Sophos Disk Encryption Anleitung zur Lizenzmigration Produktversion: 5.61 Stand: Juni 2012
Inhalt 1 Einleitung...3 2 Ausstatten einer vorhandenen Sophos Sicherheitslösung mit Verschlüsselung...5 3 SDE/SGE 4.x zu Sophos Disk Encryption 5.61...10 4 SDE/SGE 5.5x oder 5.6x zu Sophos Disk Encryption 5.61...18 5 Sophos Disk Encryption 5.61 zu SafeGuard Enterprise...24 6 Technischer Support...25 7 Rechtliche Hinweise...26 2
Anleitung zur Lizenzmigration 1 Einleitung Dieses Handbuch beschreibt die Migrationsszenarien, die eine Änderung in Ihrer Lizenz für Enterprise Console oder die Sophos Verschlüsselungssoftware umfassen. Sowohl die Migration der serverseitigen Software als auch der Endpoint-Software wird abgedeckt. Es wird davon ausgegangen, dass Sie Sophos Enterprise Console (SEC), Sophos SafeGuard Disk Encryption/Sophos SafeGuard Easy und SafeGuard Enterprise kennen. Die folgenden Migrationsszenarien werden beschrieben: Ausstatten einer vorhandenen Sophos Sicherheitslösung mit Verschlüsselung. Migration von Sophos Verschlüsselung (Standalone) (SDE 4.6x/SGE 4.5x) zu Sophos Disk Encryption 5.61. Migration von Sophos Verschlüsselung (Standalone) (SDE 5.5x oder 5.6x/SGE 5.5x oder 5.6x) zu Sophos Disk Encryption 5.61. Migration von Sophos Disk Encryption 5.61 (Sophos Enterprise Console 5.1 oder eine spätere Version mit Managed-Verschlüsselung) zu SafeGuard Enterprise mit Managed-Verschlüsselung. Im Handbuch nicht abgedeckte Migrationsszenarien Die folgenden Migrationsszenarien sind nicht abgedeckt: Endpoint-Migration von SafeGuard Enterprise 6/SafeGuard Easy 6 zu Sophos Disk Encryption 5.6.1 verwaltet durch SEC. In diesem Fall müssen Sie die Endpoints entschlüsseln und die Verschlüsselungssoftware deinstallieren. Dann müssen Sie Sophos Disk Encryption 5.61 auf dem Endpoint installieren, der durch SEC verwaltet werden soll. Migration von SafeGuard Enterprise zu Sophos Disk Encryption 5.61 verwaltet durch SEC. Hinweis: Wenn Sie Enterprise Console nicht benutzen wollen, um Sophos Disk Encryption 5.61 zu verwalten, können Sie Enterprise Console auf demselben Server wie SafeGuard Enterprise installieren. Einige spezielle Konfigurationsschritte sind erforderlich, um dies aufzusetzen. Für weitere Informationen, siehe http://www.sophos.com/de-de/support/knowledgebase/117632.aspx. Migration von Verschlüsselung (Managed) zu Verschlüsselung (Standalone). In diesem Fall müssen Sie die Endpoint-Computer zunächst entschlüsseln und dann wieder neu verschlüsseln. Im Handbuch verwendete Produktnamen Produktname Sophos Enterprise Console Beschreibung Sophos-Konsole für die Verwaltung und Aktualisierung von Sophos Sicherheitssoftware. Ab Version 5.1 verwaltet die Konsole auch Verschlüsselung. 3
Sophos Disk Encryption Produktname Sophos Disk Encryption 5.61 Festplattenverschlüsselung Sophos SafeGuard Disk Encryption (SDE) Sophos SafeGuard Easy (SGE) SafeGuard Enterprise Beschreibung Sophos Enterprise Console Verschlüsselungssoftware (Managed) Name der Verschlüsselungsfunktion in Sophos Enterprise Console. Die Festplattenverschlüsselung schützt Daten auf Endpoints davor, von nicht autorisierten Personen gelesen oder geändert zu werden. SafeGuard Standalone-Verschlüsselungssoftware, verfügbar im Bundle mit Endpoint Security and Data Protection (ESDP). Ab Version 5.50 wird der SafeGuard Policy Editor zum Konfigurieren von Richtlinien für Standalone-Computer verwendet. SafeGuard Verschlüsselungssoftware. Ab Version 5.50 ist Sophos SafeGuard Easy der Produktname für die SafeGuard Enterprise Standalone-Verschlüsselungslösung. Ab Version 5.50 wird der SafeGuard Policy Editor zum Konfigurieren von Richtlinien für Standalone-Computer verwendet. Umfassende, modulare SafeGuard Verschlüsselungs-Suite mit zentraler rollenbasierter Verwaltung, die Daten auf Endpoints vor dem Zugriff durch nicht autorisierte Personen schützt. Dokumentation zu Sophos Produkten Begleitmaterial zu Sophos Software finden Sie hier: http://www.sophos.com/de-de/support/documentation. 4
Anleitung zur Lizenzmigration 2 Ausstatten einer vorhandenen Sophos Sicherheitslösung mit Verschlüsselung Um eine vorhandene Sophos Sicherheitslösung mit Verschlüsselung auszustatten, müssen Sie die Sophos Enterprise Console mit Verschlüsselung aktualisieren und eine Erstinstallation der Verschlüsselungssoftware auf Ihren Endpoint-Computern durchführen. Hinweis: Verschlüsselung ist nur bei entsprechender Lizenzierung verfügbar. Zum Ausstatten einer vorhandenen Sophos Sicherheitslösung mit Verschlüsselung führen Sie folgende Handlungsschritte aus: Wenn Sie eine ältere Version von Enterprise Console installiert haben, führen Sie einen Aktualisierung auf die neueste Version inklusive Verschlüsselung durch. Wenn Sie bereits die aktuelle Version von Enterprise Console ohne Verschlüsselung installiert haben, installieren Sie Enterprise Console erneut, um Verschlüsselung hinzuzufügen. Verschlüsselungssoftware auf den Endpoint-Computern installieren. 2.1 Sophos Enterprise Console Aktualisierung Wenn Sie Sophos Enterprise Console unter Version 5.1 auf Ihrem Computer installiert haben, aktualisieren Sie auf die aktuelle Sophos Enterprise Console Version inklusive Verschlüsselung. Führen Sie hierzu den aktuellen Enterprise Console Installer aus und folgen Sie den Anweisungen. Weitere Informationen finden Sie in der Enterprise Console Upgrade-Anleitung. Hinweis: Stellen Sie im Installationsassistenten sicher, dass Sie Enterprise Console zur Verwaltung von Verschlüsselung auswählen. Sophos Enterprise Console ist aktualisiert, die Funktion Festplattenverschlüsselung steht zur Verfügung. 2.2 Sophos Enterprise Console Verschlüsselung hinzufügen Wenn Sie Sophos Enterprise Console 5.1 oder eine spätere Version ohne Verschlüsselung auf Ihrem Computer installiert haben, installieren Sie es erneut, um Verschlüsselung hinzuzufügen: Hinweis: Wenn Sie nicht die neueste Version von Enterprise Console verwenden, empfehlen wir, zunächst eine Aktualisierung auf die neueste Version durchzuführen. 1. Melden Sie sich auf dem Computer, auf dem Enterprise Console installiert werden soll, als Administrator an: Wenn sich der Server in einer Domäne befindet, benutzen Sie ein Domänenkonto mit lokalen Administratorrechten. Wenn sich der Server in einer Arbeitsgruppe befindet, benutzen Sie ein lokales Konto mit lokalen Administratorrechten. 5
Sophos Disk Encryption 2. Suchen Sie den Installer zu Enterprise Console, den Sie im Vorfeld heruntergeladen haben. 3. Doppelklicken Sie auf den Installer. 4. Wenn Sie dazu aufgefordert werden, klicken Sie auf Ändern. Die Installationsdateien werden auf den Computer kopiert und ein Assistent öffnet sich. 5. Der Assistent führt Sie durch die Installation. Sie sollten wie folgt vorgehen: a) Übernehmen Sie soweit als möglich die Standardeinstellungen. b) Stellen Sie auf der Seite Komponentenauswahl sicher, dass alle Komponenten ausgewählt sind. c) Geben Sie auf der Seite Datenbankdetails die Angaben zu einem Konto ein, mit dem auf den Computer, auf dem Sie Enterprise Console installieren, zugegriffen werden kann. Es sollte sich hier nicht um ein Administratorenkonto handeln. d) Klicken Sie auf der Verschlüsselung verwalten Seite auf Verschlüsselung verwalten. e) Klicken Sie auf der Sophos Encryption Seite auf Neue Installationen. Sie werden nach dem Kennwort für den Zertifikate-Backup-Speicher gefragt. Merken Sie sich dieses Kennwort! 6. Nach der Installation ist eventuell ein Neustart erforderlich. Klicken Sie auf Ja oder Fertigstellen. 2.3 Einrichten der Verschlüsselungssoftware auf den Computern Hinweis: Sophos Disk Encryption kann auf Windows XP, Windows Vista und Windows 7 installiert werden, jedoch nicht auf Macs. Um Sophos Disk Encryption auf Computern einzurichten, führen Sie folgende Handlungsschritte aus: Ermöglichen des Zugriffs auf Computer durch den Administrator nach der Installation Vorbereiten der Installation der Verschlüsselungssoftware Automatische Installation von Verschlüsselungssoftware Manuelle Installation von Verschlüsselungssoftware 2.3.1 Ermöglichen des Zugriffs auf Computer durch Administratoren nach der Installation Administratoren müssen u. U. auf Computer zugreifen und diese vorkonfigurieren, nachdem Sie die Verschlüsselungssoftware installiert haben. Dies kann zum Beispiel für die Installation anderer Software notwendig sein. Der erste Benutzer, der sich nach der Installation anmeldet, aktiviert jedoch die Power-on Authentication. Um dies zu vermeiden, fügen Sie die entsprechenden Administratoren zu einer Liste mit Ausnahmen hinzu: 1. Doppelklicken Sie in Enterprise Console im Bereich Richtlinien auf Festplattenverschlüsselung. Doppelklicken Sie auf die Standardrichtlinie, um sie zu bearbeiten. 6
Anleitung zur Lizenzmigration 2. Klicken Sie unter Power-on Authentication (POA) auf Ausnahmen neben dem Feld Power-on Authentication (POA) aktivieren. 3. Klicken Sie im Ausnahmen Dialogfeld auf Hinzufügen, geben Sie den Benutzernamen und den Computer- oder Domänennamen der/des Windows-Kontos/Konten ein und klicken Sie auf OK. Für das erste oder letzte Zeichen können Sie Platzhalter verwenden. Im Feld Benutzername ist das? nicht zulässig. Im Feld Computer- oder Domänenname sind die Zeichen / \ [ ] : ; =, +? < > " nicht zulässig. 4. Klicken Sie im Standard Richtlinie-Dialog auf OK. 5. Wählen Sie im Bereich Richtlinien die Richtlinie aus und ziehen Sie sie auf die Gruppe, auf die sie übertragen werden soll. Bestätigen Sie bei entsprechender Aufforderung, dass Sie den Vorgang fortsetzen möchten. 2.3.2 Vorbereiten der Computer für die Installation Wenn Ihre Lizenz die Festplattenverschlüsselung umfasst, müssen Sie vor der Installation der Verschlüsselungssoftware auf den Computern folgende vorbereitende Schritte durchführen: Stellen Sie vor der Bereitstellung der Festplattenverschlüsselung sicher, dass die Computer bereits mit Virenschutzsoftware von Sophos Version 10 geschützt werden. Entschlüsseln und deinstallieren Sie Verschlüsselungssoftware anderer Hersteller vor der Bereitstellung der Festplattenverschlüsselung. Überprüfen Sie, ob ein Benutzerkonto angelegt und aktiv ist. Der Benutzer muss ein Kennwort haben. Laufwerke, die verschlüsselt werden sollen, müssen komplett formatiert sein und einen Laufwerksbuchstaben zugewiesen haben. Deinstallieren Sie Boot-Manager anderer Anbieter, z. B. PROnetworks Boot Pro und Boot-US. Erstellen Sie ein komplettes Backup der Daten. Untersuchen Sie die Festplatte(n) über folgenden Befehl auf Fehler: chkdsk %drive% /F /V /X Unter Umständen werden Sie dazu aufgefordert, den Computer neu zu starten und chkdsk noch einmal auszuführen. Weitere Informationen finden Sie unter: www.sophos.com/de-de/support/knowledgebase/107081.aspx. Die Ergebnisse (Log-Datei) können Sie in der Windows-Ereignisanzeige prüfen. Windows XP: Wählen Sie Anwendung, Winlogon. Windows 7, Windows Vista: Wählen Sie Windows Logs, Anwendung, Wininit. Benutzen Sie das Windows-Tool defrag, um fragmentierte Boot-Dateien, Datendateien und Ordner auf lokalen Laufwerken aufzufinden und zu konsolidieren. defrag %drive% 7
Sophos Disk Encryption Weitere Informationen finden Sie unter: www.sophos.com/de-de/support/knowledgebase/109226.aspx. Wenn Sie ein Image/Clone-Programm verwendet haben, muss der MBR unter Umständen bereinigt werden. Starten Sie den Computer von einer Windows-DVD und führen Sie den Befehl FIXMBR innerhalb der Windows Recovery Console aus. Weitere Informationen finden Sie unter: www.sophos.com/de-de/support/knowledgebase/108088.aspx. Wenn die Bootpartition auf dem Computer von FAT nach NTFS konvertiert wurde, der Computer aber noch nicht neu gestartet wurde, sollten Sie den Computer neu starten. Andernfalls wird die Installation unter Umständen nicht abgeschlossen. 2.3.3 Automatische Installation von Verschlüsselungssoftware Stellen Sie sicher, dass die Endpoints auf die Installation der Festplattenverschlüsselung vorbereitet wurde (d.h. Sophos Virenschutzsoftware Version 10 wurde installiert und Drittanbieter-Verschlüsselungssoftware wurde deinstalliert). Für weitere Informationen, siehe Vorbereiten der Computer für die Installation (Seite 7). So installieren Sie die Verschlüsselungssoftware automatisch: 1. Wählen Sie in Enterprise Console alle Computer aus, auf denen die Festplattenverschlüsselung installiert werden soll. 2. Rechtsklicken Sie auf die Computer und klicken Sie anschließend auf Computer schützen. Der Assistent zum Schutz von Computern wird gestartet. 3. Klicken Sie auf der Willkommen Seite auf Weiter. 4. Wählen Sie auf der Installationsart Seite die Option Verschlüsselungssoftware. 5. Wenn mehrere Verschlüsselungsabonnements und Installer-Verzeichnisse (Bootstrap-Verzeichnisse) vorhanden sind, wird die Seite Verschlüsselungsverzeichnis angezeigt. Wählen Sie das Verschlüsselungsabonnement und geben Sie die Adresse an, von der installiert werden soll. 6. Sehen Sie auf der Seite Verschlüsselungs-Übersicht nach, ob Installationsprobleme aufgeführt werden. 7. Geben Sie im Dialogfeld Zugangsdaten die Daten eines Kontos an, über das Software auf den Computern installiert werden kann. Die Installation erfolgt gestaffelt. Es kann also einige Minuten dauern, bis der Vorgang auf allen Computern abgeschlossen ist. Die Installation der Verschlüsselung bewirkt, dass die Computer innerhalb von 30 Minuten nach der Installation der Verschlüsselungssoftware automatisch neu gestartet werden. Wenn die Verschlüsselung per Richtlinie aktiviert wird, wird sie erst nach dem Neustart des Computers durchgeführt. Weitere Informationen zum Startverhalten des Computers und zur ersten Anmeldung nach der Installation und Aktivierung der Verschlüsselung finden Sie in der Sophos Disk Encryption 5.61 Hilfe. 8
Anleitung zur Lizenzmigration 2.3.4 Manuelle Installation von Verschlüsselungssoftware Wenn Sie über Computer verfügen, die nicht automatisch geschützt werden können, schützen Sie sie durch Ausführen eines Installers in der Freigabe, in die die Verschlüsselungssoftware heruntergeladen wurde. Bei diesem freigegebenen Ordner handelt es sich um ein so genanntes Bootstrap-Verzeichnis. Stellen Sie sicher, dass die Endpoints auf die Installation der Festplattenverschlüsselung vorbereitet wurde (d.h. Sophos Virenschutzsoftware Version 10 wurde installiert und Drittanbieter-Verschlüsselungssoftware wurde deinstalliert). Stellen Sie sicher, dass während der Installation der Festplattenverschlüsselung jeweils nur eine Benutzer-Session auf dem Endpoint aktiv ist. Andernfalls schlägt die Installation fehl. Auf den Computern, die Sie schützen möchten, müssen Sie sich als Windows-Administrator anmelden. So installieren Sie Verschlüsselungssoftware manuell auf Computern: 1. Um herauszufinden, in welchem Verzeichnis sich der Installer befindet, öffnen Sie Enterprise Console und wählen Sie Bootstrap-Verzeichnisse im Ansicht Menü. Im Dialogfeld Bootstrap-Verzeichnisse werden in der Spalte Verzeichnis die Bootstrap-Verzeichnisse für alle Plattformen angezeigt. Notieren Sie sich die notwendigen Pfade. 2. Erstellen Sie auf dem Computer, auf dem das Bootstrap-Verzeichnis gehostet wird, ein Benutzerkonto mit Lesezugriff. 3. Melden Sie sich an jedem Computer mit lokalen Administratorrechten an. 4. Doppelklicken Sie im Bootstrap-Verzeichnis auf das Encryption Setup-Programm setup.exe. Sie finden das Encryption Setup-Programm unter: \\<ServerName>\SophosUpdate\CIDs\<Subscription>\ENCRYPTION 5. Ein Assistent leitet Sie durch die Installation der Sophos Verschlüsselungssoftware. Zum Abschluss der Installation wird der Computer automatisch neu gestartet. 9
Sophos Disk Encryption 3 SDE/SGE 4.x zu Sophos Disk Encryption 5.61 Dieser Abschnitt beschreibt die Migration von Sophos SafeGuard Disk Encryption (SDE) 4.6x/SafeGuard Easy (SGE) 4.5x zu Sophos Disk Encryption 5.61. Der Abschnitt zeigt, welche Features migriert werden können, und beschreibt die jeweils geltenden Einschränkungen. Zur Migration von SDE/SGE 4.x zu Sophos Disk Encryption 5.61 führen Sie folgende Handlungsschritte aus: Einrichten der aktuellen Version von Sophos Enterprise Console Migration der Computer Sophos Disk Encryption 4.6x und SafeGuard Easy 4.5x Endpoints lassen sich direkt zu Sophos Disk Encryption 5.61 migrieren, indem Sie das Sophos Encryption Agent Installationspaket auf den Endpoints installieren. Die Verschlüsselung von Festplatten bleibt bestehen. Diese müssen nicht entschlüsselt und neu verschlüsselt werden. Vor der Migration muss die Sophos Verschlüsselungssoftware nicht deinstalliert werden. 3.1 Einrichten von Sophos Enterprise Console Wenn Sie Enterprise Console nicht installiert haben, installieren Sie die neueste Version inklusive Verschlüsselung. Wenn Sie eine ältere Version von Enterprise Console installiert haben, führen Sie einen Aktualisierung auf die neueste Version inklusive Verschlüsselung durch. Wenn Sie bereits die aktuelle Version von Enterprise Console ohne Verschlüsselung installiert haben, installieren Sie Enterprise Console erneut, um Verschlüsselung hinzuzufügen. Wenn die aktuelle Version installiert ist, konfigurieren Sie die Richtlinie für die Festplattenverschlüsselung. Hinweis: Die Verwendung von SafeGuard Policy Editor zur Verwaltung der Enterprise Console Datenbank wird nicht unterstützt. 3.1.1 Installation von Enterprise Console So installieren Sie Enterprise Console: 1. Rufen Sie die Download-Website auf, die in der E-Mail zum Download angegeben ist. Geben Sie Ihre Zugangsdaten ein. Laden Sie die benötigten Installer herunter. 2. Melden Sie sich auf dem Computer, auf dem Enterprise Console installiert werden soll, als Administrator an: Wenn sich der Server in einer Domäne befindet, benutzen Sie ein Domänenkonto mit lokalen Administratorrechten. Wenn sich der Server in einer Arbeitsgruppe befindet, benutzen Sie ein lokales Konto mit lokalen Administratorrechten. 3. Suchen Sie den Installer zu Enterprise Console, den Sie im Vorfeld heruntergeladen haben. 10
Anleitung zur Lizenzmigration 4. Doppelklicken Sie auf den Installer. 5. Wenn Sie dazu aufgefordert werden, klicken Sie auf Installieren. Die Installationsdateien werden auf den Computer kopiert und ein Assistent öffnet sich. 6. Der Assistent führt Sie durch die Installation. Sie sollten wie folgt vorgehen: a) Übernehmen Sie soweit als möglich die Standardeinstellungen. b) Stellen Sie auf der Seite Komponentenauswahl sicher, dass alle Komponenten ausgewählt sind. c) Geben Sie auf der Seite Datenbankdetails die Angaben zu einem Konto ein, mit dem auf den Computer, auf dem Sie Enterprise Console installieren, zugegriffen werden kann. Es sollte sich hier nicht um ein Administratorenkonto handeln. d) Klicken Sie auf der Verschlüsselung verwalten Seite auf Verschlüsselung verwalten. e) Klicken Sie auf der Sophos Encryption Seite auf Neue Installationen. Sie werden nach dem Kennwort für den Zertifikate-Backup-Speicher gefragt. Merken Sie sich dieses Kennwort! 7. Nach der Installation ist eventuell ein Neustart erforderlich. Klicken Sie auf Ja oder Fertigstellen. 3.1.2 Sophos Enterprise Console Aktualisierung Wenn Sie Sophos Enterprise Console unter Version 5.1 auf Ihrem Computer installiert haben, aktualisieren Sie auf die aktuelle Sophos Enterprise Console Version inklusive Verschlüsselung. Führen Sie hierzu den aktuellen Enterprise Console Installer aus und folgen Sie den Anweisungen. Weitere Informationen finden Sie in der Enterprise Console Upgrade-Anleitung. Hinweis: Stellen Sie im Installationsassistenten sicher, dass Sie Enterprise Console zur Verwaltung von Verschlüsselung auswählen. Sophos Enterprise Console ist aktualisiert, die Funktion Festplattenverschlüsselung steht zur Verfügung. 3.1.3 Sophos Enterprise Console Verschlüsselung hinzufügen Wenn Sie Sophos Enterprise Console 5.1 oder eine spätere Version ohne Verschlüsselung auf Ihrem Computer installiert haben, installieren Sie es erneut, um Verschlüsselung hinzuzufügen: Hinweis: Wenn Sie nicht die neueste Version von Enterprise Console verwenden, empfehlen wir, zunächst eine Aktualisierung auf die neueste Version durchzuführen. 1. Melden Sie sich auf dem Computer, auf dem Enterprise Console installiert werden soll, als Administrator an: Wenn sich der Server in einer Domäne befindet, benutzen Sie ein Domänenkonto mit lokalen Administratorrechten. Wenn sich der Server in einer Arbeitsgruppe befindet, benutzen Sie ein lokales Konto mit lokalen Administratorrechten. 11
Sophos Disk Encryption 2. Suchen Sie den Installer zu Enterprise Console, den Sie im Vorfeld heruntergeladen haben. 3. Doppelklicken Sie auf den Installer. 4. Wenn Sie dazu aufgefordert werden, klicken Sie auf Ändern. Die Installationsdateien werden auf den Computer kopiert und ein Assistent öffnet sich. 5. Der Assistent führt Sie durch die Installation. Sie sollten wie folgt vorgehen: a) Übernehmen Sie soweit als möglich die Standardeinstellungen. b) Stellen Sie auf der Seite Komponentenauswahl sicher, dass alle Komponenten ausgewählt sind. c) Geben Sie auf der Seite Datenbankdetails die Angaben zu einem Konto ein, mit dem auf den Computer, auf dem Sie Enterprise Console installieren, zugegriffen werden kann. Es sollte sich hier nicht um ein Administratorenkonto handeln. d) Klicken Sie auf der Verschlüsselung verwalten Seite auf Verschlüsselung verwalten. e) Klicken Sie auf der Sophos Encryption Seite auf Neue Installationen. Sie werden nach dem Kennwort für den Zertifikate-Backup-Speicher gefragt. Merken Sie sich dieses Kennwort! 6. Nach der Installation ist eventuell ein Neustart erforderlich. Klicken Sie auf Ja oder Fertigstellen. 3.1.4 Konfiguration der Richtlinie für die Festplattenverschlüsselung Bei Endpoint-Computern, die vor der Migration verschlüsselt wurden, bleiben die Festplatten verschlüsselt. Auf Daten auf verschlüsselten Festplatten besteht weiterhin Zugriff. Konfigurieren Sie die Richtlinie für die Festplattenverschlüsselung in der Sophos Enterprise Console. Eine Standardrichtlinie für die Festplattenverschlüsselung mit vordefinierten Einstellungen für die Verschlüsselung und die Authentisierung zur schnellen und einfachen Umsetzung von Richtlinien auf Endpoint-Computern ist verfügbar. Wählen Sie in der Standardrichtlinie die zu verschlüsselnden Volumes aus und konfigurieren Sie die Richtlinie gemäß Ihren Anforderungen. Weisen Sie nach der Migration der Computer diesen die Richtlinie für die Festplattenverschlüsselung zu, um sicherzustellen, dass alle Verschlüsselungseinstellungen einheitlich sind. Weitere Informationen finden Sie in der Sophos Enterprise Console Hilfe. 3.2 Migration der Computer Die Migration von Computern, auf denen Sophos Disk Encryption (SDE) 4.6x/SafeGuard Easy 4.5x installiert ist, umfasst folgende Handlungsschritte: Vorbereiten der Computer Starten der Migration Anmelden am Computer nach der Migration 12
Anleitung zur Lizenzmigration Konvertieren von Schlüsseln für verschlüsselte Wechselmedien 3.2.1 Voraussetzungen Die direkte Migration wird für Sophos SafeGuard Disk Encryption 4.6x und SafeGuard Easy 4.5x unterstützt. Eine direkte Migration sollte auch für die SafeGuard Easy Versionen 4.3x und 4.4x funktionieren. Bei SafeGuard Easy Versionen vor Version 4.3x muss zunächst eine Aktualisierung auf SafeGuard Easy 4.50 durchgeführt werden. SafeGuard Easy/Sophos SafeGuard Disk Encryption muss auf folgendem Windows Betriebssystem laufen: Windows XP Professional Workstation Service Pack 2, 3 Windows Installer Version 3.01 oder höher muss installiert sein. Die Hardware muss die Systemanforderungen des Sophos Disk Encryption 5.61 Encryption Agent erfüllen. Wenn Sie spezifische Software (z. B. Lenovo-Middleware) verwenden, so muss diese die Systemvoraussetzungen für den Sophos SafeGuard 5.61 Encryption Agent erfüllen. Eine Migration ist möglich, wenn die Festplatten mit den folgenden Algorithmen verschlüsselt sind: AES128, AES256, 3DES, IDEA. Benutzer benötigen ein gültiges Windows-Konto und ein Kennwort. Falls Benutzer ihre Windows-Kennwörter nicht wissen, weil sie Secure Automatic Logon für die Windows-Anmeldung verwendet haben, muss das Windows-Benutzerkennwort vor der Migration zurückgesetzt werden. Das neue Kennwort muss den Benutzern mitgeteilt werden. 3.2.2 Einschränkungen Die folgenden Installationen können nicht migriert werden. Es sollte kein Versuch zur Migration unternommen werden. Hinweis: Wenn Sie in den nachfolgend genannten Fällen eine Migration vornehmen, erhalten Sie eine Fehlermeldung (Fehlernummer 5006). Twin Boot Installationen Installationen mit aktivem Compaq Switch Lenovo Computrace Installationen Festplatten, die nur teilweise verschlüsselt sind, z. B. nur mit Verschlüsselung des Boot-Sektors. Festplatten mit versteckten Partitionen Festplatten, die mit einem der folgenden Algorithmen verschlüsselt sind: XOR, STEALTH, DES, RIJNDAEL, Blowfish-8, Blowfish-16 Multi-Boot Szenarien mit einer zweiten Windows- oder Linux-Partition 13
Sophos Disk Encryption Wechselmedien, die mit einem der folgenden Algorithmen verschlüsselt sind, können nicht migriert werden: XOR, STEALTH, DES, RIJNDAEL, Blowfish-8, Blowfish-16. Hinweis: In diesen Fällen besteht die Gefahr des Datenverlusts. Nach der Migration können die Daten auf dem Wechselmedium mit Sophos Disk Encryption nicht mehr gelesen werden. Wechselmedien mit Super Floppy Volumes können nach der Migration nicht umgewandelt werden. 3.2.3 Welche Funktionalität wird migriert Die folgende Tabelle zeigt, welche Funktionalität migriert wird und wie diese in Sophos Disk Encryption abgebildet wird. Sophos SafeGuard Disk Encryption/SafeGuard Easy Verschlüsselte Festplatten Verschlüsselte Wechselmedien (gilt nur für die Migration von SafeGuard Easy) Sophos SafeGuard Disk Encryption/SafeGuard Easy Benutzernamen und Kennwörter Richtlinien Migration Ja Ja Nein Nein Sophos Disk Encryption Die Festplattenschlüssel werden durch die Power-on Authentication geschützt. Der Festplattenschlüssel ist somit zu keiner Zeit exponiert. Wenn der Modus "Boot Protection" gewählt wurde, muss die bisherige SafeGuard Easy Version deinstalliert werden. Der Verschlüsselungsalgorithmus der Festplatte wird bei der Migration nicht verändert. Daher kann sich der tatsächliche Algorithmus einer solchen migrierten Festplatte von der allgemeinen Richtlinie unterscheiden. Verschlüsselte Wechselmedien bleiben verschlüsselt. Daten, die auf die Medien kopiert werden, werden verschlüsselt. Sie können auf die verschlüsselten Daten zugreifen. Wechselmedien, die vor der Migration entschlüsselt wurden, bleiben nach der Migration unverschlüsselt. Es werden stattdessen Windows-Benutzernamen und -Kennwörter verwendet. Um die Konsistenz der gesamten Einstellungen sicherzustellen, ist eine automatische Übernahme nicht vorgesehen. 14
Anleitung zur Lizenzmigration Sophos SafeGuard Disk Encryption/SafeGuard Easy Pre-Boot Authentisierung Token/Smartcards (gilt nur für die Migration von SafeGuard Easy) Anmeldung mit Lenovo Fingerabdruck-Leser Migration Nein Nein Teilweise Sophos Disk Encryption Die Einstellungen müssen in der Enterprise Console neu gesetzt werden. Die Pre-Boot Authentisierung (PBA) wird durch die Power-on Authentication (POA) ersetzt. Sophos Disk Encryption 5.61 auf Endpoints unterstützt keine Token/Smartcards. Die Anmeldung ist nur mit Benutzername und Kennwort oder Fingerabdruck möglich. Es ist unbedingt notwendig, dass den Benutzern Ihre Windows-Anmeldedaten bekannt sind. Andernfalls können Sie sich nicht anmelden. Die Anmeldung per Fingerabdruck kann weiterhin benutzt werden. Die Hardware sowie die Software für den Fingerabdruck-Leser muss von Sophos Disk Encryption 5.61 unterstützt werden. Außerdem müssen die Benutzerdaten erneut ausgerollt werden. Weitere Informationen zur Anmeldung per Fingerabdruck finden Sie in der Sophos Disk Encryption Hilfe. 3.2.4 Vorbereiten von Computern Bereiten Sie die Endpoints für die Installation der Verschlüsselungssoftware vor, siehe Vorbereiten der Computer für die Installation (Seite 7). Wir empfehlen, einen gültigen Kernel-Backup zu erstellen und diesen an einem Speicherort abzulegen, auf den immer zugegriffen werden kann (zum Beispiel Netzwerkpfad). Weitere Informationen finden Sie unter Notfallmedien erstellen und Systemkern sichern in der SafeGuard Easy 4.5x/Sophos SafeGuard Disk Encryption 4.6x Hilfe. Legen Sie bei der ersten Migration zur Sicherheit eine Testumgebung an. Aktualisieren Sie ältere Versionen von SafeGuard Easy zuerst auf die Version 4.50. Lassen Sie die Computer während des gesamten Migrationsprozesses eingeschaltet. Hinweis: Benutzer benötigen ein gültiges Windows-Konto und ein Kennwort. Falls Benutzer Ihre Windows-Kennwörter nicht wissen, weil sie Secure Automatic Logon für die Windows-Anmeldung verwendet haben, muss das Windows-Benutzerkennwort vor der Migration zurückgesetzt werden. Das neue Kennwort muss den Benutzern mitgeteilt werden. 15
Sophos Disk Encryption Der Administrator sollte die Windows-Anmeldeinformationen der Benutzer bereithalten, falls diese nach der erfolgreichen Migration ihre Windows-Kennwörter vergessen haben. 3.2.5 Starten der Migration Hinweis: Die Installation kann auf einem laufenden Sophos SafeGuard Disk Encryption/SafeGuard Easy System durchgeführt werden. Ein Entschlüsseln von Festplatten ist nicht notwendig. So starten Sie die Migration: 1. Doppelklicken Sie im Sophos SafeGuard Disk Encryption/SafeGuard Easy Programmordner des zu migrierenden Endpoints auf WIZLDR.exe. Der Migrationsassistent wird gestartet. 2. Geben Sie im Migrationsassistenten das SYSTEM Kennwort ein und klicken Sie auf Weiter. Klicken Sie im Zielordner auf Weiter und dann auf Beenden. Die Migrations-Konfigurationsdatei SGEMIG.cfg wird erzeugt. 3. Benennen Sie diese Datei im Windows Explorer von SGEMIG.cfg in SGE2SGN.cfg um. Hinweis: "Ersteller/Besitzer"-Rechte müssen für diese Datei und den Dateipfad gesetzt sein, auf dem sie während der Migration gespeichert ist. Andernfalls schlägt die Migration fehl und eine Meldung wird ausgegeben, dass SGE2SGN.cfg nicht gefunden werden konnte. 4. Um den Sophos Disk Encryption Agent zu installieren, führen Sie setup.exe aus dem zentralen Installationsverzeichnis aus und fügen Sie den Parameter MIGFILE mit dem Dateipfad und dem Namen der Konfigurationsdatei für die Migration hinzu. Beispiel: \\<ServerName>\SophosUpdate\CIDs\<Subscription>\ENCRYPTION\Setup.exe /migfile \\Server\Share\SGE2SGN.cfg 5. Weisen Sie in Enterprise Console den migrierten Computern die zuvor erstellte Richtlinie für Festplattenverschlüsselung zu. Wenn die Migration erfolgreich ist, steht der Sophos Disk Encryption Agent auf dem Computer zur Verfügung. Schlägt die Migration fehl, kann Sophos SafeGuard Disk Encryption/SafeGuard Easy immer noch auf dem Computer benutzt werden. In diesem Fall wird der neue Encryption Agent automatisch entfernt. 3.2.6 Anmelden am Computer nach der Migration So melden Sie sich an migrierten Computern an: 1. Starten Sie den Endpoint-Computer neu. Die erste Anmeldung erfolgt noch über Autologon. Neue Schlüssel und Zertifikate werden dem Benutzer zugewiesen. 2. Starten Sie den Computer nochmal neu. Melden Sie sich an der Power-on Authentication an. Die Computer werden erst nach dem zweiten Neustart geschützt. 3. Melden Sie sich an Windows an, damit Sie neue Schlüssel und Zertifikate erhalten. 16
Anleitung zur Lizenzmigration 4. Starten Sie den Computer neu, damit Sie auf die Festplatte zugreifen können. 3.2.7 Konvertieren von Schlüsseln für verschlüsselte Wechselmedien Um die Umwandlung überhaupt erst zu initiieren, muss auf dem Computer die entsprechende Verschlüsselungsrichtlinie vorliegen. Andernfalls werden die Schlüssel nicht konvertiert. Verschlüsselte Wechselmedien bleiben verschlüsselt, müssen aber in ein kompatibles Schlüsselformat umgewandelt werden. Hinweis: Nach der Konvertierung kann ein verschlüsselter Datenträger nur noch mit Sophos Disk Encryption und nur auf dem Endpoint-Computer gelesen werden, an dem die Konvertierung durchgeführt wurde. 1. Nehmen Sie das Wechselmedium vom Computer ab und verbinden Sie es danach wieder mit dem Computer. Somit stellen Sie sicher, dass Sie Wechselmedien entschlüsseln oder Schlüssel für die Verschlüsselung von Wechselmedien hinzufügen und entfernen können. 2. Klicken Sie im Windows Explorer auf das Wechselmedium doppelt, auf das Sie zugreifen möchten. 3. Sie werden dazu aufgefordert, die Umwandlung der Verschlüsselungsschlüssel in ein kompatibles Format zu bestätigen. Wenn Sie die Umwandlung bestätigen, so ist der Zugriff auf die migrierten Daten in vollem Umfang möglich. Wenn Sie die Umwandlung ablehnen, lassen sich die migrierten Daten noch zum Lesen und Schreiben öffnen. 17
Sophos Disk Encryption 4 SDE/SGE 5.5x oder 5.6x zu Sophos Disk Encryption 5.61 Sie können Sophos SafeGuard Disk Encryption (SDE)/SafeGuard Easy (SGE) 5.5x oder 5.6x zu Sophos Disk Encryption 5.61 mit zentralem Management durch Enterprise Console migrieren, um die umfassende Managementfunktionalität zu nutzen. Zur Migration von SDE/SGE 5.5x oder 5.6x zu Sophos Disk Encryption 5.61 führen Sie folgende Handlungsschritte aus: Einrichten von Enterprise Console Migration der Computer 4.1 Einrichten von Sophos Enterprise Console Wenn Sie Enterprise Console nicht installiert haben, installieren Sie die neueste Version inklusive Verschlüsselung. Wenn Sie eine ältere Version von Enterprise Console installiert haben, führen Sie einen Aktualisierung auf die neueste Version inklusive Verschlüsselung durch. Wenn Sie bereits die aktuelle Version von Enterprise Console ohne Verschlüsselung installiert haben, installieren Sie Enterprise Console erneut, um Verschlüsselung hinzuzufügen. Wenn die aktuelle Version installiert ist, konfigurieren Sie die Richtlinie für die Festplattenverschlüsselung. Hinweis: Die Verwendung von SafeGuard Policy Editor zur Verwaltung der Enterprise Console Datenbank wird nicht unterstützt. 4.1.1 Installation Enterprise Console Für die Migration von SafeGuard Disk Encryption 5.5x oder 5.6x/SafeGuard Easy 5.5x oder 5.6x mit SafeGuard Policy Editor zu Sophos Enterprise Console müssen die folgenden Voraussetzungen erfüllt sein: Der Zugriff auf das MSO-Zertifikat und den privaten Schlüssel (.p12) Ihrer SafeGuard Disk Encryption 5.x/SafeGuard Easy 5.x Umgebung und das entsprechende Kennwort muss gegeben sein. Der Zugriff auf das Unternehmenszertifikat-Backup (.p12) Ihrer SafeGuard Disk Encryption 5.5x oder 5.6x /SafeGuard Easy 5.5x oder 5.6x Umgebung und das entsprechende Kennwort muss gegeben sein. Die Sophos Enterprise Console Serverkomponente kann nicht mit dem SafeGuard Policy Editor oder dem Sophos SafeGuard Client zusammen auf einem Computer installiert werden. 1. Rufen Sie die Download-Website auf, die in der E-Mail zum Download angegeben ist. Geben Sie Ihre Zugangsdaten ein. Laden Sie die benötigten Installer herunter. 18
Anleitung zur Lizenzmigration 2. Melden Sie sich auf dem Computer, auf dem Enterprise Console installiert werden soll, als Administrator an: Wenn sich der Server in einer Domäne befindet, benutzen Sie ein Domänenkonto mit lokalen Administratorrechten. Wenn sich der Server in einer Arbeitsgruppe befindet, benutzen Sie ein lokales Konto mit lokalen Administratorrechten. 3. Suchen Sie den Installer zu Enterprise Console, den Sie im Vorfeld heruntergeladen haben. 4. Doppelklicken Sie auf den Installer. 5. Wenn Sie dazu aufgefordert werden, klicken Sie auf Installieren. Die Installationsdateien werden auf den Computer kopiert und ein Assistent öffnet sich. 6. Der Assistent führt Sie durch die Installation. Sie sollten wie folgt vorgehen: a) Übernehmen Sie soweit als möglich die Standardeinstellungen. b) Stellen Sie auf der Seite Komponentenauswahl sicher, dass alle Komponenten ausgewählt sind. c) Geben Sie auf der Seite Datenbankdetails die Angaben zu einem Konto ein, mit dem auf den Computer, auf dem Sie Enterprise Console installieren, zugegriffen werden kann. Es sollte sich hier nicht um ein Administratorenkonto handeln. d) Klicken Sie auf der Verschlüsselung verwalten Seite auf Verschlüsselung verwalten. e) Klicken Sie auf der Sophos Encryption Seite auf Bestehende Installationen. f) Klicken Sie auf der Zertifikate importieren Seite auf Import um den entsprechenden Zertifikat-Backup Ihrer früheren Sophos Verschlüsselungsinstallation zu importieren. Geben Sie das Kennwort für jeden der beiden Backups ein. 7. Nach der Installation ist eventuell ein Neustart erforderlich. Klicken Sie auf Ja oder Fertigstellen. 4.1.2 Sophos Enterprise Console Aktualisierung Wenn Sie Sophos Enterprise Console unter Version 5.1 auf Ihrem Computer installiert haben, aktualisieren Sie auf die aktuelle Sophos Enterprise Console Version inklusive Verschlüsselung. Führen Sie hierzu den aktuellen Enterprise Console Installer aus und folgen Sie den Anweisungen. Weitere Informationen finden Sie in der Enterprise Console Upgrade-Anleitung. Hinweis: Stellen Sie im Installationsassistenten sicher, dass Sie Enterprise Console zur Verwaltung von Verschlüsselung auswählen. Sophos Enterprise Console ist aktualisiert, die Funktion Festplattenverschlüsselung steht zur Verfügung. 4.1.3 Sophos Enterprise Console Verschlüsselung hinzufügen Wenn Sie Sophos Enterprise Console 5.1 oder eine spätere Version ohne Verschlüsselung auf Ihrem Computer installiert haben, installieren Sie es erneut, um Verschlüsselung hinzuzufügen: 19
Sophos Disk Encryption Hinweis: Wenn Sie nicht die neueste Version von Enterprise Console verwenden, empfehlen wir, zunächst eine Aktualisierung auf die neueste Version durchzuführen. 1. Melden Sie sich auf dem Computer, auf dem Enterprise Console installiert werden soll, als Administrator an: Wenn sich der Server in einer Domäne befindet, benutzen Sie ein Domänenkonto mit lokalen Administratorrechten. Wenn sich der Server in einer Arbeitsgruppe befindet, benutzen Sie ein lokales Konto mit lokalen Administratorrechten. 2. Suchen Sie den Installer zu Enterprise Console, den Sie im Vorfeld heruntergeladen haben. 3. Doppelklicken Sie auf den Installer. 4. Wenn Sie dazu aufgefordert werden, klicken Sie auf Ändern. Die Installationsdateien werden auf den Computer kopiert und ein Assistent öffnet sich. 5. Der Assistent führt Sie durch die Installation. Sie sollten wie folgt vorgehen: a) Übernehmen Sie soweit als möglich die Standardeinstellungen. b) Stellen Sie auf der Seite Komponentenauswahl sicher, dass alle Komponenten ausgewählt sind. c) Geben Sie auf der Seite Datenbankdetails die Angaben zu einem Konto ein, mit dem auf den Computer, auf dem Sie Enterprise Console installieren, zugegriffen werden kann. Es sollte sich hier nicht um ein Administratorenkonto handeln. d) Klicken Sie auf der Verschlüsselung verwalten Seite auf Verschlüsselung verwalten. e) Klicken Sie auf der Sophos Encryption Seite auf Bestehende Installationen. f) Klicken Sie auf der Zertifikate importieren Seite auf Import um den entsprechenden Zertifikat-Backup Ihrer früheren Sophos Verschlüsselungsinstallation zu importieren. Geben Sie das Kennwort für jeden der beiden Backups ein. 6. Nach der Installation ist eventuell ein Neustart erforderlich. Klicken Sie auf Ja oder Fertigstellen. 4.1.4 Konfiguration der Richtlinie für die Festplattenverschlüsselung Bei Endpoint-Computern, die vor der Migration verschlüsselt wurden, bleiben die Festplatten verschlüsselt. Auf Daten auf verschlüsselten Festplatten besteht weiterhin Zugriff. Konfigurieren Sie die Richtlinie für die Festplattenverschlüsselung in der Sophos Enterprise Console. Eine Standardrichtlinie für die Festplattenverschlüsselung mit vordefinierten Einstellungen für die Verschlüsselung und die Authentisierung zur schnellen und einfachen Umsetzung von Richtlinien auf Endpoint-Computern ist verfügbar. Wählen Sie in der Standardrichtlinie die zu verschlüsselnden Volumes aus und konfigurieren Sie die Richtlinie gemäß Ihren Anforderungen. Weisen Sie nach der Migration der Computer diesen die Richtlinie für die Festplattenverschlüsselung zu, um sicherzustellen, dass alle Verschlüsselungseinstellungen einheitlich sind. 20
Anleitung zur Lizenzmigration Weitere Informationen finden Sie in der Sophos Enterprise Console Hilfe. 4.2 Migration der Computer Computer, auf denen Sophos SafeGuard Disk Encryption (SDE)/SafeGuard Easy (SGE) 5.5x oder 5.6x installiert ist, lassen sich zu Sophos Disk Encryption 5.61 migrieren, indem Sie einfach die Sophos Disk Encryption 5.61 Agent Software installieren. Die Sophos Verschlüsselungssoftware muss nicht deinstalliert werden. Die Installation können Sie automatisch oder manuell durchführen. Hinweis: Die Migration von Endpoints, auf denen SafeGuard Data Exchange installiert ist, wird nicht unterstützt. Sie müssen SafeGuard Data Exchange vor der Migration deinstallieren. 4.2.1 Automatische Installation von Verschlüsselungssoftware Stellen Sie sicher, dass die Endpoints auf die Installation der Festplattenverschlüsselung vorbereitet wurde (d.h. Sophos Virenschutzsoftware Version 10 wurde installiert und Drittanbieter-Verschlüsselungssoftware wurde deinstalliert). Für weitere Informationen, siehe Vorbereiten der Computer für die Installation (Seite 7). So installieren Sie die Verschlüsselungssoftware automatisch: 1. Wählen Sie in Enterprise Console alle Computer aus, auf denen die Festplattenverschlüsselung installiert werden soll. 2. Rechtsklicken Sie auf die Computer und klicken Sie anschließend auf Computer schützen. Der Assistent zum Schutz von Computern wird gestartet. 3. Klicken Sie auf der Willkommen Seite auf Weiter. 4. Wählen Sie auf der Installationsart Seite die Option Verschlüsselungssoftware. 5. Wenn mehrere Verschlüsselungsabonnements und Installer-Verzeichnisse (Bootstrap-Verzeichnisse) vorhanden sind, wird die Seite Verschlüsselungsverzeichnis angezeigt. Wählen Sie das Verschlüsselungsabonnement und geben Sie die Adresse an, von der installiert werden soll. 6. Sehen Sie auf der Seite Verschlüsselungs-Übersicht nach, ob Installationsprobleme aufgeführt werden. 7. Geben Sie im Dialogfeld Zugangsdaten die Daten eines Kontos an, über das Software auf den Computern installiert werden kann. Die Installation erfolgt gestaffelt. Es kann also einige Minuten dauern, bis der Vorgang auf allen Computern abgeschlossen ist. Die Installation der Verschlüsselung bewirkt, dass die Computer innerhalb von 30 Minuten nach der Installation der Verschlüsselungssoftware automatisch neu gestartet werden. Wenn die Verschlüsselung per Richtlinie aktiviert wird, wird sie erst nach dem Neustart des Computers durchgeführt. Weitere Informationen zum Startverhalten des Computers und zur ersten Anmeldung nach der Installation und Aktivierung der Verschlüsselung finden Sie in der Sophos Disk Encryption 5.61 Hilfe. 21
Sophos Disk Encryption 4.2.2 Manuelle Installation von Verschlüsselungssoftware Wenn Sie über Computer verfügen, die nicht automatisch geschützt werden können, schützen Sie sie durch Ausführen eines Installers in der Freigabe, in die die Verschlüsselungssoftware heruntergeladen wurde. Bei diesem freigegebenen Ordner handelt es sich um ein so genanntes Bootstrap-Verzeichnis. Stellen Sie sicher, dass die Endpoints auf die Installation der Festplattenverschlüsselung vorbereitet wurde (d.h. Sophos Virenschutzsoftware Version 10 wurde installiert und Drittanbieter-Verschlüsselungssoftware wurde deinstalliert). Stellen Sie sicher, dass während der Installation der Festplattenverschlüsselung jeweils nur eine Benutzer-Session auf dem Endpoint aktiv ist. Andernfalls schlägt die Installation fehl. Auf den Computern, die Sie schützen möchten, müssen Sie sich als Windows-Administrator anmelden. So installieren Sie Verschlüsselungssoftware manuell auf Computern: 1. Um herauszufinden, in welchem Verzeichnis sich der Installer befindet, öffnen Sie Enterprise Console und wählen Sie Bootstrap-Verzeichnisse im Ansicht Menü. Im Dialogfeld Bootstrap-Verzeichnisse werden in der Spalte Verzeichnis die Bootstrap-Verzeichnisse für alle Plattformen angezeigt. Notieren Sie sich die notwendigen Pfade. 2. Erstellen Sie auf dem Computer, auf dem das Bootstrap-Verzeichnis gehostet wird, ein Benutzerkonto mit Lesezugriff. 3. Melden Sie sich an jedem Computer mit lokalen Administratorrechten an. 4. Doppelklicken Sie im Bootstrap-Verzeichnis auf das Encryption Setup-Programm setup.exe. Sie finden das Encryption Setup-Programm unter: \\<ServerName>\SophosUpdate\CIDs\<Subscription>\ENCRYPTION 5. Ein Assistent leitet Sie durch die Installation der Sophos Verschlüsselungssoftware. Zum Abschluss der Installation wird der Computer automatisch neu gestartet. 4.3 Integrieren von zwei SDE/SGE 5.5x oder 5.6x Umgebungen in Sophos Disk Encryption 5.61 Diesen Schritt müssen Sie nur dann ausführen, wenn Sie zwei Sophos SafeGuard Disk Encryption (SDE) 5.5x oder 5.6x/SafeGuard Easy (SGE) 5.5x oder 5.6x Umgebungen mit unterschiedlichen Unternehmenszertifikaten haben, die sie in eine Sophos Disk Encryption Umgebung integrieren möchten. Hinweis: Sie müssen die Schritte für die Migration von SDE/SGE 5.5x oder 5.6x zu Sophos Disk Encryption 5.61 ausgeführt haben, siehe SDE/SGE 5.5x oder 5.6x zu Sophos Disk Encryption 5.61 (Seite 18). Die durch SDE/SGE geschützten Computer müssen in eine SDE/SGE Umgebung verschoben werden, die durch einen SafeGuard Policy Editor verwaltet wird. Sie müssen daher die 22
Anleitung zur Lizenzmigration Ausgangs-Umgebung (die Computer, die verschoben werden müssen) und die Zielumgebung (die SDE/SGE Umgebung, in die sie verschoben werden sollen) festlegen. 4.3.1 Ersetzen des Unternehmenszertifikats Folgende Voraussetzungen müssen erfüllt sein: Legen Sie die Ausgangs- und die Ziel-Policy Editor Umgebung fest. Der Ausgangs-Policy Editor ist der Policy Editor, den Sie für das Erstellen der Konfigurationspakete für die Endpoints, die verschoben werden sollen, benutzt haben. Das Ziel ist der Policy Editor, in den die Endpoints verschoben werden sollen. So ersetzen Sie das Unternehmenszertifikat: 1. Führen Sie bei beiden SafeGuard Policy Editor Instanzen der beiden Umgebungen, die Sie in Sophos Disk Encryption integrieren möchten, ein Upgrade auf Version 5.61 durch. Falls notwendig, importieren Sie eine gültige Lizenzdatei oder verwenden Sie die Lizenzdatei, die mit der neuen SafeGuard Policy Editor Version zum Download zur Verfügung steht. Weitere Informationen finden Sie in der SDE/SGE Administrator-Hilfe. 2. Exportieren Sie im Ziel-Policy Editor das Unternehmenszertifikat: Klicken Sie im Menü Extras auf Optionen. Wechseln Sie in die Registerkarte Zertifikate und klicken Sie im Bereich Unternehmenszertifikat auf Exportieren. Wenn aufgefordert, geben Sie ein Kennwort für den Zertifikatsspeicher ein und bestätigen Sie es und wählen Sie das Zielverzeichnis und den Dateinamen. Das Unternehmenszertifikat wird exportiert (.p12 Datei). 3. Klicken Sie im Ausgangs-Policy Editor im Extras Menü auf Optionen und wählen Sie Erzeugen... neben Signierte Company Certificate Change Order (CCO) erzeugen. Wählen Sie im CCO erzeugen Dialog das Ziel-Unternehmenszertifikat aus, dass Sie im Ziel-Policy Editor exportiert haben (Schritt 2). Stellen Sie sicher, dass es sich um das gewünschte Zertifikat handelt. Klicken Sie auf Erzeugen und wählen Sie ein Zielverzeichnis und einen Dateinamen für die.cco-datei aus. Bestätigen Sie, dass Sie eine Company Certificate Change Order erstellen möchten. 4. Erstellen Sie im Ziel-Policy Editor ein Konfigurationspaket. Klicken Sie im Extras Menü auf Konfigurationspakete... und fügen Sie ein neues Konfigurationspaket hinzu. Belassen Sie die Einstellungen für Richtliniengruppe und POA-Gruppe auf nicht konfiguriert. Geben Sie keinen Speicherort für einen Schlüssel-Backup an. Wählen Sie Company Certificate Change Order (CCO) inkludieren und geben Sie einen Output-Pfad an. Klicken Sie auf Konfigurationspaket erstellen. Wenn Sie dazu aufgefordert werden, wählen Sie die im Ausgangs-Policy Editor erstellte.cco Datei aus. Klicken Sie auf Öffnen. Das Konfigurationspaket wird am angegebenen Speicherort angelegt. Hinweis: Entfernen oder ändern Sie keine vorhandenen Konfigurationspakete, da diese von der Enterprise Console benötigt werden. 5. Installieren Sie dieses Konfigurationspaket auf allen Endpoints, die Sie von der Ausgangsin die Zielumgebung verschieben möchten. 23
Sophos Disk Encryption 5 Sophos Disk Encryption 5.61 zu SafeGuard Enterprise Die Migration von Sophos Disk Encryption 5.61 zu SafeGuard Enterprise umfasst folgende Schritte: Exportieren Sie das SEC Unternehmenszertifikat: Klicken Sie in Enterprise Console im Menü Extras auf Verschlüsselung verwalten und wählen Sie Unternehmenszertifikat sichern. Wählen Sie ein Zielverzeichnis und einen Dateinamen und geben Sie ein Kennwort für die.p12 Datei ein, wenn Sie dazu aufgefordert werden. Installieren Sie SafeGuard Management Center und SafeGuard Enterprise Server. Hinweis: Wenn Sie SEC Management Server mit Verschlüsselung auf diesem Server installiert haben, installieren Sie SafeGuard Enterprise auf einem anderen Server. Erstellen Sie im SafeGuard Management Center Konfigurationsassistenten eine neue Datenbank und importieren Sie das zuvor exportierte Unternehmenszertifikat. Erstellen Sie im SafeGuard Management Center das Endpoint-Konfigurationspaket. Klicken Sie im Extras Menü auf Konfigurationspakete. Wählen Sie Pakete für Managed Clients, nehmen Sie die gewünschten Einstellungen vor und erzeugen Sie das Konfigurationspaket. Installieren Sie das Konfigurationspaket auf den Endpoints. Wenn die Endpoints das Paket erhalten haben, können sie eine Verbindung zum SafeGuard Enterprise Server herstellen. Ab diesem Zeitpunkt kann der Endpoint mit dem SafeGuard Management Center verwaltet werden. Legen Sie im SafeGuard Management Center gemäß Ihren Anforderungen Richtlinien an und weise Sie diese zu. Die migrierten Endpoints bleiben in Enterprise Console als "verwaltet durch SafeGuard Enterprise" sichtbar. Alle Aufgaben, die sich nicht auf Verschlüsselung beziehen, können weiterhin bei diesen Rechnern durchgeführt werden. Weitere Informationen zur SafeGuard Enterprise Installation finden Sie in der SafeGuard Enterprise Installationsanleitung. 24