docnápovědě - Sodat software
download 
Stížnost Transkript
nápovědě - Sodat software
Manual English manual Page 2-28 Český manuál Strana 30-66 1. About Name: Manual File: manual_agneo.pdf 1.1. Revision Version Changes Release AreaGuard Neo 1.0. Basic document 1.1 1.1. Newly added functions described 1.3 1.2. Newly added functions described 1.4 1.3. Newly added functions described 1.5 1.4 Newly added functions described; newly supported operation systems added in the system requirements 1.6 1.5 Translated into English; fine improvements 1.7 1.6 Network encryption update 1.7 1.7 Updated system requirements 1.9 1.8 Newly added functions described 1.11 1.9 Newly added functions described 1.12 1.10 Added description of new cache feature. Document is newly in current company layout. 2.0 1.11 New feature described in chapter 8.2. 2.1 Change of this document is reserved without prior noticing. A printed copy of this document may not be current. Content 1. About.................................................................................................................................................................2 1.1. Revision .....................................................................................................................................................2 2. Introduction .......................................................................................................................................................5 2.1. Description of the product AreaGuard Neo ................................................................................................5 2.2. Key features ...............................................................................................................................................5 3. Technical description of AreaGuard Neo..........................................................................................................5 3.1. Functional schema of AreaGuard Neo.......................................................................................................6 4. System requirements ........................................................................................................................................7 4.1. Server .........................................................................................................................................................7 4.2. Administration console ...............................................................................................................................7 4.3. Client ..........................................................................................................................................................8 4.4. AreaGuard Neo – Logon ............................................................................................................................8 HW support .............................................................................................................................. 8 5. AreaGuard Neo Installation ..............................................................................................................................9 5.1. Pre-installation Preparation ........................................................................................................................9 5.2. Server installation step by step ............................................................................................................... 10 Installation rules check ............................................................................................................ 11 License number ...................................................................................................................... 11 Options of installation ............................................................................................................. 11 SQL ....................................................................................................................................... 11 Port ....................................................................................................................................... 11 GPO ....................................................................................................................................... 11 Accounts ................................................................................................................................ 12 Groups in Active Directory ....................................................................................................... 13 Summary ............................................................................................................................... 13 5.3. Server updates ........................................................................................................................................ 13 5.4. Setup Report Viewer ............................................................................................................................... 13 5.5. Uninstallation ........................................................................................................................................... 14 Client uninstallation ................................................................................................................. 14 6. Start with AreaGuard Neo ............................................................................................................................. 14 6.1. AreaGuard Neo - Server technical description ....................................................................................... 14 6.2. AreaGuard Neo - Admin introduction ...................................................................................................... 14 First run of AreaGuard Neo - Admin ......................................................................................... 15 Product activation ................................................................................................................... 15 Periods and states .................................................................................................................. 16 Layout of the administration console ........................................................................................ 17 6.3. AreaGuard Neo - Admin – Setup wizard and tools ................................................................................. 18 Setup wizard .......................................................................................................................... 18 Version management .............................................................................................................. 18 Component management ........................................................................................................ 19 Emergency setting recovery .................................................................................................... 19 Token manager ...................................................................................................................... 19 Options .................................................................................................................................. 19 Removable device encryption wizard ........................................................................................ 20 Virtual groups of users (internal groups) .................................................................................. 20 6.4. Tabs ........................................................................................................................................................ 20 Client Manager ....................................................................................................................... 21 Removable Devices ................................................................................................................. 21 Local Folders .......................................................................................................................... 22 Keys ...................................................................................................................................... 23 7. AreaGuard Neo on workstations ................................................................................................................... 23 7.1. General description ................................................................................................................................. 23 7.2. Technical description .............................................................................................................................. 24 Setting update ........................................................................................................................ 24 7.3. AreaGuard Neo - Installer installation methods ...................................................................................... 24 Using Group Policy .................................................................................................................. 24 Manual installation .................................................................................................................. 24 Uninstallation.......................................................................................................................... 25 7.4. Encryption of removable devices ............................................................................................................ 25 Encryption with a portable key................................................................................................. 25 Decryption with a portable key ................................................................................................ 25 7.5. Network encryption ................................................................................................................................. 25 8. Server configuration....................................................................................................................................... 26 8.1. Configuration for importing logs to non-local SQL database .................................................................. 26 8.2. Automatic deleting an old records from ReportSet database ................................................................. 26 9. Support .......................................................................................................................................................... 27 9.1. Information about the form of support ..................................................................................................... 27 Helpdesk SODATSW spol. s r.o. ............................................................................................... 27 9.2. Contact info ............................................................................................................................................. 27 9.3. Information about updates ...................................................................................................................... 27 10. Information about SODATSW spol. s r.o. .................................................................................................... 28 2. Introduction 2.1. Description of the product AreaGuard Neo AreaGuard Neo protects data and files stored on computers, notebooks and other devices and also protects against connection of unauthorized USB devices. An enhanced level of security provided through two factor authentication can be used to ensure secure login to each user account (chip cards, tokens…..). Installation and deployment on user stations is done remotely from the central administration console. Protection of personal data is considered as a must in many countries around the world and in many cases it is even forced by the law. The central administration console of AreaGuard Neo assures the security policies of the organization are fulfilled. AreaGuard Neo collects client behavior data. This provides the administrator with detailed information about each station’s security status. Based on this information, the administrator can modify the encryption and USB device settings by specific user and reduce the risk of information security incident at the minimal level. 2.2. Key features Central management administration console Easy actualization and security policy distribution Easy evidence, backup and distribution of encryption keys Monitoring of current status of the client Management of the distribution of the clients and components to the machines Easy setting of the policies by proactive information logging Restriction of data transmission on removable device Protection of data on PCs, notebooks, removable device or on data storage device by symmetric encryption Use of strong AES 256bit algorithm Full support of Microsoft Active Directory Possibility of integration into current PKI of the organization Possibility of usage of certificates on chip cards pro security of key Possibility of two factor authentication into operation system (chip card, tokens) Database built on effective Microsoft SQL Server 3. Technical description of AreaGuard Neo The main goal of AreaGuard Neo is to secure any data stored on any device or data storage with a possibility of using an enhanced level of security provided through two factor authentication. The security of data is realized by on-line transparent encryption (symmetric encryption algorithm AES 256). Encryption on the clients begins immediately after installation of the client software, based on the settings defined by the administrator console. With the basic setting the whole user profile is encrypted and at the same time the data analyses is realized. These data analyses are centrally evaluated. The analyses give you the information about the type of the data (office, multimedia, resource data, etc.) and its size and age, so you have all the data for the definition of security policy per each station. It is important to keep all the secrets safe as the data are encrypted by the symmetric key. AreaGuard Neo includes encryption keys management stored at the secure storage. Operations with key exchanging, its invalidation or distribution are automatic. In case of necessity manual operation is available. AreaGuard Neo provides additional protection by restricting access of unauthorized external USB device. Data on defined allowed devices could be encrypted. Devices that are not allowed are rejected. The whole system AreaGuard Neo is functionally divided into three part, based on client – server architecture. Modern Microsoft server technologies which are used in the application are enabling easy deployment and easy control of clients in Windows domain. 3.1. Functional schema of AreaGuard Neo Storage and distribution of defined policies Gathering log information and importing to the database Internet/intranet Duplex communication between workstations and WebServer WebServer Acquisition of information about domain objects Log information storage Compiling the AD tree, evaluating log information and defining policies Database server Preparing reports for evaluation in the administration console IIS server Workstations Domain Controller with Active Directory role Administration console NOTE: For the purpose of the schema were roles divided into more servers. In fact, less or one server could stand for more server roles. 4. System requirements 4.1. Server Instalation requirements – server Computers processors and Computers with processors: 32bit (x86) / 64bit (x64), AMD®, Intel® or 100% compatible; recommended procesor speed 1,5 GHz Memory Min. 2 GB RAM (recommended 3 GB and more) Storage Min. 5 GB free space. Recommended 10 GB (depending on chosen edition of SQL server and other system parts). The space needed is based on the size of the database and the quantity of collected log information. Operation system 32/64 bit. operation systems: Windows Server 2008 R2, Windows Server 2008 SMB, Windows Server 2012, Windows Server 2012 R2. SQL Server 32/64 bit editions Microsoft SQL server: Microsoft SQL Server 2005 Express and higher editions, Microsoft SQL Server 2008 Express and higher editions, Microsoft SQL 2008 R2 and higher editions, Microsoft SQL Server 2012 Express and higher editions. Network Functional TCP/IP protocol, functional DNS service, AreaGuard Neo database connection, fixed IP address, fixed DNS server name. Active Directory Domain Services server available (domain 2003 and later). Others Windows Installer 3.1 and later, NET Framework 4.0, Active Directory access + Domain Controller (does not have to be on the same server as AreaGuard Neo server), IIS 6.0/7.0/7.5 plug-in ASP.NET 2.0, Windows authentication in IIS, opened communication port in Firewall, functional TCP/IP protocol, GPMC is needed for automatic adding of installer into GPO. 4.2. Administration console Instalation requirements – administration console Computers processors and Computers with processors: Pentium IV or better, 32bit (x86) / 64bit (x64), AMD®, Intel® or 100% compatible; recommended processor speed 1,5 GHz Memory 1 GB RAM (recommended 2 GB) Storage 250 MB min free space on disc (recommended 500 MB) Operation system 32/64 bit operation system: Windows Server 2008 R2, Windows Server 2008 SMB, Windows Server 2012, Windows 2012 R2, Windows 7 SP1, Windows 8, Windows 8.1, Windows 10. Network Functional TCP/IP protocol, functional DNS service, AreaGuard Neo database connection Others .NET Framework 4.0, IIS 6.0/7.0/7.5 with plug-ins ASP.NET 2.0, authentication v IIS 6.0 Windows 4.3. Client Installation requirement – client Computers processors and Computers with processors Pentium IV or better, 32-bit (x86) / 64-bit (x64), AMD®, Intel® or 100% compatible, recommended processor speed 1,5 GHz Memory 512 MB RAM (recommended 1GB MB) Storage 250 MB min free space on disc (optimum 500 MB) Operation system 32/64 bit operation systems: Windows 7 SP1, Windows 8, Windows 8.1, Windows 10 Network TCP/IP protocol, functional DNS service, AreaGuard Neo database connection Others Windows Installer 3.1 and later, .NET Framework 2.0 SP2 (if MSI package in GPO, than automatic installation), for Windows 8 .NET Framework 4.0, for Windows 8.1 .NET Framework 4.5, for Windows 10 .NET Framework 4.6 There could be some conflict between other software for restrictions on removable devices in case you use any. We strictly recommend applying restrictions only by AreaGuard Neo. 4.4. AreaGuard Neo – Logon Installation requirements are equal to client installation requirements, a part from operation systems. AreaGuard Logon could be used with 32/64 bit operation systems Windows 7 SP1, Windows 8 Windows 8.1 and Windows 10. HW support AreaGuard Neo – Logon supports HW items based on PKCS #11 standard. We guarantee compatibility with products from SafeNet Company. Middleware for HW items must be installed (e.g. SafeNet Authentication Client). 5. AreaGuard Neo Installation 5.1. Pre-installation Preparation What is necessary for easy implementation on server? Latest update of OS Windows Installer 3.1 and newer .NET Framework 4.0 SQL Server 2005 (Express) and newer Functional domain, AD (containing user and stations) IIS with default parameters + supplements ASP.NET v2.0 a Windows authentication What is necessary for easy implementation on client? Windows Installer 3.1 and newer .NET Framework 2.0 SP2 and newer (automatically distributed through GPO together with AreaGuard Neo - Installer) What is necessary to have functional administration console? Windows Installer 3.1 and newer .NET Framework 4.0 Correctly functioning administration console requires IIS with ASP.NET 2.0 role service and SQL with appropriate database accounts. Appropriate databases and accounts are created using administrators account during the installation. In case you are not sufficiently authorized for managing the SQL database, you will be asked for the credentials of an account with higher privilege. If the SQL database is running on a different server than the AreaGuard Neo - Server, the server with SQL database must have following settings: 1) Protocol TCP/IP must be enabled for the SQL service. 2) SQL Server Browser must be running. 5.2. Server installation step by step We recommend closing all the applications running before you start AreaGuard Neo installation. Start the installation and go through all the steps described in following chapters. Installation rules check Check all the preconditions which must be fulfilled. If any is not fulfilled you will be informed about it. Check the states again after you fulfill the preconditions. In case you still fail to pass the installation rules check you won’t be able to continue the installation. License number Enter your license number here. Doesn´t apply if you have trial version. After the purchase, just enter full license number into the running application. Options of installation 5.2.3.1. Typical installation This is standard installation; SQL Server Express will be automatically installed. You will be asked only about distribution through domain policy. 5.2.3.2. Custom This is a custom installation where you choose your settings as described in following chapters. SQL SQL Server Express might be automatically installed either from installation package or as a download from the internet. All the settings are chosen to be compatible with AreaGuard Neo application. You can use your existing SQL server, than choose „Own database engine“. Enter the information about the server or instance. Check the connection. Your account in SQL must have at least public server role so the installation of AreaGuard Neo could be successful. In case you won’t have sufficient privileges during the installation you’ll be asked for credentials of an account with such privileges. The installation process creates 2 databases for IdentityManager, 2 databases for ComponentManager and one for ReportSet (logs, evaluation). 1) 2) 3) 4) 5) AreaGuard Neo – CmDb AreaGuard Neo – CmPm AreaGuard Neo – ImDb AreaGuard Neo – ImPm AreaGuard Neo – ReportSet Port Client – server communication is run through a particular port. Port 23546 is suggested as default during the installation. If this port is used for anything else, we recommend changing it. Incoming automatic rule for this port is set in Windows firewall automatically on the server. In case you are using other firewall than the one integrated in Windows, you will have to define this rule and perhaps the outgoing rule on the client computers also. The port 45682 for communication between administrators GUI and IIS is added automatically into incoming firewall rules as well. GPO Domain policy could be used for the client distribution. Select a group for application of the AreaGuard Neo distribution policy. AreaGuard Neo – Installer.msi is installed trough the domain policy as a software including .NET Framework 2.0 if needed. AreaGuard Neo installer maintains the installation of other components according to the installation rules in AreaGuard Neo database. If you don´t choose distribution through GPO the distribution policy is still created but „Security Filtering“ list will be empty so the policy won’t be applied. You can still use this way of distribution later if you add a group or more into the “Security Filtering” list of the distribution policy. If adding of the policy fails during the installation, most likely you don´t have GPMC (Group Policy Management Console) on the server. Repeat the action according the instructions (here) after the installation is completed. Accounts 2 service accounts are required to keep the application running. There are critical services using these service accounts. We strongly don´t recommend using these accounts for different purposes (e.g. domain admin…). The service accounts with all the required attributes and rights could be created during the installation. In case you have to use you own accounts, create new ones dedicated only for this purpose, with no password expiration. The description of the service accounts is in the following chapters. 5.2.7.1. Service account All AreaGuard Neo services are using this account. Database is accessible from this account. Necessary account parameters: An existing account in the domain which is a member of “Domain Users”. It is not recommended to use the account for different purposes! After you click the Next button, the installer verifies the name and password. If it fails to login you’ll be informed and the installer is waiting for the new entry. The property read “memberOf” in Active Directory is absolutely necessary and critical for this account. Without it the account won’t be able to compile the Active Directory tree in the administration console. Sometimes the installation fails to assign this property so you will have to assign it manually. During the installation, installer tries to assign all the parameters to this account, such as rights, rights for SQL database etc. So there is no difference between automatically and manually created account. The password for the automatically created service account is randomly generated during the installation and it is displayed after the installation. The password will be stored in the setup report. You will need it later for update. 5.2.7.2. Service account IIS The application pool of AreaGuard Neo – ReportSet in IIS is using the service account IIS. The application pool is used as an access point for database query necessary for evaluating in the administration console. Necessary account parameters: An existing account in the domain which is a member of “Domain Users”. It is not recommended to use the account for different purposes! After you click the Next button, the installer verifies the name and password. If it fails to login you’ll be informed and the installer is waiting for the new entry. During the installation, installer tries to assign all the parameters to this account, such as rights, rights for SQL database etc. So there is no difference between automatically and manually created account. This account needs to have public rights for the database AreaGuardNeo – ReportSet. The password for the automatically created service account is randomly generated during the installation and it is displayed after the installation. The password will be stored in the setup report. You will need it later for update. 5.2.7.3. AreaGuard Neo Administrators This group could run and use the administration console on the server or on another workstation. During the installation the group AreaGuardNeo_Admins with all the rights is created within AD and Domain Admins are added into this group by default. You can change the members of this group later after the installation. Groups in Active Directory The default groups follow default policies (e.g. Installation of packages, user profile encryption, distribution of encryption keys, etc.) which are applied on users or computers after the installation process is completed. The group AreaGuardNeo_Users where Domain User group is added and the group AreaGuardNeo_Computers where Domain Computers group is added are created in AD. Any changes for users could be done later in AD. Any change for computers must be done before distribution of application on workstations. If you would apply any changes for the group AreaGuardNeo_Computers when running, the newly becoming non-member workstations will lose their settings and lose connection with the server. Summary Here you can find general information about the application and its installation such as: - Paths to msi installation packages for clients The passwords of the service accounts (necessary for AreaGuard Neo updates) DRP password, necessary for server recovery in case of an accident, loss or damage of the server The summary is backed up as a protected XML in the current user documents. We recommend protecting this file with a password, as all the passwords in this file are very delicate and could be abused. We also recommend backing up this XML summary file. For review you have to use our special application SetupReport Viewer. 5.3. Server updates Run the installation file, AreaGuard Neo installer runs automatically update if the previous version is present on the server. During the update you will be asked for password of the service accounts. These passwords are stored in the summary that is created right after the installation. The summary is backed up as a protected XML in the current user documents. To open it, use the application Setup Report Viewer. Run it as the user that installed AreaGuard Neo – Server. If you have chosen to protect the file with a password you will need it now. If you have lost or forgotten your passwords please contact the technical support. At the end of the update you will be asked to restart the server. We recommend doing so but it is not necessary. You may find the new version of the application in the version management dialog in the administration console after the updating process is finished. You can apply new version on a specific workstation, group or whole domain, using the Version management. 5.4. Setup Report Viewer A simple application displaying the server installation encrypted report. It could be found in program folder of AreaGuard Neo %AreaGuard Neo%\bin\SetupReportViewer.exe. 5.5. Uninstallation Before you step forward to uninstall AreaGuard Neo from your server you have to make sure that: - All data are decrypted and clients are uninstalled The whole AreaGuard Neo database back up was performed The DRP password was backed up Note: Automatically installed SQL server and the group policy won’t be uninstalled or deleted. Client uninstallation In the Client manager tab choose one workstation and click Uninstall. The status of uninstallation process is visible in detail of a workstation log. For more information about uninstallation process move your mouse over the “i” icon. For complete data decryption all users who have been using the workstation, have to login to decrypt his data, so the uninstallation could be performed. Users can be sometimes asked for rebooting their computers. Advice them to do it if fast uninstallation is in your interest. After the decryption, all client packages are automatically uninstalled. Only AreaGuard Neo – Installer remains. After all client packages from all the workstations are uninstalled, AreaGuard Neo - Server could be uninstalled. Close the console and in Start menu open Control panel – Add or remove programs/Programs and functions – Remove AreaGuard Neo – Server. 6. Start with AreaGuard Neo 6.1. AreaGuard Neo - Server technical description AreaGuard Neo - Server handles inquiries (settings, encryption keys, etc.) from workstations, categorizes them and response to them. All the sensitive data are safely encrypted in SQL database. Only the password protected service account has the access. The secondary function of the server is to process logs from workstations. Logs and their evaluation are displayed in the administration console after processing. Following processes and services must be running for the correct operation 1) 2) 3) 4) 5) 6) 7) LogSubs SubscribePoolService WebServer WebServerHandler_ComponentManager WebServerHandler_DataRepository WebServerHandler_IdentityManager WebServerHandler_UserAgent Within the IIS runs the “ReportSet” service which is used for evaluating in the administration console. This service is not critical for the server operation. 6.2. AreaGuard Neo - Admin introduction It is the control panel for the whole AreaGuard Neo. It is used for evaluation of results from workstations, classification of results according selected criteria, key management, settings of encrypted folders, removable devices management, presence and components on workstations, etc. First run of AreaGuard Neo - Admin AreaGuard admin console is located in Start menu in the AreaGuard Neo folder. The first run could take few minutes depending on number of objects and complexity of your Active Directory. During the first run is loaded the structure of AD into the database. The navigation tree is created from this database and it’s displayed and available in the administration console. AreaGuard Neo 2.0 comes with new feature of pre-load objects from Active Directory into encrypted local cache memory AreaGuard Neo. Service AreaGuard Neo pre-loading is defaultly set on one hour. Interval length can be changed in administration console. Objects are load into encrypted local file. This file is used by AreaGuard services and Administration console for correct functionality. If you change structure of AD (for example: create new user), this operation will not take effect immediately. Changes will be available after cache synchronization with AD (default 1 hour). Structure of AD will not refresh automatically. For refresh AD structure in admin console you have to restart console or reload structure via console in tab „File“ and „Reload AD cache“. When the structure is loaded the administration console is displayed. First you see the pop up screen with the status of your license. The same information could be found under license number information dialog. The license number dialog is located in the Info menu. Here it is possible to buy the license, contact our company or enter a new license number. After you enter a license number it is necessary to activate your license. For the activation you will be asked automatically. More information about the activation will follow in the next chapter. Next time you run AreaGuard Neo, the splash screen shows the information about the license number you have entered before. You will be informed about the expiration date of your maintenance in advance. In case you will extend your maintenance you will have to go through the activation again. In case you don’t extend your maintenance, the application is fully functional but you are not entitled to update the application or to get any a technical support. Product activation There are two steps for the AreaGuard Neo activation. 6.2.2.1. First step Go to http://www.areaguard.com/activating, either from the administration console or in a web browser. Fill in the form, upload the file with the activation request and send it. 6.2.2.2. Activation Few moments after subscribing the form you’ll get the activation file via e-mail. Follow the instructions in the administration console to finish your activation. Periods and states There are several periods and states in a life cycle of AreaGuard Neo. They are described in the following table: Period Interval Status Limitations Max 30 days AreaGuard Neo not activated No limitations After 30 days AreaGuard Neo not activated New keys are not generated any more, uninstallation of workstations commences Promo trial Individual AreaGuard Neo not activated No limitations Commercial version Depends on a license AreaGuard Neo is activated No limitations AreaGuard Neo is activated, license expired Update and some functions are not available Trial Trial Commercial version with no maintenance Layout of the administration console The administration console is designed very similarly to the Microsoft Windows MMC. U can switch between modules by using the module tabs under the address bar. In each tab are shown the relevant log information and the corresponding control panel buttons related to the selected object in the navigation tree. Feel free to adjust the time period of shown log information or use the default ones. Tooltips for your orientation are available for every single element. Just slide over one to know what it does and what it’s for. Displayed log information describes usually type of an event, date and time, name of a user and workstation where the event was recorded and description of the event. Click on the arrow button on the left to expand the detail information about the event. Use the column headers to sort or filter the log information. Displayed log information can be exported into PDF file. 6.3. AreaGuard Neo - Admin – Setup wizard and tools Setup wizard A simplified setup wizard for the AreaGuard Neo global settings. 6.3.1.1. Encryption Create or remove setting for encryption of folder for the default group of users. More about encryption setting in the chapter Local folders and Shared data. 6.3.1.2. Removable devices Here you can decide if you want to forbid using of all removable devices except the allowed ones. You still get the information about its connecting and on its basis you can allow it or not for the future use. Monitoring of removable devices could be switched off. However you will still get the log information about inserting the forbidden devices. All the removable media could be encrypted if the security administrator or user chooses so. Company encryption key is set for encryption of removable devices as default. To use a different encryption key user needs to be able to change the type of an encryption key. Set this policy the way it satisfies you. More about removable device encryption from the user’s perspective could be found in the chapter Encryption of removable devices. 6.3.1.3. Logon Choose the appropriate checkbox of you want to use AreaGuard Neo – Logon for logging in the users. How to install the component on your workstations read here. Next you can suppress logging in by other credential providers. However we do not recommend it, because if there is a problem with logging in, the user won’t be able to login using a different way. Anyway if this problem appears, change the policy and restart the problematic workstation. AreaGuard Neo – Logon also allows setting recovery right from the logon screen when the local user account is securely created and receives the encryption keys of the recovered user. 6.3.1.4. Logon policies Set common global policies for logging in with AreaGuard Neo - Logon in combination with HW tokens. Version management After a successful AreaGuard Neo - Server update the new version is automatically added into “Version management”. This dialog helps you to manage versions of AreaGuard Neo workstations. The list of available versions is on the left. Icon indicates whether the version is applied on a computer, group or not at all. Administrator could apply update on one or a group of workstations to test it before releasing into whole organization. It is necessary to have the latest version of AreaGuard Neo on server but it’s not when it comes to workstations. Downgrade is also possible. Workstation checks every 4 hours if there is an update for him. If there is, the workstation downloads it and updates itself automatically. It needs rebooting after the update but it is possible to postpone it. Component management Component management provides easy management, distribution and uninstallation of individual AreaGuard Neo components in domain for selected groups or workstations. Changes are not applied on workstations out of AreaGuardNeo_Computers security group. After saving the setting the workstations finds out that there is change that involves themselves after their regular synchronization and they will perform it. The synchronization period is also 4 hours. 6.3.3.1. AreaGuard Neo – Admin If you want control AreaGuard Neo on workstations or just see the results in the administration console on a different computer than the server, install this component on the workstation you choose. Just add the object and the component will be applied. We remind that the rights to run the administration console can only the members of the AreaGuardNeo_Admins group. It is possible to use the “runas” command or SHIFT+right click on the icon and click “Run as…”. 6.3.3.2. AreaGuard Neo – Client This component maintains encryption, monitoring and restriction of removable devices. 6.3.3.3. AreaGuard Neo – Logon AreaGuard Neo – Logon allows users logging in using HW tokens and emergency setting recovery from the logon screen. Emergency setting recovery A wizard relevant to a setting recovery scenario using the systray setting recovery or the setting recovery from the logon screen. You don’t need to know more because the wizard guides the administrator and the user on both sides very well. Token manager First just check if you meet the conditions for using HW tokens. You can initialize the token. That practically means erasing or resetting it. Then set a name and PIN for it. Default is a minimum of 4 characters, non-complex. We recommend using the option “Force PIN change on first use”. Now add credentials of an user on the token. You can choose the user from Active Directory od fill in manually. You can change his password manually in this dialog or generate him a new one that no one will ever know. For generating a new password you have to have the sufficient rights of course. After this operation is the token ready to be assigned to the user. Options Set options of the administration console as you like. Show/hide specific AD objects, paging, after how many days of inactivity mark workstation as invalid, select language etc. It is also possible to set secondary authentication using password to access the console AreaGuard Neo. This password will be same for all users – so access will be possible for users that are members of group „AreaGuardNeo_Admins“ and know this password. In this section you can define frequency of data scans for specific object. In AreaGuard Neo 2.0 is available change validity of created keys. Newly there is an option to encrypt all removable devices for specific objects. You can turn off monitoring of removable devices for specific object, allow deleting files without relevant key only with NTFS verification. Also you can define count of IP endpoints (addresses for communication from clients to the server) and hide expired keys. Removable device encryption wizard The wizard allows to set encryption of all files that are being stored on a specific removable device for selected object (user, computer, security group, organizational unit) This setting may be used along with the option of general removable device encryption but individual setting has higher priority. 6.3.7.1. Object selection Setting is always applied to a specific object in your Active Directory. In case you select security group or organizational unit the setting is received by all its members. When you select a group, please make sure it includes users, not computers. 6.3.7.2. Basic setting Allows to define if users can use portable keys or if they can choose to not encrypt at all. User can select these options in the systray after a device is inserted. 6.3.7.3. Device encryption The dialog includes the list of devices and their settings. You can add a device in three ways: 1. Detection of inserted device – allows to import a device which is actually inserted in USB port of your workstation with the launched administration console. 2. Insert a device manually – it is possible to fill in the HWID and SN of devices manually. 3. Importing devices from CSV – for bulk adding of devices from CSV file. Using this option, both HWID and SN are required to be included in the CSV file. After adding a device, the custom object key is selected automatically. You can switch the key in the advanced setting extension. Virtual groups of users (internal groups) It is possible to create own groups that can contain only objects type „users“. The groups is not possible to remove, because to the groups are automatically created group keys for possible encryption by the group key, but it is possible to edit the groups (remove members or rename the group). In the console AreaGuard Neo you can work with internal groups like with domain groups. All created groups will be visible under main group „AreaGuardNeo_Groups“ in the root of your domain. 6.4. Tabs The tabs in the administration console represent individual modules of the application. You can freely switch between them, read the results of evaluation, and create settings and policies. At the very begging you must realize what tells you the information you get in every tab. All records are from the past. Imagine that as something happened on a workstation, an event, the components record it and send it to the server where these logs are automatically imported to the SQL database. The administration console just queries the database about these logs and shows you results. Graphs and sums are also generated the same way. Only real-time information is in setting dialogs. Client Manager This tab primarily serves as the overview of the workstations state. Workstations are shown as invalid for the following reasons: 1) The workstation has not contacted the server more than the number of days set in the options 2) The actual state of the components does not meet the required state (installed, uninstalled, updated) Expand the detail of the error log to learn why the workstation is in the invalid state. The detail includes a simple table where you are able to see what exact component is in the wrong state, version of the components etc. The buttons on the right control panel are used for install or uninstall of the client components on the workstations. This of course requires the presence of AreaGuard Neo – Installer on the workstations. Changes you execute are saved in the database and distributed to the workstations. As soon as the workstations get the change of state, they will try to fulfill the required state. The uninstallation is performed by following procedure: As soon as the workstation gets the information about the uninstallation, decrypting of all encrypted folders starts. The user, owner of the data, has to be logged in for this procedure or else the encryption keys are not available and the decryption could not proceed. In case of more than one user ever logged in on the workstation, they have to login again as well or else the decryption could not be performed. Encryption keys, except group and company keys, are not shared between users. Until all data are decrypted the uninstallation is not performed. You are able to see the state of decryption in the detail. More detailed information could be found in the tooltip when you slide over the blue “i” icon. Client manager also shows operational and critical errors from the workstations. Removable Devices Achilles heel of every organization – removable devices. Observe what removable devices the user connects to the workstations. Keep track of how many removable devices are connected, who connected them. Forbid the users connecting their private devices or whatever. There are 4 types of log information: 1) 2) 3) 4) The first presence of device Undefined Enabled Disabled Click on a log and you are able to enable or disable the device according his HWID or serial number. Just use the buttons on the right control panel. Serial number is unique for all devices. Older devices may not have it. HWID is likely to be shared for whole series of devices. This you can use, for example, for allowing company devices which was bought at once and are the same type. All dialogs are as simple as they can be. Just select the object you want to apply the policy to. For overview of the setting click on the last button on the right control panel. Here you can also remove the setting you’ve made. There are priorities by which the application decides: 1. Computer – enabled (highest priority) 2. Computer – disabled 3. User – enabled 4. User – disabled (lowest priority) In practice, this means that the user who’s not allowed to use a certain device, logs in to a workstation which has enabled that device, the user is able to use it. The ladder of the priorities is compiled on the basis of many years of experience in the field of data security. You can also set the policy “disableUndefinedDevice” in the display setting dialog. This policy was already mentioned in the “Setup wizard” chapter, only here you can choose an object to apply the policy to. The option “Show the final setting…” shows the final setting for selected objects, such as user or computer. You can export the result into CSV file. Every setting could be deleted in this dialog. This feature also includes collision detection. Workstations update their setting ever hour, including the removable devices policy. After connecting a device the event is logged and as well also the information what happened to the device, whether it was enabled or disabled. Every 5 minutes are the logs sent to the server and imported to the database. Local Folders This tab gives the administrator an overview of the data on local storages of the workstations, encryption state of the data, usage of the data, and if the data are in the encrypted folders or not. You can set what folders are encrypted on the individual workstations or generally through the whole organization. The user profile of every member of AreaGuardNeo_Users is encrypted by default. Types of events: 1) 2) 3) 4) The data in the protected location are encrypted Unencrypted data in the protected locations A lot of used data outside the protected locations / Used data outside the protected locations The data outside the protected location are in order Notice that the view is changing according to selected object. For user, computer or group is a different view of results. This is for better clarity and greater information value. What information you get and how do they get to you? Right after the installation the first data scan is performed. The time it takes depends on the data size, usually in minutes. It’s absolutely normal that the postinstall scan returns that no data are encrypted because it’s done before the information about encrypting the user profile even get there. After the scanning is done the log is sent to the server and imported to the database. In the future the scan is done randomly once a day. The scan checks usage of data and if they are encrypted where they should be, it browse all hard drives except system folders etc. Next the scan evaluates file count, size, key, and category according file’s extension. All of this you are able to see in sophisticated tables in the details of every log. Select a log or any reasonable line in the detail’s table to enable the “Create protected location” button. Now click the very same button to open the setting dialog. The folder is prefilled but you can modify it. You can also use system variables. Don’t forget to select an object you want to apply this setting to. Selection of the encryption key is also important: 1) Personal key (a general personal key of anybody) 2) CustomObjectKey (a specific key of the selected object – personal or group key) 3) Company key (everybody from the group AreaGuardNeo_Users disposes it) On the other hand, you can set the encrypted locations as inactive by selecting one of the logs of protected locations and then click the “Remove location” button on the right control panel. The dialog “Show options” allows you to view the setting on different objects and also removes the setting you’ve made. In case you are in a hurry and you need some results as soon as possible, there is a way to get the scan done manually using the systray tools. The scan performs immediately and in few minutes you have the results available in the administration console. Keys The encryption of data is not possible without encryption keys. The tab “Keys” allows you to manage and overview all the keys in your organization. There are 7 types of keys: 1) UserPersonalKey – Users personal key. The title of a key looks this way: %logonname%_Personal_XXX, where the XXX stands for the serial number of the key. This key is generated for member of AreaGuardNeo_User. The personal key expires every 1 year and it’s automatically replaced by a new one. This key is used for encrypting the user profile by default. 2) SettingRecoveryKey – As the name suggests, this key is used for setting recovery. If you don’t want to see them in results hide them in the administration console Options. 3) UserRecoveryKey – This type of key is created when you assign users’ key somebody else, for example when the employee leaves the organization and you want preserver the access to his data. The assignee is able to decrypt his data but he can’t use the key for encrypting. 4) ExpiredKey – Simply an expired key. The owner is able to use it for decryption but it’s not active for encryption anymore. 5) InactiveKey – This operation could be used in security situations. User is no longer able to decrypt anything with a key set as inactive right after next login. This operation is reversible. 6) CompanyKey – Company key receives every member of the AreaGuardNeo_Users group. This key is usually used for encrypting shared data, general company data. 7) GroupKey – Every time you set an encrypted location for a security group encrypted with a CustomObjectKey the specific group key for that security group is generated and everybody from the group has it. The buttons on the right control panel are used for the key operations. 1) Assign the key to another user – This is actually described in the item number 3 above. 2) Remove the key from the user – The outcome and reason of this operation is described above in the item number 5. 3) Expire the key – You can have the key expired instantly for a security reason. A new is generated immediately after next login of the user. The decryption and encryption with the new key happens automatically. 4) Return the key to its original user – This is the reverse operation to the “Remove the key…” operation. 5) Display settings – In this window you are able to see real time detailed status of the keys for the target user. Remember that every operation takes effect after next login of the user. You will be informed about usage of someone else’s key in this tab as well. 7. AreaGuard Neo on workstations 7.1. General description Provides effective way of protection data using AES256 Protection of user files by encrypting file-system Online transparent encryption of files on workstations Online transparent encryption of files on network Online transparent encryption of files on removable devices Minimum requirements for knowledge of users Monitoring of usage of removable devices in your organization Restriction of usage of removable devices in your organization Possibility to use AreaGuard Neo – Logon for two factor authentication 7.2. Technical description The client part communicates with the server trough a webserver which forwards requests to specific components and sends back replies. For correct function of the application is critical to have these services and processes running on the workstations: 1) 2) 3) 4) 5) DataSafe_DriverResponder LogSubs SubscribePoolService SysTray UserServer Right after the installation of the client package is possible to experience a certain slowdown due to encryption of actual data until it’s completely done. Setting update The setting of client computers is updated at certain intervals. Computer setting is also updated at computer start. User setting is also updated after his login. Availability of application updates and component presence is detected at certain intervals as well. Learn more in the following table: Action Component update and install rules Removable devices policy Encryption settings Encryption keys State report available in the Client Manager tab Interval 4 hours or Windows start 1 hour or Windows start 1 hour or Windows start After user login 4 hours or Windows start In case of a hurry you can update all settings manually using the systray tools. 7.3. AreaGuard Neo - Installer installation methods Using Group Policy You could choose this option back at the AreaGuard Neo – Server installation. AreaGuard Neo – Installer is automatically installed on every computer in the AreaGuardNeo_Computers group using Group Policy. After installation of AreaGuard Neo – Installer are automatically installed other components of the application. The policy is created right in the root of your domain. If you haven’t chosen using GPO for the distribution you can still activate it. Just add a group in the “Security filtering” list. If the policy hasn’t been created for any reason you can create it later by a command. Find here how the command should look. Manual installation 1. Find the AreaGuard Neo – Installer MSI packages for both platforms (x86/x64) in the default path: c:\Program Files\AreaGuard Neo\Server\db\Msi\ 2. Run the package on the workstation you want to install the application on. 3. Click next until it’s done. 4. That’s it. Just maintain the connection to the server. Everything else is taken care of automatically. Note: For quiet installation user a parameter /quiet. The command should look like this: msiexec AreaGuard Neo_Installer.msi /quiet Uninstallation Only option to uninstall the application from workstation is in the administration console. Learn more in the chapter Client Manager. 7.4. Encryption of removable devices The policy allowing encryption has to be enabled. After connecting a device comes up an information panel from the systray. The user is informed about connecting a device and that the data moving on the device will be encrypted with a certain key. If the policy allows him, the user can choose to use another key or not to encrypt at all. Company, personal and portable key could be available. Former data are not encrypted. Data encrypted with company or personal key are accessible on the basis of the ownership of these keys. Encryption with a portable key In cases you need to safely transport data on a removable device outside the organization there is an opportunity to use encryption with a portable key. Data encrypted this way are only accessible under the condition of knowledge of a password. If there is not created a portable key yet on the device, create a new one using the guide. After creating or selecting an existing key you can move files on the device. A dialog offering you a removal of the device should appear. When the moving of the data is done remove the device. A summary now appears. Decryption with a portable key 7.4.2.1. On a computer with AreaGuard Neo – Client When the device is connected, right click on the AreaGuard Neo systray icon and choose “Access to encrypted files”. The guide should help you through with the decryption. In the systray is also available “Key management”. Here you can manage portable keys and view the summary. 7.4.2.2. On a computer without AreaGuard Neo – Client On a computer without the AreaGuard Neo application is the behavior kind of different. On the removable device you find “AreaGuardNeo_Portable.exe”. The guide will again help you go through the decryption process. The Portable key management is available as well. 7.5. Network encryption The product provides encryption of a backup on server or shared data. It is done either from client’s or server’s side. If you are interested in this solution, please contact your distributor or the developer of the application. 8. Server configuration 8.1. Configuration for importing logs to non-local SQL database If you experience problems with importing the logs to the SQL database that is not on the same server as AreaGuard Neo - Server, there might be a problem with rights or connection generally. Instead of blind groping we made a simple instruction as a quick help. 1. Install Microsoft SQL Server Native Client 10 or higher (on the server where AreaGuard Neo is present. 2. Edit XML configuration file \%AreaGuard Neo%\Server\db\conf\NASF_WebService_ReportSet\NASF_Import.Auto_Batch-local.xml the way you see below. In the element <SqlConnectionString> add the following: Provider=SQLNCLI10 (or higher depending on the SQL Native Client you have installed) DataTypeCompatibility=80 MARS Connection=True In the element <ImportType> change to XML (upper case necessary) To prevent these adjustments to be overwritten by an update, add to the edited elements doNotUdpate=”1” just like in the picture above. 8.2. Automatic deleting an old records from ReportSet database From version 2.1 is available automatic deleting an old records from AreaGuard Neo – ReportSer database. This feature provides possibility to reduce hardware requirements on SQL server. Setting for data history length is set in registry value removeDataOlderThan-0 (type REG_SZ) on server with AreaGuard Neo administration console. HKEY_LOCAL_MACHINE\SOFTWARE\SODATSW\AreaGuard Neo\configuration\ Registry value sets count of months for saving records. For example. If value „removeDataOlderThan-0“ is set on 6, records are saved for 6 months. 9. Support 9.1. Information about the form of support Support of the products of the company SODATSW is in accordance with the Program of SODATSW technical support and maintenance contract primarily using the helpdesk SODATSW spol. s r.o.. Helpdesk SODATSW spol. s r.o. Besides of creating a new ticket for technical support you can find there a lot of interesting advices, tips and procedures for solving your problems. You need to register to use the helpdesk. 9.2. Contact info SODATSW spol. s r.o. Kamenice 771/34 625 00 BRNO Czech Republic DIČ: CZ25323989 Tel: +420 543 236 177 E-mail: [email protected] Web: http://www.areaguard.com Helpdesk URL: http://support.sodatsw.cz E-mail for technical support: [email protected] 9.3. Information about updates Information about updates of the applications is accessible here and also regularly sent to our customers as newsletters. 10. Information about SODATSW spol. s r.o. SODATSW, the developer of AreaGuard Neo, was formed in 1990’s during the early stages of IT Security growth. It was in 1997 that SODATSW was incorporated as a company specializing in data protection. The founders of the company, Martin Hanzal and Tomas Stranyanek, had a vision based on the growing need of protecting confidential information. They brought a focused and innovative approach to developing security technology, with an eye on the long-term: resulting in satisfaction and security for their clients. All employees are experts with extensive experience in the industry, which is shown by the prestigious awards the company has received. SODATSW is also a member of leading international cybernetics associations. © 1997-2016 SODATSW spol. s r. o., all rights reserved. Manuál 1. Informace o dokumentu Název: Manual Soubor: manual_agneo.pdf 1.1. Revize nápovědy Verze Změny Release AreaGuard Neo 1.0. Základní dokument 1.1 1.1. Změna názvu dokumentu na „Nápověda“, popsány nové funkce aplikace přidané v aktuální verzi 1.3 1.2. Popsány nové funkce aplikace přidané v aktuální verzi 1.4 1.3. Popsány nové funkce aplikace přidané v aktuální verzi 1.5 1.4 Popsány nové funkce aplikace přidané v aktuální verzi, přidány nově podporované operační systémy do systémových požadavků 1.6 1.5 Přeloženo do angličtiny, jemná vylepšení 1.7 1.6 Aktualizace síťového šifrování 1.7 1.7 Popsány nové funkce zejména v Systray a Průvodci nastavením (admin) 1.8 1.8 Přidán postup šifrování na file serveru, aktualizovány systémové požadavky 1.9 1.9 Šifrování paměťových médií na základě sériového čísla, možnost zobrazení skutečných oprávnění pro výměnná zařízení 1.11 1.10 Popsány nově přidané internení skupiny v konzoli a také možnost ověřování pomocí hesla při spouštění konzole 1.12 1.11 Přidán popis funkcionality cache paměti. Nová grafická podoba dokumentu. 2.0 1.12 Přidán popis záznamu činnosti v admin.exe do aplikačního event. logu 2.1 Změna tohoto dokumentu je vyhrazena i bez předchozího upozornění. Tištěná kopie tohoto dokumentu nemusí být aktuální verzí. Obsah 1. Informace o dokumentu ................................................................................................................................. 30 1.1. Revize nápovědy..................................................................................................................................... 30 2. Úvod............................................................................................................................................................... 34 2.1. Obecný popis řešení AreaGuard Neo ..................................................................................................... 34 2.2. Klíčové funkce ......................................................................................................................................... 34 3. Technický popis AreaGuard Neo ................................................................................................................... 35 3.1. Schéma produktu AreaGuard Neo.......................................................................................................... 35 4. Systémové požadavky ................................................................................................................................... 36 4.1. Serverová část ........................................................................................................................................ 36 4.2. Administrátorské rozhraní ....................................................................................................................... 36 4.3. Klientská část .......................................................................................................................................... 37 4.4. AreaGuard Neo – Logon ......................................................................................................................... 37 Podpora HW předmětů ............................................................................................................ 37 5. Instalace AreaGuard Neo .............................................................................................................................. 37 5.1. Předinstalační příprava ........................................................................................................................... 37 5.2. Postup instalace serverové části krok za krokem ................................................................................... 39 Kontrola instalačních pravidel .................................................................................................. 39 Licenční číslo .......................................................................................................................... 39 Typ instalace .......................................................................................................................... 39 SQL ....................................................................................................................................... 39 Port ....................................................................................................................................... 40 GPO ....................................................................................................................................... 40 Účty ....................................................................................................................................... 40 Skupiny v Active Directory ....................................................................................................... 41 Souhrn ................................................................................................................................... 41 5.3. Aktualizace serverové části .................................................................................................................... 41 5.4. Setup Report Viewer ............................................................................................................................... 42 5.5. Odinstalace AreaGuard Neo ................................................................................................................... 42 Odinstalace klientů.................................................................................................................. 42 6. Začínáme s AreaGuard Neo .......................................................................................................................... 43 6.1. Technický popis AreaGuard Neo - Server .............................................................................................. 43 6.2. Úvod do AreaGuard Neo - Admin ........................................................................................................... 43 První spuštění AreaGuard Neo - Admin ..................................................................................... 43 Aktivace produktu ................................................................................................................... 44 Období a stavy ....................................................................................................................... 44 Orientace a ovládání v Gui ....................................................................................................... 45 Zapnutí záznamu činnosti administrátora .................................................................................. 46 6.3. AreaGuard Neo - Admin – Průvodci a Nástroje ...................................................................................... 46 Průvodce nastavením .............................................................................................................. 46 Správa verzí ........................................................................................................................... 47 Správa komponent .................................................................................................................. 47 Nouzová obnova nastavení ...................................................................................................... 48 Token manager ...................................................................................................................... 48 Nastavení ovládací konzole ...................................................................................................... 48 Šifrování výměnných zařízení na základě sériového čísla ............................................................ 48 Interní skupiny uživatelů ......................................................................................................... 49 6.4. Záložky .................................................................................................................................................... 49 Správa klientů ........................................................................................................................ 50 Výměnná zařízení .................................................................................................................... 50 Lokální adresáře ..................................................................................................................... 51 Klíče....................................................................................................................................... 52 Sdílená data ........................................................................................................................... 53 7. AreaGuard Neo na klientské stanici .............................................................................................................. 54 7.1. Obecný popis .......................................................................................................................................... 54 7.2. Technický popis klienta ........................................................................................................................... 54 Aktualizace nastavení klienta ................................................................................................... 54 7.3. Způsoby instalace klienta ........................................................................................................................ 55 Instalace pomocí doménové politiky GPO ................................................................................. 55 Ruční instalace ....................................................................................................................... 55 Odinstalace klienta .................................................................................................................. 55 7.4. Systray komponenta ............................................................................................................................... 56 Bezpečnost mých dat .............................................................................................................. 56 Nastavení ............................................................................................................................... 56 Historie akcí ........................................................................................................................... 56 Nouzová obnova nastavení ...................................................................................................... 56 Nástroje ................................................................................................................................. 56 O Programu ............................................................................................................................ 56 7.5. Šifrování výměnných zařízení ................................................................................................................. 57 Šifrování přenosným klíčem ..................................................................................................... 57 Dešifrování přenosným klíčem ................................................................................................. 57 7.6. Recovery událost .................................................................................................................................... 57 7.7. AreaGuard Neo – Logon ......................................................................................................................... 57 7.8. Šifrování na síti ....................................................................................................................................... 58 Průvodce šifrováním souborového serveru ................................................................................ 58 Nastavení v Active Directory .................................................................................................... 58 Instalace AreaGuard Neo na server .......................................................................................... 59 Funkce v praxi ........................................................................................................................ 59 8. Rekonfigurace serveru................................................................................................................................... 59 8.1. Obnova serveru ....................................................................................................................................... 59 8.2. Přesun databáze ..................................................................................................................................... 60 8.3. Konfigurace pro import logů na nelokální SQL server ............................................................................ 64 8.4. Změna hesel servisních účtů .................................................................................................................. 65 Servisní účet ........................................................................................................................... 65 Servisní účet IIS ..................................................................................................................... 66 8.5. Automatické mazání starších záznamů z databáze ReportSet .............................................................. 66 9. Support .......................................................................................................................................................... 67 9.1. Informace o způsobu supportu ............................................................................................................... 67 Helpdesk SODATSW spol. s r.o. ............................................................................................... 67 9.2. Kontaktní údaje ....................................................................................................................................... 67 9.3. Informace o aktualizacích ....................................................................................................................... 67 10. Informace o společnosti SODATSW spol. s r.o. .......................................................................................... 68 2. Úvod 2.1. Obecný popis řešení AreaGuard Neo Kombinuje ochranu dat společně s omezením nežádoucího využívání výměnných médií. Pomocí centrálního managementu lze snadno chránit data na noteboocích, koncových stanicích uživatelů, výměnných zařízeních a síťových discích organizace. V rámci AreaGuard Neo lze využít i možnosti zabezpečení přístupu do operačního systému prostřednictvím dvoufaktorové autentizace (čipové karty, tokeny). Ochrana důvěrných osobních informací je dnes požadována za samozřejmost v mnoha státech po celém světě a její povinnost stanovuje zákon. Centrální správa AreaGuard Neo napomáhá důslednému dodržování bezpečnostních politik organizace. Díky logování a reportingu aktuálního stavu na koncové stanici snižuje riziko bezpečnostního incidentu na minimum. 2.2. Klíčové funkce Centrální správa řešení prostřednictvím administrátorské konzole Snadná distribuce politik a aktualizací Snadná evidence, záloha a přidělování šifrovacích klíčů uživateli Monitoring aktuálního stavu klienta na koncové stanici Správa distribuce jednotlivých klientů a komponent na stanice Snadné nastavení politik pomocí proaktivního logování informací Omezení pohybu dat na výměnných zařízeních pomocí restrikcí Ochrana dat uložených na výměnných zařízeních pomocí symetrické kryptografie Ochrana dat na koncové stanici prostřednictvím symetrické kryptografie Ochrana dat uložených na síti pomocí symetrické kryptografie Použití silného algoritmu AES 256bit Plná podpora Microsoft Active Directory Možnost integrace do stávajícího PKI organizace Možnost využití certifikátů na čipových kartách pro zabezpečení klíčů uživatele Možnost využíti dvoufaktorové autentizace do operačního systému (čipové karty, tokeny) Databáze postavená na efektivním nástroji Microsoft SQL 3. Technický popis AreaGuard Neo Hlavním úkolem AreaGuard Neo je zabezpečení dat uložených na koncových stanicích uživatelů, výměnných zařízeních a síti. Součástí AreaGuard Neo je i možnost využití čipových karet a tokenů v rámci autentizace do operačního systému. Ochrana dat se realizuje prostřednictvím online transparentního šifrování, zajištěném symetrickou kryptografií algoritmu AES 256. Ve standardním nastavení se po instalaci klienta automaticky zašifruje profil uživatele. Klient současně provádí na koncové stanici analýzu dat. Informace jsou centrálně vyhodnocovány. Součástí analýzy jsou informace o typu dat (kancelářské balíky, multimédia, zdrojové kódy atd.), jejich velikosti a stáří. Máte tak všechny informace potřebné k definování bezpečnostní politiky na každé stanici. Protože jsou data šifrována symetrickými klíči, je nutné toto tajemství bezpečně uchovávat. Součástí AreaGuard Neo je tak kompletní správa šifrovacích klíčů, které jsou uloženy v zabezpečené databázi. Věci spojené s výměnou klíčů, jejich zneplatněním a vydáváním jsou maximálně automatizovány. Současně je ovšem možné v případě potřeby veškeré akce provést ručně. Další funkcionalitou je možnost omezení využívání výměnných médií uživatelem. AreaGuard Neo dokáže rozpoznat zařízení, na které je možno uložit data a dovolí správci jej zakázat. Stejným způsobem lze definovat pouze povolená zařízení. Zároveň můžete data na výměnných zařízeních, která jsou používaná pro firemní účely šifrovat. AreaGuard Neo je funkčně rozdělen do 3 částí, které díky vzájemnému propojení tvoří jednotný celek postavený na klient – server architektuře. Aplikace využívá moderních technologií serverových operačních systému od společnosti Microsoft. Ty umožňují snadnou distribuci a ovládání klientů v doménovém prostředí založeném na Active Directory. 3.1. Schéma produktu AreaGuard Neo Ukládání a distribuce politik Sběr a vyhodnocení informací od klientů. Převod dat do databáze. Internet/intranet WebServer Obousměrná komunikace klienta s WebServer Úložiště logovaných informací Databázový server Získání informací o doménových objektech Sestavení AD stromu, vyhodnocení informací, definice politik Příprava reportů pro vyhodnocení v administrátorské konzoli IIS server Klientské stanice Doménový řadič MS Active Directory Administrátorská konzole POZN: Pro účely schématu bylo využito rozdělení rolí na více fyzických serverů. Reálně může jeden server zastávat více rolí. 4. Systémové požadavky 4.1. Serverová část Minimální požadavky – serverová část Počítač a procesor Počítač s procesorem serverové řady 32bit (x86) / 64bit (x64), AMD®, Intel® či 100% kompatibilní nebo rychlejší; doporučen procesor s rychlostí alespoň 1,5 GHz Paměť Minimálně 2 GB RAM (doporučeno 3 GB a více) Pevný disk Minimálně 5 GB volného místa na disku. Doporučeno 10 GB (nezbytné pro instalaci zvolené edice SQL serveru a další systémové součásti). Potřebný prostor je závislý na velikosti databáze a množství logovaných informací. Operační systém 32/64 bitové operační systémy: Windows Server 2008 R2 (SP1), Windows Server 2008 SMB, Windows Server 2012, Windows Server 2012 R2 SQL Server 32/64 bitové edice Microsoft SQL server: Microsoft SQL Server 2005 Express a vyšší edice, Microsoft SQL Server 2008 Express a vyšší edice, Microsoft SQL 2008 R2 a vyšší edice, Microsoft SQL Server 2012 Express a vyšší edice Síť Funkční TCP/IP protokol v organizaci, funkční služba DNS v síti, konexe k databázi AreaGuardNeo, pevná IP adresa, neměnný DNS název serveru. Dostupný server s Active Directory Domain Services (úroveň domény 2003 a novější). Další součásti Windows Installer 3.1 a novější, NET Framework 4.0, přístup k ActiveDirectory + DomainControler (nemusí být na stejném serveru jako AreaGuard Neo server) , IIS 6.0/7.0/7.5 s doplňky ASP.NET 2.0, Windows autentizace v IIS, povolený komunikační port ve Firewall, funkční TCP/IP protokol v organizaci, pro funkční automatické přidání Installeru do GPO vyžaduje GPMC 4.2. Administrátorské rozhraní Minimální požadavky – administrátorská konzole Počítač a procesor Počítač s procesorem Pentium IV nebo rychlejší, 32bit (x86) / 64bit (x64), AMD®, Intel® či 100% kompatibilní; doporučen procesor s rychlostí alespoň 1,5 GHz Paměť 1 GB RAM (doporučeno 2 GB) Pevný disk 250 MB volného místa na disku (doporučeno 500 MB) Operační systém 32/64 bitové operační systémy: Windows Server 2008 R2, Windows Server 2008 SMB, Windows Server 2012, Windows Server 2012 R2, Windows 7 SP1, Windows 8, Windows 8.1, Windows 10 Síť Funkční TCP/IP protokol v organizaci, funkční služba DNS v síti, konexe k databázi AreaGuard Neo Další součásti .NET Framework 4.0, IIS 6.0/7.0/7.5 s doplňky ASP.NET 2.0, autentizace v IIS 6.0 Windows 4.3. Klientská část Minimální požadavky – klient Počítač a procesor Počítač s procesorem Pentium IV nebo rychlejším, 32-bit (x86) / 64-bit (x64), AMD®, Intel® či 100% kompatibilní, doporučen procesor s rychlostí alespoň 1,5 GHz Paměť 512 MB RAM (doporučeno 1GB MB) Pevný disk 250 MB volného místa na disku (doporučeno 500 MB) Operační systém 32/64 bitové operační systémy: Windows 7 SP1, Windows 8, Windows 8.1, Windows 10 Síť TCP/IP protokol, funkční služba DNS v síti, konexe k serverové části AreaGuard Neo Další součásti Windows Installer 3.1 a novější, .NET Framework 2.0 SP2 (pokud je MSI balíček v GPO, instaluje automaticky), pro Windows 8 .NET Framework 4.0, pro Windows 8.1 .NET Framework 4.5, pro Windows 10 .NET Framework 4.6 V případě, že používáte jiný software, který nějakým způsobem ovlivňuje připojování výměnných zařízení, či na ně aplikuje restrikce, musíme vás informovat o tom, že mohou nastat možné konflikty s AreaGuard Neo. Samozřejmě pouze tehdy, pokud edice AreaGuard Neo, kterou vlastníte, disponuje modulem „Výměnná zařízení“. V tomto případě bychom určitě doporučili aplikovat restrikce na výměnná zařízení pouze prostřednictvím AreaGuard Neo. 4.4. AreaGuard Neo – Logon Totožné požadavky jako u klientské části s výjimkou u operačních systémů. AreaGuard Logon lze využít pro 32/64 bitové operační systémy Windows 7 SP1, Windows 8, Windows 8.1 a Windows 10. Podpora HW předmětů AreaGuard Neo – Logon podporuje HW předměty pracující na standardu PKCS #11. Zaručujeme funkčnost s výrobky společnosti SafeNet. Nutná přítomnost middleware HW předmětů (např. SafeNet Authentication Client). 5. Instalace AreaGuard Neo 5.1. Předinstalační příprava Co je potřeba zajistit pro hladkou implementaci na serveru? plně aktualizovaný OS Windows Installer 3.1 a novější .NET Framework 4.0 SQL Server 2005 (Express) a novější funkční doména, AD (s uživateli a stanicemi) IIS s výchozími parametry + doplňky ASP.NET v2.0 a Windows autentizace Co je potřeba zajistit pro hladkou implementaci na klienta? Windows Installer 3.1 a novější .NET Framework 2.0 SP2 a novější (pokud je Installer v GPO, tak se distribuje automaticky) Co je potřeba zajistit pro funkčnost administrátorské konzole? Windows Installer 3.1 a novější .NET Framework 4.0 Pro správnou funkčnost administrátorské konzole je vyžadována funkční IIS s doplňky ASP.NET 2.0, dále musí existovat SQL server a v něm patřičné databáze a účty. Instalátor si sám patřičné databáze a účty vytvoří pod administrátorským účtem během instalace Pokud se v průběhu instalace zjistí, že nemáte dostatečná oprávnění do SQL databáze, budete dotázáni na přístupové údaje do SQL databáze k účtu s dostatečnými oprávněními. Ideální stav: Instalovat jako Domain Admin, který je zároveň sysadmin v SQL (tohoto docílíte instalací SQL serveru až po přidání serveru do domény). Tím předejdete jakýmkoliv potížím při instalaci. V případě, že SQL server bude provozován na jiném serveru než AreaGuard Neo - Server, je nutné mít server, na kterém běží SQL databáze, nastavený takto: 1) Na serveru, kde běží server SQL, je potřeba povolit u služby SQL protokol TCP/IP. 2) Na serveru, kde běží server SQL, je potřeba mít zapnutý SQL Server Browser. 5.2. Postup instalace serverové části krok za krokem Dříve než začnete instalovat AreaGuard Neo - Server, doporučujeme Vám ukončit všechny aplikace. Spusťte instalaci a projděte jednotlivé kroky, které jsou detailněji popsány v následujících kapitolách a podkapitolách. Kontrola instalačních pravidel Zkontroluje všechny předpoklady, které musí být bezpodmínečně splněny. Pokud nějaké nebudou splněny, budete o tom informováni. Po nápravě stavu spusťte test pro znovuověření splnění podmínek. Pokud podmínky nesplníte, průvodce Vás nepustí do další fáze instalace. Licenční číslo Krok přeskočte v případě, že produkt prozatím zkoušíte. Pokud se později rozhodnete produkt koupit, dostanete vlastní licenční číslo, které za běhu do aplikace vložíte. Pokud jste produkt již zakoupili a licenční číslo máte přidělené, vepište ho. Typ instalace 5.2.3.1. Typická instalace Všechny parametry instalace budou standardní a nainstaluje se SQL Server Express. Kromě možnosti instalace na klienty pomocí doménové politiky, nebudete ohledně ničeho tázáni. 5.2.3.2. Vlastní Vlastní typ instalace Vám umožní si veškeré parametry instalace nastavit dle Vašich představ. Důležité kroky a tipy k nim jsou rozepsány v následujících podkapitolách. SQL Máte možnost nechat automaticky instalovat SQL Server Express, který je buď součástí instalační sady, nebo si ho instalátor sám stáhne z internetu. Všechny parametry, instance, účty budou automaticky voleny tak, aby byly kompatibilní s aplikací AreaGuard Neo. Pokud chcete použít Váš již připraveny server SQL, zvolte variantu „Vlastní databázový engine“. Zvolte nebo vepište server, popř. instanci. Otestujte připojení. Aby to bylo možné, je nutné, aby účet, pod kterým AreaGuard Neo nyní instalujete, byl v SQL obsažen alespoň s minimálními právy tj. public. Pokud se v průběhu instalace zjistí, že nemáte dostatečná oprávnění do SQL databáze, budete dotázáni na přístupové údaje do SQL databáze k účtu s dostatečnými oprávněními, tj. sysadmin. Ideální stav: Provádět instalaci jako domain admin, kdy SQL server byl instalován na server až po přidání serveru do domény. V průběhu vlastní instalace, kdy jsou již dostupné soubory na disku, vzniknou na SQL serveru 2 databáze pro IdentityManager, 2 databáze pro ComponentManager a jedna pro ReportSet (logy, vyhodnocování): 1) 2) 3) 4) 5) AreaGuard Neo – CmDb AreaGuard Neo – CmPm AreaGuard Neo – ImDb AreaGuard Neo – ImPm AreaGuard Neo – ReportSet Port Komunikace mezi klienty a serverem probíhá přes určitý port. Instalace standardně nabízí port 23546. Pokud daný server již tento port využívá k jiným účelům, změňte ho. Pro zadaný port se také vytvoří na server automaticky příchozí pravidlo ve firewallu Windows. Pokud používáte v organizaci jiný firewall než integrovaný Windows FW, budete si muset pravidlo vydefinovat a je možné, že i odchozí na klientech. Port pro komunikaci administrátorského GUI s IIS se přidává do příchozích pravidel firewallu opět automaticky. Konkrétně se jedná o port 45682. GPO Pro následnou distribuci na klientské stanice můžete využít doménovou politiku. Zvolte, jaké skupině v doméně se má politika distribuce AreaGuard Neo týkat. Jedná se o klasický skript, který instaluje malý balíček AreaGuard Neo – Installer.msi na stanici, včetně .NET Framework 2.0. Jaké další komponenty se budou na klientské stanice instalovat už si Installer řídí sám v závislosti na politice nastavené a uložené v databázi AreaGuard Neo. Pokud volbu distribuce pomocí GPO nezatrhnete, politika se i tak pokusí vytvořit, ale „Security Filtering“ bude prázdný, čili politika se nebude aplikovat. Potom si tam např. můžete přidat skupinu „AreaGuardNeo_Computers“, jinak bude nutné provést instalaci na jednotlivé klientské stanice ručně nebo jinými individuálními způsoby. Pokud se Vám přidávání politiky skončilo při instalaci chybou, s největší pravděpodobností nemáte na serveru přítomnou GPMC (Group Policy Management Console). Po jejím doinstalavání můžete spustit příkaz přidání politiky instalace AreaGuard Neo znovu podle návodu zde. Účty Aplikace vyžaduje pro svůj správný běh 2, tzv. servisní účty. Pod těmito účty běží služby aplikace a jsou pro ni kritické. Důrazně nedoporučujeme použít účty určené k jiným účelům jako např. doménový admin apod.. Instalace umožňuje servisní účty vytvořit se všemy vyžadovanými vlastnostmi a oprávněními, což doporučujeme drtivé většině administrátorů. Pokud z nějakého důvodu musíte použít účty vlastní, vytvořte nové, určené pouze pro tento účel, a kterým nevyprší hesla. Podrobnější popis servisních účtů následuje. 5.2.7.1. Servisní účet Pod tímto účtem běží na serveru všechny služby AreaGuard Neo. Přistupuje se pod ním tak do databáze. Nezbytné parametry vlastního účtu: Je třeba zadat jméno a heslo k existujícímu doménovému účtu potřebného pro produkt AreaGuardNeo. Uživatelské jméno se zadává způsobem doména\uživatel. Účet je standardně v AD členem skupiny „Domain Users“. Absolutně nevhodné je použít účet určený k jiným účelům! Po kliknutí na tlačítko Další instalátor ověřuje jméno i heslo, a pokud něco nesedí, je o tom uživatel informován a instalátor čeká na zadání korektních údajů. Možnost - Oprávnění čtení property „memberOf“ z AD je nutné pro správné vyčtení umístění a členství objektu ve skupinách, přiřazení správných politik na daný objekt a celkové sestavení stromu v AreaGuard admin konzoli. Pokud se to při instalaci nepodaří, je třeba oprávnění dodatečně nastavit. Všechny parametry v AD, oprávnění, oprávnění pro databáze v SQL serveru apod., se instalátor pokusí přidělit během instalace. Nehraje roli, zdali se jedná o automaticky generovaný nebo váš ručně vytvořený účet. Heslo pro automaticky vytvářený servisní účet je při instalaci generováno náhodně a v dalším kroku instalace se zobrazí. Heslo bude nutné znát při aktualizaci AreaGuard Neo na serveru, proto doporučujeme si heslo bezpečně uložit. 5.2.7.2. Servisní účet IIS Pod tímto účtem běží fond aplikace (application pool) AreaGuardNeo - ReportSet v IIS, přes kterou přistupuje do databáze při dotazování na výsledky, které požaduje administrátorské ovládací rozhraní. Stejný případ jako servisní účet výše popsaný. Nese název „AreaGuardNeo_Iis“. V SQL serveru má, pro správnou funkci, nastaveno „public“ u databáze „AreaGuardNeo – ReportSet“. Heslo pro automaticky vytvářený servisní účet je při instalaci generováno náhodně a v dalším kroku instalace se zobrazí. Heslo bude nutné znát při aktualizaci AreaGuard Neo na serveru, proto doporučujeme si heslo opsat nebo vytisknout a bezpečně uložit. 5.2.7.3. Administrátoři AreaGuard Neo Tato skupina bude oprávněna spustit administrátorskou konzoli, a to i na jiné stanici než je server. Při instalaci bude v AD vytvořena skupina AreaGuardNeo_Admins, která toto oprávnění mít bude, a do které se přidá skupina Domain Admins. Pokud chcete, aby tomu bylo jinak, změňte nyní zde nebo kdykoliv později v AD. Skupiny v Active Directory Výchozí skupiny se týkají výchozích politik, které se aplikují na uživatele nebo počítač po instalaci, např. instalace balíčků, šifrování uživatelského profilu, přidělení šifrovacího klíče a další. V AD budou vytvořeny skupiny AreaGuardNeo_Users, do které bude přidána skupina Domain Users, a AreaGuardNeo_Computers, do které bude přidána skupina Domain Computers. Pokud chcete, aby tomu bylo jinak, změňte nyní zde nebo kdykoliv později v AD v případě uživatelů. V případě počítačů, nejpozději před distribucí aplikace na klienty. Pokud zařazení do skupiny AreaGuardNeo_Computers změníte za běhu, stanicím, které nově nebudou členy, se vynuluje nastavení a tím ztratí spojení se serverem. Souhrn Mimo obecných informací, týkajících se aplikace a její instalace, zde naleznete důležité informace jako: - Cesty k instalačním msi balíčkům pro klienty - Hesla k servisním účtům (nutná k pozdější aktualizaci produktu AreaGuard Neo) - Heslo DRP potřebné k obnově serveru v případě nehody, ztráty, poškození serveru. Celý souhrn se vždy zálohuje jako chráněné XML do dokumentů aktuálního uživatele. Doporučujeme chránit heslem, protože veškerá hesla v souboru obsažená jsou velice citlivá a zneužitelná, i když ne snadno. Dále doporučujeme XML soubor souhrnu dobře zálohovat. Jelikož je souhrn, z důvodu bezpečnosti, uložen v šifrované podobě, musíte k jeho náhledu použít naší speciální aplikaci Setup Report Viewer. 5.3. Aktualizace serverové části Aktualizace serverové části probíhá s využitím kompletní instalace AreaGuard Neo - Server. Spusťte instalační soubor, a pokud je již na serveru předchozí verze produktu AreaGuard Neo instalátor sám spustí aktualizaci produktu. Aktualizace vyžaduje znalost hesel servisních účtů. Tato hesla můžete získat ze souhrnného souboru, který se vytvořil při instalaci AreaGuard Neo. Jedná se o chráněné XML, které naleznete v adresáři s dokumenty uživatele, pod nímž probíhala instalace na server. Jelikož je soubor uložen v šifrované podobě, musíte k jeho náhledu použít naší speciální aplikaci Setup Report Viewer. Tu spustíte pod účtem, pod kterým jste AreaGuard Neo na server nainstalovali. Pokud jste při instalaci zvolili ochranu tohoto souboru heslem, budete jej nyní potřebovat. Pokud jste hesla ztratili nebo zapomněli, postupujte dle pokynů pro změnu hesla. Na konci aktualizace budete dotázáni na restart serveru. Není to nezbytně nutné, ale pro správný chod aplikace bychom to doporučili. Po aktualizaci bude nová verze vidět i ve správě verzí v administrátorské konzoli, kde můžete novou verzi určit k distribuci na konkrétní stanice, skupinu stanic či celou doménu. 5.4. Setup Report Viewer Jednoduchá aplikace sloužící k zobrazení šifrovaného reportu z instalace vašeho AreaGuard Neo serveru. Naleznete jí zde: %programový adresář AreaGuard Neo%\bin\SetupReportViewer.exe. 5.5. Odinstalace AreaGuard Neo Dříve než přikročíme k odinstalaci AreaGuard Neo, je potřeba mít několik věcí na paměti, pro případné budoucí kroky. - Aby všichni klienti měli dešifrovaná data a byli odinstalovaní Byla provedena záloha databází pro případ opětovné instalace Bylo zálohováno heslo DRP nebo soubor DRP Dodáváme, že odinstalace AreaGuard Neo ze serveru neodinstaluje automaticky instalovaný SQL server, vytvořené databáze, a neodebere ani politiku distribuce na klientské stanice, pokud jste jí při instalaci využili. Odinstalace klientů Vyberte tedy ve Správě klientů jednu stanici a zvolte vpravo na panelu Odinstalovat. V detailu logu stanice uvidíte stav odinstalace, popř. průběh dešifrování dat před odinstalací. Ještě podrobnější informace o dešifrování dat naleznete v bublinové nápovědě nad modrým informačním „i“. Pro úplné dešifrování je nutné, aby se přihlásili všichni uživatelé, kteří mají na stanici zašifrovaný profil či jiná data. Uživatelům se může v této fázi stát, že je AreaGuard Neo vyzve k restartování počítače. To v žádném případě není na škodu a celý proces odinstalace to do jisté míry urychlí. Po dešifrování dat se klientské balíčky automaticky odinstalují. Na stanici zůstává pouze AreaGuard Neo – Installer. Po odinstalaci klientských balíčků ze všech stanic, můžete přistoupit k samotné odinstalaci AreaGuard Neo ze serveru. Ukončete konzoli a v menu nabídky Start přejděte na Ovládací panely - Přidat nebo odebrat programy/Programy a funkce – Odebrat AreaGuard Neo - Server. 6. Začínáme s AreaGuard Neo 6.1. Technický popis AreaGuard Neo - Server Primárně vyřizuje požadavky klientských stanic, třídí je a odesílá na ně odpovědi. Pod slovem požadavky si představte např. nastavení, šifrovací klíče apod. Všechny citlivé položky jsou v SQL databázi uloženy v šifrované podobě, čili má k nim přístup pouze servisní účet, který je chráněn heslem. Sekundárně má server na starosti zpracování logů z uživatelských stanic, které poté zobrazuje v administrátorské konzoli. Pro správný chod serveru je třeba, aby běželi následující procesy a služby: 1) 2) 3) 4) 5) 6) 7) LogSubs SubscribePoolService WebServer WebServerHandler_ComponentManager WebServerHandler_DataRepository WebServerHandler_IdentityManager WebServerHandler_UserAgent Navíc v rámci IIS běží webová služba „ReportSet“. Běžící Internetová Informační Služba není nutná pro chod serveru, ale bez ní nebude administrátorská konzole schopna vyhodnocovat výsledky z klientských stanic. 6.2. Úvod do AreaGuard Neo - Admin Jedná se o ovládací aplikaci pro celé řešení AreaGuard Neo. Slouží k vyhodnocování výsledků, třídění dle zadaných kritérií, správu klíčů, nastavení šifrování adresářů, managementu výměnných zařízení, instalaci a deinstalaci na klientských stanicích atd. První spuštění AreaGuard Neo - Admin Zástupce pro spuštění administrátorské konzole naleznete v nabídce „Start“ >AreaGuard Neo. První spuštění může trvat několik minut v závislosti na počtu objektů, košatosti a složitosti Active Directory. Při prvním spuštění totiž probíhá kompletní načtení struktury AD do databáze AreaGuard Neo. Z této databáze se vytvoří navigační strom, se kterým poté pracujete v samotné administrátorské konzole. Verze AreaGuard Neo 2.0 přichází s funkcionalitou před načítání položek z Active Directory do šifrované lokální cache paměti Areaguard Neo. Servisní služba Areaguard Neo přednačítá v pravidelných intervalech objekty ze struktury Active Directory. Interval před načítání je ve výchozím stavu nastaven na 1 hodinu. Délku intervalů lze pomocí administrátorské konzole konfigurovat. Objekty jsou načítány do lokálního šifrovaného souboru, se kterým následně pracují další služby a Administrátorská konzole AreaGuard Neo. Při provedení změny ve struktuře Active Directory (například vytvoření nového uživatele) se tato změna v ovládací konzoli neprojeví okamžitě, nýbrž až po synchronizaci cache paměti se strukturou Active Directory v přednastaveném intervalu. Obnovení struktury Active Directory se neprojeví samovolně, je potřeba konzoli restartovat nebo znovu načíst strom objektů pomocí volby „Přednačtení cache AD“ v záložce „Soubor“. Po načtení informací z Active Directory se zobrazí admin prostředí. Jako první uvidíte tzv. popup okno, ve kterém vidíte stav Vaší licence. Stejné informace uvidíte i v záložce licenční číslo. Do položky licenční číslo se dostanete přes záložku Info. V této záložce máte možnost zakoupit licenci, kontaktovat naši společnost a vložit již zakoupené licenční číslo. Po vložení zakoupeného licenčního čísla je ještě třeba provézt aktivaci. K tomuto kroku budete automaticky vyzváni. O aktivaci se více dozvíte v následující kapitole. Při dalším spuštění vidíte v tzv. Splashscreenu, že se typ licence se změnil ze zkušební na komerční verzi. Dále také vidíte termín vypršení maintenance. Před vypršením maintenance budete s dostatečným předstihem upozorněni k prodloužení. Jestliže se rozhodnete prodloužit maintenance, budete muset zopakovat výše uvedený krok o aktivaci. V případě nezakoupení maintenance Vám zůstává aplikace nadále plně funkční, ale už nemáte nárok na služby technické podpory a na upgrade na novější verze. Aktivace produktu Aktivace Vašeho AreaGuard Neo probíhá dvěma kroky. 6.2.2.1. Krok aktivace č. 1 Buď z admin konzole nebo přímo ve webovém prohlížeči se dostaňte na adresu http://www.areaguard.cz/aktivace. Zde vyplňte formulář dle pokynů a přiložte soubor s žádostí o aktivaci. Formulář odešlete. 6.2.2.2. Samotná aktivace Za několik mále okamžiků od odeslání formuláře Vám, po ověření údajů a nároku na aktivaci, dojde e-mailem aktivační soubor. Ten dle pokynu v admin konzoli použijte k aktivaci. Období a stavy Od aktivace nebo předchozích stavů se také odvíjí různá období nebo stavy, ve kterých se produkt AreaGuard Neo nachází. Období jsou popsána v následující tabulce: Období Interval Stav Omezení Zkušební verze Maximálně 30 dní AreaGuard Neo není aktivován Produkt není žádným způsobem omezen po dobu platnosti licence Zkušební verze Po 30 ti dnech AreaGuard Neo není aktivován Negenerují se nové klíče, klienti obdrží příkaz k odinstalaci Zkušební verze promo Závisí na délce licence AreaGuard Neo není aktivován Produkt není žádným způsobem omezen po dobu platnosti licence Komerční verze Závisí na délce licence AreaGuard Neo je aktivován Produkt není žádným způsobem omezen AreaGuard Neo je aktivován, vypršela však licence Nelze aktualizovat, některé funkce nejsou k dispozici Komerční verze bez prodloužení maintenance Orientace a ovládání v Gui GUI administrátorské konzole obsahuje drtivou většinu familiárních prvků z operačních systémů Microsoft Windows, popř. jejich MMC. Záložkami se přepínáte mezi jednotlivými moduly a zobrazíte si příslušné logové události vztahující se k objektu, který je vybraný v navigačním stromu. Vyhledávácí panel Vám umožňuje vyhledávat objekty a v reálném čase zobrazovat v panelu navigačního stromu. Vyhledávání začíná reagovat od druhého vepsaného znaku. Dole v rozbalovacím seznamu „Hledat v“ si zvolte objekt, jakého typu hledáte, pro usnadnění hledání. Tlačítko u „Vybraného období“ Vám je k dispozici, kdykoliv budete potřebovat vidět logové informace vázající se k určitému období. Standardně jsou zobrazeny logy od nynějška 30 dní zpět. Po pravé části se nachází panel s ovládacími prvky. Akční tlačítka se mění dle vybrané záložky. Panel lze zvětšit nebo zmenšit, dle vašich potřeb. Při přijetí kurzorem nad souhrnné grafy či sumy se zobrazí bublinová nápověda, která Vám vysvětlí, co daný graf nebo suma vyjadřuje. Sumy a koláčové grafy se vztahují k vybranému objektu za vybrané období. Filtry je neovlivňují. Logy, které vidíte, Vám říkají, o jaký typ události se jedná, ze kterého data a času pochází, jaký uživatel na jaké stanici byl přihlášený v okamžiku, kdy událost nastala a popis události. Po rozbalení logu šipkou vlevo, tzv. detail, se dostanete k ještě podrobnějším informacím. Logy lze klasicky filtrovat nebo řadit dle potřeby. Při větším množství logů se začne stránkovat. Počet logů na stránku lze upravit v nastavení. Zobrazené logy lze exportovat do souboru ve formátu PDF. Zapnutí záznamu činnosti administrátora Od verze 2.1 je možné zapnout výpis činnosti administrátora v konzoli admi.exe. prostřednictvím zápisu nové hodnoty do registrového klíče: Zapnutí se provádí HKEY_LOCAL_MACHINE\SOFTWARE\SODATSW\AreaGuard Neo\configuration\trace Zde vytvořte novou hodnotu „adminevent-0“ typu REG_SZ a nastavte na 1. Jednotlivé události jsou následně zaznamenávány do aplikačního event logu počítače. Do event logu jsou zaznamenávány tyto činnosti: ID události Typ události 1001 Spuštění Admin.exe 1002 Ukončení Admin.exe 1101 Vytvoření lokace + cesta 1102 Zrušení lokace + cesta 1201 1202 1203 Odebrání klíče uživateli: uživatel Zkrácení platnosti klíče uživatele: uživatel Předání klíče uživateli: uživatel 6.3. AreaGuard Neo - Admin – Průvodci a Nástroje Průvodce nastavením Zjednodušený průvodce globálního nastavením AreaGuard Neo ve vaší organizaci. 6.3.1.1. Šifrování Vytvořte nebo odeberte nastavení šifrování adresáře výchozí skupině uživatelů AreaGuard Neo. Výchozím nastavení je šifrování uživatelského profilu prostřednictvím osobního klíče. Pro uživatelský profil je používá vlastní proměnná %User-profile%, která je na koncové stanici překládána na %Userprofile%. Důvodem využívání vlastní proměnné je začlenění výjimek na soubory, které není možné v profilu šifrovat. Upozornění: Proměnou %Userprofile% není možné v průvodci použít, došlo by k znepřístupnění uživatelského profilu. Více o nastavení a klíčích viz Lokální adresáře a Sdílená data. 6.3.1.2. Výměnná média Můžete zapnout možnost, kdy na klientských stanicích budou zakázána všechna výměnná zařízení, která nepovolíte. Informace o připojení zakázaného zařízení se k Vám dostane a na jejím základě můžete zařízení dodatečně povolit. Pokud nemáte zájem výměnná zařízení vůbec monitorovat, můžete tuto možnost vypnout. Přestože nebudete výměnná zařízení monitorovat, budou Vám do konzole chodit informace o vložení zakázaného zařízení. Možnost šifrovat všechna výměnná média umožní koncovému uživateli šifrovat soubory ukládané na výměnné zařízení. Výchozí politika je nešifrovat, lze zvolit z 2 možností: umožnit šifrování výměnných zařízení či šifrovat všechna výměnná zařízení. Pokud uživatelům šifrování pouze umožníte, budou moci při vložení výměnného zařízení definovat, zda se mají soubory šifrovat a jakým klíčem. Pokud zvolíte vynucené šifrování a nepovolíte uživatelům měnit typ výchozího šifrování, budou se soubory automaticky šifrovat firemním klíčem. Pohled ze strany uživatele je popsán v kapitole Šifrování výměnných zařízení. 6.3.1.3. Logon Pokud chcete pro přihlašování uživatelů používat komponentu AreaGuard Neo - Logon, zaškrtněte příslušný checkbox + musí být tato komponenta na klientských počítačích nainstalovaná. Jak na to vysvětlí kapitola Správa komponent. Pokud komponentu AreaGuard Neo Logon používáte, můžete potlačit přihlášení pomocí ostatních Credential Providerů (Poskytovatelů přihlášení). Tuto možnost nedoporučujeme, jelikož může dojít k tomu, že se uživatel nebude moci přihlásit. Pokud taková situace nastane, změňte tuto politiku a restartujte problémovou stanici. Komponenta AreaGuard Neo – Logon umožňuje i Nouzovou obnovu nastavení z dlaždice, kdy se bezpečně vytvoří účet lokálního uživatele, který dostane klíče obnovovaného uživatele. 6.3.1.4. Zásady přihlášení Nastavte běžné globální zásady přihlašování pomocí komponenty Logon v kombinaci s HW tokeny. Správa verzí V případě, že úspěšně zaktualizujete AreaGuard Neo server, automaticky Vám přibyde v nástroji „Správa verzí“ nová verze. Tento nástroj Vám umožní naprosto nejjednodušší cestou spravovat verze na klientských stanicích a rozhodovat o jejich aktualizacích. Vlevo vidíte seznam dostupných verzí. Ikona u jednotlivé verze naznačuje, jakým způsobem jste se rozhodli verzi aplikovat nebo neaplikovat. Vybráním jednotlivých verzí si zobrazíte datum, kdy jste AreaGuard Neo server aktualizovali, seznam balíčků, které aktualizace obsahuje, modifikovatelnou poznámku a hlavně aktuální nastavení distribuce aktualizace na klientské stanice. Administrátor má možnost distribuovat aktualizaci např. na jednu testovací stanici, popř. na vzorek testovacích stanic, než aplikuje novou verzi na celou doménu. V případě jakýchkoliv problémů či konfliktů, má možnost danou verzi neaplikovat vůbec. Na serveru je vždy nejnovější verze. Na klientech se mohou verze lišit. Aplikace počítá i s případným downgradem na verzi starší. Správa komponent Správa komponent umožňuje snadnou správu, distribuci a odinstalaci jednotlivých komponent systému AreaGuard Neo v doméně, na vybrané skupiny či stanice. Změny se neaplikují na stanice mimo výchozí skupinu počítačů AreaGuardNeo_Computers. Po uložení nastavení se stanice při nejbližší synchronizaci dozví, že si má stáhnout a nainstalovat balíček. Časový interval je stejný jako u aktualizace nastavení počítače, čili 1x za 4 hodiny. 6.3.3.1. AreaGuard Neo – Admin Instalace ovládacího prostředí na klientskou stanici se provádí při potřebě ovládat AreaGuard Neo mimo server. Přidejte objekt, který reprezentuje stanici nebo skupinu, na kterou chcete administrátorskou konzoli nainstalovat. Připomínáme, že právo spustit administrátorskou konzoli mají pouze uživatelé ze skupiny, jež byla vybrána při instalaci jako administrační. Je možné využít i standardní příkaz „runas“ nebo SHIFT + pravý klik na soubor. 6.3.3.2. AreaGuard Neo – Client Výkonná klientská komponenta zajišťující šifrování, monitoring a restrikce výměnných zařízení. 6.3.3.3. AreaGuard Neo – Logon Komponenta zajišťující přihlašování ke stanicím pomocí HW tokenů a nouzovou obnovu nastavení z dlaždice. Nouzová obnova nastavení Relevantní s nouzovou obnovou nastavení klienta ze systray a dlaždice. Více prakticky nepotřebujete znát, průvodce by Vám měl vše objasnit. Pro jistotu si ve Správě klientů zjistěte, jaká verze klienta je na stanici, kde se o obnovu pokoušíte. Mezi verzemi 1.3 a 1.4 je použita rozdílná technologie. Administrátorská konzole ve verzích 1.4. na to samozřejmě myslí výběrem v průvodci. Token manager V prvé řadě zkontrolujte, zdali splňujete podmínky pro podporu HW předmětů. Token můžete inicializovat, což se rovná vymazat, vynulovat. Posléze mu nastavte jméno a PIN. Zde standardně min. 4 znaky, nekomplexní. Doporučujeme využít možnost „Při prvním použití vynutit změnu PINu. Přidejte na token přihlašovací údaje uživatele tak, že ho vyberete v Active Directory nebo vepíšete dle vzoru. Heslo v Active Directory uživateli můžete zde buď ručně změnit, nebo generovat, takže ho nebude nikdo znát. Pro tuto operaci musíte mít jako uživatel dostatečné oprávnění. Po této operaci je token připraven na to, být předán koncovému uživateli. Uživateli můžete později editovat heslo tlačítkem níže anebo dokonce z tokenu odebrat jeho přihlašovací údaje. Nastavení ovládací konzole Dialog nastavení umožňuje nastavit základní možnosti jako, objekty jakého typu zobrazovat/nezobrazovat v navigačním stromu, po kolika záznamech stránkovat zobrazení, po kolika dnech prohlásit klienta jako neaktivního v záložce „Správa klientů“, jazyk aplikace apod. V části sekundární ověřování je možné nastavit přístupu do ovládací konzole pomocí hesla. Heslo je platné pro všechny uživatele administrátorské konzole. V této záložce je možné definovat četnost datových scanů pro konkrétní objekty. Od verze AreaGuard Neo 2.0 je možné zkrátit nebo prodloužit platnost nově vytvořených klíčů, nastavit šifrování všech výměnných zařízení pro konkrétní objekt, vypnout sledování výměnných zařízení pro konkrétní objekt, povolit mazání dat bez vlastnictví klíče pouze na základě NTFS oprávnění, definovat více IP endpointů (adresy pro komunikaci klienta se serverem) a skrýt expirované klíče. Upozornění: Heslo je nutno si zapamatovat. Není možné jej bez znalosti původního hesla změnit ani se přihlásit. Šifrování výměnných zařízení na základě sériového čísla Průvodce dovoluje nastavit šifrování obsahu ukládaného na konkrétní výměnná paměťová zařízení pro administrátorem zvolený objekt (uživatel, bezpečnostní skupina, organizační jednotka a počítač). Nastavení šifrování daného výměnného zařízení je možno kombinovat se šifrováním všech výměnných zařízení. Nastavení pro toto zařízení má však přednost. Data budou tedy šifrována klíčem, jenž byl pro toto zařízení zvolen. 6.3.7.1. Volba objektu Nastavení je vždy aplikováno konkrétnímu objektu ve vaší Active Directory. V případě že volíte bezpečností nebo organizační skupinu, tak nastavení obdrží všichni její členové. V případě výběru skupiny je nutné, aby daná skupiny obsahala účty typu uživatel nikoliv počítač. 6.3.7.2. Základní nastavení Umožňuje definovat práva uživatele umožňující měnit výchozí nastavení šifrování. Na toto nastavení reaguje SysTray ikona na klientské stanici. Dle nastavení je uživateli dovoleno využití klíče organizace, osobního klíče nebo klíče přenosného. 6.3.7.3. Šifrování zařízení Dialog obsahuje seznam zařízení a jejich nastavení. Zařízení je možno do seznamu vložit třemi způsoby. 4. Detekce vloženého zařízení – umožňuje importovat zařízení vložené do USB portu stanice, na které je spuštěno administrátorské rozhraní. 5. Ruční vložení zařízení – je možno identifikaci zařízení zapsat ručně. Je vyžadováno správné zapsání HWID a SN v opačném případě nebude nastavení funkční. 6. Import zařízení z CSV – pro hromadné vložení zařízení je možno využít importu z CSV. Při importu je vyžadováno zadání sériového čísla a hardware ID. Při vložení výměnného zařízení je automaticky jako klíč zvolen klíč daného objektu. Tedy v případě, kdy je zvolena skupina, je použit klíč skupiny, který je následně vytvořen všem jejím členům. Výjimku tvoří objekt počítače. V tomto případě je vybrán klíč firemní. Důvodem je, že vlastníkem klíče je uživatel nikoliv počítač. Rozšířené nastavení - umožňuje změnit typ klíče pro vybrané zařízení. Interní skupiny uživatelů Interní skupiny jsou určeny pro vytváření separátních bezpečnostních politik v případech, kdy je nežádoucí propojení se skupinami v Microsoft Active Directory. Je možné vytvořit neomezený počet interních skupin, do kterých je možné vkládat uživatelské objekty. Není možné vkládat objekty typu skupiny, organizační jednotka nebo počítač. Upozornění: Vytvořené skupiny nelze mazat. Důvodem je generování unikátního skupinového šifrovacího klíče pro zabezpečení dat. V případě smazaní skupiny by došlo k jeho znepřístupnění. V rámci skupiny je možné uživatele libovolně editovat (vkládat a mazat) Interní skupiny se zobrazují v levém stromu pod hlavní skupinou „AreaGuardNeo_Groups“ v kořenu stromu domény. Se skupinou lze po vytvoření pracovat stejným způsobem jako se skupinami v Microsoft Active Directory. 6.4. Záložky Záložky v administrátorské konzoli představují jednotlivé moduly aplikace. Lze mezi nimi libovolně přepínat, číst informace, které nám poskytují, a provádět případně určité kroky nastavení, ať už vyplývající nebo ne, z logů, které máme k dispozici. Pro úplný začátek si musíte uvědomit, jaké povahy informace, které nám jednotlivé záložky poskytují, jsou. Všechny záznamy, jsou informace z minulosti. Vycházejte z toho, že na klientské stanici dojde k události. Komponenty událost zalogují a pošlou na server. Server logy automaticky převede do SQL databáze. AreaGuard Neo admin nedělá nic jiného, než že se na tyto informace databáze dotazuje a filtruje jejich zobrazení např. podle nastaveného období, kdy k události došlo. K danému zobrazení se vygenerují i grafy a sumy. Jediné aktuální informace jsou viditelné v jednotlivých dialozích nastavení pro jednotlivé moduly. Následuje přehled, popis a „how to…“ k jednotlivým záložkám. Správa klientů Záložka primárně slouží k přehledu o stavu stanic v organizaci. Logy budou mít chybový stav z různých důvodů: 1) Stanice se nepřihlásila více jak nastavený počet dní 2) Na stanici nejsou balíčky v požadovaném stavu (instalované, odinstalované, aktualizované) Pro informace, např. proč je stanice v chybovém stavu, si můžete rozbalit detail každého logu. Podrobnosti obsahují jednoduchou tabulku, ve které je jasně vidět, z jakého důvodu je stanice ve stavu, v jakém se nachází. Z detailu jste schopni vyčíst poslední kontrolu stavu klienta, poslední aktivitu nebo např. verzi jednotlivých balíčků. Akčními tlačítky na ovládacím panelu vpravo můžete, po označení logu, ze stanice klientský balíček libovolně odinstaloval či instalovat. Instalace vyžaduje podmínku nainstalovaného AreaGuard Neo - Installer. Změny, které provedete, se uloží do databáze. V momentě, kdy se klient dotáže serveru na nastavení a dostane odpověď, začne pracovat na změně stavu. Na klientovi odinstalace probíhá následujícím způsobem: Všechny šifrované lokace se začínají postupně dešifrovat. V případě, že se k počítači přihlašovalo více lidí, musí se i oni přihlásit, aby se jim mohla data dešifrovat. Uživatelé totiž mezi sebou osobní šifrovací klíče nesdílí. AreaGuard Neo - Client se neodinstaluje, dokud všechna data nebudou dešifrovaná. V opačném případě by totiž vznikl problém. V detailu logu stanice vidíte stav odinstalace, popř. průběh dešifrování dat před odinstalací. Ještě podrobnější informace o dešifrování dat naleznete v bublinové nápovědě nad modrým informačním „i“. Mezi logy o stavu stanic můžete objevit i logy provozních chyb. Výměnná zařízení Achillova pata organizace – výměnná zařízení. Sledujte jaká výměnná zařízení, která umožňují zápis, uživatelé ve vaší organizaci připojují ke stanicím. Mějte např. přehled o tom, kolik uživatelů jaké zařízení používá a zakažte uživatelům některá nebo všechna zapisovatelná výměnná zařízení. Existují zde 4 typy záznamů (logů): 1) 2) 3) 4) První výskyt zařízení Nedefinované zařízení Povolené zařízení Zakázané zařízení Po označení logu jste schopen zakázat zařízení dle jeho hardware ID nebo sériového čísla. Sériové číslo – SN je unikátní číslo každého zařízení. Některá starší zařízení ho nemusí mít. Stejné HWID mohou sdílet např. celé série USB Flash disků. Toho můžete využít např. při povolování firemních USB Flash disků. Jako administrátor si zjistíte, že 20 „flashek“ má stejné HW ID. Předem, než je rozdáte uživatelům, je tedy všechny povolíte jedním příkazem na celé doméně. Ke každé akci slouží jedno tlačítko vpravo na panelu. Dialogy všech akcí vypadají velice podobně. Podstatné je vybrat cílový objekt. Může to být uživatel, organizační jednotka nebo počítač. Promyslete si důkladně, na jaký objekt chcete, aby se politika vztahovala. Existuje určitý žebříček priorit, se kterým aplikace pracuje. Žebříček priorit: 1. počítač – povoleno (nejvyšší priorita) 2. počítač - zakázáno 3. uživatel - povoleno 4. uživatel – zakázáno (nejnižší priorita) V praxi to znamená např.: Pokud uživateli zakáži používat určité zařízení, ale stanice, na které pracuje má dané zařízení povolené, uživatel bude schopen se zařízením pracovat. Žebříček priorit je sestaven na základě mnohaleté zkušenosti v oboru bezpečnosti v organizacích. Dialog nastavení výměnného zařízení obsahuje dále přehled jednotlivých nastavení na vybraný cílový objekt + tučně nově přidávaný. Poznámku si libovolně modifikujte, např. „Flashka oddělení kontroly kvality“. Nastavení dokončíte tlačítkem „Vytvořit“. Jednotlivá nebo více nastavení si můžete prohlédnout popř. odebrat v dialogu „Zobrazit nastavení“, který se skrývá pod nejspodnějším tlačítkem. Opět vyberte objekt, který vás zajímá. V tabulce se zobrazí všechna jeho nastavení. Můžete jedno nebo více nastavení označit a odebrat. Po ukončení práce stiskněte tlačítko OK. Zvláště vykutálená je však, v dialogu „Zobrazit nastavení“, možnost „Zakázat všechna nedefinovaná USB zařízení“. Jinými slovy, co nebude povoleno, se automaticky na stanici zakáže. K nastavení této politiky se dostanete přes tlačítko „Rozšířené nastavení“. Ve sloupci „Stav“ změňte na „Nastaveno“ a vyberte níže objekt, na který chcete politiku aplikovat a potvrďte. Možnost "Zobrazení skutečného oprávnění" umožňuje zobrazit konečné nastavení restrikcí vztahující se ke konkrétním uživatelům nebo stanicím. Do výběru je možné vložit více uživatelských objektů v rámci téže skupiny nebo organizační jednotky. Pro všechny vybrané objekty bude zobrazeno výsledné nastavení, které se na tento objekt vztahuje a včetně nastavení, která objekt zdědil z nadřazených struktur. Výsledný obsah je možno exportovat od CSV souboru. Jednotlivá nastavení je možno odebrat. Dialog obsahuje detekci kolizí umožňující zkontrolovat správnost nastavení. Klientská stanice si nastavení pro výměnná zařízení stahuje ze serveru každou hodinu s náhodným rozptylem. Při vložení výměnného zařízení, na které lze zapisovat, se událost zaloguje, včetně akce, která událost provázela. Tj. zda bylo zařízení povolené, zakázané nebo nedefinované. Každých pět minut tyto logy putují na server, kde se dále zpracovávají do SQL databáze. Ve chvíli, kdy jsou informace v databázi, je admin konzole schopna tyto logy zobrazit. Lokální adresáře Tato záložka administrátorovi dává přehled o datech na lokálních discích klientských stanic. O stavu zašifrování, zda jsou data používána (data mladší nebo starší než 180 dní) a jestli se nachází v šifrovaných lokacích. Máte možnost nastavovat, jaké adresáře budou na stanicích šifrovány. Standardně se šifruje profil každému doménovému uživateli. Typy logů: 1) 2) 3) 4) Data v lokacích OK Nezašifrovaná data v lokacích Mnoho používaných dat mimo lokace / Používaná data mimo lokace Data mimo lokace v pořádku Všimněte si, že zobrazení logů se liší podle toho, jestli je zobrazujete pro skupinu uživatelů nebo počítačů. Stejně tak pro jednotlivé uživatele a počítače. Je to z důvodu logiky zobrazovaných informací, lepší přehlednost a větší informační hodnotu. Jaké informace se k Vám dostanou a jakým způsobem? Ihned po instalaci klientského balíčku na stanici se provede počáteční scan. Rychlost provedení závisí na velikosti dat, ale v běžném stavu je to v řádech minut. Po provedení se scan automaticky odešle na server, naimportuje do databáze a v této chvíli je možné výsledek zobrazit v admin konzoli. Scan se jinak provádí v náhodný čas jednou denně. Scan prohledává šifrované lokace a kontroluje, zdali jsou soubory zašifrované, či nikoliv. Je logické a v pořádku, že první poinstalační scan vrátí výsledek nezašifrovaných dat v nastavených lokacích. Dále scan prohledává všechny pevné disky, mimo výjimky, jako je systémový adresář apod. Vyhodnocuje stáří dat, respektive jejich poslední použití, počet souborů, jejich velikost, klíč, kterým jsou data zašifrovaná, a podle koncovky roztřiďuje do jednotlivých kategorií, jako kancelářské balíky, multimédia a další a následně do dalších podkategorií jako např. dokumenty či obrázky. Ze získaných dat jste poté v GUI schopni zjistit stav zašifrování dat v lokacích. A množství používaných dat mimo nastavené šifrované lokace + samozřejmě další podrobnosti, které scan poskytuje, v sofistikované tabulce v detailech každého logu, kde můžete vidět jednotlivé adresáře, typy souborů rozdělené do kategorií, jejich velikost a procentuální využití, uživatele, kteří stanici využívají a stav zašifrování dat. Když čísla dosáhnou určité výše, která je všeobecně považována za nebezpečnou, zčervenají. Při označení některé z nelokací v podrobnostech logu typu „Mnoho používaných dat mimo lokace“, popř. označení logu „Používaná data mimo lokace“ v případě vybraného počítače nebo skupiny počítačů, můžete tlačítkem na panelu vpravo vytvořit lokaci. V dialogu bude tatáž lokace předepsaná, můžete jí samozřejmě i přepsat na jinou. Například na obecně používanou v organizaci apod. Je možné, stejně jako u výměnných zařízení, vybrat objekt, ke kterému se bude nastavení vztahovat. Nastavení spolupracuje se systémovými proměnnými, čímž se otvírá spousta možností, jak nastavení globalizovat na celou organizaci apod. Nutno dodat, že pokud mají stanice přesměrovány např. dokumenty a další, AreaGuard Neo s tímto počítá a cíl, kam jsou adresáře přesměrovány, považuje za profil uživatele, z čehož vyplývá, že je adresář automaticky zařazen do šifrovaných lokací. Nastavení, které tedy momentálně provádíte, je vyznačeno tučně. Popis libovolně modifikujte. Důležitý je výběr klíče, kterým adresář bude šifrován. V případě předvoleného výběru „Mnou zvolený klíč“, musíte zvolit uživatele nebo skupinu, jejíž klíčem se bude daný adresář šifrovat. Pouze tento uživatel nebo skupina bude mít data přístupná. Výjimka je pouze tehdy, pokud jeho klíč přidělíte někomu jinému, o čemž se dočtete v následující kapitole. Pokud zvolíte „Osobní klíč“, tak se adresář zašifruje osobním klíčem uživatele, který je k počítači přihlášený nebo se první přihlásí, po získání nastavení. Přihlášení dalších uživatelů již nehraje roli. Data pro ně nebudou přístupná. Poslední možnost je firemní klíč, který má standardně k dispozici každý uživatel AreaGuard Neo ve vaší organizaci. Naopak u logů typu „Data v lokacích OK“ a „Nezašifrovaná data v lokacích“ je možno nastavení adresáře odebrat dalším tlačítkem. V případě, že se Vám zobrazují logy typu „Nezašifrovaná data v lokacích“, není třeba panikařit. Může to být z několika důvodů. 1) Ještě se nestihla zašifrovat všechna data. Velké množství dat může trvat i několik hodin nebo dní. 2) Na stanici se přihlásil uživatel, který nebyl přihlášen dostatečně dlouho, aby se mu data stihla zašifrovat. Od té doby se už nikdy nepřihlásil. Můžete to zkontrolovat v podrobnostech logu. 3) Nastal konflikt při šifrování a v takovém případě se obraťte na technickou podporu produktu AreaGuard Neo. „Zobrazit nastavení“ je dialog přehledu jednotlivých nastavení pro jednotlivé objekty či skupiny. Vyberte si objekt, pro který chcete nastavení zobrazit. Máte možnost nastavení i odebrat. V případě, že potřebujete rychle scan a nemáte čas čekat na náhodný jednou za den, stačí na klientské stanici využít nástroje v systray AreaGuard Neo. Jakmile se scan provede, putuje na server obvyklou cestou. Klíče Šifrování dat není možné bez šifrovacího klíče. Záložka „Klíče“ slouží k přehledu a správě těchto klíčů. Je navržena stejným způsobem jako ostatní moduly, takže i zde se setkáváte s logovanými informacemi. Jednotlivé logy, vyjímaje log „Problém s klíčem“, jsou vlastně klíče. Klíčů máme několik typů: 1) UserPersonalKey – osobní klíč uživatele. Nese název tvaru: %logonname%_Personal_XXX, kde XXX je pořadové číslo klíče jednotlivého uživatele. Každému doménovému uživateli, který se přihlásí ke 2) 3) 4) 5) 6) 7) stanici, na níž běží AreaGuard Neo klient, se vygeneruje osobní klíč. Osobní klíč má standardní platnost 1 rok. Tímto klíče se standardně šifruje uživatelův profil a další nastavení lokace. SettingRecoveryKey – klíč pro obnovu nastavení. Nese název tvaru: %logonname%_SettingRecovery_XXX, kde XXX je pořadové číslo klíče jednotlivého uživatele. Každému doménovému uživateli, který se přihlásí ke stanici, na níž běží AreaGuard Neo klient, se vygeneruje tento klíč, který má standardní platnost 1 rok. Klíč primárně slouží k obnově nastavení AreaGuard Neo na stanicích, které se momentálně nachází mimo organizace, bez možnosti vzdáleného připojení do organizace a její domény. Jeho zobrazování či nikoliv lze nastavit v „Nastavení GUI“. UserRecoveryKey – klíč obnovy. V případě, že něčí osobní klíč přidělíte jinému uživateli, např. při odchodu původního zaměstnance z organizace, přičemž chcete zachovat přístup k jeho datům třeba jeho nástupci, uvidíte u nového zaměstnance/nástupce právě log tohoto typu. Nový vlastník je pak schopen zašifrovaná data původního vlastníka číst a nakládat s nimi, jako by byla jeho. Nebude však tímto klíčem schopen cokoliv zašifrovat. ExpiredKey – klíč, kterému vypršel platnost. Zůstává původnímu majiteli, který je schopen pomocí tohoto klíče dešifrovat původní data. InactiveKey – odebraný/neaktivní klíč uživatele. Klíč, který byl odebrán např. bývalému zaměstnanci nebo zaměstnanci, kterému chcete odepřít možnost práce s jeho daty k jeho datům. V případě, že se někomu podaří přihlásit, ale klíč bude mít neaktivní, nebude schopen s ním cokoliv dešifrovat. Nejedná se o nevratný stav. Firemní klíč – Tento klíč dostává každý uživatel, který je členem výchozí skupiny AreaGuard Neo, automaticky. GroupKey – Skupinový klíč se vygeneruje vždy, když nastavíte šifrovanou lokaci pro určitou skupinu lidí (jako objekt v AD) klíčem CustomObjectKey. Každý z této skupiny ho bude mít k dispozici. K operacím s klíči slouží akční tlačítka na ovládacím panelu vpravo. V následující části se dočtete jejich možnosti. 1) Přiděl klíč jinému uživateli – V případě, že něčí osobní klíč přidělíte jinému uživateli, např. při odchodu zaměstnance z organizace, přičemž chcete zachovat přístup k jeho datům třeba jeho nástupci, provedete tuto akci. Nástupce je pak schopen dešifrovat data původního vlastníka. Nebude však tímto klíčem schopen cokoliv zašifrovat. 2) Odeber klíč uživateli – Předchází stavu z bodu 5) InactiveKey v předchozím odstavci. Jedná se o stálé nebo dočasné znemožnění uživateli práce s daty zašifrovanými jeho klíčem. Do původního stavu se vrátíte funkcí „Vrať klíč uživateli“ 3) Zkrátit platnost klíče – Odkaz na bod č. 4 v předchozím odstavci. Slouží jako další možnost vypršení klíče mimo standardní dobu vypršení klíče. Např. při podezření na kompromitaci klíče, můžete zkrátit platnost klíče. Při dalším přihlášení uživatele se uživateli vygeneruje nový osobní klíč. Data se uživateli mu automaticky přešifrují. 4) Zobrazit nastavení – dialog s aktuálními informacemi o klíčích a jejich nastavení. Lze je zobrazit logicky pouze na jednotlivé uživatele. Důležité mohou být sloupce: Stav, Původní vlastník, Změna vlastníka, Změna stavu. Je dobré vědět, že veškeré nastavení a operace s klíči se u jednotlivých uživatelů projeví až v momentě, kdy se uživatel přihlásí do systému. Sdílená data Tato záložka již není od verze 1.7 dostupná. Změnil se způsob šifrování sdílených dat na síti. Více v kapitole Šifrování na síti. 7. AreaGuard Neo na klientské stanici 7.1. Obecný popis Poskytuje efektivní způsob ochrany dat pomocí AES256 Ochrana souborů uživatele prostřednictvím šifrování file-systému Online transparentní šifrování souborů na koncové stanici Online transparentní šifrování souborů na síti Online transparentní šifrování souborů na výměnných zařízeních Minimální požadavky na znalosti uživatele Sledování využívání výměnných zařízení v organizaci Omezení využívání výměnných zařízení v organizaci Možnost využití AreaGuard Logon pro dvoufaktorovou autentizaci do operačního systému 7.2. Technický popis klienta Pomocí distribuce prostřednictvím doménové politiky je na koncových stanicích nainstalován klient, který komunikuje se serverovou částí aplikace. Tento klient dle nastavení doinstaluje požadované moduly a verze AreaGuard Neo. V průběhu instalace je aplikováno výchozí nastavení zabezpečení dat na koncové stanici. Defaultně je chráněn uživatelský profil. Akce prováděné klientem jsou řízeny jednotlivými plánovači. Události na stanici se logují do souboru typu XML. Veškeré zaznamenané informace jsou tak postupně serverem zpracovávány a prezentovány obsluze. Server kontroluje integritu logových souborů z důvodu modifikace či poškození útočníkem. Klient komunikuje přes internetovou/intranetovou sít se službou WebServer, která předává informace dalším komponentám. Zpětně od této služby přijímá informace. Pro správné fungovaní na klientské stanici je třeba, aby běžely všechny služby a procesy. V případě jakýchkoliv problémů nebo podezření na funkčnost AreaGuard Neo na koncových stanicích, zkontrolujte, zdali všechny tyto služby a procesy běží. Jsou to následující: 6) 7) 8) 9) 10) DataSafe_DriverResponder LogSubs SubscribePoolService SysTray UserServer Po instalaci klientské části na stanici je možné pozorovat určité zpomalení počítače z důvodu šifrování stávajících dat. Po kompletním zašifrování stávajících dat by již zpomalení nemělo být patrné. Aktualizace nastavení klienta Nastavení klientů se v určitých intervalech aktualizuje. Nastavení si počítač také stahuje při startu. Uživatelské nastavení se stahuje po jeho přihlášení. I dotazy na aktualizace či balíčky mají svůj časovač. Následuje tabulka jednotlivých nastavení a jejich časových intervalů: Akce Aktualizace, balíčky (client, admin) Nastavení výměnných médií Nastavení lokálních adresářů Nastavení klíčů Hlášení klienta o stavu do záložky „Správa klientů“ Interval 4 hod. nebo restart počítače 1 hod. nebo restart počítače 1 hod. nebo restart počítače Po přihlášení daného uživatele 4 hod. nebo restart počítače V případě nutnosti lze nastavení stanice aktualizovat pomocí nástroje v systray AreaGuard Neo. 7.3. Způsoby instalace klienta Instalace pomocí doménové politiky GPO Pokud administrátor při instalaci serveru AreaGuard využije možnosti instalaci AreaGuardNeo - Installer na stanice pomocí doménové politiky, dosáhne tak stavu, kdy všechny PC v doméně se dokáží spojit s AreaGuard Neo serveru. Automaticky si stáhnou a nainstalují AreaGuardNeo - Client. Politika se při instalaci vytváří přímo do kořene domény, zvlášť pro 32 a 64bitové operační systémy (rozlišení probíhá automaticky). Důležitý je „Security Filtering“, kterým se určuje, na kterou skupinu se politika aplikuje. Doporučujeme standardně použít „AreaGuardNeo_Computers“, který se vytváří při instalaci, a do které si vložíte počítače, které chcete mít chráněny šifrováním. Pokud se Vám politika nevytvořila při instalaci, můžete si totožnou dodatečně vytvořit příkazem. Návod naleznete zde. Ruční instalace Zkopírujte instalační balíček pro danou platformu (x86/x64) na klientskou stanici. Umístění instalačního balíčku již znáte z konce instalace serverové části, kde byla možnost zobrazit umístění Installeru na serveru. Aktuální AreaGuard Neo – Installer.msi balíčky naleznete standardně v cestě: c:\Program Files\AreaGuard Neo\Server\db\Msi\. Spusťte msi instalační balíček a proklikejte se průvodcem. Po skončení instalace je hotovo. Instalace AreaGuard Neo - Client probíhá již automaticky. Instalaci bez průvodce lze provést i následujícím příkazem: Msiexec AreaGuard Neo_Installer.msi /quiet Odinstalace klienta Jediná možnost odinstalace klienta je z administrátorské konzole. Důvody a postupy naleznete v příslušné kapitole „Správa klientů“. 7.4. Systray komponenta Je to jediná část viditelná koncovým uživatelem na jeho stanici. Její barva naznačuje stav AreaGuard Neo na stanici. Bílo-červená = OK. Šedá se žlutým vykřičníkem = Něco není v pořádku. Po kliknutí pravým tlačítkem na systray ikonu se rozbalí několik možností: Bezpečnost mých dat Seznam aktuálně nastavených adresářů určených k zašifrování. Ke každému adresáři je přiřazen i klíč, kterým je adresář zašifrovaný. Uživatel má možnost spustit scan, aby se ujistil, v jakém stavu je zabezpečení jeho dat. Scan prohledává pouze adresáře šifrované klíči, které má k dispozici. Jinými slovy prohledává adresáře ze seznamu v horní části okna. Nastavení 7.4.2.1. Jazyk Vyberte jazyk, jakým bude AreaGuard Neo s uživatelem komunikovat. Historie akcí Zde se logují důležité akce: 1) Uzamčení/odemčení stanice 2) Vložení zakázaného zařízení 3) Odepřen přístup k souboru (uživatel nemá k dispozici správný šifrovací klíč) Opět z důvodu řešení problémů zde existuje možnost celý seznam kompletně exportovat do CSV souboru. Nouzová obnova nastavení Tato volba spustí průvodce „Nouzová obnova nastavení“. Umožní přihlášenému uživateli obnovit přístup k šifrovaným datům. V následujících dialozích vyberete klíč obnovy a budete požádání o výměnu bezpečnostní fráze s administrátorem, která zajistí zpřístupnění tohoto klíče. Po získání tohoto klíče se uživateli obnoví šifrovací klíče z lokálního zabezpečeného úložiště. Nástroje 7.4.5.1. Znovu načíst klíče Znovu načte klíče, v případě, že o ně uživatel přišel nebo nastal jiný problém. 7.4.5.2. Vyžádat nastavení Vyžádá ze serveru kompletně aktuální nastavení uživatele i počítače. 7.4.5.3. Provést scan lokací Provede ihned scan, který odejde na server a je možné ho vyhodnotit v administrátorské konzoli jako datový audit. 7.4.5.4. Provést podrobný scan lokací Vypíše do logového souboru, které soubory jsou v nevyžádaném stavu- např. nezašifrované v lokacích, nebo zašifrovány mimo lokace apod. O Programu Zde naleznete verzi AreaGuard Neo a informaci o jeho stavu. Pod tlačítkem „Verze podrobněji…“ se skrývá podrobný seznam komponent a jejich verzí, který lze exportovat do CSV souboru. Tuto možnost často využijete při řešení problémů s technickou podporou. 7.5. Šifrování výměnných zařízení Vyžaduje povolenou globální politiku šifrování výměnných médií. Po připojení výměnného zařízení do počítače vyjede informační panel ze systray, který Vás informuje o tom, zda nově zapsaná data budou na výměnném zařízení šifrována. Dole na panelu můžete kliknout na nastavení a vybrat, zdali zařízení bude nebo nebude šifrováno a jakým klíčem. K dispozici máte firemní, osobní a přenosný klíč. Data na zařízení přítomna z dřívějška nebudou šifrována. Pokud na informační panel nebudete reagovat, zůstává v platnosti výchozí nastavení – buď nešifrovat neb šifrování firemním klíčem. Data šifrovaná firemní nebo osobním klíčem jsou dostupná na základě klíčů, které vlastní uživatel, který se data pokouší dešifrovat. Šifrování přenosným klíčem V případech, kdy potřebujete bezpečně přenést data na výměnném zařízení mimo organizaci, je vhodné použít tzv. přenosný klíč. Data zašifrovaná tímto klíčem jsou přístupná díky heslu, kterým je klíč zašifrovaný. Pokud na výměnném zařízení není dosud žádný klíč, který byste mohli nebo chtěli použít, vytvořte nový pomocí průvodce. Jakmile vyberete nebo vytvoříte klíč, nové soubory na výměnném zařízení budou již šifrovány. Při vkládání souborů vyskočí informační dialog, který Vám zároveň umožní po skončení přesunu souborů zařízení vyjmout. Po vyjmutí média se zobrazí souhrn šifrovaných souborů. Dešifrování přenosným klíčem 7.5.2.1. Na počítači s AreaGuard Neo – Client Po připojení zařízení je vždy v systray AreaGuard Neo pod pravým tlačítkem myši možnost „Přístup k šifrovaným souborům“ a „Správa přenosných klíčů“. První je průvodce zadání hesla k šifrovacímu klíči, který dále umožní k šifrovaným souborům neomezeně přistupovat. Podobný průvodce se Vám nabídne v případě nějaké interakce se šifrovaným souborem, tentokrát z informačního panelu systray AreaGuard Neo. Správa přenosných klíčů slouží, jak již název napovídá, ke správě klíčů. Jsou dostupné informace, jaké soubory jsou klíčem zašifrovány nebo se dají klíče smazat. 7.5.2.2. Na počítači bez AreaGuard Neo – Client Na počítači bez aplikace AreaGuard Neo je chování nepatrně odlišné. Na výměnném zařízení naleznete soubor „AreaGuardNeo _Portable.exe“, který spustíte, a dále Vás průvodce provede dešifrovacím procesem. Dostupná je opět i „Správa přenosných klíčů“. 7.6. Recovery událost Slouží pro vytvoření účtu obnovy, který má pak k dispozici klíč uživatele, jež o nastavení dočasně přišel a nemá možnost spojení se serverem. Je dostupná formou dlaždice na přihlašovací obrazovce Windows Vista a výše a musí být zapnuta globální podpora této formy obnovení. Pro úspěšné provedení recovery události je potřeba být v kontaktu s administrátorem, který si s uživatelem pomocí průvodce vymění šifrovací fráze k obnově nastavení. Poté se na stanici vytvoří účet lokálního administrátora, který bude mít k dispozici šifrovací klíče obnovovaného uživatele. 7.7. AreaGuard Neo – Logon Mimo správy HW tokenů z konzole, lze HW tokeny spravovat i lokálně. Znovu připomínáme minimální požadavky na provoz AreaGuard Neo – Logon na klientských stanicích. Rozhraní umožňující správu HW předmětů je standardně dostupné z nabídky start. Rozhraní a jeho ovládání je prakticky totožné s Token managerem, na rozdíl od něj se však zde na tokeny vztahují globální politiky vydefinované v Zásadách přihlášení, jako např. délka a komplexita PINu. Heslo zadávejte vždy aktuální, z tohoto dialogu nejste schopni změnit heslo v AD. Pro změnu hesla použijte funkci Windows (CTRL+ALT+DEL >> Změnit heslo…). 7.8. Šifrování na síti Od verze AreaGuard Neo 1.7 jsme změnili způsob šifrování sdílených dat. Nyní se provádí ze strany serveru. Data nyní budou dostupná i z jiných zařízení a hlavně ze zařízení bez klienta AreaGuard Neo. Data přitom zůstávají stále zabezpečena. Průvodce šifrováním souborového serveru Od verze 1.9 je navíc v administrátorské konzoli průvodce, který Vás provede jeho kompletním nastavením v několika málo krocích. Vyberete z Active Directory konkrétní server a dále nastavíte, zdali chcete ignorovat uživatelské lokace, což jsou prakticky všechny ostatní lokace, mimo lokálních na serveru, jako uživatelské profily apod. Doporučujeme tuto volbu zapnout, jinak se Vám budou zbytečně šifrovat profily všech uživatelů, kteří se k šifrovaným lokacím na serveru v budoucnu přistoupí. Výchozí hodnota pro udržování klíčů v paměti je zároveň doporučená. Je to doba, po kterou si má server ponechat klíče uživatele, který přistoupil do šifrované lokace, v paměti. Urychlí to tak příští přístup k šifrované lokaci ten samý pracovní den. V dalším kroku se nastavují konkrétní šifrované lokace na souborovém serveru. Způsob je stejný, jako běžné nastavení lokací. Zde se nastavuje konkrétně na tento server. Můžete využívat proměnnou jako %username%, v takovém případě zvolte Osobní klíč. Lze využít taktéž skupinové nebo firemní klíče. Struktura a logika je na Vás. Nastavení v Active Directory V Active Directory je třeba pro správnou funkci nastavit „Důvěru pro delegaci služeb“ (pouze ověřování Kerberos). Spusťte MMC konzoli pro „Active Directory Users and Computers“. Zvolte Vámi určený file server, na kterém chcete provozovat šifrování sdílených dat a zobrazte „Vlastnosti“. Přejděte do záložky „Delegace“ a vyberte druhou možnost, viz obrázek. File server určitě zařaďte do skupiny AreaGuardNeo_Computer, jinak se Vám na něj aplikaci vůbec nepodaří nainstalovat. Server po úpravách restartujte. Instalace AreaGuard Neo na server Na serveru AreaGuard Neo naleznete speciální MSI pro instalaci na server a to v cestě c:\Program Files\AreaGuard Neo\Server\db\msi\... s názvem AreaGuardNeo_Installer_server.msi. Ten vezměte a nainstalujte na Vámi vybraný file server. !!! Nikdy neinstalujte na Domain Controller nebo server AreaGuard Neo !!! Na vyžádání aplikace server restartujte. Funkce v praxi Vyzkoušejte přistoupit k šifrovaným sdíleným lokacím pod nějakým pověřeným uživatelem. Při prvotním přístupu uživatele na sdílenou složku na file serveru může trvat cca minutu, než dojde k vytvoření profilu uživatele a zpřístupnění klíčů. Další budoucí přístupy stejného uživatele už budou otázky vteřin. 8. Rekonfigurace serveru Díky velice přísnému zabezpečení celé aplikace, není možné reinstalovat serverovou část, aniž byste aplikaci odinstalovali nejdříve z klientských stanic. Pokud byste tak neučinili, klienti s novou instalací AreaGuard Neo na serveru nebudou schopni komunikovat. V případě, že z určitých technických důvodů potřebujete nějak rekonfigurovat AreaGuard Neo serveru, v následujících kapitolách naleznete postupy, jak to bezpečně provést. 8.1. Obnova serveru V případě, že z nějakého důvodu přijdete o Váš server s AreaGuard Neo, existuje samozřejmě možnost server obnovit. Jelikož všechno, ať už je to nastavení, klíče apod., je v SQL databázi, doporučujeme, abyste vaši SQL databázi pravidelně zálohovali jinam! Pro zdárnou obnovu serveru je také nutné mít k dispozici heslo DRP z instalace (starší než verze 1.4) nebo XML souhrnu (verze 1.4 a novější). Držte se prosím následujících kroků pro úspěšnou obnovu AreaGuard Neo server: 1) Odpojte server od sítě nebo mu jinak znemožněte, aby s ním nebyly schopny klientské stanice komunikovat během procesu obnovy. 2) Nainstalujte AreaGuard Neo na server. 3) Aktivujte AreaGuard Neo. 4) Vypněte všechny služby AreaGuard Neo na serveru. Jsou to: a) LogSubs b) SubscribePoolService c) WebServer d) WebServerHandler_ComponentManager e) WebServerHandler_DataRepository f) WebServerHandler_IdentityManager g) WebServerHandler_UserAgent 5) VYTVOŘENÉ SQL DATABÁZE NEMAZAT!!! 6) Obnovte do nich jednotlivé databázi. 7) Spusťte aplikaci pro obnovu serveru c:\Program Files\AreaGuard Neo\Server\bin\ShellLayer_Cryptography_ConfigRecovery.exe jako servisní účet AreaGuard Neo (AreaGuard Neo_Service) 8) Dle způsobu zvolené ochrany DRP při instalaci vyplňte heslo ručně nebo zadejte cestu k souboru DRP (do verze 1.3 včetně) nebo k Setup reportu. (Od verze 2.0 je zde možnost obnovy DRP souboru v případě ztráty) 9) Spusťte znovu všechny služby AreaGuard Neo na serveru. 10) Připojte server k síti. 8.2. Přesun databáze Začněte tím, že zastavíte všechny služby AreaGuard Neo na serveru. V SQL management studiu si vytvořte zálohu všech pěti databází AreaGuard Neo. Jsou to následující: 1) 2) 3) 4) 5) AreaGuard Neo – CmDb AreaGuard Neo – CmPm AreaGuard Neo – ImDb AreaGuard Neo – ImPm AreaGuard Neo – ReportSet Připojení do nové databáze. Vyberte cestu k databázi. Pro konečné připojení je vždy třeba vybrat název databáze, viz obrázek Nyní je třeba překonfigurovat spojení k databázi. Níže uvedené konfigurační XML soubory přepište a podepište dle návodu. C:\Program Files\AreaGuard Neo\Server\db\conf\NASF_WebServerHandler_ComponentManager\ NASF_WebServerHandler_ShellLayer_ProviderServer_CM-local.xml V tomto souboru změníme text uvnitř elementu <Connection> Server=připojení k vzdálenému SQL serveru a instanci C:\Program Files\AreaGuard Neo\Server\db\conf\NASF_WebServerHandler_IdentityManager\ NASF_WebServerHandler_ShellLayer_ProviderServer_IM-local.xml V tomto souboru změníme text uvnitř elementu <Connection> Server=připojení k vzdálenému SQL serveru a instanci Po změně těchto konfiguračních XML je třeba je ještě podepsat, aby byla ověřena integrita. Podepisovač (ConfigurationPool_Integrity.exe) spouštět pod servisním účtem AreaGuard Neo_Service ConfigurationPool_Integrity.exe -i input.xml -o output.xml -h -r PROVIDER_SERVER V souboru: C:\Program Files\AreaGuard Neo\Server\db\conf\NASF_WebService_ReportSet\Directory\web.config Najděte „connectionString“ a v parametru „Server“ změňte cestu k SQL server. V registru: HKEY_LOCAL_MACHINE\SOFTWARE\SODATSW\AreaGuard Neo\local\installer Změňte položku „P_CONN_STRING-0“ tak, že upravíte cestu k SQL serveru. Zprovoznit konektivitu do vzdáleného SQL serveru a na jeho instanci - Firewall vypnout (nebo povolit port) Povolit protokol pro SQLEXPRESS (TCP/IP) Spustit SQL Server Browser Po těchto krocích je nutné restartovat SQL Celý přesun dokončete krokem modifikace cesty k databázi pro import dat do ní v následující kapitole. 8.3. Konfigurace pro import logů na nelokální SQL server Na server, kde je nainstalován AreaGuard Neo server, nainstalujte Microsoft SQL Server NativeClient 10 (tento klient je zpětně kompatibilní i se starším SQL Serverem). Upravte soubor: Program Files\AreaGuard Neo\Server\db\conf\NASF_WebService_ReportSet\NASF_Import.Auto_Batchlocal.xml V tomto souboru změníme text uvnitř elementu <SqlConnectionString> Server=připojení k vzdálenému SQL serveru a instanci Provider=SQLNCLI10 DataTypeCompatibility=80 MARS Connection=True V elementu <ImportType> změňte na XML (velká písmena nutná) Vše pro jistotu v následujícím obrázku: Od verze AreaGuard Neo 1.6.1612.0 přidávejte do XML k měněným elementům atribut: doNotUpdate=“1“ jako je zeleně vyznačeno v obrázku, jinak Vám aktualizace AreaGuard Neo přepíše hodnoty na výchozí. Důležité je zachovat parametry u SqlConnectionString a ImportType, výjmečně i PrimaryWorkStationID. 8.4. Změna hesel servisních účtů Servisní účet Jakákoliv změna hesla u servisního účtu vyžaduje změnu hesla nejen v AD, ale zároveň nesmíte zapomenout ho změnit u všech služeb, které pod tímto účtem běží. Doporučujeme před celým procesem dočasně zastavit všechny služby, kterých se bude změna týkat, po změně znovu spusťte. Jedná se o následující služby: AreaGuard Neo – WebServer AreaGuard Neo – WebServerHandler_ComponentManager AreaGuard Neo – WebServerHandler_DataRepository AreaGuard Neo – WebServerHandler_IdentityManager AreaGuard Neo – WebServerHandler_UserAgent Servisní účet IIS V případě změny hesla servisního účtu IIS, postačí změnit heslo za nové pouze v IIS Manageru. Konkrétně u Application Pool AreaGuardNeo – ReportSetAppPool. 8.5. Automatické mazání starších záznamů z databáze ReportSet Od verze 2.1 je možné provádět automatické mazání starších záznamů z databáze AreaGuard Neo – ReportSet. Udržováním konkrétní historie dat lze snížit nároky na hardware SQL serveru. Nastavení délky historie se provdání prostřednictvím registrové hodnoty removeDataOlderThan-0 (typ REG_SZ) na serveru AreaGuard Neo v registrovém klíči: HKEY_LOCAL_MACHINE\SOFTWARE\SODATSW\AreaGuard Neo\configuration\ Nastavená hodnota znamená dobu v měsících, za kterou jsou záznamy udržovány. Př. V případě nastavení hodnoty na 6, budou uchovávána data za posledních 6 měsíců. 9. Support 9.1. Informace o způsobu supportu Podpora produktů společnosti SODATSW probíhá v souladu s platnými podmínkami Programu technické podpory SODATSW, maintenanční smlouvou a to především cestou helpdesku SODATSW. Helpdesk SODATSW spol. s r.o. Mimo založení nového ticketu pro technickou podporu, naleznete v helpdesku spoustu zajímavých rad, návodů a postupů při řešení problémů. Do fóra helpdesku vstoupíte tímto odkazem. Naleznete tady spoustu užitečných informací. Pro zobrazení příspěvků je nutná registrace, kterou provedete pod tímto odkazem. 9.2. Kontaktní údaje Sídlo společnosti: SODATSW spol. s.r.o. Kamenice 771/34 625 00 Brno IČ: 253 23 989 DIČ: CZ25323989 Telefon: 543 236 177 E-mail: [email protected] Do klientské zóny je možné se přihlásit na adrese: http://support.sodatsw.cz E-mail technické podpory: [email protected] 9.3. Informace o aktualizacích Informace o aktualizacích jsou zveřejňovány ve fóru helpdesku v části „Aktualizace produktů SODATSW“ a také jsou zákazníkům zasílány formou pravidelných newsletter. 10. Informace o společnosti SODATSW spol. s r.o. Společnost SODATSW spol. s r.o. je výrobcem a dodavatelem originálních řešení určených pro správu a bezpečnost pracovních stanic v sítích bankovního a komerčního sektoru, státní správy, školství a v neposlední řadě i domácích uživatelů. Cílem společnosti SODATSW je poskytovat svým zákazníkům komplexní služby a řešení, které jsou špičkou ve svém oboru a přinášejí zákazníkům konkurenční výhody v jejich podnikání. Dbáno je také na důvěru a spokojenost zákazníků, které jsou založené na dlouhodobých vztazích, vstřícném přístupu a vysoké kvalitě poskytovaných služeb a řešení. Společnost SODATSW je již mnoho let aktivní v rámci partnerského program Microsoft v oblasti ISV Software solutions. Také produkty společnosti prošly mnoha certifikacemi a ověřením kvality a kompatibility s operačními systémy Windows. SODATSW spol. s r.o., Kamenice 771/34, 625 00 Brno, Tel.: +420 543 236 177 email: [email protected] www.sodat.com © 1997-2016 SODATSW spol. s r. o., všechna práva vyhrazena. Veškerá, i neoznačená obchodní jména, obchodní známky a registrované obchodní značky/známky jsou známkami příslušných vlastníků.
Podobné dokumenty
AG Neo manual 2.0
have all the data for the definition of security policy per each station.
It is important to keep all the secrets safe as the data are encrypted by the symmetric key. AreaGuard Neo
includes encrypt...
Nápovědu - AreaGuard Neo
databázi AreaGuardNeo, pevná IP adresa, neměnný DNS název serveru.
Dostupný server s Active Directory Domain Services (úroveň domény 2003 a
novější).
OptimAccess Příručka administrátora
6.2.2. Nastavení vzdálené instalace ........................................................................................... 18
6.2.3. Provedení vzdálené instalace .................................
Recovery událost_nastavení_postup_AG_user
token for the first time. After sucessful distribution next ones are
blocked by adding key under HKCU\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\BlockManualDistribution=1
so this kind of distrib...
