O šifrování dat

Aplikace Kaspersky Endpoint Security umožňuje šifrovat soubory a složky, které jsou uložené na místních a vyměnitelných jednotkách, nebo také celé vyměnitelné jednotky a pevné disky. Šifrování dat minimalizuje riziko úniků informací, k nimž může dojít při ztrátě nebo odcizení přenosného počítače, vyměnitelné jednotky nebo pevného disku nebo při přístupu neautorizovaných uživatelů nebo aplikací k datům.

Jestliže skončila platnost licence, aplikace nešifruje nová data a stará šifrovaná data zůstanou zašifrovaná a je možné je používat. V tomto případě vyžaduje šifrování nových dat aktivaci programu pomocí nové licence, která dovoluje použití šifrování.

Jestliže skončila platnost vaší licence nebo došlo k porušení podmínek licenční smlouvy s koncovým uživatelem nebo byl odebrán klíč, aplikace Kaspersky Endpoint Security nebo součásti šifrování, nelze zaručit stav šifrování u dříve zašifrovaných souborů. Je to způsobeno tím, že některé aplikace, například Microsoft Office Word, vytváří během úprav souborů dočasnou kopii. Při uložení původního souboru je původní soubor nahrazen dočasnou kopií. V důsledku toho zůstane takový soubor v počítači, v němž není k dispozici žádná funkce šifrování nebo funkce šifrování není dostupná, nezašifrovaný.

Aplikace Kaspersky Endpoint Security nabízí následující možnosti ochrany dat:

• Šifrování souborů na místních počítačových discích. Můžete zkompilovat seznamy souborů podle přípony nebo skupiny přípon a seznamy složek uložených na místních počítačových discích a vytvořit pravidla šifrování souborů vytvořených určitými aplikacemi. Po použití zásad aplikace Kaspersky Security Center jsou pomocí aplikace Kaspersky Endpoint Security zašifrovány a dešifrovány následující soubory:
  • Soubory jednotlivě přidané na seznamy pro šifrování a dešifrování.
  • Soubory uložené ve složkách přidaných na seznamy pro šifrování a dešifrování.
  • Soubory vytvořené samostatnými aplikacemi.

  Podrobnosti o použití zásad aplikace Kaspersky Security Center najdete v dokumentu Kaspersky Security Center Administrator's Guide.

• Šifrování vyměnitelných jednotek. Můžete zadat výchozí pravidlo šifrování, podle kterého aplikace provede stejnou akci u všech vyměnitelných jednotek, nebo zadat pravidla šifrování pro jednotlivé vyměnitelné jednotky.

  Výchozí pravidlo šifrování má nižší prioritu než pravidla šifrování vytvořená pro jednotlivé vyměnitelné jednotky. Pravidla šifrování vytvořená pro vyměnitelné jednotky zadaného modelu zařízení mají nižší prioritu než pravidla šifrování vytvořená pro vyměnitelné jednotky se zadaným ID zařízení.

  Aplikace Kaspersky Endpoint Security při volbě pravidla šifrování pro soubory na vyměnitelné jednotce kontroluje, zda jsou model nebo ID zařízení známé. Aplikace potom provede jednu z těchto akcí:

  • Pokud je znám jen model zařízení, aplikace použije pravidlo šifrování (pokud nějaké existuje) vytvořené pro vyměnitelné jednotky určitého modelu zařízení.
  • Pokud je známo jen ID zařízení, aplikace použije pravidlo šifrování (pokud nějaké existuje) vytvořené pro vyměnitelné jednotky s určitým ID zařízení.
  • Pokud jsou známy model i ID zařízení, aplikace použije pravidlo šifrování (pokud nějaké existuje) vytvořené pro vyměnitelné jednotky s určitým ID zařízení. Pokud žádné takové pravidlo neexistuje, ale existuje pravidlo šifrování vytvořené pro vyměnitelné jednotky určitého modelu zařízení, aplikace použije toto pravidlo. Pokud není zadáno žádné pravidlo šifrování pro určité ID zařízení ani pro určitý model zařízení, aplikace použije výchozí pravidlo šifrování.
  • Pokud není znám model zařízení ani jeho ID, aplikace použije výchozí pravidlo šifrování.

  Aplikace vám umožní připravit vyměnitelnou jednotku pro použití šifrovaných dat, které jsou na ní uložené v mobilním režimu. Po povolení mobilního režimu získáte přístup k šifrovaným souborům na vyměnitelných jednotkách připojených k počítači bez funkce šifrování.

  Aplikace provede akci zadanou v pravidle šifrování po použití zásad aplikace Kaspersky Security Center.

• Správa pravidel přístupu aplikací k šifrovaným souborům. Pro jakoukoli aplikaci můžete vytvořit pravidlo přístupu k šifrovaným souborů, které blokuje přístup k šifrovaným souborů nebo povoluje přístup k šifrovaným souborům pouze jako k šifrovanému textu, což je sekvence znaků získaná při šifrování.
• Vytvoření šifrovaných archivů. Můžete vytvářet šifrované archivy a přístup k nim chránit pomocí hesla. Přístup k obsahu šifrovaných archivů lze získat jen po zadání hesel, která slouží k zabezpečení přístupu k těmto archivům. Tyto archivy je možné bezpečně přenášet po sítích nebo pomocí vyměnitelných jednotek.
• Šifrování pevných disků. Můžete vybrat technologii šifrování: Kaspersky Disk Encryption nebo BitLocker Drive Encryption (dále označována zkráceně jako „technologie BitLocker“).

  BitLocker je technologie, která je součástí operačního systému Windows. Pokud je počítač vybavený čipem TPM (Trusted Platform Module), technologie BitLocker jej použije k ukládání obnovovacích klíčů, které poskytují přístup k šifrovanému pevnému disku. Po spuštění počítače vyžádá technologie BitLocker obnovovací klíče pevného disku z čipu TPM a potom disk odemkne. Pro přístup k obnovovacím klíčům můžete nastavit použití hesla a/nebo PIN kódu.

  Můžete zadat výchozí pravidlo šifrování pevného disku a vytvořit seznam pevných disků, které mají být ze šifrování vyloučeny. Aplikace Kaspersky Endpoint Security zašifruje pevné disky (každý sektor), jakmile se použijí zásady aplikace Kaspersky Security Center. Aplikace současně šifruje všechny logické oddíly pevných disků. Podrobnosti o použití zásad aplikace Kaspersky Security Center najdete v dokumentu Kaspersky Security Center Administrator's Guide.

  Po zašifrování systémových pevných disků se musí uživatel při příštím spuštění počítače ověřit prostřednictvím ověřovacího agenta a až poté jsou zpřístupněna data na pevných discích a načten operační systém. Tato akce vyžaduje zadání hesla tokenu nebo čipové karty připojené k počítači nebo uživatelského jména a hesla účtu ověřovacího agenta, který byl vytvořen správcem místní sítě pomocí úloh správy účtu ověřovacího agenta. Tyto účty jsou založené na účtech systému Microsoft Windows, které uživatelé používají k přihlašování do operačního systému. Můžete spravovat účty ověřovacího agenta a používat technologii SSO (Single Sign-On) umožňující automatické přihlášení do operačního systému pomocí uživatelského jména a hesla účtu ověřovacího agenta.

  Rozhraní k provedení ověřování pro přístup k šifrovaným pevným diskům a načtení operačního systému po zašifrování pevného disku systému.

  Pokud zazálohujete počítač a zašifrujete jeho data a potom obnovíte záložní kopii počítače a znovu zašifrujete data počítače, aplikace Kaspersky Endpoint Security vytvoří duplicitní účty ověřovacího agenta. Chcete-li duplicitní účty odebrat, je třeba použít nástroj klmover s klíčem dupfix. Nástroj klmover je součástí sestavy aplikace Kaspersky Security Center. Více informací o tomto postupu najdete v dokumentu Kaspersky Security Center Administrator's Guide.

  Při upgradování verze aplikace na verzi Kaspersky Endpoint Security 10 Service Pack 2 pro systém Windows se neuloží seznam účtů ověřovacího agenta.

  Přístup k šifrovaným pevným diskům je možný jen z počítačů, v nichž je nainstalována aplikace Kaspersky Endpoint Security s funkcí šifrování pevných disků. Toto opatření minimalizuje riziko úniků dat z šifrovaného pevného disku při pokusu o přístup z místa mimo místní síť společnosti.

K šifrování pevných disků a vyměnitelných jednotek můžete použít funkci Zašifrovat pouze využité místo na disku. Tuto funkci doporučujeme používat jen pro nová zařízení, která dosud nebyla použita. Pokud chcete použít šifrování na zařízení, které se již používá, doporučujeme zašifrovat celé zařízení. Zajistíte tím ochranu veškerých dat, i když odstraněná data mohou i tak obsahovat čitelné informace.

Aplikace Kaspersky Endpoint Security před zahájením šifrování získá mapu sektorů souborového systému. První vlna šifrování zahrnuje sektory obsazené soubory v době, kdy je šifrování spuštěno. Druhá vlna šifrování zahrnuje sektory, v nichž byl proveden zápis po zahájení šifrování. Po dokončení šifrování jsou zašifrovány všechny sektory obsahující data.

Jakmile se šifrování dokončí a uživatel odstraní nějaký soubor, sektory, kde byl odstraněný soubor uložen, se uvolní k uložení nových dat na úrovni souborového systému, zůstanou však zašifrované. Takže při zapisování nových souborů do nového zařízení během spouštění pravidelného šifrování se zapnutou funkcí Zašifrovat pouze využité místo na disku v počítači budou po určité době zašifrovány všechny sektory.

Data potřebná k dešifrování souboru jsou poskytována administračním serverem Kaspersky Security Center, který kontroloval počítač v době šifrování. Pokud bude počítač se šifrovanými soubory z nějakého důvodu pod kontrolou jiného administračního serveru a předtím nebyl zaznamenán ani jeden přístup k těmto šifrovaných souborům, přístup lze získat jedním z následujících způsobů:

• Požádejte o přístup k šifrovaným objektům správce sítě LAN.
• obnovením dat v šifrovaných zařízeních pomocí nástroje pro obnovení.
• Obnovte konfiguraci administračního serveru Kaspersky Security Center, který kontroloval počítač v době šifrování, pomocí záložní kopie a použijte tuto konfiguraci na administračním serveru, který nyní kontroluje počítač se šifrovanými objekty.

Aplikace vytvoří během šifrování soubory služby. K jejich ukládání na pevném disku jsou potřeba přibližně dvě až tři procenta nefragmentovaného volného místa. Pokud na pevném disku není dostatek nefragmentovaného volného místa, šifrování nelze spustit, dokud nebude uvolněno požadované místo.

Kompatibilita mezi funkcí šifrování aplikace Kaspersky Endpoint Security a Kaspersky Anti-Virus for UEFI není podporována. Šifrování pevných disků počítačů, v nichž je nainstalována aplikace Kaspersky Anti-Virus for UEFI způsobí, že tato aplikace nebude fungovat.

Viz také: Přístup k šifrovaným souborům bez připojení k aplikaci Kaspersky Security Center Získání přístupu k šifrovaným zařízením prostřednictvím rozhraní aplikace Obnovení dat v šifrovaných zařízeních pomocí nástroje pro obnovení

Začátek stránky