这篇文章是记录在赛门铁克端点加密项目工作期间遇到的一些问题,提示和技巧。

ESXi VM硬盘识别为RemovableMedia

解决方案:

请参阅USB文件证书恢复配置和恢复过程

1  请参阅USB文件证书恢复配置

恢复证书:为可移动媒体加密启用此加密策略选项。

除了在计算机上设置的密码或证书之外,可移动媒体加密将使用恢复证书加密文件。如果密码或用于加密的证书丢失,则恢复证书提供了选项以恢复加密文件。

可移动媒体加密使用恢复证书的公钥加密文件。然后,您或客户端管理员可以使用包含私钥的恢复证书的副本来恢复加密文件。

确保恢复证书不包含私钥并拥有强制性密钥使用情况。

如果您可以使用设备会话密码 默认密码 面板,可移动媒体加密忽略了恢复证书策略。

配置恢复证书策略选项
  1. 使用安装时,Active Directory或本机策略访问可移动媒体加密策略选项。

  2. 在这一点 可移动媒体加密 - 恢复证书 页面,选择两个选项之一:

    • 点击  不要使用恢复证书加密文件 如果您不想在客户端安装包或策略中包含恢复证书的副本。因此,除了用户提供的凭据之外,可移动媒体加密不使用恢复证书来加密文件。默认情况下选择此选项。

    • 点击  使用恢复证书加密文件 如果要在客户端安装包或策略中包含恢复证书的副本。选择此选项后,Symantec Endpoint加密会提示您在系统上找到PKCS#7(P7B)格式证书文件。

      选择证书时,证书的详细信息会出现在 选择证书 对话框。在确认向客户端安装程序或策略添加证书之前,请查看证书。

      确认证书后, 由...发出 and 序列号 可移动媒体加密 - 恢复证书面板上的信息出现。要选择不同的证书文件,请单击 改变证书.

使用Symantec可移动媒体加密(RME)使用恢复证书需要创建两个证书,如下所示:

  1. 要嵌入在RME Client MSIS中的客户端证书 - 包含公钥的PKCS#7 / .p7b。
  2. 要放置在指定机器的Cert Store中的主恢复证书,以执行恢复 - 这将是pkcs#12 / .pfx键入并包含私钥。无论文件是否使用密码,加密证书和/或组密钥加密,只要恢复证书的公钥部分嵌入到客户端MSI中,您仍然可以解密文件。

创建这些证书的最佳方法是创建初始root cert,将其安装在本地证书商店中,然后将其导出两次,以便您拥有客户端证书类型PKCS#7,然后是服务器端证书类型PKCS#12。可以在任何所需的机器上安装服务器端证书以执行恢复功能,并且需要在RME MSI创建过程中嵌入客户端。

要使用Microsoft的证书服务创建root cert,您可以选择其中一个默认模板,例如用户,基本EF或管理员,这将为恢复证书进行全部工作。我们建议使用基本的EFS模板,因为它是包含下面列出的以下密钥使用属性的Leaner模板:

  • 基本EFS模板属性
  • 主要用途:密钥加密
  • 增强键使用:加密文件系统

对于密钥尺寸,我们还建议使用至少2048年。

此外,与我们之前的See Demovable Storage的版本不同,请参阅11 RME确实显示了恢复证书解密文件但与正常解密过程不同它不要求解密密码 - 它只是在验证私有后解密文件恢复证书的键存在于当地证书商店。

同样,包含recuctopy recuctry restoct的计算机不需要安装RME - 也可以通过可移动媒体访问实用程序来解密文件来使用恢复证书。

2  恢复过程

要恢复RME加密文件,您需要的只是具有主恢复证书(即带有私钥的文件)在当前登录用户的个人证书商店。在这种情况下,应该是您的管理员用户。 See-RME客户端在打开加密文件时自动查找证书,并应该找到它。这就像可移动访问实用程序的行为方式,以及如何在可用用户证书时表现出遥感客户端的行为。

总之,管理员会:

  1. 接收加密文件,并通过执行的计算机将其放在USB棒上  不是  有看见-RME
  2. 将主恢复证书安装到机器  和  SEE-RME安装(即恢复机器)
  3. 使用SEE-RME将USB插入机器
  4. 打开/恢复文件,并保存解密的副本
  5. 从恢复机中删除主恢复证书

请记住,最好的练习来安全地存储,审核访问,主恢复证书。

参考

来自Blogger. http://blog.fabiandinkins.com/2020/08/symantec-endpoint-encryption-113x.html

经过 Jon.

发表评论