SafeGuard Easy Upgrade-Anleitung

Transcription

SafeGuard Easy Upgrade-Anleitung
SafeGuard Easy
Upgrade-Anleitung
Produktversion: 6.1
Stand: Februar 2014
Inhalt
1 Einleitung............................................................................................................................................3
2 Überprüfen der Systemanforderungen..............................................................................................4
3 Installer Download.............................................................................................................................5
4 Aktualisierung.....................................................................................................................................6
5 Migration..........................................................................................................................................10
6 Technischer Support.........................................................................................................................13
7 Rechtliche Hinweise..........................................................................................................................14
2
Upgrade-Anleitung
1 Einleitung
Dieses Handbuch umfasst Aktualisierungen von früheren Versionen von SafeGuard Easy /
Sophos SafeGuard Disk Encryption genauso wie Migrationsszenarien, die eine Änderung bei
der Lizenz der Sophos Verschlüsselungssoftware beinhalten.
Die Aktualisierung / Migration wird sowohl für Server als auch für Endpoints beschrieben.
Dieses Handbuch erläutert, wie Sie aktualisieren können von:
■
SafeGuard Easy (SGE) 5.60.x, oder 6.x
■
Sophos SafeGuard Disk Encryption (SDE) 5.60.
Dieses Handbuch erklärt die folgenden Migrationsszenarien:
■
Migration auf SafeGuard Enterprise 6.1 mit zentraler Verwaltung.
■
Migration von Endpoints mit dateibasierter Verschlüsselung auf SafeGuard Full Disk
Encryption.
Hinweis: Informationen zur Migration zu Sophos Disk Encryption 5.61 (verwaltet mit Sophos
Enterprise Console 5.1) finden Sie in der Sophos Disk Encryption 5.61 Anleitung zur
Lizenzmigration.
3
SafeGuard Easy
2 Überprüfen der Systemanforderungen
Informationen zu Hardware- und Software-Anforderungen, Service Packs sowie
Festplattenspeicherbedarf für Installation und effektiven Betrieb finden Sie in den aktuellen
Versionsinfos auf der Sophos SafeGuard Versionsinfos Landing-Page
http://www.sophos.com/de-de/support/knowledgebase/112776.aspx.
4
Upgrade-Anleitung
3 Installer Download
1. Laden Sie die Installer und die Dokumentation von der Sophos Website herunter. Sie
erhalten hierzu von Ihrem Systemadministrator die entsprechende Web-Adresse und die
erforderlichen Download-Anmeldeinformationen.
2. Legen Sie die Dateien an einem Speicherort ab, auf den Sie für die Installation Zugriff
haben.
5
SafeGuard Easy
4 Aktualisierung
SafeGuard Easy/Sophos SafeGuard Disk Encryption 5.6x oder höher kann direkt auf die aktuelle
Version von SafeGuard Easy aktualisiert werden. Bestehende Einstellungen müssen nicht
geändert werden. Wenn Sie eine Aktualisierung von einer älteren Version durchführen möchten,
müssen Sie zunächst eine Aktualisierung auf Version 5.60 durchführen.
Eine Aktualisierung auf die aktuelle Version umfasst die folgenden Schritte.
1. Aktualisieren des SafeGuard Policy Editor
Das beinhaltet eine automatische Aktualisierung der SafeGuard Datenbank auf die aktuelle
Version.
2. Aktualisieren der Sophos SafeGuard Verschlüsselungssoftware auf Endpoints
3. Aktualisieren der Sophos SafeGuard Konfigurationspakete auf Endpoints
Hinweis:
■
Nach der Aktualisierung aller SafeGuard Easy Komponenten und Endpoints auf Version
6.1 empfehlen wir die Umstellung auf den sichereren Algorithmus SHA-256 für das
Signieren von durch SafeGuard Easy erzeugten Zertifikaten.
Tun Sie das nur, wenn alle SafeGuard Easy Komponenten und Endpoints auf die aktuelle
Version aktualisiert wurden. In gemischten Umgebungen, in denen zum Beispiel SafeGuard
Easy 6 Endpoints mit dem SafeGuard Easy Policy Editor 6.1 verwaltet werden, wird SHA-256
nicht unterstützt.
Weitere Informationen finden Sie in der SafeGuard Easy Administrator Hilfe im Abschnitt
Ändern des Algorithmus für selbst-signierte Zertifikate.
■
Eine gültige Lizenzdatei ist erforderlich. Wird die Anzahl an gültigen Lizenzen überschritten,
so können keine Konfigurationspakete mehr erzeugt werden. Bitte wenden Sie sich im
Voraus an Ihren Vertriebspartner um eine Lizenzdatei anzufordern.
4.1 Aktualisieren des SafeGuard Policy Editor
Voraussetzungen
6
■
Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.
■
Version 5.60 oder höher des SafeGuard Policy Editor muss auf den Endpoints installiert
sein. Ältere Versionen müssen zuerst auf Version 5.60 aktualisiert werden.
■
Es ist keine Deinstallation des SafeGuard Policy Editor nötig.
■
Stellen Sie sicher, dass das Unternehmenszertifikat (*p.12) und das MSO Zertifikat verfügbar
und die Kennwörter bekannt sind.
■
.NET Framework 4 muss mit der Aktualisierung installiert werden. Sie finden es in der
Produktlieferung.
Upgrade-Anleitung
■
Sie benötigen eine gültige Lizenzdatei. Wenden Sie sich dafür vorab an Ihren
Vertriebspartner.
So aktualisieren Sie den SafeGuard Policy Editor:
1. Schließen Sie den SafeGuard Policy Editor.
2. Installieren Sie aus dem Installationsordner des Produkts das SafeGuard Policy Editor 6.1
Installationspaket. Nach der Installation müssen Sie den Konfigurationsassistenten nicht
noch einmal ausführen.
3. Starten Sie den aktualisierten SafeGuard Policy Editor. Eine Meldung wird angezeigt, die
Sie darüber informiert, dass die SafeGuard Datenbank gesichert und anschließend
automatisch aktualisiert wird. Die Sicherungsdatei wird gespeichert unter: Program
data\Utimaco\SafeGuard Enterprise\ SGNDBBackup.bak
Die Datenbank-Konsistenz wird nun automatisch geprüft. Wenn Fehler bei den
kryptographischen Prüfsummen von einigen Tabellen gefunden werden, werden
Warnungsmeldungen angezeigt. Um die Tabellen zu reparieren, wählen Sie im
entsprechenden Dialog Reparieren. Die Prüfsummen für die geänderten Tabellen werden
neu berechnet.
4. Importieren Sie die Lizenzdatei.
SafeGuard Policy Editor und die SafeGuard Datenbank wurden auf die aktuelle Version
aktualisiert.
4.2 Aktualisierung von Endpoints
Voraussetzungen
■
Version 5.60 oder höher der Sophos SafeGuard Verschlüsselungssoftware muss auf den
Endpoints installiert sein. Ältere Versionen müssen zuerst auf Version 5.60 aktualisiert
werden.
■
Die Aktualisierung der Sophos SafeGuard Datenbank und des SafeGuard Policy Editor
wurde bereits durchgeführt.
■
Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.
So aktualisieren Sie die Endpoints:
1. Melden Sie sich an dem Computer als Administrator an.
2. Installieren Sie das aktuelle Prä-Installationspaket SGxClientPreinstall.msi aus
dem Install-Ordner des Produkts. Dieses Paket stattet den Endpoint mit den nötigen
Voraussetzungen für eine erfolgreiche Installation der aktuellen Verschlüsselungssoftware
aus.
Verwenden Sie keine veralteten Prä-Installationspakete.
7
SafeGuard Easy
3. Installieren Sie aus dem Install-Ordner des Produkts die aktuelle Version der Sophos
SafeGuard Verschlüsselungssoftware.
Der Windows Installer erkennt, welche Features bereits installiert sind und installiert auch
nur diese Features neu. Wenn die SafeGuard Power-on Authentication installiert ist, steht
nach erfolgreicher Aktualisierung auch ein aktualisierter POA-Kernel zur Verfügung.
Sophos SafeGuard wird auf dem Computer automatisch neu gestartet.
Um mit der Aktualisierung neue Features zu installieren, wählen Sie eine Installation vom
Typ Angepasst aus. Wählen Sie dann die neuen Features und die zu aktualisierenden
Features.
Die aktuelle Version der Sophos SafeGuard Verschlüsselungssoftware mit den ausgewählten
Features ist auf den Endpoints installiert.
Hinweis: Um durch SafeGuard Enterprise geschützte Endpoints zentral zu aktualisieren,
verwenden Sie die Eigenschaft ADDLOCAL, um die von Ihnen gewünschten Features (bereits
vorhandene und neue) zu wählen. Weitere Informationen finden Sie in der SafeGuard Easy
6.1 Kurzanleitung.
4.3 Aktualisieren der Konfiguration der Endpoints
Stellen Sie sicher, dass Sie nach der Aktualisierung der Verschlüsselungssoftware neue
Konfigurationspakete erstellen und auf den Endpoints installieren. Verwenden Sie auf
Endpoints, die auf Version 6.1 aktualisiert wurden, Konfigurationspakete, die mit SafeGuard
Policy Editor 6.1 erstellt wurden.
Veraltete Konfigurationspakete oder Pakete, die mit früheren Versionen des SafeGuard Policy
Editor erstellt wurden, sollten auf aktualisierten Endpoints nicht verwendet werden und werden
nicht länger unterstützt.
Es ist auch wichtig, im folgenden Fall ein neues Konfigurationspaket zu erstellen:
In gemischten Umgebungen, in denen einzelne Komponenten oder Endpoints nicht auf die
letzte Version aktualisiert werden, müssen Sie den Algorithmus zurücksetzen, der zum Signieren
von Zertifikaten verwendet wird, die von SGE erstellt wurden. Ab SafeGuard Easy 6.1 wird
standardmäßig der sicherere Hashalgorithmus SHA-2 verwendet, der von früheren Versionen
nicht unterstützt wird. In einer gemischten Umgebung müssen Sie den Hashalgorithmus auf
SHA-1 zurücksetzen, ein neues Konfigurationspaket erstellen und es auf den Endpoints
verteilen. Sobald alle Komponenten und Endpoints auf die aktuelle Version aktualisiert wurden,
empfehlen wir, wieder zum sichereren Algorithmus zu wechseln.
Hinweis: Weitere Informationen finden Sie in der SafeGuard Easy Administrator Hilfe im
Abschnitt Ändern des Algorithmus für selbst-signierte Zertifikate.
Um die Konfiguration der Endpoints zu aktualisieren:
1. Löschen Sie aus Sicherheitsgründen alle veralteten oder nicht verwendeten
Konfigurationspakete auf den Endpoints.
2. Bearbeiten Sie im SafeGuard Policy Editor, der auf die letzte Version aktualisiert wurde,
im Navigationsbereich Richtlinien die Richtlinien entsprechend Ihrer Erfordernisse.
8
Upgrade-Anleitung
3. Klicken Sie im Extras Menü auf Konfigurationspakete. Klicken Sie auf Pakete für
Standalone Clients, machen Sie Ihre Änderungen und erstellen Sie ein Konfigurationspaket
für Standalone Endpoints.
4. Stellen Sie das neue Konfigurationspaket auf den Endpoints bereit.
Hinweis: Das Herabstufen eines Endpoints von einem zentral verwalteten zu einem Standalone
Client indem man nur das Konfigurationspaket tauscht, wird nicht unterstützt.
9
SafeGuard Easy
5 Migration
Dieser Abschnitt beschreibt die Migrationsszenarien, die eine Änderung in Ihrer Lizenz für
die Sophos Verschlüsselungssoftware umfassen. Sowohl die Migration der serverseitigen
Software als auch der Endpoint-Software wird abgedeckt.
Die folgenden Migrationsszenarien werden beschrieben:
■
Migration auf SafeGuard Enterprise mit zentraler Verwaltung.
■
Migration von Endpoints mit dateibasierter Verschlüsselung auf SafeGuard
Festplattenverschlüsselung.
Hinweis: Informationen zur Migration zu Sophos Disk Encryption 5.61 (verwaltet mit Sophos
Enterprise Console) finden Sie in der Sophos Disk Encryption 5.61 Anleitung zur Lizenzmigration.
5.1 Migration zu SafeGuard Enterprise
Sie können eine Migration der Standalone-Lösungen SafeGuard Easy (SGE)/Sophos SafeGuard
Disk Encryption (SDE) zur SafeGuard Enterprise 6.1 Suite mit zentraler Verwaltung
durchführen. Somit können Sie umfassende Verwaltungsfunktionen nutzen, zum Beispiel
Benutzer- und Computerverwaltung oder umfangreiche Protokollierungfunktionen.
Das wird für die folgenden Varianten und Versionen unterstützt
■
SafeGuard Easy (SGE) 5.60, und 6.x.
■
Sophos SafeGuard Disk Encryption (SDE) 5.60.
Um zu SafeGuard Enterprise 6.1 zu migrieren:
■
Setzen Sie die letzte Version des SafeGuard Enterprise Servers auf. Weitere Informationen
finden Sie in der SafeGuard Easy 6.1 Kurzanleitung.
■
Migrieren Sie die Management-Konsole.
■
Migrieren Sie die Endpoints auf eine zentral verwaltete Konfiguration.
5.1.1 Migration der Management-Konsole
Voraussetzungen
10
■
SafeGuard Enterprise Server 6.1 muss aufgesetzt worden sein.
■
Sie müssen die Management-Konsole SafeGuard Policy Editor nicht deinstallieren.
■
.NET Framework 4 mit ASP.NET 4 ist erforderlich. Dies muss vor der Migration installiert
werden. Das Programm steht in der SafeGuard Enterprise Produktlieferung zur Verfügung.
■
Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.
Upgrade-Anleitung
So migrieren Sie die Management-Konsole:
1. Starten Sie auf dem Computer, auf dem der SafeGuard Policy Editor installiert ist,
SGNManangementCenter.msi aus dem Install-Verzeichnis des Produkts. Ein Assistent
führt Sie durch die Installation. Übernehmen Sie die Standardeinstellungen.
2. Starten Sie Ihren Computer neu, wenn Sie dazu aufgefordert werden.
3. Starten Sie das SafeGuard Management Center, um die Erstkonfiguration durchzuführen.
Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung.
4. Konfigurieren Sie die SafeGuard Enterprise Richtlinien nach Ihren Wünschen.
Der SafeGuard Policy Editor wurde zum SafeGuard Management Center migriert.
5.1.2 Migrieren von Endpoints auf eine zentral verwaltete Konfiguration.
Standalone-Endpoints lassen sich zu Endpoints mit einer zentral verwalteten Konfiguration
migrieren. Diese Endpoints können im SafeGuard Management Center verwaltet werden und
haben eine Verbindung zum SafeGuard Enterprise Server.
Voraussetzungen
■
Der SafeGuard Policy Editor wurde zum SafeGuard Management Center migriert.
■
Es ist keine Deinstallation der Sophos SafeGuard Verschlüsselungssoftware auf den
Endpoints nötig. Version 5.6x oder höher der Sophos SafeGuard Verschlüsselungssoftware
muss auf den Endpoints installiert sein. Ältere Versionen müssen zunächst Version für
Version auf Version 5.60 aktualisiert werden.
Hinweis:
■
Führen Sie ein Backup des Endpoints durch, bevor Sie die Migration starten.
■
Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen.
So migrieren Sie die Endpoints:
1. Installieren Sie das aktuelle Prä-Installationspaket SGxClientPreinstall.msi, das
den Endpoint mit den nötigen Voraussetzungen für eine erfolgreiche Installation der
aktuellen Verschlüsselungssoftware ausstattet.
Verwenden Sie keine veralteten Prä-Installationspakete.
2. Installieren Sie aus dem Install-Ordner des Produkts die aktuelle Version der Sophos
SafeGuard Verschlüsselungssoftware.
Der Windows Installer erkennt, welche Features bereits installiert sind und installiert auch
nur diese Features neu. Wenn die SafeGuard Power-on Authentication installiert ist, steht
nach erfolgreicher Migration (Richtlinien, Schlüssel usw.) auch ein aktualisierter
POA-Kernel zur Verfügung. Sophos SafeGuard wird auf dem Computer automatisch neu
gestartet.
Um mit der Aktualisierung neue Features zu installieren, wählen Sie eine Installation vom
Typ Angepasst aus. Wählen Sie dann die neuen Features und die zu aktualisierenden
Features. Bei einer nicht überwachten Installation, verwenden Sie die Eigenschaft
ADDLOCAL = zur Auswahl der gewünschten Features (vorhandene und neue).
11
SafeGuard Easy
3. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete.
Wählen Sie Pakete für Managed Clients und erstellen Sie ein Konfigurationspaket. Weitere
Informationen finden Sie in der SafeGuard Enterprise Installationsanleitung im Abschnitt
Erzeugen eines Konfigurationspakets für Standalone-Endpoints.
4. Weisen Sie dieses Konfigurationspaket den Sophos SafeGuard Endpoints über eine
Gruppenrichtlinie zu.
Die Authentisierung ist deaktiviert, da die Benutzer-Computer-Zuordnung nicht migriert
wird. Nach der Migration sind die Endpoints damit ungeschützt!
5. Der Benutzer muss den Endpoint neu starten. Die erste Anmeldung erfolgt noch über
Autologon. Neue Schlüssel und Zertifikate werden dem Benutzer zugewiesen.
6. Der Benutzer muss den Endpoint noch einmal starten und sich an der Power-on
Authentication anmelden. Die Computer werden erst nach dem zweiten Neustart geschützt.
7. Löschen Sie veraltete und nicht mehr verwendete Konfigurationspakete.
Der durch Sophos SafeGuard Endpoint hat nun eine Verbindung zum SafeGuard Enterprise
Server.
5.2 Migration von Endpoints mit dateibasierter Verschlüsselung auf
SafeGuard Festplattenverschlüsselung.
Sie können bei Endpoints, auf denen nur die dateibasierende Verschlüsselung
(SGNClient_withoutDE.msi) installiert ist, eine Migration für die Unterstützung der Sophos
SafeGuard Festplattenverschlüsselung (SGNClient.msi) durchführen: Führen Sie die folgenden
Schritte aus, um eine sichere und korrekte Authentisierung an der Power-on Authentication
zu garantieren:
1. Deinstallieren Sie auf dem Endpoint das Paket SGNClient_withoutDE.msi.
2. Deinstallieren Sie das relevante Konfigurationspaket.
3. Installieren Sie das SGNClient.msi Paket aus dem Install-Ordner des Produkts. Ein Assistent
führt Sie durch die Installation. Übernehmen Sie die Standardeinstellungen und wählen
eine Vollständige Konfiguration, um alle verfügbaren Verschlüsselungs-Features zu
installieren.
4. Erstellen Sie ein neues Konfigurationspaket und installieren Sie es auf dem Endpoint.
Hinweis: Die während der Installation des SGNClient_withoutDE.msi Installationspakets
erzeugten Schlüssel stehen immer noch zur Verfügung.
5.3 Migration des Betriebssystems
Wenn SafeGuard Enterprise installiert ist, ist es nur möglich, die Service Pack Version Ihres
Betriebssystems zu aktualisieren. Sie können z. B. ein neues Windows 7 Service Pack installieren.
Es ist jedoch nicht möglich, von einer Betriebssystem-Serie auf eine andere zu migrieren. Sie
können beispielsweise nicht von Windows 7 auf Windows 8 migrieren, wenn SafeGuard Easy
installiert ist.
12
Upgrade-Anleitung
6 Technischer Support
Technischen Support zu Sophos Produkten können Sie wie folgt abrufen:
■
Rufen Sie das SophosTalk-Forum unter community.sophos.com/ auf und suchen Sie nach
Benutzern mit dem gleichen Problem.
■
Durchsuchen Sie die Sophos Support-Knowledgebase unter
www.sophos.com/de-de/support.aspx.
■
Laden Sie Produktdokumentation unter www.sophos.com/de-de/support/documentation/
herunter.
■
Senden Sie eine E-Mail an support@sophos.de und geben Sie die Versionsnummer(n),
Betriebssystem(e) und Patch Level Ihrer Sophos Software sowie ggf. den genauen Wortlaut
von Fehlermeldungen an.
13
SafeGuard Easy
7 Rechtliche Hinweise
Copyright © 1996 - 2014 Sophos Group. Alle Rechte vorbehalten. SafeGuard ist ein
eingetragenes Warenzeichen von Sophos Group.
Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch
gespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie
verfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung
mit dem Lizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftliche
Genehmigung des Urheberrechtsinhabers.
Sophos, Sophos Anti-Virus und SafeGuard sind eingetragene Warenzeichen von Sophos
Limited, Sophos Group und Utimaco Safeware AG, sofern anwendbar. Alle anderen erwähnten
Produkt- und Unternehmensnamen sind Marken oder eingetragene Marken der jeweiligen
Inhaber.
Copyright-Informationen von Drittanbietern finden Sie in dem Dokument Disclaimer and
Copyright for 3rd Party Software in Ihrem Produktverzeichnis.
14