LIESMICH Datei für SafeGuard PrivateDisk 1.10.0 für IBM CSS Diese Version von SafeGuard PrivateDisk ist auf IBM Geräte mit der IBM Client Security Software (CSS) angepasst. Dabei gelten die folgenden Unterschiede zur Standard-Version von SafeGuard PrivateDisk: - Die Software kann nur auf Geräten des Herstellers IBM installiert werden. Für die Personal Edition von SafeGuard ist weiters die Installation der IBM Client Security Software (CSS) notwendig. - Ein IBM CSS spezifischer PrivateDisk Wizard startet nach dem Anmelden ans System und unterstützt den Benutzer beim Anlegen eines ersten PrivateDisk Laufwerks. Zum Anmelden an dieses Laufwerk wird automatisch ein Zertifikat für das IBM Embedded Security Subsystem (ESS; falls vorhanden) erstellt und verwendet. Auf einem System ohne IBM ESS wird ein bereits vorhandenes Zertifikat des Benutzers verwendet bzw. bei Bedarf ein neues Zertifikat erzeugt. - Im Zusammenspiel mit Rapid Restore von IBM ist zu beachten, dass PrivateDisk Laufwerksdateien immer zur Gänze gesichert werden und daher bei grossen PrivateDisk Laufwerken der für Rapid Restore reservierte Platz auf der Festplatte schnell zur Neige gehen kann. 1. Systemvoraussetzungen Ein Rechner mit Microsoft Windows NT 4.0, Windows 2000 oder Windows XP (alle Versionen). Für Windows NT 4.0 wird Service Pack 4 oder neuer vorausgesetzt. Für Windows NT 4.0 oder Windows 2000 bis Service Pack 2 empfehlen wir die Installation des Microsoft High Encryption Pack, wenn die Microsoft Cryptographic Service Provider zum Arbeiten mit Zertifikaten verwendet werden sollen. 2. Versionsinformation SafeGuard PrivateDisk 1.10.0 enthält die folgenden Verbesserungen gegenüber 1.00.6: - Neuimplementierung von SHA-1 und AES - Neuer Menüpunkt 'Explore' im Kontextmenü von PrivateDisk, der das selektierte Laufwerk im Windows Explorer öffnet. - Die Tabelle im ‘Zertifikate hinzufügen’ Dialog kann nun durch einen Klick auf die Spaltenüberschrift sortiert werden. SafeGuard PrivateDisk 1.00.6 enthält die folgenden Verbesserungen gegenüber 1.00.5: - Die administrative Vorlage der Enterprise Edition funktioniert nun auch unter Windows .NET Server 2003. - In der Personal Edition sind nun auch Signaturzertifikate zugelassen. Achtung: nicht alle Smartcard-CSP's arbeiten korrekt mit Signatur- Zertifikaten unter PrivateDisk. Es kann vorkommen, dass manche Signaturzertifikate zwar zu PrivateDisk-Laufwerken hinzugefügt, aber später nicht zum Anmelden verwendet werden können. - Zertifikate mit unbekannten kritischen Erweiterungen können nicht mehr zugewiesen werden. Dieses Default-Verhalten kann in der Enterprise Edition über die administrative Vorlage geändert werden. Dieses Feature war zwar schon Bestandteil von 1.00.5, hatte aber nicht funktioniert. - In den Einstellungen zum automatischen Abmelden von Laufwerken wird ein Wert von 0 Minuten nicht mehr akzeptiert. SafeGuard PrivateDisk 1.00.5 enthält die folgenden Verbesserungen gegenüber 1.00.4: - Laufwerke, die von einem Benutzer zum Schreiben geöffnet sind, können nun gleichzeitig von beliebig vielen weiteren Benutzern zum Lesen geöffnet werden. Änderungen, die der schreibende Benutzer macht, werden mit kurzer Verzögerung bei den anderen Benutzern sichtbar (nicht bei Windows NT 4.0!), ausser ein zum Lesen angemeldetes Laufwerk ist mit dem Flag "Simuliere Festplatte" angemeldet. - Die Labels für neue PrivateDisk Laufwerke werden auf den Datei- namen gesetzt. Unter Windows XP sieht man dadurch im Explorer die Namen der Laufwerke anstatt nur "Wechsellaufwerk". - Wenn ein Laufwerk nicht abgemeldet werden kann, weil es noch durch ein Programm gesperrt ist, dann kann nun ein Abmelden erzwungen werden. Achtung: eventuell ungespeicherte Daten gehen dadurch verloren! - Zum Lesen angemeldete PrivateDisk Laufwerke werden nun immer abgemeldet, auch wenn noch Programme Dateien davon offen halten. - Die Prüfung der Gültigkeit von Zertifikaten wurde erweitert: + Anmelden an Laufwerke mit zeitlich abgelaufenen Zertifikaten ist nun erlaubt. + Zeitlich abgelaufene Zertifikate können nicht zugewiesen werden. + Die kritischen Zertifikatserweiterungen werden überprüft. Zertifikate mit unbekannten kritischen Erweiterungen können nicht mehr zugewiesen werden. Dieses Default-Verhalten kann in der Enterprise Edition über die administrative Vorlage geändert werden. + Reine Signatur-Zertifikate können nicht zugewiesen werden. Dieses Default-Verhalten kann in der Enterprise Edition über die administrative Vorlage geändert werden. - Wenn ein Laufwerk nicht angemeldet werden kann weil es bereits von einem anderen Benutzer verwendet wird, dann wird nun der Name dieses anderen Benutzers angezeigt. - In früheren Versionen wurde ein Logoff oder Shutdown abgebrochen, wenn ein Laufwerk nicht abgemeldet werden konnte. Nun hat der Benutzer die Möglichkeit, das Abmelden zu wieder- holen oder zu erzwingen. Der Logoff oder Shutdown wird danach automatisch fortgesetzt. - In der Enterprise Edition kann ein bevorzugter CSP definiert werden. Wenn ein Benutzer ein neues Laufwerk mit einem Passwort oder einem Zertifikat von einem anderen CSP absichern will, dann wird er darauf hingewiesen, dass Zertifikate des bevorzugten CSP sicherer wären. - Die OLE Programmierschnittstelle wurde erweitert: + Der MountDisk-Befehl hat nun einen zusätzlichen Parameter "ReadOnly" (bool) zum Anmelden eines Laufwerks mit Lesezugriff + Die UnmountDisk- und UnmountAllDisks-Befehle haben nun einen zusätzlichen Parameter "ForcedDismount" (bool) zum Erzwingen der Abmeldung, auch wenn ein Programm noch Dateien auf einem Laufwerk offen hält. Achtung: das kann zu Datenverlust von noch ungespeicherten Daten führen! - Manche (schnelle) Rechner konnten sich nicht an Laufwerksdateien am Netzwerk anmelden. Das Problem wurde behoben. SafeGuard PrivateDisk 1.00.4 enthält die folgenden Verbesserungen gegenüber 1.00.3: - Ein Absturz des PrivateDisk Hauptprogramms beim Hinzufügen von Zertifikaten mit sehr langen Werten für die Felder 'Aussteller', 'Antragssteller' und 'Angezeigter Name' wurde bereinigt. SafeGuard PrivateDisk 1.00.3 enthält die folgenden Verbesserungen gegenüber 1.00.2: - Bessere Unterstützung von Packet Writer Software für wieder- beschreibbare CD-RW und DVD-Medien. Mit solcher Software können SafeGuard PrivateDisk Laufwerksdateien auf CD-RW bzw. DVD-RW Medien erzeugt und wie normale schreibbare Laufwerke angesprochen werden. Es funktionieren nun auch Ahead InCD 4 und HP DLA. - Der Befehl "Alle abmelden" im PrivateDisk-Menü der Task-Leiste ist nun aus dem "Abmelden"-Untermenü direkt ins Hauptmenü gewandert. - Das Erzeugen von Laufwerksdateien grösser als 4 GB auf FAT32 Laufwerken wird nun unterbunden. Das ist eine Einschränkung des FAT Dateisystems. SafeGuard PrivateDisk 1.00.2 enthält die folgenden Verbesserungen gegenüber 1.00.1: - Unterstützung von USB-Dongle Smartcardlesern wie Omnikey 6020 - Benutzer können gezwungen werden, Zertifikate zu verwenden für neue Laufwerke anstatt von Passwörtern (Enterprise Edition). - Die Erstellung von initialen Laufwerken funktionierte nicht unter Windows NT 4.0 (Enterprise Edition). - Ein Systemabsturz bei massiven Dateioperationen über den NT Explorer wurde behoben. SafeGuard PrivateDisk 1.00.2 enthält auch die Verbesserungen von Version 1.00.1 gegenüber 1.00: - Mit früheren Versionen kam es des öfteren zu Abstürzen des Windows NT Explorers. - Unterstützung zusätzlicher Smartcard CSP's von Drittherstellern: DataSafe CSP, SafeSign CSP, SECUDE CSP, SmartTrust Smartcard CSP, Aladdin eToken CSP, IBM TCPA CSP - Unterstützung von cryptographischen USB Tokens: Aladdin eToken, Rainbow iKey 2000/3000, ActivCard ActivKey - Französische Benutzeroberfläche und Online-Hilfe - Genauere Spezifikation des Recovery-Zertifikats - Tray-Icon kann versteckt werden (Enterprise Edition) - Fehlerprotokoll für CRL Überprüfung (Enterprise Edition) - Das PrivateDisk Laufwerks-Attribut "Freigabe möglich" wurde umbenannt in "Simuliere Festplatte" und simuliert eine Festplatte anstatt eines Wechsellaufwerks. Das Attribut ist für alle Betriebs- systeme vorhanden. - Kompatibel mit dem Windows 2000/XP Driver Verifier 3. Installation Zur Installation der Software sind Administratorrechte notwendig. Führen Sie einfach das SafeGuard PrivateDisk MSI Paket aus, um die Software zu installieren. Die Installation des MSI Pakets benötigt die Microsoft Windows Installer Komponente. Falls diese auf dem System nicht bereits installiert ist (z.B. unter Windows NT 4.0), kann das größere EXE Paket von SafeGuard PrivateDisk installiert werden, das automatisch die Windows Installer Komponente einspielt. Eine Installation der Software ist auch auf einem Netzwerkpfad möglich, allerdings können in diesem Fall nach der Deinstallation Dateien im Installationsverzeichnis übrigbleiben. Die Software kann direkt nach der Installation verwendet werden. Normalerweise ist nach der Installation von SafeGuard PrivateDisk kein Neustart erforderlich. Unter Windows NT 4.0 kann ein eventuell notwendiges Update von einigen Microsoft-Komponenten allerdings zu einem Neustart führen. Bei der Installation über Active Directory (GPO) ist folgendes zu beachten: - SafeGuard PrivateDisk kann nur für Computer installiert werden (Computer Configuration), nicht für einzelne Benutzer (User Configuration). - Wenn ein Programmpaket installiert wird, das in einer anderen Sprache vorliegt als das Betriebssystem der Arbeitsrechner, dann muss die Einstellung "Sprache beim Bereitstellen dieses Pakets ignorieren" für die Softwareverteilung eingeschalten sein. Ansonsten wird das Paket nicht installiert. 4. Anmerkungen * Master-Passwort Das Master-Passwort wird nicht zwischen den verschiedenen Modulen von SafeGuard PrivateDisk geteilt. Wenn Sie das Single Login Feature verwenden und manche PrivateDisk Laufwerke über das Hauptprogramm anmelden, andere über die Explorer- Erweiterung oder das Tray Icon, dann müssen Sie das Master- Passwort eventuell mehrfach eingeben. * Recovery-Zertifikat (Enterprise Edition Feature) In der Enterprise Edition kann über die administrative Vorlage (ADM) ein Recovery-Zertifikat definiert werden, das bei neuen PrivateDisk Laufwerken automatisch hinzugefügt wird, damit im Notfall ein Security-Administrator Zugriff auf die abgesicherten Daten eines Benutzers erlangen kann, beispielsweise wenn ein Benutzer die Firma verlassen hat oder sein Passwort vergessen hat. Beachten Sie, dass das Recovery-Zertifikat nur durch seine Seriennummer identifiziert wird und es passieren kann, dass das Zertifikat nicht eindeutig ist (gleiche Seriennummer bei anderem Aussteller). In diesem Fall würde das erste gefundene Zertifikat als Recovery-Zertifikat eingetragen. Die nächste Version von PrivateDisk wird es erlauben, das Recovery-Zertifikat genau zu identifizieren. 5. Bekannte Probleme * Deinstallation von Utimaco Produkten Die Deinstallation von SafeGuard Biometrics 1.60, SafeGuard Advanced Security 3.10 oder älteren Versionen dieser Software löscht die administrativen Vorlagen (ADM Dateien). Führen Sie deshalb nach der Deinstallation dieser Produkte eine Reparatur der Installation von SafeGuard PrivateDisk durch (Systemsteuerung / Software / SafeGuard PrivateDisk / Ändern), um diese Dateien zu restaurieren. * SafeGuard LAN Crypt 2.10 und 2.00 Die Definition eines LAN Crypt Profils zum Verschlüsseln eines ganzen PrivateDisk Laufwerkes (z.B. „P:\*.*“) führt fälschlicherweise zum Verschlüsseln von allen Dateien auf allen Laufwerken! Dieser Fehler wird in späteren Versionen von SafeGuard LAN Crypt behoben. Das Verschlüsseln von PrivateDisk Volume-Dateien (*.vol) mit SafeGuard LAN Crypt ist nicht möglich. * Laufwersbezeichnung für eine PrivateDisk wird durch die Bezeichnung eines Wechselmediums ersetzt Im laufenden Betrieb kann es vorkommen, dass die Laufwerksbezeichnung eines geöffneten PrivateDisk Laufwerkes vom System durch die Bezeichnung eines neu hinzugefügten anderen Wechselmediums ersetzt wird. In diesem Zustand trägt das Laufwerk der PrivateDisk zwar den Namen des neu hinzugefügten Mediums, über dieses Laufwerk kann aber nur auf Daten der PrivateDisk zugegriffen werden. Auf das neu hinzugefügte USB Medium ist kein Zugriff möglich. Um einen problemlosen Betrieb beider Geräte zu gewährleisten wird empfohlen sich von der betreffenden PrivateDisk abzumelden und wieder neu anzumelden. * PrivateDisk Volume-Dateien auf Medien mit wechselndem Laufwerksbuchstaben PrivateDisk hält sich eine Liste von zuvor angemeldeten Volume-Dateien Inklusive deren voller Pfadangabe. Befindet sich eine Volume-Datei auf einem Medium dessen Lauftwerksbuchstabe sich geändert hat, wie z.B.: bei einem USB Speichermedium oder einem Netzwerklaufwerk, so kann die Volume-Datei nicht mehr automatisch lokalisiert werden und der zugehörige Listeneintrag in PrivateDisk wird daher entsprechend gekennzeichnet. Um dieses Volume-File erneut öffnen zu können, muss es zuvor mit der Funktion ‚Datei Importieren..’ von dem neuen Laufwerk mit dem geänderten Laufwerksbuchstaben importiert werden. * Datenverlust beim Schreiben in eine PrivateDisk Beim Schreibzugriff auf PrivateDisks deren Volume-File auf einem USB Speichermedium oder einem über WLAN verbundenen Netzwerklaufwerk liegt, kann es, verursacht durch die verzögerte Schreiboperation des Dateisystem-Chaches, unter Umständen zu einem Datenverlust kommen, wenn auf das Wechselmedium kurz nach dem Schreibzugriff nicht mehr zugegriffen werden kann, wie etwa durch das Entfernen eines USB Wechselmediums oder den Abbruch einer Wireless LAN Verbindung. Es wird daher empfohlen z.B.: USB Wechselmedien auf denen sich eine aktive PrivateDisk befindet, nicht zu entfernen ohne zuvor die aktive(n) PrivateDisks geschlossen zu haben. Des Weiteren wird davon abgeraten, Volume-Dateien über Funknetzwerke anzusprechen die keine ausreichende Stabilität für einen störungsfreien Betrieb gewährleisten können. 3. Februar 2005, Utimaco Safeware AG, Oberursel, Deutschland