可移动驱动器加密
如果 Kaspersky Endpoint Security 安装在运行 Windows for Workstations 的计算机上,则该组件可用。如果 Kaspersky Endpoint Security 安装在运行 Windows for Servers 的计算机上,则该组件不可用。
Kaspersky Endpoint Security 支持加密 FAT32 和 NTFS 文件系统中的文件。如果将具有不支持的文件系统的可移动驱动器连接到计算机,对该可移动驱动器的加密任务将以出错结束,Kaspersky Endpoint Security 会为该可移动驱动器分配只读状态。
要保护可移动驱动器上的数据,可以使用以下类型的加密:
- 完整磁盘加密 (FDE)。
加密整个可移动驱动器,包括文件系统。
无法在公司网络外部访问加密数据。如果计算机未连接到 Kaspersky Security Center(例如,“来宾”计算机),也无法访问公司网络内部的加密数据。
- 文件级加密 (FLE)。
仅加密可移动驱动器上的文件。文件系统保持不变。
可移动驱动器上的文件加密使用一种称为便携模式的特殊模式提供了访问公司网络外部数据的功能。
在加密期间,Kaspersky Endpoint Security 会创建一个主密钥。Kaspersky Endpoint Security 将主密钥保存在以下存储库中:
- Kaspersky Security Center。
- 用户的计算机。
主密钥使用用户的密钥加密。
- 可移动驱动器。
主密钥使用 Kaspersky Security Center 的公钥加密。
加密完成后,可在公司网络内访问可移动驱动器上的数据,就像数据在普通的未加密可移动驱动器上一样。
访问加密数据
连接带有加密数据的可移动驱动器后,Kaspersky Endpoint Security 执行以下操作:
- 检查用户计算机的本地存储中的主密钥。
如果找到主密钥,用户将获得可移动驱动器上的数据的访问权限。
如果找不到主密钥,Kaspersky Endpoint Security 会执行以下操作:
- 向 Kaspersky Security Center 发送请求。
收到请求后,Kaspersky Security Center 将发送一个包含主密钥的响应。
- Kaspersky Endpoint Security 将主密钥保存在用户计算机的本地存储中,以供以后对加密的可移动驱动器进行操作。
- 向 Kaspersky Security Center 发送请求。
- 解密数据。
可移动驱动器加密的特殊功能
可移动驱动器加密具有以下特殊功能:
- 已经为指定受管理计算机组形成了针对可移动驱动器加密的带有预设设置的策略。因此,应用为加密/解密可移动驱动器配置的 Kaspersky Security Center 策略的结果取决于可移动驱动器连接到的计算机。
- Kaspersky Endpoint Security 不会加密/解密可移动驱动器上存储的只读文件。
- 支持以下设备类型的可移动驱动器:
- 通过 USB 总线连接的数据媒体
- 通过 USB 和 FireWire 总线连接的硬盘磁盘驱动器
- 通过 USB 和 FireWire 总线连接的 SSD 磁盘驱动器
可移动驱动器加密组件设置
参数
描述
加密模式
“加密整个可移动驱动器”。如果选定了该项,为可移动驱动器应用带有指定加密设置的策略时,Kaspersky Endpoint Security 将会逐个扇区加密可移动驱动器,包括其文件系统。
“加密所有文件”。如果选定了该选项,为可移动驱动器应用带有指定加密设置的策略时,Kaspersky Endpoint Security 将会加密可移动驱动器上存储的所有文件。Kaspersky Endpoint Security 不会对已经加密的文件重新加密。可移动驱动器的文件系统的内容,包括加密文件的文件夹结构和名称在内都不会被加密,仍可以被访问。
“仅加密新文件”。如果选定了该选项,为可移动驱动器应用带有指定加密设置的策略时,Kaspersky Endpoint Security 将只会加密在上次应用 Kaspersky Security Center 策略之后在可移动驱动器上添加或修改的文件。当某个可移动驱动器由两个人使用或在工作中使用时,该加密模式很有用。该加密模式可以使您保留所有旧的未更改过的文件,加密那些用户在已安装 Kaspersky Endpoint Security 并启用加密功能的工作计算机创建的文件。结果是个人文件是否可以被访问,与启用了加密功能的计算机上是否安装了 Kaspersky Endpoint Security 无关。
“解密整个可移动驱动器”。如果选定了该项,为可移动驱动器应用带有指定加密设置的策略时,Kaspersky Endpoint Security 将会解密可移动驱动器上存储的先前加密的所有文件和文件系统。
“保留不变”。如果选定了该项,应用策略后,应用程序将保留硬盘驱动器不动。如果驱动器已加密,则其仍加密。如果驱动器已解密,则其仍解密。默认情况下已选定此项。
便携模式
该复选框可启用/禁用准备可移动驱动器,以便能够在公司网络外部的计算机上访问该可移动驱动器中存储的文件。
如果选定该复选框,Kaspersky Endpoint Security 将提示用户在根据策略加密可移动驱动器之前指定一个密码。在公司网络外部的计算机上访问可移动驱动器中的加密文件时需要该密码。您可以配置密码强度。
便携模式可用于“加密所有文件”或“仅加密新文件”模式。
仅加密使用的磁盘空间
该复选框将启用/禁用加密模式,其中仅加密已使用磁盘扇区。推荐为尚未修改或删除数据的新设备使用该模式。
如果选定该复选框,则仅加密使用的磁盘部分。Kaspersky Endpoint Security 将自动加密添加的新数据。
如果清空该复选框,整个驱动器将被加密,包括先前删除和修改文件残留的碎片。
仅加密已占用的空间的功能仅在“加密整个可移动驱动器”模式下可用。
开始加密后,启用/禁用“仅加密使用的磁盘空间”功能不会更改该设置。开始加密之前您必须选择或清除该复选框。
自定义规则
该表包含了已其定义自定义加密规则的设备。您可以通过以下方式为单个可移动驱动器创建加密规则:
- 从“设备控制”的受信任设备列表中添加可移动驱动器。
- 手动添加可移动驱动器:
- 按设备 ID(硬件 ID 或 HWID)
- 按设备型号:供应商 ID (VID) 和产品 ID (PID)
允许在离线模式下加密可移动驱动器
如果选中该复选框,则即使没有连接至 Kaspersky Security Center,Kaspersky Endpoint Security 也会加密可移动驱动器。在这种情况下,解密可移动驱动器所需的数据存储在与可移动驱动器连接的计算机的硬盘驱动器上,不会传输到 Kaspersky Security Center。
如果清除该复选框,则 Kaspersky Endpoint Security 无法在未连接至 Kaspersky Security Center 的情况下加密可移动驱动器。
加密密码设置 / 便携式文件管理器
便携式文件管理器的密码强度设置。