您可以选择加密技术:卡巴斯基磁盘加密 或 BitLocker 驱动器加密(以下简称“BitLocker”)。
卡巴斯基磁盘加密
加密系统硬盘驱动器后,在下次计算机启动时,用户能够访问硬盘驱动器并且操作系统加载前,用户必须通过身份验证代理的身份验证。这需要输入连接至计算机的令牌或智能卡的密码,或者本地局域网管理员使用身份验证代理账户管理任务创建的身份验证代理账户的用户名或密码。这些账户以用户登录操作系统的 Microsoft Windows 账户为基础。这些帐户以用户登录操作系统的 Microsoft Windows 帐户为基础。您还可以使用单点登录 (SSO) 技术,该技术允许您使用身份验证代理账户的用户名和密码自动登录到操作系统。
可以通过两种方式在身份验证代理中执行用户身份验证:
仅当计算机硬盘驱动器使用 AES256 加密算法进行加密时,才可以使用令牌或智能卡。如果使用 AES256 算法加密了计算机硬盘驱动器,添加电子证书文件到命令将被拒绝。
BitLocker 驱动器加密
BitLocker 技术是 Windows 操作系统的一部分。如果计算机配备了受信任平台模块 (TPM),BitLocker 将用其存储提供加密硬盘驱动器访问的恢复密钥。计算机启动时,BitLocker 将从受信任平台模块请求硬盘驱动器恢复密钥并解锁驱动器。您可以配置访问恢复密钥使用密码和/或 PIN 码。
卡巴斯基磁盘加密组件设置
参数 |
描述 |
|---|---|
加密模式 |
加密所有硬盘驱动器。如果选定了该项,应用策略后,应用程序将加密所有硬盘驱动器。 如果计算机安装了多个操作系统,在加密后,您将能够只加载安装了应用程序的操作系统。 解密所有硬盘驱动器。如果选定了该项,应用策略后,应用程序将解密所有先前加密的硬盘驱动器。 保留不变。如果选定了该项,应用策略后,应用程序将保留硬盘驱动器不动。如果驱动器已加密,则其仍加密。如果驱动器已解密,则其仍解密。默认情况下已选定此项。 |
自动为用户创建身份验证代理账户 |
该复选框可启用/禁用当应用策略时自动创建身份验证代理账户。Kaspersky Endpoint Security 会基于 Windows 账户创建身份验证代理账户列表。默认情况下,Kaspersky Endpoint Security 使用在过去 30 天内登录到操作系统的用户所使用的所有本地账户和域账户。 |
身份验证代理账户创建设置 |
计算机上的所有账户。如果选定了该复选框,在运行完整磁盘加密任务时,Kaspersky Endpoint Security 会为所有曾经活跃过的计算机账户创建身份验证代理账户。 计算机上的所有域账户。如果选定了该复选框,在运行完整磁盘加密任务时,Kaspersky Endpoint Security 会为所有曾经活跃过且属于某个域的计算机账户创建身份验证代理账户。 计算机上的所有本地账户。如果选定了该复选框,在运行完整磁盘加密任务时,Kaspersky Endpoint Security 会为所有曾经活跃过的本地计算机账户创建身份验证代理账户。 本地管理员。如果选定该复选框,在运行完整磁盘加密任务时,Kaspersky Endpoint Security 将创建本地管理员账户。 计算机管理者。如果选定了该复选框,在运行完整磁盘加密任务时,Kaspersky Endpoint Security 会为 Active Directory 中显示其为管理账户的账户创建身份验证代理账户。 活动账户。如果选定了该复选框,在运行完整磁盘加密任务时,Kaspersky Endpoint Security 会自动为加密任务执行期间活动的账户创建身份验证代理账户。 |
保存在身份验证代理中输入的用户名 |
如果选中该复选框,应用程序将保存身份验证代理账户的名称。下次使用同一账户在身份验证代理中尝试完成认证时不会被提示输入账户名。 |
仅加密使用的磁盘空间 |
该复选框可启用/禁用将加密区域仅限为已用硬盘驱动器扇区的选项。该限制可减少加密时间。 开始加密后,启用/禁用“仅加密使用的磁盘空间”功能不会更改该设置,直至硬盘驱动器被解密为止。开始加密之前您必须选择或清除该复选框。 如果选定该复选框,则仅加密使用的硬盘驱动器部分。Kaspersky Endpoint Security 将自动加密添加的新数据。 如果清空该复选框,整个硬盘驱动器将被加密,包括先前删除和修改文件残留的碎片。 推荐对尚未修改或删除数据的新硬盘驱动器使用该选项。如果对已在使用中的硬盘驱动器应用加密,则推荐加密整个硬盘驱动器。这样可确保保护所有数据,甚至已删除的数据也能够部分恢复。 默认情况下已清空该复选框。 |
使用 Legacy USB Support |
此复选框可启用/禁用 Legacy USB Support 功能。Legacy USB Support 是一种 BIOS/UEFI 功能,允许您在启动操作系统(BIOS 模式)之前,在计算机的引导阶段使用 USB 设备(例如安全令牌)。Legacy USB Support 不会影响操作系统启动后对 USB 设备的支持。 如果选中该复选框,在计算机初始启动期间对 USB 设备的支持将启用。 启用 Legacy USB Support 功能时,BIOS 模式下的身份验证代理不支持通过 USB 使用令牌。推荐仅当存在硬件兼容性问题时并仅对发生问题的计算机使用此选项。 |
密码设置 |
身份验证代理账户密码强度设置。您还可以启用单点登录 (SSO) 技术。 SSO 技术允许使用同一个账户凭证访问加密硬盘驱动器并登录操作系统。 如果选中该复选框,您必须输入用于访问加密硬盘驱动器以及随后自动登录操作系统的帐户凭证。 如果清除该复选框,要访问加密硬盘驱动器并随后登录操作系统,您必须分别输入用于访问加密硬盘驱动器的凭证和操作系统用户帐户凭证。 |
帮助文本 |
身份验证。输入账户凭据时,“身份验证代理”窗口中显示的帮助文本。 更改密码。更改身份验证代理账户的密码时,“身份验证代理”窗口中显示的帮助文本。 恢复密码。恢复身份验证代理账户的密码时,“身份验证代理”窗口中显示的帮助文本。 |
BitLocker 驱动器加密组件设置
参数 |
描述 |
|---|---|
加密模式 |
加密所有硬盘驱动器。如果选定了该项,应用策略后,应用程序将加密所有硬盘驱动器。 如果计算机安装了多个操作系统,在加密后,您将能够只加载安装了应用程序的操作系统。 解密所有硬盘驱动器。如果选定了该项,应用策略后,应用程序将解密所有先前加密的硬盘驱动器。 保留不变。如果选定了该项,应用策略后,应用程序将保留硬盘驱动器不动。如果驱动器已加密,则其仍加密。如果驱动器已解密,则其仍解密。默认情况下已选定此项。 |
启用需要在平板电脑上预启动键盘输入的 BitLocker 身份验证 |
该复选框启用/禁用在预启动环境中使用需要数据输入的身份验证,即使该平台没有能力进行预启动输入(例如使用平板电脑上的触摸屏键盘)。 如果选定该复选框,则允许使用需要预启动输入的身份验证。推荐在预启动环境中仅对拥有备用数据输入的设备(例如除了触摸屏键盘之外的 USB 键盘)使用该设置。 |
使用硬件加密 |
如果选定该复选框,则应用程序将应用硬件加密。这可以提高加密速度并使用较少的计算机资源。 |
仅加密使用的磁盘空间 |
该复选框可启用/禁用将加密区域仅限为已用硬盘驱动器扇区的选项。该限制可减少加密时间。 开始加密后,启用/禁用“仅加密使用的磁盘空间”功能不会更改该设置,直至硬盘驱动器被解密为止。开始加密之前您必须选择或清除该复选框。 如果选定该复选框,则仅加密使用的硬盘驱动器部分。Kaspersky Endpoint Security 将自动加密添加的新数据。 如果清空该复选框,整个硬盘驱动器将被加密,包括先前删除和修改文件残留的碎片。 推荐对尚未修改或删除数据的新硬盘驱动器使用该选项。如果对已在使用中的硬盘驱动器应用加密,则推荐加密整个硬盘驱动器。这样可确保保护所有数据,甚至已删除的数据也能够部分恢复。 默认情况下已清空该复选框。 |
身份验证设置 |
使用受信任平台模块 (TPM)。如果选定该复选框,则 BitLocker 使用受信任平台模块 (TPM)。 受信任平台模块 (TPM) 是一个与安全相关的提供基本功能的微芯片(例如用于存储加密密钥)。受信任平台模块通常安装在计算机主板上并且通过硬件总线与其他所有系统组件进行互动。 配有受信任平台模块的设备可以创建只能使用该设备解密的加密密钥。受信任平台模块将使用其自有的根存储密钥加密加密密钥。根存储密钥存储在受信任平台模块中。这提供了防御黑客攻击加密密钥的附加保护。 默认情况下已选择此操作。 您可以配置用于访问加密密钥的设置:
|