È ora possibile eseguire la cifratura iniziale in modo nuovo e ottimizzato, tramite cifratura completa di tutto il disco, che porta a una significativa riduzione del tempo impiegato dal processo di cifratura iniziale. Limitando la cifratura iniziale solo allo spazio del disco rigido effettivamente utilizzato e non a tutto quello fisicamente disponibile, il rendimento può essere notevolmente potenziato; ciò dipende, naturalmente, dalla quantità di spazio del disco utilizzata. Questa nuova modalità operativa può essere controllata insieme alle altre impostazioni del criterio di cifratura e disattivata per impostazione predefinita.

1.1.3 Performance di cifratura potenziata

Una nuova implementazione dell'algoritmo di cifratura AES256, migliorata e ottimizzata, consente di ottenere un'esecuzione più efficace durante l'accesso ai dati di cifratura. Dal momento che il medesimo modulo di cifratura viene utilizzato sia per la cifratura completa di tutto il disco che per quella basata su file, entrambi i moduli (DE e DX) traggono benefici dai miglioramenti applicati e dai dati relativi ad una performance potenziata.

1.2 Che cosa è incluso nel rilascio di SGN 5.50.1

1.2.1 Supporto per piattaforma a 64 Bit per Data Exchange

SafeGuard Enterprise 5.50.1 Data Exchange supporta pienamente le versioni a 32 e a 64 bit di Microsoft Windows Vista e Microsoft Windows 7 e la versione a 32 bit di Windows XP.

1.3 Che cosa è incluso nel rilascio di SGN 5.50

1.3.1 Supporto esteso per piattaforma Windows: a 64 bit e Windows 7

SafeGuard Enterprise 5.50 Device Encryption supporta pienamente le versioni a 32 e a 64 bit di Microsoft Windows Vista e Microsoft Windows 7 e la versione a 32 bit di Windows XP. Server e Management Center supportano le versioni a 32 e a 64 bit di Windows Server 2003 e Windows Server 2008/R2.

1.3.2 Local Self Help per client gestiti in sostituzione di Web Self Help

Local Self Help consente agli utenti che hanno dimenticato la password di recuperarla rispondendo a domande precedentemente registrate, senza dover ricorrere a un help desk centrale. Questo consente di ridurre i costi dell'help desk e i tempi di inattività sul lato utente, rendendo quest'ultimo più produttivo. La funzione Local Self Help è già stata resa disponibile nella "modalità autonoma" di SafeGuard Enterprise 5.40, ma è stata estesa anche ai client gestiti. A sua volta, la fornitura del componente aggiuntivo Web Self Help di SafeGuard Enterprise, utilizzato in precedenza, è stata interrotta per i nuovi clienti poiché tale componente può essere sostituito in modo molto più efficace da Local Self Help.

1.3.3 Web Helpdesk è incluso nella licenza di SafeGuard Management Center

Il componente aggiuntivo Web Helpdesk di SafeGuard Enterprise è attualmente incluso nella licenza di Management Center ed è pertanto disponibile per tutti i clienti senza costi aggiuntivi. Offre un'interfaccia utente Web ai dipendenti dell'help desk che non utilizzano l'applicazione della console di gestione completa.

1.3.4 Installazione guidata di Management Center/Server per le nuove installazioni

L'installazione gestita di SafeGuard Enterprise non è mai stata così semplice. La nuova procedura guidata semplifica notevolmente l'installazione dei componenti di gestione di SafeGuard Enterprise. Inoltre, tiene conto di tutte le dipendenze del componente necessarie per l'esecuzione del server, incluse quelle Microsoft. Questo rende le installazioni iniziali molto più veloci riducendo allo stesso tempo possibili errori di configurazione e ottenendo valutazioni del prodotto più rapide.

1.3.5 Account di servizio

SafeGuard Enterprise 5.50 offre la possibilità di assegnare utenti agli elenchi di account di servizio. Quando viene applicato a un computer client configurato di recente, dove l’utilità POA non è ancora attivata, gli utenti inclusi in questo elenco non vengono aggiunti all’elenco degli utenti dell’utilità POA e dunque non assumono la proprietà del computer o attivano l’utilità POA dopo aver effettuato l’accesso a Windows. Diventa quindi possibile per loro manutenere e configurare il computer ma lasciando la configurazione di SafeGuard Enterprise apparentemente invariata prima di passarlo al proprietario prescelto, un'operazione spesso obbligata in determinati scenari di implementazione.

1.3.6 Account utente “solo POA”

Account speciali (facilmente riconoscibili perché appartenenti a uno speciale dominio "<POA>" virtuale) sono stati introdotti con SGN 5.50 per fornire, ad esempio agli amministratori, la capacità di avviare un computer protetto dall'utilità POA senza dover conoscere alcuna credenziale abituale del computer o essere registrati come utenti abituali su ciascun computer. Possono, inoltre, sempre avviare il computer da un supporto esterno e, quando accedono a Windows, non attiveranno alcuna operazione di accesso predefinita sul client SafeGuard Enterprise. Ad esempio, l'utente non verrà registrato con SGN, indipendentemente dalle credenziali utilizzate per effettuare l'accesso a Windows.

1.3.7 Gestione gerarchica degli officer

SafeGuard Enterprise 5.50 rende più facile gestire un gran numero di Security Officer. Non solo i diritti dell'officer sono stati rivisti ed estesi per consentire un controllo più dettagliato, ma sono stati anche raggruppati fra loro in maniera intelligente per gestire le dipendenze quando queste vengono assegnate. I Security Officer possono ora delegare alcuni dei loro diritti a dei sub-officer.

1.3.8 Compatibilità hardware/sistema operativo migliorata

La compatibilità di SafeGuard Enterprise è stata migliorata ulteriormente in vari modi, ad esempio tramite:

La tolleranza agli errori per i dispositivi USB che non aderiscono completamente alle specifiche USB
Le prestazioni superiori del processo di crittografia iniziale quando viene eseguito su Windows Vista o Windows 7
I token USB conformi con U3 possono essere ora configurati da SGN Configuration Protection
L’elenco esteso delle compatibilità hardware nel programma di installazione. Consultare il seguente articolo della knowledge base (in inglese), per gli ultimi aggiornamenti: http://www.sophos.com/support/knowledgebase/article/65700.html

1.3.9 Supporto esteso della smartcard e del lettore di schede

Come per tutte le versioni di SafeGuard Enterprise, il numero delle schede e dei lettori di smartcard supportati è stato esteso. Per ulteriori informazioni, leggere i capitoli da 3.6 a 3.9.

1.3.10 SafeGuard Easy 5.50

SafeGuard Enterprise Device Encryption senza il server di gestione centrale, la cosiddetta “modalità autonoma”, ora diventa “SafeGuard Easy 5.50” ed è destinato a essere il successore della serie SafeGuard Easy 4.x per quei clienti che preferiscono la modalità autonoma alla variante gestita dal server. Tecnicamente, SafeGuard Easy 5.50 è semplicemente il nuovo nome del prodotto per la modalità autonoma di SafeGuard Enterprise 5.50. Fornisce supporto per Windows Vista, Windows 7 e a 64 bit insieme a tutti gli altri vantaggi di SafeGuard Enterprise. Tuttavia, per accedere a una smartcard o a un token crittografato, è richiesta la variante gestita di SafeGuard Enterprise Device Encryption. La migrazione da SafeGuard Easy 4.x è supportata alle stesse condizioni delle precedenti versioni di SafeGuard Enterprise, tranne per il fatto che il supporto per Windows 2000 non è più assicurato.

1.3.11 CD di recupero di Windows PE (client virtuale)

Le funzioni avanzate di recupero per unità disco rigido SafeGuard Enterprise crittografate, ad esempio quando si deve avviare un ambiente di recupero di Windows PE a seguito di una configurazione interrotta o errata del sistema operativo, sono disponibili ora anche per i client di SafeGuard Easy 5.50.

1.3.12 Installazione semplificata e backup della chiave

Una nuova installazione guidata semplifica l'impostazione iniziale dei componenti di gestione, inclusi i criteri predefiniti.Per attivare questa procedura guidata per nuove installazioni di SGN, avviare "SGNInstallAdvisor.bat" dalla directory principale del DVD del prodotto. File di recupero della modalità autonoma (= SafeGuard Easy/ESDP) possono essere ora raccolti facilmente e automaticamente su una condivisione di rete centrale, se richiesto dall'amministratore. Sono state inoltre aggiunte opzioni che facilitano il backup e ripristino del certificato aziendale di nuove installazioni.
In aggiunta, la knowledge base contiene ora una Guida alle migliori pratiche per l'installazione di SGN; leggere l'articolo http://www.sophos.com/support/knowledgebase/article/110259.html (in inglese).

1.3.13 Miglioramenti vari

Vari altri miglioramenti all'utilizzabilità, l'archiviazione, le prestazioni e la gestione sono stati apportati in SafeGuard Enterprise. Fra questi sono inclusi:

· La velocità di crittografia iniziale in Windows 7 è stata migliorata notevolmente su SGN 5.40 per Windows 7 ed è ora equivalente o maggiore rispetto a Windows XP.

Design dell’interfaccia utente ed esperienza utente migliorate, ad es., una visualizzazione più accurata e completa dello stato utente nell’icona dell’area di notifica del client.
Supporto migliorato per il recupero da operazioni amministrative accidentali/non richieste attraverso la protezione delle chiavi SGN interne dall'eliminazione permanente.
SGNState ora riporta anche la versione del client SafeGuard.
Un nuovo strumento può ora risolvere anche il problema di una installazione non riuscita che provoca un blocco nel POA.
È stato aggiunto un aggiornamento di compatibilità correttivo per la stratificazione dei livelli del driver di filtraggio dei file nei moduli SafeGuard Enterprise Data Exchange (DX) e Configuration Protection (CP). Questo consente di usare contemporaneamente regole di esportazione basate su tipo di file e file crittografati.
Il periodo di validità per una sessione di challenge/response è stato esteso a 30 minuti. L’intervallo di attesa prima di compiere un nuovo tentativo di inserimento della password ora cresce alla potenza di 2 (era 3). Queste misure riducono l’impatto sull’utente di una password dimenticata, mantenendo al tempo stesso un alto livello di protezione.
I certificati aziendali di installazioni precedenti possono essere ora importati durante l’installazione a fini di recupero.
Ora può essere richiesta una password di disinstallazione anche da utenti amministrativi locali tramite un criterio configurabile. Questo ha pertinenza solo per i pacchetti Sophos Endpoint Security a partire dalla versione 9.5.
Vari miglioramenti alle prestazioni, alla protezione e alla compatibilità del prodotto, inclusi tutti gli aggiornamenti rapidi rilasciati dalla versione SGN 5.40.
Re-branding completo di Sophos.

2 Installazione

Per installare il software, è necessario disporre di diritti amministrativi. Per individuare la procedura corretta per installare il software, consultare il capitolo specifico del manuale di installazione.

Se viene modificata un'installazione già presente di SGN, o se alcuni moduli della stessa vengono installati in un secondo momento, nel programma di installazione può comparire un messaggio che indica che alcuni componenti (ad es. Safe Guard Removable Media Manager) sono attualmente in uso. Questo messaggio viene causato dal fatto che questi moduli condividono alcuni componenti che sono attualmente in uso e quindi non possono essere aggiornati immediatamente. Questo messaggio può essere ignorato dato che i componenti interessati saranno comunque aggiornati al riavvio successivo.

Nota: Questo è il funzionamento predefinito quando si utilizza la modalità di installazione automatica.

Anche se è possibile installare solo una serie limitata di funzionalità del prodotto inizialmente e aggiungerne altre più avanti, si consiglia tuttavia di installare la funzione Device Encryption dall’inizio.

Nota: Questo concetto è applicabile solo all'installazione del client SafeGuard Easy 5.50.

Se si sta aggiornando da SafeGuard Easy 4.x, assicurarsi di aver letto la sezione corrispondente del manualedi installazione e gli articoli della Knowledge Base pertinenti.

3 Informazioni generali

3.1 Infrastruttura di rete

Server di rete con amministrazione utente e computer:

· Microsoft Windows 2008 Server (a 32 e 64 bit) con Active Directory

· Microsoft Windows 2003 Server (a 32 e 64 bit) con Active Directory

Database:

· Microsoft SQL Server 2005 SP2, SP3

· Microsoft SQL Server 2008 SP1

· Microsoft SQL Server 2005 Express SP2, SP3

· Microsoft SQL Server 2008 Express SP1

Connettività:

I Client devono essere in grado di connettersi a

· SGN Server su porta 80/TCP o 443/TCP

Il SafeGuard Management Center deve essere in grado di connettersi al

· database SQL: porte 1433/TCP e 1434/TCP per SQL 2005 (Express) e SQL 2008 (Express)

· Active Directory: porta 389/TCP, porta 636 SLDAP, porta 1025/TCP (RPC), 135/TCP (agente di mapping degli endpoint - RPC).

Il SafeGuard Enterprise Server deve essere in grado di connettersi al

· database SQL: porte 1433/TCP e 1434/TCP per SQL 2005 (Express) e SQL 2008 (Express)

3.2 SafeGuard Management Center

Hardware:

CPU Intel o AMD X86

512 MB di RAM

1 GB di spazio libero disponibile su disco rigido (consigliato)

Token di autenticazione supportati (alcuni token non supportano RSA di oltre 1024 bit)

Software:

Sistemi operativi Microsoft Windows in inglese, francese, tedesco o giapponese

· XP SP2 SP3 a 32 bit

· Vista SP1 SP2 a 32 bit a 64 bit

· 7 a 32 bit a 64 bit

· 2003 Server SP1 SP2 a 32 bit a 64 bit

· 2003 Server R2 SP1 SP2 a 32 bit a 64 bit

· 2008 Server SP1 SP2 a 32 bit a 64 bit

· 2008 Server R2 a 64 bit

Microsoft ASP.net

· .NET Framework 3.0 SP1

L’utente Windows deve avere diritti di accesso in lettura/scrittura al database utilizzando uno dei seguenti metodi di autenticazione:

· Autenticazione Windows NT

· Autenticazione database SQL

Certificati X.509 testati

Microsoft PKI (lunghezza da 384 a 4096 bit – ma con almeno 2048 bit consigliati per motivi di sicurezza)
MS Base Cryptographic Provider 1.0
MS Strong Cryptographic Provider
OpenSSL

3.3 SafeGuard Enterprise Server

Hardware:

CPU Intel o AMD X86

512 MB di RAM

1 GB di spazio libero disponibile su disco rigido (consigliato)

Software:

Sistemi operativi Microsoft Windows in tedesco o in inglese (altre lingue del sistema operativo non sono state testate ma dovrebbero funzionare)

· 2003 Server SP1 SP2 a 32 bit a 64 bit

· 2003 Server R2 SP1 SP2 a 32 bit a 64 bit

· 2008 Server SP1 SP2 a 32 bit a 64 bit

· 2008 Server R2 a 64 bit

Microsoft ASP.net

· .NET Framework 3.0 SP1

Microsoft Internet Information Service

· Versione 6.0 su Windows Server 2003

· Versione 7.0 su Windows Server 2008

· Versione 7.5 su Windows Server 2008 R2

· Aggiornamento IIS in base all'articolo 934903 della Microsoft Knowledge Base

L’utente Windows deve avere diritti di accesso in lettura/scrittura al database utilizzando uno dei seguenti metodi di autenticazione:

Autenticazione Windows NT
Autenticazione database SQL (consigliato)

Nota: Sophos consiglia di utilizzare la comunicazione crittografata con SSL tra le workstation client SGN e SGN Server per tutti i sistemi, ad eccezione di demo e installazioni di prova. Se, per qualsiasi motivo, questo non fosse possibile e fosse necessario utilizzare la crittografia SGN proprietaria, è impostato un limite massimo di 1000 workstation client connesse a una singola istanza server. Quando si utilizza SSL, per abilitare questa funzionalità le impostazioni necessarie in SGN Management Center devono essere configurate manualmente. Per ulteriori informazioni, vedere il manuale di installazione.

Nota: Il carico del server SGN verrà influenzato dal numero di client ad esso connessi, dal numero di utenti SGN per client, dal numero di appartenenze al gruppo per utente SGN (se sono state generate chiavi durante la sincronizzazione di Active Directory) e dalla frequenza con cui i client contattano il server SGN in merito agli aggiornamenti dei criteri. È possibile impostare le prestazioni e il carico del server SGN mediante la regolazione di questi parametri. Con un singolo utente SGN, alcune appartenenze al gruppo e un aggiornamento al giorno, 40.000 client hanno mostrato un corretto funzionamento con un server SGN che utilizza SSL.

3.4 SafeGuard Enterprise Device Encryption / Data Exchange Client

Hardware:

CPU Intel o AMD X86
512 MB di RAM (minimo), 1 GB consigliato per Windows Vista / 7
L’installazione richiede almeno 300 MB di spazio libero su disco rigido. Per Device Encryption, almeno 100 MB di questo spazio libero devono essere costituiti da un’area contigua. Deframmentare il sistema prima dell’installazione, se si dispone di meno di 5 GB di spazio libero su disco rigido e il sistema operativo non è stato installato di recente, per incrementare la possibilità che questa area contigua sia disponibile. In caso contrario, l’installazione può non riuscire per "insufficienza di spazio libero contiguo” e non può essere supportata.

Sistemi operativi Microsoft Windows:

XP SP2 SP3 a 32 bit

Vista SP1 SP2 a 32 bit a 64 bit Enterprise/Ultimate/Business/Home Premium
7 a 32 bit a 64 bit Enterprise/Ultimate/Professional/Home Premium

La funzione client di SGN BitLocker può essere installata solo su piattaforme su cui è disponibile MS BitLocker.

Software:

Internet Explorer versione 6.0 o successiva

3.5 SafeGuard Configuration Protection Client

Hardware:

CPU Intel o AMD X86
512 MB di RAM minimo, 1 GB consigliato
1 GB di spazio libero disponibile su disco rigido (minimo)

Sistemi operativi Microsoft Windows:

XP SP2 SP3 a 32 bit

Vista SP1 SP2 a 32 bit Enterprise/Ultimate/Business/Home Premium
7 a 32 bit a 64 bit Enterprise/Ultimate/Business/Home Premium

Software:

Internet Explorer versione 6.0 o successiva

.NET Framework 2.0

3.6 Lettori di smartcard supportati

Lettori testati in SafeGuard Device Encryption Power-on Authentication

I lettori di smartcard riportati nella tabella qui sotto sono stati testati da Quality Assurance (versioni correnti e/o precedenti).

Produttore	Lettore di schede	Interfaccia	Commento
ACS	ACR 38U-CCID	USB-CCID	Richiede versione firmware ³ v1.12c
ActivIdentity	USB Reader 3.0	USB-CCID
	PCMCIA Reader	PC-Card	SCR 243 OEM
Broadcom	BCM 5880	Integrata (USB)
Cherry	ST-1044U	USB-CCID
	ST-2000	USB-CCID	PIN pad per l'immissione sicura del PIN non supportata
	ST-4044	PC-Card	CardMan 4040 OEM
	G83-6644 G83-6733 G83-6744	USB-CCID	Tastiere; l'immissione sicura del PIN non è supportata
Dell	RT7D60 SK-3105	USB-CCID	Tastiere
Eutronsec	SIM Pocket (incl. versioni combinate)	USB-CCID	SIM e schede di dimensioni standard
	Smart Pocket (incl. versioni combinate)	USB-CCID
Fujitsu Siemens	Smartcase SCR (USB)	USB-CCID	alias “Solo”
Gemalto	GemPC Express	ExpressCard
	GemPC Twin	USB-CCID
	GemPC Key	USB-CCID	Dimensioni SIM
	Reflex USB v3	USB-CCID
HP	SC Terminal (KUS0133)	USB-CCID	Tastiera
	PC Smart Card Reader	PC-Card	SCR 243 OEM
Kobil	KAAN Base	USB-CCID
	KAAN Advanced	USB-CCID	PIN pad per l'immissione sicura del PIN non supportata
Lenovo	Integrated Smart Card Reader	Integrata (USB)	Il lettore può essere sostituito con un tipo diverso, a seconda del mercato
o2micro	Serie Oz711	Integrata (CardBus)
	Oz776	Integrata-CCID
Omnikey	CardMan 3021 CardMan 3121	USB-CCID
	CardMan 4040	PC-Card
	CardMan 4321	ExpressCard
	CardMan 5125 CardMan 5321	USB-CCID	Interfaccia senza contatti non supportata
	CardMan 6121	USB-CCID	Dimensioni SIM
Ricoh	R/RL/5C476	Integrata (CardBus)
SCM	SCR 243	PC-Card
	SCR 331	USB-CCID	Richiede firmware versione 5.18 o successiva.
	SCR 335 SCR 3310 SCR 3311	USB-CCID
	SCR 3320	USB-CCID	Dimensioni SIM
	SCR 3340	ExpressCard
	SDI 010	USB-CCID	Interfaccia senza contatti non supportata
Texas Instruments	PCI 6515a PCI 7621	Integrata (CardBus)	Supporto generico per lettori PCI xx21

Se nel computer client è presente più di un lettore di smartcard, si consiglia di disabilitare quelli non utilizzati per evitare effetti collaterali indesiderati. Nel caso di lettori interni, può essere necessario disabilitare tali dispositivi nel BIOS.

Lettori da utilizzare con SafeGuard Device Encryption Power-on Authentication

I lettori di smartcard riportati nella tabella qui sotto sono integrati in SafeGuard Enterprise e funzionano in base alle informazioni sulla compatibilità del fornitore.

Produttore	Lettore di schede	Interfaccia	Commento
ACS	ACR 38T ACR 38U-BMC ACR 38F ACR 38K ACR 100F	USB-CCID	Dimensioni SIM
	ACR 122U ACR 122T		Interfaccia senza contatti non supportata
Cherry	G81-7040 G81-7043 G81-8040 G81-8043	USB-CCID	Tastiere; l'immissione sicura del PIN non è supportata
	G83-14200 G83-14400 G83-14600	USB-CCID	Tastiere biometriche; immissione sicura del PIN e funzioni biometriche non supportate
Eutronsec	SIM Reader (incl. versioni combinate)	USB-CCID	Dimensioni SIM
Fujitsu Siemens	Smartcase SCR (PC Card)	PC-Card	CardMan 4040 OEM
	Smartcase SCR (Express Card)	ExpressCard	SCR 3340 OEM
Gemalto	Reflex 20 v3	PC-Card	SCR 243 OEM
Ricoh	R5C835 R5C853	Integrata
SCM	SPR 532	USB-CCID	PIN pad per l'immissione sicura del PIN non supportata Richiede firmware versione 5.10 e driver Windows aggiornati
Vasco	DigiPass 905	USB-CCID

3.7 Smartcard supportate

Smartcard supportate in SafeGuard Device Encryption Power-on Authentication

Fornitore	Carta	Versioni	Tipo di scheda	Formato dati
ActivIdentity	Smart Card 64K	v2 (Oberthur) v2c (Axalto)	Java Card	ActivIdentity
AET ^{^[1]}	G&D Sm@rtCafe	64K	Java Card	PKCS#15
	G&D STARCOS SPK	2.3 3.0	ISO 7816	PKCS#15
	IBM JCOP	20 31 41 72K	Java Card	PKCS#15
	Siemens CardOS	M4.3b	ISO 7816	PKCS#15
Charismathics	Siemens CardOS	M4.3b	ISO 7816	CSSID
IT Solution	Siemens CardOS	M4.3b	ISO 7816	PKCS#15
Siemens	Siemens CardOS	M4.3b	ISO 7816	PKCS#15
T-Systems	TCOS	3.0	ISO 7816	NetKey

Carte EID nazionali testate in SafeGuard Device Encryption Power-on Authentication

Paese/Tipo	Carta	Versioni	Tipo di scheda	Formato dati
Austria ^{^[2]}	AustriaCard ACOS	3.01 4.0	ISO 7816	A-Trust
Estonia ^{^[3]}	Orga Micardo	V1 V2	ISO 7816

Nota: Le smartcard ed i token seguenti non sono supportati su piattaforme Windows Vista o Windows 7 :
- CardOS, profilo Siemens
- Carta ID estone
- A-trust
- RSA

3.8 Token USB supportati

Token USB supportati in SafeGuard Device Encryption 5.50 Power-on Authentication

Fornitore	Token USB	Fornitore middleware	Commento
ActivIdentity	ActivKey SIM	ActivIdentity
	ActivKey Display	ActivIdentity	Funzione OTP non supportata
Aladdin (CardOS)	eToken Pro eToken NG-Flash	Aladdin
	eToken NG-OTP	Aladdin	Funzione OTP non supportata
Aladdin (Java)	eToken Pro eToken NG-Flash	Aladdin
Charismathics	OTP Sign	Charismathics	Funzione OTP non supportata
	ID plug’n’crypt	Charismathics
Eutronsec	CryptoIdentity ITSEC-I	Charismathics
	CryptoIdentity ITSEC-P	AET
	OTP Sign	Charismathics	Funzione OTP non supportata
Kobil	mIDentity Light	Siemens	Include memoria flash
MARX	CrypToken	AET
RSA	SecurID 800 v1 [4] SecurID 800 v2	RSA	Funzione OTP non supportata

Si prega di notare: I token USB in grassetto sono stati testati espressamente da Quality Assurance (versioni correnti e/o precedenti).

Suggerimento: L'utilizzo di smartcard/token per l'autenticazione a livello del sistema operativo richiede l'installazione di un'applicazione middleware aggiuntiva (vedere la colonna "Fornitore middleware").

3.9 Middleware per smartcard testato in SafeGuard Device Encryption con Windows

Fornitore	Middleware	Versione	XP 32 bit	Vista 32 bit	Vista a 64 bit	7 32 bit	7 a 64 bit	Commenti
ActivIdentity	ActivClient	6.2	x	x	x	x	x
AET	SafeSign	3.0.33	x	x	c)	x
Aladdin	PKI Client	5.1 SP1 a)	x	x	x	x	x
A-Trust	a.sign client	1.2.7.0	x
Charismathics	Smart Security Interface	4.8.1	x	x
* Carta ID estone	<multiplo>		x
IT Solution	trustWare CSP+	1.0.1.23	x
Gemalto	.NET	2.1.3.1	x d)	x	x	x	x
Gemalto	Access Client	5.6.4	x	x	x	x	x	d)
Gemalto	Classic Client	6.0	x	x	x
RSA	RSA Smart Card Middleware	2.0.1	x
	RSA Smart Card Middleware	3.0.1	x
Siemens	CardOS API	3.1	x
T-Systems	NetKey 3.0	1.6.0.10 + 1.3.0.4 b)	c)	c)	c)	c)	c)

a) I token devono essere inizializzati con PKI Client 4.55. In caso contrario, non sarà possibile utilizzare l'accesso POA.

b) CSP Minidriver 1.6.0.10 + PKCS#11 modulo 1.3.0.4

c) Contattare il Supporto tecnico di Sophos per ulteriori informazioni.

d) Per ulteriori informazioni in merito ai token crypto, contattare il Supporto tecnico di Sophos.

3.10 Matrice di aggiornamento SGN

La tabella seguente mostra quali versioni precedenti di SGN possono essere aggiornate con SGN 5.50.8.

Matrice di aggiornamento SGN

Aggiorna da

Aggiorna a

SGN 5.20

SGN

5.20.1

SGN 5.20.2

SGN 5.20.3

SGN 5.20.4

SGN 5.20.5

SGN 5.21

SGN 5.21.1

SGN 5.30 RC1

SGN 5.30

SGN 5.30.1

SGN 5.30.2

SGN 5.30.3

SGN

5.35

SGN

5.35.x

SGN 5.40.x

SGN 5.50

SGN 5.50.8

SGN 5.50.1

SGN 5.50 GA

SGN 5.40.x

SGN 5.35.x

SGN 5.35 GA

SGN 5.30.3

¢¹

SGN 5.30.2

SGN 5.30.1

SGN 5.30 GA

SGN 5.30 RC 1

SGN 5.21.1 (Patch)

SGN 5.21

SGN 5.20.5 (Patch)

SGN 5.20.4 (Patch)

SGN 5.20.3 (Patch)

SGN 5.20.2 (Patch)

SGN 5.20.1 (Lenovo)

SGN 5.20

Legenda:

l Aggiornamento supportato

¢¹Aggiornamento supportato solo per SGN Server e SGN Management Console

3.11 Matrice di migrazione SGN

La tabella seguente mostra quali versioni di SafeGuard Easy possono essere migrate a SGN 5.50.8

Matrice di migrazione SGE - SGN
	IDEA	DES	3DES	AES 128	AES 256	Blowfish	Stealth	XOR
SGE 4.50	l		l	l	l
SGE 4.40	l		l	l	l
SGE 4.30	l		l	l	l
SGE 4.20
SGE 4.1x
SGE 3.x

3.12 Matrice SGN Client/Server

La tabella seguente mostra quali versioni precedenti di SGN Client possono essere gestite e da quale SGN Server.

Fondamentalmente, la versione SGN Server deve essere uguale o superiore alla rispettiva versione client.

Matrice SGN - Client/Server
	SGN Client
SGN Server	5.2x	5.30	5.35	5.40	5.50.x
SGN 5.50.x			l	l	l
SGN 5.40.x		l	l	l
SGN 5.35.x		l	l
SGN 5.35 GA		l	l
SGN 5.30.2	l	l
SGN 5.30.2	l	l
SGN 5.30.1	l	l
SGN 5.30 GA	l	l
SGN 5.21	l
SGN 5.20	l

¹ nessuna registrazione automatica

Legenda:

l supportato

¢¹ nessuna registrazione automatica

Nota: In alcuni scenari un SGN Client con un numero di versione inferiore può ricevere criteri da un server che esegue una versione più recente di SGN. Tuttavia, il client non supporterà le funzioni recentemente introdotte con la nuova versione.

3.13 Supporto per il sistema operativo Windows di SGN

La tabella seguente elenca tutte le piattaforme del sistema operativo supportate insieme ai moduli SGN disponibili su tali piattaforme.

	SGN – Supporto per la piattaforma Microsoft Windows
						SGN 5.50.x
						DE	DE BitLocker	DX	CP	SGN Server	MC
XP Professional Edition				SP2 SP3	a 32 Bit	l		l	.NET 2.0		.NET 3.0¹
Vista Home Premium Business Enterprise Ultimate				SP1 SP2	a 32 Bit	l	- - l l	l	l		.NET 3.0¹
Vista Home Premium Business Enterprise Ultimate				SP1 SP2	a 64 Bit	l	- - l l	l			.NET 3.0¹
7 Home Premium Professional Enterprise Ultimate					a 32 Bit	l	- - l l	l	l		NET 3.0¹
7 Home Premium Professional Enterprise Ultimate					a 64 Bit	l	- - l l	l	l		NET 3.0¹
Server 2003 / R2		.NET 3.0	IIS 6	SP1 SP2	a 32 Bit a 64 Bit					l l	l l
Server 2008 Server 2008 R2		.NET 3.0	IIS 7.0 IIS 7.5	SP1	a 64 Bit a 64 Bit					l l	l l

¹ .Net 3.0 SP1 richiesto

Nota 1: SafeGuard Enterprise può essere installato e supporta sistemi equipaggiati con Solid State Disks (SSD).

Nota 2: SafeGuard Enterprise può essere installato e utilizzato anche in ambienti di virtualizzazione. Fare attenzione a possibili problemi di interoperabilità riguardanti la crittografia su dispositivi collegati tramite il bus USB. A seconda dell’ambiente di virtualizzazione e del dispositivo collegato, questo problema potrebbe provocare un malfunzionamento del sistema.

3.14 Supporto server di database SGN

La tabella seguente elenca tutte le piattaforme server di database supportate.

Supporto server di database SGN

	SGN 5.40	SGN 5.50
Microsoft SQL Server 2005 SP1	l
Microsoft SQL Server 2005 Express SP1	l
Microsoft SQL Server 2005 SP2	l	l
Microsoft SQL Server 2005 Express SP2	l	l
Microsoft SQL Server 2005 SP3	l	l
Microsoft SQL Server 2005 Express SP3	l	l
Microsoft SQL Server 2008 SP1		l
Microsoft SQL Server 2008 Express SP1		l

4 Problemi risolti (Versione 5.50.x rispetto alla versione 5.40)

4.1 SafeGuard Enterprise Management Center

L'importazione degli elenchi di Configuration Protection non ha funzionato correttamente in alcuni scenari.
Quando sono stati aggiunti file di testo informativo, non sono state inserite nuove righe, provocando così concatenazioni involontarie.

4.2 SafeGuard Enterprise Server

La sincronizzazione di SGN Active Directory non è riuscita nei casi in cui un sottoalbero è stato spostato in Active Directory. Questo problema è stato corretto. Inoltre, adesso le chiavi utilizzate internamente sono sempre recuperabili per supportare scenari di ripristino di emergenza in caso di azioni o dati AD non supportati/indesiderati.
L'elaborazione di SGN Server ha mostrato una memoria insufficiente durante l'aggiornamento dei client con grandi elenchi di Configuration Protection.

4.3 SafeGuard Enterprise Client

Device Encryption

- Il token A-Trust V4 ha causato alcuni problemi

- La carta ID estone è supportata (solo in Windows XP)

- In alcuni scenari, la procedura di accesso automatica del POA è stata interrotta

- Le chiavi recentemente assegnate richiedono un riavvio prima di essere disponibili per l'utente

- Il programma di installazione non disponeva di una proprietà POACFG

- Sono state rilevate voci del Registro di sistema incorrette indicanti che un’unità sta decrittografando quando invece sta crittografando

- L'installazione o la ricreazione dell'immagine di un computer con un nome host precedentemente utilizzato può rendere impossibile l'accesso ed il recupero di tale computer se l'oggetto del computer “precedente” non è stato antecedentemente eliminato in SGN Management Center.

SafeGuard Portable

- Non è stata creata alcuna cartella di testo normale quando sono stati masterizzati dei CD utilizzando la procedura guidata integrata di Windows

- La scelta rapida di SGPortable è stata visualizzata ma non ha funzionato

Data Exchange

- Voci di menu scomparivano in Corel Draw X4 dopo l’installazione del client Data Exchange. Problemi simili riscontrati con Adobe Fireworks e Candela sono stati anche risolti.

- Non sempre è stato possibile cambiare la passphrase del supporto perché l’opzione non era disponibile nella barra delle applicazioni.

- In Mindjet MindManager, quando si apriva la finestra di dialogo Salva con nome..., l’applicazione si bloccava.

- I cambi di password in fase di accesso a Windows XP andavano perduti quando l’applicazione di controllo Evidian SSO era installata come client SGN. È stato applicato un aggiornamento correttivo generico che risolve anche il problema dei cambi di password non validi dopo un tentativo di accesso non riuscito.

Configuration Protection

- A seconda dell'elenco applicato, i dispositivi di archiviazione SCSI e IDE interni potrebbero essere bloccati.

5 Problemi noti

5.1 Rilascio di SGN 5.50

L'aggiornamento della versione SGN 5.50 Beta del client non funziona nel modo previsto. È necessario disinstallare la versione beta prima di eseguire l'installazione della versione finale di SGN 5.50.
Sulle piattaforme Windows Vista e Windows 7, quando si aggiorna il client da SGN 5.35 o altra versione successiva a SGN 5.50, il programma di installazione chiede all'utente di interrompere alcuni processi in esecuzione. L’utente dovrebbe e può ignorare tranquillamente questa richiesta. In particolare, se non si procede in questo modo su Windows 7, si provocherà un arresto anomalo di Esplora risorse dopo l’avvio successivo.
Il processo di installazione di SGN deve essere avviato nel contesto di una sessione di accesso dell'amministratore di Windows. Non è consentito avviare il processo di installazione utilizzando l’opzione “Esegui come amministratore”.
In un sistema operativo a 64 bit, la API del Management Center non funziona, a meno che non si avvii lo script su cmd.exe nella cartella C:\Windows\SysWOW64 .
Utilizzo di BLOC MAIUSC in POA: notare che il tasto BLOC MAIUSC nel POA determina solo l’utilizzo delle lettere maiuscole o minuscole e non influisce sui numeri nella parte alta della tastiera. È consigliabile usare il tasto MAIUSC per inserire password invece che affidarsi alla funzionalità di BLOC MAIUSC, perché questa può variare in base all’applicazione.
Durante una disinstallazione del programma client, che include la decrittografia di volumi crittografati, il computer dovrebbe essere arrestato o riavviato. Se si procede in questo modo, verrà generato un messaggio di errore da parte del programma di disinstallazione.
Un client SGN non è in grado di connettersi a SGN Server quando un firewall Sophos con impostazioni predefinite è installato nel computer client. Per impostazione predefinita, il firewall Sophos blocca le connessioni NetBIOS necessarie per risolvere il nome di rete di SGN Server. Per questo problema esistono 2 soluzioni:

Sbloccare le connessioni NetBIOS nel firewall.
Includere il nome completo di SGN Server nel pacchetto di configurazione server come descritto di seguito:

§ NelManagement Center, andare su Strumenti -> Strumento Pacchetto di configurazione -> Scheda Registra server -> Aggiungi...

Selezionare il certificato del server da, ad esempio: C:\Program Files\Sophos\SafeGuard Enterprise\MachCert\sgnsrv.utimaco.local.cer
Inserire il nome del server con pieni diritti, ad esempio: sgnsrv.utimaco.local
Andare su Strumenti -> Strumento Pacchetto di configurazione -> Crea pacchetto di configurazione del server
Selezionare sgnsrv.utimaco.local
Cliccare su Crea pacchetto di configurazione, ad esempio: Server Configuration Package.msi
Installare Server Configuration Package.msi

Quando viene ricreata l'immagine di un client con un'installazione di SafeGuard Enterprise o quando tale client viene reinstallato utilizzando lo stesso nome host, è necessario eliminare il computer manualmente in SafeGuard

Per tutte le versioni dei sistemi operativi supportati, se un lettore di schede SD interno è collegato al controller host Secure Digital gestito dal driver Standard Microsoft sdbus.sys, la scheda inserita non sarà soggetta a SGN Device Encryption, pertanto non potrà essere né crittografata né bloccata. Non sarà visibile nel Visualizzatore crittografia BE. Tuttavia, sarà disponibile e accessibile come dispositivo di testo normale in Esplora risorse. I clienti che utilizzano la crittografia di schede SD devono utilizzare file basati su crittografia (SGN DX)
Come documentato, in una configurazione non recente di SafeGuard Enterprise Server, prima di eseguire una nuova installazione, è necessario disinstallare i pacchetti. Tuttavia, poiché potrebbe essere necessario aggiornare alcuni dati nella cache locale (ad esempio le impostazioni SSL), quando viene applicato un nuovo pacchetto di configurazione anche la cache locale dovrà essere eliminata manualmente prima dell'installazione.
Se è disponibile un criterio di autenticazione contenente l'opzione di blocco "Blocca schermo dopo ripresa" SÌ/NO, questo non verrà trasferito al client SafeGuard Enterprise.
Quando si importano chiavi esterne, queste non possono contenere caratteri XML speciali quali ‘<’, ’>’, ’&’, ‘\’, ‘”’.
Il file system exFAT, introdotto da Microsoft con Windows CE 6.0 e Windows Vista Service Pack 1, non è supportato da SafeGuard Enterprise Device Encryption.

Se il client SafeGuard Enterprise è installato con il supporto Microsoft BitLocker, è necessario eseguire l'installazione con il controllo di accesso utente disattivato o l'account amministratore incorporato.

La masterizzazione di file cifrati su supporti ottici (CD/DVD) mediante la masterizzazione guidata integrata in Windows non è supportata su Windows Vista a 64 bit.

In determinate configurazioni, se il modulo SafeGuard DataExchange e il modulo SGN ConfigurationProtection sono installati nel sistema remoto non sarà possibile eseguire l'accesso a condivisioni remote. Questo problema è causato in genere da vincoli di risorse del sistema e può essere risolto incrementando le dimensioni dello stack IRP mediante l’uso della seguente impostazione del Registro di sistema:

                    Hive:      HKEY_LOCAL_MACHINE
                Chiave:      SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Nome del valore:      IRPStackSize (DWORD)
Nome del valore:      21 (o almeno 3 in più rispetto al valore attuale)

Per ulteriori informazioni, leggere http://support.microsoft.com/kb/177078/ EN-US.

· Il numero massimo di utenti SGN registrabili su un client è 200.
Tenere presente inoltre i seguenti limiti massimi per le dimensioni di file importati in un client mediante l'uso di un criterio:

o I file di testo non devono superare i 50 kB.

o Le bitmap di intestazione non devono superare i 100 kB.

o Le bitmap di sfondo non devono superare i 500 kB.

Nota: Il numero di utenti designati, specialmente in combinazione con tante appartenenze di gruppo, ha un impatto notevole sulle prestazioni di SGN Server.

5.2 SafeGuard Management Center

· Se si disinstalla SGN client da un computer MC, questo diventa inutilizzabile.
Quando SafeGuard Management Center è eseguito su un computer in cui è installato SGN client, se si disinstalla il client, MC non è più utilizzabile. Questo problema non dipende dall’ordine di installazione dei due moduli. Se si desidera continuare a eseguirlo su tale computer, MC dovrà essere reinstallato.

·         Schema di denominazione dei database
Per prevenire problemi di localizzazione, i nomi dei database SGN devono essere conformi ai seguenti schemi di denominazione.

I nomi dei database SGN dovrebbero contenere solo:
            - Caratteri (A-Z, a-z)
            - Numeri (0-9)
            - Caratteri di sottolineatura (_)

· Management Center su un computer dotato di client SGN, è necessario che entrambi i componenti (client + MC) siano aggiornati a SGN 5.50, e si deve aggiornare prima il client. Aggiornando solo Management Center/Policy Editor, si possono causare problemi di accesso a Windows.

Verificare nel CD del software SGN (cartella Strumenti) la presenza di informazioni aggiuntive relative all'aggiornamento di SafeGuard Management Center (cercare anche "SGN e aggiornamento" nella knowledge base di Sophos per raccogliere istruzioni dettagliate).

· Possibile configurazione dei metodi di accesso al database SQL:
L’opzione Autenticazione Windows NT richiede ulteriori passaggi obbligatori proposti da Microsoft (cercare “SGN e account di servizio” nella Knowledge Base di Sophos). L’Autenticazione SQL è quella meno complicata e non richiede passaggi di configurazione aggiuntivi.

· Le regole per la password di SGN vengono implementate completamente separate dalle impostazioni in AD e, se entrambi i set di regole vengono utilizzati contemporaneamente, è possibile che si verifichino deadlock. Se un set di criteri password è già implementato in AD, è consigliabile non definire regole password aggiuntive in SafeGuard Management Center.

· Se la sincronizzazione AD viene eseguita con un account utente Windows che dispone di un numero inferiore di diritti di accesso in AD rispetto a quello che ha eseguito l'importazione iniziale, tutti gli oggetti ai quali non è possibile accedere verranno trattati come "non più disponibili" e verranno eliminati o spostati nel nodo Computer autenticati.
È consigliabile creare un account di servizio dedicato, utilizzato per l'autenticazione di tutte le attività di importazione e sincronizzazione, per evitare un'eliminazione accidentale di oggetti in SGN Database (cercare "SGN e sincronizzazione" nella knowledge base di Sophos).

· Se in Active Directory sono stati spostati elementi da un sottoalbero a un altro, entrambi i sottoalberi dovranno essere sincronizzati con il database SQL. La sincronizzazione di un solo sottoalbero comporterà l'eliminazione anziché lo spostamento degli oggetti.

· La sincronizzazione AD non eseguirà la sincronizzazione del nome di dominio precedente a Windows 2000 (NetBIOS), se il controller di dominio è configurato con un indirizzo IP. Configurare il controller di dominio per utilizzare il nome server (NetBIOS o DNS). Il client (su cui è in esecuzione la sincronizzazione AD) deve fare parte del dominio o deve essere in grado di risolvere il nome DNS nel controller di dominio di destinazione.

· I certificati forniti dal cliente e importati in SGN non vengono attualmente verificati in base a RFC3280. Ad esempio, è possibile utilizzare certificati per la firma ai fini della crittografia.

· Criteri sovrapposti assegnati a un gruppo possono dar luogo a un calcolo sbagliato delle priorità. Utilizzare impostazioni di criteri disgiuntive.

· Se si desidera consentire durate minime delle password inferiori a 2 giorni, l’impostazione “Modifica password consentita dopo min.(giorni)” va lasciata immutata. Una volta cambiata, la durata minima è di 2 giorni.

· Prima della disinstallazione, notare quanto segue: gli utenti non sono in grado di eseguire la disinstallazione per volumi crittografati con una chiave specifica dell'utente non assegnata loro.

· Si riscontrano problemi di layout con l’interfaccia utente grafica su computer configurati per risoluzioni diverse da 96 DPI.

· È consigliabile suddividere l'importazione di oltre 400.000 oggetti da AD in più operazioni. Questo potrebbe non essere possibile nel caso in cui siano presenti più di 400.000 oggetti in una singola unità organizzativa.

· Le chiavi di crittografia create localmente con versioni di SafeGuard Removable Media precedenti alla 1.20 non verranno spostate in SafeGuard Management Center e non saranno visibili.

· I client membri di un gruppo di lavoro sconosciuto non possono eseguire la registrazione automatica a installazioni di SGN migrate da versioni precedenti alla 5.20. Il gruppo di lavoro deve essere creato inizialmente in SafeGuard Management Center.

· La registrazione automatica non riesce se il supporto di NetBIOS non è disponibile.
Utilizzare solo indirizzi IP, se NetBIOS è attivo anche nella propria rete. Se si utilizzano indirizzi IP senza supporto NetBIOS, gli utenti autoregistrati e i computer non verranno ordinati nel dominio.

· Due security officer non devono usare lo stesso account Windows presente sul medesimo PC. Altrimenti non sarà possibile separare i loro diritti di accesso correttamente.

· L'inventario di un client BitLocker non mostra lo stato corretto dei supporti rimovibili.

· Se vengono spostati in un gruppo di lavoro di Windows, i client registrati come membri di un dominio non verranno aggiornati correttamente in SafeGuard Management Center.

· Quando si aggiorna il database SGN alla versione 5.50, le vecchie Management Console mostrano un messaggio di errore. Significa che devono essere aggiornati anche loro.

· Quando si esegue una disinstallazione, alcuni file e voci del Registro di sistema possono non essere rimossi. Consultare la knowledge base di Sophos (parole chiave “SGN e disinstallare”) su come ripulire l’installazione manualmente. Questa operazione di pulizia è necessaria per poter reinstallare SGN sullo stesso computer.

· I CRL delta non sono supportati da SafeGuard Enterprise. Quando si importa un CRL delta per un CA, il CRL originale di tale CA viene sovrascritto. Se si esegue questa operazione, i certificati precedentemente revocati possono tornare a essere validi. Utilizzare solo CRL completi per SafeGuard Enterprise. Il supporto per i CRL delta verrà affrontato nelle versioni successive di questo prodotto.

· In alcuni casi, si possono verificare problemi di sincronizzazione e/o di configurazione con le edizioni locali di SQL Server Express, tali da impedire alla configurazione del database SafeGuard di funzionare in concomitanza con la procedura di autenticazione di SQL Server. Se questo fosse il caso, si consiglia di utilizzare alternativamente l'autenticazione Windows con SQL Server Express.

In alcuni casi possono verificarsi problemi di timeout quando si esegue una query di report su un database contenente più di 100.000 eventi. In situazioni del genere, potrebbe essere opportuno incrementare il valore di timeout utilizzando la seguente impostazione del Registro di sistema:

                    Hive:      HKEY_LOCAL_MACHINE
                Chiave:      SOFTWARE\Utimaco\SafeGuard Enterprise\Internal Settings
Nome del valore:      TimeOut (DWORD)
                Valore:      1…30000 [milliseconds]

5.3 SafeGuard Enterprise Server

Verificare nel CD del software SGN (cartella Strumenti) la presenza di informazioni aggiuntive relative all'aggiornamento di SGN Server.

· L'autenticazione HTTP (del client in IIS) non è supportata.

· Per la riduzione del traffico di rete, è consigliabile utilizzare gli intervalli di trasferimento della connessione di oltre 240 minuti.

· È consigliabile attivare le opzioni di riciclo della memoria di IIS con impostazioni predefinite.

· L'accesso alla pagina predefinita del servizio WEB può risultare in un'eccezione non gestita. Questa situazione può essere risolta mediante la ri-registrazione di ASP.NET: aspnet_regiis /i

· Per evitare l'incompatibilità con applicazioni esistenti, è consigliabile installare SGN Server in un server IIS dedicato.

· SGN 5.50 Enterprise Server non supporta i client SGN 5.00/5.10/5.20/5.30. Prima di migrare SGN Enterprise Server alla versione 5.50, tali client dovranno essere migrati a SGN 5.35 o versione successiva.

· La connessione dei client SGN 5.50 a SGN Server precedenti alla versione 5.50 non è supportata. Versioni diverse di SGN Client dovrebbero essere presenti solo durante la fase di migrazione.

· SafeGuard Enterprise API: gli eventi del registro di Management Console non possono essere creati quando vengono chiamate contemporaneamente funzionalità simili tramite l'API SGN.

· SafeGuard Enterprise API: il metodo "CreateDirectoryConnection" non viene eseguito su un solo SGN Server. Nel computer deve essere installato anche SGN Management Console per questa API.

5.4 SafeGuard Enterprise Data Exchange Client

· L’installazione di DX su un sistema equipaggiato con SafeGuard Removable Media non è preclusa. SGRM e SGN DX sono prodotti per la crittografia dei file non progettati per coesistere. Tuttavia, il programma di installazione di DX non verifica questa condizione. Prima di installare SGN DX, è necessario disinstallare SGRM.

· Recupero di password dimenticate
SafeGuard Data Exchange senza Device Encryption non fornisce il recupero Challenge/Response quando l'utente ha dimenticato la propria password. In questo caso, si dovrà cambiare la password in Active Directory, accedere a un provider di credenziali Sophos e ripristinare la configurazione utente sul client. Consultare la knowledge base di Sophos per ulteriori informazioni.

· Compatibilità con SG RemovableMedia 1.20
Le chiavi locali create con una versione di SafeGuard Removable Media precedente alla 1.20 possono essere utilizzate in SafeGuard Client, prima di passare a SGN Data Exchange. Tuttavia, tali chiavi non vengono trasferite automaticamente al database SGN.

· Compatibilità con SG Easy 4.x
Quando si utilizza SafeGuard Data Exchange in concomitanza con SafeGuard Easy 4.x, tenere in considerazione che i meccanismi GINA SGE (in particolar modo l'accesso automatico sicuro - "secure auto logon ", o SAL) non funzionano; deve prima venire installata SGE, e la disinstallazione di entrambi i prodotti va effettuata contemporaneamente (senza riavvio), per evitare conflitti GINA.

· Compatibilità con Microsoft Office 2007
Le applicazioni di Microsoft Office 2007 (ad es. Word, Excel) si interrompono e visualizzano un errore quando vengono salvate modifiche ad un file non cifrato che richiede la crittografia secondo l'attuale criterio di cifratura.

Soluzione:
- Modificare lo stato di crittografia dei file per conformarsi al criterio, oppure
- Aggiungere i programmi Office alla chiave del Registro di sistema Processi di ridenominazione speciale.

Ecco un esempio di impostazione del Registro di sistema che aggiunge WinWord.exe ed Excel.exe a questa chiave.

Windows Registry Editor Versione 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\UTIMACO\SGLCENC]
"SpecialRenamePrograms"="winword.exe;excel.exe;"

Per ulteriori informazioni, riferirsi alla knowledge base di Sophos, SGI 109474.

· Elevazione dell'utente per file eseguibili cifrati
Se viene avviato un file eseguibile cifrato o un pacchetto di installazione che richiede un'elevazione in Windows Vista o Windows 7, tale elevazione può non avvenire, ed il file eseguibile non viene avviato.

· Link di SafeGuard Portable su supporto di sola lettura
Il link all'applicazione SafeGuard Portable creato nella radice di un supporto rimovibile può non funzionare in determinate circostanze (solo su Windows 7). Quando il supporto viene inserito in un dispositivo la cui lettera di unità è diversa da quella su cui SafeGuard Portable è stato originariamente copiato, il link non funziona se l'unità corrispondente a tale lettera rimane disponibile. Ad esempio, se il link di SafeGuard Portable è stato creato su un supporto la cui unità era D: e tale supporto viene utilizzato su un computer diverso ma nell'unità E:, il link non funziona se è presente un'unità D: anche su quest'ultimo computer; in caso contrario, il link funziona come previsto.

· Accesso al gruppo di chiavi dopo aver terminato una sessione remota
Il gruppo di chiavi di un utente non è più accessibile dopo il termine di una sessione remota. È necessario riavviare il computer client per ripristinare il pieno accesso al gruppo di chiavi dell'utente. L'accesso non può essere ottenuto con la semplice disconnessione e nuovo accesso dell'utente.

5.5 SafeGuard Enterprise Device Encryption Client

· BitLocker To Go - i dispositivi cifrati possono impedire l'installazione di Device Encryption
Se una chiave USB cifrata con BitLocker To Go viene connessa ad un computer durante l'impostazione di SGN, l'installazione non riesce, in quanto Windows riporta che nel sistema è abilitato BitLocker; questa è una valida condizione di errore per l'installazione di client DE. La soluzione è rimuovere i dispositivi crittografati con BitLocker To Go prima di installare SGN DE.

· Device Encryption può non funzionare su alcune chiavi USB
Alcuni rari modelli di chiavi USB riportano un'errata capacità di archiviazione (solitamente più elevata di quella reale). Su questi modelli, una crittografia iniziale basata su volume non viene eseguita correttamente e i dati memorizzati sullo stick andranno perduti. Sophos generalmente consiglia di utilizzare la crittografia basata su file (modulo DX) per poter crittografare su supporti rimovibili.

· Posizione dei profili utente all'interno di volumi cifrati
Quando si cifra un volume contenente profili utente, vanno utilizzate solamente chiavi disponibili a tutti gli utenti il cui profilo si trova all'interno del volume cifrato. Per garantire la configurazione corretta del sistema, i profili utente non devono trovarsi su volumi crittografati per i quali non si dispone di una chiave di crittografia.In alternativa, per la crittografia di questo volume devono essere utilizzate solo chiavi disponibili a tutti gli utenti. Questo scenario potrebbe rappresentare un problema quando si modifica la posizione predefinita dei profili utente dal volume di sistema in qualsiasi altro volume locale crittografato.

· SafeGuard Easy
Il client deve essere riavviato dopo il primo accesso per verificare la correttezza della registrazione dell’utente connesso.

· Aggiornamento
Quando si effettua l'aggiornamento di una versione meno recente di SGN Client, si consiglia di selezionare la modalità di installazione ‘Personalizzata’, e di selezionare tutte le funzionalità richieste, a prescindere dal fatto se siano già state installate dalla versione precedente o meno. In alternativa, è possibile utilizzare al suo posto l’opzione di installazione “Completa”. Se si sceglie l'opzione di installazione "Tipica", alcune funzioni potrebbero non essere aggiornate correttamente.
Nel caso di un’installazione automatica, è necessario utilizzare la proprietà ADDLOCAL= per selezionare tutte le funzioni desiderate (esistenti e nuove). Se questa opzione non è specificata, verranno aggiornate solo le funzioni installate dalla versione precedente.

· Installazione del pacchetto di configurazione del client
Dopo l'installazione del pacchetto di configurazione del client, l'utente deve attendere circa 5-10 secondi prima di confermare l'ultimo riavvio. Successivamente, dopo aver riavviato, l’utente deve attendere circa 3 minuti alla schermata di accesso di Windows prima di accedere ad esso. In caso contrario, la sincronizzazione iniziale dell'utente può non essere completata fino al riavvio successivo.

· Local Self Help
Per l'opzione Local Self Help, non viene mai mostrata l'opzione di recupero nel POA, se l'utente di tale POA ha l'opzione di accedere mediante token o impronta digitale. LSH funziona solo se l’utente accede al POA con il proprio ID utente e la propria password.

·         Errori di scrittura rimandata durante la cifratura iniziale
Durante l'installazione di SafeGuard Enterprise Base Encryption, è possibile che il sistema operativo riporti errori di scrittura rimandata. Questo avviene subito dopo l’installazione del kernel sul file system. Il problema può essere risolto forzatamente eseguendo molte operazioni di I/O di file parallele durante l’avvio successivo, subito dopo aver manipolato il file system.

Soluzione:
Il kernel SafeGuard Enterprise Base Encryption può essere installato anche aggiungendo il seguente valore del Registro di sistema:

            Hive:    HKEY_LOCAL_MACHINE
            Chiave: System\CurrentControlSet\Control\Session Manager
            Nome del valore:         AllocMode (DWORD)
            Valore: 1

Questo valore di registro va aggiunto prima di svolgere l'installazione di the SafeGuard Enterprise Base
Encryption

· Criterio di protezione dei dispositivi per unità rimovibili
Un criterio relativo alla cifratura di unità rimovibili basate su volume che permette all'utente di selezionare una chiave da un elenco (ad esempio “tutte le chiavi nel portachiavi”) può venire aggirato semplicemente non selezionando alcuna chiave. Per assicurarsi che le unità disco rimovibili siano sempre crittografate, il security officer dovrebbe utilizzare un criterio di crittografia basato su file o impostare esplicitamente una chiave nel criterio di crittografia basato su volume.

· Criterio di Device Protection insieme al criterio di Configuration Protection Policy per unità non di avvio
Se su sistemi Windows Vista sono installate sia la cifratura basata su volume, sia funzionalità di Configuration Protection, i criteri di cifratura di volumi non di avvio possono provocare il blocco del processo iniziale di crittografia. Questo problema può essere evitato copiando il file bootmgr su questi volumi non di avvio prima di installare SGN e di definire il criterio di crittografia per “Bootvolumes”.

· Data Exchange Policy e SafeGuard Easy
I criteri di Data Exchange non possono utilizzare la chiave del computer predefinita su SafeGuard Easy 5.50. Utilizzare una chiave diversa se il criterio deve essere applicato ai client SafeGuard Easy.

· Supporto Kerberos con token A-Trust
Impostazione di client per l'accesso a Kerberos con smartcard A-Trust:

Il middleware per A-Trust deve essere installato con i parametri seguenti:

acSetup.exe /CALAIS=Yes

Utilizzare l’icona dell’area di notifica di A-Trust per aggiornare il middleware. Questo passaggio è necessario anche se è già stata installata la versione più recente del middleware per A-Trust poiché consentirà il download e l'installazione del certificato radice di A-Trust.

Installare le impostazioni di registro da \Tools\ATrustSetup.reg.

Nota: L'archivio delle chiavi utente non può essere aperto con la versione 1.2.5.2 o precedente del middleware per A-Trust. A-Trust sta già lavorando alla risoluzione di questo problema.

· Supporto Kerberos con Aladdin eToken Pro
Per accedere a Windows Kerberos con Aladdin eToken PRO 72k (Java), è richiesto Aladdin PKI Client 5.0. Tuttavia, per essere compatibili con POA di SGN, questi token devono essere inizializzati con Aladdin PKI Client 4.55.

· Novell Client
Per utilizzare SGN Client in concomitanza con un Client Novell, sono necessarie alcune modifiche specifiche del progetto. Contattare il Supporto tecnico di Sophos per ulteriori informazioni.

· Cambio rapido utente
Il cambio rapido utente non è supportato e deve essere disabilitato.

· Unità floppy incorporata
Dopo aver installato SGN Device Encryption su Windows Vista, l'unità floppy incorporata non è più disponibile. Questa limitazione non riguarda le unità disco floppy esterne collegate tramite il bus USB.

· Fase di avvio
La durata della fase di avvio viene incrementata di circa un minuto in seguito all'installazione del software di SGN Client.

· Cifratura di ‘unità virtuali’
Le unità virtuali presenti nella workstation client (ad es. i file VHD in Windows montati mediante MS Virtual Server) vengono considerate come unità disco rigido locali; verrà quindi cifrato anche il loro contenuto, se si definisce un criterio di cifratura per ‘altri volumi’.

· Non è possibile utilizzare la cifratura dei dispositivi basata sul volume insieme a BitLocker. Il programma di installazione di SGN Client non consente di installare entrambe le funzioni contemporaneamente.

· Durante la crittografia iniziale della partizione di sistema (ovvero la partizione in cui si trova il file hiberfil.sys) l’operazione di sospensione su disco può non riuscire e dovrebbe quindi essere evitata. Dopo la cifratura iniziale della partizione di sistema, affinché la sospensione su disco possa essere eseguita correttamente, è necessario che venga riavviato il sistema.

· La disinstallazione di SGN Device Encryption Client esegue la decrittografia automatica di volumi crittografati utilizzando la chiave del computer predefinita. Altri volumi crittografati che utilizzano altre chiavi non vengono automaticamente decrittografati. Devono essere decrittografati utilizzando un criterio appropriato prima di disinstallare SGN Device Encryption Client.

· Prima di disinstallare l'ultimo client SGN accessibile, è necessario decrittografare tutti i supporti rimovibili crittografati. Altrimenti, l’accesso ai propri dati può essere impedito in modo permanente. Fintantoché verrà mantenuto il database SGN, i dati sul supporto rimovibile potranno essere recuperati.

· È consigliabile riavviare un PC con SGE Client almeno una volta dopo aver attivato la funzione SGN Power-on Authentication. SGN sottopone a backup i dati del proprio kernel a ogni avvio di Windows. Questo backup non verrà mai eseguito se il PC è solo ibernato o trasferito in modalità stand-by.

· Microsoft Windows XP presenta un limite tecnico nello stack del suo kernel. Se sono installati alcuni driver di filtraggio del file system (ad es. software antivirus), la memoria può non essere sufficiente. In questo caso, si potrebbe ricevere un messaggio di avviso BSOD. Sophos non può essere ritenuta responsabile per questo limite di Windows e non può risolvere il problema.

· A volte gli eventi "inserimento token" vengono persi con la finestra di dialogo Configurazione e personalizzazione di Windows. In questi casi viene richiesto il reinserimento del token finché questo non viene riconosciuto correttamente. In alternativa, è possibile premere CTRL-ALT-CANC per passare alla finestra di dialogo di accesso, dove questo problema non esiste.

· Se si verifica un errore durante l'accesso Kerberos a Windows, la finestra di dialogo del PIN non si chiuderà automaticamente dopo la chiusura del messaggio di errore corrispondente. L'utente deve premere ESC oppure CTRL-ALT-CANC per tornare alla finestra di dialogo di accesso".

· Su client che utilizzano OHCI per l'interfaccia utente USB, alcuni lettori di smartcard o alcuni token USB potrebbero non funzionare.

· Per supportare correttamente lettori di smartcard USB, i notebook Dell 620 devono disporre dell'impostazione di BIOS "modalità compatibile" (su dispositivi periferici o USB integrati). Questo è il valore predefinito.

· In combinazione con Aladdin PKI Client 4.5x è possibile che si verifichi un ritardo di accesso considerevole a livello GINA. Tuttavia è consigliabile utilizzare la versione 5.0.

· In caso di cifratura basata su volume, non sono supportati i volumi situati su "dischi dinamici" o “dischi GPT”.

· A causa di limitazioni tecniche, il "Single Sign-On" con Kerberos (smartcard/token) richiede il reinserimento della smartcard o del token a livello GINA, durante l'esecuzione su Windows XP.

· Se una disinstallazione di SGN Client viene attivata tramite Active Directory, sarà necessario assicurarsi che tutti i volumi crittografati in base al volume siano già stati decrittografati.

· La compatibilità con gli strumenti di creazione e acquisizione immagini non è stata verificata e perciò non è supportata.

· Se per l'accesso viene utilizzato un token Aladdin che memorizza ID utente, password e certificato, funzioneranno correttamente soltanto i certificati a 1024 bit.

· I caratteri speciali (ad es, ä,ö,ü,…) devono essere inseriti tenendo conto della distinzione “maiuscole/minuscole” a livello di POA.

· Alcuni computer non possono essere avviati da un disco floppy dopo che sono stati avviati dal disco rigido. Questo è un limite dell’implementazione del loro BIOS è non può essere risolto da Sophos.

· I caratteri speciali dovrebbero essere utilizzati con cautela nel testo delle avvertenze legali del POA. Alcuni di questi caratteri possono non essere visualizzati correttamente.

· Prima di crittografare una partizione con una cifratura basata su volume, si consiglia di eseguire chkdsk c: /f /v /l /x per coinvolgere tutti i settori della partizione. Il firmware del disco rigido sostituirà quindi ogni settore difettoso prima che SGN provi a crittografarlo.

· Quando si utilizza SafeGuard Portable in combinazione con SGN Client, sarà necessario utilizzare l'algoritmo AES-256 per crittografare i supporti rimovibili.

· I client che utilizzano la crittografia BitLocker rileveranno i dischi rigidi USB come “Altri volumi” e non come “Rimovibili”. Non utilizzare criteri di crittografia per “Altri volumi” se non si desidera utilizzare dischi rigidi USB su client BitLocker.

· Se SGN Device Encryption e SGN Data Exchange sono stati installati su un client, non è possibile disinstallare solo Device Encryption. Si deve disinstallare l’intero pacchetto.

· Le cifrature basate su file e su volume hanno superato test relativi ad installazioni simultanee di prodotti antivirus di Sophos e dei seguenti:

AVG
AVG Anti-Virus Netzwerk Edition 8.5.386
Computer Associates
CA Anti-Virus 2009
Si prega di utilizzare la seguente chiave di registro

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\INO_FLTR\Setting]
"Controls"=dword:00000003
F-Secure
F-Secure AntiVirus 2009 (Versione 9.00 Build 149)
G-Data
G Data Antivirus 2010 (Versione 20.0.1.1)
Kaspersky
Kaspersky Internet Security 2010 (Versione 9.0.0.459)
Network Associates
McAfee VirusScan Enterprise Versione 8.7.0 i
Scanmodul-Versione (a 32 bit): 5300.2777, DAT-Version: 5381.0000
Norman
Norman Virus Control (Versione 5.99)
Symantec
Symantec Endpoint Protection 11.0 (Versione 11.0.4000)

Se si riscontrano problemi in fase di avvio, procedere come segue:

In HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\Storages\ Filesystem\RealTimeScan

Impostare il valore DWORD KStackMinFree su 0x2200.

Per ottenere una spiegazione dettagliata della chiave, fare clic sul seguente collegamento:

http://service1.symantec.com/support/ent-security.nsf/854fa02b4f5013678825731a007d06af/f5ee041a924af12d8825709d00509eb2?OpenDocument

Trend Micro
Trend Micro Internet Security 2009

· Se nel client è installato solo SGN Data Exchange e vengono importati utenti, questi ultimi non verranno importati automaticamente nel POA in seguito all'installazione di SGN Device Encryption. È necessario attivare un aggiornamento utente, ad esempio mediante l'assegnazione di una chiave alla radice directory

· Quando si disinstalla SGN Client, occorre disinstallare prima il pacchetto di configurazione client.

· Lo strumento BE_RESTORE cerca sempre di accedere a disk0. Tale disco può non essere quello rigido, ad es. se viene collegata una chiave USB o se è in funzione un disco a ram.

· Lo strumento BE_RESTORE presenta alcune limitazioni su Windows Vista / Windows PE 2.0 se il disco rigido non è stato ancora crittografato.

· Per utilizzare lo strumento BE_RESTORE con Windows PE 2.0, sono necessari almeno 512 MB di memoria.

· Non sempre uno scambio di supporto floppy viene rilevato correttamente. Provare ad accedere al floppy mentre non c’è alcun supporto nell’unità (ad es. con Explorer) per assicurarsi che lo scambio di supporto sia rilevato.

· Il sistema operativo Windows XP fino al Service Pack 2 presenta un problema su alcuni computer dove una ripresa dopo un intervallo di standby non mostra il desktop bloccato ma apre il desktop utente. Il problema si presenta anche sui computer equipaggiati con SafeGuard Enterprise. Questo problema dovrebbe essere risolto con Windows XP SP3.

· Saltuariamente, nei nostri test alcuni middleware per smartcard hanno causato problemi in seguito ai quali lo stato della sessione è stato perso inaspettatamente dopo lo sblocco del desktop. In questi casi, a seconda della progettazione del prodotto, SGN blocca nuovamente il desktop. Se si incontra questo problema, è possibile eluderlo impostando il criterio “Action if token logon status is lost” come “no action”.

· SGN Device Encryption Client termini con l'errore 5001. Ciò significa che il disco rigido è troppo frammentato per installare questo software. Il kernel SGN richiede 96 MB di spazio libero contiguo sul primo disco rigido.

· L'imposizione del criterio di cronologia delle password di SafeGuard Enterprise può essere evitata dall'utente durante l'esecuzione del cambio di password a causa dell'imposizione dell'amministratore di sistema.

· Se l'accesso con token di cifratura (Kerberos) viene configurato come un possibile metodo di accesso su un client SGN, l'accesso a questo determinato SGN Client mediante Remote Desktop non è supportato.

· Gli utenti con ID utente contenenti caratteri “con dieresi” diversi dai tasti previsti dal layout della tastiera prescelta non riescono ad accedere alla funzionePOA, ad es. in combinazione con il layout della tastiera tedesca.

· I seguenti layout di tastiera sono supportati nel modulo di autenticazione pre-avvio. "x" indica che la lingua è interamente supportata. Tutte le altre lingue verranno ripristinate all’impostazione predefinita come specificato. Fare attenzione ai caratteri speciali nelle password se gli utenti hanno una tastiera non supportata che viene ripristinata alla tastiera USA per impostazione predefinita.

ID lingua Tastiera Lingua / Commenti

====================================================================

0x0000 US Non dipendente dalla lingua

0x0400 US Lingua di elaborazione o dell’utente predef.

0x0800 US Lingua predefinita di sistema

0x0401 US Arabo (Arabia Saudita)

0x0801 US Arabo (Iraq)

0x0c01 US Arabo (Egitto)

0x1001 US Arabo (Libia)

0x1401 US Arabo (Algeria)

0x1801 US Arabo (Marocco)

0x1c01 US Arabo (Tunisia)

0x2001 US Arabo (Oman)

0x2401 US Arabo (Yemen)

0x2801 US Arabo (Siria)

0x2c01 US Arabo (Giordania)

0x3001 US Arabo (Libano)

0x3401 US Arabo (Kuwait)

0x3801 US Arabo (Emirati Arabi Uniti)

0x3c01 US Arabo (Bahrain)

0x4001 US Arabo (Qatar)

US Arabo (102) AZERTY

X 0x0402 BG Bulgaro Nessun carattere disp.

0x0403 ES Catalano

0x0404 US Cinese (Taiwan) Nessun carattere disp.

0x0804 US Cinese (RPC) Nessun carattere disp.

0x0c04 US Cinese (Hong Kong SAR, RPC) “

0x1004 US Cinese (Singapore) Nessun carattere disp.

0x1404 US Cinese (Macao SAR) (98/ME,2K/XP)

X 0x0405 cz Ceco

X 0x1402 cz_qwerty Ceco (QWERTY)

US Ceco (Programmatori)

X 0x0406 dk Danese

X 0x0407 de Tedesco (Germania)

X 0x0807 de_CH Tedesco (Svizzera)

0x0c07 de Tedesco (Austria)

0x1007 de Tedesco (Lussemburgo)

0x1407 de Tedesco (Liechtenstein)

X 0x0408 el Greco Nessun carattere disp.

X 0x0409 us Inglese (U.S.A.)

X 0x0809 gb Inglese (Regno Unito)

0x0c09 us Inglese (Australia)

0x1009 us Inglese (Canada)

0x1409 us Inglese (Nuova Zelanda)

X 0x1809 ie Inglese (Irlanda)

0x1c09 US Inglese (Sud Africa)

0x2009 US Inglese (Giamaica)

0x2409 US Inglese (Caraibi)

0x2809 US Inglese (Belize)

0x2c09 US Inglese (Trinidad)

0x3009 US Inglese (Zimbabwe) (98/ME,2K/XP)

0x3409 US Inglese (Filippine) (98/ME,2K/XP)

X 0x040a ES Spagnolo (Spagna, tradizionale)

0x080a ES Spagnolo (Messico)

0x0c0a ES Spagnolo (Spagna, moderno)

0x100a ES Spagnolo (Guatemala)

0x140a ES Spagnolo (Costa Rica)

0x180a ES Spagnolo (Panama)

0x1c0a ES Spagnolo (Repubblica Dominicana)

0x200a ES Spagnolo (Venezuela)

0x240a ES Spagnolo (Colombia)

0x280a ES Spagnolo (Perù)

0x2c0a ES Spagnolo (Argentina)

0x300a ES Spagnolo (Ecuador)

0x340a ES Spagnolo (Cile)

0x380a ES Spagnolo (Uruguay)

0x3c0a ES Spagnolo (Paraguay)

0x400a ES Spagnolo (Bolivia)

0x440a ES Spagnolo (El Salvador)

0x480a ES Spagnolo (Honduras)

0x4c0a ES Spagnolo (Nicaragua)

0x500a ES Spagnolo (Porto Rico)

X 0x040b fi Finlandese

US Finlandese (con Sami)

X 0x040c fr Francese (Francia)

X 0x080c be Francese (Belgio)

0x1080c be Belga (virgola)

X 0x0c0c ca_enhanced Francese (Canada)

US Francese (Canadese, Legacy)

US Canadese (Multilingue)

X 0x100c fr_CH Francese (Svizzera)

0x140c fr_CH Francese (Lussemburgo)

0x180c fr Francese (Monaco) (98/ME,2K/XP)

0x040d US Ebraico

X 0x040e hu Ungherese

X 0x040f is Islandese

X 0x0410 it Italiano (Italia)

0x0810 it Italiano (Svizzera)

X 0x0411 jp Giapponese

X 0x0412 ko Coreano Nessun carattere disp.

0x0812 US Coreano (Johab) (95,NT)

X 0x0413 nl Olandese (Paesi Bassi)

X 0x0813 be Olandese (Belgio)

X 0x0414 no Norvegese (Bokmal)

0x0814 no Norvegese (Nynorsk)

X 0x0415 pl Polacco Nessun carattere disp.

X 0x0416 br Portoghese (Brasile)

X 0x0816 pt Portoghese (Portogallo)

X 0x0418 ro Romeno

0x0419 US Russo

0x041a US Croato

0x081a US Serbo (alfabeto latino)

0x0c1a US Serbo (alfabeto cirillico)

0x101a US Croato (Bosnia ed Erzegovina)

0x141a US Bosniaco (Bosnia ed Erzegovina)

0x181a US Serbo (alfabeto latino, Bosnia e Erzegovina)

0x1c1a US Serbo (alfabeto cirillico, Bosnia e Erzegov)

0x041b sk Slovacco

0x041c US Albanese

X 0x041d se Svedese

0x081d se Svedese (Finlandia)

0x041e US Tailandese

X 0x041f tr Turco Nessun carattere disp.

0x0420 US Urdu (Pakistan) (98/ME,2K/XP)

0x0820 US Urdu (India)

0x0421 US Indonesiano

0x0422 uk Ucraino

0x0423 US Bielorusso

0x0424 sl Sloveno

0x0425 US Estone

0x0426 lv Lettone

0x0427 lt Lituano

0x0827 US Lituano (classico) (98)

0x0429 US Persiano (Farsi)

0x042a US Vietnamita (98/ME,NT,2K/XP)

0x042b US Armeno. Solo in formato Unicode. (2K/XP)

US Armeno orientale

US Armeno occidentale

0x042c US Azero (alfabeto latino)

0x082c US Azero (alfabeto cirillico)

0x042d US Basco

0x042f US Macedone (FYROM)

0x0430 US Sutu

0x0432 US Setswana/Tswana (Sud Africa)

0x0434 US isiXhosa/Xhosa (Sud Africa)

0x0435 US isiZulu/Zulu (Sud Africa)

0x0436 US Afrikaans

0x0437 US Georgiano. Solo in formato Unicode. (2K/XP)

0x0438 US Faeroese

0x0439 US Hindi. Solo in formato Unicode. (2K/XP)

0x043a US Maltese (Malta)

0x043b US Sami settentrionale (Norvegia)

0x083b US Sami settentrionale (Svezia)

0x0c3b US Sami settentrionale (Finlandia)

0x103b US Sami di Lule (Norvegia)

0x143b US Sami di Lule (Svezia)

0x183b US Sami meridionale (Norvegia)

0x1c3b US Sami meridionale (Svezia)

0x203b US Sami di Skolt (Finlandia)

0x243b US Sami di Inari (Finlandia)

0x043e US Malese (Malesia)

0x083e US Malese (Brunei Darussalam)

0x0440 US Kirghiso. (XP)

0x0441 US Swahili (Kenia)

0x0443 uz Uzbeco (alfabeto latino)

0x0843 US Uzbeco (alfabeto cirillico)

0x0444 US Tataro (Repubblica del Tatarstan)

0x0445 US Bengali (India)

US Bengali (Inscript)

0x0446 US Punjabi. Solo in formato Unicode. (XP)

0x0447 US Gujarati. Solo in formato Unicode. (XP)

0x0449 US Tamil. Solo in formato Unicode. (2K/XP)

0x044a US Telugu. Solo in formato Unicode. (XP)

0x044b US Kannada. Solo in formato Unicode. (XP)

0x044c US Malayalam (India)

0x044e US Marathi. Solo in formato Unicode. (2K/XP)

0x044f US Sanscrito. Solo in formato Unicode. (2K/XP)

0x0450 US Mongolo (XP)

0x0452 US Gallese (Gran Bretagna)

0x0455 US Birmano

0x0456 US Gallego (XP)

0x0457 US Konkani. Solo in formato Unicode. (2K/XP)

0x045a US Siriano. Solo in formato Unicode. (XP)

0x0465 US Divehi. Solo in formato Unicode. (XP)

US Divehi (fonetica)

US Divehi (macchina da scrivere)

0x046b US Quechua (Bolivia)

0x086b US Quechua (Ecuador)

0x0c6b US Quechua (Perù)

0x046c US Sesotho sa Leboa/Sotho settentr.(Sud Africa)

0x007f US LOCALE_INVARIANT. Vedere MAKELCID.

0x0481 US Maori (Nuova Zelanda)

5.6 SafeGuard Configuration Protection Client

I dispositivi non vengono bloccati dopo l'accesso.
I criteri utente sono applicati mediante un processo avviato nella sessione utente dopo aver eseguito l'accesso. Se l'avvio del processo viene ritardato dal sistema operativo, è possibile disporre della capacità di accedere a dispositivi bloccati o ad accesso limitato durante il ritardo. Per evitare tale comportamento, basta applicare sempre il criterio più severo sia al computer sia all'utente.
BSOD dopo l'installazione di SGN CP
Microsoft ha rilasciato un aggiornamento rapido per un problema di BSOD che può verificarsi in seguito all'installazione del pacchetto di Configuration Protection. Per ulteriori informazioni, vedere l'articolo con ID 906866 sul sito http://support.microsoft.com.
Installazione

§ Requisiti di sistema
.NET Framework 2.0

§ Installazione
Per installare SGN Configuration Protection, seguire il seguente ordine di installazione:

· SGNClient.msi

· SGN_CP_Client.msi; Non riavviare!

· SGNClientConfig.msi

§ Disinstallazione
Per disinstallare SGN Configuration Protection, seguire il seguente ordine di disinstallazione:

· SGNClientConfig.msi

· SGNClient.msi; Non riavviare!

· SGN_CP_Client.msi

Upgrade
Quando si aggiorna il modulo Configuration Protection, è necessario applicare nuovamente il criterio, per far sì che esso venga tenuto in considerazione
Vista

§ Registrare l’evento riguardante l’handle del Registro di sistema aperto
Configuration Protection Client (SimonPro.exe) conserva un handle nel Registro di sistema (con compiti antimanomissione) che provoca questo avviso sul sistema operativo Vista

§ Il criterio utente non viene caricato
Se gli utenti non devono premere Ctrl+Alt+Canc per accedere a Vista (impostazione di connessione interattiva), il criterio utente non viene caricato correttamente. In tale caso, viene utilizzato al suo posto il criterio del computer.

Tastiere USB classificate come dispositivi di accesso/chiave hardware
Certe tastiere USB sono considerate dispositivi di accesso/chiave hardware e quindi bloccate e rese indisponibili per il sistema operativo. Questo problema si presenta solo quando la tastiera è disinserita e collegata a una diversa porta USB mentre il sistema è in esecuzione. Al momento di scrivere, questo problema è causato dalle seguenti tastiere:

- Tastiera Dell RT7D60
- Tastiera Dell SK-3106
Numero massimo di dispositivi nella white list
Quando si aggiungono dispositivi alla white list perché non vengono bloccati, è consigliabile mantenere il numero di dispositivi consentiti a un livello ragionevole di gestibilità. Aggiungendo più di 1.000 dispositivi a una white list si possono compromettere le prestazioni di un computer in maniera considerevole durante la valutazione del criterio.
Importazione di una white list
Quando si importa una white list generata dall'applicazione Port Auditor, la white list risultante deve venire modificata e salvata nel SGN Management Center, prima di poter essere utilizzata in un criterio di Configuration Protection.

5.7 Web Helpdesk

Requisiti del browser web
Le pagine web aventi come host il componente SafeGuard Web Helpdesk non vengono visualizzate in maniera corretta da Internet Explorer 6. Si consiglia quindi di utilizzare come alternativa Internet Explorer Versione 7 o successiva, oppure Firefox versione 2 o successiva.
Se SafeGuard Web Helpdesk viene installato su IIS, i processi di lavoro non devono essere incrementati di un numero superiore a 1 (impostazione predefinita), altrimenti non sarà possibile completare l'autorizzazione a Web Helpdesk.

5.8 Aggiornamento di SGN 5.35 e versioni successive a SGN 5.50

· Percorso di aggiornamento per il modulo SGN ConfigurationProtection
Il modulo SGN ConfigurationProtection non può venire aggiornato direttamente a SGN 5.50, per via di limitazioni relative alla sicurezza. Per installare correttamente la nuova versione del modulo ConfigurationProtection, è necessario rimuovere innanzitutto la versione esistente.

La procedura di aggiornamento approvata è la seguente:

1. Installare il pacchetto SGxClientPreinstall.msi

2. Aggiornare SafeGuard Enterprise Client (SGNClient.msi), che comprende il modulo Configuration Protection (non riavviare il sistema!).

3. Rimuovere il client PortProtector di SafeGuard Enterprise ConfigurationProtection (SGN_CP_Client.msi)

4. Riavviare.

5. Installare il nuovo client PortProtector di SafeGuard Enterprise ConfigurationProtection (SGN_CP_Client.msi).

6. Riavviare.

5.9 SafeGuard Easy 4.x

Migrazione di SafeGuard Easy 4.30 o successiva a SafeGuard Enterprise
Per migrare da SafeGuard Easy a SafeGuard Enterprise, l'utente deve disporre di un valido account Windows. Nel caso in cui l’utente non conosca la propria password di Windows perché sta utilizzando SAL per accedere a Windows, la password deve essere reimpostata e il nuovo valore inviato all’utente. Accertarsi di aver letto la sezione corrispondente del manuale di installazione prima di procedere con l’aggiornamento.
Installazione parallela di SafeGuard Easy 4.x e SafeGuard Enterprise senza migrazione
SafeGuard Easy 4.x e SafeGuard Enterprise possono venire installate in parallelo sullo stesso computer, a patto che non sia installato il modulo Device Encryption di SGN. Poiché entrambi i prodotti installano il proprio GINA, SGN funzionerà correttamente solo se viene utilizzato il GINA specifico. Per garantire una corretta configurazione, SGE deve venire installato senza il supporto GINA (ovvero va utilizzata l'opzione GINASYS=0) prima dell'installazione di qualsiasi modulo SGN (eccetto SGN DE). Se è stato installato con l'opzione GINA abilitata, SGE dovrà essere rimosso prima dell'installazione di SGN.

5.10 SafeGuard LAN Crypt

· SafeGuard LAN Crypt 3.70 è la prima versione interamente compatibile con SafeGuard Enterprise. Se è installata una versione anteriore di SafeGuard LAN Crypt, è consigliabile aggiornare prima all'ultima versione di SafeGuard LAN Crypt.

· Se SafeGuard Enterprise 5.50 è installato contemporaneamente a SafeGuard LAN Crypt, il programma di installazione riporta un errore, indicando che il componente "Caricatore di profili SGLC" che si sta aggiornando è attualmente in uso. Questo messaggio è causato dal fatto che SafeGuard LAN Crypt e SafeGuard Enterprise condividono alcuni componenti e quindi può essere ignorato. I componenti interessati verranno aggiornati all’avvio successivo.

5.11 Token/Smartcard/Lettore di smartcard

Gemalto Classic Client (Gemalto GemXpresso (Classic TPC) V1 32k e V1 64k)
Funziona solamente con Gemalto Classic Client 5.2.0 (in arrivo). In aggiunta, è necessario attribuire alla seguente voce di registro un valore pari o superiore a 0x120:

[HKEY_LOCAL_MACHINE\SOFTWARE\Gemplus\Cryptography]
"ShmMaxLoops"=dword:00000120
Axalto Access Client (Cyberflex 64k)
Non è possibile accedere a Windows con Cyberflex Card in concomitanza con Axalto Access Client appena dopo il riavvio. I seguenti valori del Registro di sistema devono essere configurati in modo da risolvere questo problema:

[HKEY_LOCAL_MACHINE\SOFTWARE\Axalto\Access\CK]
“UseCAM”=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Axalto\Access\CSP]
“UseCAM” =dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Axalto\Access\CAM]
“Allow” =dword:00000000
Token Middleware su Windows Vista
Quando si utilizzano token middleware su Windows Vista, dopo aver disconnesso l'account può essere necessario (a seconda del produttore) rimuovere e reinserire la smart card per poter accedere nuovamente con la stessa smart card.
Cambio rapido utente di Vista dopo l'accesso tramite Token
L'utilizzo del cambio rapido utente in seguito ad un accesso effettuato con un token o una smartcard può impedire a provider di credenziali diversi da Sophos di sbloccare il desktop dell'utente. È consigliabile utilizzare il provider di credenziali Sophos o disconnettere l'utente corrente prima di passare a un account diverso.

· La disinstallazione non riesce su Windows Vista a 64 bit/Windows 7 a 64 bit, quando si utilizza ActivIdentity ActivClient per l'accesso con token
Quando si utilizza il software ActivIdentity ActivClient per accedere tramite token su Vista a 64 bit o Windows 7 a 64 bit, la disinstallazione del client SGN non riesce, e si riceve notifica che alcuni componenti non possono essere rimossi. Per eludere il problema, prima di procedere per la prima volta con la disinstallazione, il criterio deve venire modificato, in modo tale che ActivIdentity ActivClient non rappresenti più il modulo PKCS#11 in uso; deve quindi essere eseguito un riavvio. Successivamente, la disinstallazione potrà venire effettuata normalmente.

5.12 Lettore di impronte digitali

Lenovo ThinkVantage Fingerprint Software
A causa di una limitazione di UPEK ThinkVantage Fingerprint Software, l'accesso tramite impronte digitali non è supportato per i nomi utente contenenti spazi vuoti.

5.13 Problemi di interoperabilità

Empirum Security Suite Agent
Se SGN 5.50 Client Software viene installato ed eseguito in concomitanza con software di Empirum Security Suite Agent, si può verificare un arresto del sistema, con il seguente messaggio di avviso BSOD:

BSOD on system startup with stop code 0x00000044 MULTIPLE_IRP_COMPLETE_REQUESTS

Tale problema è causato da uno dei componenti di Empirum Software. Un aggiornamento correttivo per questo problema è incluso in Empirum Security Suite.
Contattare il supporto di Matrix42 per gli ultimi aggiornamenti ed informazioni relativi a questo problema.
Lenovo Rescue and Recovery
Per informazioni relative alla compatibilità delle versioni di Rescue and Recovery con SafeGuard Enterprise, consultare il seguente articolo (in inglese): http://www.sophos.com/support/knowledgebase/article/108383.html
AbsoluteSoftware Computrace
SGN Device Encryption non riesce ad effettuare l'installazione su computer in cui è installato AbsoluteSoftware Computrace con ‘track-0 based persistent agent’ attivo.

5.14 Unità disco rigido SCSI

SafeGuard Enterprise Device Encryption Client
Il client SafeGuard Easy Device Encryption non supporta sistemi aventi dischi rigidi collegati tramite bus SCSI.

6 Supporto tecnico

È possibile ricevere supporto tecnico per i prodotti Sophos in ciascuno dei seguenti modi:

Visitando il forum SophosTalk su http://community.sophos.com/ e cercando altri utenti con lo stesso problema.
Visitando la knowledge base del supporto Sophos su http://www.sophos.it/support/
Scaricando la documentazione del prodotto su http://www.sophos.it/support/docs/
Inviando un'e-mail a support@sophos.com, indicando il o i numeri di versione del software Sophos in vostro possesso, i sistemi operativi e relativi livelli di patch, ed il testo di ogni messaggio di errore..

Oberursel, 4 novembre 2010

Nessuna parte di questa pubblicazione può essere riprodotta, memorizzata in un sistema di recupero informazioni, o trasmessa, in qualsiasi forma o con qualsiasi mezzo, elettronico o meccanico, inclusi le fotocopie, la registrazione e altri mezzi, salvo che da un licenziatario autorizzato a riprodurre la documentazione in conformità con i termini della licenza, oppure previa autorizzazione scritta del titolare dei diritti d'autore.

Sophos è un marchio registrato di Sophos Plc e Sophos Group. SafeGuard è un marchio registrato di Utimaco Safeware AG - membro di Sophos Group. Tutti gli altri nomi di società e prodotti qui menzionati sono marchi o marchi registrati dei rispettivi titolari.

I diritti d’autore di tutti i prodotti SafeGuard appartengono a Utimaco Safeware AG - membro di Sophos Group, o, a seconda, ai suoi concessori di licenza. I diritti d’autore di tutti gli altri prodotti Sophos appartengono a Sophos plc., o, a seconda, ai suoi concessori di licenza.

Le informazioni di copyright relativi a fornitori terzi sono disponibili nel file Disclaimer and Copyright for 3rd Party Software.rtf presente nella directory del prodotto.

[1] Per dettagli sulla smartcard, fare riferimento alla documentazione di AET SafeSign (versioni Java Card supportate, completamenti della scheda e configurazione).

[2] Il supporto di schede A-Trust in SafeGuard Enterprise richiede che le schede vengano rilasciate da A-Trust con estensioni di accesso Kerberos Windows e installazione di middleware A-Trust.

[3] Il supporto di schede EID estoni richiede:

· Middleware standard: OpenSC PKCS#11 versione 0.8.3, e “EstEID Card CSP”.

· Software aggiuntivo di JaJa Arendus OU (http://www.jaja.ee), ovvero ““ITLogon CSP” aggiuntivo” e strumento di script per il collegamento dell'ID cittadino estone agli utenti di Active Directory.