Problem mit Sophos Disk Encryption bei der Verwaltung über Sophos Enterprise Console – es kann sein, dass der Authentifizierungsschritt bei der Reaktivierung eines Laptops aus dem Ruhezustand ausgelassen wird

  • Artikel-ID: 121066
  • Aktualisiert: 27 Jun 2014

Problem

Wie vor kurzem festgestellt, kann es bei Kunden, die die über Sophos Enterprise Console (SEC) verwaltete Sophos Disk Encryption (SDE) nutzen, in seltenen Fällen vorkommen, dass bei der Reaktivierung eines Laptops aus dem Ruhezustand ein unmittelbarer Zugriff auf den Desktop möglich ist, ohne dass sich der Benutzer mit seinen Benutzerdaten authentifizieren muss.

Kunden, die die von Sophos und der Branche empfohlenen Best-Practices befolgen, sind von diesem Problem nicht betroffen. Sophos und andere Branchenexperten raten Kunden, den Ruhezustand nicht aktiviert zu lassen, da Festplatten bei einem Verlust verschiedenen Angriffsrisiken ausgesetzt sind. Das Problem tritt nicht bei Systemen auf, wo eine Pre-Boot-Authentifizierung aktiviert und der Ruhezustand deaktiviert ist.

Da wir jedoch wissen, dass viele Kunden nach wie vor den Ruhezustand aktivieren, hat Sophos einen Fix implementiert, damit das Windows-Betriebssystem bei der Reaktivierung aus dem Ruhestand jedes Mal standardmäßig die Authentifizierung erzwingt.

Festgestellt in Version

Sophos Disk Encryption 5.61.0
Enterprise Console 5.1.0

Betriebssysteme
Windows XP,
Windows Vista,
Windows 7

Vorgehensweise

Kunden, die eine über SEC verwaltete Verschlüsselung nutzen, wird empfohlen, ein Upgrade auf die aktuelle SEC Version 5.2.2 vorzunehmen. Wenn Sie eine der unten genannten SEC-Versionen verwenden und keine verschlüsselten Endpoints verwalten, oder wenn Sie die vorstehenden empfohlenen Best-Practices befolgen, sind Sie von diesem Problem nicht betroffen. Bei allen SEC-Versionen mit Verschlüsselungsfunktion ist ein Upgrade auf SEC-Version 5.2.2 möglich:

  • 5.1
  • 5.2
  • 5.2.1
  • 5.2.1 R2

Das Update sorgt dafür, dass das Windows-Betriebssystem bei der Reaktivierung aus dem Ruhestand jedes Mal standardmäßig die Authentifizierung erzwingt. Zu diesem Zweck werden auf jedem Client die entsprechenden Änderungen in der Registry vorgenommen. Kunden, die ein anderes Reaktivierungsverhalten vorziehen, können Einstellungen für Gruppenrichtlinienobjekte (GPO) für ihre Clients definieren und durchsetzen, die dann Vorrang haben.

 
Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.

Artikel bewerten

Ungenügend Hervorragend

Anmerkungen