Allgemeine Einstellungen

Richtlinieneinstellung Erklärung
Laden der Einstellungen
Richtlinien-Loopback Computereinstellungen wiederholen

Wird unter Richtlinien-Loopback die Option Computereinstellungen wiederholen ausgewählt und die Richtlinie kommt von einem Computer (Computereinstellungen wiederholen einer Benutzer-Richtlinie hat keine Auswirkung), wird diese Richtlinie zum Schluss nochmals ausgeführt. Dadurch werden etwaige Benutzereinstellungen wieder überschrieben und es gelten die Computereinstellungen.

Benutzer ignorieren

Wird bei einer Richtlinie (Maschinen-Richtlinie) unter Richtlinien-Loopback die Einstellung Benutzer ignorieren ausgewählt und die Richtlinie "kommt" von einer Maschine, werden nur die Computereinstellungen ausgewertet. Benutzereinstellungen werden nicht ausgewertet.

Kein Loopback

Kein Loopback ist das Standardverhalten. Benutzerrichtlinien gelten vor Maschinenrichtlinien.

Wie werden die Einstellungen "Benutzer ignorieren" und "Computereinstellungen wiederholen" ausgewertet?

Existieren aktive Richtlinienzuweisungen, werden zuerst die Maschinenrichtlinien ausgewertet und vereinigt. Ergibt diese Vereinigung der einzelnen Richtlinien beim Richtlinien-Loopback den Wert Benutzer ignorieren, so werden Richtlinien, welche für den Benutzer bestimmt gewesen wären, nicht mehr ausgewertet. Das heißt sowohl für den Benutzer wie auch für die Maschine gelten die gleichen Richtlinien.

Gilt nach der Vereinigung der einzelnen Maschinen-Richtlinien bei Richtlinien-Loopback der Wert Computereinstellungen wiederholen, werden die Benutzer-Richtlinien mit den Maschinen-Richtlinien vereinigt. Nach der Vereinigung werden die Maschinen-Richtlinien nochmals geschrieben und überschreiben gegebenenfalls Einstellungen aus Benutzer-Richtlinien. Das heißt: Ist eine Einstellung in beiden Richtlinien vorhanden, so ersetzt der Wert der Maschinen-Richtlinie den Wert der Benutzer-Richtlinie. Ergibt die Vereinigung der einzelnen Maschinen-Richtlinien "nicht konfiguriert", so gilt: Benutzereinstellungen vor Maschineneinstellungen.
Transferrate
Server-Verbindungsintervall (in Minuten) Legt den Zeitraum in Minuten fest, nach dem ein SafeGuard Enterprise Client beim SafeGuard Enterprise Server eine Anfrage nach Richtlinien (-änderungen) stellt.
Anmerkung: Um zu vermeiden, dass eine große Anzahl an Clients gleichzeitig den Server kontaktiert, findet die Kommunikation in einem Zeitraum +/- 50 % des eingestellten Intervalls statt. Beispiel: Wenn Sie "90 Minuten" einstellen, erfolgt die Kommunikation nach einem Intervall, das 45 bis 135 Minuten betragen kann.
Feedback

Sophos SafeGuard® durch das Senden von anonymen Nutzungsdaten verbessern

Sophos ist ständig bemüht, SafeGuard Enterprise zu verbessern. Aus diesem Grund senden Kunden regelmäßig anonymisierte Daten an Sophos. Diese Daten werden ausschließlich zur Verbesserung des Produkts verwendet. Die Daten können nicht zur Identifizierung von Kunden oder Geräten verwendet werden und enthalten keine vertraulichen Informationen.

Da die Daten anonymisiert übermittelt werden, ist die Datensammelfunktion standardmäßig aktiviert.

Wenn Sie diese Option auf Nein setzen, werden keine Nutzungsdaten an Sophos übermittelt.

Protokollierung
Rückmeldung nach Anzahl von Ereignissen Das Protokollsystem, implementiert als Win32 Service "SGM LogPlayer", sammelt von SafeGuard Enterprise generierte, für die zentrale Datenbank bestimmte Protokolleinträge in lokalen Protokolldateien. Diese befinden sich im LocalCache im Verzeichnis "auditing\SGMTransLog ". Diese Dateien werden an den Transportmechanismus übergeben, der sie dann über den SGN Server in die Datenbank einträgt. Die Übertragung erfolgt sobald der Transportmechanismus eine Verbindung zum Server hergestellt hat. Die Protokolldatei wird daher größer, bis eine Verbindung hergestellt werden konnte. Um die Größe einer einzelnen Protokolldatei einschränken zu können, kann man über die Richtlinie eine maximale Anzahl von Protokolleinträgen eintragen. Dann wird die Protokolldatei vom Protokollsystem nach Erreichen der eingestellten Anzahl von Einträgen in die Transportqueue des SGN Servers gestellt und eine neue Protokolldatei begonnen
Anpassung
Sprache am Client Legt fest, in welcher Sprache die Einstellungen für SafeGuard Enterprise auf dem Endpoint angezeigt werden.

Sie können neben den unterstützten Sprachen kann auch die Betriebssystem-Spracheinstellung des Endpoint auswählen.

Recovery für die Anmeldung
Recovery für die Anmeldung nach Beschädigung des Windows Local Cache aktivieren Der Windows Local Cache ist Start- und Endpunkt für den Datenaustausch zwischen Endpoint und Server. Im Windows Local Cache werden alle Schlüssel, Richtlinien, Benutzerzertifikate und Audit-Dateien abgelegt. Alle im Local Cache gespeicherten Daten haben eine Signatur und können nicht manuell geändert werden.

Standardmäßig ist der Recovery-Vorgang für die Anmeldung bei beschädigtem Local Cache deaktiviert. Er wird automatisch aus seiner Sicherungskopie wiederhergestellt. Für die Reparatur des Windows Local Cache ist also in diesem Fall kein Challenge/Response-Verfahren notwendig. Wenn der Windows Local Cache explizit über ein Challenge/Response-Verfahren repariert werden soll, wählen Sie in diesem Feld die Einstellung Ja.

Local Self Help
Local Self Help aktivieren Legt fest, ob sich Benutzer mit Local Self Help an ihrem Endpoint anmelden dürfen, wenn sie ihr Kennwort vergessen haben. Local Self Help ermöglicht Benutzern die Anmeldung durch die Beantwortung einer definierten Anzahl an zuvor festgelegten Fragen in der SafeGuard Power-on Authentication. Sie erhalten somit auch dann Zugriff zu ihrem Computer, wenn weder eine Internet- noch eine Telefonverbindung zur Verfügung stehen.
Anmerkung: Für die Benutzung von Local Self Help ist es notwendig, dass die automatische Anmeldung an Windows aktiviert ist. Andernfalls funktioniert die Anmeldung über Local Self Help nicht.
Minimale Länge der Antwort Definiert die Mindestlänge in Zeichen für die Local Self Help Antworten.
Willkommenstext unter Windows Hier können Sie einen individuellen Informationstext angeben, der beim Starten des Local Self Help Assistenten auf dem Endpoint im ersten Dialog angezeigt werden soll. Damit Sie den Text hier angeben können, muss dieser zunächst im Richtlinien-Navigationsbereich unter Texte angelegt werden.
Benutzer dürfen eigene Fragen festlegen Die für Local Self Help zu beantwortenden Fragen können Sie als zuständiger Sicherheitsbeauftragter zentral vordefinieren und per Richtlinie an den Endpoint übertragen. Sie können die Benutzer jedoch auch per Richtlinie berechtigen, selbst Fragen zu definieren. Um die Benutzer zur Definition eigener Fragen zu berechtigen, wählen Sie in diesem Feld die Einstellung Ja.
Challenge / Response (C/R)
Recovery für die Anmeldung über C/R aktivieren Legt fest, ob ein Benutzer in der SafeGuard Power-on Authentication (POA) eine Challenge erzeugen darf, um über ein Challenge/Response-Verfahren wieder Zugang zu seinem Computer zu erhalten.

Ja: Benutzer darf Challenge erzeugen. In diesem Fall kann der Benutzer über ein Challenge/Response-Verfahren in Notfällen wieder Zugang zu seinem Computer erlangen.

Nein: Benutzer darf keine Challenge erzeugen. In diesem Fall kann der Benutzer im Notfall kein Challenge/Response-Verfahren starten, um wieder Zugang zu seinem Computer zu erlangen.

Automatische Anmeldung an Windows erlauben Erlaubt dem Benutzer nach einer Authentisierung per Challenge/Response die automatische Anmeldung an Windows.

Ja: Benutzer wird automatisch an Windows angemeldet.

Nein: Windows-Anmeldebildschirm erscheint.

Beispiel: Ein Benutzer hat sein Kennwort vergessen. SafeGuard Enterprise meldet ihn nach Austausch von Challenge und Response ohne SafeGuard Enterprise Kennwort am Endpoint an. In diesem Fall wird die automatische Anmeldung an Windows ausgeschaltet und der Windows-Anmeldebildschirm erscheint. Da der Benutzer sein SafeGuard Enterprise (= Windows-Kennwort) nicht weiß, kann er sich nicht anmelden. Mit Ja wird eine automatische Anmeldung erlaubt und der Benutzer bleibt nicht im Windows-Anmeldebildschirm stecken.

Informationstext Zeigt nach dem Starten eines Challenge/Response-Vorgangs in der SafeGuard POA einen Informationstext. Zum Beispiel: “Bitte rufen Sie Ihren Support unter der Telefonnummer 01234-56789 an.”).

Bevor Sie einen Text angeben können, muss dieser als Textdatei im Richtlinien Navigationsbereich unter Texte erstellt werden.

Bilder
  Voraussetzung:

Neue Bilder müssen im SafeGuard Management Center im Richtlinien-Navigationsbereich unter Bilder registriert werden. Erst nach der Registrierung ist die Liste verfügbar. Unterstütztes Format: .BMP, PNG, JPEG.

Hintergrundbild in der POA

Hintergrundbild in der POA (niedrige Auflösung)

Ersetzt das blaue SafeGuard Enterprise Hintergrundbild durch ein individuelles Hintergrundbild. Kunden können hier z. B. das Firmenlogo in der SafeGuard POA verwenden. Maximale Dateigröße für alle Hintergrundbilder: 500 KB

Normal:

  • Auflösung: 1024x768 (VESA-Modus)

  • Farben: unbegrenzt

Niedrig:

  • Auflösung: 640 x 480 (VGA-Modus)

  • Farben: 16 Farben

Anmeldebild in der POA

Anmeldebild in der POA (niedrige Auflösung)

Ersetzt das während der SafeGuard POA-Anmeldung angezeigte SafeGuard Enterprise Bild durch ein individuelles Bild, z. B. das Firmenlogo.

Normal:

  • Auflösung: 413 x 140 Pixel

  • Farben: unbegrenzt

Niedrig:

  • Auflösung: 413 x 140 Pixel

  • Farben: 16 Farben

Dateiverschlüsselung
Vertrauenswürdige Anwendungen Für die dateibasierende Verschlüsselung durch File Encryption und SafeGuard Data Exchange können Sie vertrauenswürdige Anwendungen angeben, die auf verschlüsselte Dateien zugreifen können. Dies ist zum Beispiel notwendig, damit Antivirus-Software verschlüsselte Dateien überprüfen kann.

Geben Sie die Anwendungen, die Sie als vertrauenswürdig definieren möchten, in das Editor-Listenfeld des Felds ein. Anwendungen müssen als Fully Qualified Paths eingegeben werden.

Ignorierte Anwendungen Für die dateibasierende Verschlüsselung durch File Encryption und SafeGuard Data Exchange können Sie ignorierte Anwendungen angeben, um Sie von der transparenten Dateiverschlüsselung/Dateientschlüsselung auszuschließen. Wenn Sie zum Beispiel ein Backup-Programm als ignorierte Anwendung definieren, bleiben die vom Programm gesicherten verschlüsselten Daten verschlüsselt.

Geben Sie die Anwendungen, die Sie als ignoriert definieren möchten, in das Editor-Listenfeld des Felds ein. Anwendungen müssen als Fully Qualified Paths eingegeben werden.

Ignorierte Geräte Für die dateibasierende Verschlüsselung durch File Encryption und SafeGuard Data Exchange können Sie ganze Geräte (zum Beispiel Festplatten) von der dateibasierende Verschlüsselung ausnehmen.

Wählen Sie im Editor-Listenfeld Netzwerk aus, um ein vordefiniertes Gerät auszuwählen, oder geben Sie die erforderlichen Gerätenamen ein, um bestimmte Geräte von der Verschlüsselung auszuschließen.

Persistente Verschlüsselung aktivieren Für die dateibasierende Verschlüsselung durch File Encryption und SafeGuard Data Exchange können Sie die persistente Verschlüsselung konfigurieren. Mit persistenter Verschlüsselung bleiben Kopien von verschlüsselten Dateien auch dann verschlüsselt, wenn sie an einem Speicherort abgelegt werden, für den keine Verschlüsselungsregel gilt.

Diese Einstellung ist standardmäßig aktiviert.

Benutzer darf Standardschlüssel festlegen Für die dateibasierende Verschlüsselung durch Cloud Storage können Sie festlegen, ob der Benutzer eine Standardschlüssel festlegen darf oder nicht. Wenn der Benutzer dies darf, steht der Befehl Standardschlüssel festlegen im Windows Explorer Kontextmenü der Cloud Storage Synchronisierungsordner zur Verfügung. Mit diesem Befehl können Benutzer separate Standardschlüssel angeben, die für die Verschlüsselung von unterschiedlichen Synchronisierungsordnern verwendet werden soll.
Einstellungen für das Email Add-In
Email Add-In aktivieren

SafeGuard Enterprise beinhaltet ein Add-In für Microsoft Outlook, das Ihnen das Verschlüsseln von Mailanhängen erleichtert.

Wenn Sie diese Option auf Ja setzen, werden Benutzer jedes Mal, wenn sie ein E-Mail mit Anhang versenden, gefragt, wie die Anhänge behandelt werden sollen.

Zusätzlich können Sie Listen mit Domänen anlegen und definieren, wie Anhänge behandelt werden, die an diese bestimmten Domänen versendet werden.

Verhalten bei Domänen auf Whitelists
Verschlüsselungsmethode für Domains auf Whitelists

Wählen Sie aus, wie mit Anhängen verfahren werden soll:

Verschlüsselt: Alle Anhänge in E-Mails an die bestimmten Domänen werden verschlüsselt. Benutzer werden nicht gefragt.

Keine Verschlüsselung: Anhänge in E-Mails an die bestimmten Domänen werden nicht verschlüsselt. Benutzer werden nicht gefragt.

Unverändert: Verschlüsselte Dateien werden verschlüsselt gesendet; unverschlüsselte Dateien werden unverschlüsselt gesendet. Benutzer werden nicht gefragt.

Immer fragen: Benutzer werden jedes Mal gefragt, wie die Anhänge behandelt werden sollen.

Domänen-Whitelist

Geben Sie eine oder mehrere Domänen ein, für die die Verschlüsselungsmethode gelten soll. Verwenden Sie bei mehreren Domänen ein Komma als Trennzeichen. Platzhalter und teilweise definierte Domänen werden nicht unterstützt.