使用卡巴斯基磁盘加密技术执行完整磁盘加密

在开始完整磁盘加密之前，建议您确保计算机未受到感染。若要执行操作，应启动全盘扫描或关键区域扫描任务。在已被 rootkit 感染的计算机上执行完整磁盘加密可能导致计算机无法运行。

要使用卡巴斯基磁盘加密技术执行完整磁盘加密：

1. 打开 Kaspersky Security Center Administration Console。
2. 在管理控制台树的“受管理设备”文件夹中，打开相关客户端计算机所属的管理组名称的文件夹。
3. 在工作区中选择“策略”选项卡。
4. 选择必要的策略并双击以打开策略属性。
5. 在策略窗口中，选择“数据加密 → 完整磁盘加密”。
6. 在“加密技术”下拉列表中，选择“卡巴斯基磁盘加密”。

   如果计算机的硬盘驱动器先前使用 BitLocker 加密，则无法使用 卡巴斯基磁盘加密。

7. 在“加密模式”下拉列表中，选择“加密所有硬盘驱动器”。

   如果计算机安装了多个操作系统，则在加密所有硬盘后，您将只能加载安装了该应用程序的操作系统。

   如果您需要从加密中排除某些硬盘驱动器，则创建此类硬盘驱动器的列表。

8. 配置规则以在磁盘加密过程中添加身份验证代理账户。代理允许用户完成身份验证以访问加密驱动器并加载操作系统。要自动添加身份验证代理账户，请配置以下设置：
   • 在加密过程中，为 Windows 用户自动创建身份验证代理账户。如果该复选框被选中，应用程序基于计算机上的 Windows 用户账户创建身份验证代理账户。默认情况下，Kaspersky Endpoint Security 使用在过去 30 天内登录到操作系统的用户所使用的所有本地账户和域账户。
   • 登录时为该计算机的所有用户自动创建身份验证代理账户。如果该复选框被选中，应用程序在启动身份验证代理之前检查计算机上的 Windows 用户账户信息。如果 Kaspersky Endpoint Security 检测到有 Windows 用户账户没有身份验证代理账户，应用程序将创建新账户以访问加密驱动器。新身份验证代理账户将具有以下默认设置：仅密码保护的登录、第一次身份验证时的密码更改。因此，您不需要使用管理身份验证代理账户任务对存在已加密驱动器的计算机手动添加身份验证代理账户。

   如果您禁用自动创建身份验证代理账户，您可以使用管理账户任务手动添加身份验证代理账户。您也可以使用该任务更改自动创建的身份验证代理账户的设置。

9. 为了用户的方便，您可以保存用户名到身份验证代理内存，以便用户下次登录系统时只需要输入密码。为此，选择保存在身份验证代理中输入的用户名复选框。
10. 选择以下加密模式之一：
    • 如果您只希望将加密应用至包含文件的硬盘驱动器，则选择“仅加密使用的磁盘空间”复选框。

      如果您在已使用的磁盘上应用加密，建议加密整个磁盘。这将确保所有数据受到保护 – 即使删除了可能仍包含可检索信息的数据。建议为先前未使用的新磁盘使用“仅加密使用的磁盘空间”功能。

    • 如果您希望将加密应用至这个硬盘驱动器，则清空“仅加密使用的磁盘空间”复选框。

      如果设备先前使用仅加密使用的磁盘空间(减少加密时间)选项加密，则在加密所有硬盘驱动器模式下应用策略后，未包含文件的扇区不会被加密。

11. 如果在计算机加密期间出现硬件不兼容问题，您可以选中“使用 Legacy USB Support (不推荐)”复选框。

    Legacy USB Support 是一种 BIOS/UEFI 功能，允许您在启动操作系统（BIOS 模式）之前，在计算机的引导阶段使用 USB 设备（例如安全令牌）。Legacy USB Support 不会影响操作系统启动后对 USB 设备的支持。

    启用 Legacy USB Support 功能时，BIOS 模式下的身份验证代理不支持通过 USB 使用令牌。推荐仅当存在硬件兼容性问题时并仅对发生问题的计算机使用此选项。

12. 保存更改。

您可以使用加密监控器工具控制用户计算机上的磁盘加密或解密过程。您可以从主应用程序窗口运行加密监控器工具。

如果系统硬盘驱动器被加密，则身份验证代理在操作系统启动之前加载。使用身份验证代理完成身份验证以便访问加密的系统硬盘驱动器并加载操作系统。在成功完成身份验证过程后，操作系统将加载。身份验证过程将在每次操作系统重新启动时重新开始。

页面顶部