Możesz wybrać technologię szyfrowania: Kaspersky Disk Encryption lub Szyfrowanie dysków funkcją BitLocker (zwana dalej również „BitLocker”).
Kaspersky Disk Encryption
Po zaszyfrowaniu dysków twardych, przy kolejnym uruchomieniu komputera użytkownik musi przejść proces autoryzacji przy użyciu Agenta autoryzacji przed uzyskaniem dostępu do dysków twardych i załadowaniem systemu operacyjnego. Wymaga to wprowadzenia hasła do tokena lub karty inteligentnej podłączonej do komputera, bądź wpisania nazwy użytkownika i hasła konta Agenta autoryzacji utworzonego przez administratora lokalnej sieci firmowej przy użyciu zadania Zarządzanie kontami Agenta autoryzacji. Konta te są oparte na kontach systemu Microsoft Windows, z poziomu których użytkownik loguje się do systemu operacyjnego. Możesz także użyć technologii logowania jednokrotnego (SSO), która umożliwia automatyczne logowanie do systemu operacyjnego przy użyciu nazwy użytkownika i hasła dla konta Agenta autoryzacji.
Autoryzacja użytkownika w Agencie autoryzacji może przebiegać na dwa sposoby:
Użycie tokena lub karty inteligentnej jest możliwe tylko wtedy, gdy dyski twarde komputera zostały zaszyfrowane przy użyciu algorytmu szyfrowania AES256. Jeśli dyski twarde komputera zostały zaszyfrowane przy użyciu algorytmu szyfrowania AES56, dodanie pliku certyfikatu elektronicznego do polecenia zostanie odrzucone.
Szyfrowanie dysków funkcją BitLocker
BitLocker to technologia szyfrowania wbudowana w systemy operacyjne Windows. Kaspersky Endpoint Security pozwala kontrolować i zarządzać Bitlocker za pomocą Kaspersky Security Center. BitLocker szyfruje woluminy logiczne. Funkcja BitLocker nie może być używana do szyfrowania dysków wymiennych. Więcej informacji na temat BitLocker można znaleźć w dokumentacji firmy Microsoft.
Funkcja BitLocker zapewnia bezpieczne przechowywanie kluczy dostępu za pomocą zaufanego modułu platformy. Moduł TPM (Trusted Platform Module) to mikroczip zaprojektowany do zapewnienia podstawowych funkcji związanych z bezpieczeństwem (na przykład, do przechowywania kluczy szyfrowania). Trusted Platform Module jest zazwyczaj instalowany w płycie głównej komputera i komunikuje się z wszystkimi pozostałymi komponentami systemu za pośrednictwem magistrali sprzętowej. Korzystanie z modułu TPM jest najbezpieczniejszym sposobem przechowywania kluczy dostępu funkcji BitLocker, ponieważ moduł TPM zapewnia weryfikację integralności systemu przed uruchomieniem. Nadal możesz szyfrować dyski na komputerze bez modułu TPM. W takim przypadku klucz dostępu zostanie zaszyfrowany przy użyciu hasła. Funkcja BitLocker używa następujących metod uwierzytelniania:
Po zaszyfrowaniu dysku funkcja BitLocker tworzy klucz główny. Kaspersky Endpoint Security wysyła klucz główny do Kaspersky Security Center, abyś mógł przywrócić dostęp do dysku, na przykład, jeśli użytkownik zapomniał hasło.
Jeśli użytkownik zaszyfruje dysk przy użyciu funkcji BitLocker, Kaspersky Endpoint Security wyśle informacje o szyfrowaniu dysku do Kaspersky Security Center. Jednak Kaspersky Endpoint Security nie wyśle klucza głównego do Kaspersky Security Center, więc przywrócenie dostępu do dysku za pomocą Kaspersky Security Center będzie niemożliwe. Aby funkcja BitLocker działała poprawnie z Kaspersky Security Center, odszyfruj dysk i ponownie zaszyfruj dysk przy użyciu zasady. Możesz odszyfrować dysk lokalnie lub za pomocą zasady.
Po zaszyfrowaniu systemowego dysku twardego użytkownik musi przejść uwierzytelnianie funkcją BitLocker, aby uruchomić system operacyjny. Po procedurze uwierzytelniania funkcja BitLocker pozwoli użytkownikom zalogować się. Funkcja BitLocker nie obsługuje technologii pojedynczego logowania (SSO).
Jeśli używasz zasad grupy Windows, wyłącz zarządzanie funkcją BitLocker w ustawieniach zasad. Ustawienia zasad Windows mogą kolidować z ustawieniami zasad Kaspersky Endpoint Security. Podczas szyfrowania dysku mogą wystąpić błędy.
Ustawienia komponentu Kaspersky Disk Encryption
Parametr |
Opis |
---|---|
Tryb szyfrowania |
Zaszyfruj wszystkie dyski twarde. Jeśli ten element jest zaznaczony, aplikacja szyfruje wszystkie dyski twarde po zastosowaniu zasady. Jeśli na komputerze jest zainstalowanych kilka systemów operacyjnych, po szyfrowaniu będziesz mógł załadować tylko ten system operacyjny, na którym jest zainstalowana aplikacja. Odszyfruj wszystkie dyski twarde. Jeśli ten element jest zaznaczony, po zastosowaniu zasady aplikacja deszyfruje wszystkie wcześniej zaszyfrowane dyski twarde. Pozostaw niezmienione. Jeśli ten element jest zaznaczony, po zastosowaniu zasady aplikacja pozostawia dyski nienaruszone. Jeśli dysk był zaszyfrowany, pozostanie zaszyfrowany. Jeśli dysk był odszyfrowany, pozostanie odszyfrowany. Ten element jest wybrany domyślnie. |
Podczas szyfrowania automatycznie utwórz konta Agenta autoryzacji dla użytkowników systemu Windows |
Jeśli to pole jest zaznaczone, aplikacja tworzy konta Agenta autoryzacji w oparciu o listę kont użytkowników systemu Windows na komputerze. Domyślnie, Kaspersky Endpoint Security używa wszystkich kont lokalnych i domenowych, z którymi użytkownik logował się do systemu operacyjnego w ciągu ostatnich 30 dni. |
Ustawienia tworzenia konta Agenta autoryzacji |
Wszystkie konta na komputerze. Wszystkie konta na komputerze, które były aktywne w dowolnym momencie. Wszystkie konta domenowe na komputerze. Wszystkie konta na komputerze, które należą do niektórych domen i które były aktywne w dowolnym momencie. Wszystkie konta lokalne na komputerze. Wszystkie konta lokalne na komputerze, które były aktywne w dowolnym momencie. Konto usługi z hasłem jednorazowym. Konto usługi jest niezbędne do uzyskania dostępu do komputera, na przykład, gdy użytkownik zapomni hasło. Możesz także użyć konta usługi jako konta zapasowego. Musisz wprowadzić nazwę konta (domyślnie, Lokalny administrator. Kaspersky Endpoint Security tworzy konto użytkownika Agenta autoryzacji dla lokalnego administratora komputera. Menedżer komputera. Kaspersky Endpoint Security tworzy konto użytkownika Agenta autoryzacji dla konta menadżera komputera. Możesz zobaczyć, które konto ma rolę menadżera komputera we właściwościach komputera w Active Directory. Domyślnie, rola menadżera komputera nie jest zdefiniowana, czyli nie odpowiada żadnemu kontu. Aktywne konto. Kaspersky Endpoint Security automatycznie tworzy konto Agenta autoryzacji dla konta, które jest aktywne w momencie szyfrowania dysku. |
Automatycznie utwórz konta Agenta autoryzacji dla wszystkich użytkowników tego komputera podczas pierwszego logowania |
Jeśli to pole jest zaznaczone, aplikacja sprawdza informacje o kontach użytkownika systemu Windows na komputerze przed uruchomieniem Agenta autoryzacji. Jeśli Kaspersky Endpoint Security wykryje konto użytkownika systemu Windows, które nie zawiera konta Agenta autoryzacji, aplikacja utworzy nowe konto do uzyskania dostępu do zaszyfrowanych dysków. Nowe konto Agenta autoryzacji będzie posiadało domyślne ustawienia: tylko logowanie zabezpieczone hasłem oraz zmiana hasła po pierwszej autoryzacji. Dlatego też nie musisz ręcznie dodawać kont Agenta autoryzacji przy użyciu zadania Zarządzanie kontami Agenta autoryzacji dla komputerów z już zaszyfrowanymi dyskami. |
Zapisz nazwę użytkownika wprowadzoną w Agencie autoryzacji |
Jeśli to pole jest zaznaczone, aplikacja zapisze nazwę konta Agenta autoryzacji. Przy następnej próbie zalogowania się do Agenta autoryzacji z poziomu tego samego konta nie będzie konieczne wpisanie nazwy konta. |
Szyfruj tylko zajętą przestrzeń dysku (redukuje czas szyfrowania) |
To pole włącza/wyłącza opcję ograniczającą obszar szyfrowania tylko do zajmowanych sektorów dysku twardego. To ograniczenie pozwala na skrócenie czasu szyfrowania. Włączenie lub wyłączenie funkcji Szyfruj tylko zajętą przestrzeń dysku (redukuje czas szyfrowania) po rozpoczęciu szyfrowania nie powoduje zmodyfikowania tego ustawienia, aż do odszyfrowania dysków twardych. Przed rozpoczęciem szyfrowania należy zaznaczyć lub odznaczyć to pole. Jeśli pole jest zaznaczone, zostaną zaszyfrowane tylko te obszary dysku twardego, które są zajęte przez pliki. Kaspersky Endpoint Security automatycznie szyfruje nowe dane po ich dodaniu. Jeśli pole jest odznaczone, cały dysk twardy jest szyfrowany, w tym fragmenty wcześniej usuniętych i zmodyfikowanych plików. Ta opcja jest zalecana dla nowych dysków twardych, których dane nie zostały zmodyfikowane ani usunięte. Jeśli stosujesz szyfrowanie na dysku twardym, który jest już w użyciu, zalecane jest zaszyfrowanie całego dysku twardego. Zapewni to ochronę wszystkich danych, także tych usuniętych, które potencjalnie można odzyskać. Domyślnie pole to nie jest zaznaczone. |
Obsługa starszych wersji USB (niezalecane) |
To pole włącza/wyłącza funkcję Obsługa starszych wersji USB. Obsługa starszych wersji USB to funkcja BIOS/UEFI, która umożliwia korzystanie z urządzeń USB (takich jak token zabezpieczający) w trakcie fazy rozruchu komputera przed uruchomieniem systemu operacyjnego (tryb BIOS). Obsługa starszych wersji USB nie wpływa na obsługę urządzeń USB po uruchomieniu systemu operacyjnego. Jeśli pole jest zaznaczone, obsługa urządzeń USB podczas pierwszego uruchomienia komputera będzie włączona. Jeśli funkcja Obsługa starszych wersji USB jest włączona, Agent autoryzacji w trybie BIOS nie obsługuje pracy z tokenami za pośrednictwem USB. Zalecane jest użycie tej opcji tylko wtedy, gdy istnieje problem kompatybilności sprzętowej i tylko dla tych komputerów, na których wystąpił problem. |
Ustawienia hasła |
Ustawienia siły hasła konta Agenta autoryzacji. Podczas korzystania z technologii logowania jednokrotnego Agent autoryzacji ignoruje wymagania dotyczące siły hasła określone w Kaspersky Security Center. Możesz ustawić wymagania dotyczące siły hasła w ustawieniach systemu operacyjnego. |
Użyj technologii logowania jednokrotnego (SSO) |
Technologia SSO umożliwia użycie tych samych danych uwierzytelniających konta do uzyskania dostępu do dysków twardych i do systemu operacyjnego. Jeśli pole jest zaznaczone, musisz wprowadzić dane uwierzytelniające konta w celu uzyskania dostępu do zaszyfrowanych dysków twardych i automatycznego zalogowania do systemu operacyjnego. Jeśli pole jest odznaczone, w celu uzyskania dostępu do zaszyfrowanych dysków twardych i zalogowania do systemu operacyjnego należy oddzielnie wprowadzić dane uwierzytelniające dla uzyskania dostępu do zaszyfrowanych dysków twardych oraz dane uwierzytelniające konta użytkownika systemu operacyjnego. |
Zawijaj zewnętrznych dostawców poświadczeń |
Kaspersky Endpoint Security obsługuje zewnętrznego dostawcę usług uwierzytelniania ADSelfService Plus. Podczas pracy z zewnętrznymi dostawcami usług uwierzytelniania Agent autoryzacji przechwytuje hasło przed załadowaniem systemu operacyjnego. Oznacza to, że użytkownik musi wprowadzić hasło tylko raz podczas logowania się do systemu Windows. Po zalogowaniu się do systemu Windows użytkownik może korzystać z możliwości zewnętrznego dostawcy usług uwierzytelniających, na przykład do uwierzytelniania w usługach korporacyjnych. Zewnętrzni dostawcy usług uwierzytelniających pozwalają także użytkownikom na samodzielne resetowanie własnego hasła. W tym przypadku Kaspersky Endpoint Security automatycznie zaktualizuje hasło dla Agenta autoryzacji. W przypadku korzystania z zewnętrznego dostawcy usług uwierzytelniających, który nie jest obsługiwany przez aplikację, można napotkać pewne ograniczenia w działaniu technologii Single Sign-On. |
Pomoc |
Autoryzacja. Tekst pomocy wyświetlany w oknie Agenta autoryzacji podczas wprowadzania poświadczeń konta. Zmiana hasła. Tekst pomocy wyświetlany w oknie Agenta autoryzacji podczas zmiany hasła do konta Agenta autoryzacji. Przywracanie hasła. Tekst pomocy wyświetlany w oknie Agenta autoryzacji podczas odzyskiwania hasła do konta Agenta autoryzacji. |
Ustawiania modułu Szyfrowania dysków funkcją BitLocker
Parametr |
Opis |
---|---|
Tryb szyfrowania |
Zaszyfruj wszystkie dyski twarde. Jeśli ten element jest zaznaczony, aplikacja szyfruje wszystkie dyski twarde po zastosowaniu zasady. Jeśli na komputerze jest zainstalowanych kilka systemów operacyjnych, po szyfrowaniu będziesz mógł załadować tylko ten system operacyjny, na którym jest zainstalowana aplikacja. Odszyfruj wszystkie dyski twarde. Jeśli ten element jest zaznaczony, po zastosowaniu zasady aplikacja deszyfruje wszystkie wcześniej zaszyfrowane dyski twarde. Pozostaw niezmienione. Jeśli ten element jest zaznaczony, po zastosowaniu zasady aplikacja pozostawia dyski nienaruszone. Jeśli dysk był zaszyfrowany, pozostanie zaszyfrowany. Jeśli dysk był odszyfrowany, pozostanie odszyfrowany. Ten element jest wybrany domyślnie. |
Włącz korzystanie z uwierzytelniania BitLocker wymagającego wprowadzania danych z klawiatury przed uruchomieniem na tabletach |
To pole włącza / wyłącza korzystanie z uwierzytelniania wymagającego wprowadzenia danych przed rozruchem nawet wtedy, gdy platforma nie oferuje takiej możliwości (na przykład klawiatury dotykowe na tabletach). Ekran dotykowy komputerów typu tablet nie jest dostępny w środowisku wykonawczym przed uruchomieniem systemu. Aby zakończyć uwierzytelnianie funkcji BitLocker na komputerach typu tablet, użytkownik musi, na przykład, podłączyć klawiaturę USB. Jeśli pole jest zaznaczone, użycie uwierzytelniania wymagającego wprowadzenia danych przed rozruchem jest dozwolone. Zalecane jest korzystanie z tego ustawienia tylko na urządzeniach, na których znajdują się alternatywne narzędzia do wprowadzania danych przed rozruchem, na przykład klawiatura USB będąca dodatkiem do klawiatury dotykowej. Jeśli pole jest odznaczone, szyfrowanie dysków funkcją BitLocker nie jest możliwe na tabletach. |
Użyj szyfrowania sprzętowego (dla Windows 8 i nowszych) |
Jeśli pole jest zaznaczone, aplikacja stosuje szyfrowanie sprzętu. Umożliwia to przyspieszenie szyfrowania i zużycie mniejszej ilości zasobów. |
Szyfruj tylko zajętą przestrzeń dysku (dla Windows 8 i nowszych) |
To pole włącza/wyłącza opcję ograniczającą obszar szyfrowania tylko do zajmowanych sektorów dysku twardego. To ograniczenie pozwala na skrócenie czasu szyfrowania. Włączenie lub wyłączenie funkcji Szyfruj tylko zajętą przestrzeń dysku (redukuje czas szyfrowania) po rozpoczęciu szyfrowania nie powoduje zmodyfikowania tego ustawienia, aż do odszyfrowania dysków twardych. Przed rozpoczęciem szyfrowania należy zaznaczyć lub odznaczyć to pole. Jeśli pole jest zaznaczone, zostaną zaszyfrowane tylko te obszary dysku twardego, które są zajęte przez pliki. Kaspersky Endpoint Security automatycznie szyfruje nowe dane po ich dodaniu. Jeśli pole jest odznaczone, cały dysk twardy jest szyfrowany, w tym fragmenty wcześniej usuniętych i zmodyfikowanych plików. Ta opcja jest zalecana dla nowych dysków twardych, których dane nie zostały zmodyfikowane ani usunięte. Jeśli stosujesz szyfrowanie na dysku twardym, który jest już w użyciu, zalecane jest zaszyfrowanie całego dysku twardego. Zapewni to ochronę wszystkich danych, także tych usuniętych, które potencjalnie można odzyskać. Domyślnie pole to nie jest zaznaczone. |
Metoda uwierzytelniania |
Tylko hasło (dla Windows 8 i nowszych) Jeśli ta opcja jest zaznaczona, Kaspersky Endpoint Security wyświetli pytanie o wprowadzenie hasła podczas próby uzyskania dostępu do zaszyfrowanego dysku. Ta opcja może zostać wybrana, gdy moduł TPM nie jest używany. Moduł TPM (Trusted platform module) Jeśli ta opcja jest zaznaczona, BitLocker korzysta z modułu TPM (Trusted Platform Module). Moduł TPM (Trusted Platform Module) to mikroczip zaprojektowany do zapewnienia podstawowych funkcji związanych z bezpieczeństwem (na przykład, do przechowywania kluczy szyfrowania). Trusted Platform Module jest zazwyczaj instalowany w płycie głównej komputera i komunikuje się z wszystkimi pozostałymi komponentami systemu za pośrednictwem magistrali sprzętowej. Dla komputerów działających pod kontrolą systemu Windows 7 lub Windows Server 2008 R2 dostępne jest tylko szyfrowanie przy użyciu modułu TPM. Jeśli moduł TPM nie jest zainstalowany, szyfrowanie funkcją BitLocker nie jest możliwe. Użycie hasła na tych komputerach nie jest obsługiwane. Urządzenie posiadające moduł Trusted Platform Module może tworzyć klucze szyfrowania, które mogą zostać odszyfrowane tylko z pomocą urządzenia. TPM szyfruje klucze szyfrowania, korzystając z własnych kluczy głównych magazynowania. Klucz główny magazynowania jest przechowywany w Trusted Platform Module. Zapewnia to dodatkowy poziom ochrony przed próbami zhakowania kluczy szyfrowania. To ustawienie jest wybrane domyślnie. Możesz ustawić dodatkową warstwę ochrony dostępu do klucza szyfrowania i zaszyfrować klucz z hasłem lub kodu PIN:
|