Kiválaszthatja a titkosítási technológiát: Kaspersky lemeztitkosítás vagy BitLocker meghajtótitkosítás (a továbbiakban egyszerűen „BitLocker” is).
Kaspersky lemeztitkosítás
A rendszermerevlemezek titkosítását követően a számítógép legközelebbi indításakor a felhasználónak a Hitelesítési ügynök segítségével hitelesítést kell végeznie, mielőtt hozzáférhetne a merevlemezekhez, és betöltődhetne az operációs rendszer. Ehhez meg kell adni a token vagy a számítógéphez csatlakoztatott okoskártya jelszavát, vagy a helyi hálózati rendszergazda által a Hitelesítési ügynök fiókok kezelése feladat segítségével létrehozott Hitelesítési ügynök-fiók felhasználónevét és jelszavát. Ezek a fiókok azon Microsoft Windows fiókokon alapulnak, amelyekkel a felhasználó az operációs rendszerbe bejelentkezik. Emellett használhatja az egyszeri bejelentkezés (SSO) technológiát is, amely lehetővé teszi, hogy automatikusan bejelentkezzen az operációs rendszerbe a Hitelesítési ügynök-fiókja felhasználónevével és jelszavával.
A Hitelesítési ügynök segítségével kétféleképpen lehet a felhasználói hitelesítést elvégezni:
Akkor lehet tokent vagy okoskártyát használni, ha a számítógép merevlemezeit az AES256 titkosítási algoritmus titkosította. Ha a számítógép merevlemezei az AES56 algoritmussal vannak titkosítva, a rendszer elutasítja az elektronikus tanúsítványfájl parancshoz való hozzáadását.
BitLocker meghajtótitkosítás
A BitLocker a Windows operációs rendszerek beépített titkosítási technológiája. A Kaspersky Endpoint Security lehetővé teszi, hogy a Kaspersky Security Centeren keresztül vezérelje és kezelje a Bitlockert. A BitLocker logikai köteteket titkosít. A BitLocker használatával nem lehet cserélhető meghajtókat titkosítani. A BitLocker részleteiért lásd a Microsoft dokumentációját.
A lemez titkosításakor a BitLocker a system partition helyre helyezi a rendszerbetöltőt és az egyéb segédfájlokat. Ez a partíció nem titkosított. Az operációs rendszer a Windows telepítése során automatikusan létrehozza a rendszerpartíciót. Ha a lemez teljesen particionálva van a Windows telepítése előtt, az operációs rendszer nem tud rendszerpartíciót létrehozni. Ebben az esetben a BitLocker lemeztitkosítás indításakor az operációs rendszer felkéri a felhasználót, hogy particionálja újra a lemezt, és hozzon létre rendszerpartíciót. A rendszerpartíció létrehozása után az operációs rendszer elindítja a BitLocker titkosítást.
A BitLocker egy Trusted Platform Module segítségével a hozzáférési kulcsok biztonságos tárolását biztosítja. A Trusted Platform Module (TPM) egy mikrocsip, amely alapvető biztonsági funkciók nyújtására (például titkosítási kulcsok tárolására) szolgál. A Trusted Platform Module általában a számítógép alaplapján helyezkedik el, és a rendszer többi összetevőjével a hardverbuszon keresztül lép kapcsolatba. A TPM-ek használatával lehet a legbiztonságosabb módon tárolni a BitLocker hozzáférési kulcsokat, mivel a TPM indítás előtti rendszerintegráció-hitelesítést nyújt. A számítógépen továbbra is titkosíthat meghajtókat TPM nélkül. Ilyen esetben a hozzáférési kulcs jelszó nélkül lesz titkosítva. A BitLocker a következő hitelesítési módszereket használja:
Miután titkosítja a rendszer merevlemezét, a felhasználónak végig kell mennie a BitLocker hitelesítések, hogy elindítsa az operációs rendszert. A BitLocker a hitelesítést követően lehetővé teszi a felhasználó bejelentkezését. A BitLocker nem támogatja az egyszeri bejelentkezési technológiát (SSO).
A meghajtó titkosítása után a BitLocker főkulcsot hoz létre. A Kaspersky Endpoint Security elküldi a főkulcsot a Kaspersky Security Center számára, hogy Ön vissza tudja állítani a lemez hozzáférést, például akkor, ha a felhasználó elfelejtette a jelszót.
Ha a felhasználó BitLocker használatával titkosítja a lemezt, a Kaspersky Endpoint Security elküldi a lemeztitkosítás információit a Kaspersky Security Center számára. A Kaspersky Endpoint Security azonban nem küldi el a főkulcsot a Kaspersky Security Center számára, szóval a Kaspersky Security Center használatával nem lehet visszaállítani a lemezhez való hozzáférést. Ahhoz, hogy a BitLocker megfelelően működjön a Kaspersky Security Center alkalmazással, fejtse vissza a meghajtót, majd titkosítsa újra rendszabállyal. Meghajtót helyileg, illetve házirenddel is titkosíthat.
Ha Windows csoportrendszabályokat használ, kapcsolja ki a BitLocker kezelést a rendszabály-beállításokban. A Windows rendszabály-beállítások összeférhetetlenek lehetnek a Kaspersky Endpoint Security rendszabály-beállításaival. Meghajtó titkosításakor hiba léphet fel.
A Kaspersky lemeztitkosítási összetevő beállításai
Paraméter |
Leírás |
|---|---|
Titkosítási mód |
Összes merevlemez titkosítása. Ha ez az elem ki van választva, az alkalmazás a rendszabály alkalmazásakor titkosítja az összes merevlemezt. Ha a számítógépen több operációs rendszer van telepítve, akkor a titkosítás után csak az az operációs rendszer tölthető be, amelyeken az alkalmazás telepítve van. Összes merevlemez visszafejtése. Ha ez az elem ki van választva, az alkalmazás a rendszabály alkalmazásakor visszafejti az összes korábban titkosított merevlemezt. Maradjon változatlan. Ha ez az elem ki van választva, az alkalmazás az irányelv alkalmazásakor a meghajtókat korábbi állapotukban hagyja. Ha a meghajtó titkosítva van, akkor titkosítva marad. Ha a meghajtó vissza van fejtve, akkor visszafejtve marad. Alapértelmezés szerint ez az elem van kiválasztva. |
A titkosítás során Hitelesítési ügynöki fiókok automatikus létrehozása Windows-felhasználóknak |
Ha ez a jelölőnégyzet be van jelölve, az alkalmazás a Hitelesítési ügynöki fiókokat a számítógépen található Windows felhasználói fiókok listája alapján hozza létre. Alapértelmezés szerint a Kaspersky Endpoint Security minden helyi és tartományi fiókot felhasznál, amelynek használatával a felhasználó bejelentkezett az operációs rendszerbe az utolsó 30 nap során. |
Hitelesítési ügynök fióklétrehozási beállítások |
A számítógépen lévő összes fiók. A számítógépen lévő összes fiók, amely bármikor aktív volt. A számítógépen lévő összes tartományfiók. A számítógépen lévő összes olyan fiók, amely valamilyen tartományhoz tartozik, és amely bármikor aktív volt. A számítógépen lévő összes helyi fiók. Minden olyan helyi fiók a számítógépen, amely bármikor aktív volt. Szolgáltatási fiók egyszeri jelszóval. A szolgáltatásfiók szükséges a számítógéphez való hozzáféréshez, például ha a felhasználó elfelejti a jelszavát. A szolgáltatásfiókot tartalék fiókként is használhatja. Meg kell adnia a fiók nevét (alapértelmezés szerint Helyi rendszergazda. A Kaspersky Endpoint Security létrehoz egy hitelesítési ügynöki felhasználói fiókot a számítógép helyi rendszergazdájának. Számítógép kezelője A Kaspersky Endpoint Security létrehoz egy hitelesítési ügynöki felhasználói fiókot a számítógépkezelő fiókjának. Az Active Directory számítógép-tulajdonságai között megtekintheti, hogy melyik fiók rendelkezik számítógépkezelői szerepkörrel. Alapértelmezés szerint a számítógépkezelői szerepkör nincs meghatározva, vagyis nem felel meg egyetlen fióknak sem. Aktív fiók. A Kaspersky Endpoint Security automatikusan létrehoz egy hitelesítési ügynöki fiókot a lemeztitkosításkor aktív fióknak. |
Hitelesítési ügynöki fiókok automatikusa létrehozása a számítógép összes felhasználójának bejelentkezéskor |
Ha ez a jelölőnégyzet be van jelölve, az alkalmazás a Hitelesítési ügynök elindítása előtt ellenőrzi a számítógépen található Windows felhasználói fiókok adatait. Ha a Kaspersky Endpoint Security olyan Windows felhasználói fiókot észlel, amely nem rendelkezik Hitelesítési ügynöki fiókkal, az alkalmazás új fiókot hoz létre a titkosított meghajtók eléréséhez. Az új Hitelesítési ügynöki fiók a következő alapértelmezett beállításokkal rendelkezik: csak jelszóvédett bejelentkezés és jelszó megváltoztatása az első hitelesítéskor. Ezért a már titkosított meghajtókkal rendelkező számítógépek esetében nem kell manuálisan hozzáadnia Hitelesítési ügynöki fiókokat a Hitelesítési ügynök fiókok kezelése feladattal. |
Hitelesítési ügynökben megadott felhasználónév mentése |
Ha a jelölőnégyzet ki van jelölve, az alkalmazás elmenti a Hitelesítési ügynök fiókjának nevét. Ily módon nem szükséges a fióknevet a legközelebbi alkalommal megadnia, amikor ugyanabban a fiókban a Hitelesítési ügynökben hitelesítést szeretne végezni. |
Csak a felhasznált lemezterület titkosítása (csökkenti a titkosítás idejét) |
Ez a jelölőnégyzet engedélyezi/letiltja azt a lehetőséget, amely a titkosítási területet kizárólag a foglalt merevlemez-szektorokra korlátozza. A korlátozás révén csökkentheti a titkosítási időt. A Csak a felhasznált lemezterület titkosítása (csökkenti a titkosítás idejét) funkció engedélyezése vagy letiltása a titkosítás elindítása után nem módosítja ezt a beállítást, amíg meg nem történik a merevlemezek visszafejtése. A titkosítás megkezdése előtt kell a jelölőnégyzetet bejelölni, illetve törölni. Ha a jelölőnégyzet be van jelölve, akkor a merevlemeznek csak a fájlok által elfoglalt részei kerülnek titkosításra. A Kaspersky Endpoint Security az új adatokat hozzáadásukkor automatikusan titkosítja. Ha a jelölőnégyzet nincs bejelölve, a teljes merevlemez titkosítására sor kerül, ideértve a korábban törölt és módosított fájlok megmaradt töredékeit. Ez a lehetőség új merevlemezek esetén javasolt, melyeknél még nem történt adatmódosítás és -törlés. Ha már használatban lévő merevlemezen alkalmaz titkosítást, akkor javasolt az egész meghajtót titkosítani. Ez gondoskodik az összes adat védelméről, még a törölt, esetlegesen helyreállítható adatokról is. Alapértelmezés szerint a jelölőnégyzet nincs bejelölve. |
Legacy USB Support (nem ajánlott) |
Ez a jelölőnégyzet engedélyezi vagy letiltja a Legacy USB Support funkciót. A Legacy USB Support olyan BIOS/UEFI-funkció, amely lehetővé teszi USB-eszközök (például biztonsági token) használatát a számítógép rendszerindítási fázisában, az operációs rendszer elindítása előtt (BIOS-mód). A Legacy USB Support nem befolyásolja az USB-eszközök támogatását az operációs rendszer indulását követően. Ha a jelölőnégyzet be van jelölve, engedélyezve van az USB eszközök támogatása a számítógép indulásakor. Ha a Legacy USB Support funkció engedélyezve van, a Hitelesítési ügynök BIOS-módban nem támogatja a tokenekkel való működést USB-kapcsolaton keresztül. Ezt a lehetőséget csak akkor ajánlott alkalmazni, ha hardverkompatibilitási probléma áll fenn, és csak azokon a számítógépeken, amelyeken fennáll a probléma. |
Jelszóbeállítások |
A Hitelesítési ügynök-fiók jelszóerősségi beállításai. A Single Sign-On technológia használata során a Hitelesítési ügynök figyelmen kívül hagyja a Kaspersky Security Centerben meghatározott jelszóerősségi követelményeket. A jelszóerősségi követelményeket az operációs rendszer beállításai között lehet megadni. |
Egyszeri bejelentkezés (SSO) technológia használata |
Az SSO technológia révén ugyanazon hitelesítési adatokkal férhet hozzá a titkosított merevlemezekhez és jelentkezhet be az operációs rendszerbe. Ha a jelölőnégyzet be van jelölve, akkor meg kell adni a fiók belépési adatait a titkosított merevlemezekhez való hozzáféréshez, majd az operációs rendszerbe való automatikus bejelentkezéshez. Ha a jelölőnégyzet nincs bejelölve, akkor a titkosított merevlemezekhez való hozzáféréshez, majd az operációs rendszerbe való bejelentkezéshez külön-külön meg kell adni a titkosított merevlemezek hozzáférési hitelesítő adatait, majd az operációs rendszer felhasználói fiókjának hitelesítő adatait. |
Külső hitelesítésszolgáltatók bevonása |
A Kaspersky Endpoint Security támogatja a külső ADSelfService Plus hitelesítési szolgáltatót. Amikor harmadik féltől származó hitelesítésszolgáltatóval dolgozik, a Hitelesítési ügynök még az operációs rendszer betöltése előtt elfogja a jelszót. Ez azt jelenti, hogy a felhasználónak csak egyszer kell megadnia a jelszót a Windowsba történő bejelentkezéskor. Windowsba történő bejelentkezés után a felhasználó használhatja harmadik fél hitelesítőadat-szolgáltató képességeit például a vállalati szolgáltatásokban történő hitelesítéshez. A harmadik fél hitelesítésszolgáltatók szintén lehetővé teszik a felhasználóknak, hogy önállóan állítsák vissza saját jelszavukat. Ebben az esetben a Kaspersky Endpoint Security automatikusan frissíti a Hitelesítési ügynök jelszavát. Ha az alkalmazás által nem támogatott harmadik fél általi hitelesítóadat-szolgáltatót használ, az egyszeri bejelentkezési technológia működése közben korlátozásokba ütközhet. |
Súgó |
Hitelesítés. Súgószöveg, amely a fiók bejelentkezési adatainak megadásakor jelenik meg a Hitelesítési ügynök ablakában. Jelszó módosítása. Súgószöveg, amely a Hitelesítési ügynök-fiók jelszavának módosításakor jelenik meg a Hitelesítési ügynök ablakában. Jelszó visszaállítása. Súgószöveg, amely a Hitelesítési ügynök-fiók jelszavának visszaállításakor jelenik meg a Hitelesítési ügynök ablakában. |
A BitLocker meghajtótitkosítás összetevő beállításai
Paraméter |
Leírás |
|---|---|
Titkosítási mód |
Összes merevlemez titkosítása. Ha ez az elem ki van választva, az alkalmazás a rendszabály alkalmazásakor titkosítja az összes merevlemezt. Ha a számítógépen több operációs rendszer van telepítve, akkor a titkosítás után csak az az operációs rendszer tölthető be, amelyeken az alkalmazás telepítve van. Összes merevlemez visszafejtése. Ha ez az elem ki van választva, az alkalmazás a rendszabály alkalmazásakor visszafejti az összes korábban titkosított merevlemezt. Maradjon változatlan. Ha ez az elem ki van választva, az alkalmazás az irányelv alkalmazásakor a meghajtókat korábbi állapotukban hagyja. Ha a meghajtó titkosítva van, akkor titkosítva marad. Ha a meghajtó vissza van fejtve, akkor visszafejtve marad. Alapértelmezés szerint ez az elem van kiválasztva. |
Rendszerindítás előtt, billentyűzeten keresztül történő BitLocker hitelesítés bekapcsolása táblagépeken |
Adatbevitelt igénylő hitelesítés használata rendszerindítás előtti környezetben, még akkor is, ha a platformon nem lehetséges a bevitel rendszerindítás előtt (például táblagépek érintőképernyős billentyűzetei esetén). A táblagépek érintőképernyője nem érhető el rendszerindítás előtt. Ahhoz, hogy a felhasználó befejezze a BitLocker hitelesítést a táblagépeken, először csatlakoztatnia kell egy USB-billentyűzetet például. Ha a jelölőnégyzet be van jelölve, a rendszerindítás előtti bevitelt igénylő hitelesítés engedélyezve van. Javasoljuk, hogy ezt a beállítást csak olyan eszközöknél használja, amelyek az érintőképernyős billentyűzeteken kívül alternatív adatbeviteli eszközöket – például USB billentyűzetet – is tartalmaznak a rendszerindítás előtti környezetben. Ha a jelölőnégyzet üres, a BitLocker meghajtótitkosítás nem érhető el táblagépeken. |
Hardveres titkosítás használata (Windows 8 és újabb verziók) |
Ha a jelölőnégyzet be van jelölve, az alkalmazás hardveres titkosítást használ. Ennek köszönhetően felgyorsul a titkosítás, és kevesebb számítógépes erőforrást vesz igénybe. |
Csak a felhasznált lemezterület titkosítása (Windows 8 és újabb verziók) |
Ez a jelölőnégyzet engedélyezi/letiltja azt a lehetőséget, amely a titkosítási területet kizárólag a foglalt merevlemez-szektorokra korlátozza. A korlátozás révén csökkentheti a titkosítási időt. A Csak a felhasznált lemezterület titkosítása (csökkenti a titkosítás idejét) funkció engedélyezése vagy letiltása a titkosítás elindítása után nem módosítja ezt a beállítást, amíg meg nem történik a merevlemezek visszafejtése. A titkosítás megkezdése előtt kell a jelölőnégyzetet bejelölni, illetve törölni. Ha a jelölőnégyzet be van jelölve, akkor a merevlemeznek csak a fájlok által elfoglalt részei kerülnek titkosításra. A Kaspersky Endpoint Security az új adatokat hozzáadásukkor automatikusan titkosítja. Ha a jelölőnégyzet nincs bejelölve, a teljes merevlemez titkosítására sor kerül, ideértve a korábban törölt és módosított fájlok megmaradt töredékeit. Ez a lehetőség új merevlemezek esetén javasolt, melyeknél még nem történt adatmódosítás és -törlés. Ha már használatban lévő merevlemezen alkalmaz titkosítást, akkor javasolt az egész meghajtót titkosítani. Ez gondoskodik az összes adat védelméről, még a törölt, esetlegesen helyreállítható adatokról is. Alapértelmezés szerint a jelölőnégyzet nincs bejelölve. |
Hitelesítési módszer |
Csak jelszó (Windows 8 és újabb verziók) Ha ez a lehetőség van kiválasztva, a Kaspersky Endpoint Security jelszót kér a felhasználótól, ha a felhasználó megpróbál egy titkosított meghajtóhoz hozzáférni. Ezt a lehetőséget akkor lehet kiválasztani, ha nincs használatban Trusted Platform Module (TPM). Trusted Platform Module (TPM) Ha ez a lehetőség van kiválasztva, a BitLocker Trusted Platform Module-t (TPM) használ. A Trusted Platform Module (TPM) egy mikrocsip, amely alapvető biztonsági funkciók nyújtására (például titkosítási kulcsok tárolására) szolgál. A Trusted Platform Module általában a számítógép alaplapján helyezkedik el, és a rendszer többi összetevőjével a hardverbuszon keresztül lép kapcsolatba. A Windows 7 vagy Windows Server 2008 R2 rendszert futtató számítógépeknél csak TPM-modul használata érhető el. Ha nincs telepítve TPM-modul, akkor a BitLocker titkosítás nem lehetséges. Az ilyen számítógépeken nem támogatott a jelszó használata. A Trusted Platform Module-lal rendelkező eszköz olyan titkosítási kulcsokat tud előállítani, amelyeket csak az adott eszközzel lehet visszafejteni. A Trusted Platform Module a titkosítási kulcsokat saját gyökértárolási kulcsával titkosítja. A gyökértárolási kulcs tárolása a Trusted Platform Module-on belül történik. Ez további védelmi szintet nyújt a titkosítási kulcsok feltörési próbálkozásai ellen. Alapértelmezésben ez a művelet van kiválasztva. A titkosítási kulcshoz való hozzáféréshez további védelmi szintet állíthat be, és a kulcsot jelszóval vagy PIN-kóddal titkosíthatja:
A kiválasztott hitelesítési módszert jelszó- vagy PIN-kódkövetelmények megadásával kell konfigurálni:
|
Helyreállítási kulcs automatikus újragenerálása (nap) |
A jelszó automatikus frissítése a BitLocker által védett meghajtóhoz való hozzáférés visszaállításához. Ha a jelölőnégyzet be van jelölve, adja meg a helyreállítási kulcs jelszavának érvényességi idejét. Ez segít megelőzni a helyreállítási kulcs jelszavának ismételt használatát. |