BitLocker 是 Windows 操作系统内置的加密技术。Kaspersky Endpoint Security 允许您使用 Kaspersky Security Center 控制和管理 Bitlocker。BitLocker 可对逻辑卷进行加密。BitLocker 不能用于可移动驱动器的加密。有关 BitLocker 的详细信息,请参阅 Microsoft 文档。
BitLocker 使用受信任平台模块提供对访问密钥的安全存储。受信任平台模块 (TPM) 是一个与安全相关的提供基本功能的微芯片(例如用于存储加密密钥)。受信任平台模块通常安装在计算机主板上,并通过硬件总线与其他所有系统组件进行交互。使用 TPM 是存储 BitLocker 访问密钥的最安全方式,因为 TPM 提供了启动前系统完整性验证。您仍然可以在没有 TPM 的计算机上对驱动器进行加密。在这种情况下,将使用密码对访问密钥进行加密。BitLocker 使用以下身份验证方式:
在对驱动器进行加密后,BitLocker 会创建一个主密钥。Kaspersky Endpoint Security 会将主密钥发送到 Kaspersky Security Center,以便您可以恢复对磁盘的访问,例如,如果用户忘记了密码。
如果用户使用 BitLocker 对磁盘进行加密,Kaspersky Endpoint Security 会将有关磁盘加密的信息发送到 Kaspersky Security Center。但是,Kaspersky Endpoint Security 不会将主密钥发送到 Kaspersky Security Center,因此将无法使用 Kaspersky Security Center 恢复对磁盘的访问。为使 BitLocker 与 Kaspersky Security Center 正常协同工作,请解密驱动器,然后使用策略重新对该驱动器进行加密。您可以在本地解密驱动器,也可以使用策略解密驱动器。
对系统硬盘驱动器进行加密后,用户需要通过 BitLocker 身份验证才能启动操作系统。经过身份验证程序后,BitLocker 将允许用户登录。BitLocker 不支持单点登录技术 (SSO)。
如果正在使用 Windows 组策略,请在策略设置中关闭 BitLocker 管理。Windows 策略设置可能与 Kaspersky Endpoint Security 策略设置冲突。在对驱动器进行加密时,可能会发生错误。