在开始完整磁盘加密之前,建议您确保计算机未受到感染。若要执行操作,应启动全盘扫描或关键区域扫描任务。在已被 rootkit 感染的计算机上执行完整磁盘加密可能导致计算机无法运行。
在您启动磁盘加密之前,您必须检查身份验证代理账户的设置。使用采用卡巴斯基磁盘加密 (FDE) 技术保护的驱动器时,需要身份验证代理。加载操作系统之前,用户需要使用代理完成身份验证。Kaspersky Endpoint Security 允许您在加密驱动器之前自动创建身份验证代理账户。您可以在“完整磁盘加密”策略设置中启用自动创建身份验证代理账户(参加以下说明)。您还可以使用单点登录 (SSO) 技术。
Kaspersky Endpoint Security 允许您为以下用户组自动创建身份验证代理账户:
ServiceAccount)。Kaspersky Endpoint Security 自动创建密码。您可以在 Kaspersky Security Center 控制台查找密码。“管理身份验证代理账户”任务设计用于配置用户身份验证设置。您可以使用此任务添加新账户,修改当前账户的设置,或者在必要时删除账户。对于单台计算机可以使用本地任务,对于单独管理组中的计算机或一组选定计算机,可以使用组任务。
如何通过 Web Console 和云控制台运行卡巴斯基磁盘加密
您可以使用加密监控器工具控制用户计算机上的磁盘加密或解密过程。您可以从主应用程序窗口运行加密监控器工具。
如果系统硬盘驱动器被加密,则身份验证代理在操作系统启动之前加载。使用身份验证代理完成身份验证以便访问加密的系统硬盘驱动器并加载操作系统。在成功完成身份验证过程后,操作系统将加载。身份验证过程将在每次操作系统重新启动时重新开始。
卡巴斯基磁盘加密组件设置
参数 |
描述 |
|---|---|
为以下用户自动创建身份验证代理账户用户加密过程中 |
如果该复选框被选中,应用程序基于计算机上的 Windows 用户账户创建身份验证代理账户。默认情况下,Kaspersky Endpoint Security 使用在过去 30 天内登录到操作系统的用户所使用的所有本地账户和域账户。 |
登录时为该计算机的所有用户自动创建身份验证代理账户 |
如果该复选框被选中,应用程序在启动身份验证代理之前检查计算机上的 Windows 用户账户信息。如果 Kaspersky Endpoint Security 检测到有 Windows 用户账户没有身份验证代理账户,应用程序将创建新账户以访问加密驱动器。新身份验证代理账户将具有以下默认设置:仅密码保护的登录、第一次身份验证时的密码更改。因此,您不需要使用管理身份验证代理账户任务对存在已加密驱动器的计算机手动添加身份验证代理账户。 |
保存在身份验证代理中输入的用户名 |
如果选中该复选框,应用程序将保存身份验证代理账户的名称。下次使用同一账户在身份验证代理中尝试完成认证时不会被提示输入账户名。 |
仅加密使用的磁盘空间(减少加密时间) |
该复选框可启用/禁用将加密区域仅限为已用硬盘驱动器扇区的选项。该限制可减少加密时间。 加密开始后启用或禁用仅加密使用的磁盘空间(Windows 8 和后续版本)功能在硬盘驱动器被加密之前并不修改该设置。开始加密之前您必须选择或清除该复选框。 如果选定该复选框,则仅加密使用的硬盘驱动器部分。Kaspersky Endpoint Security 将自动加密添加的新数据。 如果清空该复选框,整个硬盘驱动器将被加密,包括先前删除和修改文件残留的碎片。 推荐对尚未修改或删除数据的新硬盘驱动器使用该选项。如果对已在使用中的硬盘驱动器应用加密,则推荐加密整个硬盘驱动器。这样可确保保护所有数据,甚至已删除的数据也能够部分恢复。 默认情况下已清空该复选框。 |
使用 Legacy USB Support (不推荐) |
此复选框可启用/禁用 Legacy USB Support 功能。Legacy USB Support 是一种 BIOS/UEFI 功能,允许您在启动操作系统(BIOS 模式)之前,在计算机的引导阶段使用 USB 设备(例如安全令牌)。Legacy USB Support 不会影响操作系统启动后对 USB 设备的支持。 如果选中该复选框,在计算机初始启动期间对 USB 设备的支持将启用。 启用 Legacy USB Support 功能时,BIOS 模式下的身份验证代理不支持通过 USB 使用令牌。推荐仅当存在硬件兼容性问题时并仅对发生问题的计算机使用此选项。 |