Empfohlene Sicherheitsmaßnahmen

Best Practices für die Verschlüsselung

• Stellen Sie sicher, dass allen Laufwerken ein Laufwerksbuchstabe zugewiesen ist.

  Nur Laufwerke, die einen Laufwerksbuchstaben zugewiesen haben, können verschlüsselt/entschlüsselt werden. Folglich können Laufwerke ohne Laufwerksbuchstaben missbraucht werden, um an vertrauliche Daten im Klartext zu gelangen.

  So wenden Sie diese Bedrohung ab: Erlauben Sie den Benutzern nicht, die Laufwerkbuchstabenzuweisungen zu ändern. Konfigurieren Sie die Benutzerrechte entsprechend. Reguläre Benutzer haben dieses Recht standardmäßig nicht.

• Gehen Sie bei der Anwendung der schnellen Initialverschlüsselung vorsichtig vor.

  SafeGuard Enterprise bietet die schnelle Initialverschlüsselung zur Beschleunigung der Initialverschlüsselung von Volumes. Dies wird dadurch erreicht, dass nur auf den Speicherplatz zugegriffen wird, der tatsächlich in Gebrauch ist. Dieser Modus kann zu einem unsichereren Zustand führen, wenn ein Volume vor der Verschlüsselung mit SafeGuard Enterprise bereits in Gebrauch war. Aufgrund Ihres Aufbaus sind Solid State Disks (SSD) hier stärker betroffen als reguläre Festplatten. Dieser Modus ist standardmäßig deaktiviert. Weitere Informationen finden Sie im Sophos Knowledegebase-Artikel 113334.

• Verwenden Sie nur den Algorithmus AES-256 für die Datenverschlüsselung.
• Verwenden Sie SSL/TLS (SSL Version 3 oder höher) für den Schutz der Kommunikation zwischen Client und Server.

  Für weitere Informationen, siehe Sichern von Transportverbindungen mit SSL.

• Verhindern Sie Deinstallation.

  Um Endpoints zusätzlich zu schützen, kann die lokale Deinstallation von SafeGuard Enterprise über eine Richtlinie mit spezifischen Computereinstellungen verhindert werden. Setzen Sie das Feld Deinstallation erlaubt auf Nein und übermitteln Sie die Richtlinie an die Endpoints. Versuche, die Software zu deinstallieren, werden abgebrochen und die nicht autorisierten Versuche werden protokolliert.

  Wenn Sie eine Demoversion benutzen, setzen Sie vor Ablauf der Demoversion die Option Deinstallation erlaubt auf Ja.

  Wenden Sie den Sophos Manipulationsschutz auf Endpoints an, auf denen Sophos Endpoint Security and Control installiert ist.

Vermeiden Sie den Standbymodus.

Wenn sich SafeGuard Enterprise-geschützte Endpoints in bestimmten Energiesparmodi befinden, in denen das Betriebssystem nicht ordnungsgemäß heruntergefahren und bestimmte Hintergrundprozesse nicht beendet werden, besteht die Gefahr, dass sich Angreifer Zugriff auf die Verschlüsselungsschlüssel verschaffen. Der Schutz kann erhöht werden, wenn das Betriebssystem immer vollständig heruntergefahren oder in den Ruhezustand versetzt wird.

Informieren Sie die Benutzer entsprechend oder erwägen Sie, den Standbymodus auf nicht benutzten Endpoints zentral zu deaktivieren:

• Vermeiden Sie den Standbymodus ebenso wie den hybriden Standbymodus. Der hybride Standbymodus ist eine Mischung aus Energiesparmodus und Standbymodus. Die Einstellung einer zusätzlichen Kennwort-Abfrage nach dem Aufwecken des Computers bietet keinen vollen Schutz.

• Vermeiden Sie das Sperren von Desktops, das Ausschalten von Monitoren oder das Zuklappen von Laptops, wenn darauf kein vollständiges Herunterfahren oder der Ruhezustand folgt. Die Einstellung einer zusätzlichen Kennwort-Abfrage nach dem Aufwecken des Computers bietet keinen ausreichenden Schutz.

• Fahren Sie stattdessen die Endpoints herunter oder versetzen Sie sie in den Ruhezustand. Beim nächsten Benutzen des Computers wird stets die SafeGuard Power-on Authentication aktiviert, die somit vollen Schutz bietet.

  Anmerkung Es ist wichtig, dass sich die Ruhezustand-Datei auf einem verschlüsselten Volume befindet. Normalerweise liegt sie auf Laufwerk C:\.

  Die entsprechenden Einstellungen für die Energieverwaltung können Sie zentral mit Gruppenrichtlinienobjekten oder lokal im Eigenschaften für Energieoptionen Dialog in der Systemsteuerung des Endpoints konfigurieren. Stellen Sie die Aktion für die Standbymodus Schaltfläche auf Ruhezustand oder Herunterfahren.

Setzen Sie eine Richtlinie für sichere Kennwörter um.

Setzen Sie eine Richtlinie für sichere Kennwörter um und erzwingen Sie einen Kennwortwechsel in regelmäßigen Abständen, besonders für die Anmeldung an Endpoints.

Kennwörter sollten nicht an andere Personen weitergegeben oder aufgeschrieben werden.

Informieren Sie Benutzer, wie sie sichere Kennwörter wählen. Ein sicheres Kennwort folgt diesen Regeln:

• Es ist lange genug um sicher zu sein: Eine Mindestlänge von 10 Zeichen ist zu empfehlen.
• Es enthält eine Mischung aus Buchstaben (Groß- und Kleinschreibung), Zahlen und Sonderzeichen/Symbolen.
• Es enthält keine allgemein gebräuchlichen Wörter oder Namen.
• Es ist schwer zu erraten, aber es ist leicht, es sich zu merken und korrekt einzutippen.

Deaktivieren Sie die SafeGuard Power-on Authentication nicht.

 FDE

Die SafeGuard Power-on Authentication bietet zusätzlichen Schutz für die Anmeldung am Endpoint. Sie wird mit SafeGuard Full Disk Encryption installiert und standardmäßig aktiviert. Um vollen Schutz zu gewährleisten, deaktivieren Sie die Power-on Authentication nicht.

Schutz vor dem Einschleusen von Code

Unter Umständen ist das Einschleusen von Code (zum Beispiel DLL Pre-Loading-Angriffe) möglich, wenn es einem Angreifer gelingt, schädlichen Code (zum Beispiel in ausführbaren Dateien) in Verzeichnisse einzubringen, in denen die SafeGuard Enterprise Verschlüsselungssoftware nach legitimem Code sucht. So wenden Sie diese Bedrohung ab:

• Installieren Sie die von der Verschlüsselungssoftware geladene Middleware, zum Beispiel Token Middleware, in Verzeichnissen, auf die externe Angreifer nicht zugreifen können. Dies sind üblicherweise die Unterverzeichnisse der Windows und Programme Verzeichnisse.

• Die PATH-Umgebungsvariable sollte keine Komponenten enthalten, die auf Ordner verweisen, auf die externe Angreifer zugreifen können (siehe oben).

• Reguläre Benutzer sollten keine Administratorenrechte haben.