для Windows и macOS
Шифрование диска BitLocker для Windows
BitLocker – встроенная в операционную систему Windows технология шифрования. Kaspersky Endpoint Security позволяет контролировать и управлять Bitlocker с помощью инфраструктуры Kaspersky Next. BitLocker шифрует логический том. Шифрование съемных дисков с помощью BitLocker невозможно. Подробнее о BitLocker см. в документации Microsoft.
При шифровании диска BitLocker помещает загрузчик и другие служебные файлы в системный раздел (англ. system partition). Этот раздел не зашифрован. Операционная система создает системный раздел автоматически при установке Windows. Если перед установкой Windows диск полностью размечен, операционная система не сможет создать системный раздел. В этом случае при запуске шифрования диска BitLocker операционная система предложит пользователю разместить диск снова и создать системный раздел. После создания системного раздела операционная сиcтема запустит шифрование диска BitLocker.
BitLocker обеспечивает безопасность хранения ключей доступа с помощью доверенного платформенного модуля. Доверенный платформенный модуль (англ. Trusted Platform Module, TPM) – микрочип, разработанный для предоставления основных функций, связанных с безопасностью (например, для хранения ключей шифрования). Доверенный платформенный модуль обычно устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины. Использование TPM является самым безопасным способом хранения ключей доступа BitLocker, так как TPM позволяет проверять целостность операционной системы. На компьютерах без TPM вы также можете зашифровать диски. При этом ключ доступа будет зашифрован паролем. Таким образом, BitLocker использует следующие способы аутентификации:
После шифрования системного жесткого диска для загрузки операционной системы пользователю нужно пройти процедуру аутентификации BitLocker. После прохождения процедуры аутентификации BitLocker будет доступен вход в систему. BitLocker не поддерживает технологию единого входа (SSO).
После шифрования диска BitLocker создает мастер-ключ. Kaspersky Endpoint Security отправляет мастер-ключ в инфраструктуру Kaspersky Next, чтобы вы имели возможность восстановить доступ к диску, если пользователь, например, забыл пароль.
Если пользователь самостоятельно зашифровал диск с помощью BitLocker, Kaspersky Endpoint Security отправит информацию о шифровании диска в консоль Kaspersky Next. При этом Kaspersky Endpoint Security не отправит мастер-ключ в инфраструктуру Kaspersky Next, и восстановить доступ к диску будет невозможно. Для корректной работы BitLocker c инфраструктурой Kaspersky Next расшифруйте диск и зашифруйте диск повторно с помощью политики. Расшифровать диск вы можете локально или с помощью политики.
Если вы используете групповые политики для Windows, выключите управление BitLocker в параметрах политики. Параметры политики для Windows могут противоречить параметрам политики Kaspersky Endpoint Security. При шифровании диска могут возникнуть ошибки.
Шифрование диска FileVault для macOS
Kaspersky Endpoint Security позволяет удаленно управлять шифрованием диска FileVault. Шифрование загрузочного диска на компьютере пользователя предотвращает доступ других пользователей к важной информации, которая хранится на диске.
Когда администратор запускает шифрование диска FileVault из консоли Kaspersky Next, Kaspersky Endpoint Security запрашивает у пользователя компьютера его учетные данные. Шифрование диска запускается только после того, как пользователь предоставит учетные данные, перезагрузит компьютер и по прошествии 30 минут с момента получения параметров политики на компьютер. Минимальный интервал между запросами учетных данных также составляет 30 минут.
Чтобы пользователь не мог расшифровать загрузочный диск компьютера при включенном шифровании диска FileVault, администратору необходимо с помощью JAMF развернуть MDM-профиль, запрещающий расшифровку диска. Чтобы расшифровать загрузочный диск компьютера с MDM-профилем, запрещающим расшифровку диска, администратору сначала необходимо удалить профиль.
Если управление шифрованием диска FileVault не включено в консоли Kaspersky Next, пользователи с правами администратора могут зашифровать и расшифровать загрузочный компьютера из Системных настроек. Вы можете найти дополнительную информацию о FileVault в документации Apple.
Если на компьютере пользователя создано несколько учетных записей, шифрование диска FileVault сделает недоступной информацию на диске для всех пользователей компьютера, кроме пользователя, который ввел свои учетные данные.
Параметры шифрования данных для Pro View
Параметр |
ОС |
Описание |
|---|---|---|
Действие с устройствами |
|
Шифровать все жесткие диски. Если выбран этот элемент, то при применении политики приложение шифрует все жесткие диски. Расшифровывать все жесткие диски. Если выбран этот элемент, то при применении политики приложение расшифровывает все зашифрованные ранее жесткие диски. |
Использовать аппаратное шифрование |
|
Если флажок установлен, то приложение применяет аппаратное шифрование. Это позволяет увеличить скорость шифрования и сократить использование ресурсов компьютера. |
Использование аутентификации BitLocker на планшетах под управлением Windows |
|
Использование аутентификации, требующей ввода данных в предзагрузочной среде, даже если у платформы отсутствует возможность предзагрузочного ввода (например, у сенсорных клавиатур на планшетах). Сенсорная клавиатура планшетов недоступна в предзагрузочной среде. Для прохождения аутентификации BitLocker на планшетах пользователю необходимо подключить, например, USB-клавиатуру. Если флажок установлен, то использование аутентификации, требующей предзагрузочного ввода, разрешено. Рекомендуется использовать этот параметр только для устройств, у которых во время предварительной загрузки, помимо сенсорных клавиатур, имеются альтернативные средства ввода данных, например, USB-клавиатура. Если флажок снят, шифрование диска BitLocker на планшетах невозможно. |
Способ аутентификации |
|
Доверенный платформенный модуль (TPM). Если выбран этот вариант, BitLocker использует доверенный платформенный модуль (TPM). Доверенный платформенный модуль (англ. Trusted Platform Module, TPM) – микрочип, разработанный для предоставления основных функций, связанных с безопасностью (например, для хранения ключей шифрования). Доверенный платформенный модуль обычно устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины. Для компьютеров под управлением операционных систем Windows 7 и Windows Server 2008 R2 доступно только шифрование с использованием модуля TPM. Если модуль TPM не установлен, шифрование BitLocker невозможно. Использование пароля на этих компьютерах не поддерживается. Устройство, оснащенное доверенным платформенным модулем, может создавать ключи шифрования, которые могут быть расшифрованы только с его помощью. Доверенный платформенный модуль шифрует ключи шифрования собственным корневым ключом хранилища. Корневой ключ хранилища хранится внутри доверенного платформенного модуля. Это обеспечивает дополнительную степень защиты ключей шифрования от попыток взлома. Этот вариант действия выбран по умолчанию. Пароль. Если выбран этот вариант, Kaspersky Endpoint Security запрашивает у пользователя пароль при обращении к зашифрованному диску. Этот вариант действия может быть выбран, если не используется доверенный платформенный модуль (TPM). Доверенный платформенный модуль (TPM), если он недоступен, то пароль. Если выбран этот вариант, то при отсутствии доверенного платформенного модуля (TPM) пользователь может получить доступ к ключам шифрования с помощью пароля. Если флажок снят и модуль TPM недоступен, то полнодисковое шифрование не запускается. Использовать PIN для TPM. Если флажок установлен, пользователь может использовать PIN-код для получения доступа к ключу шифрования, который хранится в доверенном платформенном модуле (TPM). Если флажок снят, пользователю запрещено использовать PIN-код. Для получения доступа к ключу шифрования пользователь использует пароль. |