Шифрование и защита данных

Шифрование данных снижает риски непреднамеренной утечки информации в случае кражи / утери портативного устройства, съемного диска или жесткого диска, или при доступе к данным неавторизованных пользователей и программ.

Шифрование реализовано в программе Kaspersky Endpoint Security для Windows. Kaspersky Endpoint Security для Windows позволяет шифровать файлы, хранящиеся на локальных дисках устройств и съемных дисках, съемные диски и жесткие диски целиком.

Настройка правил шифрования выполняется с помощью Kaspersky Security Center через определение политик. Шифрование и расшифровка по заданным правилам выполняются при применении политики.

Доступность функциональности управления шифрованием определяется параметрами пользовательского интерфейса.

Администратор может выполнять следующие действия:

• настраивать и выполнять шифрование или расшифровку файлов на локальных дисках устройства;
• настраивать и выполнять шифрование файлов на съемных дисках;
• формировать правила доступа программ к зашифрованным файлам;
• создавать и передавать пользователю файл ключа доступа к зашифрованным файлам, если на устройстве пользователя ограничена функциональность шифрования файлов;
• настраивать и выполнять шифрование жестких дисков;
• управлять доступом пользователей к зашифрованным жестким дискам и съемным дискам (управлять учетными записями агента аутентификации, формировать и передавать пользователям блоки ответа на запрос о восстановлении имени и пароля учетной записи и ключи доступа к зашифрованным устройствам);
• просматривать статусы шифрования и отчеты о шифровании файлов.

Эти операции выполняются средствами программы Kaspersky Endpoint Security для Windows. Подробные инструкции по выполнению операций и описание особенностей шифрования приведены в онлайн-справке Kaspersky Endpoint Security для Windows.

Kaspersky Security Center поддерживает функционал управления шифрованием для устройств с операционными системами macOS. Настройка шифрования выполняется средствами программы Kaspersky Endpoint Security для Mac для тех версий программ, которые поддерживают шифрование. Подробные инструкции по выполнению операций и описание особенностей шифрования приведены в Руководстве администратора Kaspersky Endpoint Security для Mac.

Просмотр списка зашифрованных устройств

Чтобы просмотреть список устройств, информация на которых была зашифрована:

1. В дереве консоли Сервера администрирования выберите папку Шифрование и защита данных.
2. Перейдите к списку зашифрованных устройств одним из следующих способов:
   • По ссылке Перейти к списку зашифрованных жестких дисков перейдите в раздел Управление зашифрованными дисками.
   • Выберите в дереве консоли папку Зашифрованные жесткие диски.

В результате в рабочей области будет представлена информация об имеющихся в сети устройствах, на которых есть зашифрованные файлы, и устройствах, зашифрованных на уровне дисков. После того, как информация на устройстве будет расшифрована, устройство будет автоматически удалено из списка.

Вы можете сортировать информацию в списке устройств по возрастанию или убыванию данных любой из граф.

Наличие или отсутствие папки Data encryption and protection в дереве консоли определяется Шифрование и защита данных.

Просмотр списка событий шифрования

В процессе выполнения задач шифрования или расшифровки данных на устройствах Kaspersky Endpoint Security для Windows отправляет в Kaspersky Security Center информацию о возникающих событиях следующих типов:

• невозможно зашифровать или расшифровать файл или создать зашифрованный архив из-за нехватки места на диске;
• невозможно зашифровать или расшифровать файл или создать зашифрованный архив из-за проблем с лицензией;
• невозможно зашифровать или расшифровать файл или создать зашифрованный архив из-за отсутствия прав доступа;
• программе запрещен доступ к зашифрованному файлу;
• неизвестные ошибки.

Чтобы просмотреть список событий, возникших при шифровании данных на устройствах:

1. В дереве консоли Сервера администрирования выберите папку Шифрование и защита данных.
2. Перейдите к списку событий, возникших при шифровании, одним из следующих способов:
   • По ссылке Перейти к списку ошибок перейдите в раздел Ошибки шифрования данных.
   • Выберите в дереве консоли папку Зашифрованные жесткие диски.

В результате в рабочей области будет представлена информация о проблемах, возникших при шифровании данных на устройствах.

Вы можете выполнять следующие действия со списком событий шифрования:

• сортировать записи по возрастанию или убыванию данных в любой из граф;
• выполнять быстрый поиск по записям (по текстовому совпадению с подстрокой в любом поле списка);
• экспортировать сформированный список событий в текстовый файл.

Наличие или отсутствие папки Data encryption and protection в дереве консоли определяется Шифрование и защита данных.

Экспорт списка событий шифрования в текстовый файл

Чтобы экспортировать список событий шифрования в текстовый файл:

1. Сформируйте список событий шифрования.
2. В контекстном меню списка событий выберите пункт Экспортировать список.

   Откроется окно Экспорт списка.

3. В окне Экспорт списка укажите имя текстового файла со списком событий, выберите папку, в которую он будет сохранен, и нажмите на кнопку Сохранить.

   Список событий шифрования будет сохранен в указанный файл.

Формирование и просмотр отчетов о шифровании

Вы можете формировать следующие отчеты:

• Отчет о статусе шифрования управляемых устройств. В этом отчете представлены сведения о шифровании данных различных управляемых устройств. Например, в отчете показано количество устройств, к которым применяется политика с настроенными правилами шифрования. Также можно узнать, например, сколько устройств нужно перезагрузить. Отчет также содержит информацию о технологии и алгоритме шифрования для каждого устройства.
• Отчет о статусе шифрования запоминающих устройств. Этот отчет содержит похожую информацию, что и отчет о состоянии шифрования управляемых устройств, но предоставляет данные только для запоминающих устройств и съемных дисков.
• Отчет о правах доступа к зашифрованным дискам. Этот отчет показывает, какие учетные записи пользователей имеют доступ к зашифрованным жестким дискам.
• Отчет об ошибках шифрования файлов. Отчет содержит информацию об ошибках, которые возникли при выполнении задач шифрования или расшифровки данных на устройствах.
• Отчет о блокировании доступа к зашифрованным файлам. Отчет содержит информацию о блокировке доступа программ к зашифрованным файлам. Этот отчет полезен, если неавторизованный пользователь или программа пытается получить доступ к зашифрованным файлам или жестким дискам.

Чтобы сгенерировать отчет шифрования устройств:

1. В дереве консоли выберите папку Шифрование и защита данных.
2. Выполните одно из следующих действий:
   • Чтобы сгенерировать отчет о статусе шифрования управляемых устройств, перейдите по ссылке Отчет о статусе шифрования запоминающих устройств.

     Если отчет не был настроен ранее, запустится мастер создания шаблонов отчетов. Следуйте далее указаниям мастера.

   • Чтобы сформировать отчет о статусе шифрования запоминающих устройств, в дереве консоли выберите подпапку Зашифрованные жесткие диски и нажмите на кнопку Отчет о статусе шифрования запоминающих устройств.

Запустится процесс формирования отчета. Отчет отображается в рабочей области узла Сервер администрирования на закладке Отчеты.

Чтобы сформировать отчет о правах доступа к зашифрованным устройствам:

1. В дереве консоли выберите папку Шифрование и защита данных.
2. Выполните одно из следующих действий:
   • По ссылке Отчет о правах доступа к зашифрованным дискам в блоке Управление зашифрованными дисками запустите мастер создания шаблона отчета.
   • Выберите вложенную папку Зашифрованные жесткие диски, а затем запустите мастер создания шаблона отчета, нажав на кнопку Отчет о правах доступа к зашифрованным дискам.
3. Следуйте шагам мастера создания шаблона отчета.

Запустится процесс формирования отчета. Отчет отображается в рабочей области узла Сервер администрирования на закладке Отчеты.

Чтобы сгенерировать отчет об ошибках шифрования файлов:

1. В дереве консоли выберите папку Шифрование и защита данных.
2. Выполните одно из следующих действий:
   • По ссылке Просмотреть отчет об ошибках шифрования файлов в блоке управления Ошибки шифрования данных запустите мастер создания шаблона отчета.
   • Выберите вложенную папку События шифрования, а затем по ссылке Отчет об ошибках шифрования файлов запустите мастер создания шаблона отчета.
3. Следуйте шагам мастера создания шаблона отчета.

Запустится процесс формирования отчета. Отчет отображается в рабочей области узла Сервер администрирования на закладке Отчеты.

Чтобы сгенерировать отчет о статусе шифрования управляемых устройств:

1. В дереве консоли выберите узел с именем нужного вам Сервера администрирования.
2. В рабочей области узла выберите закладку Отчеты.
3. По кнопке Новый шаблон отчета запустите мастер создания шаблона отчета.
4. Следуйте указаниям мастера создания шаблона отчета. В окне Выбор типа шаблона отчета в разделе Другое выберите Отчет о статусе шифрования управляемых устройств.

   После завершения работы мастера создания шаблона отчета в узле Сервер администрирования на закладке Отчеты появится новый шаблон отчета.

5. В узле нужного вам Сервера администрирования на закладке Отчеты выберите шаблон отчета, созданный на предыдущих шагах инструкции.

Запустится процесс формирования отчета. Отчет отображается в рабочей области узла Сервер администрирования на закладке Отчеты.

Информацию о соответствии статусов шифрования устройств и съемных дисков политике шифрования также можно просматривать в информационных панелях на закладке Статистика узла Сервер администрирования.

Чтобы сгенерировать отчет о блокировании доступа к зашифрованным файлам:

1. В дереве консоли выберите узел с именем нужного вам Сервера администрирования.
2. В рабочей области узла выберите закладку Отчеты.
3. По кнопке Новый шаблон отчета запустите мастер создания шаблона отчета.
4. Следуйте указаниям мастера создания шаблона отчета. В окне Выбор типа шаблона отчета в разделе Другое выберите Отчет о блокировании доступа к зашифрованным файлам.

   После завершения работы мастера создания шаблона отчета в узле Сервер администрирования на закладке Отчеты появится новый шаблон отчета.

5. В узле Сервер администрирования на закладке Отчеты выберите шаблон отчета, созданный на предыдущих шагах инструкции.

Запустится процесс формирования отчета. Отчет отображается в рабочей области узла Сервер администрирования на закладке Отчеты.

Передача ключей шифрования между Серверами администрирования

Если на управляемом устройстве включена функция шифрования данных, ключ шифрования хранится на Сервере администрирования. Ключ шифрования используется для доступа к зашифрованным данным и для управления политикой шифрования.

Ключ шифрования должен быть передан на другой Сервер администрирования в следующих случаях:

• Вы переконфигурировали Агент администрирования на управляемом устройстве, чтобы назначить устройство другому Серверу администрирования. Если это устройство содержит зашифрованные данные, ключ шифрования должен быть передан на целевой Сервер администрирования. В противном случае не удастся расшифровать данные.
• Вы зашифровали съемный диск, подключенный к устройству D1, которым управляет Сервер администрирования S1, а затем подключаете этот съемный диск к устройству D2, управляемому Сервером администрирования S2. Для доступа к данным на съемном диске ключ шифрования должен быть передан с Сервера администрирования S1 на Сервер администрирования S2.
• Вы зашифровали файл на устройстве D1, управляемом Сервером администрирования S1, и затем пытаетесь получить доступ к файлу на устройстве D2, управляемом Сервером администрирования S2. Для доступа к файлу ключ шифрования должен быть передан с Сервера администрирования S1 на Сервер администрирования S2.

Ключи шифрования можно передавать следующими способами:

• Автоматически, включив параметр Использовать иерархию Серверов администрирования для получения ключей шифрования в свойствах двух Серверов администрирования, между которыми должен передаваться ключ шифрования. Если этот параметр выключен для одного из Серверов администрирования, автоматическая передача ключей шифрования невозможна.

  При включении параметра Использовать иерархию Серверов администрирования для получения ключей шифрования в свойствах Сервера администрирования, Сервер администрирования отправляет ключи шифрования на главный Сервер администрирования (если он существует) на один уровень иерархии выше.

  Когда вы пытаетесь получить доступ к зашифрованным данным, Сервер администрирования сначала ищет ключ шифрования в своем хранилище. Если включен параметр Использовать иерархию Серверов администрирования для получения ключей шифрования, а требуемый ключ шифрования отсутствует в хранилище, Сервер администрирования дополнительно отправляет запрос на главный Сервер администрирования (если он существует), чтобы получить требуемый ключ шифрования. Запрос отправляется на все главные Серверы администрирования, вплоть до Сервера на самом верхнем уровне иерархии.

Параметр Использовать иерархию Серверов администрирования для получения ключей шифрования недоступен в интерфейсе Web Console. Если у вас нет доступа к Консоли администрирования на основе MMC, используйте главный Сервер администрирования для управления зашифрованными устройствами.

• Вручную от одного Сервера администрирования другому путем экспорта и импорта файла, содержащего ключи шифрования.

  Экспорт и импорт ключей шифрования – это действия, включенные в функционал управления ключами шифрования. Чтобы выполнить эти действия, настройте права доступа к функции для пользователей Kaspersky Security Center следующим образом:

  • Предоставить право Чтение к функции Управление ключами шифрования для пользователя, который экспортирует ключи шифрования с подчиненного Сервера администрирования.
  • Предоставить право Запись к функции Управление ключами шифрования для пользователя, импортирующего ключи шифрования на требуемый Сервер администрирования.

Чтобы включить автоматическую передачу ключей шифрования между Серверами администрирования в иерархии:

1. В дереве консоли выберите Сервер администрирования, для которого нужно включить автоматическую передачу ключей шифрования.
2. В контекстном меню Сервера администрирования выберите пункт Свойства.
3. В окне свойств выберите раздел Алгоритм шифрования.
4. Включите параметр Использовать иерархию Серверов администрирования для получения ключей шифрования.
5. Нажмите на кнопку ОК, чтобы применить изменения.

Ключи шифрования будут переданы на главный Сервер администрирования (если он существует) при следующей синхронизации (пакете пульса). Этот Сервер администрирования также предоставляет по запросу ключ шифрования от своего хранилища подчиненному Серверу администрирования.

Чтобы передать ключи шифрования между Серверами администрирования вручную:

1. В дереве консоли Сервера администрирования выберите подчиненный Сервер администрирования, с которого требуется передать ключи шифрования.
2. В контекстном меню Сервера администрирования выберите пункт Свойства.
3. В окне свойств выберите раздел Алгоритм шифрования.
4. Нажмите на кнопку Экспортировать ключи шифрования с Сервера администрирования.

   Убедитесь, что пользователю, который экспортирует ключи шифрования с Сервера, предоставлено право Чтение к функции Управления ключами шифрования.

5. В окне Экспорт ключей шифрования:
   • Нажмите на кнопку Обзор, а затем укажите, куда сохранить файл.
   • Укажите пароль, чтобы защитить файл от несанкционированного доступа.

     Запомните пароль. Утерянный пароль не может быть восстановлен. Если пароль утерян, необходимо повторить процедуру экспорта. Поэтому запишите пароль и держите его под рукой.

6. Передайте файл на другой Сервер администрирования, например, с помощью папки общего доступа или съемного диска.
7. Убедитесь, что на целевом Сервере администрирования запущена Консоль администрирования Kaspersky Security Center.
8. В дереве консоли Сервера администрирования выберите целевой Сервер администрирования, куда требуется передать ключи шифрования.
9. В контекстном меню Сервера администрирования выберите пункт Свойства.
10. В окне свойств выберите раздел Алгоритм шифрования.
11. Нажмите на кнопку Импортировать ключи шифрования на Сервер администрирования.

    Убедитесь, что пользователю, импортирующему ключи шифрования на Сервер, предоставлено право Запись к функции Управления ключами шифрования.

12. В окне Импорт ключей шифрования:
    • Нажмите на кнопку Обзор и выберите файл, содержащий ключи шифрования.
    • Укажите пароль.
13. Нажмите на кнопку ОК.

Ключи шифрования будут переданы на целевой Сервер администрирования.