适用于 Windows 和 macOS
适用于 Windows 的 BitLocker 驱动器加密
BitLocker 是 Windows 操作系统内置的加密技术。Kaspersky Endpoint Security 允许您使用 Kaspersky Next 基础设施控制和管理 Bitlocker。BitLocker 可对逻辑卷进行加密。BitLocker 不能用于可移动驱动器的加密。有关 BitLocker 的详细信息,请参阅 Microsoft 文档。
加密磁盘时,BitLocker 将引导加载程序和其他辅助文件放入 system partition。此分区未加密。操作系统在安装 Windows 时会自动创建系统分区。如果在安装 Windows 之前磁盘已完全分区,则操作系统无法创建系统分区。在这种情况下,当启动 BitLocker 磁盘加密时,操作系统会提示您对磁盘重新分区,并创建系统分区。创建系统分区后,操作系统启动 BitLocker 加密。
BitLocker 使用受信任平台模块提供对访问密钥的安全存储。受信任平台模块 (TPM) 是一个与安全相关的提供基本功能的微芯片(例如用于存储加密密钥)。受信任平台模块通常安装在计算机主板上,并通过硬件总线与其他所有系统组件进行交互。使用 TPM 是存储 BitLocker 访问密钥的最安全方式,因为 TPM 提供了启动前系统完整性验证。您仍然可以在没有 TPM 的计算机上对驱动器进行加密。在这种情况下,将使用密码对访问密钥进行加密。BitLocker 使用以下身份验证方式:
对系统硬盘驱动器进行加密后,用户需要通过 BitLocker 身份验证才能启动操作系统。经过身份验证程序后,BitLocker 将允许用户登录。BitLocker 不支持单点登录技术 (SSO)。
在对驱动器进行加密后,BitLocker 会创建一个主密钥。Kaspersky Endpoint Security 会将主密钥发送到 Kaspersky Next,以便您可以恢复对磁盘的访问,例如,如果用户忘记了密码。
如果用户使用 BitLocker 对磁盘进行加密,Kaspersky Endpoint Security 会将有关磁盘加密的信息发送到 Kaspersky Next 控制台。但是,Kaspersky Endpoint Security 不会将主密钥发送到 Kaspersky Next,因此将无法恢复对磁盘的访问。为使 BitLocker 与 Kaspersky Next 正常协同工作,请解密驱动器,然后使用策略重新对该驱动器进行加密。您可以在本地解密驱动器,也可以使用策略解密驱动器。
如果正在使用 Windows 组策略,请在策略设置中关闭 BitLocker 管理。Windows 策略设置可能与 Kaspersky Endpoint Security 策略设置冲突。在对驱动器进行加密时,可能会发生错误。
适用于 macOS 的文件保险箱磁盘加密
Kaspersky Endpoint Security 允许远程管理文件保险箱加密。加密可防止未经授权的用户访问存储在用户计算机启动盘上的敏感数据。
当管理员从 Kaspersky Next 控制台在计算机上启动文件保险箱加密时,Kaspersky Endpoint Security 会提示用户输入其凭证。磁盘加密仅在用户提供凭证、计算机重新启动且自计算机上收到策略设置以来已过去 30 分钟后才会开始。提示输入凭证之间的最短间隔也是 30 分钟。
为防止用户在启用文件保险箱加密时解密计算机的启动磁盘,管理员需要使用 JAMF 部署禁止磁盘解密的 MDM 配置文件。要使用禁止磁盘解密的 MDM 配置文件解密计算机的启动磁盘,管理员首先需要删除该配置文件。
如果未在 Kaspersky Next 控制台中启用文件保险箱加密管理,则具有管理员权限的用户可以从系统设置中加密和解密计算机的启动磁盘。有关文件保险箱的更多信息,请参阅 Apple 文档。
如果一台计算机有多个用户账户,文件保险箱加密会使除输入其凭证的用户之外的所有用户都无法访问磁盘。
Pro View 的数据加密设置
参数 |
操作系统 |
描述 |
|---|---|---|
设备上的操作 |
|
“加密所有硬盘驱动器”。如果选定了该选项,应用策略后,应用程序将加密所有硬盘驱动器。 “解密所有硬盘驱动器”。如果选定了该选项,应用策略后,应用程序将解密所有先前加密的硬盘驱动器。 |
使用硬件加密 |
|
如果选定该复选框,则应用程序将应用硬件加密。这可以提高加密速度并使用较少的计算机资源。 |
在 Windows 平板电脑上使用 BitLocker 身份验证 |
|
使用在预启动环境中需要数据输入的身份验证,即使该平台没有能力进行预启动输入(例如使用平板电脑上的触摸屏键盘)。 平板电脑的触摸屏在预启动环境中不可用。例如,要在平板电脑上完成 BitLocker 身份验证,用户必须连接 USB 键盘。 如果选定该复选框,则允许使用需要预启动输入的身份验证。我们推荐在预启动环境中仅对拥有备用数据输入工具的设备(例如除了触摸屏键盘之外的 USB 键盘)使用该设置。 如果清除此复选框,则无法在平板电脑上使用 BitLocker 驱动器加密。 |
身份验证方法 |
|
“受信任平台模块 (TPM)”。 如果选定该复选框,则 BitLocker 使用受信任平台模块 (TPM)。 受信任平台模块 (TPM) 是一个与安全相关的提供基本功能的微芯片(例如用于存储加密密钥)。受信任平台模块通常安装在计算机主板上并且通过硬件总线与其他所有系统组件进行互动。 对于运行 Windows 7 或 Windows Server 2008 R2 的计算机,只能使用 TPM 模块进行加密。如果未安装 TPM 模块,则无法进行 BitLocker 加密。不支持在这些计算机上使用密码。 配有受信任平台模块的设备可以创建只能使用该设备解密的加密密钥。受信任平台模块将使用其自有的根存储密钥加密加密密钥。根存储密钥存储在受信任平台模块中。这提供了防御黑客攻击加密密钥的附加保护。 默认情况下已选择此操作。 “密码”。 如果选定该选项,Kaspersky Endpoint Security 将在用户尝试访问加密磁盘时提示用户输入密码。 没有使用受信任平台模块 (TPM) 时可以选择该选项。 “受信任平台模块 (TPM),或密码(如果 TMP 不可用)”。 如果选定该选项,当受信任平台模块 (TPM) 不可用时,用户可使用密码访问加密密钥。如果清除该复选框且 TPM 不可用,则将不会启动完整磁盘加密。 “为 TPM 使用 PIN”。如果选中该复选框,用户可以使用 PIN 码获得对存储在受信任平台模块 (TPM) 中的加密密钥的访问权限。如果清除此复选框,则禁止用户使用 PIN 码。要访问加密密钥,用户必须输入密码。 |