Вы можете выбрать технологию шифрования: Шифрование диска Kaspersky или Шифрование диска BitLocker (далее также "BitLocker").
Шифрование диска Kaspersky
После шифрования системных жестких дисков при последующем включении компьютера доступ к ним, а также загрузка операционной системы возможны только после прохождения процедуры аутентификации с помощью Агента аутентификации. Для этого требуется ввести пароль токена или смарт-карты, подключенных к компьютеру, или имя и пароль учетной записи Агента аутентификации, созданной системным администратором локальной сети организации с помощью задачи Управления учетными записями Агента аутентификации. Эти учетные записи основаны на учетных записях пользователей Microsoft Windows, под которыми пользователи выполняют вход в операционную систему. Также вы можете использовать технологию единого входа (англ. Single Sign-On – SSO), позволяющую осуществлять автоматический вход в операционную систему с помощью имени и пароля учетной записи Агента аутентификации.
Аутентификация пользователя в Агенте аутентификации может выполняться двумя способами:
Использование токена или смарт-карты доступно, только если жесткие диски компьютера зашифрованы с помощью алгоритма шифрования AES256. Если жесткие диски компьютера зашифрованы с помощью алгоритма шифрования AES56, то в добавлении файла электронного сертификата в команду будет отказано.
Шифрование диска BitLocker
BitLocker – встроенная в операционную систему Windows технология шифрования. Kaspersky Endpoint Security позволяет контролировать и управлять Bitlocker с помощью Kaspersky Security Center. BitLocker шифрует логический том. Шифрование съемных дисков с помощью BitLocker невозможно. Подробнее о BitLocker см. в документации Microsoft.
BitLocker обеспечивает безопасность хранения ключей доступа с помощью доверенного платформенного модуля. Доверенный платформенный модуль (англ. Trusted Platform Module – TPM) – микрочип, разработанный для предоставления основных функций, связанных с безопасностью (например, для хранения ключей шифрования). Доверенный платформенный модуль обычно устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины. Использование TPM является самым безопасным способом хранения ключей доступа BitLocker, так как TPM позволяет проверять целостность операционной системы. На компьютерах без TPM вы также можете зашифровать диски. При этом ключ доступа будет зашифрован паролем. Таким образом, BitLocker использует следующие способы аутентификации:
После шифрования диска BitLocker создает мастер-ключ. Kaspersky Endpoint Security отправляет мастер-ключ в Kaspersky Security Center, чтобы вы имели возможность восстановить доступ к диску, если пользователь, например, забыл пароль.
Если пользователь самостоятельно зашифровал диск с помощью BitLocker, Kaspersky Endpoint Security отправит информацию о шифровании диска в Kaspersky Security Center. При этом Kaspersky Endpoint Security не отправит мастер-ключ в Kaspersky Security Center, и восстановить доступ к диску с помощью Kaspersky Security Center будет невозможно. Для корректной работы BitLocker c Kaspersky Security Center расшифруйте диск и зашифруйте диск повторно с помощью политики. Расшифровать диск вы можете локально или с помощью политики.
После шифрования системного жесткого диска для загрузки операционной системы пользователю нужно пройти процедуру аутентификации BitLocker. После прохождения процедуры аутентификации BitLocker будет доступен вход в систему. BitLocker не поддерживает технологию единого входа (SSO).
Если вы используете групповые политики для Windows, выключите управление BitLocker в параметрах политики. Параметры политики для Windows могут противоречить параметрам политики Kaspersky Endpoint Security. При шифровании диска могут возникнуть ошибки.
Параметры компонента Шифрование диска Kaspersky
Параметр |
Описание |
---|---|
Режим шифрования |
Шифровать все жесткие диски. Если выбран этот элемент, то при применении политики программа шифрует все жесткие диски. Если на компьютере установлено несколько операционных систем, то после шифрования вы сможете выполнить загрузку только той операционной системы, в которой установлена программа. Расшифровывать все жесткие диски. Если выбран этот элемент, то при применении политики программа расшифровывает все зашифрованные ранее жесткие диски. Оставлять без изменений. Если выбран этот элемент, то при применении политики программа оставляет диски в прежнем состоянии. Если диск был зашифрован, то он остается зашифрованным, а если диск был расшифрован, то он остается расшифрованным. Этот элемент выбран по умолчанию. |
Автоматически создавать учетные записи Агента аутентификации для пользователей при применении шифрования на компьютере |
Если флажок установлен, программа создает учетные записи Агента аутентификации на основе списков учетных записей Windows на компьютере. По умолчанию Kaspersky Endpoint Security использует все локальные и доменные учетные записи, с помощью которых пользователь выполнял вход в операционную систему за последние 30 дней. |
Настройки создания учетных записей Агента аутентификации |
Все учетные записи компьютера. Если флажок установлен, то при выполнении задачи полнодискового шифрования Kaspersky Endpoint Security создает учетные записи Агента аутентификации для всех учетных записей компьютера, которые когда-либо были активными. Все доменные учетные записи компьютера. Если флажок установлен, то при выполнении задачи полнодискового шифрования Kaspersky Endpoint Security создает учетные записи Агента аутентификации для всех учетных записей компьютера, которые принадлежат какому-либо домену и которые когда-либо были активными. Все локальные учетные записи компьютера. Если флажок установлен, то при выполнении задачи полнодискового шифрования Kaspersky Endpoint Security создает учетные записи Агента аутентификации для всех локальных учетных записей компьютера, которые когда-либо были активными. Локальный администратор. Если флажок установлен, то при выполнении задачи полнодискового шифрования Kaspersky Endpoint Security создает учетную запись локального администратора. Менеджер компьютера. Если флажок установлен, то при выполнении задачи полнодискового шифрования Kaspersky Endpoint Security создает учетную запись Агента аутентификации для учетной записи, в свойствах которой в Active Directory указано, что она является управляющей. Активная учетная запись. Если флажок установлен, то при выполнении задачи полнодискового шифрования Kaspersky Endpoint Security автоматически создает учетную запись Агента аутентификации для активной в момент выполнения задачи учетной записи компьютера. |
Автоматически создавать учетные записи Агента аутентификации для всех пользователей на компьютере при входе |
Если флажок установлен, программа проверяет информацию об учетных записях Windows на компьютере перед запуском Агента аутентификации. Если Kaspersky Endpoint Security обнаружит учетную запись Windows, для которой нет учетной записи Агента аутентификации, программа создаст новую учетную запись для доступа к зашифрованным дискам. Новая учетная запись Агента аутентификации будет иметь параметры по умолчанию: вход только по паролю, смена пароля при первой аутентификации. Таким образом, вам не нужно вручную добавлять учетные записи Агента аутентификации с помощью задачи Управление учетными записями Агента аутентификации для компьютеров с уже зашифрованными дискам. |
Сохранять введенное в Агенте аутентификации имя пользователя |
Если флажок установлен, то программа сохраняет имя учетной записи Агента аутентификации. При последующей аутентификации в Агенте аутентификации под той же учетной записью имя учетной записи вводить не требуется. |
Шифровать только занятое пространство |
Флажок включает / выключает функцию, ограничивающую область шифрования только занятыми секторами жесткого диска. Это ограничение позволяет сократить время шифрования. Включение / выключение функции Шифровать только занятое пространство (ОС Windows 8 и выше) после запуска шифрования не изменяет этого параметра до тех пор, пока жесткие диски не будут расшифрованы. Требуется установить или снять флажок до начала шифрования. Если флажок установлен, то шифруется только та часть жесткого диска, которая занята файлами. Kaspersky Endpoint Security зашифровывает новые данные автоматически по мере их добавления. Если флажок снят, то шифруется весь жесткий диск, в том числе остатки удаленных и отредактированных ранее файлов. Данную функцию рекомендуется применять для новых жестких дисков, данные которых не редактировались и не удалялись. Если вы применяете шифрование на уже используемом жестком диске, рекомендуется зашифровать весь жесткий диск. Это гарантирует защиту всех данных – даже удаленных, но потенциально восстанавливаемых. По умолчанию флажок снят. |
Использовать Legacy USB Support |
Флажок включает / выключает функцию Legacy USB Support. Legacy USB Support – функция BIOS / UEFI, которая позволяет использовать USB-устройства (например, токен) на этапе загрузки компьютера до запуска операционной системы (BIOS-режим). Функция Legacy USB Support не влияет на поддержку USB-устройств после запуска операционной системы. Если флажок установлен, то будет включена поддержка USB-устройств на этапе начальной загрузки компьютера. При включенной функции Legacy USB Support Агент аутентификации в BIOS-режиме не поддерживает работу с токенами по USB. Функцию рекомендуется использовать только при возникновении проблемы несовместимости с аппаратным обеспечением и только для тех компьютеров, на которых возникла проблема. |
Настройки паролей |
Параметры надежности пароля учетной записи Агента аутентификации. Также вы можете включить использование технологии единого входа (SSO). Технология единого входа позволяет использовать одни и те же учетные данные для доступа к зашифрованным жестким дискам и для входа в операционную систему. Если флажок установлен, то для доступа к зашифрованным жестким дискам и последующего автоматического входа в операционную систему требуется ввести учетные данные доступа к зашифрованным дискам. Если флажок снят, то для доступа к зашифрованным жестким дискам и последующего входа в операционную систему требуется отдельно ввести учетные данные для доступа к зашифрованным жестким дискам и учетные данные пользователя в операционной системе. |
Справочные тексты |
Аутентификация. Справочный текст, который отображается в окне Агента аутентификации на этапе ввода учетных данных. Смена пароля. Справочный текст, который отображается в окне Агента аутентификации на этапе смены пароля для учетной записи Агента аутентификации. Восстановление пароля. Справочный текст, который отображается в окне Агента аутентификации на этапе восстановления пароля для учетной записи Агента аутентификации. |
Параметры компонента Шифрование диска BitLocker
Параметр |
Описание |
---|---|
Режим шифрования |
Шифровать все жесткие диски. Если выбран этот элемент, то при применении политики программа шифрует все жесткие диски. Если на компьютере установлено несколько операционных систем, то после шифрования вы сможете выполнить загрузку только той операционной системы, в которой установлена программа. Расшифровывать все жесткие диски. Если выбран этот элемент, то при применении политики программа расшифровывает все зашифрованные ранее жесткие диски. Оставлять без изменений. Если выбран этот элемент, то при применении политики программа оставляет диски в прежнем состоянии. Если диск был зашифрован, то он остается зашифрованным, а если диск был расшифрован, то он остается расшифрованным. Этот элемент выбран по умолчанию. |
Включить использование проверки подлинности BitLocker, требующей предзагрузочного ввода с клавиатуры на планшетах |
Флажок включает / выключает использование аутентификации, требующей ввода данных в предзагрузочной среде, даже если у платформы отсутствует возможность предзагрузочного ввода (например, у сенсорных клавиатур на планшетах). Сенсорная клавиатура планшетов недоступна в предзагрузочной среде. Для прохождения аутентификации BitLocker на планшетах пользователю необходимо подключить, например, USB-клавиатуру. Если флажок установлен, то использование аутентификации, требующей предзагрузочного ввода, разрешено. Рекомендуется использовать этот параметр только для устройств, у которых во время предварительной загрузки, помимо сенсорных клавиатур, имеются альтернативные средства ввода данных, например, USB-клавиатура. Если флажок снят, шифрование диска BitLocker на планшетах невозможно. |
Использовать аппаратное шифрование |
Если флажок установлен, то программа применяет аппаратное шифрование. Это позволяет увеличить скорость шифрования и сократить использование ресурсов компьютера. |
Шифровать только занятое пространство (ОС Windows 8 и выше) |
Флажок включает / выключает функцию, ограничивающую область шифрования только занятыми секторами жесткого диска. Это ограничение позволяет сократить время шифрования. Включение / выключение функции Шифровать только занятое пространство (ОС Windows 8 и выше) после запуска шифрования не изменяет этого параметра до тех пор, пока жесткие диски не будут расшифрованы. Требуется установить или снять флажок до начала шифрования. Если флажок установлен, то шифруется только та часть жесткого диска, которая занята файлами. Kaspersky Endpoint Security зашифровывает новые данные автоматически по мере их добавления. Если флажок снят, то шифруется весь жесткий диск, в том числе остатки удаленных и отредактированных ранее файлов. Данную функцию рекомендуется применять для новых жестких дисков, данные которых не редактировались и не удалялись. Если вы применяете шифрование на уже используемом жестком диске, рекомендуется зашифровать весь жесткий диск. Это гарантирует защиту всех данных – даже удаленных, но потенциально восстанавливаемых. По умолчанию флажок снят. |
Настройки аутентификации |
Использовать пароль (ОС Windows 8 и выше) Если выбран этот вариант, Kaspersky Endpoint Security запрашивает у пользователя пароль при обращении к зашифрованному диску. Этот вариант действия может быть выбран, если не используется доверенный платформенный модуль (TPM). Использовать доверенный платформенный модуль (TPM) Если выбран этот вариант, BitLocker использует доверенный платформенный модуль (TPM). Доверенный платформенный модуль (англ. Trusted Platform Module – TPM) – микрочип, разработанный для предоставления основных функций, связанных с безопасностью (например, для хранения ключей шифрования). Доверенный платформенный модуль обычно устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины. Для компьютеров под управлением операционных систем Windows 7 и Windows Server 2008 R2 доступно только шифрование с использованием модуля TPM. Если модуль TPM не установлен, шифрование BitLocker невозможно. Использование пароля на этих компьютерах не поддерживается. Устройство, оснащенное доверенным платформенным модулем, может создавать ключи шифрования, которые могут быть расшифрованы только с его помощью. Доверенный платформенный модуль шифрует ключи шифрования собственным корневым ключом хранилища. Корневой ключ хранилища хранится внутри доверенного платформенного модуля. Это обеспечивает дополнительную степень защиты ключей шифрования от попыток взлома. Этот вариант действия выбран по умолчанию. Вы можете установить дополнительную защиту для доступа к ключу шифрования и зашифровать ключ паролем или PIN:
Если флажок снят и модуль TPM недоступен, то полнодисковое шифрование не запускается. |