賽門鐵克

SEE Help Desk

[Client]

[Client]

[Client]

[Client]

[Client]

4_SEE RSE Policy

Native policies

• 只能套用至 computer (套用順序：computer、Sub group、Group)
• Native policies are designed for deployment to computers that are not managed by Active Directory.

SEE Roles

• Policy Administrators
• Client Administrators
• Policy Create

SEE 有此兩類 Policy

• 【Active Directory Policy】
• 【Native Policy】

【Active Directory Policy】的畫面

展開【Machine Policy】→【Framework】→來進行以下相關項目的設定

【Client Administrator】

The password must be a minimum of two characters and no longer than 32

Token->P7B file

※ Client Admin 的驗證方式與管理權限 RSE → (用來 Unregister user)，FD → (用來 Decrypt drivers、Extend lockout、Unlock)

※ Level →8.0.0 之後用不到

【Registered Users】

【Password Authentication】

【Token Authentication】

允許過期憑證驗證

【Authentication Message】

驗證遇到問題時，可依訊息所指定的方式聯繫資訊人員協助處理

【Communication】

用戶端電腦每隔多久傳送狀態更新給 SEE Management Server

展開【User Policy】→【Framework】→來進行以下相關項目的設定

【Single Sign-on】

【Authenti-Check】

【One-Time Password】

Full Disk 使用者忘記密碼時使用

展開【Machine Policy】→【Removable Storage】→來進行以下 【Removable Storage】 相關項目的設定

【Access and Encryption】

【Device and File Type Exclusions】

【Encryption Method】

【Default Password】

Session Default Password

可以設定兩個 Session Default Password

Device Session Default Password

【Recovery Certificate】

http://www.symantec.com/connect/forums/password-recovery-encrypted-files If you have a master certificate, you may. 1. Launch MMC, add Certificates snap-in for my user account. 2. Expand Certificates – Current User under Console Root in the left pane, right click Personal folder, then go to All tasks -> click Request new certificate… 3. Select User as certificate type, click Next. 4. Give it a friendly name, click Next. 5. Verify the details at the last screen and click Finish. 6. By default, Windows 2003 enterprise root CA is configured to automatically generate a user certificate upon receiving a request. So now, you should see a Certificates folder under Personal folder in the left pane. 8. Click the Certificates folder, in the right pane, you should see the user certificate that’s just generated. 9. Right click the user certificate, go to All tasks -> click on Export…. 10. Select No, do not export the private key and click Next. 11. Select Cryptographic Message Syntax Standard – PKCS #7 Certificates (..P7B), then next. 12. Give it a name, and click Finish. Now create the Removable storage client package. In the Removable Storage Installation Settings –Encryption Method, select A password or A password and/or one or more certificates. In the Removable Storage Installation Settings –Recovery Certificate, choose Encrypt files with a recovery certificate and browse and select the saved P7B certificate. In the Removable Storage Installation Settings – Portability pane check Copy the Removable Storage Access Utility to all removable storage devices.

【Workgroup Key】

【Portability】

展開【Machine Policy】→【Full Disk】→來進行以下 【Full Disk】 相關項目的設定

【Startup】

【Logon History】

【Autologon】client 收到 policy 後要5分鐘才生效

【Remote Decryption】

【Client Monitor】

【Local Decryption】

[Removable Storage Edition client Package 建立]

允許存取移動式媒體上的檔案

並且加密移動式媒體上新增的的檔案

停用 Windows 內建的光碟燒錄功能

利用【symantec endpoint encryption device control auditor】來查詢 Vendor ID 和 Device ID

最多 50 筆

無法查詢 eSATA

※【symantec endpoint encryption device control auditor】可於 File Connect SEE Device Control 中下載取得

設定排除

如果選擇 certificates 需要匯入 .p7b 憑證檔

Default Password

Session Default Password

可以設定兩個 Session Default Password

Device Session Default Password

Recovery Certificates (復原憑證)

加密 Removable Storage Devices 時，除了使用使用者提供的密碼，也使用此復原憑證，一但使用者離職或忘記密碼時，便可以使用此復原憑證還原檔案

Workgroup Key

同一個 group 的成員可以建立Workgroup Key，如此同一個 group 的成員所加密的檔案彼此分享時，將不會提示輸入密碼或憑證

 

SEE client Packages 建立

[Framework client Package 建立]

新增 Client Administrator

【Do not require registered users to authenticate to SEE】

自動驗證並允許使用者存取 SEE client console 時不需要輸入密碼

【Require registered users to authenticate with 【a password】】

搭配下方 Registration 使用

【同一台電腦限制只能註冊1024位使用者】

【Allow 2 restarts before forcing the first user to register】

強制第一個登入的使用者進行註冊前，允許有兩次重啟電腦的機會(讓 user 看 警語)

若強制一開始即註冊請設定為0

登入 User Client (或是使用忘記密碼的問題答覆)，若失敗4次，要等候1分鐘才能進行第五次嘗試；若第5次也失敗，就要等候5分鐘才能再重新進行登入嘗試

Full Disk password and Removable Storage，如果使用者忘記密碼，可以透過以下詢問問題的驗證方式來允許登入

Full Disk password 的密碼回復

SEE Removable Storage Edition 會使用此加密強度進行加密

Symantec Endpoint Encryption 8.2.1 安裝

前置作業1→請先安裝 SQL server

——————————–

[略]

? 此安裝所需的封包檔 Redist.cab 已毀損

(使用SQL server 2008 R2 安裝)

——————————–

前置作業2→IIS (ASP.NET)

C:\Program Files (x86)\Symantec\Symantec Endpoint Encryption Management Server\Services

Symantec.Endpoint.Encryption.ConfigManager.exe

Adsyncuser

Add (新增要同步的其他網域)

Configure Domain Filter (排除沒有使用 SEE 的網域)

驗證安裝是否成功

可以的話請進行備份

【SEE Manager Console 安裝】

 

SEE Manager Console 在 Windows 7 的前置作業 下載並安裝Windows 7 SP1 的遠端伺服器管理工具 http://www.microsoft.com/zh-tw/download/details.aspx?id=7887 要勾選【群組原則管理工具】，否則會出現【Windows 7 mmc 無法建立嵌入式管理單元】

 

SEE Manager Console 在 Windows server 2008 R2 的前置作業

安裝 SEE Manager Console

p@ssw0rd

匯入 SEE RSE 與 SEE Full Disk

【Add Forest】

【建立Restricted Policy限制某 OU成員不得使用 SEE Manager Console】

【SEE Restricted Policy】

C:\Windows\inf

C:\Program Files\Symantec\Symantec Endpoint Encryption Manager\Framework\ADM

以限制 OU 成員登入系統並開啟 SEE Manager Console，出現無法執行視窗