Kaspersky Endpoint Security consente di criptare file e cartelle archiviati in unità locali e rimovibili o interi dischi rigidi e unità rimovibili. Il criptaggio dei dati riduce al minimo il rischio di diffusione di informazioni che può verificarsi in seguito al furto o allo smarrimento di computer portatili, unità rimovibili o dischi rigidi oppure in caso di accesso ai dati da parte di utenti o applicazioni non autorizzati. Kaspersky Endpoint Security utilizza l'algoritmo di criptaggio AES (Advanced Encryption Standard).
Se la licenza è scaduta, l'applicazione non cripta i nuovi dati e i dati criptati precedenti restano criptati e disponibili per l'utilizzo. In questo caso, il criptaggio dei nuovi dati richiede l'attivazione dell'applicazione con una nuova licenza che consente l'utilizzo del criptaggio.
Se la licenza è scaduta, si è verificata una violazione del Contratto di licenza con l'utente finale oppure la chiave di licenza, Kaspersky Endpoint Security o i componenti di criptaggio sono stati rimossi, lo stato di criptaggio dei file criptati in precedenza non è garantito. Questo è dovuto al fatto che alcune applicazioni, come Microsoft Office Word, creano una copia temporanea dei file durante la modifica. Quando il file originale viene salvato, la copia temporanea sostituisce il file originale. Di conseguenza, in un computer privo di funzionalità di criptaggio o in cui tali funzionalità non sono accessibili, il file rimane non criptato.
Kaspersky Endpoint Security offre le seguenti caratteristiche per la protezione dei dati:
La regola di criptaggio predefinita ha una priorità inferiore rispetto alle regole di criptaggio create per le singole unità rimovibili. Le regole di criptaggio create per le unità rimovibili con il modello di dispositivo specificato hanno una priorità inferiore rispetto alle regole di criptaggio create per le unità rimovibili con l'ID dispositivo specificato.
Per selezionare una regola di criptaggio per i file in un'unità rimovibile, Kaspersky Endpoint Security verifica se il modello e l'ID del dispositivo sono noti o meno. L'applicazione esegue quindi una delle seguenti operazioni:
L'applicazione consente di preparare un'unità rimovibile per l'utilizzo dei dati criptati che contiene in modalità portatile. Dopo avere abilitato la modalità portatile, è possibile accedere ai file criptati nelle unità rimovibili connesse a un computer in cui non è installata la funzionalità di criptaggio.
BitLocker è una tecnologia inclusa nel sistema operativo Windows. Se un computer è dotato di un TPM (Trusted Platform Module), BitLocker lo utilizza per archiviare le chiavi di ripristino che forniscono l'accesso a un disco rigido criptato. All'avvio del computer, BitLocker richiede al Trusted Platform Module le chiavi di ripristino del disco rigido e sblocca l'unità. È possibile configurare l'utilizzo di una password e/o un codice PIN per l'accesso alle chiavi di ripristino.
È possibile specificare la regola predefinita per il criptaggio dell'intero disco e creare un elenco di dischi rigidi da escludere dal criptaggio. Kaspersky Endpoint Security esegue il criptaggio dell'intero disco a livello di settore dopo l'applicazione del criterio di Kaspersky Security Center. L'applicazione cripta tutte le partizioni dei dischi rigidi contemporaneamente.
Una volta criptati i dischi rigidi di sistema, al successivo avvio del computer l'utente deve eseguire l'autenticazione utilizzando l'Agente di Autenticazione prima di poter accedere ai dischi rigidi e caricare il sistema operativo. Questo richiede l'immissione della password del token o della smart card connessa al computer oppure il nome utente e la password dell'account per l'Agente di Autenticazione creato dall'amministratore della rete LAN tramite l'attività Gestire gli account per l'Agente di Autenticazione. Questi account sono basati sugli account di Microsoft Windows con cui gli utenti eseguono l'accesso al sistema operativo. È inoltre possibile utilizzare la tecnologia SSO (Single Sign-On), che consente di accedere automaticamente al sistema operativo utilizzando il nome utente e la password dell'account dell'Agente di Autenticazione.
Se si esegue il backup di un computer, si criptano i dati nel computer e quindi si esegue il ripristino della copia di backup del computer e si criptano nuovamente i dati nel computer, Kaspersky Endpoint Security crea duplicati degli account per l'Agente di Autenticazione. Per rimuovere gli account duplicati, è necessario utilizzare l'utilità klmover con il parametro dupfix
. L'utilità klmover è inclusa nella build di Kaspersky Security Center. Ulteriori informazioni sul relativo utilizzo sono disponibili nella Guida di Kaspersky Security Center.
L'accesso alle unità criptate è possibile solo dai computer in cui è installato Kaspersky Endpoint Security con la funzionalità di criptaggio dell'intero disco. Questa precauzione riduce al minimo il rischio di diffusione dei dati da un'unità criptata quando viene effettuato un tentativo di accedervi all'esterno della rete LAN aziendale.
Per criptare i dischi rigidi e le unità rimovibili, è possibile utilizzare la funzione Cripta solo lo spazio su disco utilizzato. È consigliabile utilizzare questa funzione solo per i nuovi dispositivi che non sono stati utilizzati in precedenza. Se si applica il criptaggio a un dispositivo già in uso, è consigliabile criptare l'intero dispositivo. Questo garantisce che tutti i dati siano protetti, anche i dati eliminati che potrebbero ancora contenere informazioni recuperabili.
Prima di avviare il criptaggio, Kaspersky Endpoint Security ottiene la mappa dei settori del file system. Il primo passaggio di criptaggio include i settori che sono occupati da file al momento dell'avvio del criptaggio. Il secondo passaggio di criptaggio include i settori che sono stati scritti dopo l'avvio del criptaggio. Al termine del criptaggio, tutti i settori che contengono dati sono criptati.
Una volta completato il criptaggio, se un utente elimina un file, i settori in cui era memorizzato il file eliminato diventano disponibili per la memorizzazione di nuove informazioni a livello di file system, ma rimangono criptati. Dal momento che i file vengono scritti in un nuovo dispositivo e il dispositivo viene regolarmente criptato con la funzione Cripta solo lo spazio su disco utilizzato abilitata, tutti i settori verranno criptati dopo un determinato periodo di tempo.
I dati necessari per decriptare i file vengono forniti dal sistema Kaspersky Security Center Administration Server che controllava il computer al momento del criptaggio. Se per qualche motivo il computer con oggetti criptati era gestito da un Administration Server diverso, è possibile ottenere l'accesso ai dati criptati in uno dei seguenti modi:
Se non è disponibile l'accesso ai dati criptati, seguire le istruzioni speciali per l'utilizzo dei dati criptati (Ripristino dell'accesso ai file criptati, Utilizzo dei dispositivi criptati quando non è possibile accedervi).