Kaspersky Endpoint Security 允许您加密存储在本地和可移动驱动器上的文件和文件夹,或者整个可移动驱动器和硬盘驱动器。笔记本电脑、可移动驱动器或硬盘丢失或被盗时,又或者在未经许可的用户或应用程序访问数据时,数据加密功能能够最小化信息泄露的危险。Kaspersky Endpoint Security 使用高级加密标准 (AES) 加密算法。
如果授权许可已过期,本程序不会加密新数据,旧的已加密数据仍保持加密状态并且可用。在此情况下,加密新数据将要求用允许使用加密的新授权许可来激活程序。
如果授权许可已过期,或违反了最终用户授权许可协议,亦或授权许可密钥、Kaspersky Endpoint Security 或加密组件已删除,则先前加密文件的加密状态将得不到保证。这是因为某些应用程序,例如 Microsoft Office Word,会在编辑期间创建临时文件副本。原始文件保存后,临时文件副本将会替换原始文件,结果是,在没有或无法访问加密功能的计算机上,文件仍保持为不加密。
Kaspersky Endpoint Security 提供了以下方面的数据保护:
默认加密规则低于为个别可移动驱动器创建的加密规则的优先级。为拥有特定设备型号的可移动驱动器创建的加密规则的优先级低于为拥有特定设备 ID 的可移动驱动器创建的文件加密规则的优先级。
若要为可移动驱动器上的文件选择加密规则,Kaspersky Endpoint Security 将会检查设备的型号和 ID 是否已知。然后该程序将执行以下操作之一:
程序可以让您准备可移动驱动器以便携模式使用驱动器上存储的加密数据。启用便携模式后,您可以访问连接到没有加密功能的计算机上的可移动驱动器上的加密文件。
BitLocker 技术是 Windows 操作系统的一部分。如果计算机配备了受信任平台模块 (TPM),BitLocker 将用其存储提供加密硬盘驱动器访问的恢复密钥。计算机启动时,BitLocker 将从受信任平台模块请求硬盘驱动器恢复密钥并解锁驱动器。您可以配置访问恢复密钥使用密码和/或 PIN 码。
您可以指定默认的完整磁盘加密规则,并创建要从加密中排除的硬盘驱动器的列表。应用 Kaspersky Security Center 策略后,Kaspersky Endpoint Security 将按照扇区执行完整磁盘加密。应用程序加密将同时应用至硬盘驱动器的所有逻辑分区上。
加密系统硬盘驱动器后,在下次计算机启动时,用户能够访问硬盘驱动器并且操作系统加载前,用户必须通过身份验证代理的身份验证。这需要输入连接至计算机的令牌或智能卡的密码,或者本地局域网管理员使用身份验证代理账户管理任务创建的身份验证代理账户的用户名或密码。这些账户以用户登录操作系统的 Microsoft Windows 账户为基础。这些帐户以用户登录操作系统的 Microsoft Windows 帐户为基础。您还可以使用单点登录 (SSO) 技术,该技术允许您使用身份验证代理账户的用户名和密码自动登录到操作系统。
如果您备份计算机,然后对计算机数据进行加密,之后恢复计算机备份副本并再次加密计算机数据,Kaspersky Endpoint Security 将会创建相同的身份验证代理帐户。要删除重复帐户,您必须使用带有 dupfix
密钥的 klmover 实用程序。Klmover 实用程序包含在 Kaspersky Security Center 分发包中。您可以在《Kaspersky Security Center 帮助》中了解有关其操作的更多信息。
只能在安装了带有完整磁盘加密功能的 Kaspersky Endpoint Security 的计算机上访问已加密的硬盘驱动器。当出现公司的本地局域网之外的连接尝试访问加密数据时,该功能能够最大限度地降低加密硬盘驱动器的数据泄露风险。
若要加密硬盘驱动器和可移动驱动器,您可以使用“仅加密使用的磁盘空间”功能。建议您仅为先前未使用的新设备使用该功能。如果您在已使用的设备上应用加密,建议您加密整个设备。这将确保所有数据受到保护 – 即使删除了可能仍包含可检索信息的数据。
开始加密之前,Kaspersky Endpoint Security 将获得文件系统扇区图。第一波加密包括开始加密时文件占用的扇区。第二波加密包括加密开始后写入的扇区。加密完成后,所有包含数据的扇区都将被加密。
加密完成并且用户删除文件后,存储删除文件的扇区可以在文件系统级别存储新的信息但是仍保持为加密状态。因此,在启用“仅加密使用的磁盘空间”功能的情况下,随着文件写入新设备和定期加密该设备,在一段时间后所有扇区都将加密。
解密文件所需的数据由加密时控制计算机的 Kaspersky Security Center 管理服务器提供。如果含有加密对象的计算机由于某种原因由其他管理服务器管理,则可以通过以下方式之一获取对加密数据的访问权限:
如果没有加密数据的访问权限,请遵循有关处理加密数据的特殊说明(还原对加密文件的访问权限、无法访问加密设备时的设备使用)。