È possibile selezionare una tecnologia di criptaggio: Criptaggio disco Kaspersky o Crittografia unità BitLocker (di seguito denominato semplicemente "BitLocker").
Criptaggio disco Kaspersky
Una volta criptati i dischi rigidi di sistema, al successivo avvio del computer l'utente deve eseguire l'autenticazione utilizzando l'Agente di Autenticazione prima di poter accedere ai dischi rigidi e caricare il sistema operativo. Questo richiede l'immissione della password del token o della smart card connessa al computer oppure il nome utente e la password dell'account per l'Agente di Autenticazione creato dall'amministratore della rete LAN tramite l'attività Gestisci account dell'Agente di Autenticazione. Questi account sono basati sugli account di Microsoft Windows con cui gli utenti eseguono l'accesso al sistema operativo. È inoltre possibile utilizzare la tecnologia SSO (Single Sign-On), che consente di accedere automaticamente al sistema operativo utilizzando il nome utente e la password dell'account dell'Agente di Autenticazione.
L'autenticazione dell'utente nell'Agente di Autenticazione può essere eseguita in due modi:
L'utilizzo di un token o di una smart card è disponibile solo se i dischi rigidi del computer sono stati criptati utilizzando l'algoritmo di criptaggio AES256. Se i dischi rigidi del computer sono stati criptati utilizzando l'algoritmo di criptaggio AES56, l'aggiunta del file del certificato elettronico al comando verrà negata.
Crittografia unità BitLocker
BitLocker è una tecnologia di criptaggio integrata nei sistemi operativi Windows. Kaspersky Endpoint Security consente di controllare e gestire Bitlocker utilizzando Kaspersky Security Center. BitLocker cripta i volumi logici. BitLocker non può essere utilizzato per il criptaggio delle unità rimovibili. Per informazioni dettagliate su BitLocker, consultare la documentazione di Microsoft.
BitLocker consente la memorizzazione sicura delle chiavi di accesso utilizzando un Trusted Platform Module. Per Trusted Platform Module (TPM) si intende un microchip sviluppato per garantire funzioni di base relative alla sicurezza (ad esempio per archiviare le chiavi di criptaggio). Un Trusted Platform Module viene solitamente installato nella scheda madre del computer e interagisce con tutti gli altri componenti di sistema tramite il bus hardware. L'utilizzo di TPM è il modo più sicuro per memorizzare le chiavi di accesso BitLocker, dal momento che consente la verifica dell'integrità di sistema prima dell'avvio. È comunque possibile criptare le unità in un computer senza un TPM. In questo caso, la chiave di accesso verrà criptata con una password. BitLocker utilizza i seguenti metodi di autenticazione:
Dopo il criptaggio di un'unità, BitLocker crea una chiave master. Kaspersky Endpoint Security invia la chiave master a Kaspersky Security Center in modo da poter ripristinare l'accesso al disco, se ad esempio un utente ha dimenticato la password.
Se un utente cripta un disco utilizzando BitLocker, Kaspersky Endpoint Security invierà informazioni sul criptaggio del disco a Kaspersky Security Center. Tuttavia, Kaspersky Endpoint Security non invierà la chiave master a Kaspersky Security Center, pertanto sarà impossibile ripristinare l'accesso al disco utilizzando Kaspersky Security Center. Per il corretto funzionamento di BitLocker con Kaspersky Security Center, decriptare l'unità e criptarla nuovamente utilizzando un criterio. È possibile decriptare un'unità in locale o utilizzando un criterio.
Dopo il criptaggio del disco rigido di sistema, l'utente deve eseguire l'autenticazione BitLocker per avviare il sistema operativo. Dopo la procedura di autenticazione, BitLocker consentirà agli utenti di accedere. BitLocker non supporta la tecnologia SSO (Single Sign-On).
Se si utilizzano criteri di gruppo Windows, disattivare la gestione BitLocker nelle impostazioni dei criteri. Le impostazioni dei criteri Windows potrebbero entrare in conflitto con le impostazioni dei criteri Kaspersky Endpoint Security. Durante il criptaggio di un'unità, potrebbero verificarsi errori.
Impostazioni del componente Criptaggio disco Kaspersky
Parametro |
Descrizione |
|---|---|
Modalità di criptaggio |
Cripta tutti i dischi rigidi. Se questo elemento è selezionato, l'applicazione cripta tutti i dischi rigidi quando viene applicato il criterio. Se nel computer sono installati diversi sistemi operativi, dopo il criptaggio sarà possibile caricare solo il sistema operativo in cui è installata l'applicazione. Decripta tutti i dischi rigidi. Se questo elemento è selezionato, l'applicazione decripta tutti i dischi rigidi criptati precedentemente quando viene applicato il criterio. Mantieni invariato. Se questo elemento è selezionato, l'applicazione mantiene le unità nello stato precedente quando viene applicato il criterio. Se l'unità era criptata, rimane criptata. Se l'unità era decriptata, rimane decriptata. Questo elemento è selezionato per impostazione predefinita. |
Durante il criptaggio, crea automaticamente gli account dell'Agente di Autenticazione per gli utenti Windows |
Se questa casella di controllo è selezionata, l'applicazione crea gli account dell'Agente di Autenticazione in base all'elenco degli account utente di Windows nel computer. Per impostazione predefinita, Kaspersky Endpoint Security utilizza tutti gli account locali e di dominio con i quali l'utente ha effettuato l'accesso al sistema operativo negli ultimi 30 giorni. |
Impostazioni di creazione dell'account per l'Agente di Autenticazione |
Tutti gli account nel computer. Tutti gli account nel computer che sono stati attivi in qualsiasi momento. Tutti gli account di dominio nel computer. Tutti gli account nel computer che appartengono a qualche dominio e che sono stati attivi in qualsiasi momento. Tutti gli account locali nel computer. Tutti gli account locali nel computer che sono stati attivi in qualsiasi momento. Account di servizio con una password monouso. L'account di servizio è necessario per accedere al computer, ad esempio quando l'utente dimentica la password. È inoltre possibile utilizzare l'account di servizio come account di riserva. È necessario inserire il nome dell'account (per impostazione predefinita, Amministratore locale. Kaspersky Endpoint Security crea un account utente dell'Agente di Autenticazione per l'amministratore locale del computer. Responsabile computer. Kaspersky Endpoint Security crea un account utente dell'Agente di Autenticazione per l'account del responsabile del computer. È possibile vedere quale account ha il ruolo di responsabile del computer nelle proprietà del computer in Active Directory. Per impostazione predefinita, il ruolo di responsabile del computer non è definito, ovvero non corrisponde ad alcun account. Account attivo. Kaspersky Endpoint Security crea automaticamente un account dell'Agente di Autenticazione per l'account attivo al momento del criptaggio del disco. |
Crea automaticamente gli account dell'Agente di Autenticazione per tutti gli utenti di questo computer al momento dell'accesso |
Se questa casella di controllo è selezionata, l'applicazione controlla le informazioni sugli account utente di Windows nel computer prima di avviare l'Agente di Autenticazione. Se Kaspersky Endpoint Security rileva un account utente Windows che non dispone di un account dell'Agente di Autenticazione, l'applicazione creerà un nuovo account per accedere alle unità criptate. Il nuovo account dell'Agente di Autenticazione avrà le seguenti impostazioni predefinite: solo accesso protetto da password e modifica della password alla prima autenticazione. Pertanto, non è necessario aggiungere manualmente gli account dell'Agente di Autenticazione utilizzando l'attività Gestisci account dell'Agente di Autenticazione per i computer con unità già criptate. |
Salva il nome utente immesso nell'Agente di Autenticazione |
Se la casella di controllo è selezionata, l'applicazione salva il nome dell'account Agente di Autenticazione. Non verrà richiesto di immettere il nome dell'account durante il successivo tentativo di eseguire l'autenticazione nell'Agente di Autenticazione con lo stesso account. |
Cripta solo lo spazio su disco utilizzato (riduce i tempi di criptaggio) |
Questa casella di controllo consente di abilitare o disabilitare l'opzione che limita l'area di criptaggio ai soli settori occupati del disco rigido. Questo limite consente di ridurre il tempo di criptaggio. L'abilitazione o la disabilitazione della funzionalità Cripta solo lo spazio su disco utilizzato (riduce i tempi di criptaggio) dopo l'avvio del criptaggio non comporta la modifica di questa impostazione finché i dischi rigidi non vengono decriptati. È necessario selezionare o deselezionare la casella di controllo prima di avviare il criptaggio. Se la casella di controllo è selezionata, vengono criptate solo le parti del disco rigido che sono occupate da file. Kaspersky Endpoint Security cripta automaticamente i nuovi dati man mano che vengono aggiunti. Se la casella di controllo è deselezionata, viene criptato l'intero disco rigido, inclusi i frammenti residui dei file precedentemente eliminati e modificati. Questa opzione è consigliata per i nuovi dischi rigidi in cui non sono stati modificati o eliminati dati. Se si applica il criptaggio a un disco rigido già in uso, è consigliabile criptare l'intero disco rigido. Questo garantisce la protezione di tutti i dati, anche dei dati eliminati potenzialmente ripristinabili. Questa casella di controllo è deselezionata per impostazione predefinita. |
Usa Legacy USB Support (opzione non consigliata) |
Questa casella di controllo consente di abilitare o disabilitare la funzione Legacy USB Support. Legacy USB Support è una funzione BIOS/UEFI che consente di utilizzare i dispositivi USB (ad esempio un token di sicurezza) durante la fase di avvio del computer prima dell'avvio del sistema operativo (modalità BIOS). Legacy USB Support non influisce sul supporto dei dispositivi USB dopo l'avvio del sistema operativo. Se la casella di controllo è selezionata, il supporto dei dispositivi USB durante l'avvio iniziale del computer sarà abilitato. Quando la funzione Legacy USB Support è abilitata, l'Agente di Autenticazione in modalità BIOS non supporta l'utilizzo dei token tramite USB. È consigliabile utilizzare questa opzione solo se si verifica un problema di compatibilità hardware e solo per i computer in cui si è verificato il problema. |
Impostazioni password |
Impostazioni di sicurezza della password dell'account dell'Agente di Autenticazione Quando si utilizza la tecnologia Single Sign-On, l'Agente di Autenticazione ignora i requisiti di sicurezza della password specificati in Kaspersky Security Center. È possibile impostare i requisiti di sicurezza della password nelle impostazioni del sistema operativo. |
Utilizza la tecnologia SSO (Single Sign-On) |
La tecnologia SSO rende possibile l'utilizzo delle stesse credenziali per accedere ai dischi rigidi criptati e al sistema operativo. Se la casella di controllo è selezionata, è necessario immettere le credenziali dell'account per accedere ai dischi rigidi criptati e quindi accedere automaticamente al sistema operativo. Se la casella di controllo è deselezionata, per accedere ai dischi rigidi criptati e quindi accedere al sistema operativo è necessario immettere separatamente le credenziali per l'acceso ai dischi rigidi criptati e le credenziali dell'account utente del sistema operativo. |
Esegui il wrapping dei fornitori di credenziali di terzi |
Kaspersky Endpoint Security supporta il provider di credenziali di terzi ADSelfService Plus. Quando si utilizzano provider di credenziali di terzi, Agente di autenticazione intercetta la password prima del caricamento del sistema operativo. Ciò significa che un utente deve immettere una password solo una volta quando accede a Windows. Dopo aver effettuato l'accesso a Windows, l'utente può utilizzare le funzionalità di un provider di credenziali di terzi, ad esempio per l'autenticazione nei servizi aziendali. I provider di credenziali di terzi consentono inoltre agli utenti di reimpostare in modo indipendente la propria password. In questo caso, Kaspersky Endpoint Security aggiorna automaticamente la password per Agente di autenticazione. Se si utilizza un provider di credenziali di terzi non supportato dall'applicazione, è possibile che si verifichino alcune limitazioni nel funzionamento della tecnologia Single Sign-On. |
Guida |
Autenticazione. Testo della guida visualizzato nella finestra dell'Agente di Autenticazione quando si inseriscono le credenziali dell'account. Cambia password. Testo della guida visualizzato nella finestra dell'Agente di Autenticazione quando si modifica la password per l'account dell'Agente di Autenticazione. Ripristina password. Testo della guida visualizzato nella finestra dell'Agente di Autenticazione quando si ripristina la password per l'account dell'Agente di Autenticazione. |
Impostazioni del componente Crittografia unità BitLocker
Parametro |
Descrizione |
|---|---|
Modalità di criptaggio |
Cripta tutti i dischi rigidi. Se questo elemento è selezionato, l'applicazione cripta tutti i dischi rigidi quando viene applicato il criterio. Se nel computer sono installati diversi sistemi operativi, dopo il criptaggio sarà possibile caricare solo il sistema operativo in cui è installata l'applicazione. Decripta tutti i dischi rigidi. Se questo elemento è selezionato, l'applicazione decripta tutti i dischi rigidi criptati precedentemente quando viene applicato il criterio. Mantieni invariato. Se questo elemento è selezionato, l'applicazione mantiene le unità nello stato precedente quando viene applicato il criterio. Se l'unità era criptata, rimane criptata. Se l'unità era decriptata, rimane decriptata. Questo elemento è selezionato per impostazione predefinita. |
Consenti l'utilizzo dell'autenticazione BitLocker che richiede l'input da tastiera prima dell'avvio nei tablet |
Questa casella di controllo consente di abilitare o disabilitare l'utilizzo dell'autenticazione tramite input di dati in un ambiente di preavvio, anche se la piattaforma non dispone di funzionalità di input in fase di preavvio (ad esempio, con le tastiere touchscreen nei tablet). Il touchscreen dei computer tablet non è disponibile nell'ambiente di preavvio. Per completare l'autenticazione BitLocker nei computer tablet, l'utente deve connettere ad esempio una tastiera USB. Se la casella di controllo è selezionata, l'utilizzo dell'autenticazione tramite input di preavvio è consentito. È consigliabile utilizzare questa impostazione solo per i dispositivi dotati di strumenti alternativi per l'input dei dati, ad esempio una tastiera USB in aggiunta alle tastiere touchscreen. Se la casella di controllo è deselezionata, Crittografia unità BitLocker non è disponibile nei tablet. |
Usa criptaggio hardware (Windows 8 e versioni successive) |
Se la casella di controllo è selezionata, l'applicazione applica il criptaggio hardware. Questo consente di aumentare la velocità del criptaggio e di utilizzare meno risorse del computer. |
Cripta solo lo spazio su disco utilizzato (Windows 8 e versioni successive) |
Questa casella di controllo consente di abilitare o disabilitare l'opzione che limita l'area di criptaggio ai soli settori occupati del disco rigido. Questo limite consente di ridurre il tempo di criptaggio. L'abilitazione o la disabilitazione della funzionalità Cripta solo lo spazio su disco utilizzato (riduce i tempi di criptaggio) dopo l'avvio del criptaggio non comporta la modifica di questa impostazione finché i dischi rigidi non vengono decriptati. È necessario selezionare o deselezionare la casella di controllo prima di avviare il criptaggio. Se la casella di controllo è selezionata, vengono criptate solo le parti del disco rigido che sono occupate da file. Kaspersky Endpoint Security cripta automaticamente i nuovi dati man mano che vengono aggiunti. Se la casella di controllo è deselezionata, viene criptato l'intero disco rigido, inclusi i frammenti residui dei file precedentemente eliminati e modificati. Questa opzione è consigliata per i nuovi dischi rigidi in cui non sono stati modificati o eliminati dati. Se si applica il criptaggio a un disco rigido già in uso, è consigliabile criptare l'intero disco rigido. Questo garantisce la protezione di tutti i dati, anche dei dati eliminati potenzialmente ripristinabili. Questa casella di controllo è deselezionata per impostazione predefinita. |
Metodo di autenticazione |
Solo password (Windows 8 e versioni successive) Se questa opzione è selezionata, Kaspersky Endpoint Security richiede una password quando si tenta di accedere a un'unità crittografata. Questa opzione può essere selezionata quando non viene utilizzato un Trusted Platform Module (TPM). Trusted platform module (TPM) Se questa opzione è selezionata, BitLocker utilizza Trusted Platform Module (TPM). Per Trusted Platform Module (TPM) si intende un microchip sviluppato per garantire funzioni di base relative alla sicurezza (ad esempio per archiviare le chiavi di criptaggio). Un Trusted Platform Module in genere è installato nella scheda madre del computer e interagisce con tutti gli altri componenti del sistema tramite il bus hardware. Per i computer che eseguono Windows 7 o Windows Server 2008 R2, è disponibile solo il criptaggio mediante un modulo TPM. Se non è installato un modulo TPM, non è possibile eseguire il criptaggio BitLocker. L'utilizzo di una password in questi computer non è supportato. Un dispositivo dotato di un Trusted Platform Module può creare chiavi di criptaggio che possono essere decriptate solo con il dispositivo. Un Trusted Platform Module cripta le chiavi di criptaggio con la relativa chiave di archiviazione radice. La chiave di archiviazione radice è memorizzata nel Trusted Platform Module. Questo fornisce un livello di protezione aggiuntivo contro i tentativi di violare le chiavi di criptaggio. Questa azione è selezionata per impostazione predefinita. È possibile impostare un ulteriore livello di protezione per l'accesso alla chiave di criptaggio, nonché criptare la chiave con una password o un PIN:
|