Szyfrowanie danych

Kaspersky Endpoint Security umożliwia szyfrowanie plików i folderów przechowywanych na dyskach lokalnych i nośnikach wymiennych lub wszystkich nośnikach wymiennych i dyskach twardych. Szyfrowanie danych minimalizuje ryzyko wycieku informacji, co może mieć miejsce, gdy komputer przenośny, nośnik wymienny lub dysk twardy zostanie zgubiony bądź skradziony lub gdy dostęp do danych jest uzyskiwany przez nieautoryzowanych użytkowników lub aplikacje. Kaspersky Endpoint Security używa algorytmu szyfrowania AES (Advanced Encryption Standard).

Jeśli licencja utraciła ważność, aplikacja nie szyfruje nowych danych, a stare zaszyfrowane dane pozostają zaszyfrowane i dostępne do użycia. W tej sytuacji szyfrowanie nowych danych wymaga aktywacji aplikacji z nową licencją zezwalającą na korzystanie z szyfrowania.

Jeśli licencja utraciła ważność, postanowienia Umowy licencyjnej zostały naruszone lub klucz licencyjny, program Kaspersky Endpoint Security bądź moduły szyfrujące zostały usunięte, stan zaszyfrowany wcześniej zaszyfrowanych plików nie zostanie zagwarantowany. Dzieje się tak, ponieważ niektóre aplikacje, takie jak Microsoft Office Word, podczas modyfikacji tworzą tymczasowe kopie plików. Po zapisaniu oryginalnego pliku, tymczasowa kopia zastępuje oryginalny plik. W rezultacie, na komputerze, na którym nie ma żadnej lub dostępnej funkcji szyfrowania, plik pozostanie niezaszyfrowany.

Kaspersky Endpoint Security oferuje następujące aspekty ochrony danych:

• Szyfrowanie na poziomie plików na lokalnych dyskach komputera. Możesz tworzyć listy plików według rozszerzenia lub grup rozszerzeń oraz listy folderów przechowywanych na lokalnych dyskach komputera, a także tworzyć reguły szyfrowania plików, które są tworzone przez określone aplikacje. Po zastosowaniu zasady, Kaspersky Endpoint Security zaszyfruje i odszyfruje następujące pliki:
  • Pliki pojedynczo dodane do list elementów przeznaczonych do zaszyfrowania i odszyfrowania;
  • Pliki przechowywane w folderach dodanych do list elementów przeznaczonych do zaszyfrowania i odszyfrowania;
  • Pliki utworzone przez oddzielne aplikacje.
• Szyfrowanie dysków wymiennych. Możesz określić domyślną regułę szyfrowania, zgodnie z którą aplikacja stosuje tę samą akcję do wszystkich dysków wymiennych lub określić reguły szyfrowania dla pojedynczych dysków wymiennych.

  Domyślna reguła szyfrowania ma niższy priorytet niż reguły szyfrowania utworzone dla pojedynczych dysków wymiennych. Reguły szyfrowania utworzone dla dysków wymiennych z określonym modelem urządzenia mają niższy priorytet niż reguły szyfrowania, utworzone dla dysków wymiennych z określonym kodem ID urządzenia.

  Aby wybrać regułę szyfrowania dla plików na nośniku wymiennym, Kaspersky Endpoint Security sprawdza, czy model i kod ID urządzenia są znane. Następnie aplikacja wykonuje jedną z poniższych czynności:

  • Jeśli tylko model urządzenia jest znany, aplikacja używa reguły szyfrowania (jeśli istnieje), utworzonej dla dysków wymiennych o określonym modelu urządzenia.
  • Jeśli tylko ID urządzenia jest znane, aplikacja używa reguły szyfrowania (jeśli istnieje), utworzonej dla dysków wymiennych o określonym ID urządzenia.
  • Jeśli model i ID urządzenia są znane, aplikacja stosuje regułę szyfrowania (jeśli istnieje), utworzoną dla dysków wymiennych o określonym ID urządzenia. Jeśli nie istnieje taka reguła, ale istnieje reguła szyfrowania utworzona dla nośników wymiennych o określonym modelu urządzenia, aplikacja zastosuje tę regułę. Jeśli dla określonego ID urządzenia i określonego modelu urządzenia nie określono żadnej reguły szyfrowania, aplikacja zastosuje domyślną regułę szyfrowania.
  • Jeśli nie jest znany model i kod ID urządzenia, aplikacja używa domyślnej reguły szyfrowania.

  Aplikacja umożliwia przygotowanie dysku wymiennego do używania w trybie przenośnym przechowywanych na nim zaszyfrowanych danych. Po włączeniu trybu przenośnego, użytkownik może uzyskać dostęp do zaszyfrowanych plików na dyskach wymiennych podłączonych do komputera bez funkcji szyfrowania.

• Zarządzanie regułami dostępu aplikacji do zaszyfrowanych plików. Dla dowolnej aplikacji użytkownik może utworzyć regułę dostępu do zaszyfrowanego pliku, która zablokuje dostęp do zaszyfrowanych plików lub zezwoli na dostęp do zaszyfrowanych plików tylko jako tekst zaszyfrowany, który jest sekwencją znaków uzyskanych w momencie stosowania szyfrowania.
• Tworzenie zaszyfrowanych pakietów. Możesz utworzyć zaszyfrowane archiwa i chronić dostęp do takich archiwów przy pomocy hasła. Dostęp do zawartości zaszyfrowanych archiwów można uzyskać tylko poprzez wprowadzenie haseł, przy pomocy których chroniony jest dostęp do tych archiwów. Takie archiwa można bezpiecznie przesyłać poprzez sieci lub nośniki wymienne.
• Szyfrowanie całego dysku. Możesz wybrać technologię szyfrowania: Kaspersky Disk Encryption lub Szyfrowanie dysków funkcją BitLocker (zwana dalej również „BitLocker”).

  BitLocker to technologia, która jest częścią systemu operacyjnego Windows. Jeśli komputer zawiera moduł Trusted Platform Module (TPM), BitLocker używa go do przechowywania kluczy dostępu, które umożliwiają uzyskanie dostępu do zaszyfrowanego dysku twardego. Po uruchomieniu komputera, BitLocker żąda od Trusted Platform Module kluczy odzyskiwania dysku twardego i odblokowuje dysk. Możesz skonfigurować korzystanie z hasła i/lub kodu PIN do uzyskania dostępu do kluczy odzyskiwania.

  Możesz określić domyślną regułę szyfrowania całego dysku oraz utworzyć listę dysków twardych wykluczonych z szyfrowania. Po zastosowaniu profilu Kaspersky Security Center, program Kaspersky Endpoint Security zaszyfruje cały dysk sektor po sektorze. Aplikacja szyfruje wszystkie logiczne partycje dysków twardych jednocześnie.

  Po zaszyfrowaniu dysków twardych, przy kolejnym uruchomieniu komputera użytkownik musi przejść proces autoryzacji przy użyciu Agenta autoryzacji przed uzyskaniem dostępu do dysków twardych i załadowaniem systemu operacyjnego. Wymaga to wprowadzenia hasła do tokena lub karty inteligentnej podłączonej do komputera, bądź wpisania nazwy użytkownika i hasła konta Agenta autoryzacji utworzonego przez administratora lokalnej sieci firmowej przy użyciu zadania Zarządzanie kontami Agenta autoryzacji. Konta te są oparte na kontach systemu Microsoft Windows, z poziomu których użytkownik loguje się do systemu operacyjnego. Możesz także użyć technologii logowania jednokrotnego (SSO), która umożliwia automatyczne logowanie do systemu operacyjnego przy użyciu nazwy użytkownika i hasła dla konta Agenta autoryzacji.

  Interfejs umożliwiający przeprowadzenie procesu autoryzacji w celu uzyskania dostępu do zaszyfrowanych dysków twardych i załadowania systemu operacyjnego po zaszyfrowaniu dysku twardego.

  Jeśli utworzysz kopie zapasowe danych komputera, a następnie zaszyfrujesz dane komputera, po czym przywrócisz kopie zapasowe danych komputera i ponownie zaszyfrujesz dane komputera, Kaspersky Endpoint Security utworzy kopie kont Agenta autoryzacji. Aby usunąć kopie kont, użyj narzędzia klmover z parametrem dupfix. Narzędzie klmover jest dostępne z programem Kaspersky Security Center. Więcej na temat działania tego narzędzia można znaleźć w systemie pomocy programu Kaspersky Security Center.

  Dostęp do zaszyfrowanych dysków twardych jest możliwy tylko z poziomu komputerów, na których zainstalowany jest program Kaspersky Endpoint Security z funkcją szyfrowania całego dysku. Ten środek bezpieczeństwa minimalizuje ryzyko wycieku danych z zaszyfrowanego dysku twardego, gdy podjęta zostaje próba uzyskania dostępu do tego dysku spoza lokalnej sieci firmowej.

Aby zaszyfrować dyski twarde i nośniki wymienne, możesz użyć funkcji Zaszyfruj tylko używaną przestrzeń dyskową. Zalecane jest korzystanie z tej funkcji tylko w przypadku nowych urządzeń, które nie były wcześniej używane. Jeśli stosujesz szyfrowanie do urządzenia, które jest już w użyciu, zalecane jest zaszyfrowanie całego urządzenia. Zapewni to ochronę wszystkich danych, także tych usuniętych, gdyż mogą zawierać informacje, które można odzyskać.

Przed rozpoczęciem szyfrowania program Kaspersky Endpoint Security uzyskuje mapę sektorów systemu plików. Pierwszy etap szyfrowania obejmuje sektory zajmowane przez pliki w momencie rozpoczęcia szyfrowania. Drugi etap szyfrowania obejmuje sektory zapisane po rozpoczęciu szyfrowania. Po zakończeniu szyfrowania, wszystkie sektory zawierające dane zostają zaszyfrowane.

Po zakończeniu szyfrowania i usunięciu pliku przez użytkownika, sektory, w których był przechowywany usunięty plik, staną się niedostępne do przechowywania nowych informacji na poziomie systemu plików, ale pozostaną zaszyfrowane. Dlatego też, jeśli pliki są zapisywane na nowym urządzeniu, a urządzenie jest regularnie szyfrowane przy użyciu włączonej funkcji Zaszyfruj tylko używaną przestrzeń dyskową, wszystkie sektory zostaną zaszyfrowane po jakimś czasie.

Dane potrzebne do odszyfrowania plików są udostępniane przez Serwer administracyjny Kaspersky Security Center, który kontrolował komputer w momencie szyfrowania. Jeśli komputer z zaszyfrowanymi obiektami był z jakiegoś powodu zarządzany przez inny Serwer administracyjny, możesz uzyskać dostęp do zaszyfrowanych danych na jeden z następujących sposobów:

• Serwery administracyjne w tej samej hierarchii:
  • Nie musisz podejmować żadnych dodatkowych działań. Użytkownik zachowa dostęp do zaszyfrowanych obiektów. Klucze szyfrujące są dystrybuowane do wszystkich Serwerów administracyjnych.
• Oddzielne Serwery administracyjne:
  • Wyślij prośbę do administratora sieci LAN o dostęp do zaszyfrowanych obiektów.
  • Przywróć dane na zaszyfrowanych urządzeniach przy użyciu Narzędzia przywracania.
  • Przywróć z kopii zapasowej konfigurację Serwera administracyjnego Kaspersky Security Center kontrolującego komputer w momencie szyfrowania i użyj tej konfiguracji na Serwerze administracyjnym obecnie kontrolującym komputer z zaszyfrowanymi obiektami.

Jeśli nie ma dostępu do zaszyfrowanych danych, postępuj zgodnie ze specjalnymi instrukcjami dotyczącymi pracy z zaszyfrowanymi danymi (Przywracanie dostępu do zaszyfrowanych plików, Praca z zaszyfrowanymi urządzeniami, gdy nie ma do nich dostępu).