SODATSW spol. s r.o. Horní 32, 639 00 BRNO http://www.sodatsw.cz tel./ fax: 543 236 177 e-mail:
[email protected]
Instalační manuál Desktop Security System AreaGuard
Instalační manuál Desktop Security System AreaGuard Vážený uživateli, Dostává se Vám do rukou program AreaGuard, společnosti SODATSW, spol. s r.o., který Vám pomůže zabezpečit Vaše cenná data. Dříve než použijete bezpečnostní systém AreaGuard si pečlivě prostudujte Licenční ujednání. Naleznete jej na Registrační kartě a nebo jako přílohu příručky Začínáme s bezpečnostním systémem AreaGuard. Nesouhlasíte-li s ustanoveními tohoto ujednání, můžete produkt do 10-ti dnů od koupě vrátit oproti úhradě jeho ceny ze strany dodavatele.
1. Balení Základním médiem pro distribuci bezpečnostního systému AreaGuard je disk CD-ROM. Distribuční balení produktu obsahuje: • disk CD-ROM s programem a elektronickou dokumentací; • Licenční kartu, obsahující licenční číslo, počet licencí produktu, informace o zakoupených nadstavbách ochranného systému a aktivační kód; • Dle Vaší objednávky může/nemusí být součástí balení, také HW token, či karta
2. Moduly programu AreaGuard V rámci modulárního pojetí bezpečnostního systému AreaGuard je možné zvolit si funkce na míru dle vašich konkrétních požadavků. Jednotlivými prvky bezpečnostního systému AreaGuard jsou:
2.1. AreaGuard Notes o o o o o o o o o
On-line šifrování souborů a složek na lokálních, síťových i výměnných discích. Podpora šifrovaní na offline složkách uživatele Možnost využít jeden ze 4 šifrovacích algoritmů (AES, IDEA, RC4, 3-DES) Obsahuje velmi výkonný a bezpečný algoritmus AES 128 (Rijndeal) On-line šifrovaní souborů dle jejich přípon Bezpečný přenos dat po sítí díky jejich dešifrování až na koncové stanici Bezpečné mazání souborů na discích (tzv. Data Shredder, až 10 násobný přepis). Vytváření samodešifrovacích balíčků ( SFX ) Šifrování příloh elektronické pošty
Šifrování je možné na : • FAT • NTFS • Výměnných mediích • Síťových discích Šifrování souborů může být jednorázové, nebo je šifrování nastaveno jako vlastnost adresáře, potom všechny soubory, které jsou do adresáře zkopírovány jsou automaticky zašifrovány.
Verze: 1.0.3
2/10
Instalační manuál Desktop Security System AreaGuard Při šifrování jsou používány tyto symetrické algoritmy : • AES Rijndael, 128 bitů • 3-DES, 112bitů • IDEA, 128 bitů • RC4, 128 bitů • RC4, 40 bitů
2.2. AreaGuard Gina o o o o o o o o
Bezpečné přihlášení do operačního systému pomocí hardwarového předmětu Podpora hardware předmětů pracujících na standardu PKCS#11 Podpora přihlášení pomocí certifikátu SmartCard Logon Integrovaný průvodce nouzovými stavy Generátor dostatečně složitých a dlouhých hesel pro přihlášení Podpora synchronizace hesel s doménou a hardware předmětem Podpora uložení vice přihlašovacích informací do tokenu/karty Podpora přihlášení na terminálový server
Podporované tokeny a čipové karty : • • • •
Tokeny iKey řada 1032, 2032, 4000 Tokeny a čipové karty Aladdin eToken – z důvodu jedinečnosti každé dodávky, jsou drivery k dispozici pouze na http://lc.aladdin.com – kde je lze stáhnout na základě předchozího e-mailu s přihlašovacími údaji Čipové karty DataKey 330 a DataKey 400 Další tokeny, nebo čipové karty, které splňují standard PKCS11
AreaGuard Gina podporuje i přihlášení pomocí certifikátu SmartCard Logon (agstgina.dll).
2.3. AreaGuard AdminKit o o o o o o
Umožňuje správu a evidenci uživatelských politik Poskytuje bezpečně úložiště pro šifrovací klíče organizace (díky šifrované mdf databázi) Správa všech šifrovaných lokací v organizaci Evidence vydaných hardware předmětů Obsahuje podporu nouzových procesů Obsahuje záznamy o bezpečnostních incidentech (ztráta karty, PIN, zablokování karty)
Prostřednictvím aplikace AreaGuard AdminKit určené k centrální správě systému lze sledovat, obsluhovat a evidovat: • • • • •
Uživatele a hardwarové předměty. Šifrovací klíče a uživatelské certifikáty. Nastavení systému AreaGuard na jednotlivých pracovních stanicích. Obnovu uživatelsky šifrovaných dat. Recovery události.
Verze: 1.0.3
3/10
Instalační manuál Desktop Security System AreaGuard 2.3.1. Rozdělení šifrovacích klíčů do tří sekcí • • •
Osobní – osobní klíč uživatele, kterým jsou šifrována osobní data na lokálním disku Sdílené – sdílený (skupinový) klíč je používán pro šifrování sdílených dat na síťových discích Distribuční – distribuční klíč se používá pro ochranu šifrovacích klíčů při distribuci směrem k uživatelům
2.4. AreaGuard Server o o
rozšiřuje funkce systému o možnost šifrování dat na terminálových serverech (WIN2003, Citrix MetaFrame XP) podpora vzdáleného přihlášení na server při současném využití AreaGuard Gina
3. Instalace – základní kroky •
Instalace driverů a middlewaru pro tokeny o Instalace driverů musí být prvotní, před instalací samotného systému AreaGuard o Po instalaci driverů DŮRAZNĚ doporučujeme restartovat počítač o Instalace middlewaru musí být prvotní, po instalaci driverů a před instalací samotného
systému AreaGuard •
o Po instalaci middlewaru DŮRAZNĚ doporučujeme restartovat počítač Instalace systému AreaGuard a jeho komponent a následně opět restart počítače
3.1. Nasazení ve firemním prostředí Při instalaci ve firemním prostředí je používána připravená instalační sada. Tato sada může být vytvořena pomocí centrální správy AreaGuard AdminKit. Centrální správa AreaGuard AdminKit obsahuje pomocníka pro vytvoření instalační sady a nastavení parametrů klienta centrální správy AreaGuard AdminKit. Tzn. že AreaGuard AdminKit, musí být nejprve nainstalován, aby se mohla tato instalační sada vytvořit a použít postup popsaný níže. Bezpečnostní systém AreaGuard podporuje síťové prostředí postavené na protokolech rodiny TCP/IP. Instalační balík se vytvoří do připraveného adresáře při posledním kroku pomocníka pro jednoduchou správu – viz níže a podle typu instalace se modifikují konfigurační ini soubory agfiles.ini, agreg.ini a autosetup.ini. Pokud bude distribuována nová verze systému AreaGuard, je potřeba zachovat tyto konfigurační soubory a nepřepisovat je. Instalace se poté provádí ze sdíleného adresáře. Instalace se spouští spuštěním programu Autosetup.exe. V průběhu automatické instalace se nezobrazují dialogy, následuje automatický restart stanice. Podrobné parametry je možno konfigurovat v souborech s nastavením, kde lze určit, jaké komponenty budou instalovány, případně jaké bude chování programu na koncové stanici.
3.1.1. Hromadná instalace a vzdálená správa – Serverová instalace AreaGuard podporuje vzdálenou hromadnou síťovou instalaci. Nakopírujete soubory na server a do přihlašovacího skriptu uživatelů zadáte patřičnou síťovou cestu k instalačním souborům. Snadno tak instalujete bezpečnostní systém na jednotlivé pracovní stanice. Následně pak můžete jednotlivé stanice obejít a nakonfigurovat bezpečnostní systém. Mnohem pohodlnější je ovšem použití modulu AreaGuard
Verze: 1.0.3
4/10
Instalační manuál Desktop Security System AreaGuard AdminKit, který je určený pro administraci, konfiguraci a centrální správu bezpečnostního systému AreaGuard. Celý proces síťové instalace lze velmi detailně nakonfigurovat. Pro plné využití síťových schopností bezpečnostního systému je třeba mít instalován modul AreaGuard AdminKit. Detailní informace o možnostech a funkcích vzdálené správy bezpečnostního systému AreaGuard naleznete v nápovědě systému AreaGuard pod heslem AreaGuard AdminKit.
Centrální správa se skládá z nástroje pro správu, databáze a klienta centrální správy (AreaGuard WorkstConfig). Správce spouští nástroj pro centrální správu AGAdminKit.exe ze svojí stanice na které je nainstalován AreaGuard Notes. Nástroj ukládá informace o uživatelích, nastavení a šifrovací klíče do chráněné databáze na serveru. Při distribuci šifrovacích klíčů, nebo generování nastavení pro uživatele a stanice jsou informace ukládány do *.agw souborů. Tyto informace načítá klient centrální správy program agwcfg.exe a aplikuje je u uživatele na jeho klientské stanici. Klient po síti stahuje nastavení pomocí sdílených adresářů, nebo pomocí http protokolu, zpět jsou ukládány informace o úspěšné distribuci klíčů a provedení nastavení.
Verze: 1.0.3
5/10
Instalační manuál Desktop Security System AreaGuard 3.1.2. Instalace AreaGuard Notes na počítač správce, instalace AreaGuard AdminKit ovládací konzole na lokál a databáze na server Při nasazení systému AreaGuard s centrální správou AreaGuard AdminKit doporučujeme centrální správu instalovat na server. Správce centrální správy spouští program AreaGuard AdminKit ze serveru a musí mít na svém počítači instalován systém AreaGuard Notes. Jak na to je ve stručnosti popsáno zde. Další podrobnosti, naleznete v nápovědě systému AreaGuard v sekci Začínáme s programem
AreaGuard/Instalace.
3.1.2.1. Instalace AreaGuard notes na počítač správce a AreaGuard AdminKit na server • • • • •
• •
Verze: 1.0.3
Nejprve nainstalujte veškeré drivery, middleware tokenů a karet, jenž budete využívat, z důvodu plnění těchto karet a tokenů na správcovském PC
Po instalaci driverů a middlewaru proveďte RESTART počítače !! Po druhém restartu vložte instalační CD programu AreaGuard do správcovského počítače a po spuštění autorunu pokračujte na další stránku Po potvrzení licenčních podmínek, vyplňte aktivační kód dle Licenční karty a postupte dále V dalším kroku vyberte minimálně moduly, dle obrázku
Dále pak postupujte dle níže uvedeného postupu v bodu 3.1.2.2., viz. další strana tohoto dokumentu V dalším kroku dojde k samotné instalaci programu AreaGuard na Vaši stanici správce, vytvoření potřebné struktury na serveru a nakopírování AreaGuard AdminKit
6/10
Instalační manuál Desktop Security System AreaGuard 3.1.2.2. Serverová instalace databáze AreaGuard AdminKit Na server instalujeme pouze modul AreaGuard AdminKit, resp. se jedná pouze o vytvoření adresářové struktury s uložištěm databáze, konfiguračních skriptů, instalací pro klienty a samotného programu.
Při vytváření adresářů na serveru je využito technologie WMI. Adresáře jsou vytvořeny a nasdíleny pouze v případě, že je ve Vašem firemním prostředí tato funkčnost podporována. Pokud se adresáře nepodaří vytvořit automaticky instalačním programem AreaGuard, ze zapotřebí je vytvořit ručně se stejnou strukturou, jak je vyobrazeno na obrázku výše a vysdílet je následujícím způsobem: • • •
AGAGW = Everyone = R, administrátorské účty i W AGLOG = Everyone = W, administrátorské účty i R AGAGN = Everyone = R, administrátorské účty i W o Legenda: • R = read • W= write
Instalační program nastavuje defaultně Everyone = FullControl, z důvodu 100% průchodnosti, ale pokud to není nezbytně nutné, doporučujeme nastavení, viz výše. Po dokončení instalace je nutné provést restart PC !! Po restartu bude systém AreaGuard aktivní.
Verze: 1.0.3
7/10
Instalační manuál Desktop Security System AreaGuard 3.1.3. Pomocník pro jednoduchou správu Po instalaci na server a restartu správcovské stanice, spustíme AreaGuard AdminKit na stanici správce. Přihlašovací jméno je nastaveno na: secadmin Výchozí přihlašovací heslo je nastaveno na : administrator
Po přihlášení je zobrazena nabídka pomocníků.
Pomocí pomocníka pro jednoduchou správu můžete importovat uživatele, nastavit šifrovací klíče a adresáře a vytvořit instalační sadu. Podrobný popis pomocníka pro jednoduchou správu naleznete v nápovědě systému AreaGuard v sekci Centrální správa AdminKit/Pomocník pro jednoduchou správu.
(Vyjma kroku 0)
Verze: 1.0.3
8/10
Instalační manuál Desktop Security System AreaGuard
3.1.4. Vydání tokenů uživatelům Po nastavení uživatelů a přiřazení šifrovacích klíčů je třeba uživatelům šifrovací klíče naplnit do tokenů. Pro plnění tokenů je určen pomocník pro správu tokenů. Pomocník je k dispozici hned po přihlášení, v úvodní obrazovce. Podrobný popis pomocníka pro správu tokenů naleznete v nápovědě systému AreaGuard v sekci Centrální správa AdminKit/Pomocník pro správu tokenů.
3.1.5. Instalace AreaGuard Notes na instalační sady AreaGuard AdminKitu
klientské
počítače
pomocí
Instalace na klientské počítače probíhá z vytvořené distribuční sady. Distribuční sada je zkonfigurována pomocníkem pro jednoduchou správu. Adresář s distribuční sadou je sdílen v adresáři ze serveru v \\server\AGAGN. Instalaci na klientský počítač provedeme spuštěním programu Autosetup.exe, který nalezneme v instalačním adresáři \\server\AGAGN. Průběh instalace je bez dialogů a nainstalují se komponenty zadané v konfiguračních souborech. A proto je tento způsob instalace vhodný například pro vzdálené instalace pomocí skriptů, vytvořených administrátory.
4. Použití v malé firmě do 20PC Pro použití malé firmy předpokládáme nasazení do 20-ti počítačů, použití modulu AreaGuard Notes a AreaGuard Gina s tokeny iKey 2032 nebo 4000. Nasazení systému AreaGuard v malé firmě je možné realizovat v několika, níže uvedených krocích :
4.1. Instalace produktu AreaGuard na počítače Na jednotlivé počítače nainstalujte systém AreaGuard. Postup instalace naleznete v nápovědě systému AreaGuard v sekci Začínáme s programem AreaGuard/Instalace.
4.2. Vytvoření šifrovacích klíčů do tokenu Po instalaci je nutné vytvořit šifrovací klíče, kterými budou data šifrována. Šifrovací klíče je nutno uložit na HW token v podobě USB klíčenky nebo čipové karty, do virtuálního registrového tokenu, který je uložen v profilu uživatele nebo virtuálního souborového tokenu. Postup pro vytvoření a uložení šifrovacích klíčů je popsán v nápovědě systému AreaGuard v sekci Doporučené
postupy/Jak přidat šifrovací klíč.
4.3. Záloha šifrovacích klíčů Po vytvoření šifrovacích klíčů doporučujeme šifrovací klíče zálohovat. Bez šifrovacích klíčů nelze šifrované soubory dešifrovat. Postup pro zálohy šifrovacích klíčů naleznete v nápovědě systému AreaGuard v sekci Doporučené postupy/Jak zálohovat šifrovací klíče.
Verze: 1.0.3
9/10
Instalační manuál Desktop Security System AreaGuard 4.4. Nastavení šifrovaných složek (adresářů) Po vytvoření šifrovacích klíčů následuje nastavení šifrovaných složek. Soubory, které budou do šifrované složky kopírovány, nebo ukládány budou automaticky šifrovány. Postup pro nastavení šifrovaných složek naleznete v nápovědě systému AreaGuard v sekci Doporučené postupy/Jak nastavit šifrovaný
adresář.
4.5. Vložení přihlašovacích informací do tokenu Na token je možné ukládat přihlašovací informace do operačního systému. Pro použití přihlašovacích informací z tokenu je nutné mít instalován modul AreaGuard Gina. Postup pro vložení přihlašovacích informací do tokenu naleznete v nápovědě systému AreaGuard v sekci Doporučené postupy/Jak naplnit
přihlašovací informace do tokenu.
4.6. Nastavení politiky chování systému AreaGuard Při nasazení systému AreaGuard doporučujeme nastavit politiku chování systému AreaGuard pomocí programu „Ovládací panel AreaGuard“. V nastavení chování lze nastavit jaké položky budou přístupné uživateli, chování šifrovacích klíčů, přihlašování tokenem a další volby. Postup pro nastavení politiky chování systému AreaGuard naleznete v nápovědě systému AreaGuard v sekci Doporučené postupy/Jak
nastavím chování programu AreaGuard.
Verze: 1.0.3
10/10