關於資料加密
Kaspersky Endpoint Security 允許您加密儲存在本機和卸除式磁碟上的檔案和資料夾,或者整個卸除式機磁碟和硬碟磁碟機。筆記型電腦、卸除式磁碟或硬碟遺失或被竊取時,又或者在未經許可的使用者或應用程式存取資料時,資料加密功能能夠將資訊洩露的危險降至最低。
如果產品授權已到期,本程式不會加密新資料,舊的已加密資料仍保持加密狀態並且可用。在此情況下,加密新資料將要求用允許使用加密的新產品授權來啟動程式。
如果產品授權已到期,或違反了終端使用者產品授權協議,亦或電腦上已刪除此金鑰、 Kaspersky Endpoint Security 或加密元件,則先前加密檔案的加密狀態將得不到保證。這是因為某些應用程式,例如 Microsoft Office Word, 會在編輯期間建立暫存檔案副本。原始檔案儲存後,暫存檔案副本將會替換原始檔案。因此,在沒有或無法存取資料加密功能的電腦上檔案仍未受到防護。
Kaspersky Endpoint Security 提供了以下幾個方面的資料防護:
- 加密本機電腦磁碟中的檔案。您可以根據副檔名或副檔名群組編制檔案清單,和儲存在本機電腦磁碟機上的資料夾清單,並為特定應用程式建立的檔案建立加密規則。套用卡巴斯基安全管理中心政策後,Kaspersky Endpoint Security 將加密和解密以下檔案:
- 單獨新增到加密和解密清單中的檔案。
- 儲存在新增到加密和解密清單中的資料夾內的檔案。
- 單獨應用程式建立的檔案。
有關實施卡巴斯基安全管理中心政策的詳細資訊,請查閱《卡巴斯基安全管理中心管理手冊》。
- 卸除式磁碟加密。您可以指定預設加密規則,應用程式將根據該規則對所有卸除式磁碟套用相同操作,您也可以為個別卸除式磁碟指定加密規則。
預設加密規則低於為個別卸除式磁碟建立的加密規則的優先順序。為擁有特定裝置型號的卸除式磁碟建立的加密規則的優先順序低於為擁有特定裝置 ID 的卸除式磁碟建立的檔案加密規則的優先順序。
若要為卸除式磁碟中的檔案選取加密規則,Kaspersky Endpoint Security 將會檢查裝置的型號和 ID 是否已知。然後此程式將執行以下操作之一:
- 如果只有裝置型號已知,程式將為特定裝置型號的卸除式磁碟建立加密規則(如果先行已建立)。
- 如果裝置 ID 已知,程式將為特定裝置 ID 的卸除式磁碟配置加密規則(如果先行已建立)。
- 如果裝置型號和 ID 已知,程式將為特定裝置 ID 的卸除式磁碟建立加密規則(如果先行已建立)。如果不存在此類規則,但是存在為特定裝置型號的卸除式磁碟建立的加密規則,則應用程式將套用此規則。如果沒有為特定的裝置 ID 或特定的裝置型號指定加密規則,應用程式將應用預設的加密規則。
- 如果裝置型號和裝置 ID 都未知,程式將使用預設的加密規則。
程式可以讓您準備卸除式磁碟以攜帶模式使用上儲存的加密資料。啟用模式後,您可以存取連接到沒有加密功能的電腦上的卸除式磁碟中的加密檔。
應用卡巴斯基安全管理中心政策後,應用程式將執行加密規則內指定的操作。
- 管理應用程式存取加密檔案的規則。對於任何應用程式,您可以建立加密檔案存取規則,封鎖對加密檔案的存取或者允許僅使用加密文字(應用加密時獲得的字串)存取加密檔案。
- 建立加密檔案。您可以建立加密檔案,使用密碼防護針對此檔案的存取。只有輸入您防護此檔案的密碼才能存取加密檔案中的內容。此類檔案可以安全的透過網路或透過卸除式磁碟傳輸。
- 加密硬碟。您可以選取加密技術:Kaspersky Disk Encryption 或 BitLocker 磁碟機加密(以下簡稱“BitLocker”)。
BitLocker 技術是 Windows 作業系統的一部分。如果電腦配備了 Trusted Platform Module (TPM),BitLocker 將用其儲存提供加密硬碟存取的還原金鑰。電腦啟動時,BitLocker 將從 Trusted Platform Module 請求硬碟還原金鑰並解鎖磁碟。您可以設定存取還原金鑰使用密碼和/或 PIN 碼。
您可以指定預設的硬碟加密規則,並建立要從加密中排除的硬碟清單。套用卡巴斯基安全管理中心政策後,Kaspersky Endpoint Security 將按照磁區加密硬碟。應用程式加密將同時套用至硬碟的所有邏輯分區上。有關實施卡巴斯基安全管理中心政策的詳細資訊,請查閱《卡巴斯基安全管理中心管理手冊》。
加密系統硬碟後,在下次電腦啟動時,使用者要能夠存取硬碟並且作業系統載入前,使用者必須透過身分驗證代理的驗證。這需要輸入連線至電腦的令牌或智慧卡的密碼,或者本機區域網路管理員使用身分驗證代理帳戶管理工作建立的身分驗證代理帳戶的使用者名称或密碼。這些帳戶以使用者登入作業系統的 Microsoft Windows 帳戶為基礎。這些帳戶以使用者登入作業系統的 Microsoft Windows 帳戶為基礎。您可以管理身分驗證代理帳戶並使用單點登入 (SSO) 技術,該技術使您可以使用身分驗證代理帳戶的使用者名稱和密碼自動登入至作業系統。
如果您備份電腦,然後對電腦資料進行加密,之後還原電腦備份副本並再次加密電腦資料,Kaspersky Endpoint Security 將會建立相同的身分驗證代理帳戶。要刪除重複帳戶,請使用帶有
dupfix金鑰的 klmover 實用程式。Klmover 實用程式含在卡巴斯基安全管理中心安裝程式中。您可以在卡巴斯基安全管理中心管理手冊中瞭解有關其操作的更多資訊。將應用程式版本升級到 Kaspersky Endpoint Security 10 Service Pack 2 for Windows 時,系統不會儲存身分驗證代理帳戶清單。
只能在安裝了帶有硬碟磁碟機加密功能的 Kaspersky Endpoint Security 電腦上存取已加密的硬碟磁碟機。當出現公司區域網路之外的連接嘗試存取加密檔案時,此功能會大大降低加密硬碟中的檔案洩露的風險。
若要加密硬碟磁碟機和卸除式磁碟機,您可以使用“僅加密使用的磁碟空間”功能。建議您僅為先前未使用的新裝置使用此功能。如果您在已使用的裝置上套用加密,建議您加密整個裝置。這將確保所有資料受到防護 - 即使刪除了仍包含可檢索資訊的資料。
開始加密之前,Kaspersky Endpoint Security 將獲得檔案系統磁區圖。第一波加密包括開始加密時檔案佔用的磁區。第二波加密包括加密開始後寫入的磁區。加密完成後,所有包含資料的磁區都將被加密。
加密完成並且使用者刪除檔案後,儲存刪除檔案的磁區可以在檔案系統等級儲存新的資訊但是仍保持為加密狀態。因此,隨著在電腦上開啟 僅加密已使用的磁碟空間 功能的情況下啟動定期加密時向新裝置寫入新檔案,一段時間後所有磁區將被加密。
解密檔案所需的檔案由加密時控制電腦的卡巴斯基安全管理中心管理伺服器提供。如果包含加密檔案的電腦發現自己由於某種原因處於另外一個管理伺服器的控制下,並且這些加密檔案從未受到存取, 則可以透過下列方式之一獲得存取權限:
- 從區域網路管理員那裡請求存取加密物件的權限;
- 使用“還原實用工具”還原對加密硬碟的存取權限:
- 從備份還原在加密時控制電腦的卡巴斯基安全管理中心管理伺服器的配置, 並且在現在控制包含加密物件的電腦的管理伺服器上使用此配置。
程式將在加密期間建立服務檔案。需要硬碟上大約 2-3% 的非碎片的磁碟空間來儲存這些檔案。如果硬碟上的可用磁碟空間不足,加密操作不會運行,直至您清理出足夠的空間。
SUGGESTED CORRECTION: Kaspersky Endpoint Security 加密功能和 Kaspersky Anti-Virus for UEFI 不相容。對安裝了 Kaspersky Anti-Virus for UEFI 的電腦硬碟進行加密會使得 Kaspersky Anti-Virus for UEFI 無法執行。