Můžete vybrat technologii šifrování: Kaspersky Disk Encryption nebo BitLocker Drive Encryption (dále označována zkráceně jako „technologie BitLocker“).
Kaspersky Disk Encryption
Po zašifrování systémových pevných disků se musí uživatel při příštím spuštění počítače ověřit prostřednictvím ověřovacího agenta a až poté jsou zpřístupněna data na pevných discích a načten operační systém. Tato akce vyžaduje zadání hesla tokenu nebo čipové karty připojené k počítači nebo uživatelského jména a hesla účtu ověřovacího agenta, který byl vytvořen správcem místní sítě pomocí úlohy Správa účtů ověřovacího agenta. Tyto účty jsou založené na účtech systému Microsoft Windows, které uživatelé používají k přihlašování do operačního systému. Můžete také použít technologii SSO (Single Sign-On), která umožňuje automatické přihlášení k operačnímu systému pomocí uživatelského jména a hesla účtu ověřovacího agenta.
Ověření uživatele ověřovacím agentem lze provést dvěma způsoby:
Použití tokenu nebo čipové karty bude k dispozici, pouze pokud byly pevné disky počítače zašifrovány pomocí šifrovacího algoritmu AES256. Pokud byly pevné disky počítače zašifrovány pomocí šifrovacího algoritmu AES56, přiřazení souboru elektronického certifikátu k příkazu bude zamítnuto.
BitLocker Drive Encryption
BitLocker je šifrovací technologie zabudovaná do operačních systémů Windows. Aplikace Kaspersky Endpoint Security vám umožňuje řídit a spravovat technologii Bitlocker pomocí aplikace Kaspersky Security Center. BitLocker šifruje logické svazky. BitLocker nelze použít pro šifrování vyměnitelných jednotek. Podrobnosti o technologii BitLocker najdete v dokumentaci společnosti Microsoft.
BitLocker poskytuje zabezpečené úložiště přístupových klíčů pomocí modulu TPM (Trusted Platform Module). Trusted Platform Module (TPM) je mikročip vyvinutý pro poskytování základních funkcí souvisejících se zabezpečením (například k ukládání šifrovacích klíčů). Modul TPM je obvykle nainstalován na základní desce počítače a komunikuje se všemi ostatními součástmi systému prostřednictvím hardwarové sběrnice. Použití modulu TPM je nejbezpečnějším způsobem uložení přístupových klíčů nástroje BitLocker, protože modul poskytuje ověření integrity systému před spuštěním. Jednotky v počítači můžete šifrovat i bez modulu TPM. V tomto případě bude přístupový klíč zašifrován pomocí hesla. BitLocker používá následující metody ověřování:
Po zašifrování jednotky vytvoří nástroj BitLocker hlavní klíč. Aplikace Kaspersky Endpoint Security odešle hlavní klíč do aplikace Kaspersky Security Center, abyste mohli obnovit přístup na disk, například pokud uživatel zapomene heslo.
Pokud uživatel zašifruje disk pomocí nástroje BitLocker, Kaspersky Endpoint Security pošle informace o šifrování disku do aplikace Kaspersky Security Center. Kaspersky Endpoint Security nicméně do aplikace Kaspersky Security Center neposílá hlavní klíč, takže nebude možné obnovit přístup na disk pomocí aplikace Kaspersky Security Center. Aby nástroj BitLocker správně fungoval s aplikací Kaspersky Security Center, dešifrujte jednotku a znovu ji zašifrujte pomocí zásady. Jednotku můžete dešifrovat místně nebo pomocí zásady.
Po zašifrování systémového pevného disku musí uživatel před spuštěním operačního systému projít ověřením nástrojem BitLocker. Po ověření umožní nástroj BitLocker uživatelům přihlášení. BitLocker nepodporuje technologii jednotného přihlašování (SSO).
Pokud používáte zásady skupiny systému Windows, vypněte správu nástroje BitLocker v nastavení zásad. Nastavení zásad systému Windows může být v rozporu s nastavením zásad aplikace Kaspersky Endpoint Security. Při šifrování jednotky mohou nastat chyby.
Nastavení součásti Kaspersky Disk Encryption
Parametr |
Popis |
|---|---|
Režim šifrování |
Šifrovat všechny pevné disky. Je-li vybrána tato položka, aplikace zašifruje všechny pevné disky, když jsou použity zásady. Pokud je v počítači nainstalováno několik operačních systémů, budete moci po šifrování načíst pouze systém, ve kterém je nainstalována příslušná aplikace. Dešifrovat všechny pevné disky. Je-li vybrána tato položka, aplikace dešifruje všechny pevné disky, když jsou použity zásady. Ponechat bez změny. Je-li vybrána tato položka, aplikace ponechá disky v předchozím stavu, když jsou použity zásady. Pokud byl disk zašifrován, zůstane zašifrovaný. Pokud byl disk dešifrovaný, zůstane dešifrovaný. Tato položka je ve výchozím nastavení vybrána. |
Při šifrování automaticky vytvářet pro uživatele systému Windows účty ověřovacího agenta |
Je-li toto políčko zaškrtnuto, aplikace vytváří účty agenta ověřování na základě seznamu uživatelských účtů Windows v počítači. Ve výchozím nastavení aplikace Kaspersky Endpoint Security používá všechny místní a doménové účty, pomocí kterých se uživatel přihlásil k operačnímu systému za posledních 30 dní. |
Nastavení vytváření účtů ověřovacího agenta |
Všechny účty v počítači. Všechny účty v počítači, které byly kdykoli aktivní. Všechny účty domén v počítači. Všechny účty v počítači, které patří do nějaké domény a které byly kdykoli aktivní. Všechny místní účty v počítači. Všechny místní účty v počítači, které byly kdykoli aktivní. Účet služby s jednorázovým heslem. Účet služby je nezbytný pro získání přístupu k počítači, například když uživatel zapomene heslo. Účet služby můžete také použít jako rezervní účet. Musíte zadat název účtu (ve výchozím nastavení Místní správce. Kaspersky Endpoint Security vytvoří uživatelský účet ověřovacího agenta pro místního správce počítače. Správce počítače. Kaspersky Endpoint Security vytvoří uživatelský účet ověřovacího agenta pro správce počítače. Který účet má roli správce počítače, můžete zjistit ve vlastnostech počítače ve službě Active Directory. Ve výchozím nastavení není role správce počítače definována, to znamená, že neodpovídá žádnému účtu. Aktivní účet. Kaspersky Endpoint Security automaticky vytvoří účet ověřovacího agenta pro účet, který je aktivní v době šifrování disku. |
Vytvářet pro všechny uživatele tohoto počítače účty ověřovacího agenta automaticky při přihlášení |
Je-li toto políčko zaškrtnuto, aplikace před spuštěním ověřovacího agenta zkontroluje informace o uživatelských účtech Windows v počítači. Pokud aplikace Kaspersky Endpoint Security zjistí uživatelský účet systému Windows, který nemá účet ověřovacího agenta, aplikace vytvoří nový účet pro přístup k šifrovaným jednotkám. Nový účet ověřovacího agenta bude mít následující výchozí nastavení: pouze přihlašování chráněné heslem a změna hesla při prvním ověřování. Proto u počítačů s již zašifrovanými jednotkami nemusíte ručně přidávat účty agenta ověřování pomocí úlohy Správa účtů ověřovacího agenta. |
Uložit uživatelské jméno zadané v ověřovacím agentovi |
Pokud je toto políčko zaškrtnuto, aplikace uloží název účtu ověřovacího agenta. Název účtu bude nutné zadat při příštím pokusu o dokončení autorizace v ověřovacím agentovi pod stejným účtem. |
Zašifrovat pouze využité místo na disku (zkracuje dobu šifrování) |
Pomocí tohoto zaškrtávacího políčka lze povolit nebo zakázat funkci, která omezuje oblast šifrování pouze na využité sektory pevného disku. Díky tomuto omezení lze zkrátit dobu šifrování. Povolení nebo zakázání funkce Zašifrovat pouze využité místo na disku (zkracuje dobu šifrování) po spuštění šifrování toto nastavení nemění, dokud nejsou dešifrovány pevné disky. Před zahájením šifrování je třeba políčko zaškrtnout nebo zrušit jeho zaškrtnutí. Pokud je toto políčko zaškrtnuto, budou šifrovány pouze části pevného disku, na kterých jsou soubory. Aplikace Kaspersky Endpoint Security automaticky šifruje nová data při jejich přidání. Jestliže je zaškrtnutí tohoto políčka zrušeno, bude šifrováno celý pevný disk, včetně zbytkových fragmentů dříve odstraněných a upravených souborů. Tuto funkci doporučujeme používat u nových disků, jejichž data ještě nebyla upravena nebo odstraněna. Pokud použijete šifrování u pevného disku, který se již používá, doporučujeme šifrovat celý pevný disk. Zajistíte tím ochranu všech dat, a to i odstraněných dat, která se dají případně obnovit. Toto políčko není ve výchozím nastavení zaškrtnuto. |
Použít funkci Legacy USB Support (nedoporučuje se) |
Toto zaškrtávací políčko povoluje / zakazuje funkci Legacy USB Support. Legacy USB Support je funkce BIOS/UEFI, která vám umožní používat zařízení USB (například token zabezpečení) během fáze spouštění počítače před spuštěním operačního systému (režim BIOS). Funkce Legacy USB Support neovlivňuje podporu zařízení USB po spuštění operačního systému. Pokud je toto políčko zaškrtnuto, bude podpora zařízení USB při počátečním spouštění počítače povolena. Je-li funkce Legacy USB Support aktivována, ověřovací agent v režimu BIOS nepodporuje práci s tokeny přes USB. Tuto funkci doporučujeme používat pouze v případě, že dochází k problémům s kompatibilitou hardwaru, a pouze u počítačů, ve kterých k problémům dochází. |
Nastavení hesla |
Nastavení síly hesla účtu ověřovacího agenta. Při použití technologie SSO ignoruje ověřovací agent požadavky na sílu hesla uvedené v aplikaci Kaspersky Security Center. Požadavky na sílu hesla můžete nastavit v nastavení operačního systému. |
Použít technologii SSO (Single Sign-On) |
Technologie SSO umožňuje používat stejné přihlašovací údaje pro přístup k šifrovaným pevným diskům i k přihlášení k operačnímu systému. Pokud je toto políčko zaškrtnuto, musíte při přístupu k šifrovaným pevným diskům a následnému automatickému přihlášení k operačnímu systému zadat přihlašovací údaje k účtu. Jestliže je zaškrtnutí tohoto políčka zrušeno, je nutné při přístupu k šifrovaným pevným jednotkám a následnému přihlášení k operačnímu systému zadat zvlášť přihlašovací údaje pro přístup k šifrovaným pevným jednotkám i přihlašovací údaje k uživatelskému účtu operačního systému. |
Používat u externích poskytovatelů přihlašovacích údajů wrap |
Kaspersky Endpoint Security podporuje externího poskytovatele přihlašovacích údajů ADSelfService Plus. Při práci s externími poskytovateli přihlašovacích údajů zachytí ověřovací agent heslo ještě před načtením operačního systému. To znamená, že uživatel musí zadat heslo pouze jednou při přihlašování do systému Windows. Po přihlášení do systému Windows může uživatel využít možnosti externího poskytovatele přihlašovacích údajů například pro ověřování v podnikových službách. Externí poskytovatelé přihlašovacích údajů také umožňují uživatelům nezávisle resetovat vlastní heslo. V tomto případě aplikace Kaspersky Endpoint Security aktualizuje heslo pro ověřovacího agenta automaticky. Pokud používáte externího poskytovatele přihlašovacích údajů, který není podporován aplikací, můžete se setkat s určitými omezeními při provozu technologie jednotného přihlašování. |
Nápověda |
Ověření. Text nápovědy, který se objeví v okně Ověřovací agent při zadávání přihlašovacích údajů k účtu. Změnit heslo. Text nápovědy, který se objeví v okně Ověřovací agent při změně hesla pro účet tohoto agenta. Obnovit heslo. Text nápovědy, který se objeví v okně Ověřovací agent při obnovení hesla pro účet tohoto agenta. |
Nastavení součásti BitLocker Drive Encryption
Parametr |
Popis |
|---|---|
Režim šifrování |
Šifrovat všechny pevné disky. Je-li vybrána tato položka, aplikace zašifruje všechny pevné disky, když jsou použity zásady. Pokud je v počítači nainstalováno několik operačních systémů, budete moci po šifrování načíst pouze systém, ve kterém je nainstalována příslušná aplikace. Dešifrovat všechny pevné disky. Je-li vybrána tato položka, aplikace dešifruje všechny pevné disky, když jsou použity zásady. Ponechat bez změny. Je-li vybrána tato položka, aplikace ponechá disky v předchozím stavu, když jsou použity zásady. Pokud byl disk zašifrován, zůstane zašifrovaný. Pokud byl disk dešifrovaný, zůstane dešifrovaný. Tato položka je ve výchozím nastavení vybrána. |
Povolit použití ověřování BitLocker vyžadující vstup z klávesnice před spuštěním na tabletech |
Tímto zaškrtávacím políčkem lze povolit nebo zakázat použití ověřování vyžadujícího zadání dat v prostředí před spuštěním, i když platforma nemá možnost vstupu před spuštěním (například s dotykovými klávesnicemi na tabletech). V prostředí před spuštěním není k dispozici dotyková obrazovka tabletů. Aby bylo možné v tabletech dokončit ověřování pomocí technologie BitLocker, uživatel musí připojit například klávesnici USB. Je-li toto políčko zaškrtnuto, použití ověřování vyžadujícího vstup před spuštěním bude povoleno. Toto nastavení doporučujeme použít pouze pro zařízení, která mají alternativní nástroje pro zadání dat v prostředí před spuštěním, jako je například USB klávesnice kromě dotykové klávesnice. Není-li toto políčko zaškrtnuto, technologii BitLocker Drive Encryption nelze používat na tabletech. |
Použít hardwarové šifrování (Windows 8 a novější verze) |
Pokud je políčko zaškrtnuté, aplikace použije hardwarové šifrování. Tím se zvyšuje rychlost šifrování a bude využito méně výpočetních prostředků. |
Zašifrovat pouze využité místo na disku (Windows 8 a novější verze) |
Pomocí tohoto zaškrtávacího políčka lze povolit nebo zakázat funkci, která omezuje oblast šifrování pouze na využité sektory pevného disku. Díky tomuto omezení lze zkrátit dobu šifrování. Povolení nebo zakázání funkce Zašifrovat pouze využité místo na disku (zkracuje dobu šifrování) po spuštění šifrování toto nastavení nemění, dokud nejsou dešifrovány pevné disky. Před zahájením šifrování je třeba políčko zaškrtnout nebo zrušit jeho zaškrtnutí. Pokud je toto políčko zaškrtnuto, budou šifrovány pouze části pevného disku, na kterých jsou soubory. Aplikace Kaspersky Endpoint Security automaticky šifruje nová data při jejich přidání. Jestliže je zaškrtnutí tohoto políčka zrušeno, bude šifrováno celý pevný disk, včetně zbytkových fragmentů dříve odstraněných a upravených souborů. Tuto funkci doporučujeme používat u nových disků, jejichž data ještě nebyla upravena nebo odstraněna. Pokud použijete šifrování u pevného disku, který se již používá, doporučujeme šifrovat celý pevný disk. Zajistíte tím ochranu všech dat, a to i odstraněných dat, která se dají případně obnovit. Toto políčko není ve výchozím nastavení zaškrtnuto. |
Způsob ověření |
Pouze heslo (Windows 8 a novější verze) Je-li tato možnost vybrána, aplikace Kaspersky Endpoint Security vyzve uživatele k zadání hesla, když se uživatel pokusí o přístup k šifrovanému disku. Tuto možnost lze vybrat, když není čip TPM (Trusted Platform Module) použit. TPM (Trusted Platform Module) Je-li tato možnost vybrána, technologie BitLocker použije čip TPM (Trusted Platform Module). Trusted Platform Module (TPM) je mikročip vyvinutý pro poskytování základních funkcí souvisejících se zabezpečením (například k ukládání šifrovacích klíčů). Čip TPM je obvykle instalovaný na základní desce počítače a komunikuje se všemi ostatními součástmi systému prostřednictvím hardwarového rozhraní. U počítačů se systémem Windows 7 nebo Windows Server 2008 R2 je k dispozici pouze šifrování pomocí modulu TPM. Pokud modul TPM není nainstalován, šifrování nástroje BitLocker není možné. Použití hesla v těchto počítačích není podporováno. Zařízení vybavené čipem TPM (Trusted Platform Module) může vytvořit šifrovací klíče, které lze dešifrovat pouze pomocí tohoto zařízení. Čip TPM (Trusted Platform Module) šifruje šifrovací klíče pomocí vlastního kořenového klíče úložiště. Kořenový klíč úložiště je uložen v čipu TPM (Trusted Platform Module). Ten poskytuje další úroveň ochrany před pokusy o hacknutí šifrovacích klíčů. Tato akce je nastavena jako výchozí. Pro přístup k šifrovacímu klíči můžete nastavit další vrstvu ochranu a klíč zašifrovat heslem nebo kódem PIN:
|