Шифрование данных

Kaspersky Endpoint Security позволяет шифровать файлы и папки, хранящиеся на локальных дисках компьютера и съемных дисках, съемные и жесткие диски целиком. Шифрование данных снижает риски утечки информации в случае кражи / утери портативного компьютера, съемного диска или жесткого диска, а также при доступе посторонних пользователей и программ к данным. Kaspersky Endpoint Security использует алгоритм шифрования Advanced Encryption Standard (AES).

Если срок действия лицензии истек, то программа не шифрует новые данные, а старые зашифрованные данные остаются зашифрованными и доступными для работы. В этом случае для шифрования новых данных требуется активировать программу по новой лицензии, которая допускает использование шифрования.

В случае истечения срока действия лицензии, нарушения Лицензионного соглашения, удаления лицензионного ключа, удаления программы Kaspersky Endpoint Security или компонентов шифрования с компьютера пользователя не гарантируется, что файлы, зашифрованные ранее, останутся зашифрованными. Это связано с тем, что некоторые программы, например Microsoft Office Word, при редактировании файлов создают их временную копию, которой подменяют исходный файл при его сохранении. В результате при отсутствии или недоступности на компьютере функциональности шифрования файл остается незашифрованным.

Kaspersky Endpoint Security обеспечивает следующие направления защиты данных:

• Шифрование файлов на локальных дисках компьютера. Вы можете сформировать списки из файлов по расширению или группам расширений и из папок, расположенных на локальных дисках компьютера, а также создать правила шифрования файлов, создаваемых отдельными программами. После применения политики программа Kaspersky Endpoint Security шифрует и расшифровывает следующие файлы:
  • файлы, отдельно добавленные в списки для шифрования и расшифровки;
  • файлы, хранящиеся в папках, добавленных в списки для шифрования и расшифровки;
  • файлы, создаваемые отдельными программами.
• Шифрование съемных дисков. Вы можете указать правило шифрования по умолчанию, в соответствии с которым программа выполняет одинаковое действие по отношению ко всем съемным дискам, и указать правила шифрования отдельных съемных дисков.

  Правило шифрования по умолчанию имеет меньший приоритет, чем правила шифрования, созданные для отдельных съемных дисков. Правила шифрования, созданные для съемных дисков с указанной моделью устройства, имеют меньший приоритет, чем правила шифрования, созданные для съемных дисков с указанным идентификатором устройства.

  Чтобы выбрать правило шифрования файлов на съемном диске, Kaspersky Endpoint Security проверяет, известны ли модель устройства и его идентификатор. Далее программа выполняет одно из следующих действий:

  • Если известна только модель устройства, программа применяет правило шифрования, созданное для съемных дисков с данной моделью устройства, если такое правило есть.
  • Если известен только идентификатор устройства, программа применяет правило шифрования, созданное для съемных дисков с данным идентификатором устройства, если такое правило есть.
  • Если известны и модель устройства, и идентификатор устройства, программа применяет правило шифрования, созданное для съемных дисков с данным идентификатором устройства, если такое правило есть. Если такого правила нет, но есть правило шифрования, созданное для съемных дисков с данной моделью устройства, программа применяет его. Если не заданы правила шифрования ни для данного идентификатора устройства, ни для данной модели устройства, программа применяет правило шифрования по умолчанию.
  • Если неизвестны ни модель устройства, ни идентификатор устройства, программа применяет правило шифрования по умолчанию.

  Программа позволяет подготовить съемный диск для работы с зашифрованными на нем файлами в портативном режиме. После включения портативного режима становится доступной работа с зашифрованными файлами на съемных дисках, подключенных к компьютеру с недоступной функциональностью шифрования.

• Управление правами доступа программ к зашифрованным файлам. Для любой программы вы можете создать правило доступа к зашифрованным файлам, запрещающее доступ к зашифрованным файлам или разрешающее доступ к зашифрованным файлам только в виде шифротекста - последовательности символов, полученной в результате применения шифрования.
• Создание зашифрованных архивов. Вы можете создавать зашифрованные архивы и защищать доступ к этим архивам паролем. Доступ к содержимому зашифрованных архивов можно получить только после ввода паролей, которыми вы защитили доступ к этим архивам. Такие архивы можно безопасно передавать по сети или на съемных дисках.
• Полнодисковое шифрование. Вы можете выбрать технологию шифрования: Шифрование диска Kaspersky или Шифрование диска BitLocker (далее также "BitLocker").

  BitLocker – технология, являющаяся частью операционной системы Windows. Если компьютер оснащен доверенным платформенным модулем (англ. Trusted Platform Module – TPM), BitLocker использует его для хранения ключей восстановления, позволяющих получить доступ к зашифрованному жесткому диску. При загрузке компьютера BitLocker запрашивает у доверенного платформенного модуля ключи восстановления жесткого диска и разблокирует его. Вы можете настроить использование пароля и / или PIN-кода для доступа к ключам восстановления.

  Вы можете указать правило полнодискового шифрования по умолчанию и сформировать список жестких дисков для исключения из шифрования. Kaspersky Endpoint Security выполняет полнодисковое шифрование по секторам после применения политики Kaspersky Security Center. Программа шифрует сразу все логические разделы жестких дисков.

  После шифрования системных жестких дисков при последующем включении компьютера доступ к ним, а также загрузка операционной системы возможны только после прохождения процедуры аутентификации с помощью

  Агента аутентификации

  Интерфейс, позволяющий после шифрования загрузочного жесткого диска пройти процедуру аутентификации для доступа к зашифрованным жестким дискам и для загрузки операционной системы.

  . Для этого требуется ввести пароль токена или смарт-карты, подключенных к компьютеру, или имя и пароль учетной записи Агента аутентификации, созданной системным администратором локальной сети организации с помощью задачи Управления учетными записями Агента аутентификации. Эти учетные записи основаны на учетных записях пользователей Microsoft Windows, под которыми пользователи выполняют вход в операционную систему. Также вы можете использовать технологию единого входа (англ. Single Sign-On – SSO), позволяющую осуществлять автоматический вход в операционную систему с помощью имени и пароля учетной записи Агента аутентификации.

  Если для компьютера была создана резервная копия, затем данные компьютера были зашифрованы, после чего была восстановлена резервная копия компьютера и данные компьютера снова были зашифрованы, Kaspersky Endpoint Security формирует дубликаты учетных записей Агента аутентификации. Для удаления дубликатов требуется использовать утилиту klmover с ключом dupfix. Утилита klmover поставляется со сборкой Kaspersky Security Center. Подробнее о ее работе вы можете прочитать в справке для Kaspersky Security Center.

  Доступ к зашифрованным жестким дискам возможен только с компьютеров, на которых установлена программа Kaspersky Endpoint Security с доступной функциональностью полнодискового шифрования. Это условие сводит к минимуму вероятность утечки информации, хранящейся на зашифрованном жестком диске, при использовании зашифрованного жесткого диска вне локальной сети организации.

Для шифрования жестких и съемных дисков вы можете использовать функцию Шифровать только занятое пространство. Рекомендуется применять эту функцию только для новых, ранее не использовавшихся устройств. Если вы применяете шифрование на уже используемом устройстве, рекомендуется зашифровать все устройство. Это гарантирует защиту всех данных – даже удаленных, но еще содержащих извлекаемые сведения.

Перед началом шифрования Kaspersky Endpoint Security получает карту секторов файловой системы. В первом потоке шифруются секторы, занятые файлами на момент запуска шифрования. Во втором потоке шифруются секторы, в которые выполнялась запись после начала шифрования. После завершения шифрования все секторы, содержащие данные, оказываются зашифрованными.

Если после завершения шифрования пользователь удаляет файл, то секторы, в которых хранился этот файл, становятся свободными для дальнейшей записи информации на уровне файловой системы, но остаются зашифрованными. Таким образом, по мере записи файлов на новом устройстве при регулярном запуске шифрования с включенной функцией Шифровать только занятое пространство на компьютере через некоторое время будут зашифрованы все секторы.

Данные, необходимые для расшифровки объектов, предоставляет Сервер администрирования Kaspersky Security Center, под управлением которого находился компьютер в момент шифрования. Если по каким-либо причинам компьютер с зашифрованными объектами попал под управление другого Сервера администрирования, то получить доступ к зашифрованным данным возможно одним из следующих способов:

• Серверы администрирования в одной иерархии:
  • Вам не нужно предпринимать никаких дополнительных действий. У пользователя останется доступ к зашифрованным объектам. Ключи шифрования распространяются на все Серверы администрирования.
• Серверы администрирования разрознены:
  • Запросить доступ к зашифрованным объектам у администратора локальной сети организации.
  • Восстановить данные на зашифрованных устройствах с помощью утилиты восстановления.
  • Восстановить конфигурацию Сервера администрирования Kaspersky Security Center, под управлением которого находился компьютер в момент шифрования, из резервной копии и использовать эту конфигурацию на Сервере администрирования, под управлением которого оказался компьютер с зашифрованными объектами.

При отсутствии доступа к зашифрованным данным следуйте специальным инструкциям по работе с зашифрованными данными (Восстановление доступа к зашифрованным файлам, Работа с зашифрованными устройствами при отсутствии доступа к ним).

Ограничения функциональности шифрования

Шифрование данных имеет следующие ограничения:

• В процессе шифрования программа создает служебные файлы. Для их хранения требуется около 0,5% нефрагментированного свободного пространства на жестком диске компьютера. Если нефрагментированного свободного пространства на жестком диске недостаточно, то шифрование не запускается до тех пор, пока не обеспечено это условие.
• Управление всеми компонентами шифрования данных доступно в Консоли администрирования Kaspersky Security Center и Kaspersky Security Center Web Console. В Kaspersky Security Center Cloud Console доступно только управление BitLocker.
• Шифрование данных доступно только при использовании Kaspersky Endpoint Security с системой администрирования Kaspersky Security Center или Kaspersky Security Center Cloud Console (только BitLocker). Шифрование данных при использовании Kaspersky Endpoint Security в автономном режиме невозможно, так как Kaspersky Endpoint Security хранит в Kaspersky Security Center ключи шифрования.
• Если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Microsoft Windows для серверов, то доступно только полнодисковое шифрование с помощью технологии Шифрование диска BitLocker. Если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для рабочих станций, то функциональность шифрования данных доступна в полном объеме.

Функциональность полнодискового шифрования с помощью технологии Шифрование диска Kaspersky недоступна для жестких дисков, которые не отвечают аппаратным и программным требованиям.

Не поддерживается совместимость между функциональностью полнодискового шифрования Kaspersky Endpoint Security и Антивирусом Касперского для UEFI. Антивирус Касперского для UEFI запускается до загрузки операционной системы. При полнодисковом шифровании программа обнаружит отсутствие установленной операционной системы на компьютере. В результате работа Антивируса Касперского для UEFI завершится с ошибкой. Шифрование файлов (FLE) не влияет на работу Антивируса Касперского для UEFI.

Kaspersky Endpoint Security поддерживает следующие конфигурации:

• HDD, SSD, USB-диски.

  Технология Шифрование диска Kaspersky (FDE) поддерживает работу с SSD-дисками с сохранением производительности и срока службы SSD-дисков.

• Диски, подключенные по шине: SCSI, ATA, IEEE1934, USB, RAID, SAS, SATA, NVME.
• Несъемные диски, подключенные по шинам SD или MMC.
• Диски с размером сектора 512 байт.
• Диски с размером сектора 4096 байт, которые эмулируют 512 байт.
• Диски с типом партиций: GPT, MBR, VBR (съемные диски).
• Встроенное программное обеспечение стандарта UEFI 64 и Legacy BIOS.
• Встроенное программное обеспечение стандарта UEFI с поддержкой Secure Boot.

  Secure Boot – технология проверки цифровых подписей для UEFI приложений-загрузчиков и драйверов. Secure Boot запрещает запуск неподписанных или подписанных неизвестными издателями UEFI приложений и драйверов. Шифрование диска Kaspersky (FDE) полностью поддерживает Secure Boot. Агент аутентификации подписан сертификатом Microsoft Windows UEFI Driver Publisher.

  На некоторых устройствах (например, Microsoft Surface Pro и Microsoft Surface Pro 2) по умолчанию может быть установлен устаревший список сертификатов для проверки цифровых подписей. Перед шифрованием диска вам нужно обновить список сертификатов.

• Встроенное программное обеспечение стандарта UEFI с поддержкой Fast Boot.

  Fast Boot – технология, позволяющая ускорить загрузку компьютера. При включенной технологии Fast Boot обычно загружается только минимальный набор UEFI-драйверов, необходимый для запуска операционной системы. При включенной технологии Fast Boot при работе с Агентом аутентификации могут не работать USB-клавиатуры, мыши, USB-токены, тачпады или тачскрины.

  Для использования технологии Шифрование диска Kaspersky (FDE) рекомендуется выключить технологию Fast Boot. Вы можете проверить работу технологии Шифрование диска Kaspersky (FDE) с помощью FDE Test Utility.

Kaspersky Endpoint Security не поддерживает следующие конфигурации:

• Схема, при которой загрузчик расположен на одном диске, а операционная система – на другом.
• Встроенное программное обеспечение стандарта UEFI 32.
• Система с технологией Intel Rapid Start Technology и диски с разделом гибернации (hibernation partition), даже при отключенном использовании Intel Rapid Start Technology.
• Диски в формате MBR, имеющие более 10 расширенных разделов (extended partitions).
• Система, в которой есть файл подкачки, расположенный не на системном диске.
• Мультизагрузочная система с несколькими одновременно установленными операционными системами.
• Динамические разделы (поддерживаются только разделы основного типа).
• Диски, на которых менее 0,5% свободного нефрагментированного пространства.
• Диски с размером сектора, отличным от 512 байт или 4096 байт, которые эмулируют 512 байт.
• Гибридные диски.
• Система со сторонними загрузчиками.
• Диски со сжатыми NTFS-директориями.
• Технология Шифрование диска Kaspersky (FDE) несовместима с другими технологиями полнодискового шифрования (например, BitLocker, McAfee Drive Encryption, WinMagic SecureDoc).
• Технология Шифрование диска Kaspersky (FDE) несовместима с технологией Express Cache.
• Создание, удаление и изменение разделов на зашифрованном диске не поддерживается. Вы можете потерять данные.
• Не поддерживается форматирование файловых систем. Вы можете потерять данные.

  Если необходимо отформатировать диск, зашифрованный технологией Шифрование диска Kaspersky (FDE), выполняйте форматирование диска на компьютере без Kaspersky Endpoint Security для Windows и используйте только полное форматирование.

  Зашифрованный диск, отформатированный с помощью быстрого форматирования, при следующем подключении к компьютеру с Kaspersky Endpoint Security для Windows может быть ошибочно распознан как зашифрованный. Пользовательские данные будут недоступны.

• Агент аутентификации поддерживает не более 100 учетных записей.
• Технология единого входа (Single Sign-On) несовместима с другими технологиями сторонних производителей.
• Технология Шифрование диска Kaspersky (FDE) не поддерживается на следующих моделях устройств:
  • Dell Latitude E6410 (UEFI mode);
  • HP Compaq nc8430 (Legacy BIOS mode);
  • Lenovo Think Center 8811 (Legacy BIOS mode).
• Агент аутентификации не поддерживает работу с USB-токенами при включенной функции Legacy USB Support. На компьютере будет возможна аутентификация только по паролю.
• При шифровании диска в режиме Legacy BIOS рекомендуется включить функцию Legacy USB Support на следующих моделях устройств:
  • Acer Aspire 5560G;
  • Acer Aspire 6930;
  • Acer TravelMate 8572T;
  • Dell Inspiron 1420;
  • Dell Inspiron 1545;
  • Dell Inspiron 1750;
  • Dell Inspiron N4110;
  • Dell Latitude E4300;
  • Dell Studio 1537;
  • Dell Studio 1569;
  • Dell Vostro 1310;
  • Dell Vostro 1320;
  • Dell Vostro 1510;
  • Dell Vostro 1720;
  • Dell Vostro V13;
  • Dell XPS L502x;
  • Fujitsu Celsius W370;
  • Fujitsu LifeBook A555;
  • HP Compaq dx2450 Microtower PC;
  • Lenovo G550;
  • Lenovo ThinkPad L530;
  • Lenovo ThinkPad T510;
  • Lenovo ThinkPad W540;
  • Lenovo ThinkPad X121e;
  • Lenovo ThinkPad X200s (74665YG);
  • Samsung R530;
  • Toshiba Satellite A350;
  • Toshiba Satellite U400 10O;
  • MSI 760GM-E51 (материнская плата).

Смена длины ключа шифрования (AES56 / AES256)

Kaspersky Endpoint Security использует алгоритм шифрования AES (Advanced Encryption Standard). Kaspersky Endpoint Security поддерживает алгоритм шифрования AES с эффективной длиной ключа 256 и 56 бит. Алгоритм шифрования данных зависит от библиотеки шифрования AES, входящей в состав дистрибутива: Strong encryption (AES256) или Lite encryption (AES56). Библиотека шифрования AES устанавливается вместе с программой.

Смена длины ключа шифрования доступна только для Kaspersky Endpoint Security 11.2.0 и выше.

Смена длины ключа шифрования состоит из следующих этапов:

1. Расшифруйте объекты, которые программа Kaspersky Endpoint Security зашифровала до начала смены длины ключа шифрования:
   1. Расшифруйте жесткие диски.
   2. Расшифруйте файлы на локальных дисках.
   3. Расшифруйте съемные диски.

   После смены длины ключа шифрования объекты, зашифрованные ранее, становятся недоступны.

2. Удалите Kaspersky Endpoint Security.
3. Установите Kaspersky Endpoint Security из дистрибутива Kaspersky Endpoint Security с другой библиотекой шифрования.

Вы также можете сменить длину ключа шифрования через обновление программы. Смена длины ключа через обновление программы доступна при выполнении следующих условий:

• На компьютере установлена программа Kaspersky Endpoint Security версии 10 Service Pack 2 и выше.
• На компьютере не установлены компоненты шифрования данных: Шифрование файлов, Полнодисковое шифрование.

  По умолчанию компоненты шифрования данных не включены в состав Kaspersky Endpoint Security. Компонент Управление BitLocker не влияет на смену длины ключа шифрования.

Для смены длины ключа шифрования запустите файл kes_win.msi или setup_kes.exe из дистрибутива с нужной библиотекой шифрования. Также вы можете обновить программу дистанционно с помощью инсталляционного пакета.

Невозможно сменить длину ключа шифрования с помощью дистрибутива той же версии программы, которая установлена на вашем компьютере, без предварительного удаления программы.

Шифрование диска Kaspersky

Технология Шифрование диска Kaspersky доступна только для компьютеров под управлением операционной системы Windows для рабочих станций. Для компьютеров под управлением операционной системы Windows для серверов используйте технологию Шифрование диска BitLocker.

Kaspersky Endpoint Security поддерживает полнодисковое шифрование в файловых системах FAT32, NTFS и exFat.

Перед запуском полнодискового шифрования программа выполняет ряд проверок на возможность шифрования устройства, в том числе и проверку совместимости системного жесткого диска с Агентом аутентификации или с компонентами шифрования BitLocker. Для проверки совместимости требуется выполнить перезагрузку компьютера. После перезагрузки компьютера программа в автоматическом режиме выполняет все необходимые проверки. Если проверка на совместимость проходит успешно, то после загрузки операционной системы и запуска программы запускается полнодисковое шифрование. Если в процессе проверки обнаруживается несовместимость системного жесткого диска с Агентом аутентификации или с компонентами шифрования BitLocker, требуется перезагрузить компьютер с помощью аппаратной кнопки (Reset). Kaspersky Endpoint Security фиксирует информацию о несовместимости, на основе которой не запускает полнодисковое шифрование после старта операционной системы. В отчетах Kaspersky Security Center выводится информация об этом событии.

Если аппаратная конфигурация компьютера изменилась, то для проверки системного жесткого диска на совместимость с Агентом аутентификации и компонентами шифрования BitLocker требуется удалить информацию о несовместимости, полученную программой при предыдущей проверке. Для этого перед полнодисковым шифрованием в командной строке требуется ввести команду avp pbatestreset. Если после проверки системного жесткого диска на совместимость с Агентом аутентификации операционная система не может запуститься, требуется удалить объекты и данные, оставшиеся после тестовой работы Агента аутентификации, с помощью утилиты восстановления, далее запустить Kaspersky Endpoint Security и выполнить команду avp pbatestreset повторно.

После запуска полнодисковое шифрование Kaspersky Endpoint Security шифрует все, что записывается на жесткие диски.

Если во время полнодискового шифрования пользователь выключает или перезагружает компьютер, то перед последующей загрузкой операционной системы загружается Агент аутентификации. После прохождения процедуры аутентификации в агенте и загрузки операционной системы Kaspersky Endpoint Security возобновляет полнодисковое шифрование.

Если во время полнодискового шифрования операционная система переходит в режим гибернации (hibernation mode), то при выводе операционной системы из режима гибернации загружается Агент аутентификации. После прохождения процедуры аутентификации в агенте и загрузки операционной системы Kaspersky Endpoint Security возобновляет полнодисковое шифрование.

Если во время полнодискового шифрования операционная система переходит в спящий режим (sleep mode), то при выводе операционной системы из спящего режима Kaspersky Endpoint Security возобновляет полнодисковое шифрование без загрузки Агента аутентификации.

Аутентификация пользователя в Агенте аутентификации может выполняться двумя способами:

• путем ввода имени и пароля учетной записи Агента аутентификации, созданной администратором локальной сети организации средствами Kaspersky Security Center;
• путем ввода пароля подключенного к компьютеру токена или смарт-карты.

  Использование токена или смарт-карты доступно, только если жесткие диски компьютера зашифрованы с помощью алгоритма шифрования AES256. Если жесткие диски компьютера зашифрованы с помощью алгоритма шифрования AES56, то в добавлении файла электронного сертификата в команду будет отказано.

Агент аутентификации поддерживает раскладки клавиатуры для следующих языков:

• Английский (Великобритания);
• Английский (США);
• Арабский (Алжир, Марокко, Тунис, раскладка AZERTY);
• Испанский (Латинская Америка);
• Итальянский;
• Немецкий (Германия и Австрия);
• Немецкий (Швейцария);
• Португальский (Бразилия, раскладка ABNT2);
• Русский (для 105-клавишных клавиатур IBM / Windows с раскладкой ЙЦУКЕН);
• Турецкий (раскладка QWERTY);
• Французский (Франция);
• Французский (Швейцария);
• Французский (Бельгия, раскладка AZERTY);
• Японский (для 106-клавишных клавиатур с раскладкой QWERTY).

Раскладка клавиатуры становится доступной в Агенте аутентификации, если она добавлена в настройках языка и региональных стандартов операционной системы и доступна на экране приветствия Microsoft Windows.

Если имя учетной записи Агента аутентификации содержит символы, которые невозможно ввести с помощью доступных в Агенте аутентификации раскладок клавиатуры, то доступ к зашифрованным жестким дискам возможен только после их восстановления с помощью утилиты восстановления или после восстановления имени и пароля учетной записи Агента аутентификации.

Особенности шифрования SSD-дисков

Программа поддерживает шифрование SSD-дисков, гибридных SSHD-дисков и дисков с функцией Intel Smart Response. Программа не поддерживает шифрование дисков с функцией Intel Rapid Start. Перед шифрованием диска выключите функцию Intel Rapid Start.

Шифрование SSD-дисков имеет следующие особенности:

• Если SSD-диск новый и на нем нет конфиденциальных данных, включите функцию шифрования только занятого пространства. Это позволит перезаписать необходимые секторы диска.
• Если SSD-диск используется и на нем хранятся конфиденциальные данные, выберите один из вариантов:
  • Выполните полную очистку SSD-диска (Secure Erase), установите операционную систему и запустите шифрование SSD-диска с включенной функцией шифрования только занятого пространства.
  • Запустите шифрование SSD-диска с выключенной функцией шифрования только занятого пространства.

Для запуска шифрования SSD-диска требуется 5-10 ГБ свободного пространства. Требования к свободному пространству для хранения служебных данных шифрования представлены в таблице ниже.

Требования к свободному пространству для хранения служебных данных шифрования

Полнодисковое шифрование с помощью технологии Шифрование диска Kaspersky

Перед запуском полнодискового шифрования рекомендуется убедиться в том, что компьютер не заражен. Для этого запустите полную проверку или проверку важных областей компьютера. Выполнение полнодискового шифрования на компьютере, зараженном руткитом, может привести к неработоспособности компьютера.

Чтобы выполнить полнодисковое шифрование с помощью технологии Шифрование диска Kaspersky, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Шифрование данных → Полнодисковое шифрование.
6. В раскрывающемся списке Технология шифрования выберите элемент Шифрование диска Kaspersky.

   Применение технологии шифрования Шифрование диска Kaspersky невозможно, если на компьютере есть жесткие диски, зашифрованные с помощью BitLocker.

7. В раскрывающемся списке Режим шифрования выберите действие Шифровать все жесткие диски.

   Если на компьютере установлено несколько операционных систем, то после шифрования всех жестких дисков вы сможете выполнить загрузку только той операционной системы, в которой установлена программа.

   Если некоторые жесткие диски нужно исключить из шифрования, сформируйте их список.

8. Настройте правила добавления учетных записей Агента аутентификации при шифровании диска. Агент позволяет пользователю пройти аутентификацию для доступа к зашифрованным дискам и для загрузки операционной системы. Для автоматического добавления учетных записей Агента аутентификации настройте следующие параметры:
   • Автоматически создавать учетные записи Агента аутентификации для пользователей при применении шифрования на компьютере. Если флажок установлен, программа создает учетные записи Агента аутентификации на основе списков учетных записей Windows на компьютере. По умолчанию Kaspersky Endpoint Security использует все локальные и доменные учетные записи, с помощью которых пользователь выполнял вход в операционную систему за последние 30 дней.
   • Автоматически создавать учетные записи Агента аутентификации для всех пользователей на компьютере при входе. Если флажок установлен, программа проверяет информацию об учетных записях Windows на компьютере перед запуском Агента аутентификации. Если Kaspersky Endpoint Security обнаружит учетную запись Windows, для которой нет учетной записи Агента аутентификации, программа создаст новую учетную запись для доступа к зашифрованным дискам. Новая учетная запись Агента аутентификации будет иметь параметры по умолчанию: вход только по паролю, смена пароля при первой аутентификации. Таким образом, вам не нужно вручную добавлять учетные записи Агента аутентификации с помощью задачи Управление учетными записями Агента аутентификации для компьютеров с уже зашифрованными дискам.

   Если вы выключили автоматическое создание учетных записей Агента аутентификации, вы можете вручную добавить учетные записи Агента аутентификации с помощью задачи Управление учетными записями. Также с помощью задачи вы можете изменить параметры учетных записей Агента аутентификации, которые были созданы автоматически.

9. Для удобства пользования вы можете сохранить имя пользователя в память Агента аутентификации, чтобы пользователь при следующем входе в систему вводил только пароль. Для этого установите флажок Сохранять введенное в Агенте аутентификации имя пользователя.
10. Выберите один из следующих способов шифрования:
    • Если вы хотите применить шифрование только к тем секторам жесткого диска, которые заняты файлами, установите флажок Шифровать только занятое пространство.

      Если вы применяете шифрование на уже используемом диске, рекомендуется зашифровать весь диск. Это гарантирует защиту всех данных – даже удаленных, но еще содержащих извлекаемые сведения. Функцию Шифровать только занятое пространство рекомендуется использовать для новых, ранее не использовавшихся дисков.

    • Если вы хотите применить шифрование ко всему жесткому диску, снимите флажок Шифровать только занятое пространство.

      Если устройство было зашифровано ранее с использованием функции Шифровать только занятое пространство (сокращает время шифрования), после применения политики в режиме Шифровать все жесткие диски секторы, не занятые файлами, по-прежнему не будут зашифрованы.

11. Если в ходе шифрования компьютера возникла проблема несовместимости с аппаратным обеспечением, вы можете установить флажок Использовать Legacy USB Support (не рекомендуется).

    Legacy USB Support – функция BIOS / UEFI, которая позволяет использовать USB-устройства (например, токен) на этапе загрузки компьютера до запуска операционной системы (BIOS-режим). Функция Legacy USB Support не влияет на поддержку USB-устройств после запуска операционной системы.

    При включенной функции Legacy USB Support Агент аутентификации в BIOS-режиме не поддерживает работу с токенами по USB. Функцию рекомендуется использовать только при возникновении проблемы несовместимости с аппаратным обеспечением и только для тех компьютеров, на которых возникла проблема.

12. Сохраните внесенные изменения.

Вы можете контролировать процесс шифрования или расшифровки диска на компьютере пользователя с помощью инструмента Мониторинг шифрования. Вы можете запустить инструмент Мониторинг шифрования из главного окна программы.

Если системные жесткие диски зашифрованы, перед загрузкой операционной системы загружается Агент аутентификации. С помощью Агента аутентификации требуется пройти процедуру аутентификации для получения доступа к зашифрованным системным жестким дискам и загрузки операционной системы. После успешного прохождения процедуры аутентификации загружается операционная система. При последующих перезагрузках операционной системы требуется повторно проходить процедуру аутентификации.

Формирование списка жестких дисков для исключения из шифрования

Вы можете сформировать список исключений из шифрования только для технологии Шифрование диска Kaspersky.

Чтобы сформировать список жестких дисков для исключения из шифрования, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Шифрование данных → Полнодисковое шифрование.
6. В раскрывающемся списке Технология шифрования выберите вариант Шифрование диска Kaspersky.

   В таблице Не шифровать следующие жесткие диски отобразятся записи о жестких дисках, которые программа не будет шифровать. Если вы ранее не сформировали список жестких дисков для исключения из шифрования, эта таблица пуста.

7. Если вы хотите добавить жесткие диски в список жестких дисков, которые программа не будет шифровать, выполните следующие действия:
   1. Нажмите на кнопку Добавить.
   2. В окне Добавление устройств из списка Kaspersky Security Center укажите значения параметров Название, Компьютер, Тип диска, Шифрование диска Kaspersky.
   3. Нажмите на кнопку Обновить.
   4. В графе Название установите флажки в строках таблицы, соответствующих тем жестким дискам, которые вы хотите добавить в список жестких дисков для исключения из шифрования.
   5. Нажмите на кнопку OK.

   Выбранные жесткие диски отобразятся в таблице Не шифровать следующие жесткие диски.

8. Если вы хотите удалить жесткие диски из таблицы исключений, выберите одну или несколько строк в таблице Не шифровать следующие жесткие диски и нажмите на кнопку Удалить.

   Чтобы выбрать несколько строк в таблице, выделяйте их, удерживая клавишу CTRL.

9. Сохраните внесенные изменения.

Экспорт и импорт списка жестких дисков для исключения из шифрования

Вы можете экспортировать список исключений жестких дисков из шифрования в файл в формате XML. Далее вы можете вносить изменения в файл, чтобы, например, добавить большое количество однотипных исключений. Также вы можете использовать функцию экспорта / импорта для резервного копирования списка исключений или для миграции исключений на другой сервер.

Как экспортировать / импортировать список исключений жестких дисков из шифрования в Консоли администрирования (MMC)

Как экспортировать / импортировать список исключений жестких дисков из шифрования в Web Console

Включение использования технологии единого входа (SSO)

Технология единого входа (англ. Single Sign-On – SSO) позволяет выполнить автоматический вход в операционную систему с помощью учетных данных Агента аутентификации.

При использовании технологии единого входа Агент аутентификации игнорирует требования к надежности пароля, заданные в Kaspersky Security Center. Вы можете задать требования к надежности пароля в параметрах операционной системы.

Технология единого входа несовместима со сторонними поставщиками учетных данных.

Как включить использование технологии единого входа в Консоли администрирования (MMC)

Как включить использование технологии единого входа в Web Console

Для работы технологии единого входа пароль учетной записи Windows и пароль учетной записи Агента аутентификации должны совпадать. Если пароли не совпадают, то пользователю нужно выполнить процедуру аутентификации дважды: в интерфейсе Агента аутентификации и перед загрузкой операционной системы. После этого Kaspersky Endpoint Security заменит пароль учетной записи Агента аутентификации на пароль учетной записи Windows.

Управление учетными записями Агента аутентификации

Агент аутентификации нужен для работы с дисками, которые защищены с помощью технологии Шифрование диска Kaspersky (FDE). Перед загрузкой операционной системы пользователю нужно пройти аутентификацию с помощью агента. Для настройки параметров аутентификации пользователей предназначена задача Управление учетными записями Агента аутентификации. Вы можете использовать как локальные задачи для отдельных компьютеров, так и групповые задачи для компьютеров из отдельных групп администрирования или выборки компьютеров.

Настроить расписание запуска задачи Управление учетными записями Агента аутентификации невозможно. Также невозможно принудительно остановить выполнение задачи.

Как создать задачу Управление учетными записями Агента аутентификации в Консоли администрирования (MMC)

Как создать задачу Управление учетными записями Агента аутентификации в Web Console

Для добавления учетной записи Агента аутентификации нужно добавить специальную команду в задачу Управление учетными записями Агента аутентификации. Групповую задачу удобно использовать, например, для добавления учетной записи администратора на все компьютеры.

Kaspersky Endpoint Security позволяет автоматически создавать учетные записи Агента аутентификации перед шифрованием диска. Вы можете включить автоматическое создание учетных записей Агента аутентификации в параметрах политики полнодискового шифрования. Также вы можете использовать технологию единого входа (SSO).

Как добавить учетную запись Агента аутентификации через Консоль администрирования (MMC)

Как добавить учетную запись Агента аутентификации через Web Console

Для изменения пароля и других параметров учетной записи Агента аутентификации нужно добавить специальную команду в задачу Управление учетными записями Агента аутентификации. Групповую задачу удобно использовать, например, для замены сертификата токена администратора на всех компьютерах.

Как изменить учетную запись Агента аутентификации через Консоль администрирования (MMC)

Как изменить учетную запись Агента аутентификации через Web Console

Для удаления учетной записи Агента аутентификации нужно добавить специальную команду в задачу Управление учетными записями Агента аутентификации. Групповую задачу удобно использовать, например, для удаления учетной записи уволенного сотрудника.

Как удалить учетную запись Агента аутентификации через Консоль администрирования (MMC)

Как удалить учетную запись Агента аутентификации через Web Console

Для просмотра списка пользователей, которые могут пройти аутентификацию с помощью агента и загрузить операционную систему, нужно перейти в свойства управляемого компьютера.

Как просмотреть список учетных записей Агента аутентификации через Консоль администрирования (MMC)

Как просмотреть список учетных записей Агента аутентификации через Web Console

Использование токена и смарт-карты при работе с Агентом аутентификации

При аутентификации для доступа к зашифрованным жестким дискам можно использовать токен или смарт-карту. Для этого необходимо добавить файл электронного сертификата токена или смарт-карты в задачу Управление учетными записями Агента аутентификации.

Использование токена или смарт-карты доступно, только если жесткие диски компьютера зашифрованы с помощью алгоритма шифрования AES256. Если жесткие диски компьютера зашифрованы с помощью алгоритма шифрования AES56, то в добавлении файла электронного сертификата в команду будет отказано.

Kaspersky Endpoint Security работает со следующими токенами, считывателями смарт-карт и смарт-картами:

• SafeNet eToken PRO 64K (4.2b);
• SafeNet eToken PRO 72K Java;
• SafeNet eToken 4100-72K Java;
• SafeNet eToken 5100;
• SafeNet eToken 5105;
• SafeNet eToken 7300;
• EMC RSA SID 800;
• Gemalto IDPrime.NET 510;
• Gemalto IDPrime.NET 511;
• ruToken Рутокен ЭЦП;
• ruToken Рутокен ЭЦП Flash;
• Athena IDProtect Laser;
• SafeNet eToken PRO 72K Java;
• Aladdin-RD JaCarta PKI.

Чтобы добавить файл электронного сертификата токена или смарт-карты в команду для создания учетной записи Агента аутентификации, его требуется предварительно сохранить с помощью стороннего программного обеспечения, предназначенного для управления сертификатами.

Сертификат токена или смарт-карты должен обладать следующими свойствами:

• Сертификат удовлетворяет стандарту X.509, а файл сертификата имеет кодировку DER.
• Сертификат содержит RSA-ключ длиной не менее 1024 бит.

Если электронный сертификат токена или смарт-карты не удовлетворяет этим требованиям, загрузить файл сертификата в команду для создания учетной записи Агента аутентификации невозможно.

Также параметр KeyUsage сертификата должен иметь значение keyEncipherment или dataEncipherment. Параметр KeyUsage определяет назначение сертификата. Если параметр имеет другое значение, Kaspersky Security Center загрузит файл сертификата, но покажет предупреждение.

Если пользователь потерял токен или смарт-карту, администратору требуется добавить файл электронного сертификата нового токена или новой смарт-карты в команду для создания учетной записи Агента аутентификации. После этого пользователю требуется пройти процедуру получения доступа к зашифрованным устройствам или восстановления данных на зашифрованных устройствах.

Расшифровка жестких дисков

Вы можете расшифровать жесткие диски даже при отсутствии действующей лицензии, допускающей шифрование данных.

Чтобы расшифровать жесткие диски, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Шифрование данных → Полнодисковое шифрование.
6. В раскрывающемся списке Технология шифрования выберите ту технологию, с помощью которой были зашифрованы жесткие диски.
7. Выполните одно из следующих действий:
   • В раскрывающемся списке Режим шифрования выберите элемент Расшифровывать все жесткие диски, если вы хотите расшифровать все зашифрованные жесткие диски.
   • В таблицу Не шифровать следующие жесткие диски добавьте те зашифрованные жесткие диски, которые вы хотите расшифровать.

     Этот вариант доступен только для технологии шифрования Шифрование диска Kaspersky.

8. Сохраните внесенные изменения.

Вы можете контролировать процесс шифрования или расшифровки диска на компьютере пользователя с помощью инструмента Мониторинг шифрования. Вы можете запустить инструмент Мониторинг шифрования из главного окна программы.

Если во время расшифровки жестких дисков, зашифрованных с помощью технологии Шифрование диска Kaspersky, пользователь выключает или перезагружает компьютер, то перед последующей загрузкой операционной системы загружается Агент аутентификации. После прохождения процедуры аутентификации в агенте и загрузки операционной системы Kaspersky Endpoint Security возобновляет расшифровку жестких дисков.

Если во время расшифровки жестких дисков, зашифрованных с помощью технологии Шифрование диска Kaspersky, операционная система переходит в режим гибернации (hibernation mode), то при выводе операционной системы из режима гибернации загружается Агент аутентификации. После прохождения процедуры аутентификации в агенте и загрузки операционной системы Kaspersky Endpoint Security возобновляет расшифровку жестких дисков. После расшифровки жестких дисков режим гибернации недоступен до первой перезагрузки операционной системы.

Если во время расшифровки жестких дисков операционная система переходит в спящий режим (sleep mode), то при выводе операционной системы из спящего режима Kaspersky Endpoint Security возобновляет расшифровку жестких дисков без загрузки Агента аутентификации.

Восстановление доступа к диску, защищенному технологией Шифрование диска Kaspersky

Если пользователь забыл пароль доступа к жесткому диску, защищенному технологией Шифрование диска Kaspersky, нужно запустить процедуру восстановления ("Запрос - Ответ").

Восстановление доступа к системному жесткому диску

Восстановление доступа к системному жесткому диску, защищенному технологией Шифрование диска Kaspersky, состоит из следующих этапов:

1. Пользователь сообщает администратору блоки запроса (см. рис. ниже).
2. Администратор вводит блоки запроса в Kaspersky Security Center, получает блоки ответа и сообщает блоки ответа пользователю.
3. Пользователь вводит блоки ответа в интерфейсе Агента аутентификации и получает доступ к жесткому диску.

   

   Восстановление доступа к системному жесткому диску, защищенного технологией Шифрование диска Kaspersky

Для запуска процедуры восстановления пользователю нужно в интерфейсе Агента аутентификации нажать на кнопку Forgot your password.

Как получить блоки ответа для системного жесткого диска, защищенного технологией Шифрование диска Kaspersky, в Консоли администрирования (MMC)

Как получить блоки ответа для системного жесткого диска, защищенного технологией Шифрование диска Kaspersky, в Web Console

После прохождения процедуры восстановления Агент аутентификации предложит пользователю сменить пароль.

Восстановление доступа к несистемному жесткому диску

Восстановление доступа к несистемному жесткому диску, защищенному технологией Шифрование диска Kaspersky, состоит из следующих этапов:

1. Пользователь отправляет администратору файл запроса.
2. Администратор добавляет файл запроса в Kaspersky Security Center, создает файл ключа доступа и отправляет файл пользователю.
3. Пользователь добавляет файл ключа доступа в Kaspersky Endpoint Security и получает доступ к жесткому диску.

Для запуска процедуры восстановления пользователю нужно обратиться к жесткому диску. В результате Kaspersky Endpoint Security создаст файл запроса (файл с расширением kesdc), который пользователю нужно передать администратору, например, по электронной почте.

Как получить файл ключа доступа к зашифрованному несистемному жесткому диску в Консоли администрирования (MMC)

Как получить файл ключа доступа к зашифрованному несистемному жесткому диску в Web Console

Обновление операционной системы

Обновление операционной системы компьютера, защищенного с помощью полнодискового шифрования (FDE), имеет ряд особенностей. Выполняйте обновление операционной системы последовательно: сначала обновите ОС на одном компьютере, затем на небольшой части компьютеров, затем на всех компьютерах сети.

Если вы используете технологию Шифрование диска Kaspersky, то перед запуском операционной системы загружается Агент аутентификации. С помощью Агента аутентификации пользователь выполняет вход в систему и получает доступ к зашифрованным дискам. Далее начинается загрузка операционной системы.

Если запустить обновление операционной системы на компьютере, защищенном с помощью технологии Шифрование диска Kaspersky, мастер обновления ОС может удалить Агент аутентификации. В результате компьютер может быть заблокирован, так как загрузчик ОС не сможет получить доступ к зашифрованному диску.

Подробнее о безопасном обновлении операционной системы вы можете узнать в базе знаний Службы технической поддержки.

Автоматическое обновление операционной системы доступно при выполнении следующих условий:

1. Обновление ОС через WSUS (Windows Server Update Services).
2. На компьютере установлена операционная система Windows 10 версия 1607 (RS1) и выше.
3. На компьютере установлена программа Kaspersky Endpoint Security версии 11.2.0 и выше.

При выполнении всех условий вы можете обновлять операционную систему обычным способом.

Если вы используете технологию Шифрование диска Kaspersky (FDE) и на компьютере установлена программа Kaspersky Endpoint Security для Windows версий 11.1.0 и 11.1.1, для обновления Windows 10 не нужно расшифровывать жесткие диски.

Для обновления операционной системы вам нужно выполнить следующие действия:

1. Перед обновлением системы скопируйте драйверы cm_km.inf, cm_km.sys, klfde.cat, klfde.inf, klfde.sys, klfdefsf.cat, klfdefsf.inf, klfdefsf.sys в локальную папку. Например, C:\fde_drivers.
2. Запустите установку обновления системы с ключом /ReflectDrivers, указав папку с сохраненными драйверами:

   setup.exe /ReflectDrivers C:\fde_drivers

Если вы используете технологию Шифрование диска BitLocker, для обновления Windows 10 не нужно расшифровывать жесткие диски. Подробнее о BitLocker см. на сайте Microsoft.

Устранение ошибок при обновлении функциональности шифрования

При обновлении с предыдущих версий программы до Kaspersky Endpoint Security для Windows 11.7.0 обновляется функциональность полнодискового шифрования.

При запуске обновления функциональности полнодискового шифрования могут возникнуть следующие ошибки:

• Не удалось инициализировать обновление.
• Устройство несовместимо с Агентом аутентификации.

Чтобы устранить ошибки, возникшие при запуске обновления функциональности полнодискового шифрования, в новой версии программы выполните следующие действия:

1. Расшифруйте жесткие диски.
2. Повторно зашифруйте жесткие диски.

В процессе обновления функциональности полнодискового шифрования могут возникнуть следующие ошибки:

• Не удалось завершить обновление.
• Откат обновления функциональности шифрования завершен с ошибкой.

Чтобы устранить ошибки, возникшие в процессе обновления функциональности полнодискового шифрования,

восстановите доступ к зашифрованному устройству с помощью утилиты восстановления.

Выбор уровня трассировки Агента аутентификации

Программа записывает служебную информацию о работе Агента аутентификации, а также информацию о действиях, которые выполняет пользователь в Агенте аутентификации, в файл трассировки.

Чтобы выбрать уровень трассировки Агента аутентификации, выполните следующие действия:

1. Сразу после запуска компьютера с зашифрованными жесткими дисками по кнопке F3 вызовите окно для настройки параметров Агента аутентификации.
2. В окне настройки параметров Агента аутентификации выберите уровень трассировки:
   • Disable debug logging (default). Если выбран этот вариант, то программа не записывает информацию о событиях работы Агента аутентификации в файл трассировки.
   • Enable debug logging. Если выбран этот вариант, то программа записывает информацию о работе Агента аутентификации и действиях, которые выполняет пользователь в Агенте аутентификации, в файл трассировки.
   • Enable verbose logging. Если выбран этот вариант, то программа записывает детальную информацию о работе Агента аутентификации и действиях, которые выполняет пользователь в Агенте аутентификации, в файл трассировки.

     Уровень детализации записей для этого варианта выше, чем при выборе уровня Enable debug logging. Высокий уровень детализации записей может замедлять загрузку Агента аутентификации и операционной системы.

   • Enable debug logging and select serial port. Если выбран этот вариант, то программа записывает информацию о работе Агента аутентификации и действиях, которые выполняет пользователь в Агенте аутентификации, в файл трассировки, а также передает ее через COM-порт.

     Если компьютер с зашифрованными жесткими дисками соединен с другим компьютером через COM-порт, то события работы Агента аутентификации можно исследовать с помощью этого компьютера.

   • Enable verbose debug logging and select serial port. Если выбран этот вариант, то программа записывает детальную информацию о работе Агента аутентификации и действиях, которые выполняет пользователь в Агенте аутентификации, в файл трассировки, а также передает ее через COM-порт.

     Уровень детализации записей для этого варианта выше, чем при выборе уровня Enable debug logging and select serial port. Высокий уровень детализации записей может замедлять загрузку Агента аутентификации и операционной системы.

Запись в файл трассировки Агента аутентификации выполняется в случае, если на компьютере есть зашифрованные жесткие диски или выполняется полнодисковое шифрование.

Файл трассировки Агента аутентификации не передается в "Лабораторию Касперского", как другие файлы трассировки программы. При необходимости вы можете самостоятельно отправить файл трассировки Агента аутентификации в "Лабораторию Касперского" для анализа.

Изменение справочных текстов Агента аутентификации

Перед изменением справочных текстов Агента аутентификации ознакомьтесь со списком поддерживаемых символов в предзагрузочной среде (см. ниже).

Чтобы изменить справочные тексты Агента аутентификации, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Шифрование данных → Общие настройки шифрования.
6. Нажмите на кнопку Справка в блоке Шаблоны.

   Откроется окно Справочные тексты Агента аутентификации.

7. Выполните следующие действия:
   • Выберите закладку Аутентификация, если вы хотите изменить справочный текст, отображающийся в окне Агента аутентификации на этапе ввода учетных данных.
   • Выберите закладку Смена пароля, если вы хотите изменить справочный текст, отображающийся в окне Агента аутентификации на этапе смены пароля для учетной записи Агента аутентификации.
   • Выберите закладку Восстановление пароля, если вы хотите изменить справочный текст, отображающийся в окне Агента аутентификации на этапе восстановления пароля для учетной записи Агента аутентификации.
8. Измените справочные тексты.

   Если вы хотите восстановить исходный текст, нажмите на кнопку По умолчанию.

   Вы можете ввести справочный текст, содержащий 16 или менее строк. Максимальная длина строки составляет 64 символа.

9. Сохраните внесенные изменения.

Ограничения поддержки символов в справочных текстах Агента аутентификации

В предзагрузочной среде поддерживаются следующие символы Unicode:

• основная латиница (0000 - 007F);
• дополнительные символы Latin-1 (0080 - 00FF);
• расширенная латиница-A (0100 - 017F);
• расширенная латиница-B (0180 - 024F);
• некомбинируемые протяженные символы-идентификаторы (02B0 - 02FF);
• комбинируемые диакритические знаки (0300 - 036F);
• греческий и коптский алфавиты (0370 - 03FF);
• кириллица (0400 - 04FF);
• иврит (0590 - 05FF);
• арабское письмо (0600 - 06FF);
• дополнительная расширенная латиница (1E00 - 1EFF);
• знаки пунктуации (2000 - 206F);
• символы валют (20A0 - 20CF);
• буквоподобные символы (2100 - 214F);
• геометрические фигуры (25A0 - 25FF);
• формы представления арабских букв-B (FE70 - FEFF).

Символы, не указанные в этом списке, не поддерживаются в предзагрузочной среде. Не рекомендуется использовать такие символы в справочных текстах Агента аутентификации.

Удаление объектов и данных, оставшихся после тестовой работы Агента аутентификации

Если в процессе удаления программы Kaspersky Endpoint Security обнаруживает объекты и данные, оставшиеся на системном жестком диске после тестовой работы Агента аутентификации, то удаление программы прерывается и становится невозможным до тех пор, пока эти объекты и данные не будут удалены.

Объекты и данные могут остаться на системном жестком диске после тестовой работы Агента аутентификации только в исключительных ситуациях. Например, если после применения политики Kaspersky Security Center c установленными параметрами шифрования компьютер не перезагружался или после тестовой работы Агента аутентификации программа не запускается.

Вы можете удалить объекты и данные, оставшиеся на системном жестком диске после тестовой работы Агента аутентификации, следующими способами:

• с помощью политики Kaspersky Security Center;
• с помощью утилиты восстановления.

Чтобы удалить объекты и данные, оставшиеся после тестовой работы Агента аутентификации, с помощью политики Kaspersky Security Center, выполните следующие действия:

1. Примените к компьютеру политику Kaspersky Security Center с установленными параметрами для расшифровки всех жестких дисков компьютера.
2. Запустите Kaspersky Endpoint Security.

    

Чтобы удалить данные о несовместимости программы с Агентом аутентификации,

в командной строке введите команду avp pbatestreset.

Управление BitLocker

BitLocker – встроенная в операционную систему Windows технология шифрования. Kaspersky Endpoint Security позволяет контролировать и управлять Bitlocker с помощью Kaspersky Security Center. BitLocker шифрует логический том. Шифрование съемных дисков с помощью BitLocker невозможно. Подробнее о BitLocker см. в документации Microsoft.

BitLocker обеспечивает безопасность хранения ключей доступа с помощью доверенного платформенного модуля. Доверенный платформенный модуль (англ. Trusted Platform Module – TPM) – микрочип, разработанный для предоставления основных функций, связанных с безопасностью (например, для хранения ключей шифрования). Доверенный платформенный модуль обычно устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины. Использование TPM является самым безопасным способом хранения ключей доступа BitLocker, так как TPM позволяет проверять целостность операционной системы. На компьютерах без TPM вы также можете зашифровать диски. При этом ключ доступа будет зашифрован паролем. Таким образом, BitLocker использует следующие способы аутентификации:

• TPM.
• TPM и PIN-код.
• Пароль.

После шифрования диска BitLocker создает мастер-ключ. Kaspersky Endpoint Security отправляет мастер-ключ в Kaspersky Security Center, чтобы вы имели возможность восстановить доступ к диску, если пользователь, например, забыл пароль.

Если пользователь самостоятельно зашифровал диск с помощью BitLocker, Kaspersky Endpoint Security отправит информацию о шифровании диска в Kaspersky Security Center. При этом Kaspersky Endpoint Security не отправит мастер-ключ в Kaspersky Security Center, и восстановить доступ к диску с помощью Kaspersky Security Center будет невозможно. Для корректной работы BitLocker c Kaspersky Security Center расшифруйте диск и зашифруйте диск повторно с помощью политики. Расшифровать диск вы можете локально или с помощью политики.

После шифрования системного жесткого диска для загрузки операционной системы пользователю нужно пройти процедуру аутентификации BitLocker. После прохождения процедуры аутентификации BitLocker будет доступен вход в систему. BitLocker не поддерживает технологию единого входа (SSO).

Если вы используете групповые политики для Windows, выключите управление BitLocker в параметрах политики. Параметры политики для Windows могут противоречить параметрам политики Kaspersky Endpoint Security. При шифровании диска могут возникнуть ошибки.

Запуск шифрования диска BitLocker

Перед запуском полнодискового шифрования рекомендуется убедиться в том, что компьютер не заражен. Для этого запустите полную проверку или проверку важных областей компьютера. Выполнение полнодискового шифрования на компьютере, зараженном руткитом, может привести к неработоспособности компьютера.

Для работы BitLocker на компьютерах под управлением операционной системы Windows для серверов может потребоваться установить компонент шифрования диска BitLocker. Установите компонент средствами операционной системы (мастер добавления ролей и компонентов). Подробнее об установке компонента шифрования диска BitLocker см. в документации Microsoft.

Как запустить шифрование диска BitLocker через Консоль администрирования (MMC)

Как запустить шифрование диска BitLocker через Web Console и Cloud Console

Вы можете контролировать процесс шифрования или расшифровки диска на компьютере пользователя с помощью инструмента Мониторинг шифрования. Вы можете запустить инструмент Мониторинг шифрования из главного окна программы.

После применения политики в зависимости от настроек аутентификации программа покажет следующие запросы:

• Только TPM. Участие пользователя не требуется. Диск будет зашифрован после перезагрузки компьютера.
• TPM + PIN / Пароль. При наличии модуля TPM, появится окно запроса PIN-кода. При отсутствии модуля TPM, появится окно запроса пароля для предзагрузочной аутентификации.
• Только пароль. Появится окно запроса пароля для предзагрузочной аутентификации.

Если в операционной системе включен режим совместимости с Федеральным стандартом обработки информации (FIPS), то в операционных системах Windows 8, а также в более ранних версиях появится окно запроса на подключение запоминающего устройства для сохранения файла ключа восстановления. Вы можете сохранять несколько файлов ключей восстановления на одном запоминающем устройстве.

После установки пароля или PIN-кода BitLocker запросит перезагрузку компьютера для завершения шифрования диска. Далее пользователю нужно пройти процедуру аутентификации BitLocker. После прохождения процедуры аутентификации BitLocker нужно выполнить вход в систему. После загрузки операционной системы BitLocker завершит шифрование диска.

При отсутствии доступа к ключам шифрования пользователь может запросить у администратора локальной сети организации ключ восстановления (если ключ восстановления не был сохранен ранее на запоминающем устройстве или был утерян).

Параметры компонента Шифрование диска BitLocker

Расшифровка жесткого диска, защищенного BitLocker

Пользователь может самостоятельно расшифровать диск средствами операционной системы (функция Выключение BitLocker). После этого Kaspersky Endpoint Security предложит зашифровать диск повторно. Kaspersky Endpoint Security будет предлагать зашифровать диск пока вы не включите расшифровку дисков в политике.

Как расшифровать жесткий диск, защищенный BitLocker, через Консоль администрирования (MMC)

Как расшифровать жесткий диск, защищенный BitLocker, через Web Console и Cloud Console

Вы можете контролировать процесс шифрования или расшифровки диска на компьютере пользователя с помощью инструмента Мониторинг шифрования. Вы можете запустить инструмент Мониторинг шифрования из главного окна программы.

Восстановление доступа к диску, защищенному BitLocker

Если пользователь забыл пароль доступа к жесткому диску, зашифрованному BitLocker, нужно запустить процедуру восстановления ("Запрос - Ответ").

Если в операционной системе включен режим совместимости с Федеральным стандартом обработки информации (FIPS), то для операционных систем Windows 8, а также в более ранних версий, файл ключа восстановления был сохранен на съемный диск перед шифрованием. Для восстановления доступа к диску вставьте съемный диск и следуйте инструкциям на экране.

Восстановление доступа к жесткому диску, зашифрованному BitLocker, состоит из следующих этапов:

1. Пользователь сообщает администратору идентификатор ключа восстановления (см. рис. ниже).
2. Администратор проверяет идентификатор ключа восстановления в свойствах компьютера в Kaspersky Security Center. Идентификатор, который предоставил пользователь, должен соответствовать идентификатору, который отображается в свойствах компьютера.
3. Если идентификаторы ключа восстановления совпадают, администратор сообщает пользователю ключ восстановления или передает файл ключа восстановления.

   Файл ключа восстановления используется для компьютеров под управлением следующих операционных систем:

   • Windows 7;
   • Windows 8;
   • Windows Server 2008;
   • Windows Server 2011;
   • Windows Server 2012.

   Для остальных операционных систем используется ключ восстановления.

4. Пользователь вводит ключ восстановления и получает доступ к жесткому диску.

   

   Восстановление доступа к жесткому диску, зашифрованному BitLocker

Восстановление доступа к системному диску

Для запуска процедуры восстановления пользователю нужно на этапе предзагрузочной аутентификации нажать клавишу Esc.

Как просмотреть ключ восстановления для системного диска, зашифрованного BitLocker, в Консоли администрирования (MMC)

Как просмотреть ключ восстановления для системного диска, зашифрованного BitLocker, в Web Console и Cloud Console

После загрузки операционной системы Kaspersky Endpoint Security предложит пользователю сменить пароль или PIN-код. После установки нового пароля или PIN-кода BitLocker создаст новый мастер-ключ и отправит ключ в Kaspersky Security Center. В результате ключ восстановления и файл ключа восстановления будут обновлены. Если пользователь не сменил пароль, при следующей загрузке операционной системы вы можете использовать старый ключ восстановления.

На компьютерах под управлением Windows 7 сменить пароль или PIN-код невозможно. После ввода ключа восстановления и загрузки операционной системы Kaspersky Endpoint Security не предложит пользователю сменить пароль или PIN-код. Таким образом, установить новый пароль или PIN-код невозможно. Проблема связана с особенностями операционной системы. Для продолжения работы вам нужно перешифровать жесткий диск.

Восстановление доступа к несистемному диску

Для запуска процедуры восстановления пользователю нужно в окне предоставления доступа к диску перейти по ссылке Забыли пароль. После получения доступа к зашифрованному диску пользователь может включить автоматическую разблокировку диска при аутентификации Windows в параметрах BitLocker.

Как просмотреть ключ восстановления для несистемного диска, зашифрованного BitLocker, в Консоли администрирования (MMC)

Как просмотреть ключ восстановления для несистемного диска, зашифрованного BitLocker, в Web Console и Cloud Console

Приостановка защиты BitLocker для обновления программного обеспечения

Обновление операционной системы, установка пакетов обновлений операционной системы или обновление другого программного обеспечения с включенной защитой BitLocker имеет ряд особенностей. При установке обновлений может потребоваться перезагрузить компьютер несколько раз. После каждой перезагрузки пользователю необходимо проходить аутентификацию BitLocker. Для корректной установки обновлений вы можете временно выключить аутентификацию BitLocker. При этом диск остается зашифрованным и пользователь имеет доступ к данным после входа в систему. Для управления аутентификацией BitLocker предназначена задача Управление защитой BitLocker. С помощью задачи вы можете установить количество перезагрузок компьютера, для которых не требуется аутентификация BitLocker. Таким образом, после установки обновлений и завершении работы задачи Управление защитой BitLocker аутентификация BitLocker будет автоматически включена. Вы можете включить аутентификацию BitLocker в любой момент.

Как приостановить защиту BitLocker в Консоли администрирования (MMC)

Как приостановить защиту BitLocker в Web Console

В результате после выполнения задачи при следующей перезагрузке компьютера BitLocker не будет запрашивать аутентификацию пользователя. После каждой перезагрузки компьютера Kaspersky Endpoint Security формирует событие о перезагрузке компьютера без аутентификации BitLocker и указывает количество оставшихся перезагрузок. Далее Kaspersky Endpoint Security отправляет событие в Kaspersky Security Center для контроля администратором. Также вы можете узнать количество оставшихся перезагрузок в свойствах компьютера в консоли Kaspersky Security Center.

По истечении заданного количества перезагрузок компьютера или срока действия задачи аутентификация BitLocker будет автоматически включена. Для доступа к данным пользователю нужно пройти процедуру аутентификации BitLocker.

На компьютерах под управлением Windows 7 в BitLocker отсутствует возможность подсчета количества перезагрузок компьютера. Подсчет перезагрузок на компьютерах под управлением Windows 7 выполняет Kaspersky Endpoint Security. Таким образом, для автоматического включения аутентификации BitLocker после каждой перезагрузки должен быть выполнен запуск Kaspersky Endpoint Security.

Для досрочного включения аутентификации BitLocker откройте свойства задачи Управление защитой BitLocker и установите значение Запрашивать пароль каждый раз.

Шифрование файлов на локальных дисках компьютера

Этот компонент доступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для серверов.

Шифрование файлов имеет следующие особенности:

• Kaspersky Endpoint Security шифрует / расшифровывает стандартные папки только для локальных профилей пользователей (англ. local user profiles) операционной системы. Kaspersky Endpoint Security не шифрует и не расшифровывает стандартные папки для перемещаемых профилей пользователей (англ. roaming user profiles), обязательных профилей пользователей (англ. mandatory user profiles), временных профилей пользователей (англ. temporary user profiles), а также перенаправленные папки.
• Kaspersky Endpoint Security не выполняет шифрование файлов, изменение которых может повредить работе операционной системы и установленных программ. Например, в список исключений из шифрования входят следующие файлы и папки со всеми вложенными в них папками:
  • %WINDIR%;
  • %PROGRAMFILES% и %PROGRAMFILES(X86)%;
  • файлы реестра Windows.

  Список исключений из шифрования недоступен для просмотра и изменения. Файлы и папки из списка исключений из шифрования можно добавить в список для шифрования, но при выполнении шифрования файлов они не будут зашифрованы.

Запуск шифрования файлов на локальных дисках компьютера

Kaspersky Endpoint Security не шифрует файлы, содержимое которых расположено в облачном хранилище OneDrive, и блокирует копирование зашифрованных файлов в облачное хранилище OneDrive, если эти файлы не добавлены в правило расшифровки.

Чтобы зашифровать файлы на локальных дисках компьютера, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Шифрование данных → Шифрование файлов.
6. В правой части окна выберите закладку Шифрование.
7. В раскрывающемся списке Режим шифрования выберите элемент Согласно правилам.
8. На закладке Шифрование нажмите на кнопку Добавить и в раскрывающемся списке выберите один из следующих элементов:
   1. Выберите элемент Стандартные папки, чтобы добавить в правило шифрования файлы из папок локальных профилей пользователей, предложенных специалистами "Лаборатории Касперского".
      • Документы. Файлы в стандартной папке операционной системы Документы, а также вложенные папки.
      • Избранное. Файлы в стандартной папке операционной системы Избранное, а также вложенные папки.
      • Рабочий стол. Файлы в стандартной папке операционной системы Рабочий стол, а также вложенные папки.
      • Временные файлы. Временные файлы, связанные с работой установленных на компьютере программ. Например, программы Microsoft Office создают временные файлы с резервными копиями документов.
      • Файлы Outlook. Файлы, связанные с работой почтового клиента Outlook: файлы данных (PST), автономные файлы данных (OST), файлы автономной адресной книги (OAB) и файлы персональной адресной книги (PAB).
   2. Выберите элемент Папку вручную, чтобы добавить в правило шифрования папку, путь к которой введен вручную.

      При добавлении пути к папке следует использовать следующие правила:

      • Используйте переменную окружения (например, %FOLDER%\UserFolder\). Вы можете использовать переменную окружения только один раз и только в начале пути.
      • Не используйте относительные пути. Вы можете использовать набор \..\ (например, C:\Users\..\UserFolder\). Набор \..\ обозначает переход к родительской папке.
      • Не используйте символы * и ?.
      • Не используйте UNC-пути.
      • Используйте ; или , в качестве разделительного символа.
   3. Выберите элемент Файлы по расширению, чтобы добавить в правило шифрования отдельные расширения файлов. Kaspersky Endpoint Security шифрует файлы с указанными расширениями на всех локальных дисках компьютера.
   4. Выберите элемент Файлы по группам расширений, чтобы добавить в правило шифрования группы расширений файлов (например, группа Документы Microsoft Office). Kaspersky Endpoint Security шифрует файлы с расширениями, перечисленными в группах расширений, на всех локальных дисках компьютера.
9. Сохраните внесенные изменения.

Сразу после применения политики Kaspersky Endpoint Security шифрует файлы, включенные в правило шифрования и не включенные в правило расшифровки.

Шифрование файлов имеет следующие особенности:

• Если один и тот же файл добавлен и в правило шифрования, и в правило расшифровки, то Kaspersky Endpoint Security выполняет следующие действия:
  • Если исходный файл не зашифрован, Kaspersky Endpoint Security не шифрует этот файл.
  • Если исходный файл зашифрован, Kaspersky Endpoint Security расшифровывает этот файл.
• Kaspersky Endpoint Security продолжает шифровать новые файлы, если файлы удовлетворяют критериям правила шифрования. Например, вы изменили свойства незашифрованного файла (путь или расширение), и в результате файл удовлетворяет критериям правила шифрования. Kaspersky Endpoint Security шифрует этот файл.
• Когда пользователь создает новый файл, свойства которого удовлетворяют критериям правила шифрования, Kaspersky Endpoint Security шифрует файл сразу же при открытии файла.
• Kaspersky Endpoint Security откладывает шифрование открытых файлов до тех пор, пока они не будут закрыты.
• Если вы переносите зашифрованный файл в другую папку на локальном диске, файл остается зашифрованным, независимо от того, включена ли эта папка в правило шифрования.
• Если вы расшифровали файл и скопировали файл в другую папку на локальном диске, которая не включена в правило расшифровки, копия файла может быть зашифрована. Для исключения шифрования копии файла, создайте для целевой папки правило расшифровки.

Формирование правил доступа программ к зашифрованным файлам

Чтобы сформировать правила доступа программ к зашифрованным файлам, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Шифрование данных → Шифрование файлов.
6. В правой части окна выберите закладку Шифрование.
7. В раскрывающемся списке Режим шифрования выберите элемент Согласно правилам.

   Правила доступа действуют только в режиме Согласно правилам. Если после применения правил доступа в режиме Согласно правилам вы перейдете в режим Оставлять без изменений, то Kaspersky Endpoint Security будет игнорировать все правила доступа. Все программы будут иметь доступ ко всем зашифрованным файлам.

8. В правой части окна выберите закладку Правила для программ.
9. Если вы хотите выбрать программы исключительно из списка Kaspersky Security Center, нажмите на кнопку Добавить и в раскрывающемся списке выберите элемент Программы из списка Kaspersky Security Center.
   1. Задайте фильтры для вывода списка программ в таблице. Для этого укажите значения параметров Программа, Производитель, Период добавления, а также флажков из блока Группа.
   2. Нажмите на кнопку Обновить.
   3. В таблице отобразится список программ, удовлетворяющих заданным фильтрам.
   4. В графе Программы установите флажки напротив тех программ в таблице, для которых вы хотите сформировать правила доступа к зашифрованным файлам.
   5. В раскрывающемся списке Правило для программ выберите правило, которое будет определять доступ программ к зашифрованным файлам.
   6. В раскрывающемся списке Действие для программ, выбранных ранее выберите действие, которое выполняет Kaspersky Endpoint Security над правилами доступа к зашифрованным файлам, сформированными для указанных выше программ ранее.

   Информация о правиле доступа программ к зашифрованным файлам отобразится в таблице на закладке Правила для программ.

10. Если вы хотите выбрать программы вручную, нажмите на кнопку Добавить и в раскрывающемся списке выберите элемент Программы вручную.
    1. В поле ввода введите имя или список имен исполняемых файлов программ с их расширениями.

       Вы можете также добавить имена исполняемых файлов программ из списка Kaspersky Security Center, нажав на кнопку Добавить из списка Kaspersky Security Center.

    2. Если требуется, в поле Описание введите описание списка программ.
    3. В раскрывающемся списке Правило для программ выберите правило, которое будет определять доступ программ к зашифрованным файлам.

    Информация о правиле доступа программ к зашифрованным файлам отобразится в таблице на закладке Правило для программ.

11. Сохраните внесенные изменения.

Шифрование файлов, создаваемых и изменяемых отдельными программами

Вы можете создать правило, согласно которому Kaspersky Endpoint Security будет шифровать все файлы, создаваемые и изменяемые указанными в правиле программами.

Файлы, созданные или измененные указанными программами до применения правила шифрования, не будут зашифрованы.

Чтобы настроить шифрование файлов, создаваемых и изменяемых отдельными программами, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Шифрование данных → Шифрование файлов.
6. В правой части окна выберите закладку Шифрование.
7. В раскрывающемся списке Режим шифрования выберите элемент Согласно правилам.

   Правила шифрования действуют только в режиме Согласно правилам. Если после применения правил шифрования в режиме Согласно правилам вы перейдете в режим Оставлять без изменений, то Kaspersky Endpoint Security будет игнорировать все правила шифрования. Файлы, которые были зашифрованы ранее, по-прежнему останутся зашифрованными.

8. В правой части окна выберите закладку Правила для программ.
9. Если вы хотите выбрать программы исключительно из списка Kaspersky Security Center, нажмите на кнопку Добавить и в раскрывающемся списке выберите элемент Программы из списка Kaspersky Security Center.
   1. Задайте фильтры для вывода списка программ в таблице. Для этого укажите значения параметров Программа, Производитель, Период добавления, а также флажков из блока Группа.
   2. Нажмите на кнопку Обновить.

      В таблице отобразится список программ, удовлетворяющих заданным фильтрам.

   3. В графе Программы установите флажки напротив тех программ в таблице, создаваемые файлы которых вы хотите шифровать.
   4. В раскрывающемся списке Правило для программ выберите элемент Шифровать все создаваемые файлы.
   5. В раскрывающемся списке Действие для программ, выбранных ранее выберите действие, которое выполняет Kaspersky Endpoint Security над правилами шифрования файлов, сформированными для указанных выше программ ранее.

   Информация о правиле шифрования файлов, создаваемых и изменяемых выбранными программами, отобразится в таблице на закладке Правила для программ.

10. Если вы хотите выбрать программы вручную, нажмите на кнопку Добавить и в раскрывающемся списке выберите элемент Программы вручную.
    1. В поле ввода введите имя или список имен исполняемых файлов программ с их расширениями.

       Вы можете также добавить имена исполняемых файлов программ из списка Kaspersky Security Center, нажав на кнопку Добавить из списка Kaspersky Security Center.

    2. Если требуется, в поле Описание введите описание списка программ.
    3. В раскрывающемся списке Правило для программ выберите элемент Шифровать все создаваемые файлы.

    Информация о правиле шифрования файлов, создаваемых и изменяемых выбранными программами, отобразится в таблице на закладке Правило для программ.

11. Сохраните внесенные изменения.

Формирование правила расшифровки

Чтобы сформировать правило расшифровки, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Шифрование данных → Шифрование файлов.
6. В правой части окна выберите закладку Расшифровка.
7. В раскрывающемся списке Режим шифрования выберите элемент Согласно правилам.
8. На закладке Расшифровка нажмите на кнопку Добавить и в раскрывающемся списке выберите один из следующих элементов:
   1. Выберите элемент Стандартные папки, чтобы добавить в правило расшифровки файлы из папок локальных профилей пользователей, предложенных специалистами "Лаборатории Касперского".
   2. Выберите элемент Папку вручную, чтобы добавить в правило расшифровки папку, путь к которой введен вручную.
   3. Выберите элемент Файлы по расширению, чтобы добавить в правило расшифровки отдельные расширения файлов. Kaspersky Endpoint Security не шифрует файлы с указанными расширениями на всех локальных дисках компьютера.
   4. Выберите элемент Файлы по группам расширений, чтобы добавить в правило расшифровки группы расширений файлов (например, группа Документы Microsoft Office). Kaspersky Endpoint Security не шифрует файлы с расширениями, перечисленными в группах расширений, на всех локальных дисках компьютера.
9. Сохраните внесенные изменения.

Если один и тот же файл добавлен и в правило шифрования, и в правило расшифровки, то Kaspersky Endpoint Security не шифрует этот файл, если он не зашифрован, и расшифровывает, если он зашифрован.

Расшифровка файлов на локальных дисках компьютера

Чтобы расшифровать файлы на локальных дисках компьютера, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Шифрование данных → Шифрование файлов.
6. В правой части окна выберите закладку Шифрование.
7. Исключите из списка для шифрования файлы и папки, которые вы хотите расшифровать. Для этого в списке выберите файлы и в контекстном меню кнопки Удалить выберите пункт Удалить правило и расшифровать файлы.

   Вы можете удалять сразу несколько элементов из списка для шифрования. Для этого, удерживая клавишу CTRL, левой клавишей мыши выберите нужные элементы и в контекстном меню кнопки Удалить выберите пункт Удалить правило и расшифровать файлы.

   Удаленные из списка для шифрования файлы и папки автоматически добавляются в список для расшифровки.

8. Сформируйте список файлов для расшифровки.
9. Сохраните внесенные изменения.

Сразу после применения политики Kaspersky Endpoint Security расшифровывает зашифрованные файлы, добавленные в список для расшифровки.

Kaspersky Endpoint Security расшифровывает зашифрованные файлы, если их параметры (путь к файлу / название файла / расширение файла) изменяются и начинают удовлетворять параметрам объектов, добавленных в список для расшифровки.

Kaspersky Endpoint Security откладывает расшифровку открытых файлов до тех пор, пока они не будут закрыты.

Создание зашифрованных архивов

Для защиты данных при передаче файлов пользователям вне корпоративной сети вы можете использовать зашифрованные архивы. Зашифрованные архивы удобно использовать для передачи файлов большого размера с помощью съемных дисков, так как почтовые клиенты имеют ограничения по размеру файла.

Перед созданием зашифрованных архивов Kaspersky Endpoint Security запросит у пользователя пароль. Для обеспечения надежной защиты данных вы можете включить проверку сложности паролей и выбрать критерии сложности. Таким образом, пользователю будет запрещено использовать короткие и простые пароли, например, 1234.

Как включить проверку сложности пароля при создании зашифрованных архивов в Консоли администрирования (MMC)

Как включить проверку сложности пароля при создании зашифрованных архивов в Web Console

Вы можете создавать зашифрованные архивы на компьютерах с установленной программой Kaspersky Endpoint Security с функцией шифрования файлов.

При добавлении в зашифрованный архив файла, содержимое которого расположено в облачном хранилище OneDrive, Kaspersky Endpoint Security загружает содержимое этого файла и осуществляет шифрование.

Чтобы создать зашифрованный архив, выполните следующие действия:

1. В любом файловом менеджере выделите файлы или папки, которые вы хотите добавить в зашифрованный архив. По правой клавише мыши откройте их контекстное меню.
2. Выберите пункт Создать зашифрованный архив в контекстном меню (см. рис. ниже).
3. В открывшемся окне выберите место для сохранения зашифрованного архива на съемном диске, задайте имя и нажмите на кнопку Сохранить.
4. В открывшемся окне задайте пароль и повторите его.

   Пароль должен соответствовать критериям сложности, заданным в политике.

5. Нажмите на кнопку Создать.

Запустится процесс создания зашифрованного архива. В процессе создания зашифрованного архива Kaspersky Endpoint Security не выполняет сжатие файлов. По завершении процесса в указанном месте на диске будет создан самораспаковывающийся защищенный паролем зашифрованный архив (исполняемый файл с расширением exe) – .

Создание зашифрованного архива

Для получения доступа к файлам в зашифрованном архиве нужно запустить мастер распаковки архива двойным щелчком мыши и ввести пароль. Если вы забыли пароль, восстановить доступ к файлам в зашифрованном архиве невозможно. Вы можете создать зашифрованный архив повторно.

Восстановление доступа к зашифрованным файлам

При шифровании файлов Kaspersky Endpoint Security получает ключ шифрования, необходимый для прямого доступа к зашифрованным файлам. С помощью ключа шифрования пользователь, работающий под любой из учетных записей Windows, которая была активной во время шифрования файлов, может получать прямой доступ к зашифрованным файлам. Пользователям, работающим под учетными записями Windows, которые были неактивны во время шифрования файлов, требуется связь с Kaspersky Security Center для доступа к зашифрованным файлам.

Зашифрованные файлы могут быть недоступны в следующих случаях:

• На компьютере пользователя присутствуют ключи шифрования, но нет связи с Kaspersky Security Center для работы с ними. В этом случае пользователю требуется запросить доступ к зашифрованным файлам у администратора локальной сети организации.

  При отсутствии связи с Kaspersky Security Center требуется:

  • для доступа к зашифрованным файлам на жестких дисках компьютера запросить один ключ доступа;
  • для доступа к зашифрованным файлам на съемных дисках запросить ключ доступа к зашифрованным файлам для каждого съемного диска.
• С компьютера пользователя удалены компоненты шифрования. В этом случае пользователь может открыть зашифрованные файлы на локальных дисках и съемных дисках, но содержимое файлов отображается как зашифрованное.

  Пользователь может работать с зашифрованными файлами при следующих условиях:

  • Файлы помещены в зашифрованные архивы, созданные на компьютере с установленной программой Kaspersky Endpoint Security.
  • Файлы хранятся на съемных дисках, для которых разрешена работа в портативном режиме.

Для получения доступ к зашифрованным файлам пользователю нужно запустить процедуру восстановления ("Запрос - Ответ").

Восстановление доступ к зашифрованным файлам состоит из следующих этапов:

1. Пользователь отправляет администратору файл запроса (см. рис. ниже).
2. Администратор добавляет файл запроса в Kaspersky Security Center, создает файл ключа доступа и отправляет файл пользователю.
3. Пользователь добавляет файл ключа доступа в Kaspersky Endpoint Security и получает доступ к файлам.

   

   Восстановление доступа к зашифрованным файлам

Для запуска процедуры восстановления пользователю нужно обратиться к файлу. В результате Kaspersky Endpoint Security создаст файл запроса (файл с расширением kesdc), который пользователю нужно передать администратору, например, по электронной почте.

Kaspersky Endpoint Security формирует файл запроса доступа ко всем зашифрованным файлам, хранящимся на диске компьютера (локальном диске или съемном диске).

Как получить файл ключа доступа к зашифрованным данным в Консоли администрирования (MMC)

Как получить файл ключа доступа к зашифрованным данным в Web Console

После получения файла ключа доступа к зашифрованным данным пользователю нужно запустить файл двойным щелчком мыши. В результате Kaspersky Endpoint Security предоставит доступ ко всем зашифрованным файлам, хранящимся диске. Для получения доступа к зашифрованным файлам, хранящимся на других дисках, требуется получить отдельные ключи доступа для этих дисков.

Восстановление доступа к зашифрованным данным в случае выхода из строя операционной системы

Восстановление доступа к данным в случае выхода из строя операционной системы доступно только при шифровании файлов (FLE). Восстановить доступ к данным при полнодисковом шифровании (FDE) невозможно.

Чтобы восстановить доступ к зашифрованным данным в случае выхода из строя операционной системы, выполните следующие действия:

1. Переустановите операционную систему, не форматируя жесткий диск.
2. Установите Kaspersky Endpoint Security.
3. Установите связь между компьютером и Сервером администрирования Kaspersky Security Center, под управлением которого находился компьютер во время шифрования данных.

Доступ к зашифрованным данным будет предоставлен на тех же условиях, которые действовали до выхода операционной системы из строя.

Изменение шаблонов сообщений для получения доступа к зашифрованным файлам

Чтобы изменить шаблоны сообщений для получения доступа к зашифрованным файлам, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Шифрование данных → Общие настройки шифрования.
6. В блоке Шаблоны нажмите на кнопку Шаблоны.

   Откроется окно Шаблоны.

7. Выполните следующие действия:
   • Если вы хотите изменить шаблон сообщения пользователя, выберите закладку Сообщение пользователя. Когда пользователь обращается к зашифрованному файлу при отсутствии на компьютере ключа доступа к зашифрованным файлам, открывается окно Доступ к данным запрещен. При нажатии на кнопку Отправить по электронной почте окна Доступ к данным запрещен автоматически формируется сообщение пользователя. Это сообщение отправляется администратору локальной сети организации вместе с файлом запроса доступа к зашифрованным файлам.
   • Если вы хотите изменить шаблон сообщения администратора, выберите закладку Сообщение администратора. Это сообщение автоматически формируется при нажатии на кнопку Отправить по электронной почте окна Запрос доступа к зашифрованным файлам и приходит к пользователю после предоставления ему доступа к зашифрованным файлам.
8. Измените шаблоны сообщений.

   Вы можете использовать кнопку По умолчанию и раскрывающийся список Переменная.

9. Сохраните внесенные изменения.

Шифрование съемных дисков

Этот компонент доступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если программа Kaspersky Endpoint Security установлена на компьютере под управлением операционной системы Windows для серверов.

Kaspersky Endpoint Security поддерживает шифрование файлов в файловых системах FAT32 и NTFS. Если к компьютеру подключен съемный диск с неподдерживаемой файловой системой, то шифрование этого съемного диска завершается с ошибкой и Kaspersky Endpoint Security устанавливает статус доступа "только чтение" для этого съемного диска.

Для защиты данных на съемных дисках вы можете использовать следующие виды шифрования:

• Полнодисковое шифрование (англ. Full Disk Encryption – FDE).

  Шифрование всего съемного диска, включая файловую систему.

  Получить доступ к зашифрованным данным вне корпоративной сети невозможно. Также невозможно получить доступ к зашифрованным данным внутри корпоративной сети, если компьютер не подключен к Kaspersky Security Center ("гостевой" компьютер).

• Шифрование файлов (англ. File Level Encryption – FLE).

  Шифрование только файлов на съемном диске. Файловая система при этом остается без изменений.

  Шифрование файлов на съемных дисках предоставляет возможность доступа к данным за пределами корпоративной сети с помощью специального режима – портативный режим.

Во время шифрования Kaspersky Endpoint Security создает мастер-ключ. Kaspersky Endpoint Security сохраняет мастер-ключ в следующих хранилищах:

• Kaspersky Security Center.
• Компьютер пользователя.

  Мастер-ключ зашифрован секретным ключом пользователя.

• Съемный диск.

  Мастер-ключ зашифрован открытым ключом Kaspersky Security Center.

После завершения шифрования данные на съемном диске доступны внутри корпоративной сети как при использовании обычного съемного диска без шифрования.

Получение доступа к зашифрованным данным

При подключении съемного диска с зашифрованными данными Kaspersky Endpoint Security выполняет следующие действия:

1. Проверяет наличие мастер-ключа в локальном хранилище на компьютере пользователя.

   Если мастер-ключ найден, пользователь получает доступ к данным на съемном диске.

   Если мастер-ключ не найден, Kaspersky Endpoint Security выполняет следующие действия:

   1. Отправляет запрос в Kaspersky Security Center.

      После получения запроса Kaspersky Security Center отправляет ответ, который содержит мастер-ключ.

   2. Kaspersky Endpoint Security сохраняет мастер-ключ в локальном хранилище на компьютере пользователя для дальнейшей работы с зашифрованным съемным диском.
2. Расшифровывает данные.

Особенности шифрования съемных дисков

Шифрование съемных дисков имеет следующие особенности:

• Политика с заданными параметрами шифрования съемных дисков формируется для определенной группы управляемых компьютеров. Поэтому результат применения политики Kaspersky Security Center с настроенным шифрованием / расшифровкой съемных дисков зависит от того, к какому компьютеру подключен съемный диск.
• Kaspersky Endpoint Security не выполняет шифрование / расшифровку файлов со статусом доступа "только чтение", хранящихся на съемных дисках.
• В качестве съемных дисков поддерживаются следующие типы устройств:
  • носители информации, подключаемые по шине USB;
  • жесткие диски, подключаемые по шинам USB и FireWire;
  • SSD-диски, подключаемые по шинам USB и FireWire.

Запуск шифрования съемных дисков

Вы можете расшифровать съемный диск с помощью политики. Политика с заданными параметрами шифрования съемных дисков формируется для определенной группы администрирования. Поэтому результат расшифровки данных на съемных дисках зависит от того, к какому компьютеру подключен съемный диск.

Kaspersky Endpoint Security поддерживает шифрование файловых систем FAT32 и NTFS. Если к компьютеру подключен съемный диск с неподдерживаемой файловой системой, шифрование съемного диска завершится с ошибкой и Kaspersky Endpoint Security установит для этого съемного диска право доступа "только чтение".

Чтобы зашифровать съемные диски, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Шифрование данных → Шифрование съемных дисков.
6. В раскрывающемся списке Режим шифрования выберите действие, которое по умолчанию выполняет Kaspersky Endpoint Security со съемными дисками:
   • Шифровать весь съемный диск (FDE). Kaspersky Endpoint Security посекторно шифрует содержимое съемного диска. Таким образом, зашифрованными оказываются не только файлы, которые хранятся на съемном диске, но и файловые системы, включая имена файлов и структуры папок на съемном диске.
   • Шифровать все файлы (FLE). Kaspersky Endpoint Security шифрует все файлы, которые хранятся на съемных дисках. Программа не шифрует файловые системы съемных дисков, включая имена файлов и структуры папок.
   • Шифровать только новые файлы (FLE). Kaspersky Endpoint Security шифрует только те файлы, которые были добавлены на съемные диски или которые хранились на съемных дисках и были изменены после последнего применения политики Kaspersky Security Center.

   Kaspersky Endpoint Security повторно не шифрует уже зашифрованный съемный диск.

7. Если вы хотите использовать портативный режим для шифрования съемных дисков, установите флажок Портативный режим.

   Портативный режим – режим шифрования файлов (FLE) на съемных дисках, который предоставляет возможность доступа к данным за пределами корпоративной сети. Также портативный режим позволяет работать с зашифрованными данными на компьютерах, на которых не установлена программа Kaspersky Endpoint Security.

8. Если вы хотите зашифровать новый съемный диск, рекомендуется установить флажок Шифровать только занятое пространство. Если флажок снят, Kaspersky Endpoint Security зашифрует все файлы, в том числе остатки удаленных или измененных файлов.
9. Если вы хотите настроить шифрование для отдельных съемных дисков, задайте правила шифрования.
10. Если вы хотите использовать полнодисковое шифрование съемных дисков в офлайн-режиме, установите флажок Разрешать шифрование съемных дисков в офлайн-режиме.

    Офлайн-режим шифрования – режим шифрования съемных дисков (FDE) при отсутствии связи с Kaspersky Security Center. При шифровании Kaspersky Endpoint Security сохраняет мастер-ключ только на компьютере пользователя. Kaspersky Endpoint Security отправит мастер-ключ в Kaspersky Security Center при следующей синхронизации.

    Если компьютер, на котором сохранен мастер-ключ, поврежден и данные в Kaspersky Security Center не отправлены, получить доступ к съемному диску невозможно.

    Если флажок Разрешать шифрование съемных дисков в офлайн-режиме снят и подключение к Kaspersky Security Center отсутствует, шифрование съемного диска невозможно.

11. Сохраните внесенные изменения.

В результате применения политики, если пользователь подключает съемный диск или съемный диск уже подключен, Kaspersky Endpoint Security запрашивает подтверждение для выполнения операции шифрования (см. рис. ниже).

Программа позволяет выполнить следующие действия:

• Если пользователь подтверждает запрос на шифрование, Kaspersky Endpoint Security шифрует данные.
• Если пользователь отклоняет запрос на шифрование, Kaspersky Endpoint Security оставляет данные без изменений и устанавливает для этого съемного диска право доступа "только чтение".
• Если пользователь не отвечает на запрос на шифрование, Kaspersky Endpoint Security оставляет данные без изменений и устанавливает для этого съемного диска право доступа "только чтение". Программа повторно запрашивает подтверждение при последующем применении политики или при последующем подключении этого съемного диска.

Если во время шифрования данных пользователь инициирует безопасное извлечение съемного диска, Kaspersky Endpoint Security прерывает шифрование данных и позволяет извлечь съемный диск до завершения операции шифрования. Шифрование данных будет продолжено при следующем подключении съемного диска к этому компьютеру.

Если шифрование съемного диска не удалось, просмотрите отчет Шифрование данных в интерфейсе Kaspersky Endpoint Security. Доступ к файлам может быть заблокирован другой программой. В этом случае попробуйте извлечь и заново подключить съемный диск к компьютеру.

Запрос на шифрование съемного диска

Добавление правила шифрования для съемных дисков

Чтобы добавить правило шифрования для съемных дисков, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Шифрование данных → Шифрование съемных дисков.
6. Нажмите на кнопку Добавить и в раскрывающемся списке выберите один из следующих элементов:
   • Если вы хотите добавить правила шифрования для съемных дисков, которые находятся в списке доверенных устройств компонента Контроль устройств, выберите элемент Из списка доверенных устройств данной политики.
   • Если вы хотите добавить правила шифрования для съемных дисков, которые находятся в списке Kaspersky Security Center, выберите элемент Из списка устройств Kaspersky Security Center.
7. В раскрывающемся списке Режим шифрования для выбранных устройств выберите действие, которое выполняет Kaspersky Endpoint Security с файлами, хранящимися на выбранных съемных дисках.
8. Установите флажок Портативный режим, если вы хотите, чтобы перед шифрованием Kaspersky Endpoint Security выполнял подготовку съемных дисков к работе с зашифрованными на них файлами в портативном режиме.

   Портативный режим позволяет работать с зашифрованными файлами съемных дисков на компьютерах с недоступной функциональностью шифрования.

9. Установите флажок Шифровать только занятое пространство, если вы хотите, чтобы Kaspersky Endpoint Security шифровал только те секторы диска, которые заняты файлами.

   Если вы применяете шифрование на уже используемом диске, рекомендуется зашифровать весь диск. Это гарантирует защиту всех данных - даже удаленных, но еще содержащих извлекаемые сведения. Функцию Шифровать только занятое пространство рекомендуется использовать для новых, ранее не использовавшихся дисков.

   Если устройство было зашифровано ранее с использованием функции Шифровать только занятое пространство, после применения политики в режиме Шифровать весь съемный диск секторы, не занятые файлами, по-прежнему не будут зашифрованы.

10. В раскрывающемся списке Действие для устройств, выбранных ранее выберите действие, выполняемое Kaspersky Endpoint Security с правилами шифрования, которые были определены для съемных дисков ранее:
    • Если вы хотите, чтобы созданное ранее правило шифрования съемного диска осталось без изменений, выберите элемент Пропустить.
    • Если вы хотите, чтобы созданное ранее правило шифрования съемного диска было заменено новым правилом, выберите элемент Обновить.
11. Сохраните внесенные изменения.

Добавленные правила шифрования съемных дисков будут применены к съемным дискам, подключенным к любым компьютерам организации.

Экспорт и импорт списка правил шифрования для съемных дисков

Вы можете экспортировать список правил шифрования для съемных дисков в файл в формате XML. Далее вы можете вносить изменения в файл, чтобы, например, добавить большое количество правил для однотипных съемных дисков. Также вы можете использовать функцию экспорта / импорта для резервного копирования списка правил или для миграции правил на другой сервер.

Как экспортировать / импортировать список правил шифрования для съемных дисков в Консоли администрирования (MMC)

Как экспортировать / импортировать список правил шифрования для съемных дисков в Web Console

Портативный режим для работы с зашифрованными файлами на съемных дисках

Портативный режим – режим шифрования файлов (FLE) на съемных дисках, который предоставляет возможность доступа к данным за пределами корпоративной сети. Также портативный режим позволяет работать с зашифрованными данными на компьютерах, на которых не установлена программа Kaspersky Endpoint Security.

Портативный режим удобно использовать в следующих случаях:

• Нет связи между компьютером и Сервером администрирования Kaspersky Security Center.
• Изменилась инфраструктура со сменой Сервера администрирования Kaspersky Security Center.
• На компьютере не установлена программа Kaspersky Endpoint Security.

Портативный файловый менеджер

Для работы в портативном режиме Kaspersky Endpoint Security устанавливает на съемный диск специальный модуль шифрования – портативный файловый менеджер. Портативный файловый менеджер предоставляет интерфейс для работы с зашифрованными данными, если на компьютере не установлена программа Kaspersky Endpoint Security (см. рис. ниже). Если на компьютере установлена программа Kaspersky Endpoint Security, вы можете работать с зашифрованными съемными дисками с помощью обычных файлового менеджера (например, Проводника).

Портативный файловый менеджер хранит ключ для шифрования файлов на съемном диске. Ключ зашифрован паролем пользователя. Пользователь задает пароль перед шифрованием файлов на съемном диске.

Портативный файловый менеджер запускается автоматически при подключении съемного диска к компьютеру, на котором не установлена программа Kaspersky Endpoint Security. Если на компьютере выключен автозапуск программ, запустите портативный файловый менеджер вручную. Для этого запустите файл pmv.exe, который хранится на съемном диске.

Портативный файловый менеджер

Поддержка портативного режима для работы с зашифрованным файлами

Как включить поддержку портативного режима для работы с зашифрованными файлами на съемных дисках в Консоли администрирования (MMC)

Как включить поддержку портативного режима для работы с зашифрованными файлами на съемных дисках в Web Console

Получение доступа к зашифрованным файлам на съемном диске

После шифрования файлов на съемном диске с поддержкой портативного режима доступны следующие способы доступа к файлам:

• Если на компьютере не установлена программа Kaspersky Endpoint Security, портативный файловый менеджер предложит ввести пароль. Пароль нужно будет вводить при каждой перезагрузке компьютера или переподключении съемного диска.
• Если компьютер находится за пределами корпоративной сети и на компьютере установлена программа Kaspersky Endpoint Security, программа предложит ввести пароль или отправить запрос на доступ к файлам администратору. После получения доступа к файлам на съемном диске Kaspersky Endpoint Security сохранит секретный ключ в хранилище ключей компьютера. Это позволит в дальнейшем получить доступ к файлам без ввода пароля или запроса администратору.
• Если компьютер находится внутри корпоративной сети и на компьютере установлена программа Kaspersky Endpoint Security, вы получите доступ к устройству без ввода пароля. Kaspersky Endpoint Security получит секретный ключ от Сервера администрирования Kaspersky Security Center к которому подключен компьютер.

Восстановление пароля для работы в портативном режиме

Если вы забыли пароль для работы в портативном режиме, вам нужно подключить съемный диск к компьютеру с установленной программой Kaspersky Endpoint Security внутри корпоративной сети. Вы получите доступ к файлам, так как в хранилище ключей компьютера или на Сервере администрирования сохранен секретный ключ. Расшифруйте и снова зашифруйте файлы с новым паролем.

Особенности работы портативного режима при подключении съемного диска к компьютеру из другой сети

Если компьютер находится за пределами корпоративной сети и на компьютере установлена программа Kaspersky Endpoint Security, вы можете получить доступ к файлам следующими способами:

• Доступ по паролю

  После ввода пароля вы сможете просматривать, изменять и сохранять файлы на съемном диске (прозрачный доступ). Kaspersky Endpoint Security может установить для съемного диска право доступа "только чтение", если в параметрах политики для шифрования съемных дисков настроены следующие параметры:

  • Выключена поддержка портативного режима.
  • Выбран режим Шифровать все файлы или Шифровать только новые файлы.

  В остальных случаях вы получите полный доступ к съемному диску (право "чтение и запись"). Вам будет доступно добавление и удаление файлов.

  Вы можете изменить права доступа к съемному диску, даже если съемный диск подключен к компьютеру. Если права доступа к съемному диску изменились, Kaspersky Endpoint Security заблокирует доступ к файлам и запросит пароль повторно.

  После ввода пароля применить параметры политики шифрования для съемного диска невозможно. Таким образом, расшифровать или перешифровать файлы на съемном диске невозможно.

• Запрос доступа к файлам у администратора

  Если вы забыли пароль для работы в портативном режиме, запросите доступ к файлам у администратора. Для доступа к файлам пользователю нужно отправить файл запроса (файл с расширением kesdc) администратору. Пользователь можете отправить файл запроса, например, по электронной почте. Администратор отправит файл доступа к зашифрованным данным (файл с расширением kesdr).

  После прохождения процедуры восстановления пароля ("Запрос - Ответ") вы получите прозрачный доступ к файлам на съемном диске и полный доступ к съемному диску (право "запись и чтение").

  Вы можете применить политику для шифрования съемных дисков и, например, расшифровать файлы. После восстановления пароля или при обновлении политики программа Kaspersky Endpoint Security предложит подтвердить изменения.

  Как получить файл доступа к зашифрованным данным в Консоли администрирования (MMC)

  1. Откройте Консоль администрирования Kaspersky Security Center.
  2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
  3. В рабочей области выберите закладку Устройства.
  4. На закладке Устройства выделите компьютер пользователя, запросившего восстановление доступа к зашифрованным данным, и по правой клавише мыши откройте контекстное меню.
  5. В контекстном меню выберите пункт Предоставление доступа в офлайн-режиме.
  6. В открывшемся окне выберите закладку Шифрование данных.
  7. На закладке Шифрование данных нажмите на кнопку Обзор.
  8. В окне выбора файла запроса укажите путь к файлу, полученного от пользователя.

  Отобразится информация о запросе пользователя. Kaspersky Security Center сформирует файл ключа доступа. Отправьте пользователю созданный файл ключа доступа к зашифрованным данным по электронной почте. Или сохраните файл доступа и передайте файл любым доступным способом.

  Как получить файл доступа к зашифрованным данным в Web Console

  1. В главном окне Web Console выберите Устройства → Управляемые устройства.
  2. Установите флажок рядом с именем компьютера, доступ к данным которого вы хотите восстановить.
  3. Нажмите на кнопку Предоставить доступ к устройству в автономном режиме.
  4. Выберите раздел Шифрование данных.
  5. Нажмите на кнопку Выбрать файл и выберите файл запроса, полученный от пользователя (файл с расширением kesdc).

     Web Console покажет информацию о запросе. В том числе, имя компьютера, на котором пользователь запрашивает доступ к файлу.

  6. Нажмите на кнопку Сохранить ключ и выберите папку для сохранения файла ключа доступа к зашифрованным данным (файл с расширением kesdr).

  В результате вам будет доступен ключ доступа к зашифрованным данным, который нужно будет передать пользователю.

Расшифровка съемных дисков

Вы можете расшифровать съемный диск с помощью политики. Политика с заданными параметрами шифрования съемных дисков формируется для определенной группы администрирования. Поэтому результат расшифровки данных на съемных дисках зависит от того, к какому компьютеру подключен съемный диск.

Чтобы расшифровать съемные диски, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики.
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Шифрование данных → Шифрование съемных дисков.
6. Если вы хотите расшифровать все зашифрованные файлы, хранящиеся на съемных дисках, в раскрывающемся списке Режим шифрования выберите действие Расшифровывать весь съемный диск.
7. Если вы хотите расшифровать данные, хранящиеся на отдельных съемных дисках, измените правила шифрования съемных дисков, данные которых вы хотите расшифровать. Для этого выполните следующие действия:
   1. В списке съемных дисков, для которых определены правила шифрования, выберите запись о нужном вам съемном диске.
   2. Нажмите на кнопку Задать правило, чтобы изменить правило шифрования для этого съемного диска.
   3. В контекстном меню кнопки Задать правило выберите пункт Расшифровывать весь съемный диск.
8. Сохраните внесенные изменения.

В результате, если пользователь подключает съемный диск или он уже подключен, Kaspersky Endpoint Security расшифровывает съемный диск. Программа предупреждает пользователя, что процедура расшифровки может занять некоторое время. Если во время расшифровки данных пользователь инициирует безопасное извлечение съемного диска, Kaspersky Endpoint Security прерывает расшифровку данных и позволяет извлечь съемный диск до завершения операции расшифровки. Расшифровка данных будет продолжена после следующего подключение съемного диска к компьютеру.

Если расшифровка съемного диска не удалась, просмотрите отчет Шифрование данных в интерфейсе Kaspersky Endpoint Security. Доступ к файлам может быть заблокирован другой программой. В этом случае попробуйте извлечь и заново подключить съемный диск к компьютеру.

Просмотр информации о шифровании данных

В процессе шифрования и расшифровки данных Kaspersky Endpoint Security отправляет на Kaspersky Security Center информацию о статусах применения параметров шифрования на клиентских компьютерах.

Возможны следующие статусы шифрования:

• Не задана политика шифрования. Для компьютера не назначена политика шифрования Kaspersky Security Center.
• В процессе применения политики. На компьютере выполняется шифрование и / или расшифровка данных.
• Ошибка. Во время шифрования и / или расшифровки данных на компьютере возникла ошибка.
• Требуется перезагрузка. Для инициализации или завершения шифрования или расшифровки данных на компьютере требуется перезагрузка операционной системы.
• Соответствует политике. Шифрование данных на компьютере выполнено в соответствии с параметрами шифрования, указанными в примененной к компьютеру политике Kaspersky Security Center.
• Отменено пользователем. Пользователь отказался подтвердить выполнение операции шифрования файлов на съемном диске.

Просмотр статусов шифрования

Чтобы просмотреть статус шифрования данных компьютера, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Устройства.

   На закладке Устройства в рабочей области отображаются свойства компьютеров выбранной группы администрирования.

4. На закладке Устройства рабочей области сдвиньте полосу прокрутки до упора вправо.
5. Если графа Статус шифрования не отображается, выполните следующие действия:
   1. По правой клавиши мыши откройте контекстное меню для заголовочной части таблицы.
   2. В контекстном меню в выпадающем списке Вид выберите Добавить или удалить графы.
   3. В открывшемся окне установите флажок Статус шифрования.
6. Нажмите на кнопку ОК.

В графе Статус шифрования отображаются статусы шифрования данных для компьютеров выбранной группы администрирования. Этот статус формируется на основе информации о шифровании файлов на локальных дисках компьютера и полнодисковом шифровании.

Просмотр статистики шифрования на информационных панелях Kaspersky Security Center

Чтобы просмотреть статусы шифрования на информационных панелях Kaspersky Security Center, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В дереве консоли выберите узел Сервер администрирования – <Имя компьютера>.
3. В рабочей области, расположенной справа от дерева Консоли администрирования, выберите закладку Статистика.
4. Создайте новую страницу с информационными панелями со статистикой шифрования данных. Для этого выполните следующие действия:
   1. На закладке Статистика нажмите на кнопку Настроить вид.

      Откроется окно Свойства: Статистика.

   2. В окне Свойства: Статистика нажмите на кнопку Добавить.

      Откроется окно Свойства: Новая страница.

   3. В разделе Общие окна Свойства: Новая страница введите название страницы.
   4. В разделе Информационные панели нажмите на кнопку Добавить.

      Откроется окно Новая информационная панель.

   5. В окне Новая информационная панель в группе Состояние защиты выберите элемент Шифрование устройств.
   6. Нажмите на кнопку OK.

      Откроется окно Свойства: Шифрование устройств.

   7. Измените при необходимости параметры информационной панели. Для этого воспользуйтесь разделами Вид и Устройства окна Свойства: Шифрование устройств.
   8. Нажмите на кнопку OK.
   9. Повторите пункты d – h инструкции, при этом в окне Новая информационная панель в группе Состояние защиты выберите элемент Шифрование съемных дисков.

      Добавленные информационные панели отобразятся в списке Информационные панели окна Свойства: Новая страница.

   10. В окне Свойства: Новая страница нажмите на кнопку OK.

       Название созданной на предыдущих шагах страницы с информационными панелями отобразится в списке Страницы окна Свойства: Статистика.

   11. В окне Свойства: Статистика нажмите на кнопку Закрыть.
5. На закладке Статистика откройте страницу, созданную на предыдущих шагах инструкции.

Отобразятся информационные панели, на которых вы можете просмотреть статусы шифрования компьютеров и съемных дисков.

Просмотр ошибок шифрования файлов на локальных дисках компьютера

Чтобы просмотреть ошибки шифрования файлов на локальных дисках компьютера, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, где находится компьютер пользователя, для которого вы хотите просмотреть список ошибок шифрования файлов.
3. В рабочей области выберите закладку Устройства.
4. На закладке Устройства выделите в списке компьютер и по правой клавише мыши вызовите контекстное меню.
5. В контекстном меню компьютера выберите пункт Свойства. В открывшемся окне Свойства: <название компьютера> выберите раздел Защита.
6. В разделе Защита окна Свойства: <название компьютера> по ссылке Просмотреть ошибки шифрования данных откройте окно Ошибки шифрования данных.

В этом окне отображается информация об ошибках шифрования файлов на локальных дисках компьютера. Если ошибка исправлена, то Kaspersky Security Center удаляет информацию о ней из окна Ошибки шифрования данных.

Просмотр отчета о шифровании данных

Чтобы просмотреть отчет о шифровании данных, выполните следующие действия:

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В узле Сервер администрирования дерева Консоли администрирования выберите закладку Отчеты.
3. Нажмите на кнопку Новый шаблон отчета.

   Запустится мастер создания шаблона отчета.

4. Следуйте указаниям мастера создания шаблона отчета. В окне Выбор типа шаблона отчета в разделе Другое выберите один из следующих пунктов:
   • Отчет о статусе шифрования управляемых устройств.
   • Отчет о статусе шифрования запоминающих устройств.
   • Отчет об ошибках шифрования файлов.
   • Отчет о блокировании доступа к зашифрованным файлам.

   После завершения работы мастера создания шаблона отчета в таблице на закладке Отчеты появится новый шаблон отчета.

5. Выберите шаблон отчета, созданный на предыдущих шагах инструкции.
6. В контекстном меню шаблона выберите пункт Показать отчет.

Запустится процесс формирования отчета. Отчет отобразится в новом окне.

Работа с зашифрованными устройствами при отсутствии доступа к ним

Получение доступа к зашифрованным устройствам

Пользователю может потребоваться запросить доступ к зашифрованным устройствам в следующих случаях:

• Жесткий диск был зашифрован на другом компьютере.
• На компьютере нет ключа шифрования для устройства (например, в момент первого обращения к зашифрованному съемному диску на этом компьютере), и связь с Kaspersky Security Center отсутствует.

  После того как пользователь применил ключ доступа к зашифрованному устройству, Kaspersky Endpoint Security сохраняет ключ шифрования на компьютере пользователя и предоставляет доступ к этому устройству при последующих обращениях, даже если связь с Kaspersky Security Center отсутствует.

Получение доступа к зашифрованным устройствам осуществляется следующим образом:

1. Пользователь создает через интерфейс программы Kaspersky Endpoint Security файл запроса доступа с расширением kesdc и передает его администратору локальной сети организации.
2. Администратор создает в Консоли администрирования Kaspersky Security Center файл ключа доступа с расширением kesdr и передает его пользователю.
3. Пользователь применяет ключ доступа.

Восстановление данных на зашифрованных устройствах

Для работы с зашифрованными устройствами пользователь может использовать утилиту восстановления зашифрованных устройств (далее – "утилита восстановления"). Это может потребоваться в следующих случаях:

• Процедура получения доступа с помощью ключа доступа прошла неуспешно.
• На компьютере с зашифрованным устройством не установлены компоненты шифрования.

Данные, необходимые для восстановления доступа к зашифрованным устройствам с помощью утилиты восстановления, в течение некоторого времени находятся в памяти компьютера пользователя в открытом виде. Чтобы снизить вероятность несанкционированного доступа к этим данным, рекомендуется выполнять восстановление доступа к зашифрованным устройствам на доверенных компьютерах.

Восстановление данных на зашифрованных устройствах осуществляется следующим способом:

1. Пользователь создает с помощью утилиты восстановления файл запроса доступа с расширением fdertc и передает его администратору локальной сети организации.
2. Администратор создает в Консоли администрирования Kaspersky Security Center файл ключа доступа с расширением fdertr и передает его пользователю.
3. Пользователь применяет ключ доступа.

Для восстановления данных на зашифрованных системных жестких дисках пользователь также может указать в утилите восстановления учетные данные Агента аутентификации. Если метаданные учетной записи Агента аутентификации повреждены, то пользователю потребуется пройти процедуру восстановления с помощью файла запроса доступа.

Перед восстановлением данных на зашифрованных устройствах рекомендуется вывести компьютер, на котором будет выполняться процедура, из-под действия политики Kaspersky Security Center или отключить шифрование в параметрах политики Kaspersky Security Center. Это позволяет предотвратить повторное шифрование устройства.

Восстановление данных с помощью утилиты восстановления FDERT

При неисправности жесткого диска файловая система может быть повреждена. Таким образом, данные, защищенные технологией Шифрование диска Kaspersky, будут недоступны. Вы можете расшифровать данные и скопировать данные на новый диск.

Восстановление данных на диске, защищенные технологией Шифрование диска Kaspersky, состоит из следующих этапов:

1. Создание автономной утилиты восстановления (см. рис. ниже).
2. Подключение диска к компьютеру, на котором отсутствуют компоненты шифрования Kaspersky Endpoint Security.
3. Запуск утилиты восстановления и диагностика жесткого диска.
4. Доступ к данным на диске. Для этого нужно ввести учетные данные Агента аутентификации или запустить процедуру восстановления ("Запрос - Ответ").

   

   Утилита восстановления FDERT

Создание автономной утилиты восстановления

Чтобы создать исполняемый файл утилиты восстановления, выполните следующие действия:

1. В главном окне программы нажмите на кнопку Поддержка.
2. В открывшемся окне нажмите на кнопку Восстановление зашифрованного устройства.

   Запустится утилита восстановления зашифрованных устройств.

3. В окне утилиты восстановления нажмите на кнопку Создать автономную утилиту восстановления.
4. Сохраните автономную утилиту восстановления в память компьютера.

В результате исполняемый файл утилиты восстановления fdert.exe будет сохранен в указанной папке. Скопируйте утилиту восстановления на компьютер, на котором отсутствуют компоненты шифрования Kaspersky Endpoint Security. Это позволяет предотвратить повторное шифрование диска.

Данные, необходимые для восстановления доступа к зашифрованным устройствам с помощью утилиты восстановления, в течение некоторого времени находятся в памяти компьютера пользователя в открытом виде. Чтобы снизить вероятность несанкционированного доступа к этим данным, рекомендуется выполнять восстановление доступа к зашифрованным устройствам на доверенных компьютерах.

Восстановление данных на жестком диске

Чтобы восстановить доступ к зашифрованному устройству с помощью утилиты восстановления, выполните следующие действия:

1. Запустите исполняемый файл утилиты восстановления fdert.exe, созданный с помощью программы Kaspersky Endpoint Security.
2. В окне утилиты восстановления выберите зашифрованное устройство, доступ к которому вы хотите восстановить.
3. Нажмите на кнопку Диагностировать, чтобы утилита могла определить, какое действие следует выполнить с зашифрованным устройством: разблокировать или расшифровать.

   Если на компьютере доступна функциональность шифрования Kaspersky Endpoint Security, то утилита восстановления предлагает разблокировать устройство. При разблокировке устройство не расшифровывается, но к нему в результате предоставляется прямой доступ. Если на компьютере недоступна функциональность шифрования Kaspersky Endpoint Security, то утилита восстановления предлагает расшифровать устройство.

4. Если вы хотите импортировать диагностическую информацию, нажмите на кнопку Сохранить диагностику.

   Утилита сохранит архив с файлами с диагностической информацией.

5. Нажмите на кнопку Исправить MBR, если в результате диагностики зашифрованного системного жесткого диска вы получили сообщение о каких-либо проблемах, связанных с главной загрузочной записью (MBR) устройства.

   Исправление главной загрузочной записи устройства может ускорить получение информации, необходимой для разблокировки или расшифровки устройства.

6. Нажмите на кнопку Разблокировать или Расшифровать в зависимости от результатов диагностики.
7. Если вы хотите восстановить данные с помощью учетной записи Агента аутентификации, выберите вариант Использовать настройки учетной записи Агента аутентификации и введите учетные данные Агента аутентификации.

   Этот способ возможен только при восстановлении данных на системном жестком диске. Если системный жесткий диск был поврежден и данные об учетной записи Агента аутентификации потеряны, то для восстановления данных на зашифрованном устройстве необходимо получить ключ доступа у администратора локальной сети организации.

8. Если вы хотите запустить процедуру восстановления, выполните следующие действия:
   1. Выберите вариант Указать ключ доступа к устройству вручную.
   2. Нажмите на кнопку Получить ключ доступа и сохраните файл запроса в память компьютера (файл с расширением fdertc).
   3. Передайте файл запроса доступа администратору локальной сети организации.

      Не закрывайте окно Получение ключа доступа к устройству, пока вы не получите ключ доступа. При повторном открытии этого окна созданный администратором ранее ключ доступа будет невозможно применить.

   4. Получите и сохраните файл доступа (файл с расширением fdertr), созданный и переданный вам администратором локальной сети организации (см. инструкцию ниже).
   5. Загрузите файл доступа в окне Получение ключа доступа к устройству.
9. Если вы выполняете расшифровку устройства, требуется настроить дополнительные параметры расшифровки:
   • Укажите область для расшифровки:
     • Если вы хотите расшифровать все устройство, выберите вариант Расшифровать все устройство.
     • Если вы хотите расшифровать часть данных на устройстве, выберите вариант Расшифровать отдельные области устройства и задайте границы области для расшифровки.
   • Выберите место записи расшифрованных данных:
     • Если вы хотите, чтобы данные на исходном устройстве были перезаписаны расшифрованными данными, снимите флажок Расшифровка в файл образа диска.
     • Если вы хотите сохранить расшифрованные данные отдельно от исходных зашифрованных данных, установите флажок Расшифровка в файл образа диска и с помощью кнопки Обзор укажите путь, по которому файл формата VHD должен быть сохранен.
10. Нажмите на кнопку OK.

Запустится процесс разблокировки / расшифровки устройства.

Как создать файл доступа к зашифрованным данным в Консоли администрирования (MMC)

Как создать файл доступа к зашифрованным данным в Web Console

Создание диска аварийного восстановления операционной системы

Диск аварийного восстановления операционной системы может быть полезен в ситуации, когда по каким-либо причинам доступ к зашифрованному системному жесткому диску невозможен и операционная система не может быть загружена.

Вы можете загрузить образ операционной системы Windows с помощью диска аварийного восстановления и восстановить доступ к зашифрованному системному диску с помощью утилиты восстановления, включенной в состав образа операционной системы.

Чтобы создать диск аварийного восстановления операционной системы, выполните следующие действия:

1. Создайте исполняемый файл утилиты восстановления зашифрованных устройств.
2. Создайте пользовательский образ среды предустановки Windows. В процессе создания пользовательского образа среды предустановки Windows добавьте в образ исполняемый файл утилиты восстановления зашифрованных устройств.
3. Поместите пользовательский образ среды предустановки Windows на загрузочный носитель, например компакт-диск или съемный диск.

   Инструкцию о создании пользовательского образа среды предустановки Windows вы можете прочитать в справочной документации Microsoft (например, на ресурсе Microsoft TechNet).