原廠原始文件連結
Enterprise Support – Symantec Corp. – Best Practices Symantec Drive Encryption
http://www.symantec.com/business/support/index?page=content&id=TECH149543
【說明】
1. 以下內容提供使用者在使用【賽門鐵克Symantec Drive Encryption (原 PGP Whole Disk Encryption)】來進行硬碟加密保護前建議確認與施作的相關項目
2. 建議確認與施作的相關項目可確保硬碟加密過程順利;以及加密作業完成後,系統依然能穩定地操作使用
【建議確認與施作的相關項目】
1. 確定目標硬碟是否支援
【支援的硬碟類型】
- l 桌上型或筆記型電腦的硬碟,包含 SSD (solid-state drive),可加密分割區或整顆硬碟
- l 支援 04(FAT16)、06(FAT16B)、07(NTFS)、0B(FAT32) 硬碟格式
- l Windows 7 、Windows 8 、Windows 8.1 UEFI 系統僅支援 x64 系統 (硬體需為微軟 Windows 7 、Windows 8 、Windows 8.1 certified 過),並且 Symantec Drive Encryption 需為 10.3.2 (含)以上
- http://www.symantec.com/business/support/index?page=content&id=TECH203071
- l 開機磁區若為 GPT 格式,該硬碟僅允許一個 UEFI 系統磁區存在
- l 開機磁碟不支援 RAID 或 LVM (Logical Volume Managers)
- l 不支援不含有線鍵盤的平板或系統
【不支援的硬碟類型】
- l Dynamic disks
- l SCSI / SAS drives 或 controller
- l Software RAID disks
- l exFAT 格式
- l 開機磁區與系統磁區不在同一顆硬碟
2. 確認作業系統是否支援
- l Windows 8 (8.1) 企業版(32位和64位版本)
- l Windows 8 (8.1) 專業版(32位和64位版本)
- l Windows 7(所有32位和64位版本,包括Service Pack 1)
- l Windows XP專業版32位(Service Pack 2或3)
- l Windows XP專業版64位版(Service Pack 2)
- l Windows XP家用版(Service Pack 2或3)
- l Windows Vista(所有32 – 位和64位版本,包括Service Pack 2)
- l Windows Server 2003(Service Pack 1和2)
- l Windows Server 2003 SP2(32位和64位版本)
- l Windows Server 2008的SP1&SP2
- l Windows Server 2008 R2(64位)
3. 確認鍵盤的支援
請確認您使用的鍵盤支持的語言,支持的語言的列表,請參考以下URL:
- l Windows
http://www.symantec.com/business/support/index?page=content&id=TECH149728
- l Mac OS X
http://www.symantec.com/docs/TECH149729
4. 進行硬碟加密前請先備份系統
進行硬碟加密前請先進行系統備份或重要資料備份,避免加密後系統無法正常開機或硬碟無法解密
- l Windows 7 的備份、還原可參考以下微軟官網URL step by step 的操作
一點通 – 如何完整備份與還原 Windows 7
http://support.microsoft.com/kb/2138292/zh-tw
- l Windows 8、Windows 8.1的備份、還原可參考以下URL
使用Windows 8.1內建工具來備份系統 (文件來源:iThome Download)
http://download.ithome.com.tw/article/index/id/2192
- l 或是採購 Symantec System Recovery 來進行備份
- 註:Windows 8、Windows 8.1 的備份
5. 進行硬碟加密前請先確認硬碟是否有壞軌,並請進行磁碟重組
- l 使用未受控管的模式在用戶端安裝Symantec Drive Encryption,加密的過程若是遇到壞軌,預設加密的程序會暫停
- l 使用受主控台控管的模式在用戶端安裝Symantec Drive Encryption,加密的過程若是遇到壞軌,系統會將此事件紀錄至主控台事件中,但加密的程序會繼續運作
- l 可使用 chkdsk C: /F chkdsk C: /R (修復)
- l 或使用 SpinRite、Norton Disk Doctor 來嘗試確認與修復
- l 可透過【系統工具】→【磁碟重組工具】來進行磁碟重組
參考網址:
6. 建立復原光碟 (Recovery CD)
- l 可以向管理者取得 【bootg.iso 復原光碟】
- l 或是參考以下網址 http://www.wellife.com.tw/symantec/?p=4797 製作 PGP for WINPE 復原光碟
- l 復原光碟使用請參考以下網址 http://www.wellife.com.tw/symantec/?p=5381
7. 請確保加密的過程中電力不中斷
- l 筆記型電腦請使用 AC 電源
- l 管理者請在主控台政策中勾選【Force power failure safety】
8. 請確認筆記型電腦【電源選項】不使用休 (睡) 眠或其他相關的省電模式
- l 筆記型電腦休眠或其他相關的省電模式可能會延長或中斷硬碟加密的操作過程
- l 為了確保最大速度加密,我們建議改變【電源選項】不使用休 (睡) 眠
9. 大量佈署前,請先進行少數電腦的佈署測試,確認是否有軟體衝突或不相容的狀況發生
以下軟體與Symantec Drive Encryption不相容:
- l Faronics Deep Freeze (任何版本)
- l Utimaco Safeguard Easy 3.x
- l Absolute Software’s CompuTrace laptop security and tracking product. Drive Encryption is compatible only with the BIOS configuration of CompuTrace. Using CompuTrace in MBR mode is not compatible.
- l Hard disk encryption products from GuardianEdge Technologies: Encryption Anywhere Hard Disk and Encryption Plus Hard Disk products, formerly known as PC Guardian products
以下程式與Symantec Drive Encryption並存在同一系統上,會block Symantec Drive Encryption的功能:
- l Safeboot Solo
- l SecureStar SCPP10
10. 如果可以的話,請您在硬碟加密完成後立即進行以下的硬碟解密測試 (擇1)
- l 透過用戶端Symantec Drive Encryption介面來解密硬碟 (如果管理政策允許您解密)
- l 使用 bootg.iso 開機來解密硬碟
- l 將加密硬碟外接到另一台有安裝過Symantec Drive Encryption的電腦,會跳出如下畫面輸入密碼,若輸入完成後就可以正常讀取裡面資料
- l 將加密硬碟外接到另一台有安裝過Symantec Drive Encryption的電腦,使用解密指令來進行硬碟解密
解密指令
c:\program files (x86)\pgp corporation\pgp desktop\pgpwde.exe –enum (確認 Disk 編號)
c:\program files (x86)\pgp corporation\pgp desktop\pgpwde.exe –status (確認 Disk 加密狀態)
c:\program files (x86)\pgp corporation\pgp desktop\pgpwde.exe –disk X –fixmbr –passphrase <passphrase> (解密硬碟,X 是 disk 編號)
- l 註:【PGP command line】
