SafeGuard PortProtector Installationshandbuch
Transcription
SafeGuard PortProtector Installationshandbuch
SafeGuard PortProtector 3.30 SP6 Installationshandbuch Stand: März 2010 SafeGuard® PortProtector 3.30, Installationshandbuch Wichtiger Hinweis Dieses Installationshandbuch wird vorbehaltlich folgender Bedingungen und Einschränkungen ausgeliefert: Dieses Handbuch enthält Eigentumsinformationen, die Eigentum von Sophos sind. Diese Informationen werden ausschließlich zum Zweck der Unterstützung ausdrücklich und ordnungsgemäß befugter Benutzer von SafeGuard PortProtector ausgegeben. Kein Teil seines Inhalts darf ohne vorherige schriftliche Genehmigung von Sophos für einen anderen Zweck verwendet, anderen Person oder Unternehmen offenbart oder in irgendeiner Weise, elektronisch oder mechanisch, reproduziert werden. Text und Grafik dienen ausschließlich der bildhaften Darstellung und Referenz. Änderungen der Angaben, auf welchen sie basieren, bleiben vorbehalten. Die in diesem Handbuch beschriebene Software wird unter Lizenz zur Verfügung gestellt. Die Software darf nur in Übereinstimmung mit den Bedingungen dieser Vereinbarung verwendet oder kopiert werden. Änderungen der in diesem Handbuch enthaltenen Informationen bleiben vorbehalten. Sofern nichts anderes erwähnt wird, sind die in diesem Dokument verwendeten Namen und Daten von Unternehmen und Einzelpersonen frei erfunden. Alle Informationen in diesem Dokument sind nach bestem Wissen und Gewissen gegeben, jedoch ohne jegliche Gewähr auf Genauigkeit, Vollständigkeit oder Sonstiges, und mit dem ausdrücklichen Verständnis, dass Sophos. keinerlei Verpflichtungen gegenüber Dritten in irgendeiner Form hat, die aus den Informationen oder im Zusammenhang mit den Informationen oder deren Nutzung entstehen. Sophos SafeGuard PortProtector und Sophos SafeGuard PortAuditor sind OEM-Versionen der Safend-Produkte Safend Protector and Safend Auditor. Einige Screenshots in diesem Handbuch weisen daher das Safend-Branding auf, haben jedoch die gleiche Bedeutung und Funktionsweise wie in der SafeGuard OEM-Version. Boston, USA | Oxford, UK © Copyright 2010. Sophos. Alle Rechte vorbehalten. All trademarks are the property of their respective owners. Namen anderer Unternehmens- und Markenprodukte und Dienstleistungen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer. 2 SafeGuard® PortProtector 3.30, Installationshandbuch Über dieses Handbuch Dieses Installationshandbuch besteht aus den folgenden Kapiteln: Kapitel 1, Installationsworkflow, schlägt einen Workflow für die Nutzung der SafeGuard PortProtector-Lösung zum Schutz der Endpunkte in Ihrer Organisation vor. Kapitel 2, Vorbereitung der Installation, beschreibt die Architektur von SafeGuard PortProtector sowie den Workflow für die Installation von SafeGuard PortProtector. Anschließend werden die Systemanforderungen sowie Voraussetzungen für Installation und alle Vorbereitungen beschrieben, die vor der Installation von SafeGuard PortProtector erfolgen müssen. Kapitel 3, Installieren von SafeGuard PortProtector Management Server, beschreibt das Installieren, Wiederherstellen und Aufrüsten von SafeGuard PortProtector Management Server sowie das Starten der Starten der SafeGuard PortProtector Management Console. Kapitel 4, Installieren von SafeGuard PortProtector Management Console, beschreibt, wie die SafeGuard PortProtector Management Console installiert wird. Kapitel 5, Installieren von SafeGuard PortProtector Client, beschreibt die verschiedenen Methoden für die Installation bzw. das Deployment von SafeGuard PortProtector Client. Darüber hinaus erklärt es die Verfahren für das Deinstallieren und Aufrüsten von SafeGuard PortProtector Client. Anhang A - OPSEC™-Interoperabilität, beschreibt OPSEC™ von Check Point und dessen Zusammenspiel mit SafeGuard PortProtector. Anhang B - NAC-Interoperabilität, beschreibt NAC von Cisco und dessen Zusammenspiel mit SafeGuard PortProtector. 3 SafeGuard® PortProtector 3.30, Installationshandbuch Inhalt 1 Installationsworkflow .................................................................................................................. 5 2 Vorbereitung der Installation ..................................................................................................... 8 3 Installieren von SafeGuard PortProtector Management Server ............................................ 12 4 Installieren von SafeGuard PortProtector Management Console ......................................... 39 5 Installieren von SafeGuard PortProtector Client .................................................................... 49 6 Anhang A - OPSEC™-Interoperabilität ................................................................................... 75 7 Anhang B - NAC-Interoperabilität ........................................................................................... 88 4 SafeGuard® PortProtector 3.30, Installationshandbuch 1 Installationsworkflow Über dieses Kapitel Vor der Installation von SafeGuard PortProtector V3.3 muss der Implementierungsprozess für die SafeGuard PortProtector-Lösung voll und ganz klar sein. Dieses Kapitel schlägt einen Workflow für die Nutzung der SafeGuard PortProtector-Lösung zum Schutz der Endpunkte in Ihrer Organisation vor. Es enthält die folgenden Abschnitte: Workflow zur Implementierung von SafeGuard PortProtector beschreibt den Workflow für die Implementierung und Nutzung von SafeGuard PortProtector. 5 SafeGuard® PortProtector 3.30, Installationshandbuch 1.1 Workflow zur Implementierung von SafeGuard PortProtector Im Folgenden finden Sie eine Übersicht über den Workflow für die Implementierung und Nutzung von SafeGuard PortProtector. 6 SafeGuard® PortProtector 3.30, Installationshandbuch Schritt 1: SafeGuard PortProtector Management Server und Console installieren, siehe Kapitel 2, Vorbereitung der Installation, und Kapitel 3, Installieren von SafeGuard PortProtector Management Server. Schritt 2: Weitere Management Consoles installieren, siehe Kapitel 4, Installieren von SafeGuard PortProtector Management Console. Schritt 3: Allgemeine SafeGuard PortProtector Administrationseinstellungen definieren, z.B. auf welche Weise Policies veröffentlicht werden, siehe Kapitel 7, Administration, in der SafeGuard PortProtector Benutzerhilfe. Schritt 4: Computer scannen und Port-/Gerätenutzung erkennen. Verwenden Sie SafeGuard PortAuditor, um die Ports zu erkennen, die in Ihrer Organisation genutzt wurden, sowie die Geräte und WiFi-Netze, die an diesen Ports angeschlossen waren, siehe SafeGuard PortAuditor Benutzerhilfe. Schritt 5: SafeGuard PortProtector-Policies definieren. In diesem Schritt definieren Sie die gesperrten, zugelassen und eingeschränkten Ports, Geräte und WiFi-Netze gemäß den Sicherheits- und Produktivitätsanforderungen Ihrer Organisation,siehe Kapitel 3, Definieren von Policies in der SafeGuard PortProtector Benutzerhilfe. Schritt 6: SafeGuard PortProtector Client auf Endpunkten installieren, siehe Kapitel 5, Installieren von SafeGuard PortProtector Client. Schritt 7: SafeGuard PortProtector-Policies an Endpunkte verteilen: In diesem Schritt können Sie Policies zu Benutzern und Computern zuordnen und sie direkt (via SSL) an die Endpunkte verteilen, oder die GPO-Funktion von Active Directory oder ein beliebiges Tool eines Drittanbieters zur Verteilung von SafeGuard PortProtector-Policies nutzen, siehe Kapitel 4, Verteilen von Policies, in der SafeGuard PortProtector Benutzerhilfe. Schritt 8: Endpunkte sind durch SafeGuard PortProtector-Policies geschützt: In diesem Schritt können nur zugelassene Geräte und WiFi-Netze auf freigegebenen Ports genutzt werden. Logs über Port-, Geräte- und WiFi-Netzwerknutzung und Nutzungsversuche sowie Manipulationsversuche werden erstellt und an den Management Server gesendet, siehe Kapitel 8, Endbenutzer-Erfahrung in der SafeGuard PortProtector Benutzerhilfe. Schritt 9: Überwachungslogs und Alarme: Anzeige und Export der von den SafeGuard PortProtector Clients generierten Logeinträge, siehe Kapitel 5, Anzeigen von Logs, im SafeGuard PortProtector Benutzerhilfe. 7 SafeGuard® PortProtector 3.30, Installationshandbuch 2 Vorbereitung der Installation Über dieses Kapitel Dieses Kapitel beschreibt zunächst die Architektur von SafeGuard PortProtector sowie den Workflow für die Installation von SafeGuard PortProtector. Dann werden die Systemanforderungen und Voraussetzungen für die Installation der verschieden Komponenten von SafeGuard PortProtector beschreiben. Daraufhin folgen Anleitungen zur Vorbereitung des Netzes für die Installation. Es enthält die folgenden Abschnitte: Systemanforderungen, Seite 9, beschreibt die Systemanforderungen für die einzelnen Komponenten von SafeGuard PortProtector. Vorbereiten Ihres Netzes, Seite 10, beschreibt die erforderlichen Vorbereitungsarbeiten an Ihrem Netz, damit die verschieden SafeGuard PortProtector-Komponenten reibungslos kommunizieren können. Tipps zur Vorbereitung der Endpunkte, Seite 11, beschreibt die erforderlichen Vorbereitungsarbeiten an Ihren Endpunkten vor der Installation von SafeGuard PortProtector, um die Sicherheit Ihres Netzes zu optimieren. 8 SafeGuard® PortProtector 3.30, Installationshandbuch 2.1 Systemanforderungen Die Systemanforderungen für die verschiedenen Systemkomponenten sind: Anforderungen für Anforderungen für SafeGuard PortProtector SafeGuard PortProtector Client Console Windows 2000 Windows XP Betriebssystem Professional (SP3-4) Professional (SP1-2) Windows 2000 Server Windows 2003 Server (SP3-4) (SP0-2) Windows 2000 Advanced Server (SP34) Windows XP Professional (SP0-2) Windows 2003 Server (SP0-2) Windows Vista Hardware Software Pentium 800 MHz 256 MB RAM 50 MB freie Festplattenkapazität Anforderungen für SafeGuard PortProtector Server Windows XP Professional (SP2) Windows 2003 Server (SP0-2) Pentium 800 MHz 256 MB RAM 50 MB freie Festplattenkapazität Die Anforderungen für die Server-Hardware hängen von der Anzahl der installierten SafeGuard PortProtector Clients ab. Um für Ihre Organisation geeignete Spezifikationen zu erhalten, wenden Sie sich bitte an Ihren örtlichen Sophos-Vertreter oder den Support bei [email protected]. Microsoft .NET Framework 2.0 Microsoft .NET Framework 2.0 Microsoft Internet Information Services (IIS) 9 SafeGuard® PortProtector 3.30, Installationshandbuch 2.2 Vorbereiten Ihres Netzes Aktivieren Sie vor der Installation des Systems unbedingt die folgenden Kommunikationen in Ihrem Netz und den persönlichen Firewalls. So bereiten Sie Ihr Netz vor: 1 Damit die Kommunikation zwischen dem SafeGuard PortProtector Management Server und den SafeGuard PortProtector Clients frei vonstatten geht, vergewissern Sie sich, dass der SSL-Ports in der Firewall Ihres Netzes geöffnet ist. Normalerweise benutzt Sophos dafür den Port 443 (SSL-Standard). Falls Sie einen anderen Port gewählt haben, stellen Sie sicher, dass er in Ihrer Firewall freigegeben ist. 2 Damit die SafeGuard PortProtector Management Console die Clients kontrollieren kann (und Befehle zum Senden ihrer Logs bzw. Aktualisieren ihrer Policy senden kann), müssen WMI-Ports auf der persönlichen Firewall der einzelnen Endpunkte geöffnet sein. WMI nutzt Port 135 und eine Reihe zufällig gewählter Ports. 2.2.1 Öffnen von WMI-Ports auf der Windows XP / (SP2) Firewall Wenn Sie die Windows XP / (SP2) Firewall als persönliche Firewall auf den Endpunkten einsetzen, können Sie den GPO-Mechanismus nutzen, um die Endpunkte so zu konfigurieren, dass sie ankommende WMI-Kommunikation annehmen. Der folgende Abschnitt ist aus der Microsoft-Dokumentation entnommen. "Ohne konfigurierte Ausnahmen trennt die Windows Firewall den gesamten Verkehr für Server, - Peer- oder Listener-Applikationen und -Dienste. Es ist deshalb wahrscheinlich, dass Sie Ausnahmen in der Windows Firewall konfigurieren möchten, um so sicherzustellen, dass die Windows Firewall für Ihr Umfeld in geeigneter Weise funktioniert. Die Windows FirewallEinstellungen stehen nur zur Computer-Konfiguration zur Verfügung. Sie befinden sich unter Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Windows Firewall. Für zwei Profile stehen identische Sätze von Richtlineneinstellungen zur Verfügung: Domänenprofil. Dieses Profil wird genutzt, wenn Computer an ein Netz angeschlossen sind, das die Active Directory-Domäne Ihrer Organisation enthält. Standardprofil. Dieses Profil wird genutzt, wenn Computer nicht an ein Netz angeschlossen sind, das die Active Directory-Domäne Ihrer Organisation enthält, wie es bei Heim-Netzen oder dem Internet der Fall ist. Die relevante Policy-Einstellung für WMI ist: Windows Firewall: Zulassen der Remoteverwaltung 10 SafeGuard® PortProtector 3.30, Installationshandbuch Lässt die Remoteverwaltung dieses Computers über die Administrationswerkzeuge wie z.B. Microsoft Management Console (MMC) und Windows Management Instrumentation (WMI) zu. Dazu öffnet die Windows Firewall: die TCP-Ports 135 und 445. Dienste verwenden diese Ports normalerweise zur Kommunikation über RPC und DCOM. Die Voreinstellung ist 'Nicht konfiguriert'." 2.3 Tipps zur Vorbereitung der Endpunkte Durch das Booten über ein externes Bootdevice (Diskette, CD etc.) werden Sicherheitsprogramme umgangen. Es gibt jedoch ein paar Möglichkeiten, dieses Szenario entweder zu verhindern oder es unmöglich zu machen, die Daten außerhalb des durch Sophos geschützten Betriebssystems zu lesen: Ändern der Bootsequenz: Ändern Sie die Bootsequenz so, dass der Computer nicht zuerst von Diskette, dann von CD\DVD-ROM und schließlich vom Festplattenlaufwerk bootet. Das Festplattenlaufwerk muss immer das erste Bootdevice sein. Wenn Diskette oder CD\DVD-ROM das erste Bootdevice sind, kann jeder ein startfähiges Medium benutzen, direkt auf das Festplattenlaufwerk und das Administrator-Kennwort in Sekundenschnelle zurücksetzen. Physische Versiegelung \ Chassis-Schutz: Vergewissern Sie sich, dass die Hardware versiegelt ist und das Festplattenlaufwerk nicht einfach abgetrennt werden kann. Einrichten eines Kennworts zum Schutz des BIOS: Dadurch wird verhindert, dass Benutzer in das BIOS gelangen und den Bootzugriff über andere Geräte als das interne Festplattenlaufwerk aktivieren können. Festplattenverschlüsselung: Auf dem Markt stehen mehrere Softwarepakete zur Festplattenverschlüsselung zur Verfügung. Mit diesen Programmen kann die gesamte Festplatte verschlüsselt werden. Dadurch wird sichergestellt, dass die Daten nur gelesen werden können, wenn das Betriebssystem geladen wird (das einen entschlüsselbaren Client enthält). Beim Booten von einem externen Bootdevice werden alle Daten verschlüsselt. SafeGuard PortProtector Client wurde mit den führenden Softwareprodukten dieser Art getestet, einschließlich PGP Wholedisk, Sophos Safeguard Easy, WinMagic und Pointsec. 11 SafeGuard® PortProtector 3.30, Installationshandbuch 3 Installieren von SafeGuard PortProtector Management Server Über dieses Kapitel Dieses Kapitel beschreibt, wie SafeGuard PortProtector Management Server installiert wird. Es enthält die folgenden Abschnitte: Voraussetzungen, Seite 13, beschreibt die Anforderungen für die Installation des Management Servers. Installieren vorausgesetzter Software, Seite 13, beschreibt die Installation von Microsoft .NET Framework und IIS. Vor dem Installieren von SafeGuard PortProtector Management Server, Seite 15, liefert eine Check-Liste der Punkte, die Sie vor Beginn der Installation überprüfen müssen. Installieren von SafeGuard PortProtector Management Server, Seite 16, beschreibt die Erstinstallation von SafeGuard PortProtector Management Server sowie das Starten der Starten der SafeGuard PortProtector Management Console. Wiederherstellen eines vorhandenen Management Servers, Seite 30, beschreibt die Wiederherstellung eines vorhandenen SafeGuard PortProtector Management Servers im Fall einer Hardwareaufrüstung oder einer Störung. Aufrüsten des Management Servers, Seite 35, erklärt die Aufrüstung von SafeGuard PortProtector von Version 3.2 auf Version 3.3. Einstellungen nach der Installation (Check-Liste) Seite 36, listet eine Reihe kritischer Einstellungen auf, die nach der Installation zu definieren sind. Deinstallieren von SafeGuard PortProtector Management Server, Seite 37, erklärt, wie SafeGuard PortProtector Management Server deinstalliert wird. Ändern der Datenbank, Seite 38, erklärt, wie von einer integrierten SafeGuard PortProtector-Datenbank auf eine externe MS SQL-Datenbank (und umgekehrt) umgeschaltet wird. 12 SafeGuard® PortProtector 3.30, Installationshandbuch 3.1 Voraussetzungen 3.1.1 Betriebssystem Windows XP Professional (SP0-2) Windows 2003 Server (SP0-2) 3.1.2 Hardware Die Anforderungen für die Server-Hardware hängen von der Anzahl der installierten SafeGuard PortProtector Clients ab. Um für Ihre Organisation geeignete Spezifikationen zu erhalten, wenden Sie sich bitte an Ihren örtlichen Sophos-Vertreter oder den Support bei [email protected]. Software Microsoft .NET Framework 2.0 ist installiert Microsoft Internet Information Services (IIS) 3.2 Installieren vorausgesetzter Software 3.2.1 Installieren von Microsoft .NET Framework 2.0 So installieren Sie .NET Framework Microsoft .NET Framework 2.0 ist standardmäßig in Windows 2003 integriert und kann kostenlos für Windows XP von der Microsoft-Website heruntergeladen werden. Link zum .NET Framework 2.0 Installationspaket: http://www.microsoft.com/downloads/details.aspx?FamilyID=0856eacb-4362-4b0d-8eddaab15c5e04f5&DisplayLang=en 13 SafeGuard® PortProtector 3.30, Installationshandbuch Ins tallieren von Mic ros oft IIS So installieren Sie Microsoft IIS: 1 Doppelklicken Sie in der Systemsteuerung auf Ihrem Computer auf Software. Das Fenster Software wird angezeigt. 2 Klicken Sie auf Windows-Komponenten hinzufügen oder entfernen. Das Fenster für den Assistenten der Windows-Komponenten wird angezeigt. 3 Wenn Sie die Anwendung auf einem Computer mit Windows 2003 installieren, markieren Sie das Kontrollkästchen Applikationsserver. Wenn Sie IIS auf einem Computer mit Windows XP installieren, markieren Sie das Kontrollkästchen Internet Information Services, wie unten gezeigt: 4 Klicken Sie auf Weiter. 5 Das Fenster Disk einlegen wird angezeigt, in dem nach der Disk oder dem Speicherort mit den relevanten Microsoft Windows-Installationskomponenten gefragt wird: 6 Legen Sie die Disk ein, und klicken Sie auf OK. Die Installation kann ein paar Augenblicke dauern. 7 Wenn der Assistent Sie über den Abschluss der Installation benachrichtigt (wie in der folgenden Abbildung gezeigt), klicken Sie auf Fertig stellen, um den Assistenten zu schließen. IIS ist jetzt installiert. 14 SafeGuard® PortProtector 3.30, Installationshandbuch 3.3 Vor dem Installieren von SafeGuard PortProtector Management Server 1 Überprüfen Sie, dass alle Systemanforderungen und Voraussetzungen erfüllt sind. 2 Vergewissern Sie sich, dass der SafeGuard PortProtector Server-Computer zu derselben Domäne gehört, in der Sie SafeGuard PortProtector-Policies einsetzen möchten. 3 Vergewissern Sie sich, dass keine MySQL DB auf dem SafeGuard PortProtector Management Server-Computer installiert ist. 15 SafeGuard® PortProtector 3.30, Installationshandbuch 3.4 Installieren von SafeGuard PortProtector Management Server So installieren Sie SafeGuard PortProtector Management Server: auf Ihrer Installations-CD. 1 Suchen Sie 2 Doppelklicken Sie auf die Datei. Das Fenster SafeGuard PortProtector Server-Installation wird angezeigt: 3 Klicken Sie auf Durchsuchen, um einen Zielordner für die extrahierten Installationsdateien auszuwählen. Hinweis: Stellen Sie sicher, dass die Dateien in einen lokalen Ordner extrahiert werden. Die Installation kann nicht von einem Netzwerkpfad ausgeführt werden. 4 Klicken Sie auf Installieren. 5 Nach der Extraktion werden Sie aufgefordert, die Sprache für SafeGuard PortProtector Server zu wählen (siehe unten): 6 Wählen Sie die gewünschte Sprache, und klicken Sie auf OK. Der erste Schritt des Installationsassistenten wird angezeigt: 16 SafeGuard® PortProtector 3.30, Installationshandbuch 7 Klicken Sie auf Weiter, und lesen Sie die Endbenutzer-Lizenzvereinbarung. Nachdem Sie sie akzeptiert haben, klicken Sie wieder auf Weiter. Der Schritt Installationsmodus wird angezeigt: 17 SafeGuard® PortProtector 3.30, Installationshandbuch Wählen Sie eine der folgenden Optionen: Aktivieren Sie bei einer neuen Installation die Optionsschaltfläche Neu, und fahren Sie mit Schritt 9 fort. Anleitungen zur Option Wiederherstellen finden Sie in Wiederherstellen eines vorhandenen Management Servers auf Seite 30). Um einen Serverzusammenschluss zu benutzen, aktivieren Sie die Optionsschaltfläche Cluster nutzen. Ein Server-Cluster ermöglicht die Installation mehrerer SafeGuard PortProtector Management Server, die mit einer einzigen, externen Datenbank verbunden sind, so dass sie nahtlos die Verkehrslast von den Endpunkten teilen und auch Redundanz sowie hohe Verfügbarkeit bieten. Das folgende Fenster wird angezeigt: Wählen Sie die externe Datenbank, zu der die Verbindung hergestellt werden soll. Fahren Sie mit Schritt 12 fort. 18 SafeGuard® PortProtector 3.30, Installationshandbuch 8 Klicken Sie auf Weiter. Das Fenster Datenbank wird angezeigt: SafeGuard PortProtector kann seine eigene interne Datenbank zur Speicherung der Konfiguration und der Daten erzeugen. Alternativ können Sie auch eine vorhandene, externe Datenbank nutzen. Hinweis: SafeGuard PortProtector unterstützt MS SQL 2000 und höher. 9 Wählen Sie im Fenster Datenbank die entsprechende Optionsschaltfläche. Wählen Sie die erste Optionsschaltfläche, wenn Sie eine Datenbank nutzen möchten, die sich auf demselben Computer wie der Management Server befindet (die Datenbank wird von SafeGuard PortProtector Management Server verwaltet). Wählen Sie die zweite Option, wenn Sie über eine MS SQL-Datenbank auf einem anderen Computer verfügen und sie diese als SafeGuard PortProtector-Datenbank nutzen möchten. Hinweis: Wenn Sie die Verwendung einer vorhandenen, externen Datenbank wählen, muss diese Datenbank bereits installiert sein. 10 Klicken Sie auf Weiter. Wenn Sie eine integrierte Datenbank verwenden möchten, fahren Sie mit Schritt 15 fort. 11 Wenn Sie die Verwendung eines vorhandenen Datenbankservers oder eines Clusters gewählt haben, wird das folgende Fenster angezeigt: 19 SafeGuard® PortProtector 3.30, Installationshandbuch 12 Führen Sie im Fenster Datenbankberechtigungen folgende Schritte aus: a. Geben Sie im Feld Datenbankserver den Namen des Datenbankservers ein (verwenden Sie bei einer nicht standardmäßigen Instanz das Format Server\Instanz). b. Klicken Sie unter Datenbankauthentifizierungsmodus auf die entsprechende Optionsschaltfläche, um die Nutzung von MS SQL Sicherheit oder Microsoft Windows Sicherheit festzulegen. c. Geben Sie Ihre Datenbankberechtigungen ein - Benutzername und Kennwort Wenn Sie Microsoft Windows Sicherheit gewählt haben, müssen Sie auch den Namen der Domäne eingeben. 13 Klicken Sie auf Weiter. Das Installationsprogramm validiert den Zugriff auf die Datenbank. Hinweis: Wenn die Gültigkeitsprüfung fehlschlägt, geben Sie die richtigen Daten ein, oder klicken Sie auf Abbrechen, um den Installationsassistenten abzubrechen. 20 SafeGuard® PortProtector 3.30, Installationshandbuch Hinweis: Wenn bereits eine gültige SafeGuard PortProtector-Datenbank auf diesem Datenbankserver existiert, wird folgendes Fenster angezeigt: Klicken Sie in diesem Fenster auf Ja, um die vorhandene Datenbank zu überschreiben. Wenn Sie die vorhandene Datenbank benutzen möchten, klicken Sie auf Nein und fahren mit Wiederherstellen eines vorhandenen Management Servers auf Seite 30 fort. 14 Der Schritt Zielordner wird angezeigt: 21 SafeGuard® PortProtector 3.30, Installationshandbuch 15 Klicken Sie auf Weiter, um den Standard-Installationsordner auszuwählen: C:\Programme\Sophos\SafeGuard PortProtector, oder klicken Sie auf Ändern, um einen anderen Installationsordner zu wählen. Klicken Sie dann auf Weiter. Das Fenster Domänenberechtigungen wird angezeigt: 16 Geben Sie im Fenster Domänenberechtigungen die Anwenderberechtigungen der Domäne ein: SafeGuard PortProtector Management Server benötigt ein Domänenkonto aus Ihrem Active Directory, um Tasks wie das Erstellen von GPOs auszuführen und Clients via WMI zu steuern. Wir empfehlen, ein Konto mit Domänenadministratorrechten einzugeben (Sie können diesen Benutzer nach der Installation ändern). 22 SafeGuard® PortProtector 3.30, Installationshandbuch 17 Klicken Sie auf Weiter. Der Zugriff auf die Management Console seitens der Benutzer ist aus Sicherheitsgründen beschränkt. SafeGuard PortProtector braucht keine eigenen Benutzer und keine ComputerDatenbank. Stattdessen werden die Berechtigungen gegen Active Directory bzw. lokale Benutzerkonten auf dem Management Server-Computer geprüft. Nach der Installation ist der Zugriff auf die Management Console auf Benutzer beschränkt, die lokale Administratorrechte auf dem Computer mit dem Server haben (siehe unten): 18 Klicken Sie auf Weiter. Das Fenster Kommunikationsport wird angezeigt. SafeGuard PortProtector Management Server kommuniziert mit den SafeGuard PortProtector Management Consoles und Clients über SSL-Ports. Die Definition der Ports ist unter Windows XP und Windows 2003 unterschiedlich. 23 SafeGuard® PortProtector 3.30, Installationshandbuch Windows XP Der Management Server nutzt den SSL-Standardport, der durch die Website des Hostcomputers für die Kommunikation mit SafeGuard PortProtector Clients und mit der Management Console definiert ist. Hinweis: Wenn keine Website auf dem Hostcomputer gefunden wird, wird das gleiche Fenster angezeigt, in dem das Textfeld für den Kommunikationsport (SSL) bearbeitet werden kann. Wenn Sie nicht den Standardport 443 verwenden, ändern Sie ihn nach Bedarf. 24 SafeGuard® PortProtector 3.30, Installationshandbuch Windows 2003 In Windows 2003 nutzt SafeGuard PortProtector zwei unterschiedliche Ports zur Kommunikation mit SafeGuard PortProtector Clients und mit dem Management Server. Die Standardports sind 443 für die Client-Kommunikation und 4443 für die Kommunikation mit der Management Console. Sie können diese Standardports bei Bedarf ändern. 19 Damit SSL funktioniert, ist ein Zertifikat zur Authentifizierung des Management Servers erforderlich. Dieses Zertifikat wird auch zur Verschlüsselung der auf dem Kommunikationsport gesendeten Daten verwendet. Wenn der Computer, auf dm der Server läuft, bereits über eine aktive Website verfügt, die die Aktivierung des SSL-Ports zulässt, nutzt das Programm das vorhandene Zertifikat. Wenn kein Zertifikat existiert, erstellt das Programm ein neues Zertifikat und benachrichtigt Sie entsprechend. Hinweis: Ein auf diese Weise generiertes Zertifikat ist nicht von einer gültigen Zertifizierungsstelle (CA, Certificate Authority) signiert. Auch wenn dies das allgemeine Maß an Sicherheit des Systems nicht beeinflusst, kann die Verwendung dieses Zertifikats doch zur Anzeige von Sicherheitsalarmen in Internet Explorer führen. 25 SafeGuard® PortProtector 3.30, Installationshandbuch Um diese Alarme zu vermeiden, müssen Sie das Zertifikat durch ein signiertes Zertifikat ersetzen, das Sie von einer vertrauten Zertifizierungsstelle erhalten. 20 Klicken Sie auf OK, um die Installation fortzusetzen. 21 Klicken Sie auf Weiter. Im folgenden Fenster werden Sie aufgefordert, ein Backup der Verschlüsselungsschlüssel zu erstellen, die von SafeGuard PortProtector generiert wurden. Um die Sicherheit des Systems zu erhöhen, werden während der Installation Verschlüsselungsschlüssel generiert. Diese Schlüssel sind für Ihre Organisation einmalig und erhöhen den Manipulationswiderstand Ihres Systems. Die Schlüssel werden zur Verschlüsselung von Policies und Logs sowie zur gegenseitigen Authentifizierung zwischen dem Server und den Endpunkten benutzt. Die Verwendung dieser eindeutigen Schlüssel liegt z.B. darin, dass die Endpunkte bei der Installation mit dem eindeutigen Organisationsschlüssel initialisiert werden müssen. Ab diesem Zeitpunkt wird ein Endpunkt jede Information (d.h. Policy), die nicht mit den Schlüsseln übereinstimmt, als Versuch werten, seinen Schutz zu umgehen. Aus diesem Grund wird dringend empfohlen, die Schlüssel zu sichern und auf einem anderen Computer/Standort zu speichern, um im Fall einer Serverstörung eine reibungslose Wiederherstellung zu gewährleisten, ohne die Clients wieder auf den Endpunkten installieren zu müssen. 26 SafeGuard® PortProtector 3.30, Installationshandbuch Zur Erstellung eines Backups Ihrer Verschlüsselungsschlüssel müssen Sie ein Kennwort zum Schutz der Schlüssel festlegen: Wenn Sie während der Installation kein Backup der Verschlüsselungsschlüssel erstellen möchten, markieren Sie das Kontrollkästchen Jetzt kein Backup der Verschlüsselungsschlüssel erstellen, und klicken Sie auf Weiter. Zur Erstellung eines Backups Ihrer Verschlüsselungsschlüssel geben Sie ein Kennwort ein, bestätigen es, und klicken auf Weiter. Hinweis: Das Kennwort muss mindestens 5 Zeichen lang sein und sollte mindestens einen Buchstaben und eine Ziffer enthalten. 27 SafeGuard® PortProtector 3.30, Installationshandbuch Das Fenster Übersicht wird angezeigt: 22 Bestätigen Sie die Installationsübersicht, und klicken Sie auf Installieren, um die ServerInstallation auszuführen. Die Installation beginnt, und das Fenster Installationsverlauf wird angezeigt: 28 SafeGuard® PortProtector 3.30, Installationshandbuch 23 Sobald die Installation abgeschlossen ist, wird folgendes Fenster angezeigt: 24 Der SafeGuard PortProtector Management Server wurde installiert. Markieren Sie das Kontrollkästchen unten im Fenster, wenn Sie die SafeGuard PortProtector Management Console starten möchten, und klicken Sie auf Fertig stellen. Hinweis: Das Installationsprogramm installiert auch die SafeGuard PortProtector Management Console. 25 Wenn Sie gewählt haben, die SafeGuard PortProtector Management Console zu starten, wird das Fenster Anmelden angezeigt: 29 SafeGuard® PortProtector 3.30, Installationshandbuch Geben Sie Ihren Benutzernamen, Ihr Kennwort und Ihre Domäne ein, und klicken Sie auf Anmelden. Die Anwendung wird geöffnet und das Hauptfenster wird angezeigt. 26 Nehmen Sie sich die Zeit, die vorläufigen Einstellungen im Administration und Allgemeine Policy-Einstellungen zu definieren. Unter Einstellungen nach der Installation (Check-Liste) auf Seite 36 finden Sie eine Liste der Einstellungen, die Sie möglicherweise überprüfen und ändern möchten. 3.5 Wiederherstellen eines vorhandenen Management Servers In einigen Fällen müssen Sie SafeGuard PortProtector Management Server installieren und dabei die eindeutigen Verschlüsselungsschlüssel Ihres Systems beibehalten, um mit Ihren vorhandenen SafeGuard PortProtector Clients zu arbeiten. Das kann vorkommen, wenn Sie den Server von einem Computer mit gieriger CPU-Leistung auf einen leistungsfähigeren Computer migrieren möchten, oder nach einer Hardwarestörung. Um einen vorhandenen Management Server wiederherzustellen, müssen Sie die Backupdatei der Verschlüsselungsschlüssel und das zu deren Schutz festgelegte Kennwort angeben. So stellen Sie einen vorhandenen Management Server wieder her: 1 Führen Sie die in Installieren von SafeGuard PortProtector Management Server auf Seite 16 beschriebenen Schritte bis Schritt 7 aus. 2 An dieser Stelle werden Sie aufgefordert, den Installationsmodus auszuwählen (siehe unten): 30 SafeGuard® PortProtector 3.30, Installationshandbuch 3 Aktivieren Sie die Optionsschaltfläche Wiederherstellen. Das folgende Fenster wird angezeigt: 4 Aktivieren Sie im Fenster Wiederherstellen die entsprechende Optionsschaltfläche, je nachdem, ob Sie die SafeGuard PortProtector-Backupdateien nutzen oder eine Verbindung zu einer vorhandenen, externen SafeGuard PortProtector MS SQL-Datenbank herstellen möchten. Wenn Sie die zweite Option, Verbindung zu vorhandener SafeGuard PortProtector MS SQL-Datenbank herstellen, wählen, fahren Sie mit Schritt 8 fort. 31 SafeGuard® PortProtector 3.30, Installationshandbuch 5 Klicken Sie auf Weiter. Das Fenster Backupdateien wird angezeigt: 6 Geben Sie den Pfad zur Schlüssel-Backupdatei und das Kennwort für die Datei ein. Wenn Sie die Konfiguration Ihrer früheren Installation (Policies, Abfragen etc.) gesichert haben, können Sie auch die Konfiguration wiederherstellen. Markieren Sie dazu das Kontrollkästchen und wählen Sie den Pfad zur Konfigurationsbackupdatei. Hinweis: Informationen zum Wiederherstellen von Logs finden Sie in Wiederherstellen von Logs auf Seite 34. 7 32 Fahren Sie mit Schritt 11 fort. SafeGuard® PortProtector 3.30, Installationshandbuch 8 Wenn Sie die Verwendung eines vorhandenen Datenbankservers gewählt haben, wird das folgende Fenster angezeigt: 9 Führen Sie im Fenster Datenbankberechtigungen folgende Schritte aus: a. Geben Sie im Feld Datenbankserver den Namen des Datenbankservers ein (verwenden Sie bei einer nicht standardmäßigen Instanz das Format Server\Instanz). b. Klicken Sie unter Datenbankauthentifizierungsmodus auf die entsprechende Optionsschaltfläche, um die Nutzung von MS SQL Sicherheit oder Microsoft Windows Sicherheit festzulegen. c. Geben Sie Ihre Datenbankberechtigungen ein - Benutzername und Kennwort Wenn Sie Microsoft Windows Sicherheit gewählt haben, müssen Sie auch den Namen der Domäne eingeben. 10 Klicken Sie auf Weiter. Das Installationsprogramm validiert den Zugriff auf die Datenbank. Hinweis: Wenn die Gültigkeitsprüfung fehlschlägt, geben Sie die richtigen Daten ein, oder klicken Sie auf Abbrechen, um den Installationsassistenten abzubrechen. 11 Folgen Sie den Anweisungen der Schritte 15-27 in Installieren von SafeGuard PortProtector Management Server. 33 SafeGuard® PortProtector 3.30, Installationshandbuch 3.5.1 Wiederherstellen von Logs Es ist u.U. notwendig, Logs der Version 3.2 wiederherzustellen, die Sie zuvor gesichert haben. Dies kann in folgenden Fälle vorkommen: Sie möchten Ihren Management Server-Computer mit Version 3.2 aufrüsten oder austauschen Upgrade von Version 3.2 auf eine höhere Version schlägt fehl und stellt Version 3.2 ohne Logs wieder her. Hinweis: Mit diesem Utility werden nur Logs aus einer bzw. in eine integrierte SafeGuard PortProtector-Datenbank wiederhergestellt, da das Backup und die Wiederherstellung von Logs in einer externen Datenbank durch Ihren DBA erfolgt. Die Wiederherstellung der Logs wird mit Hilfe des Log Restore Utility. Bei Ausführung dieses Hilfsprogramms werden die vorhandenen Logtabellen gelöscht, und das Logschema wird aus der Backupdatei exakt wiederhergestellt. Logansichten werden automatisch beim Start des Management Servers erstellt. So zeigen Sie die Version des Log Restore Tools an (optional): 1 Suchen Sie RestoreTool.exe in Ihrem SafeGuard PortProtector Management ServerInstallationsordner im Ordner "bin" (wenn Sie in den standardmäßigen Zielordner installiert haben, ist der Pfad: \Programme\Sophos\SafeGuard PortProtector\Management Server\Bin) 2 Führen Sie RestoreTool.exe mit folgender Syntax aus: RestoreTool version Der Befehl gibt die Version von RestoreTool.exe zurück. So stellen Sie Logs wieder her: 1 Stoppen Sie den Management Server. 2 Suchen Sie RestoreTool.exe in Ihrem SafeGuard PortProtector Management ServerInstallationsordner im Ordner "bin" (wenn Sie in den standardmäßigen Zielordner installiert haben, ist der Pfad: \Programme\Sophos\SafeGuard PortProtector\Management Server\Bin) 3 Führen Sie RestoreTool.exe mit folgender Syntax aus: RestoreTool restore -backupDatei [-silent ] [-verbose ] -backupDatei gibt den kompletten Pfad der wiederherzustellenden Backupdatei (SLB) an -silent Keine Bestätigung durch Benutzer anfordern -verbose Ausführliche Operation 34 SafeGuard® PortProtector 3.30, Installationshandbuch Das Programm informiert Sie, falls bei der Wiederherstellung Fehler auftreten. Wenn keine Fehler vorliegen, werden Ihre Logdaten und die Logstruktur wiederhergestellt. 4 Starten Sie den Management Server. 3.6 Upgrade des Management Servers Dieser Abschnitt beschreibt die Vorgänge und Überlegungen beim Upgrade Ihres System von Version 3.2 auf Version 3.3. Hinweis: Das in diesem Kapitel beschriebene Verfahren gilt für die Aufrüstung von SafeGuard PortProtector von Version 3.1 und 3.2 auf Version 3.3. Wenn Sie über eine ältere Version verfügen und auf Version 3.3 aufrüsten möchten, wenden Sie sich bitte an [email protected]. 3.6.1 Workflow Wenn Sie von einer früheren Version von SafeGuard PortProtector aufrüsten, können Sie die Policies und Verschlüsselungsschlüssel der vorherigen Version verwenden und auch weiter mit den vorherigen Logs arbeiten. So führen Sie einenUpgrade von v3.2 auf v3.3 durch 1 Erstellen Sie ein Backup Ihrer v3.2-Schlüssel, Konfiguration (Verschlüsselungsschlüssel, Policies etc.) und Logs, wie in Kapitel 7, Administration in der SafeGuard PortProtector Benutzerhilfe beschrieben (vergewissern Sie sich vor der Erstellung des Backups, dass Sie über ausreichend Plattenkapazität verfügen). Wichtig: Falls das Upgrade aus irgendeinem Grund fehlschlägt, wird die vorherige Version wiederhergestellt, jedoch gehen Ihre Logs u. U. verloren. Wenn das passiert, wenden Sie sich an [email protected], um diese Logs aus den gesicherten Logs wiederherzustellen. 2 Installieren Sie SafeGuard PortProtector Management Server, siehe Vorbereitung der Installation und Kapitel 3, 3 Installieren von SafeGuard PortProtector Management Server. Ihr Management Server wird aufgerüstet, wobei Ihre vorhandene Konfiguration (Policies, Abfragen) und Logs erhalten bleiben. 4 Entfernen Sie SafeGuard PortProtector Management Console und alle Remote Consoles, siehe Deinstallieren von SafeGuard PortProtector Management Console auf Seite 77, und installieren Sie SafeGuard PortProtector Management Console v3.3 neu, siehe Installieren von SafeGuard PortProtector Management Console auf Seite 70. Wichtig: Um die SafeGuard PortProtector Management Console aufzurüsten, müssen Sie die vorherige Version der Console deinstallieren (entfernen) und dann SafeGuard PortProtector Management Console v3.3 installieren. Wichtig: Protector-Datenbank verwendet, und Ihre vorherigen Logs bleiben erhalten. Wenn Sie nach dem Upgrade eine externe Datenbank nutzen möchten, können Sie mit Hilfe der Wiederherstellungsoption zu einer externen Datenbank wechseln. Dabei gehen aber Ihre vorherigen Logs verloren. 35 SafeGuard® PortProtector 3.30, Installationshandbuch 5 Installieren Sie SafeGuard PortProtector Clients. Installieren von SafeGuard PortProtector Client auf Seite 49 3.7 Einstellungen nach der Installation (Check-Liste) Das SafeGuard PortProtector Management Server-Installationspaket definiert Standardeinstellungen für das Systemverhalten, die Sie unter Administration und Allgemeine Policy-Einstellungen finden (beide können Sie über das Menü Extras in der SafeGuard PortProtector Management Console erreichen). Sobald Sie die Installation von SafeGuard PortProtector Management Server abgeschlossen und die Management Console geöffnet haben, können Sie diese Fenster öffnen und die Parameter Ihrer Umgebung entsprechend abändern. 3.7.1.1 Check-Liste für die kritischsten Einstellungen im Fenster Administration: 1 Policy-Veröffentlichungsmethode – Wählen Sie das Format und das Ziel für die Veröffentlichung von Policies. 2 Backup der Verschlüsselungsschlüssel – Wenn Sie während der Installation kein Backup der Verschlüsselungsschlüssel erstellt haben. 3 Client-Installationsordner - Legen Sie einen freigegebenen Ordner für die ClientInstallationsdateien fest. Sie benötigen diese Dateien für die Installation der Clients. Siehe Kapitel 7, Administration in der SafeGuard PortProtector Benutzerhilfe für eine Erklärung der Administrationseinstellungen. 3.7.1.2 Check-Liste für die kritischsten Einstellungen im Fenster Allgemeine Policy-Einstellungen: 1 Intervall für Logtransfer – Definieren Sie die Häufigkeit, mit der Logs von den Endpunkten an den Server gesendet werden. Wichtig: Achten Sie bei der Konfiguration des Log-Transferintervalls besonders darauf, dass Ihr Netz und die Endpunkte nicht durch übermäßiges Versenden von Logs belastet werden. Beachten Sie Folgendes: Die Anzahl der Endpunkte in Ihrem Netz Die Anzahl der erwarteten Ereignisse von den einzelnen Endpunkten (Client- und DateiLogs) Der Bedarf an "Echtzeit"-Logdaten in der Management Console Während der Installation wird das Standard-Logintervall auf 90 Minuten gesetzt. Bei groß angelegten Deployments wenden Sie sich bitte an den Sophos Support, um Ihre Einstellungen zu optimieren 36 SafeGuard® PortProtector 3.30, Installationshandbuch 2 Client-Kennwort für Deinstallation – Ändern Sie das Standardkennwort wie gewünscht. Wichtig: Bei der Installation des Produkts ist das Kennwort auf "Kennwort1" gesetzt. Da das Kennwort einer der Grundpfeiler für die Manipulationssicherheit des Clients ist, wird dringend empfohlen, das Kennwort zu ändern sobald Sie mit dem Deployment des Produkts in einer Produktionsumgebung beginnen. Wichtig: Stellen Sie sicher, dass Sie ein Backup für die Server-Verschlüsselungsschlüssel erstellt haben. Dadurch wird verhindert, dass Sie Clients wegen eines verlorenen Kennworts nicht deinstallieren können. Siehe Kapitel 3, Definieren von Policies in der SafeGuard PortProtector Benutzerhilfe für eine Erklärung der globalen Policy-Einstellungen. 3.8 Deinstallieren von SafeGuard PortProtector Management Server So deinstallieren Sie den Management Server: 1 Öffnen Sie Software in der Systemsteuerung. 2 Wählen Sie SafeGuard PortProtector Management Server aus der Liste, und klicken Sie auf Entfernen - wie nachfolgend beschrieben: Wichtig: Beim Deinstallieren von Saufend Protector Management Server wird die SafeGuard PortProtector-Datenbank gelöscht. Wenn Sie die aktuellste Server-Version installieren möchten, wird deshalb empfohlen, ein Server-Upgrade statt Deinstallation/Installation auszuführen. 37 SafeGuard® PortProtector 3.30, Installationshandbuch 3.9 Ändern der Datenbank Wenn Sie von einer integrierten SafeGuard PortProtector-Datenbank auf eine externe MS SQLDatenbank (oder umgekehrt) wechseln möchten, verwenden Sie dazu die Wiederherstellungsoption, wie in Wiederherstellen eines vorhandenen Management Servers auf Seite 30 beschrieben, und wählen den neuen Datenbanktyp. Hinweis: Sie können die Datenbank nur ändern, wenn Sie Version 3.2 und höher einsetzen. Hinweis: Durch das Ändern der Datenbank gehen frühere Logs verloren. Frühere Policies werden in die neue Datenbank übertragen, aber die Verknüpfungen der Policies mit Organisationsobjekten gehen verloren (wenn der Policy-Verteilungsmodus "direkte Verteilung vom Management Server an die Clients" verwendet wird). 38 SafeGuard® PortProtector 3.30, Installationshandbuch 4 Installieren von SafeGuard PortProtector Management Console Über dieses Kapitel Dieses Kapitel beschreibt, wie die SafeGuard PortProtector Management Console installiert wird. Es enthält die folgenden Abschnitte: Voraussetzungen, Seite 40, beschreibt die Voraussetzungen für die Management Console. Installieren vorausgesetzter Software, Seite 40, beschreibt die Installation von Microsoft .NET Framework. Installieren von SafeGuard PortProtector Management Console, Seite 40, beschreibt zwei Verfahren für die Installation der Console. Erstes Starten der SafeGuard PortProtector Management Console, Seite 47, beschreibt, wie SafeGuard PortProtector Management Console gestartet wird. Deinstallieren von SafeGuard PortProtector Management Console, Seite 48, beschreibt, wie SafeGuard PortProtector Management Console deinstalliert wird. 39 SafeGuard® PortProtector 3.30, Installationshandbuch 4.1 Voraussetzungen 4.1.1 Betriebssystem Windows XP Professional (SP1-2) Windows 2003 Server (SP0-2) 4.1.2 Hardware Pentium 800 MHz 256 MB RAM 50 MB freie Festplattenkapazität 4.1.3 Software Microsoft .NET Framework 2.0 ist installiert 4.2 Installieren vorausgesetzter Software 4.2.1 Installieren von Microsoft .NET Framework 2.0 So installieren Sie .NET Framework Siehe Installieren vorausgesetzter Software auf Seite 13. 4.3 Installieren von SafeGuard PortProtector Management Console Die Management Console kann auf jedem beliebigen Computer in Ihrem Netz installiert und ausgeführt werden. Die erste Console wird im Rahmen der Server-Installation auf demselben Computer installiert, auf dem auch der Management Server installiert wird. Weitere Consoles können auf jedem beliebigen Computer in der Domäne installiert werden, der die Voraussetzungen erfüllt. Weitere Consoles können in Ihrer Domäne entweder über die Webseite für die Management Console-Installation (empfohlen) oder durch Ausführen der Datei ManagementConsole.msi von einer externen Quelle (z.B. einer CD) aus installiert werden. Hinweis: Der Zugriff auf die Management Consoles ist standardmäßig auf die Gruppe der lokalen Administratoren des Computers mit dem Server beschränkt. Um Benutzer und Kennwort Ihres Server-Computers nicht unnötig preiszugeben, ändern Sie diese Einstellung auf eine Benutzergruppe in Ihrem Active Directory, bevor Sie weitere Management Consoles installieren. Sie können diese Einstellung im Fenster Administration in der Management Console ändern. 40 SafeGuard® PortProtector 3.30, Installationshandbuch 4.3.1 Installieren der Console über die Webseite für die Installation SafeGuard PortProtector Management Console bietet einen Depolyment-Vorgang 'mit einem Klick', durch den Sie die Management Console installieren können, indem Sie einfach Ihren Browser auf die Management Server-Adresse lenken. Dieses Verfahren hält automatisch alle Ihre Management Consoles mit der neuesten Softwareversion des Management Servers auf dem aktuellen Stand und ist deshalb das empfohlene Installationsverfahren. So installieren Sie die Management Console über die Webseite für die Installation: 1 Öffnen Sie auf dem Zielcomputer die Adresse der Webseite für die Installation Der Link steht im folgenden Format: https://<servername>:<serverport>/SafeGuardPortProtector/console install.aspx Hinweis: Sie können auch ein kürzeres Link-Format verwenden: https://<servername>:<serverport>/SafeGuardPortProtector (Diese Adresse finden Sie auf der Registerkarte Allgemein im Fenster Administration, das Sie über das Menü Extras der Management Console öffnen). Die Installationsseite wird angezeigt: Die Seite enthält Folgendes: Einen Link zum .NET Framework 2.0-Installationspaket. Einen Link zum .Management Console-Installationspaket. Serverdetails. 41 SafeGuard® PortProtector 3.30, Installationshandbuch 2 Wenn auf dem Computer, auf dem Sie eine weitere Console installieren möchten, .NET Framework nicht installiert ist, öffnen Sie den Link und installieren Sie es, bevor Sie mit der Installation der Management Console fortfahren. 3 Klicken Sie auf den Link zum .Management Console-Installationspaket. Das folgende Fenster wird angezeigt: 4 Klicken Sie auf Ausführen. Der Management Console-Installationsassistent wird angezeigt: 42 SafeGuard® PortProtector 3.30, Installationshandbuch 5 Klicken Sie auf Weiter. Das Fenster Installationsordner auswählen wird angezeigt: 6 Wählen Sie im Fenster Installationsordner auswählen den Ordner, in dem die SafeGuard PortProtector Management Console installiert werden soll. Der Standardordner ist C:\Programme\Sophos\SafeGuard PortProtector\. Wenn Sie die Management Console in einem anderen Ordner installieren möchten, klicken Sie auf die Schaltfläche Durchsuchen, und wählen Sie den gewünschten Ordner aus. 7 Wählen Sie eine der folgenden Optionen, indem Sie die entsprechende Optionsschaltfläche aktivieren: Jeder: Jeder Benutzer, der den Computer benutzt, erhält Zugang zur Anwendung Nur ich: Nur der angemeldete Benutzer erhält Zugang zur Anwendung. 43 SafeGuard® PortProtector 3.30, Installationshandbuch 8 Klicken Sie auf Weiter. Das folgende Fenster wird angezeigt: 9 Klicken Sie im Fenster Installation bestätigen auf Weiter, um die Installation auszuführen. 10 Sobald die Installation abgeschlossen ist, wird folgendes Fenster angezeigt: 44 SafeGuard® PortProtector 3.30, Installationshandbuch 11 Klicken Sie zum Beenden auf Schließen. auf Ihrem Desktop 12 Öffnen Sie die Management Console, indem Sie auf das Symbol klicken oder Start > Programme > SafeGuard PortProtector Management Console wählen. 13 Abhängig von dem von Ihnen genutzten Browser kann folgende Meldung erscheinen: Geben Sie den Servernamen und die Ports so ein, wie Sie auf der Webseite für die Installation stehen, und klicken Sie auf Verbinden. 14 Das Fenster Anmelden wird angezeigt: Geben Sie Ihren Benutzernamen, Ihr Kennwort und Ihre Domäne ein, und klicken Sie auf Anmelden. Die Anwendung wird geöffnet und das Hauptfenster wird angezeigt. 45 SafeGuard® PortProtector 3.30, Installationshandbuch 4.3.2 Manuelles Installieren von SafeGuard PortProtector Management Console So installieren Sie die Management Console manuell: 1 Suchen Sie die Datei ManagementConsole.msi auf Ihrer CD, und führen Sie sie aus. Das Setup-Fenster wird angezeigt: 2 Fahren Sie mit den Schritten 5 bis 13 fort (siehe oben). 46 SafeGuard® PortProtector 3.30, Installationshandbuch 4.4 Erstes Starten der SafeGuard PortProtector Management Console 1 Klicken Sie auf das Symbol auf Ihrem Desktop. ODER Wählen Sie Start > Programme > SafeGuard PortProtector Management Console. Die Anwendung wird zum ersten Mal geöffnet: 2 Geben Sie Ihren Benutzernamen, Ihr Kennwort und Ihre Domäne ein. Das folgende Fenster wird angezeigt: Jedes Mal, wenn die Management Console die Verbindung zum Server herstellt, lädt sie automatisch die aktuellste Version der Management Console herunter (sofern ein Update vorhanden ist). 47 SafeGuard® PortProtector 3.30, Installationshandbuch Sobald die aktualisierten Dateien heruntergeladen sind, wird das Fenster geschlossen und folgendes Fenster wird angezeigt: 3 Wenn Sie die Software noch testen, klicken Sie auf Später erinnern ODER Klicken Sie auf Lizenzschlüssel eingeben, wenn Sie eine gültige Lizenz besitzen, und geben Sie Ihren Lizenzschlüssel ein (siehe SafeGuard PortProtector Benutzerhilfe, Kapitel 7, Administration). SafeGuard PortProtector Management Console wird geöffnet und das Hauptfenster wird angezeigt. 4.5 Deinstallieren von SafeGuard PortProtector Management Console So deinstallieren Sie die Management Console: 1 Öffnen Sie in der Systemsteuerung die Option Software. 2 Wählen Sie aus der Liste SafeGuard PortProtector Management Console, und klicken Sie auf Entfernen. Hinweis: Das Deinstallieren von SafeGuard PortProtector Management Console führt zu keinem Datenverlust. Sie können sie jederzeit neu installieren. 48 SafeGuard® PortProtector 3.30, Installationshandbuch 5 Installieren von SafeGuard PortProtector Client Über dieses Kapitel Dieses Kapitel beschreibt die verschiedenen Methoden für die Installation bzw. das Deployment von SafeGuard PortProtector Client. Darüber hinaus erklärt es die Verfahren für das Deinstallieren und Aufrüsten von SafeGuard PortProtector Client. Es enthält die folgenden Abschnitte: Voraussetzungen, Seite 50, beschreibt die Voraussetzungen für den SafeGuard PortProtector Client. Vor dem Deployment von SafeGuard PortProtector Client, Seite 50, beschreibt die Schritte, die vor der Installation von SafeGuard PortProtector Client auszuführen sind. Installieren von SafeGuard PortProtector Client, Seite 52, beschreibt die folgenden Installationsverfahren: Automatic Client Installation (through Active Directory Automatische Client-Installation (über Active Directory) Automatische Client-Installation (generisch) Manuelle Installation Aufrüsten von SafeGuard PortProtector Client, Seite 59, erklärt die Aufrüstung von SafeGuard PortProtector Client von V2 0 auf V3.x. Definieren des Endpunktverhaltens während der Installation, Seite 65, beschreibt die Definition der Endpunkt-Neustartsequenz nach der Installation. Deinstallieren von SafeGuard PortProtector Client, Seite 67, beschreibt, wie SafeGuard PortProtector Client deinstalliert wird. 49 SafeGuard® PortProtector 3.30, Installationshandbuch 5.1 Voraussetzungen 5.1.1 Betriebssystem Windows 2000 Professional (SP3-4) Windows 2000 Server (SP3-4) Windows 2000 Advanced Server (SP3-4) Windows XP Professional (SP1-2) Windows 2003 Server (SP0-2) Windows Vista 5.1.2 Hardware Pentium 800 MHz 256 MB RAM 50 MB freie Festplattenkapazität 5.1.3 Software Keine erforderlich 5.2 Vor dem Deployment von SafeGuard PortProtector Client Um SafeGuard PortProtector Client zu installieren, müssen Sie zunächst den Management Server installieren. Das ist notwendig, um die Sicherheit des Systems zu erhöhen, indem jeder installierte Client mit den Verschlüsselungsschlüsseln des Servers "gestempelt" wird. Vom Installationspunkt aus kenn SafeGuard PortProtector Client die Schlüssel, die er bei der Kommunikation mit dem Server nutzt. Ab dann akzeptiert der Client keine Policy und führt keine Kommunikation mit einem Server, der nicht über passende Schlüssel verfügt. Dieses "Stempeln" erfolgt durch die Initialisierung des Clients mit einer Datei namens ClientConfig.scc. Diese Datei wird auf Anforderung seitens des Benutzers vom Server generiert. Diese Datei muss während der Client-Installation zur Verfügung stehen. Bevor Sie mit dem Deployment von SafeGuard PortProtector Clients beginnen können, müssen Sie den Pfad definieren, in dem der Server alle für die Client-Installation benötigten Dateien generiert. Die Generierung der Installationsdateien kann jederzeit erneut ausgeführt werden. 50 SafeGuard® PortProtector 3.30, Installationshandbuch So generieren Sie SafeGuard PortProtector Client-Installationsdateien: 1 Öffnen Sie in der Management Console im Menü Extras das Fenster Administration (siehe folgende Abbildung): 2 Klicken Sie im Fenster Administration links auf die Registerkarte Client. Das Fenster Administration-Clients wird angezeigt: 51 SafeGuard® PortProtector 3.30, Installationshandbuch 3 Wählen Sie einen freigegebenen Ordner als Client-Installationsordner. Sobald die Dateien erstellt sind, wird folgende Meldung angezeigt: Wichtig: Vergewissern Sie sich, dass Sie einen Netzwerkpfad und keinen lokalen Pfad angeben. 4 Klicken Sie auf OK. 5 Sie können jetzt SafeGuard PortProtector Clients auf den Computern in Ihrer Organisation installieren. Nach dem Client-Deployment können Sie Policies an die Clients verteilen (siehe SafeGuard PortProtector Benutzerhilfe). 5.3 Installieren von SafeGuard PortProtector Client Es gibt drei Möglichkeiten, den SafeGuard PortProtector Client zu installieren: Automatisch über Active Directory Group Policy Management. Automatisch mit Hilfe eines beliebigen Software-Deployment-Tools, wie beispielsweise SMS und Tivoli. Manuell durch Ausführen des Installationsassistenten auf jedem Computer 5.3.1 Automatische Client-Installation (Active Directory) Die automatisch SafeGuard PortProtector Client-Installation erfolgt mit Hilfe von Active Directory Group Policy Management (sofern installiert) und Active Directory Benutzer und Computer. Mit diesen Optionen können Sie ein GPO definieren, das den SafeGuard PortProtector Client an die OEs (Computer oder Benutzergruppen) Ihrer Wahl verteilt. Wenn diese Option verwendet wird, werden die Clients im Silent-Modus installiert. So installieren Sie den SafeGuard PortProtector Client automatisch: 1 Öffnen Sie das Fenster Active Directory Benutzer und Computer. 2 Klicken Sie mit der rechten Maustaste auf die OE, für die Sie den SafeGuard PortProtector Client installieren möchten, und wählen Sie Eigenschaften. Das Fenster Benutzereigenschaften wird angezeigt. 3 Wählen Sie im Fenster Benutzereigenschaften die Registerkarte Gruppenpolicy. Diese Registerkarte sieht unterschiedlich aus, je nachdem, ob die Group Policy Management Console installiert ist oder nicht. 52 SafeGuard® PortProtector 3.30, Installationshandbuch 4 Wenn die Group Policy Management Console nicht installiert ist, wird das folgende Fenster angezeigt: 5 Klicken Sie auf Hinzufügen, um das SafeGuard PortProtector Deployment-GPO hinzuzufügen. Geben Sie ihm einen Namen. Klicken Sie dann mit der rechten Maustaste auf das GPO und wählen Sie Bearbeiten. Fahren Sie mit Schritt 9 fort. 53 SafeGuard® PortProtector 3.30, Installationshandbuch 6 Wenn die Group Policy Management Console installiert ist, klicken Sie auf Öffnen auf der Registerkarte Gruppenpolicy, um das Fenster Gruppenmanagement zu öffnen (siehe unten): 7 Wählen Sie in der OE-Struktur im linken Fensterausschnitt die OE, für die Sie den SafeGuard PortProtector Client installieren möchten. Der rechte Fensterausschnitt zeigt die GPOs, die dieser OE bereits zugeordnet sind. 8 Fügen Sie ein GPO hinzu, das Software für diese OE installiert. Klicken Sie mit der rechten Maustaste auf die OE, und wählen Sie GPO erstellen und verknüpfen Hier. Geben Sie dann einen Namen für das GPO an. 54 SafeGuard® PortProtector 3.30, Installationshandbuch 9 Klicken Sie mit der rechten Maustaste auf das SafeGuard PortProtector Deployment-GPO und wählen Sie Bearbeiten. Das Fenster Gruppenpolicy wird angezeigt. Hier ein Beispiel: 10 Klicken Sie mit der rechten Maustaste unter Computerkonfiguration in der Struktur auf der linken Seite auf Softwareeinstellungen, wählen Sie Neu und dann Paket, wie im Folgenden gezeigt (im rechten Fensterausschnitt werden u. U. Namen anderer Software angezeigt, sofern welche definiert wurden): Ein Fenster zur Dateiauswahl wird angezeigt. 55 SafeGuard® PortProtector 3.30, Installationshandbuch 11 Wählen Sie den freigebenenen Ordner, in dem Sie die zu erstellenden ClientInstallationsdateien ausgewählt haben. Dieser Ordner sollte sowohl die SafeGuardPortProtectorClient.msi als auch die ClientConfig.scc Dateien enthalten. Wenn Sie Clients auf einer XP 64-Bit-Maschine installieren möchten, verwenden Sie die Dateien im XP64Bit-Unterverzeichnis. 12 Navigieren zum kompletten UNC-Pfad der SafeGuard PortProtector ClientInstallationsdatei namens SafeGuardPortProtectorClient.msi, markieren Sie sie, und klicken Sie auf Öffnen. Vergewissern Sie sich, dass dieser Pfad die Datei ClientConfig.scc enthält. 13 Doppelklicken Sie auf die Datei SafeGuardProtectorClient.msi. Das folgende Fenster wird angezeigt: 14 Wählen Sie Zugewiesen, und klicken Sie auf OK. Warten Sie ein paar Augenblicke, bis die MSI hinzugefügt wurde. 15 Bereiten Sie die Endpunkt Ihrer Organisation für die automatische Installation vor, wie unten im Abschnitt Vorbereiten eines Endpunkts für die automatische Installation beschrieben. 16 In seltenen Fällen ist u.U. ein Neustart des Endpunkt-Computers erforderlich. In diesem Fall wird eine Meldung angezeigt. 56 SafeGuard® PortProtector 3.30, Installationshandbuch 5.3.1.1 Vorbereiten eines Endpunkts für die automatische Installation Um den SafeGuard PortProtector Client zu installieren, müssen die Zielcomputer Zugriff auf den freigegebenen Netzwerkordner haben, wenn das system neu gestartet wird. Wenn die Zielcomputer unter Windows XP laufen, müssen Sie das GOP Bei Anmeldung immer auf Start des Computernetzes warten einschalten. Es steht unter Computerkonfiguration | Administrative Vorlagen | System | Logon. Wenn in dieser OE das nächste Mal ein Computer oder Benutzer neu startet, wird SafeGuard PortProtector Client darauf eingesetzt. Hinweis: In einigen Fällen - abhängig von der Domänenkonfiguration - kann es einige Zeit dauern, bis das GPO, das das Installationspaket enthält, das mit der dedizierten OE verknüpft ist, auf andere Domänenkontroller repliziert ist (normalerweise bis zu 1t Minuten). Das kann so erscheinen, als würden die Endpunkte die Protector Clients nicht installieren. In diesem Fall müssen Sie warten, bis die Replizierung abgeschlossen ist, bevor Sie die Endpunkte für die Installation neu starten. 57 SafeGuard® PortProtector 3.30, Installationshandbuch 5.3.2 Automatische Client-Installation (generisch) Um mit Hilfe einer Softwaremanagementlösung eines Drittanbieters zu installieren, gehen Sie folgendermaßen vor: So führen Sie eine generische, automatische Client-Installation aus: 1 Navigieren Sie zu dem freigegebenen Ordner, in dem Sie die Client-Installationsdateien erzeugt haben. Dieser Ordner muss die Datei SafeGuardProtectorClient.msi und die Datei ClientConfig.scc enthalten. 2 Erstellen Sie eine Batchdatei mit dem folgenden Befehl, um Protector Client 'still' zu installieren: msiexec /i LaufwerksName:\InstallationsPfad\SafeGuardProtectorClient.msi /qn Verwenden Sie bei der Installation des Protector-Clients in einer Fremdsprache den folgenden Befehlszeilenparameter: msiexec /i LaufwerksName\InstallationsPfad\SafeGuardProtectorClient.msi TRANSFORMS="\\InstallationsPfad\MSTFileName.mst"/qn (Dies muss in einer Zeile stehen.) 3 In seltenen Fällen ist u. U. ein Neustart des Endpunkt-Computers erforderlich. In diesem Fall wird eine Meldung angezeigt. 58 SafeGuard® PortProtector 3.30, Installationshandbuch 5.3.3 Manuelle Client-Installation Sie können den SafeGuard PortProtector Client manuell auf den einzelnen, zu schützenden Computern in Ihrer Organisation installieren. So installieren Sie den SafeGuard PortProtector Client manuell: 1 Navigieren Sie zu dem freigegebenen Ordner, in dem Sie die SafeGuard PortProtector Client-Installationsdateien erzeugt haben. Dieser Ordner enthält die Installationsdatei SafeGuardPortProtectorClient.msi. Wir empfehlen, dass die für die Installation erforderliche Datei ClientConfig.scc in demselben Ordner steht. Um den Pfad zu diesem Ordner anzuzeigen, wählen Sie Administration im Menü Extras der Management Console. Wählen Sie dann die Registerkarte Clients (siehe folgende Abbildung): 59 SafeGuard® PortProtector 3.30, Installationshandbuch 2 Führen Sie SafeGuardPortProtectorClient.msi aus. Wenn Sie Clients auf einer XP 64-BitMaschine installieren, verwenden Sie die Dateien im XP64Bit-Unterverzeichnis. Der Installationsassistent wird angezeigt: 3 Klicken Sie auf Weiter, um fortzufahren. Das Fenster Lizenzvereinbarung wird angezeigt: 60 SafeGuard® PortProtector 3.30, Installationshandbuch 4 Aktivieren Sie im Fenster Lizenzvereinbarung die Optionsschaltfläche Ich nehme die Bedingungen der Lizenzvereinbarung an, und klicken Sie auf Weiter. Das Fenster Zielordner wird angezeigt: 5 Geben Sie im Fenster Zielordner den Ordner an, in dem SafeGuard PortProtector Client installiert werden soll. Wenn Sie in einen anderen als den Standardordner installieren möchten, klicken Sie auf Ändern. Wählen Sie dann im Fenster Aktuellen Zielordner ändern den gewünschten Ordner, und klicken Sie auf OK. 61 SafeGuard® PortProtector 3.30, Installationshandbuch 6 Klicken Sie auf Weiter. Das Fenster Client-Konfigurationsdatei auswählen wird geöffnet: 7 Wählen Sie die Client-Konfigurationsdatei ClientConfig.SCC aus. Diese Datei wird benötigt, damit der Client verschlüsselte Firmenrichtlinien lesen kann, und um das standardmäßige Kennwort für die Deinstallation festzulegen. Diese Datei wird vom SafeGuard PortProtector Management Server generiert und befindet sich normalerweise in demselben Ordner wie die Client-Installationsdatei. Hinweis: Wenn Sie nicht sicher sind, wo sich die Datei befindet, fragen Sie Ihren Systemadministrator, oder generieren Sie eine neue (siehe Vor dem Deployment von SafeGuard PortProtector Client auf Seite 50). 62 SafeGuard® PortProtector 3.30, Installationshandbuch 8 Klicken Sie auf Weiter. Das Fenster Bereit zur Installation des Programms wird angezeigt: Klicken Sie in diesem Fenster auf Zurück, um die Installationseinstellungen zu überprüfen bzw. zu ändern, oder klicken Sie auf Abbrechen, um den Installationsvorgang abzubrechen und zu beenden. 9 Klicken Sie auf Installieren, um die Installation zu starten. Das folgende Fenster wird angezeigt: Dieses Fenster enthält eine Statusleiste, die den Verlauf von der Installation anzeigt. Die Installation kann einige Minuten dauern. 63 SafeGuard® PortProtector 3.30, Installationshandbuch Hinweis: Während dieser Installation stellen einige der am Computer angeschlossenen Geräte u.U. ihre Funktion zeitweilig ein. Diese Geräte funktionieren nach Abschluss der Installation wieder. Wenn die Installation abgeschlossen ist, wird folgendes Fenster angezeigt: 10 Klicken Sie auf Fertig stellen, um den Assistenten zu beenden. SafeGuard PortProtector Client ist jetzt auf dem Endpunkt installiert. Hinweis: In einigen Fällen ist - abhängig von der Hardwarekonfiguration des Computers - ein Neustart nach der Installation notwendig, damit SafeGuard PortProtector Client den Endpunkt schützt. In diesem Fall werden Sie durch eine Meldung darüber benachrichtigt. 64 SafeGuard® PortProtector 3.30, Installationshandbuch 5.4 Upgrade des SafeGuard PortProtector Client 5.4.1 Aufrüsten des Clients über Active Directory Damit Ihr Endpunkt die neue Version des Produkts installiert, fügen Sie einfach die neue MSIDatei als ein neues GPO hinzu (wiederholen Sie die oben aufgeführten Schritte). Dadurch werden die Endpunkte automatisch beim nächsten Neustart aktualisiert. 5.4.2 Manueller Upgrade des Clients So führen Sie einen Upgrade des Clients manuell durch: 1 Doppelklicken Sie auf die Datei SafeGuardPortProtectorClient.msi. SafeGuard PortProtector deinstalliert die vorherige Version des Produktes automatisch und aktualisiert es mit der neuen Version. 2 Nach dem Upgrade müssen Sie den entsprechenden Computer neu starten (Sie werden durch eine Meldung zum Neustart aufgefordert, sofern Sie nicht festgelegt haben, dass diese Meldung nicht erscheinen soll, wie im folgenden Abschnitt beschrieben). 5.5 Definieren des Endpunktverhaltens während der Installation Standardmäßig ist beim Installieren von SafeGuard PortProtector Client ein Neustart der meisten Peripheriegeräte am Endpunkt notwendig, damit die Policy sofort durchgesetzt wird. Das kann dazu führen, dass in den Endphasen der Installation eine zeitweilige Trennung vom Netz erfolgt. Außerdem kann in seltenen Fällen ein Neustart des Computers notwendig sein. Administratoren, die Drittanbieterprodukte für das Deployment der Software einsetzen, finden es u. U. nützlich, diesen "Geräteneustart" nicht auszuführen, um eine Trennung vom Netz während der Installation zu vermeiden. Sie können sowohl den Gerätneustart als auch das Neustartverhalten steuern, indem Sie angeben, ob sie während der Installation ausgeführt werden sollen. Wenn Sie angeben, dass diese Vorgänge nicht ausgeführt werden sollen, wird die Policy nicht durchgesetzt, bis der Computer auf Anforderung des Benutzers neu gestartet wird. 65 SafeGuard® PortProtector 3.30, Installationshandbuch So definieren Sie das Endpunktverhalten während der Installation: 1 Um das Neustartverfahren bei der Installation festzulegen, öffnen Sie die Datei ClientConfig.scc: 2 Blättern Sie nach unten zum Ende der Datei, und fügen Sie Am Ende einen Abschnitt [installparams] ein (siehe obige Abbildung). 3 Fügen Sie den Parameter InstallMethod und Werte gemäß der nachstehenden Tabelle ein: Parameter Bedeutung InstallMethod=0 Die Installation führt den "Geräteneustart" aus und zeigt bei Bedarf eine Meldung mit der Aufforderung zum Neustart des Computers an. Diese Option stellt sofortigen Schutz sicher: Nach der Installation setzen alle Ihre Endpunkte sofort die Policy durch. InstallMethod=1 Die Installation führt den "Geräteneustart" aus und zeigt keine Meldung mit der Aufforderung zum Neustart des Computers an, auch wenn ein Neustart notwendig ist. Mit dieser Option können Sie eine absolut 'stille' Installation durchführen, ohne dass dem Endbenutzer Meldungen angezeigt werden. Die Policy wird jedoch bis zum nächsten Neustart nicht durchgesetzt. 66 SafeGuard® PortProtector 3.30, Installationshandbuch InstallMethod=2 – Standard Die Installation führt keinen "Geräteneustart" aus und zeigt bei Bedarf eine Meldung mit der Aufforderung zum Neustart des Computers an. Mit dieser Option können Sie den Installationsvorgang erheblich verkürzen und Drittanbieterprogramme für das Deployment des Clients ohne Trennung vom Netz nutzen. Durch das Erzwingen des Neustarts können Sie sicherstellen, dass die Policy sofort durchgesetzt wird. InstallMethod=3 Die Installation führt keinen "Geräteneustart" aus und zeigt keine Meldung mit der Aufforderung zum Neustart des Computers an, auch wenn ein Neustart notwendig ist. Mit dieser Option können Sie eine absolut 'stille' Installation durchführen, ohne dass dem Endbenutzer Meldungen angezeigt werden und ohne dass eine Trennung vom Netz erfolgt. Die Policy wird jedoch bis zum nächsten Neustart nicht durchgesetzt. Hinweis: Bei den Optionen 1 und 3 kann das Betriebssystem instabil werden, wenn Geräte eine Verbindung zu den überwachten Ports herstellen. Sie müssen unbedingt sicherstellen, dass der Endpunkt sobald wie möglich nach der Installation einen Neustart durchführt. 67 SafeGuard® PortProtector 3.30, Installationshandbuch 5.6 Deinstallieren von SafeGuard PortProtector Client Sie können SafeGuard PortProtector entweder manuell oder 'still' aus dem GPO deinstallieren. Die Deinstallation ist durch ein globales Kennwort oder ein policy-spezifisches Kennwort, das Sie in der Policies-Welt in der SafeGuard PortProtector Management Console definieren, geschützt(siehe SafeGuard PortProtector Benutzerhilfe, Kapitel 3, Definieren von Policies). 5.6.1 Manuelles Deinstallieren So deinstallieren Sie manuell: 1 68 In der Systemsteuerung unter Software wählen Sie SafeGuard PortProtector Client: SafeGuard® PortProtector 3.30, Installationshandbuch 2 Wählen Sie SafeGuard PortProtector Client, und klicken Sie auf Ändern. Der Installierensassistent wird angezeigt: 3 Klicken Sie auf Weiter, um fortzufahren. Das Fenster Kennwort für Deinstallation wird angezeigt: 69 SafeGuard® PortProtector 3.30, Installationshandbuch 4 Geben Sie das Kennwort für die Deinstallation ein, das Sie in der Policies-Welt in der SafeGuard PortProtector Management Console definiert haben (siehe SafeGuard PortProtector Benutzerhilfe, Kapitel 3, Definieren von Policies), und klicken Sie auf Weiter. Das folgende Fenster wird angezeigt: 5 Um die Einstellungen zu überprüfen oder zu ändern, bevor Sie fortfahren, klicken Sie auf Zurück, oder klicken Sie auf Abbrechen, um den Deinstallationsassistenten zu beenden. Nachdem Sie SafeGuard PortProtector Client deinstalliert haben, wird der Endpunkt nicht mehr geschützt. Fahren Sie ansonsten mit dem nächsten Schritt fort. 70 SafeGuard® PortProtector 3.30, Installationshandbuch 6 Klicken Sie auf Entfernen, um SafeGuard PortProtector Client zu entfernen. Der Deinstalliationsvorgang beginnt, und das folgende Statusfenster wird angezeigt: Der Vorgang kann einige Minuten dauern. Sobald der Vorgang beendet ist, wird folgendes Fenster angezeigt: 7 Klicken Sie auf Fertig stellen. SafeGuard PortProtector Client ist deinstalliert, und der Computer ist nicht mehr geschützt. Hinweis: Nach dem Deinstallieren müssen Sie den Computer neu starten, bevor Sie SafeGuard PortProtector neu installieren können. 71 SafeGuard® PortProtector 3.30, Installationshandbuch 5.6.2 Deinstallieren von SafeGuard PortProtector via GPO Da der Deinstallationsvorgang für SafeGuard PortProtector kennwortgeschützt ist, kann die Funktion der automatischen Deinstallation im GPO-Software-Installationspaket nicht benutzt werden. Deshalb muss ein Startupskript zur Deinstallation von Protector verwendet werden. Es gibt zwei Möglichkeiten, SafeGuard PortProtector Client zu deinstallieren. Die erste und empfohlene Option ist, die Verknüpfung des Protector Install-GPOs von der OE mit dem Client-Computer zu lösen und ein neues GPO mit einem Deinstallationsskript anzuwenden, wie unten in den Schritten 6 - 11 erläutert. Die zweite Option ist, das Protector Deployment-GPO zu bearbeiten. So deinstallieren Sie ein Protector-GPO: 1 Bearbeiten Sie die relevante Gruppenpolicy, die für die Client-Computer gilt, auf denen SafeGuard PortProtector deinstalliert werden soll. 2 Navigieren Sie zu Computerkonfiguration Softwareeinstellungen Softwareinstallation. 3 Klicken Sie mit der rechten Maustaste auf das Objekt SafeGuard PortProtector, und wählen Sie Alle Tasks Entfernen. 4 Aktivieren Sie die Optionsschaltfläche Benutzer dürfen die Software weiterhin verwenden, aber Neuinstallationen sind nicht zugelassen. 5 Klicken Sie auf OK. 6 Erstellen Sie ein neues GPO namens Protector deinstallieren, klicken Sie mit der rechten Maustaste auf das neue GPO, und wählen Sie Bearbeiten. 7 Navigieren Sie zu Windows-Einstellungen unter Computerkonfiguration. Wählen Sie Skript und dann Autostart. 8 Klicken Sie auf die Schaltfläche Dateien anzeigen, und erstellen Sie ein neues Textdokument mit folgendem Befehl: msiexec.exe /x "\\kompletter UNC-Pfad zum freigegebenen ProtectorInstallationsordner\SafeGuardPortProtectorClient.msi" /qn UNINSTALL_PASSWORD=Deinstallationskennwort Hinweis: Der in der Batchdatei angegebene Deinstallationsbefehl (siehe oben) muss in einer Zeile stehen. Der eigentliche Deinstallationsvorgang findet erst nach dem Neustart des Computers statt. 9 Ersetzen Sie den kompletten UNC-Pfad zum freigegebenen Protector-Installationsordner durch den entsprechenden Pfad. 10 Ersetzen Deinstallationskennwort durch das entsprechende Kennwort für die Deinstallation. 11 Speichern Sie die Datei mit der Dateierweiterung *.bat. 12 Schließen Sie den Ordner, klicken Sie auf die Schaltfläche Hinzufügen und dann auf die Schaltfläche Durchsuchen. 13 Wählen Sie die neu erstellte Batchdate, und klicken Sie auf die Schaltfläche OK. 72 SafeGuard® PortProtector 3.30, Installationshandbuch 5.6.3 SafeGuard PortProtector Client Cleanup Utility Es steht ein Hilfsprogramm zur Client-Bereinigung zur Verfügung, das Sie nutzen können, wenn Sie SafeGuard PortProtector Client nicht mit dem oben beschriebenen Verfahren von einem Endpunkt deinstallieren können. Dies kann in folgenden Fällen vorkommen: a. SafeGuard PortProtector Client schützt den Endpunkt ordnungsgemäß, kann aber nicht in der Option Software in der Systemsteuerung gefunden werden. b. Ausführen des Client-Deinstallationsassistenten (Entfernen) schlägt fehl. c. Der Client funktioniert nicht ordnungsgemäß (ist z.B. im Panikmodus) und akzeptiert Ihr Client-Deinstallationskennwort nicht. d. Sie haben das Client-Deinstallationskennwort vergessen und können die Policy des Clients nicht mit einer neuen Policy aktualisieren, in der Sie ein neues Kennwort für die Deinstallation festgelegt haben. So starten Sie das Client Cleanup Utility: 1 Suchen Sie die Datei spec.exe im Ordner System in Ihrem Windows-Ordner (Systemhauptverzeichnis). 2 Führen Sie spec.exe aus. Das folgende Fenster wird angezeigt: 73 SafeGuard® PortProtector 3.30, Installationshandbuch 3 Teilen Sie dem Sophos Support ([email protected]) das computerspezifische CleanupToken mit. Wenn Sie den Cleanup-Schlüssel vom Sophos Support erhalten haben, geben Sie ihn im Feld Cleanup-Schlüssel ein. 4 Wählen Sie bei Betriebssystem entweder Aktuelles Betriebssystem oder Anderes Betriebssystem auf diesem Computer. Wenn Sie die zweite Option wählen, klicken Sie auf Durchsuchen, um das andere Betriebssystem auf dem Computer zu suchen. Anmerkung: Wenn Sie das Betriebssystem Windows 2000 wählen, ist der Pfad wie folgt: C:\winnt\system32. 5 Klicken Sie auf Jetzt bereinigen. Die Client-Bereinigung beginnt, und ihr Fortschritt wird in einer Verlaufsanzeige angezeigt. Dieser Vorgang kann ein paar Minuten dauern. Sobald die Bereinigung abgeschlossen ist, wird folgendes Fenster angezeigt: 6 Starten Sie den Endpunkt neu. 74 SafeGuard® PortProtector 3.30, Installationshandbuch 6 Anhang A - OPSEC™-Interoperabilität Über diesen Anhang Dieser Anhang erklärt, wie VPN-1®/FireWall-1® SecureClient™ von Check Point™ (im Folgenden als SecureClient bezeichnet) mit SafeGuard PortProtector Client zur Verbesserung Ihrer Netzwerksicherheit interagiert. Es enthält die folgenden Abschnitte: Was ist OPSEC™, Seite 76, beschreibt OPSEC™ von Check Point und seine Vorteile. OPSEC™ und SafeGuard PortProtector, Seite 76, beschreibt die Schnittstellenbildung zwischen SafeGuard PortProtector und OPSEC™. Vorbereiten von SafeGuard PortProtector Client, Seite 76, beschreibt die Vorbereitungen, die Sie auf der Seite von SafeGuard PortProtector treffen müssen, um OPSEC™ anzuwenden. Konfigurieren der SCV-Policy, Seite 77, beschreibt die Vorbereitungen, die Sie auf der Seite von VPN-1®/FireWall-1® treffen müssen, um OPSEC™ anzuwenden. Installieren der aktualisierten SCV-Policy auf SecureClients, Seite 83, erklärt, wie die aktualisierte SCV-Policy für SecureClient installiert wird. Parameter des SafeGuard PortProtector SCV-Checks, Seite 86, beschreibt die Prüfungen, die auf dem SafeGuard PortProtector Client ausgeführt werden können, und liefert Beispiele. Hinweis: Die Anleitungen in diesem Anhang setzen voraus, dass SecureClient bereits auf den entsprechenden Endpunkten in Ihrer Organisation installiert ist. 75 SafeGuard® PortProtector 3.30, Installationshandbuch 6.1 Was ist OPSEC™ OPSEC™ (Open Platform for Security) von Check Point integriert und verwaltet alle Aspekte der Netzwerksicherheit über ein erweiterbares Managementgerüst. SafeGuard PortProtector kann sich auf dieses Gerüst aufschalten und Ihnen so eine umfassende Sicherheitslösung bieten. Bei dieser Lösung fragt ein SVC-Check (eine DLL) die Sicherheitsaspekte der Konfiguration eines Clients ab und meldet dem SecureClient, ob die Konfiguration "verifiziert" oder "nicht verifiziert" ist. Wenn die Konfiguration nicht verifiziert ist, unterbindet SecureClient den Zugriff auf das Organisationsnetz. 6.2 OPSEC™ und SafeGuard PortProtector Wir liefern eine DLL, die mehrere Prüfungen des SafeGuard PortProtector Clients ausführen kann. Die Ergebnisse der Prüfungen werden an SecureClient gemeldet. Neben der Prüfung auf das Vorhandensein von SafeGuard PortProtector Client können diese Prüfungen einen oder mehrere der folgenden Parameter enthalten: Policy-ID Datum/Uhrzeit der Policy-Aktualisierung Versionsnummer Schutzstatus Server-ID Eine Erklärung dieser Parameter finden Sie in Parameter des SafeGuard PortProtector SCVChecks, Seite 86. Wenn eine der Prüfungen fehlschlägt, wird die Computerkonfiguration nicht verifiziert, und SecureClient sperrt den Endpunkt, so dass er nicht auf das Organisationsnetz zugreifen kann. 6.3 Vorbereiten von SafeGuard PortProtector Client Wir liefern eine DLL, die die Schnittstelle mit SecureClient bildet (besonders mit seiner SCVPolicy), die Sie auf den entsprechenden Endpunkten installieren müssen:# 1 Falls noch nicht geschehen, installieren Sie SafeGuard PortProtector Client (siehe Installieren von SafeGuard PortProtector Client) 2 Installieren Sie SafeGuardPortProtectorScv auf dem entsprechenden Computer mit Hilfe von GPO oder manuell (SafeGuardPortProtectorScv.msi finden Sie auf Ihrer SafeGuard PortProtector Installations-CD). Dadurch wird eine DLL installiert, die - neben der Prüfung, ob SafeGuard PortProtector Client auf dem Computer installiert ist - nach Wahl eine oder mehrere der oben beschriebenen Prüfungen durchführen kann. Die DLL meldet das - "verifiziert" oder "nicht verifiziert" - an SecureClient. Hinweis: SecureClient muss bereits auf dem Zielcomputer installiert sein, bevor Sie die SafeGuardPortProtectorScv-DLL installieren. Hinweis: Wenn Sie SafeGuardPortProtectorScv manuell installieren und SecureClient aktiv ist, stoppt/startet letzter den Dienst. Schließen Sie ihn in diesem Fall wieder an. 76 SafeGuard® PortProtector 3.30, Installationshandbuch 6.4 Konfigurieren der SCV-Policy Die SCV-Policy ist die Sicherheitsrichtlinie von SecureClient, auf die sich Drittanwenderprogramme wie SafeGuard PortProtector aufschalten können. eine SCV-Policy kann einen oder mehrere SCV-Checks enthalten, die sich jeweils auf eine andere Anwendung beziehen. Der SVC-Check von SafeGuard PortProtector (namens SafeGuardPortProtectorScv) muss in die SCV-Policy eingefügt und dann auf den entsprechenden SecureClients installiert werden. Dieser Vorgang umfasst drei Schritte: Schritt 1: Hinzufügen des SafeGuard PortProtector SCV-Checks in Ihre SCV-Policy Schritt 2: Hinzufügen von SafeGuard PortProtector-Parametern in Ihren SafeGuard PortProtector SCV-Check Schritt 3: Installieren Ihrer SCV-Policy auf den entsprechenden SecureClients Die Schritte 1 und 2 können mit SCVEditor™ (empfohlen) ausgeführt werden, siehe unten, oder mit Hilfe eines beliebigen Texteditors. 6.5 Konfigurieren der SCV-Policy mit Hilfe von SCVEditor™ Wie oben erwähnt wird empfohlen, die SCV-Policy mit Hilfe von SCVEditor™ zu bearbeiten (sieh unten). Für die Bearbeitung der SCV-Policy mit einem Texteditor siehe Konfigurieren der SCV-Policy mit Hilfe eines Texteditors auf Seite 80. 6.5.1.1 Hinzufügen des SafeGuard PortProtector SCV-Checks in die SCV-Policy Der SafeGuard PortProtector SCV-Check - SafeGuardPortProtectorScv - muss in Ihre SCVPolicy (local.scv) eingefügt werden, die sich im Verzeichnis $FW1conf auf dem VPN1®/Firewall-1® Management Server befindet. Der SafeGuard PortProtector SCV-Check kann mit Hilfe von SCVEditor™ in Ihre SCV-Policy eingefügt werden. 77 SafeGuard® PortProtector 3.30, Installationshandbuch So fügen Sie den SCV-Check mit Hilfe von SCVEditor™ hinzu: 1 Öffnen Sie im Hauptfenster von SCVEditor™' local.scv: 2 Klicken Sie im linken Fensterausschnitt des Hauptfensters von SCVEditor™ mit der rechten Maustaste auf Produkte und wählen Sie Hinzufügen. Das folgende Fenster wird angezeigt: 3 Geben Sie SafeGuardPortProtectorScv ein, und klicken Sie auf OK. SafeGuardPortProtectorScv wird jetzt im linken Fensterausschnitt unter Produkte angezeigt, zusammen mit anderen Produkten, die Sie u.U. zuvor hinzugefügt haben. 78 SafeGuard® PortProtector 3.30, Installationshandbuch 4 Klicken Sie im linken Fensterausschnitt mit der rechten Maustaste auf SafeGuardPortProtectorScv und wählen Sie Durchsetzen. SafeGuardPortProtectorScv wird jetzt in der unteren Hälfte des rechten Fensterausschnitts im Hauptfenster angezeigt: 5 Setzen Sie im Abschnitt Globale SCV-Parameter im Hauptfenster Bei nicht verifiziertem SCV Verbindung sperren ein/aus und den Wert für Ablaufzeit nach Belieben. 6 Klicken Sie auf Speichern in der Symbolleiste oder im Menü Datei, um die aktualisierte SCV-Policy zu speichern. 6.5.1.2 Hinzufügen von SafeGuard PortProtector-Parametern in den SCV-Check Der SCV-Check kann mehrere Parameter enthalten, deren Werte Sie u.U. prüfen möchten, um die Verbindung von SecureClient zu verifizieren. Parameter des SafeGuard PortProtector SCVChecks, Seite 86, enthält eine Liste der verfügbaren Parameter mit Erklärungen und Beispielen für deren Definition und Nutzung. 1 Um Parameter hinzuzufügen, klicken Sie mit der rechten Maustaste in den leeren Arbeitsbereich auf der rechten Seite und wählen Neu. Folgendes Fenster wird angezeigt: 79 SafeGuard® PortProtector 3.30, Installationshandbuch 2 Geben Sie Name und Wert des Parameters ein. Die obige Abbildung zeigt, wie der Parameter MinimumVersion und sein Wert hinzugefügt werden. Wenn bei diesem Beispiel der SCV-Check feststellt, dass die Version von SafeGuard PortProtector Client Version nicht gleich oder größer als 3.0.12444 ist, wird der Client nicht verifiziert, und er darf keine Verbindung zum Organisationsnetz herstellen. 3 Klicken Sie auf OK. Der Parameter ist jetzt zu SafeGuardPortProtectorScv hinzugefügt. 4 Führen Sie die Schritte 1 und 2 für jeden hinzuzufügenden Parameter aus. Jeder von Ihnen hinzugefügte Parameter wird wie folgt im Arbeitsbereich angezeigt: 5 Klicken Sie auf Speichern in der Symbolleiste oder im Menü Datei, um die aktualisierte SCV-Policy zu speichern. 6.5.2 Konfigurieren der SCV-Policy mit Hilfe eines Texteditors Ein anderer Weg für das Konfigurieren der SCV-Policy ist die Bearbeitung von local.scv direkt mit einem Texteditor. Beispiele: Beispiel 1 ist ein allgemeines Beispiel einer SCV-Policy, das die Syntax der Datei beschreibt. Beispiel 2 ist ein Beispiel einer SCV-Policy, das einen SafeGuard PortProtector SCV-Check ohne Parameter enthält. Beispiel 3 ist ein Beispiel einer SCV-Policy, das einen SafeGuard PortProtector SCV-Check mit mehreren Parametern enthält. Hinweis: Ein Fehler in der Objektdatei führt zu einem 'beschädigte Datei'-Fehler (SCV-Status ist nicht verifiziert). Der Einsatz von SCVEditor™ verhindert dieses Problem. 80 SafeGuard® PortProtector 3.30, Installationshandbuch 6.5.2.1 Beispiel 1 Dies ist ein allgemeines Beispiel einer SCV-Policy: (SCVObject :SCVNames ( :(SCVGroup1 :type(group) :(samplescv1) :(samplescv) ) :(SCVGroup2 :type (group) :(emptyscv) ) :(samplescv :type (plugin) :parameters ( :n1param1(value1) :n1param2(value2) :n1param3(value3) ) ) :(emptyscv :type(plugin) :parameters ( :n2param1(value1) :n2param2(value2) ) ) ) :SCVPolicy( :(SCVGroup1) ) ) 81 SafeGuard® PortProtector 3.30, Installationshandbuch Beschreibung der SCV-Policy Der SCVPolicy-Satz enthält die Gruppen der zu verwendenden SCV-Checks. In SCVGroup1 sind zwei SCV-Checks definiert (samplescv und samplescv1). Der erste SCV-Check in SCVGroup1, der richtig registriert ist, wird von SecureClient benutzt. samplescv und samplescv1 sind bei diesem Beispiel ähnliche SCV-Checks, und mindestens einer von ihnen sollte zur Meldung des SCV-Status genutzt werden. Da samplescv1 nicht ordnungsgemäß definiert ist, wird stattdessen samplescv genutzt. Die SCVPolicy enthält nicht den SCV-Check emptyscv SCV und nutzt ihn deshalb gar nicht. samplescv enthält drei Parameter, die in der Start-Funktion übergeben werden. 6.5.2.2 Beispiel 2 Dies ist ein Beispiel einer SCV-Policy, das den SCV-Check SafeGuardPortProtectorScv enthält. Der SCV-Check enthält keine Parameter und prüft nur das Vorhandensein von SafeGuard PortProtector Client auf dem Endpunkt, um zu ermitteln, ob er verifiziert ist und eine Verbindung zum Organisationsnetz herstellen darf. (SCVObject :SCVNames ( : (SafeGuardPortProtectorScv :type (plugin) :parameters () ) ) :SCVPolicy ( : (SafeGuardPortProtectorScv) ) :SCVGlobalParams ( :block_connections_on_unverified (true) :scv_policy_timeout_hours (24) ) ) 82 SafeGuard® PortProtector 3.30, Installationshandbuch 6.5.2.3 Beispiel 3 Dies ist ein Beispiel einer SCV-Policy, das den SCV-Check SafeGuardPortProtectorScv enthält. Der SCV-Check enthält vier Parameter, die zu prüfen sind, um den Client zu verifizieren und die Verbindung zum Organisationsnetz zuzulassen (Parameter des SafeGuard PortProtector SCVChecks auf Seite 86 enthält eine Liste der verfügbaren Parameter mit Erklärungen und Beispielen für deren Definition und Nutzung). (SCVObject :SCVNames ( : (SafeGuardPortProtectorScv :type (plugin) :parameters ( :PolicyId ("Policy1 0 / 1$$Sophos Initial Policy ") :ProtectionStatus ("STATUS_PROTECTED") :PolicyUpdatedSinceDate ("23.08.2006 17:17:00") :MinimumVersion ("3.0.12444") ) ) ) :SCVPolicy ( : (SafeGuardPortProtectorScv) ) :SCVGlobalParams ( :block_connections_on_unverified (true) :scv_policy_timeout_hours (24) ) ) 83 SafeGuard® PortProtector 3.30, Installationshandbuch 6.6 Installieren der aktualisierten SCV-Policy auf SecureClients Nachdem Sie SafeGuardPortProtectorScv in Ihre SCV-Policy eingefügt und sie gespeichert haben (entweder mit SCVEditor™ oder mit Hilfe eines Texteditors), können Sie sie auf Ihren SecureClients installieren. So installieren Sie die aktualisierte SCV-Policy: 1 Öffnen Sie Check Point SmartDashboard™: 2 Wählen Sie im Menü Policy die Option Installieren (siehe vorherig Abbildung). Das Fenster Policy installieren wird angezeigt: 84 SafeGuard® PortProtector 3.30, Installationshandbuch 3 Wählen Sie die gewünschten Einstellungen, und klicken Sie auf OK. Die Installation beginnt, und das Fenster Installationsverlauf wird angezeigt, das den Installationsfortschritt angibt. Nachdem die Installation abgeschlossen ist, wird folgendes Fenster angezeigt: 4 Ihre SCV-Policy ist jetzt auf den ausgewählten Gateways installiert. Bei der nächsten Anmeldung von SecureClients beim Policy-Server wird die aktualisierte SCV-Policy auf ihnen installiert. Nach der Installation auf SecureClients können sie mit der SafeGuard PortProtector-DLL (siehe oben) kommunizieren und die Verbindung zum Organisationsnetz sperren, wenn die SafeGuard PortProtector-Konfiguration nicht verifiziert ist. Falls eine Konfiguration nicht verifiziert ist, wird am Endpunkt eine Fehlermeldung angezeigt. Die folgende Abbildung zeigt ein Beispiel der Meldung, die der Endbenutzer erhält, wenn eine Konfiguration wegen eines nicht übereinstimmenden Parameterwerts nicht verifiziert wird: Die folgende Abbildung zeigt ein Beispiel der Meldung, die der Endbenutzer erhält, wenn eine Konfiguration wegen eines Formatfehlers nicht verifiziert wird: 85 SafeGuard® PortProtector 3.30, Installationshandbuch 6.7 Parameter des SafeGuard PortProtector SCV-Checks Hier folget eine Beschreibung der Parameter, die Sie zur Ausführung von Prüfungen für SafeGuard PortProtector Client, zusätzlich zur Prüfung dessen Vorhandensein auf dem Endpunkt, nutzen können. Für jeden Parameter werden Syntax und Beispiele angegeben. 6.7.1 Allgemein Es gibt 5 Parameter für Prüfung des Status von SafeGuard PortProtector. Alle Parameter sind optional. Die Parameter werden mit den aktuellen SafeGuard PortProtector-Daten verglichen, die im SafeGuard PortProtector Client-Fenster Optionen angezeigt werden. 6.7.2 Parameterformat und Beschreibung 6.7.2.1 MinimumVersion Beschreibung: "Verifiziert" für Versionen größer oder gleich MinimumVersion. Format: 0-255.0-255.0-65535 Beispiele: 3.0.12444 3.1.0 6.7.2.2 PolicyUpdatedSinceDate Beschreibung: "Verifiziert", wenn die letzte Policy-Aktualisierung am oder nach dem PolicyUpdatedSinceDate durchgeführt wurde. Das Datum ist zwingend erforderlich, die Zeit ist optional. Format: TT.MM.JJJJ Beispiele: 24.08.2006 12:32:00 12.06.2005 6.7.2.3 PolicyID Beschreibung: "Verifiziert", wenn die aktuelle Policy gleich einer der vom Parameter beschriebenen PolicyIDs ist. Format: PolicyID1$$PolicyID2$$PolicyID3 … Anmerkungen: Policy-Version und -ID müssen dem Policy-Namen hinzugefügt sein. Zum Beispiel: Wenn der Policy-Name “Policy1” lautet, ihre Version 0 und ihre ID 1 ist, sollte sie “Policy 0 / 1” sein. Dem ursprünglichen Policy-Namen muss ein Leerzeichen hinzugefügt werden “Sophos Initial Policy “ Beispiele: Firmen Policy 0 / 1 Meine Policy 5 / 10$$Sophos Inital Policy $$Policy 0 / 1 86 SafeGuard® PortProtector 3.30, Installationshandbuch 6.7.2.4 ProtectionStatus Beschreibung: "Verifiziert", wenn der aktuelle Schutzstatus einer der definierten Stati ist. Es gibt derzeit drei Stati: STATUS_PROTECTED, STATUS_ERROR und STATUS_SUSPENDED. Format: Status1$$Status2$$Status3 … Beispiele: STATUS_PROTECTED STATUS_SUSPENDED$$STATUS_PROTECTED$$STATUS_ERROR 6.7.2.5 ServerID Beschreibung: "Verifiziert", wenn der Servername gleich einer der vom Parameter beschriebenen ServerIDs ist. Dieser Parameter kann bei Version 3.1 und höher angewendet werden. Format: ServerID1$$ServerID2$$ServerID3 … Beispiele: Unbekannt Unbekannt$$ABC$$ServerID 87 SafeGuard® PortProtector 3.30, Installationshandbuch 7 Anhang B - NAC-Interoperabilität Über diesen Anhang Dieser Anhang erklärt, wie SafeGuard PortProtector Client mit Cisco Trust Agent (CTA) und Cisco Secure Access Control Server (ACS) zur Verbesserung Ihrer Netzwerksicherheit interagiert. Es enthält die folgenden Abschnitte: Was ist NAC, Seite 89, beschreibt Cisco NAC (Network Access Control) und seine Vorteile. Posture-Validierung, Seite 89, erklärt Attribute, z.B. die von SafeGuard PortProtector Client über CTA gemeldeten, von ACS validiert werden. SafeGuard PortProtector und NAC, Seite 76, beschreibt die Schnittstellenbildung zwischen SafeGuard PortProtector und NAC, um einen umfassenden Netzwerkschutz zu bieten. Konfigurieren von Posture-Validierungspolicies, Seite 90, beschreibt das Importieren der SafeGuard PortProtector Client-Datei der Attribut/Wert-Paare (AVP) und liefert einen Link zur Cisco-Dokumentation für die Validierungspolicy-Konfiguration. Attribut/Wert-Paare - AVP-Datei, Seite 92, enthält eine AVP-Beispieldatei, die nach ACS importiert werden muss, um die Attribute des SafeGuard PortProtector Clients zu prüfen. 88 SafeGuard® PortProtector 3.30, Installationshandbuch 7.1 Was ist NAC NAC ist ein Satz von Technologien und Lösungen, die auf einer von Cisco Systems angeführten Brancheninitiative aufgebaut sind. Es nutzt die Netzwerkinfrastruktur, um die Einhaltung der Sicherheitsrichtlinien auf allen Geräten durchzusetzen, die auf Rechnerressourcen im Netz zugreifen möchten, und begrenzt so den Schaden durch auftretende Sicherheitsbedrohungen. Kunden, die NAC einsetzen, können den Netzzugang auf konforme und vertrauenswürdige Endpunktgeräte (z.B. PCs, Server und PDAs) begrenzen und den Zugang nicht konformer Geräte einschränken. 7.1.1 Vorteile von NAC NAC verbessert die Netzwerksicherheit drastisch. NAC stellt sicher, dass alle Endpunkt den aktuellsten Sicherheitsrichtlinien entsprechen, unabhängig von Größe oder Komplexität des Netzes. Mit NAC können Sie sich auf die Prävention statt auf Reaktion konzentrieren. So können Sie einen proaktiven Schutz gegen Eindringlinge und gegen Durchsickern erreichen. NAC steigert den Wert Ihrer Investition. NAC ist nicht nur in die CiscoNetzwerkinfrastruktur integriert, sondern erfreut sich auch einer breit angelegten Integration in Antivirus- Sicherheits- und Managementlösungen Dutzender führender Hersteller. NAC liefert Deployment-Skalierbarkeit und umfassende Kontrolle. NAC bietet eine Bewilligungskontrolle für alle Zugangsarten (LAN-, WAN-, drahtlosen und Remote-Zugang). NAC steigert die Ausfallsicherheit des Unternehmens. NAC verhindert, dass nicht konforme Endpunkte die Netzverfügbarkeit beeinträchtigen. NAC reduziert die Betriebsausgaben. NAC reduziert den Aufwand für die Identifizierung und Reparatur nicht konformer und infizierter Systeme. 7.2 Posture-Validierung Der Begriff Posture bezeiht sich auf die Sammlung von Attributen, die beim Verhalten und der "Gesundheit" des Endpunktgeräts, das auf das Netz zugreifen möchte, eine Rolle spielen, und die geprüft werden können. Einige dieser Attribute beziehen sich auf den Typ des Endpunktgeräts. Andere Attribute gehören zu verschiedenen Sicherheitsanwendungen, die auf dem Endpunkt vorhanden sein können, wie z.B. SafeGuard PortProtector Client (Attribute des SafeGuard PortProtector Clients auf Seite 90 enthält eine Liste der Attribute des SafeGuard PortProtector Clients). Posture-Validierung bezieht sich auf das Anwenden eines Regelsatzes auf die Posture-Daten, um eine Beurteilung (Posture-Token) über das Maß an Vertrauen, das Sie in den Endpunkt setzen können, zu liefern. Das Posture-Token ist eine der Bedingungen in den Authorisierungsregeln für den Netzzugang. Die Posture-Validierung bietet zusammen mit der herkömmlichen Benutzerauthentifizierung eine vollständige Sicherheitsbeurteilung des Endpunktgeräts und des Benutzers. Cisco Secure Access Control Server Release 4.0 für Windows, im Folgenden als ACS bezeichnet, unterstützt die Posture-Validierung, wenn ACS als Teil einer breit angelegten Cisco NACLösung eingesetzt wird. CTA, das einen Posture Agent (PA) enthält, liefert die SafeGuard PortProtector Client PostureAttribute an ACS, welches die Beurteilung der Posture-Attribute durchführt. 89 SafeGuard® PortProtector 3.30, Installationshandbuch 7.3 SafeGuard PortProtector und NAC Während der Installation von SafeGuard PortProtector Client wird eine DLL (SProtectorPP.dll) installiert, die den Status der verschiedenen SafeGuard PortProtector Attribute (siehe unten) an CTA kommuniziert. CTA, das einen Posture Agent enthält, liefert die Posture-Attribute an ACS, welches die Beurteilung der Posture-Attribute durchführt. Wenn eine der Attributprüfungen fehlschlägt, wird der Zugang des Endpunkts auf das Organisationsnetz gesperrt. 7.3.1 Attribute des SafeGuard PortProtector Clients Neben der Prüfung auf das Vorahndensein von SafeGuard PortProtector Client auf dem Endpunkt können die folgenden Parameter geprüft und an den CTA Posture Agent gemeldet werden: Softwareversion SafeGuard PortProtector Policy-Name SafeGuard PortProtector Policy-ID SafeGuard PortProtector Policy-Version SafeGuard PortProtector Policy-Typ SafeGuard PortProtector Policy-Aktualisierungszeitpunkt 7.4 Konfigurieren von Posture-Validierungspolicies In einer Posture-Validierungspolicy definieren Sie die Gültigkeitsprüfungen SafeGuard PortProtector Client-Attribute. Diese Prüfungen werden fürr die Attribute durchgeführt, die von SafeGuard PortProtector Client mit Hilfe der SProtectorPP.dll an den CTA Posture Agent kommuniziert und von CTA an ACS gemeldet werden. Damit Sie Policies für SafeGuard PortProtector Client-Attribute definieren können, muss die Datei der Attribut/Wert-Paare (AVP) nach ACS importiert werden, die diese Attribute definiert. Hinweis: Nachstehend werden grundlegende Anleitungen gegeben. Weitere Details lesen Sie bitte in der Cisco ACS-Dokumentation nach, verfügbar unter: http://www.cisco.com/application/pdf/en/us/guest/products/ps6439/c2001/ccmigration_09186a 008053d5e4.pdf ODER http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_user_guide_chapter09186a 008052e956.html. 90 SafeGuard® PortProtector 3.30, Installationshandbuch So importieren Sie die AVP-Datei in die ACS-Policy: 1 Falls noch nicht geschehen, installieren Sie SafeGuard PortProtector Client auf den entsprechenden Endpunkten. Dabei werden automatisch zwei Dateien in das Verzeichnis C:\Programme\Gemeinsame Dateien\PostureAgent\Plugins kopiert: SProtectorPP.inf: enthält eine Beschreibung der SafeGuard PortProtector Client-Attribute und deren Identifikation. SProtectorPP.dll: Führt Prüfungen der SafeGuard PortProtector Client-Attribute durch, deren Posture an CTA gemeldet wird. 2 Erstellen Sie eine SafeGuard PortProtector AVP-Datei gemäß dem in Attribut/Wert-Paare AVP-Datei auf Seite 92 gegebenen Beispiels. 3 Öffnen Sie ein Befehlsfenster in ACS. 4 Navigieren Sie zu %\Programme\Cisco Systems\CiscoSecure ACS 4.0\bin. 5 Legen Sie die AVP-Datei (AVPdateiname) in diesem Ordner ab. 6 Führen Sie csutil –addAVP AVPdateiname aus. Das System beginnt, die einzelnen Attribute aus der AVP-Datei hinzuzufügen. Sobald der Vorgang beendet ist, wird folgende Meldung angezeigt: ---AVP-Übersicht--(N) AVPs wurden dem Dictionary hinzugefügt<DB>. 7 Starten Sie die Dienste csauth, csadmin und cslogd neu. Die Attribute sind jetzt nach ACS importiert. 8 Richten Sie ein Profil ein und erstellen Sie Posture-Validierungspolicies auf der Seite der Posture-Validierung. Eine Erklärung finden Sie in der Benutzerhilfe für Cisco Secure ACS für Windows, verfügbar unter http://www.cisco.com/application/pdf/en/us/guest/products/ps6439/c2001/ccmigration_091 86a008053d5e4.pdf ODER http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_user_guide_chapter091 86a008052e984.html#wp1196118 91 SafeGuard® PortProtector 3.30, Installationshandbuch 7.5 Attribut/Wert-Paare - AVP-Datei Die AVP-Datei beschreibt die Attribute des SafeGuard PortProtector Clients, die für die Posture-Validierung erforderlich sind. Die Datei muss, wie im vorherigen Abschnitt erklärt, nach ACS importiert werden. Das nachstehende Beispiel enthält alle verfügbaren Attribute des SafeGuard PortProtector Clients. Wenn Sie bestimmte Attribute nicht prüfen möchten, können Sie die entsprechenden Abschnitte löschen. [attr#0] vendor-id=24493 vendor-name=Sophos. application-id=5 application-name=HIPS attribute-id=32768 attribute-name=Software-Name attribute-profile=in out attribute-type=string [attr#1] vendor-id=24493 vendor-name=Sophos. application-id=5 application-name=HIPS attribute-id=32769 attribute-name=Version attribute-profile=in out attribute-type=version [attr#2] vendor-id=24493 vendor-name=Sophos. application-id=5 application-name=HIPS attribute-id=32770 92 SafeGuard® PortProtector 3.30, Installationshandbuch attribute-name=Policy-Name attribute-profile=in out attribute-type=string [attr#3] vendor-id=24493 vendor-name=Sophos. application-id=5 application-name=HIPS attribute-id=32771 attribute-name=Policy-ID attribute-profile=in out attribute-type=string [attr#4] vendor-id=24493 vendor-name=Sophos. application-id=5 application-name=HIPS attribute-id=32772 attribute-name=Policy-Revision attribute-profile=in out attribute-type=string [attr#5] vendor-id=24493 vendor-name=Sophos. application-id=5 application-name=HIPS attribute-id=32773 attribute-name=Policy-Type attribute-profile=in out attribute-type=unsigned integer 93 SafeGuard® PortProtector 3.30, Installationshandbuch [attr#6] vendor-id=24493 vendor-name=Sophos. application-id=5 application-name=HIPS attribute-id=32774 attribute-name=Policy-Update-Time attribute-profile=in out attribute-type=date 94