PGP 除錯 | 賽門鐵克 | 頁面 3

【[ PGP 全硬碟加密 ]..使用者反應在 PGP BootGuard 登入頁面中輸入使用者帳號與密碼無法通過驗證】

【[ PGP 全硬碟加密 ]..使用者反應在 PGP BootGuard 登入頁面中輸入使用者帳號與密碼無法通過驗證】

1. 在 PGP 的 Consumer Policy 中，若勾選【Lock passphrase user accounts on Windows clients after (3) failed login attempts】

如果用戶端在PGP BootGuard 登入頁面中輸入錯誤的密碼超過3次，PGP會 Lock 住此帳號的登入嘗試，即使之後輸入的密碼是正確的依然後顯示無法登入

2. 此為輸入第一次與第二次錯誤時，顯示的錯誤為【Incorrect authentication,please try again】

3. 輸入第三次錯誤時，PGP會直接切換至 WDRT 頁面，要求您打電話向管理者取得 WDRT token

4. 如果您在上一個畫面按下【Esc】，會回到先前輸入PGP BootGuard 登入頁面

※ 仔細看一下畫面下方顯示的訊息，說明了此階段僅能透過 WDE administrator passphrase與WDRT才能通過PGP BootGuard的驗證

5. 在輸入了 WDRT 之後，稍後用戶端將登入錯誤的事件回傳至 PGP 主控台後，我們也可以在主控台上看到用戶登入失敗的訊息

6. Log 中顯示登入失敗的紀錄

7. WDRT 為一次有效，所以使用後會再產生新的一組 WDRT Token

【[ PGP 全硬碟加密 ]..同一台 NB 若有多人使用不同網域使用者帳戶登入使用，若首位使用者安裝、註冊、加密硬碟後，其他使用者是否可以正常使用該NB】

【[ PGP 全硬碟加密 ]..同一台 NB 若有多人使用不同網域使用者帳戶登入使用，若首位使用者安裝、註冊、加密硬碟後，其他使用者是否可以正常使用該NB】

Ans:首位使用者安裝、註冊、加密硬碟後，其他使用者仍然可以正常使用該NB

1. 首位使用者已完成安裝、註冊、加密硬碟

2. 登出第一位使用者，然後以第二位使用者的帳號登入，登入後出現以下畫面，請按下【Always Allow for This Site】

3. 以下畫面中，登入的使用者帳戶名稱會自動帶出來，請輸入該使用者的網域密碼

4. 註冊完成，PGP正常運作，不會再進行硬碟加密 (因為首位使用者已加密完成)

5. 開啟用戶端 PGP 管理畫面，可以看到第二位使用者帳戶已自動加入全硬碟加密使用者中

6. 重新啟動電腦，以第二位使用者帳戶、密碼仍然可以成功登入

如果您想要讓本機使用者的帳號、密碼也可以登入 PGP BootGuard，請您在用戶端全硬碟加密頁面中，按下右方【New Passphrase User】

詳細步驟如下：

1. 點選桌面右下方 PGP icon，並按下【Open PGP Desktop ( Symantec Drive Encryption )】

2. 點選【Encryption Whole Disk】，並按下右方【New Passphrase User】

3. 點選【Use Windows Password】，並按下【Next】

4. 按下【Next】

5. 在此頁面入目前已存在的本機帳戶與密碼，並按下【Next】

6. 再輸入一次密碼

7. 本機帳戶已出現在Encrypt Whole Disk User 中

8. 本機帳戶可成功登入 BootGuard

9. 因為是集中控管的 PGP client，所以進入 Windows 後會出現註冊畫面，由於設定為整合 AD 驗證，此處不能輸入本機帳戶與密碼，必須輸入網域使用者與密碼

如果使用了 PGP 硬碟加密，倘若電腦無法開機，或是硬碟有壞軌，資料該如何救回？(使用 bootg.iso 開機來解密硬碟)或(使用安裝PGP Desktop程式來解密)

如果使用了 PGP 硬碟加密，倘若電腦無法開機，或是硬碟有壞軌，資料該如何救回？

可以使用 bootg.iso 開機來解密硬碟，步驟如下：

開機後請按任意鍵來執行 PGP Recovery Disk

輸入密碼

密碼確認OK，請按 D 來解密硬碟，或按其他鍵來進入系統

解密作業進行中

方法二：

1# 還能把這顆硬碟外接到另一台有加密過的電腦去掛載

>> 只要接到一台有安裝PGP Desktop電腦就可以讀取，會跳出如下畫面輸入密碼，若輸入完成後就可以正常讀取裡面資料

2# cmd去指定解密的帳號密碼

>> 指令方式如下：

PGPwde.exe –decrypt –disk 號碼 –passphrase 密碼

操作截圖：

PGP 用戶忘記密碼使用 WDRT 登入後無法修改密碼

PGP 用戶忘記密碼使用WDRT登入後，嘗試在 PGP 用戶端管理介面點選該使用者帳號，並按下【change passphrase】來修改已忘記的密碼

但在畫面跳出【Enter passphrase to unlock disk 】後，怎樣輸入先前記憶中的任一密碼，均顯示密碼錯誤【Passphrase did not match.please try again】，請問這裡的 passphrase 指的是那一組密碼

Ans:

經測試，這裡的 passphrase 指的是 BootGuard 的任一個帳號 ( 也就是下圖畫面左下方任一帳號 ) 的密碼即可通過驗證。

(這是 PGP 用戶端比較特別的地方)

PGP[ Unable to download policy at this time ]

【Got the error : [ Unable to download policy at this time ] when you manual update the PGP policy】

1. Please try re enrolling the user, here is article for same;

HOW TO: Re-enroll Symantec Encryption Desktop for Windows Clients

Article URL http://www.symantec.com/docs/HOWTO42029

Some of the reasons for re-enrolling a client:

•Enrollment fails

•Enrollment succeeds but there are Symantec Encryption Desktop errors

•Symantec Encryption Desktop settings during enrollment are incorrect

•Symantec Drive Encryption (formerly known as PGP Whole Disk Encryption) did not start because of policy or attribute misconfiguration

•If you are having a problem enrolling a client or if PGP Desktop is not acting as expected

To re-enroll a Symantec Encryption Desktop client:

1.Click the Symantec Encryption Desktop Tray icon in your system tray and select Exit PGP Services.

2.Navigate to %APPDATA%\PGP Corporation\PGP\ and delete the PGPPrefs.xml and PGPPolicy.xml files.

This deletes the preferences file and allows you to start with new settings.

3.Restart the services by clicking Start > All Programs > Startup > PGPtray

The Symantec Enrollment Assistant will start up and begin the re-enrollment process.

2. 確認 HKEY_LOCAL_MACHINE\SOFTWARE\PGP Corporation\PGP\PGPSTAMP 數值資料是否正確