Úplné šifrování disku
Můžete vybrat technologii šifrování: Kaspersky Disk Encryption nebo BitLocker Drive Encryption (dále označována zkráceně jako „technologie BitLocker“).
Kaspersky Disk Encryption
Po zašifrování systémových pevných disků se musí uživatel při příštím spuštění počítače ověřit prostřednictvím ověřovacího agenta a až poté jsou zpřístupněna data na pevných discích a načten operační systém. Tato akce vyžaduje zadání hesla tokenu nebo čipové karty připojené k počítači nebo uživatelského jména a hesla účtu ověřovacího agenta, který byl vytvořen správcem místní sítě pomocí úlohy Správa účtů ověřovacího agenta. Tyto účty jsou založené na účtech systému Microsoft Windows, které uživatelé používají k přihlašování do operačního systému. Můžete také použít technologii SSO (Single Sign-On), která umožňuje automatické přihlášení k operačnímu systému pomocí uživatelského jména a hesla účtu ověřovacího agenta.
Ověření uživatele ověřovacím agentem lze provést dvěma způsoby:
- Zadejte název a heslo účtu ověřovacího agenta, který byl vytvořen správcem sítě LAN pomocí nástrojů aplikace Kaspersky Security Center.
- Zadejte heslo tokenu nebo čipové karty připojené k počítači.
Použití tokenu nebo čipové karty bude k dispozici, pouze pokud byly pevné disky počítače zašifrovány pomocí šifrovacího algoritmu AES256. Pokud byly pevné disky počítače zašifrovány pomocí šifrovacího algoritmu AES56, přiřazení souboru elektronického certifikátu k příkazu bude zamítnuto.
BitLocker Drive Encryption
BitLocker je šifrovací technologie zabudovaná do operačních systémů Windows. Aplikace Kaspersky Endpoint Security vám umožňuje řídit a spravovat technologii Bitlocker pomocí aplikace Kaspersky Security Center. BitLocker šifruje logické svazky. BitLocker nelze použít pro šifrování vyměnitelných jednotek. Podrobnosti o technologii BitLocker najdete v dokumentaci společnosti Microsoft.
BitLocker poskytuje zabezpečené úložiště přístupových klíčů pomocí modulu TPM (Trusted Platform Module). Trusted Platform Module (TPM) je mikročip vyvinutý pro poskytování základních funkcí souvisejících se zabezpečením (například k ukládání šifrovacích klíčů). Modul TPM je obvykle nainstalován na základní desce počítače a komunikuje se všemi ostatními součástmi systému prostřednictvím hardwarové sběrnice. Použití modulu TPM je nejbezpečnějším způsobem uložení přístupových klíčů nástroje BitLocker, protože modul poskytuje ověření integrity systému před spuštěním. Jednotky v počítači můžete šifrovat i bez modulu TPM. V tomto případě bude přístupový klíč zašifrován pomocí hesla. BitLocker používá následující metody ověřování:
- TPM.
- TPM a PIN.
- Heslo.
Po zašifrování jednotky vytvoří nástroj BitLocker hlavní klíč. Aplikace Kaspersky Endpoint Security odešle hlavní klíč do aplikace Kaspersky Security Center, abyste mohli obnovit přístup na disk, například pokud uživatel zapomene heslo.
Pokud uživatel zašifruje disk pomocí nástroje BitLocker, Kaspersky Endpoint Security pošle informace o šifrování disku do aplikace Kaspersky Security Center. Kaspersky Endpoint Security nicméně do aplikace Kaspersky Security Center neposílá hlavní klíč, takže nebude možné obnovit přístup na disk pomocí aplikace Kaspersky Security Center. Aby nástroj BitLocker správně fungoval s aplikací Kaspersky Security Center, dešifrujte jednotku a znovu ji zašifrujte pomocí zásady. Jednotku můžete dešifrovat místně nebo pomocí zásady.
Po zašifrování systémového pevného disku musí uživatel před spuštěním operačního systému projít ověřením nástrojem BitLocker. Po ověření umožní nástroj BitLocker uživatelům přihlášení. BitLocker nepodporuje technologii jednotného přihlašování (SSO).
Pokud používáte zásady skupiny systému Windows, vypněte správu nástroje BitLocker v nastavení zásad. Nastavení zásad systému Windows může být v rozporu s nastavením zásad aplikace Kaspersky Endpoint Security. Při šifrování jednotky mohou nastat chyby.
Nastavení součásti Kaspersky Disk Encryption
Parametr | Popis |
|---|---|
Režim šifrování | Šifrovat všechny pevné disky. Je-li vybrána tato položka, aplikace zašifruje všechny pevné disky, když jsou použity zásady. Pokud je v počítači nainstalováno několik operačních systémů, budete moci po šifrování načíst pouze systém, ve kterém je nainstalována příslušná aplikace. Dešifrovat všechny pevné disky. Je-li vybrána tato položka, aplikace dešifruje všechny pevné disky, když jsou použity zásady. Ponechat bez změny. Je-li vybrána tato položka, aplikace ponechá disky v předchozím stavu, když jsou použity zásady. Pokud byl disk zašifrován, zůstane zašifrovaný. Pokud byl disk dešifrovaný, zůstane dešifrovaný. Tato položka je ve výchozím nastavení vybrána. |
Při šifrování automaticky vytvářet pro uživatele systému Windows účty ověřovacího agenta | Je-li toto políčko zaškrtnuto, aplikace vytváří účty agenta ověřování na základě seznamu uživatelských účtů Windows v počítači. Ve výchozím nastavení aplikace Kaspersky Endpoint Security používá všechny místní a doménové účty, pomocí kterých se uživatel přihlásil k operačnímu systému za posledních 30 dní. |
Nastavení vytváření účtů ověřovacího agenta | Všechny účty v počítači. Pokud je toto políčko zaškrtnuto, vytvoří aplikace Kaspersky Endpoint Security při spuštění úlohy úplného šifrování disku účty ověřovacího agenta pro všechny počítačové účty, které kdy byly aktivní. Všechny účty domén v počítači. Pokud je toto políčko zaškrtnuto, vytvoří aplikace Kaspersky Endpoint Security při spuštění úlohy úplného šifrování disku účty ověřovacího agenta pro všechny počítačové účty patřící do určité domény, které kdy byly aktivní. Všechny místní účty v počítači. Pokud je toto políčko zaškrtnuto, vytvoří aplikace Kaspersky Endpoint Security při spuštění úlohy úplného šifrování disku účty ověřovacího agenta pro všechny místní počítačové účty, které kdy byly aktivní. Místní správce. Pokud je toto políčko zaškrtnuto, vytvoří aplikace Kaspersky Endpoint Security při spuštění úlohy úplného šifrování disku účet místního správce. Správce počítače. Pokud je toto políčko zaškrtnuto, vytvoří aplikace Kaspersky Endpoint Security při spuštění úlohy úplného šifrování disku účet ověřovacího agenta pro účet, jehož vlastnosti ve službě Active Directory značí, že se jedná o účet pro správu. Aktivní účet. Pokud je toto políčko zaškrtnuto, vytvoří aplikace Kaspersky Endpoint Security při spuštění úlohy úplného šifrování disku automaticky účet ověřovacího agenta pro počítačový účet, který je během úlohy aktivní. |
Vytvářet pro všechny uživatele tohoto počítače účty ověřovacího agenta automaticky při přihlášení | Je-li toto políčko zaškrtnuto, aplikace před spuštěním ověřovacího agenta zkontroluje informace o uživatelských účtech Windows v počítači. Pokud aplikace Kaspersky Endpoint Security zjistí uživatelský účet systému Windows, který nemá účet ověřovacího agenta, aplikace vytvoří nový účet pro přístup k šifrovaným jednotkám. Nový účet ověřovacího agenta bude mít následující výchozí nastavení: pouze přihlašování chráněné heslem a změna hesla při prvním ověřování. Proto u počítačů s již zašifrovanými jednotkami nemusíte ručně přidávat účty agenta ověřování pomocí úlohy Správa účtů ověřovacího agenta. |
Uložit uživatelské jméno zadané v ověřovacím agentovi | Pokud je toto políčko zaškrtnuto, aplikace uloží název účtu ověřovacího agenta. Název účtu bude nutné zadat při příštím pokusu o dokončení autorizace v ověřovacím agentovi pod stejným účtem. |
Zašifrovat pouze využité místo na disku | Pomocí tohoto zaškrtávacího políčka lze povolit nebo zakázat funkci, která omezuje oblast šifrování pouze na využité sektory pevného disku. Díky tomuto omezení lze zkrátit dobu šifrování. Povolení nebo zakázání funkce Zašifrovat pouze využité místo na disku (zkracuje dobu šifrování) po spuštění šifrování nezmění toto nastavení, dokud nebudou pevné disky zašifrované. Před zahájením šifrování je třeba políčko zaškrtnout nebo zrušit jeho zaškrtnutí. Pokud je toto políčko zaškrtnuto, budou šifrovány pouze části pevného disku, na kterých jsou soubory. Aplikace Kaspersky Endpoint Security automaticky šifruje nová data při jejich přidání. Jestliže je zaškrtnutí tohoto políčka zrušeno, bude šifrováno celý pevný disk, včetně zbytkových fragmentů dříve odstraněných a upravených souborů. Tuto funkci doporučujeme používat u nových disků, jejichž data ještě nebyla upravena nebo odstraněna. Pokud použijete šifrování u pevného disku, který se již používá, doporučujeme šifrovat celý pevný disk. Zajistíte tím ochranu všech dat, a to i odstraněných dat, která se dají případně obnovit. Toto políčko není ve výchozím nastavení zaškrtnuto. |
Použít funkci Legacy USB Support | Toto zaškrtávací políčko povoluje / zakazuje funkci Legacy USB Support. Legacy USB Support je funkce BIOS/UEFI, která vám umožní používat zařízení USB (například token zabezpečení) během fáze spouštění počítače před spuštěním operačního systému (režim BIOS). Funkce Legacy USB Support neovlivňuje podporu zařízení USB po spuštění operačního systému. Pokud je toto políčko zaškrtnuto, bude podpora zařízení USB při počátečním spouštění počítače povolena. Je-li funkce Legacy USB Support aktivována, ověřovací agent v režimu BIOS nepodporuje práci s tokeny přes USB. Tuto funkci doporučujeme používat pouze v případě, že dochází k problémům s kompatibilitou hardwaru, a pouze u počítačů, ve kterých k problémům dochází. |
Nastavení hesla | Nastavení síly hesla účtu ověřovacího agenta. Můžete také povolit nebo zakázat používání technologie SSO (Single Sign-On). Technologie SSO umožňuje používat stejné přihlašovací údaje pro přístup k šifrovaným pevným diskům i k přihlášení k operačnímu systému. Pokud je toto políčko zaškrtnuto, musíte při přístupu k šifrovaným pevným diskům a následnému automatickému přihlášení k operačnímu systému zadat přihlašovací údaje k účtu. Jestliže je zaškrtnutí tohoto políčka zrušeno, je nutné při přístupu k šifrovaným pevným jednotkám a následnému přihlášení k operačnímu systému zadat zvlášť přihlašovací údaje pro přístup k šifrovaným pevným jednotkám i přihlašovací údaje k uživatelskému účtu operačního systému. |
Texty nápovědy | Ověření. Text nápovědy, který se objeví v okně Ověřovací agent při zadávání přihlašovacích údajů k účtu. Změnit heslo. Text nápovědy, který se objeví v okně Ověřovací agent při změně hesla pro účet tohoto agenta. Obnovit heslo. Text nápovědy, který se objeví v okně Ověřovací agent při obnovení hesla pro účet tohoto agenta. |
Nastavení součásti BitLocker Drive Encryption
Parametr | Popis |
|---|---|
Režim šifrování | Šifrovat všechny pevné disky. Je-li vybrána tato položka, aplikace zašifruje všechny pevné disky, když jsou použity zásady. Pokud je v počítači nainstalováno několik operačních systémů, budete moci po šifrování načíst pouze systém, ve kterém je nainstalována příslušná aplikace. Dešifrovat všechny pevné disky. Je-li vybrána tato položka, aplikace dešifruje všechny pevné disky, když jsou použity zásady. Ponechat bez změny. Je-li vybrána tato položka, aplikace ponechá disky v předchozím stavu, když jsou použity zásady. Pokud byl disk zašifrován, zůstane zašifrovaný. Pokud byl disk dešifrovaný, zůstane dešifrovaný. Tato položka je ve výchozím nastavení vybrána. |
Povolit použití ověřování BitLocker vyžadující vstup z klávesnice před spuštěním na tabletech | Tímto zaškrtávacím políčkem lze povolit nebo zakázat použití ověřování vyžadujícího zadání dat v prostředí před spuštěním, i když platforma nemá možnost vstupu před spuštěním (například s dotykovými klávesnicemi na tabletech). V prostředí před spuštěním není k dispozici dotyková obrazovka tabletů. Aby bylo možné v tabletech dokončit ověřování pomocí technologie BitLocker, uživatel musí připojit například klávesnici USB. Je-li toto políčko zaškrtnuto, použití ověřování vyžadujícího vstup před spuštěním bude povoleno. Toto nastavení doporučujeme použít pouze pro zařízení, která mají alternativní nástroje pro zadání dat v prostředí před spuštěním, jako je například USB klávesnice kromě dotykové klávesnice. Není-li toto políčko zaškrtnuto, technologii BitLocker Drive Encryption nelze používat na tabletech. |
Použít hardwarové šifrování | Pokud je políčko zaškrtnuté, aplikace použije hardwarové šifrování. Tím se zvyšuje rychlost šifrování a bude využito méně výpočetních prostředků. |
Zašifrovat pouze využité místo na disku (Windows 8 a novější verze) | Pomocí tohoto zaškrtávacího políčka lze povolit nebo zakázat funkci, která omezuje oblast šifrování pouze na využité sektory pevného disku. Díky tomuto omezení lze zkrátit dobu šifrování. Povolení nebo zakázání funkce Zašifrovat pouze využité místo na disku (zkracuje dobu šifrování) po spuštění šifrování nezmění toto nastavení, dokud nebudou pevné disky zašifrované. Před zahájením šifrování je třeba políčko zaškrtnout nebo zrušit jeho zaškrtnutí. Pokud je toto políčko zaškrtnuto, budou šifrovány pouze části pevného disku, na kterých jsou soubory. Aplikace Kaspersky Endpoint Security automaticky šifruje nová data při jejich přidání. Jestliže je zaškrtnutí tohoto políčka zrušeno, bude šifrováno celý pevný disk, včetně zbytkových fragmentů dříve odstraněných a upravených souborů. Tuto funkci doporučujeme používat u nových disků, jejichž data ještě nebyla upravena nebo odstraněna. Pokud použijete šifrování u pevného disku, který se již používá, doporučujeme šifrovat celý pevný disk. Zajistíte tím ochranu všech dat, a to i odstraněných dat, která se dají případně obnovit. Toto políčko není ve výchozím nastavení zaškrtnuto. |
Nastavení ověřování | Použít heslo (Windows 8 a novější verze) Je-li tato možnost vybrána, aplikace Kaspersky Endpoint Security vyzve uživatele k zadání hesla, když se uživatel pokusí o přístup k šifrovanému disku. Tuto možnost lze vybrat, když není čip TPM (Trusted Platform Module) použit. Použít čip TPM (Trusted Platform Module) Je-li tato možnost vybrána, technologie BitLocker použije čip TPM (Trusted Platform Module). Trusted Platform Module (TPM) je mikročip vyvinutý pro poskytování základních funkcí souvisejících se zabezpečením (například k ukládání šifrovacích klíčů). Čip TPM je obvykle instalovaný na základní desce počítače a komunikuje se všemi ostatními součástmi systému prostřednictvím hardwarového rozhraní. U počítačů se systémem Windows 7 nebo Windows Server 2008 R2 je k dispozici pouze šifrování pomocí modulu TPM. Pokud modul TPM není nainstalován, šifrování nástroje BitLocker není možné. Použití hesla v těchto počítačích není podporováno. Zařízení vybavené čipem TPM (Trusted Platform Module) může vytvořit šifrovací klíče, které lze dešifrovat pouze pomocí tohoto zařízení. Čip TPM (Trusted Platform Module) šifruje šifrovací klíče pomocí vlastního kořenového klíče úložiště. Kořenový klíč úložiště je uložen v čipu TPM (Trusted Platform Module). Ten poskytuje další úroveň ochrany před pokusy o hacknutí šifrovacích klíčů. Tato akce je nastavena jako výchozí. Pro přístup k šifrovacímu klíči můžete nastavit další vrstvu ochranu a klíč zašifrovat heslem nebo kódem PIN:
|