SecuSurf - FAQ:
Teil 1 - Allgemeine Informationen zu SecuSurf
Frage: Was ist SecuSurf?
Kurz zusammengefasst:
Die IT-Security-Suite SecuSurf stellt technisch sicher, dass ausschließlich nur noch Software zur Ausführung kommen kann, die auf einer zentralen Positivliste als vertrauenswürdig eingestuft wurde. Das bedeutet: Jede Software, die NICHT auf der Positivliste erfasst ist, kann technisch nicht ausgeführt werden. Punkt.
Damit ist der Rechner endlich das, was er schon immer hätte sein sollen: Ein dediziertes Arbeitsgerät, mit dem man das machen kann, was man zur Arbeit benötigt. Aber auch alles andere nicht mehr. Keine Viren, Trojaner, Würmer, Schadsoftware irgendwelcher Art oder Spiele, die sich Mitarbeiter selbst besorgt haben! Nur noch das, was zur Arbeit benötigt wird! Und das nicht nur im Bezug auf jegliche Software, sondern auch auf USB Geräte, CD-Rom oder Floppies, denn SecuSurf verwaltet USB Geräte und Wechseldatenträgergeräte auf die gleiche Weise wie Software auch: Was nicht bekannt und erlaubt ist, kann auch nicht verwendet werden.
Frage: Klingt nach großem administrativen Aufwand!
Das wäre es auch, wenn in SecuSurf nicht clevere Mechanismen eingebaut wären, die den gesamten Mehraufwand unterm Strich auf Null reduzieren sollen wie z.B.:
Unterm Strich funktioniert SecuSurf ohne Mehraufwand. Wir wissen, dass das unglaublich klingt, Sie werden es aber verstehen, wenn Sie SecuSurf einmal gesehen haben!
Frage: Noch mal zum Aufwand: Wieso soll das so leicht sein?
Die Erstkonfiguration des Systems kann leicht durch das Setzen des „Learning-Modes“ geschehen. In diesem Modus lernt der Server die Programme der einzelnen Hosts und trägt sie als erlaubt in seine Konfiguration ein. Dieser Schritt erfordert 3 Mausklicks. Lassen Sie den Learning-Mode für einige Zeit laufen, während Sie Ihre Systeme normal weiter benutzen. Nach Ablauf des Learning-Modes ist SecuSurf bereits fertig konfiguriert, denn alle ihre bisher beruflich benötigten Programme sind durch den Lernmodus in die Datenbank mit aufgenommen worden!
Tauchen später unbekannte Programme auf, werden sie als unautorisiert erkannt, dadurch verboten und erzeugen einen Alarm. Möchten Sie das den Alarm auslösende Programm erlauben, so erfordert dies einen Mausklick in der zentralen Management-Konsole und der Benutzer in der Außenstelle, der das Programm nun benutzen können soll, kann es ohne jede Zeitverzögerung sofort verwenden. Mit Hilfe von SecuSurf erlangen Sie also nicht nur Sicherheit in Ihrem Netz, sondern rationalisieren auch die sicherheitstechnischen Überprüfungen auf Ihren Workstations.
Frage: Und noch mal zum Aufwand:ausführlicher, bitte!
Das Erfassen der Programme wird durch verschiedene Methoden komplett automatisiert. Während der Implementierungsphase setzt man das System schlicht in einen Lernmodus. Dadurch werden alle gestarteten Prozesse automatisch in die Freigabekonfiguration übernommen und der Datenbank hinzugefügt. Der erste Schritt der Implementierung von SecuSurf benötigt also 5 Mausklicks.
Nach Ablauf des Lernmodus (z.B. 1 Monat) hat SecuSurf damit ganz vollautomatisch und ohne irgendeinen manuellen Aufwand eine Art Inventar jeglicher Software erzeugt, die im Netzwerk im Einsatz ist.
Eine Option ist nun das manuelle Auditieren des Regelsatzes, indem man sich anschaut, was gestartet wurde und die unerwünschten Programme entfernt.
Tatsächlich ist es aber durchaus kein Problem, wenn man dieses Audit nicht durchführt. Vergleichen Sie den Zustand Ihres Netzes heute mit der Variante, dass Sie den Regelsatz einfach so lassen, wie er ist, ohne auch nur eine Minute lang zu bereinigen, was Sie nicht haben wollen! Durch das Ausschalten des Regelsatzes frieren Sie den Zustand Ihres Netzes, so wie es bis heute ist, ein. Man könnte also Formulieren: „Schlechter, als Ihr Netz heute ist, wird es nicht mehr!“. Aber von jetzt an für die Zukunft kann nur noch Software hinzugefügt werden, wenn das vom Administrator auch explizit erwünscht ist! Was für ein Zuwachs an Sicherheit! In dieser Variante haben Sie nicht mal 5 Minuten mit dem System verbracht und nun kann nur noch Software hinzugefügt werden, wenn Sie das auch wirklich so haben wollen!
Danach hat ein Admin noch vielfältige Möglichkeiten, das Regelwerk anzupassen. Bestehende Regeln können modifiziert werden (z.B. „putty.exe“ nur Zulässig für die AD-Gruppe „Administratoren“), neue Regeln können importiert werden (z.B. durch eine Funktion im Menü, die Regeln aus den Programmen in einem bestimmten Verzeichnis generiert und importiert), auch Alarme aus den Logfiles können mit einem Mausklick in eine positive Regel gewandelt werden.
Ein Update einer Software (was die Veränderung der Checksummen mit sich bringt, und daher eine Anpassung des Regelsatz erfordert), ist mit drei Mausklicks erledigt: LearnMode on, Applikation installieren und starten, LernMode off, in den Logs die neu gelernten Programme ansehen (um zu prüfen, dass nichts Unerwünschtes während der Installation des neuen Programms mit reingerutscht ist). Fertig. Zusätzlicher Administrationsaufwand während des normalen Betriebs: Null. Zusätzlicher Administrationsaufwand beim Update/Upgrade von Software: max. 1 Minute.
Frage: Aber das kann meine Firewall / Desktop Security System doch auch!
Ihre zentrale Firewall ist unabhängig vom Hersteller oder der Ausführung maximal in der Lage, sich übermittelte Datenpakete genauer anzusehen. Welches Programm diese Datenpakete abgeschickt hat, und ob dies vom Anwender so gewünscht war, kann Ihre Firewall auf keinen Fall ermitteln. Somit besteht bei jeder Firewall das Risiko, dass vertrauliche Daten über erlaubte Verbindungen (z.B. http:// ) übermittelt werden.
Personal Firewalls bieten keinen verlässlichen Schutz vor Angriffen. Experten vom CCC haben gezeigt, dass Personal Firewalls dem Benutzer das falsche Gefühl von Sicherheit vermitteln und in einigen Fällen sogar zusätzliche Sicherheitslücken aufreißen. Allgemeine Infos dazu finden Sie hier.
Andere derzeit auf dem Markt befindliche Desktop Security Systeme, die versprechen, das Starten von unerlaubten Programmen zu unterbinden, unterbinden das Starten von Programmen durch Benutzer. Dadurch wird aber z.B. nicht das Starten von Programmen durch andere Programme oder Systemprozesse verhindert, die mit Administrativen- oder Systemrechten laufen. Aber genau das passiert, wenn ein Angreifer eine Sicherheitslücke in einem System ausnutzt und dadurch ein eigenes Programm (z.B. einen Wurm) einschleust, denn in diesen Fällen wird der Wurm nicht von Benutzern gestartet, sondern von Programmen, deren Sicherheitslücken durch den Angreifer ausgenutzt wurden. SecuSurf unterbindet technisch im System-Kernel das Starten von nicht explizit erlaubten Prozessen. Dabei ist es im Gegensatz zu herkömmlichen Desktop Security Systemen auch Programmen mit administrativen Berechtigungen nicht möglich, unerlaubte Prozesse zu starten. Ein mit SecuSurf abgesichertes System ist sicher vor jeglichen Angriffsformen geschützt – nicht nur vor solchen, die explizit von Anwendern durchgeführt werden.
Frage: Wo ist der Unterschied zum Virenscanner?
Ein Virenscanner erlaubt alles, mit Ausnahme der Software, die der Virenscanner anhand der Signaturliste des Herstellers als unerwünscht/bösartig eingestuft hat. Regel: Alles erlauben. Ausnahme: als bösartig vermutete Software verbieten.
SecuSurf macht es genau anders herum: SecuSurf stellt technisch sicher, dass nur noch Software zur Ausführung kommen kann, deren „Fingerabdruck“ (Hash-Wert der gesamten Binärdatei) in der zentralen Datenbank als vertrauenswürdig eingestuft wurde. Regel: Alles verbieten. Ausnahme: Als vertrauenswürdig eingestufte Programme erlauben.
Frage: Wo ist der Unterschied zu Active-Directory Gruppenrichtlinien? Benutzer mit eingeschränkten Rechten können doch auch keine Software installieren!
Zur Ausführung von Software braucht man keine speziellen Rechte. Vereinfacht kann man sagen, dass die eingeschränkten Benutzerrechte hilfreich sind, wenn man bestimmte, bereits auf dem Rechner vorhandene Software dergestalt einschränken möchte, dass nur bestimmte User diese Software verwenden dürfen. Im Bezug auf die Sicherheit des Systems ist dies aber keine wesentliche Verbesserung, denn um diese bereits auf dem Rechner vorhandene Software geht es ja im Falle eines Angriffs nicht. Es ist immer noch problemlos möglich, eine neue Software unter den Rechten des eingeschränkten Benutzers auf den Rechner zu bringen und auch dort laufen zu lassen. Diese Software kann dann z.B. die Tastaturanschläge mitlesen oder Daten, auf die der Benutzer Zugriff hat, manipulieren.
Die Möglichkeit, per Gruppenrichtlinien Usern gewisse Rechte zu entziehen hat also vor allem etwas damit zu tun, dass man Usern gewisse Dinge verbieten kann. Der Zuwachs im Bereich Sicherheit ist damit aber eher gering.
Frage: Wieso spare ich beim Einsatz von SecuSurf Zeit und Geld?
Durch den Einsatz von SecuSurf sinkt der Aufwand im Bereich des 1rst und 2nd Level Usersupport beträchtlich, da die Benutzer ihre Systeme nicht mehr durch das Starten von unerwünschter Software schwächen können. Die Systeme werden langfristig stabiler, was sich sowohl bei den Kosten für die Administration als auch in einer höheren Produktivität der Belegschaft positiv auswirkt. Darüber hinaus sinken die Kosten für die sicherheitstechnische Administration erheblich. Es entfällt jegliche Suche nach erfolgreichen Angriffen, oder Virenbefall, es sind keine Audits des Netzwerkverkehrs oder Logfiles aus IDS-Protokollen notwendig. SecuSurf erzeugt keinen Wartungsaufwand, spart aber Wartungskosten ein.
Frage: Verspricht SecuSurf 100%ige Sicherheit?
Nein. Natürlich nicht. Weil es 100%ige Sicherheit prinzipiell nicht geben kann. Aber egal, wie viele Tausendstel zur 100%igen Sicherheit noch fehlen: nichts anderes bringt Sie diesen idealen 100% so nah, wie SecuSurf!
Teil 2 - Die Features von SecuSurf
Frage: Welche Software wird von SecuSurf erfasst?
Jegliche ausführbaren Programme, auch die Windows-internen Systemprogramme, die gestartet werden, bevor sich überhaupt ein Benutzer einloggt.
Frage: Werden auch DLLs oder Treiber mit erfasst?
Ja. Dies ist optional einstellbar.
Frage: Ermöglicht SecuSurf auch Device-Management?
Ja, die Verwaltung von USB-Geräten und Wechseldatenträgergeräten ist in SecuSurf integriert.
Frage: Ist feststellbar, wo SecuSurf läuft und wo nicht?
Ja, SecuSurf erfasst auch alle Geräte im LAN (Netzwerk-Nodes).
Geräte, die durch SecuSurf gesichert sind, werden in einer „gesicherten“ Liste aufgeführt. Geräte, die nicht durch SecuSurf gesichert sind (z.B. weil sie nicht gesichert werden können (Netzwerkdrucker) oder noch keine Installation von SecuSurf erfolgt ist), tauchen in einer Alarmliste auf. Einträge dieser Alarmliste können kommentiert werden und auf eine „ignorieren“ Liste gesetzt werden, sodass sie zukünftig keine Alarme mehr erzeugen. Dadurch wacht SecuSurf auch darüber, wenn neue Geräte im LAN angeschlossen werden.
Frage: Was ist der Lernmodus?
Im Lernmodus wird der SecuSurf Server angewiesen, unbekannte Prozesse/Geräte, die von bestimmten Benutzern/Rechnern/Gruppenmitgliedern gestartet wurden, in die Positivliste mit aufzunehmen. So lernt das System vollautomatisch, welche Software verwendet wird. Ein manuelles Hinzufügen von Software entfällt.
Frage: Gibt es Hilfe bei der Softwareverteilung
Ja. Wir haben dies durch eine integrierte Verwaltung der Agents gelöst. Die Administrationsoberfläche von SecuSurf beinhaltet ein RemoteClientManagement, die alle an das Active Directory angebundenen Systeme verwaltet (Installation, Update / Upgrade, Deinstallation des Agents). Sollte kein AD vorhanden sein, ist die Verteilung auch über Scripte oder andere Softwareverteilungstools möglich.
Frage: Ist eine Integration in Directory-Systeme vorhanden?
Ja, SecuSurf synchronisiert die Informationen über Benutzer, Gruppen und Computer aus dem ActiveDirectory, dem Novell-eDirectory und OpenLDAP.
Frage: Sind individuelle Berechtigungen vergebbar?
Ja. Sowohl auf Basis von IP-Adressen, IP Subnetzmasken als auch auf Basis von Benutzern, Computern und Gruppen, die aus einem zentralen Directory (AD,eDirectory,LDAP) repliziert werden. Jegliche Konfiguration kann sich auf alle Rechner oder eines der o.g. Objekttypen beziehen.
Frage: Für welche Betriebssysteme existieren SecuSurf Agents?
Die SecuSurf Agents funktionieren auf allen Windows-Versionen ab Windows NT4. Wird der Agent auf Windows NT4 installiert, enthält er funktionale Einschränkungen.
Frage: Sichert SecuSurf auch meine Server?
Ja. SecuSurf basiert auf dem Prinzip, alle Prozesse zu authentifizieren, die gestartet werden sollen. Dabei ist es unerheblich, ob dieses Programm auf einer Workstation oder einem Server läuft. Somit sichert SecuSurf auch Serversysteme ab.
Frage: Funktioniert SecuSurf auch offline. Also ohne Verbindung zum SecuSurf-Server?
Ja, der SecuSurf-Agent erstellt sich eine lokale Cache-Datei mit den Informationen, die er aus dem Datenverkehr mit dem SecuSurf Server erhalten hat. Das bedeutet, offline funktioniert alles, was online auch schon mal funktioniert hat.
Frage: Werden offline-Updates unterstützt?
Ja, sollte ein bisher noch unbekanntes Programm erstmalig gestartet werden, während der betreffende Rechner offline ist, so kann (individuell konfigurierbar) entweder offline alles ohne Rückfrage erlaubt sein, die Eingabe eines speziellen Passwortes abgefragt werden, oder ein Challenge-Response-Verfahren verwendet werden.
Frage: Gibt es Logs/Protokolle?
Ja, SecuSurf ermöglicht das Schreiben von Logs in ein externes Syslog (natives Unix-Syslog auf Unix Systemen und Import in das Windows Eventlog bei Windows, Ab SecuSurf Enterprise Ed.). Dieses kann dann mit herkömmlichen Methoden in bestehende Netzwerkmanagement-Systeme eingebunden werden. Auf diese Weise lässt sich SecuSurf hervorragend in bestehende Prozesse integrieren.
Teil 3 - Technische Details
Frage: Brauche ich dann noch eine Firewall, oder ersetzt SecuSurf meine Firewall?
SecuSurf ersetzt keine Firewalls. SecuSurf setzt zwar keine Firewalls oder Paketfilter voraus. Um ein Netz wirklich abzusichern, halten wir diese aber dennoch für unverzichtbar. SecuSurf ist daher als Ergänzung zu konventionellen Setups zu verstehen.
Frage: Kann der lokale Agent nicht umgangen oder ausgeschaltet werden?
SecuSurf sichert einen Host mehrstufig ab. Jeder Versuch, SecuSurf zu umgehen oder auszuschalten müsste von einem Programm ausgehen. Damit das Programm, welches also versuchen soll, SecuSurf zu umgehen, gestartet werden kann, muss es aber erst explizit in SecuSurf erlaubt sein, denn unerlaubte Programme können schlichtweg nicht starten. Damit können Programme von Angreifern SecuSurf und Ihren Host also gar nicht angreifen, so lange der Administrator das Programm des Angreifers nicht explizit freigibt. Dennoch kann man niemals gänzlich ausschließen, dass ein Angriff auf den SecuSurf Dienst Erfolg haben könnte und unser Dienst damit beendet wird. Was dann passiert ist, dass der Windows Kernel beim Start von jeglichen Prozessen nicht mehr mit dem SecuSurf Dienst sprechen kann um sich die Erlaubnis zu holen, das Programm zu starten. Damit ist also der größtmögliche Schaden der, dass auf einem erfolgreich angegriffenen Rechner einfach gar keine neuen Programme mehr starten können, weder die erlaubten, noch die verbotenen Programme.
Frage: Ich habe gehört, MD5 sei geknackt. Ist SecuSurf jetzt nicht unsicher?
In der Tat gibt es einen erfolgreichen Kollisionsangriff auf MD5. Dies bedeutet, dass es heute möglich ist, 2 binär verschiedene Dateien zu erzeugen, die die gleiche MD5-Prüfsumme haben (Kollisionsangriff).
Voraussetzung ist aber, dass beide Dateien aus der gleichen Quelle stammen. Beide Dateien müssen hierbei neu erzeugt werden und die MD5-Prüfsumme verändert sich durch das Anwenden dieses Kollisionsangriff auch in der Ursprungsdatei. Daher ist es nach wie vor nicht möglich, eine neue Datei zu erstellen, die eine vorgegebene MD5-Prüfsumme hat (Preimage-Angriff). Somit ist die bei MD5 gefundene Möglichkeit, Kollisionen zu erzeugen, keine Gefahr beim Einsatz von SecuSurf, denn Sie müssten in jedem Falle eine Software, die von einem Angreifer stammt, als vertrauenswürdig zulassen.
Frage: Was passiert bei einem „Buffer Overflow“ einer erlaubten Anwendung?
Ein „Buffer Overflow“ kann prinzipbedingt nicht durch zusätzliche Software unterbunden werden, da die Voraussetzungen für Buffer Overflows im Betriebssystem verankert sind. Daher verhindert auch SecuSurf keine Buffer Overflows. Jedoch verhindert SecuSurf den permanenten Befall mit einem Virus oder anderer Malware, auch, wenn diese durch Ausnutzung eines Buffer Overflows in das System eingeschleust wurde, da die Ausführung der (möglicherweise durch einen Buffer Overflow) eingeschleusten Malware von SecuSurf erkannt und unterbunden wird. Theoretisch ist es dem im Buffer befindlichen Code unter gewissen Umständen möglich, SecuSurf zu beenden zu versuchen. Wir haben allerdings Maßnahmen ergriffen, dies zu verhindern. So kann SecuSurf zunächst einmal nicht auf „normalem“ Wege beendet werden. Selbst wenn es dem Code des Angreifers im Buffer gelingen würde, SecuSurf „abzuschießen“, so verhindern zusätzliche nicht deinstallierbare Module im Kernel sofort die Ausführung von jeglichem Code. Der Rechner würde in diesem Fall hängen. Es ist einem Angreifer daher nicht möglich, die Kontrolle über einen durch SecuSurf gesicherten Rechner zu bekommen, auch nicht durch Ausnutzung eines Buffer Overflows.
Teil 4 - Technische Hilfe im Betrieb
Frage: Beim Setup des Agent erhalte ich die Fehlermeldung -Install failed: something was denied (Server not in lerning mode)-
Hintergrund hinter der Meldung „Server not in Learning mode“ ist, dass der Agent beim Setup alle derzeit laufenden Programme auf Freigabe auf dem Server überprüft. Ist eines der Programme nicht auf dem Server erlaubt, so beendet sich die Setup-Routine des Agents absichtlich, da nicht sichergestellt sein kann, dass gerade das Programm, das gerade verboten wurde, nicht beim Booten des Rechners benötigt wird. Wäre dem so, und SecuSurf würde das Programm verbieten, hätten wir damit den Rechner „abgeschossen“, weil ein zum Booten benötigtes Programm nicht ausgeführt werden darf. Um das zu verhindern beendet sich das Setup, wenn ein laufendes Programm vom Server verboten wurde. Und genau das teilt Ihnen diese Meldung mit.
Die Lösung ist also einfach: Schauen Sie in den Logs nach und stellen Sie fest, welches Programm während des Setups verboten wurde. Achten Sie dabei darauf, dass Sie den Filter für die Log-Einstellungen (Server-Konfiguration/Log-Level) auf maximal 3 gestellt haben.
Frage: Hinweise zur Prüfung von DLLs
Seit der Version 14 von SecuSurf ist es möglich, die Prüfung von DLLs und anderen Bibliotheken (z.B. Treiber) einzuschalten. Dies ermöglicht eine ganz erhebliche Erweiterung der Kontrollmöglichkeiten. Der Administrator kann nun wählen, ob er mehr Kontrollmöglichkeiten (=DLL checking an) oder die einfache Administration (=DLL checking aus) verwenden möchte. Es sei darauf hingewiesen, dass die Prüfung von DLLs die Zahl der Regeln ca. um das 8 bis 15-fache erhöht, was sich möglicherweise in der Administration niederschlagen wird. Der Zugewinn an Sicherheit hingegen ist im Vergleich zum Betrieb von SecuSurf mit ausgeschaltetem DLL checking eher klein. Das liegt daran, dass das Sicherheitsniveau von SecuSurf auch mit ausgeschaltetem DLL-checking schon immer so hoch war, dass es schwerlich möglich war, dies überhaupt noch zu erhöhen. Wir haben durch die Möglichkeit, praktisch jeglichen Code zu prüfen, die Messlatte zwar noch einmal erhöht, aber dies eigentlich nur von vielleicht „99,995% auf 99,9995%“, wenn man davon ausgeht, dass die 100%ige Sicherheit nie erreichbar sein kann. Dennoch macht die DLL Prüfung in Hochsicherheitsbereichen oder besonders exponierten Rechnern durchaus Sinn. Mit ausgeschaltetem DLL checking prüft SecuSurf jegliche Prozesse (.exe, .com, .pif, Screensaver, u.s.w.), also alles, was Sie im Taskmanager finden können. Bei eingeschalteten DLL checking zusätzlich auch DLLs, Treiber und jeglichen anderen dynamischen Code.
Bei der Dimensionierung ist zu beachten, dass die DLL Prüfung etwa das 8-15-Fache an Datenverkehr zum SecuSurf Server erzeugt. Ist derzeit ein SecuSurf Server für 5.500 Client-Verbindungen ausgelegt, so sollten zukünftig nur noch ca. 1.000- 2.000 Clients pro Server angebunden werden. Obwohl die 8-15 fache Menge an Prüfungen stattfinden können, wird aber die Auslegung der Server „nur“ halbiert, weil die Anzahl der gleichzeitigen Verbindungen gleich bleibt. Es treten nur pro Verbindung mehr Prüfungen auf, was den Server nicht so sehr belastet.
Frage: NT4 Unterstützung
Die Unterstützung von NT4 mit neuen Features findet nicht mehr statt. Die Version 1.12.21 unterstützt NT4 immer noch, jedoch ohne dynamische Agent-Konfiguration (individuelle Konfigurations-Regel im AdminWizard für z.B. Disable Passwort) und ohne DLL- oder Geräteprüfung. Die Version 1.12.21 wird ausschließlich auf NT4 weiter supportet. Ab Version 1.14.x ist der Agent nicht mehr auf NT4 lauffähig.
Teil 5 - Updates
Frage: Ich habe ein neues Update für den SecuSurf Admin-Wizard erhalten. Wie installiere ich es?
Schließen Sie zunächst den Admin-Wizard. Starten Sie danach die Updater-Datei "Admin-Wizard-Update-Vxx.xx.xx.exe". Achten Sie darauf, dass Sie das Update in den gleichen Pfad installieren, in dem Sie auch die erste Version des Admin-Wizards installiert haben.
Das Update wird automatisch installiert.
Sollten Sie auf dem Rechner, auf dem Sie den Admin-Wizard laufen lassen, auch den SecuSurf Agent installiert haben, dann sollten Sie den Server vor dem Update in den Lernmodus versetzen, da Sie sonst die neue Version wegen der veränderten Checksumme nicht starten können. (Das würden Sie aber merken, da Sie ja schon das Updateprogramm nicht starten könnten...)
In dem Update sind wichtige Dateien wie z.B. Ihr Zertifikat nicht enthalten. Sie können daher das Update immer nur über das ursprüngliche Setup installieren. Auf einem Rechner, auf dem der Admin-Wizard noch nie installiert war, reicht der Start des Updates nicht aus, um den Admin-Wizard vollständig zu installieren. Vielmehr müssen Sie in diesem Falle zunächst das Setup für den Admin-Wizard von der SecuSurf-Install-CD ausführen. Ist das Setup fertig, installieren Sie das aktuellste Update.
Frage: Ich habe ein Update für den SecuSurf Agenten erhalten. Wie installiere ich es?
In der Regel erhalten Sie beim Update des Agents lediglich eine neue autosetup.exe. Weitere notwendige Dateien (z.B. setup.ini und Ihr Zertifikat) sind ausschließlich auf der SecuSurf-Install-CD vorhanden. Kopieren Sie also die Dateien aus dem Verzeichnis „Client-Installer“ von der SecuSurf Install-CD in ein neues Verzeichnis und überschreiben Sie dann die dort befindliche autosetup.exe mit der neuen Datei, die Sie erhalten haben. Ändern Sie außerdem in der setup.ini den Eintrag "Version=" auf die aktuelle Version.
Manche Updates bringen neue Features und damit neue Einträge in der setup.ini mit sich. Sollte das autosetup.exe des SecuSurf Agents wegen fehlender Einträge in der setup.ini nicht erfolgreich sein, so überprüfen Sie Ihre setup.ini anhand der Vorgaben für die aktuelle Version.
Verwenden Sie das RCM, so müssen Sie die aktuelle autosetup.exe in das Verzeichnis „SecuSurf\install“ in Ihrem RCM-Share kopieren, von dem aus Sie die Softwareverteilung durchführen.
Das Update des Agents verlangt zwingend eine vorherige Deinstallation des Agents mittels autouninstall.exe. Danach kann eine Neuinstallation des Agents erfolgen.
Frage: Ich habe per E-Mail ein Update für den SecuSurf Server erhalten. Wie installiere ich es?
Das Einspielen eines Updates für den SecuSurf Server funktioniert über das Patch System. Sie erhalten einen Patch zum Update des Servers in Form einer verschlüsselten E-Mail.
Frage: Ich habe per Post ein Update für den SecuSurf Server erhalten. Wie installiere ich es?
Updates, die größere Änderungen im Server mit sich bringen, werden als CompactFlash (CF) Karte ausgeliefert. Stellen Sie vor dem Update zunächst sicher, dass alle SecuSurf Agents und der SecuSurf Admin-Wizard in neuester Version installiert sind. Erstellen Sie eine Datensicherung des SecuSurf Regelsatzes(„Datei/Speichern als“).
Sie haben mehr als einen SecuSurf-Server:
Sie haben nur einen SecuSurf-Server:
Haben Sie nur einen SecuSurf-Server, hat dieser beim Neustart nach einem Update mit einem neuen CF keine Konfiguration (keinen Regelsatz) mehr. Dies wird vom Server bemerkt, sodass dieser im Lernmodus startet. Dadurch wird in diesem Zeitraum den Benutzern nichts verboten und die Benutzer können ungehindert weiterarbeiten. Allerdings stellt SecuSurf in diesem Zeitraum auch keine Sicherheit zur Verfügung. Daher ist es sinnvoll nun möglichst zügig die zuvor erstellte Datensicherung zurückzuspielen. Warten Sie nach dem Start des Servers einige Minuten (z.B. 10), damit die Agents Zeit hatten, sich wieder mit dem Server zu verbinden. Schalten Sie dann den Lernmodus ab und importieren die Datensicherung. Aktivieren Sie dann diesen Regelsatz auf dem Server.
Frage: Welche anderen Updates gibt es (neben dem AdminWizard, dem Agent und dem Server) noch?
Neben den vorgenannten Programmodulen (Server, AdminWizard und Client/Agent) gibt es nur noch die Tools, die für das RCM benötigt werden. Bei einem Update eines der Tools reicht es, wenn Sie das vorhandene Programm mit dem Programm aus dem Update überschreiben.