Spezifische Computereinstellungen - Grundeinstellungen

Richtlinieneinstellungen Erklärung
Power-On Authentication (POA)
Power-on Authentication aktivieren Definiert, ob die SafeGuard POA ein- oder ausgeschaltet sein soll.
Wichtig: Aus Sicherheitsgründen empfehlen wir dringend, die SafeGuard POA eingeschaltet zu lassen. Durch Deaktivierung der SafeGuard POA reduziert sich die Systemsicherheit auf den Schutz durch die Windows-Anmeldung. Dadurch erhöht sich das Risiko des unberechtigten Zugriffs auf verschlüsselte Daten.
Zugriff verweigern, falls keine Verbindung zum Server in Tagen (0= keine Überprüfung) Verweigert eine Anmeldung in der SafeGuard POA, wenn zwischen Endpoint und Server länger als festgelegt keine Verbindung bestand.
Sicheres Wake on LAN (WOL) Mit den Sicheres Wake On LAN Einstellungen können Sie Endpoints für Software Rollouts vorbereiten. Nach dem Wirksamwerden einer solchen Richtlinie auf Endpoints werden die notwendigen Parameter (z. B. SafeGuard POA-Deaktivierung und ein Zeitabstand für Wake on LAN) direkt an die Endpoints übertragen, wo sie analysiert werden.
Wichtig: Wir weisen an dieser Stelle ausdrücklich darauf hin, dass auch das zeitlich begrenzte "Ausschalten" der SafeGuard POA für eine bestimmte Anzahl von Boot-Vorgängen ein Absenken des Sicherheitsniveaus bedeutet.

Für weitere Informationen zu Wake on LAN, siehe Sicheres Wake on LAN (WOL).

Anzahl der automatischen Anmeldungen Definiert die Anzahl der Neustarts mit ausgeschalteter SafeGuard Power-on Authentication für Wake on LAN.

Diese Einstellung überschreibt temporär die Einstellung von Power-on Authentication aktivieren, bis die Anzahl der eingestellten automatischen Anmeldungen erreicht ist. Danach wird die SafeGuard Power-on Authentication wieder aktiviert.

Wenn Sie die Anzahl an automatischen Anmeldungen auf zwei einstellen und Power-on Authentication aktivieren aktiv ist, startet der Endpoint zweimal ohne Authentisierung durch die SafeGuard POA.

Wir empfehlen, für Wake on LAN immer drei Neustarts mehr als notwendig für Wartungsarbeiten zu erlauben, um unvorhergesehene Probleme zu umgehen.

Lokale Windows-Anmeldung während WOL erlauben Bestimmt, ob lokale Anmeldungen an Windows während Wake-On-LAN erlaubt sind.
Beginn des Zeitfensters für externen WOL Start

Ende des Zeitfensters für externen WOL Start

Datum und Uhrzeit für den Beginn und das Ende des Wake on LAN (WOL) können ausgewählt oder eingegeben werden.

Datumsformat: MM/DD/YYYY

Uhrzeitformat: HH:MM

Folgende Eingabekombinationen sind möglich:

  • Beginn und Ende des WOL werden festgelegt.

  • Nur das Ende des WOL wird festgelegt, der Beginn bleibt offen.

  • Keine Einträge: Es wird kein Zeitintervall für den Client festgelegt

Bei einem geplanten Software Rollout sollte der Sicherheitsbeauftragte den Zeitrahmen für WOL so bemessen, dass das Scheduling-Skript früh genug startet und allen Endpoints genügend Zeit zum Booten bleibt.

WOLstart: Der Startpunkt für den WOL im Scheduling-Skript muss innerhalb des hier in der Richtlinie festgelegten Zeitintervalls liegen. Wenn kein Intervall definiert ist, wird WOL lokal am durch SafeGuard Enterprise geschützten Endpoint nicht aktiviert. WOLstop: Dieses Kommando wird unabhängig vom hier festgelegten Endpunkt des WOL ausgeführt.

Benutzer-Computer Zuordnung (UMA)
SGN Gastbenutzer nicht zulassen
Anmerkung: Diese Einstellung gilt nur für zentral verwaltete Endpoints.
Legt fest, ob sich Gastbenutzer am Endpoint anmelden können.
Anmerkung: Microsoft Konten werden immer als SafeGuard Enterprise Gastbenutzer behandelt.
Registrieren von neuen SGN-Benutzern erlauben Gibt an, wer einen anderen SGN-Benutzer in die SafeGuard POA und/oder UMA importieren kann (indem die durchgehende Anmeldung an das Betriebssystem deaktiviert wird).
Anmerkung: Bei Endpoints, auf denen das Device Encryption-Modul nicht installiert ist, muss die Einstellung Registrieren von neuen SGN-Benutzern erlauben auf Jeder gesetzt sein, wenn es auf dem Endpoint möglich sein soll, der UMA mehrere Benutzer hinzuzufügen, die Zugriff auf ihre Schlüsselringe haben sollen. Sonst können Benutzer nur im Management Center hinzugefügt werden. Diese Option ist wird nur auf zentral verwalteten Endpoints ausgewertet. Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 110659.

Ist die Einstellung auf Niemand gesetzt, wird die POA nicht aktiviert. Benutzer müssen im Management Center manuell hinzugefügt werden.

Registrierung von SGN Windows-Benutzern aktivieren Legt fest, ob SGN Windows-Benutzer auf dem Endpoint registriert werden können. Ein SGN Windows-Benutzer wird nicht zur SafeGuard POA hinzugefügt, verfügt jedoch über einen Schlüsselring, mit dem er auf verschlüsselte Dateien zugreifen kann wie ein SGN-Benutzer. Wenn Sie diese Einstellung wählen, werden alle Benutzer, die andernfalls SGN-Gast-Benutzer geworden wären, zu SGN Windows-Benutzern. Die Benutzer werden zur UMA hinzugefügt, sobald sie sich an Windows angemeldet haben.
Manuelle UMA Bereinigung für Standalone Clients aktivieren
Anmerkung: Diese Einstellung gilt nur für Standalone-Endpoints.

Legt fest, ob Benutzer SGN-Benutzer und SGN Windows-Benutzer aus der Benutzer-Computer Zuordnung entfernen dürfen. Wenn Sie hier Ja auswählen, steht der Befehl Benutzer-Computer Zuordnung im System Tray Icon Menü auf dem Endpoint zur Verfügung. Mit diesem Befehl wird eine Liste von Benutzern angezeigt, die sich bei der SafeGuard Power-on Authentication als SGN-Benutzer und bei Windows als SGN Windows-Benutzer anmelden können. Im angezeigten Dialog können Benutzer aus der Liste entfernt werden. Nach dem Entfernen von SGN-Benutzern oder SGN Windows-Benutzern, können sich diese nicht mehr an der SafeGuard Power-on Authentication oder an Windows anmelden.

Maximale Anzahl von SGN Windows - Benutzern bevor Benutzer automatisch gelöscht werden
Anmerkung: Diese Einstellung gilt nur für zentral verwaltete Endpoints.

Mit dieser Einstellung können Sie eine automatisch Bereinigung der SafeGuard Enterprise Windows-Benutzer auf zentral verwalteten Endpoints aktiviert. Sobald der hier gesetzte Schwellwert von einem SafeGuard Enterprise Windows-Benutzer überschritten wird, werden alle vorhandenen SafeGuard Enterprise Windows-Benutzer außer dem neuen aus der Benutzer-Computer Zuordnung entfernt. Die Standardeinstellung ist 10.

Anzeigeoptionen
Computer-Identifikation anzeigen Zeigt in der Titelleiste der SafeGuard POA entweder den Computernamen oder einen frei definierbaren Text an.

Existiert ein Computername in den Windows-Netzwerkeinstellungen, wird dieser in der Grundeinstellung automatisch übernommen.

Text für Computer-Identifikation Der Text, der in der Titelleiste der SafeGuard POA angezeigt werden soll.

Ist unter Computer-Identifikation anzeigen die Option Definierter Name ausgewählt, können Sie in diesem Eingabefeld den Text eingeben.

Rechtliche Hinweise anzeigen Zeigt eine Textbox mit frei konfigurierbarem Inhalt an, die vor der Anmeldung in der SafeGuard POA erscheint. In manchen Ländern ist das Erscheinen eines Textfelds mit bestimmtem Inhalt gesetzlich vorgeschrieben.

Die Box muss vom Benutzer bestätigt werden, bevor das System fortfährt.

Bevor Sie einen Text angeben können, muss dieser als Textelement im Richtlinien Navigationsbereich unter Texte registriert werden.

Text für rechtliche Hinweise Text, der als rechtlicher Hinweis angezeigt werden soll.

Sie können hier ein Textelement auswählen, das im Richtlinien Navigationsbereich unter Texte registriert wurde.

Zusätzliche Informationen anzeigen Zeigt eine Textbox mit frei konfigurierbarem Inhalt an, die nach den rechtlichen Hinweisen (wenn diese aktiviert sind) erscheint.

Sie können festlegen, ob die zusätzlichen Informationen angezeigt werden:

  • Nie

  • Bei jedem Systemstart

  • Bei jeder Anmeldung

Bevor Sie einen Text angeben können, muss dieser als Textelement im Richtlinien Navigationsbereich unter Texte registriert werden.

Text für zusätzliche Informationen Text, der als zusätzliche Information angezeigt werden soll.

Sie können hier ein Textelement auswählen, das im Richtlinien Navigationsbereich unter Texte registriert wurde.

Anzeigedauer für zusätzliche Informationen Zeitraum (in Sekunden) für die Anzeige zusätzlicher Informationen.

Sie können hier die Anzahl der Sekunden eingeben, nach denen die Textbox für zusätzliche Informationen automatisch geschlossen wird. Der Benutzer kann die Textbox jederzeit durch Klicken auf OK schließen.

System Tray Icon aktivieren und anzeigen Über das SafeGuard Enterprise System Tray Icon kann auf dem Endpoint einfach und schnell auf alle Benutzerfunktionen zugegriffen werden. Zusätzlich können für den Benutzer Informationen über den Status des Endpoint (neue Richtlinien erhalten usw.) über Balloon Tool Tips ausgegeben werden.

Ja:

System Tray Icon wird im Infobereich der Taskleiste angezeigt, der Benutzer wird über Balloon Tool Tips laufend über den Status des durch SafeGuard Enterprise geschützten Endpoint.

Nein:

System Tray Icon wird nicht angezeigt. Keine Statusinformationen für den Benutzer über Ballon Tool Tips.

Stumm:

System Tray Icon wird im Infobereich der Taskleiste angezeigt, es werden aber keine Statusinformationen für den Benutzer über Ballon Tool Tips ausgegeben.

Overlay-Symbole im Explorer anzeigen Bestimmt, ob im Windows Explorer Schlüsselsymbole zur Anzeige des Verschlüsselungsstatus von Volumes, Geräten, Ordnern und Dateien angezeigt werden.
Virtuelle Tastatur in der POA Bestimmt, ob im SafeGuard POA-Anmeldedialog bei Bedarf eine virtuelle Tastatur zur Eingabe des Kennworts angezeigt werden kann.
Installationsoptionen
Deinstallation erlaubt Bestimmt, ob die Deinstallation von SafeGuard Enterprise auf den Endpoints möglich ist. Wird Deinstallation erlaubt auf Nein gesetzt, kann SafeGuard Enterprise solange eine Richtlinie mit dieser Einstellung wirksam ist, auch mit Administratorrechten nicht deinstalliert werden.
Sophos Manipulationsschutz aktivieren Aktiviert/deaktiviert die Funktion Sophos Manipulationsschutz. Wenn Sie die Deinstallation von SafeGuard Enterprise über die Richtlinieneinstellung Deinstallation erlaubt als zulässig definiert haben, können Sie diese Richtlinieneinstellung auf Ja setzen, um Deinstallationsvorgänge durch die Funktion Sophos Manipulationsschutz überprüfen zu lassen und somit ein leichtfertiges Entfernen der Software zu verhindern.

Erlaubt die Funktion Sophos Manipulationsschutz die Deinstallation nicht, wird der Deinstallationsvorgang abgebrochen.

Ist Sophos Manipulationsschutz aktivieren auf Nein eingestellt, werden SafeGuard Enterprise Deinstallationsvorgänge durch die Funktion Sophos Manipulationsschutz weder geprüft noch verhindert.

Anmerkung: Diese Einstellung gilt nur für Endpoints, auf denen Sophos Endpoint Security and Control in der Version 9.5 oder einer neueren Version installiert ist.
Einstellungen für Credential Providers
Credential Provider Wrapping In SafeGuard Enterprise können Sie konfigurieren, dass ein anderer Credential Provider als der Windows Credential Provider verwendet wird. Vorlagen für die unterstützten Credential Provider stehen auf Sophos.com zum Download zur Verfügung. Eine Liste mit Vorlage für getestete Credential Provider sowie die Information zum Download erhalten Sie vom Sophos Support.

Mit Hilfe der Richtlinieneinstellung Credential Provider können Sie eine Vorlage importieren und auf Endpoints anwenden. Klicken Sie auf Vorlage importieren und suchen Sie nach der Vorlagendatei. Die importierte Vorlage und deren Inhalt werden im mehrzeiligen Feld Credential Providerangezeigt und als Richtlinie eingestellt.

Um eine Vorlage zu löschen, klicken Sie auf Vorlage löschen.

Anmerkung: Bearbeiten Sie die bereitgestellten Vorlagendateien nicht. Wenn die XML-Struktur dieser Dateien geändert wird, werden die Einstellungen unter Umständen auf dem Endpoint nicht erkannt. Dann wird unter Umständen der Standard Windows Credential Provider verwendet.
Einstellungen für die Tokenunterstützung
Token Middleware Modulname Registriert das PKCS#11 Modul eines Token.

Folgende Optionen stehen zur Verfügung:

  • ActiveIdentity ActivClient
  • ActiveIdentity ActivClient (PIV)

  • AET SafeSign Identity Client

  • Aladdin eToken PKI Client

  • a.sign Client

  • ATOS CardOS API

  • Charismathics Smart Security Interface

  • Estonian ID-Card

  • Gemalto Access Client

  • Gemalto Classic Client

  • Gemalto .NET Card

  • IT Solution trustware CSP+

  • Módulo PKCS#11 TC-FNMT

  • Nexus Personal

  • RSA Authentication Client 2.x

  • RSA Smart Card Middleware 3.x

  • Siemens CardOS API

  • T-Systems NetKey 3.0

  • Unizeto proCertum

  • Benutzerdefinierte PKCS#11 Einstellungen...

  • Wenn Sie Benutzerdefinierte PKCS#11 Einstellungen... auswählen, werden die Benutzerdefinierten PKCS#11 Einstellungen aktiviert.

    Sie können dann die zu verwendenden Modulnamen eingeben:

    • PKCS#11 Modul für Windows
    • PKCS#11 Modul für die SafeGuard Power-on Authentication (POA)
Anmerkung: Wenn Sie Nexus Personal oder Gemalto .NET Card Middleware installieren, müssen Sie den Installationspfad der Middleware auch zur PATH-Umgebungsvariable der Systemeigenschaften Ihres Computers hinzufügen.
  • Standard-Installationspfad für Gemalto .NET Card: C:\Programme\ Gemalto\PKCS11 for .NET V2 smart cards
  • Standard-Installationspfad für Nexus Personal: C:\Programme\Personal\bin
Lizenzen:

Beachten Sie, dass für die Benutzung der jeweiligen Middleware für das Standard-Betriebssystem eine Lizenzvereinbarung mit dem jeweiligen Hersteller erforderlich ist. Weitere Informationen finden Sie im Sophos Knowledgebase-Artikel 116585.

Wenn Sie Siemens-Lizenzen erwerben möchten, wenden Sie sich an:

Atos IT Solutions and Services GmbH

Otto-Hahn-Ring 6

D-81739 München

Germany

Dienste, auf die gewartet wird Diese Einstellung dient zur Problembehebung mit bestimmten Token. Entsprechende Einstellungen werden gegebenenfalls von unserem Support bekannt gegeben.