用于访问可移动驱动器上的加密文件的便携模式

便携模式是可移动驱动器上的文件加密 (FLE) 模式，它提供了访问公司网络外部数据的能力。便携模式还允许您在未安装 Kaspersky Endpoint Security 的计算机上使用加密数据。

便携模式在以下情况下便于使用：

• 计算机和 Kaspersky Security Center 管理服务器之间没有连接。
• 基础结构已随着 Kaspersky Security Center 管理服务器的更改而发生变化。
• 计算机上未安装 Kaspersky Endpoint Security。

便携式文件管理器

为了在便携模式下工作，Kaspersky Endpoint Security 会在可移动驱动器上安装一个名为“便携式文件管理器”的特殊加密模块。如果计算机上未安装 Kaspersky Endpoint Security，便携式文件管理器提供了一个处理加密数据的界面（请参见下图）。如果计算机上安装了 Kaspersky Endpoint Security，则可以使用通常的文件管理器（例如资源管理器）使用加密的可移动驱动器。

便携式文件管理器会存储用于加密可移动驱动器上的文件的密钥。该密钥使用用户密码加密。用户在加密可移动驱动器上的文件之前先设置密码。

当可移动驱动器连接到未安装 Kaspersky Endpoint Security 的计算机时，便携式文件管理器会自动启动。如果计算机上已禁用自动启动应用程序，请手动启动便携式文件管理器。要执行此操作，请运行可移动驱动器上存储的名为 pmv.exe 的文件。

便携式文件管理器

支持便携模式以处理加密文件

如何在管理控制台 (MMC) 中启用便携模式支持以处理可移动驱动器上的加密文件

如何在 Web Console 中启用便携模式支持以处理可移动驱动器上的加密文件

Kaspersky Endpoint Security 将加密可移动驱动器上的文件。用来操作加密文件的便携式文件管理器也将被添加到可移动驱动器。如果可移动驱动器上已经有加密文件，Kaspersky Endpoint Security 将使用自己的密钥再次对其进行加密。这允许用户在便携模式下访问可移动驱动器上的所有文件。

访问可移动驱动器上的加密文件

在便携模式支持下加密可移动驱动器上的文件后，可以使用以下文件访问方法：

• 如果计算机上未安装 Kaspersky Endpoint Security，则便携式文件管理器将提示您输入密码。每次重新启动计算机或重新连接可移动驱动器时，都需要输入密码。
• 如果计算机位于公司网络外部，并且计算机上已安装 Kaspersky Endpoint Security，则应用程序将提示您输入密码或向管理员发送访问文件的请求。获得对可移动驱动器上文件的访问权限后，Kaspersky Endpoint Security 会将密钥保存在计算机的密钥存储中。这样在将来无需输入密码或询问管理员即可访问文件（参见下图）。
• 如果计算机位于公司网络内部，并且计算机上已安装 Kaspersky Endpoint Security，则无需输入密码即可访问设备。Kaspersky Endpoint Security 将从与计算机连接的 Kaspersky Security Center 管理服务器接收密钥。

  

  访问可移动驱动器上的加密文件

恢复在便携模式下工作的密码

如果您忘记了在便携模式下工作的密码，则需要将可移动驱动器与公司网络内安装了 Kaspersky Endpoint Security 的计算机连接。您将获得文件访问权限，因为密钥存储在计算机的密钥存储或管理服务器中。使用新密码解密和重新加密文件。

将可移动驱动器连接到其他网络中的计算机时，便携模式的功能

如果计算机位于公司网络外部，并且计算机上已安装 Kaspersky Endpoint Security，您可以通过以下方式访问文件：

• 基于密码进行访问

  输入密码后，您将能够查看、修改并将文件保存在可移动驱动器上（透明访问）。如果在可移动驱动器的加密策略设置中配置以下参数，Kaspersky Endpoint Security 可以为可移动驱动器设置只读访问权限：

  • 便携模式支持已禁用。
  • 选择了“加密所有文件”或“仅加密新文件”模式。

  在所有其他情况下，您将获得对可移动驱动器的完全访问权限（读/写权限）。您将能够添加和删除文件。

  即使可移动驱动器连接到计算机时，您也可以更改可移动驱动器访问权限。如果更改可移动驱动器访问权限，Kaspersky Endpoint Security 将阻止对文件的访问，并再次提示您输入密码。

  输入密码后，您无法对可移动驱动器应用加密策略设置。在这种情况下，无法对可移动驱动器上的文件进行解密或重新加密。

• 请管理员提供文件访问权限

  如果您忘记了在便携模式下工作的密码，则请管理员提供文件访问权限。要访问文件，用户需要向管理员发送请求访问文件（扩展名为 KESDC 的文件）。例如，用户可以通过电子邮件发送请求访问文件。管理员将发送加密数据访问文件（扩展名为 KESDR 的文件）。

  完成请求-响应密码恢复过程之后，您将获得对可移动驱动器上的文件的透明访问权限，以及对可移动驱动器的完全访问权限（读/写权限）。

  例如，您可以应用可移动驱动器加密策略并解密文件。在恢复密码后或在更新策略后，Kaspersky Endpoint Security 将提示您确认更改。

  如何在管理控制台 (MMC) 中获取加密数据访问文件

  1. 打开 Kaspersky Security Center Administration Console。
  2. 在控制台树中，选择“设备”。
  3. 在“设备”选项卡上，选择用户正在请求加密数据访问权限的计算机，然后单击鼠标右键打开上下文菜单。
  4. 在上下文菜单中，选择“授予离线模式下的访问权限”。
  5. 在打开的窗口中，选择“数据加密”选项卡。
  6. 在“数据加密”选项卡上单击“浏览”按钮。
  7. 在用于选择请求访问文件的窗口中，指定从用户处接收的文件的路径。

  您将看到有关用户请求的信息。Kaspersky Security Center 会生成一个密钥文件。通过电子邮件将生成的加密数据访问密钥文件发送给用户。或保存该访问文件并使用任何可用方法来传输该文件。

  

  在移动模式下授予访问权限

  如何在 Web Console 中获取加密数据访问文件

  1. 在 Web Console 的主窗口中，选择“设备” → “受管理设备”。
  2. 选中要还原其数据访问权限的计算机名称旁边的复选框。
  3. 单击“授予移动模式设备访问权限”。
  4. 选择“数据加密”。
  5. 单击“选择文件”按钮，然后选择从用户处收到的请求访问文件（扩展名为 KESDC 的文件）。

     Web Console 将显示有关请求的信息。这将包括用户请求访问的文件所在的计算机的名称。

  6. 单击“保存密钥”按钮，然后选择一个文件夹来保存加密数据访问密钥文件（扩展名为 KESDR 的文件）。

  结果，您将能够获取加密数据访问密钥，您需要将该密钥传输给用户。