Šifrování dat

Aplikace Kaspersky Endpoint Security umožňuje šifrovat soubory a složky, které jsou uložené na místních a vyměnitelných jednotkách, nebo také celé vyměnitelné jednotky a pevné disky. Šifrování dat minimalizuje riziko úniků informací, k nimž může dojít při ztrátě nebo odcizení přenosného počítače, vyměnitelné jednotky nebo pevného disku nebo při přístupu neautorizovaných uživatelů nebo aplikací k datům. Aplikace Kaspersky Endpoint Security používá šifrovací algoritmus AES (Advanced Encryption Standard).

Jestliže skončila platnost licence, aplikace nešifruje nová data a stará šifrovaná data zůstanou zašifrovaná a je možné je používat. V tomto případě vyžaduje šifrování nových dat aktivaci aplikace pomocí nové licence, která dovoluje použití šifrování.

Jestliže skončila platnost vaší licence nebo došlo k porušení podmínek licenční smlouvy s koncovým uživatelem nebo byl odebrán licenční klíč, aplikace Kaspersky Endpoint Security nebo součásti šifrování, nelze zaručit stav šifrování u dříve zašifrovaných souborů. Je to způsobeno tím, že některé aplikace, například Microsoft Office Word, vytváří během úprav souborů dočasnou kopii. Při uložení původního souboru je původní soubor nahrazen dočasnou kopií. V důsledku toho zůstane takový soubor v počítači, v němž není k dispozici žádná funkce šifrování nebo funkce šifrování není dostupná, nezašifrovaný.

Aplikace Kaspersky Endpoint Security nabízí následující možnosti ochrany dat:

• Šifrování na úrovni souborů na místních discích počítače. Můžete zkompilovat seznamy souborů podle přípony nebo skupiny přípon a seznamy složek uložených na místních počítačových discích a vytvořit pravidla šifrování souborů vytvořených určitými aplikacemi. Po použití zásad aplikace Kaspersky Security Center zašifruje a dešifruje následující soubory:
  • Soubory jednotlivě přidané na seznamy pro šifrování a dešifrování.
  • Soubory uložené ve složkách přidaných na seznamy pro šifrování a dešifrování.
  • Soubory vytvořené samostatnými aplikacemi.
• Šifrování vyměnitelných jednotek. Můžete zadat výchozí pravidlo šifrování, podle kterého aplikace provede stejnou akci u všech vyměnitelných jednotek, nebo zadat pravidla šifrování pro jednotlivé vyměnitelné jednotky.

  Výchozí pravidlo šifrování má nižší prioritu než pravidla šifrování vytvořená pro jednotlivé vyměnitelné jednotky. Pravidla šifrování vytvořená pro vyměnitelné jednotky zadaného modelu zařízení mají nižší prioritu než pravidla šifrování vytvořená pro vyměnitelné jednotky se zadaným ID zařízení.

  Aplikace Kaspersky Endpoint Security při volbě pravidla šifrování pro soubory na vyměnitelné jednotce kontroluje, zda jsou model nebo ID zařízení známé. Aplikace potom provede jednu z těchto akcí:

  • Pokud je znám jen model zařízení, aplikace použije pravidlo šifrování (pokud nějaké existuje) vytvořené pro vyměnitelné jednotky určitého modelu zařízení.
  • Pokud je známo jen ID zařízení, aplikace použije pravidlo šifrování (pokud nějaké existuje) vytvořené pro vyměnitelné jednotky s určitým ID zařízení.
  • Pokud jsou známy model i ID zařízení, aplikace použije pravidlo šifrování (pokud nějaké existuje) vytvořené pro vyměnitelné jednotky s určitým ID zařízení. Pokud žádné takové pravidlo neexistuje, ale existuje pravidlo šifrování vytvořené pro vyměnitelné jednotky určitého modelu zařízení, aplikace použije toto pravidlo. Pokud není zadáno žádné pravidlo šifrování pro určité ID zařízení ani pro určitý model zařízení, aplikace použije výchozí pravidlo šifrování.
  • Pokud není znám model zařízení ani jeho ID, aplikace použije výchozí pravidlo šifrování.

  Aplikace vám umožní připravit vyměnitelnou jednotku pro použití šifrovaných dat, které jsou na ní uložené v mobilním režimu. Po povolení mobilního režimu získáte přístup k šifrovaným souborům na vyměnitelných jednotkách připojených k počítači bez funkce šifrování.

• Správa pravidel přístupu aplikací k šifrovaným souborům. Pro jakoukoli aplikaci můžete vytvořit pravidlo přístupu k šifrovaným souborů, které blokuje přístup k šifrovaným souborů nebo povoluje přístup k šifrovaným souborům pouze jako k šifrovanému textu, což je sekvence znaků získaná při šifrování.
• Vytvoření šifrovaných balíčků. Můžete vytvářet šifrované archivy a přístup k nim chránit pomocí hesla. Přístup k obsahu šifrovaných archivů lze získat jen po zadání hesel, která slouží k zabezpečení přístupu k těmto archivům. Tyto archivy je možné bezpečně přenášet po sítích nebo pomocí vyměnitelných jednotek.
• Úplné šifrování disku. Můžete vybrat technologii šifrování: Kaspersky Disk Encryption nebo BitLocker Drive Encryption (dále označována zkráceně jako „technologie BitLocker“).

  BitLocker je technologie, která je součástí operačního systému Windows. Pokud je počítač vybavený čipem TPM (Trusted Platform Module), technologie BitLocker jej použije k ukládání obnovovacích klíčů, které poskytují přístup k šifrovanému pevnému disku. Po spuštění počítače vyžádá technologie BitLocker obnovovací klíče pevného disku z čipu TPM a potom disk odemkne. Pro přístup k obnovovacím klíčům můžete nastavit použití hesla a/nebo PIN kódu.

  Můžete zadat výchozí pravidlo úplného šifrování disku a vytvořit seznam pevných disků, které mají být z šifrování vyloučeny. Aplikace Kaspersky Endpoint Security provádí úplné šifrování disku (každý sektor), jakmile se použijí zásady aplikace Kaspersky Security Center. Aplikace současně šifruje všechny logické oddíly pevných disků.

  Po zašifrování systémových pevných disků se musí uživatel při příštím spuštění počítače ověřit prostřednictvím ověřovacího agenta a až poté jsou zpřístupněna data na pevných discích a načten operační systém. Tato akce vyžaduje zadání hesla tokenu nebo čipové karty připojené k počítači nebo uživatelského jména a hesla účtu ověřovacího agenta, který byl vytvořen správcem místní sítě pomocí úlohy Správa účtů ověřovacího agenta. Tyto účty jsou založené na účtech systému Microsoft Windows, které uživatelé používají k přihlašování do operačního systému. Můžete také použít technologii SSO (Single Sign-On), která umožňuje automatické přihlášení k operačnímu systému pomocí uživatelského jména a hesla účtu ověřovacího agenta.

  Rozhraní umožňující dokončení ověřování pro přístup k šifrovaným pevným diskům a načtení operačního systému po zašifrování spustitelného pevného disku.

  Pokud zazálohujete počítač a zašifrujete jeho data a potom obnovíte záložní kopii počítače a znovu zašifrujete data počítače, aplikace Kaspersky Endpoint Security vytvoří duplicitní účty ověřovacího agenta. Chcete-li duplicitní účty odebrat, je třeba použít nástroj klmover s klíčem dupfix. Nástroj klmover je součástí sestavy aplikace Kaspersky Security Center. Více informací o jeho fungování můžete najít v nápovědě k aplikaci Kaspersky Security Center.

  Přístup k šifrovaným pevným diskům je možný jen z počítačů, v nichž je nainstalována aplikace Kaspersky Endpoint Security s funkcí úplného šifrování disku. Toto opatření minimalizuje riziko úniků dat z šifrovaného pevného disku při pokusu o přístup z místa mimo místní síť společnosti.

K šifrování pevných disků a vyměnitelných jednotek můžete použít funkci Zašifrovat pouze využité místo na disku. Tuto funkci doporučujeme používat jen pro nová zařízení, která dosud nebyla použita. Pokud chcete použít šifrování na zařízení, které se již používá, doporučujeme zašifrovat celé zařízení. Zajistíte tím ochranu veškerých dat – i odstraněných dat, která mohou obsahovat čitelné informace.

Aplikace Kaspersky Endpoint Security před zahájením šifrování získá mapu sektorů souborového systému. První vlna šifrování zahrnuje sektory obsazené soubory v době, kdy je šifrování spuštěno. Druhá vlna šifrování zahrnuje sektory, v nichž byl proveden zápis po zahájení šifrování. Po dokončení šifrování jsou zašifrovány všechny sektory obsahující data.

Jakmile se šifrování dokončí a uživatel odstraní nějaký soubor, sektory, kde byl odstraněný soubor uložen, se uvolní k uložení nových dat na úrovni souborového systému, zůstanou však zašifrované. Když jsou tedy zapsány soubory do nového zařízení a zařízení je pravidelně šifrováno s povolenou funkcí Zašifrovat pouze využité místo na disku, budou po určité době zašifrovány všechny sektory.

Data potřebná k dešifrování souboru jsou poskytována administračním serverem Kaspersky Security Center, který kontroloval počítač v době šifrování. Pokud byl počítač se šifrovanými objekty z nějakého důvodu spravován jiným serverem pro správu, můžete získat přístup k šifrovaným datům jedním z následujících způsobů:

• Servery pro správ ve stejné hierarchii:
  • Nemusíte podnikat žádné další kroky. Uživatel si zachová přístup k šifrovaným objektům. Šifrovací klíče jsou distribuovány na všechny servery pro správu.
• Samostatné servery pro správu:
  • Požádejte o přístup k šifrovaným objektům správce sítě LAN.
  • Obnovte data v šifrovaných zařízeních pomocí nástroje pro obnovení.
  • Obnovte konfiguraci serveru pro správu Kaspersky Security Center, který kontroloval počítač v době šifrování, pomocí záložní kopie a použijte tuto konfiguraci na administračním serveru, který nyní kontroluje počítač se šifrovanými objekty.

Pokud k šifrovaným datům není přístup, postupujte podle zvláštních pokynů pro práci se šifrovanými daty (Obnovení přístupu k šifrovaným souborům, Práce s šifrovanými zařízeními v případě, že není k dispozici žádný přístup k nim).