適用於 Windows 和 macOS
適用於 Windows 的 BitLocker 磁碟機加密
BitLocker 是 Windows 作業系統內建的加密技術。Kaspersky Endpoint Security 可讓您利用 Kaspersky Next 基礎架構控制和管理 Bitlocker。BitLocker 可對邏輯磁區進行加密。BitLocker 不能用於卸除式磁碟機的加密。有關 BitLocker 的詳細資訊,請參閱 Microsoft 文件。
加密磁碟時,BitLocker將引導程式和其他輔助檔案放入 system partition。此分割區未加密。作業系統在安裝 Windows 時會自動建立系統分割區。如果在安裝 Windows 之前磁碟已完全分割,則作業系統無法建立系統分割區。在這種情況下,當啟動 BitLocker 磁碟加密時,作業系統會提示使用者對磁碟重新分割,並建立系統分割區。建立系統分割區後,作業系統啟動 BitLocker 加密。
BitLocker 使用受信任平台模組提供對存取金鑰的安全儲存。受信任平台模組 (TPM) 是一個與安全相關並提供基本功能的微晶片(例如用於儲存加密金鑰)。受信任平台模組通常安裝在電腦主機板上並且透過硬體匯流排與其他所有系統元件進行互動。使用 TPM 是儲存 BitLocker 存取金鑰最安全的方式,因為 TPM 提供了啟動前系統完整性驗證。您仍然可以在沒有 TPM 的電腦上對磁碟機進行加密。在這種情況下,將使用密碼對存取金鑰進行加密。BitLocker 使用以下身分驗證方式:
對系統硬碟磁碟機進行加密後,使用者需要透過 BitLocker 身分驗證才能啟動作業系統。身分驗證過程後,BitLocker 將允許使用者登入。BitLocker 不支援單點登錄技術 (SSO)。
在對磁碟機進行加密後,BitLocker 會建立一個主密碼。Kaspersky Endpoint Security 會將主金鑰傳送至 Kaspersky Next,以便在使用者忘記密碼等情況下恢復對磁碟的存取權限。
如果使用者使用 BitLocker 加密磁碟,Kaspersky Endpoint Security 會將磁碟加密的相關資訊傳送到 Kaspersky Next 管理控制台。但 Kaspersky Endpoint Security 不會將主金鑰傳送至 Kaspersky Next,因此無法恢復對磁碟的存取權限。為了讓 BitLocker 與 Kaspersky Next 正常配合使用,請先透過政策設定解密磁碟,然後重新加密。您可以在本機解密磁碟機,也可以使用政策來解密磁碟機。
如果正在使用 Windows 群組政策,請在政策設定中關閉 BitLocker 管理。Windows 政策設定可能與 Kaspersky Endpoint Security 政策設定衝突。在對磁碟機進行加密時,可能會發生錯誤。
適用於 macOS 的 FileVault 磁碟加密
Kaspersky Endpoint Security 支援遠端管理 FileVault 加密功能。加密可防止未經授權的使用者存取儲存在電腦啟動磁碟上的敏感資料。
當管理員透過 Kaspersky Next 管理控制台在電腦上啟動 FileVault 加密時,Kaspersky Endpoint Security 會提示使用者輸入憑據。只有在使用者完成憑證驗證、電腦重啟,並且政策設定套用後滿 30 分鐘,磁碟加密才會開始進行。提示輸入憑證之間的最短間隔也是 30 分鐘。
為了防止使用者在啟用 FileVault 加密時解密電腦的啟動磁碟,管理員需要使用 JAMF 部署禁止磁碟解密的 MDM 設定檔。若電腦的啟動磁碟受 MDM 設定檔限制而無法解密,管理員需先移除該設定檔。
如果 Kaspersky Next 管理控制台未啟用 FileVault 加密管理,具有管理員權限的使用者可在系統設定對電腦的啟動磁碟進行加密及解密。有關 FileVault 的更多資訊,請參閱 Apple 的說明文件。
在有多個使用者帳戶的電腦上,FileVault 加密僅允許已輸入憑證的使用者存取磁碟,其餘使用者將被拒絕存取。
Pro View的資料加密設定
參數 |
作業系統 |
描述 |
|---|---|---|
裝置操作 |
|
加密所有硬碟磁碟機如果選擇此選項,套用政策後,應用程式將加密所有硬碟。 解密所有硬碟磁碟機如果選擇此選項,套用政策後,應用程式將解密先前已加密的所有硬碟。 |
使用硬體加密 |
|
如果選定此核取方塊,則應用程式將應用硬體加密。這可以提高加密速度並使用較少的電腦資源。 |
在 Windows 平板電腦上使用 BitLocker 身分驗證 |
|
在預啟動環境中使用需要資料輸入的身分驗證,即使此平台沒有能力進行預啟動輸入(例如使用平板電腦上的觸控式螢幕鍵盤)。 平板電腦的觸控式螢幕在預啟動環境中不可用。例如,要在平板電腦上完成 BitLocker 身分驗證,使用者必須連線 USB 鍵盤。 如果選定此核取方塊,則允許使用需要預啟動輸入的身分驗證。我們建議在預啟動環境中僅對擁有備用資料輸入的裝置(例如除了觸控式螢幕鍵盤之外的 USB 鍵盤)使用此設定。 如果清除此核取方塊,則無法在平板電腦上使用 BitLocker 磁碟機加密。 |
身分驗證方法 |
|
受信任平台模組 (TPM) 如果選擇此選項,則 BitLocker 使用受信任平台模組 (TPM)。 受信任平台模組 (TPM) 是一個與安全相關並提供基本功能的微晶片(例如用於儲存加密金鑰)。受信任平台模組通常安裝在電腦主機板上並且透過硬體匯流排與其他所有系統元件進行互動。 對於執行 Windows 7 或 Windows Server 2008 R2 的電腦,只能使用 TPM 模組進行加密。如果未安裝 TPM 模組,則無法進行 BitLocker 加密。不支援在這些電腦上使用密碼。 配有受信任平台模組的裝置可以建立只能使用此裝置解密的加密金鑰。受信任平台模組將使用其自有的根儲存金鑰加密加密金鑰。根儲存金鑰儲存在受信任平台模組中。這提供了防禦駭客攻擊加密金鑰的附加防護。 預設情況下已選擇此操作。 密碼 如果選定此選項,Kaspersky Endpoint Security 將在使用者嘗試存取加密磁碟時提示使用者輸入密碼。 沒有使用受信任平台模組 (TPM) 時可以選擇此選項。 受信任平台模組 (TPM),或密碼(如果 TMP 不可使用) 如果選定此選項,當受信任平台模組 (TPM) 不可用時,使用者可使用密碼存取加密金鑰。如果清除該核取方塊且 TPM 不可用,則將不會啟動完整磁碟加密。 为 TPM 使用 PIN如果選中此核取方塊,使用者可以使用 PIN 碼存取儲存在受信任平台模組 (TPM) 中的加密金鑰。如果清除此核取方塊,則會禁止使用者使用 PIN 碼。要存取加密金鑰,使用者必須輸入密碼。 |