Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》Sophos Central Encryption 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
《分享》Sophos Central Encryption引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos Central Encryption是一款硬碟加密的雲端控管軟體,
支援Windows與Mac電腦,用以接手Sophos SafeGuard EoL後的產品線。

Windows上用的是Microsoft的BitLokcer來進行硬碟加密;
Mac電腦上則是用Apple的FileVault來進行硬碟加密。

既然Windows與Mac電腦上本身都有加密機制,
為何使用者還要付費花錢買這個軟體?
順子認為只有一個原因,那就是集中控管。
統一在Central平台保管Recovery key,避免遺失的風險;
也透過集中控管,讓所有端點都維持在加密狀態。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-06-29, 14:38 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
Sophos Central Encryption安裝設定引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

要安裝Sophos Central Encryption,當然必需登入Sophos Central平台,
然後在Encryption這個功能頁面中,點選 CONFIGURE > Protect Devices 來下載安裝軟體。



若只有買Encryption授權,那可以直接下載安裝軟體。
但若同時有購買其它Central上的授權,則可透過 Choose Components 來選擇要下載的功能軟體。





安裝軟體下載後,先別急著安裝,
我們可以先來設定Encryption的policy。

點選 CONFIGURE > Policies 來下建立一條以Device為base的policy。



然後在 SETTINGS 中,啟用 Device Encryption is on 功能,以確保加入此policy的電腦能強制觸發加密。



我們也可以在進階設定中,啟用 Require startup authentication 功能,
讓電腦在開機時,載入Windows前能透過密碼來加強安全性。



然後在最後 POLICY ENCORCED 頁面,確認 Policy is enforced 是有啟用的。



Policy設定好並儲存後,可以開始在電腦上安裝軟體了。
如果你跟順子一樣是要測試用,想在VM Server上起一個虛擬機來使用,
那麼請注意,配置的硬碟類型請選擇用完整佈建的,而不是精簡的。



使用精簡型的硬碟在解密時,會出現I/O錯誤的問題,而無法順利解密!
造成功能驗證上的困擾...



安裝軟體時,請確認環境是否能連上以下四個domain,並且不要進行HTTPS解密以免造成安裝時的干擾。

*.sophos.com
*.sophosupd.com
*.sophosupd.net
*.sophosxl.net


如果無法放行整個domain,只能針對每一個FQDN來例外放行的話,
那必需放行以下23個FQDN
dzr-api-amzn-us-west-2-fa88.api-upe.p.hmr.sophos.com
mcs2-cloudstation-us-west-2.prod.hydra.sophos.com
dci.sophosupd.com
d1.sophosupd.com
d2.sophosupd.com
d3.sophosupd.com
dci.sophosupd.net
d1.sophosupd.net
d2.sophosupd.net
d3.sophosupd.net
t1.sophosupd.com
sus.sophosupd.com
sdds3.sophosupd.com
sdds3.sophosupd.net
sdu-feedback.sophos.com
sophosxl.net
4.sophosxl.net
samples.sophosxl.net
cloud.sophos.com
id.sophos.com
central.sophos.com
downloads.sophos.com
amazonaws.com


在滿足OS與環境需求後,端點軟體應該就能順利安裝。
安裝完成後,記得把此端點拉到我們之前所建立的policy中。



待policy成功同步到端點電腦後,從本機登入電腦應該就會觸發加密事件,要求使用者建立BitLocker開機密碼。
(注意,透過遠端桌面登入並不會觸發加密事件喔!)



加密完成重開機後,因為我們有設定BitLocker開機密碼,所以每次開機,就會先透過此密碼驗證。



加密完成,端點Agent的狀態會顯示為“資料保護已開啟”。



而Sophos Central上端點電腦也會顯示為已加密。


↑加密強度為XTS-AES 256-bit,Sophos Central未提供強度的調整設定。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-06-29, 14:45 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
使用者能否自行關閉BitLocker?引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

原則上受policy統一控管的電腦,使用者是無法自行關閉BitLocker。

即便使用者具有本機系統管理員權限,試圖在控制台中關閉BitLocker,
但也會因為policy影響,而又自動進行加密。

除非在policy中,把 Device Encryption is on 功能關掉,
否則使用者是無法自行關閉BitLocker的。




另外,要特別說明的是,Policy的同步並沒有你想像中的快!
修改policy後,至少等個15分鐘再去同步,這是順子在實測後,一個比較可靠的時間。

有時候你可能會發現,怎麼policy變更並儲存了,但卻沒有效果?
這可能不是你的問題,而是同步需要時間,僅此而已...



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-06-29, 15:01 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
電腦故障後,如何把硬碟掛載到其它電腦上?引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

由於順子只有VM環境,所以這個需求順子沒有實測過。
但參考Sophos官方KB來看,似乎也沒那麼複雜。

首先把硬碟掛載到其它電腦上,於此硬碟上按下滑鼠右鍵,選擇“解鎖硬碟”,
然後點選更多功能中的“輸入回復金鑰”。
於“輸入回復金鑰”的畫面中,就會出現硬碟的Key ID,請記下此ID,
我們會透過此ID,於Sophos Central中尋找它對應的回復金鑰。



登入Sophos Central Encryption功能頁面,點選 Retrieve Recovery Key 功能,
輸入剛才找到的Key ID。





然後按下Show Key,



這樣就可以取得回復金鑰。



回到掛載電腦,輸入取得的回復金鑰,這樣加密硬碟就可以正常存取了。




♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-06-29, 15:35 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
為何我的硬碟無法加密?引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos Central Encryption是base on BitLocker加密的一個管理工具,
因此支援的硬碟類型受到了BitLocker本身的限制。

例如 dynamic disk 類型的硬碟掛載方式,就無法被BitLocker所支援。
https://answers.microsoft.com/en-us/wind...14-cd2f1244d89b



而設定為 “使用中(active)” 的硬碟分割區,也無法被BitLocker所支援。
https://learn.microsoft.com/en-us/window...em-requirements





所以當你的硬碟無法被BitLoker管理加密,多半是BitLocker本身的限制。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-06-29, 15:47 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
Sophos Central能查到什麼log?引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos Central平台上有 Logs & Reports 功能,
但為什麼我在堶掖ㄖ鉹ㄗ鼽繨禰[密有關的log或report?

很遺憾的,這個功能是提供端點防毒的log與報表,
對於Device Encryption而言,並沒有相關功能,
只是因為同在Sophos Central平台中,所以出現這樣的功能項目,
但實際上是看不到任何報表或log。

電腦的相關事件資訊,目前還是只能在電腦的Events中查看...



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-06-29, 16:02 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
BitLocker開機密碼忘了怎麼辦?引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

如果有設定BitLocker開機密碼,但忘記密碼時該怎麼辦?

這時請在BitLocker開機畫面中按下鍵盤ESC鍵。



然後它會要你輸入修復金鑰。



修復金鑰可在Sophos Central中取得,找到這台電腦後按下 Retrieve Recovery Key 連結。



然後抄下這台電腦的修復金鑰。



抄下修復金鑰後,於BitLocker畫面中輸入。



修復金鑰正確的話,就可以繼續Windows登入流程。



因為進行過BitLocker的修復流程,
所以成功登入Windows後,就會要求你重新建立BitLocker開機密碼。



下次開機時,不要忘了這個BitLocker開機密碼喔!



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2023-06-30, 10:10 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370

shunze 離線
Surface無法啟用開機PIN碼功能?引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

客戶反映Surface筆電在安裝Sophos Central Encryption軟體時,
到最後設定PIN碼的環節時總是會失敗!
即便移除再安裝也是同樣的情形。
這問題要怎麼解決?




跟Sophos原廠反映後,發現這是Surface筆電獨有的問題。
由於Surface筆電不見得會有實體鍵盤,在沒有鍵盤的情況下,啟用開機PIN碼保護,會造成卡關!
因此在預設狀況下,Surface筆電是不啟用此功能的。

若要強制啟用此功能,需要進去該電腦的“本機群組原則編輯器”中,啟用Operating System drives選項中的以下功能.
Enable use of BitLocker authentication requiring preboot keyboard input on slates



經客戶驗證,啟用此項目後,Surface已可成功啟用開機PIN碼保護了。


參考資料
Encryption does not start on tablet (slate) devices



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2024-01-22, 11:13 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR