SafeGuard Easy Upgrade-Anleitung
Transcription
SafeGuard Easy Upgrade-Anleitung
SafeGuard Easy Upgrade-Anleitung Produktversion: 6.1 Stand: Februar 2014 Inhalt 1 Einleitung............................................................................................................................................3 2 Überprüfen der Systemanforderungen..............................................................................................4 3 Installer Download.............................................................................................................................5 4 Aktualisierung.....................................................................................................................................6 5 Migration..........................................................................................................................................10 6 Technischer Support.........................................................................................................................13 7 Rechtliche Hinweise..........................................................................................................................14 2 Upgrade-Anleitung 1 Einleitung Dieses Handbuch umfasst Aktualisierungen von früheren Versionen von SafeGuard Easy / Sophos SafeGuard Disk Encryption genauso wie Migrationsszenarien, die eine Änderung bei der Lizenz der Sophos Verschlüsselungssoftware beinhalten. Die Aktualisierung / Migration wird sowohl für Server als auch für Endpoints beschrieben. Dieses Handbuch erläutert, wie Sie aktualisieren können von: ■ SafeGuard Easy (SGE) 5.60.x, oder 6.x ■ Sophos SafeGuard Disk Encryption (SDE) 5.60. Dieses Handbuch erklärt die folgenden Migrationsszenarien: ■ Migration auf SafeGuard Enterprise 6.1 mit zentraler Verwaltung. ■ Migration von Endpoints mit dateibasierter Verschlüsselung auf SafeGuard Full Disk Encryption. Hinweis: Informationen zur Migration zu Sophos Disk Encryption 5.61 (verwaltet mit Sophos Enterprise Console 5.1) finden Sie in der Sophos Disk Encryption 5.61 Anleitung zur Lizenzmigration. 3 SafeGuard Easy 2 Überprüfen der Systemanforderungen Informationen zu Hardware- und Software-Anforderungen, Service Packs sowie Festplattenspeicherbedarf für Installation und effektiven Betrieb finden Sie in den aktuellen Versionsinfos auf der Sophos SafeGuard Versionsinfos Landing-Page http://www.sophos.com/de-de/support/knowledgebase/112776.aspx. 4 Upgrade-Anleitung 3 Installer Download 1. Laden Sie die Installer und die Dokumentation von der Sophos Website herunter. Sie erhalten hierzu von Ihrem Systemadministrator die entsprechende Web-Adresse und die erforderlichen Download-Anmeldeinformationen. 2. Legen Sie die Dateien an einem Speicherort ab, auf den Sie für die Installation Zugriff haben. 5 SafeGuard Easy 4 Aktualisierung SafeGuard Easy/Sophos SafeGuard Disk Encryption 5.6x oder höher kann direkt auf die aktuelle Version von SafeGuard Easy aktualisiert werden. Bestehende Einstellungen müssen nicht geändert werden. Wenn Sie eine Aktualisierung von einer älteren Version durchführen möchten, müssen Sie zunächst eine Aktualisierung auf Version 5.60 durchführen. Eine Aktualisierung auf die aktuelle Version umfasst die folgenden Schritte. 1. Aktualisieren des SafeGuard Policy Editor Das beinhaltet eine automatische Aktualisierung der SafeGuard Datenbank auf die aktuelle Version. 2. Aktualisieren der Sophos SafeGuard Verschlüsselungssoftware auf Endpoints 3. Aktualisieren der Sophos SafeGuard Konfigurationspakete auf Endpoints Hinweis: ■ Nach der Aktualisierung aller SafeGuard Easy Komponenten und Endpoints auf Version 6.1 empfehlen wir die Umstellung auf den sichereren Algorithmus SHA-256 für das Signieren von durch SafeGuard Easy erzeugten Zertifikaten. Tun Sie das nur, wenn alle SafeGuard Easy Komponenten und Endpoints auf die aktuelle Version aktualisiert wurden. In gemischten Umgebungen, in denen zum Beispiel SafeGuard Easy 6 Endpoints mit dem SafeGuard Easy Policy Editor 6.1 verwaltet werden, wird SHA-256 nicht unterstützt. Weitere Informationen finden Sie in der SafeGuard Easy Administrator Hilfe im Abschnitt Ändern des Algorithmus für selbst-signierte Zertifikate. ■ Eine gültige Lizenzdatei ist erforderlich. Wird die Anzahl an gültigen Lizenzen überschritten, so können keine Konfigurationspakete mehr erzeugt werden. Bitte wenden Sie sich im Voraus an Ihren Vertriebspartner um eine Lizenzdatei anzufordern. 4.1 Aktualisieren des SafeGuard Policy Editor Voraussetzungen 6 ■ Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen. ■ Version 5.60 oder höher des SafeGuard Policy Editor muss auf den Endpoints installiert sein. Ältere Versionen müssen zuerst auf Version 5.60 aktualisiert werden. ■ Es ist keine Deinstallation des SafeGuard Policy Editor nötig. ■ Stellen Sie sicher, dass das Unternehmenszertifikat (*p.12) und das MSO Zertifikat verfügbar und die Kennwörter bekannt sind. ■ .NET Framework 4 muss mit der Aktualisierung installiert werden. Sie finden es in der Produktlieferung. Upgrade-Anleitung ■ Sie benötigen eine gültige Lizenzdatei. Wenden Sie sich dafür vorab an Ihren Vertriebspartner. So aktualisieren Sie den SafeGuard Policy Editor: 1. Schließen Sie den SafeGuard Policy Editor. 2. Installieren Sie aus dem Installationsordner des Produkts das SafeGuard Policy Editor 6.1 Installationspaket. Nach der Installation müssen Sie den Konfigurationsassistenten nicht noch einmal ausführen. 3. Starten Sie den aktualisierten SafeGuard Policy Editor. Eine Meldung wird angezeigt, die Sie darüber informiert, dass die SafeGuard Datenbank gesichert und anschließend automatisch aktualisiert wird. Die Sicherungsdatei wird gespeichert unter: Program data\Utimaco\SafeGuard Enterprise\ SGNDBBackup.bak Die Datenbank-Konsistenz wird nun automatisch geprüft. Wenn Fehler bei den kryptographischen Prüfsummen von einigen Tabellen gefunden werden, werden Warnungsmeldungen angezeigt. Um die Tabellen zu reparieren, wählen Sie im entsprechenden Dialog Reparieren. Die Prüfsummen für die geänderten Tabellen werden neu berechnet. 4. Importieren Sie die Lizenzdatei. SafeGuard Policy Editor und die SafeGuard Datenbank wurden auf die aktuelle Version aktualisiert. 4.2 Aktualisierung von Endpoints Voraussetzungen ■ Version 5.60 oder höher der Sophos SafeGuard Verschlüsselungssoftware muss auf den Endpoints installiert sein. Ältere Versionen müssen zuerst auf Version 5.60 aktualisiert werden. ■ Die Aktualisierung der Sophos SafeGuard Datenbank und des SafeGuard Policy Editor wurde bereits durchgeführt. ■ Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen. So aktualisieren Sie die Endpoints: 1. Melden Sie sich an dem Computer als Administrator an. 2. Installieren Sie das aktuelle Prä-Installationspaket SGxClientPreinstall.msi aus dem Install-Ordner des Produkts. Dieses Paket stattet den Endpoint mit den nötigen Voraussetzungen für eine erfolgreiche Installation der aktuellen Verschlüsselungssoftware aus. Verwenden Sie keine veralteten Prä-Installationspakete. 7 SafeGuard Easy 3. Installieren Sie aus dem Install-Ordner des Produkts die aktuelle Version der Sophos SafeGuard Verschlüsselungssoftware. Der Windows Installer erkennt, welche Features bereits installiert sind und installiert auch nur diese Features neu. Wenn die SafeGuard Power-on Authentication installiert ist, steht nach erfolgreicher Aktualisierung auch ein aktualisierter POA-Kernel zur Verfügung. Sophos SafeGuard wird auf dem Computer automatisch neu gestartet. Um mit der Aktualisierung neue Features zu installieren, wählen Sie eine Installation vom Typ Angepasst aus. Wählen Sie dann die neuen Features und die zu aktualisierenden Features. Die aktuelle Version der Sophos SafeGuard Verschlüsselungssoftware mit den ausgewählten Features ist auf den Endpoints installiert. Hinweis: Um durch SafeGuard Enterprise geschützte Endpoints zentral zu aktualisieren, verwenden Sie die Eigenschaft ADDLOCAL, um die von Ihnen gewünschten Features (bereits vorhandene und neue) zu wählen. Weitere Informationen finden Sie in der SafeGuard Easy 6.1 Kurzanleitung. 4.3 Aktualisieren der Konfiguration der Endpoints Stellen Sie sicher, dass Sie nach der Aktualisierung der Verschlüsselungssoftware neue Konfigurationspakete erstellen und auf den Endpoints installieren. Verwenden Sie auf Endpoints, die auf Version 6.1 aktualisiert wurden, Konfigurationspakete, die mit SafeGuard Policy Editor 6.1 erstellt wurden. Veraltete Konfigurationspakete oder Pakete, die mit früheren Versionen des SafeGuard Policy Editor erstellt wurden, sollten auf aktualisierten Endpoints nicht verwendet werden und werden nicht länger unterstützt. Es ist auch wichtig, im folgenden Fall ein neues Konfigurationspaket zu erstellen: In gemischten Umgebungen, in denen einzelne Komponenten oder Endpoints nicht auf die letzte Version aktualisiert werden, müssen Sie den Algorithmus zurücksetzen, der zum Signieren von Zertifikaten verwendet wird, die von SGE erstellt wurden. Ab SafeGuard Easy 6.1 wird standardmäßig der sicherere Hashalgorithmus SHA-2 verwendet, der von früheren Versionen nicht unterstützt wird. In einer gemischten Umgebung müssen Sie den Hashalgorithmus auf SHA-1 zurücksetzen, ein neues Konfigurationspaket erstellen und es auf den Endpoints verteilen. Sobald alle Komponenten und Endpoints auf die aktuelle Version aktualisiert wurden, empfehlen wir, wieder zum sichereren Algorithmus zu wechseln. Hinweis: Weitere Informationen finden Sie in der SafeGuard Easy Administrator Hilfe im Abschnitt Ändern des Algorithmus für selbst-signierte Zertifikate. Um die Konfiguration der Endpoints zu aktualisieren: 1. Löschen Sie aus Sicherheitsgründen alle veralteten oder nicht verwendeten Konfigurationspakete auf den Endpoints. 2. Bearbeiten Sie im SafeGuard Policy Editor, der auf die letzte Version aktualisiert wurde, im Navigationsbereich Richtlinien die Richtlinien entsprechend Ihrer Erfordernisse. 8 Upgrade-Anleitung 3. Klicken Sie im Extras Menü auf Konfigurationspakete. Klicken Sie auf Pakete für Standalone Clients, machen Sie Ihre Änderungen und erstellen Sie ein Konfigurationspaket für Standalone Endpoints. 4. Stellen Sie das neue Konfigurationspaket auf den Endpoints bereit. Hinweis: Das Herabstufen eines Endpoints von einem zentral verwalteten zu einem Standalone Client indem man nur das Konfigurationspaket tauscht, wird nicht unterstützt. 9 SafeGuard Easy 5 Migration Dieser Abschnitt beschreibt die Migrationsszenarien, die eine Änderung in Ihrer Lizenz für die Sophos Verschlüsselungssoftware umfassen. Sowohl die Migration der serverseitigen Software als auch der Endpoint-Software wird abgedeckt. Die folgenden Migrationsszenarien werden beschrieben: ■ Migration auf SafeGuard Enterprise mit zentraler Verwaltung. ■ Migration von Endpoints mit dateibasierter Verschlüsselung auf SafeGuard Festplattenverschlüsselung. Hinweis: Informationen zur Migration zu Sophos Disk Encryption 5.61 (verwaltet mit Sophos Enterprise Console) finden Sie in der Sophos Disk Encryption 5.61 Anleitung zur Lizenzmigration. 5.1 Migration zu SafeGuard Enterprise Sie können eine Migration der Standalone-Lösungen SafeGuard Easy (SGE)/Sophos SafeGuard Disk Encryption (SDE) zur SafeGuard Enterprise 6.1 Suite mit zentraler Verwaltung durchführen. Somit können Sie umfassende Verwaltungsfunktionen nutzen, zum Beispiel Benutzer- und Computerverwaltung oder umfangreiche Protokollierungfunktionen. Das wird für die folgenden Varianten und Versionen unterstützt ■ SafeGuard Easy (SGE) 5.60, und 6.x. ■ Sophos SafeGuard Disk Encryption (SDE) 5.60. Um zu SafeGuard Enterprise 6.1 zu migrieren: ■ Setzen Sie die letzte Version des SafeGuard Enterprise Servers auf. Weitere Informationen finden Sie in der SafeGuard Easy 6.1 Kurzanleitung. ■ Migrieren Sie die Management-Konsole. ■ Migrieren Sie die Endpoints auf eine zentral verwaltete Konfiguration. 5.1.1 Migration der Management-Konsole Voraussetzungen 10 ■ SafeGuard Enterprise Server 6.1 muss aufgesetzt worden sein. ■ Sie müssen die Management-Konsole SafeGuard Policy Editor nicht deinstallieren. ■ .NET Framework 4 mit ASP.NET 4 ist erforderlich. Dies muss vor der Migration installiert werden. Das Programm steht in der SafeGuard Enterprise Produktlieferung zur Verfügung. ■ Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen. Upgrade-Anleitung So migrieren Sie die Management-Konsole: 1. Starten Sie auf dem Computer, auf dem der SafeGuard Policy Editor installiert ist, SGNManangementCenter.msi aus dem Install-Verzeichnis des Produkts. Ein Assistent führt Sie durch die Installation. Übernehmen Sie die Standardeinstellungen. 2. Starten Sie Ihren Computer neu, wenn Sie dazu aufgefordert werden. 3. Starten Sie das SafeGuard Management Center, um die Erstkonfiguration durchzuführen. Weitere Informationen hierzu finden Sie in der SafeGuard Enterprise Installationsanleitung. 4. Konfigurieren Sie die SafeGuard Enterprise Richtlinien nach Ihren Wünschen. Der SafeGuard Policy Editor wurde zum SafeGuard Management Center migriert. 5.1.2 Migrieren von Endpoints auf eine zentral verwaltete Konfiguration. Standalone-Endpoints lassen sich zu Endpoints mit einer zentral verwalteten Konfiguration migrieren. Diese Endpoints können im SafeGuard Management Center verwaltet werden und haben eine Verbindung zum SafeGuard Enterprise Server. Voraussetzungen ■ Der SafeGuard Policy Editor wurde zum SafeGuard Management Center migriert. ■ Es ist keine Deinstallation der Sophos SafeGuard Verschlüsselungssoftware auf den Endpoints nötig. Version 5.6x oder höher der Sophos SafeGuard Verschlüsselungssoftware muss auf den Endpoints installiert sein. Ältere Versionen müssen zunächst Version für Version auf Version 5.60 aktualisiert werden. Hinweis: ■ Führen Sie ein Backup des Endpoints durch, bevor Sie die Migration starten. ■ Stellen Sie sicher, dass Sie über Windows Administratorrechte verfügen. So migrieren Sie die Endpoints: 1. Installieren Sie das aktuelle Prä-Installationspaket SGxClientPreinstall.msi, das den Endpoint mit den nötigen Voraussetzungen für eine erfolgreiche Installation der aktuellen Verschlüsselungssoftware ausstattet. Verwenden Sie keine veralteten Prä-Installationspakete. 2. Installieren Sie aus dem Install-Ordner des Produkts die aktuelle Version der Sophos SafeGuard Verschlüsselungssoftware. Der Windows Installer erkennt, welche Features bereits installiert sind und installiert auch nur diese Features neu. Wenn die SafeGuard Power-on Authentication installiert ist, steht nach erfolgreicher Migration (Richtlinien, Schlüssel usw.) auch ein aktualisierter POA-Kernel zur Verfügung. Sophos SafeGuard wird auf dem Computer automatisch neu gestartet. Um mit der Aktualisierung neue Features zu installieren, wählen Sie eine Installation vom Typ Angepasst aus. Wählen Sie dann die neuen Features und die zu aktualisierenden Features. Bei einer nicht überwachten Installation, verwenden Sie die Eigenschaft ADDLOCAL = zur Auswahl der gewünschten Features (vorhandene und neue). 11 SafeGuard Easy 3. Klicken Sie im SafeGuard Management Center im Extras Menü auf Konfigurationspakete. Wählen Sie Pakete für Managed Clients und erstellen Sie ein Konfigurationspaket. Weitere Informationen finden Sie in der SafeGuard Enterprise Installationsanleitung im Abschnitt Erzeugen eines Konfigurationspakets für Standalone-Endpoints. 4. Weisen Sie dieses Konfigurationspaket den Sophos SafeGuard Endpoints über eine Gruppenrichtlinie zu. Die Authentisierung ist deaktiviert, da die Benutzer-Computer-Zuordnung nicht migriert wird. Nach der Migration sind die Endpoints damit ungeschützt! 5. Der Benutzer muss den Endpoint neu starten. Die erste Anmeldung erfolgt noch über Autologon. Neue Schlüssel und Zertifikate werden dem Benutzer zugewiesen. 6. Der Benutzer muss den Endpoint noch einmal starten und sich an der Power-on Authentication anmelden. Die Computer werden erst nach dem zweiten Neustart geschützt. 7. Löschen Sie veraltete und nicht mehr verwendete Konfigurationspakete. Der durch Sophos SafeGuard Endpoint hat nun eine Verbindung zum SafeGuard Enterprise Server. 5.2 Migration von Endpoints mit dateibasierter Verschlüsselung auf SafeGuard Festplattenverschlüsselung. Sie können bei Endpoints, auf denen nur die dateibasierende Verschlüsselung (SGNClient_withoutDE.msi) installiert ist, eine Migration für die Unterstützung der Sophos SafeGuard Festplattenverschlüsselung (SGNClient.msi) durchführen: Führen Sie die folgenden Schritte aus, um eine sichere und korrekte Authentisierung an der Power-on Authentication zu garantieren: 1. Deinstallieren Sie auf dem Endpoint das Paket SGNClient_withoutDE.msi. 2. Deinstallieren Sie das relevante Konfigurationspaket. 3. Installieren Sie das SGNClient.msi Paket aus dem Install-Ordner des Produkts. Ein Assistent führt Sie durch die Installation. Übernehmen Sie die Standardeinstellungen und wählen eine Vollständige Konfiguration, um alle verfügbaren Verschlüsselungs-Features zu installieren. 4. Erstellen Sie ein neues Konfigurationspaket und installieren Sie es auf dem Endpoint. Hinweis: Die während der Installation des SGNClient_withoutDE.msi Installationspakets erzeugten Schlüssel stehen immer noch zur Verfügung. 5.3 Migration des Betriebssystems Wenn SafeGuard Enterprise installiert ist, ist es nur möglich, die Service Pack Version Ihres Betriebssystems zu aktualisieren. Sie können z. B. ein neues Windows 7 Service Pack installieren. Es ist jedoch nicht möglich, von einer Betriebssystem-Serie auf eine andere zu migrieren. Sie können beispielsweise nicht von Windows 7 auf Windows 8 migrieren, wenn SafeGuard Easy installiert ist. 12 Upgrade-Anleitung 6 Technischer Support Technischen Support zu Sophos Produkten können Sie wie folgt abrufen: ■ Rufen Sie das SophosTalk-Forum unter community.sophos.com/ auf und suchen Sie nach Benutzern mit dem gleichen Problem. ■ Durchsuchen Sie die Sophos Support-Knowledgebase unter www.sophos.com/de-de/support.aspx. ■ Laden Sie Produktdokumentation unter www.sophos.com/de-de/support/documentation/ herunter. ■ Senden Sie eine E-Mail an support@sophos.de und geben Sie die Versionsnummer(n), Betriebssystem(e) und Patch Level Ihrer Sophos Software sowie ggf. den genauen Wortlaut von Fehlermeldungen an. 13 SafeGuard Easy 7 Rechtliche Hinweise Copyright © 1996 - 2014 Sophos Group. Alle Rechte vorbehalten. SafeGuard ist ein eingetragenes Warenzeichen von Sophos Group. Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch gespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie verfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung mit dem Lizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftliche Genehmigung des Urheberrechtsinhabers. Sophos, Sophos Anti-Virus und SafeGuard sind eingetragene Warenzeichen von Sophos Limited, Sophos Group und Utimaco Safeware AG, sofern anwendbar. Alle anderen erwähnten Produkt- und Unternehmensnamen sind Marken oder eingetragene Marken der jeweiligen Inhaber. Copyright-Informationen von Drittanbietern finden Sie in dem Dokument Disclaimer and Copyright for 3rd Party Software in Ihrem Produktverzeichnis. 14