sgn6.01在win2008安装配置手册

SafeguardEnperprise功能说 SafeGuardEnterprise系统架 系统需求说 上线前准备工 安装IIS服务 安装 数据库安 用安装程序自带的数据库文 安装Management 安装IIS服务 安装 安装SGN服务 安装SafeGuardEnterpriseserverconfiguration 验证SafeGuardEnterpriseserver配 SGN存放位 安装IIS服务 安装 安装MC服务 配置SafeGuardManagementCenter向 登录 导入ActiveDirectory到SafeGuard 导入 生成SGNserverconfiguration 安装SGNserverconfiguration 验证SafeGuardEnterpriseserver配 配置SQL用 配置数据库服务 配置SGN02系统文件权 配置 S应用 生成SGNserverconfiguration 安装SGNserverconfiguration 验证SafeGuardEnterpriseserver配 安装SGN 验证安装SGN 生成并安装SGNServerConfiguration 再次验证WebHelpDesk是否安装成 验证WebHelpDesk用户是否可以登 Client-32bit安 准备安 安装 安装 用命令行安装 安装完后重启机器并初始化用 Win7-64bit下的安 WindowsVista和Windows7实现单点登 客户机常见命令和配置查 客户端计算机改名的影 配置说 同步 基本策略配 通用配置设 认证配置设 机器配置设 磁盘加密策略设 分配基本策 加载磁盘加密策 自建工作组及策略分 配置策略 策略组的配 自定义POA界 用户自定POA信 LocalSelfHelp设 Challenge/Response配 外部介质启动的配 设置登录次数及锁 取消POA开机画 设置客户端连接服务器的时 取消windows下SGN小图标及删除...................................................从休眠状态恢复是不要设置策 防止客户端卸 UsersandComputers配 查看Computers分配的策 查看能登录Computers的用 查看Users的..............................................................................................SecurityOfficer配 创建MasterSecurity 用新建的MSO账号登 重置账号的PrivateKey.............................................................................配置SGNWeb 如何导出VirtualClients的 日志导出的方 数据库系统备 SafeguardEnterprise服务器备 SafeGuardMC()恢 已损坏数据库配置的恢 恢复备份的数据库系 用LocalSelfHelp实现登录恢 用Challenge/Response恢 可管理客户端恢 用VirtualClients对客户端进行恢 系统恢 Windows系统无法启动的数据恢 Windows和POA6.0系统无法启动的数据恢 Windows和POA5.6系统无法启动的数据恢 挂载从盘的数据恢 物理磁盘损坏的数据恢 有备份MBR的修 没有备份MBR的修 ..........f.............. 反安装未成功安装SafeguardEnerprise客户端........................................客户机账号与 设置让Owner外的用户登录 设置在AD域下让Owner外的用户登录 设置POA用户跟Windows分别登 设置临时改变POA及同 先改POA用户再与AD用户同 先改AD用户再与POA用户同 用POAuser登录客户 重置POAuser的本地..........................................................................ServiceAccountUser与POAuser的区 serviceaccountlists有什么用,如何配 错 5002错 参考与术 参考......................................................................................................术 USB外设加 外设加密的日志信 SafeGuardSafeguardEnperprise本次安装数据库服务器、SafeGuardManagementServer(SGN)、ManagementConsole（MC）集中系统需求平台平台支x86x86IA-64(Itanium)SafeGuardEnterprise-e客户WindowsWindowsVista3001WindowsXPSafeGuardEnterprise-anenosoleWindowsWindowsVista11WindowsXPWindowsServer2008WindowsServer2008R2Windows指WindowsServer2003SafeGuardEnterprise-MaeetServerWindowsServerWindows服务.0指WindowsServerSQLServer2005SP4,2008SP2andSP3,2008R2SP1，SQLServerExpressedition2005SP4,2008SP2andSP3,2008R2SP1对称加密AES128bit,AES256非对称加密:RSA哈希算法SHA-1,SHA-256,SHA-384,SHA-PKCS协议和接口:PKCS#11,PKCS#15,LDAP,CryptographicServiceProvider(CSP),SOAP,XML,SSL,TCG,CCID,KerberosPKI:PKSC#7,PKCS#12,X.509认CommonCriteriaEALUsesFIPS140-2validatedcryptographySafeneteTokenandEnCaseenabledCCEAL4(inSafeGuardEnterpriseClient:English,French,German,Italian,Japanese,SafeGuardEnterpriseManagementCenter:English,French,German,*注:给PC的内存空间。并非所有的SafeGuardEnterprise使用的内存**包含InternetInformationServerIIS)Active***WindowsVista64-bit)支持设备控制及管理模WindowsServer2008R2录OS和同步AD结构。IP 2008R2x64 R2、.Net4.0、IIS、Console作安装SafeGuardIISWindows2003serverOS、Windows2008安装.netframework3.5安装检查是否安装了.net：开始→运行→ C:\Users\administrator>C:\Windows\.NET\Framework\v4.0.30319\aspnet_regiis/lv 数据库注：自带的数据库文件是SQL2008R2ExpressEdition版本，不带管理客户端-安装SQLEXPRWT_x86_ENU.exe，会报错。 如果服务器系统是Windows2003,需要先安装powers 在这里，尽量使用MixedMode安装方式，设sa账号的注意：要确保数据库可以连接 net数据库服务器IP1433是可以连通配置工具-->SqlServerConfigurationManager-->MSSQLSERVER和"IP2"中"TCP端口"为1433,装装重启数据SafeGuardSGN实施前确保服务器已作快照，加入域。查看是否开启：开始→运行→firewall.cpl安装在同一台服务器上，3.1和3.2的步骤不就需要安装。IIS安装.netframework3.5开始→所有程序→管理工具→服务器管理器安装.net3.5检查是否安装了.net：开始→运行→C:\Users\administrator>C:\Windows\.NET\Framework\v4.0.30319\aspnet_regiis/lv SGNclickCheckConnectionclickInvokeSQLDBauthenticationtoSQL SGN存放位SGN服务器 位置：C:\ProgramFiles\Sophos\SafeGuardEnterprise\MachCert。注：SGN服务器必须保SafeGuardMC安装在同一台服务器上，4.1和4.2的步骤不就需要安装。IIS安装.netframework3.5开始→所有程序→管理工具→服务器管理器安装.net3.5检查是否安装了.net：开始→运行→ C:\Users\administrator>C:\Windows\.NET\Framework\v4.0.30319\aspnet_regiis/lv MC)SSf i60MC，ActiveDirectorySafeGuard安装SGN服务器配置包-集中//SGN服务器和数据库服务器安装在一台服务器 都可以。SQL认证明文，Windows认证是加密。)>)服务器。开启IISManager-->WebSite-->DefaultWebSite-->SGNSRV--> clickCheckConnection-->clickInvoke测试连接SQLDB是否正常的authenticationtoSQLDB安装SGN服务器配置包-分布文，Windows认证是加密。

SQL 配置SGS应用)>>服务器。开启IISManager-->WebSite-->DefaultWebSite-->SGNSRV--> clickCheckConnection-->clickInvoke测试连接SQLDB是否正常的authenticationtoSQLDB WebHelpDesk//注意：SGNWHD-PoolSGNServerWindows认SGN//场景：SGNServer与WebHelpDesk安装在不同的服务器上。安装SGNWebHelpDesk包：SGN安装配置包再次验证WebHelpDesk是否安装验证WebHelpDeskLogonfailed.Pleasetry 准备要保证PC客户端能通过服务 Replyfrom00:bytes=32time=1msTTL=128Replyfrom00:bytes=32time<1msTTL=128Replyfrom00:bytes=32time<1msTTL=128Replyfrom00:bytes=32time<1msTTL=128BeforeinstallingSafeGuardEnterprise,backupyourdatamediacomple||| UseCHKDSKtochecktheharddisksforerrors(furtherinformationcanbefoundintheKnowledgeBasesearchingfor107799).Itisnot mendedtoinstallSafeGuard:runniSafEer/ris/.willberequired.DonotstarttheSafeGuardEnterpriseinstallationwithouthavingdonethisrebootbefore(ifusingchkdsk)!Ifyouusea3rd-partybootmanager,considerre-installingthesystemwithoutbootIfanimagingtoolwasusedtoinstalltheoperatingsystem,itis mendedto"re-write"themasterbootrecord(MBR).ToinstallSafeGuardEnterprisea"spotless"masterbootrecordisneeded.Theuseofimaging/cloningprogramsmayhaveaffectedthestateofthisrecord.ThemasterbootrecordcanbecleanedbybootingfromaWindows7CDandusingtherelevantcommandwithintherecoveryconsole.Ifthebootpartitionon pointhasbeenconvertedfromFATtoNTFSandtheendpointhasnotbeenrestartedsince,restartpointonce.Otherwisetheinstallationmightnotbecompletedsuccessfully.Ifthesystemwasnotchangedthisstepcanbeskipped.Defragmenttheharddrive🙢furtherinformationregardingthiscanbefound /support/knowledgebase/article/109226.html-Howandwhytouse"defrag"withinWindows clientpackages安装完后重启机器并初始化用重启PC工作机后，SafeGuardEnterprise内核将被写入且POA被初始化。再次重启PC机。登录PC机后，提示如下如下信息，重启机器后将会出现POA出现InitialUsersynchronizationcompleted，表示SafeGuardEnterpriseClient安装完安装后，一共要重启3次，就会出现POA登录画面 –或\SGNClientVolumeBaseEncryption，不要选BitLockerWindowsVistaWindows7Note:UnderWindowsVistaandWindows7,you havetopressCtrl+Alt+Deltostartautologonandlogon.TheadministratorcandeactivatethissettingintheMMCconsoleinthegrouppolicyobjecteditorunderWindowsSettings>SecuritySettings>LocalPolicies>DeactivateSecurityOptions(forinteractivelogon,Ctrl+Alt+DelisnotCopyright(c)1996-2012SophosGroup.s.SafeGuardisaregsteredtrademarkofSophosGroup :Windows :POA :PowerOnAuthentication:Yes Server SecondServer Logonmode Clientactivationstate:ENTERPRISELastdata :2012-07-21Lastpolicy Return Name AESC:\sandSettings\AllUsers\ApplicationData\Utimaco\SafeGuardEnterprise\LocalCache\transout\config\WinVista/Win7下的配置文件：<DataRoot><LC_IMPORT><TAG>TransOut</TAG><TYPE>Config</TYPE><NAME>nit.xml</NAME><DATAbin="false"><DataRoot><Configuration><Service>http://SGN01./SGNSRV/trans.asmx</Service></Configuration></DataRoot></DATA></LC_IMPORT></DataRoot>Copyright?1996-2012SophosGroup.s.SafeGuardisarredtrademarkofSophosGroupCopyright?1996-2012SophosGroup.s.SafeGuardisarredtrademarkofSophosGroupSGMCmdIntn-iTransRec_configfile SGMCmdIntn-s[ync] synctoserverSGMCmdIntn-WOLstartSGMCmdIntn-keybackup<foldername> SGMCmdIntn-Q CommandWindowsXP:SelectWindows7,WindowsVista:SelectWindowsLogs,客户端计算机改名的影 Enterprise策略配配置说AD域： 于IT-Support单元。基本策略)→通用配置认证配置SAL账号, 册册选分配基本略的域或注意：安装完SafeGuard客户端程序后，建议不要立刻进行加密。因此，不把加密策略放入，自建工作组及策略分 Enterprise基本)→策略组的Policies→PolicyGroups→New→NewPolicy加载策略22自定POA支持的格式：.BMP,PNG,.JPEG(POA背景图(低分辨率)：分辨率：640x480(VGAmode)颜色：16色POALogon图：分辨率：413x140pixelsPOALogon分辨率：413x140pixels颜色：16色POA在GeneralSettings在SpecificMachineSettingsLocalSelfHelpChallenge/Response外部介质启动的配)设置登录次数及锁)POA设置客户端连接服务器的时取消windows下SGN小图标 删除从休眠状态恢复是不要设 策防止客户端卸查看计算机资产状态及导出报查看能登录ComputersUsers有有的账号在POASecurityOfficerMasterSecurityMasterSecurityOfficer→右键New→NewMasterSecurityMSO如果不行，重置账号. 的配置重置账号的PrivateKey 开始→所有程序→Sophos→ 密钥密钥SGNWeb注：通过开始→所有程序→Sophos→SafeGuard(R)ManagementCenterSecurityOfficersSecurity配置的HelpdeskOfficer账号不能登录到WebHelpdeskAD登录WebSafeGuard数据SafeguardEnterprise服务器备备份默认安装路径：C:\ProgramFiles\Sophos\SafeGuardEnterprise\MachCert下的服务器Safeguard 公司和管理员备点击开始→程序→Sophos→SafeGuardManagementCenter，输入对应的安全管理员的，登录SafeGuardManagement点击Tools→Options→s，可以看到公司“ ”和安全管理员““ Enterprise数据恢 MC()恢场景：fudMngmntCntrMSO.p12文件的必须要知道SSf dE i60数据库破坏，SGNSGNSGN通讯，自两个.p12文件的必须要知道SGN到新的策略,能跟SGN通讯,自动会添加到数据系统用LocalSelfHelp实现登录恢客户端被SafeGuardManagementCenter集中管理。如系统可正常启动，能显示POA登录界面，忘 MCMC码).-VirtualClientsVirtualClients适合复杂的恢复环境，如POA被破坏，可通过Challenge/Response能轻松的 系统 场景：Windows系统无法启动，POA系统可以正常启动。修改计算机的Bios，从WinPe光盘引导。)册册WindowsPOA6.0生成恢复工具包WinPE需要的VirtualVirtualKey把此文件拷贝recoverytoken.tok修改BiosWindowsPOA5.6注：SNG6.0，SafeGuardEnterpriseClient5.6，WinPE5.6挂载从盘的数据恢场景如下CLIENT06C，D盘已进行加密。C盘重新安装后，机器名是：D盘处于加密状态。POAGhost克隆系统后，POALisaKey赋给机器Lisa-Test物理磁盘损坏的数据恢 MBRSSf dE i60WinPEWinPE13.3.8BootsectorWinPE场景：第一次安装SafeguardEnerprise后，客户机不能正常启动。用WinPE引导，运行SGNRollback工具。此工具在\sgn_60_sfx\Tools\SGNRollbacktool\，可把此工具放置在WinPE光盘上。客户机账号与Owner默认情况下，只有owner用户才可以登录，windows其它系统用户是无法登录的。如何实现？比如administrator是owner用户，test用户也是windows的账号。生成，可登录ADOwner以登录POASSf dE i60ADAD在POA画面，取消Passthroughlogonthe现在账号nicol可以成功登录了。 注：用户想实现二次登录，为了提高安全性，也无需要更改POA用户的，如要修改，在POA登录过程中，按F8，把POA的 改成跟test修改后的一样。两个一样，没太多意义。也提高不了安全性。 场景如下：用户administrator改变了POA的，与该用户的AD域不一样 在登录系统后，把用户的改成跟POA的一样，就可实现一次登录先改POA用户再与AD用户同 先改AD用户再与POA用户同场景如下：在域环境，用户test改变了。是2，现在改成3.POA登录也是2。(先改域账号，有的用户环境，在用户OA或其它，可以直接修改了用户，如果在POA界面POAuser有些场景下需要IT支持组 的工作，SafeGuardEnterprise可配置 的POAuser登录POA界面后，再用AD域的账户登录到终端计算机。点POA_Group→右键→属性POAuser的本地 POAPOASGNPOAPOA对于规模较大的公司，可考虑建立专门的OU，完成POA用户的 POA_ResetPOA_ResetOUPOAServiceAccountUserPOAuserKnowntoapplytotheolloigSophosproduct(s)andSafeGuardDeviceOperatingOperatingSystemQesiWhatisthedifferencebetweentheSafeGuardEnterpriseServiceAccountUserandPOASafeGuardEnterprisesupportstwokindsof“support“Service-Users”alsocalled“ServiceAccountServiceAccountUsersareusersthataredefinedonaServiceAccountList(SAL).TheServiceAccountListiscentrallycreatedintheSafeGuardEnterpriseManagementCenteranddeployedviapolicy.TheusersontheServiceAccountListdonotactivatethePOA-theywillnotbeimportedintothePOA.ThismeansthattheseusersillnotbeabletoloiiatPOAlevelatanyim.Theroleoftheseusersistomaintainmachines“before”theyarehandedovertoadesignatedusers.DetailsoncreatingaServiceAccountListcanbefoundintheknowledgebasearticle:UsingServiceAccountsnamesinSafeGuardEnterprise.“POAUsers”alsocalled"RolloutPOAusersareonlyavailableatPOAlevelandnotunderWindows!Althoughtheseusershaveadedicatedpasswordanda,theydonotactivatethePOA.TheroleoftheseusersistomaintainmachineswithanactivePOA.POAuserswereinitiallydesignedforunmanagedclientsbutasofversion5.60theyarealsoavailableformanagedclients.Distributionisdoneeitherviatheconfigurationpackage(unmanaged)orcentrallyintheManagementCenter(managedBothtypesofuserareonlyintendedformaintenanceAtypicalscenarioformostimplementationsisthatarolloutteam(部署团队installsnewcomputersinanenvironmentincludingtheinstallationofSafeGuardEnterprise.Forinstallationorverificationreasons,rolloutoperatorsmaylogontotherespective各自的computerbefore userreceivesthenewmachineandisabletoactivatethePower-onAuthentication.Thus,thescenariomaybeasTherolloutoperatorisaddedtothePOAandthe esactive.Therolloutesownerofthecomputer.Whenuserreceivesthecomputer,theywillnotbeabletologontothePOA.TheuserneedstoperformaChallenge/Responseprocedure.TopreventthatadministrativeoperationsonaSafeGuardEnterpriseprotectedcomputerleadtoanactivationofthePower-onAuthenticationandtheadditionofrolloutoperatorsasusersandmachineownerstothecomputer,SafeGuardEnterpriseallowsyoutocreateserviceaccountlistsforSafeGuardEnterpriseprotectedcomputers.TheusersincludedintheselistsaretreatedasSafeGuardEnterpriseguestusers.WithserviceaccountsthescenarioisasaccountandistreatedasaguestTherolloutoperatorisnotaddedtothePOAandthePOAdoesnot eactive.Therolloutoperatordoesnot eownerofthecomputer.usercanlogonandactivatethePOA.Serviceaccountlistsareassignedtoendpointcomputersinpolicies.TheyshouldbeassignedintheSafeGuardEnterpriseconfigurationpackageyoucreatefortheconfigurationoftheendpointcomputers.CoveringdifferentcombinationsforloggingThetwoseparatefieldsUserNameand Nameperlistentryallowyoutocoverallavailablecombinationsforloggingon,forexample"user@"or" Tohandleseveralusername/namecombinations,youcanuseasterisks(*)aswildcards.Anasteriskisallowedasthesign,thelastsignandtheonlysign.ForUserName:Name:Thiscombinationspecifiesalluserswiththeusername"Administrator"whologontoanynetworkorlocalmachine.Thepredefinedname[LOCALHOST]availableinthedrop-downlistoftheNamefieldstandsforthelogononanylocalcomputeLoggingontoanendpointcomputerusingaserviceAttheWindowslogonafterrestartingthecomputer,auserincludedonaserviceaccountlistlogsontothecomputerasaSafeGuardEnterpriseguestuser.ThisWindowslogontothecomputerneithertriggersndingPower-onAuthenticationnoraddstheusertothecomputer.TheSafeGuardEnterpriseSystemTrayiconballoontooltip"Initialusersynchronizationcompleted"isnotdisplayed.WindowsXP登录到域后，把AD域的信息同步到SafeguardEnterprise中在WindowsXP安装完SGNClient3个程序后，管理重启，出现登录画面，以SALsal登录，还没有出现POA。POA还是用sa