SafeGuard Enterprise Installation
Transcription
SafeGuard Enterprise Installation
SafeGuard® Enterprise 5.50 Installation Stand: November 2010 Inhalt 1 SafeGuard Enterprise Überblick ........................................................................................................... 3 2 SafeGuard Enterprise Komponenten.................................................................................................... 4 3 Installation vorbereiten.......................................................................................................................... 7 4 SafeGuard Enterprise Datenbank einrichten...................................................................................... 18 5 SafeGuard Management Center einrichten........................................................................................ 29 6 SafeGuard Enterprise Server einrichten.............................................................................................. 45 7 Kommunikation testen........................................................................................................................ 59 8 Replikation der SafeGuard Enterprise Datenbank............................................................................. 64 9 Organisationsstruktur einrichten........................................................................................................ 70 10 SafeGuard Konfigurationen für Endpoint-Computer....................................................................... 75 11 Endpoint-Computer zentral einrichten.............................................................................................. 82 12 Endpoint-Computer lokal einrichten................................................................................................. 98 13 SafeGuard Enterprise Client auf einem Computer mit mehreren Betriebssystemen installieren. 102 14 SafeGuard Configuration Protection installieren ............................................................................ 105 15 Deinstallation am Endpoint-Computer verhindern........................................................................ 110 16 SafeGuard Enterprise aktualisieren................................................................................................... 111 17 Migration von Sophos SafeGuard 5.5.x auf SafeGuard Enterprise ................................................. 119 18 Migration von SafeGuard Easy 4.x/Sophos SafeGuard Disk Encryption 4.x auf SafeGuard Enterprise ......................................................................................................................... 122 1 19 Betriebssystem aktualisieren.............................................................................................................. 132 20 Anhang - Best Practice Szenario........................................................................................................ 133 21 Technischer Support.......................................................................................................................... 134 22 Copyright............................................................................................................................................ 135 2 SafeGuard® Enterprise 5.50, Installation 1 SafeGuard Enterprise Überblick SafeGuard Enterprise ist eine umfassende, modular aufgebaute Datensicherheitslösung, die Informationen und Informationsaustausch auf Servern, PCs und mobilen Endgeräten durch ein richtlinienbasiertes Verschlüsselungskonzept zuverlässig schützt. Die zentrale Verwaltung übernimmt dabei das Management Center von SafeGuard Enterprise. Sicherheitsrichtlinien, Schlüssel und Zertifikate, Smartcards und Token können über ein rollenbasiertes Administrationskonzept übersichtlich verwaltet werden. Ausführliche Protokollierung und Reportfunktionen gewährleisten stets den Überblick über alle Ereignisse. Auf Benutzerseite sind Datenverschlüsselung und Schutz vor Angreifern die primären Sicherheitsfunktionen von SafeGuard Enterprise. SafeGuard Enterprise fügt sich dabei nahtlos in die gewohnte Benutzerumgebung ein und lässt sich leicht und intuitiv bedienen. Die SafeGuard eigene Authentisierung, die Power-on Authentication (POA), sorgt für den nötigen Zugriffsschutz und bietet komfortable Unterstützung bei der Wiederherstellung von Anmeldeinformationen. Hinweis: Nutzen Sie auch die Möglichkeit, SafeGuard Enterprise über Video-Tutorials kennenzulernen. Sie finden die Video-Tutorials auf der Produkt-CD. Sie zeigen die Installation von SafeGuard Enterprise und stellen die Arbeit mit dem SafeGuard Management Center vor. 3 SafeGuard® Enterprise 5.50, Installation 2 SafeGuard Enterprise Komponenten In diesem Kapitel lernen Sie die Komponenten von SafeGuard Enterprise und das Zusammenspiel zwischen den einzelnen Komponenten kennen. Eine oder mehrere Microsoft SQL Datenbanken sammeln Informationen über die Benutzer-PCs im Firmennetzwerk. Der Administrator, bei SafeGuard Enterprise heißt er HauptSicherheitsbeauftragter oder Master Security Officer (MSO), nutzt das SafeGuard Management Center, um die Datenbankinhalte zu steuern und neue Sicherheitsrichtlinien (Policies) zu erstellen. Die PCs/Notebooks der Benutzer lesen die Richtlinien aus der Datenbank und berichten die erfolgreiche Ausführung an die Datenbank. Die Kommunikation zwischen Datenbank und Benutzer-PCs übernimmt dabei ein Internet Information Services (IIS) basierter Webserver, auf dem der SafeGuard Enterprise Server eingerichtet ist. 4 SafeGuard® Enterprise 5.50, Installation Die folgende Tabelle beschreibt die einzelnen Komponenten: Komponente Hinweis SafeGuard Enterprise Die SafeGuard Enterprise Datenbank(en) enthält/ Datenbank(en) basierend auf enthalten alle relevanten Daten wie Schlüssel/ Microsoft SQL Server Datenbank Zertifikate, Informationen zu Benutzern & Computern, Ereignisse und die Richtlinieneinstellungen. Zugriff auf die Datenbank(en) benötigt der SafeGuard Enterprise Server und ein einziger Sicherheitsbeauftragter des SafeGuard Management Centers, meist der Haupt-Sicherheitsbeauftragte (MSO). Die Erzeugung und Konfiguration der SafeGuard Enterprise Datenbank(en) kann über einen Assistenten oder über Skripte erfolgen. SafeGuard Enterprise Server auf IIS basiertem Webserver Microsoft Internet Information Services (ISS) mit .NET Framework 3.0 SP 1 und ASP.NET 2.0 Der für SafeGuard Enterprise eingesetzte Webserver muss auf Internet Information Services (IIS) basieren. Wir empfehlen den Einsatz eines dedizierten IIS Servers für SafeGuard Enterprise Server. Es ist möglich, den IIS Server zu clustern. SafeGuard Enterprise Server Schnittstelle zwischen Datenbank und SafeGuard Enterprise Endpoint-Computer. Der SafeGuard Enterprise Server sendet auf Anfrage SafeGuard Enterprise Richtlinieneinstellungen an die BenutzerPCs. Er benötigt Zugriff auf die Datenbank. Er läuft als Anwendung auf einem Microsoft Internet Information Services (IIS) basierten Webserver. 5 SafeGuard Management Center mit .NET Framework 3.0 SP 1, ASP.Net 2.0 auf AdministratorPC Zentrales Management-Werkzeug für SafeGuard Enterprise zur Verwaltung von Schlüsseln und Zertifikaten, Benutzern & Computern, sowie zur Erstellung von SafeGuard Enterprise Richtlinien. Das SafeGuard Management Center kommuniziert mit der Datenbank. Verzeichnisdienste (optional) Import eines Active Directory. Es enthält die Organisationsstruktur des Unternehmens mit Benutzern und Computern. SafeGuard® Enterprise 5.50, Installation Komponente Hinweis SafeGuard Enterprise Client auf Endpoint-Computern Client-Software zur Authentisierung und Datenverschlüsselung auf Endpoint-Computern. Der SafeGuard Enterprise Client kommuniziert mit dem SafeGuard Enterprise Server. 6 SafeGuard® Enterprise 5.50, Installation 3 Installation vorbereiten Dieses Kapitel erklärt die notwendigen Voraussetzungen für eine erfolgreiche Installation von SafeGuard Enterprise. 3.1 Erste Schritte vor der Installation Vor der Installation müssen verschiedene Vorbereitungen getroffen werden. Stellen Sie vor der Installation sicher, dass die folgenden Punkte erfüllt sind. Allgemeine Vorbereitungen Schließen Sie alle geöffneten Applikationen. Sie benötigen Windows-Administratorrechte. Stellen Sie sicher, dass genügend Festplattenspeicher frei ist. Informationen hierzu finden Sie in den Release Notes. Lesen Sie die Release Notes. Vorbereitungen für die Verschlüsselung Auf dem Endpoint-Computer muss ein Benutzerkonto eingerichtet und aktiv sein. Erstellen Sie einen kompletten Backup Ihrer Daten auf dem Endpoint-Computer. Untersuchen Sie die Festplatte(n) mit folgenden Kommando auf Fehler: chkdsk chkdsk %systemdrive% /F /V /L /X Unter Umständen werden Sie dazu aufgefordert, den Computer neu zu starten und chkdsk erneut auszuführen. Weitere Informationen zu diesem Thema erhalten Sie in unserer Wissensdatenbank: http://www.sophos.com/support/knowledgebase/article/107799.html. 7 Benutzen Sie das Windows-Tool "defrag", um fragmentierte Boot-Dateien, Datendateien und Ordner auf lokalen Volumes aufzufinden und zu konsolidieren. Weitere Informationen hierzu finden Sie in unserer Wissensdatenbank: http://www.sophos.com/support/knowledgebase/article/109226.html. Deinstallieren Sie Third-Party Boot-Manager, z. B. “PROnetworks Boot Pro" und "Boot-US". Wenn Daten mit Hilfe eines Software Clone-Programms auf die Festplatte gebracht wurden, wird empfohlen, den MBR „neu“ zu schreiben. Für die Installation benötigen Sie einen Master Boot Record in einwandfreiem Zustand. Möglicherweise ist der MBR aber durch den Einsatz von Image/Clone-Programmen nicht mehr in einwandfreiem, ursprünglichen Zustand. SafeGuard® Enterprise 5.50, Installation Säubern Sie deshalb den Master Boot Record, indem Sie von einer Windows-CD booten und den Befehl FIXMBR in der Windows Recovery Console ausführen. Weitere Informationen finden Sie in unserer Wissensdatenbank: http://www.sophos.com/support/knowledgebase/article/108088.html. Wenn die Bootpartition von FAT nach NTFS konvertiert wurde, der Computer aber noch nicht neu gestartet wurde, sollten Sie SafeGuard Enterprise nicht installieren. Hierbei ist es möglich, dass die Installation nicht beendet wird, da das Dateisystem zum Zeitpunkt der Installation noch FAT ist, jedoch zum Zeitpunkt der Aktivierung NTFS vorgefunden wird. In diesem Fall müssen Sie den Computer einmalig neu starten, bevor SafeGuard Enterprise installiert wird. SafeGuard Enterprise wird ständig weiterentwickelt. Daher kann Ihre Version bereits Neuerungen enthalten, die bei Redaktionsschluss des Handbuches bzw. der Online-Hilfe noch nicht berücksichtigt werden konnten. Diese Änderungen sind in den Release Notes beschrieben. Lesen Sie diese vor der Installation sorgfältig durch. 3.2 Systemvoraussetzungen Genaue Informationen über Systemvoraussetzungen für Hardware-und Software, Service Packs und Speicherplatzbedarf während der Installation und im Betrieb entnehmen Sie bitte den Release Notes. Spezifische Anforderungen für Endpoint-Computer: AHCI Wenn auf dem Computer Intel Advanced Host Controller Interface (AHCI) benutzt wird, so muss sich die Boot-Festplatte in Slot 0 oder Slot 1 befinden. Sie können bis zu 32 Festplatten einlegen. SafeGuard Enterprise läuft nur auf den ersten beiden Slot-Nummern. Dynamic und GPT Platten Dynamic- und GPT-Platten werden nicht unterstützt. Die Installation bricht in diesem Fall ab. Wenn diese Platten nachträglich im System auftauchen, werden sie nicht unterstützt. SCSI-Festplatten Systeme mit Festplatten, die über einen SCSI Bus angeschlossen sind, werden vom SafeGuard Enterprise Device Encryption Client nicht unterstützt. 8 SafeGuard® Enterprise 5.50, Installation 3.3 Installationspakete Die zu installierenden Komponenten von SafeGuard Enterprise finden Sie in Form von .msiPaketen auf den Produkt-CDs. Hinweis: Wenn das Betriebssystem des Endpoint-Computers Windows 7 64-Bit oder Windows Vista 64-Bit ist, können Sie die 64-Bit-Variante der “Client” .msi-Pakete installieren <Paketname>_x64.msi). Das 64-Bit-Paket des SafeGuard Configuration Protection Client ist verfügbar für Windows 7 64-Bit. Folgende .msi-Pakete sind verfügbar: 9 Installationspakete Beschreibung SGNServer.msi SafeGuard Enterprise Server SGNManagementCenter.msi SafeGuard Management Center für die zentrale Administration von Domänen, Schlüsseln, Richtlinien usw. SGxClientPreinstall.msi Muss vor der Verschlüsselungssoftware auf den EndpointComputern installiert werden (obligatorisch). Stattet die Endpoint-Computer mit notwendigen Voraussetzungen für die erfolgreiche Installation der Verschlüsselungssoftware aus. SGNClient.msi SGNClient_x64.msi Volume-basierende Verschlüsselung und dateibasierende Verschlüsselung mit SafeGuard Data Exchange sowohl für SafeGuard Enterprise Clients (Managed) als auch für Sophos SafeGuard Clients (Standalone). SGNClient_withoutDE.msi SGNClient_withoutDE_x64.msi SafeGuard Data Exchange mit dateibasierender Verschlüsselung ohne Power-on Authentication sowohl für SafeGuard Enterprise Clients (Managed) als auch für Sophos SafeGuard Clients (standalone). SGN_CP_Client.msi SGN_CP_Client_x64.msi (verfügbar für Windows 7 64-Bit) SafeGuard Configuration Protection: Schnittstellenschutz und Management von Peripheriegeräten auf EndpointComputern. SafeGuard Configuration Protection steht für Sophos SafeGuard Clients (standalone) NICHT zur Verfügung. Die 64-Bit-Variante dieses Pakets ist verfügbar für Window 7 64-Bit Betriebssysteme. SafeGuard® Enterprise 5.50, Installation SGNClientRuntime.msi SGNClientRuntime_x64.msi Runtime Client, der das Booten von einem sekundären Boot-Laufwerk ermöglicht, wenn mehrere Betriebssysteme installiert sind und der den Zugriff auf diese Laufwerke erlaubt, wenn diese durch die primäre SafeGuard Enterprise Installation verschlüsselt sind Dieses Installationspaket steht sowohl für SafeGuard Enterprise Clients (managed) als auch für Sophos SafeGuard Clients (standalone) zur Verfügung. Darüber hinaus müssen während der Installation Konfigurationspakete erzeugt werden. 3.4 Sprache der Benutzeroberfläche Die Sprache von SafeGuard Enterprise am Client steuern Sie im Management Center über den Richtlinientyp Allgemeine Einstellungen > Anpassung > Sprache am Client. Wenn Sprache des Betriebssystems gewählt wird, richtet sich die Produktsprache nach der Spracheinstellung des Betriebssystems. Steht die entsprechende Betriebssystemsprache in SafeGuard Enterprise nicht zur Verfügung, wird standardmäßig das englische SafeGuard Enterprise angezeigt. Wenn eine der zur Verfügung stehenden Sprachen gewählt wird, werden die SafeGuard Enterprise Produktanteile in der ausgewählten Sprache angezeigt. Die Sprache des Management Centers definieren Sie im SafeGuard Management Center: Öffnen Sie das Menü Extras > Optionen > Allgemein > Sprache des SafeGuard Management Centers und wählen Sie eine Sprache aus. Starten Sie das Management Center neu. Es wird in der ausgewählten Sprache angezeigt. Sprache während der Installation Die Sprache der Installations- und Konfigurationsassistenten wird automatisch an die Spracheinstellungen des Betriebssystems angepasst. Deutsch, Englisch, Französisch und Japanisch werden für die Installations- und Konfigurationsassistenten unterstützt. Wenn zum Beispiel die Sprache des Betriebssystems auf Deutsch gestellt ist, wird der Installationsassistent ebenfalls auf Deutsch angezeigt. 10 SafeGuard® Enterprise 5.50, Installation 3.5 Zusammenspiel mit weiteren SafeGuard Produkten 3.5.1 Zusammenspiel mit SafeGuard LAN Crypt Beachten Sie folgendes: SafeGuard LAN Crypt 3.7x und SafeGuard Enterprise 5.50 können zusammen auf einem Computer installiert werden und sind voll kompatibel. SafeGuard LAN Crypt mit Versionen niedriger als 3.7x und SafeGuard Enterprise 5.5x können nicht zusammen auf einem Computer installiert werden. Wenn Sie versuchen, SafeGuard Enterprise 5.50 auf einem Computer zu installieren, auf dem sich bereits SafeGuard LAN Crypt der Version 3.6x oder niedriger befindet, wird die Installation abgebrochen und eine entsprechende Fehlermeldung ausgegeben. SafeGuard LAN Crypt 3.7x und SafeGuard Enterprise mit Versionen niedriger als 5.35.4 können nicht zusammen auf einem Computer installiert werden. Wenn Sie versuchen, SafeGuard LAN Crypt 3.7x auf einem Computer zu installieren, auf dem sich bereits SafeGuard Enterprise mit Versionen niedriger als 5.35.4 befindet, wird die Installation abgebrochen und eine entsprechende Fehlermeldung ausgegeben. 3.5.2 Zusammenspiel mit SafeGuard PrivateCrypto und SafeGuard PrivateDisk SafeGuard Enterprise 5.5x und die Standalone Produkte SafeGuard PrivateCrypto ab Version 2.30 sowie SafeGuard PrivateDisk ab Version 2.30 können gleichzeitig auf einem Computer installiert sein Sowohl SafeGuard PrivateCrypto als auch SafeGuard PrivateDisk können dann das SafeGuard Enterprise Schlüsselmanagement mit benutzen. 3.5.3 Zusammenspiel mit SafeGuard Removable Media Das Modul SafeGuard Data Exchange und SafeGuard Removable Media können nicht zusammen auf einem Computer installiert werden. Prüfen Sie, bevor Sie das Module SafeGuard Data Exchange auf einem Computer installieren, ob SafeGuard Removable Media bereits installiert ist. In diesem Fall müssen Sie SafeGuard Removable Media zuerst deinstallieren, bevor Sie SafeGuard Data Exchange auf dem Computer installieren. 11 SafeGuard® Enterprise 5.50, Installation 3.6 Transportverbindungen sichern mit SSL SafeGuard Enterprise unterstützt zur Erhöhung der Sicherheit die Verschlüsselung der Transportverbindungen zwischen den einzelnen Komponenten mit SSL. Die Verbindung zwischen dem Datenbankserver und dem Web Server sowie die Verbindung zwischen dem Datenbankserver und dem Computer, auf dem das SafeGuard Management Center installiert ist, kann mit SSL verschlüsselt werden. In SafeGuard Enterprise ist es möglich, eine spezifische Datenbankverbindung für jeden registrierten Web Server einzurichten. Die Verbindung zwischen dem SafeGuard Enterprise Server und dem SafeGuard Enterprise Client kann entweder mit SSL oder mit SafeGuard-spezifischer Verschlüsselung verschlüsselt werden. Vorteilhaft ist, dass es sich bei SSL um ein Standardprotokoll handelt und dadurch eine schnellere Verbindung hergestellt werden kann als bei der Verwendung der SafeGuardspezifischen Verschlüsselung. SSL-Verschlüsselung kann für SafeGuard Enterprise während der Konfiguration der SafeGuard Enterprise-Komponenten direkt nach der Installation eingestellt werden. Es kann jedoch ebenso gut nachträglich zu jedem beliebigen Zeitpunkt aktiviert werden. Eine Neuinstallation ist dazu nicht erforderlich. Lediglich ein neues Konfigurationspaket muss erstellt und auf dem entsprechenden Server oder Client ausgeführt werden. Bevor SSL jedoch für SafeGuard Enterprise aktiviert werden kann, muss eine funktionsfähige SSL-Umgebung eingerichtet werden. ACHTUNG: Allgemeine Vorsichtsmaßnahmen: Die Computer, auf denen der SafeGuard Enterprise Server, die Datenbank und das Management Center laufen, sollten vor unberechtigtem Zugriff geschützt werden. Hierzu eignen sich die folgenden praktischen Maßnahmen: Setzen Sie nur vertrauenswürdige Administratoren ein oder wenden Sie das „Vieraugenprinzip“ an. Schützen Sie die Computer vor elektronischen Angriffen (Firewalls, sichere Konfiguration, Virus-Scanner, regelmäßige Updates, starke Kennwörter usw.) Schützen Sie die Computer vor unberechtigtem physischen Zugriff (z. B. sicherer Standort in geschützten Räumlichkeiten) 12 SafeGuard® Enterprise 5.50, Installation 3.6.1 SSL einrichten Bevor SSL-Verschlüsselung für SafeGuard Enterprise aktiviert werden kann, müssen Sie den Web Server, den Datenbankserver und die Clients dafür einrichten. Die folgenden allgemeinen Aufgaben müssen für die SSL-Einrichtung auf dem Web Server durchgeführt werden: Ein Zertifikat muss ausgestellt werden und der IIS Server so konfiguriert werden, dass er SSL verwendet und auf das Zertifikat zeigt. Der Servername, den Sie bei der Konfigurierung des SafeGuard Enterprise Servers angeben, muss identisch sein mit dem Servernamen, den Sie vorab im SSL-Zertifikat angegeben haben. Sonst können Client und Server nicht miteinander kommunizieren. Für jeden SafeGuard Enterprise Server wird ein separates SSL-Zertifikat benötigt. Wenn Sie Network Load Balancer einsetzen, vergewissern Sie sich, dass der Portbereich den SSL-Port mit einschließt. Weitere Informationen zur SSL-Einrichtung finden Sie unter den folgenden Links, oder kontaktieren Sie unseren technischen Support. http://msdn2.microsoft.com/en-us/library/ms998300.aspx http://support.microsoft.com/default.aspx?scid=kb;en-us;316898 https://blogs.msdn.com/sql_protocols/archive/2005/11/10/491563.aspx 13 SafeGuard® Enterprise 5.50, Installation 3.6.2 SSL-Verschlüsselung in SafeGuard Enterprise aktivieren Für die Verbindung zwischen Web Server und Datenbankserver SSL-Verschlüsselung kann während der Registrierung des SafeGuard Enterprise Servers im SafeGuard Management Center Konfigurationspakete-Werkzeug aktiviert werden. Weitere Informationen siehe SafeGuard Enterprise Server registrieren und konfigurieren auf Seite 55. Für die Verbindung zwischen Datenbankserver und SafeGuard Management Center SSL-Verschlüsselung kann im SafeGuard Management Center Konfigurationsassistenten aktiviert werden. Weitere Informationen siehe SafeGuard Management Center konfigurieren auf Seite 31. Für die Verbindung zwischen SafeGuard Enterprise Server und durch SafeGuard Enterprise geschützte Computer SSL-Verschlüsselung kann während der Erzeugung des Konfigurationspakets für den Enterprise Client im SafeGuard Management Center Konfigurationspakete-Werkzeug aktiviert werden. Weitere Informationen siehe Konfigurationspaket für SafeGuard Enterprise Client (managed) erstellen auf Seite 87. 14 SafeGuard® Enterprise 5.50, Installation 3.7 Installationsschritte für SafeGuard Enterprise Wenn SafeGuard Enterprise mit zentralem Management installiert werden soll, führen Sie die folgenden Installationsschritte durch. . 15 Schritt Hinweis Installations-/ Konfigurationspaket Kapitel 1 Vorbereitende Maßnahmen Vorbereitungen auf Client und Server 3.1 2 SQL Authentisierung für den SafeGuard Enterprise Sicherheitsbeauftragten einrichten Das Benutzerkonto wird auf dem Microsoft SQL Server eingerichtet. 4.4 3 Datenbankerzeugung über Skript (optional) SafeGuard Enterprise Datenbank(en) über Skripte erzeugen. SQL Skripte auf der Produkt-CD im Verzeichnis Tools 4.5.2 4 SafeGuard Management Center einrichten SafeGuard Management Center auf dem Administrator-PC installieren. SGNManagement Center.msi 5.2 5 Basiskonfiguration, Datenbank über Konfigurationsassistent einrichten Datenbankverbindungen konfigurieren, SafeGuard Enterprise Datenbank(en) und HauptSicherheitsbeauftragten anlegen. SafeGuard Management Center Konfigurationsassistent 5.3 5.4 6 IIS Server für SafeGuard Enterprise einrichten Internet Information Services (IIS) mit .NET Framework 3.0 and ASP.NET2.0 einrichten. 7 SafeGuard Enterprise Server einrichten SafeGuard Enterprise Server auf dem IIS Server installieren SGNServer.msi 6.3 8 SafeGuard Enterprise Server registrieren und konfigurieren ServerKonfigurationspaket erzeugen und auf dem IIS Server installieren. SGNServerConfig.msi im SafeGuard Management Center Konfigurationspakete-Werkzeug erzeugen 6.4 6.2 SafeGuard® Enterprise 5.50, Installation Schritt Hinweis 9 Verbindung testen Zwischen Server, Datenbank und Management Center muss die Verbindung funktionieren. 7 10 Organisationsstruktur aufbauen/importieren Aufbau einer neuen Struktur oder Import eines Active Directory im SafeGuard Management Center 9 11 SafeGuard Enterprise Client installieren Ausstatten der EndpointComputer mit notwendigen Voraussetzungen für die erfolgreiche Installation der Verschlüsselungssoftware (obligatorisch). SGxClientPreinstall. msi 10 - 12 SafeGuard Enterprise Client auf dem EndpointComputer installieren. Es kann entweder die Installation mit oder ohne Device Encryption gewählt werden SGNClient.msi SGNClient_x64.msi SGNClient_without DE.msi SGNClient_withoutDE _x64.msi 10 - 12 Zusätzlich kann Configuration Protection installiert werden (optional) SGN_CP_Client.msi SGN_CP_Client_x64. msi 14 Konfigurationspaket für Endpoint-Computer (managed oder standalone) erzeugen und auf dem EndpointComputer installieren. SGNClientConfig.ms Client Konfigurationspaket im KonfigurationspaketeWerkzeug des SafeGuard Management Center erzeugen 11.6 12 Endpoint-Computer konfigurieren Installations-/ Konfigurationspaket Kapitel 16 SafeGuard® Enterprise 5.50, Installation 3.8 Installationsschritte für SafeGuard Enterprise Client auf mehreren Betriebssystemen (Runtime-System) Schritt Hinweis Installations-/ Konfigurationspaket Kapitel 1 Runtime-System auf dem EndpointComputer installieren SafeGuard Client Runtimepaket auf dem/ den sekundären BootLaufwerk(en) des Endpoint-Computers installieren. SGNClientRuntime. msi SGNClientRuntime_ x64.msi 13 2 SafeGuard Verschlüsselungssoftware auf den EndpointComputern installieren Ausstatten der EndpointComputer mit notwendigen Voraussetzungen für die erfolgreiche Installation der Verschlüsselungssoftware (obligatorisch). SGxClientPreinstall. msi 10 - 12 SafeGuard Device Encryption Installationspaket auf dem primären BootLaufwerk des EndpointComputers installieren. SGNClient.msi SGNClient_x64.msi Konfigurationspaket für Endpoint-Computer (managed oder standalone) erzeugen und auf dem EndpointComputer installieren. SGNClientConfig.msi Client Konfigurationspaket im Konfigurationspakete-Werkzeug des SafeGuard Management Center erzeugen 3 17 EndpointComputer konfigurieren 11.6 SafeGuard® Enterprise 5.50, Installation 4 SafeGuard Enterprise Datenbank einrichten Dieses Kapitel beschreibt, wie Sie eine SafeGuard Enterprise Datenbank erzeugen. Sie erhalten Informationen über die benötigte Datenbankserver-Authentisierung sowie über die erforderlichen SQL-Zugriffsrechte. Die SafeGuard Enterprise Datenbank ist eine SQL-Datenbank, die auf Microsoft SQL Server basiert. Sie enthält alle relevanten Daten wie Schlüssel/Zertifikate, Informationen zu Benutzern & Computern, Ereignisse und die Richtlinieneinstellungen. Sie kann auf zwei verschiedene Arten erzeugt werden: durch den ersten SafeGuard Enterprise Sicherheitsbeauftragten während der Installation des SafeGuard Management Centers mit Hilfe des SafeGuard Management Konfigurationsassistenten durch einen SQL-Administrator mit Hilfe eines Skripts Zur Optimierung der Performance lässt sich die SafeGuard Enterprise Database auf mehrere SQL Server replizieren. Für Informationen zum Aufsetzen der Datenbankreplizierung siehe Replikation der SafeGuard Enterprise Datenbank auf Seite 64. SafeGuard Enterprise kann für die Nutzung mehrerer Datenbanken eingerichtet werden, so dass unterschiedliche Datenbanken in einzelnen Bereichen wie zum Beispiel Unternehmenstandorten, Organisationseinheiten oder Domänen verwaltet werden können (Multi Tenancy). Für Informationen zum Konfigurieren von Multi Tenancy, siehe Konfiguration für mehrere Datenbanken (Multi Tenancy) auf Seite 36. Bevor die SafeGuard Enterprise Datenbank erzeugt werden kann, muss ein SQL Benutzerkonto erstellt werden. 18 SafeGuard® Enterprise 5.50, Installation Achtung: Wir empfehlen den Einsatz eines permanenten Online-Backups für die Datenbank. Führen Sie ein regelmäßiges Backup Ihrer Datenbank durch, um Schlüssel, Unternehmenszertifikate und Benutzer-Computer-Zuordnungen zu sichern. Empfehlungen für einen Backup-Rhythmus sind zum Beispiel: nach dem Erstimport der Daten, nach größeren Änderungen oder in turnusmäßigen Abständen, z. B. wöchentlich oder täglich. 19 SafeGuard® Enterprise 5.50, Installation 4.1 Voraussetzungen Folgende Voraussetzungen müssen erfüllt sein: Microsoft SQL Server muss bereits installiert und konfiguriert sein. Für kleinere Unternehmen eignet sich der Einsatz von Microsoft SQL 2005 Express Edition, da keine Lizenzkosten anfallen. Aus Performancegründen sollte Microsoft SQL Server nicht auf dem Rechner installiert werden, auf dem der SafeGuard Enterprise Server installiert wird. Authentisierungsmethode und Zugriffsberechtigungen auf die Datenbank sollten geklärt sein. 4.2 Authentisierung an der Datenbank Um auf die SafeGuard Enterprise Datenbank zugreifen zu können, muss sich der erste Sicherheitsbeauftragte des SafeGuard Management Centers authentisieren. Es gibt folgende Möglichkeiten: Windows-Authentisierung SQL-Authentisierung Welche Form der Authentisierung für Sie als Sicherheitsbeauftragter vorgesehen ist, erfahren Sie von Ihrem SQL-Administrator. Sie benötigen diese Information vor der Erzeugung der Datenbank bzw. vor der Installation des SafeGuard Management Centers. Verwenden Sie SQL-Authentisierung für Computer, die sich nicht in einer Domäne befinden, ansonsten verwenden Sie Windows Authentisierung. Dies erfordert jedoch zusätzliche Konfigurationsschritte. Zur Windows-Authentisierung finden Sie weiterführende Informationen in unserer Wissensdatenbank: http://www.sophos.com/support/knowledgebase/article/108339.html. Wenn Sie SQL-Authentisierung einsetzen, empfehlen wir, die Verbindung zu und vom Datenbankserver durch SSL zu sichern. Für weitere Informationen siehe Transportverbindungen sichern mit SSL auf Seite 12. 4.3 Zugriffsberechtigungen auf die Datenbank SafeGuard Enterprise ist so eingerichtet, dass es für das Zusammenspiel mit der SQL-Datenbank nur ein einziges Benutzerkonto mit minimalen Zugriffsberechtigungen auf die Datenbank benötigt. Dieses Benutzerkonto wird vom SafeGuard Management Center genutzt und lediglich auf den ersten Sicherheitsbeauftragten des Management Centers ausgestellt. Damit ist die Verbindung zur SafeGuard Enterprise Datenbank gewährleistet. Während des Betriebs von SafeGuard Enterprise benötigt ein einziger Sicherheitsbeauftragter des SafeGuard Management Centers nur die Lese/Schreib-Berechtigung auf die SafeGuard Enterprise-Datenbank. 20 SafeGuard® Enterprise 5.50, Installation Die SafeGuard Enterprise Datenbank kann entweder vom SQL-Administrator des Unternehmens oder vom Sicherheitsbeauftragten des SafeGuard Management Centers erzeugt werden. Nur wenn der Sicherheitsbeauftragte die SafeGuard Enterprise Datenbank selbst erzeugen soll, benötigt er während der Installation kurzzeitig erweiterte Zugriffsberechtigungen auf die SQLDatenbank (db_creator). Diese Berechtigungen können ihm nach der Installation vom SQLAdministrator aber wieder bis zur nächsten Installation/Update entzogen werden. Wenn die Erweiterung der Rechte während der Installation des SafeGuard Management Centers nicht gewünscht ist, kann der SQL-Administrator die SafeGuard Enterprise Datenbank per Skript erzeugen. Dazu können die beiden Skripte CreateDatabase.sql und CreateTables.sql von der Produkt-CD ausgeführt werden. Die folgende Tabelle zeigt die notwendigen SQL-Berechtigungen für die unterschiedlichen Versionen von Microsoft SQL Server. Zugriffsberechtigung SQL Server SQL Server 2005 2005 Express Server db_creator db_creator Master Datenbank keine keine SafeGuard Enterprise Datenbank db_owner public (default) db_owner public (default) Datenbank erzeugen Datenbank benutzen (nicht erzeugen) 21 Server keine keine Master Datenbank keine keine SafeGuard Enterprise Datenbank db_datareader db_datawriter public (default) db_datareader db_datawriter public (default) SafeGuard® Enterprise 5.50, Installation 4.4 SQL-Benutzerkonto für SafeGuard Enterprise einrichten Um die SafeGuard Enterprise Datenbank zu erzeugen, muss unter Microsoft SQL Server für SafeGuard Enterprise ein neuer Benutzer angelegt werden, sowie die Authentisierungsmethode festgelegt und die notwendigen Berechtigungen vergeben werden. Die folgende Beschreibung der einzelnen Konfigurationsschritte richtet sich an SQLAdministratoren und bezieht sich auf Microsoft SQL Server 2005 Express Edition. 1. Öffnen Sie das Programm SQL Server Management Studio Express. Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an. 2. Markieren Sie im linken Navigationsfenster des Microsoft SQL Server Management Studio Express Sicherheit > Anmeldungen. Klicken Sie im rechten Fenster mit der rechten Maustaste auf Neue Anmeldung. 22 SafeGuard® Enterprise 5.50, Installation 3. Geben Sie im Fenster Anmeldung - Neu unter Allgemein folgendes an: Anmeldename: Name des neuen Benutzers, z. B. SGN SQLSERVICE. Wählen Sie die gewünschte Authentisierungsmethode (empfohlen SQL) und vergeben Sie ein Kennwort. Deaktivieren Sie Kennwortrichtlinie erzwingen. Standarddatenbank: Wenn noch keine SafeGuard Enterprise Datenbank durch ein Skript angelegt wurde, wählen Sie master. Authentisierungsmethode und Anmeldeinformationen müssen Sie später dem Sicherheitsbeauftragten des SafeGuard Management Centers mitteilen. 23 SafeGuard® Enterprise 5.50, Installation 4. Weisen Sie jetzt die Zugangsberechtigungen/Rollen zu, indem Sie links auf Serverrollen klicken: Zum Erzeugen der SafeGuard Enterprise Datenbank wählen Sie dbcreator. Nach der Installation von SafeGuard Enterprise kann die Datenbankrolle auf dbowner zurückgesetzt werden. Wenn die SafeGuard Enterprise Datenbank bereits angelegt und als Standard-Datenbank ausgewählt ist, wählen Sie db_datareader, db_datawriter und public. 24 SafeGuard® Enterprise 5.50, Installation Das SQL-Benutzerkonto und die Zugriffsberechtigungen sind damit für den SafeGuard Enterprise Sicherheitsbeauftragten eingerichtet. 25 SafeGuard® Enterprise 5.50, Installation 4.5 SafeGuard Enterprise Datenbank erzeugen Nachdem das SQL-Benutzerkonto eingerichtet ist, können Sie die SafeGuard Enterprise Datenbank erzeugen. Dazu gibt es zwei Möglichkeiten: im SafeGuard Management Center Konfigurationsassistenten Wenn Sie diesen Weg wählen, müssen Sie zuvor das SafeGuard Management Center installiert haben, siehe SafeGuard Management Center installieren auf Seite 30. über SQL-Skripte, die Sie auf der Produkt-CD finden Dieser Weg ist dann angebracht, wenn die Erweiterung der Datenbankberechtigung während der Installation des SafeGuard Management Centers nicht gewünscht ist. Es hängt von Ihrer Unternehmensumgebung ab, welche Methode Sie anwenden. Am besten sollte dies zwischen SQL-Administrator und SafeGuard Enterprise Sicherheitsbeauftragten vorab geklärt werden. 4.5.1 SafeGuard Enterprise Datenbank im Management Center erzeugen Als Sicherheitsbeauftragter können Sie die SafeGuard Enterprise Datenbank während der Installation des SafeGuard Management Centers leicht und bequem selbst erzeugen. Der SafeGuard Management Center Konfigurationsassistent führt Sie durch die Basiskonfiguration, zu der auch die Erzeugung der Datenbank gehört, siehe SafeGuard Management Center konfigurieren auf Seite 31. 26 SafeGuard® Enterprise 5.50, Installation 4.5.2 SafeGuard Enterprise Datenbank per Skript erzeugen Wenn die Erweiterung der SQL-Datenbankberechtigung während der Datenbankerzeugung im Management Center nicht gewünscht ist, können Sie die SafeGuard Enterprise Datenbank ebenfalls per Skript erzeugen. Dazu werden zwei Skripte auf den Produkt-CDs mitgeliefert (Verzeichnis Tools): CreateDatabase.sql CreateTables.sql Die folgende Beschreibung der Arbeitschritte wendet sich an SQL-Administratoren und bezieht sich auf Microsoft SQL Server 2005 Express Edition. 1. Öffnen Sie das Skript CreateDatabase.sql und überprüfen Sie die beiden Zielpfadangaben unter DATEINAME. Sie müssen mit den Pfadangaben auf Ihrem Server übereinstimmen. Korrigieren Sie sie, wenn nötig. 2. Starten Sie das Skript CreateDatabase.sql durch Doppelklick. Das Programm SQL Server Management Studio Express wird aufgerufen. 3. Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an. 4. Klicken Sie auf die Schaltfläche Ausführen, um die Datenbank zu erzeugen. Erzeugen Sie anschließend die Tabellen mit Hilfe des Skripts CreateTables.sql von der ProduktCD. 1. Starten Sie das Skript CreateTables.sql durch Doppelklick. Das Programm SQL Server Management Studio Express wird aufgerufen. 2. Geben Sie am SQL Server Ihre Anmeldeinformationen ein. 27 SafeGuard® Enterprise 5.50, Installation 3. Wählen Sie die korrekte Datenbank aus, die Sie für SafeGuard Enterprise angelegt haben. Klicken Sie dazu im Anmeldefenster des SQL Servers auf Optionen > Verbindungseigenschaften und wählen Sie unter Verbindung zu Datenbank die SafeGuard Enterprise Datenbank aus, in der die Tabellen erzeugt werden sollen. Klicken Sie auf Verbinden. 4. Klicken Sie auf die Schaltfläche Ausführen, um die Tabellen zu erzeugen. Die SafeGuard Enterprise Datenbank und die zugehörigen Tabellen sind erzeugt. 28 SafeGuard® Enterprise 5.50, Installation 5 SafeGuard Management Center einrichten Dieses Kapitel beschreibt die Installation und Konfiguration des SafeGuard Management Centers. Das SafeGuard Management Center ist das zentrale Verwaltungswerkzeug für SafeGuard Enterprise. Installieren Sie es auf den Administrator-PCs, die Sie für die Verwaltung von SafeGuard Enterprise einsetzen möchten. Das SafeGuard Management Center kann auf mehreren Computern im Netzwerk, die Zugriff auf die entsprechenden Datenbanken haben, installiert werden. Das SafeGuard Management Center bietet die Möglichkeit, mehrere Datenbanken zu bedienen und somit für spezifische Bereiche wie z. B. verschiedene Unternehmens- oder Organisationseinheiten oder auch domäneneigene Datenbankkonfigurationen zu erstellen (Multi-Tenancy). Um den Verwaltungsaufwand zu reduzieren, können Sie im SafeGuard Management Center unterschiedliche Datenbankkonfigurationen einrichten und verwalten, diese exportieren sowie importieren. 29 SafeGuard® Enterprise 5.50, Installation 5.1 Voraussetzungen Folgende Voraussetzungen müssen erfüllt sein: Sie benötigen Windows Administratorenrechte. .NET Framework 3.0 Service Pack 1 muss auf dem Administrator-PC installiert sein. .NET Framework 3.0 Service Pack 1 steht auf http://microsoft.com/downloads zum Download zur Verfügung. Wenn Sie eine neue SafeGuard Enterprise Datenbank während der SafeGuard Management Center Konfiguration erzeugen wollen, benötigen Sie entsprechende SQLZugriffsberechtigungen, siehe Zugriffsberechtigungen auf die Datenbank auf Seite 20. 5.2 SafeGuard Management Center installieren Das benötigte Installationspaket SGNManagementCenter.msi finden Sie auf der Produkt-CD. 1. Starten Sie SGNManagementCenter.msi von der Produkt-CD. 2. Klicken Sie im Willkommen-Fenster auf Weiter. 3. Akzeptieren Sie die Lizenzvereinbarung. 4. Wählen Sie einen Installationspfad. 5. Wählen Sie den Installationstyp aus: Um SafeGuard Management Center für den Betrieb mit einer einzigen Datenbank einzurichten (Single Tenancy), wählen Sie eine Installation vom Typ Typisch aus. Um SafeGuard Management Center für den Betrieb mit mehreren Datenbanken einzurichten (Multi Tenancy), wählen Sie eine Installation vom Typ Angepasst aus. Aktivieren Sie dann das Feature Multi Tenancy. Beachten Sie, dass dieses Feature mit den Installationstypen Typisch nicht installiert werden kann. Für weitere Informationen zum Konfigurieren von Multi Tenancy siehe Konfiguration für mehrere Datenbanken (Multi Tenancy) auf Seite 36. 6. Bestätigen Sie die erfolgreiche Installation. Das SafeGuard Management Center ist installiert. Starten Sie Ihren ggf. Computer neu. 30 SafeGuard® Enterprise 5.50, Installation 5.3 SafeGuard Management Center konfigurieren Nach der Installation müssen Sie das SafeGuard Management Center konfigurieren. Dabei unterstützt Sie komfortabel der SafeGuard Management Center Konfigurationsassistent, der die Grundeinstellungen für das Management Center und die Verbindung zur Datenbank festlegt. Der Assistent wird automatisch aufgerufen, wenn Sie das SafeGuard Management Center zum ersten Mal nach der Installation starten. Die Konfiguration richtet sich danach, ob sie die Unterstützung für eine einzelne Datenbank oder mehrere Datenbanken installiert haben. Multi Tenancy Konfigurationen Sie können mehrere verschiedene SafeGuard Enterprise Datenbankkonfigurationen für eine Instanz des SafeGuard Management Centers konfigurieren und verwalten. Dies erweist sich vor allem dann als nützlich, wenn Sie verschiedene Konfigurationen für verschiedene Domänen, Organisationseinheiten oder Unternehmensstandorte einsetzen möchten. Zur Vereinfachung der Konfiguration können neu erstellte Datenbankkonfigurationen zur späteren Wiederverwendung in eine Datei exportiert werden und zuvor erstellte Konfigurationen aus einer Datei eingelesen werden. Um das SafeGuard Management Center für Multi Tenancy zu konfigurieren, führen Sie zunächst die initiale Konfiguration und danach weitere spezifische Schritte für die Multi Tenancy Konfiguration durch. Voraussetzungen Folgende Informationen sollten Sie bereithalten. Diese erhalten Sie ggf. von Ihrem SQLAdministrator. 31 SQL Anmeldeinformationen Name des SQL Servers, auf dem die SafeGuard Enterprise Datenbank laufen soll. Name der SafeGuard Enterprise Datenbank, falls diese bereits erzeugt wurde. SafeGuard® Enterprise 5.50, Installation 5.4 Initiale Konfiguration durchführen Um den Konfigurationsassistent für die initiale Konfiguration des SafeGuard Management Center zu starten, gehen Sie wie folgt vor. Hinweis: Die folgenden Schritte müssen sowohl für Single Tenancy als auch für Multi Tenancy Konfigurationen ausgeführt werden. 1. Starten Sie das SafeGuard Management Center. Der SafeGuard Management Center Konfigurationsassistent wird automatisch geöffnet und führt Sie durch die notwendigen Konfigurationsschritte. 2. In Datenbankverbindung konfigurieren Sie die Verbindung zum Datenbankserver. Wählen Sie den Datenbankserver aus der Liste aus. Es werden alle Rechner eines Netzwerks aufgelistet, auf denen ein Microsoft SQL Server installiert ist. Wenn der Server nicht auswählbar ist, tragen Sie Servername bzw. IP-Adresse mit dem SQL-Instanznamen manuell ein. 3. Damit das SafeGuard Management Center mit der Datenbank kommunizieren kann, müssen Sie eine Authentisierungsmethode für den Zugriff auf die Datenbank festlegen, entweder Windows-Authentisierung oder SQL-Authentisierung. 32 SafeGuard® Enterprise 5.50, Installation Achtung: Verwenden Sie SQL-Authentisierung für Computer, die sich nicht in einer Domäne befinden, ansonsten verwenden Sie Windows-Authentisierung. Dies erfordert jedoch zusätzliche Konfigurationsschritte. Wenn Sie SQL-Authentisierung einsetzen, empfehlen wir, die Verbindung zu und vom Datenbankserver durch SSL zu sichern. SSL-Verschlüsselung erfordert eine funktionsfähige SSLUmgebung auf dem SQL Datenbankserver, die Sie vorab einrichten müssen. Für weitere Informationen siehe Transportverbindungen sichern mit SSL auf Seite 12. a) Aktivieren Sie SQL Server Authentisierung. Geben Sie die Anmeldeinformationen des SQL-Benutzerkontos ein, in diesem Beispiel wird „sa“ verwendet. b) Aktivieren Sie SSL verwenden, um die Verbindung zwischen SafeGuard Management Center und SQL-Datenbankserver zu sichern. Wenn Sie SQL Server Authentisierung ausgewählt haben, wird dies dringend empfohlen, um den Transport der SQLAnmeldeinformationen zu verschlüsseln. 4. Legen Sie fest, ob eine existierende Datenbank oder eine neue Datenbank zum Speichern der Administrationsdaten benutzt werden soll. Wenn noch keine Datenbank existiert, wählen Sie Eine neue Datenbank mit folgendem Namen erstellen. Vergeben Sie einen Namen für die neue Datenbank, hier „SafeGuard“. Sie benötigen dazu die entsprechenden SQL-Zugriffsberechtigungen, siehe Zugriffsberechtigungen auf die Datenbank auf Seite 20. Wenn bereits eine Datenbank angelegt wurde oder wenn Sie das Management Center bereits auf einem anderen Administrator-PC installiert haben, klicken Sie auf Folgende bestehende Datenbank wählen und wählen die entsprechende Datenbank aus der Liste aus. 5. Legen Sie einen Haupt-Sicherheitsbeauftragten (Master Security Officer, MSO) an. Geben Sie dem MSO einen Namen. Wir empfehlen, Token-Anmeldung auf kein Token zu stellen. 33 SafeGuard® Enterprise 5.50, Installation Eine Anmeldung mit Token bzw. Smartcard erfordert eine gesonderte Konfiguration, die innerhalb des Management Centers zu erledigen ist. Weitere Informationen hierzu finden Sie in der Administrator-Hilfe im Kapitel Token und Smartcards. Sobald Sie einen Name für den MSO eingegeben haben, klicken Sie auf Erzeugen. 6. Geben Sie nun zweimal das Kennwort für den Zertifikatsspeicher ein und bestätigen Sie mit OK. Das erzeugte MSO-Zertifikat wird lokal als Backup gespeichert. Achtung: Merken Sie sich dieses Kennwort! Es ist Ihr privater Schlüssel für den SafeGuard Management Center Zertifikatsspeicher. Sie melden sich mit diesem Kennwort später am Management Center an! Ein Zertifikat kann nicht aus einer Microsoft PKI importiert werden. Ein importiertes Zertifikat muss minimal 1024 Bits haben und kann maximal 4096 Bits lang sein. 7. . Die Datei, in der das MSO-Zertifikat gespeichert wird, die sogenannte .p12-Datei, wird mit einem Kennwort gesichert. Das MSO-Zertifikat ist dadurch zusätzlich geschützt. Geben Sie das Kennwort für die .p12-Datei zweimal ein und bestätigen Sie mit OK. Das Kennwort muss aus 8 alphanumerischen Zeichen bestehen. 34 SafeGuard® Enterprise 5.50, Installation 8. Geben Sie einen Speicherort für das Zertifikat ein. 9. Achtung: Erstellen Sie eine Sicherheitskopie des privaten Schlüssels (p12-Datei) des MSO, da ein eventueller PC-Absturz zum Verlust des Schlüssels führt und SafeGuard Enterprise dann neu installiert werden muss. Das gilt für alle von SafeGuard Enterprise generierten Sicherheitsbeauftragten-Zertifikate. Das Zertifikat für den MSO ist nun erstellt. 10.Klicken Sie auf Weiter. 11.Erstellen Sie ein neues Unternehmenszertifikat. Geben Sie einen Namen Ihrer Wahl ein. Mit dem Unternehmenszertifikat lassen sich unterschiedliche Installationen von SafeGuard Enterprise auseinander halten. Aus Sicherheitsgründen sollten Sie nach der initialen Konfiguration eine Sicherungskopie des Unternehmenszertifikats unter Extras > Optionen > Zertifikat erstellen und diese an einem sicheren Speicherort ablegen. In Verbindung mit dem Zertifikat des Haupt-Sicherheitsbeauftragten lässt sich mit dem Unternehmenszertifikat eine beschädigte SafeGuard Enterprise Datenbankkonfiguration wiederherstellen. 12.Klicken Sie auf Weiter, dann auf Beenden. Es wird automatisch eine Konfigurationsdatei erstellt. 35 SafeGuard® Enterprise 5.50, Installation Die Konfiguration des SafeGuard Management Centers ist abgeschlossen. Das SafeGuard Management Center wird anschließend automatisch gestartet. 5.5 Konfiguration für mehrere Datenbanken (Multi Tenancy) Um mehrere Datenbankkonfigurationen zur Nutzung von Multi Tenancy einzurichten, gehen Sie wie folgt vor: Voraussetzung: Die Funktion Multi Tenancy muss über eine Installation vom Typ Angepasst installiert worden sein, siehe Initiale Konfiguration durchführen auf Seite 32. 1. Starten Sie das SafeGuard Management Center. 2. Die bereits bestehenden Datenbankkonfigurationen werden angezeigt. Wählen Sie die Aktion aus, die Sie durchführen möchten: Um eine weitere SafeGuard Enterprise Datenbankkonfiguration zu erstellen, klicken SIe auf Neu. Um mit einer bereits vorhandenen Datenbank zu arbeiten, wählen Sie diese aus der Dropdownliste und klicken Sie auf OK. Um eine vorhandene Datenbankkonfiguration aus einer Datei zu importieren, klicken Sie auf Import... Um eine Datenbankkonfiguration in einer Datei zu speichern, klicken Sie auf Export... 3. Fahren Sie mit dem gewählten Vorgang fort. 36 SafeGuard® Enterprise 5.50, Installation 5.5.1 Weitere Datenbankkonfigurationen erstellen So erstellen Sie eine weitere SafeGuard Enterprise Datenbankkonfiguration nach der initialen Konfiguration: 1. Starten Sie das SafeGuard Management Center. Der Dialog Konfiguration auswählen wird angezeigt. 2. Klicken Sie auf Neu. Der SafeGuard Management Center Konfigurationsassistent wird automatisch geöffnet. 3. Der Assistent führt Sie durch die notwendigen Schritte für das Anlegen einer neuen Datenbankkonfiguration, siehe Initiale Konfiguration durchführen auf Seite 32. Nehmen Sie die erforderlichen Einstellungen vor. Die neue Datenbankkonfiguration wird generiert. 4. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen für diese Konfiguration auszuwählen und das entsprechende Zertifikatsspeicherkennwort einzugeben. Bestätigen Sie Ihre Angaben mit OK. Das SafeGuard Management Center wird geöffnet und mit der neuen Datenbankkonfiguration verbunden. Wenn Sie das SafeGuard Management Center das nächste mal starten, können Sie die neue Datenbank aus der Liste auswählen. 5.5.2 Mit bereits vorhandener Datenbankkonfiguration verbinden So benutzen Sie eine bereits vorhandene SafeGuard Enterprise Datenbankkonfiguration: 1. Starten Sie das SafeGuard Management Center. Der Dialog Konfiguration auswählen wird angezeigt. 2. Wählen Sie die Datenbankkonfiguration, die Sie verwenden möchten, aus der Dropdownliste und klicken Sie auf OK. Die ausgewählte Datenbankkonfiguration wird mit dem Management Center verbunden und aktiviert. 3. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen für diese Konfiguration auszuwählen und das entsprechende Zertifikatsspeicherkennwort einzugeben. Bestätigen Sie Ihre Angaben mit OK. Das SafeGuard Management Center wird geöffnet und mit der ausgewählten Datenbankkonfiguration verbunden. 37 SafeGuard® Enterprise 5.50, Installation 5.5.3 Konfiguration in eine Datei exportieren Um eine Konfiguration zu speichern oder wiederzuverwenden, können Sie sie in eine Datei exportieren. Gehen Sie hierzu wie folgt vor: 1. Starten Sie das SafeGuard Management Center. Der Dialog Konfiguration auswählen wird angezeigt. 2. Klicken Sie auf Exportieren... 3. Zum Schutz der Konfigurationsdatei werden Sie dazu aufgefordert, ein Kennwort einzugeben und zu bestätigen, das die Konfigurationsdatei verschlüsselt. Klicken Sie auf OK. 4. Geben Sie einen Dateinamen und einen Speicherort für die exportierte Konfigurationsdatei *.SGNConfig an. 5. Sollte diese Konfiguration bereits vorhanden sein, so werden Sie gefragt, ob Sie die vorhandene Konfiguration überschreiben möchten. Die Datenbankkonfiguration wird am angegebenen Speicherort gespeichert. 5.5.4 Konfiguration importieren Um eine Datenbankkonfiguration zu verwenden oder zu ändern, können Sie eine zuvor erstellte Konfiguration in das SafeGuard Management Center importieren. Hier gibt es zwei Möglichkeiten: über das SafeGuard Management Center (für Multi Tenancy) durch Doppelklicken auf die Konfigurationsdatei (für Single und Multi Tenancy) 38 SafeGuard® Enterprise 5.50, Installation 5.5.5 Konfiguration über das SafeGuard Management Center importieren 1. Starten Sie das SafeGuard Management Center. Der Dialog Konfiguration auswählen wird angezeigt. 2. Klicken Sie auf Import..., wählen Sie die gewünschte Konfigurationsdatei aus und klicken Sie auf Öffnen. 3. Geben Sie das Kennwort ein, das während des Exports für die Konfigurationsdatei erstellt wurde, und klicken Sie auf OK. 4. Die ausgewählte Konfiguration wird angezeigt. Um zu bestätigen, dass diese Konfiguration aktiviert werden soll, klicken Sie auf OK. 5. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen für diese Konfiguration auszuwählen und das entsprechende Zertifikatsspeicherkennwort einzugeben. Bestätigen Sie Ihre Angaben mit OK. Das SafeGuard Management Center wird geöffnet und mit der importierten Datenbankkonfiguration verbunden. 39 SafeGuard® Enterprise 5.50, Installation 5.5.6 Konfiguration durch Doppelklicken auf die Konfigurationsdatei importieren (Single und Multi Tenancy) Achtung: Dieser Vorgang ist sowohl im Single Tenancy als auch im Multi Tenancy Modus möglich. Es besteht auch die Möglichkeit, eine Konfiguration zu exportieren und diese an mehrere Sicherheitsbeauftragte zu verteilen. Die Sicherheitsbeauftragten müssen lediglich auf die Konfigurationsdatei doppelklicken, um ein vollständig konfiguriertes SafeGuard Management Center zu öffnen. Dies erweist sich vor allem dann als vorteilhaft, wenn Sie die SQL Authentisierung für die Datenbank verwenden und vermeiden möchten, dass das SQL-Kennwort jedem Administrator bekannt ist. Sie müssen das Kennwort dann nur einmal eingeben, eine Konfigurationsdatei erstellen und sie an die Computer der Sicherheitsbeauftragten verteilen. Voraussetzung: Die initiale Konfiguration des SafeGuard Management Centers muss durchgeführt worden sein. 1. Starten Sie das SafeGuard Management Center über den Produktordner im Start-Menü. 2. Wählen Sie im Extras-Menü Optionen und wechseln Sie in die Registerkarte Datenbankverbindung. 3. Geben Sie die Anmeldeinformationen für die SQL Datenbankserververbindung ein oder bestätigen Sie diese. 4. Klicken Sie auf Konfiguration exportieren, um die Konfiguration in eine Datei zu exportieren. 5. Geben Sie ein Kennwort für die Konfigurationsdatei ein und bestätigen Sie es. 6. Geben Sie einen Dateinamen ein und wählen Sie einen Speicherort aus. 7. Verteilen Sie die Konfigurationsdatei an die Computer der Sicherheitsbeauftragten. Teilen Sie ihnen das Kennwort für diese Datei sowie das Zertifikatsspeicherkennwort mit, das Sie für Anmeldung an das SafeGuard Management Center benötigen. 8. Die Sicherheitsbeauftragten müssen nur auf die Konfigurationsdatei doppelklicken. 9. Sie werden aufgefordert, das Kennwort für die Konfigurationsdatei einzugeben. 10.Zur Anmeldung an das SafeGuard Management Center werden die Sicherheitsbeauftragten aufgefordert, ihr Zertifikatsspeicherkennwort einzugeben. 40 SafeGuard® Enterprise 5.50, Installation Das SafeGuard Management Center startet mit der importierten Konfiguration. Diese Konfiguration wird nun als neue Standardkonfiguration definiert. 5.5.7 Schneller Wechsel zwischen Datenbankkonfigurationen Zur Vereinfachung von Verwaltungsaufgaben bei mehreren Datenbanken bietet das SafeGuard Management Center den schnellen Wechsel zwischen Datenbankkonfigurationen. So wechseln Sie zu einer anderen Datenbank: 1. Wählen Sie Datei in der Menüleiste des Management Centers und klicken Sie auf Konfiguration wechseln... 2. Wählen Sie die Datenbank, zu der Sie wechseln möchten, aus der Dropdownliste. 3. Wählen Sie OK. Das Management Center wird automatisch mit der ausgewählten Konfiguration neu gestartet. Achtung: Dieser Vorgang ist nur im Multi Tenancy Modus möglich. 5.6 Anmeldung am SafeGuard Management Center Die Anmeldung richtet sich danach, ob Sie das SafeGuard Management Center im Single Tenancy Modus oder im Multi Tenancy Modus einsetzen. 5.6.1 Anmeldung im Single Tenancy Modus 1. Starten Sie das SafeGuard Management Center über das Start-Menü. 2. Ein Anmeldedialog wird angezeigt. 3. Melden Sie sich als Haupt-Sicherheitsbeauftragter an und geben Sie das Zertifikatsspeicherkennwort ein, das während der Konfiguration festgelegt wurde. Klicken Sie auf OK. 41 SafeGuard® Enterprise 5.50, Installation Hinweis: Wenn Sie ein falsches Kennwort eingeben, wird eine Fehlermeldung angezeigt und die nächste Anmeldung wird verzögert. Diese Verzögerung wird mit jedem fehlgeschlagenen Anmeldeversuch größer. Nicht erfolgreiche Anmeldeversuche werden protokolliert. Das SafeGuard Management Center wird geöffnet. 5.6.2 Anmeldung im Multi Tenancy Modus Wenn Sie mehrere Datenbanken konfiguriert haben (Multi Tenancy), erweitert sich der Anmeldevorgang. 1. Starten Sie das SafeGuard Management Center über den Produktordner des Start-Menüs. Der Dialog Konfiguration auswählen wird angezeigt. 2. Wählen Sie die Datenbankkonfiguration, die Sie verwenden möchten, aus der Dropdownliste und klicken Sie auf OK. Die ausgewählte Datenbankkonfiguration wird mit dem Management Center verbunden und wird aktiv. 3. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen für diese Konfiguration auszuwählen und das entsprechende Zertifikatsspeicherkennwort einzugeben. Bestätigen Sie Ihre Angaben mit OK. Das SafeGuard Management Center wird geöffnet und mit der ausgewählten Datenbankkonfiguration verbunden. 42 SafeGuard® Enterprise 5.50, Installation Hinweis: Wenn Sie ein falsches Kennwort eingeben, wird eine Fehlermeldung angezeigt und die nächste Anmeldung wird verzögert. Diese Verzögerung wird mit jedem fehlgeschlagenen Anmeldeversuch größer. Nicht erfolgreiche Anmeldeversuche werden protokolliert. Informationen zu den ersten Arbeitsschritten im SafeGuard Management Center finden Sie in der SafeGuard Enterprise Administrator-Hilfe. 5.7 SafeGuard Management Center auf weiteren Computern installieren Das SafeGuard Management Center kann nicht nur auf einem einzigen Computer installiert werden sondern auch auf weiteren Computern, die sich in einem Netzwerk befinden, von dem aus auf die entsprechende Datenbank zugegriffen werden kann. SafeGuard Enterprise verwaltet die Zugriffsrechte auf das Management Center in einem eigenen Zertifikatsverzeichnis. Dort müssen die Zertifikate aller Sicherheitsbeauftragten, die sich am Management Center anmelden dürfen, vorhanden sein. Zur Anmeldung an das Management Center wird dann nur noch das Kennwort des Zertifikatsspeichers benötigt. Die folgenden Schritte beziehen sich auf die Konfiguration einer weiteren SafeGuard Management Center Konfiguration. 1. Installieren Sie SGNManagementCenter.msi mit den gewünschten Features auf einem weiteren Computer. 2. Öffnen Sie das SafeGuard Management Center. Der Konfigurationsassistent wird gestartet. 3. Wählen Sie die Datenbank aus, mit der das SafeGuard Management Center verbunden werden soll. 4. Der Dialog SafeGuard Management Center Authentisierung wird angezeigt. Wählen Sie einen Beauftragten aus der Dropdownliste. Wenn Multi Tenancy aktiviert ist, zeigt der Anmeldedialog, an welcher Datenbankkonfiguration Sie sich anmelden. 5. Geben Sie das Kennwort für den Zertifikatsspeicher ein. Achtung: Nach der Eingabe dieses Kennworts wird der Zertifikatsspeicher für das aktuelle Benutzerkonto angelegt und ist durch dieses abgesichert. Für die nachfolgenden Anmeldungen benötigen Sie nur noch dieses Kennwort. 6. Klicken Sie auf OK. Eine Meldung, dass Zertifikat und privater Schlüssel nicht gefunden bzw. nicht darauf zugegriffen werden kann, wird angezeigt. 43 SafeGuard® Enterprise 5.50, Installation 7. Klicken Sie zum Importieren der Daten auf Ja. 8. Klicken Sie auf die Schaltfläche OK. Dadurch wird der Importvorgang gestartet. 9. Wählen Sie die Schlüsseldatei über die Schaltfläche [...] aus. 10.Geben Sie das Kennwort für die Schlüsseldatei ein. 11.Geben Sie im Eingabefeld PIN oder Kennwort das bereits in Schritt 2 festgelegte Kennwort für den Zertifikatsspeicher ein. 12.Klicken Sie auf die Schaltfläche In den Zertifikats-Speicher importieren. Mit der Schaltfläche Auf den Token kopieren können Sie das Zertifikat auf einen Token speichern. 13.Zur Initialisierung des Zertifikatsspeichers müssen Sie das Kennwort des Zertifikatsspeichers noch einmal eingegeben. Zertifikat und privater Schlüssel befinden sich nun im Zertifikatsspeicher. Zur Anmeldung an das SafeGuard Management Center wird das Kennwort des Zertifikatsspeichers verwendet. 44 SafeGuard® Enterprise 5.50, Installation 6 SafeGuard Enterprise Server einrichten Der SafeGuard Enterprise Server stellt die Schnittstelle zu den SafeGuard Enterprise Clients her. Er greift wie das SafeGuard Enterprise Management Center auf die Datenbank zu. Er läuft als Applikation auf einem IIS-basierten Webserver. Wir empfehlen, für den SafeGuard Enterprise Server einen dedizierten IIS Server einzusetzen, um die Performance zu erhöhen. Außerdem verhindert dies, dass andere Anwendungen mit SafeGuard Enterprise in Konflikt geraten, z. B. wegen der verwendeten Version von ASP.NET. Dieses Kapitel beschreibt, wie Sie SafeGuard Enterprise Server auf einem IIS Server installieren. Dazu müssen Sie zuvor Microsoft Internet Information Services (IIS) konfigurieren. 45 SafeGuard® Enterprise 5.50, Installation 6.1 Voraussetzungen Folgende Voraussetzungen müssen erfüllt sein (in dieser Reihenfolge): Sie benötigen Windows Administratorenrechte. Microsoft Internet Information Services (IIS) muss bereits installiert und gehärtet sein. IIS ist kostenlos verfügbar. Sie finden das Programm z. B. auf Ihrer Windows-CD oder auf der Microsoft Website. Wenn Sie SSL als Transportverschlüsselung zwischen SafeGuard Enterprise Server und SafeGuard Enterprise Client verwenden, muss der IIS Server dafür eingerichtet werden, siehe Transportverbindungen sichern mit SSL auf Seite 12: Ein Zertifikat muss ausgestellt werden und der IIS Server so konfiguriert werden, dass er SSL verwendet und auf das Zertifikat zeigt. Der Servername, den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben, muss identisch sein mit dem Servernamen, den Sie vorab im SSL-Zertifikat angegeben haben. Sonst können Client und Server nicht miteinander kommunizieren. Für jeden SafeGuard Enterprise Server wird ein separates SSL-Zertifikat benötigt. Wenn Sie Network Load Balancer einsetzen, vergewissern Sie sich, dass der Portbereich den SSL-Port mit einschließt. .NET Framework 3.0 Service Pack1 ist installiert. .NET Framework ist kostenlos verfügbar. Sie finden das Programm z. B. auf Ihrer WindowsCD. Je nach Windows-Version wird es bereits als Standard mit installiert. ASP.NET 2.0 ist aktiviert. Dies wird automatisch währen der Installation geprüft und korrekt gesetzt. Für Windows Server 2008 muss IIS Management Scripts and Tools aktiviert sein. 46 SafeGuard® Enterprise 5.50, Installation 6.2 Microsoft Internet Information Services konfigurieren Dieses Kapitel beschreibt, wie Sie den Microsoft Internet Information Services (IIS) Server für denBetrieb mit SafeGuard Enterprise Server vorbereiten. 6.2.1 IIS Server härten Zur Erhöhung der Sicherheit im Intranet Ihres Unternehmens empfehlen wir, jeden IIS Server sowie die Anwendungen, die auf diesem Server laufen, durch spezifische Sicherheitseinstellungen zu schützen und ihn so zu „härten“. Dieses Kapitel beschreibt, wie Sie den IIS Server für die Benutzung mit SafeGuard Enterprise so einrichten, dass er den Absicherungsempfehlungen von Microsoft entspricht. Sollten weitere Einstellungen, die nicht von Microsoft empfohlen oder in diesem Kapitel beschrieben werden, aktiviert werden, kann dies zu unerwünschten Ergebnissen führen. Hinweis: Detaillierte Informationen zur Absicherung von Web Servern finden Sie im Microsoft Solutions for Security and Compliance: Windows Server 2003 Security Guide, der auf der Microsoft Website kostenlos zum Download zur Verfügung steht. Die Beschreibungen in diesem Kapitel basieren auf folgender Musterkonfiguration: Server 1: Microsoft Windows Server 2003 SP1 SafeGuard Enterprise Server, aktuelle Version SafeGuard Enterprise Management Center, aktuelle Version Microsoft SQL Server 2005 Express IIS mit minimalen Komponenten Server 2: Microsoft Windows Server 2003 SP2 SafeGuard Enterprise Server, aktuelle Version Microsoft SQL Server 2005 Express IIS mit minimalen Komponenten Auf Server 2 läuft nur der SafeGuard Enterprise Server (IIS Server). Wenn Server 2 zusätzlich in Gebrauch ist, werden die für Server 1 aktivierten Dienste automatisch deaktiviert. 47 SafeGuard® Enterprise 5.50, Installation Client: SafeGuard Enterprise Client SafeGuard Management Center, aktuelle Version Nur notwendige IIS-Komponenten installieren Stellen Sie sicher, dass nur notwendige IIS-Komponenten installiert werden. Dadurch reduzieren sich das Risiko, dass der IIS Server angegriffen wird. Deaktivieren Sie alle unnötigen Einstellungen. Der IIS Server läuft mit SafeGuard Enterprise Server mit den folgenden minimalen Komponenten: Gemeinsame Dateien Internetinformationsdienste-Manager (IIS-Manager) WWW-Publishingdienst Nur notwendige Webdiensterweiterungen aktivieren Stellen Sie sicher, dass nur notwendige Webdiensterweiterungen aktiviert werden. Dadurch reduziert sich das Risiko, dass der IIS Server angegriffen wird. Deaktivieren Sie alle unnötigen Einstellungen. Die folgenden Einstellungen sind notwendig, damit der IIS Server mit dem SafeGuard Enterprise Server läuft: Webdiensterweiterungen: ASP.NET v.1.1.4322 Nicht zugelassen ASP.NET v.2.50727 Zugelassen Website-Inhalte auf eigener Partition IIS speichert die Dateien für seine Default-Website in folgendem Ordner: <systemroot>\inetpub\wwwroot . <systemroot> ist das Laufwerk, auf dem das Windows Server 2003 Betriebssystem installiert ist. Verschieben Sie alle Dateien und Ordner für Websites und Applikationen auf eigene Partitionen, die vom Betriebssystem getrennt sind. Dies trägt zur Verhinderung von Angriffen bei, bei denen der Angreifer eine Anfrage nach einer Datei sendet, die sich außerhalb der Verzeichnisstruktur des IIS- Servers befindet. 48 SafeGuard® Enterprise 5.50, Installation Für die Musterkonfiguration können die Dateien und Ordner wie folgt verschoben werden: IIS Web-Dateien: E:\inetpub SafeGuard Enterprise Server Web-Dateien: F:\mycompany.web Hinweis: Nach dem Verschieben der Web-Dateien müssen Sie die Pfadinformationen im IISManager entsprechend aktualisieren. NTFS-Berechtigungen einstellen Computer, auf denen Windows Server 2003 mit SP1 läuft, bestimmen anhand der NTFSDateisystemberechtigungen die Zugriffsrechte, die ein Benutzer oder ein Prozess an einer spezifischen Datei oder einem Ordner besitzt. Sie sollten daher NTFS-Berechtigungen zuweisen, um den Website-Zugriff bestimmten Benutzern auf dem IIS Server zu erlauben oder zu verweigern. Für die Musterkonfiguration lauten die minimalen NTFS-Berechtigungen wie folgt: Benutzer/Verzeichnis NTFS-Berechtigungen für E:\inetpub NTFS-Berechtigungen für F:\mycompany.web Administratoren Vollzugriff Vollzugriff System Vollzugriff Vollzugriff Benutzer Ausführen Ausführen Für „Benutzer“ können Sie ein anderes Konto oder eine andere Gruppe einstellen, unter der Voraussetzung, dass dies auf dem IIS Server zur Verfügung gestellt wird. In diesem Fall müssen Sie das Konto IUSR_SRVERNAME auf dem IIS Server entsprechend aktualisieren. 49 SafeGuard® Enterprise 5.50, Installation Die NTFS-Berechtigungen für Dateitypen lauten wie folgt: Dateityp Empfohlene NTF Berechtigungen CGI Dateien (.exe, .dll, .cmd, .pl) Administratoren (Vollzugriff) System (Vollzugriff) Jeder/Benutzer (Ausführen) Script Dateien (.asp) Administratoren (Vollzugriff)) System (Vollzugriff)) Jeder/Benutzer (Ausführen) Include Dateien (.inc, .shtm, .shtml) Administratoren (Vollzugriff) System (Vollzugriff) Jeder/Benutzer (Ausführen) Static Content (.txt, .gif, .jpg, .htm, .html) Administratoren (Vollzugriff) System (Vollzugriff) Jeder/Benutzer (Nur lesen) Integrierte Windows-Authentifizierung deaktivieren Es ist empfehlenswert, die integrierte Windows-Authentisierung in IIS zu deaktivieren, um so das Senden unnötiger Authentisierungsinformationen zu vermeiden. 1. Doppelklicken Sie im IIS-Manager auf den lokalen Computer, klicken Sie mit der rechten Maustaste auf den Ordner Web Sites und klicken Sie danach auf Eigenschaften. 2. Klicken Sie auf die Registerkarte Verzeichnissicherheit. Klicken Sie unter Authentifizierung und Zugriffsteuerung auf Bearbeiten. 3. Deaktivieren unter Authentifizierter Zugriff das Kontrollkästchen Integrierte WindowsAuthentifizierung. 4. Klicken Sie zweimal auf OK. 50 SafeGuard® Enterprise 5.50, Installation Einstellungen für den Anwendungspool “DefaultAppPool“ Wenn sich der SQL Server auf dem gleichen Computer wie der IIS Server befindet, stellen Sie das eingebaute Local Service Benutzerkonto für “DefaultAppPool“ ein. In der Musterkonfiguration gilt dies für Server 1. Wenn sich der SQL Server auf einem anderen Computer als der IIS Server befindet, stellen Sie das eingebaute Network Service Benutzerkonto für “DefaultAppPool“ ein. In der Musterkonfiguration gilt dies für Server 2. Andernfalls schlägt die Synchronisierung mit dem Client fehl. 6.2.2 IIS Rollout-Name Während der IIS-Einrichtung wird auf dem IIS Server ein Standardbenutzer mit Standardrechten erstellt. Wenn SafeGuard Enterprise Server auf einem IIS Server installiert wird, wird ein IIS SafeGuard Standardbenutzer mit IIS Standardrechten und folgendem Anmeldenamen erstellt: IUSR_SafeGuardServerUser . Dies hilft bei der Authentisierung am IIS Server, wenn dieser nach der Installation umbenannt wird, da dieser spezifische SafeGuard IIS Benutzer immer als gültiger Anmeldename verwendet werden kann. 6.2.3 .NET Framework Registrierung prüfen Prüfen Sie, ob .NET Framework Version 3.0 mit Service Pack 1 auf dem IIS Server installiert ist. 1. Öffnen Sie dazu die Systemsteuerung und wählen Sie je nach Betriebssystem entweder Programme hinzufügen/Entfernen oder Verwaltungstools. Dort wird das Programm und die Version angezeigt. 2. Installieren Sie ggf. das Programm in der richtigen Version. 6.2.4 ASP.NET Registrierung prüfen Während der SafeGuard Enterprise Server Installation wird geprüft, ob die benötigte ASP.NET Version 2.0.50727 installiert ist. Wenn nicht, so wird die korrekte Version automatisch aktiviert. Sie können die Einstellung folgendermaßen manuell überprüfen: Hinweis: Eine ausführliche Beschreibung dieser Aufgabe finden Sie in unserer Wissensdatenbank: http://www.sophos.com/support/knowledgebase/article/107703.html. 51 SafeGuard® Enterprise 5.50, Installation 1. Öffnen Sie den Internet Information Services Manager auf dem IIS Server. 2. Klicken Sie im IIS Manager auf Server (lokaler Computer) > Web Sites. 3. Klicken Sie mit der rechten Maustaste auf Standardwebseite > Eigenschaften > ASP.NET. Unter ASP.NET Version sollte die Version 2.0.50727 angezeigt sein. Wählen Sie diese Version ggf. aus. Wenn das nicht möglich ist, müssen Sie ASP.Net 2.050727 neu installieren. 4. Bestätigen Sie mit Übernehmen und OK. 5. Alternativ können Sie das Kommando aspnet_regiis.exe -lv aufrufen, um sicherzustellen, dass die ASP Services in der Version 2.0 installiert sind. 52 SafeGuard® Enterprise 5.50, Installation 6.2.5 Zusätzliche IIS 6 Konfigurierung für die Installation von SafeGuard Enterprise Server auf Windows Server 2003 64 Bit Wenn Sie IIS Version 6 verwenden und SafeGuard Enterprise Server auf Windows Server 2003 64 Bit installieren wollen, führen Sie die folgenden zusätzlichen Schritte durch: 1. Geben Sie folgendes Kommando ein: cscript %SYSTEMDRIVE%\inetpub\adminscripts\adsutil.vbs SET W3SVC/ AppPools/Enable32bitAppOnWin64 1 2. Registrieren Sie die benötigte ASP.NET Version mit folgendem Kommando: %SYSTEMROOT%\Microsoft.NET\Framework\v2.0.50727\aspnet_regiis.exe -i 3. Aktivieren Sie die 32 Bit-Version von ASP.Net 2.0.50727: 53 Öffnen Sie den Internet Information Services Manager auf dem IIS Server. Klicken Sie im IIS Manager auf Server (lokaler Computer) > Webdiensterweiterungen. Rechts-klicken Sie auf ASP.NET v2.0.50727 (32 Bit), wählen Sie Eigenschaften und setzen Sie den Status auf Zugelassen. Bestätigen Sie mit Übernehmen und OK. SafeGuard® Enterprise 5.50, Installation 6.2.6 Speicherwiederverwendung für IIS Server einschalten Wir empfehlen, für den IIS Server „Arbeitsprozesse wieder verwenden“ einzustellen. 1. Öffnen Sie den Internet Information Services Manager. 2. Klicken Sie im IIS Manager auf Server (lokaler Computer). 3. Klicken Sie mit der rechten Maustaste auf Anwendungspools > Eigenschaften. 4. Setzen Sie unter Speicherwiederverwendung folgende Werte: Maximaler virtueller Speicher = 500 MB Maximaler verwendeter Speicher = 192 MB 5. Bestätigen Sie mit Übernehmen und OK. Der IIS Server ist nun für SafeGuard Enterprise eingerichtet. 54 SafeGuard® Enterprise 5.50, Installation 6.3 SafeGuard Enterprise Server installieren Nachdem der IIS konfiguriert ist, können Sie SafeGuard Enterprise Server auf dem IIS Server installieren. Das Installationspaket SGNServer.msi finden Sie auf der Produkt-CD. 1. Starten Sie SGNServer.msi von der CD. 2. Klicken Sie im Willkommen-Fenster auf Weiter. 3. Akzeptieren Sie die Lizenzvereinbarung. 4. Wählen Sie einen Installationspfad und bestätigen Sie die erfolgreiche Installation. Der SafeGuard Enterprise Server ist installiert. Achtung: Aus Performance-Gründen ist die Verkettung von protokollierten Ereignissen für die SafeGuard Enterprise Datenbank nach der Installation des SafeGuard Enterprise Servers standardmäßig deaktiviert. Ohne die Verkettung steht für die protokollierten Ereignisse jedoch kein Integritätsschutz zur Verfügung. Die Verkettung verknüpft alle Einträge in der Ereignistabelle miteinander, so dass die Entfernung eines Eintrags sichtbar wird und über eine Integritätsprüfung nachgewiesen werden kann. Um den Integritätsschutz zu nutzen, aktivieren Sie die Verkettung manuell. Detaillierte Informationen hierzu finden Sie im Kapitel „Berichte“ der SafeGuard Enterprise AdministratorHilfe. 6.4 SafeGuard Enterprise Server registrieren und konfigurieren Der SafeGuard Enterprise Server muss im SafeGuard Management Center noch registriert und konfiguriert werden. Dies erfolgt über die Funktion Konfigurationspakete im SafeGuard Management Center. Es muss eine Konfigurationsdatei für den Server erzeugt und auf ihm installiert werden. 1. Starten Sie das SafeGuard Management Center und wählen Sie Extras > Konfigurationspakete. 55 SafeGuard® Enterprise 5.50, Installation 2. Wählen Sie Server registrieren und dann eine der folgenden Optionen: Diesen Computer zum SGN Server machen: SafeGuard Management Center und SafeGuard Enterprise Server sind auf dem Computer installiert, mit dem Sie gerade arbeiten. Wenn Multi Tenancy aktiviert ist, steht diese Option nicht zur Verfügung. Hinzufügen: Der SafeGuard Enterprise Server ist auf einem anderen Computer als das SafeGuard Management Center installiert. Server-Rolle hinzufüge n: Weitere Rollen für den Sicherheitsbeauftragten für diesen Server können hinzugefügt werden. Entfernen: Der ausgewählte SafeGuard Enterprise Server wird aus der Liste entfernt. 3. Wählen Sie das Maschinenzertifikat des Servers. Es wird bei der Installation des SafeGuard Enterprise Servers erzeugt. Sie finden es standardmäßig im Verzeichnis MachCert des SafeGuard Enterprise Server Installationsverzeichnisses. Es trägt den Dateinamen <Computername>.cer. Wenn der SafeGuard Enterprise Server auf einem anderen Computer als das SafeGuard Management Center installiert ist, muss diese .cer-Datei als Kopie oder Netzwerkfreigabe zugreifbar sein. Achtung: Wählen Sie nicht das MSO-Zertifikat! 4. Tragen Sie unter Servername den FQDN (z. B. server.mycompany.edu) ein und bestätigen Sie mit OK. 56 SafeGuard® Enterprise 5.50, Installation Achtung: Wenn SSL als Tansportverschlüsselung zwischen Client und Server verwendet werden soll, muss der Servername, den Sie hier eingeben mit dem Servernamen übereinstimmen, den Sie im SSL-Zertifikat vergeben haben. Andernfalls können Client und Server nicht miteinander kommunizieren. 5. Sie haben Diesen Computer zum SGN Server machen gewählt: a) Das SafeGuard Enterprise Server Configuration Setup wird automatisch gestartet. b) Bestätigen Sie alle folgenden Dialoge. Der Computer wird als SafeGuard Enterprise Server registriert. 6. Der Server und seine Eigenschaften werden in der Registerkarte Server registrieren angezeigt. Für den ausgewählten Server können Sie folgende Eigenschaften einstellen: Skripts ausführen: Aktivieren Sie diese Option, wenn der SafeGuard Enterprise Management API verwendet werden soll. Server-Rollen: Klicken Sie auf Server-Rollen, um die gewünschte SicherheitsbeauftragtenRolle auszuwählen. Klicken Sie auf Server-Rolle hinzufügen am unteren Fensterrand, um weitere Rollen für den Sicherheitsbeauftragten für diesen Server aufzunehmen. Datenbankverbindung: Klicken Sie auf [...], um die Verbindung zur Datenbank für jeden registrierten Server zu konfigurieren. Hier können Sie auch die Anmeldeinformationen für die Datenbank und die SSL-Transportverschlüsselung zwischen Web Server und Datenbankserver festlegen. Das Fenster Datenbankverbindung wird angezeigt. Hinweis: SSL-Verschlüsselung erfordert eine funktionsfähige SSL-Umgebung auf dem SQL Datenbankserver, die Sie vorab einrichten müssen. Für weitere Informationen siehe SSL einrichten auf Seite 13. 7. Unter Datenbankverbindung konfigurieren Sie die Verbindung zwischen Datenbankserver und Web Server: a) Wählen Sie den gewünschten Datenbankserver aus, mit dem der SafeGuard Enterprise Server verbunden werden soll. b) Aktivieren Sie SSL verwenden, um die Verbindung zwischen Datenbankserver und dem ausgewählten SafeGuard Enterprise Server mit SSL zu sichern. c) In Authentisierung legen Sie die Anmeldeinformationen für den ausgewählten Datenbankserver fest: 57 Windows Authentisierung SQL Authentisierung SafeGuard® Enterprise 5.50, Installation Achtung: Verwenden Sie SQL Authentisierung für Computer, die nicht Teil einer Domäne sind. Verwenden Sie ansonsten die Windows-Authentisierung, die jedoch zusätzliche Konfiguration erfordert. Wenn Sie SQL Authentisierung verwenden, empfehlen wir dringend, die Verbindung zur Datenbank mit SSL zu sichern, um den Transport der SQL-Anmeldeinformationen zu verschlüsseln. d) Prüfen Sie die Verbindung zum Datenbankserver. Selbst wenn die Prüfung nicht erfolgreich ist, kann ein neues Serverkonfigurationspaket erstellt werden. Hinweis: Sie können die Eigenschaften und Einstellungen für jeden registrierten Server und seine Datenbankverbindung jederzeit aktualisieren. Sie müssen nicht den Management Center Konfigurationsassistenten erneut ausführen, um die Datenbankkonfiguration zu aktualisieren. Sie müssen nur dafür sorgen, ein neues Server-Konfigurationspaket zu erstellen und es an den entsprechenden Server zu verteilen. Sobald dieses auf dem Server installiert ist, kann auf die neue Datenbankverbindung zugegriffen werden. 8. Sie haben Hinzufügen gewählt: a) Wechseln Sie auf die Registerkarte Server-Konfigurationspaket erstellen. b) Wählen Sie dort den gewünschten Server aus. c) Legen Sie den Ausgabepfad fest. d) Klicken Sie auf Konfigurationspaket erstellen. Es wird unter dem Ausgabepfad eine Konfigurationsdatei für den Server (.msi-Datei) mit dem Namen <Server>.msi (im Beispiel server.mycompany.edu.msi)) erzeugt. Die Registrierung und Konfiguration des SafeGuard Enterprise Servers ist beendet. Führen Sie das Server-Konfigurationspaket am SafeGuard Enterprise Server aus. Hinweis: Wenn Sie ein neues Konfigurationspaket installieren möchten, deinstallieren Sie zunächst die „alte“ Server-Konfigurationsdatei, bevor Sie die neue installieren. 58 SafeGuard® Enterprise 5.50, Installation 7 Kommunikation testen Wenn SafeGuard Enterprise Server, die Datenbank und das SafeGuard Management Center eingerichtet sind, sollten Sie einen Verbindungstest durchführen. Die nötigen Schritte werden in diesem Kapitel beschrieben. 7.1 Voraussetzungen Vor dem Verbindungstest müssen folgende Einstellungen gemacht bzw. geprüft werden: Ports/Verbindungen Die Endpoint-Computer müssen folgende Verbindungen aufbauen: Verbindung zu über Port SafeGuard Enterprise Server Port 80/TCP Das SafeGuard Management Center muss folgende Verbindungen aufbauen: Verbindung zu über Port SQL Datenbank Port 1433/TCP und Port 1434/TCP für SQL 2005 (Express) dynamic port Active Directory Port 389/TCP SLDAP Port 636 für den Active Directory Import Der SafeGuard Enterprise Server muss folgende Verbindungen aufbauen: 59 Verbindung zu über Port SQL Datenbank Port 1433/TCP und Port 1434/TCP für SQL 2005 (Express) dynamic port Active Directory Port 389/TCP SafeGuard® Enterprise 5.50, Installation Authentisierungsmethode 1. Öffnen Sie auf dem SafeGuard Enterprise Server den Internet Information Services (IIS) Manager. 2. Wählen Sie in der Baumstruktur Internet Information Services > „Servername“ > Web Sites > Standardwebsite > SGNSRV. 3. Klicken Sie mit der rechten Maustaste auf SGNSRV und wählen Sie Eigenschaften. 4. Wählen Sie die Registerkarte Verzeichnissicherheit. 5. Im Feld Authentifizierung und Zugriffssteuerung klicken Sie auf Bearbeiten. Aktivieren Sie Anonymen Zugriff aktivieren und deaktivieren Sie Integrierte Windows Authentifizierung. 60 SafeGuard® Enterprise 5.50, Installation Proxyserver-Einstellungen für Webserver und Endpoint-Computer Die Proxyserver-Einstellungen sollten wie folgt gesetzt werden: 1. Wählen Sie im Internet Explorer Extras > Internet-Optionen > Verbindungen > LANEinstellungen. 2. Deaktivieren Sie Proxyserver für LAN verwenden. 3. Wenn ein Proxyserver notwendig ist, aktivieren Sie Proxyserver für lokale Adressen umgehen. Microsoft SQL Server 2005 Einstellungen Wenn der Microsoft SQL Server 2005 verwendet wird, muss im Microsoft SQL Server Management Studio folgender Benutzer (Rolle "sysadmin") hinzugefügt werden: 61 SafeGuard® Enterprise 5.50, Installation Microsoft SQL Server 2005 Einstellungen Wird der Microsoft SQL Server 2005 verwendet, müssen Sie folgende Benutzer in Microsoft SQL Server Management Studio (Rolle „sysadmin“) hinzufügen: 7.2 Verbindungstest durchführen 1. Öffnen Sie auf dem SafeGuard Enterprise Server den Internet Information Services (IIS) Manager. 2. Klicken Sie im IIS Manager auf Server (lokaler Computer) > Web Sites > Standardwebsite. 3. Klicken Sie mit der rechten Maustaste auf den gewünschten Server und dann auf Durchsuchen. 62 SafeGuard® Enterprise 5.50, Installation 4. Klicken Sie auf den Link Check Connection. 5. Testen Sie die Verbindung mit einem Klick auf Aufrufen. Der Verbindungstest war erfolgreich, wenn Sie diese Ausgabe erhalten: 63 WebServices ok DBAuth ok SafeGuard® Enterprise 5.50, Installation 8 Replikation der SafeGuard Enterprise Datenbank Zur Optimierung der Performance lässt sich die SafeGuard Enterprise Database auf mehrere SQL Server replizieren. Dieses Kapitel beschreibt das Aufsetzen der Replikation für die SafeGuard Enterprise Datenbank in einer verteilten Umgebung. In der Beschreibung wird davon ausgegangen, dass Sie bereits Erfahrung mit dem Microsoft SQL Server Replikationsmechanismus haben. Hinweis: Die Administration sollte nur bei der Master-Datenbank erfolgen, nicht bei replizierten Datenbanken. 8.1 Mergereplikation Die Mergereplikation ist der Vorgang der Verteilung von Daten vom Verleger an die Abonnenten. Dabei können Verleger und Abonnenten unabhängig voneinander Aktualisierungen vornehmen und danach einen Merge der Aktualisierungen zwischen den Standorten durchführen. Die Mergereplikation erlaubt es verschiedenen Standorten, autonom zu arbeiten und später die Aktualisierungen zu einem einzigen, einheitlichen Ergebnis zusammenzuführen. Der initiale Snapshot wird auf die Abonnenten angewendet. Microsoft SQL Server verfolgt dann die Änderungen an veröffentlichten Daten beim Verleger und bei den Abonnenten nach. Die Daten werden zwischen den Servern kontinuierlich, zu einem festgelegten Zeitpunkt oder auf Anforderung synchronisiert. Da Aktualisierungen auf mehr als einem Server ausgeführt werden, sind dieselben Daten möglicherweise vom Verleger und von mindestens einem Abonnenten aktualisiert worden. Daher kann es beim Zusammenführen von Aktualisierungen zu Konflikten kommen. Die Mergereplikation bietet Standardmöglichkeiten sowie individuelle Möglichkeiten für die Konfliktlösung, die Sie bei der Konfiguration einer Mergeveröffentlichung definieren können. Tritt ein Konflikt auf, ruft der Merge-Agent einen Resolver auf. Dieser bestimmt, welche Daten akzeptiert und an andere Standorte verteilt werden. 64 SafeGuard® Enterprise 5.50, Installation 8.2 Datenbankreplikation einrichten Der Vorgang des Einrichtens einer Replikation für die SafeGuard Enterprise Datenbank wird am Beispiel von Microsoft SQL Server 2005 beschrieben. Im Beispiel wird SafeGuard Enterprise ausschließlich von der Datenbank in Wien aus administriert. Alle Änderungen werden vom SafeGuard Management Center über den Microsoft SQL Server 2005 Replikationsmechanismus an die Datenbanken in Graz und Linz weitergegeben. Die von den Benutzercomputern über die Web Server gemeldeten Änderungen werden ebenfalls über den Replikationsmechanismus an den Microsoft SQL Server 2005 weitergegeben. 65 SafeGuard® Enterprise 5.50, Installation 8.2.1 Master-Datenbank erzeugen Legen Sie zunächst die SafeGuard Enterprise Master-Datenbank an. In unserem Beispiel ist dies die Datenbank Wien. Der Vorgang zum Erzeugen der Master-Datenbank ist mit dem entsprechenden Vorgang für eine SafeGuard Enterprise Installation ohne Replikation identisch. Zum Erzeugen der Master-Datenbank gibt es zwei Möglichkeiten: über den Konfigurationsassistenten für das SafeGuard Management Center Für diesen Vorgang muss das SafeGuard Management Center bereits installiert sein, siehe SafeGuard Management Center installieren auf Seite 30. über ein SQL Skript, das auf der Produkt-CD zur Verfügung steht. Dieser Vorgang wird häufig bevorzugt, wenn erweiterte SQL-Berechtigungen während der SafeGuard Management Konfiguration nicht erwünscht sind, siehe SafeGuard Enterprise Datenbank einrichten auf Seite 18. 8.2.2 Replikationsdatenbanken in Graz und Linz erzeugen Nach dem Einrichten der Master-Datenbank können Sie die Replikationsdatenbanken erzeugen. Im Beispiel haben die Replikationsdatenbanken die Bezeichnungen Graz und Linz. Hinweis: Datentabellen und EVENT-Tabellen werden in getrennten Datenbanken gehalten. Ereigniseinträge werden standardmäßig nicht verkettet, so dass die EVENT-Datenbank zur Erhöhung der Performance auf mehrere SQL Server repliziert werden kann. Wenn EVENTTabellen verkettet werden, können während der Replikation ihrer Datensätze Probleme auftreten. So erzeugen Sie die Replikationsdatenbanken: 1. Wenn Sie verteilte Datenbanken verwenden, müssen Sie zunächst eine Veröffentlichung für die Master-Datenbank über die Managementkonsole des SQL Servers erstellen. 2. Wählen Sie alle Tabellen, Ansichten und gespeicherten Prozeduren für die Synchronisierung in dieser Veröffentlichung aus. 3. Erstellen Sie die Replikationsdatenbanken, indem Sie ein Abonnement für Graz und ein Abonnement für Linz erzeugen. Die neuen Datenbanken Graz und Linz erscheinen daraufhin in den Abonnements im SQL Konfigurationsassistenten. 4. Schließen Sie den SQL Konfigurationsassistenten. Die Replikationsüberwachung zeigt, ob der Replikationsmechanismus korrekt läuft. 66 SafeGuard® Enterprise 5.50, Installation 5. Stellen Sie sicher, dass Sie den korrekten Datenbanknamen in der ersten Zeile des SQL Skripts eingeben. Verwenden Sie zum Beispiel Graz oder Linz . 6. Erzeugen Sie nochmal die Snapshots mit dem Snapshot Agenten. Die Replikationsdatenbanken Graz und Linz wurden angelegt. Fahren Sie nun mit der Installation des SafeGuard Enterprise Servers fort. 8.3 SafeGuard Enterprise Server installieren und konfigurieren Um SafeGuard Enterprise Server auf den Web Servern zu installieren, gehen Sie wie folgt vor. Für detaillierte Informationen zur Installation siehe SafeGuard Enterprise Server einrichten auf Seite 45. 1. Installieren Sie SafeGuard Enterprise Server auf dem Server WS_1. 2. Installieren Sie SafeGuard Enterprise Server auf dem Server WS_2. 3. Registrieren Sie die Server im SafeGuard Management Center über Extras > Konfigurationspakete > Server registrieren > Hinzufügen. 4. Sie werden dazu aufgefordert, die Serverzertifikate ws_1.cer und ws_2.cer hinzuzufügen. Sie finden die Zertifikate im Ordner \Program Files\Sophos\SafeGuard Enterprise\MachCert\ . Die Zertifikate werden benötigt, um die entsprechenden Serverund Client-Konfigurationspakete zu erstellen. Die SafeGuard Enterprise Server sind installiert und registriert. Erstellen Sie nun die Server- und Client-Konfigurationspakete für beide Server. 67 SafeGuard® Enterprise 5.50, Installation 8.3.1 Konfigurationspakete für die Datenbank Graz erzeugen Erstellen Sie das Server- und Client-Konfigurationspaket für die Datenbank Graz. Starten Sie das SafeGuard Management Center und gehen Sie wie folgt vor: 1. Verbinden Sie das SafeGuard Management Center mit der Datenbank Graz: Wählen Sie unter Extras > Optionen die Registerkarte Datenbankverbindung. Wählen Sie hier WS_1 als Databenbankserver und Graz als Datenbank auf Server. 2. Erstellen Sie unter Extras > Konfigurationspakete > Server-Konfigurationspaket erstellen das Server-Konfigurationspaket. 3. Erstellen Sie unter Extras > Konfigurationspakete > Konfigurationspaket (Managed) erstellen das Konfigurationspaket für den SafeGuard Enteprise Client. Stellen Sie sicher, dass Sie den korrekten Server, mit dem die Graz-Clients verbunden werden sollen, auswählen. In unserem Beispiel ist dies der Server WS_1. 8.3.2 Konfigurationspakete für die Datenbank Linz erzeugen Um das Server- und Client-Konfigurationspaket für die Datenbank Linz zu erstellen, starten Sie das SafeGuard Management Center und gehen Sie wie folgt vor: 1. Verbinden Sie das SafeGuard Management Center mit der Datenbank Linz: Wählen Sie unter Extras > Optionen die Registermarke Datenbankverbindung. Wählen Sie hier WS_2 als Databenbankserver und Linz als Datenbank auf Server. 2. Erstellen Sie unter Extras > Konfigurationspakete > Server-Konfigurationspaket erstellen das Server-Konfigurationspaket. 3. Erstellen Sie unter Extras > Konfigurationspakete > Konfigurationspaket (Managed) erstellen das Konfigurationspaket für den SafeGuard Enterprise Client. Stellen Sie sicher, dass Sie den korrekten Server, mit dem die Linz-Clients verbunden werden sollen, auswählen. In unserem Beispiel ist dies der Server WS_2. 4. Wenn Sie die Client- und Server-Konfigurationspakete erstellt haben, verbinden Sie das SafeGuard Management Center wieder mit der Datenbank Wien. 68 SafeGuard® Enterprise 5.50, Installation 8.3.3 Server-Konfigurationspakete installieren So installieren Sie die Server-Konfigurationspakete auf den Web Servern: 1. Installieren Sie das Server-Konfigurationspaket (ws_1.msi) auf Web Service WS_1, der mit der Datenbank Graz kommunizieren soll. 2. Installieren Sie das Server-Konfigurationspaket (ws_2.msi) auf Web Service WS_2, der mit der Datenbank Linz kommunizieren soll. Wenn die Kommunikation zwischen dem SafeGuard Enterprise Server und diesen Datenbanken korrekt läuft, können Sie die SafeGuard Enterprise Clients installieren. 8.4 SafeGuard Enterprise Client installieren und konfigurieren Die Installation der SafeGuard Enterprise Clients entspricht der Client-Installation ohne Replikation. Für detaillierte Informationen siehe Endpoint-Computer zentral einrichten auf Seite 82 oder siehe Endpoint-Computer lokal einrichten auf Seite 98. Um eine korrekte Konfiguration sicherzustellen, stellen Sie nach der Installation der einzelnen SafeGuard Enterprise Clients sicher, dass Sie das richtige Client-Konfigurationspaket installieren. Gehen Sie gemäß dem Beispiel wie folgt vor: 1. Installieren Sie das Client-Konfigurationspaket Graz auf den Clients, die mit dem Graz-Server WS_1 verbunden werden sollen. 2. Installieren Sie das Client-Konfigurationspaket Linz auf den Clients, die mit dem Linz-Server WS_2 verbunden werden sollen. Für Informationen zur Aktualisierung von replizierten SafeGuard Enterprise Datenbanken siehe Replizierte SafeGuard Enterprise Datenbanken aktualisieren auf Seite 113. 69 SafeGuard® Enterprise 5.50, Installation 9 Organisationsstruktur einrichten Es gibt zwei Möglichkeiten, Ihre Organisation in SafeGuard Enterprise abzubilden: durch den manuellen Aufbau der Unternehmensstruktur durch den Import eines Verzeichnisdienstes, z. B. eines Active Directory Sie können entweder nur eine von beiden Möglichkeiten anwenden, oder die beiden Möglichkeiten mischen. Zum Beispiel können Sie ein Active Directory (AD) ganz oder teilweise importieren und weitere Organisationseinheiten (OU) manuell anlegen. Beachten Sie dabei, dass die manuell angelegten Organisationseinheiten nicht im AD abgebildet werden. Wenn Organisationseinheiten, die Sie in SafeGuard Enterprise angelegt haben, auch im AD abgebildet werden sollen, müssen Sie diese im AD nachtragen. 70 SafeGuard® Enterprise 5.50, Installation 9.1 Organisationsstruktur manuell aufbauen Wenn Sie keine Organisationsstruktur aus einem Active Directory importieren wollen oder können, können Sie Ihre Organisationsstruktur auch manuell aufzubauen. Erstellen Sie dazu neue Domänen/Arbeitsgruppen, unter denen sich die Benutzer/Computer anmelden können. Um eine neue Domäne einzurichten, gehen Sie folgendermaßen vor: Sie befinden sich im SafeGuard Management Center unter Benutzer & Computer. 1. Markieren Sie im Bereich Benutzer & Computer links im Navigationsfenster Stamm. 2. Wählen Sie im Kontextmenü Neu > Neue Domäne erzeugen (autom. Registrierung). 3. Unter Allgemeine Informationen machen Sie folgende Angaben zum Domänen-Controller. Alle drei Namenseingaben müssen korrekt sein, sonst wird die Domäne nicht synchronisiert: a) Vollständiger Name: z. B. rechnername.domäne.com oder die IP-Adresse des DomänenControllers b) Distinguished Name: DNS-Name, z. B. DC=rechnername3,DC=Domäne,DC=Land c) Beschreibung der Domäne (optional) d) Domäne NetBIOS: Name des Domänen-Controllers e) Unter Verbindungsstatus wird der Typ des Objekts angezeigt, in diesem Fall Domäne . f) Aktivieren Sie Richtlinienvererbung stoppen, wenn gewünscht. 4. Bestätigen Sie die Angaben mit OK. Um eine neue Arbeitsgruppe zu erzeugen, gehen Sie folgendermaßen vor: Sie befinden sich im SafeGuard Management Center unter Benutzer & Computer. 1. Markieren Sie im Bereich Benutzer & Computer links im Navigationsfenster Stamm. 2. Wählen Sie im Kontextmenü Neu > Neue Arbeitsgruppe erzeugen (autom. Registrierung). 3. Unter Allgemeine Informationen machen Sie folgende Angaben: a) Vollst. Name: Geben Sie einen Namen für die Arbeitsgruppe ein. b) Sie können optional eine Beschreibung der Arbeitsgruppe einfügen. c) Unter Verbindungsstatus wird der Typ des Objekts angezeigt, in diesem Fall Arbeitsgruppe . d) Aktivieren Sie Richtlinienvererbung stoppen, wenn gewünscht. 71 SafeGuard® Enterprise 5.50, Installation 4. Bestätigen Sie die Angaben mit OK. Die Domäne/Arbeitsgruppe ist nun neu angelegt. Benutzer/Computer dieser Domäne werden bei der Anmeldung automatisch dieser Domäne/Arbeitsgruppe zugeordnet. Verfahren Sie weiter entsprechend, bis Ihre Organisationsstruktur aufgebaut ist. 72 SafeGuard® Enterprise 5.50, Installation 9.2 Organisationsstruktur importieren Sie haben optional die Möglichkeit, eine bestehende Organisationsstruktur z. B. über ein Active Directory in die SafeGuard Enterprise Datenbank zu importieren. 1. Starten Sie das SafeGuard Management Center. 2. Wählen Sie Extras > Optionen > Verzeichnisanmeldung und klicken Sie auf Hinzufügen. a) Es erscheint LDAP Authentisierung. b) Bei Servername oder IP geben Sie den NetBIOS-Namen des Domänen-Controllers oder dessen IP-Adresse ein. c) Bei Benutzername und Kennwort geben Sie Ihre Windows-Anmeldeinformationen ein. 73 SafeGuard® Enterprise 5.50, Installation Hinweis: Windows Einzelplatzcomputer: Auf dem PC muss ein Verzeichnis freigegeben sein, damit eine Verbindung via LDAP möglich wird. Wenn Sie Benutzer und ihre Gruppenzugehörigkeit synchronisieren, wird die Zugehörigkeit zu einer “Primärgruppe“ nicht synchronisiert, da sie für die Gruppe nicht sichtbar ist. 3. Bestätigen Sie mit OK. 4. Klicken Sie auf Benutzer & Computer. 5. Klicken Sie im linken Navigationsfenster auf das Stammverzeichnis Stamm [Filter ist aktiv]. 6. Wählen Sie die Registerkarte Synchronisation. 7. Wählen Sie aus dem Verzeichnis DSN das gewünschte Verzeichnis aus. Klicken Sie auf das Lupen-Symbol rechts oben. Es erscheint eine Abbildung der Active Directory-Struktur der Organisationseinheiten (OU) in Ihrem Unternehmen. 8. Es muss nicht der gesamte Inhalt des Active Directory importiert werden. Markieren Sie die Organisationseinheit (OU), die synchronisiert werden sollen. 9. Klicken Sie auf die Synchronisieren. 10.Bestätigen Sie die Synchronisierung mit OK. Die Synchronisierung von SafeGuard Management Center und Active Directory ist abgeschlossen. Die importierten Objekte werden im Bereich Benutzer & Computer angezeigt. Die Fortschrittsanzeige links unten in der Statusleiste zeigt ein Synchronisierungsprotokoll an. Wenn Sie auf diese Anzeige klicken, können Sie das Synchronisierungsprotokoll kopieren und zum Beispiel in eine E-Mail oder eine Datei kopieren, um Ihre Benutzer über die Ergebnisse der Synchronisierung zu informieren. 74 SafeGuard® Enterprise 5.50, Installation 10 SafeGuard Konfigurationen für Endpoint-Computer Endpoint-Computer können folgendermaßen konfiguriert werden: als SafeGuard Enterprise Clients (managed) bei zentraler, serverbasierter Verwaltung im SafeGuard Management Center. Für SafeGuard Enterprise Clients (managed) besteht generell eine Verbindung zum SafeGuard Enterprise Server. Sie erhalten ihre Richtlinien über den SafeGuard Enterprise Server. Die Verbindung kann temporär unterbrochen sein, z. B. während einer Geschäftsreise. Trotzdem ist der Endpoint-Computer auch in dieser Situation als SafeGuard Enterprise Client definiert. als Sophos SafeGuard Clients (standalone) bei lokaler Verwaltung im SafeGuard Management Center . Für Sophos SafeGuard Clients (standalone) besteht zu keiner Zeit eine Verbindung zum SafeGuard Enterprise Server. Sie erhalten ihre Richtlinien daher in Form von Konfigurationspaketen über unternehmenseigene Verteilungsmechanismen. Hinweis: Überprüfen Sie Ihr Netzwerk und Ihre Computer auf veraltete oder nicht mehr benutzte Client-Konfigurationspakete und löschen Sie diese aus Sicherheitsgründen. 75 SafeGuard® Enterprise 5.50, Installation 10.1 Einschränkungen AHCI Wenn auf dem Computer Intel Advanced Host Controller Interface (AHCI) benutzt wird, so muss sich die Boot-Festplatte in Slot 0 oder Slot 1 befinden. Sie können bis zu 32 Festplatten einlegen. SafeGuard Enterprise läuft nur auf den ersten beiden Slot-Nummern. Dynamic und GPT Platten Dynamic- und GPT-Platten werden nicht unterstützt. Die Installation bricht in diesem Fall ab. Wenn diese Platten nachträglich im System auftauchen, werden sie nicht unterstützt. SCSI-Festplatten Systeme mit Festplatten, die über einen SCSI Bus angeschlossen sind, werden vom SafeGuard Enterprise Device Encryption Client nicht unterstützt. Einschränkungen für die initiale Verschlüsselung von SafeGuard Enterprise Clients (Managed) Im Rahmen der initialen Konfiguration von SafeGuard Enterprise Clients (Managed) können Verschlüsselungsrichtlinien erstellt werden, die in einem Konfigurationspaket an die SafeGuard Enterprise Clients verteilt werden können. Wenn der SafeGuard Enterprise Client jedoch nicht direkt nach der Installation des Konfigurationspakets eine Verbindung mit dem SafeGuard Enterprise Server herstellt, sondern vorübergehend offline ist, werden nur Verschlüsselungsrichtlinien mit den folgenden spezifischen Einstellungen sofort auf dem Enterprise Client wirksam: Geräteschutz vom Typ volume-basierend unter Anwendung des definierten Computerschlüssels als Verschlüsselungsschlüssel. Damit alle anderen Richtlinien, die Verschlüsselung mit benutzerdefinierten Schlüsseln umfassen, auf dem Enterprise Client aktiv werden, muss das entsprechende Konfigurationspaket auch noch einmal der OU des Enterprise Clients zugewiesen werden. Die benutzerdefinierten Schlüssel werden dann erst erstellt, wenn der Enterprise Client wieder eine Verbindung zum SafeGuard Enterprise Server hergestellt hat. Ursache hierfür ist, dass der definierte Computerschlüssel direkt auf dem SafeGuard Enterprise Client beim ersten Neustart nach der Installation erstellt wird. Benutzerdefinierte Schlüssel hingegen können nur auf dem SafeGuard Enterprise Client erstellt werden, wenn er beim SafeGuard Enterprise Server registriert wurde. 76 SafeGuard® Enterprise 5.50, Installation Einschränkungen für Sophos SafeGuard Clients (standalone) Die folgende Features werden für den SafeGuard Standalone Client nicht unterstützt: SafeGuard BitLocker-Unterstützung Configuration Protection Einschränkungen für die BitLocker-Unterstützung Das folgende Installationspaket steht für SafeGuard Enterprise Clients mit BitLocker Unterstützung nicht zur Verfügung: SGNClient_withoutDE.msi/SGNClient_withoutDE_x64.msi Achtung: Bei Windows Vista/Windows 7 kann entweder die volume-basierende Verschlüsselung von SafeGuard Enterprise oder von BitLocker benutzt werden. Die gleichzeitige Benutzung beider Verschlüsselungsmethoden ist nicht möglich. Wenn Sie den Verschlüsselungstyp ändern möchten, müssen Sie zuerst alle Partitionen entsschlüsseln, das SafeGuard Enterprise ClientPaket deinstallieren und dann mit den gewünschten Features neu installieren. 77 SafeGuard® Enterprise 5.50, Installation 10.2 SafeGuard Enterprise Clients (managed) SafeGuard Enterprise Clients (mamaged) werden zentral im SafeGuard Management Center verwaltet. Für SafeGuard Enterprise Clients besteht generell eine Verbindung zum SafeGuard Enterprise Server. Die Verbindung kann temporär unterbrochen sein, z. B. während einer Geschäftsreise. Trotzdem ist der Endpoint-Computer auch in dieser Situation als SafeGuard Enterprise Client definiert. Das Enterprise Client-Konfigurationspaket wird im SafeGuard Management Center erzeugt. 78 SafeGuard® Enterprise 5.50, Installation 10.2.1Installationspakete für SafeGuard Enterprise Clients (managed) Hinweis: Wenn das Betriebssystem des Endpoint-Computers Windows 7 64-Bit oder Windows Vista 64-Bit ist, können Sie die 64-Bit-Variante der “Client” .msi-Pakete installieren <Paketname>_x64.msi). Das 64-Bit-Paket des SafeGuard Configuration Protection Client ist verfügbar für Windows 7 64-Bit. Die folgende Tabelle zeigt die zur Verfügung stehenden Installationspakete für den Enterprise Client und erklärt, wie das Konfigurationspaket erstellt wird: Paket Beschreibung SGxClientPreinstall.msi Muss vor der Verschlüsselungssoftware auf den Endpoint-Computern installiert werden (obligatorisch). Stattet Endpoint-Computer mit notwendigen Voraussetzungen für eine erfolgreiche Installation der Verschlüsselungssoftware aus. SGNClient.msi SGNClient_x64.msi Für SafeGuard Enterprise Clients und für Enterprise Clients mit BitLocker-Unterstützung. SafeGuard Enterprise Device Encryption: Volume-basierende Verschlüsselung mit Power-on Authentication. SafeGuard Data Exchange SafeGuard Data Exchange sorgt für die sichere Verschlüsselung von Wechselmedien auf allen Plattformen ohne erneute Verschlüsselung. Dateibasierende Verschlüsselung SGNClient_withoutDE.msi Für SafeGuard Enterprise Clients mit BitLockerSGNClient_withoutDE_x64.msi Unterstützung steht dieses Paket nicht zur Verfügung. SafeGuard Data Exchange SafeGuard Data Exchange sorgt für die sichere Verschlüsselung von Wechselmedien auf allen Plattformen ohne erneute Verschlüsselung. Dateibasierende Verschlüsselung ohne Power-on Authentication SGN_CP_Client.msi SGN_CP_Client_x64.msi (verfügbar für Windows 7 64-Bit) 79 Die 64-Bit-Variante dieses Pakets ist verfügbar für Window 7 64-Bit Betriebssysteme. Für SafeGuard Enterprise Clients und für Enterprise Clients mit BitLocker-Unterstützung. Configuration Protection Schnittstellenschutz und Management von Peripheriegeräten SafeGuard® Enterprise 5.50, Installation Paket Beschreibung SGNClientRuntime.msi SGNClientRuntime_x64.msi Runtime Client, der das Booten von einem sekundären Boot-Laufwerk ermöglicht, wenn mehrere Betriebssysteme installiert sind und der den Zugriff auf diese Laufwerke erlaubt, wenn diese durch die primäre SafeGuard Enterprise Installation. verschlüsselt sind Dieses Installationspaket steht sowohl für SafeGuard Enterprise Clients als auch für SafeGuard Standalone Clients zur Verfügung. Enterprise ClientKonfigurationspaket Erzeugt im SafeGuard Management Center 10.3 Sophos SafeGuard Standalone Clients Der Standalone Client ist eine Variante der SafeGuard Enterprise Client-Komponente. Für ihn besteht nie eine Verbindung zum SafeGuard Enterprise Server. Damit fehlt die Verbindung zur zentralen Verwaltung, der Client wird also im Standalone-Modus betrieben. Der zentrale Unterschied zum SafeGuard Enterprise Client ist, dass ein Standalone Client SafeGuard Enterprise-Richtlinien ausschließlich über ein Konfigurationspaket und nie über eine Verbindung zum SafeGuard Enterprise Server erhält. Standalone Clients werden lokal verwaltet. Richtliniengruppen und Konfigurationspakete für diese Clients im SafeGuard Management Center erstellt. Die Verteilung der Konfigurationspakete kann über firmeneigene Software-Verteilungsmechanismen erfolgen, oder das Konfigurationspaket wird manuell auf den Endpoint-Computern installiert. 10.3.1Einschränkungen Die folgenden Module stehen für SafeGuard Standalone Clients nicht zur Verfügung: Configuration Protection BitLocker-Unterstützung 80 SafeGuard® Enterprise 5.50, Installation 10.3.2 Installationspakete für Sophos SafeGuard Clients (standalone) Hinweis: Für die Client-Installationspakete sind 64-Bit-Varianten für Windows 7 64-Bit und Windows Vista 64-Bit verfügbar (<Paketname>_x64.msi). Wenn das Betriebssystem des Endpoint-Computers Windows 7 64-Bit oder Windows Vista 64-Bit ist, können Sie die 64-BitVariante der “Client” .msi-Pakete installieren. Die folgende Tabelle zeigt die zur Verfügung stehenden Installationspakete für das StandaloneSzenario und erklärt, wie das Konfigurationspaket erstellt wird: 81 Package Description SGxClientPreinstall.msi Muss vor der Verschlüsselungssoftware auf den Endpoint-Computern installiert werden (obligatorisch). Stattet Endpoint-Computer mit notwendigen Voraussetzungen für eine erfolgreiche Installation der Verschlüsselungssoftware aus. SGNClient.msi SGNClient_x64.msi SafeGuard Enterprise Device Encryption Volume-basierende Verschlüsselung mit Power-on Authentication. SafeGuard Data Exchange SafeGuard Data Exchange sorgt für die sichere Verschlüsselung von Wechselmedien auf allen Plattformen ohne erneute Verschlüsselung. Dateibasierende Verschlüsselung SGNClient_withoutDE.msi SGNClient_withoutDE_x64.msi SafeGuard Data Exchange SafeGuard Data Exchange sorgt für die sichere Verschlüsselung von Wechselmedien auf allen Plattformen ohne erneute Verschlüsselung. Dateibasierende Verschlüsselung ohne Power-on Authentication SGNClientRuntime.msi SGNClientRuntime_x64.msi Runtime Client, der das Booten von einem sekundären Boot-Laufwerk ermöglicht, wenn mehrere Betriebssysteme installiert sind und der den Zugriff auf diese Laufwerke erlaubt, wenn diese durch die primäre SafeGuard Enterprise Installation. verschlüsselt sind Dieses Installationspaket steht sowohl für SafeGuard Enterprise Clients als auch für SafeGuard Standalone Clients zur Verfügung. Standalone Client Configuration Package Erzeugt im SafeGuard Management Center. SafeGuard® Enterprise 5.50, Installation 11 Endpoint-Computer zentral einrichten Dieses Kapitel beschreibt, wie Sie die Endpoint-Computer für SafeGuard Enterprise zentral für mehrere Computer einrichten. Die Installation und Konfiguration wird sowohl für SafeGuard Enterprise Clients (managed) als auch für Sophos SafeGuard Clients (standalone) beschrieben. Die erforderlichen Arbeitsschritte werden auch für Benutzer-PCs mit Windows BitLocker beschrieben. SafeGuard Enterprise Sicherheitsbeauftragte können die gesamte Installation und Konfiguration von Endpoint-Computern als Teil einer zentralen Softwareverteilung einrichten. Damit ist eine einheitliche Installation an mehreren Endpoint-Computern gewährleistet. Achtung: Die Installations- und Konfigurationspakete dürfen im Rahmen einer zentralen Softwareverteilung nur einem Computer zugewiesen werden, nicht aber einem Benutzer. Das Verhalten des Endpoint-Computers bei der ersten Anmeldung nach der Installation ist in der SafeGuard Enterprise Benutzerhilfe beschrieben. 11.1 Allgemeine Voraussetzungen Folgende Voraussetzungen müssen erfüllt sein: Sie benötigen Windows Administratorrechte. Auf den Endpoint-Computern muss ein Benutzerkonto eingerichtet und aktiv sein. Erstellen Sie ein komplettes Backup der Daten auf den Endpoint-Computern. Folgende Voraussetzung gilt nur für SafeGuard Enterprise Clients: Kontrollieren Sie, ob eine Verbindung zum SafeGuard Enterprise Server besteht. Rufen Sie auf den Endpoint-Computern im Internet Explorer folgende Web-Adresse auf: http://<ServerIPAdresse>/sgnsrv Wenn die „Trans“-Seite mit dem Eintrag Check Connection erscheint, ist die Verbindung zum SafeGuard Enterprise Server hergestellt. 82 SafeGuard® Enterprise 5.50, Installation 11.2 Voraussetzungen für BitLocker-Unterstützung Wenn Sie mit SafeGuard Enterprise BitLocker Endpoint-Computer verwalten möchten, sind folgende vorbereitende Maßnahmen auf dem Endpoint-Computer zu treffen. Auf dem Endpoint-Computer muss Windows 7 oder Windows Vista Enterprise oder Ultimate installiert sein. Es muss eine zweite Partition für das BitLocker System-Volume mit einer NTFS-formatierte Klartextpartition mit mindestens 1.5 GB vorhanden sein. Microsoft bietet ein BitLocker Partitionierungs-Tool. BitLocker muss installiert und aktiviert sein. Wenn TPM für die Authentisierung verwendet werden soll, muss TPM initialisiert, im Besitz und aktiviert sein. Wenn Sie die volume-basierende Verschlüsselung von SafeGuard Enterprise installieren möchten, stellen Sie sicher, dass noch kein Volume mit BitLocker verschlüsselt ist. Andernfalls kann es zu einer Beschädigung des Systems kommen. Wenn Sie weitere Informationen benötigen, wenden Sie sich an den Microsoft Support. Darüber hinaus finden Sie weitere Informationen auf den folgenden beiden Websites: Informationen zu vorbereitenden Maßnahmen sowie zur Aktivierung von BitLocker: http://technet2.microsoft.com/WindowsVista/en/library/c61f2a12-8ae6-4957-b03197b4d762cf311033.mspx?mfr=true BitLocker FAQ: http://technet2.microsoft.com/WindowsVista/en/library/58358421-a7f5-4c97-ab412bcc61a58a701033.mspx?mfr=true 83 SafeGuard® Enterprise 5.50, Installation 11.3 Einschränkungen AHCI Wenn auf dem Computer Intel Advanced Host Controller Interface (AHCI) benutzt wird, so muss sich die Boot-Festplatte in Slot 0 oder Slot 1 befinden. Sie können bis zu 32 Festplatten einlegen. SafeGuard Enterprise läuft nur auf den ersten beiden Slot-Nummern. Dynamic und GPT Platten Dynamic- und GPT-Platten werden nicht unterstützt. Die Installation bricht in diesem Fall ab. Wenn diese Platten nachträglich im System auftauchen, werden sie nicht unterstützt. SCSI-Festplatten Systeme mit Festplatten, die über einen SCSI Bus angeschlossen sind, werden vom SafeGuard Enterprise Device Encryption Client nicht unterstützt. Einschränkungen für die initiale Verschlüsselung von SafeGuard Enterprise Clients (managed) Im Rahmen der initialen Konfiguration von SafeGuard Enterprise Clients können Verschlüsselungsrichtlinien erstellt werden, die in einem Konfigurationspaket an die SafeGuard Enterprise Clients verteilt werden können. Wenn der SafeGuard Enterprise Client jedoch nicht direkt nach der Installation des Konfigurationspakets eine Verbindung mit dem SafeGuard Enterprise Server herstellt, sondern vorübergehend offline ist, werden nur Verschlüsselungsrichtlinien mit den folgenden spezifischen Einstellungen sofort auf dem Enterprise Client wirksam: Geräteschutz vom Typ volume-basierend unter Anwendung des definierten Computerschlüssels als Verschlüsselungsschlüssel. Damit alle anderen Richtlinien, die Verschlüsselung mit benutzerdefinierten Schlüsseln umfassen, auf dem Enterprise Client aktiv werden, muss das entsprechende Konfigurationspaket auch noch einmal der OU des Enterprise Clients zugewiesen werden. Die benutzerdefinierten Schlüssel werden dann erst erstellt, wenn der Enterprise Client wieder eine Verbindung zum SafeGuard Enterprise Server hergestellt hat. Ursache hierfür ist, dass der definierte Computerschlüssel direkt auf dem SafeGuard Enterprise Client bei ersten Neustart nach der Installation erstellt wird. Benutzerdefinierte Schlüssel hingegen können nur auf dem SafeGuard Enterprise Client erstellt werden, wenn er beim SafeGuard Enterprise Server registriert wurde. 84 SafeGuard® Enterprise 5.50, Installation Einschränkungen für Sophos SafeGuard Clients (standalone) Die folgende Features werden für SafeGuard Standalone Clients nicht unterstützt: SafeGuard BitLocker-Unterstützung Configuration Protection Einschränkungen für die BitLocker-Unterstützung Das folgende Installationspaket steht für SafeGuard Enterprise Clients mit BitLocker Unterstützung nicht zur Verfügung: SGNClient_withoutDE.msi/SGNClient_withoutDE_x64.msi 11.4 Service accounts für die Durchführung von Aufgaben nach der Installation Um zu verhindern, dass administrative Vorgänge auf einem durch SafeGuard Enterprise geschützten Computer bewirken, dass die Power-on Authentication aktiviert wird und RolloutBeauftragte als Benutzer zum Computer hinzugefügt werden, ermöglicht SafeGuard Enterprise das Anlegen von Listen mit Service Accounts für Endpoint-Computer. Die in den Listen enthaltenen Benutzer werden dadurch als SafeGuard Enterprise Gastbenutzer behandelt Mit Service Accounts ergibt sich folgendes Szenario: SafeGuard Enterprise wird auf einem Endpoint-Computer installiert. Der Computer wird neu gestartet und ein Rollout-Beauftragter, der in einer Service Account Liste aufgeführt ist, meldet sich an. Gemäß der auf den Computer angewendeten Service Account Liste wird der Benutzer als Service Account erkannt und als Gastbenutzer behandelt. Der Rollout-Beauftragte wird nicht zur POA hinzugefügt und die POA wird nicht aktiviert. Der Endbenutzer kann sich anmelden und die POA aktivieren. Note: Service Account Lists sollten bereits im ersten SafeGuard Enterprise Konfigurationspaket, das Sie für die Konfiguration der Endpoint-Computer erstellen, enthalten sein. Sie können Service Account Listen aktualisieren, indem Sie ein neues Konfigurationspaket erstellen und an die Endpoint-Computer verteilen. 85 SafeGuard® Enterprise 5.50, Installation 11.5 Notwendige Schritte für die zentrale Installation Als Sicherheitsbeauftragter erstellen Sie ein Installationspaket, das folgendes enthält: Vorbereitendes Sophos SafeGuard Installationspaket Verwenden Sie SGxClientPreinstall.msi. Das Paket stattet die Endpoint-Computer mit notwendigen Voraussetzungen für eine erfolgreiche Installation der Verschlüsselungssoftware aus, z. B. mit der erforderlichen DLL MSVCR80.dll, Version 8.0.50727.4053. Hinweis: Wenn dieses Paket nicht installiert ist, wird die Installation der Verschlüsselungssoftware abgebrochen. SafeGuard Enterprise Verschlüsselungssoftware-Installationspaket. Die „Client“-Installationspakete finden Sie auf der Produkt-CD. Die Client-Installationspakete gelten für Enterprise Clients und Standalone Clients gleichermaßen. Für Standalone Clients kann jedoch das Modul Configuration Protection nicht installiert werden. Hinweis: Wenn das Betriebssystem des Endpoint-Computers Windows 7 64-Bit oder Windows Vista 64-Bit ist, können Sie die 64-Bit-Variante der “Client” .msi-Pakete installieren <Paketname>_x64.msi). Das 64-Bit-Paket des SafeGuard Configuration Protection Client ist verfügbar für Windows 7 64-Bit. Konfigurationspaket für Endpoint-Computer Das Konfigurationspaket für Endpoint-Computer müssen Sie vorab erzeugen. Für Enterprise Client und Standalone Client müssen unterschiedliche Konfigurationspakete erstellt werden. Um ein neues Konfigurationspaket zu installieren, deinstallieren Sie zunächst ein veraltetes ClientConfig.msi (falls vorhanden), bevor Sie ein neues SGN Client Config.msi auf dem Endpoint-Computer installieren. Skript mit Kommandos für die automatische Installation Das entsprechende Installations- und Konfigurationspaket müssen Sie in der angegebenen Reihenfolge an die Endpoint-Computer verteilen. Sie können dazu das Windows Installer Kommando msiexec verwenden. Die Pakete werden an den Endpoint-Computern ausgeführt. Danach sind die Endpoint-Computer für den Einsatz von SafeGuard Enterprise bereit. Das Verhalten der Endpoint-Computer bei der ersten Anmeldung nach der Installation von SafeGuard Enterprise ist in der Benutzerhilfe beschrieben. 86 SafeGuard® Enterprise 5.50, Installation 11.6 Endpoint-Computer konfigurieren Je nach erforderlicher Konfiguration erstellen Sie spezifische Konfigurationspakete für die Endpoint-Computer im SafeGuard Management Center. 11.6.1Konfigurationspaket für SafeGuard Enterprise Client (managed) erstellen Für eine erfolgreiche Inbetriebnahme von SafeGuard Enterprise müssen Sie ein Konfigurationspaket für die SafeGuard Enterprise Clients erstellen. Das Paket wird mit der SafeGuard Management Center FunktionKonfigurationspakete erstellt. 1. Starten Sie das Management Center und wählen Sie Extras > Konfigurationspakete. 2. Wählen Sie Konfigurationspaket (managed) erstellen. a) Klicken Sie auf Konfiugrationspaket hinzufügen, um das Enterprise ClientKonfigurationspaket (managed)zu erzeugen. b) Geben Sie einen beliebigen Namen für diese Pakt an (MSI). c) Ordnen Sie einen primären Server zu (der sekundäre Server ist nicht zwingend notwendig). d) Geben Sie ggf. eine zuvor im Management Center erstellte Richtlinie an, die für die Endpoint-Computer gelten soll, siehe Einschränkungen für die initiale Verschlüsselung von SafeGuard Enterprise Clients (Managed) auf Seite 76. Wenn Sie Service Accounts für die Durchführung von Aufgaben auf dem Computer nach der Installation verwenden möchten, nehmen Sie die relevante Einstellung in diese erste Richtliniengruppe mit auf, siehe Service accounts für die Durchführung von Aufgaben nach der Installation auf Seite 85. e) Wählen Sie den Modus für die Transportverschlüsselung, der bestimmt, wie die Verbindung zwischen SafeGuard Enterprise Client and SafeGuard Enterprise Server verschlüsselt wird: SafeGuard Verschlüsselung SSL Verschlüsselung Der Vorteil bei SSL ist, dass ein Standardprotokoll ist und eine schnellere Verbindung aufgebaut werden kann als mit der SafeGuard Transportverschlüsselung. 87 SafeGuard® Enterprise 5.50, Installation Hinweis: Beachten Sie, dass bei der Auswahl von SSL als Transportverschlüsselung der IIS Server vorab dafür eingerichtet werden muss: Certificate Authority muss auf dem Server installiert sein, um die bei der SSL-Verschlüsselung verwendeten Zertifikate auszustellen. Ein Zertifikat muss ausgestellt werden und der IIS Server so konfiguriert werden, dass er SSL verwendet und auf das Zertifikat zeigt. Der Servername, den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben, muss identisch sein mit dem Servernamen, den Sie vorab im SSL-Zertifikat angegeben haben. Sonst können Client und Server nicht miteinander kommunizieren. Für jeden SafeGuard Enterprise Server wird ein separates SSL-Zertifikat benötigt. Wenn Sie Network Load Balancer einsetzen, vergewissern Sie sich, dass der Portbereich den SSL-Port mit einschließt. Weitere Informationen siehe Transportverbindungen sichern mit SSL auf Seite 12. f) Legen Sie den Ausgabepfad fest und klicken Sie auf Konfigurationspaket erstellen. Die Datei SGNClientConfig.msi wird im angegebenen Verzeichnis erzeugt. Das Konfigurationspaket für den SafeGuard Enterprise Client (managed) ist nun erstellt. Dieses Paket muss auf dem Endpoint-Computer ausgeführt werden. 11.6.2Konfigurationspake für Sophos SafeGuard Client (standalone) erstellen Für eine erfolgreiche Inbetriebnahme müssen Sie ein Konfigurationspaket für die SafeGuard Standalone Clients erstellen und an die Endpoint-Computer verteilen. Sie erstellen ein Konfigurationspaket im SafeGuard Management Center. Um ein SafeGuard Standalone Client-Konfigurationspaket zu erzeugen, gehen Sie folgendermaßen vor: 1. Wählen Sie im SafeGuard Management Center Extras > Konfigurationspakete. 2. Wählen Sie Konfigurationspaket (managed) erstellen für eine SafeGuard Standalone ClientKonfiguration. a) Klicken Sie auf Konfigurationspaket hinzufügen. b) Geben Sie einen beliebigen Namen für dieses Paket (MSI) an. 88 SafeGuard® Enterprise 5.50, Installation c) Geben Sie eine zuvor im SafeGuard Management Center erstellte Richtliniengruppe, die für die Standalone Clients gelten soll, an. Im Gegensatz zu den Enterprise Clients können den Standalone Clients keine einzelnen Richtlinien, sondern nur Richtliniengruppen zugewiesen werden. Wenn Sie Service Accounts für die Durchführung von Aufgaben auf dem Computer nach der Installation verwenden möchten, nehmen Sie die relevante Einstellung in diese erste Richtliniengruppe mit auf, siehe Service accounts für die Durchführung von Aufgaben nach der Installation auf Seite 85. d) Damit auch für Standalone Clients ein Recovery möglich ist, müssen die notwendigen Daten für den Helpdesk verfügbar sein. Für Standalone Clients werden diese Daten in einer spezifischen Recovery-Datei (.xml-Datei) gespeichert. Bei der Konfiguration des Standalone Clients wird diese Datei angelegt. Sie enthält den definierten Computerschlüssel, den Kernel-Schlüssel, einen Sitzungsschlüssel und eine Kopie des MBR. e) Geben Sie unter Speicherort für Schlüssel-Sicherungskopie ein freigegebenes Netzwerkverzeichnis an, in dem die Backup-Datei (.xml-Datei) gespeichert werden soll, damit Sie dem Helpdesk im Notfall zur Verfügung steht. Ein freigegebenes Netzwerkverzeichnis geben Sie in der folgenden Form an: \\networkcomputer\ , e.g. “\\mycompany.edu\ “. Wenn Sie hier keinen Pfad angeben, wird der Benutzer beim ersten Anmelden am Endpoint-Computer gefragt, wo die Schlüsseldatei gespeichert werden soll. Hinweis: Speichern Sie die .xml-Datei an einem Ort, an dem der Helpdesk Zugriff auf die Dateien hat, z. B. in einem freigegebenen Netzwerkverzeichnis. Die Dateien können dem Helpdesk auch durch andere Mechanismen zugänglich gemacht werden. Diese Recovery-Schlüsseldatei (.xml-Datei) ist mit dem Unternehmenszertifikat gesichert. Sie kann deshalb unbedenklich auf einem beliebigen externen Medium oder im Netzwerk gespeichert und so dem Helpdesk zugänglich gemacht werden. Auch das Versenden der Dateien via E-Mail ist möglich. f) Unter POA-Gruppe können Sie eine POA Access Account Gruppe auswählen, die dem Endpoint-Computer zugeordnet wird. POA Access Accounts bieten Zugang für administrative Aufgaben auf dem Endpoint-Computer nachdem die Power-on Authentication aktiviert wurde. Um POA Access Accounts zuzuweisen, müssen Sie die POA-Gruppe zunächst im Bereich Benutzer des SafeGuard Management Center anlegen. Weitere Informationen hierzu finden Sie in der Administrator-Hilfe. g) Legen Sie den Ausgabepfad für das Konfigurationspaket (.msi-Datei) fest. h) Klicken Sie auf Konfigurationspaket erstellen. 89 SafeGuard® Enterprise 5.50, Installation Das Standalone Client-Konfigurationspaket für den SafeGuard Standalone Client ist nun im angegebenen Verzeichnis erstellt. Es muss nun an die Endpoint Computer (standalone) verteilt und dort ausgeführt werden. 11.7 Kommando für zentrale Installation Verwenden Sie zur zentralen Installation von SafeGuard Enterprise Client auf den EndpointComputern die Windows Installer Komponente „msiexec“. „Msiexec“ ist in Windows XP, Vista und Windows 7 bereits integriert und führt eine vorgefertigte SafeGuard Enterprise ClientInstallation automatisch aus. Da auch die Quelle und das Ziel für die Installation angegeben werden können, besteht die Möglichkeit zur einheitlichen Installation an mehreren EndpointComputern. Kommandozeilensyntax msiexec /i <Pfad+msi Paketname> /qn ADDLOCAL=ALL | <SGN Features> <SGN Parameter> Die Kommandozeilensyntax setzt sich folgendermaßen zusammen: Windows Installer Parameter, die z. B. Warnungen und Fehlermeldungen während der Installation in eine Datei protokollieren. SafeGuard Enterprise Features, die installiert werden sollen, z. B. SafeGuard Data Exchange mit dateibasierender Verschlüsselung. SafeGuard Enterprise Parameter, z. B. zur Spezifikation des Installationsverzeichnisses. 90 SafeGuard® Enterprise 5.50, Installation 11.7.1Kommandooptionen Alle verfügbaren Optionen können Sie über msiexec.exe in der Eingabeaufforderung abrufen. Im Folgenden sind wichtige Optionen beschrieben. Option Beschreibung /i Gibt an, dass es sich um eine Installation handelt. /qn Installiert ohne Benutzerinteraktion und zeigt keine Benutzeroberfläche an. ADDLOCAL= Listet die Features auf, die installiert werden. Wird die Option nicht angegeben, werden alle Features installiert, die für eine Standardinstallation vorgesehen sind. Die einzelnen unter ADDLOCAL aufzulistenden Features werden nur durch ein Komma und kein zusätzliches Leerzeichen getrennt. Achten Sie außerdem auf die Groß-/ Kleinschreibung. Wenn Sie ein Feature auswählen, müssen Sie auch alle übergeordneten Features (Feature Parents) zur Kommandozeile hinzufügen! ADDLOCAL=ALL Installiert alle verfügbaren Features. REBOOT=Force | ReallySuppress Erzwingt oder unterdrückt Neustart nach Installation. Ohne Angabe wird der Neustart erzwungen (Force). /L* <Pfad + Dateiname> Installdir= <Verzeichnis> Protokolliert alle Warnungen und Fehlermeldungen in die angegebene Protokolldatei. Ausschließlich Fehlermeldungen protokolliert der Parameter /Le <Pfad + Dateiname> Gibt das Verzeichnis an, in das SafeGuard Enterprise Client installiert wird. Ohne Angabe wird als Standardinstallationsverzeichnis <SYSTEM>:\PROGRAMME\SOPHOS verwendet. 11.7.2SafeGuard Client Features (ADDLOCAL) Für eine zentrale Installation müssen Sie bereits im Vorfeld definieren, welche SafeGuard Enterprise Features auf den Endpoint-Computern installiert werden sollen. Die Features werden der Option ADDLOCAL mitgegeben. Entscheiden Sie vor der Installation, ob Sie SafeGuard Enterprise in Verbindung mit der BitLocker Volume-Verschlüsselung anwenden oder die SafeGuard Enterprise Verschlüsselung in vollem Umfang nutzen möchten. 91 SafeGuard® Enterprise 5.50, Installation Achtung: Wenn Sie die volume-basierende Verschlüsselung von SafeGuard Enterprise installieren möchten, stellen Sie sicher, dass noch kein Volume mit BitLocker verschlüsselt ist. Andernfalls kann es zu einer Beschädigung des Systems kommen. In der folgenden Tabelle sind alle SafeGuard Client Features aufgelistet, die zentral auf den Endpoint-Computern installiert werden können. Wenn Sie ein Feature auswählen, müssen Sie auch alle übergeordneten Features (Feature Parents) zur Kommandozeile hinzufügen! Features für SafeGuard Device Encryption Die Features Client und Authentication müssen standardmäßig installiert werden! Feature Parents Feature Client Authentication Das Feature Authentication und sein Feature Parent Client müssen standardmäßig angegeben werden. Client, Authentication CredentialProvider Für Computer mit Windows Vista und Windows 7 müssen Sie dieses Feature installieren. Es dient zur Anmeldung über den Credential Provider. Client SecureDataExchange Mit SecureDataExchange wird immer SafeGuard Data Exchange mit dateibasierender SafeGuard Enterprise Verschlüsselung auf lokaler Ebene und für Wechselmedien installiert. SafeGuard Data Exchange sorgt für die sichere Verschlüsselung von Wechselmedien. Daten können sicher und einfach mit anderen Benutzern ausgetauscht werden. Alle Ver- und Entschlüsselungsvorgänge laufen transparent und mit minimaler Benutzerinteraktion ab. Wenn Sie SafeGuard Data Exchange auf Ihrem Computer installiert haben, wird auch SafeGuard Portable installiert. SafeGuard Portable ermöglicht den sicheren Datenaustausch mit Clients, auf denen SafeGuard Data Exchange nicht installiert ist. SafeGuard Data Exchange kann parallel zum BitLocker Client installiert werden. 92 SafeGuard® Enterprise 5.50, Installation Feature Parents Feature Client, BaseEncryption SectorBasedEncryption Installiert die volume-basierende Verschlüsselung von SafeGuard Enterprise mit den folgenden Funktionen: Alle Volumes, auch Wechselmedien, lassen sich mit der volume-basierenden Verschlüsselung von SafeGuard Enterprise verschlüsseln. SafeGuard Enterprise Power-on Authentication (POA) SafeGuard Enterprise Recovery mit Challenge/Response Hinweis: Es kann entweder SectorBasedEncryption ODER BitLockerSupport angegeben werden. Client, BaseEncryption BitLockerSupport Installiert die BitLocker-Unterstützung für SafeGuard Enterprise mit den folgenden Funktionen: Boot-Volume-Verschlüsselung mit BitLocker Verschlüsselung weiterer Volumes mit BitLocker BitLocker Pre-Boot Authentication BitLocker Recovery Hinweis: Es kann entweder SectorBasedEncryption ODER BitLockerSupport angegeben werden. Wird für Sophos SafeGuard Standalone Clients nicht unterstützt. Client 93 ConfigurationProtection Schnittstellenschutz und Management von Peripheriegeräten Um SafeGuard Configuration Protection zu installieren, müssen Sie das Feature im msiexec-Kommando des ClientInstallationspakets angeben UND zusätzliche Installationsschritte durchführen, siehe SafeGuard Configuration Protection installieren auf Seite 105. Wird für Sophos SafeGuard Standalone Clients nicht unterstützt. SafeGuard® Enterprise 5.50, Installation Features für SafeGuard Data Exchange Die Features Client und Authentication müssen standardmäßig installiert werden! Feature Parents Feature Client Authentication Das Feature Authentication und sein Feature Parent Client müssen standardmäßig angegeben werden. Client SecureDataExchange Mit SecureDataExchange wird immer SafeGuard Data Exchange mit dateibasierender SafeGuard Enterprise Verschlüsselung auf lokaler Ebene und für Wechselmedien installiert. SafeGuard Data Exchange sorgt für die sichere Verschlüsselung von Wechselmedien. Daten können sicher und einfach mit anderen Benutzern ausgetauscht werden. Alle Ver- und Entschlüsselungsvorgänge laufen transparent und mit minimaler Benutzerinteraktion ab. Wenn Sie SafeGuard Data Exchange auf Ihrem Computer installiert haben, können Sie zusätzlich auch SafeGuard Portable verwenden. Das SafeGuard Data Exchange-Paket enthält auch SafeGuard Portable. SafeGuard Portable ermöglicht den sicheren Datenaustausch mit Clients, auf denen SafeGuard Data Exchange nicht installiert ist. SafeGuard Data Exchange kann parallel zum BitLocker Client installiert werden. Client ConfigurationProtection Schnittstellenschutz und Management von Peripheriegeräten Um SafeGuard Configuration Protection zu installieren, müssen Sie das Feature im msiexec-Kommando des ClientInstallationspaket angeben UND zusätzliche Installationsschritte durchführen, siehe SafeGuard Configuration Protection installieren auf Seite 105. Wird für Sophos SafeGuard Standalone Clients nicht unterstützt. 94 SafeGuard® Enterprise 5.50, Installation 11.7.3Beispielkommando für volume- und dateibasierende Verschlüsselung Folgendes wird durch das unten aufgeführte Kommando ausgeführt: Die Endpoint-Computer werden mit den notwendigen Anforderungen für eine erfolgreiche Installation der Verschlüsselungssoftware ausgestattet. Die SafeGuard Enterprise Power-on Authentication wird installiert, über die sich die Benutzer an ihren Computern anmelden. SafeGuard Data Exchange für dateibasierende Verschlüsselung wird über die Angabe von SecureDataExchange installiert. SafeGuard Enterprise volume-basierende Verschlüsselung wird installiert. Es wird eine Protokolldatei angelegt. Anschließend wird das Konfigurationspaket für den SafeGuard Enterprise Client-(managed) ausgeführt. Beispiel: msiexec /i F:\Software\SGxClientPreinstall.msi /qn /log I:\Temp\SGxClientPreinstall.log msiexec /i F:\Software\SGNClient.msi /qn /log I:\Temp\SGNClient.log ADDLOCAL=Client,Authentication,SecureDataExchange,BaseEncryption, SectorBasedEncryption Installdir=C:\Program Files\Sophos\SafeGuard Enterprise msiexec /i F:\Software\SGNEnterpriseClientConfig.msi /qn /log I:\Temp\SGNEnterpriseClientConfig.log 95 SafeGuard® Enterprise 5.50, Installation 11.7.4Beispielkommando für Windows Vista mit BitLocker-Unterstützung Folgendes wird durch das im Beispiel gezeigte Kommando ausgeführt: Die Endpoint-Computer werden mit den notwendigen Anforderungen für eine erfolgreiche Installation der Verschlüsselungssoftware ausgestattet. Benutzer melden sich an ihren Computern über den Windows Vista Credential Provider anmelden. SafeGuard Data Exchange für dateibasierende Verschlüsselung wird über die Angabe von SecureDataExchange installiert. SafeGuard Enterprise BitLocker-Unterstützung mit BitLocker volume-basierender Verschlüsselung wird installiert. Es wird eine Protokolldatei angelegt. Anschließend wird das Konfigurationspaket für den SafeGuard Enterprise Client-(managed) ausgeführt. Hinweis: Stellen Sie für die Installation von SafeGuard Enterprise mit BitLocker sicher, dass nur die BitLocker Volume-Verschlüsselung aufgeführt ist. Nehmen Sie die volume-basierende Verschlüsselung von SafeGuard Enterprise nicht in die Kommandozeile auf. EXAMPLE: msiexec /i F:\Software\SGxClientPreinstall.msi /qn /log I:\Temp\SGxClientPreinstall.log msiexec /i F:\Software\SGNClient.msi /qn /log I:\Temp\SGNClient.log ADDLOCAL=Client,Authentication,CredentialProvider, SecureDataExchange,BaseEncryption,BitLockerSupport Installdir=C:\Program Files\Sophos\SafeGuard Enterprise msiexec /i F:\Software\SGNClientConfig.msi /qn /log I:\Temp\SGNEnterpriseClientConfig.log 96 SafeGuard® Enterprise 5.50, Installation 11.8 FIPS-konforme Installation Die FIPS-Zertifizierung beschreibt Sicherheitsanforderungen für Verschlüsselungsmodule. Beispielsweise verlangen Regierungsbehörden in den USA und in Kanada FIPS 140-2-zertifizierte Software für besonders sicherheitskritische Informationen. SafeGuard Enterprise verwendet FIPS-zertifizierte Algorithmen für die Verschlüsselung. Bei den AES Algorithmen wird standardmäßig eine neue, schnellere Implementierung installiert, die noch nicht FIPS-zertifiziert ist. Wenn Sie die FIPS-zertifizierte Variant der AES Algorithmen nutzen wollen, setzen Sie für die Installation des SafeGuard Enterprise Client die Property FIPS_AES auf 1. Dies können Sie auf zwei Arten durchführen: Fügen Sie die Property dem Kommandozeilen-Skript hinzu: msiexec /i F:\Software\SGNClient.msi 97 Verwenden Sie eine sogenannte Transformation. FIPS_AES=1 SafeGuard® Enterprise 5.50, Installation 12 Endpoint-Computer lokal einrichten Dieses Kapitel beschreibt, wie Sie die Verschlüsselungssoftware lokal, direkt am EndpointComputer einrichten. Die erforderlichen Arbeitsschritte werden auch für SafeGuard Enterprise Clients mit Windows Vista BitLocker beschrieben. Informationen zur Auswahl der Installationspakete, siehe SafeGuard Konfigurationen für Endpoint-Computer auf Seite 75. Entscheiden Sie vor der Installation, ob Sie SafeGuard Enterprise in Verbindung mit der BitLocker Volume-Verschlüsselung anwenden oder die SafeGuard Enterprise Verschlüsselung in vollem Umfang nutzen möchten. Achtung: Wenn Sie die volume-basierende Verschlüsselung von SafeGuard Enterprise installieren möchten, stellen Sie sicher, dass noch kein Volume mit BitLocker verschlüsselt ist. Andernfalls kann es zu einer Beschädigung des Systems kommen. 12.1 Voraussetzungen Für allgemeine Voraussetzungen siehe Allgemeine Voraussetzungen auf Seite 82 und für spezielle Voraussetzungen für Windows Vista BitLocker-Unterstützung siehe Voraussetzungen für BitLocker-Unterstützung auf Seite 83. 12.2 Verschlüsselungs-Software auf den Endpoint-Computern installieren Dieses Kapitel ist sowohl für SafeGuard Enterprise Clients (managed) als auch für Sophos SafeGuard Clients (standalone) gültig. Die Installationsschritte sind identisch, mit der Ausnahme, dass für jeden der beiden ein unterschiedliches Konfigurationspaket erzeugt werden muss. Entscheiden Sie vor der Installation, welche Features von SafeGuard Enterprise Sie nutzen möchten. 98 SafeGuard® Enterprise 5.50, Installation 12.2.1Installation durchführen 1. Starten Sie das vorbereitende Installationspaket SGxClientPreinstall.msi von der Produkt-CD, um die Endpoint-Computer mit notwendigen Voraussetzungen für die erfolgreiche Installation der Verschlüsselungssoftware (z. B. relevante DLLs) auszustatten. Hinweis: Alternativ dazu können Sie auch vcredist_x86.exe installieren. Diese Datei steht unter http://www.microsoft.com/downloads/details.aspx?FamilyID=766a6af7ec73-40ff-b072-9112bab119c2 zum Download zur Verfügung. Sie können auch überprüfen, ob MSVCR80.dll in der Version 8.0.50727.4053 im Verzeichnis Windows\WinSxS folder auf dem Computer vorhanden ist. 2. Starten Sie das entsprechende Client-Installationspaket von der Produkt-CD. 3. Übernehmen Sie in den folgenden Dialogen die Standardeinstellungen. 4. Wählen Sie ggf. den Installationstyp aus und aktivieren Sie die Features, die Sie installieren möchten, siehe Features auswählen auf Seite 100. 5. Wählen Sie einen Installationspfad. Der Standard-Installationspfad ist: C:\Programme\Sophos\SafeGuard Enterprise 6. Bestätigen Sie die erfolgreiche Installation. 12.2.2Konfigurationspaket erzeugen 1. Um den Endpoint-Computer zu konfigurieren, erzeugen Sie ein Konfigurationspaket im SafeGuard Management Center. Um eine Konfiguration für SafeGuard Enterprise Client (managed)zu erzeugen, siehe Konfigurationspaket für SafeGuard Enterprise Client (managed) erstellen auf Seite 87. Um eine Konfiguration für Sophos SafeGuard Client (standalone) zu erzeugen, siehe Konfigurationspake für Sophos SafeGuard Client (standalone) erstellen auf Seite 88. 2. Verteilen Sie das Konfigurationspaket an die Endpoint-Computer. 3. Installieren Sie das Konfigurationspaket auf dem Endpoint-Computer. Damit ist die Installation der Client-Software abgeschlossen. Das Verhalten der Endpoint-Computer bei der ersten Anmeldung nach der Installation von SafeGuard Enterprise ist in der Benutzerhilfe beschrieben. 99 SafeGuard® Enterprise 5.50, Installation 12.3 Features auswählen Während der Installation auf dem Computer werden je nach Betriebssystem und Installationspaket optionale Features zur Auswahl angeboten. Weitere Informationen zu den Features siehe SafeGuard Client Features (ADDLOCAL) auf Seite 91. 1. Wählen Sie die Features durch Anklicken aus. 2. Deaktivieren Sie die nicht gewünschten Features. 3. Fahren Sie mit der Installation fort. 12.3.1Client Features für Windows XP Das Bild zeigt die Auswahl der Features beim Installationspaket SGNClient.msi. SafeGuard Data Exchange mit dateibasierender Verschlüsselung: Data Exchange aktiviert. Volume-basierende Verschlüsselung: Device Encryption > Base Encryption aktiviert. Konfigurationsschutz: Configuration Protection aktiviert. Weitere Schritte sind nötig, um dieses Modul zu installieren, siehe SafeGuard Configuration Protection installieren auf Seite 105. Dieses Feature kann für Sophos SafeGuard Standalone Clients nicht installiert werden. 100 SafeGuard® Enterprise 5.50, Installation 12.3.2Client Features für Windows Vista ohne BitLocker-Unterstützung Das Bild zeigt die Auswahl der Features beim Installationspaket SGNClient.msi. SafeGuard Data Exchange mit dateibasierender Verschlüsselung: Data Exchange aktiviert. Volume-basierende Verschlüsselung auf Basis von SafeGuard Enterprise: Device Encryption > Base Encryption aktiviert. Device Encryption > BitLocker Support deaktiviert. Konfigurationsschutz: Configuration Protection aktiviert. Weitere Schritte sind nötig, um dieses Modul zu installieren, siehe SafeGuard Configuration Protection installieren auf Seite 105. Dieses Feature kann für Sophos SafeGuard Standalone Clients nicht installiert werden. 12.3.3Client Features für Windows Vista mit BitLocker-Unterstützung Das Bild zeigt die Auswahl der Features beim Installationspaket SGNClient.msi. Für Sophos SafeGuard Standalone Clients können BitLocker Support und Configuration Protection nicht installiert werden. SafeGuard Data Exchange mit dateibasierender Verschlüsselung: Data Exchange aktiviert. Volume-basierende Verschlüsselung auf Basis von BitLocker: 101 Device Encryption > BitLocker Support aktiviert. Device Encryption > Base Encryption deaktiviert. Konfigurationsschutz: Configuration Protection aktiviert. Weitere Schritte sind nötig, um dieses Modul zu installieren, siehe SafeGuard Configuration Protection installieren auf Seite 105. SafeGuard® Enterprise 5.50, Installation 13 SafeGuard Enterprise Client auf einem Computer mit mehreren Betriebssystemen installieren Der SafeGuard Enterprise Client kann auch dann auf einem Computer zum Schutz der Daten installiert werden, wenn mehrere Betriebssysteme auf separaten Volumes der Festplatte installiert sind. SafeGuard Enterprise bietet ein sogenanntes „Runtime“-System. Der SafeGuard Enterprise Runtime Client stellt folgende Sachverhalte sicher, wenn er auf Volumes mit einer zusätzlichen Windows-Installation installiert wird: Die Windows-Installation, die sich auf diesen Volumes befindet, kann erfolgreich durch einen Boot Manager gestartet werden. Auf Partitionen auf diesen Volumes, die durch eine vollständige SafeGuard Enterprise Client Installation mit dem definierten Computerschlüssel verschlüsselt worden sind, kann erfolgreich zugegriffen werden. 13.1 Voraussetzungen und Einschränkungen Beachten Sie folgende Voraussetzungen und Einschränkungen: Der SafeGuard Enterprise Runtime Client bietet keine SafeGuard Enterprise Client spezifischen Features oder Funktionalitäten. Der SafeGuard Enterprise Runtime Client unterstützt nur die Betriebssysteme, die auch für den SafeGuard Enterprise Client unterstützt werden. USB-Tastaturen können u. U. nur eingeschränkt benutzt werden. Es werden nur Boot Manager unterstützt, die nach der Power-on Authentication aktiv werden. Die Unterstützung von Boot Managern von Drittanbietern wird nicht garantiert. Wir empfehlen den Einsatz von Microsoft Boot Managern. Der SafeGuard Enterprise Runtime Client kann nicht auf einen SafeGuard Enterprise Client in Vollversion aktualisiert werden. Dieses Szenario gilt sowohl für SafeGuard Enterprise Clients als auch für Sophos SafeGuard Standalone Clients. Das Runtime-Installationspaket muss vor der Vollversion des Enterprise Client Pakets installiert werden. Es kann nur auf Volumes, die mit dem definierten Computerschlüssel in SafeGuard Enterprise verschlüsselt wurden, zugegriffen werden. 102 SafeGuard® Enterprise 5.50, Installation 13.2 Vorbereitung Um SafeGuard Enterprise Runtime einzurichten, führen Sie die folgenden vorbereitenden Schritte in der angegebenen Reihenfolge durch 1. Stellen Sie sicher, dass die Volumes, auf denen SafeGuard Enterprise Runtime laufen soll, zum Zeitpunkt der Installation sichtbar sind und mit ihrem Windows-Namen (z. B. C:) angesprochen werden können. 2. Legen Sie fest, auf welchem Volume/welchen Volumes der Festplatte der SafeGuard Enterprise Runtime Client installiert werden soll. In Zusammenhang mit SafeGuard Enterprise sind diese Volumes als "sekundäre" Windows-Installationen definiert. Es können mehrere sekundäre Windows-Installationen vorhanden sein. Sie können folgendes Paket von der Produkt-CD installieren: SGNClientRuntime.msi/SGNClientRuntime_x64.msi 3. Legen Sie fest, auf welchem Volume der Festplatte die Vollversion des SafeGuard Enterprise Clients installiert werden soll. In Zusammenhang mit SafeGuard Enterprise ist dieses Volume als “primäre“ Windows-Installation definiert. Es kann jeweils nur eine primäre WindowsInstallation geben. Sie können die folgenden Pakete von der Produkt-CD installieren: SGNClient.msi/SGNClient_x64.msi zusätzlich SGN_CP_Client.msi/SGN_CP_Client_x64.msi (verfügbar für Windows 7 64-Bit Betriebssystme) 13.3 SafeGuard Enterprise Runtime Client einrichten Gehen Sie wie folgt vor: 1. Wählen Sie das/die gewünschte(n) Volume(s) der Festplatte aus, auf dem/denen Sie den SafeGuard Enterprise Runtime Client installieren möchten. 2. Starten Sie die sekundäre Windows-Installation auf dem ausgewählten Volume. 3. Installieren Sie das Client Runtime-Installationspaket auf dem ausgewählten Volume. 4. Bestätigen Sie die Standardeinstellungen im nächsten Dialog des Installers. Hier ist keine spezielle Funktionsauswahl notwendig. 5. Wählen Sie einen Installationsordner für die Runtime-Installation. 6. Bestätigen Sie, dass die Runtime-Installation abgeschlossen werden soll. 103 SafeGuard® Enterprise 5.50, Installation 7. Wählen Sie das primäre Volume der Festplatte, auf dem der SafeGuard Enterprise Client installiert werden soll. 8. Starten Sie die primäre Windows-Installation auf dem ausgewählten Volume. 9. Starten Sie das vorbereitende Installationspaket SGxClientPreinstall.msi, um die EndpointComputer mit notwendigen Voraussetzungen für die erfolgreiche Installation der Verschlüsselungssoftware (z. B. relevante DLLs) auszustatten. 10. Installieren Sie das gewünschte SafeGuard Enterprise Client-Installationspaket auf dem ausgewählten Volume. 11.Erstellen die Client Konfigurationspakete für SafeGuard Enterprise Clients (managed) oder Sophos SafeGuard Clients (standalone) je nach Anforderung und verteilen Sie diese an die Endpoint-Computer. 12.Verschlüsseln Sie beide Volumes mit dem definierten Computerschlüssel. 13.4 Von einem sekundären Volume über einen Boot Manager booten 1. Starten Sie den Computer. 2. Melden Sie sich an der Power-on Authentication mit Ihren Anmeldeinformationen an. 3. Starten Sie den Boot Manager und wählen Sie das gewünschte sekundäre Volume als BootLaufwerk. 4. Starten Sie den Computer von diesem Volume neu. Auf jedes Volume, das mit dem definierten Computerschlüssel verschlüsselt ist, kann zugegriffen werden. 104 SafeGuard® Enterprise 5.50, Installation 14 SafeGuard Configuration Protection installieren SafeGuard Configuration Protection ermöglicht es, nur bestimmte Schnittstellen und Peripheriegeräte auf den Benutzer-Computern zu erlauben. So kann verhindert werden, dass Schaden verursachende Software eingeschleust wird und dass Daten über unerwünschte Kanäle (z. B. WLAN) ein Unternehmen verlassen. Dieses Modul erkennt und blockiert auch gefährliche Hardware wie Key Logger. 14.1 Voraussetzungen und Einschränkungen Um SafeGuard Configuration Protection auf einem Windows 7 64-Bit Betriebssystem aufzusetzen, können Sie die 64-Bit-Varianten der „Client“-Installationspakete einsetzen. SafeGuard Configuration Protection ist nur verfügbar für SafeGuard Enterprise Clients (managed). Es wird für Sophos SafeGuard Clients (standalone) nicht unterstützt. .NET Version 2.0 muss installiert sein. 14.2 Workflow Um SafeGuard Configuration Protection auf dem Endpoint-Computer zu installieren, müssen Sie ein separates Installationspaket ausführen, nachdem Sie das SafeGuard Enterprise Client Installationspaket installiert haben. Sie finden die benötigten Installationspakete auf der ProduktCD. Hinweis: Um SafeGuard Configuration Protection auf einem Windows 7 64-Bit Betriebssystem aufzusetzen, können Sie die 64-Bit-Varianten der „Client“-Installationspakete einsetzen. 1. Installieren Sie das vorbereitende Installationspaket SGxPreinstall.msi. 2. Installieren Sie eines der folgenden SafeGuard Enteprise Client Installationspakete: SGNClient.msi/SGNClient_x64.msi SGNClient_withoutDE.msi/SGNClient_withoutDE_x64.msi 3. Installieren Sie SafeGuard Configuration Protection: SGN_CP_Client.msi//SGN_CP_Client_x64.msi 4. Erzeugen und installieren Sie das SafeGuard Enterprise Client-Konfigurationspaket. 105 SafeGuard® Enterprise 5.50, Installation 14.3 Kommando für zentrale Installation Wenn Sie SafeGuard Configuration Protection zentral installieren möchten, verwenden Sie die Windows Installer-Komponente "msiexec". Kommandozeilen-Syntax msiexec /i SGN_CP_Client.msi /quiet /norestart 14.4 Beispielkommando für SafeGuard Configuration Protection mit SafeGuard Device Encryption Das msiexec Kommando muss in der wie im Beispiel angegebenen Reihenfolge ausgeführt werden. In diesem Beispiel wird folgendes installiert: Die Endpoint-Computer werden mit den notwendigen Voraussetzungen für eine erfolgreiche Installation der Verschlüsselungssoftware ausgestattet. SafeGuard Device Encryption mit volume-basierender Verschlüsselung wird installiert. SafeGuard Configuration Protection muss als Feature für das SafeGuard Device Encryption Client-Installationspaket angegeben werden. Um die Installation des Moduls SafeGuard Configuration Protection anzustoßen, muss ein separates Installationspaket durch Angabe eines weiteren msiexec Kommandos hinzugefügt werden. Eine Log-Datei wird erzeugt. Anschließend wird das Konfigurationspaket SGNEnterpriseClientConfig.msi ausgeführt. Beispiel: msiexec /i F:\Software\SGxClientPreinstall.msi /qn /log I:\Temp\SGxClientPreinstall.log msiexec /i F:\Software\SGNClient.msi /qn /log I:\Temp\SGNClient.log ADDLOCAL=Client,Authentication,BaseEncryption,SectorBasedEncryption,Co nfigurationProtection Installdir=C:\Program Files\Sophos\SafeGuard Enterprise msiexec /i F:\Software\SGN_CP_Client.msi /quiet /norestart msiexec /i F:\Software\SGNEnterpriseClientConfig.msi /qn /log I:\Temp\SGNEnterpriseClientConfig.log 106 SafeGuard® Enterprise 5.50, Installation 14.5 Beispielkommando für SafeGuard Configuration Protection mit SafeGuard Data Exchange Das msiexec Kommando muss in der im Beispiel angegebenen Reihenfolge ausgeführt werden. In diesem Beispiel wird folgendes installiert: Die Endpoint-Computer werden mit den notwendigen Voraussetzungen für eine erfolgreiche Installation der Verschlüsselungssoftware ausgestattet. SafeGuard Data Exchange mit dateibasierender Verschlüsselung wird installiert. SafeGuard Configuration Protection muss als Feature für das SafeGuard Data Exchange Client-Installationspaket angegeben werden. Um die Installation des Moduls SafeGuard Configuration Protection anzustoßen, muss ein separates Installationspaket durch Angabe eines weiteren msiexec Kommandos hinzugefügt werden. Eine Log-Datei wird erzeugt. Anschließend wird das Konfigurationspaket SGNEnterpriseClientConfig.msi ausgeführt. Beispiel: msiexec /i F:\Software\SGxClientPreinstall.msi /qn /log I:\Temp\SGxClientPreinstall.log msiexec /i F:\Software\SGNClient_withoutDE.msi /qn /log I:\Temp\SGNClient.log ADDLOCAL=Client,Authentication,SecureDataExchange, ConfigurationProtection Installdir=C:\Program Files\Sophos\SafeGuard Enterprise msiexec /i F:\Software\SGN_CP_Client.msi /quiet /norestart msiexec /i F:\Software\SGNEnterpriseClientConfig.msi /qn /log I:\Temp\SGNEnterpriseClientConfig.log 107 SafeGuard® Enterprise 5.50, Installation 14.6 Lokale Installation Um SafeGuard Configuration Protection erfolgreich zu installieren, halten Sie bitte die angegebene Installationsreihenfolge ein: 1. Starten Sie das vorbereitende Installationspaket SGxClientPreinstall.msi von der Produkt-CD. Diese Paket stattet die Endpoint-Computer mit notwendigen Voraussetzungen für die erfolgreiche Installation der Verschlüsselungssoftware aus. 2. Installieren Sie eines der folgenden SafeGuard Enterprise Client-Installationspakete auf dem Endpoint-Computer. Um SafeGuard Configuration Protection auf einem Windows 7 64-Bit Betriebssystem aufzusetzen, können Sie die 64-Bit-Varianten der „Client“-Installationspakete einsetzen. SGNClient.msi /SGNClient_x64.msi SGNClient_withoutDE.msi/SGNClient_withoutDE_x64.msi 3. Wenn Sie aufgefordert werden, die gewünschten Features auszuwählen, aktivieren Sie das Feature Configuration Protection. 4. Installieren Sie anscchließend das SafeGuard Configuration Protection Installationpaket: SGN_CP_Client.msi / SGN_CP_Client_x64.msi (verfügbar für Windows 7 64-Bit Betriebssysteme) Achtung: Um zu gewährleisten, dass das Modul Configuration Protection im SafeGuard Enterprise -Verzeichnis installiert wird, müssen Sie die Pfadangabe ändern zu C:\Programme\Sophos\SafeGuard Enterprise\ 5. Wir empfehlen, den Endpoint-Computer neu zu starten. Wenn jedoch das ClientKonfigurationspaket direkt im Anschluss installiert wird, kann der Neustart auch verschoben werden. 6. Generieren und installieren Sie das SafeGuard Enterprise Client-Konfigurationspaket SGNEnterpriseClientConfig.msi. 7. Starten Sie den Computer neu. SafeGuard Configuration Protection wird auf dem Endpoint-Computer installiert. 108 SafeGuard® Enterprise 5.50, Installation 14.7 SafeGuard Configuration Protection deinstallieren Um SafeGuard Configuration Protection zu deinstallieren, führen Sie die folgenden Schritte in der angegebenen Reihenfolge durch: 1. Deinstallieren Sie das entsprechende Client-Konfigurationspaket. 2. Führen Sie das SafeGuard Enterprise Client -Installationspaket auf dem Computer aus, entweder SGNClient.msi oder SGNClient_withoutDE.msi oder die jeweilige 64-Bit-Variante der Pakete. 3. Wählen Sie die Option Ändern im Installationsassistenten. 4. Deaktivieren Sie das Feature Configuration Protection. 5. Wenn die Deinstallation beendet ist, starten Sie den Computer auf keinen Fall neu! 6. Deinstallieren Sie SGN_CP_Client.msi bzw. SGN_CP_Client_x64.msi. 7. Starten Sie den Computer neu. SafeGuard Configuration Protection wurde erfolgreich vom Endpoint-Computer entfernt. 14.8 SafeGuard Configuration Protection aktualisieren Um SafeGuard Configuration Protection auf die neueste Version zu aktualisieren, führen Sie die folgenden Schritte in der angegebenen Reihenfolge durch: 1. Starten Sie das vorbereitende Installationspaket SGxClientPreinstall.msi von der Produkt-CD. Diese Paket stattet die Endpoint-Computer mit notwendigen Voraussetzungen für die erfolgreiche Installation der Verschlüsselungssoftware aus. 2. Aktualisieren Sie das SafeGuard Enterprise Client-Installationspaket auf dem Computer auf die aktuelle Version, siehe Endpoint-Computer aktualisieren auf Seite 116. Hinweis: Starten Sie danach den Computer auf keinen Fall neu. 3. Deinstallieren Sie das derzeit installierte SafeGuard Configuration Protection Client-Modul, siehe SafeGuard Configuration Protection deinstallieren auf Seite 109. 4. Installieren Sie das neueste SafeGuard Configuration Protection Client-Modul neu, siehe Lokale Installation auf Seite 108. 109 SafeGuard® Enterprise 5.50, Installation 15 Deinstallation am Endpoint-Computer verhindern Um Endpoint-Computer zusätzlich zu schützen, kann die lokale Deinstallation von SafeGuard Enterprise zentral über eine Maschinenrichtlinie verhindert werden. Wenn eine solche Richtlinie für den Endpoint-Computer gilt, kann SafeGuard Enterprise nur deinstalliert werden, wenn eine entsprechende Richtlinie zugewiesen wird. Ansonsten wird die Deinstallation abgebrochen und der unerlaubte Versuch protokolliert. Genaue Informationen zu den Richtlinien können Sie der SafeGuard Enterprise Administrator-Hilfe entnehmen. Hinweis: Falls Sie mit einer Demo-Version arbeiten, sollten Sie diese Richtlinieneinstellung nicht aktivieren oder vor Ablauf der Demo-Version unbedingt deaktivieren, um eine einfache Deinstallation zu gewährleisten. 110 SafeGuard® Enterprise 5.50, Installation 16 SafeGuard Enterprise aktualisieren Wenn Sie bereits eine Vorgängerversion von SafeGuard Enterprise installiert haben, können Sie SafeGuard Enterprise durch die Installation der neuesten Version aktualisieren. Die Aktualisierung auf SafeGuard Enterprise Version 5.50 wird unterstützt ab SafeGuard Enterprise Version 5.35 oder höher. Für ältere Versionen müssen Sie zunächst eine Aktualisierung auf Version 5.40 durchführen. Bis auf die SafeGuard Enterprise Datenbank handelt es sich bei der Aktualisierung des SafeGuard Enterprise Server, Management Center und Client um Neuinstallationen. Ab SafeGuard Enterprise 5.30 aufwärts ist der Import einer gültigen Lizenzdatei erforderlich, die alle ausgerollten SafeGuard Clients abdeckt. Wenn die Anzahl der Lizenzen überschritten ist, wird die Richtlinienübertragung nach der Aktualisierung des Backends blockiert. Bitte wenden Sie sich vor der Aktualisierung an Ihren Vertriebspartner und fordern Sie eine Lizenzdatei an. Hinweis: Halten Sie bei der Aktualisierung unbedingt die unten aufgeführte Reihenfolge ein. Nur dann ist eine Aktualisierung von einer früheren Version auf die aktuelle Version von SafeGuard Enterprise erfolgreich. Die Aktualisierung der SafeGuard Enterprise Komponenten wird unterstützt ab SafeGuard Enterprise Version 5.30 oder höher. SafeGuard Enterprise 1. SafeGuard Enterprise Datenbank 2. SafeGuard Enterprise Server 3. SafeGuard Management Center 4. Durch SafeGuard Enterprise geschützte Endpoint-Computer 111 SafeGuard® Enterprise 5.50, Installation 16.1 SafeGuard Enterprise Datenbank aktualisieren Für die Aktualisierung der SafeGuard Enterprise Datenbank stehen mehrere SQL-Skripte zur Verfügung, die sich auf der Produkt-CD befinden. Voraussetzungen Eine SafeGuard Enterprise Datenbank in der Version 5.20 oder höher muss vorhanden sein. Die auszuführenden SQL-Skripte müssen auf dem Datenbank-Rechner vorhanden sein. Sie benötigen Windows Administratorenrechte für den Datenbankserver. Führen Sie ein Backup der SafeGuard Enterprise Datenbank durch, bevor Sie mit der Aktualisierung beginnen. Datenbank aktualisieren 1. Nehmen Sie alle SafeGuard Enterprise Server (IIS Server) vom Netz, die mit der relevanten SafeGuard Enterprise Datenbank verbunden sind. 2. Schließen Sie alle geöffneten SafeGuard Management Center, die mit der relevanten SafeGuard Enterprise Datenbank verbunden sind. 3. Um die SQL-Skripts ausführen zu können, müssen Sie die Datenbank auf den SINGLE_USER-Modus umstellen, damit sie exklusiven Zugriff auf die Datenbank haben. 4. Die Datenbank muss Version für Version auf die aktuelle Version konvertiert werden. Abhängig von der installierten Version, starten Sie nacheinander die folgenden SQL-Skripte: a) 5.20 > 5.3x: MigrateSGN520_SGN530.sql oder MigrateSGN520_SGN535.sql ausführen Hinweis: Vorhandene SafeGuard Enterprise Richtlinien werden modifiziert, da sich die Richtlinienstruktur von Version 5.20 zu 5.3x geändert hat. b) 5.3x > 5.35: MigrateSGN530_SGN535.sql ausführen c) 5.30 > 5.40: MigrateSGN530_SGN540.sql ausführen d) 5.35 > 5.40: MigrateSGN535_SGN540.sql ausführen e) 5.40 > 5.50: MigrateSGN540_SGN550.sql ausführen 5. Stellen Sie die SafeGuard Enterprise Datenbank wieder auf den MULTI_USER-Modus zurück. 112 SafeGuard® Enterprise 5.50, Installation Nach Aktualisierung der Datenbank sind unter Umständen die kryptographischen Prüfsummen einiger Tabellen nicht mehr korrekt. Wenn Sie das SafeGuard Management Center starten, werden entsprechende Warnmeldungen angezeigt. Sie können die Tabellen dann in den entsprechenden Dialogen reparieren. Die aktuelle Version der SafeGuard Enterprise Datenbank ist dann einsatzbereit. 16.2 Replizierte SafeGuard Enterprise Datenbanken aktualisieren Wenn die SafeGuard Enterprise Datenbank zu einer neueren Version aktualisiert werden soll und replizierte Datenbanken verwendet werden, ist es am besten, die replizierten Datenbanken zu deinstallieren, bevor Sie mit der Aktualisierung der Master-Datenbank beginnen. Für die Aktualisierung von SafeGuard Enterprise Datenbanken ist die Ausführung von speziellen SQL-Migrationsskripten erforderlich, die einen Konflikt mit den replizierten Datenbanken auslösen können. 1. Deinstallieren Sie die replizierten Datenbanken. 2. Wenden Sie die SQL-Migrationsskripte auf die Master-Datenbank an. Sie finden die Skripte im Verzeichnis Tools auf Ihrer Produkt-CD (siehe SafeGuard Enterprise Datenbank aktualisieren auf Seite 112). 3. Legen Sie die Replikationsdatenbanken neu an. 16.3 SafeGuard Enterprise Server aktualisieren Voraussetzungen Die Aktualisierung der SafeGuard Enterprise Datenbank auf die aktuelle Version wurde bereits durchgeführt. SafeGuard Enterprise Server 5.35 oder höher muss installiert sein. Versionen niedriger als 5.35 müssen zunächst auf SafeGuard Enterprise Server 5.40 aktualisiert werden. Sie benötigen Windows Administratorenrechte. ASP.NET muss auf die Version 2.0 umgestellt sein. Aktualisierung durchführen Führen Sie eine Neuinstallation des Servers durch, siehe SafeGuard Enterprise Server installieren auf Seite 55. Nach erfolgreicher Aktualisierung wird der Server automatisch neu gestartet und ist wieder betriebsbereit. 113 SafeGuard® Enterprise 5.50, Installation 16.4 SafeGuard Management Center aktualisieren Voraussetzungen SafeGuard Management Center 5.35 oder höher muss installiert sein. Versionen niedriger als 5.35 müssen zunächst auf SafeGuard Management Center 5.40 aktualisiert werden. Die Aktualisierung der SafeGuard Enterprise Datenbank und des SafeGuard Enterprise Servers auf die aktuelle Version wurde bereits durchgeführt. Für die erfolgreiche Aktualisierung auf die aktuelle Version muss .NET Framework 3.0 Service Pack 1 installiert sein. ASP.NET muss auf die Version 2.0 umgestellt sein. Sie benötigen Windows Administratorenrechte. Sie benötigen eine gültige Lizenzdatei. Bitte wenden Sie sich dafür vorab an Ihren Vertriebspartner. Aktualisierung durchführen 1. Führen Sie eine Neuinstallation des Management Centers mit den gewünschten Features durch siehe SafeGuard Management Center einrichten auf Seite 29). 2. Importieren Sie die Lizenzdatei. 3. Starten Sie das SafeGuard Management Center. Das Systemverhalten beim ersten Start des SafeGuard Management Centers nach der Aktualisierung richtet sich danach, ob die Funktion Multi Tenancy mit der Aktualisierung installiert wurde. Multi Tenancy wurde nicht installiert: Sie werden aufgefordert, Ihre Sicherheitsbeauftragten-Anmeldeinformationen einzugeben. Multi Tenancy wurde installiert: Der SafeGuard Management Center Konfigurationsassistent wird gestartet. Sie werden dazu aufgefordert, die zu verwendende Datenbank auszuwählen. Der Assistent schlägt standardmäßig eine bereits vorher verwendete Datenbank vor. Wählen Sie die gewünschte Datenbank aus und beenden Sie den Assistenten. 114 SafeGuard® Enterprise 5.50, Installation Hinweis: Die Standardkonfigurationsdatei für das SafeGuard Management Center wurde verschoben und umbenannt. Hier finden Sie die Datei: Windows XP: <CSIDL_LOCAL_APPDATA>\Sophos\SafeGuard Enterprise\Configuration\<hash>.xml Windows Vista: C:\Users\<user name>\AppData\Local\Sophos\SafeGuard Enterprise\Configuration\FE2E60C269D115B176D195AB3ABF8324.xml Scripting API: Aufgrund der Umbenennung und des neuen Speicherorts der Standardkonfigurationsdatei müssen Sie bei Verwendung der folgenden Methode mit dem Parameter "confFilePathName" den Pfad und den Dateinamen entsprechend dem neuen Speicherort ändern: AuthenticateOfficer (string OfficerName, string PinOrPassword, string confFilePathName) . 115 Wird Multi Tenancy mit der Aktualisierung installiert, wird der SafeGuard Management Konfigurationsassistent nach der ersten Aktualisierung gestartet. Der Assistent schlägt eine bereits verwendete Datenbank vor. Wird Multi Tenancy deinstalliert, wird die letzte verwendete Konfiguration im SafeGuard Management Center verwendet. Nach der erneuten Installation der Multi Tenancy Funktion wir diese Konfiguration vorausgewählt. Bitte beachten Sie, dass sich vorhandene SafeGuard Enterprise-Richtlinien eventuell geändert haben, da sich die Richtlinienstruktur von SafeGuard Enterprise ab Version 5.30 aufwärts geändert hat. SafeGuard® Enterprise 5.50, Installation 16.5 Endpoint-Computer aktualisieren Dieser Abschnitt gilt sowohl für SafeGuard Enterprise Clients (managed) als auch Sophos SafeGuard Client (standalone). SafeGuard Enterprise Server und Management Center 5.50 können SafeGuard Enterprise Clients/ Sophos SafeGuard Standalone Clients Version 5.35 oder höher verwalten. Voraussetzungen SafeGuard Enterprise Client Version 5.35 oder höher muss installiert sein. Versionen niedriger als 5.30 müssen zunächst auf SafeGuard Enterprise 5.40 aktualisiert werden. Die Aktualisierung der SafeGuard Enterprise Datenbank, des SafeGuard Enterprise Servers und des SafeGuard Management Centers wurde bereits durchgeführt. Sie benötigen Windows Administratorenrechte. Note: Überprüfen Sie Ihr Netzwerk und Ihre Computer auf veraltete oder unbenutzte ClientKonfigurationspakete. Löschen Sie aus Sicherheitsgründen diese Pakete. Aktualisierung durchführen Die Aktualisierung muss von Version zu Version durchgeführt werden, bis Version 5.50 erreicht ist. 1. Starten Sie das vorbereitende Installationspaket SGxClientPreinstall.msi von der Produkt-CD, um die Endpoint-Computer mit notwendigen Voraussetzungen für eine erfolgreiche Installation der Verschlüsselungssoftware auszustatten. 2. Installieren Sie für die Aktualisierung das entsprechende SafeGuard Client Installationspaket neu, siehe Endpoint-Computer zentral einrichten auf Seite 82 oder siehe Endpoint-Computer lokal einrichten auf Seite 98. Der Windows Installer erkennt, welche Module bereits installiert sind und installiert auch nur diese Module neu. Wenn die Power-on Authentication installiert ist, steht nach erfolgreicher Migration (Richtlinien, Schlüssel usw.) auch ein aktualisierter POA-Kernel zur Verfügung. Der SafeGuard Enterprise Client wird automatisch neu gestartet. Sie müssen nur dann ein neues Client-Konfigurationspaket erzeugen und installieren, wenn sich die Konfiguration geändert hat. Wenn Sie ein neues Client-Konfigurationspaket erstellen, löschen Sie das veraltete Paket. Wenn Sie versuchen, ein älteres Client-Konfigurationspaket über ein neueres Paket zu installieren, wird die Installation abgebrochen und es wird einen entsprechende Warnungsmeldung angezeigt. 116 SafeGuard® Enterprise 5.50, Installation 16.5.1Sophos SafeGuard Clients (standalone) zusätzlich mit volume-basierender Verschlüsselung ausstatten Wenn Sie einen Standalone Endpoint-Computer (Sophos SafeGuard Client standalone), auf dem lediglich SafeGuard Data Exchange mit dateibasierender Verschlüsselung installiert ist mit dateibasierender Verschlüsselung erweitern möchten, müssen Sie die folgenden Schritte durchführen. Diese Schritte sind notwendig, um eine korrekte und sichere Anmeldung an der Power-on Authentication zu gewährleisten. 1. Deinstallieren Sie das SafeGuard Data Exchange Installationspaket (SGNClient_withoutDE.msi/SGNClient_withoutDE_x64.msi). 2. Deinstallieren Sie das Standalone Client-Konfigurationspaket. 3. Installieren Sie das Installationspaket mit volume-basierender Verschlüsselung (SGNClient.msi/SGNClient_x64.msi) und wählen Sie die Features Device Encryption und Data Exchange aus. 4. Installieren Sie ein neues Standalone Client-Konfigurationspaket. Der Recovery-Schlüssel sowie die lokalen Schlüssel, die während der Installation des Data Exchange Pakets erzeugt wurden, werden nicht gelöscht, sondern bleiben erhalten. 16.6 SafeGuard Configuration Protection aktualisieren Für die Aktualisierung des SafeGuard Configuration Protection Client Moduls, siehe SafeGuard Configuration Protection aktualisieren auf Seite 109. 117 SafeGuard® Enterprise 5.50, Installation 16.7 Endpoint-Computer Konfiguration von “standalone” auf “managed” migrieren Es besteht die Möglichkeit, einen Endpoint-Computer mit einer Standalone ClientKonfiguration auf eine Enterprise Client (managed) -Konfiguration zu migrieren. Die EndpointComputer werden dann im SafeGuard Management Center zu Objekten, die verwaltet werden können und eine Verbindung zum SafeGuard Enterprise Server haben. Achtung: Der umgekehrte Weg, die Migration von einer SafeGuard Enterprise ClientKonfiguration zu einer Standalone Client-Konfiguration ist nicht zu empfehlen. Dies erfordert eine komplette Neuinstallation von SafeGuard Enterprise mit Standalone-Konfiguration auf dem Endpoint-Computer. Voraussetzungen SafeGuard Policy Editor muss bereits auf das SafeGuard Management Center migriert worden sein. Es ist keine Deinstallation des Client-Installationspakets nötig. Führen Sie ein Backup des Ednpoint-Computers durch, bevor Sie die Migration starten. Sie benötigen Windows Administratorenrechte. Migration durchführen Für die Migration müssen Sie lediglich das entsprechende Konfigurationspaket für SafeGuard Enterprise Clients (managed) erstellen und dem Endpoint-Computer zuweisen: 1. Erstellen Sie das Konfigurationspaket im SafeGuard Management Center unter Extras > Konfigurationspakete > Konfigurationspaket (managed) erstellen. 2. Weisen Sie dieses Paket dem Endpoint-Computer über eine Gruppenrichtlinie zu. Achtung: Bei der Migration werden alle Benutzer und Zertifikate gelöscht und die Power-on Authentication deaktiviert, da die Benutzer-Computer-Zuordnung nicht mit migriert wird. Nach der Migration sind die Benutzer-Computer damit ungeschützt! 3. Führen Sie deshalb nach der Migration zwei Neustarts durch: Die erste Anmeldung erfolgt noch über Autologon. Den Benutzern werden neue Schlüssel und Zertifikate zugewiesen, so dass sie sich erst beim zweiten Neustart an der Power-on Authentication anmelden können. Erst nach dem zweiten Neustart sind die Benutzer-Computer wieder geschützt. Der Sophos SafeGuard Client (standalone) ist nun ein SafeGuard Enterprise Client (managed). 118 SafeGuard® Enterprise 5.50, Installation 17 Migration von Sophos SafeGuard 5.5.x auf SafeGuard Enterprise Sophos SafeGuard umfasst die folgenden Produkte: Sophos SafeGuard Disk Encryption 5.50, welches mit ESDP (Endpoint Security and Data Protection) verfügbar ist. SafeGuard Easy 5.50. Ab Version 5.50 ist SafeGuard Easy der neue Produktname für die SafeGuard Enterprise Standalone-Lösung. Diese Produkte lassen sich leicht auf die SafeGuard Enterprise Suite mit zentralem Management erweitern, um den vollen Funktionsumfang von SafeGuard Enterprise nutzen zu können. Dazu müssen Sie die folgenden Schritte durchführen: Der SafeGuard Policy Editor muss auf das SafeGuard Management Center migriert werden. Die Sophos SafeGuard Clients (standalone) müssen auf SafeGuard Enterprise Clients (managed) migriert werden. Nach der Migration des SafeGuard Policy Editor auf das SafeGuard Management Center können Sie umfassende Management-Funktionen nutzen, z. B. Computer-Verwaltung und Protokollierung. 17.1 Voraussetzungen 119 Sie müssen den SafeGuard Policy Editor nicht deinstallieren. Richten Sie vor der Migration den SafeGuard Enterprise Server ein, siehe SafeGuard Enterprise Server einrichten auf Seite 45. SafeGuard® Enterprise 5.50, Installation 17.2 SafeGuard Policy Editor migrieren Für die Migration installieren Sie einfach das .msi-Paket für das SafeGuard Management Center auf dem Computer, auf dem der SafeGuard Policy Editor eingerichtet ist. 1. Starten Sie SGNManagementCenter.msi von der Produkt-CD. 2. Klicken Sie im Willkommen-Fenster auf Weiter. 3. Akzeptieren Sie die Lizenzvereinbarung. 4. Wählen Sie einen Installationspfad. 5. Bestätigen Sie die erfolgreiche Installation. 6. Starten Sie Ihren ggf. Computer neu. 7. Führen Sie die Konfiguration des SafeGuard Management Centers durch, siehe SafeGuard Management Center konfigurieren auf Seite 31. Der SafeGuard Policy Editor wurde auf das SafeGuard Management Center migriert. 17.3 Sophos SafeGuard Clients (standalone) migrieren Es besteht die Möglichkeit, Endpoint-Computer mit einer Sophos SafeGuard Standalone ClientKonfiguration auf eine SafeGuard Enterprise Client(managed)-Konfiguration zu migrieren. Die Endpoint-Computer werden dann im SafeGuard Management Center zu Objekten, die verwaltet werden können und eine Verbindung zum SafeGuard Enterprise Server haben. 17.4 Voraussetzungen SafeGuard Policy Editor muss bereits auf das SafeGuard Management Center migriert worden sein. Es ist keine Deinstallation der Client-Verschlüsselungssoftware nötig. Führen Sie ein Backup des Endpoint-Computers durch, bevor Sie die Migration starten. Sie benötigen Windows Administratorenrechte. 17.4.1Migration durchführen Für die Migration müssen Sie lediglich das entsprechende Konfigurationspaket für SafeGuard Enterprise Clients (managed) erstellen und dem Endpoint-Computer zuweisen: 120 SafeGuard® Enterprise 5.50, Installation 1. Erstellen Sie das Konfigurationspakte im SafeGuard Management Center unter Extras > Konfigurationspakete > Konfigurationspaket (Managed) erstellen. 2. Weisen Sie dieses Paket den entsprechenden Computern zu, zum Beispiel über eine Gruppenrichtlinie. Achtung: Bei der Migration werden alle Benutzer und Zertifikate gelöscht und die Power-on Authentication deaktiviert, da die Benutzer-Computer-Zuordnung nicht mit migriert wird. Nach der Migration sind die Endpoint-Computer damit ungeschützt! 3. Führen Sie deshalb nach der Migration zwei Neustarts durch: Die erste Anmeldung erfolgt noch über Autologon. Den Benutzern werden neue Schlüssel und Zertifikate zugewiesen, so dass sie sich erst beim zweiten Neustart an der Power-on Authentication anmelden können. Erst nach dem zweiten Neustart sind die Endpoint-Computer wieder geschützt. Der Sophos SafeGuard Client (standalone) ist nun ein SafeGuard Enterprise Client (managed), der zentral über SafeGuard Enterprise verwaltet werden kann. 121 SafeGuard® Enterprise 5.50, Installation 18 Migration von SafeGuard Easy 4.x/Sophos SafeGuard Disk Encryption 4.x auf SafeGuard Enterprise SafeGuard Easy Version 4.5x sowie Sophos SafeGuard Disk Encryption Version 4.6x können direkt auf SafeGuard Enterprise 5.50 migriert werden, indem einfach das SafeGuard Enterprise Client Installationspaket auf dem Computer installiert wird. Die Verschlüsselung von Festplatten und Wechselmedien bleibt bestehen. Diese müssen nicht entschlüsselt und neu verschlüsselt werden, und SafeGuard Easy oder Sophos SafeGuard Disk Encryption muss auch nicht manuell deinstalliert werden. Dieses Kapitel beschreibt, wie Sie eine Migration auf SafeGuard Enterprise durchführen, und zeigt, welche Features migriert werden können und welche Einschränkungen bestehen. 18.1 Voraussetzungen Folgende Voraussetzungen müssen erfüllt sein: Die direkte Migration wurde getestet und wird unterstützt für SafeGuard Easy ab Version 4.5x. Eine direkte Migration sollte auch für Versionen zwischen 4.3x und 4.4x funktionieren. Für ältere Versionen wird die direkte Migration nicht unterstützt. Versionen vor 4.3x müssen zunächst auf SafeGuard Easy 4.50 aktualisiert werden. Die direkte Migration wird unterstützt für Sophos SafeGuard Disk Encryption Version 4.6x. Windows Installer Version 3.01 oder höher muss installiert sein. SafeGuard Easy /Sophos SafeGuard Disk Encryption muss auf dem folgenden Windows Betriebssystem laufen: Windows XP Professional Workstation Service Pack 2, 3 Die Hardware und spezifische Software (z. B. Token- oder Lenovo-Middleware) muss mit den Systemvoraussetzungen für SafeGuard Enterprise übereinstimmen. Festplatten müssen mit den folgenden Algorithmen verschlüsselt sein, um migriert werden zu können: AES128, AES256, 3DES, IDEA. 122 SafeGuard® Enterprise 5.50, Installation 18.2 Einschränkungen Folgende Einschränkungen bestehen für die Migration: Es kann nur das SafeGuard Device Encryption Client Installationspaket (SGNClient.msi). mit dem Standard-Funktionsumfang installiert werden. Wenn zusätzlich SafeGuard Configuration Protection oder SafeGuard Data Exchange installiert werden sollen, muss dies in einem separaten Schritt erfolgen. Das Installationspaket ohne volume-basierende Verschlüsselung (SGNClient_withoutDE.msi) wird für die Migration auf SafeGuard Enterprise nicht unterstützt. Folgende SafeGuard Easy Installationen können nicht auf SafeGuard Enterprise migriert werden. In diesen Fällen sollten Sie nicht versuchen, SafeGuard Enterprise zu installieren. Hinweis: Wenn Sie mit den folgenden Installationen eine Migration starten, wird eine Fehlermeldung angezeigt (Fehlernummer 5006). Twin Boot Installationen Installationen mit aktivem Compaq Switch Lenovo Computrace Installationen Festplatten, die nur teilweise verschlüsselt sind, z. B. nur mit Verschlüsselung des BootSektors Festplatten mit versteckten Partitionen Festplatten, die mit einem der folgenden Algorithmen verschlüsselt sind: XOR, STEALTH, DES, RIJANDAEL, Blowfish-8, Blowfish-16 Multi-Boot Szenarien mit einer zweiten Windows- oder Linux-Partition Es werden keine Wechselmedien migriert, die mit einem der folgenden Algorithmen verschlüsselt sind: XOR, STEALTH, DES, RIJANDAEL, Blowfish-8, Blowfish-16 Achtung: Es besteht die Gefahr von Datenverlust, wenn ein Wechselmedium mit einem der Algorithmen XOR, STEALTH, DES, RIJANDAEL, Blowfish-8, Blowfish-16 in SafeGuard Easy verschlüsselt wurde und auf SafeGuard Enterprise migriert werden soll. Die Daten auf dem Wechselmedium können nach der Migration mit SafeGuard Enterprise nicht mehr gelesen werden! 123 SafeGuard® Enterprise 5.50, Installation Wechselmedien können in das SafeGuard Enterprise Format konvertiert werden. Nach der Konvertierung kann ein verschlüsselter Datenträger nur noch mit SafeGuard Enterprise und nur auf dem Endpoint-Computer gelesen werden, an dem die Konvertierung durchgeführt wurde. Wechselmedien mit Super Floppy Volumes können nach der Migration nicht umgewandelt werden. 18.3 Welche Funktionalität wird migriert Die folgende Tabelle zeigt, welche Funktionalität migriert wird und wie diese in SafeGuard Enterprise abgebildet wird. SafeGuard Easy/ Sophos SafeGuard Disk Encryption Migration SafeGuard Enterprise Verschlüsselte Festplatten Ja Die Festplattenschlüssel werden durch die SafeGuard Enterprise Power-on Authentication geschützt. Der Festplattenschlüssel ist somit zu keiner Zeit exponiert. Wenn der Modus "Boot Protection" gewählt wurde, muss die bisherige SafeGuard Easy Version deinstalliert werden. Der Verschlüsselungsalgorithmus der Festplatte wird bei der Migration nicht verändert. Daher kann sich der tatsächliche Algorithmus einer solchen migrierten Festplatte von der allgemeinen SafeGuard Enterprise Richtlinie unterscheiden. Verschlüsselte Wechselmedien (gilt nicht für Sophos SafeGuard Disk Encryption) Ja Verschlüsselte Datenträger, z. B. USBSticks, können in das SafeGuard Enterprise Format konvertiert werden. Hinweis: Nach der Konvertierung kann ein verschlüsselter Datenträger nur noch mit SafeGuard Enterprise und nur auf dem Endppoint-Computer gelesen werden, an dem die Konvertierung durchgeführt wurde. Die Konvertierung muss jeweils bestätigt werden. Zu Ausnahmen siehe Einschränkungen auf Seite 123. 124 SafeGuard® Enterprise 5.50, Installation 125 SafeGuard Easy/ Sophos SafeGuard Disk Encryption Migration SafeGuard Enterprise Verschlüsselungsalgorithmen Teilweise Die für die Migration geeigneten Algorithmen AES128, AES256, 3DES, IDEA werden migriert. AES-128 und 3-DES stehen jedoch nicht im Management Center zur Auswahl für neu zu verschlüsselnde Medien zur Verfügung. Zu nicht migrierbaren Algorithmen siehe Einschränkungen auf Seite 123. Challenge/Response Teilweise Das Challenge/Response-Verfahren bleibt erhalten. Benutzernamen Nein Da in SafeGuard Enterprise die WindowsBenutzernamen verwendet werden, ist eine Übernahme der bestehenden SafeGuard Easy/Sophos SafeGuard Disk Encryption Benutzernamen nicht nötig. Die Registrierung der migrierten Computer erfolgt deshalb wie bei einer Neuinstallation von SafeGuard Enterprise: durch zentrales Zuweisen oder lokales Registrieren des Computer-Besitzers. Benutzerkennwörter Nein Da die Windows Kennwörter in SafeGuard Enterprise verwendet werden, müssen die SafeGuard Easy/Sophos SafeGuard Disk Encryption Kennwörter nicht übernommen werden. Die spezifischen SafeGuard Easy/Sophos SafeGuard Disk Encryption Kennwörter werden deshalb nicht migriert. Richtlinien, Einstellungen (z. B. Mindestpasswortlänge) Nein Zur Sicherstellung der Konsistenz der gesamten Einstellungen ist eine automatische Übernahme nicht vorgesehen. Die Einstellungen müssen im SafeGuard Management Center neu gesetzt werden. Pre-Boot Authentisierung Nein Die Pre-Boot Authentisierung (PBA) wird durch die SafeGuard Enterprise Power-on Authentication (POA) ersetzt. SafeGuard® Enterprise 5.50, Installation SafeGuard Easy/ Sophos SafeGuard Disk Encryption Migration SafeGuard Enterprise Installationen ohne GINA Ja Installationen ohne GINA werden auf SafeGuard Enterprise mit installierter SGNGINA migriert. Token/Smartcards (gilt nicht für Sophos SafeGuard Disk Encryption) Teilweise Die Token/Smartcard-Hardware kann in SafeGuard Enterprise weiterverwendet werden. Allerdings werden die Anmeldeinformationen nicht migriert. Die in SafeGuard Easy verwendeten Token müssen deshalb in SafeGuard Enterprise neu ausgestellt werden und wie bei jedem anderen SafeGuard Enterprise EndpointComputer über Richtlinien eingerichtet werden. SafeGuard Easy Anmeldeinformationen in Dateiform auf Token/Smartcards, bleiben als solche erhalten, können aber lediglich zur Anmeldung an Computern mit SafeGuard Easy Unterstützung verwendet werden. Falls notwendig, muss die benutzte Token/ Smartcard-Middleware auf eine von SafeGuard Enterprise unterstützte Version aktualisiert werden. Anmeldung mit Lenovo Fingerabdruck-Leser Teilweise Die Anmeldung per Fingerabdruck kann in SafeGuard Enterprise weiterhin benutzt werden. Die Hardware sowie die Software für den Fingerabdruck-Leser muss von SafeGuard Enterprise unterstützt werden. Außerdem müssen die Benutzerdaten erneut ausgerollt werden. Weitere Informationen zur Anmeldung per Fingerabdruck finden Sie in der Benutzerhilfe. 126 SafeGuard® Enterprise 5.50, Installation 18.4 Vorbereitungen Folgende Maßnahmen sollten Sie treffen, bevor Sie die Installation von SafeGuard Enterprise starten: Bevor Sie die Endpoint-Computer migrieren, erstellen Sie im SafeGuard Management Center ein SafeGuard Enterprise Konfigurationspaket. Installieren Sie das Konfigurationspaket nach der Installation der SafeGuard Enterprise Verschlüsselungssoftware auf den EndpointComputern. Die mit dem ersten Konfigurationspaket übertragenen Richtlinien sollten mit der vorigen Konfiguration des SafeGuard Easy/Sophos SafeGuard Disk Encryption Computers übereinstimmen. Wenn mit der Migration kein Konfigurationspaket installiert wird, bleiben alle Laufwerke, die mit SafeGuard Easy/Sophos SafeGuard Disk Encryption verschlüsselt wurden, verschlüsselt. Erstellen Sie zur Sicherheit ein komplettes Backup der zu migrierenden Computer. Führen Sie die vor der Installation von SafeGuard Enterprise empfohlenen Schritte aus, verwenden Sie z. B. “chkdsk“ und “defrag“. Details zu z. B. “chkdsk“ und “defrag“ finden Sie in unserer Wissensdatenbank chdsk: http://www.sophos.de/support/knowledgebase/article/107799.html defrag: http://www.sophos.de/support/knowledgebase/article/109226.html 127 Erstellen Sie einen gültigen Kernel-Backup und legen Sie diesen an einem Speicherort ab, auf den immer zugegriffen werden kann (zum Beispiel Netzwerkpfad). Weitere Informationen hierzu finden Sie in den SafeGuard Easy 4.5x/Sophos SafeGuard Disk Encryption 4.60 Handbüchern/Hilfen im Kapitel Systemkern sichern und Notfallmedien erstellen. Legen Sie bei der ersten Migration zur Sicherheit eine Testumgebung an. Migrieren Sie ältere Versionen von SafeGuard Easy zuerst auf die Version 4.50. Lassen Sie die Computer während des gesamten Migrationsprozesses eingeschaltet. Der Sicherheitsbeauftragte sollte die Windows-Anmeldeinformationen der Benutzer bereithalten, falls diese nach der erfolgreichen Migration ihre Windows-Kennwörter vergessen haben. Dieser Fall kann eintreten, wenn die Benutzer sich früher an der SafeGuard Easy/ Sophos SafeGuard Disk Encryption Pre-Boot Authentisierung angemeldet haben und eventuell zu einem späteren Zeitpunkt über das Windows Secure Autologon (SAL) angemeldet wurden. Die Benutzer haben daher ihre Windows Anmeldeinformationen nie benutzt. SafeGuard® Enterprise 5.50, Installation Achtung: Benutzern muss vor der Migration ein Kennwort zur Windows-Anmeldung bekannt sein. Dies ist wichtig, da ein Windows-Kennwort nicht nachträglich nach der Migration und Installation von SafeGuard Enterprise gesetzt werden kann. Wenn die Benutzer Ihr WindowsKennwort nicht kennen, weil Sie sich über SAL in SafeGuard Easy/Sophos SafeGuard Disk Encryption angemeldet haben, können sie sich an SafeGuard Enterprise nicht anmelden. Die automatische Anmeldung an Windows wird in diesem Fall abgewiesen und die Benutzer können sich nicht mehr an SafeGuard Enterprise anmelden. Es besteht die Gefahr des Datenverlusts, da Benutzer nicht in der Lage sind, auf ihre Computer zuzugreifen. 18.5 Migration starten Die Installation kann auf einem laufenden SafeGuard Easy/Sophos SafeGuard Disk Encryption System durchgeführt werden. Verschlüsselte Festplatten oder Volumes müssen nicht vorab entschlüsselt werden. Verwenden Sie das SafeGuard Device Encryption Client-Paket (SGNClient.msi) aus dem Installationsverzeichnis mit dem Standard-Funktionsumfang. Das Client-Paket SGNClient_withoutDE.msi kann nicht verwendet werden. Achtung: Für eine erfolgreiche Migration sollte die Installation am besten zentral im unbeaufsichtigten Modus erfolgen. Die lokale Installation über das Setup-Verzeichnis wird nicht empfohlen! Gehen Sie folgendermaßen vor: 1. Doppelklicken Sie im SafeGuard Easy/Sophos SafeGuard Disk Encryption Programmordner des zu migrierenden Endpoint-Computers auf WIZLDR.exe. Der Migrationsassistent wird gestartet. 2. Geben Sie im Migrationsassistenten das SYSTEM-Kennwort ein und bestätigen Sie mit Weiter. Bestätigen Sie in Zielordner die Standardeinstellung mit Weiter und klicken Sie auf Beenden, um die Aktion abzuschließen. Die Migrations-Konfigurationsdatei SGEMIG.cfg wird erzeugt. 3. Benennen Sie diese Datei im Windows Explorer von SGEMIG.cfg in SGE2SGN.cfg um. Speichern Sie sie an einem Ort, auf den der Computer während der Migration zugreifen kann. Hinweis: "Ersteller/Besitzer"-Rechte müssen für diese Datei und den Dateipfad gesetzt sein, auf dem sie während der Migration gespeichert ist. Andernfalls schlägt die Migration fehl und eine Meldung wird ausgegeben, dass SGE2SGN.cfg nicht gefunden werden konnte. 128 SafeGuard® Enterprise 5.50, Installation 4. Geben Sie das Kommando “msiexec“ in der Eingabeaufforderung ein, um das vorbereitende SafeGuard Enterprise Installationspaket sowie das SafeGuard Enterprise Client Installationspaket auf dem SafeGuard Easy/Sophos SafeGuard Disk Encryption EndpointComputer auszuführen. Fügen Sie den Parameter MIGFILE mit dem Pfad der Migrationsdatei SGE2SGN.cfg hinzu: Beispiel: msiexec /i \\Distributionserver\Software\Sophos\SafeGuard\SGxClientPreinstall.msi msiexec /i \\Distributionserver\Software\Sophos\SafeGuard\SGNClient.msi /L*VX \\Distributionserver\Software\Sophos\SafeGuard\%Computername%.log“ MIGFILE=\\Distributionserver\Software\Sophos\SafeGuard\SGE2SGN.cfg Wenn die Migration erfolgreich durchgeführt wurde, kann SafeGuard Enterprise auf dem Computer benutzt werden. Schlägt die Migration fehl, kann SafeGuard Easy/Sophos SafeGuard Disk Encryption immer noch auf dem Computer benutzt werden. In diesem Fall wird SafeGuard Enterprise automatisch entfernt. 18.6 Migrierte Endpoint-Computer konfigurieren Die Endpoint-Computer werden initial über Konfigurationspakete konfiguriert. Diese Pakete definieren unter anderem, ob es sich bei dem Computer um einen Standalone Client oder einen zentral verwalteten Client handelt und aktivieren die Power-on Authentication. Während der Migration sollte daher zuerst SGNClient.msi installiert werden. Erst wenn die POA aktiviert wurde und der Benutzer sich erfolgreich an Windows angemeldet hat, sollte die Konfiguration des Endpoint-Computers erfolgen. 1. Erstellen Sie das erste Konfigurationspaket im SafeGuard Management Center über Extras > Konfigurationspakete mit den entsprechenden Richtlinien-Einstellungen. 2. Installieren Sie das Konfigurationspaket auf den Endpoint-Computern. Hinweis: Die mit dem ersten SafeGuard Enterprise Konfigurationspaket übertragenen Richtlinien müssen der früheren Konfiguration des SafeGuard Easy/Sophos SafeGuard Disk Encryption Computers entsprechen. 129 SafeGuard® Enterprise 5.50, Installation 18.7 Nach der Migration Nach erfolgreicher Migration steht Ihnen in SafeGuard Enterprise nach der Anmeldung an der Power-on Authentication folgendes zur Verfügung: die Schlüssel und Algorithmen der verschlüsselten Festplatten die Schlüssel und Algorithmen für verschlüsselte Wechselmedien (nur bei Migration von SafeGuard Easy). Verschlüsselte Volumes bleiben verschlüsselt und die Verschlüsselungschlüssel werden automatisch in ein SafeGuard Enterprise kompatibles Format konvertiert. Achtung: Um in der Lage zu sein, die Festplatte zu entschlüsseln und Schlüssel für die Festplattenverschlüsselung hinzuzufügen und zu entfernen, muss der Benutzer zunächst den Computer neu starten. Die Richtlinien müssen je nach Anforderung im SafeGuard Management Center zurückgesetzt werden, damit sie der vorigenKonfiguration des SafeGuard Easy/Sophos SafeGuard Disk Encryption Endpoint-Computers entsprechen. Wechselmedienmigration Hinweis: Wechselmedienmigration ist für Sophos SafeGuard Disk Encryption nicht verfügbar. Verschlüsselte Wechselmedien bleiben ebenfalls verschlüsselt, müssen aber in ein SafeGuard Enterprise kompatibles Schlüsselformat umgewandelt werden. Note: Dehalb kann ein verschlüsseltes Wechselmedium nach der Konvertieurng nur mit SafeGuard Enterprise gelesen werden und nur an dem Endpoint-Compute, an dem es während der Migration konvertiert wurde! Um verschlüsselte Wechselmedien zu entschlüsseln oder Schlüssel für die Verschlüsselung von Wechselmedien hinzuzufügen oder zu entfernen, muss der Benutzer das Wechselmedium zunächst vom Computer entfernen und danach wieder anstecken. Wenn der Benutzer nach der Migration auf Wechselmedien zugreift, muss er aktiv die Umwandlung der Verschlüsselungsschlüssel in ein SafeGuard Enterprise kompatibles Format bestätigen. Vor der Konvertierung muss auf dem Endpoint-Computer die entsprechende Richtlinie für volume-basierende Verschlüsselung vorliegen. Ansonsten findet die Formatumwandlung nicht statt. 130 SafeGuard® Enterprise 5.50, Installation Der Benutzer wird aufgefordert, die Umwandlung für alle Wechselmedien zu bestätigen. Eine entsprechende Meldung wird angezeigt. Bestätigt der Benutzer die Umwandlung, so ist der Zugriff auf die migrierten Daten in vollem Umfang möglich. Lehnt der Benutzer die Umwandlung ab, lassen sich die migrierten Daten noch zum Lesen und Schreiben öffnen. Neu hinzukommende Wechselmedien werden wie bei jedem SafeGuard Enterprise Client verschlüsselt, wenn die entsprechende Richtlinie am Endpoint-Computer vorliegt. 131 SafeGuard® Enterprise 5.50, Installation 19 Betriebssystem aktualisieren Wenn SafeGuard Enterprise installiert ist, ist es nur möglich, die Service Pack Version Ihres Betriebssystems zu aktualisieren. Sie können z. B. ein neues Windows XP Service Pack installieren. Es ist jedoch nicht möglich, von einer Betriebssystem-Serie auf eine andere zu migrieren. Sie können z. B. nicht von Windows XP auf Windows Vista umstellen, wenn SafeGuard Enterprise installiert ist. 132 SafeGuard® Enterprise 5.50, Installation 20 Anhang - Best Practice Szenario Für dieses Szenario ist Europa der geeignete Standort für die SafeGuard Enterprise Datenbank. Denn: 133 Das Active Directory ist in Europa lokalisiert und erlaubt damit eine schnelle Synchronisation. Die zentrale Verwaltung über das SafeGuard Management Center findet in Europa statt. Der IIS Server steht in Europa. Und in Europa befinden sich die meisten Benutzer. SafeGuard® Enterprise 5.50, Installation 21 Technischer Support Technischen Support zu Sophos Produkten können Sie wie folgt abrufen: Rufen Sie das SophosTalk-Forum unter http://community.sophos.com auf und suchen Sie nach Benutzern mit dem gleichen Problem. Durchsuchen Sie die Sophos Support-Knowledgebase unter http://www.sophos.de/support/. Laden Sie Dokumentation zu den Produkten unter http://www.sophos.de/support/docs/ herunter. Senden Sie eine E-Mail an den technischen Support support@sophos.de und geben Sie die Versionsnummer(n), Betriebssystem(e) und Patch Level Ihrer Sophos Software sowie ggf. den genauen Wortlaut von Fehlermeldungen an. 134 SafeGuard® Enterprise 5.50, Installation 22 Copyright Copyright © 1996 - 2010 Sophos Group und Utimaco Safeware AG. Alle Rechte vorbehalten. Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch gespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie verfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung mit dem Lizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftliche Genehmigung des Urheberrechtsinhabers. Sophos ist ein eingetragenes Warenzeichen von Sophos Plc und der Sophos Group. SafeGuard ist ein eingetragenes Warenzeichen von Utimaco Safeware AG - a member of the Sophos Group. Alle anderen erwähnten Produkt- und Unternehmensnamen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Inhaber. Alle SafeGuard Produkte unterliegen dem Urheberrecht der Utimaco Safeware AG - a member of the Sophos Group, oder, sofern anwendbar, ihrer Lizenzinhaber. Alle weiteren Sophos Produkte unterliegen dem Urheberrecht der Sophos Plc oder, sofern anwendbar, ihrer Lizenzinhaber. Copyright-Informationen von Drittanbietern finden Sie in der Datei Disclaimer and Copyright for 3rd Party Software.rtf in Ihrem Produktverzeichnis. 135