Шифрование файлов на локальных дисках компьютера

Этот компонент доступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для серверов.

Шифрование файлов имеет следующие особенности:

• Kaspersky Endpoint Security шифрует / расшифровывает стандартные папки только для локальных профилей пользователей (англ. local user profiles) операционной системы. Kaspersky Endpoint Security не шифрует и не расшифровывает стандартные папки для перемещаемых профилей пользователей (англ. roaming user profiles), обязательных профилей пользователей (англ. mandatory user profiles), временных профилей пользователей (англ. temporary user profiles), а также перенаправленные папки.
• Kaspersky Endpoint Security не выполняет шифрование файлов, изменение которых может повредить работе операционной системы и установленных приложений. Например, в список исключений из шифрования входят следующие файлы и папки со всеми вложенными в них папками:
  • %WINDIR%;
  • %PROGRAMFILES% и %PROGRAMFILES(X86)%;
  • файлы реестра Windows.

  Список исключений из шифрования недоступен для просмотра и изменения. Файлы и папки из списка исключений из шифрования можно добавить в список для шифрования, но при выполнении шифрования файлов они не будут зашифрованы.

Запуск шифрования файлов на локальных дисках компьютера

Kaspersky Endpoint Security не шифрует файлы, содержимое которых расположено в облачном хранилище OneDrive и других папках с именем OneDrive. Также Kaspersky Endpoint Security блокирует копирование зашифрованных файлов в папки OneDrive, если эти файлы не добавлены в правило расшифровки.

Чтобы зашифровать файлы на локальных дисках компьютера, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Шифрование данных → Шифрование файлов.
6. В раскрывающемся списке Режим шифрования выберите элемент Согласно правилам.
7. На закладке Шифрование нажмите на кнопку Добавить и в раскрывающемся списке выберите один из следующих элементов:
   1. Выберите элемент Стандартные папки, чтобы добавить в правило шифрования файлы из папок локальных профилей пользователей, предложенных специалистами "Лаборатории Касперского".
      • Документы. Файлы в стандартной папке операционной системы Документы, а также вложенные папки.
      • Избранное. Файлы в стандартной папке операционной системы Избранное, а также вложенные папки.
      • Рабочий стол. Файлы в стандартной папке операционной системы Рабочий стол, а также вложенные папки.
      • Временные файлы. Временные файлы, связанные с работой установленных на компьютере приложений. Например, приложения Microsoft Office создают временные файлы с резервными копиями документов.
      • Файлы Outlook. Файлы, связанные с работой почтового клиента Outlook: файлы данных (PST), автономные файлы данных (OST), файлы автономной адресной книги (OAB) и файлы персональной адресной книги (PAB).
   2. Выберите элемент Папку вручную, чтобы добавить в правило шифрования папку, путь к которой введен вручную.

      При добавлении пути к папке следует использовать следующие правила:

      • Используйте переменную окружения (например, %FOLDER%\UserFolder\). Вы можете использовать переменную окружения только один раз и только в начале пути.
      • Не используйте относительные пути.
      • Не используйте символы * и ?.
      • Не используйте UNC-пути.
      • Используйте ; или , в качестве разделительного символа.
   3. Выберите элемент Файлы по расширению, чтобы добавить в правило шифрования отдельные расширения файлов. Kaspersky Endpoint Security шифрует файлы с указанными расширениями на всех локальных дисках компьютера.
   4. Выберите элемент Файлы по группам расширений, чтобы добавить в правило шифрования группы расширений файлов (например, группа Документы Microsoft Office). Kaspersky Endpoint Security шифрует файлы с расширениями, перечисленными в группах расширений, на всех локальных дисках компьютера.
8. Сохраните внесенные изменения.

Сразу после применения политики Kaspersky Endpoint Security шифрует файлы, включенные в правило шифрования и не включенные в правило расшифровки.

Шифрование файлов имеет следующие особенности:

• Если один и тот же файл добавлен и в правило шифрования, и в правило расшифровки, то Kaspersky Endpoint Security выполняет следующие действия:
  • Если исходный файл не зашифрован, Kaspersky Endpoint Security не шифрует этот файл.
  • Если исходный файл зашифрован, Kaspersky Endpoint Security расшифровывает этот файл.
• Kaspersky Endpoint Security продолжает шифровать новые файлы, если файлы удовлетворяют критериям правила шифрования. Например, вы изменили свойства незашифрованного файла (путь или расширение), и в результате файл удовлетворяет критериям правила шифрования. Kaspersky Endpoint Security шифрует этот файл.
• Когда пользователь создает новый файл, свойства которого удовлетворяют критериям правила шифрования, Kaspersky Endpoint Security шифрует файл сразу же при открытии файла.
• Kaspersky Endpoint Security откладывает шифрование открытых файлов до тех пор, пока они не будут закрыты.
• Если вы переносите зашифрованный файл в другую папку на локальном диске, файл остается зашифрованным, независимо от того, включена ли эта папка в правило шифрования.
• Если вы расшифровали файл и скопировали файл в другую папку на локальном диске, которая не включена в правило расшифровки, копия файла может быть зашифрована. Для исключения шифрования копии файла, создайте для целевой папки правило расшифровки.

Формирование правил доступа приложений к зашифрованным файлам

Чтобы сформировать правила доступа приложений к зашифрованным файлам, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Шифрование данных → Шифрование файлов.
6. В раскрывающемся списке Режим шифрования выберите элемент Согласно правилам.

   Правила доступа действуют только в режиме Согласно правилам. Если после применения правил доступа в режиме Согласно правилам вы перейдете в режим Оставлять без изменений, то Kaspersky Endpoint Security будет игнорировать все правила доступа. Все приложения будут иметь доступ ко всем зашифрованным файлам.

7. В правой части окна выберите закладку Правила для приложений.
8. Если вы хотите выбрать приложения исключительно из списка Kaspersky Security Center, нажмите на кнопку Добавить и в раскрывающемся списке выберите элемент Приложения из списка Kaspersky Security Center.
   1. Задайте фильтры для вывода списка приложений в таблице. Для этого укажите значения параметров Приложение, Производитель, Период добавления, а также флажков из блока Группа.
   2. Нажмите на кнопку Обновить.
   3. В таблице отобразится список приложений, удовлетворяющих заданным фильтрам.
   4. В графе Приложение установите флажки напротив тех приложений в таблице, для которых вы хотите сформировать правила доступа к зашифрованным файлам.
   5. В раскрывающемся списке Правило для приложений выберите правило, которое будет определять доступ приложений к зашифрованным файлам.
   6. В раскрывающемся списке Действие для приложений, выбранных ранее выберите действие, которое выполняет Kaspersky Endpoint Security над правилами доступа к зашифрованным файлам, сформированными для указанных выше приложений ранее.

   Информация о правиле доступа приложений к зашифрованным файлам отобразится в таблице на закладке Правила для приложений.

9. Если вы хотите выбрать приложения вручную, нажмите на кнопку Добавить и в раскрывающемся списке выберите элемент Приложения вручную.
   1. В поле ввода введите имя или список имен исполняемых файлов приложений с их расширениями.

      Вы можете также добавить имена исполняемых файлов приложений из списка Kaspersky Security Center, нажав на кнопку Добавить из списка Kaspersky Security Center.

   2. Если требуется, в поле Описание введите описание списка приложений.
   3. В раскрывающемся списке Правило для приложений выберите правило, которое будет определять доступ приложений к зашифрованным файлам.

   Информация о правиле доступа приложений к зашифрованным файлам отобразится в таблице на закладке Правила для приложений.

10. Сохраните внесенные изменения.

Шифрование файлов, создаваемых и изменяемых отдельными приложениями

Вы можете создать правило, согласно которому Kaspersky Endpoint Security будет шифровать все файлы, создаваемые и изменяемые указанными в правиле приложениями.

Файлы, созданные или измененные указанными приложениями до применения правила шифрования, не будут зашифрованы.

Чтобы настроить шифрование файлов, создаваемых и изменяемых отдельными приложениями, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Шифрование данных → Шифрование файлов.
6. В раскрывающемся списке Режим шифрования выберите элемент Согласно правилам.

   Правила шифрования действуют только в режиме Согласно правилам. Если после применения правил шифрования в режиме Согласно правилам вы перейдете в режим Оставлять без изменений, то Kaspersky Endpoint Security будет игнорировать все правила шифрования. Файлы, которые были зашифрованы ранее, по-прежнему останутся зашифрованными.

7. В правой части окна выберите закладку Правила для приложений.
8. Если вы хотите выбрать приложения исключительно из списка Kaspersky Security Center, нажмите на кнопку Добавить и в раскрывающемся списке выберите элемент Приложения из списка Kaspersky Security Center.
   1. Задайте фильтры для вывода списка приложений в таблице. Для этого укажите значения параметров Приложение, Производитель, Период добавления, а также флажков из блока Группа.
   2. Нажмите на кнопку Обновить.

      В таблице отобразится список приложений, удовлетворяющих заданным фильтрам.

   3. В графе Приложение установите флажки напротив тех приложений в таблице, создаваемые файлы которых вы хотите шифровать.
   4. В раскрывающемся списке Правило для приложений выберите элемент Шифровать все создаваемые файлы.
   5. В раскрывающемся списке Действие для приложений, выбранных ранее выберите действие, которое выполняет Kaspersky Endpoint Security над правилами шифрования файлов, сформированными для указанных выше приложений ранее.

   Информация о правиле шифрования файлов, создаваемых и изменяемых выбранными приложениями, отобразится в таблице на закладке Правила для приложений.

9. Если вы хотите выбрать приложения вручную, нажмите на кнопку Добавить и в раскрывающемся списке выберите элемент Приложения вручную.
   1. В поле ввода введите имя или список имен исполняемых файлов приложений с их расширениями.

      Вы можете также добавить имена исполняемых файлов приложений из списка Kaspersky Security Center, нажав на кнопку Добавить из списка Kaspersky Security Center.

   2. Если требуется, в поле Описание введите описание списка приложений.
   3. В раскрывающемся списке Правило для приложений выберите элемент Шифровать все создаваемые файлы.

   Информация о правиле шифрования файлов, создаваемых и изменяемых выбранными приложениями, отобразится в таблице на закладке Правила для приложений.

10. Сохраните внесенные изменения.

Формирование правила расшифровки

Чтобы сформировать правило расшифровки, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Шифрование данных → Шифрование файлов.
6. В раскрывающемся списке Режим шифрования выберите элемент Согласно правилам.
7. На закладке Расшифровка нажмите на кнопку Добавить и в раскрывающемся списке выберите один из следующих элементов:
   1. Выберите элемент Стандартные папки, чтобы добавить в правило расшифровки файлы из папок локальных профилей пользователей, предложенных специалистами "Лаборатории Касперского".
   2. Выберите элемент Папку вручную, чтобы добавить в правило расшифровки папку, путь к которой введен вручную.
   3. Выберите элемент Файлы по расширению, чтобы добавить в правило расшифровки отдельные расширения файлов. Kaspersky Endpoint Security не шифрует файлы с указанными расширениями на всех локальных дисках компьютера.
   4. Выберите элемент Файлы по группам расширений, чтобы добавить в правило расшифровки группы расширений файлов (например, группа Документы Microsoft Office). Kaspersky Endpoint Security не шифрует файлы с расширениями, перечисленными в группах расширений, на всех локальных дисках компьютера.
8. Сохраните внесенные изменения.

Если один и тот же файл добавлен и в правило шифрования, и в правило расшифровки, то Kaspersky Endpoint Security не шифрует этот файл, если он не зашифрован, и расшифровывает, если он зашифрован.

Расшифровка файлов на локальных дисках компьютера

Чтобы расшифровать файлы на локальных дисках компьютера, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Шифрование данных → Шифрование файлов.
6. В правой части окна выберите закладку Шифрование.
7. Исключите из списка для шифрования файлы и папки, которые вы хотите расшифровать. Для этого в списке выберите файлы и в контекстном меню кнопки Удалить выберите пункт Удалить правило и расшифровать файлы.

   Удаленные из списка для шифрования файлы и папки автоматически добавляются в список для расшифровки.

8. Сформируйте список файлов для расшифровки.
9. Сохраните внесенные изменения.

Сразу после применения политики Kaspersky Endpoint Security расшифровывает зашифрованные файлы, добавленные в список для расшифровки.

Kaspersky Endpoint Security расшифровывает зашифрованные файлы, если их параметры (путь к файлу / название файла / расширение файла) изменяются и начинают удовлетворять параметрам объектов, добавленных в список для расшифровки.

Kaspersky Endpoint Security откладывает расшифровку открытых файлов до тех пор, пока они не будут закрыты.

Создание зашифрованных архивов

Для защиты данных при передаче файлов пользователям вне корпоративной сети вы можете использовать зашифрованные архивы. Зашифрованные архивы удобно использовать для передачи файлов большого размера с помощью съемных дисков, так как почтовые клиенты имеют ограничения по размеру файла.

Перед созданием зашифрованных архивов Kaspersky Endpoint Security запросит у пользователя пароль. Для обеспечения надежной защиты данных вы можете включить проверку сложности паролей и выбрать критерии сложности. Таким образом, пользователю будет запрещено использовать короткие и простые пароли, например, 1234.

Как включить проверку сложности пароля при создании зашифрованных архивов в Консоли администрирования (MMC)

Как включить проверку сложности пароля при создании зашифрованных архивов в Web Console

Вы можете создавать зашифрованные архивы на компьютерах с установленным приложением Kaspersky Endpoint Security с функцией шифрования файлов.

При добавлении в зашифрованный архив файла, содержимое которого расположено в облачном хранилище OneDrive, Kaspersky Endpoint Security загружает содержимое этого файла и осуществляет шифрование.

Чтобы создать зашифрованный архив, выполните следующие действия:

1. В любом файловом менеджере выделите файлы или папки, которые вы хотите добавить в зашифрованный архив. По правой клавише мыши откройте их контекстное меню.
2. Выберите пункт Создать зашифрованный архив в контекстном меню (см. рис. ниже).
3. В открывшемся окне выберите место для сохранения зашифрованного архива на съемном диске, задайте имя и нажмите на кнопку Сохранить.
4. В открывшемся окне задайте пароль и повторите его.

   Пароль должен соответствовать критериям сложности, заданным в политике.

5. Нажмите на кнопку Создать.

Запустится процесс создания зашифрованного архива. В процессе создания зашифрованного архива Kaspersky Endpoint Security не выполняет сжатие файлов. По завершении процесса в указанном месте на диске будет создан самораспаковывающийся защищенный паролем зашифрованный архив (исполняемый файл с расширением exe) – .

Создание зашифрованного архива

Для получения доступа к файлам в зашифрованном архиве нужно запустить мастер распаковки архива двойным щелчком мыши и ввести пароль. Если вы забыли пароль, восстановить доступ к файлам в зашифрованном архиве невозможно. Вы можете создать зашифрованный архив повторно.

Восстановление доступа к зашифрованным файлам

При шифровании файлов Kaspersky Endpoint Security получает ключ шифрования, необходимый для прямого доступа к зашифрованным файлам. С помощью ключа шифрования пользователь, работающий под любой из учетных записей Windows, которая была активной во время шифрования файлов, может получать прямой доступ к зашифрованным файлам. Пользователям, работающим под учетными записями Windows, которые были неактивны во время шифрования файлов, требуется связь с Kaspersky Security Center для доступа к зашифрованным файлам.

Зашифрованные файлы могут быть недоступны в следующих случаях:

• На компьютере пользователя присутствуют ключи шифрования, но нет связи с Kaspersky Security Center для работы с ними. В этом случае пользователю требуется запросить доступ к зашифрованным файлам у администратора локальной сети организации.

  При отсутствии связи с Kaspersky Security Center требуется:

  • для доступа к зашифрованным файлам на жестких дисках компьютера запросить один ключ доступа;
  • для доступа к зашифрованным файлам на съемных дисках запросить ключ доступа к зашифрованным файлам для каждого съемного диска.
• С компьютера пользователя удалены компоненты шифрования. В этом случае пользователь может открыть зашифрованные файлы на локальных дисках и съемных дисках, но содержимое файлов отображается как зашифрованное.

  Пользователь может работать с зашифрованными файлами при следующих условиях:

  • Файлы помещены в зашифрованные архивы, созданные на компьютере с установленным приложением Kaspersky Endpoint Security.
  • Файлы хранятся на съемных дисках, для которых разрешена работа в портативном режиме.

Для получения доступ к зашифрованным файлам пользователю нужно запустить процедуру восстановления ("Запрос - Ответ").

Восстановление доступ к зашифрованным файлам состоит из следующих этапов:

1. Пользователь отправляет администратору файл запроса (см. рис. ниже).
2. Администратор добавляет файл запроса в Kaspersky Security Center, создает файл ключа доступа и отправляет файл пользователю.
3. Пользователь добавляет файл ключа доступа в Kaspersky Endpoint Security и получает доступ к файлам.

   

   Восстановление доступа к зашифрованным файлам

Для запуска процедуры восстановления пользователю нужно обратиться к файлу. В результате Kaspersky Endpoint Security создаст файл запроса (файл с расширением kesdc), который пользователю нужно передать администратору, например, по электронной почте.

Kaspersky Endpoint Security формирует файл запроса доступа ко всем зашифрованным файлам, хранящимся на диске компьютера (локальном диске или съемном диске).

Как получить файл ключа доступа к зашифрованным данным в Консоли администрирования (MMC)

Как получить файл ключа доступа к зашифрованным данным в Web Console

После получения файла ключа доступа к зашифрованным данным пользователю нужно запустить файл двойным щелчком мыши. В результате Kaspersky Endpoint Security предоставит доступ ко всем зашифрованным файлам, хранящимся диске. Для получения доступа к зашифрованным файлам, хранящимся на других дисках, требуется получить отдельные ключи доступа для этих дисков.

Восстановление доступа к зашифрованным данным в случае выхода из строя операционной системы

Восстановление доступа к данным в случае выхода из строя операционной системы доступно только при шифровании файлов (FLE). Восстановить доступ к данным при полнодисковом шифровании (FDE) невозможно.

Чтобы восстановить доступ к зашифрованным данным в случае выхода из строя операционной системы, выполните следующие действия:

1. Переустановите операционную систему, не форматируя жесткий диск.
2. Установите Kaspersky Endpoint Security.
3. Установите связь между компьютером и Сервером администрирования Kaspersky Security Center, под управлением которого находился компьютер во время шифрования данных.

Доступ к зашифрованным данным будет предоставлен на тех же условиях, которые действовали до выхода операционной системы из строя.

Изменение шаблонов сообщений для получения доступа к зашифрованным файлам

Чтобы изменить шаблоны сообщений для получения доступа к зашифрованным файлам, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Шифрование данных → Общие настройки шифрования.
6. В блоке Шаблоны нажмите на кнопку Шаблоны.
7. В открывшемся окне выполните следующие действия:
   • Если вы хотите изменить шаблон сообщения пользователя, выберите закладку Сообщение пользователя. Когда пользователь обращается к зашифрованному файлу при отсутствии на компьютере ключа доступа к зашифрованным файлам, открывается окно Доступ к данным запрещен. При нажатии на кнопку Отправить по электронной почте окна Доступ к данным запрещен автоматически формируется сообщение пользователя. Это сообщение отправляется администратору локальной сети организации вместе с файлом запроса доступа к зашифрованным файлам.
   • Если вы хотите изменить шаблон сообщения администратора, выберите закладку Сообщение администратора. Это сообщение автоматически формируется при нажатии на кнопку Отправить по электронной почте окна Запрос доступа к зашифрованным файлам и приходит к пользователю после предоставления ему доступа к зашифрованным файлам.
8. Измените шаблоны сообщений.
9. Сохраните внесенные изменения.