跳至內容
最後更新: 2022-04-27

常見問題 (Windows)

這些是 Windows 電腦上有關 Sophos Central Device Encryption 的常見問題。

我可以使用哪些 Windows 版本?

如需支援平台的清單,請參見受支援的 Windows 端點和伺服器平台

Sophos Central Device Encryption 不支援使用 Boot Camp 在 Mac 上建立的 Windows 分割區。

我可以加密哪些類型的磁碟區?

Sophos Central Device Encryption 可讓您加密系統磁碟區和資料磁碟區。使用 Sophos Central Device Encryption 1.4 和更新版本,您可以加密系統磁碟區並使資料磁碟區保持不加密。

Sophos Central Device Encryption 不支援卸除式媒體。您可以使用 BitLocker To Go 加密這些裝置,但 Sophos Central Device Encryption 不會管理它們的復原金鑰或在 Sophos Central Admin 中顯示它們。

安全檔案共用的運作方式為何?

使用者有兩個選項可以使用密碼保護檔案以進行安全共用:

  • 在 Windows Outlook 中,加密電子郵件附件。
  • 在 Windows 檔案總管中,加密選取的檔案。

這兩個選項都使用 AES-256 加密來加密要共用的檔案,並將它們存儲在受密碼保護的 HTML 檔案中。使用者可以在內部或外部共用 HTML 檔案。收件者只需要網頁瀏覽器和密碼即可解密檔案。

請參閱用於安全共用的密碼保護檔案

我可以提示使用者重設密碼嗎?

若要設定時間間隔來提醒使用者變更 BitLocker 密碼或 PIN,請使用 Device Encryption 原則中的 需要使用者提供新的驗證密碼/ PIN 設定。

要在一台電腦上提示立即變更密碼,請使用電腦詳情頁面上的 觸發密碼/ PIN 的變更(位於 Device Encryption 下的 摘要 標籤上)。

請參閱提示使用者變更其密碼/PIN

我可以設定哪些 BitLocker 保護類型?

您可以設定以下保護類型:

  • 僅限 TPM
  • TPM+PIN
  • 複雜密碼
  • USB 金鑰

有關哪些 Windows 平台支援哪些類型的資訊,請參見 裝置加密系統相容性

如何從僅 TPM 切換至 TPM+PIN?

如果您已啟動 BitLocker 而沒有啟動驗證 ( 僅限 TPM),您可以隨時切換至 TPM+PIN,方法是在 Device Encryption 原則中開啟 需要啟動認證

是否支援 BitLocker 網路解除鎖定?

您無法使用 Sophos Central Device Encryption 設定或管理 BitLocker 網路解除鎖定。

但是,如果您已將基礎結構設定為使用 BitLocker 加密電腦的網路解除鎖定,則 Sophos Central Device Encryption 可以與網路解除鎖定共同存在。

是否支援 FIPS 模式?

是。Sophos Central Device Encryption 可以使用 Windows 群組原則物件 (GPO) 設定管理電腦 系統密碼:使用符合 FIPS 的算法進行加密、雜湊和簽名已開啟。

我可以管理已加密的電腦嗎?

是。當您開始管理已使用 BitLocker 加密的電腦時,Sophos Central Device Encryption 會取代現有的金鑰保護程式。

我可以從 SafeGuard Enterprise 移轉嗎?

使用 Sophos SafeGuard Enterprise 8 及更新版本,您可以解除安裝 BitLocker 模組,而不需解密磁碟區。然後,您可以使用 Sophos Central Device Encryption 管理 BitLocker。

是否可以將復原金鑰存儲在 Active Directory 中?

是。您可以將 BitLocker 復原金鑰存儲在 Active Directory 中。

是否支援 SGN 檔案加密模組?

我正在使用 Sophos SafeGuard Enterprise 檔案加密模組(資料交換、檔案加密或同步加密)來保護檔案。我可以使用 Sophos Central Device Encryption 嗎?

是。您可以同時使用這兩種產品。

如何解密磁碟區?

根據所選的原則類型,從原則中移除所有使用者或電腦。接下來請進行以下步驟:

  1. 在 Windows 檔案總管中,右鍵按一下要解密的磁碟區。
  2. 選取管理 BitLocker
  3. BitLocker 磁碟機加密對話中,選取關閉 BitLocker

您必須是 Windows 管理員才能執行此操作。

使用者是否可以復原加密的資料磁碟區?

不可以。在 Sophos Central Self Service Portal 中,使用者只能復原開機磁碟區,而上次登入到電腦的使用者可以復原系統磁碟區。

BitLocker 何時以復原模式啟動?

BitLocker 在啟動期間要求復原金鑰的常見原因如下:

  • 使用者忘記 TPM PIN ( 當您開啟 TPM PIN 驗證時 ) 。
  • 受 BitLocker 保護的磁碟機已安裝在新電腦中。
  • TPM 已關閉、停用或清除。
  • BIOS 已更新。
  • 重要的早期開機元件已更新,導致系統完整性驗證失敗 (TPM)。
  • 選項 ROM 韌體已更新。
  • 主板已被更換爲帶有新 TPM 的新主板。

如需瞭解更多潛在原因,請參閱 Microsoft 文件 「什麼原因可能導致 BitLocker 在復原模式下啟動?」

如何疑難排解問題?

打開日誌記錄和跟蹤。然後查看日誌記錄中的狀態和錯誤訊息。

請參見如何設定日誌記錄和跟蹤檔案

最小磁碟區大小是多少?

Sophos Central Device Encryption 忽略 64 MB 或更低容量的磁碟區。

哪些角色可以獲得復原金鑰?

要在 Sophos Central Admin 中獲取復原金鑰,您必須具有以下角色之一:Help Desk, 管理員, 超級管理員

如何匯出修復金鑰?

您無法從 Sophos Central Device Encryption 匯出 BitLocker 修復金鑰。這樣可降低金鑰被不安全地儲存在 Sophos Central 以外的風險 。

修復金鑰旨在協助忘記登入 PIN 或密碼的使用者。當管理員存取 Sophos Central Admin 中的修復金鑰時,BitLocker 將產生一個安全儲存於 Sophos Central 中的新金鑰。

如果您要將裝置移轉至第三方的 BitLocker 管理應用程式,建議您在該應用程式開始管理裝置時,在該應用程式中建立新的修復金鑰。

回到頁首