Kaspersky Endpoint Security 允許您加密儲存在本機和卸除式磁碟機上的檔案和資料夾,或者整個卸除式磁碟機和硬碟。筆記型電腦、卸除式磁碟機或硬碟遺失或被竊取時,又或者在未經許可的使用者或應用程式存取資料時,資料加密功能能夠將資訊洩露的危險降至最低。Kaspersky Endpoint Security 使用進階加密標準 (AES) 加密演算法。
如果產品授權已到期,本程式不會加密新資料,舊的已加密資料仍保持加密狀態並且可用。在此情況下,加密新資料將要求用允許使用加密的新產品授權來啟動應用程式。
如果產品授權已到期,或違反了最終使用者產品授權協議,亦或已刪除產品授權金鑰、Kaspersky Endpoint Security 或加密元件,則先前加密檔案的加密狀態將得不到保證。這是因為某些應用程式,例如 Microsoft Office Word,會在編輯期間建立暫存檔案副本。儲存原始檔案時,臨時副本將替換原始檔案。因此,在沒有加密功能或無法存取加密功能的電腦上,檔案保持未加密狀態。
Kaspersky Endpoint Security 提供了以下幾個方面的資料防護:
預設加密規則的優先順序低於為個別卸除式磁碟機建立的加密規則。為擁有特定裝置型號的卸除式磁碟機建立的加密規則,其優先順序低於為擁有特定裝置 ID 的卸除式磁碟機建立的檔案加密規則。
若要為卸除式磁碟機中的檔案選取加密規則,Kaspersky Endpoint Security 將會檢查裝置的型號和 ID 是否已知。然後此程式將執行以下操作之一:
程式可以讓您準備卸除式磁碟機以攜帶模式使用磁碟機上儲存的加密資料。啟用攜帶模式後,您可以存取連線到沒有加密功能之電腦上的卸除式磁碟機中的加密檔案。
BitLocker 技術是 Windows 作業系統的一部分。如果電腦配備了受信任平台模組 (TPM),BitLocker 將用其儲存提供加密硬碟存取的還原金鑰。電腦啟動時,BitLocker 將從受信任平台模組請求硬碟還原金鑰並解鎖磁碟機。您可以設定存取還原金鑰使用密碼和/或 PIN 碼。
您可以指定預設的完整磁碟加密規則,並建立要從加密中排除的硬碟的清單。套用卡巴斯基安全管理中心政策後,Kaspersky Endpoint Security 將按照磁區執行完整磁碟加密。應用程式加密將同時套用至硬碟的所有邏輯分區上。
加密系統硬碟後,在下次電腦啟動時,使用者要能夠存取硬碟並且作業系統載入前,使用者必須透過身分驗證代理的驗證。這需要輸入權杖或連線到電腦的智能卡的密碼,或者輸入由局域網管理員使用“管理身分驗證代理帳戶”工作建立的身分驗證代理帳戶的使用者名稱和密碼。這些帳戶以使用者登入作業系統的 Microsoft Windows 帳戶為基礎。您還可以使用單點登入 (SSO) 技術,此技術允許您使用身分驗證代理帳戶的使用者名稱和密碼自動登入至作業系統。
如果您備份電腦,然後對電腦資料進行加密,之後還原電腦備份副本並再次加密電腦資料,Kaspersky Endpoint Security 將會建立相同的身分驗證代理帳戶。要刪除重複帳戶,請使用帶有 dupfix 金鑰的 klmover 實用程式。Klmover 實用程式含在卡巴斯基安全管理中心分發套件中。您可以在《卡巴斯基安全管理中心說明》中瞭解有關其操作的更多資訊。
只能在安裝了帶有完整磁碟加密功能的 Kaspersky Endpoint Security 的電腦上存取已加密的硬碟。當出現公司區域網路之外的連接嘗試存取加密檔案時,此功能會大大降低加密硬碟中的檔案洩露的風險。
若要加密硬碟和卸除式磁碟機,您可以使用“僅加密使用的磁碟空間”功能。建議您僅為先前未使用的新裝置使用此功能。如果您在已使用的裝置上套用加密,建議您加密整個裝置。這將確保所有資料受到防護 – 即使刪除了可能仍包含擷取資訊的資料。
開始加密之前,Kaspersky Endpoint Security 將獲得檔案系統磁區圖。第一波加密包括開始加密時檔案佔用的磁區。第二波加密包括加密開始後寫入的磁區。加密完成後,所有包含資料的磁區都將被加密。
加密完成並且使用者刪除檔案後,儲存刪除檔案的磁區可以在檔案系統等級儲存新的資訊但是仍保持為加密狀態。因此,在啟用“僅加密使用的磁碟空間”功能的情況下,隨著檔案寫入新裝置和定期加密該裝置,在一段時間後所有磁區都將加密。
解密檔案所需的檔案由加密時控制電腦的卡巴斯基安全管理中心管理伺服器提供。如果含有加密對象的電腦因某種原因由其他管理伺服器管理,則可以透過下列方式之一獲得對加密資料的存取權限:
如果沒有加密資料的存取權限,請遵循有關處理加密資料的特殊說明(還原對加密檔案的存取權限、無法存取加密裝置時的裝置使用)。