Note di rilascio di SafeGuard Easy 6.0

  • ID dell'articolo: 114139
  • Aggiornato: 21 apr 2014

Note di rilascio di SafeGuard Easy (SGE) 6.0

Questo problema si verifica nei prodotti e versioni Sophos elencati qui di seguito

SafeGuard Easy 6.0

Requisiti

Piattaforme supportate 32 bit 64 bit IA-64 (Itanium)
a 64 bit
spazio disponibile
su disco consigliato
Dimensioni minime
RAM
SafeGuard Easy - Device Encryption / Data Exchange / Cloud Storage
Windows 7, SP1 Enterprise/Ultimate/Professional/Home Premium
 Non supportato 300 MB* 1 GB**
Windows Vista SP1, SP2 Enterprise/Ultimate/Business  Non supportato
Windows XP Professional SP2, SP3

 No

 Non supportato
SafeGuard Easy - Policy Editor
Windows 7, SP1 Enterprise/Ultimate/Professional

 Non supportato

1 GB 1 GB**
Windows Vista SP1, SP2 Enterprise/Ultimate/Business

 Sì

 Non supportato
Windows XP Professional SP2, SP3

 

No
 Non supportato
Windows Server 2008 SP1, SP2  Non supportato 1 GB

1 GB**

Windows Server 2008 R2, SP1  No  Non supportato
Windows Server 2003 SP1, SP2  Non supportato
Windows Server 2003 R2 SP1, SP2  Non supportato
Windows Small Business Server 2003, 2008, 2011 Non supportato

* L’installazione richiede almeno 300 MB di spazio disponibile sul disco rigido. Per Device Encryption, almeno 100 MB di questo spazio libero devono essere costituiti da un’area contigua. Deframmentare il sistema prima dell’installazione, se si dispone di meno di 5 GB di spazio libero su disco rigido e il sistema operativo non è stato installato di recente, per incrementare la possibilità che questa area contigua sia disponibile. In caso contrario, l’installazione può non riuscire per "insufficienza di spazio libero contiguo” e non può essere supportata.

** Questo è lo spazio di memoria consigliato per il PC. SafeGuard Easy non utilizza tutta questa memoria.

Requisiti del software

  • SafeGuard Device Encryption / Data Exchange / Cloud Storage:
    Internet Explorer versione 6.0 o superiore
  • SafeGuard Policy Editor:
    .NET Framework 4.0

Modifiche evidenti

Le seguenti funzionalità sono state modificate in termini di comportamento predefinito:

Conteggio dei tentativi di accesso non riusciti

I tentativi di accesso non riusciti dell'utente e del computer sono ora uniti in un unico conteggio. Ciò implica che il criterio relativo al "valore massimo di accessi non riusciti" viene applicato solo al computer e non più agli utenti individuali. Ne consegue che, una volta superato il numero massimo di tentativi di accesso non riusciti, il computer, e non più il singolo utente, verrà bloccato. Le impostazioni del criterio precedenti, quali contatore "per utente", non verranno più prese in considerazione.

Applicazioni non gestite

L'impostazione del criterio "Device Protection" grazie alla quale è possibile specificare determinate applicazioni per l'esclusione dalla cifratura basata su file (ovvero DX) è stata rimossa da questo tipo di criterio. Dal momento che questa impostazione si riferisce però anche al nuovo modulo della cifratura basata su file appena introdotto, vale a dire Cloud Storage, è stata spostata nella sezione delle impostazioni generali del criterio. La precedente impostazione del criterio non viene più valutata dai nuovi client (SGE 6.0 o successiva); le applicazioni devono quindi essere specificate in un criterio "General Settings", mediante l'impostazione del criterio "Ignored Applications".

Pacchetti di configurazione del client

Nelle versioni di SafeGuard Easy precedenti alla 6.0 era possibile installare un pacchetto di configurazione del client creato da una versione nuova o precedente del client (ad es. nel caso dell'installazione su un client 5.60.1 di un pacchetto creato su un client 5.50.8). A partire dalla versione 6.0, questa funzionalità non è più disponibile! La versione del pacchetto di configurazione per client deve coincidere con la versione del client stesso. Tuttavia, i client che hanno svolto l'upgrade non richiedono un nuovo pacchetto di configurazione del client.

Problemi noti

SafeGuard Data Exchange

Quando un dispositivo viene eseguito come "Dispositivo portatile" non vengono visualizzate tutte le opzioni
Quando un dispositivo rimovibile viene eseguito in modalità "Dispositivo portatile", alcune delle opzioni di SafeGuard Data Exchange non sono disponibili in Windows Explorer. Non vengono visualizzate né le icone di sovrapposizione indicanti lo stato di cifratura di un file, né le opzioni di menu SG DX nel menu di scelta rapida di un file. Il criterio di cifratura viene comunque applicato ai file dei dispositivi rimovibili, sia che vi ci si riferisca utilizzando l'albero del "Dispositivo Portatile" sia che si utilizzi una lettera di unità.
  • Elevazione dell'utente per file eseguibili cifrati
    Se viene avviato un file eseguibile cifrato o un pacchetto di installazione che richiede un'elevazione in Windows Vista o Windows 7, tale elevazione può non avvenire, e il file eseguibile non viene avviato.
  • Accesso al Gruppo di chiavi dopo la chiusura di una sessione remota
    È impossibile accedere al gruppo di chiavi di un utente in seguito alla chiusura di una sessione remota. Per ristabilire pieno accesso al gruppo di chiavi dell'utente, è necessario riavviare il computer client. Disconnettersi e riconnettersi al computer non è sufficiente per accedere nuovamente al gruppo di chiavi.

SafeGuard Device Encryption

  • (DEF69645) Orario errato del log per l'Accesso automatico alla POA nell'Event Viewer del Management Center
    Se non viene effettuato un accesso iniziale a Windows, la POA marca gli eventi con la data e l'orario disponibile dal BIOS. Si tratta della data e ora locali per quel determinato computer e non viene riportata alcuna informazione relativa al fuso orario; per questo motivo le voci relative agli accessi potrebbero non essere organizzate nel corretto ordine cronologico in Management Center. Una volta avviato il sistema su Windows, la POA viene aggiornata con le corrette impostazioni di data e orario, e i successivi eventi del log visualizzeranno il giusto orario.
  • Il ridimensionamento della partizione non è supportato
    Il ridimensionamento della partizione di qualsiasi computer su cui è installata SafeGuard Easy Volume Based Encryption non è supportato.
  • (DEF62926 ) Local Self Help viene automaticamente disabilitato quando l'utente modifica la password su un computer diverso
    Quando un utente di SafeGuard Easy effettua l'accesso a più di un computer con Local Self Help attivo, la modifica della password su uno dei computer in questione disabilita questa funzionalità su tutti gli altri. Quando l'utente effettua l'accesso a uno degli altri computer, non viene visualizzata alcuna notifica del cambiamento.
    Per eludere il problema:
    riattivare Local Self Help su tutti i computer. Ciò implica riavviare la procedura guidata di attivazione di LSH e rispondere nuovamente a tutte le domande.
  • Il processo di installazione di SafeGuard Easy deve essere avviato nel contesto di una sessione di accesso di un amministratore di Windows. Non è consentito avviare il processo di installazione utilizzando l’opzione “Esegui come amministratore”.
  • Installazione del pacchetto di configurazione client
    Dopo l'installazione del pacchetto di configurazione del client, l'utente deve attendere circa 5-10 secondi prima di confermare l'ultimo riavvio. Successivamente, dopo il riavvio, l’utente deve attendere approssimativamente 3 minuti prima di effettuare il log on alla schermata di accesso di Windows. In caso contrario, la sincronizzazione iniziale dell'utente potrebbe non essere completata fino al riavvio successivo.
  • I dispositivi cifrati con BitLocker To Go possono impedire l'installazione di Device Encryption
    ?Se una chiave USB cifrata con BitLocker To Go viene connessa a un computer durante l'impostazione di SafeGuard Easy, non è possibile completare l'installazione, in quanto Windows riporta che nel sistema è abilitato BitLocker; questa è una valida condizione di errore per l'installazione del client di Device Encryption. La soluzione è rimuovere i dispositivi cifrati con BitLocker To Go prima di installare SafeGuard Device Encryption.
  • Fase di avvio
    La durata della fase di avvio subisce un aumento pari a circa un minuto in seguito all'installazione del software SafeGuard Easy Client.
  • È consigliabile riavviare un PC con SafeGuard Easy Client almeno una volta dopo aver attivato la funzione Power-on Authentication. SGN effettua il backup dei dati del proprio kernel a ogni avvio di Windows. Tale backup non viene eseguito se il PC è semplicemente ibernato o in stand-by.
  • In rari casi può capitare che l'accesso alle unità flash USB formattate con exFAT non venga sempre bloccato nel caso sia stato applicato un criterio di cifratura basata su volume insieme a una "chiave definita dall'utente". Circa 2 USB su 10 salavano le sessioni di rimozione/ricollegamento, SafeGuard Easy non applica in modo corretto il criterio di "accesso negato" (DEF54324).

Cifratura

  • (DEF69429) La cifratura in modalità OPAL di alcuni dischi OPAL Toshiba può non essere possibile se la prima partizione non viene collocata all'inizio del disco
    Le specifiche di TCG Storage OPAL per le unità di autocifratura (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal) richiedono un'area "Shadow MBR" pari ad almeno 128 MB. Qualora tale area non fosse completamente accessibile in lettura e scrittura, come nel caso dei dischi OPAL Toshiba con versione del firmware MGT00A, e il settore di avvio della partizione di avvio del disco rientrasse nella categoria di numeri di settore dell'area a cui non è possibile accedere, SafeGuard Easy non sarà in grado di attivare la cifratura OPAL per tale unità.
    Il problema è stato segnalato a Toshiba, e la risoluzione è prevista per una delle future versioni del firmware di queste unità.
    Per eludere il problema: riposizionare la partizione di avvio nell'area iniziale del disco.
  • (DEF69695) Limitazioni di OPAL
    A partire dalla versione 5.60, il supporto di SafeGuard Easy per le unità di autocifratura OPAL prevede le seguenti limitazioni:
    • La cifratura in modalità OPAL può essere attivata esclusivamente per una sola unità OPAL su ciascun computer.
    • Se è presente più di un'unica unità OPAL, e se i criteri di cifratura vengono assegnati a uno o più dei suoi volumi, questi ultimi verranno cifrati come se non fossero unità di autocifratura.
      Di conseguenza, una configurazione RAID con più di una sola unità OPAL verrà sempre cifrata dal software.
    • Se un'unità OPAL contiene più di un unico volume, lo stato di attivazione della cifratura OPAL sarà applicabile simultaneamente a tutti i volumi.
    • Il primo settore della partizione di avvio del disco deve essere collocato nei primi 128 MB.
    • (DEF70019) Evitare di utilizzare le impostazioni di sospensione ibrida di Windows sui computer OPAL
      Sui computer dotati di un'unità di autocifratura OPAL gestita da SGE, l'attivazione dell'opzione “Consenti sospensione ibrida” nelle impostazioni "Opzioni risparmio energia avanzate" potrebbe generare errori durante la procedura di riattivazione automatica dalla sospensione. Ciò comporta la perdita di tutti i dati non salvati prima della sospensione del computer.
    • (DEF69207) Le unità di autocifratura OPAL diventano inutilizzabili in caso di perdita di una delle chiavi di cifratura
      Secondo le specifiche di TCG Storage OPAL per le unità di autocifratura(http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal), non vi è alcun modo per accedere a un'unità attivata nel caso di smarrimento delle credenziali per lo sblocco dell'unità stessa.
      Ciò significa che il disco diventa completamente inutilizzabile, in netto contrasto con un disco cifrato tramite software, ove i dati vengono pur sempre persi, ma l'hardware può essere formattato e riutilizzato.
      SafeGuard Easy archivia automaticamente le chiavi di cifratura nel proprio database, non appena vengano applicati criteri di cifratura (per i client gestiti); in alternativa, invita l'utente ad effettuare il backup del file della chiave (per client autonomi). Qualora venissero smarriti i dati, sarebbe applicabile lo scenario descritto.
    • (DEF69207) Le unità di autocifratura OPAL devono essere permanentemente sbloccate prima di poter essere riformattate o sottoposte a un nuovo processo di creazione dell'immagine
      Le unità di autocifratura devono venire riportate allo stato fabbrica prima di poter essere riformattate o sottoposte a una nuova creazione dell'immagine. Nel caso in cui ciò non sia possibile tramite decifrazione "standard" o disinstallazione di SafeGuard Easy, è disponibile un tool (OPALEmergencyDecrypt.exe) per reimpostare in maniera permanente un'unità OPAL gestita da SafeGuard Easy. Per motivi di sicurezza, il tool è disponibile solo contattando il servizio clienti di Sophos.
    • (DEF66126) Impossibile riavviare il sistema dallo stato di sospensione quando il driver Windows' MSAHCI è installato su un computer avente un'unità OPAL attiva
      Quando un computer viene messo in stato di sospensione, non è possibile effettuare la riattivazione se è installato il driver hard-disk MSAHCI di Microsoft. MSAHCI è stato introdotto con Windows Vista, quindi il problema riguarda Windows Vista e Windows 7, ma non Windows XP.
      Per eludere il problema:
      • Se applicabile alla configurazione dell'hardware, utilizzare come sostituto l'adeguato driver IAStore. I test condotti su "Intel RST driver package v10.1.0.1008" hanno avuto esito positivo.
      • Modificare le impostazioni del BIOS per il controller dell'hard-disk (ad es. Modalità SATA, Modalità Controller ATA, Modalità Controller IDE, ecc...) e impostarle come "Modalità compatibilità". Per la maggior parte dei BIOS, ciò significa selezionare un valore diverso da AHCI (ad es. IDE, Compatibilità, ecc...)
    • (DEF68440) Rischi di sicurezza quando si utilizzano unità a stato solido (Solid State Drive, SSD)
      Nelle attuali SSD nessun software (incluso il sistema operativo) è in grado di individuare l'esatta posizione dei dati sulla SSD. Un controller, uno dei componenti fondamentali di qualsiasi SSD, simula il comportamento esterno di un'unità platter, mentre all'interno opera in maniera completamente diversa.
      Ciò comporta varie implicazioni per la sicurezza dei dati archiviati, le cui informazioni specifiche sono elencate in un articolo della knowledge base (KBA113334). Una delle più salienti è:
      Sono protetti da cifratura solamente i dati scritti su un volume SSD in seguito all'attivazione di un criterio di cifratura. Ciò significa che sarà impossibile garantire l'avvenuta cancellazione fisica di tutti i dati già presenti in SafeGuard Easy prima dell'avvio del processo di cifratura, una volta concluso tale processo.
      Si prega di notare che questo problema non riguarda solamente SafeGuard Easy, bensì qualsiasi sistema di cifratura completa del disco tramite software.
    • (DEF65729, DEF66438, DEF58796) La cifratura basata su volume per le unità rimovibili eSATA non funziona come previsto
      Al momento la maggior parte delle unità esterne eSATA non è in grado di segnalarsi come dispositivo rimovibile. Di conseguenza, tali unità vengono considerate da SafeGuard Easy come unità interne, con conseguente applicazione dei relativi criteri. Si consiglia di non utilizzare le unità eSATA in un ambiente di cifratura completa del disco tramite SafeGuard Easy, a meno che i criteri di cifratura applicati non tengano esplicitamente in considerazione tale scenario.
    • Device Encryption rischia di non funzionare su alcune chiavi USB
      Alcuni rari modelli di chiavi USB riportano un'errata capacità di archiviazione (solitamente più elevata di quella reale). Su questi modelli, non è possibile eseguire correttamente la cifratura iniziale basata su volume e i dati memorizzati nella chiave andranno perduti. Sophos generalmente consiglia di utilizzare la cifratura basata su file (modulo DX) per i supporti rimovibili.
    • Cifratura delle "unità virtuali"
      Le unità virtuali presenti nella workstation client (ad es. i file VHD in Windows montati con MS Virtual Server) vengono considerate come unità disco rigido locali; verrà quindi cifrato anche il loro contenuto, se si definisce un criterio di cifratura per "altri volumi".
    • Durante la cifratura iniziale della partizione di sistema (ovvero la partizione in cui si trova il file hiberfil.sys) l’operazione di sospensione su disco può non riuscire e va quindi evitata. In seguito alla cifratura iniziale della partizione di sistema, è necessario riavviare il sistema affinché la sospensione su disco possa essere eseguita correttamente.

Generali

  • (DEF68409) In seguito all'aggiornamento di un client SafeGuard Easy, è necessario riavviare il sistema prima di poter applicare un nuovo pacchetto di configurazione
    Non è possibile aggiornare il client a una nuova versione e applicare il pacchetto di configurazione in un'unica sessione. Dopo un aggiornamento, il riavvio prima dell'applicazione di un nuovo pacchetto di configurazione è un requisito obbligatorio. Altrimenti verranno ignorate le modifiche di configurazione apportate.
  • Il cambio rapido utente non è supportato e deve essere disabilitato.
  • Non sono supportate le modifiche dei pacchetti originali di MSI Installer per i prodotti Sophos.

Windows Vista

  • Unità floppy
    In seguito all'installazione di SafeGuard Device Encryption su Windows Vista l'unità floppy incorporata non è più disponibile. Questa limitazione non riguarda le unità disco floppy esterne collegate tramite il bus USB.

Windows XP

  • Su alcuni computer aventi Windows XP Service Pack 2 o precedente si riscontra il seguente problema: la riattivazione dopo lo standby non visualizza il desktop bloccato ma apre direttamente il desktop dell'utente. Il problema si presenta anche sui computer aventi SafeGuard Easy. Questo problema dovrebbe essere risolto con Windows XP SP3.
  • Microsoft Windows XP presenta un limite tecnico nello stack del suo kernel. Se sono installati alcuni driver di filtraggio del file system (ad es. software antivirus), la memoria può non essere sufficiente. In questo caso, si potrebbe ricevere un messaggio di avviso BSOD. Sophos non può essere ritenuta responsabile per le limitazioni di Windows e non è quindi in grado di risolvere il problema.

Compatibilità

  • Compatibilità di SafeGuard LAN Crypt con SafeGuard Easy 6.0 Data Exchange (DX) e Cloud Storage (CS)
    Per SafeGuard LAN Crypt 3.70/3.71, è disponibile una patch indipendente che riabilita la compatibilità dei moduli DX e CS. Qualora fosse necessario installare SafeGuard LAN Crypt insieme a SafeGuard Easy 6.0 DX e/o SGN CS, installare il Compatibility Package dopo l'installazione di SG LAN Crypt. Questa patch è reperibile nella sezione di download di SafeGuard Easy 6.0 su mysophos.com.
    Alcune versioni precedenti di SafeGuard LAN Crypt (fino alla versione 3.60) non sono più compatibili con i relativi moduli di cifratura dei file di SafeGuard Easy 6.0 (DX e CS). La compatibilità di queste versioni si limita al modulo SafeGuard Device Encryption.
  • SafeGuard LAN Crypt richiede un ripristino durante la disinstallazione di Sophos SafeGuard Client sullo stesso computer
    La disinstallazione di SafeGuard Easy 6.0 su un PC su cui è installato SafeGuard LAN Crypt Client (SGLC) provoca un errore interno del driver quando l'utente prova a caricare il gruppo di chiavi di SGLC.
    Per eludere il problema:
    eseguire un'installazione di ripristino nel pacchetto SafeGuard LAN Crypt Client. (DEF69644)
  • Impossibile eseguire SafeGuard RemovableMedia e SafeGuard Easy sullo stesso computer
    Il prodotto SafeGuard RemovableMedia, ora fuori produzione, deve essere disinstallato prima di utilizzare qualsiasi componente di SafeGuard Easy sullo stesso computer. (DEF69092)
  • SafeGuard Easy non è stata testata con Novell Client per Windows. Potrebbero essere applicate alcune restrizioni nel caso in cui non ci sia intercomunicazione fra i componenti di accesso di entrambi i prodotti.

Empirum Security Suite Agent

  • Se il software SafeGuard Easy 6.0 Client viene installato ed eseguito insieme al software di Empirum Security Suite Agent, si può verificare un arresto del sistema, con il seguente messaggio di errore nel BSOD:
    BSOD on system startup with stop code 0x00000044 MULTIPLE_IRP_COMPLETE_REQUESTS
    Il problema è causato da uno dei componenti di Empirum Software. Un aggiornamento correttivo per questo problema è incluso in Empirum Security Suite.
    Contattare il supporto di Matrix42 per gli ultimi aggiornamenti e informazioni relativi a questo problema.
  • Lenovo Rescue and Recovery
    Per informazioni sulla compatibilità delle versioni di Rescue and Recovery con le versioni di SafeGuard Easy consultare il seguente articolo: http://www.sophos.it/support/knowledgebase/article/108383.html
  • La compatibilità con i tool di imaging non è stata verificata e non è quindi supportata da Sophos.

Token/Smartcard


  • (DEF66421) La riattivazione dalla stato di ibernazione su un client Windows XP può talvolta portare a un BSOD se per l'autenticazione viene utilizzato un Aladdin eToken 72k (Java). Per questa ragione, in Windows XP l'ibernazione combinata con Aladdin eToken a 72k (Java) non è supportata, per evitare la perdita di dati non salvati quando si verifica un BSOD.
  • (DEF66637) La disconnessione di un lettore di smartcard USB non viene adeguatamente rilevata se si utilizza middleware per smartcard Gemalto .NET
    In questo caso il desktop non viene bloccato automaticamente. Ciò non si verifica quando la smartcard viene estratta dal lettore: un'operazione che agisce come previsto.
  • (DEF67495) Se si utilizza middleware Gemalto Classic è impossibile effettuare l'accesso in modalità non cifrata durante la POA.
  • (DEF67397, DEF67386 ) I token TCOS non sono supportati su Windows Vista.
  • Le notifiche di ActivIdentity generano l'arresto anomalo di Winlogon.exe
    In alcuni sistemi Windows XP, Winlogon.exe può arrestarsi in maniera anomala se sono abilitate le notifiche di ActivClient.
    Per eludere il problema:
    Disabilitare le notifiche di ActivClient nell'“Advanced Configuration Manager” di ActivIdentity sotto “Notifications Management”.

Prodotti antivirus testati con SafeGuard Device Encryption

La cifratura basata su volume di SGE ha superato test relativi ad installazioni simultanee dei prodotti di Sophos Anti-virus e dei seguenti:

 

Produttore

Prodotto

Versione

F-Secure Client Security 9.10 B249
Kaspersky Business Space Security - AntiVirus
6.0.4,1424
Symantec Endpoint Protection 12.1
Trend Micro Enterprise Security per endpoint - Office Scan
10.5
McAfee McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8

Torna alla landing page delle note di rilascio di Sophos SafeGuard

 
Per maggiori informazioni o per assistenza, vi preghiamo di contattare il supporto tecnico.

Valutate l'articolo

Molto scadente Eccellente

Commenti