軟體 - SafeGuard Easy 4.11使用經驗

[psac]

產品主頁：
hxxp://www.utimaco.com/C12570CF0030C00A/CurrentBaseLink/W26K9K5M068OBELEN

把文章直接附出來方便不下附件的人閱讀吧：SafeGuard使用經驗
SafeGuard本身是一種對磁盤加密的工具，據稱可以完全加密，沒有程式可以破解，就連修復、恢復硬碟資料的廠商對其也沒有辦法，本人還真碰上過兩回。這在公司管理層對資料敏感的環境下是有一定作用的。因為員工不可能使用了筆記本後不拿出去公司，拿出 來了後又不可能沒有丟失的可能。平常情況下，本本丟失了後，硬碟放在硬碟盒後完全可以讀出來。對於公司資料的安全是相當有害的。我想，SG完全可以滿足這方面的應用了。
有其利必有其弊，電腦界中事物總是矛盾並存的。應版主要求，我將一些使用上的經驗再匯總一下。寫這稿的過程中，我翻了一下說明書才發現自己還有許多功能沒有應用上去，比如網絡集中管理等。這在大型企業集中管理應用是非常迫切的。只是本人精力實在有限，但 相信以後會有機會與大家一起進步的。

一些注意點
安裝過程：
‧ 安裝過程中有一個Secure Aotu Logon元件，不建議使用。我在一台本本上選擇後，發現Safeguard會在啟動windows後試著自動登錄。這在主人開機離開時是有一定風險的。
‧ 如果需要網絡集中管理，那麼Server connection和administrative tool將很有必要試著安裝上去。SG可以通過網絡集中管理安裝、維護軟件在各個客戶端上的應用。
設置過程：
‧ 第一個界面選擇需要慎重！！我已經說過了，對於DELL, IBM等本本都有一個隱含的分區，這個分區萬萬不可以進行加密，否則這塊硬碟上的資料幾乎要全部完蛋。所以建議只對Partitions進行加密。第一個Standard加密，和老版本的SG裡的completely幾乎是一致的，這個就會對隱含分區加密 了。

在常規設置中，一般要以安全為主要設得死死的。
‧ Password at system start，不知道設成no會有什麼後果？？設成Yes了後，機器自檢後馬上進入SG登陸界面。
‧ Hidden password entry設成no,密碼會以*來顯示；設成yes後，輸入密碼時的情景跟在Linux下面輸密碼一樣，屏幕上沒有反應。
‧ 最小密碼長度有兩種情況對待。如果用戶不可以更改密碼的話，取6-8位複雜密碼即行。我們單位用戶密碼都是管理員指定八位隨機產生帶數字和大小寫字母的。那在這裡只要簡單的只要簡單地設置長度即行。如果用戶可以更改密碼，注意常規設置中其它選項，可以規定密碼歷史，帶多少字符或者數字等等。這在一定程度上可以控制用戶選 擇複雜的密碼。
‧ 在Undesirable passwords裡，可以加載一個文本文件。這個文本文件可以放在服務器上，裡面記載著那些缺乏安全意識的用戶，經常使用的密碼。最典型的就是12345， 12345678， 87654321等。當然通過上面的複雜程度設置，這一道沒有太大的必要。
‧ 在Identification裡，可以在SG登陸界面上寫在一些公司的信息。有道德的人撿到後開機，看到這個會不會還給你呢？
‧ 在MBR中，對於MBR保護選擇忽略更改。有一些我就看到一台IBM的本本在反覆的啟動

進入加密設置：
進入後可以看到，這個軟件也可以對移動介質進行加密。我還沒有對移動介質進行過加密 ，所以這裡只說說硬碟。
‧ 加密算法建議選擇Blowfish 16，對比下來這種算法好像最經得住破。
‧ Keys，這是進行加密時需要的一組密鑰，可以選擇隨機（你也看不到）
‧ 在Drives中，把硬碟上的所有分區進行加密吧。這裡雖然可以指定分區，於是有人建議用戶把資料放在C盤以外，不把C盤加密了。這樣做似乎可以解決系統壞掉了後重裝簡單？其實不然，解決的步驟還是和加密了C盤後一樣！稍後我再講講吧。而且對於IMA P用戶，下載的郵件和緩存資料夾，裡面一樣存在著敏感資料！所以建議選擇所有分區吧。在這裡，隱含分區是看不到的。

用戶設置：
‧ SYSTEM用戶只需要設置一個密碼。這個密碼非常關鍵，維護，解密硬碟都需要用得上。建議企業裡這個密碼統一。即使你不知道用戶密碼了，你也可以輕鬆進行維護。
‧ 用戶名及密碼。這裡可以為同一電腦使用的N個人設置自己的密碼。大家要注意到這裡有一定的密碼策略，還有SG軟件使用的權限（默認什麼也沒有）。如果用戶是一個年紀大點的，你設置成了需要複雜，並允許用戶下一次登錄更改的話，估計你會收到投訴了。

至些，一些重要的設置已經完成，我平時安裝設置的注意點也告訴大家了。

主跟我約此稿時，問了我一些問題，於是我做了下面一些冒險地測試。
1、 安裝完成後進行磁盤加密時，突然讓筆記本掉電（無電池）。重新開機後，一切正常，繼續加密。
2、 加密完成後，筆記本突然掉電，那跟windows一個樣，就看它能不能撐得住了。
3、 加密過來開始到10%後，我關機把硬碟拿到了硬碟盒裡，試著用GHOST或者acronis true image, acronis disk director讀，都已經把那個分區認為是已損分區了。但我沒有來得及做更多地測試。
4、 windows鎖住後，電腦馬上受到SG的保護。這時我試著斷電。又接到了硬碟盒裡進行試著讀資料。效果相當好，還是有損分區，一丁點也沒有讀出來。
Redgiant害人不淺……

經驗：
這個討厭的軟件一裝，你就不可能用ghost之類的軟件進行分區備份或者恢復了。所以，在windows和應用軟件裝完後，進行一次分區備份後再安裝、配置這個軟件是比較實際的。
安裝完軟件後，XP的休眠功能好像無效了，機器再開時還是跟平時一樣。
筆記本安裝、加密最好需要電源。一般加密時間長短與硬碟容量、速度有關。在我的DELL D600，40G上面加密，用了一小時不到，電池剛剛好～
system用戶密碼要統一和保密，跟服務器密碼要同樣對待。由於我們公司筆記本用戶不同，又不是同時購買，所以沒有安裝服務器商。但如果單位有這個需求，需要進行統一集中管理的話，建議大家可以對比著說明書使用，這樣才方便。

一些應急辦法：
我們過去的一年中使用SG出過一些事，這裡簡單說一下。
那張可引導的安裝光盤，作用相當大。比如一台筆記本的windows已經崩潰，不能進入系統了。可以用那張光盤引導電腦，在一個簡單的界面下面進行解密執行，輸入system密碼後完成所有硬碟分區的解密過程。這樣這塊硬碟就跟當初一樣了，可以放在硬碟 盒子裡進行恢復資料，或者重新安裝windows了。可見，system的密碼，一定要設置得讓人根本猜不到！
如果，你的C盤沒有加密，而僅僅加密了以外的分區，當windows崩潰後，不要馬上重裝系統！否則你的C盤以外的資料將完全丟失！還記得硬碟加密設置時有一對密鑰的配置嗎？
正確的做法是：仍然使用那張引導光盤進行解密！別無它法。
去年我們還在用3.10老版本裝在新型DELL筆記本上，出現了重啟後可以進行安全模式，但一正常啟動馬上藍屏。解決的辦法用98啟動盤啟動電腦，fdisk /mbr進行恢復後刪除那老版本了。所以建議大家試前對硬碟所有資料進行備份


經驗：
這個討厭的軟件一裝，你就不可能用ghost之類的軟件進行分區備份或者恢復了。所以，在windows和應用軟件裝完後，進行一次分區備份後再安裝、配置這個軟件是比較實際的。
筆記本安裝、加密最好需要電源。一般加密時間長短與硬碟容量、速度有關。在我的DELL D600，40G上面加密，用了一小時不到，電池剛剛好～
可能有些人說windows本身EFS加密也不是很好？EFS確實是在NTFS上不錯的選擇，但據我所知已經有軟件可以進行破解了。
系統資源，應該說用戶在使用過程中還是感覺不出來，非常透明。
system用戶密碼要統一和保密，跟服務器密碼要同樣對待。由於我們公司筆記本用戶不同，又不是同時購買，所以沒有安裝服務器商。但如果單位有這個需求，需要進行統一集中管理的話，建議大家可以對比著說明書使用，這樣才方便。