您可以選取加密技術:卡巴斯基磁碟加密或 BitLocker 磁碟機加密(以下簡稱“BitLocker”)。
卡巴斯基磁碟加密
加密系統硬碟後,在下次電腦啟動時,使用者要能夠存取硬碟並且作業系統載入前,使用者必須透過身分驗證代理的驗證。這需要輸入權杖或連線到電腦的智能卡的密碼,或者輸入由局域網管理員使用“管理身分驗證代理帳戶”工作建立的身分驗證代理帳戶的使用者名稱和密碼。這些帳戶以使用者登入作業系統的 Microsoft Windows 帳戶為基礎。您還可以使用單點登入 (SSO) 技術,此技術允許您使用身分驗證代理帳戶的使用者名稱和密碼自動登入至作業系統。
可以透過兩種方式在身分驗證代理中執行使用者身分驗證:
如果電腦硬碟磁碟機使用 AES256 加密演算法進行加密,則可以使用令牌或智慧卡。如果使用 AES256 演算法加密了電腦硬碟磁碟機,新增電子憑證檔案到指令將被拒絕。
BitLocker 磁碟機加密
BitLocker 是 Windows 作業系統內建的加密技術。Kaspersky Endpoint Security 允許您使用卡巴斯基安全管理中心控制和管理 Bitlocker。BitLocker 可對邏輯磁區進行加密。BitLocker 不能用於卸除式磁碟機的加密。有關 BitLocker 的詳細資訊,請參閱 Microsoft 文件。
BitLocker 使用受信任平台模組提供對存取金鑰的安全儲存。受信任平台模組 (TPM) 是一個與安全相關並提供基本功能的微晶片(例如用於儲存加密金鑰)。受信任平台模組通常安裝在電腦主機板上並且透過硬體匯流排與其他所有系統元件進行互動。使用 TPM 是儲存 BitLocker 存取金鑰最安全的方式,因為 TPM 提供了啟動前系統完整性驗證。您仍然可以在沒有 TPM 的電腦上對磁碟機進行加密。在這種情況下,將使用密碼對存取金鑰進行加密。BitLocker 使用以下身分驗證方式:
在對磁碟機進行加密後,BitLocker 會建立一個主密碼。Kaspersky Endpoint Security 會將主密碼傳送到卡巴斯基安全管理中心,以便您可以還原對磁碟的存取,例如,如果使用者忘記了密碼。
如果使用者使用 BitLocker 對磁碟進行加密,Kaspersky Endpoint Security 會將有關磁碟加密的資訊傳送到卡巴斯基安全管理中心。但是,Kaspersky Endpoint Security 不會將主密碼傳送到卡巴斯基安全管理中心,因此將無法使用卡巴斯基安全管理中心還原對磁碟的存取。為使 BitLocker 與卡巴斯基安全管理中心正常協同工作,請解密磁碟機,然後使用政策重新對該磁碟機進行加密。您可以在本機解密磁碟機,也可以使用政策來解密磁碟機。
對系統硬碟磁碟機進行加密後,使用者需要透過 BitLocker 身分驗證才能啟動作業系統。身分驗證過程後,BitLocker 將允許使用者登入。BitLocker 不支援單點登錄技術 (SSO)。
如果正在使用 Windows 群組政策,請在政策設定中關閉 BitLocker 管理。Windows 政策設定可能與 Kaspersky Endpoint Security 政策設定衝突。在對磁碟機進行加密時,可能會發生錯誤。
卡巴斯基磁碟加密元件設定
參數 |
描述 |
---|---|
加密模式 |
加密所有硬碟磁碟機。如果選擇該選項,套用政策後,應用程式將加密所有硬碟。 如果電腦安裝了多個作業系統,在加密後,您將能夠只載入安裝了應用程式的作業系統。 解密所有硬碟磁碟機。如果選擇該選項,套用政策後,應用程式將解密先前已加密的所有硬碟。 保留不變。如果選定了該選項,套用政策後,應用程式將保留硬碟不動。如果磁碟機已加密,則其仍加密。如果磁碟機已解密,則其仍解密。預設情況下已勾選此項目。 |
加密時對 Windows 使用者自動建立身分驗證代理帳戶 |
如果選中此核取方塊,則應用程式將基於電腦上的 Windows 使用者帳戶清單建立身分驗證代理帳戶。預設情況下,Kaspersky Endpoint Security 使用在過去30 天內登入到作業系統的使用者所使用的所有本機帳戶和網域帳戶。 |
身分驗證代理帳戶建立設定 |
電腦上的所有帳戶。任何時間啟動過的電腦上的所有帳戶。 電腦上所有網域帳戶。屬於某些網域且在任何時間啟動過的電腦上的所有帳戶。 電腦上所有本機帳戶。任何時間啟動過的電腦上的所有本機帳戶。 具有一次性密碼的服務賬戶。獲取電腦的存取權限時(例如,當使用者忘記密碼時)需要該服務帳戶。您也可以將服務帳戶作為備用帳戶。您可以輸入帳戶名稱(預設為 本機管理員。Kaspersky Endpoint Security 會為電腦的本機管理員建立一個身分驗證代理使用者帳戶。 電腦管理者。Kaspersky Endpoint Security 會為電腦管理者的帳戶建立一個身分驗證代理使用者帳戶。您可以在 Active Directory 的電腦內容中查看哪個帳戶有電腦管理者角色。預設未定義電腦管理者角色,即它不相應任何帳戶。 目前帳戶。Kaspersky Endpoint Security 會為磁碟加密時啟動的帳戶自動建立一個身分驗證代理帳戶。 |
首次登入時為此電腦的所有使用者自動建立身分驗證代理帳戶 |
如果選中此核取方塊,則應用程式將在啟動身分驗證代理之前檢查電腦上 Windows 使用者帳戶的資訊。如果 Kaspersky Endpoint Security 偵測到沒有身分驗證代理帳戶的 Windows 使用者帳戶,則應用程式將建立一個新帳戶來存取加密的磁碟機。新的身分驗證代理帳戶將具有以下預設設定:僅受密碼防護的登錄,以及首次身分驗證時變更密碼。因此,對於具有已加密磁碟機的電腦,不需要使用“管理身分驗證代理帳戶”任務手動新增身分驗證代理帳戶。 |
儲存在身分驗證代理中輸入的使用者名稱 |
如果選中該核取方塊,應用程式將儲存身分驗證代理帳戶的名稱。下次使用同一帳戶在身分驗證代理中嘗試完成憑證時不會被提示輸入帳戶名稱。 |
僅加密使用的磁碟空間(減少加密時間) |
該核取方塊可啟用/停用將加密區域僅限為已用硬碟磁區的選項。該限制可減少加密時間。 在啟動加密後啟用或者停用“僅加密使用的磁碟空間(減少加密時間)”功能不會修改此設定,直到硬碟磁碟機被解密為止。開始加密之前您必須選擇或清除該核取方塊。 如果選定該核取方塊,則僅加密使用的硬碟部分。Kaspersky Endpoint Security 將自動加密新增的新資料。 如果清空該核取方塊,整個硬碟將被加密,包括先前刪除和修改檔案殘留的碎片。 建議對尚未修改或刪除資料的新硬碟使用該選項。如果對已在使用中的硬碟應用加密,則建議加密整個硬碟。這樣可確保防護所有資料,甚至已刪除的資料也能夠部分還原。 預設情況下已清空此核取方塊。 |
啟用 Legacy USB Support(不建議) |
此核取方塊可啟用/停用 Legacy USB Support 功能。Legacy USB Support 是一種 BIOS/UEFI 功能,允許您在啟動作業系統(BIOS 模式)之前,在電腦的引導階段使用 USB 裝置(例如安全性權杖)。Legacy USB Support 不會影響作業系統啟動後對 USB 裝置的支援。 如果選中該核取方塊,在電腦初始啟動期間對 USB 裝置的支援將啟用。 啟用 Legacy USB Support 功能時,BIOS 模式下的身分驗證代理不支援透過 USB 使用權杖。建議僅當存在硬體相容性問題時並僅對發生問題的電腦使用此選項。 |
密碼設定 |
身分驗證代理帳戶密碼強度設定。使用單點登入技術時,身分驗證代理將忽略卡巴斯基安全管理中心中指定的密碼強度要求。您可以在作業系統設定中設定密碼強度要求。 |
使用一次性登入技術 |
SSO 技術允許使用同一個帳戶憑證存取加密磁碟機並登入作業系統。 如果選中此核取方塊,您必須輸入用於存取加密硬碟磁碟機以及隨後自動登入作業系統的帳戶憑證。 如果清除該核取方塊,要存取加密硬碟磁碟機並隨後登入作業系統,您必須分別輸入用於存取加密硬碟磁碟機的憑證和作業系統使用者帳戶憑證。 |
包裝第三方憑據提供商 |
Kaspersky Endpoint Security 支援協力廠商憑據提供者 ADSelfService Plus。 當使用協力廠商憑據提供者時,身分驗證代理會在作業系統載入前攔截密碼。這意味著使用者在登入 Windows 時只需要輸入密碼一次。登入 Windows 後,使用者可以在公司服務(例如)中利用協力廠商憑據提供者的功能進行身分驗證。協力廠商憑據提供者還可讓使用者獨立重設自己的密碼。在此情況下,Kaspersky Endpoint Security 將自動更新身分驗證代理的密碼。 如果您正在使用不受應用程式支援的協力廠商憑據提供者,您可能會在單點登入技術操作中遇到某些限制。 |
說明 |
身分驗證。輸入帳戶憑證時,“身分驗證代理”視窗中顯示的說明文字。 變更密碼。變更身分驗證代理帳戶的密碼時,“身分驗證代理”視窗中顯示的說明文字。 還原密碼。還原身分驗證代理帳戶的密碼時,“身分驗證代理”視窗中顯示的說明文字。 |
BitLocker 磁碟機加密元件設定
參數 |
描述 |
---|---|
加密模式 |
加密所有硬碟磁碟機。如果選擇該選項,套用政策後,應用程式將加密所有硬碟。 如果電腦安裝了多個作業系統,在加密後,您將能夠只載入安裝了應用程式的作業系統。 解密所有硬碟磁碟機。如果選擇該選項,套用政策後,應用程式將解密先前已加密的所有硬碟。 保留不變。如果選定了該選項,套用政策後,應用程式將保留硬碟不動。如果磁碟機已加密,則其仍加密。如果磁碟機已解密,則其仍解密。預設情況下已勾選此項目。 |
啟用需要在平板電腦上預啟動鍵盤輸入的 BitLocker 身分驗證 |
此核取方塊啟用/停用在預啟動環境中使用需要資料輸入的身分驗證,即使此平台沒有能力進行預啟動輸入(例如使用平板電腦上的觸控式螢幕鍵盤)。 平板電腦的觸控式螢幕在預啟動環境中不可用。例如,要在平板電腦上完成 BitLocker 身分驗證,使用者必須連線 USB 鍵盤。 如果選定此核取方塊,則允許使用需要預啟動輸入的身分驗證。建議在預啟動環境中僅對擁有備用資料輸入的裝置(例如除了觸控式螢幕鍵盤之外的 USB 鍵盤)使用此設定。 如果清除此核取方塊,則無法在平板電腦上使用 BitLocker 磁碟機加密。 |
使用硬體加密(Windows 8 和後續版本) |
如果選定此核取方塊,則應用程式將應用硬體加密。這可以提高加密速度並使用較少的電腦資源。 |
僅加密使用的磁碟空間(Windows 8 和後續版本) |
該核取方塊可啟用/停用將加密區域僅限為已用硬碟磁區的選項。該限制可減少加密時間。 在啟動加密後啟用或者停用“僅加密使用的磁碟空間(減少加密時間)”功能不會修改此設定,直到硬碟磁碟機被解密為止。開始加密之前您必須選擇或清除該核取方塊。 如果選定該核取方塊,則僅加密使用的硬碟部分。Kaspersky Endpoint Security 將自動加密新增的新資料。 如果清空該核取方塊,整個硬碟將被加密,包括先前刪除和修改檔案殘留的碎片。 建議對尚未修改或刪除資料的新硬碟使用該選項。如果對已在使用中的硬碟應用加密,則建議加密整個硬碟。這樣可確保防護所有資料,甚至已刪除的資料也能夠部分還原。 預設情況下已清空此核取方塊。 |
身分驗證方法 |
僅限密碼(Windows 8 和後續版本) 如果選定此選項,Kaspersky Endpoint Security 將在使用者嘗試存取加密磁碟時提示使用者輸入密碼。 沒有使用受信任平台模組 (TPM) 時可以選擇此選項。 受信任平台模組 (TPM) 如果選定此核取方塊,則 BitLocker 使用受信任平台模組 (TPM)。 受信任平台模組 (TPM) 是一個與安全相關並提供基本功能的微晶片(例如用於儲存加密金鑰)。受信任平台模組通常安裝在電腦主機板上並且透過硬體匯流排與其他所有系統元件進行互動。 對於執行 Windows 7 或 Windows Server 2008 R2 的電腦,只能使用 TPM 模組進行加密。如果未安裝 TPM 模組,則無法進行 BitLocker 加密。不支援在這些電腦上使用密碼。 配有受信任平台模組的裝置可以建立只能使用此裝置解密的加密金鑰。受信任平台模組將使用其自有的根儲存金鑰加密加密金鑰。根儲存金鑰儲存在受信任平台模組中。這提供了防禦駭客攻擊加密金鑰的附加防護。 預設情況下已選擇此操作。 您可以為存取加密金鑰設定一層額外防護,用密碼或者 PIN 加密金鑰:
|