Adattitkosítás

A Kaspersky Endpoint Security lehetővé teszi a helyi és a cserélhető meghajtókon tárolt fájlok és mappák, valamint a teljes cserélhető meghajtók és merevlemezek titkosítását. Az adattitkosítás minimálisra csökkenti az információk olyan kiszivárgásainak kockázatát, amelyek hordozható számítógép, cserélhető meghajtó vagy merevlemez elvesztésekor vagy ellopásakor, illetve az adatok illetéktelen felhasználók vagy alkalmazások által történő elérésekor áll fenn. A Kaspersky Endpoint Security az Advanced Encryption Standard (AES) titkosítási algoritmust használja.

Ha a licenc lejárt, az alkalmazás nem titkosít új adatokat, a régebben titkosított adatok pedig titkosítva, használható állapotban maradnak. Ekkor az új adatok titkosításához az alkalmazást olyan új licenccel kell aktiválni, amely engedélyezi a titkosítás használatát.

Ha a licence lejárt, megszegte a Végfelhasználói licencszerződést, vagy valaki törölte a licenckulcsot, a Kaspersky Endpoint Security alkalmazást vagy a titkosítási összetevőket, akkor a korábban titkosított fájlok titkosított állapota nem garantálható. Ennek az oka, hogy egyes alkalmazások – például a Microsoft Office Word – szerkesztés közben a fájlokból ideiglenes másolatokat készítenek. Az eredeti fájl mentésekor az ideiglenes másolat felváltja az eredeti fájlt. Emiatt az olyan számítógépen, amelyen nincs vagy nem érhető el titkosítási funkció, a fájl titkosítás nélkül marad.

A Kaspersky Endpoint Security az alábbi fő adatvédelmi funkciókkal rendelkezik:

• Fájlszintű titkosítás a számítógép helyi meghajtóin. A fájlok listáit összeállíthatja kiterjesztés vagy kiterjesztések csoportja alapján, illetve a számítógép helyi meghajtóin tárolt mappák listái szerint, és létrehozhat adott alkalmazások által előállított fájlok titkosítására vonatkozó szabályokat. Rendszabály alkalmazását követően a Kaspersky Endpoint Security az alábbi fájlokat titkosítja és fejti vissza:
  • a listákra titkosítás és visszafejtés céljából egyedileg felvett fájlok;
  • a listákra titkosítás és visszafejtés céljából felvett mappákban tárolt fájlok;
  • külön alkalmazások által előállított fájlok.
• Cserélhető meghajtók titkosítása. Megadhat alapértelmezett titkosítási szabályt, melynek alapján az alkalmazás ugyanazt a műveletet végzi el minden cserélhető meghajtóval, illetve megadhat külön-külön titkosítási szabályokat az egyes cserélhető meghajtókhoz.

  Az alapértelmezett titkosítási szabály prioritása alacsonyabb, mint az egyes cserélhető meghajtókhoz készített titkosítási szabályoké. A megadott eszköztípusú cserélhető meghajtókhoz készített titkosítási szabályok prioritása alacsonyabb, mint a megadott eszközazonosítójú cserélhető meghajtókhoz készítetteké.

  Cserélhető meghajtón lévő fájlok titkosítási szabályának kiválasztásához a Kaspersky Endpoint Security ellenőrzi, hogy az eszköztípus vagy -azonosító ismert-e. Az alkalmazás ekkor elvégzi az alábbi műveletek közül valamelyiket:

  • Ha csak az eszköztípus ismert, az alkalmazás az adott eszköztípusú cserélhető meghajtókhoz készített titkosítási szabályt alkalmazza (ha van).
  • Ha csak az eszközazonosító ismert, az alkalmazás az adott eszközazonosítójú cserélhető meghajtókhoz készített titkosítási szabályt alkalmazza (ha van).
  • Ha az eszköztípus és -azonosító egyaránt ismert, az alkalmazás az adott eszközazonosítójú cserélhető meghajtókhoz készített titkosítási szabályt alkalmazza (ha van). Ha nincs ilyen szabály, de az adott eszköztípusú cserélhető meghajtókhoz készített titkosítási szabály van, az alkalmazás ezt a szabályt alkalmazza. Ha sem az adott eszközazonosítóhoz, sem az adott eszköztípushoz nincs megadva titkosítási szabály, az alkalmazás az alapértelmezett titkosítási szabályt alkalmazza.
  • Ha sem az eszköztípus, sem az eszközazonosító nem ismert, az alkalmazás az alapértelmezett titkosítási szabályt alkalmazza.

  Az alkalmazás segítségével a cserélhető meghajtókat előkészítheti a rajtuk tárolt adatok hordozható módban történő használatára. A hordozható mód engedélyezését követően a titkosítási funkcióval nem rendelkező számítógépekhez csatlakoztatott cserélhető meghajtókon lévő titkosított fájlokhoz is hozzáférhet.

• Az alkalmazások titkosított fájlokhoz való hozzáférési szabályainak kezelése Bármelyik alkalmazáshoz készíthet a titkosított fájlokhoz való hozzáférési szabályt, amely blokkolja a hozzáférést, illetve csak titkosított szöveg formájában engedélyezi a hozzáférést. A titkosított szöveg a titkosítás alkalmazása után kapott karaktersorozat.
• Titkosított csomagok létrehozása. Létrehozhat titkosított archívumokat, és hozzáférésüket védheti jelszóval. A titkosított archívumok tartalmához csak azon jelszavak megadásával lehet hozzáférni, amelyekkel archívumokhoz való hozzáférést védi. Ezeket az archívumokat biztonságosan továbbíthatja hálózatokon, illetve cserélhető meghajtókon.
• Teljes lemeztitkosítás. Kiválaszthatja a titkosítási technológiát: Kaspersky lemeztitkosítás vagy BitLocker meghajtótitkosítás (a továbbiakban egyszerűen „BitLocker” is).

  A BitLocker a Windows operációs rendszer részét képező technológia. Ha egy számítógépen Trusted Platform Module (TPM) található, a BitLocker annak segítségével tárolja a titkosított merevlemezhez való hozzáférést biztosító visszaállítási kulcsokat. A számítógép indításakor a BitLocker lekéri a merevlemez visszaállítási kulcsait a Trusted Platform Module-tól, és feloldja a meghajtót. A visszaállítási kulcsokhoz való hozzáféréshez beállíthatja jelszó és / vagy PIN-kód használatát.

  Megadhatja az alapértelmezett teljes lemeztitkosítási szabályt, és listát készíthet a titkosításból kizárni kívánt merevlemezekről. A Kaspersky Endpoint Security a Kaspersky Security Center rendszabály alkalmazását követően elvégzi a teljes lemeztitkosítást. Az alkalmazás a merevlemezek összes logikai partícióját egyidejűleg titkosítja.

  A rendszermerevlemezek titkosítását követően a számítógép legközelebbi indításakor a felhasználónak a Hitelesítési ügynök segítségével hitelesítést kell végeznie, mielőtt hozzáférhetne a merevlemezekhez, és betöltődhetne az operációs rendszer. Ehhez meg kell adni a token vagy a számítógéphez csatlakoztatott okoskártya jelszavát, vagy a helyi hálózati rendszergazda által a Hitelesítési ügynök fiókok kezelése feladat segítségével létrehozott Hitelesítési ügynök-fiók felhasználónevét és jelszavát. Ezek a fiókok azon Microsoft Windows fiókokon alapulnak, amelyekkel a felhasználó az operációs rendszerbe bejelentkezik. Emellett használhatja az egyszeri bejelentkezés (SSO) technológiát is, amely lehetővé teszi, hogy automatikusan bejelentkezzen az operációs rendszerbe a Hitelesítési ügynök-fiókja felhasználónevével és jelszavával.

  A hitelesítés befejezésére szolgáló felület, mellyel hozzá lehet férni a titkosított merevlemezekhez, és be lehet tölteni az operációs rendszert a rendszerindításra alkalmaz merevlemez titkosítását követően.

  Ha egy számítógép tartalmáról biztonsági mentést készít, majd a számítógép adatait titkosítja, majd visszaállítja a biztonsági mentést és ismét titkosítja az adatokat, a Kaspersky Endpoint Security másodpéldányt hoz létre a Hitelesítési ügynök-fiókokból. A fiókok másodpéldányainak eltávolításához a klmover segédprogramot kell használni dupfix kulccsal. A klmover segédprogram megtalálható a Kaspersky Security Center buildben. A működéséről további információ a Kaspersky Security Center Súgóban található.

  A titkosított merevlemezekhez való hozzáférés csak olyan számítógépekről lehetséges, amelyeken a Kaspersky Endpoint Security teljes lemeztitkosítási funkcióval van telepítve. Ez az óvintézkedés minimálisra csökkenti a titkosított merevlemezeken lévő adatok kiszivárgásának kockázatát, ha a vállalat helyi hálózatán kívül próbálnak hozzájuk férni.

A merevlemezeket és cserélhető meghajtókat titkosíthatja a Csak a használt lemezterület titkosítása funkció segítségével. E funkció csak új, korábban nem használt eszközök esetén javasolt. Ha már használatban lévő eszközön alkalmaz titkosítást, akkor javasolt az egész eszközt titkosítani. Ez gondoskodik az összes adat védelméről – még a korábban törölt, de esetleg visszanyerhető információt hordozó adatokéról is.

A titkosítás megkezdése előtt a Kaspersky Endpoint Security beszerzi a fájlrendszer szektorainak térképét. A titkosítás első hullámába a titkosítás indításának pillanatában fájlok által elfoglalt szektorok tartoznak. A titkosítás második hullámába azok a szektorok tartoznak, amelyekben a titkosítás megkezdését követően történt írás. A titkosítás befejeztét követően az összes, adatokat tartalmazó szektor titkosított állapotban van.

Ha a titkosítás végeztével a felhasználó töröl egy fájlt, a törölt fájlt tároló szektorok a fájlrendszer szintjén új adatok tárolására felhasználhatók lesznek, de titkosítva maradnak. Mivel a fájlok az új készülékre íródnak, az új készülék pedig rendszeresen titkosítva van a Csak a használt lemezterület titkosítása funkcióval, így egy idő után minden rész titkosítva lesz.

A fájlok visszafejtéséhez szükséges adatokat a számítógépet a titkosítás folyamán felügyelő Kaspersky Security Center felügyeleti kiszolgáló biztosítja. Ha egy titkosított objektummal rendelkező számítógépet valamilyen oknál fogva más Adminisztrációs kiszolgáló kezelt, akkor a következő módszerekkel kérheti le a titkosított adatokat:

• Megegyező hierarchiában lévő Adminisztrációs kiszolgáló:
  • Nem szükséges további művelet végrehajtása. A felhasználó továbbra is hozzáfér a titkosított objektumokhoz. A titkosítási kulcsok az összes Adminisztrációs kiszolgáló között oszlanak el.
• Külön Adminisztrációs kiszolgáló:
  • Titkosított objektumokhoz való hozzáférés kérése a helyi hálózati rendszergazdától.
  • Titkosított eszközökön lévő adatok visszaállítása a Helyreállító segédprogrammal.
  • A számítógépet a titkosítás folyamán felügyelő Kaspersky Security Center felügyeleti kiszolgáló beállításainak visszaállítása biztonsági másolatból, és e beállítások alkalmazása a titkosított objektumokat tartalmazó számítógépet jelenleg felügyelő Adminisztrációs kiszolgálón.

Ha nincs hozzáférése a titkosított adatokhoz, kövesse a titkosított adatokkal való munkavégzésre vonatkozó, speciális instrukciókat (Titkosított fájlok elérésének visszaállítása, Munkavégzés titkosított eszközökkel hozzáférés nélkül).