Mit Festplattenverschlüsselung sind Daten auf Endpoints vor unbefugtem Zugriff geschützt. Laufwerke werden transparent verschlüsselt und Power-on Authentication (POA) stellt einen weiteren Authentifizierungsschritt vor dem Starten des Betriebssystems dar. Sie können die Funktion Festplattenverschlüsselung mit Sophos Enterprise Console 5.1 verwalten.
Die neuen Funktionen werden ausführlich in der Hilfe zu Sophos Enterprise Console und Sophos Disk Encryption behandelt.
Unterstützte Plattformen | 32-Bit | 64-Bit | IA-64 (Itanium) | Empfehlung für verfügbaren Speicherplatz | Mindestens erforderlicher Arbeitsspeicher |
---|---|---|---|---|---|
Windows 7, SP1 Home Premium/Enterprise/Ultimate/Professional | Ja | Ja | 300 MB* | 1 GB** | |
Windows Vista SP1, SP2 Enterprise/Ultimate/Business | Ja | Ja | 300 MB* | 1 GB** | |
Windows XP Professional SP2, SP3 | Ja | 300 MB* | 1 GB** |
* Für die Installation sind mindestens 300 MB freier Festplattenspeicherplatz erforderlich. Für Sophos Disk Encryption Agent müssen mindestens 100 MB des freien Festplattenspeicherplatzes einen zusammenhängenden Bereich bilden. Wenn Ihnen weniger als 5 GB Festplattenspeicherplatz zur Verfügung stehen und Ihr Betriebssystem nicht neu installiert ist, führen Sie bitte eine Defragmentierung durch. Dadurch erhöhen Sie die Chancen, dass der benötigte zusammenhängende Bereich verfügbar ist. Andernfalls schlägt die Installation fehl, da nicht genügend zusammenhängender Speicherplatz vorhanden ist. In diesem Fall kann die Installation nicht unterstützt werden.
** Dies ist der empfohlene Speicherplatz. Sophos Disk Encryption nutzt nicht den gesamten angegebenen Speicherplatz.
Erforderliche Software Internet Explorer 6.0 oder höher
Unterstützte Sprachen: Deutsch, Englisch, Französisch, Italienisch, Japanisch, Spanisch
SafeGuard Policy Editor 5.61 muss nur in folgendem Fall installiert werden: Wenn Sie über mehrere unabhängige Sophos SafeGuard Disk Encryption / SafeGuard Easy 5.x Umgebungen mit unterschiedlichen Unternehmenszertifikaten verfügen und diese in einer Umgebung zusammenführen möchten, müssen Sie einen Unternehmenszertifikatswechsel in SafeGuard Policy Editor 5.61 durchführen.
Unterstützte Plattformen | 32-Bit | 64-Bit | IA-64 (Itanium) | Empfehlung für verfügbaren Speicherplatz | Mindestens erforderlicher Arbeitsspeicher |
---|---|---|---|---|---|
Windows 7, SP1 Enterprise/Ultimate/Professional | Ja | Ja | 1 GB | 1 GB* | |
Windows Vista SP1, SP2 Enterprise/Ultimate/Business | Ja | Ja | 1 GB | 1 GB* | |
Windows XP Professional SP2, SP3 | Ja | 1 GB | 1 GB* | ||
Windows Server 2008 SP1, SP2 | Ja | Ja | 1 GB | 1 GB* | |
Windows Server 2008 R2, SP1 | Ja | 1 GB | 1 GB* | ||
Windows Server 2003 SP1, SP2 | Ja | Ja | 1 GB | 1 GB* | |
Windows Server 2003 R2 SP1, SP2 | Ja | Ja | 1 GB | 1 GB* | |
Windows Small Business Server 2003, 2008, 2011 | 1 GB | 1 GB* |
** Dies ist der empfohlene Speicherplatz. SafeGuard Policy Editor nutzt nicht den gesamten angegebenen Speicherplatz.
Erforderliche Software .NET Framework 3.0 SP1
Unterstützte Sprachen: Deutsch, Englisch, Französisch, Japanisch
Hier finden Sie Informationen zu den in der Power-on Authentication unterstützten Tastaturlayouts:
http://www.sophos.com/de-de/support/knowledgebase/112782.aspx.
Sophos Disk Encryption wurde erfolgreich mit Installationen von Sophos Antivirus-Softwareprodukten sowie mit den folgenden Software-Produkten getestet:
Hersteller | Produkt | Version |
---|---|---|
AVG | Free Anti-Virus Small Business Edition 2011 | 10.0.1153 |
Computer Associates | Security Center Version | 6.0.0.285 |
F-Secure | Anti Virus 2011 | 10.51 |
G Data | AntiVirus Version 2011 | 21.1.0.5 |
Kaspersky | Internet Security Version 2011 | 11.0.0.232 |
Symantec | Endpoint Protection | 11.0.6 |
Trend Micro | Titanium Internet Security 2011 | |
McAfee | Internet Security 2011 | |
Norman | Virus Control | 2010.02.22 |
Microsoft | Security Essentials |
Symantec PGP Desktop Version 10.0 und 10.1
TrueCrypt Version 6.3a und 7.0a
Checkpoint Version 7.3va
McAfee Version 1.2.0
Microsoft BitLocker Drive Encryption
Um Sophos Disk Encryption 5.61 in Verbindung mit einem Novell Client zu benutzen, sind einige projektspezifische Anpassungen notwendig. Weitere Informationen hierzu erhalten Sie vom Sophos Support.
Vor der Installation wird geprüft, dass nur ein Benutzer angemeldet ist. Im Verlauf der Installation kann sich kein anderer Benutzer anmelden.
Nach der Installation von Sophos Disk Encryption 5.61 unter Windows Vista ist das eingebaute Diskettenlaufwerk nicht mehr verfügbar. Diese Einschränkung gilt nicht für externe Diskettenlaufwerke, die über den USB-Bus angesteckt werden.
Die Änderung der Partitionsgröße auf Endpoints mit Sophos Disk Encryption 5.61 wird nicht unterstützt.
Die Zeit, die für den Start des Endpoint benötigt wird, erhöht sich nach der Installation von Sophos Disk Encryption 5.61 um ca. eine Minute.
Sophos Disk Encryption unterstützt nur die Virtualisierungsplattformen VMware Workstation und Player. Alle weiteren Plattformen, wie etwa VMware ESX/ESXi Server, MS Virtual PC oder MS HyperV, werden nicht unterstützt.
Im Local Self Help Assistenten auf japanischen Betriebssystemen können Benutzer Antworten auf Fragen zum Recovery für die Anmeldung in japanischen Schriftzeichen definieren. Bei der Beantwortung dieser Fragen beim Recovery für die Anmeldung an der POA hingegen werden japanische Schriftzeichen nicht unterstützt. Wenn die im Assistenten und in der POA eingegeben Antworten nicht übereinstimmen, kann die Anmeldung nicht wiederhergestellt werden.
Provisorische Lösung: Für die Eingabe von Antworten auf Japanisch im Local Self Help Assistenten müssen Romaji-Zeichen (römische/lateinische Zeichen) verwendet werden. Andernfalls ergibt sich bei der Eingabe der Antworten in der Power-on Authentication keine Übereinstimmung.
(DEF69429) Bei machen Toshiba OPAL-Festplatten ist die Verschlüsselung im OPAL-Modus nicht möglich, wenn sich die erste Partition nicht am Anfang der Festplatte befindet.
Gemäß der TCG Storage Opal-Spezifikation für selbst-verschlüsselnde Festplatten (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal) ist ein so genannter „Shadow MBR“ mit mindestens 128 MB erforderlich. Wenn kein Lese- und Schreibzugriff auf den gesamten Bereich vorhanden ist (wie etwa bei Toshiba OPAL-Festplatten mit Firmwareversion MGT00A) und die Anfangspartition der Festplatte in den nicht zugänglichen Sektornummernbereich fällt, kann Sophos Disk Encryption die OPAL-Verschlüsselung für die Festplatte nicht aktivieren.
Provisorische Lösung: Verlegen Sie die Startpartition an den Anfang der Festplatte.
Die Unterstützung von selbst-verschlüsselnden OPAL-Festplatten durch Sophos Disk Encryption unterliegt folgenden Einschränkungen:
(DEF70019) Verwenden Sie den hybriden Standbymodus von Windows nicht bei OPAL-Systemen.
Unter Umständen treten bei Computern mit selbst-verschlüsselnden OPAL-Festplatten, auf denen die Option Hybriden Standbymodus zulassen in den Erweiterte Energieoptionen aktiviert wurde, Probleme bei der Aktivierung aus dem Energiesparmodus auf. Das bedeutet, dass sämtliche Daten, die vor dem Versetzen des Computers in den Standby-Modus nicht gespeichert wurden, verloren gehen.
Gemäß der TCG Storage Opal-Spezifikation für selbst-verschlüsselnde Festplatten (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal) kann nicht mehr auf verschlüsselte Festplatten zugegriffen werden, wenn die Anmeldeinformationen für das Entsperren der Platte verloren gehen. Das bedeutet, dass die Festplatte gänzlich unbrauchbar wird. Im Gegensatz dazu gehen bei einer mit Software verschlüsselten Festplatte zwar auch die Daten verloren, die Hardware kann aber nach einer erneuten Formatierung wieder benutzt werden. Sophos Disk Encryption fordert den Benutzer dazu auf, einen Backup der Schlüsseldatei zu erstellen. Gehen diese Daten verloren, kommt es jedoch zu dem beschriebenen Szenario.
Selbst-verschlüsselnde Festplatten müssen vor einer Neuformatierung oder einem Reimaging auf die Werkseinstellungen zurückgesetzt werden. Für den Fall, dass dies nicht durch eine "reguläre" Entschlüsselung oder durch die Deinstallation von Sophos Disk Encryption erreicht werden kann, steht ein Tool (OPALEmergencyDecrypt.exe) zur Verfügung, mit dem sich eine mit Sophos Disk Encryption verwaltete Opal-Festplatte dauerhaft zurücksetzen lässt. Aus Sicherheitsgründen ist das Tool auf Anfrage beim Kundenservice von Sophos erhältlich.
Wenn ein System in den Energiesparmodus versetzt wird, kann es nicht wieder aktiviert werden, wenn der MSAHCI-Festplattentreiber von Microsoft installiert ist. MSAHCI wurde mit Windows Vista eingeführt – das Problem tritt also unter Windows Vista und Windows 7, nicht jedoch unter Windows XP auf.
Provisorische Lösungen: Verwenden Sie stattdessen den geeigneten IAStore-Treiber, falls dies für die betreffende Hardware-Konfiguration möglich ist. Das "Intel RST Treiberpaket v10.1.0.1008" wurde erfolgreich getestet. Ändern Sie die BIOS-Einstellung für den Festplatten-Controller (z.B. SATA Mode, ATA Controller Mode, IDE Controller usw.) zu Compatibility Mode. Bei den meisten BIOS-Versionen muss hierzu ein anderer Wert als AHCI (z.B. „IDE“, „Compatibility“) ausgewählt werden.
Bei den aktuellen Solid-State-Drives kann keine Software (auch nicht das Betriebssystem) den realen Speicherort von Daten auf dem SSD genau ermitteln. Controller, eine essenzielle Komponente von Solid-State-Drives, simulieren das externe Verhalten einer Speicherplatte. Die internen Vorgänge weichen hiervon jedoch drastisch ab. Dies wirkt sich auf unterschiedliche Weise auf die Sicherheit der gespeicherten Daten aus. Details hierzu entnehmen Sie bitte dem Support-Artikel http://www.sophos.com/de-de/support/knowledgebase/113334.aspx. Als wichtigste Auswirkung ist hier zu nennen: Nur Daten, die auf ein Solid-State-Disk Volume nach der Aktivierung einer Verschlüsselungsrichtlinie geschrieben werden, sind sicher verschlüsselt. Das bedeutet wiederum, dass nicht garantiert werden kann, dass sämtliche Daten, die sich vor der Erstverschlüsselung mit Sophos Disk Encryption bereits auf dem Solid-State-Drive befanden, nach Abschluss der Erstverschlüsselung vollständig gelöscht wurden. Hinweis: Das Problem beschränkt sich nicht auf Sophos Disk Encryption, sondern betrifft vielmehr alle software-basierenden Festplattenverschlüsselungssysteme.
Die meisten externen eSATA-Festplatten können sich derzeit nicht als Wechselmedium ausweisen. Aus diesem Grund werden solche Festplatten von Sophos Disk Encryption als interne Festplatten erkannt, und es werden die entsprechenden Richtlinien übernommen. Es wird davon abgeraten, eSATA-Festplatten in Umgebungen mit Sophos Festplattenverschlüsselung einzusetzen, es sei denn, die implementierten Verschlüsselungsrichtlinien gehen ausdrücklich darauf ein.
Virtuelle Laufwerke, die auf dem Endpoint bereitgestellt werden (z. B. VHD-Datei in Windows mit Microsoft Virtual Server Mounter), werden als lokale Festplattenlaufwerke betrachtet. Ihr Inhalt wird daher ebenfalls verschlüsselt, wenn eine Verschlüsselungsrichtlinie für „andere Volumes“ definiert wird.
Wenn SDE 5.61 auf einem Endpoint zwar installiert, aber das Laufwerk nicht verschlüsselt ist und anschließend Microsoft BitLocker Drive Encryption installiert und verwendet wird, um den Endpunkt zu schützen, wird der LocalCache beschädigt, was zum Neustart des Endpoints führt. Weitere Neustarts führen dann zu einer Neustart-Schleife.
Provisorische Lösung: Installieren Sie keine Festplattenverschlüsselungslösung anderer Hersteller auf Endpoints, auf denen SDE 5.61 bereits installiert ist.
Bei der Deinstallation von Sophos Disk Encryption 5.61 auf einem Computer, auf dem SafeGuard LAN Crypt Client (SGLC) installiert wurde, tritt ein interner Treiberfehler auf, wenn der Benutzer versucht, den SGLC-Schlüsselring zu laden.
Provisorische Lösung: Führen Sie eine "Reparieren"-Installation bei dem SafeGuard Enterprise LAN Crypt Client-Paket durch.Wenn die Sophos Disk Encryption installiert ist und in Kombination mit der Empirum Security Suite Agent Software verwendet wird, stoppt das System u. U. mit dem folgenden BSOD:
BSOD on system startup with stop code 0x00000044 MULTIPLE_IRP_COMPLETE_REQUESTSDas Problem wird von einer Empirum-Software-Komponente verursacht. Es wird in der Empirum Security Suite behoben. Aktuelle Informationen zu diesem Problem erhalten Sie vom Matrix42 Support.
Sophos Disk Encryption 5.61 kann auf Maschinen, auf denen AbsoluteSoftware Computrace mit der aktivierten Option „rack-0 based persistent agent“ installiert ist, nicht installiert werden.
Bei einem Upgrade von Sophos SafeGuard Disk Encryption / SafeGuard Easy 5.x auf Sophos Disk Encryption 5.61 weisen die Bitmaps der POA nicht das neue Sophos Design auf.
Bei einem Upgrade auf SafeGuard Enterprise (verwaltete Verschlüsselung) müssen das SafeGuard Management Center sowie SafeGuard Enterprise Server mindestens in Version 6.0 vorliegen.
(DEF76145) Beim Aufrufen der Sophos Disk Encryption Hilfe im "Benutzer-Computer Zuordnung"-Dialog wird die Hilfeseite nicht angezeigt.
Durch Klick auf den Hilfe-Button auf dem "Benutzer-Computer Zuordnung"-Dialog startet nun die entsprechende Hilfeseite.
(DEF79546) Sophos Disk Encryption alleinige Installation und Neustart der POA wird nicht korrekt gemeldet
Benutzer werden nach der Installation des Verschlüsselungsagenten nun zu einem weiteren Neustart aufgefordert, um die POA zu aktivieren.
(DEF78786) POA Ausnahmen funktionieren nicht wie erwartet
POA Ausnahmen werden nun wie erwartet auf dem mit Verschlüsselungssoftware ausgestatteten Endpoint wirksam.
Technischen Support zu Sophos Produkten können Sie wie folgt abrufen:
Copyright © 2012 Sophos Group. Alle Rechte vorbehalten. SafeGuard ist ein eingetragenes Warenzeichen von Sophos Group.
Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch gespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie verfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung mit dem Lizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftliche Genehmigung des Urheberrechtsinhabers.
Sophos, Sophos Anti-Virus und SafeGuard sind eingetragene Marken von Sophos Limited, Sophos Group und Utimaco Safeware AG. Alle anderen erwähnten Produkt- und Unternehmensnamen sind Marken oder eingetragene Marken der jeweiligen Inhaber.
Copyright-Informationen von Drittanbietern finden Sie im Dokument „Disclaimer and Copyright for 3rd Party Software“ in Ihrem Produktverzeichnis.