数据加密

Kaspersky Endpoint Security 允许您加密存储在本地和可移动驱动器上的文件和文件夹，或者整个可移动驱动器和硬盘驱动器。笔记本电脑、可移动驱动器或硬盘丢失或被盗时，又或者在未经许可的用户或应用程序访问数据时，数据加密功能能够最小化信息泄露的危险。Kaspersky Endpoint Security 使用高级加密标准 (AES) 加密算法。

如果授权许可已过期，本程序不会加密新数据，旧的已加密数据仍保持加密状态并且可用。在此情况下，加密新数据将要求用允许使用加密的新授权许可来激活程序。

如果授权许可已过期，或违反了最终用户授权许可协议，亦或授权许可密钥、Kaspersky Endpoint Security 或加密组件已删除，则先前加密文件的加密状态将得不到保证。这是因为某些应用程序，例如 Microsoft Office Word，会在编辑期间创建临时文件副本。原始文件保存后，临时文件副本将会替换原始文件，结果是，在没有或无法访问加密功能的计算机上，文件仍保持为不加密。

Kaspersky Endpoint Security 提供了以下方面的数据保护：

• 本地计算机驱动器上的文件级加密。您可以根据扩展名或扩展名组编制文件列表，和存储在本地计算机驱动器上的文件夹列表，并为特定应用程序创建的文件创建加密规则。应用策略后，Kaspersky Endpoint Security 将加密和解密以下文件：
  • 单独添加到加密和解密列表中的文件；
  • 存储在添加到加密和解密列表中的文件夹内的文件；
  • 单独应用程序创建的文件。
• 可移动驱动器加密。您可以指定默认加密规则，应用程序将根据该规则对所有可移动驱动器应用相同操作，您也可以为个别可移动驱动器指定加密规则。

  默认加密规则低于为个别可移动驱动器创建的加密规则的优先级。为拥有特定设备型号的可移动驱动器创建的加密规则的优先级低于为拥有特定设备 ID 的可移动驱动器创建的文件加密规则的优先级。

  若要为可移动驱动器上的文件选择加密规则，Kaspersky Endpoint Security 将会检查设备的型号和 ID 是否已知。然后该程序将执行以下操作之一：

  • 如果只有设备型号已知，程序将使用为特定设备型号的可移动驱动器创建的加密规则（如果已创建）。
  • 如果只有设备 ID 已知，程序将使用为特定设备 ID 的可移动驱动器创建的加密规则（如果已创建）。
  • 如果设备型号和 ID 已知，程序将使用为特定设备 ID 的可移动驱动器创建的加密规则（如果已创建）。如果不存在此类规则，但是存在为特定设备型号的可移动驱动器创建的加密规则，则应用程序将应用该规则。如果没有为特定的设备 ID 或特定的设备型号指定加密规则，应用程序将应用默认的加密规则。
  • 如果设备型号和设备 ID 都未知，程序将使用默认的加密规则。

  程序可以让您准备可移动驱动器以便携模式使用驱动器上存储的加密数据。启用便携模式后，您可以访问连接到没有加密功能的计算机上的可移动驱动器上的加密文件。

• 管理应用程序访问加密文件的规则。对于任何应用程序，您可以创建加密文件访问规则，阻止对加密文件的访问或者允许仅使用加密文字（应用加密时获得的字符串）访问加密文件。
• 创建加密数据包.您可以创建加密存档，使用密码保护对此类存档的访问。只有输入您保护该存档的密码才能访问加密存档中的内容。此类存档可以安全地通过网络或通过可移动驱动器传输。
• 完整磁盘加密。您可以选择加密技术：卡巴斯基磁盘加密 或 BitLocker 驱动器加密（以下简称“BitLocker”）。

  BitLocker 技术是 Windows 操作系统的一部分。如果计算机配备了受信任平台模块 (TPM)，BitLocker 将用其存储提供加密硬盘驱动器访问的恢复密钥。计算机启动时，BitLocker 将从受信任平台模块请求硬盘驱动器恢复密钥并解锁驱动器。您可以配置访问恢复密钥使用密码和/或 PIN 码。

  您可以指定默认的完整磁盘加密规则，并创建要从加密中排除的硬盘驱动器的列表。应用 Kaspersky Security Center 策略后，Kaspersky Endpoint Security 将按照扇区执行完整磁盘加密。应用程序加密将同时应用至硬盘驱动器的所有逻辑分区上。

  加密系统硬盘驱动器后，在下次计算机启动时，用户能够访问硬盘驱动器并且操作系统加载前，用户必须通过身份验证代理的身份验证。这需要输入连接至计算机的令牌或智能卡的密码，或者本地局域网管理员使用“管理身份验证代理账户”任务创建的身份验证代理账户的用户名或密码。这些账户以用户登录操作系统的 Microsoft Windows 账户为基础。这些帐户以用户登录操作系统的 Microsoft Windows 帐户为基础。您还可以使用单点登录 (SSO) 技术，该技术允许您使用身份验证代理账户的用户名和密码自动登录到操作系统。

  可启动硬盘驱动器加密后，让您完成身份验证以访问加密的硬盘驱动器并加载操作系统的接口。

  如果您备份计算机，然后对计算机数据进行加密，之后恢复计算机备份副本并再次加密计算机数据，Kaspersky Endpoint Security 将会创建相同的身份验证代理帐户。要删除重复帐户，您必须使用带有 dupfix 密钥的 klmover 实用程序。Klmover 实用程序包含在 Kaspersky Security Center 分发包中。您可以在《Kaspersky Security Center 帮助》中了解有关其操作的更多信息。

  只能在安装了带有完整磁盘加密功能的 Kaspersky Endpoint Security 的计算机上访问已加密的硬盘驱动器。当出现公司的本地局域网之外的连接尝试访问加密数据时，该功能能够最大限度地降低加密硬盘驱动器的数据泄露风险。

若要加密硬盘驱动器和可移动驱动器，您可以使用“仅加密使用的磁盘空间”功能。建议您仅为先前未使用的新设备使用该功能。如果您在已使用的设备上应用加密，建议您加密整个设备。这将确保所有数据受到保护 – 即使删除了可能仍包含可检索信息的数据。

开始加密之前，Kaspersky Endpoint Security 将获得文件系统扇区图。第一波加密包括开始加密时文件占用的扇区。第二波加密包括加密开始后写入的扇区。加密完成后，所有包含数据的扇区都将被加密。

加密完成并且用户删除文件后，存储删除文件的扇区可以在文件系统级别存储新的信息但是仍保持为加密状态。因此，在启用“仅加密使用的磁盘空间”功能的情况下，随着文件写入新设备和定期加密该设备，在一段时间后所有扇区都将加密。

解密文件所需的数据由加密时控制计算机的 Kaspersky Security Center 管理服务器提供。如果含有加密对象的计算机由于某种原因由其他管理服务器管理，则可以通过以下方式之一获取对加密数据的访问权限：

• 同一层次结构中的管理服务器：
  • 您无需执行任何其他操作。用户将保留对加密对象的访问权限。加密密钥将分发到所有管理服务器。
• 单独的管理服务器：
  • 向局域网管理员请求对加密对象的访问权限。
  • 使用“恢复实用工具”恢复加密设备上的数据。
  • 从备份副本恢复在加密时控制计算机的 Kaspersky Security Center 管理服务器的配置，并且在现在控制包含加密对象的计算机的管理服务器上使用此配置。

如果没有加密数据的访问权限，请遵循有关处理加密数据的特殊说明（还原对加密文件的访问权限、无法访问加密设备时的设备使用）。

本部分内容 加密功能限制 更改加密密钥的长度 (AES56 / AES256) 卡巴斯基磁盘加密 BitLocker 管理 本地计算机驱动器上的文件级加密 可移动驱动器加密 查看数据加密详细信息 无法访问加密设备时的设备使用

页面顶部