Kaspersky Endpoint Security는 로컬 및 이동식 드라이브에 저장된 파일 및 폴더를 암호화하거나, 전체 이동식 드라이브와 하드 드라이브를 암호화할 수 있는 기능을 제공합니다. 데이터 암호화로 휴대용 컴퓨터, 이동식 드라이브 또는 하드 드라이브의 분실이나 도난 또는 데이터의 무단 접근으로 인한 정보 유출 사고의 발생 위험을 최소화할 수 있습니다.
라이센스가 만료된 경우 애플리케이션은 새 데이터를 암호화하지 않으며, 이전에 암호화된 데이터는 암호화된 상태에서 계속 사용할 수 있습니다. 이 경우 새 데이터를 암호화하려면 암호화 사용을 허용하는 새 라이센스를 사용해 프로그램을 활성화해야 합니다.
라이센스가 만료되거나 최종 사용자 라이센스 계약서 위반이 발생하거나 Kaspersky Endpoint Security 또는 암호화 구성요소가 제거되면 이전에 암호화된 파일의 암호화 상태에 대해 보장할 수 없습니다. 이는 Microsoft Office Word와 같은 일부 애플리케이션에서 편집 시 파일의 임시 복사본을 생성하기 때문입니다. 원래 파일이 저장되면 원래 파일은 임시 복사본으로 교체됩니다. 그 결과 암호화 기능이 없거나 이용할 수 없는 컴퓨터에서는 파일이 계속 암호화되지 않은 상태로 남아 있습니다.
Kaspersky Endpoint Security는 다음과 같은 데이터 보호 기능을 제공합니다:
Kaspersky Security Center 정책 적용에 대한 자세한 내용은 Kaspersky Security Center 관리자 설명서를 참조하십시오.
기본 암호화 규칙은 개별 이동식 드라이브에 만들어진 암호화 규칙보다 우선 순위가 낮습니다. 특정 장치 모델의 이동식 드라이브에 대해 만들어진 암호화 규칙은 특정 장치 ID의 이동식 드라이브를 위해 만들어진 암호화 규칙보다 우선 순위가 낮습니다.
이동식 드라이브의 파일에 적용할 암호화 규칙을 선택하기 위해 Kaspersky Endpoint Security는 장치 모델 및 ID를 확인합니다. 그런 다음 애플리케이션은 다음 작업 중 하나를 수행합니다:
휴대용 모드에서 이동식 드라이브에 저장된 암호화된 데이터를 사용할 수 있도록 설정할 수 있습니다. 휴대용 모드를 활성화한 다음 암호화 기능이 없는 컴퓨터에 연결된 이동식 드라이브의 암호화된 파일에 접근할 수 있습니다.
Kaspersky Security Center 정책이 적용되면 애플리케이션은 암호화 규칙에 지정된 처리 방법을 수행합니다.
BitLocker는 Windows 운영 체제에 포함된 기술입니다. 컴퓨터에 신뢰하는 플랫폼 모듈(TPM)이 설치되어 있으면 BitLocker가 해당 모듈을 사용해 암호화된 하드 드라이브에 접근할 수 있는 복구 키를 저장합니다. 컴퓨터를 시작할 때 BitLocker는 신뢰하는 플랫폼 모듈의 하드 드라이브 복구 키를 요청하고 드라이브를 잠금 해제합니다. 복구 키 접근에 암호 및/또는 PIN 코드를 사용하도록 구성할 수 있습니다.
기본 하드 드라이브 암호화 규칙을 지정하고 암호화에서 예외할 하드 드라이브 목록을 작성할 수 있습니다. Kaspersky Security Center 정책이 적용되면 Kaspersky Endpoint Security는 하드 드라이브의 모든 섹터를 일일이 암호화합니다. 애플리케이션은 하드 드라이브의 모든 논리 파티션을 동시에 암호화합니다. Kaspersky Security Center 정책 적용에 대한 자세한 내용은 Kaspersky Security Center 관리자 설명서를 참조하십시오.
시스템 하드 드라이브가 암호화된 이후에 컴퓨터를 시작할 때 사용자는 인증 에이전트의 인증을 거쳐야 하드 드라이브 접근 권한이 부여되어 운영 체제가 로드됩니다. 이때 컴퓨터에 연결된 토큰 또는 스마트 카드의 암호, 아니면 LAN 관리자가 인증 에이전트 계정 관리 작업을 사용해 만든 인증 에이전트 계정의 사용자 이름 및 암호를 입력해야 합니다. 이러한 계정은 운영 체제에 로그인하는 사용자의 Microsoft Windows 계정에 기반합니다. 인증 에이전트 계정을 관리하고 인증 에이전트의 사용자 이름 및 암호를 사용하여 운영 체제에 자동 로그인할 수 있는 SSO(Single Sign-On) 기술을 사용할 수 있습니다.
컴퓨터를 백업한 후 컴퓨터 데이터를 암호화한 다음 컴퓨터의 백업 복사본을 복원하여 컴퓨터 데이터를 다시 암호화하면 Kaspersky Endpoint Security가 인증 에이전트 계정을 중복 생성합니다. 중복 계정을 제거하려면 dupfix 키와 함께 klmover 유틸리티를 사용합니다. klmover 유틸리티는 Kaspersky Security Center 빌드에 포함되어 있습니다. Kaspersky Security Center 관리자 설명서에서 해당 작업에 대한 자세한 내용을 알아볼 수 있습니다.
애플리케이션 버전이 Kaspersky Endpoint Security 10 Service Pack 2 for Windows로 업그레이드될 때 인증 에이전트 계정의 목록은 저장되지 않습니다.
Kaspersky Endpoint Security 및 하드 드라이브 암호화 기능이 설치된 컴퓨터에서만 암호화된 하드 드라이브에 접근할 수 있습니다. 이는 회사 LAN 외부에서의 접근을 차단하여 암호화된 하드 드라이브의 데이터 유출 위험을 최소화하기 위해서입니다.
하드 드라이브 및 이동식 드라이브를 암호화하기 위해 사용한 디스크 공간만 암호화 기능을 사용할 수 있습니다. 이전에 사용하지 않은 새 장치인 경우에만 이 기능을 사용하도록 권장됩니다. 이미 사용 중인 장치에 암호화를 적용하는 경우 전체 장치를 암호화하는 것이 좋습니다. 이러면 검색 가능한 정보를 포함한 삭제된 데이터를 비롯한 모든 데이터가 보호됩니다.
암호화가 시작되기 전에 Kaspersky Endpoint Security는 파일 시스템 섹터의 맵을 입수합니다. 암호화 제1 단계에는 암호화가 시작된 시점에 파일이 저장되어 있는 섹터가 포함됩니다. 암호화 제2 단계에는 암호화가 시작된 후 데이터가 쓰여진 섹터가 포함됩니다. 암호화가 완료되면 데이터가 들어 있는 모든 섹터가 암호화됩니다.
암호화가 완료되고 사용자가 파일을 삭제하면 파일 시스템 수준에서 삭제된 파일을 저장했던 섹터를 새 정보를 저장하는 데 사용할 수 있게 되지만 암호화된 상태는 유지됩니다. 따라서 컴퓨터에서 사용한 디스크 공간만 암호화 기능을 설정한 상태에서 정규 암호화가 시작되는 동안 새 장치에 새 파일을 쓰면 잠시 후 모든 섹터가 암호화됩니다.
파일 복호화에 필요한 데이터는 파일을 암호화한 컴퓨터를 제어하는 Kaspersky Security Center 관리 서버에서 제공합니다. 파일을 암호화한 컴퓨터가 다른 관리 서버의 제어를 받고 있으며, 암호화된 파일에 접근한 적이 없을 경우 다음과 같은 방법으로 이 파일에 대한 접근 권한을 부여받을 수 있습니다:
애플리케이션은 암호화 과정에서 서비스 파일을 생성합니다. 이들을 저장하려면 하드 드라이브에 조각화되지 않은 여유 공간이 2~3퍼센트 정도 있어야 합니다. 하드 드라이브에 디스크 공간이 부족할 경우 충분한 공간이 확보될 때까지 암호화가 시작되지 않습니다.
Kaspersky Endpoint Security와 Kaspersky Anti-Virus for UEFI의 암호화 기능은 호환되지 않습니다. Kaspersky Anti-Virus for UEFI가 설치된 컴퓨터의 하드 드라이브를 암호화하면 Kaspersky Anti-Virus for UEFI가 작동되지 않습니다.