Sophos NAC für Endpoint Security and Control – Versionsinfo 3.3

Über Sophos NAC

Sophos NAC ermöglicht komfortable Netzwerkzugriffskontrolle (Network Access Control, NAC). Mit Sophos NAC können Administratoren Sicherheitsrichtlinien zentral definieren und verwalten, um nicht konforme, anfällige oder falsch konfigurierte Computer im Unternehmensnetz zu identifizieren und zu isolieren. Es lässt sich problemlos in die vorhandene Netzwerkinfrastruktur und in Sicherheitsanwendungen verschiedenster Hersteller integrieren.

Weitere Informationen zur Erstinstallation von Sophos NAC finden Sie in der Sophos Endpoint Security and Control Schnellstartanleitung.

Sie können die Anleitung von der Sophos Website herunterladen.

Neu in dieser Version

  • Verbesserte DHCP-Umsetzung: Dank der vereinfachten DHCP-Umsetzung können Gastbenutzer den Netzwerkzugriff komfortabel konfigurieren. Der NAC Manager verfügt über einen Assistenten zur DHCP-Konfiguration, der den Nutzer durch den DHCP-Konfigurationsvorgang leitet.
  • Dissolvable Agent: Dissolvable Agent basiert auf Java. Der Agent tritt an die Stelle des Web Agenten auf ActiveX-Basis. Der Dissolvable Agent bietet Gastbenutzern und nicht verwalteten Benutzern die Möglichkeit zur Richtlinienanalyse und zum Enforcement. Der Dissolvable Agent kann auch von Benutzern mit eingeschränkten Zugangsrechten genutzt werden.
  • Verschlüsselungssoftware-Unterstützung: NAC umfasst zusätzliche Profile und Analysefunktionen für Utimaco SafeGuard Easy, SafeGuard Enterprise und Sophos SafeGuard Disk Encryption. Das Sophos SafeGuard Disk Encryption-Profil wurde in die verwaltete Richtlinie aufgenommen.
  • Meldungen in mehreren Sprachen: Mit NAC können Kunden Meldungen in acht Sprachen erstellen, um die Nutzung der Software für Benutzer zu erleichtern, die kein Englisch sprechen. Die Benachrichtigungen des Agenten werden in allen von Sophos unterstützten Sprachen angezeigt (Englisch, Französisch, Spanisch, Deutsch, Italienisch, Japanisch, vereinfachtes Chinesisch und traditionelles Chinesisch).
  • Sicherheitsanwendung und Profilunterstützung: Die Unterstützung der aktuellen Versionen von Fremdsoftware wurde in NAC erweitert.
  • Sophos Software-Unterstützung: NAC umfasst zwei neue Korrekturmaßnahmen für Sophos Anti-Virus: Aktivieren von Echtzeitschutz und Übernahme der SEC-Richtlinie.
  • Unterstützung von Windows Server 2008: NAC kann auf Windows Server 2008 installiert und ausgeführt werden.
  • Unterstützung von SQL Server 2008 und SQL Server 2008: Die NAC-Datenbanken können auf SQL Server 2008 und SQL Server 2008 Express installiert werden.
  • Aktivität von Compliance Agent in Sophos Enterprise Console: Der Agent meldet, dass er installiert ist und ausgeführt wird. Sie können diese Aktivität in Enterprise Console aufrufen.
  • Umbenannte Sophos Softwarekomponenten: In NAC wurden diverse Softwarekomponenten umbenannt. Die folgenden Bezeichnungen wurden nun eingeführt:
Bisherige Bezeichnung Neue Bezeichnung
NAC Agent Agent bzw. Compliance Agent
NAC Dissolvable Agent Dissolvable Agent bzw. Compliance Dissolvable Agent

Probleme, die in dieser Version behoben wurden

  • (TT 19073) Die DHCP-Reports von NAC Manager geben Meldungen aus, die außerhalb des unter "Date/Time" festgelegten Wertes liegen. In den DHCP Enforcer Reports und den DHCP Exemption Reports sind Einträge verzeichnet, die außerhalb des für diese Reports festgelegten Zeitraums (Date/Time) liegen.

Sophos NAC 3.3 unterstützt den ActiveX-basierten Web Agent nicht mehr, da dieser durch den Java-basierten Dissolvable Agent ersetzt wurde. Die folgenden Probleme wurden aus diesem Grund behoben:

  • (TT 19250) Auf Endpoints, die unter Windows Vista laufen, kann NAC Web Agent nicht automatisch installiert werden, wenn NAC Agent bereits installiert und deinstalliert wurde. Wenn NAC Agent auf einem Endpoint unter Windows Vista bereits installiert und dann deinstalliert wurde und daraufhin auf dem gleichen Endpoint eine Web Agent-Installation versucht wurde, so schlägt diese Installation fehl.
  • (TT 18848) Im geschützten Modus lässt sich NAC Web Agent nicht über Internet Explorer 7 ausführen. Wenn es sich nicht um eine vertrauenswürdige Site handelt, ist dies die Standardeinstellung für jede Zone. Um dieses Problem zu umgehen, können Sie die URL des Web Agent in die Liste "vertrauenswürdiger Sites" aufnehmen. Diese Sites werden nicht im geschützten Modus aufgerufen.

Bekannte Probleme

Einige Beschreibungen enthalten die entsprechende Kennung in Klammern. Geben Sie die Kennung an, wenn Sie sich an den technischen Support von Sophos wenden.

  • (DEF40238) Wenn Sie bei der NAC-Installation die Option "Use SEC Proxy Settings" (SEC-Proxyserver-Einstellungen übernehmen) verwendet haben, funktioniert die Proxyserver-Konfiguration nicht. Sie können das Problem umgehen, indem Sie bei der NAC-Installation "Use Proxy" (Proxyserver verwenden) und nicht "Use SEC Proxy Settings" (Proxyserver-Einstellungen verwenden) ausgewählt haben. Sie können die Proxyserver-Einstellungen von SEC angeben. Wenn Sie NAC installiert und die Option "Use SEC Proxy Settings" (Proxyserver-Einstellungen verwenden) ausgewählt haben, rufen Sie "NAC Manager" > "Configure System" (System konfigurieren) >"Server Settings" (Servereinstellungen) auf. Wählen Sie den NAC Server aus, um die Proxyserver-Einstellungen zu aktualisieren. Wählen Sie "Use Proxy" aus der Liste mit den Proxy-Einstellungen ("Proxy Settings") aus. Geben Sie dann die Proxyserver-Einstellungen von SEC an.
  • Nach der Installation von NAC Agent ist aus folgenden Gründen eventuell ein Neustart des Endpoints erforderlich: Bei der Installation wurden Sie zum Beenden aller Anwendungen, die freigegebene Ressourcen nutzen, aufgefordert (z.B. XMLDOM), sie haben diese Anwendungen jedoch nicht geschlossen. Sie haben ein Upgrade des Quarantine Agent durchgeführt, das eine neue Version des Agent Quarantine Managers verwendet, bei der es sich um einen Kernel-Treiber handelt.
  • (DEF 23404) Wenn NAC Symantec AntiVirus 11.x korrigiert, um Echtzeitschutz zu aktivieren, erkennt NAC unter Umständen die Aktivierung erst, wenn Symantec AntiVirus einen ersten Scan durchgeführt hat.
  • (DEF 23386) Symantec 11.x wurde in diese NAC-Version aufgenommen. Ein vordefiniertes Profil für Symantec 11.x ist jedoch nicht vorhanden. Kunden können ihr eigenes Profil für Symantec 11.x erstellen.
  • (SUG 21670) Sophos NAC wird nicht auf dem Server installiert, auf dem sich auch der Microsoft Sharepoint-Server befindet.
  • (TT 18853) Die Update-Korrekturmaßnahme für McAfee AntiSpyware 2.0 erfordert die Mitwirkung des Benutzers. Wenn der Agent eine Update-Korrekturmaßnahme für McAfee AntiSpyware 2.0 einleitet, wird ein Dialogfeld angezeigt, in dem erst auf die Schaltfläche "Update" geklickt werden muss, wenn das Update gestartet werden soll.
  • (DEF 11485) Wenn mit Symantec Client Security 10.x Firewall die Fähigkeitsüberprüfung "Enabled" in weniger als 60 Sekunden nach der Aktivierung der Firewall auf dem Endpoint ausgeführt wird, liefert die NAC-Software inkonsistente Ergebnisse, wenn die Fähigkeit "Enabled" erkannt wird. Warten Sie nach dem Aktivieren der Firewall mindestens 60 Sekunden lang, bevor die Erkennung der "Enabled"-Fähigkeit versucht wird.
  • (DEF11506) Compliance Agent und Dissolvable Agent erkennen Proventia Desktop Firewall 8.x nicht.
  • (DEF 11438) Die Fähigkeit "Last Scan Grace Period" oder "Last Scan Date" von McAfee Anti-Virus 4.5.1 liefert unter Windows XP SP2 stets das Ergebnis "non-compliant" (nicht konform).
  • (DEF 11396) Die Fähigkeit "Last Scan Grace Period" oder "Last Scan Date" von Sophos Anti-Virus 7.x liefert unter einem französischen Betriebssystem stets das Ergebnis "non-compliant" (nicht konform).

Weitere Informationen

Einige Beschreibungen enthalten die entsprechende Kennung in Klammern. Geben Sie die Kennung an, wenn Sie sich an den technischen Support von Sophos wenden.

Technischer Support

Technischen Support erhalten Sie unter http://www.sophos.de/support.

Wenn Sie sich an den technischen Support wenden, halten Sie u.a. folgende Informationen bereit:

  • Sophos Softwareversionsnummern
  • Betriebssysteme und Patch-Level
  • Den genauen Wortlaut von Fehlermeldungen

Systemvoraussetzungen

Bei bis zu 1.000 Endpoints kann Sophos NAC auf dem gleichen Server installiert werden wie Sophos Enterprise Console. Bei Konfigurationen von 1.001 bis 25.000 Endpoints ist für Sophos NAC, die Sophos NAC Datenbanken und Sophos Enterprise Console jeweils ein eigener Server erforderlich – also insgesamt drei Server.

NAC Server

  • 2 GHz Pentium 4 oder gleichwertig
  • 1 GB RAM
  • Windows Server (Die folgenden Versionen von SQL Server werden unterstützt.)
    • Windows 2003 Server Basis oder höher
    • Windows 2003 R2 Server Basis oder höher
    • Windows 2008 Server Basis oder höher
  • Internetzugang
  • 3 GB freier Speicher auf Laufwerk C
  • TCP/IP-Protokoll
  • Ethernet-Netzwerkkarte für herkömmliche DSL-Verbindung oder 802.11 WLAN-Karte für drahtlose DSL-Verbindung
  • Bei Einsatz von HTTPS ist ein Webserverzertifikat erforderlich

NAC-Datenbanken

Der Computer mit den NAC-Datenbanken (es kann sich um denselben oder einen anderen Computer handeln) benötigt zudem:

  • Windows Server (Die folgenden Versionen von SQL Server werden unterstützt.)
    • Windows 2000 SP3 oder höher bei Installation der NAC-Datenbanken auf separatem Server
    • Windows 2003 Basis oder höher
    • Windows Server 2003 R2 Basis oder höher
    • Windows Server 2008 Basis oder höher
  • SQL Server (Die folgenden Versionen von SQL Server werden unterstützt.)
    • SQL Server 2000 oder SQL Server 2000 MSDE mit SP3a oder höher

      Wenn Sie MSDE verwenden, ist die maximale Größe der Datenbank 2 GB. Wenn Sie den Microsoft SQL Server 2000 verwenden, gilt nur die vom Administrator festgelegte maximale Größe.

    • SQL Server 2005 oder SQL Server 2005 Express

      Bei SQL Server 2005 Express beträgt die maximale Datenbankgröße 4 GB. Wenn Sie den Microsoft SQL Server 2005 verwenden, gilt nur die vom Administrator festgelegte maximale Größe.

    • SQL Server 2008 oder SQL Server 2008 Express

      Bei SQL Server 2008 Express beträgt die maximale Datenbankgröße 4 GB. Wenn Sie den Microsoft SQL Server 2008 verwenden, gilt nur die vom Administrator festgelegte maximale Größe.

Copyright

Copyright © 2009 Sophos Group. Alle Rechte vorbehalten. Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch gespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie verfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung mit dem Lizenzvertrag reproduziert werden darf, oder Sie haben eine schriftliche Genehmigung des Copyright-Inhabers.

Sophos und Sophos Anti-Virus sind eingetragene Marken von Sophos Plc und der Sophos Group. Alle anderen Produkt- und Unternehmensbezeichnungen sind Marken oder eingetragene Marken der jeweiligen Inhaber.