Dell Encryption Enterprise Self-Encrypting Drive Manager 和 Dell Full Disk Encryption 常见恢复情形

受影响的产品：

• Dell Encryption Enterprise Self-Encrypting Drive Manager
• Dell Full Disk Encryption

受影响的版本：

• v8.X 及更高版本

受影响的操作系统：

• Windows

目录：

• 远程 PBA 命令
• 禁用 PBA
  • 策略
    • Dell Encryption Enterprise Self-Encrypting Drive Manager
    • Dell Full Disk Encryption
  • 恢复实用程序
• 故障处理
  • 启动前身份验证
  • 用户登录

当必须为启动前身份验证 (PBA) 设备执行恢复时，管理员可以执行远程 PBA 命令或禁用 PBA。管理员也可以执行故障处理。单击相应主题以了解详细信息。

远程 PBA 命令

PBA 设备控制允许管理员通过安全服务器向端点上的 PBA 环境发送命令，以远程执行任务。这些任务包括锁定和解锁端点、绕过 PBA 以及擦除端点。

访问启动前身份验证设备控制选项：

1. 从网页浏览器通过 https://servername.company.com:8443/webui 转到 Dell Data Security 管理控制台。
   提醒：

   • 示例 servername.company.com 可能与您的环境中的服务器 DNS 有所不同。
   • 端口 8443 可能与环境中的远程管理控制台端口不同。
   • 有关访问远程管理控制台的更多信息，请参阅如何访问 Dell Data Security/Dell Data Protection 服务器管理控制台。
2. 登录到 Dell Data Security 管理控制台。
   
   提醒：

   • 默认管理员凭据是用户名 superadmin 密码为 changeit。
   • Dell Technologies 推荐更改默认 superadmin 密码。
3. 在左侧菜单窗格中，依次单击 Populations 和 Endpoints。
   
4. 在端点的 Details & Actions 选项卡中，有一个 PBA Device Control 区域，可在其中将特定命令发送到端点：
   
   命令包括：
   • Lock — 禁用指定端点计算机上的登录。这将锁定端点计算机。
   • Unlock — 重新启用登录。这将解锁端点计算机。
   • Remove Users — 从 PBA 中删除所有用户。
   • Bypass Login — 解锁锁定的端点计算机（此命令可用于允许一次性绕过 PBA）。使用此命令不会重新启用登录。
   • Wipe — 此命令可用于在紧急情况下自动擦除端点计算机，使数据永久不可恢复。包括操作系统在内的所有数据都将丢失。擦除后，计算机将在启动时显示以下或类似的消息。
     

返回页首

禁用 PBA

在启动操作系统之前，PBA 会验证对自加密驱动器 (SED) 和全磁盘加密 (FDE) 的访问权限。管理员有时会面临从其中一个加密驱动器中检索数据的问题。发生这种情况的原因有很多，包括但不限于操作系统损坏或磁盘故障。

如果端点仍可完成启动至操作系统，则可以删除 PBA 并通过策略解密磁盘。如果端点无法完成启动至操作系统，则必须使用 Recovery Utility 禁用 PBA，以解密磁盘并访问数据。单击相应方法以了解更多信息。

策略

根据是否安装了 Dell Encryption Enterprise Self-Encrypting Drive Manager 或 Dell Full Disk Encryption，禁用 PBA 和通过策略加密的过程会有所不同。单击相应的产品以了解更多信息。

返回页首

Dell Encryption Enterprise Self-Encrypting Drive Manager

通过策略禁用 Dell Encryption Enterprise Self-Encrypting Drive Manager：

1. 从网页浏览器通过 https://servername.company.com:8443/webui 转到 Dell Data Security 管理控制台。
   提醒：

   • 示例 servername.company.com 可能与您的环境中的服务器 DNS 有所不同。
   • 端口 8443 可能与环境中的远程管理控制台端口不同。
   • 有关访问远程管理控制台的更多信息，请参阅如何访问 Dell Data Security 服务器管理控制台。
2. 登录到 Dell Data Security 管理控制台。
   
   提醒：

   • 默认管理员凭据是用户名 superadmin 密码为 changeit。
   • Dell Technologies 推荐更改默认 superadmin 密码。
3. 在左侧菜单窗格中，依次单击 Populations 和 Endpoints。
   
4. 在右侧窗格中，从列表中选择端点。
   
5. 从 Security Policies 选项卡中，单击 Self-Encrypting Drive (SED)。
   
6. 关闭 Self-Encrypting Drive (SED)。这将禁用 PBA 并仅完全解密此端点的磁盘。
   
   提醒：有关详细信息，请参阅如何为 Dell Data Security/Dell Data Protection 检查策略更新（英文版）。
7. 在右上角，单击 Save。
   
8. 提交策略。
   提醒：有关更多信息，请参阅如何为 Dell Data Security/Dell Data Protection 服务器提交策略。
9. 从端点检查策略更新。
   
   提醒：有关详细信息，请参阅如何为 Dell Data Security/Dell Data Protection 检查策略更新（英文版）。
10. 确认策略已收到。PBA 和加密处于禁用状态，并且磁盘可完全访问。

返回页首

Dell Full Disk Encryption

通过策略禁用 Dell Full Disk Encryption：

1. 从网页浏览器通过 https://servername.company.com:8443/webui 转到 Dell Data Security 管理控制台。
   提醒：

   • 示例 servername.company.com 可能与您的环境中的服务器 DNS 有所不同。
   • 端口 8443 可能与环境中的远程管理控制台端口不同。
   • 有关访问远程管理控制台的更多信息，请参阅“如何访问 Dell Data Security/Dell Data Protection Encryption 远程管理控制台。
2. 登录到 Dell Data Security 管理控制台。
   
   提醒：

   • 默认管理员凭据是用户名 superadmin 密码为 changeit。
   • Dell Technologies 推荐更改默认 superadmin 密码。
3. 在左侧菜单窗格中，依次单击 Populations 和 Endpoints。
   
4. 在右侧窗格中，从列表中选择端点。
   
5. 在 Security Policies 选项卡中，单击 Full Disk Encryption (FDE)。
   
6. 关闭 Full Disk Encryption (FDE)。这将禁用 PBA 并仅完全解密此端点的磁盘。
   
7. 在右上角，单击 Save。
   
8. 提交策略。
   提醒：有关更多信息，请参阅如何为 Dell Data Security/Dell Data Protection 服务器提交策略。
9. 从端点检查策略更新。
   
   提醒：有关详细信息，请参阅如何为 Dell Data Security/Dell Data Protection 检查策略更新（英文版）。
10. 确认策略已收到。PBA 和加密处于禁用状态，并且磁盘可完全访问。

返回页首

恢复实用程序

使用恢复实用程序禁用启动前身份验证：

1. 从网页浏览器通过 https://servername.company.com:8443/webui 转到 Dell Data Security 管理控制台。
   提醒：

   • 示例 servername.company.com 可能与您的环境中的服务器 DNS 有所不同。
   • 端口 8443 可能与环境中的远程管理控制台端口不同。
   • 有关访问远程管理控制台的更多信息，请参阅如何访问 Dell Data Security 服务器管理控制台。
2. 登录到 Dell Data Security 管理控制台。
   
   提醒：

   • 默认管理员凭据是用户名 superadmin 密码为 changeit。
   • Dell Technologies 推荐更改默认 superadmin 密码。
3. 从左侧菜单窗格中，依次单击 Management 和 Recover Data。
   
4. 从右侧菜单窗格中，单击 PBA 选项卡。
   
5. 填充端点的完全限定主机名，然后单击 Search。
6. 从 PBA 下拉菜单中，选择最近的条目，然后单击 Create Recovery File 以下载恢复文件。
7. 将恢复文件复制到 USB 介质。
8. 关闭端点
9. 插入 Dell Encryption WinPE Recovery CD 或可启动 USB 介质。
   提醒：

   • 有关更多信息，请参阅如何为 Dell Encryption Enterprise/Dell Encryption Personal 创建可启动的 WinPE USB（英文版）。
   • 可能需要更改系统 BIOS 中的启动顺序，以先从 USB 或 CD 介质启动，这样才能从可移动介质启动。如果硬盘在启动顺序中排序更高，计算机将继续启动进入 PBA。
10. 插入包含恢复 .dat 文件的 USB 介质。如果插入了自加密驱动器恢复 CD，请选择从 CD 驱动器启动。如果您插入了可启动 USB 介质，请选择从 USB 存储设备启动。
    
11. 加载 Dell Encryption WinPE Recovery Environment 后，按 1，然后按 Enter 键。
    
12. 选择 Self-Encrypting Drive 或 Full Disk Encryption，然后单击 Browse 按钮以搜索恢复文件（步骤 7）。
    
13. 浏览至恢复文件，选择它，然后单击 Open。
    
14. 如果选择了 Self-Encrypting Drive（步骤 12），请选择 One-time unlock of the drive 或 Unlock drive and remove PBA。
    
    提醒：

    • USB 介质通常使用 C: 盘符装载。默认情况下，使用 WinPE 构建的 Dell Encryption - WinPE Recovery Kit 使用 X:\ 驱动器。
    • 每次在端点上激活 PBA 时，都会生成新的密钥材料。如果恢复文件无法禁用 PBA，则会显示错误。如果使用的恢复文件不是最新的，则可能会发生这种情况。请确保对于每次恢复，都从控制台下载最新的恢复文件。
    • 仅当选择了 Self-Encrypting Drive 时（步骤 12），Recovery Type 选项才可用。

返回页首

故障处理

管理员可以对 PBA 或用户登录进行故障处理。请单击相应的主题以了解更多信息。

启动前身份验证

可以使用菜单中的图标和信息对 PBA 进行故障处理。

网络信息

Network Information 菜单选项用于验证任何形式的网络连接。

它会执行基本的线缆连接测试，如果成功，则返回线缆连接图标。

返回页首

服务器同步

Server Synchronization 菜单选项用于验证安全服务器的路径。如果服务器连接图标上有一根红线，这会很有用。

这还会重新启动 DHCP 进程并检查是否有任何挂起的命令（不是策略更改），例如解锁、远程擦除、启用或禁用用户。

如果服务器同步成功，网络线缆图标旁边将显示不带红线的服务器同步图标。

返回页首

收集启动前身份验证日志

根据 BIOS 模式是设置为 UEFI 还是 Legacy，PBA 日志的收集方式会有所不同。有关详细信息，请参阅如何收集 Dell Data Security/Dell Data Protection 预启动身份验证环境的日志（英文版）。

返回页首

用户登录

用户经常会忘记密码。幸运的是，有多种方法可以绕过 PBA 来访问计算机。有关更多信息，请参阅针对忘记密码的 Dell Encryption Self-Encrypting Drive Manager 和 Dell Full Disk Encryption 恢复情形。

返回页首

要联系支持部门，请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect，在线生成技术支持请求。
要获得更多见解和资源，请加入戴尔安全社区论坛。