Sophos Disk Encryption 5.61 Versionsinfo

Neu in dieser Version

Festplattenverschlüsselung

Mit Festplattenverschlüsselung sind Daten auf Endpoints vor unbefugtem Zugriff geschützt. Laufwerke werden transparent verschlüsselt und Power-on Authentication (POA) stellt einen weiteren Authentifizierungsschritt vor dem Starten des Betriebssystems dar. Sie können die Funktion Festplattenverschlüsselung mit Sophos Enterprise Console 5.1 verwalten.

Anmerkung: Die Festplattenverschlüsselung ist nicht im Umfang aller Lizenzen enthalten. Wenn Sie die Funktionen nutzen möchten, müssen Sie Ihre Lizenz unter Umständen ändern. Für weitere Informationen, siehe http://www.sophos.com/de-de/products/complete/comparison.aspx.

Die neuen Funktionen werden ausführlich in der Hilfe zu Sophos Enterprise Console und Sophos Disk Encryption behandelt.

Systemvoraussetzungen

Sophos Disk Encryption Agent: Systemvoraussetzungen

Unterstützte Plattformen 32-Bit 64-Bit IA-64 (Itanium) Empfehlung für verfügbaren Speicherplatz Mindestens erforderlicher Arbeitsspeicher
Windows 7, SP1 Home Premium/Enterprise/Ultimate/Professional Ja Ja   300 MB* 1 GB**
Windows Vista SP1, SP2 Enterprise/Ultimate/Business Ja Ja   300 MB* 1 GB**
Windows XP Professional SP2, SP3 Ja     300 MB* 1 GB**

* Für die Installation sind mindestens 300 MB freier Festplattenspeicherplatz erforderlich. Für Sophos Disk Encryption Agent müssen mindestens 100 MB des freien Festplattenspeicherplatzes einen zusammenhängenden Bereich bilden. Wenn Ihnen weniger als 5 GB Festplattenspeicherplatz zur Verfügung stehen und Ihr Betriebssystem nicht neu installiert ist, führen Sie bitte eine Defragmentierung durch. Dadurch erhöhen Sie die Chancen, dass der benötigte zusammenhängende Bereich verfügbar ist. Andernfalls schlägt die Installation fehl, da nicht genügend zusammenhängender Speicherplatz vorhanden ist. In diesem Fall kann die Installation nicht unterstützt werden.

** Dies ist der empfohlene Speicherplatz. Sophos Disk Encryption nutzt nicht den gesamten angegebenen Speicherplatz.

Erforderliche Software Internet Explorer 6.0 oder höher

Unterstützte Sprachen: Deutsch, Englisch, Französisch, Italienisch, Japanisch, Spanisch

SafeGuard Policy Editor Systemvoraussetzungen

SafeGuard Policy Editor 5.61 muss nur in folgendem Fall installiert werden: Wenn Sie über mehrere unabhängige Sophos SafeGuard Disk Encryption / SafeGuard Easy 5.x Umgebungen mit unterschiedlichen Unternehmenszertifikaten verfügen und diese in einer Umgebung zusammenführen möchten, müssen Sie einen Unternehmenszertifikatswechsel in SafeGuard Policy Editor 5.61 durchführen.

Unterstützte Plattformen 32-Bit 64-Bit IA-64 (Itanium) Empfehlung für verfügbaren Speicherplatz Mindestens erforderlicher Arbeitsspeicher
Windows 7, SP1 Enterprise/Ultimate/Professional Ja Ja   1 GB 1 GB*
Windows Vista SP1, SP2 Enterprise/Ultimate/Business Ja Ja   1 GB 1 GB*
Windows XP Professional SP2, SP3 Ja     1 GB 1 GB*
Windows Server 2008 SP1, SP2 Ja Ja   1 GB 1 GB*
Windows Server 2008 R2, SP1   Ja   1 GB 1 GB*
Windows Server 2003 SP1, SP2 Ja Ja   1 GB 1 GB*
Windows Server 2003 R2 SP1, SP2 Ja Ja   1 GB 1 GB*
Windows Small Business Server 2003, 2008, 2011       1 GB 1 GB*

** Dies ist der empfohlene Speicherplatz. SafeGuard Policy Editor nutzt nicht den gesamten angegebenen Speicherplatz.

Erforderliche Software .NET Framework 3.0 SP1

Unterstützte Sprachen: Deutsch, Englisch, Französisch, Japanisch

Tastaturlayouts

Hier finden Sie Informationen zu den in der Power-on Authentication unterstützten Tastaturlayouts:

http://www.sophos.com/de-de/support/knowledgebase/112782.aspx.

Mit Sophos Disk Encryption getestete Antivirus-Produkte

Sophos Disk Encryption wurde erfolgreich mit Installationen von Sophos Antivirus-Softwareprodukten sowie mit den folgenden Software-Produkten getestet:

Hersteller Produkt Version
AVG Free Anti-Virus Small Business Edition 2011 10.0.1153
Computer Associates Security Center Version 6.0.0.285
F-Secure Anti Virus 2011 10.51
G Data AntiVirus Version 2011 21.1.0.5
Kaspersky Internet Security Version 2011 11.0.0.232
Symantec Endpoint Protection 11.0.6
Trend Micro Titanium Internet Security 2011  
McAfee Internet Security 2011  
Norman Virus Control 2010.02.22
Microsoft Security Essentials  

Erkennung von Verschlüsselungssoftware anderer Hersteller

In Tests wurde nachgewiesen, dass die Installation von Sophos Disk Encryption 5.61 abgebrochen wird, wenn folgende Verschlüsselungssoftware anderer Hersteller erkannt wird:

  • Symantec PGP Desktop Version 10.0 und 10.1

  • TrueCrypt Version 6.3a und 7.0a

  • Checkpoint Version 7.3va

  • McAfee Version 1.2.0

  • Microsoft BitLocker Drive Encryption

Anmerkung: Deinstallieren Sie Verschlüsselungssoftware anderer Hersteller immer vor der Bereitstellung von Sophos Disk Encryption 5.61.

Bekannte Probleme

Allgemeine Informationen

  • Novell Client

    Um Sophos Disk Encryption 5.61 in Verbindung mit einem Novell Client zu benutzen, sind einige projektspezifische Anpassungen notwendig. Weitere Informationen hierzu erhalten Sie vom Sophos Support.

  • Die schnelle Benutzerumschaltung wird nicht unterstützt und muss deaktiviert werden.

    Vor der Installation wird geprüft, dass nur ein Benutzer angemeldet ist. Im Verlauf der Installation kann sich kein anderer Benutzer anmelden.

  • Diskettenlaufwerk

    Nach der Installation von Sophos Disk Encryption 5.61 unter Windows Vista ist das eingebaute Diskettenlaufwerk nicht mehr verfügbar. Diese Einschränkung gilt nicht für externe Diskettenlaufwerke, die über den USB-Bus angesteckt werden.

  • Änderung der Partitionsgröße nicht unterstützt

    Die Änderung der Partitionsgröße auf Endpoints mit Sophos Disk Encryption 5.61 wird nicht unterstützt.

  • Für den Start des Computers benötigte Zeit

    Die Zeit, die für den Start des Endpoint benötigt wird, erhöht sich nach der Installation von Sophos Disk Encryption 5.61 um ca. eine Minute.

  • Unterstützung von Virtualisierungsplattformen

    Sophos Disk Encryption unterstützt nur die Virtualisierungsplattformen VMware Workstation und Player. Alle weiteren Plattformen, wie etwa VMware ESX/ESXi Server, MS Virtual PC oder MS HyperV, werden nicht unterstützt.

  • (DEF82166) Auf einem japanischen Betriebssystem kann das Recovery für die Anmeldung mithilfe von Local Self Help fehlschlagen, weil keine japanischen Zeichen an der Power-On Authentication (POA) eingegeben werden können.

    Im Local Self Help Assistenten auf japanischen Betriebssystemen können Benutzer Antworten auf Fragen zum Recovery für die Anmeldung in japanischen Schriftzeichen definieren. Bei der Beantwortung dieser Fragen beim Recovery für die Anmeldung an der POA hingegen werden japanische Schriftzeichen nicht unterstützt. Wenn die im Assistenten und in der POA eingegeben Antworten nicht übereinstimmen, kann die Anmeldung nicht wiederhergestellt werden.

    Provisorische Lösung: Für die Eingabe von Antworten auf Japanisch im Local Self Help Assistenten müssen Romaji-Zeichen (römische/lateinische Zeichen) verwendet werden. Andernfalls ergibt sich bei der Eingabe der Antworten in der Power-on Authentication keine Übereinstimmung.

Verschlüsselung

  • (DEF69429) Bei machen Toshiba OPAL-Festplatten ist die Verschlüsselung im OPAL-Modus nicht möglich, wenn sich die erste Partition nicht am Anfang der Festplatte befindet.

    Gemäß der TCG Storage Opal-Spezifikation für selbst-verschlüsselnde Festplatten (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal) ist ein so genannter „Shadow MBR“ mit mindestens 128 MB erforderlich. Wenn kein Lese- und Schreibzugriff auf den gesamten Bereich vorhanden ist (wie etwa bei Toshiba OPAL-Festplatten mit Firmwareversion MGT00A) und die Anfangspartition der Festplatte in den nicht zugänglichen Sektornummernbereich fällt, kann Sophos Disk Encryption die OPAL-Verschlüsselung für die Festplatte nicht aktivieren.

    Provisorische Lösung: Verlegen Sie die Startpartition an den Anfang der Festplatte.

  • (DEF69695) OPAL-Beschränkungen

    Die Unterstützung von selbst-verschlüsselnden OPAL-Festplatten durch Sophos Disk Encryption unterliegt folgenden Einschränkungen:

    • Die Verschlüsselung im OPAL-Modus kann lediglich für jeweils eine OPAL-Festplatte pro System aktiviert werden.
    • Wenn mehrere OPAL-Festplatten vorhanden sind und eine Verschlüsselungsrichtlinie einem Volume zugewiesen wurde, wird es – wie nicht selbst-verschlüsselnden Laufwerke – mit Software verschlüsselt. Somit wird eine RAID-Konfiguration mit mehreren Opal-Festplatten immer software-verschlüsselt.
    • Wenn eine Opal-Festplatte mehr als ein Volume aufweist, gilt der Opal-Verschlüsselungs-Aktivierungsstatus für alle Volumes gleichzeitig.
    • Der erste Sektor der Start-Partition der Festplatte muss sich innerhalb der ersten 128 MB befinden.

  • (DEF70019) Verwenden Sie den hybriden Standbymodus von Windows nicht bei OPAL-Systemen.

    Unter Umständen treten bei Computern mit selbst-verschlüsselnden OPAL-Festplatten, auf denen die Option Hybriden Standbymodus zulassen in den Erweiterte Energieoptionen aktiviert wurde, Probleme bei der Aktivierung aus dem Energiesparmodus auf. Das bedeutet, dass sämtliche Daten, die vor dem Versetzen des Computers in den Standby-Modus nicht gespeichert wurden, verloren gehen.

  • (DEF69207) Selbst-verschlüsselnde OPAL-Festplatten werden im Falle eines Verlusts des Verschlüsselungsschlüssels unbrauchbar.

    Gemäß der TCG Storage Opal-Spezifikation für selbst-verschlüsselnde Festplatten (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal) kann nicht mehr auf verschlüsselte Festplatten zugegriffen werden, wenn die Anmeldeinformationen für das Entsperren der Platte verloren gehen. Das bedeutet, dass die Festplatte gänzlich unbrauchbar wird. Im Gegensatz dazu gehen bei einer mit Software verschlüsselten Festplatte zwar auch die Daten verloren, die Hardware kann aber nach einer erneuten Formatierung wieder benutzt werden. Sophos Disk Encryption fordert den Benutzer dazu auf, einen Backup der Schlüsseldatei zu erstellen. Gehen diese Daten verloren, kommt es jedoch zu dem beschriebenen Szenario.

  • (DEF69207) Selbst-verschlüsselnde OPAL-Festplatten müssen vor einer Neuformatierung oder einem Reimaging permanent entsperrt werden.

    Selbst-verschlüsselnde Festplatten müssen vor einer Neuformatierung oder einem Reimaging auf die Werkseinstellungen zurückgesetzt werden. Für den Fall, dass dies nicht durch eine "reguläre" Entschlüsselung oder durch die Deinstallation von Sophos Disk Encryption erreicht werden kann, steht ein Tool (OPALEmergencyDecrypt.exe) zur Verfügung, mit dem sich eine mit Sophos Disk Encryption verwaltete Opal-Festplatte dauerhaft zurücksetzen lässt. Aus Sicherheitsgründen ist das Tool auf Anfrage beim Kundenservice von Sophos erhältlich.

  • (DEF66126) Computer mit aktivierter OPAL-Festplatte, auf denen der MSAHCI-Treiber von Windows installiert ist, können nicht aus dem Energiesparmodus zurückgeführt werden.

    Wenn ein System in den Energiesparmodus versetzt wird, kann es nicht wieder aktiviert werden, wenn der MSAHCI-Festplattentreiber von Microsoft installiert ist. MSAHCI wurde mit Windows Vista eingeführt – das Problem tritt also unter Windows Vista und Windows 7, nicht jedoch unter Windows XP auf.

    Provisorische Lösungen: Verwenden Sie stattdessen den geeigneten IAStore-Treiber, falls dies für die betreffende Hardware-Konfiguration möglich ist. Das "Intel RST Treiberpaket v10.1.0.1008" wurde erfolgreich getestet. Ändern Sie die BIOS-Einstellung für den Festplatten-Controller (z.B. SATA Mode, ATA Controller Mode, IDE Controller usw.) zu Compatibility Mode. Bei den meisten BIOS-Versionen muss hierzu ein anderer Wert als AHCI (z.B. „IDE“, „Compatibility“) ausgewählt werden.

  • (DEF68440) Sicherheitsrisiken bei Verwendung von Solid-State-Drives (SSD)

    Bei den aktuellen Solid-State-Drives kann keine Software (auch nicht das Betriebssystem) den realen Speicherort von Daten auf dem SSD genau ermitteln. Controller, eine essenzielle Komponente von Solid-State-Drives, simulieren das externe Verhalten einer Speicherplatte. Die internen Vorgänge weichen hiervon jedoch drastisch ab. Dies wirkt sich auf unterschiedliche Weise auf die Sicherheit der gespeicherten Daten aus. Details hierzu entnehmen Sie bitte dem Support-Artikel http://www.sophos.com/de-de/support/knowledgebase/113334.aspx. Als wichtigste Auswirkung ist hier zu nennen: Nur Daten, die auf ein Solid-State-Disk Volume nach der Aktivierung einer Verschlüsselungsrichtlinie geschrieben werden, sind sicher verschlüsselt. Das bedeutet wiederum, dass nicht garantiert werden kann, dass sämtliche Daten, die sich vor der Erstverschlüsselung mit Sophos Disk Encryption bereits auf dem Solid-State-Drive befanden, nach Abschluss der Erstverschlüsselung vollständig gelöscht wurden. Hinweis: Das Problem beschränkt sich nicht auf Sophos Disk Encryption, sondern betrifft vielmehr alle software-basierenden Festplattenverschlüsselungssysteme.

  • (DEF65729, DEF66438, DEF58796) Die Festplattenverschlüsselung von eSATA-Festplatten funktioniert nicht erwartungsgemäß.

    Die meisten externen eSATA-Festplatten können sich derzeit nicht als Wechselmedium ausweisen. Aus diesem Grund werden solche Festplatten von Sophos Disk Encryption als interne Festplatten erkannt, und es werden die entsprechenden Richtlinien übernommen. Es wird davon abgeraten, eSATA-Festplatten in Umgebungen mit Sophos Festplattenverschlüsselung einzusetzen, es sei denn, die implementierten Verschlüsselungsrichtlinien gehen ausdrücklich darauf ein.

  • Verschlüsselung virtueller Laufwerke

    Virtuelle Laufwerke, die auf dem Endpoint bereitgestellt werden (z. B. VHD-Datei in Windows mit Microsoft Virtual Server Mounter), werden als lokale Festplattenlaufwerke betrachtet. Ihr Inhalt wird daher ebenfalls verschlüsselt, wenn eine Verschlüsselungsrichtlinie für „andere Volumes“ definiert wird.

  • Während der Erstverschlüsselung der Systempartition (d. h. der Partition, auf der sich die Datei "hiberfil.sys" befindet), kann das Versetzen in den Ruhezustand fehlschlagen und sollte daher vermieden werden. Nach der Erstverschlüsselung der Systempartition muss der Computer neu gestartet werden, damit die Ruhezustandfunktion wieder problemlos angewendet werden kann.

Windows XP

  • Bis Service Pack 2 wies Microsoft Windows XP auf manchen Computern das Problem auf, dass nach der Reaktivierung aus dem Standby-Modus nicht ein gesperrter Desktop, sondern direkt der Benutzerdesktop angezeigt wurde. Dieses Problem trat auch auf Computern mit Sophos Disk Encryption auf. Das Problem sollte mit Windows XP SP3 behoben sein.
  • Microsoft Windows XP weist eine technische Einschränkung in Bezug auf den Kernel Stack auf. Wenn mehrere Dateisystemfiltertreiber (z. B. Antivirus-Software) installiert sind, reicht der Speicher u. U. nicht aus. In diesem Fall kann ein BSOD auftreten. Sophos kann für diese Windows-Einschränkung nicht haftbar gemacht werden und kann dieses Problem auch nicht beheben.

Kompatibilität

  • (WKI81667) SDE 5.61 ist nicht kompatibel mit Festplattenverschlüsselungslösungen anderer Hersteller wie Microsoft BitLocker Drive Encryption und kann nicht auf dem gleichen Endpoint verwendet werden.

    Wenn SDE 5.61 auf einem Endpoint zwar installiert, aber das Laufwerk nicht verschlüsselt ist und anschließend Microsoft BitLocker Drive Encryption installiert und verwendet wird, um den Endpunkt zu schützen, wird der LocalCache beschädigt, was zum Neustart des Endpoints führt. Weitere Neustarts führen dann zu einer Neustart-Schleife.

    Provisorische Lösung: Installieren Sie keine Festplattenverschlüsselungslösung anderer Hersteller auf Endpoints, auf denen SDE 5.61 bereits installiert ist.

  • (DEF69644) Wenn der Sophos Disk Encryption 5.61 Agent deinstalliert wird, muss SafeGuard LAN Crypt repariert werden, wenn es auf diesem Computer installiert ist. 

    Bei der Deinstallation von Sophos Disk Encryption 5.61 auf einem Computer, auf dem SafeGuard LAN Crypt Client (SGLC) installiert wurde, tritt ein interner Treiberfehler auf, wenn der Benutzer versucht, den SGLC-Schlüsselring zu laden. 

    Provisorische Lösung:  Führen Sie eine "Reparieren"-Installation bei dem SafeGuard Enterprise LAN Crypt Client-Paket durch. 
  • (DEF69092) SafeGuard RemovableMedia und Sophos Disk Encryption 5.61 können nicht auf dem selben Endpoint ausgeführt werden. Vor der Nutzung beliebiger Komponenten von Sophos Disk Encryption 5.61 auf dem Computer, muss zunächst die eingestellte Software SafeGuard RemovableMedia von diesem entfernt werden.
  • Empirum Security Suite Agent

    Wenn die Sophos Disk Encryption installiert ist und in Kombination mit der Empirum Security Suite Agent Software verwendet wird, stoppt das System u. U. mit dem folgenden BSOD:

    BSOD on system startup with stop code 0x00000044 MULTIPLE_IRP_COMPLETE_REQUESTS

    Das Problem wird von einer Empirum-Software-Komponente verursacht. Es wird in der Empirum Security Suite behoben. Aktuelle Informationen zu diesem Problem erhalten Sie vom Matrix42 Support.

  • AbsoluteSoftware Computrace

    Sophos Disk Encryption 5.61 kann auf Maschinen, auf denen AbsoluteSoftware Computrace mit der aktivierten Option „rack-0 based persistent agent“ installiert ist, nicht installiert werden.

  • Die Kompatibilität mit Imaging Tools wurde nicht getestet und wird daher nicht von Sophos unterstützt.

Upgrades

  • Bei einem Upgrade von Sophos SafeGuard Disk Encryption / SafeGuard Easy 5.x auf Sophos Disk Encryption 5.61 weisen die Bitmaps der POA nicht das neue Sophos Design auf.

  • Bei einem Upgrade auf SafeGuard Enterprise (verwaltete Verschlüsselung) müssen das SafeGuard Management Center sowie SafeGuard Enterprise Server mindestens in Version 6.0 vorliegen.

Gelöste Probleme

  • (DEF76145) Beim Aufrufen der Sophos Disk Encryption Hilfe im "Benutzer-Computer Zuordnung"-Dialog wird die Hilfeseite nicht angezeigt.

    Durch Klick auf den Hilfe-Button auf dem "Benutzer-Computer Zuordnung"-Dialog startet nun die entsprechende Hilfeseite.

  • (DEF79546) Sophos Disk Encryption alleinige Installation und Neustart der POA wird nicht korrekt gemeldet

    Benutzer werden nach der Installation des Verschlüsselungsagenten nun zu einem weiteren Neustart aufgefordert, um die POA zu aktivieren.

  • (DEF78786) POA Ausnahmen funktionieren nicht wie erwartet

    POA Ausnahmen werden nun wie erwartet auf dem mit Verschlüsselungssoftware ausgestatteten Endpoint wirksam.

Technischer Support

Technischen Support zu Sophos Produkten können Sie wie folgt abrufen:

Rechtlicher Hinweis

Copyright © 2012 Sophos Group. Alle Rechte vorbehalten. SafeGuard ist ein eingetragenes Warenzeichen von Sophos Group.

Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch gespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie verfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung mit dem Lizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftliche Genehmigung des Urheberrechtsinhabers.

Sophos, Sophos Anti-Virus und SafeGuard sind eingetragene Marken von Sophos Limited, Sophos Group und Utimaco Safeware AG. Alle anderen erwähnten Produkt- und Unternehmensnamen sind Marken oder eingetragene Marken der jeweiligen Inhaber.

Copyright-Informationen von Drittanbietern finden Sie im Dokument „Disclaimer and Copyright for 3rd Party Software“ in Ihrem Produktverzeichnis.