SafeGuard Enterprise Komponenten
Eine Microsoft SQL Datenbank speichert Informationen über die Endpoints im Firmennetzwerk. Der Haupt-Sicherheitsbeauftragte oder Master Security Officer (MSO) nutzt das SafeGuard Management Center, um die Datenbankinhalte zu steuern und neue Sicherheitsrichtlinien (Policies) zu erstellen.
Die Endpoints der Benutzer lesen die Richtlinien aus der Datenbank und berichten an die Datenbank. Die Kommunikation zwischen Datenbank und Endpoints übernimmt dabei ein Internet Information Services (IIS) basierter Webserver, auf dem der SafeGuard Enterprise Server eingerichtet ist.
SafeGuard Enterprise Web Helpdesk ist eine optionale Komponente, die eine web-basierte Recovery-Lösung für verwaltete Clients.
SafeGuard Enterprise besteht aus drei Hauptmodulen:
- Backend
- Software für Windows Endpoints
- Software für macOS Endpoints
Jedes Modul enthält mehrere Komponenten.
|
SafeGuard Enterprise Backend Das Backend enthält die Richtlinien für die Verwaltung der SafeGuard Enterprise Endpoints. Es besteht aus: |
|
|
|
SafeGuard Enterprise Server: Er wird von einem Internet Information Services (IIS) basierten Webserver betrieben und verwaltet die Kommunikation zwischen Datenbank und Endpoints. Installationspaket: SGNServer.msi. SafeGuard Enterprise Server läuft als Anwendung auf einem Microsoft Internet Information Services (IIS) basierten Webserver und ermöglicht die Kommunikation zwischen SafeGuard Enterprise Datenbank und SafeGuard Enterprise Endpoints. Der SafeGuard Enterprise Server sendet auf Anfrage SafeGuard Enterprise Richtlinieneinstellungen an die Endpoints. Dafür sind .NET Framework 4.5 und ASP.NET 4.5 erforderlich.Bei SSL als Transportverschlüsselungsmethode für die Client-Server-Kommunikation muss die Rolle Basic Authentication installiert werden. Er enthält zwei Unterkomponenten: |
|
Web Helpdesk (optional)
Web Heldesk ist eine web-basierte Recovery-Lösung für verwaltete Clients. Web Helpdesk unterstützt Benutzer, die sich an ihrem Computer nicht mehr anmelden oder nicht auf mit SafeGuard Enterprise verschlüsselte Daten zugreifen können, siehe Web Helpdesk. |
|
|
Server Taskplaner
Das SafeGuard Management Center bietet den Taskplaner für das Erstellen und Planen von auf Skripten basierenden Tasks, die in regelmäßigen Abständen ausgeführt werden, z. B. zum Synchronisieren von Active Directory und SafeGuard Enterprise Management Center. Auf dem SafeGuard Enterprise Server startet ein Service die Tasks automatisch zur Ausführung der angegebenen Skripte. |
|
|
|
SafeGuard Management Center Der Haupt-Sicherheitsbeauftragte oder Master Security Officer (MSO) nutzt das SafeGuard Management Center, um die Datenbankinhalte zu steuern und neue Sicherheitsrichtlinien (Policies) zu erstellen. Zentrales Management-Werkzeug für durch SafeGuard Enterprise geschützte Endpoints zur Verwaltung von Schlüsseln und Zertifikaten, Benutzern und Computern, sowie zur Erstellung von SafeGuard Enterprise Richtlinien. Das SafeGuard Management Center kommuniziert mit der SafeGuard Enterprise Datenbank. .NET Framework 4.5 ist erforderlich. Installationspaket: SGNManagementCenter.msi |
|
Multi Tenancy Modus
Das SafeGuard Management Center Installationspaket kann auch im Multi Tenancy Modus installiert werden. Im Falle einer datenbankspezifischen Konfigurationen (Multi Tenancy) ermöglicht das SafeGuard Management Center den Einsatz von SafeGuard Enterprise mit mehreren Datenbanken. Sie können verschiedene SafeGuard Enterprise Datenbanken für unterschiedliche Bereiche (z. B. Unternehmensstandorte, Organisationseinheiten oder Domänen) einrichten und verwalten. Sie müssen pro Datenbank jeweils eine separate SafeGuard Enterprise Server Instanz einrichten. Jede Datenbank muss dieselbe Version aufweisen. Es ist beispielsweise nicht möglich, SGN 7 Datenbanken und SGN 8.3 Datenbanken mit einem SGN 8.3 Management Center zu verwalten. |
|
|
|
SafeGuard Enterprise Datenbank Die SafeGuard Enterprise Datenbank(en) enthält/enthalten alle relevanten Daten wie Schlüssel/Zertifikate, Informationen zu Benutzern und Computern, Ereignisse und die Richtlinieneinstellungen. Zugriff auf die Datenbank benötigt der SafeGuard Enterprise Server und ein einziger Sicherheitsbeauftragter des SafeGuard Management Centers, meist der Haupt-Sicherheitsbeauftragte (MSO). Die Erzeugung und Konfiguration der SafeGuard Enterprise Datenbank(en) kann über einen Assistenten oder über Skripte erfolgen. Sie können die Datenbank während der initialen Konfiguration des SafeGuard Management Center mit einem Assistenten oder über ein Skript erzeugen und die Verbindung zwischen SafeGuard Management Center, Datenbank und SafeGuard Enterprise Server manuell herstellen. |
BKD
Srv-
Microsoft Active Directory Services (optional):
Sie können die Organisationsstruktur Ihres Unternehmens mit Benutzern und Computern aus Active Directory importieren.
|
Windows Endpoints SafeGuard Enterprise beinhaltet Installationspakete für Festplattenverschlüsselung und für Dateiverschlüsselung. Abhängig von Ihren Anforderungen können Sie aus unterschiedlichen Dateiverschlüsselungs-Paketen wählen. Sie müssen sich entscheiden, ob Sie alle Dateien auf dem Computer, die mit bestimmten Anwendungen gespeichert werden (anwendungsbasiert), oder nur Dateien an bestimmten Speicherorten (pfadbasiert) verschlüsseln wollen. Sie können nicht Synchronized Encryption (anwendungsbasiert) zusammen mit einem der pfadbasierten Dateiverschlüsselungs-Pakete (CS, FE, DX) auf einem Computer installieren. Durch SafeGuard Enterprise geschützte Endpoints können entweder mit einem SafeGuard Enterprise Server verbunden sein (zentral verwaltet) oder ohne Verbindung zu einem SafeGuard Enterprise Server betrieben werden (Standalone). Zentral verwaltete Endpoints erhalten ihre Richtlinien direkt vom SafeGuard Enterprise Server. Standalone-Endpoints erhalten ihre Richtlinien und Richtlinien-Updates in Konfigurationspaketen, die auf den Computern installiert werden müssen. |
|
|
|
Client Base Module Das Client Base Module enthält die erforderlichen Kerndienste und Authentisierungsmodule. |
|
|
BitLocker (Windows Native Device Encryption) Ermöglicht die Verwaltung von BitLocker auf Endpoints mit Windows 8.1 und Windows 10. |
|
|
Synchronized Encryption Verschlüsselt Dateien unabhängig von ihrem Speicherort. (anwendungsbasiert) Sie können eine Liste von Anwendungen definieren, deren Dateien beim Speichern automatisch verschlüsselt werden. |
|
|
Cloud Storage Pfadbasierte Dateiverschlüsselung für in der Cloud gespeicherte Daten |
|
|
File Encryption Pfadbasierte Dateiverschlüsselung auf lokalen Festplatten und im Netzwerk, speziell für Arbeitsgruppen auf Netzwerkfreigaben |
|
|
Data Exchange Ermöglicht pfadbasierte Dateiverschlüsselung von Daten auf Wechselmedien und den sicheren Austausch dieser Daten mit anderen Windows Benutzern. |
WinClient
CBM|
macOS Endpoints SafeGuard Enterprise beinhaltet Installationspakete für die Verwaltung der FileVault 2 Festplattenverschlüsselung und für Dateiverschlüsselung. Wenn Sie Dateien verschlüsseln und mit Windows Endpoints austauschen möchten, müssen Sie SafeGuard File Encryption für macOS verwenden. |
|
|
|
FileVault 2 (SafeGuard Native Device Encryption für Mac) Ermöglicht die Verwaltung von FileVault 2 auf Macs. |
|
|
SafeGuard File Encryption Ermöglicht eine dateibasierte Verschlüsselung auf lokalen Laufwerken, auf Netzlaufwerken, auf Wechsellaufwerken und in der Cloud. Mit SafeGuard File Encryption für Mac können Sie Dateien sicher ver- und entschlüsseln und diese Dateien mit anderen Benutzern zwischen Mac-Rechnern und PCs austauschen. Um Dateien zu lesen, die mit SafeGuard Enterprise auf mobilen Geräten verschlüsselt wurden, verwenden Sie Sophos Secure Workspace für iOS oder Android. |
macClient
FV2Empfehlungen für den Praxisbetrieb
Um einen hochperformanten Betrieb zu gewährleisten, sollten Sie beim Positionieren der Komponenten im Netzwerk Folgendes beachten:
- Das SafeGuard Enterprise Management Center sollte so nah wie möglich an der SQL-Datenbank positioniert sein.
- Gleiches gilt für den SafeGuard Enterprise Server.
- Beide Komponenten sollten auf einen Domänencontroller am selben Netzwerkstandort zugreifen können, um eine schnelle Synchronisation zwischen Active Directory und SafeGuard Enterprise zu gewährleisten.