SafeGuard Enterprise Installation

Transcription

SafeGuard Enterprise Installation
SafeGuard® Enterprise 5.50
Installation
Stand: November 2010
Inhalt
1
SafeGuard Enterprise Überblick ........................................................................................................... 3
2
SafeGuard Enterprise Komponenten.................................................................................................... 4
3
Installation vorbereiten.......................................................................................................................... 7
4
SafeGuard Enterprise Datenbank einrichten...................................................................................... 18
5
SafeGuard Management Center einrichten........................................................................................ 29
6
SafeGuard Enterprise Server einrichten.............................................................................................. 45
7
Kommunikation testen........................................................................................................................ 59
8
Replikation der SafeGuard Enterprise Datenbank............................................................................. 64
9
Organisationsstruktur einrichten........................................................................................................ 70
10 SafeGuard Konfigurationen für Endpoint-Computer....................................................................... 75
11 Endpoint-Computer zentral einrichten.............................................................................................. 82
12 Endpoint-Computer lokal einrichten................................................................................................. 98
13 SafeGuard Enterprise Client auf einem Computer mit mehreren Betriebssystemen installieren. 102
14 SafeGuard Configuration Protection installieren ............................................................................ 105
15 Deinstallation am Endpoint-Computer verhindern........................................................................ 110
16 SafeGuard Enterprise aktualisieren................................................................................................... 111
17 Migration von Sophos SafeGuard 5.5.x auf SafeGuard Enterprise ................................................. 119
18 Migration von SafeGuard Easy 4.x/Sophos SafeGuard Disk Encryption 4.x auf 
SafeGuard Enterprise ......................................................................................................................... 122
1
19 Betriebssystem aktualisieren.............................................................................................................. 132
20 Anhang - Best Practice Szenario........................................................................................................ 133
21 Technischer Support.......................................................................................................................... 134
22 Copyright............................................................................................................................................ 135
2
SafeGuard® Enterprise 5.50, Installation
1 SafeGuard Enterprise Überblick
SafeGuard Enterprise ist eine umfassende, modular aufgebaute Datensicherheitslösung, die
Informationen und Informationsaustausch auf Servern, PCs und mobilen Endgeräten durch ein
richtlinienbasiertes Verschlüsselungskonzept zuverlässig schützt.
Die zentrale Verwaltung übernimmt dabei das Management Center von SafeGuard Enterprise.
Sicherheitsrichtlinien, Schlüssel und Zertifikate, Smartcards und Token können über ein
rollenbasiertes Administrationskonzept übersichtlich verwaltet werden. Ausführliche
Protokollierung und Reportfunktionen gewährleisten stets den Überblick über alle Ereignisse.
Auf Benutzerseite sind Datenverschlüsselung und Schutz vor Angreifern die primären
Sicherheitsfunktionen von SafeGuard Enterprise. SafeGuard Enterprise fügt sich dabei nahtlos in
die gewohnte Benutzerumgebung ein und lässt sich leicht und intuitiv bedienen. Die SafeGuard
eigene Authentisierung, die Power-on Authentication (POA), sorgt für den nötigen
Zugriffsschutz und bietet komfortable Unterstützung bei der Wiederherstellung von
Anmeldeinformationen.
Hinweis: Nutzen Sie auch die Möglichkeit, SafeGuard Enterprise über Video-Tutorials
kennenzulernen. Sie finden die Video-Tutorials auf der Produkt-CD. Sie zeigen die Installation
von SafeGuard Enterprise und stellen die Arbeit mit dem SafeGuard Management Center vor.
3
SafeGuard® Enterprise 5.50, Installation
2 SafeGuard Enterprise Komponenten
In diesem Kapitel lernen Sie die Komponenten von SafeGuard Enterprise und das
Zusammenspiel zwischen den einzelnen Komponenten kennen.
Eine oder mehrere Microsoft SQL Datenbanken sammeln Informationen über die Benutzer-PCs
im Firmennetzwerk. Der Administrator, bei SafeGuard Enterprise heißt er HauptSicherheitsbeauftragter oder Master Security Officer (MSO), nutzt das SafeGuard Management
Center, um die Datenbankinhalte zu steuern und neue Sicherheitsrichtlinien (Policies) zu
erstellen.
Die PCs/Notebooks der Benutzer lesen die Richtlinien aus der Datenbank und berichten die
erfolgreiche Ausführung an die Datenbank. Die Kommunikation zwischen Datenbank und
Benutzer-PCs übernimmt dabei ein Internet Information Services (IIS) basierter Webserver, auf
dem der SafeGuard Enterprise Server eingerichtet ist.
4
SafeGuard® Enterprise 5.50, Installation
Die folgende Tabelle beschreibt die einzelnen Komponenten:
Komponente
Hinweis
SafeGuard Enterprise
Die SafeGuard Enterprise Datenbank(en) enthält/
Datenbank(en) basierend auf
enthalten alle relevanten Daten wie Schlüssel/
Microsoft SQL Server Datenbank Zertifikate, Informationen zu Benutzern &
Computern, Ereignisse und die
Richtlinieneinstellungen.
Zugriff auf die Datenbank(en) benötigt der SafeGuard
Enterprise Server und ein einziger
Sicherheitsbeauftragter des SafeGuard Management
Centers, meist der Haupt-Sicherheitsbeauftragte
(MSO).
Die Erzeugung und Konfiguration der SafeGuard
Enterprise Datenbank(en) kann über einen Assistenten
oder über Skripte erfolgen.
SafeGuard Enterprise Server auf
IIS basiertem Webserver
Microsoft Internet Information Services (ISS) mit
.NET Framework 3.0 SP 1 und ASP.NET 2.0
Der für SafeGuard Enterprise eingesetzte Webserver
muss auf Internet Information Services (IIS) basieren.
Wir empfehlen den Einsatz eines dedizierten IIS
Servers für SafeGuard Enterprise Server. Es ist möglich,
den IIS Server zu clustern.
SafeGuard Enterprise Server
Schnittstelle zwischen Datenbank und SafeGuard
Enterprise Endpoint-Computer. Der SafeGuard
Enterprise Server sendet auf Anfrage SafeGuard
Enterprise Richtlinieneinstellungen an die BenutzerPCs. Er benötigt Zugriff auf die Datenbank. Er läuft als
Anwendung auf einem Microsoft Internet Information
Services (IIS) basierten Webserver.
5
SafeGuard Management Center
mit .NET Framework 3.0 SP 1, 
ASP.Net 2.0 auf AdministratorPC
Zentrales Management-Werkzeug für SafeGuard
Enterprise zur Verwaltung von Schlüsseln und
Zertifikaten, Benutzern & Computern, sowie zur
Erstellung von SafeGuard Enterprise Richtlinien. Das
SafeGuard Management Center kommuniziert mit der
Datenbank.
Verzeichnisdienste (optional)
Import eines Active Directory. Es enthält die
Organisationsstruktur des Unternehmens mit
Benutzern und Computern.
SafeGuard® Enterprise 5.50, Installation
Komponente
Hinweis
SafeGuard Enterprise Client 
auf Endpoint-Computern
Client-Software zur Authentisierung und
Datenverschlüsselung auf Endpoint-Computern. Der
SafeGuard Enterprise Client kommuniziert mit dem
SafeGuard Enterprise Server.
6
SafeGuard® Enterprise 5.50, Installation
3 Installation vorbereiten
Dieses Kapitel erklärt die notwendigen Voraussetzungen für eine erfolgreiche Installation von
SafeGuard Enterprise.
3.1 Erste Schritte vor der Installation
Vor der Installation müssen verschiedene Vorbereitungen getroffen werden. Stellen Sie vor der
Installation sicher, dass die folgenden Punkte erfüllt sind.
Allgemeine Vorbereitungen

Schließen Sie alle geöffneten Applikationen.

Sie benötigen Windows-Administratorrechte.

Stellen Sie sicher, dass genügend Festplattenspeicher frei ist. Informationen hierzu finden Sie
in den Release Notes.

Lesen Sie die Release Notes.
Vorbereitungen für die Verschlüsselung

Auf dem Endpoint-Computer muss ein Benutzerkonto eingerichtet und aktiv sein.

Erstellen Sie einen kompletten Backup Ihrer Daten auf dem Endpoint-Computer.

Untersuchen Sie die Festplatte(n) mit folgenden Kommando auf Fehler:
chkdsk
chkdsk %systemdrive% /F /V /L /X
Unter Umständen werden Sie dazu aufgefordert, den Computer neu zu starten und chkdsk
erneut auszuführen.
Weitere Informationen zu diesem Thema erhalten Sie in unserer Wissensdatenbank:
http://www.sophos.com/support/knowledgebase/article/107799.html.
7

Benutzen Sie das Windows-Tool "defrag", um fragmentierte Boot-Dateien, Datendateien und
Ordner auf lokalen Volumes aufzufinden und zu konsolidieren. Weitere Informationen
hierzu finden Sie in unserer Wissensdatenbank: 
http://www.sophos.com/support/knowledgebase/article/109226.html.

Deinstallieren Sie Third-Party Boot-Manager, z. B. “PROnetworks Boot Pro" und "Boot-US".

Wenn Daten mit Hilfe eines Software Clone-Programms auf die Festplatte gebracht wurden,
wird empfohlen, den MBR „neu“ zu schreiben. Für die Installation benötigen Sie einen Master
Boot Record in einwandfreiem Zustand. Möglicherweise ist der MBR aber durch den Einsatz
von Image/Clone-Programmen nicht mehr in einwandfreiem, ursprünglichen Zustand.
SafeGuard® Enterprise 5.50, Installation
Säubern Sie deshalb den Master Boot Record, indem Sie von einer Windows-CD booten und
den Befehl FIXMBR in der Windows Recovery Console ausführen.
Weitere Informationen finden Sie in unserer Wissensdatenbank: 
http://www.sophos.com/support/knowledgebase/article/108088.html.

Wenn die Bootpartition von FAT nach NTFS konvertiert wurde, der Computer aber noch
nicht neu gestartet wurde, sollten Sie SafeGuard Enterprise nicht installieren. Hierbei ist es
möglich, dass die Installation nicht beendet wird, da das Dateisystem zum Zeitpunkt der
Installation noch FAT ist, jedoch zum Zeitpunkt der Aktivierung NTFS vorgefunden wird. In
diesem Fall müssen Sie den Computer einmalig neu starten, bevor SafeGuard Enterprise
installiert wird.
SafeGuard Enterprise wird ständig weiterentwickelt. Daher kann Ihre Version bereits
Neuerungen enthalten, die bei Redaktionsschluss des Handbuches bzw. der Online-Hilfe noch
nicht berücksichtigt werden konnten. Diese Änderungen sind in den Release Notes beschrieben.
Lesen Sie diese vor der Installation sorgfältig durch.
3.2 Systemvoraussetzungen
Genaue Informationen über Systemvoraussetzungen für Hardware-und Software, Service Packs
und Speicherplatzbedarf während der Installation und im Betrieb entnehmen Sie bitte den
Release Notes.
Spezifische Anforderungen für Endpoint-Computer:
AHCI
Wenn auf dem Computer Intel Advanced Host Controller Interface (AHCI) benutzt wird, so
muss sich die Boot-Festplatte in Slot 0 oder Slot 1 befinden. Sie können bis zu 32 Festplatten
einlegen. SafeGuard Enterprise läuft nur auf den ersten beiden Slot-Nummern.
Dynamic und GPT Platten
Dynamic- und GPT-Platten werden nicht unterstützt. Die Installation bricht in diesem Fall ab.
Wenn diese Platten nachträglich im System auftauchen, werden sie nicht unterstützt.
SCSI-Festplatten
Systeme mit Festplatten, die über einen SCSI Bus angeschlossen sind, werden vom SafeGuard
Enterprise Device Encryption Client nicht unterstützt.
8
SafeGuard® Enterprise 5.50, Installation
3.3 Installationspakete
Die zu installierenden Komponenten von SafeGuard Enterprise finden Sie in Form von .msiPaketen auf den Produkt-CDs.
Hinweis: Wenn das Betriebssystem des Endpoint-Computers Windows 7 64-Bit oder Windows
Vista 64-Bit ist, können Sie die 64-Bit-Variante der “Client” .msi-Pakete installieren
<Paketname>_x64.msi). Das 64-Bit-Paket des SafeGuard Configuration Protection Client ist
verfügbar für Windows 7 64-Bit.
Folgende .msi-Pakete sind verfügbar:
9
Installationspakete
Beschreibung
SGNServer.msi
SafeGuard Enterprise Server
SGNManagementCenter.msi
SafeGuard Management Center für die zentrale
Administration von Domänen, Schlüsseln, Richtlinien
usw.
SGxClientPreinstall.msi
Muss vor der Verschlüsselungssoftware auf den EndpointComputern installiert werden (obligatorisch). Stattet die
Endpoint-Computer mit notwendigen Voraussetzungen
für die erfolgreiche Installation der
Verschlüsselungssoftware aus.
SGNClient.msi
SGNClient_x64.msi
Volume-basierende Verschlüsselung und dateibasierende
Verschlüsselung mit SafeGuard Data Exchange sowohl für
SafeGuard Enterprise Clients (Managed) als auch für
Sophos SafeGuard Clients (Standalone).
SGNClient_withoutDE.msi
SGNClient_withoutDE_x64.msi
SafeGuard Data Exchange mit dateibasierender
Verschlüsselung ohne Power-on Authentication sowohl
für SafeGuard Enterprise Clients (Managed) als auch für
Sophos SafeGuard Clients (standalone).
SGN_CP_Client.msi
SGN_CP_Client_x64.msi
(verfügbar für 
Windows 7 64-Bit)
SafeGuard Configuration Protection: Schnittstellenschutz
und Management von Peripheriegeräten auf EndpointComputern.
SafeGuard Configuration Protection steht für Sophos
SafeGuard Clients (standalone) NICHT zur Verfügung.
Die 64-Bit-Variante dieses Pakets ist verfügbar für 
Window 7 64-Bit Betriebssysteme.
SafeGuard® Enterprise 5.50, Installation
SGNClientRuntime.msi
SGNClientRuntime_x64.msi
Runtime Client, der das Booten von einem sekundären
Boot-Laufwerk ermöglicht, wenn mehrere Betriebssysteme
installiert sind und der den Zugriff auf diese Laufwerke
erlaubt, wenn diese durch die primäre SafeGuard
Enterprise Installation verschlüsselt sind
Dieses Installationspaket steht sowohl für SafeGuard
Enterprise Clients (managed) als auch für Sophos
SafeGuard Clients (standalone) zur Verfügung.
Darüber hinaus müssen während der Installation Konfigurationspakete erzeugt werden.
3.4 Sprache der Benutzeroberfläche
Die Sprache von SafeGuard Enterprise am Client steuern Sie im Management Center über den
Richtlinientyp Allgemeine Einstellungen > Anpassung > Sprache am Client.

Wenn Sprache des Betriebssystems gewählt wird, richtet sich die Produktsprache nach der
Spracheinstellung des Betriebssystems. Steht die entsprechende Betriebssystemsprache in
SafeGuard Enterprise nicht zur Verfügung, wird standardmäßig das englische SafeGuard
Enterprise angezeigt.

Wenn eine der zur Verfügung stehenden Sprachen gewählt wird, werden die SafeGuard
Enterprise Produktanteile in der ausgewählten Sprache angezeigt.
Die Sprache des Management Centers definieren Sie im SafeGuard Management Center:

Öffnen Sie das Menü Extras > Optionen > Allgemein > Sprache des SafeGuard Management
Centers und wählen Sie eine Sprache aus.

Starten Sie das Management Center neu. Es wird in der ausgewählten Sprache angezeigt.
Sprache während der Installation
Die Sprache der Installations- und Konfigurationsassistenten wird automatisch an die
Spracheinstellungen des Betriebssystems angepasst. Deutsch, Englisch, Französisch und
Japanisch werden für die Installations- und Konfigurationsassistenten unterstützt. Wenn zum
Beispiel die Sprache des Betriebssystems auf Deutsch gestellt ist, wird der Installationsassistent
ebenfalls auf Deutsch angezeigt.
10
SafeGuard® Enterprise 5.50, Installation
3.5 Zusammenspiel mit weiteren SafeGuard Produkten
3.5.1 Zusammenspiel mit SafeGuard LAN Crypt
Beachten Sie folgendes:

SafeGuard LAN Crypt 3.7x und SafeGuard Enterprise 5.50 können zusammen auf einem
Computer installiert werden und sind voll kompatibel.

SafeGuard LAN Crypt mit Versionen niedriger als 3.7x und SafeGuard Enterprise 5.5x können
nicht zusammen auf einem Computer installiert werden. 
Wenn Sie versuchen, SafeGuard Enterprise 5.50 auf einem Computer zu installieren, auf dem
sich bereits SafeGuard LAN Crypt der Version 3.6x oder niedriger befindet, wird die
Installation abgebrochen und eine entsprechende Fehlermeldung ausgegeben.

SafeGuard LAN Crypt 3.7x und SafeGuard Enterprise mit Versionen niedriger als 5.35.4
können nicht zusammen auf einem Computer installiert werden. 
Wenn Sie versuchen, SafeGuard LAN Crypt 3.7x auf einem Computer zu installieren, auf dem
sich bereits SafeGuard Enterprise mit Versionen niedriger als 5.35.4 befindet, wird die
Installation abgebrochen und eine entsprechende Fehlermeldung ausgegeben.
3.5.2 Zusammenspiel mit SafeGuard PrivateCrypto und SafeGuard PrivateDisk
SafeGuard Enterprise 5.5x und die Standalone Produkte SafeGuard PrivateCrypto ab Version
2.30 sowie SafeGuard PrivateDisk ab Version 2.30 können gleichzeitig auf einem Computer
installiert sein

Sowohl SafeGuard PrivateCrypto als auch SafeGuard PrivateDisk können dann das SafeGuard
Enterprise Schlüsselmanagement mit benutzen.
3.5.3 Zusammenspiel mit SafeGuard Removable Media
Das Modul SafeGuard Data Exchange und SafeGuard Removable Media können nicht zusammen
auf einem Computer installiert werden. Prüfen Sie, bevor Sie das Module SafeGuard Data
Exchange auf einem Computer installieren, ob SafeGuard Removable Media bereits installiert ist.
In diesem Fall müssen Sie SafeGuard Removable Media zuerst deinstallieren, bevor Sie SafeGuard
Data Exchange auf dem Computer installieren.
11
SafeGuard® Enterprise 5.50, Installation
3.6 Transportverbindungen sichern mit SSL
SafeGuard Enterprise unterstützt zur Erhöhung der Sicherheit die Verschlüsselung der
Transportverbindungen zwischen den einzelnen Komponenten mit SSL.

Die Verbindung zwischen dem Datenbankserver und dem Web Server sowie die Verbindung
zwischen dem Datenbankserver und dem Computer, auf dem das SafeGuard Management
Center installiert ist, kann mit SSL verschlüsselt werden.
In SafeGuard Enterprise ist es möglich, eine spezifische Datenbankverbindung für jeden
registrierten Web Server einzurichten.

Die Verbindung zwischen dem SafeGuard Enterprise Server und dem SafeGuard Enterprise
Client kann entweder mit SSL oder mit SafeGuard-spezifischer Verschlüsselung verschlüsselt
werden. Vorteilhaft ist, dass es sich bei SSL um ein Standardprotokoll handelt und dadurch
eine schnellere Verbindung hergestellt werden kann als bei der Verwendung der SafeGuardspezifischen Verschlüsselung.
SSL-Verschlüsselung kann für SafeGuard Enterprise während der Konfiguration der SafeGuard
Enterprise-Komponenten direkt nach der Installation eingestellt werden. Es kann jedoch ebenso
gut nachträglich zu jedem beliebigen Zeitpunkt aktiviert werden. Eine Neuinstallation ist dazu
nicht erforderlich. Lediglich ein neues Konfigurationspaket muss erstellt und auf dem
entsprechenden Server oder Client ausgeführt werden.
Bevor SSL jedoch für SafeGuard Enterprise aktiviert werden kann, muss eine funktionsfähige
SSL-Umgebung eingerichtet werden.
ACHTUNG: 
Allgemeine Vorsichtsmaßnahmen: 
Die Computer, auf denen der SafeGuard Enterprise Server, die Datenbank und das Management
Center laufen, sollten vor unberechtigtem Zugriff geschützt werden. Hierzu eignen sich die
folgenden praktischen Maßnahmen:

Setzen Sie nur vertrauenswürdige Administratoren ein oder wenden Sie das
„Vieraugenprinzip“ an.

Schützen Sie die Computer vor elektronischen Angriffen (Firewalls, sichere Konfiguration,
Virus-Scanner, regelmäßige Updates, starke Kennwörter usw.)

Schützen Sie die Computer vor unberechtigtem physischen Zugriff (z. B. sicherer Standort in
geschützten Räumlichkeiten)
12
SafeGuard® Enterprise 5.50, Installation
3.6.1 SSL einrichten
Bevor SSL-Verschlüsselung für SafeGuard Enterprise aktiviert werden kann, müssen Sie den Web
Server, den Datenbankserver und die Clients dafür einrichten.
Die folgenden allgemeinen Aufgaben müssen für die SSL-Einrichtung auf dem Web Server
durchgeführt werden:

Ein Zertifikat muss ausgestellt werden und der IIS Server so konfiguriert werden, dass er SSL
verwendet und auf das Zertifikat zeigt.

Der Servername, den Sie bei der Konfigurierung des SafeGuard Enterprise Servers angeben,
muss identisch sein mit dem Servernamen, den Sie vorab im SSL-Zertifikat angegeben haben.
Sonst können Client und Server nicht miteinander kommunizieren. Für jeden SafeGuard
Enterprise Server wird ein separates SSL-Zertifikat benötigt.

Wenn Sie Network Load Balancer einsetzen, vergewissern Sie sich, dass der Portbereich den
SSL-Port mit einschließt.
Weitere Informationen zur SSL-Einrichtung finden Sie unter den folgenden Links, oder
kontaktieren Sie unseren technischen Support.
http://msdn2.microsoft.com/en-us/library/ms998300.aspx
http://support.microsoft.com/default.aspx?scid=kb;en-us;316898
https://blogs.msdn.com/sql_protocols/archive/2005/11/10/491563.aspx
13
SafeGuard® Enterprise 5.50, Installation
3.6.2 SSL-Verschlüsselung in SafeGuard Enterprise aktivieren

Für die Verbindung zwischen Web Server und Datenbankserver
SSL-Verschlüsselung kann während der Registrierung des SafeGuard Enterprise Servers im
SafeGuard Management Center Konfigurationspakete-Werkzeug aktiviert werden.
Weitere Informationen siehe SafeGuard Enterprise Server registrieren und konfigurieren auf
Seite 55.

Für die Verbindung zwischen Datenbankserver und SafeGuard Management Center
SSL-Verschlüsselung kann im SafeGuard Management Center Konfigurationsassistenten
aktiviert werden.
Weitere Informationen siehe SafeGuard Management Center konfigurieren auf Seite 31.

Für die Verbindung zwischen SafeGuard Enterprise Server und durch SafeGuard Enterprise
geschützte Computer
SSL-Verschlüsselung kann während der Erzeugung des Konfigurationspakets für den
Enterprise Client im SafeGuard Management Center Konfigurationspakete-Werkzeug
aktiviert werden.
Weitere Informationen siehe Konfigurationspaket für SafeGuard Enterprise Client (managed)
erstellen auf Seite 87.
14
SafeGuard® Enterprise 5.50, Installation
3.7 Installationsschritte für SafeGuard Enterprise
Wenn SafeGuard Enterprise mit zentralem Management installiert werden soll, führen Sie die
folgenden Installationsschritte durch.
.
15
Schritt
Hinweis
Installations-/
Konfigurationspaket
Kapitel
1
Vorbereitende
Maßnahmen
Vorbereitungen auf
Client und Server
3.1
2
SQL Authentisierung für
den SafeGuard
Enterprise
Sicherheitsbeauftragten
einrichten
Das Benutzerkonto wird
auf dem Microsoft SQL
Server eingerichtet.
4.4
3
Datenbankerzeugung
über Skript (optional)
SafeGuard Enterprise
Datenbank(en) über
Skripte erzeugen.
SQL Skripte auf der
Produkt-CD im
Verzeichnis Tools
4.5.2
4
SafeGuard Management
Center einrichten
SafeGuard Management
Center auf dem
Administrator-PC
installieren.
SGNManagement
Center.msi
5.2
5
Basiskonfiguration,
Datenbank über
Konfigurationsassistent
einrichten
Datenbankverbindungen
konfigurieren, SafeGuard
Enterprise
Datenbank(en) und
HauptSicherheitsbeauftragten
anlegen.
SafeGuard
Management Center
Konfigurationsassistent
5.3 5.4
6
IIS Server für SafeGuard
Enterprise einrichten
Internet Information
Services (IIS) mit .NET
Framework 3.0 and
ASP.NET2.0 einrichten.
7
SafeGuard Enterprise
Server einrichten
SafeGuard Enterprise
Server auf dem IIS Server
installieren
SGNServer.msi
6.3
8
SafeGuard Enterprise
Server registrieren und
konfigurieren
ServerKonfigurationspaket
erzeugen und auf dem IIS
Server installieren.
SGNServerConfig.msi
im SafeGuard
Management Center
Konfigurationspakete-Werkzeug
erzeugen
6.4
6.2
SafeGuard® Enterprise 5.50, Installation
Schritt
Hinweis
9
Verbindung testen
Zwischen Server,
Datenbank und
Management Center
muss die Verbindung
funktionieren.
7
10
Organisationsstruktur
aufbauen/importieren
Aufbau einer neuen
Struktur oder Import
eines Active Directory im
SafeGuard Management
Center
9
11
SafeGuard Enterprise
Client installieren
Ausstatten der EndpointComputer mit
notwendigen
Voraussetzungen für die
erfolgreiche Installation
der Verschlüsselungssoftware (obligatorisch).
SGxClientPreinstall.
msi
10 - 12
SafeGuard Enterprise
Client auf dem EndpointComputer installieren. Es
kann entweder die
Installation mit oder
ohne Device Encryption
gewählt werden
SGNClient.msi
SGNClient_x64.msi
SGNClient_without
DE.msi
SGNClient_withoutDE
_x64.msi
10 - 12
Zusätzlich kann
Configuration Protection
installiert werden
(optional)
SGN_CP_Client.msi
SGN_CP_Client_x64.
msi
14
Konfigurationspaket für
Endpoint-Computer
(managed oder
standalone) erzeugen und
auf dem EndpointComputer installieren.
SGNClientConfig.ms
Client Konfigurationspaket im
KonfigurationspaketeWerkzeug des
SafeGuard
Management Center
erzeugen
11.6
12
Endpoint-Computer
konfigurieren
Installations-/
Konfigurationspaket
Kapitel
16
SafeGuard® Enterprise 5.50, Installation
3.8 Installationsschritte für SafeGuard Enterprise Client auf
mehreren Betriebssystemen (Runtime-System)
Schritt
Hinweis
Installations-/
Konfigurationspaket
Kapitel
1
Runtime-System
auf dem EndpointComputer
installieren
SafeGuard Client
Runtimepaket auf dem/
den sekundären BootLaufwerk(en) des
Endpoint-Computers
installieren.
SGNClientRuntime.
msi
SGNClientRuntime_
x64.msi
13
2
SafeGuard
Verschlüsselungssoftware auf den
EndpointComputern
installieren
Ausstatten der EndpointComputer mit
notwendigen
Voraussetzungen für die
erfolgreiche Installation
der Verschlüsselungssoftware (obligatorisch).
SGxClientPreinstall.
msi
10 - 12
SafeGuard Device
Encryption
Installationspaket auf
dem primären BootLaufwerk des EndpointComputers installieren.
SGNClient.msi
SGNClient_x64.msi
Konfigurationspaket für
Endpoint-Computer
(managed oder
standalone) erzeugen und
auf dem EndpointComputer installieren.
SGNClientConfig.msi
Client
Konfigurationspaket
im Konfigurationspakete-Werkzeug des
SafeGuard
Management Center
erzeugen
3
17
EndpointComputer
konfigurieren
11.6
SafeGuard® Enterprise 5.50, Installation
4 SafeGuard Enterprise Datenbank einrichten
Dieses Kapitel beschreibt, wie Sie eine SafeGuard Enterprise Datenbank erzeugen. Sie erhalten
Informationen über die benötigte Datenbankserver-Authentisierung sowie über die
erforderlichen SQL-Zugriffsrechte.
Die SafeGuard Enterprise Datenbank ist eine SQL-Datenbank, die auf Microsoft SQL Server
basiert. Sie enthält alle relevanten Daten wie Schlüssel/Zertifikate, Informationen zu Benutzern &
Computern, Ereignisse und die Richtlinieneinstellungen. Sie kann auf zwei verschiedene Arten
erzeugt werden:

durch den ersten SafeGuard Enterprise Sicherheitsbeauftragten während der Installation des
SafeGuard Management Centers mit Hilfe des SafeGuard Management
Konfigurationsassistenten

durch einen SQL-Administrator mit Hilfe eines Skripts
Zur Optimierung der Performance lässt sich die SafeGuard Enterprise Database auf mehrere SQL
Server replizieren. Für Informationen zum Aufsetzen der Datenbankreplizierung siehe
Replikation der SafeGuard Enterprise Datenbank auf Seite 64.
SafeGuard Enterprise kann für die Nutzung mehrerer Datenbanken eingerichtet werden, so dass
unterschiedliche Datenbanken in einzelnen Bereichen wie zum Beispiel Unternehmenstandorten,
Organisationseinheiten oder Domänen verwaltet werden können (Multi Tenancy). Für
Informationen zum Konfigurieren von Multi Tenancy, siehe Konfiguration für mehrere
Datenbanken (Multi Tenancy) auf Seite 36.
Bevor die SafeGuard Enterprise Datenbank erzeugt werden kann, muss ein SQL Benutzerkonto
erstellt werden.
18
SafeGuard® Enterprise 5.50, Installation
Achtung: Wir empfehlen den Einsatz eines permanenten Online-Backups für die Datenbank.
Führen Sie ein regelmäßiges Backup Ihrer Datenbank durch, um Schlüssel,
Unternehmenszertifikate und Benutzer-Computer-Zuordnungen zu sichern. Empfehlungen für
einen Backup-Rhythmus sind zum Beispiel: nach dem Erstimport der Daten, nach größeren
Änderungen oder in turnusmäßigen Abständen, z. B. wöchentlich oder täglich.
19
SafeGuard® Enterprise 5.50, Installation
4.1 Voraussetzungen
Folgende Voraussetzungen müssen erfüllt sein:

Microsoft SQL Server muss bereits installiert und konfiguriert sein. Für kleinere Unternehmen
eignet sich der Einsatz von Microsoft SQL 2005 Express Edition, da keine Lizenzkosten
anfallen.

Aus Performancegründen sollte Microsoft SQL Server nicht auf dem Rechner installiert
werden, auf dem der SafeGuard Enterprise Server installiert wird.

Authentisierungsmethode und Zugriffsberechtigungen auf die Datenbank sollten geklärt sein.
4.2 Authentisierung an der Datenbank
Um auf die SafeGuard Enterprise Datenbank zugreifen zu können, muss sich der erste
Sicherheitsbeauftragte des SafeGuard Management Centers authentisieren. Es gibt folgende
Möglichkeiten:

Windows-Authentisierung

SQL-Authentisierung
Welche Form der Authentisierung für Sie als Sicherheitsbeauftragter vorgesehen ist, erfahren Sie
von Ihrem SQL-Administrator. Sie benötigen diese Information vor der Erzeugung der
Datenbank bzw. vor der Installation des SafeGuard Management Centers.
Verwenden Sie SQL-Authentisierung für Computer, die sich nicht in einer Domäne befinden,
ansonsten verwenden Sie Windows Authentisierung. Dies erfordert jedoch zusätzliche
Konfigurationsschritte. Zur Windows-Authentisierung finden Sie weiterführende Informationen
in unserer Wissensdatenbank: 
http://www.sophos.com/support/knowledgebase/article/108339.html.
Wenn Sie SQL-Authentisierung einsetzen, empfehlen wir, die Verbindung zu und vom
Datenbankserver durch SSL zu sichern. Für weitere Informationen siehe Transportverbindungen
sichern mit SSL auf Seite 12.
4.3 Zugriffsberechtigungen auf die Datenbank
SafeGuard Enterprise ist so eingerichtet, dass es für das Zusammenspiel mit der SQL-Datenbank
nur ein einziges Benutzerkonto mit minimalen Zugriffsberechtigungen auf die Datenbank
benötigt. Dieses Benutzerkonto wird vom SafeGuard Management Center genutzt und lediglich
auf den ersten Sicherheitsbeauftragten des Management Centers ausgestellt. Damit ist die
Verbindung zur SafeGuard Enterprise Datenbank gewährleistet. Während des Betriebs von
SafeGuard Enterprise benötigt ein einziger Sicherheitsbeauftragter des SafeGuard Management
Centers nur die Lese/Schreib-Berechtigung auf die SafeGuard Enterprise-Datenbank.
20
SafeGuard® Enterprise 5.50, Installation
Die SafeGuard Enterprise Datenbank kann entweder vom SQL-Administrator des Unternehmens
oder vom Sicherheitsbeauftragten des SafeGuard Management Centers erzeugt werden. Nur
wenn der Sicherheitsbeauftragte die SafeGuard Enterprise Datenbank selbst erzeugen soll,
benötigt er während der Installation kurzzeitig erweiterte Zugriffsberechtigungen auf die SQLDatenbank (db_creator). Diese Berechtigungen können ihm nach der Installation vom SQLAdministrator aber wieder bis zur nächsten Installation/Update entzogen werden.
Wenn die Erweiterung der Rechte während der Installation des SafeGuard Management Centers
nicht gewünscht ist, kann der SQL-Administrator die SafeGuard Enterprise Datenbank per Skript
erzeugen. Dazu können die beiden Skripte CreateDatabase.sql und CreateTables.sql von der
Produkt-CD ausgeführt werden.
Die folgende Tabelle zeigt die notwendigen SQL-Berechtigungen für die unterschiedlichen
Versionen von Microsoft SQL Server.
Zugriffsberechtigung
SQL Server
SQL Server
2005
2005 Express
Server
db_creator
db_creator
Master Datenbank
keine
keine
SafeGuard Enterprise Datenbank
db_owner
public (default)
db_owner
public (default)
Datenbank erzeugen
Datenbank benutzen (nicht erzeugen)
21
Server
keine
keine
Master Datenbank
keine
keine
SafeGuard Enterprise Datenbank
db_datareader
db_datawriter
public (default)
db_datareader
db_datawriter
public (default)
SafeGuard® Enterprise 5.50, Installation
4.4 SQL-Benutzerkonto für SafeGuard Enterprise einrichten
Um die SafeGuard Enterprise Datenbank zu erzeugen, muss unter Microsoft SQL Server für
SafeGuard Enterprise ein neuer Benutzer angelegt werden, sowie die Authentisierungsmethode
festgelegt und die notwendigen Berechtigungen vergeben werden.
Die folgende Beschreibung der einzelnen Konfigurationsschritte richtet sich an SQLAdministratoren und bezieht sich auf Microsoft SQL Server 2005 Express Edition.
1. Öffnen Sie das Programm SQL Server Management Studio Express. Melden Sie sich am SQL
Server mit Ihren Anmeldeinformationen an.
2. Markieren Sie im linken Navigationsfenster des Microsoft SQL Server Management Studio
Express Sicherheit > Anmeldungen. Klicken Sie im rechten Fenster mit der rechten Maustaste
auf Neue Anmeldung.
22
SafeGuard® Enterprise 5.50, Installation
3. Geben Sie im Fenster Anmeldung - Neu unter Allgemein folgendes an:

Anmeldename: Name des neuen Benutzers, z. B. SGN SQLSERVICE.

Wählen Sie die gewünschte Authentisierungsmethode (empfohlen SQL) und vergeben Sie
ein Kennwort.

Deaktivieren Sie Kennwortrichtlinie erzwingen.

Standarddatenbank: Wenn noch keine SafeGuard Enterprise Datenbank durch ein Skript
angelegt wurde, wählen Sie master.
Authentisierungsmethode und Anmeldeinformationen müssen Sie später dem Sicherheitsbeauftragten des SafeGuard Management Centers mitteilen.
23
SafeGuard® Enterprise 5.50, Installation
4. Weisen Sie jetzt die Zugangsberechtigungen/Rollen zu, indem Sie links auf Serverrollen
klicken:

Zum Erzeugen der SafeGuard Enterprise Datenbank wählen Sie dbcreator. Nach der
Installation von SafeGuard Enterprise kann die Datenbankrolle auf dbowner zurückgesetzt
werden.

Wenn die SafeGuard Enterprise Datenbank bereits angelegt und als Standard-Datenbank
ausgewählt ist, wählen Sie db_datareader, db_datawriter und public.
24
SafeGuard® Enterprise 5.50, Installation
Das SQL-Benutzerkonto und die Zugriffsberechtigungen sind damit für den SafeGuard
Enterprise Sicherheitsbeauftragten eingerichtet.
25
SafeGuard® Enterprise 5.50, Installation
4.5 SafeGuard Enterprise Datenbank erzeugen
Nachdem das SQL-Benutzerkonto eingerichtet ist, können Sie die SafeGuard Enterprise
Datenbank erzeugen. Dazu gibt es zwei Möglichkeiten:

im SafeGuard Management Center Konfigurationsassistenten
Wenn Sie diesen Weg wählen, müssen Sie zuvor das SafeGuard Management Center installiert
haben, siehe SafeGuard Management Center installieren auf Seite 30.

über SQL-Skripte, die Sie auf der Produkt-CD finden
Dieser Weg ist dann angebracht, wenn die Erweiterung der Datenbankberechtigung während
der Installation des SafeGuard Management Centers nicht gewünscht ist.
Es hängt von Ihrer Unternehmensumgebung ab, welche Methode Sie anwenden. Am besten
sollte dies zwischen SQL-Administrator und SafeGuard Enterprise Sicherheitsbeauftragten
vorab geklärt werden.
4.5.1 SafeGuard Enterprise Datenbank im Management Center erzeugen
Als Sicherheitsbeauftragter können Sie die SafeGuard Enterprise Datenbank während der
Installation des SafeGuard Management Centers leicht und bequem selbst erzeugen. Der
SafeGuard Management Center Konfigurationsassistent führt Sie durch die Basiskonfiguration,
zu der auch die Erzeugung der Datenbank gehört, siehe SafeGuard Management Center
konfigurieren auf Seite 31.
26
SafeGuard® Enterprise 5.50, Installation
4.5.2 SafeGuard Enterprise Datenbank per Skript erzeugen
Wenn die Erweiterung der SQL-Datenbankberechtigung während der Datenbankerzeugung im
Management Center nicht gewünscht ist, können Sie die SafeGuard Enterprise Datenbank
ebenfalls per Skript erzeugen. Dazu werden zwei Skripte auf den Produkt-CDs mitgeliefert
(Verzeichnis Tools):

CreateDatabase.sql

CreateTables.sql
Die folgende Beschreibung der Arbeitschritte wendet sich an SQL-Administratoren und bezieht
sich auf Microsoft SQL Server 2005 Express Edition.
1. Öffnen Sie das Skript CreateDatabase.sql und überprüfen Sie die beiden Zielpfadangaben
unter DATEINAME. Sie müssen mit den Pfadangaben auf Ihrem Server übereinstimmen.
Korrigieren Sie sie, wenn nötig.
2. Starten Sie das Skript CreateDatabase.sql durch Doppelklick. Das Programm SQL Server
Management Studio Express wird aufgerufen.
3. Melden Sie sich am SQL Server mit Ihren Anmeldeinformationen an.
4. Klicken Sie auf die Schaltfläche Ausführen, um die Datenbank zu erzeugen.
Erzeugen Sie anschließend die Tabellen mit Hilfe des Skripts CreateTables.sql von der ProduktCD.
1. Starten Sie das Skript CreateTables.sql durch Doppelklick. Das Programm SQL Server
Management Studio Express wird aufgerufen.
2. Geben Sie am SQL Server Ihre Anmeldeinformationen ein.
27
SafeGuard® Enterprise 5.50, Installation
3. Wählen Sie die korrekte Datenbank aus, die Sie für SafeGuard Enterprise angelegt haben.
Klicken Sie dazu im Anmeldefenster des SQL Servers auf Optionen >
Verbindungseigenschaften und wählen Sie unter Verbindung zu Datenbank die SafeGuard
Enterprise Datenbank aus, in der die Tabellen erzeugt werden sollen. Klicken Sie auf
Verbinden.
4. Klicken Sie auf die Schaltfläche Ausführen, um die Tabellen zu erzeugen.
Die SafeGuard Enterprise Datenbank und die zugehörigen Tabellen sind erzeugt.
28
SafeGuard® Enterprise 5.50, Installation
5 SafeGuard Management Center einrichten
Dieses Kapitel beschreibt die Installation und Konfiguration des SafeGuard Management
Centers.
Das SafeGuard Management Center ist das zentrale Verwaltungswerkzeug für SafeGuard
Enterprise. Installieren Sie es auf den Administrator-PCs, die Sie für die Verwaltung von
SafeGuard Enterprise einsetzen möchten. Das SafeGuard Management Center kann auf
mehreren Computern im Netzwerk, die Zugriff auf die entsprechenden Datenbanken haben,
installiert werden.
Das SafeGuard Management Center bietet die Möglichkeit, mehrere Datenbanken zu bedienen
und somit für spezifische Bereiche wie z. B. verschiedene Unternehmens- oder
Organisationseinheiten oder auch domäneneigene Datenbankkonfigurationen zu erstellen
(Multi-Tenancy). Um den Verwaltungsaufwand zu reduzieren, können Sie im SafeGuard
Management Center unterschiedliche Datenbankkonfigurationen einrichten und verwalten,
diese exportieren sowie importieren.
29
SafeGuard® Enterprise 5.50, Installation
5.1 Voraussetzungen
Folgende Voraussetzungen müssen erfüllt sein:

Sie benötigen Windows Administratorenrechte.

.NET Framework 3.0 Service Pack 1 muss auf dem Administrator-PC installiert sein. 
.NET Framework 3.0 Service Pack 1 steht auf http://microsoft.com/downloads zum Download
zur Verfügung.

Wenn Sie eine neue SafeGuard Enterprise Datenbank während der SafeGuard Management
Center Konfiguration erzeugen wollen, benötigen Sie entsprechende SQLZugriffsberechtigungen, siehe Zugriffsberechtigungen auf die Datenbank auf Seite 20.
5.2 SafeGuard Management Center installieren
Das benötigte Installationspaket SGNManagementCenter.msi finden Sie auf der Produkt-CD.
1. Starten Sie SGNManagementCenter.msi von der Produkt-CD.
2. Klicken Sie im Willkommen-Fenster auf Weiter.
3. Akzeptieren Sie die Lizenzvereinbarung.
4. Wählen Sie einen Installationspfad.
5. Wählen Sie den Installationstyp aus:

Um SafeGuard Management Center für den Betrieb mit einer einzigen Datenbank
einzurichten (Single Tenancy), wählen Sie eine Installation vom Typ Typisch aus.

Um SafeGuard Management Center für den Betrieb mit mehreren Datenbanken
einzurichten (Multi Tenancy), wählen Sie eine Installation vom Typ Angepasst aus.
Aktivieren Sie dann das Feature Multi Tenancy.
Beachten Sie, dass dieses Feature mit den Installationstypen Typisch nicht installiert
werden kann.
Für weitere Informationen zum Konfigurieren von Multi Tenancy siehe Konfiguration für
mehrere Datenbanken (Multi Tenancy) auf Seite 36.
6. Bestätigen Sie die erfolgreiche Installation.
Das SafeGuard Management Center ist installiert. Starten Sie Ihren ggf. Computer neu.
30
SafeGuard® Enterprise 5.50, Installation
5.3 SafeGuard Management Center konfigurieren
Nach der Installation müssen Sie das SafeGuard Management Center konfigurieren. Dabei
unterstützt Sie komfortabel der SafeGuard Management Center Konfigurationsassistent, der die
Grundeinstellungen für das Management Center und die Verbindung zur Datenbank festlegt. 
Der Assistent wird automatisch aufgerufen, wenn Sie das SafeGuard Management Center zum
ersten Mal nach der Installation starten.
Die Konfiguration richtet sich danach, ob sie die Unterstützung für eine einzelne Datenbank oder
mehrere Datenbanken installiert haben.
Multi Tenancy Konfigurationen
Sie können mehrere verschiedene SafeGuard Enterprise Datenbankkonfigurationen für eine
Instanz des SafeGuard Management Centers konfigurieren und verwalten. Dies erweist sich vor
allem dann als nützlich, wenn Sie verschiedene Konfigurationen für verschiedene Domänen,
Organisationseinheiten oder Unternehmensstandorte einsetzen möchten.
Zur Vereinfachung der Konfiguration können neu erstellte Datenbankkonfigurationen zur
späteren Wiederverwendung in eine Datei exportiert werden und zuvor erstellte Konfigurationen
aus einer Datei eingelesen werden.
Um das SafeGuard Management Center für Multi Tenancy zu konfigurieren, führen Sie zunächst
die initiale Konfiguration und danach weitere spezifische Schritte für die Multi Tenancy
Konfiguration durch.
Voraussetzungen
Folgende Informationen sollten Sie bereithalten. Diese erhalten Sie ggf. von Ihrem SQLAdministrator.
31

SQL Anmeldeinformationen

Name des SQL Servers, auf dem die SafeGuard Enterprise Datenbank laufen soll.

Name der SafeGuard Enterprise Datenbank, falls diese bereits erzeugt wurde.
SafeGuard® Enterprise 5.50, Installation
5.4 Initiale Konfiguration durchführen
Um den Konfigurationsassistent für die initiale Konfiguration des SafeGuard Management
Center zu starten, gehen Sie wie folgt vor.
Hinweis: Die folgenden Schritte müssen sowohl für Single Tenancy als auch für Multi Tenancy
Konfigurationen ausgeführt werden.
1. Starten Sie das SafeGuard Management Center. Der SafeGuard Management Center
Konfigurationsassistent wird automatisch geöffnet und führt Sie durch die notwendigen
Konfigurationsschritte.
2. In Datenbankverbindung konfigurieren Sie die Verbindung zum Datenbankserver.
Wählen Sie den Datenbankserver aus der Liste aus. Es werden alle Rechner eines Netzwerks
aufgelistet, auf denen ein Microsoft SQL Server installiert ist. Wenn der Server nicht
auswählbar ist, tragen Sie Servername bzw. IP-Adresse mit dem SQL-Instanznamen manuell
ein.
3. Damit das SafeGuard Management Center mit der Datenbank kommunizieren kann, müssen
Sie eine Authentisierungsmethode für den Zugriff auf die Datenbank festlegen, entweder
Windows-Authentisierung oder SQL-Authentisierung.
32
SafeGuard® Enterprise 5.50, Installation
Achtung: Verwenden Sie SQL-Authentisierung für Computer, die sich nicht in einer Domäne
befinden, ansonsten verwenden Sie Windows-Authentisierung. Dies erfordert jedoch zusätzliche
Konfigurationsschritte. 
Wenn Sie SQL-Authentisierung einsetzen, empfehlen wir, die Verbindung zu und vom
Datenbankserver durch SSL zu sichern. SSL-Verschlüsselung erfordert eine funktionsfähige SSLUmgebung auf dem SQL Datenbankserver, die Sie vorab einrichten müssen. Für weitere
Informationen siehe Transportverbindungen sichern mit SSL auf Seite 12.
a) Aktivieren Sie SQL Server Authentisierung. Geben Sie die Anmeldeinformationen des
SQL-Benutzerkontos ein, in diesem Beispiel wird „sa“ verwendet.
b) Aktivieren Sie SSL verwenden, um die Verbindung zwischen SafeGuard Management
Center und SQL-Datenbankserver zu sichern. Wenn Sie SQL Server Authentisierung
ausgewählt haben, wird dies dringend empfohlen, um den Transport der SQLAnmeldeinformationen zu verschlüsseln.
4. Legen Sie fest, ob eine existierende Datenbank oder eine neue Datenbank zum Speichern der
Administrationsdaten benutzt werden soll.

Wenn noch keine Datenbank existiert, wählen Sie Eine neue Datenbank mit folgendem
Namen erstellen. Vergeben Sie einen Namen für die neue Datenbank, hier „SafeGuard“.
Sie benötigen dazu die entsprechenden SQL-Zugriffsberechtigungen, siehe
Zugriffsberechtigungen auf die Datenbank auf Seite 20.

Wenn bereits eine Datenbank angelegt wurde oder wenn Sie das Management Center
bereits auf einem anderen Administrator-PC installiert haben, klicken Sie auf Folgende
bestehende Datenbank wählen und wählen die entsprechende Datenbank aus der Liste aus.
5. Legen Sie einen Haupt-Sicherheitsbeauftragten (Master Security Officer, MSO) an. Geben Sie
dem MSO einen Namen. Wir empfehlen, Token-Anmeldung auf kein Token zu stellen. 

33
SafeGuard® Enterprise 5.50, Installation
Eine Anmeldung mit Token bzw. Smartcard erfordert eine gesonderte Konfiguration, die
innerhalb des Management Centers zu erledigen ist. Weitere Informationen hierzu finden Sie
in der Administrator-Hilfe im Kapitel Token und Smartcards. Sobald Sie einen Name für den
MSO eingegeben haben, klicken Sie auf Erzeugen.
6. Geben Sie nun zweimal das Kennwort für den Zertifikatsspeicher ein und bestätigen Sie mit
OK. Das erzeugte MSO-Zertifikat wird lokal als Backup gespeichert.
Achtung: Merken Sie sich dieses Kennwort! Es ist Ihr privater Schlüssel für den SafeGuard
Management Center Zertifikatsspeicher. Sie melden sich mit diesem Kennwort später am
Management Center an!
Ein Zertifikat kann nicht aus einer Microsoft PKI importiert werden.
Ein importiertes Zertifikat muss minimal 1024 Bits haben und kann maximal 4096 Bits lang sein.
7. . Die Datei, in der das MSO-Zertifikat gespeichert wird, die sogenannte .p12-Datei, wird mit
einem Kennwort gesichert. Das MSO-Zertifikat ist dadurch zusätzlich geschützt. Geben Sie
das Kennwort für die .p12-Datei zweimal ein und bestätigen Sie mit OK. Das Kennwort muss
aus 8 alphanumerischen Zeichen bestehen.
34
SafeGuard® Enterprise 5.50, Installation
8. Geben Sie einen Speicherort für das Zertifikat ein.
9. Achtung: Erstellen Sie eine Sicherheitskopie des privaten Schlüssels (p12-Datei) des MSO, da
ein eventueller PC-Absturz zum Verlust des Schlüssels führt und SafeGuard Enterprise dann
neu installiert werden muss. Das gilt für alle von SafeGuard Enterprise generierten
Sicherheitsbeauftragten-Zertifikate.
Das Zertifikat für den MSO ist nun erstellt.
10.Klicken Sie auf Weiter.
11.Erstellen Sie ein neues Unternehmenszertifikat. Geben Sie einen Namen Ihrer Wahl ein. Mit
dem Unternehmenszertifikat lassen sich unterschiedliche Installationen von SafeGuard
Enterprise auseinander halten. Aus Sicherheitsgründen sollten Sie nach der initialen
Konfiguration eine Sicherungskopie des Unternehmenszertifikats unter Extras > Optionen >
Zertifikat erstellen und diese an einem sicheren Speicherort ablegen. In Verbindung mit dem
Zertifikat des Haupt-Sicherheitsbeauftragten lässt sich mit dem Unternehmenszertifikat eine
beschädigte SafeGuard Enterprise Datenbankkonfiguration wiederherstellen.
12.Klicken Sie auf Weiter, dann auf Beenden.
Es wird automatisch eine Konfigurationsdatei erstellt.
35
SafeGuard® Enterprise 5.50, Installation
Die Konfiguration des SafeGuard Management Centers ist abgeschlossen. Das SafeGuard
Management Center wird anschließend automatisch gestartet.
5.5 Konfiguration für mehrere Datenbanken (Multi Tenancy)
Um mehrere Datenbankkonfigurationen zur Nutzung von Multi Tenancy einzurichten, gehen
Sie wie folgt vor:
Voraussetzung: Die Funktion Multi Tenancy muss über eine Installation vom Typ Angepasst
installiert worden sein, siehe Initiale Konfiguration durchführen auf Seite 32.
1. Starten Sie das SafeGuard Management Center.
2. Die bereits bestehenden Datenbankkonfigurationen werden angezeigt. Wählen Sie die Aktion
aus, die Sie durchführen möchten:

Um eine weitere SafeGuard Enterprise Datenbankkonfiguration zu erstellen, klicken SIe
auf Neu.

Um mit einer bereits vorhandenen Datenbank zu arbeiten, wählen Sie diese aus der
Dropdownliste und klicken Sie auf OK.

Um eine vorhandene Datenbankkonfiguration aus einer Datei zu importieren, klicken Sie
auf Import...

Um eine Datenbankkonfiguration in einer Datei zu speichern, klicken Sie auf Export...
3. Fahren Sie mit dem gewählten Vorgang fort.
36
SafeGuard® Enterprise 5.50, Installation
5.5.1 Weitere Datenbankkonfigurationen erstellen
So erstellen Sie eine weitere SafeGuard Enterprise Datenbankkonfiguration nach der initialen
Konfiguration:
1. Starten Sie das SafeGuard Management Center. Der Dialog Konfiguration auswählen wird
angezeigt.
2. Klicken Sie auf Neu. Der SafeGuard Management Center Konfigurationsassistent wird
automatisch geöffnet.
3. Der Assistent führt Sie durch die notwendigen Schritte für das Anlegen einer neuen
Datenbankkonfiguration, siehe Initiale Konfiguration durchführen auf Seite 32. Nehmen Sie
die erforderlichen Einstellungen vor. Die neue Datenbankkonfiguration wird generiert.
4. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen für
diese Konfiguration auszuwählen und das entsprechende Zertifikatsspeicherkennwort
einzugeben. Bestätigen Sie Ihre Angaben mit OK.
Das SafeGuard Management Center wird geöffnet und mit der neuen Datenbankkonfiguration
verbunden. Wenn Sie das SafeGuard Management Center das nächste mal starten, können Sie die
neue Datenbank aus der Liste auswählen.
5.5.2 Mit bereits vorhandener Datenbankkonfiguration verbinden
So benutzen Sie eine bereits vorhandene SafeGuard Enterprise Datenbankkonfiguration:
1. Starten Sie das SafeGuard Management Center. Der Dialog Konfiguration auswählen wird
angezeigt.
2. Wählen Sie die Datenbankkonfiguration, die Sie verwenden möchten, aus der Dropdownliste
und klicken Sie auf OK. Die ausgewählte Datenbankkonfiguration wird mit dem Management
Center verbunden und aktiviert.
3. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen für
diese Konfiguration auszuwählen und das entsprechende Zertifikatsspeicherkennwort
einzugeben. Bestätigen Sie Ihre Angaben mit OK.
Das SafeGuard Management Center wird geöffnet und mit der ausgewählten
Datenbankkonfiguration verbunden.
37
SafeGuard® Enterprise 5.50, Installation
5.5.3 Konfiguration in eine Datei exportieren
Um eine Konfiguration zu speichern oder wiederzuverwenden, können Sie sie in eine Datei
exportieren. Gehen Sie hierzu wie folgt vor:
1. Starten Sie das SafeGuard Management Center. Der Dialog Konfiguration auswählen wird
angezeigt.
2. Klicken Sie auf Exportieren...
3. Zum Schutz der Konfigurationsdatei werden Sie dazu aufgefordert, ein Kennwort einzugeben
und zu bestätigen, das die Konfigurationsdatei verschlüsselt. Klicken Sie auf OK.
4. Geben Sie einen Dateinamen und einen Speicherort für die exportierte Konfigurationsdatei
*.SGNConfig an.
5. Sollte diese Konfiguration bereits vorhanden sein, so werden Sie gefragt, ob Sie die
vorhandene Konfiguration überschreiben möchten.
Die Datenbankkonfiguration wird am angegebenen Speicherort gespeichert.
5.5.4 Konfiguration importieren
Um eine Datenbankkonfiguration zu verwenden oder zu ändern, können Sie eine zuvor erstellte
Konfiguration in das SafeGuard Management Center importieren. Hier gibt es zwei
Möglichkeiten:

über das SafeGuard Management Center (für Multi Tenancy)

durch Doppelklicken auf die Konfigurationsdatei (für Single und Multi Tenancy)
38
SafeGuard® Enterprise 5.50, Installation
5.5.5 Konfiguration über das SafeGuard Management Center importieren
1. Starten Sie das SafeGuard Management Center. Der Dialog Konfiguration auswählen wird
angezeigt.
2. Klicken Sie auf Import..., wählen Sie die gewünschte Konfigurationsdatei aus und klicken Sie
auf Öffnen.
3. Geben Sie das Kennwort ein, das während des Exports für die Konfigurationsdatei erstellt
wurde, und klicken Sie auf OK.
4. Die ausgewählte Konfiguration wird angezeigt. Um zu bestätigen, dass diese Konfiguration
aktiviert werden soll, klicken Sie auf OK.
5. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen für
diese Konfiguration auszuwählen und das entsprechende Zertifikatsspeicherkennwort
einzugeben. Bestätigen Sie Ihre Angaben mit OK.
Das SafeGuard Management Center wird geöffnet und mit der importierten
Datenbankkonfiguration verbunden.
39
SafeGuard® Enterprise 5.50, Installation
5.5.6 Konfiguration durch Doppelklicken auf die Konfigurationsdatei importieren
(Single und Multi Tenancy)
Achtung: Dieser Vorgang ist sowohl im Single Tenancy als auch im Multi Tenancy Modus
möglich.
Es besteht auch die Möglichkeit, eine Konfiguration zu exportieren und diese an mehrere
Sicherheitsbeauftragte zu verteilen. Die Sicherheitsbeauftragten müssen lediglich auf die
Konfigurationsdatei doppelklicken, um ein vollständig konfiguriertes SafeGuard Management
Center zu öffnen.
Dies erweist sich vor allem dann als vorteilhaft, wenn Sie die SQL Authentisierung für die
Datenbank verwenden und vermeiden möchten, dass das SQL-Kennwort jedem Administrator
bekannt ist. Sie müssen das Kennwort dann nur einmal eingeben, eine Konfigurationsdatei
erstellen und sie an die Computer der Sicherheitsbeauftragten verteilen.
Voraussetzung: Die initiale Konfiguration des SafeGuard Management Centers muss
durchgeführt worden sein.
1. Starten Sie das SafeGuard Management Center über den Produktordner im Start-Menü.
2. Wählen Sie im Extras-Menü Optionen und wechseln Sie in die Registerkarte
Datenbankverbindung.
3. Geben Sie die Anmeldeinformationen für die SQL Datenbankserververbindung ein oder
bestätigen Sie diese.
4. Klicken Sie auf Konfiguration exportieren, um die Konfiguration in eine Datei zu exportieren.
5. Geben Sie ein Kennwort für die Konfigurationsdatei ein und bestätigen Sie es.
6. Geben Sie einen Dateinamen ein und wählen Sie einen Speicherort aus.
7. Verteilen Sie die Konfigurationsdatei an die Computer der Sicherheitsbeauftragten. Teilen Sie
ihnen das Kennwort für diese Datei sowie das Zertifikatsspeicherkennwort mit, das Sie für
Anmeldung an das SafeGuard Management Center benötigen.
8. Die Sicherheitsbeauftragten müssen nur auf die Konfigurationsdatei doppelklicken.
9. Sie werden aufgefordert, das Kennwort für die Konfigurationsdatei einzugeben.
10.Zur Anmeldung an das SafeGuard Management Center werden die Sicherheitsbeauftragten
aufgefordert, ihr Zertifikatsspeicherkennwort einzugeben.
40
SafeGuard® Enterprise 5.50, Installation
Das SafeGuard Management Center startet mit der importierten Konfiguration. Diese
Konfiguration wird nun als neue Standardkonfiguration definiert.
5.5.7 Schneller Wechsel zwischen Datenbankkonfigurationen
Zur Vereinfachung von Verwaltungsaufgaben bei mehreren Datenbanken bietet das SafeGuard
Management Center den schnellen Wechsel zwischen Datenbankkonfigurationen.
So wechseln Sie zu einer anderen Datenbank:
1. Wählen Sie Datei in der Menüleiste des Management Centers und klicken Sie auf
Konfiguration wechseln...
2. Wählen Sie die Datenbank, zu der Sie wechseln möchten, aus der Dropdownliste.
3. Wählen Sie OK.
Das Management Center wird automatisch mit der ausgewählten Konfiguration neu gestartet.
Achtung: Dieser Vorgang ist nur im Multi Tenancy Modus möglich.
5.6 Anmeldung am SafeGuard Management Center
Die Anmeldung richtet sich danach, ob Sie das SafeGuard Management Center im Single Tenancy
Modus oder im Multi Tenancy Modus einsetzen.
5.6.1 Anmeldung im Single Tenancy Modus
1. Starten Sie das SafeGuard Management Center über das Start-Menü.
2. Ein Anmeldedialog wird angezeigt.
3. Melden Sie sich als Haupt-Sicherheitsbeauftragter an und geben Sie das
Zertifikatsspeicherkennwort ein, das während der Konfiguration festgelegt wurde. Klicken Sie
auf OK.
41
SafeGuard® Enterprise 5.50, Installation
Hinweis: Wenn Sie ein falsches Kennwort eingeben, wird eine Fehlermeldung angezeigt und die
nächste Anmeldung wird verzögert. Diese Verzögerung wird mit jedem fehlgeschlagenen
Anmeldeversuch größer. Nicht erfolgreiche Anmeldeversuche werden protokolliert.
Das SafeGuard Management Center wird geöffnet.
5.6.2 Anmeldung im Multi Tenancy Modus
Wenn Sie mehrere Datenbanken konfiguriert haben (Multi Tenancy), erweitert sich der
Anmeldevorgang.
1. Starten Sie das SafeGuard Management Center über den Produktordner des Start-Menüs. Der
Dialog Konfiguration auswählen wird angezeigt.
2. Wählen Sie die Datenbankkonfiguration, die Sie verwenden möchten, aus der Dropdownliste
und klicken Sie auf OK. Die ausgewählte Datenbankkonfiguration wird mit dem Management
Center verbunden und wird aktiv.
3. Zur Authentisierung werden Sie dazu aufgefordert, den Sicherheitsbeauftragtennamen für
diese Konfiguration auszuwählen und das entsprechende Zertifikatsspeicherkennwort
einzugeben. Bestätigen Sie Ihre Angaben mit OK.
Das SafeGuard Management Center wird geöffnet und mit der ausgewählten
Datenbankkonfiguration verbunden.
42
SafeGuard® Enterprise 5.50, Installation
Hinweis: Wenn Sie ein falsches Kennwort eingeben, wird eine Fehlermeldung angezeigt und die
nächste Anmeldung wird verzögert. Diese Verzögerung wird mit jedem fehlgeschlagenen
Anmeldeversuch größer. Nicht erfolgreiche Anmeldeversuche werden protokolliert.
Informationen zu den ersten Arbeitsschritten im SafeGuard Management Center finden Sie in der
SafeGuard Enterprise Administrator-Hilfe.
5.7 SafeGuard Management Center auf weiteren Computern
installieren
Das SafeGuard Management Center kann nicht nur auf einem einzigen Computer installiert
werden sondern auch auf weiteren Computern, die sich in einem Netzwerk befinden, von dem
aus auf die entsprechende Datenbank zugegriffen werden kann.
SafeGuard Enterprise verwaltet die Zugriffsrechte auf das Management Center in einem eigenen
Zertifikatsverzeichnis. Dort müssen die Zertifikate aller Sicherheitsbeauftragten, die sich am
Management Center anmelden dürfen, vorhanden sein. Zur Anmeldung an das Management
Center wird dann nur noch das Kennwort des Zertifikatsspeichers benötigt.
Die folgenden Schritte beziehen sich auf die Konfiguration einer weiteren SafeGuard
Management Center Konfiguration.
1. Installieren Sie SGNManagementCenter.msi mit den gewünschten Features auf einem
weiteren Computer.
2. Öffnen Sie das SafeGuard Management Center. Der Konfigurationsassistent wird gestartet.
3. Wählen Sie die Datenbank aus, mit der das SafeGuard Management Center verbunden 
werden soll.
4. Der Dialog SafeGuard Management Center Authentisierung wird angezeigt. Wählen Sie
einen Beauftragten aus der Dropdownliste. Wenn Multi Tenancy aktiviert ist, zeigt der
Anmeldedialog, an welcher Datenbankkonfiguration Sie sich anmelden.
5. Geben Sie das Kennwort für den Zertifikatsspeicher ein.
Achtung: Nach der Eingabe dieses Kennworts wird der Zertifikatsspeicher für das aktuelle
Benutzerkonto angelegt und ist durch dieses abgesichert. Für die nachfolgenden Anmeldungen
benötigen Sie nur noch dieses Kennwort.
6. Klicken Sie auf OK.
Eine Meldung, dass Zertifikat und privater Schlüssel nicht gefunden bzw. nicht darauf
zugegriffen werden kann, wird angezeigt.
43
SafeGuard® Enterprise 5.50, Installation
7. Klicken Sie zum Importieren der Daten auf Ja.
8. Klicken Sie auf die Schaltfläche OK. Dadurch wird der Importvorgang gestartet.
9. Wählen Sie die Schlüsseldatei über die Schaltfläche [...] aus.
10.Geben Sie das Kennwort für die Schlüsseldatei ein.
11.Geben Sie im Eingabefeld PIN oder Kennwort das bereits in Schritt 2 festgelegte Kennwort für
den Zertifikatsspeicher ein.
12.Klicken Sie auf die Schaltfläche In den Zertifikats-Speicher importieren.
Mit der Schaltfläche Auf den Token kopieren können Sie das Zertifikat auf einen Token
speichern.
13.Zur Initialisierung des Zertifikatsspeichers müssen Sie das Kennwort des Zertifikatsspeichers
noch einmal eingegeben.
Zertifikat und privater Schlüssel befinden sich nun im Zertifikatsspeicher.
Zur Anmeldung an das SafeGuard Management Center wird das Kennwort des
Zertifikatsspeichers verwendet.
44
SafeGuard® Enterprise 5.50, Installation
6 SafeGuard Enterprise Server einrichten
Der SafeGuard Enterprise Server stellt die Schnittstelle zu den SafeGuard Enterprise Clients her.
Er greift wie das SafeGuard Enterprise Management Center auf die Datenbank zu. Er läuft als
Applikation auf einem IIS-basierten Webserver.
Wir empfehlen, für den SafeGuard Enterprise Server einen dedizierten IIS Server einzusetzen, um
die Performance zu erhöhen. Außerdem verhindert dies, dass andere Anwendungen mit
SafeGuard Enterprise in Konflikt geraten, z. B. wegen der verwendeten Version von ASP.NET.
Dieses Kapitel beschreibt, wie Sie SafeGuard Enterprise Server auf einem IIS Server installieren.
Dazu müssen Sie zuvor Microsoft Internet Information Services (IIS) konfigurieren.
45
SafeGuard® Enterprise 5.50, Installation
6.1 Voraussetzungen
Folgende Voraussetzungen müssen erfüllt sein (in dieser Reihenfolge):

Sie benötigen Windows Administratorenrechte.

Microsoft Internet Information Services (IIS) muss bereits installiert und gehärtet sein.
IIS ist kostenlos verfügbar. Sie finden das Programm z. B. auf Ihrer Windows-CD oder auf der
Microsoft Website.


Wenn Sie SSL als Transportverschlüsselung zwischen SafeGuard Enterprise Server und
SafeGuard Enterprise Client verwenden, muss der IIS Server dafür eingerichtet werden, siehe
Transportverbindungen sichern mit SSL auf Seite 12:

Ein Zertifikat muss ausgestellt werden und der IIS Server so konfiguriert werden, dass er
SSL verwendet und auf das Zertifikat zeigt.

Der Servername, den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben,
muss identisch sein mit dem Servernamen, den Sie vorab im SSL-Zertifikat angegeben
haben. Sonst können Client und Server nicht miteinander kommunizieren. Für jeden
SafeGuard Enterprise Server wird ein separates SSL-Zertifikat benötigt.

Wenn Sie Network Load Balancer einsetzen, vergewissern Sie sich, dass der Portbereich
den SSL-Port mit einschließt.
.NET Framework 3.0 Service Pack1 ist installiert.
.NET Framework ist kostenlos verfügbar. Sie finden das Programm z. B. auf Ihrer WindowsCD. Je nach Windows-Version wird es bereits als Standard mit installiert.

ASP.NET 2.0 ist aktiviert. Dies wird automatisch währen der Installation geprüft und korrekt
gesetzt.

Für Windows Server 2008 muss IIS Management Scripts and Tools aktiviert sein.
46
SafeGuard® Enterprise 5.50, Installation
6.2 Microsoft Internet Information Services konfigurieren
Dieses Kapitel beschreibt, wie Sie den Microsoft Internet Information Services (IIS) Server für
denBetrieb mit SafeGuard Enterprise Server vorbereiten.
6.2.1 IIS Server härten
Zur Erhöhung der Sicherheit im Intranet Ihres Unternehmens empfehlen wir, jeden IIS Server
sowie die Anwendungen, die auf diesem Server laufen, durch spezifische Sicherheitseinstellungen
zu schützen und ihn so zu „härten“.
Dieses Kapitel beschreibt, wie Sie den IIS Server für die Benutzung mit SafeGuard Enterprise so
einrichten, dass er den Absicherungsempfehlungen von Microsoft entspricht. Sollten weitere
Einstellungen, die nicht von Microsoft empfohlen oder in diesem Kapitel beschrieben werden,
aktiviert werden, kann dies zu unerwünschten Ergebnissen führen.
Hinweis: Detaillierte Informationen zur Absicherung von Web Servern finden Sie im Microsoft
Solutions for Security and Compliance: Windows Server 2003 Security Guide, der auf der
Microsoft Website kostenlos zum Download zur Verfügung steht.
Die Beschreibungen in diesem Kapitel basieren auf folgender Musterkonfiguration:

Server 1:
Microsoft Windows Server 2003 SP1
SafeGuard Enterprise Server, aktuelle Version
SafeGuard Enterprise Management Center, aktuelle Version
Microsoft SQL Server 2005 Express
IIS mit minimalen Komponenten

Server 2:
Microsoft Windows Server 2003 SP2
SafeGuard Enterprise Server, aktuelle Version
Microsoft SQL Server 2005 Express
IIS mit minimalen Komponenten
Auf Server 2 läuft nur der SafeGuard Enterprise Server (IIS Server). Wenn Server 2 zusätzlich
in Gebrauch ist, werden die für Server 1 aktivierten Dienste automatisch deaktiviert.
47
SafeGuard® Enterprise 5.50, Installation

Client:
SafeGuard Enterprise Client
SafeGuard Management Center, aktuelle Version
Nur notwendige IIS-Komponenten installieren
Stellen Sie sicher, dass nur notwendige IIS-Komponenten installiert werden. Dadurch reduzieren
sich das Risiko, dass der IIS Server angegriffen wird. Deaktivieren Sie alle unnötigen
Einstellungen.
Der IIS Server läuft mit SafeGuard Enterprise Server mit den folgenden minimalen
Komponenten:

Gemeinsame Dateien

Internetinformationsdienste-Manager (IIS-Manager)

WWW-Publishingdienst
Nur notwendige Webdiensterweiterungen aktivieren
Stellen Sie sicher, dass nur notwendige Webdiensterweiterungen aktiviert werden. Dadurch
reduziert sich das Risiko, dass der IIS Server angegriffen wird. Deaktivieren Sie alle unnötigen
Einstellungen.
Die folgenden Einstellungen sind notwendig, damit der IIS Server mit dem SafeGuard Enterprise
Server läuft:

Webdiensterweiterungen: 
ASP.NET v.1.1.4322 Nicht zugelassen
ASP.NET v.2.50727 Zugelassen
Website-Inhalte auf eigener Partition
IIS speichert die Dateien für seine Default-Website in folgendem Ordner:
<systemroot>\inetpub\wwwroot . <systemroot> ist das Laufwerk, auf dem das Windows
Server 2003 Betriebssystem installiert ist.
Verschieben Sie alle Dateien und Ordner für Websites und Applikationen auf eigene Partitionen,
die vom Betriebssystem getrennt sind. Dies trägt zur Verhinderung von Angriffen bei, bei denen
der Angreifer eine Anfrage nach einer Datei sendet, die sich außerhalb der Verzeichnisstruktur
des IIS- Servers befindet.
48
SafeGuard® Enterprise 5.50, Installation
Für die Musterkonfiguration können die Dateien und Ordner wie folgt verschoben werden:

IIS Web-Dateien:
E:\inetpub

SafeGuard Enterprise Server Web-Dateien:
F:\mycompany.web
Hinweis: Nach dem Verschieben der Web-Dateien müssen Sie die Pfadinformationen im IISManager entsprechend aktualisieren.
NTFS-Berechtigungen einstellen
Computer, auf denen Windows Server 2003 mit SP1 läuft, bestimmen anhand der NTFSDateisystemberechtigungen die Zugriffsrechte, die ein Benutzer oder ein Prozess an einer
spezifischen Datei oder einem Ordner besitzt. Sie sollten daher NTFS-Berechtigungen zuweisen,
um den Website-Zugriff bestimmten Benutzern auf dem IIS Server zu erlauben oder zu
verweigern.
Für die Musterkonfiguration lauten die minimalen NTFS-Berechtigungen wie folgt:
Benutzer/Verzeichnis
NTFS-Berechtigungen für
E:\inetpub
NTFS-Berechtigungen für
F:\mycompany.web
Administratoren
Vollzugriff
Vollzugriff
System
Vollzugriff
Vollzugriff
Benutzer
Ausführen
Ausführen
Für „Benutzer“ können Sie ein anderes Konto oder eine andere Gruppe einstellen, unter der
Voraussetzung, dass dies auf dem IIS Server zur Verfügung gestellt wird. In diesem Fall müssen
Sie das Konto IUSR_SRVERNAME auf dem IIS Server entsprechend aktualisieren.
49
SafeGuard® Enterprise 5.50, Installation
Die NTFS-Berechtigungen für Dateitypen lauten wie folgt:
Dateityp
Empfohlene NTF Berechtigungen
CGI Dateien (.exe, .dll, .cmd, .pl)
Administratoren (Vollzugriff)
System (Vollzugriff)
Jeder/Benutzer (Ausführen)
Script Dateien (.asp)
Administratoren (Vollzugriff))
System (Vollzugriff))
Jeder/Benutzer (Ausführen)
Include Dateien (.inc, .shtm, .shtml)
Administratoren (Vollzugriff)
System (Vollzugriff)
Jeder/Benutzer (Ausführen)
Static Content (.txt, .gif, .jpg, .htm, .html)
Administratoren (Vollzugriff)
System (Vollzugriff)
Jeder/Benutzer (Nur lesen)
Integrierte Windows-Authentifizierung deaktivieren
Es ist empfehlenswert, die integrierte Windows-Authentisierung in IIS zu deaktivieren, um so das
Senden unnötiger Authentisierungsinformationen zu vermeiden.
1. Doppelklicken Sie im IIS-Manager auf den lokalen Computer, klicken Sie mit der rechten
Maustaste auf den Ordner Web Sites und klicken Sie danach auf Eigenschaften.
2. Klicken Sie auf die Registerkarte Verzeichnissicherheit. Klicken Sie unter Authentifizierung
und Zugriffsteuerung auf Bearbeiten.
3. Deaktivieren unter Authentifizierter Zugriff das Kontrollkästchen Integrierte WindowsAuthentifizierung.
4. Klicken Sie zweimal auf OK.
50
SafeGuard® Enterprise 5.50, Installation
Einstellungen für den Anwendungspool “DefaultAppPool“

Wenn sich der SQL Server auf dem gleichen Computer wie der IIS Server befindet, stellen Sie
das eingebaute Local Service Benutzerkonto für “DefaultAppPool“ ein. In der
Musterkonfiguration gilt dies für Server 1.

Wenn sich der SQL Server auf einem anderen Computer als der IIS Server befindet, stellen Sie
das eingebaute Network Service Benutzerkonto für “DefaultAppPool“ ein. In der
Musterkonfiguration gilt dies für Server 2. Andernfalls schlägt die Synchronisierung mit dem
Client fehl.
6.2.2 IIS Rollout-Name
Während der IIS-Einrichtung wird auf dem IIS Server ein Standardbenutzer mit Standardrechten
erstellt. Wenn SafeGuard Enterprise Server auf einem IIS Server installiert wird, wird ein IIS
SafeGuard Standardbenutzer mit IIS Standardrechten und folgendem Anmeldenamen erstellt:
IUSR_SafeGuardServerUser . Dies hilft bei der Authentisierung am IIS Server, wenn dieser
nach der Installation umbenannt wird, da dieser spezifische SafeGuard IIS Benutzer immer als
gültiger Anmeldename verwendet werden kann.
6.2.3 .NET Framework Registrierung prüfen
Prüfen Sie, ob .NET Framework Version 3.0 mit Service Pack 1 auf dem IIS Server installiert ist.
1. Öffnen Sie dazu die Systemsteuerung und wählen Sie je nach Betriebssystem entweder
Programme hinzufügen/Entfernen oder Verwaltungstools. Dort wird das Programm und die
Version angezeigt.
2. Installieren Sie ggf. das Programm in der richtigen Version.
6.2.4 ASP.NET Registrierung prüfen
Während der SafeGuard Enterprise Server Installation wird geprüft, ob die benötigte ASP.NET
Version 2.0.50727 installiert ist. Wenn nicht, so wird die korrekte Version automatisch aktiviert.
Sie können die Einstellung folgendermaßen manuell überprüfen:
Hinweis: Eine ausführliche Beschreibung dieser Aufgabe finden Sie in unserer Wissensdatenbank:
http://www.sophos.com/support/knowledgebase/article/107703.html.
51
SafeGuard® Enterprise 5.50, Installation
1. Öffnen Sie den Internet Information Services Manager auf dem IIS Server.
2. Klicken Sie im IIS Manager auf Server (lokaler Computer) > Web Sites.
3. Klicken Sie mit der rechten Maustaste auf Standardwebseite > Eigenschaften > ASP.NET.
Unter ASP.NET Version sollte die Version 2.0.50727 angezeigt sein. Wählen Sie diese Version
ggf. aus. Wenn das nicht möglich ist, müssen Sie ASP.Net 2.050727 neu installieren.
4. Bestätigen Sie mit Übernehmen und OK.
5. Alternativ können Sie das Kommando aspnet_regiis.exe -lv aufrufen, um sicherzustellen, dass
die ASP Services in der Version 2.0 installiert sind.
52
SafeGuard® Enterprise 5.50, Installation
6.2.5 Zusätzliche IIS 6 Konfigurierung für die Installation von SafeGuard
Enterprise Server auf Windows Server 2003 64 Bit
Wenn Sie IIS Version 6 verwenden und SafeGuard Enterprise Server auf Windows Server 2003 64
Bit installieren wollen, führen Sie die folgenden zusätzlichen Schritte durch:
1. Geben Sie folgendes Kommando ein:
cscript %SYSTEMDRIVE%\inetpub\adminscripts\adsutil.vbs SET W3SVC/
AppPools/Enable32bitAppOnWin64 1
2. Registrieren Sie die benötigte ASP.NET Version mit folgendem Kommando:
%SYSTEMROOT%\Microsoft.NET\Framework\v2.0.50727\aspnet_regiis.exe -i
3. Aktivieren Sie die 32 Bit-Version von ASP.Net 2.0.50727:
53

Öffnen Sie den Internet Information Services Manager auf dem IIS Server.

Klicken Sie im IIS Manager auf Server (lokaler Computer) > Webdiensterweiterungen.

Rechts-klicken Sie auf ASP.NET v2.0.50727 (32 Bit), wählen Sie Eigenschaften und setzen
Sie den Status auf Zugelassen.

Bestätigen Sie mit Übernehmen und OK.
SafeGuard® Enterprise 5.50, Installation
6.2.6 Speicherwiederverwendung für IIS Server einschalten
Wir empfehlen, für den IIS Server „Arbeitsprozesse wieder verwenden“ einzustellen.
1. Öffnen Sie den Internet Information Services Manager.
2. Klicken Sie im IIS Manager auf Server (lokaler Computer).
3. Klicken Sie mit der rechten Maustaste auf Anwendungspools > Eigenschaften.
4. Setzen Sie unter Speicherwiederverwendung folgende Werte:

Maximaler virtueller Speicher = 500 MB

Maximaler verwendeter Speicher = 192 MB
5. Bestätigen Sie mit Übernehmen und OK.
Der IIS Server ist nun für SafeGuard Enterprise eingerichtet.
54
SafeGuard® Enterprise 5.50, Installation
6.3 SafeGuard Enterprise Server installieren
Nachdem der IIS konfiguriert ist, können Sie SafeGuard Enterprise Server auf dem IIS Server
installieren. Das Installationspaket SGNServer.msi finden Sie auf der Produkt-CD.
1. Starten Sie SGNServer.msi von der CD.
2. Klicken Sie im Willkommen-Fenster auf Weiter.
3. Akzeptieren Sie die Lizenzvereinbarung.
4. Wählen Sie einen Installationspfad und bestätigen Sie die erfolgreiche Installation.
Der SafeGuard Enterprise Server ist installiert.
Achtung: Aus Performance-Gründen ist die Verkettung von protokollierten Ereignissen für die
SafeGuard Enterprise Datenbank nach der Installation des SafeGuard Enterprise Servers
standardmäßig deaktiviert. 
Ohne die Verkettung steht für die protokollierten Ereignisse jedoch kein Integritätsschutz zur
Verfügung. Die Verkettung verknüpft alle Einträge in der Ereignistabelle miteinander, so dass die
Entfernung eines Eintrags sichtbar wird und über eine Integritätsprüfung nachgewiesen werden
kann. Um den Integritätsschutz zu nutzen, aktivieren Sie die Verkettung manuell. Detaillierte
Informationen hierzu finden Sie im Kapitel „Berichte“ der SafeGuard Enterprise AdministratorHilfe.
6.4 SafeGuard Enterprise Server registrieren und konfigurieren
Der SafeGuard Enterprise Server muss im SafeGuard Management Center noch registriert und
konfiguriert werden. Dies erfolgt über die Funktion Konfigurationspakete im SafeGuard
Management Center. Es muss eine Konfigurationsdatei für den Server erzeugt und auf ihm
installiert werden.
1. Starten Sie das SafeGuard Management Center und wählen Sie Extras >
Konfigurationspakete.
55
SafeGuard® Enterprise 5.50, Installation
2. Wählen Sie Server registrieren und dann eine der folgenden Optionen:

Diesen Computer zum SGN Server machen: SafeGuard Management Center und
SafeGuard Enterprise Server sind auf dem Computer installiert, mit dem Sie gerade
arbeiten. Wenn Multi Tenancy aktiviert ist, steht diese Option nicht zur Verfügung.

Hinzufügen: Der SafeGuard Enterprise Server ist auf einem anderen Computer als das
SafeGuard Management Center installiert.

Server-Rolle hinzufüge n: Weitere Rollen für den Sicherheitsbeauftragten für diesen Server
können hinzugefügt werden.

Entfernen: Der ausgewählte SafeGuard Enterprise Server wird aus der Liste entfernt.
3. Wählen Sie das Maschinenzertifikat des Servers. Es wird bei der Installation des SafeGuard
Enterprise Servers erzeugt. Sie finden es standardmäßig im Verzeichnis MachCert des
SafeGuard Enterprise Server Installationsverzeichnisses. Es trägt den Dateinamen
<Computername>.cer. Wenn der SafeGuard Enterprise Server auf einem anderen
Computer als das SafeGuard Management Center installiert ist, muss diese .cer-Datei als
Kopie oder Netzwerkfreigabe zugreifbar sein.
Achtung: Wählen Sie nicht das MSO-Zertifikat!
4. Tragen Sie unter Servername den FQDN (z. B. server.mycompany.edu) ein und bestätigen Sie
mit OK.
56
SafeGuard® Enterprise 5.50, Installation
Achtung: Wenn SSL als Tansportverschlüsselung zwischen Client und Server verwendet werden
soll, muss der Servername, den Sie hier eingeben mit dem Servernamen übereinstimmen, den Sie
im SSL-Zertifikat vergeben haben. Andernfalls können Client und Server nicht miteinander
kommunizieren.
5. Sie haben Diesen Computer zum SGN Server machen gewählt:
a) Das SafeGuard Enterprise Server Configuration Setup wird automatisch gestartet.
b) Bestätigen Sie alle folgenden Dialoge.
Der Computer wird als SafeGuard Enterprise Server registriert.
6. Der Server und seine Eigenschaften werden in der Registerkarte Server registrieren angezeigt.
Für den ausgewählten Server können Sie folgende Eigenschaften einstellen:

Skripts ausführen: Aktivieren Sie diese Option, wenn der SafeGuard Enterprise
Management API verwendet werden soll.

Server-Rollen: Klicken Sie auf Server-Rollen, um die gewünschte SicherheitsbeauftragtenRolle auszuwählen. Klicken Sie auf Server-Rolle hinzufügen am unteren Fensterrand, um
weitere Rollen für den Sicherheitsbeauftragten für diesen Server aufzunehmen.

Datenbankverbindung: Klicken Sie auf [...], um die Verbindung zur Datenbank für jeden
registrierten Server zu konfigurieren. Hier können Sie auch die Anmeldeinformationen für
die Datenbank und die SSL-Transportverschlüsselung zwischen Web Server und
Datenbankserver festlegen. Das Fenster Datenbankverbindung wird angezeigt.
Hinweis: SSL-Verschlüsselung erfordert eine funktionsfähige SSL-Umgebung auf dem SQL
Datenbankserver, die Sie vorab einrichten müssen. Für weitere Informationen siehe SSL
einrichten auf Seite 13.
7. Unter Datenbankverbindung konfigurieren Sie die Verbindung zwischen Datenbankserver
und Web Server:
a) Wählen Sie den gewünschten Datenbankserver aus, mit dem der SafeGuard Enterprise
Server verbunden werden soll.
b) Aktivieren Sie SSL verwenden, um die Verbindung zwischen Datenbankserver und dem
ausgewählten SafeGuard Enterprise Server mit SSL zu sichern.
c) In Authentisierung legen Sie die Anmeldeinformationen für den ausgewählten
Datenbankserver fest:
57

Windows Authentisierung

SQL Authentisierung
SafeGuard® Enterprise 5.50, Installation
Achtung: Verwenden Sie SQL Authentisierung für Computer, die nicht Teil einer Domäne sind.
Verwenden Sie ansonsten die Windows-Authentisierung, die jedoch zusätzliche Konfiguration
erfordert.
Wenn Sie SQL Authentisierung verwenden, empfehlen wir dringend, die Verbindung zur
Datenbank mit SSL zu sichern, um den Transport der SQL-Anmeldeinformationen zu
verschlüsseln.
d) Prüfen Sie die Verbindung zum Datenbankserver. Selbst wenn die Prüfung nicht
erfolgreich ist, kann ein neues Serverkonfigurationspaket erstellt werden.
Hinweis: Sie können die Eigenschaften und Einstellungen für jeden registrierten Server und seine
Datenbankverbindung jederzeit aktualisieren. Sie müssen nicht den Management Center
Konfigurationsassistenten erneut ausführen, um die Datenbankkonfiguration zu aktualisieren.
Sie müssen nur dafür sorgen, ein neues Server-Konfigurationspaket zu erstellen und es an den
entsprechenden Server zu verteilen. Sobald dieses auf dem Server installiert ist, kann auf die neue
Datenbankverbindung zugegriffen werden.
8. Sie haben Hinzufügen gewählt:
a) Wechseln Sie auf die Registerkarte Server-Konfigurationspaket erstellen.
b) Wählen Sie dort den gewünschten Server aus.
c) Legen Sie den Ausgabepfad fest.
d) Klicken Sie auf Konfigurationspaket erstellen. Es wird unter dem Ausgabepfad eine
Konfigurationsdatei für den Server (.msi-Datei) mit dem Namen <Server>.msi (im
Beispiel server.mycompany.edu.msi)) erzeugt.
Die Registrierung und Konfiguration des SafeGuard Enterprise Servers ist beendet. Führen Sie
das Server-Konfigurationspaket am SafeGuard Enterprise Server aus.
Hinweis: Wenn Sie ein neues Konfigurationspaket installieren möchten, deinstallieren Sie
zunächst die „alte“ Server-Konfigurationsdatei, bevor Sie die neue installieren.
58
SafeGuard® Enterprise 5.50, Installation
7 Kommunikation testen
Wenn SafeGuard Enterprise Server, die Datenbank und das SafeGuard Management Center
eingerichtet sind, sollten Sie einen Verbindungstest durchführen. Die nötigen Schritte werden in
diesem Kapitel beschrieben.
7.1 Voraussetzungen
Vor dem Verbindungstest müssen folgende Einstellungen gemacht bzw. geprüft werden:
Ports/Verbindungen
Die Endpoint-Computer müssen folgende Verbindungen aufbauen:
Verbindung zu
über Port
SafeGuard Enterprise Server
Port 80/TCP
Das SafeGuard Management Center muss folgende Verbindungen aufbauen:
Verbindung zu
über Port
SQL Datenbank
Port 1433/TCP und Port 1434/TCP für SQL 2005
(Express) dynamic port
Active Directory
Port 389/TCP
SLDAP
Port 636 für den Active Directory Import
Der SafeGuard Enterprise Server muss folgende Verbindungen aufbauen:
59
Verbindung zu
über Port
SQL Datenbank
Port 1433/TCP und Port 1434/TCP für SQL 2005
(Express) dynamic port
Active Directory
Port 389/TCP
SafeGuard® Enterprise 5.50, Installation
Authentisierungsmethode
1. Öffnen Sie auf dem SafeGuard Enterprise Server den Internet Information Services (IIS)
Manager.
2. Wählen Sie in der Baumstruktur Internet Information Services > „Servername“ > 
Web Sites > Standardwebsite > SGNSRV.
3. Klicken Sie mit der rechten Maustaste auf SGNSRV und wählen Sie Eigenschaften.
4. Wählen Sie die Registerkarte Verzeichnissicherheit.
5. Im Feld Authentifizierung und Zugriffssteuerung klicken Sie auf Bearbeiten. Aktivieren Sie
Anonymen Zugriff aktivieren und deaktivieren Sie Integrierte Windows Authentifizierung.
60
SafeGuard® Enterprise 5.50, Installation
Proxyserver-Einstellungen für Webserver und Endpoint-Computer
Die Proxyserver-Einstellungen sollten wie folgt gesetzt werden:
1. Wählen Sie im Internet Explorer Extras > Internet-Optionen > Verbindungen > LANEinstellungen.
2. Deaktivieren Sie Proxyserver für LAN verwenden.
3. Wenn ein Proxyserver notwendig ist, aktivieren Sie Proxyserver für lokale Adressen umgehen.
Microsoft SQL Server 2005 Einstellungen
Wenn der Microsoft SQL Server 2005 verwendet wird, muss im Microsoft SQL Server
Management Studio folgender Benutzer (Rolle "sysadmin") hinzugefügt werden:
61
SafeGuard® Enterprise 5.50, Installation
Microsoft SQL Server 2005 Einstellungen
Wird der Microsoft SQL Server 2005 verwendet, müssen Sie folgende Benutzer in Microsoft SQL
Server Management Studio (Rolle „sysadmin“) hinzufügen:
7.2 Verbindungstest durchführen
1. Öffnen Sie auf dem SafeGuard Enterprise Server den Internet Information Services (IIS)
Manager.
2. Klicken Sie im IIS Manager auf Server (lokaler Computer) > Web Sites > Standardwebsite.
3. Klicken Sie mit der rechten Maustaste auf den gewünschten Server und dann auf
Durchsuchen.
62
SafeGuard® Enterprise 5.50, Installation
4. Klicken Sie auf den Link Check Connection.
5. Testen Sie die Verbindung mit einem Klick auf Aufrufen.
Der Verbindungstest war erfolgreich, wenn Sie diese Ausgabe erhalten:
63

WebServices ok

DBAuth ok
SafeGuard® Enterprise 5.50, Installation
8 Replikation der SafeGuard Enterprise Datenbank
Zur Optimierung der Performance lässt sich die SafeGuard Enterprise Database auf mehrere SQL
Server replizieren.
Dieses Kapitel beschreibt das Aufsetzen der Replikation für die SafeGuard Enterprise Datenbank
in einer verteilten Umgebung. In der Beschreibung wird davon ausgegangen, dass Sie bereits
Erfahrung mit dem Microsoft SQL Server Replikationsmechanismus haben.
Hinweis: Die Administration sollte nur bei der Master-Datenbank erfolgen, nicht bei replizierten
Datenbanken.
8.1 Mergereplikation
Die Mergereplikation ist der Vorgang der Verteilung von Daten vom Verleger an die Abonnenten.
Dabei können Verleger und Abonnenten unabhängig voneinander Aktualisierungen vornehmen
und danach einen Merge der Aktualisierungen zwischen den Standorten durchführen.
Die Mergereplikation erlaubt es verschiedenen Standorten, autonom zu arbeiten und später die
Aktualisierungen zu einem einzigen, einheitlichen Ergebnis zusammenzuführen. Der initiale
Snapshot wird auf die Abonnenten angewendet. Microsoft SQL Server verfolgt dann die
Änderungen an veröffentlichten Daten beim Verleger und bei den Abonnenten nach. Die Daten
werden zwischen den Servern kontinuierlich, zu einem festgelegten Zeitpunkt oder auf
Anforderung synchronisiert. Da Aktualisierungen auf mehr als einem Server ausgeführt werden,
sind dieselben Daten möglicherweise vom Verleger und von mindestens einem Abonnenten
aktualisiert worden. Daher kann es beim Zusammenführen von Aktualisierungen zu Konflikten
kommen.
Die Mergereplikation bietet Standardmöglichkeiten sowie individuelle Möglichkeiten für die
Konfliktlösung, die Sie bei der Konfiguration einer Mergeveröffentlichung definieren können.
Tritt ein Konflikt auf, ruft der Merge-Agent einen Resolver auf. Dieser bestimmt, welche Daten
akzeptiert und an andere Standorte verteilt werden.
64
SafeGuard® Enterprise 5.50, Installation
8.2 Datenbankreplikation einrichten
Der Vorgang des Einrichtens einer Replikation für die SafeGuard Enterprise Datenbank wird am
Beispiel von Microsoft SQL Server 2005 beschrieben.
Im Beispiel wird SafeGuard Enterprise ausschließlich von der Datenbank in Wien aus
administriert. Alle Änderungen werden vom SafeGuard Management Center über den Microsoft
SQL Server 2005 Replikationsmechanismus an die Datenbanken in Graz und Linz weitergegeben.
Die von den Benutzercomputern über die Web Server gemeldeten Änderungen werden ebenfalls
über den Replikationsmechanismus an den Microsoft SQL Server 2005 weitergegeben.
65
SafeGuard® Enterprise 5.50, Installation
8.2.1 Master-Datenbank erzeugen
Legen Sie zunächst die SafeGuard Enterprise Master-Datenbank an. In unserem Beispiel ist dies
die Datenbank Wien.
Der Vorgang zum Erzeugen der Master-Datenbank ist mit dem entsprechenden Vorgang für eine
SafeGuard Enterprise Installation ohne Replikation identisch.
Zum Erzeugen der Master-Datenbank gibt es zwei Möglichkeiten:

über den Konfigurationsassistenten für das SafeGuard Management Center
Für diesen Vorgang muss das SafeGuard Management Center bereits installiert sein, siehe
SafeGuard Management Center installieren auf Seite 30.

über ein SQL Skript, das auf der Produkt-CD zur Verfügung steht.
Dieser Vorgang wird häufig bevorzugt, wenn erweiterte SQL-Berechtigungen während der
SafeGuard Management Konfiguration nicht erwünscht sind, siehe SafeGuard Enterprise
Datenbank einrichten auf Seite 18.
8.2.2 Replikationsdatenbanken in Graz und Linz erzeugen
Nach dem Einrichten der Master-Datenbank können Sie die Replikationsdatenbanken erzeugen.
Im Beispiel haben die Replikationsdatenbanken die Bezeichnungen Graz und Linz.
Hinweis: Datentabellen und EVENT-Tabellen werden in getrennten Datenbanken gehalten.
Ereigniseinträge werden standardmäßig nicht verkettet, so dass die EVENT-Datenbank zur
Erhöhung der Performance auf mehrere SQL Server repliziert werden kann. Wenn EVENTTabellen verkettet werden, können während der Replikation ihrer Datensätze Probleme
auftreten.
So erzeugen Sie die Replikationsdatenbanken:
1. Wenn Sie verteilte Datenbanken verwenden, müssen Sie zunächst eine Veröffentlichung für
die Master-Datenbank über die Managementkonsole des SQL Servers erstellen.
2. Wählen Sie alle Tabellen, Ansichten und gespeicherten Prozeduren für die Synchronisierung
in dieser Veröffentlichung aus.
3. Erstellen Sie die Replikationsdatenbanken, indem Sie ein Abonnement für Graz und ein
Abonnement für Linz erzeugen. Die neuen Datenbanken Graz und Linz erscheinen daraufhin
in den Abonnements im SQL Konfigurationsassistenten.
4. Schließen Sie den SQL Konfigurationsassistenten. Die Replikationsüberwachung zeigt, ob der
Replikationsmechanismus korrekt läuft.
66
SafeGuard® Enterprise 5.50, Installation
5. Stellen Sie sicher, dass Sie den korrekten Datenbanknamen in der ersten Zeile des SQL Skripts
eingeben. Verwenden Sie zum Beispiel Graz oder Linz .
6. Erzeugen Sie nochmal die Snapshots mit dem Snapshot Agenten.
Die Replikationsdatenbanken Graz und Linz wurden angelegt. Fahren Sie nun mit der
Installation des SafeGuard Enterprise Servers fort.
8.3 SafeGuard Enterprise Server installieren und konfigurieren
Um SafeGuard Enterprise Server auf den Web Servern zu installieren, gehen Sie wie folgt vor. Für
detaillierte Informationen zur Installation siehe SafeGuard Enterprise Server einrichten auf Seite
45.
1. Installieren Sie SafeGuard Enterprise Server auf dem Server WS_1.
2. Installieren Sie SafeGuard Enterprise Server auf dem Server WS_2.
3. Registrieren Sie die Server im SafeGuard Management Center über 
Extras > Konfigurationspakete > Server registrieren > Hinzufügen.
4. Sie werden dazu aufgefordert, die Serverzertifikate ws_1.cer und ws_2.cer hinzuzufügen. 
Sie finden die Zertifikate im Ordner \Program Files\Sophos\SafeGuard
Enterprise\MachCert\ . Die Zertifikate werden benötigt, um die entsprechenden Serverund Client-Konfigurationspakete zu erstellen.
Die SafeGuard Enterprise Server sind installiert und registriert. Erstellen Sie nun die Server- und
Client-Konfigurationspakete für beide Server.
67
SafeGuard® Enterprise 5.50, Installation
8.3.1 Konfigurationspakete für die Datenbank Graz erzeugen
Erstellen Sie das Server- und Client-Konfigurationspaket für die Datenbank Graz. Starten Sie das
SafeGuard Management Center und gehen Sie wie folgt vor:
1. Verbinden Sie das SafeGuard Management Center mit der Datenbank Graz: Wählen Sie unter
Extras > Optionen die Registerkarte Datenbankverbindung. Wählen Sie hier WS_1 als
Databenbankserver und Graz als Datenbank auf Server.
2. Erstellen Sie unter Extras > Konfigurationspakete > Server-Konfigurationspaket erstellen das
Server-Konfigurationspaket.
3. Erstellen Sie unter Extras > Konfigurationspakete > Konfigurationspaket (Managed)
erstellen das Konfigurationspaket für den SafeGuard Enteprise Client. Stellen Sie sicher, dass
Sie den korrekten Server, mit dem die Graz-Clients verbunden werden sollen, auswählen. In
unserem Beispiel ist dies der Server WS_1.
8.3.2 Konfigurationspakete für die Datenbank Linz erzeugen
Um das Server- und Client-Konfigurationspaket für die Datenbank Linz zu erstellen, starten Sie
das SafeGuard Management Center und gehen Sie wie folgt vor:
1. Verbinden Sie das SafeGuard Management Center mit der Datenbank Linz: Wählen Sie unter 
Extras > Optionen die Registermarke Datenbankverbindung. Wählen Sie hier WS_2 als
Databenbankserver und Linz als Datenbank auf Server.
2. Erstellen Sie unter Extras > Konfigurationspakete > Server-Konfigurationspaket erstellen das
Server-Konfigurationspaket.
3. Erstellen Sie unter Extras > Konfigurationspakete > Konfigurationspaket (Managed)
erstellen das Konfigurationspaket für den SafeGuard Enterprise Client. Stellen Sie sicher, dass
Sie den korrekten Server, mit dem die Linz-Clients verbunden werden sollen, auswählen. In
unserem Beispiel ist dies der Server WS_2.
4. Wenn Sie die Client- und Server-Konfigurationspakete erstellt haben, verbinden Sie das
SafeGuard Management Center wieder mit der Datenbank Wien.
68
SafeGuard® Enterprise 5.50, Installation
8.3.3 Server-Konfigurationspakete installieren
So installieren Sie die Server-Konfigurationspakete auf den Web Servern:
1. Installieren Sie das Server-Konfigurationspaket (ws_1.msi) auf Web Service WS_1, der mit der
Datenbank Graz kommunizieren soll.
2. Installieren Sie das Server-Konfigurationspaket (ws_2.msi) auf Web Service WS_2, der mit der
Datenbank Linz kommunizieren soll.
Wenn die Kommunikation zwischen dem SafeGuard Enterprise Server und diesen Datenbanken
korrekt läuft, können Sie die SafeGuard Enterprise Clients installieren.
8.4 SafeGuard Enterprise Client installieren und konfigurieren
Die Installation der SafeGuard Enterprise Clients entspricht der Client-Installation ohne
Replikation. Für detaillierte Informationen siehe Endpoint-Computer zentral einrichten auf Seite
82 oder siehe Endpoint-Computer lokal einrichten auf Seite 98.
Um eine korrekte Konfiguration sicherzustellen, stellen Sie nach der Installation der einzelnen
SafeGuard Enterprise Clients sicher, dass Sie das richtige Client-Konfigurationspaket installieren.
Gehen Sie gemäß dem Beispiel wie folgt vor:
1. Installieren Sie das Client-Konfigurationspaket Graz auf den Clients, die mit dem Graz-Server
WS_1 verbunden werden sollen.
2. Installieren Sie das Client-Konfigurationspaket Linz auf den Clients, die mit dem Linz-Server
WS_2 verbunden werden sollen.
Für Informationen zur Aktualisierung von replizierten SafeGuard Enterprise Datenbanken siehe
Replizierte SafeGuard Enterprise Datenbanken aktualisieren auf Seite 113.
69
SafeGuard® Enterprise 5.50, Installation
9 Organisationsstruktur einrichten
Es gibt zwei Möglichkeiten, Ihre Organisation in SafeGuard Enterprise abzubilden:

durch den manuellen Aufbau der Unternehmensstruktur

durch den Import eines Verzeichnisdienstes, z. B. eines Active Directory
Sie können entweder nur eine von beiden Möglichkeiten anwenden, oder die beiden
Möglichkeiten mischen. Zum Beispiel können Sie ein Active Directory (AD) ganz oder teilweise
importieren und weitere Organisationseinheiten (OU) manuell anlegen. Beachten Sie dabei, dass
die manuell angelegten Organisationseinheiten nicht im AD abgebildet werden. Wenn
Organisationseinheiten, die Sie in SafeGuard Enterprise angelegt haben, auch im AD abgebildet
werden sollen, müssen Sie diese im AD nachtragen.
70
SafeGuard® Enterprise 5.50, Installation
9.1 Organisationsstruktur manuell aufbauen
Wenn Sie keine Organisationsstruktur aus einem Active Directory importieren wollen oder
können, können Sie Ihre Organisationsstruktur auch manuell aufzubauen. Erstellen Sie dazu
neue Domänen/Arbeitsgruppen, unter denen sich die Benutzer/Computer anmelden können.
Um eine neue Domäne einzurichten, gehen Sie folgendermaßen vor:
Sie befinden sich im SafeGuard Management Center unter Benutzer & Computer.
1. Markieren Sie im Bereich Benutzer & Computer links im Navigationsfenster Stamm.
2. Wählen Sie im Kontextmenü Neu > Neue Domäne erzeugen (autom. Registrierung).
3. Unter Allgemeine Informationen machen Sie folgende Angaben zum Domänen-Controller.
Alle drei Namenseingaben müssen korrekt sein, sonst wird die Domäne nicht synchronisiert:
a) Vollständiger Name: z. B. rechnername.domäne.com oder die IP-Adresse des DomänenControllers
b) Distinguished Name: DNS-Name, z. B. DC=rechnername3,DC=Domäne,DC=Land
c) Beschreibung der Domäne (optional)
d) Domäne NetBIOS: Name des Domänen-Controllers
e) Unter Verbindungsstatus wird der Typ des Objekts angezeigt, in diesem Fall Domäne .
f) Aktivieren Sie Richtlinienvererbung stoppen, wenn gewünscht.
4. Bestätigen Sie die Angaben mit OK.
Um eine neue Arbeitsgruppe zu erzeugen, gehen Sie folgendermaßen vor:
Sie befinden sich im SafeGuard Management Center unter Benutzer & Computer.
1. Markieren Sie im Bereich Benutzer & Computer links im Navigationsfenster Stamm.
2. Wählen Sie im Kontextmenü Neu > Neue Arbeitsgruppe erzeugen (autom. Registrierung).
3. Unter Allgemeine Informationen machen Sie folgende Angaben:
a) Vollst. Name: Geben Sie einen Namen für die Arbeitsgruppe ein.
b) Sie können optional eine Beschreibung der Arbeitsgruppe einfügen.
c) Unter Verbindungsstatus wird der Typ des Objekts angezeigt, in diesem Fall
Arbeitsgruppe .
d) Aktivieren Sie Richtlinienvererbung stoppen, wenn gewünscht.
71
SafeGuard® Enterprise 5.50, Installation
4. Bestätigen Sie die Angaben mit OK.
Die Domäne/Arbeitsgruppe ist nun neu angelegt. Benutzer/Computer dieser Domäne werden bei
der Anmeldung automatisch dieser Domäne/Arbeitsgruppe zugeordnet. Verfahren Sie weiter
entsprechend, bis Ihre Organisationsstruktur aufgebaut ist.
72
SafeGuard® Enterprise 5.50, Installation
9.2 Organisationsstruktur importieren
Sie haben optional die Möglichkeit, eine bestehende Organisationsstruktur z. B. über ein Active
Directory in die SafeGuard Enterprise Datenbank zu importieren.
1. Starten Sie das SafeGuard Management Center.
2. Wählen Sie Extras > Optionen > Verzeichnisanmeldung und klicken Sie auf Hinzufügen.
a) Es erscheint LDAP Authentisierung.
b) Bei Servername oder IP geben Sie den NetBIOS-Namen des Domänen-Controllers oder
dessen IP-Adresse ein.
c) Bei Benutzername und Kennwort geben Sie Ihre Windows-Anmeldeinformationen ein.
73
SafeGuard® Enterprise 5.50, Installation
Hinweis: Windows Einzelplatzcomputer: Auf dem PC muss ein Verzeichnis freigegeben sein,
damit eine Verbindung via LDAP möglich wird.
Wenn Sie Benutzer und ihre Gruppenzugehörigkeit synchronisieren, wird die Zugehörigkeit zu
einer “Primärgruppe“ nicht synchronisiert, da sie für die Gruppe nicht sichtbar ist.
3. Bestätigen Sie mit OK.
4. Klicken Sie auf Benutzer & Computer.
5. Klicken Sie im linken Navigationsfenster auf das Stammverzeichnis Stamm [Filter ist aktiv].
6. Wählen Sie die Registerkarte Synchronisation.
7. Wählen Sie aus dem Verzeichnis DSN das gewünschte Verzeichnis aus. Klicken Sie auf das
Lupen-Symbol rechts oben. Es erscheint eine Abbildung der Active Directory-Struktur der
Organisationseinheiten (OU) in Ihrem Unternehmen.
8. Es muss nicht der gesamte Inhalt des Active Directory importiert werden. Markieren Sie die
Organisationseinheit (OU), die synchronisiert werden sollen.
9. Klicken Sie auf die Synchronisieren.
10.Bestätigen Sie die Synchronisierung mit OK.
Die Synchronisierung von SafeGuard Management Center und Active Directory ist
abgeschlossen. Die importierten Objekte werden im Bereich Benutzer & Computer angezeigt. Die
Fortschrittsanzeige links unten in der Statusleiste zeigt ein Synchronisierungsprotokoll an. Wenn
Sie auf diese Anzeige klicken, können Sie das Synchronisierungsprotokoll kopieren und zum
Beispiel in eine E-Mail oder eine Datei kopieren, um Ihre Benutzer über die Ergebnisse der
Synchronisierung zu informieren.
74
SafeGuard® Enterprise 5.50, Installation
10 SafeGuard Konfigurationen für Endpoint-Computer
Endpoint-Computer können folgendermaßen konfiguriert werden:

als SafeGuard Enterprise Clients (managed) bei zentraler, serverbasierter Verwaltung im
SafeGuard Management Center.
Für SafeGuard Enterprise Clients (managed) besteht generell eine Verbindung zum SafeGuard
Enterprise Server. Sie erhalten ihre Richtlinien über den SafeGuard Enterprise Server. Die
Verbindung kann temporär unterbrochen sein, z. B. während einer Geschäftsreise. Trotzdem
ist der Endpoint-Computer auch in dieser Situation als SafeGuard Enterprise Client definiert.

als Sophos SafeGuard Clients (standalone) bei lokaler Verwaltung im SafeGuard
Management Center .
Für Sophos SafeGuard Clients (standalone) besteht zu keiner Zeit eine Verbindung zum
SafeGuard Enterprise Server. Sie erhalten ihre Richtlinien daher in Form von
Konfigurationspaketen über unternehmenseigene Verteilungsmechanismen.
Hinweis: Überprüfen Sie Ihr Netzwerk und Ihre Computer auf veraltete oder nicht mehr
benutzte Client-Konfigurationspakete und löschen Sie diese aus Sicherheitsgründen.
75
SafeGuard® Enterprise 5.50, Installation
10.1 Einschränkungen
AHCI
Wenn auf dem Computer Intel Advanced Host Controller Interface (AHCI) benutzt wird, so
muss sich die Boot-Festplatte in Slot 0 oder Slot 1 befinden. Sie können bis zu 32 Festplatten
einlegen. SafeGuard Enterprise läuft nur auf den ersten beiden Slot-Nummern.
Dynamic und GPT Platten
Dynamic- und GPT-Platten werden nicht unterstützt. Die Installation bricht in diesem Fall ab.
Wenn diese Platten nachträglich im System auftauchen, werden sie nicht unterstützt.
SCSI-Festplatten
Systeme mit Festplatten, die über einen SCSI Bus angeschlossen sind, werden vom SafeGuard
Enterprise Device Encryption Client nicht unterstützt.
Einschränkungen für die initiale Verschlüsselung von SafeGuard Enterprise Clients
(Managed)
Im Rahmen der initialen Konfiguration von SafeGuard Enterprise Clients (Managed) können
Verschlüsselungsrichtlinien erstellt werden, die in einem Konfigurationspaket an die SafeGuard
Enterprise Clients verteilt werden können.
Wenn der SafeGuard Enterprise Client jedoch nicht direkt nach der Installation des
Konfigurationspakets eine Verbindung mit dem SafeGuard Enterprise Server herstellt, sondern
vorübergehend offline ist, werden nur Verschlüsselungsrichtlinien mit den folgenden
spezifischen Einstellungen sofort auf dem Enterprise Client wirksam:

Geräteschutz vom Typ volume-basierend unter Anwendung des definierten
Computerschlüssels als Verschlüsselungsschlüssel.
Damit alle anderen Richtlinien, die Verschlüsselung mit benutzerdefinierten Schlüsseln
umfassen, auf dem Enterprise Client aktiv werden, muss das entsprechende Konfigurationspaket
auch noch einmal der OU des Enterprise Clients zugewiesen werden. Die benutzerdefinierten
Schlüssel werden dann erst erstellt, wenn der Enterprise Client wieder eine Verbindung zum
SafeGuard Enterprise Server hergestellt hat.
Ursache hierfür ist, dass der definierte Computerschlüssel direkt auf dem SafeGuard Enterprise
Client beim ersten Neustart nach der Installation erstellt wird. Benutzerdefinierte Schlüssel
hingegen können nur auf dem SafeGuard Enterprise Client erstellt werden, wenn er beim
SafeGuard Enterprise Server registriert wurde.
76
SafeGuard® Enterprise 5.50, Installation
Einschränkungen für Sophos SafeGuard Clients (standalone)

Die folgende Features werden für den SafeGuard Standalone Client nicht unterstützt:

SafeGuard BitLocker-Unterstützung

Configuration Protection
Einschränkungen für die BitLocker-Unterstützung

Das folgende Installationspaket steht für SafeGuard Enterprise Clients mit BitLocker
Unterstützung nicht zur Verfügung:

SGNClient_withoutDE.msi/SGNClient_withoutDE_x64.msi
Achtung: Bei Windows Vista/Windows 7 kann entweder die volume-basierende Verschlüsselung
von SafeGuard Enterprise oder von BitLocker benutzt werden. Die gleichzeitige Benutzung beider
Verschlüsselungsmethoden ist nicht möglich. Wenn Sie den Verschlüsselungstyp ändern
möchten, müssen Sie zuerst alle Partitionen entsschlüsseln, das SafeGuard Enterprise ClientPaket deinstallieren und dann mit den gewünschten Features neu installieren.
77
SafeGuard® Enterprise 5.50, Installation
10.2 SafeGuard Enterprise Clients (managed)
SafeGuard Enterprise Clients (mamaged) werden zentral im SafeGuard Management Center
verwaltet.
Für SafeGuard Enterprise Clients besteht generell eine Verbindung zum SafeGuard Enterprise
Server. Die Verbindung kann temporär unterbrochen sein, z. B. während einer Geschäftsreise.
Trotzdem ist der Endpoint-Computer auch in dieser Situation als SafeGuard Enterprise Client
definiert.
Das Enterprise Client-Konfigurationspaket wird im SafeGuard Management Center erzeugt.
78
SafeGuard® Enterprise 5.50, Installation
10.2.1Installationspakete für SafeGuard Enterprise Clients (managed)
Hinweis: Wenn das Betriebssystem des Endpoint-Computers Windows 7 64-Bit oder Windows
Vista 64-Bit ist, können Sie die 64-Bit-Variante der “Client” .msi-Pakete installieren
<Paketname>_x64.msi). Das 64-Bit-Paket des SafeGuard Configuration Protection Client ist
verfügbar für Windows 7 64-Bit.
Die folgende Tabelle zeigt die zur Verfügung stehenden Installationspakete für den Enterprise
Client und erklärt, wie das Konfigurationspaket erstellt wird:
Paket
Beschreibung
SGxClientPreinstall.msi
Muss vor der Verschlüsselungssoftware auf den
Endpoint-Computern installiert werden (obligatorisch).
Stattet Endpoint-Computer mit notwendigen
Voraussetzungen für eine erfolgreiche Installation der
Verschlüsselungssoftware aus.
SGNClient.msi
SGNClient_x64.msi
Für SafeGuard Enterprise Clients und für Enterprise
Clients mit BitLocker-Unterstützung.
SafeGuard Enterprise Device Encryption:
Volume-basierende Verschlüsselung mit Power-on
Authentication.
SafeGuard Data Exchange
SafeGuard Data Exchange sorgt für die sichere
Verschlüsselung von Wechselmedien auf allen
Plattformen ohne erneute Verschlüsselung.
Dateibasierende Verschlüsselung
SGNClient_withoutDE.msi
Für SafeGuard Enterprise Clients mit BitLockerSGNClient_withoutDE_x64.msi Unterstützung steht dieses Paket nicht zur Verfügung.
SafeGuard Data Exchange
SafeGuard Data Exchange sorgt für die sichere
Verschlüsselung von Wechselmedien auf allen
Plattformen ohne erneute Verschlüsselung.
Dateibasierende Verschlüsselung ohne Power-on
Authentication
SGN_CP_Client.msi 
SGN_CP_Client_x64.msi
(verfügbar für 
Windows 7 64-Bit)
79
Die 64-Bit-Variante dieses Pakets ist verfügbar für 
Window 7 64-Bit Betriebssysteme.
Für SafeGuard Enterprise Clients und für Enterprise
Clients mit BitLocker-Unterstützung.
Configuration Protection
Schnittstellenschutz und Management von
Peripheriegeräten
SafeGuard® Enterprise 5.50, Installation
Paket
Beschreibung
SGNClientRuntime.msi
SGNClientRuntime_x64.msi
Runtime Client, der das Booten von einem sekundären
Boot-Laufwerk ermöglicht, wenn mehrere
Betriebssysteme installiert sind und der den Zugriff auf
diese Laufwerke erlaubt, wenn diese durch die primäre
SafeGuard Enterprise Installation. verschlüsselt sind
Dieses Installationspaket steht sowohl für SafeGuard
Enterprise Clients als auch für SafeGuard Standalone
Clients zur Verfügung.
Enterprise ClientKonfigurationspaket
Erzeugt im SafeGuard Management Center
10.3 Sophos SafeGuard Standalone Clients
Der Standalone Client ist eine Variante der SafeGuard Enterprise Client-Komponente. Für ihn
besteht nie eine Verbindung zum SafeGuard Enterprise Server. Damit fehlt die Verbindung zur
zentralen Verwaltung, der Client wird also im Standalone-Modus betrieben.
Der zentrale Unterschied zum SafeGuard Enterprise Client ist, dass ein Standalone Client
SafeGuard Enterprise-Richtlinien ausschließlich über ein Konfigurationspaket und nie über eine
Verbindung zum SafeGuard Enterprise Server erhält.
Standalone Clients werden lokal verwaltet. Richtliniengruppen und Konfigurationspakete für
diese Clients im SafeGuard Management Center erstellt. Die Verteilung der Konfigurationspakete
kann über firmeneigene Software-Verteilungsmechanismen erfolgen, oder das
Konfigurationspaket wird manuell auf den Endpoint-Computern installiert.
10.3.1Einschränkungen
Die folgenden Module stehen für SafeGuard Standalone Clients nicht zur Verfügung:

Configuration Protection

BitLocker-Unterstützung
80
SafeGuard® Enterprise 5.50, Installation
10.3.2 Installationspakete für Sophos SafeGuard Clients (standalone)
Hinweis: Für die Client-Installationspakete sind 64-Bit-Varianten für Windows 7 64-Bit und
Windows Vista 64-Bit verfügbar (<Paketname>_x64.msi). Wenn das Betriebssystem des
Endpoint-Computers Windows 7 64-Bit oder Windows Vista 64-Bit ist, können Sie die 64-BitVariante der “Client” .msi-Pakete installieren.
Die folgende Tabelle zeigt die zur Verfügung stehenden Installationspakete für das StandaloneSzenario und erklärt, wie das Konfigurationspaket erstellt wird:
81
Package
Description
SGxClientPreinstall.msi
Muss vor der Verschlüsselungssoftware auf den
Endpoint-Computern installiert werden
(obligatorisch). Stattet Endpoint-Computer mit
notwendigen Voraussetzungen für eine erfolgreiche
Installation der Verschlüsselungssoftware aus.
SGNClient.msi
SGNClient_x64.msi
SafeGuard Enterprise Device Encryption
Volume-basierende Verschlüsselung mit Power-on
Authentication.
SafeGuard Data Exchange
SafeGuard Data Exchange sorgt für die sichere
Verschlüsselung von Wechselmedien auf allen
Plattformen ohne erneute Verschlüsselung.
Dateibasierende Verschlüsselung
SGNClient_withoutDE.msi
SGNClient_withoutDE_x64.msi
SafeGuard Data Exchange
SafeGuard Data Exchange sorgt für die sichere
Verschlüsselung von Wechselmedien auf allen
Plattformen ohne erneute Verschlüsselung.
Dateibasierende Verschlüsselung ohne Power-on
Authentication
SGNClientRuntime.msi
SGNClientRuntime_x64.msi
Runtime Client, der das Booten von einem sekundären
Boot-Laufwerk ermöglicht, wenn mehrere
Betriebssysteme installiert sind und der den Zugriff auf
diese Laufwerke erlaubt, wenn diese durch die primäre
SafeGuard Enterprise Installation. verschlüsselt sind
Dieses Installationspaket steht sowohl für SafeGuard
Enterprise Clients als auch für SafeGuard Standalone
Clients zur Verfügung.
Standalone Client Configuration
Package
Erzeugt im SafeGuard Management Center.
SafeGuard® Enterprise 5.50, Installation
11 Endpoint-Computer zentral einrichten
Dieses Kapitel beschreibt, wie Sie die Endpoint-Computer für SafeGuard Enterprise zentral für
mehrere Computer einrichten.
Die Installation und Konfiguration wird sowohl für SafeGuard Enterprise Clients (managed) als
auch für Sophos SafeGuard Clients (standalone) beschrieben.
Die erforderlichen Arbeitsschritte werden auch für Benutzer-PCs mit Windows BitLocker
beschrieben.
SafeGuard Enterprise Sicherheitsbeauftragte können die gesamte Installation und Konfiguration
von Endpoint-Computern als Teil einer zentralen Softwareverteilung einrichten. Damit ist eine
einheitliche Installation an mehreren Endpoint-Computern gewährleistet.
Achtung: Die Installations- und Konfigurationspakete dürfen im Rahmen einer zentralen
Softwareverteilung nur einem Computer zugewiesen werden, nicht aber einem Benutzer.
Das Verhalten des Endpoint-Computers bei der ersten Anmeldung nach der Installation ist in der
SafeGuard Enterprise Benutzerhilfe beschrieben.
11.1 Allgemeine Voraussetzungen
Folgende Voraussetzungen müssen erfüllt sein:

Sie benötigen Windows Administratorrechte.

Auf den Endpoint-Computern muss ein Benutzerkonto eingerichtet und aktiv sein.

Erstellen Sie ein komplettes Backup der Daten auf den Endpoint-Computern.

Folgende Voraussetzung gilt nur für SafeGuard Enterprise Clients:
Kontrollieren Sie, ob eine Verbindung zum SafeGuard Enterprise Server besteht. Rufen Sie auf
den Endpoint-Computern im Internet Explorer folgende Web-Adresse auf:
http://<ServerIPAdresse>/sgnsrv
Wenn die „Trans“-Seite mit dem Eintrag Check Connection erscheint, ist die Verbindung
zum SafeGuard Enterprise Server hergestellt.
82
SafeGuard® Enterprise 5.50, Installation
11.2 Voraussetzungen für BitLocker-Unterstützung
Wenn Sie mit SafeGuard Enterprise BitLocker Endpoint-Computer verwalten möchten, sind
folgende vorbereitende Maßnahmen auf dem Endpoint-Computer zu treffen.

Auf dem Endpoint-Computer muss Windows 7 oder Windows Vista Enterprise oder Ultimate
installiert sein.

Es muss eine zweite Partition für das BitLocker System-Volume mit einer NTFS-formatierte
Klartextpartition mit mindestens 1.5 GB vorhanden sein. Microsoft bietet ein BitLocker
Partitionierungs-Tool.

BitLocker muss installiert und aktiviert sein.

Wenn TPM für die Authentisierung verwendet werden soll, muss TPM initialisiert, im Besitz
und aktiviert sein.

Wenn Sie die volume-basierende Verschlüsselung von SafeGuard Enterprise installieren
möchten, stellen Sie sicher, dass noch kein Volume mit BitLocker verschlüsselt ist. Andernfalls
kann es zu einer Beschädigung des Systems kommen.
Wenn Sie weitere Informationen benötigen, wenden Sie sich an den Microsoft Support. Darüber
hinaus finden Sie weitere Informationen auf den folgenden beiden Websites:

Informationen zu vorbereitenden Maßnahmen sowie zur Aktivierung von BitLocker:
http://technet2.microsoft.com/WindowsVista/en/library/c61f2a12-8ae6-4957-b03197b4d762cf311033.mspx?mfr=true

BitLocker FAQ:
http://technet2.microsoft.com/WindowsVista/en/library/58358421-a7f5-4c97-ab412bcc61a58a701033.mspx?mfr=true
83
SafeGuard® Enterprise 5.50, Installation
11.3 Einschränkungen
AHCI
Wenn auf dem Computer Intel Advanced Host Controller Interface (AHCI) benutzt wird, so
muss sich die Boot-Festplatte in Slot 0 oder Slot 1 befinden. Sie können bis zu 32 Festplatten
einlegen. SafeGuard Enterprise läuft nur auf den ersten beiden Slot-Nummern.
Dynamic und GPT Platten
Dynamic- und GPT-Platten werden nicht unterstützt. Die Installation bricht in diesem Fall ab.
Wenn diese Platten nachträglich im System auftauchen, werden sie nicht unterstützt.
SCSI-Festplatten
Systeme mit Festplatten, die über einen SCSI Bus angeschlossen sind, werden vom SafeGuard
Enterprise Device Encryption Client nicht unterstützt.
Einschränkungen für die initiale Verschlüsselung von SafeGuard Enterprise Clients
(managed)
Im Rahmen der initialen Konfiguration von SafeGuard Enterprise Clients können
Verschlüsselungsrichtlinien erstellt werden, die in einem Konfigurationspaket an die SafeGuard
Enterprise Clients verteilt werden können.
Wenn der SafeGuard Enterprise Client jedoch nicht direkt nach der Installation des
Konfigurationspakets eine Verbindung mit dem SafeGuard Enterprise Server herstellt, sondern
vorübergehend offline ist, werden nur Verschlüsselungsrichtlinien mit den folgenden
spezifischen Einstellungen sofort auf dem Enterprise Client wirksam:

Geräteschutz vom Typ volume-basierend unter Anwendung des definierten
Computerschlüssels als Verschlüsselungsschlüssel.
Damit alle anderen Richtlinien, die Verschlüsselung mit benutzerdefinierten Schlüsseln
umfassen, auf dem Enterprise Client aktiv werden, muss das entsprechende Konfigurationspaket
auch noch einmal der OU des Enterprise Clients zugewiesen werden. Die benutzerdefinierten
Schlüssel werden dann erst erstellt, wenn der Enterprise Client wieder eine Verbindung zum
SafeGuard Enterprise Server hergestellt hat.
Ursache hierfür ist, dass der definierte Computerschlüssel direkt auf dem SafeGuard Enterprise
Client bei ersten Neustart nach der Installation erstellt wird. Benutzerdefinierte Schlüssel
hingegen können nur auf dem SafeGuard Enterprise Client erstellt werden, wenn er beim
SafeGuard Enterprise Server registriert wurde.
84
SafeGuard® Enterprise 5.50, Installation
Einschränkungen für Sophos SafeGuard Clients (standalone)

Die folgende Features werden für SafeGuard Standalone Clients nicht unterstützt:

SafeGuard BitLocker-Unterstützung

Configuration Protection
Einschränkungen für die BitLocker-Unterstützung

Das folgende Installationspaket steht für SafeGuard Enterprise Clients mit BitLocker
Unterstützung nicht zur Verfügung:

SGNClient_withoutDE.msi/SGNClient_withoutDE_x64.msi
11.4 Service accounts für die Durchführung von Aufgaben nach der
Installation
Um zu verhindern, dass administrative Vorgänge auf einem durch SafeGuard Enterprise
geschützten Computer bewirken, dass die Power-on Authentication aktiviert wird und RolloutBeauftragte als Benutzer zum Computer hinzugefügt werden, ermöglicht SafeGuard Enterprise
das Anlegen von Listen mit Service Accounts für Endpoint-Computer. Die in den Listen
enthaltenen Benutzer werden dadurch als SafeGuard Enterprise Gastbenutzer behandelt
Mit Service Accounts ergibt sich folgendes Szenario:

SafeGuard Enterprise wird auf einem Endpoint-Computer installiert.

Der Computer wird neu gestartet und ein Rollout-Beauftragter, der in einer Service Account
Liste aufgeführt ist, meldet sich an.

Gemäß der auf den Computer angewendeten Service Account Liste wird der Benutzer als
Service Account erkannt und als Gastbenutzer behandelt.

Der Rollout-Beauftragte wird nicht zur POA hinzugefügt und die POA wird nicht aktiviert.
Der Endbenutzer kann sich anmelden und die POA aktivieren.
Note: Service Account Lists sollten bereits im ersten SafeGuard Enterprise
Konfigurationspaket, das Sie für die Konfiguration der Endpoint-Computer erstellen,
enthalten sein. Sie können Service Account Listen aktualisieren, indem Sie ein neues
Konfigurationspaket erstellen und an die Endpoint-Computer verteilen.
85
SafeGuard® Enterprise 5.50, Installation
11.5 Notwendige Schritte für die zentrale Installation
Als Sicherheitsbeauftragter erstellen Sie ein Installationspaket, das folgendes enthält:

Vorbereitendes Sophos SafeGuard Installationspaket
Verwenden Sie SGxClientPreinstall.msi. Das Paket stattet die Endpoint-Computer mit
notwendigen Voraussetzungen für eine erfolgreiche Installation der Verschlüsselungssoftware
aus, z. B. mit der erforderlichen DLL MSVCR80.dll, Version 8.0.50727.4053.
Hinweis: Wenn dieses Paket nicht installiert ist, wird die Installation der
Verschlüsselungssoftware abgebrochen.

SafeGuard Enterprise Verschlüsselungssoftware-Installationspaket.
Die „Client“-Installationspakete finden Sie auf der Produkt-CD.
Die Client-Installationspakete gelten für Enterprise Clients und Standalone Clients
gleichermaßen.
Für Standalone Clients kann jedoch das Modul Configuration Protection nicht installiert
werden.
Hinweis: Wenn das Betriebssystem des Endpoint-Computers Windows 7 64-Bit oder Windows
Vista 64-Bit ist, können Sie die 64-Bit-Variante der “Client” .msi-Pakete installieren
<Paketname>_x64.msi). Das 64-Bit-Paket des SafeGuard Configuration Protection Client ist
verfügbar für Windows 7 64-Bit.

Konfigurationspaket für Endpoint-Computer
Das Konfigurationspaket für Endpoint-Computer müssen Sie vorab erzeugen.
Für Enterprise Client und Standalone Client müssen unterschiedliche Konfigurationspakete
erstellt werden. Um ein neues Konfigurationspaket zu installieren, deinstallieren Sie zunächst
ein veraltetes ClientConfig.msi (falls vorhanden), bevor Sie ein neues SGN Client Config.msi
auf dem Endpoint-Computer installieren.

Skript mit Kommandos für die automatische Installation
Das entsprechende Installations- und Konfigurationspaket müssen Sie in der angegebenen
Reihenfolge an die Endpoint-Computer verteilen. Sie können dazu das Windows Installer
Kommando msiexec verwenden. Die Pakete werden an den Endpoint-Computern ausgeführt.
Danach sind die Endpoint-Computer für den Einsatz von SafeGuard Enterprise bereit.
Das Verhalten der Endpoint-Computer bei der ersten Anmeldung nach der Installation von
SafeGuard Enterprise ist in der Benutzerhilfe beschrieben.
86
SafeGuard® Enterprise 5.50, Installation
11.6 Endpoint-Computer konfigurieren
Je nach erforderlicher Konfiguration erstellen Sie spezifische Konfigurationspakete für die
Endpoint-Computer im SafeGuard Management Center.
11.6.1Konfigurationspaket für SafeGuard Enterprise Client (managed) erstellen
Für eine erfolgreiche Inbetriebnahme von SafeGuard Enterprise müssen Sie ein
Konfigurationspaket für die SafeGuard Enterprise Clients erstellen. Das Paket wird mit der
SafeGuard Management Center FunktionKonfigurationspakete erstellt.
1. Starten Sie das Management Center und wählen Sie Extras > Konfigurationspakete.
2. Wählen Sie Konfigurationspaket (managed) erstellen.
a) Klicken Sie auf Konfiugrationspaket hinzufügen, um das Enterprise ClientKonfigurationspaket (managed)zu erzeugen.
b) Geben Sie einen beliebigen Namen für diese Pakt an (MSI).
c) Ordnen Sie einen primären Server zu (der sekundäre Server ist nicht zwingend notwendig).
d) Geben Sie ggf. eine zuvor im Management Center erstellte Richtlinie an, die für die
Endpoint-Computer gelten soll, siehe Einschränkungen für die initiale Verschlüsselung von
SafeGuard Enterprise Clients (Managed) auf Seite 76. Wenn Sie Service Accounts für die
Durchführung von Aufgaben auf dem Computer nach der Installation verwenden
möchten, nehmen Sie die relevante Einstellung in diese erste Richtliniengruppe mit auf,
siehe Service accounts für die Durchführung von Aufgaben nach der Installation auf Seite 85.
e) Wählen Sie den Modus für die Transportverschlüsselung, der bestimmt, wie die
Verbindung zwischen SafeGuard Enterprise Client and SafeGuard Enterprise Server
verschlüsselt wird:

SafeGuard Verschlüsselung

SSL Verschlüsselung
Der Vorteil bei SSL ist, dass ein Standardprotokoll ist und eine schnellere Verbindung
aufgebaut werden kann als mit der SafeGuard Transportverschlüsselung.
87
SafeGuard® Enterprise 5.50, Installation
Hinweis: Beachten Sie, dass bei der Auswahl von SSL als Transportverschlüsselung der IIS Server
vorab dafür eingerichtet werden muss:

Certificate Authority muss auf dem Server installiert sein, um die bei der SSL-Verschlüsselung
verwendeten Zertifikate auszustellen.

Ein Zertifikat muss ausgestellt werden und der IIS Server so konfiguriert werden, dass er SSL
verwendet und auf das Zertifikat zeigt.

Der Servername, den Sie bei der Konfiguration des SafeGuard Enterprise Servers angeben,
muss identisch sein mit dem Servernamen, den Sie vorab im SSL-Zertifikat angegeben haben.
Sonst können Client und Server nicht miteinander kommunizieren. Für jeden SafeGuard
Enterprise Server wird ein separates SSL-Zertifikat benötigt.

Wenn Sie Network Load Balancer einsetzen, vergewissern Sie sich, dass der Portbereich den
SSL-Port mit einschließt.
Weitere Informationen siehe Transportverbindungen sichern mit SSL auf Seite 12.
f) Legen Sie den Ausgabepfad fest und klicken Sie auf Konfigurationspaket erstellen. Die
Datei SGNClientConfig.msi wird im angegebenen Verzeichnis erzeugt.
Das Konfigurationspaket für den SafeGuard Enterprise Client (managed) ist nun erstellt. Dieses
Paket muss auf dem Endpoint-Computer ausgeführt werden.
11.6.2Konfigurationspake für Sophos SafeGuard Client (standalone) erstellen
Für eine erfolgreiche Inbetriebnahme müssen Sie ein Konfigurationspaket für die SafeGuard
Standalone Clients erstellen und an die Endpoint-Computer verteilen. Sie erstellen ein
Konfigurationspaket im SafeGuard Management Center.
Um ein SafeGuard Standalone Client-Konfigurationspaket zu erzeugen, gehen Sie
folgendermaßen vor:
1. Wählen Sie im SafeGuard Management Center Extras > Konfigurationspakete.
2. Wählen Sie Konfigurationspaket (managed) erstellen für eine SafeGuard Standalone ClientKonfiguration.
a) Klicken Sie auf Konfigurationspaket hinzufügen.
b) Geben Sie einen beliebigen Namen für dieses Paket (MSI) an.
88
SafeGuard® Enterprise 5.50, Installation
c) Geben Sie eine zuvor im SafeGuard Management Center erstellte Richtliniengruppe, die
für die Standalone Clients gelten soll, an. Im Gegensatz zu den Enterprise Clients können
den Standalone Clients keine einzelnen Richtlinien, sondern nur Richtliniengruppen
zugewiesen werden. Wenn Sie Service Accounts für die Durchführung von Aufgaben auf
dem Computer nach der Installation verwenden möchten, nehmen Sie die relevante
Einstellung in diese erste Richtliniengruppe mit auf, siehe Service accounts für die
Durchführung von Aufgaben nach der Installation auf Seite 85.
d) Damit auch für Standalone Clients ein Recovery möglich ist, müssen die notwendigen
Daten für den Helpdesk verfügbar sein. Für Standalone Clients werden diese Daten in einer
spezifischen Recovery-Datei (.xml-Datei) gespeichert. Bei der Konfiguration des
Standalone Clients wird diese Datei angelegt. Sie enthält den definierten
Computerschlüssel, den Kernel-Schlüssel, einen Sitzungsschlüssel und eine Kopie des
MBR.
e) Geben Sie unter Speicherort für Schlüssel-Sicherungskopie ein freigegebenes
Netzwerkverzeichnis an, in dem die Backup-Datei (.xml-Datei) gespeichert werden soll,
damit Sie dem Helpdesk im Notfall zur Verfügung steht.
Ein freigegebenes Netzwerkverzeichnis geben Sie in der folgenden Form an:
\\networkcomputer\ , e.g. “\\mycompany.edu\ “. 
Wenn Sie hier keinen Pfad angeben, wird der Benutzer beim ersten Anmelden am
Endpoint-Computer gefragt, wo die Schlüsseldatei gespeichert werden soll.
Hinweis: Speichern Sie die .xml-Datei an einem Ort, an dem der Helpdesk Zugriff auf die Dateien
hat, z. B. in einem freigegebenen Netzwerkverzeichnis. Die Dateien können dem Helpdesk auch
durch andere Mechanismen zugänglich gemacht werden.
Diese Recovery-Schlüsseldatei (.xml-Datei) ist mit dem Unternehmenszertifikat gesichert. Sie
kann deshalb unbedenklich auf einem beliebigen externen Medium oder im Netzwerk
gespeichert und so dem Helpdesk zugänglich gemacht werden. Auch das Versenden der Dateien
via E-Mail ist möglich.
f) Unter POA-Gruppe können Sie eine POA Access Account Gruppe auswählen, die dem
Endpoint-Computer zugeordnet wird. POA Access Accounts bieten Zugang für
administrative Aufgaben auf dem Endpoint-Computer nachdem die Power-on
Authentication aktiviert wurde. Um POA Access Accounts zuzuweisen, müssen Sie die
POA-Gruppe zunächst im Bereich Benutzer des SafeGuard Management Center anlegen.
Weitere Informationen hierzu finden Sie in der Administrator-Hilfe.
g) Legen Sie den Ausgabepfad für das Konfigurationspaket (.msi-Datei) fest.
h) Klicken Sie auf Konfigurationspaket erstellen.
89
SafeGuard® Enterprise 5.50, Installation
Das Standalone Client-Konfigurationspaket für den SafeGuard Standalone Client ist nun im
angegebenen Verzeichnis erstellt. Es muss nun an die Endpoint Computer (standalone) verteilt
und dort ausgeführt werden.
11.7 Kommando für zentrale Installation
Verwenden Sie zur zentralen Installation von SafeGuard Enterprise Client auf den EndpointComputern die Windows Installer Komponente „msiexec“. „Msiexec“ ist in Windows XP, Vista
und Windows 7 bereits integriert und führt eine vorgefertigte SafeGuard Enterprise ClientInstallation automatisch aus. Da auch die Quelle und das Ziel für die Installation angegeben
werden können, besteht die Möglichkeit zur einheitlichen Installation an mehreren EndpointComputern.
Kommandozeilensyntax
msiexec /i <Pfad+msi Paketname> /qn ADDLOCAL=ALL | <SGN Features> 
<SGN Parameter>
Die Kommandozeilensyntax setzt sich folgendermaßen zusammen:

Windows Installer Parameter, die z. B. Warnungen und Fehlermeldungen während der
Installation in eine Datei protokollieren.

SafeGuard Enterprise Features, die installiert werden sollen, z. B. SafeGuard Data Exchange
mit dateibasierender Verschlüsselung.

SafeGuard Enterprise Parameter, z. B. zur Spezifikation des Installationsverzeichnisses.
90
SafeGuard® Enterprise 5.50, Installation
11.7.1Kommandooptionen
Alle verfügbaren Optionen können Sie über msiexec.exe in der Eingabeaufforderung abrufen. Im
Folgenden sind wichtige Optionen beschrieben.
Option
Beschreibung
/i
Gibt an, dass es sich um eine Installation handelt.
/qn
Installiert ohne Benutzerinteraktion und zeigt keine
Benutzeroberfläche an.
ADDLOCAL=
Listet die Features auf, die installiert werden. Wird die
Option nicht angegeben, werden alle Features installiert,
die für eine Standardinstallation vorgesehen sind.
Die einzelnen unter ADDLOCAL aufzulistenden Features
werden nur durch ein Komma und kein zusätzliches
Leerzeichen getrennt. Achten Sie außerdem auf die Groß-/
Kleinschreibung. Wenn Sie ein Feature auswählen, müssen
Sie auch alle übergeordneten Features (Feature Parents)
zur Kommandozeile hinzufügen!
ADDLOCAL=ALL
Installiert alle verfügbaren Features.
REBOOT=Force |
ReallySuppress
Erzwingt oder unterdrückt Neustart nach Installation.
Ohne Angabe wird der Neustart erzwungen (Force).
/L*
<Pfad + Dateiname>
Installdir=
<Verzeichnis>
Protokolliert alle Warnungen und Fehlermeldungen in die
angegebene Protokolldatei. Ausschließlich
Fehlermeldungen protokolliert der Parameter /Le <Pfad +
Dateiname>
Gibt das Verzeichnis an, in das SafeGuard Enterprise Client
installiert wird. Ohne Angabe wird als
Standardinstallationsverzeichnis
<SYSTEM>:\PROGRAMME\SOPHOS verwendet.
11.7.2SafeGuard Client Features (ADDLOCAL)
Für eine zentrale Installation müssen Sie bereits im Vorfeld definieren, welche SafeGuard
Enterprise Features auf den Endpoint-Computern installiert werden sollen. Die Features werden
der Option ADDLOCAL mitgegeben.
Entscheiden Sie vor der Installation, ob Sie SafeGuard Enterprise in Verbindung mit der
BitLocker Volume-Verschlüsselung anwenden oder die SafeGuard Enterprise Verschlüsselung in
vollem Umfang nutzen möchten.
91
SafeGuard® Enterprise 5.50, Installation
Achtung: Wenn Sie die volume-basierende Verschlüsselung von SafeGuard Enterprise
installieren möchten, stellen Sie sicher, dass noch kein Volume mit BitLocker verschlüsselt ist.
Andernfalls kann es zu einer Beschädigung des Systems kommen.
In der folgenden Tabelle sind alle SafeGuard Client Features aufgelistet, die zentral auf den
Endpoint-Computern installiert werden können. Wenn Sie ein Feature auswählen, müssen Sie
auch alle übergeordneten Features (Feature Parents) zur Kommandozeile hinzufügen!
Features für SafeGuard Device Encryption
Die Features Client und Authentication müssen standardmäßig installiert werden!
Feature Parents
Feature
Client
Authentication
Das Feature Authentication und sein Feature Parent Client
müssen standardmäßig angegeben werden.
Client, Authentication
CredentialProvider
Für Computer mit Windows Vista und Windows 7 müssen
Sie dieses Feature installieren. Es dient zur Anmeldung über
den Credential Provider.
Client
SecureDataExchange
Mit SecureDataExchange wird immer SafeGuard Data
Exchange mit dateibasierender SafeGuard Enterprise
Verschlüsselung auf lokaler Ebene und für Wechselmedien
installiert.
SafeGuard Data Exchange sorgt für die sichere
Verschlüsselung von Wechselmedien. Daten können sicher
und einfach mit anderen Benutzern ausgetauscht werden. Alle
Ver- und Entschlüsselungsvorgänge laufen transparent und
mit minimaler Benutzerinteraktion ab.
Wenn Sie SafeGuard Data Exchange auf Ihrem Computer
installiert haben, wird auch SafeGuard Portable installiert.
SafeGuard Portable ermöglicht den sicheren Datenaustausch
mit Clients, auf denen SafeGuard Data Exchange nicht
installiert ist.
SafeGuard Data Exchange kann parallel zum BitLocker Client
installiert werden.
92
SafeGuard® Enterprise 5.50, Installation
Feature Parents
Feature
Client, BaseEncryption
SectorBasedEncryption
Installiert die volume-basierende Verschlüsselung von
SafeGuard Enterprise mit den folgenden Funktionen:

Alle Volumes, auch Wechselmedien, lassen sich mit der
volume-basierenden Verschlüsselung von SafeGuard
Enterprise verschlüsseln.

SafeGuard Enterprise Power-on Authentication (POA)

SafeGuard Enterprise Recovery mit Challenge/Response
Hinweis: Es kann entweder SectorBasedEncryption ODER
BitLockerSupport angegeben werden.
Client, BaseEncryption
BitLockerSupport
Installiert die BitLocker-Unterstützung für SafeGuard
Enterprise mit den folgenden Funktionen:

Boot-Volume-Verschlüsselung mit BitLocker

Verschlüsselung weiterer Volumes mit BitLocker

BitLocker Pre-Boot Authentication

BitLocker Recovery
Hinweis: Es kann entweder SectorBasedEncryption ODER
BitLockerSupport angegeben werden.
Wird für Sophos SafeGuard Standalone Clients nicht
unterstützt.
Client
93
ConfigurationProtection
Schnittstellenschutz und Management von Peripheriegeräten
Um SafeGuard Configuration Protection zu installieren,
müssen Sie das Feature im msiexec-Kommando des ClientInstallationspakets angeben UND zusätzliche
Installationsschritte durchführen, siehe SafeGuard
Configuration Protection installieren auf Seite 105.
Wird für Sophos SafeGuard Standalone Clients nicht
unterstützt.
SafeGuard® Enterprise 5.50, Installation
Features für SafeGuard Data Exchange
Die Features Client und Authentication müssen standardmäßig installiert werden!
Feature Parents
Feature
Client
Authentication
Das Feature Authentication und sein Feature Parent Client
müssen standardmäßig angegeben werden.
Client
SecureDataExchange
Mit SecureDataExchange wird immer SafeGuard Data
Exchange mit dateibasierender SafeGuard Enterprise
Verschlüsselung auf lokaler Ebene und für Wechselmedien
installiert.
SafeGuard Data Exchange sorgt für die sichere
Verschlüsselung von Wechselmedien. Daten können sicher
und einfach mit anderen Benutzern ausgetauscht werden. Alle
Ver- und Entschlüsselungsvorgänge laufen transparent und
mit minimaler Benutzerinteraktion ab.
Wenn Sie SafeGuard Data Exchange auf Ihrem Computer
installiert haben, können Sie zusätzlich auch SafeGuard
Portable verwenden. Das SafeGuard Data Exchange-Paket
enthält auch SafeGuard Portable. SafeGuard Portable
ermöglicht den sicheren Datenaustausch mit Clients, auf
denen SafeGuard Data Exchange nicht installiert ist.
SafeGuard Data Exchange kann parallel zum BitLocker Client
installiert werden.
Client
ConfigurationProtection
Schnittstellenschutz und Management von Peripheriegeräten
Um SafeGuard Configuration Protection zu installieren,
müssen Sie das Feature im msiexec-Kommando des ClientInstallationspaket angeben UND zusätzliche
Installationsschritte durchführen, siehe SafeGuard
Configuration Protection installieren auf Seite 105.
Wird für Sophos SafeGuard Standalone Clients nicht
unterstützt.
94
SafeGuard® Enterprise 5.50, Installation
11.7.3Beispielkommando für volume- und dateibasierende Verschlüsselung
Folgendes wird durch das unten aufgeführte Kommando ausgeführt:

Die Endpoint-Computer werden mit den notwendigen Anforderungen für eine erfolgreiche
Installation der Verschlüsselungssoftware ausgestattet.

Die SafeGuard Enterprise Power-on Authentication wird installiert, über die sich die Benutzer
an ihren Computern anmelden.

SafeGuard Data Exchange für dateibasierende Verschlüsselung wird über die Angabe von
SecureDataExchange installiert.

SafeGuard Enterprise volume-basierende Verschlüsselung wird installiert.

Es wird eine Protokolldatei angelegt.

Anschließend wird das Konfigurationspaket für den SafeGuard Enterprise Client-(managed)
ausgeführt.
Beispiel:
msiexec /i F:\Software\SGxClientPreinstall.msi /qn /log
I:\Temp\SGxClientPreinstall.log
msiexec /i F:\Software\SGNClient.msi /qn /log I:\Temp\SGNClient.log
ADDLOCAL=Client,Authentication,SecureDataExchange,BaseEncryption,
SectorBasedEncryption
Installdir=C:\Program Files\Sophos\SafeGuard Enterprise
msiexec /i F:\Software\SGNEnterpriseClientConfig.msi /qn /log
I:\Temp\SGNEnterpriseClientConfig.log
95
SafeGuard® Enterprise 5.50, Installation
11.7.4Beispielkommando für Windows Vista mit BitLocker-Unterstützung
Folgendes wird durch das im Beispiel gezeigte Kommando ausgeführt:

Die Endpoint-Computer werden mit den notwendigen Anforderungen für eine erfolgreiche
Installation der Verschlüsselungssoftware ausgestattet.

Benutzer melden sich an ihren Computern über den Windows Vista Credential Provider
anmelden.

SafeGuard Data Exchange für dateibasierende Verschlüsselung wird über die Angabe von
SecureDataExchange installiert.

SafeGuard Enterprise BitLocker-Unterstützung mit BitLocker volume-basierender
Verschlüsselung wird installiert.

Es wird eine Protokolldatei angelegt.

Anschließend wird das Konfigurationspaket für den SafeGuard Enterprise Client-(managed)
ausgeführt.
Hinweis: Stellen Sie für die Installation von SafeGuard Enterprise mit BitLocker sicher, dass nur
die BitLocker Volume-Verschlüsselung aufgeführt ist. Nehmen Sie die volume-basierende
Verschlüsselung von SafeGuard Enterprise nicht in die Kommandozeile auf.
EXAMPLE:
msiexec /i F:\Software\SGxClientPreinstall.msi /qn /log
I:\Temp\SGxClientPreinstall.log
msiexec /i F:\Software\SGNClient.msi /qn /log I:\Temp\SGNClient.log
ADDLOCAL=Client,Authentication,CredentialProvider,
SecureDataExchange,BaseEncryption,BitLockerSupport
Installdir=C:\Program Files\Sophos\SafeGuard Enterprise
msiexec /i F:\Software\SGNClientConfig.msi /qn /log
I:\Temp\SGNEnterpriseClientConfig.log
96
SafeGuard® Enterprise 5.50, Installation
11.8 FIPS-konforme Installation
Die FIPS-Zertifizierung beschreibt Sicherheitsanforderungen für Verschlüsselungsmodule.
Beispielsweise verlangen Regierungsbehörden in den USA und in Kanada FIPS 140-2-zertifizierte
Software für besonders sicherheitskritische Informationen.
SafeGuard Enterprise verwendet FIPS-zertifizierte Algorithmen für die Verschlüsselung. Bei den
AES Algorithmen wird standardmäßig eine neue, schnellere Implementierung installiert, die
noch nicht FIPS-zertifiziert ist.
Wenn Sie die FIPS-zertifizierte Variant der AES Algorithmen nutzen wollen, setzen Sie für die
Installation des SafeGuard Enterprise Client die Property FIPS_AES auf 1.
Dies können Sie auf zwei Arten durchführen:

Fügen Sie die Property dem Kommandozeilen-Skript hinzu:
msiexec /i F:\Software\SGNClient.msi

97
Verwenden Sie eine sogenannte Transformation.
FIPS_AES=1
SafeGuard® Enterprise 5.50, Installation
12 Endpoint-Computer lokal einrichten
Dieses Kapitel beschreibt, wie Sie die Verschlüsselungssoftware lokal, direkt am EndpointComputer einrichten. Die erforderlichen Arbeitsschritte werden auch für SafeGuard Enterprise
Clients mit Windows Vista BitLocker beschrieben.
Informationen zur Auswahl der Installationspakete, siehe SafeGuard Konfigurationen für
Endpoint-Computer auf Seite 75.
Entscheiden Sie vor der Installation, ob Sie SafeGuard Enterprise in Verbindung mit der
BitLocker Volume-Verschlüsselung anwenden oder die SafeGuard Enterprise Verschlüsselung in
vollem Umfang nutzen möchten.
Achtung: Wenn Sie die volume-basierende Verschlüsselung von SafeGuard Enterprise
installieren möchten, stellen Sie sicher, dass noch kein Volume mit BitLocker verschlüsselt ist.
Andernfalls kann es zu einer Beschädigung des Systems kommen.
12.1 Voraussetzungen
Für allgemeine Voraussetzungen siehe Allgemeine Voraussetzungen auf Seite 82 und für spezielle
Voraussetzungen für Windows Vista BitLocker-Unterstützung siehe Voraussetzungen für
BitLocker-Unterstützung auf Seite 83.
12.2 Verschlüsselungs-Software auf den Endpoint-Computern
installieren
Dieses Kapitel ist sowohl für SafeGuard Enterprise Clients (managed) als auch für Sophos
SafeGuard Clients (standalone) gültig. Die Installationsschritte sind identisch, mit der
Ausnahme, dass für jeden der beiden ein unterschiedliches Konfigurationspaket erzeugt werden
muss. Entscheiden Sie vor der Installation, welche Features von SafeGuard Enterprise Sie nutzen
möchten.
98
SafeGuard® Enterprise 5.50, Installation
12.2.1Installation durchführen
1. Starten Sie das vorbereitende Installationspaket SGxClientPreinstall.msi von der Produkt-CD,
um die Endpoint-Computer mit notwendigen Voraussetzungen für die erfolgreiche
Installation der Verschlüsselungssoftware (z. B. relevante DLLs) auszustatten.
Hinweis: Alternativ dazu können Sie auch vcredist_x86.exe installieren. 
Diese Datei steht unter http://www.microsoft.com/downloads/details.aspx?FamilyID=766a6af7ec73-40ff-b072-9112bab119c2 zum Download zur Verfügung. Sie können auch überprüfen, ob
MSVCR80.dll in der Version 8.0.50727.4053 im Verzeichnis Windows\WinSxS folder auf dem
Computer vorhanden ist.
2. Starten Sie das entsprechende Client-Installationspaket von der Produkt-CD.
3. Übernehmen Sie in den folgenden Dialogen die Standardeinstellungen.
4. Wählen Sie ggf. den Installationstyp aus und aktivieren Sie die Features, die Sie installieren
möchten, siehe Features auswählen auf Seite 100.
5. Wählen Sie einen Installationspfad. Der Standard-Installationspfad ist:
C:\Programme\Sophos\SafeGuard Enterprise
6. Bestätigen Sie die erfolgreiche Installation.
12.2.2Konfigurationspaket erzeugen
1. Um den Endpoint-Computer zu konfigurieren, erzeugen Sie ein Konfigurationspaket im
SafeGuard Management Center.

Um eine Konfiguration für SafeGuard Enterprise Client (managed)zu erzeugen, siehe
Konfigurationspaket für SafeGuard Enterprise Client (managed) erstellen auf Seite 87.

Um eine Konfiguration für Sophos SafeGuard Client (standalone) zu erzeugen, siehe
Konfigurationspake für Sophos SafeGuard Client (standalone) erstellen auf Seite 88.
2. Verteilen Sie das Konfigurationspaket an die Endpoint-Computer.
3. Installieren Sie das Konfigurationspaket auf dem Endpoint-Computer.
Damit ist die Installation der Client-Software abgeschlossen.
Das Verhalten der Endpoint-Computer bei der ersten Anmeldung nach der Installation von
SafeGuard Enterprise ist in der Benutzerhilfe beschrieben.
99
SafeGuard® Enterprise 5.50, Installation
12.3 Features auswählen
Während der Installation auf dem Computer werden je nach Betriebssystem und
Installationspaket optionale Features zur Auswahl angeboten. Weitere Informationen zu den
Features siehe SafeGuard Client Features (ADDLOCAL) auf Seite 91.
1. Wählen Sie die Features durch Anklicken aus.
2. Deaktivieren Sie die nicht gewünschten Features.
3. Fahren Sie mit der Installation fort.
12.3.1Client Features für Windows XP
Das Bild zeigt die Auswahl der Features beim Installationspaket SGNClient.msi.

SafeGuard Data Exchange mit dateibasierender Verschlüsselung: Data Exchange aktiviert.

Volume-basierende Verschlüsselung: Device Encryption > Base Encryption aktiviert.

Konfigurationsschutz: Configuration Protection aktiviert. Weitere Schritte sind nötig, um
dieses Modul zu installieren, siehe SafeGuard Configuration Protection installieren auf Seite
105.
Dieses Feature kann für Sophos SafeGuard Standalone Clients nicht installiert werden.
100
SafeGuard® Enterprise 5.50, Installation
12.3.2Client Features für Windows Vista ohne BitLocker-Unterstützung
Das Bild zeigt die Auswahl der Features beim Installationspaket SGNClient.msi.

SafeGuard Data Exchange mit dateibasierender Verschlüsselung: Data Exchange aktiviert.

Volume-basierende Verschlüsselung auf Basis von SafeGuard Enterprise:


Device Encryption > Base Encryption aktiviert.

Device Encryption > BitLocker Support deaktiviert.
Konfigurationsschutz: Configuration Protection aktiviert. Weitere Schritte sind nötig, um
dieses Modul zu installieren, siehe SafeGuard Configuration Protection installieren auf Seite
105. Dieses Feature kann für Sophos SafeGuard Standalone Clients nicht installiert werden.
12.3.3Client Features für Windows Vista mit BitLocker-Unterstützung
Das Bild zeigt die Auswahl der Features beim Installationspaket SGNClient.msi.
Für Sophos SafeGuard Standalone Clients können BitLocker Support und Configuration
Protection nicht installiert werden.

SafeGuard Data Exchange mit dateibasierender Verschlüsselung: Data Exchange aktiviert.

Volume-basierende Verschlüsselung auf Basis von BitLocker:

101

Device Encryption > BitLocker Support aktiviert.

Device Encryption > Base Encryption deaktiviert.
Konfigurationsschutz: Configuration Protection aktiviert. Weitere Schritte sind nötig, um
dieses Modul zu installieren, siehe SafeGuard Configuration Protection installieren auf Seite
105.
SafeGuard® Enterprise 5.50, Installation
13 SafeGuard Enterprise Client auf einem Computer mit
mehreren Betriebssystemen installieren
Der SafeGuard Enterprise Client kann auch dann auf einem Computer zum Schutz der Daten
installiert werden, wenn mehrere Betriebssysteme auf separaten Volumes der Festplatte installiert
sind.
SafeGuard Enterprise bietet ein sogenanntes „Runtime“-System. Der SafeGuard Enterprise
Runtime Client stellt folgende Sachverhalte sicher, wenn er auf Volumes mit einer zusätzlichen
Windows-Installation installiert wird:

Die Windows-Installation, die sich auf diesen Volumes befindet, kann erfolgreich durch einen
Boot Manager gestartet werden.

Auf Partitionen auf diesen Volumes, die durch eine vollständige SafeGuard Enterprise Client
Installation mit dem definierten Computerschlüssel verschlüsselt worden sind, kann
erfolgreich zugegriffen werden.
13.1 Voraussetzungen und Einschränkungen
Beachten Sie folgende Voraussetzungen und Einschränkungen:

Der SafeGuard Enterprise Runtime Client bietet keine SafeGuard Enterprise Client
spezifischen Features oder Funktionalitäten.

Der SafeGuard Enterprise Runtime Client unterstützt nur die Betriebssysteme, die auch für
den SafeGuard Enterprise Client unterstützt werden.

USB-Tastaturen können u. U. nur eingeschränkt benutzt werden.

Es werden nur Boot Manager unterstützt, die nach der Power-on Authentication aktiv
werden.

Die Unterstützung von Boot Managern von Drittanbietern wird nicht garantiert. Wir
empfehlen den Einsatz von Microsoft Boot Managern.

Der SafeGuard Enterprise Runtime Client kann nicht auf einen SafeGuard Enterprise Client
in Vollversion aktualisiert werden.

Dieses Szenario gilt sowohl für SafeGuard Enterprise Clients als auch für Sophos SafeGuard
Standalone Clients.

Das Runtime-Installationspaket muss vor der Vollversion des Enterprise Client Pakets
installiert werden.

Es kann nur auf Volumes, die mit dem definierten Computerschlüssel in SafeGuard Enterprise
verschlüsselt wurden, zugegriffen werden.
102
SafeGuard® Enterprise 5.50, Installation
13.2 Vorbereitung
Um SafeGuard Enterprise Runtime einzurichten, führen Sie die folgenden vorbereitenden
Schritte in der angegebenen Reihenfolge durch
1. Stellen Sie sicher, dass die Volumes, auf denen SafeGuard Enterprise Runtime laufen soll, zum
Zeitpunkt der Installation sichtbar sind und mit ihrem Windows-Namen (z. B. C:)
angesprochen werden können.
2. Legen Sie fest, auf welchem Volume/welchen Volumes der Festplatte der SafeGuard
Enterprise Runtime Client installiert werden soll. In Zusammenhang mit SafeGuard
Enterprise sind diese Volumes als "sekundäre" Windows-Installationen definiert. Es können
mehrere sekundäre Windows-Installationen vorhanden sein.
Sie können folgendes Paket von der Produkt-CD installieren:

SGNClientRuntime.msi/SGNClientRuntime_x64.msi
3. Legen Sie fest, auf welchem Volume der Festplatte die Vollversion des SafeGuard Enterprise
Clients installiert werden soll. In Zusammenhang mit SafeGuard Enterprise ist dieses Volume
als “primäre“ Windows-Installation definiert. Es kann jeweils nur eine primäre WindowsInstallation geben.
Sie können die folgenden Pakete von der Produkt-CD installieren:


SGNClient.msi/SGNClient_x64.msi
zusätzlich SGN_CP_Client.msi/SGN_CP_Client_x64.msi (verfügbar für 
Windows 7 64-Bit Betriebssystme)
13.3 SafeGuard Enterprise Runtime Client einrichten
Gehen Sie wie folgt vor:
1. Wählen Sie das/die gewünschte(n) Volume(s) der Festplatte aus, auf dem/denen Sie den
SafeGuard Enterprise Runtime Client installieren möchten.
2. Starten Sie die sekundäre Windows-Installation auf dem ausgewählten Volume.
3. Installieren Sie das Client Runtime-Installationspaket auf dem ausgewählten Volume.
4. Bestätigen Sie die Standardeinstellungen im nächsten Dialog des Installers. Hier ist keine
spezielle Funktionsauswahl notwendig.
5. Wählen Sie einen Installationsordner für die Runtime-Installation.
6. Bestätigen Sie, dass die Runtime-Installation abgeschlossen werden soll.
103
SafeGuard® Enterprise 5.50, Installation
7. Wählen Sie das primäre Volume der Festplatte, auf dem der SafeGuard Enterprise Client
installiert werden soll.
8. Starten Sie die primäre Windows-Installation auf dem ausgewählten Volume.
9. Starten Sie das vorbereitende Installationspaket SGxClientPreinstall.msi, um die EndpointComputer mit notwendigen Voraussetzungen für die erfolgreiche Installation der
Verschlüsselungssoftware (z. B. relevante DLLs) auszustatten.
10. Installieren Sie das gewünschte SafeGuard Enterprise Client-Installationspaket auf dem
ausgewählten Volume.
11.Erstellen die Client Konfigurationspakete für SafeGuard Enterprise Clients (managed) oder
Sophos SafeGuard Clients (standalone) je nach Anforderung und verteilen Sie diese an die
Endpoint-Computer.
12.Verschlüsseln Sie beide Volumes mit dem definierten Computerschlüssel.
13.4 Von einem sekundären Volume über einen Boot Manager booten
1. Starten Sie den Computer.
2. Melden Sie sich an der Power-on Authentication mit Ihren Anmeldeinformationen an.
3. Starten Sie den Boot Manager und wählen Sie das gewünschte sekundäre Volume als BootLaufwerk.
4. Starten Sie den Computer von diesem Volume neu.
Auf jedes Volume, das mit dem definierten Computerschlüssel verschlüsselt ist, kann zugegriffen
werden.
104
SafeGuard® Enterprise 5.50, Installation
14 SafeGuard Configuration Protection installieren
SafeGuard Configuration Protection ermöglicht es, nur bestimmte Schnittstellen und
Peripheriegeräte auf den Benutzer-Computern zu erlauben. So kann verhindert werden, dass
Schaden verursachende Software eingeschleust wird und dass Daten über unerwünschte Kanäle
(z. B. WLAN) ein Unternehmen verlassen. Dieses Modul erkennt und blockiert auch gefährliche
Hardware wie Key Logger.
14.1 Voraussetzungen und Einschränkungen

Um SafeGuard Configuration Protection auf einem Windows 7 64-Bit Betriebssystem
aufzusetzen, können Sie die 64-Bit-Varianten der „Client“-Installationspakete einsetzen.

SafeGuard Configuration Protection ist nur verfügbar für SafeGuard Enterprise Clients
(managed). Es wird für Sophos SafeGuard Clients (standalone) nicht unterstützt.

.NET Version 2.0 muss installiert sein.
14.2 Workflow
Um SafeGuard Configuration Protection auf dem Endpoint-Computer zu installieren, müssen
Sie ein separates Installationspaket ausführen, nachdem Sie das SafeGuard Enterprise Client
Installationspaket installiert haben. Sie finden die benötigten Installationspakete auf der ProduktCD.
Hinweis: Um SafeGuard Configuration Protection auf einem Windows 7 64-Bit Betriebssystem
aufzusetzen, können Sie die 64-Bit-Varianten der „Client“-Installationspakete einsetzen.
1. Installieren Sie das vorbereitende Installationspaket SGxPreinstall.msi.
2. Installieren Sie eines der folgenden SafeGuard Enteprise Client Installationspakete:

SGNClient.msi/SGNClient_x64.msi

SGNClient_withoutDE.msi/SGNClient_withoutDE_x64.msi
3. Installieren Sie SafeGuard Configuration Protection:

SGN_CP_Client.msi//SGN_CP_Client_x64.msi
4. Erzeugen und installieren Sie das SafeGuard Enterprise Client-Konfigurationspaket.
105
SafeGuard® Enterprise 5.50, Installation
14.3 Kommando für zentrale Installation
Wenn Sie SafeGuard Configuration Protection zentral installieren möchten, verwenden Sie die
Windows Installer-Komponente "msiexec".
Kommandozeilen-Syntax
msiexec /i SGN_CP_Client.msi /quiet /norestart
14.4 Beispielkommando für SafeGuard Configuration Protection mit
SafeGuard Device Encryption
Das msiexec Kommando muss in der wie im Beispiel angegebenen Reihenfolge ausgeführt
werden. In diesem Beispiel wird folgendes installiert:

Die Endpoint-Computer werden mit den notwendigen Voraussetzungen für eine erfolgreiche
Installation der Verschlüsselungssoftware ausgestattet.

SafeGuard Device Encryption mit volume-basierender Verschlüsselung wird installiert.

SafeGuard Configuration Protection muss als Feature für das SafeGuard Device Encryption
Client-Installationspaket angegeben werden.

Um die Installation des Moduls SafeGuard Configuration Protection anzustoßen, muss ein
separates Installationspaket durch Angabe eines weiteren msiexec Kommandos hinzugefügt
werden.

Eine Log-Datei wird erzeugt.

Anschließend wird das Konfigurationspaket SGNEnterpriseClientConfig.msi ausgeführt.
Beispiel:
msiexec /i F:\Software\SGxClientPreinstall.msi /qn /log
I:\Temp\SGxClientPreinstall.log
msiexec /i F:\Software\SGNClient.msi /qn /log I:\Temp\SGNClient.log
ADDLOCAL=Client,Authentication,BaseEncryption,SectorBasedEncryption,Co
nfigurationProtection
Installdir=C:\Program Files\Sophos\SafeGuard Enterprise
msiexec /i F:\Software\SGN_CP_Client.msi /quiet /norestart
msiexec /i F:\Software\SGNEnterpriseClientConfig.msi /qn 
/log I:\Temp\SGNEnterpriseClientConfig.log
106
SafeGuard® Enterprise 5.50, Installation
14.5 Beispielkommando für SafeGuard Configuration Protection mit
SafeGuard Data Exchange
Das msiexec Kommando muss in der im Beispiel angegebenen Reihenfolge ausgeführt werden. In
diesem Beispiel wird folgendes installiert:

Die Endpoint-Computer werden mit den notwendigen Voraussetzungen für eine erfolgreiche
Installation der Verschlüsselungssoftware ausgestattet.

SafeGuard Data Exchange mit dateibasierender Verschlüsselung wird installiert.

SafeGuard Configuration Protection muss als Feature für das SafeGuard Data Exchange
Client-Installationspaket angegeben werden.

Um die Installation des Moduls SafeGuard Configuration Protection anzustoßen, muss ein
separates Installationspaket durch Angabe eines weiteren msiexec Kommandos hinzugefügt
werden.

Eine Log-Datei wird erzeugt.

Anschließend wird das Konfigurationspaket SGNEnterpriseClientConfig.msi ausgeführt.
Beispiel:
msiexec /i F:\Software\SGxClientPreinstall.msi /qn /log
I:\Temp\SGxClientPreinstall.log
msiexec /i F:\Software\SGNClient_withoutDE.msi /qn /log
I:\Temp\SGNClient.log
ADDLOCAL=Client,Authentication,SecureDataExchange,
ConfigurationProtection
Installdir=C:\Program Files\Sophos\SafeGuard Enterprise
msiexec /i F:\Software\SGN_CP_Client.msi /quiet /norestart
msiexec /i F:\Software\SGNEnterpriseClientConfig.msi /qn 
/log I:\Temp\SGNEnterpriseClientConfig.log
107
SafeGuard® Enterprise 5.50, Installation
14.6 Lokale Installation
Um SafeGuard Configuration Protection erfolgreich zu installieren, halten Sie bitte die
angegebene Installationsreihenfolge ein:
1. Starten Sie das vorbereitende Installationspaket SGxClientPreinstall.msi von der Produkt-CD.
Diese Paket stattet die Endpoint-Computer mit notwendigen Voraussetzungen für die
erfolgreiche Installation der Verschlüsselungssoftware aus.
2. Installieren Sie eines der folgenden SafeGuard Enterprise Client-Installationspakete auf dem
Endpoint-Computer. Um SafeGuard Configuration Protection auf einem Windows 7 64-Bit
Betriebssystem aufzusetzen, können Sie die 64-Bit-Varianten der „Client“-Installationspakete
einsetzen.


SGNClient.msi /SGNClient_x64.msi
SGNClient_withoutDE.msi/SGNClient_withoutDE_x64.msi
3. Wenn Sie aufgefordert werden, die gewünschten Features auszuwählen, aktivieren Sie das
Feature Configuration Protection.
4. Installieren Sie anscchließend das SafeGuard Configuration Protection Installationpaket:

SGN_CP_Client.msi / SGN_CP_Client_x64.msi (verfügbar für Windows 7 64-Bit
Betriebssysteme)
Achtung: Um zu gewährleisten, dass das Modul Configuration Protection im SafeGuard
Enterprise -Verzeichnis installiert wird, müssen Sie die Pfadangabe ändern zu
C:\Programme\Sophos\SafeGuard Enterprise\
5. Wir empfehlen, den Endpoint-Computer neu zu starten. Wenn jedoch das ClientKonfigurationspaket direkt im Anschluss installiert wird, kann der Neustart auch verschoben
werden.
6. Generieren und installieren Sie das SafeGuard Enterprise Client-Konfigurationspaket
SGNEnterpriseClientConfig.msi.
7. Starten Sie den Computer neu.
SafeGuard Configuration Protection wird auf dem Endpoint-Computer installiert.
108
SafeGuard® Enterprise 5.50, Installation
14.7 SafeGuard Configuration Protection deinstallieren
Um SafeGuard Configuration Protection zu deinstallieren, führen Sie die folgenden Schritte in
der angegebenen Reihenfolge durch:
1. Deinstallieren Sie das entsprechende Client-Konfigurationspaket.
2. Führen Sie das SafeGuard Enterprise Client -Installationspaket auf dem Computer aus,
entweder SGNClient.msi oder SGNClient_withoutDE.msi oder die jeweilige 64-Bit-Variante
der Pakete.
3. Wählen Sie die Option Ändern im Installationsassistenten.
4. Deaktivieren Sie das Feature Configuration Protection.
5. Wenn die Deinstallation beendet ist, starten Sie den Computer auf keinen Fall neu!
6. Deinstallieren Sie SGN_CP_Client.msi bzw. SGN_CP_Client_x64.msi.
7. Starten Sie den Computer neu.
SafeGuard Configuration Protection wurde erfolgreich vom Endpoint-Computer entfernt.
14.8 SafeGuard Configuration Protection aktualisieren
Um SafeGuard Configuration Protection auf die neueste Version zu aktualisieren, führen Sie die
folgenden Schritte in der angegebenen Reihenfolge durch:
1. Starten Sie das vorbereitende Installationspaket SGxClientPreinstall.msi von der Produkt-CD.
Diese Paket stattet die Endpoint-Computer mit notwendigen Voraussetzungen für die
erfolgreiche Installation der Verschlüsselungssoftware aus.
2. Aktualisieren Sie das SafeGuard Enterprise Client-Installationspaket auf dem Computer auf
die aktuelle Version, siehe Endpoint-Computer aktualisieren auf Seite 116.
Hinweis: Starten Sie danach den Computer auf keinen Fall neu.
3. Deinstallieren Sie das derzeit installierte SafeGuard Configuration Protection Client-Modul,
siehe SafeGuard Configuration Protection deinstallieren auf Seite 109.
4. Installieren Sie das neueste SafeGuard Configuration Protection Client-Modul neu, siehe
Lokale Installation auf Seite 108.
109
SafeGuard® Enterprise 5.50, Installation
15 Deinstallation am Endpoint-Computer verhindern
Um Endpoint-Computer zusätzlich zu schützen, kann die lokale Deinstallation von SafeGuard
Enterprise zentral über eine Maschinenrichtlinie verhindert werden. Wenn eine solche Richtlinie
für den Endpoint-Computer gilt, kann SafeGuard Enterprise nur deinstalliert werden, wenn eine
entsprechende Richtlinie zugewiesen wird. Ansonsten wird die Deinstallation abgebrochen und
der unerlaubte Versuch protokolliert. Genaue Informationen zu den Richtlinien können Sie der
SafeGuard Enterprise Administrator-Hilfe entnehmen.
Hinweis: Falls Sie mit einer Demo-Version arbeiten, sollten Sie diese Richtlinieneinstellung nicht
aktivieren oder vor Ablauf der Demo-Version unbedingt deaktivieren, um eine einfache
Deinstallation zu gewährleisten.
110
SafeGuard® Enterprise 5.50, Installation
16 SafeGuard Enterprise aktualisieren
Wenn Sie bereits eine Vorgängerversion von SafeGuard Enterprise installiert haben, können Sie
SafeGuard Enterprise durch die Installation der neuesten Version aktualisieren. Die
Aktualisierung auf SafeGuard Enterprise Version 5.50 wird unterstützt ab SafeGuard Enterprise
Version 5.35 oder höher. Für ältere Versionen müssen Sie zunächst eine Aktualisierung auf
Version 5.40 durchführen.
Bis auf die SafeGuard Enterprise Datenbank handelt es sich bei der Aktualisierung des SafeGuard
Enterprise Server, Management Center und Client um Neuinstallationen.
Ab SafeGuard Enterprise 5.30 aufwärts ist der Import einer gültigen Lizenzdatei erforderlich, die
alle ausgerollten SafeGuard Clients abdeckt. Wenn die Anzahl der Lizenzen überschritten ist, wird
die Richtlinienübertragung nach der Aktualisierung des Backends blockiert. Bitte wenden Sie sich
vor der Aktualisierung an Ihren Vertriebspartner und fordern Sie eine Lizenzdatei an.
Hinweis: Halten Sie bei der Aktualisierung unbedingt die unten aufgeführte Reihenfolge ein. Nur
dann ist eine Aktualisierung von einer früheren Version auf die aktuelle Version von SafeGuard
Enterprise erfolgreich. Die Aktualisierung der SafeGuard Enterprise Komponenten wird
unterstützt ab SafeGuard Enterprise Version 5.30 oder höher.
SafeGuard Enterprise
1. SafeGuard Enterprise Datenbank
2. SafeGuard Enterprise Server
3. SafeGuard Management Center
4. Durch SafeGuard Enterprise geschützte Endpoint-Computer
111
SafeGuard® Enterprise 5.50, Installation
16.1 SafeGuard Enterprise Datenbank aktualisieren
Für die Aktualisierung der SafeGuard Enterprise Datenbank stehen mehrere SQL-Skripte zur
Verfügung, die sich auf der Produkt-CD befinden.
Voraussetzungen

Eine SafeGuard Enterprise Datenbank in der Version 5.20 oder höher muss vorhanden sein.

Die auszuführenden SQL-Skripte müssen auf dem Datenbank-Rechner vorhanden sein.

Sie benötigen Windows Administratorenrechte für den Datenbankserver.

Führen Sie ein Backup der SafeGuard Enterprise Datenbank durch, bevor Sie mit der
Aktualisierung beginnen.
Datenbank aktualisieren
1. Nehmen Sie alle SafeGuard Enterprise Server (IIS Server) vom Netz, die mit der relevanten
SafeGuard Enterprise Datenbank verbunden sind.
2. Schließen Sie alle geöffneten SafeGuard Management Center, die mit der relevanten
SafeGuard Enterprise Datenbank verbunden sind.
3. Um die SQL-Skripts ausführen zu können, müssen Sie die Datenbank auf den
SINGLE_USER-Modus umstellen, damit sie exklusiven Zugriff auf die Datenbank haben.
4. Die Datenbank muss Version für Version auf die aktuelle Version konvertiert werden.
Abhängig von der installierten Version, starten Sie nacheinander die folgenden SQL-Skripte:
a) 5.20 > 5.3x: MigrateSGN520_SGN530.sql oder MigrateSGN520_SGN535.sql
ausführen
Hinweis: Vorhandene SafeGuard Enterprise Richtlinien werden modifiziert, da sich die
Richtlinienstruktur von Version 5.20 zu 5.3x geändert hat.
b) 5.3x > 5.35: MigrateSGN530_SGN535.sql ausführen
c) 5.30 > 5.40: MigrateSGN530_SGN540.sql ausführen
d) 5.35 > 5.40: MigrateSGN535_SGN540.sql ausführen
e) 5.40 > 5.50: MigrateSGN540_SGN550.sql ausführen
5. Stellen Sie die SafeGuard Enterprise Datenbank wieder auf den MULTI_USER-Modus
zurück.
112
SafeGuard® Enterprise 5.50, Installation
Nach Aktualisierung der Datenbank sind unter Umständen die kryptographischen Prüfsummen
einiger Tabellen nicht mehr korrekt. Wenn Sie das SafeGuard Management Center starten,
werden entsprechende Warnmeldungen angezeigt. Sie können die Tabellen dann in den
entsprechenden Dialogen reparieren. Die aktuelle Version der SafeGuard Enterprise Datenbank
ist dann einsatzbereit.
16.2 Replizierte SafeGuard Enterprise Datenbanken aktualisieren
Wenn die SafeGuard Enterprise Datenbank zu einer neueren Version aktualisiert werden soll und
replizierte Datenbanken verwendet werden, ist es am besten, die replizierten Datenbanken zu
deinstallieren, bevor Sie mit der Aktualisierung der Master-Datenbank beginnen.
Für die Aktualisierung von SafeGuard Enterprise Datenbanken ist die Ausführung von speziellen
SQL-Migrationsskripten erforderlich, die einen Konflikt mit den replizierten Datenbanken
auslösen können.
1. Deinstallieren Sie die replizierten Datenbanken.
2. Wenden Sie die SQL-Migrationsskripte auf die Master-Datenbank an. Sie finden die Skripte
im Verzeichnis Tools auf Ihrer Produkt-CD (siehe SafeGuard Enterprise Datenbank
aktualisieren auf Seite 112).
3. Legen Sie die Replikationsdatenbanken neu an.
16.3 SafeGuard Enterprise Server aktualisieren
Voraussetzungen

Die Aktualisierung der SafeGuard Enterprise Datenbank auf die aktuelle Version wurde
bereits durchgeführt.

SafeGuard Enterprise Server 5.35 oder höher muss installiert sein. Versionen niedriger als 5.35
müssen zunächst auf SafeGuard Enterprise Server 5.40 aktualisiert werden.

Sie benötigen Windows Administratorenrechte.

ASP.NET muss auf die Version 2.0 umgestellt sein.
Aktualisierung durchführen
Führen Sie eine Neuinstallation des Servers durch, siehe SafeGuard Enterprise Server installieren
auf Seite 55. Nach erfolgreicher Aktualisierung wird der Server automatisch neu gestartet und ist
wieder betriebsbereit.
113
SafeGuard® Enterprise 5.50, Installation
16.4 SafeGuard Management Center aktualisieren
Voraussetzungen

SafeGuard Management Center 5.35 oder höher muss installiert sein. Versionen niedriger als
5.35 müssen zunächst auf SafeGuard Management Center 5.40 aktualisiert werden.

Die Aktualisierung der SafeGuard Enterprise Datenbank und des SafeGuard Enterprise
Servers auf die aktuelle Version wurde bereits durchgeführt.

Für die erfolgreiche Aktualisierung auf die aktuelle Version muss .NET Framework 3.0 Service
Pack 1 installiert sein.

ASP.NET muss auf die Version 2.0 umgestellt sein.

Sie benötigen Windows Administratorenrechte.

Sie benötigen eine gültige Lizenzdatei. Bitte wenden Sie sich dafür vorab an Ihren
Vertriebspartner.
Aktualisierung durchführen
1. Führen Sie eine Neuinstallation des Management Centers mit den gewünschten Features
durch siehe SafeGuard Management Center einrichten auf Seite 29).
2. Importieren Sie die Lizenzdatei.
3. Starten Sie das SafeGuard Management Center. Das Systemverhalten beim ersten Start des
SafeGuard Management Centers nach der Aktualisierung richtet sich danach, ob die Funktion
Multi Tenancy mit der Aktualisierung installiert wurde.

Multi Tenancy wurde nicht installiert: Sie werden aufgefordert, Ihre
Sicherheitsbeauftragten-Anmeldeinformationen einzugeben.

Multi Tenancy wurde installiert: Der SafeGuard Management Center
Konfigurationsassistent wird gestartet. Sie werden dazu aufgefordert, die zu verwendende
Datenbank auszuwählen. Der Assistent schlägt standardmäßig eine bereits vorher
verwendete Datenbank vor. Wählen Sie die gewünschte Datenbank aus und beenden Sie
den Assistenten.
114
SafeGuard® Enterprise 5.50, Installation
Hinweis:


Die Standardkonfigurationsdatei für das SafeGuard Management Center wurde verschoben
und umbenannt. Hier finden Sie die Datei:

Windows XP: <CSIDL_LOCAL_APPDATA>\Sophos\SafeGuard
Enterprise\Configuration\<hash>.xml

Windows Vista: C:\Users\<user name>\AppData\Local\Sophos\SafeGuard
Enterprise\Configuration\FE2E60C269D115B176D195AB3ABF8324.xml
Scripting API: Aufgrund der Umbenennung und des neuen Speicherorts der
Standardkonfigurationsdatei müssen Sie bei Verwendung der folgenden Methode mit dem
Parameter "confFilePathName" den Pfad und den Dateinamen entsprechend dem neuen
Speicherort ändern:
AuthenticateOfficer (string OfficerName, string PinOrPassword, string
confFilePathName) .
115

Wird Multi Tenancy mit der Aktualisierung installiert, wird der SafeGuard Management
Konfigurationsassistent nach der ersten Aktualisierung gestartet. Der Assistent schlägt eine
bereits verwendete Datenbank vor.

Wird Multi Tenancy deinstalliert, wird die letzte verwendete Konfiguration im SafeGuard
Management Center verwendet. Nach der erneuten Installation der Multi Tenancy Funktion
wir diese Konfiguration vorausgewählt.

Bitte beachten Sie, dass sich vorhandene SafeGuard Enterprise-Richtlinien eventuell geändert
haben, da sich die Richtlinienstruktur von SafeGuard Enterprise ab Version 5.30 aufwärts
geändert hat.
SafeGuard® Enterprise 5.50, Installation
16.5 Endpoint-Computer aktualisieren
Dieser Abschnitt gilt sowohl für SafeGuard Enterprise Clients (managed) als auch Sophos
SafeGuard Client (standalone).
SafeGuard Enterprise Server und Management Center 5.50 können SafeGuard Enterprise Clients/
Sophos SafeGuard Standalone Clients Version 5.35 oder höher verwalten.
Voraussetzungen

SafeGuard Enterprise Client Version 5.35 oder höher muss installiert sein. Versionen niedriger
als 5.30 müssen zunächst auf SafeGuard Enterprise 5.40 aktualisiert werden.

Die Aktualisierung der SafeGuard Enterprise Datenbank, des SafeGuard Enterprise Servers
und des SafeGuard Management Centers wurde bereits durchgeführt.

Sie benötigen Windows Administratorenrechte.
Note:

Überprüfen Sie Ihr Netzwerk und Ihre Computer auf veraltete oder unbenutzte ClientKonfigurationspakete. Löschen Sie aus Sicherheitsgründen diese Pakete.
Aktualisierung durchführen
Die Aktualisierung muss von Version zu Version durchgeführt werden, bis Version 5.50 erreicht
ist.
1. Starten Sie das vorbereitende Installationspaket SGxClientPreinstall.msi von der Produkt-CD,
um die Endpoint-Computer mit notwendigen Voraussetzungen für eine erfolgreiche
Installation der Verschlüsselungssoftware auszustatten.
2. Installieren Sie für die Aktualisierung das entsprechende SafeGuard Client Installationspaket
neu, siehe Endpoint-Computer zentral einrichten auf Seite 82 oder siehe Endpoint-Computer
lokal einrichten auf Seite 98.
Der Windows Installer erkennt, welche Module bereits installiert sind und installiert auch nur
diese Module neu. Wenn die Power-on Authentication installiert ist, steht nach erfolgreicher
Migration (Richtlinien, Schlüssel usw.) auch ein aktualisierter POA-Kernel zur Verfügung. 
Der SafeGuard Enterprise Client wird automatisch neu gestartet.
Sie müssen nur dann ein neues Client-Konfigurationspaket erzeugen und installieren, wenn sich
die Konfiguration geändert hat. Wenn Sie ein neues Client-Konfigurationspaket erstellen,
löschen Sie das veraltete Paket.
Wenn Sie versuchen, ein älteres Client-Konfigurationspaket über ein neueres Paket zu
installieren, wird die Installation abgebrochen und es wird einen entsprechende
Warnungsmeldung angezeigt.
116
SafeGuard® Enterprise 5.50, Installation
16.5.1Sophos SafeGuard Clients (standalone) zusätzlich mit volume-basierender
Verschlüsselung ausstatten
Wenn Sie einen Standalone Endpoint-Computer (Sophos SafeGuard Client standalone), auf dem
lediglich SafeGuard Data Exchange mit dateibasierender Verschlüsselung installiert ist mit
dateibasierender Verschlüsselung erweitern möchten, müssen Sie die folgenden Schritte
durchführen. Diese Schritte sind notwendig, um eine korrekte und sichere Anmeldung an der
Power-on Authentication zu gewährleisten.
1. Deinstallieren Sie das SafeGuard Data Exchange Installationspaket
(SGNClient_withoutDE.msi/SGNClient_withoutDE_x64.msi).
2. Deinstallieren Sie das Standalone Client-Konfigurationspaket.
3. Installieren Sie das Installationspaket mit volume-basierender Verschlüsselung
(SGNClient.msi/SGNClient_x64.msi) und wählen Sie die Features Device Encryption und
Data Exchange aus.
4. Installieren Sie ein neues Standalone Client-Konfigurationspaket.
Der Recovery-Schlüssel sowie die lokalen Schlüssel, die während der Installation des Data
Exchange Pakets erzeugt wurden, werden nicht gelöscht, sondern bleiben erhalten.
16.6 SafeGuard Configuration Protection aktualisieren
Für die Aktualisierung des SafeGuard Configuration Protection Client Moduls, siehe SafeGuard
Configuration Protection aktualisieren auf Seite 109.
117
SafeGuard® Enterprise 5.50, Installation
16.7 Endpoint-Computer Konfiguration von “standalone” auf
“managed” migrieren
Es besteht die Möglichkeit, einen Endpoint-Computer mit einer Standalone ClientKonfiguration auf eine Enterprise Client (managed) -Konfiguration zu migrieren. Die EndpointComputer werden dann im SafeGuard Management Center zu Objekten, die verwaltet werden
können und eine Verbindung zum SafeGuard Enterprise Server haben.
Achtung: Der umgekehrte Weg, die Migration von einer SafeGuard Enterprise ClientKonfiguration zu einer Standalone Client-Konfiguration ist nicht zu empfehlen. Dies erfordert
eine komplette Neuinstallation von SafeGuard Enterprise mit Standalone-Konfiguration auf dem
Endpoint-Computer.
Voraussetzungen

SafeGuard Policy Editor muss bereits auf das SafeGuard Management Center migriert worden
sein.

Es ist keine Deinstallation des Client-Installationspakets nötig.

Führen Sie ein Backup des Ednpoint-Computers durch, bevor Sie die Migration starten.

Sie benötigen Windows Administratorenrechte.
Migration durchführen
Für die Migration müssen Sie lediglich das entsprechende Konfigurationspaket für SafeGuard
Enterprise Clients (managed) erstellen und dem Endpoint-Computer zuweisen:
1. Erstellen Sie das Konfigurationspaket im SafeGuard Management Center unter Extras >
Konfigurationspakete > Konfigurationspaket (managed) erstellen.
2. Weisen Sie dieses Paket dem Endpoint-Computer über eine Gruppenrichtlinie zu.
Achtung: Bei der Migration werden alle Benutzer und Zertifikate gelöscht und die Power-on
Authentication deaktiviert, da die Benutzer-Computer-Zuordnung nicht mit migriert wird. Nach
der Migration sind die Benutzer-Computer damit ungeschützt!
3. Führen Sie deshalb nach der Migration zwei Neustarts durch: Die erste Anmeldung erfolgt
noch über Autologon. Den Benutzern werden neue Schlüssel und Zertifikate zugewiesen, so
dass sie sich erst beim zweiten Neustart an der Power-on Authentication anmelden können.
Erst nach dem zweiten Neustart sind die Benutzer-Computer wieder geschützt.
Der Sophos SafeGuard Client (standalone) ist nun ein SafeGuard Enterprise Client (managed).
118
SafeGuard® Enterprise 5.50, Installation
17 Migration von Sophos SafeGuard 5.5.x auf SafeGuard
Enterprise
Sophos SafeGuard umfasst die folgenden Produkte:

Sophos SafeGuard Disk Encryption 5.50, welches mit ESDP (Endpoint Security and Data
Protection) verfügbar ist.

SafeGuard Easy 5.50. Ab Version 5.50 ist SafeGuard Easy der neue Produktname für die
SafeGuard Enterprise Standalone-Lösung.
Diese Produkte lassen sich leicht auf die SafeGuard Enterprise Suite mit zentralem Management
erweitern, um den vollen Funktionsumfang von SafeGuard Enterprise nutzen zu können.
Dazu müssen Sie die folgenden Schritte durchführen:

Der SafeGuard Policy Editor muss auf das SafeGuard Management Center migriert werden.

Die Sophos SafeGuard Clients (standalone) müssen auf SafeGuard Enterprise Clients
(managed) migriert werden.
Nach der Migration des SafeGuard Policy Editor auf das SafeGuard Management Center können
Sie umfassende Management-Funktionen nutzen, z. B. Computer-Verwaltung und
Protokollierung.
17.1 Voraussetzungen
119

Sie müssen den SafeGuard Policy Editor nicht deinstallieren.

Richten Sie vor der Migration den SafeGuard Enterprise Server ein, siehe SafeGuard Enterprise
Server einrichten auf Seite 45.
SafeGuard® Enterprise 5.50, Installation
17.2 SafeGuard Policy Editor migrieren
Für die Migration installieren Sie einfach das .msi-Paket für das SafeGuard Management Center
auf dem Computer, auf dem der SafeGuard Policy Editor eingerichtet ist.
1. Starten Sie SGNManagementCenter.msi von der Produkt-CD.
2. Klicken Sie im Willkommen-Fenster auf Weiter.
3. Akzeptieren Sie die Lizenzvereinbarung.
4. Wählen Sie einen Installationspfad.
5. Bestätigen Sie die erfolgreiche Installation.
6. Starten Sie Ihren ggf. Computer neu.
7. Führen Sie die Konfiguration des SafeGuard Management Centers durch, siehe SafeGuard
Management Center konfigurieren auf Seite 31.
Der SafeGuard Policy Editor wurde auf das SafeGuard Management Center migriert.
17.3 Sophos SafeGuard Clients (standalone) migrieren
Es besteht die Möglichkeit, Endpoint-Computer mit einer Sophos SafeGuard Standalone ClientKonfiguration auf eine SafeGuard Enterprise Client(managed)-Konfiguration zu migrieren. Die
Endpoint-Computer werden dann im SafeGuard Management Center zu Objekten, die verwaltet
werden können und eine Verbindung zum SafeGuard Enterprise Server haben.
17.4 Voraussetzungen

SafeGuard Policy Editor muss bereits auf das SafeGuard Management Center migriert worden
sein.

Es ist keine Deinstallation der Client-Verschlüsselungssoftware nötig.

Führen Sie ein Backup des Endpoint-Computers durch, bevor Sie die Migration starten.

Sie benötigen Windows Administratorenrechte.
17.4.1Migration durchführen
Für die Migration müssen Sie lediglich das entsprechende Konfigurationspaket für SafeGuard
Enterprise Clients (managed) erstellen und dem Endpoint-Computer zuweisen:
120
SafeGuard® Enterprise 5.50, Installation
1. Erstellen Sie das Konfigurationspakte im SafeGuard Management Center unter Extras >
Konfigurationspakete > Konfigurationspaket (Managed) erstellen.
2. Weisen Sie dieses Paket den entsprechenden Computern zu, zum Beispiel über eine
Gruppenrichtlinie.
Achtung: Bei der Migration werden alle Benutzer und Zertifikate gelöscht und die Power-on
Authentication deaktiviert, da die Benutzer-Computer-Zuordnung nicht mit migriert wird. Nach
der Migration sind die Endpoint-Computer damit ungeschützt!
3. Führen Sie deshalb nach der Migration zwei Neustarts durch: Die erste Anmeldung erfolgt
noch über Autologon. Den Benutzern werden neue Schlüssel und Zertifikate zugewiesen, so
dass sie sich erst beim zweiten Neustart an der Power-on Authentication anmelden können.
Erst nach dem zweiten Neustart sind die Endpoint-Computer wieder geschützt.
Der Sophos SafeGuard Client (standalone) ist nun ein SafeGuard Enterprise Client (managed),
der zentral über SafeGuard Enterprise verwaltet werden kann.
121
SafeGuard® Enterprise 5.50, Installation
18 Migration von SafeGuard Easy 4.x/Sophos SafeGuard
Disk Encryption 4.x auf SafeGuard Enterprise
SafeGuard Easy Version 4.5x sowie Sophos SafeGuard Disk Encryption Version 4.6x können
direkt auf SafeGuard Enterprise 5.50 migriert werden, indem einfach das SafeGuard Enterprise
Client Installationspaket auf dem Computer installiert wird.
Die Verschlüsselung von Festplatten und Wechselmedien bleibt bestehen. Diese müssen nicht
entschlüsselt und neu verschlüsselt werden, und SafeGuard Easy oder Sophos SafeGuard Disk
Encryption muss auch nicht manuell deinstalliert werden.
Dieses Kapitel beschreibt, wie Sie eine Migration auf SafeGuard Enterprise durchführen, und
zeigt, welche Features migriert werden können und welche Einschränkungen bestehen.
18.1 Voraussetzungen
Folgende Voraussetzungen müssen erfüllt sein:

Die direkte Migration wurde getestet und wird unterstützt für SafeGuard Easy ab Version 4.5x.
Eine direkte Migration sollte auch für Versionen zwischen 4.3x und 4.4x funktionieren. 
Für ältere Versionen wird die direkte Migration nicht unterstützt. Versionen vor 4.3x müssen
zunächst auf SafeGuard Easy 4.50 aktualisiert werden.

Die direkte Migration wird unterstützt für Sophos SafeGuard Disk Encryption Version 4.6x.

Windows Installer Version 3.01 oder höher muss installiert sein.

SafeGuard Easy /Sophos SafeGuard Disk Encryption muss auf dem folgenden Windows
Betriebssystem laufen:

Windows XP Professional Workstation Service Pack 2, 3

Die Hardware und spezifische Software (z. B. Token- oder Lenovo-Middleware) muss mit den
Systemvoraussetzungen für SafeGuard Enterprise übereinstimmen.

Festplatten müssen mit den folgenden Algorithmen verschlüsselt sein, um migriert werden zu
können: AES128, AES256, 3DES, IDEA.
122
SafeGuard® Enterprise 5.50, Installation
18.2 Einschränkungen
Folgende Einschränkungen bestehen für die Migration:

Es kann nur das SafeGuard Device Encryption Client Installationspaket (SGNClient.msi). mit
dem Standard-Funktionsumfang installiert werden. Wenn zusätzlich SafeGuard
Configuration Protection oder SafeGuard Data Exchange installiert werden sollen, muss dies
in einem separaten Schritt erfolgen.

Das Installationspaket ohne volume-basierende Verschlüsselung
(SGNClient_withoutDE.msi) wird für die Migration auf SafeGuard Enterprise nicht
unterstützt.
Folgende SafeGuard Easy Installationen können nicht auf SafeGuard Enterprise migriert werden.
In diesen Fällen sollten Sie nicht versuchen, SafeGuard Enterprise zu installieren.
Hinweis: Wenn Sie mit den folgenden Installationen eine Migration starten, wird eine
Fehlermeldung angezeigt (Fehlernummer 5006).

Twin Boot Installationen

Installationen mit aktivem Compaq Switch

Lenovo Computrace Installationen

Festplatten, die nur teilweise verschlüsselt sind, z. B. nur mit Verschlüsselung des BootSektors

Festplatten mit versteckten Partitionen



Festplatten, die mit einem der folgenden Algorithmen verschlüsselt sind: 
XOR, STEALTH, DES, RIJANDAEL, Blowfish-8, Blowfish-16
Multi-Boot Szenarien mit einer zweiten Windows- oder Linux-Partition
Es werden keine Wechselmedien migriert, die mit einem der folgenden Algorithmen
verschlüsselt sind: XOR, STEALTH, DES, RIJANDAEL, Blowfish-8, Blowfish-16
Achtung: Es besteht die Gefahr von Datenverlust, wenn ein Wechselmedium mit einem der
Algorithmen XOR, STEALTH, DES, RIJANDAEL, Blowfish-8, Blowfish-16 in SafeGuard Easy
verschlüsselt wurde und auf SafeGuard Enterprise migriert werden soll. Die Daten auf dem
Wechselmedium können nach der Migration mit SafeGuard Enterprise nicht mehr gelesen
werden!
123
SafeGuard® Enterprise 5.50, Installation

Wechselmedien können in das SafeGuard Enterprise Format konvertiert werden. Nach der
Konvertierung kann ein verschlüsselter Datenträger nur noch mit SafeGuard Enterprise und
nur auf dem Endpoint-Computer gelesen werden, an dem die Konvertierung durchgeführt
wurde.

Wechselmedien mit Super Floppy Volumes können nach der Migration nicht umgewandelt
werden.
18.3 Welche Funktionalität wird migriert
Die folgende Tabelle zeigt, welche Funktionalität migriert wird und wie diese in SafeGuard
Enterprise abgebildet wird.
SafeGuard Easy/
Sophos SafeGuard Disk
Encryption
Migration
SafeGuard Enterprise
Verschlüsselte Festplatten
Ja
Die Festplattenschlüssel werden durch die
SafeGuard Enterprise Power-on
Authentication geschützt. Der
Festplattenschlüssel ist somit zu keiner
Zeit exponiert. Wenn der Modus "Boot
Protection" gewählt wurde, muss die
bisherige SafeGuard Easy Version
deinstalliert werden. Der
Verschlüsselungsalgorithmus der
Festplatte wird bei der Migration nicht
verändert. Daher kann sich der
tatsächliche Algorithmus einer solchen
migrierten Festplatte von der allgemeinen
SafeGuard Enterprise Richtlinie
unterscheiden.
Verschlüsselte
Wechselmedien (gilt nicht für
Sophos SafeGuard Disk
Encryption)
Ja
Verschlüsselte Datenträger, z. B. USBSticks, können in das SafeGuard Enterprise
Format konvertiert werden. Hinweis:
Nach der Konvertierung kann ein
verschlüsselter Datenträger nur noch mit
SafeGuard Enterprise und nur auf dem
Endppoint-Computer gelesen werden, an
dem die Konvertierung durchgeführt
wurde. Die Konvertierung muss jeweils
bestätigt werden.
Zu Ausnahmen siehe Einschränkungen auf
Seite 123.
124
SafeGuard® Enterprise 5.50, Installation
125
SafeGuard Easy/
Sophos SafeGuard Disk
Encryption
Migration
SafeGuard Enterprise
Verschlüsselungsalgorithmen
Teilweise
Die für die Migration geeigneten
Algorithmen AES128, AES256, 3DES,
IDEA werden migriert. AES-128 und 
3-DES stehen jedoch nicht im
Management Center zur Auswahl für neu
zu verschlüsselnde Medien zur Verfügung.
Zu nicht migrierbaren Algorithmen
siehe Einschränkungen auf Seite 123.
Challenge/Response
Teilweise
Das Challenge/Response-Verfahren bleibt
erhalten.
Benutzernamen
Nein
Da in SafeGuard Enterprise die WindowsBenutzernamen verwendet werden, ist eine
Übernahme der bestehenden SafeGuard
Easy/Sophos SafeGuard Disk Encryption
Benutzernamen nicht nötig. Die
Registrierung der migrierten Computer
erfolgt deshalb wie bei einer
Neuinstallation von SafeGuard Enterprise:
durch zentrales Zuweisen oder lokales
Registrieren des Computer-Besitzers.
Benutzerkennwörter
Nein
Da die Windows Kennwörter in SafeGuard
Enterprise verwendet werden, müssen die
SafeGuard Easy/Sophos SafeGuard Disk
Encryption Kennwörter nicht
übernommen werden. Die spezifischen
SafeGuard Easy/Sophos SafeGuard Disk
Encryption Kennwörter werden deshalb
nicht migriert.
Richtlinien, Einstellungen 
(z. B. Mindestpasswortlänge)
Nein
Zur Sicherstellung der Konsistenz der
gesamten Einstellungen ist eine
automatische Übernahme nicht
vorgesehen. Die Einstellungen müssen im
SafeGuard Management Center neu
gesetzt werden.
Pre-Boot Authentisierung
Nein
Die Pre-Boot Authentisierung (PBA) wird
durch die SafeGuard Enterprise Power-on
Authentication (POA) ersetzt.
SafeGuard® Enterprise 5.50, Installation
SafeGuard Easy/
Sophos SafeGuard Disk
Encryption
Migration
SafeGuard Enterprise
Installationen ohne GINA
Ja
Installationen ohne GINA werden auf
SafeGuard Enterprise mit installierter
SGNGINA migriert.
Token/Smartcards
(gilt nicht für Sophos
SafeGuard Disk Encryption)
Teilweise
Die Token/Smartcard-Hardware kann in
SafeGuard Enterprise weiterverwendet
werden. Allerdings werden die
Anmeldeinformationen nicht migriert. Die
in SafeGuard Easy verwendeten Token
müssen deshalb in SafeGuard Enterprise
neu ausgestellt werden und wie bei jedem
anderen SafeGuard Enterprise EndpointComputer über Richtlinien eingerichtet
werden.
SafeGuard Easy Anmeldeinformationen in
Dateiform auf Token/Smartcards, bleiben
als solche erhalten, können aber lediglich
zur Anmeldung an Computern mit
SafeGuard Easy Unterstützung verwendet
werden.
Falls notwendig, muss die benutzte Token/
Smartcard-Middleware auf eine von
SafeGuard Enterprise unterstützte Version
aktualisiert werden.
Anmeldung mit Lenovo
Fingerabdruck-Leser
Teilweise
Die Anmeldung per Fingerabdruck kann
in SafeGuard Enterprise weiterhin benutzt
werden. Die Hardware sowie die Software
für den Fingerabdruck-Leser muss von
SafeGuard Enterprise unterstützt werden.
Außerdem müssen die Benutzerdaten
erneut ausgerollt werden. Weitere
Informationen zur Anmeldung per
Fingerabdruck finden Sie in der
Benutzerhilfe.
126
SafeGuard® Enterprise 5.50, Installation
18.4 Vorbereitungen
Folgende Maßnahmen sollten Sie treffen, bevor Sie die Installation von SafeGuard Enterprise
starten:

Bevor Sie die Endpoint-Computer migrieren, erstellen Sie im SafeGuard Management Center
ein SafeGuard Enterprise Konfigurationspaket. Installieren Sie das Konfigurationspaket nach
der Installation der SafeGuard Enterprise Verschlüsselungssoftware auf den EndpointComputern. Die mit dem ersten Konfigurationspaket übertragenen Richtlinien sollten mit der
vorigen Konfiguration des SafeGuard Easy/Sophos SafeGuard Disk Encryption Computers
übereinstimmen.
Wenn mit der Migration kein Konfigurationspaket installiert wird, bleiben alle Laufwerke, die
mit SafeGuard Easy/Sophos SafeGuard Disk Encryption verschlüsselt wurden, verschlüsselt.
Erstellen Sie zur Sicherheit ein komplettes Backup der zu migrierenden Computer.

Führen Sie die vor der Installation von SafeGuard Enterprise empfohlenen Schritte aus,
verwenden Sie z. B. “chkdsk“ und “defrag“.
Details zu z. B. “chkdsk“ und “defrag“ finden Sie in unserer Wissensdatenbank
chdsk: http://www.sophos.de/support/knowledgebase/article/107799.html
defrag: http://www.sophos.de/support/knowledgebase/article/109226.html
127

Erstellen Sie einen gültigen Kernel-Backup und legen Sie diesen an einem Speicherort ab, auf
den immer zugegriffen werden kann (zum Beispiel Netzwerkpfad). Weitere Informationen
hierzu finden Sie in den SafeGuard Easy 4.5x/Sophos SafeGuard Disk Encryption 4.60
Handbüchern/Hilfen im Kapitel Systemkern sichern und Notfallmedien erstellen.

Legen Sie bei der ersten Migration zur Sicherheit eine Testumgebung an.

Migrieren Sie ältere Versionen von SafeGuard Easy zuerst auf die Version 4.50.

Lassen Sie die Computer während des gesamten Migrationsprozesses eingeschaltet.

Der Sicherheitsbeauftragte sollte die Windows-Anmeldeinformationen der Benutzer
bereithalten, falls diese nach der erfolgreichen Migration ihre Windows-Kennwörter vergessen
haben. Dieser Fall kann eintreten, wenn die Benutzer sich früher an der SafeGuard Easy/
Sophos SafeGuard Disk Encryption Pre-Boot Authentisierung angemeldet haben und
eventuell zu einem späteren Zeitpunkt über das Windows Secure Autologon (SAL)
angemeldet wurden. Die Benutzer haben daher ihre Windows Anmeldeinformationen nie
benutzt.
SafeGuard® Enterprise 5.50, Installation
Achtung: Benutzern muss vor der Migration ein Kennwort zur Windows-Anmeldung bekannt
sein. Dies ist wichtig, da ein Windows-Kennwort nicht nachträglich nach der Migration und
Installation von SafeGuard Enterprise gesetzt werden kann. Wenn die Benutzer Ihr WindowsKennwort nicht kennen, weil Sie sich über SAL in SafeGuard Easy/Sophos SafeGuard Disk
Encryption angemeldet haben, können sie sich an SafeGuard Enterprise nicht anmelden. Die
automatische Anmeldung an Windows wird in diesem Fall abgewiesen und die Benutzer können
sich nicht mehr an SafeGuard Enterprise anmelden. Es besteht die Gefahr des Datenverlusts, da
Benutzer nicht in der Lage sind, auf ihre Computer zuzugreifen.
18.5 Migration starten
Die Installation kann auf einem laufenden SafeGuard Easy/Sophos SafeGuard Disk Encryption
System durchgeführt werden. Verschlüsselte Festplatten oder Volumes müssen nicht vorab
entschlüsselt werden.
Verwenden Sie das SafeGuard Device Encryption Client-Paket (SGNClient.msi) aus dem
Installationsverzeichnis mit dem Standard-Funktionsumfang. 
Das Client-Paket SGNClient_withoutDE.msi kann nicht verwendet werden.
Achtung: Für eine erfolgreiche Migration sollte die Installation am besten zentral im
unbeaufsichtigten Modus erfolgen. Die lokale Installation über das Setup-Verzeichnis wird nicht
empfohlen!
Gehen Sie folgendermaßen vor:
1. Doppelklicken Sie im SafeGuard Easy/Sophos SafeGuard Disk Encryption Programmordner
des zu migrierenden Endpoint-Computers auf WIZLDR.exe. Der Migrationsassistent wird
gestartet.
2. Geben Sie im Migrationsassistenten das SYSTEM-Kennwort ein und bestätigen Sie mit
Weiter. Bestätigen Sie in Zielordner die Standardeinstellung mit Weiter und klicken Sie auf
Beenden, um die Aktion abzuschließen. Die Migrations-Konfigurationsdatei SGEMIG.cfg
wird erzeugt.
3. Benennen Sie diese Datei im Windows Explorer von SGEMIG.cfg in SGE2SGN.cfg um.
Speichern Sie sie an einem Ort, auf den der Computer während der Migration zugreifen kann.
Hinweis: "Ersteller/Besitzer"-Rechte müssen für diese Datei und den Dateipfad gesetzt sein, auf
dem sie während der Migration gespeichert ist. Andernfalls schlägt die Migration fehl und eine
Meldung wird ausgegeben, dass SGE2SGN.cfg nicht gefunden werden konnte.
128
SafeGuard® Enterprise 5.50, Installation
4. Geben Sie das Kommando “msiexec“ in der Eingabeaufforderung ein, um das vorbereitende
SafeGuard Enterprise Installationspaket sowie das SafeGuard Enterprise Client
Installationspaket auf dem SafeGuard Easy/Sophos SafeGuard Disk Encryption EndpointComputer auszuführen. Fügen Sie den Parameter MIGFILE mit dem Pfad der Migrationsdatei
SGE2SGN.cfg hinzu:
Beispiel:
msiexec /i
\\Distributionserver\Software\Sophos\SafeGuard\SGxClientPreinstall.msi
msiexec /i \\Distributionserver\Software\Sophos\SafeGuard\SGNClient.msi 
/L*VX \\Distributionserver\Software\Sophos\SafeGuard\%Computername%.log“

MIGFILE=\\Distributionserver\Software\Sophos\SafeGuard\SGE2SGN.cfg
Wenn die Migration erfolgreich durchgeführt wurde, kann SafeGuard Enterprise auf dem
Computer benutzt werden.
Schlägt die Migration fehl, kann SafeGuard Easy/Sophos SafeGuard Disk Encryption immer noch
auf dem Computer benutzt werden. In diesem Fall wird SafeGuard Enterprise automatisch
entfernt.
18.6 Migrierte Endpoint-Computer konfigurieren
Die Endpoint-Computer werden initial über Konfigurationspakete konfiguriert. Diese Pakete
definieren unter anderem, ob es sich bei dem Computer um einen Standalone Client oder einen
zentral verwalteten Client handelt und aktivieren die Power-on Authentication.
Während der Migration sollte daher zuerst SGNClient.msi installiert werden. Erst wenn die POA
aktiviert wurde und der Benutzer sich erfolgreich an Windows angemeldet hat, sollte die
Konfiguration des Endpoint-Computers erfolgen.
1. Erstellen Sie das erste Konfigurationspaket im SafeGuard Management Center über Extras >
Konfigurationspakete mit den entsprechenden Richtlinien-Einstellungen.
2. Installieren Sie das Konfigurationspaket auf den Endpoint-Computern.
Hinweis: Die mit dem ersten SafeGuard Enterprise Konfigurationspaket übertragenen
Richtlinien müssen der früheren Konfiguration des SafeGuard Easy/Sophos SafeGuard Disk
Encryption Computers entsprechen.
129
SafeGuard® Enterprise 5.50, Installation
18.7 Nach der Migration
Nach erfolgreicher Migration steht Ihnen in SafeGuard Enterprise nach der Anmeldung an der
Power-on Authentication folgendes zur Verfügung:

die Schlüssel und Algorithmen der verschlüsselten Festplatten

die Schlüssel und Algorithmen für verschlüsselte Wechselmedien (nur bei Migration von
SafeGuard Easy).
Verschlüsselte Volumes bleiben verschlüsselt und die Verschlüsselungschlüssel werden
automatisch in ein SafeGuard Enterprise kompatibles Format konvertiert.
Achtung: Um in der Lage zu sein, die Festplatte zu entschlüsseln und Schlüssel für die
Festplattenverschlüsselung hinzuzufügen und zu entfernen, muss der Benutzer zunächst den
Computer neu starten.
Die Richtlinien müssen je nach Anforderung im SafeGuard Management Center zurückgesetzt
werden, damit sie der vorigenKonfiguration des SafeGuard Easy/Sophos SafeGuard Disk
Encryption Endpoint-Computers entsprechen.
Wechselmedienmigration
Hinweis: Wechselmedienmigration ist für Sophos SafeGuard Disk Encryption nicht verfügbar.
Verschlüsselte Wechselmedien bleiben ebenfalls verschlüsselt, müssen aber in ein SafeGuard
Enterprise kompatibles Schlüsselformat umgewandelt werden.
Note: Dehalb kann ein verschlüsseltes Wechselmedium nach der Konvertieurng nur mit
SafeGuard Enterprise gelesen werden und nur an dem Endpoint-Compute, an dem es während
der Migration konvertiert wurde!
Um verschlüsselte Wechselmedien zu entschlüsseln oder Schlüssel für die Verschlüsselung von
Wechselmedien hinzuzufügen oder zu entfernen, muss der Benutzer das Wechselmedium
zunächst vom Computer entfernen und danach wieder anstecken.
Wenn der Benutzer nach der Migration auf Wechselmedien zugreift, muss er aktiv die
Umwandlung der Verschlüsselungsschlüssel in ein SafeGuard Enterprise kompatibles Format
bestätigen. Vor der Konvertierung muss auf dem Endpoint-Computer die entsprechende
Richtlinie für volume-basierende Verschlüsselung vorliegen. Ansonsten findet die
Formatumwandlung nicht statt.
130
SafeGuard® Enterprise 5.50, Installation
Der Benutzer wird aufgefordert, die Umwandlung für alle Wechselmedien zu bestätigen. Eine
entsprechende Meldung wird angezeigt.

Bestätigt der Benutzer die Umwandlung, so ist der Zugriff auf die migrierten Daten in vollem
Umfang möglich.

Lehnt der Benutzer die Umwandlung ab, lassen sich die migrierten Daten noch zum Lesen und
Schreiben öffnen.
Neu hinzukommende Wechselmedien werden wie bei jedem SafeGuard Enterprise Client
verschlüsselt, wenn die entsprechende Richtlinie am Endpoint-Computer vorliegt.
131
SafeGuard® Enterprise 5.50, Installation
19 Betriebssystem aktualisieren
Wenn SafeGuard Enterprise installiert ist, ist es nur möglich, die Service Pack Version Ihres
Betriebssystems zu aktualisieren. Sie können z. B. ein neues Windows XP Service Pack
installieren. Es ist jedoch nicht möglich, von einer Betriebssystem-Serie auf eine andere zu
migrieren. Sie können z. B. nicht von Windows XP auf Windows Vista umstellen, wenn
SafeGuard Enterprise installiert ist.
132
SafeGuard® Enterprise 5.50, Installation
20 Anhang - Best Practice Szenario
Für dieses Szenario ist Europa der geeignete Standort für die SafeGuard Enterprise Datenbank.
Denn:
133

Das Active Directory ist in Europa lokalisiert und erlaubt damit eine schnelle Synchronisation.

Die zentrale Verwaltung über das SafeGuard Management Center findet in Europa statt.

Der IIS Server steht in Europa.

Und in Europa befinden sich die meisten Benutzer.
SafeGuard® Enterprise 5.50, Installation
21 Technischer Support
Technischen Support zu Sophos Produkten können Sie wie folgt abrufen:

Rufen Sie das SophosTalk-Forum unter http://community.sophos.com auf und suchen Sie
nach Benutzern mit dem gleichen Problem.

Durchsuchen Sie die Sophos Support-Knowledgebase unter http://www.sophos.de/support/.

Laden Sie Dokumentation zu den Produkten unter http://www.sophos.de/support/docs/
herunter.

Senden Sie eine E-Mail an den technischen Support support@sophos.de und geben Sie die
Versionsnummer(n), Betriebssystem(e) und Patch Level Ihrer Sophos Software sowie ggf. den
genauen Wortlaut von Fehlermeldungen an.
134
SafeGuard® Enterprise 5.50, Installation
22 Copyright
Copyright © 1996 - 2010 Sophos Group und Utimaco Safeware AG. Alle Rechte vorbehalten.
Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch
gespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie
verfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung
mit dem Lizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftliche
Genehmigung des Urheberrechtsinhabers.
Sophos ist ein eingetragenes Warenzeichen von Sophos Plc und der Sophos Group. SafeGuard ist
ein eingetragenes Warenzeichen von Utimaco Safeware AG - a member of the Sophos Group. Alle
anderen erwähnten Produkt- und Unternehmensnamen sind Warenzeichen oder eingetragene
Warenzeichen der jeweiligen Inhaber.
Alle SafeGuard Produkte unterliegen dem Urheberrecht der Utimaco Safeware AG - a member of
the Sophos Group, oder, sofern anwendbar, ihrer Lizenzinhaber. Alle weiteren Sophos Produkte
unterliegen dem Urheberrecht der Sophos Plc oder, sofern anwendbar, ihrer Lizenzinhaber.
Copyright-Informationen von Drittanbietern finden Sie in der Datei Disclaimer and Copyright for
3rd Party Software.rtf in Ihrem Produktverzeichnis.
135