適用於 Windows 和 macOS
適用於 Windows 的 BitLocker 磁碟加密
BitLocker是 Windows 作業系統內置的加密技術。Kaspersky Endpoint Security 可讓您利用 Kaspersky Next 基礎架構控制和管理 Bitlocker。BitLocker 用於加密邏輯磁區。BitLocker 不能用於加密卸除式儲存裝置。如需更多關於 BitLocker 的詳細資訊,請參考 Microsoft 文檔。
在加密磁碟時,BitLocker 會將啟動程式和其他輔助檔案存放於「系統分區」。此分區未經加密。作業系統在安裝 Windows 時會自動建立系統分區。若磁碟在安裝 Windows 前已完全分區,系統將無法建立系統分區。在此情況下,啟動 BitLocker 磁碟加密功能時,作業系統會提示使用者重新劃分磁碟空間,建立系統分區。建立系統分區後,作業系統會啟動 BitLocker 的加密功能。
BitLocker 透過受信任平台模組,確保存取金鑰得以安全儲存。受信任平台模組 (TPM)是為提供與安全相關的基本功能(例如儲存加密金鑰)而開發的微晶片。受信任平台模組通常安裝在電腦主機板上,並透過硬件匯流排與所有其他系統元件互動。由於 TPM 會在開機前驗證系統完整性,因此使用 TPM 儲存 BitLocker 存取金鑰是最安全的方式。即使電腦沒有 TPM,您仍可加密磁碟。在此情況下,存取金鑰會以密碼加密。BitLocker 採用以下驗證方式:
系統硬碟經加密後,使用者必須通過 BitLocker 身份驗證,才能啟動作業系統。通過身份驗證後,BitLocker 會允許使用者登入。BitLocker 不支援單一登入技術 (SSO)。
加密磁碟後,BitLocker 會建立一個主金鑰。Kaspersky Endpoint Security 會將主金鑰傳送至 Kaspersky Next 基礎架構,以便在使用者忘記密碼等情況下恢復對磁碟的存取權限。
如果使用者使用 BitLocker 加密磁碟,Kaspersky Endpoint Security 會將磁碟加密的相關資訊傳送到 Kaspersky Next 管理控制台。但 Kaspersky Endpoint Security 不會將主金鑰傳送至 Kaspersky Next 基礎架構,因此無法恢復對磁碟的存取權限。為了讓 BitLocker 與 Kaspersky Next 基礎架構正常配合使用,請先透過政策設定解密磁碟,然後重新加密。您可以在本機或透過政策設定解密磁碟。
如果您要使用 Windows 群組原則,請在政策設定中關閉 BitLocker 管理。Windows 政策設定有可能與 Kaspersky Endpoint Security 政策設定發生衝突。加密磁碟時,可能會發生錯誤。
適用於 macOS 的 FileVault 磁碟加密
Kaspersky Endpoint Security 支援遠端管理 FileVault 加密功能。加密可防止未經授權的使用者存取儲存在電腦啟動磁碟上的敏感資料。
當管理員透過 Kaspersky Next 管理控制台在電腦上啟動 FileVault 加密時,Kaspersky Endpoint Security 會提示電腦的使用者輸入憑證。只有在使用者完成憑證驗證、電腦重啟,並且政策設定套用後滿 30 分鐘,磁碟加密才會開始進行。提示輸入憑證之間的最短間隔也是 30 分鐘。
為了防止使用者在啟用 FileVault 加密時解密電腦的啟動磁碟,管理員需要使用 JAMF 部署禁止磁碟解密的 MDM 設定檔。若電腦的啟動磁碟受 MDM 設定檔限制而無法解密,管理員需先移除該設定檔。
如果 Kaspersky Next 管理控制台未啟用 FileVault 加密管理,具有管理員權限的使用者可在系統設定對電腦的啟動磁碟進行加密及解密。有關 FileVault 的更多資訊,請參閱 Apple 的說明文件。
在有多個使用者帳戶的電腦上,FileVault 加密僅允許已輸入憑證的使用者存取磁碟,其餘使用者將被拒絕存取。
Pro View的資料加密設定
參數 |
作業系統 |
描述 |
---|---|---|
裝置操作 |
|
加密所有硬碟。如果選取此項目,則應用程式在套用政策時會加密所有硬碟。 解密所有硬碟。如果選取此項目,則應用程式在套用政策時將解密所有先前加密的硬碟。 |
使用硬件加密 |
|
如果剔選此方格,應用程式將套用硬件加密。這使您能夠提高加密速度並使用更少的電腦資源。 |
在 Windows 平板電腦上使用 BitLocker 身份驗證 |
|
使用需要在預啟動環境中輸入資料的身份驗證,即使裝置在預啟動環境中無法輸入(例如平板電腦的觸控螢幕鍵盤)。 平板電腦的觸控螢幕在預啟動環境中無法使用。舉例而言,如要在平板電腦上完成 BitLocker 驗證,使用者必須連接 USB 鍵盤。 如果剔選此方格,即可啟用需要開機前輸入資料的身份驗證機制。此設定建議僅用於在預啟動環境中具備替代輸入工具的裝置(例如觸控螢幕鍵盤和 USB 鍵盤)。 如果取消剔選此方格,則平板電腦上將無法使用 BitLocker 磁碟加密。 |
身份驗證方法 |
|
受信任平台模組 (TPM)。 如果選擇此選項,BitLocker 將使用受信任平台模組 (TPM)。 受信任平台模組 (TPM)是為提供與安全相關的基本功能(例如儲存加密金鑰)而開發的微晶片。受信任平台模組通常安裝在電腦主機板上,並透過硬件匯流排與所有其他系統元件互動。 運行 Windows 7 或 Windows Server 2008 R2 的電腦僅可使用 TPM 模組進行加密。如果未安裝 TPM 模組,則無法使用 BitLocker 加密。不支援在這些電腦使用密碼。 配備受信任平台模組的裝置可以建立只能使用該裝置解密的加密金鑰。受信任平台模組使用其根儲存金鑰對加密金鑰進行加密。根儲存金鑰儲存在受信任平台模組內。這為防止破解加密金鑰的行為提供額外防護。 預設選擇此操作。 密碼。 如果選擇此選項,當使用者嘗試存取加密磁碟時,Kaspersky Endpoint Security 會提示使用者輸入密碼。 當未使用受信任平台模組 (TPM) 時,可以選擇此選項。 受信任平台模組 (TPM),或密碼(如果 TMP 不可用)。 如果選擇此選項,當受信任平台模組 (TPM) 不可用時,使用者可以使用密碼取得加密金鑰的存取權限。若取消剔選此方格,且 TPM 不可用,將無法啟動全面磁碟加密。 「為 TPM 使用 PIN」。如果剔選此方格,使用者可以使用 PIN 碼存取儲存在受信任平台模組 (TPM) 的加密金鑰。如果取消剔選此方格,則會禁止使用者使用 PIN 碼。要存取加密金鑰,使用者必須輸入密碼。 |