Sophos SafeGuard Disk Encryption für Mac 6.00.0 Versionsinfo

  • Artikel-ID: 116851
  • Aktualisiert: 22 Apr 2014

Sophos SafeGuard Disk Encryption für Mac 6.00.0 Versionsinfo

Betrifft die folgenden Sophos Produkte/Versionen

Sophos SafeGuard Disk Encryption for Mac 6.00.0

Neue Features der Version 6.0

Anzeige von Statusdaten im SafeGuard Management Center und Bestandsberichte mit SafeGuard Enterprise 6.0 

SafeGuard Enterprise ist eine modulare Sicherheits-Suite, die Sicherheit auf Windows Endpoints mit Hilfe von administrator-definierten Richtlinien durchsetzt. SafeGuard Enterprise bietet Festplattenverschlüsselung, dateibasierende Verschlüsselung, zentrale Verwaltung mit Active Directory Integration, Berichte, Multifaktor-Authentisierung und viele weitere Sicherheitsfunktionen für Windows Endpoints. Die Endpoints werden von SafeGuard Enterprise Sicherheitsbeauftragten im SafeGuard Management Center verwaltet. Nähere Informationen zu SafeGuard Enterprise finden Sie unter http://www.sophos.com/de-de/products/encryption/safeguard-enterprise.aspx sowie der SafeGuard Enterprise Dokumentation.

Mit Sophos SafeGuard Disk Encryption 6.0 lässt sich auf einem Mac ein Client-Konfigurationspaket (.zip-Datei) installieren, um den Mac mit der SafeGuard Enterprise Umgebung (SafeGuard Management Center, Server und Datenbank) zu verbinden. Der Mac meldet daraufhin seine Bestandsdaten an die SafeGuard Enterprise Datenbank. Im Bestand des SafeGuard Management Center werden die Bestandsdaten des Mac angezeigt.

SafeGuard Enterprise Sicherheitsbeauftragte können somit zum Beispiel feststellen, ob ein verlorener oder gestohlener Mac verschlüsselt ist oder nicht.

Im Bestand werden die folgenden Maschineninformationen angezeigt:
  • Maschinenname des Mac 
  • Betriebssystemversion 
  • Art der Power-on Authentication (Mac) 
  • Status der Power-on Authentication (aktiviert/deaktiviert) 
  • Anzahl an Klartext-Partitionen und verschlüsselten Partitionen 
  • Zeitstempel des letzten Server-Kontakts 
  • Status (aktuell ja/nein) des SafeGuard Enterprise Unternehmenszertifikats, das für die Verbindung eines Mac mit einem SafeGuard Management Center notwendig ist. Das Zertifikat wird mit dem Client-Konfigurationspaket importiert. 
  • Verschlüsselungsdetails pro Partition (Laufwerk-Name und Label, Partitionstyp, Verschlüsselungsstatus, Verschlüsselungsalgorithmus) 
  • Details zum Unternehmenszertifikat
Power-on Authentication kann deaktiviert werden

Mit Version 6.0 lässt sich nun die Power-on Authentication deaktivieren. Wenn die Power-on Authentication deaktiviert ist, bleiben die Partitionen verschlüsselt, eine interaktive Authentisierung in der Pre-Boot-Phase ist jedoch nicht notwendig. Dies ist zum Beispiel dann nützlich, wenn Macs mit Wake on LAN für unangekündigte Betriebssystemaufgaben gestartet werden müssen.

Hinweis: Durch Deaktivierung der POA reduziert sich die Systemsicherheit. Dadurch erhöht sich das Risiko des unberechtigten Zugriffs auf verschlüsselte Daten.

Die POA lässt sich mit der Benutzeroberfläche oder mit SGADMIN deaktivieren und aktivieren. SGADMIN-Befehle:

  • sgadmin --poa on
  • sgadmin --poa off
Single Sign On zwischen Power-on Authentication und Mac OS X mit einfacher Kennwortsynchronisierung

Sophos SafeGuard Disk Encryption for Mac lässt sich in einem Modus betreiben, in dem Benutzer nur Ihre Anmeldedaten in der Power-on Authentication eingeben müssen und automatisch an Mac OS X als einzelne Benutzer angemeldet werden. Für Single Sign On müssen die Benutzer dieselben Benutzernamen und Kennwörter in der Power-on Authentication und in Mac OS X haben.

Außerdem müssen für Single Sign On einige technische Voraussetzungen erfüllt sein. Für weitere Informationen, siehe "Nicht unterstützte Hardware, Konfigurationen und Vorgänge".

Sophos SafeGuard Disk Encryption bietet auch ein Feature zum Ändern der Kennwörter in der Power-on Authentication und in Mac OS X. Dabei werden die Kennwörter synchron gehalten. Sophos SafeGuard Disk Encryption 6.0 löst die Kennwortänderung aus. Dies wird für lokale Mac OS X Benutzer und für Active Directory Mobility Accounts unterstützt.

Unterstützung der schnellen hardware-basierenden Verschlüsselung von Intel und des AES Verschlüsselungsalgorithmus (AES-NI)

Die meisten aktuellen Macs haben Intel i5 und i7 CPUs, die AES-NI (Advanced Encryption Standard – New Instructions) unterstützen. Sophos SafeGuard Disk Encryption 6.0 for Mac benutzt bei Verfügbarkeit AES-NI für umfangreiche Datenverschlüsselungen.

Somit verringert Sophos SafeGuard Disk Encryption den durch die Verschlüsselung verursachten Performance-Verlust. Die meisten Festplatten können mit derselben Geschwindigkeit wie ohne Verschlüsselung benutzt werden. AES-NI bringt somit einen großen Nutzen, wenn es sich bei der Festplatte um eine SSD handelt.

Aktualisierung des SafeGuard Enterprise Unternehmenszertifikats

SafeGuard Enterprise 6.0 bietet ein neues Feature zum sicheren Aktualisieren von Unternehmenszertifikaten, die für die Verbindung von Macs mit einer SafeGuard Enterprise Umgebung erforderlich sind. Ein Unternehmenszertifikat muss zum Beispiel aktualisiert werden, wenn es bald abläuft. Mit Sophos SafeGuard Disk Encryption for Mac 6.0 können Sie ein neues Unternehmenszertifikat importieren, um die Verbindung mit der SafeGuard Enterprise Umgebung aufrecht zu erhalten.

Anmeldung als SafeGuard Admin für Backup- und Wiederherstellungsvorgänge für Anmeldedaten erforderlich

Um zu verhindern, dass nicht autorisierte Benutzer Backups von Sophos SafeGuard Disk Encryption Anmeldedaten wiederherstellen können, ist für Backup- und Wiederherstellungsvorgänge für Anmeldedaten nun die erfolgreiche Anmeldung als SafeGuard Admin-Benutzer notwendig.

Neue Kommondazeilenschalter

Sophos SafeGuard Disk Encryption for Mac 6.0 bietet neue Kommandozeilenparameter für SGADMIN:

  • sgadmin --status
    Zeigt weitere Details an.
  • sgadmin --poa on
    Schaltet die Power-on Authentication ein.
  • sgadmin --poa off
    Schaltet die Power-on Authentication ein.
  • sgadmin --enable guimenu
    Zeigt das Sophos SafeGuard Disk Encryption Menü an.
  • sgadmin --enable guimenu
    Zeigt das Sophos SafeGuard Disk Encryption Menü an.
  • sgadmin --enable guimenu
    Stößt die Datensynchronisierung mit dem SafeGuard Enterprise Server an.
  • sgadmin --contact-interval “interval”
    Definiert einen neuen Zeitintervall für Datensynchronisierungsprozesse zwischen dem Mac und dem SafeGuard Enterprise Server.
  • sgadmin --import-config “/path/to/target/file”
    Importiert ein SafeGuard Enterprise Client-Konfigurationspaket (.zip-Datei), um einen durch Sophos SafeGuard Disk Encryption geschützten Mac mit einem SafeGuard Management Center zu verbinden oder das Unternehmenszertifikat zu aktualisieren.
  • sgadmin --enable-sso
    Aktiviert Single Sign On von POA zu Mac OS X.
  •  sgadmin --disable-sso
    Deaktiviert Single Sign On von POA zu Mac OS X.
  • sgadmin --backup-authentication
    Anmeldung als SafeGuard Admin-Benutzer jetzt erforderlich.
  • sgadmin --backup-kernel
    Anmeldung als SafeGuard Admin-Benutzer jetzt erforderlich.

Weitere Informationen zu diesen Befehlen erhalten Sie, wenn Sie auf einem Mac, auf dem Sophos SafeGuard Disk Encryption for Mac 6.0 installiert ist, auf der Kommandozeile "man sgadmin" eingeben.

Unterstützte Hardware und Konfiguration

Hardware (nur Intel-basierende 64 Bit CPU)

MacBook

MacBook Pro

MacBook Air

iMac

Mac mini

Mac Pro
  • EFI

    EFI32 (firmware)

    EFI64 (firmware)

    Mit dem folgenden Terminalbefehl lässt sich die EFI Firmware überprüfen:

    "ioreg -l -p IODeviceTree | grep firmware-abi"

    Es sollte der Wert "firmware-abi" = <"EFI64" > oder "firmware-abi" = <"EFI32" > geliefert werden.

  • Betriebssystem

10.7 (Lion) aktueller Patch Level (zumindest Patch Level bei Release - Februar 2012)

10.6 (Snow Leopard) aktueller Patch Level

10.5 (Leopard) aktueller Patch Level

  • Aktualisierung von Sophos SafeGuard Disk Encryption for Mac

    Sophos SafeGuard Disk Encryption for Mac 5.50.1 und 5.55 können auf 6.0 aktualisiert werden.

  • Aktualisierung von Mac OS X Versionen

    Um eine Aktualisierung des Betriebssystems von Mac OS X 10.5 (Leopard) auf 10.6 (Snow Leopard) oder 10.7 (Lion) durchzuführen, müssen Sie zunächst Sophos SafeGuard Disk Encryption deinstallieren. Dieser Schritt umfasst die endgültige Entschlüsselung der verschlüsselten Partitionen.

    Nach der erfolgreichen Aktualisierung müssen Sie Sophos SafeGuard Disk Encryption 6.0 installieren und die Partitionen wieder verschlüsseln.

    Ändern Sie bitte die Exclude-Regeln für Ihre Time Machine Konfiguration: Fügen Sie "Library/LaunchDaemons/com.sophos.sgsd.plist" zur Liste hinzu.
Bootcamp-Unterstützung

Eine Bootcamp-Partition muss auf einer Maschine vor der Installation von Sophos SafeGuard Disk Encryption eingerichtet werden. Das Einrichten oder Entfernen von Bootcamp nach der Installation von Sophos SafeGuard Disk Encryption wird nicht unterstützt. Beachten Sie, dass das Ändern des Partitionslayouts sowie das Ändern der Partitionsgröße nach der Installation von Sophos SafeGuard Disk Encryption nicht unterstützt wird.

Wenn das Standard-Betriebssystem von OS X zu Windows geändert wurde, lässt es sich weder mit dem Windows Bootcamp Control Panel noch mit der OS X Startup Disk Utility wieder auf OS X einstellen. Dies muss über die von Sophos SafeGuard Disk Encryption bereitgestellte Funktionalität erfolgen.

Für das Zurücksetzen des Standard-Bootsystems auf OS X haben Sie folgende Möglichkeiten:

1. Mit der Benutzeroberfläche:
  • Öffnen Sie die SafeGuard Disk-Verwaltung.
  • Öffnen Sie das Menü Bearbeiten und wählen Sie Dieses Betriebssystem standardmäßig starten. Hier ist eine Anmeldung als OS X Administrator notwendig.

2. Mit Terminal:

  • Öffnen Sie ein Terminal und geben Sie "sudo sgadmin --set-boot" ein. Hier ist eine Anmeldung als OS X Administrator notwendig.

Nicht unterstützte Hardware, Konfigurationen und Vorgänge

  • Hardware

    PowerPC-basierte Hardware

  • Betriebssystem

    Version 10.4 und frühere Versionen

  • Bootcamp und SafeGuard Enterprise/SafeGuard Easy for Windows

    Sophos SafeGuard Disk Encryption unterstützt Bootcamp, SafeGuard Enterprise darf jedoch nicht in der Windows-Partition installiert sein. Diese Einschränkung gilt, bis in der SafeGuard Enterprise for Windows Dokumentation explizit andere Angaben gemacht werden.

  • Für das Produkt gelten folgende Einschränkungen:

Sophos SafeGuard Disk Encryption for Mac unterstützt keine Multi-Boot-Systeme. Das heißt, mehrere OS X Installationen auf einem Mac werden nicht unterstützt.

Sophos SafeGuard Disk Encryption for Mac und Mac OS X 10.7 (Lion) FileVault 2 dürfen nicht gleichzeitig auf einer Maschine benutzt werden. Wenn Sie Sophos SafeGuard Disk Encryption for Mac benutzen möchten, darf keine lokale Partition mit FileVault verschlüsselt sein. Sie müssen sicherstellen, dass FileVault deaktiviert wird, bevor Sie Sophos SafeGuard Disk Encryption for Mac installieren. Wenn FileVault benutzt werden soll, darf Sophos SafeGuard Disk Encryption for Mac nicht installiert sein.

Installieren Sie die Software nicht auf Systemen mit mehr als 50 Partitionen.

Wir empfehlen, nicht mehr als fünf Partitionen gleichzeitig zu verschlüsseln.

Single Sign On zwischen der Sophos SafeGuard Disk Encryption POA und Mac OS X

Das Single Sign On Feature von Sophos SafeGuard Disk Encryption ist von zwei Mac OS X Einstellungen abhängig. Es handelt sich um die Einstellungen Automatic login und Display login window as. Automatic login muss aktiviert sein.

Eigentlich wäre die Einstellung von Display login window as nicht relevant. Bei Mac OS X 10.7 (Lion) sind jedoch Probleme aufgetreten. Zum Zeitpunkt der Release von Sophos SafeGuard Disk Encryption for Mac 6.0 ist die aktuelle Mac OS X Release die Version 10.7.2. Um Probleme bei Mac OS X 10.7 (Lion) zu vermeiden, stellen Sie Display login window as auf List of users ein.

    1. “Display login window as” darf nicht auf “Name and password” eingestellt sein.

      Unter Mac OS X 10.7 muss die Einstellung Display login window auf List of user gesetzt werden. Wenn unter Mac OS X 10.7 (Lion) die Option Name and Password verwendet wird, treten bei einem erfolgreichen Single Sign On zwar keine Probleme auf, nach einem nicht erfolgreichen Single Sign On ist Mac OS X jedoch nicht mehr benutzbar. Das heißt, Sie können sich nicht mehr anmelden.

      Dies kann zum Beispiel dann passieren, wenn die Kennwörter eines Benutzers in der POA und in Mac OS X nicht mehr synchron sind oder der SafeGuard-Benutzer nicht mehr in Mac OS X existiert. Informationen zum aktuellen Stand in Bezug auf dieses Problem in Mac OS X 10.7 finden Sie im Sophos Support-Artikel 116756.

    2. Für das Sophos SafeGuard Disk Encryption Feature Single Sign On darf die Mac OS X Einstellung "Automatic login" nicht auf "Off" gesetzt sein.

      Ist dies der Fall, so wird der Single Sign On Vorgang in der Mac OS X Anmeldung gestoppt und Mac OS X wartet auf Benutzerinteraktion. Durch Klicken auf einen der angezeigten Benutzernamen wird der Anmeldevorgang fortgesetzt. Dabei spielt es keine Rolle, auf welchen Benutzernamen Sie klicken. Single Sign On wird fortgesetzt und der Benutzer, der an der POA angemeldet wurde, wird an Mac OS X angemeldet. Mit "sgadmin --enable-sss" wird sichergestellt, dass diese Einstellung auf einen korrekten Wert gesetzt ist (nicht "Off"). Sie sollten die Einstellung jedoch später nicht auf Off setzen, wenn das Produkt installiert oder Sophos SafeGuard Disk Encryption Single Sign On aktiviert ist. Um Single Sign On korrekt zu deaktivieren, muss sgadmin --disable-sso aufgerufen werden. Dadurch wird Automatic login wieder auf Off gesetzt und Single Sign On wird deaktiviert.

Tastatur: Der Tastatur-Übersetzungscode setzt nur die üblichen Tasten und Tasten mit einer Umschalttaste um. Für nicht-numerische Tasten des Zahlenblocks kann nicht garantiert werden, dass eine Umsetzung in dieselbe Zeichenfolge funktioniert, wenn das Layout der Tastatur geändert wird. Benutzen Sie daher nur die Tasten "0-9" aus diesem Tastenblock. Die Ursache hierfür ist, dass EFI nur ein äquivalentes US ANSII Zeichen ausgibt, keine Modifikatortasten. Während der Umsetzung, erhält die normale Taste der Tastatur Vorrang vor der Taste des numerischen Tastenblocks. Dies hat Auswirkungen auf die nicht-numerischen Tasten des numerischen Tastenblocks ( '=', '/', '', '-', '+'). Diese Tasten werden aufgrund des Tastaturlayouts u. U. in andere Zeichen umgesetzt. So wird z. B. auf einer deutschen Tastatur die " Taste des numerischen Tastaturblocks in das Tastatur-Zeichen '(' umgesetzt. Der Code wurde mit folgenden Tastaturen entwickelt und getestet: US, Französisch, Deutsch Für andere Tastaturen kann nicht garantiert werden, dass die Umsetzung funktioniert.

Partitionierung Nach der Installation von Sophos SafeGuard Disk Encryption for Mac kann das Partitionierungs-Layout nicht mehr geändert werden. Änderungen mit "gpt" oder "diskutil" sind nicht möglich.
Wichtiger Hinweis: Wird die Partitionierung einer Machine geändert, so können Sie diese nicht mehr benutzen. Um sie wieder benutzen zu können, müssen Sie die Maschine komplett neu installieren.

Formatierung: Die Formatierung verschlüsselter Partitionierung wird nicht unterstützt. Wenn Sie alle Daten entfernen möchten, empfehlen wir, die Dateien zu löschen oder die Partition zu entschlüsseln, sie zu formatieren und sie danach wieder zu verschlüsseln.

Hinweis: Es wird nur HFS+ und HFS+ (Journaled) unterstützt. Die Festplatte muss GPT-partitioniert sein.

Target Disk Mode: Die Benutzung von Target Disk Mode wird nicht unterstützt, wenn sowohl die lokale Maschine als auch die Target Disk verschlüsselt sind.

Auf Klartext-Partitionen auf einer Target Disk kann im Target Disk Mode von einer lokalen Maschine aus nur zugegriffen werden, wenn auf der lokalen Maschine Sophos SafeGuard Disk Encryption for Mac nicht installiert ist.

Ist auf der lokalen Maschine Sophos SafeGuard Disk Encryption for Mac installiert, darf auf der Maschine im Target Disk Modus Sophos SafeGuard Disk Encryption for Mac nicht installiert sein. 

Verwendung von diskutil von einem über Network Boot gestarteten System aus Verwenden Sie diskutil nicht von einem System aus, das über Network Boot gestartet wurde und bei dem lokale Partitionen verschlüsselt sind. In diesem Fall erkennt diskutil die verschlüsselten Partitionen nicht und versucht, sie zu initialisieren. Dies führt zu Datenverlust.

Partitionen löschen Das Löschen von Partitionen, bei denen gerade eine initiale Verschlüsselung oder eine endgültige Entschlüsselung durchgeführt wird, wird nicht unterstützt. Das Löschen von verschlüsselten Partitionen wird auch nicht unterstützt. Partitionen müssen erst entschlüsselt werden.

Nicht gemountete Partitionen und Ver-/Entschlüsselung: Für nicht gemountete Partitionen kann die initiale Verschlüsselung bzw. die endgültige Entschlüsselung nicht gestartet werden. Während eine Partition ver- oder entschlüsselt wird, kann außerdem der Mount-Vorgang nicht rückgängig gemacht werden. Dies kann zu Datenverlust führen.

OS-Aktualisierungen (z. B. 10.6 auf 10.7) werden nicht unterstützt: Für Aktualisierungen müssen Sie zunächst die Partitionen Ihres Mac entschlüsseln und dann Sophos SafeGuard Disk Encryption for Mac deinstallieren. Danach können Sie das Betriebssystem aktualisieren, die für 10.7 freigegebene Sophos SafeGuard Disk Encryption for Mac Version installieren und die Partitionen wieder verschlüsseln. 

Deep Sleep: Wenn Sophos SafeGuard Disk Encryption for Mac installiert ist, wird das Ruhezustand-Feature "Deep Sleep" nicht unterstützt. Das Feature ist deaktiviert. Einige Anwendungen speichern Ihre Daten nicht automatisch, wenn der Sleep-Modus aktiviert ist. Wenn der Sleep-Modus für längere Zeit benutzt wird, der Mac nicht an das Stromnetz angeschlossen ist und eine solche Anwendung mit nicht gespeicherten Daten geöffnet ist, kann es zu Datenverlust kommen.

Defekte Sektoren: Wir empfehlen, die Software nicht zu installieren, wenn sich auf Ihrer Festplatte defekte Sektoren befinden. Werden defekte Sektoren gefunden, so wird die initiale Verschlüsselung zwar nicht abgebrochen, es wird jedoch im Kernel Log ein Log-Eintrag erstellt.

Initiale Verschlüsselung/endgültige Entschlüsselung bei Datenpartitionen: Bevor Sie eine Datenpartition verschlüsseln, stellen Sie sicher, dass alle Dateien auf dieser Partition geschlossen sind. Stellen Sie sicher, dass während der Durchführung einer Entschlüsselung alle Dateien auf der relevanten Datenpartition geschlossen sind.

Aktualisierung von Firmware: Es ist möglich, die Firmware eines Mac zu aktualisieren, obwohl Sophos SafeGuard Disk Encryption for Mac installiert ist. Hier müssen jedoch einige Aspekte beachtet werden. Bitte lesen Sie hierzu den Knowledgebase-Artikel #111941.

Benutzung von Mac OS X Safe Boot: Wenn Sie in Safe Boot/Safe Mode booten, können Sie weder sgadmin noch das SafeGuard-Menü benutzen. Ursache hierfür ist, dass Mac OS X keine Launch Agents/Daemons (sgd) von Drittanbietern in der Safe Boot/Safe Mode Funktionalität lädt. 

 
Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.

Artikel bewerten

Ungenügend Hervorragend

Anmerkungen