Für die Initialverschlüsselung mit volume-basierender Verschlüsselung steht nun ein neuer, optimierter Verarbeitungsmodus zur Verfügung, der in der Regel zu einer erheblichen Reduzierung der Dauer des Initialverschlüsselungsvorgangs führt. Dadurch, dass die Initialverschlüsselung nur auf den Fesplattenspeicherplatz, der tatsächlich „in Gebrauch“ ist (im Gegensatz zum gesamten verfügbaren Festplattenspeicherplatz), beschränkt wird, lässt sich die Leistung erheblich steigern. Die Steigerung ist natürlich abhängig vom Prozentsatz des Festplattenspeicherplatzes, der sich in Gebrauch befindet. Dieser neue Verarbeitungsmodus lässt sich zusammen mit anderen Verschlüsselungsrichtlinieneinstellungen steuern. Standardmäßig ist der Modus deaktiviert.

1.1.2 Optimierte Verschlüsselungsleistung

Durch eine neue, optimierte Implementation des AES256 Verschlüsselungsalgorithmus wird eine verbesserte Runtime-Leistung beim Zugriff auf verschlüsselte Daten erreicht.

1.2 Was ist in der SDE 5.50 Release enthalten

1.2.1 Neue Architektur – basierend auf SafeGuard Enterprise

Im Vergleich zur letzten Version 4.60 ist Sophos SafeGuard Disk Encryption 5.50 ein völlig neues Produkt, das auf der SafeGuard Enterprise Architektur basiert. Version 5.50 bietet eine neue Power-on Authentication (POA) mit graphischer Benutzeroberfläche, Local Self Help für Recovery-Vorgänge bei vergessenen Kennwörtern sowie einen ganz neuen Policy Editor. Für die Benutzerkonten werden nun in der POA die Windows-Anmeldedaten anstelle von speziellen SDE-Kennwörtern verwendet. Vorhandene Installationen von SDE 4.60 lassen sich unter Windows XP ohne erneute Verschlüsselung aktualisieren. Wenn Sie derzeit SDE 4.60 einsetzen, empfehlen wir, vor der Durchführung der Aktualisierung die Version 5.50 zunächst auf einem neu eingerichteten Computer zu installieren und das Kapitel zur Produktaktualisierung in der Administrator-Hilfe zu lesen, um die neue Version kennenzulernen. Sie können auch auf den bereits vorhandenen Computern weiterhin SDE 4.60 verwenden und die Version 5.50 nur bei neu installierten Clients verwenden, um Aktualisierungsaufwand bei vorhandenen Clients zu vermeiden.

1.2.2 Erweiterte Windows-Unterstützung: 64 Bit und Windows 7

Sophos SafeGuard Disk Encryption 5.50 unterstützt die 32-Bit- und 64-Bit-Versionen von Microsoft Windows Vista und Microsoft Windows 7 sowie die 32-Bit-Version von Windows XP in vollem Umfang. Der SafeGuard Policy Editor unterstützt die 32-Bit- und 64-Bit-Versionen von Windows Server 2003 und Windows Server 2008/R2.

1.2.3 Service Accounts

In Sophos SafeGuard Disk Encryption 5.50 können Sie Benutzer in Service Account Listen aufnehmen. Werden diese Listen auf einen neu eingerichteten Client-Computer angewendet, auf dem die POA noch nicht aktiviert ist, so werden die in der Liste enthaltenen Benutzer nicht zur POA-Benutzerliste hinzugefügt. Die Benutzer werden nicht als Besitzer des Computers definiert und aktivieren auch nach der Anmeldung an Windows nicht die POA. Somit können die Benutzer auf dem Computer ohne Auswirkungen auf die Sophos SafeGuard Disk Encryption Konfiguration Service-Aufgaben ausführen und ihn konfigurieren, bevor dieser dem jeweiligen Besitzer übergeben wird. Dies ist häufig in Rollout-Situationen notwendig.

1.2.4 “Nur POA”-Benutzerkonten

Sophos SafeGuard Disk Encryption 5.50 bietet spezielle Benutzerkonten (erkennbar an ihrer Zugehörigkeit zu einer speziellen virtuellen “<POA>” Domäne), mit deren Hilfe sich z. B. Administratoren an einen durch die POA geschützten Computer anmelden können, ohne dass ihnen die Benutzerdaten eines regulären Benutzers des Computers bekannt sein müssen. Sie müssen sich auch nicht selbst als regulärer Benutzer an den Computern registrieren. Diese Benutzer sind immer dazu berechtigt, den Computer von externen Medien aus zu booten. Wenn sie sich an Windows anmelden, werden dadurch nicht die Standardanmeldevorgänge des Sophos SafeGuard Disk Encryption Client ausgelöst. So wird der jeweilige Benutzer zum Beispiel nicht bei SDE registriert, egal welche Benutzerdaten für die Windows-Anmeldung verwendet wurden.

1.2.5 Optimierte Hardware-/Betriebssystem-Kompatibilität

Die Kompatibilität von Sophos SafeGuard Disk Encryption wurde optimiert, z. B.:

Fehlertoleranz für USB-Geräte, die USB-Spezifikationen nicht erfüllen.
Optimierte Leistung des Erstverschlüsselungsvorgangs unter Windows Vista oder  Windows 7.
Erweiterte Hardware-Kompatibilitäts-Liste im Installer. Aktuelle Änderungen finden Sie im folgenden Wissensdatenbankartikel: http://www.sophos.com/support/knowledgebase/article/65700.html

1.2.6 Windows PE Recovery-CD (virtueller Client)

Die erweiterten Recovery-Funktionen für mit SafeGuard Enterprise verschlüsselte Festplattenlaufwerke,  z. B. das Booten einer Windows POA Recovery-Umgebung im Fall eines beschädigten, falsch konfigurierten Betriebssystems, stehen nun auch für Sophos SafeGuard Disk Encryption 5.50 Clients zur Verfügung.

1.2.7 Vereinfachte Installation und Schlüssel-Backup

Recovery-Dateien für Sophos SafeGuard Disk Encryption lassen sich nun nach Wunsch des Administrators einfach automatisch auf einer zentralen Netzwerkfreigabe sammeln. Darüber hinaus stehen nun auch Optionen zur Verfügung, mit denen sich das Unternehmenszertifikat neuer Installationen schnell und einfach sichern und wiederherstellen lässt.

1.2.8 Verschiedene Optimierungen

In Sophos SafeGuard Disk Encryption wurden verschiedene weitere Optimierungen in den Bereichen Benutzerfreundlichkeit, Speichernutzung, Leistung, Schlüsselverwaltung und Handhabung vorgenommen. Diese Umfassen u. a. folgende Optimierungen:

Optimierte Benutzeroberfläche und Benutzung, z. B. akkurate und umfassende Anzeige des Benutzerstatus im Tray Icon des Clients.
SGNState liefert nun auch die Version des SDE Client.
Für den Ausnahmefall einer fehlgeschlagenen Installation, die dazu führt, dass der Computer in der POA hängt, steht nun ein Tool zur Verfügung, mit dem sich die Installation rückgängig machen lässt.
Über eine konfigurierbare Richtlinie lässt sich nun auf der Client-Seite ein Kennwort für die Deinstallation von lokalen Administrator-Benutzern anfordern. Dies gilt nur für Sophos Endpoint Security Pakete ab Version 9.5.
Die Gültigkeitsdauer für eine Challenge/Response-Sitzung wurde auf 30 Minuten angehoben. Die Verzögerung für einen erneuten Kennworteingabeversuch erhöht sich jetzt um den Potenzfaktor 2 (ehemals 3). Diese Maßnahmen reduzieren die Auswirkungen für den Benutzer, wenn er sein Kennwort vergessen hat. Die Sicherheit verringert sich dadurch in keinster Weise.
Die Unternehmenszertifikate früherer Installationen lassen sich nun während des Einrichtungsvorgangs für Recovery-Zwecke importieren.
Verschiedene Leistungs-,Sicherheits- und Kompatibilitätsoptimierungen im gesamten Produkt einschließlich aller seit SafeGuard Enterprise 5.40 herausgegebenen Hotfixes.

2 Wo beginnen? Überblick über die Installationsdateien

Sophos SafeGuard Disk Encryption besteht aus zwei Datei-Sets: ein Set für die Installation der Verschlüsselungssoftware auf Endpoint-Computern (Client) und ein zweites für die Installation der Administrationssoftware (SafeGuard Policy Editor). Wir empfehlen, zunächst den SafeGuard Policy Editor zu installieren.

So installieren Sie das Produkt:

1. Lesen Sie die Startup-Anleitung: doc\ssg_55_sgeng.pdf

2. Lesen Sie die Readme-Datei: install\readsde_5_eng.html

3. Installieren Sie den SafeGuard Policy Editor auf dem Administrator-Computer. Folgende Dateien gehören zur SafeGuard Policy Editor Installation:

· install\dotnetfx35.exe  Microsoft .Net Framework, erforderlich für den SafeGuard Policy Editor, falls noch nicht im Administrator-System vorhanden.

· install\SQLEXPR .exe  Microsoft SQL Express Datenbank, erforderlich für den SafeGuard Policy Editor, falls noch nicht im Administrator-System vorhanden.

· install\SDEPolicyEditor.msi

4. Konfigurieren Sie die initiale Richtlinie, indem Sie die Standard-Richtline im SafeGuard Policy Editor an Ihre spezifischen Anforderungen anpassen und speichern Sie diese in einer Datei (weitere Details finden Sie in der Administrator-Hilfe).

5. Installieren Sie die Verschlüsselungssoftware und die Richtlinie auf einem oder mehreren Clients. Die folgenden Dateien gehören zur Client-Seite der Installation:

· install\SGxClientPreinstall .msi  Installiert einen Microsoft-Patch, der für die SDE Client Installation erforderlich ist.

· install\SDEClient.msi
für 32-Bit Windows-Betriebssysteme oder
install\SDEClient_x64.msi
für 64-Bit Windows-Betriebssysteme

· <Speicherort der Policy-Datei>\Default Package.msi  (oder der Name, den Sie der Datei beim Speichern gegeben haben) Diese Richtlinie steuert die Verschlüsselung auf dem Client gemäß den von Ihnen gewählten Optionen.

Hinweise:

· Wenn Sie bereits SDE 4.60 einsetzen, empfehlen wir, SDE 5.50 zunächst auf neuen Computern zu installieren, um die neue Version kennenzulernen, bevor Sie entscheiden, ob Sie die Aktualisierung von vorhandenen SDE 4.60 Installationen durchführen.

· Für das Installieren der Software sind administrative Rechte erforderlich.

· Wenn Sie eine Aktualisierung von SafeGuard Easy 4.x durchführen, lesen Sie bitte die entsprechenden Abschnitte in der Administrator-Hilfe sowie die entsprechenden Wissensdatenbankartikel.

3 Allgemeine Informationen

3.1 SafeGuard Policy Editor

Hardware:

Intel oder AMD X86 CPU

512 MB RAM

1 GB freier Festplattenspeicherplatz (empfohlen)

Software:

Microsoft Windows Betriebssystem Deutsch, Englisch, Französisch oder Japanisch

· XP SP2 SP3 32 Bit

· Vista SP1 SP2 32 Bit 64 Bit

· 7 32 Bit 64 Bit

· 2003 Server SP1 SP2 32 Bit 64 Bit

· 2003 Server R2 SP1 SP2 32 Bit 64 Bit

· 2008 Server SP1 SP2 32 Bit 64 Bit

· 2008 Server R2 64 Bit

Microsoft ASP.net

· .NET Framework 3.0 SP1

Der Windows-Benutzer muss über Lese-/Schreibzugriff für die Datenbank mit einer der folgenden Authentisierungsmethoden verfügen:

· Windows NT Authentisierung

· SQL-Datenbank-Authentisierung

Getestete X.509-Zertifikate

Microsoft PKI (Länge 384 bis 4096 Bit – aus Sicherheitsgründen werden jedoch mindestens  2048 Bit empfohlen)
MS Base Cryptographic Provider 1.0
MS Strong Cryptographic Provider
OpenSSL

3.2 Sophos SafeGuard Disk Encryption Client

Hardware:

Intel oder AMD X86 CPU
512 MB RAM (Minimum), 1 GB wird für Windows Vista/7 empfohlen
Für die Installation sind mindestens 300 MB freier Festplattenspeicherplatz erforderlich. Für Device Encryption müssen mindestens 100 MB des freien Festplattenspeicherplatzes einen zusammenhängenden Bereich bilden. Wenn Ihnen weniger als 5 GB Festplattenspeicherplatz zur Verfügung stehen und Ihr Betriebssystem nicht neu installiert ist, führen Sie bitte eine Defragmentierung durch. Dadurch erhöhen Sie die Chancen, dass der benötigte zusammenhängende Bereich verfügbar ist. Andernfalls schlägt die Installation fehl, da nicht genügend zusammenhängender Speicherplatz vorhanden ist. In diesem Fall kann die Installation nicht unterstützt werden.

Microsoft Windows Betriebssysteme:

XP SP2 SP3 32 Bit

Vista SP1 SP2 32 Bit 64 Bit Enterprise/Ultimate/Business/Home Premium
7 32 Bit 64 Bit Enterprise/Ultimate/Professional/Home Premium

Software:

Internet Explorer ab Version 6.0

3.3 Zusammenfassung der Aktualisierungs-Szenarien

SDE Aktualisierungs-Matrix
	Aktualisierung von
Aktualisierung auf	SGE 4.x x >= 50	SDE 4.60	SGN Standalone 5.35, 5.40, 5.50	SGN Managed 5.35, 5.40, 5.50
SDE 5.50	l	l
SGE 5.50	l	l
SGN 5.50	l	l	l	l
SGN 5.50.8	l	l	l	l

Legende:

l Aktualisierung unterstützt

Unterstützte Algorithmen

Für die Aktualisierung von SGE 4.x werden folgende Algorithmen unterstützt: IDEA, 3DES, AES 128, AES 256

Migration von SGE 4.x/SDE 4.60 auf SDE 5.50
Für diese Migrations-Szenarien benötigt der Benutzer ein gültiges Windows-Konto. Falls der Benutzer sein Windows-Kennwort nicht weiß, weil er SAL für die Windows-Anmeldung verwendet, muss das Windows-Kennwort des Benutzers zurückgesetzt werden. Das neue Kennwort muss dem Benutzer mitgeteilt werden. Bitte lesen Sie vor der Aktualisierung den entsprechenden Abschnitt in der Administrator-Hilfe.

3.4 SDE – Windows Betriebssystemunterstützung

	SDE – Microsoft Windows Plattformunterstützung
						SDE 5.50
						Client	Policy Editor
XP Professional Edition				SP2 SP3	32 Bit	l	.NET 3.0¹
Vista Home Premium Business Enterprise Ultimate				SP1 SP2	32 Bit	l	.NET 3.0¹
Vista Home Premium Business Enterprise Ultimate				SP1 SP2	64 Bit	l	.NET 3.0¹
7 Home Premium Professional Enterprise Ultimate					32 Bit	l	NET 3.0¹
7 Home Premium Professional Enterprise Ultimate					64 Bit	l	NET 3.0¹
Server 2003 / R2		.NET 3.0	IIS 6	SP1 SP2	32 Bit 64 Bit		l l
Server 2008 Server 2008 R2		.NET 3.0	IIS 7,0 IIS 7,5	SP1	64 Bit 64 Bit		l l

¹ .Net 3.0 SP1 erforderlich

Hinweis 1:
Sophos SafeGuard Disk Encryption kann auf Systemen installiert werden und unterstützt Systeme, die mit Solid State Disks (SSDs) ausgestattet sind.

Hinweis 2:
Sophos SafeGuard Disk Encryption kann auch in Virtualisierungsumgebungen installiert und benutzt werden. Bitte beachten Sie, dass Interoperabilitäts-Probleme in Bezug auf die Verschlüsselung von Geräten, die über den USB Bus angeschlossen sind, auftreten können. Je nach Virtualisierungsumgebung und angeschlossenem Gerät kann dies zu einem Systemfehler führen.

4 Gelöste Probleme (SDE Release 5.50.x im Vergleich zu SGN Release 5.40)

4.1 SafeGuard Policy Editor

Beim Anhängen von Informationstextdateien wurde keine neue Zeile eingefügt, was zu unerwünschten Verkettungen führte.

4.2 Sophos SafeGuard Disk Encryption Client

Device Encryption

- In einigen Fällen war der POA-Autologon beschädigt.

- Im Installer fehlte eine POACFG Property.

- Falsche Protokolleinträge gaben an, dass ein Laufwerk entschlüsselt wurde. Tatsächlich wurde es jedoch verschlüsselt.

5 Bekannte Probleme

5.1 Sophos SafeGuard Disk Encryption 5.50 Release

Auf den Windows Vista und Windows 7 Plattformen fordert der Installer den Benutzer bei der Aktualisierung des Client von SafeGuard Enterprise 5.35 oder einer neueren Version auf Sophos SafeGuard Disk Encryption 5.50 dazu auf, einige laufende Prozesse zu beenden. Diese Aufforderung kann und sollte ignoriert werden. Wird diese Aufforderung vor allem bei Windows 7 nicht ignoriert, so stürzt der Windows Explorer nach dem nächsten Neustart ab.
Der Sophos SafeGuard Disk Encryption Installationsvorgang muss im Rahmen einer Anmeldesitzung eines Windows-Administrators gestartet werden. Das Starten der Installation über “Als Administrator ausführen” wird nicht unterstützt.
Benutzung der Feststelltaste in der POA: Bitte beachten Sie, dass die Feststelltaste in der POA nur die Groß/Kleinschreibung der Buchstaben ändert. Sie hat keine Auswirkung auf die Nummernreihe auf der Tastatur. Es wird empfohlen, die Umschalttaste für die Eingabe von Kennwörtern zu verwenden und sich nicht auf die Funktionalität der Feststelltaste zu verlassen, da diese u. U. je nach Anwendung variiert.
Während der Deinstallation des Client, die auch die Entschlüsselung verschlüsselter Volumes umfasst, sollte der Computer nicht heruntergefahren oder neu gestartet werden. Andernfalls wird gibt der Deinstaller eine Fehlermeldung aus.

Ist in einer Richtlinie vom Typ “Authentisierung” die Sperroption “Bildschirm nach dem Fortsetzen sperren” auf JA/NEIN eingestellt, so wird die Richtlinie nicht an den Sophos SafeGuard Disk Encryption Client übertragen.
Der Konfigurationsassistent für die Erstkonfiguration des SafeGuard Policy Editor schlägt fehl, wenn er von einem lokalen Benutzer auf einem Windows Vista Computer gestartet wird.
Importierte externe Schlüssel dürfen keine XML-Sonderzeichen enthalten, z. B. ‘<’, ’>’, ’&’, ‘\’, ‘”’.
Das von Microsoft mit Windows CE 6.0 und Windows Vista Service Pack 1 eingeführte exFAT Dateisystem wird von Sophos SafeGuard Disk Encryption nicht unterstützt.

5.2 SafeGuard Policy Editor

· Durch Deinstallation des SDE Client auf der PE Maschine kann der PE nicht mehr benutzt werden.
Wenn SafeGuard Policy Editor auf einer Maschine mit einer SDE Client-Installation läuft, verursacht eine Client-Deinstallation, dass der PE nicht mehr benutzt werden kann. Dieses Problem tritt unabhängig davon auf, in welcher Reihenfolge die beiden Module installiert werden. Wenn Sie den PE weiterhin auf einer solchen Maschine benutzen möchten, müssen Sie eine Neuinstallation durchführen.

· SafeGuard Policy Editor Konfiguration kann durch eingeschränkte SQL-Server-Standardberechtigungen fehlschlagen. Wenn Sie den SafeGuard Policy Editor auf einer Windows Vista oder einer Windows 7 Maschine installieren, stellen Sie sicher, dass Sie über alle erforderlichen administrativen Berechtigungen für den entsprechenden SQL Server oder die SQL Express Database Engine verfügen.

·         Schemata für die Datenbankbenennung Die SDE Datenbanknamen sollten dem folgenden Namensschema entsprechen, um Lokalisierungsprobleme zu vermeiden.

SGN Datenbanknamen sollten nur folgende Bestandteile enthalten:
            - Zeichen (A - Z, a - z)
            - Ziffern (0 - 9)
            - Unterstriche (_)

· Ist auf einer SDE Client-Maschine ein SafeGuard Policy Editor installiert, so müssen beide Komponenten (Client + PE) auf SDE 5.50 aktualisiert werden, wobei der Client zuerst aktualisiert werden muss. Wenn Sie nur den SafeGuard Policy Editor aktualisieren, kann dies zu fehlgeschlagenen Anmeldungen auf Windows-Ebene führen.

· Mögliche Konfiguration von SQL-Datenbank-Zugriffsmethoden:
Die Option Windows NT Authentisierung erfordert weitere obligatorische, von Microsoft empfohlene Konfigurationsschritte (suchen Sie in der Sophos Wissensdatenbank bitte nach “SGN & service account”). Die SQL-Authentisierung ist ein weniger komplexes Verfahren. Für diese Option ist keine zusätzliche Konfiguration notwendig.

· Zertifikate, die vom Kunden zur Verfügung gestellt und in den SafeGuard Policy Editor importiert werden, werden derzeit nicht gemäß RFC3280 verifiziert. So wird z. B. nicht verhindert, dass Signatur-Zertifikate für Verschlüsselungszwecke benutzt werden.

· Überlappende Richtlinien, die einer Gruppe zugeordnet sind, können zu einer falschen Ermittlung der Prioritäten führen. Bitte verwenden Sie separate Richtlinieneinstellungen.

· Wenn Sie eine minimale Kennwortgültigkeitsdauer von unter 2 Tagen zulassen möchten, ändern Sie bitte nicht die Einstellung von “Kennwortänderung erlaubt nach mindestens (Tage)”. Nach einer Änderung beträgt die Mindestgültigkeitsdauer 2 Tage.

· Auf Maschinen die für eine andere Auflösung als 96 DPI konfiguriert sind, treten einige GUI-Layout-Probleme auf.

· Nach der Aktualisierung einer SDE-Datenbank auf Version 5.50 zeigen alte SafeGuard Policy Editor Versionen einen Fehler an. Sie müssen ebenfalls aktualisiert werden.

· Bei der Durchführung einer Deinstallation verbleiben u. U. einige Dateien und Registry-Einträge auf dem Computer. Informationen zur manuellen Säuberung der Installation finden Sie in der Sophos Wissensdatenbank (Stichwörter “SGN & uninstall”). Die Säuberung ist notwendig, damit SDE auf dem Computer erneut installiert werden kann.

· In seltenen Fällen können Probleme in Bezug auf zeitlichen Ablauf und/oder Konfiguration mit lokalen SQL Server Express Editions auftreten. Die Konfiguration der SafeGuard Datenbank in Verbindung mit der SQL Server Authentisierung funktioniert u. U. nicht. Ist dies der Fall, so empfehlen wir die Anwendung der Windows-Authentisierung mit SQL Server Express.

·         In seltenen Fällen können bei der Ausführung einer Berichtabfrage auf einer Datenbank mit mehreren 100,000 Ereignissen Timeout-Probleme auftreten. Ist dies der Fall, so lässt sich das Problem u. U. durch eine Erhöhung des Timeout-Werts über die folgende Registry-Einstellung beheben:

            Hive:    HKEY_LOCAL_MACHINE
            Key:     SOFTWARE\Utimaco\SafeGuard Enterprise\Internal Settings
            Value Name:    TimeOut (DWORD)
            Value: 1…30000 [milliseconds]

5.3 Sophos SafeGuard Disk Encryption Client

· BitLocker To Go – verschlüsselte Geräte können SDE Installation verhindern 
Wenn ein mit BitLocker To Go verschlüsselter USB-Stick während der Installation von Sophos SafeGuard Disk Encryption mit dem Computer verbunden ist, schlägt die Installation fehl. Die Ursache hierfür ist, dass Windows das System als BitLocker-aktiviert identifiziert. Dies ist eine gültige Bedingung für den Fehlschlag einer SDE Client-Installation. Entfernen Sie daher vor der Installation von SDE mit BitLocker To Go verschlüsselte Geräte.

· Local Self Help 
Die Recovery-Option Local Self Help wird in der POA für Benutzer, die sich mit Token oder Fingerabdruck anmelden können, nicht angezeigt. LSH funktioniert nur dann, wenn sich der Benutzer an der POA mit Benutzer-ID und Kennwort anmeldet.

·         Delay Write Errors während Erstverschlüsselung 
Während der Installation von Sophos SafeGuard Disk Encryption gibt das Betriebssystem  u. U. Delayed Write Failures aus. Dies geschieht unmittelbar nach Installation des Kernel auf dem Dateisystem. Diese Fehler können durch die parallele Ausführung mehrerer I/O-Vorgänge während des nächsten Neustarts unmittelbar nach dem Modifizieren des Dateisystems ausgelöst werden.

Lösung:
Eine alternatives Verfahren für die Installation des Sophos SafeGuard Disk Encryption Kernel lässt sich durch Hinzufügen eines Registry-Werts durchsetzen.

            Hive:    HKEY_LOCAL_MACHINE
            Key:     System\CurrentControlSet\Control\Session Manager
Value Name:    AllocMode (DWORD)
            Value:   1  Dieser Registry-Wert sollte vor dem Einrichten von Sophos SafeGuard Disk Encryption hinzugefügt werden

· Novell Client  
Um den SDE Client in Verbindung mit einem Novell Client zu benutzen, sind einige projektspezifische Anpassungen notwendig. Weitere Informationen hierzu erhalten Sie vom Sophos Support.

· Schnelle Benutzerumschaltung 
Die schnelle Benutzerumschaltung wird nicht unterstützt und muss deaktiviert werden.

Eingebautes Diskettenlaufwerk 
Nach der Installation von Sophos SafeGuard Disk Encryption unter Windows Vista ist das eingebaute Diskettenlaufwerk nicht mehr verfügbar. Diese Einschränkung gilt nicht für externe Diskettenlaufwerke, die über den USB-Bus angesteckt werden.

· Für den Start des Computers benötigte Zeit 
Die Zeit, die für den Start des Computers benötigt wird, erhöht sich nach der Installation der SDE Client Software um ca. eine Minute.

· Verschlüsselung ‘virtueller Laufwerke’ 
Virtuelle Laufwerke, die auf dem Client-Computer bereitgestellt werden (z. B. VHD-Datei in Windows mit MS Virtual Server Mounter) werden als lokale Festplattenlaufwerke betrachtet. Ihr Inhalt wird daher ebenfalls verschlüsselt, wenn eine Verschlüsselungsrichtlinie für „andere Volumes“ definiert wird.

· Volume-basierende Verschlüsselung kann nicht in Verbindung mit BitLocker verwendet werden. Der SDE Client Setup lässt eine gleichzeitige Installation beider Features nicht zu.

· Während der Erstverschlüsselung der Systempartition (d. h. der Partition, auf der sich die Datei hiberfil.sys befindet), kann das Versetzen in den Ruhezustand fehlschlagen und sollte daher vermieden werden. Nach der Erstverschlüsselung der Systempartition muss der Computer neu gestartet werden, damit die Ruhezustandfunktion wieder problemlos angewendet werden kann.

· Es wird empfohlen, einen SDE Client PC nach der Aktivierung der Power-on Authentication mindestens einmal neu zu starten. Sophos SafeGuard Disk Encryption erstellt bei jedem Windows-Start eine Sicherungskopie seiner Kerneldaten. Diese Sicherungskopie wird nicht erstellt, wenn der PC nur in den Ruhezustand oder in den Standby-Modus versetzt wird.

· Die zugelassene Höchstanzahl an registrierten SDE-Benutzern auf einem Client beträgt 200.
Bitte beachten Sie auch die folgenden Höchstwerte für die Größen von Dateien, die über Richtlinien auf den Client importiert werden.

o Textdateien sollten nicht größer als 50 KB sein.

o Banner-Bitmaps sollten nicht größer als 100 KB sein.

o Hintergrund-Bitmaps sollten nicht größer als 500 KB sein.

Hinweis:
Die Anzahl an zugewiesenen Benutzern, insbesondere in Kombination mit einer großen Anzahl an Gruppen-Mitgliedschaften, hat eine spürbare Auswirkung auf die SDE Server Leistung.

· Microsoft Windows XP weist eine technische Einschränkung in Bezug auf den Kernel Stack auf. Wenn mehrere Dateisystemfiltertreiber (z. B. Antivirus-Software) installiert sind, reicht der Speicher u. U. nicht aus. In diesem Fall kann ein BSOD auftreten. Sophos kann für diese Windows-Einschränkung nicht haftbar gemacht werden und kann dieses Problem auch nicht beheben.

· Bei der volume-basierenden Verschlüsselung werden Volumes, die sich auf "Dynamic Disks" oder “GPT Disks” befinden, nicht unterstützt.

· Wenn eine Deinstallation des SDE Client über Active Directory ausgelöst wird, muss sichergestellt werden, dass alle volume-basierend verschlüsselten Volumes zuvor korrekt entschlüsselt wurden.

· Die Kompatibilität mit Imaging Tools wurde nicht getestet und wird daher nicht unterstützt.

· Sonderzeichen (z. B. ä, ö, ü,…) müssen auf POA-Ebene unter Beachtung der Groß-/Kleinschreibung eingegeben werden.

· Einige Computer lassen sich nach dem Booten der POA von der Festplatte nicht mehr von einer Diskette booten. Dies ist eine Einschränkung der BIOS-Implementation dieser Computer und kann von Sophos nicht gelöst werden.

· Bei der Verwendung von Sonderzeichen in den rechtlichen Hinweisen für die POA sollte vorsichtig vorgegangen werden. Einige dieser Zeichen werden u. U. nicht korrekt dargestellt.

· Es wird empfohlen, vor der Verschlüsselung einer Partition mit volume-basierender Verschlüsselung chkdsk c: /f /v /l /x auszuführen, um jeden Sektor der Partition einzubeziehen. Die Firmware der Festplatte ersetzt dann jeden defekten Sektor, bevor SDE versucht, ihn zu verschlüsseln.

· Wenn Sie SafeGuard Portable in Kombination mit dem SDE Client benutzen, muss der Algorithmus AES-256 für die Verschlüsselung von Wechselmedien verwendet werden.

· Die volume-basierende Verschlüsselung von Sophos SafeGuard Disk Encryption wurde erfolgreich mit Installationen von Sophos Antivirus-Softwareprodukten getestet sowie mit den folgenden Software-Produkten:

AVG
AVG Anti-Virus Netzwerk Edition 8.5.386
Computer Associates
CA Anti-Virus 2009
Bitte verwenden Sie folgenden Registry Key

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\INO_FLTR\Setting]
"Controls"=dword:00000003
F-Secure
F-Secure AntiVirus 2009 (Version 9.00 Build 149)
G-Data
G Data Antivirus 2010 (Version 20.0.1.1)
Kaspersky
Kaspersky Internet Security 2010 (Version 9.0.0.459)
Network Associates
McAfee VirusScan Enterprise Version 8.7.0 i
Scanmodul-Version (32-bit): 5300.2777, DAT-Version: 5381.0000
Norman
Norman Virus Control (Version 5.99)
Symantec
Symantec Endpoint Protection 11.0 (Version 11.0.4000)

Treten während des Startens Probleme auf, so führen Sie folgenden Vorgang aus:

In HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\Storages\ Filesystem\RealTimeScan

Setzen Sie den DWORD Wert KStackMinFree auf 0x2200.

Eine detaillierte Beschreibung des Keys finden Sie hier:

http://service1.symantec.com/support/ent-security.nsf/854fa02b4f5013678825731a007d06af/f5ee041a924af12d8825709d00509eb2?OpenDocument

Trend Micro
Trend Micro Internet Security 2009

· Wenn Sie einen SDE Client deinstallieren, müssen Sie zuerst das Client-Konfigurationspaket deinstallieren.

· Das Tool BE_RESTORE versucht immer, auf disk0 zuzugreifen. Dabei muss es sich nicht unbedingt um die Festplatte handeln, z. B., wenn ein USB-Stick angeschlossen ist oder eine RAM-Disk verwendet wird.

· Das Tool BE_RESTORE weist bei Windows Vista/Windows PE 2.0 einige Einschränkungen auf, wenn die Festplatte noch nicht verschlüsselt ist.

· Für die Anwendung des Tools BE_RESTORE mit Windows PE 2.0 werden mindestens 512 MB Speicher benötigt.

· Ein Disketten-Medienwechsel wird nicht immer korrekt erkannt. Um sicherzustellen, dass der Medienwechsel erkannt wird, versuchen Sie, auf das Diskettenlaufwerk zuzugreifen, ohne dass sich ein Medium im Laufwerk befindet (z. B. mit dem Explorer).

· Bis Service Pack 2 wies Windows XP auf manchen Computern das Problem auf, dass nach der Reaktivierung aus dem Standby-Modus nicht ein gesperrter Desktop, sondern direkt der Benutzerdesktop angezeigt wurde. Dieses Problem trat auch auf Computern mit Sophos SafeGuard Disk Encryption auf. Das Problem sollte mit Windows XP SP3 behoben sein.

· In sehr seltenen Fällen endet das Einrichten des SDE Device Encryption Client mit dem Fehler 5001. Dies bedeutet, dass Ihre Festplatte für die Installation der Software zu fragmentiert ist. Der SDE Kernel benötigt 96 MB zusammenhängenden, freien Festplattenspeicherplatz auf der ersten Festplatte.

· Die Durchsetzung der Sophos SafeGuard Disk Encryption Richtlinieneinstellung Kennworthistorie kann während des Kennwortwechsels vom Benutzer durch Durchsetzung des Systemadministrators umgangen werden.

· Benutzer, deren Benutzer-IDs Umlaute enthalten, die nicht auf dem ausgewählten Tastaturlayout zur Verfügung stehen, können sich nicht an der POA anmelden.

Im Pre-Boot Authentication Modul werden die folgenden Tastaturlayouts unterstützt. "x" bedeutet, dass die Sprache vollständig unterstützt wird. Alle anderen Sprachen nehmen den angegebenen Standard an. Wenn Benutzer eine nicht unterstützte Tastatur benutzen, die als Standard die US-Tastatur annimmt, sollten keine Sonderzeichen in Kennwörtern verwendet werden.

Sprachen-ID Tastatur Sprache / Anmerkungen

====================================================================

0x0000 US Sprache neutral

0x0400 US Prozess- oder Benutzerstandardsprache

0x0800 US Systemstandardsprache

0x0401 US Arabisch (Saudi-Arabien)

0x0801 US Arabisch (Irak)

0x0c01 US Arabisch (Ägypten)

0x1001 US Arabisch (Libyen)

0x1401 US Arabisch (Algerien)

0x1801 US Arabisch (Marokko)

0x1c01 US Arabisch (Tunesien)

0x2001 US Arabisch (Oman)

0x2401 US Arabisch (Jemen)

0x2801 US Arabisch (Syrien)

0x2c01 US Arabisch (Jordanien)

0x3001 US Arabisch (Libanon)

0x3401 US Arabisch (Kuwait)

0x3801 US Arabisch (Vereinigte Arabische Emirate)

0x3c01 US Arabisch (Bahrain)

0x4001 US Arabisch (Katar)

US Arabisch (102) AZERTY

X 0x0402 BG Bulgarisch Kein Font verfügbar

0x0403 ES Katalanisch

0x0404 US Chinesisch (Taiwan) Kein Font verfügbar

0x0804 US Chinesisch (PRC) Kein Font verfügbar

0x0c04 US Chinesisch (Hong Kong SAR, PRC) “

0x1004 US Chinesisch (Singapur) Kein Font verfügbar

0x1404 US Chinesisch (Macao SAR) (98/ME,2K/XP)

X 0x0405 cz Tschechisch

X 0x1402 cz_qwerty Tschechisch (QWERTY)

US Tschechisch (Programmers)

X 0x0406 dk Dänisch

X 0x0407 de Deutsch (Standard)

X 0x0807 de_CH Deutsch (Schweiz)

0x0c07 de Deutsch (Österreich)

0x1007 de Deutsch (Luxemburg)

0x1407 de Deutsch (Liechtenstein)

X 0x0408 el Griechisch Kein Font verfügbar

X 0x0409 us Englisch (USA)

X 0x0809 gb Englisch (United Kingdom)

0x0c09 us Englisch (Australien)

0x1009 us Englisch (Kanada)

0x1409 us Englisch (Neuseeland)

X 0x1809 ie Englisch (Irland)

0x1c09 US Englisch (Südafrika)

0x2009 US Englisch (Jamaika)

0x2409 US Englisch (Karibik)

0x2809 US Englisch (Belize)

0x2c09 US Englisch (Trinidad)

0x3009 US Englisch (Zimbabwe) (98/ME,2K/XP)

0x3409 US Englisch (Philippinen) (98/ME,2K/XP)

X 0x040a ES Spanisch (Spanien, Traditional Sort)

0x080a ES Spanisch (Mexiko)

0x0c0a ES Spanisch (Spanien, Modern Sort)

0x100a ES Spanisch (Guatemala)

0x140a ES Spanisch (Costa Rica)

0x180a ES Spanisch (Panama)

0x1c0a ES Spanisch (Dominikanische Republik)

0x200a ES Spanisch (Venezuela)

0x240a ES Spanisch (Kolumbien)

0x280a ES Spanisch (Peru)

0x2c0a ES Spanisch (Argentinien)

0x300a ES Spanisch (Ecuador)

0x340a ES Spanisch (Chile)

0x380a ES Spanisch (Uruguay)

0x3c0a ES Spanisch (Paraguay)

0x400a ES Spanisch (Bolivien)

0x440a ES Spanisch (El Salvador)

0x480a ES Spanisch (Honduras)

0x4c0a ES Spanisch (Nicaragua)

0x500a ES Spanisch (Puerto Rico)

X 0x040b fi Finnisch

US Finnisch (mit Sami)

X 0x040c fr Französisch (Standard)

X 0x080c be Französisch (Belgien)

0x1080c be Belgien(Comma)

X 0x0c0c ca_enhanced Französisch (Kanada)

US Französisch (Kanada, Legacy)

US Kanada (Multilingual)

X 0x100c fr_CH Französisch (Schweiz)

0x140c fr_CH Französisch (Luxemburg)

0x180c fr Französisch (Monaco) (98/ME,2K/XP)

0x040d US Hebräisch

X 0x040e hu Ungarisch

X 0x040f is Isländisch

X 0x0410 it Italienisch (Standard)

0x0810 it Italienisch (Schweiz)

X 0x0411 jp Japanisch

X 0x0412 ko Koreanisch Kein Font verfügbar

0x0812 US Koreanisch (Johab) (95,NT)

X 0x0413 nl Niederländisch (Niederlande)

X 0x0813 be Niederländisch (Belgien)

X 0x0414 no Norwegisch (Bokmal)

0x0814 no Norwegisch (Nynorsk)

X 0x0415 pl Polnisch Kein Font verfügbar

X 0x0416 br Portugiesisch (Brasilien)

X 0x0816 pt Portugiesisch (Portugal)

X 0x0418 ro Rumänisch

0x0419 US Russisch

0x041a US Kroatisch

0x081a US Serbisch (Latin)

0x0c1a US Serbisch (Cyrillic)

0x101a US Kroatisch (Bosnien und Herzegovina)

0x141a US Bosnisch (Bosnien und Herzegovina)

0x181a US Serbisch (Latin, Bosnien und Herzegovina)

0x1c1a US Serbisch (Cyrillic, Bosnien und Herzegovina)

0x041b sk Slowakisch

0x041c US Albanisch

X 0x041d se Schwedisch

0x081d se Schwedisch (Finnland)

0x041e US Thai

X 0x041f tr Türkisch Kein Font verfügbar

0x0420 US Urdu (Pakistan) (98/ME,2K/XP)

0x0820 US Urdu (Indien)

0x0421 US Indonesisch

0x0422 uk Ukrainisch

0x0423 US Weißrussisch

0x0424 sl Slowenisch

0x0425 US Estisch

0x0426 lv Lettisch

0x0427 lt Litauisch

0x0827 US Litauisch (Classic) (98)

0x0429 US Farsi

0x042a US Vietnamesisch (98/ME,NT,2K/XP)

0x042b US Armenisch. Nur Unicode. (2K/XP)

US Armenisch Eastern

US Armenisch Western

0x042c US Aserbaidschanisch (Latin)

0x082c US Aserbaidschanisch (Cyrillic)

0x042d US Baskisch

0x042f US Mazedonisch (FYROM)

0x0430 US Sutu

0x0432 US Setswana/Tswana (Südafrika)

0x0434 US isiXhosa/Xhosa (Südafrika)

0x0435 US isiZulu/Zulu (Südafrika)

0x0436 US Afrikaans

0x0437 US Georgisch. Nur Unicode. (2K/XP)

0x0438 US Färöisch

0x0439 US Hindi. Nur Unicode. (2K/XP)

0x043a US Maltesisch (Malta)

0x043b US Sami, Northern (Norwegen)

0x083b US Sami, Northern (Schweden)

0x0c3b US Sami, Northern (Finnland)

0x103b US Sami, Lule (Norwegen)

0x143b US Sami, Lule (Schweden)

0x183b US Sami, Southern (Norwegen)

0x1c3b US Sami, Southern (Schweden)

0x203b US Sami, Skolt (Finnland)

0x243b US Sami, Inari (Finnland)

0x043e US Malaiisch (Malaysia)

0x083e US Malaiisch (Brunei Darussalam)

0x0440 US Kyrgyz. (XP)

0x0441 US Suaheli (Kenia)

0x0443 uz Uzbekisch (Latin)

0x0843 US Uzbekisch (Cyrillic)

0x0444 US Tatarisch (Tatarstan)

0x0445 US Bengali (Indien)

US Bengali (Inscript)

0x0446 US Punjabi. Nur Unicode. (XP)

0x0447 US Gujarati. Nur Unicode. (XP)

0x0449 US Tamil. Nur Unicode. (2K/XP)

0x044a US Telugu. Nur Unicode. (XP)

0x044b US Kannada. Nur Unicode. (XP)

0x044c US Malayalam (Indien)

0x044e US Marathi. Nur Unicode. (2K/XP)

0x044f US Sanskrit. Nur Unicode. (2K/XP)

0x0450 US Mongolisch (XP)

0x0452 US Walisisch (United Kingdom)

0x0455 US Burmesisch

0x0456 US Galizisch (XP)

0x0457 US Konkani. Nur Unicode. (2K/XP)

0x045a US Syrisch. Nur Unicode. (XP)

0x0465 US Divehi. Nur Unicode. (XP)

US Divehi (Phonetic)

US Divehi (Typewriter)

0x046b US Quechua (Bolivien)

0x086b US Quechua (Ecuador)

0x0c6b US Quechua (Peru)

0x046c US Sesotho sa Leboa/Nord-Sotho (South Africa)

0x007f US LOCALE_INVARIANT. Siehe MAKELCID.

0x0481 US Maori (Neuseeland)

5.4 SafeGuard LAN Crypt

· SafeGuard LAN Crypt 3.70 ist als erste Version voll mit Sophos SafeGuard Disk Encryption kompatibel. Wenn Sie eine ältere Version von SafeGuard LAN Crypt installieren, empfehlen wir dringend, zunächst eine Aktualisierung auf die aktuelle Version von SafeGuard LAN Crypt durchzuführen.

· Wenn Sie Sophos SafeGuard Disk Encryption 5.50 über eine SafeGuard LAN Crypt Installation installieren, meldet das Installationsprogramm, dass die zu aktualisierende Komponente SGLC Profile Loader derzeit benutzt wird. Diese Meldung wird dadurch verursacht, dass SafeGuard LAN Crypt und Sophos SafeGuard Disk Encryption gemeinsame Komponenten benutzen. Die Meldung kann daher ignoriert werden. Die betroffenen Komponenten werden beim Neustart aktualisiert.

5.5 Probleme im Zusammenspiel mit anderen Produkten

Empirum Security Suite Agent 
Wenn die SDE 5.50 Client Software installiert ist und in Kombination mit der Empirum Security Suite Agent Software verwendet wird, stoppt das System u. U. mit dem folgenden BSOD:

BSOD on system startup with stop code 0x00000044 MULTIPLE_IRP_COMPLETE_REQUESTS  
Dieses Problem wird durch eine Empirum-Software-Komponente verursacht. Es wird in der Empirum Security Suite v5 behoben.
Lenovo Rescue and Recovery 
Informationen zur Kompatibilität von Rescue and Recovery Versionen mit Sophos SafeGuard Versionen finden Sie unter: http://www.sophos.com/support/knowledgebase/article/108383.html.
AbsoluteSoftware Computrace 
SDE kann auf Maschinen, auf denen AbsoluteSoftware Computrace mit der aktivierten Option ‘track-0 based persistent agent’ installiert ist, nicht installiert werden.

5.6 SCSI Festplatten

Sophos SafeGuard Disk Encryption Client 
Der Sophos SafeGuard Disk Encryption Client unterstützt Systeme, die mit über den SCSI-Bus angeschlossenen Festplatten ausgestattet sind, nicht.

6 Technischer Support

Technischen Support zu Sophos Produkten können Sie wie folgt abrufen:

Rufen Sie das SophosTalk-Forum unter http://community.sophos.com/ auf und suchen Sie nach Benutzern mit dem gleichen Problem.
Durchsuchen Sie die Sophos Support-Knowledgebase unter http://www.sophos.de/support/.
Laden Sie Dokumentation zu den Produkten unter http://www.sophos.de/support/docs/ herunter.
Senden Sie eine E-Mail an den technischen Support support@sophos.de und geben Sie die Versionsnummer(n), Betriebssystem(e) und Patch Level Ihrer Sophos Software sowie ggf. den genauen Wortlaut von Fehlermeldungen an.

Oberursel, 4. November 2010

Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch gespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie verfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung mit dem Lizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftliche Genehmigung des Urheberrechtsinhabers.

Sophos ist ein eingetragenes Warenzeichen von Sophos Plc und der Sophos Group. SafeGuard ist ein eingetragenes Warenzeichen von Utimaco Safeware AG - a member of the Sophos Group. Alle anderen erwähnten Produkt- und Unternehmensnamen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Inhaber.

Alle SafeGuard Produkte unterliegen dem Urheberrecht der Utimaco Safeware AG - a member of the Sophos Group, oder, sofern anwendbar, ihrer Lizenzinhaber. Alle weiteren Sophos Produkte unterliegen dem Urheberrecht der Sophos Plc oder, sofern anwendbar, ihrer Lizenzinhaber.

Copyright-Informationen von Drittanbietern finden Sie in der Datei Disclaimer and Copyright for 3rd Party Software.rtf in Ihrem Produktverzeichnis.