dla systemów Windows i macOS
Szyfrowanie dysków BitLocker dla systemu Windows
BitLocker to technologia szyfrowania wbudowana w systemy operacyjne Windows. Kaspersky Endpoint Security pozwala kontrolować i zarządzać funkcją Bitlocker za pomocą infrastruktury Kaspersky Next. BitLocker szyfruje woluminy logiczne. Funkcja BitLocker nie może być używana do szyfrowania dysków wymiennych. Więcej informacji na temat BitLocker można znaleźć w dokumentacji firmy Microsoft.
Podczas szyfrowania dysku program BitLocker umieszcza program rozruchowy i inne pliki pomocnicze w system partition. Ta partycja nie jest szyfrowana. System operacyjny automatycznie tworzy partycję systemową podczas instalacji systemu Windows. Jeśli dysk został całkowicie podzielony na partycje przed zainstalowaniem systemu Windows, system operacyjny nie będzie mógł utworzyć partycji systemowej. W takim przypadku po uruchomieniu szyfrowania dysku funkcją BitLocker, system operacyjny wyświetla użytkownikowi monit o ponowne podzielenie dysku na partycje i utworzenie partycji systemowej. Po utworzeniu partycji systemowej system operacyjny uruchamia szyfrowanie BitLocker.
Funkcja BitLocker zapewnia bezpieczne przechowywanie kluczy dostępu za pomocą zaufanego modułu platformy. Moduł TPM (Trusted Platform Module) to mikroczip zaprojektowany do zapewnienia podstawowych funkcji związanych z bezpieczeństwem (na przykład, do przechowywania kluczy szyfrowania). Trusted Platform Module jest zazwyczaj instalowany w płycie głównej komputera i komunikuje się z wszystkimi pozostałymi komponentami systemu za pośrednictwem magistrali sprzętowej. Korzystanie z modułu TPM jest najbezpieczniejszym sposobem przechowywania kluczy dostępu funkcji BitLocker, ponieważ moduł TPM zapewnia weryfikację integralności systemu przed uruchomieniem. Nadal możesz szyfrować dyski na komputerze bez modułu TPM. W takim przypadku klucz dostępu zostanie zaszyfrowany przy użyciu hasła. Funkcja BitLocker używa następujących metod uwierzytelniania:
Po zaszyfrowaniu systemowego dysku twardego użytkownik musi przejść uwierzytelnianie funkcją BitLocker, aby uruchomić system operacyjny. Po procedurze uwierzytelniania funkcja BitLocker pozwoli użytkownikom zalogować się. Funkcja BitLocker nie obsługuje technologii pojedynczego logowania (SSO).
Po zaszyfrowaniu dysku funkcja BitLocker tworzy klucz główny. Kaspersky Endpoint Security wysyła klucz główny do Kaspersky Next, abyś mógł przywrócić dostęp do dysku, na przykład, jeśli użytkownik zapomniał hasło.
Jeśli użytkownik zaszyfruje dysk przy użyciu funkcji BitLocker, Kaspersky Endpoint Security wyśle informacje o szyfrowaniu dysku do konsoli Kaspersky Next. Jednak Kaspersky Endpoint Security nie wyśle klucza głównego do Kaspersky Next, więc przywrócenie dostępu do dysku. Aby funkcja BitLocker działała poprawnie z Kaspersky Next, odszyfruj dysk i ponownie zaszyfruj dysk przy użyciu zasady. Możesz odszyfrować dysk lokalnie lub za pomocą zasady.
Jeśli używasz zasad grupy Windows, wyłącz zarządzanie funkcją BitLocker w ustawieniach zasad. Ustawienia zasad Windows mogą kolidować z ustawieniami zasad Kaspersky Endpoint Security. Podczas szyfrowania dysku mogą wystąpić błędy.
Szyfrowanie dysku FileVault dla systemu macOS
Kaspersky Endpoint Security umożliwia zdalne zarządzanie szyfrowaniem FileVault. Szyfrowanie zapobiega dostępowi osób nieupoważnionych do poufnych danych zapisanych na dysku startowym komputera użytkownika.
Jeśli administrator uruchamia szyfrowanie FileVault urządzenia z konsoli Kaspersky Next, Kaspersky Endpoint Security wyświetli prośbę o wprowadzenie danych logowania użytkownika. Szyfrowanie dysku rozpocznie się dopiero po podaniu przez użytkownika danych logowania, ponownym uruchomieniu komputera i upływie 30 minut od otrzymania ustawień zasad na komputerze. Minimalny odstęp czasu pomiędzy monitami o podanie danych logowania wynosi 30 minut.
Aby uniemożliwić użytkownikowi odszyfrowanie dysku startowego komputera, gdy włączone jest szyfrowanie FileVault, administrator musi użyć JAMF do wdrożenia profilu MDM uniemożliwiającego odszyfrowanie dysku. Aby odszyfrować dysk startowy komputera z profilem MDM uniemożliwiającym odszyfrowywanie dysku, administrator musi najpierw usunąć profil.
Jeśli zarządzanie szyfrowaniem FileVault nie jest włączone w konsoli Kaspersky Next, użytkownicy z uprawnieniami administratora mogą szyfrować i odszyfrowywać dyski startowe komputera z poziomu Ustawień systemowych. Więcej informacji na temat FileVault znajdziesz w dokumentacji firmy Apple.
Jeśli na komputerze jest wiele kont użytkowników, szyfrowanie FileVault sprawia, że dysk staje się niedostępny dla wszystkich użytkowników z wyjątkiem użytkownika, który wprowadził swoje dane logowania.
Ustawienia szyfrowania danych dla Pro View
Parametr |
System operacyjny |
Opis |
|---|---|---|
Działania na urządzeniach |
|
Zaszyfruj wszystkie dyski twarde. Jeśli ta opcja jest zaznaczona, aplikacja szyfruje wszystkie dyski twarde po zastosowaniu zasady. Odszyfruj wszystkie dyski twarde. Jeśli ta opcja jest zaznaczona, aplikacja odszyfrowuje wszystkie zaszyfrowane wcześniej dyski twarde po zastosowaniu zasady. |
Użyj szyfrowania sprzętowego |
|
Jeśli pole jest zaznaczone, aplikacja stosuje szyfrowanie sprzętu. Umożliwia to przyspieszenie szyfrowania i zużycie mniejszej ilości zasobów. |
Używanie uwierzytelniania funkcji Bitlocker na tabletach z systemem Windows |
|
Korzystanie z uwierzytelniania wymagającego wprowadzenia danych przed rozruchem nawet wtedy, gdy platforma nie oferuje takiej możliwości (na przykład klawiatury dotykowe na tabletach). Ekran dotykowy komputerów typu tablet nie jest dostępny w środowisku wykonawczym przed uruchomieniem systemu. Aby zakończyć uwierzytelnianie funkcji BitLocker na komputerach typu tablet, użytkownik musi, na przykład, podłączyć klawiaturę USB. Jeśli pole jest zaznaczone, użycie uwierzytelniania wymagającego wprowadzenia danych przed rozruchem jest dozwolone. Zalecane jest korzystanie z tego ustawienia tylko na urządzeniach, na których znajdują się alternatywne narzędzia do wprowadzania danych przed rozruchem, na przykład klawiatura USB będąca dodatkiem do klawiatury dotykowej. Jeśli pole jest odznaczone, szyfrowanie dysków funkcją BitLocker nie jest możliwe na tabletach. |
Metoda uwierzytelnienia |
|
Moduł TPM (Trusted Platform Module). Jeśli ta opcja jest zaznaczona, BitLocker korzysta z modułu TPM (Trusted Platform Module). Moduł TPM (Trusted Platform Module) to mikroczip zaprojektowany do zapewnienia podstawowych funkcji związanych z bezpieczeństwem (na przykład, do przechowywania kluczy szyfrowania). Trusted Platform Module jest zazwyczaj instalowany w płycie głównej komputera i komunikuje się z wszystkimi pozostałymi komponentami systemu za pośrednictwem magistrali sprzętowej. Dla komputerów działających pod kontrolą systemu Windows 7 lub Windows Server 2008 R2 dostępne jest tylko szyfrowanie przy użyciu modułu TPM. Jeśli moduł TPM nie jest zainstalowany, szyfrowanie funkcją BitLocker nie jest możliwe. Użycie hasła na tych komputerach nie jest obsługiwane. Urządzenie posiadające moduł Trusted Platform Module może tworzyć klucze szyfrowania, które mogą zostać odszyfrowane tylko z pomocą urządzenia. TPM szyfruje klucze szyfrowania, korzystając z własnych kluczy głównych magazynowania. Klucz główny magazynowania jest przechowywany w Trusted Platform Module. Zapewnia to dodatkowy poziom ochrony przed próbami zhakowania kluczy szyfrowania. To ustawienie jest wybrane domyślnie. Hasło. Jeśli ta opcja jest zaznaczona, Kaspersky Endpoint Security wyświetli pytanie o wprowadzenie hasła podczas próby uzyskania dostępu do zaszyfrowanego dysku. Ta opcja może zostać wybrana, gdy moduł TPM nie jest używany. Moduł TPM (Trusted Platform Module) lub hasło, jeśli TPM jest niedostępny. Jeśli ta opcja jest zaznaczona, użytkownik może użyć hasła w celu uzyskania dostępu do kluczy szyfrowania, gdy moduł Trusted Platform Module (TPM) jest niedostępny. Jeśli pole wyboru zostanie odznaczone, a TPM nie jest dostępny, szyfrowanie całego dysku nie rozpocznie się. Użyj kodu PIN dla TPM. Jeśli to pole jest zaznaczone, użytkownik może użyć kodu PIN do uzyskania dostępu do klucza szyfrowania przechowywanego w Trusted Platform Module (TPM). Jeśli to pole jest odznaczone, użytkownicy nie mogą korzystać z kodów PIN. Aby uzyskać dostęp do klucza szyfrowania, użytkownik musi wprowadzić hasło. |