PGP 用戶端安裝 | 賽門鐵克

安裝 PGP Desktop 10.3.2 MP6 在 Mac OS X 10.10 需先 disable CoreStorage

What’s Changed in Symantec Encryption Desktop for Mac OS X 10.3.2 MP6
General
• Resolved incompatibilities with Apple Mac OS X 10.10 systems.
Known issues
• Compatibility with CoreStorage: CoreStorage may be applied, by default, to your Mac OS X 10.10 drives. Symantec Encryption Desktop is not compatible with CoreStorage drives. In order to install Encryption Desktop, you must disable CoreStorage. In addition, in order to prevent future issues, including issues with an encrypted disk, do not re-enable CoreStorage after Encryption Desktop has been installed and your drive has been encrypted. Failure to do so could result in data that cannot be recovered. This issue will be resolved in a future release of the product. [3653114]

所以目前安裝PGP於10.10之前需要先做以下動作

1. 先開啟terminal視窗
下指令: diskutil list查詢目前的情況
10.10版本的預設值會開啟CoreStorage

2. 輸入指令轉換格式：diskutil cs revert / (請注意revert後需要加一個空格再打/)
接著下diskutil list檢查一次格式
Hdd將會轉換回App_HFS，之後就可以正常安裝

漫遊使用者能否在 PGP 下正常運作?

漫遊使用者可以在 PGP 下正常運作

請參考以下測試

Roaming_user account is a roaming user

Windows7-temp.elite2003.intra is a domain computer and has installed the PGP client program,then the boot partition was encrypted.

We log out the current user and login with Roaming_user account.

As the same step,you must press the [ Always Allow for This Site ] to accept the Certificate.(We will use the publish CA and you will not see the PGP Alert. )

Please type the password for this domain roaming user.

After the silent enrollment finished,you can see the domain roaming user become a bootguard user.

This means that the domain roaming user account can pass the bootguard anthentication then single-sign-on to the Windows on this computer.

So if the domain roaming user account can login to any computer and enroll to the PGP Encryption Managemnet Server,it will work fine on these computers.

Document\PGP\ can be created and you can find the PGP key pair.

\\192.168.181.121\profiles\roaming_user.V2\Documents\PGP

User the domain roaming user to another computer

Type the password for this domain roaming user.

Enrolling to the PGP Encryption Managemnet Server

After the silent enrollment finished,you can see the domain roaming user become a bootguard user.

Review the roaming user profile document folder

View the record on the console

※ The roaming user also create a local user profile on local,you can find the PGP key pair in the c:\users\%username%\Documents\PGP,so it is working fine if the roaming user is offline.

如何以指令手動建立 PGP 本機帳戶以通過 Bootguard 驗證

指令如下

( 如果硬碟正在加密的同時，此指令仍可正常執行 )

cd C:\Program Files\PGP Corporation\PGP Desktop

pgpwde –add-user –disk 0 –username “Ben" –passphrase benben –admin-passphrase p@ssw0rd

【指令說明】

pgpwde –add-user –disk 0 –username “Ben(使用者名稱)" –passphrase benben(密碼) –admin-passphrase p@ssw0rd(WDE admin 密碼)

(詳細的指令說明可參考以下 PDF 文件)

http://www.wellife.com.tw/symantec/wp-content/uploads/sites/4/2014/10/pgpWDEcmdline_1000_usersguide_en.pdf

範例1：建 Local Boot Guard user account

範例2：建 Domain SSO user account

PGP 安裝完成後，在用戶端介面中找不到硬碟可加密 (或是出現 unknown error 11980)

目前 PGP 不支援 4K sector byte size，僅支援 512 sector byte size

請參考

http://www.symantec.com/business/support/index?page=content&id=TECH173657

以下是 PGP 安裝完成後，在 Mac 用戶端介面中找不到硬碟可加密的畫面

您可以參考以下網頁來確認 sector byte size

【Symantec Drive Encryption How to find the sector byte size】

http://www.symantec.com/business/support/index?page=content&id=TECH198917

For Windows

在命令提示字元輸入 fsutil fsinfo ntfsinfo c:

For Mac

請參考以下網頁

輸入

diskutil info /| grep “Block Size"

http://apple.stackexchange.com/questions/78802/what-are-the-sector-sizes-on-mac-os-x

$ diskutil info /| grep "Block Size"

已安裝 Symantec Drive Encryption (PGP WDE) 且已完成加密的用戶端，如何在不解密的狀況下，移轉到新的 PGP 主控台?

Description:

http://www.symantec.com/docs/HOWTO79579

1. Click on the Symantec Encryption Desktop icon by the time, in the task bar and click Exit PGP Services.

2. Delete the Symantec Encryption Desktop client preferences:

Click Start > Run… on Windows XP or Click Start and type “%appdata%" on Windows Vista or Windows 7.

Change directory into PGP Corporation/PGP and delete PGPpolicy.xml and PGPprefs.xml.

開啟檔案總管，在路徑中輸入【%appdata%】並按下【Enter】

双按【PGP Corporation】

双按【PGP】

刪除【PGPpolicy.xml】與【PGPprefs.xml】

3. Update the PGPSTAMP registry entry to point to the new Symantec Encryption Management Server:
Click Start>Run… on XP or Click Start and type regedit on Vista or Windows 7.
Browse to this Key name:
64 bit system:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\PGP Corporation\PGP
32 bit system:
HKEY_LOCAL_MACHINE\SOFTWARE\PGP Corporation\PGP

按下鍵盤的【Windows 鍵】+【R】，並輸入【regedit】來開啟註冊機碼編輯器

此畫面為 Windows 7 32 位元，路徑為【HKEY_LOCAL_MACHINE\SOFTWARE\PGP Corporation\PGP】

Right-click the string value “PGPSTAMP" and select Modify to change the Value data from “ovid=<Old Symantec Encryption Management Server name>&mail=*&admin=1″ to “ovid=<New Symantec Encryption Management Server FQDN>&mail=*&admin=1″ without the quotes.

將值由舊的 ovid=<keys11.elite2003.intra>&mail=*&admin=1 (舊主控台的 FQDN)

改為新的 ovid=<keys.elite2003.intra>&mail=*&admin=1 (新主控台的 FQDN)

新的 ovid=<keys.elite2003.intra>&mail=*&admin=1 (新主控台的 FQDN)

3. Restart PGP services:
Click Start > All Programs > Startup > PGP Tray.
This will prompt Symantec Encryption Desktop to contact the new server for enrollment.

重啟用戶端 PGP 服務

新的 PGP server 會要求重新註冊，請按下【Always Allow for This Site】來重新註冊

因為是整合 AD 驗證，目前登入的網域使用者帳戶會自動帶出，請輸入該網域使用者的網域密碼，即可完成 PGP client 的移轉

【安裝 PGP WDE for Ubuntu 發生錯誤】…套件庫未更新

Ldconfig deferred processing now taking place

W:無法取得 http://us.archive.ubuntu.com/ Ubuntu/dists/hardy/multiverse/binary-amd64/packages,404 Not Found

【原因】

套件庫未更新

【解決方法】

1. 請在有網路的狀態下

輸入

sudo apt-get update

更新套件庫

2. 若仍持續無法更新，請嘗試以下步驟

(1) 下載原始檔 source.list檔 (下載檔為 sources.rar ，請解壓後將 sources.list 放到根目錄底下)

(2) 進入根目錄

#cd ~

(3) 備份user source.list檔案

#sudo cp etc/apt/sources.list etc/apt/sources.list.bak

(4) 覆蓋source檔案

#sudo cp sources.list etc/apt/sources.list

(5) 更新套件

#sudo apt-get update

(6) 安裝PGP(參考安裝sop)

#sudo bash pgp---

(7) 移除source檔案

#sudo rm etc/apt/source.list

(8) 還原user source檔案

#sudo cp sources.list.bak etc/apt/sources.list

3. 如果是下列 Ubuntu版本，則 PGP無法支援

(1) 確認Ubuntu版本指令 # lsb_release -a

(2) 從錯誤連結查看 http://archive.ubuntu.com/ubuntu/dists/hardy or hardy-updates

確認 Ubuntu 版本【haydy 代號版本 8.04.X 已經EOL了】，所以不再提供相依性更新包

Ubuntu 網址：

https://wiki.ubuntu.com/Releases

(3) 在lab環境裡

下apt-get update指令去找的source 是"http://tw.archive.ubuntu.com/ubuntu"

在網址開頭都有"tw"，如圖：

Windows 7 與 Ubuntu 雙系統進行 PGP加密

Windows 7 與 Ubuntu 雙系統進行 PGP加密 (以下操作是指雙系統均有支援PGP程式)

※請注意※PGP僅支援雙系統在同一顆硬碟上

參考KB：http://www.symantec.com/docs/TECH148982

# 選擇Windows 7 開機

#Win7使用登入

Win7 PGP 安裝完成後重新開機

重開機後此時先選擇登入UBUNTU

※請注意※如果Ubuntu不是 PGP 支援的版本，則不需要再安裝 PGP程式。直接在 Windows系統上以 Windows Partition (Not Boot Disk) 進行加密。

※請注意※如果 Ubuntu 是 PGP 支援的版本，則往下繼續安裝…….

進行UBUNTU的PGP安裝

安裝完成後請重新開機

重新開機後進入WINDOWS

登入PGP 使用AD進行自動加密

※注意※此時請勿進入UBUNTU系統進行enroll

Bootguard 登入使用AD帳號密碼

進入Bootguard可以到GRUB切換系統

※UBUNTU※不需要進行enroll或加密

PGP for Mac 用戶端安裝 (受主控台控管並整合 AD 驗證)

【PGP for Mac 用戶端安裝 (受主控台控管並整合 AD 驗證)】

Symantec Drive Encryption for Mac managed by Encryption management server (受主控台控管並整合 AD 驗證)

Symantec Drive Encryption = PGP WDE

Symantec Encryption management server = PGP Universal server

1. 請先至主控台下載 Mac OS X 用戶端安裝程式

2. 請記得勾選【Customize】及【Auto-detect Policy Group】，以利自動套用群組與政策

3. 將安裝程式【PGPDesktop.tar】複製到 Mac 用戶端，並雙按此檔案

4. 自動解壓縮為資料夾【pgpdesktop9】

5. 開啟資料夾並雙按【PGP.pkg】執行安裝

6. 請按【繼續】來確認安裝

7. 安裝【PGP.pkg】需先安裝【Java SE 6 runtime】，請按【安裝】來安裝【Java SE 6 runtime】

8. 請按【同意】來進行【Java SE 6 runtime】安裝

9. 【Java SE 6 runtime】安裝中

10. 【Java SE 6 runtime】安裝完成

11. 請先按【關閉】，稍後再次進行【PGP.pkg】的安裝

12. 再次雙按【PGP.pkg】執行安裝

13. 請按【繼續】來確認安裝

14. 請按【繼續】來開始【Symantec Encryption Desktop】安裝

15. 確認【Symantec Encryption Desktop】的安裝資訊，請按【繼續】進行安裝

16. 確認【語系】與【軟體許可協議】後，請按【繼續】進行安裝

17. 請按【Agree】確認授權條款

18. 請按【繼續】確認選取目標

19. 若無需更改安裝位置，請按【安裝】來開始【Symantec Encryption Desktop】安裝

20. 請輸入目前 Mac 電腦管理員的【密碼】，輸入後請按【安裝軟體】繼續

21. 畫面提示您軟體安裝後須重啟電腦，請按【繼續安裝】

22. 【Symantec Encryption Desktop】安裝中

23. 【Symantec Encryption Desktop】安裝完成，，請按【重新啟動】

24. 重啟電腦後，請登入

25. 會自動跳出憑證驗證視窗，請按下【Always Allow】來永遠接受此憑證

26. 因為是何 AD驗證與集中控管的原因，此畫面是要進行 Symantec Drive Encryption 的註冊，請輸入【網域使用者的帳號與密碼】，來自動報到至主控台上相對應的群組，如此才能套用到專屬的政策

27. Key Pair 建立並同步至主控台，群組政策亦套用中

28. 請輸入先前網域帳號的【密碼】，稍後將自動進行硬碟加密

※ 主控台群組中可確認【該網域使用者】已報到至相對應的【PGP 群組】

※ 硬碟顯示【開始加密】狀態

※ 用戶端介面中亦顯示加密進行中

※ 如果將加密程序【暫停】，重啟電腦後會出現以下【PGP BootGuard】畫面，請輸入先前步驟輸入的【Passphrase】

※ 若忘記密碼請按下鍵盤【F4】鍵

※ 此畫面仍請登入 Mac 管理員

※ 請輸入先前步驟輸入的【Passphrase】，並請勾選【Save passphrase in keychain】否則下次登入後此驗證頁面會再次出現

※ 請按下【Resume】繼續先前的加密作業

【[ PGP 全硬碟加密 ]..同一台 NB 若有多人使用不同網域使用者帳戶登入使用，若首位使用者安裝、註冊、加密硬碟後，其他使用者是否可以正常使用該NB】

【[ PGP 全硬碟加密 ]..同一台 NB 若有多人使用不同網域使用者帳戶登入使用，若首位使用者安裝、註冊、加密硬碟後，其他使用者是否可以正常使用該NB】

Ans:首位使用者安裝、註冊、加密硬碟後，其他使用者仍然可以正常使用該NB

1. 首位使用者已完成安裝、註冊、加密硬碟

2. 登出第一位使用者，然後以第二位使用者的帳號登入，登入後出現以下畫面，請按下【Always Allow for This Site】

3. 以下畫面中，登入的使用者帳戶名稱會自動帶出來，請輸入該使用者的網域密碼

4. 註冊完成，PGP正常運作，不會再進行硬碟加密 (因為首位使用者已加密完成)

5. 開啟用戶端 PGP 管理畫面，可以看到第二位使用者帳戶已自動加入全硬碟加密使用者中

6. 重新啟動電腦，以第二位使用者帳戶、密碼仍然可以成功登入

如果您想要讓本機使用者的帳號、密碼也可以登入 PGP BootGuard，請您在用戶端全硬碟加密頁面中，按下右方【New Passphrase User】

詳細步驟如下：

1. 點選桌面右下方 PGP icon，並按下【Open PGP Desktop ( Symantec Drive Encryption )】

2. 點選【Encryption Whole Disk】，並按下右方【New Passphrase User】

3. 點選【Use Windows Password】，並按下【Next】

4. 按下【Next】

5. 在此頁面入目前已存在的本機帳戶與密碼，並按下【Next】

6. 再輸入一次密碼

7. 本機帳戶已出現在Encrypt Whole Disk User 中

8. 本機帳戶可成功登入 BootGuard

9. 因為是集中控管的 PGP client，所以進入 Windows 後會出現註冊畫面，由於設定為整合 AD 驗證，此處不能輸入本機帳戶與密碼，必須輸入網域使用者與密碼

【Symantec Drive Encryption (原 PGP Whole Disk Encryption) 用戶端硬碟加密前的前置作業】

原廠原始文件連結

Enterprise Support – Symantec Corp. – Best Practices Symantec Drive Encryption

http://www.symantec.com/business/support/index?page=content&id=TECH149543

【說明】

1. 以下內容提供使用者在使用【賽門鐵克Symantec Drive Encryption (原 PGP Whole Disk Encryption)】來進行硬碟加密保護前建議確認與施作的相關項目

2. 建議確認與施作的相關項目可確保硬碟加密過程順利；以及加密作業完成後，系統依然能穩定地操作使用

【建議確認與施作的相關項目】

1. 確定目標硬碟是否支援

【支援的硬碟類型】

l 桌上型或筆記型電腦的硬碟，包含 SSD (solid-state drive)，可加密分割區或整顆硬碟
l 支援 04(FAT16)、06(FAT16B)、07(NTFS)、0B(FAT32) 硬碟格式
l Windows 7 、Windows 8 、Windows 8.1 UEFI 系統僅支援 x64 系統 (硬體需為微軟 Windows 7 、Windows 8 、Windows 8.1 certified 過)，並且 Symantec Drive Encryption 需為 10.3.2 (含)以上
http://www.symantec.com/business/support/index?page=content&id=TECH203071
l 開機磁區若為 GPT 格式，該硬碟僅允許一個 UEFI 系統磁區存在
l 開機磁碟不支援 RAID 或 LVM (Logical Volume Managers)
l 不支援不含有線鍵盤的平板或系統

【不支援的硬碟類型】

l Dynamic disks
l SCSI / SAS drives 或 controller
l Software RAID disks
l exFAT 格式
l 開機磁區與系統磁區不在同一顆硬碟

2. 確認作業系統是否支援

l Windows 8 (8.1) 企業版（32位和64位版本）
l Windows 8 (8.1) 專業版（32位和64位版本）
l Windows 7（所有32位和64位版本，包括Service Pack 1）
l Windows XP專業版32位（Service Pack 2或3）
l Windows XP專業版64位版（Service Pack 2）
l Windows XP家用版（Service Pack 2或3）
l Windows Vista（所有32 – 位和64位版本，包括Service Pack 2）
l Windows Server 2003（Service Pack 1和2）
l Windows Server 2003 SP2（32位和64位版本）
l Windows Server 2008的SP1＆SP2
l Windows Server 2008 R2（64位）

3. 確認鍵盤的支援

請確認您使用的鍵盤支持的語言，支持的語言的列表，請參考以下URL：

l Windows

http://www.symantec.com/business/support/index?page=content&id=TECH149728

l Mac OS X

http://www.symantec.com/docs/TECH149729

4. 進行硬碟加密前請先備份系統

進行硬碟加密前請先進行系統備份或重要資料備份，避免加密後系統無法正常開機或硬碟無法解密

l Windows 7 的備份、還原可參考以下微軟官網URL step by step 的操作

一點通 – 如何完整備份與還原 Windows 7

http://support.microsoft.com/kb/2138292/zh-tw

l Windows 8、Windows 8.1的備份、還原可參考以下URL

使用Windows 8.1內建工具來備份系統 (文件來源：iThome Download)

http://download.ithome.com.tw/article/index/id/2192

l 或是採購 Symantec System Recovery 來進行備份
註：Windows 8、Windows 8.1 的備份

5. 進行硬碟加密前請先確認硬碟是否有壞軌，並請進行磁碟重組

l 使用未受控管的模式在用戶端安裝Symantec Drive Encryption，加密的過程若是遇到壞軌，預設加密的程序會暫停
l 使用受主控台控管的模式在用戶端安裝Symantec Drive Encryption，加密的過程若是遇到壞軌，系統會將此事件紀錄至主控台事件中，但加密的程序會繼續運作
l 可使用 chkdsk C: /F chkdsk C: /R (修復)

l 或使用 SpinRite、Norton Disk Doctor 來嘗試確認與修復
l 可透過【系統工具】→【磁碟重組工具】來進行磁碟重組

參考網址：

http://blog.xuite.net/yh96301/blog/34330846-Windows+7+%E7%A3%81%E7%A2%9F%E6%B8%85%E7%90%86%E8%88%87%E7%A3%81%E7%A2%9F%E9%87%8D%E7%B5%84

6. 建立復原光碟 (Recovery CD)

l 可以向管理者取得【bootg.iso 復原光碟】
l 或是參考以下網址 http://www.wellife.com.tw/symantec/?p=4797 製作 PGP for WINPE 復原光碟
l 復原光碟使用請參考以下網址 http://www.wellife.com.tw/symantec/?p=5381

7. 請確保加密的過程中電力不中斷

l 筆記型電腦請使用 AC 電源
l 管理者請在主控台政策中勾選【Force power failure safety】

8. 請確認筆記型電腦【電源選項】不使用休 (睡) 眠或其他相關的省電模式

l 筆記型電腦休眠或其他相關的省電模式可能會延長或中斷硬碟加密的操作過程
l 為了確保最大速度加密，我們建議改變【電源選項】不使用休 (睡) 眠

9. 大量佈署前，請先進行少數電腦的佈署測試，確認是否有軟體衝突或不相容的狀況發生

以下軟體與Symantec Drive Encryption不相容：

l Faronics Deep Freeze (任何版本)
l Utimaco Safeguard Easy 3.x
l Absolute Software’s CompuTrace laptop security and tracking product. Drive Encryption is compatible only with the BIOS configuration of CompuTrace. Using CompuTrace in MBR mode is not compatible.
l Hard disk encryption products from GuardianEdge Technologies: Encryption Anywhere Hard Disk and Encryption Plus Hard Disk products, formerly known as PC Guardian products

以下程式與Symantec Drive Encryption並存在同一系統上，會block Symantec Drive Encryption的功能：

l Safeboot Solo
l SecureStar SCPP10

10. 如果可以的話，請您在硬碟加密完成後立即進行以下的硬碟解密測試 (擇1)

l 透過用戶端Symantec Drive Encryption介面來解密硬碟 (如果管理政策允許您解密)

l 使用 bootg.iso 開機來解密硬碟

l 將加密硬碟外接到另一台有安裝過Symantec Drive Encryption的電腦，會跳出如下畫面輸入密碼，若輸入完成後就可以正常讀取裡面資料

l 將加密硬碟外接到另一台有安裝過Symantec Drive Encryption的電腦，使用解密指令來進行硬碟解密

解密指令

c:\program files (x86)\pgp corporation\pgp desktop\pgpwde.exe –enum (確認 Disk 編號)

c:\program files (x86)\pgp corporation\pgp desktop\pgpwde.exe –status (確認 Disk 加密狀態)
c:\program files (x86)\pgp corporation\pgp desktop\pgpwde.exe –disk X –fixmbr –passphrase <passphrase> (解密硬碟，X 是 disk 編號)

l 註：【PGP command line】