Safeguart Easy und LanCrypt für Administratoren\\ Dozent: Mirco Borges \\ 10.12.-13.12.2012\\ ====== SafeGuard Easy ====== ===== Verschlüsselungsverfahren ===== * Syncron: AES, (3)DES, FISH ... * Asyncron: RSA, DH ===== Hashwertverfahren ===== * MD5 (Verfahren die mit MD anfangen nicht mehr verwenden, potentiell unsicher) * RIPE MD160 (noch OK) * SHA (beste Wahl) ===== SafeGuard LAN Crypt ===== ==== SQL Server einrichten ==== * Mit dem SQL Management Studio Express eine Datenbank für LANCrypt anlegen, der Name ist frei wählbar z.B. SGLC{{ :lehrgaenge:safeguart:sql_server_management_studio_express.png?direct&200|}} * SQL Server Configuration Manager{{ :lehrgaenge:safeguart:sql_server_configuration_manager.png?direct&200|}} * Protokolle für SQL Express, TCP/IP aktivieren und Dienst neu starten * evtl. Firewall regeln erstellen oder Firewall aus schalten \\ \\ \\ ==== ODBC Einrichten auf Admin client==== * auf 64bit Systemen das 32bit Programm verwenden **C:\Windows\SysWOW64\odbcad32.exe**{{ :lehrgaenge:safeguart:odbc-datenquellen-administrator.png?direct&200|}} * Benutzer-DSN hinzufügen * Der Name für die Verbindung muss "SGLCSQLServer" sein. (ist so in Richtlinie){{ :lehrgaenge:safeguart:odbc-datenquellen-einstellung.png?direct&200|}} * Server und Instanz auswählen SQL\SQLEXPRESS * Die Standartdatenbank auf den Namen der zuvor erstellten (SGLC) ändern ==== Admin Client ==== * auf dem Amin PC den LANCrypt adminclient installieren * sglcadmin.msi * createtables.exe m c aufrufen * SGLC Administration starten * MSO anlegen (neues Zertifikat erstellen) ==== Fileserver ==== * Freigaben für Policys und Zertifikate erstellen (pol, cer) * Rechte anpassen ==== Admin Client ==== * Zertifikat für MSO neu importieren. * Hohe Sicherheit für den Privaten Schlüssel aktivieren * Sicherheitsstufe auf Hoch stellen und Passwort vergeben. * Das Passwort für den Import ist in "C:\Users\Public\Documents\Sophos\Admin\p12pwlog" nach letztem ";" * die.p12 Dateien der MSOs sicher aufbewahren und vor Zugriff schützen ==== Admin Client ==== * Wiederherstellungsschlüssel erstellen{{ :lehrgaenge:safeguart:wiederherstellungsschluessel.png?direct&200|}} * rechts klick auf "Zentrale Einstellungen" Eigenschaften * Karteikarte "Wiederherstellungsschlüssel" Wiederherstellungsschlüssel erzeugen und in Datei speichern * Weitere MSOs erzeugen * SOs erzeugen ==== Auf DC ==== * ggf. Struktur und Nutzer erstellen * GPO zur verteilung der Cliensoftware "SGLC_x64.msi" erstellen ==== Admin client ==== * Feature Gruppenrichtlinienverwaltung hinzufügen{{ :lehrgaenge:safeguart:gruppenrichtlinie.png?direct&200|}} * Auf 64bit Systemen mit 32bit mmc **C:\Windows\SysWOW64\gpmc.msc** Die LANCrypt Richtlinien erstellen * Wichtig Pfade zu cer und pol einstellen{{ :lehrgaenge:safeguart:lan_crypt_einstellungen.png?direct&200|}} * Verzeichnis-Objekte synchronisieren {{ :lehrgaenge:safeguart:lan_crypt_administrator1.png?direct&200|}} * aktualisieren * übernehmen * in die Datenbank einfügen * in den Eigenschaften der Domäne Karteikarte Sicherheit den SOs Leserechte geben * in den Eigenschaften der OU Karteikarte Sicherheit den SOs Rechte geben * Schlüssel erstellen * Verschlüsselungsregeln erstellen * Nutzerzertifikate erzeugen (rechts klick auf Nutzer) * Verschlüsselungsprofile bereitstellen ==== Client ==== * Client bekommt über Richtlinie die Software * Nach ersten Anmeldung muss der Nutzer den Schlüssel für das Nutzerzertifikat eingeben.\\ Der steht in **C:\Users\Public\Documents\Sophos\Admin\p12pwlog** nach letztem "**;**" * Die Zertifikate werden dann im Zertifikatsspeicher geladen. * mmc Snap-In "Zertifikate" oder Interneteinstellungen Zertifikate (Eigene, Andere Personen) ==== Admin client ==== === Karteikarte Spezifischer Schlüssel === um die Karteikarte "Spezifischer Schlüssel" in den Nutzereigenschaften angezeigt zu bekommen muss in **HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Utimaco\SGLANCrypt** ein DWORD-Wert(32bit) **ShowUserKeyPage** mit dem Wert 1 erstellt werden. * LANCryptadmin neu starten * jetzt kann über rechts klick auf den User, Eigenschaften ggf. ein neuer Spezifischer Schlüssel eingestellt werden. * es werden nur nicht zugeordnete Schlüssel angezeigt. ==== Einstellungen am Client betrachtet ==== {{:lehrgaenge:safeguart:clientstatus.png?direct&200|}} {{:lehrgaenge:safeguart:clientstatus1.png?direct&200|}} {{:lehrgaenge:safeguart:clientstatus2.png?direct&200|}} {{:lehrgaenge:safeguart:clientstatus3.png?direct&200|}}