如果 Kaspersky Endpoint Security 安装在运行 Windows for Workstations 的计算机上,则可使用 BitLocker 驱动器加密和卡巴斯基磁盘加密技术进行加密。如果 Kaspersky Endpoint Security 安装在运行 Windows for Servers 的计算机上, 则仅 BitLocker 驱动器加密技术可用。
Kaspersky Endpoint Security 支持 FAT32、NTFS 和 exFat 文件系统的完整磁盘加密。
开始完整磁盘加密之前,应用程序会执行一系列检查,确定是否能对该设备进行加密,其中包括检查系统硬盘驱动器与身份验证代理或 BitLocker 加密组件的兼容性。若要检查兼容性,计算机必须重启。计算机重新启动后,应用程序会自动执行所有必要的检查。如果兼容性检查成功,则在加载操作系统和启动应用程序后开始完整磁盘加密。如果发现系统硬盘驱动器与身份验证代理或 BitLocker 加密组件不兼容,需要按重启硬件按钮重新启动计算机。Kaspersky Endpoint Security 将记录不兼容的信息。根据此信息,应用程序在操作系统启动时不会启动完整磁盘加密。此事件信息将被记录在 Kaspersky Security Center 报告中。
如果更改了计算机硬件配置,应删除先前检查中所记录的应用程序不兼容信息,以便重新检查系统硬盘驱动器与身份验证代理和 BitLocker 加密组件的兼容性。要执行此操作,请在完整磁盘加密前,在命令行中键入 avp pbatestreset
。如果操作系统未能在检查系统硬盘驱动器是否与身份验证代理兼容之后加载,您必须在身份验证代理测试运行之后使用恢复实用工具删除剩余对象和数据,然后启动 Kaspersky Endpoint Security 并再次执行 avp pbatestreset
命令。
启动完整磁盘加密后,Kaspersky Endpoint Security 将加密硬盘上写入的所有的数据。
如果用户在完整磁盘加密期间关闭了或重新启动了计算机,下次启动操作系统之前系统将载入身份验证代理。成功通过身份验证代理并在操作系统启动后,Kaspersky Endpoint Security 将恢复完整磁盘加密。
如果操作系统在完整磁盘加密期间切换至休眠模式,操作系统退出休眠模式时将加载身份验证代理。成功通过身份验证代理并在操作系统启动后,Kaspersky Endpoint Security 将恢复完整磁盘加密。
如果操作系统在完整磁盘加密期间进入睡眠模式,则当操作系统退出睡眠模式时,Kaspersky Endpoint Security 将恢复完整磁盘加密,而不会加载身份验证代理。
可以通过两种方式在身份验证代理中执行用户身份验证:
仅当计算机硬盘驱动器使用 AES256 加密算法进行加密时,才可以使用令牌或智能卡。如果使用 AES256 算法加密了计算机硬盘驱动器,添加电子证书文件到命令将被拒绝。
身份验证代理支持以下语言的键盘布局:
如果操作系统的语言和区域标准设置中添加了该布局,则在身份验证代理中可以使用该键盘布局。
如果身份验证代理账户名包含身份验证代理中无法使用键盘布局输入的符号,则只能使用恢复实用工具恢复后或恢复身份验证代理账户名和密码恢复后访问加密的硬盘驱动器。
Kaspersky Endpoint Security 支持以下令牌、智能卡读卡器和智能卡: