SEE服务器安装及管理员使用手册.docxVIP

2016年XXXX全盘加密项目××××文档（V1.0）赛门铁克软件（北京）有限公司2016年7月11日修订日期作者版本描述概述1.1概述Symantec Endpoint Encryption 采用 PGP 技术，为企业提供了强大的完整磁盘加密和可移动介质加密功能，并可与 Symantec Data Loss Prevention 相集成。直观的管理功能可实现大规模企业级部署，并具有现成可用的法规遵从报告功能，还可定制报告。管理功能更加丰富，其中包括支持本机操作系统加密 (BitLocker, FileVault2) 和 Opal 兼容自加密驱动器。1.2文档使用对象本文档适用于服务器管理员、SEE系统管理员及运维人员。第二章服务器安装准备2.1创建域用户在域中创建两个域用户seeadmin和seeiisadmin,其中这两个账户的用途为：Seeadmin：SEE服务器系统登录管理账号Seeiisadmin：see服务器站点IIS绑定账户2.2服务器加入域将SEE服务器加入到企业域，并将seeadmin域账户加入到服务器本地管理员组中。2.3 安装.NET和IIS等组件添加.Net3.5和.Net4.5组件，并激活HTTP将http组件选中2.4 安装SQL SERVER使用seadmin域账户登录服务器，安装SQLSERVER，安装SQL server时，不要安装Analysis和Report组件；SQL验证使用混合身份验证第三章SEE服务器安装依次安装SEE Autologon x64.msi和SEE Windows Password Reset x64.msi第四章配置客户端加密策略打开Symantec Endpoint Encryption Manager 控制台4.1 客户端安装设置在Symantec Endpoint Encryption Manager中，选择Symantec Endpoint Encryption Software Setup中，选择Management Agent，在Management Agent中选择在Password Attempts中，设置全盘加密的计算机尝试4次登录失败会锁定一分钟的设置，在password Complexity中，设置U盘加密的密码复杂度，可以要求最低几位的大小写字母、数字等，下一步设置客户端与服务器通讯的频率和端口信息，填写正确的密码。点击完成选择客户端导出的保存位置。4.2 磁盘加密设置在Drive encryption选项页面，对磁盘加密策略进行设置。磁盘加密，需要首先指定客户端管理员(Client Admin)，客户端计算机本地的管理员账户，这个最好为SEE系统管理员掌握，创建管理员账号可以点击ADD按钮添加多个下一步默认使用账户密码进行加解密勾选SSO单点登录，在开机输入验证密码即可在进入系统不需再次认证，下一步设置三个客户端找回密码的预设问题，客户端在初次安装完成时，需要回答这些问题，找回密码时回答正确即可激活密码重设，问题可以是中英文也可以任意定制开机画面的logo等也可以定制，欢迎提示语句也可以定制，下一步对域名是否需要预填写，下一步勾选使用加密的技术AES256BIT，加密的磁盘Disk Drivers需要选中全部加密还是只加密启动盘，我们选择全部加密，高级选项中，选中对没有使用的磁盘进行加密，下一步不需强制客户端与manager强制联系，否则长期出差的用户无法登录客户端，下一步，勾选enable help disk recovery和联系解密。勾选硬件兼容，下一步将磁盘加密的安装包进行导出。4.3 可移动介质加密设置在Removable Media Encryption选项中对可移动存储介质设置加密策略。配置可以对文件进行读写，自动对新文件进行加密，可以配置右键加密新文件等，下一步，可以对排除的文件类型和U盘类型选择文件加密的方式，下一步允许客户设置默认密码，不建议为每一个移动存储设置不同密码，推荐不使用证书允许自动拷贝解密工具到相关系统的可移动存储上，不建议使用过期证书加密文件，下一步导出移动存储加密客户端。4.4 MAC客户端导出在菜单MAC Filevault client中设置MAC的策略，使用常用证书去下一步，配置客户端联系服务器的通信信息，下一步保存客户端安装包。第五章密码找回5.1 用户自行找回Self-recovery在登录界面无法登录时，（多次输入错误的用户名密码，可能会被锁定），按F4，选择Self-Recovery，可以回答三个预设的问题（出现问题找回需要输入正确的用户名，错误的密码），完成问题回答后，可以进入系统。多次输入错误，会被SEE锁定一定的时间（策略可定制），在调出SELF-RECOVERY时，以次回答三个问题回答