Gegevensencryptie

Met Kaspersky Endpoint Security kunt u bestanden en mappen op lokale en verwisselbare schijven of volledige verwisselbare schijven en harde schijven encrypten. Een gegevensencryptie minimaliseert het risico op het uitlekken van informatie wanneer een draagbare computer, een verwisselbare schijf of een harde schijf verloren raakt of gestolen wordt of wanneer de gegevens door onbevoegde gebruikers of programma's worden geopend. Kaspersky Endpoint Security gebruikt het AES-encryptiealgoritme (Advanced Encryption Standard).

Als de licentie is verlopen, encrypt het programma geen nieuwe gegevens en de oude geëncrypte gegevens blijven geëncrypt en beschikbaar. In dit geval moet voor de encryptie van nieuwe gegevens het programma worden geactiveerd met een nieuwe licentie die het gebruik van encryptie toestaat.

Als uw licentie is verlopen, de Gebruiksrechtovereenkomst wordt geschonden of de licentiesleutel, Kaspersky Endpoint Security of encryptieonderdelen zijn verwijderd, kan de geëncrypte toestand van eerder geëncrypte bestanden niet worden verzekerd. De reden hiervoor is omdat bepaalde programma's (zoals Microsoft Office Word) tijdens bewerkingen een tijdelijke kopie van bestanden maken. Wanneer het originele bestand wordt opgeslagen, wordt het originele exemplaar vervangen door het tijdelijke exemplaar. Op een computer zonder encryptiefunctionaliteit of zonder toegang tot de encryptiefunctionaliteit behoudt het bestand hierdoor een niet-geëncrypte toestand.

Kaspersky Endpoint Security beschikt over de volgende aspecten voor gegevensbescherming:

• File Level Encryption op lokale schijven van de computer. U kunt lijsten met bestanden maken volgens extensie of groep van extensies en lijsten met mappen op lokale schijven van de computer en regels maken voor de encryptie van bestanden die door specifieke programma's zijn aangemaakt. Nadat een beleid is toegepast, encrypt en decrypt Kaspersky Endpoint Security de volgende bestanden:
  • individuele bestanden die aan encryptie- en decryptielijsten zijn toegevoegd;
  • bestanden in mappen die aan encryptie- en decryptielijsten zijn toegevoegd;
  • Bestanden die door afzonderlijke programma's zijn aangemaakt.
• Encryptie van verwisselbare schijven. U kunt een standaard encryptieregel opgeven waarmee het programma dezelfde actie toepast op alle verwisselbare schijven of u kunt encryptieregels voor individuele verwisselbare schijven opgeven.

  De standaard encryptieregel heeft een lagere prioriteit dan de encryptieregels die voor individuele verwisselbare schijven zijn gemaakt. Encryptieregels die voor een specifiek model van verwisselbare schijven zijn gemaakt, hebben een lagere prioriteit dan encryptieregels die voor verwisselbare schijven met een opgegeven apparaat-ID zijn gemaakt.

  Om een encryptieregel voor regels op een verwisselbare schijf te selecteren, controleert Kaspersky Endpoint Security of het model en het ID van het apparaat gekend zijn. Het programma voert dan een van de volgende bewerkingen uit:

  • Als alleen het model van het apparaat is gekend, gebruikt het programma de gemaakte encryptieregel (als er een is) voor het specifieke model van de verwisselbare schijven.
  • Als alleen het ID van het apparaat is gekend, gebruikt het programma de gemaakte encryptieregel (als er een is) voor verwisselbare schijven met het specifieke apparaat-ID.
  • Als het model en het ID van het apparaat zijn gekend, past het programma de gemaakte encryptieregel (als er een is) voor verwisselbare schijven met het specifieke apparaat-ID toe. In het geval dat er zo geen regel bestaat maar wel een voor het specifieke model van verwisselbare schijven, past het programma deze regel toe. Als geen encryptieregel is opgegeven voor het specifieke apparaat-ID of voor het specifieke model van het apparaat, past het programma de standaard encryptieregel toe.
  • Als noch het model van het apparaat noch het apparaat-ID zijn gekend, gebruikt het programma de standaard encryptieregel.

  Met het programma kunt u een verwisselbare schijf voorbereiden op het gebruik van de geëncrypte gegevens erop in de portable modus. Na de inschakeling van de portable modus hebt u toegang tot geëncrypte bestanden op verwisselbare schijven die zijn aangesloten op een computer zonder encryptiefunctionaliteit.

• Regels voor toegang van programma's tot geëncrypte bestanden beheren. U kunt voor alle programma's een toegangsregel voor geëncrypte bestanden maken waarmee de toegang tot geëncrypte bestanden wordt geblokkeerd of waarmee de toegang tot geëncrypte bestanden alleen als gecodeerde tekst wordt toegestaan. Deze gecodeerde tekst is een reeks tekens die tijdens de toepassing van de encryptie wordt verkregen.
• Geëncrypte pakketten aanmaken. U kunt geëncrypte archieven aanmaken en de toegang tot zulke archieven beveiligen met een wachtwoord. De toegang tot de inhoud van geëncrypte archieven is alleen mogelijk door de wachtwoorden in te voeren waarmee u de toegang tot die archieven hebt beveiligd. Zulke archieven kunnen veilig worden verzonden via netwerken of naar verwisselbare schijven.
• Full Disk Encryption. U kunt een encryptietechnologie selecteren: Kaspersky Disk Encryption of BitLocker-stationsversleuteling (hierna ook gewoon "BitLocker" genoemd).

  BitLocker is een technologie die een onderdeel van het Windows-besturingssysteem is. Als een computer over een Trusted Platform Module (TPM) beschikt, gebruikt BitLocker die module om herstelsleutels op te slaan die toegang tot een geëncrypte harde schijf kunnen geven. Wanneer de computer wordt opgestart, vraagt BitLocker de herstelsleutels voor de harde schijf op bij de Trusted Platform Module en ontgrendelt het de schijf. U kunt het gebruik van een wachtwoord en/of pincode voor de toegang tot herstelsleutels configureren.

  U kunt de standaard Full Disk Encryption-regel opgeven en een lijst met harde schijven maken die niet moeten worden geëncrypt. Kaspersky Endpoint Security voert de Full Disk Encryption sector per sector uit nadat het Kaspersky Security Center-beleid is toegepast. Het programma encrypt alle logische partities van harde schijven tegelijkertijd.

  Na de encryptie van de harde schijven van het systeem moet de gebruiker bij de volgende opstart van de computer diens identiteit verifiëren met behulp van de Authenticatie-agent. Pas daarna wordt toegang tot de harde schijven verleend en wordt het besturingssysteem geladen. Hiertoe moet het wachtwoord van de token of de smartcard aangesloten op de computer worden ingevoerd of moeten de gebruikersnaam en het wachtwoord van de Authenticatie-agent-account worden ingevoerd. Dit account is door de lokale netwerkbeheerder aangemaakt met de taak Accounts voor Authenticatie-agent beheren. Dit account is gebaseerd op een Microsoft Windows-account waarmee een gebruiker zich bij het besturingssysteem aanmeldt. U kunt ook Eenmalige aanmelding (SSO)-technologie gebruiken, waarmee u zich automatisch bij het besturingssysteem kunt aanmelden met de gebruikersnaam en het wachtwoord van de account voor authenticatie-agent.

  Interface voor het verifiëren van de identiteit om toegang tot geëncrypte harde schijven te krijgen en het besturingssysteem te laden nadat de opstartbare harde schijf is geëncrypt.

  Als u een back-up van de computer maakt en dan de gegevens op de computer encrypt om vervolgens de back-up van de computer terug te zetten en de gegevens van de computer opnieuw te encrypten, maakt Kaspersky Endpoint Security duplicaten van de accounts voor Authenticatie-agent. Om de dubbele accounts te verwijderen, moet u het hulpprogramma 'klmover' met de sleutel dupfix gebruiken. Het hulpprogramma 'klmover' is een onderdeel van de Kaspersky Security Center-build. U kunt meer over de werking ervan lezen in de Help van Kaspersky Security Center.

  De toegang tot geëncrypte harde schijven is alleen mogelijk vanaf computers waarop Kaspersky Endpoint Security met Full Disk Encryption-functionaliteit is geïnstalleerd. Deze voorzorgsmaatregel minimaliseert het risico op het uitlekken van gegevens die op een geëncrypte harde schijf staan wanneer iemand van buiten het lokale bedrijfsnetwerk toegang ertoe probeert te krijgen.

Om harde schijven en verwisselbare schijven te encrypten, kunt u de functie Alleen gebruikte schijfruimte encrypten gebruiken. U wordt aanbevolen deze functie alleen te gebruiken voor nieuwe apparaten die niet eerder zijn gebruikt. Als u een encryptie toepast op een apparaat dat al wordt gebruikt, wordt u aanbevolen het gehele apparaat te encrypten. Dit verzekert dat alle gegevens beschermd zijn, zelfs verwijderde gegevens die mogelijk nog ophaalbare informatie bevatten.

Kaspersky Endpoint Security verkrijgt de kaart met bestandssysteemsectoren alvorens de encryptie te starten. De eerste encryptiefase is gericht op sectoren die worden ingenomen door bestanden op het moment dat de encryptie wordt gestart. De tweede encryptiefase is gericht op sectoren waarnaar er is geschreven nadat de encryptie werd gestart. Wanneer de encryptie is voltooid, zijn alle sectoren met gegevens geëncrypt.

Wanneer de encryptie is voltooid en een gebruiker een bestand verwijdert, worden de sectoren waar het verwijderde bestand was opgeslagen opnieuw beschikbaar. In die sectoren kan dan nieuwe informatie op bestandssysteemniveau worden opgeslagen die ook geëncrypt zal zijn. Als bestanden dus worden geschreven naar een nieuw apparaat en het apparaat wordt regelmatig geëncrypt met de functie Alleen gebruikte schijfruimte encrypten, zullen na enige tijd alle sectoren geëncrypt zijn.

De benodigde gegevens voor de decryptie van de bestanden worden door de Administration Server van Kaspersky Security Center geleverd die de computer op het moment van de encryptie beheerde. Als de computer met geëncrypte objecten om de een of andere reden door een andere beheerserver werd beheerd, kunt u op een van de volgende manieren toegang krijgen tot de geëncrypte gegevens:

• Beheerservers in dezelfde hiërarchie:
  • U hoeft niets te doen. De gebruiker behoudt toegang tot de geëncrypte objecten. Encryptiesleutels worden verstuurd naar alle Administration Servers.
• Gescheiden beheerservers:
  • Toegang tot geëncrypte objecten vragen aan de LAN-beheerder.
  • Toegang tot geëncrypte bestanden herstellen met de Herstelvoorziening.
  • Gebruik een back-up voor het herstellen van de configuratie van de Administration Server van Kaspersky Security Center die de computer op het moment van de encryptie controleerde en gebruik deze configuratie op de Administration Server die de computer met de geëncrypte objecten nu beheert.

Als er geen toegang is tot geëncrypte gegevens, volg dan de speciale instructies voor het werken met geëncrypte gegevens (Toegang tot geëncrypte bestanden herstellen, Werken met geëncrypte apparaten als er geen toegang toe is).