Kaspersky Endpoint Security cho phép bạn mã hóa các tập tin và thư mục được lưu trữ trên các ổ đĩa nội bộ và ổ đĩa di động, cũng như toàn bộ các ổ cứng và ổ đĩa di động. Việc mã hóa dữ liệu giúp giảm thiểu nguy cơ rò rỉ thông tin khi một máy tính lưu động, ổ đĩa di động hoặc ổ cứng bị thất lạc hoặc mất cắp, hoặc khi dữ liệu được truy cập bởi những người dùng hoặc ứng dụng trái phép. Kaspersky Endpoint Security sử dụng thuật toán mã hóa Tiêu chuẩn mã hóa nâng cao (AES).
Nếu giấy phép đã hết hạn, ứng dụng sẽ không thể mã hóa dữ liệu mới, và các dữ liệu được mã hóa cũ vẫn sẽ duy trì tình trạng mã hóa và có thể được sử dụng. Trong trường hợp này, việc mã hóa dữ liệu mới đòi hỏi ứng dụng được kích hoạt bằng một giấy phép mới, cho phép việc sử dụng mã hóa.
Nếu giấy phép của bạn đã hết hạn, hoặc Thỏa thuận giấy phép người dùng cuối đã bị vi phạm, khóa giấy phép, Kaspersky Endpoint Security hoặc thành phần mã hóa đã bị xóa/gỡ bỏ thì trạng thái mã hóa của các tập tin được mã hóa từ trước sẽ không được bảo đảm. Điều này là bởi vì một số ứng dụng, ví dụ như Microsoft Office Word sẽ tạo một bản sao tạm thời của các tập tin trong quá trình chỉnh sửa. Khi tập tin gốc được lưu lại, bản sao tạm thời sẽ thay thế tập tin gốc. Kết quả là, trên một máy tính không có hoặc không thể truy cập chức năng mã hóa, tập tin vẫn ở tình trạng chưa được mã hóa.
Kaspersky Endpoint Security cung cấp các khía cạnh bảo vệ dữ liệu sau:
Quy tắc mã hóa mặc định có mức độ ưu tiên thấp hơn các quy tắc mã hóa được tạo cho các ổ đĩa di động riêng lẻ. Quy tắc mã hóa được tạo cho các ổ đĩa di động của một mẫu thiết bị cụ thể có mức độ ưu tiên thấp hơn các quy tắc mã hóa được tạo cho các ổ đĩa di động riêng lẻ có ID thiết bị cụ thể.
Để chọn một quy tắc mã hóa cho các tập tin trên một ổ đĩa di động, Kaspersky Endpoint Security sẽ kiểm tra liệu mẫu thiết bị và ID đã được biết hay chưa. Sau đó, ứng dụng sẽ thực hiện một trong các hoạt động sau:
Ứng dụng cho phép bạn chuẩn bị một ổ đĩa di động cho việc sử dụng dữ liệu được mã hóa trên đó trong chế độ di động. Sau khi đã bật chế độ di động, bạn có thể truy cập các tập tin được mã hóa trên ổ đĩa di động được kết nối đến một máy tính không có chức năng mã hóa.
BitLocker là một công nghệ trong hệ điều hành Windows. Nếu máy tính được trang bị một Mô-đun Nền tảng Tin tưởng (TPM), BitLocker sẽ sử dụng nó để lưu các khóa phục hồi cho phép truy cập đến một ổ cứng được mã hóa. Khi máy tính được khởi động, BitLocker sẽ yêu cầu khóa phục hồi ổ cứng từ Mô-đun Nền tảng Tin tưởng và mở khóa ổ đĩa này. Bạn có thể thiết lập việc sử dụng mật khẩu và / hoặc mã PIN để truy cập các khóa phục hồi.
Bạn có thể quy định quy tắc mã hóa toàn bộ ổ đĩa mặc định và tạo một danh sách ổ cứng được loại trừ khỏi tác vụ mã hóa. Kaspersky Endpoint Security sẽ thực hiện mã hóa toàn bộ ổ đĩa theo từng khu vực sau khi chính sách Kaspersky Security Center được áp dụng. Công nghệ này sẽ mã hóa tất cả các phân vùng lôgic của ổ cứng cùng một lúc.
Sau khi ổ cứng hệ thống đã được mã hóa, vào lần khởi động tiếp theo, người dùng sẽ phải hoàn tất xác thực sử dụng Authentication Agent trước khi ổ cứng có thể được truy cập và hệ điều hành có thể được nạp. Điều này đòi hỏi bạn nhập vào mật khẩu của token hoặc thẻ thông minh được kết nối đến máy tính, hoặc tên người dùng và mật khẩu của tài khoản Authentication Agent được tạo bởi quản trị viên mạng máy tính cục bộ sử dụng tác vụ Quản lý tài khoản Authentication Agent. Những tài khoản này đều dựa trên các tài khoản Microsoft Windows được người dùng sử dụng để đăng nhập vào hệ điều hành. Bạn cũng có thể sử dụng công nghệ Single Sign-On (SSO), cho phép bạn tự động đăng nhập vào hệ điều hành bằng tên người dùng và mật khẩu của tài khoản Authentication Agent.
Nếu bạn sao lưu một máy tính và sau đó mã hóa dữ liệu máy tính, sau đó khôi phục bản sao lưu của máy tính và mã hóa lại dữ liệu máy tính một lần nữa, Kaspersky Endpoint Security sẽ tạo các bản sao của tài khoản Authentication Agent. Để xóa các tài khoản trùng nhau, bạn phải sử dụng tiện ích klmover với khóa dupfix. Tiện ích klmover được bao gồm trong bản dựng của Kaspersky Security Center. Bạn có thể đọc thêm về hoạt động của tiện ích này trong Trợ giúp Kaspersky Security Center.
Việc truy cập đến các ổ cứng được mã hóa sẽ chỉ có thể được thực hiện trên các máy tính có cài đặt Kaspersky Endpoint Security với chức năng mã hóa toàn bộ ổ đĩa. Biện pháp phòng ngừa này giúp giảm thiểu nguy cơ rò rỉ dữ liệu từ một ổ cứng được mã hóa khi một nỗ lực truy cập nó được thực hiện từ bên ngoài mạng máy tính cục bộ của công ty.
Để mã hóa các ổ cứng và ổ đĩa di động, bạn có thể sử dụng chức năng Chỉ mã hóa dung lượng ổ đĩa được sử dụng. Bạn được khuyến nghị chỉ sử dụng chức năng này cho các thiết bị mới chưa được sử dụng trước đây. Nếu bạn đang áp dụng mã hóa cho một thiết bị đang được sử dụng, bạn nên mã hóa toàn bộ thiết bị đó. Điều này đảm bảo mọi dữ liệu đều được bảo vệ – kể cả những dữ liệu đã bị xóa có thể vẫn chứa thông tin có thể truy xuất.
Trước khi bắt đầu mã hóa, Kaspersky Endpoint Security sẽ nhận bản đồ các khu vực của hệ thống tập tin. Lượt mã hóa đầu tiên bao gồm các khu vực chứa tập tin tại thời điểm mã hóa được bắt đầu. Lượt mã hóa thứ hai bao gồm các khu vực được ghi sau khi quá trình mã hóa được bắt đầu. Sau khi quá trình mã hóa được hoàn tất, tất cả các khu vực chứa dữ liệu đều sẽ được mã hóa.
Sau khi quá trình mã hóa được hoàn tất và người dùng xóa một tập tin, các khu vực chứa tập tin bị xóa sẽ có thể được sử dụng để lưu trữ thông tin mới ở cấp hệ thống tập tin, nhưng vẫn được mã hóa. Vì vậy, khi các tập tin được ghi vào một thiết bị mới và thiết bị thường xuyên được mã hóa với chức năng Chỉ mã hóa dung lượng ổ đĩa được sử dụng được bật, sau một thời gian tất cả các phân vùng sẽ được mã hóa.
Dữ liệu cần thiết để giải mã các tập tin được cung cấp bởi Kaspersky Security Center Administration Server kiểm soát máy tính tại thời điểm mã hóa. Nếu vì lý do nào đó, máy tính có các đối tượng được mã hóa được quản lý bởi một Máy chủ quản trị khác thì bạn có thể lấy quyền truy cập tới dữ liệu mã hóa theo các cách sau:
Nếu không có quyền truy cập vào dữ liệu được mã hóa, hãy làm theo các hướng dẫn đặc biệt để làm việc với dữ liệu được mã hóa (Khôi phục quyền truy cập vào các tập tin được mã hóa, Làm việc với các thiết bị được mã hóa khi không có truy cập đến chúng).