SafeGuard Enterprise 5.50.8

Contenido

1        Novedades. 3

1.1        Novedades en la edición SGN 5.50.8. 3

1.1.1        Compatibilidad de Configuration Protection con Windows 7. 3

1.1.2        Cifrado inicial más rápido. 3

1.1.3        Rendimiento mejorado de cifrado. 3

1.2        Novedades en la edición SGN 5.50.1. 3

1.2.1        Compatibilidad de Data Exchange con plataformas de 64 bits. 3

1.3        Novedades en la edición SGN 5.50. 3

1.3.1        Compatibilidad ampliada con plataformas Windows: 64 bits y Windows 7. 3

1.3.2        Autoayuda local para estaciones administradas en vez de autoayuda web. 3

1.3.3        Autoayuda web en licencias SafeGuard Management Center 3

1.3.4        Asistente de instalación del centro de administración. 3

1.3.5        Cuentas de servicio. 4

1.3.6        Cuentas de usuario “sólo POA” 4

1.3.7        Administración jerárquica. 4

1.3.8        Mejorada la compatibilidad entre el hardware y el sistema operativo. 4

1.3.9        Compatibilidad mejorada con Smartcard y lectores de tarjetas. 4

1.3.10     SafeGuard Easy 5.50. 4

1.3.11     CD-ROM de recuperación Windows PE (cliente virtual) 4

1.3.12     Instalación simplificada y copia de seguridad de claves. 4

1.3.13     Otras mejoras. 5

2        Instalación. 6

3        Información general 7

3.1        Infraestructura de red. 7

3.2        Centro de administración de SafeGuard. 7

3.3        Servidor de SafeGuard Enterprise. 8

3.4        Cliente de SafeGuard Enterprise Device Encryption/Data Exchange. 9

3.5        Cliente de SafeGuard Configuration Protection. 9

3.6        Lectores Smartcard compatibles. 10

3.7        Smartcards compatibles. 13

3.8        Token USB compatibles. 14

3.9        Aplicaciones para Smartcard probadas con SafeGuard Device Encryption en Windows. 15

3.10      Matriz de actualización de SGN. 16

3.11      Matriz de migración de SGN. 17

3.12      Matriz cliente/servidor SGN. 17

3.13      Sistemas Windows compatibles. 18

3.14      Bases de datos compatibles con SGN. 19

4        Problemas corregidos (edición 5.50.x comparada con la 5.40) 20

4.1        Centro de administración de SafeGuard Enterprise. 20

4.2        Servidor de SafeGuard Enterprise. 20

4.3        Cliente de SafeGuard Enterprise. 20

5        Problemas conocidos. 21

5.1        SGN edición 5.50. 21

5.2        Centro de administración de SafeGuard. 23

5.3        Servidor de SafeGuard Enterprise. 25

5.4        Cliente de SafeGuard Enterprise Data Exchange. 25

5.5        Cliente de SafeGuard Enterprise Device Encryption. 27

5.6        Cliente de SafeGuard Configuration Protection. 35

5.7        Web Helpdesk. 37

5.8        Actualizar SGN 5.35 o posterior a SGN 5.50. 37

5.9        SafeGuard Easy 4.x. 37

5.10      SafeGuard LAN Crypt 37

5.11      Token, Smartcard, lector de Smartcard. 38

5.12      Lector de huellas digitales. 38

5.13      Problemas de interoperabilidad. 38

5.14      Discos duros SCSI 39

6        Soporte técnico. 40

 

 

1       Novedades

1.1      Novedades en la edición SGN 5.50.8

1.1.1       Compatibilidad de Configuration Protection con Windows 7

SafeGuard Enterprise 5.50.1 Configuration Protection es compatible con versiones de 32 y 64 bits de Windows 7.

1.1.2       Cifrado inicial más rápido

Un nuevo proceso optimizado de cifrado inicial de discos permite reducir de forma significativa el tiempo de esta tarea. El cifrado inicial del disco duro se limita al espacio que se encuentra en uso, por lo que el tiempo empleado dependerá de la cantidad utilizada. Esta opción se controla desde la directiva de cifrado (por defecto se encuentra desactivada).

1.1.3       Rendimiento mejorado de cifrado

Un nuevo proceso optimizado en el algoritmo de cifrado AES256 permite mejorar el rendimiento al acceder a datos cifrados. Este módulo se utiliza tanto en el cifrado de discos como en el cifrado de archivos (DE y DX), por lo que se mejora el rendimiento en ambos casos.

1.2      Novedades en la edición SGN 5.50.1

1.2.1       Compatibilidad de Data Exchange con plataformas de 64 bits

SafeGuard Enterprise 5.50.1 Data Exchange es compatible con versiones de 32 y 64 bits de Microsoft Windows Vista y Microsoft Windows 7, así como Windows XP de 32 bits.

1.3      Novedades en la edición SGN 5.50

1.3.1       Compatibilidad ampliada con plataformas Windows: 64 bits y Windows 7

SafeGuard Enterprise 5.50 es compatible con versiones de 32 y 64 bits de Microsoft Windows Vista y Microsoft Windows 7, así como Windows XP de 32 bits. El servidor y el centro de administración son compatibles con versiones de 32 y 64 bits de Windows Server 2003 y Windows Server 2008/R2.

1.3.2       Autoayuda local para estaciones administradas en vez de autoayuda web

La autoayuda local permite al usuario recuperar una contraseña olvidada mediante unas preguntas previamente establecidas sin tener que recurrir al departamento informático. De esta forma se ahorra tiempo y recursos. La autoayuda local está disponible en instalaciones independientes desde la versión 5.40 de SafeGuard Enterprise y ahora se incluye también en estaciones administradas. A cambio, se ha retirado el módulo de autoayuda web de SafeGuard Enterprise para nuevos clientes.

1.3.3       Autoayuda web en licencias SafeGuard Management Center

El módulo de autoayuda web de SafeGuard Enterprise ahora se incluye con la licencia Management Center sin coste adicional. Se trata de una interfaz web de ayuda conveniente cuando no se utiliza la consola de administración.

1.3.4       Asistente de instalación del centro de administración

Se ha mejorado el proceso de instalación de SafeGuard Enterprise. El nuevo asistente facilita la instalación de los componentes de administración de SafeGuard Enterprise. No tendrá que preocuparse de las dependencias de cada componente, incluyendo elementos de Microsoft. De esta forma se agiliza la instalación y se evitan problemas de configuración del sistema.

1.3.5       Cuentas de servicio

SafeGuard Enterprise 5.50 permite asignar usuarios a la lista de cuentas de servicio. En equipos nuevos donde POA todavía no se encuentra activo, no se aplica la lista de cuentas de servicio. De esta forma, se puede configurar el equipo sin modificar el estado de SafeGuard Enterprise para el nuevo usuario.

1.3.6       Cuentas de usuario “sólo POA”

SGN 5.50 dispone de cuentas especiales, que pertenecen al dominio virtual “<POA>”, y que permiten ,por ejemplo, iniciar equipos con protección POA sin conocer las credenciales del usuario o sin disponer de una cuenta en cada equipo. Se podrá iniciar el equipo desde una unidad externa e iniciar la sesión en Windows sin activar las acciones predeterminadas de SafeGuard Enterprise. Por ejemplo, el usuario no se registrará con SGN independientemente de las credenciales utilizadas en el inicio de Windows.

1.3.7       Administración jerárquica

SafeGuard Enterprise 5.50 facilita las funciones de seguridad en empresas con diferentes niveles de responsabilidad informática. Se han revisado los derechos de cada rol para añadir un mayor control y se han agrupado para poder asignar dependencias. Dentro de cada rol se pueden delegar funciones y crear subroles.

1.3.8       Mejorada la compatibilidad entre el hardware y el sistema operativo

Se ha mejorado la compatibilidad de SafeGuard Enterprise en varios aspectos:

1.3.9       Compatibilidad mejorada con Smartcard y lectores de tarjetas

Se ha ampliado el número de Smartcard y lectores de tarjetas compatibles con SafeGuard Enterprise. Para más información, vea los apartados 3.6 a 3.9.

1.3.10    SafeGuard Easy 5.50

La versión independiente de SafeGuard Enterprise Device Encryption ahora se convierte en “SafeGuard Easy 5.50”, sucesor de SafeGuard Easy 4.x. Técnicamente, SafeGuard Easy 5.50 es sólo el nuevo nombre para la versión independiente de SafeGuard Enterprise 5.50. Es compatible con Windows Vista, Windows 7 y ediciones de 64 bits. Para el inicio de sesión con Smartcard/crypto token se requiere la versión administrada de SafeGuard Enterprise Device Encryption. Se permite la actualización de SafeGuard Easy 4.x bajo las mismas condiciones que en ediciones anteriores de SafeGuard Enterprise, excepto que Windows 2000 ya no es compatible.

1.3.11    CD-ROM de recuperación Windows PE (cliente virtual)

SafeGuard Easy 5.50 ahora también incluye las funciones avanzadas de recuperación de SafeGuard Enterprise, como por ejemplo, el uso de un CD-ROM de recuperación Windows PE.

1.3.12    Instalación simplificada y copia de seguridad de claves

Un nuevo asistente de instalación facilita la configuración de los componentes de administración y las políticas predeterminadas. Para utilizar el asistente, ejecute “SGNInstallAdvisor.bat” en el directorio raíz del DVD del producto. Los archivos de recuperación de SafeGuard Easy/ESDP se pueden almacenar en unidades de red de forma automática. También se han añadido opciones para realizar y restaurar copias de seguridad del certificado de la empresa.
El siguiente artículo de la base de conocimiento de Sophos incluye prácticas recomendadas:
http://esp.sophos.com/support/knowledgebase/article/110259.html
.

 

1.3.13    Otras mejoras

SafeGuard Enterprise incluye también otras mejoras en usabilidad, almacenamiento, rendimiento y uso. Entre otras:

·         Se ha mejorado la velocidad de cifrado en Windows 7.

 

 

2       Instalación

 

Necesita derechos de administrador para instalar el software. Para la instalación del software, consulte el manual de instalación.

 

Si modifica la instalación de SGN o instala nuevos módulos, el programa de instalación podría indicar que ciertos componentes se encuentra en uso (por ejemplo, Safe Guard Removable Media Manager). Esto se debe a que algunos componentes son comunes a varios módulos. La actualización se completará tras reiniciar el sistema.

Nota:    Este es el comportamiento predeterminado en instalaciones no interactivas.

 

Aunque es posible instalar ciertos componentes y añadir otros posteriormente, se recomienda instalar Device Encryption en la instalación inicial.

 

Nota:    Sólo se aplica a la instalación del cliente de SafeGuard Easy 5.50.

 

Si desea actualizar SafeGuard Easy 4.x, consulte primero la guía de instalación y los artículos relacionados en la base de conocimiento de Sophos.

 

 

3       Información general

 

3.1      Infraestructura de red

 

Servidor de red con administración de usuarios y equipos:

·         Microsoft Windows 2008 Server (32 y 64 bits) con Active Directory

·         Microsoft Windows 2003 Server (32 y 64 bits) con Active Directory

 

Base de datos:

·         Microsoft SQL Server 2005                  SP2, SP3

·         Microsoft SQL Server 2008                  SP1

·         Microsoft SQL Server 2005 Express     SP2, SP3

·         Microsoft SQL Server 2008 Express     SP1

 

Conectividad:

Los clientes deben poder conectar a

·         Servidor SGN en los puertos 80/TCP o 443/TCP

El centro de administración de SafeGuard debe poder conectar a

·         Base de datos SQL 2005 (Express) o SQL 2008 (Express), puertos1433/TCP y 1434/TCP

·         Active Directory, puertos 389/TCP, 636 SLDAP, 1025/TCP (RPC) y 135/TCP (asignador de extremos de RPC).

El servidor de SafeGuard Enterprise debe poder conectar a

·         Base de datos SQL 2005 (Express) o SQL 2008 (Express), puertos1433/TCP y 1434/TCP

3.2      Centro de administración de SafeGuard

 

Hardware:

Procesador Intel o AMD X86

512 MB de memoria RAM

1 GB libre en el disco duro (recomendado)

 

Compatible con tokens de autenticación (algunos sólo permiten hasta 1024 bits RSA)

 

Software:

Sistema operativo Microsoft Windows en inglés, francés, alemán o japonés

·         XP                              SP2      SP3      32 bit

·         Vista                           SP1      SP2      32 bit    64 bit

·         7                                                         32 bit    64 bit

·         2003 Server                  SP1      SP2      32 bit    64 bit

·         2003 Server R2            SP1      SP2      32 bit    64 bit

·         2008 Server                 SP1      SP2      32 bit    64 bit

·         2008 Server R2                                   64 bit

 

 

Microsoft ASP.net

·         .NET Framework 3.0 SP1

 

El usuario debe disponer de permiso de lectura y escritura a la base de datos con uno de los siguientes métodos de autenticación:

·         Autenticación Windows NT

·         Autenticación SQL

 

Certificados X.509 probados

3.3      Servidor de SafeGuard Enterprise

 

Hardware:

Procesador Intel o AMD X86

512 MB de memoria RAM

1 GB libre en el disco duro (recomendado)

 

Software:

Microsoft Windows Operating Systems in German or English (other OS languages were not tested but should work)

·         2003 Server                  SP1      SP2      32 bit    64 bit

·         2003 Server R2            SP1      SP2      32 bit    64 bit

·         2008 Server                 SP1      SP2      32 bit    64 bit

·         2008 Server R2                                   64 bit

 

Microsoft ASP.net

·         .NET Framework 3.0 SP1

 

Microsoft Internet Information Services

·         Versión 6.0 en Windows Server 2003

·         Versión 7.0 en Windows Server 2008

·         Versión 7.5 en Windows Server 2008 R2

·         Se recomienda la actualización de IIS que se describe en el artículo de Microsoft KB934903

 

El usuario debe disponer de permiso de lectura y escritura a la base de datos con uno de los siguientes métodos de autenticación:

Nota: Sophos recomienda utilizar cifrado SSL en las comunicaciones entre el cliente y el servidor SGN. Si debe utilizar el cifrado propietario de SGN, el límite de estaciones que pueden conectar con un servidor es de 1.000. Al utilizar SSL, debe activar y configurar las opciones correspondientes en SGN Management Center. Para más información, consulte la guía de instalación.

 

Nota: La carga del servidor SGN dependerá del número de estaciones, el número de SGN en cada estación, el número de grupos por usuario y la frecuencia de conexión. Puede ajustar la carga en el servidor SGN mediante estos parámetros. Con un usuario SGN en varios grupos y una actualización al día, hasta 40.000 estaciones pueden conectarse a un servidor SGN mediante SSL.

 

3.4      Cliente de SafeGuard Enterprise Device Encryption/Data Exchange

 

Hardware:

 

Sistema operativo Microsoft Windows:

 

El cliente SGN BitLocker sólo se puede instalar en plataformas donde MS BitLocker está disponible.

 

Software:

 

3.5      Cliente de SafeGuard Configuration Protection

 

Hardware:

 

Sistema operativo Microsoft Windows:

 

Software:

      Internet Explorer versión 6.0 o posterior

      .NET Framework 2.0


 

3.6      Lectores Smartcard compatibles

 

Lectores Smartcard probados con SafeGuard Device Encryption Power-on Authentication

 

Los siguientes lectores han pasado el control de calidad.

 

Fabricante

Modelo

Interfaz

Comentarios

ACS

ACR 38U-CCID

USB-CCID

Requiere firmware versión ³ v1.12c

ActivIdentity

USB Reader 3.0

USB-CCID

 

 

PCMCIA Reader

PC-Card

SCR 243 OEM

Broadcom

BCM 5880                            

integrada (USB)

 

Cherry

ST-1044U

USB-CCID

 

 

ST-2000

USB-CCID

Teclado PIN no compatible

 

ST-4044                                

PC-Card

CardMan 4040 OEM

 

G83-6644
G83-6733
G83-6744

USB-CCID

Teclado PIN no compatible

Dell

RT7D60
SK-3105

USB-CCID

teclado

Eutronsec

SIM Pocket
(incl. versiones combo)

USB-CCID

Tarjetas SIM y de tamaño estándar

 

Smart Pocket
(incl. versiones combo)

USB-CCID

 

Fujitsu Siemens

Smartcase SCR (USB)

USB-CCID

también conocido como “Solo”

Gemalto

GemPC Express

ExpressCard

 

 

GemPC Twin

USB-CCID

 

 

GemPC Key

USB-CCID

Tamaño SIM

 

Reflex USB v3

USB-CCID

 

HP

SC Terminal
(KUS0133)

USB-CCID

teclado

 

PC Smart Card Reader

PC-Card

SCR 243 OEM

Kobil

KAAN Base

USB-CCID

 

 

KAAN Advanced

USB-CCID

Teclado PIN no compatible

Lenovo

Integrated Smart Card Reader

integrada (USB)

El lector puede cambiar según el mercado

o2micro

Oz711 series

integrada (CardBus)

 

 

Oz776

integrada (CCID)

 

Omnikey

CardMan 3021
CardMan 3121

USB-CCID

 

 

CardMan 4040

PC-Card

 

 

CardMan 4321

ExpressCard

 

 

CardMan 5125
CardMan 5321

USB-CCID

interfaz sin contacto no compatible

 

CardMan 6121

USB-CCID

Tamaño SIM

Ricoh

R/RL/5C476

integrada (CardBus)

 

SCM

SCR 243

PC-Card

 

 

SCR 331

USB-CCID

Requiere firmware versión 5.18 o posterior

 

SCR 335
SCR 3310
SCR 3311

USB-CCID

 

 

SCR 3320

USB-CCID

Tamaño SIM

 

SCR 3340

ExpressCard

 

 

SDI 010

USB-CCID

interfaz sin contacto no compatible

Texas Instruments

PCI 6515a
PCI 7621

integrada (CardBus)

Compatibilidad genérica para lectores PCI xx21

 

Si dispone de más de un lector de Smartcard, se recomienda desactivar los que no se encuentren en uso para evitar problemas. En el caso de lectores internos, puede que tenga que desactivarlos en la BIOS.


 

Lectores que deberían funcionar con SafeGuard Device Encryption Power-on Authentication

 

Los siguientes lectores deberían funcionar con SafeGuard Enterprise según la información de compatibilidad proporcionada por el fabricante.

 

Fabricante

Modelo

Interfaz

Comentarios

ACS

ACR 38T
ACR 38U-BMC
ACR 38F
ACR 38K
ACR 100F

USB-CCID

Tamaño SIM

 

ACR 122U
ACR 122T

 

interfaz sin contacto no compatible

Cherry

G81-7040
G81-7043
G81-8040
G81-8043

USB-CCID

Teclado PIN no compatible

 

G83-14200
G83-14400
G83-14600

USB-CCID

teclado biométrico; teclado PIN y funciones biométricas no compatibles

Eutronsec

SIM Reader
(incl. versiones combo)

USB-CCID

Tamaño SIM

Fujitsu Siemens

Smartcase SCR (PC Card)

PC-Card

CardMan 4040 OEM

 

Smartcase SCR (Express Card)

ExpressCard

SCR 3340 OEM

Gemalto

Reflex 20 v3                     

PC-Card

SCR 243 OEM

Ricoh

R5C835
R5C853

integrated

 

SCM

SPR 532

USB-CCID

Teclado PIN no compatible

Requiere firmware versión 5.10 y controladores Windows actualizados

Vasco

DigiPass 905

USB-CCID

 


3.7      Smartcards compatibles

 

Smartcard compatibles con SafeGuard Device Encryption Power-on Authentication

 

Fabricante

Modelo

Versión

Tipo de tarjeta

Formato

ActivIdentity

Smart Card 64K

v2 (Oberthur)
v2c (Axalto)

Java Card

ActivIdentity

AET [1]

G&D Sm@rtCafe

64K

Java Card

PKCS#15

 

G&D STARCOS SPK

2.3
3.0

ISO 7816

PKCS#15

 

IBM JCOP

20
31
41 72K

Java Card

PKCS#15

 

Siemens CardOS

M4.3b

ISO 7816

PKCS#15

Charismathics

Siemens CardOS

M4.3b

ISO 7816

CSSID

IT Solution

Siemens CardOS

M4.3b

ISO 7816

PKCS#15

Siemens

Siemens CardOS

M4.3b

ISO 7816

PKCS#15

T-Systems

TCOS                                 

3.0

ISO 7816

NetKey

 

Tarjeta de identidad nacional probadas con SafeGuard Device Encryption Power-on Authentication

 

País

Modelo

Versión

Tipo de tarjeta

Formato

Austria [2]

AustriaCard ACOS

3.01
4.0

ISO 7816

A-Trust

Estonia [3]

Orga Micardo

V1
V2

ISO 7816

 

 

Nota:       Las siguientes tarjetas/token no son compatibles con Windows Vista ni Windows 7:
- CardOS, Siemens
- Estonia ID
- A-trust
- RSA


 

3.8      Token USB compatibles

 

Token USB compatibles con SafeGuard Device Encryption 5.50 Power-on Authentication

 

Fabricante

Token USB

Aplicación

Comentarios

ActivIdentity

ActivKey SIM

ActivIdentity

 

 

ActivKey Display       

ActivIdentity

Función OTP no compatible

Aladdin (CardOS)

eToken Pro
eToken NG-Flash

Aladdin

 

 

eToken NG-OTP

Aladdin

Función OTP no compatible

Aladdin
(Java)

eToken Pro
eToken NG-Flash

Aladdin

 

Charismathics

OTP Sign

Charismathics

Función OTP no compatible

 

plug’n’crypt ID

Charismathics

 

Eutronsec

CryptoIdentity ITSEC-I

Charismathics

 

 

CryptoIdentity ITSEC-P

AET

 

 

OTP Sign

Charismathics

Función OTP no compatible

Kobil

mIDentity Light

Siemens

Incluye memoria flash

MARX

CrypToken

AET

 

RSA

SecurID 800 v1 [4]
SecurID 800 v2

RSA

Función OTP no compatible

 

Nota: Los token USB en negrita han superado las pruebas de calidad.

 

Nota: Para utilizar Smartcard/Token para iniciar la sesión debe instalar aplicaciones adicionales (vea la columna “Aplicación”).

 


3.9      Aplicaciones para Smartcard probadas con SafeGuard Device Encryption en Windows

 

Fabricante

Aplicación

Versión

XP
32 bit

Vista 32 bit

Vista
64 bit

7
32 bit

7
64 bit

Comentarios

ActivIdentity

ActivClient

6.2

x

x

x

x

x

 

AET

SafeSign

3.0.33

x

x

c)

x

 

 

Aladdin

PKI Client

5.1 SP1
a)

x

x

x

x

x

 

A-Trust

a.sign client

1.2.7.0

x

 

 

 

 

 

Charismathics

Smart Security Interface

4.8.1

x

x

 

 

 

 

* Estonia ID

<varias>

 

x

 

 

 

 

 

IT Solution

trustWare CSP+

1.0.1.23

x

 

 

 

 

 

Gemalto

.NET

2.1.3.1

x d)

x

x

x

x

 

Gemalto

Access Client

5.6.4

x

x

x

x

x

d)

Gemalto

Classic Client

6.0

x

x

x

 

 

 

RSA

RSA Smart Card Middleware

2.0.1

x

 

 

 

 

 

 

3.0.1

x

 

 

 

 

 

Siemens

CardOS API

3.1

x

 

 

 

 

 

T-Systems               

NetKey 3.0

1.6.0.10 + 1.3.0.4
b)

c)

c)

c)

c)

c)

 

 

a)     El Token debe inicializarse con PKI Client 4.55 para que POA funcione.

b)    CSP Minidriver 1.6.0.10 + PKCS#11 módulo 1.3.0.4

c)     Póngase en contacto con soporte técnico de Sophos para más información.

d)    Póngase en contacto con soporte técnico de Sophos para más información sobre crypto tokens.

 


 

3.10    Matriz de actualización de SGN

A continuación se muestran las versiones anteriores de SGN que se pueden actualizar a SGN 5.50.8.

 

Matriz de actualización de SGN

 

 

 

Actualización de

Actualización a

SGN 5.20

SGN

5.20.1

SGN 5.20.2

SGN 5.20.3

SGN 5.20.4

SGN 5.20.5

SGN 5.21

SGN 5.21.1

SGN 5.30 RC1

SGN 5.30

GA

SGN 5.30.1

SGN 5.30.2

SGN 5.30.3

SGN

5.35

GA

SGN

5.35.x

SGN 5.40.x

SGN 5.50

SGN 5.50.8

 

 

 

 

 

 

 

 

 

 

 

 

 

l

l

l

l

SGN 5.50.1

 

 

 

 

 

 

 

 

 

 

 

 

 

l

l

l

l

SGN 5.50 GA

 

 

 

 

 

 

 

 

 

 

 

 

 

l

l

l

 

SGN 5.40.x

 

 

 

 

 

 

 

 

 

l

l

l

l

l

l

 

 

SGN 5.35.x

 

 

 

 

 

 

 

 

 

l

l

l

l

l

 

 

 

SGN 5.35 GA

 

 

 

 

 

 

 

 

 

l

l

l

l

 

 

 

 

SGN 5.30.3

¢1

¢1

¢1

¢1

¢1

¢1

¢1

¢1

l

l

l

l

 

 

 

 

 

SGN 5.30.2

l

l

l

l

l

l

l

l

l

l

l

 

 

 

 

 

 

SGN 5.30.1

l

l

l

l

l

l

l

l

l

l

 

 

 

 

 

 

 

SGN 5.30 GA

l

l

l

l

l

l

l

l

l

 

 

 

 

 

 

 

 

SGN 5.30 RC 1

l

l

l

l

l

l

l

l

 

 

 

 

 

 

 

 

 

SGN 5.21.1 (Patch)

 

 

 

 

 

 

l

 

 

 

 

 

 

 

 

 

 

SGN 5.21

l

l

l

l

l

l

 

 

 

 

 

 

 

 

 

 

 

SGN 5.20.5 (Patch)

l

l

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

SGN 5.20.4 (Patch)

l

l

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

SGN 5.20.3 (Patch)

l

l

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

SGN 5.20.2 (Patch)

l

l

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

SGN 5.20.1 (Lenovo)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

SGN 5.20

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Leyenda:

l     Actualización compatible

¢1   Actualización compatible sólo para el servidor SGN y SGN Management Console

 


 

3.11    Matriz de migración de SGN

A continuación se muestran las versiones de SafeGuard Easy que se pueden migrar a SGN 5.50.8.

 

Matriz de migración SGE- SGN

 

IDEA

DES

3DES

AES

128

AES

256

Blowfish

Stealth

XOR

SGE 4.50

l

 

l

l

l

 

 

 

SGE 4.40

l

 

l

l

l

 

 

 

SGE 4.30

l

 

l

l

l

 

 

 

SGE 4.20

 

 

 

 

 

 

 

 

SGE 4.1x

 

 

 

 

 

 

 

 

SGE 3.x

 

 

 

 

 

 

 

 

 

3.12    Matriz cliente/servidor SGN

La siguiente tabla muestra los servidores de SGN a los que se pueden conectar los diferentes clientes de SGN.

La versión del servidor SGN debe ser igual o posterior a la del cliente.

 

Matriz cliente/servidor SGN

 

 

 

 


Cliente SGN

 

Servidor SGN

5.2x

5.30

5.35

5.40

5.50.x

SGN 5.50.x

 

 

l

l

l

SGN 5.40.x

 

l

l

l

 

SGN 5.35.x

 

l

l

 

 

SGN 5.35 GA

 

l

l

 

 

SGN 5.30.2

l

l

 

 

 

SGN 5.30.2

l

l

 

 

 

SGN 5.30.1

l

l

 

 

 

SGN 5.30 GA

l

l

 

 

 

SGN 5.21

l

 

 

 

 

SGN 5.20

l

 

 

 

 

 

1 sin registro automático

 

Leyenda:

l     compatible

¢1   sin registro automático

 

 

Nota:    En ciertos escenarios el cliente SGN con una versión anterior al servidor podrá recibir políticas. Sin embargo, el cliente no podrá aplicar las nuevas funciones introducidas.


 

3.13    Sistemas Windows compatibles

A continuación se indican las plataformas compatibles y los módulos disponibles para cada plataforma.

 

 

 

SGN – Sistemas Windows compatibles

 

SGN 5.50.x

DE

DE

BitLocker

DX

CP

Servidor SGN

MC

XP

Professional Edition

SP2

SP3

32 Bit

l

 

l

.NET 2.0

 

.NET 3.01

Vista

 

 Home Premium

Business

Enterprise

Ultimate

SP1

SP2

32 Bit

l

  

 

-

-

l

l

l

l

 

.NET 3.01

Vista

 

 Home Premium

Business

Enterprise

Ultimate

SP1

SP2

64 Bit

l

  

 

-

-

l

l

l

 

 

.NET 3.01

7

Home Premium

Professional

Enterprise

Ultimate

 

32 Bit

 

l

 

-

-

l

l

l

l

 

NET 3.01

7

Home Premium

Professional

Enterprise

Ultimate

 

64 Bit

l

 

-

-

l

l

l

l

 

NET 3.01

Server 2003 / R2

.NET 3.0

IIS 6

SP1

SP2

32 Bit

64 Bit

 

 

 

 

l

l

l

l

Server 2008      

Server 2008 R2

.NET 3.0 

IIS 7.0

IIS 7.5

SP1

64 Bit

64 Bit

 

 

 

 

l

l

l

l

 

1 necesita .Net 3.0 SP1

 

 

Nota 1: SafeGuard Enterprise es compatible con unidades de estado sólido (SSD).

 

Note 2: SafeGuard Enterprise es compatible con entornos de virtualización. Se pueden producir problemas de interoperabilidad con el cifrado de dispositivos conectados mediante USB. Según el entorno de virtualización y el tipo de dispositivo conectado, se puede producir un fallo del sistema.

 

3.14    Bases de datos compatibles con SGN

La siguiente lista muestra los servidores de bases de datos compatibles.

 

SGN Server - Bases de datos compatibles

 

 

 

SGN 5.40

SGN 5.50

Microsoft SQL Server 2005 SP1

l

 

Microsoft SQL Server 2005 Express SP1

l

 

Microsoft SQL Server 2005 SP2

l

l

Microsoft SQL Server 2005 Express SP2

l

l

Microsoft SQL Server 2005 SP3

l

l

Microsoft SQL Server 2005 Express SP3

l

l

Microsoft SQL Server 2008 SP1

 

l

Microsoft SQL Server 2008 Express SP1

 

l

 

 

4       Problemas corregidos (edición 5.50.x comparada con la 5.40)

4.1      Centro de administración de SafeGuard Enterprise

4.2      Servidor de SafeGuard Enterprise

4.3      Cliente de SafeGuard Enterprise

-       El token A-Trust V4 causaba problemas

-       Compatibilidad con la tarjeta de identidad estonia (sólo en Windows XP)

-       Funcionamiento defectuoso del inicio de sesión automático en POA

-       Se debía reiniciar el sistema cuando se asignaban nuevas claves

-       El programa de instalación no disponía de la propiedad POACFG

-       Entradas incorrectas en el registro indicando que la unidad se está descifrando cuando en realidad se estaba cifrando

-       “antiguo” no se ha borrado previamente de SGN Management Center.

-       No se creaban carpetas al grabar CDs con el asistente de Windows

-       El acceso directo de SGPortable no funcionaba

-       Desaparecían elementos del menú en Corel Draw X4 tras instalar Data Exchange. También se han resuelto problemas similares con Adobe Fireworks y Candela.

-       La opción para cambiar la contraseña no siempre estaba disponible en la bandeja del sistema.

-       El programa Mindjet MindManager dejaba de funcionar al seleccionar Guardar como.

-       El cambio de contraseña en Windows XP no tenían efecto en estaciones con el programa Evidian SSO. Se ha aplicado un parche genérico que también solventa el problema de cambio de contraseña tras un intento fallido de inicio de sesión.

-       Dependiendo del modo en que se aplican las listas blancas, se podían bloquear dispositivos internos de almacenamiento SCSI o IDE.


 

 

5       Problemas conocidos

5.1      SGN edición 5.50

§  En Management Center, seleccione Tools -> Configuration Package Tool -> Register Server Tab -> Add...

 

 

 

 

·         El número de máximo de usuarios para SGN en una estación es 200.
Tenga en cuenta el tamaño máximo de archivos a la hora de importar archivos mediante la política:

o    Archivos de texto no pueden superar los 50 kB.

o    Imágenes de encabezado no pueden superar los 100 kB.

o    Imágenes de fondo no pueden superar los 500 kB.

Nota:    El número de usuarios, en combinación con numerosos grupos, puede afectar al rendimiento del servidor de SGN.

 

5.2      Centro de administración de SafeGuard

·         La desinstalación del cliente de SGN en sistemas con la consola de administración hace que ésta deje de funcionar.
Si utiliza SafeGuard Management Center en un sistema con el cliente de SGN, al desinstalar el cliente hará que la consola deje de funcionar. Este problema es independiente del orden en que se instalaros ambos productos. Debe volver a instalar Management Center en dicho equipo.

 

·         Nomenclatura de las bases de datos
El nombre de la base de datos de SGN debe cumplir el siguiente convenio para evitar problemas de localización.

El nombre de la base de datos de SGN sólo debe contener:
            - Letras (A-Z, a-z)
            - Números (0-9)
            - Guión bajo (_)

·         Si tiene instalado Management Center y el cliente de SGN en el mismo equipo, debe actualizar ambos componentes a SGN 5.50, comenzando por el cliente. Si sólo actualiza Management Center puede que falle el inicio de sesión en Windows.

 

·         Para más información sobre la actualización de SGN Management Center, consulte el CD-ROM del producto (carpeta tools) o la base de conocimiento de Sophos.

 

·         Posibles métodos de acceso a las bases de datos SQL:
La autenticación Windows NT requiere más pasos de configuración descritos por Microsoft (consulte en la base de conocimiento de Sophos los artículos relativos a la cuenta de servicio de SGN). La autenticación SQL es menos compleja y no requiere configuración adicional.

·         Las reglas de contraseñas en SGN se implementan de forma independiente de AD y si se aplican ambas se pueden causar bloqueos. Si ya dispone de una directiva de contraseñas en AD, se recomienda no definir reglas de contraseñas en SafeGuard Management Center.

·         Si se realiza una sincronización con AD con una cuenta de Windows que dispone de derechos más restrictivos que cuando se realizó la importación inicial, todos los objetos a los que no se pueda acceder se tratarán como “no disponible” y se borrarán o moverán al nodo Authenticated Computers.
Se recomienda crear una cuenta de servicio para la autenticación de las tareas de importación y sincronización para evitar la pérdida accidental de objetos en la base de datos de SGN (para más información, consulte la base de conocimiento de Sophos.

·         Si se mueven elementos de algún subárbol en Active Directory a otro, deberá sincronizar ambos subárboles con la base de datos. Si sólo sincroniza un subárbol, se eliminarán objetos en vez de moverlos.

·         La sincronización con AD no se aplica a nombres anteriores a Windows 2000 (NetBIOS) del dominio si el controlador del dominio se configura con la dirección IP. Debe configurar el controlador del dominio para que utilice el nombre del servidor (NetBIOS o DNS). El cliente (donde se realiza la sincronización con AD) debe pertenecer al dominio o al menos ser capaz de resolver el nombre DNS del controlador del dominio.

·         Certificados personalizados importados en SGN no se verifican según RFC3280. Es decir, no se evita el uso de certificados de firma para el cifrado.

·         Si un grupo recibe políticas que se solapan, se pueden aplicar prioridades incorrectas. Utilice políticas que no se solapen.

·         Si desea que la contraseña caduque en menos de 2 días no cambie la opción “Password change allowed after min. (days)”. Una vez cambiada, el mínimo será 2 días.

·         Nota: Los usuarios no pueden realizar la desinstalación en volúmenes cifrados con una clave de usuario que no sea propia.

·         Se pueden producir problemas en la interfaz gráfica del producto si la resolución de la pantalla no es 96 DPI.

·         Se recomienda realizar por fases la importación de más de 400.000 objetos de AD. No será posible si una unidad organizativa cuenta con más de 400.000.

·         Las claves de cifrado creadas de forma local con SafeGuard Removable Media versión 1.20 o anterior no se pueden importar a SafeGuard Management Center.

·         Las estaciones que pertenecen a un grupo de trabajo desconocido no se pueden autoregistrar en SGN que se hayan migrado de una versión anterior a la 5.20.. El grupo de trabajo debe crearse primero en SafeGuard Management Center.

·         El autoregistro falla si no tiene activado el soporte para NetBIOS.
Sólo debe utilizar direcciones IP si NetBIOS también se encuentra activo en la red. Si utiliza direcciones IP sin soporte para NetBIOS, los usuarios autoregistrados y estaciones no se ordenarán por dominios.

·         Dos encargados de seguridad no pueden utilizar la misma cuenta de Windows en el mismo ordenador. Si lo hacen no se podrán establecer los derechos de acceso de cada uno.

·         El inventario del cliente de BitLocker no muestra el estado apropiado de unidades extraíbles.

·         Los clientes registrados como miembros de un dominio no se actualizarán correctamente en SafeGuard Management Center si se mueven a un grupo de trabajo.

·         Tras actualizar la base de datos de SGN a la versión 5.50, las consolas de administración de versiones anteriores mostrarán un mensaje de error. También deben actualizarse.

·         Tras realizar la desinstalación, no se borran algunos archivos y entradas del registro. Para borrarlos de forma manual, consulte en la base de conocimiento de Sophos los artículos relativos a la desinstalación de SGN. Debe borrar estos archivos y entradas del registro antes de volver a instalar SGN.

·         Delta CRL no compatible con SafeGuard Enterprise. Al importar un Delta CRL en CA, se sobrescribe el CRL original. De esta manera, certificados obsoletos pueden volver a ser válidos. Sólo debe utilizar el CRL completo en SafeGuard Enterprise. La compatibilidad con Delta CRL se añadirá en próximas versiones.

·         En situaciones muy concretas, es posible que ocurra algún problema de sincronización y/o configuración con SQL Server Express de manera que la base de datos de SafeGuard no funcione con la autenticación SQL. En este caso, se recomienda utilizar la autenticación de Windows con SQL Server Express.

5.3      Servidor de SafeGuard Enterprise

·         Autenticación HTTP (del cliente en IIS) no es posible.

·         Para reducir el tráfico de red se recomienda utilizar un intervalo de conexión de más de 240 minutos.

·         Se recomienda activar las opciones de reciclaje de memoria en IIS con las opciones predeterminadas.

·         El acceso a la página predeterminada del servidor web puede generar un error. Esto se puede resolver registrando de nuevo ASP.NET: aspnet_regiis /i

·         Para evitar incompatibilidad con aplicaciones existentes, se recomienda instalar el servidor SGN en un servidor IIS dedicado.

·         SGN 5.50 Enterprise Server no es compatible con los clientes SGN 5.00/5.10/5.20/5.30. Debe migrar los clientes a SGN 5.35 o posterior antes de migrar SGN Enterprise Server a la versión 5.50

·         Los clientes SGN 5.50 no se pueden conectar a servidores SGN anteriores a la versión 5.50. Debe migrar todos los clientes SGN a la misma versión.

·         SafeGuard Enterprise API: la consola de administración puede no registrar eventos al utilizar funciones similares con SGN API de forma simultánea.

·         SafeGuard Enterprise API: El método “CreateDirectoryConnection” no se ejecuta con sólo SGN Server. Debe disponer también de SGN Management Console.

5.4      Cliente de SafeGuard Enterprise Data Exchange

 

·         No se impide la instalación de DX en un sistema con SafeGuard Removable Media.  SGRM y SGN DX so productos para el cifrado de archivos que no se pueden utilizar al mismo tiempo. Sin embargo, el programa de instalación de DX no comprueba esta condición. Debe desinstalar SGRM antes de instalar SGN DX.

·          Recuperar contraseñas olvidadas
SafeGuard Data Exchange sin Device Encryption no dispone de esta función. Debe cambiar la contraseña en Active Directory, iniciar la sesión sin Sophos Credential Provider y restaurar la configuración del usuario desde la estación. Para más información, consulte la base de conocimiento de Sophos.

·         Compatibilidad con SG RemovableMedia 1.20
Claves locales creadas con SafeGuard Removable Media anterior a la versión 1.20 antes de cambiar a SafeGuard Data Exchange se pueden utilizar con el cliente SGN. Aunque no se transfieren a la base de datos de SGN de forma automática.

·         Compatibilidad con SG Easy 4.x
Al utilizar SafeGuard Data Exchange con SafeGuard Easy 4.x, tenga en cuenta que los mecanismos de SGE GINA (especialmente el inicio de sesiones seguras - SAL) dejarán de funcionar. SGE debe instalarse primero y ambos se deben desinstalar de forma consecutiva (sin reiniciar) para evitar conflictos en GINA.

·         Compatibilidad con Microsoft Office 2007
Las aplicaciones de la suite de Microsoft Office 2007 producen un error al intentar guardar un archivo que debe cifrarse según la política de protección de la estación.

Solución:
- Ajuste el estado de cifrado de archivos especificados en la política o
- añada las aplicaciones de Office a la clave del registro de procesos de cambio de nombre especial.

En el siguiente ejemplo se muestra cómo añadir WinWord.exe y Excel.exe a esta clave.

Registro de Windows, versión 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\UTIMACO\SGLCENC]
"SpecialRenamePrograms"="winword.exe;excel.exe;"

Para más información, consulte el artículo 109474 en la base de conocimiento de Sophos.

·         Elevación de usuario para ejecutables cifrados
Al ejecutar un programa que requiere elevación de privilegios en Windows Vista o Windows 7, puede que la elevación no se lleve a cabo y que no se ejecute el programa.

·         Acceso directo a SafeGuard Portable en unidades de solo lectura
El acceso directo a SafeGuard Portable desde el directorio raíz de unidades extraíbles de solo lectura puede no funcionar en ciertas condiciones (Windows 7). Al insertar el disco en un lector con la letra de unidad diferente a la que tenía cuando se copió, el acceso directo no funciona si dicha letra de unidad se encuentra disponible. Por ejemplo, si se crea el acceso directo a SafeGuard Portable en un disco en la unidad D: y se utiliza en otro ordenador en la unidad E:, el acceso directo no funcionará si dicho ordenador tiene la unidad D: disponible.

·         Acceso al juego de claves tras cerrar una sesión remota
No se puede acceder al juego de claves del usuario tras cerrarse una sesión remota. Debe reiniciar el equipo para recuperar el acceso al juego de claves del usuario. No es suficiente con reiniciar la sesión.

 

5.5      Cliente de SafeGuard Enterprise Device Encryption

·         Dispositivos cifrados con BitLocker To Go pueden impedir la instalación de Device Encryption
Si un dispositivo USB cifrado con BitLocker To Go se encuentra conectado al equipo durante la instalación de SGN, la instalación fallará. Para solucionar este problema debe desconectar los dispositivos cifrados con BitLocker to Go antes de instalar SGN DE.

·         Fallo en ciertos dispositivos de memoria USB
Ciertos modelos de memoria USB indican un tamaño de almacenamiento incorrecto (normalmente mayor que el tamaño real). En estos modelos, el cifrado inicial del dispositivo fallará y se perderán los datos. Sophos recomienda utilizar el cifrado de archivos en unidades extraíbles.

·         Cifrado de volúmenes con perfiles de usuario
Al cifrar volúmenes con perfiles de usuario, sólo debe utilizar claves asignadas a dichos usuarios. Ningún volumen con perfiles de usuario debe cifrarse con una clave que no esté disponible para todos los usuarios afectados. Esto sólo es un problema si cambia la ubicación predeterminada de los perfiles de usuario a un volumen local cifrado.

·         SafeGuard Easy
El cliente debe reiniciarse tras iniciar la primera sesión para asegurar el registro del usuario.

·         Actualización
Al actualizar el cliente de SGN se recomienda la opción ‘Personalizada’ para poder seleccionar las funciones que desea actualizar. También puede seleccionar la opción ‘Completa’. Con la opción predeterminada puede que algunos componentes no se actualicen correctamente.
En instalaciones no interactivas, utilice la opción ADDLOCAL= para seleccionar las funciones (existentes o nuevas). Si no utiliza esta opción, sólo se actualizarán las funciones existentes.

·         Instalación del paquete de configuración del cliente
Tras instalar el paquete de configuración del cliente, se debe esperar unos 5 a 10 segundos antes de reiniciar el sistema. Al reiniciar el sistema, se debe esperar unos 3 minutos antes de iniciar la sesión en Windows. De lo contrario, la sincronización inicial del usuario puede no completarse a tiempo.

·         Autoayuda local
En la opción de autoayuda en POA, no se mostrará la opción de recuperación si el usuario tiene activada la opción de iniciar la sesión con un token o mediante un lector de huellas digitales. La autoayuda sólo está disponible si el usuario utiliza POA con credenciales habituales.

·         Errores de escritura durante el cifrado inicial
Durante la instalación de SafeGuard Enterprise Base Encryption, el sistema operativo puede indicar ciertos errores de escritura. Esto puede ocurrir tras instalarse el kernel en el sistema. Esto puede agravarse al iniciar el sistema modificado por primera vez, cuando ocurren numerosas operaciones I/O en paralelo.

Solución:
Puede utilizar una forma alternativa al instalar el kernel de SafeGuard Enterprise Base Encryption mediante el siguiente registro:

             Subárbol:        HKEY_LOCAL_MACHINE
                   Clave:       System\CurrentControlSet\Control\Session Manager
 Nombre del valor:
       AllocMode (DWORD)
                   Valor:        1

Debe modificar el registro antes de iniciar la instalación
de SafeGuard Enterprise Base Encryption

·         Política de protección de dispositivos para unidades extraíbles
Una política de cifrado de dispositivos que permita al usuario seleccionar la clave de una lista, puede saltarse sin seleccionar ninguna clave. Par evitar esta posibilidad, las políticas de cifrado de unidades extraíbles deben indicar la clave a utilizar o aplicar el cifrado de archivos.

·         Política de protección de dispositivos con políticas de protección de la configuración para unidades que no son de inicio
Si utiliza el cifrado de volúmenes y la protección de configuración en Windows Vista, el cifrado se puede bloquear en unidades que no son de inicio. Esto se puede evitar copiando el archivo bootmgr a las unidades que no son de inicio antes de instalar SGN y la política de cifrado debe estar definida para ‘Bootvolumes’.

 

·         Política de intercambio de datos y SafeGuard Easy
Las políticas de intercambio de datos no puede utilizar la clave definida en SafeGuard Easy 5.50. Utilice una clave diferente para estaciones con SafeGuard Easy.

 

·         Kerberos con A-Trust Token
Configuración de inicio de sesión Kerberos con A-Trust Smartcard:

Debe instalar el software de A-Trust con los siguientes parámetros:

           
acSetup.exe /CALAIS=Yes

Utilice el icono de A-Trust en la bandeja del sistema para actualizar el software. Este paso es necesario incluso si dispone de la última versión del software, ya que se descargará el certificado raíz de A-Trust.

Instale la configuración del registro en
\Tools\ATrustSetup.reg.

Nota: El almacén de la clave del usuario no se puede abrir con la versión 1.2.5.2 o anterior del software de A-Trust.
A-Trust está trabajando para resolver este problema.

·         Kerberos con Aladdin eToken Pro
Debe disponer del software Aladdin PKI Client 5.0 para el inicio de sesión Kerberos con Aladdin eToken PRO 72k (Java). Sin embargo, el token debe inicializarse con Aladdin PKI Client 4.55 para sea compatible con SGN POA.

·         Cliente Novell
Para poder utilizar SGN junto con el cliente Novell, se deben realizar ciertos cambios. Póngase en contacto con soporte técnico de Sophos para más información.

·         Cambio rápido de usuario
El cambio rápido de usuario no es compatible y debe desactivarse.

·         Disquetera integrada
Tras la instalación de SGN Device Encryption en Windows Vista la disquetera deja de estar disponible. Esta limitación no se aplica a disqueteras externas USB.

·         Tiempo de arranque
El tiempo de arranque se incrementa en aproximadamente un minuto tras instalar SGN. 

·         Cifrado de unidades virtuales
Las unidades virtuales montadas en el sistema (por ejemplo, un archivo VHD montado con MS Virtual Server) se consideran unidades locales y por lo tanto se cifrarán si la política aplicada tiene activada la opción de cifrado para ‘otros volúmenes’.

·         No se posible utilizar cifrado de volúmenes con BitLocker. El programa de instalación del cliente de SGN no permite instalar ambas funciones de forma simultánea.

·         Durante el cifrado inicial de la partición del sistema (es decir, la partición que contiene el archivo hiberfil.sys) se debe evitar suspender a disco ya que puede fallar. Tras el cifrado inicial de la partición del sistema se debe reiniciar el sistema para que la opción suspender a disco vuelva a funcionar sin problemas.

·         La desinstalación de SGN Device Encryption Client descifra de forma automática los volúmenes cifrados con la clave predeterminada. Otros volúmenes no se descifran de forma automática. Debe descifrarlos mediante la política apropiada antes de desinstalar SGN Device Encryption Client.

·         Debe descifrar todas las unidades extraíbles antes de desinstalar el cliente SGN. De lo contrario no podrá acceder a los datos almacenados en dichas unidades. Para poder recuperar los datos necesitará la base de datos de SGN.

·         Se recomienda reiniciar el sistema tras activar la autenticación de encendido de SGN. SGN realiza una copia de seguridad de los datos del kernel cada vez que se reinicia el sistema. La copia de seguridad no se realiza si el sistema se encuentra hibernando o en modo de espera.

·         El kernel de Microsoft Windows XP tiene ciertas limitaciones técnicas. Si instala varios controladores de filtrado del sistema de archivos (por ejemplo, programas antivirus), se puede agotar la memoria. En este caso podría producirse un error fatal del sistema (pantalla azul). Sophos no es responsable de esta limitación de Windows y no puede hacer nada para solucionar el problema.

·         En algunas ocasiones el evento de inserción de token se pierde durante el diálogo de bienvenida de Windows. En este caso, debe volver a insertar el token. También puede pulsar la combinación de teclas Ctrl-Alt-Supr para entrar en el cuadro de inicio de sesión.

·         Si se produce algún error durante el inicio de sesión Kerberos en Windows, el cuadro de diálogo para insertar el PIN no se cierra de forma automática tras cerrar el mensaje de error. El usuario debe pulsar la tecla Esc o Ctrl-Alt-Supr para volver al cuadro de diálogo de inicio de sesión.

·         En clientes con OHCI para la interfaz USB, ciertas Smartcard y token pueden no funcionar.

·         Para poder utilizar lectores de tarjetas USB en portátiles Dell 620, necesita activar la opción "Compatible Mode" en la BIOS (Onboard Devices/Integrated USB). Este es el valor predeterminado.

·         En combinación con el cliente Aladdin PKI 4.5x se pueden producir grandes retrasos en GINA. Se recomienda utilizar la versión 5.0.

·         Para el cifrado de volúmenes, no son compatibles los "discos dinámicos" ni los “discos GPT”.

·         Tras realizar la desinstalación, no se borran algunos archivos y entradas del registro. Para borrarlos de forma manual, consulte en la base de conocimiento de Sophos los artículos relativos a la desinstalación de SGN. Debe borrar estos archivos y entradas del registro antes de volver a instalar SGN.

·         Debido a limitaciones técnicas en Windows XP, debe volver a insertar la Smartcard o token en GINA para poder utilizar el "inicio de sesión único" con Kerberos (smartcard/token).

·         Si la desinstalación de SGN se realiza desde Active Directory, debe primero asegurarse de que todos los volúmenes se han descifrado correctamente.

·         No se ha probado la compatibilidad con herramientas de creación de imágenes de disco, por lo que no se ofrece soporte.

·         Si utiliza un token Aladdin para iniciar la sesión, actualmente sólo se pueden utilizar certificados de 1024 bits.

·         Con caracteres especiales (como ä,ö,ü,…) se distingue entre mayúsculas y minúsculas en el POA.

·         Ciertos ordenadores no pueden iniciarse desde un disquete si ya se han iniciado alguna vez desde el POA en el disco duro. Esto se debe a una limitación de la BIOS en dichos ordenadores y es algo que Sophos no puede resolver.

·         Debe revisar el uso de caracteres especiales en el aviso legal del POA. Algunos de estos caracteres puede que no se muestren correctamente.

·         Antes de cifrar un volumen, se recomienda ejecutar chkdsk c: /f /v /l /x para verificar todos los sectores de la partición. El sistema de corrección del disco duro marcará los sectores defectuosos antes de realizar el cifrado de SGN.

·         Al utilizar SafeGuard Portable con el cliente de SGN, se debe utilizar el algoritmo AES-256 para el cifrado de unidades extraíbles.

·         Estaciones con cifrado BitLocker detectarán discos duros USB como “Otros volúmenes” y no como “Extraíbles”. No utilice políticas de cifrado para “Otros volúmenes” si emplea discos duros USB en estaciones con BitLocker.

·         Si instala SGN Device Encryption y SGN Data Exchange en una estación, no podrá desinstalar sólo Device Encryption. Debe desinstalar el paquete completo.

·         Se ha probado con éxito la compatibilidad del cifrado de unidades y archivos con los productos antivirus de Sophos y con los siguientes productos:

Si se produce algún error durante el inicio, haga lo siguiente:   

En HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\Storages\ Filesystem\RealTimeScan                                           

Cambie el valor DWORD de KStackMinFree a 0x2200.                                     

Para más información sobre esta clave, vea el siguiente artículo:                                            

http://service1.symantec.com/support/ent-security.nsf/854fa02b4f5013678825731a007d06af/f5ee041a924af12d8825709d00509eb2?OpenDocument           

·         Si sólo instala SGN Data Exchange e importa los usuarios, no se importarán al POA de forma automática cuando instale SGN Device Encryption. Debe iniciar una actualización de usuario, por ejemplo asignando la clave al directorio raíz.

·         Antes de desinstalar el cliente de SGN debe desinstalar el paquete de configuración.

·         La herramienta BE_RESTORE siempre intenta acceder al disco duro en disk0. En ciertos casos este puede no ser el disco duro, por ejemplo si tiene conectada una unidad de memoria USB o si está utilizando un disco RAM.

·         La herramienta BE_RESTORE tiene ciertas limitaciones en Windows Vista y Windows PE 2.0 si el disco todavía no se encuentra cifrado.

·         Para utilizar la herramienta BE_RESTORE en Windows PE 2.0 necesita al menos 512 MB de memoria RAM.

·         El cambio de disquete no siempre se detecta correctamente. Intente acceder a la disquetera cuando está vacía para asegurarse de que se detecta el cambio.

·         En Windows XP hasta Service Pack 2 se produce un error en ciertos equipos por el que al reanudar el sistema tras encontrarse en modo de espera no se muestra el escritorio bloqueado sino que se accede directamente al escritorio del usuario. El problema también se aplica a SafeGuard Enterprise. Este problema parece que se va a resolver en Windows XP SP3.

·         En ocasiones esporádicas, algunos programas para Smartcard dieron problemas en nuestras pruebas y al desbloquear el escritorio se perdía la sesión. En este caso, SGN bloquea el escritorio de nuevo. Una posible solución es cambiar la opción “Action if token logon status is lost” en la política al valor “no action”.

·         De forma ocasional, el programa de instalación del cliente SGN Device Encryption termina con el error 5001. Este error indica que el disco se encuentra muy fragmentado. El kernel de SGN necesita 96 MB de espacio continuo en el primer disco duro.

·         Es posible saltarse la imposición de la política de historial de contraseñas de SafeGuard Enterprise durante el cambio de contraseña por la imposición del administrador del sistema.

·         Si el cliente SGN permite el inicio de sesión con token (Kerberos), no podrá utilizarlo mediante Escritorio remoto.

·         No se puede iniciar la sesión en el POA si el nombre de usuario tiene caracteres con diéresis y estos caracteres no se encuentran en el teclado.

·         A continuación se muestra la lista de teclados compatibles con el módulo de autenticación. "x" indica que el idioma es compatible. Para el resto de idiomas se utilizará el predeterminado como se indica. Evite caracteres especiales en idiomas cuyo teclado predeterminado es US.

 

ID del idioma      Teclado   Idioma y comentarios

====================================================================

        0x0000   US         Idioma neutral

        0x0400   US         Idioma de proceso o predeterminado del usuario

        0x0800   US         Idioma predeterminado del sistema

        0x0401   US         Árabe (Arabia Saudí)

        0x0801   US         Árabe (Irak)

        0x0c01   US         Árabe (Egipto)

        0x1001   US         Árabe (Libia)

        0x1401   US         Árabe (Argelia)

        0x1801   US         Árabe (Marruecos)

        0x1c01   US         Árabe (Túnez)

        0x2001   US         Árabe (Omán)

        0x2401   US         Árabe (Yemen)

        0x2801   US         Árabe (Siria)

        0x2c01   US         Árabe (Jordania)

        0x3001   US         Árabe (Líbano)

        0x3401   US         Árabe (Kuwait)

        0x3801   US         Árabe (E.A.U.)

        0x3c01   US         Árabe (Bahrein)

        0x4001   US         Árabe (Qatar)

                 US         Árabe  (102) AZERTY                       

   X    0x0402   BG         Búlgaro            Fuente no disponible

        0x0403   ES         Catalán

        0x0404   US         Chino (Taiwán)     Fuente no disponible

        0x0804   US         Chino (RPC)        Fuente no disponible

        0x0c04   US         Chino (Hong Kong, ZAE RPC)  “

        0x1004   US         Chino (Singapur)   Fuente no disponible

        0x1404   US         Chino (Macao RAE) (98/ME,2K/XP)

   X    0x0405   cz         Checo

   X    0x1402   cz_qwerty  Checo   (QWERTY)

                 US         Checo   (programación)

   X    0x0406   dk         Danés

   X    0x0407   de         Alemán  (estándar)

   X    0x0807   de_CH      Alemán  (Suiza)

        0x0c07   de         Alemán  (Austria)

        0x1007   de         Alemán  (Luxemburgo)

        0x1407   de         Alemán  (Liechtenstein)

   X    0x0408   el         Griego             Fuente no disponible

   X    0x0409   us         Inglés (Estados Unidos)

   X    0x0809   gb         Inglés (Reino Unido)

        0x0c09   us         Inglés (Australia)

        0x1009   us         Inglés (Canadá)

        0x1409   us         Inglés (Nueva Zelanda)

   X    0x1809   ie         Inglés (Irlanda)

        0x1c09   US         Inglés (Sudáfrica)

        0x2009   US         Inglés (Jamaica)

        0x2409   US         Inglés (Caribe)

        0x2809   US         Inglés (Belice)

        0x2c09   US         Inglés (Trinidad)

        0x3009   US         Inglés (Zimbabue) (98/ME,2K/XP)

        0x3409   US         Inglés (Filipinas) (98/ME,2K/XP)

   X    0x040a   ES         Español (España, alfab. tradicional)

        0x080a   ES         Español (México)

        0x0c0a   ES         Español (España, alfab. internacional)

        0x100a   ES         Español (Guatemala)

        0x140a   ES         Español (Costa Rica)

        0x180a   ES         Español (Panamá)

        0x1c0a   ES         Español (República Dominicana)

        0x200a   ES         Español (Venezuela)

        0x240a   ES         Español (Colombia)

        0x280a   ES         Español (Perú)

        0x2c0a   ES         Español (Argentina)

        0x300a   ES         Español (Ecuador)

        0x340a   ES         Español (Chile)

        0x380a   ES         Español (Uruguay)

        0x3c0a   ES         Español (Paraguay)

        0x400a   ES         Español (Bolivia)

        0x440a   ES         Español (El Salvador)

        0x480a   ES         Español (Honduras)

        0x4c0a   ES         Español (Nicaragua)

        0x500a   ES         Español (Puerto Rico)

   X    0x040b   fi         Finés

                 US         Finés (con sami)

   X    0x040c   fr         Francés (estándar)

   X    0x080c   be         Francés (Bélgica)

        0x1080c  be         Belga (coma)

   X    0x0c0c   ca_enhanced  Francés (Canadá)

                 US         Francés (Canadá, heredado)

                 US         Canadiense (multilingüe)

   X    0x100c   fr_CH      Francés (Suiza)

        0x140c   fr_CH      Francés (Luxemburgo)

        0x180c   fr         Francés (Mónaco) (98/ME,2K/XP)

        0x040d   US         Hebreo

   X    0x040e   hu         Húngaro

   X    0x040f   is         Islandés

   X    0x0410   it         Italiano (estándar)

        0x0810   it         Italiano (Suiza)

   X    0x0411   jp         Japonés

   X    0x0412   ko         Coreano            Fuente no disponible

        0x0812   US         Coreano (Johab) (95,NT)

   X    0x0413   nl         Holandés (Países Bajos)

   X    0x0813   be         Holandés (Bélgica)

   X    0x0414   no         Noruego (Bokmal)

        0x0814   no         Noruego (Nynorsk)

   X    0x0415   pl         Polaco             Fuente no disponible

   X    0x0416   br         Portugués (Brasil)

   X    0x0816   pt         Portugués (Portugal)

   X    0x0418   ro         Rumano

        0x0419   US         Ruso

        0x041a   US         Croata

        0x081a   US         Serbio (latino)

        0x0c1a   US         Serbio (cirílico)

        0x101a   US         Croata (Bosnia-Herzegovina)

        0x141a   US         Bosnio (Bosnia-Herzegovina)

        0x181a   US         Serbio (latino, Bosnia-Herzegovina)

        0x1c1a   US         Serbio (cirílico, Bosnia-Herzegovina)

        0x041b   sk         Eslovaco

        0x041c   US         Albanés

   X    0x041d   se         Sueco

        0x081d   se         Sueco (Finlandia)

        0x041e   US         Tailandés

   X    0x041f   tr         Turco        Fuente no disponible

        0x0420   US         Urdú (Pakistán) (98/ME,2K/XP)

        0x0820   US         Urdú (India)

        0x0421   US         Indonesio

        0x0422   uk         Ucraniano

        0x0423   US         Bielorruso

        0x0424   sl         Esloveno

        0x0425   US         Estonio

        0x0426   lv         Letón

        0x0427   lt         Lituano

        0x0827   US         Lituano (clásico) (98)

        0x0429   US         Persa

        0x042a   US         Vietnamita (98/ME,NT,2K/XP)

        0x042b   US         Armenio. Sólo Unicode. (2K/XP)

                 US         Armenio oriental

                 US         Armenio occidental

        0x042c   US         Azerí (latino)

        0x082c   US         Azeri (cirílico)

        0x042d   US         Vasco

        0x042f   US         Macedonio (FYROM)

        0x0430   US         Sutu

        0x0432   US         Setswana/Tswana (Sudáfrica)

        0x0434   US         isiXhosa/Xhosa (Sudáfrica)

        0x0435   US         isiZulu/Zulu (Sudáfrica)

        0x0436   US         Afrikaans

        0x0437   US         Georgiano. Sólo Unicode. (2K/XP)

        0x0438   US         Feroés

        0x0439   US         Hindú. Sólo Unicode. (2K/XP)

        0x043a   US         Maltés (Malta)

        0x043b   US         Sami septentrional (Noruega)

        0x083b   US         Sami septentrional (Suecia)

        0x0c3b   US         Sami septentrional (Finlandia)

        0x103b   US         Sami lule (Noruega)

        0x143b   US         Sami lule (Suecia)

        0x183b   US         Sami meridional (Noruega)

        0x1c3b   US         Sami meridional (Suecia)

        0x203b   US         Sami skolt (Finlandia)

        0x243b   US         Sami inari (Finlandia)

        0x043e   US         Malayo (Malasia)

        0x083e   US         Malayo (Sultanato de Brunei)

        0x0440   US         Kirguizo. (XP)

        0x0441   US         Swahili (Kenia)

        0x0443   uz         Uzbeko (latino)

        0x0843   US         Uzbeko (cirílico)

        0x0444   US         Tatar (Tatarstan)

        0x0445   US         Bengalí (India)

                 US         Bengalí (inscript)

        0x0446   US         Punjabí. Sólo Unicode. (XP)

        0x0447   US         Gujarate. Sólo Unicode. (XP)

        0x0449   US         Tamil. Sólo Unicode. (2K/XP)

        0x044a   US         Telugu. Sólo Unicode. (XP)

        0x044b   US         Kannada. Sólo Unicode. (XP)

        0x044c   US         Malayalam (India)

        0x044e   US         Marathi. Sólo Unicode. (2K/XP)

        0x044f   US         Sánscrito. Sólo Unicode. (2K/XP)

        0x0450   US         Mongol (XP)

        0x0452   US         Galés (Reino Unido)

        0x0455   US         Birmano

        0x0456   US         Gallego (XP)

        0x0457   US         Konkani. Sólo Unicode. (2K/XP)

        0x045a   US         Sirio. Sólo Unicode. (XP)

        0x0465   US         Divehi. Sólo Unicode. (XP)

                 US         Divehi (fonético)

                 US         Divehi (máquina de escribir)

        0x046b   US         Quechua (Bolivia)

        0x086b   US         Quechua (Ecuador)

        0x0c6b   US         Quechua (Perú)

        0x046c   US         Sesotho sa Leboa/Sotho septentrional (Sudáfrica)

        0x007f   US         LOCALE_INVARIANT. Vea MAKELCID.

        0x0481   US         Maorí (Nueva Zelanda)

 

5.6      Cliente de SafeGuard Configuration Protection

§  Requisitos del sistema
.NET Framework 2.0

§  Instalación
Para instalar SGN Configuration Protection, prosiga en el siguiente orden:

·         SGNClient.msi

·         SGN_CP_Client.msi; No reiniciar

·         SGNClientConfig.msi

§  Desinstalación
Para desinstalar SGN Configuration Protection, prosiga en el siguiente orden:

·         SGNClientConfig.msi

·         SGNClient.msi; No iniciar

·         SGN_CP_Client.msi

 

§  Identificador abierto del registro
El cliente de protección de la configuración (SimonPro.exe) mantiene un identificador abierto del registro para evitar manipulaciones, pero esto causa un aviso en Windows Vista

§  No se carga la política de usuario
Si el usuario no necesita pulsar las teclas Ctrl+Alt+Supr para iniciar la sesión en Vista, la política de usuario no se carga correctamente.
En este caso se aplica la política del ordenador.

5.7      Web Helpdesk

5.8      Actualizar SGN 5.35 o posterior a SGN 5.50

·         Actualización del módulo SGN ConfigurationProtection
El módulo SGN ConfigurationProtection no se puede actualizar directamente a SGN 5.50 debido a restricciones de seguridad. Debe desinstalar el módulo anterior antes de instalar el nuevo.

Siga estos pasos:

1.     Instale el paquete SGxClientPreinstall.msi

2.     Actualice el cliente de SafeGuard Enterprise (SGNClient.msi), que incluye el módulo de protección de configuración (no reinicie el sistema).

3.     Desinstale el cliente de SafeGuard Enterprise Configuration Protection Port Protector (SGN_CP_Client.msi)

4.     Reinicie.

5.     Instale el nuevo cliente de SafeGuard Enterprise Configuration Protection Port Protector (SGN_CP_Client.msi).

6.     Reinicie.

 

5.9      SafeGuard Easy 4.x

5.10    SafeGuard LAN Crypt

·         SafeGuard LAN Crypt 3.70 es la primera versión compatible con SafeGuard Enterprise. Si dispone de una versión anterior de SafeGuard LAN Crypt, se recomienda actualizar este programa primero.

·         Si se intenta instalar SafeGuard Enterprise 5.50 en un sistema con SafeGuard LAN Crypt, aparecerá un mensaje indicando que SGLC Profile Loader se encuentra en uso. Esto se debe a que SafeGuard LAN Crypt y SafeGuard Enterprise comparten ciertos componentes. Puede ignorar este mensaje. La actualización se completará al reiniciar el sistema.

5.11    Token, Smartcard, lector de Smartcard

 

5.12    Lector de huellas digitales

5.13    Problemas de interoperabilidad

5.14    Discos duros SCSI

 

 

6       Soporte técnico

 

Para obtener asistencia técnica sobre cualquier producto de Sophos, puede:

 

 

Oberursel, 4 de noviembre de 2010

 

Copyright © 1996 - 2010 Sophos Group y Utimaco Safeware AG. Todos los derechos reservados.

 

Ninguna parte de esta publicación puede ser reproducida, almacenada o transmitida de ninguna forma, ni por ningún medio, sea éste electrónico, químico, mecánico, electro-óptico, grabación, fotocopia o cualquier otro, a menos que disponga de una licencia válida, en cuyo caso puede reproducirse según los términos del acuerdo de licencia, o con la previa autorización escrita por parte del propietario.

 

Sophos es una marca registrada de Sophos Plc y Sophos Group. SafeGuard es una marca registrada de Utimaco Safeware AG - miembro de Sophos Group. Todos los demás nombres de productos o empresas mencionados son marcas comerciales o registradas de sus respectivos propietarios.

 

Todos los productos SafeGuard tienen copyright de Utimaco Safeware AG - miembro de Sophos Group, o, si es aplicable, de sus licenciantes. Todos los productos de Sophos tienen copyright de Sophos Plc., o, si es aplicable, de sus licenciantes.

 

Podrá encontrar información de copyright de productos de terceros en el archivo Disclaimer and Copyright for 3rd Party Software.rtf en la carpeta del producto.

 

 



[1] Consulte la documentación de AET SafeSign (Java Card compatible).

[2] Compatible con tarjetas publicadas por A-Trust con software Kerberos de inicio de sesión Windows y aplicación A-Trust.

[3] Se requiere:

·          Aplicación estándar: OpenSC PKCS#11 versión 0.8.3 y EstEID Card CSP.

·          Software adicional de JaJa Arendus OU (http://www.jaja.ee), como ITLogon CSP y asociar la tarjeta con Active Directory.

[4] Probados con RSA Middleware Client 2.01.