分類：PGP

【[ PGP 全硬碟加密 ]..使用者反應在 PGP BootGuard 登入頁面中輸入使用者帳號與密碼無法通過驗證】

1. 在 PGP 的 Consumer Policy 中，若勾選【Lock passphrase user accounts on Windows clients after (3) failed login attempts】

如果用戶端在PGP BootGuard 登入頁面中輸入錯誤的密碼超過3次，PGP會 Lock 住此帳號的登入嘗試，即使之後輸入的密碼是正確的依然後顯示無法登入

2. 此為輸入第一次與第二次錯誤時，顯示的錯誤為【Incorrect authentication,please try again】

3. 輸入第三次錯誤時，PGP會直接切換至 WDRT 頁面，要求您打電話向管理者取得 WDRT token

4. 如果您在上一個畫面按下【Esc】，會回到先前輸入PGP BootGuard 登入頁面

※ 仔細看一下畫面下方顯示的訊息，說明了此階段僅能透過 WDE administrator passphrase與WDRT才能通過PGP BootGuard的驗證

5. 在輸入了 WDRT 之後，稍後用戶端將登入錯誤的事件回傳至 PGP 主控台後，我們也可以在主控台上看到用戶登入失敗的訊息

6. Log 中顯示登入失敗的紀錄

7. WDRT 為一次有效，所以使用後會再產生新的一組 WDRT Token

原廠原始文件連結

Enterprise Support – Symantec Corp. – Best Practices Symantec Drive Encryption

http://www.symantec.com/business/support/index?page=content&id=TECH149543

【說明】

1. 以下內容提供使用者在使用【賽門鐵克Symantec Drive Encryption (原 PGP Whole Disk Encryption)】來進行硬碟加密保護前建議確認與施作的相關項目

2. 建議確認與施作的相關項目可確保硬碟加密過程順利；以及加密作業完成後，系統依然能穩定地操作使用

【建議確認與施作的相關項目】

1. 確定目標硬碟是否支援

【支援的硬碟類型】

• l 桌上型或筆記型電腦的硬碟，包含 SSD (solid-state drive)，可加密分割區或整顆硬碟
• l 支援 04(FAT16)、06(FAT16B)、07(NTFS)、0B(FAT32) 硬碟格式
• l Windows 7 、Windows 8 、Windows 8.1 UEFI 系統僅支援 x64 系統 (硬體需為微軟 Windows 7 、Windows 8 、Windows 8.1 certified 過)，並且 Symantec Drive Encryption 需為 10.3.2 (含)以上
• http://www.symantec.com/business/support/index?page=content&id=TECH203071
• l 開機磁區若為 GPT 格式，該硬碟僅允許一個 UEFI 系統磁區存在
• l 開機磁碟不支援 RAID 或 LVM (Logical Volume Managers)
• l 不支援不含有線鍵盤的平板或系統

【不支援的硬碟類型】

• l Dynamic disks
• l SCSI / SAS drives 或 controller
• l Software RAID disks
• l exFAT 格式
• l 開機磁區與系統磁區不在同一顆硬碟

2. 確認作業系統是否支援

• l Windows 8 (8.1) 企業版（32位和64位版本）
• l Windows 8 (8.1) 專業版（32位和64位版本）
• l Windows 7（所有32位和64位版本，包括Service Pack 1）
• l Windows XP專業版32位（Service Pack 2或3）
• l Windows XP專業版64位版（Service Pack 2）
• l Windows XP家用版（Service Pack 2或3）
• l Windows Vista（所有32 – 位和64位版本，包括Service Pack 2）
• l Windows Server 2003（Service Pack 1和2）
• l Windows Server 2003 SP2（32位和64位版本）
• l Windows Server 2008的SP1＆SP2
• l Windows Server 2008 R2（64位）

3. 確認鍵盤的支援

請確認您使用的鍵盤支持的語言，支持的語言的列表，請參考以下URL：

• l Windows

http://www.symantec.com/business/support/index?page=content&id=TECH149728

• l Mac OS X

http://www.symantec.com/docs/TECH149729

4. 進行硬碟加密前請先備份系統

進行硬碟加密前請先進行系統備份或重要資料備份，避免加密後系統無法正常開機或硬碟無法解密

• l Windows 7 的備份、還原可參考以下微軟官網URL step by step 的操作

一點通 – 如何完整備份與還原 Windows 7

http://support.microsoft.com/kb/2138292/zh-tw

• l Windows 8、Windows 8.1的備份、還原可參考以下URL

使用Windows 8.1內建工具來備份系統 (文件來源：iThome Download)

http://download.ithome.com.tw/article/index/id/2192

• l 或是採購 Symantec System Recovery 來進行備份
• 註：Windows 8、Windows 8.1 的備份

5. 進行硬碟加密前請先確認硬碟是否有壞軌，並請進行磁碟重組

• l 使用未受控管的模式在用戶端安裝Symantec Drive Encryption，加密的過程若是遇到壞軌，預設加密的程序會暫停
• l 使用受主控台控管的模式在用戶端安裝Symantec Drive Encryption，加密的過程若是遇到壞軌，系統會將此事件紀錄至主控台事件中，但加密的程序會繼續運作
• l 可使用 chkdsk C: /F chkdsk C: /R (修復)

• l 或使用 SpinRite、Norton Disk Doctor 來嘗試確認與修復
• l 可透過【系統工具】→【磁碟重組工具】來進行磁碟重組

參考網址：

http://blog.xuite.net/yh96301/blog/34330846-Windows+7+%E7%A3%81%E7%A2%9F%E6%B8%85%E7%90%86%E8%88%87%E7%A3%81%E7%A2%9F%E9%87%8D%E7%B5%84

6. 建立復原光碟 (Recovery CD)

• l 可以向管理者取得 【bootg.iso 復原光碟】
• l 或是參考以下網址 http://www.wellife.com.tw/symantec/?p=4797 製作 PGP for WINPE 復原光碟
• l 復原光碟使用請參考以下網址 http://www.wellife.com.tw/symantec/?p=5381

7. 請確保加密的過程中電力不中斷

• l 筆記型電腦請使用 AC 電源
• l 管理者請在主控台政策中勾選【Force power failure safety】

8. 請確認筆記型電腦【電源選項】不使用休 (睡) 眠或其他相關的省電模式

• l 筆記型電腦休眠或其他相關的省電模式可能會延長或中斷硬碟加密的操作過程
• l 為了確保最大速度加密，我們建議改變【電源選項】不使用休 (睡) 眠

9. 大量佈署前，請先進行少數電腦的佈署測試，確認是否有軟體衝突或不相容的狀況發生

以下軟體與Symantec Drive Encryption不相容：

• l Faronics Deep Freeze (任何版本)
• l Utimaco Safeguard Easy 3.x
• l Absolute Software’s CompuTrace laptop security and tracking product. Drive Encryption is compatible only with the BIOS configuration of CompuTrace. Using CompuTrace in MBR mode is not compatible.
• l Hard disk encryption products from GuardianEdge Technologies: Encryption Anywhere Hard Disk and Encryption Plus Hard Disk products, formerly known as PC Guardian products

以下程式與Symantec Drive Encryption並存在同一系統上，會block Symantec Drive Encryption的功能：

• l Safeboot Solo
• l SecureStar SCPP10

10. 如果可以的話，請您在硬碟加密完成後立即進行以下的硬碟解密測試 (擇1)

• l 透過用戶端Symantec Drive Encryption介面來解密硬碟 (如果管理政策允許您解密)

• l 使用 bootg.iso 開機來解密硬碟

• l 將加密硬碟外接到另一台有安裝過Symantec Drive Encryption的電腦，會跳出如下畫面輸入密碼，若輸入完成後就可以正常讀取裡面資料

• l 將加密硬碟外接到另一台有安裝過Symantec Drive Encryption的電腦，使用解密指令來進行硬碟解密

解密指令

c:\program files (x86)\pgp corporation\pgp desktop\pgpwde.exe –enum (確認 Disk 編號)

c:\program files (x86)\pgp corporation\pgp desktop\pgpwde.exe –status (確認 Disk 加密狀態)
c:\program files (x86)\pgp corporation\pgp desktop\pgpwde.exe –disk X –fixmbr –passphrase <passphrase> (解密硬碟，X 是 disk 編號)

• l 註：【PGP command line】

【PGP  msi 派送與用戶端註冊 ( 測試成功 )】

需要整合 AD 驗證，也用到 memberOf 這個屬性，這樣 user 才不會跑到 default group，也就不會沒套到 silent Enrollment

1. 我今天透過群組原則的【軟體安裝】(套在電腦上，這樣沒有安裝權限的問題)

2. 重開機後，會發現用戶端機器開機後，沒有到登入畫面就又重開了 ( 因為剛剛套用群組原則，安裝了 PGP client msi後隨即重開機 )

所以，【第一部分 (PGP client msi 安裝)】就自動做好了

3. 重開機後，只要進行以下兩個畫面

然後就自己做加密了

 

【詳細的設定如下】

1. 先建立一個安全性通用群組

2. 然後將要使用 PGP Full Disk 的 user 通通加入此群組

該LAB gseo_group 的 CN name 如下：

CN=gseo_group,OU=PGP_GSEO,DC=elite2003,DC=intra

3. 接著，請至【Consumers】→【Group】→【找到要修改屬性的群組 或 新建一個群組】雙按此群組

4. 點按下方的【Group Settings】

5. 點選【Membership】

勾選【Match Consumers Via Directory Synchronization】

選擇【If all of the following apply】

Attribute 輸入 【memberOf】，Value 輸入【Group 的 CN name】

CN=gseo_group,OU=PGP_GSEO,DC=elite2003,DC=intra

或是

1. Attribute 欄位請輸入【OU】

2. Value 欄位請輸入OU 的 值或關鍵字，例如：【OU=PGP_OU_2】

3. 一定要勾選【Regular Expression】

6. 參考以下網頁，確認 AD 整合驗證的相關設定

http://www.wellife.com.tw/symantec/?p=4679

重點如下

(1) 確認使用 AD 驗證

(2) 確認註冊是採用 silent 模式

(3) 確認全硬碟加密的 policy 設定

(4)

這個不要勾選

(5) 確認上方 policy 是套用給該 group

群組原則中 32位元的軟體封裝，不要勾選【讓這個32位元x86應用程式可以在win65電腦上執行】

 

如果使用了 PGP 硬碟加密，倘若電腦無法開機，或是硬碟有壞軌，資料該如何救回？

可以使用 bootg.iso 開機來解密硬碟，步驟如下：

開機後請按任意鍵來執行 PGP Recovery Disk

輸入密碼

密碼確認OK，請按 D 來解密硬碟，或按其他鍵來進入系統

解密作業進行中

方法二：

1# 還能把這顆硬碟外接到另一台有加密過的電腦去掛載

>> 只要接到一台有安裝PGP Desktop電腦就可以讀取，會跳出如下畫面輸入密碼，若輸入完成後就可以正常讀取裡面資料

2# cmd去指定解密的帳號密碼

>> 指令方式如下：

PGPwde.exe –decrypt –disk 號碼 –passphrase 密碼

操作截圖：

PGP 用戶忘記密碼使用WDRT登入後，嘗試在 PGP 用戶端管理介面點選該使用者帳號，並按下【change passphrase】來修改已忘記的密碼

但在畫面跳出【Enter passphrase to unlock disk 】後， 怎樣輸入先前記憶中的任一密碼，均顯示密碼錯誤【Passphrase did not match.please try again】，請問這裡的 passphrase 指的是那一組密碼

Ans:

經測試，這裡的 passphrase 指的是 BootGuard 的任一個帳號 ( 也就是下圖畫面左下方任一帳號 ) 的密碼即可通過驗證。

(這是 PGP 用戶端比較特別的地方)

 

如果您使用 Symantec Encryption Management Server (PGP Universal Server) 並且有備份 Organization Key 和 System Backup

那麼，您可以安心地將 Symantec Encryption Management Server (PGP Universal Server) migrate 到另一台機器

透過以上的方式您可以對 Symantec Encryption Management Server (PGP Universal Server) 進行移機(並升級)，或是在他台機器上進行災難復原

 

【移機(並升級) 是在他台機器上進行災難復原】的步驟如下：

1.在原機器上匯出 Organization Key 和 System Backup

2.在新機器上安裝新版 Symantec Encryption Management Server (PGP Universal Server)

重啟後，登入Web UI，在 Setup Type 畫面不要選擇預設的【New Install】，請選擇【Restore】

然後在出現的【Import Organization Key】與【Upload Current Backup File】畫面，匯入Organization Key 和 System Backup

3.記得，還原的程序會花費一些時間，這段時間畫面不會改變，Web UI 也會失去連線

請等到 Symantec Encryption Management Server (PGP Universal Server) 機器的畫面出現【Initial…………..Reloading……】，並且Web UI (使用先前機器的 IP) 可連線，還原程序才正式完成

4.還原後，相關網路設定、Group、Consumer Policy、Key 所有的東西都會還原回去

 

詳細畫面如下

1.在原機器上匯出 Organization Key 和 System Backup

[ 匯出 Organization Key ]

[ 取得 System Backup ]

2.在新機器上安裝新版 Symantec Encryption Management Server (PGP Universal Server)

安裝步驟請參考以下網頁

http://www.wellife.com.tw/symantec/?p=233

重啟後，登入Web UI，在 Setup Type 畫面不要選擇預設的【New Install】，請選擇【Restore】

然後在出現的【Import Organization Key】與【Upload Current Backup File】畫面，匯入Organization Key 和 System Backup

3.記得，還原的程序會花費一些時間，這段時間畫面不會改變，Web UI 也會失去連線

請等到 Symantec Encryption Management Server (PGP Universal Server) 機器的畫面出現【Initial…………..Reloading……】，並且Web UI (使用先前機器的 IP) 可連線，還原程序才正式完成

4.還原後，相關網路設定、Group、Consumer Policy、Key 所有的東西都會還原回去

 

官網參考連結

Enterprise Support – Symantec Corp. – HOW TO Restore Symantec Encryption Management Server from a Backup

http://www.symantec.com/business/support/index?page=content&id=HOWTO42032

Enterprise Support – Symantec Corp. – Upgrade to Symantec Encryption Management Server 3.3.1

http://www.symantec.com/business/support/index?page=content&id=HOWTO93842

Enterprise Support – Symantec Corp. – HOW TO Backup the Organization Key on Encryption Management Server

http://www.symantec.com/business/support/index?page=content&id=HOWTO42046

Enterprise Support – Symantec Corp. – HOW TO Create Symantec Encryption Management Server Backups

http://www.symantec.com/business/support/index?page=content&id=HOWTO42105

 

【Got the error : [ Unable to download policy at this time ] when you manual update the PGP policy】

1. Please try re enrolling the user, here is article for same;

HOW TO: Re-enroll Symantec Encryption Desktop for Windows Clients

Article URL http://www.symantec.com/docs/HOWTO42029

Some of the reasons for re-enrolling a client:

•Enrollment fails

•Enrollment succeeds but there are Symantec Encryption Desktop errors

•Symantec Encryption Desktop settings during enrollment are incorrect

•Symantec Drive Encryption (formerly known as PGP Whole Disk Encryption) did not start because of policy or attribute misconfiguration

•If you are having a problem enrolling a client or if PGP Desktop is not acting as expected

To re-enroll a Symantec Encryption Desktop client:

1.Click the Symantec Encryption Desktop Tray icon in your system tray and select Exit PGP Services.

2.Navigate to %APPDATA%\PGP Corporation\PGP\ and delete the PGPPrefs.xml and PGPPolicy.xml files.

This deletes the preferences file and allows you to start with new settings.

3.Restart the services by clicking Start > All Programs > Startup > PGPtray

The Symantec Enrollment Assistant will start up and begin the re-enrollment process.

2. 確認 HKEY_LOCAL_MACHINE\SOFTWARE\PGP Corporation\PGP\PGPSTAMP 數值資料是否正確