SafeGuard PortProtector Installationshandbuch

Transcription

SafeGuard PortProtector 3.30 SP6
Installationshandbuch
Stand: März 2010
SafeGuard® PortProtector 3.30, Installationshandbuch
Wichtiger Hinweis
Dieses Installationshandbuch wird vorbehaltlich folgender Bedingungen und Einschränkungen
ausgeliefert:

Dieses Handbuch enthält Eigentumsinformationen, die Eigentum von Sophos sind. Diese
Informationen werden ausschließlich zum Zweck der Unterstützung ausdrücklich und
ordnungsgemäß befugter Benutzer von SafeGuard PortProtector ausgegeben.

Kein Teil seines Inhalts darf ohne vorherige schriftliche Genehmigung von Sophos für einen
anderen Zweck verwendet, anderen Person oder Unternehmen offenbart oder in
irgendeiner Weise, elektronisch oder mechanisch, reproduziert werden.

Text und Grafik dienen ausschließlich der bildhaften Darstellung und Referenz.
Änderungen der Angaben, auf welchen sie basieren, bleiben vorbehalten.

Die in diesem Handbuch beschriebene Software wird unter Lizenz zur Verfügung gestellt.
Die Software darf nur in Übereinstimmung mit den Bedingungen dieser Vereinbarung
verwendet oder kopiert werden.

Änderungen der in diesem Handbuch enthaltenen Informationen bleiben vorbehalten.
Sofern nichts anderes erwähnt wird, sind die in diesem Dokument verwendeten Namen und
Daten von Unternehmen und Einzelpersonen frei erfunden.

Alle Informationen in diesem Dokument sind nach bestem Wissen und Gewissen gegeben,
jedoch ohne jegliche Gewähr auf Genauigkeit, Vollständigkeit oder Sonstiges, und mit dem
ausdrücklichen Verständnis, dass Sophos. keinerlei Verpflichtungen gegenüber Dritten in
irgendeiner Form hat, die aus den Informationen oder im Zusammenhang mit den
Informationen oder deren Nutzung entstehen.
 Sophos SafeGuard PortProtector und Sophos SafeGuard PortAuditor sind OEM-Versionen
der Safend-Produkte Safend Protector and Safend Auditor. Einige Screenshots in diesem
Handbuch weisen daher das Safend-Branding auf, haben jedoch die gleiche Bedeutung und
Funktionsweise wie in der SafeGuard OEM-Version.
Boston, USA | Oxford, UK
© Copyright 2010. Sophos. Alle Rechte vorbehalten. All trademarks are the property of their
respective owners.
Namen anderer Unternehmens- und Markenprodukte und Dienstleistungen sind Marken oder
eingetragene Marken ihrer jeweiligen Eigentümer.
2
Über dieses Handbuch
Dieses Installationshandbuch besteht aus den folgenden Kapiteln:

Kapitel 1, Installationsworkflow, schlägt einen Workflow für die Nutzung der SafeGuard
PortProtector-Lösung zum Schutz der Endpunkte in Ihrer Organisation vor.

Kapitel 2, Vorbereitung der Installation, beschreibt die Architektur von SafeGuard
PortProtector sowie den Workflow für die Installation von SafeGuard PortProtector.
Anschließend werden die Systemanforderungen sowie Voraussetzungen für Installation und
alle Vorbereitungen beschrieben, die vor der Installation von SafeGuard PortProtector
erfolgen müssen.

Kapitel 3, Installieren von SafeGuard PortProtector Management Server, beschreibt das
Installieren, Wiederherstellen und Aufrüsten von SafeGuard PortProtector Management
Server sowie das Starten der Starten der SafeGuard PortProtector Management Console.

Kapitel 4, Installieren von SafeGuard PortProtector Management Console, beschreibt, wie die
SafeGuard PortProtector Management Console installiert wird.

Kapitel 5, Installieren von SafeGuard PortProtector Client, beschreibt die verschiedenen
Methoden für die Installation bzw. das Deployment von SafeGuard PortProtector Client.
Darüber hinaus erklärt es die Verfahren für das Deinstallieren und Aufrüsten von SafeGuard
PortProtector Client.

Anhang A - OPSEC™-Interoperabilität, beschreibt OPSEC™ von Check Point und dessen
Zusammenspiel mit SafeGuard PortProtector.

Anhang B - NAC-Interoperabilität, beschreibt NAC von Cisco und dessen Zusammenspiel
mit SafeGuard PortProtector.
3
Inhalt
1
Installationsworkflow .................................................................................................................. 5
2
Vorbereitung der Installation ..................................................................................................... 8
3
Installieren von SafeGuard PortProtector Management Server ............................................ 12
4
Installieren von SafeGuard PortProtector Management Console ......................................... 39
5
Installieren von SafeGuard PortProtector Client .................................................................... 49
6
Anhang A - OPSEC™-Interoperabilität ................................................................................... 75
7
Anhang B - NAC-Interoperabilität ........................................................................................... 88
4
1 Installationsworkflow
Über dieses Kapitel
Vor der Installation von SafeGuard PortProtector V3.3 muss der Implementierungsprozess für
die SafeGuard PortProtector-Lösung voll und ganz klar sein. Dieses Kapitel schlägt einen
Workflow für die Nutzung der SafeGuard PortProtector-Lösung zum Schutz der Endpunkte in
Ihrer Organisation vor. Es enthält die folgenden Abschnitte:

Workflow zur Implementierung von SafeGuard PortProtector beschreibt den Workflow für
die Implementierung und Nutzung von SafeGuard PortProtector.
5
1.1 Workflow zur Implementierung von SafeGuard PortProtector
Im Folgenden finden Sie eine Übersicht über den Workflow für die Implementierung und
Nutzung von SafeGuard PortProtector.
6

Schritt 1: SafeGuard PortProtector Management Server und Console installieren, siehe
Kapitel 2, Vorbereitung der Installation, und Kapitel 3,

Installieren von SafeGuard PortProtector Management Server.

Schritt 2: Weitere Management Consoles installieren, siehe Kapitel 4, Installieren von
SafeGuard PortProtector Management Console.

Schritt 3: Allgemeine SafeGuard PortProtector Administrationseinstellungen definieren, z.B.
auf welche Weise Policies veröffentlicht werden, siehe Kapitel 7, Administration, in der
SafeGuard PortProtector Benutzerhilfe.

Schritt 4: Computer scannen und Port-/Gerätenutzung erkennen. Verwenden Sie SafeGuard
PortAuditor, um die Ports zu erkennen, die in Ihrer Organisation genutzt wurden, sowie die
Geräte und WiFi-Netze, die an diesen Ports angeschlossen waren, siehe SafeGuard
PortAuditor Benutzerhilfe.

Schritt 5: SafeGuard PortProtector-Policies definieren. In diesem Schritt definieren Sie die
gesperrten, zugelassen und eingeschränkten Ports, Geräte und WiFi-Netze gemäß den
Sicherheits- und Produktivitätsanforderungen Ihrer Organisation,siehe Kapitel 3,
Definieren von Policies in der SafeGuard PortProtector Benutzerhilfe.

Schritt 6: SafeGuard PortProtector Client auf Endpunkten installieren, siehe Kapitel 5,

Installieren von SafeGuard PortProtector Client.

Schritt 7: SafeGuard PortProtector-Policies an Endpunkte verteilen: In diesem Schritt
können Sie Policies zu Benutzern und Computern zuordnen und sie direkt (via SSL) an die
Endpunkte verteilen, oder die GPO-Funktion von Active Directory oder ein beliebiges Tool
eines Drittanbieters zur Verteilung von SafeGuard PortProtector-Policies nutzen, siehe
Kapitel 4, Verteilen von Policies, in der SafeGuard PortProtector Benutzerhilfe.

Schritt 8: Endpunkte sind durch SafeGuard PortProtector-Policies geschützt: In diesem
Schritt können nur zugelassene Geräte und WiFi-Netze auf freigegebenen Ports genutzt
werden. Logs über Port-, Geräte- und WiFi-Netzwerknutzung und Nutzungsversuche sowie
Manipulationsversuche werden erstellt und an den Management Server gesendet, siehe
Kapitel 8, Endbenutzer-Erfahrung in der SafeGuard PortProtector Benutzerhilfe.

Schritt 9: Überwachungslogs und Alarme: Anzeige und Export der von den SafeGuard
PortProtector Clients generierten Logeinträge, siehe Kapitel 5, Anzeigen von Logs, im
SafeGuard PortProtector Benutzerhilfe.
7
2 Vorbereitung der Installation
Dieses Kapitel beschreibt zunächst die Architektur von SafeGuard PortProtector sowie den
Workflow für die Installation von SafeGuard PortProtector. Dann werden die
Systemanforderungen und Voraussetzungen für die Installation der verschieden Komponenten
von SafeGuard PortProtector beschreiben. Daraufhin folgen Anleitungen zur Vorbereitung des
Netzes für die Installation. Es enthält die folgenden Abschnitte:

Systemanforderungen, Seite 9, beschreibt die Systemanforderungen für die einzelnen
Komponenten von SafeGuard PortProtector.

Vorbereiten Ihres Netzes, Seite 10, beschreibt die erforderlichen Vorbereitungsarbeiten an
Ihrem Netz, damit die verschieden SafeGuard PortProtector-Komponenten reibungslos
kommunizieren können.

Tipps zur Vorbereitung der Endpunkte, Seite 11, beschreibt die erforderlichen
Vorbereitungsarbeiten an Ihren Endpunkten vor der Installation von SafeGuard
PortProtector, um die Sicherheit Ihres Netzes zu optimieren.
8
2.1 Systemanforderungen
Die Systemanforderungen für die verschiedenen Systemkomponenten sind:
Anforderungen für
Anforderungen für
SafeGuard PortProtector SafeGuard PortProtector
Client
Console
 Windows 2000
 Windows XP
Betriebssystem Professional (SP3-4)
Professional (SP1-2)
 Windows 2000 Server
(SP3-4)
(SP0-2)
 Windows 2000
Advanced Server (SP34)
 Windows XP
Professional (SP0-2)
(SP0-2)
 Windows Vista
Hardware



Software
Pentium 800 MHz
256 MB RAM
50 MB freie
Festplattenkapazität




Anforderungen für
SafeGuard PortProtector
Server
 Windows XP
Professional (SP2)
(SP0-2)
Pentium 800 MHz
256 MB RAM
50 MB freie
Festplattenkapazität
Die Anforderungen für die
Server-Hardware hängen
von der Anzahl der
installierten SafeGuard
PortProtector Clients ab.
Um für Ihre Organisation
geeignete Spezifikationen
zu erhalten, wenden Sie
sich bitte an Ihren
örtlichen Sophos-Vertreter
oder den Support bei
[email protected].
Microsoft .NET
Framework 2.0


Microsoft .NET
Framework 2.0
Microsoft Internet
Information Services
(IIS)
9
2.2 Vorbereiten Ihres Netzes
Aktivieren Sie vor der Installation des Systems unbedingt die folgenden Kommunikationen in
Ihrem Netz und den persönlichen Firewalls.
So bereiten Sie Ihr Netz vor:
1
Damit die Kommunikation zwischen dem SafeGuard PortProtector Management Server
und den SafeGuard PortProtector Clients frei vonstatten geht, vergewissern Sie sich, dass
der SSL-Ports in der Firewall Ihres Netzes geöffnet ist. Normalerweise benutzt Sophos dafür
den Port 443 (SSL-Standard). Falls Sie einen anderen Port gewählt haben, stellen Sie sicher,
dass er in Ihrer Firewall freigegeben ist.
2
Damit die SafeGuard PortProtector Management Console die Clients kontrollieren kann
(und Befehle zum Senden ihrer Logs bzw. Aktualisieren ihrer Policy senden kann), müssen
WMI-Ports auf der persönlichen Firewall der einzelnen Endpunkte geöffnet sein. WMI
nutzt Port 135 und eine Reihe zufällig gewählter Ports.
2.2.1 Öffnen von WMI-Ports auf der Windows XP / (SP2) Firewall
Wenn Sie die Windows XP / (SP2) Firewall als persönliche Firewall auf den Endpunkten
einsetzen, können Sie den GPO-Mechanismus nutzen, um die Endpunkte so zu konfigurieren,
dass sie ankommende WMI-Kommunikation annehmen. Der folgende Abschnitt ist aus der
Microsoft-Dokumentation entnommen.
"Ohne konfigurierte Ausnahmen trennt die Windows Firewall den gesamten Verkehr für Server,
- Peer- oder Listener-Applikationen und -Dienste. Es ist deshalb wahrscheinlich, dass Sie
Ausnahmen in der Windows Firewall konfigurieren möchten, um so sicherzustellen, dass die
Windows Firewall für Ihr Umfeld in geeigneter Weise funktioniert. Die Windows FirewallEinstellungen stehen nur zur Computer-Konfiguration zur Verfügung.
Sie befinden sich unter Computerkonfiguration\Administrative
Vorlagen\Netzwerk\Netzwerkverbindungen\Windows Firewall.
Für zwei Profile stehen identische Sätze von Richtlineneinstellungen zur Verfügung:

Domänenprofil. Dieses Profil wird genutzt, wenn Computer an ein Netz angeschlossen sind,
das die Active Directory-Domäne Ihrer Organisation enthält.

Standardprofil. Dieses Profil wird genutzt, wenn Computer nicht an ein Netz angeschlossen
sind, das die Active Directory-Domäne Ihrer Organisation enthält, wie es bei Heim-Netzen
oder dem Internet der Fall ist.
Die relevante Policy-Einstellung für WMI ist:
Windows Firewall: Zulassen der Remoteverwaltung
10
Lässt die Remoteverwaltung dieses Computers über die Administrationswerkzeuge wie z.B.
Microsoft Management Console (MMC) und Windows Management Instrumentation (WMI)
zu. Dazu öffnet die Windows Firewall: die TCP-Ports 135 und 445. Dienste verwenden diese
Ports normalerweise zur Kommunikation über RPC und DCOM.
Die Voreinstellung ist 'Nicht konfiguriert'."
2.3 Tipps zur Vorbereitung der Endpunkte
Durch das Booten über ein externes Bootdevice (Diskette, CD etc.) werden
Sicherheitsprogramme umgangen. Es gibt jedoch ein paar Möglichkeiten, dieses Szenario
entweder zu verhindern oder es unmöglich zu machen, die Daten außerhalb des durch Sophos
geschützten Betriebssystems zu lesen:
Ändern der Bootsequenz: Ändern Sie die Bootsequenz so, dass der Computer nicht zuerst von
Diskette, dann von CD\DVD-ROM und schließlich vom Festplattenlaufwerk bootet. Das
Festplattenlaufwerk muss immer das erste Bootdevice sein. Wenn Diskette oder CD\DVD-ROM
das erste Bootdevice sind, kann jeder ein startfähiges Medium benutzen, direkt auf das
Festplattenlaufwerk und das Administrator-Kennwort in Sekundenschnelle zurücksetzen.
Physische Versiegelung \ Chassis-Schutz: Vergewissern Sie sich, dass die Hardware versiegelt ist
und das Festplattenlaufwerk nicht einfach abgetrennt werden kann.
Einrichten eines Kennworts zum Schutz des BIOS: Dadurch wird verhindert, dass Benutzer in
das BIOS gelangen und den Bootzugriff über andere Geräte als das interne Festplattenlaufwerk
aktivieren können.
Festplattenverschlüsselung: Auf dem Markt stehen mehrere Softwarepakete zur
Festplattenverschlüsselung zur Verfügung. Mit diesen Programmen kann die gesamte Festplatte
verschlüsselt werden. Dadurch wird sichergestellt, dass die Daten nur gelesen werden können,
wenn das Betriebssystem geladen wird (das einen entschlüsselbaren Client enthält). Beim
Booten von einem externen Bootdevice werden alle Daten verschlüsselt.
SafeGuard PortProtector Client wurde mit den führenden Softwareprodukten dieser Art
getestet, einschließlich PGP Wholedisk, Sophos Safeguard Easy, WinMagic und Pointsec.
11
3 Installieren von SafeGuard PortProtector
Management Server
Dieses Kapitel beschreibt, wie SafeGuard PortProtector Management Server installiert wird. Es
enthält die folgenden Abschnitte:

Voraussetzungen, Seite 13, beschreibt die Anforderungen für die Installation des
Management Servers.

Installieren vorausgesetzter Software, Seite 13, beschreibt die Installation von Microsoft
.NET Framework und IIS.

Vor dem Installieren von SafeGuard PortProtector Management Server, Seite 15, liefert eine
Check-Liste der Punkte, die Sie vor Beginn der Installation überprüfen müssen.

Installieren von SafeGuard PortProtector Management Server, Seite 16, beschreibt die
Erstinstallation von SafeGuard PortProtector Management Server sowie das Starten der
Starten der SafeGuard PortProtector Management Console.

Wiederherstellen eines vorhandenen Management Servers, Seite 30, beschreibt die
Wiederherstellung eines vorhandenen SafeGuard PortProtector Management Servers im
Fall einer Hardwareaufrüstung oder einer Störung.

Aufrüsten des Management Servers, Seite 35, erklärt die Aufrüstung von SafeGuard
PortProtector von Version 3.2 auf Version 3.3.

Einstellungen nach der Installation (Check-Liste) Seite 36, listet eine Reihe kritischer
Einstellungen auf, die nach der Installation zu definieren sind.

Deinstallieren von SafeGuard PortProtector Management Server, Seite 37, erklärt, wie
SafeGuard PortProtector Management Server deinstalliert wird.

Ändern der Datenbank, Seite 38, erklärt, wie von einer integrierten SafeGuard
PortProtector-Datenbank auf eine externe MS SQL-Datenbank (und umgekehrt)
umgeschaltet wird.
12
3.1 Voraussetzungen
3.1.1 Betriebssystem

Windows XP Professional (SP0-2)

Windows 2003 Server (SP0-2)
3.1.2 Hardware
Die Anforderungen für die Server-Hardware hängen von der Anzahl der installierten SafeGuard
PortProtector Clients ab. Um für Ihre Organisation geeignete Spezifikationen zu erhalten,
wenden Sie sich bitte an Ihren örtlichen Sophos-Vertreter oder den Support bei
[email protected].
Software

Microsoft .NET Framework 2.0 ist installiert

Microsoft Internet Information Services (IIS)
3.2 Installieren vorausgesetzter Software
3.2.1 Installieren von Microsoft .NET Framework 2.0
So installieren Sie .NET Framework
Microsoft .NET Framework 2.0 ist standardmäßig in Windows 2003 integriert und kann
kostenlos für Windows XP von der Microsoft-Website heruntergeladen werden.
Link zum .NET Framework 2.0 Installationspaket:
http://www.microsoft.com/downloads/details.aspx?FamilyID=0856eacb-4362-4b0d-8eddaab15c5e04f5&DisplayLang=en
13
Ins tallieren von Mic ros oft IIS
So installieren Sie Microsoft IIS:
1
Doppelklicken Sie in der Systemsteuerung auf Ihrem Computer auf Software. Das Fenster
Software wird angezeigt.
2
Klicken Sie auf Windows-Komponenten hinzufügen oder entfernen. Das Fenster für den
Assistenten der Windows-Komponenten wird angezeigt.
3
Wenn Sie die Anwendung auf einem Computer mit Windows 2003 installieren, markieren
Sie das Kontrollkästchen Applikationsserver. Wenn Sie IIS auf einem Computer mit
Windows XP installieren, markieren Sie das Kontrollkästchen Internet Information
Services, wie unten gezeigt:
4
Klicken Sie auf Weiter.
5
Das Fenster Disk einlegen wird angezeigt, in dem nach der Disk oder dem Speicherort mit
den relevanten Microsoft Windows-Installationskomponenten gefragt wird:
6
Legen Sie die Disk ein, und klicken Sie auf OK. Die Installation kann ein paar Augenblicke
dauern.
7
Wenn der Assistent Sie über den Abschluss der Installation benachrichtigt (wie in der
folgenden Abbildung gezeigt), klicken Sie auf Fertig stellen, um den Assistenten zu
schließen. IIS ist jetzt installiert.
14
3.3 Vor dem Installieren von SafeGuard PortProtector Management
Server
1
Überprüfen Sie, dass alle Systemanforderungen und Voraussetzungen erfüllt sind.
2
Vergewissern Sie sich, dass der SafeGuard PortProtector Server-Computer zu derselben
Domäne gehört, in der Sie SafeGuard PortProtector-Policies einsetzen möchten.
3
Vergewissern Sie sich, dass keine MySQL DB auf dem SafeGuard PortProtector
Management Server-Computer installiert ist.
15
3.4 Installieren von SafeGuard PortProtector Management Server
So installieren Sie SafeGuard PortProtector Management Server:
auf Ihrer Installations-CD.
1
Suchen Sie
2
Doppelklicken Sie auf die Datei. Das Fenster SafeGuard PortProtector Server-Installation
wird angezeigt:
3
Klicken Sie auf Durchsuchen, um einen Zielordner für die extrahierten Installationsdateien
auszuwählen.
Hinweis: Stellen Sie sicher, dass die Dateien in einen lokalen Ordner extrahiert werden. Die
Installation kann nicht von einem Netzwerkpfad ausgeführt werden.
4
Klicken Sie auf Installieren.
5
Nach der Extraktion werden Sie aufgefordert, die Sprache für SafeGuard PortProtector
Server zu wählen (siehe unten):
6
Wählen Sie die gewünschte Sprache, und klicken Sie auf OK. Der erste Schritt des
Installationsassistenten wird angezeigt:
16
7
Klicken Sie auf Weiter, und lesen Sie die Endbenutzer-Lizenzvereinbarung. Nachdem Sie sie
akzeptiert haben, klicken Sie wieder auf Weiter. Der Schritt Installationsmodus wird
angezeigt:
17
Wählen Sie eine der folgenden Optionen:

Aktivieren Sie bei einer neuen Installation die Optionsschaltfläche Neu, und fahren Sie mit
Schritt 9 fort.

Anleitungen zur Option Wiederherstellen finden Sie in Wiederherstellen eines vorhandenen
Management Servers auf Seite 30).

Um einen Serverzusammenschluss zu benutzen, aktivieren Sie die Optionsschaltfläche
Cluster nutzen.
Ein Server-Cluster ermöglicht die Installation mehrerer SafeGuard PortProtector Management
Server, die mit einer einzigen, externen Datenbank verbunden sind, so dass sie nahtlos die
Verkehrslast von den Endpunkten teilen und auch Redundanz sowie hohe Verfügbarkeit
bieten.
Das folgende Fenster wird angezeigt:
Wählen Sie die externe Datenbank, zu der die Verbindung hergestellt werden soll.
Fahren Sie mit Schritt 12 fort.
18
8
Klicken Sie auf Weiter. Das Fenster Datenbank wird angezeigt:
SafeGuard PortProtector kann seine eigene interne Datenbank zur Speicherung der
Konfiguration und der Daten erzeugen. Alternativ können Sie auch eine vorhandene, externe
Datenbank nutzen.
Hinweis: SafeGuard PortProtector unterstützt MS SQL 2000 und höher.
9
Wählen Sie im Fenster Datenbank die entsprechende Optionsschaltfläche. Wählen Sie die
erste Optionsschaltfläche, wenn Sie eine Datenbank nutzen möchten, die sich auf
demselben Computer wie der Management Server befindet (die Datenbank wird von
SafeGuard PortProtector Management Server verwaltet). Wählen Sie die zweite Option,
wenn Sie über eine MS SQL-Datenbank auf einem anderen Computer verfügen und sie
diese als SafeGuard PortProtector-Datenbank nutzen möchten.
Hinweis: Wenn Sie die Verwendung einer vorhandenen, externen Datenbank wählen, muss
diese Datenbank bereits installiert sein.
10 Klicken Sie auf Weiter. Wenn Sie eine integrierte Datenbank verwenden möchten, fahren
Sie mit Schritt 15 fort.
11 Wenn Sie die Verwendung eines vorhandenen Datenbankservers oder eines Clusters
gewählt haben, wird das folgende Fenster angezeigt:
19
12 Führen Sie im Fenster Datenbankberechtigungen folgende Schritte aus:
a.
Geben Sie im Feld Datenbankserver den Namen des Datenbankservers ein
(verwenden Sie bei einer nicht standardmäßigen Instanz das Format
Server\Instanz).
b.
Klicken Sie unter Datenbankauthentifizierungsmodus auf die entsprechende
Optionsschaltfläche, um die Nutzung von MS SQL Sicherheit oder Microsoft
Windows Sicherheit festzulegen.
c.
Geben Sie Ihre Datenbankberechtigungen ein - Benutzername und Kennwort Wenn
Sie Microsoft Windows Sicherheit gewählt haben, müssen Sie auch den Namen der
Domäne eingeben.
13 Klicken Sie auf Weiter. Das Installationsprogramm validiert den Zugriff auf die Datenbank.
Hinweis: Wenn die Gültigkeitsprüfung fehlschlägt, geben Sie die richtigen Daten ein, oder
klicken Sie auf Abbrechen, um den Installationsassistenten abzubrechen.
20
Hinweis: Wenn bereits eine gültige SafeGuard PortProtector-Datenbank auf
diesem Datenbankserver existiert, wird folgendes Fenster angezeigt:
Klicken Sie in diesem Fenster auf Ja, um die vorhandene Datenbank zu
überschreiben. Wenn Sie die vorhandene Datenbank benutzen möchten, klicken
Sie auf Nein und fahren mit Wiederherstellen eines vorhandenen Management
Servers auf Seite 30 fort.
14 Der Schritt Zielordner wird angezeigt:
21
15 Klicken Sie auf Weiter, um den Standard-Installationsordner auszuwählen:
C:\Programme\Sophos\SafeGuard PortProtector, oder klicken Sie auf Ändern, um einen
anderen Installationsordner zu wählen. Klicken Sie dann auf Weiter. Das Fenster
Domänenberechtigungen wird angezeigt:
16 Geben Sie im Fenster Domänenberechtigungen die Anwenderberechtigungen der Domäne
ein: SafeGuard PortProtector Management Server benötigt ein Domänenkonto aus Ihrem
Active Directory, um Tasks wie das Erstellen von GPOs auszuführen und Clients via WMI
zu steuern. Wir empfehlen, ein Konto mit Domänenadministratorrechten einzugeben (Sie
können diesen Benutzer nach der Installation ändern).
22
17 Klicken Sie auf Weiter.
Der Zugriff auf die Management Console seitens der Benutzer ist aus Sicherheitsgründen
beschränkt. SafeGuard PortProtector braucht keine eigenen Benutzer und keine ComputerDatenbank. Stattdessen werden die Berechtigungen gegen Active Directory bzw. lokale
Benutzerkonten auf dem Management Server-Computer geprüft. Nach der Installation ist
der Zugriff auf die Management Console auf Benutzer beschränkt, die lokale
Administratorrechte auf dem Computer mit dem Server haben (siehe unten):
18 Klicken Sie auf Weiter. Das Fenster Kommunikationsport wird angezeigt.
SafeGuard PortProtector Management Server kommuniziert mit den SafeGuard
PortProtector Management Consoles und Clients über SSL-Ports. Die Definition
der Ports ist unter Windows XP und Windows 2003 unterschiedlich.
23
Windows XP
Der Management Server nutzt den SSL-Standardport, der durch die Website des
Hostcomputers für die Kommunikation mit SafeGuard PortProtector Clients
und mit der Management Console definiert ist.
Hinweis: Wenn keine Website auf dem Hostcomputer gefunden wird, wird das
gleiche Fenster angezeigt, in dem das Textfeld für den Kommunikationsport
(SSL) bearbeitet werden kann. Wenn Sie nicht den Standardport 443 verwenden,
ändern Sie ihn nach Bedarf.
24
Windows 2003
In Windows 2003 nutzt SafeGuard PortProtector zwei unterschiedliche Ports zur
Kommunikation mit SafeGuard PortProtector Clients und mit dem Management
Server.
Die Standardports sind 443 für die Client-Kommunikation und 4443 für die
Kommunikation mit der Management Console. Sie können diese Standardports
bei Bedarf ändern.
19 Damit SSL funktioniert, ist ein Zertifikat zur Authentifizierung des Management Servers
erforderlich. Dieses Zertifikat wird auch zur Verschlüsselung der auf dem
Kommunikationsport gesendeten Daten verwendet. Wenn der Computer, auf dm der
Server läuft, bereits über eine aktive Website verfügt, die die Aktivierung des SSL-Ports
zulässt, nutzt das Programm das vorhandene Zertifikat. Wenn kein Zertifikat existiert,
erstellt das Programm ein neues Zertifikat und benachrichtigt Sie entsprechend.
Hinweis: Ein auf diese Weise generiertes Zertifikat ist nicht von einer gültigen
Zertifizierungsstelle (CA, Certificate Authority) signiert. Auch wenn dies das allgemeine Maß an
Sicherheit des Systems nicht beeinflusst, kann die Verwendung dieses Zertifikats doch zur
Anzeige von Sicherheitsalarmen in Internet Explorer führen.
25
Um diese Alarme zu vermeiden, müssen Sie das Zertifikat durch ein signiertes Zertifikat
ersetzen, das Sie von einer vertrauten Zertifizierungsstelle erhalten.
20 Klicken Sie auf OK, um die Installation fortzusetzen.
21 Klicken Sie auf Weiter.
Im folgenden Fenster werden Sie aufgefordert, ein Backup der Verschlüsselungsschlüssel zu
erstellen, die von SafeGuard PortProtector generiert wurden.
Um die Sicherheit des Systems zu erhöhen, werden während der Installation
Verschlüsselungsschlüssel generiert. Diese Schlüssel sind für Ihre Organisation einmalig
und erhöhen den Manipulationswiderstand Ihres Systems. Die Schlüssel werden zur
Verschlüsselung von Policies und Logs sowie zur gegenseitigen Authentifizierung zwischen
dem Server und den Endpunkten benutzt.
Die Verwendung dieser eindeutigen Schlüssel liegt z.B. darin, dass die Endpunkte bei der
Installation mit dem eindeutigen Organisationsschlüssel initialisiert werden müssen. Ab
diesem Zeitpunkt wird ein Endpunkt jede Information (d.h. Policy), die nicht mit den
Schlüsseln übereinstimmt, als Versuch werten, seinen Schutz zu umgehen.
Aus diesem Grund wird dringend empfohlen, die Schlüssel zu sichern und auf einem anderen
Computer/Standort zu speichern, um im Fall einer Serverstörung eine reibungslose
Wiederherstellung zu gewährleisten, ohne die Clients wieder auf den Endpunkten installieren zu
müssen.
26
Zur Erstellung eines Backups Ihrer Verschlüsselungsschlüssel müssen Sie ein Kennwort zum
Schutz der Schlüssel festlegen:
Wenn Sie während der Installation kein Backup der Verschlüsselungsschlüssel erstellen
möchten, markieren Sie das Kontrollkästchen Jetzt kein Backup der Verschlüsselungsschlüssel
erstellen, und klicken Sie auf Weiter.
Zur Erstellung eines Backups Ihrer Verschlüsselungsschlüssel geben Sie ein Kennwort ein,
bestätigen es, und klicken auf Weiter.
Hinweis: Das Kennwort muss mindestens 5 Zeichen lang sein und sollte mindestens einen
Buchstaben und eine Ziffer enthalten.
27
Das Fenster Übersicht wird angezeigt:
22 Bestätigen Sie die Installationsübersicht, und klicken Sie auf Installieren, um die ServerInstallation auszuführen. Die Installation beginnt, und das Fenster Installationsverlauf wird
angezeigt:
28
23 Sobald die Installation abgeschlossen ist, wird folgendes Fenster angezeigt:
24 Der SafeGuard PortProtector Management Server wurde installiert. Markieren Sie das
Kontrollkästchen unten im Fenster, wenn Sie die SafeGuard PortProtector Management
Console starten möchten, und klicken Sie auf Fertig stellen.
Hinweis: Das Installationsprogramm installiert auch die SafeGuard PortProtector Management
Console.
25 Wenn Sie gewählt haben, die SafeGuard PortProtector Management Console zu starten,
wird das Fenster Anmelden angezeigt:
29
Geben Sie Ihren Benutzernamen, Ihr Kennwort und Ihre Domäne ein, und klicken Sie auf
Anmelden. Die Anwendung wird geöffnet und das Hauptfenster wird angezeigt.
26 Nehmen Sie sich die Zeit, die vorläufigen Einstellungen im Administration und Allgemeine
Policy-Einstellungen zu definieren. Unter Einstellungen nach der Installation (Check-Liste)
auf Seite 36 finden Sie eine Liste der Einstellungen, die Sie möglicherweise überprüfen und
ändern möchten.
3.5 Wiederherstellen eines vorhandenen Management Servers
In einigen Fällen müssen Sie SafeGuard PortProtector Management Server installieren und
dabei die eindeutigen Verschlüsselungsschlüssel Ihres Systems beibehalten, um mit Ihren
vorhandenen SafeGuard PortProtector Clients zu arbeiten. Das kann vorkommen, wenn Sie den
Server von einem Computer mit gieriger CPU-Leistung auf einen leistungsfähigeren Computer
migrieren möchten, oder nach einer Hardwarestörung.
Um einen vorhandenen Management Server wiederherzustellen, müssen Sie die Backupdatei
der Verschlüsselungsschlüssel und das zu deren Schutz festgelegte Kennwort angeben.
So stellen Sie einen vorhandenen Management Server wieder her:
1
Führen Sie die in Installieren von SafeGuard PortProtector Management Server auf Seite 16
beschriebenen Schritte bis Schritt 7 aus.
2
An dieser Stelle werden Sie aufgefordert, den Installationsmodus auszuwählen (siehe unten):
30
3
Aktivieren Sie die Optionsschaltfläche Wiederherstellen. Das folgende Fenster wird
angezeigt:
4
Aktivieren Sie im Fenster Wiederherstellen die entsprechende Optionsschaltfläche, je
nachdem, ob Sie die SafeGuard PortProtector-Backupdateien nutzen oder eine Verbindung
zu einer vorhandenen, externen SafeGuard PortProtector MS SQL-Datenbank herstellen
möchten. Wenn Sie die zweite Option, Verbindung zu vorhandener SafeGuard
PortProtector MS SQL-Datenbank herstellen, wählen, fahren Sie mit Schritt 8 fort.
31
5
Klicken Sie auf Weiter. Das Fenster Backupdateien wird angezeigt:
6
Geben Sie den Pfad zur Schlüssel-Backupdatei und das Kennwort für die Datei ein.
Wenn Sie die Konfiguration Ihrer früheren Installation (Policies, Abfragen etc.) gesichert
haben, können Sie auch die Konfiguration wiederherstellen. Markieren Sie dazu das
Kontrollkästchen und wählen Sie den Pfad zur Konfigurationsbackupdatei.
Hinweis: Informationen zum Wiederherstellen von Logs finden Sie in Wiederherstellen von Logs
auf Seite 34.
7
32
Fahren Sie mit Schritt 11 fort.
8
Wenn Sie die Verwendung eines vorhandenen Datenbankservers gewählt haben, wird das
folgende Fenster angezeigt:
9
Führen Sie im Fenster Datenbankberechtigungen folgende Schritte aus:
a.
Geben Sie im Feld Datenbankserver den Namen des Datenbankservers ein
(verwenden Sie bei einer nicht standardmäßigen Instanz das Format
Server\Instanz).
b.
Klicken Sie unter Datenbankauthentifizierungsmodus auf die entsprechende
Optionsschaltfläche, um die Nutzung von MS SQL Sicherheit oder Microsoft
Windows Sicherheit festzulegen.
c.
Geben Sie Ihre Datenbankberechtigungen ein - Benutzername und Kennwort Wenn
Sie Microsoft Windows Sicherheit gewählt haben, müssen Sie auch den Namen der
Domäne eingeben.
10 Klicken Sie auf Weiter. Das Installationsprogramm validiert den Zugriff auf die Datenbank.
Hinweis: Wenn die Gültigkeitsprüfung fehlschlägt, geben Sie die richtigen Daten ein, oder
klicken Sie auf Abbrechen, um den Installationsassistenten abzubrechen.
11 Folgen Sie den Anweisungen der Schritte 15-27 in Installieren von SafeGuard PortProtector
Management Server.
33
3.5.1 Wiederherstellen von Logs
Es ist u.U. notwendig, Logs der Version 3.2 wiederherzustellen, die Sie zuvor gesichert haben.
Dies kann in folgenden Fälle vorkommen:

Sie möchten Ihren Management Server-Computer mit Version 3.2 aufrüsten oder
austauschen

Upgrade von Version 3.2 auf eine höhere Version schlägt fehl und stellt Version 3.2 ohne
Logs wieder her.
Hinweis: Mit diesem Utility werden nur Logs aus einer bzw. in eine integrierte SafeGuard
PortProtector-Datenbank wiederhergestellt, da das Backup und die Wiederherstellung von Logs
in einer externen Datenbank durch Ihren DBA erfolgt.
Die Wiederherstellung der Logs wird mit Hilfe des Log Restore Utility. Bei Ausführung dieses
Hilfsprogramms werden die vorhandenen Logtabellen gelöscht, und das Logschema wird aus
der Backupdatei exakt wiederhergestellt. Logansichten werden automatisch beim Start des
Management Servers erstellt.
So zeigen Sie die Version des Log Restore Tools an (optional):
1
Suchen Sie RestoreTool.exe in Ihrem SafeGuard PortProtector Management ServerInstallationsordner im Ordner "bin" (wenn Sie in den standardmäßigen Zielordner
installiert haben, ist der Pfad: \Programme\Sophos\SafeGuard PortProtector\Management
Server\Bin)
2
Führen Sie RestoreTool.exe mit folgender Syntax aus:
RestoreTool version
Der Befehl gibt die Version von RestoreTool.exe zurück.
So stellen Sie Logs wieder her:
1
Stoppen Sie den Management Server.
2
Suchen Sie RestoreTool.exe in Ihrem SafeGuard PortProtector Management ServerInstallationsordner im Ordner "bin" (wenn Sie in den standardmäßigen Zielordner
installiert haben, ist der Pfad: \Programme\Sophos\SafeGuard
PortProtector\Management Server\Bin)
3
Führen Sie RestoreTool.exe mit folgender Syntax aus:
RestoreTool restore -backupDatei [-silent ] [-verbose ]
-backupDatei
gibt den kompletten Pfad der wiederherzustellenden Backupdatei (SLB) an
-silent
Keine Bestätigung durch Benutzer anfordern
-verbose
Ausführliche Operation
34
Das Programm informiert Sie, falls bei der Wiederherstellung Fehler auftreten.
Wenn keine Fehler vorliegen, werden Ihre Logdaten und die Logstruktur wiederhergestellt.
4
Starten Sie den Management Server.
3.6 Upgrade des Management Servers
Dieser Abschnitt beschreibt die Vorgänge und Überlegungen beim Upgrade Ihres System von
Version 3.2 auf Version 3.3.
Hinweis: Das in diesem Kapitel beschriebene Verfahren gilt für die Aufrüstung von SafeGuard
PortProtector von Version 3.1 und 3.2 auf Version 3.3. Wenn Sie über eine ältere Version
verfügen und auf Version 3.3 aufrüsten möchten, wenden Sie sich bitte an
[email protected].
3.6.1 Workflow
Wenn Sie von einer früheren Version von SafeGuard PortProtector aufrüsten, können Sie die
Policies und Verschlüsselungsschlüssel der vorherigen Version verwenden und auch weiter mit
den vorherigen Logs arbeiten.
So führen Sie einenUpgrade von v3.2 auf v3.3 durch
1
Erstellen Sie ein Backup Ihrer v3.2-Schlüssel, Konfiguration (Verschlüsselungsschlüssel,
Policies etc.) und Logs, wie in Kapitel 7, Administration in der SafeGuard PortProtector
Benutzerhilfe beschrieben (vergewissern Sie sich vor der Erstellung des Backups, dass Sie
über ausreichend Plattenkapazität verfügen).
Wichtig: Falls das Upgrade aus irgendeinem Grund fehlschlägt, wird die vorherige Version
wiederhergestellt, jedoch gehen Ihre Logs u. U. verloren. Wenn das passiert, wenden Sie sich an
[email protected], um diese Logs aus den gesicherten Logs wiederherzustellen.
2
Installieren Sie SafeGuard PortProtector Management Server, siehe Vorbereitung der
Installation und Kapitel 3,
3
Installieren von SafeGuard PortProtector Management Server. Ihr Management Server wird
aufgerüstet, wobei Ihre vorhandene Konfiguration (Policies, Abfragen) und Logs erhalten
bleiben.
4
Entfernen Sie SafeGuard PortProtector Management Console und alle Remote Consoles,
siehe Deinstallieren von SafeGuard PortProtector Management Console auf Seite 77, und
installieren Sie SafeGuard PortProtector Management Console v3.3 neu, siehe Installieren
von SafeGuard PortProtector Management Console auf Seite 70.
Wichtig: Um die SafeGuard PortProtector Management Console aufzurüsten, müssen Sie die
vorherige Version der Console deinstallieren (entfernen) und dann SafeGuard PortProtector
Management Console v3.3 installieren.
Wichtig: Protector-Datenbank verwendet, und Ihre vorherigen Logs bleiben erhalten. Wenn Sie
nach dem Upgrade eine externe Datenbank nutzen möchten, können Sie mit Hilfe der
Wiederherstellungsoption zu einer externen Datenbank wechseln. Dabei gehen aber Ihre
vorherigen Logs verloren.
35
5
Installieren Sie SafeGuard PortProtector Clients. Installieren von SafeGuard PortProtector
Client auf Seite 49
3.7 Einstellungen nach der Installation (Check-Liste)
Das SafeGuard PortProtector Management Server-Installationspaket definiert
Standardeinstellungen für das Systemverhalten, die Sie unter Administration und Allgemeine
Policy-Einstellungen finden (beide können Sie über das Menü Extras in der SafeGuard
PortProtector Management Console erreichen).
Sobald Sie die Installation von SafeGuard PortProtector Management Server abgeschlossen und
die Management Console geöffnet haben, können Sie diese Fenster öffnen und die Parameter
Ihrer Umgebung entsprechend abändern.
3.7.1.1 Check-Liste für die kritischsten Einstellungen im Fenster
Administration:
1
Policy-Veröffentlichungsmethode – Wählen Sie das Format und das Ziel für die
Veröffentlichung von Policies.
2
Backup der Verschlüsselungsschlüssel – Wenn Sie während der Installation kein Backup
der Verschlüsselungsschlüssel erstellt haben.
3
Client-Installationsordner - Legen Sie einen freigegebenen Ordner für die ClientInstallationsdateien fest. Sie benötigen diese Dateien für die Installation der Clients.
Siehe Kapitel 7, Administration in der SafeGuard PortProtector Benutzerhilfe für eine Erklärung
der Administrationseinstellungen.
3.7.1.2 Check-Liste für die kritischsten Einstellungen im Fenster Allgemeine
Policy-Einstellungen:
1
Intervall für Logtransfer – Definieren Sie die Häufigkeit, mit der Logs von den Endpunkten
an den Server gesendet werden.
Wichtig: Achten Sie bei der Konfiguration des Log-Transferintervalls besonders darauf, dass Ihr
Netz und die Endpunkte nicht durch übermäßiges Versenden von Logs belastet werden.
Beachten Sie Folgendes:

Die Anzahl der Endpunkte in Ihrem Netz

Die Anzahl der erwarteten Ereignisse von den einzelnen Endpunkten (Client- und DateiLogs)

Der Bedarf an "Echtzeit"-Logdaten in der Management Console
Während der Installation wird das Standard-Logintervall auf 90 Minuten gesetzt. Bei groß
angelegten Deployments wenden Sie sich bitte an den Sophos Support, um Ihre Einstellungen
zu optimieren
36
2
Client-Kennwort für Deinstallation – Ändern Sie das Standardkennwort wie gewünscht.
Wichtig: Bei der Installation des Produkts ist das Kennwort auf "Kennwort1" gesetzt. Da das
Kennwort einer der Grundpfeiler für die Manipulationssicherheit des Clients ist, wird dringend
empfohlen, das Kennwort zu ändern sobald Sie mit dem Deployment des Produkts in einer
Produktionsumgebung beginnen.
Wichtig: Stellen Sie sicher, dass Sie ein Backup für die Server-Verschlüsselungsschlüssel erstellt
haben. Dadurch wird verhindert, dass Sie Clients wegen eines verlorenen Kennworts nicht
deinstallieren können.
Siehe Kapitel 3, Definieren von Policies in der SafeGuard PortProtector Benutzerhilfe für eine
Erklärung der globalen Policy-Einstellungen.
3.8 Deinstallieren von SafeGuard PortProtector Management Server
So deinstallieren Sie den Management Server:
1
Öffnen Sie Software in der Systemsteuerung.
2
Wählen Sie SafeGuard PortProtector Management Server aus der Liste, und klicken Sie auf
Entfernen - wie nachfolgend beschrieben:
Wichtig: Beim Deinstallieren von Saufend Protector Management Server wird die SafeGuard
PortProtector-Datenbank gelöscht. Wenn Sie die aktuellste Server-Version installieren möchten,
wird deshalb empfohlen, ein Server-Upgrade statt Deinstallation/Installation auszuführen.
37
3.9 Ändern der Datenbank
Wenn Sie von einer integrierten SafeGuard PortProtector-Datenbank auf eine externe MS SQLDatenbank (oder umgekehrt) wechseln möchten, verwenden Sie dazu die
Wiederherstellungsoption, wie in Wiederherstellen eines vorhandenen Management Servers auf
Seite 30 beschrieben, und wählen den neuen Datenbanktyp.
Hinweis: Sie können die Datenbank nur ändern, wenn Sie Version 3.2 und höher einsetzen.
Hinweis: Durch das Ändern der Datenbank gehen frühere Logs verloren. Frühere Policies
werden in die neue Datenbank übertragen, aber die Verknüpfungen der Policies mit
Organisationsobjekten gehen verloren (wenn der Policy-Verteilungsmodus "direkte Verteilung
vom Management Server an die Clients" verwendet wird).
38
4 Installieren von SafeGuard PortProtector
Management Console
Dieses Kapitel beschreibt, wie die SafeGuard PortProtector Management Console installiert
wird. Es enthält die folgenden Abschnitte:

Voraussetzungen, Seite 40, beschreibt die Voraussetzungen für die Management Console.

Installieren vorausgesetzter Software, Seite 40, beschreibt die Installation von Microsoft .NET
Framework.

Installieren von SafeGuard PortProtector Management Console, Seite 40, beschreibt zwei
Verfahren für die Installation der Console.

Erstes Starten der SafeGuard PortProtector Management Console, Seite 47, beschreibt, wie
SafeGuard PortProtector Management Console gestartet wird.

Deinstallieren von SafeGuard PortProtector Management Console, Seite 48, beschreibt, wie
SafeGuard PortProtector Management Console deinstalliert wird.
39
4.1 Voraussetzungen


4.1.2 Hardware

Pentium 800 MHz

256 MB RAM

50 MB freie Festplattenkapazität
4.1.3 Software

Microsoft .NET Framework 2.0 ist installiert
4.2 Installieren vorausgesetzter Software
4.2.1 Installieren von Microsoft .NET Framework 2.0
So installieren Sie .NET Framework
Siehe Installieren vorausgesetzter Software auf Seite 13.
4.3 Installieren von SafeGuard PortProtector Management Console
Die Management Console kann auf jedem beliebigen Computer in Ihrem Netz installiert und
ausgeführt werden. Die erste Console wird im Rahmen der Server-Installation auf demselben
Computer installiert, auf dem auch der Management Server installiert wird. Weitere Consoles
können auf jedem beliebigen Computer in der Domäne installiert werden, der die
Voraussetzungen erfüllt.
Weitere Consoles können in Ihrer Domäne entweder über die Webseite für die Management
Console-Installation (empfohlen) oder durch Ausführen der Datei ManagementConsole.msi von
einer externen Quelle (z.B. einer CD) aus installiert werden.
Hinweis: Der Zugriff auf die Management Consoles ist standardmäßig auf die Gruppe der
lokalen Administratoren des Computers mit dem Server beschränkt. Um Benutzer und
Kennwort Ihres Server-Computers nicht unnötig preiszugeben, ändern Sie diese Einstellung auf
eine Benutzergruppe in Ihrem Active Directory, bevor Sie weitere Management Consoles
installieren. Sie können diese Einstellung im Fenster Administration in der Management Console
ändern.
40
4.3.1 Installieren der Console über die Webseite für die Installation
SafeGuard PortProtector Management Console bietet einen Depolyment-Vorgang 'mit einem
Klick', durch den Sie die Management Console installieren können, indem Sie einfach Ihren
Browser auf die Management Server-Adresse lenken. Dieses Verfahren hält automatisch alle Ihre
Management Consoles mit der neuesten Softwareversion des Management Servers auf dem
aktuellen Stand und ist deshalb das empfohlene Installationsverfahren.
So installieren Sie die Management Console über die Webseite für die Installation:
1
Öffnen Sie auf dem Zielcomputer die Adresse der Webseite für die Installation
Der Link steht im folgenden Format:
https://<servername>:<serverport>/SafeGuardPortProtector/console
install.aspx
Hinweis: Sie können auch ein kürzeres Link-Format verwenden:
https://<servername>:<serverport>/SafeGuardPortProtector
(Diese Adresse finden Sie auf der Registerkarte Allgemein im Fenster Administration, das Sie
über das Menü Extras der Management Console öffnen).
Die Installationsseite wird angezeigt:
Die Seite enthält Folgendes:

Einen Link zum .NET Framework 2.0-Installationspaket.

Einen Link zum .Management Console-Installationspaket.

Serverdetails.
41
2
Wenn auf dem Computer, auf dem Sie eine weitere Console installieren möchten, .NET
Framework nicht installiert ist, öffnen Sie den Link und installieren Sie es, bevor Sie mit der
Installation der Management Console fortfahren.
3
Klicken Sie auf den Link zum .Management Console-Installationspaket. Das folgende
Fenster wird angezeigt:
4
Klicken Sie auf Ausführen. Der Management Console-Installationsassistent wird angezeigt:
42
5
Klicken Sie auf Weiter. Das Fenster Installationsordner auswählen wird angezeigt:
6
Wählen Sie im Fenster Installationsordner auswählen den Ordner, in dem die SafeGuard
PortProtector Management Console installiert werden soll. Der Standardordner ist
C:\Programme\Sophos\SafeGuard PortProtector\. Wenn Sie die Management Console in
einem anderen Ordner installieren möchten, klicken Sie auf die Schaltfläche Durchsuchen,
und wählen Sie den gewünschten Ordner aus.
7
Wählen Sie eine der folgenden Optionen, indem Sie die entsprechende Optionsschaltfläche
aktivieren:

Jeder: Jeder Benutzer, der den Computer benutzt, erhält Zugang zur Anwendung

Nur ich: Nur der angemeldete Benutzer erhält Zugang zur Anwendung.
43
8
Klicken Sie auf Weiter. Das folgende Fenster wird angezeigt:
9
Klicken Sie im Fenster Installation bestätigen auf Weiter, um die Installation auszuführen.
10 Sobald die Installation abgeschlossen ist, wird folgendes Fenster angezeigt:
44
11 Klicken Sie zum Beenden auf Schließen.
auf Ihrem Desktop
12 Öffnen Sie die Management Console, indem Sie auf das Symbol
klicken oder Start > Programme > SafeGuard PortProtector Management Console wählen.
13 Abhängig von dem von Ihnen genutzten Browser kann folgende Meldung erscheinen:
Geben Sie den Servernamen und die Ports so ein, wie Sie auf der Webseite für die Installation
stehen, und klicken Sie auf Verbinden.
14 Das Fenster Anmelden wird angezeigt:
Geben Sie Ihren Benutzernamen, Ihr Kennwort und Ihre Domäne ein, und klicken Sie auf
Anmelden. Die Anwendung wird geöffnet und das Hauptfenster wird angezeigt.
45
4.3.2 Manuelles Installieren von SafeGuard PortProtector Management
Console
So installieren Sie die Management Console manuell:
1
Suchen Sie die Datei ManagementConsole.msi auf Ihrer CD, und führen Sie sie aus. Das
Setup-Fenster wird angezeigt:
2
Fahren Sie mit den Schritten 5 bis 13 fort (siehe oben).
46
4.4 Erstes Starten der SafeGuard PortProtector Management
Console
1
Klicken Sie auf das Symbol
auf Ihrem Desktop.
ODER
Wählen Sie Start > Programme > SafeGuard PortProtector Management Console. Die
Anwendung wird zum ersten Mal geöffnet:
2
Geben Sie Ihren Benutzernamen, Ihr Kennwort und Ihre Domäne ein. Das folgende Fenster
wird angezeigt:
Jedes Mal, wenn die Management Console die Verbindung zum Server herstellt, lädt sie
automatisch die aktuellste Version der Management Console herunter (sofern ein Update
vorhanden ist).
47
Sobald die aktualisierten Dateien heruntergeladen sind, wird das Fenster geschlossen und
folgendes Fenster wird angezeigt:
3
Wenn Sie die Software noch testen, klicken Sie auf Später erinnern
ODER
Klicken Sie auf Lizenzschlüssel eingeben, wenn Sie eine gültige Lizenz besitzen, und geben Sie
Ihren Lizenzschlüssel ein (siehe SafeGuard PortProtector Benutzerhilfe, Kapitel 7,
Administration).
SafeGuard PortProtector Management Console wird geöffnet und das Hauptfenster wird
angezeigt.
4.5 Deinstallieren von SafeGuard PortProtector Management Console
So deinstallieren Sie die Management Console:
1
Öffnen Sie in der Systemsteuerung die Option Software.
2
Wählen Sie aus der Liste SafeGuard PortProtector Management Console, und klicken Sie
auf Entfernen.
Hinweis: Das Deinstallieren von SafeGuard PortProtector Management Console führt zu
keinem Datenverlust. Sie können sie jederzeit neu installieren.
48
5 Installieren von SafeGuard PortProtector Client
Dieses Kapitel beschreibt die verschiedenen Methoden für die Installation bzw. das Deployment
von SafeGuard PortProtector Client. Darüber hinaus erklärt es die Verfahren für das
Deinstallieren und Aufrüsten von SafeGuard PortProtector Client. Es enthält die folgenden
Abschnitte:

Voraussetzungen, Seite 50, beschreibt die Voraussetzungen für den SafeGuard PortProtector
Client.

Vor dem Deployment von SafeGuard PortProtector Client, Seite 50, beschreibt die Schritte,
die vor der Installation von SafeGuard PortProtector Client auszuführen sind.

Installieren von SafeGuard PortProtector Client, Seite 52, beschreibt die folgenden
Installationsverfahren:

Automatic Client Installation (through Active Directory

Automatische Client-Installation (über Active Directory)

Automatische Client-Installation (generisch)

Manuelle Installation

Aufrüsten von SafeGuard PortProtector Client, Seite 59, erklärt die Aufrüstung von
SafeGuard PortProtector Client von V2 0 auf V3.x.

Definieren des Endpunktverhaltens während der Installation, Seite 65, beschreibt die
Definition der Endpunkt-Neustartsequenz nach der Installation.

Deinstallieren von SafeGuard PortProtector Client, Seite 67, beschreibt, wie SafeGuard
PortProtector Client deinstalliert wird.
49
5.1 Voraussetzungen

Windows 2000 Professional (SP3-4)


Windows 2000 Advanced Server (SP3-4)



Windows Vista
5.1.2 Hardware

Pentium 800 MHz

256 MB RAM

50 MB freie Festplattenkapazität
5.1.3 Software

Keine erforderlich
5.2 Vor dem Deployment von SafeGuard PortProtector Client
Um SafeGuard PortProtector Client zu installieren, müssen Sie zunächst den Management
Server installieren. Das ist notwendig, um die Sicherheit des Systems zu erhöhen, indem jeder
installierte Client mit den Verschlüsselungsschlüsseln des Servers "gestempelt" wird. Vom
Installationspunkt aus kenn SafeGuard PortProtector Client die Schlüssel, die er bei der
Kommunikation mit dem Server nutzt. Ab dann akzeptiert der Client keine Policy und führt
keine Kommunikation mit einem Server, der nicht über passende Schlüssel verfügt.
Dieses "Stempeln" erfolgt durch die Initialisierung des Clients mit einer Datei namens
ClientConfig.scc. Diese Datei wird auf Anforderung seitens des Benutzers vom Server generiert.
Diese Datei muss während der Client-Installation zur Verfügung stehen.
Bevor Sie mit dem Deployment von SafeGuard PortProtector Clients beginnen können, müssen
Sie den Pfad definieren, in dem der Server alle für die Client-Installation benötigten Dateien
generiert. Die Generierung der Installationsdateien kann jederzeit erneut ausgeführt werden.
50
So generieren Sie SafeGuard PortProtector Client-Installationsdateien:
1
Öffnen Sie in der Management Console im Menü Extras das Fenster Administration (siehe
folgende Abbildung):
2
Klicken Sie im Fenster Administration links auf die Registerkarte Client. Das Fenster
Administration-Clients wird angezeigt:
51
3
Wählen Sie einen freigegebenen Ordner als Client-Installationsordner. Sobald die Dateien
erstellt sind, wird folgende Meldung angezeigt:
Wichtig: Vergewissern Sie sich, dass Sie einen Netzwerkpfad und keinen lokalen Pfad angeben.
4
Klicken Sie auf OK.
5
Sie können jetzt SafeGuard PortProtector Clients auf den Computern in Ihrer Organisation
installieren. Nach dem Client-Deployment können Sie Policies an die Clients verteilen
(siehe SafeGuard PortProtector Benutzerhilfe).
5.3 Installieren von SafeGuard PortProtector Client
Es gibt drei Möglichkeiten, den SafeGuard PortProtector Client zu installieren:

Automatisch über Active Directory Group Policy Management.

Automatisch mit Hilfe eines beliebigen Software-Deployment-Tools, wie beispielsweise SMS
und Tivoli.

Manuell durch Ausführen des Installationsassistenten auf jedem Computer
5.3.1 Automatische Client-Installation (Active Directory)
Die automatisch SafeGuard PortProtector Client-Installation erfolgt mit Hilfe von Active
Directory Group Policy Management (sofern installiert) und Active Directory Benutzer und
Computer. Mit diesen Optionen können Sie ein GPO definieren, das den SafeGuard
PortProtector Client an die OEs (Computer oder Benutzergruppen) Ihrer Wahl verteilt. Wenn
diese Option verwendet wird, werden die Clients im Silent-Modus installiert.
So installieren Sie den SafeGuard PortProtector Client automatisch:
1
Öffnen Sie das Fenster Active Directory Benutzer und Computer.
2
Klicken Sie mit der rechten Maustaste auf die OE, für die Sie den SafeGuard PortProtector
Client installieren möchten, und wählen Sie Eigenschaften. Das Fenster
Benutzereigenschaften wird angezeigt.
3
Wählen Sie im Fenster Benutzereigenschaften die Registerkarte Gruppenpolicy. Diese
Registerkarte sieht unterschiedlich aus, je nachdem, ob die Group Policy Management
Console installiert ist oder nicht.
52
4
Wenn die Group Policy Management Console nicht installiert ist, wird das folgende Fenster
angezeigt:
5
Klicken Sie auf Hinzufügen, um das SafeGuard PortProtector Deployment-GPO
hinzuzufügen. Geben Sie ihm einen Namen. Klicken Sie dann mit der rechten Maustaste auf
das GPO und wählen Sie Bearbeiten. Fahren Sie mit Schritt 9 fort.
53
6
Wenn die Group Policy Management Console installiert ist, klicken Sie auf Öffnen auf der
Registerkarte Gruppenpolicy, um das Fenster Gruppenmanagement zu öffnen (siehe unten):
7
Wählen Sie in der OE-Struktur im linken Fensterausschnitt die OE, für die Sie den
SafeGuard PortProtector Client installieren möchten. Der rechte Fensterausschnitt zeigt die
GPOs, die dieser OE bereits zugeordnet sind.
8
Fügen Sie ein GPO hinzu, das Software für diese OE installiert. Klicken Sie mit der rechten
Maustaste auf die OE, und wählen Sie GPO erstellen und verknüpfen Hier. Geben Sie dann
einen Namen für das GPO an.
54
9
Klicken Sie mit der rechten Maustaste auf das SafeGuard PortProtector Deployment-GPO
und wählen Sie Bearbeiten. Das Fenster Gruppenpolicy wird angezeigt. Hier ein Beispiel:
10 Klicken Sie mit der rechten Maustaste unter Computerkonfiguration in der Struktur auf der
linken Seite auf Softwareeinstellungen, wählen Sie Neu und dann Paket, wie im Folgenden
gezeigt (im rechten Fensterausschnitt werden u. U. Namen anderer Software angezeigt,
sofern welche definiert wurden):
Ein Fenster zur Dateiauswahl wird angezeigt.
55
11 Wählen Sie den freigebenenen Ordner, in dem Sie die zu erstellenden ClientInstallationsdateien ausgewählt haben. Dieser Ordner sollte sowohl die
SafeGuardPortProtectorClient.msi als auch die ClientConfig.scc Dateien enthalten. Wenn
Sie Clients auf einer XP 64-Bit-Maschine installieren möchten, verwenden Sie die Dateien
im XP64Bit-Unterverzeichnis.
12 Navigieren zum kompletten UNC-Pfad der SafeGuard PortProtector ClientInstallationsdatei namens SafeGuardPortProtectorClient.msi, markieren Sie sie, und
klicken Sie auf Öffnen. Vergewissern Sie sich, dass dieser Pfad die Datei ClientConfig.scc
enthält.
13 Doppelklicken Sie auf die Datei SafeGuardProtectorClient.msi. Das folgende Fenster wird
angezeigt:
14 Wählen Sie Zugewiesen, und klicken Sie auf OK. Warten Sie ein paar Augenblicke, bis die
MSI hinzugefügt wurde.
15 Bereiten Sie die Endpunkt Ihrer Organisation für die automatische Installation vor, wie
unten im Abschnitt Vorbereiten eines Endpunkts für die automatische Installation
beschrieben.
16 In seltenen Fällen ist u.U. ein Neustart des Endpunkt-Computers erforderlich. In diesem
Fall wird eine Meldung angezeigt.
56
5.3.1.1 Vorbereiten eines Endpunkts für die automatische Installation
Um den SafeGuard PortProtector Client zu installieren, müssen die Zielcomputer Zugriff auf
den freigegebenen Netzwerkordner haben, wenn das system neu gestartet wird. Wenn die
Zielcomputer unter Windows XP laufen, müssen Sie das GOP Bei Anmeldung immer auf Start
des Computernetzes warten einschalten. Es steht unter Computerkonfiguration |
Administrative Vorlagen | System | Logon.
Wenn in dieser OE das nächste Mal ein Computer oder Benutzer neu startet, wird SafeGuard
PortProtector Client darauf eingesetzt.
Hinweis: In einigen Fällen - abhängig von der Domänenkonfiguration - kann es einige Zeit
dauern, bis das GPO, das das Installationspaket enthält, das mit der dedizierten OE verknüpft
ist, auf andere Domänenkontroller repliziert ist (normalerweise bis zu 1t Minuten). Das kann so
erscheinen, als würden die Endpunkte die Protector Clients nicht installieren. In diesem Fall
müssen Sie warten, bis die Replizierung abgeschlossen ist, bevor Sie die Endpunkte für die
Installation neu starten.
57
5.3.2 Automatische Client-Installation (generisch)
Um mit Hilfe einer Softwaremanagementlösung eines Drittanbieters zu installieren, gehen Sie
folgendermaßen vor:
So führen Sie eine generische, automatische Client-Installation aus:
1
Navigieren Sie zu dem freigegebenen Ordner, in dem Sie die Client-Installationsdateien
erzeugt haben. Dieser Ordner muss die Datei SafeGuardProtectorClient.msi und die Datei
ClientConfig.scc enthalten.
2
Erstellen Sie eine Batchdatei mit dem folgenden Befehl, um Protector Client 'still' zu
installieren:
msiexec /i LaufwerksName:\InstallationsPfad\SafeGuardProtectorClient.msi /qn
Verwenden Sie bei der Installation des Protector-Clients in einer Fremdsprache den
folgenden Befehlszeilenparameter:
msiexec /i LaufwerksName\InstallationsPfad\SafeGuardProtectorClient.msi
TRANSFORMS="\\InstallationsPfad\MSTFileName.mst"/qn (Dies muss in einer Zeile
stehen.)
3
In seltenen Fällen ist u. U. ein Neustart des Endpunkt-Computers erforderlich. In diesem
Fall wird eine Meldung angezeigt.
58
5.3.3 Manuelle Client-Installation
Sie können den SafeGuard PortProtector Client manuell auf den einzelnen, zu schützenden
Computern in Ihrer Organisation installieren.
So installieren Sie den SafeGuard PortProtector Client manuell:
1
Navigieren Sie zu dem freigegebenen Ordner, in dem Sie die SafeGuard PortProtector
Client-Installationsdateien erzeugt haben. Dieser Ordner enthält die Installationsdatei
SafeGuardPortProtectorClient.msi. Wir empfehlen, dass die für die Installation
erforderliche Datei ClientConfig.scc in demselben Ordner steht. Um den Pfad zu diesem
Ordner anzuzeigen, wählen Sie Administration im Menü Extras der Management Console.
Wählen Sie dann die Registerkarte Clients (siehe folgende Abbildung):
59
2
Führen Sie SafeGuardPortProtectorClient.msi aus. Wenn Sie Clients auf einer XP 64-BitMaschine installieren, verwenden Sie die Dateien im XP64Bit-Unterverzeichnis. Der
Installationsassistent wird angezeigt:
3
Klicken Sie auf Weiter, um fortzufahren. Das Fenster Lizenzvereinbarung wird angezeigt:
60
4
Aktivieren Sie im Fenster Lizenzvereinbarung die Optionsschaltfläche Ich nehme die
Bedingungen der Lizenzvereinbarung an, und klicken Sie auf Weiter. Das Fenster
Zielordner wird angezeigt:
5
Geben Sie im Fenster Zielordner den Ordner an, in dem SafeGuard PortProtector Client
installiert werden soll. Wenn Sie in einen anderen als den Standardordner installieren
möchten, klicken Sie auf Ändern. Wählen Sie dann im Fenster Aktuellen Zielordner ändern
den gewünschten Ordner, und klicken Sie auf OK.
61
6
Klicken Sie auf Weiter. Das Fenster Client-Konfigurationsdatei auswählen wird geöffnet:
7
Wählen Sie die Client-Konfigurationsdatei ClientConfig.SCC aus. Diese Datei wird
benötigt, damit der Client verschlüsselte Firmenrichtlinien lesen kann, und um das
standardmäßige Kennwort für die Deinstallation festzulegen. Diese Datei wird vom
SafeGuard PortProtector Management Server generiert und befindet sich normalerweise in
demselben Ordner wie die Client-Installationsdatei.
Hinweis: Wenn Sie nicht sicher sind, wo sich die Datei befindet, fragen Sie Ihren
Systemadministrator, oder generieren Sie eine neue (siehe Vor dem Deployment von SafeGuard
PortProtector Client auf Seite 50).
62
8
Klicken Sie auf Weiter. Das Fenster Bereit zur Installation des Programms wird angezeigt:
Klicken Sie in diesem Fenster auf Zurück, um die Installationseinstellungen zu überprüfen bzw.
zu ändern, oder klicken Sie auf Abbrechen, um den Installationsvorgang abzubrechen und zu
beenden.
9
Klicken Sie auf Installieren, um die Installation zu starten. Das folgende Fenster wird
angezeigt:
Dieses Fenster enthält eine Statusleiste, die den Verlauf von der Installation anzeigt. Die
Installation kann einige Minuten dauern.
63
Hinweis: Während dieser Installation stellen einige der am Computer angeschlossenen Geräte
u.U. ihre Funktion zeitweilig ein. Diese Geräte funktionieren nach Abschluss der Installation
wieder.
Wenn die Installation abgeschlossen ist, wird folgendes Fenster angezeigt:
10 Klicken Sie auf Fertig stellen, um den Assistenten zu beenden. SafeGuard PortProtector
Client ist jetzt auf dem Endpunkt installiert.
Hinweis: In einigen Fällen ist - abhängig von der Hardwarekonfiguration des Computers - ein
Neustart nach der Installation notwendig, damit SafeGuard PortProtector Client den Endpunkt
schützt. In diesem Fall werden Sie durch eine Meldung darüber benachrichtigt.
64
5.4 Upgrade des SafeGuard PortProtector Client
5.4.1 Aufrüsten des Clients über Active Directory
Damit Ihr Endpunkt die neue Version des Produkts installiert, fügen Sie einfach die neue MSIDatei als ein neues GPO hinzu (wiederholen Sie die oben aufgeführten Schritte). Dadurch
werden die Endpunkte automatisch beim nächsten Neustart aktualisiert.
5.4.2 Manueller Upgrade des Clients
So führen Sie einen Upgrade des Clients manuell durch:
1
Doppelklicken Sie auf die Datei SafeGuardPortProtectorClient.msi. SafeGuard
PortProtector deinstalliert die vorherige Version des Produktes automatisch und aktualisiert
es mit der neuen Version.
2
Nach dem Upgrade müssen Sie den entsprechenden Computer neu starten (Sie werden
durch eine Meldung zum Neustart aufgefordert, sofern Sie nicht festgelegt haben, dass diese
Meldung nicht erscheinen soll, wie im folgenden Abschnitt beschrieben).
5.5 Definieren des Endpunktverhaltens während der Installation
Standardmäßig ist beim Installieren von SafeGuard PortProtector Client ein Neustart der
meisten Peripheriegeräte am Endpunkt notwendig, damit die Policy sofort durchgesetzt wird.
Das kann dazu führen, dass in den Endphasen der Installation eine zeitweilige Trennung vom
Netz erfolgt.
Außerdem kann in seltenen Fällen ein Neustart des Computers notwendig sein.
Administratoren, die Drittanbieterprodukte für das Deployment der Software einsetzen, finden
es
u. U. nützlich, diesen "Geräteneustart" nicht auszuführen, um eine Trennung vom Netz
während der Installation zu vermeiden.
Sie können sowohl den Gerätneustart als auch das Neustartverhalten steuern, indem Sie
angeben, ob sie während der Installation ausgeführt werden sollen.
Wenn Sie angeben, dass diese Vorgänge nicht ausgeführt werden sollen, wird die Policy nicht
durchgesetzt, bis der Computer auf Anforderung des Benutzers neu gestartet wird.
65
So definieren Sie das Endpunktverhalten während der Installation:
1
Um das Neustartverfahren bei der Installation festzulegen, öffnen Sie die Datei
ClientConfig.scc:
2
Blättern Sie nach unten zum Ende der Datei, und fügen Sie Am Ende einen Abschnitt
[installparams] ein (siehe obige Abbildung).
3
Fügen Sie den Parameter InstallMethod und Werte gemäß der nachstehenden Tabelle ein:
Parameter
Bedeutung
InstallMethod=0
Die Installation führt den "Geräteneustart" aus und
zeigt bei Bedarf eine Meldung mit der
Aufforderung zum Neustart des Computers an.
Diese Option stellt sofortigen Schutz sicher: Nach
der Installation setzen alle Ihre Endpunkte sofort
die Policy durch.
InstallMethod=1
Die Installation führt den "Geräteneustart" aus und
zeigt keine Meldung mit der Aufforderung zum
Neustart des Computers an, auch wenn ein
Neustart notwendig ist.
Mit dieser Option können Sie eine absolut 'stille'
Installation durchführen, ohne dass dem
Endbenutzer Meldungen angezeigt werden. Die
Policy wird jedoch bis zum nächsten Neustart
nicht durchgesetzt.
66
InstallMethod=2 – Standard
Die Installation führt keinen "Geräteneustart" aus
und zeigt bei Bedarf eine Meldung mit der
Aufforderung zum Neustart des Computers an.
Mit dieser Option können Sie den
Installationsvorgang erheblich verkürzen und
Drittanbieterprogramme für das Deployment des
Clients ohne Trennung vom Netz nutzen.
Durch das Erzwingen des Neustarts können Sie
sicherstellen, dass die Policy sofort durchgesetzt
wird.
InstallMethod=3
Die Installation führt keinen "Geräteneustart" aus
und zeigt keine Meldung mit der Aufforderung
zum Neustart des Computers an, auch wenn ein
Neustart notwendig ist.
Mit dieser Option können Sie eine absolut 'stille'
Installation durchführen, ohne dass dem
Endbenutzer Meldungen angezeigt werden und
ohne dass eine Trennung vom Netz erfolgt.
Die Policy wird jedoch bis zum nächsten Neustart
nicht durchgesetzt.
Hinweis: Bei den Optionen 1 und 3 kann das Betriebssystem instabil werden, wenn Geräte eine
Verbindung zu den überwachten Ports herstellen. Sie müssen unbedingt sicherstellen, dass der
Endpunkt sobald wie möglich nach der Installation einen Neustart durchführt.
67
5.6 Deinstallieren von SafeGuard PortProtector Client
Sie können SafeGuard PortProtector entweder manuell oder 'still' aus dem GPO deinstallieren.
Die Deinstallation ist durch ein globales Kennwort oder ein policy-spezifisches Kennwort, das
Sie in der Policies-Welt in der SafeGuard PortProtector Management Console definieren,
geschützt(siehe SafeGuard PortProtector Benutzerhilfe, Kapitel 3, Definieren von Policies).
5.6.1 Manuelles Deinstallieren
So deinstallieren Sie manuell:
1
68
In der Systemsteuerung unter Software wählen Sie SafeGuard PortProtector Client:
2
Wählen Sie SafeGuard PortProtector Client, und klicken Sie auf Ändern. Der
Installierensassistent wird angezeigt:
3
Klicken Sie auf Weiter, um fortzufahren. Das Fenster Kennwort für Deinstallation wird
angezeigt:
69
4
Geben Sie das Kennwort für die Deinstallation ein, das Sie in der Policies-Welt in der
SafeGuard PortProtector Management Console definiert haben (siehe SafeGuard
PortProtector Benutzerhilfe, Kapitel 3, Definieren von Policies), und klicken Sie auf Weiter.
Das folgende Fenster wird angezeigt:
5
Um die Einstellungen zu überprüfen oder zu ändern, bevor Sie fortfahren, klicken Sie auf
Zurück, oder klicken Sie auf Abbrechen, um den Deinstallationsassistenten zu beenden.
Nachdem Sie SafeGuard PortProtector Client deinstalliert haben, wird der Endpunkt nicht
mehr geschützt. Fahren Sie ansonsten mit dem nächsten Schritt fort.
70
6
Klicken Sie auf Entfernen, um SafeGuard PortProtector Client zu entfernen. Der
Deinstalliationsvorgang beginnt, und das folgende Statusfenster wird angezeigt:
Der Vorgang kann einige Minuten dauern. Sobald der Vorgang beendet ist, wird folgendes
Fenster angezeigt:
7
Klicken Sie auf Fertig stellen. SafeGuard PortProtector Client ist deinstalliert, und der
Computer ist nicht mehr geschützt.
Hinweis: Nach dem Deinstallieren müssen Sie den Computer neu starten, bevor Sie SafeGuard
PortProtector neu installieren können.
71
5.6.2 Deinstallieren von SafeGuard PortProtector via GPO
Da der Deinstallationsvorgang für SafeGuard PortProtector kennwortgeschützt ist, kann die
Funktion der automatischen Deinstallation im GPO-Software-Installationspaket nicht benutzt
werden. Deshalb muss ein Startupskript zur Deinstallation von Protector verwendet werden.
Es gibt zwei Möglichkeiten, SafeGuard PortProtector Client zu deinstallieren. Die erste und
empfohlene Option ist, die Verknüpfung des Protector Install-GPOs von der OE mit dem
Client-Computer zu lösen und ein neues GPO mit einem Deinstallationsskript anzuwenden, wie
unten in den Schritten
6 - 11 erläutert. Die zweite Option ist, das Protector Deployment-GPO zu bearbeiten.
So deinstallieren Sie ein Protector-GPO:
1
Bearbeiten Sie die relevante Gruppenpolicy, die für die Client-Computer gilt, auf denen
SafeGuard PortProtector deinstalliert werden soll.
2
Navigieren Sie zu Computerkonfiguration  Softwareeinstellungen  Softwareinstallation.
3
Klicken Sie mit der rechten Maustaste auf das Objekt SafeGuard PortProtector, und wählen
Sie Alle Tasks  Entfernen.
4
Aktivieren Sie die Optionsschaltfläche Benutzer dürfen die Software weiterhin verwenden,
aber Neuinstallationen sind nicht zugelassen.
5
Klicken Sie auf OK.
6
Erstellen Sie ein neues GPO namens Protector deinstallieren, klicken Sie mit der rechten
Maustaste auf das neue GPO, und wählen Sie Bearbeiten.
7
Navigieren Sie zu Windows-Einstellungen unter Computerkonfiguration. Wählen Sie Skript
und dann Autostart.
8
Klicken Sie auf die Schaltfläche Dateien anzeigen, und erstellen Sie ein neues
Textdokument mit folgendem Befehl:
msiexec.exe /x "\\kompletter UNC-Pfad zum freigegebenen ProtectorInstallationsordner\SafeGuardPortProtectorClient.msi" /qn
UNINSTALL_PASSWORD=Deinstallationskennwort
Hinweis: Der in der Batchdatei angegebene Deinstallationsbefehl (siehe oben) muss in einer
Zeile stehen. Der eigentliche Deinstallationsvorgang findet erst nach dem Neustart des
Computers statt.
9
Ersetzen Sie den kompletten UNC-Pfad zum freigegebenen Protector-Installationsordner
durch den entsprechenden Pfad.
10 Ersetzen Deinstallationskennwort durch das entsprechende Kennwort für die Deinstallation.
11 Speichern Sie die Datei mit der Dateierweiterung *.bat.
12 Schließen Sie den Ordner, klicken Sie auf die Schaltfläche Hinzufügen und dann auf die
Schaltfläche Durchsuchen.
13 Wählen Sie die neu erstellte Batchdate, und klicken Sie auf die Schaltfläche OK.
72
5.6.3 SafeGuard PortProtector Client Cleanup Utility
Es steht ein Hilfsprogramm zur Client-Bereinigung zur Verfügung, das Sie nutzen können,
wenn Sie SafeGuard PortProtector Client nicht mit dem oben beschriebenen Verfahren von
einem Endpunkt deinstallieren können. Dies kann in folgenden Fällen vorkommen:
a.
SafeGuard PortProtector Client schützt den Endpunkt ordnungsgemäß, kann aber nicht in
der Option Software in der Systemsteuerung gefunden werden.
b. Ausführen des Client-Deinstallationsassistenten (Entfernen) schlägt fehl.
c. Der Client funktioniert nicht ordnungsgemäß (ist z.B. im Panikmodus) und akzeptiert Ihr
Client-Deinstallationskennwort nicht.
d. Sie haben das Client-Deinstallationskennwort vergessen und können die Policy des Clients
nicht mit einer neuen Policy aktualisieren, in der Sie ein neues Kennwort für die
Deinstallation festgelegt haben.
So starten Sie das Client Cleanup Utility:
1
Suchen Sie die Datei spec.exe im Ordner System in Ihrem Windows-Ordner
(Systemhauptverzeichnis).
2
Führen Sie spec.exe aus. Das folgende Fenster wird angezeigt:
73
3
Teilen Sie dem Sophos Support ([email protected]) das computerspezifische CleanupToken mit. Wenn Sie den Cleanup-Schlüssel vom Sophos Support erhalten haben, geben Sie
ihn im Feld Cleanup-Schlüssel ein.
4
Wählen Sie bei Betriebssystem entweder Aktuelles Betriebssystem oder Anderes
Betriebssystem auf diesem Computer. Wenn Sie die zweite Option wählen, klicken Sie auf
Durchsuchen, um das andere Betriebssystem auf dem Computer zu suchen. Anmerkung:
Wenn Sie das Betriebssystem Windows 2000 wählen, ist der Pfad wie folgt:
C:\winnt\system32.
5
Klicken Sie auf Jetzt bereinigen. Die Client-Bereinigung beginnt, und ihr Fortschritt wird in
einer Verlaufsanzeige angezeigt. Dieser Vorgang kann ein paar Minuten dauern. Sobald die
Bereinigung abgeschlossen ist, wird folgendes Fenster angezeigt:
6
Starten Sie den Endpunkt neu.
74
6 Anhang A - OPSEC™-Interoperabilität
Über diesen Anhang
Dieser Anhang erklärt, wie VPN-1®/FireWall-1® SecureClient™ von Check Point™ (im
Folgenden als SecureClient bezeichnet) mit SafeGuard PortProtector Client zur Verbesserung
Ihrer Netzwerksicherheit interagiert. Es enthält die folgenden Abschnitte:

Was ist OPSEC™, Seite 76, beschreibt OPSEC™ von Check Point und seine Vorteile.

OPSEC™ und SafeGuard PortProtector, Seite 76, beschreibt die Schnittstellenbildung
zwischen SafeGuard PortProtector und OPSEC™.

Vorbereiten von SafeGuard PortProtector Client, Seite 76, beschreibt die Vorbereitungen, die
Sie auf der Seite von SafeGuard PortProtector treffen müssen, um OPSEC™ anzuwenden.

Konfigurieren der SCV-Policy, Seite 77, beschreibt die Vorbereitungen, die Sie auf der Seite
von VPN-1®/FireWall-1® treffen müssen, um OPSEC™ anzuwenden.

Installieren der aktualisierten SCV-Policy auf SecureClients, Seite 83, erklärt, wie die
aktualisierte SCV-Policy für SecureClient installiert wird.

Parameter des SafeGuard PortProtector SCV-Checks, Seite 86, beschreibt die Prüfungen, die
auf dem SafeGuard PortProtector Client ausgeführt werden können, und liefert Beispiele.
Hinweis: Die Anleitungen in diesem Anhang setzen voraus, dass SecureClient bereits auf den
entsprechenden Endpunkten in Ihrer Organisation installiert ist.
75
6.1 Was ist OPSEC™
OPSEC™ (Open Platform for Security) von Check Point integriert und verwaltet alle Aspekte
der Netzwerksicherheit über ein erweiterbares Managementgerüst. SafeGuard PortProtector
kann sich auf dieses Gerüst aufschalten und Ihnen so eine umfassende Sicherheitslösung bieten.
Bei dieser Lösung fragt ein SVC-Check (eine DLL) die Sicherheitsaspekte der Konfiguration
eines Clients ab und meldet dem SecureClient, ob die Konfiguration "verifiziert" oder "nicht
verifiziert" ist. Wenn die Konfiguration nicht verifiziert ist, unterbindet SecureClient den Zugriff
auf das Organisationsnetz.
6.2 OPSEC™ und SafeGuard PortProtector
Wir liefern eine DLL, die mehrere Prüfungen des SafeGuard PortProtector Clients ausführen
kann. Die Ergebnisse der Prüfungen werden an SecureClient gemeldet. Neben der Prüfung auf
das Vorhandensein von SafeGuard PortProtector Client können diese Prüfungen einen oder
mehrere der folgenden Parameter enthalten:

Policy-ID

Datum/Uhrzeit der Policy-Aktualisierung

Versionsnummer

Schutzstatus

Server-ID
Eine Erklärung dieser Parameter finden Sie in Parameter des SafeGuard PortProtector SCVChecks, Seite 86.
Wenn eine der Prüfungen fehlschlägt, wird die Computerkonfiguration nicht verifiziert, und
SecureClient sperrt den Endpunkt, so dass er nicht auf das Organisationsnetz zugreifen kann.
6.3 Vorbereiten von SafeGuard PortProtector Client
Wir liefern eine DLL, die die Schnittstelle mit SecureClient bildet (besonders mit seiner SCVPolicy), die Sie auf den entsprechenden Endpunkten installieren müssen:#
1
Falls noch nicht geschehen, installieren Sie SafeGuard PortProtector Client (siehe
Installieren von SafeGuard PortProtector Client)
2
Installieren Sie SafeGuardPortProtectorScv auf dem entsprechenden Computer mit Hilfe
von GPO oder manuell (SafeGuardPortProtectorScv.msi finden Sie auf Ihrer SafeGuard
PortProtector Installations-CD). Dadurch wird eine DLL installiert, die - neben der
Prüfung, ob SafeGuard PortProtector Client auf dem Computer installiert ist - nach Wahl
eine oder mehrere der oben beschriebenen Prüfungen durchführen kann. Die DLL meldet
das - "verifiziert" oder "nicht verifiziert" - an SecureClient.
Hinweis: SecureClient muss bereits auf dem Zielcomputer installiert sein, bevor Sie die
SafeGuardPortProtectorScv-DLL installieren.
Hinweis: Wenn Sie SafeGuardPortProtectorScv manuell installieren und SecureClient aktiv ist,
stoppt/startet letzter den Dienst. Schließen Sie ihn in diesem Fall wieder an.
76
6.4 Konfigurieren der SCV-Policy
Die SCV-Policy ist die Sicherheitsrichtlinie von SecureClient, auf die sich
Drittanwenderprogramme wie SafeGuard PortProtector aufschalten können. eine SCV-Policy
kann einen oder mehrere SCV-Checks enthalten, die sich jeweils auf eine andere Anwendung
beziehen. Der SVC-Check von SafeGuard PortProtector (namens SafeGuardPortProtectorScv)
muss in die SCV-Policy eingefügt und dann auf den entsprechenden SecureClients installiert
werden. Dieser Vorgang umfasst drei Schritte:

Schritt 1: Hinzufügen des SafeGuard PortProtector SCV-Checks in Ihre SCV-Policy

Schritt 2: Hinzufügen von SafeGuard PortProtector-Parametern in Ihren SafeGuard
PortProtector SCV-Check

Schritt 3: Installieren Ihrer SCV-Policy auf den entsprechenden SecureClients
Die Schritte 1 und 2 können mit SCVEditor™ (empfohlen) ausgeführt werden, siehe unten,
oder mit Hilfe eines beliebigen Texteditors.
6.5 Konfigurieren der SCV-Policy mit Hilfe von SCVEditor™
Wie oben erwähnt wird empfohlen, die SCV-Policy mit Hilfe von SCVEditor™ zu bearbeiten
(sieh unten). Für die Bearbeitung der SCV-Policy mit einem Texteditor siehe Konfigurieren der
SCV-Policy mit Hilfe eines Texteditors auf Seite 80.
6.5.1.1 Hinzufügen des SafeGuard PortProtector SCV-Checks in die SCV-Policy
Der SafeGuard PortProtector SCV-Check - SafeGuardPortProtectorScv - muss in Ihre SCVPolicy (local.scv) eingefügt werden, die sich im Verzeichnis $FW1conf auf dem VPN1®/Firewall-1® Management Server befindet.
Der SafeGuard PortProtector SCV-Check kann mit Hilfe von SCVEditor™ in Ihre SCV-Policy
eingefügt werden.
77
So fügen Sie den SCV-Check mit Hilfe von SCVEditor™ hinzu:
1
Öffnen Sie im Hauptfenster von SCVEditor™' local.scv:
2
Klicken Sie im linken Fensterausschnitt des Hauptfensters von SCVEditor™ mit der rechten
Maustaste auf Produkte und wählen Sie Hinzufügen. Das folgende Fenster wird angezeigt:
3
Geben Sie SafeGuardPortProtectorScv ein, und klicken Sie auf OK.
SafeGuardPortProtectorScv wird jetzt im linken Fensterausschnitt unter Produkte
angezeigt, zusammen mit anderen Produkten, die Sie u.U. zuvor hinzugefügt haben.
78
4
Klicken Sie im linken Fensterausschnitt mit der rechten Maustaste auf
SafeGuardPortProtectorScv und wählen Sie Durchsetzen. SafeGuardPortProtectorScv wird
jetzt in der unteren Hälfte des rechten Fensterausschnitts im Hauptfenster angezeigt:
5
Setzen Sie im Abschnitt Globale SCV-Parameter im Hauptfenster Bei nicht verifiziertem
SCV Verbindung sperren ein/aus und den Wert für Ablaufzeit nach Belieben.
6
Klicken Sie auf Speichern in der Symbolleiste oder im Menü Datei, um die aktualisierte
SCV-Policy zu speichern.
6.5.1.2 Hinzufügen von SafeGuard PortProtector-Parametern in den SCV-Check
Der SCV-Check kann mehrere Parameter enthalten, deren Werte Sie u.U. prüfen möchten, um
die Verbindung von SecureClient zu verifizieren. Parameter des SafeGuard PortProtector SCVChecks, Seite 86, enthält eine Liste der verfügbaren Parameter mit Erklärungen und Beispielen
für deren Definition und Nutzung.
1
Um Parameter hinzuzufügen, klicken Sie mit der rechten Maustaste in den leeren
Arbeitsbereich auf der rechten Seite und wählen Neu. Folgendes Fenster wird angezeigt:
79
2
Geben Sie Name und Wert des Parameters ein.
Die obige Abbildung zeigt, wie der Parameter MinimumVersion und sein Wert hinzugefügt
werden. Wenn bei diesem Beispiel der SCV-Check feststellt, dass die Version von SafeGuard
PortProtector Client Version nicht gleich oder größer als 3.0.12444 ist, wird der Client nicht
verifiziert, und er darf keine Verbindung zum Organisationsnetz herstellen.
3
Klicken Sie auf OK. Der Parameter ist jetzt zu SafeGuardPortProtectorScv hinzugefügt.
4
Führen Sie die Schritte 1 und 2 für jeden hinzuzufügenden Parameter aus. Jeder von Ihnen
hinzugefügte Parameter wird wie folgt im Arbeitsbereich angezeigt:
5
Klicken Sie auf Speichern in der Symbolleiste oder im Menü Datei, um die aktualisierte
SCV-Policy zu speichern.
6.5.2 Konfigurieren der SCV-Policy mit Hilfe eines Texteditors
Ein anderer Weg für das Konfigurieren der SCV-Policy ist die Bearbeitung von local.scv direkt
mit einem Texteditor.
Beispiele:

Beispiel 1 ist ein allgemeines Beispiel einer SCV-Policy, das die Syntax der Datei beschreibt.

Beispiel 2 ist ein Beispiel einer SCV-Policy, das einen SafeGuard PortProtector SCV-Check
ohne Parameter enthält.

Beispiel 3 ist ein Beispiel einer SCV-Policy, das einen SafeGuard PortProtector SCV-Check
mit mehreren Parametern enthält.
Hinweis: Ein Fehler in der Objektdatei führt zu einem 'beschädigte Datei'-Fehler (SCV-Status ist
nicht verifiziert). Der Einsatz von SCVEditor™ verhindert dieses Problem.
80
6.5.2.1 Beispiel 1
Dies ist ein allgemeines Beispiel einer SCV-Policy:
(SCVObject
:SCVNames (
:(SCVGroup1
:type(group)
:(samplescv1)
:(samplescv)
)
:(SCVGroup2
:type (group)
:(emptyscv)
)
:(samplescv
:type (plugin)
:parameters (
:n1param1(value1)
:n1param2(value2)
:n1param3(value3)
)
)
:(emptyscv
:type(plugin)
:parameters (
:n2param1(value1)
:n2param2(value2)
)
)
)
:SCVPolicy(
:(SCVGroup1)
)
)
81
Beschreibung der SCV-Policy
Der SCVPolicy-Satz enthält die Gruppen der zu verwendenden SCV-Checks. In SCVGroup1
sind zwei SCV-Checks definiert (samplescv und samplescv1). Der erste SCV-Check in
SCVGroup1, der richtig registriert ist, wird von SecureClient benutzt. samplescv und
samplescv1 sind bei diesem Beispiel ähnliche SCV-Checks, und mindestens einer von ihnen
sollte zur Meldung des SCV-Status genutzt werden. Da samplescv1 nicht ordnungsgemäß
definiert ist, wird stattdessen samplescv genutzt. Die SCVPolicy enthält nicht den SCV-Check
emptyscv SCV und nutzt ihn deshalb gar nicht. samplescv enthält drei Parameter, die in der
Start-Funktion übergeben werden.
6.5.2.2 Beispiel 2
Dies ist ein Beispiel einer SCV-Policy, das den SCV-Check SafeGuardPortProtectorScv enthält.
Der SCV-Check enthält keine Parameter und prüft nur das Vorhandensein von SafeGuard
PortProtector Client auf dem Endpunkt, um zu ermitteln, ob er verifiziert ist und eine
Verbindung zum Organisationsnetz herstellen darf.
(SCVObject
:SCVNames (
: (SafeGuardPortProtectorScv
:type (plugin)
:parameters ()
)
)
:SCVPolicy (
: (SafeGuardPortProtectorScv)
)
:SCVGlobalParams (
:block_connections_on_unverified (true)
:scv_policy_timeout_hours (24)
)
)
82
6.5.2.3 Beispiel 3
Dies ist ein Beispiel einer SCV-Policy, das den SCV-Check SafeGuardPortProtectorScv enthält.
Der SCV-Check enthält vier Parameter, die zu prüfen sind, um den Client zu verifizieren und
die Verbindung zum Organisationsnetz zuzulassen (Parameter des SafeGuard PortProtector SCVChecks auf Seite 86 enthält eine Liste der verfügbaren Parameter mit Erklärungen und Beispielen
für deren Definition und Nutzung).
(SCVObject
:SCVNames (
: (SafeGuardPortProtectorScv
:type (plugin)
:parameters (
:PolicyId ("Policy1 0 / 1$$Sophos Initial
Policy ")
:ProtectionStatus ("STATUS_PROTECTED")
:PolicyUpdatedSinceDate ("23.08.2006
17:17:00")
:MinimumVersion ("3.0.12444")
)
)
)
:SCVPolicy (
: (SafeGuardPortProtectorScv)
)
:SCVGlobalParams (
:block_connections_on_unverified (true)
:scv_policy_timeout_hours (24)
)
)
83
6.6 Installieren der aktualisierten SCV-Policy auf SecureClients
Nachdem Sie SafeGuardPortProtectorScv in Ihre SCV-Policy eingefügt und sie gespeichert
haben (entweder mit SCVEditor™ oder mit Hilfe eines Texteditors), können Sie sie auf Ihren
SecureClients installieren.
So installieren Sie die aktualisierte SCV-Policy:
1
Öffnen Sie Check Point SmartDashboard™:
2
Wählen Sie im Menü Policy die Option Installieren (siehe vorherig Abbildung). Das Fenster
Policy installieren wird angezeigt:
84
3
Wählen Sie die gewünschten Einstellungen, und klicken Sie auf OK. Die Installation
beginnt, und das Fenster Installationsverlauf wird angezeigt, das den Installationsfortschritt
angibt. Nachdem die Installation abgeschlossen ist, wird folgendes Fenster angezeigt:
4
Ihre SCV-Policy ist jetzt auf den ausgewählten Gateways installiert.
Bei der nächsten Anmeldung von SecureClients beim Policy-Server wird die aktualisierte
SCV-Policy auf ihnen installiert. Nach der Installation auf SecureClients können sie mit der
SafeGuard PortProtector-DLL (siehe oben) kommunizieren und die Verbindung zum
Organisationsnetz sperren, wenn die SafeGuard PortProtector-Konfiguration nicht
verifiziert ist.
Falls eine Konfiguration nicht verifiziert ist, wird am Endpunkt eine Fehlermeldung
angezeigt.
Die folgende Abbildung zeigt ein Beispiel der Meldung, die der Endbenutzer erhält, wenn
eine Konfiguration wegen eines nicht übereinstimmenden Parameterwerts nicht verifiziert
wird:
Die folgende Abbildung zeigt ein Beispiel der Meldung, die der Endbenutzer erhält, wenn eine
Konfiguration wegen eines Formatfehlers nicht verifiziert wird:
85
6.7 Parameter des SafeGuard PortProtector SCV-Checks
Hier folget eine Beschreibung der Parameter, die Sie zur Ausführung von Prüfungen für
SafeGuard PortProtector Client, zusätzlich zur Prüfung dessen Vorhandensein auf dem
Endpunkt, nutzen können. Für jeden Parameter werden Syntax und Beispiele angegeben.
6.7.1 Allgemein
Es gibt 5 Parameter für Prüfung des Status von SafeGuard PortProtector. Alle Parameter sind
optional.
Die Parameter werden mit den aktuellen SafeGuard PortProtector-Daten verglichen, die im
SafeGuard PortProtector Client-Fenster Optionen angezeigt werden.
6.7.2 Parameterformat und Beschreibung
6.7.2.1 MinimumVersion
Beschreibung: "Verifiziert" für Versionen größer oder gleich MinimumVersion.
Format:
0-255.0-255.0-65535
Beispiele:
3.0.12444
3.1.0
6.7.2.2 PolicyUpdatedSinceDate
Beschreibung: "Verifiziert", wenn die letzte Policy-Aktualisierung am oder nach dem
PolicyUpdatedSinceDate durchgeführt wurde. Das Datum ist zwingend erforderlich, die Zeit ist
optional.
Format:
TT.MM.JJJJ
Beispiele:
24.08.2006 12:32:00
12.06.2005
6.7.2.3 PolicyID
Beschreibung: "Verifiziert", wenn die aktuelle Policy gleich einer der vom Parameter
beschriebenen PolicyIDs ist.
Format:
PolicyID1$$PolicyID2$$PolicyID3 …
Anmerkungen: Policy-Version und -ID müssen dem Policy-Namen hinzugefügt sein. Zum
Beispiel: Wenn der Policy-Name “Policy1” lautet, ihre Version 0 und ihre ID 1 ist, sollte sie
“Policy 0 / 1” sein.
Dem ursprünglichen Policy-Namen muss ein Leerzeichen hinzugefügt werden “Sophos Initial
Policy “
Beispiele:
Firmen Policy 0 / 1
Meine Policy 5 / 10$$Sophos Inital Policy $$Policy 0 / 1
86
6.7.2.4 ProtectionStatus
Beschreibung: "Verifiziert", wenn der aktuelle Schutzstatus einer der definierten Stati ist. Es
gibt derzeit drei Stati: STATUS_PROTECTED, STATUS_ERROR und STATUS_SUSPENDED.
Format:
Status1$$Status2$$Status3 …
Beispiele:
STATUS_PROTECTED
STATUS_SUSPENDED$$STATUS_PROTECTED$$STATUS_ERROR
6.7.2.5 ServerID
Beschreibung: "Verifiziert", wenn der Servername gleich einer der vom Parameter
beschriebenen ServerIDs ist. Dieser Parameter kann bei Version 3.1 und höher angewendet
werden.
Format:
ServerID1$$ServerID2$$ServerID3 …
Beispiele:
Unbekannt
Unbekannt$$ABC$$ServerID
87
7 Anhang B - NAC-Interoperabilität
Über diesen Anhang
Dieser Anhang erklärt, wie SafeGuard PortProtector Client mit Cisco Trust Agent (CTA) und
Cisco Secure Access Control Server (ACS) zur Verbesserung Ihrer Netzwerksicherheit
interagiert. Es enthält die folgenden Abschnitte:

Was ist NAC, Seite 89, beschreibt Cisco NAC (Network Access Control) und seine Vorteile.

Posture-Validierung, Seite 89, erklärt Attribute, z.B. die von SafeGuard PortProtector Client
über CTA gemeldeten, von ACS validiert werden.

SafeGuard PortProtector und NAC, Seite 76, beschreibt die Schnittstellenbildung zwischen
SafeGuard PortProtector und NAC, um einen umfassenden Netzwerkschutz zu bieten.

Konfigurieren von Posture-Validierungspolicies, Seite 90, beschreibt das Importieren der
SafeGuard PortProtector Client-Datei der Attribut/Wert-Paare (AVP) und liefert einen Link
zur Cisco-Dokumentation für die Validierungspolicy-Konfiguration.

Attribut/Wert-Paare - AVP-Datei, Seite 92, enthält eine AVP-Beispieldatei, die nach ACS
importiert werden muss, um die Attribute des SafeGuard PortProtector Clients zu prüfen.
88
7.1 Was ist NAC
NAC ist ein Satz von Technologien und Lösungen, die auf einer von Cisco Systems angeführten
Brancheninitiative aufgebaut sind. Es nutzt die Netzwerkinfrastruktur, um die Einhaltung der
Sicherheitsrichtlinien auf allen Geräten durchzusetzen, die auf Rechnerressourcen im Netz
zugreifen möchten, und begrenzt so den Schaden durch auftretende Sicherheitsbedrohungen.
Kunden, die NAC einsetzen, können den Netzzugang auf konforme und vertrauenswürdige
Endpunktgeräte (z.B. PCs, Server und PDAs) begrenzen und den Zugang nicht konformer
Geräte einschränken.
7.1.1 Vorteile von NAC

NAC verbessert die Netzwerksicherheit drastisch. NAC stellt sicher, dass alle Endpunkt den
aktuellsten Sicherheitsrichtlinien entsprechen, unabhängig von Größe oder Komplexität des
Netzes. Mit NAC können Sie sich auf die Prävention statt auf Reaktion konzentrieren. So
können Sie einen proaktiven Schutz gegen Eindringlinge und gegen Durchsickern erreichen.

NAC steigert den Wert Ihrer Investition. NAC ist nicht nur in die CiscoNetzwerkinfrastruktur integriert, sondern erfreut sich auch einer breit angelegten Integration
in Antivirus- Sicherheits- und Managementlösungen Dutzender führender Hersteller.

NAC liefert Deployment-Skalierbarkeit und umfassende Kontrolle. NAC bietet eine
Bewilligungskontrolle für alle Zugangsarten (LAN-, WAN-, drahtlosen und Remote-Zugang).

NAC steigert die Ausfallsicherheit des Unternehmens. NAC verhindert, dass nicht konforme
Endpunkte die Netzverfügbarkeit beeinträchtigen.

NAC reduziert die Betriebsausgaben. NAC reduziert den Aufwand für die Identifizierung und
Reparatur nicht konformer und infizierter Systeme.
7.2 Posture-Validierung
Der Begriff Posture bezeiht sich auf die Sammlung von Attributen, die beim Verhalten und der
"Gesundheit" des Endpunktgeräts, das auf das Netz zugreifen möchte, eine Rolle spielen, und die
geprüft werden können. Einige dieser Attribute beziehen sich auf den Typ des Endpunktgeräts.
Andere Attribute gehören zu verschiedenen Sicherheitsanwendungen, die auf dem Endpunkt
vorhanden sein können, wie z.B. SafeGuard PortProtector Client (Attribute des SafeGuard
PortProtector Clients auf Seite 90 enthält eine Liste der Attribute des SafeGuard PortProtector
Clients).
Posture-Validierung bezieht sich auf das Anwenden eines Regelsatzes auf die Posture-Daten, um
eine Beurteilung (Posture-Token) über das Maß an Vertrauen, das Sie in den Endpunkt setzen
können, zu liefern. Das Posture-Token ist eine der Bedingungen in den Authorisierungsregeln
für den Netzzugang. Die Posture-Validierung bietet zusammen mit der herkömmlichen
Benutzerauthentifizierung eine vollständige Sicherheitsbeurteilung des Endpunktgeräts und des
Benutzers.
Cisco Secure Access Control Server Release 4.0 für Windows, im Folgenden als ACS bezeichnet,
unterstützt die Posture-Validierung, wenn ACS als Teil einer breit angelegten Cisco NACLösung eingesetzt wird.
CTA, das einen Posture Agent (PA) enthält, liefert die SafeGuard PortProtector Client PostureAttribute an ACS, welches die Beurteilung der Posture-Attribute durchführt.
89
7.3 SafeGuard PortProtector und NAC
Während der Installation von SafeGuard PortProtector Client wird eine DLL (SProtectorPP.dll)
installiert, die den Status der verschiedenen SafeGuard PortProtector Attribute (siehe unten) an
CTA kommuniziert. CTA, das einen Posture Agent enthält, liefert die Posture-Attribute an ACS,
welches die Beurteilung der Posture-Attribute durchführt.
Wenn eine der Attributprüfungen fehlschlägt, wird der Zugang des Endpunkts auf das
Organisationsnetz gesperrt.
7.3.1 Attribute des SafeGuard PortProtector Clients
Neben der Prüfung auf das Vorahndensein von SafeGuard PortProtector Client auf dem
Endpunkt können die folgenden Parameter geprüft und an den CTA Posture Agent gemeldet
werden:

Softwareversion

SafeGuard PortProtector Policy-Name

SafeGuard PortProtector Policy-ID

SafeGuard PortProtector Policy-Version

SafeGuard PortProtector Policy-Typ

SafeGuard PortProtector Policy-Aktualisierungszeitpunkt
7.4 Konfigurieren von Posture-Validierungspolicies
In einer Posture-Validierungspolicy definieren Sie die Gültigkeitsprüfungen SafeGuard
PortProtector Client-Attribute. Diese Prüfungen werden fürr die Attribute durchgeführt, die
von SafeGuard PortProtector Client mit Hilfe der SProtectorPP.dll an den CTA Posture Agent
kommuniziert und von CTA an ACS gemeldet werden. Damit Sie Policies für SafeGuard
PortProtector Client-Attribute definieren können, muss die Datei der Attribut/Wert-Paare
(AVP) nach ACS importiert werden, die diese Attribute definiert.
Hinweis: Nachstehend werden grundlegende Anleitungen gegeben. Weitere Details lesen Sie
bitte in der Cisco ACS-Dokumentation nach, verfügbar unter:
http://www.cisco.com/application/pdf/en/us/guest/products/ps6439/c2001/ccmigration_09186a
008053d5e4.pdf
ODER
http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_user_guide_chapter09186a
008052e956.html.
90
So importieren Sie die AVP-Datei in die ACS-Policy:
1
Falls noch nicht geschehen, installieren Sie SafeGuard PortProtector Client auf den
entsprechenden Endpunkten. Dabei werden automatisch zwei Dateien in das Verzeichnis
C:\Programme\Gemeinsame Dateien\PostureAgent\Plugins kopiert:

SProtectorPP.inf: enthält eine Beschreibung der SafeGuard PortProtector Client-Attribute
und deren Identifikation.

SProtectorPP.dll: Führt Prüfungen der SafeGuard PortProtector Client-Attribute durch,
deren Posture an CTA gemeldet wird.
2
Erstellen Sie eine SafeGuard PortProtector AVP-Datei gemäß dem in Attribut/Wert-Paare AVP-Datei auf Seite 92 gegebenen Beispiels.
3
Öffnen Sie ein Befehlsfenster in ACS.
4
Navigieren Sie zu %\Programme\Cisco Systems\CiscoSecure ACS 4.0\bin.
5
Legen Sie die AVP-Datei (AVPdateiname) in diesem Ordner ab.
6
Führen Sie csutil –addAVP AVPdateiname aus. Das System beginnt, die einzelnen Attribute
aus der AVP-Datei hinzuzufügen. Sobald der Vorgang beendet ist, wird folgende Meldung
angezeigt:
---AVP-Übersicht--(N) AVPs wurden dem Dictionary hinzugefügt<DB>.
7
Starten Sie die Dienste csauth, csadmin und cslogd neu. Die Attribute sind jetzt nach ACS
importiert.
8
Richten Sie ein Profil ein und erstellen Sie Posture-Validierungspolicies auf der Seite der
Posture-Validierung. Eine Erklärung finden Sie in der Benutzerhilfe für Cisco Secure ACS
für Windows, verfügbar unter
http://www.cisco.com/application/pdf/en/us/guest/products/ps6439/c2001/ccmigration_091
86a008053d5e4.pdf
ODER
http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_user_guide_chapter091
86a008052e984.html#wp1196118
91
7.5 Attribut/Wert-Paare - AVP-Datei
Die AVP-Datei beschreibt die Attribute des SafeGuard PortProtector Clients, die für die
Posture-Validierung erforderlich sind. Die Datei muss, wie im vorherigen Abschnitt erklärt,
nach ACS importiert werden.
Das nachstehende Beispiel enthält alle verfügbaren Attribute des SafeGuard PortProtector
Clients. Wenn Sie bestimmte Attribute nicht prüfen möchten, können Sie die entsprechenden
Abschnitte löschen.
[attr#0]
vendor-id=24493
vendor-name=Sophos.
application-id=5
application-name=HIPS
attribute-id=32768
attribute-name=Software-Name
attribute-profile=in out
attribute-type=string
[attr#1]
vendor-id=24493
vendor-name=Sophos.
application-id=5
attribute-id=32769
attribute-name=Version
attribute-type=version
[attr#2]
vendor-id=24493
vendor-name=Sophos.
application-id=5
attribute-id=32770
92
attribute-name=Policy-Name
[attr#3]
vendor-id=24493
vendor-name=Sophos.
application-id=5
attribute-id=32771
attribute-name=Policy-ID
[attr#4]
vendor-id=24493
vendor-name=Sophos.
application-id=5
attribute-id=32772
attribute-name=Policy-Revision
[attr#5]
vendor-id=24493
vendor-name=Sophos.
application-id=5
attribute-id=32773
attribute-name=Policy-Type
attribute-type=unsigned integer
93
[attr#6]
vendor-id=24493
vendor-name=Sophos.
application-id=5
attribute-id=32774
attribute-name=Policy-Update-Time
attribute-type=date
94

SafeGuard PortProtector Installationshandbuch

Transcription

Similar documents

Statistik - Carl-Engler

Universal Login Manager - NT-ware

Computer Setup

SafeGuard Enterprise Administrator-Hilfe

SafeGuard Enterprise Administrator-Hilfe

ESET Remote Administrator 5