Spezifische Computereinstellungen - Grundeinstellungen
| Richtlinieneinstellungen | Erklärung |
|---|---|
| Die Einstellungen werden so dargestellt, wie sie im SafeGuard Enterprise Management Center angezeigt werden. | |
| Power-On Authentication (POA) | |
| Power-on Authentication aktivieren | Definiert, ob die SafeGuard POA ein- oder ausgeschaltet sein soll. Wichtig Aus Sicherheitsgründen empfehlen wir dringend, die SafeGuard POA eingeschaltet zu lassen. Durch Deaktivierung der SafeGuard POA reduziert sich die Systemsicherheit auf den Schutz durch die Windows-Anmeldung. Dadurch erhöht sich das Risiko des unberechtigten Zugriffs auf verschlüsselte Daten. |
| Zugriff verweigern, falls keine Verbindung zum Server in Tagen (0= keine Überprüfung) | Verweigert eine Anmeldung in der SafeGuard POA, wenn zwischen Endpoint und Server länger als festgelegt keine Verbindung bestand. |
| Sicheres Wake on LAN (WOL) | Mit den Sicheres Wake On LAN Einstellungen können Sie Endpoints für Software Rollouts vorbereiten. Nach dem Wirksamwerden einer solchen Richtlinie auf Endpoints werden die notwendigen Parameter (z. B. SafeGuard POA-Deaktivierung und ein Zeitabstand für Wake on LAN) direkt an die Endpoints übertragen, wo sie analysiert werden. Wichtig Wir weisen an dieser Stelle ausdrücklich darauf hin, dass auch das zeitlich begrenzte "Ausschalten" der SafeGuard POA für eine bestimmte Anzahl von Boot-Vorgängen ein Absenken des Sicherheitsniveaus bedeutet. Weitere Informationen zu sicherem Wake on LAN finden Sie in der SafeGuard Enterprise 8 Administratorhilfe. |
| Anzahl der automatischen Anmeldungen | Definiert die Anzahl der Neustarts mit ausgeschalteter SafeGuard Power-on Authentication für Wake on LAN. Diese Einstellung überschreibt temporär die Einstellung von Power-on Authentication aktivieren, bis die Anzahl der eingestellten automatischen Anmeldungen erreicht ist. Danach wird die SafeGuard Power-on Authentication wieder aktiviert. Wenn Sie die Anzahl an automatischen Anmeldungen auf zwei einstellen und Power-on Authentication aktivieren aktiv ist, startet der Endpoint zweimal ohne Authentisierung durch die SafeGuard POA. Wir empfehlen, für Wake on LAN immer drei Neustarts mehr als notwendig für Wartungsarbeiten zu erlauben, um unvorhergesehene Probleme zu umgehen. |
| Lokale Windows-Anmeldung während WOL erlauben | Bestimmt, ob lokale Anmeldungen an Windows während Wake-On-LAN erlaubt sind. |
| Beginn des Zeitfensters für externen WOL Start Ende des Zeitfensters für externen WOL Start |
Datum und Uhrzeit für den Beginn und das Ende des Wake on LAN (WOL) können ausgewählt oder eingegeben werden. Datumsformat: MM/DD/YYYY Uhrzeitformat: HH:MM Folgende Eingabekombinationen sind möglich:
Bei einem geplanten Software Rollout sollte der Sicherheitsbeauftragte den Zeitrahmen für WOL so bemessen, dass das Scheduling-Skript früh genug startet und allen Endpoints genügend Zeit zum Booten bleibt. WOLstart: Der Startpunkt für den WOL im Scheduling-Skript muss innerhalb des hier in der Richtlinie festgelegten Zeitintervalls liegen. Wenn kein Intervall definiert ist, wird WOL lokal am durch SafeGuard Enterprise geschützten Endpoint nicht aktiviert. WOLstop: Dieses Kommando wird unabhängig vom hier festgelegten Endpunkt des WOL ausgeführt. |
| Benutzer-Computer Zuordnung (UMA) | |
| SGN Gastbenutzer nicht zulassen | Anmerkung Diese Einstellung gilt nur für zentral verwaltete Endpoints. Legt fest, ob sich Gastbenutzer am Endpoint anmelden können.Anmerkung Microsoft Konten werden immer als SafeGuard Enterprise Gastbenutzer behandelt. |
| Registrieren von neuen SGN-Benutzern erlauben | Gibt an, wer einen anderen SGN-Benutzer in die SafeGuard POA und/oder UMA importieren kann (indem die durchgehende Anmeldung an das Betriebssystem deaktiviert wird). Anmerkung Bei Endpoints, auf denen das Device Encryption-Modul nicht installiert ist, muss die Einstellung Registrieren von neuen SGN-Benutzern erlauben auf Jeder gesetzt sein, wenn es auf dem Endpoint möglich sein soll, der UMA mehrere Benutzer hinzuzufügen, die Zugriff auf ihre Schlüsselringe haben sollen. Sonst können Benutzer nur im Management Center hinzugefügt werden. Diese Option ist wird nur auf zentral verwalteten Endpoints ausgewertet. Weitere Informationen finden Sie im Sophos Knowledegebase-Artikel 110659. Ist die Einstellung auf Niemand gesetzt, wird die POA nicht aktiviert. Benutzer müssen im Management Center manuell hinzugefügt werden. |
| Registrierung von SGN Windows-Benutzern aktivieren | Legt fest, ob SGN Windows-Benutzer auf dem Endpoint registriert werden können. Ein SGN Windows-Benutzer wird nicht zur SafeGuard POA hinzugefügt, verfügt jedoch über einen Schlüsselring, mit dem er auf verschlüsselte Dateien zugreifen kann wie ein SGN-Benutzer. Wenn Sie diese Einstellung wählen, werden alle Benutzer, die andernfalls SGN-Gast-Benutzer geworden wären, zu SGN Windows-Benutzern. Die Benutzer werden zur UMA hinzugefügt, sobald sie sich an Windows angemeldet haben. |
| Manuelle UMA Bereinigung für Standalone Clients aktivieren |
Anmerkung Diese Einstellung gilt nur für Standalone-Endpoints.
Legt fest, ob Benutzer SGN-Benutzer und SGN Windows-Benutzer aus der Benutzer-Computer Zuordnung entfernen dürfen. Wenn Sie hier Ja auswählen, steht der Befehl Benutzer-Computer Zuordnung im System Tray Icon Menü auf dem Endpoint zur Verfügung. Mit diesem Befehl wird eine Liste von Benutzern angezeigt, die sich bei der SafeGuard Power-on Authentication als SGN-Benutzer und bei Windows als SGN Windows-Benutzer anmelden können. Im angezeigten Dialog können Benutzer aus der Liste entfernt werden. Nach dem Entfernen von SGN-Benutzern oder SGN Windows-Benutzern, können sich diese nicht mehr an der SafeGuard Power-on Authentication oder an Windows anmelden. |
| Maximale Anzahl von SGN Windows - Benutzern bevor Benutzer automatisch gelöscht werden |
Anmerkung Diese Einstellung gilt nur für zentral verwaltete Endpoints.
Mit dieser Einstellung können Sie eine automatisch Bereinigung der SafeGuard Enterprise Windows-Benutzer auf zentral verwalteten Endpoints aktiviert. Sobald der hier gesetzte Schwellwert von einem SafeGuard Enterprise Windows-Benutzer überschritten wird, werden alle vorhandenen SafeGuard Enterprise Windows-Benutzer außer dem neuen aus der Benutzer-Computer Zuordnung entfernt. Die Standardeinstellung ist 10. |
| Anzeigeoptionen | |
| Computer-Identifikation anzeigen | Zeigt in der Titelleiste der SafeGuard POA entweder den Computernamen oder einen frei definierbaren Text an. Existiert ein Computername in den Windows-Netzwerkeinstellungen, wird dieser in der Grundeinstellung automatisch übernommen. |
| Text für Computer-Identifikation | Der Text, der in der Titelleiste der SafeGuard POA angezeigt werden soll. Ist unter Computer-Identifikation anzeigen die Option Definierter Name ausgewählt, können Sie in diesem Eingabefeld den Text eingeben. |
| Rechtliche Hinweise anzeigen | Zeigt eine Textbox mit frei konfigurierbarem Inhalt an, die vor der Anmeldung in der SafeGuard POA erscheint. In manchen Ländern ist das Erscheinen eines Textfelds mit bestimmtem Inhalt gesetzlich vorgeschrieben. Die Box muss vom Benutzer bestätigt werden, bevor das System fortfährt. Bevor Sie einen Text angeben können, muss dieser als Textelement im Richtlinien Navigationsbereich unter Texte registriert werden. |
| Text für rechtliche Hinweise | Text, der als rechtlicher Hinweis angezeigt werden soll. Sie können hier ein Textelement auswählen, das im Richtlinien Navigationsbereich unter Texte registriert wurde. |
| Zusätzliche Informationen anzeigen | Zeigt eine Textbox mit frei konfigurierbarem Inhalt an, die nach den rechtlichen Hinweisen (wenn diese aktiviert sind) erscheint. Sie können festlegen, ob die zusätzlichen Informationen angezeigt werden:
Bevor Sie einen Text angeben können, muss dieser als Textelement im Richtlinien Navigationsbereich unter Texte registriert werden. |
| Text für zusätzliche Informationen | Text, der als zusätzliche Information angezeigt werden soll. Sie können hier ein Textelement auswählen, das im Richtlinien Navigationsbereich unter Texte registriert wurde. |
| Anzeigedauer für zusätzliche Informationen | Zeitraum (in Sekunden) für die Anzeige zusätzlicher Informationen. Sie können hier die Anzahl der Sekunden eingeben, nach denen die Textbox für zusätzliche Informationen automatisch geschlossen wird. Der Benutzer kann die Textbox jederzeit durch Klicken auf OK schließen. |
| System Tray Icon aktivieren und anzeigen | Über das SafeGuard Enterprise System Tray Icon kann auf dem Endpoint einfach und schnell auf alle Benutzerfunktionen zugegriffen werden. Zusätzlich können für den Benutzer Informationen über den Status des Endpoint (neue Richtlinien erhalten usw.) über Balloon Tool Tips ausgegeben werden. Ja: System Tray Icon wird im Infobereich der Taskleiste angezeigt, der Benutzer wird über Balloon Tool Tips laufend über den Status des durch SafeGuard Enterprise geschützten Endpoint. Nein: System Tray Icon wird nicht angezeigt. Keine Statusinformationen für den Benutzer über Ballon Tool Tips. Stumm: System Tray Icon wird im Infobereich der Taskleiste angezeigt, es werden aber keine Statusinformationen für den Benutzer über Ballon Tool Tips ausgegeben. |
| Overlay-Symbole im Explorer anzeigen | Bestimmt, ob im Windows Explorer Schlüsselsymbole zur Anzeige des Verschlüsselungsstatus von Volumes, Geräten, Ordnern und Dateien angezeigt werden. |
| Virtuelle Tastatur in der POA | Bestimmt, ob im SafeGuard POA-Anmeldedialog bei Bedarf eine virtuelle Tastatur zur Eingabe des Kennworts angezeigt werden kann. |
| Installationsoptionen | |
| Deinstallation erlaubt | Bestimmt, ob die Deinstallation von SafeGuard Enterprise auf den Endpoints möglich ist. Wird Deinstallation erlaubt auf Nein gesetzt, kann SafeGuard Enterprise solange eine Richtlinie mit dieser Einstellung wirksam ist, auch mit Administratorrechten nicht deinstalliert werden. |
| Sophos Manipulationsschutz aktivieren | Aktiviert/deaktiviert die Funktion Sophos Manipulationsschutz. Wenn Sie die Deinstallation von SafeGuard Enterprise über die Richtlinieneinstellung Deinstallation erlaubt als zulässig definiert haben, können Sie diese Richtlinieneinstellung auf Ja setzen, um Deinstallationsvorgänge durch die Funktion Sophos Manipulationsschutz überprüfen zu lassen und somit ein leichtfertiges Entfernen der Software zu verhindern. Erlaubt die Funktion Sophos Manipulationsschutz die Deinstallation nicht, wird der Deinstallationsvorgang abgebrochen. Ist Sophos Manipulationsschutz aktivieren auf Nein eingestellt, werden SafeGuard Enterprise Deinstallationsvorgänge durch die Funktion Sophos Manipulationsschutz weder geprüft noch verhindert. Anmerkung Diese Einstellung gilt nur für Endpoints, auf denen Sophos Endpoint Security and Control in der Version 9.5 oder einer neueren Version installiert ist. |
| Einstellungen für Credential Providers | |
| Credential Provider Wrapping | In SafeGuard Enterprise können Sie konfigurieren, dass ein anderer Credential Provider als der Windows Credential Provider verwendet wird. Vorlagen für die unterstützten Credential Provider stehen auf www.sophos.com zum Download zur Verfügung. Eine Liste mit Vorlage für getestete Credential Provider sowie die Information zum Download erhalten Sie vom Sophos Support. Mit Hilfe der Richtlinieneinstellung Credential Provider können Sie eine Vorlage importieren und auf Endpoints anwenden. Klicken Sie auf Vorlage importieren und suchen Sie nach der Vorlagendatei. Die importierte Vorlage und deren Inhalt werden im mehrzeiligen Feld Credential Providerangezeigt und als Richtlinie eingestellt. Um eine Vorlage zu löschen, klicken Sie auf Vorlage löschen. Anmerkung Bearbeiten Sie die bereitgestellten Vorlagendateien nicht. Wenn die XML-Struktur dieser Dateien geändert wird, werden die Einstellungen unter Umständen auf dem Endpoint nicht erkannt. Dann wird unter Umständen der Standard Windows Credential Provider verwendet. Die Konfiguration erfordert in der Regel eine Projektunterstützung von Sophos Professional Services. Bitte wenden Sie sich an den Sophos Support. |
| Einstellungen für die Tokenunterstützung | |
| Token Middleware Modulname | Registriert das PKCS#11 Modul eines Token. Folgende Optionen stehen zur Verfügung:
Anmerkung Wenn Sie Nexus Personal oder Gemalto .NET Card Middleware installieren, müssen Sie den Installationspfad der Middleware auch zur PATH-Umgebungsvariable der Systemeigenschaften Ihres Computers hinzufügen. Lizenzen:
Beachten Sie, dass für die Benutzung der jeweiligen Middleware für das Standard-Betriebssystem eine Lizenzvereinbarung mit dem jeweiligen Hersteller erforderlich ist. Weitere Informationen finden Sie im Sophos Knowledegebase-Artikel 116585. Wenn Sie Siemens-Lizenzen erwerben möchten, wenden Sie sich an: Atos IT Solutions and Services GmbH Otto-Hahn-Ring 6 D-81739 München Germany |
| Dienste, auf die gewartet wird | Diese Einstellung dient zur Problembehebung mit bestimmten Token. Entsprechende Einstellungen werden gegebenenfalls von unserem Support bekannt gegeben. |