SafeGuard Enterprise 5.50.8
Contenido
1.1 Novedades en la edición SGN 5.50.8
1.1.1 Compatibilidad de Configuration Protection con Windows 7
1.1.2 Cifrado inicial más rápido
1.1.3 Rendimiento mejorado de cifrado
1.2 Novedades en la edición SGN 5.50.1
1.2.1 Compatibilidad de Data Exchange con plataformas de 64 bits
1.3 Novedades en la edición SGN 5.50
1.3.1 Compatibilidad ampliada con plataformas Windows: 64 bits y Windows 7
1.3.2 Autoayuda local para estaciones administradas en vez de autoayuda web
1.3.3 Autoayuda web en licencias SafeGuard Management Center
1.3.4 Asistente de instalación del centro de administración
1.3.6 Cuentas de usuario “sólo POA”
1.3.7 Administración jerárquica
1.3.8 Mejorada la compatibilidad entre el hardware y el sistema operativo
1.3.9 Compatibilidad mejorada con Smartcard y lectores de tarjetas
1.3.11 CD-ROM de recuperación Windows PE (cliente virtual)
1.3.12 Instalación simplificada y copia de seguridad de claves
3.2 Centro de administración de SafeGuard
3.3 Servidor de SafeGuard Enterprise
3.4 Cliente de SafeGuard Enterprise Device Encryption/Data Exchange
3.5 Cliente de SafeGuard Configuration Protection
3.6 Lectores Smartcard compatibles
3.9 Aplicaciones para Smartcard probadas con SafeGuard Device Encryption en Windows
3.10 Matriz de actualización de SGN
3.11 Matriz de migración de SGN
3.12 Matriz cliente/servidor SGN
3.13 Sistemas Windows compatibles
3.14 Bases de datos compatibles con SGN
4 Problemas corregidos (edición 5.50.x comparada con la 5.40)
4.1 Centro de administración de SafeGuard Enterprise
4.2 Servidor de SafeGuard Enterprise
4.3 Cliente de SafeGuard Enterprise
5.2 Centro de administración de SafeGuard
5.3 Servidor de SafeGuard Enterprise
5.4 Cliente de SafeGuard Enterprise Data Exchange
5.5 Cliente de SafeGuard Enterprise Device Encryption
5.6 Cliente de SafeGuard Configuration Protection
5.8 Actualizar SGN 5.35 o posterior a SGN 5.50
5.11 Token, Smartcard, lector de Smartcard
5.12 Lector de huellas digitales
5.13 Problemas de interoperabilidad
SafeGuard Enterprise 5.50.1 Configuration Protection es compatible con versiones de 32 y 64 bits de Windows 7.
Un nuevo proceso optimizado de cifrado inicial de discos permite reducir de forma significativa el tiempo de esta tarea. El cifrado inicial del disco duro se limita al espacio que se encuentra en uso, por lo que el tiempo empleado dependerá de la cantidad utilizada. Esta opción se controla desde la directiva de cifrado (por defecto se encuentra desactivada).
Un nuevo proceso optimizado en el algoritmo de cifrado AES256 permite mejorar el rendimiento al acceder a datos cifrados. Este módulo se utiliza tanto en el cifrado de discos como en el cifrado de archivos (DE y DX), por lo que se mejora el rendimiento en ambos casos.
SafeGuard Enterprise 5.50.1 Data Exchange es compatible con versiones de 32 y 64 bits de Microsoft Windows Vista y Microsoft Windows 7, así como Windows XP de 32 bits.
SafeGuard Enterprise 5.50 es compatible con versiones de 32 y 64 bits de Microsoft Windows Vista y Microsoft Windows 7, así como Windows XP de 32 bits. El servidor y el centro de administración son compatibles con versiones de 32 y 64 bits de Windows Server 2003 y Windows Server 2008/R2.
La autoayuda local permite al usuario recuperar una contraseña olvidada mediante unas preguntas previamente establecidas sin tener que recurrir al departamento informático. De esta forma se ahorra tiempo y recursos. La autoayuda local está disponible en instalaciones independientes desde la versión 5.40 de SafeGuard Enterprise y ahora se incluye también en estaciones administradas. A cambio, se ha retirado el módulo de autoayuda web de SafeGuard Enterprise para nuevos clientes.
El módulo de autoayuda web de SafeGuard Enterprise ahora se incluye con la licencia Management Center sin coste adicional. Se trata de una interfaz web de ayuda conveniente cuando no se utiliza la consola de administración.
Se ha mejorado el proceso de instalación de SafeGuard Enterprise. El nuevo asistente facilita la instalación de los componentes de administración de SafeGuard Enterprise. No tendrá que preocuparse de las dependencias de cada componente, incluyendo elementos de Microsoft. De esta forma se agiliza la instalación y se evitan problemas de configuración del sistema.
SafeGuard Enterprise 5.50 permite asignar usuarios a la lista de cuentas de servicio. En equipos nuevos donde POA todavía no se encuentra activo, no se aplica la lista de cuentas de servicio. De esta forma, se puede configurar el equipo sin modificar el estado de SafeGuard Enterprise para el nuevo usuario.
SGN 5.50 dispone de cuentas especiales, que pertenecen al dominio virtual “<POA>”, y que permiten ,por ejemplo, iniciar equipos con protección POA sin conocer las credenciales del usuario o sin disponer de una cuenta en cada equipo. Se podrá iniciar el equipo desde una unidad externa e iniciar la sesión en Windows sin activar las acciones predeterminadas de SafeGuard Enterprise. Por ejemplo, el usuario no se registrará con SGN independientemente de las credenciales utilizadas en el inicio de Windows.
SafeGuard Enterprise 5.50 facilita las funciones de seguridad en empresas con diferentes niveles de responsabilidad informática. Se han revisado los derechos de cada rol para añadir un mayor control y se han agrupado para poder asignar dependencias. Dentro de cada rol se pueden delegar funciones y crear subroles.
Se ha mejorado la compatibilidad de SafeGuard Enterprise en varios aspectos:
Se ha ampliado el número de Smartcard y lectores de tarjetas compatibles con SafeGuard Enterprise. Para más información, vea los apartados 3.6 a 3.9.
La versión independiente de SafeGuard Enterprise Device Encryption ahora se convierte en “SafeGuard Easy 5.50”, sucesor de SafeGuard Easy 4.x. Técnicamente, SafeGuard Easy 5.50 es sólo el nuevo nombre para la versión independiente de SafeGuard Enterprise 5.50. Es compatible con Windows Vista, Windows 7 y ediciones de 64 bits. Para el inicio de sesión con Smartcard/crypto token se requiere la versión administrada de SafeGuard Enterprise Device Encryption. Se permite la actualización de SafeGuard Easy 4.x bajo las mismas condiciones que en ediciones anteriores de SafeGuard Enterprise, excepto que Windows 2000 ya no es compatible.
SafeGuard Easy 5.50 ahora también incluye las funciones avanzadas de recuperación de SafeGuard Enterprise, como por ejemplo, el uso de un CD-ROM de recuperación Windows PE.
Un
nuevo asistente de instalación facilita la configuración de los componentes de
administración y las políticas predeterminadas. Para utilizar el asistente, ejecute “SGNInstallAdvisor.bat”
en el directorio raíz del DVD del producto. Los archivos de recuperación de SafeGuard Easy/ESDP se
pueden almacenar en unidades de red de forma automática. También se han añadido
opciones para realizar y restaurar copias de
seguridad del certificado de la empresa.
El siguiente artículo de la base de conocimiento de Sophos incluye prácticas
recomendadas: http://esp.sophos.com/support/knowledgebase/article/110259.html.
SafeGuard Enterprise incluye también otras mejoras en usabilidad, almacenamiento, rendimiento y uso. Entre otras:
· Se ha mejorado la velocidad de cifrado en Windows 7.
Necesita derechos de administrador para instalar el software. Para la instalación del software, consulte el manual de instalación.
Si modifica la instalación de SGN o instala nuevos módulos,
el programa de instalación podría
indicar que ciertos componentes se encuentra en uso (por ejemplo, Safe Guard
Removable Media Manager). Esto se debe a que algunos componentes son comunes a
varios módulos. La actualización se completará tras reiniciar el sistema.
Nota: Este es el comportamiento predeterminado en instalaciones no interactivas.
Aunque es posible instalar ciertos componentes y añadir otros posteriormente, se recomienda instalar Device Encryption en la instalación inicial.
Nota: Sólo se aplica a la instalación del cliente de SafeGuard Easy 5.50.
Si desea actualizar SafeGuard Easy 4.x, consulte primero la guía de instalación y los artículos relacionados en la base de conocimiento de Sophos.
Servidor de red con administración de usuarios y equipos:
· Microsoft Windows 2008 Server (32 y 64 bits) con Active Directory
· Microsoft Windows 2003 Server (32 y 64 bits) con Active Directory
Base de datos:
· Microsoft SQL Server 2005 SP2, SP3
· Microsoft SQL Server 2008 SP1
· Microsoft SQL Server 2005 Express SP2, SP3
· Microsoft SQL Server 2008 Express SP1
Conectividad:
Los clientes deben poder conectar a
· Servidor SGN en los puertos 80/TCP o 443/TCP
El centro de administración de SafeGuard debe poder conectar a
· Base de datos SQL 2005 (Express) o SQL 2008 (Express), puertos1433/TCP y 1434/TCP
· Active Directory, puertos 389/TCP, 636 SLDAP, 1025/TCP (RPC) y 135/TCP (asignador de extremos de RPC).
El servidor de SafeGuard Enterprise debe poder conectar a
· Base de datos SQL 2005 (Express) o SQL 2008 (Express), puertos1433/TCP y 1434/TCP
Hardware:
Procesador Intel o AMD X86
512 MB de memoria RAM
1 GB libre en el disco duro (recomendado)
Compatible con tokens de autenticación (algunos sólo permiten hasta 1024 bits RSA)
Software:
Sistema operativo Microsoft Windows en
inglés, francés, alemán o japonés
· XP SP2 SP3 32 bit
· Vista SP1 SP2 32 bit 64 bit
· 7 32 bit 64 bit
· 2003 Server SP1 SP2 32 bit 64 bit
· 2003 Server R2 SP1 SP2 32 bit 64 bit
· 2008 Server SP1 SP2 32 bit 64 bit
· 2008 Server R2 64 bit
Microsoft ASP.net
· .NET Framework 3.0 SP1
El usuario debe disponer de permiso de lectura y escritura a la base de datos con uno de los siguientes métodos de autenticación:
· Autenticación Windows NT
· Autenticación SQL
Certificados X.509 probados
Hardware:
Procesador Intel o AMD X86
512 MB de memoria RAM
1 GB libre en el disco duro (recomendado)
Software:
Microsoft Windows Operating Systems in German or English (other OS languages were not tested but should work)
· 2003 Server SP1 SP2 32 bit 64 bit
· 2003 Server R2 SP1 SP2 32 bit 64 bit
· 2008 Server SP1 SP2 32 bit 64 bit
· 2008 Server R2 64 bit
Microsoft ASP.net
· .NET Framework 3.0 SP1
Microsoft Internet Information Services
· Versión 6.0 en Windows Server 2003
· Versión 7.0 en Windows Server 2008
· Versión 7.5 en Windows Server 2008 R2
· Se recomienda la actualización de IIS que se describe en el artículo de Microsoft KB934903
El usuario debe disponer de permiso de lectura y escritura a la base de datos con uno de los siguientes métodos de autenticación:
Nota: Sophos recomienda utilizar cifrado SSL en las comunicaciones entre el cliente y el servidor SGN. Si debe utilizar el cifrado propietario de SGN, el límite de estaciones que pueden conectar con un servidor es de 1.000. Al utilizar SSL, debe activar y configurar las opciones correspondientes en SGN Management Center. Para más información, consulte la guía de instalación.
Nota: La carga del servidor SGN dependerá del número de estaciones, el número de SGN en cada estación, el número de grupos por usuario y la frecuencia de conexión. Puede ajustar la carga en el servidor SGN mediante estos parámetros. Con un usuario SGN en varios grupos y una actualización al día, hasta 40.000 estaciones pueden conectarse a un servidor SGN mediante SSL.
Hardware:
Sistema operativo Microsoft Windows:
El cliente SGN BitLocker sólo se puede instalar en plataformas donde MS BitLocker está disponible.
Software:
Hardware:
Sistema operativo Microsoft Windows:
Software:
Internet Explorer versión 6.0 o posterior
.NET Framework 2.0
Lectores Smartcard probados con SafeGuard Device Encryption Power-on Authentication
Los siguientes lectores han pasado el control de calidad.
Fabricante |
Modelo |
Interfaz |
Comentarios |
ACS |
ACR 38U-CCID |
USB-CCID |
Requiere firmware versión ³ v1.12c |
ActivIdentity |
USB Reader 3.0 |
USB-CCID |
|
|
PCMCIA Reader |
PC-Card |
SCR 243 OEM |
Broadcom |
BCM 5880 |
integrada (USB) |
|
Cherry |
ST-1044U |
USB-CCID |
|
|
ST-2000 |
USB-CCID |
Teclado PIN no compatible |
|
ST-4044 |
PC-Card |
CardMan 4040 OEM |
|
G83-6644 |
USB-CCID |
Teclado PIN no compatible |
Dell |
RT7D60 |
USB-CCID |
teclado |
Eutronsec |
SIM Pocket |
USB-CCID |
Tarjetas SIM y de tamaño estándar |
|
Smart Pocket |
USB-CCID |
|
Fujitsu Siemens |
Smartcase SCR (USB) |
USB-CCID |
también conocido como “Solo” |
Gemalto |
GemPC Express |
ExpressCard |
|
|
GemPC Twin |
USB-CCID |
|
|
GemPC Key |
USB-CCID |
Tamaño SIM |
|
Reflex USB v3 |
USB-CCID |
|
HP |
SC Terminal |
USB-CCID |
teclado |
|
PC Smart Card Reader |
PC-Card |
SCR 243 OEM |
Kobil |
KAAN Base |
USB-CCID |
|
|
KAAN Advanced |
USB-CCID |
Teclado PIN no compatible |
Lenovo |
Integrated Smart Card Reader |
integrada (USB) |
El lector puede cambiar según el mercado |
o2micro |
Oz711 series |
integrada (CardBus) |
|
|
Oz776 |
integrada (CCID) |
|
Omnikey |
CardMan 3021 |
USB-CCID |
|
|
CardMan 4040 |
PC-Card |
|
|
CardMan 4321 |
ExpressCard |
|
|
CardMan 5125 |
USB-CCID |
interfaz sin contacto no compatible |
|
CardMan 6121 |
USB-CCID |
Tamaño SIM |
Ricoh |
R/RL/5C476 |
integrada (CardBus) |
|
SCM |
SCR 243 |
PC-Card |
|
|
SCR 331 |
USB-CCID |
Requiere firmware versión 5.18 o posterior |
|
SCR 335 |
USB-CCID |
|
|
SCR 3320 |
USB-CCID |
Tamaño SIM |
|
SCR 3340 |
ExpressCard |
|
|
SDI 010 |
USB-CCID |
interfaz sin contacto no compatible |
Texas Instruments |
PCI 6515a |
integrada (CardBus) |
Compatibilidad genérica para lectores PCI xx21 |
Si dispone de más de un lector de Smartcard, se recomienda desactivar los que no se encuentren en uso para evitar problemas. En el caso de lectores internos, puede que tenga que desactivarlos en la BIOS.
Lectores que deberían funcionar con SafeGuard Device Encryption Power-on Authentication
Los siguientes lectores deberían funcionar con SafeGuard Enterprise según la información de compatibilidad proporcionada por el fabricante.
Fabricante |
Modelo |
Interfaz |
Comentarios |
ACS |
ACR 38T |
USB-CCID |
Tamaño SIM |
|
ACR 122U |
|
interfaz sin contacto no compatible |
Cherry |
G81-7040 |
USB-CCID |
Teclado PIN no compatible |
|
G83-14200 |
USB-CCID |
teclado biométrico; teclado PIN y funciones biométricas no compatibles |
Eutronsec |
SIM Reader |
USB-CCID |
Tamaño SIM |
Fujitsu Siemens |
Smartcase SCR (PC Card) |
PC-Card |
CardMan 4040 OEM |
|
Smartcase SCR (Express Card) |
ExpressCard |
SCR 3340 OEM |
Gemalto |
Reflex 20 v3 |
PC-Card |
SCR 243 OEM |
Ricoh |
R5C835 |
integrated |
|
SCM |
SPR 532 |
USB-CCID |
Teclado PIN no compatible Requiere firmware versión 5.10 y controladores Windows actualizados |
Vasco |
DigiPass 905 |
USB-CCID |
|
Smartcard compatibles con SafeGuard Device Encryption Power-on Authentication
Fabricante |
Modelo |
Versión |
Tipo de tarjeta |
Formato |
ActivIdentity |
Smart Card 64K |
v2 (Oberthur) |
Java Card |
ActivIdentity |
AET [1] |
G&D Sm@rtCafe |
64K |
Java Card |
PKCS#15 |
|
G&D STARCOS SPK |
2.3 |
ISO 7816 |
PKCS#15 |
|
IBM JCOP |
20 |
Java Card |
PKCS#15 |
|
Siemens CardOS |
M4.3b |
ISO 7816 |
PKCS#15 |
Charismathics |
Siemens CardOS |
M4.3b |
ISO 7816 |
CSSID |
IT Solution |
Siemens CardOS |
M4.3b |
ISO 7816 |
PKCS#15 |
Siemens |
Siemens CardOS |
M4.3b |
ISO 7816 |
PKCS#15 |
T-Systems |
TCOS |
3.0 |
ISO 7816 |
NetKey |
Tarjeta de identidad nacional probadas con SafeGuard Device Encryption Power-on Authentication
País |
Modelo |
Versión |
Tipo de tarjeta |
Formato |
Austria [2] |
AustriaCard ACOS |
3.01 |
ISO 7816 |
A-Trust |
Estonia [3] |
Orga Micardo |
V1 |
ISO 7816 |
|
Nota: Las siguientes tarjetas/token no son
compatibles con Windows Vista ni Windows 7:
- CardOS, Siemens
- Estonia ID
- A-trust
- RSA
Token USB compatibles con SafeGuard Device Encryption 5.50 Power-on Authentication
Fabricante |
Token USB |
Aplicación |
Comentarios |
ActivIdentity |
ActivKey SIM |
ActivIdentity |
|
|
ActivKey Display |
ActivIdentity |
Función OTP no compatible |
Aladdin (CardOS) |
eToken Pro |
Aladdin |
|
|
eToken NG-OTP |
Aladdin |
Función OTP no compatible |
Aladdin |
eToken Pro |
Aladdin |
|
Charismathics |
OTP Sign |
Charismathics |
Función OTP no compatible |
|
plug’n’crypt ID |
Charismathics |
|
Eutronsec |
CryptoIdentity ITSEC-I |
Charismathics |
|
|
CryptoIdentity ITSEC-P |
AET |
|
|
OTP Sign |
Charismathics |
Función OTP no compatible |
Kobil |
mIDentity Light |
Siemens |
Incluye memoria flash |
MARX |
CrypToken |
AET |
|
RSA |
SecurID 800 v1 [4] |
RSA |
Función OTP no compatible |
Nota: Los token USB en negrita han superado las pruebas de calidad.
Nota: Para utilizar Smartcard/Token para iniciar la sesión debe instalar aplicaciones adicionales (vea la columna “Aplicación”).
Fabricante |
Aplicación |
Versión |
XP |
Vista 32 bit |
Vista |
7 |
7 |
Comentarios |
ActivIdentity |
ActivClient |
6.2 |
x |
x |
x |
x |
x |
|
AET |
SafeSign |
3.0.33 |
x |
x |
c) |
x |
|
|
Aladdin |
PKI Client |
5.1 SP1 |
x |
x |
x |
x |
x |
|
A-Trust |
a.sign client |
1.2.7.0 |
x |
|
|
|
|
|
Charismathics |
Smart Security Interface |
4.8.1 |
x |
x |
|
|
|
|
* Estonia ID |
<varias> |
|
x |
|
|
|
|
|
IT Solution |
trustWare CSP+ |
1.0.1.23 |
x |
|
|
|
|
|
Gemalto |
.NET |
2.1.3.1 |
x d) |
x |
x |
x |
x |
|
Gemalto |
Access Client |
5.6.4 |
x |
x |
x |
x |
x |
d) |
Gemalto |
Classic Client |
6.0 |
x |
x |
x |
|
|
|
RSA |
RSA Smart Card Middleware |
2.0.1 |
x |
|
|
|
|
|
|
3.0.1 |
x |
|
|
|
|
|
|
Siemens |
CardOS API |
3.1 |
x |
|
|
|
|
|
T-Systems |
NetKey 3.0 |
1.6.0.10 +
1.3.0.4 |
c) |
c) |
c) |
c) |
c) |
|
a) El Token debe inicializarse con PKI Client 4.55 para que POA funcione.
b) CSP Minidriver 1.6.0.10 + PKCS#11 módulo 1.3.0.4
c) Póngase en contacto con soporte técnico de Sophos para más información.
d) Póngase en contacto con soporte técnico de Sophos para más información sobre crypto tokens.
A continuación se muestran las versiones anteriores de SGN que se pueden actualizar a SGN 5.50.8.
Matriz de actualización de SGN |
|
|
|||||||||||||||
|
Actualización de |
||||||||||||||||
Actualización a |
SGN 5.20 |
SGN 5.20.1 |
SGN 5.20.2 |
SGN 5.20.3 |
SGN 5.20.4 |
SGN 5.20.5 |
SGN 5.21 |
SGN 5.21.1 |
SGN 5.30 RC1 |
SGN 5.30 GA |
SGN 5.30.1 |
SGN 5.30.2 |
SGN 5.30.3 |
SGN 5.35 GA |
SGN 5.35.x |
SGN 5.40.x |
SGN 5.50 |
SGN 5.50.8 |
|
|
|
|
|
|
|
|
|
|
|
|
|
l |
l |
l |
l |
SGN 5.50.1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
l |
l |
l |
l |
SGN 5.50 GA |
|
|
|
|
|
|
|
|
|
|
|
|
|
l |
l |
l |
|
SGN 5.40.x |
|
|
|
|
|
|
|
|
|
l |
l |
l |
l |
l |
l |
|
|
SGN 5.35.x |
|
|
|
|
|
|
|
|
|
l |
l |
l |
l |
l |
|
|
|
SGN 5.35 GA |
|
|
|
|
|
|
|
|
|
l |
l |
l |
l |
|
|
|
|
SGN 5.30.3 |
¢1 |
¢1 |
¢1 |
¢1 |
¢1 |
¢1 |
¢1 |
¢1 |
l |
l |
l |
l |
|
|
|
|
|
SGN 5.30.2 |
l |
l |
l |
l |
l |
l |
l |
l |
l |
l |
l |
|
|
|
|
|
|
SGN 5.30.1 |
l |
l |
l |
l |
l |
l |
l |
l |
l |
l |
|
|
|
|
|
|
|
SGN 5.30 GA |
l |
l |
l |
l |
l |
l |
l |
l |
l |
|
|
|
|
|
|
|
|
SGN 5.30 RC 1 |
l |
l |
l |
l |
l |
l |
l |
l |
|
|
|
|
|
|
|
|
|
SGN 5.21.1 (Patch) |
|
|
|
|
|
|
l |
|
|
|
|
|
|
|
|
|
|
SGN 5.21 |
l |
l |
l |
l |
l |
l |
|
|
|
|
|
|
|
|
|
|
|
SGN 5.20.5 (Patch) |
l |
l |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
SGN 5.20.4 (Patch) |
l |
l |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
SGN 5.20.3 (Patch) |
l |
l |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
SGN 5.20.2 (Patch) |
l |
l |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
SGN 5.20.1 (Lenovo) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
SGN 5.20 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Leyenda:
l Actualización compatible
¢1 Actualización compatible sólo para el servidor SGN y SGN Management Console
A continuación se muestran las versiones de SafeGuard Easy que se pueden migrar a SGN 5.50.8.
Matriz de migración SGE- SGN |
||||||||
|
IDEA |
DES |
3DES |
AES 128 |
AES 256 |
Blowfish |
Stealth |
XOR |
SGE 4.50 |
l |
|
l |
l |
l |
|
|
|
SGE 4.40 |
l |
|
l |
l |
l |
|
|
|
SGE 4.30 |
l |
|
l |
l |
l |
|
|
|
SGE 4.20 |
|
|
|
|
|
|
|
|
SGE 4.1x |
|
|
|
|
|
|
|
|
SGE 3.x |
|
|
|
|
|
|
|
|
La siguiente tabla muestra los servidores de SGN a los que se pueden conectar los diferentes clientes de SGN.
La versión del servidor SGN debe ser igual o posterior a la del cliente.
Matriz cliente/servidor SGN |
|
|
|
||
|
|
|
|||
Servidor SGN |
5.2x |
5.30 |
5.35 |
5.40 |
5.50.x |
SGN 5.50.x |
|
|
l |
l |
l |
SGN 5.40.x |
|
l |
l |
l |
|
SGN 5.35.x |
|
l |
l |
|
|
SGN 5.35 GA |
|
l |
l |
|
|
SGN 5.30.2 |
l |
l |
|
|
|
SGN 5.30.2 |
l |
l |
|
|
|
SGN 5.30.1 |
l |
l |
|
|
|
SGN 5.30 GA |
l |
l |
|
|
|
SGN 5.21 |
l |
|
|
|
|
SGN 5.20 |
l |
|
|
|
|
1 sin registro automático
Leyenda:
l compatible
¢1 sin registro automático
Nota: En ciertos escenarios el cliente SGN con una versión anterior al servidor podrá recibir políticas. Sin embargo, el cliente no podrá aplicar las nuevas funciones introducidas.
A continuación se indican las plataformas compatibles y los módulos disponibles para cada plataforma.
|
SGN – Sistemas Windows compatibles |
||||||||||
|
SGN 5.50.x |
||||||||||
DE |
DE BitLocker |
DX |
CP |
Servidor SGN |
MC |
||||||
XP Professional Edition |
SP2 SP3 |
32 Bit |
l |
|
l |
.NET 2.0 |
|
.NET 3.01 |
|||
Vista
Home Premium Business Enterprise Ultimate |
SP1 SP2 |
32 Bit |
l |
- - l l |
l |
l |
|
.NET 3.01 |
|||
Vista
Home Premium Business Enterprise Ultimate |
SP1 SP2 |
64 Bit |
l |
- - l l |
l |
|
|
.NET 3.01 |
|||
7 Home Premium Professional Enterprise Ultimate |
|
32 Bit
|
l |
- - l l |
l |
l |
|
NET 3.01 |
|||
7 Home Premium Professional Enterprise Ultimate |
|
64 Bit |
l |
- - l l |
l |
l |
|
NET 3.01 |
|||
Server 2003 / R2 |
.NET 3.0 |
IIS 6 |
SP1 SP2 |
32 Bit 64 Bit |
|
|
|
|
l l |
l l |
|
Server 2008 Server 2008 R2 |
.NET 3.0 |
IIS 7.0 IIS 7.5 |
SP1 |
64 Bit 64 Bit |
|
|
|
|
l l |
l l |
|
1 necesita .Net 3.0 SP1
Nota 1: SafeGuard Enterprise es compatible con unidades de estado sólido (SSD).
Note 2: SafeGuard Enterprise es compatible con entornos de virtualización. Se pueden producir problemas de interoperabilidad con el cifrado de dispositivos conectados mediante USB. Según el entorno de virtualización y el tipo de dispositivo conectado, se puede producir un fallo del sistema.
La siguiente lista muestra los servidores de bases de datos compatibles.
SGN Server - Bases de datos compatibles |
||
|
|
|
|
SGN 5.40 |
SGN 5.50 |
Microsoft SQL Server 2005 SP1 |
l |
|
Microsoft SQL Server 2005 Express SP1 |
l |
|
Microsoft SQL Server 2005 SP2 |
l |
l |
Microsoft SQL Server 2005 Express SP2 |
l |
l |
Microsoft SQL Server 2005 SP3 |
l |
l |
Microsoft SQL Server 2005 Express SP3 |
l |
l |
Microsoft SQL Server 2008 SP1 |
|
l |
Microsoft SQL Server 2008 Express SP1 |
|
l |
- El token A-Trust V4 causaba problemas
- Compatibilidad con la tarjeta de identidad estonia (sólo en Windows XP)
- Funcionamiento defectuoso del inicio de sesión automático en POA
- Se debía reiniciar el sistema cuando se asignaban nuevas claves
- El programa de instalación no disponía de la propiedad POACFG
- Entradas incorrectas en el registro indicando que la unidad se está descifrando cuando en realidad se estaba cifrando
-
“antiguo” no se ha borrado previamente de SGN
Management Center.
- No se creaban carpetas al grabar CDs con el asistente de Windows
-
El acceso directo de
SGPortable no funcionaba
- Desaparecían elementos del menú en Corel Draw X4 tras instalar Data Exchange. También se han resuelto problemas similares con Adobe Fireworks y Candela.
- La opción para cambiar la contraseña no siempre estaba disponible en la bandeja del sistema.
- El programa Mindjet MindManager dejaba de funcionar al seleccionar Guardar como.
-
El cambio de contraseña en
Windows XP no tenían efecto en estaciones con el programa Evidian SSO. Se ha
aplicado un parche genérico que también solventa el problema de cambio de
contraseña tras un intento fallido de inicio de sesión.
- Dependiendo del modo en que se aplican las listas blancas, se podían bloquear dispositivos internos de almacenamiento SCSI o IDE.
§ En Management Center, seleccione Tools -> Configuration Package Tool -> Register Server Tab -> Add...
·
El número de
máximo de usuarios para SGN en una estación es 200.
Tenga en cuenta el tamaño máximo de archivos a la hora de importar archivos
mediante la política:
o Archivos de texto no pueden superar los 50 kB.
o Imágenes de encabezado no pueden superar los 100 kB.
o Imágenes de fondo no pueden superar los 500 kB.
Nota: El número de usuarios, en combinación con numerosos grupos, puede afectar al rendimiento del servidor de SGN.
·
La
desinstalación del cliente de SGN en sistemas con la consola de administración
hace que ésta deje de funcionar.
Si utiliza
SafeGuard Management Center en un sistema con el cliente de SGN, al desinstalar
el cliente hará que la consola deje de funcionar. Este problema es
independiente del orden en que se instalaros ambos productos. Debe volver a instalar
Management Center en dicho equipo.
·
Nomenclatura
de las bases de datos
El nombre de la base de datos de SGN debe cumplir el siguiente convenio para
evitar problemas de localización.
El nombre de la base de datos de SGN sólo debe contener:
- Letras (A-Z, a-z)
- Números (0-9)
- Guión bajo (_)
· Si tiene instalado Management Center y el cliente de SGN en el mismo equipo, debe actualizar ambos componentes a SGN 5.50, comenzando por el cliente. Si sólo actualiza Management Center puede que falle el inicio de sesión en Windows.
· Para más información sobre la actualización de SGN Management Center, consulte el CD-ROM del producto (carpeta tools) o la base de conocimiento de Sophos.
·
Posibles métodos de acceso
a las bases de datos SQL:
La autenticación Windows NT requiere más pasos de configuración descritos por
Microsoft (consulte en la base de conocimiento de Sophos los artículos
relativos a la cuenta de servicio de SGN). La autenticación SQL es menos
compleja y no requiere configuración adicional.
· Las reglas de contraseñas en SGN se implementan de forma independiente de AD y si se aplican ambas se pueden causar bloqueos. Si ya dispone de una directiva de contraseñas en AD, se recomienda no definir reglas de contraseñas en SafeGuard Management Center.
·
Si se realiza una
sincronización con AD con una cuenta de Windows que dispone de derechos más
restrictivos que cuando se realizó la importación inicial, todos los objetos a
los que no se pueda acceder se tratarán como “no disponible” y se borrarán o
moverán al nodo Authenticated Computers.
Se recomienda crear una cuenta de servicio para la autenticación de las tareas
de importación y sincronización para evitar la pérdida accidental de objetos en
la base de datos de SGN (para más información, consulte la base de conocimiento
de Sophos.
· Si se mueven elementos de algún subárbol en Active Directory a otro, deberá sincronizar ambos subárboles con la base de datos. Si sólo sincroniza un subárbol, se eliminarán objetos en vez de moverlos.
· La sincronización con AD no se aplica a nombres anteriores a Windows 2000 (NetBIOS) del dominio si el controlador del dominio se configura con la dirección IP. Debe configurar el controlador del dominio para que utilice el nombre del servidor (NetBIOS o DNS). El cliente (donde se realiza la sincronización con AD) debe pertenecer al dominio o al menos ser capaz de resolver el nombre DNS del controlador del dominio.
· Certificados personalizados importados en SGN no se verifican según RFC3280. Es decir, no se evita el uso de certificados de firma para el cifrado.
· Si un grupo recibe políticas que se solapan, se pueden aplicar prioridades incorrectas. Utilice políticas que no se solapen.
· Si desea que la contraseña caduque en menos de 2 días no cambie la opción “Password change allowed after min. (days)”. Una vez cambiada, el mínimo será 2 días.
· Nota: Los usuarios no pueden realizar la desinstalación en volúmenes cifrados con una clave de usuario que no sea propia.
· Se pueden producir problemas en la interfaz gráfica del producto si la resolución de la pantalla no es 96 DPI.
· Se recomienda realizar por fases la importación de más de 400.000 objetos de AD. No será posible si una unidad organizativa cuenta con más de 400.000.
· Las claves de cifrado creadas de forma local con SafeGuard Removable Media versión 1.20 o anterior no se pueden importar a SafeGuard Management Center.
· Las estaciones que pertenecen a un grupo de trabajo desconocido no se pueden autoregistrar en SGN que se hayan migrado de una versión anterior a la 5.20.. El grupo de trabajo debe crearse primero en SafeGuard Management Center.
·
El autoregistro falla si
no tiene activado el soporte para NetBIOS.
Sólo debe utilizar direcciones IP si NetBIOS también se encuentra activo en la
red. Si utiliza direcciones IP sin soporte para NetBIOS, los usuarios
autoregistrados y estaciones no se ordenarán por dominios.
· Dos encargados de seguridad no pueden utilizar la misma cuenta de Windows en el mismo ordenador. Si lo hacen no se podrán establecer los derechos de acceso de cada uno.
· El inventario del cliente de BitLocker no muestra el estado apropiado de unidades extraíbles.
· Los clientes registrados como miembros de un dominio no se actualizarán correctamente en SafeGuard Management Center si se mueven a un grupo de trabajo.
· Tras actualizar la base de datos de SGN a la versión 5.50, las consolas de administración de versiones anteriores mostrarán un mensaje de error. También deben actualizarse.
· Tras realizar la desinstalación, no se borran algunos archivos y entradas del registro. Para borrarlos de forma manual, consulte en la base de conocimiento de Sophos los artículos relativos a la desinstalación de SGN. Debe borrar estos archivos y entradas del registro antes de volver a instalar SGN.
· Delta CRL no compatible con SafeGuard Enterprise. Al importar un Delta CRL en CA, se sobrescribe el CRL original. De esta manera, certificados obsoletos pueden volver a ser válidos. Sólo debe utilizar el CRL completo en SafeGuard Enterprise. La compatibilidad con Delta CRL se añadirá en próximas versiones.
· En situaciones muy concretas, es posible que ocurra algún problema de sincronización y/o configuración con SQL Server Express de manera que la base de datos de SafeGuard no funcione con la autenticación SQL. En este caso, se recomienda utilizar la autenticación de Windows con SQL Server Express.
· Autenticación HTTP (del cliente en IIS) no es posible.
· Para reducir el tráfico de red se recomienda utilizar un intervalo de conexión de más de 240 minutos.
· Se recomienda activar las opciones de reciclaje de memoria en IIS con las opciones predeterminadas.
· El acceso a la página predeterminada del servidor web puede generar un error. Esto se puede resolver registrando de nuevo ASP.NET: aspnet_regiis /i
· Para evitar incompatibilidad con aplicaciones existentes, se recomienda instalar el servidor SGN en un servidor IIS dedicado.
· SGN 5.50 Enterprise Server no es compatible con los clientes SGN 5.00/5.10/5.20/5.30. Debe migrar los clientes a SGN 5.35 o posterior antes de migrar SGN Enterprise Server a la versión 5.50
· Los clientes SGN 5.50 no se pueden conectar a servidores SGN anteriores a la versión 5.50. Debe migrar todos los clientes SGN a la misma versión.
· SafeGuard Enterprise API: la consola de administración puede no registrar eventos al utilizar funciones similares con SGN API de forma simultánea.
·
SafeGuard Enterprise API:
El método “CreateDirectoryConnection” no se ejecuta con sólo SGN Server. Debe
disponer también de SGN Management Console.
· No se impide la instalación de DX en un sistema con SafeGuard Removable Media. SGRM y SGN DX so productos para el cifrado de archivos que no se pueden utilizar al mismo tiempo. Sin embargo, el programa de instalación de DX no comprueba esta condición. Debe desinstalar SGRM antes de instalar SGN DX.
·
Recuperar contraseñas
olvidadas
SafeGuard Data Exchange sin Device Encryption no dispone de esta función. Debe
cambiar la contraseña en Active Directory, iniciar la sesión sin Sophos
Credential Provider y restaurar la configuración del usuario desde la estación.
Para más información, consulte la base de conocimiento de Sophos.
·
Compatibilidad con SG
RemovableMedia 1.20
Claves locales creadas con SafeGuard Removable Media anterior a la versión 1.20
antes de cambiar a SafeGuard Data Exchange se pueden utilizar con el cliente
SGN. Aunque no se transfieren a la base de datos de SGN de forma automática.
·
Compatibilidad con SG
Easy 4.x
Al utilizar SafeGuard Data Exchange con SafeGuard Easy 4.x, tenga en cuenta que
los mecanismos de SGE GINA (especialmente el inicio de sesiones seguras - SAL)
dejarán de funcionar. SGE debe instalarse primero y ambos se deben desinstalar
de forma consecutiva (sin reiniciar) para evitar conflictos en GINA.
·
Compatibilidad con
Microsoft Office 2007
Las aplicaciones de la suite
de Microsoft Office 2007 producen un error al intentar guardar un archivo que
debe cifrarse según la política de protección de la estación.
Solución:
- Ajuste el estado de cifrado de archivos especificados en la política o
- añada las aplicaciones de Office a la clave del registro de procesos de
cambio de nombre especial.
En el siguiente ejemplo se muestra cómo añadir WinWord.exe y Excel.exe a esta
clave.
Registro
de Windows, versión 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\UTIMACO\SGLCENC]
"SpecialRenamePrograms"="winword.exe;excel.exe;"
Para más información, consulte el artículo 109474 en la base de conocimiento de
Sophos.
·
Elevación de usuario
para ejecutables cifrados
Al ejecutar un programa que
requiere elevación de privilegios en Windows Vista o Windows 7, puede que la
elevación no se lleve a cabo y que no se ejecute el programa.
·
Acceso directo a
SafeGuard Portable en unidades de solo lectura
El acceso directo a SafeGuard
Portable desde el directorio raíz de unidades extraíbles de solo lectura puede
no funcionar en ciertas condiciones (Windows 7). Al insertar el disco en un
lector con la letra de unidad diferente a la que tenía cuando se copió, el
acceso directo no funciona si dicha letra de unidad se encuentra disponible.
Por ejemplo, si se crea el acceso directo a SafeGuard Portable en un disco en
la unidad D: y se utiliza en otro ordenador en la unidad E:, el acceso directo
no funcionará si dicho ordenador tiene la unidad D: disponible.
·
Acceso al juego de
claves tras cerrar una sesión remota
No se puede acceder al
juego de claves del usuario tras cerrarse una sesión remota. Debe reiniciar el
equipo para recuperar el acceso al juego de claves del usuario. No es suficiente
con reiniciar la sesión.
·
Dispositivos cifrados
con BitLocker To Go pueden impedir la instalación de Device Encryption
Si un dispositivo USB cifrado
con BitLocker To Go se encuentra conectado al equipo durante la instalación de
SGN, la instalación fallará. Para solucionar este problema debe desconectar los
dispositivos cifrados con BitLocker to Go antes de instalar SGN DE.
·
Fallo en ciertos dispositivos
de memoria USB
Ciertos modelos de memoria
USB indican un tamaño de almacenamiento incorrecto (normalmente mayor que el
tamaño real). En estos modelos, el cifrado inicial del dispositivo fallará y se
perderán los datos. Sophos recomienda utilizar el cifrado de archivos en
unidades extraíbles.
·
Cifrado de volúmenes
con perfiles de usuario
Al cifrar volúmenes con
perfiles de usuario, sólo debe utilizar claves asignadas a dichos usuarios.
Ningún volumen con perfiles de usuario debe cifrarse con una clave que no esté
disponible para todos los usuarios afectados. Esto sólo es un problema si
cambia la ubicación predeterminada de los perfiles de usuario a un volumen
local cifrado.
·
SafeGuard Easy
El cliente debe reiniciarse tras iniciar la primera sesión para asegurar el
registro del usuario.
·
Actualización
Al actualizar el cliente de SGN se recomienda la opción ‘Personalizada’ para
poder seleccionar las funciones que desea actualizar. También puede seleccionar
la opción ‘Completa’. Con la opción predeterminada puede que algunos
componentes no se actualicen correctamente.
En instalaciones no interactivas, utilice la opción ADDLOCAL= para seleccionar
las funciones (existentes o nuevas). Si no utiliza esta opción, sólo se
actualizarán las funciones existentes.
·
Instalación del paquete
de configuración del cliente
Tras instalar el paquete de configuración del cliente, se debe esperar unos 5 a
10 segundos antes de reiniciar el sistema. Al reiniciar el sistema, se debe
esperar unos 3 minutos antes de iniciar la sesión en Windows. De lo contrario,
la sincronización inicial del usuario puede no completarse a tiempo.
·
Autoayuda local
En la opción de autoayuda en
POA, no se mostrará la opción de recuperación
si el usuario tiene activada la opción de iniciar la sesión con un token o
mediante un lector de huellas digitales. La autoayuda sólo está disponible
si el usuario utiliza POA con credenciales habituales.
·
Errores de escritura
durante el cifrado inicial
Durante la instalación de
SafeGuard Enterprise Base Encryption, el sistema operativo puede indicar
ciertos errores de escritura. Esto puede ocurrir tras instalarse el kernel en
el sistema. Esto puede agravarse al iniciar el sistema modificado por primera
vez, cuando ocurren numerosas operaciones I/O en paralelo.
Solución:
Puede utilizar una forma alternativa al instalar el kernel de SafeGuard
Enterprise Base Encryption mediante el siguiente registro:
Subárbol: HKEY_LOCAL_MACHINE
Clave: System\CurrentControlSet\Control\Session
Manager
Nombre del valor: AllocMode (DWORD)
Valor: 1
Debe modificar el registro antes de iniciar la instalación de SafeGuard Enterprise
Base Encryption
·
Política de protección
de dispositivos para unidades extraíbles
Una política de cifrado de
dispositivos que permita al usuario seleccionar la clave de una lista, puede
saltarse sin seleccionar ninguna clave. Par evitar esta posibilidad, las
políticas de cifrado de unidades extraíbles deben indicar la clave a utilizar o
aplicar el cifrado de archivos.
·
Política de protección
de dispositivos con políticas de protección de la configuración para unidades
que no son de inicio
Si utiliza el cifrado de
volúmenes y la protección de configuración en Windows Vista, el cifrado se
puede bloquear en unidades que no son de inicio. Esto se puede evitar copiando
el archivo bootmgr a las unidades que no son de inicio antes de instalar SGN y
la política de cifrado debe estar definida para ‘Bootvolumes’.
·
Política de intercambio
de datos y SafeGuard Easy
Las políticas de intercambio
de datos no puede utilizar la clave definida en SafeGuard Easy 5.50. Utilice una clave diferente para estaciones
con SafeGuard Easy.
·
Kerberos con A-Trust
Token
Configuración de inicio de sesión Kerberos con A-Trust Smartcard:
Debe instalar el software de A-Trust con los siguientes parámetros:
acSetup.exe
/CALAIS=Yes
Utilice el icono de A-Trust en la
bandeja del sistema para actualizar el software. Este paso es necesario incluso
si dispone de la última versión del software, ya que se descargará el
certificado raíz de A-Trust.
Instale la configuración del registro en \Tools\ATrustSetup.reg.
Nota: El almacén de la clave del usuario no se puede abrir con la
versión 1.2.5.2 o anterior del software de A-Trust. A-Trust está trabajando para resolver este problema.
·
Kerberos con Aladdin
eToken Pro
Debe disponer del software Aladdin PKI Client 5.0 para el inicio de sesión
Kerberos con Aladdin eToken PRO 72k (Java). Sin embargo, el token debe
inicializarse con Aladdin PKI Client 4.55 para sea compatible con SGN POA.
·
Cliente
Novell
Para poder
utilizar SGN junto con el cliente Novell, se deben realizar ciertos cambios.
Póngase en contacto con soporte técnico de Sophos para más información.
·
Cambio
rápido de usuario
El cambio rápido
de usuario no es compatible y debe desactivarse.
·
Disquetera integrada
Tras la instalación de SGN
Device Encryption en Windows Vista la disquetera deja de estar disponible. Esta limitación no se aplica a disqueteras
externas USB.
·
Tiempo de arranque
El tiempo de arranque se incrementa en aproximadamente un minuto tras instalar
SGN.
·
Cifrado de unidades
virtuales
Las unidades virtuales
montadas en el sistema (por ejemplo, un archivo VHD
montado con MS Virtual Server) se consideran unidades locales y por lo tanto se
cifrarán si la política aplicada tiene activada la opción de cifrado para
‘otros volúmenes’.
· No se posible utilizar cifrado de volúmenes con BitLocker. El programa de instalación del cliente de SGN no permite instalar ambas funciones de forma simultánea.
· Durante el cifrado inicial de la partición del sistema (es decir, la partición que contiene el archivo hiberfil.sys) se debe evitar suspender a disco ya que puede fallar. Tras el cifrado inicial de la partición del sistema se debe reiniciar el sistema para que la opción suspender a disco vuelva a funcionar sin problemas.
· La desinstalación de SGN Device Encryption Client descifra de forma automática los volúmenes cifrados con la clave predeterminada. Otros volúmenes no se descifran de forma automática. Debe descifrarlos mediante la política apropiada antes de desinstalar SGN Device Encryption Client.
· Debe descifrar todas las unidades extraíbles antes de desinstalar el cliente SGN. De lo contrario no podrá acceder a los datos almacenados en dichas unidades. Para poder recuperar los datos necesitará la base de datos de SGN.
· Se recomienda reiniciar el sistema tras activar la autenticación de encendido de SGN. SGN realiza una copia de seguridad de los datos del kernel cada vez que se reinicia el sistema. La copia de seguridad no se realiza si el sistema se encuentra hibernando o en modo de espera.
· El kernel de Microsoft Windows XP tiene ciertas limitaciones técnicas. Si instala varios controladores de filtrado del sistema de archivos (por ejemplo, programas antivirus), se puede agotar la memoria. En este caso podría producirse un error fatal del sistema (pantalla azul). Sophos no es responsable de esta limitación de Windows y no puede hacer nada para solucionar el problema.
· En algunas ocasiones el evento de inserción de token se pierde durante el diálogo de bienvenida de Windows. En este caso, debe volver a insertar el token. También puede pulsar la combinación de teclas Ctrl-Alt-Supr para entrar en el cuadro de inicio de sesión.
· Si se produce algún error durante el inicio de sesión Kerberos en Windows, el cuadro de diálogo para insertar el PIN no se cierra de forma automática tras cerrar el mensaje de error. El usuario debe pulsar la tecla Esc o Ctrl-Alt-Supr para volver al cuadro de diálogo de inicio de sesión.
· En clientes con OHCI para la interfaz USB, ciertas Smartcard y token pueden no funcionar.
· Para poder utilizar lectores de tarjetas USB en portátiles Dell 620, necesita activar la opción "Compatible Mode" en la BIOS (Onboard Devices/Integrated USB). Este es el valor predeterminado.
· En combinación con el cliente Aladdin PKI 4.5x se pueden producir grandes retrasos en GINA. Se recomienda utilizar la versión 5.0.
· Para el cifrado de volúmenes, no son compatibles los "discos dinámicos" ni los “discos GPT”.
· Tras realizar la desinstalación, no se borran algunos archivos y entradas del registro. Para borrarlos de forma manual, consulte en la base de conocimiento de Sophos los artículos relativos a la desinstalación de SGN. Debe borrar estos archivos y entradas del registro antes de volver a instalar SGN.
· Debido a limitaciones técnicas en Windows XP, debe volver a insertar la Smartcard o token en GINA para poder utilizar el "inicio de sesión único" con Kerberos (smartcard/token).
· Si la desinstalación de SGN se realiza desde Active Directory, debe primero asegurarse de que todos los volúmenes se han descifrado correctamente.
· No se ha probado la compatibilidad con herramientas de creación de imágenes de disco, por lo que no se ofrece soporte.
· Si utiliza un token Aladdin para iniciar la sesión, actualmente sólo se pueden utilizar certificados de 1024 bits.
· Con caracteres especiales (como ä,ö,ü,…) se distingue entre mayúsculas y minúsculas en el POA.
· Ciertos ordenadores no pueden iniciarse desde un disquete si ya se han iniciado alguna vez desde el POA en el disco duro. Esto se debe a una limitación de la BIOS en dichos ordenadores y es algo que Sophos no puede resolver.
· Debe revisar el uso de caracteres especiales en el aviso legal del POA. Algunos de estos caracteres puede que no se muestren correctamente.
· Antes de cifrar un volumen, se recomienda ejecutar chkdsk c: /f /v /l /x para verificar todos los sectores de la partición. El sistema de corrección del disco duro marcará los sectores defectuosos antes de realizar el cifrado de SGN.
· Al utilizar SafeGuard Portable con el cliente de SGN, se debe utilizar el algoritmo AES-256 para el cifrado de unidades extraíbles.
· Estaciones con cifrado BitLocker detectarán discos duros USB como “Otros volúmenes” y no como “Extraíbles”. No utilice políticas de cifrado para “Otros volúmenes” si emplea discos duros USB en estaciones con BitLocker.
· Si instala SGN Device Encryption y SGN Data Exchange en una estación, no podrá desinstalar sólo Device Encryption. Debe desinstalar el paquete completo.
·
Se ha probado
con éxito la compatibilidad del cifrado de unidades y archivos con los
productos antivirus de Sophos y con los siguientes productos:
Si se produce algún error durante el inicio, haga lo siguiente:
En HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\Storages\ Filesystem\RealTimeScan
Cambie el valor DWORD de KStackMinFree a 0x2200.
Para más información sobre esta clave, vea el siguiente artículo:
· Si sólo instala SGN Data Exchange e importa los usuarios, no se importarán al POA de forma automática cuando instale SGN Device Encryption. Debe iniciar una actualización de usuario, por ejemplo asignando la clave al directorio raíz.
· Antes de desinstalar el cliente de SGN debe desinstalar el paquete de configuración.
· La herramienta BE_RESTORE siempre intenta acceder al disco duro en disk0. En ciertos casos este puede no ser el disco duro, por ejemplo si tiene conectada una unidad de memoria USB o si está utilizando un disco RAM.
· La herramienta BE_RESTORE tiene ciertas limitaciones en Windows Vista y Windows PE 2.0 si el disco todavía no se encuentra cifrado.
· Para utilizar la herramienta BE_RESTORE en Windows PE 2.0 necesita al menos 512 MB de memoria RAM.
· El cambio de disquete no siempre se detecta correctamente. Intente acceder a la disquetera cuando está vacía para asegurarse de que se detecta el cambio.
· En Windows XP hasta Service Pack 2 se produce un error en ciertos equipos por el que al reanudar el sistema tras encontrarse en modo de espera no se muestra el escritorio bloqueado sino que se accede directamente al escritorio del usuario. El problema también se aplica a SafeGuard Enterprise. Este problema parece que se va a resolver en Windows XP SP3.
· En ocasiones esporádicas, algunos programas para Smartcard dieron problemas en nuestras pruebas y al desbloquear el escritorio se perdía la sesión. En este caso, SGN bloquea el escritorio de nuevo. Una posible solución es cambiar la opción “Action if token logon status is lost” en la política al valor “no action”.
· De forma ocasional, el programa de instalación del cliente SGN Device Encryption termina con el error 5001. Este error indica que el disco se encuentra muy fragmentado. El kernel de SGN necesita 96 MB de espacio continuo en el primer disco duro.
· Es posible saltarse la imposición de la política de historial de contraseñas de SafeGuard Enterprise durante el cambio de contraseña por la imposición del administrador del sistema.
· Si el cliente SGN permite el inicio de sesión con token (Kerberos), no podrá utilizarlo mediante Escritorio remoto.
· No se puede iniciar la sesión en el POA si el nombre de usuario tiene caracteres con diéresis y estos caracteres no se encuentran en el teclado.
· A continuación se muestra la lista de teclados compatibles con el módulo de autenticación. "x" indica que el idioma es compatible. Para el resto de idiomas se utilizará el predeterminado como se indica. Evite caracteres especiales en idiomas cuyo teclado predeterminado es US.
ID del idioma Teclado Idioma y comentarios
====================================================================
0x0000 US Idioma neutral
0x0400 US Idioma de proceso o predeterminado del usuario
0x0800 US Idioma predeterminado del sistema
0x0401 US Árabe (Arabia Saudí)
0x0801 US Árabe (Irak)
0x0c01 US Árabe (Egipto)
0x1001 US Árabe (Libia)
0x1401 US Árabe (Argelia)
0x1801 US Árabe (Marruecos)
0x1c01 US Árabe (Túnez)
0x2001 US Árabe (Omán)
0x2401 US Árabe (Yemen)
0x2801 US Árabe (Siria)
0x2c01 US Árabe (Jordania)
0x3001 US Árabe (Líbano)
0x3401 US Árabe (Kuwait)
0x3801 US Árabe (E.A.U.)
0x3c01 US Árabe (Bahrein)
0x4001 US Árabe (Qatar)
US Árabe (102) AZERTY
X 0x0402 BG Búlgaro Fuente no disponible
0x0403 ES Catalán
0x0404 US Chino (Taiwán) Fuente no disponible
0x0804 US Chino (RPC) Fuente no disponible
0x0c04 US Chino (Hong Kong, ZAE RPC) “
0x1004 US Chino (Singapur) Fuente no disponible
0x1404 US Chino (Macao RAE) (98/ME,2K/XP)
X 0x0405 cz Checo
X 0x1402 cz_qwerty Checo (QWERTY)
US Checo (programación)
X 0x0406 dk Danés
X 0x0407 de Alemán (estándar)
X 0x0807 de_CH Alemán (Suiza)
0x0c07 de Alemán (Austria)
0x1007 de Alemán (Luxemburgo)
0x1407 de Alemán (Liechtenstein)
X 0x0408 el Griego Fuente no disponible
X 0x0409 us Inglés (Estados Unidos)
X 0x0809 gb Inglés (Reino Unido)
0x0c09 us Inglés (Australia)
0x1009 us Inglés (Canadá)
0x1409 us Inglés (Nueva Zelanda)
X 0x1809 ie Inglés (Irlanda)
0x1c09 US Inglés (Sudáfrica)
0x2009 US Inglés (Jamaica)
0x2409 US Inglés (Caribe)
0x2809 US Inglés (Belice)
0x2c09 US Inglés (Trinidad)
0x3009 US Inglés (Zimbabue) (98/ME,2K/XP)
0x3409 US Inglés (Filipinas) (98/ME,2K/XP)
X 0x040a ES Español (España, alfab. tradicional)
0x080a ES Español (México)
0x0c0a ES Español (España, alfab. internacional)
0x100a ES Español (Guatemala)
0x140a ES Español (Costa Rica)
0x180a ES Español (Panamá)
0x1c0a ES Español (República Dominicana)
0x200a ES Español (Venezuela)
0x240a ES Español (Colombia)
0x280a ES Español (Perú)
0x2c0a ES Español (Argentina)
0x300a ES Español (Ecuador)
0x340a ES Español (Chile)
0x380a ES Español (Uruguay)
0x3c0a ES Español (Paraguay)
0x400a ES Español (Bolivia)
0x440a ES Español (El Salvador)
0x480a ES Español (Honduras)
0x4c0a ES Español (Nicaragua)
0x500a ES Español (Puerto Rico)
X 0x040b fi Finés
US Finés (con sami)
X 0x040c fr Francés (estándar)
X 0x080c be Francés (Bélgica)
0x1080c be Belga (coma)
X 0x0c0c ca_enhanced Francés (Canadá)
US Francés (Canadá, heredado)
US Canadiense (multilingüe)
X 0x100c fr_CH Francés (Suiza)
0x140c fr_CH Francés (Luxemburgo)
0x180c fr Francés (Mónaco) (98/ME,2K/XP)
0x040d US Hebreo
X 0x040e hu Húngaro
X 0x040f is Islandés
X 0x0410 it Italiano (estándar)
0x0810 it Italiano (Suiza)
X 0x0411 jp Japonés
X 0x0412 ko Coreano Fuente no disponible
0x0812 US Coreano (Johab) (95,NT)
X 0x0413 nl Holandés (Países Bajos)
X 0x0813 be Holandés (Bélgica)
X 0x0414 no Noruego (Bokmal)
0x0814 no Noruego (Nynorsk)
X 0x0415 pl Polaco Fuente no disponible
X 0x0416 br Portugués (Brasil)
X 0x0816 pt Portugués (Portugal)
X 0x0418 ro Rumano
0x0419 US Ruso
0x041a US Croata
0x081a US Serbio (latino)
0x0c1a US Serbio (cirílico)
0x101a US Croata (Bosnia-Herzegovina)
0x141a US Bosnio (Bosnia-Herzegovina)
0x181a US Serbio (latino, Bosnia-Herzegovina)
0x1c1a US Serbio (cirílico, Bosnia-Herzegovina)
0x041b sk Eslovaco
0x041c US Albanés
X 0x041d se Sueco
0x081d se Sueco (Finlandia)
0x041e US Tailandés
X 0x041f tr Turco Fuente no disponible
0x0420 US Urdú (Pakistán) (98/ME,2K/XP)
0x0820 US Urdú (India)
0x0421 US Indonesio
0x0422 uk Ucraniano
0x0423 US Bielorruso
0x0424 sl Esloveno
0x0425 US Estonio
0x0426 lv Letón
0x0427 lt Lituano
0x0827 US Lituano (clásico) (98)
0x0429 US Persa
0x042a US Vietnamita (98/ME,NT,2K/XP)
0x042b US Armenio. Sólo Unicode. (2K/XP)
US Armenio oriental
US Armenio occidental
0x042c US Azerí (latino)
0x082c US Azeri (cirílico)
0x042d US Vasco
0x042f US Macedonio (FYROM)
0x0430 US Sutu
0x0432 US Setswana/Tswana (Sudáfrica)
0x0434 US isiXhosa/Xhosa (Sudáfrica)
0x0435 US isiZulu/Zulu (Sudáfrica)
0x0436 US Afrikaans
0x0437 US Georgiano. Sólo Unicode. (2K/XP)
0x0438 US Feroés
0x0439 US Hindú. Sólo Unicode. (2K/XP)
0x043a US Maltés (Malta)
0x043b US Sami septentrional (Noruega)
0x083b US Sami septentrional (Suecia)
0x0c3b US Sami septentrional (Finlandia)
0x103b US Sami lule (Noruega)
0x143b US Sami lule (Suecia)
0x183b US Sami meridional (Noruega)
0x1c3b US Sami meridional (Suecia)
0x203b US Sami skolt (Finlandia)
0x243b US Sami inari (Finlandia)
0x043e US Malayo (Malasia)
0x083e US Malayo (Sultanato de Brunei)
0x0440 US Kirguizo. (XP)
0x0441 US Swahili (Kenia)
0x0443 uz Uzbeko (latino)
0x0843 US Uzbeko (cirílico)
0x0444 US Tatar (Tatarstan)
0x0445 US Bengalí (India)
US Bengalí (inscript)
0x0446 US Punjabí. Sólo Unicode. (XP)
0x0447 US Gujarate. Sólo Unicode. (XP)
0x0449 US Tamil. Sólo Unicode. (2K/XP)
0x044a US Telugu. Sólo Unicode. (XP)
0x044b US Kannada. Sólo Unicode. (XP)
0x044c US Malayalam (India)
0x044e US Marathi. Sólo Unicode. (2K/XP)
0x044f US Sánscrito. Sólo Unicode. (2K/XP)
0x0450 US Mongol (XP)
0x0452 US Galés (Reino Unido)
0x0455 US Birmano
0x0456 US Gallego (XP)
0x0457 US Konkani. Sólo Unicode. (2K/XP)
0x045a US Sirio. Sólo Unicode. (XP)
0x0465 US Divehi. Sólo Unicode. (XP)
US Divehi (fonético)
US Divehi (máquina de escribir)
0x046b US Quechua (Bolivia)
0x086b US Quechua (Ecuador)
0x0c6b US Quechua (Perú)
0x046c US Sesotho sa Leboa/Sotho septentrional (Sudáfrica)
0x007f US LOCALE_INVARIANT. Vea MAKELCID.
0x0481 US Maorí (Nueva Zelanda)
§
Requisitos del sistema
.NET Framework 2.0
§
Instalación
Para instalar SGN Configuration Protection, prosiga en el siguiente orden:
· SGNClient.msi
· SGN_CP_Client.msi; No reiniciar
· SGNClientConfig.msi
§
Desinstalación
Para desinstalar SGN Configuration Protection, prosiga en el siguiente orden:
· SGNClientConfig.msi
· SGNClient.msi; No iniciar
· SGN_CP_Client.msi
§
Identificador abierto del
registro
El cliente de protección de la configuración (SimonPro.exe) mantiene un
identificador abierto del registro para evitar manipulaciones, pero esto causa
un aviso en Windows Vista
§
No se carga la política de
usuario
Si el usuario no necesita pulsar las teclas Ctrl+Alt+Supr para iniciar la
sesión en Vista, la política de usuario no se carga correctamente. En este caso se aplica la política del
ordenador.
·
Actualización
del módulo SGN ConfigurationProtection
El módulo SGN ConfigurationProtection no se puede actualizar directamente a SGN
5.50 debido a restricciones de seguridad. Debe desinstalar el módulo anterior
antes de instalar el nuevo.
Siga estos pasos:
1. Instale el paquete SGxClientPreinstall.msi
2. Actualice el cliente de SafeGuard Enterprise (SGNClient.msi), que incluye el módulo de protección de configuración (no reinicie el sistema).
3. Desinstale el cliente de SafeGuard Enterprise Configuration Protection Port Protector (SGN_CP_Client.msi)
4. Reinicie.
5. Instale el nuevo cliente de SafeGuard Enterprise Configuration Protection Port Protector (SGN_CP_Client.msi).
6. Reinicie.
· SafeGuard LAN Crypt 3.70 es la primera versión compatible con SafeGuard Enterprise. Si dispone de una versión anterior de SafeGuard LAN Crypt, se recomienda actualizar este programa primero.
· Si se intenta instalar SafeGuard Enterprise 5.50 en un sistema con SafeGuard LAN Crypt, aparecerá un mensaje indicando que SGLC Profile Loader se encuentra en uso. Esto se debe a que SafeGuard LAN Crypt y SafeGuard Enterprise comparten ciertos componentes. Puede ignorar este mensaje. La actualización se completará al reiniciar el sistema.
Para obtener
asistencia técnica sobre cualquier producto de Sophos, puede:
Oberursel, 4 de noviembre de 2010
Copyright © 1996 - 2010 Sophos Group y Utimaco Safeware AG. Todos los derechos reservados.
Ninguna parte de esta publicación puede ser reproducida, almacenada o transmitida de ninguna forma, ni por ningún medio, sea éste electrónico, químico, mecánico, electro-óptico, grabación, fotocopia o cualquier otro, a menos que disponga de una licencia válida, en cuyo caso puede reproducirse según los términos del acuerdo de licencia, o con la previa autorización escrita por parte del propietario.
Sophos es una marca registrada de Sophos Plc y Sophos Group. SafeGuard es una marca registrada de Utimaco Safeware AG - miembro de Sophos Group. Todos los demás nombres de productos o empresas mencionados son marcas comerciales o registradas de sus respectivos propietarios.
Todos los productos SafeGuard tienen copyright de Utimaco Safeware AG - miembro de Sophos Group, o, si es aplicable, de sus licenciantes. Todos los productos de Sophos tienen copyright de Sophos Plc., o, si es aplicable, de sus licenciantes.
Podrá encontrar información de copyright de productos de terceros en el archivo Disclaimer and Copyright for 3rd Party Software.rtf en la carpeta del producto.
[1] Consulte la documentación de AET SafeSign (Java Card compatible).
[2] Compatible con tarjetas publicadas por A-Trust con software Kerberos de inicio de sesión Windows y aplicación A-Trust.
[3] Se requiere:
· Aplicación estándar: OpenSC PKCS#11 versión 0.8.3 y “EstEID Card CSP”.
· Software adicional de JaJa Arendus OU (http://www.jaja.ee), como “ITLogon CSP” y asociar la tarjeta con Active Directory.
[4] Probados con RSA Middleware Client 2.01.