完整磁碟加密

您可以選取加密技術:卡巴斯基磁碟加密或 BitLocker 磁碟機加密(以下簡稱“BitLocker”)。

卡巴斯基磁碟加密

加密系統硬碟後,在下次電腦啟動時,使用者要能夠存取硬碟並且作業系統載入前,使用者必須透過身分驗證代理的驗證。這需要輸入連線至電腦的權杖或智慧卡的密碼,或者本機區域網路管理員使用身分驗證代理帳戶管理工作建立的身分驗證代理帳戶的使用者名稱或密碼。這些帳戶以使用者登入作業系統的 Microsoft Windows 帳戶為基礎。這些帳戶以使用者登入作業系統的 Microsoft Windows 帳戶為基礎。您還可以使用單點登入 (SSO) 技術,此技術允許您使用身分驗證代理帳戶的使用者名稱和密碼自動登入至作業系統。

可以透過兩種方式在身分驗證代理中執行使用者身分驗證:

BitLocker 磁碟機加密

BitLocker 技術是 Windows 作業系統的一部分。如果電腦配備了受信任平台模組 (TPM),BitLocker 將用其儲存提供加密硬碟存取的還原金鑰。電腦啟動時,BitLocker 將從受信任平台模組請求硬碟還原金鑰並解鎖磁碟機。您可以設定存取還原金鑰使用密碼和/或 PIN 碼。

卡巴斯基磁碟加密元件設定

參數

描述

加密模式

加密所有硬碟。如果選擇該選項,套用政策後,應用程式將加密所有硬碟。

如果電腦安裝了多個作業系統,在加密後,您將能夠只載入安裝了應用程式的作業系統。

解密所有硬碟。如果選擇該選項,套用政策後,應用程式將解密先前已加密的所有硬碟。

保留不變。如果選定了該選項,套用政策後,應用程式將保留硬碟不動。如果磁碟機已加密,則其仍加密。如果磁碟機已解密,則其仍解密。預設情況下已勾選此項目。

自動為使用者建立身分驗證代理帳戶

該核取方塊可啟用/停用當套用政策時自動建立身分驗證代理帳戶。Kaspersky Endpoint Security 會基於 Windows 帳戶建立身分驗證代理帳戶清單。預設情況下,Kaspersky Endpoint Security 使用在過去30 天內登入到作業系統的使用者所使用的所有本機帳戶和網域帳戶。

身分驗證代理帳戶建立設定

電腦上的所有帳戶。如果選定了此核取方塊,在執行完整磁碟加密工作時,Kaspersky Endpoint Security 會為所有曾經活躍過的電腦帳戶建立身分驗證代理帳戶。

電腦上的所有網域帳戶。如果選定了此核取方塊,在執行完整磁碟加密工作時,Kaspersky Endpoint Security 會為所有曾經活躍過且屬於某個網域的電腦帳戶建立身分驗證代理帳戶。

電腦上的所有本機帳戶。如果選定了此核取方塊,在執行完整磁碟加密工作時,Kaspersky Endpoint Security 會為所有曾經活躍過的本機電腦帳戶建立身分驗證代理帳戶。

本機管理員。如果選定此核取方塊,在執行完整磁碟加密工作時,Kaspersky Endpoint Security 將建立本機管理員帳戶。

電腦管理者。如果選定了此核取方塊,在執行完整磁碟加密工作時,Kaspersky Endpoint Security 會為 Active Directory 中顯示其為管理帳戶的帳戶建立身分驗證代理帳戶。

目前帳戶。如果選定了此核取方塊,在執行完整磁碟加密工作時,Kaspersky Endpoint Security 會自動為加密工作執行期間活動的帳戶建立身分驗證代理帳戶。

儲存在身分驗證代理輸入的使用者名稱

如果選中該核取方塊,應用程式將儲存身分驗證代理帳戶的名稱。下次使用同一帳戶在身分驗證代理中嘗試完成憑證時不會被提示輸入帳戶名稱。

僅加密使用的磁碟空間

該核取方塊可啟用/停用將加密區域僅限為已用硬碟磁區的選項。該限制可減少加密時間。

開始加密後,啟用/停用“僅加密已使用磁碟空間”功能不會變更該設定,直至硬碟被解密為止。開始加密之前您必須選擇或清除該核取方塊。

如果選定該核取方塊,則僅加密使用的硬碟部分。Kaspersky Endpoint Security 將自動加密新增的新資料。

如果清空該核取方塊,整個硬碟將被加密,包括先前刪除和修改檔案殘留的碎片。

建議對尚未修改或刪除資料的新硬碟使用該選項。如果對已在使用中的硬碟應用加密,則建議加密整個硬碟。這樣可確保防護所有資料,甚至已刪除的資料也能夠部分還原。

預設情況下已清空此核取方塊。

使用 Legacy USB Support

此核取方塊可啟用/停用 Legacy USB Support 功能。Legacy USB Support 一種 BIOS/UEFI 功能,允許您在啟動作業系統(BIOS 模式)之前,在電腦的引導階段使用 USB 裝置(例如安全性權杖)。Legacy USB Support 不會影響作業系統啟動後對 USB 裝置的支援。

如果選中該核取方塊,在電腦初始啟動期間對 USB 裝置的支援將啟用。

啟用 Legacy USB Support 功能時,BIOS 模式下的身分驗證代理不支援透過 USB 使用權杖。建議僅當存在硬體相容性問題時並僅對發生問題的電腦使用此選項。

密碼設定

身分驗證代理帳戶密碼強度設定。您也可以啟用單點登入 (SSO) 技術。

SSO 技術允許使用同一個帳戶憑證存取加密磁碟機並登入作業系統。

如果選中此核取方塊,您必須輸入用於存取加密硬碟磁碟機以及隨後自動登入作業系統的帳戶憑證。

如果清除該核取方塊,要存取加密硬碟磁碟機並隨後登入作業系統,您必須分別輸入用於存取加密硬碟磁碟機的憑證和作業系統使用者帳戶憑證。

說明文字

身分驗證。輸入帳戶憑證時,“身分驗證代理”視窗中顯示的說明文字。

變更密碼。變更身分驗證代理帳戶的密碼時,“身分驗證代理”視窗中顯示的說明文字。

還原密碼。還原身分驗證代理帳戶的密碼時,“身分驗證代理”視窗中顯示的說明文字。

BitLocker 磁碟機加密元件設定

參數

描述

加密模式

加密所有硬碟。如果選擇該選項,套用政策後,應用程式將加密所有硬碟。

如果電腦安裝了多個作業系統,在加密後,您將能夠只載入安裝了應用程式的作業系統。

解密所有硬碟。如果選擇該選項,套用政策後,應用程式將解密先前已加密的所有硬碟。

保留不變。如果選定了該選項,套用政策後,應用程式將保留硬碟不動。如果磁碟機已加密,則其仍加密。如果磁碟機已解密,則其仍解密。預設情況下已勾選此項目。

啟用需要在平板電腦上預先啟動鍵盤輸入的 BitLocker 身分驗證

此核取方塊啟用/停用在預啟動環境中使用需要資料輸入的身分驗證,即使此平台沒有能力進行預啟動輸入(例如使用平板電腦上的觸控式螢幕鍵盤)。

如果選定此核取方塊,則允許使用需要預啟動輸入的身分驗證。建議在預啟動環境中僅對擁有備用資料輸入的裝置(例如除了觸控式螢幕鍵盤之外的 USB 鍵盤)使用此設定。

使用硬體加密

如果選定此核取方塊,則應用程式將應用硬體加密。這可以提高加密速度並使用較少的電腦資源。

僅加密使用的磁碟空間

該核取方塊可啟用/停用將加密區域僅限為已用硬碟磁區的選項。該限制可減少加密時間。

開始加密後,啟用/停用“僅加密已使用磁碟空間”功能不會變更該設定,直至硬碟被解密為止。開始加密之前您必須選擇或清除該核取方塊。

如果選定該核取方塊,則僅加密使用的硬碟部分。Kaspersky Endpoint Security 將自動加密新增的新資料。

如果清空該核取方塊,整個硬碟將被加密,包括先前刪除和修改檔案殘留的碎片。

建議對尚未修改或刪除資料的新硬碟使用該選項。如果對已在使用中的硬碟應用加密,則建議加密整個硬碟。這樣可確保防護所有資料,甚至已刪除的資料也能夠部分還原。

預設情況下已清空此核取方塊。

身分驗證設定

使用受信任平台模組 (TPM)。如果選定此核取方塊,則 BitLocker 使用受信任平台模組 (TPM)。

受信任平台模組 (TPM) 是一個與安全相關並提供基本功能的微晶片(例如用於儲存加密金鑰)。受信任平台模組通常安裝在電腦主機板上並且透過硬體匯流排與其他所有系統元件進行互動。

配有受信任平台模組的裝置可以建立只能使用此裝置解密的加密金鑰。受信任平台模組將使用其自有的根儲存金鑰加密加密金鑰。根儲存金鑰儲存在受信任平台模組中。這提供了防禦駭客攻擊加密金鑰的附加防護。

預設情況下已選擇此操作。

您可以設定用於存取加密金鑰的設定:

  • 使用 PIN。如果選中此核取方塊,使用者可以使用 PIN 碼存取儲存在受信任平台模組 (TPM) 中的加密金鑰。

    如果清除此核取方塊,則會禁止使用者使用 PIN 碼。要存取加密金鑰,使用者必須輸入密碼。

  • 如果受信任平台模組 (TPM) 不可用,則使用密碼。如果選定此核取方塊,當受信任平台模組 (TPM) 不可用時,使用者可使用密碼存取加密金鑰。

    使用密碼。如果選定此選項,Kaspersky Endpoint Security 將在使用者嘗試存取加密磁碟時提示使用者輸入密碼。

    沒有使用受信任平台模組 (TPM) 時可以選擇此選項。

另請參閱:關於透過卡巴斯基安全管理中心管理主控台管理應用程式

使用卡巴斯基磁碟加密技術執行完整磁碟加密

使用 BitLocker 磁碟機加密技術執行完整磁碟加密

建立硬碟磁碟機加密排除清單

硬碟磁碟機解密

更新作業系統

消除加密功能更新的錯誤

使用身分驗證代理

頁面頂部