可移动驱动器加密

如果 Kaspersky Endpoint Security 安装在运行 Windows for Workstations 的计算机上，则该组件可用。如果 Kaspersky Endpoint Security 安装在运行 Windows for Servers 的计算机上，则该组件不可用。

Kaspersky Endpoint Security 支持加密 FAT32 和 NTFS 文件系统中的文件。如果将具有不支持的文件系统的可移动驱动器连接到计算机，对该可移动驱动器的加密任务将以出错结束，Kaspersky Endpoint Security 会为该可移动驱动器分配只读状态。

要保护可移动驱动器上的数据，可以使用以下类型的加密：

• 完整磁盘加密 (FDE)。

  加密整个可移动驱动器，包括文件系统。

  无法在公司网络外部访问加密数据。如果计算机未连接到 Kaspersky Security Center（例如，“来宾”计算机），也无法访问公司网络内部的加密数据。

• 文件级加密 (FLE)。

  仅加密可移动驱动器上的文件。文件系统保持不变。

  可移动驱动器上的文件加密使用一种称为便携模式的特殊模式提供了访问公司网络外部数据的功能。

在加密期间，Kaspersky Endpoint Security 会创建一个主密钥。Kaspersky Endpoint Security 将主密钥保存在以下存储库中：

• Kaspersky Security Center。
• 用户的计算机。

  主密钥使用用户的密钥加密。

• 可移动驱动器。

  主密钥使用 Kaspersky Security Center 的公钥加密。

加密完成后，可在公司网络内访问可移动驱动器上的数据，就像数据在普通的未加密可移动驱动器上一样。

访问加密数据

连接带有加密数据的可移动驱动器后，Kaspersky Endpoint Security 执行以下操作：

1. 检查用户计算机的本地存储中的主密钥。

   如果找到主密钥，用户将获得可移动驱动器上的数据的访问权限。

   如果找不到主密钥，Kaspersky Endpoint Security 会执行以下操作：

   1. 向 Kaspersky Security Center 发送请求。

      收到请求后，Kaspersky Security Center 将发送一个包含主密钥的响应。

   2. Kaspersky Endpoint Security 将主密钥保存在用户计算机的本地存储中，以供以后对加密的可移动驱动器进行操作。
2. 解密数据。

可移动驱动器加密的特殊功能

可移动驱动器加密具有以下特殊功能：

• 已经为指定受管理计算机组形成了针对可移动驱动器加密的带有预设设置的策略。因此，应用为加密/解密可移动驱动器配置的 Kaspersky Security Center 策略的结果取决于可移动驱动器连接到的计算机。
• Kaspersky Endpoint Security 不会加密/解密可移动驱动器上存储的只读文件。
• 支持以下设备类型的可移动驱动器：
  • 通过 USB 总线连接的数据媒体
  • 通过 USB 和 FireWire 总线连接的硬盘磁盘驱动器
  • 通过 USB 和 FireWire 总线连接的 SSD 磁盘驱动器