80
cynapspro Endpoint Data Protection Bedienung

cynapspro endpoint data protection 2010 - Bedienungsleitfaden

Embed Size (px)

DESCRIPTION

Handbuch der cynapspro Endpoint Data Protection. Erläuterungen zu DevicePro, CryptionPro, CryptionPro HDD, ErasePro, PowerPro und ApplicationPro. Weitere Informationen über die cynapspro Endpoint Data Protection 2010 finden Sie unter http://cynapspro.com/DE/

Citation preview

Page 1: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

cynapspro Endpoint Data Protection

Bedienung

Page 2: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

2

cynapspro Endpoint Data Protection

Alle Rechte vorbehalten, 2004 – 2010 cynapspro GmbH. Diese Dokumentation ist urheberrechtlich geschützt. Alle Rechte liegen bei der cynapspro GmbH. Jede andere Nutzung, insbesondere die Weitergabe an Dritte, Speicherung innerhalb eines Datensystems, Verbreitung, Bearbeitung, Vortrag, Aufführung und Vorführung ist untersagt. Dies gilt sowohl für das gesamte Dokument, als auch Teile davon. Änderungen vorbehalten. Die in dieser Dokumentation beschriebene Software unterliegt einer permanenten Weiterentwicklung. Aufgrund dessen kann es zu Unterschieden in der Dokumentation und der tatsächlichen Software kommen. Cynapspro devicepro® sind eingetragene Markenzeichen der cynapspro GmbH. Alle verwendeten Produktnamen und Warenzeichen sind Eigentum ihres jeweiligen Besitzers.

cynapspro GmbH Am Hardtwald 1 76275 Ettlingen

Germany

Tel. +49 (0)7243 945-250 Fax. +49 (0)7243 945-100

eMail: [email protected]

Page 3: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

3

Inhaltsverzeichnis

Allgemeines zu cynapspro Endpoint Data Protection 2010

Die Management Konsole o Hostname/ Port ändern o Sprache ändern

Active Directory/ NDS Synchronisation o Active Directory Synchronisation o Scheduler o Domaincontroller Verwaltung o Log der Synchronisation o Nicht mehr vorhandene Objekte

Eigenes Directory

Vererbung von Gruppenrechten

Rechteverwaltung o Zugriffsverwaltung o Zeitsegmentschema - Zugriffsrechte zeitabhängig steuern o Einmalige Freigabe o Freischaltcode generieren

Freischaltung ganzer Geräteklassen Challenge Response für einzelne Gerätefreischaltungen

o Aktivieren/Deaktivieren von Benutzern oder Rechnern o Logdateien anzeigen o Benutzer Info o Rechte exportieren o Kombination von Rechner und Benutzer o Rechnerrechte o Die Reihenfolge der Rechte

Gerätefreigabe o Freigegebene Gerätegruppen o Individuelle Gerätefreigabe o Medienfreigabe

Administration o Änderungswünsche o Mailversand o Administrative Rollen o Administratoren und Bereiche o Datenbankpflege o Protokollierung o Contentheaderfilter o Serververwaltung o Integration von Fremdsystemen o Lizenzverwaltung o Logfiles Verwaltung o Clienteinstellungen

Page 4: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

4

o Individuelle Benutzermeldungen o MSI Paket generieren o Installation/ Update der Agenten

Auswertungen o Nichtaktualisierte Rechte o Aktive/inaktive Benutzer o Analyse der Rechteänderungen o Rechteanalyse o Rechteübersicht - detailliert o Rechteübersicht - summary o Abweichungen von Standardrechten o Einmalige Freigaben o Protokollierung o Gesperrte Zugriffe o Zugriffsstatistik

Der DevicePro Agent o Zugriffsrechte anzeigen o Zugriffsrechte beantragen o Challenge Response für einzelne Gerätefreischaltungen o Freischaltcode eingeben o Anmelden als o Rechte importieren

Das DevicePro AdminTool o Datenbank Einstellungen o Directory Service Einstellungen o DevicePro Server Einstellungen o Loglevel

Lösungsszenarien (DevicePro) o Keine Verbindung zum Server o Erste Schritte nach der Installation o Nur firmeneigene Geräte erlauben o Benutzern bestimmte Geräte freigeben o Sperren von Dateitypen o Zugriffsrechte offline ändern o Erhalten von Überblick auf Dateizugriffen o Administratoren für verschiedene Ebenen o Serverumzug o Zusammenführen zweier Datenbanken

Anhang

o Bausteine zum Erstellen einer DevicePro Rechtedatei o Unattended Installation von cynapspro Endpoint Data Protection

ApplicationPro

o Einführung o Rechteverwaltung o Lernmodus o Handhabung von ApplicationPro Anhand des Lernmodus o Verwaltung von Programmen

Page 5: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

5

o Verwaltung von Rollen o ApplicationPro Einstellungen o Vertrauenswürdige Objekte

Lösungsszenarien (ApplicationPro)

CryptionPro o Übersicht o Verschlüsselungseinstellungen o Schlüsselverwaltung o CryptionPro Gruppenverwaltung o CryptionPro Mobile (Globale Einstellungen) o Blacklist der Geräte o Unverschlüsselten Dateitransfer o Konfiguration der Benutzer o CryptionPro Mobile (Clientsoftware)

Lösungsszenarien (CryptionPro)

CryptionPro HDD o Standard Einstellungen o Pre-Boot Authentication o PBA Einstellungen o Full Disk Encryption o Installation und Verwaltung

ErasePro o Benutzerverwaltung o Sicheres Löschen von Dateien am Client

PowerPro o Profilverwaltung o Rechnereinstellungen o Scheduler o Ausnahmen o Benutzerberechtigungen o Einstellungen

Page 6: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

6

Allgemeines zu cynapspro Endpoint Data Protection 2010

Für die Administration des DevicePro Servers stehen Ihnen zwei Werkzeuge zur Verfügung:

Die Management Konsole: Die Management Konsole ist die zentrale Oberfläche zur Steuerung sämtlicher Funktionen für DevicePro. Die Management Konsole ist standortunabhängig einsetzbar, d.h. jeder Administrator kann diese von seiner Arbeitsstation ausführen.

DevicePro AdminTool: Im DevicePro AdminTool konfigurieren bzw. überprüfen Sie die Servereinstellungen.

Mit der Installation der DevicePro Clientkomponente wird ein Kernelfiltertreiber auf dem Windows System installiert. Dieser hat die Aufgabe, die empfangenen Rechte, welche zugeteilt wurden, umzusetzen. Der Einsatz des Kernelfiltertreibers hat den Vorteil, dass offline alle Rechte erhalten bleiben. Des Weiteren bietet der Kernelfiltertreiber auf dem PC eine weit höhere Sicherheit vor Inkompatibilitäten und Problemen. Die Clientkomponente von DevicePro sollte auf jeder Arbeitsstation installiert werden.

Page 7: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

7

Die Management Konsole Die DevicePro 2010 Management Konsole finden Sie im Startmenü unter

> Programme > cynapspro GmbH

Hostname/ Port ändern Sie können die Management Konsole von jedem Arbeitsplatz aus ausführen. Hierfür kopieren Sie lediglich die Konsole auf ein Netzlaufwerk bzw. direkt auf Ihren Computer. Tragen Sie den Hostnamen bzw. den Port in der Abfrage ein. Klicken Sie in der Symbolleiste auf Datei > DevicePro Server, wenn Sie sich an einem anderen Server anmelden und/oder die Einstellungen ändern wollen. Sprache ändern Möchten Sie in der Management Konsole die Sprache ändern, so klicken Sie in der Symbolleiste auf Extras > Optionen. Es werden die beiden Sprachen Deutsch und Englisch angeboten.

Page 8: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

8

Active Directory/ NDS Synchronisation Damit Benutzer und Gruppen aus Ihrem bestehenden Directory Service in die Datenbank von DevicePro 2010 übernommen werden können, gibt es die Funktion der Active Directory/ NDS Synchronisation. Die Synchronisierung des DevicePro Servers mit dem Directory Service wird die komplette Struktur aus dem Directory auslesen und übernehmen. Es werden auf dem Server weder Schemaerweiterungen noch andere Änderungen stattfinden. Alle relevanten Daten werden eins zu eins kopiert. Bevor Sie mit der ersten Synchronisation beginnen, ist es möglich Standardberechtigungen für die Benutzer zu setzen. Dies ist sinnvoll, damit Sie nicht bei jedem neuen Benutzer die gleichen Rechte manuell hinterlegen müssen. Diese können Sie unter Rechteverwaltung > Spezifische Benutzer > Standardrechte (Neuer Benutzer) einstellen. Um die Synchronisation zu starten, gehen Sie auf AD bzw. NDS Synchronisation und klicken den Button Start. Haben Sie einige Gruppen aktiviert und möchten, dass die neuen Benutzer dieser Gruppen sofort aktiviert werden, setzen Sie den Haken bei Neue Benutzer in den aktiven Gruppen automatisch aktivieren.

Damit die gesamte Verzeichnisdienststruktur nicht jedes Mal synchronisiert werden muss, können Sie die zu synchronisierenden OU‟s oder Gruppen im linken Fenster auswählen.

Page 9: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

9

Active Directory Synchronisation – Scheduler Es werden öfters Benutzer und Gruppen angelegt bzw. gelöscht. Damit der Directory Service nicht bei jeder Änderung manuell synchronisiert werden muss, gibt es die Funktion der automatischen Synchronisation. Mit dem Scheduler (dt. Zeitplaner) ist es möglich eine solche automatische Synchronisation der Directory Struktur durchzuführen.

Es können die Uhrzeiten, sowie die jeweiligen Wochentage und Zeitintervalle eingestellt werden. Klicken Sie auf Bestätigen, um die eingestellte Auswahl zu übernehmen. Domaincontroller Verwaltung Falls Sie mehrere Domaincontroller (DC) im Einsatz haben und alle OU‟s, Gruppen und Benutzer dieser DC synchronisieren möchten, können Sie weitere DC hinterlegen. Der Ersten Domaincontroller wurde während der Installation angegeben. Unter Weitere Domaincontroller können Sie weitere DC hinterlegen, indem Sie auf Einfügen klicken und die benötigten Daten eintragen. Klicken Sie anschließend auf Bestätigen.

Page 10: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

10

Log der Synchronisation Hier können Sie einsehen, wann eine Synchronisation erfolgreich oder erfolglos durchgeführt wurde. Nicht mehr vorhandene Benutzer Werden Benutzer, Rechner, Gruppen oder OU„s aus dem Directory Service gelöscht, so sehen Sie diese nach der Synchronisation unter Nicht mehr vorhandene Benutzer. Wollen Sie diesen aus der Datenbank entfernen, wählen Sie ihn aus und klicken auf Löschen.

Eigenes Directory Sie haben die Möglichkeit DevicePro ohne ActiveDirectory oder Novell eDirectory zu verwalten. Sobald ein MSI Paket auf einem Rechner installiert wird, finden Sie diesen und alle angemeldeten Benutzer unter Ungeordnete. Für eine erhöhte Übersichtlichkeit können Sie eigene OU‟s anlegen. Hierfür klicken Sie mit der Maustaste auf die Domaine/ Arbeitsgruppe und wählen Organizational Unit einfügen aus. Benutzer können Sie anschließend in die zuvor angelegten OU‟s verschieben. Hier wählen Sie den Benutzer aus, betätigen die rechte Maustaste und wählen verschieben nach aus.

Page 11: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

11

Vererbung von Gruppenrechten Um Ihren Administrationsaufwand zu verringern, bieten wir Ihnen die Möglichkeit, Benutzer über Gruppen zu verwalten. Standardmäßig sind alle Benutzer von der Vererbung ausgeschlossen. Um einen Benutzer mit der Vererbung auszustatten klicken Sie in der Rechteverwaltung beim Benutzer auf das Kreuz in der Spalte VA (Vererbung aktiv). Dies können Sie im Kontextmenü des Benutzers vornehmen, indem Sie hier auf Vererbung aktivieren klicken. Nun erhält der Benutzer vorerst Standardrechte, die Sie unter Spezifische Benutzer eingestellt haben. Möchten Sie, dass der Benutzer automatisch die Rechte der übergeordneten Gruppe erhalten soll, so gehen Sie unter AD Synchronisation auf Vererbungseinstellungen.

Hier bestimmen Sie nun, wie die Verberbung vorgenommen werden soll. Damit Sie im AD/NDS keine Gruppen für DevicePro anlegen müssen, können Sie DevicePro eigene Gruppen definieren. Hierfür gehen Sie bitte auf DevicePro Gruppenverwaltung. In der Verzeichnis-Dienst Struktur wählen Sie die übergeordnete OU und klicken mit der rechten Maustaste auf diese. Hier gehen Sie auf DevicePro Gruppe einfügen. Anschließend benennen Sie die von Ihnen in DevicePro angelegte Gruppe und teilen auf der rechten Seite der Gruppe die jeweiligen Benutzer über Gruppenmitglieder zu.

Page 12: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

12

Rechteverwaltung

Zugriffsverwaltung Die Zugriffsverwaltung basiert auf Ihrem Directory Service. Auf der linken Seite sehen Sie die OU‟s, Gruppen und Ordner. Klicken Sie auf eine OU, so sehen Sie im rechten oberen Fenster deren Gruppen und Benutzer.

Wählen Sie zunächst die jeweiligen Benutzer, Rechner oder Gruppen manuell oder über die Suchfunktion in der Verzeichnis-Dienst Struktur aus. Danach werden unter Zugriffsverwaltung im unteren Teil des rechten Fensters alle Geräte und Ports angezeigt. Wählen Sie nun den gewünschten Gerätetyp aus und aktivieren Sie die Auswahl durch betätigen der rechten Maustaste. Folgende Einstellungen können Sie hier vornehmen:

- Kein Zugriff - Lesezugriff - Vollzugriff - Zeitgesteuerter Zugriff

Page 13: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

13

Nachdem Sie eine Auswahl getroffen haben, können Sie die vorgenommenen Änderungen mit dem Button Speichern zuweisen. Anschließend werden die geänderten Zugriffsrechte sofort wirksam. Ein Neustart bzw. eine Neuanmeldung des Benutzers ist nicht notwendig. Sollte die Clientkomponente nicht online sein, wird die Änderung bei der nächsten Anmeldung zugewiesen. Die Zuweisung kann kontrolliert werden, in dem Sie die Registerkarte Revision auswählen. Hier sehen Sie ob und welche Rechte, wann und von wem über welches Verfahren zugewiesen wurden.

Durch Betätigung des Emergency Buttons werden alle Rechte des Users auf „kein Zugriff“ gesetzt.

Zeitsegmentschema - Zugriffsrechte zeitabhängig steuern Hier können Sie für einzelne Wochentage und Uhrzeiten entsprechende Rechte zuweisen. Einmalige Freigabe Durch die Einmalige Freigabe haben Sie die Möglichkeit, temporär Zugriffsrechte zuzuweisen, die dann nach Ablauf der gewählten Dauer auf die vorher gültigen Rechte zurückgesetzt werden. Freischaltcode generieren Mit dieser Funktion haben Sie die Möglichkeit einem Benutzer der offline ist, per Freischaltcode Zugriffsrechte zuzuweisen.

Freischaltung ganzer Geräteklassen Um einen Freischaltungscode für eine ganze Geräteklasse zu generieren, gehen Sie bitte bei dem entsprechenden Benutzer mit der rechten Maustaste auf die jeweilige Geräteklasse. Dort finden Sie nun im Kontext Menü Freischaltungscode generieren. Wählen Sie hier den Zugriff bzw. Zeitraum aus und klicken anschließend auf generieren. Der generierte Code kann nun von dem Benutzer direkt am Tray-Icon der Clientkomponente über die Funktion Freischaltungscodes eingeben eingegeben werden. Dieser Code gilt nur für diesen einzelnen Benutzer und kann nur einmalig eingesetzt werden.

Page 14: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

14

Falls der Benutzer ein Gerät nutzen sollte, welches sich aktuell nicht in der Whitelist (Gerätefreigabe) befindet, so kann man dies durch setzen des Haken “Whitelist ignorieren” umgehen. Aktivieren/Deaktivieren von Benutzern oder Rechnern Die Zugriffsrechte greifen nur bei den aktiv gesetzten Benutzern/Rechnern. Sobald der Benutzer oder Rechner inaktiv geschaltet ist, gelten weder die Rechte für die Zugriffsverwaltung, noch die Gerätefreigabe. Klicken Sie hierfür mit der rechten Maustaste auf den Benutzer bzw. die Gruppe und aktivieren bzw. deaktivieren ihn. Erst nach Aktivierung eines Benutzers oder Rechners wird für das jeweilige Modul (DevicePro, ApplicationPro oder CryptionPro) eine Lizenz in Anspruch genommen.

Sie können alle Module auf einmal aktivieren bzw. deaktivieren, in dem Sie auf Alle aktivieren oder Alle deaktivieren klicken. Logdateien des Agenten Möchten Sie die Protokolldatei des Agenten eines Benutzers abrufen, so können Sie dies in der Rechteverwaltung vornehmen. Klicken Sie einfach mit der rechten Maustaste auf den jeweiligen Benutzer. Sie sehen im Kontextmenü den Punkt Logdateien des Agenten. Hier gibt es drei Auswahlmöglichkeiten. Zum einen können Sie sich das neueste Protokoll anschauen, indem Sie auf Aktuelle Logdatei anzeigen klicken. Es öffnet sich die aktuelle Datei im Editor als log-Format.

Page 15: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

15

Möchten Sie aber auf eine ältere Protokolldatei zugreifen bzw. mehrere Logs dieses Benutzers öffnen, haben Sie die Möglichkeit dies mit Alle Logdateien anzeigen… abzufragen. Haben Sie dies angeklickt, so können Sie die gewünschte Logdatei in einer Liste auswählen.

Nach anklicken der gewählten Protokolldatei, öffnet sich diese im Editor. Nun können Sie die Tätigkeiten des jeweiligen Benutzers kontrollieren bzw. überprüfen.

Sie können in der DevicePro Management Konsole ältere oder alle Logdateien löschen. Benutzer Info Über den Button Benutzer Info haben Sie die Möglichkeit, sich eine komplette Übersicht der Rechte und Einstellungen des gewählten Benutzers anzeigen zu lassen.

Page 16: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

16

Dazu wählen Sie in der Rechteverwaltung einen Benutzer aus und klicken auf Benutzer Info oder gehen direkt mit Rechtsklick auf den entsprechenden User und wählen Benutzer Info. Es öffnet sich ein Fenster mit den entsprechenden Rechten und Einstellungen dieses Benutzers. Nun haben Sie noch die Möglichkeit sich diese Rechte auszudrucken bzw. für Auswertungen als csv-Datei abzuspeichern. Rechte importieren Befinden Sie sich derzeit an einem Rechner der nicht am Firmennetzwerk angebunden ist, wollen aber trotzdem die Benutzerrechte ändern, so können Sie die Benutzerrechte aus der Management Konsole exportieren und in den Agent importieren. Vorerst konfigurieren Sie die Zugriffsrechte des entsprechenden Benutzers. Anschließend klicken Sie den Benutzer in der DevicePro Management Konsole mit der rechten Maustaste an. Gehen Sie nun auf Rechte exportieren und die dpa Datei ab. Nachdem Sie dem Benutzer die dpa Datei zur Verfügung gestellt haben, kann dieser mit der rechten Maustaste auf das DevicePro TrayIcon klicken. Hier sehen Sie die Option Rechte importieren. Sie können nun die dpa Datei des Benutzers auswählen. Nach dem Speichern werden sofort die geänderten Rechte gültig. Kombination von Rechner und Benutzer Möchten Sie, dass ein Benutzer auf einen oder mehreren Rechner abweichende Rechte besitzt, so können Sie dies in der Rechteverwaltung tun. Klicken Sie einfach mit der rechten Maustaste auf den jeweiligen Benutzer. Schon sehen Sie im Kontextmenü den Button Rechner zuweisen.

Page 17: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

17

Sie sehen jetzt die Verzeichnis-Dienst Struktur Ihrer Rechner. Nun können Sie den jeweiligen Rechner aussuchen und den in das rechte Auswahlfenster verschieben. Bestätigen Sie die Auswahl mit OK. Unter dem ausgewählten Benutzer sehen Sie den zugewiesenen Rechner. Sie können jetzt in der Benutzerverwaltung alle Personen mit zugewiesenen Rechnern sehen. Wählen Sie einen von diesen Rechnern aus, damit Sie in der Zugriffsverwaltung die entsprechenden Rechte vergeben können. Natürlich können Sie einer Person mehrere Rechner zuweisen und diese mit verschieden Rechte versehen. Rechnerrechte Wollen Sie einem oder mehreren Computern Rechte vergeben, unabhängig davon welche Benutzer angemeldet sind?

Dann gehen Sie in der Rechteverwaltung zur Verzeichnisdienst Struktur. Steuern Sie unten den Reiter Rechner an. Suchen Sie sich über die Dienststruktur den gewünschten Rechner aus.

Page 18: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

18

Mit der rechten Maustaste können Sie jetzt den Rechner für DevicePro, ApplicationPro oder die Protokollierung aktivieren. Danach können Sie in der Zugriffsverwaltung die entsprechenden Rechte vergeben. Die Reihenfolge der Rechte Sie fragen sich bestimmt, welche Rechte zuerst greifen würden, wenn man für den Rechner und den Benutzer verschiedene Rechte vergeben hat. DevicePro prüft erst welche Rechte der Rechner hat, sind keine Rechteeinschränkungen vorhanden, prüft DevicePro die Rechteeinschränkungen für die Kombination von Rechner und Benutzer, sind da auch keine vorhanden, greifen die Rechte des Benutzers ein.

Page 19: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

19

Gerätefreigabe Bei den Gerätefreigaben unterscheidet DevicePro in Geräteklassen. Hier stehen folgende Möglichkeiten zur Verfügung:

- Freigegebene Gerätegruppen o Ermöglicht nur die Gerätegruppen zuzulassen, die Sie in die Liste aufnehmen.

Alle anderen Gerätegruppen werden gesperrt.

- Individuelle Gerätefreigabe o Die individuelle Freigabe von Geräten ermöglicht, Zugriff auf Geräte mit einer

bestimmten Seriennummer zu bekommen, egal welche Rechte der Benutzer hat.

- Medienfreigabe o Die Medienfreigabe dient der Freigabe von einzelnen CD/DVD Datenträgern.

Freigegebene Gerätegruppen Hierbei handelt es sich um die herstellerspezifische Geräteklasse, die Sie in Ihrem Netzwerk freigeben können. Alle Geräte dieses Typs (z.B. Kingston Data Traveler Model X ) und der jeweiligen Geräteklasse (USB-Massenspeicher) sind dann autorisiert. Diese Gerätefreigabe baut auf die Zugriffsverwaltung des jeweiligen Benutzers auf. Sobald für eine Gerätegruppe eine Freigabe existiert, werden alle anderen Gerätegruppen dieses Devicetyps gesperrt. Sie können alle Geräte, die gerade angeschlossen sind bzw. waren, in die Liste der freigegebenen Geräte einfügen. Hierzu wählen Sie den jeweiligen oder mehrere Clients aus, an dem sich das/die gewünschte/n Gerät/e befinden. Die Clients können Sie anhand des Hostnamens oder über den Benutzernamen, der an der jeweiligen Arbeitsstation angemeldet ist, über die Filterfunktion herausfiltern. Wenn Sie die Auswahl getroffen haben, drücken Sie oben die Taste Einfügen. Es erscheint nun das Fenster mit der Auswahl an Geräten, die Sie nun in die Whitelist aufnehmen können. Durch die Deaktivierung des Hakens nur verfügbare Geräte anzeigen werden in der Liste alle Geräte angezeigt, die jemals angeschlossen waren. Durch das Markieren können Sie Geräte auswählen und mit Einfügen in die Gerätefreigabenliste einfügen. Mit der Eingabe eines Kommentars lassen sich die Gerätefreigaben bzw. die Herkunft der Geräte besser katalogisieren.

Page 20: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

20

Individuelle Gerätefreigabe Externe Geräte, die in der individuellen Freigabe sind, haben immer die gewünschten Zugriffsrechte, egal welche Rechte der angemeldete Benutzer hat. Gehen Sie in die Gerätefreigabe und klicken Sie dann auf Individuelle Gerätefreigabe. Sie können einzelne Geräte für Benutze und/oder Rechner freigeben.

Haben Sie den Rechner ausgewählt, klicken Sie auf Einfügen. Nun öffnet sich das Fenster Neues Device einfügen. Sie sehen nun alle Geräte, die im Moment angeschlossen sind. Möchten Sie ein Gerät hinzufügen, das zurzeit nicht angeschlossen ist, aber zuvor war, deaktivieren Sie den Haken nur verfügbare Devices anzeigen. Wählen Sie ein oder mehrere Gerät/e aus. Im Fenster Neues Device einfügen sehen Sie die Spalte Unique. Ist hier der Haken gesetzt, hat das Gerät an allen Ports die gleiche Seriennummer. Somit kann es dann ohne Probleme an allen Ports angeschlossen werden und Sie haben immer volle Zugriffsrechte darauf. Sollte das Gerät vom Hersteller keine einheitliche (engl. Unique) Seriennummer erhalten haben, können Sie die Geräte an mehreren Ports anstecken um hierfür die jeweilige Seriennummer freigeben zu können. Standardmäßig können Sie Geräte nach der HardwareID und Seriennummer des Herstellers freigeben. In wenigen Fällen hat der Hersteller keine einheitlichen Seriennummern für ein Gerät vergeben. Hier generiert Windows bei jedem Anstecken des Gerätes eine individuelle Seriennummer. Bei diesen Geräten empfiehlt es sich, Massenspeichergeräte nach der VolumeID freizugeben. Möchten Sie ein Gerätemodell freigeben, so können Sie die Freigabe nach der HardwareID oder dem Namen dieser Gerätegruppe machen. Sie können auswählen, ob Sie das Gerät nach der HardwareID + Seriennummer, HardwareID, VolumeID oder nach dem Namen freigeben möchten.

Page 21: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

21

Nach dem Speichern sind diese Devices sofort für alle Benutzer auf diesen Gerätetyp freigegeben. Sie haben folgende drei Möglichkeiten um ein spezifisches Gerät frei zu geben. Möchten Sie dieses Gerät für einzelne Benutzer freigeben, klicken Sie in der Zugriffsverwaltung bei Benutzer auf Einfügen. Sie können somit bestimmen, dass ein Benutzer immer einen Lese- oder Vollzugriff auf diesen USB Stick bekommt, egal wo er sich anmeldet.

Soll das Gerät an einem Rechner freigegeben werden, gehen Sie in der Zugriffsverwaltung auf den Reiter Rechner und anschließend auf Einfügen. Wählen Sie nun den jeweiligen Rechner aus und klicken Sie auf OK. Das Zugriffsrecht können Sie unter Rechte ändern.

Page 22: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

22

Anschließend hat jeder Benutzer an diesem Rechner auf das von Ihnen ausgewählte Gerät Lese- oder Vollzugriff. Sie können das Gerät in einer Benutzer- Rechnerkombination freigeben. Hierfür wählen Sie bei dem freigegebenen Gerät den betroffenen Benutzer aus und gehen auf Rechner zuweisen. Wählen Sie nun den jeweiligen Rechner aus und klicken Sie auf OK. Das Zugriffsrecht können Sie unter Rechte ändern.

Page 23: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

23

Medienfreigabe Mit der Medienfreigabe haben Sie die Möglichkeit über einen im Hintergrund ermittelten Hashwert eine bestimmte CD/DVD für die Firma, eine OU oder einen einzelnen Mitarbeiter freizugeben. Die Medienfreigabe finden Sie unter dem Navigationspunkt Gerätefreigabe. Vorab wählen Sie einen in der Liste der DevicePro Agenten aufgeführten Rechner aus, indem sich die CD/DVD befindet. Klicken Sie nun auf Einfügen und wählen den Datenträger, den Sie freigeben möchten. Falls Sie einen Datenträger freigeben möchten, der zurzeit nicht angeschlossen ist, deaktivieren Sie den Haken bei nur verfügbare Devices anzeigen. Zum Bestätigen klicken Sie unten auf Einfügen.

Klicken Sie auf Speichern um die CD/DVD für alle Benutzer freizugeben. Möchten Sie die Freigabe aber für einzelne OU`s, Benutzer und/oder in Verbindung mit Rechnern freigeben, so gehen Sie in der Zugriffsverwaltung auf Einfügen und wählen sich die gewünschten OU`s oder Benutzer aus. Um eine Benutzer-Rechner-Kombination zuzuweisen, wählen Sie den Benutzer aus, klicken auf Rechner zuweisen und bestätigen mit OK, nachdem Sie den gewünschten Rechner gewählt haben. Challenge Response für einzelne Gerätefreischaltungen Mit dem Challenge Response Verfahren haben Sie die Möglichkeit dem Offline User bei Bedarf einzelne Geräte frei zu geben. Hierfür öffnet der Benutzer vorerst seinen DevicePro Agent. Unter Aktuelle Geräte findet der Mitarbeiter die momentan am Rechner angeschlossenen Devices. Hier klickt er nun mit der rechten Maustaste auf das entsprechende Gerät und wählt Anfragecode generieren.

Page 24: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

24

Diesen Anfragecode gibt nun der Administrator in der Management Konsole beim Benutzer über die Gerätefreigabe / Challenge-Response Freigabe ein. Anschließend erhalten Sie Informationen zum beantragten Gerät. Wählen Sie hier den Zugriff bzw. Zeitraum aus und klicken anschließend auf generieren. Der generierte Code kann nun von dem Benutzer direkt am Tray-Icon der Clientkomponente über die Funktion Freischaltungscodes eingeben eingegeben werden. Dieser Code gilt nur für diesen einzelnen Benutzer und kann nur einmalig eingesetzt werden.

Page 25: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

25

Administration

Änderungswünsche Durch das Ticketsystem haben Sie die Möglichkeit, sich Änderungswünsche von Benutzern zukommen zu lassen und diese entsprechend sofort mit der rechten Maustaste frei zu geben.

Der Benutzer kann zum Beantragen von Änderungswünschen das Tray-Icon mit der rechten Maustaste klicken, um die Funktion Änderungswünsche beantragen… zu öffnen. Anschließend öffnet sich das Fenster DevicePro – Beantragen der Zugriffsrechte. Hier kann dann der Benutzer in den Drop-Down Listen das erforderliche Gerät auswählen und den gewünschten Zugriff beantragen. Klickt er auf Einfügen, so wird das Gerät mit Zugriffsart in die Liste der Rechte zur Beantragung genommen. Anschließend kann der Benutzer eine Begründung abgeben und mit dem Button Senden seine Wünsche dem Administrator zuschicken. Der Administrator bekommt in der Management Konsole unter Administration sofort eine Meldung über den Änderungswunsch. Sie können die gewünschten Rechte entsprechend freigeben oder in der Rechteverwaltung die momentanen Rechte überprüfen.

Somit können Sie bestimmen, ob die Änderungswünsche akzeptiert bzw. entsprechend angepasst werden. Geben Sie die Rechte frei, erhält der Beantragende sofort die Änderung zugeteilt.

Page 26: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

26

Mailversand Über den Mailversand haben Sie die Möglichkeit sich eine oder mehrere Emailadressen zu wählen, die neben der Benachrichtigung über die Management Konsole des Administrators eine Email mit Änderungswünschen erhält.

Dazu gehen Sie in der Administration unter Administrator – Werkzeuge in den Mailversand. Hier können Sie die Email-Benachrichtigung aktivieren und sich eine oder mehrere Emailadressen eintragen, die bei Änderungswünschen eine Infomail bekommen. Dafür klicken Sie auf Einfügen, wählen den Vorgang, bei dem Sie eine Email erhalten sollen, sowie die entsprechende Emailadresse. Als nächstes können Sie den standardmäßigen Absendernamen Adresse Von, den SMTP Server und den SMTP Server Port (Standardmäßig: 25) eintragen. Die Einstellungen wirken nachdem Sie unten auf Bestätigen geklickt haben.

Page 27: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

27

Administrative Rollen DevicePro 2010 ermöglicht es, Administratoren anhand von Rollen mit verschiedenen Adminrechten auszustatten. In den administrativen Rollen können Sie die jeweiligen globalen und bereichsspezifischen Rollen für die Administratoren anlegen. Die globalen Rollen legen fest, in wie fern der Administrator folgende Operationen lesen bzw. ändern darf:

- Standardberechtigungen - Contentheaderfilter - Protokollierung - MSI Pakete für den Client erstellen - Logfiles Verwaltung - Administrative Rollen - Administratoren & Bereiche - Lizenzverwaltung - Clienteinstellungen - Änderungswünsche - ApplicationPro - Synchronisation - Scheduler

All diese Funktionen gelten global und können nicht auf die einzelnen Benutzer bzw. Gruppen angewendet werden. In den bereichsspezifischen Rollen können Sie Einstellungen auf folgende Administratorrechte zuordnen:

- Rechteverwaltung - Revision - Gerätegruppen Freigabe - Administrative Freigabe - Benutzerdefinierte Freigabe - Protokollierung - ApplicationPro (Rechteverwaltung & Lernmodus) - Auswertungen (Nichtaktualisierte Rechte, Analyse der Rechteverwaltung,

Rechteanalyse, Rechteübersicht, Protokollierung) Diese Rollen können Sie später individuell zu OU, Gruppen oder einem Benutzer zuweisen. Administratoren und Bereiche Supervisor besitzen generell alle Rechte. Administratoren werden bestimmte Rollen und Bereiche zugeteilt. Klicken Sie im Register Administratoren auf einen Benutzer um zu sehen, welche administrativen Rollen diesem zugeteilt wurden.

Page 28: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

28

Hier gibt es die beiden Register namens Globale und Bereichsspezifische.

- Unter Bereichsspezifische können Sie dem Administrator die Rollen der Administration von der gesamten Infrastruktur bis auf die Benutzerebene zuweisen. So können Abteilungsleiter die Rechte ihrer Mitarbeiter verwalten.

- Unter Globale können Sie dem Administrator die zuvor angelegten globalen Rollen zuweisen.

In den Bereichen der Administratoren werden die OU‟s, Gruppen, sowie Benutzer in drei verschiedenen Farben angezeigt:

- Rot: Der Administrator hat keine administrative Rollen in diesen OU‟s, Gruppen und Benutzern.

- Grau: Einige Elemente der Directory werden von diesem Administrator verwaltet. - Grün: Alle untergeordneten OU‟s, Gruppen und Benutzer werden administriert.

Datenbankpflege Bei längerem Einsatz der cynapspro Endpoint Data Protection Lösung bzw. in größeren Umgebungen kann die im SQL Server hinterlegte DevicePro Datenbank an Volumen zulegen. Um dieses Datenbankvolumen gering zu halten, können Sie die Daten der Protokollierung und Revision archivieren bzw. doppelte Datensätze löschen. Um Duplikate zu erörtern, klicken Sie bitte auf Analysieren. Nun sehen Sie wie viele doppelte Datensätze in der Protokollierung und Revision vorhanden sind. Um nun die Datenbank ohne Datenverlust zu minimieren, klicken Sie anschließend auf Löschen.

Page 29: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

29

Ist dennoch das Volumen der Datenbank zu groß, so können Sie alte Datensätze in Dateien, welche später trotzdem ausgewertet werden können, archivieren. Hierfür wählen Sie bitte, welcher Zeitraum pro Datei verwendet werden soll, an welchem Pfad die Archivierung abgelegt wird und ob Sie automatisch oder manuell die Archivierung vollziehen möchten. Protokollierung In der Administration der Protokollierung können Sie diese aktivieren bzw. deaktivieren. Sollen nicht alle Administratoren auf die Protokollierung aller Benutzer zugreifen können, haben Sie die Möglichkeit, bis zu zwei Passwörter zu hinterlegen. Erst nach Eingabe dieser Passwörter sind dann die Benutzer in der Protokollierung ersichtlich. Contentheaderfilter Mit dem Contentheaderfilter können Sie Filter anlegen. In diesen Filtern habe Sie die Möglichkeit das Lesen, Schreiben, Kopieren und Öffnen bestimmter Dateien von externen Geräten zu unterbinden. Dateien mit angegebenen Namen, Endung (engl. Extension) oder Größe werden bei der Option Blacklist gesperrt. Wenn Sie den Contentheaderfilter als Whitelist pflegen möchten, werden nur die von Ihnen angegebenen Dateien oder Dateitypen erlaubt. Sie können den Contentheaderfilter global für die ganze Firma oder benutzerspezifisch einsetzen. Bei einem globalen Einsatz aktivieren Sie den Haken in der Spalte global. Falls Sie den Filter für einzelne Benutzer oder Gruppen einsetzen wollen, wählen Sie in der Rechteverwaltung das Objekt aus und fügen den Filter im Reiter Contentfilter ein.

Page 30: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

30

Somit können Sie zum Beispiel einen Filter anlegen, der generell alle mp3-Dateien über 100 Byte und die Datei Scherz.exe sperrt. Hierfür müssen Sie lediglich folgende Schritte durchführen:

- Legen Sie einen neuen Filter an, in dem Sie im Fenster Filterdefinition auf Einfügen klicken. Mit Doppelklick können Sie Ihren Filter umbenennen. Wollen Sie den Filter für alle Benutzer gültig machen, so klicken Sie auf Global.

- Klicken Sie nun bei der Regeldefinition auf Einfügen, um eine neue Regel zu erstellen.

- Unter Name geben Sie * (alles) an. Bei Extension schreiben Sie mp3. Und bei Size Min. (kleinste Größe) hinterlegen Sie 100 Byte. Nun sind alle mp3‟s über 100 Byte auf externen Geräten gesperrt.

- Für das Sperren der Scherz.exe hinterlegen Sie bei Name das Wort Scherz. Bei Extension geben Sie exe an.

Serververwaltung Sie können mehrere DevicePro Server betreiben, um zum Beispiel die Ausfallsicherheit zu gewährleisten. Bei der Installation eines weiteren Servers, geben Sie in der Installationsroutine dieselbe Datenbank an. Anschließend sehen Sie alle DevicePro Server in der Serververwaltung. Sie können nun hinterlegen, ob sich die Clients an einen zufällig gewählten Server melden oder nach einer bestimmten Reihenfolge agieren sollen.

Die Serververwaltung ist auch bei einem Rechnerumzug des DevicePro Servers zu empfehlen.

Page 31: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

31

Hier geben Sie vor der Deinstallation des alten DevicePro Servers die höhere Priorität auf den neuen DevicePro Server.

Integration von Drittsystemen Sie haben ein System in dem Sie schon alle Benutzer Verwalten oder Rechteveränderungen vornehmen, und möchten, dass die Änderungen automatisch in die DevicePro Datenbank übernommen werden? Dafür haben wir die Rechteverwaltung über Drittsoftware entwickelt. Alle Ihre Änderungen können Sie als XML Datei abspeichern und wir werden diese automatisch übernehmen. Sie können in der DevicePro Management Konsole den Pfad bestimmen, an dem Sie die XML Dateien ablegen möchten. Hierfür gehen Sie in der Administration auf Integration von Drittsoftware. Sie legen hier den Pfad zum Einlesen der XML unter Verzeichnis für den Datenimport fest. Die beiden anderen Pfade werden automatisch angelegt. Wenn Sie aber einen anderen Ordner verwenden möchten, klicken Sie auf Durchsuchen. Wenn Sie nun eine XML Datei in den bei Verzeichnis für den Datenimport hinterlegten Pfad legen, wird diese sofort bearbeitet. Wurde die Datei erfolgreich eingelesen, so wird sie automatisch in den Ordner \Success verschoben. Ist die XML Datei fehlerhaft, so finden Sie diese nach dem Einlesen unter dem Ordner \Fail. Zusätzlich zu der Ordnerstruktur informiert der DevicePro Server Sie über den Status des Importvorganges. Wurde die XML Datei erfolgreich verarbeitet, so sehen Sie in dieser XML Datei den Status „Success“. Bei fehlerhaften Einlesen des XML Befehles erhalten Sie die Meldung "Failed" und einen Rückgabewert "ErrorText" mit dem Fehlertext Status="Failed", welches in dieser XML Datei niedergeschrieben wird. Somit erhält das Drittsystem ein Feedback, ob alles funktioniert hat, bzw. falls nicht, warum es nicht geklappt hat.

Page 32: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

32

Bitte beachten Sie die im Anhang erwähnten Bausteine zum Erstellen einer DevicePro Rechtedatei. Lizenzverwaltung Hier sehen Sie die Anzahl Ihrer erworbenen Lizenzen, die Anzahl der bereits aktiven Benutzer, sowie alle Add-Ons, welche mit Ihrer Lizenz aktiviert wurden. Wollen Sie weitere Lizenzen freischalten oder Add-Ons wie Protokollierung, ApplicationPro, CryptionPro etc. aktiveren, benötigen Sie dafür nur eine neue Lic-Datei. Sie öffnen diese mit dem Button Durchsuchen und klicken auf Bestätigen. Nun sind die neuen Lizenzen bzw. Add-Ons sofort aktiv. Logfiles Verwaltung Standardmäßig speichert DevicePro seine Logdateien im Ordner LOG des Installationsverzeichnisses ab. Sie können den Pfad der Logfiles aber auch nach Belieben ändern. Zusätzlich können Sie auch die Stärke der Protokollierung mit den drei Radiobuttons ändern. Der Betriebsmodus ist eine sehr grobe Protokollierung. Mit dem Modus Administration haben Sie eine detaillierte Logdatei. Möchten Sie eine sehr detaillierte Protokollierung, so wählen Sie das Level Debug. Desweiteren sehen Sie die Option Logdateien komprimieren. Falls Sie einen Support benötigen sollten, sind diese komprimierten Dateien unseren Mitarbeitern sehr hilfreich. Wählen Sie dann den Zeitraum, sowie die Komponenten aus. Nun klicken Sie auf Komprimieren und öffnen den Ordner. Anschließend senden Sie diese Datei samt Fehlerbeschreibung an unseren Support ([email protected]).

Page 33: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

33

Clienteinstellungen DevicePro bietet ein Ticketsystem an, mit welchem Benutzer Änderungswünsche der Zugriffsrechte an den Administrator senden können. Falls Sie den Benutzern nicht erlauben wollen, diese Funktion zu nutzen, können Sie in den Clienteinstellungen den Haken bei Anforderung der Rechtveränderungen erlauben herausnehmen. Dann können Benutzer keine Änderungswünsche per Ticketsystem beantragen. Desweiteren können Sie bei der Laufwerksbuchstaben Zuordnung festlegen, ab welchem Laufwerksbuchstaben externe Massenspeichergeräte anfangen sollen. Wenn Sie den ersten Laufwerksbuchstaben festlegen, verhindern Sie, dass ein externes Massenspeichergerät den gleichen Laufwerkbuchstaben wie ein Netzlaufwerk erhält. Somit können Sie mit einem Klick einen der häufigsten Supportfälle von Unternehmen entgegen wirken. Individuelle Benutzermeldung Mit der individuellen Benutzermeldung können Sie dem Benutzer bei Zugriffsverletzungen eine Nachricht hinterlegen. Diese erscheint dann als Popup über der Systemuhr.

Um diese zu Verwalten gehen Sie in der Administration unter Clientverwaltung in die Individuelle Benutzermeldung. Nun haben sie vorab die Möglichkeit sich eine aus den 2 angebotenen Sprachen Deutsch und Englisch zu wählen. Damit Sie die Nachricht nach Ihren Wünschen ändern können tätigen Sie einen Doppelklick auf Beispielsweise Kein Zugriff, hinterlegen die entsprechende Nachricht und bestätigen mit OK. Desweiteren haben Sie die Möglichkeit an einer beliebigen Stelle in der Meldung den Parameter #DeviceType einzutragen, damit dem Benutzer in der Nachricht die Klasse des gesperrten Gerätes angezeigt wird.

Page 34: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

34

Falls Sie den Zugriff auf externe Massenspeicher erlauben möchten, den Benutzer aber auf die Gefahren dieser Geräte aufmerksam machen möchten, verwenden Sie Sicherheitswarnungen. Beim ersten Zugriff auf ein Massenspeichergerät erfolgt dann eine von Ihnen definierte Warnung. Diese muss einmalig bestätigt werden. Erst nach bestätigen dieser Sicherheitswarnung werden externe Massenspeichergeräte erlaubt.

MSI Paket für den Client generieren Sie können hier ein MSI-Paket für die Installation des DevicePro 2010 Agenten generieren. Die Einstellungen für das Paket werden automatisch aus dem aktuellen DevicePro 2010 Server übernommen. Außerdem können Sie das MSI Paket so generieren, dass das Tray-Icon in Windows ausgeblendet wird. Um ein optimalen Offline Support zu gewährleisten wird empfohlen, das Tray-Icon nicht auszublenden. Durch Setzen des Hakens Stoppen unterbinden wird das MSI Paket so generiert, dass Benutzer mit administrativen Rechten nicht mehr die Möglichkeit besitzen den Dienst, der zur Kommunikation zwischen Server und Client dient, zu stoppen. Der Passwortschutz zur Deinstallation soll Benutzer mit administrativen Rechten daran hindern, den DevicePro 2010 Agenten zu deinstallieren. Falls Sie eine niedrige Bandbreite in Ihrem Netzwerk besitzen, können Sie den Timeout auf dem Client erhöhen. Standardmäßig wird hier ein Timeout von 12 Sekunden hinterlegt. Falls Sie Rechner über WLAN oder UMTS/GPRS am Firmennetzwerk angebunden haben, können Sie mit Rechte für Kommunikationsgeräte erlauben, dass die Funkverbindung erst nach einem Neustart des Rechners unterbunden wird. Installation/ Update der Agenten Um Ihnen die Arbeit bei Versionsupdates zu erleichtern, können Sie aus der DevicePro Management Konsole Ihre Agenten updaten bzw. installieren lassen. Für die Installation hinterlegen Sie bitte unter Einstellungen – Installation einen für die Installation berechtigten Domainenbenutzer (Beispiel: [email protected]). Bei Einstellungen - Update haben Sie zwei Möglichkeiten. Sie können das Update manuell anstoßen oder automatisiert bei jedem Serverupdate ausführen lassen.

Page 35: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

35

Um ein manuelles Update oder Installation aus der Konsole zu starten gehen Sie unter Administration / Installation/Update der Agenten auf die entsprechenden Rechner, wählen diese aus und klicken auf Install/Update. Ein automatisches Update wird ausgeführt, wenn Sie bei Download Einstellungen auf automatisch klicken und anschließend die Einstellung bestätigen. Sie können aber auch die Aktualisierungen zu einem bestimmten Zeitpunkt ausrollen und updaten lassen. Hierfür verwenden Sie bitte den Punkt Zeitgesteuert. Wenn Sie den Namen der MSI Datei umbenannt haben, aktivieren Sie bitte den Haken bei Namensänderungen zulassen. Falls die Installation über eine Softwareverteilung oder von einem Netzlaufwerk ausgeführt wurde, empfehlen sich diese Einstellungen ebenfalls. Des Weiteren haben Sie die Möglichkeit, sich anzeigen zu lassen, welche Clients bereits mit dem DevicePro Agent noch nicht ausgestattet wurden. Wählen Sie hier unter Ansicht nur die Rechner ohne Agent. Falls die Installation nicht ordnungsgemäß über die Management Konsole ausgeführt wurde. Überprüfen Sie bitte, ob am Client das MSI unter C:\Temp transferiert wurde. Falls dies nicht der Fall ist, überprüfen Sie bitte die Firewalleinstellungen. Befindet sich die MSI unter C:\Temp konnte aber nicht remote ausgeführt werden, so nehmen Sie folgende Group Policy Änderungen vor: Computer Configuration\Administrative Templates\Network\NetworkConnections\Windows Firewall\Domain Profile\Windows Firewall: Allow inbound remote administration exception Computer Configuration\Administrative Templates\Network\NetworkConnections\Windows Firewall\Standard Profile\Windows Firewall: Allow inbound remote administration exception

Page 36: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

36

Auswertungen Um sich einen Überblick über die Rechtesituation Ihrer Benutzer zu verschaffen, haben Sie hier mehrere Auswertungsmöglichkeiten. Alle Auswertungen sind so auswählbar, dass Sie die Anzeige auf die komplette Verzeichnis- Struktur oder auf einen Teil beschränken können. Wünschen Sie also nur eine Information aus einer bestimmten OU oder Gruppe, können Sie diese vorher aus dem Baum auswählen. Bei Aktivieren von Sofort berechnen werden alle Abfragen automatisch angezeigt. Somit müssen Sie nicht jedesmal auf Anzeigen klicken. Nichtaktualisierte Rechte Manchmal kann es vorkommen, dass sich ein Benutzer nach einiger Zeit noch nicht am Netzwerk angemeldet hat. Somit konnten frisch geänderte Rechte diesem Benutzer noch nicht zugewiesen werden. Dies können Sie hier kontrollieren. Aktive/Inaktive Benutzer Sehen Sie hier ein, welche Benutzer bereits aktiviert wurden, bzw. welche Benutzer noch nicht durch DevicePro geschützt wurden. Analyse der Rechteänderungen Hier sehen Sie, welcher Administrator wann und wem welche Rechte zugewiesen hat. Rechteanalyse Möchten Sie kontrollieren, welcher Benutzer bestimmte Rechte auf einen Gerätetyp hat, dann klicken Sie in der Rechteanalyse den jeweiligen Gerätetyp mit der rechten Maustaste und wählen die Zugriffsart aus. Klicken Sie auf Anzeigen. Nun sehen Sie alle Benutzer die das vorgegebene Zugriffsrecht für diese Devices besitzen. Hier sind auch Kombinationen von mehreren Gerätetypen möglich. Rechteübersicht - detailliert Möchten Sie einen Überblick erhalten, welche Zugriffsrechte zu welchen Benutzern zugeteilt wurden, hilft diese Funktion weiter. Klicken Sie auf die gewünschte Gerätegruppe und anschließend auf Anzeigen. Es werden alle Benutzer und deren Zugriffsrechte auf diese Gerätegruppen angezeigt.

Page 37: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

37

Rechteübersicht - Summary In der Rechteübersicht – Summary erhalten Sie die Zugriffsrechte prozentual. Sie wählen das Device aus, die gewünschte Ansicht und klicken auf Anzeigen. Nun erhalten Sie einen Überblick, welches Recht für das jeweilige Device wie oft in Ihrem Netzwerk vertreten ist. Sie können zwischen folgenden Ansichten auswählen:

- Tabelle - Kuchendiagramm - Balkendiagramm

Abweichungen von Standardrechten Hier können Sie einsehen, welche Benutzer keine identischen Rechte mit dem neuen Benutzer haben. Somit können Sie kontrollieren, welche Benutzer individuell angepasst wurden. Einmalige Freigaben Kontrollieren Sie, welche Benutzer derzeit eine zeitlich begrenzte Rechteänderung erhalten hat. Protokollierung In der Protokollierung können Sie überprüfen, wann und wo die Benutzer Dateien gelesen, kopiert, geschrieben oder gelöscht haben. Gesperrte Zugriffe Unter gesperrte Zugriffe finden Sie alle Zugriffsverletzungen. D.h. Sie können nachvollziehen, welche Benutzer wann und warum nicht auf ein Gerät zugreifen konnten.

Page 38: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

38

Zugriffsstatistik In der Zugriffsstatistik können Sie einsehen, wann Benutzer einen Zugriff auf ein externes Massenspeichergerät hatten.

Page 39: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

39

Der DevicePro Agent

Über das DevicePro Tray Icon lassen sich per Doppelklick verschiedene Funktionen aufrufen.

Benutzerrechte/ Aktuelle Geräte Es ist dem Benutzer mittels der Clientkomponente möglich, sich seine verschiedenen Benutzerrechte anzeigen zu lassen. Des Weiteren sieht der Benutzer alle aktuell angeschlossenen Geräte und die dazugehörigen Rechte unter aktuelle Geräte.

Zugriffsrechte beantragen Der Benutzer kann zum Beantragen von Änderungswünschen im DevicePro Agent die Funktion Rechte beantragen… öffnen.

Page 40: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

40

Hier kann dann der Benutzer in den Drop-Down Listen das erforderliche Gerät auswählen und den gewünschten Zugriff beantragen. Klickt er auf Einfügen, so wird das Gerät mit Zugriffsart in die Liste der Rechte zur Beantragung genommen. Es können gleichzeitig mehrere Änderungswünsche beantragt werden. Anschließend kann der Benutzer ein Begründung abgeben und mit dem Button Senden die Wünsche dem Administrator zuschicken. Der Administrator bekommt in der Management Konsole unter Administration oder per eMail sofort eine Meldung über diesen Änderungswunsch. Challenge Response für einzelne Gerätefreischaltungen Mit dem Challenge Response Verfahren haben Sie die Möglichkeit dem Offline User bei Bedarf einzelne Geräte frei zu geben. Hierfür öffnet der Benutzer vorerst seinen DevicePro Agent. Unter Aktuelle Geräte findet der Mitarbeiter die momentan am Rechner angeschlossenen Devices. Hier klickt er nun mit der rechten Maustaste auf das entsprechende Gerät und wählt Anfragecode generieren.

Diesen Anfragecode gibt nun der Administrator in der Management Konsole beim Benutzer über die Gerätefreigabe / Challenge-Response Freigabe ein. Anschließend erhalten Sie Informationen zum beantragten Gerät. Wählen Sie hier den Zugriff bzw. Zeitraum aus und klicken anschließend auf generieren. Der generierte Code kann nun von dem Benutzer direkt am Tray-Icon der Clientkomponente über die Funktion Freischaltungscodes eingeben eingegeben werden. Dieser Code gilt nur für diesen einzelnen Benutzer und kann nur einmalig eingesetzt werden.

Page 41: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

41

Freischaltcode eingeben Befindet sich ein Mitarbeiter nicht im Firmennetzwerk, möchte aber seine Rechte geändert haben, dann ist dies über einen Freischaltungscode möglich.

In der Rechteverwaltung können Sie den Benutzern oder Gruppen einen Code zum Freischalten von Geräten generieren. Anschließend gibt der Mitarbeiter diesen Code in seinem DevicePro Agenten ein und bekommt die geänderten Rechte zugewiesen. Anmelden als Wenn Sie auf einem bereits angemeldeten Rechner einen Zugriff eines anderen Benutzers erhalten wollen, aber nicht den Windows-User abmelden möchten, können Sie sich am DevicePro Agent ummelden.

Hierfür klicken Sie doppelt auf das DevicePro TrayIcon. Sie sehen nun im Menü den Punkt Rechte verändern und wählen hier Anmelden als…. Nach Anklicken dieser Option öffnet sich eine Eingabemaske.

Geben Sie hier den gewünschten Benutzernamen und dessen Passwort ein. Anschließend erhalten Sie sofort die Rechte dieses Benutzers. Falls Sie wieder auf die Rechte des momentan an Windows angemeldeten Users gehen möchten, klicken Sie im Kontextmenü des DevicePro TrayIcon auf Abmelden. Rechte importieren Befinden Sie sich derzeit an einem Rechner der nicht am Firmennetzwerk angebunden ist, wollen aber trotzdem die Benutzerrechte ändern, so können Sie die Benutzerrechte aus der Management Konsole exportieren und in den Agent importieren.

Page 42: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

42

Vorerst konfigurieren Sie die Zugriffsrechte des entsprechenden Benutzers. Anschließend klicken Sie den Benutzer in der DevicePro Management Konsole mit der rechten Maustaste an. Gehen Sie nun auf Rechte exportieren und die dpa Datei ab. Hierfür klicken Sie doppelt auf das DevicePro TrayIcon. Sie sehen nun im Menü den Punkt Rechte verändern und wählen hier Rechte importieren….. Sie können nun die dpa Datei des Benutzers auswählen. Nach dem Speichern werden sofort die geänderten Rechte gültig.

Page 43: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

43

Das DevicePro AdminTool Nach erfolgreicher Installation des DevicePro Servers können hier sowohl Server als auch Datenbankeinstellungen kontrolliert oder geändert werden. Das Tool wird standardmäßig unter C:\Programme\cynapspro GmbH\DevicePro 2010\ installiert und kann unter

> Programme > DevicePro 2010 aufgerufen werden. Datenbank Einstellungen Über den Button Prüfen können Sie die Verbindung zu der angegebenen Datenbank kontrollieren. DevicePro benötigt einen Administrator Datenbankbenutzer (DB Owner) um auf die Datenbank zu zugreifen. Directory Service Einstellungen

Voraussetzung für die Synchronisation der Verzeichnis Struktur in DevicePro ist, dass der angegebene Benutzer die benötigten Rechte (List Contents, Read All Properties) besitzt. Tragen Sie in das Feld Domaincontroller den Hostnamen des Verzeichnis-Dienst Servers ein. Über den Button Prüfen können Sie die Verbindung kontrollieren. DevicePro Server Einstellungen Für den Betrieb von DevicePro werden für die Kommunikation zwei Ports standardmäßig benötigt. Geben Sie an dieser Stelle den Client-Server XmlRpcPort und den Server-Client Notification Port ein. Der Client-Server XmlRpcPort wird von den Clients für eine Verbindung zum Server verwendet (Standard: 6005). Der Server-Client Notification XmlRpcPort dient der Benachrichtigung der Clients über die auf dem Server vorgenommen Rechteänderungen (Standard: 6006). Loglevel Der Serverdienst sowie der Agent protokollieren permanent Ihre Aktivitäten. Die Höhe der Detaillierung kann hier eingestellt werden. - Betrieb Modus: Nur Fehler - Administration Modus: Detailliert - Debug Modus: Sehr detailliert

Page 44: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

44

Lösungsszenarien Keine Verbindung zum Server

Die Installation wurde ohne Probleme fertiggestellt. Die Management Konsole bekommt aber keinen „Connect“ zum Server.

Um sicherzugehen, dass alle Einstellungen korrekt hinterlegt wurden, überprüfen Sie diese im DevicePro AdminTool. Sind diese Einstellungen richtig, überprüfen Sie bitte die Firewalleinstellungen bzw. wechseln die Authentifizierungsmethode.

Vorgehensweise Das AdminTool von DevicePro finden Sie im Startmenü unter Start > Programme > CynapsPro GmbH > DevicePro 2010. Kontrollieren Sie hier die Datenbank Einstellungen, sowie die Directory Service Einstellungen, indem Sie bei beiden auf den Knopf Prüfen klicken. Passen Sie gegeben falls die hinterlegten Daten an. Sollte immer noch kein „Connect“ zum Server möglich sein, so überprüfen Sie, ob die angegebenen Ports in Ihrer Firewall freigeschalten sind. Führt dies auch nicht zum Erfolg, so wechseln Sie bitte die Authentifizierungsmethode bzw. überprüfen, ob der angegebene Benutzer die benötigten Rechte besitzt. Erste Schritte nach der Installation

Sie haben die Installation bereits erfolgreich abgeschlossen und wollen nun DevicePro in Betrieb nehmen. Die ersten Benutzer bzw. Gruppen aus Ihrem Active Directory/ NDS sollen nun mit bestimmten Rechten versehen werden.

Konfigurieren Sie zuerst die Standardberechtigungen und starten anschließend die Synchronisation von AD/ NDS. Aktivieren Sie nun die ersten Benutzer bzw. Gruppen. Jetzt können Sie das Clientpaket erstellen und auf den Arbeitsplätzen installieren.

Vorgehensweise Öffnen Sie die Management Konsole. Hier wählen Sie den Button Rechteverwaltung. In der Gruppe spezifische Benutzer befindet sich der Punkt Standardrechte (neue Benutzer). In diesem Fenster können Sie Standardberechtigungen für neue Benutzer definieren. Klicken Sie mit der rechten Maustaste auf das gewünschte Gerät und teilen Sie diesem die Zugriffsart zu. Anschließend klicken Sie auf Bestätigen. Haben Sie alle Gerätetypen konfiguriert, so können Sie mit der Synchronisation von AD/ NDS starten. Gehen Sie hierfür auf den Button AD Synchronisation. Wenn Sie hier nun auf den Knopf Start klicken, so fängt die Synchronisation automatisch an und alle Benutzer und Gruppen werden aus dem bestehenden AD/ NDS übernommen.

Page 45: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

45

Möchten Sie in regelmäßigen Abständen die Synchronisation starten, dann richten Sie im Punkt Scheduler (dt. Zeitplaner) einen Synchronisationsjob ein. Sollen bei dem Abgleich neu angelegte Benutzer sofort aktiviert werden, dann können Sie den Haken bei Neue Benutzer in den aktiven Gruppen automatisch aktivieren setzen. Falls Sie vor der ersten Synchronisation nicht den Haken bei Neue Benutzer in den aktiven Gruppen automatisch aktivieren gesetzt haben, gelten die Standardberechtigungen noch bei keinem der Benutzer. Gehen Sie zu der Rechteverwaltung und setzen die Benutzer und Gruppen mit der rechten Maustaste auf aktiv, bei welchen die Berechtigungen nun greifen sollen. Nach dem Aktivieren der Benutzer und Gruppen, sollten Sie DevicePro auf den Arbeitsstationen installieren. Gehen Sie hierfür wieder in die Administration. Sie sehen in der Gruppe Clientverwaltung den Punkt MSI Paket für den Client generieren. Wählen Sie den Pfad aus, auf dem Sie das Paket ablegen wollen und klicken auf generieren. Soll der Benutzer weder die Möglichkeit haben seine Rechte einzusehen, Änderungswünsche zu beantragen bzw. Freischaltcodes eingeben zu dürfen, so setzen Sie den Haken bei Tray-Icon ausblenden. Damit der Benutzer den Dienst von DevicePro 2010 nicht deaktivieren kann, können Sie auch das Stoppen unterbinden. Nach dem Generieren des Paketes rufen Sie nun die MSI- Datei an der Arbeitsstation auf. Hierfür wurden 3 Bat-Dateien erstellt. Sie installieren die Software des Agenten Anklicken der Datei DBAgentSetup.msi oder durch das Anklicken der Datei install.bat. Möchten Sie den Agenten über die Kommandozeile installieren, so geben Sie den Befehl msiexec /i C:\Devicepro\MSI\DBAgentSetup.msi ein. Abfrage bereits installierter Rechner

Sie möchten nachvollziehen welche Rechner bereits mit den cynapspro Agents ausgestattet wurden. Lassen Sie sich unter Update der Agenten alle bereits installierten Clients anzeigen oder Filtern Sie nach Clients ohne Agent.

Vorgehensweise Gehen Sie hierfür unter Administration / Update der Agenten auf das Auswahlfeld neben Ansicht. Wählen Sie hier nur die Rechner ohne Agent um alle noch nicht mit DevicePro ausgestatteten Computer anzuzeigen. Wenn Sie alle bereits installierten Agents sehen möchten, wählen Sie Alle Agenten aus und klicken anschließend auf Inaktive um ausgeschaltete Rechner zu sehen.

Page 46: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

46

Nur firmeneigene Geräte erlauben Sie haben alle Rechte erfolgreich zugewiesen und haben die komplette Kontrolle darüber wer welche externen Devices nutzen darf. Jetzt möchten sie auch sicherstellen, dass nur die Geräte benutzt werden, die auch aus ihrer Firma kommen. Mitarbeiter sollten durchaus mit Firmen USB Sticks arbeiten, aber keinne private mitbringen dürfen. Das gleiche gilt zum Beispiel für Digitalkameras.

Normalerweise befindet sich im Unternehmen nur eine begrenzte Anzahl an Gerätegruppen im Umlauf. Wir haben die Möglichkeit eine Whitelist der Hersteller und Modelle zu verwalten, die in der Firma benutzt werden dürfen. Die anderen werden gesperrt, auch wenn der Benutzter die Rechte auf diesen Devicetyp hat.

Vorgehensweise In der Konsole wird der Menüpunkt Gerätefreigabe angewählt. Oben erscheinen drei Freigabetypen.

- Freigegebene Gerätegruppen - Individuelle Gerätefreigabe - Medienfreigabe

Wählen sie den Punkt Freigegebene Gerätegruppen freigeben aus. In dem Fenster rechts sehen Sie alle schon freigegebene Gerätegruppen. Die Bezeichnung wird von Windows übernommen und entspricht der Benennung im Gerätemanager. Wenn Sie weitere Geräte einfügen möchten, können Sie nichts manuell eingeben. Es reicht aus, wenn ein Gerät dieses Typs an einem Rechner im Netz angeschlossen ist. Wählen Sie diesen Rechner aus. Falls viele Rechner gerade online sind, hilft die Filtereingabe um die Auswahl zu begrenzen. Sobald der Rechner ausgewählt wurde, drücken Sie Einfügen. Jetzt wird der Rechner gescannt und alle verfügbaren Geräte werden nach dem Gerätetyp gruppiert angezeigt. Wählen Sie alle Gerätegruppen aus, die Sie freigeben möchten und klicken Sie auf OK. Die ausgewählten Gerätegruppen werden in der Liste eingefügt und sobald Sie die Änderungen speichern, sind sie für alle Benutzer freigegeben. Änderungen werden sofort per Push- Verfahren an alle Rechner verteilt, die gerade online sind. Alle anderen werden die aktuelle Whitelist beim Starten des Rechners bekommen. Wenn Sie im Einfügefenster sind, können Sie mit der Checkbox entscheiden, ob Sie nur die Geräte sehen wollen, welche aktuell angeschlossen sind oder auch alle Geräte, die jemals an diesen Rechner angeschlossen waren. Sie können auch mehrere bzw. alle Rechner auswählen, die gerade online sind. Sie bekommen dann alle Devices zu sehen die in der Firma benutzt werden. So sparen Sie Zeit und erhalten sogar eine Mini-Inventur.

Page 47: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

47

Benutzern bestimmte Geräte freigeben Es kann sein, dass das Erlauben von firmeninternen Geräten für Sie nicht ausreicht und Sie genau vorgeben wollen, welche Person welche einzelnen Geräte benutzen darf.

Hier werden nicht nur die Modelle überwacht, sondern die Rechte können für jedes einzelne Gerät vergeben werden. Diese können nach Seriennummern unterschieden werden, falls der Hersteller eine eindeutige Seriennummer vergeben hat. Dann wird der Benutzer X nur genau diese Kamera oder genau diesen USB Stick benutzen dürfen, alle anderen, auch wenn das Modell und der Hersteller übereinstimmen, werden dann gesperrt.

Vorgehensweise Gehen Sie in der Management Konsole auf Gerätefreigabe und klicken auf Individuelle Gerätefreigabe. Wählen Sie in der Liste der DevicePro Agenten die betroffenen Arbeitsstationen aus. Bei einer größeren Infrastruktur können Sie die gewünschten Rechner über den Filter suchen lassen. Klicken Sie auf den Button Einfügen und wählen die frei zu gebenden Geräte aus. Anschließend können Sie die Benutzer und Gruppen angeben, bei denen der Zugriff nur auf die Geräte in der Whitelist erlaubt werden soll. Sperren von Dateitypen

Ihre Mitarbeiter sollen nicht alle Dateien öffnen dürfen. Sie möchten Dateien mit einem bestimmten Typ generell verbieten oder nur mit einem begrenzten Datenvolumen erlauben.

Im Contenheaderfilter können Sie genau bestimmen, welche Dateiendungen und -größen für den Zugriff nicht erlaubt werden sollen. Definieren Sie hier Regeln, welche Sie den Benutzern zuteilen können.

Vorgehensweise Sie finden in der Konsole unter Administration die erweiterten Einstellungen. Hier befindet sich der Contentheaderfilter. Zum Anlegen eines neuen Filter klicken Sie bei Filterdefinition auf den Knopf Einfügen. Es wird ein Filter namens New Filter angelegt. Um neue Dateitypen dem New Filter zu zuteilen, klicken Sie in der Regeldefinition auf Einfügen. Teilen Sie der neuen Regel einen Name zu und geben in der Spalte Extension den Typen an (z.B. *.exe). In den Spalten Size min. und Size max. können Sie die Mindest- und Maximalgröße der verbotenen Datei angeben. Klicken Sie in der Filterdefinition auf Global, so wirkt diese Regel für alle Benutzer. Wollen Sie aber nur bestimmten Benutzer oder Gruppen diese Filterregel zuweisen, dann gehen Sie in der Rechteverwaltung auf den gewünschten Benutzer oder Gruppe. Im Register Contentheaderfilter können Sie dann die Regel mit klicken auf Einfügen zuteilen.

Page 48: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

48

Zugriffsrechte offline ändern Befindet sich ein Mitarbeiter nicht im Firmennetzwerk, möchte aber seine Rechte geändert haben, dann ist dies über einen Freischaltungscode möglich. In der Rechteverwaltung können Sie den Benutzern oder Gruppen einen Code zum Freischalten von Geräten generieren. Anschließend gibt der Mitarbeiter diesen Code in seinem DevicePro Agenten ein und bekommt die geänderten Rechte zugewiesen.

Vorgehensweise Gehen Sie in die Rechteverwaltung der Management Konsole. Gehen Sie zu der Gruppe oder dem Benutzer und klicken mit der rechten Maustaste auf das gewünschte Gerät. Im Kontextmenü sehen Sie unten Freischaltcode generieren. Teilen Sie nun das Zugriffsrecht, sowie die Gültigkeit zu. Anschließend klicken Sie auf den Button Generieren. Wurde eine Whitelist für Ihre Gerätegruppen angelegt und das Gerät gehört nicht zu der freigegebenen Gerätegruppe, aktivieren Sie den Haken bei Whitelist ignorieren. Teilen Sie dem Benutzer den generierten Code mit. Dieser kann den Code im DevicePro Agent eingeben. Hierfür klickt er mit der rechten Maustaste auf das Tray-Icon und wählt Freischaltcode eingeben. Mit der erfolgreichen Eingabe des Codes werden die geänderten Rechte sofort aktiv. Dateizugriffe protokollieren

In Ihrem Firmennetzwerk wurde ein Virus eingeschleust oder es wurden vertrauliche Daten an Dritte weitergegeben. Sie möchten nun nachvollziehen bzw. belegen können wer dafür verantwortlich ist. In der Protokollierung sehen Sie, wann bzw. wer auf welche Datei Zugriff hatte. Hier können Sie dann den Zeitraum bzw. die Datei herausfiltern.

Vorgehensweise Klicken Sie in der Konsole auf Auswertungen. Dort sehen Sie den Punkt Protokollierung. Wählen Sie die Gruppe der Benutzer oder den ganzen Baum aus. Anschließend geben Sie die Filterregeln ein. Nun haben Sie Zugriff auf alle protokollierten Tätigkeiten in Ihrem Firmennetzwerk. Wenn Sie diese nun den Benutzern zuordnen wollen, aber die Shadow-Box aktiviert haben, geben Sie die erforderlichen Passwörter ein.

Page 49: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

49

Administratoren für verschiedene Ebenen Sie haben mehrere Standorte oder Abteilungen und möchten nicht, dass alle Administratoren auf alle Ebenen oder Einstellungen Zugriff haben.

Es gibt bei DevicePro zwei Arten von Administratoren.

o Supervisor (Alle Rechte für die Verwaltung) o Administratoren (Zugeteilte Rechte für die Verwaltung)

Erstellen Sie administrative Rollen und teilen diese dann den Administratoren für bestimmte Bereiche zu.

Vorgehensweise Gehen Sie zuerst in der Management Konsole auf Administration. Hier befinden sich die beiden Punkte Administrative Rollen, sowie Administratoren & Bereiche. Zunächst legen Sie die administrativen Rollen fest. Klicken Sie auf Globale, wenn Sie Rollen für die Verwaltung des DevicePro Servers anlegen wollen. Wollen Sie Rollen für die Verwaltung von Benutzern und Gruppen anlegen, so klicken Sie auf Bereichsspezifische. Fügen Sie nun eine Rolle hinzu und bestimmen, was der Administrator in dieser Rolle verändern oder lesen darf. Anschließend gehen Sie zu dem Punkt Administratoren & Bereiche. Wenn Sie nun auf den Reiter Administratoren klicken, dann sehen Sie alle Administratoren. Klicken Sie hier einen an und teilen Sie ihm eine Rolle zu. Unter Bereichsspezifische können Sie sogar Gruppen oder einzelne Benutzer auswählen, für welche der Administrator verantwortlich sein soll.

Page 50: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

50

In den Bereichen der Administratoren werden die OU‟s, Gruppen, sowie Benutzer in drei verschiedenen Farben angezeigt:

- Rot: Der Administrator hat keine administrative Rollen in diesen OU‟s, Gruppen und Benutzern.

- Grau: Einige Elemente der Directory werden von diesem Administrator verwaltet. - Grün: Alle untergeordneten OU‟s, Gruppen und Benutzer werden administriert.

Serverumzug Durch einen Hardwarewechsel oder andere Gegebenheiten haben Sie sich entschlossen den DevicePro Server umzuziehen. Dies ein kein Problem, wenn die IP Adresse und/oder der Rechnername des Servers übernommen wird. Die DevicePro Agenten finden dann automatisch den neuen Server. Falls dies nicht der Fall ist, können Sie auch die Serverkomponente von DevicePro folgendermaßen umziehen. Nun gibt es zwei Möglichkeiten einen DevicePro Serverumzug durchzuführen. 1.

Sie installieren den neuen DP Server und lassen ihn auf die alte/neue Datenbank zugreifen (den SQL-Server geben Sie währen der Installation an oder nachträglich über das Admin Tool.) Nun öffnen Sie auf dem alten Server die Management Konsole und gehen unter Administration zu der "Serververwaltung". Hier können Sie jetzt den neuen Server höher Priorisieren als den alten, sodass sich sämtliche Clients sobald Sie sich am Server melden, dem neuen Server zugewiesen werden.

2.

Sie installieren den neuen DP Server und lassen ihn auf die alte/neue Datenbank zugreifen (den SQL-Server geben Sie währen der Installation an oder nachträglich über das Admin Tool.) Nun starten Sie den neuen Sever, gehen unter dem Punkt Administration zu "MSI Paket für den Client generieren" und generieren ein neues MSI Paket (vergessen Sie nicht vorab die Standardeinstellungen für die Clients zu tätigen). Sie können direkt auf "Ordner öffnen" klicken um in das Verzeichnis zu springen. Kopieren Sie nun das neue MSI Paket in das MSI Verzeichnis des alten Servers und führen ein Update der Agenten vom alten Server aus durch. Somit verteilt der alte Server die Serverinformationen des neuen Servers an die Clients, die sich dann ebenfalls alle beim neuen Server melden.

Bei beiden Varianten kann es sein, dass nicht alle Clients Online sind und das Update bekommen. Somit würden sich diese nach wie vor am alten Server melden. Am besten Sie lassen den alten Server noch ein bis zwei Wochen laufen, um sicher zu sein, dass auch alle Clients das Update bekommen. Sie können unter "Update der Agenten" beim alten Server auf "Inaktive" klicken, um zu sehen wie viele und welche Clients Offline sind und somit das Update noch nicht bekommen haben.

Page 51: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

51

Zusammenführen zweier Datenbanken Falls Sie mehrere DevicePro Server in verschiedenen Umgebungen installiert haben und diese nun zusammenführen möchten, können Sie das folgende Szenario vornehmen. Verbinden Sie sich auf den DevicePro Server, welcher später nicht mehr existieren soll. Exportieren Sie die Datenbankinformationen in eine Datei (Format txt) mit folgendem Befehl aus der Kommandozeile: <Installationspfad>\DpAdminTool.exe /exportACL "<Pfad>\<Dateiname>.txt" Anschließend verbinden Sie sich auf den DevicePro Server, welcher weiterhin existieren soll. Importieren Sie nun die Informationen über folgenden Befehl aus der Kommandozeile <Installationspfad>\DpAdminTool.exe /importACL "<Pfad>\<Dateiname>.txt" Die Verknüpfung der Benutzerinformationen findet über den Namen statt. Somit entstehen keinerlei Komplikationen, falls sich die SID geändert hat.

Page 52: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

52

Anhang

Bausteine zum Erstellen einer DevicePro Rechtedatei Geräteport ändern Beispiel: <?xml version="1.0"?>

<Xml> <Header></Header> <Body> <Schema>1</Schema> <DP Type="9" Name="Firewire"> <SD> <ACE sid="S-1-5-21-3757206099-4223034928-3177353085-1003" ar="0"></ACE> </SD> </DC> </Body> </Xml>

Mit dem Parameter DP Type=“Wert“ (…) können Sie einzelne Ports sperren. Geben bitte hier den Port mit ID (Type) der entsprechenden Ports an. Die Angabe des Klassenamens (Name) ist optional und dient der Übersichtlichkeit. Parallel Port: <DP Type="3" Name="Parallel Port"></DP> Serial Port: <DP Type="4" Name="Serial Port"></DP> Firewire: <DP Type="9" Name="FireWire"></DP> PCMCIA: <DP Type="10" Name="PCMCIA"></DP> USB Port: <DP Type="14" Name="USB (without keyboards, mouses...)"></DP>

Sie können die Rechte einzelner Gruppen und Benutzern über den Baustein SD ändern. Zuerst müssen Sie die Port-/Geräteklasse (DP oder DC). Dazwischen setzen Sie den SD (=Security Descriptor) in welchem Sie dann den Zugriffskontrolleintrag ACE (=Access control entry) übergeben. Im Zugriffskontrolleintrag hinterlegen Sie die SID der Benutzer oder Gruppen, sowie das Zugriffsrecht AR (=Access Right). Novell GUID‟s werden automatisch von cynapspro in eine SID umgewandelt. Für unbekannte Benutzer verwenden Sie S-1-5-11. Als Zugriffsrechte können Sie den Wert 0 für Kein Zugriff, den Wert 1 für Lesezugriff und den Wert 3 für Vollzugriff verwenden. Ein Lesezugriff kann nur auf Floppy Disk, CD/DVD und external Storage gewährt werden. Möchten Sie ein Rechnerrecht bearbeiten so verwenden Sie den Parameter host. Geben Sie hier den Full Qualified Name des Rechners an. Um einen Rechner dem Benutzer zuzuweisen fügen Sie den Parameter Host und SID zusammen.

Page 53: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

53

Geräteklasse ändern Beispiel: <?xml version="1.0"?>

<Xml> <Header></Header> <Body> <Schema>1</Schema> <DC Id="1" Name="CD / DVD"> <SD> <ACE sid="S-1-5-21-3757206099-4223034928-3177353085-1003" ar="0"></ACE> </SD> </DC> </Body>

</Xml>

Mit dem Parameter DC Type=“<Wert>“ können Sie einzelne Geräteklassen sperren. Geben bitte hier die Geräteklasse mit ID (Type) der entsprechenden Geräte an. Die Angabe des Klassenamens (Name) ist optional und dient der Übersichtlichkeit. unbekannte Geräte: <DC Id="0" Name="Unknown"></DC> CD/DVD: <DC Id="1" Name="CD / DVD"></DC> Diskettenlaufwerk: <DC Id="2" Name="Floppy Disk"></DC> externe Speichermedien: <DC Id="5" Name="External Storage"></DC> Infrarotgeräte: <DC Id="6" Name="Infrared"></DC> Bluetooth Adapter: <DC Id="7" Name="Bluetooth"></DC> WLAN Karten/Adapter: <DC Id="8" Name="WiFi"></DC> Scanner/Kameras: <DC Id="11" Name="Scanners and Cameras"></DC> TV Karten/Adpater: <DC Id="12" Name="TV Tuner"></DC> Drucker: <DC Id="13" Name="Printers"></DC> PDA/Smartphone: <DC Id="15" Name="PDA"></DC> Blackberry: <DC Id="16" Name="Blackberry"></DC> Modem: <DC Id="17" Name="Modem"></DC> ISDN Karten/Adapter: <DC Id="18" Name="ISDN Cards"></DC>

Sie können die Rechte aller Benutzer oder einzelner Gruppen und Benutzern über den Parameter SD ändern. Zuerst müssen Sie die Port-/Geräteklasse (DP oder DC), bzw. eine Freigabe (DM oder DN) öffnen. Dazwischen setzen Sie den SD (=Security Descriptor) in welchem Sie dann den Zugriffskontrolleintrag ACE (=Access control entry) übergeben. Im Zugriffskontrolleintrag hinterlegen Sie die SID der Benutzer oder Gruppen, sowie das Zugriffsrecht AR (=Access Right). Novell GUID‟s werden automatisch von cynapspro in eine SID umgewandelt. Für unbekannte Benutzer verwenden Sie S-1-5-11. Als Zugriffsrechte können Sie den Wert 0 für Kein Zugriff, den Wert 1 für Lesezugriff und den Wert 3 für Vollzugriff verwenden. Ein Lesezugriff kann nur auf Floppy Disk, CD/DVD und external Storage gewährt werden. Möchten Sie ein Rechnerrecht bearbeiten so verwenden Sie den Parameter host. Geben Sie hier den Full Qualified Name des Rechners an. Um einen Rechner dem Benutzer zuzuweisen fügen Sie den Parameter Host und SID zusammen.

Page 54: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

54

Freigegebene Gerätegruppen Beispiel: <?xml version="1.0"?>

<Xml> <Header></Header> <Body> <Schema>1</Schema> <DM Class="1" Cert="1" HwId="IDE\\CDROMLITE-ON_DVDRW_SHM-165P6S________________MS0F____"></DM> </Body>

</Xml>

Um einzelne Gerätegruppen in die Whitelist der Freigegebenen Gerätegruppen zu Integrieren verwenden Sie bitte den Parameter DM Class="<Wert>" Cert="<Wert>" HwId="<HardwareID> ". Der Parameter Class bzw. Port steht für die Geräteklasse bzw. den Port: unbekannte Geräte: Class="0" CD/DVD: Class="1" Diskettenlaufwerk: Class="2" Parallel Port: Port="3" Serial Port: Port="4" externe Speichermedien: Class="5" Infrarotgeräte: Class="6" Bluetooth Adapter: Class="7" WLAN Karten/Adapter: Class="8" Firewire: Port="9" PCMCIA: Port="10" Scanner/Kameras: Class="11" TV Karten/Adpater: Class="12" Drucker: Class="13" USB Port: Port="14" PDA/Smartphone: Class="15" Blackberry: Class="16" Modem: Class="17" ISDN Karten/Adapter: Class="18"

Mit der Angabe von Cert hinterlegen Sie bitte den Wert 1 zum Hinzufügen oder 0 zum Entfernen. Die Windows HardwareID des Gerätes geben Sie unter dem Parameter HwID bekannt.

Page 55: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

55

Baustein für individuelle Gerätefreigabe Beispiel PDA für alle Benutzer freigeben: <?xml version="1.0"?>

<Xml> <Header></Header> <Body> <Schema>1</Schema>

<DN Port="14" Class="15" InstanceId="USB\\VID_0BB4&PID_0BCE\\5&1C5E86F8&0&1" Name="Windows Mobile-based Device"> <SD> <ACE sid="S-1-1-0" ar="3"></ACE> </SD> </DN>

</Body> </Xml>

Wollen Sie über die Seriennummer und HardwareID einzelne Geräte für einzelne Benutzer und/oder Rechner mit Lese- oder Vollzugriff freigeben. Hierfür können mit dem Parameter DN Port="<Wert>" Class="<Wert>" InstanceId="<HwID+SNr>" Name="<Gerätebeschreibung>" verwenden. Mit den Werten Port und Class hinterlegen Sie die genaue Ansteuerung des Gerätes. Die InstanceID besteht aus HardwareID und Seriennummer des entsprechenden Gerätes. Mit dem Parameter Name können Sie optional eine Gerätebeschreibung hinterlegen. In den Parameter <DN (…)>…</DN> können Sie mit folgenden Tags die betroffenen Benutzer und Rechte hinterlegen. Hierfür öffnen Sie mit SD den „Security Descriptor“ in welchem Sie dann die Zugriffskontrolleintrag ACE (=Access control entry) übergeben. Im Zugriffskontrolleintrag hinterlegen Sie die SID der Benutzer oder Gruppen, sowie das Zugriffsrecht AR (=Access Right). Als Zugriffsrechte können Sie den Wert 0 für Kein Zugriff, den Wert 1 für Lesezugriff und den Wert 3 für Vollzugriff verwenden. Ein Lesezugriff kann nur auf Floppy Disk, CD/DVD und external Storage gewährt werden. Um einen Benutzer oder Rechner aus einer Gerätefreigabe zu entfernen verwenden Sie den Parameter del. Der Wert hinter diesem Parameter gibt die Anzahl der Objekte an. Anschließend hinterlegen Sie die SID oder den Rechner. AD/NDS/LDAP Synchronisation starten DpAdminTool.exe /sync [/activate]

Starten Sie mit dem Kommandozeilenbefehl /sync die komplette Synchronisation Ihrer bereits bestehenden Verzeichnis Dienst Struktur. Mit dem zusätzlichen Parameter /activate werden alle neuen User automatisch in DevicePro aktiviert. Alle Benutzer in DevicePro aktivieren DpAdminTool.exe /activate Aktivieren Sie sämtliche Benutzer automatisiert. Lizenzdatei wechseln

Page 56: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

56

DpAdminTool.exe /license LICENSE_FILE_PATH /user LICENSE_NAME Verwaltung von ersten Laufwerksbuchstaben DpAdminTool.exe /driveLetter "<Laufwerksbuchstabe>"

Damit keine Konflikte zwischen Netzlaufwerken und externen Massenspeichern bei der Vergabe der Laufwerksbuchstaben entstehen, können Sie mit dem folgenden Befehl den ersten Buchstaben für Speichermedien setzen. Client Rollout über DevicePro Server /install [all] [MACHINE_NAMES]

Installieren Sie den DevicePro Agent auf allen [all] oder einzelnen Rechnern [MACHINE_NAMES]. Client Update über DevicePro Server /update [all] [MACHINE_NAMES]

Updaten Sie den DevicePro Agent auf allen [all] oder einzelnen Rechnern [MACHINE_NAMES]. Automatisches Löschen von Logfiles DpAdminTool.exe /serverLogsTime 5 - (5 Tage Begrenzung) DpAdminTool.exe /serverLogsTime 0 - (keine zeitliche Begrenzung) DpAdminTool.exe /serverLogsSize 5 - (5 MB Größe Begrenzung) DpAdminTool.exe /serverLogsSize 0 - (keine Begrenzung der Größe) DpAdminTool.exe /agentLogsTime 5 - (5 Tage Begrenzung) DpAdminTool.exe /agentLogsTime 0 - (keine zeitliche Begrenzung) DpAdminTool.exe /agentLogsSize 5 - (5 MB Größe Begrenzung) DpAdminTool.exe /agentLogsSize 0 - (keine Begrenzung der Größe)

Um den Speicherbedarf von DevicePro zu minimieren, können Sie mit folgenden Parametern die Aufbewahrung von Logdateien, welche die Programmaktivitäten mit protokollieren nach Zeitraum oder Volumen automatisch leeren. Abändern von Domaincontroller Daten DpAdminTool.exe /xmlrpcport 6005 /agentPort 6006 /dsType 1 /domainController [DC_NAME] /adUser [AD_USER] /adPassword [AD_PASSWORD] /dbServer [DB_SERVER] /dbName [DB_NAME] /dbUserName [DB_USER_NAME] /dbPassword [DB_PASSWORD]

Nur eingetragene Parameter werden für die Änderung berücksichtigt. Abändern der Pfad für XML Schnittstellen DpAdminTool.exe /impdir ACL_IMPORT_DIR /impdirsuccess IMPORT_SUCCESS_DIR /impdirfail IMPORT_FAIL_DIR

Hinterlegen Sie den Importpfad (ACL_IMPORT_DIR), den Pfad für erfolgreiche Importvorgänge (IMPORT_SUCCESS_DIR) oder fehlerhafte XML Dateien (IMPORT_FAIL_DIR). Import und Export der Einstellungen von Server zu Server /importACL ACL_FILE_PATH /exportACL ACL_FILE_PATH

Page 57: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

57

Importieren Sie alle Benutzerrechte und Gerätefreigaben eines anderen Servers über die Export/Import Funktion

Anwenderbeispiele

1) Benutzer-/Rechnerrechte für einen Port definieren <?xml version="1.0"?> <Xml> <Header></Header> <Body> <Schema>1</Schema> <DP Type="14" Name="USB"> <SD> <ACE host="computer.damain.in" sid="S-1-5-21-3757206099-4223034928-3177353085-1003" ar="3"></ACE> </SD> </DP> </Body> </Xml>

2) Einem Rechner Zugriffsrechte für 2 Ports und 2 Geräte ändern <?xml version="1.0"?> <Xml> <Header></Header> <Body> <Schema>1</Schema> <DP Type="9" Name="FireWire"> <SD> <ACE host="hostname.domain.at" ar="0"></ACE> </SD> </DP> <DP Type="10" Name="PCMCIA"> <SD> <ACE host="hostname.domain.at" ar="3"></ACE> </SD> </DP> <DC Id="7" Name="Bluetooth"> <SD> <ACE host="hostname.domain.at" ar="0"></ACE> </SD> </DC> <DC Id="8" Name="WiFi"> <SD> <ACE host="hostname.domain.at" ar="3"></ACE> </SD> </DC> </Body> </Xml>

3) Zwei Geräte unterschiedlicher Geräteklassen in freigegeben Gerätegruppen fügen

<?xml version="1.0"?> <Xml>

<Header></Header> <Body> <Schema>1</Schema>

Page 58: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

58

<DM Class="1" Cert="1" HwId="IDE\\CDROMLITE-ON_DVDRW_SHM-165P6S________________MS0F____"></DM> <DM Port="14" Class="5" Cert="1" HwId="USB\\VID_0835&PID_0835"></DM> </Body>

</Xml>

4) Gerät aus freigegeben Gerätegruppen entfernen <?xml version="1.0"?> <Xml> <Header></Header> <Body> <Schema>1</Schema> <DM Cert="0" HwId="V1394\\NIC1394"></DM> </Body> </Xml>

5) Eine globale Freigabe eines PDA <?xml version="1.0"?> <Xml> <Header></Header> <Body> <Schema>1</Schema> <DN Port="14" Class="15" InstanceId="USB\\VID_0BB4&PID_0BCE\\5&1C5E86F8&0&1" Name="Windows Mobile-based Device"> <SD> <ACE sid="S-1-1-0" ar="3"></ACE> </SD> </DN> </Body> </Xml>

6) Einen Benutzer aus seiner individuellen Gerätefreigabe löschen

<?xml version="1.0"?> <Xml> <Header></Header> <Body> <Schema>1</Schema> <DN InstanceId="IDE\\CDROMLITE-ON_DVDRW_SHW-16H5S_________________LS0N____\\5&23126E32&0&0.1.0" Name="LITE-ON DVDRW SHW-16H5S"> <SD> <ACE Del="1" sid="S-1-5-21-3757206099-4223034928-3177353085-1003"></ACE> </SD> </DN> </Body> </Xml>

Page 59: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

59

ApplicationPro Einführung ApplicationPro versiegelt Ihren Client mit einer Anwendungszugriffssteuerung nach dem Black- oder Whitelistverfahren. Sie bestimmen, welche Benutzer auf ausgewählte Applikationen Zugriff erhält – alle anderen Programme werden gesperrt. Einem Programm wird von ApplicationPro automatisch ein Hashwert zugeteilt. Somit kann ein Benutzer sich an sämtlichen Rechnern der Firma anmelden und erhält immer die gleichen Programmzugriffsrechte. Durch diese Technologie können Benutzer auch nicht durch umbenennen von Dateien Zugriff auf nicht erlaubte Programme erlangen. Somit stellen Sie unter anderem sicher, dass keine unautorisierte Software (z.B. Viren, Trojaner, Spiele, Scherzprogramme…) auf Firmenrechner installiert oder ausgeführt werden kann. Die Verwaltung von ApplicationPro wird durch den Lernmodus um einiges erleichtert. Der Anwender führt eine bestimmte Zeit seine Programme wie gewohnt aus. Anschließend geben Sie ihm einzelne Applikationen frei. Rechteverwaltung Bevor Sie mit der Benutzerverwaltung von ApplicationPro beginnen möchten, sollten Sie dieses Produkt aktivieren. Klicken Sie hierfür mit der rechten Maustaste auf den Benutzer, anschließend auf Aktivieren/Deaktivieren. Hier wählen Sie nun ApplicationPro aus. Ist ein Benutzer deaktiviert, so werden ihm alle Programme erlaubt. Sobald ein Benutzer aktiviert ist, werden ihm die zugeordneten Programme freigegeben. Alle anderen Applikationen werden gesperrt. Nach der Installation oder einem Update der Clientkomponente empfiehlt es sich den Rechner einmalig neu zu starten. Haben Sie dem Benutzer kein Programmpaket oder keine Rolle hinzugefügt, werden alle Programme frei gegeben. In der Zugriffsverwaltung finden Sie bei den jeweiligen Benutzern den Reiter ApplicationPro. Unter diesem Reiter befinden sich folgende Möglichkeiten: Speichern Bestätigen und der soeben vorgenommenen Tätigkeiten. Die Rechteveränderung wird sofort an den Agent gepusht. Rolle einfügen Zuordnung einer zuvor angelegten Rollendefinition zu einem Benutzer. Rollen können aus mehreren Paketen bestehen und dienen zur Vereinfachung und der Übersichtlichkeit. Paket einfügen Zuordnung eines zuvor angelegten Paketes zu einem Benutzer. Pakete bestehen aus einem oder mehreren ausgewählten Applikationen.

Page 60: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

60

Löschen Entfernen von hinzugefügten Rollen und Paketen. Rollendefinition Verknüpfung zur Verwaltung von Rollen. Lernmodus starten Erfassung von Programmzugriffen des Benutzers. Benutzerprogramme Ergebnisliste des Lernmodus. Anwendungen können hier Paketen zugeordnet werden. Lernmodus Der Lernmodus ist ein sogenannter „Non-Blocking-Mode“. Dies bedeutet, dass in der Zeit, in der der Lernmodus aktiviert ist, alle Programme freigegeben werden. Der Lernmodus zeichnet alle Programme auf, welche durch den Benutzer nicht nur im Vorder-, sondern auch im Hintergrund ausgeführt werden. Anhand eines Hashwertes können Sie bestimmte Applikationen einem selbst definierten Paket hinzufügen. Diese Pakete können später einem Benutzer zugeordnet werden. Handhabung von ApplicationPro Anhand des Lernmodus Möchten Sie mit der Aufzeichnung der Programmzugriffe eines Benutzers beginnen, klicken Sie auf Lernmodus starten.

Wählen Sie hier die Dauer des Lernmodus aus. Nach Beendigung des Lernmodus sehen Sie unter Benutzerprogramme, welche Applikationen im Vorder- oder Hintergrund durch den Benutzer ausgeführt wurden. Sie sehen unter Ergebnisse, wann der Benutzer von welchem Pfad aus, die jeweiligen Programme ausgeführt hat.

Page 61: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

61

Wählen Sie ein oder mehrere Programme aus, die nach dem Speichern einem Paket zugeordnet werden können. Sollten Sie bereits Pakete angelegt haben, so können Sie die ausgewählten Programme diesen hinzufügen. Sie können aber auch ein neues Paket für diese Applikationen anlegen. Bestätigen Sie anschließend die Einstellungen mit OK. Sie können nun weitere Programmpakete anlegen oder das Fenster Ergebnisse schließen. Möchten Sie eine Rolle oder das soeben angelegte Programmpaket dem Benutzer zuweisen, so klicken Sie auf Paket einfügen. Wählen Sie hier das jeweilige Paket aus und bestätigen mit OK. Wenn Sie diese Tätigkeit speichern, wird die Rechteänderung sofort dem Agent mitgeteilt und ausgeführt. Ab jetzt werden alle nicht autorisierten Anwendungen gesperrt. Sollte eine Applikation übersehen worden sein, so starten Sie bei dem Benutzer nochmals den Lernmodus. Es werden alle Programme in diesem Moment frei gegeben. Möchten Sie nun, dass der Benutzer in Zukunft dieses Programm verwenden kann, so fügen Sie dieses über Benutzerprogramme einem bereits bestehenden oder neuen Paket hinzu und ordnen dies dem Benutzer zu. Verwaltung von Programmen In der Navigation der Management Konsole finden Sie unter ApplicationPro die Programmverwaltung. Hier können Sie Programmpakete anlegen bzw. bearbeiten. Um ein Paket anzulegen, gehen Sie auf Neues Paket. Anschließend können Sie in der Paketdefinition Programme von Ihrem Arbeitsplatz hinzufügen. Beim Hinzufügen einer Applikation wird sofort ein Hashwert ermittelt. Dieser Hashwert ist bei jedem Arbeitsplatz für dieses Programm gleich. Einzelne Pakete können in Ordnern zusammengefasst werden, indem Sie in einem Ordner angelegt werden oder über den Button Neuer Link in den Ordner verknüpft werden. Verwaltung von Rollen Unter dem Navigationspunkt ApplicationPro sehen Sie die Verwaltung der Rollen. Hier können Sie Programmpakete und Ordner von Paketen in Rollen zusammenfassen.

Page 62: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

62

Dies fördert die Übersichtlichkeit und effizientere Verwaltung von ApplicationPro. Um eine neue Rolle anzulegen, klicken Sie auf neue Rolle. Benennen Sie nun die Rolle entsprechend und teilen dieser nun Programme und Rollen über die entsprechenden Buttons Programm einfügen / Rolle einfügen zu.

ApplicationPro Einstellungen In den Einstellungen von ApplicationPro können Sie bestimmen, ob Sie das White- oder Blacklist Verfahren verwenden möchten. Im Whitelistverfahren werden dem User nur die von Ihnen freigegebenen Applikationen gewährt. Bei der Blacklist werden alle Anwendungen die Sie dem Mitarbeiter zugewiesen haben gesperrt. Alle anderen Programme werden erlaubt. Vertrauenswürdige Objekte Hier haben Sie die Möglichkeit verschiedene Verzeichnise zu wählen, die den Benutzern erlaubt, die darin befindlichen Anwendungen trotz sperrung durch die Anwendungskontrolle auszuführen.

Page 63: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

63

Lösungsszenarien (ApplicationPro) Schnelles Freigeben von Anwendungen

Sie haben einem Benutzer ausgewählte Anwendungen freigegeben. Nun meldet dieser sich und bittet Sie schnellst möglich den Zugriff auf ein weiteres Programm zu gewähren.

Hier können Sie den Lernmodus starten. Mit ausführen des Lernmoduses werden alle Anwendungen sofort für die Zeit des Lernmoduses freigegeben. Anschließend können Sie den Lernmodus stoppen und das entsprechende Programm einem Paket hinzufügen.

Vorgehensweise Den Lernmodus finden Sie in der Rechteverwaltung. Gehen Sie beim Benutzer auf den Reiter ApplicationPro. Dort sehen Sie den Button Lernmodus starten. Hinterlegen Sie hier die Dauer des Lernmodus. In dieser Zeit hat der Benutzer Zugriff auf alle Anwendungen. Nachdem der Benutzer sein Programm ausgeführt hat, stoppen Sie den Lernmodus durch anklicken des Buttons Lernmodus stoppen. Falls Sie dem Anwender in Zukunft das Programm erlauben möchten, gehen Sie auf den Button Benutzerprogramme. Hier wählen Sie das entsprechende Programm aus und fügen es einem Paket hinzu. Freigabe von mehreren Programme an viele Benutzer

Sie haben bereits mehrere Programmpakete angelegt und wollen jedem Benutzer einer gleichen Abteilung die gleichen Anwendungen freigeben. Hierfür möchten Sie so wenig Aufwand wie möglich betreiben.

Sie können Rollen definieren, welche mehrere Programmpakete oder andere Rollen beinhalten. Diese Rollen können den Benutzern zugewiesen werden.

Vorgehensweise Gehen Sie in der Management Konsole auf den Navigationspunkt ApplicationPro. Dort wählen Sie Rollen aus. Legen Sie mit dem Button neue Rolle eine Rolle an. Diese können Sie z.B. nach einer Abteilung benennen. Anschließend können Sie unter Paket einfügen dieser Rolle Programmpakete zuordnen. Falls Sie bereits schon untergeordnete Rollen definiert haben, können Sie diese der neu angelegten Rolle mit Rolle einfügen hinzufügen. Diese Rolle können Sie nun den Benutzern in der Rechteverwaltung im Reiter ApplicationPro einfügen.

Page 64: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

64

CryptionPro

Sie alle kennen die Situation: der USB Stick ist nicht wieder zu finden, wahrscheinlich im Taxi oder beim Essen aus der Hosentasche rausgerutscht und die Präsentation, sowie ein Paar Excel Tabellen an denen Sie zu Hause arbeiten wollten, waren darauf. Natürlich sind die Daten auch auf der Festplatte abgespeichert, aber die viel interessantere Frage ist - wo der Stick zur Zeit ist und wer gerade Ihre Daten liest.

Ist das ein Ihnen wohlgesonnener Mensch, oder ein Konkurrent, intern oder extern, oder ein „netter“ Mensch der alle Daten sofort ins Internet stellt. Damit Sie trotzdem ruhig schlafen können, haben wir CryptionPro entwickelt – eine Verschlüsselungslösung, die im Hintergrund alle Daten die Sie auf den USB Stick, oder externe Festplatten schreiben ver- und entschlüsselt. Ihre Arbeit wird dadurch nicht beeinträchtigt, Sie merken nichts davon, aber sobald die Datenträger verloren oder gestohlen werden, sind diese für unbefugte Personen nicht lesbar.

CryptionPro stellt auch bei Ihnen sicher, dass...

Unbefugte Ihre Daten nicht lesen können.

der Verlust Ihres externen Massenspeichergerätes kein Sicherheitsrisiko ist.

Daten auf externen Geräten automatisch im Hintergrund verschlüsselt werden.

Sie Ihre verschlüsselten Daten immer und überall zur Verfügung haben.

Page 65: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

65

Übersicht CryptionPro verschlüsselt Ihre Daten im Hintergrund, so das bei allen Lese- und Schreibvorgängen auf die externe Speichermedien die Daten automatisch ent- und verschlüsselt werden, ohne dass Sie etwas dafür tun müssen. Sie arbeiten also genauso wie bisher, und alle Daten bleiben überall im Unternehmen lesbar, egal welcher Benutzer sich an welchem Rechner anmeldet. Wird jemand es aber versuchen die Daten von dem Datenträger auf einem Rechner ohne CryptionPro Client oder an einem Rechner außerhalb ihres Netzes zu lesen , sind diese nicht lesbar und dadurch ist der Schaden der beim Verlust des Datenträgers entsteht nur auf die Hardwarekosten minimiert. Es entstehen keine Imageschäden oder wirtschaftliche Verluste. Sie können auch bei Bedarf die Daten unverschlüsselt abspeichern, falls sie diese zum Beispiel einem Kunden geben wollen. Verschlüsselungseinstellungen Die Voraussetzungen für den Einsatz von CryptionPro bestehen aus einer gültiger Lizenz und installiertem cynapspro Endpoint Data Protection Server und Client.

Danach können Sie die Verschlüsselung aktivieren. Benutzen Sie dafür unter dem Menu Punkt CryptionPro –> Verschlüsselungseinstellungen die gleichnamige Checkbox. Anschließend wählen Sie die entsprechenden Funktionen aus, welche Sie den Benutzern zur Verfügung stellen wollen:

Page 66: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

66

- Unverschlüsselt Hiermit können Benutzer Dateien ohne Verschlüsselung auf Datenträger kopieren. Unter Einstellungen für unverschlüsselten Dateitransfer können Sie den Benutzer nach Aktivierung von unverschlüsselten Schreibvorgängen eine Sicherheitsmeldung mitteilen. Diese erscheint bei der Aktivierung über den DevicePro Agent als Popup. Setzen Sie den Haken bei Unverschlüsselte Dateien protokollieren, so können Sie später im Menüpunkt Unverschlüsselter Dateitransfer alle nicht verschlüsselten Dateien, welche auf externe Speichermedien kopiert wurden einsehen. Des Weiteren können Sie bestimmten, nach welchem Zeitintervall bei Inaktivität die Verschlüsselung wieder automatisch aktiviert wird. Diese Option bietet die Sicherheit, dass kein Mitarbeiter nach dem unverschlüsselten Dateitransfer vergisst, die Verschlüsselung wieder zu aktivieren.

- Allgemeine Verschlüsselung Auf allen Rechnern in Ihrer Firma auf denen DevicePro Agent installiert wurde können Dateien jederzeit von jedem Mitarbeiter gelesen und geschrieben werden , die Entschlüsselung findet im Hintergrund statt.

- Gruppen Verschlüsselung Erstellen Sie im Nachhinein unter CryptionPro Gruppenverwaltung Gruppenzugehörigkeiten. Ist ein Benutzer in der gleichen oder übergeordneten Gruppe wie der Mitarbeiter bei dem eine Datei verschlüsselt wurde, so kann er die Dateien entschlüsseln. Alle anderen Benutzer Ihrer Verzeichnisdienststruktur ist das entschlüsseln nicht gestattet. Ausnahme: Dateien werden mit dem entsprechenden Passwort über CryptionPro Mobile entschlüsselt.

- Individuelle Verschlüsselung Nur der Benutzer, der eine Datei verschlüsselt hat, darf diese wieder entschlüsseln. Alle anderen User können diese Datei nicht entschlüsseln. Ausnahme: Dateien werden mit dem entsprechenden Passwort über CryptionPro Mobile entschlüsselt.

- Mobile Verschlüsselung Ermöglicht die Verwendung von CryptionPro Mobile. Wird diese Option einem Benutzer zugeteilt, wird nach Aktivierung von CryptionPro Mobile über den DevicePro Agent das entschlüsseln auch an nicht firmeneigenen Rechnern ermöglicht. Hierbei wird eine exe-Datei automatisch auf die USB Sticks kopiert, welche nach einer Passworteingabe per Konsole bereits verschlüsselte Dateien entschlüsselt, bzw. auch außerhalb der Firma weitere Dateien verschlüsselt.

Des Weiteren können Sie entscheiden, welche Verschlüsselungsmethode benutz wird. Es stehen derzeit 2 Methoden zur Verfügung- Tripple DES und AES Leider wird auf den Windows 2000 Rechner keine Verschlüsselung mit AES möglich. Haben Sie dieses Betriebssystem im Einsatz, und sollten auf diesen Rechner die externe Speichermedien ver- und entschlüsselt werden, wird die Tripple DES Methode die richtige Wahl für Sie sein. Für alle Firmen die nur Windows XP und Vista im Einsatz haben, wird AES als bessere und sicherere Methode empfohlen.

Page 67: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

67

Schlüsselverwaltung Bei jeder Installation wird ein neuer Schlüssel für CryptionPro erstellt. Damit Sie bei einem Servercrash wieder die Daten mit dem alten Schlüssel exportieren können, sollten Sie den Schlüssel in der Schlüsselverwaltung exportieren. Nach einem Servercrash können Sie den neuen Schlüssel nach der Neuinstallation importieren. Des Weiteren haben Sie nun die Möglichkeit einen Master Schlüssel zu generieren. Mit diesem Master Schlüssel wird Ihnen im Zweifelfall ermöglicht, Dateien welche vom Client nicht mehr entschlüsselt werden können, hierdurch zu entschlüsseln. Bitte beachten Sie, dass diese Informationen gesichert abgespeichert bzw. vermerkt und vor nicht autorisierten Zugriffen geschützt werden müssen.

CryptionPro Gruppenverwaltung Erstellen Sie im unter CryptionPro Gruppenverwaltung Gruppenzugehörigkeiten. Ist ein Benutzer in der gleichen oder übergeordneten Gruppe wie der Mitarbeiter bei dem eine Datei verschlüsselt wurde, so kann er die Dateien entschlüsseln. Alle anderen Benutzer Ihrer Verzeichnisdienststruktur ist das entschlüsseln nicht gestattet. Ausnahme: Dateien werden mit dem entsprechenden Passwort über CryptionPro Mobile entschlüsselt. CryptionPro Mobile (globale Einstellungen) Hier können Sie Voreinstellungen zu CryptionPro Mobile vornehmen. Geben Sie Ihre Passwortrichtlinien vor, welche beim Erstellen des Passwortes über den DevicePro Agent berücksichtigt werden. Bestimmen Sie, ob beim Schließen von CryptionPro Mobile alle unverschlüsselten auf der Festplatte abgelegten Daten automatisch oder nach Bestätigung gelöscht werden sollen. Hinterlegen Sie, ob eine Datei auf dem gleichen und/oder anderem Speichermedium entschlüsselt werden darf. Soll die Quelldatei permanent entschlüsselbar sein, oder eine Kopie davon angelegt werden. Blacklist der Geräte Möchten Sie bestimmte Geräte von der Verschlüsselung ausschließen, so können Sie diese über die Blacklist der Geräte hinterlegen.

Page 68: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

68

Unverschlüsselter Dateitransfer Setzen Sie den Haken bei Unverschlüsselte Dateien protokollieren, so können Sie später im Menüpunkt Unverschlüsselter Dateitransfer alle nicht verschlüsselten Dateien, welche auf externe Speichermedien kopiert wurden einsehen. Konfiguration der Benutzer Als Nächstes können Sie für die Benutzer, die CryptionPro benutzen sollen, das Produkt aktivieren. Gehen Sie in die Rechteverwaltung und klicken Sie hierfür mit der rechten Maustaste auf den Benutzer, anschließend auf Aktivieren/Deaktivieren. Hier wählen Sie nun CryptionPro aus. Ein grünes Häkchen in der Spalte CP signalisiert die Aktivierung des Produktes. Hier kann auch für jeden Benutzer entschieden werden, welche Verschlüsselungsmethoden ihm zur Verfügung stehen.

- Unverschlüsselt Hiermit können Benutzer Dateien ohne Verschlüsselung auf Datenträger kopieren. Unter Einstellungen für unverschlüsselten Dateitransfer können Sie den Benutzer nach Aktivierung von unverschlüsselten Schreibvorgängen eine Sicherheitsmeldung mitteilen. Diese erscheint bei der Aktivierung über den DevicePro Agent als Popup. Setzen Sie den Haken bei Unverschlüsselte Dateien protokollieren, so können Sie später im Menüpunkt Unverschlüsselter Dateitransfer alle nicht verschlüsselten Dateien, welche auf externe Speichermedien kopiert wurden einsehen. Des Weiteren können Sie bestimmten, nach welchem Zeitintervall bei Inaktivität die Verschlüsselung wieder automatisch aktiviert wird. Diese Option bietet die Sicherheit, dass kein Mitarbeiter nach dem unverschlüsselten Dateitransfer vergisst, die Verschlüsselung wieder zu aktivieren.

- Allgemeine Verschlüsselung Auf allen Rechnern in Ihrer Firma auf denen DevicePro Agent installiert wurde können Dateien jederzeit von jedem Mitarbeiter gelesen und geschrieben werden , die Entschlüsselung findet im Hintergrund statt.

- Gruppen Verschlüsselung Erstellen Sie im Nachhinein unter CryptionPro Gruppenverwaltung Gruppenzugehörigkeiten. Ist ein Benutzer in der gleichen oder übergeordneten Gruppe wie der Mitarbeiter bei dem eine Datei verschlüsselt wurde, so kann er die Dateien entschlüsseln. Alle anderen Benutzer Ihrer Verzeichnisdienststruktur ist das entschlüsseln nicht gestattet. Ausnahme: Dateien werden mit dem entsprechenden Passwort über CryptionPro Mobile entschlüsselt.

- Individuelle Verschlüsselung Lediglich der Benutzer, der eine Datei verschlüsselt hat, darf diese wieder entschlüsseln. Alle anderen User können diese Datei nicht entschlüsseln. Ausnahme: Dateien werden mit dem entsprechenden Passwort über CryptionPro Mobile entschlüsselt.

Page 69: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

69

- Mobile Verschlüsselung Ermöglicht die Verwendung von CryptionPro Mobile. Wird diese Option einem Benutzer zugeteilt, wird nach Aktivierung von CryptionPro Mobile über den DevicePro Agent das entschlüsseln auch an nicht firmeneigenen Rechnern ermöglicht. Hierbei wird eine exe-Datei automatisch auf die USB Sticks kopiert, welche nach einer Passworteingabe per Konsole bereits verschlüsselte Dateien entschlüsselt, bzw. auch außerhalb der Firma weitere Dateien verschlüsselt.

Hat der Benutzer nur eine Option freigeschaltet bekommen, wird diese automatisch angewendet. Hat er mehr als eine Option frei, darf er im Tray entscheiden, wie die nächste Datei geschrieben werden sollte, verschlüsselt oder nicht. Dafür führt er einen Doppelklick auf das Trayicon aus und steuert den Punkt CryptionPro an.

Wichtig: Auch wenn einem Benutzer nur "Allgemein" oder nur "unverschlüsselt" erlaubt wird, wird er sowohl verschlüsselte als auch unverschlüsselte Dateien lesen können. Diese Einstellung hat nur dann eine Auswirkung, wenn er die Daten auf einem externen Datenträger speichern oder diese auf das Medium kopieren möchte. Wenn für den Benutzer CryptionPro nicht freigeschaltet wurde, wird er die verschlüsselten Dateien nicht lesen können. Sobald er aber die CryptionPro aktiviert bekommt, wird er alle „Allgemein“ verschlüsselte Dateien wie gewohnt bearbeiten können. CryptionPro Mobile (Clientsoftware)

Haben Sie dem Benutzer die mobile Verschlüsselung erlaubt, so kann der Benutzer auch außerhalb der Firma Dateien ent- bzw. verschlüsseln. Der Benutzer kann anschließend an seinem Client die mobile Verschlüsselung aktivieren. Anschließend hinterlegt der Benutzer das in Zukunft verwendete Passwort für CryptionPro Mobile. Ab sofort wird automatisch auf jeden USB Stick, der in der Firma mit Daten gefüllt wird die Datei cryptionpromobile.exe kopiert. Per Passworteingabe lässt sich die ausführbare Datei von CryptionPro Mobile starten. Anschließend können Dateien unterwegs ohne Probleme ent- und verschlüsselt werden.

Page 70: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

70

Abhängig von der Einstellungen, die in der Managementkonsole vorgenommen wurden, bekommen Sie beim Beenden vom CryptioProMobile Hinweise, ob Sie die unverschlüsselte Dateien verschlüsseln möchten oder ob Sie die lokale Kopien von Dateien löschen möchten.

Wenn Sie Ja auswählen, verschlüsselt CryptionPro Mobile die aktuelle Datei und zeigt die nächste an. Wenn Ja für alle gewählt wird, dann geht das Programm den ganzen USB Stick durch und verschlüsselt die restlichen unverschlüsselte Dateien und wird geschlossen. Wählen Sie Nein aus, wird die angezeigt Datei nicht verschlüsselt und die nächste wird angezeigt. Aber wählen Sie Nein für alle aus, dann wird das Programm keine Daten mehr verschlüsseln, und wird geschlossen. Möchten Sie das Programm noch nicht schließen klicken Sie bitte auf Abbrechen. Wenn Sie währen der Arbeit von Ihnen Entschlüsselte Daten von der Festplatte löschen möchten, beantworten Sie bitte folgende Frage mit Ja. Falls Sie Nein wählen, bleiben die Daten auf dem lokalen Rechner erhalten.

Page 71: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

71

Lösungsszenarien (CryptionPro) Automatische Verschlüsselung für alle Benutzer

Sie möchten dafür sorgen, dass alle Dateien immer verschlüsselt werden, aber überall im Unternehmen zu lesen sind. Es gibt keine Grund die Daten unverschlüsselt zu schreiben. Wichtig ist, dass die Benutzer weder geschult werden müssen noch mehr Aufwände bei der Arbeit haben.

Aktivieren Sie alle Benutzer für CryptionPro und geben für jeden Benutzer nur die „Allgemeine Verschlüsselung“ frei.

Vorgehensweise Gehen Sie in der Management Konsole auf die Rechteverwaltung, wählen sie den Benutzer aus, klicken Sie mit der rechten Maustaste auf den Benutzer, anschließend auf Aktivieren/Deaktivieren. Hier wählen Sie nun CryptionPro aus. Im Fenster unten aktivieren Sie bitte die Checkbox „Allgemeine Verschlüsselung“ und dann „Speichern“. Ab jetzt wird alles was der Benutzer auf die externen Speichermedien schreibt automatisch verschlüsselt, ohne dass er etwas dafür tun muss. Die Dateien sind aber überall im Unternehmen lesbar und werden im Hintergrund automatisch entschlüsselt. Ein Benutzer muss immer unverschlüsselt abspeichern können

Sie möchten dafür sorgen, dass ein Benutzer, der immer die Daten zu den Kunden über USB Stick übermittelt, die Daten immer unverschlüsselt schreiben kann, ohne geschult zu werden und ohne zusätzlichen Aufwand.

Aktivieren Sie diesen Benutzer für CryptionPro und geben für ihn nur die Option „unverschlüsselt“ frei.

Vorgehensweise Gehen Sie in der Management Konsole auf die Rechteverwaltung, wählen sie den Benutzer aus, klicken Sie mit der rechten Maustaste auf den Benutzer, anschließend auf Aktivieren/Deaktivieren. Hier wählen Sie nun CryptionPro aus. Im Fenster unten aktivieren Sie bitte die Checkbox „unverschlüsselt“ und dann „Speichern“. Ab jetzt wird alles was der Benutzer auf die externen Speichermedien schreibt unverschlüsselt abgespeichert ohne das er etwas dafür tun muss. Die Dateien sind überall sowohl im Unternehmen, als auch außerhalb zu lesen. Obwohl er nur die Einstellung „unverschlüsselt“ aktiviert bekommen hat, wird der Benutzer alle verschlüsselten Dateien lesen können.

Page 72: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

72

CryptionPro HDD 2010 CryptionPro HDD ermöglicht die zentralgesteuerte Verwaltung von Festplattenverschlüsselung und PreBoot Authentication. Zur Installation der Clientkomponente verwenden Sie bitte die im Installationsleitfaden erläuterte Vorgehensweise. Standard Einstellungen Bevor Sie die PreBoot Authentifizierung (PBA) und Full Disk Encryption (FDE) pro Rechner initialisieren, empfehlen wir die Standardeinstellungen für CryptionPro HDD festzulegen. Dazu gehen Sie bitte in der Management Konsole unter dem Punkt CryptionPro + HDD auf

Standard Einstellungen. Vorab müssen Sie das Administrator Passwort eintragen, welches Sie während der Installation von CryptionPro HDD festgelegt haben, um weitere Einstellungen zu tätigen.

Als nächstes legen Sie ein Passwort für die Emergency Recovery und einen Speicherort für die Emergency Recovery Information (ERI-Datei) fest. Diese Datei ist wichtig, für den Fall, dass Sie Ihr Passwort vergessen haben und sich nicht mehr anmelden können.

Page 73: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

73

Pre-Boot Authentication

Im nächsten Reiter legen Sie die Einstellungen für die PBA fest. Wenn Sie die Benutzer

Selbstinitialisierung wählen, wird der nächste Benutzer bei einer erfolgreichen Anmeldung automatisch am jeweiligen Client initialisiert. Die PBA wird für diesen Systemstart einmalig übersprungen.

Ist das Single-Sign-On aktiviert, müssen Sie sich nicht doppelt anmelden, da die Daten der Pre-

Boot Authentifizierung in die Windows Anmeldung übernommen werden. Der Punkt Windows

Anmeldung bestätigen übernimmt für Sie das bestätigen von „Strg+Alt+Entf“. Für die Smartcard können die Einstellungen genau so getätigt werden. PBA Einstellungen

Unter dem Reiter PBA Einstellungen sehen Sie den Helpdesk, das Locking und weitere Einstellungen. Das Helpdesk hilft Ihnen dabei, einen gesperrten Computer (beispielsweise durch mehrmalige falsche Eingabe des Passwortes) wieder zu entsperren.

Mit dem Locking definieren Sie eine Zeitstrafe oder Anmeldesperre bei mehrmaliger falscher Eingabe des Passwortes.

Weitere Einstellungen ermöglicht Ihnen einen Bildschirmhintergrund und die Sprache der Tastatur zu wählen.

Full Disk Encryption Im nächsten Reiter werden die Einstellungen für die FDE getätigt. Sie haben zum einen die Möglichkeit die komplette Festplatte (alle Sektoren) oder zum anderen nur die Daten zu verschlüsseln. Wenn Sie nur die Daten verschlüsseln haben Sie den Vorteil, dass die erste Verschlüsselung deutlich schneller verläuft. Desweiteren können Sie die Art des

Verschlüsselungsalgorithmus wählen, sowie ein Passwort hinterlegen, welches wichtig ist, um weitere Schritte tätigen zu können.

Page 74: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

74

Installationseinstellungen Um die Installation der Clientkomponente von CryptionPro HDD vornehmen zu können, sollten Sie vorab das Verzeichnis definieren, in dem Sie die Installationsdatei für CryptionPro HDD (f9u.msi) abgelegt wurde und den entsprechenden Benutzer mit Passwort hinterlegen, der den Zugriff auf den angegebenen Pfad hat.

Page 75: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

75

Installation und Verwaltung Um Einstellungen für den einzelnen Rechner zu tätigen klicken Sie bitte auf der linken Seite auf

den Menüpunkt Installation und Verwaltung.

Hier wählen Sie im Verzeichnisbaum die OU oder den Ordner mit den Computern aus, auf die Sie CryptionPro HDD installieren und verwalten möchten. Klicken Sie einfach per Rechtklick auf den entsprechenden Rechner und aktivieren Sie den Rechner. Klicken Sie noch einmal auf den Rechner um CryptionPro HDD zu installieren. Nachdem Sie CryptionPro HDD für diesen Rechner installiert haben können Sie individuell weitere Einstellungen für dieses Gerät tätigen.

Anschließend können Sie die FDE initialisieren. Für die Initialisierung wählen Sie einfach einen Rechner mit der rechten Maustaste aus und klicken

FDE oder PBA initialisieren. Nun wird ein Script ausgeführt, das die vorgenommenen Änderungen am Client durch führt. Nachdem der Client einmal initialisiert wurde, werden weitere Einstellungen nach dem drücken

des Speichern Buttons über die Funktion PBA Einstellungen übernehmen oder unabhängig

davon FDE Einstellungen übernehmen übernommen. Auch das Administratorpasswort können

Sie individuell vergeben. Mit der Option Alles verschlüsseln werden alle Festplatten eines Clients komplett verschlüsselt. Wenn Sie die PBA oder FDE auf einem Client deaktivieren möchten klicken Sie einfach auf deinitialisieren oder ggf. entfernen.

Page 76: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

76

ErasePro ErasePro ermöglicht die zentralgesteuerte Verwaltung von Datenvernichtungen auf Dateien, Ordner und Partitionen. Zur Installation der Clientkomponente verwenden Sie bitte die im Installationsleitfaden erläuterte Vorgehensweise. Benutzerverwaltung Die Benutzerverwaltung zu ErasePro finden Sie in der Management Konsole unter dem Menüpunkt Power und Data Destruction Management.

Hier gliedert sich die Verwaltung in Power Management und Data Destruction. Um ErasePro

zu verwalten, gehen Sie bitte auf die Menüpunkte unter Data Destruction Management, z.B.

Benutzerverwaltung.

Um Ihre Benutzer verwalten zu können, gehen Sie bitte in der Verzeichnis-Dienst-Struktur zu der entsprechenden OU oder Gruppe. Sie sehen nun im rechten Fenster die der OU oder Gruppe zugeordneten User. Um dem entsprechenden Benutzer ErasePro zur Verfügung zu stellen, klicken Sie mit der rechten

Maustaste auf den Benutzernamen und anschließend auf Aktivieren. Nun können Sie entscheiden, mit welchen Methoden Ihre Mitarbeiter Daten vernichten dürfen.

Als Optionen stehen Ihnen Löschen nach Zufallszahlen-Überschreibung, 3fache Überschreibung (DOD Methode), 6fache Überschreibung (DOD II Methode), 7fache Überschreibung BSI Standard (VSITR) und 35fache Überschreibung (Peter Gutmann

Methode) zur Verfügung. Alle Änderungen werden sofort zum Client übertragen.

Page 77: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

77

Sicheres Löschen von Dateien am Client Haben Sie über die Management Konsole den Benutzer aktiviert und die Löschmethode gewählt, so kann der Benutzer über das Kontextmenü Daten sicher löschen. Hierfür klickt der Mitarbeiter mit der rechten Maustaste auf die Partition, den Ordner oder die Datei,

welche vernichtet werden soll. Das Kontextmenü ist mit der Option Sicher löschen ausgestattet.

Wählt der Mitarbeiter die Option Sicher löschen so wird dieses Objekt sofort vernichtet. Es können auch leere (dem Filesystem unzugeordnete) Sektoren sicher gelöscht werden.

Page 78: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

78

PowerPro PowerPro ermöglicht die zentralgesteuerte Verwaltung von Energiekonfiguration auf Ihren Firmenrechnern. Zur Installation der Clientkomponente verwenden Sie bitte die im Installationsleitfaden erläuterte Vorgehensweise. Profilerstellung Die Verwaltung zu PowerPro finden Sie in der Management Konsole unter dem Menüpunkt

Power und Data Destruction Management. Hier können Sie entsprechende Profile unter

Power Profile erstellen.

Konfigurieren Sie z.B. ein Profil, bei dem im Netzbetrieb nach 10 Minuten Inaktivität der Monitor ausgeschalten wird, nach einem gewissen Leerlauf der Rechner in den Hibernate Status (Ruhezustand) automatisiert versetzt wird, die CPU Auslastung gedrosselt wird, der Lüfter nur bei Bedarf unter Volllast läuft und Wake-On-Lan verwendet werden darf. Rechnerverwaltung Nachdem Sie die Profile erstellt haben, können Sie bestimmen, an welchem Rechner zu welchem

Zeitpunkt das jeweilige Profil greifen soll. Hierfür gehen Sie bitte unter Power Management auf

Rechnereinstellungen. Wählen Sie in der Verzeichnis Dienst Struktur die OU oder Gruppe aus, in welcher sich Ihre zu verwaltenden Rechner befinden.

Aktivieren Sie hier die jeweiligen Rechner per Rechter Maustaste, um mit PowerPro auf den

Clients Ihre Energiekosten mit den jeweiligen Einstellungen zu minimieren. Im Reiter Power

Profile unterhalb der Rechnerliste können Sie nun bestimmen, welches Profil zu dem jeweiligen Zeitraum verwendet werden soll.

Page 79: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

79

Scheduler

Über den Menüpunkt Scheduler können Sie Rechner zu einem bestimmten Zeitounkt in den Ruhezustand, Standby Modus, herunterfahren oder sogar starten. Definieren Sie hier, wann die jeweiligen Operationen durchgeführt werden sollen und weisen diese Definitionen in der

Rechnerverwaltung den einzelnen Client im Reiter Scheduler zu. Ausnahmen

Bestimmen Sie, wann ein Rechner nicht per Scheduler z.B. heruntergefahren oder der Monitor ausgeschalten werden darf.

Hinterlegen Sie die entsprechende Anwendung, einen Prozess oder ob diese Ausnahme bei

Netzwerk Aktivität bzw. bestimmter CPU Auslastung greifen soll.

Diese Ausnahmen können Sie global für die ganze Firma greifen lassen oder in

Rechnereinstellungen über den Reiter Ausnahmen einzelnen Computer zuordnen. Benutzerberechtigungen Hinterlegen Sie, welche User am Client Änderungen durchführen dürfen. Einstellungen Hinterlegen Sie entsprechende Parameter, um über Auswertungen gesparte Energiekosten und CO2 Ausstoß analysieren zu können.

Page 80: cynapspro endpoint data protection 2010 - Bedienungsleitfaden

80

Gratulation

Nun sind Sie mit der kompletten cynapspro Endpoint Data Protection Lösung bestens vertraut. Für weitere Unterstützung stehen wir Ihnen selbstverständlich gerne zur Verfügung.

Gerne stehen wir Ihnen aber auch bei aufkommenden Fragen unterstützend zur Seite.

cynapspro GmbH Am Hardtwald 1 76275 Ettlingen

Germany

Tel. +49 (0)7243-945-250 Fax. +49 (0)7243-945-100

eMail: [email protected]

Website: http://www.cynapspro.com

Wir wünschen Ihnen viel Spaß mit unseren Produkten.