Nápovědu - AreaGuard Neo

Transkript

1. Informace o dokumentu
Název:
Nápověda AreaGuard Neo
Soubor:
Napoveda_AGNeo.pdf
1.1. Revize nápovědy
Verze
Změny
Release
AreaGuard Neo
1.0.
Základní dokument
1.1
1.1.
Změna názvu dokumentu na „Nápověda“, popsány nové funkce aplikace
přidané v aktuální verzi
1.3
1.2.
Popsány nové funkce aplikace přidané v aktuální verzi
1.4
1.3.
Popsány nové funkce aplikace přidané v aktuální verzi
1.5
1.4
Popsány nové funkce aplikace přidané v aktuální verzi, přidány nově
podporované operační systémy do systémových požadavků
1.6
Změna tohoto dokumentu je vyhrazena i bez předchozího upozornění. Tištěná kopie tohoto dokumentu
nemusí být aktuální verzí.
Obsah
1. Informace o dokumentu ............................................................................................................................... 2
1.1. Revize nápovědy .................................................................................................................................. 2
2. Úvod ............................................................................................................................................................ 5
2.1. Obecný popis řešení AreaGuard Neo ................................................................................................... 5
2.2. Klíčové funkce....................................................................................................................................... 5
3. Technický popis AreaGuard Neo ................................................................................................................ 6
3.1. Schéma produktu AreaGuard Neo ....................................................................................................... 6
4. Systémové požadavky................................................................................................................................. 7
4.1. Serverová část ...................................................................................................................................... 7
4.2. Administrátorské rozhraní ..................................................................................................................... 7
4.3. Klientská část ........................................................................................................................................ 8
4.4. AreaGuard Neo – Logon ....................................................................................................................... 8
4.4.1. Podpora HW předmětů ......................................................................................................... 8
5. Instalace AreaGuard Neo ............................................................................................................................ 9
5.1. Předinstalační příprava ......................................................................................................................... 9
5.2. Postup instalace serverové části krok za krokem ............................................................................... 10
5.2.1.
5.2.2.
5.2.3.
5.2.4.
5.2.5.
5.2.6.
5.2.7.
5.2.8.
5.2.9.
Kontrola instalačních pravidel ............................................................................................... 10
Licenční číslo....................................................................................................................... 11
Typ instalace ...................................................................................................................... 11
SQL .................................................................................................................................... 11
Port .................................................................................................................................... 11
GPO ................................................................................................................................... 11
Účty ................................................................................................................................... 12
Skupiny v Active Directory ................................................................................................... 13
Souhrn ............................................................................................................................... 13
5.3. Aktualizace serverové části ................................................................................................................ 13
5.4. Setup Report Viewer ........................................................................................................................... 13
5.5. Odinstalace AreaGuard Neo ............................................................................................................... 14
5.5.1. Odinstalace klientů .............................................................................................................. 14
6. Začínáme s AreaGuard Neo ..................................................................................................................... 15
6.1. Technický popis AreaGuard Neo server ............................................................................................. 15
6.2. Úvod do AreaGuard Neo admin konzole ............................................................................................ 15
6.2.1.
6.2.2.
6.2.3.
6.2.4.
První spuštění AreaGuard Neo admin konzole ....................................................................... 15
Aktivace produktu ............................................................................................................... 16
Období a stavy .................................................................................................................... 16
Orientace a ovládání v GUI .................................................................................................. 17
6.3. AreaGuard Neo - Admin – Průvodci a Nástroje .................................................................................. 18
6.3.1.
6.3.2.
6.3.3.
6.3.4.
6.3.5.
6.3.6.
Průvodce nastavením .......................................................................................................... 18
Správa verzí ........................................................................................................................ 18
Správa komponent .............................................................................................................. 19
Nouzová obnova nastavení .................................................................................................. 19
Token manager ................................................................................................................... 19
Nastavení ovládací konzole .................................................................................................. 20
6.4. Záložky ................................................................................................................................................ 20
6.4.1. Správa klientů ..................................................................................................................... 20
6.4.2.
6.4.3.
6.4.4.
6.4.5.
Výměnná zařízení ................................................................................................................ 21
Lokální adresáře .................................................................................................................. 21
Klíče ................................................................................................................................... 23
Sdílená data ........................................................................................................................ 24
7. AreaGuard Neo na klientské stanici .......................................................................................................... 25
7.1. Obecný popis ...................................................................................................................................... 25
7.2. Technický popis klienta ....................................................................................................................... 25
7.2.1. Aktualizace nastavení klienta ............................................................................................... 25
7.3. Způsoby instalace klienta ................................................................................................................... 26
7.3.1. Instalace pomocí doménové politiky GPO .............................................................................. 26
7.3.2. Ruční instalace .................................................................................................................... 26
7.3.3. Odinstalace klienta .............................................................................................................. 27
7.4. Systray komponenta ........................................................................................................................... 27
7.4.1.
7.4.2.
7.4.3.
7.4.4.
O Programu AreaGuard Neo................................................................................................. 27
Historie akcí ........................................................................................................................ 27
Nouzová obnova nastavení .................................................................................................. 27
Bezpečnost mých dat .......................................................................................................... 27
7.5. Šifrování výměnných zařízení ............................................................................................................. 27
7.5.1. Šifrování přenosným klíčem ................................................................................................. 27
7.5.2. Dešifrování přenosným klíčem .............................................................................................. 28
7.6. Recovery událost ................................................................................................................................ 28
7.7. AreaGuard Neo – Logon ..................................................................................................................... 28
8. Rekonfigurace serveru .............................................................................................................................. 29
8.1. Obnova serveru .................................................................................................................................. 29
8.2. Přesun databáze ................................................................................................................................. 30
8.3. Konfigurace pro import logů na nelokální SQL server ........................................................................ 34
8.4. Změna hesel servisních účtů .............................................................................................................. 35
8.4.1. Servisní účet ....................................................................................................................... 35
8.4.2. Servisní účet IIS .................................................................................................................. 35
9. Support ...................................................................................................................................................... 36
9.1. Informace o způsobu supportu ........................................................................................................... 36
9.1.1. Helpdesk SODATSW spol s r.o. ............................................................................................ 36
9.2. Kontaktní údaje ................................................................................................................................... 36
9.3. Informace o aktualizacích ................................................................................................................... 36
10. Informace o společnosti SODATSW spol. s r.o. ..................................................................................... 37
2. Úvod
2.1. Obecný popis řešení AreaGuard Neo
Kombinuje ochranu dat společně s omezením nežádoucího využívání výměnných médií. Pomocí
centrálního managementu lze snadno chránit data na noteboocích, koncových stanicích uživatelů,
výměnných zařízeních a síťových discích organizace. V rámci AreaGuard Neo lze využít i možnosti
zabezpečení přístupu do operačního systému prostřednictvím dvoufaktorové autentizace (čipové karty,
tokeny).
Ochrana důvěrných osobních informací je dnes požadována za samozřejmost v mnoha státech po celém
světě a její povinnost stanovuje zákon. Centrální správa AreaGuard Neo napomáhá důslednému
dodržování bezpečnostních politik organizace. Díky logování a reportingu aktuálního stavu na koncové
stanici snižuje riziko bezpečnostního incidentu na minimum.
2.2. Klíčové funkce
















Centrální správa řešení prostřednictvím administrátorské konzole
Snadná distribuce politik a aktualizací
Snadná evidence, záloha a přidělování šifrovacích klíčů uživateli
Monitoring aktuálního stavu klienta na koncové stanici
Správa distribuce jednotlivých klientů a komponent na stanice
Snadné nastavení politik pomocí proaktivního logování informací
Omezení pohybu dat na výměnných zařízeních pomocí restrikcí
Ochrana dat uložených na výměnných zařízeních pomocí symetrické kryptografie
Ochrana dat na koncové stanici prostřednictvím symetrické kryptografie
Ochrana dat uložených na síti pomocí symetrické kryptografie
Použití silného algoritmu AES 256bit
Plná podpora Microsoft Active Directory
Možnost integrace do stávajícího PKI organizace
Možnost využití certifikátů na čipových kartách pro zabezpečení klíčů uživatele
Možnost využíti dvoufaktorové autentizace do operačního systému (čipové karty, tokeny)
Databáze postavená na efektivním nástroji Microsoft SQL
3. Technický popis AreaGuard Neo
Hlavním úkolem AreaGuard Neo je zabezpečení dat uložených na koncových stanicích uživatelů,
výměnných zařízeních a síti. Součástí AreaGuard Neo je i možnost využití čipových karet a tokenů v rámci
autentizace do operačního systému.
Ochrana dat se realizuje prostřednictvím online transparentního šifrování, zajištěném symetrickou
kryptografií algoritmu AES 256. Ve standardním nastavení se po instalaci klienta automaticky zašifruje
profil uživatele. Klient současně provádí na koncové stanici analýzu dat. Informace jsou centrálně
vyhodnocovány. Součástí analýzy jsou informace o typu dat (kancelářské balíky, multimédia, zdrojové kódy
atd.), jejich velikosti a stáří. Máte tak všechny informace potřebné k definování bezpečnostní politiky na
každé stanici.
Protože jsou data šifrována symetrickými klíči, je nutné toto tajemství bezpečně uchovávat. Součástí
AreaGuard Neo je tak kompletní správa šifrovacích klíčů, které jsou uloženy v zabezpečené databázi. Věci
spojené s výměnou klíčů, jejich zneplatněním a vydáváním jsou maximálně automatizovány. Současně je
ovšem možné v případě potřeby veškeré akce provést ručně.
Další funkcionalitou je možnost omezení využívání výměnných médií uživatelem. AreaGuard Neo dokáže
rozpoznat zařízení, na které je možno uložit data a dovolí správci jej zakázat. Stejným způsobem lze
definovat pouze povolená zařízení. Zároveň můžete data na výměnných zařízeních, která jsou používaná
pro firemní účely šifrovat.
AreaGuard Neo je funkčně rozdělen do 3 částí, které díky vzájemnému propojení tvoří jednotný celek
postavený na klient – server architektuře. Aplikace využívá moderních technologií serverových operačních
systému od společnosti Microsoft. Ty umožňují snadnou distribuci a ovládání klientů v doménovém
prostředí založeném na Active Directory.
3.1. Schéma produktu AreaGuard Neo
4. Systémové požadavky
4.1. Serverová část
Minimální požadavky – serverová část
Počítač
procesor
a
Počítač s procesorem serverové řady 32bit (x86) / 64bit (x64), AMD®, Intel® či
100% kompatibilní nebo rychlejší; doporučen procesor s rychlostí alespoň 1,5
GHz
Paměť
Minimálně 2 GB RAM (doporučeno 3 GB a více)
Pevný disk
Minimálně 5 GB volného místa na disku. Doporučeno 10 GB (nezbytné pro
instalaci zvolené edice SQL serveru a další systémové součásti). Potřebný
prostor je závislý na velikosti databáze a množství logovaných informací.
Operační systém
32/64 bitové operační systémy: Windows Server 2003R2 SP2, Windows Server
2008 SP2, Windows Server 2008 R2 (SP1), Windows Server 2008 SMB,
Windows Server 2012
SQL Server
32/64 bitové edice Microsoft SQL server: Microsoft SQL Server 2005 Express a
vyšší edice, Microsoft SQL Server 2008 Express a vyšší edice, Microsoft SQL
2008 R2 a vyšší edice, Microsoft SQL Server 2012 Express a vyšší edice
Síť
Funkční TCP/IP protokol v organizaci, funkční služba DNS v síti, konexe k
databázi AreaGuardNeo, pevná IP adresa, neměnný DNS název serveru.
Dostupný server s Active Directory Domain Services (úroveň domény 2003 a
novější).
Další součásti
Windows Installer 3.1 a novější, NET Framework 3.5 SP1, přístup
k ActiveDirectory + DomainControler (nemusí být na stejném serveru jako
AreaGuard Neo server), IIS 6.0/7.0/7.5 s doplňky ASP.NET 2.0, Windows
autentizace v IIS, povolený komunikační port ve Firewall, funkční TCP/IP
protokol v organizaci, pro funkční automatické přidání Installeru do GPO
vyžaduje GPMC
4.2. Administrátorské rozhraní
Minimální požadavky – administrátorská konzole
Počítač
procesor
a
Počítač s procesorem Pentium IV nebo rychlejší, 32bit (x86) / 64bit (x64),
AMD®, Intel® či 100% kompatibilní; doporučen procesor s rychlostí alespoň 1,5
GHz
Paměť
1 GB RAM (doporučeno 2 GB)
Pevný disk
250 MB volného místa na disku (doporučeno 500 MB)
Operační systém
32/64 bitové operační systémy: Windows XP SP3, Windows Vista SP2,
Windows 7 SP1, Windows Server 2003 (SP1, SP2), Windows Server 2003 R2,
Windows Server 2008 (SP1, SP2), Windows Server 2008 R2, Windows Server
2008 SMB, Windows Server 2012, Windows 8
Síť
Funkční TCP/IP protokol v organizaci, funkční služba DNS v síti, konexe
k databázi AreaGuard Neo
Další součásti
.NET Framework 3.5 SP1, IIS 6.0/7.0/7.5 s doplňky ASP.NET 2.0, Windows
autentizace v IIS 6.0
4.3. Klientská část
Minimální požadavky – klient
Počítač
procesor
a
Počítač s procesorem Pentium IV nebo rychlejším, 32-bit (x86) / 64-bit (x64),
AMD®, Intel® či 100% kompatibilní, doporučen procesor s rychlostí alespoň 1,5
GHz
Paměť
512 MB RAM (doporučeno 1GB MB)
Pevný disk
250 MB volného místa na disku (doporučeno 500 MB)
Operační systém
32/64 bitové operační systémy: Windows XP SP3, Windows Vista SP2,
Windows 7 SP1, Windows 8
Síť
TCP/IP protokol, funkční služba DNS v síti, konexe k serverové části AreaGuard
Neo
Další součásti
Windows Installer 3.1 a novější, .NET Framework 2.0 SP2 (pokud je MSI balíček
v GPO, instaluje automaticky), pro Windows 8 .NET Framework 4.0
V případě, že používáte jiný software, který nějakým způsobem ovlivňuje připojování výměnných zařízení,
či na ně aplikuje restrikce, musíme vás informovat o tom, že mohou nastat možné konflikty s AreaGuard
Neo. Samozřejmě pouze tehdy, pokud edice AreaGuard Neo, kterou vlastníte, disponuje modulem
„Výměnná zařízení“. V tomto případě bychom určitě doporučili aplikovat restrikce na výměnná zařízení
pouze prostřednictvím AreaGuard Neo.
4.4. AreaGuard Neo – Logon
Totožné požadavky jako u klientské části s výjimkou u operačních systémů. AreaGuard Logon lze využít
pro 32/64 bitové operační systémy Windows Vista SP2, Windows 7 SP1 a Windows 8.
4.4.1. Podpora HW předmětů
AreaGuard Neo – Logon podporuje HW předměty pracující na standardu PKCS #11. Zaručujeme
funkčnost s výrobky společnosti SafeNet. Nutná přítomnost middleware HW předmětů (např. SafeNet
Authentication Client).
5. Instalace AreaGuard Neo
5.1. Předinstalační příprava
Co je potřeba zajistit pro hladkou implementaci na serveru?






plně aktualizovaný OS
Windows Installer 3.1 a novější
.NET Framework 3.5 SP1 a novější
SQL Server 2005 (Express) a novější
funkční doména, AD (s uživateli a stanicemi)
IIS s výchozími parametry + doplňky ASP.NET v2.0 a Windows autentizace
Co je potřeba zajistit pro hladkou implementaci na klienta?


.NET Framework 2.0 SP2 a novější (pokud je Installer v GPO, tak se distribuje automaticky)
Co je potřeba zajistit pro funkčnost administrátorské konzole?


.NET Framework 3.5 SP1 a novější
Pro správnou funkčnost administrátorské konzole je vyžadována funkční IIS s doplňky ASP.NET 2.0, dále
musí existovat SQL server a v něm patřičné databáze a účty. Instalátor si sám patřičné databáze a účty
vytvoří pod administrátorským účtem během instalace.
Pokud se v průběhu instalace zjistí, že nemáte dostatečná oprávnění do SQL databáze, budete dotázáni
na přístupové údaje do SQL databáze k účtu s dostatečnými oprávněními.
Ideální stav: Instalovat jako Domain Admin, který je zároveň sysadmin v SQL (tohoto docílíte instalací SQL
serveru až po přidání serveru do domény). Tím předejdete jakýmkoliv potížím při instalaci.
V případě, že SQL server bude provozován na jiném serveru než AreaGuard Neo server, je nutné mít
server, na kterém běží SQL databáze, nastavený takto:
1) Na serveru, kde běží server SQL, je potřeba povolit u služby SQL protokol TCP/IP.
2) Na serveru, kde běží server SQL, je potřeba mít zapnutý SQL Server Browser.
5.2. Postup instalace serverové části krok za krokem
Dříve než začnete instalovat AreaGuard Neo server, doporučujeme Vám ukončit všechny aplikace.
Spusťte instalaci a projděte jednotlivé kroky, které jsou detailněji popsány v následujících kapitolách a
podkapitolách.
5.2.1. Kontrola instalačních pravidel
Zkontroluje všechny předpoklady, které musí být bezpodmínečně splněny. Pokud nějaké nebudou splněny,
budete o tom informováni. Po nápravě stavu spusťte test pro znovuověření splnění podmínek. Pokud
podmínky nesplníte, průvodce Vás nepustí do další fáze instalace.
5.2.2. Licenční číslo
Krok přeskočte v případě, že produkt prozatím zkoušíte. Pokud se později rozhodnete produkt koupit,
dostanete vlastní licenční číslo, které za běhu do aplikace vložíte. Pokud jste produkt již zakoupili a licenční
číslo máte přidělené, vepište ho.
5.2.3. Typ instalace
5.2.3.1. Typická instalace
Všechny parametry instalace budou standardní a nainstaluje se SQL server Express. Kromě možnosti
instalace na klienty pomocí doménové politiky, nebudete ohledně ničeho tázáni.
5.2.3.2. Vlastní
Vlastní typ instalace Vám umožní si veškeré parametry instalace nastavit dle Vašich představ. Důležité
kroky a tipy k nim jsou rozepsány v následujících podkapitolách.
5.2.4. SQL
Máte možnost nechat automaticky instalovat SQL server Express, který je buď součástí instalační sady,
nebo si ho instalátor sám stáhne z internetu. Všechny parametry, instance, účty budou automaticky voleny
tak, aby byly kompatibilní s aplikací AreaGuard Neo.
Pokud chcete použít Váš již připraveny server SQL, zvolte variantu „Vlastní databázový engine“. Zvolte
nebo vepište server, popř. instanci.
Otestujte připojení. Aby to bylo možné, je nutné, aby účet, pod kterým AreaGuard Neo nyní instalujete, byl
v SQL obsažen alespoň s minimálními právy tj. public. Pokud se v průběhu instalace zjistí, že nemáte
dostatečná oprávnění do SQL databáze, budete dotázáni na přístupové údaje do SQL databáze k účtu
s dostatečnými oprávněními, tj. sysadmin. Ideální stav: Provádět instalaci jako domain admin, kdy SQL
server byl instalován na server až po přidání serveru do domény.
V průběhu vlastní instalace, kdy jsou již dostupné soubory na disku, vzniknou na SQL serveru 2 databáze
pro IdentityManager, 2 databáze pro ComponentManager a jedna pro ReportSet (logy, vyhodnocování):
1)
2)
3)
4)
5)
AreaGuard Neo – CmDb
AreaGuard Neo – CmPm
AreaGuard Neo – ImDb
AreaGuard Neo – ImPm
AreaGuard Neo – ReportSet
5.2.5. Port
Komunikace mezi klienty a serverem probíhá přes určitý port. Instalace standardně nabízí port 23546.
Pokud daný server již tento port využívá k jiným účelům, změňte ho. Pro zadaný port se také vytvoří na
serveru automaticky příchozí pravidlo ve firewallu Windows. Pokud používáte v organizaci jiný firewall než
integrovaný Windows FW, budete si muset pravidlo vydefinovat a je možné, že i odchozí na klientech.
Port pro komunikaci administrátorského GUI s IIS se přidává do příchozích pravidel firewallu opět
automaticky. Konkrétně se jedná o port 45682.
5.2.6. GPO
Pro následnou distribuci na klientské stanice můžete využít doménovou politiku. Zvolte, jaké skupině v
doméně se má politika distribuce AreaGuard Neo týkat.
Jedná se o klasický skript, který instaluje malý balíček AreaGuard Neo – Installer.msi na stanici, včetně
.NET Framework 2.0. Jaké další komponenty se budou na klientské stanice instalovat už si Installer řídí
sám v závislosti na politice nastavené a uložené v databázi AreaGuard Neo.
Pokud volbu distribuce pomocí GPO nezatrhnete, politika se i tak pokusí vytvořit, ale „Security Filtering“
bude prázdný, čili politika se nebude aplikovat. Potom si tam např. můžete přidat skupinu
„AreaGuardNeo_Computers“, jinak bude nutné provést instalaci na jednotlivé klientské stanice ručně nebo
jinými individuálními způsoby. Na konci instalace dostanete možnost zobrazení umístění balíčků Installera
na serveru pro 32 i 64 bitové operační systémy.
Pokud se Vám přidávání politiky skončilo při instalaci chybou, s největší pravděpodobností nemáte na
serveru přítomnou GPMC (Group Policy Management Console). Po jejím doinstalavání můžete spustit
příkaz přidání politiky instalace AreaGuard Neo znovu podle návodu zde.
5.2.7. Účty
Aplikace vyžaduje pro svůj správný běh 2, tzv. servisní účty. Pod těmito účty běží služby aplikace a jsou
pro ni kritické. Důrazně nedoporučujeme použít účty určené k jiným účelům jako např. doménový
admin apod.. Instalace umožňuje servisní účty vytvořit se všemy vyžadovanými vlastnostmi a
oprávněními, což doporučujeme drtivé většině administrátorů. Pokud z nějakého důvodu musíte použít
účty vlastní, vytvořte nové, určené pouze pro tento účel, a kterým nevyprší hesla. Podrobnější popis
servisních účtů následuje.
5.2.7.1. Servisní účet
Pod tímto účtem běží na serveru všechny služby AreaGuard Neo. Přistupuje se pod ním tak do databáze.
Nezbytné parametry vlastního účtu:
Je třeba zadat jméno a heslo k existujícímu doménovému účtu potřebného pro produkt AreaGuardNeo.
Uživatelské jméno se zadává způsobem doména\uživatel. Účet je standardně v AD členem skupiny
„Domainusers“. Absolutně nevhodné je použít účet určený k jiným účelům! Po kliknutí na tlačítko Další
instalátor ověřuje jméno i heslo, a pokud něco nesedí, je o tom uživatel informován a instalátor čeká na
zadání korektních údajů.
Možnost - Oprávnění čtení property „memberOf“ z AD je nutné pro správné vyčtení umístění a členství
objektu ve skupinách, přiřazení správných politik na daný objekt a celkové sestavení stromu v AreaGuard
admin konzoli. Pokud se to při instalaci nepodaří, je třeba oprávnění dodatečně nastavit.
Všechny parametry v AD, oprávnění, oprávnění pro databáze v SQL serveru apod., se instalátor pokusí
přidělit během instalace. Nehraje roli, zdali se jedná o automaticky generovaný nebo váš ručně vytvořený
účet.
Heslo pro automaticky vytvářený servisní účet je při instalaci generováno náhodně a v dalším kroku
instalace se zobrazí. Heslo bude nutné znát při aktualizaci AreaGuard Neo na serveru, proto doporučujeme
si heslo bezpečně uložit.
5.2.7.2. Servisní účet IIS
Pod tímto účtem běží fond aplikace (application pool) AreaGuardNeo - ReportSet v IIS, přes kterou
přistupuje do databáze při dotazování na výsledky, které požaduje administrátorské ovládací rozhraní.
Stejný případ jako servisní účet výše popsaný. Nese název „AreaGuardNeo_Iis“. V SQL serveru má, pro
správnou funkci, nastaveno „public“ u databáze „AreaGuardNeo – ReportSet“.
Heslo pro automaticky vytvářený servisní účet je při instalaci generováno náhodně a v dalším kroku
instalace se zobrazí. Heslo bude nutné znát při aktualizaci AreaGuard Neo na serveru, proto doporučujeme
si heslo opsat nebo vytisknout a bezpečně uložit.
5.2.7.3. Administrátoři AreaGuard Neo
Tato skupina bude oprávněna spustit administrátorskou konzoli, a to i na jiné stanici než je server. Při
instalaci bude v AD vytvořena skupina AreaGuardNeo_Admins, která toto oprávnění mít bude, a do které
se přidá skupina Domain Admins. Pokud chcete, aby tomu bylo jinak, změňte nyní zde nebo kdykoliv
později v AD.
5.2.8. Skupiny v Active Directory
Výchozí skupiny se týkají výchozích politik, které se aplikují na uživatele nebo počítač po instalaci, např.
instalace balíčků, šifrování uživatelského profilu, přidělení šifrovacího klíče a další.
V AD budou vytvořeny skupiny AreaGuardNeo_Users, do které bude přidána skupina Domain Users, a
AreaGuardNeo_Computers, do které bude přidána skupina Domain Computers. Pokud chcete, aby tomu
bylo jinak, změňte nyní zde nebo kdykoliv později v AD v případě uživatelů. V případě počítačů,
nejpozději před distribucí aplikace na klienty. Pokud zařazení do skupiny AreaGuardNeo_Computers
změníte za běhu, stanicím, které nově nebudou členy, se vynuluje nastavení a tím ztratí spojení se
serverem.
5.2.9. Souhrn
Mimo obecných informací, týkajících se aplikace a její instalace, zde naleznete důležité informace jako:
- Cesty k instalačním msi balíčkům pro klienty
- Hesla k servisním účtům (nutná k pozdější aktualizaci produktu AreaGuard Neo)
- Heslo DRP potřebné k obnově serveru v případě nehody, ztráty, poškození serveru.
Celý souhrn se vždy zálohuje jako chráněné XML do dokumentů aktuálního uživatele. Doporučujeme
chránit heslem, protože veškerá hesla v souboru obsažená jsou velice citlivá a zneužitelná, i když ne
snadno. Dále doporučujeme XML soubor souhrnu dobře zálohovat. Jelikož je souhrn, z důvodu
bezpečnosti, uložen v šifrované podobě, musíte k jeho náhledu použít naší speciální aplikaci Setup Report
Viewer.
5.3. Aktualizace serverové části
Aktualizace serverové části probíhá s využitím kompletní instalace AreaGuard Neo server. Spusťte
instalační soubor, a pokud je již na serveru předchozí verze produktu AreaGuard Neo instalátor sám spustí
aktualizaci produktu.
Během aktualizace může nastat situace, kdy se mění např. konfigurační xml soubory a tato operace
požaduje heslo servisního nebo IIS účtu. Pokud jste tyto účty nechávali generovat instalátorem, hesla pro
tyto účty Vám byla vygenerována a předána během instalace. Pokud jste hesla ztratili nebo zapomněli,
postupujte dle pokynů pro změnu hesla. Na konci aktualizace budete dotázáni na restart serveru. Není to
nezbytně nutné, ale pro správný chod aplikace bychom to doporučili.
Po aktualizaci bude nová verze vidět i ve správě verzí v administrátorské konzoli, kde můžete s novou
verzí naložit, dle vašich představ a potřeb díky nástroji Správa verzí.
5.4. Setup Report Viewer
Jednoduchá aplikace sloužící k zobrazení šifrovaného reportu z instalace vašeho AreaGuard Neo serveru.
Naleznete jí v %programový adresář AreaGuard Neo%\bin\. Bude třeba načíst samotný setup report,
standardně uložen v dokumentech uživatele, který aplikaci na server instaloval, nebo report máte jinde,
pokud jste ho dle našeho doporučení odzálohovali do jiného umístění.
5.5. Odinstalace AreaGuard Neo
Dříve než přikročíme k odinstalaci AreaGuard Neo, je potřeba mít několik věcí na paměti, pro případné
budoucí kroky.
-
Aby všichni klienti měli dešifrovaná data
Byla provedena záloha databází pro případ opětovné instalace
Bylo zálohováno heslo DRP nebo soubor DRP
Dodáváme, že odinstalace AreaGuard Neo ze serveru neodinstaluje automaticky instalovaný SQL Server,
vytvořené databáze, a neodebere ani politiku distribuce na klientské stanice, pokud jste jí při instalaci
využili.
5.5.1. Odinstalace klientů
Před samotnou odinstalací AreaGuard Neo ze serveru, zahájíme odinstalaci klientských balíčků AreaGuard
Neo ze stanic a tím docílíme automatického dešifrování dat na stanicích. Pro úplné dešifrování je nutné,
aby se přihlásili všichni uživatelé, kteří zde mají zašifrovaný profil či data. Vyberte tedy ve Správě klientů
jednu stanici a zvolte vpravo na panelu Odinstalovat.
V detailu logu stanice uvidíte stav odinstalace, popř. průběh dešifrování dat před odinstalací. Ještě
podrobnější informace o dešifrování dat naleznete v bublinové nápovědě nad modrým informačním „i“.
Po dešifrování dat se klientské balíčky automaticky odinstalují. Na stanici zůstává pouze AreaGuard Neo –
Installer.
Po odinstalaci klientských balíčků ze všech stanic, můžete přistoupit k samotné odinstalaci AreaGuard Neo
ze serveru. Ukončete konzoli a v menu nabídky Start přejděte na Ovládací panely - Přidat nebo odebrat
programy/Programy a funkce – Odebrat AreaGuard Neo- Server.
6. Začínáme s AreaGuard Neo
6.1. Technický popis AreaGuard Neo server
Primárně vyřizuje požadavky klientských stanic, třídí je a odesílá na ně odpovědi. Pod slovem požadavky si
představte např. nastavení, šifrovací klíče apod. Všechny citlivé položky jsou v SQL databázi uloženy
v šifrované podobě, čili má k nim přístup pouze servisní účet, který je chráněn heslem.
Sekundárně má server na starosti zpracování logů z uživatelských stanic, které poté zobrazuje
v administrátorské konzoli.
Pro správný chod serveru je třeba, aby běželi následující procesy a služby:
1)
2)
3)
4)
5)
6)
7)
LogSubs
SubscribePoolService
WebServer
WebServerHandler_ComponentManager
WebServerHandler_DataRepository
WebServerHandler_IdentityManager
WebServerHandler_UserAgent
Navíc v rámci IIS běží webová služba „ReportSet“. Běžící Internetová Informační Služba není nutná pro
chod serveru, ale bez ní nebude adminkonzole schopna vyhodnocovat výsledky z klientských stanic.
6.2. Úvod do AreaGuard Neo admin konzole
Jedná se o ovládací aplikaci pro celé řešení AreaGuard Neo. Slouží k vyhodnocování výsledků, třídění dle
zadaných kritérií, správu klíčů, nastavení šifrování adresářů, managementu výměnných zařízení, instalaci a
deinstalaci na klientských stanicích atd.
6.2.1. První spuštění AreaGuard Neo admin konzole
Zástupce pro spuštění administrátorské konzole naleznete v nabídce „Start“ >AreaGuard Neo. První
spuštění může trvat několik minut v závislosti na počtu objektů, košatosti a složitosti Active Directory. Při
prvním spuštění totiž probíhá kompletní načtení struktury AD do databáze AreaGuard Neo. Z této databáze
se vytvoří navigační strom, se kterým poté pracujete v samotné administrátorské konzole.
Po načtení informací z Active Directory se zobrazí admin prostředí. Jako první uvidíte tzv. popup okno, ve
kterém vidíte stav Vaší licence. Při prvotním spuštění vždy uvidíte zkušební licence a 30 dnů do vypršení.
Stejné informace uvidíte i v záložce licenční číslo. Do položky licenční číslo se dostanete přes záložku Info.
V této záložce máte možnost zakoupit licenci, kontaktovat naši společnost a vložit již zakoupené licenční
číslo. Po vložení zakoupeného licenčního čísla je ještě třeba provézt aktivaci. K tomuto kroku budete
automaticky vyzváni. O aktivaci se více dozvíte v následující kapitole. Při dalším spuštění vidíte v tzv.
Splashscreenu, že se typ licence se změnil ze zkušební na komerční verzi. Dále také vidíte termín vypršení
maintenance. Před vypršením maintenance budete s dostatečným předstihem upozorněni k prodloužení.
Jestliže se rozhodnete prodloužit maintenance, budete muset zopakovat výše uvedený krok o aktivaci.
V případě nezakoupení maintenance Vám zůstává aplikace nadále plně funkční, ale už nemáte nárok na
služby technické podpory a na upgrade na novější verze.
6.2.2. Aktivace produktu
Aktivace Vašeho AreaGuard Neo probíhá dvěma kroky.
6.2.2.1. Krok aktivace č. 1
Buď z admin konzole nebo přímo ve webovém prohlížeči se dostaňte na adresu
http://www.areaguard.cz/aktivace. Zde vyplňte formulář dle pokynů a přiložte soubor s žádostí o aktivaci.
Formulář odešlete.
6.2.2.2. Samotná aktivace
Za několik mále okamžiků od odeslání formuláře Vám, po ověření údajů a nároku na aktivaci, dojde emailem aktivační soubor. Ten dle pokynu v admin konzoli použijte k aktivaci.
6.2.3. Období a stavy
Od aktivace nebo předchozích stavů se také odvíjí různá období nebo stavy, ve kterých se produkt
AreaGuard Neo nachází. Období jsou popsána v následující tabulce:
Období
Interval
Stav
Omezení
Zkušební
verze
Maximálně 30 dní
AreaGuard Neo
není aktivován
Produkt není žádným
způsobem omezen po
dobu platnosti licence
Zkušební
verze
Po 30 ti dnech
AreaGuard Neo
není aktivován
Negenerují se nové
klíče, klienti obdrží
příkaz k odinstalaci
Zkušební
verze promo
Závisí na délce
licence
AreaGuard Neo
není aktivován
způsobem omezen po
dobu platnosti licence
Komerční
verze
Závisí na délce
licence
AreaGuard Neo je
aktivován
způsobem omezen
AreaGuard Neo je
aktivován, vypršela
však licence
Nelze aktualizovat,
některé funkce nejsou
k dispozici
Komerční
verze bez
prodloužení
maintenance
6.2.4. Orientace a ovládání v GUI
obnovit zobrazované logy
řádek navigace
navigační
tlačítka
minimalizace/maximalizace
ovládacího panelu
záložky jednotlivých modulů
filtr vybraného období
informační tabulka
ovládací
panel
navigační
strom dle AD
souhrnné grafy a sumy
logové události vztahující se k objektu,
který je vybraný v navigačním stromu
AD
ovládání
stránkování
hledat objekty
v AD
GUI administrátorské konzole obsahuje drtivou většinu familiárních prvků z operačních systémů Microsoft
Windows, popř. jejich MMC.
Navigační tlačítka umožňují kroky zpět a vpřed v GUI + skok o úroveň výše v doménové struktuře. Řádek
navigace se chová totožně jako v průzkumníku MS Windows. Nelze do něj samozřejmě vepisovat.
Záložkami se přepínáte mezi jednotlivými moduly a zobrazíte si příslušné logové události vztahující se
k objektu, který je vybraný v navigačním stromu. Vyhledávácí panel Vám umožňuje vyhledávat objekty a
v reálném čase zobrazovat v panelu navigačního stromu. Vyhledávání začíná reagovat od druhého
vepsaného znaku. Dole v rozbalovacím seznamu „Hledat v“ si zvolte objekt, jakého typu hledáte, pro
usnadnění hledání.
Tlačítko u „Vybraného období“ Vám je k dispozici, kdykoliv budete potřebovat vidět logové informace
vázající se k určitému období. Standardně jsou zobrazeny logy od nynějška 30 dní zpět.
Po pravé části se nachází panel s ovládacími prvky. Akční tlačítka se mění dle vybrané záložky. Panel lze
zvětšit nebo zmenšit, dle vašich potřeb.
Při přijetí kurzorem nad souhrnné grafy či sumy se zobrazí bublinová nápověda, která Vám vysvětlí, co
daný graf nebo suma vyjadřuje. Sumy a koláčové grafy se vztahují k vybranému objektu za vybrané
období. Filtry je neovlivňují.
Logy, které vidíte, Vám říkají, o jaký typ události se jedná, ze kterého data a času pochází, jaký uživatel na
jaké stanici byl přihlášený v okamžiku, kdy událost nastala a popis události. Po rozbalení logu šipkou vlevo,
tzv. detail, se dostanete k ještě podrobnějším informacím. Logy lze klasicky filtrovat nebo řadit dle potřeby.
Při větším množství logů se začne stránkovat. Počet logů na stránku lze upravit v nastavení.
6.3. AreaGuard Neo - Admin – Průvodci a Nástroje
6.3.1. Průvodce nastavením
Zjednodušený průvodce globálního nastavením AreaGuard Neo ve vaší organizaci.
6.3.1.1. Šifrování
Vytvořte nebo odeberte nastavení šifrování adresáře výchozí skupině uživatelů AreaGuard Neo. Více o
nastavení a klíčích viz Lokální adresáře a Sdílená data.
6.3.1.2. Výměnná média
Můžete zapnout možnost, kdy na klientských stanicích budou zakázána všechna výměnná zařízení, která
nepovolíte. Informace o připojení zakázaného zařízení se k Vám dostane a na jejím základě můžete
zařízení dodatečně povolit.
Pokud nemáte zájem výměnná zařízení vůbec monitorovat, můžete tuto možnost vypnout. Přestože
nebudete výměnná zařízení monitorovat, budou Vám do konzole chodit informace o vložení zakázaného
zařízení.
Možnost šifrovat všechna výměnná média umožní koncovému uživateli šifrovat výměnné zařízení, pokud
tak zvolí. Pokud uživatelům nepovolíte měnit typ výchozího šifrování, bude automaticky šifrovat firemním
klíčem. Pohled ze strany uživatele je popsán v kapitole Šifrování výměnných zařízení.
6.3.1.3. Logon
Pokud chcete pro přihlašování uživatelů používat komponentu AreaGuard Neo - Logon, zaškrtněte
příslušný checkbox + musí být tato komponenta na klientských počítačích nainstalovaná. Jak na to vysvětlí
kapitola Správa komponent.
Pokud komponentu AreaGuard Neo Logon používáte, můžete potlačit přihlášení pomocí ostatních
Credential Providerů (Poskytovatelů přihlášení). Tuto možnost nedoporučujeme, jelikož může dojít k tomu,
že se uživatel nebude moci přihlásit. Pokud taková situace nastane, změňte tuto politiku a restartujte
problémovou stanici.
Komponenta AreaGuard Neo – Logon umožňuje i Nouzovou obnovu nastavení z dlaždice, kdy se
bezpečně vytvoří účet lokálního uživatele, který dostane klíče obnovovaného uživatele.
6.3.1.4. Zásady přihlášení
Nastavte běžné globální zásady přihlašování pomocí komponenty Logon v kombinaci s HW tokeny.
6.3.2. Správa verzí
V případě, že úspěšně zaktualizujete AreaGuard Neo server, automaticky Vám přibyde v nástroji „Správa
verzí“ nová verze. Tento nástroj Vám umožní naprosto nejjednodušší cestou spravovat verze na
klientských stanicích a rozhodovat o jejich aktualizacích.
Vlevo vidíte seznam dostupných verzí. Ikona u jednotlivé verze naznačuje, jakým způsobem jste se
rozhodli verzi aplikovat nebo neaplikovat. Vybráním jednotlivých verzí si zobrazíte datum, kdy jste
AreaGuard Neo server aktualizovali, seznam balíčků, které aktualizace obsahuje, modifikovatelnou
poznámku a hlavně aktuální nastavení distribuce aktualizace na klientské stanice.
Administrátor má možnost distribuovat aktualizaci např. na jednu testovací stanici, popř. na vzorek
testovacích stanic, než aplikuje novou verzi na celou doménu. V případě jakýchkoliv problémů či konfliktů,
má možnost danou verzi neaplikovat vůbec. Na serveru je vždy nejnovější verze. Na klientech se mohou
verze lišit. Aplikace počítá i s případným downgradem na verzi starší.
Klientská stanice se pravidelně (1x za 4 hodiny) ptá, zdali pro ni server nemá aktualizaci. V případě, že má,
stáhne si novější klientský balíček a automaticky provede update. Po zdařilé aktualizaci uživatele vyzve
k restartu stanice, který lze odložit.
6.3.3. Správa komponent
Správa komponent umožňuje snadnou správu, distribuci a odinstalaci jednotlivých komponent systému
AreaGuard Neo v doméně, na vybrané skupiny či stanice. Změny se neaplikují na stanice mimo výchozí
skupinu počítačů AreaGuardNeo_Computers.
Po uložení nastavení se stanice při nejbližší synchronizaci dozví, že si má stáhnout a nainstalovat balíček.
Časový interval je stejný jako u aktualizace nastavení počítače, čili 1x za 4 hodiny.
6.3.3.1. AreaGuard Neo – Admin
Instalace ovládacího prostředí na klientskou stanici se provádí při potřebě ovládat AreaGuard Neo mimo
server. Přidejte objekt, který reprezentuje stanici nebo skupinu, na kterou chcete administrátorskou konzoli
nainstalovat.
Připomínáme, že právo spustit administrátorskou konzoli mají pouze uživatelé ze skupiny, jež byla vybrána
při instalaci jako administrační. Je možné využít i standardní příkaz „runas“ nebo SHIFT + pravý klik na
soubor.
6.3.3.2. AreaGuard Neo – Client
Výkonná klientská komponenta zajišťující šifrování, monitoring a restrikce výměnných zařízení.
6.3.3.3. AreaGuard Neo – Logon
Komponenta zajišťující přihlašování ke stanicím pomocí HW tokenů a nouzovou obnovu nastavení
z dlaždice.
6.3.4. Nouzová obnova nastavení
Relevantní s nouzovou obnovou nastavení klienta ze systray a dlaždice. Více prakticky nepotřebujete znát,
průvodce by Vám měl vše objasnit.
Pro jistotu si ve Správě klientů zjistěte, jaká verze klienta je na stanici, kde se o obnovu pokoušíte. Mezi
verzemi 1.3 a 1.4 je použita rozdílná technologie. Administrátorská konzole ve verzích 1.4. na to
samozřejmě myslí výběrem v průvodci.
6.3.5. Token manager
V prvé řadě zkontrolujte, zdali splňujete podmínky pro podporu HW předmětů.
Token můžete inicializovat, což se rovná vymazat, vynulovat. Posléze mu nastavte jméno a PIN. Zde
standardně min. 4 znaky, nekomplexní. Doporučujeme využít možnost „Při prvním použití vynutit změnu
PINu.
Přidejte na token přihlašovací údaje uživatele tak, že ho vyberete v Active Directory nebo vepíšete dle
vzoru. Heslo v Active Directory uživateli můžete zde buď ručně změnit, nebo generovat, takže ho nebude
nikdo znát. Pro tuto operaci musíte mít jako uživatel dostatečné oprávnění. Po této operaci je token
připraven na to, být předán koncovému uživateli.
Uživateli můžete později editovat heslo tlačítkem níže anebo dokonce z tokenu odebrat jeho přihlašovací
údaje.
6.3.6. Nastavení ovládací konzole
Dialog nastavení umožňuje nastavit základní možnosti jako, objekty jakého typu zobrazovat/nezobrazovat
v navigačním stromu, po kolika záznamech stránkovat zobrazení, po kolika dnech prohlásit klienta jako
neaktivního v záložce „Správa klientů“, jazyk aplikace apod.
6.4. Záložky
Záložky v administrátorské konzoli představují jednotlivé moduly aplikace. Lze mezi nimi libovolně přepínat,
číst informace, které nám poskytují, a provádět případně určité kroky nastavení, ať už vyplývající nebo ne,
z logů, které máme k dispozici.
Pro úplný začátek si musíte uvědomit, jaké povahy informace, které nám jednotlivé záložky poskytují, jsou.
Všechny záznamy, jsou informace z minulosti. Vycházejte z toho, že na klientské stanici dojde k události.
Komponenty událost zalogují a pošlou na server. Server logy automaticky převede do SQL databáze.
AreaGuard Neo admin nedělá nic jiného, než že se na tyto informace databáze dotazuje a filtruje jejich
zobrazení např. podle nastaveného období, kdy k události došlo. K danému zobrazení se vygenerují i grafy
a sumy. Jediné aktuální informace jsou viditelné v jednotlivých dialozích nastavení pro jednotlivé moduly.
Následuje přehled, popis a „how to…“ k jednotlivým záložkám.
6.4.1. Správa klientů
Záložka primárně slouží k přehledu o stavu stanic v organizaci. Logy budou mít chybový stav z různých
důvodů:
1) Stanice se nepřihlásila více jak nastavený počet dní
2) Na stanici nejsou balíčky v požadovaném stavu (instalované, odinstalované, aktualizované)
Pro informace, např. proč je stanice v chybovém stavu, si můžete rozbalit detail každého logu. Podrobnosti
obsahují jednoduchou tabulku, ve které je jasně vidět, z jakého důvodu je stanice ve stavu, v jakém se
nachází. Z detailu jste schopni vyčíst poslední kontrolu stavu klienta, poslední aktivitu nebo např. verzi
jednotlivých balíčků.
Akčními tlačítky na ovládacím panelu vpravo můžete, po označení logu, ze stanice klientský balíček
libovolně odinstaloval či instalovat. Instalace vyžaduje podmínku nainstalovaného AreaGuard Neo Installer. Změny, které provedete, se uloží do databáze. V momentě, kdy se klient dotáže serveru na
nastavení a dostane odpověď, začne pracovat na změně stavu.
Na klientovi odinstalace probíhá následujícím způsobem: Všechny šifrované lokace se začínají postupně
dešifrovat. V případě, že se k počítači přihlašovalo více lidí, musí se i oni přihlásit, aby se jim mohla data
dešifrovat. Uživatelé totiž mezi sebou osobní šifrovací klíče nesdílí. AreaGuard Neo - Client se
neodinstaluje, dokud všechna data nebudou dešifrovaná. V opačném případě by totiž vznikl problém.
V detailu logu stanice vidíte stav odinstalace, popř. průběh dešifrování dat před odinstalací. Ještě
podrobnější informace o dešifrování dat naleznete v bublinové nápovědě nad modrým informačním „i“.
Mezi logy o stavu stanic můžete objevit i logy provozních chyb.
6.4.2. Výměnná zařízení
Achillova pata organizace – výměnná zařízení. Sledujte jaká výměnná zařízení, která umožňují zápis,
uživatelé ve vaší organizaci připojují ke stanicím. Mějte např. přehled o tom, kolik uživatelů jaké zařízení
používá a zakažte uživatelům některá nebo všechna zapisovatelná výměnná zařízení.
Existují zde 4 typy záznamů (logů):
1)
2)
3)
4)
První výskyt zařízení
Nedefinované zařízení
Povolené zařízení
Zakázané zařízení
Po označení logu jste schopen zakázat zařízení dle jeho hardware ID nebo sériového čísla. Sériové číslo –
SN je unikátní číslo každého zařízení. Některá starší zařízení ho nemusí mít. Stejné HWID mohou sdílet
např. celé série USB Flash disků. Toho můžete využít např. při povolování firemních USB Flash disků.
Jako administrátor si zjistíte, že 20 „flashek“ má stejné HW ID. Předem, než je rozdáte uživatelům, je tedy
všechny povolíte jedním příkazem na celé doméně. Ke každé akci slouží jedno tlačítko vpravo na panelu.
Dialogy všech akcí vypadají velice podobně. Podstatné je vybrat cílový objekt. Může to být uživatel,
organizační jednotka nebo počítač. Promyslete si důkladně, na jaký objekt chcete, aby se politika
vztahovala. Existuje určitý žebříček priorit, se kterým aplikace pracuje.
Žebříček priorit:
1. počítač – povoleno (nejvyšší priorita)
2. počítač - zakázano
3. uživatel - povoleno
4. uživatel – zakázáno (nejnižší priorita)
V praxi to znamená např.: Pokud uživateli zakáži používat určité zařízení, ale stanice, na které pracuje má
dané zařízení povolené, uživatel bude schopen se zařízením pracovat. Žebříček priorit je sestaven na
základě mnohaleté zkušenosti v oboru bezpečnosti v organizacích.
Dialog nastavení výměnného zařízení obsahuje dále přehled jednotlivých nastavení na vybraný cílový
objekt + tučně nově přidávaný. Poznámku si libovolně modifikujte, např. „Flashka oddělení kontroly kvality“.
Nastavení dokončíte tlačítkem „Vytvořit“.
Jednotlivá nebo více nastavení si můžete prohlédnout popř. odebrat v dialogu „Zobrazit nastavení“, který
se skrývá pod nejspodnějším tlačítkem. Opět vyberte objekt, který vás zajímá. V tabulce se zobrazí
všechna jeho nastavení. Můžete jedno nebo více nastavení označit a odebrat. Po ukončení práce stiskněte
tlačítko OK.
Zvláště vykutálená je však, v dialogu „Zobrazit nastavení“, možnost „Zakázat všechna nedefinovaná USB
zařízení“. Jinými slovy, co nebude povoleno, se automaticky na stanici zakáže. K nastavení této politiky se
dostanete přes tlačítko „Rozšířené nastavení“. Ve sloupci „Stav“ změňte na „Nastaveno“ a vyberte níže
objekt, na který chcete politiku aplikovat a potvrďte.
Klientská stanice si nastavení pro výměnná zařízení stahuje ze serveru každou hodinu s náhodným
rozptylem. Při vložení výměnného zařízení, na které lze zapisovat, se událost zaloguje, včetně akce, která
událost provázela. Tj. zda bylo zařízení povolené, zakázané nebo nedefinované. Každých pět minut tyto
logy putují na server, kde se dále zpracovávají do SQL databáze. Ve chvíli, kdy jsou informace v databázi,
je adminkonzole schopna tyto logy zobrazit.
6.4.3. Lokální adresáře
Tato záložka administrátorovi dává přehled o datech na lokálních discích klientských stanic. O stavu
zašifrování, zda jsou data používána (data mladší nebo starší než 180 dní) a jestli se nachází v šifrovaných
lokacích. Máte možnost nastavovat, jaké adresáře budou na stanicích šifrovány. Standardně se šifruje
profil každému doménovému uživateli.
Typy logů:
1) Data v lokacích OK
2) Nezašifrovaná data v lokacích
3) Mnoho používaných dat mimo lokace / Používaná data mimo lokace
Všimněte si, že zobrazení logů se liší podle toho, jestli je zobrazujete pro skupinu uživatelů nebo počítačů.
Stejně tak pro jednotlivé uživatele a počítače. Je to z důvodu logiky zobrazovaných informací, lepší
přehlednost a větší informační hodnotu.
Jaké informace se k Vám dostanou a jakým způsobem? Ihned po instalaci klientského balíčku na stanici se
provede počáteční scan. Rychlost provedení závisí na velikosti dat, ale v běžném stavu je to v řádech
minut. Po provedení se scan automaticky odešle na server, naimportuje do databáze a v této chvíli je
možné výsledek zobrazit v adminkonzoli. Scan se jinak provádí v náhodný čas jednou denně. Scan
prohledává šifrované lokace a kontroluje, zdali jsou soubory zašifrované, či nikoliv. Je logické a v pořádku,
že první poinstalační scan vrátí výsledek nezašifrovaných dat v nastavených lokacích. Dále scan
prohledává všechny pevné disky, mimo výjimky, jako je systémový adresář apod. Vyhodnocuje stáří dat,
respektive jejich poslední použití, počet souborů, jejich velikost, klíč, kterým jsou data zašifrovaná, a podle
koncovky roztřiďuje do jednotlivých kategorií, jako kancelářské balíky, multimédia a další a následně do
dalších podkategorií jako např. dokumenty či obrázky.
Ze získaných dat jste poté v GUI schopni zjistit stav zašifrování dat v lokacích. A množství používaných dat
mimo nastavené šifrované lokace + samozřejmě další podrobnosti, které scan poskytuje, v sofistikované
tabulce v detailech každého logu, kde můžete vidět jednotlivé adresáře, typy souborů rozdělené do
kategorií, jejich velikost a procentuální využití, uživatele, kteří stanici využívají a stav zašifrování dat. Když
čísla dosáhnou určité výše, která je všeobecně považována za nebezpečnou, zčervenají.
Při označení některé z nelokací v podrobnostech logu typu „Mnoho používaných dat mimo lokace“, popř.
označení logu „Používaná data mimo lokace“ v případě vybraného počítače nebo skupiny počítačů,
můžete tlačítkem na panelu vpravo vytvořit lokaci. V dialogu bude tatáž lokace předepsaná, můžete jí
samozřejmě i přepsat na jinou. Například na obecně používanou v organizaci apod. Je možné, stejně jako
u výměnných zařízení, vybrat objekt, ke kterému se bude nastavení vztahovat. Nastavení spolupracuje se
systémovými proměnnými, čímž se otvírá spousta možností, jak nastavení globalizovat na celou organizaci
apod. Nutno dodat, že pokud mají stanice přesměrovány např. dokumenty a další, AreaGuard Neo s tímto
počítá a cíl, kam jsou adresáře přesměrovány, považuje za profil uživatele, z čehož vyplývá, že je adresář
automaticky zařazen do šifrovaných lokací. Nastavení, které tedy momentálně provádíte, je vyznačeno
tučně. Popis libovolně modifikujte. Důležitý je výběr klíče, kterým adresář bude šifrován. V případě
předvoleného výběru „Mnou zvolený klíč“, musíte zvolit uživatele nebo skupinu, jejíž klíčem se bude daný
adresář šifrovat. Pouze tento uživatel nebo skupina bude mít data přístupná. Výjimka je pouze tehdy,
pokud jeho klíč přidělíte někomu jinému, o čemž se dočtete v následující kapitole. Pokud zvolíte „Osobní
klíč“, tak se adresář zašifruje osobním klíčem uživatele, který je k počítači přihlášený nebo se první
přihlásí, po získání nastavení. Přihlášení dalších uživatelů již nehraje roli. Data pro ně nebudou
přístupná. Poslední možnost je firemní klíč, který má standardně k dispozici každý uživatel AreaGuard
Neo ve vaší organizaci.
Naopak u logů typu „Data v lokacích OK“ a „Nezašifrovaná data v lokacích“ je možno nastavení adresáře
odebrat dalším tlačítkem.
V případě, že se Vám zobrazují logy typu „Nezašifrovaná data v lokacích“, není třeba panikařit. Může to být
z několika důvodů.
1) Ještě se nestihla zašifrovat všechna data. Velké množství dat může trvat i několik hodin nebo dní.
2) Na stanici se přihlásil uživatel, který nebyl přihlášen dostatečně dlouho, aby se mu data stihla
zašifrovat. Od té doby se už nikdy nepřihlásil. Můžete to zkontrolovat v podrobnostech logu.
3) Nastal konflikt při šifrování a v takovém případě se obraťte na technickou podporu produktu
AreaGuard Neo.
„Zobrazit nastavení“ je dialog přehledu jednotlivých nastavení pro jednotlivé objekty či skupiny. Vyberte si
objekt, pro který chcete nastavení zobrazit. Máte možnost nastavení i odebrat.
V případě, že potřebujete rychle scan a nemáte čas čekat na náhodný jednou za den, stačí na klientské
stanici spustit exe soubor v následující cestě:
c:\Program Files\AreaGuard Neo\Client\bin\LogSubs_Signal.exe s parametrem „datasafescan“.
Příkaz nakonec vypadá tedy takto:
c:\Program Files\AreaGuard Neo\Client\bin\LogSubs_Signal.exe /datasafescan
Od verze 1.5 lze LogSubs_Signal spouštět bez cesty, je zaveden v system32.
Jakmile se scan provede, putuje na server obvyklou cestou.
6.4.4. Klíče
Šifrování dat není možné bez šifrovacího klíče. Záložka „Klíče“ slouží k přehledu a správě těchto klíčů. Je
navržena stejným způsobem jako ostatní moduly, takže i zde se setkáváte s logovanými informacemi.
Jednotlivé logy, vyjímaje log „Problém s klíčem“, jsou vlastně klíče. Klíčů máme několik typů:
1) UserPersonalKey – osobní klíč uživatele. Nese název tvaru: %logonname%_Personal_XXX, kde
XXX je pořadové číslo klíče jednotlivého uživatele. Každému doménovému uživateli, který se
přihlásí ke stanici, na níž běží AreaGuard Neo klient, se vygeneruje osobní klíč. Osobní klíč má
standardní platnost 1 rok. Tímto klíče se standardně šifruje uživatelův profil a další nastavení
lokace.
2) SettingRecoveryKey
–
klíč
pro
obnovu
nastavení.
Nese
název
tvaru:
%logonname%_SettingRecovery_XXX, kde XXX je pořadové číslo klíče jednotlivého uživatele.
Každému doménovému uživateli, který se přihlásí ke stanici, na níž běží AreaGuard Neo klient, se
vygeneruje tento klíč, který má standardní platnost 1 rok. Klíč primárně slouží k obnově nastavení
AreaGuard Neo na stanicích, které se momentálně nachází mimo organizace, bez možnosti
vzdáleného připojení do organizace a její domény. Jeho zobrazování či nikoliv lze nastavit v
„Nastavení GUI“.
3) UserRecoveryKey – klíč obnovy. V případě, že něčí osobní klíč přidělíte jinému uživateli, např. při
odchodu původního zaměstnance z organizace, přičemž chcete zachovat přístup k jeho datům
třeba jeho nástupci, uvidíte u nového zaměstnance/nástupce právě log tohoto typu. Nový vlastník
je pak schopen zašifrovaná data původního vlastníka číst a nakládat s nimi, jako by byla jeho.
Nebude však tímto klíčem schopen cokoliv zašifrovat.
4) ExpiredKey – klíč, kterému vypršel platnost. Zůstává původnímu majiteli, který je schopen pomocí
tohoto klíče dešifrovat původní data.
5) InactiveKey – odebraný/neaktivní klíč uživatele. Klíč, který byl odebrán např. bývalému
zaměstnanci nebo zaměstnanci, kterému chcete odepřít možnost práce s jeho daty k jeho datům.
V případě, že se někomu podaří přihlásit, ale klíč bude mít neaktivní, nebude schopen s ním
cokoliv dešifrovat. Nejedná se o nevratný stav.
6) Firemní klíč – Tento klíč dostává každý uživatel, který je členem výchozí skupiny AreaGuard Neo,
automaticky.
K operacím s klíči slouží akční tlačítka na ovládacím panelu vpravo. V následující části se dočtete jejich
možnosti.
1) Přiděl klíč jinému uživateli – V případě, že něčí osobní klíč přidělíte jinému uživateli, např. při
odchodu zaměstnance z organizace, přičemž chcete zachovat přístup k jeho datům třeba jeho
nástupci, provedete tuto akci. Nástupce je pak schopen dešifrovat data původního vlastníka.
Nebude však tímto klíčem schopen cokoliv zašifrovat.
2) Odeber klíč uživateli – Předchází stavu z bodu 5) InactiveKey v předchozím odstavci. Jedná se o
stálé nebo dočasné znemožnění uživateli práce s daty zašifrovanými jeho klíčem. Do původního
stavu se vrátíte funkcí „Vrať klíč uživateli“
3) Zkrátit platnost klíče – Odkaz na bod č. 4 v předchozím odstavci. Slouží jako další možnost
vypršení klíče mimo standardní dobu vypršení klíče. Např. při podezření na kompromitaci klíče,
můžete zkrátit platnost klíče. Při dalším přihlášení uživatele se uživateli vygeneruje nový osobní
klíč. Data se uživateli mu automaticky přešifrují.
4) Zobrazit nastavení – dialog s aktuálními informacemi o klíčích a jejich nastavení. Lze je zobrazit
logicky pouze na jednotlivé uživatele. Důležité mohou být sloupce: Stav, Původní vlastník, Změna
vlastníka, Změna stavu.
Je dobré vědět, že veškeré nastavení a operace s klíči se u jednotlivých uživatelů projeví až v momentě,
kdy se uživatel přihlásí do systému.
6.4.5. Sdílená data
Záložka Sdílená data zobrazuje síťové lokace a funguje velice podobným způsobem, jako záložka Lokální
adresáře. Zde můžete přidávat, odebírat lokace a měnit nastavení sdílených adresářů. Až se na stanicích
automaticky provede scan, dostanou se k Vám informace, rozdělené na několik typů logů:
-
Sdílená síťová lokace
Sdílené síťové lokace objektu (uživatel/skupina)
Sdílené síťové lokace – souhrn (všichni uživatelé skupiny)
Neoscanovaná sdílená síťová lokace
Zobrazení logů můžete definovat výběrem v levém navigačním panelu:
Pokud vyberete celou doménu, zobrazí se logy:
Síťových lokací – šifrované firemním, skupinovými a uživatelskými osobními klíči
Pokud vyberete skupinu, zobrazí se logy:
Síťových lokací – šifrované skupinovým a uživatelskými (ti kteří jsou členy skupiny) osobními klíči
Pokud vyberete uživatele, zobrazí se logy:
Síťových lokací – šifrované firemním, skupinovým (pro ty skupiny, jejichž je vybraný uživatel
členem) a osobním klíčem uživatele.
7. AreaGuard Neo na klientské stanici
7.1. Obecný popis









Poskytuje efektivní způsob ochrany dat pomocí AES256
Ochrana souborů uživatele prostřednictvím šifrování file-systému
Online transparentní šifrování souborů na koncové stanici
Online transparentní šifrování souborů na síti
Online transparentní šifrování souborů na výměnných zařízeních
Minimální požadavky na znalosti uživatele
Sledování využívání výměnných zařízení v organizaci
Omezení využívání výměnných zařízení v organizaci
Možnost využití AreaGuard Logon pro dvoufaktorovou autentizaci do operačního systému
7.2. Technický popis klienta
Pomocí distribuce prostřednictvím doménové politiky je na koncových stanicích nainstalován klient, který
komunikuje se serverovou částí aplikace. Tento klient dle nastavení doinstaluje požadované moduly a
verze AreaGuard Neo. V průběhu instalace je aplikováno výchozí nastavení zabezpečení dat na koncové
stanici. Defaultně je chráněn uživatelský profil.
Akce prováděné klientem jsou řízeny jednotlivými plánovači. Události na stanici se logují do souboru typu
XML. Veškeré zaznamenané informace jsou tak postupně serverem zpracovávány a prezentovány
obsluze. Server kontroluje integritu logových souborů z důvodu modifikace či poškození útočníkem.
Klient komunikuje přes internetovou/intranetovou sít se službou WebServer, která předává informace
dalším komponentám. Zpětně od této služby přijímá informace.
Pro správné fungovaní na klientské stanici je třeba, aby běžely všechny služby a procesy. V případě
jakýchkoliv problémů nebo podezření na funkčnost AreaGuard Neo na koncových stanicích, zkontrolujte,
zdali všechny tyto služby a procesy běží. Jsou to následující:
1)
2)
3)
4)
5)
DataSafe_DriverResponder
LogSubs
SubscribePoolService
SysTray
UserServer
7.2.1. Aktualizace nastavení klienta
Nastavení klientů se v určitých intervalech aktualizuje. Nastavení si počítač také stahuje při startu.
Uživatelské nastavení se stahuje po jeho přihlášení. I dotazy na aktualizace či balíčky mají svůj časovač.
Následuje tabulka jednotlivých nastavení a jejich časových intervalů:
Akce
Aktualizace, balíčky (client, admin)
Nastavení výměnných médií
Nastavení lokálních adresářů
Nastavení klíčů
Hlášení klienta o stavu do záložky „Správa klientů“
Interval
4 hod. nebo restart počítače
Po přihlášení daného uživatele
V případě nutnosti lze nastavení stanice aktualizovat pomocí souboru LogSubs_Signal.exe s parametry
„updatecomputersetting“ nebo „updateusersetting“ dle vaší potřeby.
Příkaz pro aktualizaci nastavení počítače:
c:\Program Files\AreaGuard Neo\Client\bin\LogSubs_Signal.exe /updatecomputersetting
Příkaz pro aktualizaci nastavení uživatele:
c:\Program Files\AreaGuard Neo\Client\bin\LogSubs_Signal.exe /updateusersetting
Od verze 1.5 lze LogSubs_Signal spouštět bez cesty, je zaveden v system32.
7.3. Způsoby instalace klienta
7.3.1. Instalace pomocí doménové politiky GPO
Pokud administrátor při instalaci serveru AreaGuard využije možnosti instalaci AreaGuardNeo - Installer na
stanice pomocí doménové politiky, dosáhne tak stavu, kdy všechny PC v doméně se dokáží spojit
s AreaGuard Neo serveru. Automaticky si stáhnou a nainstalují AreaGuardNeo - Client.
Politika se při instalaci vytváří přímo do kořene domény, zvlášť pro 32 a 64bitové operační systémy
(rozlišení probíhá automaticky).
Důležitý je „Security Filtering“, kterým se určuje, na kterou skupinu se politika aplikuje. Doporučujeme
standardně použít „AreaGuardNeo_Computers“, který se vytváří při instalaci, a do které si vložíte počítače,
které chcete mít chráněny šifrováním.
Pokud se Vám politika nevytvořila při instalaci, můžete si totožnou dodatečně vytvořit příkazem. Návod
naleznete zde.
7.3.2. Ruční instalace
Zkopírujte instalační balíček pro danou platformu (x86/x64) na klientskou stanici. Umístění instalačního
balíčku již znáte z konce instalace serverové části, kde byla možnost zobrazit umístění Installeru na
serveru. Aktuální AreaGuard Neo – Installer.msi balíčky naleznete standardně v cestě:
c:\Program Files\AreaGuard Neo\Server\db\PatchClient\binary.
Spusťte msi instalační balíček a proklikejte se průvodcem. Po skončení instalace je hotovo. Instalace
AreaGuard Neo - Client probíhá již automaticky.
Instalaci bez průvodce lze provést i následujícím příkazem:
Msiexec AreaGuard Neo_Installer.msi /quiet
7.3.3. Odinstalace klienta
Jediná možnost odinstalace klienta je z administrátorské konzole. Důvody a postupy naleznete v příslušné
kapitole „Správa klientů“.
7.4. Systray komponenta
Je to jediná část viditelná koncovým uživatelem na jeho stanici. Její barva naznačuje stav AreaGuard Neo
na stanici. Žlutá = OK. Červená = Něco není v pořádku. Po kliknutí pravým tlačítkem na systray ikonu lze
zvolit 3 možnosti:
7.4.1. O Programu AreaGuard Neo
Zde naleznete verzi AreaGuard Neo a informaci o jeho stavu. Pod tlačítkem „Verze podrobněji…“ se skrývá
podrobný seznam komponent a jejich verzí, který lze exportovat do CSV souboru. Tuto možnost často
využijete při řešení problémů s technickou podporou.
7.4.2. Historie akcí
Zde se logují důležité akce:
1) Uzamčení/odemčení stanice
2) Vložení zakázaného zařízení
3) Odepřen přístup k souboru (uživatel nemá k dispozici správný šifrovací klíč)
Opět z důvodu řešení problémů zde existuje možnost celý seznam kompletně exportovat do CSV souboru.
7.4.3. Nouzová obnova nastavení
Tato volba spustí průvodce „Nouzová obnova nastavení“. Umožní přihlášenému uživateli obnovit přístup
k šifrovaným datům. V následujících dialozích vyberete klíč obnovy a budete požádání o výměnu
bezpečnostní fráze s administrátorem, která zajistí zpřístupnění tohoto klíče. Po získání tohoto klíče se
uživateli obnoví šifrovací klíče z lokálního zabezpečeného úložiště.
7.4.4. Bezpečnost mých dat
Seznam aktuálně nastavených adresářů určených k zašifrování. Ke každému adresáři je přiřazen i klíč,
kterým je adresář zašifrovaný. Uživatel má možnost spustit scan, aby se ujistil, v jakém stavu je
zabezpečení jeho dat. Scan prohledává pouze adresáře šifrované klíči, které má k dispozici. Jinými slovy
prohledává adresáře ze seznamu v horní části okna.
7.5. Šifrování výměnných zařízení
Vyžaduje povolenou globální politiku šifrování výměnných médií. Po připojení výměnného zařízení do
počítače vyjede informační panel ze systray, který Vás informuje o tom, že nově zapsaná data budou na
výměnném zařízení šifrována. Dole na panelu můžete kliknout na nastavení a vybrat, zdali zařízení bude
nebo nebude šifrováno a jakým klíčem.
K dispozici máte firemní, osobní a přenosný klíč. Data na zařízení přítomna z dřívějška nebudou šifrována.
Pokud na informační panel nebudete reagovat, bude se šifrovat firemním klíčem.
Data šifrovaná firemní nebo osobním klíčem jsou dostupná na základě klíčů, které vlastní uživatel, který se
data pokouší dešifrovat.
7.5.1. Šifrování přenosným klíčem
V případech, kdy potřebujete bezpečně přenést data na výměnném zařízení mimo organizaci, je
vhodné použít tzv. přenosný klíč. Data zašifrovaná tímto klíčem jsou přístupná díky heslu, kterým je klíč
zašifrovaný.
Pokud na výměnném zařízení není dosud žádný klíč, který byste mohli nebo chtěli použít, vytvořte nový
pomocí průvodce. Jakmile vyberete nebo vytvoříte klíč, nové soubory na výměnném zařízení budou již
šifrovány. Při vkládání souborů vyskočí informační dialog, který Vám zároveň umožní po skončení přesunu
souborů zařízení vyjmout. Po vyjmutí média se zobrazí souhrn šifrovaných souborů.
7.5.2. Dešifrování přenosným klíčem
7.5.2.1. Na počítači s AreaGuard Neo – Client
Po připojení zařízení je vždy v systray AreaGuard Neo pod pravým tlačítkem myši možnost „Přístup
k šifrovaným souborům“ a „Správa přenosných klíčů“. První je průvodce zadání hesla k šifrovacímu klíči,
který dále umožní k šifrovaným souborům neomezeně přistupovat. Podobný průvodce se Vám nabídne
v případě nějaké interakce se šifrovaným souborem, tentokrát z informačního panelu systray AreaGuard
Neo.
Správa přenosných klíčů slouží, jak již název napovídá, ke správě klíčů. Jsou dostupné informace, jaké
soubory jsou klíčem zašifrovány nebo se dají klíče smazat.
7.5.2.2. Na počítači bez AreaGuard Neo – Client
Na počítači bez aplikace AreaGuard Neo je chování nepatrně odlišné. Na výměnném zařízení naleznete
soubor „AreaGuardNeo _Portable.exe“, který spustíte, a dále Vás průvodce provede dešifrovacím
procesem. Dostupná je opět i „Správa přenosných klíčů“.
7.6. Recovery událost
Slouží pro vytvoření účtu obnovy, který má pak k dispozici klíč uživatele, jež o nastavení dočasně přišel a
nemá možnost spojení se serverem. Je dostupná formou dlaždice na přihlašovací obrazovce Windows
Vista a výše a musí být zapnuta globální podpora této formy obnovení. Pro úspěšné provedení recovery
události je potřeba být v kontaktu s administrátorem, který si s uživatelem pomocí průvodce vymění
šifrovací fráze k obnově nastavení. Poté se na stanici vytvoří účet lokálního administrátora, který bude mít
k dispozici šifrovací klíče obnovovaného uživatele.
7.7. AreaGuard Neo – Logon
Mimo správy HW tokenů z konzole, lze HW tokeny spravovat i lokálně. Znovu připomínáme minimální
požadavky na provoz AreaGuard Neo – Logon na klientských stanicích.
Rozhraní umožňující správu HW předmětů je standardně dostupné z nabídky start. Rozhraní a jeho
ovládání je prakticky totožné s Token managerem, na rozdíl od se však zde na tokeny vztahují globální
politiky vydefinované v Zásadách přihlášení, jako např. délka a komplexita PINu. Heslo zadávejte vždy
aktuální, z tohoto dialogu nejste schopni změnit heslo v AD. Pro změnu hesla použijte funkci Windows
(CTRL+ALT+DEL >> Změnit heslo…).
8. Rekonfigurace serveru
Díky velice přísnému zabezpečení celé aplikace, není možné reinstalovat serverovou část, aniž byste
aplikaci odinstalovali nejdříve z klientských stanic. Pokud byste tak neučinili, klienti s novou instalací
AreaGuard Neo na serveru nebudou schopni komunikovat.
V případě, že z určitých technických důvodů potřebujete nějak rekonfigurovat AreaGuard Neo serveru,
v následujících kapitolách naleznete postupy, jak to bezpečně provést.
8.1. Obnova serveru
V případě, že z nějakého důvodu přijdete o Váš server s AreaGuard Neo, existuje samozřejmě možnost
server obnovit. Jelikož všechno, ať už je to nastavení, klíče apod., je v SQL databázi, doporučujeme,
abyste vaši SQL databázi pravidelně zálohovali jinam! Pro zdárnou obnovu serveru je také nutné mít
k dispozici heslo DRP z instalace (starší než verze 1.4) nebo XML souhrnu (verze 1.4 a novější). Držte se
prosím následujících kroků pro úspěšnou obnovu AreaGuard Neo server:
1) Odpojte server od sítě nebo mu jinak znemožněte, aby s ním nebyly schopny klientské stanice
komunikovat během procesu obnovy.
2) Nainstalujte AreaGuard Neo na server.
3) Aktivujte AreaGuard Neo.
4) Vypněte všechny služby AreaGuard Neo na serveru. Jsou to:
a) LogSubs
b) SubscribePoolService
c) WebServer
d) WebServerHandler_ComponentManager
e) WebServerHandler_DataRepository
f) WebServerHandler_IdentityManager
g) WebServerHandler_UserAgent
5) VYYTVOŘENÉ SQL DATABÁZE NEMAZAT!!!
6) Obnovte do nich jednotlivé databázi.
7) Spusťte
aplikaci
pro
obnovu
serveru
c:\Program
Files\AreaGuard
Neo\Server\bin\ShellLayer_Cryptography_ConfigRecovery.exe jako servisní účet AreaGuard Neo
(AreaGuard Neo_Service)
8) Dle způsobu zvolené ochrany DRP při instalaci vyplňte heslo ručně nebo zadejte cestu k souboru
DRP (do verze 1.3 včetně) nebo k Setup reportu.
9) Spusťte znovu všechny služby AreaGuard Neo na serveru.
10) Připojte server k síti.
8.2. Přesun databáze
Začněte tím, že zastavíte všechny služby AreaGuard Neo na serveru. V SQL management studiu si
vytvořte zálohu všech pěti databází AreaGuard Neo. Jsou to následující:
1)
2)
3)
4)
5)
AreaGuard Neo – CmDb
AreaGuard Neo – CmPm
AreaGuard Neo – ImDb
AreaGuard Neo – ImPm
AreaGuard Neo – ReportSet
Připojení do nové databáze.
Vyberte cestu k databázi.
Pro konečné připojení je vždy třeba vybrat název databáze, viz obrázek
Nyní je třeba překonfigurovat spojení k databázi. Níže uvedené konfigurační XML soubory přepište a
podepište dle návodu.
C:\Program Files\AreaGuard Neo\Server\db\conf\NASF_WebServerHandler_ComponentManager\
NASF_WebServerHandler_ShellLayer_ProviderServer_CM-local.xml
V tomto souboru změníme text uvnitř elementu <Connection>
Server=připojení k vzdálenému SQL serveru a instanci
C:\Program Files\AreaGuard Neo\Server\db\conf\NASF_WebServerHandler_IdentityManager\
NASF_WebServerHandler_ShellLayer_ProviderServer_IM-local.xml
V tomto souboru změníme text uvnitř elementu <Connection>
Po změně těchto konfiguračních XML je třeba je ještě podepsat, aby byla ověřena integrita.
Podepisovač (ConfigurationPool_Integrity.exe) spouštět pod servisním účtem AreaGuard Neo_Service
ConfigurationPool_Integrity.exe -i input.xml -o output.xml -h -r PROVIDER_SERVER
V souboru:
C:\Program Files\AreaGuard Neo\Server\db\conf\NASF_WebService_ReportSet\Directory\web.config
Najděte „connectionString“ a v parametru „Server“ změňte cestu k SQL server.
V registru:
HKEY_LOCAL_MACHINE\SOFTWARE\SODATSW\AreaGuard Neo\local\installer
Změňte položku „P_CONN_STRING-0“ tak, že upravíte cestu k SQL serveru.
Zprovoznit konektivitu do vzdáleného SQL serveru a na jeho instanci
-
Firewall vypnout (nebo povolit port)
Povolit protokol pro SQLEXPRESS (TCP/IP)
Spustit SQL Server Browser
Po těchto krocích je nutné restartovat SQL
8.3. Konfigurace pro import logů na nelokální SQL server
Na server, kde je nainstalován AreaGuard Neo server, nainstalujte Microsoft SQL Server NativeClient 10
(tento klient je zpětně kompatibilní i se starším SQL Serverem).
Upravte soubor:
Program Files\AreaGuard Neo\Server\db\conf\NASF_WebService_ReportSet\NASF_Import.Auto_Batchlocal.xml
V tomto souboru změníme text uvnitř elementu <SqlConnectionString>
Provider=SQLNCLI10
DataTypeCompatibility=80
MARS Connection=True
V elementu <ImportType> změňte na XML (velká písmena nutná)
Vše pro jistotu v následujícím obrázku:
Od verze AreaGuard Neo 1.6.1612.0 přidávejte do XML k měněným elementům atribut: doNotUpdate=“1“
jako je zeleně vyznačeno v obrázku, jinak Vám aktualizace AreaGuard Neo přepíše hodnoty na výchozí.
Důležité je zachovat parametry u SqlConnectionString a ImportType, výjmečně i PrimaryWorkStationID.
8.4. Změna hesel servisních účtů
8.4.1. Servisní účet
Jakákoliv změna hesla u servisního účtu vyžaduje změnu hesla nejen v AD, ale zároveň nesmíte
zapomenout ho změnit u všech služeb, které pod tímto účtem běží. Doporučujeme před celým procesem
dočasně zastavit všechny služby, kterých se bude změna týkat, po změně znovu spusťte.
Jedná se o následující služby: AreaGuard Neo – WebServer
AreaGuard Neo – WebServerHandler_ComponentManager
AreaGuard Neo – WebServerHandler_DataRepository
AreaGuard Neo – WebServerHandler_IdentityManager
AreaGuard Neo – WebServerHandler_UserAgent
8.4.2. Servisní účet IIS
V případě změny hesla servisního účtu IIS, postačí změnit heslo za nové pouze v IIS Manageru. Konkrétně
u Application Pool AreaGuardNeo – ReportSetAppPool.
9. Support
9.1. Informace o způsobu supportu
Podpora produktů společnosti SODATSW probíhá v souladu s platnými podmínkami Programu technické
podpory SODATSW, maintenanční smlouvou a to především cestou helpdesku SODATSW.
9.1.1. Helpdesk SODATSW spol s r.o.
Mimo založení nového ticketu pro technickou podporu, naleznete v helpdesku spoustu zajímavých rad,
návodů a postupů při řešení problémů. Do fóra helpdesku vstoupíte tímto odkazem. Naleznete tady
spoustu užitečných informací. Pro zobrazení příspěvků je nutná registrace, kterou provedete pod tímto
odkazem.
9.2. Kontaktní údaje
Sídlo společnosti:
SODATSW spol. s.r.o., Horní 32
639 00 BRNO
IČ: 253 23 989 DIČ: CZ25323989
Telefon: 543 236 177
E-mail: [email protected]
Do klientské zóny je možné se přihlásit na adrese: http://support.sodatsw.cz/
9.3. Informace o aktualizacích
Informace o aktualizacích jsou zveřejňovány ve fóru helpdesku v části „Aktualizace produktů SODATSW“ a
také jsou zákazníkům zasílány formou pravidelných Newsletter.
10. Informace o společnosti SODATSW spol. s r.o.
Společnost SODATSW spol. s r.o. je výrobcem a dodavatelem originálních řešení určených pro správu a
bezpečnost pracovních stanic v sítích bankovního a komerčního sektoru, státní správy, školství a v
neposlední řadě i domácích uživatelů.
Cílem společnosti SODATSW je poskytovat svým zákazníkům komplexní služby a řešení, které jsou
špičkou ve svém oboru a přinášejí zákazníkům konkurenční výhody v jejich podnikání. Dbáno je také na
důvěru a spokojenost zákazníků, které jsou založené na dlouhodobých vztazích, vstřícném přístupu a
vysoké kvalitě poskytovaných služeb a řešení.
Společnost SODATSW je již mnoho let aktivní v rámci partnerského program Microsoft v oblasti ISV
Software solutions. Také produkty společnosti prošly mnoha certifikacemi a ověřením kvality a kompatibility
s operačními systémy Windows.
SODATSW spol. s r.o., Horní 32, 639 00 Brno, Tel.: +420 543 236 177
e-mail: [email protected]
www.sodatsw.cz
© 1997-2012 SODATSW spol. s r. o., všechna práva vyhrazena. Veškerá, i neoznačená obchodní jména, obchodní známky a
registrované obchodní značky/známky jsou známkami příslušných vlastníků.

Nápovědu - AreaGuard Neo

Transkript

Podobné dokumenty

nápovědě - Sodat software

AG Neo manual 2.0

OptimAccess Příručka administrátora

Dotykový panel

Velkoformátová tisková řešení pro CAD/GIS

GPS Data Logger User`s Manual

Obsah - CPress

Recovery událost_nastavení_postup_AG_user

Instalační manuál systému Desktop Management

Multi-Level Security