Für die Initialverschlüsselung mit volume-basierender Verschlüsselung steht nun ein neuer, optimierter Verarbeitungsmodus zur Verfügung, der in der Regel zu einer erheblichen Reduzierung der Dauer des Initialverschlüsselungsvorgangs führt. Dadurch, dass die Initialverschlüsselung nur auf den Fesplattenspeicherplatz, der tatsächlich „in Gebrauch“ ist (im Gegensatz zum gesamten verfügbaren Festplattenspeicherplatz), beschränkt wird, lässt sich die Leistung erheblich steigern. Die Steigerung ist natürlich abhängig vom Prozentsatz des Festplattenspeicherplatzes, der sich in Gebrauch befindet. Dieser neue Verarbeitungsmodus lässt sich zusammen mit anderen Verschlüsselungsrichtlinieneinstellungen steuern. Standardmäßig ist der Modus deaktiviert.

1.1.3 Optimierte Verschlüsselungsleistung

Durch eine neue, optimierte Implementation des AES256 Verschlüsselungsalgorithmus wird eine verbesserte Runtime-Leistung beim Zugriff auf verschlüsselte Daten erreicht. Da sowohl für die volume-basierende als auch für die dateibasierende Verschlüsselung das gleiche Verschlüsselungsmodul verwendet wird, profitieren beide Module (DE und DX) von dieser Optimierung und zeigen verbesserte Leistung.

1.2 Was ist in der SGN 5.50.1 Release enthalten

1.2.1 Unterstützung der 64-Bit-Plattform für SafeGuard Data Exchange

SafeGuard Enterprise 5.50.1 Data Exchange unterstützt die 32-Bit- und 64-Bit-Versionen von Microsoft Windows Vista und Microsoft Windows 7 sowie die 32-Bit-Version von Windows XP in vollem Umfang.

1.3 Was ist in der SGN 5.50 Release enthalten

1.3.1 Erweiterte Windows-Unterstützung: 64 Bit und Windows 7

SafeGuard Enterprise 5.50 Device Encryption unterstützt die 32-Bit- und 64-Bit-Versionen von Microsoft Windows Vista und Microsoft Windows 7 sowie die 32-Bit-Version von Windows XP in vollem Umfang. Server und Management Center unterstützen die 32-Bit- und 64-Bit-Versionen von Windows Server 2003 und Windows Server 2008/R2.

1.3.2 Local Self Help für SafeGuard Enterprise Clients (Managed) ersetzt Web Selfhelp

Mit Local Self Help können Benutzer, die ihr Kennwort vergessen haben, einen Kennwort-Recovery-Vorgang durchführen, indem sie eine Reihe von zuvor registrierten Fragen beantworten. Eine Unterstützung durch einen zentralen Helpdesk ist hierfür nicht notwendig. Somit lassen sich Helpdesk-Kosten reduzieren. Darüber hinaus können die Benutzer den Computer wieder schneller produktiv nutzen. Die Local Self Help Funktion stand bereits im “Standalone-Modus” von SafeGuard Enterprise in der Version 5.40 zur Verfügung. In der Version 5.50 ist sie nun auch für die zentral verwalteten SafeGuard Enterprise Clients verfügbar. Für neue Kunden steht die SafeGuard Enterprise Zusatzfunktion Web Selfhelp nicht mehr zur Verfügung, da Local Self Help diesen Funktionalitätsbereich effizienter abdeckt.

1.3.3 Web Helpdesk ist nun in der SafeGuard Management Center Lizenz enthalten

Die SafeGuard Enterprise Zusatzfunktion Web Helpdesk ist nun in der Management Center Lizenz enthalten und steht somit allen Kunden direkt mit SafeGuard Enterprise ohne Zusatzkosten zur Verfügung. Web Helpdesk bietet Mitarbeitern des Helpdesk, die die volle Managementkonsolen-Anwendung nicht benutzen, eine Web-Benutzeroberfläche.

1.3.4 Management Center/Server Installations-Assistent für neue Installationen

Die Installation von SafeGuard Enterprise (Managed) ist nun so einfach wie noch nie. Mit dem neuen Konfigurationsassistenten lassen sich die SafeGuard Enterprise Management-Komponenten schnell und einfach installieren. Der Assistent regelt alle Komponenten-Abhängigkeiten (einschließlich der Microsoft-Abhängigkeiten), die für den Betrieb des Servers notwendig sind. Eine Erstinstallation lässt sich so schneller durchführen. Darüber hinaus werden so falsche Konfigurationen vermieden. Produkt-Evaluierungen lassen sich schneller erfolgreich durchführen.

1.3.5 Service Accounts

In SafeGuard Enterprise 5.50 können Sie Benutzer in Service Account Listen aufnehmen. Werden diese Listen auf einen neu eingerichteten Client-Computer angewendet, auf dem die POA noch nicht aktiviert ist, so werden die in der Liste enthaltenen Benutzer nicht zur POA-Benutzerliste hinzugefügt. Die Benutzer werden nicht als Besitzer des Computers definiert und aktivieren auch nach der Anmeldung an Windows nicht die POA. Somit können die Benutzer auf dem Computer ohne Auswirkungen auf die SafeGuard Enterprise Konfiguration Service-Aufgaben ausführen und ihn konfigurieren, bevor dieser dem jeweiligen Besitzer übergeben wird. Dies ist häufig in Rollout-Situationen notwendig.

1.3.6 “Nur POA”-Benutzerkonten

SafeGuard Enterprise 5.50 bietet spezielle Benutzerkonten (erkennbar an ihrer Zugehörigkeit zu einer speziellen virtuellen “<POA>” Domäne), mit deren Hilfe sich z. B. Administratoren an einen durch die POA geschützten Computers anmelden können, ohne dass ihnen die Benutzerdaten eines regulären Benutzers des Computers bekannt sein müssen. Sie müssen sich auch nicht selbst als regulärer Benutzer an den Computern registrieren. Diese Benutzer sind immer dazu berechtigt, den Computer von externen Medien aus zu booten. Wenn sie sich an Windows anmelden, werden dadurch nicht die Standardanmeldevorgänge des SafeGuard Enterprise Client ausgelöst. So wird der jeweilige Benutzer zum Beispiel nicht bei SafeGuard Enterprise registriert, egal welche Benutzerdaten für die Windows-Anmeldung verwendet wurden.

1.3.7 Hierarchische Sicherheitsbeauftragten-Verwaltung

SafeGuard Enterprise 5.50 vereinfacht die Verwaltung einer großen Anzahl an Sicherheitsbeauftragten. Die Sicherheitsbeauftragtenrechte wurden optimiert und erweitert, um eine detailliertere Steuerung zu ermöglichen. Darüber hinaus wurden die Rechte zur Regelung von Abhängigkeiten bei der Zuweisung sinnvoll gruppiert. Sicherheitsbeauftragte können nun auch einen Teil Ihrer Rechte an untergeordnete Sicherheitsbeauftragte delegieren.

1.3.8 Optimierte Hardware-/Betriebssystem-Kompatibilität

Die Kompatibilität von SafeGuard Enterprise wurde optimiert, z. B.:

Fehlertoleranz für USB-Geräte, die USB-Spezifikationen nicht erfüllen.
Optimierte Leistung des initialen Verschlüsselungsvorgangs unter Windows Vista oder  Windows 7.
USB-Token, die U3 entsprechen, können nun mit SafeGuard Enterprise Configuration Protection konfiguriert werden.
Erweiterte Hardware-Kompatibilitäts-Liste im Installer. Aktuelle Änderungen finden Sie im folgenden Wissensdatenbankartikel: http://www.sophos.com/support/knowledgebase/article/65700.html

1.3.9 Erweiterte Unterstützung für Smartcards und Card Reader

Wie in jeder SafeGuard Enterprise Release wurde die Anzahl an unterstützten Smartcards und Smartcard-Lesegeräten erweitert. Weitere Einzelheiten finden Sie in den Kapiteln bis 3.9.

1.3.10 SafeGuard Easy 5.50

SafeGuard Enterprise Device Encryption ohne zentralen Management Server – der sogenannte Standalone-Modus – hat nun den Produktnamen “SafeGuard Easy 5.50” und ist Nachfolger der SafeGuard Easy 4.x Serie für Kunden, die den Standalone-Modus im Gegensatz zur Variante mit zentralem Management Server bevorzugen. Im Prinzip ist SafeGuard Easy 5.50 einfach der neue Produktname für den Standalone-Modus von SafeGuard Enterprise 5.50. SafeGuard Easy 5.50 bietet Unterstützung für Windows Vista, Windows 7 und 64 Bit sowie alle weiteren Vorteile von SafeGuard Enterprise. Für die Anmeldung mit Smartcard/kryptographischem Token ist jedoch die zentral verwaltete Variante von SafeGuard Enterprise Device Encryption erforderlich. Die Migration von SafeGuard Easy 4.x wird unter den gleichen Bedingungen wie bei früheren SafeGuard Enterprise Releases unterstützt, mit Ausnahme der weggefallenen Unterstützung von Windows 2000.

1.3.11 Windows PE Recovery-CD (virtueller Client)

Die erweiterten Recovery-Funktionen für mit SafeGuard Enterprise verschlüsselte Festplattenlaufwerke,  z. B. das Booten einer Windows PE Recovery-Umgebung im Fall eines beschädigten, falsch konfigurierten Betriebssystems, stehen nun auch für SafeGuard Easy 5.50 Clients zur Verfügung.

1.3.12 Vereinfachte Installation und Schlüssel-Backup

Ein neuer Installations-Assistent vereinfacht die erstmalige Einrichtung der Management-Komponenten einschließlich Standardrichtlinien. Um diesen Assistenten für neue SafeGuard Enterprise Installationen zu aktivieren, starten Sie “SGNInstallAdvisor.bat” aus dem Stammverzeichnis der Produkt-DVD. Recovery-Dateien für den Standalone-Modus (= SafeGuard Easy/ESDP) lassen sich nun nach Wunsch des Administrators einfach automatisch auf einer zentralen Netzwerkfreigabe sammeln. Darüber hinaus stehen nun auch Optionen zur Verfügung, mit denen sich das Unternehmenszertifikat neuer Installationen schnell und einfach sichern und wiederherstellen lässt.
Unsere Wissensdatenbank bietet nun außerdem einen Best Practice Guide für die SafeGuard Enterprise Installation: http://www.sophos.com/support/knowledgebase/article/110259.html.

1.3.13 Verschiedene Optimierungen

In SafeGuard Enterprise wurden verschiedene weitere Optimierungen in den Bereichen Benutzerfreundlichkeit, Speichernutzung, Leistung, Schlüsselverwaltung und Handhabung vorgenommen. Diese umfassen u. a. folgende Optimierungen:

· Die Geschwindigkeit der Erstverschlüsselung unter Windows 7 wurde im Vergleich zu SafeGuard Enterprise 5.40 für Windows 7 erheblich gesteigert. Die Ergebnisse sind nun vergleichbar mit oder besser als unter Windows XP.

Optimierte Benutzeroberfläche und Benutzung, z. B. akkurate und umfassende Anzeige des Benutzerstatus im Tray Icon des Clients.
Es wird nun verhindert, dass interne SafeGuard Enterprise Schlüssel dauerhaft gelöscht werden. Dadurch erhalten Sie optimierte Unterstützung beim Rückgängigmachen von zufälligen/unbeabsichtigten administrativen Aktionen.
SGNState liefert nun auch die Version des SafeGuard Client.
Für den Ausnahmefall einer fehlgeschlagenen Installation, die dazu führt, dass der Computer in der POA hängt, steht nun ein Tool zur Verfügung, mit dem sich die Installation rückgängig machen lässt.
Eine Kompatibilitätskorrektur für das Filter-Treiber Layering in den SafeGuard Enterprise Modulen Data Exchange (DX) und Configuration Protection (CP) wurde hinzugefügt. Dies ermöglicht die gleichzeitige Benutzung von dateitypbasierenden Exportregeln und verschlüsselten Dateien.
Die Gültigkeitsdauer für eine Challenge/Response-Sitzung wurde auf 30 Minuten angehoben. Die Verzögerung für einen erneuten Kennworteingabeversuch erhöht sich jetzt um den Potenzfaktor 2 (ehemals 3). Diese Maßnahmen reduzieren die Auswirkungen für den Benutzer, wenn er sein Kennwort vergessen hat. Die Sicherheit verringert sich dadurch in keinster Weise.
Die Unternehmenszertifikate früherer Installationen lassen sich nun während des Einrichtungsvorgangs für Recovery-Zwecke importieren.
Über eine konfigurierbare Richtlinie lässt sich nun auf der Client-Seite ein Kennwort für die Deinstallation von lokalen Administrator-Benutzern anfordern. Dies gilt nur für Sophos Endpoint Security Pakete ab Version 9.5.
Verschiedene Leistungs-,Sicherheits- und Kompatibilitätsoptimierungen im gesamten Produkt einschließlich aller seit SafeGuard Enterprise 5.40 herausgegebenen Hotfixes.
Vollständiges Sophos-Rebranding

2 Installation

Für die Installation der Software sind Administratorrechte notwendig. Genaue Informationen zur korrekten Vorgehensweise für die Installation der Software finden Sie im relevanten Kapitel im Installationshandbuch.

Wenn Sie eine vorhandene SafeGuard Enterprise Installation ändern oder bestimmte Module zu einem späteren Zeitpunkt installieren, meldet das Installationsprogramm u. U., dass bestimmte Komponenten (z. B. SafeGuard Removable Media Manager) derzeit benutzt werden. Diese Meldung wird dadurch verursacht, dass Module gemeinsame Komponenten benutzen, die derzeit verwendet werden und daher nicht sofort aktualisiert werden können. Diese Meldung kann ignoriert werden, da die betroffenen Komponenten beim Neustart des Computers ohnehin aktualisiert werden.

Hinweis: Dies ist auch das Standardverhalten bei Anwendung des unbeaufsichtigten Installationsmodus.

Es besteht zwar die Möglichkeit, zunächst nur einen Teil der Produkt-Features zu installieren und zu einem späteren Zeitpunkt weitere Features hinzuzufügen, das Device Encryption Feature sollte jedoch von Anfang an installiert werden.

Hinweis: Dies gilt nur für die Installation des SafeGuard Easy 5.50 Client.

Wenn Sie eine Aktualisierung von SafeGuard Easy 4.x durchführen, lesen Sie bitte den entsprechenden Abschnitt im Installationshandbuch sowie die entsprechenden Artikel in der Wissensdatenbank.

3 Allgemeine Informationen

3.1 Netzwerkinfrastruktur

Netzwerkserver mit Benutzer- und Computerverwaltung:

· Microsoft Windows 2008 Server (32 Bit und 64 Bit) mit Active Directory

· Microsoft Windows 2003 Server (32 Bit und 64 Bit) mit Active Directory

Datenbank:

· Microsoft SQL Server 2005 SP2, SP3

· Microsoft SQL Server 2008 SP1

· Microsoft SQL Server 2005 Express SP2, SP3

· Microsoft SQL Server 2008 Express SP1

Verbindungen:

Die Clients müssen folgende Verbindung herstellen können:

· SGN Server auf Port 80/TCP oder 443/TCP

Die SafeGuard Management Center müssen folgende Verbindungen herstellen können:

· SQL-Datenbank: Ports 1433/TCP & 1434/TCP für SQL 2005 (Express) & SQL 2008 (Express)

· Active Directory: Port 389/TCP, Port 636 SLDAP, Port 1025/TCP (RPC), 135/TCP (End-Point Mapper - RPC).

The SafeGuard Enterprise Server muss folgende Verbindung herstellen:

· SQL-Datenbank (Port 1433/TCP Port & 1434/TCP für SQL 2005 (Express) & SQL 2008 (Express)

3.2 SafeGuard Management Center

Hardware:

Intel oder AMD X86 CPU

512 MB RAM

1 GB freier Festplattenspeicherplatz (empfohlen)

Unterstützte Token für die Authentisierung (einige Token unterstützen nur bis zu 1024-Bit RSA)

Software:

Microsoft Windows Betriebssystem Deutsch, Englisch, Französisch oder Japanisch

· XP SP2 SP3 32 Bit

· Vista SP1 SP2 32 Bit 64 Bit

· 7 32 Bit 64 Bit

· 2003 Server SP1 SP2 32 Bit 64 Bit

· 2003 Server R2 SP1 SP2 32 Bit 64 Bit

· 2008 Server SP1 SP2 32 Bit 64 Bit

· 2008 Server R2 64 Bit

Microsoft ASP.net

· .NET Framework 3.0 SP1

Der Windows-Benutzer muss über Lese-/Schreibzugriff für die Datenbank mit einer der folgenden Authentisierungsmethoden verfügen:

· Windows NT Authentisierung

· SQL-Datenbank-Authentisierung

Getestete X.509-Zertifikate

Microsoft PKI (Länge 384 bis 4096 Bit – aus Sicherheitsgründen werden jedoch mindestens  2048 Bit empfohlen)
MS Base Cryptographic Provider 1.0
MS Strong Cryptographic Provider
OpenSSL

3.3 SafeGuard Enterprise Server

Hardware:

Intel oder AMD X86 CPU

512 MB RAM

1 GB freier Festplattenspeicherplatz (empfohlen)

Software:

Microsoft Windows Betriebssysteme Deutsch oder English (andere Betriebssystemsprachversionen wurden nicht getestet, sollten jedoch funktionieren)

· 2003 Server SP1 SP2 32 Bit 64 Bit

· 2003 Server R2 SP1 SP2 32 Bit 64 Bit

· 2008 Server SP1 SP2 32 Bit 64 Bit

· 2008 Server R2 64 Bit

Microsoft ASP.net

· .NET Framework 3.0 SP1

Microsoft Internet Information Service

· Version 6.0 auf Windows Server 2003

· Version 7.0 auf Windows Server 2008

· Version 7.5 auf Windows Server 2008 R2

· IIS Update empfohlen gemäß Microsoft KB934903 Artikel

Der Windows-Benutzer muss über Lese-/Schreibzugriff für die Datenbank mit einer der folgenden Authentisierungsmethoden verfügen:

Windows NT Authentisierung
SQL-Datenbank-Authentisierung (empfohlen)

Hinweis:
Sophos empfiehlt ausdrücklich die Verwendung von SSL-verschlüsselter Kommunikation zwischen den SGN Client Computern und dem SGN Server auf jedem System mit Ausnahme von Demo- oder Test-Installationen. Falls dies nicht möglich ist und die proprietäre SGN-Verschlüsselung verwendet werden muss, so gilt die Obergrenze von 1000 Client-Computern, die eine Verbindung mit einer Serverinstanz herstellen können. Wenn Sie SSL benutzen, müssen Sie die notwendigen Einstellungen zur Aktivierung dieser Funktion manuell im SafeGuard Management Center konfigurieren. Weitere Einzelheiten hierzu finden Sie im Installationshandbuch.

Hinweis:
Die SGN Server Last wird durch die folgenden Faktoren beeinflusst: die Anzahl an Clients, die mit dem Server verbunden sind, die Anzahl an SGN-Benutzern pro Client, die Anzahl an Gruppenmitgliedschaften pro SGN-Benutzer (falls während der Active Directory Synchronisierung Schlüssel generiert wurden) sowie die Häufigkeit, mit der die Clients den Server für Richtlinienaktualisierungen kontaktieren. Durch Anpassung dieser Parameter können Sie die SGN Server Last sowie die Leistung des Servers optimieren. Mit nur einem SGN-Benutzer, wenigen Gruppenmitgliedschaften sowie einer Aktualisierung pro Tag, hat sich das Zusammenspiel von 40.000 Clients mit einem SGN Server unter Anwendung von SSL als problemlos erwiesen.

3.4 SafeGuard Enterprise Device Encryption/Data Exchange Client

Hardware:

Intel oder AMD X86 CPU
512 MB RAM (Minimum), 1 GB wird für Windows Vista/7 empfohlen
Für die Installation sind mindestens 300 MB freier Festplattenspeicherplatz erforderlich. Für Device Encryption müssen mindestens 100 MB des freien Festplattenspeicherplatzes einen zusammenhängenden Bereich bilden. Wenn Ihnen weniger als 5 GB Festplattenspeicherplatz zur Verfügung stehen und Ihr Betriebssystem nicht neu installiert ist, führen Sie bitte eine Defragmentierung durch. Dadurch erhöhen Sie die Chancen, dass der benötigte zusammenhängende Bereich verfügbar ist. Andernfalls schlägt die Installation fehl, da nicht genügend zusammenhängender Speicherplatz vorhanden ist. In diesem Fall kann die Installation nicht unterstützt werden.

Microsoft Windows Betriebssysteme:

XP SP2 SP3 32 Bit

Vista SP1 SP2 32 Bit 64 Bit Enterprise/Ultimate/Business/Home Premium
7 32 Bit 64 Bit Enterprise/Ultimate/Professional/Home Premium

Das SafeGuard Enterprise BitLocker Client Feature kann nur auf Plattformen installiert werden, auf denen MS BitLocker verfügbar ist.

Software:

Internet Explorer ab Version 6.0

3.5 SafeGuard Configuration Protection Client

Hardware:

Intel oder AMD X86 CPU
512 MB RAM Minimum, 1 GB empfohlen
1 GB freier Festplattenspeicherplatz (Minimum)

Microsoft Windows Betriebssysteme:

XP SP2 SP3 32 Bit

Vista SP1 SP2 32 Bit Enterprise/Ultimate/Business/Home Premium
7 32 Bit 64 Bit Enterprise/Ultimate/Business/Home/Premium

Software:

Internet Explorer ab Version 6.0

.NET Framework 2.0

3.6 Unterstützte Smartcard Reader

In der SafeGuard Device Encryption Power-on Authentication getestete Lesegeräte

Die angegebenen Smartcard-Lesegeräte wurden von der Quality Assurance (aktuelle und/oder frühere Versionen) getestet.

Hersteller	Card Reader	Schnittstelle	Anmerkung
ACS	ACR 38U-CCID	USB-CCID	Firmware Version ³ v1.12c erforderlich
ActivIdentity	USB Reader 3.0	USB-CCID
	PCMCIA Reader	PC-Card	SCR 243 OEM
Broadcom	BCM 5880	integriert (USB)
Cherry	ST-1044U	USB-CCID
	ST-2000	USB-CCID	PIN-Block für die sichere PIN-Eingabe wird nicht unterstützt.
	ST-4044	PC-Card	CardMan 4040 OEM
	G83-6644 G83-6733 G83-6744	USB-CCID	Tastaturen; sichere PIN-Eingabe nicht unterstützt
Dell	RT7D60 SK-3105	USB-CCID	Tastaturen
Eutronsec	SIM Pocket (inkl. Combo-Versionen)	USB-CCID	Karten mit SIM-Größe und Karten mit Standardgröße
	Smart Pocket (inkl. Combo-Versionen)	USB-CCID
Fujitsu Siemens	Smartcase SCR (USB)	USB-CCID	Auch unter der Bezeichnung “Solo” bekannt.
Gemalto	GemPC Express	ExpressCard
	GemPC Twin	USB-CCID
	GemPC Key	USB-CCID	SIM-Größe
	Reflex USB v3	USB-CCID
HP	SC Terminal  (KUS0133)	USB-CCID	Tastatur
	PC Smart Card Reader	PC-Card	SCR 243 OEM
Kobil	KAAN Base	USB-CCID
	KAAN Advanced	USB-CCID	PIN-Block für die sichere PIN-Eingabe wird nicht unterstützt.
Lenovo	Integrated Smart Card Reader	integriert (USB)	Lesegerät wird u. U. durch anderen Typ ersetzt, je nach Marktsituation.
o2micro	Oz711 Reihe	integriert (CardBus)
	Oz776	integriert-CCID
Omnikey	CardMan 3021 CardMan 3121	USB-CCID
	CardMan 4040	PC-Card
	CardMan 4321	ExpressCard
	CardMan 5125 CardMan 5321	USB-CCID	Kontaktlose Schnittstelle wird nicht unterstützt.
	CardMan 6121	USB-CCID	SIM-Größe
Ricoh	R/RL/5C476	integriert (CardBus)
SCM	SCR 243	PC-Card
	SCR 331	USB-CCID	Erfordert Firmware ab Version 5.18!
	SCR 335 SCR 3310 SCR 3311	USB-CCID
	SCR 3320	USB-CCID	SIM-Größe
	SCR 3340	ExpressCard
	SDI 010	USB-CCID	Kontaktlose Schnittstelle wird nicht unterstützt.
Texas Instruments	PCI 6515a PCI 7621	integriert (CardBus)	Generische Unterstützung für PCI xx21 Reader

Sollten bei einem Client mehrere Smartcard-Lesegeräte vorhanden sein, so sollten Sie die Geräte, die nicht in Gebrauch sind, deaktivieren. So vermeiden Sie unerwünschte Nebeneffekte. Bei internen Lesegeräten kann es notwendig sein, das jeweilige Gerät im BIOS zu deaktivieren.

Lesegeräte, die mit der SafeGuard Device Encryption Power-on Authentication funktionieren sollten

Die genannten Smartcard Readers sind in SafeGuard Enterprise integriert und sollten gemäß den Kompatibilitätsinformationen der Hersteller funktionieren.

Hersteller	Card Reader	Schnittstelle	Anmerkung
ACS	ACR 38T ACR 38U-BMC ACR 38F ACR 38K ACR 100F	USB-CCID	SIM-Größe
	ACR 122U ACR 122T		Kontaktlose Schnittstelle wird nicht unterstützt.
Cherry	G81-7040 G81-7043 G81-8040 G81-8043	USB-CCID	Tastaturen; sichere PIN-Eingabe nicht unterstützt
	G83-14200 G83-14400 G83-14600	USB-CCID	Biometrische Tastaturen; sichere PIN-Eingabe und biometrische Funktionen nicht unterstützt
Eutronsec	SIM Reader (inkl. Combo-Versionen)	USB-CCID	SIM-Größe
Fujitsu Siemens	Smartcase SCR  (PC Card)	PC-Card	CardMan 4040 OEM
	Smartcase SCR (Express Card)	ExpressCard	SCR 3340 OEM
Gemalto	Reflex 20 v3	PC-Card	SCR 243 OEM
Ricoh	R5C835 R5C853	integriert
SCM	SPR 532	USB-CCID	PIN-Block für die sichere PIN-Eingabe wird nicht unterstützt. Firmware Version 5.10 und aktualisierte Windows-Treiber erforderlich
Vasco	DigiPass 905	USB-CCID

3.7 Unterstützte Smartcards

In der SafeGuard Device Encryption Power-on Authentication unterstützte Smartcards

Hersteller	Card	Versionen	Typ	Datenformat
ActivIdentity	Smart Card 64K	v2 (Oberthur) v2c (Axalto)	Java Card	ActivIdentity
AET ^{^[1]}	G&D Sm@rtCafe	64K	Java Card	PKCS#15
	G&D STARCOS SPK	2.3 3.0	ISO 7816	PKCS#15
	IBM JCOP	20 31 41 72K	Java Card	PKCS#15
	Siemens CardOS	M4.3b	ISO 7816	PKCS#15
Charismathics	Siemens CardOS	M4.3b	ISO 7816	CSSID
IT Solution	Siemens CardOS	M4.3b	ISO 7816	PKCS#15
Siemens	Siemens CardOS	M4.3b	ISO 7816	PKCS#15
T-Systems	TCOS	3.0	ISO 7816	NetKey

In der SafeGuard Device Encryption Power-on Authentication getestete National EID Cards

Land/Typ	Card	Versionen	Typ	Datenformat
Austria ^{^[2]}	AustriaCard ACOS	3.01 4.0	ISO 7816	A-Trust
Estonia ^{^[3]}	Orga Micardo	V1 V2	ISO 7816

Hinweis: Die folgenden Smartcards/Token werden auf den Windows Vista oder Windows 7 Plattformen nicht unterstützt:
- CardOS, Siemens profile
- Estonian ID Card
- A-trust
- RSA

3.8 Unterstützte USB-Token

In der SafeGuard Device Encryption 5.50 Power-on Authentication unterstützte USB-Token

Hersteller	USB-Token	Middleware-Hersteller	Anmerkung
ActivIdentity	ActivKey SIM	ActivIdentity
	ActivKey Display	ActivIdentity	OTP-Funktion nicht unterstützt
Aladdin (CardOS)	eToken Pro eToken NG-Flash	Aladdin
	eToken NG-OTP	Aladdin	OTP-Funktion nicht unterstützt
Aladdin (Java)	eToken Pro eToken NG-Flash	Aladdin
Charismathics	OTP Sign	Charismathics	OTP-Funktion nicht unterstützt
	plug’n’crypt ID	Charismathics
Eutronsec	CryptoIdentity ITSEC-I	Charismathics
	CryptoIdentity ITSEC-P	AET
	OTP Sign	Charismathics	OTP-Funktion nicht unterstützt
Kobil	mIDentity Light	Siemens	Einschließlich Flash Memory
MARX	CrypToken	AET
RSA	SecurID 800 v1 [4] SecurID 800 v2	RSA	OTP-Funktion nicht unterstützt

Bitte beachten Sie: Die fett gedruckten USB-Token wurden explizit von der Quality Assurance getestet (aktuelle und/oder frühere Versionen).

Hinweis: Für die Benutzung von Smartcards/Token zur Authentisierung auf Betriebssystemebene ist die Installation einer zusätzlichen Middleware-Anwendung erforderlich (siehe Spalte “Middleware-Hersteller”).

3.9 In SafeGuard Device Encryption unter Windows getestete Smartcard-Middleware

Hersteller	Middleware	Version	XP 32 Bit	Vista 32 Bit	Vista 64 Bit	7 32 Bit	7 64 Bit	Anmerkungen
ActivIdentity	ActivClient	6,2	x	x	x	x	x
AET	SafeSign	3.0.33	x	x	c)	x
Aladdin	PKI Client	5.1 SP1 a)	x	x	x	x	x
A-Trust	a.sign client	1.2.7.0	x
Charismathics	Smart Security Interface	4.8.1	x	x
* Estonian ID card	<multiple>		x
IT Solution	trustWare CSP+	1.0.1.23	x
Gemalto	.NET	2.1.3.1	x d)	x	x	x	x
Gemalto	Access Client	5.6.4	x	x	x	x	x	d)
Gemalto	Classic Client	6,0	x	x	x
RSA	RSA Smart Card Middleware	2.0.1	x
	RSA Smart Card Middleware	3.0.1	x
Siemens	CardOS API	3,1	x
T-Systems	NetKey 3.0	1.6.0.10 + 1.3.0.4 b)	c)	c)	c)	c)	c)

a) Token müssen mit PKI Client 4.55 initialisiert werden, andernfalls funktioniert die POA-Anmeldung nicht.

b) CSP Minidriver 1.6.0.10 + PKCS#11 Modul 1.3.0.4

c) Weitere Informationen erhalten Sie vom Sophos Support.

d) Weitere Informationen zu kryptografischen Token erhalten Sie vom Sophos Support.

3.10 SGN Aktualisierungs-Matrix

Die folgende Tabelle zeigt, welche früheren SafeGuard Enterprise Versionen auf SafeGuard Enterprise 5.50.8 aktualisiert werden können.

SGN Aktualisierungs-Matrix

Aktualisierung von

Aktualisierung auf

SGN 5.20

SGN

5.20.1

SGN 5.20.2

SGN 5.20.3

SGN 5.20.4

SGN 5.20.5

SGN 5.21

SGN 5.21.1

SGN 5.30 RC1

SGN 5.30

SGN 5.30.1

SGN 5.30.2

SGN 5.30.3

SGN

5,35

SGN

5.35.x

SGN 5.40.x

SGN 5.50

SGN 5.50.8

SGN 5.50.1

SGN 5.50 GA

SGN 5.40.x

SGN 5.35.x

SGN 5.35 GA

SGN 5.30.3

¢¹

SGN 5.30.2

SGN 5.30.1

SGN 5.30 GA

SGN 5.30 RC 1

SGN 5.21.1 (Patch)

SGN 5.21

SGN 5.20.5 (Patch)

SGN 5.20.4 (Patch)

SGN 5.20.3 (Patch)

SGN 5.20.2 (Patch)

SGN 5.20.1 (Lenovo)

SGN 5.20

Legende:

l Aktualisierung unterstützt

¢¹^{Aktualisierung
nur für SGN Server und SGN Management Console unterstützt}

3.11 SGN Migrations-Matrix

Die folgende Tabelle zeigt, welche SafeGuard Easy Versionen auf SafeGuard Enterprise 5.50.8 migriert werden können.

SGE- SGN Migrations-Matrix
	IDEA	DES	3DES	AES 128	AES 256	Blowfish	Stealth	XOR
SGE 4.50	l		l	l	l
SGE 4.40	l		l	l	l
SGE 4.30	l		l	l	l
SGE 4.20
SGE 4.1x
SGE 3.x

3.12 SGN Client/Server Matrix

Die folgende Tabelle zeigt, welche früheren SGN Client Version von welchem SGN Server bedient werden können.

Grundsätzlich muss die SGN Server Version die gleiche oder eine höhere Version als die entsprechende Client-Version sein.

SGN - Client/Server Matrix
	SGN Clients
SGN Server	5.2x	5,30	5,35	5,40	5.50.x
SGN 5.50.x			l	l	l
SGN 5.40.x		l	l	l
SGN 5.35.x		l	l
SGN 5.35 GA		l	l
SGN 5.30.2	l	l
SGN 5.30.2	l	l
SGN 5.30.1	l	l
SGN 5.30 GA	l	l
SGN 5.21	l
SGN 5.21	l

¹ keine Auto-Registrierung

Legende:

l unterstützt

¢¹ keine Auto-Registrierung

Hinweis:
In einigen Fällen kann ein SGN Client mit einer niedrigeren Version Richtlinien von einem Server mit einer neueren Version erhalten. Der Client unterstützt jedoch in diesen Fällen keine Features, die mit der neuen Version eingeführt wurden.

3.13 SGN - Windows Betriebssystemunterstützung

Die folgende Tabelle zeigt alle unterstützten Betriebssystemplattformen mit den SafeGuard Enterprise Modulen, die auf der jeweiligen Plattform zur Verfügung stehen

	SGN – Microsoft Windows Plattformunterstützung
						SGN 5.50.x
						DE	DE BitLocker	DX	CP	SGN Server	MC
XP Professional Edition				SP2 SP3	32 Bit	l		l	.NET 2.0		.NET 3.0¹
Vista Home Premium Business Enterprise Ultimate				SP1 SP2	32 Bit	l	- - l l	l	l		.NET 3.0¹
Vista Home Premium Business Enterprise Ultimate				SP1 SP2	64 Bit	l	- - l l	l			.NET 3.0¹
7 Home Premium Professional Enterprise Ultimate					32 Bit	l	- - l l	l	l		NET 3.0¹
7 Home Premium Professional Enterprise Ultimate					64 Bit	l	- - l l	l	l		NET 3.0¹
Server 2003 / R2		.NET 3.0	IIS 6	SP1 SP2	32 Bit 64 Bit					l l	l l
Server 2008 Server 2008 R2		.NET 3.0	IIS 7,0 IIS 7,5	SP1	64 Bit 64 Bit					l l	l l

¹ .Net 3.0 SP1 erforderlich

Hinweis 1:
SafeGuard Enterprise kann auf Systemen installiert werden und unterstützt Systeme, die mit Solid State Disks (SSDs) ausgestattet sind.

Hinweis 2:
SafeGuard Enterprise kann auch in Virtualisierungsumgebungen installiert und benutzt werden. Bitte beachten Sie, dass Interoperabilitäts-Probleme in Bezug auf die Verschlüsselung von Geräten, die über den USB Bus angeschlossen sind, auftreten können. Je nach Virtualisierungsumgebung und angeschlossenem Gerät kann dies zu einem Systemfehler führen.

3.14 SGN Datenbankserverunterstützung

Die folgende Tabelle zeigt alle unterstützten Datenbankserverplattformen.

SGN Server - Datenbankserverunterstützung

	SGN 5.40	SGN 5.50
Microsoft SQL Server 2005 SP1	l
Microsoft SQL Server 2005 Express SP1	l
Microsoft SQL Server 2005 SP2	l	l
Microsoft SQL Server 2005 Express SP2	l	l
Microsoft SQL Server 2005 SP3	l	l
Microsoft SQL Server 2005 Express SP3	l	l
Microsoft SQL Server 2008 SP1		l
Microsoft SQL Server 2008 Express SP1		l

4 Gelöste Probleme (Release 5.50.x im Vergleich zu Release 5.40)

4.1 SafeGuard Enterprise Management Center

In einigen Fällen konnten Configuration Protection White Lists nicht korrekt importiert werden.
Beim Anhängen von Informationstextdateien wurde keine neue Zeile eingefügt, was zu unerwünschten Verkettungen führte.

4.2 SafeGuard Enterprise Server

In einigen Fällen schlug die SGN Active Directory Synchronisierung fehl, wenn untergeordnete Baumstrukturen im Active Directory verschoben wurden. Dieses Problem wurde behoben. Darüber hinaus können nun intern benutzte Schlüssel zur Unterstützung von Recovery-Szenarien beim Auftreten von nicht unterstützten/unerwünschten AD-Aktionen oder -Daten wiederhergestellt werden.
Im SGN Server Prozess trat ein Speicherleck auf, wenn Clients mit umfangreichen Configuration Protection White Lists aktualisiert wurden.

4.3 SafeGuard Enterprise Client

Device Encryption

- Der Token A-Trust V4 verursachte einige Probleme.

- Die Estonian ID Card wird nun unterstützt (Nur Windows XP)

- In einigen Fällen war der POA-Autologon beschädigt.

- Bei neu zugewiesenen Schlüsseln musste der Computer zunächst neu gestartet werden, damit diese dem Benutzer zur Verfügung standen.

- Im Installer fehlte eine POACFG Property.

- Falsche Protokolleinträge gaben an, dass ein Laufwerk entschlüsselt wurde. Tatsächlich wurde es jedoch verschlüsselt.

- Wird bei der Installation auf einer Maschine oder bei der Erstellung eines Images ein bereits verwendeter Hostname benutzt, ohne dass vorher das "alte" Maschinenobjekt im SafeGuard Management Center gelöscht wird, so kann auf die Maschine u. U. nicht mehr zugegriffen werden. Auch die Durchführung von Recovery-Vorgängen ist in diesem Fall nicht mehr möglich.

SafeGuard Portable

- Beim Brennen von CDs mit dem in Windows integrierten Assistenten wurde kein Klartext-Ordner angelegt.

- Die SGPortable-Verknüpfung wurde zwar angezeigt, funktionierte jedoch nicht.

Data Exchange

- Nach der Installation des Data Exchange Client verschwanden Menübefehle in Corel Draw X4. Ähnliche Probleme mit Adobe Fireworks und Candela wurden ebenfalls gelöst.

- Es war nicht immer möglich, die Medien-Passphrase zu ändern, da die Option nicht im System Tray zur Verfügung stand.

- Durch Öffnen des Speichern unter… Dialogs im Mindjet MindManager blieb die Anwendung hängen.

- Kennwortänderungen in der Windows XP Anmeldung gingen verloren, wenn die Evidian SSO Anwendung auf einem SafeGuard Enterprise Client installiert war. Hier wurde eine generische Korrektur durchgeführt, die auch das Problem ungültiger Kennwortänderungen nach einem fehlgeschlagenen Anmeldeversuch löst.

Configuration Protection

- Je nach angewendeter White List wurden u. U. interne SCSI- und IDE-Speichergeräte blockiert.

5 Bekannte Probleme

5.1 SafeGuard Enterprise 5.50 Release

Die Aktualisierung der SafeGuard Enterprise 5.50 Beta Version des Client funktioniert nicht wie erwartet. Die Beta-Version muss vor der Installation der finalen SafeGuard Enterprise 5.50 Release deinstalliert werden.
Auf den Windows Vista und Windows 7 Plattformen fordert der Installer den Benutzer bei der Aktualisierung von SafeGuard Enterprise 5.30 oder einer neueren Version auf SafeGuard Enterprise 5.50 dazu auf, einige laufende Prozesse zu beenden. Diese Aufforderung kann und sollte ignoriert werden. Wird diese Aufforderung vor allem bei Windows 7 nicht ignoriert, so stürzt der Windows Explorer nach dem nächsten Neustart ab.
Der SafeGuard Enterprise Installationsvorgang muss im Rahmen einer Anmeldesitzung eines Windows-Administrators gestartet werden. Das Starten der Installation über “Als Administrator ausführen” wird nicht unterstützt.
Auf einem unterstützten 64-Bit-Betriebssystem funktioniert Management Center API nur dann, wenn Sie das Skript auf cmd.exe im Verzeichnis C:\Windows\SysWOW64 starten.
Benutzung der Feststelltaste in der POA: Bitte beachten Sie, dass die Feststelltaste in der POA nur die Groß/Kleinschreibung der Buchstaben ändert. Sie hat keine Auswirkung auf die Nummernreihe auf der Tastatur. Es wird empfohlen, die Umschalttaste für die Eingabe von Kennwörtern zu verwenden und sich nicht auf die Funktionalität der Feststelltaste zu verlassen, da diese u. U. je nach Anwendung variiert.
Während der Deinstallation des Client, die auch die Entschlüsselung verschlüsselter Volumes umfasst, sollte der Computer nicht heruntergefahren oder neu gestartet werden. Andernfalls gibt der Deinstaller eine Fehlermeldung aus.
Ein SGN Client kann keine Verbindung mit dem SGN Server herstellen, wenn eine Sophos Firewall mit Standardeinstellungen auf dem Client-Computer installiert ist. Die Sophos Firewall sperrt standardmäßig NetBIOS-Verbindungen, die für die Auflösung des Netzwerknamens des SGN Servers benötigt werden. Für dieses Problem gibt es zwei Lösungen:

Geben Sie die NetBIOS-Verbindungen in der Firewall frei.
Nehmen Sie den Fully Qualified Name für den SGN Server wie folgt in das Server-Konfigurationspaket auf:

§ Wählen Sie im Management Center Extras -> Konfigurationspakete...-> Register Server registrieren -> Hinzufügen...

Wählen Sie das Serverzertifikat, z. B. aus dem Verzeichnis  C:\Program Files\Sophos\SafeGuard Enterprise\MachCert\sgnsrv.utimaco.local.cer
Geben Sie den Fully Qualified Server Name ein, z. B. sgnsrv.utimaco.local
Wechseln Sie zu Extras -> Konfigurationspakete...-> Register Server-Konfigurationspaket erstellen
Wählen Sie sgnsrv.utimaco.local
Klicken Sie auf Konfigurationspaket erstellen, z. B. Server Configuration Package.msi
Installieren Sie das Paket Server Configuration Package.msi

Wenn für einen Client mit einer SafeGuard Enterprise Installation ein neues Image erstellt oder eine erneute Installation mit demselben Hostnamen durchgeführt wird, muss der Computer zunächst manuell im SafeGuard Management Center gelöscht werden, bevor wieder eine Verbindung zwischen dem Computer und dem SafeGuard Enterprise Server hergestellt wird, um unerwünschte Nebeneffekte zu vermeiden.

Wenn ein interner SD Card Reader mit dem Secure Digital-Host Controller, der durch den Standard Microsoft sdbus.sys Treiber gesteuert wird, verbunden wird, unterliegt die eingelegte Karte nicht der SGN Device Encryption, d.h. sie kann weder verschlüsselt noch gesperrt werden. Dies gilt für alle unterstützten Betriebssystemversionen. Die Karte ist nicht im BE Encryption Viewer sichtbar. Sie steht jedoch als Klartext-Gerät im Windows Explorer zur Verfügung und es besteht Zugriff. Für SD Cards sollten Kunden, die Verschlüsselung nutzen, die dateibasierende Verschlüsselung (SGN DX) anwenden.
Wie bereits dokumentiert, müssen auf einem SafeGuard Enterprise Server alte Konfigurationspakete vor der Installation eines neuen Pakets zunächst deinstalliert werden. Da jedoch u. U. auch einige Daten im Local Cache (z. B. SSL-Einstellungen) aktualisiert werden müssen, wenn ein neues Konfigurationspaket angewendet wird, muss der Local Cache ebenfalls vor der Installation manuell gelöscht werden.
Ist in einer Richtlinie vom Typ “Authentisierung” die Sperroption “Bildschirm nach dem Fortsetzen sperren” auf JA/NEIN eingestellt, so wird die Richtlinie nicht an den SafeGuard Enterprise Client übertragen.
Importierte externe Schlüssel dürfen keine XML-Sonderzeichen enthalten, z. B. ‘<’, ’>’, ’&’, ‘\’, ‘”’.
Das von Microsoft mit Windows CE 6.0 und Windows Vista Service Pack 1 eingeführte exFAT Dateisystem wird von SafeGuard Enterprise Device Encryption nicht unterstützt.
Wird der SafeGuard Enterprise Client mit Microsoft-BitLocker-Unterstützung installiert, so muss die Installation entweder mit deaktivierter User Access Control (UAC) oder mit dem integrierten Administrator-Konto durchgeführt werden.
Unter Windows Vista 64-Bit wird das Brennen von Dateien auf optische Medien (CD/DVD) mit dem Windows-eigenen Assistenten zum Brennen nicht unterstützt.
Bei bestimmten Konfigurationen schlägt der Zugriff auf Remote-Freigaben fehl, wenn die Module SafeGuard DataExchange und SafeGuard ConfigurationProtection auf dem Remote-System installiert sind. Dieses Problem wird in der Regeln durch Ressourceneinschränkungen des Systems verursacht und lässt sich durch Erhöhung der IRP-Stapelgröße über die folgende Registry-Einstellung beheben:

                    Hive:      HKEY_LOCAL_MACHINE
                    Key:      SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
       Value Name:      IRPStackSize (DWORD)
                 Value:      21 (oder mindestens 3 höher als der aktuelle Wert)  Weitere Informationen finden Sie unter http://support.microsoft.com/kb/177078/.
Die zugelassene Höchstanzahl an registrierten SDE-Benutzern auf einem Client beträgt 200.
Bitte beachten Sie auch die folgenden Höchstwerte für die Größen von Dateien, die über Richtlinien auf den Client importiert werden.

Textdateien sollten nicht größer als 50 KB sein.
Banner-Bitmaps sollten nicht größer als 100 KB sein.
Hintergrund-Bitmaps sollten nicht größer als 500 KB sein.

Hinweis: Die Anzahl an zugewiesenen Benutzern, insbesondere in Kombination mit einer großen Anzahl an Gruppen-Mitgliedschaften, hat eine spürbare Auswirkung auf die SGN Server Leistung.

5.2 SafeGuard Management Center

· Durch Deinstallation des SGN Client auf der MC Maschine kann das MC nicht mehr benutzt werden.
Wenn das SafeGuard Management Center auf einer Maschine mit einer SGN Client-Installation läuft, verursacht eine Client-Deinstallation, dass das MC nicht mehr benutzt werden kann. Dieses Problem tritt unabhängig davon auf, in welcher Reihenfolge die beiden Module installiert werden. Wenn Sie das MC weiterhin auf einer solchen Maschine benutzen möchten, müssen Sie eine Neuinstallation durchführen.

·         Schemata für die Datenbankbenennung
Die SGN Datenbanknamen sollten dem folgenden Namensschema entsprechen, um Lokalisierungsprobleme zu vermeiden.

SGN Datenbanknamen sollten nur folgende Bestandteile enthalten:
            - Zeichen (A - Z, a - z)
            - Ziffern (0 - 9)
            - Unterstriche (_)

· Ist auf einer SGN Client-Maschine ein SafeGuard Management Center installiert, so müssen beide Komponenten (Client + MC) auf SGN 5.50 aktualisiert werden, wobei der Client zuerst aktualisiert werden muss. Wenn Sie nur das SafeGuard Management Center aktualisieren, kann dies zu fehlgeschlagenen Anmeldungen auf Windows-Ebene führen.

Weitere Informationen zur Aktualisierung des SGN Management Center finden Sie auf der SGN Software-CD (im Tools-Verzeichnis).Bitte suchen Sie auch in der Sophos Wissensdatenbank nach „SGN & update“. Hier erhalten Sie detaillierte Anweisungen.

· Mögliche Konfiguration von SQL-Datenbank-Zugriffsmethoden:
Die Option Windows NT Authentisierung erfordert weitere obligatorische, von Microsoft empfohlene Konfigurationsschritte (suchen Sie in der Sophos Wissensdatenbank bitte nach “SGN & service account”). Die SQL-Authentisierung ist ein weniger komplexes Verfahren. Für diese Option ist keine zusätzliche Konfiguration notwendig.

· Die SafeGuard Enterprise Kennwortregeln werden vollständig separat von den Einstellungen im AD implementiert. Wenn beide Regelsätze zur gleichen Zeit angewendet werden, können Blockierungen auftreten. Wenn bereits Kennwortregeln im AD implementiert sind, wird empfohlen keine zusätzlichen Kennwortregeln im SafeGuard Management Center zu definieren.

· Wenn die AD-Synchronisierung mit einem Windows-Benutzerkonto ausgeführt wird, das über weniger Rechte für das AD verfügt als das Benutzerkonto, über das der initiale Import ausgeführt wurde, werden alle Objekte, auf die nicht zugegriffen werden kann, als “nicht mehr verfügbar” behandelt. Sie werden somit gelöscht oder auf den Authentisierte Computer Knoten verschoben.
Es wird empfohlen, ein eigenes Service Account zu erstellen, das für die Authentisierung für alle Import- und Synchronisierungsaufgaben verwendet wird, um so das unbeabsichtigte Löschen von Objekten aus der SGN-Datenbank zu vermeiden. (Bitte suchen Sie in der Sophos Wissensdatenbank nach “SGN & synchronization”.)

· Wenn Elemente von einer untergeordneten Baumstruktur in eine andere im Active Directory verschoben wurden, müssen beide Baumstrukturen mit der SQL-Datenbank synchronisiert werden. Wird nur eine untergeordnete Datenbank synchronisiert, so werden die Elemente nicht verschoben, sondern gelöscht.

· Durch die AD-Synchronisierung wird der (NetBIOS)-Name der Domäne vor Windows 2000 nicht synchronisiert, wenn der Domänen-Controller mit einer IP-Adresse konfiguriert ist. Bitte konfigurieren Sie den Domänen-Controller so, dass stattdessen der Servername (NetBIOS oder DNS) verwendet wird. Der Client (auf dem die AD-Synchronisierung läuft) muss entweder Teil der Domäne sein oder es muss sichergestellt sein, dass der DNS-Name zum Ziel-Domänen-Controller aufgelöst werden kann.

· Zertifikate, die vom Kunden zur Verfügung gestellt und in SGN importiert werden, werden derzeit nicht gemäß RFC3280 verifiziert. So wird z. B. nicht verhindert, dass Signatur-Zertifikate für Verschlüsselungszwecke benutzt werden.

· Überlappende Richtlinien, die einer Gruppe zugeordnet sind, können zu einer falschen Ermittlung der Prioritäten führen. Bitte verwenden Sie separate Richtlinieneinstellungen.

· Wenn Sie eine minimale Kennwortgültigkeitsdauer von unter 2 Tagen zulassen möchten, ändern Sie bitte nicht die Einstellung von “Kennwortänderung erlaubt nach mindestens (Tage)”. Nach einer Änderung beträgt die Mindestgültigkeitsdauer 2 Tage.

· Bitte beachten Sie vor der Deinstallation: Benutzer können für Volumes, die mit einem benutzerspezifischen Schlüssel verschlüsselt sind, der Ihnen nicht zugewiesen ist, keine Deinstallation durchführen.

· Auf Maschinen, die für eine andere Auflösung als 96 DPI konfiguriert sind, treten einige GUI-Layout-Probleme auf.

· Es wird empfohlen, Importvorgänge mit mehr als 400.000 Objekten aus dem AD in mehrere Vorgänge aufzuteilen. Unter Umständen ist dies nicht möglich, wenn sich mehr als 400.000 Objekte in einer Organisationseinheit befinden.

· Verschlüsselungsschlüssel die lokal mit einer SafeGuard Removable Media Version vor Version 1.20 erstellt wurden, werden nicht an das SafeGuard Management Center übertragen und sind dort nicht sichtbar.

· Clients, die Mitglieder einer unbekannten Arbeitsgruppe sind, können sich nicht in SGN-Installationen autoregistrieren, die von Versionen vor Version 5.20 migriert wurden. Die Arbeitsgruppe muss zunächst im SafeGuard Management Center angelegt werden.

· Die Autoregistrierung schlägt fehl, wenn keine NetBIOS-Unterstützung verfügbar ist.
Verwenden Sie nur dann IP-Adressen, wenn NetBIOS ebenfalls in Ihrem Netzwerk aktiv ist. Wenn Sie IPO-Adressen ohne NetBIOS-Unterstützung verwenden, werden autoregistrierte Benutzer und Computer nicht in ihre Domänen einsortiert.

· Zwei Sicherheitsbeauftragte dürfen nicht das gleiche Windows-Konto auf einem PC benutzen. Andernfalls lassen sich ihre Zugriffsrechte nicht sauber trennen.

· Der Bestand eines BitLocker Client zeigt nicht den korrekten Status von Wechselmedien.

· Clients, die als Mitglieder eine Domäne registriert wurden, werden im SafeGuard Management Center nicht korrekt aktualisiert, wenn sie in eine Windows-Arbeitsgruppe verschoben werden.

· Nach der Aktualisierung einer SGN-Datenbank auf Version 5.50 zeigen alte Managementkonsolen einen Fehler an. Sie müssen ebenfalls aktualisiert werden.

· Bei der Durchführung einer Deinstallation verbleiben u. U. einige Dateien und Registry-Einträge auf dem Computer. Informationen zur manuellen Säuberung der Installation finden Sie in der Sophos Wissensdatenbank (Stichwörter “SGN & uninstall”). Die Säuberung ist notwendig, damit SGN auf dem Computer erneut installiert werden kann.

· SafeGuard Enterprise unterstützt keine Delta-CRLs. Beim Import einer Delta-CRL für ein CA wird die ursprüngliche CRL für den CA überschrieben. Dadurch werden u. U. zuvor widerrufene Zertifikate gültig. Verwenden Sie für SafeGuard Enterprise nur vollständige CRLs. In künftigen Produkt-Versionen wird die Unterstützung für Delta-CRLs adressiert.

· In seltenen Fällen können Probleme in Bezug auf zeitlichen Ablauf und/oder Konfiguration mit lokalen SQL Server Express Editions auftreten. Die Konfiguration der SafeGuard Datenbank in Verbindung mit der SQL Server Authentisierung funktioniert u. U. nicht. Ist dies der Fall, so empfehlen wir die Anwendung der Windows-Authentisierung mit SQL Server Express.

In seltenen Fällen können bei der Ausführung einer Berichtabfrage auf einer Datenbank mit mehreren 100.000 Ereignissen Timeout-Probleme auftreten. Ist dies der Fall, so lässt sich das Problem u. U. durch eine Erhöhung des Timeout-Werts über die folgende Registry-Einstellung beheben:

                    Hive:      HKEY_LOCAL_MACHINE
                    Key:      SOFTWARE\Utimaco\SafeGuard Enterprise\Internal Settings
       Value Name:      TimeOut (DWORD)
                 Value:      1…30000 [milliseconds]

5.3 SafeGuard Enterprise Server

Bitte überprüfen Sie die SafeGuard Enterprise Software-CD (Tools-Verzeichnis) auf zusätzliche Informationen zur SGN Server Aktualisierung.

· HTTP-Authentisierung (des Client beim IIS) wird nicht unterstützt.

· Zur Entlastung des Netzwerks wird empfohlen, Verbindungstransfer-Intervalle von mehr als 240 Minuten anzuwenden.

· Es wird empfohlen, die IIS Memory Recycling Optionen mit den Standardeinstellungen anzuwenden.

· Der Zugriff auf die Standardseite des WEB Service kann zu einem Ausnahmefehler führen. Dieses Problem lässt sich durch eine erneute Registrierung von ASP.NET beheben: aspnet_regiis /i

· Um Inkompatibilität mit vorhandenen Anwendungen zu vermeiden, wird empfohlen, den SGN Server auf einem dedizierten IIS Server zu installieren.

· SGN 5.00/5.10/5.20/5.30 Clients werden von SGN 5.50 Enterprise Server nicht unterstützt. Sie müssen vor der Migration von SGN Enterprise Server auf Release 5.50 auf SGN Release 5.35 oder höher migriert werden.

· Die Verbindung von SGN 5.50 Clients mit SGN Servern vor Release 5.50 wird nicht unterstützt. Eine Mischung aus verschiedenen SGN Client Versionen sollte nur während der Migrationsphase vorliegen.

· SafeGuard Enterprise API: Protokollereignisse zur Managementkonsole können nicht erzeugt werden, wenn gleichzeitig eine ähnliche Funktionalität über SGN API aufgerufen wird.

· SafeGuard Enterprise API: Die Methode “CreateDirectoryConnection” läuft nicht allein auf einem SGN Server. Für diese API muss auf dem Computer auch die SGN Managementkonsole installiert sein.

5.4 SafeGuard Enterprise Data Exchange Client

· Die Installation von DX auf einem System mit SafeGuard Removable Media wird  nicht verhindert.
SGRM und SGN DX sind Produkte für die Dateiverschlüsselung, die nicht zusammen auf einem Computer verwendet werden können. Der DX Installer überprüft diese Bedingung jedoch nicht. Vor der Installation von SGN DX muss SGRM deinstalliert werden.

· Recovery für vergessene Kennwörter
SafeGuard Data Exchange ohne Device Encryption bietet für den Fall, dass der Benutzer sein Kennwort vergessen hat, keinen Recovery-Vorgang über Challenge/Response. In diesem Fall müssen Sie das Kennwort im Active Directory ändern, sich ohne Sophos Credential Provider anmelden und die Benutzerkonfiguration auf dem Client wiederherstellen. Weitere Informationen finden Sie in der Sophos Wissensdatenbank.

· Kompatibilität mit SG RemovableMedia 1.20
Lokale Schlüssel, die vor der Umstellung auf SafeGuard Data Exchange mit SafeGuard Removable Media in einer Version nach Version 1.20 erstellt wurden, können auf dem SGN Client verwendet werden. Sie werden jedoch nicht automatisch an die SGN-Datenbank übertragen.

· Kompatibilität mit SG Easy 4.x
Wenn Sie SafeGuard Data Exchange mit SafeGuard Easy 4.x verwenden, beachten Sie, dass SGE GINA-Mechanismen (insbesondere der Secure Autologon – SAL) in diesem Fall nicht mehr funktionieren. SGE muss zuerst installiert werden und beide Produkte sollten nur zusammen deinstalliert werden (ohne Neustart), um GINA-Konflikte zu vermeiden.

· Kompatibilität mit Microsoft Office 2007
Microsoft Office 2007 Anwendungen (z. B. WinWord, Excel) brechen beim Speichern von Änderungen an einer Klartext-Datei ab, wenn die Datei gemäß der aktuellen Verschlüsselungsrichtlinie verschlüsselt werden muss.

Lösung:
- Passen Sie den Datei-Verschlüsselungsstatus an die Richtlinie an, oder - fügen Sie die Office-Programme zum Registry Key „Special Rename Processes“.

Mit der folgenden Muster-Registry-Einstellung werden WinWord.exe und Excel.exe zu diesem Registry Key hinzugefügt.

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\UTIMACO\SGLCENC ] "SpecialRenamePrograms"="winword.exe;excel.exe;"  Weitere Informationen finden Sie in der Sophos Wissensdatenbank (109474).

· Erhöhte Rechte für Benutzer für verschlüsselte, ausführbare Dateien
Wird eine verschlüsselte, ausführbare Datei oder ein verschlüsseltes Installationspaket unter Windows Vista oder Windows 7 gestartet und werden dadurch erhöhte Rechte für den Benutzer erforderlich, so wird die Erhöhung der Rechte u. U. nicht durchgeführt und die ausführbare Datei wird nicht gestartet.

· SGPortable-Link auf schreibgeschützten Medien
Der im Stamm eines Wechselmediums angelegte Link zur Anwendung SGPortable funktioniert unter bestimmten Bedingungen nicht (nur unter Windows 7). Wird ein Medium in ein Laufwerk auf einem Gerät eingelegt, das einen anderen Laufwerksbuchstaben hat, als das Laufwerk beim Kopieren von SafeGuard Portable auf das Medium, so funktioniert der Link nicht, wenn auf diesem Gerät ebenfalls ein Laufwerk mit diesem Buchstaben zur Verfügung steht. Beispiel: Der SafeGuard Portable Link wurde auf einem Medium im Laufwerk D: angelegt. Das Medium wird daraufhin auf einer anderen Maschine in Laufwerk E: verwendet. Weist diese Maschine ebenfalls ein Laufwerk mit dem Laufwerksbuchstaben D auf, so funktioniert der Link nicht. Andernfalls funktioniert der Link wie erwartet.

· Zugriff auf den Schlüsselring nach dem Schließen einer Remote Session
Auf den Schlüsselring eines Benutzers besteht nach dem Schließen einer bestehenden Remote Session kein Zugriff mehr. Um den vollen Zugriff auf den Schlüsselring des Benutzers wieder zu gewährleisten, muss der Client neu gestartet werden. Abmelden und erneutes Anmelden reicht hier nicht aus.

5.5 SafeGuard Enterprise Device Encryption Client

· Mit BitLocker To Go verschlüsselte Geräte können Device Encryption Installation verhindern
Wenn ein mit BitLocker To Go verschlüsselter USB-Stick während der Installation von SafeGuard Enterprise mit dem Computer verbunden ist, schlägt die Installation fehl. Die Ursache hierfür ist, dass Windows das System als BitLocker-aktiviert identifiziert. Dies ist eine gültige Bedingung für den Fehlschlag einer Device Encryption Client-Installation. Entfernen Sie daher vor der Installation von SGN DE mit BitLocker To Go verschlüsselte Geräte.

· Device Encryption schlägt u. U. auf manchen USB-Sticks fehl
In seltenen Fällen wird bei manchen USB-Stick-Modellen eine falsche Speicherkapazität ausgegeben (in der Regel eine größere Kapazität als die physikalisch zur Verfügung stehende). Bei diesen Modellen schlägt die volume-basierende Erstverschlüsselung fehl und die Daten auf dem USB-Stick gehen verloren. Wir empfehlen generell, für die Verschlüsselung von Wechselmedien die dateibasierende Verschlüsselung (DX-Modul) zu verwenden

· Ort des Benutzerprofils auf verschlüsselten Volumes
Wird ein Volume verschlüsselt, auf dem sich ein oder mehrere Benutzerprofile befinden, so sollten nur Schlüssel verwendet werden, die den Benutzern zur Verfügung stehen, deren Profile sich auf dem verschlüsselten Volume befinden. Um eine korrekte Systemkonfiguration zu gewährleisten, sollten sich Benutzerprofile nicht auf verschlüsselten Volumes befinden, für die ein Benutzer nicht über die notwendigen Verschlüsselungsschlüssel verfügt. Für die Verschlüsselung dieses Volumes dürfen nur Schlüssel verwendet werden, die allen Benutzern zur Verfügung stehen. Dies führt nur dann zu Problemen, wenn der Standardspeicherort der Benutzerprofile vom System-Volume auf ein anderes, lokales und verschlüsseltes Volume geändert wird.

· SafeGuard Easy
Für den Client ist nach der ersten Anmeldung ein weiterer Neustart erforderlich, um die Registrierung des angemeldeten Benutzers sicherzustellen.

· Aktualisierung
Bei der Aktualisierung einer älteren Version des SGN Client wird empfohlen, den Installationsmodus ‘Angepasst’ zu wählen und die gewünschten Features manuell auszuwählen, unabhängig davon, ob sie bereits mit der vorherigen Version installiert waren oder nicht. Nach Wunsch können Sie auch den ‘Vollständig’-Modus wählen. Wenn Sie den Modus ‘Typisch’ wählen, werden einige Features u. U. nicht korrekt aktualisiert.
Verwenden Sie bei einer unbeaufsichtigten Installation die Property ADDLOCAL=, um alle gewünschten Features (vorhandene und neue) auszuwählen. Wird diese Option nicht angegeben, werden nur die mit der vorigen Version installierten Features aktualisiert.

· Installation des Client-Konfigurationspakets
Nach der Installation des Client-Konfigurationspakets sollte der Benutzer vor der Bestätigung des abschließenden Neustarts zwischen 5 und 10 Sekunden warten. Nach dem Neustart sollte der Benutzer wiederum in der Windows-Anmeldemaske ungefähr 3 Minuten warten, bis er sich anmeldet. Andernfalls, ist der initiale Benutzerabgleich u. U. erst nach einem erneuten Neustart abgeschlossen.

· Local Self-Help
Die Recovery-Option Local Self Help wird in der POA für Benutzer, die sich mit Token oder Fingerabdruck anmelden können, nicht angezeigt. LSH funktioniert nur dann, wenn sich der Benutzer an der POA mit Benutzer-ID und Kennwort anmeldet.

·         Delay Write Fehler während Erstverschlüsselung
Während der Installation von SafeGuard Enterprise Base Encryption gibt das Betriebssystem  u. U. Delayed Write Failures aus. Dies geschieht unmittelbar nach Installation des Kernel auf dem Dateisystem. Diese Fehler können durch die parallele Ausführung mehrerer I/O-Vorgänge während des nächsten Neustarts unmittelbar nach dem Modifizieren des Dateisystems ausgelöst werden.

Lösung:
Eine alternatives Verfahren für die Installation des SafeGuard Enterprise Base Encryption Kernel lässt sich durch Hinzufügen des Registry-Werts durchsetzen.

            Hive:    HKEY_LOCAL_MACHINE
            Key:     System\CurrentControlSet\Control\Session Manager
Value Name:    AllocMode (DWORD)
            Value:   1  Dieser Registry-Wert sollte vor dem Einrichten von SafeGuard Enterprise Base Encryption hinzugefügt werden.

· Richtlinie vom Typ Geräteschutz für Wechsellaufwerke
Eine Richtlinie für die volume-basierende Verschlüsselung von Wechsellaufwerken, die es dem Benutzer erlaubt, einen Schlüssel aus einer Liste auszuwählen (z. B. „Beliebiger Schlüssel im Schlüsselring des Benutzers“), kann vom Benutzer umgangen werden, indem er keinen Schlüssel auswählt. Um sicherzustellen, dass Wechsellaufwerke immer verschlüsselt werden, sollte der Sicherheitsbeauftragte entweder eine dateibasierende Verschlüsselungsrichtlinie verwenden oder in der volume-basierenden Verschlüsselungsrichtlinie explizit einen Schlüssel festlegen.

· Richtlinie vom Typ Geräteschutz in Verbindung mit einer Richtlinie vom Typ Konfigurationsschutz für Nicht-Boot-Laufwerke
Wenn in Windows Vista Systemen sowohl Features der volume-basierenden Verschlüsselung als auch Configuration Protection Features installiert sind, können Richtlinien für die Verschlüsselung von Nicht-Boot-Laufwerken einen Stillstand des Erstverschlüsselungsvorgangs verursachen. Dies können Sie verhindern, indem Sie vor der SGN-Installation die Datei bootmgr auf diese Volumes kopieren und die Verschlüsselungsrichtlinie mit dem Ziel „Boot-Laufwerke“ definieren.

· Data Exchange Richtlinien und SafeGuard Easy
In Data Exchange Richtlinien kann der definierte Computerschlüssel nicht für SafeGuard Easy 5.50 verwendet werden. Wenn die betreffende Richtlinie auf SafeGuard Easy Clients angewendet werden soll, wählen Sie bitte einen anderen Schlüssel.

· Kerberos-Unterstützung mit A-Trust Token
Client-Setup für die Kerberos-Anmeldung mit A-Trust Smartcards:

Die A-Trust Middleware muss mit den folgenden Parametern installiert werden:

acSetup.exe /CALAIS=Yes  Führen Sie über das A-Trust Tray Icon eine Aktualisierung der Middleware durch. Dieser Schritt ist auch dann notwendig, wenn Sie bereits die aktuelle Version der A-Trust Middleware installiert haben, da dadurch das A-Trust Stammzertifikat heruntergeladen und installiert wird.

Installieren Sie die Registry-Einstellungen aus \Tools\ATrustSetup .reg.

Hinweis: Der Benutzerschlüsselspeicher kann nicht mit Version 1.2.5.2 oder einer früheren Version der A-Trust Middleware geöffnet werden. A-Trust arbeitet bereits an diesem Problem.

· Kerberos-Unterstützung mit Aladdin eToken Pro
Für die Windows Kerberos-Anmeldung mit Aladdin eToken PRO 72k (Java) ist der Aladdin PKI Client 5.0 erforderlich. Diese Token müssen jedoch Aladdin PKI Client 4.55 initialisiert werden, damit sie mit der SGN POA kompatibel sind.

· Novell Client
Um den SGN Client in Verbindung mit einem Novell Client zu benutzen, sind einige projektspezifische Anpassungen notwendig. Weitere Informationen hierzu erhalten Sie vom Sophos Support.

· Schnelle Benutzerumschaltung
Die schnelle Benutzerumschaltung wird nicht unterstützt und muss deaktiviert werden.

· Eingebautes Diskettenlaufwerk
Nach der Installation von SGN Device Encryption unter Windows Vista ist das eingebaute Diskettenlaufwerk nicht mehr verfügbar. Diese Einschränkung gilt nicht für externe Diskettenlaufwerke, die über den USB-Bus angesteckt werden.

· Für den Start des Computers benötigte Zeit
Die Zeit, die für den Start des Computers benötigt wird, erhöht sich nach der Installation der SGN Client Software um ca. eine Minute.

· Verschlüsselung ‘virtueller Laufwerke’
Virtuelle Laufwerke, die auf dem Client-Computer bereitgestellt werden (z. B. VHD-Datei in Windows mit MS Virtual Server Mounter) werden als lokale Festplattenlaufwerke betrachtet. Ihr Inhalt wird daher ebenfalls verschlüsselt, wenn eine Verschlüsselungsrichtlinie für „andere Volumes“ definiert wird.

· Volume-basierende Verschlüsselung kann nicht in Verbindung mit BitLocker verwendet werden. Der SGN Client Setup lässt eine gleichzeitige Installation beider Features nicht zu.

· Während der Erstverschlüsselung der Systempartition (d. h. der Partition, auf der sich die Datei hiberfil.sys befindet), kann das Versetzen in den Ruhezustand fehlschlagen und sollte daher vermieden werden. Nach der Erstverschlüsselung der Systempartition muss der Computer neu gestartet werden, damit die Ruhezustandfunktion wieder problemlos angewendet werden kann.

· Während der Deinstallation des SGN Device Encryption Client werden Volumes, die mit dem Standard-Computerschlüssel verschlüsselt wurden, automatisch entschlüsselt. Andere Volumes, die mit anderen Schlüsseln verschlüsselt wurden, werden nicht automatisch entschlüsselt. Sie müssen vor der Deinstallation des SGN Device Encryption Client über eine entsprechende Richtlinie entschlüsselt werden.

· Bevor Sie eine Deinstallation des letzten SGN Client, auf den Zugriff besteht, durchführen, sollten Sie alle verschlüsselten Wechselmedien entschlüsseln. Andernfalls besteht die Gefahr, dass Sie nicht mehr auf Ihre Daten zugreifen können. Solange Sie Ihre SGN-Datenbank beibehalten, können die Daten auf den Wechselmedien wiederhergestellt werden.

· Es wird empfohlen, einen SGN Client PC nach der Aktivierung der SGN Power-on Authentication mindestens einmal neu zu starten. SGN erstellt bei jedem Windows-Start eine Sicherungskopie seiner Kerneldaten. Diese Sicherungskopie wird nicht erstellt, wenn der PC nur in den Ruhezustand oder in den Standby-Modus versetzt wird.

· Microsoft Windows XP weist eine technische Einschränkung in Bezug auf den Kernel Stack auf. Wenn mehrere Dateisystemfiltertreiber (z. B. Antivirus-Software) installiert sind, reicht der Speicher u. U. nicht aus. In diesem Fall kann ein BSOD auftreten. Sophos kann für diese Windows-Einschränkung nicht haftbar gemacht werden und kann dieses Problem auch nicht beheben.

· Im Windows Willkommen-Dialog gehen in einigen Fällen Ereignisse in Bezug auf das Einstecken eines Token verloren. Hier muss der Token aus- und wieder eingesteckt werden, bis er erfolgreich erkannt wird. Alternativ dazu können Sie STRG-ALT-ENTF drücken, um in den Anmeldedialog zu wechseln. Hier tritt dieses Problem nicht auf.

· Tritt bei der Kerberos-Anmeldung an Windows ein Fehler auf, so schließt sich der PIN-Dialog nach Schließen der entsprechenden Fehlermeldung nicht automatisch. Der Benutzer muss ESC oder STRG-ALT-ENTF drücken, um wieder in den Anmeldedialog zu gelangen.

· Auf Clients, die OHCI für die USB-Schnittstelle verwenden, funktionieren u. U. einige Smartcard Reader oder USB-Token nicht.

· Damit USB Smartcard Reader unterstützt werden können, muss für Dell 620 Notebooks die BIOS-Einstellung „Compatible Mode“ BIOS (in Onboard Devices/Integrated USB) gesetzt sein. Dies ist der Standardwert.

· In Kombination mit Aladdin PKI Client 4.5x, kann eine erhebliche Anmeldeverzögerung auf GINA-Ebene auftreten. Wir empfehlen daher, die Version 5.0 zu verwenden.

· Bei der volume-basierenden Verschlüsselung werden Volumes, die sich auf "Dynamic Disks" oder “GPT Disks” befinden, nicht unterstützt.

· Aufgrund von technischen Einschränkungen ist für die durchgehende Anmeldung in Verbindung mit Kerberos (Smartcard/Token) unter Windows XP das erneute Anstecken der Smartcard oder des Token auf GINA-Ebene notwendig.

· Wenn eine Deinstallation des SGN Client über Active Directory ausgelöst wird, muss sichergestellt werden, dass alle volume-basierend verschlüsselten Volumes zuvor korrekt entschlüsselt wurden.

· Die Kompatibilität mit Imaging Tools wurde nicht getestet und wird daher nicht unterstützt.

· Wenn für die Anmeldung ein Aladdin Token verwendet wird, der Benutzer-ID, Kennwort und Zertifikat speichert, funktionieren derzeit nur 1024 Bit Zertifikate problemlos.

· Sonderzeichen (z. B. ä, ö, ü,…) müssen auf POA-Ebene unter Beachtung der Groß-/Kleinschreibung eingegeben werden.

· Einige Computer lassen sich nach dem Booten der POA von der Festplatte nicht mehr von einer Diskette booten. Dies ist eine Einschränkung der BIOS-Implementation dieser Computer und kann von Sophos nicht gelöst werden.

· Bei der Verwendung von Sonderzeichen in den rechtlichen Hinweisen für die POA sollte vorsichtig vorgegangen werden. Einige dieser Zeichen werden u. U. nicht korrekt dargestellt.

· Es wird empfohlen, vor der Verschlüsselung einer Partition mit volume-basierender Verschlüsselung chkdsk c: /f /v /l /x auszuführen, um jeden Sektor der Partition einzubeziehen. Die Firmware der Festplatte ersetzt dann jeden defekten Sektor, bevor SGN versucht, ihn zu verschlüsseln.

· Wenn Sie SafeGuard Portable in Kombination mit dem SGN Client benutzen, muss der Algorithmus AES-256 für die Verschlüsselung von Wechselmedien verwendet werden.

· Clients, die die BitLocker-Verschlüsselung verwenden, erkennen USB-Festplatten als “Andere Volumes” anstelle von “Wechselmedien”. Wenn Sie USB-Festplatten auf BitLocker Clients verwenden möchten, wenden Sie keine Verschlüsselungsrichtlinien für „andere Volumes“ an.

· Wenn Sie SGN Device Encryption und SGN Data Exchange auf einem Client installiert haben, können Sie Device Encryption nicht separat deinstallieren. Sie müssen das komplette Paket deinstallieren.

· Volume- und dateibasierende Verschlüsselung wurden erfolgreich mit Installationen von Sophos Antivirus-Softwareprodukten getestet sowie mit den folgenden Software-Produkten:

AVG
AVG Anti-Virus Netzwerk Edition 8.5.386
Computer Associates
CA Anti-Virus 2009
Bitte verwenden Sie folgenden Registry Key

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\INO_FLTR\Setting]
"Controls"=dword:00000003
F-Secure
F-Secure AntiVirus 2009 (Version 9.00 Build 149)
G-Data
G Data Antivirus 2010 (Version 20.0.1.1)
Kaspersky
Kaspersky Internet Security 2010 (Version 9.0.0.459)
Network Associates
McAfee VirusScan Enterprise Version 8.7.0 i
Scanmodul-Version (32-bit): 5300.2777, DAT-Version: 5381.0000
Norman
Norman Virus Control (Version 5.99)
Symantec
Symantec Endpoint Protection 11.0 (Version 11.0.4000)

Treten während des Startens Probleme auf, so führen Sie folgenden Vorgang aus:

In HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\Storages\ Filesystem\RealTimeScan

Setzen Sie den DWORD Wert KStackMinFree auf 0x2200.

Eine detaillierte Beschreibung des Keys finden Sie hier:

http://service1.symantec.com/support/ent-security.nsf/854fa02b4f5013678825731a007d06af/f5ee041a924af12d8825709d00509eb2?OpenDocument

Trend Micro
Trend Micro Internet Security 2009

· Ist auf einem Client nur SGN Data Exchange installiert und werden Benutzer importiert, so werden diese Benutzer nicht automatisch in die POA importiert, wenn SGN Device Encryption später installiert wird. In diesem Fall müssen Sie eine Benutzeraktualisierung auslösen, indem Sie z. B. dem Verzeichnisstamm vorübergehend einen Schlüssel zuweisen.

· Wenn Sie einen SGN Client deinstallieren, müssen Sie zuerst das Client-Konfigurationspaket deinstallieren.

· Das Tool BE_RESTORE versucht immer, auf disk0 zuzugreifen. Dabei muss es sich nicht unbedingt um die Festplatte handeln, z. B., wenn ein USB-Stick angeschlossen ist oder eine RAM-Disk verwendet wird.

· Das Tool BE_RESTORE weist bei Windows Vista/Windows PE 2.0 einige Einschränkungen auf, wenn die Festplatte noch nicht verschlüsselt ist.

· Für die Anwendung des Tools BE_RESTORE mit Windows PE 2.0 werden mindestens 512 MB Speicher benötigt.

· Ein Disketten-Medienwechsel wird nicht immer korrekt erkannt. Um sicherzustellen, dass der Medienwechsel erkannt wird, versuchen Sie, auf das Diskettenlaufwerk zuzugreifen, ohne dass sich ein Medium im Laufwerk befindet (z. B. mit dem Explorer).

· Bis Service Pack 2 wies Windows XP auf manchen Computern das Problem auf, dass nach der Reaktivierung aus dem Standby-Modus nicht ein gesperrter Desktop, sondern direkt der Benutzerdesktop angezeigt wurde. Dieses Problem trat auch auf durch SafeGuard Enterprise geschützten Computern auf. Das Problem sollte mit Windows XP SP3 behoben sein.

· In seltenen Fällen traten in unseren Tests Probleme bei Smartcard Middleware auf. Diese verlor den Sitzungsstatus nach dem Entsperren des Desktop. SGN sperrt in diesem Fall der Desktop wieder. Sollte dieses Problem auftreten, so lässt es sich durch Setzen der Richtlinieneinstellung “Aktion bei Verlust des Anmeldestatus des Token” auf “Keine Aktion” lösen.

· In sehr seltenen Fällen endet das Einrichten des SGN Device Encryption Client mit dem Fehler 5001. Dies bedeutet, dass Ihre Festplatte für die Installation der Software zu fragmentiert ist. Der SGN Kernel benötigt 96 MB zusammenhängenden, freien Festplattenspeicherplatz auf der ersten Festplatte.

· Die Durchsetzung der SafeGuard Enterprise Richtlinieneinstellung Kennworthistorie kann während des Kennwortwechsels vom Benutzer durch Durchsetzung des Systemadministrators umgangen werden.

· Wenn als mögliche Anmeldemethode auf einem SGN Client die Anmeldung mit kryptographischem Token konfiguriert ist, wird die Anmeldung an diesen SGN Client über Remote Desktop nicht unterstützt.

· Benutzer, deren Benutzer-IDs Umlaute enthalten, die nicht auf dem ausgewählten Tastaturlayout zur Verfügung stehen, können sich nicht an der POA anmelden.

· Im Pre-Boot Authentication Modul werden die folgenden Tastaturlayouts unterstützt. "x" bedeutet, dass die Sprache vollständig unterstützt wird. Alle anderen Sprachen nehmen den angegebenen Standard an. Wenn Benutzer eine nicht unterstützte Tastatur benutzen, die als Standard die US-Tastatur annimmt, sollten keine Sonderzeichen in Kennwörtern verwendet werden.

Sprachen-ID Tastatur Sprache / Anmerkungen

====================================================================

0x0000 US Sprache neutral

0x0400 US Prozess- oder Benutzerstandardsprache

0x0800 US Systemstandardsprache

0x0401 US Arabisch (Saudi-Arabien)

0x0801 US Arabisch (Irak)

0x0c01 US Arabisch (Ägypten)

0x1001 US Arabisch (Libyen)

0x1401 US Arabisch (Algerien)

0x1801 US Arabisch (Marokko)

0x1c01 US Arabisch (Tunesien)

0x2001 US Arabisch (Oman)

0x2401 US Arabisch (Jemen)

0x2801 US Arabisch (Syrien)

0x2c01 US Arabisch (Jordanien)

0x3001 US Arabisch (Libanon)

0x3401 US Arabisch (Kuwait)

0x3801 US Arabisch (Vereinigte Arabische Emirate)

0x3c01 US Arabisch (Bahrain)

0x4001 US Arabisch (Katar)

US Arabisch (102) AZERTY

X 0x0402 BG Bulgarisch Kein Font verfügbar

0x0403 ES Katalanisch

0x0404 US Chinesisch (Taiwan) Kein Font verfügbar

0x0804 US Chinesisch (PRC) Kein Font verfügbar

0x0c04 US Chinesisch (Hong Kong SAR, PRC) “

0x1004 US Chinese (Singapore) Kein Font verfügbar

0x1404 US Chinesisch (Macao SAR) (98/ME,2K/XP)

X 0x0405 cz Tschechisch

X 0x1402 cz_qwerty Tschechisch (QWERTY)

US Tschechisch (Programmers)

X 0x0406 dk Dänisch

X 0x0407 de Deutsch (Standard)

X 0x0807 de_CH Deutsch (Schweiz)

0x0c07 de Deutsch (Österreich)

0x1007 de Deutsch (Luxemburg)

0x1407 de Deutsch (Liechtenstein)

X 0x0408 el Griechisch Kein Font verfügbar

X 0x0409 us Englisch (USA)

X 0x0809 gb Englisch (United Kingdom)

0x0c09 us Englisch (Australien)

0x1009 us Englisch (Kanada)

0x1409 us Englisch (Neuseeland)

X 0x1809 ie Englisch (Irland)

0x1c09 US Englisch (Südafrika)

0x2009 US Englisch (Jamaika)

0x2409 US Englisch (Karibik)

0x2809 US Englisch (Belize)

0x2c09 US Englisch (Trinidad)

0x3009 US Englisch (Zimbabwe) (98/ME,2K/XP)

0x3409 US Englisch (Philippinen) (98/ME,2K/XP)

X 0x040a ES Spanisch (Spanien, Traditional Sort)

0x080a ES Spanisch (Mexiko)

0x0c0a ES Spanisch (Spanien, Modern Sort)

0x100a ES Spanisch (Guatemala)

0x140a ES Spanisch (Costa Rica)

0x180a ES Spanisch (Panama)

0x1c0a ES Spanisch (Dominikanische Republik)

0x200a ES Spanisch (Venezuela)

0x240a ES Spanisch (Kolumbien)

0x280a ES Spanisch (Peru)

0x2c0a ES Spanisch (Argentinien)

0x300a ES Spanisch (Ecuador)

0x340a ES Spanisch (Chile)

0x380a ES Spanisch (Uruguay)

0x3c0a ES Spanisch (Paraguay)

0x400a ES Spanisch (Bolivien)

0x440a ES Spanisch (El Salvador)

0x480a ES Spanisch (Honduras)

0x4c0a ES Spanisch (Nicaragua)

0x500a ES Spanisch (Puerto Rico)

X 0x040b fi Finnisch

US Finnisch (mit Sami)

X 0x040c fr Französisch (Standard)

X 0x080c be Französisch (Belgien)

0x1080c be Belgien(Comma)

X 0x0c0c ca_enhanced Französisch (Kanada)

US Französisch (Kanada, Legacy)

US Kanada (Multilingual)

X 0x100c fr_CH Französisch (Schweiz)

0x140c fr_CH Französisch (Luxemburg)

0x180c fr Französisch (Monaco) (98/ME,2K/XP)

0x040d US Hebräisch

X 0x040e hu Ungarisch

X 0x040f is Isländisch

X 0x0410 it Italienisch (Standard)

0x0810 it Italienisch (Schweiz)

X 0x0411 jp Japanisch

X 0x0412 ko Koreanisch Kein Font verfügbar

0x0812 US Koreanisch (Johab) (95,NT)

X 0x0413 nl Niederländisch (Niederlande)

X 0x0813 be Niederländisch (Belgien)

X 0x0414 no Norwegisch (Bokmal)

0x0814 no Norwegisch (Nynorsk)

X 0x0415 pl Polnisch Kein Font verfügbar

X 0x0416 br Portugiesisch (Brasilien)

X 0x0816 pt Portugiesisch (Portugal)

X 0x0418 ro Rumänisch

0x0419 US Russisch

0x041a US Kroatisch

0x081a US Serbisch (Latin)

0x0c1a US Serbisch (Cyrillic)

0x101a US Kroatisch (Bosnien und Herzegovina)

0x141a US Bosnisch (Bosnien und Herzegovina)

0x181a US Serbisch (Latin, Bosnien und Herzegovina)

0x1c1a US Serbisch (Cyrillic, Bosnien und Herzegovina)

0x041b sk Slowakisch

0x041c US Albanisch

X 0x041d se Schwedisch

0x081d se Schwedisch (Finnland)

0x041e US Thai

X 0x041f tr Türkisch Kein Font verfügbar

0x0420 US Urdu (Pakistan) (98/ME,2K/XP)

0x0820 US Urdu (Indien)

0x0421 US Indonesisch

0x0422 uk Ukrainisch

0x0423 US Weißrussisch

0x0424 sl Slowenisch

0x0425 US Estisch

0x0426 lv Lettisch

0x0427 lt Litauisch

0x0827 US Litauisch (Classic) (98)

0x0429 US Farsi

0x042a US Vietnamesisch (98/ME,NT,2K/XP)

0x042b US Armenisch. Nur Unicode. (2K/XP)

US Armenisch Eastern

US Armenisch Western

0x042c US Aserbaidschanisch (Latin)

0x082c US Aserbaidschanisch (Cyrillic)

0x042d US Baskisch

0x042f US Mazedonisch (FYROM)

0x0430 US Sutu

0x0432 US Setswana/Tswana (Südafrika)

0x0434 US isiXhosa/Xhosa (Südafrika)

0x0435 US isiZulu/Zulu (Südafrika)

0x0436 US Afrikaans

0x0437 US Georgisch. Nur Unicode. (2K/XP)

0x0438 US Färöisch

0x0439 US Hindi. Nur Unicode. (2K/XP)

0x043a US Maltesisch (Malta)

0x043b US Sami, Northern (Norwegen)

0x083b US Sami, Northern (Schweden)

0x0c3b US Sami, Northern (Finnland)

0x103b US Sami, Lule (Norwegen)

0x143b US Sami, Lule (Schweden)

0x183b US Sami, Southern (Norwegen)

0x1c3b US Sami, Southern (Schweden)

0x203b US Sami, Skolt (Finnland)

0x243b US Sami, Inari (Finnland)

0x043e US Malaiisch (Malaysia)

0x083e US Malaiisch (Brunei Darussalam)

0x0440 US Kyrgyz. (XP)

0x0441 US Suaheli (Kenia)

0x0443 uz Uzbekisch (Latin)

0x0843 US Uzbekisch (Cyrillic)

0x0444 US Tatarisch (Tatarstan)

0x0445 US Bengali (Indien)

US Bengali (Inscript)

0x0446 US Punjabi. Nur Unicode. (XP)

0x0447 US Gujarati. Nur Unicode. (XP)

0x0449 US Tamil. Nur Unicode. (2K/XP)

0x044a US Telugu. Nur Unicode. (XP)

0x044b US Kannada. Nur Unicode. (XP)

0x044c US Malayalam (Indien)

0x044e US Marathi. Nur Unicode. (2K/XP)

0x044f US Sanskrit. Nur Unicode. (2K/XP)

0x0450 US Mongolisch (XP)

0x0452 US Walisisch (United Kingdom)

0x0455 US Burmesisch

0x0456 US Galizisch (XP)

0x0457 US Konkani. Nur Unicode. (2K/XP)

0x045a US Syrisch. Nur Unicode. (XP)

0x0465 US Divehi. Nur Unicode. (XP)

US Divehi (Phonetic)

US Divehi (Typewriter)

0x046b US Quechua (Bolivien)

0x086b US Quechua (Ecuador)

0x0c6b US Quechua (Peru)

0x046c US Sesotho sa Leboa/Nord-Sotho (South Africa)

0x007f US LOCALE_INVARIANT. Siehe MAKELCID.

0x0481 US Maori (Neuseeland)

5.6 SafeGuard Configuration Protection Client

Geräte werden nach der Anmeldung nicht gesperrt.
Benutzerrichtlinien werden durch einen Prozess durchgesetzt, der in der Benutzersitzung nach der Anmeldung gestartet wird. Wird der Start dieses Prozesses durch das Betriebssystem verzögert, so besteht u. U. für den Benutzer Zugriff auf gesperrte oder eingeschränkt freigegebene Geräte während dieser Verzögerung. Um dieses Verhalten zu vermeiden, wenden Sie die einschränkende Richtlinie stets auf Maschine und Benutzer an.
BSOD nach der Installation von SGN CP
Microsoft hat einen Hotfix für ein BSOD-Problem herausgegeben, das auch nach dem Installieren des Konfigurationspakets auftreten kann. Weitere Informationen hierzu finden Sie unter http://support.microsoft.com, Artikel-ID 906866.
Installation

§ Systemanforderungen .NET Framework 2.0

§ Installation  Halten Sie bei der Installation von SGN Configuration Protection bitte die folgende Installationsreihenfolge ein:

· SGNClient.msi

· SGN_CP_Client.msi. Starten Sie den Computer nicht neu!

· SGNClientConfig.msi

§ Deinstallation  Halten Sie bei der Deinstallation von SGN Configuration Protection bitte die folgende Deinstallationsreihenfolge ein:

· SGNClientConfig.msi

· SGNClient.msi. Starten Sie den Computer nicht neu!

· SGN_CP_Client.msi

Aktualisierung Bei der Aktualisierung des Configuration Protection Moduls muss die Richtlinie erneut angewendet werden, damit sie berücksichtigt wird.
Vista

§ Protokollereignis zu offenem Registry Handle Configuration Protection Client (SimonPro.exe) behält (aus Gründen des Manipulationsschutzes) ein Handle zur Registry bei, das auf dem Vista Betriebssystem eine Warnung auslöst.

§ Benutzerrichtlinie wird nicht geladen Wenn Benutzer nicht Strg+Alt+Del drücken müssen, um sich an Vista anzumelden (interaktive Anmeldungseinstellung), wird die Benutzerrichtlinie nicht korrekt geladen. In diesem Fall wird stattdessen die Maschinenrichtlinie geladen.

USB-Tastaturen werden als Hardware Key Logging Geräte klassifiziert Bestimmte USB-Tastaturen werden als Hardware Key Logging Geräte eingestuft und daher gesperrt. Sie stehen somit dem Betriebssystem nicht zur Verfügung. Dieses Problem tritt nur dann auf, wenn die Tastatur bei laufendem System ausgesteckt und an einem anderen USB-Port wieder eingesteckt wird. Zum Zeitpunkt der Erstellung dieses Dokuments, ist dieses Problem für die folgenden Tastaturen bekannt:

- Dell-Tastatur RT7D60 - Dell-Tastatur SK-3106
Höchstanzahl an Geräten in einer White List
Wenn Sie Geräte zu einer White List hinzufügen, damit diese nicht gesperrt werden, ist es empfehlenswert, die Anzahl an zugelassenen Geräten überschaubar zu halten. Wenn Sie erheblich mehr Geräte als 1000 Stück zu einer White List hinzufügen, kann dies die Leistung einer Maschine beim Evaluieren der Richtlinie erheblich beeinträchtigen.
White List Import
Wenn Sie eine durch den SafeGuard PortAuditor generierte White List importieren, muss die resultierende White List editiert und im SafeGuard Management Center gespeichert werden, damit sie in einer Richtlinie vom Typ “Konfigurationsschutz” verwendet werden kann.

5.7 Web Helpdesk

Web Browser Anforderung
Die von der Komponente SafeGuard Web Helpdesk gehosteten Web-Seiten werden von Internet Explorer 6 nicht korrekt dargestellt. Wir empfehlen daher Internet Explorer Version 7 oder Firefox Version 2 bzw. jeweils neuere Versionen.
Wird SafeGuard Web Helpdesk auf IIS installiert, so dürfen die Worker-Prozesse nicht auf mehr als 1 (Default) erhöht werden. Andernfalls schlägt die Autorisierung an WebHelpdesk fehl.

5.8 Aktualisierung von SGN 5.35 oder höher auf SGN 5.50

· Aktualisierungspfad für das SGN ConfigurationProtection Modul
Aufgrund von Sicherheitsbeschränkungen kann das SGN ConfigurationProtection Modul nicht direkt auf SGN 5.50 aktualisiert werden. Um die neue Version des ConfigurationProtection Modul korrekt zu installieren, muss die vorhandene Version zunächst entfernt werden.

Aktualisierungsvorgang:

1. Installieren Sie das Paket SGxClientPreinstall.msi

2. Aktualisieren Sie den SafeGuard Enterprise Client (SGNClient.msi), der das Configuration Protection Modul umfasst. (Starten Sie den Computer danach nicht neu!).

3. Entfernen Sie den SafeGuard Enterprise ConfigurationProtection PortProtector Client (SGN_CP_Client.msi)

4. Starten Sie den Computer neu.

5. Installieren Sie den neuen SafeGuard Enterprise ConfigurationProtection PortProtectorClient (SGN_CP_Client.msi).

6. Starten Sie den Computer neu.

5.9 SafeGuard Easy 4.x

Migration von SafeGuard Easy 4.30 oder höher auf SafeGuard Enterprise
Für die Migration von SafeGuard Easy auf SafeGuard Enterprise benötigt der Benutzer ein gültiges Windows-Konto. Falls der Benutzer sein Windows-Kennwort nicht weiß, weil er für die Anmeldung an Windows SAL benutzt, muss das Windows-Kennwort des Benutzers zurückgesetzt werden. Das neue Kennwort muss dem Benutzer mitgeteilt werden. Bitte lesen Sie vor der Migration den entsprechenden Abschnitt im Installationshandbuch.
Parallele Installation von SafeGuard Easy 4.x und SafeGuard Enterprise ohne Migration
SafeGuard Easy 4.x und SafeGuard Enterprise können parallel auf der gleichen Maschine installiert werden, unter der Voraussetzung, dass das SGN-Modul Device Encryption nicht installiert wird. Da beide Produkte eine eigene GINA installieren, funktioniert SGN nicht korrekt, wenn die eigene GINA benutzt wird. Um eine korrekte Konfiguration sicherzustellen, muss SGE ohne GINA-Unterstützung installiert werden (d. h. Option GINASYS=0 muss verwendet werden) bevor ein SGN-Modul (außer SGN DE) installiert wird. Wurde SGE mit aktivierter GINA-Option installiert, so muss das Produkt vor der Installation von SGN entfernt werden.

5.10 SafeGuard LAN Crypt

· SafeGuard LAN Crypt 3.70 ist als erste Version voll mit SafeGuard Enterprise kompatibel. Wenn Sie eine ältere Version von SafeGuard LAN Crypt installieren, empfehlen wir dringend, zunächst eine Aktualisierung auf die aktuelle Version von SafeGuard LAN Crypt durchzuführen.

· Wenn Sie SafeGuard Enterprise 5.50 über eine SafeGuard LAN Crypt Installation installieren, meldet das Installationsprogramm, dass die zu aktualisierende Komponente SGLC Profile Loader derzeit benutzt wird. Diese Meldung wird dadurch verursacht, dass SafeGuard LAN Crypt und SafeGuard Enterprise gemeinsame Komponenten benutzen. Die Meldung kann daher ignoriert werden. Die betroffenen Komponenten werden beim Neustart aktualisiert.

5.11 Token/Smartcards/Smartcard Reader

Gemalto Classic Client (Gemalto GemXpresso (Classic TPC) V1 32k und V1 64k)
Funktioniert nur mit dem kommenden Gemalto Classic Client 5.2.0. Darüber hinaus muss der folgende Registry-Eintrag auf einen Wert von 0x120 oder höher gesetzt werden:

[HKEY_LOCAL_MACHINE\SOFTWARE\Gemplus\Cryptography]
"ShmMaxLoops"=dword:00000120
Axalto Access Client (Cyberflex 64k)
Unmittelbar nach dem Neustart ist eine Anmeldung an Windows mit Cyberflex Cards in Kombination mit Axalto Access Client nicht möglich. Die folgenden Registry-Werte müssen entsprechend konfiguriert werden, um dieses Problem zu lösen:

[HKEY_LOCAL_MACHINE\SOFTWARE\Axalto\Access\CK]
“UseCAM”=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Axalto\Access\CSP]
“UseCAM” =dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Axalto\Access\CAM]
“Allow” =dword:00000000
Token Middleware unter Windows Vista
Bei der Anwendung von Token Middleware unter Windows Vista kann es (je nach Hersteller) nach dem Abmelden notwendig sein, die Smartcard zu entfernen und wieder einzustecken, um sich wieder mit der gleichen Smartcard anzumelden.
Schnelle Benutzerumschaltung unter Vista nach der Token-Anmeldung
Wenn nach einer Anmeldung mit einem Token/einer Smartcard die schnelle Benutzerumschaltung benutzt wird, so kann dies dazu führen, dass es für Nicht-Sophos Credential Providers nicht möglich ist, den Benutzer-Desktop zu entsperren. Es wird empfohlen, entweder den Sophos Credential Provider zu verwenden oder den aktuellen Benutzer vor dem Wechsel zu einem anderen Benutzerkonto abzumelden.
Deinstallation unter Windows Vista 64 Bit/Windows 7 64 Bit schlägt bei Anwendung von ActivIdentity ActivClient für die Token-Anmeldung fehl
Wenn Sie unter Windows Vista 64 Bit oder Windows 7 64 Bit die ActivIdentity ActivClient Software für die Token-Anmeldung verwenden, schlägt die Deinstallation der SGN Client-Software mit dem Hinweis fehl, dass einige Komponenten nicht entfernt werden konnten. Als Workaround muss vor dem ersten Starten der Deinstallation die Richtlinie dahingehend geändert werden, dass ActivIdentity ActivClient nicht mehr als PKCS#11 Modul benutzt wird. Danach muss der Rechner neu gestartet werden. Die Deinstallation lässt sich danach problemlos durchführen.

5.12 Fingerabdruck-Leser

Lenovo ThinkVantage Fingerprint Software 
Aufgrund einer Einschränkung der UPEK ThinkVantage Fingerprint Software steht die Anmeldung mit Fingerabdruck für Benutzer mit einem Leerzeichen im Benutzernamen nicht zur Verfügung.

5.13 Probleme im Zusammenspiel mit anderen Produkten

Empirum Security Suite Agent Wenn die SDE 5.50 Client Software installiert ist und in Kombination mit der Empirum Security Suite Agent Software verwendet wird, stoppt das System u. U. mit dem folgenden BSOD:

BSOD on system startup with stop code 0x00000044 MULTIPLE_IRP_COMPLETE_REQUESTS  Dieses Problem wird durch eine Empirum-Software-Komponente verursacht. Es wird in der Empirum Security Suite behoben.
Aktuelle Informationen zu diesem Problem erhalten Sie vom Matrix42 Support.
Lenovo Rescue and Recovery Informationen zur Kompatibilität von Rescue and Recovery Versionen mit SafeGuard Enterprise Versionen finden Sie unter: http://www.sophos.com/support/knowledgebase/article/108383.html
AbsoluteSoftware Computrace SGN Device Encryption kann auf Maschinen, auf denen AbsoluteSoftware Computrace mit der aktivierten Option ‘track-0 based persistent agent’ installiert ist, nicht installiert werden.

5.14 SCSI Festplatten

SafeGuard Enterprise Device Encryption Client Der SafeGuard Enterprise Device Encryption Client unterstützt Systeme, die mit über den SCSI-Bus angeschlossenen Festplatten ausgestattet sind, nicht.

6 Technischer Support

Technischen Support zu Sophos Produkten können Sie wie folgt abrufen:

Rufen Sie das SophosTalk-Forum unter http://community.sophos.com/ auf und suchen Sie nach Benutzern mit dem gleichen Problem.
Durchsuchen Sie die Sophos Support-Knowledgebase unter http://www.sophos.de/support/.
Laden Sie Dokumentation zu den Produkten unter http://www.sophos.de/support/docs/ herunter.
Senden Sie eine E-Mail an den technischen Support support@sophos.de und geben Sie die Versionsnummer(n), Betriebssystem(e) und Patch Level Ihrer Sophos Software sowie ggf. den genauen Wortlaut von Fehlermeldungen an.

Oberursel, 4. November 2010

Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch gespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie verfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung mit dem Lizenzvertrag reproduziert werden darf, oder Sie verfügen über eine schriftliche Genehmigung des Urheberrechtsinhabers.

Sophos ist ein eingetragenes Warenzeichen von Sophos Plc und der Sophos Group. SafeGuard ist ein eingetragenes Warenzeichen von Utimaco Safeware AG - a member of the Sophos Group. Alle anderen erwähnten Produkt- und Unternehmensnamen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Inhaber.

Alle SafeGuard Produkte unterliegen dem Urheberrecht der Utimaco Safeware AG - a member of the Sophos Group, oder, sofern anwendbar, ihrer Lizenzinhaber. Alle weiteren Sophos Produkte unterliegen dem Urheberrecht der Sophos Plc oder, sofern anwendbar, ihrer Lizenzinhaber.

Copyright-Informationen von Drittanbietern finden Sie in der Datei Disclaimer and Copyright for 3rd Party Software.rtf in Ihrem Produktverzeichnis.

[1] Smartcard-Informationen (unterstützte Java Card Versionen, Fertigstellung und Konfiguration finden Sie in der AET SafeSign Dokumentation.

[2] Für die Unterstützung von A-Trust Cards in SafeGuard Enterprise müssen die Smartcards von A-Trust mit Kerberos Windows-Anmeldeerweiterungen ausgestellt sein.Darüber hinaus muss A-Trust Middleware installiert sein.

[3] Für die Unterstützung von Estonian EID Cards gelten folgende Voraussetzungen:

· Standard Middleware: OpenSC PKCS#11 Version 0.8.3 und “EstEID Card CSP”.

· Zusätzliche Software von JaJa Arendus OU (http://www.jaja.ee), d. h. “ITLogon CSP” sowie das Scripting Tool zur Verbindung des estischen Ausweisdokuments mit Active Directory Benutzern.