关于数据加密
Kaspersky Endpoint Security 允许您加密存储在本地和可移动磁盘驱动器上的文件和文件夹,或者整个可移动磁盘驱动器和硬盘驱动器。笔记本电脑、可移动磁盘或硬盘丢失或被盗时,又或者在未经许可的用户或应用程序访问数据时,数据加密功能能够最小化信息泄露的危险。
如果授权许可已过期,本程序不会加密新数据,旧的已加密数据仍保持加密状态并且可用。在此情况下,加密新数据将要求用允许使用加密的新授权许可来激活程序。
如果授权许可已过期,或违反了终端用户授权许可协议,亦或计算机上已卸载该密钥、 Kaspersky Endpoint Security 或加密组件,则先前加密文件的加密状态将得不到保证。这是因为某些应用程序,例如 Microsoft Office Word,会在编辑期间创建临时文件副本。原始文件保存后,临时文件副本将会替换原始文件。结果是,在没有或无法访问加密功能的计算机上,文件仍保持为不加密。
Kaspersky Endpoint Security 提供了以下方面的数据保护:
- 加密本地计算机磁盘驱动器上的文件。您可以根据扩展名或扩展名组编制文件列表,和存储在本地计算机驱动器上的文件夹列表,并为特定应用程序创建的文件创建加密规则。应用 Kaspersky Security Center 策略后,Kaspersky Endpoint Security 将加密和解密以下文件:
- 单独添加到加密和解密列表中的文件。
- 存储在添加到加密和解密列表中的文件夹内的文件。
- 单独应用程序创建的文件。
有关实施 Kaspersky Security Center 策略的详细信息,请查阅《Kaspersky Security Center 管理员指南》。
- 可移动磁盘驱动器加密。您可以指定默认加密规则,应用程序将根据该规则对所有可移动磁盘驱动器应用相同操作,您也可以为个别可移动磁盘驱动器指定加密规则。
默认加密规则低于为个别可移动磁盘驱动器创建的加密规则的优先级。为拥有特定设备型号的可移动磁盘驱动器创建的加密规则的优先级低于为拥有特定设备 ID 的可移动磁盘驱动器创建的文件加密规则的优先级。
若要为可移动磁盘驱动器上的文件选择加密规则,Kaspersky Endpoint Security 将会检查设备的型号和 ID 是否已知。然后该程序将执行以下操作之一:
- 如果只有设备型号已知,程序将使用为特定设备型号的可移动磁盘驱动器创建的加密规则(如果已创建)。
- 如果只有设备 ID 已知,程序将使用为特定设备 ID 的可移动磁盘驱动器创建的加密规则(如果已创建)。
- 如果设备型号和 ID 已知,程序将使用为特定设备 ID 的可移动磁盘驱动器创建的加密规则(如果已创建)。如果不存在此类规则,但是存在为特定设备型号的可移动磁盘驱动器创建的加密规则,则应用程序将应用该规则。如果没有为特定的设备 ID 或特定的设备型号指定加密规则,应用程序将应用默认的加密规则。
- 如果设备型号和设备 ID 都未知,程序将使用默认的加密规则。
程序可以让您准备可移动磁盘驱动器以便携模式使用驱动器上存储的加密数据。启用便携模式后,您可以访问连接到没有加密功能的计算机上的可移动磁盘驱动器上的加密文件。
应用 Kaspersky Security Center 策略后,应用程序将执行加密规则内指定的操作。
- 管理应用程序访问加密文件的规则。对于任何应用程序,您可以创建加密文件访问规则,阻止对加密文件的访问或者允许仅使用加密文字(应用加密时获得的字符串)访问加密文件。
- 创建加密存档。您可以创建加密存档,使用密码保护对此类存档的访问。只有输入您保护该存档的密码才能访问加密存档中的内容。此类存档可以安全地通过网络或通过可移动磁盘驱动器传输。
- 加密硬盘。您可以选择加密技术:Kaspersky Disk Encryption 或 BitLocker Drive Encryption(以下简称“BitLocker”)。
BitLocker 技术是 Windows 操作系统的一部分。如果计算机配备了 Trusted Platform Module (TPM),BitLocker 将用其存储提供加密硬盘驱动器访问的恢复密钥。计算机启动时,BitLocker 将从 Trusted Platform Module 请求硬盘驱动器恢复密钥并解锁驱动器。您可以配置访问恢复密钥使用密码和/或 PIN 码。
您可以指定默认的硬盘驱动器加密规则,并创建要从加密中排除的硬盘驱动器的列表。应用 Kaspersky Security Center 策略后,Kaspersky Endpoint Security 将按照扇区加密硬盘驱动器扇区。应用程序加密将同时应用至硬盘驱动器的所有逻辑分区上。有关实施 Kaspersky Security Center 策略的详细信息,请查阅《Kaspersky Security Center 管理员指南》。
加密系统硬盘驱动器后,在下次计算机启动时,用户能够访问硬盘驱动器并且操作系统加载前,用户必须通过身份验证代理的身份验证。这需要输入连接至计算机的令牌或智能卡的密码,或者本地局域网管理员使用身份验证代理账户管理任务创建的身份验证代理账户的用户名或密码。这些账户以用户登录操作系统的 Microsoft Windows 账户为基础。这些帐户以用户登录操作系统的 Microsoft Windows 帐户为基础。您可以管理身份验证代理账户并使用单点登录(SSO)技术,该技术使您可以使用身份验证代理账户的用户名和密码自动登录至操作系统。
如果您备份计算机,然后对计算机数据进行加密,之后恢复计算机备份副本并再次加密计算机数据,Kaspersky Endpoint Security 将会创建相同的身份验证代理帐户。要删除重复帐户,您必须使用带有
dupfix密钥的 klmover 实用程序。Klmover 实用程序包含在 Kaspersky Security Center 分发包中。您可以在 Kaspersky Security Center 管理员指南中了解有关其操作的更多信息。将应用程序版本升级到 Kaspersky Endpoint Security 10 Service Pack 2 for Windows 时,系统不会保存身份验证代理帐户列表。
只能在安装了带有硬盘驱动器加密功能的 Kaspersky Endpoint Security 计算机上访问已加密的硬盘驱动器。当出现公司的本地局域网之外的连接尝试访问加密数据时,该功能能够最大限度地降低加密硬盘驱动器的数据泄露风险。
若要加密硬盘驱动器和可移动驱动器,您可以使用“仅加密使用的磁盘空间”功能。建议您仅为先前未使用的新设备使用该功能。如果您在已使用的设备上应用加密,建议您加密整个设备。这将确保所有数据受到保护 - 即使删除了仍包含可检索信息的数据。
开始加密之前,Kaspersky Endpoint Security 将获得文件系统扇区图。第一波加密包括开始加密时文件占用的扇区。第二波加密包括加密开始后写入的扇区。加密完成后,所有包含数据的扇区都将被加密。
加密完成并且用户删除文件后,存储删除文件的扇区可以在文件系统级别存储新的信息但是仍保持为加密状态。因此,随着在计算机上开启 仅加密已使用的磁盘空间 功能的情况下启动定期加密时向新设备写入新文件,一段时间后所有扇区将被加密。
解密文件所需的数据由加密时控制计算机的 Kaspersky Security Center 管理服务器提供。如果包含加密文件的计算机发现自己由于某种原因处于另外一个管理服务器的控制下,并且这些加密文件从未受到访问,则可以通过下列方式之一获取访问权限:
- 从局域网管理员那里请求访问加密对象的权限;
- 使用“恢复实用工具”恢复对加密硬盘驱动器的访问权限;
- 从备份副本恢复在加密时控制计算机的 Kaspersky Security Center 管理服务器的配置,并且在现在控制包含加密对象的计算机的管理服务器上使用此配置。
程序将在加密期间创建服务文件。需要硬盘上大约 2-3% 的非碎片磁盘空间来存储这些文件。如果硬盘驱动器上的可用非碎片磁盘空间不足,加密操作不会运行,直至您清理出足够的空间。
SUGGESTED CORRECTION: Kaspersky Endpoint Security 加密功能和 Kaspersky Anti-Virus for UEFI 不兼容。对安装了 Kaspersky Anti-Virus for UEFI 的计算机硬盘驱动器进行加密会使得 Kaspersky Anti-Virus for UEFI 无法运行。