie in ndern der Administrators Benutzergruppe Hinweis Sie miissen eine Benutzergruppe auswahlen um eine Rollendefinition nutzen zu k nnen Hinweis Wenn Sie Novell einsetzen k nnen Sie nur eine lokale Benutzergruppe auf dem Management Server benutzen 4 Mit der Funktion Dom nenpartitionierung ist die Partitionierung der Container einer Organisation m glich so dass darauf nur von den SafeGuard PortProtector Console Administratoren zugegriffen werden kann die f r deren Bearbeitung verantwortlich sind Diese Funktion beeinflusst fast alle Aspekte von der SafeGuard PortProtector Oberfl che so dass nur die Container in der SafeGuard PortProtector Console angezeigt werden die mit der Dom nenpartition verkn pft sind die dem SafeGuard PortProtector Benutzer zugewiesen ist Hinweis Die Rollenberechtigungen legen fest welche administrativen Ma nahmen die einzelnen SafeGuard PortProtector Administratoren ausf hren k nnen Die Einstellungen der Dom nenpartition definieren die Clients auf denen sie diese Aktionen ausf hren k nnen Um die Partition f r diese Rollenberechtigung zu ndern w hlen Sie in der Dropdown Liste Dom nenpartition eine andere Partition Wenn Sie eine neue Dom nenpartition definieren wollen klicken Sie auf Neue Partition Um eine vorhandene D
155. WiFi Control Gruppen von Ger temodellen Gruppen von spezifischen Ger ten und Gruppen von WiFi Netzen sowie deren Zugriffsberechtigungen auf die im Fenster Port Control zugelassenen Ports definieren Freigeben von CD DVD Medien beschreibt wie die Nutzung von mit Fingerprint versehenden CD DVD Medien zugelassen wird indem Sie diese in eine White List eintragen Verwalten von Policies erl utert wie Sie Aktionen ausf hren wie etwa Speichern und Ver ffentlichen einer Policy Exportieren und Importieren von Policies L schen von Policies etc Optionen f r aktives Fenster behandelt das Duplizieren L sen und Schlie en eines Fensters 37 SafeGuard PortProtector 3 30 Benutzerhilfe 3 1 Was ist eine Policy Eine SafeGuard PortProtector Policy definiert wie Sie den Zugang ber die Ports der Endpunkte die zu einer bestimmten Organisationseinheit OU Gruppe von Computern oder Benutzern geh ren sch tzen m chten Die Gesamtheit der SafeGuard PortProtector Policies und deren Zuweisung zu den Organisationseinheiten bestimmt die Schutzpolicy Ihrer Organisation Eine SafeGuard PortProtector Policy gibt an welche Ports zugelassen gesperrt oder eingeschr nkt werden Eingeschr nkt Restricted bedeutet dass nur angegebene Ger tetypen Ger temodelle spezifische Ger te oder WiFi Verbindungen Zugang ber diesen Port erlangen k nnen In einer Policy werden die Zugriffsberechtigungen f r Speicherger tetypen Speicherger
156. X 404 compliant context for the implementation of technology Foundation 1 Information Security Program An information security program consists of dedicated security professionals supported by management with the appropriate scope authority and budget to assess information security risks recommend mitigation techniques and ensure appropriate security risk management of the organization s assets A strong information security program will include an identification of reasonable threats to the organization s assets a review of the physical administrative and technical controls and the planning and implementation oversight of security controls to bring the security posture to an acceptable assurance level Foundation 2 Audit Program An organization seeking to comply with SOX must have an existing internal audit program Such a program comprises the policies and procedures that govern the internal audit function At a minimum an internal audit program includes an audit charter establishing the audit function annual risk assessments an audit plan goals schedules and staffing for audit and audit processes for the audit cycle audit efforts audit reports and audit documentation 14 1 2 Considerations To ensure the protection of the organization s assets there are a number of control objectives that must be met Prior to embarking on an effort to implement these control objectives SOX organization should first consider several
157. a recommended element of the HIPAA compliance program to be implemented along with the installation and configuration of SafeGuard PortProtector Within the description of each of these considerations a set of instructions is also provided to assist in the preparation of SafeGuard PortProtector integration and configuration Consideration 1 Policies and Procedures A formally documented security policy is a statement of management s intent for protecting corporate assets from fraud waste and abuse With the emergence of the data leakage threat data access policies and procedures must be reviewed and revised The principle of least privilege which states that each user device should be granted only the level of access required to perform the job needs to be interpreted to address portable media and devices Instructions Ensure that your current policies are based on the principle of Default No Access This principle dictates that by default all users have no access to any corporate resources If no such policy statement exists create one Develop guidance that interprets the Default No Access policy and the Least Privilege policy to the roles within your organization and to the computing devices within your organization Develop procedures for handling exceptions to the policies These exceptions will be based on operational needs such as media backup data transfer and remote access to networks for te
158. able storage devices can be used only when connected to protected endpoints An optional function allows or prohibits content from being opened on non organizational computers For Non encrypted Devices policies can be deployed that determine behavior when a non encrypted device is detected the device may either be blocked or permitted Read Only access Wireless networks can be controlled at the endpoint Two types of control are available Specify which connection types are allowed access Determine which specific networks are allowed access encryption policies and procedures within a HIPAA organization SafeGuard PortProtector can enforce these procedures by blocking attempts to read or write unencrypted devices and guide the user in the process of encrypting an unencrypted device blocking the use of encrypted devices outside the organization ensuring wireless communication is restricted to properly encrypted and approved wireless networks 345 SafeGuard PortProtector 3 30 Benutzerhilfe 164 312 b Audit Controls SafeGuard Configure Implement PortProtector records SafeGuard hardware endpoint events PortProtector to software and or associated with collect client and procedural storage devices and server logs mechanisms that media in client logs according to your record and An event may be a organizations examine activity in device connection or polic
159. acht den Verkehr in Echtzeit und setzt individuell angepasste h chst effiziente Sicherheitspolicies auf allen physischen und kabellosen sowie auf allen Speicherger te Schnittstellen um 1 2 SafeGuard Schutz So sch tzt SafeGuard PortProtector die Endpunkte 1 2 1 Portkontrolle SafeGuard PortProtector kann die Nutzung beliebiger bzw aller Computerports in Ihrer Organisation auf intelligente Weise zulassen sperren oder beschr nken je nach dem auf welchem Computer sich die Ports befinden welcher Benutzer angemeldet ist und oder um welchen Porttyp es sich handelt Safend kontrolliert folgende Ports USB PCMCIA FireWire Secure Digital seriell parallel Modem z B Einwahl 3G etc WiFi IrDA und Bluetooth Ein gesperrter Port ist nicht verf gbar so als ob seine Kabel abgetrennt w ren Beim Hochfahren des Computers oder bei der bernahme einer Policy die einen zuvor zugelassenen Port sperrt wird ber die Sperrung eines Ports informiert SafeGuard PortProtector Management Console laj x Datei Bearbeiten Ansicht Extras Fenster hilfe BEN Policies NY TTA Policies ij Neu Policies Integriert Alle zulassen Keine Proto x aw a Xone a Allgemein Auf dieser Seite legen Sie die allgemeinen Portberechtigungen fest Setzen Sie einen Ports auf Zulassen Sperren um alle Aktivit ten ber diesen Eigenschaften Port zu kontrollieren Um die Berechtigungen detaillierter zu definieren setzen Sie den Port auf Einschr n
160. afeGuard PortProtector 3 30 Benutzerhilfe 7 9 Konfigurieren der Einstellungen auf der Registerkarte Lizenzierung Lizenzdetails werden auf der Registerkarte Lizenzierung des Fensters Administration angezeigt und aktualisiert Administration x Dieses Produkt ist lizenziert f r Allgemein Benutzername yuval Policies E Mail Adresse yuval safend com Logs und Alarme Ablauf Nie Pl tze 10 verschl sselte Pl tze 10 Clients Pflege Mit Reporting Unterst tzung Mit Unterst tzung f r Datei Shadowing izenzerial tualigianentyt Lizenznutzung Derzeit genutzte Pl tze 0 Lizenzierung Derzeit genutzte verschl sselte Pl tze 0 Kontaktieren Sie bitte Ihren rtlichen Wiederverk ufer oder sales safend com f r den Erwerb einer Lizenz dieses Produkts Website www safend com Support support safend com Abbrechen Hinweis SafeGuard PortProtector bietet verschiedene zus tzliche Funktionen die durch eine Lizenz aktiviert werden Diese Zusatzfunktionen sind unter Dieses Produkt ist lizenziert f r aufgef hrt 268 SafeGuard PortProtector 3 30 Benutzerhilfe 7 9 1 Lizenzeinstellungen Wenn Sie die Anwendung zum ersten Mal ffnen wird ein Fenster angezeigt das Sie dar ber informiert dass die Installation in 30 Tagen ablauft In dieser Zeit sollten Sie Sophos kontaktieren und eine Lizenz fiir das Produkt erwerben Wenn die Lizenz bereits abgelaufen ist wird eine Meldung angezeig
161. agement Server mit den Clients Kontrolle und Erfassung von Logs und mit den Management Consoles Definieren von Policies berpr fung von Logs etc kommuniziert Die gesamte Management Server Kommunikation ber diese TCP Ports wird mit SSL verschl sselt Bei der Installation unter Windows 2003 wird Port 4443 gem Voreinstellung f r die SSL Kommunikation Server Console genutzt und Port 443 wird standardm ig f r die SSL Kommunikation Server Client genutzt Bei der Installation unter Windows XP wird Port 443 als Standardport sowohl f r die SSL Kommunikation vom Server als auch vom Client benutzt Falls Sie die Portnummer aus irgendeinem Grunde ndern m chten k nnen Sie sie in den Microsoft IIS Einstellungen auf dem Management Server Computer ndern So ndern Sie den Port 1 ffnen Sie die IIS Einstellungen in der Systemsteuerung auf Ihrem Management Server Computer Verwaltung gt Internet Information Services 2 Suchen Sie die SafeGuard PortProtector Site Bei Windows XP ist das Default Web Site Bei Windows 2003 gibt es zwei Web Sites SafeGuard PortProtector Web Site f r Management Console Kommuinikation Standardport 4443 und SafeGuard PortProtector Web Site WS f r Client Kommunikation Standardport 443 231 SafeGuard PortProtector 3 30 Benutzerhilfe 3 ndern Sie die SSL Ports auf die gew nschten Ports 4 Beenden Sie den IIS Arbeitsprozess auf Ihrem Management Server Bei Windows XP ist da
162. agement Servers voreingestellt und hat alle Berechtigungen einschlie lich der M glichkeit Administrationseinstellungen zu bearbeiten Die mit dieser Rolle verkn pfte Benutzergruppe wird aus der Gruppe abgeleitet die im Single Rolle Modus definiert ist Um eine neue Rolle anzulegen klicken Sie auf Neu Um eine vorhandene Rolle zu bearbeiten klicken Sie auf Bearbeiten Das folgende Fenster wird angezeigt Rollenberechtigungen p x x Rollenname Benutzergruppe Nicht definiert gt Berechtigungen Zulassen Policies Lesen oO Schreiben O Logs Lesen C Abfragen schreiben O Shadow Dateien anzeigen C Benutzerdaten anzeigen T Clients Lesen O Suspendierungskennwort gew hren O Allgemeine Policy Einstellungen Lesen C Schreiben O Administration Lesen C Schreiben m Abbrechen Eine Erl uterung der Definition von Rollenberechtigungen finden Sie in Definieren von Rollenberechtigungen 240 SafeGuard PortProtector 3 30 Benutzerhilfe 7 3 1 5 2 3 Definieren von Rollenberechtigungen So definieren Sie Rollenberechtigungen 1 Wenn es sich um eine neue Berechtigung handelt geben Sie den Namen der Rolle bei Rollenname ein 2 Wenn Sie die Benutzergruppe definieren oder ndern m chten klicken Sie auf ndern Das Fenster Benutzergruppe ndern wird angezeigt Benutzergruppe ndern x w hlen Sie eine Benutzergruppe wie in Ihrem Active Directory definiert vorhandene Benutzergruppe w hlen B
163. alle Aktivit ten ber diesen Eigenschaften Portkontrolle Geratekontrolle Dateikontrolle elelelele WiFi Kontrolle Protokollierung Alarme Endbenutzer Meldungen Shadowing gt Mediaverschl sselung gt Speicherkontrolle Optionen Port zu kontrollieren Um die Berechtigungen detaillierter zu definieren setzen Sie den Port auf Einschr nken und definieren die Ger tekontrolle bzw Speicherkontrolle ECT Seriell Physische Ports Aktion Log Alarm USB vy v Firewire v q 9 PCMCIA vy v SecureDigital vy 9 v 7 Parallel vy 7 Modem vy 7 Interne Ports v 7 Drahtlose Ports Aktion Log Alarm wiri vx 7 IrDA vy 7 Bluetooth vy 7 Anti Hybridnetz berbr ckung Aktion Hybridnetz berbr ckung va Benutzer Administrator UTIMACO Server localhost Hinweis SafeGuard PortProtector berwacht auch interne Computer Ports Zu den internen Ports geh ren Speicherbusse wie etwa IDE SCSI ATA und S ATA f r den Anschluss interner Festplatten sowie PCI und PCI X genutzt werden die Ger te wie Modems und Netzwerkkarten bedienen Bei Interne Ports ist Aktion immer auf Zulassen gesetzt weil diese Ports zwar berwacht aber nicht kontrolliert werden k nnen nderungen an diesen Ports k nnen protokolliert werden und es kann daf r ein Alarm ausgegeben werden Dies i
164. altfl che Von um ein definitives Datum und eine definitive Zeit auszuw hlen ab wann Datens tze angezeigt werden sollen Markieren Sie das Kontrollk stchen Bis wenn Sie ein definitives Enddatum und eine definitive Endzeit festlegen m chten so dass nur Datens tze angezeigt werden die zwischen die Von und Bis Zeit fallen Als Ergebnis werden nur Datens tze in der Log Tabelle angezeigt die Ihrer Auswahl entsprechen 5 5 4 2 Allgemeine Eigenschaften Server Logs Die allgemeinen Abfrageeigenschaften werden auf der unten gezeigten Registerkarte Allgemein definiert Abfrageeigenschaften Unbenannt Server Logs d xj Zeit Allgemein Nach Ereignissen CO Lizenzverletzung C Backup erfolgreich C Admin An Abmeldung C Backup fehlgeschlagen O Policy gespeichert C Datenbank Notl schen O Policy ver ffentlicht C Notl schen des Shadow Dateispeichers O Policy gel scht C Authentifizierungsstatus zur ckgesetzt C shadow angezeigt C Schl ssel f r Ger tezugriff gew hrt C suspendierungskennwort generiert C Allgemeine Policy Einstellungen ge ndert C Administration ge ndert M Nach Benutzer Name enth lt M Nach Computer Name enth lt a Details enthalten Logtyp Logs und Alarme Nur Alarme Speichern unter Speichern Auf hren Schlie en 189 SafeGuard PortProtector 3 30 Benutzerhilfe 5 5 4 2 1 Definieren
165. am should be part of the overall data leakage risk mitigation project 349 SafeGuard PortProtector 3 30 Benutzerhilfe Instructions Update annual security awareness training and periodic security awareness reminders to include a discussion of data leakage threats updated policies user actions required behavior prohibited and devices restricted Wi Fi Threats use on unapproved networks rogue networks hybrid network bridging WEP authentication Mobile Storage Device Threats physical loss data removal malicious code insertion Consideration 4 Incident Response In the event of a security breach resulting in the disclosure modification or interruption of service SOX 404 compliant organizations are required to have policies procedures and the capability of investigating the incident As the set of possible security incidents expands to include data leakage organizations must update their policies procedures and capabilities to respond to these incidents Instructions Update incident response procedures to address data leakage issues Specifically create procedures for the following incident types Lost or stolen mobile storage device Found rogue network Found hybrid network bridging Unapproved data removal 14 1 3 Preparations SafeGuard PortProtector allows organizations to control access and protect endpoints based on user roles network domains computer types and criticality of syste
166. andard human Parallel Allow Allow interface devices The access restrictions to these ports for storage devices will be further restricted through storage control below WiFi Restrict Restrict Restricting access to WiFi networks allows for a finer granularity of control under the WiFi 335 SafeGuard PortProtector 3 30 Benutzerhilfe Setting Standard HIPAA Aggressive HIPAA Approach Approach Rationale control section of the policy security Modem Allow log Allow log Use of Modem IrDA IrDA Allow log Block log lor Bluetooth can lead to lunauthorized network Bluetooth Allow log Block log connections At a Iminimum use of these ports should be logged IA more aggressive posture would block and log IrDA and Bluetooth links Network Bridging Block All Block All Blocking user access to WiFi Bluetooth Modems and IrDA links while connected to the TCP IP network interface protects endpoints from the dangerous practice of hybrid network bridging Device Control Hardware Keyloggers Allow Allow Although the use of hardware keyloggers should be restricted and users should be protected from these attacks usability concerns override the need for this restriction Human Interface Allow Allow It is typically not considered a risky practice to allow users to connect to
167. angezeigt Tastaturen zur cksetzen Durch diesen Yorgang werden alle Hubs freigegeben ber die Tastaturen angeschlossen sind so dass diese von Safend Protector nicht f r Hardware Keylogger gehalten werden Stellen Sie sicher dass kein Hardware Keylogger an dem Computer angeschlossen ist bevor Sie fortfahren M chten Sie wirklich fortfahren 285 SafeGuard PortProtector 3 30 Benutzerhilfe 3 Vergewissern Sie sich dass kein Hardware Keylogger zwischen der Tastatur und dem Computer angeschlossen ist 4 Klicken Sie im Fenster Tastaturen zur cksetzen auf OK Alle Hubs ber die die Tastatur angeschlossen ist werden jetzt freigegeben und die Tastatur funktioniert wieder Hinweis Denken Sie immer daran das SafeGuard PortProtector Client Fenster nach der Ausf hrung der administrativen Aufgaben zu schlie en Andernfalls k nnen unbefugte Benutzer Administrationsfunktionen ausf hren Nachdem Sie das Fenster geschlossen haben m ssen Sie Ihr Administrationskennwort wieder eingeben um Administrationsfunktionen ausf hren zu k nnen 8 6 Panik Modus Wenn ein Client manipuliert wird wechselt er in den Panik Modus und sperrt alle Ports Wenn das passiert wird im SafeGuard PortProtector Client Fenster die folgende Meldung im Abschnitt Schutzstatus angezeigt Panic machine policy corrupted Es kann ein Logereignis Ung ltige Policy ausgegeben werden wenn einige Teile der Policy noch intakt sind Wenn sie aber total bes
168. ankpflege rechts neben dem Feld So konfigurieren Sie die Netzsegmente die als Shadow Dateispeicher dienen auf Konfigurieren Das folgende Fenster wird angezeigt das die bereits als Speicher fiir Shadow Dateien definierten Netzsegmente auff hrt Shadow Dateispeicher xl m Shadow Dateispeicher Definieren Sie die Netzsegmente in denen Sie Shadow Dateien speichern m chten Netzsegment _ Genutzte Status Bearbeiten L schen Speicheroptionen f r Shadow Dateien w hlen Sie wie die Shadow Dateien im Speicher abgelegt werden sollen Dateien komprimieren Dateien komprimieren und verschl sse Dateien nicht komprimieren 2 Klicken Sie auf die Schaltfl che Neu um einen neuen Netzanteil zu definieren Das folgende Fenster wird angezeigt Netzsegment x r Netzsegment Pfad zum Netzsegment Zugriffsberechtigungen Geben Sie die Zugriffsberechtigungen f r die Datenbank an damit der Safend Protector Management Server aus ihr lesen bzw in sie schreiben kann Aktuelle Benutzerberechtigungen des Management Servers verwenden Benutzerspezifische Zugriffsberechtigungen Benutzer Kennwort Dom ne Q validieren Abbrechen 3 Klicken Sie auf Durchsuchen um ein Fenster zu ffnen in dem Sie den Pfad zu diesem Netzsegment angeben k nnen 263 SafeGuard PortProtector 3 30 Benutzerhilfe 4 W hlen Sie den
169. arauf schreiben k nnen A USB 2 0 Flash Disk USB Device x According to company policy removable storage may only be used in read only mode Please contact your system administrator for further details EICI TEEN 8 1 7 WiFi Verbindung gesperrt Es wird eine Meldung angezeigt wenn die WiFi Verbindung gesperrt ist und versucht wird den Host mit einem WiFi Netz zu verbinden Das w rde bedeuten dass der WiFi Port eingeschr nkt wurde und der Link keinem der Links in der wei en Liste entspricht My WiFi Link The WiFi link you are trying to set up is not approved Please contact your system administrator for further details POA 1 39pm 8 1 8 Hardware Keylogger gesperrt Es wird eine Meldung angezeigt wenn ein verd chtiger USB Hardware Keylogger angeschlossen ist Dadurch wird die Benutzung der Tastatur gesperrt bis der Key Logger entfernt wird Blocked Hardware Key Logger 4 suspected hardware key logger has been blocked Your keyboard has been blocked as a result The keyboard will work if you connect it directly to the computer For assistance contact the System Administrator MO 1 39PM 8 1 9 Policy aktualisiert Fine Meldung wird angezeigt wenn dem Computer Benutzer eine neue Policy zugewiesen wird Im Folgenden wird beschrieben wie sich SafeGuard PortProtector verh lt falls die neue Policy einen zuvor zugelassenen Port bzw ein zuvor zugelassenes Ger t oder Netz sperrt
170. ard PortProtector De centralized administration of SafeGuard PortProtector is delegated to departments that are responsible for the administration of their own part of the domain If you chose this method of administration then determine the domain partitions for which each department will be responsible for the administration Determine administration roles within each domain 333 SafeGuard PortProtector 3 30 Benutzerhilfe The SafeGuard PortProtector administrator may be set up as a single role or you may delegate administrative privileges to implement separation of duties Determine the set of administrative roles that you will implement Plan maintenance and incident response function for SafeGuard PortProtector administration Incident response those responsible for responding to incidents involving lost or stolen storage devices rogue networks hybrid network bridging or unapproved data removal will require special permissions within SafeGuard PortProtector and access to audit tools Document the incident response roles within your organization and the permissions and access required Maintenance those responsible for handling end user issues such as peripherals and network connectivity will require the ability to request modifications to object or user permissions Document maintenance roles within your organization and the permissions and access required 13 2 Implementing SafeGuard PortProtector in
171. ard PortProtector Policies finden Verteilung von SafeGuard PortProtector Policies unter Verwendung von Registry Dateien beschreibt wie SafeGuard PortProtector Policies als Registry Dateien in einem freigegebenen Ordner gespeichert werden damit Sie durch Tools von Drittanbietern an die SafeGuard PortProtector Clients verteilt werden k nnen Mit dieser Option k nnen Sie Policies in Novell eDirectory importieren und sie mit den Funktionen von eDirectory verteilen Zusammenf hren von Policies beschreibt wie SafeGuard PortProtector Policies bei Bedarf zusammenf hrt 130 SafeGuard PortProtector 3 30 Benutzerhilfe 4 1 bersicht SafeGuard PortProtector bietet drei Verfahren f r das Deployment von Policies Direkt vom Management Server aus diese Funktion wird auch als Policy Server bezeichnet Mit dieser Option k nnen Sie Policies direkt in der Management Console mit Organisationsobjekten verkn pfen Nach der Zuweisung werden die Policies vom Management Server direkt ber SSL an die SafeGuard PortProtector Clients verteilt Unter Verwendung von Active Directory Bei dieser Option wird der standardm ige GPO Verteilungsmechanismus von Active Directory zur Verteilung von Policies genutzt wie weiter unten beschrieben Dies ist die Standardoption In diesem Fall erzeugt ver ffentlicht SafeGuard PortProtector automatisch jede Policy die Sie in der SafeGuard PortProtector Management Console definieren als ein GPO in Ac
172. are auf den Endpunkten zug nglich ist Hinweis Bei jeder nderung einer der Einstellungen auf dieser Registerkarte m ssen Sie unten im Fenster Administration auf OK klicken damit die nderungen bernommen werden So legen Sie den freigegebenen Ordner f r Client Installationsdateien fest 1 Klicken Sie auf Durchsuchen 2 W hlen Sie einen Netzwerkpfad f r den freigegebenen Ordner und klicken Sie auf OK 3 Sobald Sie einen neuen Pfad festgelegt haben kopiert der Server die folgenden Dateien in den neuen Pfad SafeGuardPortProtectorClient msi SafeGuardPortProtectorClient exe ClientConfig scc 4 Sie k nnen auch jederzeit auf Dateien neu erstellen klicken um die Dateien neu zu erstellen falls sie aus irgendeinem Grund besch digt wurden Anweisungen zum Client Deployment finden Sie im SafeGuard PortProtector Installationshandbuch Hinweis Weitere Client Einstellungen wie etwa Kennwort f r die Deinstallation Log Intervall und Sichtbarkeitseinstellungen f r den Client werden im Fenster Allgemeine Policy Einstellungen festgelegt das Sie ber das Men Extras erreichen und das in Schritt 9 Allgemeine Policy Einstellungen definieren im Kapitel Definieren von Policies beschrieben ist 7 6 1 2 Kennworteinschr nkungen In SafeGuard PortProtector gibt es einige Stellen an denen die Bedienung kennwortgesch tzt ist wie etwa beim Deinstallieren eines Clients beim Einsatz des Offline Access Utility beim Zugriff auf di
173. arkieren Sie dieses Kontrollk stchen wenn Sie im Log nur Dateien anzeigen m chten die mit einem bestimmten Kontrollereignis verkn pft sind Markieren Sie in diesem Fall das entsprechende Kontrollk stchen f r die Ereignisse die aufgenommen werden sollen Nach Port Markieren Sie dieses Kontrollk stchen wenn Sie im Log nur Dateien anzeigen m chten die mit einem bestimmten Port verkn pft sind Markieren Sie in diesem Fall das entsprechende Kontrollk stchen f r die Ports die aufgenommen werden sollen 187 SafeGuard PortProtector 3 30 Benutzerhilfe Nach Policy In diesem Abschnitt k nnen Sie den Namen ganz oder teilweise der Policy bzw Policies eingeben die mit den Datens tzen in der Log Tabelle verkn pft werden sollen Es werden nur Policies angezeigt deren Name den von Ihnen eingegebenen Text enth lt Wenn Sie diesen Abschnitt ausw hlen werden in der Log Tabelle Datens tze unabh ngig von der Policy mit der sie verkn pft sind angezeigt Wenn Sie diesen Abschnitt ausw hlen m ssen Sie einen der Policy Typen ausw hlen Logtyp In diesem Abschnitt k nnen Sie w hlen ob die Log Tabelle Logs und Alarme oder nur Alarme anzeigen soll abh ngig davon wie Sie die Log und Alarmeinstellungen im Fenster Dateikontrolle Ihrer Policy festgelegt haben kann bei der Anzeige von Logs und Alarmen eine sehr gro e Anzahl an Datens tzen generiert werden Klicken Sie auf die gew nschte Optionsschaltfl che 5 5 4 Def
174. as mit diesem Ereignis verkn pfte Ger t bzw die Verbindung geh rt Gibt an ob es sich bei der zugewiesenen Policy um eine Computer Policy oder eine Benutzer Policy handelt Zeigt den Namen der Policy an die auf dem meldenden Client angewandt ist Wenn auf diesem Client Policies zusammengef hrt sind werden alle zusammengef hrten Policies aufgef hrt Zeigt den Ger tehersteller an Zeigt das Ger temodell an Zeigt die eindeutige ID des spezifischen Ger ts an sofern verf gbar Zeigt ggf Zusatzinformationen an z B Verschl sselungstyp f r WiFi Netzwerkverschl sselung Name der manipulierten Datei etc Zeigt die Ereigniszeit als lokale Zeit des Clients der das Ereignis gemeldet hat Zeigt den Zeitpunkt als Management Console Zeit an an dem das Ereignis in die Datenbank eingetragen wurde Jeder Client sendet seine Logs mit einer Folgenummer was dazu beitr gt fehlende Logs zu entdecken und ber Log Manipulationsversuche zu alarmieren Sie k nnen dies z B bei einem Missing Log Ereignis f r einen bestimmten Computer verwenden 197 SafeGuard PortProtector 3 30 Benutzerhilfe 5 9 2 Struktur des Datei Logs Im Folgenden werden die Spalten der File Log Tabelle beschrieben Spalte Beschreibung Log Type Gibt an ob es sich bei dem Datensatz um ein Log oder einen Alarm handelt Time Zeigt die Zeit des Ereignisses als Management Console Zeit an Computer Zeigt den vollst ndigen Namen einschlie
175. ased on vendor ID product ID or device serial number Network Allow Network adapters allow the computer to be Adapters connected to a network This is a common configuration and should not be blocked or logged Smart Cards Allow Smart Cards are commonly used as authentication devices They do not pose a reasonable threat to network security Content Allow Content security devices monitor the content of security the flow of data to and from the endpoint If devices such devices are present they are usually part of a solution to enforce security and should not be blocked at the endpoint Un Block Log Unclassified devices are any devices that are not classified otherwise specified These should not turn up devices very often and present a clear risk to the confidential data Storage Control 381 SafeGuard PortProtector 3 30 Benutzerhilfe Setting FISMA Setting Rationale Autorun Block A convenience feature of many operating function systems is the ability to automatically execute a program upon the insertion of removable media This feature known as autorun or smart functionality is also a security threat frequently used by malware and should be disabled by default Removable Encrypt log Storage devices such as USB drives present a storage Apply File Control clear risk to confidential data The organization on files written to Should limit the use of storage de
176. asonable threats to the organization s assets a review of the physical administrative and technical controls and the planning and implementation oversight of security controls to bring the security posture to an acceptable assurance level Foundation 2 FISMA Compliance Project Demonstrating compliance with FISMA baseline requirements will require internal and external resources sufficient to manage the project assess current controls create or revise existing security policies and procedures and configure or install new information technology This compliance process will require resources with experience in your organization s mission objectives and current technology infrastructure as well as resources with experience in FISMA compliance readiness or assessment The compliance process can be a demanding one Recognizing the resource requirements is the first step 16 1 2 Considerations To ensure the protection of the organization s assets there are a number of control objectives that must be met Prior to embarking on an effort to implement these control objectives the FISMA organization should first consider several key elements of the upcoming FISMA compliance project Careful consideration of these elements can help an organization avoid several common pitfalls and increase its efficiency in the FISMA compliance effort 375 SafeGuard PortProtector 3 30 Benutzerhilfe Consideration 1 Risk Assessment The basic step of a
177. at must be addressed within the context of the established mission requirements Preparations describes the activities that should be performed before configuring SafeGuard for protection The second section Implementing SafeGuard PortProtector in a FISMA Regulated Organization provides specific Sophos setting guidance for the policy user and administrator parameters within the Sophos solution It contains the following sub sections FISMA policy settings describes the setting and configuration of SafeGuard PortProtector Policies for implementation within a FISMA environment Other SafeGuard FISMA Settings describes the setting and configuration of SafeGuard PortProtector Settings that are not a part ofthe policy according to operational objectives and the environment of the FISMA organization FISMA SafeGuard PortProtector Feature Mapping provides additional advice on how SafeGuard PortProtector helps to meet FISMA Security Rule requirements 374 SafeGuard PortProtector 3 30 Benutzerhilfe 16 1 Pre Requisites for Addressing FISMA Compliance Issues SafeGuard PortProtector provides many security features that can address the threats of endpoint security In order to effectively utilize the capabilities of the product the FISMA regulated organization should take some preliminary actions to prepare to use SafeGuard PortProtector for FISMA 404 compliance There are three categories of pre requisites for effective implementat
178. aten In diesem Schritt k nnen Sie die Datei angeben aus der die Informationen ber die Medien entnommen werden die der Gruppe hinzugef gt werden sollen Das hei t Sie k nnen den Speicherort der Media Scanner XML Datei angeben in der die ben tigten Mediendaten enthalten sind Nachdem Sie die gew nschte Datei ber Durchsuchen ausgew hlt haben klicken Sie auf N chste um mit Schritt 2 fortzufahren 3 5 3 2 1 1 Erstellen eine Mediendatendatei Mit dem Media Scanner erstellen Sie eine Datei in der eine Liste der autorisierten Medien und deren Informationen enthalten sind die Scanned Media Datei Der Media Scanner scannt die gew nschten Medien und versieht sie mit Fingerprints Die Scanergebnisse werden in einer XML Datei gespeichert Weitere Informationen zum Media Scanner finden Sie in Appendix D CD DVD Media Scanner 119 SafeGuard PortProtector 3 30 Benutzerhilfe 3 5 3 3 Schritt 2 Medium auswahlen Assistent f r das Hinzuf gen freigegebener Medien Speicherkontrolle Integriert Alle zulassen Keine Protokollierung 1 Mediendaten beschaffen A Medium ausw hlen E Best tigen D MyMediengruppe w hlen Sie das hinzuzuf gende Medium Volumename Fingerprint IKT Zur ck N chste Abbrechen 3 5 3 3 1 Ausw hlen von Medien Schritt 2 zeigt eine Tabelle der mit Media Scanner gescannten und mit Fingerprints versehenen Meiden an Zudem k nnen Sie hier die Medien ausw hlen die d
179. ationen zum Management Server in dem SafeGuard PortProtector verwaltet wird Jeder SafeGuard PortProtector Server ist ein Computer auf dem Sie die SafeGuard PortProtector Console und den SafeGuard PortProtector Management Server installiert haben Jede SafeGuard PortProtector Console arbeitet mit dem SafeGuard PortProtector Management Server auf dem sie installiert wurde Der Management Server hat mehrere Rollen Er wird als Zentralstelle f r die Kommunikation mit SafeGuard PortProtector Clients genutzt die auf Endpunkten installiert sind Fr hilt eine Datenbank mit allen Systemkonfigurationen Policies und Logs Er kommuniziert mit den Management Consoles 7 3 1 1 1 Aktive Management Server Im Folgenden werden die Eigenschaften in diesem Abschnitt beschrieben Aktive Management Server Dieses Raster zeigt die aktiven SafeGuard PortProtector Management Server an Servername Dieses Feld zeigt den vollst ndigen Namen des Computers an auf dem der SafeGuard PortProtector Server l uft Daneben steht in Klammern eine Zeichenfolge die den eindeutigen Verschl sselungsschl ssel angibt der bei der Installation generiert wurde z B P8G2U Diese Zeichenfolge dient zur Verifizierung dass die Clients denselben Verschl sselungsschl ssel haben und zur Pr fung von Problemen mit dem Verschl sselungsschl ssel Diese Felder k nnen nicht konfiguriert werden Server Port Dieses Feld zeigt die TCP Ports auf denen der Man
180. ative Roles which can be found under Preparations Among the roles within the sensitive data environment the organization should consider are the following Log Reviewer Access to all logs and log functions without ability to edit policies Policy Administrator Access to edit and administer policies without ability to view logs Audit Read only access to administrators console without ability to perform any changes The setting of these roles should be based on the administration model and approach of the organization and the support needed for incident response and maintenance Refer to Pre Requisites for Addressing SOX Compliance Issues for more complete instructions for SafeGuard PortProtector implementation preparation Domain Partitioning Further access control granularity may be added with the SafeGuard PortProtector domain partitioning feature The role based access mechanism includes domain partitioning which allows an administrator role to be limited to a specific group of clients This feature is useful in establishing the boundaries of the sensitive data environment by restricting the administrator s access within defined domains The setting of these roles should be based on the organization s administration model and approach and the support needed for incident response and maintenance Refer to Pre Requisites for Addressing SOX Compliance Issues for more complete instructions for the SafeGuard PortProtector implem
181. atlich und die Zeit fest 3 Klicken Sie auf Durchsuchen um den Pfad f r das Backup auszuw hlen 4 Geben Sie ein Kennwort ein und best tigen Sie es 5 Klicken Sie auf OK Der Zeitplan f r das Systembackup ist jetzt festgelegt Die Dateien des Systembackups werden gem den folgenden Namenskonventionen gespeichert SystemBackup01JAN2009_2359 SCB wobei 01Jan2009_2359 Datum und Zeit repr sentieren Die aktuelle Datei wird nicht von der neuen Backupdatei berschrieben so dass immer zwei Backupdateien vorhanden sind 7 7 1 5 Log Backup Hinweis Wenn Sie eine externe Datenbank einsetzen wird dieser Abschnitt nicht angezeigt weil in diesem Fall die Sicherung nicht von SafeGuard PortProtector verwaltet wird hnlich wie die Konfiguration k nnen Sie auch Ihre Logs sichern Dazu geh ren Client Logs Server Logs und File Logs Sie k nnen jederzeit ein Ad hoc Backup durchf hren oder vordefinierte Backups planen So f hren Sie jederzeit ein Backup aus 1 Klicken Sie im Abschnitt Logbackup auf Jetzt Backup erstellen Das Fenster Logbackupdatei ausw hlen wird ge ffnet 2 W hlen Sie den gew nschten Pfad und Dateinamen und klicken Sie auf Speichern Die Logs werden gesichert 266 SafeGuard PortProtector 3 30 Benutzerhilfe Sie k nnen auch geplante Logbackups in regelm igen vordefinierten Intervallen durchf hren So f hren Sie ein geplantes Backup durch Markieren Sie im Abschnitt Logbackup das Kontrollk stchen G
182. auf den leeren Bereich unter Gruppenmitglieder und w hlen dann Ger t e hinzuf gen Assistent oder Ger t e manuell hinzuf gen Geben Sie in diesem Fenster bei Name erforderlich den gew nschten Gruppennamen und bei Beschreibung optional eine Beschreibung ein F gen Sie Ger te zur Gruppe wie nachfolgend beschrieben hinzu Sie k nnen auch zu einem sp teren Zeitpunkt Ger te zu dieser Gruppe hinzuf gen Wenn Sie fertig sind klicken Sie auf OK Sie k nnen auch eine Gruppe aus der Zwischenablage einf gen Hierf r benutzen Sie die Symbolleistenschaltfl che Einf gen oder die Option Einf gen im Men Bearbeiten 100 SafeGuard PortProtector 3 30 Benutzerhilfe Sobald eine Gruppe hinzugef gt wurde wird sie auf der Registerkarte Wei e Liste angezeigt SafeGuard PortProtector Management Console lelxi Datei Bearbeiten Ansicht Extras Fenster Hilfe AS Ss Q Policies Logs ea Clients Policies Ej Neu E Policies Integriert Alle zulassen Keine Proto Unbenannt3 4 gt x Ge sooo Ei Le Allgemein _____ P Diese Berechtigungen gelten nur f r die folgenden Ports die mit Einschr nken definiert wurden Eigenschaften USB PCMCIA FireWire gt Portkontralle aa am SEE Allgemein Wei e Liste Ger tekontrolle eS Freigegebene Modelle ChNew Bearbeiten gt Dateikantralle ame Aktio og Ala meine modelle 0 Y Zulassen v WiFi Kontrolle Pro
183. ausw hlen Schritt 3 Best tigen 3 4 4 1 Schritt 1 Ger tedaten beschaffen Assistent f r das Hinzuf gen freigegebener Ger te Geratekontrolle Integriert Alle zulassen Keine Protokollierung 1 Ger tedaten beschaffen A Ger te ausw hlen E Best tigen meine gruppe Geben Sie an wie die Ger tedaten beschafft werden sollen Aus Ger tedatendatei lesen Vorgehen zum Erstellen einer Ger tedatendatei Datei ausw hlen Durchsuchen C Jedes Ger t nur ein Mal zeigen Abbrechen 3 4 4 1 1 Beschaffen von Ger tedaten In diesem Schritt k nnen Sie die Datei angeben aus der die Informationen ber die Ger te entnommen werden die der Gruppe hinzugef gt werden sollen Das hei t Sie k nnen den Speicherort der SafeGuard PortAuditor XML Datei angeben in der die ben tigten Ger tedaten enthalten sind Nachdem Sie die gew nschte Datei ber Browse ausgew hlt haben klicken Sie auf N chste um mit Schritt 2 fortzufahren 3 4 4 1 1 1 Erstellen einer Ger tedatendatei Um eine Datei zu erstellen in der die Informationen ber die freizugebenden Ger te enthalten sind verwenden Sie SafeGuard PortAuditor zum Scannen der gew nschten Computer SafeGuard PortAuditor scannt die ausgew hlten Computer und erstellt einen Bericht ber alle Ger te und WiFi Netze die derzeit oder vorher an diesen Computern angeschlossen sind bzw waren Die Pr fergebnisse werden in einer XML Datei gespeichert Me
184. automated mechanisms to include a large tab and modify make security alert and number of end user advisory information customizable end messages as available throughout the user messages needed organization as needed which alerts the user of administrative changes such as policy update or security incidents such as a device being blocked Administrators can modify messages according to their 393 SafeGuard PortProtector 3 30 Benutzerhilfe Requirement Requirement Description Relevant SafeGuard How to apply Number PortProtector SafeGuard Features PortProtector policies for FISMA compliance needs SI 7 1 2 Software and Information SafeGuard SafeGuard Integrity The information PortProtector PortProtector system detects and protects against unauthorized changes to software and information and employs automated tools that provide notification to appropriate individuals upon discovering discrepancies includes redundant multi tiered anti tampering measures which prevent users from circumventing security policy When such attempts are detected the machine is automatically locked down and logs and alerts are generated to notify security administrators anti tampering measures are enabled by default and no administrator action is required In addition SafeGuard PortProtector encrypts all system logs and configuration files and system
185. bald Sie dieses Fenster das n chste Mal ffnen zeigt es erst dann Administrationsfunktionen an wenn der Administrator das Client Administration Password eingegeben hat Hinweis Denken Sie immer daran das SafeGuard PortProtector Client Fenster nach der Ausf hrung der administrativen Aufgaben zu schlie en Andernfalls k nnen unbefugte Benutzer Administrationsfunktionen ausf hren Nachdem Sie das Fenster geschlossen haben m ssen Sie Ihr Administrationskennwort wieder eingeben um Administrationsfunktionen ausf hren zu k nnen 284 SafeGuard PortProtector 3 30 Benutzerhilfe 8 5 5 1 Aufhebung des Schutzes durch den Systemadminis trator Wenn Sie der Administrator den SafeGuard PortProtector Schutz auf einem Client ad hoc aufheben m ssen k nnen Sie hierf r das Client Administrationskennwort nutzen So heben Sie den Schutz auf dem Client auf 1 Wechseln Sie in den Administration Modus wie beschrieben 2 Klicken Sie im Abschnitt Schutzstatus im SafeGuard PortProtector Client Fenster unterer Abschnitt auf Administrator Deaktivierung Der Schutz wird aufgehoben 3 Klicken Sie auf Resume Now im Abschnitt Schutzstatus um den Schutz wieder herzustellen 4 Schlie en Sie das SafeGuard PortProtector Client Fenster Hinweis Falls Sie vergessen den Schutz wieder herzustellen wird er automatisch 24 Stunden nach der Aufhebung wieder hergestellt Hinweis Denken Sie immer daran das SafeGuard PortProtector Client Fenster na
186. beliebige bereits von Ihnen definierte Policy als Vorlage bestimmen die bei der Erstellung neuer Policies die Standardpolicy ersetzt Das ist vor allem dann n tzlich wenn Sie spezifische Einstellungen haben die Sie als Ausgangsbasis anstelle der Standardeinstellungen bevorzugen So w hlen Sie eine Policy als Vorlage aus Markieren Sie das Kontrollk stchen und w hlen Sie die Policy aus der Dropdown Liste aus Hinweis Diese Option ist deaktiviert bis Sie mindestens eine Policy erstellt haben 248 SafeGuard PortProtector 3 30 Benutzerhilfe 7 4 1 3 Abwartskompatibilitat Wenn Sie Ihren SafeGuard PortProtector Management Server von einer fr heren Version 3 1 oder niedriger aufger stet haben aber Ihre Clients noch nicht aufger stet haben m chten Sie vielleicht dass die von dieser Version ver ffentlichten Policies mit den Clients der lteren Version kompatibel sind Nachdem alle SafeGuard PortProtector Clients in Ihrem Netz aufgertistet wurden empfehlen wir Ihnen diese Option zu deaktivieren So ver ffentlichen Sie abw rtskompatible Policies Markieren Sie das Kontrollk stchen im Abschnitt Abw rtskompatibilit t Ab diesem Zeitpunkt ver ffentliche Policies sind mit fr heren Client Versionen kompatibel 7 4 1 4 Zulassen Sperren nicht klassifizierter Ger te Nicht klassifizierte Ger te k nnen nicht von SafeGuard PortProtector in eine der in Anhang C Unterst tzte Ger tetypen aufgef hrten Ger tekategorie
187. ben ausf hren Eenster Hilfe Policy aktualisieren Logs erfassen Ger te Audit Suspendierungskennwort gew hren Schl ssel f r Ger tezugriff gew hren Clients Deployment vorbereiten Allgemeine Policy Einstellungen Administration Das Men Extras enth lt folgende Optionen Option Beschreibung Policy Aktualisiert Policies weitere Informationen hierzu finden Sie im aktualisieren Kapitel Verwalten von Clients Logs erfassen Erfasst Logs weitere Informationen hierzu finden sie in Abrufen der aktuellsten Informationen von einem Client im Kapitel Verwalten von Clients Anmerkung Auf diese Option k nnen Sie auch zugreifen indem Sie in der Clients Welt mit der rechten Maustaste auf diesen Client klicken Ger te Audit Startet SafeGuard PortAuditor 28 Option Suspendierungs kennwort gew hren Clients Deployment vorbereiten Allgemeine Policyein stellungen Administration SafeGuard PortProtector 3 30 Benutzerhilfe Beschreibung Erstellt einen Schl ssel der dazu genutzt werden kann einen Suspendierungsschl ssel zu gew hren damit ein Benutzer den Schutz tempor r aufheben kann weitere Informationen zu Vor bergehende Aufhebung des SafeGuard Schutzes finden Sie in Kapitel 6 Verwalten von Clients Hinweis Auf diese Option k nnen Sie auch zugreifen indem Sie in der Clients Welt mit der rechten Maustaste auf diesen Client klicken Erl
188. bfrage in der Symbolleiste ausw hlen 170 SafeGuard PortProtector 3 30 Benutzerhilfe 5 5 1 Integrierte Abfragen SafeGuard PortProtector wird mit mehreren integrierten Abfragen geliefert die Sie bei Bedarf als Ausgangsbasis benutzen k nnen Dazu geh ren die folgenden Client Logs und File Logs Abfragen fiir Server Logs sind keine integrierten Abfragen vorhanden Integrierte Client Logs Abfragen Integriert Alle Alarme zeigt alle Client Alarme ohne Dateialarme Integriert Gesperrte Ger te zeigt alle Logs bez glich der Sperrung von Nicht Speicherger ten Integriert Gesperrte Speicherger te zeigt alle Logs bez glich der Sperrung von Speicherger ten Integriert Interne Port Ereignisse zeigt alle Logs bez glich interner Logereignisse Integriert Suspendierungs Ereignisse zeigt alle Administrationsereignisse bez glich Client Suspendierungen Integriert Manipulations Ereignisse zeigt alle Manipulationsversuche Integriert WiFi Ereignisse zeigt alle Logs bez glich WiFi Ereignissen Integrierte File Logs Abfragen Integriert Alle Dateialarme zeigt alle Dateialarme Integriert Gesperrte Lesedateien zeigt alle Logs bez glich der gesperrter Dateien die von Speicherger ten gelesen werden Integriert Gesperrte geschriebene Dateien zeigt alle Logs bez glich der gesperrter Dateien die auf Speicherger te geschrieben werden Integriert Offline Ereignisse zeigt alle Logs bez
189. blauf das jederzeitige Senden von Logs aktiviert werden soll falls w hrend dieser Zeit keine Logs gesendet wurden Aktivieren Sie das Kontrollk stchen Diese Finschr nkungen auf Alarme anwenden wenn diese Finschr nkung f r Alarme gelten soll Alarmlogs werden normalerweise sofort gesendet Wenn Sie dieses Kontrollk stchen markieren werden Sie zur gleichen Zeit wie die Logs gesendet Das Alarmereignis wie etwa E Mail Benachrichtigung erscheint sofort Klicken Sie im Abschnitt Protokollierungsinhalt auf die Optionsschaltfl che Policy spezifische Finstellungen festlegen W hlen Sie eine der folgenden Optionsschaltfl chen Anschluss und Trennungsereignisse protokollieren klicken Sie auf diese Option um Verbindungs und Trennungsereignisse zu protokollieren F r alle zugelassenen Ger te Speicherger te und WiFi Links wird jedes Mal ein Logeintrag aufgezeichnet wenn das Ger t angeschlossen oder entfernt wird Durch die Protokollierung von Trennungsereignissen k nnen Sie anhand der Logs feststellen wann und wie lange ein Ger t angeschlossen war Nur Anschlussereignisse protokollieren Klicken Sie auf diese Option wenn Sie Verbindungsereignisse protokollieren wollen Aktivieren Sie das Kontrollk stchen im Abschnitt Track Offline Use of Devices um die Offline Nutzung verschl sselter Ger te zu protokollieren Hinweis Dieser Abschnitt wird nur im Fenster Allgemeine Policy Einstellungen angezeigt 79 SafeGuard P
190. bschnitt Sicherheitsma nahme f r nicht klassifizierte Ger te entweder die Option Nicht klassifizierte Ger te sperren empfohlen oder die Option Nicht klassifizierte Ger te zulassen wie oben beschrieben 7 5 Konfigurieren der Einstellungen auf der Registerkarte Logs und Alarme Log und Alarmdefinitionen sowie Ausgabeziele werden auf der Registerkarte Logs und Alarme des Fensters Administration definiert Administration E xj AATTEET P IOT Allgemein Details Administrator E Mail admin sophos com Policies Logs und Alarme Clients Pflege Lizenzierung Systemereignisse r o 7 3 3 Lizenzverletzung Policy gespeichert Policy ver ffentlicht Policy gel scht Console An Abmeldung Suspendierungskennwort generiert Allgemeine Policy Einstellungen ge ndert Administration ge ndert Shadow angezeigt Datenbank Notl schen Notl schen des Shadow Dateispeichers Authentifizierungsstatus zur ckgesetzt Schl ssel f r Ger tezugriff gew hrt 9 9 9 9 A Sg ES CS SSS IK OOSWNOOOOOOOOW Systemalarm Definitionen Systemalarme an folgende Ziele senden ren 250 SafeGuard PortProtector 3 30 Benutzerhilfe 7 5 1 Log and Alarmeinstellungen Auf der Registerkarte Logs und Alarme k nnen Sie das Alarmziel Speicher sowie Log und Alarmdefinitionen und Alarmziele f r Management Server Ereignisse konfigurieren Sie enth lt die folgenden Abschnitte
191. bt die Speicherkontrolle an dass Wechselspeicherger te gesperrt sind Wenn PolicyA und PolicyB f r einen bestimmten Endpunkt zusammengef hrt werden dann werden die Drucker gesperrt weil die Sicherheitsaktion der Ger tekontrolle mit den geringsten Berechtigungen wirksam wird und sperren einschr nkender ist als zulassen Wechselspeicherger te werden zugelassen weil die Sicherheitsaktion der Speicherkontrolle mit den meisten Berechtigungen wirksam wird und zulassen mehr Berechtigungen bietet als sperren da die Sicherheitsaktionen der Wechselspeicherger te Definitionen der Speicherkotrolle und nicht Definitionen der Ger tekontrolle sind werden sie weiterhin standardm ig d h mit den meisten Berechtigungen zusammengef hrt 4 5 2 Zusammenf hren von Policies bei anderen zugelassenen Dateitypen Wenn Andere Dateitypen als Zulassen auf der Registerkarte Dateitypkontrolle der Policy definiert sind verh lt sich das Zusammenf hren von Policies bez glich der Dateikontrolle anders In diesem Fall werden die Dateitypkontrolldefinitionen mit den geringsten Berechtigungen aller zusammengef hrten Policies durchgesetzt Das bedeutet dass die auf der Registerkarte Dateitypkontrolle der Policy definierten Sicherheitsaktionen so zusammengef hrt werden dass die mit den geringsten Berechtigungen in Kraft treten w hrend die brigen Policy Definitionen wie etwa Port Control Device Control Storage Control und WiFi Control weiter
192. ch digt ist kann kein Log mehr gesendet werden Um den Panik Modus zu beenden wenden Sie einfach eine g ltige Policy auf den Client an 286 SafeGuard PortProtector 3 30 Benutzerhilfe 8 7 Verschl sselung und Entschl sselung von Wechselspeicherger ten SafeGuard PortProtector erm glicht es den Endbenutzern Wechselspeicherger te und externe Festplatten zu verschl sseln Auf diese Weise wird nicht nur sichergestellt dass Verlust oder Diebstahl des verschl sselten Ger ts keinen Schaden f r die Organisation bedeuten sondern auch ein Durchsickern von Informationen verhindert In der Regel kann ein verschl sseltes Speicherger t nur in der Organisationsumgebung genutzt werden Zudem ist eine explizite Autorisierung erforderlich um es auf organisationsfremden Computern zu nutzen In einigen F llen kann die Endpunkt Policy vorschreiben dass ein solches Speicherger t verschl sselt sein muss Alternativ kann der Endbenutzer beschlie en ein Speicherger t zu verschl sseln auch wenn die Policy dies nicht fordert Falls die Policy eine Verschl sselung fordert und ein Benutzer ein unverschl sseltes Ger t anschlie t wird das Ger t entweder gesperrt oder erh lt nur Lesezugriff abh ngig von den Policy Einstellungen siehe Schritt 13 Mediaverschl sselung definieren im Kapitel Definieren von Policies Gleichzeitig erh lt der Benutzer ist Gegeben die M glichkeit das Ger t zu verschl sseln um es benutzen zu k nnen Dies
193. ch der Ausf hrung der administrativen Aufgaben zu schlie en Andernfalls k nnen unbefugte Benutzer Administrationsfunktionen ausf hren Nachdem Sie das Fenster geschlossen haben m ssen Sie Ihr Administrationskennwort wieder eingeben um Administrationsfunktionen ausf hren zu k nnen 8 5 5 2 Zur cksetzen von Tastaturen Tastatur Hubs freigeben Schritt 5 Ger tekontrolle definieren im Kapitel Definieren von Policies beschreibt wie eine Policy Computer gegen Hardware Keylogger sch tzen kann Damit k nnen Sie eine Tastatur sperren wenn SafeGuard PortProtector den Verdacht hat dass ein Hardware Keylogger angeschlossen ist In einigen F llen wenn eine Tastatur ber ein Hub eins oder mehrere angeschlossen ist kann SafeGuard PortProtector Management das Hub f lschlicherweise f r einen Keylogger halten und die Tastatur sperren Durch das Zur cksetzen der Tastatur werden die die Hubs freigegeben ber die die Tastatur zum Zeitpunkt des Zur cksetzens angeschlossen ist siehe nachfolgende Beschreibung Hinweis Vor dem Zur cksetzen der Tastatur m ssen Sie sich vergewissern dass kein Keylogger mehr angeschlossen ist da dieser ansonsten freigegeben w rde So setzen Sie Tastaturen zur ck 1 Wechseln Sie in den Administration Modus wie beschrieben 2 Klicken Sie im Abschnitt Protection Status im SafeGuard PortProtector Client Fenster unterer Abschnitt auf Tastaturen zur cksetzen Das Fenster Tastaturen zur cksetzen wird
194. ch ist siehe Online Zugriff auf verschl sselte Ger te Unverschl sselte Ger te In diesem Abschnitt k nnen Sie das Verhalten festlegen wenn die Policy eine Verschl sselung fordert und ein unverschl sseltes Ger t entdeckt wird Das Ger t kann entweder gesperrt oder schreibgesch tzt zugelassen werden 84 SafeGuard PortProtector 3 30 Benutzerhilfe Verschliisselungsmethode In diesem Abschnitt legen Sie die Methode der Verschliisselung von Wechselspeicherger ten fest Dadurch wird auch beeinflusst inwieweit befugte Benutzer auf die verschl sselten Speicherger te au erhalb der Organisation zugreifen k nnen siehe auch Verschl sselung und Entschl sselung von Wechselspeicherger ten in Kapitel 9 Endbenutzer Erfahrung Der Unterschied zwischen den beiden Verschl sselungsmethoden ist in Methoden der Media Verschl sselung beschrieben So definieren Sie Verschl sselungseinstellungen 1 Klicken Sie im Abschnitt Nutzung verschl sselter Ger te auf die Optionsschaltflache Policy spezifische Einstellungen festlegen ignorieren Sie diesen Schritt wenn Sie allgemeine Policy Einstellungen definieren Wenn Sie zulassen m chten dass Benutzer auf organisatorisch verschl sselte Ger te zugreifen k nnen wenn sie sich nicht im Organisationsnetz befinden aktivieren Sie das Kontrollk stchen Benutzer d rfen auf unverschl sselte Ger te an unverschl sselten Computern zugreifen Aktivieren Sie die entsprechende Optionsscha
195. chdem die Policies mit den Einheiten der Organisation verkn pft wurden werden sie auf die Endpunkte heruntergeladen und dort angewendet 15 SafeGuard PortProtector 3 30 Benutzerhilfe Interne externe Datenbank Zur Speicherung der Systemkonfiguration Policies und Logdaten werden Standarddatenbanken eingesetzt Die Administratoren k nnen entweder eine interne MySQL Datenbank verwenden die mit dem Management Server Installationspaket geliefert wird oder eine Verbindung zu vorhandenen MSSQL Datenbankinfrastrukturen herstellen Der Einsatz der internen Datenbank ist einfacher und wartungsfrei Die Verbindung zu einer externen Datenbank bietet hingegen bessere Performance und Skalierbarkeit Beachten Sie dass ein Serverzusammenschluss nur mit einer externen MSSQL Datenbank m glich ist SafeGuard PortProtector Management Console erm glicht es Ihnen Client zu verwalten Logs anzuzeigen Policies zu definieren und das System zu verwalten Die Management Console kann auf jedem beliebigen Computer in Ihrem Netz installiert und ausgef hrt werden Zur Kommunikation mit dem Management Server wird SSL eingesetzt Die Management Console erm glicht das Deployment ber die Server Website per Mausklick SafeGuard PortProtector Client sch tzt und berwacht die Endpunkte in Ihrer Organisation und alarmiert informiert ber die Portaktivit ten Der Client kommuniziert mittels SSL mit einem SafeGuard PortProtector Management Server Sa
196. chen keine Aufzeichnung der Policy Definitionen mehr haben Au erdem m ssen Sie dann wenn Sie irgendwann einmal die Policy auf den durch diese Policy gesch tzten Clients aktualisieren m ssen eine neue Policy erstellen So l schen Sie Policies Klicken Sie im Fenster Policy Management mit der rechten Maustaste auf die zu l schende Policy und w hlen Sie L schen ODER Klicken Sie in der Symbolleiste auf die Schaltfl che L schen X Nach erfolgter Best tigung wird die Policy gel scht 3 6 5 Anzeigen und Drucken einer Policy bersicht Sie k nnen nicht nur durch die verschiedenen Fenster bl ttern in denen die Policy Einstellungen in definiert sind sondern auch die Einstellungen der Policy in einem einzelnen Fenster anzeigen und drucken So zeigen Sie die Policy bersicht an Klicken Sie im Fenster Policy Management mit der rechten Maustaste auf die anzuzeigende Policy und wahlen Sie Ubersicht anzeigen ODER Klicken Sie in der Symbolleiste auf die Schaltflache Ubersicht anzeigen E ODER W hlen Sie die Policy aus und klicken Sie auf Policy bersicht im Men Datei 126 SafeGuard PortProtector 3 30 Benutzerhilfe Das Fenster Policy bersicht wird angezeigt Policy bersicht Integriert Alle zulassen Keine Protokollierung Integriert Alle zulassen Keine Protokollierung Status gespeichert am 30 12 09 8 27 38 Allgemein Eigenschaften Policy Name Integriert Alle zulassen Keine Pr
197. cherger te in PolicyB ist Verschl sseln PolicyA und PolicyB verf gen ber verschiedene Einstellungen Werden nun PolicyA und PolicyB auf einem Endpunkt zusammengef hrt wird die Berechtigung Zulassen f r Wechselspeicherger te bernommen weil die Berechtigung Zulassen h her ist als Verschl sseln Da PolicyA und PolicyB ber verschiedene Einstellungen verf gen werden die Einstellungen von den Definitionen in PolicyA bernommen weil sie in alphabetischer Reihenfolge zuerst steht 150 SafeGuard PortProtector 3 30 Benutzerhilfe Beispiel 2 Die zusammengefiihrten Policies sind PolicyA und PolicyB Die Berechtigung f r Wechselspeicherger te in PolicyA ist Zulassen Die Berechtigung f r Wechselspeicherger te in PolicyB ist Schreibgeschiitzt Werden nun PolicyA und PolicyB auf einem Endpunkt zusammengef hrt wird die Berechtigung Zulassen f r Wechselspeicherger te bernommen weil die Berechtigung Zulassen h her ist als Schreibgesch tzt Beispiel 3 Die zusammengef hrten Policies sind PolicyA und PolicyB Die Berechtigung f r die Disk on Key Smart Funktionalit t in PolicyA ist Zulassen Die Berechtigung f r Wechselspeicherger te in PolicyB ist Sperren Werden nun PolicyA und PolicyB auf einem Endpunkt zusammengef hrt wird die Berechtigung Zulassen f r die Disk on Key Smart Funktionalit t bernommen weil die Berechtigung Zulassen h her ist als Sperren Beispiel 4 Die zusammengef hrten Policies
198. cherger ten gelesen werden Dateitypkontrolle anwenden Log Alarm und Shadowing Definitionen anwenden Disk On Key Smart Funktionalit t Einige Disk on Key Ger te verf gen neben Ihrer Speicherfunktionalit t ber Smart Funktionalit t Unter Umst nden m chten Sie die Nutzung der Smart Funktionalit t einschr nken 4 Smart Funktionalit t v Die Definition wird an alle Gruppen in dieser Policy vererbt Was ist Smart Funktionalitat Anleitungen zur Vergabe von Berechtigungen finden Sie in Festlegen der Berechtigungen f r Wechselspeicher 65 SafeGuard PortProtector 3 30 Benutzerhilfe So legen Sie weitere Berechtigungen fiir externe Festplatten fest Klicken Sie auf die Schaltfl che Weitere Berechtigungen J f r externe Festplatten Das Fenster Berechtigungen f r externe Festplattenlaufwerke wird angezeigt Berechtigungen f r externe Festplattenlaufwerke x r Dateikontrolle Die Dateikontrolle beschr nkt die Daten die auf ein Speichergerate Medium geschrieben bzw davon gelesen werden ein Mit dieser Option k nnen Sie bestimmte Ger te z B verschl sselt Ger te von den Einschr nkungen durch die Dateikontrolle befreien i Dateikontrolle f r Dateien die auf Speicherger te geschrieben werden Log Alarm und Shadowing Definitionen anwenden gt Dateikontrolle f r Dateien die von Speicherger ten gelesen werden Dateitypkontrolle anwenden Log Alarm und Shadowing Definitione
199. cht eine Yerbindung zu Ihrem Computer herzustellen Port Universal Serial Bus Typ Disk On Keys Name Laufwerk Kingston DataTraveler 2 0 USB Device G Die Firmenrichtlinien fordern eine J Verschl sselung dieses Ger ts Um dieses Ger t nutzen zu k nnen muss es formatiert werden Verschl ssein i Falls die Policy keine Verschl sselung erforderlich macht kann das Ger t dennoch verschl sselt werden In diesem Fall erscheint jedoch keine Endbenutzer Meldung So verschl sseln Sie ein Wechselspeicherger t oder eine externe Festplatte falls die Policy dies verlangt Hinweis Die Schritte zum Verschl sseln eines Wechselspeicherger ts sind dieselben ganz gleich ob Sie Ger te Volumeverschliisselung oder Ger te Speicherverschl sselung gew hlt haben 1 Klicken Sie im Fenster Ein Ger t versucht eine Verbindung zu Ihrem Computer herzustellen das angezeigt wird wenn Sie das Ger t anschlie en auf Verschl sseln Das folgende Fenster wird f r ein Wechselspeicherger t angezeigt erschliisseln G x Um dieses Ger t als verschl sseltes Ger t nutzen zu k nnen muss es formatiert werden Bei der Formatierung werden alle derzeit auf dem Ger t gespeicherten Daten gel scht sofern nicht zuvor ein Backup der Daten erstellt wird Daten automatisch sichern und wiederherstellen C Alle vorhandenen Daten l schen klicken Sie auf Weiter um fortzufahren Abbrechen zur ck
200. ckAll Properties xl General Links Security WMI Fiter Group or user names 28 BlockAll VMDOM24Block ll ER CREATOR OWNER lt i Domain Admins MDOM2 Domain Admins Enterprise Admins MDOM2 Enterprise Admins s i ENTERPRISE DOMAIN CONTROLLERS nd sPuonartreran Ane enon as nmun nmnarreran an i Add Remove Permissions for Block ll Allow Deny Full Control Read Write Create All Child Objects Delete All Child Objects NHOOOsO oooo Apply Group Policy O vj For special permissions or for advanced settings Advanced click Advanced 7 Klicken Sie auf OK um die neuen Einstellungen zu speichern 148 SafeGuard PortProtector 3 30 Benutzerhilfe 4 4 Verteilen von SafeGuard PortProtector Policies unter Verwendung von Registry Dateien Mit Hilfe der Registry Dateien k nnen Sie andere Managementanwendungen zur Verteilung von Policies einsetzen wenn Sie den Policy Server oder den Active Directory GPO Mechanismus nicht verwenden m chten oder nicht ber die erforderliche Infrastruktur verf gen Diese Option speichert Registry Dateien in einem freigegebenen Ordner und erm glicht es Ihnen SafeGuard PortProtector Policies mit Hilfe von Drittanbieter Tools an die SafeGuard PortProtector Clients zu verteilen Wenn diese Option genutzt wird erzeugt SafeGuard PortProtector zwei Kopien von der Registry Datei von denen eine f r Computer zum Beispiel MyPolicy MACHINE reg und eine f r Ben
201. cken Wenn Sie einen Netzanteil l schen k nnen seine Dateien nicht mehr von einem autorisierten Administrator betrachtet werden 7 7 1 4 Systembackup Es wird au erdem empfohlen ein Backup Ihrer Konfiguration zu erstellen so dass die vorhandene Konfiguration bei Bedarf wiederhergestellt werden kann falls Sie den Management Server neu installieren m ssen Das Konfigurationsbackup schlie t die Sicherung Ihrer Policy Definitionen Logabfragedefinitionen und Administrationseinstellungen ein Sie k nnen jederzeit ein Ad hoc Backup durchf hren oder vordefinierte Backups planen So f hren Sie ein geplantes Backup aus Markieren Sie im Abschnitt Systembackup das Kontrollk stchen Geplante Backups ausf hren Das Konfigurationsbackup wird zu den geplanten Zeiten ausgef hrt die n chste geplante Zeit wird angezeigt Sie k nnen den Plan f r das Systembackup ndern Siehe Planen des Systembackups 264 SafeGuard PortProtector 3 30 Benutzerhilfe 7 7 1 4 1 Backup des Systems Um ein Backup des Systems zu erstellen m ssen Sie ein Kennwort f r die Backupdatei festlegen Dieses Kennwort wird ben tigt wenn Sie dieses Backup zur Wiederherstellung Ihres Management Servers nutzen So erstellen Sie ein Backup des Systems 1 Klicken Sie auf Jetzt Backup erstellen Das Dialogfeld Systembackup wird angezeigt 08 Systemschl sselbackup x w hlen Sie den Pfad zum Speichern der Backupdatei der Systemkonfiguration Durchsuchen
202. cken Schaltfl che Klicken Sie darauf um das Fenster wieder in seiner Welt anzudocken Eine Erkl rung zum L sen von Fenstern finden Sie in Fenster l sen und andocken SafeGuard PortProtector 3 30 Benutzerhilfe 2 5 3 Optionen fir aktives Fenster Das aktive Fenster ist das derzeit angezeigte Fenster dessen Name in der Fensterleiste hervorgehoben ist Das aktive Policy Fenster in der Policies Welt und das aktive Log Fenster in der Logs Welt kann dupliziert gel st und geschlossen werden 2 5 3 1 Fenster duplizieren Eventuell m chten Sie ein Fenster z B in der Policies Welt duplizieren um eine Policy als Ausgangspunkt f r eine andere zu nutzen oder in der Logs Welt um dieselbe Abfrage f r verschiedene Elemente in der Organisationsstruktur auszuf hren So duplizieren Sie das ausgew hlte Fenster Klicken Sie im Men Fenster auf Duplizieren ODER 1 Klicken Sie in der Fensterleiste mit der rechten Maustaste auf den Namen des zu duplizierenden Fensters Das ausgew hlte Fenster wird aktiv und es wird ein Men angezeigt 2 Klicken Sie im Men auf Fenster duplizieren Es wird ein neues Log Fenster ge ffnet das mit dem angezeigten Fenster identisch ist 2 5 3 2 Fenster l sen und andocken Beim L sen eines Fensters wird es von seiner Welt Registerkarte getrennt und unabh ngig Das ist vor allem dann hilfreich wenn Sie in eine andere Welt wechseln und das aktive Fenster weiter ge ffnet halten m chten So l se
203. co com Clients Pflege gt l Lizenzierung Link f r die Management Console Installation https chuti2003 Utimaco com 4443 SafeGuardPortProtector consoleInstall aspx Logs von diesem Server werden nicht auf einen anderen Server delegiert Gesch tzte Dom ne Dom ne Gesamte Organisation Typ Active Directory gt Serverberechtigungen Berechtigungen Utimaco Administrator Wozu werden diese Berechtigungen gebraucht rBenutzerverwaltung w hlen Sie einen Modus f r die Verwaltung des Benutzerzugriffs auf Management Consoles Einzelne Rolle Einfach Protector Administratoren Benutzergruppe BUILTIN Administrators O Rollenbasiert Erweitert Berechtigungen definieren W Dom nenpartitionierung aktivieren Partitionen definieren Systemsprache Systemsprache Deutsch DE 7 7 3 1 Konfigurieren der Einstellungen auf der Registerkarte Allgemein Auf der Registerkarte Allgemein k nnen Sie die allgemeinen Parameter der Systemkonfiguration f r SafeGuard PortProtector konfigurieren Sie enth lt die folgenden Abschnitte Allgemein Log Delegierung Serverberechtigungen Benutzerverwaltung Hinweis Bei jeder nderung einer der Einstellungen auf dieser Registerkarte m ssen Sie unten im Fenster Administration auf OK klicken damit die nderungen bernommen werden 230 SafeGuard PortProtector 3 30 Benutzerhilfe 7 3 1 1 Allgemein Diese Felder enthalten Inform
204. communications so they cannot be read or modified by unauthorized users 394
205. controllers Allow System Allow Um die Sicherheitsfilterung anwenden zu k nnen m ssen die gew nschten SafeGuard PortProtector Policies erstellt und als GPOs in Active Directory gespeichert werden wie wir es in jedem Falle t ten Diese neuen Policies m ssen mit der Organisationseinheit verkn pft werden die alle Benutzer enth lt 146 SafeGuard PortProtector 3 30 Benutzerhilfe Zum Beispiel k nnte eine Policy die zum Blockieren aller Ports erstellt wurde namens BlockAll auf alle Benutzer angewandt werden die sich in einer Sicherheitsgruppe namens BlockAll befinden So ndern Sie die ACE in der BlockAll Policy 1 ffnen Sie das Fenster Active Directory Users and Computers klicken Sie mit der rechten Maustaste auf die OU die alle Benutzer enth lt und w hlen Sie Properties 4 Active Directory Users and Computers EA File Action View Window Help 16 xl lt gt Ba ax FB l 2 BRaT 3 Active Directory Users and Computers YMDC2 v All Users Ou 4 objects E Saved Queries Name 1 29 vmDom2 com pe PABA Users Ou E Builtin Delegate Control Company Move Computers Find Domain Cont nr tat All Tasks gt 3 Protector Se ProtectorClie view gt Users New Window from Here Cut Delete Rename Refresh Export List Properties Help All Users Ou Properties 2
206. controls placed on privileged users Logs and alerts at a minimum plan to set privilege user policies to log allowed behavior that is extended from the normal user role Consider setting alerts on highly sensitive behavior such as connecting and external hard drive Preparation 3 Determine Administration Roles SafeGuard PortProtector allows for multiple administration roles according to privilege and domain The use of these administrative role options should be determined prior to installation of SafeGuard PortProtector 351 SafeGuard PortProtector 3 30 Benutzerhilfe Instructions Determine if your implementation of SafeGuard PortProtector will follow a centralized or de centralized administration model Centralized a single entity is responsible for the administration of SafeGuard PortProtector De centralized administration of SafeGuard PortProtector is delegated to departments that are responsible for the administration of their own domain If you chose this method of administration then determine the domain partitions for which each department will be responsible for the administration Determine administration roles within each domain The SafeGuard PortProtector administrator may be set up as a single role or you may delegate administrative privileges to implement separation of duties Determine the set of administrative roles that you will implement Plan maintenance and incident response function for
207. d PortProtector 3 30 Benutzerhilfe 7 5 2 Systemereignisse Systemereignisse verfolgen sowohl vom Management Server generierte Ereignisse als auch auf den Management Consoles ausgef hrte Aktionen In diesem Abschnitt definieren Sie welche Ereignisse protokolliert werden und in Server Logs angezeigt werden k nnen und welche auch eine Alarm erzeugen Zu den Systemereignissen geh ren Lizenzverletzung Policy gespeichert Policy ver ffentlich Policy gel scht Consolen An Abmeldung Suspendierungskennwort generiert Global Policy Changed Serverkonfiguration ge ndert Schl ssel f r Zur cksetzen der Festplattenverschl sselung gew hrt Schl ssel f r Wiederherstellung der Festplattenverschl sselung gew hrt Schl ssel f r einmaligen Zugriff f r Festplattenverschl sselung gew hrt Shadow angezeigt Geplanter Report ist fehlgeschlagen Datenbank Notl schen Notl schen des Shadow Dateispeichers Gem Voreinstellung werden alle Ereignisse protokolliert Sie k nnen einige der Logs deaktivieren oder Ereignisse bestimmen f r die der Management Server auch einen Alarm senden soll 255 SafeGuard PortProtector 3 30 Benutzerhilfe 7 5 2 1 Systemalarmdefinitionen Wahlen Sie hier die Ziele an die der Management Server die aufgrund von Systemereignissen generierten Alarme senden soll Alarme werden nur fiir die Ereignistypen versendet die Sie im vorigen Abschnitt ausgew hlt haben So f gen Sie Ziele hinzu bzw
208. d gelten die mit mehr Berechtigungen Zum Beispiel Wenn die Gruppe Freigegebene Modelle die ein Speicherger t enth lt auf Zugelassen gesetzt ist und das spezifische Ger t auf Schreibgesch tzt gesetzt ist gilt die Berechtigung Zugelassen Log and Alarmeinstellungen werden ebenfalls von der Definition mit den meisten Berechtigungen bernommen 106 SafeGuard PortProtector 3 30 Benutzerhilfe Falls ein Ger t zu mehreren Gruppen geh rt und diese Gruppen dieselben Berechtigungen haben wird SafeGuard PortProtector die Gruppen willk rlich ausw hlen Wenn die Gruppen nicht dieselben Log und Alarmeinstellungen haben ist es nicht vorhersehbar welche Einstellungen angewendet werden 3 4 5 1 Hinzuf gen eines freigegebenen Modells Wenn Sie ein Ger temodell zu einer Gruppe freigegebener Modelle hinzuf gen wird das Fenster Ger temodell hinzuf gen angezeigt Ger temodell hinzuf gen x Ger te ID Strukturierte Ger tedaten empfohlen Port USB v Ger tebeschreibung Ger tedaten Hersteller Modell Freitext Identifizierung Anmerkungen I o Zur Identifizierung des Ger ts stehen zwei Optionen zur Verf gung Strukturierte Ger tedaten Hiermit k nnen Sie in Feldern Informationen zum Ger t eingeben anhand derer SafeGuard PortProtector es identifizieren kann wie im n chsten Abschnitt beschrieben Dies ist die
209. d to uninstall SafeGuard PortProtector Full visibility on endpoints It is important to restrict the use of EPHI to systems with adequate protection measures Home computers generally lack HIPAA required security controls Setting read only for non encrypted devices allows the flexibility of importing information without exposing EPHI to the risk of disclosure from loss or theft ofa non encrypted device In order to enforce the principle of separation of duty and general password security use a different password for the uninstall process of SafeGuard PortProtector Client than the client administration password Consistent with the advice under end user messages it is best to let users know about the protections SafeGuard PortProtector is roviding to EPHI 13 2 3 Other SafeGuard PortProtector Settings For the appropriate setting of other SafeGuard PortProtector features and options refer to Pre Requisites for Addressing HIPAA Data Leakage Issues detailed in part 1 of the HIPAA Security Compliance with SafeGuard PortProtector document Specifically the following SafeGuard PortProtector features should follow the business objectives and the environment of the HIPAA organization as defined in foundations considerations and preparations Alerts SafeGuard PortProtector alerts provide oversight of administrative actions and protection of the SafeGuard PortProtector security functions in case of
210. d PortProtector Installationshandbuch 6 3 Aktualisieren einer Policy auf einem Client Hinweis Da SafeGuard PortProtector f r diese Option WMI nutzt k nnen Sie diese Aktion nur dann ausf hren wenn ein Windows Benutzer mit lokalen Administratorrechten auf den Ziel Endpunkten definiert ist vorausgesetzt Sie habe im Fenster Administration Novell als Ihr Verzeichnis gew hlt Wie in Kapitel 4 Verteilen von Policies erl utert werden Policies auf dem SafeGuard PortProtector Client dadurch aktualisiert dass der Client den GPO Dienst oder die Registry Datei in vordefinierten Intervallen pr ft und die Policy aktualisiert falls sie ge ndert wurde Wenn Sie k rzlich eine Policy f r eine bestimmte Organisationseinheit oder einen bestimmten Computer bearbeitet haben m chten Sie vielleicht die betroffenen SafeGuard PortProtector Clients auffordern bei der n chsten Gelegenheit nach einer aktualisierten Policy zu suchen Es gibt zwei M glichkeiten f r das Aktualisieren von Policies ber das Men Extras Mit dieser Option k nnen Sie Policies f r jede beliebige Organisationseinheit bzw jeden beliebigen Computer aktualisieren Durch Klicken mit der rechten Maustaste Mit dieser Option k nnen Sie Policies auf zuvor ausgew hlten Clients durch Klicken mit der rechten Maustaste auf Organisationseinheiten in der Organisationsstruktur oder durch Klicken mit der rechten Maustaste auf gesch tzte Clients in die Clients Tabelle aktualis
211. d the administrative roles that will be used to maintain the SafeGuard PortProtectorsoftware The following activities are an important part of the preparation to install and configure SafeGuard PortProtector for the implementation of appropriate internal controls Preparation 1 Determine Endpoint Protection Needs SafeGuard PortProtector provides the ability to protect stored data for uncontrolled export on removable devices at endpoints On the other hand your organization has a variety of operational needs that will require connectivity to external storage devices wireless networks and other possible threats In preparation for a SafeGuard PortProtector deployment your organization should determine the protection and operational needs of the endpoints 377 SafeGuard PortProtector 3 30 Benutzerhilfe Instructions Update endpoint inventory and classification Be sure that you are aware of all the endpoints within your network that store process or transmit sensitive data This can be done through a manual inventory process or through the use of directory services Classification is based on your data classification policy and includes a classification of endpoints that handle sensitive data Scan each endpoint to detect port device and Wi Fi usage The SafeGuard Auditor utility will automatically detect devices and networks that are currently or previously connected Review your Default No Access and least privilege
212. d through a specific white listed CD DVD drive CD DVD media and device white lists are explained in detail in Chapter 3 Definieren von Policies Any change made to the data on the medium following the scan will revoke its fingerprint and in turn make it unapproved The process of fingerprinting media and adding them to the CD DVD Media White List is summarized in the following chart Step 1 Insert CD DVD media into pts drive s x Scan media to create Step 2 Scanned Media file x Create CD DVD media Step 3 White List group Step 4 Add media to White List SP from Scanned Media file The process of creating a CD DVD media White List steps 3 and 4 is explained in Freigeben von CD DVD Medien in Chapter 3 Defining Policies 324 SafeGuard PortProtector 3 30 Benutzerhilfe 12 1 Scanning and Fingerprinting Media Before a CD DVD medium can be authorized by adding it to a CD DVD Media White List it must be scanned in order to fingerprint it and add the fingerprinted medium s details to an output file referred to below as the Scanned Media file This is performed using the Media Scanner provided with the installation package The Media Scanner can be run on any computer Note Audio CDs are not supported by the Media Scanner If you attempt to scan an audio CD the scan will fail To scan a CD DVD and add it to the scanned media file 1 On the SafeGuard PortProtector Management Server machine run MediaScanner exe from P
213. damit das Ger t au erhalb der Organisation genutzt werden kann Das von Ihnen festgelegte Kennwort muss den Kennwortregeln in Ihrer Organisation entsprechen Das Kennwort f r den Offline Zugriff kann auch wie in Festlegen eines Kennworts f r den Offline Zugriff beschrieben festgelegt werden 290 SafeGuard PortProtector 3 30 Benutzerhilfe 8 Der Verschl sselungsvorgang einschlie lich Backup und Wiederherstellung falls ausgewahlt beginnt und es wird eine Verlaufsanzeige angezeigt Sobald der Verschliisselungsvorgang beendet ist wird folgende Meldung angezeigt erschliisseln G x Ihr ger t ist jetzt verschl sselt Daten die Sie auf diesem Ger t speichern sind im Falle des Verlusts oder Diebstahls des Ger tes gesch tzt Wenn Sie sp ter die Verschl sselung auf diesem Ger t aufheben oder das Kennwort f r das Ger t ndern m chten k nnen Sie diesen Assistenten ber Arbeitplatz erneut starten Klicken Sie zum Beenden auf Fertig stellen Zur ck Abbrechen 9 Klicken Sie auf Fertig stellen Das Ger t ist jetzt verschl sselt und die darauf gespeicherten Daten sind im Falle eines Verlustes oder Diebstahls gesch tzt Verschl sselte Ger te werden durch ein spezielles Symbol gekennzeichnet ein blaues Schloss wie in Removable Disk E So verschl sseln Sie ein Wechselspeicherger t wenn kein Endbenutzer Fenster angezeigt wird 1 Wenn die Meldung verschw
214. das Fenster Logs erfassen W hlen Sie im Men Extras die Option Retrieve Latest Info collect logs oder klicken Sie in der Symbolleiste auf die Schaltfl che Retrieve Latest Info Das Fenster Logs erfassen wird angezeigt x Clients ausw hlen von denen Logs erfasst werden sollen Alle Computer Computer Organisationseinheiten Durchsuchen Anmerkung Logs werden nur von den Computern direkt unter den ausgew hlten Organisationseinheiten erfasst Q di 220 SafeGuard PortProtector 3 30 Benutzerhilfe 6 9 1 1 Erfassen von Logs Mit dieser Option k nnen Sie Logs erfassen und die aktuellsten Informationen von gesch tzten Computern au erhalb der vordefinierten Erfassungszeiten anzeigen Bei Aktivierung dieser Funktion werden alle Logtypen erfasst So erfassen Sie Logs 1 Klicken Sie auf die Optionsschaltfl che f r die gew nschte Option Alle Computer Markieren Sie diese Option wenn Sie Logs von allen Computer in der Organisation erfassen m chten Organisationseinheiten Markieren Sie diese Option wenn Sie Logs von einer oder mehreren Organisationseinheiten erfassen m chten Klicken Sie auf Durchsuchen und w hlen Sie die gew nschten Organisationseinheiten aus der Firmenstruktur Die ausgew hlten Einheiten werden im Feld Organisationseinheiten angezeigt Computer Klicken Sie auf diese Option wenn Sie Logs von einem oder mehreren Computern erfassen m chten und
215. dass er nicht zu einer der Dom nen in der Struktur geh rt So l schen Sie alle nicht einer Dom ne befindlichen Clients 1 Klicken Sie in der Organisationsstruktur mit der rechten Maustaste auf Nicht in Dom ne Ein Men wird angezeigt 2 W hlen Sie im Men die Option Clients l schen Es wird ein Best tigungsfenster angezeigt 3 Klicken Sie auf Ja Alle nicht in der Dom ne befindlichen Clients werden gel scht 4 Klicken Sie in der Symbolleiste auf Aktualisieren Die gel schten Clients werden nicht mehr angezeigt So l schen Sie bestimmte Clients die nicht in einer Dom ne sind 1 Klicken Sie in die Clients Tabelle mit der rechten Maustaste auf den gew nschten Client Sie k nnen ein Nicht in Dom ne Client unabh ngig davon ob er Served oder Not Served ist l schen Ein Men wird angezeigt 226 SafeGuard PortProtector 3 30 Benutzerhilfe 2 W hlen Sie im Men die Option Clients l schen Nicht in Dom ne Es wird ein Best tigungsfenster angezeigt 3 Klicken Sie auf Ja Alle ausgew hlten Clients die nicht in der Dom ne sind werden gel scht 4 Klicken Sie in der Symbolleiste auf Aktualisieren Die gel schten Clients werden nicht mehr angezeigt 6 14 Auditing von Ger ten Wenn Sie pr fen m chten welche Ger te derzeit an Endpunkten Ihrer Organisation angeschlossen sind oder fr her angeschlossen waren k nnen Sie daf r ein Pr fprotokoll erstellen Das Auditing von Ger ten erfolgt mittels SafeG
216. de ProTester Organisationsei H a CREDANT E ProtestLab Organisationsei 2 Domain Controllers B Safend_Demo Organisationsei E Domain users For testing aa Test Sicherheitsgrup E3 A Encryption Anywhere Manage E ForeignSecurityPrincipals a ER EA IT Team E amp ProTester H ProtestLab H Safend_Demo A Temp OU s amp Training E Users FF Dieses Beispielfenster zeigt die Dom ne und den Pfad in dem die GPOs in Active Directory gespeichert sind Bei der Installation von SafeGuard PortProtector entdeckt das System automatisch die Dom ne zu der der Computer geh rt und legt dann unter dieser Dom ne GPOs an Die Organisationseinheiten in diesem Active Directory erscheinen als Ordner oder Unterordner und dem Zweig Zum Beispiel Sales wie oben gezeigt Dabei handelt es sich um die Organisationseinheiten an die SafeGuard PortProtector Policies verteilt werden 143 SafeGuard PortProtector 3 30 Benutzerhilfe Wahlen Sie einen Ordner aus um eine Liste der Computer und Benutzer anzuzeigen die zu einer Organisationseinheit geh ren Hier ein Beispiel Z Active Directory Users and Computers BEI Lx B Eile Action View Window Help 18 xd e Aml exen e ngare usA 11 objects Active Directory Users and Computers safedc Safend com Saved Queries 2 89 Safend com Bu
217. definieren rechts neben der Option USB FireWire oder PCMCIA 2 Das folgende Fenster wird angezeigt SafeGuard PortProtector Management Console lelx Datei Bearbeiten Ansicht Extras Fenster Hilfe Brolicies Neu Policies Integriert Alle zulassen Keine Protokollier Unbenannt 3 x Dru Eee Ei Diese Berechtigungen gelten nur f r die folgenden Ports die mit Einschr nken definiert wurden Eigenschaften USB Portkontroll a ORT ETE trone Allgemein wei e Liste Ger tekontrolle m Policy f r alle Ger te Aktion Log Alarm Speicherkontrolle Alle Ger te v Dateikontrolle Kai E Hardware Keylogger vy id E WiFi Kontrolle Einstellungen Ger tetypen Aktion Log Alarm Protokollierung HID Ger te vy o Alarme Drucker ey ca Oo Endbenutzer Meldungen PDAs Smart Phones Mediaverschl ssslung windows Mobile Pocket PCs ey yw o sen Blackberry Gerate ey i E Palm OS Ger t v Optionen An er sa g o ee iPhones ey o Handys ey ca Netzwerkadapter ey ica o Bildbearbeitungsger te ey v Audio Videogerate ey 7 a 9 Smart Cards ey u o Content Security Gerate ey id Oo Nicht bei Ger tetypen oder in der wei en Liste freigegebene Ger te kti Nicht klassifizierte Ger te x y o Benutzer Administrator UT
218. den neuen Port mit Wenn sie die Management Console das n chste Mal ffnen m ssen sie ihn manuell im folgenden Fenster eintragen Kann Server nicht finden x SateGuard PortProtector Management AN Console konnte keine Verbindung zum Server herstellen Entweder ist Ihr Server zeitweilig nicht erreichbar oder der Servername Port wurde ge ndert Servereigenschaften angeben Servername localhost Port 1199 232 SafeGuard PortProtector 3 30 Benutzerhilfe 7 3 1 1 2 Link f r die Management Console Installation Normalerweise werden Management Consoles ber eine Webseite auf den Management Server Computern installiert so dass die Benutzer das Installationspaket f r die Management Console herunterladen und auf ihrem Computer installieren k nnen Der Link steht im folgenden Format https lt servername gt lt serverport gt SafeGuardPortProtector consoleinstal 1 5px Hinweis Sie k nnen auch ein k rzeres Link Format verwenden https lt servername gt lt serverport gt SafeGuardPortProtector Um die Management Console auf einem neuen Computer zu installieren brauchen Sie lediglich dem Benutzer die Adresse dieser Webseite mitzuteilen Das folgende Fenster wird angezeigt 3 Management Console Installation Microsoft Internet Explorer Eile Edit View Favorites Tools Help ay Q Back O x 2 A search Sr Favorites O u G Address fa https chuti2003 Utimaco com
219. deutet dass Datens tze die einem beliebigen der auf dieser Registerkarte festgelegten Kriterien entsprechen in der Log Tabelle angezeigt werden 5 5 3 Definieren einer neuen Datei Log Abfrage Mit File Log Abfragen k nnen Sie die Log Tabelle nach verschiedenen Eigenschaften filtern Sie enthalten die folgenden Registerkarten Zeit Datei Shadowing Speicherger te und Allgemein Wenn die Option der Inhaltspr fung aktiviert ist ist auch die Registerkarte Inhaltspr fung verf gbar 5 5 3 1 Zeiteigenschaften Datei Logs Die Zeit Abfrageeigenschaften werden auf der Registerkarte Zeit definiert Abfrageeigenschaften Unbenannt Datei Logs xj Datel Logdatens tze nach Zeit abrufen Shadowing Speichergerate leiste gl Tage Fr Allgemein O Von 1 5 201 um 12 05 S Dan fa 6 2010 um 12 05 Sl C Zwischen 00 00 und 23 59 Q Speichern unter Speichern Auf hren Schlie en 181 SafeGuard PortProtector 3 30 Benutzerhilfe 5 5 3 1 1 Definieren von Zeiteigens chaften Datei Logs Auf der Registerkarte Zeit definieren Sie den Zeitrahmen f r die anzuzeigenden Datens tze Unabh ngig von anderen Abfragedefinitionen werden die Datens tze in der Log Tabelle den von Ihnen hier festgelegten Zeitkriterien entsprechen So definieren Sie Zeiteigenschaften Geben Sie auf der Registerkarte Zeit den gew nschten Zeitrahmen fiir Logdatens tze ein Die folgenden Optionen sind verf gbar Klick
220. diaverschl sselung Benutzer d rfen Dateien auf Speicherger te schreiben Shadowing nicht verf gbar Shadowing Auf ein Speicherger t geschriebene Dateien immer sperren gt Optionen Max Dateigr e Shadow Datei berschreitet nicht 12 amp me x v Diese Definitionen gelten sofern Sie keine policy spezifischen Definitionen angeben nderungen die Sie hier vornehmen aktualisieren alle Policies 2 Sie k nnen dieses Fenster auch ffnen indem Sie oben in den einzelnen Einstellungen Fenstern auf Allgemeine Policy Einstellungen ffnen klicken 3 3 10 Schritt 10 Protokollierung definieren ber diese Option werden die Protokollierungseinstellungen f r die aktuelle Policy spezifiziert wie etwa die H ufigkeit mit der Logs von einem gesch tzten Endpunkt an die SafeGuard PortProtector Datenbank gesendet werden und deren Ziel Jeder Endpunkt auf dem SafeGuard PortProtector Client installiert ist sendet Logeintr ge wie folgt Sofort wenn das Ereignis auftritt oder periodisch wie unten angegebenen Wenn aus irgendeinem Grund keine Verbindung zwischen dem Endpunkt und dem SafeGuard PortProtector Management Server besteht werden die Logeintr ge auf dem Endpunkt gesammelt und gesendet sobald die Kommunikation wieder hergestellt ist Sie k nnen auch angeben ob Trennungsereignisse protokolliert werden sollen Hinweis Dar ber hinaus k nnen die meisten systemseitigen Protokollierungseinstellun
221. diengruppen Die Berechtigungen f r Mediengruppen k nnen nicht konfiguriert werden weil die Dateikontrolle nicht auf freigegebene Medien angewandt wird Das bedeutet dass nach der Freigabe jede Art von Datei von diesen Medien gelesen werden kann 122 SafeGuard PortProtector 3 30 Benutzerhilfe 3 6 Verwalten von Policies Das unten gezeigte Fenster Policies ist der zentrale Punkt an dem Sie eine Liste Ihrer Policies anzeigen und verschiedene Aktionen durchf hren k nnen wie etwa das Bearbeiten L schen Exportieren von Policies etc Dieses Fenster wird automatisch angezeigt wenn Sie anfangs die Policies Welt ffnen indem Sie auf die Registerkarte Policies klicken Nachdem Sie zu anderen Fenstern in der Policies Welt gewechselt haben k nnen Sie zum Fenster Policies auf verschiedenen Wegen zur ckkehren So ffnen Sie das Fenster Policy Management Policies Klicken Sie in der Fensterleiste oder in der oberen rechten Ecke des Fensters auf das Symbol Policies mater ODER W hlen Sie im Men Datei die Option Policies Das Fenster Policies wird angezeigt SafeGuard PortProtector Management Console P lj x Datei Bearbeiten Ansicht Extras Eenster Hilfe RE Ga Policies WS Policies Ej Neu Policies E integriert Alle zulassen Keine Protokolier x neu ffnen X E Abfrage Alle Policies v P Siaktualisieren a 4 Beschreibung Gespeichert Eigent mer Integriert Alle sperren Keine
222. e Zusatzoptionen wie etwa die tempor re Aufhebung des Schutzes Panik Modus erl utert woran zu erkennen ist dass die Policy eines Clients durch Manipulation besch digt wurde und was zur Behebung dieses Umstands zu tun ist Verschl sselung und Entschl sselung von Wechselspeicherger ten erl utert wie Wechselspeicherger te verschl sselt werden wenn die Policy eine Verschl sselung fordert und wie verschl sselte Ger te entschl sselt werden um sie auf organisationsfremden Computer zu nutzen sofern die Policy dies zul sst CD DVD Verschl sselung erkl rt wie verschl sselte Volumes erzeugt werden die Sie auf CD DVD und externe Festplatten kopieren oder als Container verwenden k nnen um verschl sselte Daten auf Ihrer Festplatte zu speichern 273 SafeGuard PortProtector 3 30 Benutzerhilfe 8 1 Meldungen des SafeGuard PortProtector Clients SafeGuard PortProtector Meldungen erscheinen sofort nach der Installation je nach den Optionseinstellungen die fiir die Policy definiert wurden die fiir den Computer Benutzer gelten Sobald eine Meldung erscheint k nnen Sie diese mit einem Klick schlie en Andernfalls verschwindet sie nach einem Moment automatisch Meldungen zeigen den Portnamen und das Ger temodell an Au erdem zeigen Sie den Text an der in Schritt 12 Endbenutzer Meldungen definieren im Kapitel Definieren von Policies erscheint Hier k nnen Sie den Text auch f r die Bed rfnisse Ihrer Organisation mod
223. e wird sich als ein Ordner mit den verschl sselten Dateien ffnen Um die Dateien zu benutzen kopieren Sie sie auf den Schreibtisch des Computers Wenn Sie fertig sind kopieren Sie sie wieder auf das Ger t zur ck 8 7 3 3 Schl ssel f r den Offline Zugriff auf Ger te gew hren Hinweis 1 Dieses Verfahren ist nur f r Ger te anwendbar die durch die Volumen Verschl sselungsmethode verschl sselt wurden 2 Fin Endbenutzer ben tigt Administrator Rechte um diesen Vorgang auf einem Computer auszuf hren auf dem Safend Protector nicht l uft Das Utility Schl ssel f r Ger tezugriff gew hren erm glicht es einem Endbenutzer der s ein Kennwort vergessen hat auf ein verschl sseltes Wechselspeicherger t z B Disk On Key auf einem Computer zuzugreifen auf dem Safend Protector nicht lauft 297 SafeGuard PortProtector 3 30 Benutzerhilfe Der Endbenutzer klickt dann beim Zugriff auf das Datenzugriffstool auf Kennwort vergessen Das Fenster Ger tekennwort vergessen wird angezeigt f m Forgot Device Password In order to access the encrypted device contact your system administrator provide them this challenge key and enter the response key they will provide you with Challenge Key Challenge key 1221025 269E733EA 1116CZ56E 523096989 5C9E4676F 99D2BD12C 6365877A4 D94ADCSDF Copy Response Key Response key u __ k Cancel Senden Sie dem Administrato
224. e Administration und auf einem SafeGuard PortProtector Client Markieren Sie die gew nschten Optionen in diesem Bereich um die Eigenschaften der Kennworter zu steuern die in SafeGuard PortProtector genutzt werden k nnen wie etwa Art und Anzahl der Zeichen sowie maximale Kennwortl nge Sie k nnen eine beliebige Kombination der in diesem Abschnitt des Fensters verf gbaren Optionen w hlen 258 SafeGuard PortProtector 3 30 Benutzerhilfe 7 7 Konfigurieren der Einstellungen auf der Registerkarte Pflege Systempflegeeinstellungen werden auf der Registerkarte Pflege des Fensters Administration definiert r Allgemein Datenbankserver Intern localhost MySQL Allgemein Policies Datenbankpflege Logs und Alarme Die Datenbankgr e ist relativ zur Anzahl Tage die f r jeden der Logtypen gespeichert werden Clients Ist Maximum Client Logs 8 30 Lizenzierung Datei Logs 8 90 Server Logs 8 90 Shadow Dateien 0 90 Zur Steuerung von Datenbanktiefe und Gr e So konfigurieren Sie die Netzsegmente die als Shadow Dateispeicher diene Systembackup Systembackup enth lt Daten zu Policies Abfragen etc sowie Seren seninezel Jetzt Backup erstellen C Geplante Backups ausf hren T glich um 01 00 ndern Logbackup Das Logbackup schlie t Client Logs Server Logs und File Logs Jetzt Backup erstellen ein C Geplante Backups ausf hren T glich um 01 00 ndern 25
225. e Date Modified Arumsssenseosta 6 22018 Application 10 02 2008 15 02 woke 665 600KB SES Fie 10 02 2008 15 04 Hinweis L schen Sie den Container der verschl sselten Dateien nicht vom Wechselspeicherger t Durch das L schen des Containers werden alle darin gespeicherten Daten gel scht 2 Doppelklicken Sie auf AcessSecureData exe um das Programm auszuf hren und den Zugriff auf die Daten zu erm glichen 3 Das Hilfsprogramm wird ausgef hrt und fordert das Kennwort f r den Offline Zugriff das Kennwort das in Festlegen eines Kennworts f r den Offline Zugriff festgelegt wurde an wenn ein verschl sseltes Ger t zum ersten Mal an den Computer angeschlossen wird 296 SafeGuard PortProtector 3 30 Benutzerhilfe Was Sie sehen werden h ngt davon ab ob Sie ber Administratorrechte verf gen oder nicht Administrator Geben Sie Ihr Kennwort ein und klicken Sie auf Auf das Ger t zugreifen SafeGuard PortProtector SOPHOS 4 device is trying to connect to your computer Type Disk On Keys Name Disk drive USB Flash Disk USB Device to access information Device Password The device is encrypted 4 password is required in order this device Ein gemountetes Volume mit den verschliisselten Daten wird angezeigt Non Administrator Geben Sie Ihr Kennwort ein und klicken Sie auf OK Enter Password Enter Device Password Password pat a a t t t a a cme Die ses Datei verschl sseltes Volum
226. e Logs Welt Clients ffnet die Clients Welt 2 4 6 Men Hilfe Das Men Hilfe liefert Informationen zu SafeGuard PortProtector Hilfe Hilfethemen Info 30 SafeGuard PortProtector 3 30 Benutzerhilfe Das Men Hilfe haben alle Welten gemeinsam und es enth lt folgende Optionen Option Beschreibung Hilfethemen ffnet die SafeGuard PortProtector Policy Builder Hilfe Info Zeigt Urheberrecht und Lizenzinformationen zu SafeGuard PortProtector sowie Kontaktinformationen f r Sophos an SafeGuard PortProtector Management Console Info SafeGuard PortProtector SafeGuard PortProtector Management Console i Build 55031 46115 Website Support Achtung omputerprogramm ist dur und inter nmungen Repr io Rahmen verfolgt 2 5 Fensterleiste und Fensteroptionen In der Policies Welt und in der Logs Welt k nnen mehrere Fenster ge ffnet werden Die Fensterleiste zeigt ge ffnete Fenster 2 5 1 Fensterleiste In der Policies Welt k nnen Sie zus tzlich zum Hauptfenster in dem Sie Policies verwalten mehrere Policies jeweils in einem eigenen Fenster ffnen Die Fensterleiste zeigt die Namen der ge ffneten Policies an rl Policies Fi Integriert Alle speren Keine Protokol Fi Integriert Alle zulassen Log In der Logs Welt k nnen Sie mehrere Logs jeweils in einem eigenen Fenster ffnen Die Fensterleiste zeigt die Namen der ge ffneten Logabfragen an Be Client Logs All Ep Fi
227. e Novell eDirectory Dom ne handelt Diese Definitionen werden im Fenster Dom ne ndern festgelegt So ffnen Sie das Fenster Dom ne ndern Klicken Sie im Abschnitt Gesch tzte Dom ne auf ndern Das Fenster Dom ne ndern wird angezeigt x Dom nentyp Active Directory i Gesamten Wald zeigen Dom ne Definieren Sie die gewiinschten Einstellungen wie unten in Definieren einer geschiitzten Domiine erl utert 7 3 1 3 1 Definieren einer gesch tzten Dom ne In diesem Fenster definieren Sie die gesch tzte Dom ne und ihren Typ So definieren Sie den Dom nentyp 1 W hlen Sie im Men Dom nentyp die Option Active Directory oder Novell eDirectory 2 Klicken Sie auf die entsprechende Optionsschaltfl che um mit Gesamten Wald zeigen oder Dom ne anzugeben ob sie alles oder nur eine bestimmte Dom ne anzeigen m chten Wenn Sie eine bestimmte Dom ne anzeigen m chten geben Sie ihren Namen ein 3 Klicken Sie zum Speichern und Beenden auf OK 235 SafeGuard PortProtector 3 30 Benutzerhilfe 7 3 1 4 Server Berechtigungen Damit die Management Server Anwendung seine Funktion im Netz ausf hren kann ist ein Benutzerkonto mit ausreichenden Rechten erforderlich Dieser Benutzer wird w hrend der Installation des Management Servers definiert und ist f r den reibungslosen Betrieb des gesamten Systems immens wichtig Hier die Berechtigungen ber die dieses Benutzerkonto verf gen mu
228. e Option w hlen werden das SafeGuard PortProtector Symbol und Freignismeldungen niemals angezeigt Diese Option kann genutzt werden wenn Sie verhindern m chten dass die Benutzer ber den Einsatz von SafeGuard PortProtector auf ihrem Computer Bescheid wissen 3 3 16 1 4 Definieren der Trennung aktiver Ger te Manchmal ist ein Ger t an einen Computer angeschlossen f r den eine neue Policy zur Anwendung kommt die dieses Ger t nicht mehr zul sst In einem solchen Fall verlangt der SafeGuard PortProtector Client vom Betriebssystem die Trennung des Ger ts Wenn das Ger t benutzt wird kann es vorkommen dass das Betriebssystem nicht dazu in der Lage ist Die Einstellungen in diesem Abschnitt legen fest wie SafeGuard PortProtector in diesem Fall das nicht mehr freigegebene Ger t trennt 1 Klicken Sie im Abschnitt Disconnecting Active Devices auf die Optionsschaltfl che Policy spezifische Einstellungen definieren 2 W hlen Sie eine der folgenden Optionsschaltfl chen Schrittweise Wenn Sie diese Option w hlen trennt auch SafeGuard PortProtector keine Ger te die das Betriebssystem nicht trennen kann Der SafeGuard PortProtector Client versucht zu einem sp teren Zeitpunkt das Ger t zu trennen und oder sperrt es nach dem n chsten Neustart Gewaltsam Wenn Sie diese Option w hlen trennt SafeGuard PortProtector das Ger t sofort unabh ngig vom Betriebssystem und jeden Kommunikationskanal zwischen dem Ger t und dem Comp
229. e die WiFi Kontrolle 1 Klicken Sie im Fenster WiFi Kontrolle auf die Registerkarte Allgemein sofern sie nicht aktiv ist 2 Im Abschnitt WiFi Verbindungsarten legen Sie in der Spalte Aktion die Berechtigungen f r WiFi Netze Infrastruktur wie folgt fest Zulassen L sst die Verbindung zu allen WiFi Netzen zu Einschr nken Alle Netze sind gesperrt es sei denn sie sind auf der Registerkarte Ausnahmen speziell freigegeben siehe auch Freigeben von Ger ten und WiFi Verbindungen 3 Im Abschnitt WiFi Verbindungsarten legen Sie in der Spalte Aktion die Berechtigungen f r Peer to Peer Ad Hoc wie folgt fest Zulassen L sst alle Peer to Peer WiFi Verbindungen zu Sperren Sperrt alle Peer to Peer WiFi Verbindungen Bei dieser Option sind keine feineren Berechtigungen verf gbar 4 Markieren Sie das Kontrollk stchen Log f r die einzelnen Verbindungstypen wenn Verbindungsinitialisierungen bzw aktivit ten protokolliert werden sollen 5 Markieren Sie das Kontrollk stchen Alarm wenn Verbindungsinitialisierungen bzw aktivit ten einen Alarm ausl sen sollen 6 Wahlen Sie bei Freigegebenen Netze die freigegebenen Netze die Sie Ihrer wei en Liste hinzuf gen m chten siehe auch Freigeben von Ger ten und WiFi Verbindungen 3 3 9 Schritt 9 Allgemeine Policy Einstellungen definieren Die allgemeinen Policy Einstellungen dienen als Voreinstellung wenn Sie keine policy spezifischen Einstellungen angeben
230. e file events have occurred For your convenience new file messages will be temporarily hidden Z 18 33 JE m 01 05 2007 nn Wenn SafeGuard PortProtector Client feststellt dass die H ufigkeit der Dateimeldungen keine St rung mehr darstellt gem hartcodierter Definitionen wird die folgende Meldung angezeigt iD Show file messages 5 file event messages were not displayed For your convenience new file messages will be shown from now on Use the tray icon to temporarily hide file messages 18 33 amp amp m 01 05 2007 a _ Dariiber hinaus kann der Endbenutzer die Dateimeldungen jederzeit ausblenden oder anzeigen wenn der hartcodierte Schwellenwert ungeeignet ist So blenden Sie Dateimeldungen manuell aus Klicken Sie auf der Registerkarte Extras im SafeGuard PortProtector Client Fenster auf Hide File Messages ODER Klicken Sie mit der rechten Maustaste auf das SafeGuard PortProtector Client Taskleistensymbol und w hlen Sie Hide File Messages Ab diesem Zeitpunkt werden keine Dateimeldungen mehr gezeigt bis der Endbenutzer wahlt sie wieder anzuzeigen So zeigen Sie Dateimeldungen manuell an Klicken Sie auf der Registerkarte Tools im SafeGuard PortProtector Client Fenster auf Show File Messages ODER Klicken Sie mit der rechten Maustaste auf das SafeGuard PortProtector Client Taskleistensymbol und w hlen Sie Show File Messages Ab diesem Zeitpunkt werden Dateimeldun
231. e im Men Datei auf die Option Abfragen Der Fenster Verwalten Abfragen wird angezeigt Verwalten Abfragen von Client Logs x Zeigen Abfragen von Client Logs Erstellt von Beschreibung Modifizierungsdatum Abfragename Integriert Alle Client 12 30 2009 8 27 41 AM Alle Ereignisse der Integriert Gesperrte 12 30 2009 8 27 42 AM Alle gesperrten Ger te Integriert Gesperrte 12 30 2009 8 27 42 AM Alle gesperrten Integriert Interne Port 12 30 2009 8 27 42 AM Verbindungsherstellunge Integriert 12 30 2009 8 27 42 AM Alle Integriert 12 30 2009 8 27 42 AM Alle Integriert WiFi Ereignisse 12 30 2009 8 27 42 AM Alle WiFi Ereignisse gt Schlie en 5 5 7 1 Optionen der Abfrageverwaltung Im Fenster Verwalten Abfragen werden die integrierten Abfragen in Integrierte Abfragen beschrieben sowie Ihre gespeicherten Abfragen f r den ausgew hlten Abfragetyp Client Logs Datei Logs oder Server Logs angezeigt In diesem Fenster k nnen Sie folgende Aktivit ten ausf hren Definieren neuer Abfragen in Erstellen einer Abfrage erl utert Bearbeiten vorhandener Abfragen in Bearbeiten einer Abfrage erl utert L schen von Abfragen in L schen einer Abfrage erl utert Umbenennen von Abfragen in Umbenennen einer Abfrage erl utert Ausf hren von Abfragen in Ausf hren einer zuvor definierten Abfrage erl utert Standardm ig werden in dies
232. e in der Logs Welt anzeigen wie in Kapitel 5 Anzeigen von Logs beschrieben 1 4 2 Definition der Policy 1 4 2 1 Was wird durch eine Policy definiert Jede Policy definiert zwei Arten von Informationen Sicherheitsdefinitionen und Policy Einstellungen wie folgt Sicherheitsdefinitionen spezifizieren die Policy gesperrt zugelassen oder eingeschr nkt f r den Zugriff auf die Ports an den Endpunkten in Ihrer Organisation Die Portkontrolle spezifiziert die Policy Ihrer Organisation im Hinblick auf den Portzugriff an den Endpunkten Die Ger tekontrolle spezifiziert die Policy Ihrer Organisation hinsichtlich der Ger te die berechtigt sind auf USB PCMCIA und FireWire Ports an den Endpunkten zuzugreifen Die Speicherkontrolle spezifiziert die Policy Ihrer Organisation hinsichtlich der Speicherger te die berechtig sind auf USB PCMCIA und FireWire Ports an den Endpunkten zuzugreifen einschlie lich Verschl sselung von Wechselspeicherger ten In diesem Schritt definieren Sie auch ob die Daten auf Ihren internen Festplatten verschl sselt werden oder nicht Die Dateikontrolle spezifiziert die Policy Ihrer Organisation hinsichtlich der Dateien die zu von externen Speicherger ten bertragen werden Dadurch werden die bertragungen nach Dateityp und tats chlichem Inhalt kontrolliert Die WiFi Kontrolle spezifiziert die Policy Ihrer Organisation hinsichtlich der WiFi Links auf die die Endpunkte zugrei
233. e lokale Log Speicherung 1 W hlen Sie auf der Registerkarte Policy unter Einstellungen linker Fensterausschnitt die Option Protokollierung 2 W hlen Sie bei Logspeicher die Option Policy spezifische Einstellungen festlegen und w hlen Sie Logs lokal speichern So lesen Sie Logs von einem Standalone Client 1 F hren Sie auf dem Client Computer den folgenden Befehl aus der sicherstellt dass die derzeit vom SafeGuard PortProtector Client genutzten Logs freigegeben und aus dem Computer kopiert werden k nnen sc control sophosps 222 2 Verwenden Sie den folgenden Befehl um die Log Dateien slg aus ihrem standardm igen Speicherort programfiles sophos SafeGuard PortProtector client logs zu kopieren xcopy Pfad zu Log Dateien Zielpfad f r Log Datei c FAN 203 SafeGuard PortProtector 3 30 Benutzerhilfe 3 bertragen Sie die Log Datei mittels eines Massenspeicherger ts oder eines anderen bertragungsverfahrens vom Standalone Client Computer Hinweis Dieser Vorgang l sst sich leicht automatisieren Wenden Sie sich an den Sophos Support um ein Tool zur bertragung der Logs von Standalone Endpunkten zu erhalten So importieren Sie die Logs auf den Management Server 1 Kopieren Sie die Logs auf einen Computer auf dem die SafeGuard PortProtector Management Console l uft 2 W hlen Sie auf der Registerkarte Logs Datei gt Manueller Log Import Das Dialogfeld Log Datei importieren wird angezeigt 3
234. e mit der rechten Maustaste auf das Fenster Policy Management und w hlen Sie Neu Es wird eine unbenannte Policy mit Standardeinstellungen ge ffnet Das folgende Fenster ist das anf nglich ge ffnete Fenster SafeGuard PortProtector Management Console leixi Datei Bearbeiten Ansicht Extras Eenster Hilfe EEE Policies Wi Wr ty Neun Policies B Neu Policies la Integriert Alle zulassen Keine Protokollier Z Unbenannt 3 x Bn H y hha G L Allgemein Geben Sie im oberen Teil dieser Seite die allgemeinen Policy Informationen ein Im unteren Teil f gen Sie die Organisationsobjekte hinzu mit Eigenschaften denen die Policy verkn pft werden soll gt Portkontrolle Allgemeine Eigenschaften Ger tekontrolle Policy Name Unbenannt 3 Eigent mer UTIMACO Administrator Speicherkontrolle gt Dateikontrolle Beschreibung EJ Gespeichert WiFi Kontrolle B berarbeitung 0 Einstellungen Protokollierung Endbenutzer Meldungen Objektname Beschreibung SE Mediaverschl ssel ng Die Policy ist mit keinem Organisationsobjekt verkn pft Klicken Sie auf Neu um sie zu verkn pfen Shadowing Optionen Benutzer Administrator UTIMACO Server localhost Dieses Fenster ist in zwei Abschnitte unterteilt Allgemeine Eigenschaften der obere Abschnitt Hier geben Sie den Namen der neuen Policy
235. e unabh ngig von dem Manipulationsversuch f r den sie gelten angezeigt 179 SafeGuard PortProtector 3 30 Benutzerhilfe 5 5 2 7 Administrations eigenschaften Client Logs Die Administrations Abfrageeigenschaften werden auf der Registerkarte Administration definiert Abfrageeigenschaften Unbenannt Client Logs xj Zeit Allgemein Installationsereignisse Gerate Speicherger te Installieren _ Deinstallieren ist fehlgeschlagen Falsches Deinstallationskennwort WiFi Links C Deinstallieren C Falsches Admin Kennwort Manipulation s Suspendierung des Schutzes Administration _ Suspendierungskennwort generiert C Suspendierung fehlgeschlagen C suspendiert Benutzer C Wieder aufgenommen Suspendiert Admin Ger teverschl sselung C Verschl sselung initialisiert _ verschl sselung aufgehoben C Kennwort f r Offline Zugriff festlegen Sonstige Policy aktualisiert Andere Client Fehler Speichern unter Speichern Auf hren Schlie en 5 5 2 7 1 Definieren von Administrationseigenschaften Client Logs Auf der Registerkarte Administration definieren Sie die anzuzeigenden Logdatens tze bez glich ihrer Administrationsereignisse In der Log Tabelle erscheinen nur Datens tze die den von Ihnen hier festgelegten Kriterien entsprechen Hinweis Diese Registerkarte ist nur dann aktiviert wenn Sie Administration
236. eben wird werden als File Logs gespeichert Die Logs und Alarme von Client und Dateiprotokollierung k nnen sich auf einen Computer oder einen Benutzer beziehen je nachdem wie die vorgebende Policy angewandt ist Zus tzlich zu den Ereignissen die auf gesch tzten Endpunkten auftreten werden Logs und Alarme auch durch SafeGuard PortProtector Management Server Ereignisse erzeugt wie etwa Anmeldung eines Administrators Ver ffentlichen von Policies und Ausf hren von Datensicherungen Client und Server Logs und Alarme werden in Intervallen die in der Policy des Clients definiert sind an einen Logspeicher auf dem Management Server gesendet und dort gespeichert Wenn n tig k nnen sie auch vom Administrator zu einem anderen Zeitpunkt erfasst werden Dieses Kapitel beschreibt die Logs Welt die verschiedene M glichkeiten zur Abfrage und Anzeige von Logs und Alarmen bietet 5 2 Kurze bersicht ber die Logs Welt Diese bersicht bezieht sich auf Client Logs und File Logs Die Fenster des Server Logs unterscheiden sich dadurch dass sie keinen Abschnitt der Organisationsstruktur haben So ffnen Sie die Logs Welt Klicken Sie auf die Registerkarte Logs Das Fenster Logs wird angezeigt SafeGuard PortProtector Management Console Je Ix Datei Bearbeiten Ansicht Extras Fenster Hilfe l amp Policies Client Logs qDatei Logs Server Logs Di client Logs Logs des letzten Tages x 7 Abfrage Logs des letzten
237. ecessary agreements to permit the resumption of information system operations for critical mission business functions includes cluster support for full redundancy and load balancing servers choose the Cluster installation option 390 SafeGuard PortProtector 3 30 Benutzerhilfe organization employs mechanisms with supporting procedures to allow the information system to be recovered and reconstituted to a known secure state after a mechanism for recovering servers using backup keys Requirement Requirement Description Relevant SafeGuard How to apply Number PortProtector SafeGuard Features PortProtector policies for FISMA compliance CP 9 1 2 Information System SafeGuard In the 3 4 Backup The organization PortProtector Administration conducts backups of user provides measures window select level and system level for creating Maintenance and information including encrypted backups choose backup system state information of both the system options and contained in the configuration and schedule information system the security logs database CP 10 1 Information System SafeGuard In the SafeGuard Recovery and PortProtectors PortProtector Reconstitution The provides an easy Install Wizard choose the Restore option to import pre existing backup keys and configuration disruption or failure organization employs automated mechanisms to assi
238. ective and corrective measures to protect business assets PO7 8 Job change and In the case of a job change access rights should be termination redefined such that risks are minimized PO9 3 Event identification Any potential threats to the infrastructure should be identified together with the potential impact IDS5 4 User account management Any IT implementation must contain a logging and monitoring function that provides early detection of unauthorized activities IDS5 6 Security incident Security incidents must be clearly defined to ensure definition that the response follows the incident response process IDS5 7 Protection of security All security related functions must be tamper resistant technology such that they cannot be bypassed by unauthorized access IDS5 10 Network security Information flows to and from networks must be controlled with security techniques and related management procedures IME2 1 Monitoring of Internal The IT environment and controls must be Control Framework continuously monitored IAC18 Protection of sensitive Controls must be deployed to protect the information during transmission and transport confidentiality and integrity of sensitive information during transmission and transport 360 SafeGuard PortProtector 3 30 Benutzerhilfe 15 Appendix G Using SafeGuard PortProtector in a PCI Regulated Organization About This Appendix In order to create protection of ca
239. ector 3 30 Benutzerhilfe 14 1 Pre Requisites for Addressing SOX Compliance Issues SafeGuard PortProtector provides many security features that can address the threats of endpoint security In order to effectively utilize the capabilities of the product the SOX regulated organization should take some preliminary actions to must prepare to use SafeGuard PortProtector for SOX 404 compliance There are three categories of pre requisites for effective implementation of SafeGuard PortProtector for SOX 404 compliance The first category is Foundations Foundations are basic information security program elements that must be in place in order for any compliance effort to move forward Foundations include the establishment of business mission statements and roles responsibilities required to carry them out The second pre requisite is Considerations Considerations are specific information security threats that must be addressed within the context of the established business mission The third pre requisite for effective implementation is Preparations Preparations are activities that must be performed prior to installing and configuring a specific technology product such as SafeGuard PortProtector 14 1 1 Foundations The evaluation of security controls within an organization requires a context of business objectives For SOX regulated organizations that context is provided by the following set of foundations that translate business objectives into a SO
240. edia AVI Audio Video Interleave ASF Advanced Streaming Format WMV Windows Media Multimedia MOV QuickTime Video Clip SWF Flash Animation File FLI FLIC Animation FLC FLIC Animation 320 File Type Text amp Program Code Executables Extensions TXT CSV PRN CPP C H XML F T90 MAKFFILE MAKFFILE IN PL1 ASM PAS JAVA M4 BCPL CS PL PM PY PDB BAS VB VBS JS EXE DLL PIF BAT COM OCX CMD CPL SCR VXD SYS SafeGuard PortProtector 3 30 Benutzerhilfe Description Text File Formatted Text Comma Delimited Formatted Text Space Delimited C Program Code C C Program Code C Java Header File XML File FORTRAN Program Code FORTRAN Program Code Compilation Control File Compilation Control File PL1 Program Code Assembler Progeam Code PASCAL Program Code JAVA Program Code Meta4 Program Code BCPL Program Code Visual C NET Program Code Perl Program Code Perl Program Code Module Python Program Code Visual C NET Program Database BASIC Program Code Visual Basic Program Code VBScript Script JavaScript Source Code Executable Dynamic Link Library Windows Program Information File Batch Command ActiveX Object Linking and Embedding OLE Control Extension Command Windows Control Panel Extension Windows Screen Saver Virtual Device Driver System Device Driver 321 SafeGuard PortProtector 3 30 Benutzerhilfe File Type Compressed Archives CD DVD Disc Imag
241. ein weiteres Werkzeug dar mit dem Sie festlegen k nnen welche Objekte in der Objektetabelle angezeigt werden sollen Nachdem Sie diese Objekte ausgew hlt und angezeigt haben k nnen Sie angeben welche der angezeigten Objekte mit der Policy verkn pft werden sollen Die Registerkarte Organisationsstruktur zeigt die Dom ne n Organisationseinheiten Gruppen Benutzer und Computer in Ihrer Organisation sowie die Gruppe Nicht in Dom ne in der alle Computer enthalten sind die derzeit zu keiner Dom ne geh ren wie in der folgenden Abbildung dargestellt x w hlen Sie Objekte in der Struktur aus und klicken Sie auf LOS W hlen Sie dann untergeordnete Objekte aus der Liste aus 5 coe Aachen 5 Meine Firma sa Tea mi Nicht in Dom ne Nicht in Dom ne a 0 Safend com O Safend com DC Safend DC com 5 a g 5 safedev Safend co C a users CN Users DC Safend DC com E O safendga safend c 7 S9 Safend OU Safend DC Safend DC com Z 44 Builtin F 48 Builtin CN Builtin DC Safend DC com y 29 Computers O 1 safedev Safend com DC safedev DC Safend DC com z O28 Domain Controllers T 9 safendga Safend com DC safendqa DC Safend DC c gr i SS Lost ndFound 49 temp user OU temp 028 Safend C 34 Computers CN Computers DC Safend DC 2 1 S8 temp user M Sa LostandFound CN Lost ndFound DC Safend O28 users Sa Users CN Users DC safedey DC Saf A i Nicht in Dom ne r Ga users CN Users
242. einen Policy Informationen ein Im unteren Teil f gen Sie die Organisationsobjekte hinzu mit Eigenschaften denen die Policy verkn pft werden soll Portkontrolle Allgemeine Eigenschaften Ger tekontrolle sh M Policy Name Unbenannt 3 Eigent mer UTIMACD Administrator Speicherkontrolle hreibung zi ichert Dateikontrolle Besoin E a 5 WiFi Kontrolle Zl Oberabetung 0 Protokollierung gt o Maree Policy mit Organisationsobjekten verkn pfen Ta een gt Endbenutzer Meldungen Objektname Beschreibung Die Policy ist mit keinem Organisationsobjekt verkn pft Klicken Sie auf Neu um sie zu verkn pfen Mediaverschl sselung Shadowing gt Optionen Benutzer Administrator UTIMACO Server localhost 3 3 3 1 1 Policy Eigenschaften In diesem Fenster k nnen Sie den Namen und eine Beschreibung f r die Policy eingeben Eine neue Policy enth lt die Standardwerte oder die Werte der Policy Vorlage sofern Sie eine solche Vorlage definiert haben siehe Policy Vorlage im Kapitel Administration 50 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 3 2 Erstellen einer neuen Policy aus einer vorhandenen Policy Dieser Abschnitt erl utert wie Sie eine neue Policy aus einer vorhandenen erstellen So erstellen Sie eine neue Policy von einer vorhandenen 1 ffnen Sie die vorhandene Policy wie in Verwalten von Policies erl utert und nd
243. eltes Ger t angeschlossen wird wird der Endbenutzer aufgefordert es zu verschl sseln siehe auch Verschl sselung und Entschl sselung von Wechselspeicherger ten in Kapitel 9 Endbenutzer Erfahrung Diese Art der Berechtigung ist f r Wechselspeicherger te externe Festplatten und f r CD DVD verf gbar Eine Erl uterung wie Endbenutzer die Verschl sselung durchf hren k nnen finden Sie im Kapitel Endbenutzer Erfahrung Hinweis Wenn ein Ger t oder Medium an einer Stelle auf Verschl sseln wie etwa hier und an einer anderen Stelle auf Zulassen z B in der Wei en Liste gesetzt ist gilt im Rahmen der Regel mit den meisten Berechtigungen die Berechtigung Zulassen Wenn ein Ger t oder Medium an einer Stelle auf Verschl sseln wie etwa hier und an einer anderen Stelle auf Schreibgesch tzt z B in den Ausnahmen gesetzt ist gilt die Berechtigung Verschl sseln 64 SafeGuard PortProtector 3 30 Benutzerhilfe Schreibgeschiitzt L sst nur das Lesen von den Speicherger ten dieses Typs ber ungesperrte Ports zu Bei CDs und DVDs bedeutet die Einstellung Schreibgesch tzt dass sie nicht zum Brennen benutzt werden k nnen Gem der Regel mit den meisten Berechtigungen gilt Wenn ein Ger t oder Medium an einer Stelle auf Schreibgesch tzt wie etwa hier und an einer anderen Stelle auf Zulassen z B in den Ausnahmen gesetzt ist gilt die Berechtigung Zulassen 7 Verschl sselung interner Festplatten untere
244. em Fenster aller Abfragen f r den aktiven Logtyp Client Log Server Log oder File Log angezeigt Sie k nnen bei Bedarf Abfragen f r einen anderen Logtyp anzeigen und verwalten So ndern Sie den Abfrage Logtyp Klicken Sie im Fenster Verwalten Abfragen auf das Men Zeigen und w hlen Sie den gew nschten Logtyp f r die zu verwaltenden Abfragen Das Fenster zeigt jetzt Abfragen f r den von Ihnen gew hlten Logtyp 191 SafeGuard PortProtector 3 30 Benutzerhilfe 5 5 7 2 Erstellen einer Abfrage Das Erstellen einer neuen Abfrage wird detailliert in Abfragen erl utert Das Fenster Abfrageeigenschaften in dem Sie die Eigenschaften der neuen Abfrage definieren kann auch aus dem Fenster Verwalten Abfrage heraus ge ffnet werden 5 5 7 3 Bearbeiten einer Abfrage Eine Abfrage kann bearbeitet werden wenn ihre Eigenschaften ge ndert werden m ssen oder Sie sie als Vorlage bei der Erstellung einer neuen Abfrage verwenden m chten So bearbeiten Sie eine Abfrage 1 Klicken Sie in der Symbolleiste auf die Schaltfl che Bearbeiten Das Fenster Abfrageeigenschaften wird angezeigt 2 Nehmen Sie die gew nschten nderungen vor ODER 1 W hlen Sie im Fenster Verwalten Abfragen die zu bearbeitende Abfrage aus der Abfrageliste aus 2 Klicken Sie auf Bearbeiten Das Fenster Abfrageeigenschaften wird angezeigt 3 Nehmen Sie die gew nschten nderungen vor ODER 1 Klicken Sie im Fenster Verwalten Abfragen in der Abfrageliste
245. em Rechtsklicken k nnen Sie die Strg bzw Umschalttaste dr cken um mehrere zu l schende Abfragen zu selektieren 2 W hlen Sie im Kontextmen die Option L schen Ein Best tigungsfenster wird angezeigt 3 Klicken Sie auf Ja um die Abfrage n zu l schen oder auf Nein um den Vorgang abzubrechen 5 5 7 5 Umbenennen einer Abfrage Sie k nnen eine Abfrage umbenennen So benennen Sie eine Abfrage um 1 Wahlen Sie im Fenster Verwalten Abfragen die umzubenennende Abfrage aus der Abfrageliste aus Klicken Sie auf das Feld Name Der Abfragename ist jetzt selektiert und kann bearbeitet werden 193 SafeGuard PortProtector 3 30 Benutzerhilfe 5 5 8 Ausf hren einer zuvor definierten Abfrage Die Ausf hrung einer Abfrage bezieht sich auf die von Ihnen definierten Abfragekriterien Zusammen mit der Auswahl in der Organisationsstruktur wird dadurch bestimmt welche Datens tze in der Log Tabelle erscheinen Sie k nnen eine zuvor definierte Abfrage auf verschiedene Weise ausf hren ber die Symbolleiste im Fenster Verwalten Abfragen ber die Schaltfl che Ausf hren im Fenster Verwalten Abfragen ber das Kontextmen oder im Fenster Verwalten Abfragen durch Doppelklicken auf die Abfrage So f hren Sie eine zuvor definierte Abfrage ber die Symbolleiste aus Klicken Sie in der Symbolleiste auf das Men Abfrage und w hlen Sie die auszuf hrende Abfrage aus Die Abfrage wird f r die Log Tabelle angewandt So f hre
246. em to security policies can which devices are provide only essential be set to completely allowed and capabilities and lock down blocked or use specifically prohibits organizational the built in and or restricts the use of endpoint and allow FISMA policy the functions and ports only necessary with permissions to recommended approved users pre configured Logs can be set to permissions detect any unauthorized usage Policies can be attempt See also configured either item MP for users or for computers providing a high level of granularity of configuration CM 8 1 2 Information System SafeGuard Open the Clients Component Inventory PortProtector World to view The organization employs maintains and network automated mechanisms to displays a list of all computers and help maintain an up to computers in the filter them by date complete accurate organization and status and readily available their current inventory of information protection status By Use SafeGuard system components using SafeGuard PortAuditor to PortAuditor it is view all devices possible to view all Currently and devices being used Previously or previously connected to connected to the network network computers Computers CP 7 1 2 Alternate Processing Site SafeGuard When installing 3 4 The organization PortProtector additional identifies an alternate Management Server management processing site and initiates n
247. emeinen Portberechtigungen fest Setzen Sie einen Ports auf Zulassen Sperren um alle Aktivit ten ber diesen Eigenschaften Port zu kontrollieren Um die Berechtigungen detaillierter zu definieren setzen Sie den Port auf Einschr nken und definieren die Geratekontrolle bzw Speicherkontralle Portkontrolle Physische Ports Aktion Log Alarm Geratekontroll a adi use V Geratekontrolle definieren pracpalchercontelle Firewire Geratekontrolle definieren x aust konscolle pcmcia v Ser tekontrolle definieren WiFi Kontrolle SecureDigital va Einstellungen Seriell vy Protokollierung Parallel vey Alarme Modem ve Endbenutzer Meldungen Interne Ports v m E eee Drahtlose Ports Aktion Log Alarm gt Shadowing wiri ve Optionen IrDA xy Bluetooth xy Anti Hybridnetz berbr ckung Aktion Hybridnetz berbr ckung vy Benutzer Administrator UTIMACO Server localhost Die Symbolleiste f r die Anzeige oder nderung einer Policy ist anders als die zuvor beschriebene Symbolleiste die bei der Anzeige des ersten Fensters Policies erscheint Gua mE E Nachfolgend eine kurze Beschreibung der einzelnen Schaltfl chen in der Symbolleiste Schaltfl che Beschreibung Neu ffnet eine neue Policy Speichern und Speichert und ver ffent
248. en Schlie en 5 5 2 1 1 Definieren von Zeiteigenschaften Client Logs Auf der Registerkarte Zeit definieren Sie den Zeitrahmen f r die anzuzeigenden Datens tze Unabh ngig von anderen Abfragedefinitionen werden die Datens tze in der Log Tabelle den von Ihnen hier festgelegten Zeitkriterien entsprechen So definieren Sie Zeiteigenschaften Geben Sie auf der Registerkarte Zeit den gew nschten Zeitrahmen f r Logdatens tze ein Die folgenden Optionen sind verf gbar Klicken Sie auf die Optionsschaltfl che Letzte um einen Zeitraum relativ zum aktuellen Tag auszuw hlen Wenn Sie m chten geben Sie ein Zeitfenster f r die Tage im ausgew hlten Zeitraum an indem Sie das Kontrollk stchen Zwischen markieren Klicken Sie auf die Optionsschaltfl che Von um ein definitives Datum und eine definitive Zeit auszuw hlen ab wann Datens tze angezeigt werden sollen Markieren Sie das Kontrollk stchen Bis wenn Sie ein definitives Enddatum und eine definitive Endzeit festlegen m chten so dass nur Datens tze angezeigt werden die zwischen die Von und Bis Zeit fallen Als Ergebnis werden nur Datens tze in der Log Tabelle angezeigt die Ihrer Auswahl entsprechen 173 SafeGuard PortProtector 3 30 Benutzerhilfe 5 5 2 2 Allgemeine Abfrageeigenschaften Client Logs Die allgemeinen Abfrageeigenschaften werden auf der hier gezeigten Registerkarte definiert Z abrageeigenschaften nbena
249. en die deren Zugriff erlaubt In den folgenden Abschnitten wird beschrieben wie Sie eine Policy definieren Die Policies sch tzen die Endpunkte in Ihrer Organisation sobald sie an die Computer in Ihrer Organisation verteilt wurden wie in Kapitel 4 Verteilen von Policies beschrieben Bevor wir mit der Definition von Policies beginnen schauen wir uns kurz die Policies Welt an und besprechen das Policy Management 3 2 Kurze bersicht ber die Policies Welt So ffnen Sie die Policies Welt Klicken Sie auf die Registerkarte Policies Das Fenster Policies wird angezeigt SafeGuard PortProtector Management Console Be la x Datei Bearbeiten Ansicht Extras Eenster Hilfe A 182 Policies Policies B Neu E Policies E Integriert Alle zulassen Keine Protokolier a gt xX E Neu ffnen X E Abfrage Alle Policies v9 Saktualisieren G Beschreibung Gespeichert Eigent mer Integriert Alle sperren Keine Alle sperren HID Ger te Interne Ports zugelassen Keine 30 12 09 8 27 38 Integriert Alle sperren Log Alle sperren HID Ger te Interne Ports zugelassen Log 30 12 09 8 27 38 Integriert Alle zulassen Keine Alle zulassen Keine Protokollierung Dateikontrolle 30 12 09 8 27 38 Integriert Alle zulassen Log Alle zulassen Log Dateikontrolle Nur Schreib Ereignisse 30 12 09 8 27 38 Integriert HIPAA Optimales Der aggressive Ansatz zur Implementierung von Sophos innerhalb einer 30 12
250. en Sie auf die Optionsschaltfl che Letzte um einen Zeitraum relativ zum aktuellen Tag auszuw hlen Wenn Sie m chten geben Sie ein Zeitfenster f r die Tage im ausgew hlten Zeitraum an indem Sie das Kontrollk stchen Zwischen markieren Klicken Sie auf die Optionsschaltfl che Von um ein definitives Datum und eine definitive Zeit auszuw hlen ab wann Datens tze angezeigt werden sollen Markieren Sie das Kontrollk stchen Bis wenn Sie ein definitives Enddatum und eine definitive Endzeit festlegen m chten so dass nur Datens tze angezeigt werden die zwischen die Von und Bis Zeit fallen Als Ergebnis werden nur Datens tze in der Log Tabelle angezeigt die Ihrer Auswahl entsprechen 5 5 3 2 Dateieigenschaften Datei Logs Die Datei Abfrageeigenschaften werden auf der Registerkarte Datei definiert x zeit Nach Operation Datei Shadowing C Lesen O Schreiben verschl sselt C cb DvD Brennen Speicherger te C Schreiben CO Lesen offline Allgemein C Lesen verschl sselt C Schreiben offline Nach Dateityp C ver ffentlichte Dokumente C Komprimierte Archive C Datenbanken a Images C cop pvo Disk Images O FrameMaker _ Microsoft Office _ Ausf hrbare Dateien O Sonstige C webseiten C Computer Aided Design CAD C Nicht angegeben C Text und Programmcode Verschl sselung C Multimedia _ Microsoft Outloo
251. en Sie ein Kennwort fiir die Client Verwaltung 1 Geben Sie in diesem Fenster das Kennwort f r die Ausf hrung von Administratorsaufgaben auf SafeGuard PortProtector Clients ein und best tigen Sie es Das Kennwort muss den Kennwortregeln in Ihrer Organisation entsprechen 2 Klicken Sie auf OK 3 3 16 1 2 Client Kennwort f r Deinstallation Hierbei handelt es sich um das Kennwort f r die Deinstallation von SafeGuard PortProtector Clients von Endpunkten f r den Fall dass Sie ein anderes Kennwort als das Administrationskennwort verwenden m chten Sie legen das Kennwort im Fenster Kennwort f r Deinstallation fest So ffnen Sie das Fenster Aktivieren Sie im Abschnitt Kennw rter f r Client Deinstallation und Administration das Kontrollk stchen neben Ein anderes Kennwort zum Deinstallieren von SafeGuard PortProtector Clients verwenden Klicken Sie auf die daneben befindliche Schaltfl che Kennwort ndern Das Fenster Kennwort f r Deinstallation wird angezeigt Kennwort f r Deinstallation t x Kennwort zum Deinstallieren von Safend Protector Clients eingeben Kennwort Best tigen Das Kennwort muss den Kennwortrichtlinien der Organisation entsprechen Q 3 3 16 1 2 1 Definieren des Kennworts f r die Client Deinstallation 1 Geben Sie in diesem Fenster das Kennwort f r die Deinstallation von SafeGuard PortProtector Clients von Endpunkten ein und best tigen Sie es Das von Ihnen festgelegte
252. en gew nschten Dateinamen und den Speicherort aus und klicken Sie auf Speichern So importieren Sie eine Policy 3 Klicken Sie mit der rechten Maustaste auf das Fenster Policy Management und w hlen Sie Importieren ODER Klicken Sie im Men File auf die Option Importieren Das Fenster Policy importieren wird angezeigt 4 W hlen Sie die gew nschte Datei und klicken Sie auf Open Die importierte Policy wird ge ffnet 5 Zum Speichern der Policy verwenden Sie die Option Speichern oder Speichern unter im Men Datei 3 6 7 Abfragen zugeh riger Policies Wenn Sie Policies ber die Option Policy Server mit Organisationsobjekten verkn pft haben siehe Verteilen von SafeGuard PortProtector Policies direkt vom Management Server aus in Kapitel 4 Verteilen von Policies k nnen Sie SafeGuard PortProtector Clients daraufhin abfragen welche Policies mit einem Benutzer Computer verkn pft sind Anhand dieser Informationen k nnen Sie herausfinden welche Berechtigungen tats chlich f r den Benutzer Computer in Kraft sind und ob er mit einer oder mehreren Policies verkn pft ist So zeigen Sie mit den angegebenen Objekten verkn pfte Policies an 1 W hlen Sie im Fenster Policies im unten dargestellten Men Abfrage das in der Symbolleiste erscheint die Option Nach verkn pftem Objekt die andere standardm ige Option ist Alle Policies Abfrage Alle Policies v Nach verkn pftern Objekt 2 Das Fenster Objekt ausw hlen wird an
253. enster Abfragen verwalten heraus ffnen siehe Verwalten von Abfragen Das Fenster Abfrage siehe vorherige Abbildung ist in zwei Bereiche unterteilt Imlinken Abschnitt stehen die Namen der verschiedenen Registerkarten in denen Sie die Abfrageeigenschaften definieren k nnen Es gibt zwei Hauptregisterkarten Zeit und Allgemein Abh ngig vom Logtyp stehen zus tzliche Registerkarten zur Verf gung die detaillierte Definitionen zu den Themen im Fenster Allgemein enthalten Der rechte Abschnitt zeigt die Registerkarte Abfrageeigenschaften die die entsprechenden Definitionen f r die Auswahl im linken Abschnitt enth lt Die auf dieser Registerkarte gemachten Definitionen bilden die Kriterien daf r welche Datens tze in der Log Tabelle angezeigt werden Die Datens tze m ssen den definierten Kriterien entsprechen Hier werden jetzt die verschiedenen Definitionen und deren Funktionsweise besprochen 172 SafeGuard PortProtector 3 30 Benutzerhilfe 5 5 2 1 Zeiteigenschaften Client Logs Die Zeit Abfrageeigenschaften werden auf der Registerkarte Zeit definiert Abfrageeigenschaften Unbenannt Client Logs E x Allgemein Logdatens tze nach Zeit abrufen Ger te Speicherger te Letzte i i Tage F WiFi Links a Manipulation O von 1 5 2010 um 11 57 Elan 1 6 2010 m 11 57 Administration j i CO Zwischen Joo 00 Fund 23 59 Speichern unter Speichern Auf hr
254. enster in der Logs Welt geschlossen sind ist der Arbeitsbereich leer Sie k nnen ein Log Fenster ffnen indem Sie auf eine der Startschaltfl chen oben rechts im Fenster klicken Eg client Logs a File Logs Eg Server Logs Weitere Informationen zum Anzeigen von Logs finden Sie in Log Tabelle 5 3 Log Tabelle Die Log Tabelle unten in der Abbildung dargestellt zeigt Informationen zu Ereignissen die in SafeGuard PortProtector Clients Management Consoles oder Management Server auftreten Es gibt drei Argen von Log Tabellen die Sie anzeigen und verwalten k nnen 160 Client Log Dieses Log zeigt Informationen zu Clients und Benutzern in der Organisation Jeder Datensatz meldet ein bestimmtes Ereignis wie etwa das Anschlie en eines abnehmbaren Ger ts an einem Computer einen Manipulationsversuch etc Eine Beschreibung der Logstruktur finden Sie in Struktur des Client Logs Datei Log Wenn die Funktion der Dateiprotokollierung f r Wechselspeicherger te externe Festplattenlaufwerke oder CD DVDs aktiviert ist werden die Datei Informationen in diesem Log angezeigt Eine Beschreibung der Logstruktur finden Sie in Struktur des Datei Logs File Shadowing Logs werden ebenfalls hier gezeigt Server Log Dieses Log zeigt Informationen zu Management Server und administrativen Aktionen Jeder Datensatz meldet ein bestimmtes Ereignis wie etwa die Anmeldung bei der Management Console das ndern globaler Policy Einstellungen etc
255. entation preparation Administrative Password Strength All passwords that protect system components within the sensitive data environment must comply with the organization s formally documented password policies Formally documented security policies are discussed in more detail in Consideration 1 Policies and Procedures under Considerations section Based on the organization s password strength policy SafeGuard PortProtector administrative password strength criteria should be defined in the SafeGuard PortProtector to enforce organizational policies Elements of the password strength include minimum length and required character types 14 2 4 Relevant SOX Requirements SOX Requirement P04 6 Roles and responsibilities Roles and responsibilities must be defined and communicated throughout the organization Once create these roles must be maintained P04 8 Responsibility for risk Specific roles must be created for critical tasks that security involve risk management for information security and compliance P04 9 Data and system ownership Owner for critical information must be defined and provided with systems that enforce the data classification 359 SafeGuard PortProtector 3 30 Benutzerhilfe P06 2 Enterprise IT risk and The IT framework should deliver a minimal risk at a internal high value low cost Reduction of risks should include preventative det
256. entfernen sie 1 Klicken Sie auf ndern Das Fenster Alarmziele wird angezeigt in dem alle verf gbaren Alarmziele aufgelistet werden die zuvor unter Alarmziel Speicher definiert wurden siehe Alarmziel Speicher in Kapitel 8 Administration x Markieren Sie die gew nschten Ziele Details Um ein Ziel hinzuzuf gen zu bearbeiten oder zu l schen ffnen Sie den Alarmziel Speicher 2 Aktivieren bzw deaktivieren Sie die Ziele wie gew nscht und klicken Sie auf OK Hinweis Informationen zum Hinzuf gen Bearbeiten und L schen eines Ziels finden Sie in Alarmziel Speicher in Kapitel 8 Administration 256 SafeGuard PortProtector 3 30 Benutzerhilfe 7 6 Konfigurieren der Einstellungen auf der Registerkarte Clients Client Administrationseinstellungen werden auf der Registerkarte Clients des Fensters Administration definiert Administration F Client Installationsordner Geben Sie einen freigegebenen Ordner an von dem aus Sie die SafeGuard PortProtector Client Policies Software auf den Endpunkten installieren C ClientInstall Durchsuchen Dieser Ordner enth lt alle f r das Deployment erforderlichen Dateien Sie k nnen die Installationsdateien neu erstellen indem Dateien neu erstellen Lizenzierung Sie einen neuen Speicherort ausw hlen Allgemein Logs und Alarme Pflege Kennworteinschr nkungen C Nicht numerische Zeichen erforderlich Ziffern erforde
257. eplante Backups ausf hren Das Logbackup wird zu den geplanten Zeiten ausgef hrt die n chste geplante Zeit wird angezeigt Sie k nnen den Plan f r das Logbackup ndern So planen Sie ein Logbackup Klicken Sie im Abschnitt Logbackup auf ndern Das Fenster Geplantes Logbackup wird angezeigt Geplantes Logbackup x Bitte Zeitplan f r Logbackup konfigurieren Backups erstellen T glich v um 01 00 N chstes Backup 1 7 2010 1 00 00 AM Backuppfad C Program Files Sophos SafeGuard PortP 9 abbrchen 7 7 1 5 1 Planen von Logbackups In diesem Fenster k nnen Sie das Intervall t glich w chentlich oder monatlich und den Zeitpunkt f r das geplante Logbackup sowie den Pfad f r das Backup festlegen So legen Sie die Backupparameter fest 1 Legen Sie das Intervall und die Zeit f r die Ausf hrung unter Backups erstellen fest 2 Klicken Sie auf Durchsuchen um den Pfad f r das Backup auszuw hlen 3 Klicken Sie auf OK Der Zeitplan f r das Logbackup ist jetzt festgelegt Die Dateien des Logbackups werden gem den folgenden Namenskonventionen gespeichert LogsBackup01JAN2006_2359 SCB wobei 01Jan2006_2359 Datum und Zeit repr sentieren Die aktuelle Datei wird nicht von der neuen Backupdatei berschrieben so dass immer zwei Backupdateien vorhanden sind 7 8 Konfigurieren der Inhaltspr fung Inhaltspr fungsdetails werden auf der Registerkarte Content Inspection angezeigt und aktualisiert 267 S
258. er Microsoft OneNote Sections Microsoft Access Project Microsoft Access Project Extension Adobe Acrobat Document Post Script Document Encapsulated Post Script HTML Web Page HTML Web Page Archived Web Page Archived Web Page PHP Script Windows Help File Compiled Help File Active Server Page ASP NET Web Page ASP NET Webservices Java HTML Web Page Java Server Page JPEG Image JPEG Image GIF Image Bitmap Image Device Independent Bitmap Image PNG Image Tagged Image Format Tagged Image Format Office Document Imaging File JNG Image MNG Image 319 SafeGuard PortProtector 3 30 Benutzerhilfe File Type Extensions Description ICO Windows Icon CUR Windows Cursor WME Windows Metafile Image EMF Enhanced Windows Metafile Image FH9 Macromedia Freehand 9 Graphics JP2 JPEG 2000 Image PBM Portable Bitmap PGM Portable Graymap Bitmap PPM Portable Pixelmap Bitmap PSD Adobe Photoshop Graphics CDR CorelDRAW Vector Graphics SVG Scalable Vector Graphics Multimedia WAV Waveform Audio WMA Windows Media Audio MP2 MPEG Audio MP3 MPEG Audio AIFF Audio Interchange AIF Audio Interchange AU AU Audio RA RealMedia Streaming Media MID Musical Instrument Digital Sound MIDI Musical Instrument Digital Sound RMI Musical Instrument Digital Sound SDS Musical Instrument Digital Sound Sample VOC Creative Lab s Soundblaster Audio OGG Ogg Vorbis Codec Audio VOX Dialogic Audio FLAC Free Loseless Codec Audio MPEG MPEG Multimedia MPG MPEG Multim
259. er tekontrolle er m m i pipers Policy fiir alle Gerate Aktion Log Alarm Speicherkontrolle Ir ORES 7 Alle Ger te v Dateikontralle Ka 5 Hardware Keylogger vy V o WiFi Kontrolle Einstellungen Geratetypen Aktion Log Alarm Protokollierung HID Ger te vy Alarme Drucker ey a Endbenutzer Meldungen 9 PDAs Smart Phones Ber eaagersehiessel rg Windows Mobile Pocket PCs I Sirsnadonng Blackberry Ger te ey u 3 Palm OS Ger te ey 7 Optionen I iPhones ey 7 Handys ey 7 Netzwerkadapter ey 7 Bildbearbeitungsger te ey 7 Audio Videoger te ley m Smart Cards ey 7 Content Security Gerate ey m Nicht bei Ger tetypen oder in der wei en Liste freigegebene Ger te Nicht klassifizierte Ger te x 7 o Benutzer Administrator UTIMACO Server localhost Policy f r alle Ger te oberer Bereich In diesem Bereich k nnen Sie mit den Optionen Zulassen Einschr nken oder Sperren den Zugriff auf alle Ger tetypen zulassen einschr nken oder sperren Wenn Sie Zulassen oder Sperren f r Alle Ger te w hlen wird der Rest des Fensters deaktiviert Hier legen Sie Log und Alarmdefinitionen f r die Ger teaktivit t fest wenn USB FireWire oder PCMCIA Ports zugelassen oder gesperrt sind Sie k nnen auch f r Hardware Keylogger die Optionen Zulassen oder Sperren w hlen und Log und Alarmeinstellungen definieren Hardware Keylogger sind in Schutz vor Hardware Keylogger in Kapitel 1 Einf hrung in
260. er A BundD Eine Policy die mit den Containern A und C verkn pft ist kann nur von Gerhard modifiziert werden Maria kann sie nicht modifizieren weil das bedeuten w rde dass dadurch auch die Policy beeinflusst w rde die zu Container C gilt der nicht zu ihrer Dom nenpartition geh rt Maria kann diese Policy nur im schreibgesch tzten Modus sehen Sie sieht nur die Organisationsobjekte die mit dieser Policy verkn pft sind und zu ihrer Dom nenpartition geh ren Bestandteil der Container A B und D Ein Safend Administrator kann keine Policies bearbeiten die mit Organisationsobjekten verkn pft sind die nicht Bestandteil der ihm zugewiesenen Dom nenpartition sind Er kann auch nicht sehen welche Organisationsobjekte aus diesen Containern mit der Policy im Bereich Policy mit Organisationsobjekten verkn pfen des Fensters Policy verkn pft sind 94 SafeGuard PortProtector 3 30 Benutzerhilfe Mit Safend Protector haben Sie die M glichkeit anzugeben ob ein Administrator Policies die nicht mit Organisationsobjekten in der ihm zugewiesenen Dom nenpartition verkn pft sind im Modus Schreibgeschiitzt oder gar nicht sehen kann Im schreibgeschiitzten Modus kann der Administrator die Verkn pfung der Policy mit weiteren Organisationsobjekten ndern ohne die vorhandenen zu entfernen 3 3 18 Schritt 18 Policy speichern und ver ffentlichen Alle neuen Policies und alle nderungen an einer Policy m ssen gespeichert werden Eine P
261. er Mediengruppe hinzugef gt werden sollen Neben jedem Medium befindet sich ein Kontrollk stchen Markieren Sie das Kontrollk stchen wenn Sie das Medium freigeben m chten Medien die bereits zur aktuellen Gruppe geh ren sind grau markiert und das Kontrollk stchen daneben ist bereits markiert Hinweis Falls ein Medium zu mehreren Gruppen geh rt und diese Gruppen dieselben Berechtigungen haben wird SafeGuard PortProtector die Gruppen willk rlich ausw hlen Wenn die Gruppen nicht dieselben Log und Alarmeinstellungen haben ist es nicht vorhersehbar welche Einstellungen angewendet werden Sobald Sie die der Gruppe hinzuzuf genden Medien ausgew hlt haben klicken Sie auf N chste um mit Schritt 3 fortzufahren 120 SafeGuard PortProtector 3 30 Benutzerhilfe 3 5 3 4 Schritt 3 Best tigen Assistent f r das Hinzuf gen freigegebener Medien Speicherkontrolle Integriert Alle zulassen Keine Protokollierung F PE aieea 7 MyMediengruppe berpr fen Sie die ausgew hlten Medien und best tigen Sie Ihre Auswahl indem Sie auf Fertig stellen klicken Doppelklicken Sie auf ein Medium wenn Sie Anmerkungen f r das Medium bearbeiten m chten Volumename Fingerprint ol Anmerkungen 964D9E1B53 3 5 3 4 1 Bestatigen der Auswahl Hier berpr fen Sie die Gruppe mit ihren neu hinzugefiigten Medien und best tigen Ihre Auswahl Vor dem Best tigen k nnen Sie Anmerkungen zu einem Medium hinzuf gen wie i
262. er Meldungen definieren Sobald eine SafeGuard PortProtector Policy zugeordnet ist zeigt der SafeGuard PortProtector Client dem Endbenutzer bei verschiedenen Situationen eine Ereignismeldung an beispielsweise wenn der Versuch einer Policy Verletzung festgestellt wird oder eine Ma nahme seitens des Endbenutzers erforderlich ist SafeGuard PortProtector Client wird mit Standardmeldungen geliefert die Sie ber die Option Endbenutzer Meldungen im Men Einstellungen auf der linken Seite des Hauptfensters ndern k nnen Hinweis Im Abschnitt Meldungen des SafeGuard PortProtector Clients finden Sie eine Beschreibung wie und wann diese Meldungen auf den Endpunkten erscheinen Die Einstellungen f r die Endbenutzer Meldungen werden im Settings Fenster Endbenutzer Meldungen definiert 81 SafeGuard PortProtector 3 30 Benutzerhilfe So ffnen Sie das Einstellungen Fenster Endbenutzer Meldungen Klicken Sie auf der linken Seite des Hauptfensters im Men Einstellungen auf Endbenutzer Meldungen Das Fenster Endbenutzer Meldungen wird angezeigt SafeGuard PortProtector Management Console lal xi Datei Bearbeiten Ansicht Extras Fenster Hilfe a Policies A Logs Clients Policies ij Neu Policies Integriert Alle zulassen Keine Protokoller Unb 4 gt x vu be BO Gg Allgemein 5 a x a Die folgenden Meldungen werden dem Endbenutzer entsprechend den Policy Einschr nkungen angezeigt Benutzen Sie e
263. er fr her genutzt wurden Mit Hilfe eines SafeGuard PortAuditor Scans k nnen Sie die Ger te und Netze ausw hlen deren Nutzung Sie genehmigen m chten SafeGuard PortAuditor 5 x Eile Settings Report Help SafeGuard PortAuditor SOPHOS m Credentials m Audit Results Summary Current Credentials UTIMACO Administrator Change user Report Load Report Reporti r Computers to Audit Specify the computers you want to audit Organizational Unit Browse Total Computers Computer Name s focal Accessed Computers IP Range ji z 7 7 Successfully Audited Protected by SafeGuard m Audit Filters 5 A USB Devices Detect devices connected tough the following ports PCL PCMCIA Devices VV use W Firewire WM pcmcia W PCI J Internal Storage V WiFi FireWire Devices More Filters Internal Storage WiFi Networks More Storage Devices Communication Adapters m Output Options Report name el Reports directory C Program Files Sophos SafeGuard Pc Browse Gathering all information This may take several minutes Write data to file C Program Files Sophos SafeGuard PortAuditor Audits Re Checked 1 Computers Got information from 1 Computers Audit finished successfully view Report Create Excel Export Results CTT TTT TTT TTT Sie k nnen SafeGuard PortAuditor aus SafeGuard PortProtector heraus starten wie in Auditin
264. er gelten SafeGuard PortProtector setzt die Policies wie folgt durch Zun chst wird eine Benutzer Policy angewendet sofern eine f r den derzeit angemeldeten Benutzer vorliegt Andernfalls sucht SafeGuard PortProtector nach einer Policy die dem Computer zugeordnet ist und nutzt diese sofern vorhanden Das bedeutet Wenn kein Benutzer angemeldet ist wird die computerspezifische Policy angewandt Deshalb ist es ratsam die benutzerbezogenen Policies zu verteilen so dass ein Benutzer dieselbe Policy erh lt ganz gleich an welchem Computer er angemeldet ist Au erdem sollten computerspezifische Policies festgelegt werden die mehr Einschr nkungen enthalten Diese computerspezifischen Policies sollten dennoch Zugriff auf Ger te wie Maus und Tastatur zulassen damit sie genutzt werden k nnen wenn kein Benutzer oder ein Benutzer von au erhalb der Dom ne angemeldet ist Bei der Erstkonfiguration des SafeGuard PortProtector Clients werden alle Port und Ger teaktivit ten zugelassen d h nichts ist gesperrt Eine Konfiguration mit Berechtigungen ist erforderlichen damit nicht alle Portaktivit ten automatisch direkt nach der Installation von SafeGuard PortProtector Client blockiert werden Das bedeutet Bis Sie tats chlich Policies definieren und an Ihre Endpunkte verteilen f r Benutzer oder f r Computer l uft der Computer auf dem SafeGuard PortProtector Client gerade installiert wurde wie zuvor weiter ohne Sperrung von Ports und Ge
265. erden SafeGuard PortProtector Policies GPOs auf Objekte angewandt die sich in einem OU Container Computer oder Benutzer befinden Bei einigen gro en Organisationen ist die Verwaltung unter Umst nden m hsam und schwierig Eine andere M glichkeit besteht darin die Policy bei Benutzern anzuwenden die sich in Sicherheitsgruppen befinden Hierf r wird ein so genanntes Sicherheitsfilterungsverfahren genutzt Ein gutes Beispiel f r eine Organisation die dieses Verfahren einsetzen k nnte ist eine Organisation bei der alle Benutzer in einer Organisationseinheit und alle Computer in einer anderen Organisationseinheit in der Dom ne enthalten sind In diesem Fall w re es einfacher die vorhandenen Sicherheitsgruppen zu nutzen und die Policy darauf anzuwenden satt die Computer Benutzer in einer neuen OU Struktur anzuordnen Die Sicherheitsfilterung ist im Wesentlichen ein Verfahren bei dem Sie mehrere GPOs auf dieselbe Organisationseinheit die Benutzer enth lt anwenden und dann die ACE Access Control Entries Zugangssteuerungseintr ge bei den GPOs ndern so dass nur Benutzer in bestimmten Sicherheitsgruppen zum Lesen berechtigt sind und diese spezifische Protector Gruppenpolicy anwenden ACE Standardeintr ge f r ein neues Group Policy Object GPO Security Principal Read Gruppen Policy anwenden Authenticated users Allow Allow Creator owner Allow implicit Domain admins Allow Enterprise admins Allow Enterprise domain
266. eren Umfangsarten werden auf den anderen Registerkarten die entsprechend benannt sind definiert Ger teeigenschaften werden auf der Registerkarte Ger te Speicherger teeigenschaften auf der Registerkarte Speicherger te etc definiert Nach Ereignis In diesem Abschnitt k nnen Sie das Ereignis festlegen das in die Log Tabelle aufgenommen werden soll Sie k nnen mehrere Ereignisse ausw hlen Wenn Sie keins ausw hlen werden die Datens tze unabh ngig von dem Ereignis f r das sie gelten angezeigt Hinweis In diesem Abschnitt sind nur Ereignistypen verf gbar die f r Ihre Auswahl unter Nach Umfang relevant sind Das bedeutet Wenn Sie alle Umfangsarten gew hlt haben sind alle Optionen f r Nach Ereignis aktiviert Wenn Sie jedoch beispielsweise nur die Umfangsart Port w hlen sind nur die Ereignisoptionen Port eingeschr nkt und Gesperrt aktiviert 174 SafeGuard PortProtector 3 30 Benutzerhilfe Hinweis Wenn Sie nur Manipulation bzw Administration unter Nach Umfang ausw hlen ist der Abschnitt Nach Ereignis deaktiviert da er fiir diese Umfangsarten nicht relevant ist Nach Port In diesem Abschnitt k nnen Sie den Port festlegen der in die Log Tabelle aufgenommen werden soll Sie k nnen mehrere Ports ausw hlen Wenn Sie diesen Abschnitt nicht ausw hlen werden die Datens tze unabh ngig von dem Port f r den sie gelten angezeigt Hinweis In diesem Abschnitt sind nur Ports verf gbar die f r Ihre Aus
267. erfassen um die aktuellsten Informationen zu sehen Bei Aktivierung dieser Funktion werden alle Logtypen erfasst Anleitungen hierzu finden Sie in Abrufen der aktuellesten Informationen von einem Client im Kapitel Verwalten von Clients 5 8 Verfolgen des Fortschritts von Client Tasks Wenn die Anwendung Tasks ausf hrt wie etwa das Erfassen von Logs oder das Aktualisieren von Policies k nnen Sie den Verlauf dieser Tasks anzeigen lassen Anleitungen hierzu finden Sie in Verfolgen des Fortschritts von Client Tasks im Kapitel Verwalten von Clients 5 9 Struktur der Log Tabellen Im Folgenden werden die Spalten der Log Tabellen beschrieben Struktur des Client Logs beschreibt die Spalten in der Client Log Tabelle Struktur des Datei Logs beschreibt die Spalten in der File Log Tabelle Struktur des Server Logs beschreibt die Spalten in der Server Log Tabelle 5 9 1 Struktur des Client Logs Im Folgenden werden die Spalten der Client Log Tabelle beschrieben Spalte Beschreibung Log Type Gibt an ob es sich bei dem Datensatz um ein Log oder einen Alarm handelt Scope Gibt den Umfang an auf den sich das Ereignis bezieht z B Port Speicher Admin Manipulation Time Zeigt die Zeit des Ereignisses als Management Console Zeit an Computer Zeigt den vollst ndigen Namen einschlie lich der Dom nenendung des Computers an f r den das Ereignis gilt User Zeigt den Namen des Benutzers an f r den das Ereignis gilt 195
268. erhilfe So suchen Sie nach bestimmten Computern 1 Geben Sie im Textfeld den Namen des anzuzeigenden Computers oder Benutzers ein dessen Datensatz in der Tabelle angezeigt werden soll Sie k nnen mehrere Namen durch Komma Semikolon oder Leerzeichen getrennt eingeben 2 Markieren Sie das Kontrollk stchen Exakte bereinstimmung wenn Sie in der Tabelle Datens tze f r einen Computer mit einem Namen anzeigen m chten der genau mit der von Ihnen im Textfeld eingegebenen Zeichenfolge bereinstimmt In diesem Fall m ssen Sie den vollst ndigen Computernamen eingeben einschlie lich der Dom nenendung Wenn Exakte bereinstimmung nicht markiert ist werden in der Clients Tabelle Datens tze f r alle Computer angezeigt deren Name die von Ihnen eingegebene Zeichenfolge enth lt 3 Klicken Sie unter dem Textfeld auf LOS EE Die jetzt in der Tabelle angezeigten Client Datens tze beziehen sich auf die Computer deren Name Ihren Suchkriterien entspricht Wenn kein Computer gefunden wird dessen Name Ihren Suchkriterien entspricht ist die Tabelle leer 6 6 Exportieren der Clients Tabelle Wenn Sie die Clients Tabelle in eine externe Datei exportieren m chten um sie zu drucken oder weitere Analysen durchzuf hren ist dies ber das Fenster Clients exportieren m glich So ffnen Sie das Fenster Clients exportieren W hlen Sie im Men Datei die Option Exportieren Das Fenster Clients exportieren wird angezeigt Client exportieren
269. erkn pft sind zu dem bzw zu der eine Verkn pfung zum ausgew hlten Datensatz besteht So zeigen Sie alle verkn pften Logs an 1 Klicken Sie im Kontextmen auf Alle Logs anzeigen Es wird ein Untermen angezeigt 2 Wahlen Sie im Untermen die anzuzeigenden Logdatens tze aus Von diesem Ger t Von dieser Policy Von diesem Benutzer Von diesem Computer Die Log Tabelle zeigt jetzt alle Datens tze f r den ausgew hlten Typ 5 3 4 Exportieren der Log Tabelle Die Log Tabelle kann im Fenster Abfrageergebnisse exportieren exportiert werden So ffnen Sie das Fenster Abfrageergebnisse exportieren W hlen Sie im Men Datei die Option Exportieren Das Fenster Abfrageergebnisse exportieren wird angezeigt Abfrageergebnisse exportieren x Ziel Anzahl der Seiten l amp Seiten Alle Seiten atch 165 SafeGuard PortProtector 3 30 Benutzerhilfe 5 3 4 1 Exportieren von Abfrageergebnissen Verwenden Sie diese Option um die Log Tabelle d h die Abfrageergebnisse zu exportieren um sie zu drucken oder weitere Analysen durchzuf hren Die Datei wird im XML Format gespeichert das ganz einfach mit MS Excel etc ge ffnet werden kann So exportieren Sie die Abfrageergebnisse 1 Klicken Sie auf die Schaltfl che Durchsuchen um einen Pfad auszuw hlen oder den Pfad f r die exportierte Datei einzugeben Sie k nnen den Standardnamen verwenden oder ihn ndern 2 Wenn Sie nur die aktuellsten Daten
270. ern Sie diese nach Bedarf ab 2 W hlen Sie im Men File die Option Speichern unter und speichern Sie sie unter einem neuen Namen Alternativ k nnen Sie eine vorhandene Policy duplizieren und sie unter einem neuen Namen speichern wie in Fenster duplizieren in Kapitel 2 Erste Schritte erl utert Die folgenden Schritte erl utern wie Sie Ihre Policy definieren und speichern 3 3 4 Schritt 4 Portkontrolle definieren In diesem Schritt werden die Portberechtigungen und Berechtigungen f r Hybridnetz berbr ckung festgelegt Portberechtigungen SafeGuard PortProtector erm glicht eine positive Sicherheit indem der Zugriff auf alle Ports auf allen Computern an die eine Policy verteilt wurde gesperrt wird sofern die Policy nicht den Zugriff auf den Port zul sst Sie k nnen f r jeden Port USB FireWire PCMCIA Secure Digital seriell parallel Modem WiFi IrDA oder Bluetooth Folgendes angeben Zulassen Diese Option legt fest dass der Port zu jedem Zweck ohne Einschr nkung auf diesem Kommunikationskanal genutzt werden kann Sperren Diese Option bedeutet dass ber diesen Port kein Zugriff erfolgen kann Der Port ist nicht verf gbar so als ob seine Kabel abgetrennt w ren Wenn ein Port gesperrt ist k nnen Sie festlegen dass Versuche der Portinitialisierung protokolliert werden oder dass sie Alarme ausl sen Einschranken Bei USB FireWire PCMCIA und WiFi Ports haben Sie auch die M glichkeit den Zugrif
271. erren siehe nachstehende Erkl rung Eventuell m chten Sie im Falle verschl sselter Ger te Wechselspeicherger te von der Dateikontrolle ausnehmen wenn Sie z B wissen dass diese Ger te gesch tzt sind Dadurch wird verhindert dass berfl ssige Logs erzeugt werden und sicherer Inhalt berpr ft werden muss Die Standarddefinitionen sind auf Anwenden der Dateikontrolle f r Dateien die auf diese Speicherger te geschrieben bzw von ihnen gelesen werden und Zulassen der Smart Funktionalit t gesetzt So legen Sie die Berechtigungen f r Wechselspeicherger te fest 1 Geben Sie die erforderlichen Definitionen in diesem Fenster wie folgt an Dateikontrolle Deaktivieren Sie in diesem Abschnitt das entsprechende Kontrollk stchen Dateitypkontrolle anwenden Log Alarm und Shadowing Definitionen anwenden um Dateien die auf freigegebene Ger te geschrieben bzw von freigegebenen Ger ten gelesen werden nach Bedarf von der Dateikontrolle auszunehmen um sie wieder der Dateikontrolle zu unterwerfen markieren Sie das entsprechende Kontrollk stchen wieder Disk On Key Smart Functionality Bestimmte Disk On Key Ger te wie beispielsweise U3 Ger te bieten neben den grundlegenden Speicherfunktionen eine intelligente Funktionalit t Mit Hilfe dieser Funktionalit t k nnen diese Ger te Anwendungen speichern und ausf hren sobald sie an einen Hostcomputer angeschlossen sind M glicherweise m chten Sie diese Ger te auf ihre Spe
272. ers Administration definiert Administration p i x ver ffentlichungsmethode Allgemein Policies direkt vom Server an Clients ver ffentlichen aktiviert Zusammenf hren von Policies Mit dieser Option werden andere Ver ffentlichungsmethoden ignoriert verwenden Sie andere Logs und Alarme Methoden parallel nur aus Gr nden der Abw rtskompatibilit t Clients C Active Directory verwenden Pflege Standardpfad der Dom ne zur Speicherung von GPOs in Active Directory Lizenzierung LDAP DC Utimaco DC com nn E Dom ne bei jedem Ver ffentlichen einer Policy ausw hlen beim Speichern E zusammenf hren von Policies aktivieren O Policies an freigegebenen Ordner ver ffentlichen Pfad zum Speichern von Policy Registry Dateien reg Durchsuchen o Ausf hrbare Datei nach Ver ffentlichung ausf hren Durchsuchen r Policy Vorlage C w hlen Sie eine Policy als Vorlage f r eine neu zu erstellend Policy Integriert Alle sperren Keine Protokollierung r Abw rtskompatibilit t C Abwartskompatible Policies ver ffentlichen Nachdem alle gesch tzten Clients aufger stet wurden empfehlen wir Ihnen diese Option zu deaktivieren r Sicherheitsma nahme f r nicht klassifizierte Ger te Nicht klassifizierte Ger te sperren empfohlen O Nicht klassifizierte Ger te zulassen Anmerkung Diese Definition beeinflusst das Zusammenf hren von Policies Klicken Sie hier um wei
273. ert Sie k nnen entweder eine Policy f r Ihre gesamte Organisation oder angepasste Policies f r jede in Ihrem Active Directory oder Novell eDirectory definierte Organisationseinheit Computer bzw Benutzer festlegen Die Policies m ssen einmal definiert werden Danach werden Sie bei Bedarf aktualisiert Um eine neue Policy zu definieren legen Sie einfach alle oben genannten Aspekte der Policy fest und speichern sie Kapitel 4 Verteilen von Policies beschreibt die Optionen f r das Verteilen von Policies direkt von den Servern ber Microsoft Active Directory GPO oder ber Registry Dateien Sobald Sie eine Policy definiert und an die SafeGuard PortProtector Clients verteilt haben k nnen Sie die Aktivit tenlogs von jedem Client ber die Logs Welt in der SafeGuard PortProtector Management Console anzeigen wie in Kapitel 5 Anzeigen von Logs beschrieben Die Logeintr ge enthalten zahlreiche Informationen wie etwa Policy Verletzungen wie etwa der Versuch ein gesperrtes Ger t zu benutzen die Nutzung von schreibgesch tzten Speichergeraten die Verteilung neuer Policies Nach der Analyse der Logs k nnen Sie Ihre Policies ggf anpassen Eine detaillierte Informationen dar ber wie Policies definiert werden finden Sie in Kapitel 3 Definieren von Policies 18 SafeGuard PortProtector 3 30 Benutzerhilfe 1 5 Durchsetzung der SafeGuard Policy SafeGuard PortProtector Client Der SafeGuard PortProtector Client be
274. erten Ger te benutzt werden um dann diese spezifischen Ger te in einer Policy zuzulassen Nachdem dieser berechtigende Ansatz w hrend der Anfangsphase genutzt wurde und nachdem der Administrator die freizugebenden nicht klassifizierten Ger te in einer oder mehreren Policies definiert hat wird empfohlen nicht klassifizierte Ger te zu sperren Hinweis Die Einstellung nicht klassifizierter Ger te als Zugelassen beeinflusst die Art und Weise in der Policies zusammengef hrt werden so dass die Ger tekontrolldefinitionen mit den meisten Einschr nkungen aller f r dieselbe Organisationseinheit geltenden Policies wirksam werden Weitere Informationen hierzu finden Sie in Zusammenf hren von Policies bei nicht klassifizierten zugelassenen Ger ten 249 SafeGuard PortProtector 3 30 Benutzerhilfe Hinweis Wenn nicht klassifizierte Ger te als Zugelassen auf der Seite Policies im Fenster Administration definiert werden wird dadurch das Fenster Ger tekontrolle auf der Registerkarte Allgemein des Fensters Policy beeinflusst Das Fenster Ger tekontrolle zeigt Zulassen im Bereich Devices Not Approved in Device Types or White List fiir Nicht klassifizierte Geriite unten im Fenster Dadurch wird gekennzeichnet dass nicht klassifizierte Ger te zugelassen werden und dass die Ger tekontrolle der Policy Zusammenf hrung beeinflusst wurde So definieren Sie die Sicherheitsaktionen f r nicht klassifizierte Ger te W hlen Sie im A
275. erten Informationen zerst ckelt werden Beachten Sie dar ber hinaus Folgendes Wenn ein PS 2 Key Logger blockiert wird und mit einer PS 2 Keyboard Video Mouse KVM gearbeitet wird kann nicht mehr ber die Tastatur zwischen Computern umgeschaltet werden In diesem Fall m ssen Sie die KVM bet tigen 59 SafeGuard PortProtector 3 30 Benutzerhilfe 5 Wenn Sie Einschr nken f r Alle Ger te w hlen legen Sie die Berechtigungen f r jeden Ger tetyp in der Dropdown Liste Aktion wie folgt fest Zulassen L sst alle Ger te dieses Typs zu Finschr nken Alle Ger te sind gesperrt es sei denn sie sind auf der Registerkarte Ausnahmen speziell freigegeben siehe auch Freigeben von Ger ten und WiFi Verbindungen 6 Markieren Sie das Kontrollk stchen Log wenn Ger teaktivit ten protokolliert werden sollen Wenn dieses K stchen markiert ist wird ein Ereignis protokolliert sobald ein Ger t dieses Typs angeschlossen wird Das wird dann in der Logs Welt angezeigt 7 Markieren Sie das Kontrollk stchen Alarm wenn Ger teaktivit ten einen Alarm ausl sen sollen Auch die Alarme werden in der Logs Welt angezeigt 8 Definieren Sie die Optionen Log bzw Alarm f r Nicht klassifizierte Ger te unten im Fenster im Bereich Nicht bei den Ger tetypen oder in der Wei en Liste freigegebene Ger te Das Feld Aktion kann in diesem Fenster nicht bearbeitet werden Der Zugriff auf nicht klassifizierte Ger te wird auf der Registerkarte
276. es Databases 322 Extensions CLASS PYC LIB INS OBJ O ZIP ARJ RAR GZIP TAR JAR ACE HQX LZH LHA AR ARC CAB gt ISO BIN CIF CCD IMG MDF DAA C2D MDB ACCDB ACCDT MDA MDW MDE MYD MYI Description Java Bytcode Python Compiler Script Bytecode Program Library Common Object File Format COFF InstallShield Script Object File Object File ZIP Compressed Archive ARJ Compressed Archive WinRAR Compressed Archive GZIP Compressed Archive Tape Archive JAR Compressed Archive WinAce Compressed Archive Macintosh BinHex 4 Compressed Archive LHA Compressed Archive LHA Compressed Archive AIX Small Indexed Archive LH ARC Compressed Archive Cabinet Compressed Archive Compressed Installation Files e g EX_ DL_ ISO Disc Image BIN Disc Image EasyCD Creator Disc Image CloneCD Disc Image CloneCD Disc Image Alcohol 120 Disc Image PowerISO Disc Image WinOnCD Disc Image Microsoft Access Database Microsoft Access Database Microsoft Access Database Template Microsoft Access Add In Microsoft Access Workgroup Microsoft Access Compiled Database MySQL MyISAM Database MySQL MyISAM Database Index File Type Microsoft Outlook PGP Encryption Computer Aided Design CAD Adobe FrameMaker Extensions FRM DBF DBT GDB PX PST DBX PGP ASC CTX DWG DXF ASM PRT DOC FM FRM BOOK MIF SafeGuard PortProtector 3 30 Benutzerhilfe Description MySQL MyISAM Generic
277. es allows the flexibility of importing information without exposing cardholder data to the risk of disclosure from loss or theft of a non encrypted device Options Use a different In order to enforce the principle of separation of password to duty and general password security use a uninstall SafeGuard different password for the uninstall process of PortProtector SafeGuard PortProtector Client than the client administration password Full visibility on endpoints Consistent with the advice under end user messages it is best to let users know about the protections SafeGuard PortProtector is providing to PCI security 15 2 2 Other SafeGuard PortProtector PCI DSS Settings For the appropriate setting of other SafeGuard PortProtector features and options refer to the Pre Requisites for Addressing PCI DSS Compliance Issues detailed in part 1 of the PCI DSS Compliance with SafeGuard PortProtector document Specifically the following SafeGuard PortProtector features should follow the business objectives and the cardholder data environment as defined in Foundations Considerations and Preparations Alerts SafeGuard PortProtector alerts provide oversight of administrative actions and protection of the SafeGuard PortProtector security functions in case of attempted tampering The following alert options should be set in order to preserve the security functions provided by SafeGuard PortProtector Log all administrative
278. es auf einem Client 8 7 3 Offline Zugriff auf verschl sselte Ger te In der Regel k nnen organisatorisch verschl sselte Wechselspeicherger te nur benutzt werden wenn sie an Computer angeschlossen werden die durch Organisation SafeGuard PortProtector Clients gesch tzt sind Dennoch k nnen Benutzer sofern die geltende Policy des Endbenutzers es zul sst siehe Schritt 13 Mediaverschl sselung definieren im Kapitel Definieren von Policies auch auf ein Wechselspeicherger t auf firmenfremden Computern zugreifen Um auf verschl sselte Ger te auf organisationsfremden Computern zuzugreifen m ssen folgende Schritte ausgef hrt werden Set Offline Password while device is connected to an organizational computer Attach Encrypted Device i Enter Decryption Password Use Device Der Vorgang wird im Folgenden beschrieben 8 7 3 1 Festlegen eines Kennworts f r den Offline Zugriff Hinweis Wenn Sie w hrend des Verschl sselungsvorgangs Zugriffskennwort festlegen w hlen ist dieser Schritt nicht erforderlich Wenn die geltende Policy des Endbenutzers es die Nutzung von verschl sselten Ger ten auf firmenfremden Computern zul sst kann ein Kennwort f r den Offline Zugriff Entschl sselung festgelegt werden das f r den Offline Zugriff auf das Ger t genutzt wird 293 SafeGuard PortProtector 3 30 Benutzerhilfe So legen Sie ein Kennwort fiir den Offline Zugriff Entschliisselung fest 1 Schlie en S
279. ess to as scripts drivers unnecessary devices features subsystems See recommended file systems and aes settings in table unnecessary web above servers 4 1 1 For wireless SafeGuard Under port control networks PortProtector allows restrict Wi Fi transmitting the organization to networks Under Wi cardholder data create policies that Fi networks set a encrypt the force the use of white list of approved transmissions by encrypted Wi Fi Wi Fi networks to using Wi Fi channels for secure WPA encrypted protected access transfer of data These networks WPA or WPA2 policies can even be set technology to require a specific level of encrypted e g WPA 8 Assign a unique ID SafeGuard For all to each person with PortProtector provides SafeGuard computer access the ability to unique PortProtector administrative user IDs for all 8 1 Identify all users nee accounts assign a with a unique user i single account to hame before a single user no allowing them to Sun administration access system accounts components or cardholder data 8 2 In addition to Set password assigning a unique ID employ at least one of the following methods to authenticate all users Password Token devices Biometrics complexity to a minimum of seven 7 characters and at least one number and at least one letter 371 SafeGuard PortProtector 3 30 Benutzerhilfe 9 Restrict physical
280. events Logs all administrative actions and provides oversight of SafeGuard PortProtector administration Alert all tempering events Detects tempering attempts and ensures the integrity ofend point protection controls SafeGuard PortProtector Administration SafeGuard PortProtector may be run by a single administrator or an organization may implement additional access control by defining additional administrators to a subset of administrative functions This is an implementation of role based access control and should be considered based on the organizations approach as defined in Preparation 3 Determine Administrative Roles under Preparations section Among the roles within the cardholder data environment the organization should consider are the following Log Reviewer Access to all logs and log functions without ability to edit policies 369 SafeGuard PortProtector 3 30 Benutzerhilfe Policy Administrator Access to edit and administer policies without ability to view logs Audit Read only access to administrators console without ability to perform any changes The setting of these roles should be based on the administration model and approach of the organization and the support needed for incident response and maintenance Refer to Pre Requisites for Addressing PCI DSS Compliance Issues for more complete instructions for SafeGuard PortProtector implementation preparation Domain Partitioning Further access c
281. ew nschte Position ziehen 136 SafeGuard PortProtector 3 30 Benutzerhilfe So verkniipfen Sie eine Policy mit einem Organisationsobjekt Hinweis Die Anleitungen 1 3 in diesem Abschnitt beziehen sich auch auf das Abfragen zugeh riger Policies nach Namen In diesem Fall werden als Ergebnis Ihrer Auswahl im Fenster Policies die Policies angezeigt die mit den ausgew hlten Objekten verkn pft sind 1 W hlen Sie in der Objekttabelle die Objekte eins oder mehrere aus mit denen Sie die Policy verkn pfen m chten Markieren Sie dazu die entsprechenden Kontrollk stchen 2 Um die Objekte der Liste der verkn pften Objekte hinzuzuf gen ohne das Fenster zu schlie en und weitere Objekte ber eine zus tzliche Suche hinzuzuf gen klicken Sie auf Anwenden 3 Um die Objekte der Liste der verkn pften Objekte hinzuzuf gen und das Fenster zu schlie en klicken Sie auf OK Die Objekte werden der Liste hinzugef gt und das Fenster Objekt ausw hlen wird geschlossen Sie k nnen jetzt eine Liste der verkn pften Objekte im unteren Teil des Fensters Eigenschaften sehen 4 Speichern Sie die Policy Die Policy wird auf den Clients aktualisiert wenn die Clients ihre Policy gem dem von Ihnen in den Optionen der Policy festgelegten Intervall aktualisieren siehe Schritt 17 Optionen definieren in Kapitel 3 Definieren von Policies 4 2 3 3 2 Filtern von Objekten unter Verwendung der Organisationsstruktur Die Organisationsstruktur stellt
282. f gen Ein Men wird angezeigt Wenn Sie sich im Abschnitt Freigegebene spezifische Ger te Medien der Registerkarte Speicherkontrolle Ausnahmen befinden wird ein Untermen angezeigt ODER Klicken Sie mit der rechten Maustaste im Abschnitt Freigegebene Modelle oder Freigegebene spezifische Ger te auf die Registerkarte Wei e Liste Ein Men wird angezeigt 99 SafeGuard PortProtector 3 30 Benutzerhilfe Klicken Sie auf Neue Gruppe im Menii bei Freigegebene Modelle Das Fenster Modellgruppe bearbeiten wird angezeigt Modellgruppe bearbeiten 0 xj E Name N Beschreibung Gruppenmitglieder Port Beschreibung 2 Ger tedaten Hersteller Modell Anmerkungen Auswahl l schen Ger t e hinzuf gen Ger t e manuell hinzuf gen Einf gen 3 4 1 1 Hinzuf gen einer Gruppe F r jedes von Ihnen hinzugef gte Ger t wird in diesem Fenster eine Beschreibung des Ger ts der Ger tehersteller das Ger temodell und die eindeutige Ger te ID bei einer Gruppe Freigegebene spezifische Ger te und ggf Anmerkungen angezeigt 1 3 Mit den Schaltfl chen unterhalb der Ger teliste k nnen Sie Ger te l schen oder Ger te entweder mit Hilfe des Assistenten f r das Hinzuf gen freigegebener Ger te siehe Hinzuf gen eines Ger ts mit Hilfe des Assistenten oder manuell siehe Manuelles Hinzuf gen eines Ger ts hinzuf gen Alternativ klicken Sie mit der rechten Maustaste
283. f r jeden Dateityp die gew nschte Berechtigung im Men Aktion wie folgt Zulassen L sst das Schreiben dieses Dateityps ohne Einschr nkung zu Zulassen amp kopieren L sst das Schreiben dieses Dateityps zu wobei eine Kopie von jeder Datei angelegt wird die von zu externen Speicherger ten verschoben wird Hinweis Nutzen Sie diese Option mit Bedacht da hierdurch sowohl die Netzauslastung als auch Speicherressourcen beeintr chtigt werden k nnen Vorzugsweise sollten Sie sie anfangs in kleinen gut definierten Bereichen Ihrer Organisation einsetzen Pr fen H L sst das Schreiben dieses Dateityps zu pr ft aber vor dem Schreiben ihren Inhalt um festzustellen ob sie sensibel sind Hinweis Die Option Pr fen erscheint nur dann im Men Aktion wenn die Funktion der Inhaltspr fung aktiviert ist In diesem Fall stehen die Aktionen Zulassen amp Shadow nicht zur Verf gung Sperren Sperrt das Schreiben dieses Dateityps 3 Markieren Sie das Kontrollk stchen Log f r die einzelnen Dateitypen wenn Schreibaktivit ten protokolliert werden sollen Wenn Log markiert ist werden Logs f r jede Datei erzeugt die dann File Logs in der Logs Welt eingesehen werden k nnen siehe Kapitel 5 Anzeigen von Logs Eine Liste und Erkl rung f r die Felder der Dateilog Datens tze finden Sie in Struktur des Datei Logs in Kapitel 5 Anzeigen von Logs Hinweis Wenn SafeGuard PortProtector den Transfer einer Datei von bzw
284. f auf diese Porttypen als eingeschr nkt zu definieren Bei der Einstellung Eingeschr nkt k nnen Sie detaillierter d h mit mehr Granularit t angeben welche Ger te oder Verbindungen auf den Port zugreifen d rfen Sie k nnen z B angeben dass nur USB Ger te eines spezifischen Modells oder sogar nur bestimmte USB Ger te d h spezifische Ger te mit einer eindeutigen Seriennummer zugelassen werden F r physische Ports verwenden Sie hierf r die Option Device Control die in Schritt 5 Ger tekontrolle definieren beschrieben ist und die Option Storage Control die in Schritt 6 Speicherkontrolle definieren beschrieben ist F r drahtlose Ports verwenden Sie hierf r die Option WiFi Control die in Schritt 8 WiFi Kontrolle definieren beschrieben ist Hinweis Die Aspekte der Ger tekontrolle und WiFi Kontrolle einer Policy gelten nur f r Ports mit Einschr nkungen Der Aspekt der Speicherkontrolle gilt sowohl f r eingeschr nkte als auch f r zugelassene Ports 51 SafeGuard PortProtector 3 30 Benutzerhilfe So definieren Sie die Portkontrolle 1 ffnen Sie das Fenster Portkontrolle indem Sie auf der linken Seite die Schaltfl che Portkontrolle im Men Sicherheit w hlen wie unten gezeigt Datei Bearbeiten Ansicht Extras Fenster Hilfe N i z Y en 7 AS So Policies WETE Fa clients Policies neu Policies Integriert Alle zulassen Keine Proto Irs Gwe E E Gg e Uf Auf dieser Seite legen Sie die allg
285. feGuard PortAuditor Auch wenn SafeGuard PortAuditor kein integraler Bestandteil von SafeGuard PortProtector ist geht dieses clientlose Tool doch mit SafeGuard PortProtector Hand in Hand und erg nzt das System mit einer kompletten Sicht darauf welche Ports Ger te und Netze von den Benutzern in Ihrer Organisation genutzt werden oder fr her genutzt wurden Mit Hilfe eines SafeGuard PortAuditor Scans k nnen Sie die Ger te und Netze ausw hlen deren Nutzung Sie genehmigen m chten SafeGuard PortProtector Management Server Cluster Durch ein Server Cluster ist die Installation mehrerer SafeGuard PortProtector Management Servers m glich die an eine einzige externe Datenbank angeschlossen werden so dass sie die Verkehrslast von den Endpunkten problemlos teilen und Redundanz sowie hohe Verf gbarkeit bieten k nnen Ein solcher Serverzusammenschluss kann nur bei Systemen mit einer externen MSSQL Datenbank nicht mit einer internen Datenbank auf die von allen Servern des Clusters zugegriffen werden kann erstellt werden Diese Server teilen sich eine einzelne MSSQL Datenbank oder ein MSSQL Datenbankcluster Die Liste der verf gbaren Server wird routinem ig an die Clients bertragen Diese w hlen im Zufallsprinzip den Server mit dem sie sich verbinden m chten um eine gleichm ige Verteilung der Last auf die Server sicherzustellen Falls die Verbindung zu einem bestimmten Server fehlschl gt w hlt der Client sofort einen andere
286. feGuard PortProtector die Ports sch tzt und den Zugriff auf die daran angeschlossenen Ger te und Speicherger te beschr nkt System Architektur beschreibt die Architektur und die Komponenten des Systems SafeGuard PortProtector Management Console beschreibt die Management Console die das zentrale Tool zur Definition der Schutzpolicies f r die Ports in Ihrer Organisation zur Anzeige von Logs und zur Verwaltung der SafeGuard PortProtector Clients darstellt Durchsetzung der SafeGuard Policy SafeGuard PortProtector Client beschreibt SafeGuard PortProtector Client der transparent auf den Endpunkten in Ihrer Organisation l uft und die SafeGuard PortProtector Schutzpolicies auf jedem Computer durchsetzt auf dem er eingesetzt ist Workflow zur Implementierung von SafeGuard PortProtector beschreibt den Workflow f r die Implementierung und Nutzung von SafeGuard PortProtector SafeGuard PortProtector 3 30 Benutzerhilfe 1 1 Die SafeGuard PortProtector L sung Zusammen mit SafeGuard PortAuditor siehe SafeGuard PortAuditor Benutzerhandbuch bietet SafeGuard PortProtector eine umfassende L sung die Unternehmen folgende M glichkeiten bietet zu erkennen welche Ports und Ger te in ihrer Organisation genutzt werden Sichtbarkeit eine Policy festzulegen die deren Nutzung kontrolliert und Daten zu sch tzen SafeGuard PortProtector kontrolliert jeden Endpunkt und jedes Ger t in jedem Netz und an jeder Schnittstelle Das System berw
287. fen die von irgendjemandem in der Organisation verschl sselt wurden selbst Ger te die sich selbst verschl sselt haben Von diesem Zeitpunkt an werden sie aufgefordert das Ger tekennwort jedes Mal einzugeben wenn der Benutzer das verschl sselte Ger t an einen gesch tzten Computer in derselben Organisation anschlie t vorausgesetzt die entsprechende Policy gilt SafeGuard PortProtector SOPHOS Ein Ger t versucht eine Verbindung zu Ihrem Computer herzustellen Typ Wechselmedien Name Laufwerk Kingston DataTraveler 2 0 USB D Das Ger t ist verschl sselt Um auf die Daten auf diesem Ger t zuzugreifen wird ein Kennwort ben tigt Ger tekennwort Auf das Ger t zugreiten 292 SafeGuard PortProtector 3 30 Benutzerhilfe Auf das Gerat kann nur nach Eingabe des richtigen Kennworts zugegriffen werden Weitere Informationen hierzu finden Sie in Definieren der Mediaverschl sselungseinstellungen Falls ein Benutzer ein Kennwort vergisst kann der Administrator das Ger tekennwort ndern Dazu ist die tempor re Aufhebung des Client Schutzes erforderlich W hrend der Client Suspendierung kann der Benutzer auf Ger te zugreifen und ein Ger tekennwort ndern ohne ein Kennwort einzugeben Auf diese Weise kann also ein Benutzer mit Unterst tzung durch den Administrator ein neues Kennwort f r das Ger t festlegen Weitere Informationen hierzu finden Sie in Aufheben des SafeGuard PortProtector Schutz
288. fen d rfen 17 SafeGuard PortProtector 3 30 Benutzerhilfe Die Einstellungen spezifizieren wie sich die Policy auf den Endpunkten verh lt Die Protokollierung spezifiziert die Protokollierungseinstellungen f r die Policy wie etwa die H ufigkeit mit der Logeintr ge von einem gesch tzten Endpunkt aus an einen SafeGuard PortProtector Management Server gesendet werden Alarme gibt die Ziele an an die Alarme f r die Policy gesendet werden sollen Mit Endbenutzer Meldungen k nnen Sie die Standardmeldungen bearbeiten die auf einem gesch tzten Endpunkt w hrend der laufenden Benutzung und beim Auftreten einer Policy Verletzung angezeigt werden Die Mediaverschl sselung bestimmt das Verhalten des Systems wenn die Berechtigungen eines Wechselspeicherger ts eine Verschl sselung erforderlich machen Die Inhaltspr fung nur verf gbar wenn Inhaltspr fung aktiviert ist definiert die f r die Inhaltspr fung erforderlichen Einstellungen wie beispielsweise Einstellungen f r die Alarmversendung Gr e des Datei Caches etc ber die Optionen k nnen Sie die verschiedenen Verhaltensaspekte der Policy zu definieren z B die Art und Weise in der aktive Ger te bei Bedarf getrennt werden Dies alles ist detailliert in Kapitel 3 Definieren von Policies beschrieben 1 4 2 2 Wie wird eine Policy definiert SafeGuard PortProtector Policies werden in der SafeGuard PortProtector Management Console defini
289. finierte lokale Cache voll wird blockiert SafeGuard PortProtector alle auf das Speicherger t geschriebenen Dateien Durch die Auswahl dieser Option stellen Sie sicher dass keine Dateien von dem gesch tzten Computer bertragen werden ohne dass sie durch das Shadowing kopiert werden 3 Geben Sie im Abschnitt Max Dateigr e im Feld Shadow Datei berschreitet nicht die maximale Gr e f r eine Shadow Datei in MB an Gr ere Dateien werden nicht kopiert 88 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 16 Schritt 16 Optionen definieren Mit dem Optionen Aspekt einer Policy k nnen Sie verschiedene Verhaltensaspekte von SafeGuard PortProtector Client auf den Endpunkten definieren Dazu geh ren Kennworteinstellungen Anzeigeeinstellungen f r Taskleistensymbole und die Definitionen von Methoden f r das Trennen aktiver Ger te falls dies erforderlich werden sollte Die Optionseinstellungen werden im Einstellungen Fenster Optionen definiert So ffnen Sie das Einstellungen Fenster Optionen Klicken Sie auf der linken Seite des Hauptfensters im Men Einstellungen auf Optionen Das Fenster Optionen wird angezeigt SafeGuard PortProtector Management Console lelxi Datei Bearbeiten Ansicht Extras Fenster Hilfe Start NQ Policies A Logs l Clients Policies i Neu E Policies Integriert Alle zulassen Keine Protokoliier Unbenannt 3 4 gt x Bu H Xaa a L____ Allgemein Verwenden Sie die allgemeinen
290. for you to identify the medium later when adding media to the White List make sure other details provided in the Scan Progress section are available to you when adding media to the White List refer to Freigeben von CD DVD Medien in Chapter 3 Defining Policies You can also view these details in the scanned Media file as explained in Viewing the Scanned Media File below 326 SafeGuard PortProtector 3 30 Benutzerhilfe Once a scan is completed the Scan Progress section displays the total of scanned media and the total number of media added to the Scanned Media file as shown in the following figure xi SafeGuard MediaScanner SOPHOS This utility scans inserted media and adds their details to a file Use this file to approve media in the security policy Output File C Program Files Sophos SafeGuard PortProtector Management Browse IV Append to existing file Scan Progress Scanning medium in drive D Failed to scan D No medium in drive Scan completed Total scanned media 0 Total added media 0 Note If a scan fails a notification appears in the Scan Progress section Upon completion of a scan you may repeat the process for additional media by inserting a medium into the CD DVD drive and clicking Run 12 2 Viewing the Scanned Media File If you wish you may open the Scanned Media file in order to view scan details To view the scanned media file contents Open the file using Microsoft Excel
291. formation security program elements that must be in place in order for any compliance effort to move forward Foundations include the establishment of business mission statements and roles responsibilities required to carry them out The second pre requisite is Considerations Considerations are specific information security threats that must be addressed within the context of the established business mission In this case considerations are specific issues regarding the protection of EPHI in light of data leakage threats The third pre requisite for effective implementation is Preparations Preparations are activities that must be performed prior to installing and configuring a specific technology product such as SafeGuard PortProtector 13 1 1 Foundations The implementation of new technology into an organization requires a context of business objectives For HIPAA regulated organizations that context is provided by the following set of foundations that translate business objectives into a HIPAA compliant context for the implementation of technology Foundation 1 HIPAA Compliance Program A well developed HIPAA compliance program will have implemented a business cycle of review through risk assessment and revision of formally documented security policies procedures and safeguards Without such a program the implementation of technology is driven by a limited set of objectives focusing solely on information technology issues For these reason
292. g IA more aggressive approach would also ensure that EPHI written to storage devices is encrypted providing further protection in the event the storage device is lost or stolen Certain formats for writing files to media such as CD or DVD do not support the event logging In the aggressive HIPAA setting to preserve the logging settings for all files this option should remain checked File Control Allow Log write only Allow Log write only In order to support audit and investigation of security incidents involving EPHI log all files written to external storage devices WiFi Allow Log Restrict networks block Wireless networks 338 SafeGuard PortProtector 3 30 Benutzerhilfe Setting Standard HIPAA Aggressive HIPAA Approach Approach Rationale INetwork peer to peer White List present a clear risk to the control and protection of EPHI At a minimum a HIPAA organization should log any such behavior A more aggressive setting to not only log the behavior but restrict use to an approved list of WiFi networks that have been approved by the organization and have proper encryption Policy Settings Logging Send logs to SafeGuard PortProtector Server Send logs every 12 hours or less Log connect and disconnect events Send logs to SafeGuard PortProtector Server Send logs every 12 hours or less Log con
293. g von Ger ten in Kapitel 6 Verwalten von Clients beschrieben Weitere Informationen finden Sie im SafeGuard PortAuditor Benutzerhandbuch 3 3 2 Schritt 2 Policy planen Bevor Sie mit der Definition Ihrer Policy beginnen sollten Sie sich etwas Zeit f r die Planung einer Policy nehmen die sich f r Ihre Organisation am besten eignet Die beste SafeGuard PortProtector Policy f r Ihre Organisation zeichnet sich dadurch aus dass sie den Sicherheitsbed rfnissen gerecht wird und dennoch die Anforderungen der Personen erf llt die Zugang ber die Ports der Computer in Ihrer Organisation ben tigen Als Erstes sollten die Arten der Gruppen der Organisationseinheiten OU geplant werden f r die die Policies gelten sollen 47 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 2 1 Benutzer und Computer P olicies Standardm ig verwendet SafeGuard PortProtector Einstellungen f r Benutzer und Computergruppen die von Active Directory kontrolliert werden Jede Option hat ihren Vorteil wie nachfolgend beschrieben F r Benutzergruppen Wenn Sie Ihre Policies f r Benutzergruppen definieren k nnen Sie die Berechtigungen f r die einzelnen Benutzer detaillierter angeben F r Computergruppen Die Definition Ihrer Policies f r Computer erm glicht Ihnen den Schutz der Endpunkte der Computer in Ihrer Organisation unabh ngig vom angemeldeten Benutzer Policies die f r Benutzer gelten berschreiben solche Policies die f r Comput
294. g alerts on highly sensitive behavior such as connecting to external hard drives Preparation 3 Determine Administration Roles SafeGuard PortProtector allows for multiple administration roles according to privilege and domain The use of these administrative role options should be determined prior to installation of SafeGuard PortProtector Instructions Determine if your implementation of SafeGuard PortProtector will follow a centralized or de centralized administration model Centralized a single entity is responsible for the administration of SafeGuard PortProtector De centralized administration of SafeGuard PortProtector is delegated to departments that are responsible for the administration of their own domain If you chose this method of administration then determine the domain partitions for each department which will be responsible for the administration Determine administration roles within each domain 378 SafeGuard PortProtector 3 30 Benutzerhilfe The SafeGuard PortProtector administrator may be set up as a single role or you may delegate administrative privileges to implement separation of duties Determine the set of administrative roles that you will implement Plan maintenance and incident response function for SafeGuard PortProtector administration Incident response those responsible for responding to incidents involving lost or stolen storage devices rogue networks hybrid network
295. g der einzelnen Schaltfl chen in der Symbolleiste Schaltfl che Beschreibung Neu ffnet eine neue Policy ffnen ffnet die ausgew hlte Policy Delete L scht die ausgew hlte Policy View Summary Zeigt alle Policy Definitionen in einem einzelnen Fenster und in druckbarer Form Aktualisieren Aktualisiert die Liste der Policies so dass sie auf dem neuesten Stand ist Hilfe Zeigt die Kontexthilfe des aktiven Fensters und erm glicht den Zugriff auf andere Hilfethemen Hinweis Diese Symbolleiste wird im Fenster Policies angezeigt in dem Sie die Policies verwalten k nnen Im Fenster Policy in dem Sie die Policy Eigenschaften definieren ist eine andere Symbolleiste verf gbar wie in Schritt 4 Portkontrolle definieren beschrieben 42 SafeGuard PortProtector 3 30 Benutzerhilfe 3 2 4 Arbeitsbereich Im Arbeitsbereich wird standardm ig das Fenster Policies angezeigt Policy Management SafeGuard PortProl Datei Bearbeiten Ansicht Extras Eenster Hilfe or Management Console 4 Policies Policies E integriert Alle zulassen Keine Protokolier Neu ffnen X Abfrage Alle Policies yP Slaktualisieren Q G Beschreibung Gespeichert Eigent mer Integriert Alle sperren Keine Alle sperren HID Ger te Interne Ports zugelassen Keine 30 12 09 8 27 38 Integriert Alle sperren Log Alle sperren HID Ger te Interne Ports zugelassen Log 30 12 09 In
296. ganization should determine the protection and business needs of the endpoints 332 SafeGuard PortProtector 3 30 Benutzerhilfe Instructions Update endpoint inventory and classification Be sure that you are aware of all your endpoints within your network that store process or transmit EPHI This can be done through a manual inventory process or through the use of directory services Classification is based on your data classification policy and includes a classification of endpoints that handle EPHI data Scan each endpoint to detect port device and WiFi usage The SafeGuard PortAuditor will automatically detect devices and networks that are currently or previously connected Review your Default No Access and Least Privilege policies as they apply to the endpoints that have now been inventoried classified and scanned Make a list of the intended profiles for each endpoint classification Preparation 2 Determine User Access Roles SafeGuard PortProtector allows for the specification of allowed ports devices and WiFi usage according to user user group or organizational unit as defined by Active Directory or Novel eDirectory It is important to note that any user privileges granted through this mechanism will trump those specified for an individual endpoint For example if you set up a user to have WiFi access and have also locked down a laptop to block WiFi access through SafeGuard PortProtector that user
297. gelten f r die verkn pften Organisationsobjekte die sowohl Benutzer als auch Computer enthalten z B OE Gruppe Abbecer 2 Wahlen Sie die entsprechende Option und klicken Sie auf OK 3 Unten im Bereich Policy mit Organisationsobjekten verkn pfen wird jetzt diese Einschr nkung angegeben Er k nnte beispielsweise so aussehen Diese Policy gilt nur f r Benutzer Rechts neben dieser Meldung erscheint eine Verkn pfung ndern Wenn Sie darauf klicken wird das oben gezeigte Fenster Policy Verkn pfungen angezeigt 4 2 5 Verkn pfung einer Policy mit Organisationsobjekten l sen Unter Umst nden m chten Sie die Verkn pfung einer Policy mit einem Organisationsobjekt l sen so dass sie nicht mehr f r dieses Objekt gilt Hinweis Wenn das Objekt von dem die Policy gel st werden soll gesch tzt sein muss stellen Sie sicher dass ihm eine andere Policy zugeordnet ist 140 SafeGuard PortProtector 3 30 Benutzerhilfe So l sen Sie die Verkniipfung einer Policy mit einem Organisationsobjekt 1 W hlen Sie im Policy Fenster Properties in der Liste der Objekte die im Abschnitt Policy mit Organisationsobjekten verkn pfen untere H lfte des Fensters erscheint das Objekt aus von dem Sie die Policy l sen m chten 2 Klicken Sie auf g ODER Klicken Sie mit der rechten Maustaste auf das Objekt und w hlen Sie L schen im Kontextmen 3 Klicken Sie im daraufhin angezeigten Fenster Delete Confirmation auf Ja um das L schen
298. gen Datei Logs klicken Sie hierauf um Logs anzuzeigen die Dateien verfolgen die auf gesch tzte Clients geschrieben bzw von ihnen gelesen wurden Zuletzt angezeigt hier wird eine Liste der zuletzt angezeigten Abfragen angezeigt Abfragen ohne Namen werden nicht angezeigt Klicken Sie zur Ausf hrung auf die gew nschten Abfrage Abfragen sind durch ein vorangestelltes Q gekennzeichnet Im Kapitel Anzeigen von Logs finden Sie eine detaillierte Erl uterung zu Logs Abfragen und Log Management Clients Durch Klicken auf den Titel des Abschnitts wird in die Clients Welt gewechselt Dieser Abschnitt enth lt Symbole und Links zu Folgendem Suspendierungskennwort gew hren klicken Sie hierauf um f r einen Client ein Suspendierungskennwort zu gew hren Auf diese Weise k nnen Sie den SafeGuard PortProtector Schutz tempor r auf dem Client aufheben ohne SafeGuard PortProtector Client deinstallieren zu m ssen Client Logs erfassen klicken Sie hierauf um Logs von gesch tzten Clients sofort zu abzurufen ohne auf den Ablauf des Intervalls f r den Logtransfer warten zu m ssen Client Policy aktualisieren klicken Sie hierauf um die Policies auf Clients sofort zu aktualisieren ohne auf den Ablauf des vordefinierten Aktualisierungsintervalls warten zu m ssen 35 SafeGuard PortProtector 3 30 Benutzerhilfe Im Kapitel Verwalten von Clients finden Sie eine detaillierte Erl uterung der Client Verwaltung
299. gen angezeigt 282 SafeGuard PortProtector 3 30 Benutzerhilfe 8 5 4 Erstellen eines virtuellen verschliisselten Volumes Uber diese Option k nnen Endbenutzer verschl sselte Container erstellen die auf CD DVD und externe Festplatten kopiert werden k nnen Detaillierte Informationen hierzu finden Sie in CD DVD Verschl sselung 8 5 5 Administrative Aufgaben Auf den Endpunkten stehen einige administrative Optionen zur Verf gung ber diese Optionen kann der Administrator eingeschr nkt und unter Verwendung des Client Administration Password das Sie in der Policies Welt definiert haben Funktionen ausf hren So wechseln Sie in den Administration Modus 1 Klicken Sie unten auf der Registerkarte General im SafeGuard PortProtector Client Fenster auf Administrationsmodus Das Fenster Administrator Kennwort wird angezeigt Administrator Kennwort x F r den Zugriff auf den Administrationsmodus ist ein Kennwort erforderlich Kennwort eingeben Abbrechen 2 Geben Sie das Client Administration Kennwort ein und klicken Sie auf OK 3 Das Fenster bietet jetzt zwei Administrationsfunktionen an Administrator Deaktivierung Tastaturen zur cksetzen 283 SafeGuard PortProtector 3 30 Benutzerhilfe SafeGuard PortProtector PortProtector SOPHOS 4 Nachdem Sie die gew nschten Funktionen ausgef hrt haben klicken Sie auf Schlie en um das SafeGuard PortProtector Client Fenster zu schlie en 5 So
300. gen im Fenster Administration angegeben werden siehe auch Konfigurieren der Einstellungen auf der Registerkarte Logs und Alarme im Kapitel Administration Die Protokollierungseinstellungen werden im Einstellungen Fenster Protokollierung definiert SafeGuard PortProtector 3 30 Benutzerhilfe So ffnen Sie das Einstellungen Fenster Protokollierung Klicken Sie auf der linken Seite des Hauptfensters im Men Einstellungen auf Protokollierung Das Fenster Protokollierung wird angezeigt SafeGuard PortProtector Management Console lelx Datei Bearbeiten Ansicht Extras Eenster Hilfe Policies a Logs Ew Clients Policies B Neu M Policies Integriert Alle zulassen Keine Protokollier Unbenannt 3 4 gt x Ge yta oe k auenien Verwenden Sie die allgemeinen Definitionen f r die Protokollierung die unter Allgemeine Policy Einstellungen definiert wurden oder legen Sie Eigenschaften policy spezifische Protokollierungsdefinitionen fest Breeze Ger tekontrolle Allgemeine Einstellungen verwenden Logs an SafeGuard PortProtector Server senden SSL Speicherkontrolle Policy spezifische Einstellungen festlegen Logs an SafeGuard PortProt den SSL lokal s Intervall f rLogtransfer Allgemeine Einstellungen verwenden Logversand alle 90 Minuten Dateikontrolle chern nicht empfohlen WiFi Kontrolle Einstellungen Protokollieru
301. ger te heruntergeladenen als auch auf den gesch tzten Endpunkt hochgeladenen Dateien gepr ft werden lassen sich mehrere Vorteile erzielen Eine zus tzliche Schutzebene um das Durchsickern von Daten zu verhindern Schutz vor Eindringen von Viren Schadprogramme ber externe Speicherger te Schutz vor Einf hrung von unsachgem en Inhalten ber externe Speicherger te Beispiele f r solche Inhalte sind Nicht lizenzierte Software Nicht lizenzierte Inhalte z B Musik und Filme Nicht arbeitsbezogener Inhalt z B pers nliche Bilder Weitere Informationen finden Sie in Schritt 7 Dateikontrolle definieren im Kapitel Definieren von Policies 11 SafeGuard PortProtector 3 30 Benutzerhilfe 1 2 4 2 Dateiprotokollierung und Shadowing Die Funktion der Datei Protokollierung bietet eine weitere Ebene fiir die Uberwachung der Aktivit ten in Ihrer Organisation mit der Sie die auf Wechselmedien bzw auf CD DVD geschriebenen oder davon gelesenen Informationen protokollieren k nnen Auch Datei Logs werden in der Logs Welt angezeigt Mit dieser Option erhalten Sie ein Pr fprotokoll dar ber welche Daten in die Organisation bzw aus ihr heraus transferiert werden Damit k nnen Sie auch Sicherheitsvorf lle analysieren die Aktivit ten von Personen nachverfolgen und m glichen Missbrauch tragbarer Speicherger te erkennen Auf diese Weise k nnen Sie den Sicherheitsvorschriften an die Sie m glicherweise gebunden sind besse
302. gewechselt in dem Sie die Einstellungen f r die Tiefe und andere Einstellungen bei Bedarf ndern k nnen Falls in einem Notfall die Datens tze in der Datenbank gel scht werden m ssen siehe Definieren der Datenbankpflege Einstellungen in Kapitel 8 Administration wird in diesem Abschnitt eine Meldung angezeigt Taskleiste Die Taskleiste unten in der Start Welt und allen anderen Welten zeigt den Namen des derzeit angemeldeten Administrators und den Namen des SafeGuard PortProtector Management Servers an 36 SafeGuard PortProtector 3 30 Benutzerhilfe 3 Definieren von Policies Uber dieses Kapitel Dieses Kapitel beschreibt wie SafeGuard PortProtector Policies in der Policies Welt erstellt und verwaltet werden Es enth lt die folgenden Abschnitte Was ist eine Policy beschreibt was eine Policy ist und wie sie Ihre Endpunkte sch tzt Kurze bersicht ber die Policies Welt beschreibt das Fenster der Policies Welt Definieren von SafeGuard PortProtector Workflow liefert eine bersicht ber den Workflow zum Definieren einer neuen Policy Dabei wird ein einfacher und klarer Vorgang zur Durchf hrung dieser Schritte beschrieben Sie k nnen bei Bedarf von diesem Verfahren abweichen Jeder dieser Schritte verweist zu einem Unterabschnitt in dem eine detailliertere Beschreibung zu finden ist Freigeben von Ger ten und WiFi Verbindungen beschreibt wie Sie in den Fenster Device Control Storage Control und
303. gezeigt Eine detaillierte Beschreibung dieses Fensters finden Sie unter Verkn pfen einer Policy mit Organisationsobjekten in Kapitel 4 Verteilen von Policies Hinweis Das Men Abfrage wird im Fenster Policies nur angezeigt wenn die Option Policy Server aktiviert ist Weitere Informationen zu dieser Option finden Sie in Verteilen von SafeGuard PortProtector Policies direkt vom Management Server aus im Kapitel Verteilen von Policies 3 Filtern Sie das Fenster Objekte nach Bedarf wie in Ausw hlen und Verkn pfen von Objekten nach Namen und Filtern von Objekten unter Verwendung der Organisationsstruktur im Kapitel Verteilen von Policies erl utert Hinweis Im Gegensatz zum Filtern von Objekten bei der Policy Zuweisung enth lt das Men Objekttyp bei der Abfrage verkn pfter Policies nur die Optionen Computer und Benutzer 128 SafeGuard PortProtector 3 30 Benutzerhilfe 4 Klicken Sie auf LOS Ed Das Fenster Objekte zeigt auf der rechten Seite dann eine Liste aller Objekte die den Filterkriterien entsprechen 5 Wahlen Sie aus der Liste der Objekte das Objekt aus f r das Sie die verkn pften Policies anzeigen m chten Markieren Sie dazu das entsprechende Kontrollk stchen Hinweis Da der Zweck der Abfrage darin liegt die mit dem einen angegebenen Objekt verkn pften Policies anzuzeigen kann jeweils nur ein Objekt ausgew hlt werden 6 Klicken Sie zur Anzeige der Policies auf OK Im Fenster Policies werden dann nur die mit
304. glich Ereignissen die auftraten als ein verschl sseltes Wechselspeicherger t von einem autorisierten Endbenutzer auf einem firmenfremden Computer benutzt wurde Integriert Sensible Inhaltspr fungsergebnisse zeigt alle Dateiereignisse bez glich sensibler Inhalte nutzen Sie diese Abfrage nur wenn Sie die Inhaltspr fung aktiviert haben 171 SafeGuard PortProtector 3 30 Benutzerhilfe 5 5 2 Definieren einer neuen Client Log Abfrage Abfragen werden im Fenster Abfrageeigenschaften definiert Fiir jeden Logtyp Client Server oder File Logs steht ein anderes Fenster zur Verfiigung Dieser Abschnitt befasst sich mit Client Logs Abfragen Informationen zum Definieren von File Log Abfragen finden Sie in Definieren einer neuen Datei Log Abfrage Informationen zum Definieren von Server Log Abfragen finden Sie in Definieren einer neuen Server Log Abfrage So ffnen Sie das Fenster Abfrageeigenschaften Klicken Sie in der Symbolleiste auf die Schaltfl che Neue Abfrage Das Fenster Abfrageeigenschaften wird angezeigt Abfrageeigenschaften Unbenannt Client Logs xj Allgemein Logdatens tze nach Zeit abrufen Ger te Speicherger te Letzte 9 Tage g WiFi Links Manipulation O Yon 1 5 2010 um 11 57 2 Oa Onin m amp Administration Zwischen 00 00 und 23 59 l Speichern unter l Speichern Auf hren Schlie en Alternativ hierzu k nnen Sie dieses Fenster aus dem F
305. gs Sn Clients EB Neue Policy F Client Logs amp suspendierungskennwort gew hren Policy ffnen ig Server Logs LBB Client Logs erfassen Ei Datei Logs Client Policy aktualisieren Zuletzt bearbeitete Policies Ge ndert Zuletzt angezeigt Extras Integriert Alle zulassen 12 30 2009 Integriert Alle zulassen 12 30 2009 Allgemeine Policy Einstellungen ndem essen izai Administrationseinstellungen ndem ntegriert Alle sperren Sophos Auditor starten Integriert Alle speren 12 30 2009 Benutzerrolle ndem Integrien HIPAA Optim 12 30 2009 Ee Datenbank Tiefe Client Logs 7Tage Datei Logs TTage Server Logs TTage Shadow Dateien OTage Pflegen Benutzer Administrator UTIMACO E Server localhost Dies ist die Start Registerkarte Sie zeigt die Home Welt die in Start Welt erl utert wird SafeGuard PortProtector 3 30 Benutzerhilfe Da dies kein typisches Fenster ist wechseln Sie bitte zur Registerkarte Policies Das folgende Fenster wird angezeigt SafeGuard PortProtector Management Console la xi EURE Datei Bearbeiten Ansicht Extras Fenster Hilfe Men leiste s N ici N Gy Policies E Clients Policies B Neu Steuer E Policies Integriert Alle zulassen Keine Proto ax a Fensterleiste Be GME Ee a LU Allgemein Minvesaser Satta eden sie atelsllaainelen Parerachtunden fest setren Sie einen Porislaut zuleszen Sperreni um elle Abuvistan Uber diazen
306. gsdom ne Wenn Sie beim Ver ffentlichen einer Policy zur Aktivierung einer Dom nenauswahl aufgefordert werden siehe Ver ffentlichungsmethode im Kapitel Administration wird das Fenster Policy Ver ffentlichung best tigen beim Speichern einer Policy angezeigt Policy Yer ffentlichung best tigen xj Beim Speichern und Yer ffentlichen einer Policy wird eine Kopie der Policy in Active Directory erstellt Stellen Sie sicher dass die Policy mit Computern bzw Benutzern verkn pft ist indem das GPO mit den Organisationseinheiten OU verkn pft ist Active Directory GPO Policy wird an die folgende Dom nen ver ffentlicht EB safedev Safend com i 5 safendga Safend com Klicken Sie auf OK um die Policy jetzt zu ver ffentlichen Wenn Sie Abbrechen klicken wird die Policy gespeichert ohne sie zu ver ffentlichen Abbrechen 3 3 18 3 1 Policy Ver ffentlichung best tigen Das Fenster zeigt die in Ihrem Organisationsterrain verf gbaren Dom nen Sie k nnen die Policy an die gew nschte Dom ne ver ffentlichen So best tigen Sie das Ver ffentlichen einer Policy an die ausgew hlte Dom ne W hlen Sie die Dom ne aus an die die Policy ver ffentlicht werden soll und klicken Sie auf OK Das folgende Fenster wird angezeigt Speichern und Yer ffentlichen der Policy Policy gespeichert Policy wird ver ffentlicht Bitte warten Die Policy wird gespeichert und ver ffentlicht Wenn Sie auf Abb
307. hmals auf die berschrift um zwischen auf und absteigender Reihenfolge zu wechseln Sie k nnen eine zweite Sortierebene hinzuf gen indem Sie die Umschalttaste dr cken und auf den zweiten Spaltentitel klicken ndern Sie die Spaltenbreite indem Sie die Spaltentrennlinien an die gew nschte Stelle ziehen Verschieben Sie eine Spalte indem Sie sie an die gew nschte Position ziehen 211 SafeGuard PortProtector 3 30 Benutzerhilfe 6 4 Fensterausschnitt Client Eigenschaften Der Fensterausschnitt Client Eigenschaften wird unter der Clients Tabelle angezeigt und enth lt die Eigenschaften des in der Clients Tabelle ausgew hlten Clients Die Details in diesem Fensterausschnitt sind mit denen in der Tabelle identisch In diesem Fensterausschnitt werden Informationen bez glich des ausgew hlten Tabellendatensatzes angezeigt die in den folgenden Abschnitten angeordnet sind Allgemeine Client Informationen Zeigt allgemeine Information zum Computer und zum Client und enth lt eine Angabe dar ber ob der Client gesch tzt Served ist sowie Links zur Anzeige von Logs und Manipulationslogs f r den Client Ein Gefahrensymbol wird angezeigt wenn der Computer mindestens ein Mal manipuliert wurde Angezeigt wird auch ob die interne Festplatte verschl sselt ist oder nicht sowie das genaue Datum und die genaue Zeit wann die urspr ngliche Verschl sselung abgeschlossen wurde Effektive Policy Zeigt Informationen zur der
308. hr Informationen zu SafeGuard PortAuditor finden Sie im SafeGuard PortAuditor 3 2 Benutzerhandbuch 104 SafeGuard PortProtector 3 30 Benutzerhilfe 3 4 4 2 Schritt 2 Ger te ausw hlen Assistent f r das Hinzuf gen freigegebener Ger te Ger tekontrolle Integriert Alle zulassen Keine Protokollierung 1 Ger tedaten beschaffen A Ger te ausw hlen El Best tigen lt b meine gruppe Alle entdeckten Ger te sind unten aufgef hrt w hlen Sie die Ger te aus deren Modell hinzugef gt werden soll Anmerkung Hier sollten keine Speicherger te hinzugef gt werden auch wenn Sie in der Ger teliste stehen Beschreibung Ger teinfo Hersteller Modell Eindeutige ID Computer Letzter Benutzer Angeschlossdq PCI bus 0 device 1000 UTIMACO Admini PCI bus 2 device 1022 UTIMACO Admini PCI bus 2 device 1022 UTIMACO Admini VMware SVGA II PCI bus 0 device 1 UTIMACOAdmiri Standard PCI bus 2 device UTIMACO Admini Standard PCI bus 2 device UTIMACO Admini PCI standard PCI PCI bus 0 device UTIMACO Admini PCI standard PCI PCI bus 0 device UTIMACO Admini Intel 823714B EB PCI bus 0 device UTIMACO Admini Intel R PCI bus 0 device UTIMACO Admini Intel R PCI bus 0 device UTIMACO Adini A M GEE EEE i gt 3 4 4 2 1 Ausw hlen von Ger ten Schritt 2 zeigt eine Tabelle der Ger te an
309. hten bzw die Option Benutzer wenn Sie nach Benutzernamen suchen m chten oder die Option Alle wenn Sie nach Computern und Benutzern suchen m chten 4 Klicken Sie unter dem Textfeld auf LOS Ed Die Logs die jetzt in der Log Tabelle angezeigt werden stammen von dem Computer Benutzer einer oder mehrere dessen Name Ihren Suchkriterien entspricht Wenn kein Computer oder Benutzer gefunden wird dessen Name Ihren Suchkriterien entspricht ist die Log Tabelle leer 5 5 Abfragen Ein weiteres Verfahren zur Filterung von Logdatens tzen in der Log Tabelle ist die Verwendung von Abfragen Sie k nnen Abfragen nach verschiedenen Kriterien oder Eigenschaften definieren so dass nur Logdatens tze in der Log Tabelle erscheinen die den von Ihnen angegebenen Kriterien entsprechen Bei Client Logs und File Logs interagieren Abfragen mit Ihrer Auswahl in der Organisationsstruktur um die anzuzeigenden Datens tze zu bestimmen Es stehen drei Abfragetypen zur Verf gung die die drei verf gbaren Logtypen abdecken Client Logs Abfragen File Logs Abfragen und Server Logs Abfragen Abfragen k nnen ad hoc definiert und bearbeitet oder f r zuk nftige Verwendung gespeichert werden Die Standardabfrage ist Alle Logs bei der alle Logdatens tze angezeigt werden um genau zu sein die Datens tze die den Auswahlkriterien in der Organisationsstruktur entsprechen Nachdem Sie eine Abfrage definiert und gespeichert haben k nnen Sie sie aus dem Men A
310. ible so is the configuration of SafeGuard PortProtector The flexibility is designed to meet the variety of business objectives of HIPAA regulated organizations 13 2 2 Policy Settings The following table is a guide to the SafeGuard PortProtector administrator in the setting and configuration of SafeGuard PortProtector for implementation within a HIPAA environment The standard and aggressive approaches are to be used as guidelines for setting the parameters of SafeGuard PortProtector and not to be interpreted as additional HIPAA requirements In fact the HIPAA security rule does not specify protection requirements down to this level of detail However these configuration settings do follow general security principles and can be used as a baseline in creating a policy set for your own organization Setting Standard HIPAA Aggressive HIPAA Rationale Approach Approach Policy Create new policies based on the built in policy of Standard HIPAA or Aggressive HIPAA Each policy can then be modified as determined by the HIPAA compliance officer and in accordance with the organization s business objectives Port Control USB Restrict Restrict Restricting access to these ports allows for a finer granularity of PCMCIA Restrict Restrict control under the device control section of the policy security FireWIre Restrict Restrict SD Allow Allow Allowing access to these Serial Allow Allow ports is required for some st
311. ic security awareness reminders to include a discussion of data leakage threats updated policies required user actions prohibited behavior and restricted devices Wi Fi Threats use on unapproved networks rogue networks hybrid network bridging WEP authentication Mobile Storage Device Threats physical loss data removal malicious code insertion Consideration 4 Incident Response In the event of a security breach resulting in the disclosure modification or interruption of service FISMA compliant organizations are required to have policies procedures and the capability of investigating the incident As the set of possible security incidents expands to include data leakage organizations must update their policies procedures and capabilities to respond to these incidents Instructions Update the incident response procedures to address data leakage issues Specifically create procedures for the following incident types Lost or stolen mobile storage device Found rogue network Found hybrid network bridging Unapproved data removal 16 1 3 Preparations SafeGuard PortProtector enables organizations to control access and protect endpoints based on user roles network domains computer types and criticality of systems and data The specific implementation and configuration of SafeGuard PortProtector requires an accurate knowledge ofthe objects SafeGuard PortProtector is to protect the policies it is to enforce an
312. ichen siehe Ver ffentlichungsmethode im Kapitel Administration werden im Fenster Eigenschaften die Organisationsobjekte angezeigt mit denen diese Policy verkn pft ist Es zeigt den Objektnamen ggf die Beschreibung und den Pfad Mit Hilfe der Schaltfl chen Neu und L schen k nnen Sie Objekte zur Liste der verkn pften Objekte hinzuf gen oder daraus l schen Anleitungen f r das Ausw hlen von Objekten zur Verkn pfung finden Sie unten in Ausw hlen eines Objekts zur Verkn pfung 133 SafeGuard PortProtector 3 30 Benutzerhilfe 4 2 3 2 Ausw hlen eines Objekts zur Verkn pfung So ffnen Sie das Fenster Objekt ausw hlen Klicken Sie im unteren Abschnitt des Policy Fensters Eigenschaften Abschnitt Policy mit Organisationsobjekten verkn pfen auf Neu ODER Klicken Sie mit der rechten Maustaste in den unteren Abschnitt des Fensters Policy mit Organisationseinheiten verkn pfen Das Fenster Objekt ausw hlen wird ge ffnet x Geben Sie einen Objektnamen ein und klicken Sie auf LOS Wahlen Sie dann Objekte aus der Liste aus lObjektname 7 Nach Namen su Objektname Pfad Keine Ergebnisse gefunden Versuchen Sie Ihre Auswahl zu ndern und klicken Sie auf Geben Sie den Name des gesuchten Objekts ein O Exakte bereinstimmung IV Mehrere Parameter Nach Namen suchen Einf gen mehrerer Suchparameter durch Komma Semikolon oder Leerzeichen 2 getrennt zulassen
313. icherfunktion beschr nken und die darauf befindlichen Anwendungen sperren Hierzu w hlen Sie Block Alle zu dieser Policy geh renden Ger tegruppen erben diese Definition es sei denn Sie berschreiben sie mit gruppenspezifischen Definitionen siehe auch Weitere Einstellungen f r Ger tegruppen 2 Klicken Sie auf OK um die Einstellungen zu speichern und das Fenster Berechtigungen f r Wechselspeicher zu schlie en 3 3 6 4 1 2 Festlegen der Berechtigungen f r externe Festplatte Mit diesen Berechtigungen k nnen Sie externe Festplatten von der Dateikontrolle befreien siehe Schritt 7 Dateikontrolle definieren in Kapitel 3 Definieren von Policies Die Standarddefinitionen sind auf Anwenden der Dateikontrolle f r Dateien die auf diese Speicherger te geschrieben bzw von ihnen gelesen werden gesetzt So legen Sie Berechtigungen f r externe Festplatten fest 1 Deaktivieren Sie im Abschnitt Dateikontrolle das entsprechende Kontrollk stchen Dateitypkontrolle anwenden Log Alarm und Shadowing Definitionen anwenden um Dateien die auf freigegebene Ger te geschrieben bzw von freigegebenen Ger ten gelesen werden nach Bedarf von der Dateikontrolle auszunehmen um sie wieder der Dateikontrolle zu unterwerfen markieren Sie das entsprechende Kontrollk stchen wieder 2 Klicken Sie auf OK um die Einstellungen zu speichern und das Fenster Berechtigungen f r externe Festplatten zu schlie en 67 SafeGuard PortProtect
314. icies erfolgt automatisch Unter Verwendung von Active Directory Das Zusammenf hren von Policies ist optional und wird in Konfigurieren der Einstellungen auf der Registerkarte Policies im Kapitel Administration definiert Unter Verwendung von Registry Dateien Das Zusammenf hren von Policies ist nicht m glich Das Zusammenf hren von Policies funktioniert folgenderma en Berechtigungen f r jede n s Port Gerat Speichergerat Dateityp WiFi Link wird aus allen zusammengef hrten Policies die Definition mit den meisten Berechtigungen angewandt eine Erl uterung der Reihenfolge der Berechtigungen finden Sie in Speicherkontrolle Registerkarte Wei e Liste im Kapitel Definieren von Policies Es gibt jedoch ein paar Ausnahmen zu dieser mit meisten Berechtigungen anwenden Regel die im Folgenden angegeben werden Einstellungen F r jeden Einstellungstyp Protokollierung Alarme etc werden die Definitionen aus der Policy bernommen deren Name in alphabetischer Reihenfolge zuerst kommt Hinweis Beim Zusammenf hren von Policies wird empfohlen dass Sie die allgemeinen Policy Einstellungen statt policy spezifischer Einstellungen verwenden um eine Fehlkonfigurierung der Policy Einstellungen zu vermeiden die nur aus einer Policy bernommen werden Beispiel 1 Die zusammengef hrten Policies sind PolicyA und PolicyB Die Berechtigung f r Wechselspeicherger te in PolicyA ist Zulassen Die Berechtigung f r Wechselspei
315. icy Administrators und Logs Reviewer aus obigem Beispiel ist kann er sowohl auf die Logs Welt als auch die Policies Welt zugreifen Rollen werden im Fenster Berechtigungen definieren definiert So ffnen Sie das Fenster Berechtigungen definieren Klicken Sie auf Berechtigungen definieren Das Fenster Berechtigungen definieren wird angezeigt Berechtigungen definieren E x Rollenname Benutzergruppe Dom nenpartition Policy Administrator Gesamte Organisation Log Reviewer Gesamte Organisation Client Administrator Gesamte Organisation 239 SafeGuard PortProtector 3 30 Benutzerhilfe 7 3 1 5 2 2 Definieren von Rollen Dieses Fenster zeigt eine Liste der vorhandenen Rollen Sie k nnen hier neue Rollen anlegen oder vorhandene Rollen bearbeiten bzw l schen Jede Zeile zeigt eine Rolle die mit ihr verkn pfte Benutzergruppe und die Dom nenpartition der sie zugewiesen ist an siehe Definieren von Dom nenpartitionen Die folgenden Rollen sind in SafeGuard PortProtector integriert Super Administrator Policy Administrator Log Reviewer Client Administrator Wenn Sie eine der letzten drei Rollen benutzen m chten k nnen Sie sie einfach mit Bearbeiten bearbeiten und mit einer Benutzergruppe verkn pfen Wenn Sie sie nicht verwenden m chten k nnen Sie sie mit L schen l schen Hinweis Die Rolle Super Administrator kann nicht bearbeitet oder gel scht werden Diese Rolle ist durch die Installation des Man
316. ie ausw hlen indem Sie Text aus dem Ger te oder CD DVD Mediennamen oder einem anderen Textfeld ganz oder teilweise oder Vendor ID Modell oder Distinct ID oder bei CD DVD ihren Fingerprint eingeben Wenn Sie in diesem Abschnitt keine Auswahl treffen werden Datens tze f r alle Ger te die zu den Speicherger tetypen geh ren angezeigt Nach Plattenkapazit t Wenn Sie Nach Speichertypen siehe oben Wechselspeicherger te oder Externe Festplattenlaufwerke w hlen k nnen Sie in diesem Abschnitt den Bereich der Mediengr e definieren der in die Log Tabelle aufgenommen werden soll Wenn Sie keine ausw hlen werden in der Log Tabelle Datens tze f r Speicherger te unabh ngig von ihrer Kapazit tsgr e angezeigt 177 SafeGuard PortProtector 3 30 Benutzerhilfe 5 5 2 5 WiFi Verbindungseigenschaften Client Logs Die WiFi Anschluss Abfrageeigenschaften werden auf der Registerkarte WiFi Links definiert xl Zeit Allgemein M nach WiFi Gruppenname Ger te Name enth lt Speicherger te WiFi Links Manipulation V Nach wifi Netz Administration Nach Netzwerkname und MAC Adresse Netzwerkname enth lt MAC Adresse ist Nach Authentifizierung authentifiziert Verschlisselt O Nicht authentifiziert O Nicht verschl sselt Speichern unter Speichern L Auf hren l SchlieBen 5 5 2 5 1 Definieren von WiFi Verbindungs eigenschaften Client Logs
317. ie das Ger t auf das Sie offline zugreifen m chten an Ihren durch SafeGuard PortProtector gesch tzten Computer an 2 Klicken Sie in Mein Computer mit der rechten Maustaste auf das Ger t und w hlen Sie die Shell Erweiterung SafeGuard PortProtector SIAR SEAE sac Wwechseldatentr aq gis Explorer Suchen Freigabe und Sicherheit i SafeGuard PortProtector gt Offline Kennwort festlegen Verschl sselung aufheben Formatieren Auswerfen Ausschneiden Kopieren Verkn pfung erstellen Umbenennen Eigenschaften 3 Klicken Sie auf Offline Kennwort festlegen Das Fenster Offline Kennwort festlegen wird angezeigt Offline Kennwort festlegen G Wenn Sie auf die verschl sselten Informationen auf anderen Computern zugreifen m chten ist ein Kennwort erforderlich Sie werden nur auf Computern au erhalb Ihrer Organisation zur Eingabe dieses Kennworts aufgefordert M Zuariffskennwort Festlegen Kennwort Best tigen Das Kennwort muss mindestens 7 Zeichen lang sein und sollte mindestens einen Gro buchstaben und eine Ziffer enthalten Klicken Sie auf Weiter um fortzufahren zur ck Weiter gt Abbrechen 294 SafeGuard PortProtector 3 30 Benutzerhilfe 4 Legen Sie in diesem Fenster ein Kennwort fest best tigen Sie es und klicken Sie auf Weiter Das folgende Fenster wird angezeigt Offline Kennwort festlegen G x Ihr neues Kennwort f r Offline Zugriff w
318. ie gew nschte Gruppe und klicken Sie dann im Men auf Bearbeiten ODER 1 W hlen Sie die zu bearbeitende Gruppe aus 2 Klicken Sie auf die Schaltfl che Gruppe bearbeiten Das Fenster Mediengruppe bearbeiten wird angezeigt Mediengruppe bearbeiten 2 x 4 Name MyMediengruppe Beschreibung Gruppenmitglieder VYolumename Fingerprint Anmerkungen SUPER_WINPE_PL CD E1DD870416 706 MB 2007 04 17 DVD 7BFLF6B251 2 72 GB 2007 04 17 7 OK Abbrechen 3 5 2 1 Bearbeiten einer Gruppe Falls Sie dieser Gruppe bereits Medien hinzugef gt haben werden in dem Fenster auch die zur Gruppe geh rigen Medien angezeigt Folgende Angaben werden f r jedes Medium angezeigt Volumename Name des gescannten Volumes sofern eins zugeordnet wurde Typ CD oder DVD Fingerprint Der dem Medium vom Media Scanner zugewiesene Fingerprint siehe Appendix D CD DVD Media Scanner Gr e Gr e des Inhalts auf dem Medium Zeit Datum und Uhrzeit wann das Medium gescannt wurde Anmerkungen Eventuell von Ihnen hinzugef gte Anmerkungen 117 SafeGuard PortProtector 3 30 Benutzerhilfe Mit Hilfe der Schaltfl chen unterhalb der Liste k nnen Sie Medien hinzuf gen oder l schen siehe Hinzuf gen eines Ger ts mit Hilfe des Assistenten Die folgenden Bearbeitungsoptionen sind verf gbar Hinzuf gen von Medien ndern von Mediendaten L schen von Medien Kopieren von Medien in eine ande
319. ieren 6 8 1 Aktualisieren einer Policy auf einem beliebigem Client Das Aktualisieren einer Policy wird im Fenster Policy aktualisieren aktiviert So ffnen Sie das Fenster Policy aktualisieren W hlen Sie im Men Extras die Option Policy aktualisieren Das Fenster Policy aktualisieren wird angezeigt Policy aktualisieren 4 x Clients ausw hlen f r die Policy aktualisiert werden soll Alle Computer Computer Organisationseinheiten Durchsuchen Anmerkung Policies werden auf den Computern direkt unter den ausgew hlten Organisationseinheiten aktualisiert M 218 SafeGuard PortProtector 3 30 Benutzerhilfe 6 8 1 1 Aktualisieren einer Client P olicy Wenn Sie k rzlich eine Policy f r eine bestimmte Organisationseinheit oder einen bestimmten Computer bearbeitet haben m chten Sie vielleicht die betroffenen SafeGuard PortProtector Clients auffordern bei der n chsten Gelegenheit nach einer aktualisierten Policy zu suchen So aktualisieren Sie eine Policy 1 Markieren Sie die gewiinschte Optionsschaltflache wie folgt Alle Computer Klicken Sie auf diese Option wenn Sie Policies auf allen Computer in der Organisation aktualisieren m chten Organisationseinheiten Klicken Sie auf diese Option wenn Sie Policies f r eine oder mehrere Organisationseinheiten aktualisieren m chten Klicken Sie auf Durchsuchen und w hlen Sie die gew nschten Organisationseinheiten in der Organisat
320. ies and procedures need to be implemented 373 SafeGuard PortProtector 3 30 Benutzerhilfe 16 Appendix H Using SafeGuard PortProtector in a FISMA Regulated Organization About This Appendix The E Government Act Public Law 107 347 passed by the 107th US Congress and signed into law by the President in December 2002 recognized the importance of information security to the economic and national security interests of the United States Title III of the E Government Act entitled the Federal Information Security Management Act FISMA requires each federal agency to develop document and implement an agency wide program to provide information security for the information and information systems that support the operations and assets of the agency including those provided or managed by another agency contractor or other source SafeGuard PortProtector helps you control your endpoints and address data leakage and targeted attack threats This chapter provides guidance on how to address these threats within a FISMA regulated environment The first section Pre Requisites for Addressing FISMA Compliance Issues examines organizational issues and pre requisites that must be addressed prior to implementing SafeGuard security features and settings It contains the following sub sections Foundations translates operational objectives into a FISMA compliant context Considerations describes the information security threats th
321. ifizieren Hinweis Die eindeutige ID spezifischer Ger te wird nicht angezeigt Meldungen werden in folgenden F llen angezeigt eine Beschreibung der einzelnen F lle folgt Port gesperrt Ger t gesperrt Speicherger t gesperrt Schreibgesch tztes Speicherger t Datei gesperrt Dateitransfer Warnung WiFi Verbindung gesperrt Hardware Keylogger gesperrt Policy aktualisiert Verschl sseltes Ger t angeschlossen Ger t entschl sseln Fenster Hibernation sperren 8 1 1 Port gesperrt Eine Meldung wird angezeigt wenn ein Computer versucht einen als gesperrt definierten Port zu initialisieren Bei integrierten Ports wird diese Meldung angezeigt wenn der Endpunkt Computer neu startet und versucht den Port zu initialisieren Sie wird auch angezeigt wenn ein Adapter f r diesen Port an den Endpunkt angeschlossen ist x Intel R 82801EB USB Universal Host Controller 24D7 X Company policy prohibits the use of the port For assistance contact the System Administrator AO A Cy 1 39 PM 274 SafeGuard PortProtector 3 30 Benutzerhilfe 8 1 2 Gerat gesperrt Es wird eine Meldung angezeigt wenn versucht wird ber einen dieser eingeschr nkten Ports ein nicht freigegebenes Ger t anzuschlie en was bedeutet dass weder der Typ noch das Modell und auch nicht dieses spezifische Ger t freigegeben sind Microsoft USB Wheel Mouse Optical X Company policy prohibits
322. ilfe Sie die anzuzeigenden Organisationsobjekte Organisationseinheiten Gruppen Computer Benutzer etc festlegen k nnen Durch die Suchkriterien die Sie hier eingeben werden die in der Objektetabelle angezeigten Objekte bestimmt Nachdem Sie diese Objekte ausgew hlt und angezeigt haben k nnen Sie angeben welche der angezeigten Objekte mit der Policy verkn pft werden sollen Die folgende Abbildung zeigt die Registerkarte Nach Namen suchen x Geben Sie einen Objektnamen ein und klicken Sie auf LOS Wahlen Sie dann Objekte aus der Liste aus Objektname Beschreibung Nach Namen suchen n n n n Keine Ergebnisse gefunden Versuchen Sie Ihre Auswahl zu ndern und klicken Sie auf Geben Sie den Name des gesuchten Objekts ein O Exakte bereinstimmung Mehrere Parameter Nach Namen suchen Einf gen mehrerer Suchparameter durch Komma Semikolon oder Leerzeichen getrennt zulassen a Gruppen Benutzer G Computer Organisationsstruktur i G Computer 0 Benutzer 0 GH0E 0 T Gruppen 0 de 4 2 3 3 1 1 Ausw hlen und Verkn pfen von Objekten nach Namen Hinweis Die Anleitungen in diesem Abschnitt beziehen sich auch auf das Abfragen zugeh riger Policies nach Namen In diesem Fall werden als Ergebnis Ihrer Auswahl im Fenster Policies die Policies angezeigt die mit den ausgew hlten Objekten verkn pft sind Hier w hlen Sie Objekte anhand ihres Namens aus und aus der
323. ility to record connection and disconnection of devices and media PortProtector to control media and storage device use on the organization s desktops and laptops Two built in HIPAA approaches provide reasonable approaches and rationale for these settings Review logs according to organization policy and procedures 342 SafeGuard PortProtector 3 30 Benutzerhilfe IPAA Section of Rule Description Relevant SafeGuard How to Satisfy HIPAA Security PortProtector Features HIPAA Controls with Rule SafeGuard PortProtector Administrative Controls 164 308 a 1 a Security Management Process Implement policies and procedures to prevent detect contain and correct security violations SafeGuard PortProtector is a technology control that can implement policies and procedures to prevent and detect security violations at the network endpoints See consideration 1 Policies and Procedures for instructions on what policies and procedures need to be implemented SafeGuard PortProtector has built in security policies for Standard HIPAA Approach and Aggressive HIPAA Approach Associate built in policies for either HIPAA approach with your users and machines that may have EPHI access If your organization chooses to deviate from built in HIPAA policies document business reason and compensating controls 343 SafeGuard P
324. im Abschnitt Umfang der Registerkarte Allgemein ausw hlen Nach Client Administrationsereignissen Markieren Sie dieses Kontrollk stchen um die Client Administrationsereignisse auszuw hlen die in die Log Tabelle aufgenommen werden sollen Die Ereignisse sind in Gruppen angeordnet Sie k nnen Ereignisse aus verschiedenen Gruppen ausw hlen und in jeder Gruppe k nnen Sie mehr als ein Ereignis ausw hlen Wenn Sie diesen Abschnitt nicht ausw hlen werden die Datens tze unabh ngig von dem Client Administrationsereignis f r das sie gelten angezeigt Im Folgenden werden die Gruppen auf dieser Registerkarte beschrieben Installationsereignisse In dieser Gruppe k nnen Sie die Installationsereignisse ausw hlen die in die Log Tabelle aufgenommen werden sollen Suspendierung des Schutzes In dieser Gruppe k nnen Sie die Schutzsaufhebungsereignisse ausw hlen die in die Log Tabelle aufgenommen werden sollen 180 SafeGuard PortProtector 3 30 Benutzerhilfe Ger teverschl sselung In dieser Gruppe k nnen Sie die Ger teverschl sselungsereignisse ausw hlen die in die Log Tabelle aufgenommen werden sollen Sonstige Klicken Sie in dieser Gruppe auf die Kontrollk stchen um die Datens tze anzuzeigen die f r Policy Aktualisierung oder andere Client Fehler gelten Hinweis Die Interaktion der Auswahlm glichkeiten auf der Registerkarte Administration erfolgt ber die Boolesche ODER Anweisung Das be
325. in Kapitel 6 Verwalten von Clients Der folgende Workflow fasst den Vorgang der Policy Ver ffentlichung zusammen SafeGuard PortProtector f r AD Verwendung Schritt 1 eae SafeGuard PortProtector Schritt 2 Policies definieren Richtlinien werden autom a als GPOs im AD angelegt Schritt 3 GPOs mit Organisations einheiten verbinden Schritt 4 Policies auf Clients 3 aktualisieren Schritt 5 F r diejenigen unter Ihnen die nicht mit Active Directory vertraut sind folgt eine Erl uterung dar ber wie GPOs mit Organisationseinheiten verkn pft werden 142 SafeGuard PortProtector 3 30 Benutzerhilfe 4 3 1 Verkn pfen von GPOs mit Organisationseinheiten Dieser Abschnitt ist nur f r Benutzer von Active Directory gedacht die nicht mit dem Verfahren vertraut sind GPOs mit Organisationseinheiten in Active Directory zu verkn pfen So verkniipfen Sie GPOs mit Organisationseinheiten 1 ffnen Sie das Fenster Active Directory Users and Computers indem Sie Start Programme Administrationswerkzeuge Active Directory Users and Computers w hlen Hier ein Beispiel 4 Active Directory Benutzer und Computer i lol x S Datei Aktion Ansicht Fenster 2 14 xI e HiM e XFHR C HPbT Sea 3 Active Directory Benutzer und Compi Safend 5 Objekte E Gespeicherte Abfragen P mips Safend com amp l r Team Organisationsei
326. in sicheres E Mail System verwenden kann der Port ein anderer sein Authentifizierung optional Wenn Ihre E Mail Ausgangsserver eine Authentifizierung verlangt f llen Sie auch die folgenden Felder aus Benutzername Kennwort 253 SafeGuard PortProtector 3 30 Benutzerhilfe 7 5 1 3 Festlegen eines Alarmziels Im Folgenden sind die erforderlichen Eigenschaften f r die einzelnen Protokolltypen aufgef hrt E Mail Empf nger Geben Sie eine g ltige E Mail Adresse ein an die die E Mail gesendet wird Sie k nnen auch mehrere Adressen durch Komma Semikolon getrennt eingeben W hlen Sie Hinzuf gen um die eingegebene Mail Adresse zur Empf ngerliste hinzuzuf gen W hlen Sie im Feld Absender w hlen die E Mail Adresse aus der Dropdown Liste die als Absender angegeben werden soll Die Dropdown Liste zeigt die Absender die vorher in SafeGuard PortProtector entweder in diesem Fenster oder im Fenster Report planen eingegeben wurden Sie k nnen auch auf die Schaltfl che Absender bearbeiten klicken um einen neuen Absender zu definieren einen vorhandenen Absender zu bearbeiten oder einen Absender zu l schen Hinweis Die Dropdown Liste im Fenster Alarmziel zeigt die Absender die vorher in SafeGuard PortProtector in diesem Fenster eingegeben wurden SNMP Servername Der Hostname Ihres SNMP Servers Sie k nnen auch eine IP Adresse angeben Server Port Der TCP Port f r das Versenden von SNMP Tra
327. inden Sie in Schritt 15 Einstellungen fiir Datei Shadowing definieren Zeigt die Gr e der protokollierten Datei in Bytes an Diese Spalte zeigt das Datum und die Uhrzeit an wann die protokollierte Datei erstellt wurde Zeigt das Datum und die Uhrzeit an wann die protokollierte Datei modifiziert wurde Diese Spalte wird nur dann angezeigt wenn die Inhaltspr fung durchgef hrt wird sie zeigt die Pr fergebnisse an M gliche Werte sind Sensitive OK Failed leer nicht gepr ft Diese Spalte wird nur dann angezeigt wenn die Inhaltspr fung durchgef hrt wird sie zeigt das Datum und die Uhrzeit der Pr fung an Zeigt den Port an der mit dem Dateiereignis verkn pft ist 199 SafeGuard PortProtector 3 30 Benutzerhilfe Spalte Port Device Type Device Description Network Device Info Group Name Policy Type Policy Vendor Model Distinct ID Details Client Local 200 Beschreibung Zeigt den Ger tetyp des Ger ts an das mit dem Dateiereignis verkn pft ist Zeigt die Ger tebeschreibung des Ger ts Netzes an das mit dem Dateiereignis verkn pft ist Zeigt die Ger tedaten des Ger ts an das mit dem Dateiereignis verkn pft ist Zeigt den Namen der Gruppe der freigegebenen Ger te Speicherger te oder WiFi Verbindungen an zu der das mit diesem Ereignis verkn pfte Ger t bzw die Verbindung geh rt Gibt an ob es sich bei der zugewiesenen Policy um eine Com
328. inieren einer neuen Server Log Abfrage Mit Server Log Abfragen k nnen Sie die Log Tabelle des Management Servers nach verschiedenen Eigenschaften filtern die f r Server Ereignisse relevant sind Hierzu geh ren die Registerkarte Zeit und Allgemein 5 5 4 1 Zeiteigenschaften Server Logs Die Zeit Abfrageeigenschaften werden auf der Registerkarte Zeit definiert Abfrageeigenschaften Unbenannt Server Logs 2 x Allgemein Logdatens tze nach Zeit abrufen Letzte 1 Tage v O Von 175 201 Jum 12 10 Elan 1 6 2010 um j12 10 CO zwischen oo 00 2 und 23 59 188 Speichern unter Speichern Auf hren Schlie en SafeGuard PortProtector 3 30 Benutzerhilfe 5 5 4 1 1 Definieren von Zeiteigens chaften Server Logs Auf der Registerkarte Zeit definieren Sie den Zeitrahmen f r die anzuzeigenden Datens tze Unabh ngig von anderen Abfragedefinitionen werden die Datens tze in der Log Tabelle den von Ihnen hier festgelegten Zeitkriterien entsprechen So definieren Sie Zeiteigenschaften Geben Sie auf der Registerkarte Zeit den gew nschten Zeitrahmen f r Logdatens tze ein Die folgenden Optionen sind verf gbar Klicken Sie auf die Optionsschaltfl che Letzte um einen Zeitraum relativ zum aktuellen Tag auszuw hlen Wenn Sie m chten geben Sie ein Zeitfenster f r die Tage im ausgew hlten Zeitraum an indem Sie das Kontrollk stchen Zwischen markieren Klicken Sie auf die Optionssch
329. ion of SafeGuard PortProtector for FISMA compliance The first category is Foundations Foundations are basic information security program elements that must be in place in order for any compliance effort to move forward Foundations include the establishment of mission statements and roles responsibilities required to carry them out The second pre requisite is Considerations Considerations are specific information security threats that must be addressed within the context of the established objectives The third pre requisite for effective implementation is Preparations Preparations are activities that must be performed prior to installing and configuring a specific technology product such as SafeGuard PortProtector 16 1 1 Foundations The evaluation of security controls within an organization requires a context of operational objectives For FISMA regulated organizations that context is provided by the following set of foundations that translate mission objectives into a FISMA compliant context for the implementation of technology Foundation 1 Information Security Program An information security program consists of dedicated security professionals supported by management with the appropriate scope authority and budget to assess information security risks recommend mitigation techniques and ensure appropriate security risk management of the organization s assets A strong information security program will include an identification of re
330. ions this document provides guidance for both a Standard and an Aggressive approach for implementing SafeGuard PortProtector to protect EPHI Both of these approaches meet the HIPAA standards for the requirements they address Standard Approach The standard approach to implementing SafeGuard PortProtector within a HIPAA environment implements good security practices for protecting endpoints from targeted attacks and ensuring that potential data leakage of EPHI is monitored and logged 334 SafeGuard PortProtector 3 30 Benutzerhilfe Aggressive Approach The aggressive approach to implementing S SafeGuard PortProtector within a HIPAA environment implements a more strict set of security practices for protecting endpoints from targeted attacks and ensuring that potential data leakage of EPHI is blocked encrypted or monitored and logged The selection of the appropriate approach for meeting both HIPAA and an organization s business objectives maybe either the Standard Approach the Aggressive Approach or even a combination or customization of either of these approaches Recall Foundation 2 Understand Business Needs see above from part 1 of this whitepaper which stresses the importance of understanding the business objectives and environment in which SafeGuard PortProtector is to be deployed prior to determining the configuration and setting of the product Just as technology implementation to meet HIPAA requirements is flex
331. ionsstruktur Die ausgew hlten Einheiten werden im Feld Organisationseinheiten angezeigt Computer Klicken Sie auf diese Option wenn Sie eine Policy f r einen oder mehrere Computer aktualisieren m chten und geben Sie den Computernamen in dem Feld ein Wenn Sie mehrere Computernamen eingeben m chten trennen Sie sie mit einem Doppelpunkt oder Semikolon ab Klicken Sie auf Ausf hren An die ausgew hlten Computer wird eine Benachrichtigung gesendet nach einer neuen Policy zu suchen und das Fenster Client Task Fortschritt wird angezeigt Sie k nnen den Verlauf des Aktualisierungsvorgangs in diesem Fenster verfolgen wie in Verfolgen des Fortschritts von Client Tasks erl utert 6 8 2 Aktualisieren einer Policy auf zuvor ausgew hlten Clients Diese Option f hrt dieselben Aktionen aus wie im vorangehenden Abschnitt beschrieben Sie erm glicht es Ihnen aber auch die Clients f r die Aktualisierung vorher auszuw hlen So aktualisieren Sie Policies durch Klicken mit der rechten Maustaste 1 Wahlen Sie in der Organisationsstruktur die gewiinschten Elemente aus oder wahlen Sie die gew nschten Computer in der Tabelle aus Klicken Sie mit der rechten Maustaste W hlen Sie in dem dann angezeigten Men die Option Policy aktualisieren An die ausgew hlten Computer wird eine Benachrichtigung gesendet nach einer neuen Policy zu suchen und das Fenster Client Task Fortschritt wird angezeigt Sie k nnen den Verlauf des Aktualisierungs
332. irectory ber verschiedene Software Deploymenttools oder manuell eingesetzt werden kann Die Client Installationsdateien stehen derzeit unter C ClientInstall Standort der Datei ndern Client Installationsordner muss die folgenden Dateien enthalten 1 SafendProtectorClient msi 2 SafendProtectorClient exe 3 ClientConfig scc Anweisungen zum Deployment finden Sie im Safend Protector Installationshandbuch Q 6 7 1 Clients Deployment vorbereiten Dieses Fenster zeigt den aktuellen Speicherort der SafeGuard PortProtector Client Installationsdateien Der Speicherort der Client Installationsdateien wird auf der Registerkarte Clients im Fenster Administration definiert siehe Kapitel Administration Der Client Installationsordner muss die folgenden Dateien enthalten SafeGuardPortProtectorClient msi SafeGuardPortProtectorClient exe ClientConfig scc Eine detaillierte Erl uterung der Client Installation finden Sie im SafeGuard PortProtector Installationshandbuch 217 SafeGuard PortProtector 3 30 Benutzerhilfe So bereiten Sie das Client Deployment vor Klicken Sie im Fenster auf ffnen und pr fen Sie ob die erforderlichen Dateien im Installationsordner vorhanden sind Falls nicht k nnen Sie zum Fenster Administration wechseln indem Sie auf den Link Standort der Datei ndern klicken Eine vollst ndige Anleitung f r das Deployment von SafeGuard PortProtector Clients finden Sie im SafeGuar
333. ist hierf r nicht erforderlich Bei einer Verletzung einer SafeGuard PortProtector Policy oder bei bestimmten Nutzungsaktivit ten wird eine Meldung auf dem Computer des Endpunkts angezeigt Eine Policy Verletzung bedeutet dass jemand versucht hat einen Port ein Ger t oder einen WiFi Link zu benutzen die auf einem mit SafeGuard PortProtector gesch tzten Computer gesperrt wurden Der Endbenutzer kann einfach auf die Meldung klicken und so best tigen dass er sie gelesen hat Je nach den in Ihrer Policy definierten Einstellungen kann ein Logeintrag erzeugt werden der dieses Ereignis aufzeichnet Sie k nnen den Client im Stealth Modus installieren und sowohl das SafeGuard PortProtector Taskleistensymbol als auch Meldungen ausblenden Auf diese Weise machen Sie den SafeGuard PortProtector Client f r den Benutzer am Endpunkt unsichtbar Weitere Informationen finden Sie im Kapitel Endbenutzer Erfahrung 19 SafeGuard PortProtector 3 30 Benutzerhilfe 1 6 Workflow zur Implementierung von SafeGuard PortProtector Im Folgenden finden Sie eine bersicht ber den Workflow f r die Implementierung und Nutzung von SafeGuard PortProtector SafeGuard PortProtector Management Server amp Schritt 1 Console installieren Weitere Management Consoles installieren Schritt2 optional SafeGuard PortProtector Administrationsein Schritt 3 stellungen definieren Computer scannen Port Ger te und WiFi Schritt 4 Benu
334. istrator safen administrator safen Administratarasafen SafeGuard PortProtector 3 30 Benutzerhilfe Event te Bi Blocked FireWire Blocked Bluetooth Blocked Port Restricte WiFi Blocked Secure Digital Port Restricte FireWire Port Restricte PCMCIA Port Restricte USB Port Restricte USB Port Restricte USB Port Restricte USB Port Restricte USB W Policy Update Blocked Blocked Port Restricte USB Port Restricte USB gt Port Restricte USB Port Restricte USB Port Restricte USB Policy Update y Allowed USB 4 Allowed USB 4 Allowed USB y Allowed USB 4 Allowed USB y Allowed USB Device Type Network Adapter Unclassified Unclassified Unclassified Unclassified Unclassified Unclassified Unclassified Unclassified Unclassified Unclassified Unclassified Other Unrecogr Floppy Devices Other Unrecogr CD DVD Drives Unclassified Unclassified Unclassified Unclassified Unclassified Human Interface Unclassified Unclassified Unclassified Unclassified Unclassified Devi 1394 Net Bluetooth Bus AC97 Soft Intel R SDA Standard Texas Generic Intel R Intel R Intel R Intel R Intel R Floppy disk CD ROM Drive Intel R Intel R Intel R Intel R Intel R USB Human Intel R Intel R Intel R Intel R Intelfr Device Info Group 1394 Net Bluetooth Bus amp C97 Soft Inte
335. it ausw hlen kann Hinweis Eine Benutzerrolle definiert die Funktionen Organisationseinheiten und Dom nen einer Organisation auf die ein SafeGuard PortProtector Administrator zugreifen kann wie in Definieren von Rollen beschrieben ber die Option Benutzerrolle ndern kann ein solcher Administrator von dieser Rolle jederzeit zu einer anderen ihm zugewiesenen Rolle wechseln Meldet den aktuellen Benutzer von der Management Console ab Meldet den aktuellen Benutzer ab und schlie t die SafeGuard PortProtector Management Console 2 4 2 Men Bearbeiten Das Men Bearbeiten ist in allen Welten vorhanden auch wenn die Men optionen in allen au er der Policies Welt deaktiviert sind Es umfasst die Optionen Ausschneiden Kopieren und Einf gen f r die Option Ger t hinzuf gen Speicherger t hinzuf gen oder WiFi Netz hinzuf gen dies ist in Freigeben von Ger ten und WiFi Verbindungen im Kapitel Definieren von Policies beschrieben Ausschneiden Kopierer 27 SafeGuard PortProtector 3 30 Benutzerhilfe 2 4 3 Ment Ansicht Uber das Men Ansicht in der Start Welt k nnen Sie den Verlauf der Client Tasks anzeigen Weitere Informationen zu Client Tasks finden Sie in Verfolgen des Fortschritts von Client Tasks im Verwalten von Clients ansicht Extras Client Tasks 2 4 4 Men Extras Das Men Extras haben alle Welten gemeinsam ber dieses Men k nnen Sie verschiedene Management und Administratoraufga
336. itere Informationen zu Abfragen finden Sie in Abfragen Abfrage bearbeiten ffnet die Eigenschaften der zugeordneten Abfrage f r die Bearbeitung Abfrage verwalten ffnet das Fenster Abfragen verwalten weitere Informationen zu Abfragen finden Sie in Abfragen Aktualisieren Aktualisiert die Log Tabelle im aktiven Fenster Automatisch Legt fest dass die Log Tabelle in bestimmten Intervallen Aktualisieren aktualisiert wird Hilfe Zeigt die Kontexthilfe des aktiven Fensters und erm glicht den Zugriff auf andere Hilfethemen 159 SafeGuard PortProtector 3 30 Benutzerhilfe 5 2 4 Arbeitsbereich Der Arbeitsbereich ist in zwei Bereiche unterteilt Die Log Tabelle wird im rechten Fensterausschnitt angezeigt und enth lt eine Tabelle der Logdatens tze die von den Client oder vom Management Server empfangen wurden Wenn sie zum ersten Mal ge ffnet wird enth lt sie alle Client Logs Die Log Tabelle ist in Log Tabelle beschrieben Der Bereich im linken Fensterausschnitt enth lt die Registerkarten Organisationsstruktur und Nach Namen suchen Diese Registerkarten dienen als Filter zur Bestimmung des Ursprungs d h Organisationseinheiten Computer Benutzer der Logdatens tze die in der Log Tabelle angezeigt werden Die Registerkarten werden in Filtern nach Herkunft des Logdatensatzes behandelt Diese Registerkarten erscheinen nicht im Fenster Server Log weil Server Logs per Definition nicht f r Clients gelten Wenn alle F
337. ites for Addressing SOX Compliance Issues examines organizational issues and pre requisites that must be addressed prior to implementing SafeGuard PortProtector security features and settings It contains the following sub sections Foundations translates business objectives into aSOX compliant context Considerations describes the information security threats that must be addressed within the context of the established business mission Preparations describes the activities that should be performed before configuring SafeGuard PortProtector for protection The second section Implementing SafeGuard PortProtector ina SOX Regulated Organization provides specific SafeGuard PortProtector setting guidance for the policy user and administrator parameters within the SafeGuard PortProtector product It contains the following sub sections Implementation Approaches describes the different implementation approaches suggested in this document SOX policy settings describes the setting and configuration of SafeGuard PortProtector Policies for implementation within a SOX environment Other SafeGuard PortProtector SOX Settings describes the setting and configuration of SafeGuard PortProtector Settings that are not a part ofthe policy according to the business objectives and the environment of the SOX organization Relevant SOX Requirements provides additional information on SOX Security Rule requirements 347 SafeGuard PortProt
338. itin CLIENT3082 Computer Computers BJ cuient3i04 Computer Domain Controllers Scents Computer ForeignSecurityPrincipals CLIENT3107 Computer E Lost ndFound cuent3i09 Computer NTDS Quotas Sl cuentst1o Computer E Program Data BJ cuenta114 Computer Protector Test BJ CLIENT3124 Computer B Safend CLIENT3138 Computer Agent Team Danny User H CombinedPolcy Sharon User H Computers Denis amp DeploymentServerTest Groups 3 ProTest ProtestLab B Sales amp Europe G South Pacific USA amp ServerTest amp temp i 2 Klicken Sie mit der rechten Maustaste auf die Organisationseinheit mit der Sie ein GPO verkn pfen m chten und w hlen Sie Properties Das folgende Fenster wird angezeigt Users Properties General Managed By COM Group Policy Users Description Safend Sales USA Street a zZ City San Diego State province Zip Postal Code Te O Country region United States o YS 144 SafeGuard PortProtector 3 30 Benutzerhilfe 3 Wahlen Sie die Registerkarte Group Policy Das folgende Fenster wird angezeigt TT zx General Managed By COM Group Policy Management Console GPMC 7 Current Group Policy Object Links for Users Group Policy Object Links No Override Disabled Group Policy Objects higher in the list have the highest priority This list obtained from YMDC2 mDom2 com Add Edit
339. je nach Typ des daran angeschlossenen Ger ts beschr nkten Zu den Ger tetypen z hlen u a Drucker Netzadapter HID Ger te z B eine Maus oder Bildbearbeitungsger te Die zur Auswahl stehenden Ger tetypen sind in SafeGuard PortProtector integriert Wenn Sie ein Ger t zulassen m chten das hier nicht aufgef hrt ist k nnen Sie die nachfolgend beschriebene Option Modelle oder Spezifische Ger te nutzen SafeGuard PortProtector Management Console 18 x Datei Bearbeiten Ansicht Extras fenster Hilfe N i j Logs Fl clients gt 3 ronces VE roides neu Policies E Cantegriert Alle zulassen Keine Proto 4 gt xX Dw AX iO ___ Allgemein ____ f Diese Berechtigungen gelten nur f r die folgenden Ports die mit Einschr nken definiert wurden Eigenschaften USB PCMCIA FireWire Portkontrall SS ee Allgemein Wei e Liste Ger tekontroll Ti Seralekontrons Policy fir alle Gerdte Aktion Log Alarm Speicherkontrolle Alle Ger te aa Dateikontrolle nr td o 5 Hardware Keylogger vy WiFi Kontrolle __Einstellungen__ Serstetynen REN zu Eu Protokollierung HID Ger te vy Alarme Drucker ey Endbenutzer Meldungen PDAs Smart Phones Mediaverschl sselung Windows Mobile Pocket PCs va ARE A Blackberry Ger te Vv s pa AE Palm OS Gerate vy iPhones
340. k V Nach Dateiname Name enth lt M Nach Dateieigenschaften C Dateigr e liegt zwischen fo a u beschr nkt S me sl C Zeit der Dateierstellung Von 1 6 2010 um 00 00 Sl Bis 1 6 2010 um 23 59 si C Zeit der Datei nderung Von 1 6 2010 um 00 00 2 Bis fa 6 2010 v um 23 59 2 Speichern unter Speichern Auf hren Schlie en 182 SafeGuard PortProtector 3 30 Benutzerhilfe 5 5 3 2 1 Definieren von Dateieigenschaften File Logs Auf der Registerkarte Datei definieren Sie die anzuzeigenden Logdatens tze bez glich ihrer Dateiattribute In der Log Tabelle erscheinen nur Datens tze die den von Ihnen hier festgelegten Kriterien entsprechen Im Folgenden werden die Abschnitte dieser Registerkarte beschrieben Nach Operation Markieren Sie dieses Kontrollk stchen wenn die Log Tabelle Logs f r Dateien anzeigen soll die von Ger ten gelesen auf Ger te geschrieben von verschl sselten Ger ten gelesen oder auf verschl sselte Ger te geschrieben wurden Aktivieren Sie dann das entsprechende Kontrollk stchen f r die gew nschte Operation Sie k nnen mehrere Optionen ausw hlen Wenn Sie das Kontrollk stchen Nach Operation deaktiviert lassen werden Logs f r alle Operationen in die Log Tabelle aufgenommen Nach Dateityp Markieren Sie dieses Kontrollk stchen wenn Sie in der Log Tabelle nur Logs f r bestimmte Dateitypen anzeigen m chten Aktivieren Sie dann
341. k den Sie einrichten m chte ist nicht freigegeben F r weitere Hilfe E kontaktieren Sie bitte Ihren Systemadministrator E Schreibgeschitztes Speicherger t Gem den Untermehmensrichtlinien d rfen Wechselspeicher nur im schreibgesch tzten Modus benutzt werden F r weitere Hilfe kontaktieren Sie al W Policy aktualisiert Eine neue Sophos Sicherheitspolicy wurde auf Ihren Computer angewandt Dadurch k nnen Ihre Berechtigungen f r den Ger tezugriff ge ndert worden Unverschl sseltes Brennen gesperrt Die Untemehmenstichtlinien fordern eine Verschl sselung der Dateien die auf J CD DVD Medien gebrannt werden Verschl sseln Sie Ihre Dateien bevor Sie Ei Hardware Keylogger gesperrt Ein verd chtiger Hardware Keylogger wurde gesperrt Ihre Tastatur wurde BJ deshalb gespent Die Tastatur funktioniert wenn Sie sie direkt an den Computer maf I Benutzer Administrator UTIMACO E amp Server localhost 82 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 12 1 Definieren von Endbenutzer Meldungen Hinweis Sie k nnen ausw hlen ob Sie die globalen Policy Einstellungen verwenden m chten indem Sie die Optionsschaltfl che Allgemeine Einstellungen verwenden aktivieren um die allgemeinen Policy Einstellungen anzuzeigen oder zu bearbeiten klicken Sie oben im Fenster auf Allgemeine Policy Einstellungen ffnen So definieren Sie die Einstellungen f r Endbenutzer Meldungen 1 Aktivieren Sie die Optionsschaltfl che P
342. karten General Liefert allgemeine Informationen Hostname Softwareversion und Servername Dar ber hinaus werden Informationen zur Policy angezeigt aktueller Policy Name Angaben dar ber ob die Policy auf den Computer oder aktuellen Benutzer angewandt wird sowie Datum und Uhrzeit der letzten Policy Aktualisierung Des Weiteren werden Informationen zum Schutzstatus angezeigt die dar ber informieren ob der Computer derzeit gesch tzt ist oder ob der Schutz aufgehoben ist Au erdem werden Informationen zum Inhaltspr fungsstatus geliefert der Aufschluss dar ber gibt ob die Inhaltspr fung ein oder ausgeschaltet ist Extras Liefert Informationen zur Ger teverschl sselung und erm glicht es Dateimeldungen auf dem Desktop auszublenden Weitere Informationen finden Sie im Abschnitt Erstellen und Benutzen eines verschl sselten Volumes Info Liefert allgemeine Informationen zu SafeGuard PortProtector Client 280 SafeGuard PortProtector 3 30 Benutzerhilfe Das Fenster enth lt auch mehrere Schaltfl chen die nachstehend besprochen werden 8 5 1 Aktualisieren der Client Policy Die Policy eines SafeGuard PortProtector Clients wird in einem Vorgang aktualisiert bei dem der Client den Management Server GPO Dienst oder die Registry Datei je nach dem von Ihnen gew hlten Verfahren f r die Policy Verteilung in vordefinierten Intervallen pr ft und die Policy aktualisiert falls sie sich ge ndert hat Aktualisieren einer
343. ken und definieren die Ger tekontrolle bzw Speicherkontrolle Portkontrolle Physische Ports Aktion Log Alarm Ger tekontrolli Ger tekontrolle usB v Geratekontrolle definieren l Speicherkontrolle FireWire v Geratekontrolle definieren Dateikontrolle PCMCIA v SGer tekontrolle definieren WiFi Kontrolle SecureDigital vy EC serie vy Protokollierung Parallel vy oO o Alarme 9 Modem ve Endbenutzer Meldungen Interne Ports v Mediaverschl sselung Drahtlose Ports Aktion Log Alarm Shadowing wiri vx Optionen IrDA x Bluetooth x Anti Hybridnetz berbr ckung Aktion Hybridnetz berbr ckung ve Benutzer Administrator UTIMACO E Server localhost Weitere Informationen zur Portkontrolle finden Sie in Schritt 4 Portkontrolle definieren im Kapitel Definieren von Policies SafeGuard PortProtector 3 30 Benutzerhilfe 1 2 2 Geratekontrolle Zus tzlich zur Kontrolle des Portzugangs bietet SafeGuard PortProtector eine weitere Granularit tsstufe Sie k nnen definieren welche Ger te auf einen Port zugreifen k nnen F r USB PCMCIA und FireWire Ports k nnen Sie definieren welche Ger tetypen Ger temodelle bzw welche spezifischen Ger te auf einen Port zugreifen k nnen Ger tetypen Mit dieser Option k nnen Sie den Zugriff auf einen Port
344. ks Progress anzeigen lassen So verfolgen Sie den Fortschritt von Client Tasks Wahlen Sie im Men Ansicht die Option Client Tasks Das Fenster Verlauf der Client Tasks wird angezeigt In diesem Fenster k nnen Sie den Verlauf der Tasks sehen Yerlauf der Client Tasks x Status Erfassen von Logs fehlgeschlagen Der RPC Server ist Erfassen von Logs fehlgeschlagen Der RPC Server ist Erfassen von Logs fehlgeschlagen Der RPC Server ist Erfassen von Logs fehlgeschlagen Der RPC Serverist Erfassen von Logs fehlgeschlagen Der RPC Server ist Erfassen von Logs fehlgeschlagen Der RPC Server ist Erfassen von Logs fehlgeschlagen Der RPC Server ist Erfassen von Logs fehlgeschlagen Der RPC Server ist Erfassen von Logs fehlgeschlagen Der RPC Server ist Erfassen von Logs fehlgeschlagen Der RPC Server ist Erfassen von Logs fehlgeschlagen Der RPC Serverist Erfassen von Logs fehlgeschlagen Der RPC Serverist Ps BET JEUAILEU Was ist beim Versagen einer Task zu tun Schlie en Computer Details ctnothingi saf Log erfassen ctnothing2 saf Log erfassen ctvloverride s Log erfassen ctvl Log erfassen ctv1 or Log erfassen ct v1 Log erfassen ct nothing Log erfassen ct v1 Log erfassen ct vil Log erfassen ct v1 Log erfassen ct Log erfassen vt Log erfassen 000000000000 6 10 1 Verlauf der Client Tasks Das Fen
345. kte verteilen Jedoch ist f r die Zuweisung der Policy Objekte zu Benutzern und Computern einiges Wissen seitens der Benutzer erforderlich Ein weiteres Verfahren f r die Verteilung von Policies an Endpunkte ist der Policy Server Mit dieser Funktion werden Policies direkt vom Management Server ber die vorhandene SSL Infrastruktur an die Endpunkte verteilt Zur Vereinfachung werden Policies in der Management Console im Rahmen der Definition der Policy mit AD oder Novell Objekten verkn pft Dabei k nnen sowohl allgemeiner gehaltene Policies f r Organisationseinheiten oder Gruppen als auch f r einen bestimmten Benutzer oder Computer geltende Policies festgelegt werden 131 SafeGuard PortProtector 3 30 Benutzerhilfe 4 2 1 Architektur Wenn der Policy Server als Schleuse fiir die Verteilung von Policies konfiguriert wurde fragen die Endpunkte den Management Server nach den ihnen zugewiesenen Policies ab Diese Abfrage erfolgt jedes Mal wenn ein Computer startet wenn sich ein Benutzer anmeldet sowie in vordefinierten Zeitintervallen Diese Kommunikation hnelt sehr dem Verfahren bei dem Logs von Endpunkten zu Servern gesendet werden Dieses Verfahren basiert auf Web Server und setzt SSL zur Authentifizierung und Verschl sselung ein Au er den bereit f r die Log Erfassung genutzten Ports brauchen keine neuen Ports ge ffnet zu werden Um eine hohe Performance Skalierbarkeit und minimal Netzbelastung sicherzustellen wurden vie
346. l event In security alert security personnel of viewer or SNMP In policies under inappropriate or unusual addition to Alerts choose the activities SafeGuard l d sired PortProtector built Destinations in alerting and reporting options SafeGuard PortProtector also provides integration with SIEM systems ensuring that security administrators can keep track of security events regardless of their chosen system AU 8 1 Time Stamps The SafeGuard To synchronize information system provides time stamps for use in audit record generation and allows synchronization with internal information system clocks PortProtector logs contain the time stamp of both the endpoint where the event originated from as well as that of the management server the time stamps set both the server machine and endpoint machines to sync with network time servers These settings are usually configured by default by the directory services 388 SafeGuard PortProtector 3 30 Benutzerhilfe Requirement Requirement Description Relevant SafeGuard How to apply Number PortProtector SafeGuard Features PortProtector policies for FISMA compliance CM 2 1 2 Baseline Configuration SafeGuard The organization PortProtector develops documents and security policies maintains a current contain extensive baseline configuration and and granular employs automated definitions for mechanisms to mai
347. l R SDA Standard Texas Texas Intel R Intel R Intel R Intel R Intel R Floppy disk LITE ON CD Intel R Intel R Intel R Intel R Intel R USB Human Intel R Intel R Intel R Intel R Intelfr of gt Die obige Abbildung zeigt das Client Log File Logs und Server Logs zeigen unterschiedliche Informationen Standardm ig wird in der anf nglichen Log Tabelle das Clients Log mit allen Datensatztypen f r alle Clients und Benutzer in die Organisation angezeigt Sie k nnen weitere Fenster mit zus tzlichen Logtypen ffnen Client Logs Server Logs oder File Logs Eine detaillierte Erkl rung der Tabellenstrukturen finden Sie am Ende dieses Kapitels in Struktur der Log Tabellen Sie k nnen die Tabellenansicht folgenderma en ndern Sortieren Sie die Tabelle indem Sie auf den Spaltentitel der Spalte klicken nach der Sie sortieren m chten Klicken Sie nochmals auf die berschrift um zwischen auf und absteigender Reihenfolge zu wechseln Sie k nnen eine zweite Sortierebene hinzuf gen indem Sie die Umschalttaste dr cken und auf den zweiten Spaltentitel klicken ndern Sie die Spaltenbreite indem Sie die Spaltentrennlinien an die gew nschte Stelle ziehen Verschieben Sie eine Spalte indem Sie sie an die gew nschte Position ziehen Filtern nach Log Herkunft Hiermit k nnen Sie die Logdatens tze auf diejenigen beschr nken die
348. le gt gt Speicherkontrolle gt gt Dateikontrolle Wiri Kontrolle Cache Gr e berschreitet nicht 1024 MB Protokollierung Allgemeine Einstellungen verwenden Benutzer d rfen Dateien auf Speicherger te schreiben Shadowing nicht verf gbar Alarme Policy spezifische Einstellungen festlegen Endbenutzer Meldungen ving nicht verf gbar Mediaverschl sselung Shadowing aan Allgemeine Einstellungen verwenden 12MB Policy spezifische Einstellungen festlegen Shadow Datei berschreitet nicht 12 MB Benutzer Administrator UTIMACO Server localhost Peer wa re 87 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 15 Definieren der Einstellungen f r Datei S hadowing Hinweis Sie k nnen in jedem Abschnitt dieses Fensters ausw hlen ob Sie die globalen Policy Einstellungen verwenden m chten indem Sie die Optionsschaltfl che Allgemeine Einstellungen verwenden aktivieren um die globalen Policy Einstellungen anzuzeigen oder zu bearbeiten klicken Sie oben im Fenster auf Allgemeine Policy Einstellungen ffnen Dieses Fenster enth lt folgende Abschnitte Max Cache Gr e Die Einstellungen in diesem Abschnitt legen die maximale Gr e des lokalen Cache Speichers fest in den die Shadow Dateien geschrieben werden hnlich wie bei der Protokollierung werden Shadow Dateien lokal auf
349. le 5 Minuten Jede 1 Minute Alle 20 Sekunden Das Men Ansicht enth lt folgende Optionen Option Beschreibung Aktualisieren Aktualisiert das Log so dass es auf dem neuesten Stand ist Autom ffnet ein Untermen ber das Sie festlegen k nnen wie h ufig Aktualisieren der aktive Logtyp Client File oder Server automatisch aktualisiert werden soll Client Tasks Zeigt den Verlauf der Client Tasks 5 2 2 4 Men Extras Das Men Extras das bei allen Welten gleich ist ist in Men im Kapitel Erste Schritte beschrieben 5 2 2 5 Men Fenster Das Men Fenster das bei allen Welten gleich ist ist in Men im Kapitel Erste Schritte beschrieben 5 2 2 6 Men Hilfe Das Men Hilfe das bei allen Welten gleich ist ist in Men im Kapitel Erste Schritte beschrieben 158 SafeGuard PortProtector 3 30 Benutzerhilfe 5 2 3 Symbolleiste Die Symbolleiste bietet schnellen Zugriff auf haufig genutzte Funktionen Sie wird unterhalb der Fensterleiste angezeigt und enthalt die folgenden Schaltflachen W Abfrage Logs des letzten Tages VIF y Abfragen Aktualisierung alle Aus v S Aktualisieren Es Q Nachfolgend eine kurze Beschreibung der einzelnen Schaltfl chen in der Symbolleiste Schaltfl che Beschreibung Neue Abfrage ffnet ein neues Fenster Abfrageeigenschaften weitere Informationen zu Abfragen finden Sie in Abfragen Men Abfrage Erm glicht Ihnen die Auswahl aus einer Dropdown Liste we
350. le Logs Last 2 days g Server Logs LastWeek 31 SafeGuard PortProtector 3 30 Benutzerhilfe 2 5 2 Steuerungsschaltflachen Zum Offnen Verwalten und Navigieren der Fenster in der Policies Welt und in der Logs Welt stehen mehrere Steuerungsschaltfl chen zur Verf gung Diese Schaltfl chen erscheinen oben rechts in jedem Fenster 32 Startschaltfl chen Gclient Logs iMDatei Logs EG Server Logs oben rechts in Policies oder Logs Fenstern mit Hilfe dieser Schaltfl chen k nnen Sie weitere Fenster ffnen Die Startschaltfl chen sind in der Policies Welt und in der Logs Welt unterschiedlich Sie werden in den jeweiligen Kapiteln erl utert Navigationsschaltfl chen 4 gt mit den Pfeilen nach links und nach rechts k nnen Sie weitere ge ffnete Fenster anzeigen wenn mehr Fenster ge ffnet sind als in der Fensterleiste angezeigt werden k nnen Close Schaltfl che X neben den Navigationsschaltfl chen hiermit schlie en Sie das aktive Fenster das aktive Fenster ist das derzeit angezeigte Fenster dessen Name in der Fensterleiste hervorgehoben ist L sen Schaltfl che hiermit l sen Sie das aktive Fenster das aktive Fenster ist das derzeit angezeigte Fenster dessen Name in der Fensterleiste hervorgehoben ist Eine Erkl rung zum L sen von Fenstern finden Sie in Fenster l sen und andocken Andocken Schaltfl che i wenn ein Fenster gel st wurde erscheint statt der L sen Schaltfl che die Ando
351. le Optimierungen eingebracht einschlie lich Komprimierung der Policies serverseitiges Caching und Snapshots 4 2 2 Verkn pfen von Policies mit Organisationsobjekten Die Benutzeroberfl che f r die Definition der Policies erm glicht die Verkn pfung einer Policy mit AD Novell Objekten Diese Oberfl che l sst die Zuweisung einer Policy zu mehreren Objekten verschiedener Typen zu Zus tzliche Funktionen bestehen f r das Suchen nach Objekten entweder nach Namen oder ber die Navigation durch die Organisationsstruktur Policies k nnen mit einem oder mehreren der folgenden AD Novell Objekte verkn pft werden Dom ne rganisationseinheit OU Gruppe Benutzer Computer Hinweis Mit dem Policy Server k nnen auch Computer die nicht ber AD Novell verwaltet werden nicht in der Dom ne sind mit Policies verkn pft werden und Policy Aktualisierungen direkt vom Management Server erhalten Der Policy Server bringt die Funktion der Policy Zusammenf hrung des SafeGuard PortProtector Clients ein Dank dieser Funktion kann der Benutzer mehrere Policies mit einem Objekt verkn pfen so dass der Client einen vereinten Satz an Berechtigungen aus all diesen Policies durchsetzt Das Zusammenf hren von Policies ist in Zusammenf hren von Policies beschrieben 4 2 3 Verkn pfen einer Policy mit Organisationsobjekten Die Verkn pfung einer Policy mit Organisationsobjekten zur Anwendung der Policy auf diese Objekte besteht aus
352. le beschreibt die Log Tabelle und ihren Inhalt und erl utert wie Sie sie verwalten und darin navigieren k nnen Filtern nach Herkunft des Logdatensatzes beschreibt wie Sie die Log Tabelle so filtern k nnen dass nur Logs f r ausgew hlte Organisationseinheiten Computer oder Benutzer angezeigt werden Abfragen beschreibt die Abfragen die eine weitere Methode zur Filterung der Log Tabelle darstellen Optionen f r aktives Fenster behandelt das Duplizieren L sen und Schlie en eines Fensters Erfassen von Logs beschreibt wie Sie Logs jederzeit erfassen k nnen ohne auf den Ablauf des Logerfassungsintervalls warten zu m ssen Verfolgen des Fortschritts von Client Tasks beschreibt wie der Fortschritt von Client Tasks wie etwa Logerfassung und Policy Aktualisierung verfolgt werden Struktur der Log Tabellen beschreibt den Aufbau der Client Datei und Server Logtabellen 154 SafeGuard PortProtector 3 30 Benutzerhilfe 5 1 bersicht Ereignisse die auf durch SafeGuard PortProtector Clients geschiitzten Endpunkten auftreten werden in Logs bzw Alarmen aufgezeichnet Bei einem Ereignis kann es sich um das Anschlie en oder Abnehmen eines Ger ts die Verbindung zu einem kabellosen Netz Manipulationsversuche oder Administrator Anmeldung etc handeln Diese Ereignisse werden als Client Logs gespeichert Logs Alarme die den Namen einer Datei aufzeichnen die von einem Speicherger t gelesen oder darauf geschri
353. lecommuting Each procedure should address the risk through compensating controls such as policy sanctions asset tracking multi factor authentication oversight and encryption 331 SafeGuard PortProtector 3 30 Benutzerhilfe Consideration 2 Training Effective security awareness and training is an important element of EPHI protection HIPAA security and privacy training programs need to be periodically updated to reflect changes in threats and organizational policies A project to update security awareness and training program should be part of the overall data leakage risk mitigation project Instructions Update annual security awareness training and periodic security awareness reminders to include a discussion of data leakage threats updated policies user actions required behavior prohibited and devices restricted WiFi Threats use on unapproved networks rogue networks hybrid network bridging Mobile Storage Device Threats physical loss data removal malicious code insertion Consideration 3 Incident Response In the event of a security breach resulting in the disclosure of EPHI HIPAA regulated organizations are required to have formally documented security policies procedures and the capability of investigating the incident As the set of possible security incidents expands to include data leakage organizations must update their policies procedures and capabilities to respond to these incidents Instr
354. licht die Policy ver ffentlichen Ausschneiden Entfernt eine Gruppe aus der Ausnahmenliste in den Registerkarten Ger tekontrolle und Speicherkontrolle aktiviert sobald der Ausnahmenliste Gruppen hinzugef gt wurden Kopieren Kopiert eine Gruppe aus der Ausnahmenliste in den Registerkarten Ger tekontrolle und Speicherkontrolle aktiviert sobald der Ausnahmenliste Gruppen hinzugef gt wurden 52 SafeGuard PortProtector 3 30 Benutzerhilfe Schaltfl che Beschreibung Einf gen F gt eine Gruppe in die Ausnahmenliste ein in den Registerkarten Ger tekontrolle und Speicherkontrolle aktiviert wenn in der Ausnahmenliste eine Gruppe ausgeschnitten oder kopiert wurde Policy Zeigt alle Policy Definitionen in einem einzelnen Zusammenfassung Fenster und in druckbarem HTML Format Hilfe Zeigt die Kontexthilfe des aktiven Fensters und erm glicht den Zugriff auf andere Hilfethemen ber das Men Aktion k nnen Sie mit den Optionen Zugelassen oder Gesperrt angeben ob ein Port zugelassen oder gesperrt ist F r USB FireWire PCMCIA und WiFi Ports besteht mit der Option Eingeschr nkt auch die M glichkeit der Einschr nkung Mit Hilfe der Log Kontrollk stchen k nnen Sie angeben ob Portinitialisierungen bzw Portaktivit ten protokolliert und ob bei Portereignissen Alarme ausgel st werden sollen Mit Hilfe der Alarm Kontrollk stchen k nnen Sie angeben ob bei Portereignissen Alarme ausgel st werden sollen Geben
355. licies and performing backups network control to block or restrict access to unnecessary devices See recommended settings in table above Log all administrative events and alert to all tempering events 372 SafeGuard PortProtector 3 30 Benutzerhilfe 10 3 Record at least the following audit trail entries for all system components for leach event User identification Type of event Data and time Success or failure indication Origin of event Identity or name of affected data system component or resource 10 4 Synchronize all SafeGuard Audit log timestamps critical system clocks PortProtector audit are a built in land times log timestamps are function of based on the system SafeGuard time of the endpoint PortProtector To synch system clocks apply controls such las network time protocol to the desktop 10 5 Secure audit trails so Client and Server logs Use the SafeGuard they cannot be are sent to a log PortProtector altered repository and stored recommended on the Management _ settings for logging Server at the defined intervals 12 Maintain a policy SafeGuard See consideration 3 that addresses PortProtector is a Policies and information security technology control Procedures for for employees and contractors that can implement policies and procedures to prevent and detect security violations at the network endpoints instructions on what polic
356. lie en 176 SafeGuard PortProtector 3 30 Benutzerhilfe 5 5 2 4 1 Definieren von Speicherger teeigenschaften Client Logs Auf der Registerkarte Speicherger te definieren Sie die anzuzeigenden Logdatens tze bez glich ihrer Speicherger teattribute In der Log Tabelle erscheinen nur Datens tze die den von Ihnen hier festgelegten Kriterien entsprechen Hinweis Diese Registerkarte ist nur dann aktiviert wenn Sie Speicher im Abschnitt Umfang der Registerkarte Allgemein ausw hlen oder keine Auswahl treffen was der Auswahl von Alle entspricht Im Folgenden werden die Abschnitte dieser Registerkarte beschrieben Nach Speichertypen In diesem Abschnitt k nnen Sie den Speicherger tetyp festlegen der in die Log Tabelle aufgenommen werden soll Sie k nnen mehrere Typen ausw hlen Wenn Sie diesen Abschnitt nicht ausw hlen werden die Datens tze unabh ngig von dem Speicherger tetyp f r den sie gelten angezeigt Nach Gruppenname In diesem Abschnitt k nnen Sie den Namen ganz oder teilweise der Speicherger tegruppe eingeben die in die Log Tabelle aufgenommen werden soll Es werden nur Ger te angezeigt die zu diesen Gruppen geh ren Wenn Sie keinen Gruppenname eingeben werden in der Log Tabelle Datens tze unabh ngig von der Gruppe angezeigt der sie angeh ren Nach Ger t Medium In diesem Abschnitt k nnen Sie die Speicherger te ausw hlen die in die Log Tabelle aufgenommen werden sollen Sie k nnen s
357. lierten Umgebung SafeGuard PortProtector 3 30 Benutzerhilfe Inhalt 1 Einf hrung in SafeGuard PortProtector 6 2 Erste Schritte 22 3 Definieren von Policies 37 4 Verteilen von Policies 130 5 Anzeigen von Logs 154 6 Verwalten von Clients 205 7 Administration 228 8 Endbenutzer Erfahrung 273 9 Appendix A Novell eDirectory Synchronization 311 10 Appendix B Supported Device Types 316 11 Appendix C Supported File Types 318 12 Appendix D CD DVD Media Scanner 324 13 Appendix E Using SafeGuard PortProtector in a HIPAA Regulated Organization 329 14 Appendix F Using SafeGuard PortProtector in a SOX Regulated Organization 347 15 Appendix G Using SafeGuard PortProtector in a PCI Regulated Organization 361 16 Appendix H Using SafeGuard PortProtector in a FISMA Regulated Organization 374 SafeGuard PortProtector 3 30 Benutzerhilfe 1 Einf hrung in SafeGuard PortProtector Uber dieses Kapitel Dieses Kapitel stellt die SafeGuard PortProtector L sung vor beschreibt ihre Funktionsweise und pr sentiert einen Workflow Vorschlag der beschreibt wie Sie das System zum Schutz der Daten in Ihrer Organisation einsetzen k nnen Es enth lt die folgenden Abschnitte Die SafeGuard PortProtector L sung beschreibt die L sung von SafeGuard PortProtector f r die unternehmensweite Sicherheit der Endpunkte durch Kontrolle und berwachung des Zugriffs auf die Ports und Ger te in Ihrem Unternehmen SafeGuard Schutz beschreibt wie Sa
358. ll werden als Ergebnis Ihrer Auswahl im Fenster Policies die Policies angezeigt die mit den ausgew hlten Objekten verkn pft sind Hier w hlen Sie Objekte aus der Organisationsstruktur aus und aus der angezeigten Liste w hlen Sie die zu verkn pfenden Objekte aus Hinweis Bevor Sie Ihre Auswahl in der Struktur treffen m chten Sie sie vielleicht aktualisieren Sie k nnen die Struktur entweder vom SafeGuard PortProtector Management Server aktualisieren oder sie mit Active Directory Novell eDirectory synchronisieren je nachdem auf welches Directory Sie SafeGuard PortProtector eingestellt haben das Directory kann aktueller sein aber es kann auch l nger dauern Die Struktur wird ber das Men Organisationsstruktur unten dargestellt aktualisiert das sich oben in der der Registerkarte Organisationsstruktur befindet Organisationssinktur JTE Struktur aktualisieren Struktur mit Verzeichnis synchronisieren So aktualisieren Sie die Organisationsstruktur im Management Server Klicken Sie im Men Organisationsstruktur auf Struktur aktualisieren Die Struktur wird aktualisiert So aktualisieren Sie die Organisationsstruktur im Directory Klicken Sie im Men Organisationsstruktur auf Struktur mit Verzeichnis synchronisieren Die Struktur wird aktualisiert Dieser Vorgang kann eine Weile dauern So w hlen Sie die gew nschten Organisationseinheiten aus 1 Erweitern Sie bei Bedarf die Organisationsstruktur so
359. lle Speicherger te au er denen die ausdr cklich in der Speicherkontrolle ausgenommen wurden Eigenschaften Portkontrolle eee e Schreiben Lesen Ger tekontrolle 7 Dateitypen Aktion Log Alarm Speicherkontroll n 7 L PROP ERS s Microsoft Office vv a gt i Dateikontralte A ver ffentlichte Dokumente vy a oO WiFi Kontrolle webseiten va u Einstellungen BA Images vy Mo Protokollierung Multimedia vy v Alarme EN Text und Programmcode vy v Endbenutzer Meldungen Ausf hrbare Dateien vy v Mediaverschl sselung 3 Komprimierte Archive va wou SEAN a CD DVD Disk Images vv 7 3 Datenbanken vy v Optionen L 2 Microsoft Outlook vy v Verschl sselung vy u o E Computer Aided Design CAD vy m E FrameMaker va rd Dateitypen Aktion Log Alarm E Andere Dateitypen vy H 8 Zulassen amp Shadow X Sperren Benutzer Administrator UTIMACO Server localhost 1 2 4 1 Dateitypkontrolle Mit der Dateitypkontrolle wird eine u erst zuverl ssige Klassifizierung der Dateien durchgef hrt bei der die Inhalte des Datei Headers anstelle der Dateierweiterung gepr ft werden So wird verhindert dass Benutzer den Schutz einfach durch ndern der Dateierweiterung umgehen k nnen Mit mehr als 180 integrierten Dateierweiterungen die alle g ngigen Anwendungen abdecken und in 14 Dateikategorien eingeordnet sind wird das Definieren einer Policy einfach wie nie zuvor Da sowohl die auf externe Speicher
360. llieren einen Alarm bzw ein Log erzeugen oder diese Dateien speichern k nnen Auch Datei Logs k nnen in der Logs Welt angezeigt werden Bei der Integration mit einer L sung zur Inhaltspr fung eines Drittanbieters k nnen Sie Dateien die auf Speicherger te bertragen werden vor ihrer bertragung berpr fen lassen Eine Policy kann so eingerichtet werden dass Wechselmedienger te einschlie lich der an einem durch diese Policy gesch tzten Computer angeschlossenen CD DVD und externen Festplatten verschl sselt werden so dass nur von der Organisation verschl sselte Ger te benutzt werden k nnen Die von der Organisation verschl sselten Ger te k nnen nur von Computern der Organisation benutzt werden Dadurch wird ein Durchsickern von Unternehmensdaten verhindert Bei Bedarf gibt es Ausnahmen zu dieser Regel siehe Offline Zugriff auf verschl sselte Ger te in Kapitel 9 Endbenutzer Erfahrung In der Policy werden auch Einstellungen wie die H ufigkeit mit der Logs von den SafeGuard PortProtector Clients zum Management Server gesendet werden sowie der Text der Endbenutzer Meldungen etc definiert Sie k nnen eine Policy auf jede Organisationseinheit anwenden die in Ihrem Active Directory oder Novell eDirectory definiert ist 38 SafeGuard PortProtector 3 30 Benutzerhilfe SafeGuard PortProtector verfolgt einen positiven Sicherheitsansatz Das bedeutet dass alle Ger te gesperrt sind sofern Sie keine Policy definier
361. llungen __ EE WERE En nu Protokollierung Wechselspeicherger te vy me Alarme Externe Festplattenlaufwerke vy Bae Oo D Endbenutzer Meldungen CD DVD Laufwerke vy Mediaverschl sselung Diskettenlaufwerke vs o Shadowing Bandlaufwerke vy gt Optionen Benutzer Administrator UTIMACO Server localhost Das FensterSpeicherkontrolle enth lt zwei Registerkarten Die Registerkarte Allgemein auf der Sie angeben welchen Speichertypen der Zugriff auf die internen Plattenverschl sselungseinstellungen erlaubt ist und die Registerkarte Wei e Liste auf der Sie angeben welchen Ger temodellen oder spezifischen Ger ten der Zugriff erlaubt ist 61 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 6 2 Speicherkontrolle Registerkarte General Dieses Fenster enth lt folgende Bereiche Policy f r alle Speicherger te oberer Bereich In diesem Bereich k nnen Sie mit den Optionen Zulassen Einschr nken oder Sperren den Zugriff auf alle Speicherger te zulassen einschr nken oder sperren Wenn Sie Zulassen oder Sperren f r Alle Speicherger te w hlen wird der Rest des Fensters deaktiviert Hier legen Sie Log und Alarmdefinitionen f r die Aktivit t der Speicherger te fest wenn USB FireWire oder PCMCIA Ports zugelassen oder gesperrt sind Sie k nnen auch festlegen ob Sie die Autorun Funktion die bei manchen Speicherger ten wie etwa CD DVD vorhanden ist zulassen oder sperren m chten siehe auch U3 S
362. lows an administrator s role to be limited to a specific group of clients This feature is useful in establishing the boundaries of the sensitive data environment by restricting the administrator s access within defined domains The setting of these roles should be based on the organization s administration model and approach and the support needed for incident response and maintenance Refer to Pre Requisites for Addressing FISMA Compliance Issues for more complete instructions about SafeGuard PortProtector implementation preparation Administrative Password Strength All passwords that protect system components within the sensitive data environment must comply with the organization s formally documented password policies SafeGuard PortProtector Administrative Password strength rules apply passwords of all SafeGuard PortProtector administrators to the SafeGuard PortProtector Management Console uninstall passwords of endpoint clients and user passwords on encrypted devices Formally documented security policies are discussed in more detail in Consideration 1 Policies and Procedures in the Considerations section Based on the organization s password strength policy SafeGuard PortProtector administrative password strength criteria should be defined in the SafeGuard PortProtector to enforce organizational policies Elements of the password strength include minimum length and required character types 384 16 2 3 FISMA SafeGuard Port
363. lt Freigegebene Modelle oberer Bereich Diese Option bezieht sich auf das Modell eines bestimmten Ger tetyps wie etwa ein bestimmtes Modell der HP Drucker z B LaserJet 4050N Freigegebene spezifische Ger te unterer Bereich Diese Option bezieht sich auf spezifische Ger te mit einer eindeutigen Seriennummer d h tats chlich ein spezifisches Ger t Zum Beispiel Der pers nliche Drucker des CEO kann f r den Anschluss freigegeben sein w hrend andere Drucker es nicht sind Freigegebene Ger tegruppen f gen Sie in diesen beiden Bereichen hinzu Auf der rechten Seite der Registerkarte stehen drei Schaltfl chen zur Verf gung Neue Gruppe Mit dieser Schaltfl che f gen Sie eine neue Ger tegruppe hinzu Gruppe bearbeiten L Mit dieser Schaltfl che bearbeiten Sie eine Ger tegruppe Gruppe l schen 9 Mit dieser Schaltfl che l schen Sie eine Ger tegruppe Hinweis Dieses Fenster ist deaktiviert wenn Sie die Option Zulassen oder Sperren in Policy f r alle Ger te auf der Registerkarte Allgemein gew hlt haben Siehe Definieren der Ger tekontrolle Hinweis Falls ein Ger t zu mehreren Gruppen geh rt und diese Gruppen dieselben Berechtigungen haben wird SafeGuard PortProtector die Gruppen willk rlich ausw hlen 58 SafeGuard PortProtector 3 30 Benutzerhilfe Wenn die Gruppen nicht dieselben Log und Alarmeinstellungen haben ist nicht vorhersehbar welche Einstellungen angewendet werden
364. ltfl che um festzulegen ob der Benutzer vollen Zugriff oder schreibgesch tzten Zugriff haben wird Wenn Sie den Benutzerzugriff auf verschl sselte Ger te im Organisationsnetz einschr nken m chten aktivieren Sie das Kontrollk stchen Benutzer m ssen Kennwort eingeben um auf verschl sselte Ger te an gesch tzten Computern zugreifen zu k nnen Diese Option ist nur dann verf gbar wenn Sie sowohl Benutzer d rfen auf verschl sselte Ger te an unverschl sselten Computern zugreifen als auch Verschl sselung des Ger te Volumes als Verschl sselungsmethode gew hlt haben Klicken Sie im Abschnitt Unverschl sselte Ger te auf die Optionsschaltfl che Policy spezifische Einstellungen festlegen W hlen Sie die entsprechende Optionsschaltfl che je nachdem ob Sie unverschl sselte Ger te sperren oder den Benutzern schreibgesch tzten Zugriff auf solche Ger te gew hren m chten W hlen Sie die entsprechende Optionsschaltfl che Verschl sselung des Ger te Volumes Voreinstellung oder Verschl sselung der Ger tepartition um die Methode f r die Gew hrung des Offline Zugriffs auf Wechselspeicherger te durch befugte Benutzer festzulegen Hinweis f r Systemadministratoren Endbenutzer mit einer g ltigen Policy die eine Verschl sselung der Wechselspeicherger te erfordert m ssen ber die Anforderungen in Verschl sselung und Entschl sselung von Wechselspeicherger ten in Kapitel 9 Endbenutzer Erfahrung informiert we
365. m Organisationsstruktur Nach Namen suchen GH temp user A 28 Users Nicht in Dom ne 4 a a Benutzer G Computer 167 SafeGuard PortProtector 3 30 Benutzerhilfe Hinweis Die Organisationsstruktur ist nur anwendbar wenn Sie Active Directory oder Novell eDirectory einsetzen Andernfalls wird nur eine Gruppe in der Struktur angezeigt Nicht in Domine Durch Auswahl dieser Gruppe werden alle Computer ausgewahlt So wahlen Sie die gewiinschten Organisationseinheiten aus 1 Erweitern Sie die Organisationsstruktur ggf so dass Organisationseinheiten auf niedrigeren Ebenen angezeigt werden 2 W hlen Sie die gew nschte Dom ne oder Organisationseinheiten durch Aktivieren der entsprechenden Kontrollk stchen aus 3 Wahlen Sie unten in der Registerkarte Organisationsstruktur den Typ der anzuzeigenden Objekte aus der Dropdown Liste aus v a Benutzer a Computer 4 Klicken Sie unten auf der Registerkarte Organisationsstruktur auf LOS Ed Die Logs die jetzt in der Log Tabelle angezeigt werden stammen ausschlie lich von Clients die zu dem in der Struktur gew hlten Element geh ren 5 4 1 1 Aktualisieren der Organisationsstruktur Bevor Sie Ihre Auswahl in der Struktur treffen m chten Sie sie vielleicht aktualisieren Sie k nnen die Struktur entweder im SafeGuard PortProtector Management Server aktualisieren oder sie mit Active Directory Novell eDirectory synchronisieren das Di
366. m chten indem Sie die Optionsschaltfl che Allgemeine Einstellungen verwenden aktivieren um die allgemeinen Policy Einstellungen anzuzeigen oder zu bearbeiten klicken Sie oben im Fenster auf Allgemeine Policy Einstellungen ffnen So definieren Sie Alarmeinstellungen 1 Im Abschnitt Client Events geben Sie an f r welche Administrations und Manipulationsereignisse eine Logs Alarme generiert werden sollen ignorieren Sie diesen Schritt wenn Sie nicht die globalen Policy Einstellungen definieren 2 Aktivieren Sie die Optionsschaltfl che Policy spezifische Einstellungen festlegen Falls zuvor Alarmziele definierte wurden werden sie in der Zielliste angezeigt Ansonsten ist die Liste leer ignorieren Sie diesen Schritt wenn Sie globale Policy Einstellungen definieren 3 Klicken Sie auf ndern Das Fenster Alarmziele wird angezeigt in dem alle verf gbaren Alarmziele aufgelistet werden die zuvor unter Alert Destination Repository definiert wurden siehe Alarmziel Speicher im Kapitel Administration x Markieren Sie die gew nschten Ziele Details Um ein Ziel hinzuzuf gen zu bearbeiten oder zu l schen ffnen Sie den Alarmziel Speicher 4 Aktivieren bzw deaktivieren Sie die Ziele wie gew nscht und klicken Sie auf OK Hinweis Informationen zum Hinzuf gen Bearbeiten und L schen eines Ziels finden Sie in Alarmziel Speicher im Alarmziel Speicher im Kapitel Administration 3 3 12 Schritt 12 Endbenutz
367. m Management Server bedient werden Wenn diese Zahl die Anzahl der lizenzierten Stationen berschreitet m ssen Sie eine neue Lizenz erwerben 271 SafeGuard PortProtector 3 30 Benutzerhilfe 7 9 1 3 Importieren einer externen Evaluierungslizenz Sie haben die M glichkeit eine externe Evaluierungslizenz zu importieren So importieren Sie eine externe Evaluierungslizenz 1 W hlen Sie im Men Extras die Option Administration 2 Wahlen Sie Lizenzierung und klicken Sie auf Lizenzen aktualisieren Das Dialogfeld Lizenz aktualisieren wird angezeigt Lizenz aktualisieren x Um eine Lizenz f r SafeGuard PortProtector zu erhalten m ssen Sie den Fingerprint Ihres Server Computers angeben Management Server version 3 3 55031 46115 Fingerprint des Server Computers E248 4EA3 Bitte den Server Lizenzschl ssel eingeben Benutzername E Mail Adresse Lizenz rLizenzeigenschaften Benutzername Keine E Mail Adresse Keine Zeitraum 30 Tage Pl tze 10 Mit Unterst tzung f r Datei Shadowing Mit Unterst tzung f r Mediaverschl sselung Aktualisieren Abbrechen 3 Klicken Sie auf Lizenz importieren 4 W hlen Sie die Lizenzdatei lic unter Lizenz aus einer Datei importieren 272 SafeGuard PortProtector 3 30 Benutzerhilfe 8 Endbenutzer Erfahrung Uber dieses Kapitel SafeGuard PortProtector Client sollte auf den Computer Ihrer Organisation installiert werden
368. m your computer These files will be burned on the encrypted disc Note close the volume window before you continue with the burning process Click Next to continue lt Back next gt Cancel Klicken Sie auf Volume ffnen und f gen Sie Dateien von Ihrem Computer zur verschl sselten Disk hinzu 5 Klicken Sie auf Weiter Das folgende Fenster wird angezeigt Create Encrypted Disc oj xj Burning Settings Burner Drive SR GUE Tat org el Burner Speed te disc Refresh J verify data after burning Burn Status Status not started rm Back Gancel 309 SafeGuard PortProtector 3 30 Benutzerhilfe 6 Wahlen Sie das Brenner Laufwerk und die Brenner Geschwindigkeit f r die CD Klicken Sie auf Aktualisieren um CD oder Brenner zu ndern W hlen Sie Daten nach dem Brennen berpr fen wenn Sie pr fen m chten ob sich die Daten auf der Disk befinden 7 Klicken Sie auf Brennen um den Vorgang zu starten Der Fortschritt wird im Brennfortschritt angezeigt Hinweis Unter Windows 2000 ist das Verhalten anders Wenden Sie sich an Safend um weitere Informationen zu erhalten 8 Klicken Sie auf Finish um den Assistenten zu beenden 8 8 3 Offline Zugriff auf verschl sselte CD DVD Der Zugriff auf eine verschl sselte CD DVD variiert abh ngig davon ob Sie Administratorrechte haben oder nicht 310 SafeGuard PortProtector 3 30 Benutzerhilfe 9
369. martdrive und Autorun Kontrolle in Kapitel 1 Einf hrung in SafeGuard PortProtector Speichertypen mittlerer Bereich Wenn Sie die Option Einschr nken f r Alle Speicherger te wie im vorangegangenen Absatz beschrieben ausgew hlt haben k nnen Sie mit dieser Option den Zugriff auf ein Speicherger t anhand seines Typs zulassen oder einschr nken z B Wechselmedien oder CD DVD Laufwerke Die zur Auswahl stehenden Ger tetypen sind in SafeGuard PortProtector integriert Hierzu geh ren Wechselmedien Gilt f r alle Plug and Play Speicherger te wie etwa Disk on Keys Digitalkamera portable MP3 Player etc Externe Festplatten CD DVD Laufwerke Diskettenlaufwerke Bandlaufwerke Mit Hilfe der Wei en Liste k nnen Sie mit den Optionen Freigegebenes Modell oder Spezifische Ger te zugelassene Modelle bzw spezifische Ger te hinzuf gen Eine Beschreibung der unterst tzten Ger tetypen finden Sie im Anhang unter Supported Device Types Eine Beschreibung f r die Definition der Optionen in diesem Fenster finden Sie in Definieren der Speicherkontrolle 62 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 6 3 Speicherkontrolle Registerkarte Wei e Liste SafeLuard PortProtector Management Console Datei Bewrbeten Anschk Etras Fenster tie BEN By Policies m Logs 7 Clients lj xi tmPolices Neu Hl Polices Clanegriere Alle zdassen Keine Proveheller Unbenannt 3 tx fae d m
370. mit der rechten Maustaste auf die zu bearbeitende Abfrage 2 W hlen Sie im Kontextmen die Option Bearbeiten Das Fenster Abfrageeigenschaften wird angezeigt 3 Nehmen Sie die gew nschten nderungen vor So speichern Sie eine bearbeitete Abfrage 1 Speichern einer Abfrage unter ihrem Namen 2 Klicken Sie auf Speichern um die ge nderte Abfrage unter ihrem bestehenden Namen zu speichern 3 Speichern der ge nderten Abfrage als eine neue Abfrage 4 Klicken Sie auf Speichern unter Das Fenster Abfrage speichern wird angezeigt 5 Geben Sie im Fenster Abfrage speichern den gew nschten Abfragenamen zwingend erforderlich und eine Beschreibung optional ein und klicken Sie auf OK Die Abfrage wird gespeichert und ab diesem Zeitpunkt k nnen Sie sie im Symbolleistenmen Abfrage ausw hlen 192 SafeGuard PortProtector 3 30 Benutzerhilfe 5 5 7 4 Loschen einer Abfrage Sie konnen Abfragen l schen fiir die Sie keine Verwendung mehr haben So l schen Sie eine Abfrage 1 Wahlen Sie im Fenster Manage Queries die zu l schende Abfrage aus der Abfrageliste aus mit Hilfe der Strg bzw Umschalttaste k nnen Sie mehrere zu l schende Abfragen selektieren 2 Klicken Sie auf L schen Ein Best tigungsfenster wird angezeigt 3 Klicken Sie auf Ja um die Abfrage n zu l schen oder auf Nein um den Vorgang abzubrechen ODER 1 Klicken Sie in der Abfrageliste mit der rechten Maustaste auf die zu l schende Abfrage vor d
371. mplying with policies Modifying the end user Imessages to specifically Imention SOX security will assist in the security awareness of your organization 357 SafeGuard PortProtector 3 30 Benutzerhilfe Setting Standard SOX Aggressive SOX Rationale Approach Approach Encryption Do not allow Do not allow users to It is important to restrict the users to access access encrypted use of EPHI to systems with encrypted devices devices at home adequate protection measures at home Home computers generally Approve read only jack HIPAA required security Approve read access for non K ntr ls only access for encrypted devices Inon encrypted Setting read only for non devices encrypted devices allows the flexibility of importing information without exposing IEPHI to the risk of disclosure from loss or theft of a non encrypted device Options Use a different Use a different In order to enforce the password from password to uninstall principle of separation of duty the client SafeGuard and general password security administration PortProtector use a different password for password to ar the uninstall process of uninstall Full visibility on SafeGuard PortProtector SafeGuard endpoints Client than the client PortProtector administration password Full visibility on Consistent with the advice endpoints under end user messages it is best to let users know about the protections SafeGuard PortProtec
372. ms and data The specific implementation and configuration of SafeGuard PortProtector requires an accurate knowledge of objects SafeGuard PortProtector is to protect the policies it is to enforce and the administrative roles that will maintain the SafeGuard PortProtector software The following activities are an important element of the preparation to install and configure SafeGuard PortProtector the implementation of appropriate internal controls 350 SafeGuard PortProtector 3 30 Benutzerhilfe Preparation 1 Determine Endpoint Protection Needs SafeGuard PortProtector provides the ability to protect stored data for uncontrolled export on removable devices at endpoints On the other hand your organization has a variety of business needs that will require connectivity to external storage devices wireless networks and other possible threats In preparation for a SafeGuard PortProtector deployment your organization should determine the protection and business needs of the endpoints Instructions Update endpoint inventory and classification Be sure that you are aware of all the endpoints within your network that store process or transmit sensitive data This can be done through a manual inventory process of through the use of directory services Classification is based on your data classification policy and includes a classification of endpoints that handle sensitive data Scan each endpoint to detect port device and Wi Fi usage
373. must be addressed prior to implementing SafeGuard PortProtector security features and settings It contains the following sub sections Foundations translates business objectives into aPCI DSS compliant context Considerations describes the information security threats that must be addressed within the context of the established business mission Preparations describes the activities that should be performed before configuring SafeGuard PortProtector for protection The second section SafeGuard PortProtector PCI DSS Settings section provides specific SafeGuard PortProtector setting guidance for the policy user and administrator parameters within the SafeGuard PortProtector product It contains the following sub sections PCI DSS Policy Settings describes the setting and configuration of SafeGuard PortProtector Policies for implementation within a PCI DSS environment Other SafeGuard PortProtector PCI DSS Settings describes the setting and configuration of SafeGuard PortProtector Settings that are not a part of the policy according to the business objectives and the environment of the PCI organization PCI DSS SafeGuard PortProtector Feature Mapping provides additional advice on how SafeGuard PortProtector helps to meet PCI DSS Security Rule requirements 361 SafeGuard PortProtector 3 30 Benutzerhilfe 15 1 Pre Requisites for Addressing PCI DSS Compliance Issues SafeGuard PortProtector provides many security features
374. n Hinzuf gen von Anmerkungen zu den Medieneigenschaften weiter unten erl utert So best tigen Sie Ihre Auswahl 1 Um Anmerkungen zu den Eigenschaften eines Mediums hinzuzuf gen doppelklicken Sie auf das Medium ODER Klicken Sie mit der rechten Maustaste auf das Medium und klicken Sie dann auf Bearbeiten Das Fenster Medieneigenschaften wird angezeigt Medieneigenschaften E Volumename VMware Tools Typ cD Fingerprint 964D9E1B53 Gr e 31 Anmerkungen E 7 Weitere Anleitungen hierzu finden Sie in Hinzuf gen von Anmerkungen zu den Medieneigenschaften weiter unten 2 Zur Best tigung der Medienauswahl klicken Sie auf Fertig stellen Oder klicken Sie auf Zur ck um zum vorherigen Stadium zur ckzukehren 121 SafeGuard PortProtector 3 30 Benutzerhilfe 3 5 3 4 1 1 Hinzuf gen von Anmerkungen zu den Medieneigenschaften Geben Sie im Fenster Medieneigenschaften die gew nschten Anmerkungen ein und klicken Sie auf OK 3 5 4 Weitere Einstellungen f r Mediengruppen Nachdem Sie die gew nschten Medien zu einer Gruppe hinzugef gt haben m ssen Sie noch einige Einstellungen definieren 3 5 4 1 Log and Alarmeinstellungen So definieren Sie Log and Alarmeinstellungen Markieren Sie bei Bedarf f r jede Gruppe die Kontrollk stchen Log und Alarm Hinweis Aus diesem Grund ist Aktion f r die Gruppe Freigegebene Medien immer auf Schreibgesch tzt gesetzt 3 5 4 2 Berechtigungen f r Me
375. n auch Schreiben zugelassen Wenn die Daten auf einem in der wei en Liste aufgef hrten Medium jedoch ge ndert werden wird sein Fingerprint widerrufen und es ist nicht mehr freigegeben wenn es auf einem mit Eingeschr nkt eingeschr nkten CD DVD Laufwerk benutzt wird 113 SafeGuard PortProtector 3 30 Benutzerhilfe Dieser Abschnitt beschreibt wie Sie ein freigegebenes CD DVD Medium aus der Scanned Media Datei hinzuf gen die Sie mit dem Media Scanner siehe Appendix D CD DVD Media Scanner mit Hilfe des Assistenten Freigegebene Medien hinzuf gen siehe Hinzuf gen eines Ger ts mit Hilfe des Assistenten erstellt haben Freigegebene Medien werden der wei en Liste ber die folgenden Schritten hinzugef gt Hinzuf gen einer Mediengruppe Hinzuf gen einer Mediengruppe mit Hilfe des Assistent Hinzuf gen von Log and Alarmeinstellungen Speichern der Policy 3 5 1 Hinzuf gen von Mediengruppen hnlich wie bei freigegebenen Modellen und spezifischen Ger ten werden auch freigegebene Medien in Gruppen angeordnet damit Sie zusammengeh rige Medien mit denselben Berechtigungen leichter verwalten k nnen z B alle Medien die von der R amp D Gruppe benutzt werden Bevor Sie Medien hinzuf gen k nnen m ssen Sie neue Mediengruppen hinzuf gen Hinweis Bevor Sie Mediengruppen zur Ausnahmenliste hinzuf gen m ssen Sie die CD DVD Laufwerke auf Einschr nken in der Registerkarte Speicherkontrolle Allgemein setzen
376. n Bereichen f gen Sie freigegebene Speicherger tegruppen hinzu In jeder Gruppe Sie k nnen Folgendes definieren Aktion Zulassen Verschl sseln Schreibgesch tzt f r Mediengruppen nicht relevant Berechtigungen Disk on Key Smart Funktionalit t oder Dateikontrolle f r Mediengruppen nicht relevant Logeinstellungen Alarmeinstellungen Auf der rechten Seite der Registerkarte stehen drei Schaltfl chen zur Verf gung Neue Gruppe gt hiermit f gen Sie eine neue Ger tegruppe hinzu Gruppe bearbeiten L hiermit bearbeiten Sie eine Ger tegruppe Gruppe l schen hiermit l schen Sie eine Ger tegruppe 63 SafeGuard PortProtector 3 30 Benutzerhilfe Hinweis Dieses Fenster ist deaktiviert wenn Sie die Option Zulassen oder Sperren in Policy f r alle Speicherger te auf der Registerkarte Allgemein gew hlt haben Eine Beschreibung f r die Definition der Einstellungen in diesem Fenster finden Sie in Definieren der Speicherkontrolle 3 3 6 4 Definieren der Speicherkontrolle So definieren Sie die Speicherkontrolle 1 Klicken Sie im Fenster Speicherkontrolle auf die Registerkarte General sofern sie nicht aktiv ist 2 Im Abschnitt Policy f r alle Speicherger te geben Sie f r Alle Speicherger tes mit Zulassen Zugelassen Einschr nken Eingeschr nkt oder Sperren Gesperrt an ob alle Speicherger te zugelassen eingeschr nkt oder gesperrt sind indem Sie die entsprechende Option in der D
377. n Einschr nken der Policy auf Benutzer Computer beschrieben 5 Speichern Sie die Policy Die Policy wird auf den Clients aktualisiert wenn die Clients ihre Policy gem dem von Ihnen in den Optionen der Policy festgelegten Intervall aktualisieren siehe Schritt 17 Optionen definieren im Kapitel Definieren von Policies 139 SafeGuard PortProtector 3 30 Benutzerhilfe 4 2 4 Einschranken der Policy auf Benutzer Computer Mit dem Policy Server lassen sich Policies mit Gruppen Organisationseinheiten und Dom nen sowie mit bestimmten Computern und Benutzern verkn pfen Wird eine Policy mit Gruppen Organisationseinheiten und Dom nen verkn pft die sowohl Benutzer als auch Computer enthalten k nnen Sie die Verkn pfung auf die Computer bzw Benutzer innerhalb dieses Objekts einschr nken Dies ist normalerweise dann n tzlich wenn Sie eine Computer Standardpolicy f r die gesamte Organisation erstellen In solchen F llen wir die Policy mit der gesamten Dom ne verkn pft und derart eingeschr nkt dass sie nur f r Computer gilt So schr nken Sie eine Policy auf Benutzer Computer ein 1 Klicken Sie auf die Schaltfl che Optionen rechts neben der Leiste Policy mit Organisationsobjekten verkn pfen um das folgende Fenster anzuzeigen Optionen der Policy Yerkn pfung x Policy Verknupfungen I Die Policy gilt f r folgende Organisationsobjekte Benutzer und Computer Nur Benutzer Nur Computer Diese Optionen
378. n Schl ssel auf keinem anderen Computer verwenden Wenn Sie Ihren Management Server auf einen anderen Computer migrieren m chten wenden Sie sich bitte an Ihren H ndler oder an den Sophos Support mailto support sophos com 270 2 SafeGuard PortProtector 3 30 Benutzerhilfe Schritt 2 Lizenzschliissel eingeben Gehen Sie folgenderma en vor 1 5 6 Geben Sie im Feld Benutzername Ihren Benutzernamen so ein wie er in dem Ihnen zugesandten Lizenzschliissel erscheint Geben Sie im Feld E Mail Ihre E Mail Adresse so ein wie sie in dem Ihnen zugesandten Lizenzschliissel erscheint Geben Sie im Feld Lizenz den Lizenzschliissel ein den Sie von Sophos erhalten haben Klicken Sie auf Bestatigen Die Lizenzeigenschaften werden angezeigt und geben die aktualisierten Lizenzdaten an wie etwa die zul ssige Anzahl Stationen und den G ltigkeitszeitraum dieser Lizenz In einigen F llen wird eine Warnmeldung angezeigt nachdem Sie auf Best tigen geklickt haben Diese Meldung weist auf einen ung ltigen oder abgelaufenen Lizenzschl ssel hin berpr fen Sie die Lizenzdaten und stellen Sie sicher dass sie richtig sind Klicken Sie auf Aktualisieren um die die Lizenz zu aktualisieren Hinweis Sobald Sie die Lizenz aktualisiert haben wird die vorherige Lizenz vollst ndig entfernt Seien Sie deshalb bei der Eingabe der Lizenzdaten vorsichtig 7 9 1 2 Lizenznutzung Dieses Feld zeigt die Anzahl der Clients die derzeit vo
379. n Server und stellt die Verbindung zu ihm her Hinweis Management Consoles stellen die Verbindung zu dem Server her von dem aus sie urspr nglich installiert wurden 16 SafeGuard PortProtector 3 30 Benutzerhilfe 1 4 SafeGuard PortProtector Management Console Die SafeGuard PortProtector Management Console ist ein vereinheitlichtes Managementtool mit dem Ihre IT bzw Sicherheitsabteilung Berechtigungen ber Policies definieren Clients verwalten und Port Ger te und Netzwerknutzung in Ihrer Organisation berwachen kann 1 4 1 So funktioniert es Die Management Console wird mit Ihrem Active Directory oder Novell eDirectory integriert so dass Sie Policies einfach mit den Computern und Benutzern in Ihrem Netz verkn pfen k nnen Die Verteilung der Policies erfolgt normalerweise direkt von den Servern an die Endpunkte ber SSL Weitere M glichkeiten sind die bew hrten Mechanismen f r die Gruppenpolicy oder Tools von Drittanbietern die Sie evtl in Ihrem Netz einsetzen Die SafeGuard PortProtector Management Console wird w hrend der Serverinstallation automatisch auf demselben Computer wie der SafeGuard PortProtector Management Server installiert Bei Bedarf kann sie auf weiteren Computern installiert werden Anschlie end k nnen Sie Policies definieren wie in Kapitel 3 Definieren von Policies beschrieben Im Anschluss an die Verteilung der Policies und deren Anwendung auf den Endpunkten k nnen Sie die Logeintr g
380. n Sie das aktive Fenster Klicken Sie im Men Fenster auf L sen ODER Klicken Sie oben rechts im aktiven Fenster auf die L sen Schaltfl che ODER 1 Klicken Sie in der Fensterleiste mit der rechten Maustaste auf den Namen des zu l senden Fensters Das ausgew hlte Fenster wird aktiv und es wird ein Men angezeigt 2 Klicken Sie im Men auf Fenster l sen Das aktive Fenster ist jetzt separat und unabh ngig Sie k nnen ein gel stes Fenster bei Bedarf wieder andocken So docken Sie ein gel stes Fenster an Klicken Sie oben rechts im aktiven Fenster auf die Andocken Schaltfl che Das Fenster wird wieder in seiner Welt angedockt 33 SafeGuard PortProtector 3 30 Benutzerhilfe 2 5 3 3 Fenster schlie en So schlie en Sie das aktive Fenster Klicken Sie auf die Schlie en Schaltfl che X die sich in der oberen rechten Ecke des Fensters befindet ODER 1 Klicken Sie in der Fensterleiste mit der rechten Maustaste auf den Namen des zu schlie enden Fensters Das ausgew hlte Fenster wird aktiv und es wird ein Men angezeigt 2 Klicken Sie im Men auf Fenster schlie en Das Fenster wird geschlossen 2 5 3 4 Zwischen ge ffneten Fenstern navigieren In manchen Situationen sind mehr Fenster ge ffnet als in der Fensterleiste angezeigt werden k nnen Sie k nnen dann nach rechts oder links zum gew nschten Fenster navigieren So navigieren Sie zwischen ge ffneten Fenstern Klicken Sie auf die Rechts oder
381. n Sie die interne Datenbank von SafeGuard PortProtector benutzen und die Plattenkapazit t f r die gew nschte Datenbanktiefe zu gering ist wird ein Notl schen durchgef hrt bei dem die ltesten Datens tze gel scht werden um Platz zu schaffen Falls dies geschieht wird im Fenster Datenbankpflege und in Abschnitt Datenbank in der Home Welt eine Nachricht angezeigt Hiermit werden Sie informiert dass die Datenbank derzeit wegen geringer Plattenkapazit t nicht die erforderlichen Tage an Tiefe enth lt und Sie weitere Plattenkapazit t zuordnen oder die Tiefenanforderungen ndern sollten 7 7 1 3 Definieren der Netzanteile f r Datei Shadowing Dieser Abschnitt beschreibt wie Sie den Netzanteil definieren der als zentraler Speicher f r Shadow Dateien genutzt werden soll Ein Administrator kann ein oder mehrere Netzsegmente als zentralen Speicher f r das File Shadowing definieren Wenn mehrere Netzsegmente definierte werden wird ein Lastausgleichsalgorithmus genutzt um sicherzustellen dass die Last auf alle Teile gleichm ig verteilt wird Hinweis hnlich wie bei der Protokollierung werden Shadow Dateien lokal auf dem gesch tzten Computer gespeichert bis sie auf einen Server geleitet werden Weitere Informationen hierzu finden Sie in Definieren der Einstellungen f r Datei Shadowing 262 SafeGuard PortProtector 3 30 Benutzerhilfe So konfigurieren Sie die Netzanteile f r das File Shadowing 1 Klicken Sie im Bereich Datenb
382. n Sie eine zuvor definierte Abfrage ber das Fenster Verwalten Abfragen aus 1 W hlen Sie im Fenster Manage Queries die auszuf hrende Abfrage aus der Abfrageliste aus 2 Klicken Sie auf Ausf hren Die Abfrage wird f r die Log Tabelle angewandt ODER 1 Klicken Sie in der Abfrageliste mit der rechten Maustaste auf die auszuf hrende Abfrage 2 Klicken Sie im Kontextmen auf Ausf hren Die Abfrage wird auf die Log Tabelle angewandt ODER Doppelklicken Sie in der Abfrageliste auf die auszuf hrende Abfrage Die Abfrage wird auf die Log Tabelle angewandt Hinweis Wenn die auszuf hrende Abfrage zu einem anderen Typ als zur aktiven Log Tabelle geh rt wenn z B die aktive Log Tabelle Client Logs zeigt und die Abfrage f r Server Logs gilt wird ein neues zus tzliches Log Fenster ge ffnet in dem die neue Log Tabelle angezeigt wird 5 5 9 Aufheben der Abfrage Wenn Sie die Anwendung der Abfrage aufheben und wieder zur Standardanzeige der Log Tabelle zur ckkehren m chten w hlen Sie All Logs im Men Abfragen Die Log Tabelle zeigt jetzt alle Logs 194 SafeGuard PortProtector 3 30 Benutzerhilfe 5 6 Optionen f r aktives Fenster Das aktive Fenster kann dupliziert gel st und geschlossen werden Diese Optionen sind in Optionen f r aktives Fensterim Kapitel Erste Schritte beschrieben 5 7 Erfassen von Logs Mit dieser Option k nnen Sie Logs von einem gesch tzten Computer au erhalb der geplanten Erfassungszeiten
383. n anwenden 7 So legen Sie weitere Berechtigungen f r CD DVD fest Klicken Sie auf die Schaltfl che Weitere Berechtigungen LJ fiir CD DVD Das Fenster Berechtigungen fiir CD DVD wird angezeigt Berechtigungen fiir CD D D r Dateikontrolle Die Dateikontrolle beschr nkt die Daten die auf ein Speicherger te Medium geschrieben bzw davon gelesen werden ein Mit dieser Option k nnen Sie bestimmte Ger te z B verschl sselt Ger te von den Einschr nkungen durch die Dateikontrolle befreien gt Dateikontrolle f r Dateien die auf Speicherger te geschrieben werden Dateikontrolle fiir Dateien die von Speichergeraten gelesen werden Dateitypkontrolle anwenden Log Alarm und Shadowing Definitionen anwenden Anmerkungen F r Dateien die auf eine CD DVD geschrieben d h gebrannt werden ist nur die Dateiprotokollierung verf gbar Die Dateikontrolle gilt nicht f r Medien in der wei en Liste Nicht unterst tzte Brennformate sperren Anleitungen zur Vergabe von Berechtigungen finden Sie in Festlegen der Berechtigungen f r CD DVD 66 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 6 4 1 1 Festlegen der Berechtigungen fur Wechselspeicher Mit diesen Berechtigungen k nnen Sie Wechselspeicherger te von der Dateikontrolle befreien siehe Schritt 7 Dateikontrolle definieren in Kapitel 3 Definieren von Policies und nach die Nutzung der Smart Funktionalit t sp
384. n der Log Tabelle Die Log Tabelle wird automatisch in vordefinierten von Ihnen festgelegten Intervallen oder bei einer Ad hoc Anforderung aktualisiert Bei der Aktualisierung werden neue Daten erfasst die auf dem Management Server angesammelt wurden und dann in der Log Tabelle entsprechend der aktuellen Sortiereinstellungen der Tabelle angezeigt So aktualisieren Sie die Log Tabelle Klicken Sie im Men Ansicht auf Aktualisieren oder klicken Sie auf das Symbol Aktualisieren amp in der Symbolleiste Der Log Tabelle werden neue Logdatens tze hinzugef gt So legen Sie Intervalle f r die automatische Aktualisierung fest Wahlen Sie das Intervall aus der Dropdown Liste Refresh every in der Symbolleiste ODER 1 W hlen Sie im Men Ansicht die Option Automatisch aktualisieren Es wird ein Untermen angezeigt 2 Klicken Sie im Untermen auf das gew nschte Aktualisierungsintervall Von diesem Moment an wird die Tabelle im ausgew hlten Intervall aktualisiert Hinweis Bei der Anzeige ab Seite 2 aufw rts in der Log Tabelle ist die automatische Aktualisierung deaktiviert 162 SafeGuard PortProtector 3 30 Benutzerhilfe 5 3 3 Optionen f r Logdatensatze In der Log Tabelle stehen f r die Logdatens tze mehrere Optionen zur Verf gung Diese Optionen erm glichen Ihnen Folgendes Anzeige der Datensatz Eigenschaften ffnen der Policy mit der ein Logdatensatz verkn pft ist Kopieren von USB Ger tedaten in die Zwi
385. n eingeordnet werden SafeGuard PortProtector ist im Allgemeinen in der Lage fast jedes Ger t zu klassifizieren Einige Ger te passen jedoch in keine der integrierten Ger tekategorien oder verf gen nicht ber den richtigen Mechanismus der ihre Klassifizierung durch SafeGuard PortProtector oder das Betriebssystem selbst erm glicht Zu diesem Zweck bietet SafeGuard PortProtector eine spezielle Bearbeitungsm glichkeit f r nicht klassifizierte Ger te wie in diesem Abschnitt beschrieben Normalerweise m chte eine Organisation nicht dass unbekannte nicht klassifizierte Ger te ber die eingeschr nkten Ports an ihren Endpunkten angeschlossen werden weil das eine Sicherheitsverletzung darstellen k nnte W hrend der anf nglichen Einsatzphasen von SafeGuard PortProtector ist es jedoch m glich das eine Organisation bei Bedarf den Zugriff von nicht klassifizierten Ger ten zeitweilig zulassen m chte Auf diese Weise wird ein reibungsloser bergang zu einer sichereren Arbeitsweise erm glicht ohne nicht klassifizierte Ger te verfr ht zu sperren bevor Sie in eine Policy bernommen werden k nnen von der sie explizit zugelassen werden Daher m chte eine Organisation unter Umst nden anfangs zulassen dass nicht klassifizierte Ger te weiterhin auf die Ports der Organisation zugreifen wobei jeder Zugriff protokolliert wird Der Administrator kann dann die die SafeGuard PortProtector Logs abfragen und erkennen welche nicht klassifizi
386. n employs or executable automated mechanisms to scripts assist in the reporting of security incidents MA 5 Maintenance Personnel SafeGuard Open the The organization allows PortProtector Administration only authorized personnel enables role based window In to perform maintenance management and General under on the information domain Users system partitioning It is Management click possible to define the Role Based different Advanced administrative option and permissions for define roles and different system domain partitions functions and only as needed for specific parts of the network MP 2 1 Media Access The SafeGuard In security organization employs PortProtector policies define automated mechanisms to security policies which devices are restrict access to media storage areas and to audit access attempts and access granted provide granular policies to set in depth permissions for device access and allow only necessary permissions Logs can be set to detect any unauthorized usage attempt allowed and blocked or use the built in FISMA policy with recommended pre configured permissions 392 SafeGuard PortProtector 3 30 Benutzerhilfe Requirement Requirement Description Relevant SafeGuard How to apply Number PortProtector SafeGuard Features PortProtector policies for FISMA compliance MP 5 1 2 Media Transport The SafeGuard In security organization
387. n k nnen Policy aktualisiert Diese Meldung wird angezeigt wenn dem Endpunkt eine neue Policy zugewiesen wird Format Encrypted Device Diese Meldung wird angezeigt wenn die Policy ein verschl sseltes Wechselspeichermedium fordert und ein unverschl sseltes Ger t entdeckt wird siehe Verschl sseln eines Ger ts in Kapitel 9 Endbenutzer Erfahrung Hardware Keylogger gesperrt Diese Meldung wird angezeigt wenn versucht wird einen Hardware Keylogger anzuschlie en und Hardware Keylogger auf Gesperrt gesetzt sind 83 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 13 Schritt 13 Mediaverschlisselung definieren Die Verschliisselungseinstellungen bestimmen das Verhalten des Systems wenn die Berechtigungen eines Wechselspeicherger ts eine Verschl sselung erforderlich machen Die Verschliisselungseinstellungen werden im Einstellungsfenster Mediaverschliisselung definiert So ffnen Sie das Einstellungen Fenster Mediaverschl sselung Klicken Sie auf der linken Seite des Hauptfensters im Men Einstellungen auf Mediaverschl sselung Das Einstellungen Fenster Mediaverschl sselung wird angezeigt SafeGuard PortProtector Management Console _lelx Datei Bearbeiten Ansicht Extras Eenster Hilfe a t N 4 RES a Qa Policies WW tra Policies Neu Ei Policies E integriert Alle zulassen Keine Protokolier Unbenannt 3 x Bea H Xhe G Allem Verwenden Sie die allgemeinen Definitionen f r die Verschl
388. n von Policies im Kapitel Verteilen von Policies Wenn Sie diese Option nutzen k nnen die anderen Optionen weiterhin ausgew hlt werden Verwenden Sie die anderen Verteilungsmethoden jedoch nur zus tzlich aus Gr nden der Abw rtskompatibilit t Active Directory Wahlen Sie die Option Active Directory verwenden um anzugeben dass SafeGuard PortProtector Policies als GPOs gespeichert und dann automatisch mit Hilfe des standardm igen Microsoft GPO Verteilungsmechanismus verteilt werden In diesem Fall erzeugt SafeGuard PortProtector automatisch jede Policy die Sie in der Policies Welt definieren als GPO in Active Directory Diese Policies werden dann automatisch von Active Directory an die Organisationseinheiten verteilt denen die GPOs zugewiesen wurden Weitere Informationen finden Sie im Kapitel Verteilen von Policies 246 SafeGuard PortProtector 3 30 Benutzerhilfe Hinweis Wenn Sie zuvor die Option Policies an freigegebenen Ordner ver ffentlichen weiter unten beschrieben ausgew hlt haben und dann die Option Active Directory verwenden w hlen und die Option Freigegebener Ordner deaktivieren werden alle vorhandenen Policies nach Active Directory kopiert Ab diesem Zeitpunkt werden alle Policies nur von Active Directory gehandhabt Dieser Vorgang kann ein paar Augenblicke dauern Die folgenden Parameter stehen zur Verf gung wenn Sie die Policy Verteilung in Active Directory konfigurieren Standardpfad der Dom ne zur
389. n wirksam werden siehe Beschreibung weiter oben Auf diese Weise kann der Administrator w hrend der Einf hrung von SafeGuard PortProtector in der Organisation die Ger te sukzessive in verschiedenen Bereichen der Organisation einschr nken so wie SafeGuard PortProtector in der Organisation eingef hrt wird 151 SafeGuard PortProtector 3 30 Benutzerhilfe Hinweis Wenn nicht klassifizierte Ger te als Zugelassen auf der Seite Policies im Fenster Administration definiert werden wird dadurch das Fenster Ger tekontrolle auf der Registerkarte Allgemein des Fensters Policy beeinflusst Das Fenster Ger tekontrolle zeigt Zulassen im Bereich Devices Not Approved in Device Types or White List f r Nicht klassifizierte Ger te Devices unten im Fenster Hierdurch wird gekennzeichnet dass nicht klassifizierte Ger te zugelassen werden und dass die Ger tekontrolle der Policy Zusammenf hrung wie oben beschrieben beeinflusst wurde Beispiel Das folgende Beispiel zeigt wie sich Ger tekontrolle und Speicherkontrolle verhalten wenn nicht klassifizierte Ger te als Zugelassen auf der Seite Policies im Fenster Administration definiert sind Die zusammengef hrten Policies sind PolicyA und PolicyB In PolicyA gibt die Ger tekontrolle an dass Drucker zugelassen sind In PolicyA gibt die Speicherkontrolle an dass Wechselspeicherger te zugelassen sind In PolicyB gibt die Ger tekontrolle an dass Drucker gesperrt sind In PolicyB gi
390. n your data classification policy and includes a classification of endpoints that handle cardholder data Scan each endpoint to detect port device and Wi Fi usage The SafeGuard PortAuditor utility will automatically detect devices and networks that are currently or previously connected Review your security policies and procedures specifically as they address security design principles such as Default No Access and Least Privilege These policies and procedures should be applied to the endpoints that have now been inventoried classified and scanned Make a list of the intended profiles for each endpoint classification 364 SafeGuard PortProtector 3 30 Benutzerhilfe Preparation 2 Determine User Access Roles SafeGuard PortProtector allows for the specification of allowed ports devices and Wi Fi usage according to user user group or organizational unit as defined by Active Directory or Novel eDirectory It is important to note that any user privileges granted through this mechanism will trump those specified for an individual endpoint For example if you set up a user to have Wi Fi access over WPA networks and have also locked down a laptop to block Wi Fi access that user will be able to gain Wi Fi access through that laptop With this rule in mind it is strongly recommended that you be very careful when creating any user privileges as those privileges will apply to any endpoint to into which that user logs
391. nach folgt ein kurzer berblick ber die Benutzeroberfl che der SafeGuard PortProtector Management Console und eine Beschreibung der Home Welt die Zugang zu den Hauptfunktionen des Systems bietet Kapitel 3 Definieren von Policies beschreibt wie SafeGuard PortProtector Policies definiert und verwaltet werden Kapitel 4 Verteilen von Policies beschreibt das Deployment der SafeGuard PortProtector Policies auf den Endpunkten Ihrer Organisation Kapitel 5 Anzeigen von Logs beschreibt wie Sie Ihre Organisation berwachen indem Sie die Logs einsetzen die Sie von SafeGuard PortProtector Clients erhalten und die die Endpunkte Ihrer Organisation sch tzen und auch die Logs die Sie von SafeGuard PortProtector Servern erhalten Kapitel 6 Verwalten von Clients erl utert wie Sie den Status der SafeGuard PortProtector Clients anzeigen die die Endpunkte Ihrer Organisation sch tzen und wie Aktionen wie etwa das Hochladen von Policies berpr fen der letzten Client Daten etc auf diesen Clients ausf hren Kapitel 7 Administration beschreibt wie Sie die globalen Administrationseinstellungen in SafeGuard PortProtector definieren Kapitel 8 Endbenutzer Erfahrung beschreibt die im Umgang mit den Schutzeinstellungen durch SafeGuard PortProtector Client wie beispielsweise Endbenutzer Meldungen und die auf dem Client durchf hrbaren Ma nahmen wie beispielsweise das Verschl sseln von Wechselspeicherger ten Appendix A Novell e
392. ncrypted Disc Ioj x This wizard will quide you through the process of creating an encrypted CD DVD media Disc Size CD 650 MB DVD 4 7 GB other eo me Click Next to continue Cancel 2 Geben Sie die Gr e der Disk W hlen Sie eine der Standardgr e f r CD oder DVD oder geben Sie eine Gr e im Feld Sonstige ein Klicken Sie auf Next 3 Wenn Sie ber die Berechtigung verf gen ein Kennwort f r den Zugriff auf Speicherger te au erhalb der Organisation festzulegen wird das folgende Fenster angezeigt Create Encrypted Disc f x 4 password is required to access the encrypted information on other computers You will be prompted For this password only on computers outside your organization JV Set Access Password Password Confirm The password should be at least 7 characters long and should contain at least one capital letter and one digit Click Next to continue Cancel 308 SafeGuard PortProtector 3 30 Benutzerhilfe Wahlen Sie ein Kennwort das auf Computern auferhalb Ihrer Organisation genutzt wird um auf den Inhalt zuzugreifen Sie ein Kennwort nur vor dem Brennen der CD DVD festlegen Hinweis Das von Ihnen festgelegte Kennwort muss den Kennwortregeln in Ihrer Organisation entsprechen 4 Klicken Sie auf Weiter Das folgende Fenster wird angezeigt Create Encrypted Disc loj x Open the encrypted volume folder and add files fro
393. nd Status an aktualisieren Client Policies erzeugen ein Client Suspendierungskennwort etc 2 4 Men leiste Einige Men s in der SafeGuard PortProtector Management Console sind in allen Welten vorhanden die Men s Bearbeiten Extras und Fenster wohingegen andere unterschiedlich sind Die gemeinsamen Men s sowie das f r die Home Welt spezifische Men werden hier beschrieben Die Men leiste enth lt die folgenden Optionen Datei Bearbeiten Ansicht Extras Fenster Hilfe 2 4 1 Ment Datei Uber das Men Datei in der Start Welt k nnen Sie neue Policy Fenster und Log Fenster ffnen sich von der Management Console abmelden und die Anwendung beenden Bearbeiten Ansicht Extras Fens Neu Policy Abmelden Client Logs Beenden Server Logs Datei Logs 26 SafeGuard PortProtector 3 30 Benutzerhilfe Das Men Datei enth lt folgende Optionen Option Neu Benutzerrolle ndern Abmelden Beenden Beschreibung ffnet ein Untermen ber das Sie ein neues Policy Fenster ein neues Client Log Fenster ein neues Server Log Fenster oder ein neues File Log Fenster ffnen k nnen Einem SafeGuard PortProtector Administrator k nnen mehrere Rollen zugewiesen werden um die verschiedenen Dom nenpartitionen zu definieren f r die er verantwortlich ist Nachdem sich ein solcher Administrator angemeldet hat wird automatisch ein Auswahlfenster angezeigt in dem er die entsprechende Rolle f r seine Arbe
394. ndpoint If such devices are present they are part of a solution to enforce security and should not be blocked at the endpoint Unclassified Block Log devices Block Log Unclassified devices are any devices that are not otherwise specified These should not turn up very often and present a risk to EPHI control and protection Storage Control 337 SafeGuard PortProtector 3 30 Benutzerhilfe Setting Standard HIPAA Aggressive HIPAA Approach Approach Rationale Autorun function Block Block IA convenience feature of many operating systems is the ability to automatically execute a program upon the insertion of removable media This feature known as autorun or smart functionality is also a security threat and should be disabled by default IRemovable storage Allow log Block smart function Encrypt log Block smart function Storage devices such as USB drives present a clear risk to EPHI control and protection External HD Allow log Encrypt log At a minimum a HIPAA organization CD DVD Allow log Allow unsupported formats Encrypt log Block unsupported formats should log use of storage devices A more aggressive approach would restrict the use of Floppy Drives Allow log Read only log storage devices to approved devices Tape Drives Allow log Restrict lo
395. ndpunkt hochgeladenen Dateien gepr ft werden lassen sich mehrere Vorteile erzielen Fine zus tzliche Schutzschicht um das Durchsickern von Daten zu verhindern Verhinderung dass Viren Schadprogramme ber externe Speicherger te eingeschleppt werden Verhinderung dass unsachgem er Inhalt ber externe Speicherger te eingebracht wird wie etwa nicht lizenzierte Software nicht lizenzierter Inhalt z B Musik und Filme nicht arbeitsbezogener Inhalt z B pers nliche Bilder etc Mit dieser Funktion k nnen Sie Policies definieren die bestimmte Dateitypen auf den Eingangs und Ausgangskan len sperren Hierzu geh ren getrennte Definitionen f r Eingangs und Ausgangskan le und die Unterst tzung von wei en und schwarzen Listen Die Dateikontrolle von SafeGuard PortProtector umfasst Folgendes Dateitypkontrolle die M glichkeit die bertragung von Dateien anhand ihres Typs zu kontrollieren Dateiprotokollierung die M glichkeit Logs bzw Alarme beim Transfer bestimmter Dateitypen auszugeben dies ersetzt die Dateiprotokollierungsfunktion fr herer Versionen Inhaltspr fung die M glichkeit den tats chlichen Inhalt von Dateien eines angegebenen Typs zu berpr fen bevor sie auf ein externes Speicherger t geschrieben werden und zu bestimmen ob der Inhalt sensibel ist Datei Shadowing die M glichkeit der R ckverfolgung und Erfassung von Kopien von Dateien die zu von externen Speicherger
396. ne Beschreibung des Ger ts der Ger tehersteller das Ger temodell und die eindeutige Ger te ID bei einer Gruppe freigegebener spezifische Ger te und ggf Anmerkungen angezeigt Mit den Schaltfl chen unterhalb der Ger teliste k nnen Sie Ger te l schen oder Ger te entweder mit Hilfe des Assistenten f r das Hinzuf gen freigegebener Ger te siehe Hinzuf gen eines Ger ts mit Hilfe des Assistenten oder manuell siehe Manuelles Hinzuf gen eines Ger ts hinzuf gen Die folgenden Bearbeitungsoptionen sind verf gbar Hinzuf gen von Ger ten ndern von Ger tedaten L schen von Ger ten Kopieren von Ger ten in eine andere Gruppe oder Einf gen aus einer anderen Gruppe ndern von Gruppen Name und Beschreibung 102 SafeGuard PortProtector 3 30 Benutzerhilfe 3 4 3 Hinzuf gen von Ger ten Ger te k nnen vorhandenen Gruppen oder neuen Gruppen hinzugef gt werden So f gen Sie ein Ger t zu einer vorhandenen Gruppe hinzu Klicken Sie mit der rechten Maustaste auf die gew nschte Gruppe und w hlen Sie Zu Gruppe hinzuf gen Um ein Ger t mit Hilfe des Assistenten Freigegebenes Ger t hinzuf gen hinzuzuf gen klicken Sie auf ber Assistent hinzuf gen und folgen Sie den Anleitungen in Hinzuf gen eines Ger ts mit Hilfe des Assistenten Um ein Ger t manuell hinzuzuf gen klicken Sie auf Manuell hinzuf gen und folgen Sie den Anleitungen in Manuelles Hinzuf gen eines Ger ts Eine weitere M glichkeit
397. nect and disconnect events Logs should clearly not be stored on the endpoint but instead sent to the SafeGuard PortProtector Server where they can be protected and viewed by the administrator Other logging settings here provide adequate EPHI protection by ensuring periodic updating of logs on the server without burdening the network inclusion of connect and disconnect events to allow for analysis of how long a device was connected IEnd user Imessages program Review the end user messages associated with the HIPAA setting to ensure they are consistent with your formally documented security policies and security awareness training It is important to provide a constant reminder to those exposed to EPHI that they are responsible for protecting EPHI and complying with policies Modifying the end user messages to specifically mention IHIPAA security and IEPHI protection will assist in the security awareness of your organization 339 SafeGuard PortProtector 3 30 Benutzerhilfe Setting Standard HIPAA Aggressive HIPAA Approach Approach Rationale Encryption Options None Use a different password from the client administration password to uninstall SafeGuard PortProtector Full visibility on endpoints Do not allow users to access encrypted devices at home Approve read only access for non encrypted devices Use a different passwor
398. nfo Hersteller Modell Anmerkungen USB Composite Device VMware Virtual USB Mouse OEOF Multimedia Audio Controller PCI bus 2 device 1 function 1274 wj Fertig stellen Abbrechen 3 4 4 3 1 Best tigen der Auswahl Hier best tigen Sie Ihre Auswahl und berpr fen die Gruppe mit den neu hinzugef gten Ger ten Zur Best tigung der Auswahl klicken Sie auf Fertig stellen Oder klicken Sie auf Zur ck um zum vorherigen Stadium zur ckzukehren 3 4 5 Manuelles Hinzuf gen eines Ger ts Sie m chten vielleicht Ger te manuell nicht ber den Assistenten Add Approved Device hinzuf gen z B wenn Ger te nicht an einen Endpunkt in Ihrer Organisation angeschlossen waren und deshalb nicht in den Pr fergebnissen von SafeGuard PortAuditor erscheinen Je nachdem ob Sie ein freigegebenes Modell oder ein spezifisches Ger t hinzuf gen wird das Fenster Ger temodell hinzuf gen oder Spezifisches Ger t hinzuf gen angezeigt wenn Sie auf Ger te e manuell hinzuf gen im Fenster Gruppe bearbeiten klicken oder Manuell hinzuf gen im Kontextmen siehe Hinzuf gen von Ger ten weiter oben ausw hlen Die folgenden Anleitungen gelten sowohl f r das Hinzuf gen von Speicherger ten in Speicherkontrolle als auch f r das Hinzuf gen von Nicht Speicherger ten in Ger tekontrolle Hinweis Wenn Sie ein Ger t hinzuf gen das bereits zu einer anderen Ger tegruppe in dieser Policy geh rt und die Berechtigungen der Gruppen unterschiedlich sin
399. ng Policy spezifische Einstellungen festlegen Alarme enden alle w Minute n Endbenutzer Meldungen Log senden Mediaverschl sselung Zeit f r Logtransfer einschr nken Shadowing Allgemeine Einstellungen verwenden Zeit f r Logtransfer nicht einschr nken Optionen Policy spezifische Einstellungen festlegen E Log versand nur zwischen o0 00 und for oo Logs jederzeit senden wenn das Versenden fehlschlug in den letzten 5 S Tage E Diese Einschr nkungen auf Alarme anwenden Protokollierungsinhalt Allgemeine Einstellungen verwenden Anschluss und Trennungsereignisse protokollieren Policy spezifische Einstellungen festlegen Anschluss und Trennun gnisse protokollieren protokollieren Benutzer Administrator UTIMACO E amp Server localhost 77 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 10 1 Definieren der Protokollierungs eins tellungen Hinweis Sie k nnen in jedem Abschnitt dieses Fensters angeben ob Sie die globalen Policy Einstellungen verwenden m chten indem Sie die Optionsschaltfl che Allgemeine Einstellungen verwenden aktivieren um die globalen Policy Einstellungen anzuzeigen oder zu bearbeiten klicken Sie oben im Fenster auf Allgemeine Policy Einstellungen ffnen Das Fenster enth lt die folgenden Abschnitte Logspeicher Diese Einstellungen legen fest wo die Logs gespeichert we
400. ng Zuletzt Version Integriert Alle zulassen Log Alle zulassen SAFENDQA 21 7 08 2 Integriert Alle zulassen Keine Alle zulassen 21 7 08 0 Integriert Alle sperren Log Alle sperren HID 21 7 08 0 Integriert Alle sperren Keine Alle sperren HID 21 7 08 0 Integriert HIPAA Optimales Verfahren Deraggressive 21 7 08 0 Integriert HIPAA Optimales Verfahren Der Standard 21 7 08 0 Integriert PCI DSS Optimales Verfahren Diese integrierte 21 7 08 0 Integriert SOX Optimales Verfahren Der aggressive 21 7 08 0 Integriert SOX Optimales Verfahren Der Standard Zine Ube 0 Policy Name Beschreibung EJ 3 3 18 2 1 Eingeben der Policy Details Bearbeiten Sie die Felder Policy Name erforderlich und Beschreibung optional und klicken Sie auf OK Das folgende Fenster wird angezeigt Speichern und Yer ffentlichen der Policy l i Policy gespeichert Policy wird ver ffentlicht Bitte warten Die Policy wird gespeichert und ver ffentlicht Hinweis Wenn Sie eine Policy unter einem neuen Namen speichern und Active Directory zur Verteilung von Policies nutzen hat das neu erstellte GPO keine Verkn pfung zu der erforderlichen Organisationseinheit Die vorherige Policy gilt bis Sie das neue GPO mit der Organisationseinheit verkn pfen 96 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 18 3 Best tigen der Ver ffentlichun
401. ng one Recognizing the resource requirements is the first step 362 SafeGuard PortProtector 3 30 Benutzerhilfe 15 1 2 Considerations To enforce the security cardholder data there are twelve security control objectives that must be met each with a set of requirements implementing the objective Prior to embarking on an effort to implement each requirement a PCI DSS organization should first consider several key elements of the upcoming PCI DSS compliance project Careful consideration of these elements can help an organization avoid several common pitfalls and increase its efficiency in the PCI DSS compliance effort Consideration 1 Data Architecture The root of the PCI DSS requirements is the protection of cardholder data and sensitive authentication data Cardholder data includes the Primary Account Number PAN the cardholder s name the service code and the expiration date of the card Sensitive authentication data includes the information on the full magnetic stripe the security code e g CVC2 and the PIN for the card Sensitive authentication data is protected by ensuring that it is never stored Cardholder data is required to be protected if it is stored processed or transmitted within your organization s applications or systems Data architecture is the logical arrangement and association of data elements throughout your system The structure of your data architecture dictates the application of the PCI DSS re
402. ngszeitraum aus der Dropdown Liste 3 Geben Sie im Feld Anmerkungen einen beliebigen Text ein wie etwa eine Beschreibung des Aufhebungsgrunds optional 4 Klicken Sie auf Generieren Das System generiert ein Kennwort und zeigt es an 5 Klicken Sie auf Kennwort kopieren um das Kennwort in die Zwischenablage zu kopieren oder klicken Sie auf Per E Mail senden um eine neue Nachricht in Ihrem E Mail Programm zu ffnen die alle Suspendierungsdaten enth lt Computername Aufhebungszeitraum Anmerkungen und Kennwort 6 12 Zur cksetzen und Aktualisieren des Client Status Im Laufe der Zeit kann es vorkommen dass zuvor gesch tzte Clients nicht immer gesch tzt bleiben Mit dieser Option k nnen Sie den Status von SafeGuard PortProtector Clients zur cksetzen die in der Clients Tabelle als Served erscheinen derzeit aber m glicherweise Not Served sind So setzen Sie den Status eines Clients zur ck und aktualisieren ihn Klicken Sie in der Clients Tabelle mit der rechten Maustaste auf den Bedienten Client den Sie zur cksetzen m chten ODER 1 Klicken Sie in der Organisationsstruktur mit der rechten Maustaste auf das gew nschte Objekt 2 Ein Men wird angezeigt 3 Wahlen Sie in dem Men die Option Client Status zur cksetzen Das folgende Fenster wird angezeigt Client Status zur cksetzen E x i Clients wurden erfolgreich zur ckgesetzt und werdem in der aktualisierten Tabelle als nicht installiert angezeigt
403. nnen Sie au erdem Log und Alarmoptionen f r die Ger teaktivit ten festlegen Schritt 6 Speicherkontrolle definieren In diesem Schritt definieren Sie auch ob die Daten auf Ihren internen Festplatten verschl sselt werden oder nicht Beschreibt wie man noch detaillierter definiert welche Speicherger te an Ihre Endpunkte angeschlossen werden d rfen und welche nur im schreibgesch tzten oder verschl sselten Modus angeschlossen werden d rfen Bei der Speicherkontrolle k nnen Sie auch Log und Alarmoptionen f r alle Aktivit ten auf einem Speicherger tetyp Ger temodell oder spezifischen Speicherger t festlegen Schritt 7 Dateikontrolle definieren beschreibt die Kontrolle von Dateien die auf Speicherger te geschrieben oder von ihnen gelesen werden das Shadowing Verfolgen bzw berpr fen ihrer Inhalte je nach Dateityp Dar ber hinaus k nnen Sie Log and Alarmoptionen f r geschriebene und gelesene Dateien je nach Typ festlegen Schritt 8 WiFi Kontrolle definieren beschreibt wie man definiert welche WiFi Verbindungen zugelassen werden Au erdem wird beschrieben wie Sie Log und Alarmoptionen f r die WiFi Aktivit ten festlegen k nnen 45 SafeGuard PortProtector 3 30 Benutzerhilfe Schritt 9 Allgemeine Policy Einstellungen definieren beschreibt wie Standardwert fiir die Einstellungen der Protokollierung Endbenutzer Meldungen und Optionen definiert werden die weiter unten in den Schritten 10 16 beschrieben werden
404. nnt Cient Looe x Nach Umfang C Nach Ereignis 7 Nach Port Allgemein Ger te Port E Po hr nkt Fl use N Speicherger te Y Ger t O zug E Firewire D ir WiFi Links V Speicherung El versch D remers Dei Manipulation I wiri FF Schreibgesch tzt Fl secure pig E mode Administration Oi Gesp rt O eriel Y Manipulation Fiisichtenceschioss z D Parallel M admin E interne Port C Nach Policy Name enth lt Policy Typ Benutzer Computer E Suspendieren Logtyp Logs und Alarme O Nur Alarme Speichern unter Speichern Auf hren Schlie en 5 5 2 2 1 Definieren von allgemeinen Abfrageeigenschaften Client Logs Auf der Registerkarte Allgemein definieren Sie welche Logdatens tze in der Log Tabelle angezeigt werden indem Sie Umfang Port Ereignis und andere Eigenschaften angeben In der Log Tabelle erscheinen nur Datens tze die den von Ihnen hier festgelegten Kriterien entsprechen Im Folgenden werden die Abschnitte dieser Registerkarte beschrieben Nach Umfang In diesem Abschnitt k nnen Sie den Umfang festlegen der in die Log Tabelle aufgenommen werden soll Sie k nnen mehrere Typen ausw hlen Wenn Sie keinen ausw hlen werden die Datens tze unabh ngig von dem Umfang f r den sie gelten angezeigt Hinweis Sie k nnen bestimmte Eigenschaften f r jede Umfangsart definieren Die Porteigenschaften werden im Abschnitt Port auf der Registerkarte General definiert Die Eigenschaften bez glich der and
405. ntain restricting the use of an up to date complete ports storage and accurate and readily non storage devices available baseline and enforcing In the Clients configuration of the restrictions World display information system network CM 5 1 Access Restrictions for Be Change The organization SafeGuard we Va employs automated PortProtector j IR AR mechanisms to enforce includes a built in dreng a access restrictions and policy server which and view status support auditing of the securely updates ale enforcement actions endpoint policies ui either immediately CM 6 1 Configuration Settings from the server or The organization employs automated mechanisms to centrally manage apply and verify configuration settings at periodic intervals The server manages and displays the protection status details and log information of each endpoint For CM 5 add info about role based management and partitioning In security policies configure automatic log retrieval and policy update interval either globally or per each policy separately 389 SafeGuard PortProtector 3 30 Benutzerhilfe Requirement Requirement Description Relevant SafeGuard How to apply Number PortProtector SafeGuard Features PortProtector policies for FISMA compliance CM 7 1 Least Functionality The SafeGuard In security organization configures PortProtector policies define the information syst
406. ntalle Netzwerke Infrastruktur ey ra m 9 Peer to Peer ad hoc xy 7 WiFi Kontrolle 5 Einstellungen Protokollierung Alarme Mediaverschl sselung Shadowing gt gt Endbenutzer Meldungen gt gt gt Optionen Benutzer Administrator UTIMACO Server localhost Weitere Informationen finden Sie in Kapitel 3 Definieren von Policies 13 SafeGuard PortProtector 3 30 Benutzerhilfe 1 2 5 1 SafeGuard PortAuditor Auch wenn SafeGuard PortAuditor kein integraler Bestandteil von SafeGuard PortProtector ist geht dieses Tool doch mit SafeGuard PortProtector Hand in Hand und erg nzt das System mit einer kompletten Sicht darauf welche Ports Ger te und Netze von den Benutzern in Ihrer Organisation genutzt werden oder fr her genutzt wurden Mit Hilfe eines SafeGuard PortAuditor Scans k nnen Sie die Ger te und Netze ausw hlen deren Nutzung Sie zulassen m chten SafeGuard PortAuditor SafeGuard PortAuditor SOPHOS Weitere Informationen finden Sie im SafeGuard PortAuditor Benutzerhandbuch 14 SafeGuard PortProtector 3 30 Benutzerhilfe 1 3 Systemarchitektur Die folgende Abbildung zeigt die Systemarchitektur Data Center gt A Help Desk gt g ae gt Database File Repository w o Cluster Optional Security Polici Management sat nage fe Console 1 Administrators e Server Clu
407. ntweder die in den en allgemeinen Policy Einstellungen definierten Meldungen oder bearbeiten Sie sie policy spezifisch Portkontrolle Endbenutzer Meldungen Ger tekontrolle Allgemeine Einstellungen verwenden Speicherkontrolle Policy spezifische Einstellungen festlegen Dateikontrolle id X Port gesperrt Gem den Unternehmensrichtlinien ist die Nutzung dieses Ports nicht erlaubt E gt wiri Kontrolle F r weitere Hilfe kontaktieren Sie bitte Ihren Systemadministrator m Einstellungen X Ger t gesperrt Gem den Untemehmensrichtlinien ist die Nutzung dieses Ger ts nicht erlaubt E F r weitere Hilfe kontaktieren Sie bitte Ihren Systemadministrator z Protokollierung Alarme Speicherger t gesperrt Gem den Untemehmensrichtlinien ist die Nutzung dieses Speichers nicht erlaubt F r weitere Hilfe kontaktieren Sie bitte Ihren Systemadministrator Gl Endbenutzer Meldungen X Datei gesperrt Die Untermehmensrichtlinien verbieten ein Kopieren dieser Datei auf dieses bzw E by Mediayarschl sseiung von diesem Ger t Die Datei wurde gesperrt z Shadowing Dateitransfer Warnung Die Unternehmensrichtlinien verbieten ein Kopieren dieser Datei auf dieses bzw EJ Optionen von diesem Ger t X WiFi Verbindung gesperrt Der WiFi Lin
408. ny information security policy is to determine which information needs to be protected and which personnel systems and devices may or may not be granted access to it A comprehensive risk assessment plan should be based upon or include a detailed review and categorization of confidential information in the organization according to risk levels Based on outcome of the risk assessment procedure it will be possible to determine the proper security controls needed to protect confidential information and information systems Instructions Review the threats facing information systems in the organization and the channels through which information might leak out of the organization Assess the potential damage and harm that may result from unauthorized access disclosure or loss of such information Create an inventory of all peripheral devices used by your organization and specifically of all storage and storage enabled device such as smart phones media players etc Determine which systems personnel and peripheral devices may access confidential information and how they may be used inside and outside of the organization Consideration 2 Policies and Procedures A security policy is a statement of management s intent for protecting corporate assets from fraud waste and abuse With the emergence of the data leakage threat data access policies and procedures must be reviewed and revised The principle of least privilege which sta
409. o control media and storage device use on desktops and laptops The built in FISMA policy provides explanations for these settings 386 SafeGuard PortProtector 3 30 Benutzerhilfe Requirement Requirement Description Relevant SafeGuard How to apply Number PortProtector SafeGuard Features PortProtector policies for FISMA compliance so unauthorized users cannot access secure data AC 20 1 Use of External SafeGuard In security Information Systems The PortProtector policies under organization prohibits contains the option Media authorized individuals of restricting the Encryption make from using an external organization s sure the allow information system to encrypted storage users to access device from being devices on access the information used outside of the unprotected SYStem Orto DFOCESS organization machines option store or transmit is not selected organization controlled information Using File Type except in specific Control To set File Type authorized cases organizations can Control click the restrict the type of File Control tab files that can be in security copied to from policies and external storage choose which files devices should be restricted AU 2 1 2 Auditable Events The Sophos products Configure 3 information system provide extensive SafeGuard provides the capability to and granular PortProtector to compile audit records logging
410. o be installed on the SafeGuard PortProtector Management Server machine To open the Administration window From the Tools menu select Administration OR In the Home World from the More section click the Change Administration Settings link The Administration window opens x General General oP Active Management Servers Organization ID EFZJ3 Policies Logs and Alerts SSL with Consoles SSL wit Clients Maintenance gt Licensing Link for Management Console installation https chuti2003 Utimaco com 4443 SafeGuardPortProtector consoleInstall aspx Logs from this server are not delegated to another server r Protected Domain Domain Entire Organization Type Active Directory Server Credentials Credentials UTIMACO Administrator what are these credentials used for Users Management Choose a mode for managing user access to management consoles Single Role Simple Protector Administrators User Group BUILTIN Administrators O Role Based Advanced Define Permissions I Enable Domain Partitioning Define Partitions System Language System Language English us 7 The default Directory setting is an Active Directory To synchronize with Novell eDirectory instead you need to change this setting 312 SafeGuard PortProtector 3 30 Benutzerhilfe To change Directory setting 1 In General page in the Protected Domain section click Change The Change Domain window
411. o these ports is required for some standard human interface devices The Serial Allow nay access restrictions to these ports for storage Parallel Allow devices will be further restricted through storage control below WiFi Restrict Restricting access to Wi Fi networks allows for a finer granularity of control under the Wi Fi control section of the policy security Modem Allow log Use of Modem can lead to unauthorized network connections but may be a common business use Da Bloc sue At a minimum use of these devices should be Bluetooth Block log logged 366 SafeGuard PortProtector 3 30 Benutzerhilfe Setting PCI Setting Rationale INetwork Block All Bridging Device Control Hardware Allow Although the use of hardware keyloggers should Keyloggers be restricted and users should be protected from these attacks usability concerns override the need for this restriction Human Allow It is typically not considered a risky practice to Interface allow users to connect to human interface devices such as keyboards and mice Printers Allow log Although a printer can be a data leakage source printing is a common user function within most organizations This risk can be mitigated by physical and administrative controls PDA Restrict white list PDAs mobile phones Imaging devices such as og scanners and Audio Video devices such as Mobile Phones IMP3 players
412. oder manuell zuteilen Standardm ig wird die Plattenkapazit t automatisch verwaltet und soll Ihnen die gew nschte Tiefe erm glichen Wir empfehlen dass Sie die Plattenkapazit t nur dann manuell zuteilen wenn auf demselben Server eine andere Anwendung l uft die schnell zunehmend viel Speicherkapazit t nutzt Hinweis Wenn Sie eine externe Datenbank einsetzen wird dieser Abschnitt nicht angezeigt weil in diesem Fall die Plattenkapazit t nicht von SafeGuard PortProtector verwaltet wird 261 SafeGuard PortProtector 3 30 Benutzerhilfe So konfigurieren Sie die Datenbankpflege Einstellungen 1 Legen Sie im Abschnitt Datenbanktiefe die Anzahl der Speichertage f r jeden Logtyp Client Logs File Logs Server Logs und Shadow Dateien fest 2 Klicken Sie auf die entsprechende Optionsschaltflache im Abschnitt Plattenkapazit t um anzugeben ob die Zuordnung der Plattenkapazit t automatisch erfolgen soll oder ob Sie sie manuell zuordnen m chten die aktuelle Datenbankgr e wird angezeigt Hinweis Wenn Sie eine externe Datenbank einsetzen wird dieser Abschnitt nicht angezeigt weil in diesem Fall die Plattenkapazit t nicht von SafeGuard PortProtector verwaltet wird 3 Wenn Sie die manuelle Zuordnung der Plattenkapazit t w hlen legen Sie die maximal von der Datenbank zu nutzende Plattenkapazit t fest 4 Klicken Sie auf OK Log Tiefe und Datenbankgr e entsprechen jetzt diesen Einstellungen Hinweis Wen
413. olicy kann unter ihrem Namen oder mit einem neuen Namen gespeichert werden Speichern Sie eine Policy unter einem neuen Namen wenn es sich um eine neue Policy handelt oder Sie eine Kopie einer vorhandenen Policy speichern m chten Beim Speichern einer Policy wird sie auch als GPO in Active Directory oder als Registry Datei ver ffentlicht wenn Sie eine dieser Methoden f r die Policy Verteilung gew hlt haben F r weitere Informationen hierzu siehe bersicht im Kapitel Verteilen von Policies 3 3 18 1 Speichern einer Policy unter ihrem Namen So speichern Sie eine vorhandene Policy unter demselben Namen Wahlen Sie im Men Datei die Option Speichern und ver ffentlichen oder klicken Sie in der Symbolleiste auf das Symbol Speichern und ver ffentlichen Id Das folgende Fenster wird angezeigt Speichern und Yer ffentlichen der Policy Policy gespeichert Policy wird ver ffentlicht Bitte warten Die Policy wird gespeichert und ver ffentlicht 95 SafeGuard PortProtector 3 30 Benutzerhilfe 3 021 8 2 Speichern einer Policy unter einem neuen Namen Sie k nnen eine Policy unter einem neuen Namen mit einer neuen Beschreibung speichern Dies erfolgt im Fenster Als Policy speichern So ffnen Sie das Fenster Als Policy speichern Wahlen Sie im Men Datei die Option Speichern unter Im folgenden Fenster wird eine Liste vorhandener Policies angezeigt Als Policy speichern b x Als Policy speichern Beschreibu
414. olicy spezifische Einstellungen festlegen ignorieren Sie diesen Schritt wenn Sie allgemeine Policy Einstellungen definieren 2 Bearbeiten Sie die Meldungen wie folgt Port gesperrt Diese Meldung wird angezeigt wenn ein Computer versucht auf einen blockierten Port zuzugreifen Bei integrierten Ports wird diese Meldung angezeigt wenn der Endpunkt Computer neu startet und versucht den Port zu initialisieren Sie wird auch angezeigt wenn ein Adapter f r diesen Port an den Endpunkt angeschlossen ist Ger t gesperrt Diese Meldung wird angezeigt wenn versucht wird ein nicht freigegebenes Ger t ber einen eingeschr nkten Port anzuschlie en Speicherger t gesperrt Diese Meldung wird angezeigt wenn versucht wird ein nicht freigegebenes Speicherger t anzuschlie en Datei gesperrt Diese Meldung wird angezeigt wenn der Endbenutzer versucht eine Datei auf ein Speicherger t zu schreiben bzw davon zu lesen deren Typ gesperrt ist Dateitransfer Warnung Diese Meldung wird angezeigt wenn eine Datei mit sensiblem Inhalt auf ein Speicherger t geschrieben wird WiFi Verbindung gesperrt Diese Meldung wird angezeigt wenn versucht wird eine nicht freigegebene WiFi Verbindung herzustellen Schreibgesch tztes Speicherger t Diese Meldung wird angezeigt wenn ein auf Schreibgesch tzt gesetztes Speicherger t angeschlossen wird Diese Meldung besagt dass Sie von diesem Speicherger t lesen aber nicht darauf schreibe
415. om nenpartition zu bearbeiten klicken Sie auf Partition bearbeiten Um die Partition f r diese Rollenberechtigung zu ndern w hlen Sie in der Dropdown Liste Dom nenpartition eine andere Partition 241 SafeGuard PortProtector 3 30 Benutzerhilfe 5 Bearbeiten Sie die Berechtigungen indem Sie die Allow Kontrollk stchen aktivieren bzw deaktivieren Jedes Kontrollk stchen das Sie zulassen gibt der Benutzergruppe die Berechtigung zugelassen 6 Klicken Sie auf OK 7 3 1 5 2 4 Definieren von Dom nenpartitionen Mit SafeGuard PortProtector Dom nepartitionierung ist die Partitionierung der der Container einer Organisation m glich so dass darauf nur von den SafeGuard PortProtector Console Administratoren zugegriffen werden kann die f r deren Bearbeitung verantwortlich sind Die Dom ne Ihrer Organisation kann gem ihrer Organisationsstruktur partitioniert werden und den einzelnen Dom nenpartitionen k nnen dann verschiedene SafeGuard PortProtector Administratoren zugeordnet werden Hinweis Die Dom nenpartitionierung ist besonders beim Datei Shadowing von Bedeutung Beim File Shadowing werden verborgene Kopien von Dateien erfasst die zu von externen Speicherger ten verschoben wurden deshalb m chten Sie unter Umst nden den Zugriff auf diese sensiblen Dateien einschr nken indem Sie definieren welcher Administrator gem der Organisationseinheit oder der Herkunft der Datei berechtigt ist eine Shadow Datei zu sehen
416. on Rollen beschrieben Um diese Partition mit einer Gruppe von Benutzern zu verkn pfen m ssen Sie sie im Fenster Rollenberechtigungen mit einer Benutzerrolle verkn pfen 243 SafeGuard PortProtector 3 30 Benutzerhilfe 7 3 1 6 Systemsprache SafeGuard PortProtector erm glicht es Ihnen Ihre eigene Sprache einzustellen Mit jeder neuen Version kommen weitere Sprachen hinzu Die Sprache beeinflusst Folgendes Die Sprache f r die Men s und Schaltfl chen der Management Console Die Sprache der Textfelder in den Logs Die Sprache f r standardm ige Endbenutzer Meldungen Die Systemsprache wird normalerweise w hrend der Installation des Management Servers definiert Wenn Sie sie nach der Installation ndern m chten legen Sie sie hier fest Hinweis 1 Nachdem Sie die Sprache ge ndert haben m ssen Sie die Management Console neu starten damit die Sprach nderung wirksam wird 2 Sie k nnen nicht mehrere Consoles in verschiedenen Sprachen laufen lassen 3 Logdaten die vor der Sprach nderung gespeichert wurden werden in der vorherigen Sprache angezeigt 4 Die Sprache f r SafeGuard PortProtector Clients wird w hrend der Installation der Clients definiert siehe SafeGuard PortProtector Installationshandbuch 244 SafeGuard PortProtector 3 30 Benutzerhilfe 7 4 Konfigurieren der Einstellungen auf der Registerkarte Policies Policy Administrationseinstellungen werden auf der Registerkarte Policies des Fenst
417. on the built in policy of Standard SOX or Aggressive SOX Each policy can then be modified as determined by the SOXcompliance officer and in accordance with the organization s business objectives Port Control USB Restrict Restrict Restricting access to these ports allows for a finer FireWIre Restrict Restrict 353 SafeGuard PortProtector 3 30 Benutzerhilfe Setting Standard SOX Aggressive SOX Rationale Approach Approach PCMCIA Restrict Restrict granularity of control under the device control section of the policy security SD Allow Allow Allowing access to these ports Serial Allow Allow is required for some standard Parallel Allow Allow human interface devices The access restrictions to these ports for storage devices will be further restricted through storage control below WiFi Restrict Restrict Restricting access to WiFi Inetworks allows for a finer granularity of control under the WiFi control section of the policy security Modem Allow log Allow log Use of Modem IrDA or IrDA Allow log Block log Bluetooth can lead to unauthorized network Bluetooth Allow log Block log connections At a minimum use of these ports should be logged IA more aggressive posture would block and log IrDA and Bluetooth links Blocking user access to these links while connected to the TCP I
418. onen zur Ger tekontrolle finden Sie in Schritt 5 Ger tekontrolle definieren im Kapitel Definieren von Policies 1 2 3 Speicherkontrolle Die Speicherkontrolle erm glicht einen weiteren Detaillierungsgrad in dem Sie die Sicherheitsanforderungen Ihrer Organisation angeben k nnen die f r alle interne oder externe feste oder auswechselbare Speicherger te gelten k nnen Sie k nnen Speicherger te komplett sperren und schreibgesch tzten Zugriff zulassen Sie k nnen auch Wechselspeicherger te verschl sseln hnlich wie bei den anderen Ger ten die im vorigen Abschnitt beschriebenen wurden k nnen Speicherger te auch abh ngig von ihrem Typ ihrem Modell oder ihrer eindeutigen ID freigegeben werden SafeGuard PortProtector Management Console le x Datei Bearbeiten Ansicht Extras Fenster Hilfe Start 67 Policies W 7e Clients Brolicies B Neu Policies integriert Alle zulassen Keine Proto rx Bea be eo a Allgemein Diese Berechtigungen gelten f r alle Speicherger te Eigenschaften Portkontrolle unabh ngig vom Port ber den sie angeschlossen sind Allgemein Wei e Liste Ger tekontrolle Policy f r alle Speicherger te Aktion Log Alarm Speicherkontrolle ie eee P a Dateikontrolle Ale Speicherger ts D ja i A
419. ontrol granularity may be added with the SafeGuard PortProtector domain partitioning feature The role based access mechanism includes domain partitioning which allows an administrator role to be limited to a specific group of clients This feature is useful in establishing the boundaries of the cardholder data environment by restricting the administrator s access within defined domains The setting of these roles should be based on the organization s administration model and approach and the support needed for incident response and maintenance Refer to Pre Requisites for Addressing PCI DSS Compliance Issues for more complete instructions for the SafeGuard PortProtector implementation preparation Administrative Password Strength All passwords that protect system components within the cardholder data environment must comply with the organization s formally documented password policies and PCI DSS requirement 8 5 Formally documented security policies are discussed in more detail in Consideration 1 Policies and Procedures under Considerations section Required elements of the password strength include a minimum length of seven 7 characters at least one 1 character and at least one 1 number 15 2 3 PCI DSS SafeGuard PortProtector Feature Mapping SafeGuard PortProtector provides PCI DSS organizations additional technical controls to protect cardholder data at system endpoints and address data leakage and targeted attack threats
420. opens 2 In the Domain Type field select Novell eDirectory from the drop down menu Change Domain x Domain Type MMEA v Server Name User DN e g ch name ou ou o organization Password C Use secured connection SSL C Start from base DN e g ou 0u 0 0rganization Q 3 Inthe Server Name field enter the Novell server name 4 Inthe User DN field enter the user information This user should have reading privileges for all Novell objects The format is cn name ou ou o organization 5 Inthe Password fields enter the user s password 6 Ifyou want to protect starting from a specific DN in order to protect a specific branch or office and not the entire organization check the Start from Base DN checkbox and enter the DN If you want to apply protection to the entire organization leave the checkbox unchecked 313 SafeGuard PortProtector 3 30 Benutzerhilfe 7 Click OK to return to the Administration window General Semsa mz Active Management Servers Organization ID EFZJ3 Policies SSL with Consoles SSL wit Logs and Alerts Clients Maintenance gt 5 icensing Link for Management Console installation https chuti2003 Utimaco com 4443 SafeGuardPortProtector consoleInstall aspx Logs from this server are not delegated to another server r Protected Domain Domain Entire Organization Type Active
421. options collect logs and from multiple collected in several send alerts components throughout log types according to your the system manage organization s selection and update Client Logs policy The built them as needed File Logs in FISMA policy provides Server Logs recommended pre configured logging levels AU 3 1 2 Content of Auditable SafeGuard For each action Events The information PortProtector set the Log and or system produces audit records that contain sufficient information to establish what events occurred the sources of the events and the outcomes of the events and to expand and centrally manage events provides in depth and granular logging and alerting options both for security and administrative events Alerts checkboxes for desired security actions 387 SafeGuard PortProtector 3 30 Benutzerhilfe Requirement Requirement Description Relevant SafeGuard How to apply Number PortProtector SafeGuard Features PortProtector policies for FISMA compliance throughout the system AU 6 1 2 Audit Monitoring SafeGuard In the Analysis and Reporting PortProtector Administration The organization employs provides alerts dialog configure automated mechanisms to which can be sent Alert integrate audit immediately and Destinations monitoring analysis and automatically to reporting and employs outside sources such automated mechanisms to as mai
422. or 3 30 Benutzerhilfe 3 3 6 4 1 3 Festlegen der Berechtigungen f r CD DVD Mit diesen Berechtigungen k nnen Sie CD DVDs von der Dateikontrolle befreien siehe Schritt 7 Dateikontrolle definieren in Kapitel 3 Definieren von Policies Die Standarddefinitionen sind auf Anwenden der Dateikontrolle f r Dateien die auf diese Speicherger te geschrieben bzw von ihnen gelesen werden gesetzt So legen Sie Berechtigungen f r CD DVD fest 1 Deaktivieren Sie im Abschnitt Dateikontrolle das entsprechende Kontrollk stchen Dateitypkontrolle anwenden Log Alarm und Shadowing Definitionen anwenden um Dateien die auf freigegebene Ger te geschrieben bzw von freigegebenen Ger ten gelesen werden nach Bedarf von der Dateikontrolle auszunehmen um sie wieder der Dateikontrolle zu unterwerfen markieren Sie das entsprechende Kontrollkastchen wieder Hinweis Die Dateikontrolle kann auf Dateien angewandt werden die von CD DVDs gelesen werden aber nicht auf Dateien die darauf geschrieben werden Hinweis Die Dateikontrolle wird nicht auf Medien angewandt die in der Ausnahmenliste stehen 2 Beim Schreiben auf eine CD DVD kann SafeGuard PortProtector Dateien protokollieren die die folgenden drei Bedingungen erfiillen Die Brennmethode ist Track At Once Das Dateisystem basiert auf ISO d h ISO ISO JOILET ISO UDF Es ist die erste Schreib Sitzung auf dieser CD Dateien die nicht alle drei Bedingungen erf llen werden nicht p
423. ortProtector 3 30 Benutzerhilfe 164 308 a 1 ii A Risk Analysis R Conduct an accurate and thorough assessment of the potential risks and Vulnerabilities to the confidentiality integrity and availability of electronic protected health information held by the organization SafeGuard PortAuditor provides a full view of the ports devices and networks in use by your organization s users as well as a history of what was used previously The SafeGuard PortAuditor scan output can select the devices and networks to control Left uncontrolled all of these devices provide vulnerability for the Imisuse of EPHI Utilize SafeGuard PortAuditor during the data gathering phase Specifically scan all endpoints for current settings ports peripherals etc and port and device usage history Review scan results against the current policies covering endpoint security The data leakage threat can be measured during a risk assessment by temporarily applying a policy of allow log The results could be reviewed to determine the current extent of data transfer to storage devices 164 308 a 1 ii D Information System Activity Review R Implement procedures to regularly review records of information system activity such as audit logs access reports and security incident tracking reports SafeGuard PortProtector products collect several logs types Client Log
424. ortProtector 3 30 Benutzerhilfe 3 3 11 Schritt 11 Alarme definieren Im Einstellungen Fenster Alarme w hlen Sie die Alarmziele des Clients aus So ffnen Sie das Einstellungen Fenster Alarme Klicken Sie auf der linken Seite des Hauptfensters im Menii Einstellungen auf Alarme Das Fenster Alarme wird angezeigt SafeGuard PortProtector Management Console le xi Datei Bearbeiten Ansicht Extras Fenster Hilfe Q9 Policies W YET Policies Gj Neu IFE Br 4X BEN EO 4 Allgemein Verwenden Sie die allgemeinen Alarmdefinitionen die unter Allgemeine Policy Einstellungen definiert wurden oder legen Sie policy spezifische Eigenschaften Alarmdefinitionen fest Portkontrolle Policies Integriert Alle zulassen Keine Protokolle Unbenannt 3 gt Ger tekontrolle Allgemeine Einstellungen verwenden Speicherkontrolle Policy spezifische Einstellungen festlegen gt gt Dateikontrolle Client Alarme an folgende Ziele senden WiFi Kontrolle el Einstellungen Protokollierung Andem Alarme Endbenutzer Meldungen Mediaverschlisselung Shadowing wielelelels Optionen Benutzer Administrator UTIMACO Server localhost 80 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 11 1 Definieren der Alarmeinstellungen Hinweis Sie k nnen w hlen ob Sie die globalen Policy Einstellungen verwenden
425. otecting corporate assets from fraud waste and abuse With the emergence of the data leakage threat data access policies and procedures must be reviewed and revised The principle of least privilege which states that each user should be only the level of access required to perform their job needs to be interpreted to address portable media and devices Instructions Ensure that your current policies are based on the principle of Default No Access This principle dictates that by default all users have no access to any corporate resources If no such policy statement exists create one Develop guidance that interprets the Default No Access policy to the roles within your organization and to the computing devices within your organization Develop procedures for handling exceptions to the Default No Access policy These exceptions will be based on operational needs such as media backup data transfer and remote access to networks for telecommuting Each procedure should address the risk through compensating controls such as policy sanctions asset tracking multi factor authentication oversight and encryption Consideration 3 Training Effective security awareness and training is an important element of asset protection Information security training programs need to be periodically updated to reflect changes in threats and organizational policies A project to update security awareness and training progr
426. otector Management Console le x Datei Bearbeiten Ansicht Extras Fenster Hilfe RS E YO Policies T Policies B Neu SRL a Gui beag G U Allgemein Diese Berechtigungen gelten nur f r die folgenden Ports die mit Einschr nken definiert wurden Eigenschaften Portkontrolle Policies Integriert Alle zulassen Keine Protokoller Unbenannt 3 Allgemein Wei e Liste Ger tekontrolle e Freigegebene Modelle A mare Speicherkontrolle ap Neu Bearbeiten Log Alarm Dateikontrolle Um ein neues Ger t hinzuzuf gen klicken Sie mit der rechten Maustaste auf den leeren Bereich und w hlen Neue Gruppe WiFi Kontrolle Protokollierung Alarme Endbenutzer Meldungen Mediaverschl sselung Shadowing Optionen Freigegebene spezifische Ger te dhNeu Bearbeiten Aktion Log Alarm Um ein neues Ger t hinzuzuf gen klicken Sie mit der rechten Maustaste auf den leeren Bereich und w hlen Neue Gruppe Benutzer Administrator UTIMACO Server localhost Oberhalb der Registerkarten werden in einer Meldung die Ports angezeigt die Sie auf Einschr nken gesetzt haben Wenn Sie Porteinstellungen ndern m chten nehmen Sie diese nderungen im Fenster Portkontrolle vor Sie k nnen auf Portkontrolle definieren klicken um zum Fenster Portkontrolle zu wechseln Das Fenster ist in zwei Bereiche untertei
427. otector implementation Preparations Domain Partitioning Further access control granularity may be added with the SafeGuard PortProtector domain partitioning feature The role based access mechanism includes domain partitioning which allows an administrator role to be limited to a specific group of clients This feature is useful in restricting the administrator s access to sensitive domains such as those domains which contain EPHI The setting of these roles should be based on the organization s administration model and approach and the support needed for incident response and maintenance Refer to Part 1 of this whitepaper for more complete instructions for the SafeGuard PortProtector implementation preparation Administrative Password Strength All passwords that protect EPHI within a HIPAA organization must comply with the organization s formally documented password policies Formally documented security policies are discussed in more detail in Consideration 1 Policies and Procedures in part 1 of this document Based on the organization s password strength policy SafeGuard PortProtector administrative password strength criteria should be defined in the SafeGuard PortProtector to enforce organizational policies Elements of the password strength include minimum length and required character types 341 SafeGuard PortProtector 3 30 Benutzerhilfe 13 2 4 HIPAA Security Rule SafeGuard PortProtector Feature Mapping SafeG
428. otokollierung Beschreibung Alle zulassen Keine Protokollierung Dateikontrolle Eigent mer Gespeichert 30 12 09 8 27 38 Revision 0 Diese Policy gilt f r Computer und Benutzer Policy mit Organisationsobjekten verkn pfen Objektname Beschreibung Pfad Sicherheit Portkontrolle USB Einschr nken Ignorieren FireWire Einschr nken Ignorieren i O a 3 6 5 1 Policy Ubersicht In diesem Fenster k nnen Sie die Policy Ubersicht anzeigen und drucken So drucken Sie die Policy Ubersicht Klicken Sie im Fenster Ubersicht mit der rechten Maustaste und wahlen Sie im Menii die Option Drucken 3 6 6 Exportieren und Importieren einer Policy Eventuell m chten Sie Policies aus der Policy Datenbank in eine Datei auf Ihrem Computer exportieren damit Sie sie zu einem sp teren Zeitpunkt nutzen k nnen wenn Sie z B die in Ihrer Testversion der Management Console definierten Einstellungen speichern m chten um sie sp ter im lizenzierten Produkt zu verwenden Nachdem Sie die Policy exportiert haben k nnen Sie diese zu einem sp teren Zeitpunkt in die Datenbank importieren So exportieren Sie eine Policy 1 Klicken Sie im Fenster Policy Management mit der rechten Maustaste auf die zu exportierende Policy und w hlen Sie Exportieren ODER Klicken Sie im Men Datei auf die Option Exportieren 127 SafeGuard PortProtector 3 30 Benutzerhilfe Das Fenster Policy exportieren wird angezeigt 2 W hlen Sie d
429. perren die unter Umst nden nicht sicher sind 1 2 3 2 SafeGuard PortProtector Speicherverschl sselung Mit der SafeGuard PortProtector Speicherverschl sselung k nnen Administratoren die Verschl sselung aller Daten erzwingen die von Endpunkten der Organisation an freigegebene Wechselmedienger te wie etwa USB Flash Disk on Keys Memorysticks und SD Karten sowie CD DVD und externe Festplatten bertragen werden Einzigartig in der SafeGuard PortProtector L sung ist die M glichkeit die Nutzung verschl sselter Ger te und Medien auf Firmencomputer zu beschr nken Dadurch werden die Sicherheitsgrenzen der Organisation erweitert und es wird verhindert dass Mitarbeiter absichtlich Daten ber diese hochleistungsf higen Ger te durchsickern lassen Innerhalb der Organisation ist die Mediaverschl sselung absolut transparent Die Endbenutzer k nnen wie gewohnt von den Medien lesen und darauf schreiben Wenn jedoch dasselbe Ger t oder Medium auf einem Computer eingesetzt wird der nicht zur Organisation geh rt ist der Zugriff auf die Daten nicht m glich Verschl sselte Ger te k nnen gelesen und wechselweise auf jedem beliebigen Computer in der Organisation genutzt werden wobei die Kontrolle auf der Basis von Ger tehersteller Modell und Seriennummer weiterhin gilt Bei Wechselspeicherger ten kann der SafeGuard PortProtector Administrator angeben ob bestimmten Benutzern kennwortgesch tzter Zugriff auf die Daten auf nicht autori
430. policies as they apply to the endpoints that have now been inventoried classified and scanned Make a list of the intended profiles for each endpoint classification Preparation 2 Determine User Access Roles SafeGuard PortProtector allows specifing the allowed ports devices and Wi Fi usage according to user user group or organizational unit as defined by Active Directory or Novel eDirectory It is important to note that any user privileges granted through this mechanism will trump those specified for an individual endpoint For example if you set up a user to have Wi Fi access over WPA networks and also have locked down a laptop to block Wi Fi access that user will be able to gain Wi Fi access through that laptop With this rule in mind it is strongly recommended that you be very careful when creating any user privileges since these privileges will apply to any endpoint into which that user logs Instructions Determine user roles within your SafeGuard PortProtector implementation User this role is the normal user role that has no additional privileges associated Privileged user this role has extended privileges such as the ability to write files to a USB device or connect to aWPA enabled Wi Fi network n Determine compensating controls placed on privileged users Logs and alerts at the minimum plan to set privileged user policies to log allowed behavior that is extended from the normal user role Consider settin
431. present a clear risk to the control and protection of cardholder data The use of Imaging such devices should be blocked Audio video Devices Network Allow Network adapters allow the PC to be connected Adapters to a network This is a common configuration and should not be blocked or logged Smart Cards Allow Smart Cards are common as an authentication device They do not pose a reasonable threat to cardholder data Content Allow Content security devices monitor the content of Paes the flow of data to and from the endpoint If such ER devices are present they are part of a solution to enforce security and should not be blocked at the endpoint Den Block Log Unclassified devices are any devices that are not evices otherwise specified These should not turn up very often and present a clear risk to the rotection of cardholder data Storage Control Autorun Block i IA convenience feature of many operating systems function is the ability to automatically execute a program upon the insertion of removable media This feature known as autorun or smart functionality is also a security threat and should be disabled by default 367 SafeGuard PortProtector 3 30 Benutzerhilfe Setting PCI Setting Rationale Removable Encrypt log Storage devices such as USB drives present a storage clear risk to the protection of cardholder data block ower The o
432. ps Normalerweise ist dies Port 162 Windows Event Log Host Name Der Name des Hosts auf den die Windows Ereignisprotokolle geschrieben werden Sie k nnen auch eine IP Adresse angeben Ausf hrbare Datei Pfad zu ausf hrbarer Datei Der Pfad zu einer ausf hrbaren Datei die ggf durch einen Alarm gestartet werden kann F r weitere Informationen ber API Parameter wenden Sie sich bitte an den Sophos Support mailto support sophos com So f gen Sie ein Alarmziel hinzu 1 Geben Sie in diesem Fenster die erforderlichen Details ein und klicken Sie auf OK 2 Nachdem Sie auf OK geklickt haben berpr ft das System das von Ihnen eingegebene Ziel Falls es nicht g ltig ist pr fen Sie Ihre Einstellungen und versuchen Sie es noch einmal 3 Sie k nnen auch auf Validieren klicken um die Validierung manuell durchzuf hren Nachdem Sie den Alarmziel Speicher k nnen Sie daraus die gew nschten Ziele f r Systemalarme siehe Systemalarmdefinitionen f r policy spezifische Alarmeinstellungen siehe Definieren der Alarmzieleinstellungen im Kapitel Definieren von Policies und f r globale Policy Alarmeinstellungen siehe Schritt 9 Allgemeine Policy Einstellungen definieren im Kapitel Definieren von Policies ausw hlen Hinweis Wenn Sie die Eigenschaften eines Ziels ndern betrifft das alle Alarme die dieses Ziel nutzen Systemalarme policy spezifische Alarme und globale Policy Alarmeinstellungen 254 SafeGuar
433. punkten an den Server gesendet und in einem zentralen Speicher abgelegt Diese Dateien stehen zur berpr fung durch befugte Administratoren mit Shadow Dateien einsehen Berechtigung zur Verf gung Die Shadow Dateien werden mit ihrem urspr nglichen Dateinamen und in ihrem urspr nglichen Format gespeichert Ein Administrator kann ein oder mehrere Netzsegmente als zentralen Speicher f r das File 86 SafeGuard PortProtector 3 30 Benutzerhilfe Shadowing definieren Wenn mehrere Netzsegmente definierte werden wird ein Lastausgleichsalgorithmus genutzt um sicherzustellen dass die Last auf alle Teile gleichm ig verteilt wird So ffnen Sie das Einstellungen Fenster Shadowing Klicken Sie auf der linken Seite des Hauptfensters im Men Einstellungen auf Shadowing Das Einstellungen Fenster Shadowing wird angezeigt SafeGuard PortProtector Management Console 18 x Datei Bearbeiten Ansicht Extras Eenster Hilfe Policies A Logs Clients Policies Neu Policies Integriert Alle zulassen Keine Protokollier Unbenannt 3 4 gt x Au H yeaa Ei Allgemein e 5 Te 3 7 Fa Verwenden Sie die allgemeinen Definitionen f r das Shadowing in den allgemeinen Policy Einstellungen oder legen Sie policy spezifische SE Shadowing Definitionen fest Sicherheit Portkontrolle Max Cache Gr e Allgemeine Einstellungen verwenden 1024 MB Policy spezifische Einstellungen festlegen Ger tekontrol
434. puter Policy oder eine Benutzer Policy handelt Zeigt den Namen der Policy an die auf dem meldenden Client angewandt ist Wenn auf diesem Client Policies zusammengef hrt sind werden alle zusammengef hrten Policies aufgef hrt Zeigt den Ger tehersteller an Zeigt das Ger temodell an Zeigt die eindeutige ID des spezifischen Ger ts an sofern verf gbar Zeigt ggf weitere Details an Zeigt die Ereigniszeit als Zeit des Clients der das Ereignis gemeldet hat Zeigt den Zeitpunkt als Management Console Zeit an zu dem der Management Server das Ereignis empfangen hat Spalte DB Insert Sequence SafeGuard PortProtector 3 30 Benutzerhilfe Beschreibung Zeigt den Port an der mit dem Dateiereignis verkniipft ist Jeder Client sendet seine Logs mit einer Folgenummer was dazu beitr gt fehlende Logs zu entdecken und ber Log Manipulationsversuche zu alarmieren Sie k nnen dies z B bei einem Fehlende Logs Ereignis f r einen bestimmten Computer verwenden 5 9 3 Struktur des Server Logs Im Folgenden werden die Spalten der Server Log Tabelle beschrieben Spalte Logtyp Scope DB Insert Computer User Beschreibung Gibt an ob es sich bei dem Datensatz um ein Log oder einen Alarm handelt Gibt den Umfang an auf den sich das Ereignis bezieht z B Admin Lizenz Zeigt die Zeit des Ereignisses als lokale Management Console Zeit an Zeigt den Namen der Management Console an f r die
435. quirements on your organization For example if your network does not distinguish between cardholder data environments and the rest of your network then it could be argued that the entire network is under the PCI DSS requirements On the other hand if you have adequate policies and procedures such as data classification policies adequate network separation and well defined cardholder data applications then you could argue that only portions of your network fall under the PCI DSS requirements Consideration 2 Data Environment Separation The PCI DSS requirements apply to all elements of your cardholder data environment This includes components of the systems such as network components e g switches routers firewalls wireless access points network appliances and security appliances servers e g mail servers proxy servers web servers authentication servers database servers domain name servers and applications custom or commercial internal or external facing System components that are properly separated from the cardholder data environment are not required to meet the PCI DSS requirements Proper network segmentation and other means of data environment separation can establish a proper environment to protect cardholder data and reduce the overall work required to become PCI DSS compliant Endpoints within cardholder data network segments would need appropriate protection as defined under PCI DSS and detailed in this document 363
436. r ten Hinweis Wenn eine Policy auf dem Endpunkt manipuliert wird ruft SafeGuard PortProtector sofort einen Panikmodus auf der den gesamten Zugriff auf Ports und Ger te sperrt 48 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 3 Schritt 3 Policy erstellen Dieser Abschnitt beschreibt wie Sie eine neue Policy in der Policies Welt erstellen Sie k nnen mit den Standardeinstellungen oder mit einer Vorlage in Policy Vorlage in Kapitel 8 Administration beschrieben beginnen oder eine vorhandene Policy als Ausgangspunkt benutzen SafeGuard PortProtector wird mit mehreren integrierten Policies geliefert die Sie bei Bedarf als Ausgangsbasis benutzen k nnen Dazu geh ren Integriert Alle zulassen Keine Protokollierung Alle Ger te und Dateien sind zugelassen es erfolgt keine Protokollierung Integriert Alle zulassen Log Alle Ger te und Dateien sind zugelassen die Ger teaktivit ten werden protokolliert geschriebene Dateien werden protokolliert Integriert Alle sperren Keine Protokollierung Alle Ger te au er HDI Ger ten sind gesperrt es erfolgt kein Protokollierung Integriert Alle sperren Log Alle Ger te au er HDI Ger ten sind gesperrt die Ger teaktivit ten werden protokolliert geschriebene Dateien werden protokolliert Klicken Sie auf die Registerkarte Policies um die Policies Welt zu ffnen SafeGuard PortProtector Management Console je xj Datei Bearbeten Ach E
437. r Bereich W hlen Sie Nicht konfiguriert Entschl sseln oder Verschl sseln Wenn Sie Nicht konfiguriert w hlen ist keine Verschl sselungspolicy Verschl sseln oder Entschl sseln festgelegt Wenn Sie eine mit einem bereits verschl sselten Computer verkn pfte Policy auf Entschl sseln ndern werden die Informationen auf dem Computer entschl sselt Wenn Sie Verschl sseln w hlen startet die Verschl sselung der internen Festplatte n beim n chsten Anmelden des Benutzers am Computer Diese Einstellungen gelten nur f r Computer und nicht f r die mit dieser Policy verkn pften Benutzer 3 3 6 4 1 Weitere Berechtigungen F r Wechselspeicherger te externe Festplatten und CD DVD k nnen Sie weitere Berechtigungen festlegen So legen Sie weitere Berechtigungen f r Wechselspeicherger te fest Klicken Sie auf die Schaltfl che Weitere Berechtigungen CJ f r Wechselspeicherger te Das Fenster Berechtigungen f r Wechselspeicher angezeigt Berechtigungen f r Wechselspeicher x Dateikontrolle 7 Die Dateikontrolle beschr nkt die Daten die auf ein Speicherger te Medium geschrieben bzw davon gelesen werden ein Mit dieser Option k nnen Sie bestimmte Ger te z B verschl sselt Ger te von den Einschr nkungen durch die Dateikontrolle befreien gt Dateikontrolle f r Dateien die auf Speicherger te geschrieben werden Log Alarm und Shadowing Definitionen anwenden 2 Dateikontrolle f r Dateien die von Spei
438. r Bluetooth can lead to unauthorized network connections Use of these Bluetooth Boog devices should be blocked and logged Network Block All Blocking user access to Wi Fi Bluetooth Bridging modems and IrDA links while connected to the TCP IP network interface protects endpoints from the dangerous practice of hybrid network bridging Device Control Hardware Allow Although the use of hardware keyloggers should Keyloggers be restricted and users should be protected from these attacks usability concerns override the need for this restriction Human Allow It is typically not considered risky to allow users Interface to connect to human interface devices such as keyboards and mice Printers Allow log Although a printer can be a data leakage source printing is a common user function within most organizations This risk can be mitigated by physical and administrative controls PDA Restrict white list PDAs mobile phones imaging devices such as F log scanners and audio video devices such as MP3 Mobile gt Phones players present a clear risk to the control and protection of confidential data The use of such Imaging devices should be blocked SafeGuard PortProtector 3 30 Benutzerhilfe Setting FISMA Setting Rationale Audio Where required the use of allowed devices is video approved by device whitelist groups Whitelists Devices can be created b
439. r Registerkarte Allgemein festgelegt haben Klicken Sie auf die erste Optionsschaltfl che wenn Sie die Definitionen nutzen m chten die Sie auf der Registerkarte Speicherger te Allgemein festgelegt haben Wenn Sie spezifische Definitionen f r die Ger te in dieser Gruppe festlegen m chten klicken Sie auf die zweite Optionsschaltfl che W hlen Sie dann die gew nschte Berechtigung aus der Dropdown Liste Smart Funktionalit t aus eine Erkl rung der Smart Funktionalit t finden Sie in Festlegen der Berechtigungen f r Wechselspeicher 110 SafeGuard PortProtector 3 30 Benutzerhilfe 3 4 7 Hinzuf gen von WiFi Verbindungen WiFi Links werden der wei en Liste bei WiFi Control in hnlicher Weise hinzugef gt wie bei Ger ten Hinzuf gen von WiFi Gruppen dann Hinzuf gen freigegebener Links zu dieser Gruppe mit Hilfe des Assistenten Freigegebene WiFi hinzuf gen oder manuell So f gen Sie freigegebene WiFi Links hinzu Au er beim manuellen Hinzuf gen von WiFi Links folgen Sie einfach den Anleitungen f r das Hinzuf gen von Ger ten wie folgt Hinzuf gen von Ger tegruppen Hinzuf gen von Ger ten Hinzuf gen eines Ger ts mit Hilfe des Assistenten Weitere Einstellungen f r Ger tegruppen 3 4 7 1 Manuelles Hinzuf gen von WiFi Links Sie k nnen WiFi Links die nicht von SafeGuard PortAuditor erkannt wurden und daher nicht mit Hilfe des Assistenten hinzugef gt werden k nnen manuell hinzuf gen Wenn Sie
440. r Registerkarte Content Inspection definiert Query Properties Untitled File Logs I By Inspection Results opie LJFated 3 0K C Not inspected Storage Devices General Q ee Hinweis Diese Registerkarte wird nur dann angezeigt wenn die Option der Inhaltspriifung aktiviert ist 5 5 3 4 1 Definieren von Inhaltspr fungseigenschaften Hier definieren Sie die anzuzeigenden Logdatens tze bez glich der Ergebnisse ihrer Inhaltspr fung In der Log Tabelle erscheinen nur Datens tze die den von Ihnen hier festgelegten Kriterien entsprechen 185 SafeGuard PortProtector 3 30 Benutzerhilfe 5 5 3 5 Speicherger teeigenschaften Datei Logs Die Speichergerate Abfrageeigenschaften werden auf der Registerkarte Speichergeriite definiert Abfrageeigenschaften Unbenannt Datei Logs x Zeit Datei Nach Speichertypen Shadowing Wechselspeichergerate O ep pvb Speichergerate C Externe Festplattenlaufwerke Allgemein CD DVD Laufwerke V Nach Gruppenname Name enth lt Nach Ger t Medium Ger t Medium Felder enthalten Ger te durch ID identifizieren a l Ger t nach Hersteller identifizieren Wechselmediengr e liegt zwischen 0 EJ Unbeschr nkt Sms w Speichern unter Speichern Auf hren Schlie en 5 5 3 5 1 Definieren von Speicherger teeigenschaften Datei Logs Auf der Registerkarte Speicherger te definieren
441. r WiFi Netzwerk hinzuf gen siehe auch die Beschreibung in Freigeben von Ger ten und WiFi Verbindungen In anderen F llen ist es deaktiviert Ausschneiden Kopieren Einf gen 3 2 2 3 Men Ansicht ber das Men Ansicht k nnen Sie das Fenster Policies aktualisieren das eine Liste Ihrer Policies anzeigt und den Fortschritt von Client Tasks anzeigen lassen Aktualisieren Client Tasks Das Men Ansicht enth lt folgende Optionen Option Beschreibung Aktualisieren Aktualisiert die Liste der Policies so dass sie auf dem neuesten Stand ist Client Tasks Zeigt den Verlauf der Client Tasks weitere Informationen finden Sie in Verfolgen des Fortschritts von Client Tasks in Kapitel 6 Verwalten von Clients 3 2 2 4 Men Extras Das Men Extras das bei allen Welten gleich ist ist in Men im Kapitel Erste Schritte beschrieben 41 SafeGuard PortProtector 3 30 Benutzerhilfe 3 2 2 5 Menu Fenster Das Menii Fenster das bei allen Welten gleich ist ist in Menii im Kapitel Erste Schritte beschrieben 3 2 2 6 Men Hilfe Das Men Hilfe das bei allen Welten gleich ist ist in Men im Kapitel Erste Schritte beschrieben 3 2 3 Symbolleiste Die Symbolleiste der Policies Welt bietet schnellen Zugriff auf h ufig genutzte Funktionen Sie wird unterhalb der Men leiste angezeigt und enth lt die folgenden Schaltfl chen a Neu ffnen X E SjAktualisieren Nachfolgend eine kurze Beschreibun
442. r diesen Aufforderungsschl ssel z B per E Mail und geben Sie den Antwortschl ssel ein den Sie daraufhin erhalten haben Klicken Sie auf die Schaltfl che OK Sie haben jetzt Zugriff auf dieses Ger t Der Administrator greift auf diese Option von der Management Console aus zu Klicken Sie auf Schl ssel f r Ger tezugriff gew hren im Men Fxtras Das folgende Fenster wird angezeigt 8 Grant Device Access Key Mm E Follow the three steps process to generate a device access key which will alow end users who forgot their device access password to access encrypted storage devices Note this procedure is only applicable for devices encrypted with Volume Encryption method Step 1 Challenge Key i Note the challenge key is generated by the end user by clicking forgot my password after executing the data access utility M Step 2 Notes Write here the notes you wish to appear in the log Generate Res Step 3 Response Key Copy Key Send By Email 298 SafeGuard PortProtector 3 30 Benutzerhilfe Es enth lt die folgenden Schritte Schritt 1 Aufforderungsschliissel Dies sind die Zahlen die der Endbenutzer dem Administrator liefert z B per E Mail oder Telefon Bei jedem Eingabefeld werden die Zeichen am Ende einer jeden Eingabesequenz berpr ft Wenn die Sequenz kor
443. r entsprechen und die Einsicht in den Datenfluss in Ihrem Unternehmen verbessern F r sehr sensible Abteilungen Ihrer Organisation oder f r bestimmte Benutzer die besonderer Aufmerksamkeit bed rfen k nnen Sie auch die Funktion des Datei Shadowing einsetzen Mit dieser Funktion k nnen Sie Kopien der zu von externen Speicherger ten verschobenen Dateien sammeln Die Dateien werden in einem zentralen Speicher abgelegt und k nnen von autorisierten Administratoren angezeigt werden Beachten Sie bitte Da die Nutzung dieser Funktion sowohl die Netzleistung als auch die Speicherressourcen beeinflusst sollten Sie sie mit Bedacht vorzugsweise in kleinen gut definierten Bereichen Ihrer Organisation einsetzen Durch die berwachung der Dateinamen und das File Shadowing haben Administratoren mehr Flexibilit t bei der Erstellung von Policies die die Nutzung der Ger te nicht einschr nken und doch die volle Sichtbarkeit der Aktivit ten und der auf Wechselmedien bertragenen Inhalte zulassen weitere Informationen finden Sie in Weitere Berechtigungen in Kapitel 3 Definieren von Policies 1 2 4 3 Integration der Inhaltspr fung Die Administratoren k nnen auch von vorhandenen Systemen f r die Inhalts berwachung und Filterung zur Kontrolle des Dateitransfers auf externe Speicherger te Gebrauch machen Bei dieser Technologie kann jede Datei die von einem Endpunkt auf ein externes Speicherger t heruntergeladen wird daraufhin berpr ft
444. rden Intervall f r Logtransfer Diese Einstellungen legen fest ob die Logs sofort oder periodisch gesendet werden Zeit f r Logtransfer einschr nken Mit diesen Einstellungen k nnen Sie die Log and Alarm bertragung an den Management Server auf bestimmte Stunden beschr nken Protokollierungsinhalt Diese Einstellungen legen fest ob Verbindungs und Trennungsereignisse oder nur Verbindungsereignisse protokolliert werden sollen Track offline use of devices In diesem Abschnitt k nnen Sie die Nutzung verschl sselter Ger te durch autorisierte Endbenutzer verfolgen wenn sie nicht an das Organisationsnetz angeschlossen sind siehe Verfolgung der Offline Nutzung verschl sselter Ger te im Kapitel Endbenutzer Erfahrung Hinweis Dieser Abschnitt wird nur im Fenster Allgemeine Policy Einstellungen angezeigt So definieren Sie die Protokollierungseinstellungen 1 Klicken Sie im Abschnitt Logspeicher auf die Optionsschaltfl che Policy spezifische Einstellungen festlegen ignorieren Sie diesen Schritt wenn Sie globale Policy Einstellungen definieren 2 W hlen Sie eine der folgenden Optionsschaltfl chen Logs an SafeGuard PortProtector Server senden SSL Klicken Sie auf diese Option um Logs ber das sichere SSL Protokoll an den SafeGuard PortProtector Management Server zu senden Logs lokal speichern nicht empfohlen Auch wenn dies nicht zu empfehlen ist k nnen Sie auf diese Option klicken um Logdatens tze
445. rden da der Client m glicherweise Meldungen anzeigt die sie zur Verschl sselung der Wechselspeicherger te auffordern 85 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 13 1 1 Methoden der Mediaverschl sselung SafeGuard PortProtector bietet zwei Methoden zur Verschl sselung von Wechselspeicherger ten Die eingesetzte Verschl sselungsmethode beeinflusst inwieweit befugte Benutzer auf die verschl sselten Speicherger te sowohl innerhalb als auch au erhalb der Organisation zugreifen k nnen siehe auch Verschl sselung und Entschl sselung von Wechselspeicherger ten in Kapitel 9 Endbenutzer Erfahrung Verschl sselung des Ger te Volumes Diese Verschl sselungsmethode erm glicht den Zugriff auf Speicherger te durch befugte Benutzer au erhalb der Organisation ohne dazu lokale Administrationsrechte zu ben tigen Jedoch ist der Zugriff auf Dateien f r den Benutzer weniger intuitiv als bei der Option Verschl sselung der Ger tepartition Beschreibung siehe unten Das Wechselspeicherger t zeigt zwei Dateien das Access Secure Data Utility und einen Container mit den verschl sselten Dateien Hinweis L schen Sie den Container der verschl sselten Dateien nicht vom Wechselspeicherger t Durch das L schen des Containers werden alle darin gespeicherten Daten gel scht Verschl sselung der Ger tepartition Voreinstellung Diese Verschl sselungsmethode erm glicht den Zugriff auf Speicherger te durch befugte Benu
446. rden im Fenster Alarmziel festgelegt 251 SafeGuard PortProtector 3 30 Benutzerhilfe So ffnen Sie das Fenster Alarmziel 1 Klicken Sie im Abschnitt Alarmziel Speicher auf Neu Das Fenster Alarmziel erscheint Alarmziel xl Zielname Po Protokolltyp E mail r Zieleigenschaften Empf nger Hinzuf gen Entfernen Absender ausw hlen PortProtector Absender bearbeiten 2 Um ein neues Versenden zu definieren klicken Sie auf die Schaltfl che Absender bearbeiten um das folgende Fenster anzuzeigen Mail Absender Adresse PortProtector Q Schlie en 252 SafeGuard PortProtector 3 30 Benutzerhilfe Sie k nnen auf die Schaltfl che Neu klicken um im folgenden Fenster einen neuen Absender hinzuzuf gen Absenderdetails x Von Servername Server Port 25 C Authentifizierung erforderlich Benutzername Kennwort Kennwort best tigen Yalidieren OK Abbrechen 7 5 1 2 Definieren eines neuen E Mail Absenders Im Folgenden sind die erforderlichen Eigenschaften f r die Festlegung eines neuen E Mail Absenders aufgef hrt Von Dieses Feld erscheint im Feld From der gesendeten E Mails Servername Der Hostname Ihres E Mail Ausgangsservers SMTP Sie k nnen auch eine IP Adresse angeben Server Port Der TCP Port f r das Versenden von E Mails Normalerweise ist dies Port 25 Wenn Sie e
447. rdholder data credit card companies such as VISA International MasterCard Worldwide Discover Financial Services American Express and JCB issued security compliance requirements to merchants that processed stored or transmitted cardholder information Although each of these security programs was issued by their respective organizations the programs were similar in terms of protection requirements In 2004 the Payment Card Industry PCI Security Standards Council was formed to create acommon set of requirements for credit card processing merchants The PCI Data Security Standard DSS v1 1 contains the current set of requirements for credit card merchants Specifically the PCI DSS control objectives ensure that the organization builds and maintains a secure network protects cardholder data maintains a vulnerability management program implements strong access control measures monitors and tests networks and maintains an information security policy Ensuring security at the endpoints within a network that processes cardholder data is one of the issues that must be addressed by PCI organizations SafeGuard PortProtector helps you regain control of your endpoints and address data leakage and targeted attack threats This chapter provides guidance on how to address these threats within a PCI DSS regulated environment The first section Pre Requisites for Addressing PCI DSS Compliance Issues examines organizational issues and pre requisites that
448. re Gruppe oder Einf gen aus einer anderen Gruppe ndern von Gruppen Name und Beschreibung 3 5 3 Hinzuf gen von Medien Medien k nnen vorhandenen Gruppen oder neuen Gruppen hinzugef gt werden So f gen Sie ein Medium zu einer vorhandenen Gruppe hinzu Klicken Sie mit der rechten Maustaste auf die gew nschte Gruppe und w hlen Sie Zu Gruppe hinzuf gen Der Assistent Freigegebene Medien hinzuf gen wird ge ffnet siehe Hinzuf gen eines Ger ts mit Hilfe des Assistenten Eine weitere M glichkeit ein Medium zu einer Gruppe hinzuzuf gen haben Sie im Fenster Gruppe bearbeiten 1 ffnen Sie das Fenster Edit Group auf einem der in Bearbeiten einer Ger tegruppe beschriebenen Wege 2 Klicken Sie auf Medien hinzuf gen und fahren Sie mit dem n chsten Abschnitt Hinzuf gen eines Ger ts mit Hilfe des Assistenten fort Wenn Sie Mediendaten aus einem Log siehe Kopieren von USB Ger ten und CD DVD Mediadaten im Kapitel Anzeigen von Logs kopiert haben k nnen Sie auch mit der rechten Maustaste auf den leeren Bereich von im Fenster Gruppe bearbeiten klicken und Einf gen w hlen um die Mediendaten in eine Gruppe zu kopieren vergewissern Sie sich dass Sie das Medium in eine Mediengruppe und nicht in eine Gruppe Spezifische Ger te kopieren Dieselben Schritte k nnen Sie auch beim ffnen einer neuen Gruppe verwenden um Medien hinzuzuf gen Hinweis Falls ein Medium zu mehreren Gruppen geh rt und diese Gruppen dieselben
449. rechen klicken wird die Policy nicht ver ffentlicht d h es wird kein GPO bzw keine Registry Datei erzeugt und sie wird lediglich in der Datenbank gespeichert Hinweis Wenn Sie Active Directory benutzen wird beim Speichern und Ver ffentlichen einer Policy eine Kopie der Policy GPO in Active Directory erstellt Stellen Sie sicher dass die Policy mit Computern bzw Benutzergruppen verkn pft wird indem Sie das GPO mit der entsprechenden Organisationseinheit verkn pfen 97 SafeGuard PortProtector 3 30 Benutzerhilfe 3 4 Freigeben von Ger ten und WiFi Verbindungen Die Erkl rungen in den folgenden Abschnitten beziehen sich auf das Hinzuf gen freigegebener Ger te zur Device Control White List und das Hinzuf gen freigegebener Speicherger te Storage Control White List Sofern Unterschiede beim Hinzuf gen von Speicherger ten und Nicht Speicherger ten bestehen wird darauf hingewiesen und eine Erkl rung geliefert Erl uterungen zum Hinzuf gen freigegebener WiFi Netze finden Sie in Hinzuf gen von WiFi Verbindungen SafeGuard PortProtector bietet Ihnen drei Berechtigungsstufen Ger tetypen und Speichertypen Mit dieser oben erl uterten Option k nnen Sie den Zugriff auf einen Port je nach Typ des daran angeschlossenen Ger ts beschr nken Zum Beispiel Wechselmedien Netzadapter HID Ger te z B eine Maus oder Bildbearbeitungsger te Die zur Auswahl stehenden Ger te und Speichertypen sind in SafeGuard PortP
450. rectory kann aktueller sein aber es kann auch l nger dauern Die Struktur wird ber das Men Organisationsstruktur unten dargestellt aktualisiert das sich oben in der der Registerkarte Organisationsstruktur befindet Organisationsstuktur TR Struktur aktualisieren Struktur mit Verzeichnis synchronisieren So aktualisieren Sie die Organisationsstruktur im Management Server Klicken Sie im Men Organisationsstruktur auf Struktur aktualisieren Die Struktur wird aktualisiert So aktualisieren Sie die Organisationsstruktur im Directory Klicken Sie im Men Organisationsstruktur siehe vorherige Abbildung auf Struktur mit Verzeichnis synchronisieren Die Struktur wird aktualisiert aber dieser Vorgang kann eine Weile dauern 168 SafeGuard PortProtector 3 30 Benutzerhilfe 5 4 2 Filtern nach Namen Die Registerkarte Nach Namen suchen ist ein weiteres Werkzeug mit dem Sie die Computer oder Benutzer bestimmen k nnen deren Logdatens tze im Client oder File Log angezeigt werden Die von Ihnen hier angegebenen Suchkriterien legen gemeinsam mit Abfragen siehe Abfragen fest welche Datens tze in der Log Tabelle siehe Log Tabelle angezeigt werden Dieser Abschnitt beschreibt wie diese Registerkarte zur Festlegung der in der Client oder Datei Log Tabelle anzuzeigenden Logs verwendet wird Wie bereits erw hnt erscheint diese Registerkarte nicht im Fenster Server Log weil Server Logs per Definition nicht f r
451. reibung Der Arbeitsbereich ist in zwei Bereiche unterteilt Tasks und Status Tasks Dieser Bereich in der oberen H lfte des Fensters enth lt Links und Tool Schaltfl chen f r den Zugriff auf die Informationen und die wesentlichsten Funktionen aus anderen Welten Alle diese Funktionen k nnen von jeder Welt aus ber die Men s Schaltfl chen der Symbolleiste bzw Kontextmen s ausgef hrt werden Der Bereich ist in vier Abschnitte unterteilt wie nachfolgend beschrieben Policies Durch Klicken auf den Titel des Abschnitts wird in die Policies Welt gewechselt Dieser Abschnitt enth lt Symbole und Links zu Folgendem Neue Policy klicken Sie hierauf um eine neue Policy zu definieren Policy ffnen klicken Sie hierauf um eine vorhandene Policy zu ffnen Das Fenster Policy Management wird angezeigt Zuletzt bearbeitete Policies hier wird eine Liste der letzten f nf bearbeiteten Policies zusammen mit dem nderungsdatum angezeigt Zum ffnen klicken Sie auf die gew nschte Policy Eine detaillierte Erl uterung zu Definition und Management von Policies finden Sie in Kapitel 3 Definieren von Policies Logs Durch Klicken auf den Titel des Abschnitts wird in die Logs Welt gewechselt Dieser Abschnitt enth lt Symbole und Links zu Folgendem Client Logs klicken Sie hierauf um Logs und Alarme von gesch tzten Clients anzuzeigen Server Logs klicken Sie hierauf um SafeGuard PortProtector Server Logs anzuzei
452. rekt ist wird das Zeichen X rechts neben dem jeweiligen Eingabefeld angezeigt und das Eingabezeichen wird zum n chsten Feld vorgeschoben Wenn die Sequenz falsch ist wird das Zeichen X angezeigt und es erscheint ein Hinweis Anmerkung Falscher Aufforderungsschl ssel eingegeben Bitte Aufforderungscode neu eingeben Schritt 2 Anmerkungen Dies wird aktiviert nachdem der richtige Aufforderungsschliissel eingegeben wurde Geben Sie eine beliebige Anmerkung ein die im Log erscheinen soll Klicken Sie auf Antwortschl ssel generieren um eine Antwort zu generieren Schritt 3 Antwortschl ssel Hierbei handelt es sich um Zahlen die der Endbenutzer eingibt nachdem er sie vom Administrator erhalten hat Es werden bei richtiger bzw falscher Eingabe von Zeichen dieselben Symbole wie f r den Aufforderungsschl ssel angezeigt Die Schaltfl che Schl ssel kopieren erm glicht es Ihnen den Antwortschl ssel zu kopieren z B in Notepad um ihn sp ter zu verwenden Mit der Schaltfl che Per E Mail senden ffnen Sie eine neue E Mail Nachricht die den Antwortschl ssel enth lt Durch Klicken auf die Schaltfl che Schlie en wird das Fenster geschlossen 299 SafeGuard PortProtector 3 30 Benutzerhilfe 8 7 3 4 Offline Zugriff auf partitions verschlusselte Ger te Hinweis F r eine Beschreibung des Offline Zugriffs bei ausgew hlter Partitionsverschliisselung siehe Offline Zugriff auf partitionsverschl sselte Ger te Wenn
453. ren Weitere Informationen zu diesem Benutzer finden Sie in Server Berechtigungen Hinweis Mit der Schaltfl che Validieren wird nur die Existenz des Benutzers in Ihrem Active Directory berpr ft Damit der Management Server ordnungsgem funktioniert m ssen Sie sicherstellen dass dem Dom nenbenutzer alle erforderlichen Berechtigungen zugewiesen sind 236 SafeGuard PortProtector 3 30 Benutzerhilfe 7 3 1 5 Benutzerverwaltung Der Zugriff auf die Management Console seitens der Benutzer ist aus Sicherheitsgriinden eingeschrankt SafeGuard PortProtector braucht keine eigenen Benutzer und keine Computer Datenbank Stattdessen werden Berechtigungen mit Hilfe von Windows Active Directory gepr ft Hinweis Wenn SafeGuard PortProtector mit Novell eDirectory synchronisiert ist k nnen nur lokale Benutzer auf dem Management Server genutzt werden Sie k nnen einen der folgenden Betriebsmodi w hlen Einzelne Rolle einfach Mit diesem Modus schr nken Sie den Zugriff auf die Management Console auf autorisierte Benutzer ein Alle autorisierten Benutzer k nnen alle Aufgaben in der Console ausf hren Policies erstellen Logs lesen Clients suspendieren etc Rollenbasiert erweitert Mit diesem Modus k nnen Sie eine weitere Ebene der Zugangskontrolle anwenden indem Sie die Benutzer entsprechend ihren Rollen auf eine Untergruppe von Funktionen innerhalb der Management Console und auf bestimmte Container einer Organisation
454. ren wie im SafeGuard PortProtector Installationshandbuch beschrieben Schritt 7 SafeGuard PortProtector Policies an Endpunkte verteilen In diesem Schritt k nnen Sie Policies zu Benutzern und Computern zuordnen und sie direkt via SSL an die Endpunkte verteilen oder die GPO Funktion von Active Directory oder ein beliebiges Tool eines Drittanbieters zur Verteilung von SafeGuard PortProtector Policies nutzen wie in Kapitel 4 Verteilen von Policies beschrieben Schritt 8 Endpunkte sind durch SafeGuard PortProtector Policies gesch tzt In diesem Schritt k nnen nur zugelassene Ger te und WiFi Netze auf freigegebenen Ports genutzt werden Logs ber Port Ger te und WiFi Netzwerknutzung und Nutzungsversuche sowie Manipulationsversuche werden erstellt und an den Management Server gesendet wie in Kapitel 9 Endbenutzer Erfahrung beschrieben Schritt 9 Logs und Alarme berwachen Anzeige und Export der von den SafeGuard PortProtector Clients generierten Logeintr ge wie in Kapitel 5 Anzeigen von Logs beschrieben 21 SafeGuard PortProtector 3 30 Benutzerhilfe 2 Erste Schritte Uber dieses Kapitel Dieses Kapitel beschreibt zun chst wie die SafeGuard PortProtector Management Console gestartet wird Danach folgt ein kurzer Uberblick tiber die Benutzeroberflache der SafeGuard PortProtector Management Console bei dem die Hauptfenster und Meniis und das Home Registerfenster oder auch die Home Welt beschrieben werden
455. rganization should limit the use of storage function devices to approved devices with the ability to External HD appropriately encrypt the data Use of these Encrypt lo P a devices should be logged EIIDND Encrypt log IA convenience feature of many operating systems is the ability to automatically execute a program block unsupported upon the insertion of removable media This burning formats feature known as autorun or smart functionality Floppy Read only log is also a security threat and should be disabled by Drives default Tape Drives Block log Certain formats for writing files to media such as CD or DVD do not support the event logging To preserve the logging settings for all files the block unsupported burning formats option should remain checked File Control Log write only In order to support audit and investigation of security incidents involving cardholder data the organization should log all files written to external storage devices WiFi Restrict white list Wireless networks present a clear risk to the INetwork WPA encrypted control and protection of cardholder data At a networks log minimum an organization should log any such PoP Blades ee behavior Any use of Wi Fi networks should be logged and limited to an approved list of Wi Fi networks with proper encryption Policy Settings with the PCI setting to ensure they are consistent with your formally documented security policie
456. rlich C Nicht alphanumerische Zeichen erforderlich O Kleinbuchstaben erforderlich Gro buchstaben erforderlich Mindestl nge des Kennworts 7 Weitere Einstellungen bez glich des Verhaltens von Clients werden unter Allgemeine Policy Einstellungen definiert abbrechen 7 6 1 Client Einstellungen Auf der Registerkarte Clients k nnen Sie im Abschnitt Client Installationsordner den Ordner konfigurieren in dem die Client Installationsdateien gespeichert werden sollen und im Abschnitt Kennworteinschr nkungen die Kriterien f r die Verwendung von Kennw rtern in SafeGuard PortProtector definieren Hinweis Weitere Client Einstellungen wie etwa Kennwort f r die Deinstallation Log Intervall und Sichtbarkeitseinstellungen f r den Client werden im Fenster Allgemeine Policy Einstellungen festgelegt das Sie ber das Men Extras erreichen und das in Schritt 9 Allgemeine Policy Einstellungen definieren im Kapitel Definieren von Policies beschrieben ist 257 SafeGuard PortProtector 3 30 Benutzerhilfe 7 6 1 1 Client Installations ordner Hierbei handelt es sich um den Ordner in den der Management Server die ftir die Installation von SafeGuard PortProtector Clients auf den Endpunkten erforderlichen Dateien exportiert Um Clients zu installieren m ssen Sie einen Ordner definieren in dem die Installationsdateien angelegt werden Dieser Ordner sollte normalerweise ein Netzwerkpfad sein der f r die Installation der Softw
457. rogram Files Utimaco SafeGuard PortProtector Management Server tools or copy MediaScanner exe to any computer and run it The following window opens amp Sophos Media Scanner SafeGuard MediaScanner SOPHOS C Program Files Sophos SafeGuard PortProtector Management v 2 Ifyou wish to change the default output file name or location use the Browse button Note If you change the file name the suffix must remain XML 325 SafeGuard PortProtector 3 30 Benutzerhilfe 3 By default the Media Scanner is set to append scanned media information to the existing scanned media file If you wish to add media to a new file uncheck the Append to existing file checkbox 4 Insert the required media into the CD DVD drives and click Run The scanning process begins Note The process scans all media inserted into CD DVD drives at the time of the scan meaning you may scan more than one medium in each session 5 You can view the scan progress in the Scan Progress section which includes the following details Drive name of the drive in which scanned medium is inserted Volume Name name of the scanned volume if one has been assigned Type CD or DVD Fingerprint a readable version of the fingerprint Size size ofthe content on the medium n Time date and time when scan was performed Note If the Scanned media file contains more than one medium and the volume name is non existent or is not sufficient in order
458. rol and protection of confidential data At networks log the minimum an organization should log any such behavior Any use of Wi Fi networks nee Base should be logged u limited to an approved list of Wi Fi networks with proper encryption Policy Settings SafeGuard PortProtector 3 30 Benutzerhilfe Setting FISMA Setting Rationale Logging Send logs to Logs should clearly not be stored on the SafeGuard endpoint but instead sent to the SafeGuard PortProtector PortProtector Server where they can be Server protected and viewed by the administrator Send logs every 12 Other logging settings here provide adequate hours protection by ensuring periodic updating of logs Log connect and on the server without burdening the network disconnect events inclusion of connect and disconnect events to allow for analysis of how long a device was connected End user Review the end It is important to provide a constant reminder messages user messages to personnel exposed to confidential data that associated with the they are responsible for protecting data and FISMA settings to complying with policies Modifying the end user ensure that they are messages to specifically mention FISMA security consistent with and will assist in the security awareness of your your formally organization documented security policies and security awareness training program Media Do not allow users Using encrypted storage device
459. ropdown Liste Aktion ausw hlen Hinweis W hlen Sie Zulassen oder Sperren wenn Sie zu diesem Zeitpunkt keine granulare Speicherger tekontrolle w nschen Alternativ k nnen Sie diese Option nutzen wenn Sie bestehende Definitionen berschreiben sie aber zu einem sp teren Zeitpunkt wieder verwenden m chten 3 Wenn Sie Zulassen oder Sperren f r Alle Speicherger te w hlen k nnen Sie auch angeben ob Ger teaktivit ten protokolliert und oder ob Alarme generiert werden sollen Hierf r markieren Sie die Kontrollk stchen Log bzw Alarm 4 Wenn Sie Zulassen oder Sperren f r Alle Speicherger te w hlen brauchen Sie im Fenster Speicherkontrolle nichts weiter zu tun Sie fahren dann fort mit Schritt 8 WiFi Kontrolle definieren Die brigen Anleitungen in diesem Abschnitt sind nur von Bedeutung wenn Sie Einschr nken f r Alle Speichertypen gew hlt haben 5 Inder Dropdown Liste Aktion k nnen Sie die Autorun Funktionalit t mit Zulassen zulassen oder mit Sperren sperren eine Erkl rung dieser Funktionalit t finden Sie in U3 Smartdrive und Autorun Kontrolle in Kapitel 1 Einf hrung in SafeGuard PortProtector 6 Legen Sie die Berechtigungen f r Speichertypen in der Dropdown Liste Aktion wie folgt fest Zulassen L sst alle Speicherger te dieses Typs zu Verschliisseln Der Zugriff auf diesen Speicherger tetyp ist nur dann zugelassen wenn er von der Organisation verschl sselt wurde Wenn ein unverschl ss
460. rotector integriert und stehen auf der oben beschriebenen Registerkarte General des Fensters Device Control und dies Fensters Storage Control Ein Ger tetyp kann blockiert Voreinstellung zugelassen oder eingeschr nkt werden Wenn Sie einen Ger tetyp einschr nken werden alle Ger te dieses Typs gesperrt sofern sie nicht gesondert freigegeben werden Speicherger te k nnen auch eine Schreibgesch tzt Berechtigungen haben Freigegebene Modelle Diese Option bezieht sich auf die Freigabe von Modellen eines Ger ts oder Speicherger ts wie etwa alle HP Drucker oder alle M Systems Disk on keys Freigegebene spezifische Ger te Diese Option bezieht sich auf die Freigabe spezifischer Ger te bzw Speicherger te von denen jedes eine eindeutige Seriennummer hat so dass es eigentlich ein spezifisches Ger t ist Zum Beispiel Wenn Sie die Nutzung des Disk on Key des CEO freigeben und alle anderen Disk on Key Ger te sperren m chten m ssen Sie den Speichertyp Removable Media auf Einschr nken setzen und dann die kennzeichnenden Parameter f r das USB Ger t des CEO in einer spezifischen Ger tegruppe eingeben Dieser Abschnitt beschreibt wie freigegebenen Modelle oder spezifische Ger te entweder ber die Liste der Ger te deren Nutzung in Ihrer Organisation von SafeGuard PortAuditor erkannt wurde mit Hilfe des Assistenten Freigegebenes Ger t hinzuf gen siehe Hinzuf gen eines Ger ts mit Hilfe des Assistenten oder manuell hinzugef
461. rotokolliert Das Schreiben von Dateien auf eine CD DVD die von SafeGuard PortProtector nicht protokolliert werden k nnen ist standardm ig gesperrt Dem Benutzer wird eine SafeGuard PortProtector Client Meldung angezeigt wenn er versucht ein nicht unterst tztes Format zu schreiben Wenn Sie das Schreiben dieser Dateien zulassen m chten deaktivieren Sie das Kontrollk stchen Nicht unterst tzte Brennformate sperren 3 Klicken Sie auf OK um die Einstellungen zu speichern und das Fenster Berechtigungen f r CD DVD zu schlie en 68 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 7 Schritt 7 Dateikontrolle definieren Mit SafeGuard PortProtector k nnen Sie nicht nur Berechtigungen ftir Speicherger te festlegen sondern auch f r die Dateien die zu von diesen Ger ten bertragen werden Hierf r werden die Dateien beim Transfer zu von externen Speicherger ten auf ihren Typ hin berpr ft Diese Technologie erm glicht eine u erst zuverl ssige Klassifizierung der Dateien bei der die Inhalte des Datei Headers anstelle der Dateierweiterung gepr ft werden So wird verhindert dass Benutzer den Schutz einfach durch ndern der Dateierweiterung umgehen k nnen Dank nahezu 200 integrierter Dateitypen aller g ngigen Anwendungen die in 14 Dateikategorien eingeordnet sind k nnen Policies so detailliert definiert werden wie nie zuvor Da sowohl die auf externe Speicherger te heruntergeladenen als auch auf den gesch tzten E
462. rtProtector k nnen Sie die verschiedenen Administrationseinstellungen aktualisieren Hierzu verwenden Sie das Fenster Administration wie folgt So ffnen Sie das Fenster Administration Wahlen Sie im Men Extras die Option Administration ODER Klicken Sie in der Start Welt im Abschnitt Mehr auf den Link Administrationseinstellungen ndern Das Fenster Administration wird angezeigt 7 2 Fenster Administration Die Einstellungen im Fenster Administration bestehen aus sechs Registerkarten Allgemein in Einstellungen auf der Registerkarte Allgemein beschrieben Policies in Konfigurieren der Eigenschaften auf der Registerkarte Policies beschrieben Logs und Alarme in Konfigurieren der Einstellungen auf der Registerkarte Logs und Al beschrieben Clients in Konfigurieren der Einstellungen auf der Registerkarte Clients beschrieben Pflege in Konfigurieren der Einstellungen auf der Registerkarte Pflege beschrieben Lizenzierung in Konfigurieren der Einstellungen auf der Registerkarte Lizenzierung beschrieben 229 SafeGuard PortProtector 3 30 Benutzerhilfe 7 3 Einstellungen auf der Registerkarte Allgemein Allgemeine Administrationseinstellungen werden auf der Registerkarte Allgemein des Fensters Administration definiert Administration i x Allgemein Allgemein EE Aktive Management Server Organisations ID 6CDMC Policies SSL mit Consoles SSL mil 4443 Logs und Alarme chuti2003 Utima
463. rwacht st ndig den Echtzeitverkehr auf den gesch tzten Ports und wendet angepasste ausgefeilte Sicherheitspolicies auf alle physischen kabellosen und Wechselspeicher Schnittstellen an Er sperrt unberechtigte Aktivit ten wie etwa Ger t einstecken auf das Speicherger t schreiben an WiFi Netze anschlie en sch tzt die auf die Speicherger te geschriebenen Daten alarmiert die Administratoren ber unberechtigte Nutzungsversuche und protokolliert Ereignisse f r k nftige Ansicht und Auswertung Der SafeGuard PortProtector Client ist ein Softwarepaket das transparent auf den Endpunkt Computern auf Kernelebene l uft und die Schutzpolicies auf jedem Rechner auf dem es eingesetzt ist durchsetzt Die Software ben tigt nur minimalen Platz in puncto Dateigr e CPU und Speicherressourcen und beinhaltet redundante Multi Tier Funktionen zum Schutz vor Manipulationen um eine permanente Kontrolle der Endpunkte zu gew hrleisten SafeGuard PortProtector Client kann unbemerkt auf allen Endpunkten installiert werden Die Verteilung der Policy an die Endpunkt Computer kann entweder durch den Management Server ber SLL oder mit Hilfe der Group Policy Management Console des Microsoft Active Directory oder mit Hilfe eines beliebigen in Ihrer Organisation zur Verteilung von Software eingesetzten Tools eines Drittanbieters erfolgen Sobald die Policies verteilt wurden beginnt der Client sofort mit dem Schutz der Ports des Computers Ein Neustart
464. s aspnet_wp exe Bei Windows 2003 ist das w3wp exe 5 ffnen Sie die SafeGuard PortProtector Management Console auf Ihrem lokalen Computer und nehmen Sie irgendeine nderung in Global Policy Settings vor um die Neuver ffentlichung aller Policies zu verursachen Hinweis 1 Daalle Clients und Management Consoles diesen Port f r die Kommunikation mit dem Management Server benutzen wird durch die nderung des Ports die Kommunikation mit dem Server unterbrochen bis sie ber den neuen Port informiert werden 2 ndern Sie den Port nie w hrend aktiver Arbeitszeiten Wenn jetzt mehrere Management Consoles benutzt werden wird durch die nderung des Ports eine sofortige Unterbrechung der Verbindung zu diesen Konsolen verursacht was zu Datenverlust f hren kann 3 SafeGuard PortProtector Clients kommunizieren mit dem Management Server ber den in ihrer Policy angegebenen Kommunikationsport Wenn Sie den Port ndern k nnen die Clients nicht mehr mit dem Management Server kommunizieren bis sie die neu ver ffentlichen Policies erhalten 4 Management Console Administratoren m ssen ber die Port nderung informiert werden Sie k nnen eine der folgenden M glichkeiten w hlen a Sie veranlassen dass die Administratoren die Management Console ber die Management Console Installations Webseite neu installieren Sie m ssen sie ber die neue Adresse informieren siehe nach dieser Anmerkung b Sie teilen Ihren Administratoren
465. s tze der Abfrageergebnisse ausw hlen m chten klicken Sie auf die erste Optionsschaltfl che und geben Sie an wie viele Seiten Sie exportieren m chten 3 Wenn Sie alle Seiten der Abfrageergebnisse exportieren m chten aktivieren Sie die Optionsschaltfl che Alle Seiten Hinweis Das Exportieren der gesamten Abfrage kann sehr lange dauern 4 Klicken Sie auf OK Ein Verlaufsfenster wird angezeigt und der Export beginnt 5 3 5 Anzeigen weiterer Log Tabellen Sie k nnen weitere Log Fenster ffnen und mehrere Log Fenster gleichzeitig betrachten Hierf r haben Sie mehrere M glichkeiten So ffnen Sie ein neues Log Fenster Klicken Sie in der oberen rechten Start Registerkarte auf der Registerkarte der Log Welt Eilclient Logs EGFile Logs Eserver Logs auf die gew nschte Start Schaltfl che ODER im Fenster Abfragen verwalten siehe Verwalten von Abfragen ODER 1 W hlen Sie im Men Datei die Option Neu Ein zweites Men wird angezeigt 2 W hlen Sie aus dem zweiten Men den zu ffnenden Fenstertyp aus Client Logs Server Logs oder File Logs Das gew nschte Log Fenster wird angezeigt 166 SafeGuard PortProtector 3 30 Benutzerhilfe 5 4 Filtern nach Herkunft des Logdatensatzes Die linke Seite des Logs Hauptfensters enth lt zwei Registerkarten die Ihnen helfen die Organisationseinheiten oder Computer Benutzer zu bestimmen deren Logs in der Log Tabelle angezeigt werden sollen Dabei handelt es sich um
466. s Drittanbieter Tools an die Registry des Computers auf dem SafeGuard PortProtector Client installiert ist verteilt werden Bei dieser Option wird Active Directory nicht verwendet Hinweis Wenn Sie die zuvor beschriebene Option Active Directory verwenden genutzt haben und dann sp ter diese Option w hlen und die Option Active Directory deaktivieren werden alle vorhandenen Policies in den angegebenen freigegebenen Ordner kopiert und von diesem Zeitpunkt an werden alle Policies nur als Registry Dateien in einem freigegebenen Ordner gehandhabt Dieser Vorgang kann ein paar Augenblicke dauern So geben Sie an dass Policies als Registry Dateien ver ffentlicht werden 1 Markieren Sie Policies an freigegebenen Ordner ver ffentlichen 2 Geben Sie im Feld Pfad zum Speichern von Policy Registry Dateien reg den freigegebenen Ordner ein oder suchen Sie ihn in dem diese Registry Dateien gespeichert werden Hinweis Wenn Sie eine Management Console benutzen die sich nicht auf demselben Computer wie der Management Server befindet ist der ausgew hlte Pfad relativ zum Server nicht zur Console 247 SafeGuard PortProtector 3 30 Benutzerhilfe 3 Stellen Sie Folgendes sicher 4 Auf den angegebenen Ordner kann von Ihrem Drittanbieter Tool zugegriffen werden um die Policies an SafeGuard PortProtector Clients zu verteilen 5 Auf den angegebenen Ordner kann von dem Benutzerkonto das Sie oben in Server Domain Credentials angegeben haben
467. s Jahr hinzuf gen haben Sie trotzdem nur eine Ein Jahres Lizenz 269 SafeGuard PortProtector 3 30 Benutzerhilfe So ffnen Sie das Fenster Lizenz aktualisieren Klicken Sie auf Lizenz aktualisieren Das Fenster wird angezeigt Lizenz aktualisieren x Um eine Lizenz f r SafeGuard PortProtector zu erhalten m ssen Sie den Fingerprint Ihres Server Computers angeben Management Server version 3 3 55031 46115 Fingerprint des Server Computers E248 4EA3 Bitte den Server Lizenzschl ssel eingeben Benutzername E Mail Adresse Lizenz Lizenzeigenschaften Benutzername Keine E Mail Adresse Keine Zeitraum 30 Tage Pl tze 10 Mit Unterst tzung f r Datei Shadowing Mit Unterst tzung f r Mediaverschl sselung Aktualisieren Abbrechen Hinweis Wenn die Integration der Inhaltspr fung aktiviert ist wird eine zus tzliche Zeile im Abschnitt Lizenzeigenschaften angezeigt Mit Inhaltspriifung 7 9 1 1 1 Aktualisieren der Lizenz 1 Schritt 1 Lizenzschl ssel beschaffen Um einen Lizenzschl ssel zu beschaffen wenden Sie sich an Sophos oder Ihren H ndler und geben den Fingerprint des Server Computers so an wie er auf dem Bildschirm erscheint Der Fingerprint in dem oben gezeigten Fenster lautet beispielsweise 70AA 6C8F Anhand dieses Fingerprints wird ein Lizenzschliissel fiir Sie generiert der nur auf diesem spezifischen Computer benutzt werden kann Hinweis Sie k nnen diese
468. s and security awareness training program Logging Send logs to Logs should clearly not be stored on the SafeGuard endpoint but instead sent to the SafeGuard PortProtector PortProtector Server where they can be protected Server and viewed by the administrator Send logs every 12 Other logging settings here provide adequate hours cardholder protection by ensuring periodic updating of logs on the server without burdening Logconnectand Ihe network inclusion of connect and disconnect disconnect events eyents to allow for analysis of how long a device was connected End user Review the end user It is important to provide a constant reminder Imessages Imessages associated to those exposed to cardholder data that they are responsible for protecting cardholder data and complying with policies Modifying the end user messages to specifically mention PCI security and cardholder data protection will assist in the security awareness of your organization 368 SafeGuard PortProtector 3 30 Benutzerhilfe Setting PCI Settin Rationale Encryption Donotallow users It is important to restrict the use of cardholder to to access encrypted systems with adequate protection measures devices at home Home computers would generally fall outside of the cardholder data environment and should not Approve read only have the ability to read cardholder data access for non encrypted devices Setting read only for non encrypted devic
469. s it is important to have a strong HIPAA compliance program supporting business objectives in place before tailoring the settings of any safeguard to comply with HIPAA requirements 330 SafeGuard PortProtector 3 30 Benutzerhilfe Foundation 2 Understand Business Needs The decision to expose EPHI to data leakage threats through the use of portable mobile devices and EPHI offsite transport should be based on the neccessity of implementing business objectives There are a variety of business objectives that may lead to the decision to allow the use of portable mobile devices and offsite transport such as home healthcare use of PDAs in healthcare applications or transport of medical information to offsite storage Such a variety of business objectives leads to a variety in formally documented security policies and the application and configuration of technologic controls These formal policies are therefore tailored to business objectives and drive the implementation of technology 13 1 2 Considerations To protect EPHI security and privacy from unauthorized access there are a variety of security safeguards administrative physical and technical that can be used A coordinated integration of combined safeguards is required to properly protect EPHI The DHHS security guidance for remote use and access describes several considerations for safeguard enhancement to address this issue Each of these considerations is described below as
470. s outside of the Encryption to access encrypted organization at home or on external networks devices on poses a security threat of data leakage through computers outside unsecured networks of the network Setting read only for non encrypted devices Approve read only allows the flexibility of importing information access for non from removable storage devices without encrypted devices exposing confidential data to the risk of disclosure from loss or theft of a non encrypted device 16 2 2 Other SafeGuard PortProtector FISMA Settings For the appropriate setting of other SafeGuard PortProtector features and options refer to the Pre Requisites for Addressing FISMA Compliance Issues detailed in this document Specifically the following SafeGuard PortProtector features should follow the business objectives and the sensitive data environment as defined in Foundations Considerations Preparations 383 SafeGuard PortProtector 3 30 Benutzerhilfe Logging of System Events SafeGuard PortProtector alerts provide supervision of administrative actions and protection of the SafeGuard PortProtector security functions in case of attempted tampering The following alert options should be set in order to preserve the security functions provided by SafeGuard PortProtector Log all administrative events logs all administrative actions and provides supervision of SafeGuard PortProtector administration Alert all tampering events
471. sch tzt vergibt die geringste Berechtigung Zum Beispiel Wenn die Gruppe Freigegebene Modelle die ein Speicherger t enth lt auf Zulassen gesetzt ist und das spezifische Ger t auf Schreibgesch tzt gesetzt ist gilt die Berechtigung Zulassen Log and Alarmeinstellungen werden ebenfalls von der Definition mit den meisten Berechtigungen bernommen Falls ein Ger t zu mehreren Gruppen geh rt und diese Gruppen dieselben Berechtigungen haben wird SafeGuard PortProtector die Gruppen willk rlich ausw hlen Wenn die Gruppen nicht dieselben Log und Alarmeinstellungen haben ist es nicht vorhersehbar welche Einstellungen angewendet werden 103 SafeGuard PortProtector 3 30 Benutzerhilfe 3 4 4 Hinzuf gen eines Ger ts mit Hilfe des Assistenten Sobald Sie Ger tegruppen definiert haben steht ein einfacher Assistent Freigegebenes Ger t hinzuf gen zur Verf gung Dieser leitet Sie durch die Schritte beim Hinzuf gen freigegebener Ger te aus einer Liste der zuvor von SafeGuard PortAuditor auf den Computern in Ihrem Netz erkannten Ger ten Sie k nnen Ger te auch manuell hinzuf gen siehe auch Manuelles Hinzuf gen eines Ger ts Der Assistent wird ge ffnet wenn Sie auf Ger t e hinzuf gen im Fenster Gruppe bearbeiten klicken oder ber Assistent hinzuf gen im Kontextmen ausw hlen wie in Hinzuf gen von Ger ten erl utert Der Assistent beinhaltet drei Schritte Schritt 1 Ger tedaten beschaffen Schritt 2 Ger te
472. schenablage Anzeigen aller Logs f r ein e en Ger t Policy Benutzer Computer mit dem der ein Logdatensatz verkn pft ist Diese Optionen werden in den folgenden Abschnitten erl utert So greifen Sie auf die Optionen f r Logdatens tze zu Klicken Sie in der Log Tabelle mit der rechten Maustaste auf den gew nschten Datensatz Ein Men wird angezeigt 5 3 3 1 Anzeigen der Eigenschaften des Logdatensatzes Diese Option erm glicht Ihnen die Anzeige der Datensatzeigenschaften in einem Fenster Sie m ssen demnach nicht mehr durch die Log Tabelle scrollen So zeigen Sie die Datensatzeigenschaften an Klicken Sie im Kontextmen auf Eigenschaften Das Fenster Logdatensatz Eigenschaften wird angezeigt EG Logdatensatz Eigenschaften x Ereignis Y Zugelassen Datum 21 07 2008 Zeit 05 07 44 Benutzer administrator safendga Computer yuyal2 safendga Safend Port USB Policy Unbenannt 1 Gruppe Ger tebeschreibung USB HID Human Interfa Ger teinfo USB HID Human Interface Device Ger tetyp HID Ger te Hersteller 04B3 Modell 310C Eindeutige ID Zus tzliche Daten m 163 SafeGuard PortProtector 3 30 Benutzerhilfe 5 3 3 1 1 Logdatens atz Eigens chaften Dieses Fenster zeigt die Felder des Datensatzes abh ngig vom Datensatztyp und die zugeh rigen Werte F r jeden Logtyp Client File oder Server werden andere Information in den entsprechenden Tabellenspalten angezeigt Eine Erl
473. sen Sie das Ger t an einen Computer anschlie en auf dem SafeGuard PortProtector l uft um auf das Ger t zuzugreifen 303 SafeGuard PortProtector 3 30 Benutzerhilfe 8 7 4 Entfernen der Verschl sselung Sie k nnen bei Bedarf die Verschl sselung von verschl sselten Ger ten entfernen Dies wird nicht empfohlen wenn es nicht unbedingt erforderlich ist da die Daten auf Ihrem Ger t verloren gehen und das Ger t nicht mehr gesch tzt ist So entfernen Sie die Verschl sselung 1 Schlie en Sie das Ger t an 2 Klicken Sie in Mein Computer mit der rechten Maustaste auf das Ger t und w hlen Sie die Shell Erweiterung SafeGuard PortProtector Open Browse with Paint Shop Pro Explore Search AutoPlay Scan for Viruses SafeGuard PortProtector Set Offline Password Encrypt WrortoisesvN Remove Encryption Open as Portable Media Device cD WinZip gt Format Eject Cut Copy Paste Create Shortcut Rename Properties 3 Wahlen Sie Verschl sselung entfernen Das folgende Fenster wird angezeigt Remove Encryption F X To start using this device as non encrypted a Format is required Formatting will delete all the information currently stored on this device It is highly recommended to backup the information on the device first Click Next to continue lt Back 304 SafeGuard PortProtector 3 30 Benutzerhilfe
474. sichtlich der Dateien die zu bzw von diesen Ger ten kopiert wurden So ffnen Sie das Fenster Suspendierungskennwort gew hren Klicken Sie in der Clients Tabelle mit der rechten Maustaste auf den Computer dessen Schutz Sie aufheben m chten und w hlen Sie Suspendierungskennwort gew hren Alternativ hierzu k nnen Sie auf die Schaltfl che Suspendierungskennwort gew hren in der Symbolleiste klicken oder diese Option im Men Extras w hlen Das folgende Fenster wird angezeigt Suspendierungskennwort gew hren x Computername Suspendierung von SafeGuard PortProtector f r 15 Minute Anmerkung Generieren rSuspendierungskennwort Kennwort kopieren Per E Mail senden Q 224 SafeGuard PortProtector 3 30 Benutzerhilfe 6 11 1 Gew hren eines Suspendierungskennworts Geben Sie im Fenster Suspendierungskennwort gew hren die erforderlichen Daten zu dem Computer ein auf dem der Schutz aufgehoben werden soll Geben Sie dort die Suspendierungsparameter ein und generieren Sie ein Suspendierungskennwort das Sie dem Benutzer zur Verf gung stellen So gew hren Sie ein Suspendierungskennwort 1 Wenn das Feld Computername leer ist was der Fall sein kann wenn Sie dieses Dialogfeld ber das Men Extras ffnen oder die Schaltfl che der Symbolleiste nutzen geben Sie den gewtinschten Computernamen ein 2 Wahlen Sie im Feld Suspendierung von SafeGuard PortProtector f r den Suspendieru
475. sierten Computern gew hrt werden soll Wird dies erlaubt kann der Benutzer sein eigenes Offline Kennwort festlegen und das Offline Access Utility das sich auf dem verschl sselten Ger t befindet auf einem nicht autorisierten Computer benutzen um f r sicheren Zugriff auf die Daten sein Kennwort einzugeben Weitere Informationen zur Speicherkontrolle finden Sie in Schritt 6 Speicherkontrolle definieren in Schritt 6 Speicherkontrolle definieren in Kapitel 3 Definieren von Policies 10 SafeGuard PortProtector 3 30 Benutzerhilfe 1 2 4 Dateikontrolle File Control bietet ein weiteres Ma an Granularitat und Sicherheit durch die berwachung und Kontrolle der Datei bertragung zu von externen Speicherger ten Die Definitionen werden auf der Ebene der Dateitypen festgelegt Dabei k nnen bestimmte Dateiiibertragungen zugelassen oder gesperrt und Logs und Alarme generiert werden SafeGuard PortProtector Management Console l8j xi Datei Bearbeiten Ansicht Extras Fenster Hilfe PE N a Seen Ra Sn A M Var h ETN 57 Policies WTN Policies Neu Ei Policies B Cintegriert Alle zulassen Keine Proto x Ge Xb Boe BE Allgemein ____ These Berechtigungen gelten f r a
476. sind PolicyA und PolicyB Die Berechtigung f r die Disk on Key Smart Funktionalit t in PolicyA ist Zulassen Die Berechtigung f r Wechselspeicherger te in PolicyB ist Sperren Werden nun PolicyA und PolicyB auf einem Endpunkt zusammengef hrt wird die Berechtigung Zulassen f r die Disk on Key Smart Funktionalit t bernommen weil die Berechtigung Zulassen h her ist als Sperren Hinweis Wenn Policies auf einem Client zusammengef hrt werden werden die Namen aller zusammengef hrten Policies in den Logs dieses Clients und die Daten in der Clients Table angezeigt 4 5 1 Zusammenf hren von Policies bei nicht klassifizierten zugelassenen Ger ten Wenn nicht klassifizierte Ger te als Zugelassen auf der Seite Policies im Fenster Administration definiert sind siehe auch Beschreibung in Zulassen Sperren nicht klassifizierter Ger te verh lt sich das Zusammenf hren von Policies bez glich der Ger tekontrolle anders In diesem Fall werden die Ger tekontrolldefinitionen mit den geringsten Berechtigungen aller zusammengef hrten Policies durchgesetzt Das bedeutet dass die auf der Registerkarte Ger tekontrolle der Policy definierten Sicherheitsaktionen so zusammengef hrt werden dass die mit den geringsten Berechtigungen in Kraft treten w hrend die brigen Policy Definitionen wie etwa Portkontrolle Speicherkontrolle und Dateitypkontrolle weiter so zusammengef hrt werden dass die Sicherheitsaktionen mit den meisten Berechtigunge
477. so zusammengef hrt werden dass die Sicherheitsaktionen mit den meisten Berechtigungen wirksam werden wie oben beschrieben Beispiel PolicyA und PolicyB sind zwei zusammengef hrte Policies PolicyA gibt an dass die Berechtigung f r das Schreiben f r Other File Types auf Gesperrt und f r das Schreiben f r Dateityp Published Documents auf Gesperrt gesetzt ist PolicyB gibt an dass die Berechtigung f r das Schreiben f r Other File Types auf Gesperrt und f r das Schreiben f r File Type Published Documents auf Zugelassen gesetzt ist 152 SafeGuard PortProtector 3 30 Benutzerhilfe Wenn PolicyA und PolicyB auf einem Endpunkt zusammengefiihrt werden findet die Berechtigung Zugelassen f r Published Document Anwendung weilAndere Dateitypen auf Gesperrt gesetzt ist Auf diese Weise wird die Definition mit den meisten Berechtigungen f r Dateigruppen inklusive Published Documents angewendet 153 SafeGuard PortProtector 3 30 Benutzerhilfe 5 Anzeigen von Logs Uber dieses Kapitel Dieses Kapitel beschreibt die Logs Welt in der Sie SafeGuard PortProtector Logs und Shadow Dateien anzeigen verwalten und erfassen sowie einige administrative Aufgaben ausf hren k nnen Das Kapitel enth lt die folgenden Abschnitte bersicht beschreibt Logs sowie deren Funktion und liefert einen kurzen berblick ber die Logs Welt Kurze bersicht ber die Logs Welt beschreibt das Hauptfenster der Logs Welt Log Tabel
478. speicherger te auffordern Benutzer deren geltende Policy die Entschl sselung und Heimnutzung verschl sselter Speicherger te erm glicht m ssen dar ber hinaus die Anleitungen in Offline Zugriff auf verschl sselte Ger te erhalten damit Sie wissen wie ein Kennwort f r den Offline Zugriff festgelegt und Ger te entschl sselt werden 305 SafeGuard PortProtector 3 30 Benutzerhilfe 8 7 5 Verfolgen der Offline Nutzung verschl sselter Ger te Wenn autorisierte Endbenutzer verschl sselte Wechselspeicherger te auf organisationsfremden Computern benutzen m chten Sie ggf alle Datei bertragungen r ckverfolgen die sie vom zum Ger t durchgef hrt haben Mit SafeGuard PortProtector k nnen Sie das siehe Schritt 10 Protokollierung definieren in Kapitel 3 Definieren von Policies Wenn Sie diese Option aktivieren werden alle Informationen zu Offline Datei bertragung auf dem verschl sselten Ger t gespeichert Sobald das verschl sselte Ger t wieder an das Organisationsnetz angeschlossen wird werden alle gespeicherten Logs an den Management Server gesendet und k nnen unter File Logs in die Logs Welt eingesehen werden 8 8 CD DVD Verschl sselung ber die Safend Protector CD DVD Verschl sselung k nnen Endbenutzer Daten auf CD DVD Medien verschl sseln Verschl sselte CD DVDs werden mit Hilfe von Organisationsschl sseln verschl sselt Das bedeutet dass auf die darin enthaltenen Ordner und Dateien von jedem Computer der
479. ss Erstellen von GPOs in Active Directory Jedes Mal wenn eine Policy erzeugt oder modifiziert wird ver ffentlicht der Management Server sie als GPO in Ihrem Active Directory WMI Zugriff auf Remote Computer Kontrollmeldungen vom Management Server werden ber WMI an die Endpunkte gesendet Der Benutzer muss auf jedem der Endpunkte ber die Berechtigung zum WMI Zugriff verf gen Hinweis 1 Sophos empfiehlt dass Sie ein Konto mit Dom nen Administratorrechten in Ihrem Netz verwenden um Probleme zu vermeiden 2 Wenn Sie irgendwann den Client Installation Folder siehe unten ndern oder Policies als reg Dateien in einem Ordner installieren m chten miissen Sie sicherstellen dass dieser Benutzer volle Zugriffsrechte Lesen und Schreiben auf diese Ordner hat 3 Wenn Sie Policies nur als reg Dateien ver ffentlichen braucht dieser Benutzer nicht dazu befugt zu sein GPOs in Active Directory zu erzeugen ndern Sie bei Bedarf diesen Benutzer indem Sie auf ndern im Abschnitt Geschiitzte Dom ne klicken Das Fenster Benutzer ndern wird angezeigt x Benutzername Administrator _ Kennwort Krk Dom ne Sophos Abbrechen 7 3 1 4 1 ndern eines Benutzers 1 Geben Sie die Berechtigungen Benutzername Kennwort Dom ne des neuen Benutzerkontos ein 2 Sie k nnen auch berpr fen ob der Benutzer g ltig ist und ber ausreichende Rechte verf gt Klicken Sie hierzu auf Validie
480. ssen es wieder ffnen um das Ger t wieder anzuschlie en Solange Sie das Entschl sselungskennwort nicht eingegeben haben kann auf das verschl sselte Ger t ist zugegriffen werden So geben Sie ein Kennwort f r den Offline Zugriff ein Geben Sie im Taskleistenfenster das Ger tekennwort ein und klicken Sie auf Auf das Ger t zugreifen Auf die Daten auf dem Ger t kann jetzt zugegriffen werden und das Taskleistensymbol ndert sich zu Verschl sselt 6 302 SafeGuard PortProtector 3 30 Benutzerhilfe Hinweis Wenn das Fenster Offline Access Password verschwindet bevor Sie das Kennwort eingeben konnten geben Sie das Kennwort ein indem Sie mit der rechten Maustaste in Mein Computer auf das Ger t klicken und die Shell Erweiterung SafeGuard PortProtector w hlen in der sich die Option Offline Kennwort festlegen befindet SRP Rea Sane anne Wechseldatentr Sc giles Explorer Suchen Freigabe und Sicherheit SafeGuard PortProtector gt Offline Kennwort Festlegen Verschl sselung aufheben Formatieren Auswerfen Ausschneiden Kopieren Verkn pfung erstellen Umbenennen Eigenschaften Hinweis Wenn Sie das Ger t entfernen m ssen Sie das Entschl sselungskennwort wieder eingebeben sobald Sie es das n chste Mal anschlie en Die Wiederholversuche f r die Eingabe des Kennworts sind limitiert um unrechtm igen Zugang zu verhindern Wenn Sie diese Grenze berschreiten m s
481. st beispielsweise bei folgenden Szenarien hilfreich Fin cleverer b sartiger Benutzer k nnte eine zus tzliche Festplatte am internen IDE Bus anschlie en um Firmendaten auf dieses Ger t zu ziehen ohne eine Spur zu hinterlassen Dank dieser Funktion k nnen die Administratoren sofort bei jedem Anschlie en oder Trennen von Ger ten an den internen Ports der gesch tzten Endpunkte alarmiert werden 54 SafeGuard PortProtector 3 30 Benutzerhilfe Berechtigungen f r Hybridnetz berbr ckung Mit SafeGuard PortProtector k nnen Administratoren die Nutzung verschiedener Netzwerkprotokolle kontrollieren und die deren gleichzeitige Nutzung verhindern was zu versehentlicher oder unbeabsichtigter Hybridnetz berbr ckung f hren kann z B WiFi Bridging und 3G Karten Bridging Wenn SafeGuard PortProtector Clients so konfiguriert werden dass der Zugriff auf WiFi Bluetooth Modem oder IrDA Links blockiert wird w hrend die verkabelte TCP IP Netzwerkschnittstelle mit einem Netz verbunden ist k nnen die Benutzer bestimmte Netzwerkprotokolle nur dann verwenden wenn sie vom Netz getrennt sind Auf diese Weise werden der Aufbau und der m gliche Missbrauch einer Hybridnetzbr cke vermieden Berechtigungen f r Hybridnetz berbr ckung werden im Fenster Netz berbr ckung sperren festgelegt So ffnen Sie das Fenster Block Network Bridging Klicken Sie auf die Schaltfl che Es Das Fenster Netz berbr ckung sperren wird angezeigt Net
482. st in the tracking of security incidents and in Alerts can be IA 3 Device Identification and SafeGuard Set the security Authentication The PortProtector action for the information system security policies can device type to identifies and restrict access to restrict and select authenticates specific storage and non white list to add devices before establishing storage devices and exemptions by a connection create exemptions VID PID or based on vendor serial number and product ID for models or serial number for specific devices and log all access attempts according to VID PID serial number user and machine IR 4 1 Incident Handling The By using alerts it is organization employs possible to Open the automated mechanisms to utomatic ally Administration support the incident ee dialog click Logs handling process iicid nt amp Alerts and a create new alert IR 5 1 Incident Monitoring The information destinations Set notification security policies to export alerts to them 391 SafeGuard PortProtector 3 30 Benutzerhilfe Requirement Requirement Description Relevant SafeGuard How to apply Number PortProtector SafeGuard Features PortProtector policies for FISMA compliance the collection and analysis exported to email of incident information event viewer syslog and external IR 6 1 Incident Reporting The systems via SNMP organizatio
483. stallation ist die Ver ffentlichung von Policies unter Verwendung des Policy Servers Wenn Sie diese Option tats chlich nutzen verwenden Sie die anderen Verteilungsmethoden nur zus tzlich aus Gr nden der Abwartskompatibilitat Wenn Sie mehrere dieser Optionen w hlen werden SafeGuard PortProtector Policy Dateien an die entsprechenden Stellen kopiert und es kann jede beliebige Methode zur Verteilung der Policies an SafeGuard PortProtector Clients genutzt werden Wenn Sie keine dieser Optionen w hlen werden SafeGuard PortProtector Policies nur in der SafeGuard PortProtector Policy Datenbank gespeichert Nachdem Sie eine dieser Optionen aktiviert haben werden diese Policies an die entsprechenden Stellen kopiert Auch wenn die meisten Benutzer normalerweise die Methode f r die Policy Verteilung ein Mal nach der Installation definieren k nnen Sie diese Einstellungen doch jederzeit ndern Bei jeder nderung generiert die Anwendung alle Policies an den aktualisierten Standorten neu Siehe Kapitel 4 Verteilen von Policies Policy Server W hlen Sie die Option Policy direkt vom Server an Clients ver ffentlichen um den Policy Server zu nutzen Dadurch k nnen Sie Policies in der Management Console mit Organisationsobjekten verkn pfen und sie direkt vom Management Server an die Clients verteilen Mit dieser Option werden alle Policies zusammengef hrt wenn mehrere Policies mit einem Organisationsobjekt verkn pft ist siehe Zusammenf hre
484. stellt Organisationsstruktu PEM Struktur aktualisieren Struktur mit Verzeichnis synchronisieren H 177 Nicht in Dom ne Organisationsstruktur Nach Namen suchen Los Hinweis Die Organisationsstruktur ist nur anwendbar wenn Sie Active Directory Novell eDirectory einsetzen Andernfalls wird nur eine Gruppe in der Struktur angezeigt Nicht in Dom ne Durch Auswahl dieser Gruppe werden alle Computer ausgew hlt 213 SafeGuard PortProtector 3 30 Benutzerhilfe So w hlen Sie die gew nschten Organisationseinheiten aus 1 Erweitern Sie bei Bedarf die Organisationsstruktur so dass Organisationseinheiten auf niedrigeren Ebenen angezeigt werden 2 W hlen Sie die gew nschte Dom ne oder Organisationseinheiten durch Aktivieren der entsprechenden Kontrollk stchen aus 3 Klicken Sie unten auf der Registerkarte Organisationsstruktur auf LOS Ed Die Informationen die jetzt in der Clients Tabelle angezeigt werden stammen ausschlie lich von Clients die zu dem in der Struktur gew hlten Element geh ren 6 5 1 1 Aktualisieren der Organisationsstruktur Bevor Sie Ihre Auswahl in der Struktur treffen m chten Sie sie vielleicht aktualisieren Sie k nnen die Struktur entweder im SafeGuard PortProtector Management Server aktualisieren oder sie mit Active Directory Novell eDirectory synchronisieren das Directory kann aktueller sein aber es kann auch l nger dauern Die S
485. ster Verlauf der Client Tasks zeigt alle derzeit laufenden Tasks mit dem Status der jeweiligen Task und den jeweils auftretenden Status nderungen F r jeden Client wird eine Zeile angezeigt es sei denn dass f r denselben Client eine Policy Aktualisierung und eine Logerfassung gleichzeitig laufen so dass zwei Zeilen f r den betroffenen Client angezeigt werden F r die wechselnden Phasen der Tasks werden auch die Werte in der Spalte Status ge ndert Eine abgeschlossene Task hat den Status Abgeschlossen oder Fehlgeschlagen Beim Status Fehlgeschlagen wird ein Grund angegeben Das Fenster Verlauf der Client Tasks Option Beschreibung Computer Zeigt den vollst ndigen Computernamen an Task Zeigt die Task an die der Client ausf hrt Log erfassen Policy aktualisieren Status Zeigt den aktuellen Status der Task Abgeschlossen Anstehend Pushen der Policy Fehlgeschlagen Details Wenn der Status Fehlgeschlagen ist wird der Grund angezeigt 222 SafeGuard PortProtector 3 30 Benutzerhilfe Hinweis Da SafeGuard PortProtector f r die Ausf hrung von Remote Client Tasks WMI nutzt m ssen WMI Ports ge ffnet sein damit der Befehl durchgeht Client Task Fehler Weitere Informationen hierzu finden Sie in Hinweis Wenn Sie im Fenster Administration Novell als Ihr Verzeichnis gew hlt haben k nnen Sie diese Aktion nur ausf hren wenn ein Windows Benutzer mit lokalen Administratorrechten auf den Ziel Endpunkten definiert ist
486. ster e e 09 gt r Management Management Management Safend Directory Service Server 1 Server n g Active Directory eDirectory Console n Auditor v Protection Suspension WAN LAN Passwords e mail phone Control Clients WMI Policies SSL Control Clients WMI Policies SSL Endpoint Sites Site B 282 Endpoint Endpoint Endpoin Endpoint Endpoint Endpoint Endpoint Endpoint Endpoint Das System besteht aus folgenden Komponenten SafeGuard PortProtector Management Server SafeGuard PortProtector Management Server speichern die Policies und andere Definitionen erfassen Logs von den Clients erm glichen das Client Management und verteilen Policies an die Clients Als Speicher nutzen die Management Server eine interne bzw externe Datenbank siehe unten F r die Kommunikation mit den Clients und der Management Console setzen die Management Server IIS ein ber SSL Die Kontrolle der Clients erfolgt ber WMI LDAP konforme Protokolle werden zur Synchronisierung mit vorhandenen Organisationsobjekten genutzt die in einem Active Directory Novell eDirectory gespeichert sind Normalerweise verteilen die Management Server die Policies direkt an die Clients ber SSL Au erdem wird eine alternative Verteilungsmethode unterst tzt die den Active Directory GPO Mechanismus nutzt GPOs mit Policies werden in das Active Directory geschrieben Na
487. t Dar ber hinaus k nnen Sie mit WiFi Kontrolle Optionen f r Aktivit tslog und Alarm bis auf die Ebene spezifischer Netze angeben Das bedeutet Sie k nnen die Verbindung und Aktivit t einiger WiFi Verbindungen protokollieren die Aktivit ten bestimmter zugelassener Netze aber nicht 3 3 8 1 WiFi Kontrolle Registerkarte Allgemein WiFi Verbindungsarten Mit dieser Option k nnen Sie den Zugang zu WiFi Netzen zulassen oder einschr nken und Peer to Peer WiFi Verbindungen zulassen oder sperren Wenn Sie bei WiFi Netzen Einschr nken w hlen k nnen Sie weitere Angaben dar ber machen welche Netze freigegeben sind Eine Beschreibung f r die Definition der Einstellungen in diesem Fenster finden Sie in Definieren der WiFi Kontrolle 73 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 8 2 WiFi Kontrolle Registerkarte Wei e Liste SafeGuard PortProtector Management Console le x Datei Bearbeiten Ansicht Extras Fenster Hilfe Vey Policies Y Policies B Neu Policies Integriert Alle zulassen Keine Protokolle Unbenannt 3 rx Ge A XG Bo Ei Allgemein Diese Berechtigungen gelten nur wenn der WiFi Port mit Einschr nken definiert wurde Eigenschaften Sicherheit Portkontrolle Allgemein Wei e Liste Ger tekontrolle fm o Freigegebene Wir Speicherkontrolle dp Neu Bearbeiten d Dateikontrolle Aktion Log Alarm um ein ne
488. t und Sie k nnen im System erst dann wieder Operationen ausf hren wenn ein g ltiger Lizenzschl ssel eingegeben wurde Im Fenster Administration werden auf der Registerkarte Licensing Lizenzdetails f r SafeGuard PortProtector angezeigt Diese Lizenz kann bei Bedarf aktualisiert werden Die Registerkarte Licensing enth lt die folgenden Abschnitte Lizenzdetails Lizenznutzung Hinweis Bei jeder nderung einer der Einstellungen auf dieser Registerkarte m ssen Sie unten im Fenster Administration auf OK klicken damit die nderungen bernommen werden 7 9 1 1 Lizenzdetails Dieses Produkt ist lizenziert f r Benutzername Der Name der bei der Beschaffung des Produkts benutzt wurde E Mail Adresse Die E Mail Adresse die f r die Zusendung des Lizenzschl ssels benutzt wurde Ablauf Anzahl der in der Lizenz angegebenen Tage Pl tze Anzahl der zul ssigen lizenzierten Client Stationen Zusatzfunktionen Zusatzfunktionen oder Produkte die zus tzlich zu SafeGuard PortProtector in der Lizenz enthalten sind Sie k nnen mittels der Schaltfl che Lizenz aktualisieren auf der Registerkarte Lizenzierung im Fenster Administration Settings einen anderen Lizenzschl ssel eingeben siehe Abbildung unten Bedenken Sie dass eine neue Lizenz die vorhandene Lizenz berschreibt Sie wird nicht an Ihre aktuelle Lizenz angeh ngt Wenn z B Ihre aktuelle Lizenz in einem Jahr abl uft und Sie eine Lizenz f r eine weitere
489. t der Speicherkontrolle wird auf allen Ports durchgesetzt an denen ein Speicherger t angeschlossen werden kann Dazu z hlen Ports die auf Zugelassen oder Eingeschr nkt gesetzt sind sowie Ports die nicht durch SafeGuard PortProtector gesch tzt sind An einem auf Gesperrt gesetzten Port sind alle Speicherger te gesperrt weil die Sperrung so wirkt als w ren die Kabel abgetrennt 60 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 6 1 Anzeigen des Fensters Speicherkontrolle So ffnen Sie das Fenster Speicherkontrolle Klicken Sie auf der linken Seite im Men Sicherheit auf die Schaltfl che Speicherkontrolle Das folgende Fenster wird angezeigt SafeGuard PortProtector Management Console lelx Datei Bearbeiten Ansicht Extras Eenster Hilfe al Terz Sen g H t p Clients Policies Ej Neu Policies Integriert Alle zulassen Keine Proto 4a gt x Ge Xb 8 oO a Diese Berechtigungen gelten f r alle Speicherger te unabh ngig vom Port ber den sie angeschlossen sind Eigenschaften gt Portkontrolle m Allgemein Wei e Liste Ger tekontroll pi Pi ERI Policy fur alle Speichergerate Aktion Log Alarm Speicherkontrolle Alle S hi ate v Dateikontrolle SP u E H Autorun Funktionalit t vw WiFi Kontrolle __ Einste
490. tector in a SOX Regulated Organization About This Appendix In response to the major corporate accounting scandals at the beginning of the millennium the United States enacted a public law entitled Public Company Accounting Reform and Investor Protection Act of 2002 This law is generally referred to by its shorter nickname in honor of the major sponsors of the act Senator Paul Sarbanes D MD and Representative Michael Oxley R OH thus Sarbanes Oxley or SOX The law contains many titles and provisions but the area of most concern regarding information security is section 404 Assessment of internal control SOX section 404 requires among other things for an external auditor to evaluate the controls for safeguarding assets This review of controls by an external auditor is typically guided by the Common Objectives of Information and Related Technology COBIT as an internal control framework Recent data losses and attacks at the endpoint have highlighted the need for protection at all levels of the network including network endpoints Ensuring security at the endpoints within a network is one of the issues that must be addressed by all organizations seeking to meet SOX requirements SafeGuard PortProtector helps you regain control of your endpoints and address data leakage and targeted attack threats This chapter provides guidance on how to address these threats within a SOX 404 regulated environment The first section Pre Requis
491. tector in a HIPAA Regulated Organization provides specific SafeGuard PortProtector setting guidance for the policy user and administrator parameters within the SafeGuard PortProtector product It contains the following sub sections Implementation Approaches describes the different implementation approaches suggested in this document Policy Settings describes the setting and configuration of SafeGuard PortProtector Policies for implementation within a HIPAA environment Other SafeGuard PortProtector Settings describes the setting and configuration of SafeGuard PortProtector Settings that are not a part ofthe policy according to the business objectives and the environment of the HIPAA organization HIPAA Security Rule SafeGuard PortProtector Feature Mapping provides additional advice on how SafeGuard PortProtector helps to meet HIPAA Security Rule requirements 13 1 Pre Requisites for Addressing HIPAA Data Leakage Issues SafeGuard PortProtector provides many security features that can address the threats of data leakage and targeted attacks In order to effectively utilize the capabilities of the product the HIPAA regulated organization should take some preliminary actions to prepare to use SafeGuard PortProtector for HIPAA compliance There are three categories of pre requisites that help to ensure effective SafeGuard PortProtector implementation for HIPAA compliance The first category is Foundations Foundations are basic in
492. tegriert Alle zulassen Keine Alle zulassen Keine Protokollierung Dateikontrolle 30 12 09 8 Integriert Alle zulassen Log Alle zulassen Log Dateikontrolle Nur Schreib Ereignisse 30 12 09 8 27 38 Integriert HIPAA Optimales Der aggressive Ansatz zur Implementierung von Sophos innerhalb einer 30 12 09 Integriert HIPAA Optimales Der Standard Ansatz zur Implementierung von Sophos innerhalb einer 30 12 09 Integriert PCI DSS Optimales Diese integrierte Policy ist f r die Implementierung des Payment Card 30 12 09 8 27 38 Integriert SOX Optimales Der aggressive Ansatz zur Implementierung von Sophos innerhalb einer 30 12 09 8 27 38 Integriert SOX Optimales Der Standard Ansatz zur Implementierung von Sophos innerhalb einer 30 12 09 8 27 38 Benutzer Administrator UTIMACO Dieses Fenster kann jederzeit geschlossen bzw ge ffnet werden Wenn Sie eine Policy ffnen ganz gleich ob eine neue oder vorhandene wird folgendes Fenster angezeigt SafeGuard PortProtector Management Console la xj Datei Bearbeiten Ansicht Extras Fenster Hilfe N Q9 Policies 77 i zaj Clients Poias fe Net Policies Integriert Alle zulassen Keine Protokollier Unbenannt 3 x Bu XB Bo BE Geben Sie im oberen Teil dieser Seite die allgemeinen Policy Informationen ein Im unteren Teil f gen Sie die Organisationsobjekte hinzu mit Eigenschaften denen die Policy verkn pft werden soll
493. tellungen verwenden Policy Aktualisierung alle 90 Minuten Policy spezifische Einstellungen festlegen Aktualisierte Policy suchen alle Minuten x Kil Server localhost Benutzer Administrator UTIMACO 89 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 16 1 Definieren der Options einstellungen Hinweis Sie k nnen in jedem Abschnitt dieses Fensters angeben ob Sie die globalen Policy Einstellungen verwenden m chten indem Sie die Optionsschaltfl che Allgemeine Einstellungen verwenden aktivieren um die allgemeinen Policy Einstellungen anzuzeigen oder zu bearbeiten klicken Sie oben im Fenster auf Allgemeine Policy Einstellungen ffnen Das Fenster enth lt die folgenden Abschnitte Kennw rter f r Client Deinstallation und Administration Die Einstellungen in diesem Abschnitt legen die Kennw rter fest die bei der Verwaltung bzw Deinstallation von SafeGuard PortProtector Client benutzt werden Client Sichtbarkeit auf Endpunkten Die Einstellungen in diesem Abschnitt legen fest ob und wann das Taskleistensymbol und die Ereignismeldungen des SafeGuard PortProtector Client angezeigt werden Trennen aktiver Ger te Die Einstellungen in diesem Abschnitt legen fest wie SafeGuard PortProtector Ger te trennt die fr her zugelassen waren aber jetzt nicht mehr freigegeben sind Intervall f r Policy Aktualisierung Die Einstellungen in diesem Abschnitt legen das Intervall fest in dem Clients ihre
494. ter Objekt ausw hlen Objekte angezeigt deren Name die von Ihnen eingegebene Zeichenfolge enth lt 3 Wahlen Sie aus dem Men Objekttyp unterhalb des Suchfelds a die anzuzeigenden Objekttypen aus oder w hlen Sie Alle wenn Sie alle Typen anzeigen m chten Hinweis Beim Abfragen zugeh riger Policies enth lt das Men Objekttyp nur Computer und Benutzer 4 Klicken Sie auf LOS Ed Das Fenster zeigt jetzt eine Tabelle der Objekte eins oder mehrere deren Name mit Ihren Suchkriterien bereinstimmt Wenn kein Computer oder Benutzer gefunden wird dessen Name Ihren Suchkriterien entspricht ist die Tabelle leer und meldet mit Keine Ergebnisse gefunden dass keine Ergebnisse gefunden wurden Die Objekttabelle enth lt eine Liste der Objekte die Ihren Filterkriterien entsprechen Jede Zeile enth lt die folgenden Spalten Kontrollk stchen Objektname Beschreibung Pfad Sie k nnen die Tabellenansicht folgenderma en ndern Sortieren Sie die Tabelle indem Sie auf den Spaltentitel der Spalte klicken nach der Sie sortieren m chten Klicken Sie nochmals auf die berschrift um zwischen auf und absteigender Reihenfolge zu wechseln Sie k nnen eine zweite Sortierebene hinzuf gen indem Sie die Umschalttaste dr cken und auf den zweiten Spaltentitel klicken ndern Sie die Spaltenbreite indem Sie die Spaltentrennlinien an die gew nschte Stelle ziehen Verschieben Sie eine Spalte indem Sie sie an die g
495. tere Informationen zu erhalten e 7 4 1 Policies Einstellungen Auf der Registerkarte Policies k nnen Sie Konfigurationsparameter hinsichtlich der Policies in Policies in SafeGuard PortProtector konfigurieren Sie enth lt die folgenden Abschnitte Ver ffentlichungsmethode Policy Vorlage Abw rtskompatibilit t Sicherheitsma nahme f r nicht klassifizierte Ger te Hinweis Bei jeder nderung einer der Einstellungen auf dieser Registerkarte m ssen Sie unten im Fenster Administration auf OK klicken damit die nderungen in Kraft treten 245 SafeGuard PortProtector 3 30 Benutzerhilfe 7 4 1 1 Ver ffentlichungs methode SafeGuard PortProtector bietet drei Methoden zur Verteilung von Policies siehe auch Kapitel 4 Verteilen von Policies Unter Verwendung des Policy Servers Mit dieser Option k nnen Sie Policies in der Management Console mit Organisationsobjekten verkn pfen und sie direkt vom Management Server an die Clients verteilen Unter Verwendung von Active Directory Bei dieser Option wird der standardm ige GPO Verteilungsmechanismus von Active Directory zur Verteilung von Policies genutzt Unter Verwendung einer Registry Datei in einem freigegebenen Ordner Diese Option speichert Registry Dateien in einem freigegebenen Ordner die dann mit Hilfe von Drittanbieter Tools an SafeGuard PortProtector Clients verteilt werden k nnen wie weiter unten beschrieben Die Standardeinstellung nach der In
496. tes that each user should have only the level of access required to perform their job needs to be interpreted to address portable media and devices Instructions Ensure that your current policies are based on the principle of Default No Access This principle dictates that by default all users have no access to any corporate resources If no such policy statement exists create one Develop a guidance policy that interprets the Default No Access policy for the roles within your organization and to the computing devices within your organization Develop procedures for handling exceptions to the Default No Access policy These exceptions will be based on operational needs such as media backup data transfer and remote access to networks for telecommuting Each procedure should address the risk through compensating controls such as policy sanctions asset tracking multi factor authentication oversight and encryption Consideration 3 Training Effective security awareness and training is an important element of asset protection Information security training programs need to be periodically updated to reflect changes in threats and organizational policies A project to update security awareness and training programs should be part of the overall data leakage risk mitigation project 376 SafeGuard PortProtector 3 30 Benutzerhilfe Instructions Update annual security awareness training and period
497. tfl chen unterhalb der Ger teliste k nnen Sie Medien l schen oder mit Hilfe des Assistenten Freigegebene Medien hinzuf gen siehe Hinzuf gen eines Ger ts mit Hilfe des Assistenten hinzuf gen Geben Sie in diesem Fenster bei Name erforderlich den gew nschten Gruppennamen und bei Beschreibung optional eine Beschreibung ein Klicken Sie auf Medien hinzuf gen um das Medium der Gruppe hinzuzuf gen wie in Hinzuf gen eines Ger ts mit Hilfe des Assistenten beschrieben Alternative klicken Sie mit der rechten Maustaste auf den leeren Bereich unter Gruppenmitglieder und w hlen Medien hinzuf gen 115 SafeGuard PortProtector 3 30 Benutzerhilfe Sie k nnen auch zu einem sp teren Zeitpunkt Medien zu dieser Gruppe hinzuf gen Sobald Sie Medien zur Gruppe hinzugef gt haben erscheinen diese im Fenster wie folgt Mediengruppe bearbeiten 2 x Name MyMediengruppe Beschreibung i I Gruppenmitglieder Volumename Typ Fingerprint Gr e Zeit Anmerkungen DVD 7BFLF6B251 2 72 GB 2007 04 17 Auswahl l schen Medien hinzuf gen eo Abbrechen 3 Wenn Sie fertig sind klicken Sie auf OK Sie k nnen auch mit Ausschneiden und Einf gen eine Gruppe aus der Zwischenablage einf gen Benutzen Sie hierf r die Schaltfl chen Ausschneiden und Einf gen aus der Symbolleiste oder die Optionen im Men Bearbeiten Sobald eine Gruppe hinzugef gt wurde wird sie auf der Registerkarte Wei e Liste angezeigt
498. th a O g __ Allgemein Diese Herechtigungen gelten fur alle Speicherger te unabhangig vom Port uber den sie angeschlossen sind Eigenschaften Po Sicherheit _ Portkontrall rs Allgemein weine Liste Gerstekontrolle meer VE KEN u 3 Bearbeiten ame Aktion Dateikontrolle Oateikontrotie m eme neue Gruppe hinzuzuf gen kicken Sie mt der rechten Maustaste auf den leeres Log Aarm Wifi Kontrolle Protokolberung n Bereich und m hler Neue Gruppe l Alarme Endbenutzer Meldungan a aaan Shadowing Optionen Um eine neue Gruppe hinzuzuf gen klicken Sie mit der rechten Maustaste auf den leeren Bereich und w hlen Neue Gruppe Benutzer AdministratanBUTIMACO E Server localhost Das Fenster ist in zwei Bereiche unterteilt Freigegebene Modelle oberer Bereich Diese Option bezieht sich auf die Modelle eines bestimmten Speicherger tetyps wie etwa ein bestimmtes Disk on Key Modell Freigegebene spezifische Ger te Medien unterer Bereich Diese Option bezieht sich auf zwei Arten von Gruppen Spezifische Ger te mit einer eindeutigen Seriennummer d h tats chlich ein spezifisches Ger t So kann z B das pers nliche Disk on Key Ger t des CEO f r den Anschluss freigegeben sein w hrend andere Disk on Key Ger te es nicht sind Freigegebene CD DVD Medien die zuvor gescannt und mit einem Fingerprint versehen wurden In diesen beide
499. that can address the threats of endpoint security In order to effectively utilize the capabilities of the product the PCI DSS regulated organization should take some preliminary actions to must prepare to use SafeGuard PortProtector for PCI DSS compliance There are three categories of pre requisites for effective implementation of SafeGuard PortProtector for PCI DSS compliance The first category is Foundations Foundations are basic information security program elements that must be in place in order for any compliance effort to move forward Foundations include the establishment of business mission statements and roles responsibilities required to carry them out The second pre requisite is Considerations Considerations are specific information security threats that must be addressed within the context of the established business mission In this case considerations are specific issues regarding the protection of stored cardholder data in light of endpoint security The third pre requisite for effective implementation is Preparations Preparations are activities that must be performed prior to installing and configuring a specific technology product such as SafeGuard PortProtector 15 1 1 Foundations The evaluation of security controls within an organization requires a context of business objectives For PCI DSS regulated organizations that context is provided by the following set of foundations that translate business objectives into a PCI DS
500. tiert C Datei Shadow existiert nicht Speicherger te Allgemein ID der Shadow Datei enth lt Speichern unter Speichern Auf hren Schlie en 5 5 3 3 1 Definieren von Shadowing Eigenschaften Datei Logs Im Folgenden werden die Abschnitte dieser Registerkarte beschrieben Nach Shadow Datei In diesem Abschnitt geben Sie an dass die in den Abfrageergebnissen aufgef hrten Logdateien davon abh ngen ob eine Shadow Datei f r die protokollierte Datei erstellt wurde oder nicht Markieren Sie das Kontrollk stchen Datei Shadow existiert um anzugeben dass die Logdateien in den Abfrageergebnissen die Logs von kopierten Shadow Dateien enthalten Diese Logs zeigen die tats chlich kopierten Dateien an Markieren Sie das Kontrollk stchen Datei Shadow existiert nicht um anzugeben dass die Logdateien in den Abfrageergebnissen die Logs von Dateien enthalten die nicht kopiert wurden Nach ID der Shadow Datei In diesem Abschnitt geben Sie die genaue ID der Shadow Datei an die in den Abfrageergebnissen gezeigt werden soll Geben Sie im Feld ID der Shadow Datei enth lt die Logdatei ID ganz oder teilweise an Diese Logdatei ID kann in einer Alarmmeldung enthalten sein die beim Erstellen der Shadow Kopie einer Datei gesendet wurde 184 SafeGuard PortProtector 3 30 Benutzerhilfe 5 5 3 4 Inhalts prufungs eigenschaften Datei Logs Die Inhaltspriifungs Abfrageeigenschaften werden auf de
501. tion roles within each domain The SafeGuard PortProtector administrator may be set up as a single role or you may delegate administrative privileges to implement separation of duties Determine the set of administrative roles that you will implement Plan maintenance and incident response function for SafeGuard PortProtector administration Incident response those responsible for responding to incidents involving lost or stolen storage devices rogue networks hybrid network bridging or unapproved data removal will require special permissions within SafeGuard PortProtector and access to audit tools Document the incident response roles within your organization and the permissions and access required Maintenance those responsible for handling end user issues such as peripherals and network connectivity will require the ability to request modifications to object or user permissions Document maintenance roles within your organization and the permissions and access required 365 SafeGuard PortProtector 3 30 Benutzerhilfe 15 2 SafeGuard PortProtector PCI DSS Settings This section provides specific SafeGuard PortProtector setting guidance for the policy user and administrator parameters within the SafeGuard PortProtector product PCI DSS Policy Settings describes the setting and configuration of SafeGuard PortProtector Policies for implementation within a PCI DSS environment Other SafeGuard PortProtector PCI DSS Se
502. tive Directory Diese Policies werden dann automatisch von Active Directory an die Computer und Benutzer verteilt die zu der Organisationseinheit OU geh ren der Sie sie zuweisen m chten Unter Verwendung von Registry Dateien in einem freigegebenen Ordner Diese Option ver ffentlicht oder speichert Policies als Registry Dateien in einem freigegebenen Ordner und erm glicht es Ihnen die Policy auf den Clients manuell zu aktualisieren oder SafeGuard PortProtector Policies mit Hilfe von Fremdtools an die SafeGuard PortProtector Clients zu verteilen Weitere Informationen finden Sie in Ver ffentlichungsmethode im Kapitel Administration 4 2 Verteilen von SafeGuard PortProtector Policies direkt vom Management Server aus Eine der wesentlichsten St rken von SafeGuard PortProtector ist seine weitreichende Integration in vorhandene IT Infrastrukturen Nach der Installation erkennt das Produkt automatisch das Netz stellt die Verbindung zu Active Directory AD her und f hrt die Synchronisierung schreibgesch tzt mit der vorhandenen Organisationsstruktur inklusive Organisationseinheiten Gruppen Benutzern und Computern durch Mit diesem Vorgehen kann der Administrator seine AD Objekte in nativer Form bei der Ausf hrung von Aufgaben in der SafeGuard PortProtector Management Console nutzen Dar ber hinaus kann das System diese skalierbare Architektur mit hoher Verf gbarkeit ausnutzen und Policies ber den GPO Mechanismus von AD an die Endpun
503. tokollierung Alarme gt gt Endbenutzer Meldungen b Medisverschl sselung Shadowing Optionen Aktion Log Alarm IT modelle 0 Zulassen U Benutzer Administrator UTIMACO Server localhost In der obigen Abbildung sind zwei Gruppen zu sehen Die Gruppen sind automatisch als zugelassen markiert 3 4 2 Bearbeiten einer Ger tegruppe Nachdem eine Gruppe angelegt wurde kann sie modifiziert werden So bearbeiten Sie eine Ger tegruppe Doppelklicken Sie auf der Registerkarte Wei e Liste auf die gew nschte Gruppe ODER 1 W hlen Sie die zu bearbeitende Gruppe aus 2 Klicken Sie auf die Schaltfl che Gruppe bearbeiten O ODER Klicken Sie mit der rechten Maustaste auf die gew nschte Gruppe und klicken Sie dann im Men auf Bearbeiten 101 SafeGuard PortProtector 3 30 Benutzerhilfe Das Fenster Modellgruppe bearbeiten wird angezeigt Modellgruppe bearbeiten meine modelle 2 7 x Sa Name meine modelle Beschreibung Ej Gruppenmitglieder Geratedaten Hersteller Modell Anmerkungen Port Beschreibung Generic 1394 Desktop Camera Unibra 24D3 Auswahl l schen Ger t e hinzuf gen Ger t e manuell hinzuf gen Einf gen Abbrechen 3 4 2 1 Bearbeiten einer Gruppe Falls Sie dieser Gruppe bereits Ger te hinzugef gt haben werden in dem Fenster auch die zur Gruppe geh rigen Ger te angezeigt F r jedes Ger t wird ei
504. tor Management Console Datei Bearbeiten Ansicht Extras Fenster Hilfe A FE SZ Policies W Policies Ej Neu Policies integriert Alle zulassen Keine Proto Unbenannt3 4 gt x Dr Xinha Gg E oeh Teil dieser Seite die allgemeinen Policy Informationen ein Im unteren Teil f gen Sie die Organisationsobjekte hinzu mit denen die Policy Eigenschaften verkn pft werden soll 1 Portkontrolle EO Ger tekontrolle a SEA Policy Name Integriert Alle zulassen Keine Protokollierung Eigent mer Speicherkontrolle ee n Beschreibung Alle zulassen Keine Protokollierung E Gespeichert 30 12 09 8 27 38 J Dateikontrolle a WiFi Kontrolle berarbeitung 0 Protokollierung i ee Policy mit Organisationsobjekten verkn pfen Zu teu kaschen E Optionen Endbenutzer Meldungen Beschreibung Objektname or Mediaverschl sselung Nicht in Dom ne Nicht in Dom ne Shadowing f Optionen Benutzer Administrator UTIMACO amp Server localhost 4 2 3 1 1 Fenster Policy Eigens chaften In diesem Fenster k nnen Sie den Namen und eine Beschreibung f r die Policy eingeben Eine neue Policy enth lt die Standardwerte oder die Werte der Policy Vorlage sofern Sie eine solche Vorlage definiert haben siehe Policy Vorlage im Kapitel Administration Wenn Sie w hlen Policies direkt vom Management Server aus an die Clients zu ver ffentl
505. tor inaktiv ist Dadurch wird angezeigt dass der Computer durch SafeGuard PortProtector geschiitzt ist Ein Port oder ein angeschlossenes Ger t der bzw das zuvor gesperrt war wurde zugelassen _ Verschliisseltes Ger t angeschlossen Nur Lesezugriff _ Es wurde versucht einen Port oder ein Ger t zu benutzen der das gesperrt ist Client Schutz aufgehoben Endbenutzereingabe ftir Wechselspeicherger t erforderlich Offline Access Utility Mit Ausnahme des ersten Symbols normales SafeGuard PortProtector Client Symbol werden die Symbole einen Moment lang angezeigt und kehren dann zur ck zum ersten Symbol 278 SafeGuard PortProtector 3 30 Benutzerhilfe 8 4 1 Modi der Client Sichtbarkeit Standardm ig wird das SafeGuard PortProtector Symbol immer in der Taskleiste eines geschtitzten Computers angezeigt Dadurch kann der Administratoren auf einen Blick erkennen dass ein Computer durch SafeGuard PortProtector geschiitzt ist Einige Administratoren ziehen es jedoch vor die Sichtbarkeit von SafeGuard PortProtector Client auf den Endpunkten auf ein Minimum zu reduzieren Es stehen drei verschiedene Sichtbarkeitsmodi zur Verf gung Voll sichtbar Das SafeGuard PortProtector Taskleistensymbol und Ereignismeldungen immer anzeigen Dies ist der Standardmodus Teilweise sichtbar Das SafeGuard PortProtector Taskleistensymbol bei Inaktivit t ausblenden aber Ereignismeldungen anzeigen In diesem Modus
506. tor is providing 14 2 3 Other SafeGuard PortProtector SOX Settings For the appropriate setting of other SafeGuard PortProtector features and options refer to the Pre Requisites for Addressing SOX Compliance Issues detailed in this document Specifically the following SafeGuard PortProtector features should follow the business objectives and the sensitive data environment as defined in Foundations Considerations and Preparations Alerts SafeGuard PortProtector alerts provide oversight of administrative actions and protection of the SafeGuard PortProtector security functions in case of attempted tampering The following alert options should be set in order to preserve the security functions provided by SafeGuard PortProtector Log all administrative events Logs all administrative actions and provides oversight of SafeGuard PortProtector administration Alert all tempering events Detects tempering attempts and ensures the integrity of end point protection controls 358 SafeGuard PortProtector 3 30 Benutzerhilfe SafeGuard PortProtector Administration SafeGuard PortProtector may be run by a single administrator or an organization may implement additional access control by defining additional administrators to a subset of administrative functions This is an implementation of role based access control and should be considered based on the organizations approach as defined in Preparation 3 Determine Administr
507. tras fenster tiefe Polines Neu i Policies Clanegriere Alle zdassen Keine Protokoler 4 gt x neu ffnen X 7 Abfrage Alle Policies P aktualisieren a Name Beschreibung Gespeichert Ligent mer Integriert Alle sperren Keine Alle sperren HID Ger te Interne Ports zugelassen Keine 112 09 8 27 38 Integriert Alle sperren Log Alle sperren HID Ger te Interne Ports zugelassen Log 30 12 09 8 27 38 Integriert Alle zulassen Keine Alle zulassen Keine Protokollierung Oateikontrolle 30 12 09 8 27 38 Integriert Alle zulassen Log Alle zulassen Log Dateskontrolle Nur Schreib Ereignusse 30 12 09 8 27 38 Integriert HIPAA Optimales Der aggressive Ansatz zur Implementierung von Sophos innerhalb einer 30 12 09 0 27 30 Integriert HIPA Der Standard ansatz zur Implementierung von Sophos innerhalb einer Integriert PCr Diese integrierte Policy ist f r die Implementierung des Payment Card Integriert SOX Integnert SOX Optimales Der Standard Ansatz zur Implementierung von Sophos innerhalb einer 30 12 09 8 27 38 Der aggressive Ansatz zur Implementierung von Sophos nnerhalb ener Benutzer Administrator uTIMACO F Server localhost Es gibt mehrere Ans tze mit einer neuen Policy zu beginnen Von den Standardwerten oder eine Vorlage aus Wenn Sie eine neue Policy ffnen werden im Fenster Policy die voreingestellten Policy Definitionen des Systems angezeigt Auf
508. truktur wird ber das Men Organisationsstruktur unten dargestellt aktualisiert das sich oben in der Registerkarte Organisationsstruktur befindet ITE Struktur aktualisieren Organisationsstuktur Struktur mit Verzeichnis synchronisieren So aktualisieren Sie die Organisationsstruktur im Management Server Klicken Sie im Men Organisationsstruktur auf Struktur aktualisieren Die Struktur wird aktualisiert So aktualisieren Sie die Organisationsstruktur im Directory Klicken Sie im Men Organisationsstruktur siehe vorherige Abbildung auf Struktur mit Verzeichnis synchronisieren Die Struktur wird aktualisiert aber dieser Vorgang kann eine Weile dauern 214 SafeGuard PortProtector 3 30 Benutzerhilfe 6 5 2 Filtern nach Namen Die Registerkarte Nach Namen suchen ist ein weiteres Werkzeug mit dem Sie die Computer bestimmen k nnen deren Datens tze in der Clients Tabelle angezeigt werden Dieser Abschnitt beschreibt wie diese Registerkarte zur Festlegung der in der Clients Tabelle anzuzeigenden Clients verwendet wird Die folgende Abbildung zeigt die Registerkarte Nach Namen Suchen J Geben Sie den Name eines Computer ein um seinen Datensatz abzurufen C Exakte bereinstimmung Einf gen mehrerer Suchparameter durch Komma Semikolon oder Leerzeichen getrennt zulassen LOS Organisationsstruktur Nach Namen suchen 215 SafeGuard PortProtector 3 30 Benutz
509. ttings describes the setting and configuration of SafeGuard PortProtector Settings that are not a part ofthe policy according to the business objectives and the environment of the PCI organization PCI DSS SafeGuard PortProtector Feature Mapping provides additional advice on how SafeGuard PortProtector helps to meet PCI DSS Security Rule requirements 15 2 1 PCI DSS Policy Settings The following table is a guide to the SafeGuard PortProtector administrator in the setting and configuration of SafeGuard PortProtector for implementation within a cardholder data environment Many of the settings below are a direct implementation of a specific PCI DSS requirement while others follow good security practices consistent with the level of security achieved through the other PCI DSS requirements The PCI DSS settings are to be used as guidelines for setting the parameters of SafeGuard PortProtector and not to be interpreted as additional PCI DSS requirements Setting PCI Setting Rationale Policy Create new policies based on the built in policy of PCI DSS Each policy can then be modified as determined by the compliance officer and in accordance with the organization s business objectives Port Control USB Restrict Restricting access to these ports allows for a finer FireWire Restrict granularity of control under the device control section of the policy security PCMCIA Restrict SD Allow Allowing access t
510. tzer au erhalb der Organisation allerdings ben tigen sie dazu lokale Administrationsrechte auf dem ungesch tzten Computer Der Zugriff auf die Dateien ist f r den Benutzer einfacher als bei der Option Verschl sselung des Ger te Volumes Beschreibung siehe oben Hinweis Das oben Genannte gilt nur f r Wechselspeicherger te Die Methode der Ger te Volume Verschl sselung wird standardm ig f r CD DVD und externe Festplattenlaufwerke angewandt 3 3 14 Schritt 14 Inhaltspr fung definieren Wenn die Funktion der Inhaltspr fung aktiviert ist definieren Sie in diesem Schritt die entsprechenden Einstellungen z B ob Alarme ausgegeben werden sollen die maximale Gr e f r den Datei Cache etc 3 3 14 1 Definieren der Einstellungen f r die Inhaltspr fung Da dieser Schritt nur von Benutzern ausgef hrt wird bei denen Safend Protector mit einer Inhaltspr fungsl sung eines Drittanbieters integriert ist wird das Verfahren getrennt beschrieben 3 3 15 Schritt 15 Einstellungen f r Datei Shadowing definieren Datei Shadowing bietet die M glichkeit der R ckverfolgung und Erfassung von Kopien von Dateien die zu von externen Speicherger ten verschoben wurden Dadurch sind Sicherheitsbeauftragte in der Lage Sicherheitsverletzungen zu lokalisieren und zu identifizieren Sie k nnen zudem forensische Beweise analysieren die Wichtung bestimmen und entsprechende Ma nahmen ergreifen Die Shadow Dateien werden sicher von den End
511. tzung erkennen SafeGuard PortProtector Policies definieren Schritt 5 SafeGuard PortProtector Client auf Endpoints Schritt 6 installieren Policies an Endpoints Schritt7 verteilen Endpoints sind durch Policies gesch tzt Schritt 8 Logs und Alarme Schritt 9 berwachen Schritt 1 SafeGuard PortProtector Management Server und Console installieren wie im SafeGuard PortProtector Installationshandbuch beschrieben Schritt 2 Weitere Management Consoles installieren wie im SafeGuard PortProtector Installationshandbuch beschrieben Schritt 3 Allgemeine SafeGuard PortProtector Administrationseinstellungen definieren z B auf welche Weise Policies ver ffentlicht werden wie in Kapitel 8 Administration beschrieben 20 SafeGuard PortProtector 3 30 Benutzerhilfe Schritt 4 Computer scannen und Port Ger tenutzung erkennen Verwenden Sie SafeGuard PortAuditor um die Ports zu erkennen die in Ihrer Organisation genutzt wurden sowie die Ger te und WiFi Netze die an diesen Ports angeschlossen waren wie im SafeGuard PortAuditor Benutzerhandbuch beschrieben Schritt 5 SafeGuard PortProtector Policies definieren In diesem Schritt definieren Sie die gesperrten zugelassen und eingeschr nkten Ports Ger te und WiFi Netze gem den Sicherheits und Produktivit tsanforderungen Ihrer Organisation wie in Kapitel 3 Definieren von Policies beschrieben Schritt 6 SafeGuard PortProtector Client auf Endpunkten installie
512. uard PortProtector 3 30 Benutzerhilfe Nach Plattenkapazit t Wenn Sie Nach Speichertypen siehe oben Removable Storage Devices oder External Hard Disks w hlen k nnen Sie in diesem Abschnitt den Bereich der Mediengr e definieren der in die Log Tabelle aufgenommen werden soll Wenn Sie keine ausw hlen werden in der Log Tabelle Datens tze f r Speicherger te unabh ngig von ihrer Kapazit tsgr e angezeigt 5 5 3 6 Allgemeine Eigenschaften Datei Logs Die allgemeinen Abfrageeigenschaften werden auf der unten gezeigten Registerkarte Allgemein definiert Abfrageeigenschaften Unbenannt Datei Logs x Zeit Datei Shadowing Speicherger te Allgemein Gesperrt M Nach Ereignis Zugelassen Warnung K Nach Port O uss U Firewire LJ pcmcia Secure Digital L Sonstige Nicht erkannt Name enth lt Policy Typ Benutzer Computer CO suspendieren Logtyp Logs und Alarme Nur Alarme Speichern unter Speichern Auf hren Schlie en 5 5 3 6 1 Definieren von allgemeinen Eigenschaften Datei Logs Auf der Registerkarte Allgemein definieren Sie die anzuzeigenden Logdatens tze bez glich ihrer Port und Policy Attribute In der Log Tabelle erscheinen nur Datens tze die den von Ihnen hier festgelegten Kriterien entsprechen Im Folgenden werden die Abschnitte dieser Registerkarte beschrieben Nach Ereignis M
513. uard PortAuditor unserem Scan und Auditing Tool das detailliert im SafeGuard PortAuditor Benutzerhandbuch beschrieben ist Sie k nnen bei Bedarf SafeGuard PortAuditor direkt von SafeGuard PortProtector aus starten So starten Sie SafeGuard PortAuditor Klicken Sie auf die Schaltfl che Ger te Audit Beim ersten Mal werden Sie aufgefordert den Speicherort der Datei auditor exe zu suchen Danach wird SafeGuard PortAuditor gestartet und dessen Hauptfenster wird ge ffnet 227 SafeGuard PortProtector 3 30 Benutzerhilfe 7 Administration Uber dieses Kapitel Dieses Kapitel beschreibt das Fenster Administration seine Parameter und die administrativen Uberlegungen bei der Einrichtung von SafeGuard PortProtector Dieses Kapitel enth lt die folgenden Abschnitte Verwalten von SafeGuard PortProtector beschreibt die Situationen in denen die Administration von SafeGuard PortProtector n tig sein kann und wie Sie dazu das Fenster Administration ffnen Fenster Administration beschreibt die verschiedenen Einstellungen in den sieben Registerkarten des Fensters Administratioseinstellungen 228 SafeGuard PortProtector 3 30 Benutzerhilfe 7 1 Verwalten von SafeGuard PortProtector Wenn SafeGuard PortProtector nach der Installation zum ersten Mal gestartet wird wird das System mit Standardeinstellungen initialisiert die f r die Mehrheit der Benutzer anwendbar sein k nnen W hrend des laufenden Betriebs von SafeGuard Po
514. uard PortProtector provides HIPAA organizations additional technical controls to protect EPHI at system endpoints and address data leakage and target attack threats As discussed throughout this paper SafeGuard PortProtector can address data leakage risks targeted attack threats and many of the HIPAA Security Rule requirements Although obvious it should be noted that SafeGuard PortProtector provides a portion of the technical controls and influences some administrative controls necessary for complete HIPAA compliance The table below provides additional advice on how SafeGuard PortProtector helps to meet HIPAA Security Rule requirements HIPAA Section of Rule Description Relevant SafeGuard How to Satisfy HIPAA Security PortProtector Features HIPAA Controls Rule with SafeGuard PortProtector Physical Safeguards 164 310 d 1 Device and Media SafeGuard Configure Controls Implement PortProtector provides SafeGuard policies and procedures that govern the receipt and removal of hardware and contain electronic protected health out of a facility and the movement of these items within the facility electronic media that information into and the ability to control access to portable storage devices such as USB drives PDAs and mobile phones The flexibility of SafeGuard PortProtector policies allow for a granularity of control that matches a HIPAA organization s needs Options include the ab
515. uctions Update incident response procedures to address data leakage issues Specifically create procedures for the following incident types Lost or stolen mobile storage device Found rogue network Found hybrid network bridging Unapproved data removal 13 1 3 Preparations SafeGuard PortProtector allows organizations to control access and protect endpoints based on user roles network domains computer types and criticality of systems and data The specific implementation and configuration of SafeGuard PortProtector requires an accurate knowledge of objects SafeGuard PortProtector is to protect the formally documented security policies it is to enforce and the administrative roles that will maintain the SafeGuard PortProtector software The following activities are an important element of the preparation to install and configure SafeGuard PortProtector for EPHI protection Preparation 1 Determine Endpoint Protection Needs SafeGuard PortProtector protects endpoints of your network from data leakage and targeted attacks SafeGuard PortProtector provides the ability to lock down these endpoints from data leakage through physical ports and devices and a variety of attacks and vulnerabilities On the other hand your organization has a variety of business needs that will require connectivity to external storage devices wireless networks and other possible threats In preparation for a SafeGuard PortProtector deployment your or
516. ues WiFi Netz hinzuzuf gen klicken Sie mit der rechten Maustaste auf den leeren Bereich und w hlen Neue Gruppe WiFi Kontrolle Einstellungen Protokollierung Alarme Endbenutzer Meldungen Mediaverschl sselung Shadowing H Optionen Benutzer Administrator UTIMACO EB Server localhost Freigegebene WiFi Netze Diese Option bezieht sich auf spezifische Netze einschlie lich deren Authentifizierungs und Verschl sselungseigenschaften Auf der rechten Seite der Registerkarte stehen drei Schaltfl chen zur Verf gung Neue Gruppe hiermit f gen Sie eine neue Ger tegruppe hinzu Gruppe bearbeiten L hiermit bearbeiten Sie eine Ger tegruppe Gruppe l schen 7 hiermit l schen Sie eine Ger tegruppe Hinweis Dieses Fenster ist deaktiviert wenn Sie die Option Zulassen f r Netzwerke auf der Registerkarte Allgemein gew hlt haben Hinweis Falls ein Netz zu mehreren Gruppen geh rt und diese Gruppen dieselben Berechtigungen haben wird SafeGuard PortProtector die Gruppen willk rlich ausw hlen Wenn die Gruppen nicht dieselben Log und Alarmeinstellungen haben ist nicht vorhersehbar welche Einstellungen angewendet werden Eine Beschreibung f r die Definition der Einstellungen in diesem Fenster finden Sie in Definieren der WiFi Kontrolle 74 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 8 3 Definieren der WiFi Kontrolle So definieren Si
517. ukt ID PID k nnen Sie in den SafeGuard PortAuditor Scanergebnissen auf einem Aufkleber auf dem Produkt selbst oder im Windows Ger temanager finden Verwenden Sie die Option Freitext Identifizierung nur wenn die Felder Hersteller und Modell in dem Log f r das in die Ausnahmen aufzunehmende Ger t leer sind Im Feld Freitext Identifizierung k nnen Sie die Hardware ID des Ger ts eingeben Hinweis Die Hardware ID finden Sie im Ger temanager Registerkarte Details 4 Geben Sie Anmerkungen ein optional 5 berpr fen Sie gewissenhaft ob Sie in allen Feldern die richtigen Daten eingegeben haben und klicken Sie auf OK 108 SafeGuard PortProtector 3 30 Benutzerhilfe 3 4 5 2 Hinzuf gen eines spezifischen Ger ts Wenn Sie ein Ger t zu einer Gruppe freigegebener Modelle hinzuf gen wird das Fenster Spezifisches Ger t hinzuf gen angezeigt Spezifisches Ger t hinzuf gen x r Ger te ID Strukturierte Ger tedaten empfohlen Port USB v Ger tebeschreibung Ger tedaten Hersteller Modell Eindeutige ID Freitext Identifizierung Anmerkungen 7 Abbrechen Das Fenster ist etwas anders als das Fenster Ger temodell hinzuf gen da es ein weiteres Pflichtfeld Eindeutige ID enth lt 3 4 5 2 1 Eingeben der Daten f r das spezifische Ger t Geben Sie im Fenster Add Distinct Device die Ger temodelldaten wie
518. und externe Festplatten kopiert werden k nnen Administrative Aufgaben erm glicht dem Administrator das Ausf hren von Tasks wie etwa Aufhebung des Schutzes oder Zur cksetzen der Tastatur wenn ein Key Logger vermutet und gesperrt wurde Diese Aktionen werden im SafeGuard PortProtector Client Fenster ausgef hrt 279 SafeGuard PortProtector 3 30 Benutzerhilfe So ffnen Sie das SafeGuard PortProtector Client Fenster 1 Doppelklicken Sie auf das SafeGuard PortProtector Taskleistensymbol ODER Klicken Sie mit der rechten Maustaste auf das SafeGuard PortProtector Taskleistensymbol und w hlen Sie Optionen ODER Doppelklicken Sie in der Windows Systemsteuerung auf das SafeGuard PortProtector Symbol wenn das SafeGuard PortProtector Taskleistensymbol nicht sichtbar ist kann nur diese Option genutzt werden 2 Das SafeGuard PortProtector Client Fenster wird angezeigt SafeGuard PortProtector x SafeGuard PortProtector SOPHOS Allgemein Extras Info r Allgemein Hostname chutixp1 Utimaco com Softwareversion 3 3 build 55031 46071 Servername chuti2003 Utimaco com 6CDMC Policy Aktuelle Policy Anf nglich Rev 0 Policy gilt f r Computer Letzte Policy Aktualisierung 2010 01 06 17 39 25 Bean m Status Schutz Gesch tzt Keine Computer Policy Inhaltspr fung Aus Jetzt deaktivieren Administrationsmodus Schlie en Dieses Fenster enth lt drei Register
519. unden ist sie wird nur ein paar Sekunden lang angezeigt oder die Policy keine Verschl sselung fordert so dass keine Meldung angezeigt wird ffnen Sie in Windows Explorer Mein Computer und klicken Sie mit der rechten Maustaste auf das Ger t Die Option SafeGuard PortProtector wird im Kontextmen angezeigt und das Untermen enth lt die Option Verschl sseln wie in der folgenden Abbildung gezeigt ffnen Explorer Suchen Freigabe und Sicherheit ERGO verschl sseln Formatieren Auswerfen Ausschneiden Kopieren Verkn pfung erstellen Umbenennen Eigenschaften 291 SafeGuard PortProtector 3 30 Benutzerhilfe 2 Klicken Sie auf Verschl sseln Das Fenster Verschl sseln wird angezeigt erschliisseln G x Um dieses Ger t als verschl sseltes Ger t nutzen zu k nnen muss es formatiert werden Bei der Formatierung werden alle derzeit auf dem Ger t gespeicherten Daten gel scht sofern nicht zuvor ein Backup der Daten erstellt wird Daten automatisch sichern und wiederherstellen Alle vorhandenen Daten l schen Klicken Sie auf Weiter um Fortzufahren zur ck Abbrechen 3 Fahren Sie ab Schritt 2 oben in Verschl sseln eines Ger ts fort 8 7 2 Online Zugriff auf verschl sselte Ger te Der Administrator kann eine Policy festlegen mit der die Benutzer zur Eingabe eines Kennworts innerhalb der Organisation gezwungen werden um auf Ger te zuzugrei
520. ungen Aktion nur Speicherger ten Gruppenberechtigungen spezielle Einstellungen f r Disk on key Smart Funktionalit t nur Speicherger te So definieren Sie Log and Alarmeinstellungen Markieren Sie bei Bedarf f r jede Gruppe die Kontrollk stchen Log und Alarm So legen Sie Gruppendefinitionen fest nur Speicher W hlen Sie im Men Action aus ob die Berechtigung der Gruppe Zulassen Verschl sseln 3 oder Schreibgesch tzt sein soll Nicht Speicherger te sind automatisch auf Zulassen gesetzt und k nnen nicht konfiguriert werden So definieren Sie spezielle Einstellungen f r Disk on key Smart Funktionalit t nur Speicher Klicken Sie auf die Schaltfl che Berechtigungen LJ der Gruppe Das folgende Fenster wird angezeigt Permissions Storage Models Group Disk on Key Smart Functionality Certain Disk on Key devices offer smart functionality in addition to their storage functionality You may want to restrict the usage of smart functionality Use the definitions defined for Removable Storage Devices x Set specific definition for devices in this group y Smart Functionality x yl What is smart functionality 3 4 6 1 Berechtigungen f r Speicherger tegruppen Sie k nnen bei Bedarf gruppenspezifische Definitionen f r Disk on Key Smart Funktionalit t festlegen Diese Definitionen berschreiben dann die Einstellungen f r die Smart Funktionalit t die Sie auf de
521. uppe erstellen Format Domane Benutzergruppe 7 3 1 5 1 2 ndern der Administrators Benutzergruppe Im Fenster Benutzergruppe ndern definieren Sie die entsprechende Benutzergruppe So ndern Sie die Benutzergruppe 1 2 Wahlen Sie eine der vorhandenen Benutzergruppen aus der Dropdown Liste oder legen Sie eine neue Benutzergruppe an Verwenden Sie beim Erstellen einer neuen Gruppe das folgende Format Dom ne Benutzergruppe z B sophos administratoren Wenn Sie die Dom ne nicht eingeben wird die Gruppe auf dem Computer angelegt auf dem sich der SafeGuard PortProtector Management Server befindet Klicken Sie auf OK Hinweis Eine neue Benutzergruppe wird nur einmal angelegt nachdem Sie die nderungen im Fenster Administration best tigt und auf OK geklickt haben 7 3 1 5 2 Rollenbasiert erweitert Um festzustellen wie die Option Rollenbasiert erweitert funktioniert k nnen Sie Folgendes konfigurieren Definieren von Berechtigungen Mit diesem Modus k nnen Sie eine weitere Ebene der Zugangskontrolle anwenden indem Sie die Benutzer auf eine Untergruppe von Funktionen innerhalb der Management Console einschr nken Definieren von Dom nen partitionen Mit dieser Option ist die Partitionierung der der Container einer Organisation m glich so dass darauf nur von den SafeGuard PortProtector Console Administratoren zugegriffen werden kann die f r deren Bearbeitung verantwortlich sind
522. urde erfolgreich festgelegt Falls Sie das Kennwort vergessen k nnen Sie jederzeit ein neues Kennwort Festlegen Um ein neues Kennwort festzulegen starten Sie diesen Assistenten von Arbeitplatz aus Klicken Sie zum Beenden auf Fertig stellen zur ck F Abbrechen 5 Klicken Sie auf Beenden Jetzt ist ein Offline Zugangskennwort f r das angeschlossene Wechselspeicherger t festgelegt Hinweis Das von Ihnen festgelegte Kennwort muss den Kennwortregeln in Ihrer Organisation entsprechen Wenn Sie das Kennwort f r den Offline Zugriff vergessen haben oder ndern m chten k nnen Sie jederzeit ein neues Kennwort festlegen 8 7 3 2 Online Zugriff auf volumeverschl sselte Ger te Hinweis Eine Beschreibung des Offline Zugriffs bei ausgew hlter Partitionsverschl sselung finden Sie im Abschnitt Offline Zugriff auf partitionsverschl sselte Ger te Die Option der Verschl sselung des Ger te Volumes erm glicht den Offline Zugriff auf Speicherger te durch befugte Benutzer Lokale Administrationsrechte sind hierf r nicht erforderlich Die Dateien auf die auf diese Weise zugegriffen wird k nnen nur ber die Option Speichern unter ge ndert werden Zudem kann nicht mit einer anderen Anwendung oder von einer Befehlszeile auf die Dateien zugegriffen werden bevor sie auf dem lokalen ungesch tzten Computer mit Speichern unter unter einem anderen Namen gespeichert wurden Dieses Verhalten hnelt dem
523. uter In sehr seltenen F llen k nnen dadurch einige Daten die zum Zeitpunkt der Trennung zu oder von diesem Ger t bertragen wurden oder das Ger t selbst wegen Datenbesch digung unbrauchbar werden Hinweis Wir empfehlen die Benutzer in jedem Fall fr hzeitig dar ber zu unterrichten dass bestimmte Ger te nicht l nger zugelassen sein werden Hinweis Bei WiFi Links wird bei der Zuweisung einer neuen Policy zu einem Client ein vorhandener Link gesperrt und die Verbindung wird erzwungenerma en getrennt 92 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 16 1 5 Definieren des Intervalls f r die Policy Aktualisierung Hinweis Dieser Abschnitt wird auf der Seite Optionen nur dann angezeigt wenn Sie den Policy Server f r die Policy Verteilung nutzen Wenn Policies direkt vom Management Server an die Clients ver ffentlicht werden Verteilungsoption des Policy Servers m ssen Sie das Intervall festlegen in dem der Client eine aktualisierte Policy abruft Legen Sie in diesem Abschnitt das Intervall fest 3 3 17 Schritt 17 Policy Berechtigungen definieren So definieren Sie die Dom nenpartitionierung W hlen Sie eine der folgenden Optionen Alle Administratoren der Organisation Um anzugeben dass alle Administratoren die Policy unabh ngig von ihrer Zuordnung sehen k nnen Nur Administratoren mit Berechtigungen f r die verkn pften Organisationsobjekte Um anzugeben dass ein Administrator diese Policy nur sieht
524. uterung der Felder finden Sie im Folgenden Eigenschaften des Client Logs siehe Struktur des Client Logs Eigenschaften des File Logs siehe Struktur des Datei Logs Eigenschaften des Server Logs siehe Struktur des Server Logs Sie k nnen sich innerhalb des Fensters Logdatensatz Eigenschaften mit Hilfe der Nach oben und Nach unten Pfeile unten rechts im Fenster zum vorherigen oder n chsten Datensatz bewegen Wenn sich der Logdatensatz auf nach ein USB Ger t oder ein CD DVD Medium bezieht ist die Schaltfl che Kopieren unten links im Fenster aktiviert ber diese Schaltfl che k nnen Sie die Ger te oder Mediendaten in die Zwischenablage kopieren und dann in eine Gruppe in der wei en Liste einf gen So kopieren Sie USB Ger te oder CD DVD Mediendaten in die Zwischenablage Klicken Sie auf die Schaltfl che Kopieren unten links im Fenster Die Ger te Medienangaben werden in die Zwischenablage kopiert und k nnen in der Policies Welt in eine Gruppe in der wei en Liste eingef gt werden So zeigen Sie eine Shadow Datei an W hlen Sie ffnen oder Speichern in der Spalte Shadow Datei um die Shadow Datei aus dem Speicher herunterzuladen 5 3 3 2 ffnen der zugeordneten Policy ber diese Option k nnen Sie die Policy ffnen die SafeGuard PortProtector Client zum Senden des Logs veranlasst hat damit Sie ihre Definitionen einsehen k nnen So ffnen Sie die Policy Klicken Sie im Kontextmen auf Polic
525. utorun Funktionalit t vy WiFi Kontrolle Sr au DE a eae Protokollierung Wechselspeicherger te vy i Ai Oo o Alarme Externe Festplattenlaufwerke vy En D Endbenutzer Meldungen CD DVD Laufwerke vy m Mediaverschl sselung Diskettenlaufwerke vy Shadowing Bandlaufwerke vel Optionen Benutzer Administrator UTIMACO Server localhost SafeGuard PortProtector 3 30 Benutzerhilfe 1 2 3 1 U3 Smartdrive und Autorun K ontrolle Bestimmte Disk On Key Ger te wie beispielsweise U3 Ger te bieten neben den grundlegenden Speicherfunktionen eine intelligente Funktionalit t Mit Hilfe dieser Funktionalit t k nnen diese Ger te Anwendungen speichern und ausf hren sobald sie an einen Hostcomputer angeschlossen sind Mit SafeGuard PortProtector bieten Sie Ihren Anwendern die M glichkeit ihre neuen hochentwickelten Speicherger te zu nutzen und gleichzeitig sicherzustellen dass Ihre Endpunkte keiner Gefahr oder risikobehafteten Anwendung ausgesetzt sind die diese Ger te als Bestandteil ihrer U3 und intelligenten Speicherm glichkeiten mit sich bringen Sie k nnen ganz einfach sowohl U3 Aktivit ten als auch eine automatische Ausf hrung im Rahmen Ihrer Sicherheitspolicy sperren Mit der einzigartigen Client Technologie von Sophos sind Sie in der Lage Smart Storage Ger te als einfache Speicherger te zu nutzen solange diese die brigen Bestimmungen Ihrer Speicherrichtlinie erf llen und lediglich Funktionen s
526. utzer zum Beispiel namens MyPolicy USER reg geeignet ist So verteilen Sie eine Policy an einen Client unter Verwendung von reg Dateien 1 Doppelklicken Sie auf die gew nschte reg Datei und im Best tigungsfenster auf Ja um deren Daten zur Registry hinzuzuf gen 2 Aktualisieren Sie die Policy auf dem Client wie in Aktualisieren der Client Policy im Kapitel Endbenutzer Erfahrung erl utert In vielen F llen m chten Sie vielleicht den Vorgang bei dem Policies durch ein Fremdtool verteilt werden wie etwa SMS Novell eDirectory nach dem Bearbeiten Erstellen von Policies automatisieren Weitere Informationen finden Sie in Ausf hrbare Datei nach Ver ffentlichung ausf hren im Kapitel Administration 149 SafeGuard PortProtector 3 30 Benutzerhilfe 4 5 Zusammenf hren von Policies Wenn mehrere Policies mit einem Organisationsobjekt verkn pft sind k nnen die Definitionen aller verkn pften Policies zusammengef hrt werden um so die Definitionen zu produzieren die auf dem Endpunkt durchgesetzt werden Ein typisches Beispiel f r diese F higkeit ist das Erstellen einer allgemeinen Policy f r eine bestimmte Abteilung und einer weiteren Policy f r einen bestimmten Benutzer in dieser Abteilung der zus tzliche Berechtigungen ben tigt Je nachdem welche der gew hlten Policy Verteilungsmethode ausgew hlt wird kann das Zusammenf hren wie folgt erfolgen Unter Verwendung von Policy Server Das Zusammenf hren von Pol
527. utzte Funktionen Sie wird unterhalb der Men leiste angezeigt und enth lt die folgenden Schaltfl chen QB Latest Info Suspension gt SiRefresh Q Nachfolgend eine kurze Beschreibung der einzelnen Schaltfl chen in der Symbolleiste Schaltfl che Letzte Info abrufen Suspendie rungskenn wort gew hren Ger te Audit Aktualisieren Hilfe Beschreibung Ruft die durch das Erfassen der Logs die aktuellsten Informationen von den einzelnen Clients ab weitere Informationen hierzu finden Sie in Abrufen der aktuellsten Informationen von einem Client Gew hrt ein Suspendierungskennwort zu mit dem der Schutz eines Clients tempor r aufgehoben werden kann Startet SafeGuard PortAuditor siehe Auditing von Ger ten Aktualisiert die Clients Tabelle entsprechend der Auswahl in der Organisationsstruktur und aktualisiert die Datens tze der Clients Tabelle gem den aktuellen Logs Zeigt die Kontexthilfe des aktiven Fensters und erm glicht den Zugriff auf andere Hilfethemen 6 2 8 Arbeitsbereich Der Arbeitsbereich der Clients Welt ist in zwei Bereiche unterteilt Clients Tabelle Diese Tabelle erscheint im oberen rechten Fensterausschnitt und zeigt eine Tabelle der Clients im ausgew hlten Element der Organisationsstruktur Bevor Sie eine Auswahl auf den Registerkarten Organisationsstruktur oder Suche nach Namen unten beschrieben getroffen haben ist dieser Bereich leer Weitere Informationen finden
528. vacy and Security Rules of HIPAA requires regulated organizations to protect Electronic Protected Health Information EPHI These security rules require organizations to review and modify when necessary their formally documented security policies and procedures on a regular basis Due to concerns over data leakage DHHS has provided specific guidance for addressing the emerging threat of EPHI disclosure through uncontrolled storage devices and unapproved network access that must be addressed by HIPAA regulated organizations SafeGuard PortProtector helps you regain control of your endpoints and address data leakage and targeted attack threats This chapter provides guidance on how to address these threats within a HIPAA regulated environment The first section Pre Requisites for Addressing HIPAA Data Leakage Issues examines organizational issues and pre requisites that must be addressed prior to implementing SafeGuard PortProtector security features and settings It contains the following sub sections Foundations translate business objectives into a HIPAA compliant context Considerations describe the information security threats that must be addressed within the context of the established business mission Preparations describes the activities that should be performed before configuring SafeGuard PortProtector for EPHI protection 329 SafeGuard PortProtector 3 30 Benutzerhilfe The second section Implementing SafeGuard PortPro
529. vices to storage devices approved devices with the ability to appropriately encrypt the data Use of these Apply File Control devices should be logged on Files Read from storage devices A convenience feature of many operating systems is the ability to automatically execute a block smart program upon the insertion of removable media functionality This feature known as autorun or smart External HD Encrypt log functionality is also a security threat and should be disabled by default CD DVD Encrypt log Certain formats for writing files to media such as Apply File Control CD or DVD do not support file logging To on files written to Preserve the logging settings for all files the storage devices block unsupported burning formats option should remain checked Apply File Control on Files Read from storage devices Block unsupported burning formats Floppy Read only log Because reading data from floppy disks is Drives sometimes still required the system allows read only capability for such media Tape Drives Block log As most users rarely use tape drives in their daily work if at all this option is blocked by default File Control Log write only In order to support audit and investigation of security incidents involving confidential data the organization should log all files written to external storage devices WiFi Restrict white list Wireless networks present a clear risk to the Network WPA encrypted cont
530. von Kopien von Dateien definieren die zu von externen Speicherger ten verschoben wurden Schritt 16 Optionen definieren erm glicht es Ihnen die verschiedenen Verhaltensaspekte des SafeGuard PortProtector Client auf den Endpunkten zu definieren Schritt 17 Policy Berechtigungen definieren beschreibt wie definiert wird f r welche Administratoren die Policy sichtbar sein wird wenn Sie die Verwaltungsm glichkeit auf der Basis von Safend Protector Domain Partition gew hlt haben Schritt 18 Policy speichern und ver ffentlichen beschreibt die Optionen f r das Speichern der Policy in der Policy Datenbank und ihrer Ver ffentlichung so dass sie mit den relevanten Clients verkn pft werden kann Sobald SafeGuard PortProtector Policies an die SafeGuard PortProtector Clients verteilt und angewandt wurden implementieren sie Ihre Schutzpolicy auf jedem Computer In Kapitel 4 Verteilen von Policies finden Sie eine Beschreibung wie SafeGuard PortProtector Policies an die Endpunkte Ihrer Organisation verteilt werden 46 SafeGuard PortProtector 3 30 Benutzerhilfe 3 3 1 Schritt 1 Computer scannen und Port Gerate WiFi Nutzung erkennen Auch wenn SafeGuard PortAuditor kein integraler Bestandteil von SafeGuard PortProtector ist geht dieses Tool doch mit SafeGuard PortProtector Hand in Hand und erg nzt das System mit einer kompletten Sicht darauf welche Ports Ger te und Netze von den Benutzern in Ihrer Organisation genutzt werden od
531. von bestimmten Computern Benutzern oder Organisationseinheiten strammen Eine umfassende Erl uterung dieser Optionen finden Sie in Filtern nach Herkunft des Logdatensatzes Dort werden die Registerkarten Organisationsstruktur und Nach Namen suchen besprochen die nicht f r Server Logs gelten Abfragen Es k nnen Abfragen erstellt werden um Datens tze anhand verschiedener Parameter zu selektieren wie etwa Datensatztyp Zeit Ger tetyp etc Eine umfassende Erl uterung der Abfragen finden Sie in Abfragen 161 SafeGuard PortProtector 3 30 Benutzerhilfe 5 3 1 Anzeigen weiterer Datensatze Die Log Tabelle zeigt die ersten 1 000 Datens tze die Ihren Abfrage Filterkriterien entsprechen Wenn Sie zus tzlich ltere Datens tze anzeigen m chten k nnen Sie hierf r die Schaltfl chen zum Bl ttern unterhalb der Log Tabelle benutzen BES s 4 5 So navigieren Sie zu lteren oder neueren Logdatens tzen Verwenden Sie die Schaltfl chen zum Bl ttern unterhalb der Log Tabelle Sie k nnen entweder auf eine bestimmte Seitenzahl klicken oder Sie klicken auf N chste Seite gt Vorige Seite oder Erste Seite K um in den Seiten des Logs zu navigieren Hinweis Es kann etwas dauern bis eine neue Seite angezeigt wird weil neue Daten aus der Datenbank geladen werden m ssen Hinweis Bei der Anzeige von Seite 2 oder h her der Log Tabelle ist die automatische Aktualisierung deaktiviert 5 3 2 Aktualisiere
532. vorgangs in diesem Fenster verfolgen siehe auch Verfolgen des Fortschritts von Client Tasks 219 SafeGuard PortProtector 3 30 Benutzerhilfe 6 9 Abrufen der aktuellsten Informationen von einem Client Hinweis Da SafeGuard PortProtector f r diese Option WMI nutzt k nnen Sie diese Aktion nur dann ausf hren wenn ein Windows Benutzer mit lokalen Administratorrechten auf den Ziel Endpunkten definiert ist vorausgesetzt Sie habe im Fenster Administration Novell als Ihr Verzeichnis gew hlt Unter Umst nden m chten Sie Client Informationen so zeitnah wie m glich einsehen Mit dieser Option k nnen Sie Logs erfassen und die aktuellsten Informationen von gesch tzten Computern au erhalb der vordefinierten Erfassungszeiten anzeigen Bei Aktivierung dieser Funktion werden alle Logtypen erfasst Es gibt zwei Wege f r die Erfassung von Logs ber das Men Extras oder ber die Symbolleiste Mit dieser Option k nnen Sie Logs f r jede beliebige Organisationseinheit bzw jeden beliebigen Computer erfassen Durch Klicken mit der rechten Maustaste Mit dieser Option k nnen Sie Logs von zuvor ausgew hlten Clients durch Klicken mit der rechten Maustaste auf Organisationseinheiten in der Organisationsstruktur oder durch Klicken mit der rechten Maustaste auf gesch tzte Clients in die Clients Tabelle erfassen 6 9 1 Erfassen von Logs von einem beliebigen Client Die Logerfassung wird im Fenster Logs erfassen aktiviert So ffnen Sie
533. wahl unter Nach Umfang relevant sind Das bedeutet Wenn Sie alle Umfangsarten gew hlt haben sind alle Optionen f r By Port aktiviert Wenn Sie jedoch beispielsweise nur die Umfangsart Storage w hlen sind nur die Portoptionen USB FireWire und PCMCIA aktiviert Hinweis Wenn Sie nur Manipulation bzw Admin unter Nach Umfang ausw hlen ist der Abschnitt Nach Port deaktiviert da er f r diese Umfangsarten nicht relevant ist Nach Policy In diesem Abschnitt k nnen Sie den Namen ganz oder teilweise der Policy bzw Policies eingeben die mit den Datens tzen in der Log Tabelle verkn pft werden sollen Es werden nur Policies angezeigt deren Name den von Ihnen eingegebenen Text enth lt Wenn Sie diesen Abschnitt ausw hlen werden in der Log Tabelle Datens tze unabh ngig von der Policy mit der sie verkn pft sind angezeigt Wenn Sie diesen Abschnitt ausw hlen m ssen Sie einen der Policy Typen ausw hlen Logtyp In diesem Abschnitt k nnen Sie w hlen ob Sie Log and Alarmdatens tze oder nur Alarme anzeigen m chten 5 5 2 3 Ger teeigenschaften Client Logs Die Ger te Abfrageeigenschaften werden auf der Registerkarte Ger te definiert Abfrageeigenschaften Unbenannt Client Logs x Zeit mn Allgemein Ger C HID Ger te C Netzwerkadapter Speicherger te O Drucker O Bildbearbeitungsgerate WiFi Links PDAs Smart Phones C Audio Videoger te Manipulati Turn z AMRAN Windows
534. werden ob sie sensible Informationen enth lt z B geistiges Eigentum Verbraucherdaten etc Wenn festgestellt wird dass die Datei sensible Daten enth lt wird der Benutzer dar ber informiert dass diese Datei nicht auf externe Ger te bertragen werden soll Zudem wird ein so genanntes Trace Log f r den Administrator erstellt Dieses Log gibt dem Administrator eine detaillierte Liste der Datenverletzungen durch externe Speicherger te an die Hand 12 SafeGuard PortProtector 3 30 Benutzerhilfe 1 2 5 WiFi Kontrolle Die WiFi Kontrolle stellt sicher dass die Benutzer nur Verbindungen zu zugelassenen Netzen herstellen k nnen Sie k nnen angeben welchen Netzen oder Ad hoc Links Zugang gew hrt wird Zur Definition der zugelassenen Links k nnen Sie die MAC Adresse des Zugangspunkts die SSID des Netzes die Authentifizierungsmethode und die Verschl sselungsmethoden angeben SafeGuard PortProtector Management Console Datei Bearbeiten Ansicht Extras Fenster Hilfe Policies a Logs 2 Clients 2l m Ea Policies Neu Policies Integriert Alle zulassen Keine Proto 4 gt x Br 4 BE BE Diese Berechtigungen gelten nur wenn der WiFi Port mit Einschr nken definiert wurde Eigenschaften Portkontrolli Bee SO OOS Allgemein Wei e Liste l Ger tekontrolle i WiFi Verbindungsarten Aktion Log Alarm Speicherkontrolle Pa fi ki v v Beats ko
535. will require an update to the user education 15 1 3 Preparations SafeGuard PortProtector allows organizations to control access and protect endpoints based on user roles network domains computer types and systems and data sensitivity The specific implementation and configuration of SafeGuard PortProtector requires an accurate knowledge of objects SafeGuard PortProtector is to protect the policies it is to enforce and the administrative roles that will maintain the SafeGuard PortProtector software The following activities are an important element of the preparation to install and configure SafeGuard PortProtector for the protection of cardholder data Preparation 1 Determine Endpoint Protection Needs SafeGuard PortProtector provides the ability to protect stored cardholder data for uncontrolled export on removable devices at endpoints On the other hand your organization has a variety of business needs that will require connectivity to external storage devices wireless networks and other possible threats In preparation for a SafeGuard PortProtector deployment your organization should determine the protection and business needs of the endpoints Instructions Update endpoint inventory and classification Be sure that you are aware of all endpoints within your network that store process or transmit cardholder data This can be done through a manual inventory process of through the use of directory services Classification is based o
536. wird das Symbol kurz angezeigt wenn ein Ger t angeschlossen wird und verschwindet danach wieder Stealth Modus Das Taskleistensymbol von SafeGuard PortProtector ausblenden und keine Ereignismeldungen anzeigen In diesem Modus wird der Endbenutzer das Symbol nie sehen und auch nie Meldungen zu gesperrten Ger ten Ports erhalten Hinweis Wenn Sie in Ihre Organisation eine Verschl sselung nutzen sollte der Stealth Modus nicht genutzt werden um die erforderlichen Meldungen anzuzeigen sobald ein unverschl sseltes Ger t angeschlossen wird Diese Optionen werden in Definieren der Client Sichtbarkeit im Kapitel Definieren von Policies konfiguriert 8 5 Optionen des SafeGuard PortProtector Clients Neben dem st ndigen Schutz und laufender berwachung der Host Computer kann der Endbenutzer mit SafeGuard PortProtector Client weitere Aktionen auf dem Host Computer ausf hren Aktualisieren der Client Policy weist den Client an die ihn sch tzende Policy nach einer Policy nderung zu aktualisieren Aufheben des SafeGuard PortProtector Schutzes auf einem Client hebt den SafeGuard PortProtector Schutz auf dem Host Computer zeitweilig auf Anzeigen und Ausblenden von Dateimeldungen erm glicht Endbenutzern das Ausblenden und erneute Anzeigen von Dateimeldungen wenn sie seine Arbeit behindern Erstellen eines virtuellen verschl sselten Volumes erm glicht Endbenutzern das Erstellen verschl sselter Container die auf CD DVD
537. x General Managed By COM Group Policy To improve Group Policy management upgrade to the Group Policy Management Console APMC Current Group Policy Object Links for All Users Ou Group Policy Object Links No Override Disabled S BlockAll S Allow llPorts Ss RestrictParallel Group Policy Objects higher in the list have the highest priority This list obtained from YMDE2 VmDom2 com Tl Block Policy inheritance OK Cancel Apply 3 W hlen Sie die BlockAll Policy und klicken Sie auf Properties 147 SafeGuard PortProtector 3 30 Benutzerhilfe 4 Navigieren Sie zur Registerkarte Security BlockAll Properties xl General Links Security WMI Fiter Group or user names Authenticated Users en Block ll MDOM2 BlockAlll ER CREATOR OWNER en Domain Admins MDOM2 D omain Admins g i Enterprise Admins MDOM2 Enterprise Admins gt PR mite onnier nmuan cm rnmiirne Add Permissions for Authenticated Users Allow Deny Full Control Read Write Create All Child Objects Delete All Child Objects Apply Group Policy OOOoOs8oO oOooooo a For special permissions or for advanced settings Advanced click Advanced OK Cancel Apply 5 Entfernen Sie Authenticated Users aus dem ACE 6 F gen Sie die Sicherheitsgruppe BlockAll hinzu und verleihen Sie ihr die Berechtigungen Read und Apply Group Policy wie unten gezeigt Blo
538. y ffnen Die Anwendung wechselt in die Policies Welt und zeigt die Policy an die auf dem Client angewandt ist der den Logdatensatz gesendet hat Hinweis Bei zusammengef hrten Policies siehe Zusammenf hren von Policies wird die Policy ge ffnet deren Name in alphabetischer Reihenfolge zuerst kommt 164 SafeGuard PortProtector 3 30 Benutzerhilfe 5 3 3 3 Kopieren von USB Ger te oder CD DVD Mediendaten ber diese Option k nnen Sie die Informationen zu dem USB Ger t oder CD DVD Medium das mit dem Logdatensatz verkn pft ist in die Zwischenablage kopieren um sie sp ter beim Freigeben des Ger ts Mediums in einer Policy einzuf gen siehe Freigeben von Ger ten und WiFi Verbindungen oder Freigeben von CD DVD Medien im Kapitel Definieren von Policies So kopieren Sie Ger te Mediendaten Klicken Sie im Kontextmen auf USB Ger teinformationen kopieren Die Ger te Medienangaben werden in die Zwischenablage kopiert und k nnen in der Policies Welt in eine Gruppe in die wei e Liste eingef gt werden siehe Hinzuf gen von Ger ten und Hinzuf gen von Medien im Kapitel Definieren von Policies Dies ist auch ber das Fenster Logdatensatz Eigenschaften m glich wie in Anzeigen der Eigenschaften des Logdatensatzes erl utert 5 3 3 4 Anzeigen aller verkn pften Logdatens tze Mit dieser Option k nnen Sie alle Logdatens tze anzeigen die mit demselben Ger t derselben Policy demselben Benutzer oder demselben Computer v
539. y Built in information disconnection a management systems that wireless network operational and contain or use connection audit reports collect EPHI tampering attempts and organize critical or administrator data that allows for login Event logs the efficient include endpoint examination of identify user event activities related to type and time data transfer to SafeGuard storage devices and PortProtector also media creates server logs for administrative events such as administrator login publishing policies and performing backups Client and Server logs are sent to a log repository and stored on the Management Server at the defined intervals 164 312 e 2 ii Encryption A Policies can be SafeGuard Implement a created that either PortProtector mechanism to force data to be extends the ability encrypt electronic encrypted before to enforce protected health being transferred to encryption policies information removable storage and procedures whenever deemed devices or force the within a HIPAA appropriate use of encrypted WiFi organization channels for secure blocking attempts to transfer of data write to unencrypted devices blocking the non network use of encrypted devices ensuring wireless communication is restricted to properly encrypted and approved wireless networks 346 SafeGuard PortProtector 3 30 Benutzerhilfe 14 Appendix F Using SafeGuard PortPro
540. yp In diesem Abschnitt geben Sie an ob die Log Tabelle Logs und Alarme oder nur Alarme anzeigen soll 5 5 5 Ausf hren einer neuen Abfrage Sie k nnen bei Bedarf eine neue Abfrage direkt aus dem Fenster Abfrageeigenschaften heraus ausf hren So f hren Sie eine neue Abfrage aus Klicken Sie im Fenster Abfrageeigenschaften nach dem Speichern der Abfrage auf Ausf hren Die Abfrage wird aktiviert und die Log Tabelle zeigt die Datens tze an die Ihren Abfragekriterien entsprechen Hinweis Wenn Sie die neue Abfrage vor dem Ausf hren nicht speichern und benennen k nnen Sie sie sp ter wenn sie nicht mehr aktiv ist nicht mehr verwenden 5 5 6 Speichern einer neuen Abfrage Nachdem Sie die Definition der Abfrage abgeschlossen haben k nnen Sie sie f r zuk nftige wiederholte Nutzung speichern So speichern Sie eine neue Abfrage 1 Klicken Sie im Fenster Abfrageeigenschaften auf Speichern Das Fenster Abfrage speichern wird angezeigt 2 Geben Sie im Fenster Abbfrage speichern den gew nschten Abfragenamen zwingend erforderlich und eine Beschreibung optional ein und klicken Sie auf OK Die Abfrage wird gespeichert und ab diesem Zeitpunkt k nnen Sie sie im Symbolleistenmen Abfrage ausw hlen 190 SafeGuard PortProtector 3 30 Benutzerhilfe 5 5 7 Verwalten von Abfragen So ffnen Sie das Fenster Verwalten Abfragen Klicken Sie in der Symbolleiste auf die Schaltfl che Abfragen verwalten Y ODER Klicken Si
541. z berbr ckung sperren x Folgende Ports sperren wenn ein Kabel L4N angeschlossen ist gesussnusren M WiFi Bluetooth IDA Modem Hier k nnen Sie die Berechtigungen f r eine Hybridnetz berbr ckung festlegen wie Blockieren der Hybridnetz berbr ckung erl utert 3 3 4 1 Blockieren der Hybridnetz berbr ckung Im Fenster Netz berbr ckung sperren definieren Sie welche Wireless Ports gesperrt werden sollen wenn der Endpunkt mit dem verkabelten LAN verbunden ist So sperren Sie die Hybridnetz berbr ckung Lassen Sie die Kontrollk stchen f r die Ports markiert die Sie bei einer Verbindung zum Kabel LAN sperren m chten Deaktivieren Sie die Kontrollk stchen f r die Ports die Sie zulassen m chten 3 3 5 Schritt 5 Ger tekontrolle definieren Im Fenster Port Control k nnen Sie f r USB FireWire und PCMCIA Ports angeben dass der Zugriff auf diese Porttypen eingeschr nkt ist dies gilt auch f r WiFi Ports wie in Schritt 8 WiFi Kontrolle definieren beschrieben Durch die Auswahl von Einschranken k nnen Sie im Fenster Ger tekontrolle detailliertere Angaben dar ber machen welche Ger te f r den Zugriff auf diese Ports berechtigt sind 55 SafeGuard PortProtector 3 30 Benutzerhilfe So ffnen Sie das Fenster Ger tekontrolle 1 Klicken Sie auf der linken Seite im Men Sicherheit auf die Schaltfl che Ger tekontrolle ODER Klicken Sie im Fenster Port Control auf den Link Ger tekontrolle
542. zation should log any such behavior However the organization should use other P2P Block log Block log internal controls to ensure that all wireless networks are secured through adequate encryption A more aggressive setting to not only log the behavior but restrict use to an approved list of Wi Fi networks that have been approved by the organization and have proper encryption Policy Settings Logging Send logs to SafeGuard PortProtector Server Send logs every 12 hours Log connect and disconnect events Send logs to SafeGuard PortProtector Server Send logs every 12 hours Log connect and disconnect events Logs should clearly not be stored on the endpoint but instead sent to the SafeGuard PortProtector Server where they can be protected and viewed by the administrator Other logging settings here provide adequate EPHI protection by ensuring periodic updating of logs on the server without burdening the network inclusion of connect and disconnect events to allow for analysis of how long a device was connected End user messages Review the end user messages associated with the SOX setting to ensure they are consistent with your formally documented security policies and security awareness training program It is important to provide a constant reminder to system users that they are responsible for protecting the network and sensitive information and co
543. zations with additional technical controls to protect cardholder data at system endpoints and address data leakage and targeted attack threats As discussed throughout this appendix SafeGuard PortProtector can address data leakage risks targeted attack threats and many ofthe FISMA requirements 379 SafeGuard PortProtector 3 30 Benutzerhilfe 380 Setting FISMA Setting Rationale Policy Create new policies based on the built in policy of FISMA best practices Each policy can then be modified as determined by the compliance officer and in accordance with the organization s operational needs Port Control USB Restrict Restricting access to these ports allows for a finer FireWire Restrict granularity of control under the device control section of the policy security PCMCIA Restrict SD Allow Any storage capable devices connected to this port will be allowed or blocked based on the permissions defined by storage device settings Serial Allow Allowing access to these ports is required for Parallel Allow some standard human interface devices WiFi Restrict Restricting access to Wi Fi networks allows for a finer granularity of control under the Wi Fi control section of the policy security Modem Allow log Use of a modem can lead to unauthorized network connections but may have a common business use At the minimum however use of these devices should be logged IrDA Block log Use of IrDA o
544. zeit geltenden Policy die geltende Policy ist eine andere als die Computer Policy wenn ein Benutzer mit einer Benutzer Policy angemeldet ist Enth lt einen Link zur Anzeige der aktuell geltenden Policy Computer Policy Zeigt Informationen zur Computer Policy die Computer Policy ist u U nicht die geltende Policy wenn ein Benutzer mit einer Benutzer Policy angemeldet ist Enth lt einen Link zur Anzeige der Computer Policy Client Deaktivierung Zeigt Informationen bez glich der Client Suspendierung Ein Gefahrensymbol wird angezeigt wenn der Computer derzeit suspendiert ist 6 5 Filtern von Clients Die linke Seite des Clients Fensters enth lt zwei Registerkarten die Ihnen dabei helfen die Computer zu bestimmen deren Logs in der Clients Tabelle angezeigt werden sollen 6 5 1 Filtern der Clients Tabelle nach Organisationseinheit Die Organisationsstruktur ist ein Tool mit dem Sie die Organisationseinheiten bestimmen k nnen deren Clients in der Clients Tabelle angezeigt werden sollen Dieser Abschnitt beschreibt wie die Organisationsstruktur gehandhabt und aus der Struktur heraus festgelegt wird welche Clients in der Clients Tabelle angezeigt werden 212 SafeGuard PortProtector 3 30 Benutzerhilfe Die Registerkarte Organisationsstruktur zeigt die Dom ne n Organisationseinheiten sowie die Gruppe Nicht in Dom ne die alle Computer enth lt die derzeit nicht zu der Dom ne geh ren wie in der folgenden Abbildung darge
Download Pdf Manuals
Related Search