Bạn có thể chọn một công nghệ mã hóa: Kaspersky Disk Encryption hoặc BitLocker Drive Encryption (sau đây cũng được gọi tắt là "BitLocker").
Kaspersky Disk Encryption
Sau khi ổ cứng hệ thống đã được mã hóa, vào lần khởi động tiếp theo, người dùng sẽ phải hoàn tất xác thực sử dụng Authentication Agent trước khi ổ cứng có thể được truy cập và hệ điều hành có thể được nạp. Điều này đòi hỏi bạn nhập vào mật khẩu của token hoặc thẻ thông minh được kết nối đến máy tính, hoặc tên người dùng và mật khẩu của tài khoản Authentication Agent được tạo bởi quản trị viên mạng máy tính cục bộ sử dụng tác vụ Quản lý tài khoản Authentication Agent. Những tài khoản này đều dựa trên các tài khoản Microsoft Windows được người dùng sử dụng để đăng nhập vào hệ điều hành. Bạn cũng có thể sử dụng công nghệ Single Sign-On (SSO), cho phép bạn tự động đăng nhập vào hệ điều hành bằng tên người dùng và mật khẩu của tài khoản Authentication Agent.
Việc xác thực người dùng trong Authentication Agent có thể được thực hiện bằng hai cách:
Việc sử dụng token hoặc thẻ thông minh chỉ có thể được thực hiện nếu ổ cứng của máy tính đã được mã hóa sử dụng thuật toán mã hóa AES256. Nếu ổ cứng của máy tính đã được mã hóa sử dụng thuật toán mã hóa AES56, việc bổ sung tập tin chứng chỉ điện tử đến lệnh sẽ bị từ chối.
BitLocker Drive Encryption
BitLocker là một công nghệ mã hóa được tích hợp trong các hệ điều hành Windows. Kaspersky Endpoint Security cho phép bạn kiểm soát và quản lý Bitlocker bằng Kaspersky Security Center. BitLocker mã hóa các phân vùng luận lý. Không thể sử dụng BitLocker để mã hóa các ổ đĩa di động. Để biết thêm chi tiết về BitLocker, hãy tham khảo tài liệu của Microsoft.
BitLocker cung cấp ổ lưu trữ an toàn các khóa truy cập bằng mô-đun nền tảng được tin tưởng. Mô-đun Nền tảng Tin tưởng (TPM) là một vi mạch được phát triển để cung cấp các chức năng cơ bản liên quan đến bảo mật (ví dụ: để lưu trữ khóa mã hóa). Mô-đun nền tảng được tin tưởng thường được cài đặt trên bảng mạch chủ máy tính và tương tác với tất cả các thành phần hệ thống khác thông qua bus phần cứng. Sử dụng TPM là cách an toàn nhất để lưu trữ khóa truy cập BitLocker, vì TPM cung cấp xác minh tính toàn vẹn của hệ thống trước khi khởi động. Bạn vẫn có thể mã hóa ổ đĩa trên máy tính mà không cần có TPM. Trong trường hợp này, khóa truy cập sẽ được mã hóa bằng mật khẩu. BitLocker sử dụng các phương thức xác thực sau:
Sau khi mã hóa ổ đĩa, BitLocker sẽ tạo khóa chủ. Kaspersky Endpoint Security sẽ gửi khóa chủ đến Kaspersky Security Center để bạn có thể khôi phục quyền truy cập vào ổ đĩa, ví dụ như nếu người dùng quên mật khẩu.
Nếu người dùng mã hóa ổ đĩa bằng BitLocker, Kaspersky Endpoint Security sẽ gửi thông tin về mã hóa ổ đĩa đến Kaspersky Security Center. Tuy nhiên, Kaspersky Endpoint Security sẽ không gửi khóa chủ tới Kaspersky Security Center, do đó sẽ không thể khôi phục quyền truy cập vào đĩa bằng Kaspersky Security Center. Để BitLocker hoạt động chính xác với Kaspersky Security Center, hãy giải mã ổ đĩa và mã hóa lại ổ đĩa bằng một chính sách. Bạn có thể giải mã ổ đĩa một cách cục bộ hoặc sử dụng một chính sách.
Sau khi mã hóa ổ cứng hệ thống, người dùng cần thực hiện xác thực BitLocker để khởi động hệ điều hành. Sau quy trình xác thực, BitLocker sẽ cho phép người dùng đăng nhập. BitLocker không hỗ trợ công nghệ đăng nhập một lần (SSO).
Nếu bạn đang sử dụng các chính sách nhóm của Windows, hãy tắt quản lý BitLocker trong thiết lập chính sách. Thiết lập chính sách của Windows có thể xung đột với thiết lập chính sách của Kaspersky Endpoint Security. Lỗi có thể xảy ra khi mã hóa một ổ đĩa.
Thiết lập thành phần Kaspersky Disk Encryption
Tham số |
Mô tả |
|---|---|
Chế độ mã hóa |
Mã hóa tất cả ổ đĩa cứng. Nếu mục này được chọn, ứng dụng sẽ mã hóa tất cả các ổ cứng khi chính sách được áp dụng. Nếu máy tính có cài đặt nhiều hệ điều hành, sau khi mã hóa bạn sẽ chỉ có thể nạp hệ điều hành đã cài đặt ứng dụng. Giải mã tất cả đĩa cứng. Nếu mục này được chọn, ứng dụng sẽ giải mã tất cả các ổ cứng đã được mã hóa từ trước khi chính sách được áp dụng. Giữ nguyên. Nếu mục này được lựa chọn, ứng dụng sẽ để nguyên các ổ đĩa trong trạng thái trước đó của chúng khi chính sách được áp dụng. Nếu ổ đĩa đã được mã hóa, nó vẫn sẽ duy trì tình trạng mã hóa. Nếu ổ đĩa đã được giải mã, nó vẫn sẽ duy trì tình trạng giải mã. Mục này được chọn theo mặc định. |
Tự động tạo các tài khoản Authentication Agent cho người dùng Windows trong quá trình mã hóa |
Nếu hộp kiểm này được chọn, ứng dụng sẽ tạo tài khoản Authentication Agent dựa trên danh sách tài khoản người dùng Windows trên máy tính. Theo mặc định, Kaspersky Endpoint Security sử dụng tất cả các tài khoản cục bộ và tên miền mà người dùng đã sử dụng để đăng nhập vào hệ điều hành trong 30 ngày qua. |
Thiết lập tạo tài khoản Authentication Agent |
Tất cả tài khoản trên máy tính. Tất cả các tài khoản trên máy tính đã hoạt động bất kỳ lúc nào. Tất cả các tài khoản domain trên máy tính. Tất cả các tài khoản trên máy tính thuộc về một tên miền và đã hoạt động bất kỳ lúc nào. Tất cả tài khoản nội bộ trên máy tính. Tất cả các tài khoản cục bộ trên máy tính đã hoạt động bất kỳ lúc nào. Tài khoản dịch vụ có mật khẩu dùng một lần. Cần có tài khoản dịch vụ để có quyền truy cập vào máy tính, như khi người dùng quên mật khẩu. Bạn cũng có thể sử dụng tài khoản dịch vụ như tài khoản dự trữ. Bạn phải nhập tên của tài khoản (mặc định là Quản trị nội bộ. Kaspersky Endpoint Security sẽ tạo tài khoản người dùng Authentication Agent cho quản trị viên cục bộ của máy tính. Quản lý máy tính. Kaspersky Endpoint Security sẽ tạo tài khoản người dùng Authentication Agent cho tài khoản của người quản lý máy tính. Bạn có thể xem tài khoản nào có vai trò người quản lý máy tính trong thuộc tính máy tính trong Active Directory. Theo mặc định, vai trò người quản lý máy tính không được định nghĩa, tức là nó không tương ứng với bất kỳ tài khoản nào. Kích hoạt tài khoản. Kaspersky Endpoint Security sẽ tự động tạo tài khoản Authentication Agent cho tài khoản đang hoạt động tại thời điểm mã hóa ổ đĩa. |
Tự động tạo các tài khoản Authentication Agent cho mọi người dùng của máy tính này sau khi đăng nhập |
Nếu hộp kiểm này được chọn, ứng dụng sẽ kiểm tra thông tin về tài khoản người dùng Windows trên máy tính trước khi khởi chạy Authentication Agent. Nếu Kaspersky Endpoint Security phát hiện tài khoản người dùng Windows không có tài khoản Authentication Agent, ứng dụng sẽ tạo một tài khoản mới để truy cập các ổ đĩa được mã hóa. Tài khoản Authentication Agent mới sẽ có các thiết lập mặc định sau: chỉ cho phép đăng nhập được bảo vệ bằng mật khẩu và thay đổi mật khẩu trong lần xác thực đầu tiên. Do đó, bạn không cần phải thêm tài khoản Authentication Agent theo cách thủ công bằng cách sử dụng tác vụ Quản lý tài khoản Authentication Agent cho máy tính có ổ đĩa đã được mã hóa. |
Lưu tên người dùng đã nhập vào Authentication Agent |
Nếu hộp kiểm này được chọn, ứng dụng sẽ lưu lại tên của tài khoản Authentication Agent. Bạn sẽ không được yêu cầu nhập tên tài khoản ở lần nhập thông tin xác thực tiếp theo trong Authentication Agent cho cùng tài khoản. |
Chỉ mã hóa dung lượng ổ đĩa được sử dụng (giảm thời gian mã hóa) |
Hộp kiểm này bật / tắt tùy chọn chỉ giới hạn khu vực mã hóa đến các phần ổ cứng đang được sử dụng. Giới hạn này sẽ giúp bạn giảm thời gian mã hóa. Việc bật hoặc tắt tính năng Chỉ mã hóa dung lượng ổ đĩa được sử dụng (giảm thời gian mã hóa) sau khi bắt đầu mã hóa sẽ không sửa đổi thiết lập này cho đến khi các ổ cứng được giải mã. Bạn phải chọn hoặc xóa hộp kiểm trước khi bắt đầu mã hóa. Nếu hộp kiểm này được chọn, chỉ các phần của ổ cứng có chứa các tập tin mới được mã hóa. Kaspersky Endpoint Security sẽ tự động mã hóa dữ liệu mới khi chúng được bổ sung. Nếu hộp kiểm này bị xóa, toàn bộ ổ cứng sẽ được mã hóa, bao gồm các phần sót lại của những tập tin đã được sửa đổi hoặc bị xóa trước đó. Tùy chọn này được khuyến nghị cho các ổ cứng mới có dữ liệu chưa được sửa đổi hoặc bị xóa. Nếu bạn đang áp dụng mã hóa trên một ổ cứng đang được sử dụng, bạn nên mã hóa toàn bộ ổ cứng. Điều này sẽ đảm bảo toàn bộ dữ liệu được bảo vệ, kể cả những dữ liệu đã bị xóa và có khả năng được phục hồi. Hộp kiểm này được xóa ở chế độ mặc định. |
Sử dụng Hỗ trợ USB chuẩn cũ (không khuyên dùng) |
Hộp kiểm này bật/tắt chức năng Hỗ trợ USB chuẩn cũ. Hỗ̃ trợ USB chuẩn cũ là một chức năng của BIOS/UEFI, cho phép bạn sử dụng các thiết bị USB (như token bảo mật) trong thời gian khởi động của máy tính trước khi khởi động hệ điều hành (chế độ BIOS). Chức năng Hỗ trợ USB chuẩn cũ không ảnh hưởng đến hỗ trợ cho các thiết bị USB sau khi hệ điều hành đã được khởi động. Nếu hộp kiểm này được chọn, tính năng hỗ trợ cho các thiết bị USB trong quá trình khởi động máy tính ban đầu sẽ được bật. Khi chức năng Hỗ̃ trợ USB chuẩn cũ được bật, Authentication Agent ở chế độ BIOS không hỗ trợ làm việc với các token qua USB. Bạn chỉ nên sử dụng tùy chọn này khi có vấn đề về tương thích phần cứng và chỉ dành cho các máy tính gặp phải vấn đề này. |
Thiết lập mật khẩu |
Thiết lập độ mạnh của mật khẩu tài khoản Authentication Agent. Khi sử dụng công nghệ Single Sign-On, Authentication Agent sẽ bỏ qua các yêu cầu về độ mạnh mật khẩu được chỉ định trong Kaspersky Security Center. Bạn có thể đặt yêu cầu độ mạnh mật khẩu trong thiết lập của hệ điều hành. |
Sử dụng công nghệ Single Sign-On (SSO) |
Công nghệ SSO cho phép bạn có thể sử dụng cùng một chứng chỉ tài khoản để truy cập các ổ cứng được mã hóa và đăng nhập vào hệ điều hành. Nếu hộp kiểm này được chọn, bạn sẽ phải nhập thông tin tài khoản để truy cập các ổ cứng được mã hóa và sau đó tự động đăng nhập vào hệ điều hành. Nếu hộp kiểm này bị xóa, bạn sẽ phải nhập riêng thông tin truy cập vào các ổ cứng được mã hóa và thông tin tài khoản người dùng của hệ điều hành để truy cập vào các ổ cứng được mã hóa và sau đó là đăng nhập vào hệ điều hành. |
Chồng lên các nhà cung cấp dịch vụ thông tin xác thực bên thứ ba |
Kaspersky Endpoint Security hỗ trợ nhà cung cấp thông tin xác thực bên thứ ba ADSelfService Plus. Khi làm việc với các nhà cung cấp dịch vụ thông tin xác thực bên thứ ba, Authentication Agent sẽ chặn mật khẩu trước khi hệ điều hành được nạp. Điều này có nghĩa là người dùng chỉ cần nhập mật khẩu một lần khi đăng nhập vào Windows. Sau khi đăng nhập vào Windows, người dùng có thể sử dụng các khả năng của nhà cung cấp dịch vụ thông tin xác thực bên thứ ba, ví dụ như để xác thực trong các dịch vụ của công ty. Các nhà cung cấp dịch vụ thông tin xác thực bên thứ ba cũng cho phép người dùng đặt lại mật khẩu của riêng họ một cách độc lập. Trong trường hợp này, Kaspersky Endpoint Security sẽ tự động cập nhật mật khẩu cho Authentication Agent. Nếu đang sử dụng nhà cung cấp dịch vụ thông tin xác thực bên thứ ba không được ứng dụng hỗ trợ, bạn có thể gặp một số hạn chế trong hoạt động công nghệ Đăng nhập một lần. |
Trợ giúp |
Chứng thực. Văn bản trợ giúp xuất hiện trong cửa sổ Authentication Agent khi nhập thông tin đăng nhập tài khoản. Thay đổi mật khẩu. Văn bản trợ giúp xuất hiện trong cửa sổ Authentication Agent khi thay đổi mật khẩu cho tài khoản Authentication Agent. Phục hồi mật khẩu. Văn bản trợ giúp xuất hiện trong cửa sổ Authentication Agent khi khôi phục mật khẩu cho tài khoản Authentication Agent. |
Thiết lập thành phần BitLocker Drive Encryption
Tham số |
Mô tả |
|---|---|
Chế độ mã hóa |
Mã hóa tất cả ổ đĩa cứng. Nếu mục này được chọn, ứng dụng sẽ mã hóa tất cả các ổ cứng khi chính sách được áp dụng. Nếu máy tính có cài đặt nhiều hệ điều hành, sau khi mã hóa bạn sẽ chỉ có thể nạp hệ điều hành đã cài đặt ứng dụng. Giải mã tất cả đĩa cứng. Nếu mục này được chọn, ứng dụng sẽ giải mã tất cả các ổ cứng đã được mã hóa từ trước khi chính sách được áp dụng. Giữ nguyên. Nếu mục này được lựa chọn, ứng dụng sẽ để nguyên các ổ đĩa trong trạng thái trước đó của chúng khi chính sách được áp dụng. Nếu ổ đĩa đã được mã hóa, nó vẫn sẽ duy trì tình trạng mã hóa. Nếu ổ đĩa đã được giải mã, nó vẫn sẽ duy trì tình trạng giải mã. Mục này được chọn theo mặc định. |
Cần nhập liệu bàn phím trong quá trình tiền khởi động để bật xác thực BitLocker trên máy tính bảng |
Hộp kiểm này bật / tắt quá trình xác thực đòi hỏi nhập liệu trong một môi trường tiền khởi động, kể cả khi nền tảng này không có khả năng nhập liệu trong môi trường tiền khởi động (ví dụ, máy tính bảng có bàn phím cảm ứng). Màn hình cảm ứng của máy tính bảng không khả dụng trong môi trường tiền khởi động. Để hoàn tất xác thực BitLocker trên máy tính bảng, người dùng phải kết nối một bàn phím USB. Nếu hộp kiểm này được chọn, việc sử dụng quá trình xác thực đòi hỏi nhập liệu tiền khởi động sẽ được cho phép. Bạn chỉ nên sử dụng thiết lập này cho các thiết bị có công cụ nhập liệu thay thế trong một môi trường tiền khởi động, ví dụ như bàn phím USB ngoài bàn phím cảm ứng. Nếu hộp kiểm bị xóa thì BitLocker Drive Encryption không khả dụng trên máy tính bảng. |
Sử dụng mã hóa phần cứng (Windows 8 và các phiên bản mới hơn) |
Nếu hộp kiểm này được chọn, ứng dụng sẽ áp dụng mã hóa phần cứng. Việc này cho phép bạn tăng tốc độ mã hóa và sử dụng ít tài nguyên máy tính hơn. |
Chỉ mã hóa dung lượng ổ đĩa được sử dụng (Windows 8 và các phiên bản mới hơn) |
Hộp kiểm này bật / tắt tùy chọn chỉ giới hạn khu vực mã hóa đến các phần ổ cứng đang được sử dụng. Giới hạn này sẽ giúp bạn giảm thời gian mã hóa. Việc bật hoặc tắt tính năng Chỉ mã hóa dung lượng ổ đĩa được sử dụng (giảm thời gian mã hóa) sau khi bắt đầu mã hóa sẽ không sửa đổi thiết lập này cho đến khi các ổ cứng được giải mã. Bạn phải chọn hoặc xóa hộp kiểm trước khi bắt đầu mã hóa. Nếu hộp kiểm này được chọn, chỉ các phần của ổ cứng có chứa các tập tin mới được mã hóa. Kaspersky Endpoint Security sẽ tự động mã hóa dữ liệu mới khi chúng được bổ sung. Nếu hộp kiểm này bị xóa, toàn bộ ổ cứng sẽ được mã hóa, bao gồm các phần sót lại của những tập tin đã được sửa đổi hoặc bị xóa trước đó. Tùy chọn này được khuyến nghị cho các ổ cứng mới có dữ liệu chưa được sửa đổi hoặc bị xóa. Nếu bạn đang áp dụng mã hóa trên một ổ cứng đang được sử dụng, bạn nên mã hóa toàn bộ ổ cứng. Điều này sẽ đảm bảo toàn bộ dữ liệu được bảo vệ, kể cả những dữ liệu đã bị xóa và có khả năng được phục hồi. Hộp kiểm này được xóa ở chế độ mặc định. |
Phương thức xác thực |
Sử dụng mật khẩu (Windows 8 và các phiên bản mới hơn) Nếu tùy chọn này được sử dụng, Kaspersky Endpoint Security sẽ nhắc người dùng nhập mật khẩu khi người dùng cố gắng truy cập một ổ đĩa được mã hóa. Tùy chọn này có thể được chọn khi một Mô-đun Nền tảng Tin tưởng (TPM) không được sử dụng. Mô-đun nền tảng tin tưởng (TPM) Nếu tùy chọn này được chọn, BitLocker sẽ sử dụng một Mô-đun Nền tảng Tin tưởng (TPM). Mô-đun Nền tảng Tin tưởng (TPM) là một vi mạch được phát triển để cung cấp các chức năng cơ bản liên quan đến bảo mật (ví dụ: để lưu trữ khóa mã hóa). Một Mô-đun Nền tảng Tin tưởng thường được lắp trên bo mạch chủ máy tính và tương tác với tất cả các thành phần hệ thống khác qua bus phần cứng. Đối với các máy tính chạy Windows 7 hoặc Windows Server 2008 R2, chỉ có tính năng mã hóa bằng mô-đun TPM là khả dụng. Nếu một mô-đun TPM không được cài đặt thì không thể mã hóa bằng BitLocker. Việc sử dụng mật khẩu trên các máy tính này không được hỗ trợ. Một thiết bị được trang bị Mô-đun Nền tảng Tin tưởng có thể tạo ra các khóa mã hóa chỉ có thể được giải mã với thiết bị đó. Một Mô-đun Nền tảng Tin tưởng sẽ mã hóa các khóa mã hóa với khóa lưu trữ root của nó. Khóa lưu trữ root được lưu trong Mô-đun Nền tảng Tin tưởng. Điều này tạo nên một cấp độ bảo vệ bổ sung chống lại các nỗ lực hack khóa mã hóa. Hành động này được chọn theo mặc định. Bạn có thể đặt một lớp bảo vệ bổ sung để truy cập khóa mã hóa và mã hóa khóa đó bằng một mật khẩu hoặc mã PIN:
|