完整磁盘加密

您可以选择加密技术:卡巴斯基磁盘加密 或 BitLocker 驱动器加密(以下简称“BitLocker”)。

卡巴斯基磁盘加密

加密系统硬盘驱动器后,在下次计算机启动时,用户能够访问硬盘驱动器并且操作系统加载前,用户必须通过身份验证代理的身份验证。这需要输入连接至计算机的令牌或智能卡的密码,或者本地局域网管理员使用身份验证代理账户管理任务创建的身份验证代理账户的用户名或密码。这些账户以用户登录操作系统的 Microsoft Windows 账户为基础。这些帐户以用户登录操作系统的 Microsoft Windows 帐户为基础。您还可以使用单点登录 (SSO) 技术,该技术允许您使用身份验证代理账户的用户名和密码自动登录到操作系统。

可以通过两种方式在身份验证代理中执行用户身份验证:

BitLocker 驱动器加密

BitLocker 是 Windows 操作系统内置的加密技术。Kaspersky Endpoint Security 允许您使用 Kaspersky Security Center 控制和管理 Bitlocker。BitLocker 可对逻辑卷进行加密。BitLocker 不能用于可移动驱动器的加密。有关 BitLocker 的详细信息,请参阅 Microsoft 文档

BitLocker 使用受信任平台模块提供对访问密钥的安全存储。受信任平台模块 (TPM) 是一个与安全相关的提供基本功能的微芯片(例如用于存储加密密钥)。受信任平台模块通常安装在计算机主板上,并通过硬件总线与其他所有系统组件进行交互。使用 TPM 是存储 BitLocker 访问密钥的最安全方式,因为 TPM 提供了启动前系统完整性验证。您仍然可以在没有 TPM 的计算机上对驱动器进行加密。在这种情况下,将使用密码对访问密钥进行加密。BitLocker 使用以下身份验证方式:

在对驱动器进行加密后,BitLocker 会创建一个主密钥。Kaspersky Endpoint Security 会将主密钥发送到 Kaspersky Security Center,以便您可以恢复对磁盘的访问,例如,如果用户忘记了密码。如果用户使用 BitLocker 对磁盘进行加密,Kaspersky Endpoint Security 会将有关磁盘加密的信息发送到 Kaspersky Security Center。但是,Kaspersky Endpoint Security 不会将主密钥发送到 Kaspersky Security Center,因此将无法使用 Kaspersky Security Center 恢复对磁盘的访问。为使 BitLocker 与 Kaspersky Security Center 正常协同工作,请解密驱动器,然后使用策略重新对该驱动器进行加密。您可以在本地解密驱动器,也可以使用策略解密驱动器。

对系统硬盘驱动器进行加密后,用户需要通过 BitLocker 身份验证才能启动操作系统。经过身份验证程序后,BitLocker 将允许用户登录。BitLocker 不支持单点登录技术 (SSO)。

如果正在使用 Windows 组策略,请在策略设置中关闭 BitLocker 管理。Windows 策略设置可能与 Kaspersky Endpoint Security 策略设置冲突。在对驱动器进行加密时,可能会发生错误。

卡巴斯基磁盘加密组件设置

参数

描述

加密模式

加密所有硬盘驱动器。如果选定了该项,应用策略后,应用程序将加密所有硬盘驱动器。

如果计算机安装了多个操作系统,在加密后,您将能够只加载安装了应用程序的操作系统。

解密所有硬盘驱动器。如果选定了该项,应用策略后,应用程序将解密所有先前加密的硬盘驱动器。

保留不变。如果选定了该项,应用策略后,应用程序将保留硬盘驱动器不动。如果驱动器已加密,则其仍加密。如果驱动器已解密,则其仍解密。默认情况下已选定此项。

为用户自动创建身份验证代理账户

该复选框可启用/禁用当应用策略时自动创建身份验证代理账户。Kaspersky Endpoint Security 会基于 Windows 账户创建身份验证代理账户列表。默认情况下,Kaspersky Endpoint Security 使用在过去 30 天内登录到操作系统的用户所使用的所有本地账户和域账户。

身份验证代理账户创建设置

计算机上的所有账户。如果选定了该复选框,在运行完整磁盘加密任务时,Kaspersky Endpoint Security 会为所有曾经活跃过的计算机账户创建身份验证代理账户。

计算机上的所有域账户。如果选定了该复选框,在运行完整磁盘加密任务时,Kaspersky Endpoint Security 会为所有曾经活跃过且属于某个域的计算机账户创建身份验证代理账户。

计算机上的所有本地账户。如果选定了该复选框,在运行完整磁盘加密任务时,Kaspersky Endpoint Security 会为所有曾经活跃过的本地计算机账户创建身份验证代理账户。

本地管理员。如果选定该复选框,在运行完整磁盘加密任务时,Kaspersky Endpoint Security 将创建本地管理员账户。

计算机管理者。如果选定了该复选框,在运行完整磁盘加密任务时,Kaspersky Endpoint Security 会为 Active Directory 中显示其为管理账户的账户创建身份验证代理账户。

活动账户。如果选定了该复选框,在运行完整磁盘加密任务时,Kaspersky Endpoint Security 会自动为加密任务执行期间活动的账户创建身份验证代理账户。

保存在身份验证代理中输入的用户名

如果选中该复选框,应用程序将保存身份验证代理账户的名称。下次使用同一账户在身份验证代理中尝试完成认证时不会被提示输入账户名。

仅加密使用的磁盘空间

该复选框可启用/禁用将加密区域仅限为已用硬盘驱动器扇区的选项。该限制可减少加密时间。

开始加密后,启用/禁用“仅加密使用的磁盘空间”功能不会更改该设置,直至硬盘驱动器被解密为止。开始加密之前您必须选择或清除该复选框。

如果选定该复选框,则仅加密使用的硬盘驱动器部分。Kaspersky Endpoint Security 将自动加密添加的新数据。

如果清空该复选框,整个硬盘驱动器将被加密,包括先前删除和修改文件残留的碎片。

推荐对尚未修改或删除数据的新硬盘驱动器使用该选项。如果对已在使用中的硬盘驱动器应用加密,则推荐加密整个硬盘驱动器。这样可确保保护所有数据,甚至已删除的数据也能够部分恢复。

默认情况下已清空该复选框。

使用 Legacy USB Support

此复选框可启用/禁用 Legacy USB Support 功能。Legacy USB Support 一种 BIOS/UEFI 功能,允许您在启动操作系统(BIOS 模式)之前,在计算机的引导阶段使用 USB 设备(例如安全令牌)。Legacy USB Support 不会影响操作系统启动后对 USB 设备的支持。

如果选中该复选框,在计算机初始启动期间对 USB 设备的支持将启用。

启用 Legacy USB Support 功能时,BIOS 模式下的身份验证代理不支持通过 USB 使用令牌。推荐仅当存在硬件兼容性问题时并仅对发生问题的计算机使用此选项。

密码设置

身份验证代理账户密码强度设置。您还可以启用单点登录 (SSO) 技术。

SSO 技术允许使用同一个账户凭证访问加密硬盘驱动器并登录操作系统。

如果选中该复选框,您必须输入用于访问加密硬盘驱动器以及随后自动登录操作系统的帐户凭证。

如果清除该复选框,要访问加密硬盘驱动器并随后登录操作系统,您必须分别输入用于访问加密硬盘驱动器的凭证和操作系统用户帐户凭证。

帮助文本

身份验证。输入账户凭据时,“身份验证代理”窗口中显示的帮助文本。

更改密码。更改身份验证代理账户的密码时,“身份验证代理”窗口中显示的帮助文本。

恢复密码。恢复身份验证代理账户的密码时,“身份验证代理”窗口中显示的帮助文本。

BitLocker 驱动器加密组件设置

参数

描述

加密模式

加密所有硬盘驱动器。如果选定了该项,应用策略后,应用程序将加密所有硬盘驱动器。

如果计算机安装了多个操作系统,在加密后,您将能够只加载安装了应用程序的操作系统。

解密所有硬盘驱动器。如果选定了该项,应用策略后,应用程序将解密所有先前加密的硬盘驱动器。

保留不变。如果选定了该项,应用策略后,应用程序将保留硬盘驱动器不动。如果驱动器已加密,则其仍加密。如果驱动器已解密,则其仍解密。默认情况下已选定此项。

启用需要在平板电脑上预启动键盘输入的 BitLocker 身份验证

该复选框启用/禁用在预启动环境中使用需要数据输入的身份验证,即使该平台没有能力进行预启动输入(例如使用平板电脑上的触摸屏键盘)。

平板电脑的触摸屏在预启动环境中不可用。例如,要在平板电脑上完成 BitLocker 身份验证,用户必须连接 USB 键盘。

如果选定该复选框,则允许使用需要预启动输入的身份验证。推荐在预启动环境中仅对拥有备用数据输入的设备(例如除了触摸屏键盘之外的 USB 键盘)使用该设置。

如果清除此复选框,则无法在平板电脑上使用 BitLocker 驱动器加密。

使用硬件加密

如果选定该复选框,则应用程序将应用硬件加密。这可以提高加密速度并使用较少的计算机资源。

仅加密使用的磁盘空间

该复选框可启用/禁用将加密区域仅限为已用硬盘驱动器扇区的选项。该限制可减少加密时间。

开始加密后,启用/禁用“仅加密使用的磁盘空间”功能不会更改该设置,直至硬盘驱动器被解密为止。开始加密之前您必须选择或清除该复选框。

如果选定该复选框,则仅加密使用的硬盘驱动器部分。Kaspersky Endpoint Security 将自动加密添加的新数据。

如果清空该复选框,整个硬盘驱动器将被加密,包括先前删除和修改文件残留的碎片。

推荐对尚未修改或删除数据的新硬盘驱动器使用该选项。如果对已在使用中的硬盘驱动器应用加密,则推荐加密整个硬盘驱动器。这样可确保保护所有数据,甚至已删除的数据也能够部分恢复。

默认情况下已清空该复选框。

身份验证设置

使用受信任平台模块 (TPM)

如果选定该复选框,则 BitLocker 使用受信任平台模块 (TPM)。

受信任平台模块 (TPM) 是一个与安全相关的提供基本功能的微芯片(例如用于存储加密密钥)。受信任平台模块通常安装在计算机主板上并且通过硬件总线与其他所有系统组件进行互动。

对于运行 Windows 7 或 Windows Server 2008 R2 的计算机,只能使用 TPM 模块进行加密。如果未安装 TPM 模块,则无法进行 BitLocker 加密。不支持在这些计算机上使用密码。

配有受信任平台模块的设备可以创建只能使用该设备解密的加密密钥。受信任平台模块将使用其自有的根存储密钥加密加密密钥。根存储密钥存储在受信任平台模块中。这提供了防御黑客攻击加密密钥的附加保护。

默认情况下已选择此操作。

您可以配置用于访问加密密钥的设置:

  • 使用 PIN。如果选中该复选框,用户可以使用 PIN 码获得对存储在受信任平台模块 (TPM) 中的加密密钥的访问权限。

    如果清除此复选框,则禁止用户使用 PIN 码。要访问加密密钥,用户必须输入密码。

  • 如果受信任平台模块 (TPM) 不可用则使用密码。如果选中该复选框,当受信任平台模块 (TPM) 不可用时,用户可使用密码获得对加密密钥的访问权限。

    如果清除该复选框且 TPM 不可用,则将不会启动完整磁盘加密。

    使用密码

    如果选定该选项,Kaspersky Endpoint Security 将在用户尝试访问加密磁盘时提示用户输入密码。

    没有使用受信任平台模块 (TPM) 时可以选择该选项。

另请参阅:关于通过 Kaspersky Security Center 管理控制台管理应用程序

使用卡巴斯基磁盘加密技术执行完整磁盘加密

启动 BitLocker 驱动器加密

创建硬盘驱动器加密排除列表

硬盘驱动器解密

更新操作系统

消除加密功能更新的错误

页面顶部