Over gegevensencryptie

Met Kaspersky Endpoint Security kunt u bestanden en mappen op lokale en verwisselbare schijven of volledige verwisselbare schijven en harde schijven encrypten. Een gegevensencryptie minimaliseert het risico op het uitlekken van informatie wanneer een draagbare computer, een verwisselbare schijf of een harde schijf verloren raakt of gestolen wordt of wanneer de gegevens door onbevoegde gebruikers of programma's worden geopend.

Als de licentie is verlopen, encrypt het programma geen nieuwe gegevens en de oude geëncrypte gegevens blijven geëncrypt en beschikbaar. In dit geval moet voor de encryptie van nieuwe gegevens het programma worden geactiveerd met een nieuwe licentie die het gebruik van encryptie toestaat.

Als uw licentie is verlopen, de Gebruiksrechtovereenkomst wordt geschonden of de code, Kaspersky Endpoint Security of encryptieonderdelen zijn verwijderd, kan de geëncrypte toestand van eerder geëncrypte bestanden niet worden verzekerd. De reden hiervoor is omdat bepaalde programma's (zoals Microsoft Office Word) tijdens bewerkingen een tijdelijke kopie van bestanden maken. Wanneer het originele bestand wordt opgeslagen, wordt het originele exemplaar vervangen door het tijdelijke exemplaar. Op een computer zonder encryptiefunctionaliteit of zonder toegang tot de encryptiefunctionaliteit behoudt het bestand hierdoor een niet-geëncrypte toestand.

Kaspersky Endpoint Security beschikt over de volgende aspecten voor gegevensbescherming:

• Bestanden op schijven van een lokale computer encrypten. U kunt lijsten met bestanden maken volgens extensie of groep van extensies en lijsten met mappen op lokale schijven van de computer en regels maken voor de encryptie van bestanden die door specifieke programma's zijn aangemaakt. Nadat een Kaspersky Security Center-beleid is toegepast, encrypt en decrypt Kaspersky Endpoint Security de volgende bestanden:
  • Individuele bestanden die aan encryptie- en decryptielijsten zijn toegevoegd.
  • Bestanden in mappen die aan encryptie- en decryptielijsten zijn toegevoegd.
  • Bestanden die door afzonderlijke programma's zijn aangemaakt.

  Raadpleeg de beheerdershandleiding van Kaspersky Security Center voor informatie over het toepassen van het Kaspersky Security Center-beleid.

• Encryptie van verwisselbare schijven. U kunt een standaard encryptieregel opgeven waarmee het programma dezelfde actie toepast op alle verwisselbare schijven of u kunt encryptieregels voor individuele verwisselbare schijven opgeven.

  De standaard encryptieregel heeft een lagere prioriteit dan de encryptieregels die voor individuele verwisselbare schijven zijn gemaakt. Encryptieregels die voor een specifiek model van verwisselbare schijven zijn gemaakt, hebben een lagere prioriteit dan encryptieregels die voor verwisselbare schijven met een opgegeven apparaat-ID zijn gemaakt.

  Om een encryptieregel voor regels op een verwisselbare schijf te selecteren, controleert Kaspersky Endpoint Security of het model en het ID van het apparaat gekend zijn. Het programma voert dan een van de volgende bewerkingen uit:

  • Als alleen het model van het apparaat is gekend, gebruikt het programma de gemaakte encryptieregel (als er een is) voor het specifieke model van de verwisselbare schijven.
  • Als alleen het ID van het apparaat is gekend, gebruikt het programma de gemaakte encryptieregel (als er een is) voor verwisselbare schijven met het specifieke apparaat-ID.
  • Als het model en het ID van het apparaat zijn gekend, past het programma de gemaakte encryptieregel (als er een is) voor verwisselbare schijven met het specifieke apparaat-ID toe. In het geval dat er zo geen regel bestaat maar wel een voor het specifieke model van verwisselbare schijven, past het programma deze regel toe. Als geen encryptieregel is opgegeven voor het specifieke apparaat-ID of voor het specifieke model van het apparaat, past het programma de standaard encryptieregel toe.
  • Als noch het model van het apparaat noch het apparaat-ID zijn gekend, gebruikt het programma de standaard encryptieregel.

  Met het programma kunt u een verwisselbare schijf voorbereiden op het gebruik van de geëncrypte gegevens erop in de portable modus. Na de inschakeling van de portable modus hebt u toegang tot geëncrypte bestanden op verwisselbare schijven die zijn aangesloten op een computer zonder encryptiefunctionaliteit.

  Het programma voert de opgegeven actie in de encryptieregel uit wanneer het Kaspersky Security Center-beleid wordt toegepast.

• Regels voor toegang van programma’s tot geëncrypte bestanden beheren. U kunt voor alle programma’s een toegangsregel voor geëncrypte bestanden maken waarmee de toegang tot geëncrypte bestanden wordt geblokkeerd of waarmee de toegang tot geëncrypte bestanden alleen als gecodeerde tekst wordt toegestaan. Deze gecodeerde tekst is een reeks tekens die tijdens de toepassing van de encryptie wordt verkregen.
• Geëncrypte archieven aanmaken. U kunt geëncrypte archieven aanmaken en de toegang tot zulke archieven beveiligen met een wachtwoord. De toegang tot de inhoud van geëncrypte archieven is alleen mogelijk door de wachtwoorden in te voeren waarmee u de toegang tot die archieven hebt beveiligd. Zulke archieven kunnen veilig worden verzonden via netwerken of naar verwisselbare schijven.
• Encryptie van harde schijven. U kunt een encryptietechnologie selecteren: Kaspersky Disk Encryption of BitLocker-stationsversleuteling (hierna ook gewoon “BitLocker” genoemd).

  BitLocker is een technologie die een onderdeel van het Windows-besturingssysteem is. Als een computer over een Trusted Platform Module (TPM) beschikt, gebruikt BitLocker die module om herstelsleutels op te slaan die toegang tot een geëncrypte harde schijf kunnen geven. Wanneer de computer wordt opgestart, vraagt BitLocker de herstelsleutels voor de harde schijf op bij de Trusted Platform Module en ontgrendelt het de schijf. U kunt het gebruik van een wachtwoord en/of pincode voor de toegang tot herstelsleutels configureren.

  U kunt de standaard encryptieregel voor harde schijven opgeven en een lijst met harde schijven maken die niet moeten worden geëncrypt. Kaspersky Endpoint Security voert de encryptie van harde schijven sector per sector uit nadat het Kaspersky Security Center-beleid is toegepast. Het programma encrypt alle logische partities van harde schijven tegelijkertijd. Raadpleeg de beheerdershandleiding van Kaspersky Security Center voor informatie over het toepassen van het Kaspersky Security Center-beleid.

  Na de encryptie van de harde schijven van het systeem moet de gebruiker bij de volgende opstart van de computer diens identiteit verifiëren met behulp van de Verificatie-agent. Pas daarna wordt toegang tot de harde schijven verleend en wordt het besturingssysteem geladen. Hiertoe moet het wachtwoord van de token of de smartcard die is aangesloten op de computer worden ingevoerd of moeten de gebruikersnaam en het wachtwoord van het account in Verificatie-agent worden ingevoerd. Dit account is door de netwerkbeheerder aangemaakt met een taak voor het accountbeheer in Verificatie-agent. Dit account is gebaseerd op een Microsoft Windows-account waarmee een gebruiker zich bij het besturingssysteem aanmeldt. U kunt accounts in Verificatie-agent beheren en de Eenmalige aanmelding (SSO) gebruiken waarmee u zich automatisch bij het besturingssysteem kunt aanmelden met de gebruikersnaam en het wachtwoord van het account in Verificatie-agent.

  Een interface voor de verificatie van de identiteit om toegang tot geëncrypte harde schijven te krijgen en het besturingssysteem te laden nadat de harde schijf van het systeem is geëncrypt.

  Als u een back-up van de computer maakt en dan de gegevens op de computer encrypt om vervolgens de back-up van de computer terug te zetten en de gegevens van de computer opnieuw te encrypten, maakt Kaspersky Endpoint Security duplicaten van de accounts in Verificatie-agent. Om de dubbele accounts te verwijderen, moet u het hulpprogramma ‘klmover’ met de sleutel dupfix gebruiken. Het hulpprogramma ‘klmover’ is een onderdeel van de Kaspersky Security Center-build. U kunt meer over de werking ervan lezen in de beheerdershandleiding van Kaspersky Security Center.

  Wanneer de versie van het programma wordt geüpgraded naar Kaspersky Endpoint Security 10 Service Pack 2 voor Windows, wordt de lijst met accounts van Verificatie-agent niet opgeslagen.

  De toegang tot geëncrypte harde schijven is alleen mogelijk vanaf computers waarop Kaspersky Endpoint Security met encryptiefunctionaliteit voor harde schijven is geïnstalleerd. Deze voorzorgsmaatregel minimaliseert het risico op het uitlekken van gegevens die op een geëncrypte harde schijf staan wanneer iemand van buiten het lokale bedrijfsnetwerk toegang ertoe probeert te krijgen.

Om harde schijven en verwisselbare schijven te encrypten, kunt u de functie Alleen gebruikte schijfruimte encrypten gebruiken. U wordt aanbevolen deze functie alleen te gebruiken voor nieuwe apparaten die niet eerder zijn gebruikt. Als u een encryptie toepast op een apparaat dat al wordt gebruikt, wordt u aanbevolen het gehele apparaat te encrypten. Dit verzekert dat alle gegevens zijn beschermd, zelfs verwijderde gegevens die mogelijk nog ophaalbare informatie bevatten.

Kaspersky Endpoint Security verkrijgt de kaart met bestandssysteemsectoren alvorens de encryptie te starten. De eerste encryptiefase is gericht op sectoren die worden ingenomen door bestanden op het moment dat de encryptie wordt gestart. De tweede encryptiefase is gericht op sectoren waarnaar er is geschreven nadat de encryptie werd gestart. Wanneer de encryptie is voltooid, zijn alle sectoren met gegevens geëncrypt.

Wanneer de encryptie is voltooid en een gebruiker een bestand verwijdert, worden de sectoren waar het verwijderde bestand was opgeslagen opnieuw beschikbaar. In die sectoren kan dan nieuwe informatie op bestandssysteemniveau worden opgeslagen die ook geëncrypt zal zijn. Dit betekent ook dat bij het schrijven van nieuwe bestanden naar een nieuw apparaat tijdens de start van een normale encryptie waarbij de functie Alleen gebruikte schijfruimte encrypten is ingeschakeld op de computer, alle sectoren na een bepaalde tijd geëncrypt zullen zijn.

De benodigde gegevens voor de decryptie van de bestanden worden door de Administration Server van Kaspersky Security Center geleverd die de computer op het moment van de encryptie beheerde. Als de computer met geëncrypte bestanden om een willekeurige reden onder de controle van een andere Administration Server staat en de geëncrypte bestanden zijn niet eenmaal geopend geweest, kan op de volgende manieren toegang worden verkregen:

• toegang tot geëncrypte objecten vragen aan de netwerkbeheerder;
• toegang tot geëncrypte bestanden herstellen met de Herstelvoorziening;
• Gebruik een back-up voor het herstellen van de configuratie van de Administration Server van Kaspersky Security Center die de computer op het moment van de encryptie controleerde en gebruik deze configuratie op de Administration Server die de computer met de geëncrypte objecten nu beheert.

Het programma maakt tijdens de encryptie servicebestanden aan. Ongeveer twee tot drie procent van niet-gefragmenteerde vrije ruimte op de harde schijf is vereist voor de opslag ervan. Als er onvoldoende niet-gefragmenteerde vrije ruimte op de harde schijf is, wordt de encryptie pas gestart wanneer er voldoende ruimte is vrijgemaakt.

De compatibiliteit tussen de encryptiefunctionaliteit van Kaspersky Endpoint Security en Kaspersky Anti-Virus voor UEFI wordt niet ondersteund. De encryptie van de harde schijven van computers waarop Kaspersky Anti-Virus voor UEFI is geïnstalleerd zorgt ervoor dat Kaspersky Anti-Virus voor UEFI onklaar wordt gemaakt.