Grazie alla cifratura completa del disco i dati nei computer endpoint vengono protetti da eventuali accessi non autorizzati. Le unità vengono cifrate in modo trasparente, mentre la Power-on Authentication (POA) fornisce un'ulteriore meccanismo di autenticazione applicabile prima dell'avvio del sistema operativo. È possibile gestire la cifratura completa del disco da Sophos Enterprise Console 5.1.
Per ulteriori informazioni sulle nuove funzioni, consultare la guida in linea di Sophos Enterprise Console e quella di Sophos Disk Encryption.
| Piattaforme supportate | 32 bit | 64 bit | IA-64 (Itanium) | spazio su disco a disposizione consigliato | RAM minima |
|---|---|---|---|---|---|
| Windows 7, SP1 Home Premium/Enterprise/Ultimate/Professional | Sì | Sì | 300 MB* | 1 GB** | |
| Windows Vista SP1, SP2 Enterprise/Ultimate/Business | Sì | Sì | 300 MB* | 1 GB** | |
| Windows XP Professional SP2, SP3 | Sì | 300 MB* | 1 GB** |
L’installazione richiede almeno 300 MB di spazio libero sul disco rigido. Per l'agente di Sophos Disk Encryption, almeno 100 MB di questo spazio libero devono essere costituiti da un’area contigua. Deframmentare il sistema prima dell’installazione, se si dispone di meno di 5 GB di spazio libero su disco rigido e il sistema operativo non è stato installato di recente, per incrementare la possibilità che questa area contigua sia disponibile. In caso contrario, l’installazione può non riuscire per "insufficienza di spazio libero contiguo” e non può essere supportata.
** Si consiglia questo spazio libero di memoria. Sophos Disk Encryption non lo utilizzerà tutto.
Software richiesto: Internet Explorer versione 6.0 o superiore
Lingue supportate: francese, giapponese, inglese, italiano, spagnolo, tedesco
Nel caso riportato qui di seguito sarà semplicemente necessario installare SafeGuard Policy Editor 5.61: se in possesso di molteplici ambienti Sophos SafeGuard Disk Encryption/SafeGuard Easy 5.x indipendenti, con certificati aziendali diversi che si desidera unire in un unico ambiente, sarà necessario modificare il certificato aziendale nel SafeGuard Policy Editor 5.61.
| Piattaforme supportate | 32 bit | 64 bit | IA-64 (Itanium) | spazio su disco a disposizione consigliato | RAM minima |
|---|---|---|---|---|---|
| Windows 7, SP1 Enterprise/Ultimate/Professional | Sì | Sì | 1 GB | 1 GB* | |
| Windows Vista SP1, SP2 Enterprise/Ultimate/Business | Sì | Sì | 1 GB | 1 GB* | |
| Windows XP Professional SP2, SP3 | Sì | 1 GB | 1 GB* | ||
| Windows Server 2008 SP1, SP2 | Sì | Sì | 1 GB | 1 GB* | |
| Windows Server 2008 R2, SP1 | Sì | 1 GB | 1 GB* | ||
| Windows Server 2003 SP1, SP2 | Sì | Sì | 1 GB | 1 GB* | |
| Windows Server 2003 R2 SP1, SP2 | Sì | Sì | 1 GB | 1 GB* | |
| Windows Small Business Server 2003, 2008, 2011 | 1 GB | 1 GB* |
* Si consiglia questo spazio libero di memoria. SafeGuard Policy Editor non lo utilizzerà tutto.
Software richiesto: .NET Framework 3.0 SP1
Lingue supportate: francese, giapponese, inglese, tedesco
La cifratura completa del disco ha superato test relativi ad installazioni simultanee di prodotti antivirus di Sophos e dei seguenti:
| Produttore | Prodotto | Versione |
|---|---|---|
| AVG | Anti-Virus Small Business Edition 2011 gratuito | 10.0.1153 |
| Computer Associates | Security Center versione | 6.0.0.285 |
| F-Secure | Anti Virus 2011 | 10.51 |
| G Data | AntiVirus versione 2011 | 21.1.0.5 |
| Kaspersky | Internet Security versione 2011 | 11.0.0.232 |
| Symantec | Endpoint Protection | 11.0.6 |
| Trend Micro | Titanium Internet Security 2011 | |
| McAfee | Internet Security 2011 | |
| Norman | Virus Control | 2010.02.22 |
| Microsoft | Security Essentials |
Symantec PGP Desktop versioni 10.0 e 10.1
TrueCrypt versioni 6.3a e 7.0a
Checkpoint versione 7.3va
McAfee versione 1.2.0
Microsoft BitLocker Drive Encryption
Per utilizzare Sophos Disk Encryption 5.61 in concomitanza con un Client Novell, sono necessarie alcune modifiche specifiche del progetto. Contattare il Supporto tecnico di Sophos per ulteriori informazioni.
Prima di avviare l'installazione, si controlla che solo un utente abbia eseguito l'accesso L'accesso di un altro utente non è supportato.
Eseguita l'installazione di Sophos Disk Encryption 5.61 in Windows Vista, l'unità floppy incorporata non è più disponibile. Questa limitazione non riguarda le unità disco floppy esterne collegate tramite il bus USB.
Il ridimensionamento di una partizione nel computer endpoint in cui è installato Sophos Disk Encryption 5.61 non è supportato.
La fase di avvio aumenta di circa un minuto una volta eseguita l'installazione di Sophos Disk Encryption 5.61 nel computer.
Sophos Disk Encryption supporta solo VMware Workstation e Player, come piattaforma di virtualizzazione. Tutte le piattaforme quali VMware ESX/ESXi Server, MS Virtual PC o MS HyperV non sono supportate.
Nella procedura guidata del Local Self Help, relativa ai sistemi operativi in giapponese, gli utenti possono definire le risposte alle domande per il recupero dell'accesso utilizzando caratteri giapponesi. Quando però si inseriscono le risposte alle domande durante la procedura di recupero dell'accesso della POA, i caratteri in giapponese non sono supportati. Se le risposte inserite nella procedura guidata e quelle della POA non coincidono, l'accesso non potrà essere recuperato.
Workaround: quando si inseriscono risposte in giapponese nella procedura guidata del Local Self Help, utilizzare caratteri Romaji (romani). Altrimenti, non vi sarà una corrispondenza fra le risposte al momento del loro inserimento nell'autenticazione all'accensione.
(DEF69429) In alcuni dischi Toshiba OPAL, la modalità di cifratura OPAL potrebbe non riuscire se la prima partizione non si trova all'inizio del disco.
La specifica TCG Storage OPAL per Self Encrypting Drive (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal) richiede un'area denominata Shadow MBR di almeno 128 MB. Se questa area non è completamente accessibile per la lettura e la scrittura (questo è il caso per i dischi Toshiba OPAL con firmware versione MGT00A) e il settore di avvio della partizione di avvio del disco ha un numero di settore incluso nell'area non accessibile, Sophos Disk Encryption non potrà attivare la cifratura OPAL per tale unità.
Per risolvere il problema: riposizionare la partizione di avvio nell'area iniziale del disco.
Il supporto di Sophos Disk Encryption per le unità auto-cifranti OPAL presenta i seguenti limiti:
(DEF70019) Non utilizzare la modalità Windows Hybrid Sleep nei computer OPAL
Nei computer con unità auto-cifranti OPAL, attivare Consenti sospensione ibrida nella finestra Opzioni risparmio energia avanzate causa errori durante la procedura di riattivazione. Ciò comporta la perdita di tutti i dati non salvati prima della sospensione del computer.
In base alle specifiche TCG Storage OPAL per Self Encrypting Drives (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal), sarà impossibile accedere a un'unità attiva se le credenziali per sbloccarla sono state perdute. Il disco è quindi completamente inutilizzabile, mentre non lo sarebbe stato se fosse stato cifrato tramite software; anche in questo caso i dati sarebbero persi, ma l'hardware potrebbe essere riutilizzato riformattandolo. Sophos Disk Encryption chiederà all'utente di eseguire il backup del file di chiave, ma se lo si perde, accadrà quanto descritto qui sopra.
Self Encrypting Drive devono essere riportate allo stato di fabbrica prima di poterle riformattare. Nel caso in cui ciò non possa essere fatto tramite "normale" procedura di decifratura o disinstallando Sophos Disk Encryption, è possibile utilizzare un tool specifico (OPALEmergencyDecrypt.exe) per reimpostare in modo permanete l'unità OPAL gestita da Sophos Disk Encryption. Per motivi di sicurezza, il tool è disponibile solo contattando il servizio clienti di Sophos.
Quando un computer è in modalità di sospensione, sarà impossibile ripristinare la sessione se nel computer è installato il driver del disco rigido MSAHCI di Microsoft. MSAHCI è stato introdotto con Windows Vista, quindi questo problema si verifica con i sistemi operativi Windows Vista e Windows 7, ma non con Windows XP.
Per risolvere il problema: se del caso, per configurare l'hardware utilizzare il driver IAStore adeguato. I test condotti su "Intel RST driver package v10.1.0.1008" hanno avuto esito positivo. Modificare le impostazioni BIOS per il controller del disco rigido (per es. SATA Mode, ATA Controller Mode, IDE Controller Mode, ecc.) con Modalità compatibilità. Nella maggior parte dei BIOS significa selezionare un valore diverso da AHCI (per es. IDE, Compatibility, ecc.)
Nelle SSD correnti, è impossibile per qualsiasi software (compreso il sistema operativo) stabilire il percorso fisico in cui sono stati archiviati i dati. Un controller, componente fondamentale in tutte le SSD, simula il comportamento esterno del platter drive mentre internamente svolge azioni differenti. Ciò ha molte implicazioni per la sicurezza dei dati archiviati, consultare l'articolo http://www.sophos.it/knowledgebase/article/113334.html. La più rilevante è la seguente: solo i dati scritti sul volume di SSD sono sicuri dal punto di vista crittografico, una volta attivato un criterio di cifratura. Ciò significa che sarà impossibile garantire l'avvenuta cancellazione fisica di tutti i dati già presenti in SSD prima dell'avvio del processo di cifratura, una volta concluso tale processo. Notare che questo problema non è specifico di Sophos Disk Encryption, ma che riguarda tutti i sistemi di cifratura completa del disco basata su software.
Al momento, la maggior parte delle unità esterne eSATA non si auto-definiscono supporti rimovibili. Di conseguenza, Sophos Disk Encryption li considera come unità interne applicando loro i relativi criteri. Si sconsiglia l'utilizzo di unità eSATA in ambienti in cui si esegue la cifratura completa del disco di Sophos, a meno che questo problema non sia preso in considerazione nei criteri di cifratura applicati.
Le unità virtuali presenti nel computer client (ad es. i file VHD in Windows montati mediante Microsoft Virtual Server) vengono considerate come unità disco rigido locali; verrà quindi cifrato anche il loro contenuto, se si definisce un criterio di cifratura per ‘altri volumi’.
Se SDE 5.61 viene installato in un computer endpoint in cui l'unità non è cifrata e successivamente viene installata la cifratura Microsoft BitLocker Drive per proteggere i computer; la LocalCache verrà corrotta causando il riavvio dell'endpoint. Gli ulteriori riavvii causeranno un ciclo di riavvii.
Workaround: non installare soluzioni di cifratura completa del disco prodotte da terzi in computer in cui è installato SDE 5.61.
La disinstallazione di Sophos Disk Encryption 5.61 in un computer in cui è installato SafeGuard LAN Crypt Client (SGLC) provoca un errore di driver interno quando l'utente cerca di caricare il gruppo di chiavi di SGLC.
Per risolvere il problema: Eseguire il ripristino dell'installazione nel pacchetto SafeGuard LAN Crypt Client.Se il software di Sophos Disk Encryption 5.61 viene installato ed eseguito in concomitanza con quello di Empirum Security Suite Agent, il sistema potrebbe arrestarsi, con il seguente messaggio di avviso BSOD:
BSOD on system startup with stop code 0x00000044 MULTIPLE_IRP_COMPLETE_REQUESTSTale problema è causato da uno dei componenti di Empirum Software. La soluzione per questo problema è presente in Empirum Security Suite. Contattare il supporto di Matrix42 per gli ultimi aggiornamenti ed informazioni relativi a questo problema.
Sophos Disk Encryption 5.61 non riesce ad effettuare l'installazione su computer in cui è installato AbsoluteSoftware Computrace con ‘track-0 based persistent agent’ attivo.
Quando si esegue l'upgrade da Sophos SafeGuard Disk Encryption/SafeGuard Easy 5.x a Sophos Disk Encryption 5.61, i bitmap della POA non sono aggiornati nel nuovo branding di Sophos.
Quando si esegue l'upgrade alla cifratura gestita di SafeGuard Enterprise, SafeGuard Management Center e SafeGuard Enterprise Server devono essere almeno versione 6.0.
(DEF76145) Quando si cercava di aprire la Guida in linea di Sophos Disk Encryption dalla finestra di dialogo "User Machine Assignment". la pagina richiesta non vieniva visualizzata in modo corretto.
Cliccando sul pulsante relativo alla Guida in linea dalla finestra di dialogo "User Machine Assignment" viene ora aperta la pagina corretta.
(DEF79546) La distribuzione e il riavvio della POA di Sophos Disk Encryption non risultano registrati.
Agli utenti si richiede l'esecuzione di un ulteriore riavvio, una volta eseguita l'installazione dell'agente della cifratura per attivare la POA.
(DEF78786) Le eccezioni di POA non operano come dovrebbero
Le eccezioni della POA ora hanno gli effetti desiderati sull'agente della cifratura.
È possibile ricevere supporto tecnico per i prodotti Sophos in ciascuno dei seguenti modi:
Copyright © 2012 Sophos Group. Tutti i diritti riservati. SafeGuard è un marchio registrato di Sophos Group.
Nessuna parte di questa pubblicazione può essere riprodotta, memorizzata in un sistema di recupero informazioni, o trasmessa, in qualsiasi forma o con qualsiasi mezzo, elettronico o meccanico, inclusi le fotocopie, la registrazione e altri mezzi, salvo che da un licenziatario autorizzato a riprodurre la documentazione in conformità con i termini della licenza, oppure previa autorizzazione scritta del titolare dei diritti d'autore.
Sophos, Sophos Anti-Virus e SafeGuard sono un marchi registrati di Sophos Limited, Sophos Group e Utimaco Safeware AG. Tutti gli altri nomi citati di società e prodotti sono marchi o marchi registrati dei rispettivi titolari.
Informazioni relative al copyright di terzi sono reperibili nel documento Disclaimer and Copyright for 3rd Party Software nella directory del prodotto.