Criptaggio dei dati

Kaspersky Endpoint Security consente di criptare file e cartelle archiviati in unità locali e rimovibili o interi dischi rigidi e unità rimovibili. Il criptaggio dei dati riduce al minimo il rischio di diffusione di informazioni che può verificarsi in seguito al furto o allo smarrimento di computer portatili, unità rimovibili o dischi rigidi oppure in caso di accesso ai dati da parte di utenti o applicazioni non autorizzati. Kaspersky Endpoint Security utilizza l'algoritmo di criptaggio AES (Advanced Encryption Standard).

Se la licenza è scaduta, l'applicazione non cripta i nuovi dati e i dati criptati precedenti restano criptati e disponibili per l'utilizzo. In questo caso, il criptaggio dei nuovi dati richiede l'attivazione dell'applicazione con una nuova licenza che consente l'utilizzo del criptaggio.

Se la licenza è scaduta, si è verificata una violazione del Contratto di licenza con l'utente finale oppure la chiave di licenza, Kaspersky Endpoint Security o i componenti di criptaggio sono stati rimossi, lo stato di criptaggio dei file criptati in precedenza non è garantito. Questo è dovuto al fatto che alcune applicazioni, come Microsoft Office Word, creano una copia temporanea dei file durante la modifica. Quando il file originale viene salvato, la copia temporanea sostituisce il file originale. Di conseguenza, in un computer privo di funzionalità di criptaggio o in cui tali funzionalità non sono accessibili, il file rimane non criptato.

Kaspersky Endpoint Security offre le seguenti caratteristiche per la protezione dei dati:

• Criptaggio a livello di file nelle unità locali del computer. È possibile compilare elenchi di file (per estensione o gruppi di estensioni) e cartelle nelle unità locali del computer, nonché creare regole per il criptaggio dei file creati da applicazioni specifiche. Dopo l'applicazione di un criterio, Kaspersky Endpoint Security cripta e decripta i seguenti file:
  • file aggiunti singolarmente agli elenchi per il criptaggio e il decriptaggio;
  • file memorizzati in cartelle aggiunte agli elenchi per il criptaggio e il decriptaggio;
  • File creati da applicazioni distinte.
• Criptaggio unità rimovibili. È possibile specificare una regola di criptaggio predefinita in base alla quale l'applicazione applica la stessa azione a tutte le unità rimovibili oppure specificare diverse regole di criptaggio per le singole unità rimovibili.

  La regola di criptaggio predefinita ha una priorità inferiore rispetto alle regole di criptaggio create per le singole unità rimovibili. Le regole di criptaggio create per le unità rimovibili con il modello di dispositivo specificato hanno una priorità inferiore rispetto alle regole di criptaggio create per le unità rimovibili con l'ID dispositivo specificato.

  Per selezionare una regola di criptaggio per i file in un'unità rimovibile, Kaspersky Endpoint Security verifica se il modello e l'ID del dispositivo sono noti o meno. L'applicazione esegue quindi una delle seguenti operazioni:

  • Se è noto solo il modello di dispositivo, l'applicazione utilizza l'eventuale regola di criptaggio creata per le unità rimovibili con lo specifico modello di dispositivo.
  • Se è noto solo l'ID del dispositivo, l'applicazione utilizza l'eventuale regola di criptaggio creata per le unità rimovibili con lo specifico ID di dispositivo.
  • Se il modello e l'ID del dispositivo sono noti, l'applicazione utilizza l'eventuale regola di criptaggio creata per le unità rimovibili con lo specifico ID di dispositivo. Se non esiste una regola di questo tipo, ma è stata creata una regola di criptaggio per le unità rimovibili con lo specifico modello di dispositivo, viene applicata questa regola. Se non è specificata alcuna regola di criptaggio per l'ID di dispositivo specifico né per il modello di dispositivo specifico, viene applicata la regola di criptaggio predefinita.
  • Se non sono noti né il modello né l'ID del dispositivo, l'applicazione utilizza la regola di criptaggio predefinita.

  L'applicazione consente di preparare un'unità rimovibile per l'utilizzo dei dati criptati che contiene in modalità portatile. Dopo avere abilitato la modalità portatile, è possibile accedere ai file criptati nelle unità rimovibili connesse a un computer in cui non è installata la funzionalità di criptaggio.

• Gestione delle regole di accesso delle applicazioni ai file criptati. Per qualsiasi applicazione, è possibile creare una regola di accesso ai file criptati che blocca l'accesso ai file criptati o consente l'accesso ai file criptati solo come testo criptato (una sequenza di caratteri ottenuti quando viene applicato il criptaggio).
• Creazione di pacchetti criptati. È possibile creare archivi criptati e proteggere l'accesso a tali archivi tramite una password. Il contenuto degli archivi criptati è accessibile solo immettendo le password utilizzate per proteggere l'accesso agli archivi. Tali archivi possono essere trasferiti in modo sicuro in rete o su unità rimovibili.
• Criptaggio dell'intero disco. È possibile selezionare una tecnologia di criptaggio: Criptaggio disco Kaspersky o Crittografia unità BitLocker (di seguito denominato semplicemente "BitLocker").

  BitLocker è una tecnologia inclusa nel sistema operativo Windows. Se un computer è dotato di un TPM (Trusted Platform Module), BitLocker lo utilizza per archiviare le chiavi di ripristino che forniscono l'accesso a un disco rigido criptato. All'avvio del computer, BitLocker richiede al Trusted Platform Module le chiavi di ripristino del disco rigido e sblocca l'unità. È possibile configurare l'utilizzo di una password e/o un codice PIN per l'accesso alle chiavi di ripristino.

  È possibile specificare la regola predefinita per il criptaggio dell'intero disco e creare un elenco di dischi rigidi da escludere dal criptaggio. Kaspersky Endpoint Security esegue il criptaggio dell'intero disco a livello di settore dopo l'applicazione del criterio di Kaspersky Security Center. L'applicazione cripta tutte le partizioni dei dischi rigidi contemporaneamente.

  Una volta criptati i dischi rigidi di sistema, al successivo avvio del computer l'utente deve eseguire l'autenticazione utilizzando l'Agente di Autenticazione prima di poter accedere ai dischi rigidi e caricare il sistema operativo. Questo richiede l'immissione della password del token o della smart card connessa al computer oppure il nome utente e la password dell'account per l'Agente di Autenticazione creato dall'amministratore della rete LAN tramite l'attività Gestire gli account per l'Agente di Autenticazione. Questi account sono basati sugli account di Microsoft Windows con cui gli utenti eseguono l'accesso al sistema operativo. È inoltre possibile utilizzare la tecnologia SSO (Single Sign-On), che consente di accedere automaticamente al sistema operativo utilizzando il nome utente e la password dell'account dell'Agente di Autenticazione.

  Interfaccia che consente di completare l'autenticazione per l'accesso ai dischi rigidi criptati e il caricamento del sistema operativo dopo il criptaggio del disco rigido di avvio.

  Se si esegue il backup di un computer, si criptano i dati nel computer e quindi si esegue il ripristino della copia di backup del computer e si criptano nuovamente i dati nel computer, Kaspersky Endpoint Security crea duplicati degli account per l'Agente di Autenticazione. Per rimuovere gli account duplicati, è necessario utilizzare l'utilità klmover con il parametro dupfix. L'utilità klmover è inclusa nella build di Kaspersky Security Center. Ulteriori informazioni sul relativo utilizzo sono disponibili nella Guida di Kaspersky Security Center.

  L'accesso alle unità criptate è possibile solo dai computer in cui è installato Kaspersky Endpoint Security con la funzionalità di criptaggio dell'intero disco. Questa precauzione riduce al minimo il rischio di diffusione dei dati da un'unità criptata quando viene effettuato un tentativo di accedervi all'esterno della rete LAN aziendale.

Per criptare i dischi rigidi e le unità rimovibili, è possibile utilizzare la funzione Cripta solo lo spazio su disco utilizzato. È consigliabile utilizzare questa funzione solo per i nuovi dispositivi che non sono stati utilizzati in precedenza. Se si applica il criptaggio a un dispositivo già in uso, è consigliabile criptare l'intero dispositivo. Questo garantisce che tutti i dati siano protetti, anche i dati eliminati che potrebbero ancora contenere informazioni recuperabili.

Prima di avviare il criptaggio, Kaspersky Endpoint Security ottiene la mappa dei settori del file system. Il primo passaggio di criptaggio include i settori che sono occupati da file al momento dell'avvio del criptaggio. Il secondo passaggio di criptaggio include i settori che sono stati scritti dopo l'avvio del criptaggio. Al termine del criptaggio, tutti i settori che contengono dati sono criptati.

Una volta completato il criptaggio, se un utente elimina un file, i settori in cui era memorizzato il file eliminato diventano disponibili per la memorizzazione di nuove informazioni a livello di file system, ma rimangono criptati. Dal momento che i file vengono scritti in un nuovo dispositivo e il dispositivo viene regolarmente criptato con la funzione Cripta solo lo spazio su disco utilizzato abilitata, tutti i settori verranno criptati dopo un determinato periodo di tempo.

I dati necessari per decriptare i file vengono forniti dal sistema Kaspersky Security Center Administration Server che controllava il computer al momento del criptaggio. Se per qualche motivo il computer con oggetti criptati era gestito da un Administration Server diverso, è possibile ottenere l'accesso ai dati criptati in uno dei seguenti modi:

• Administration Server nella stessa gerarchia:
  • Non è necessario eseguire azioni aggiuntive. L'utente manterrà l'accesso agli oggetti criptati. Le chiavi di criptaggio vengono distribuite a tutti gli Administration Server.
• Administration Server separati:
  • Richiedere l'accesso agli oggetti criptati all'amministratore della LAN.
  • Ripristinare i dati nei dispositivi criptati utilizzando l'utilità di ripristino.
  • Ripristinare la configurazione del sistema Kaspersky Security Center Administration Server che controllava il computer al momento del criptaggio da una copia di backup e utilizzare questa configurazione sull'Administration Server che ora controlla il computer con gli oggetti criptati.

Se non è disponibile l'accesso ai dati criptati, seguire le istruzioni speciali per l'utilizzo dei dati criptati (Ripristino dell'accesso ai file criptati, Utilizzo dei dispositivi criptati quando non è possibile accedervi).

In questa sezione Limitazioni della funzionalità di criptaggio Modifica della lunghezza della chiave di criptaggio (AES56 / AES256) Criptaggio disco Kaspersky BitLocker Management Criptaggio a livello di file nelle unità locali del computer Criptaggio unità rimovibili Visualizzazione dei dettagli sul criptaggio dei dati Utilizzo dei dispositivi criptati quando non è possibile accedervi

Inizio pagina