PGP-SymantecEncryptionDesktop使用手册.docx

目 录第一章概述41.1PGP介绍41.2 产品线41.2.1 服务器/网关级产品41.2.2 客户端/桌面级产品5第二章Encryption Server(Universal)的安装72.1 PGP适用的系统环境72.2 安装PGP服务器前期准备82.3 安装PGP管理服务器82.4 PGP Cluster服务器安装202.5 PGP基础策略配置272.6 客户端全盘加密、Net Share、Message相关策略创建342.6 自动添加组，并为组设置相关匹配策略442.7 客户端导出54第三章客户端安装及使用553.1客户端安装步骤553.2客户端配置及加密563.3客户端的使用613.4一般问题处理-密码忘记重置密码63第一章 概述1.1 PGP介绍PGP是目前最优秀，最安全的加密方式。这种软件的核心思想是利用逻辑分区保护文件，比如，逻辑分区E:是受PGP保护的硬盘分区，那么，每次打开这个分区的时候，需要输入密码才能打开这个分区，在这个分区内的文件是绝对安全的。不再需要这个分区时，可以把这个分区关闭并使其从桌面上消失，当再次打开时，需要输入密码。没有密码，软件开发者本人也无法解密！PGP是全世界最流行的文件夹加密软件。它的源代码是公开的，经受住了成千上万顶尖黑客的破解挑战，事实证明PGP是目前世界上最安全的加密软件。PGP 加密与解密不像其它传统加密的方式，而是利用所谓的公开钥匙密码学 (Public Key Cryptology) 为基础。举例来说，当您要传送一封保密信或档案笔者时，必须先取得笔者的公开钥匙 (Public Key) ，并且将它加入您的公开钥匙环 ( Public Keyring) 中，然后利用笔者的公开钥匙将信件加密。当笔者收到您加密的信件后，笔者必须利用其相对的私人钥匙 (Secret Key) 来解密。因此，除非其他人拥有笔者的私人钥匙，否则无法解开您所加密的信件。同时，笔者在使用私人钥匙解密 时，还必须输入通行码 (Pass Phrase)，如此又对加密后的讯息多了一层保护。PGP后被赛门铁克收购后，不再发行免费版本。1.2 产品线1.2.1 服务器/网关级产品（1）PGP Universal Server(PGP通用服务器)越来越多企业开始建置加密系统，以保护敏感的企业机密，很遗憾的，为了解决各种加密的问题，保护邮件、硬盘、文档等等，建置了不同的平台，导致管理上的困难，且浪费企业预算！PGP Universal Server通过集中操控的安全策略，来保护机密数据、避免财务损失、避免衍生法律问题、避免因机密外泄而商业信誉受损。PGP加密平台PGP Universal Server，提供邮件、文档、硬盘、网络共享文件夹的加密保护，并有以下特色： 密钥管理-创建，分配和存放加密密钥而保持只有组织允许的授权人员访问加密的数据 策略执行-传送集中操控的策略配置且移除不一致的或不正确的策略配置危险。 报告和记录-提供可见的加密保护当前状态以帮助和满足管理员和审查员的要求。 扩展架构-通过消除管理系统多余的各部分未来的加密软件购置费用减少时间和成本。 密钥的集中管理自动生成密钥、导入/导出公钥或密钥对。 完全自主的策略定制通过加密网页操控全公司的策略，拥有完全的自主权，最终用户完全不需要参与策略的制定过程。 完善的报告及记录功能自动发送报告数据给系统管理者，每一封邮件的进出皆有详细的纪录文件可供查询。（2）PGP Universal Gateway Email（PGP通用网关邮件） 简单的自动操作保护敏感电子邮件，无需改变用户体验。 强制安全策略根据集中操控策略自动强制执行数据保护。 加速部署使用现有基础设施进行传送邮件加密。* PGP Universal Gateway Email是PGP Universal Server的邮件插件1.2.2 客户端/桌面级产品（1）PGP Desktop Email（PGP桌面电子邮件版） 自动消息保护自动加密、解密、数字签名并校验电子邮件消息。可依照本机独立或受PGP Universal Server控制的中央管理策略工作。 多重方法保护数据可使用PGP压缩包（PGPzip）、PGP自解密文档（PGP SDA，PGP Self-Decrypting Archive），以及PGP虚拟磁盘（PGP Virtual Disk）保存和保护您的敏感数据。 安全文件擦除从你的磁盘安全且永久的擦除易被发现的敏感文件所有痕迹。（2）PGP NetShare（PGP网络共享版） 远程应用程序传送支持保护Citrix 和微软终端服务（Microsoft Terminal Server）会话数据。 同步文件确保文件在网络中、服务器中、备份中都保持加密状态。 角色分隔在保证安全性的情况下为满足一般用户，文件拥有者和管理员的不同需求，将采用不同的权限分配，限制每个使用者的操作能力到所需的最小值。（3）PGP Whole Disk Encryption（PGP全盘加密版） 多平台磁盘加密为Mac OS和Windows（两种系统的针对性PGP软件是需要分别购买的）提供包含预引导认证的全盘加密（开机便要求验证密钥密码，否则整个磁盘的数据都被PGP加密后保护着） 扩展国际键盘支持使用超过30个国际键盘的预引导认证。 单点登录使用当前已经存在Windows密码进行验证以简化登录操作 多重方法保护数据可使用PGP压缩包（PGPzip）、PGP自解密文档（PGP SDA，PGP Self-Decrypting Archive），以及PGP虚拟磁盘（PGP Virtual Disk）保存和保护您的敏感数据。（3）PGP Desktop Professional（PGP桌面专业版） 此版本的功能等于：Desktop Email+Whole Disk Encryption（4）PGP Desktop Storage（PGP桌面存储版） 此版本的功能等于：Desktop Email+NetShare（5）PGP Desktop Corporate（PGP桌面企业版） 此版本的功能等于：Desktop Email+Whole Disk Encryption+NetShare（6）PGP Endpoint Device Control（PGP终端设备控制） 简单、自动操作保护特殊许可和授权移动存储使用安全，不改变用户体验或减少生产力。 强制安全策略通过USB、火线、Wi-Fi和蓝牙连接的设备强制执行安全策略。自动以加密移动存储策略为基础；还可以记录使用情况和遵守安全审计验证。 加速部署减少了安装时间和速度的企业保护，无需用户干预，并可利用现有的企业目录中的基础设施。（7）PGP Endpoint Application Control（PGP终端应用程序控制） 减少数据突破口风险保证敏感的公司数据没有因未批准和恶意的软件减弱。 前端自动保护减少帮助台和行政负担。提供自动零日防护，免受已知和未知应用威胁。 支持服从详细的应用程序执行审计，协助示范服从制度。 业务连续性防止商业停机时间的恶意软件的扩散造成的危害。 透明用户体验自动的后台操作，确保用户的工作效率不受影响。（8）PGP Portable（PGP便携加密） 保护所有设备或所有介质适用于可移动存储设备或光学介质的基于软件的加密技术。 使用了正在申请专利的扩展验证与可信赖AES 256位PGP®虚拟磁盘技术。 共享，分发，协作可用Microsoft® Windows和Apple® Mac OS X访问被加密的数据，无需安装另外的软件。 提供就地阅读和编辑，无需更改本地用户体验。 轻松整合企业工作流程为自动化和供应提供支持和口令管理，使企业获得数据的安全且不中断用户工作效率的策略。（9）PGP Mobile（Window Moblie 6、7、8专用，另有BlackBerry手机使用的支持包） PGP虚拟磁盘自动加密解密存储在磁盘卷内的内容。与PGP Desktop客户端兼容。 PGP 压缩包简单的创建加密的数据文件。使用密码或证书对多个用户保护正在传送的数据。与PGP Desktop客户端兼容。 自解密文档允许快速加密存储为Windows下的可执行文件包，以用于没有运行PGP软件的数据交换环境。第二章 Encryption Server(Universal)的安装 本文只介绍Symantec Encryption Server (UNIVERSAL SERVER)产品WDE（Whole Disk Encryption）的安装和使用方法。2.1 PGP适用的系统环境 PGP Encryption Desktop Corporate使用于当前所有Windows操作系统： Windows 8.1 Enterprise (32- and 64-bit editions)Windows 8.1 Pro (32- and 64-bit editions)Windows 8 Enterprise (32- and 64-bit editions)Windows 8 Pro (32- and 64-bit editions)Windows 7 (all 32- and 64-bit editions, including Service Pack 1)Windows Vista (all 32- and 64-bit editions, including Service Pack 2)Windows XP Professional (32-bit edition, including Service Pack 2 or 3)Windows XP Professional (64-bit edition, Service Pack 2)Windows XP Home Edition (32-bit edition, including Service Pack 2 or 3)Windows Server 2012 R2 (64-bit edition)Windows Server 2012 (64-bit edition)Windows Server 2008 R2 (64-bit edition)Windows Server 2008 (32-bit edition)Windows Server 2003 (32- and 64-bit editions, including Service Pack 1 or 2)客户端需要的硬件环境最低为 512 MB of RAM124 MB hard disk space2.2 安装PGP服务器前期准备1、系统配置要求及命名规范2、准备PGP系统安装光盘；2.3 安装PGP管理服务器在虚拟机环境中安装SEPM管理服务器。设置虚拟机为Redhat Linux6 64位系统。1. 将PGP光盘设置为第一启动顺序，从CD 或ISO启动开始安装Symantec PGP Universal Server支持物理和虚拟机安装，分别从Symantec PGP Universal server的CD 或ISO镜像启动即开始安装，如下图： 系统默认采取“customnet”方式进行安装，回车即可。2.接受安装协议该步骤提示用户安装过程将擦除硬盘中所有的数据，选择“Continue”即可，如下图所示：3. 配置网络配置 Symantec PGP Universal Server的IP 地址和掩码信息，如下图所示：。注意：如果是多网卡的安装环境下，会跳出如下的选择网卡向导界面：选择好需要网卡之后，点击“OK”进入到如下图所示的确认界面：配置 Symantec PGP Universal Server的网关和DNS信息，如下图所示：4. 配置主机名配置 Symantec PGP Univeral Server的完整主机名（FQDN），如下图所示：5. 安装完成一旦指定上述网络和主机名等信息，Symantec PGP Universal Server即开始安装过程，如下图所示：安装完成后，Symantec PGP Universal Server会自动重启并出现如下界面，即表示Symantec PGP Univesal Server 安装完成。注意：该登陆界面是无法登陆的，除非获得了Symantec 的官方授权。6. 登陆Symantec PGP Universal Server:打开浏览器,输入https:/ipaddress:9000或https:/hostname:9000, 接受最终用户许可协议初始安装将出现如下欢迎界面：如下图所示：7. 点击，即出现如下界面：8. 选择PGP Universal Server的安装类型，点击上图中按钮，选择Symantec PGP Universal Server的安装类型，如下图所示：第一次安装PGP Universal时，选择“New Installation”，9. 选定安装类型后点击，配置Symantec PGP Universal Server的时区、时间格式和NTP 服务器等信息，如下图所示： 依照时区，选择Asia/Shanghai，时间格式为24-hour。10. 配置网络参数。配置好时区和时间格式等信息后，点击，出现以下网络配置信息界面：11. 确认网络配置无误后，点击，进入最终的配置确认界面，如下图所示：12. 如果确认配置无误，则点击，则出现下面的执行界面，等所有配置执行结束。13. 当配置执行完毕会自动跳装到如下的Symantec PGP Universal Server的license界面,如下图所示：由于只购买了Desktop相关功能，此处不选择Enable Mail Proxies选项。14. 输入正确的License 信息后，点击即进行入配置Symantec PGP Universal Server超级管理员的界面，如下图所示: 正确设置admin密码及admin的Email Address，点击，设置主要Domain，15. 在Primary Domain中输入，如下图所示：16. 点击，进入“Ignition Key”的配置界面，选择Soft-Ignition Key With Passphrase模式，如下图所示：17. 点击设置Ignition Key名称及密码， 如下图所示“18. 点击，设置Orgranization Key，注：此处设置的密码在以后的运维中会多次用到，主要保存，设置完成后，点击，将Orgranization Key保存到特殊目录下。如下图所示：备份完成之后，点击进入配置确认界面，如下图：19. 点击 即全部完成Symantec PGP Universal Server 的初始配置了，浏览器会自动跳装到Symantec PGP Universal Server的登陆界面。2.4 PGP Cluster服务器安装1. 如果采用两台PGP Universal服务器的Cluster功能，当一台出现问题，第二台会自动接管第一台的工作。第二台Cluster PGP Universal服务器的安装步骤同第一台安装步骤，在正常安装完成后，第一次登录后，选择Symantec PGP Universal Server的安装为Cluster Member类型，如下图所示：2. 点击，设置时区，如下图所示：3. 设置IP地址，点击，如下图所示：4. 点击，确认配置服务器配置，点击，如下图所示：5. 等待大约2-5分钟后，如下图所示：6. 当第二台PGP服务器正常启动后，自动进入Licensee注册页面，正确输入相关信息，如下图所示：7. 点击，进入加入Cluster模式，在红色方框中输入第一台已安装完成的PGP Universal服务器IP地址，如下图所示：8. 确认已正常和第一台PGP Universal服务器通信，会出现如下所示页面，9. 点击按钮，出现如下所示页面，等待第一台PGP Universal服务器的相应，如下图所示：10. 登录第一台已安装完成的PGP Universal服务器，如下图所示：11. 登录到第一台服务器页面后，选择“system”按钮，选择“Clustering”，点击“Add Clustering Member”按钮，如下图所示：12. 输入第二台安装PGP Universal服务器IP地址，如下图所示：13. 添加完成后，点击Save按钮，如下图所示界面：14. 点击Contact按钮，开始将第二台PGP Universal服务器加入到Cluster中，如下图所示：15. 在第二台PGP Universal服务器上显示如下图所示页面，表示这两台服务器正在同步相关信息，如下图所示：16. 两台服务器同步完成后，登录第一台PGP Universal服务器，点击System，Clustering，按钮，如下图所所示页面，表示两台PGP服务器已正常同步成功。2.5 PGP基础策略配置1. 登录PGP Universal服务器，点击然后选择，如下图所示：2. 点击，启用Symantec PGP Universal Server 的目录同步功能，并点击按钮，添加目录服务器，如下图所示：注意：其中 LDAP Credentials 的Bind DN和Passphrase是需要提前在AD建立的用于SymantecPGP Universal Server 与AD之间进行通讯验证的域帐户和密码。Hostname字段填入FQDN，且要确保能正确解析。在下述页面中，输入名称、类型和Bind DN和passphrase、主机名和端口等信息之后，点击，如下图所示：3. 点击，如下图所示：4. 点击Ok按钮，返回到2所示界面，点击,如下图所示：点击DC=YTPU，DC=COM前的加号，如下图所示：5. 在CN=中央研究院、CN=信息中心。注：此处可依据AD架构，只支持AD中Group的导入，可依据现有的AD架构，将相关用户加入到相关组，比如：创建出差组，将出差用户加入到此组，并导入。6. 导入AD中的GROUP后，如下图所示：7. 点击Save按钮。将上述配置全部保存之后跳转到如下页面：点击Settings按钮，再出现的界面中选择，并选择禁止使用证书登入，由于启用了Cluster功能，选择同步LDAP查找功能，其他配置如上图所示。8. 系统备份设置，点击，选择，如下图所示：PGP Universal服务器支持两种备份方式，一种备份方式是直接备份到PGP Universal服务器上，但是拷贝出来比较麻烦，另外一种是将备份文件备份到FTP服务器上，在内网架构一台FTP服务器，设置用户名及密码。以下是以备份到FTP服务器为例做相关操作说明。9. 点击按钮，出现如下所示界面，在此界面中输入FTP主机IP地址，FTP用户名、密码、FTP目录，如下图所示：设置Backup Name，并选择，点击Save按钮，在出现的页面中选择，设置备份调度，可依据每周备份一次的备份调度，对PGP进行备份，如下图所示：点击Save按钮，对于第一次安装，建议点击，开始数据的备份，备份成功后，在FTP服务器上就会出现已经备份成功的PGP文件，在界面上也会显示成功备份的相关记录，如下图所示：在FTP上备份成功后的图如下所示：在PGP界面上也会显示成功记录，如下图所示：10. 在备份了PGP数据后，还需要备份Orgranization Key，方可正常进行PGP服务器的恢复。点击，选择，点击，如下图所示：11. 在出现的页面中点击Export按钮，如下图所示：在新出现的页面中选择Export Keypair按钮，并输入密码，此密码为安装PGP服务器时所设置的密码，详细信息请查看2.2章第18所列内容。点击Export，如下图所示;2.6 客户端全盘加密、Net Share、Message相关策略创建1. 点击，选择，点击，如下图所示：2. 在新的页面中选择Clone From Default，并对策略命名，以下是以信息中心为例，如下图所示：3. 点击Save按钮，新的策略被创建，如下图所示：4. 点击已创建完成的策略，开始编辑策略，如下图所示：5. 点击General，选择Edit，如下图所示：选择选项，点击Save按钮。6. 在Key处选择Edit按钮，在出现的页面中，选择如下图所示：如上所示，选择加密类型RSA，加密Size为2048，取消ZLIB加密方式，在Key Renewal处选择Never renew和Never stop renewing选项，7. 点击Management，如下图所示：只选择Server Key Mode。8. 点击Certificates按钮，所有设置按照默认设置即可。9. 点击Options按钮，可依据需求，强制用户使用强密码。如下图所示：10. 在PGP Desktop列中选择Desktop选项，对于中的选项，如果选择，则允许客户端用户去设置相关加密策略等，建议不选择。对于和选项，如果在客户端启用Messaging功能，此选项必须选择，如果不启用Messaging功能，则不需要选择此选项，在此文档中，为了验证客户端Messaging功能，故启用和这两个功能，对于功能，允许用户在终端进行文档加密及ZIP文件等的加密，建议选择。在选项中，选择功能，客户端自动从PGP SERVER上同步Key。选择允许用户静默方式接入PGP服务器。为了管理方便，建议终端在启动选项及Windows开始菜单栏显示图标。在PGP管理界面隐藏Exit PGP Services。详细内容如下所示。如下图所示：11. 对于这两个选项，可依据需求，自定义调整，建议第一次安装的，调整为2小时发送一次日志，2小时下载一次策略。12. 点击Messaging&Key，勾选如下选项，在客户端启用MAIL加密及聊天工具的加密功能。 对于选项，不建议选择，当启用了终端Messaging功能后，用户可在终端自定义Mail策略。对于功能，如果启用Messaging功能，此选项必须选择。用于对mail Key的管理工作。13. 点击File Encryption选项，选择允许用户自定义创建和打开PGP ZIP加密文件，并在终端启用PGP粉碎机功能。一般建议选择粉碎次数为3次，如下所示：14. 点击NetShare，选择，强制将存放在此加密目录下文件进行加密，注：要对终端上的目录进行加密，必须保证此终端的盘符后文件夹处于共享状态，盘符默认共享不支持。并且保证当前登录用户可访问此盘符或文件夹。在空格中输入需要加密的文件夹名称，此文件夹不需要在终端创建，如下图所示：15. 点击Disk Encryption选项，选择选项，则允许终端用户创建PGP虚拟磁盘；选择，允许用户创建PGP 标签盘符，自动对移动硬盘进行加密。如下图所示，详细信息请参考16. 对于全盘加密选项，如下图所示：对于用户是否可对全盘加密管理，如果选择Allow User Managenment和internal Disks，则允许终端登录用户添加和删除其他用户名。如果选择Allow Encryption，则允许用户加密，如果选择Allow Decryption，则允许用户对整盘进行解密。关于的选项说明：如果启用SSO，建议设置为Force模式，并自动加密启动盘；对于在首次安装完成PGP desktop后加密整个磁盘时，可以进行断电保护，加密性能不会受影响。该选项表示启用WDRT,即管理员远程恢复WDE的密码。17. WDE Administrator用户创建此选项在终端全盘加密用户管理中添加WDE Administrator管理，通过此用户可对与登录用户进行添加和删除管理，一旦终端将所有的与登录用户全部删除或者第一次使用终端添加用户时，勾选此选项，并设置密钥，如下图所示：当终端使用WDE Administrator登录时，在客户端输入用户名为WDE Administrator，并输入密码，在Domain处选择This Computer。18. WDE BootGuard自定义设置。如下图所示：2.6 自动添加组，并为组设置相关匹配策略19. 如果在终端启用了Net Share功能，因此需要使用Group Key功能，便于对Net Share访问权限的管理，点击Keys，选择Managed Keys，点击Add Managed Keys，如下图所示：20. 在出现的对话框中选择相应的组，如下图所示，并勾选所选择的组，注：在AD中只支持Group， 组选择完成后，点击下一步，出现如下页面，点击完成，创建的Group Keys会自动出现在管理Keys页面，如下图所示：21. 设置完成Group Keys后，点击，选择，刚才在Group keys中所导入的组会自动进入Group中，如下图所示：22. 点击信息中心组，对此组制定相关策略，如下图所示：选择，并将以创建的信息中心策略指定到此组，当AD中信息中心的用户登录到终端后，就会自动执行信息中心的相关策略。其他组创建同上，先创建策略，然后创建Group Keys，在给Group制定相关策略。23. 登录用户管理，当一个AD用户属于多个组，并且这些组已同步到PGP服务器上时，PGP会以Policy Group Order的排序为此用户指派相关策略，以AD上CC用户为主，当CC用户即属于产品部，有属于市场部时，此CC用户登录到终端，当市场部在Policy Group Order排在产品部前时，此时CC执行市场部策略，如下图所示：当在Policy Group Order将产品部调整到市场部前时，此时CC用户就会执行产品部策略，如下图所示：24. 客户端启用Messaging功能后，如下图所示，终端用户可设置外部邮件或者内部邮件发送加密方式，详见手册。25. PGP客户端导出。点击，选择，点击Download Client，出现如下页面，选择客户端自动识别Policy Group的方式如下图所示：26. 客户端Net Share功能验证，aa用户属于信息中心，www用户属于中央研究院组，当以aa用户登录终端时，自动会在终端所共享的D盘上创建一个信息中心的加密文件夹，可在此文件夹中创建或拷贝文件，如下图所示：当以WWW用户登录此终端