SafeGuard Enterprise 5.60.1 Versionsinfo

  • Artikel-ID: 113793
  • Aktualisiert: 23 Aug 2011

SafeGuard Enterprise 5.60.1 Versionsinfo

Betrifft die folgenden Sophos Produkte/Versionen:

SafeGuard Management Center 5.60.1
SafeGuard Enterprise Server 5.60.1
SafeGuard Device Encryption 5.60.1
SafeGuard Data Exchange 5.60.1

Voraussetzungen

Unterstützte Plattformen x86
32 Bit
x86
64 Bit
IA-64 (Itanium)
64 Bit
Empfehlung
für verfügbaren Speicherplatz
Minimum
RAM
SafeGuard Enterprise - Client
Windows 7, SP1 Enterprise/Ultimate/Professional

Ja

Ja

  300 MB* 1 GB***
Windows Vista SP1, SP2 Enterprise/Ultimate/Business

Ja

Ja**

 
Windows XP Professional SP2, SP3

Ja

 

 
SafeGuard Enterprise - Management-Konsole
Windows 7, SP1 Enterprise/Ultimate/Professional

Ja

Ja

 

1 GB 1 GB***
Windows Vista SP1, SP2 Enterprise/Ultimate/Business

Ja

 Ja

 
Windows XP Professional SP2, SP3

Ja


 
Windows Server 2008 SP1, SP2

Ja

Ja

  1 GB

1 GB***

Windows Server 2008 R2, SP1  

Ja

 
Windows Server 2003 SP1, SP2

Ja

Ja

 
Windows Server 2003 R2 SP1, SP2

Ja

Ja

 
Windows Small Business Server 2003, 2008, 2011

 



SafeGuard Enterprise - Server
Windows Server 2008 SP1, SP2

Ja

Ja

  1 GB

1 GB***

Windows Server 2008 R2, SP1  

Ja

 
Windows Server 2003 SP1, SP2

Ja

Ja

 
Windows Server 2003 R2 SP1, SP2

Ja

Ja

 
Windows Small Business Server 2003, 2008, 2011


* Für die Installation sind mindestens 300 MB freier Festplattenspeicherplatz erforderlich. Für Device Encryption müssen mindestens 100 MB des freien Festplattenspeicherplatzes einen zusammenhängenden Bereich bilden. Wenn Ihnen weniger als 5 GB Festplattenspeicherplatz zur Verfügung stehen und Ihr Betriebssystem nicht neu installiert ist, führen Sie bitte eine Defragmentierung durch. Dadurch erhöhen Sie die Chancen, dass der benötigte zusammenhängende Bereich verfügbar ist. Andernfalls schlägt die Installation fehl, da nicht genügend zusammenhängender Speicherplatz vorhanden ist. In diesem Fall kann die Installation nicht unterstützt werden.

** Für das Configuration Protection Modul wird Windows Vista (64 Bit) nicht unterstützt.

*** Dieser Speicherplatz wird für den PC empfohlen. SafeGuard Enterprise nutzt nicht den gesamten angegebenen Speicherplatz. 

 

Erforderliche Software:

Client:
Internet Explorer Version 6.0 oder höher
.NET Framework 2.0 (nur Configuration Protection)

Server/Management-Konsole:
.NET Framework 3.0 SP1
Internet Explorer Version 6.0 oder höher (Version 7 oder höher wird für SafeGuard Web Help Desk empfohlen.)

 

Gelöste Probleme (von Version 5.60.0 zu 5.60.1)

-    DEF73321 Aladdin eToken mit Java Applet 1.1.25 funktionierte in der POA nicht.

-    DEF72406 Gelegentlich schlug der Installationsvorgang mit dem Fehler 5001, "Nicht genügend zusammenhängender Speicherplatz gefudnen..." fehl, obwohl auf den relevanten Computern ausreichend Speicherplatz verfügbar war.

-    DEF72137 Bei Computern, bei denen die Windows Systemrichtlinie DontDisplayLockedUserId auf 3 eingestellt ist (= Informationen zu gesperrtem Benutzer nicht anzeigen), führte das Entsperren des Computers mit STRG+ALT+ENTF zu einem fehlgeschlagenen Anmeldeversuch, bevor der Benutzer sich anmelden konnte.

-    DEF71474 Das Skript für das Löschen von Ereignissen funktionierte nach einer Aktualisierung auf Version 5.60 nicht mehr.

-    DEF71060 Bei bestimmten Lenovo-Computern (z. B. Edge-Reihe und L-Reihe) wurde der erste Tastenanschlag in der POA-Anmeldung ignoriert.

-    DEF70823 Gelegentlich schlug der Start der volume-basierenden Verschlüsselung fehl und der Benutzerabgleich konnte nicht abgeschlossen werden.

-    DEF70813 Wurde in einer Richtlinie definiert, dass keine automatische Anmeldung an Windows erfolgen soll, wurden im Bestand falsche Einträge angezeigt. Die Einträge gaben an, dass die POA nicht aktiviert ist.

-    DEF69880 Bei bestimmten Kombinationen von BIOS-Versionen und Grafikkarten verschiedener Hersteller konnte die Installation von SafeGuard Enterprise Device Encryption dazu führen, dass kein Zugriff mehr auf den Computer bestand, wenn der ursprüngliche Grafikkartentreiber des Herstellers (vorübergehend) durch den Standard-VGA-Treiber von Windows Vista oder Windows 7 ersetzt wurde. Für frühere Versionen (5.50.8 und 5.60.0) steht ein Patch in Knowledgebase Artikel 113678 zur Verfügung.

-    DEF69434 Bei einigen Lenovo-Computern war nach der Installation von Windows 7 SP1 die Wiederaufnahme aus dem Ruhezustand nicht mehr möglich. 

-    DEF69281 Die Ausführung von VMWare ThinApps verursachte Beschädigungen des Local Cache. Der Computer wurde somit heruntergefahren.

-    DEF69095 Ein Warmstart (Reboot/Neustart) bei einem Hewlett Packard DM 1z führte zu einer beschädigten POA-Anzeige.

-    DEF65859 Unter Windows Vista 64 Bit wurde die Installation bei bestimmten Computern mit Fehler 5014 abgebrochen, wenn Lenovo "Rescue and Recovery" installiert war.

-    DEF55326 Bei bestimmten Computern mit einem Sandy Bridge Chipset und einem spezifischen Festplattenlaufwerk Controller, z. B. HP ProBook 6460b, blieb die Anmeldung an Windows in der Windows Start-Fortschrittsanzeige hängen. Bei Modellen der HP 60 Reihe (z. B. HP Elitebook 2760) konnte ein "Reading sector failed" Fehler in der Pre-Boot-Phase auftreten.

-    Andere gelöste Probleme


Bekannte Probleme

SafeGuard Management Center

• Auf Maschinen, die für eine andere Auflösung als 96 DPI konfiguriert sind, treten einige GUI-Layout-Probleme auf.

• Protokollereignisse zur Managementkonsole können nicht erzeugt werden, wenn gleichzeitig eine ähnliche Funktionalität über SGN API aufgerufen wird.

• Clients, die als Mitglieder eine Domäne registriert wurden, werden im SafeGuard Management Center nicht korrekt aktualisiert, wenn sie in eine Windows-Arbeitsgruppe verschoben werden.

SafeGuard Enterprise Server

• Vor dem erneuten Installieren von SGN Server ist ein Neustart erforderlich
Obwohl keine entsprechende Meldung angezeigt wird, ist nach dem Deinstallieren von SGN Server Komponenten und vor dem erneuten Installieren dieser Komponenten ein Neustart erforderlich.
DEF49516

• Die Methode “CreateDirectoryConnection” läuft nicht allein auf einem SGN Server. Für diese API muss auf dem Computer auch die SGN Managementkonsole installiert sein.

SafeGuard Enterprise Data Exchange Client

• Erhöhte Rechte für Benutzer für verschlüsselte, ausführbare Dateien
Wird eine verschlüsselte, ausführbare Datei oder ein verschlüsseltes Installationspaket unter Windows Vista oder Windows 7 gestartet und werden dadurch erhöhte Rechte für den Benutzer erforderlich, so wird die Erhöhung der Rechte u. U. nicht durchgeführt und die ausführbare Datei wird nicht gestartet.

• SafeGuard Portable Link auf schreibgeschützten Medien
Der im Stamm eines Wechselmediums angelegte Link zur Anwendung SafeGuard Portable funktioniert unter bestimmten Bedingungen nicht (nur unter Windows 7). Wird das Wechselmedium auf einem Gerät eingelegt, auf dem der Laufwerksbuchstabe sich von dem Laufwerksbuchstaben unterscheidet, der beim Kopieren von SafeGuard Portable verwendet wurde, funktioniert der Link nicht, wenn auf diesem Gerät ebenfalls ein Laufwerk mit diesem Buchstaben vorhanden ist. Beispiel: Der SafeGuard Portable Link wurde auf einem Medium in Laufwerk D: erstellt. Das Medium wird auf einem anderen Computer in Laufwerk E: benutzt. Der Link funktioniert nicht, wenn dieser Computer auch ein Laufwerk mit dem Buchstaben D: hat. Andernfalls funktioniert der Link.

• Zugriff auf einen Schlüsselring nach Schließen einer Remote Session
Nach dem Schließen einer hergestellten Remote Session ist der Zugriff auf den Schlüsselring eines Benutzers nicht mehr möglich. Um den vollen Zugriff auf den Schlüsselring des Benutzers wiederherzustellen, muss der Client-Computer neu gestartet werden. Es reicht nicht aus, sich ab- und wieder anzumelden, um wieder Zugriff zu erhalten.

SafeGuard Enterprise Device Encryption Client

• Für die Lösung von DEF70823 ("Gelegentlich schlug die Verschlüsselung fehl.") ist eine Neuinstallation erforderlich.
In dieser Release ist ein Problem aus früheren Versionen behoben: gelegentlich konnte die Verschlüsselung nicht gestartet werden. Durch eine Aktualisierung kann das Problem jedoch nicht behoben werden. Die alte Version, bei der das Problem aufgetreten ist, muss zunächst deinstalliert werden.

• Falsche Protokollierungszeitangabe für POA Autologon Einträge in der Ereignisanzeige des Management Center 

Solange keine Erstanmeldung an Windows erfolgt ist, versieht die POA die entsprechenden Einträge mit dem durch das BIOS bereitgestellten Zeitstempeln. Dieser Zeitstempel gilt lokal für den Computer und enthält keine Zeitzoneninformationen. Die Protokolleinträge erscheinen daher u. U. im SafeGuard Management Center nicht in der richtigen chronologischen Reihenfolge. Wenn der Benutzer den Computer bis in Windows gestartet hat, wird die POA mit den korrekten Zeitzoneneinstellungen aktualisiert und die Protokollereignisse werden mit der korrekten Protokollierungszeit angezeigt.
DEF69645

• Änderung der Partitionsgröße nicht unterstützt
Auf einem Computer, auf dem SafeGuard Enterprise volume-basierende Verschlüsselung installiert ist, wird das Ändern der Größe von Partitionen nicht unterstützt.

• Local Self Help wird deaktiviert, wenn ein Benutzer sein Kennwort auf einem anderen Computer ändert.
Wenn ein SafeGuard Enterprise Benutzer auf mehreren Computern registriert ist und Local Self Help aktiviert ist, wird durch Ändern des Kennworts auf einem Computer diese Funktion auf allen weiteren Computern deaktiviert. Wenn der Benutzer sich auf den anderen Computern anmeldet, wird keine entsprechende Meldung angezeigt.
Provisorische Lösung:
Aktivieren Sie Local Self Help auf allen Computern erneut. Beantworten Sie hierzu noch einmal die Fragen im Local Self Help Wizard.
DEF62926

• Der SafeGuard Enterprise Installationsvorgang muss im Rahmen einer Anmeldesitzung eines Windows-Administrators gestartet werden. Das Starten der Installation über “Als Administrator ausführen” wird nicht unterstützt.

• Installation des Client-Konfigurationspakets
Nach der Installation des Client-Konfigurationspakets sollte der Benutzer vor der Bestätigung des abschließenden Neustarts zwischen 5 und 10 Sekunden warten. Nach dem Neustart sollte der Benutzer wiederum in der Windows-Anmeldemaske ungefähr 3 Minuten warten, bis er sich anmeldet. Andernfalls ist der initiale Benutzerabgleich u. U. erst nach einem erneuten Neustart abgeschlossen.

• Mit BitLocker To Go verschlüsselte Geräte können Device Encryption Installation verhindern.
Wenn ein mit BitLocker To Go verschlüsselter USB-Stick während der Installation von SafeGuard Enterprise mit dem Computer verbunden ist, schlägt die Installation fehl. Die Ursache hierfür ist, dass Windows das System als BitLocker-aktiviert identifiziert. Dies ist eine gültige Bedingung für den Fehlschlag einer Device Encryption Client Installation. Entfernen Sie daher vor der Installation von SGN DE mit BitLocker To Go verschlüsselte Geräte.

• Für den Start des Computers benötigte Zeit
Die Zeit, die für den Start des Computers benötigt wird, erhöht sich nach der Installation der SGN Client Software um ca. eine Minute.

• Es wird empfohlen, einen SGN Client PC nach der Aktivierung der SGN Power-on Authentication mindestens einmal neu zu starten. SGN erstellt bei jedem Windows-Start eine Sicherungskopie seiner Kerneldaten. Diese Sicherungskopie wird nicht erstellt, wenn der PC nur in den Ruhezustand oder in den Standby-Modus versetzt wird.

SafeGuard Configuration Protection Client

• Für Configuration Protection wird eine falsche Versionsnummer angezeigt.
In der SafeGuard Enterprise Version 5.60 wird die Versionsnummer für das Configuration Protection Module mit 5.50.8 angegeben.
DEF65151

• Die Configuration Protection White Lists lassen sich nicht aus dem Management Center 5.50 exportieren.
Wenn ein Benutzer eine Richtlinie exportiert, die Configuration Protection White Lists enthält, fehlen diese in der Export-Datei.
Provisorische Lösung: Importieren Sie keine Configuration Protection Richtlinien die aus dem SGN 5.50 Management Center exportiert wurden. Richtlinien, die aus Version 5.60 exportiert wurden, können verwendet werden.
DEF58890

• Log-Ereignis zum Öffnen eines Registry Handle
Der Configuration Protection Client (SimonPro.exe) hat ein Handle zur Registry (um Manipulationen zu verhindern), das beim Betriebssystem Vista eine Warnung auslöst.

• Einstufung von USB-Tastaturen als Hardware Keylogger
Bestimmte USB-Tastaturen werden als Hardware Keylogger eingestuft und daher gesperrt. Sie stehen in diesem Fall für das Betriebssystem nicht zur Verfügung. Dieses Problem tritt nur dann auf, wenn die Tastatur bei laufendem System abgenommen und an einem anderen USB-Port wieder eingesteckt wird. Zum Zeitpunkt der Erstellung dieses Dokuments ist dieses Problem bei folgenden Tastaturen bekannt:

- Dell-Tastatur RT7D60
- Dell-Tastatur SK-3106

• Geräte werden nach der Anmeldung nicht gesperrt.
Benutzerrichtlinien werden durch einen Prozess durchgesetzt, der in der Benutzersitzung nach der Anmeldung gestartet wird. Wird der Start dieses Prozesses durch das Betriebssystem verzögert, so besteht u. U. für den Benutzer Zugriff auf gesperrte oder eingeschränkt freigegebene Geräte während dieser Verzögerung. Um dieses Verhalten zu vermeiden, wenden Sie die einschränkende Richtlinie stets auf Maschine und Benutzer an.

• BSOD nach der Installation von SafeGuard Enterprise Configuration Protection
Microsoft hat einen Hotfix für ein BSOD-Problem herausgegeben, das auch nach dem Installieren des Konfigurationspakets auftreten kann. Weitere Informationen hierzu finden Sie unter http://support.microsoft.com, Artikel ID 906866.

Verschlüsselung

• Bei manchen Toshiba-Opal-Festplatten, schlägt u. U. die Opal-Modus-Verschlüsselung fehl, wenn sich die erste Partition nicht am Beginn der Festplatte befindet.
Die TCG Storage Opal-Spezifikation für selbst-verschlüsselnde Festplatten (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal) fordert einen so genannten Shadow MBR Bereich mit einer Mindestgröße von 128 MB. Wenn für diesen Bereich nicht vollständiger Lese- und Schreibzugriff besteht (was bei Toshiba Opal-Festplatten mit Firmware-Version MGT00A zutrifft), und der Startsektor der Startpartition der Festplatte in den Sektornummernbereich des Bereichs fällt, auf den kein Zugriff besteht, kann SafeGuard Enterprise die Opal-Verschlüsselung für ein Laufwerk dieser Art nicht aktivieren.
Dieser Sachverhalt wurde Toshiba mitgeteilt. Wir erwarten, dass das Problem in einer kommenden Firmware-Version für diese Festplatten gelöst wird.
Provisorische Lösung: Legen Sie die Startpartition an den Beginn der Festplatte.
DEF69429

• Opal-Einschränkungen
Für Version 5.60 hat die Unterstützung von selbst-verschlüsselnden Opal-Festplatten durch SafeGuard Enterprise folgende Einschränkungen: 
   - Die Opal-Modus-Verschlüsselung kann nur jeweils für eine Opal-Festplatte pro Computer aktiviert werden. 
   - Sind mehrere Opal-Festplatten vorhanden und ist einem Volume eine Verschlüsselungsrichtlinie zugewiesen, so wird dieses Volume software-verschlüsselt, wie auf einer nicht selbst-verschlüsselnden Festplatte. 
     Somit wird eine RAID-Konfiguration mit mehreren Opal-Festplatten immer software-verschlüsselt. 
   - Wenn eine Opal-Festplatte mehr als ein Volume aufweist, gilt der Opal-Verschlüsselungs-Aktivierungsstatus für alle Volumes gleichzeitig. 
   - Der erste Sektor der Start-Partition der Festplatte muss sich innerhalb der ersten 128 MB befinden.
DEF69695

• Verwenden Sie auf Opal-Computern nicht die Windows-Einstellung "hybrider Standbymodus".
Wenn auf Computern mit einer durch SafeGuard Enterprise verwalteten selbst-verschlüsselnden Opal-Festplatte die Option "Ruhezustand zulassen" in den erweiterten Einstellungen aktiviert ist, kann dies zu Fehlern im Reaktivierungsvorgang (Fortsetzen) führen. Hier kann es zum Verlust aller Daten kommen, die vor dem Versetzen des Computers in den Standbymodus nicht auf der Festplatte gespeichert wurden.
DEF70019

• Selbst-verschlüsselnde Opal-Festplatten werden bei Schlüsselverlust unbrauchbar.
Gemäß der TCG Storage Opal-Spezifikation für selbst-verschlüsselnde Festplatten (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal) besteht keine Möglichkeit mehr, auf eine aktivierte Festplatte zuzugreifen, wenn die Anmeldeinformationen für das Entsperren der Platte verloren gehen.
Das bedeutet, die Festplatte wird gänzlich unbrauchbar. Im Gegensatz dazu gehen bei einer mit Software verschlüsselten Festplatte zwar auch die Daten verloren, die Hardware kann aber nach einer erneuten Formatierung wieder benutzt werden.
SafeGuard Enterprise speichert Verschlüsselungsschlüssel entweder automatisch in der Datenbank, sobald eine Verschlüsselungsrichtlinie angewendet wird (für Managed Clients), oder fordert den Benutzer dazu auf, einen Backup der Schlüsseldatei zu erstellen (für Standalone Clients). Gehen diese Daten verloren, gilt das beschriebene Szenario.
DEF69207

• Selbst-verschlüsselnde Opal-Festplatten müssen vor Neuformatierung/Reimage dauerhaft entsperrt werden.
Selbst-verschlüsselnde Festplatten müssen vor erneuter Formatierung oder vor einem Reimage-Vorgang in ihren Originalzustand zurück gesetzt werden. Für den Fall, dass dies nicht durch eine "reguläre" Entschlüsselung oder durch die Deinstallation von SafeGuard Enterprise erreicht werden kann, steht ein Tool (OPALEmergencyDecrypt.exe) zur Verfügung, mit dem sich eine mit SafeGuard Enterprise verwaltete Opal-Festplatte dauerhaft zurücksetzen lässt. Aus Sicherheitsgründen steht dieses Tool nicht im Tools-Verzeichnis der Produktlieferung zur Verfügung. Sie erhalten es vom Sophos-Kundenservice.
DEF69207

• Reaktivierungsvorgang aus dem Ruhezustand schlägt bei einem Computer mit aktivierter Opal-Festplatte fehl, wenn der Windows-Treiber MSAHCI installiert ist.
Wird ein Computer in den Ruhezustand versetzt, so schlägt der Reaktivierungsvorgang fehl, wenn der Microsoft-Festplattentreiber MSAHCI installiert ist. MSAHCI wurde mit Windows Vista eingeführt. Dieser Sachverhalt gilt also nur für Windows Vista und Windows 7, nicht für Windows XP.

Provisorische Lösungen: 
   - Verwenden Sie stattdessen den geeigneten IAStore-Treiber, falls dies für die betreffende Hardware-Konfiguration möglich ist. Das "Intel RST Treiberpaket v10.1.0.1008" wurde erfolgreich getestet.
   - Ändern Sie die BIOS-Einstellung für den Festplatten-Controller (z. B. SATA Mode, ATA Controller Mode, IDE Controller usw.) zu Compatibility Mode. In den meisten Fällen müssen Sie hier einen anderen Wert als AHCI (z. B. IDE, Compatibility usw.) auswählen.
DEF66126

• Sicherheitsrisiken bei der Benutzung von Solid-State-Drives
Bei Solid-State-Drives kann derzeit keine Software (auch nicht das Betriebssystem) den genauen Speicherort von Daten auf dem Solid-State-Drive ermitteln. Ein Controller, der wichtiger Bestandteil von Solid-State-Drives ist, simuliert das externe Verhalten einer herkömmlichen Festplatte. Intern laufen jedoch unterschiedliche Vorgänge ab.
Dies hat verschiedene Auswirkungen auf die Sicherheit von gespeicherten Daten. Details hierzu finden Sie im Knowledge Base Article KBA113334. Als wichtigste Auswirkung ist hier zu nennen, dass nur Daten, die auf ein Solid-State-Disk Volume nach der Aktivierung einer Verschlüsselungsrichtlinie geschrieben werden, sicher verschlüsselt sind.
Das bedeutet auch, dass für Daten, die sich bereits auf dem Solid-State-Drive befinden, bevor der initiale Verschlüsselungsvorgang von SafeGuard Enterprise gestartet wird, nicht garantiert werden kann, dass diese nach Abschluss der initialen Verschlüsselung vollständig von dem Solid-State-Drive gelöscht sind.
Bitte beachten Sie, dass dies nicht nur für SafeGuard Enterprise, sondern auch für alle anderen software-basierenden Full Disk Encryption Systeme gilt.
DEF68440

• Die volume-basierende Verschlüsselung für eSATA Wechselmedien funktioniert nicht wie erwartet.
Derzeit geben sich die meisten externen eSATA Festplatten nicht als Wechselmedien zu erkennen. Dies führt dazu, dass diese Festplatten von SafeGuard Enterprise als interne Festplatten behandelt werden. Somit gelten alle entsprechenden Richtlinien. Wir empfehlen, eSATA Festplatten nur dann in einer SafeGuard Enterprise Full Disk Encryption Umgebung zu benutzen, wenn in den angewendeten Verschlüsselungsrichtlinien diese Gegebenheiten explizit beachtet werden.
DEF65729, DEF66438, DEF58796

• Device Encryption schlägt u. U. auf manchen USB-Sticks fehl.
In seltenen Fällen wird bei manchen USB-Stick-Modellen eine falsche Speicherkapazität ausgegeben (in der Regel eine größere Kapazität als die physikalisch zur Verfügung stehende). Bei diesen Modellen schlägt die volume-basierende Erstverschlüsselung fehl und die Daten auf dem USB-Stick gehen verloren. Wir empfehlen generell, für die Verschlüsselung von Wechselmedien die dateibasierende Verschlüsselung (Data Exchange Modul) zu verwenden.

• Verschlüsselung ‘virtueller Laufwerke’
Virtuelle Laufwerke, die auf dem Client-Computer bereitgestellt werden (z. B. VHD-Datei in Windows mit MS Virtual Server Mounter) werden als lokale Festplattenlaufwerke betrachtet. Ihr Inhalt wird daher ebenfalls verschlüsselt, wenn eine Verschlüsselungsrichtlinie für „andere Volumes“ definiert wird.

• Während der Erstverschlüsselung der Systempartition (d. h. der Partition, auf der sich die Datei hiberfil.sys befindet), kann das Versetzen in den Ruhezustand fehlschlagen und sollte daher vermieden werden. Nach der Erstverschlüsselung der Systempartition muss der Computer neu gestartet werden, damit die Ruhezustandfunktion wieder problemlos angewendet werden kann.

• Richtlinie vom Typ Geräteschutz in Verbindung mit einer Richtlinie vom Typ Konfigurationsschutz für Nicht-Boot-Laufwerke
Wenn in Windows Vista oder Windows 7 Systemen sowohl Features der volume-basierenden Verschlüsselung als auch Configuration Protection Features installiert sind, können Richtlinien für die Verschlüsselung von Nicht-Boot-Laufwerken einen Stillstand des Erstverschlüsselungsvorgangs verursachen. Dies können Sie verhindern, indem Sie vor der SGN-Installation die Datei bootmgr auf diese Volumes kopieren und die Verschlüsselungsrichtlinie mit dem Ziel „Boot-Laufwerke“ definieren.

Allgemein

• SafeGuard Enterprise deaktiviert das Windows-Feature AutoAdminLogon
Aus Sicherheitsgründen deaktiviert der SafeGuard Enterprise Client das Feature AutoAdminLogon Feature in Windows.

• Novell Client 

Um den SGN Client in Verbindung mit einem Novell Client zu benutzen, sind einige projektspezifische Anpassungen notwendig. Weitere Informationen hierzu erhalten Sie vom Sophos Support.

• Die schnelle Benutzerumschaltung wird nicht unterstützt und muss deaktiviert werden.

• Diskettenlaufwerke

Nach der Installation von SafeGuard Device Encryption unter Windows Vista ist das eingebaute Diskettenlaufwerk nicht mehr verfügbar. Diese Einschränkung gilt nicht für externe Diskettenlaufwerke, die über den USB Bus angeschlossen werden.

• Die Durchsetzung der SafeGuard Enterprise Richtlinieneinstellung Kennworthistorie kann während des Kennwortwechsels vom Benutzer durch Durchsetzung des Systemadministrators umgangen werden.

• Direkte Änderungen an den Original-Sophos-Produkt-Installationspaketen (MSI) werden nicht unterstützt.

 

Windows XP

• Bis Service Pack 2 wies Windows XP auf manchen Computern das Problem auf, dass nach der Reaktivierung aus dem Standby-Modus nicht ein gesperrter Desktop, sondern direkt der Benutzerdesktop angezeigt wurde. Dieses Problem trat auch auf durch SafeGuard Enterprise geschützten Computern auf. Das Problem sollte mit Windows XP SP3 behoben sein.

• Microsoft Windows XP weist eine technische Einschränkung in Bezug auf den Kernel Stack auf. Wenn mehrere Dateisystemfiltertreiber (z. B. Antivirus-Software) installiert sind, reicht der Speicher u. U. nicht aus. In diesem Fall kann ein BSOD auftreten. Sophos kann für diese Windows-Einschränkung nicht haftbar gemacht werden und kann dieses Problem auch nicht beheben.

Vista

• Benutzerrichtlinie wird nicht geladen.?
Wenn Benutzer nicht Strg+Alt+Entf drücken müssen, um sich an Vista anzumelden (interaktive Anmeldungseinstellung), wird die Benutzerrichtlinie nicht korrekt geladen. In diesem Fall wird stattdessen die Maschinenrichtlinie geladen.


Kompatibilität

• SafeGuard LANCrypt Fehler bei Deinstallation des SafeGuard Enterprise Clients auf demselben Computer
Bei einer Deinstallation von SafeGuard Enterprise 5.60 auf einem Computer, auf dem auch der SafeGuard LANCrypt Client (SGLC) installiert ist, tritt ein interner Laufwerksfehler auf, wenn der Benutzer versucht, den SGLC Schlüsselring zu laden.
Provisorische Lösung:
Führen Sie eine "Reparieren"-Installation bei dem SafeGuard Enterprise LANCrypt Client-Paket durch.
DEF69644

• SafeGuard Removable Media und SafeGuard Enterprise können nicht auf demselben Computer benutzt werden.
Das auslaufende Produkt SafeGuard Removable Media muss vor der Benutzung von SafeGuard Enterprise Komponenten auf einem Computer deinstalliert werden.
DEF69092

• Empirum Security Suite Agent
Wenn die SGN 5.60 Client Software installiert ist und in Kombination mit der Empirum Security Suite Agent Software verwendet wird, stoppt das System u. U. mit dem folgenden BSOD:

BSOD on system startup with stop code 0x00000044 MULTIPLE_IRP_COMPLETE_REQUESTS

Dieses Problem wird durch eine Empirum-Software-Komponente verursacht. Es wird in der Empirum Security Suite behoben.
Aktuelle Informationen zu diesem Problem erhalten Sie vom Matrix42 Support.

• Lenovo Rescue and Recovery
Informationen zur Kompatibilität von Rescue and Recovery Versionen mit SafeGuard Enterprise Versionen finden Sie unter: http://www.sophos.de/support/knowledgebase/article/108383.html

• AbsoluteSoftware Computrace
SGN Device Encryption kann auf Maschinen, auf denen AbsoluteSoftware Computrace mit der aktivierten Option ‘track-0 based persistent agent’ installiert ist, nicht installiert werden.

• Die Kompatibilität mit Imaging Tools wurde nicht getestet und wird daher nicht unterstützt.


Token/Smartcard

• Beim Reaktivieren eines Windows XP Client aus dem Ruhezustand kann gelegentlich ein BSOD auftreten, wenn für die Authentisierung ein Aladdin eToken 72k (Java) benutzt wird. Der Ruhezustand unter Windows XP in Verbindung mit Aladdin eToken 72k (Java) wird somit derzeit nicht unterstützt, da beim Auftreten eines BSOD unter Umständen nicht gespeicherte Daten verloren gehen.
DEF66421

• Abnehmen eines USB Smart Card Reader vom Computer wird bei Verwendung der Gemalto .NET Smartcard Middleware nicht korrekt erkannt.
In diesem Fall wird der Desktop nicht automatisch gesperrt. Dies gilt nicht für das Herausnehmen der Smartcard aus dem Reader. Dieser Vorgang funktioniert wie erwartet.
DEF66637

• Kerberos-Problem bei RSA SID 800 Token
RSA SID 800 Token, die unter Windows 7 x64 für die Kerberos-Anmeldung für Nicht-Administratoren ausgestellt wurden, funktionieren in der POA nicht, wenn der DC/Kerberos Server ein Windows Server 2003 ist.
DEF67603

• Mit der Gemalto Classic Middleware funktioniert der nicht kryptographische Anmeldemodus in der POA nicht.
DEF67495

• TCOS Token werden unter Windows Vista nicht unterstützt.
DEF67397, DEF67386

• PIV Smartcard funktioniert nicht mit Omnikey oder OZ711 Smartcard Readern
DEF63198, DEF66543

• ActivIdentity Notifications verursachen Absturz von Winlogon.exe
Bei einigen Windows XP Systemen kann Winlogon.exe abstürzen, wenn in ActivClient Notifications aktiviert sind.
Provisorische Lösung:
Deaktivieren Sie ActivClient Notifications im ActivIdentity “Advanced Configuration Manager” unter “Notifications Management” .
DEF60040

 

Mit SafeGuard Device Encryption getestete Antivirus-Produkte
Die volume-basierende Verschlüsselung von SafeGuard Enterprise wurde erfolgreich mit Installationen von Sophos Antivirus-Softwareprodukten sowie mit den folgenden Software-Produkten getestet:

Hersteller

Produkt

Version

AVG Free Anti-Virus Small Business Edition 2011 10.0.1153
Computer Associates Security Center Version 6.0.0.285
F-Secure Anti Virus 2011 10.51
G Data AntiVirus Version 2011 21.1.0.5
Kaspersky Internet Security Version 2011 11.0.0.232
Symantec Endpoint Protection 11.0.6
Trend Micro Titanium Internet Security 2011  
McAfee Internet Security 2011  
Norman Virus Control 2010.02.22
Microsoft Security Essentials  
 

Zurück zur Sophos SafeGuard Versionsinfo Landing Page

 
Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.

Artikel bewerten

Ungenügend Hervorragend

Anmerkungen