11.5 了解将策略指派给设备后发生的情况
将某个策略指派到某个设备后,该设备上的策略实施工作流程将取决于设备类型(标准或自加密):
11.5.1 标准硬盘
将磁盘加密策略(仅加密,不执行预引导鉴定)指派给配备标准硬盘的设备后,将会发生以下过程:
-
ZENworks 代理下次刷新时会收到该磁盘加密策略。
-
ZENworks Full Disk Encryption 代理将此策略应用于该设备。
-
设备会按照策略中的磁盘加密重引导设置进行重引导。重引导期间,会发生以下情况:
-
如果在策略中启用了,则会执行 CheckDisk。在 Windows XP 设备上,只要有需要,即会执行磁盘检查操作,而不论是否启用此选项。
-
创建一个 100 MB 的 ZENworks 分区。此分区用于储存全盘加密文件和紧急恢复信息 (ERI) 文件。
-
初始化全盘加密驱动程序。
-
系统提示用户登录 Windows。
-
-
根据策略中指定的规则加密目标磁盘卷。
根据要加密的卷数和数据量,加密可能需要一段时间。如果在加密过程中重引导设备,则加密过程会在重引导前中断的那个点重新启动。
您可以查看 ZENworks Full Disk Encryption 的“关于”对话框监视加密过程:
11.5.2 结合预引导鉴定的标准硬盘
将磁盘加密策略(加密并执行预引导鉴定)指派给配备标准硬盘的设备后,将会发生以下过程:
-
ZENworks 代理下次刷新时会收到该磁盘加密策略。
-
ZENworks Full Disk Encryption 代理将此策略应用于该设备。
-
设备会按照策略中的磁盘加密重引导设置进行重引导。重引导期间,会发生以下情况:
-
如果在策略中启用了,则会执行 CheckDisk。在 Windows XP 设备上,只要有需要,即会执行磁盘检查操作,而不论策略中是否启用此选项。
-
创建一个 100 MB 的 ZENworks 分区。此分区用于储存加密文件、紧急恢复信息 (ERI) 文件和 ZENworks PBA Linux 内核。
-
初始化磁盘加密驱动程序和 ZENworks PBA。
-
系统提示用户登录 Windows。
-
-
当您成功登录 Windows 后,设备会按照策略的 PBA 重引导设置进行重引导。重引导期间,会发生以下情况:
-
如果启用了用户捕捉,用户会收到信息性提示,Windows 登录屏幕也随即显示。当用户登录时(使用用户 ID/口令或智能卡),ZENworks PBA 会捕获其身份凭证。在以后进行重引导时,系统会向用户显示 ZENworks PBA 登录,而用户必须提供系统捕捉的身份凭证。
-
如果未启用用户捕捉,系统会提示用户在 PBA 登录屏幕上输入身份凭证。用户必须输入策略中定义的适用于 PBA 用户的有效身份凭证或智能卡。如果单点登录,则会显示 Windows 登录屏幕,用户必须输入有效的 Windows 身份凭证才能登录。
-
-
成功登录后,将按策略中指定的规则加密目标磁盘卷。
根据要加密的卷数和数据量,此过程可能需要一段时间。如果在加密过程中重引导设备,则加密过程会在重引导前中断的那个点重新启动。
您可以查看 ZENworks Full Disk Encryption 的“关于”对话框监视加密过程: