Dell Encryption 卸载注意事项和最佳实践

加密解决方案很复杂，并且未经过测试或不支持相互共存。当客户从一个加密解决方案迁移到另一个加密解决方案时，这可能会在保护部署的设备方面留下缺口。

随着 Dell Encryption 逐渐开始停止支持和停售，客户可能会发现，硬件损耗或操作系统故障更容易让他们当前部署的设备老化。当设备刷新或操作系统重新加载到现有设备上时，客户可以在此时重新开始使用其更换的加密解决方案。

所有 Dell Encryption 解决方案都旨在保护静态数据 (DAR)，这意味着，如果您要使用 Windows PE 磁盘启动计算机或尝试访问在第二台计算机上作为辅助驱动器的某个驱动器，则将无法打开或查看截至上次操作系统用户会话时使用 Dell Encryption 保护的任何数据。

对 Dell Encryption 的常见误解是，即使数据从设备移到网络或云共享，数据也会被加密。当操作系统加载所有 Windows 系统文件时，它们处于可访问状态。在此状态下，当文件从设备移动到网络或云共享时，它们会以纯文本状态离开计算机，并以纯文本状态保存在目标位置。如果设备刷新不是可选方案，则让用户将其所有文件备份到网络云共享，然后在设备上应用全新的操作系统映像，这是从 Dell Encryption 迁移出去的快速方法。

所有 Dell Encryption 解决方案的删除过程的第一步是开始解密。以下主题按加密解决方案进行细分，以便于理解差异、建议和风险。

目录

• 基于 Dell Encryption 策略的加密
  • 使用基于策略的组解密端点
  • 使用基于策略的组解密用户
• Dell Encryption External Media
• Dell Encryption Personal
• Dell Encryption Self-Encrypting Drive Manager
  • 使用策略停用自加密驱动器
• Dell BitLocker Manager
  • 如果要使用另一个应用程序管理 BitLocker
  • 如果要对驱动器进行解密
• Dell Encryption Full Disk Encryption (FDE)

基于 Dell Encryption 策略的加密

---

使用基于策略的组解密端点

1. 登录到 Dell Data Security 控制台

图 1：（仅限英文）Dell Data Security 登录

2. 从控制面板中，转至 PopulationsEndpoint >Groups。

图 2：（仅限英文）转至PopulationsEndpoint > Groups

3. 单击 Add。

图 3：（仅限英文）单击“Add”

4. 选择 ADMIN-DEFINED 组，然后单击 Add Group。

图 4：（仅限英文）选择“ADMIN-DEFINED”组，然后单击“Add Group”

图 5：（仅限英文）添加端点组：设备目标解密消息

5. 选择新创建的端点组。

图 6：（仅限英文）选择新创建的端点组

6. 选择 Members 选项卡。

图 7：（仅限英文）选择“Members”选项卡

7. 使用 Add Endpoint to Group 或 Upload Multiple Endpoints from File (CSV) 添加目标端点。

图 8：（仅限英文）Add Endpoint to Group 或 Upload Multiple Endpoints from File (CSV)

8. 要配置解密策略，请单击 Security Policies 选项卡。

图 9：（仅限英文）单击“Security Policies”选项卡

9. 在“Windows Encryption”下，单击 Policy-Based Encryption。

图 10：（仅限英文）单击“Policy-Based Encryption”

10. 如果环境中启用了 SDE 加密，请确保选中“SDE Encryption Enabled”复选框。

图 11：（仅限英文）选中“SDE Encryption Enabled”复选框

11. 对于其余策略，请确保您的设置与下表匹配。

策略名称	策略值
SDE Encryption Rules	-^3F#:\
Common Encrypted Folders	-^3F#:\
SDE Encryption Algorithm	客户选择
Common Encryption Algorithm	客户选择
Encrypt Windows Paging File	清除
Secure Windows Credentials	清除
Block Unmanaged Access to Domain Credentials	清除
Secure Windows Hibernation File	清除
Prevent Unsecured Hibernation	清除
Policy Proxy Connections	客户选择
Policy Proxy Polling Interval	客户选择
Length of Each Reboot Delay	15
Number of Reboot Delays Allowed	3
Temporary File Encryption key type	关

12. 要提交策略更改，请转至 Management >Commit。

图 12：（仅限英文）转至ManagementCommit > 。

13. 添加批注，然后选择 Commit Policies。

图 13：（仅限英文）添加批注，然后选择 Commit Policies

14. 当端点开始接收新策略时，系统会提示它们重新启动，然后解密过程将在下次用户登录时开始。根据项目时间表，如果需要，设备可以保留在此组配置中，几天后即可卸载。有关卸载建议和过程，请参阅“卸载”部分。

返回页首

---

使用管理员定义的用户组的策略解密用户

1. 登录到 Dell Data Security 控制台

图 14：（仅限英文）Dell Data Security 登录

2. 从控制面板中，转至 PopulationsUser >Groups。

图 15：（仅限英文）转至“PopulationsUser > Groups”

3. 单击 Add。

图 16：（仅限英文）单击“Add”

4. 选择 ADMIN-DEFINED 组，然后单击 Add Group。

图 17：（仅限英文）选择“ADMIN-DEFINED”组，然后单击“Add Group”

图 18：（仅限英文）添加管理员定义的用户组：管理员定义的消息

5. 返回“User Groups”页面，选择新创建的用户组。

图 19：（仅限英文）选择新创建的用户组

6. 选择 Members 选项卡。

图 20：（仅限英文）选择“Members”选项卡

7. 使用 Add Users to Group 或 Upload Multiple Users from File (CSV) 添加目标用户。

图 21：（仅限英文）Add Users to Group 或 Upload Multiple Users from File (CSV)

8. 要配置解密策略，请单击 Security Policies 选项卡。

图 22：（仅限英文）单击“Security Policies”选项卡

9. 单击 Policy-Based Encryption

图 23：（仅限英文）单击“Policy-Based Encryption”

10. 确保将“Policy-Based Encryption”策略切换至 On。

图 24：（仅限英文）将“Policy-Based Encryption”策略切换至“On”

11. 对于其余策略，请确保您的设置与下表匹配。

应用程序数据加密密钥	当前客户价值
用户加密文件夹	-^3F#:\
应用程序数据加密列表	空白
用户加密算法	客户选择
加密 Outlook 个人文件夹	清除
加密临时文件	清除
加密临时文件	清除
加密用户配置文件文档	清除
托管服务	空白
安全加密后清理	选中
工作站扫描优先级	客户选择
用户数据加密密钥	客户选择
Current Shield State	激活
Allow Activations	选中
Number of Policy Update Delays Allowed	3
Force Logoff/Reboot on Policy Updates	选中
Policy Viewer Enabled	客户选择
Display Local Encryption Processing Control	清除
Suppress File Contention Notification	选中
Number of Encryption Processing Delays Allowed	0
Length of Each Encryption Processing Delay	5
Length of Each Policy Update Delay	15
Allow Encryption Processing Only When Screen is Locked	False
Hide Overlay Icons	客户选择

12. 单击 Save
13. 要提交策略更改，请转至 Management>Commit。

图 25：（仅限英文）转至ManagementCommit > 。

14. 添加批注，然后选择 Commit Policies。

图 26：（仅限英文）添加批注，然后选择“Commit Policies”

15. 当用户开始接收新策略时，系统将提示他们重新启动，然后解密过程将在下次登录时开始。根据项目时间表，如果需要，设备可以保留在这里，几天后即可卸载。有关卸载建议和过程，请参阅“卸载”部分。

返回页首

---

Dell Encryption External Media

1. 登录到 Dell Data Security 控制台

图 27：（仅限英文）登录到 Dell Data Security Console

2. 从控制面板中，转至 PopulationsUser >Groups。

图 28：（仅限英文）转至“PopulationsUser > Groups”

3. 单击 Add。

图 29：（仅限英文）单击“Add”

4. 选择 ADMIN-DEFINED 组，然后单击 Add Group。

图 30：（仅限英文）选择“ADMIN-DEFINED”组，然后单击“Add Group”

图 31：（仅限英文）添加管理员定义的用户组：管理员定义的消息

5. 返回“User Groups”页面，选择新创建的用户组。

图 32：（仅限英文）选择新创建的用户组

6. 选择 Members 选项卡。

图 33：（仅限英文）选择“Members”选项卡

7. 使用 Add Users to Group 或 Upload Multiple Users from File (CSV) 添加目标用户。

图 34：（仅限英文）Add Users to Group 或 Upload Multiple Users from File (CSV)

8. 要配置解密策略，请单击 Security Policies 选项卡。

图 35：（仅限英文）单击“Security Policies”选项卡

9. 单击 Policy-Windows Media Encryption。

图 36：（仅限英文）单击“Policy-Windows Media Encryption”

10. 将 Windows Media Encryption策略设置为 off。

图 37：（仅限英文）将 Windows Media Encryption 策略设置为关闭

11. 单击 save
12. 要提交策略更改，请转至 Management >Commit。

图 38：（仅限英文）转至ManagementCommit > 。

13. 添加批注，然后选择 Commit Policies。

图 39：（仅限英文）添加批注，然后选择“Commit Policies”

14. 当用户开始接收新策略时，他们必须连接任何加密的外部介质以启动解密过程。

返回页首

---

Dell Encryption Personal

1. 单击开始按钮，然后打开 Dell Encryption。

图 40：（仅限英文）打开 Dell Encryption

2. 在 Dell Encryption 控制台中，单击 advanced。

图 41：（仅限英文）单击“advanced”

3. 单击 default settings

图 42：（仅限英文）单击“default settings”

4. 输入加密管理员密码。

图 43：（仅限英文）输入加密管理员密码

5. 选择 Encryption Disabled 模板，然后单击 save。

图 44：（仅限英文）选择“Encryption Disabled”模板，然后单击“save”

6. 单击右下角的 home ，并注意解密清除正在进行中。

图 45：（仅限英文）解密、扫描正在进行中

7. 如果您有加密的可移动介质，请将其连接以允许解密。

返回页首

---

Dell Encryption Self-Encrypting Drive Manager

---

使用策略停用自加密驱动器

1. 登录到 Dell Data Security Console

图 46：（仅限英文）登录到 Dell Data Security Console

2. 从控制面板中，转至 PopulationsEndpoint >Groups。

图 47：（仅限英文）转至PopulationsEndpoint > Groups

3. 单击 Add。

图 48：（仅限英文）单击“Add”

4. 选择 ADMIN-DEFINED 组，然后单击 Add Group。

图 49：（仅限英文）选择“ADMIN-DEFINED”组，然后单击“Add Group”

5. 选择新创建的端点组。

图 50：（仅限英文）选择新创建的端点组

6. 选择 Members 选项卡。

图 51：（仅限英文）选择“Members”选项卡

7. 使用 Add Endpoint to Group 或 Upload Multiple Endpoints from File (CSV) 添加目标端点。

图 52：（仅限英文）Add Endpoint to Group 或 Upload Multiple Endpoints from File (CSV)

8. 要禁用 Self-Encrypting Drive Manager，请选择 Security Policies。

图 53：（仅限英文）选择“Security Policies”

9. 在“Windows Encryption”类别下，选择 Self-Encrypting Drive (SED)。

图 54：（仅限英文）选择“Self-Encrypting Drive (SED)”

10. 将 Self-Encrypting Drive (SED) 切换至 Off，然后单击 Save。

图 55：（仅限英文）将“Self-Encrypting Drive (SED)”切换至“Off”，然后单击“Save”

11. 要提交策略更改，请转至 Management >Commit。

图 56：（仅限英文）转至ManagementCommit > 。

12. 选择 Commit Policies。

图 57：（仅限英文）选择“Commit Policies”

13. 在端点收到新策略时，系统会提示它们关闭，以删除 Self-Encryption Drive Manager 和 Pre-Boot Authentication屏幕。

返回页首

---

Dell BitLocker Manager

1. 登录到 Dell Data Security 控制台

图 58：（仅限英文）登录到 Dell Data Security Console

2. 从控制面板中，转至 PopulationsEndpoint >Groups。

图 59：（仅限英文）转至PopulationsEndpoint > Groups

3. 单击 Add。

图 60：（仅限英文）单击“Add”

4. 选择 ADMIN-DEFINED 组。
5. 输入组名，然后单击 Add Group。

图 61：（仅限英文）输入组名，然后单击“Add Group”

6. 选择新创建的端点组。

图 62：（仅限英文）选择新创建的端点组

7. 选择 Members 选项卡。

图 63：（仅限英文）选择“Members”选项卡

8. 使用 Add Endpoint to Group 或 Upload Multiple Endpoints from File (CSV) 添加目标端点。

图 64：（仅限英文）Add Endpoint to Group 或 Upload Multiple Endpoints from File (CSV)

9. 要禁用 BitLocker 管理或解密 BitLocker 保护的驱动器，请单击 Security Policies 选项卡，然后单击 BitLocker encryption。

图 65：（仅限英文）单击“BitLocker encryption”

返回页首

---

如果要使用另一个应用程序管理 BitLocker

• 将 BitLocker encryption 切换至 not managed

图 66：（仅限英文）将“BitLocker encryption”切换至“not managed”

返回页首

---

如果要对驱动器进行解密

1. 对于设置为 turn on encryption 的任何驱动器（系统驱动器、固定驱动器或可移动驱动器），请从下拉菜单中将选项更改为 turn off encryption。

图 67：（仅限英文）将选项更改为“turn off encryption”

2. 单击 Save。
3. 要提交策略更改，请转至 Management >Commit。

图 68：（仅限英文）转至ManagementCommit > 。

4. 添加有关所做策略更改的批注，然后单击 Commit Policies。

图 69：（仅限英文）添加批注，然后单击“Commit Policies”

5. 在端点收到策略后，BitLocker 不再管理或解密，具体情况取决于所做的策略更改。

返回页首

---

Dell Encryption Full Disk Encryption (FDE)

1. 登录到 Dell Data Security 控制台

图 70：（仅限英文）登录到 Dell Data Security Console

2. 从控制面板中，转至 PopulationsEndpoint >Groups。

图 71：（仅限英文）转至PopulationsEndpoint > Groups

3. 单击 Add。

图 72：（仅限英文）单击“Add”

4. 选择 ADMIN-DEFINED 组，然后单击 Add Group。

图 73：（仅限英文）选择“ADMIN-DEFINED”组，然后单击“Add Group”

5. 选择新创建的端点组。

图 74：（仅限英文）选择新创建的端点组

6. 选择 Members 选项卡。

图 75：（仅限英文）选择“Members”选项卡

7. 使用 Add Endpoint to Group 或 Upload Multiple Endpoints from File (CSV) 添加目标端点。

图 76：（仅限英文）Add Endpoint to Group 或 Upload Multiple Endpoints from File (CSV)

8. 要禁用全磁盘加密，请选择 Security Policies。

图 77：（仅限英文）选择“Security Policies”

9. 在“Windows Encryption”类别下，选择“Full Disk Encryption (FDE)”。

图 78：（仅限英文）选择“Full Disk Encryption (FDE)”

10. 将 Full Disk Encryption (FDE) 切换至 off，然后单击 Save。

图 79：（仅限英文）将“Full Disk Encryption (FDE)”切换至“off”，然后单击“Save”

11. 要提交策略更改，请转至 Management >Commit。

图 80：（仅限英文）转至ManagementCommit > 。

12. 添加有关您所做的策略更改的批注，然后单击 Commit Polices。

图 81：（仅限英文）添加批注，然后单击“Commit Policies”

返回页首

Dell Encryption

• Dell Encryption BitLocker Manager
• Dell Encryption Full Disk Encryption
• Dell Encryption Personal Edition
• 基于 Dell Encryption 策略的加密

如何运行 Dell Data Security 卸载程序

Dell Encryption Self-Encrypting Drive Manager

如何取消配置 Dell Encryption Enterprise Self-Encrypting Drive Manager 或 Dell Encryption Personal Self-Encrypting Drive Manager

Dell Encryption External Media

• 如何解密由 Dell Data Security/Dell Data Protection 管理的外部介质 
• 如何运行 Dell Data Security 卸载程序

Dell Security Management Server

建议您下载并保留 Dell Security Management Server Enterprise 安装文件，并将其与 数据库备份、 server_config.xml 和 secretKeyStore 文件，以防您必须完全还原以前的环境。按照以下步骤操作，确保您可以在需要时恢复部署。

1. 关闭或禁用 Dell Security Management Server （DSMS） 代理服务和 DSMS Enterprise 服务。

2. 执行数据库的完整备份
3. 确定文件和数据库备份的安全 归档位置 （可能添加辅助位置并确保定期备份归档位置），并将以下内容存储在此位置：
   1. 完整数据库备份
   2. DSMS 安装程序（使用的版本[因为架构版本可以在 DSMS 版本之间更改]）。如果 DSMS 安装程序不可用，则可以使用以下步骤。
      • 下载与您在环境中部署 的相同版本的 Dell Security Management Server ，请参阅 Dell Encryption 支持 |驱动程序和下载 页面。

图 82：（仅限英文）下载 Dell Security Management Server

3. Server_config.xml：

Path: <boot drive>:\Program Files\Dell\Enterprise Edition\Compatibility Server\conf

4. secretKeyStore：

Path: <boot drive>:\ Program Files\Dell\Enterprise Edition\Compatibility Server\conf

4. 卸载 DSMS 代理服务器
5. 卸载 DSMS Enterprise Server。以下步骤可用于卸载 DSMS Enterprise 服务器。

如何卸载 Dell Security Management Server/Dell Data Protection Enterprise Edition Server

Dell Security Management Server Virtual

Dell Security Management Server Virtual 是基于设备的管理服务器，适用于 Dell Encryption 产品。此选项的自包含特性使备份当前部署非常简单，可根据需要将文件存储在冷存储或离线存储。

我们推荐您下载和保留设备 OVA 或 VMDK，将其与数据库备份一起存储，以便在必须完全还原以前的环境时使用。

1. 下载与您在环境中部署 的相同版本的 Dell Security Management Server Virtual （Hyper-V） 或 Dell Security Management Server Virtual （VMware） 适用于 Dell Encryption 的支持 |驱动程序和下载 页面。

图 83：（仅限英文）下载 Dell Security Management Server Virtual (Hyper-V) 或 Dell Security Management Server Virtual (VMware)

2. 有关备份和还原的信息，请参阅如何备份和还原 Dell Security Management Server Virtual/Dell Data Protection Virtual Edition（英文版）。
3. 通过上述两个步骤，您可以将 Dell Security Management Server Virtual Edition 服务器还原到其以前的配置。

如果有 Dell Encryption 卸载方面的问题，我可以给谁打电话？

Dell Data Security 支持适用于 ProSupport 客户。客户可以使用 Dell Data Security 国际支持电话号码文章，查找国家/地区内支持电话号码和分机以获得帮助。

如果仍有 Windows 7 和 Windows 8.1 加密设备，该怎么办？

自 2023 年 1 月 31 日起，Microsoft Windows 7、Windows 8 和 Windows 8.1 版本将不再支持 Dell Personal Encryption 和 Dell Enterprise Encryption。在此之前，Microsoft 已决定终止对 Windows 7（自 2020 年 1 月 14 日起生效）和 Windows 8 及 8.1（自 2023 年 1 月 10 日起生效）的支持。我们推荐从这些设备卸载 Dell Encryption，或您也可以继续使用，但风险自负。有关 Dell Encryption 软件生命周期的更多信息，请参阅 Dell Data Security 的产品生命周期（结束支持/停售）政策。

Dell Encryption 产品的 Dell ProSupport for Software 服务何时结束？

您有权通过最近购买的合同获得 Dell Encryption 支持。根据我们的记录，我们打算在 2026 日历年最终确定 Dell Encryption 支持。

许可证到期后会发生什么情况？

所有 Dell Encryption 许可证都是永久的。如果已部署的设备和服务器运行状况足够正常，则可以继续运行。

法律注意事项

您的加密设备可能存在未决的法律诉讼。我们推荐您与法律团队沟通并保存您的企业版或虚拟版服务器配置的副本，以便在您脱离 Dell Data Security 解决方案数年后找到硬盘或可移动设备时，这些配置仍可用。有关如何备份和存储服务器配置副本的更多信息，请参阅上面的 Dell Security Management Server 部分 或 Dell Security Management Server Virtual 部分 。