数据加密

适用于 Windows 和 macOS

适用于 Windows 的 BitLocker 驱动器加密

BitLocker 是 Windows 操作系统内置的加密技术。Kaspersky Endpoint Security 允许您使用 Kaspersky Next 基础设施来控制和管理 Bitlocker。BitLocker 可对逻辑卷进行加密。BitLocker 不能用于可移动驱动器的加密。有关 BitLocker 的详细信息,请参阅 Microsoft 文档

加密磁盘时,BitLocker 将引导加载程序和其他辅助文件放入系统分区。此分区未加密。操作系统在安装 Windows 时会自动创建系统分区。如果在安装 Windows 之前磁盘已完全分区,则操作系统无法创建系统分区。在这种情况下,当启动 BitLocker 磁盘加密时,操作系统会提示用户对磁盘重新分区,并创建系统分区。创建系统分区后,操作系统启动 BitLocker 加密。

BitLocker 使用受信任平台模块提供对访问密钥的安全存储。受信任平台模块 (TPM) 是一个与安全相关的提供基本功能的微芯片(例如用于存储加密密钥)。受信任平台模块通常安装在计算机主板上并且通过硬件总线与其他所有系统组件进行互动。使用 TPM 是存储 BitLocker 访问密钥最安全的方式,因为 TPM 提供启动前系统完整性验证。您仍然可以在没有 TPM 的计算机上加密驱动器。在这种情况下,访问密钥将使用密码加密。BitLocker 使用以下身份验证方式:

对系统硬盘驱动器进行加密后,用户需要通过 BitLocker 身份验证才能启动操作系统。经过身份验证程序后,BitLocker 将允许用户登录。BitLocker 不支持单点登录技术 (SSO)。

在对驱动器进行加密后,BitLocker 会创建一个主密钥。Kaspersky Endpoint Security 会将主密钥发送到 Kaspersky Next 基础设施,以便您在需要时(例如,如果用户忘记了密码)可以恢复对磁盘的访问。

如果用户使用 BitLocker 对磁盘进行加密,Kaspersky Endpoint Security 会将有关磁盘加密的信息发送到 Kaspersky Next 控制台。但是,Kaspersky Endpoint Security 不会将主密钥发送到 Kaspersky Next 基础设施,因此将无法恢复对磁盘的访问。为使 BitLocker 与 Kaspersky Next 基础设施能够正常协同工作,请解密驱动器,然后使用策略重新对该驱动器进行加密。您可以在本地解密驱动器,也可以使用策略解密驱动器。

如果正在使用 Windows 组策略,请在策略设置中关闭 BitLocker 管理。Windows 策略设置可能与 Kaspersky Endpoint Security 策略设置冲突。在对驱动器进行加密时,可能会发生错误。

适用于 macOS 的 FileVault 磁盘加密

Kaspersky Endpoint Security 允许远程管理 FileVault 加密。加密可防止未经授权的用户访问存储在用户计算机启动盘上的敏感数据。

当管理员通过 Kaspersky Next 控制台在计算机上启动 FileVault 加密功能时,Kaspersky Endpoint Security 会提示此计算机的用户输入其凭证。仅当用户提供凭证、计算机重启并且计算机上收到策略设置 30 分钟后,磁盘加密才会启动。提示输入凭证之间的最短间隔也是 30 分钟。

为了防止用户在启用 FileVault 加密时解密计算机的启动磁盘,管理员需要使用 JAMF 部署禁止磁盘解密的 MDM 配置文件。要使用禁止磁盘解密的 MDM 配置文件解密计算机的启动磁盘,管理员首先需要删除该配置文件。

如果未在 Kaspersky Next 控制台中启用 FileVault 加密管理功能,具有管理员权限的用户可以通过系统设置加密和解密计算机的启动磁盘。有关 FileVault 的更多信息,请参阅 Apple 文档。

如果计算机有多个用户账户,使用 FileVault 加密后,用户必须输入自己的凭证才能访问磁盘。

Pro View 的数据加密设置

参数

操作系统

描述

设备上的操作

Windows

macOS

加密所有硬盘驱动器。如果选定了该项,应用策略后,应用程序将加密所有硬盘驱动器。

解密所有硬盘驱动器。如果选定了该项,应用策略后,应用程序将解密所有先前加密的硬盘驱动器。

使用硬件加密

Windows

如果选定该复选框,则应用程序将应用硬件加密。这可以提高加密速度,减少对计算机资源的占用。

在 Windows 平板电脑上使用 BitLocker 身份验证

Windows

使用在预启动环境中需要数据输入的身份验证,即使该平台没有能力进行预启动输入(例如使用平板电脑上的触摸屏键盘)。

平板电脑的触摸屏在预启动环境中不可用。例如,要在平板电脑上完成 BitLocker 身份验证,用户必须连接 USB 键盘。

如果选定该复选框,则允许使用需要预启动输入的身份验证。推荐在预启动环境中仅对拥有备用数据输入的设备(例如除了触摸屏键盘之外的 USB 键盘)使用该设置。

如果清除此复选框,则无法在平板电脑上使用 BitLocker 驱动器加密。

身份验证方法

Windows

受信任平台模块 (TPM)

如果选定该复选框,则 BitLocker 使用受信任平台模块 (TPM)。

受信任平台模块 (TPM) 是一个与安全相关的提供基本功能的微芯片(例如用于存储加密密钥)。受信任平台模块通常安装在计算机主板上并且通过硬件总线与其他所有系统组件进行互动。

对于运行 Windows 7 或 Windows Server 2008 R2 的计算机,只能使用 TPM 模块进行加密。如果未安装 TPM 模块,则无法进行 BitLocker 加密。不支持在这些计算机上使用密码。

配有受信任平台模块的设备可以创建只能使用该设备解密的加密密钥。受信任平台模块将使用其自有的根存储密钥加密加密密钥。根存储密钥存储在受信任平台模块中。这提供了防御黑客攻击加密密钥的附加保护。

默认情况下已选择此操作。

密码

如果选定该选项,Kaspersky Endpoint Security 将在用户尝试访问加密磁盘时提示用户输入密码。

没有使用受信任平台模块 (TPM) 时可以选择该选项。

受信任平台模块 (TPM),或密码(如果 TMP 不可用)

如果选定该选项,当受信任平台模块 (TPM) 不可用时,用户可使用密码访问加密密钥。如果清除该复选框且 TPM 不可用,则将不会启动完整磁盘加密。

为 TPM 使用 PIN。如果选中该复选框,用户可以使用 PIN 码获得对存储在受信任平台模块 (TPM) 中的加密密钥的访问权限。如果清除此复选框,则禁止用户使用 PIN 码。要访问加密密钥,用户必须输入密码。

页面顶部