用于访问可移动驱动器上的加密文件的便携模式
便携模式是可移动驱动器上的文件加密 (FLE) 模式,它提供了访问公司网络外部数据的能力。便携模式还允许您在未安装 Kaspersky Endpoint Security 的计算机上使用加密数据。
便携模式在以下情况下便于使用:
- 计算机和 Kaspersky Security Center 管理服务器之间没有连接。
- 基础结构已随着 Kaspersky Security Center 管理服务器的更改而发生变化。
- 计算机上未安装 Kaspersky Endpoint Security。
便携式文件管理器
为了在便携模式下工作,Kaspersky Endpoint Security 会在可移动驱动器上安装一个名为“便携式文件管理器”的特殊加密模块。如果计算机上未安装 Kaspersky Endpoint Security,便携式文件管理器提供了一个处理加密数据的界面(请参见下图)。如果计算机上安装了 Kaspersky Endpoint Security,则可以使用通常的文件管理器(例如资源管理器)使用加密的可移动驱动器。
便携式文件管理器会存储用于加密可移动驱动器上的文件的密钥。该密钥使用用户密码加密。用户在加密可移动驱动器上的文件之前先设置密码。
当可移动驱动器连接到未安装 Kaspersky Endpoint Security 的计算机时,便携式文件管理器会自动启动。如果计算机上已禁用自动启动应用程序,请手动启动便携式文件管理器。要执行此操作,请运行可移动驱动器上存储的名为 pmv.exe 的文件。
便携式文件管理器
支持便携模式以处理加密文件
如何在管理控制台 (MMC) 中启用便携模式支持以处理可移动驱动器上的加密文件
- 打开 Kaspersky Security Center Administration Console。
- 在管理控制台树的“受管理设备”文件夹中,打开相关客户端计算机所属的管理组名称的文件夹。
- 在工作区中选择“策略”选项卡。
- 选择必要的策略并双击以打开策略属性。
- 在策略窗口中,选择“数据加密 → 可移动驱动器加密”。
- 在“选定设备的加密模式”下拉列表中,选择“加密所有文件”或“仅加密新文件”。
便携模式仅适用于文件级加密 (FLE)。无法为完整磁盘加密 (FDE) 启用便携模式支持。
- 勾选“便携模式”复选框。
- 如有必要,为单个可移动驱动器添加加密规则。
- 保存更改。
- 应用策略后,将可移动驱动器连接到计算机。
- 确认可移动驱动器加密操作。
这会打开一个窗口,您可以在其中为便携式文件管理器创建密码。
- 指定满足强度要求的密码并确认。
- 单击“确定”。
Kaspersky Endpoint Security 将加密可移动驱动器上的文件。用来操作加密文件的便携式文件管理器也将被添加到可移动驱动器。如果可移动驱动器上已经有加密文件,Kaspersky Endpoint Security 将使用自己的密钥再次对其进行加密。这允许用户在便携模式下访问可移动驱动器上的所有文件。
如何在 Web Console 中启用便携模式支持以处理可移动驱动器上的加密文件
- 在 Web Console 的主窗口中,选择“设备”→“策略和策略配置文件”。
- 单击要启用便携模式支持的计算机的 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
- 选择“应用程序设置”选项卡。
- 转到“数据加密 → 可移动驱动器加密”。
- 在“管理加密”区域中,选择“加密所有文件”或“仅加密新文件”。
便携模式仅适用于文件级加密 (FLE)。无法为完整磁盘加密 (FDE) 启用便携模式支持。
- 勾选“便携模式”复选框。
- 如有必要,为单个可移动驱动器添加加密规则。
- 保存更改。
- 应用策略后,将可移动驱动器连接到计算机。
- 确认可移动驱动器加密操作。
这会打开一个窗口,您可以在其中为便携式文件管理器创建密码。
- 指定满足强度要求的密码并确认。
- 单击“确定”。
Kaspersky Endpoint Security 将加密可移动驱动器上的文件。用来操作加密文件的便携式文件管理器也将被添加到可移动驱动器。如果可移动驱动器上已经有加密文件,Kaspersky Endpoint Security 将使用自己的密钥再次对其进行加密。这允许用户在便携模式下访问可移动驱动器上的所有文件。
访问可移动驱动器上的加密文件
在便携模式支持下加密可移动驱动器上的文件后,可以使用以下文件访问方法:
- 如果计算机上未安装 Kaspersky Endpoint Security,则便携式文件管理器将提示您输入密码。每次重新启动计算机或重新连接可移动驱动器时,都需要输入密码。
- 如果计算机位于公司网络外部,并且计算机上已安装 Kaspersky Endpoint Security,则应用程序将提示您输入密码或向管理员发送访问文件的请求。获得对可移动驱动器上文件的访问权限后,Kaspersky Endpoint Security 会将密钥保存在计算机的密钥存储中。这样在将来无需输入密码或询问管理员即可访问文件。
- 如果计算机位于公司网络内部,并且计算机上已安装 Kaspersky Endpoint Security,则无需输入密码即可访问设备。Kaspersky Endpoint Security 将从与计算机连接的 Kaspersky Security Center 管理服务器接收密钥。
恢复在便携模式下工作的密码
如果您忘记了在便携模式下工作的密码,则需要将可移动驱动器与公司网络内安装了 Kaspersky Endpoint Security 的计算机连接。您将获得文件访问权限,因为密钥存储在计算机的密钥存储或管理服务器中。使用新密码解密和重新加密文件。
将可移动驱动器连接到其他网络中的计算机时,便携模式的功能
如果计算机位于公司网络外部,并且计算机上已安装 Kaspersky Endpoint Security,您可以通过以下方式访问文件:
- 基于密码进行访问
输入密码后,您将能够查看、修改并将文件保存在可移动驱动器上(透明访问)。如果在可移动驱动器的加密策略设置中配置以下参数,Kaspersky Endpoint Security 可以为可移动驱动器设置只读访问权限:
- 便携模式支持已禁用。
- 选择了“加密所有文件”或“仅加密新文件”模式。
在所有其他情况下,您将获得对可移动驱动器的完全访问权限(读/写权限)。您将能够添加和删除文件。
即使可移动驱动器连接到计算机时,您也可以更改可移动驱动器访问权限。如果更改可移动驱动器访问权限,Kaspersky Endpoint Security 将阻止对文件的访问,并再次提示您输入密码。
输入密码后,您无法对可移动驱动器应用加密策略设置。在这种情况下,无法对可移动驱动器上的文件进行解密或重新加密。
- 请管理员提供文件访问权限
如果您忘记了在便携模式下工作的密码,则请管理员提供文件访问权限。要访问文件,用户需要向管理员发送请求访问文件(扩展名为 KESDC 的文件)。例如,用户可以通过电子邮件发送请求访问文件。管理员将发送加密数据访问文件(扩展名为 KESDR 的文件)。
完成请求-响应密码恢复过程之后,您将获得对可移动驱动器上的文件的透明访问权限,以及对可移动驱动器的完全访问权限(读/写权限)。
例如,您可以应用可移动驱动器加密策略并解密文件。在恢复密码后或在更新策略后,Kaspersky Endpoint Security 将提示您确认更改。
如何在管理控制台 (MMC) 中获取加密数据访问文件
- 打开 Kaspersky Security Center Administration Console。
- 在管理控制台树的“受管理设备”文件夹中,打开相关客户端计算机所属的管理组名称的文件夹。
- 在工作区中选择“设备”选项卡。
- 在“设备”选项卡上,选择用户正在请求加密数据访问权限的计算机,然后单击鼠标右键打开上下文菜单。
- 在上下文菜单中,选择“授予离线模式下的访问权限”。
- 在打开的窗口中选择“数据加密”选项卡。
- 在“数据加密”选项卡上单击“浏览”按钮。
- 在用于选择请求访问文件的窗口中,指定从用户处接收的文件的路径。
您将看到有关用户请求的信息。Kaspersky Security Center 会生成一个密钥文件。通过电子邮件将生成的加密数据访问密钥文件发送给用户。或保存该访问文件并使用任何可用方法来传输该文件。
如何在 Web Console 中获取加密数据访问文件
- 在 Web Console 的主窗口中,选择“设备”→“管理设备”。
- 选中要还原其数据访问权限的计算机名称旁边的复选框。
- 单击“离线共享此设备”按钮。
- 选择“数据加密”区域。
- 单击“选择文件”按钮,然后选择从用户处收到的请求访问文件(扩展名为 KESDC 的文件)。
Web Console 将显示有关请求的信息。这将包括用户请求访问的文件所在的计算机的名称。
- 单击“保存密钥”按钮,然后选择一个文件夹来保存加密数据访问密钥文件(扩展名为 KESDR 的文件)。
结果,您将能够获取加密数据访问密钥,您需要将该密钥传输给用户。
页面顶部