per Windows e macOS
Criptaggio unità BitLocker per Windows
BitLocker è una tecnologia di criptaggio integrata nei sistemi operativi Windows. Kaspersky Endpoint Security consente di controllare e gestire Bitlocker utilizzando l'infrastruttura Kaspersky Next. BitLocker cripta i volumi logici. BitLocker non può essere utilizzato per il criptaggio delle unità rimovibili. Per informazioni dettagliate su BitLocker, fare riferimento alla documentazione Microsoft.
Quando si cripta il disco, BitLocker inserisce il caricatore di avvio e altri file ausiliari nella partizione di sistema. Questa partizione non è criptata. Il sistema operativo crea automaticamente la partizione di sistema durante l'installazione di Windows. Se il disco è completamente partizionato prima dell'installazione di Windows, il sistema operativo non è in grado di creare una partizione di sistema. In questo caso, quando si avvia il criptaggio del disco BitLocker, il sistema operativo richiede all'utente di ripartizionare il disco e creare una partizione di sistema. Dopo la creazione di una partizione di sistema, il sistema operativo avvia il criptaggio BitLocker.
BitLocker consente la memorizzazione sicura delle chiavi di accesso utilizzando un Trusted Platform Module. Per Trusted Platform Module (TPM) si intende un microchip sviluppato per garantire funzioni di base relative alla sicurezza (ad esempio per archiviare le chiavi di criptaggio). Un Trusted Platform Module in genere è installato nella scheda madre del computer e interagisce con tutti gli altri componenti del sistema tramite il bus hardware. L'utilizzo di TPM è il modo più veloce per archiviare le chiavi di accesso a BitLocker, dal momento che TPM fornisce la verifiche dell'integrità di sistema pre-avvio. È ancora possibile criptare le unità in un computer senza TPM. In questo caso, la chiave di accesso verrà criptata con una password. BitLocker utilizza i seguenti metodi di autenticazione:
Dopo il criptaggio del disco rigido di sistema, l'utente deve eseguire l'autenticazione BitLocker per avviare il sistema operativo. Dopo la procedura di autenticazione, BitLocker consentirà agli utenti di accedere. BitLocker non supporta la tecnologia SSO (Single Sign-On).
Dopo il criptaggio di un'unità, BitLocker crea una chiave master. Kaspersky Endpoint Security invia la chiave master all'infrastruttura Kaspersky Next in modo da poter ripristinare l'accesso al disco, se ad esempio un utente ha dimenticato la password.
Se un utente cripta un disco utilizzando BitLocker, Kaspersky Endpoint Security invierà informazioni sul criptaggio del disco alla console Kaspersky Next. Tuttavia, Kaspersky Endpoint Security non invierà la chiave master all'infrastruttura Kaspersky Next, pertanto sarà impossibile ripristinare l'accesso al disco. Per il corretto funzionamento di BitLocker con l'infrastruttura Kaspersky Next, decriptare l'unità e criptarla nuovamente utilizzando un criterio. È possibile decriptare un'unità in locale o utilizzando un criterio.
Se si utilizzano criteri di gruppo Windows, disattivare la gestione BitLocker nelle impostazioni dei criteri. Le impostazioni dei criteri Windows potrebbero entrare in conflitto con le impostazioni dei criteri Kaspersky Endpoint Security. Durante il criptaggio di un'unità, potrebbero verificarsi errori.
Criptaggio dischi FileVault per macOS
Kaspersky Endpoint Security consente la gestione in remoto del criptaggio FileVault. Il criptaggio impedisce a utenti non autorizzati di accedere ai dati riservati archiviati nel disco di avvio del computer dell'utente.
Quando un amministratore avvia il criptaggio FileVault in un computer dalla console Kaspersky Next, Kaspersky Endpoint Security richiede all'utente di questo computer di immettere le proprie credenziali. Il criptaggio del disco viene avviato solo dopo che l'utente fornisce le credenziali, il computer viene riavviato e sono trascorsi 30 minuti dalla ricezione delle impostazioni dei criteri nel computer. Anche l'intervallo minimo tra le richieste per le credenziali è 30 minuti.
Per impedire all'utente di decriptare il disco di avvio di un computer quando la crittografia FileVault è abilitata, un amministratore deve utilizzare JAMF per distribuire un profilo MDM che impedisca il decriptaggio del disco. Per decriptare il disco di avvio di un computer con un profilo MDM che vieta il decriptaggio del disco, l'amministratore deve prima rimuovere il profilo.
Se la gestione criptaggio FileVault non è abilitata nella console Kaspersky Next, gli utenti con i diritti di amministratore possono criptare e decriptare i dischi di avvio del computer dalle impostazioni di sistema. Per ulteriori informazioni su FileVault, fare riferimento alla documentazione Apple.
Se il computer dispone di più account, il criptaggio FileVault rende il disco inaccessibile a tutti gli utenti ad eccezione dell'utente che ha immesso le credenziali.
Impostazioni di criptaggio dei dati per Pro View
Parametro |
Sistema operativo |
Descrizione |
|---|---|---|
Azione sui dispositivi |
|
Cripta tutti i dischi rigidi. Se questo elemento è selezionato, l'applicazione cripta tutti i dischi rigidi quando viene applicato il criterio. Decripta tutti i dischi rigidi. Se questo elemento è selezionato, l'applicazione decripta tutti i dischi rigidi criptati precedentemente quando viene applicato il criterio. |
Usa il criptaggio hardware |
|
Se la casella di controllo è selezionata, l'applicazione applica il criptaggio hardware. Questo consente di aumentare la velocità di criptaggio e di utilizzare meno risorse del computer. |
Utilizzo dell'autenticazione BitLocker sui tablet Windows |
|
Utilizzo dell'autenticazione che richiede l'input di dati in un ambiente di preavvio, anche se la piattaforma non dispone di funzionalità di input in fase di preavvio (ad esempio, con le tastiere touchscreen nei tablet). Il touchscreen dei computer tablet non è disponibile nell'ambiente prima dell'avvio. Per completare l'autenticazione BitLocker nei computer tablet, l'utente deve connettere ad esempio una tastiera USB. Se la casella di controllo è selezionata, l'utilizzo dell'autenticazione tramite input di preavvio è consentito. È consigliabile utilizzare questa impostazione solo per i dispositivi dotati di strumenti alternativi per l'input dei dati, ad esempio una tastiera USB in aggiunta alle tastiere touchscreen. Se la casella di controllo è deselezionata, Crittografia unità BitLocker non è disponibile nei tablet. |
Metodo di autenticazione |
|
Trusted Platform Module (TPM). Se questa opzione è selezionata, BitLocker utilizza Trusted Platform Module (TPM). Per Trusted Platform Module (TPM) si intende un microchip sviluppato per garantire funzioni di base relative alla sicurezza (ad esempio per archiviare le chiavi di criptaggio). Un Trusted Platform Module in genere è installato nella scheda madre del computer e interagisce con tutti gli altri componenti del sistema tramite il bus hardware. Per i computer che eseguono Windows 7 o Windows Server 2008 R2, è disponibile solo il criptaggio mediante un modulo TPM. Se non è installato un modulo TPM, non è possibile eseguire il criptaggio BitLocker. L'utilizzo di una password in questi computer non è supportato. Un dispositivo dotato di un Trusted Platform Module può creare chiavi di criptaggio che possono essere decriptate solo con il dispositivo. Un Trusted Platform Module cripta le chiavi di criptaggio con la relativa chiave di archiviazione radice. La chiave di archiviazione radice è memorizzata nel Trusted Platform Module. Questo fornisce un livello di protezione aggiuntivo contro i tentativi di violare le chiavi di criptaggio. Questa azione è selezionata per impostazione predefinita. Password. Se questa opzione è selezionata, Kaspersky Endpoint Security richiede una password quando si tenta di accedere a un'unità crittografata. Questa opzione può essere selezionata quando non viene utilizzato un Trusted Platform Module (TPM). Trusted Platform Module (TPM) o password se TMP non è disponibile. Se questa opzione è selezionata, l'utente può utilizzare una password per ottenere l'accesso alle chiavi di criptaggio quando un Trusted Platform Module non è disponibile. Se la casella di controllo è deselezionata e TPM non è disponibile, il criptaggio dell'intero disco non verrà avviato. Usa PIN per TPM. Se questa casella di controllo è selezionata, è possibile utilizzare un codice PIN per ottenere l'accesso a una chiave di criptaggio archiviata in un Trusted Platform Module (TPM). Se questa casella di controllo è deselezionata, l'utilizzo di codici PIN non è consentito. Per accedere alla chiave di criptaggio, è necessario immettere la password. |