SEE服务器安装及管理员使用手册.docx

管理员手册2016年XXXX全盘加密项目文档（V1.0）赛门铁克软件（北京）有限公司2016年7月11日修 订日期作者版本描述目录第一章概述41.1概述41.2文档使用对象4第二章 服务器安装准备42.1创建域用户42.2服务器加入域42.3 安装.NET和IIS等组件52.4 安装SQL SERVER7第三章 SEE服务器安装8第四章 配置客户端加密策略174.1 客户端安装设置184.2 磁盘加密设置194.3 可移动介质加密设置254.4 MAC客户端导出29第五章 密码找回315.1 用户自行找回Self-recovery315.2 Help-Desk协助找回345.3 管理员现场登录38第一章 概述1.1概述 Symantec Endpoint Encryption 采用 PGP 技术，为企业提供了强大的完整磁盘加密和可移动介质加密功能，并可与 Symantec Data Loss Prevention 相集成。 直观的管理功能可实现大规模企业级部署，并具有现成可用的法规遵从报告功能，还可定制报告。 管理功能更加丰富，其中包括支持本机操作系统加密 (BitLocker, FileVault2) 和 Opal 兼容自加密驱动器。1.2文档使用对象 本文档适用于服务器管理员、SEE系统管理员及运维人员。第二章 服务器安装准备2.1创建域用户 在域中创建两个域用户seeadmin和seeiisadmin,其中这两个账户的用途为： Seeadmin：SEE服务器系统登录管理账号 Seeiisadmin：see服务器站点IIS绑定账户2.2服务器加入域 将SEE服务器加入到企业域，并将seeadmin域账户加入到服务器本地管理员组中。 2.3 安装.NET和IIS等组件 添加.Net3.5和.Net4.5组件，并激活HTTP将http组件选中2.4 安装SQL SERVER 使用seadmin域账户登录服务器，安装SQLSERVER，安装SQL server时，不要安装Analysis和Report组件； SQL验证使用混合身份验证第三章 SEE服务器安装依次安装SEE Autologon x64.msi和SEE Windows Password Reset x64.msi第四章 配置客户端加密策略打开Symantec Endpoint Encryption Manager 控制台4.1 客户端安装设置在Symantec Endpoint Encryption Manager中，选择Symantec Endpoint Encryption Software Setup中，选择Management Agent，在Management Agent中选择在Password Attempts中，设置全盘加密的计算机尝试4次登录失败会锁定一分钟的设置，在password Complexity中，设置U盘加密的密码复杂度，可以要求最低几位的大小写字母、数字等，下一步设置客户端与服务器通讯的频率和端口信息，填写正确的密码。点击完成选择客户端导出的保存位置。4.2 磁盘加密设置 在Drive encryption选项页面，对磁盘加密策略进行设置。磁盘加密，需要首先指定客户端管理员(Client Admin)，客户端计算机本地的管理员账户，这个最好为SEE系统管理员掌握，创建管理员账号可以点击ADD按钮添加多个下一步默认使用账户密码进行加解密勾选SSO单点登录，在开机输入验证密码即可在进入系统不需再次认证，下一步设置三个客户端找回密码的预设问题，客户端在初次安装完成时，需要回答这些问题，找回密码时回答正确即可激活密码重设，问题可以是中英文也可以任意定制开机画面的logo等也可以定制，欢迎提示语句也可以定制，下一步对域名是否需要预填写，下一步勾选使用加密的技术AES256BIT，加密的磁盘Disk Drivers需要选中全部加密还是只加密启动盘，我们选择全部加密，高级选项中，选中对没有使用的磁盘进行加密，下一步不需强制客户端与manager强制联系，否则长期出差的用户无法登录客户端，下一步，勾选enable help disk recovery和联系解密。勾选硬件兼容，下一步将磁盘加密的安装包进行导出。4.3 可移动介质加密设置 在Removable Media Encryption选项中对可移动存储介质设置加密策略。 配置可以对文件进行读写，自动对新文件进行加密，可以配置右键加密新文件等，下一步，可以对排除的文件类型和U盘类型选择文件加密的方式，下一步允许客户设置默认密码，不建议为每一个移动存储设置不同密码，推荐不使用证书允许自动拷贝解密工具到相关系统的可移动存储上，不建议使用过期证书加密文件，下一步导出移动存储加密客户端。4.4 MAC客户端导出 在菜单MAC Filevault client中设置MAC的策略，使用常用证书去下一步，配置客户端联系服务器的通信信息，下一步保存客户端安装包。第五章 密码找回5.1 用户自行找回Self-recovery 在登录界面无法登录时，（多次输入错误的用户名密码，可能会被锁定），按F4，选择Self-Recovery，可以回答三个预设的问题（出现问题找回需要输入正确的用户名，错误的密码），完成问题回答后，可以进入系统。多次输入错误，会被SEE锁定一定的时间（策略可定制），在调出SELF-RECOVERY时，以次回答三个问题回答正确，完成自我找回，进入系统。5.2 Help-Desk协助找回 也可以通过打电话给管理员，让管理员协助找回。密码忘记，开机时按F4，选择HELP DESK RECOVERY，客户端使用人员需要将计算机名和序列号信息报告给管理员。管理员需要在SEE Manager上，输入计算机名和序列号（找一次，序列号会自动+1）即可找回。管理员使用SEE Manager，在HELP DESK RECOVERY Programe界面中下一步，需要输入管理员的密码，选择HELP DESK RECOVERY下一步，输入客户端提供的计算机名和序列号，下一步，即可显示出response key将这个key输入到客户端的计算机HELP DESK RECOVERY界面上，即可登录计算机。5.3 管理员现场登录 在登录界面，按F5，进入管理员登录模式，输入SEE manager中设置的客户端管理员的账号密码administ