для Windows и macOS
Шифрование диска BitLocker для Windows
BitLocker – это технология шифрования, встроенная в операционные системы Windows. Kaspersky Endpoint Security обеспечивает контроль и управление BitLocker с помощью инфраструктуры Kaspersky Next. BitLocker шифрует логические тома. BitLocker нельзя использовать для шифрования съемных дисков. Подробная информация о BitLocker приведена в документации Microsoft.
При шифровании диска BitLocker помещает загрузчик и другие вспомогательные файлы в системный раздел. Этот раздел не шифруется. Операционная система создает системный раздел автоматически во время установки Windows. Если перед установкой Windows диск полностью разбит на разделы, операционная система не может создать системный раздел. В этом случае при запуске шифрования диска BitLocker операционная система предлагает пользователю повторно разбить диск на разделы и создать системный раздел. После создания системного раздела операционная система запускает шифрование BitLocker.
BitLocker обеспечивает безопасное хранение ключей доступа с использованием доверенного модуля платформы. TPM – микрочип, выполняющий основные функции безопасности (например, хранение ключей шифрования). TPM обычно устанавливается на материнскую плату компьютера и взаимодействует со всеми остальными компонентами системы через аппаратную шину. Использование TPM является самым безопасным способом хранения ключей доступа BitLocker, поскольку TPM обеспечивает проверку целостности системы перед запуском. Можно шифровать диски на компьютере без использования TPM. В этом случае ключ доступа будет зашифрован с помощью пароля. BitLocker использует следующие способы аутентификации:
После шифрования системного жесткого диска пользователю для загрузки операционной системы необходимо проходить аутентификацию BitLocker. После завершения процедуры аутентификации BitLocker позволяет пользователям войти в систему. BitLocker не поддерживает технологию единого входа (SSO).
После шифрования диска BitLocker создает главный ключ. Kaspersky Endpoint Security отправляет главный ключ в инфраструктуру Kaspersky Next, чтобы можно было восстановить доступ к диску, например, если пользователь забудет пароль.
Если пользователь шифрует диск с помощью BitLocker, Kaspersky Endpoint Security отправляет информацию о шифровании диска в консоль Kaspersky Next. Однако Kaspersky Endpoint Security не отправляет в инфраструктуру Kaspersky Next главный ключ, поэтому будет невозможно восстановить доступ к диску. Для обеспечения корректной работы BitLocker с инфраструктурой Kaspersky Next необходимо расшифровать диск и снова зашифровать его с использованием политики. Диск можно расшифровать локально или с помощью политики.
В случае использования групповых политик Windows отключите управление BitLocker в настройках политик. Настройки политик Windows могут конфликтовать с настройками политик Kaspersky Endpoint Security. При шифровании диска могут возникать ошибки.
Шифрование диска FileVault для macOS
Kaspersky Endpoint Security позволяет удаленно управлять шифрованием диска FileVault. Шифрование загрузочного диска на компьютере пользователя предотвращает доступ других пользователей к важной информации, которая хранится на диске.
Когда администратор запускает шифрование диска FileVault из консоли Kaspersky Next, Kaspersky Endpoint Security запрашивает у пользователя компьютера его учетные данные. Шифрование диска запускается только после того, как пользователь предоставит учетные данные, перезагрузит компьютер и по прошествии 30 минут с момента получения параметров политики на компьютер. Минимальный интервал между запросами учетных данных также составляет 30 минут.
Чтобы пользователь не мог расшифровать загрузочный диск компьютера при включенном шифровании FileVault, администратору необходимо с помощью JAMF развернуть MDM-профиль, запрещающий расшифровку диска. Чтобы расшифровать загрузочный диск компьютера с MDM-профилем, запрещающим расшифровку диска, администратору сначала необходимо удалить профиль.
Если в консоли Kaspersky Next не включено управление шифрованием FileVault, пользователи с правами администратора могут зашифровать и расшифровать загрузочный диск компьютера через Системные настройки. Вы можете найти дополнительную информацию о FileVault в документации Apple.
Если на компьютере пользователя создано несколько учетных записей, шифрование диска FileVault сделает недоступной информацию на диске для всех пользователей компьютера, кроме пользователя, который вел свои учетные данные.
Настройки шифрования данных для Pro View
Параметр |
ОС |
Описание |
|---|---|---|
Действие с устройствами |
|
Шифровать все жесткие диски. Если выбран этот параметр, программа при применении политики шифрует все жесткие диски. Расшифровывать все жесткие диски. Если выбран этот параметр, программа при применении политики расшифровывает все ранее зашифрованные жесткие диски. |
Использовать аппаратное шифрование |
|
Если флажок установлен, программа применяет аппаратное шифрование. Позволяет увеличить скорость шифрования и использовать меньше ресурсов компьютера. |
Использование аутентификации BitLocker на планшетах под управлением Windows |
|
Использование аутентификации, требующей ввода данных в предзагрузочной среде, даже если платформа не позволяет выполнять ввод в предзагрузочной среде (например, на планшетах с сенсорной клавиатурой). Сенсорный экран планшета не работает в предзагрузочной среде. Для завершения аутентификации BitLocker на планшете потребуется, например, подключить USB-клавиатуру. Если флажок установлен, разрешено использование аутентификации, требующей ввода данных в предзагрузочной среде. Рекомендуется использовать этот параметр только для устройств, имеющих альтернативные средства ввода данных в предзагрузочной среде, такие как USB-клавиатура в дополнение к сенсорным клавиатурам. Если флажок снят, шифрование диска BitLocker на планшетах недоступно. |
Способ аутентификации |
|
Доверенный платформенный модуль (TPM). Если выбран этот параметр, BitLocker использует доверенный платформенный модуль (Trusted Platform Module, TPM). TPM – микрочип, выполняющий основные функции безопасности (например, хранение ключей шифрования). TPM обычно устанавливается на материнскую плату компьютера и взаимодействует со всеми остальными компонентами системы через аппаратную шину. На устройствах с операционными системами Windows 7 и Windows Server 2008 R2 поддерживается только шифрование с использованием модуля TPM. Если модуль TPM не установлен, шифрование BitLocker недоступно. Использование пароля на таких компьютерах не поддерживается. Устройство, оснащенное доверенным платформенным модулем, может создавать ключи шифрования, которые могут быть расшифрованы только с помощью этого устройства. Доверенный платформенный модуль зашифровывает ключи шифрования с использованием собственного корневого ключа хранилища. Корневой ключ хранилища сохраняется в доверенном платформенном модуле. Это обеспечивает дополнительный уровень защиты от попыток взлома ключей шифрования. Этот вариант действия выбран по умолчанию. Пароль. Если выбран этот параметр, Kaspersky Endpoint Security запрашивает пароль при попытке пользователя получить доступ к зашифрованному диску. Этот параметр можно выбрать в том случае, если не используется доверенный платформенный модуль (TPM). Доверенный платформенный модуль (TPM), если он недоступен, то пароль. Если выбран этот параметр, пользователь может использовать пароль для получения доступа к ключам шифрования, если доверенный платформенный модуль (TPM) недоступен. Если этот флажок снят и TPM недоступен, полное шифрование диска не будет запущено. Использовать PIN для TPM. Если этот флажок установлен, пользователь может использовать PIN-код для получения доступа к ключу шифрования, который хранится в доверенном платформенном модуле (TPM). Если этот флажок снят, пользователям запрещено использовать PIN-коды. Для получения доступа к ключу шифрования пользователю необходимо ввести пароль. |