Puteți selecta o tehnologie de criptare: Kaspersky Disk Encryption sau BitLocker Drive Encryption (denumită în continuare pur și simplu „BitLocker”).
Kaspersky Disk Encryption
După ce unitățile de hard disk de sistem au fost criptate, la următoarea pornire a computerului utilizatorul trebuie să finalizeze autentificarea folosind Agentul de Autentificare pentru ca unitățile de hard disk să poată fi accesate și sistemul de operare să fie încărcat. Acest lucru necesită introducerea parolei pentru simbolul sau cardul inteligent conectat la computer sau a numelui de utilizator și a parolei pentru contul de Agent de Autentificare creat de administratorul rețelei locale folosind activitatea Gestionare conturi Agent de Autentificare. Aceste conturi se bazează pe conturile Microsoft Windows sub care utilizatorii se conectează la sistemul de operare. Puteți utiliza, de asemenea, tehnologia Single Sign-On (SSO), care vă permite să vă conectați automat la sistemul de operare folosind numele de utilizator și parola din contul Agent de Autentificare.
Autentificarea utilizatorului în Agentul de Autentificare poate fi efectuată în două moduri:
Folosirea unui simbol sau card inteligent este disponibilă dacă unitățile de hard disk ale computerului au fost criptate utilizându-se algoritmul de criptare AES256. În cazul în care unitățile de hard disk ale computerului a fost criptate utilizându-se algoritmul de criptare AES56, adăugarea fișierului de certificat electronic la comandă va fi refuzată.
BitLocker Drive Encryption
BitLocker este o tehnologie de criptare încorporată în sistemele de operare Windows. Kaspersky Endpoint Security vă permite să controlați și să gestionați Bitlocker folosind Kaspersky Security Center. BitLocker criptează volumele logice. BitLocker nu poate fi utilizat pentru criptarea unităților amovibile. Pentru detalii suplimentare despre BitLocker, consultați documentația Microsoft.
BitLocker asigură stocarea securizată a cheilor de acces folosind un modul de platformă de încredere. Un Trusted Platform Module (TPM) este un microcip dezvoltat pentru a furniza funcții de bază legate de securitate (de exemplu, pentru stocarea cheilor de criptare). Un Trusted Platform Module este de obicei instalat pe placa de bază a computerului și interacționează cu toate celelalte componente ale sistemului prin intermediul magistralei hardware. Utilizarea TPM este cea mai sigură modalitate de a stoca cheile de acces BitLocker, deoarece TPM oferă verificarea integrității sistemului înainte de pornire. Puteți cripta în continuare unitățile de pe computer fără un TPM. În acest caz, cheia de acces va fi criptată cu o parolă. BitLocker utilizează următoarele metode de autentificare:
După criptarea unei unități, BitLocker creează o cheie principală. Kaspersky Endpoint Security trimite cheia principală către Kaspersky Security Center pentru a putea restabili accesul la disc, de exemplu, dacă un utilizator a uitat parola.
Dacă un utilizator criptează un disc folosind BitLocker, Kaspersky Endpoint Security va trimite informații despre criptarea discului către Kaspersky Security Center. Cu toate acestea, Kaspersky Endpoint Security nu va trimite cheia principală către Kaspersky Security Center, astfel încât va fi imposibil să restaurați accesul la disc utilizând Kaspersky Security Center. Pentru ca BitLocker să funcționeze corect cu Kaspersky Security Center, decriptați unitatea și re-criptați-o folosind o politică. Puteți decripta o unitate local sau utilizând o politică.
După criptarea hard disk-ului sistemului, utilizatorul trebuie să parcurgă procesul de autentificarea BitLocker pentru a porni sistemul de operare. După procedura de autentificare, BitLocker va permite utilizatorilor să se conecteze. BitLocker nu acceptă tehnologia de conectare unică (SSO).
Dacă utilizați politicile de grup ale Windows, dezactivați gestionareaa BitLocker în setările politicii. Setările politicii Windows pot intra în conflict cu setările politicii Kaspersky Endpoint Security. Când criptați o unitate, pot apărea erori.
Setările componentei Kaspersky Disk Encryption
Parametru |
Descriere |
|---|---|
Mod criptare |
Se criptează toate unitățile de hard disk. Dacă este selectat acest element, aplicația criptează toate unitățile de hard disk atunci când este aplicată politica. Dacă pe computer sunt instalate mai multe sisteme de operare, după criptare vei putea încărca doar sistemul de operare pe care este instalată aplicația. Se decriptează toate unitățile de hard disk. Dacă este selectat acest element, aplicația decriptează toate unitățile de hard disk criptate anterior atunci când este aplicată politica. Lasă nemodificat. Dacă este selectat acest element, aplicația lasă unitățile în starea existentă atunci când este aplicată politica. Dacă unitatea era criptată, ea va rămâne criptată. Dacă unitatea era decriptată, ea va rămâne decriptată. Acest element este selectat în mod implicit. |
În timpul criptării, creează automat conturi Agent de autentificare pentru utilizatorii Windows |
Dacă această casetă de selectare este bifată, aplicația creează conturi Agent de autentificare pe baza listei conturilor de utilizatori Windows din computer. În mod implicit, Kaspersky Endpoint Security folosește toate conturile locale și de domenii cu care utilizatorul s-a conectat la sistemul de operare în ultimele 30 de zile. |
Setări pentru creare cont Agent de Autentificare |
Toate conturile de pe computer. Toate conturile de pe computer care au fost active în orice moment. Toate conturile de domeniu de pe computer. Toate conturile de pe computer care aparțin unui domeniu și care au fost active în orice moment. Toate conturile locale de pe computer. Toate conturile locale de pe computer care au fost active în orice moment. Cont serviciu cu parolă de unică folosință. Contul serviciului este necesar pentru a obține acces la computer, de exemplu, atunci când utilizatorul uită parola. De asemenea, poți utiliza contul serviciului drept cont de rezervă. Trebuie să introduci numele contului (în mod implicit, Administrator local. Kaspersky Endpoint Security creează un cont de utilizator pentru Agentul de Autentificare pentru administratorul local al computerului. Manager computer. Kaspersky Endpoint Security creează un cont de utilizator pentru Agentul de Autentificare pentru contul managerului computerului. Puteți vedea ce cont are rolul de manager de computer în proprietățile computerului din Active Directory. În mod implicit, rolul de manager de computer nu este definit, adică nu corespunde niciunui cont. Cont activ. Kaspersky Endpoint Security creează automat un cont Agent de Autentificare pentru contul care este activ în momentul criptării discului. |
Creați automat conturi Agent de autentificare pentru toți utilizatorii acestui computer după conectare |
Dacă această casetă de selectare este bifată, aplicația verifică informații despre conturile utilizatorilor Windows de pe computer înainte de a porni Agentul de autentificare. Dacă Kaspersky Endpoint Security detectează un cont de utilizator Windows care nu are un cont Agent de autentificare, aplicația va crea un cont nou pentru accesarea unităților de disk criptate. Noul cont Agent de autentificare va avea următoarele setări implicite: numai conectare protejată prin parolă și modificarea parolei la prima autentificare. Prin urmare, nu trebuie să adăugați manual conturi Agent de autentificare utilizând activitatea Gestionare conturi Agent de Autentificare pentru computerele ale căror unități de hard disk sunt deja criptate. |
Salvare nume de utilizator introdus în Agentul de Autentificare |
Dacă această casetă de selectare este bifată, aplicația salvează numele contului Agent de Autentificare. Nu ți se va solicita să introduci numele contului la următoarea încercare de finalizare a autorizării în Agentul de Autentificare când folosești același cont. |
Criptează doar spațiul de disc utilizat (reduce durata criptării) |
Această casetă de selectare activează/dezactivează opțiunea care limitează zona de criptare la sectoarele ocupate de pe unitatea de hard disk. Această limită îți permite reducerea timpului necesar pentru criptare. Activarea sau dezactivarea caracteristicii Criptează doar spațiul de disc utilizat (reduce durata criptării) după pornirea criptării nu modifică această setare până când unitățile de hard disk nu sunt decriptate. Trebuie să bifezi sau să debifezi această casetă de selectare înainte de a începe criptarea. Dacă această casetă de selectare este bifată, sunt criptate numai poțiunile de pe unitatea de hard disk care sunt ocupate de fișiere. Kaspersky Endpoint Security criptează automat datele noi atunci când sunt adăugate. Dacă această casetă de selectare este debifată, va fi criptată întreaga unitate de hard disk, inclusiv fragmentele reziduale din fișiere șterse și modificate anterior. Această opțiune este recomandată pentru unități de hard disk noi, ale căror date nu au fost modificate sau șterse. Dacă aplici criptarea unei unități de hard disk aflate deja în uz, se recomandă să criptezi întreaga unitate de hard disk. Aceasta asigură protecția pentru toate datele, chiar și pentru datele șterse care pot fi eventual recuperate. Această casetă de selectare nu este bifată în mod implicit. |
Utilizare Legacy USB Support (nu se recomandă) |
Această casetă de selectare activează/dezactivează funcția Legacy USB Support. Legacy USB Support este o funcție BIOS/UEFI care vă permite să folosiți dispozitive USB (cum ar fi un token de securitate) în faza de pornire a computerului, înainte de a porni sistemul de operare (modul BIOS). Legacy USB Support nu afectează acceptarea dispozitivelor USB după pornirea sistemului de operare. Dacă această casetă de selectare este bifată, este activată acceptarea dispozitivelor USB la pornirea inițială a computerului. Când funcția Legacy USB Support este activată, Agentul de Autentificare în modul BIOS nu acceptă lucrul cu simboluri prin USB. Se recomandă folosirea acestei opțiuni numai atunci când există o problemă de compatibilitate hardware și numai pentru acele computere pe care a apărut problema. |
Setări parolă |
Setări pentru complexitatea parolei contului Agent de Autentificare. Când utilizați tehnologia Single Sign-on, Agentul de Autentificare ignoră cerințele privind complexitatea parolei specificate în Kaspersky Security Center. Puteți seta cerințele privind complexitatea parolei în setările sistemului de operare. |
Utilizare tehnologia Single Sign-On (SSO) |
Tehnologia SSO face posibilă utilizarea acelorași acreditări de cont pentru a accesa unități de hard disk criptate și pentru conectare la sistemul de operare. Dacă această casetă de selectare este bifată, trebuie să introduceți acreditările contului pentru a accesa unități de hard disk criptate și pentru a vă conecta apoi automat la sistemul de operare. Dacă această casetă de selectare este debifată, pentru a accesa unități de hard disk criptate și pentru a te conecta apoi la sistemul de operare, trebuie să introduci separat acreditări pentru accesarea unităților criptate și acreditări pentru un cont de utilizator al sistemului de operare. |
Încadrare furnizori acreditări terți |
Kaspersky Endpoint Security acceptă furnizorul de acreditări terț ADSelfService Plus. Când lucrați cu furnizori de acreditări terți, Agentul de Autentificare interceptează parola înainte ca sistemul de operare să fie încărcat. Aceasta înseamnă că un utilizator trebuie să introducă o parolă o singură dată când se conectează la Windows. După ce se conectează la Windows, utilizatorul poate utiliza capacitățile unui furnizor de acreditări terț pentru autentificare în serviciile corporative, de exemplu. Furnizorii de acreditări terți permit utilizatorilor să-și reseteze în mod independent propria parolă. În acest caz, Kaspersky Endpoint Security va actualiza automat parola pentru Agentul de Autentificare. Dacă utilizați un furnizor de acreditări terț care nu este acceptat de aplicație, este posibil să întâmpinați anumite limitări în funcționarea tehnologiei Single Sign-On. |
Ajutor |
Autentificare. Text pentru ajutor care apare în fereastra Agent de Autentificare atunci când introduceți acreditările contului. Modificare parolă. Text pentru ajutor care apare în fereastra Agent de Autentificare atunci când modificați parola pentru contul Agent de Autentificare. Recuperare parolă. Text pentru ajutor care apare în fereastra Agent de Autentificare atunci când recuperați parola pentru contul Agent de Autentificare. |
Setările componentei BitLocker Drive Encryption
Parametru |
Descriere |
|---|---|
Mod criptare |
Se criptează toate unitățile de hard disk. Dacă este selectat acest element, aplicația criptează toate unitățile de hard disk atunci când este aplicată politica. Dacă pe computer sunt instalate mai multe sisteme de operare, după criptare vei putea încărca doar sistemul de operare pe care este instalată aplicația. Se decriptează toate unitățile de hard disk. Dacă este selectat acest element, aplicația decriptează toate unitățile de hard disk criptate anterior atunci când este aplicată politica. Lasă nemodificat. Dacă este selectat acest element, aplicația lasă unitățile în starea existentă atunci când este aplicată politica. Dacă unitatea era criptată, ea va rămâne criptată. Dacă unitatea era decriptată, ea va rămâne decriptată. Acest element este selectat în mod implicit. |
Permitere utilizare autentificare BitLocker, care solicită intrarea de la tastatură înaintea preîncărcării sistemului pe tablete |
Această casetă de selectare activează/dezactivează utilizarea autentificării care necesită introducerea de date într-un mediu pre-bootare (înaintea încărcării sistemului), chiar dacă platforma nu acceptă introducerea înaintea încărcării sistemului (de exemplu, tastaturile de pe ecranul tactil al tabletelor). Ecranul tactil al computerelor tabletă nu este disponibil în mediul preboot. Pentru a finaliza autentificarea BitLocker pe computerele tabletă, utilizatorul trebuie să conecteze o tastatură USB, de exemplu. Dacă această casetă de selectare este bifată, este permisă utilizarea autentificării ce solicită intrarea de la tastatură înaintea încărcării sistemului. Se recomandă să folosești această setare numai pentru dispozitivele care prezintă instrumente alternative pentru introducerea datelor înaintea încărcării sistemului, de exemplu o tastatură USB, în plus față de tastaturile de pe ecranul tactil. În cazul în care caseta de selectare este debifată, BitLocker Drive Encryption nu este posibilă pe tablete. |
Utilizează criptare hardware (Windows 8 și versiunile ulterioare) |
Dacă această casetă de selectare este bifată, aplicația folosește criptarea hardware. Acest lucru îți permite să sporești viteza criptării și să folosești mai puțin resurse ale computerului. |
Criptează doar spațiul de disc utilizat (Windows 8 și versiuni ulterioare) |
Această casetă de selectare activează/dezactivează opțiunea care limitează zona de criptare la sectoarele ocupate de pe unitatea de hard disk. Această limită îți permite reducerea timpului necesar pentru criptare. Activarea sau dezactivarea caracteristicii Criptează doar spațiul de disc utilizat (reduce durata criptării) după pornirea criptării nu modifică această setare până când unitățile de hard disk nu sunt decriptate. Trebuie să bifezi sau să debifezi această casetă de selectare înainte de a începe criptarea. Dacă această casetă de selectare este bifată, sunt criptate numai poțiunile de pe unitatea de hard disk care sunt ocupate de fișiere. Kaspersky Endpoint Security criptează automat datele noi atunci când sunt adăugate. Dacă această casetă de selectare este debifată, va fi criptată întreaga unitate de hard disk, inclusiv fragmentele reziduale din fișiere șterse și modificate anterior. Această opțiune este recomandată pentru unități de hard disk noi, ale căror date nu au fost modificate sau șterse. Dacă aplici criptarea unei unități de hard disk aflate deja în uz, se recomandă să criptezi întreaga unitate de hard disk. Aceasta asigură protecția pentru toate datele, chiar și pentru datele șterse care pot fi eventual recuperate. Această casetă de selectare nu este bifată în mod implicit. |
Metoda de atentificare |
Doar parola (Windows 8 și versiunile ulterioare) Dacă această opțiune este selectată, Kaspersky Endpoint Security solicită utilizatorului o parolă atunci când acesta încearcă să acceseze o unitate criptată. Această opțiune poate fi selectată atunci când nu este folosit un Trusted Platform Module (TPM). Trusted Platform Module (TPM) Dacă această opțiune este selectată, BitLocker folosește un Trusted Platform Module. Un Trusted Platform Module (TPM) este un microcip dezvoltat pentru a furniza funcții de bază legate de securitate (de exemplu, pentru stocarea cheilor de criptare). De obicei un Trusted Platform Module este instalat pe placa de bază a computerului și interacționează cu alte componente ale sistemului prin magistrala hardware. Pentru calculatoarele care execută Windows 7 sau Windows Server 2008 R2, este disponibilă numai criptarea folosind un modul TPM. Dacă nu este instalat un modul TPM, criptarea BitLocker nu este posibilă. Utilizarea unei parole pe aceste computere nu este acceptată. Un dispozitiv echipat cu un Trusted Platform Module poate crea chei de criptare care pot fi decriptate numai folosind dispozitivul respectiv. Un Trusted Platform Module criptează cheile de criptare folosind propria cheie de stocare pentru rădăcină. Cheia de stocare pentru rădăcină este stocată în Trusted Platform Module. Acest lucru oferă un nivel suplimentar de protecție împotriva încercărilor de compromitere a cheilor de criptare. Această acțiune este selectată în mod implicit. Poți seta o măsură suplimentară de protecție pentru acces la cheia de criptare și poți cripta cheia cu o parolă sau cu un PIN:
|