逐步給裝置加密
請按照以下步驟給裝置加密。
要求
- 您必須在端點上安裝 Sophos Central 代理軟體。
- 您必須在 Sophos Central 中設定和開啟裝置加密原則。
-
使用者必須登入其端點。其必須連線到 Sophos Central 並與之同步。
請注意,不支援遠端登入。
-
操作系統必須支援 BitLocker 驅動器加密。
請參見以下內容:
加密裝置
這些指示會告訴您使用者將看到什麽內容以及他們需要做的事:
-
如果尚未啟用 TPM 安全軟體,將觸發一個 BIOS 動作以啟用它。這需要進行重新啟動。使用者可以立即重新啟動也可以延遲進行重新啟動。
在重新啟動期間,會提示使用者啟用 TPM。如果不能啟用 TPM 或者使用者未作出響應,將顯示一條訊息。
-
如果 TPM 處於活動狀態並已啟用,但是尚未被持有,Sophos Central 代理軟體會自動生成並設定 TPM 擁有者資訊。
如果此操作失敗,將向 Sophos Central 傳送一條警示。
-
如果 TPM 的簽注金鑰丟失,Sophos Central 代理軟體將會自動建立這些金鑰。
如果此操作失敗,將向 Sophos Central 傳送一條警示。
-
如果 Device Encryption 策略未指定需要安裝驗證,則硬碟的加密會自動開始。
在本情況下,使用者無需執行任何動作。您可以跳到第 8 步。
-
如果 Device Encryption 未指定需要安裝驗證,則使用者可參閱 Sophos Device Encryption 對話方塊。
-
如果 Device Encryption 策略要求 PIN 碼或密碼以進行驗證,則使用者需要按照螢幕上的指示操作以定義 PIN 碼或密碼。如果使用 TPM+PIN,系統磁碟的加密金鑰將儲存在 TPM 中。
則警告
設定密碼時,使用者需要謹慎。預先開機環境僅支援美式英語鍵盤配置。如果他們現在使用特殊字元設定 PIN 碼或密碼,則當他們稍後輸入該 PIN 碼或密碼登入時,可能需要使用不同的金鑰。
-
如果 Device Encryption 策略要求 USB 金鑰進行驗證,使用者需要將 USB 快閃磁碟連接至其電腦。USB 快閃磁碟機必須是 NTFS、FAT 或 FAT32 格式。
-
-
使用者按一下重新啟動並加密之後,電腦會重新啟動並檢查 Device Encryption 是否在運作。
使用者可以選擇稍後再做以關閉對話。但是,當使用者下次登入,或者當您變更加密策略時,它將再次顯示。
-
如果使用者無法輸入正確的 PIN 碼/密碼,他們可以按
Esc
鍵。由於尚未套用加密,此時系統可以正常啟動。登入後將再次要求使用者嘗試輸入 PIN 碼/密碼。
-
您可以看到哪些使用者尚未啟用加密。這意味著他們尚未重新啟動其電腦或者尚未完成螢幕上的說明。
查看 Sophos Central 中的報告。
-
如果預先開機測試成功,Sophos Central 代理軟體將啟動固定磁碟的加密。
加密將在背景環境下進行,允許使用者如平常一樣使用他們的計算機。
如果硬體測試失敗,則系統會重新啟動,並且將不會執行加密。將會向 Sophos Central 傳送一個事件以通知您。
-
Sophos Central 代理為系統磁碟區加密之後,資料卷的加密已啟動(如果在策略中指定)。
這些卷的保護儲存在系統磁碟區中,因此資料卷在安裝之後將自動可用。這說明當使用者登入他們的計算機之後,無需進行任何進一步的使用者互動即可存取資料卷。
卸除式資料卷,例如 USB 快閃磁碟機,將不會進行加密。
您可以在端點上的 %ProgramData%\Sophos\Sophos Data Protection\Logs
下找到兩個日誌檔案 - CDE.log
和 CDE_trace.xml
。