Dell Encryption 中的原則檔案和預設加密金鑰
Summary: 以下是使用者通常根據其網路環境自定義的策略。
Symptoms
受影響的產品:
- Dell Security Management Server
- Dell Data Protection | Enterprise Edition
- Dell Security Management Server Virtual
- Dell Data Protection | Virtual Edition
- Dell Encryption Personal
- Dell Data Protection | Personal Edition
原則可控制執行 Dell Encryption (先前稱為 Dell Data Protection |加密)。除了描述應保護和加密哪些數據外,該策略還包含用於定義用於保護數據的密鑰類型的設置。
Cause
不適用
Resolution
原則透過定義用於加密資料的金鑰類型,決定可存取固定儲存裝置 (內部硬碟) 和可移除媒體上加密資料的使用者子集。下面列出了可用的金鑰類型。
系統資料加密 (SDE) 金鑰 - 任何可存取電腦的人 (包括本機帳戶) 都可以存取以 SDE 金鑰加密的資料。SDE 金鑰會根據系統測量值在開機時解除鎖定,通常用於加密作業系統和程式檔案,以便電腦和應用程式能以最快的速度取得這些資料。
系統資料加密使用者 (SDUSER) 金鑰 - 以 SDUSER 金鑰加密的資料會使用與 SDE 加密資料相同的 SDE 金鑰進行加密。這兩個金鑰之間的區別是,除了 SDE 金鑰解鎖要求之外,還必須將受管理的使用者登錄到計算機才能存取數據。
一般加密金鑰 - 任何受管理登入電腦的人,都可以存取以一般加密金鑰加密的資料。當受管理的使用者登入電腦,且軟體會驗證其身分時,即會解除鎖定常見的加密金鑰。常見的加密金鑰是每台電腦唯一的。
使用者加密金鑰 - 只有獲派了使用者加密金鑰的特定使用者才能存取以使用者加密金鑰加密的資料。當受管理的使用者登入電腦,且軟體會驗證其身分時,使用者加密金鑰即會解除鎖定。使用者加密金鑰對於特定裝置上的每個使用者都是唯一的。仍然可以使用鑑識管理員可用的恢復方法來訪問這些數據。只有此使用者和鑑識管理員才能訪問此數據。
使用者漫遊加密金鑰 - 與使用使用者加密金鑰加密的資料一樣,以使用者漫遊加密金鑰加密的資料僅由分配了使用者漫遊加密金鑰的特定使用者存取。但是,與分配給特定計算機上的特定使用者的使用者加密金鑰不同,使用者漫遊加密密鑰分配給特定使用者並在整個企業佔用空間中使用。加密可移除媒體時,應一律使用使用者漫遊加密金鑰。
下圖顯示在經常修改的原則中設定的預設金鑰和加密演算法。
| 原則 | 鍵 (通用;使用者;使用者漫遊) (SDE) | 原則集在哪裡 | 演算法 |
|---|---|---|---|
| 加密使用者設定檔文件 | User
注意:如果停用原則式加密,則會使用 SDUSER 金鑰。
|
使用者資料加密金鑰 允許的值
|
AES256 |
| 加密 Outlook 個人資料夾 | User | 使用者資料加密金鑰 允許的值
|
AES256 |
| 加密暫存檔案 | User | 使用者資料加密金鑰 允許的值
|
AES256 |
| 加密暫存網際網路檔案 | User | 使用者資料加密金鑰 允許的值
|
AES256 |
| 加密 Windows 分頁檔案 | 每次初始化 Shield 時,都會產生一次性 128 位元金鑰。 | N/A | AES256 |
| 安全的 Windows 登入資料 | 系統資料加密 (SDE) | N/A | AES256 |
| 安全的 Windows 休眠檔案 | 系統資料加密 (SDE) | N/A | AES256 |
使用 Shield 加密整個磁碟分割區時,建議使用 SDE 加密金鑰。這可確保在受管理使用者未登入的狀態下,可存取任何加密的作業系統檔案。
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。