启动可移动驱动器加密

您可以使用策略来解密可移动驱动器。将为特定管理组生成具有已定义的可移动驱动器加密设置的策略。因此,可移动驱动器上的数据解密结果取决于其所连接的计算机。

Kaspersky Endpoint Security 支持 FAT32 和 NTFS 文件系统的加密。如果将具有不支持的文件系统的可移动驱动器连接到计算机,可移动驱动器的加密将以出错结束,并且 Kaspersky Endpoint Security 会为该可移动驱动器分配只读访问权限。

若要加密可移动驱动器,请执行以下操作:

  1. 打开 Kaspersky Security Center Administration Console。
  2. 在管理控制台树的“受管理设备”文件夹中,打开相关客户端计算机所属的管理组名称的文件夹。
  3. 在工作区中选择“策略”选项卡。
  4. 选择必要的策略并双击以打开策略属性。
  5. 在策略窗口中,选择 数据加密可移动驱动器加密
  6. 在“加密模式”下拉列表中,选择您希望 Kaspersky Endpoint Security 对可移动驱动器执行的默认操作:
    • 加密整个可移动驱动器 (FDE)。Kaspersky Endpoint Security 逐个扇区加密可移动驱动器的内容。因此,应用程序不仅会加密可移动驱动器中存储的文件,还会加密其文件系统,包括可移动驱动器上的文件名和文件夹结构。
    • 加密所有文件 (FLE)。Kaspersky Endpoint Security 会加密可移动驱动器中存储的所有文件。应用程序不会加密可移动驱动器的文件系统,包括文件名和文件夹结构。
    • 仅加密新文件 (FLE)。Kaspersky Endpoint Security 只加密已添加到可移动驱动器的文件或者存储在可移动驱动器中并且在上次应用 Kaspersky Security Center 策略后已修改的文件。

    Kaspersky Endpoint Security 不会对已经加密的可移动驱动器进行加密。

  7. 如果要使用便携模式对可移动驱动器进行加密,请选中“便携模式”复选框。

    便携模式是可移动驱动器上的文件加密 (FLE) 模式,它提供了访问公司网络外部数据的能力。便携模式还允许您在未安装 Kaspersky Endpoint Security 的计算机上使用加密数据。

  8. 如果要加密新的可移动驱动器,建议选中“仅加密使用的磁盘空间”复选框。如果清除该复选框,Kaspersky Endpoint Security 将加密所有文件,包括已删除或已修改文件的残留片段。
  9. 如果要配置对单个可移动驱动器的加密,请定义加密规则
  10. 如果要在离线模式下使用可移动驱动器的完整磁盘加密,请选择中“允许在离线模式下加密可移动驱动器”复选框。

    离线加密模式是指未连接 Kaspersky Security Center 时加密可移动驱动器 (FDE)。在加密过程中,Kaspersky Endpoint Security 只将主密钥保存在用户的计算机上。Kaspersky Endpoint Security 将在下次同步期间将主密钥发送到 Kaspersky Security Center。

    如果保存主密钥的计算机损坏,并且数据未发送到 Kaspersky Security Center,则无法访问可移动驱动器。

    如果清除“允许在离线模式下加密可移动驱动器”复选框,并且未连接到 Kaspersky Security Center,则无法进行可移动驱动器加密。

  11. 保存更改。

应用策略后,当用户连接可移动驱动器或可移动驱动器已连接时,Kaspersky Endpoint Security 会提示用户确认执行加密操作(请参见下图)。

应用程序允许您执行以下操作:

如果在数据加密期间,用户安全移除可移动驱动器,Kaspersky Endpoint Security 将会在加密过程完成前中断数据加密过程,允许移除可移动驱动器。下次将可移动驱动器连接到此计算机时,将继续数据加密。

如果对可移动驱动器的加密失败,请在 Kaspersky Endpoint Security 界面中查看“数据加密”报告。对文件的访问可能被其他应用程序阻止。在这种情况下,请尝试从计算机上拔下可移动驱动器,然后重新连接。

可移动驱动器加密请求

页面顶部