月份：十月 2013

關於SEE RSE 【限制使用者安裝或使用 SEE client】& 【加密密碼更新】

1. SEE RSE 【限制使用者安裝或使用 SEE client】

SEE RSE 安裝會需要重開機，重開機後會要求註冊

如果勾選註冊時需要密碼驗證，那麼撿到此 SEE client 安裝程式的人，即使安裝了 SEE client 也無法使用(此註冊密碼可以在主控台管控)

也可以透過以下管理員帳戶來反註冊，或設定多久時間沒有登入就自動反註冊

2. 【加密密碼更新】

(1) 加密可以採用密碼加密，或是憑證加密

(2) default password

如果用戶端沒有設定 default password，則每次將檔案拖曳至隨身碟時，會跳出密碼視窗，請於此輸入加密密碼

如果用戶端 有設定 default password，則每次將檔案拖曳至隨身碟時，會直接使用此default password 來對檔案進行加密

先前對檔案加密時所使用的密碼(default password 或自行輸入的密碼)如需更改，僅能透過手動方式修改

不過，如果是透過 default password 加密的使用者，修改則相對簡單，只需要將隨身碟中的檔案拖曳回個人電腦 ( 自動解密 )，再拖曳回隨身碟 ( 就會自動以新的 default password 加密 )

(3) Workgroup Key

Workgroup Key 也是屬於密碼加密，舊的 Workgroup Key 若要異動，也需要重新加密

3. 以下是隨身碟插入有安裝 SEE Client 後的狀況

隨身碟圖示更改

自動複製 Access Utility

未安裝 SEE Client 的用戶端看到加密檔案是以 .XML 格式呈現

直接開啟會顯示亂碼

必須執行 Access Utility 來開啟加密檔案，Access Utility 視窗中加密檔案呈現紅色鎖頭

嘗試開啟會求輸入解密密碼

預設有4次錯誤密碼的容許次數，超次後會暫停1分鐘 (可設定)，5分鐘後會再 reset 成4次錯誤密碼的容許次數

Upgrade to SEE 8.2.1 MP7

Upgrade Management Server

Upgrade SEE Manager

1.MSIEXEC /i “[path]\Symantec Endpoint Encryption Framework[ x64].msi" REINSTALL="ALL" REINSTALLMODE="vomus"

MSIEXEC /i “D:\Symantec_Endpoint_Encryption_8.2.1_MP7_Removable_Storage_EN\ Symantec Endpoint Encryption Framework x64.msi" REINSTALL="ALL" REINSTALLMODE="vomus"

2.MSIEXEC /i “[path]\Symantec Endpoint Encryption Full Disk Edition[ x64].msi" REINSTALL="ALL" REINSTALLMODE="vomus"

MSIEXEC /i " D:\Symantec_Endpoint_Encryption_8.2.1_MP7_Full_Disk_EN\SEE-FD\Server Installers\ Symantec Endpoint Encryption Full Disk Edition x64.msi" REINSTALL="ALL" REINSTALLMODE="vomus"

3.MSIEXEC /i “[path]\Symantec Endpoint Encryption Removable Storage[ x64].msi" REINSTALL="ALL" REINSTALLMODE="vomus"

MSIEXEC /i “D:\Symantec_Endpoint_Encryption_8.2.1_MP7_Removable_Storage_EN\ Symantec Endpoint Encryption Removable Storage x64.msi" REINSTALL="ALL" REINSTALLMODE="vomus"

Upgrade Windows Client

同上

SEE Removable Storage Edition 用戶端登入

123

未來Full Disk 忘記密碼時，可以透過以下問答的驗證來允許登入

SEE Administrator Client

用 Client Administrator 登入後，可以取消註冊到 SEE 的用戶端

插入的 USB 是屬於例外的裝置，新增的檔案不會被加密

SEERemovableStorageAccessUtility (Windows & Mac) 會自動 copy 至 USB 中

SEE Help Desk

[Client]

[Client]

[Client]

[Client]

[Client]

4_SEE RSE Policy

Native policies

• 只能套用至 computer (套用順序：computer、Sub group、Group)
• Native policies are designed for deployment to computers that are not managed by Active Directory.

SEE Roles

• Policy Administrators
• Client Administrators
• Policy Create

SEE 有此兩類 Policy

• 【Active Directory Policy】
• 【Native Policy】

【Active Directory Policy】的畫面

展開【Machine Policy】→【Framework】→來進行以下相關項目的設定

【Client Administrator】

The password must be a minimum of two characters and no longer than 32

Token->P7B file

※ Client Admin 的驗證方式與管理權限 RSE → (用來 Unregister user)，FD → (用來 Decrypt drivers、Extend lockout、Unlock)

※ Level →8.0.0 之後用不到

【Registered Users】

【Password Authentication】

【Token Authentication】

允許過期憑證驗證

【Authentication Message】

驗證遇到問題時，可依訊息所指定的方式聯繫資訊人員協助處理

【Communication】

用戶端電腦每隔多久傳送狀態更新給 SEE Management Server

展開【User Policy】→【Framework】→來進行以下相關項目的設定

【Single Sign-on】

【Authenti-Check】

【One-Time Password】

Full Disk 使用者忘記密碼時使用

展開【Machine Policy】→【Removable Storage】→來進行以下 【Removable Storage】 相關項目的設定

【Access and Encryption】

【Device and File Type Exclusions】

【Encryption Method】

【Default Password】

Session Default Password

可以設定兩個 Session Default Password

Device Session Default Password

【Recovery Certificate】

http://www.symantec.com/connect/forums/password-recovery-encrypted-files If you have a master certificate, you may. 1. Launch MMC, add Certificates snap-in for my user account. 2. Expand Certificates – Current User under Console Root in the left pane, right click Personal folder, then go to All tasks -> click Request new certificate… 3. Select User as certificate type, click Next. 4. Give it a friendly name, click Next. 5. Verify the details at the last screen and click Finish. 6. By default, Windows 2003 enterprise root CA is configured to automatically generate a user certificate upon receiving a request. So now, you should see a Certificates folder under Personal folder in the left pane. 8. Click the Certificates folder, in the right pane, you should see the user certificate that’s just generated. 9. Right click the user certificate, go to All tasks -> click on Export…. 10. Select No, do not export the private key and click Next. 11. Select Cryptographic Message Syntax Standard – PKCS #7 Certificates (..P7B), then next. 12. Give it a name, and click Finish. Now create the Removable storage client package. In the Removable Storage Installation Settings –Encryption Method, select A password or A password and/or one or more certificates. In the Removable Storage Installation Settings –Recovery Certificate, choose Encrypt files with a recovery certificate and browse and select the saved P7B certificate. In the Removable Storage Installation Settings – Portability pane check Copy the Removable Storage Access Utility to all removable storage devices.

【Workgroup Key】

【Portability】

展開【Machine Policy】→【Full Disk】→來進行以下 【Full Disk】 相關項目的設定

【Startup】

【Logon History】

【Autologon】client 收到 policy 後要5分鐘才生效

【Remote Decryption】

【Client Monitor】

【Local Decryption】

[Removable Storage Edition client Package 建立]

允許存取移動式媒體上的檔案

並且加密移動式媒體上新增的的檔案

停用 Windows 內建的光碟燒錄功能

利用【symantec endpoint encryption device control auditor】來查詢 Vendor ID 和 Device ID

最多 50 筆

無法查詢 eSATA

※【symantec endpoint encryption device control auditor】可於 File Connect SEE Device Control 中下載取得

設定排除

如果選擇 certificates 需要匯入 .p7b 憑證檔

Default Password

Session Default Password

可以設定兩個 Session Default Password

Device Session Default Password

Recovery Certificates (復原憑證)

加密 Removable Storage Devices 時，除了使用使用者提供的密碼，也使用此復原憑證，一但使用者離職或忘記密碼時，便可以使用此復原憑證還原檔案

Workgroup Key

同一個 group 的成員可以建立Workgroup Key，如此同一個 group 的成員所加密的檔案彼此分享時，將不會提示輸入密碼或憑證