Overview
Đây là những câu hỏi mà phần lớn các khách hàng khi nghe tư vấn cũng như triển khai thắc mắc về Sophos Central Device Encryption trên máy tính Windows và Mac.
*Windows OS
1.Sophos CDE có thể mã hóa những loại volume nào?
Sophos Central Device Encryption cho phép bạn mã hóa system volumes và data volumes. Với Sophos Central Device Encryption 1.4 trở lên, bạn có thể mã hóa system volumes và để data volumes không được mã hóa.
Sophos Central Device Encryption không hỗ trợ removable media. Bạn có thể mã hóa các thiết bị này bằng BitLocker To Go, nhưng Sophos Central Device Encryption sẽ không quản lý hoặc hiển thị các khóa khôi phục của chúng trong Sophos Central Admin.
2.Chia sẻ tệp an toàn hoạt động như thế nào?
Người dùng có hai tùy chọn để bảo vệ tệp bằng mật khẩu để chia sẻ an toàn:
+ Trong Windows Outlook, mã hóa tệp đính kèm email.
+ Trong Windows Explorer, mã hóa các tệp đã chọn.
Cả hai tùy chọn đều mã hóa các tệp được chia sẻ bằng cách sử dụng mã hóa AES-256 và lưu trữ chúng trong một tệp HTML được bảo vệ bằng mật khẩu. Người dùng có thể chia sẻ tệp HTML trong nội bộ hoặc ra bên ngoài. Người nhận chỉ cần có trình duyệt web và mật khẩu để giải mã các tệp.
3.Có thể nhắc người dùng đặt lại mật khẩu của họ không?
Để cấu hình khoảng thời gian nhắc người dùng thay đổi mật khẩu hoặc mã PIN BitLocker của họ, hãy sử dụng cài đặt Require new authentication password/PIN from users trong chính sách Device Encryption.
Để nhắc thay đổi mật khẩu ngay lập tức trên một máy tính, hãy sử dụng Trigger change of password/PIN trên trang chi tiết của máy tính (trên Summary tab dưới Device Encryption).
4.Có thể cấu hình những loại bảo vệ BitLocker nào?
Bạn có thể cấu hình các loại bảo vệ sau:
- TPM-only
- TPM+PIN
- Passphrase
- USB key
5. Làm cách nào để chuyển từ TPM-only sang TPM + PIN?
Nếu bạn đã triển khai BitLocker mà không có xác thực khởi động (TPM-only), bạn có thể chuyển sang TPM + PIN bất kỳ lúc nào bằng cách bật Require startup authentication trong chính sách Device Encryption.
6. BitLocker Network Unlock có được hỗ trợ không?
Bạn không thể cấu hình hoặc quản lý BitLocker Network Unlock bằng Sophos Central Device Encryption. Tuy nhiên, nếu bạn đã cấu hình cơ sở hạ tầng để sử dụng Network Unlock với BitLocker mã hóa máy tính, Sophos Central Device Encryption có thể cùng hoạt động với Network Unlock.
7. Chế độ FIPS có được hỗ trợ không?
Câu trả lời là có. Sophos Central Device Encryption có thể quản lý máy tính với cài đặt Windows Group Policy Object (GPO) System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing được enable.
8. Có thể quản lý các máy tính đã được mã hóa sẵn hay không?
Câu trả lời là có. Khi bạn bắt đầu quản lý các máy tính đã được mã hóa bằng BitLocker, ophos Central Device Encryptionsẽ thay thế trình bảo vệ khóa hiện có.
9. Có thể migrate từ SafeGuard Enterprise không?
Với Sophos SafeGuard Enterprise 8 trở lên, bạn có thể gỡ cài đặt BitLocker mà không cần giải mã ổ đĩa. Sau đó, bạn có thể quản lý BitLocker bằng Sophos Central Device Encryption.
10. Có thể lưu trữ khóa khôi phục trong Active Directory không?
Bạn có thể lưu trữ các khóa khôi phục BitLocker trong Active Directory.
11. Các SGN File Encryption có được hỗ trợ không?
Khi ban đang sử dụng Sophos SafeGuard Enterprise File Encryption (Data Exchange, File Encryption, hoặc Synchronized Encryption) để bảo vệ file. Bạn có thể sử dụng Sophos Central Device Encryption song song Sophos SafeGuard Enterprise File Encryption .
12. Làm cách nào để giải mã một ổ đĩa?
Tùy thuộc vào loại chính sách đã chọn, hãy xóa tất cả người dùng hoặc máy tính khỏi chính sách. Sau đó làm các bước như sau:
+ Trong Windows Explorer, bấm chuột phải vào ổ đĩa bạn muốn giải mã.
+ Chọn Manage BitLocker.
+ Trong BitLocker Drive Encryption, chọn Turn off BitLocker.
13. Người dùng có thể khôi phục ổ đĩa dữ liệu (data volume) hay không?
Câu trả lời là không. Trong Sophos Central Self Service Portal, người dùng chỉ có thể khôi phục boot volume và người dùng cuối cùng đăng nhập vào máy tính có thể system volume.
14.Khi nào BitLocker khởi động ở chế độ recovery mode?
Các lý do phổ biến khiến BitLocker yêu cầu recovery key trong khi khởi động là:
+ Người dùng quên mã PIN TPM (khi bạn đã bật xác thực TPM+PIN).
+ Ổ đĩa được bảo vệ bởi BitLocker đã được cài đặt trong một máy tính mới.
+ TPM đã bị tắt, bị vô hiệu hóa hoặc bị xóa.
+ BIOS đã được cập nhật.
+ Các thành phần khởi động sớm quan trọng đã được cập nhật khiến việc xác thực tính toàn vẹn của hệ thống không thành công (TPM).
+ Tùy chọn ROM firmware đã được cập nhật.
+ Bo mạch chủ đã được thay thế bằng một bo mạch chủ mới với TPM mới.
15. Dung lượng ổ đĩa tối thiểu là bao nhiêu?
Sophos Central Device Encryption sẽ bỏ qua các ổ đĩa có dung lượng từ 64 MB trở xuống.
16. Những vai trò nào có lấy được recovery key?
Để lấy được recovery key trong Sophos Central Admin, bạn phải có một trong các vai trò sau: Help Desk, Admin, Super Admin.
* MacOS
1.Có thể sử dụng phiên bản macOS nào?
Sophos Central Device Encryption hỗ trợ các phiên bản macOS sau: macOS 10.13 High Sierra, macOS 10.14 Mojave, macOS 10.15 Catalina, macOS 11 Big Sur
Sophos Central Device Encryption không hỗ trợ các phân vùng Windows được tạo trên máy Mac bằng Boot Camp.
2. Có thể migrate từ SafeGuard Enterprise không?
Bạn nên gỡ cài đặt SafeGuard Enterprise trước khi cài đặt Sophos Central Device Encryption.
Với Sophos SafeGuard Enterprise 8 trở lên, bạn có thể để các đĩa được mã hóa.
3. Các SGN File Encryption có được hỗ trợ không?
Khi ban đang sử dụng Sophos SafeGuard Enterprise File Encryption (Data Exchange, File Encryption, hoặc Synchronized Encryption) để bảo vệ file. Bạn có thể sử dụng Sophos Central Device Encryption song song Sophos SafeGuard Enterprise File Encryption .
4. Các khóa khôi phục được lưu trữ ở đâu?
Sophos Central Device Encryption lưu trữ khóa khôi phục trong keychain của Mac và Sophos Central. Bạn không nên sử dụng iCloud Keychain để sao lưu khóa khôi phục.
5. Điều gì sẽ xảy ra nếu khóa khôi phục không thể được lưu trữ?
Nếu Sophos Central Device Encryption không thể lưu trữ khóa khôi phục, nó sẽ hiển thị khóa cho người dùng và yêu cầu họ lưu nó.
Sophos Central Device Encryption cũng lưu trữ khóa khôi phục trong thư mục Library / Application support / Sophos Encryption / .RecoverykeyEmergencybackup mà chỉ người dùng root mới có thể truy cập.
6. Có thể quản lý máy Mac đã được mã hóa sẵn hay không?
Câu trả lời là có. Để bắt đầu quản lý máy Mac đã được mã hóa, hãy áp dụng chính sách Device Encryption cho máy Mac khi Device Encryption is on .
7. Người dùng unassign có bị xóa khỏi FileVault không?
Câu trả lời là không. Khi bạn unassign một người dùng khỏi chính sách trong Sophos Central, họ vẫn là người dùng FileVault 2.
Bạn có thể kiểm tra trạng thái của người dùng bằng lệnh sudo fdessetup list trong Terminal.
8. Làm cách nào để kiểm tra trạng thái mã hóa?
Bạn có thể kiểm tra trạng thái mã hóa bằng ứng dụng Sophos Device Encryption hoặc công cụ dòng lệnh seadmin.
9. Điều gì sẽ xảy ra khi người dùng tắt FileVault?
Người dùng Mac có quyền administrative có thể tắt FileVault 2, tính năng này sẽ giải mã tất cả các ổ đĩa. Nhưng vào lần tiếp theo khi người dùng đăng nhập vào máy Mac mà bạn đã chỉ định chính sách Device Encryption, FileVault 2 sẽ được bật lại và tất cả các ổ đĩa đều được mã hóa.