完整磁盘加密

您可以选择加密技术:卡巴斯基磁盘加密 或 BitLocker 驱动器加密(以下简称“BitLocker”)。

卡巴斯基磁盘加密

加密系统硬盘驱动器后,在下次计算机启动时,用户能够访问硬盘驱动器并且操作系统加载前,用户必须通过身份验证代理的身份验证。这需要输入连接至计算机的令牌或智能卡的密码,或者本地局域网管理员使用管理身份验证代理账户任务创建的身份验证代理账户的用户名或密码。这些账户以用户登录操作系统的 Microsoft Windows 账户为基础。这些帐户以用户登录操作系统的 Microsoft Windows 帐户为基础。您还可以使用单点登录 (SSO) 技术,该技术允许您使用身份验证代理账户的用户名和密码自动登录到操作系统。

可以通过两种方式在身份验证代理中执行用户身份验证:

BitLocker 驱动器加密

BitLocker 是 Windows 操作系统内置的加密技术。Kaspersky Endpoint Security 允许您使用 Kaspersky Security Center 控制和管理 Bitlocker。BitLocker 可对逻辑卷进行加密。BitLocker 不能用于可移动驱动器的加密。有关 BitLocker 的详细信息,请参阅 Microsoft 文档

BitLocker 使用受信任平台模块提供对访问密钥的安全存储。受信任平台模块 (TPM) 是一个与安全相关的提供基本功能的微芯片(例如用于存储加密密钥)。受信任平台模块通常安装在计算机主板上,并通过硬件总线与其他所有系统组件进行交互。使用 TPM 是存储 BitLocker 访问密钥的最安全方式,因为 TPM 提供了启动前系统完整性验证。您仍然可以在没有 TPM 的计算机上对驱动器进行加密。在这种情况下,将使用密码对访问密钥进行加密。BitLocker 使用以下身份验证方式:

在对驱动器进行加密后,BitLocker 会创建一个主密钥。Kaspersky Endpoint Security 会将主密钥发送到 Kaspersky Security Center,以便您可以恢复对磁盘的访问,例如,如果用户忘记了密码。

如果用户使用 BitLocker 对磁盘进行加密,Kaspersky Endpoint Security 会将有关磁盘加密的信息发送到 Kaspersky Security Center。但是,Kaspersky Endpoint Security 不会将主密钥发送到 Kaspersky Security Center,因此将无法使用 Kaspersky Security Center 恢复对磁盘的访问。为使 BitLocker 与 Kaspersky Security Center 正常协同工作,请解密驱动器,然后使用策略重新对该驱动器进行加密。您可以在本地解密驱动器,也可以使用策略解密驱动器。

对系统硬盘驱动器进行加密后,用户需要通过 BitLocker 身份验证才能启动操作系统。经过身份验证程序后,BitLocker 将允许用户登录。BitLocker 不支持单点登录技术 (SSO)。

如果正在使用 Windows 组策略,请在策略设置中关闭 BitLocker 管理。Windows 策略设置可能与 Kaspersky Endpoint Security 策略设置冲突。在对驱动器进行加密时,可能会发生错误。

卡巴斯基磁盘加密组件设置

参数

描述

加密模式

加密所有硬盘驱动器”。如果选定了该项,应用策略后,应用程序将加密所有硬盘驱动器。

如果计算机安装了多个操作系统,在加密后,您将能够只加载安装了应用程序的操作系统。

解密所有硬盘驱动器”。如果选定了该项,应用策略后,应用程序将解密所有先前加密的硬盘驱动器。

保留不变”。如果选定了该项,应用策略后,应用程序将保留硬盘驱动器不动。如果驱动器已加密,则其仍加密。如果驱动器已解密,则其仍解密。默认情况下已选定此项。

在加密过程中,为 Windows 用户自动创建身份验证代理账户

如果该复选框被选中,应用程序基于计算机上的 Windows 用户账户创建身份验证代理账户。默认情况下,Kaspersky Endpoint Security 使用在过去 30 天内登录到操作系统的用户所使用的所有本地账户和域账户。

身份验证代理账户创建设置

计算机上的所有账户”。计算机上曾经处于活动状态的所有账户。

计算机上的所有域账户”。计算机上属于某个域且曾经处于活动状态的所有账户。

计算机上的所有本地账户”。计算机上曾经处于活动状态的所有本地账户。

使用一次性密码的服务账户”。服务账户是访问计算机所必需的,例如,当用户忘记密码时。您还可以将服务账户用作备用账户。您必须输入账户名称(默认是 ServiceAccount)。Kaspersky Endpoint Security 自动创建密码。您可以在 Kaspersky Security Center 控制台查找密码。

本地管理员”。Kaspersky Endpoint Security 为计算机的本地管理员创建身份验证代理用户账户。

计算机管理者”。Kaspersky Endpoint Security 为计算机的管理者账户创建身份验证代理用户账户。您可以在 Active Directory 的计算机属性中查看哪些账户具有计算机管理者角色。默认情况下,计算机管理者角色未定义,即不对应于任何账户。

活动账户”。Kaspersky Endpoint Security 为在磁盘加密过程中活动的账户自动创建身份验证代理账户。

登录时为该计算机的所有用户自动创建身份验证代理账户

如果该复选框被选中,应用程序在启动身份验证代理之前检查计算机上的 Windows 用户账户信息。如果 Kaspersky Endpoint Security 检测到有 Windows 用户账户没有身份验证代理账户,应用程序将创建新账户以访问加密驱动器。新身份验证代理账户将具有以下默认设置:仅密码保护的登录、第一次身份验证时的密码更改。因此,您不需要使用管理身份验证代理账户任务对存在已加密驱动器的计算机手动添加身份验证代理账户

保存在身份验证代理中输入的用户名

如果选中该复选框,应用程序将保存身份验证代理账户的名称。下次使用同一账户在身份验证代理中尝试完成认证时不会被提示输入账户名。

仅加密使用的磁盘空间(减少加密时间)

该复选框可启用/禁用将加密区域仅限为已用硬盘驱动器扇区的选项。该限制可减少加密时间。

加密开始后启用或禁用仅加密使用的磁盘空间(Windows 8 和后续版本)功能在硬盘驱动器被加密之前并不修改该设置。开始加密之前您必须选择或清除该复选框。

如果选定该复选框,则仅加密使用的硬盘驱动器部分。Kaspersky Endpoint Security 将自动加密添加的新数据。

如果清空该复选框,整个硬盘驱动器将被加密,包括先前删除和修改文件残留的碎片。

推荐对尚未修改或删除数据的新硬盘驱动器使用该选项。如果对已在使用中的硬盘驱动器应用加密,则推荐加密整个硬盘驱动器。这样可确保保护所有数据,甚至已删除的数据也能够部分恢复。

默认情况下已清空该复选框。

使用 Legacy USB Support (不推荐)

此复选框可启用/禁用 Legacy USB Support 功能。Legacy USB Support 一种 BIOS/UEFI 功能,允许您在启动操作系统(BIOS 模式)之前,在计算机的引导阶段使用 USB 设备(例如安全令牌)。Legacy USB Support 不会影响操作系统启动后对 USB 设备的支持。

如果选中该复选框,在计算机初始启动期间对 USB 设备的支持将启用。

启用 Legacy USB Support 功能时,BIOS 模式下的身份验证代理不支持通过 USB 使用令牌。推荐仅当存在硬件兼容性问题时并仅对发生问题的计算机使用此选项。

密码设置

身份验证代理账户密码强度设置。使用单点登录技术时,身份验证代理将忽略 Kaspersky Security Center 中指定的密码强度要求。您可以在操作系统设置中设置密码强度要求。

使用单点登录 (SSO) 技术

SSO 技术允许使用同一个账户凭证访问加密硬盘驱动器并登录操作系统。

如果选中该复选框,您必须输入用于访问加密硬盘驱动器以及随后自动登录操作系统的帐户凭证。

如果清除该复选框,要访问加密硬盘驱动器并随后登录操作系统,您必须分别输入用于访问加密硬盘驱动器的凭证和操作系统用户帐户凭证。

包装第三方凭证提供者

Kaspersky Endpoint Security 支持第三方凭证提供程序 ADSelfService Plus。

使用第三方凭证提供程序时,身份验证代理会在加载操作系统之前拦截密码。这意味着用户在登录 Windows 时只需输入一次密码。例如,在登录到 Windows 之后,用户可以利用第三方凭证提供程序的功能在公司服务中进行身份验证。第三方凭证提供程序还允许用户独立重置自己的密码。在这种情况下,Kaspersky Endpoint Security 将自动更新身份验证代理的密码。

如果您使用的是应用程序不支持的第三方凭证提供程序,则在单点登录技术操作中可能会遇到一些限制。

帮助文本

身份验证”。输入账户凭据时,“身份验证代理”窗口中显示的帮助文本。

更改密码”。更改身份验证代理账户的密码时,“身份验证代理”窗口中显示的帮助文本。

恢复密码”。恢复身份验证代理账户的密码时,“身份验证代理”窗口中显示的帮助文本。

BitLocker 驱动器加密组件设置

参数

描述

加密模式

加密所有硬盘驱动器”。如果选定了该项,应用策略后,应用程序将加密所有硬盘驱动器。

如果计算机安装了多个操作系统,在加密后,您将能够只加载安装了应用程序的操作系统。

解密所有硬盘驱动器”。如果选定了该项,应用策略后,应用程序将解密所有先前加密的硬盘驱动器。

保留不变”。如果选定了该项,应用策略后,应用程序将保留硬盘驱动器不动。如果驱动器已加密,则其仍加密。如果驱动器已解密,则其仍解密。默认情况下已选定此项。

启用需要在平板电脑上预启动键盘输入的 BitLocker 身份验证

该复选框启用/禁用在预启动环境中使用需要数据输入的身份验证,即使该平台没有能力进行预启动输入(例如使用平板电脑上的触摸屏键盘)。

平板电脑的触摸屏在预启动环境中不可用。例如,要在平板电脑上完成 BitLocker 身份验证,用户必须连接 USB 键盘。

如果选定该复选框,则允许使用需要预启动输入的身份验证。推荐在预启动环境中仅对拥有备用数据输入的设备(例如除了触摸屏键盘之外的 USB 键盘)使用该设置。

如果清除此复选框,则无法在平板电脑上使用 BitLocker 驱动器加密。

使用硬件加密(Windows 8 和后续版本)

如果选定该复选框,则应用程序将应用硬件加密。这可以提高加密速度并使用较少的计算机资源。

仅加密使用的磁盘空间(Windows 8 和后续版本)

该复选框可启用/禁用将加密区域仅限为已用硬盘驱动器扇区的选项。该限制可减少加密时间。

加密开始后启用或禁用仅加密使用的磁盘空间(Windows 8 和后续版本)功能在硬盘驱动器被加密之前并不修改该设置。开始加密之前您必须选择或清除该复选框。

如果选定该复选框,则仅加密使用的硬盘驱动器部分。Kaspersky Endpoint Security 将自动加密添加的新数据。

如果清空该复选框,整个硬盘驱动器将被加密,包括先前删除和修改文件残留的碎片。

推荐对尚未修改或删除数据的新硬盘驱动器使用该选项。如果对已在使用中的硬盘驱动器应用加密,则推荐加密整个硬盘驱动器。这样可确保保护所有数据,甚至已删除的数据也能够部分恢复。

默认情况下已清空该复选框。

身份验证设置

使用密码(OS Windows 8 和后续版本)

如果选定该选项,Kaspersky Endpoint Security 将在用户尝试访问加密磁盘时提示用户输入密码。

没有使用受信任平台模块 (TPM) 时可以选择该选项。

使用受信任平台模块 (TPM)

如果选定该复选框,则 BitLocker 使用受信任平台模块 (TPM)。

受信任平台模块 (TPM) 是一个与安全相关的提供基本功能的微芯片(例如用于存储加密密钥)。受信任平台模块通常安装在计算机主板上并且通过硬件总线与其他所有系统组件进行互动。

对于运行 Windows 7 或 Windows Server 2008 R2 的计算机,只能使用 TPM 模块进行加密。如果未安装 TPM 模块,则无法进行 BitLocker 加密。不支持在这些计算机上使用密码。

配有受信任平台模块的设备可以创建只能使用该设备解密的加密密钥。受信任平台模块将使用其自有的根存储密钥加密加密密钥。根存储密钥存储在受信任平台模块中。这提供了防御黑客攻击加密密钥的附加保护。

默认情况下已选择此操作。

您可以为访问加密密钥设置额外的保护层,并使用密码或 PIN 加密密钥:

  • 为 TPM 使用 PIN”。如果选中该复选框,用户可以使用 PIN 码获得对存储在受信任平台模块 (TPM) 中的加密密钥的访问权限。

    如果清除此复选框,则禁止用户使用 PIN 码。要访问加密密钥,用户必须输入密码。

    您可以允许用户使用增强 PIN。增强 PIN 允许使用数字字符以外的其他字符:大写和小写拉丁字母、特殊字符和空格。

  • 使用受信任平台模块 (TPM);如果不可用则使用密码”。如果选定该复选框,当受信任平台模块 (TPM) 不可用时,用户可使用密码访问加密密钥。

如果清除该复选框且 TPM 不可用,则将不会启动完整磁盘加密。

另请参阅:关于通过 Kaspersky Security Center 管理控制台管理应用程序

启动卡巴斯基磁盘加密

启动 BitLocker 驱动器加密

创建硬盘驱动器加密排除列表

硬盘驱动器解密

更新操作系统

消除加密功能更新的错误

页面顶部