作者: Allen Chung

4_SEE RSE Policy

Native policies

• 只能套用至 computer (套用順序：computer、Sub group、Group)
• Native policies are designed for deployment to computers that are not managed by Active Directory.

SEE Roles

• Policy Administrators
• Client Administrators
• Policy Create

SEE 有此兩類 Policy

• 【Active Directory Policy】
• 【Native Policy】

【Active Directory Policy】的畫面

展開【Machine Policy】→【Framework】→來進行以下相關項目的設定

【Client Administrator】

The password must be a minimum of two characters and no longer than 32

Token->P7B file

※ Client Admin 的驗證方式與管理權限 RSE → (用來 Unregister user)，FD → (用來 Decrypt drivers、Extend lockout、Unlock)

※ Level →8.0.0 之後用不到

【Registered Users】

【Password Authentication】

【Token Authentication】

允許過期憑證驗證

【Authentication Message】

驗證遇到問題時，可依訊息所指定的方式聯繫資訊人員協助處理

【Communication】

用戶端電腦每隔多久傳送狀態更新給 SEE Management Server

展開【User Policy】→【Framework】→來進行以下相關項目的設定

【Single Sign-on】

【Authenti-Check】

【One-Time Password】

Full Disk 使用者忘記密碼時使用

展開【Machine Policy】→【Removable Storage】→來進行以下 【Removable Storage】 相關項目的設定

【Access and Encryption】

【Device and File Type Exclusions】

【Encryption Method】

【Default Password】

Session Default Password

可以設定兩個 Session Default Password

Device Session Default Password

【Recovery Certificate】

http://www.symantec.com/connect/forums/password-recovery-encrypted-files If you have a master certificate, you may. 1. Launch MMC, add Certificates snap-in for my user account. 2. Expand Certificates – Current User under Console Root in the left pane, right click Personal folder, then go to All tasks -> click Request new certificate… 3. Select User as certificate type, click Next. 4. Give it a friendly name, click Next. 5. Verify the details at the last screen and click Finish. 6. By default, Windows 2003 enterprise root CA is configured to automatically generate a user certificate upon receiving a request. So now, you should see a Certificates folder under Personal folder in the left pane. 8. Click the Certificates folder, in the right pane, you should see the user certificate that’s just generated. 9. Right click the user certificate, go to All tasks -> click on Export…. 10. Select No, do not export the private key and click Next. 11. Select Cryptographic Message Syntax Standard – PKCS #7 Certificates (..P7B), then next. 12. Give it a name, and click Finish. Now create the Removable storage client package. In the Removable Storage Installation Settings –Encryption Method, select A password or A password and/or one or more certificates. In the Removable Storage Installation Settings –Recovery Certificate, choose Encrypt files with a recovery certificate and browse and select the saved P7B certificate. In the Removable Storage Installation Settings – Portability pane check Copy the Removable Storage Access Utility to all removable storage devices.

【Workgroup Key】

【Portability】

展開【Machine Policy】→【Full Disk】→來進行以下 【Full Disk】 相關項目的設定

【Startup】

【Logon History】

【Autologon】client 收到 policy 後要5分鐘才生效

【Remote Decryption】

【Client Monitor】

【Local Decryption】

[Removable Storage Edition client Package 建立]

允許存取移動式媒體上的檔案

並且加密移動式媒體上新增的的檔案

停用 Windows 內建的光碟燒錄功能

利用【symantec endpoint encryption device control auditor】來查詢 Vendor ID 和 Device ID

最多 50 筆

無法查詢 eSATA

※【symantec endpoint encryption device control auditor】可於 File Connect SEE Device Control 中下載取得

設定排除

如果選擇 certificates 需要匯入 .p7b 憑證檔

Default Password

Session Default Password

可以設定兩個 Session Default Password

Device Session Default Password

Recovery Certificates (復原憑證)

加密 Removable Storage Devices 時，除了使用使用者提供的密碼，也使用此復原憑證，一但使用者離職或忘記密碼時，便可以使用此復原憑證還原檔案

Workgroup Key

同一個 group 的成員可以建立Workgroup Key，如此同一個 group 的成員所加密的檔案彼此分享時，將不會提示輸入密碼或憑證

 

SEE client Packages 建立

[Framework client Package 建立]

新增 Client Administrator

【Do not require registered users to authenticate to SEE】

自動驗證並允許使用者存取 SEE client console 時不需要輸入密碼

【Require registered users to authenticate with 【a password】】

搭配下方 Registration 使用

【同一台電腦限制只能註冊1024位使用者】

【Allow 2 restarts before forcing the first user to register】

強制第一個登入的使用者進行註冊前，允許有兩次重啟電腦的機會(讓 user 看 警語)

若強制一開始即註冊請設定為0

登入 User Client (或是使用忘記密碼的問題答覆)，若失敗4次，要等候1分鐘才能進行第五次嘗試；若第5次也失敗，就要等候5分鐘才能再重新進行登入嘗試

Full Disk password and Removable Storage，如果使用者忘記密碼，可以透過以下詢問問題的驗證方式來允許登入

Full Disk password 的密碼回復

SEE Removable Storage Edition 會使用此加密強度進行加密

Symantec Endpoint Encryption 8.2.1 安裝

前置作業1→請先安裝 SQL server

——————————–

[略]

? 此安裝所需的封包檔 Redist.cab 已毀損

(使用SQL server 2008 R2 安裝)

——————————–

前置作業2→IIS (ASP.NET)

C:\Program Files (x86)\Symantec\Symantec Endpoint Encryption Management Server\Services

Symantec.Endpoint.Encryption.ConfigManager.exe

Adsyncuser

Add (新增要同步的其他網域)

Configure Domain Filter (排除沒有使用 SEE 的網域)

驗證安裝是否成功

可以的話請進行備份

【SEE Manager Console 安裝】

 

SEE Manager Console 在 Windows 7 的前置作業 下載並安裝Windows 7 SP1 的遠端伺服器管理工具 http://www.microsoft.com/zh-tw/download/details.aspx?id=7887 要勾選【群組原則管理工具】，否則會出現【Windows 7 mmc 無法建立嵌入式管理單元】

 

SEE Manager Console 在 Windows server 2008 R2 的前置作業

安裝 SEE Manager Console

p@ssw0rd

匯入 SEE RSE 與 SEE Full Disk

【Add Forest】

【建立Restricted Policy限制某 OU成員不得使用 SEE Manager Console】

【SEE Restricted Policy】

C:\Windows\inf

C:\Program Files\Symantec\Symantec Endpoint Encryption Manager\Framework\ADM

以限制 OU 成員登入系統並開啟 SEE Manager Console，出現無法執行視窗

【更新 Mac OS 至OS X Mountain Lion後，Parallel 7 無法使用】

【解決方法】

1. 請至以下網址下載Parallels Desktop 7.0.15104 更新並安裝
Download the update: http://www.parallels.com/products/desktop/download/dr/

2. 或是參照以下方式進行更新

以下是原廠官網資訊

http://kb.parallels.com/en/114449

Parallels Desktop 7 for Mac does not start after upgrade to OS X Mountain Lion: You can’t use this version of the application “Parallels Desktop.app”

Article ID: 114449

Created On: Jul 26, 2012

Last Review: Sep 5, 2013

Views:

APPLIES TO:

• Desktop Virtualization

Note: This article is for Parallels Desktop 7 only. if you use Parallels Desktop 5 for Mac or Parallels Desktop 6 for Mac please refer to this article: http://kb.parallels.com/114410

Symptoms

You upgraded your Mac to OS X Mountain Lion and no longer can start Parallels Desktop 7 because of the error message:
You can’t use this version of the application “Parallels Desktop.app” with this version of OS X.

Cause

Parallels Desktop 7 for Mac is not updated to the latest build 7.0.15104

Resolution

Download and install the latest Parallels Desktop 7 update:
1. Download the update: http://www.parallels.com/products/desktop/download/dr/
2. Run the downloaded file and install Parallels Desktop 7.0.15104. Note: only Parallels Desktop application will be reinstalled, no Virtual Machines will be affected.

請連結至以下網頁，填寫相關資訊後進行申請

http://www.parallels.com/hk/techguarantee2013/request/

• 必須填入您的 Parallels Desktop 8 啟動金鑰
• 必須上載數字拷貝（掃描，*. pdf 文檔，數碼照片等）發票* (最大 1Mb)

備註：您的購買證明必須明確標註：

* 產品購買日期（不得在 2013 年 8 月 15 日以前或 2013 年 10 月 31 日以後購買）
* 明確標示產品為 Parallels Desktop 8 for Mac 完整版、升級版、學生授權或 OEM 版，並且是從授權經銷商購得。備註：例：eBay 並非授權經銷商。

http://www.symantec.com/connect/articles/installation-symantec-protection-engine-graphical-steps

 

On the previous article:

https://www-secure.symantec.com/connect/articles/i…

we made a basic introduction to Symantec Protection Engine. In this article, we will go through the installation of the SPE.

Before the installation of the SPE, you need to make sure the JRE installed. And, please note that the SPE only support 32bit JRE.

1. Start the installation:

2. Accept the license:

3. The installation location:

4. Select the authentication method:

From the new version of the SPE on, it supports Active Directory-based authentication.

5. Input the password of the administrator:

6. Accept the administrator port and SSL port:

7. URL filtering option:

8.Start the installation:

9. Finish the installation:

10. Launch IE and browse to https://localhost:8004

11. On the Security Warning windows, click ‘Continue’ button:

12. On the applet windows, click ‘Run’ button:

13. On the Security Warning windows, click ‘Don’t Block’ button:

14. Input the administrator credential:

15. You need to install license to enable the SPE:

16.Install your license:

17. The function of the SPE will be enabled after install the license:

Virus Definitions & Security Updates – Symantec Corp.

http://www.symantec.com/security_response/definitions.jsp

 

About【 AntiVirus for Network Attached Storage ( Symantec Scan Engine for NAS )】

 

一、建置

1.先確定客戶的 NAS 支援 【 AntiVirus for Network Attached Storage】

如果支援

先在 NAS 上安裝 connector ( 很多 NAS 出廠時就已預載 connector )

2.找一台 server 來安裝 Symantec Scan Engine

3.透過 Web UI 設定 Symantec Scan Engine

( 包含：Symantec Scan Engine 與 NAS 聯繫的 protocol → RPC 或 ICAP，以及一些 protocol 選項 )

4.設定每個 NAS 的掃描選項

二、運作

1.user 向 NAS 要求檔案

2. NAS 透過 connector 將檔案送至 Symantec Scan Engine 掃描

3.Symantec Scan Engine 掃描後，如果偵測到病毒，會將病毒清除，然後將乾淨的檔案送還 NAS

4.NAS 將乾淨的檔案寫入硬碟 (並標記檔案已清除)，然後將檔案提供給 user

三、支援的 NAS 與 connector 使用的 protocol

※ 如果 connector 使用的 protocol 是 RPC，Symantec Scan Engine 就只支援 Windows 平台

四、Symantec Scan Engine 支援的系統

支援 Windows、Solaris、Linux

※ 如果 connector 使用的 protocol 是 RPC，Symantec Scan Engine 就只支援 Windows 平台

About【 Symantec Protection Engine for NAS 7.0】

一、建置

1.先確定客戶的 NAS 支援 【 Symantec Protection Engine for NAS 7.0】

如果支援

先在 NAS 上安裝 connector ( 很多 NAS 出廠時就已預載 connector )

2.找一台 server 來安裝 Symantec Protection Engine

3.透過 Web UI 設定 Symantec Protection Engine

( 包含：Symantec Protection Engine 與 NAS 聯繫的 protocol → RPC 或 ICAP，以及一些 protocol 選項 )

4.設定每個 NAS 的掃描選項

二、運作

1.user 向 NAS 要求檔案

2. NAS 透過 connector 將檔案送至 Symantec Protection Engine 掃描

3. Symantec Protection Engine 掃描後，如果偵測到病毒，會將病毒清除，然後將乾淨的檔案送還 NAS

4.NAS 將乾淨的檔案寫入硬碟 (並標記檔案已清除)，然後將檔案提供給 user

三、支援的 NAS 與 connector 使用的 protocol

※ 如果 connector 使用的 protocol 是 RPC，Symantec Protection Engine 就只支援 Windows 平台

【Support Matrix for Partner Devices Certified with Symantec Protection Engine (SPE) for Network Attached Storage (NAS) 7.0.x】

http://www.symantec.com/business/support/index?page=content&id=HOWTO83461

四、Symantec Protection Engine 支援的系統

支援 Windows、Solaris、Linux

※ 如果 connector 使用的 protocol 是 RPC，Symantec Protection Engine 就只支援 Windows 平台