È possibile selezionare una tecnologia di criptaggio: Criptaggio disco Kaspersky o Crittografia unità BitLocker (di seguito denominato semplicemente "BitLocker").
Criptaggio disco Kaspersky
Una volta criptati i dischi rigidi di sistema, al successivo avvio del computer l'utente deve eseguire l'autenticazione utilizzando l'Agente di Autenticazione prima di poter accedere ai dischi rigidi e caricare il sistema operativo. Questo richiede l'immissione della password del token o della smart card connessa al computer oppure il nome utente e la password dell'account per l'Agente di Autenticazione creato dall'amministratore della rete locale tramite l'attività di gestione dell'account dell'Agente di Autenticazione. Questi account sono basati sugli account di Microsoft Windows con cui gli utenti eseguono l'accesso al sistema operativo. È inoltre possibile utilizzare la tecnologia SSO (Single Sign-On), che consente di accedere automaticamente al sistema operativo utilizzando il nome utente e la password dell'account dell'Agente di Autenticazione.
L'autenticazione dell'utente nell'Agente di Autenticazione può essere eseguita in due modi:
L'utilizzo di un token o di una smart card è disponibile solo se i dischi rigidi del computer sono stati criptati utilizzando l'algoritmo di criptaggio AES256. Se i dischi rigidi del computer sono stati criptati utilizzando l'algoritmo di criptaggio AES56, l'aggiunta del file del certificato elettronico al comando verrà negata.
Crittografia unità BitLocker
BitLocker è una tecnologia inclusa nel sistema operativo Windows. Se un computer è dotato di un TPM (Trusted Platform Module), BitLocker lo utilizza per archiviare le chiavi di ripristino che forniscono l'accesso a un disco rigido criptato. All'avvio del computer, BitLocker richiede al Trusted Platform Module le chiavi di ripristino del disco rigido e sblocca l'unità. È possibile configurare l'utilizzo di una password e/o un codice PIN per l'accesso alle chiavi di ripristino.
Impostazioni del componente Criptaggio disco Kaspersky
Parametro |
Descrizione |
|---|---|
Modalità di criptaggio |
Cripta tutti i dischi rigidi. Se questo elemento è selezionato, l'applicazione cripta tutti i dischi rigidi quando viene applicato il criterio. Se nel computer sono installati diversi sistemi operativi, dopo il criptaggio sarà possibile caricare solo il sistema operativo in cui è installata l'applicazione. Decripta tutti i dischi rigidi. Se questo elemento è selezionato, l'applicazione decripta tutti i dischi rigidi criptati precedentemente quando viene applicato il criterio. Mantieni invariato. Se questo elemento è selezionato, l'applicazione mantiene le unità nello stato precedente quando viene applicato il criterio. Se l'unità era criptata, rimane criptata. Se l'unità era decriptata, rimane decriptata. Questo elemento è selezionato per impostazione predefinita. |
Crea automaticamente gli account per l'Agente di Autenticazione per gli utenti |
Questa casella di controllo consente di abilitare o disabilitare la creazione automatica degli account per l'Agente di Autenticazione durante l'applicazione di un criterio. Kaspersky Endpoint Security crea un elenco di account dell'Agente di Autenticazione basato sugli account Windows. Per impostazione predefinita, Kaspersky Endpoint Security utilizza tutti gli account locali e di dominio con i quali l'utente ha effettuato l'accesso al sistema operativo negli ultimi 30 giorni. |
Impostazioni di creazione dell'account per l'Agente di Autenticazione |
Tutti gli account nel computer. Se la casella di controllo è selezionata, durante l'esecuzione dell'attività di criptaggio dell'intero disco Kaspersky Endpoint Security crea gli account per l'Agente di Autenticazione per tutti gli account attivi del computer. Tutti gli account di dominio nel computer. Se la casella di controllo è selezionata, durante l'esecuzione dell'attività di criptaggio dell'intero disco Kaspersky Endpoint Security crea gli account per l'Agente di Autenticazione per tutti gli account attivi del computer appartenenti a un determinato dominio. Tutti gli account locali nel computer. Se la casella di controllo è selezionata, durante l'esecuzione dell'attività di criptaggio dell'intero disco Kaspersky Endpoint Security crea gli account per l'Agente di Autenticazione per tutti gli account attivi del computer locale. Amministratore locale. Se questa casella di controllo è selezionata, durante l'esecuzione dell'attività di criptaggio dell'intero disco Kaspersky Endpoint Security crea un account di amministratore locale. Responsabile computer. Se la casella di controllo è selezionata, durante l'esecuzione dell'attività di criptaggio dell'intero disco Kaspersky Endpoint Security crea un account per l'Agente di Autenticazione le cui proprietà in Active Directory mostrano che si tratta di un account di gestione. Account attivo. Se la casella di controllo è selezionata, durante l'esecuzione dell'attività di criptaggio dell'intero disco Kaspersky Endpoint Security crea automaticamente un account per l'Agente di Autenticazione per l'account del computer attivo durante l'attività. |
Salva il nome utente immesso nell'Agente di Autenticazione |
Se la casella di controllo è selezionata, l'applicazione salva il nome dell'account Agente di Autenticazione. Non verrà richiesto di immettere il nome dell'account durante il successivo tentativo di eseguire l'autenticazione nell'Agente di Autenticazione con lo stesso account. |
Cripta solo lo spazio su disco utilizzato |
Questa casella di controllo consente di abilitare o disabilitare l'opzione che limita l'area di criptaggio ai soli settori occupati del disco rigido. Questo limite consente di ridurre il tempo di criptaggio. Dopo aver avviato il criptaggio, l'abilitazione o la disabilitazione della funzione Cripta solo lo spazio su disco utilizzato non modificherà questa impostazione fino al decriptaggio dei dischi rigidi. È necessario selezionare o deselezionare la casella di controllo prima di avviare il criptaggio. Se la casella di controllo è selezionata, vengono criptate solo le parti del disco rigido che sono occupate da file. Kaspersky Endpoint Security cripta automaticamente i nuovi dati man mano che vengono aggiunti. Se la casella di controllo è deselezionata, viene criptato l'intero disco rigido, inclusi i frammenti residui dei file precedentemente eliminati e modificati. Questa opzione è consigliata per i nuovi dischi rigidi in cui non sono stati modificati o eliminati dati. Se si applica il criptaggio a un disco rigido già in uso, è consigliabile criptare l'intero disco rigido. Questo garantisce la protezione di tutti i dati, anche dei dati eliminati potenzialmente ripristinabili. Questa casella di controllo è deselezionata per impostazione predefinita. |
Usa Legacy USB Support |
Questa casella di controllo consente di abilitare o disabilitare la funzione Legacy USB Support. Legacy USB Support è una funzione BIOS/UEFI che consente di utilizzare i dispositivi USB (ad esempio un token di sicurezza) durante la fase di avvio del computer prima dell'avvio del sistema operativo (modalità BIOS). Legacy USB Support non influisce sul supporto dei dispositivi USB dopo l'avvio del sistema operativo. Se la casella di controllo è selezionata, il supporto dei dispositivi USB durante l'avvio iniziale del computer sarà abilitato. Quando la funzione Legacy USB Support è abilitata, l'Agente di Autenticazione in modalità BIOS non supporta l'utilizzo dei token tramite USB. È consigliabile utilizzare questa opzione solo se si verifica un problema di compatibilità hardware e solo per i computer in cui si è verificato il problema. |
Impostazioni password |
Impostazioni di sicurezza della password dell'account dell'Agente di Autenticazione È inoltre possibile abilitare l'utilizzo della tecnologia SSO (Single Sign-On). La tecnologia SSO rende possibile l'utilizzo delle stesse credenziali per accedere ai dischi rigidi criptati e al sistema operativo. Se la casella di controllo è selezionata, è necessario immettere le credenziali dell'account per accedere ai dischi rigidi criptati e quindi accedere automaticamente al sistema operativo. Se la casella di controllo è deselezionata, per accedere ai dischi rigidi criptati e quindi accedere al sistema operativo è necessario immettere separatamente le credenziali per l'acceso ai dischi rigidi criptati e le credenziali dell'account utente del sistema operativo. |
Testi della guida |
Autenticazione. Testo della guida visualizzato nella finestra dell'Agente di Autenticazione quando si inseriscono le credenziali dell'account. Modifica password. Testo della guida visualizzato nella finestra dell'Agente di Autenticazione quando si modifica la password per l'account dell'Agente di Autenticazione. Ripristina password. Testo della guida visualizzato nella finestra dell'Agente di Autenticazione quando si ripristina la password per l'account dell'Agente di Autenticazione. |
Impostazioni del componente Crittografia unità BitLocker
Parametro |
Descrizione |
|---|---|
Modalità di criptaggio |
Cripta tutti i dischi rigidi. Se questo elemento è selezionato, l'applicazione cripta tutti i dischi rigidi quando viene applicato il criterio. Se nel computer sono installati diversi sistemi operativi, dopo il criptaggio sarà possibile caricare solo il sistema operativo in cui è installata l'applicazione. Decripta tutti i dischi rigidi. Se questo elemento è selezionato, l'applicazione decripta tutti i dischi rigidi criptati precedentemente quando viene applicato il criterio. Mantieni invariato. Se questo elemento è selezionato, l'applicazione mantiene le unità nello stato precedente quando viene applicato il criterio. Se l'unità era criptata, rimane criptata. Se l'unità era decriptata, rimane decriptata. Questo elemento è selezionato per impostazione predefinita. |
Consenti l'utilizzo dell'autenticazione BitLocker che richiede l'input da tastiera prima dell'avvio negli slate |
Questa casella di controllo consente di abilitare o disabilitare l'utilizzo dell'autenticazione tramite input di dati in un ambiente di preavvio, anche se la piattaforma non dispone di funzionalità di input in fase di preavvio (ad esempio, con le tastiere touchscreen nei tablet). Se la casella di controllo è selezionata, l'utilizzo dell'autenticazione tramite input di preavvio è consentito. È consigliabile utilizzare questa impostazione solo per i dispositivi dotati di strumenti alternativi per l'input dei dati, ad esempio una tastiera USB in aggiunta alle tastiere touchscreen. |
Usa criptaggio hardware |
Se la casella di controllo è selezionata, l'applicazione applica il criptaggio hardware. Questo consente di aumentare la velocità del criptaggio e di utilizzare meno risorse del computer. |
Cripta solo lo spazio su disco utilizzato |
Questa casella di controllo consente di abilitare o disabilitare l'opzione che limita l'area di criptaggio ai soli settori occupati del disco rigido. Questo limite consente di ridurre il tempo di criptaggio. Dopo aver avviato il criptaggio, l'abilitazione o la disabilitazione della funzione Cripta solo lo spazio su disco utilizzato non modificherà questa impostazione fino al decriptaggio dei dischi rigidi. È necessario selezionare o deselezionare la casella di controllo prima di avviare il criptaggio. Se la casella di controllo è selezionata, vengono criptate solo le parti del disco rigido che sono occupate da file. Kaspersky Endpoint Security cripta automaticamente i nuovi dati man mano che vengono aggiunti. Se la casella di controllo è deselezionata, viene criptato l'intero disco rigido, inclusi i frammenti residui dei file precedentemente eliminati e modificati. Questa opzione è consigliata per i nuovi dischi rigidi in cui non sono stati modificati o eliminati dati. Se si applica il criptaggio a un disco rigido già in uso, è consigliabile criptare l'intero disco rigido. Questo garantisce la protezione di tutti i dati, anche dei dati eliminati potenzialmente ripristinabili. Questa casella di controllo è deselezionata per impostazione predefinita. |
Impostazioni di autenticazione |
Usa Trusted Platform Module (TPM). Se questa opzione è selezionata, BitLocker utilizza Trusted Platform Module (TPM). Per Trusted Platform Module (TPM) si intende un microchip sviluppato per garantire funzioni di base relative alla sicurezza (ad esempio per archiviare le chiavi di criptaggio). Un Trusted Platform Module in genere è installato nella scheda madre del computer e interagisce con tutti gli altri componenti del sistema tramite il bus hardware. Un dispositivo dotato di un Trusted Platform Module può creare chiavi di criptaggio che possono essere decriptate solo con il dispositivo. Un Trusted Platform Module cripta le chiavi di criptaggio con la relativa chiave di archiviazione radice. La chiave di archiviazione radice è memorizzata nel Trusted Platform Module. Questo fornisce un livello di protezione aggiuntivo contro i tentativi di violare le chiavi di criptaggio. Questa azione è selezionata per impostazione predefinita. È possibile configurare le impostazioni per l'accesso alla chiave di criptaggio:
|