U kunt een encryptietechnologie selecteren: Kaspersky Disk Encryption of BitLocker-stationsversleuteling (hierna ook gewoon “BitLocker” genoemd).
Kaspersky Disk Encryption
Na de encryptie van de harde schijven van het systeem moet de gebruiker bij de volgende opstart van de computer diens identiteit verifiëren met behulp van de Authenticatie-agent. Pas daarna wordt toegang tot de harde schijven verleend en wordt het besturingssysteem geladen. Hiertoe moet het wachtwoord van de token of de smartcard aangesloten op de computer worden ingevoerd of moeten de gebruikersnaam en het wachtwoord van de Authenticatie-agent-account worden ingevoerd. Dit account is door de lokale netwerkbeheerder aangemaakt met de taak Accounts voor Authenticatie-agent beheren. Dit account is gebaseerd op een Microsoft Windows-account waarmee een gebruiker zich bij het besturingssysteem aanmeldt. U kunt ook Eenmalige aanmelding (SSO)-technologie gebruiken, waarmee u zich automatisch bij het besturingssysteem kunt aanmelden met de gebruikersnaam en het wachtwoord van de account voor authenticatie-agent.
De gebruikersauthenticatie in Authenticatie-agent kan op twee manieren worden uitgevoerd:
Het gebruik van een token of een smartcard is alleen beschikbaar als de harde schijven van de computer zijn geëncrypt met het AES256-encryptiealgoritme. Als de harde schijven van de computer zijn geëncrypt met het AES56-encryptiealgoritme, wordt het toevoegen van het elektronisch-certificaatbestand aan de opdracht geweigerd.
BitLocker-stationsversleuteling
BitLocker is een encryptietechnologie die is ingebouwd in Windows-besturingssystemen. Met Kaspersky Endpoint Security kunt u Bitlocker beheren. BitLocker zorgt voor de encryptie van logische volumes. BitLocker kan niet worden gebruikt voor de encryptie van verwisselbare schijven. Voor meer informatie over BitLocker raadpleegt u de Microsoft-documentatie.
BitLocker biedt veilige opslag van toegangssleutels met behulp van een vertrouwde platformmodule. Een Trusted Platform Module (TPM) is een men microchip die ontwikkeld is om basisfuncties voor beveiliging te leveren (bijvoorbeeld de opslag van encryptiesleutels). Een Trusted Platform Module wordt meestal op het moederbord van de computer geïnstalleerd en werkt via de hardwarebus samen met alle andere systeemonderdelen. Het gebruik van TPM is de veiligste manier om BitLocker-toegangssleutels op te slaan, aangezien TPM pre-opstartverificatie van de systeemintegriteit biedt. U kunt nog steeds schijven encrypten op een computer zonder een TPM. In dat geval wordt de toegangssleutel geëncrypt met een wachtwoord. BitLocker gebruikt de volgende authenticatiemethoden:
Na het encrypten van een schijf, maakt BitLocker een hoofdsleutel aan. Kaspersky Endpoint Security stuurt de hoofdsleutel naar Kaspersky Security Center zodat u de toegang tot de schijf kunt herstellen, bijvoorbeeld als een gebruiker het wachtwoord is vergeten.
Als een gebruiker een schijf van encryptie voorziet met BitLocker, stuurt Kaspersky Endpoint Security informatie over schijfencryptie naar Kaspersky Security Center. Kaspersky Endpoint Security stuurt de hoofdsleutel echter niet naar Kaspersky Security Center. Hierdoor is het niet mogelijk om de toegang tot de schijf te herstellen met Kaspersky Security Center. Om te zorgen dat BitLocker correct werkt met Kaspersky Security Center, moet u de schijf decrypten en de schijf opnieuw encrypten met een beleid. U kunt een schijf lokaal decrypten of een beleid gebruiken.
Na het encrypten van de harde schijf van het systeem, moet de gebruiker BitLocker-verificatie doorlopen om het besturingssysteem op te starten. Na de authenticatieprocedure kunnen gebruikers met BitLocker inloggen. BitLocker ondersteunt geen technologie voor eenmalige aanmelding (SSO).
Als u Windows-groepsbeleid gebruikt, schakelt u BitLocker-beheer uit in de beleidsinstellingen. De beleidsinstellingen van Windows kunnen in strijd zijn met de beleidsinstellingen van Kaspersky Endpoint Security. Bij het encrypten van een schijf kunnen er fouten optreden.
Onderdeelinstellingen van Kaspersky Disk Encryption
Parameter |
Beschrijving |
|---|---|
Encryptiemodus |
Alle harde schijven encrypten. Als deze optie is geselecteerd wanneer het beleid is toegepast, worden alle harde schijven geëncrypt door het programma. Als verschillende besturingssystemen zijn geïnstalleerd op de computer, kunt u na de encryptie alleen het besturingssysteem laden dat u hebt gebruikt om het programma te installeren. Alle harde schijven decrypten. Als deze optie is geselecteerd wanneer het beleid is toegepast, worden alle eerder geëncrypte harde schijven gedecrypt door het programma. Ongewijzigd laten. Als deze optie is geselecteerd wanneer het beleid is toegepast, worden schijven in hun eerdere staat gelaten door het programma. Als de schijf geëncrypt was, blijft deze geëncrypt. Als de schijf gedecrypt was, blijft deze gedecrypt. Deze optie is standaard geselecteerd. |
Accounts in Authenticatie-agent automatisch voor Windows-gebruikers aanmaken tijdens encryptie |
Als dit selectievakje is ingeschakeld, maakt het programma Authenticatie-agent-accounts op basis van de lijst met Windows-gebruikersaccounts op de computer. Kaspersky Endpoint Security gebruikt standaard alle lokale en domeinaccounts waarmee de gebruiker zich de afgelopen 30 dagen heeft aangemeld bij het besturingssysteem. |
Instellingen voor aanmaak van account voor Authenticatie-agent |
Alle accounts op de computer. All accounts op de computer die op enig moment actief zijn geweest. Alle domeinaccounts op de computer. Alle accounts op de computer die behoren tot een bepaald domein en die op enig moment actief zijn geweest. Alle lokale accounts op de computer. Alle lokale accounts op de computer die op enig moment actief zijn geweest. Service-account met een eenmalig wachtwoord. De service-account is nodig om toegang te krijgen tot de computer, bijvoorbeeld wanneer de gebruiker het wachtwoord vergeet. U kunt de service-account ook gebruiken als reserve-account. U moet de naam invoeren van de service-account (standaard, Lokale beheerder. Kaspersky Endpoint Security maakt een authenticatie-agent-gebruikersaccount voor de lokale beheerder van de computer. Computerbeheerder. Kaspersky Endpoint Security maakt een authenticatie-agent-gebruikersaccount aan voor de account van de computerbeheerder. In Active Directory kunt u zien welke account de rol van computerbeheerder heeft in de eigenschappen van de computer. Standaard is de rol van computerbeheerder niet gedefinieerd, dat wil zeggen dat deze niet overeenkomt met een account. Actief account. Kaspersky Endpoint Security maakt automatisch een authenticatie-agent-account aan voor de account die actief is op het moment van schijfversleuteling. |
Accounts in Authenticatie-agent automatisch aanmaken voor alle gebruikers van deze computer bij aanmelding |
Als dit selectievakje is ingeschakeld, zoekt het programma informatie over Windows-gebruikersaccounts op de computer voordat Authenticatie-agent wordt gestart. Als Kaspersky Endpoint Security een Windows-gebruikersaccount detecteert die geen Authenticatie-agent-account heeft, maakt het programma een nieuw account aan voor toegang tot geëncrypte schijven. Het nieuwe Authenticatie-agent-account heeft de volgende standaardinstellingen: alleen met wachtwoord beveiligde aanmelding en wachtwoordwijziging bij eerste authenticatie. Daarom hoeft u niet handmatig Authenticatie-agent-accounts toe te voegen met de taak Accounts voor Authenticatie-agent beheren voor computers met reeds versleutelde stations. |
Ingevoerde gebruikersnaam in Authenticatie-agent opslaan |
Als het selectievakje is ingeschakeld, slaat het programma de naam van het account in Authenticatie-agent op. U hoeft de accountnaam niet in te voeren de volgende keer dat u in Authenticatie-agent de Authenticatie met hetzelfde account probeert te voltooien. |
Alleen gebruikte schijfruimte encrypten (snellere encryptie) |
Dit selectievakje schakelt de optie in of uit waarmee u het encryptiegebied beperkt tot de gebruikte sectoren van de harde schijf. Via deze beperking kunt u de encryptie verkorten. De in- of uitschakeling van de functie Alleen gebruikte schijfruimte encrypten (snellere encryptie) na het starten van de encryptie wijzigt deze instelling niet tenzij de harde schijven zijn gedecrypt. U moet het selectievakje inschakelen of uitschakelen alvorens de encryptie te starten. Als het selectievakje is ingeschakeld, worden alleen delen van de harde schijf die door bestanden worden ingenomen geëncrypt. Kaspersky Endpoint Security encrypt automatisch nieuwe gegevens wanneer die worden toegevoegd. Als het selectievakje is uitgeschakeld, wordt de gehele harde schijf geëncrypt, inclusief achtergebleven fragmenten van eerder verwijderde en gewijzigde bestanden. Deze optie wordt aanbevolen voor nieuwe harde schijven waarvan de gegevens niet zijn gewijzigd of verwijderd. Als u een encryptie toepast op een harde schijf die al wordt gebruikt, wordt u aanbevolen de gehele harde schijf te encrypten. Op deze manier zijn alle gegevens beschermd, zelfs verwijderde gegevens die mogelijk kunnen worden hersteld. Dit selectievakje is standaard uitgeschakeld. |
Ondersteuning voor verouderde USB-apparaten gebruiken (niet aanbevolen) |
Dit selectievakje schakelt de functie Ondersteuning voor verouderde USB-apparaten in of uit. Ondersteuning voor verouderde USB-apparaten is een BIOS/UEFI-functie waarmee u USB-apparaten (zoals een beveiligingstoken) kunt gebruiken tijdens de opstart van de computer voordat het besturingssysteem wordt gestart (BIOS-modus). Ondersteuning voor verouderde USB-apparaten is niet van invloed op de ondersteuning voor USB-apparaten nadat het besturingssysteem is gestart. Als het selectievakje is ingeschakeld, wordt de ondersteuning voor USB-apparaten tijdens de initiële opstart van de computer ingeschakeld. Wanneer de functie Ondersteuning voor verouderde USB-apparaten is ingeschakeld, biedt de Authenticatie-agent in de BIOS-modus geen ondersteuning voor het werken met tokens via USB. U wordt aanbevolen deze optie alleen te gebruiken als er een probleem met de compatibiliteit van de hardware is en voor computers waarop het probleem is opgetreden. |
Wachtwoordinstellingen |
Instellingen voor wachtwoordsterkte voor Authenticatie-agent-accounts. Bij gebruik van Single Sign-on-technologie negeert de Authenticatie-agent de vereisten voor wachtwoordsterkte gespecificeerd in Kaspersky Security Center. U kunt de vereisten voor wachtwoordsterkte instellen in de instellingen van het besturingssysteem. |
Eenmalige aanmelding (SSO) gebruiken |
Met SSO-technologie kunt u dezelfde accountgegevens gebruiken om toegang tot geëncrypte harde schijven te krijgen en u bij het besturingssysteem aan te melden. Als het selectievakje is ingeschakeld, moet u de accountgegevens invoeren om toegang te krijgen tot de geëncrypte harde schijven en om vervolgens automatisch aangemeld te worden bij het besturingssysteem. Als het selectievakje is uitgeschakeld, moet u voor toegang tot de geëncrypte harde schijven en de daaropvolgende aanmelding bij het besturingssysteem eerst de gebruikersgegevens voor toegang tot de geëncrypte harde schijven invoeren en vervolgens de gegevens van het gebruikersaccount voor het besturingssysteem. |
Wrap gebruikersgegevens van andere leveranciers |
Kaspersky Endpoint Security ondersteunt de externe referentieprovider ADSelfService Plus. Bij het werken met externe referentieproviders onderschept de authenticatie-agent het wachtwoord voordat het besturingssysteem wordt geladen. Dit betekent dat een gebruiker slechts één keer een wachtwoord hoeft in te voeren wanneer hij zich aanmeldt bij Windows. Na aanmelding bij Windows, kan de gebruiker gebruikmaken van een externe referentieprovider voor authenticatie in bijvoorbeeld bedrijfsservices. Externe referentieproviders stellen gebruikers ook in staat om onafhankelijk hun eigen wachtwoord opnieuw in te stellen. In dit geval werkt Kaspersky Endpoint Security het wachtwoord voor Authenticatie-agent automatisch bij. Als u een externe referentieprovider gebruikt die niet door het programma wordt ondersteund, kunt u enkele beperkingen tegenkomen bij de werking van Single Sign-On-technologie. |
Help |
Authenticatie. Helptekst die wordt weergegeven in het venster Authenticatie-agent bij het invoeren van aanmeldingsgegevens voor een account. Wachtwoord wijzigen. Helptekst die wordt weergegeven in het venster Authenticatie-agent wanneer het wachtwoord voor het Authenticatie-agent-account wordt gewijzigd. Wachtwoord herstellen. Helptekst die wordt weergegeven in het venster Authenticatie-agent wanneer het wachtwoord voor het Authenticatie-agent-account wordt hersteld. |
Instellingen component BitLocker-stationsversleuteling
Parameter |
Beschrijving |
|---|---|
Encryptiemodus |
Alle harde schijven encrypten. Als deze optie is geselecteerd wanneer het beleid is toegepast, worden alle harde schijven geëncrypt door het programma. Als verschillende besturingssystemen zijn geïnstalleerd op de computer, kunt u na de encryptie alleen het besturingssysteem laden dat u hebt gebruikt om het programma te installeren. Alle harde schijven decrypten. Als deze optie is geselecteerd wanneer het beleid is toegepast, worden alle eerder geëncrypte harde schijven gedecrypt door het programma. Ongewijzigd laten. Als deze optie is geselecteerd wanneer het beleid is toegepast, worden schijven in hun eerdere staat gelaten door het programma. Als de schijf geëncrypt was, blijft deze geëncrypt. Als de schijf gedecrypt was, blijft deze gedecrypt. Deze optie is standaard geselecteerd. |
Gebruik van BitLocker-authenticatie inschakelen die preboot-toetsenbordinvoer op tablets vereist |
Dit selectievakje schakelt het gebruik van een authenticatie met gegevensinvoer vóór de opstart in of uit, zelfs als het platform niet geschikt is voor invoer tijdens de opstart (bijvoorbeeld met toetsenborden op aanraakschermen van tablets). Het touchscreen van tabletcomputers is niet beschikbaar in de preboot-omgeving. Om de BitLocker-authenticatie op tabletcomputers te voltooien, moet de gebruiker bijvoorbeeld een USB-toetsenbord aansluiten. Als het selectievakje is ingeschakeld, is het gebruik van een authenticatie met invoer vóór de opstart toegestaan. U wordt aanbevolen deze instelling alleen te gebruiken voor apparaten die beschikken over alternatieve middelen voor gegevensinvoer vóór de opstart, zoals een USB-toetsenbord naast schermtoetsenborden. Als het selectievakje is uitgeschakeld, is BitLocker-stationsversleuteling niet mogelijk op tablets. |
Hardware-encryptie gebruiken (Windows 8 en nieuwer) |
Als het selectievakje is ingeschakeld, past het programma een hardware-encryptie toe. Hiermee kunt u sneller encrypten en gebruikt u minder computerbronnen. |
Alleen gebruikte schijfruimte encrypten (Windows 8 en nieuwer) |
Dit selectievakje schakelt de optie in of uit waarmee u het encryptiegebied beperkt tot de gebruikte sectoren van de harde schijf. Via deze beperking kunt u de encryptie verkorten. De in- of uitschakeling van de functie Alleen gebruikte schijfruimte encrypten (snellere encryptie) na het starten van de encryptie wijzigt deze instelling niet tenzij de harde schijven zijn gedecrypt. U moet het selectievakje inschakelen of uitschakelen alvorens de encryptie te starten. Als het selectievakje is ingeschakeld, worden alleen delen van de harde schijf die door bestanden worden ingenomen geëncrypt. Kaspersky Endpoint Security encrypt automatisch nieuwe gegevens wanneer die worden toegevoegd. Als het selectievakje is uitgeschakeld, wordt de gehele harde schijf geëncrypt, inclusief achtergebleven fragmenten van eerder verwijderde en gewijzigde bestanden. Deze optie wordt aanbevolen voor nieuwe harde schijven waarvan de gegevens niet zijn gewijzigd of verwijderd. Als u een encryptie toepast op een harde schijf die al wordt gebruikt, wordt u aanbevolen de gehele harde schijf te encrypten. Op deze manier zijn alle gegevens beschermd, zelfs verwijderde gegevens die mogelijk kunnen worden hersteld. Dit selectievakje is standaard uitgeschakeld. |
Authenticatiemethode |
Alleen wachtwoord (Windows 8 en nieuwer) Als deze optie is geselecteerd, wordt de gebruiker door Kaspersky Endpoint Security gevraagd om een wachtwoord in te voeren als die toegang tot een geëncrypte schijf probeert te krijgen. Deze optie kan worden geselecteerd als geen Trusted Platform Module (TPM) wordt gebruikt. Trusted Platform Module (TPM) Als deze optie is geselecteerd, gebruikt BitLocker een Trusted Platform Module (TPM). Een Trusted Platform Module (TPM) is een men microchip die ontwikkeld is om basisfuncties voor beveiliging te leveren (bijvoorbeeld de opslag van encryptiesleutels). Een Trusted Platform Module wordt doorgaans geïnstalleerd op de systeemkaart van de computer en communiceert met alle andere systeemcomponenten via de hardwarebus. Voor computers met Windows 7 of Windows Server 2008 R2 is alleen encryptie met een TPM-module beschikbaar. Als geen TPM-module is geïnstalleerd, is BitLocker-encryptie niet mogelijk. Het gebruik van een wachtwoord op deze computers wordt niet ondersteund. Een apparaat met een Trusted Platform Module kan encryptiesleutels aanmaken die alleen met het apparaat kunnen worden gedecrypt. Een Trusted Platform Module encrypt encryptiesleutels met een eigen rootopslagsleutel. De rootopslagsleutel wordt in de Trusted Platform Module opgeslagen. Dit biedt meer bescherming tegen pogingen om de encryptiesleutels te hacken. Deze actie is standaard geselecteerd. U kunt een extra beveiligingslaag instellen voor toegang tot de encryptiesleutel en de sleutel coderen met een wachtwoord of een pincode:
|