Полнодисковое шифрование

Вы можете выбрать технологию шифрования: Шифрование диска Kaspersky или Шифрование диска BitLocker (далее также "BitLocker").

Шифрование диска Kaspersky

После шифрования системных жестких дисков при последующем включении компьютера доступ к ним, а также загрузка операционной системы возможны только после прохождения процедуры аутентификации с помощью Агента аутентификации. Для этого требуется ввести пароль токена или смарт-карты, подключенных к компьютеру, или имя и пароль учетной записи Агента аутентификации, созданной системным администратором локальной сети организации с помощью задачи Управления учетными записями Агента аутентификации. Эти учетные записи основаны на учетных записях пользователей Microsoft Windows, под которыми пользователи выполняют вход в операционную систему. Также вы можете использовать технологию единого входа (англ. Single Sign-On – SSO), позволяющую осуществлять автоматический вход в операционную систему с помощью имени и пароля учетной записи Агента аутентификации.

Аутентификация пользователя в Агенте аутентификации может выполняться двумя способами:

Шифрование диска BitLocker

BitLocker – встроенная в операционную систему Windows технология шифрования. Kaspersky Endpoint Security позволяет контролировать и управлять Bitlocker с помощью Kaspersky Security Center. BitLocker шифрует логический том. Шифрование съемных дисков с помощью BitLocker невозможно. Подробнее о BitLocker см. в документации Microsoft.

BitLocker обеспечивает безопасность хранения ключей доступа с помощью доверенного платформенного модуля. Доверенный платформенный модуль (англ. Trusted Platform Module – TPM) – микрочип, разработанный для предоставления основных функций, связанных с безопасностью (например, для хранения ключей шифрования). Доверенный платформенный модуль обычно устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины. Использование TPM является самым безопасным способом хранения ключей доступа BitLocker, так как TPM позволяет проверять целостность операционной системы. На компьютерах без TPM вы также можете зашифровать диски. При этом ключ доступа будет зашифрован паролем. Таким образом, BitLocker использует следующие способы аутентификации:

После шифрования диска BitLocker создает мастер-ключ. Kaspersky Endpoint Security отправляет мастер-ключ в Kaspersky Security Center, чтобы вы имели возможность восстановить доступ к диску, если пользователь, например, забыл пароль. Если пользователь самостоятельно зашифровал диск с помощью BitLocker, Kaspersky Endpoint Security отправит информацию о шифровании диска в Kaspersky Security Center. При этом Kaspersky Endpoint Security не отправит мастер-ключ в Kaspersky Security Center, и восстановить доступ к диску с помощью Kaspersky Security Center будет невозможно. Для корректной работы BitLocker c Kaspersky Security Center расшифруйте диск и зашифруйте диск повторно с помощью политики. Расшифровать диск вы можете локально или с помощью политики.

После шифрования системного жесткого диска для загрузки операционной системы пользователю нужно пройти процедуру аутентификации BitLocker. После прохождения процедуры аутентификации BitLocker будет доступен вход в систему. BitLocker не поддерживает технологию единого входа (SSO).

Если вы используете групповые политики для Windows, выключите управление BitLocker в параметрах политики. Параметры политики для Windows могут противоречить параметрам политики Kaspersky Endpoint Security. При шифровании диска могут возникнуть ошибки.

Параметры компонента Шифрование диска Kaspersky

Параметр

Описание

Режим шифрования

Шифровать все жесткие диски. Если выбран этот элемент, то при применении политики программа шифрует все жесткие диски.

Если на компьютере установлено несколько операционных систем, то после шифрования вы сможете выполнить загрузку только той операционной системы, в которой установлена программа.

Расшифровывать все жесткие диски. Если выбран этот элемент, то при применении политики программа расшифровывает все зашифрованные ранее жесткие диски.

Оставлять без изменений. Если выбран этот элемент, то при применении политики программа оставляет диски в прежнем состоянии. Если диск был зашифрован, то он остается зашифрованным, а если диск был расшифрован, то он остается расшифрованным. Этот элемент выбран по умолчанию.

Автоматически создавать учетные записи Агента аутентификации для пользователей

Флажок включает / выключает автоматическое создание учетных записей Агента аутентификации при применении политики. Kaspersky Endpoint Security формирует список учетных записей Агента аутентификации на основе учетных записей Windows. По умолчанию Kaspersky Endpoint Security использует все локальные и доменные учетные записи, с помощью которых пользователь выполнял вход в операционную систему за последние 30 дней.

Параметры создания учетных записей Агента аутентификации

Все учетные записи компьютера. Если флажок установлен, то при выполнении задачи полнодискового шифрования Kaspersky Endpoint Security создает учетные записи Агента аутентификации для всех учетных записей компьютера, которые когда-либо были активными.

Все доменные учетные записи компьютера. Если флажок установлен, то при выполнении задачи полнодискового шифрования Kaspersky Endpoint Security создает учетные записи Агента аутентификации для всех учетных записей компьютера, которые принадлежат какому-либо домену и которые когда-либо были активными.

Все локальные учетные записи компьютера. Если флажок установлен, то при выполнении задачи полнодискового шифрования Kaspersky Endpoint Security создает учетные записи Агента аутентификации для всех локальных учетных записей компьютера, которые когда-либо были активными.

Локальный администратор. Если флажок установлен, то при выполнении задачи полнодискового шифрования Kaspersky Endpoint Security создает учетную запись локального администратора.

Менеджер компьютера. Если флажок установлен, то при выполнении задачи полнодискового шифрования Kaspersky Endpoint Security создает учетную запись Агента аутентификации для учетной записи, в свойствах которой в Active Directory указано, что она является управляющей.

Активная учетная запись. Если флажок установлен, то при выполнении задачи полнодискового шифрования Kaspersky Endpoint Security автоматически создает учетную запись Агента аутентификации для активной в момент выполнения задачи учетной записи компьютера.

Сохранять введенное в Агенте аутентификации имя пользователя

Если флажок установлен, то программа сохраняет имя учетной записи Агента аутентификации. При последующей аутентификации в Агенте аутентификации под той же учетной записью имя учетной записи вводить не требуется.

Шифровать только занятое пространство

Флажок включает / выключает функцию, ограничивающую область шифрования только занятыми секторами жесткого диска. Это ограничение позволяет сократить время шифрования.

Включение / выключение функции Шифровать только занятое пространство после запуска шифрования не изменяет этого параметра до тех пор, пока жесткие диски не будут расшифрованы. Требуется установить или снять флажок до начала шифрования.

Если флажок установлен, то шифруется только та часть жесткого диска, которая занята файлами. Kaspersky Endpoint Security зашифровывает новые данные автоматически по мере их добавления.

Если флажок снят, то шифруется весь жесткий диск, в том числе остатки удаленных и отредактированных ранее файлов.

Данную функцию рекомендуется применять для новых жестких дисков, данные которых не редактировались и не удалялись. Если вы применяете шифрование на уже используемом жестком диске, рекомендуется зашифровать весь жесткий диск. Это гарантирует защиту всех данных – даже удаленных, но потенциально восстанавливаемых.

По умолчанию флажок снят.

Использовать Legacy USB Support

Флажок включает / выключает функцию Legacy USB Support. Legacy USB Supportфункция BIOS / UEFI, которая позволяет использовать USB-устройства (например, токен) на этапе загрузки компьютера до запуска операционной системы (BIOS-режим). Функция Legacy USB Support не влияет на поддержку USB-устройств после запуска операционной системы.

Если флажок установлен, то будет включена поддержка USB-устройств на этапе начальной загрузки компьютера.

При включенной функции Legacy USB Support Агент аутентификации в BIOS-режиме не поддерживает работу с токенами по USB. Функцию рекомендуется использовать только при возникновении проблемы несовместимости с аппаратным обеспечением и только для тех компьютеров, на которых возникла проблема.

Параметры паролей

Параметры надежности пароля учетной записи Агента аутентификации. Также вы можете включить использование технологии единого входа (SSO).

Технология единого входа позволяет использовать одни и те же учетные данные для доступа к зашифрованным жестким дискам и для входа в операционную систему.

Если флажок установлен, то для доступа к зашифрованным жестким дискам и последующего автоматического входа в операционную систему требуется ввести учетные данные доступа к зашифрованным дискам.

Если флажок снят, то для доступа к зашифрованным жестким дискам и последующего входа в операционную систему требуется отдельно ввести учетные данные для доступа к зашифрованным жестким дискам и учетные данные пользователя в операционной системе.

Справочные тексты

Аутентификация. Справочный текст, который отображается в окне Агента аутентификации на этапе ввода учетных данных.

Смена пароля. Справочный текст, который отображается в окне Агента аутентификации на этапе смены пароля для учетной записи Агента аутентификации.

Восстановление пароля. Справочный текст, который отображается в окне Агента аутентификации на этапе восстановления пароля для учетной записи Агента аутентификации.

Параметры компонента Шифрование диска BitLocker

Параметр

Описание

Режим шифрования

Шифровать все жесткие диски. Если выбран этот элемент, то при применении политики программа шифрует все жесткие диски.

Если на компьютере установлено несколько операционных систем, то после шифрования вы сможете выполнить загрузку только той операционной системы, в которой установлена программа.

Расшифровывать все жесткие диски. Если выбран этот элемент, то при применении политики программа расшифровывает все зашифрованные ранее жесткие диски.

Оставлять без изменений. Если выбран этот элемент, то при применении политики программа оставляет диски в прежнем состоянии. Если диск был зашифрован, то он остается зашифрованным, а если диск был расшифрован, то он остается расшифрованным. Этот элемент выбран по умолчанию.

Включить использование проверки подлинности BitLocker, требующей предзагрузочного ввода с клавиатуры на планшетах

Флажок включает / выключает использование аутентификации, требующей ввода данных в предзагрузочной среде, даже если у платформы отсутствует возможность предзагрузочного ввода (например, у сенсорных клавиатур на планшетах).

Сенсорная клавиатура планшетов недоступна в предзагрузочной среде. Для прохождения аутентификации BitLocker на планшетах пользователю необходимо подключить, например, USB-клавиатуру.

Если флажок установлен, то использование аутентификации, требующей предзагрузочного ввода, разрешено. Рекомендуется использовать этот параметр только для устройств, у которых во время предварительной загрузки, помимо сенсорных клавиатур, имеются альтернативные средства ввода данных, например, USB-клавиатура.

Если флажок снят, шифрование диска BitLocker на планшетах невозможно.

Использовать аппаратное шифрование

Если флажок установлен, то программа применяет аппаратное шифрование. Это позволяет увеличить скорость шифрования и сократить использование ресурсов компьютера.

Шифровать только занятое пространство

Флажок включает / выключает функцию, ограничивающую область шифрования только занятыми секторами жесткого диска. Это ограничение позволяет сократить время шифрования.

Включение / выключение функции Шифровать только занятое пространство после запуска шифрования не изменяет этого параметра до тех пор, пока жесткие диски не будут расшифрованы. Требуется установить или снять флажок до начала шифрования.

Если флажок установлен, то шифруется только та часть жесткого диска, которая занята файлами. Kaspersky Endpoint Security зашифровывает новые данные автоматически по мере их добавления.

Если флажок снят, то шифруется весь жесткий диск, в том числе остатки удаленных и отредактированных ранее файлов.

Данную функцию рекомендуется применять для новых жестких дисков, данные которых не редактировались и не удалялись. Если вы применяете шифрование на уже используемом жестком диске, рекомендуется зашифровать весь жесткий диск. Это гарантирует защиту всех данных – даже удаленных, но потенциально восстанавливаемых.

По умолчанию флажок снят.

Параметры аутентификации

Использовать доверенный платформенный модуль (TPM)

Если выбран этот вариант, BitLocker использует доверенный платформенный модуль (TPM).

Доверенный платформенный модуль (англ. Trusted Platform Module – TPM) – микрочип, разработанный для предоставления основных функций, связанных с безопасностью (например, для хранения ключей шифрования). Доверенный платформенный модуль обычно устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины.

Для компьютеров под управлением операционных систем Windows 7 и Windows Server 2008 R2 доступно только шифрование с использованием модуля TPM. Если модуль TPM не установлен, шифрование BitLocker невозможно. Использование пароля на этих компьютерах не поддерживается.

Устройство, оснащенное доверенным платформенным модулем, может создавать ключи шифрования, которые могут быть расшифрованы только с его помощью. Доверенный платформенный модуль шифрует ключи шифрования собственным корневым ключом хранилища. Корневой ключ хранилища хранится внутри доверенного платформенного модуля. Это обеспечивает дополнительную степень защиты ключей шифрования от попыток взлома.

Этот вариант действия выбран по умолчанию.

Вы можете настроить параметры доступа к ключу шифрования:

  • Использовать PIN-код. Если флажок установлен, пользователь может использовать PIN-код для получения доступа к ключу шифрования, который хранится в доверенном платформенном модуле (TPM).

    Если флажок снят, пользователю запрещено использовать PIN-код. Для получения доступа к ключу шифрования пользователь использует пароль.

  • Использовать пароль, если доверенный платформенный модуль (TPM) недоступен. Если флажок установлен, то при отсутствии доверенного платформенного модуля (TPM) пользователь может получить доступ к ключам шифрования с помощью пароля.

    Если флажок снят и модуль TPM недоступен, то полнодисковое шифрование не запускается.

    Использовать пароль

    Если выбран этот вариант, Kaspersky Endpoint Security запрашивает у пользователя пароль при обращении к зашифрованному диску.

    Этот вариант действия может быть выбран, если не используется доверенный платформенный модуль (TPM).

См. также об управлении программой через Консоль администрирования Kaspersky Security Center

Полнодисковое шифрование с помощью технологии Шифрование диска Kaspersky

Запуск шифрования диска BitLocker

Формирование списка жестких дисков для исключения из шифрования

Расшифровка жестких дисков

Обновление операционной системы

Устранение ошибок при обновлении функциональности шифрования

В начало