这篇文章记录了我在处理Symantec Endpoint Encryption项目期间遇到的一些问题,技巧和窍门。

ESXi VM硬盘驱动器被识别为RemovableMedia

解:

请参阅USB文件证书恢复配置和恢复过程

1  请参阅USB文件证书恢复配置

恢复证书:为“可移动媒体加密”启用此加密策略选项。

除计算机上设置的密码或证书外,可移动媒体加密还使用恢复证书对文件进行加密。恢复证书提供了一个选项,可以在密码或用于加密的证书丢失的情况下恢复加密的文件。

可移动媒体加密使用恢复证书的公钥加密文件。然后,您或客户管理员可以使用包含私钥的恢复证书的副本来恢复加密的文件。

确保恢复证书不包含私钥,并且具有强制性的密钥用法。

如果您启用了设备会话密码的使用 默认密码 面板中,“可移动媒体加密”将忽略“恢复证书”策略。

配置恢复证书策略选项
  1. 使用安装时,Active Directory或本机策略访问“可移动媒体加密”策略选项。

  2. 在 可移动媒体加密-恢复证书 页上,选择以下两个选项之一:

    • 请点击 不要使用恢复证书加密文件 如果您不想在客户端安装软件包或策略中包括恢复证书的副本。因此,除了用户提供的凭据之外,可移动媒体加密也不使用恢复证书来加密文件。默认情况下选中此选项。

    • 请点击 使用恢复证书加密文件 如果要在客户端安装软件包或策略中包括恢复证书的副本。选择此选项后,Symantec Endpoint Encryption会提示您在系统上找到PKCS#7(P7B)格式的证书文件。

      选择证书时,证书的详细信息将显示在 选择证书 对话框。在确认将证书添加到客户端安装程序或策略之前,请查看证书。

      确认证书后, 由...发出 and 序列号 信息显示在“可移动媒体加密-恢复证书”面板上。要选择其他证书文件,请单击 变更证书.

结合使用恢复证书和Symantec Removable Media Encryption(RME),需要创建两个证书,如下所示:

  1. 要嵌入到RME客户端MSI中的客户端证书–键入PKCS#7 / .p7b,其中包含公用密钥。
  2. 主恢复证书将放置在指定计算机的证书存储中以执行恢复,该证书的类型为PKCS#12 / .PFX,其中包含私钥。无论文件是用密码,加密证书和/或组密钥加密的,只要恢复证书的公钥部分嵌入客户端MSI中,您仍然可以解密文件。

创建这些证书的最佳方法是创建一个初始根证书,将其安装在本地证书存储中,然后将其导出两次,以便您拥有客户端证书类型PKCS#7,然后是服务器端证书类型PKCS#12。可以在任何所需的计算机上安装服务器端证书以执行恢复功能,并且在RME MSI创建过程中需要嵌入客户端。

要使用Microsoft的证书服务创建根证书,您可以选择默认模板之一,例如User,Basic EFS或Administrator,它们对于恢复证书都可以正常工作。我们建议使用Basic EFS模板,因为它是一种精简模板,其中包含以下列出的“关键用法”属性:

  • 基本EFS模板属性
  • 密钥用法:密钥加密
  • 增强的密钥用法:加密文件系统

对于密钥大小,我们还建议至少使用2048。

另外,与我们先前的SEE可移动存储版本不同,SEE 11 RME在恢复证书解密文件时确实显示一个弹出窗口,但与正常的解密过程不同,它不要求输入解密密码-它只是在验证了私有密钥后才解密文件恢复证书的密钥位于本地证书存储中。

同样,包含用于恢复的私钥的计算机不需要安装RME,也可以通过可移动媒体访问实用程序使用恢复证书来解密文件。

2  恢复过程

要恢复RME加密文件,您需要做的是在当前登录用户的个人证书存储区中拥有主恢复证书(即带有私钥的证书)。 在这种情况下,应该是您的管理员用户的身份。 SEE-RME客户端在打开加密文件时会自动查找证书,并且应该会找到它。 这就像可移动访问实用程序的行为,以及当用户证书可用时SEE-RME客户端的行为一样。

总而言之,管理员将:

  1. 接收 加密的文件,并把 通过执行以下操作的机器将其放入USB记忆棒  不  有SEE-RME
  2. 安装 主恢复证书到计算机  与  已安装SEE-RME(即恢复机)
  3. 插头 USB into 安装了SEE-RME的机器
  4. 打开/恢复  文件,并保存解密后的副本
  5. 从Recovery Machine移除Master Recovery Cert

请记住,最佳做法是安全存储和审核对主恢复证书的访问。

参考文献

来自Blogger //blog.fabiandinkins.com/2020/08/symantec-endpoint-encryption-113x.html

通过 约翰

发表评论