跳至內容

逐步給裝置加密

請按照以下步驟給裝置加密。

要求

  • 您必須在端點上安裝 Sophos Central 代理軟體。
  • 您必須在 Sophos Central 中設定和開啟裝置加密原則。
  • 使用者必須登入其端點。其必須連線到 Sophos Central 並與之同步。

    請注意,不支援遠端登入。

  • 操作系統必須支援 BitLocker 驅動器加密。

請參見以下內容:

加密裝置

這些指示會告訴您使用者將看到什麽內容以及他們需要做的事:

  1. 如果尚未啟用 TPM 安全軟體,將觸發一個 BIOS 動作以啟用它。這需要進行重新啟動。使用者可以立即重新啟動也可以延遲進行重新啟動。

    在重新啟動期間,會提示使用者啟用 TPM。如果不能啟用 TPM 或者使用者未作出響應,將顯示一條訊息。

  2. 如果 TPM 處於活動狀態並已啟用,但是尚未被持有,Sophos Central 代理軟體會自動生成並設定 TPM 擁有者資訊。

    如果此操作失敗,將向 Sophos Central 傳送一條警示。

  3. 如果 TPM 的簽注金鑰丟失,Sophos Central 代理軟體將會自動建立這些金鑰。

    如果此操作失敗,將向 Sophos Central 傳送一條警示。

  4. 如果 Device Encryption 策略未指定需要安裝驗證,則硬碟的加密會自動開始。

    在本情況下,使用者無需執行任何動作。您可以跳到第 8 步。

  5. 如果 Device Encryption 未指定需要安裝驗證,則使用者可參閱 Sophos Device Encryption 對話方塊。

    • 如果 Device Encryption 策略要求 PIN 碼或密碼以進行驗證,則使用者需要按照螢幕上的指示操作以定義 PIN 碼或密碼。如果使用 TPM+PIN,系統磁碟的加密金鑰將儲存在 TPM 中。

      則警告

      設定密碼時,使用者需要謹慎。預先開機環境僅支援美式英語鍵盤配置。如果他們現在使用特殊字元設定 PIN 碼或密碼,則當他們稍後輸入該 PIN 碼或密碼登入時,可能需要使用不同的金鑰。

    • 如果 Device Encryption 策略要求 USB 金鑰進行驗證,使用者需要將 USB 快閃磁碟連接至其電腦。USB 快閃磁碟機必須是 NTFS、FAT 或 FAT32 格式。

  6. 使用者按一下重新啟動並加密之後,電腦會重新啟動並檢查 Device Encryption 是否在運作。

    使用者可以選擇稍後再做以關閉對話。但是,當使用者下次登入,或者當您變更加密策略時,它將再次顯示。

  7. 如果使用者無法輸入正確的 PIN 碼/密碼,他們可以按 Esc 鍵。由於尚未套用加密,此時系統可以正常啟動。

    登入後將再次要求使用者嘗試輸入 PIN 碼/密碼。

  8. 您可以看到哪些使用者尚未啟用加密。這意味著他們尚未重新啟動其電腦或者尚未完成螢幕上的說明。

    查看 Sophos Central 中的報告

  9. 如果預先開機測試成功,Sophos Central 代理軟體將啟動固定磁碟的加密。

    加密將在背景環境下進行,允許使用者如平常一樣使用他們的計算機。

    如果硬體測試失敗,則系統會重新啟動,並且將不會執行加密。將會向 Sophos Central 傳送一個事件以通知您。

  10. Sophos Central 代理為系統磁碟區加密之後,資料卷的加密已啟動(如果在策略中指定)。

    這些卷的保護儲存在系統磁碟區中,因此資料卷在安裝之後將自動可用。這說明當使用者登入他們的計算機之後,無需進行任何進一步的使用者互動即可存取資料卷。

    卸除式資料卷,例如 USB 快閃磁碟機,將不會進行加密。

您可以在端點上的 %ProgramData%\Sophos\Sophos Data Protection\Logs 下找到兩個日誌檔案 - CDE.logCDE_trace.xml