Recovery-Aktionen für Sophos SafeGuard Clients (standalone)

Für einen Standalone-Endpoint kann in den folgenden Situationen ein Challenge/Response-Verfahren gestartet werden:

Für einen Standalone-Endpoint steht kein Benutzerschlüssel in der Datenbank zur Verfügung. Somit ist in einem Challenge/Response-Verfahren nur die Recovery-Aktion SGN Client ohne Benutzeranmeldung booten möglich.

Das Challenge/Response-Verfahren ermöglicht das Booten des Computers durch die SafeGuard Power-on Authentication. Der Benutzer kann sich dann an Windows anmelden.

Mögliche Recovery-Anwendungsfälle:

Der Benutzer hat das Kennwort auf SafeGuard POA-Ebene zu oft falsch eingegeben und der Computer wurde gesperrt. Der Benutzer weiß jedoch das Kennwort.

Der Computer ist gesperrt und der Benutzer wird dazu aufgefordert, ein Challenge/Response-Verfahren zu starten, um wieder Zugriff auf den Computer zu erhalten. Da der Benutzer das Kennwort noch weiß, muss es nicht zurückgesetzt werden. Das Challenge/Response-Verfahren ermöglicht das Booten des Computers durch die SafeGuard Power-on Authentication. Der Benutzer kann dann das korrekte Kennwort auf Windows-Ebene eingeben und den Computer wieder benutzen.

Der Benutzer hat das Kennwort vergessen

Anmerkung: Wir empfehlen, Local Self Help einzusetzen, um ein vergessenes Kennwort wiederherzustellen. Mit Local Self Help können Benutzer sich das aktuelle Benutzerkennwort anzeigen lassen und es weiterhin zur Anmeldung verwenden. Dadurch wird ein Rücksetzen des Kennworts vermieden. Außerdem muss der Helpdesk nicht um Hilfe gebeten werden.

Wenn das Kennwort über ein Challenge/Response-Verfahren wiederhergestellt wird, muss das Kennwort zurückgesetzt werden.

  1. Das Challenge/Response-Verfahren ermöglicht das Booten des Computers durch die SafeGuard Power-on Authentication.

  2. Da Ihnen das Kennwort nicht bekannt ist, können der Benutzer es im Windows-Dialog nicht eingeben. Das Kennwort muss auf Windows-Ebene zurückgesetzt werden. Hierzu sind weitere Recovery-Vorgänge außerhalb von SafeGuard Enterprise erforderlich, die über Windows-Standard-Verfahren durchgeführt werden müssen.

    Anmerkung: Wir empfehlen, das Kennwort vor dem Challenge/Response-Verfahren nicht zentral im Active Directory zurückzusetzen. Dadurch wird gewährleistet, dass das Kennwort zwischen Windows und SafeGuard Enterprise synchron bleibt. Stellen Sie sicher, dass der Windows-Helpdesk entsprechend informiert ist.

    Wir empfehlen, die folgenden Methoden für das Zurücksetzen des Kennworts auf Windows-Ebene:

    • Über ein Service-Benutzerkonto oder ein Administratorkonto mit den erforderlichen Windows-Rechten auf dem Endpoint

    • Über eine Windows-Kennwortrücksetz-Diskette auf dem Endpoint

      Als Helpdesk-Beauftragter können Sie den Benutzer darüber informieren, welche Methode benutzt werden soll, und ihm die zusätzlichen Windows-Anmeldeinformationen oder die erforderliche Diskette zur Verfügung stellen.

  3. Der Benutzer gibt das neue Kennwort ein, dass der Helpdesk auf Windows-Ebene zurückgesetzt hat. Unmittelbar muss der Benutzer das Kennwort in ein nur ihm bekanntes Kennwort ändern. Basierend auf dem neu gewählten Windows-Kennwort wird ein neues Benutzerzertifikat erzeugt. Dies ermöglicht es dem Benutzer, sich mit dem neuen Kennwort wieder an seinem Computer und an der SafeGuard Power-on Authentication anzumelden.

    Anmerkung: Schlüssel für SafeGuard Data Exchange: Wenn ein Kennwort zurückgesetzt und ein neues Zertifikat erstellt wird, können die zuvor für SafeGuard Data Exchange erzeugten lokalen Schlüssel noch verwendet werden, wenn der Endpoint Mitglied einer Domäne ist. Wenn der Endpoint Mitglied einer Arbeitsgruppe ist, muss dem Benutzer die SafeGuard Data Exchange Passphrase bekannt sein, damit diese lokalen Schlüssel reaktiviert werden können.

Der Local Cache muss repariert werden.

Im Local Cache werden alle Schlüssel, Richtlinien, Benutzerzertifikate und Audit-Dateien gespeichert. Standardmäßig ist Recovery für die Anmeldung bei einem beschädigten Local Cache deaktiviert, d. h. der Local Cache wird automatisch aus seiner Sicherungskopie wiederhergestellt. In diesem Fall ist für das Reparieren des Local Cache kein Challenge/Response-Verfahren erforderlich. Soll der Local Cache jedoch explizit mit einem Challenge/Response-Verfahren repariert werden, so lässt sich Recovery für die Anmeldung über eine Richtlinie aktivieren. In diesem Fall wird der Benutzer bei einem beschädigten Local Cache automatisch dazu aufgefordert, ein Challenge/Response-Verfahren zu starten.