Full Disk Encryption安装手册Checkpoint Endpoint R73CheckPoint(中国)TEL:(86)10 8419 3348FAX:(86)10 8419 3399文档修订记录文档说明此文档是由以色列捷邦安全软件科技公司于2010年05月制定的内部文档。

本文档仅就CheckPoint内部与相关合作伙伴和CheckPoint最终用户使用。

版权说明本文档中出现的任何文字叙述、文档格式、插图、照片、方法、代码等内容，除由特别注明，版权均属于以色列捷邦安全软件科技公司所有，受到有关产权及版权法保护。

任何个人、机构未经以色列捷邦安全软件科技公司的书面授权许可，不得以任何方式复制或引用本文档的任何片断。

目录一、环境要求 (4)二、安装步骤 (4)2.1服务器安装 (4)2.2FDE客户端安装步骤 (19)一、环境要求以下介绍安装Endpoint R73 FDE所需的环境要求：1.安装在域环境中进行。

2.准备一台win2000或win2003server，配置如下：操作系统中文版(英文版均可):Windows Server 2003 Standard Edition with Service Pack 1 and 2Windows Server 2003 Enterprise Edition with Service Pack 1 and 2Windows Server 2003 R2 Standard Edition with Service Pack 1 and 2Windows Server 2003 R2 Enterprise Edition with Service Pack 1 and 2Windows Server 2000系统硬件单CPU,2G内存，4G交换空间，CPU可以是下列中的一种：Intel® Xeon® processor (Dual Core)Intel® Core™ Duo processor T2600 - T2300Intel® Pentium® processor Extreme Edition 965 (Dual Core)Intel® Pentium® D processor 960 (Dual Core)I ntel® Pentium® 4 processor with Hyper-Threading TechnologyDual-Core AMD Opteron ProcessorAMD Opteron ProcessorAMD Athlon 64 FX ProcessorAMD Athlon™ 64 X2 Dual-Core3.Server的Fremwork必须为.NET2.0以上版本4.Server 必须加入域5.准备安装光盘：Check_Point_R73_server_for_Windows.isoCheck_Point_R73_client_for_Windows.iso二、安装步骤以下介绍FDE的服务器安装步骤以及客户端的安装步骤2.1服务器安装1.首先将FDE Server加入本地域，右键桌面我的电脑图标，选择属性，进入计算机名栏如下图所示：这时的DNS需要使用本地的DNS服务器）点击确定按钮输入域管理员帐号与密码，点确定按钮，重启服务器，使用域管理员权限登录服务器。

2.安装Check_Point_R73_server_for_Windows.iso将Check_Point_R73_server_for_Windows.iso光盘插入FDE 服务器的光驱，自动运行点击下一步选择同意，点击下一步选择高级安装，点击下一步选择FDE Master Installation，点击下一步点击下一步开始安装点击接受点击下一步选择下一步继续安装点击插入按钮，插入license文件点击下一步此处需要创建一个管理员帐号及密码，可以通过密码方式、动态令牌、智能卡的方式，这里我们选择密码方式，点击下一步，这时会弹出如上图所示的相同的界面，这时产品的安全性考虑需要建立第二个管理员的权限，再次建立管理员帐号和密码，帐号和密码不能和第一个管理原帐号重复。

再次点击下一步。

此处可以点击选择你要安装的驱动程序，一般这些驱动windows默认都有，因此可以不选择。

点击下一步此对话框选择需要加密的磁盘和引导区，系统盘的引导区默认加密的，其他分区的引导区及磁盘是可选的，选择好后点击下一步此对话框可以设置指定账户访问网络共享目录，目前使用域环境不需要进行设置，直接进行下一步确认后点击下一步进行安装安装完成点击Finish点击Next按钮再次点击Finish按钮点击Yes重新启动计算机重启后首先会出现FDE的登录界面，如下图这里我们可以输入前面安装是设置的管理员帐号，有两个帐号，随便哪个都可以，点击确定入windows系统使用域管理员权限登录系统这时我们可以看到在开始菜单－程序－checkpoint－Endpoint Security下面有一些组件，我们选择Management Console进入使用安装是设置的管理员帐号和密码登录，2个管理员帐号随便哪个都可以，检验服务器是否安装成功。

登录后弹出如上界面说明服务器安装成功。

2.2FDE客户端安装步骤大规模部署FDE客户端时，需要采用服务器（模版机）创建模板profile，将profile打包到自动生成的静默安装包中，具体步骤如下：1.首先需要在服务器上创建一个共享目录，在共享目录下再创建6个文件夹，这6个文件的功能分别是：存放客户端安装包文件、存放安装包的profile文件、存放更新profile文件、存放升级profile文件、存放log文件、存放磁盘恢复文件。

2.创建一个新的配置登录management console选择remote，点击右边new configuration set的框中的蓝色链接new set点击下一步设置新配置的名称，复选框如果勾选的话则自动生成配置文件夹，这里我们不选，使用手动配置，点击下一步在这里输入存放profile文件的路径，点击下一步（注意路径必须输入网络路径）在这里输入存放update文件的路径，点击下一步（注意路径必须输入网络路径）在这里输入存放install文件的路径，点击下一步（注意路径必须输入网络路径）在这里输入存放log文件的路径，点击下一步（注意路径必须输入网络路径）在这里输入存放recovery文件的路径，点击下一步（注意路径必须输入网络路径）在这里输入存放upgrade文件的路径，点击下一步（注意路径必须输入网络路径）点击finish完成配置3.对建立好的set进行基本配置配置完成set后将弹出以下界面这里我们首先需要进行必要的配置，才能进行profile的创建首先我们点击install菜单，在右边的框中查看upgrade、update、recovery、log的路径是否正确，必须为网络路径，因为客户机需要通过网络将相关文件上传或下载。

如果不正确则需要双击修改到正确为止。

然后查看需要保护的磁盘Select Volume Protection是否设置，双击进入进行设置选择需要保护的磁盘，如果需要保护所有磁盘只要选择最上面的选项即可。

在license菜单的右边双击product serials number选项添加FDE的license文件查看romote help菜单右边的enable remote help选项是否已激活，如果没有激活双击激活。

4.创建账户我们需要创建两种账户，一种是管理员账户，另一种是普通用户账户，创建管理员账户的目的是为了对客户机在离线的状态下进行维护调整。

我们可以看左边的菜单有一个groups右击groups，新建一个用户组此用户组为管理员组使用同样的方式再创建一个普通用户组account，选择Add user account输入管理员帐号，type of user account选择normal，选择认证方式，点击下一步输入密码，点击下一步点击finish完成配置，使用同样的方式创建另一个管理员帐号然后创建普通用户帐号，注意我们在创建普通用户帐号的时候可以直接创建普通用户，为他设置用户名及密码，但是为了大规模部署时的简便，人性化，我们可以创建一个临时帐号，所有用户都可以第一次使用相同的临时帐号登录，登录后系统会让用户重新建立一个自己的帐号密码，以后用户就可以用自己的帐号和密码登录。

同样新建user Account注意此时的teye of user account需要选择temporary，另外在右边可以选择这个临时帐号可以创建的帐号数量，最多可以创建50个。

点击下一步输入密码，点击下一步点击finish完成创建，出现如下界面首先需要设置管理员用户组的权限在system的Group Setting菜单中选择右边的Set Group Authority Level 双击使管理员组有改变系统配置的权限，点击OK选择permissions菜单，将右边的选项全部改为yes在remote help右边的菜单中的选项全部改为yes在Privileged Permissions右边的选项，全部改为yes 管理员组的权限设置成功再设置普通用户的权限普通用户通常我们只要设置remote help就可以了，这个是用来做密码恢复的，只要在右边的接受远程密码改变和远程一次登录设置为yes就行了。

以上全部设置完成后点击SAVE保存配置。

5.创建客户端安装包运行Check_Point_R73_client_for_Windows.iso点击下一步选择语言和安装包生成后的存放目录，点击Create开始创建完成后点击finish，客户端安装包就创建好了。

6.安装客户端接下来就可以对客户端进行部署，有多种安装方式可以采用：可以将生成的安装包通过移动介质copy到本地客户端机双击进行安装可以通过服务器的共享目录下载安装也可以通过域脚本制作组策略的方式自动安装。

整个安装过程为静默方式，无需用户动手。

安装完成后重启计算机就成功了。