Data Encryption
Kaspersky Endpoint Security îți permite să criptezi fișiere și directoare stocate pe unitățile locale și amovibile sau să criptezi întregi unități amovibile și unități de hard disk. Criptarea datelor reduce riscul pierderilor de informații atunci când un computer portabil, o unitate portabilă sau o unitate de hard disk este pierdută sau furată sau atunci când datele sunt accesate de către utilizatori sau aplicații neautorizate. Kaspersky Endpoint Security utilizează algoritmul de criptare Advanced Encryption Standard (AES).
Dacă licența a expirat, aplicația nu criptează date noi, iar datele vechi criptate rămân criptate și sunt disponibile pentru utilizare. În acest caz, criptarea datelor noi necesită activarea aplicației cu o licență nouă care permite utilizarea criptării.
Dacă licența a expirat sau Acordul de licență pentru utilizatorul final a fost încălcat, cheia de licență, Kaspersky Endpoint Security sau componentele de criptare au fost eliminate, starea de criptare a fișierelor criptate anterior nu este garantată. Acest lucru se datorează faptului că unele aplicații, cum ar fi Microsoft Office Word, creează o copie temporară a fișierelor în cursul editării. Atunci când fișierul original este salvat, copia temporară înlocuiește fișierul original. Prin urmare, pe un computer care nu are funcționalitate de criptare sau aceasta este inaccesibilă, fișierul rămâne necriptat.
Kaspersky Endpoint Security oferă următoarele aspecte pentru protecția datelor:
- File Level Encryption pe unitățile locale ale computerului. Poți compila liste de fișiere după extensie sau după grupuri de extensii și liste de directoare stocate pe unitățile locale ale computerului și poți crea reguli pentru criptarea fișierelor care sunt create de aplicații specifice. După aplicarea unei politici, Kaspersky Endpoint Security criptează și decriptează următoarele fișiere:
- fișiere adăugate separat la liste pentru criptare și decriptare;
- fișiere stocate în directoare adăugate la liste pentru criptare și decriptare;
- Fișiere create de aplicații separate.
- Encryption of removable drives. Poți specifica o regulă de criptare implicită, conform căreia aplicația execută aceeași acțiune asupra tuturor unităților amovibile sau poți specifica reguli de criptare pentru unități amovibile individuale.
Regula de criptare implicită are o prioritate mai mică decât regulile de criptare create pentru unități amovibile individuale. Regulile de criptare create pentru unități amovibile cu modelul de dispozitiv specificat au o prioritate mai mică decât regulile de criptare create pentru unități amovibile cu ID-ul de dispozitiv specificat.
Pentru a selecta o regulă de criptare pentru fișiere de pe o unitate amovibilă, Kaspersky Endpoint Security verifică dacă modelul și ID-ul dispozitivului sunt cunoscute sau nu. Aplicația efectuează apoi una dintre următoarele operațiuni:
- Dacă modelul de dispozitiv este cunoscut, aplicația folosește regula de criptare (dacă există) creată pentru unități amovibile cu modelul de dispozitiv specific.
- Dacă ID-ul de dispozitiv este cunoscut, aplicația folosește regula de criptare (dacă există) creată pentru unități amovibile cu ID-ul de dispozitiv specific.
- Dacă modelul și ID-ul de dispozitiv sunt cunoscute, aplicația folosește regula de criptare (dacă există) creată pentru unități amovibile cu ID-ul de dispozitiv specific. Dacă nu există o astfel de regulă, dar există o regulă de criptare pentru unități amovibile cu modelul de dispozitiv specific, aplicația folosește această regulă. Dacă nu este specificată nicio regulă de criptare pentru ID-ul de dispozitiv specific și nici pentru modelul de dispozitiv specific, aplicația folosește recula de criptare implicită.
- Dacă nici modelul, nici ID-ul de dispozitiv nu sunt cunoscute, aplicația folosește regula de criptare implicită.
Aplicația îți permite să pregătești o unitate amovibilă pentru a folosi date criptate stocate pe ea în modul portabil. După activarea modului portabil, poți accesa fișiere criptate de pe unități amovibile conectate la un computer fără funcționalitate de criptare.
- Administrarea regulilor de acces al aplicațiilor la fișiere criptate. Pentru orice aplicație poți crea o regulă de acces la fișiere criptate care blochează accesul la fișierele criptate sau care permite accesul la fișierele criptate doar ca text cifrat, o secvență de caractere obținute la aplicarea criptării.
- Crearea pachetelor criptate. Poți crea arhive cifrate și poți proteja accesul la aceste arhive prin parolă. Conținutul arhivelor criptate poate fi accesat doar dacă sunt introduse parolele prin care protejezi accesul la arhivele respective. Aceste arhive pot fi transmise în mod sigur prin rețele sau pe unități amovibile.
- Full Disk Encryption. Puteți selecta o tehnologie de criptare: Kaspersky Disk Encryption sau BitLocker Drive Encryption (denumită în continuare pur și simplu „BitLocker”).
BitLocker este o tehnologie care face parte din sistemul de operare Windows. Dacă un computer este echipat cu un Trusted Platform Module (TPM), BitLocker îl folosește pentru a stoca cheile de recuperare care asigură accesul la o unitate de hard disk criptată. Atunci când computerul pornește, BitLocker solicită cheile de recuperare pentru unitatea de hard disk de la Trusted Platform Module și deblochează unitatea. Poți configura utilizarea unei parole și/sau a unui cod PIN pentru accesarea cheilor de recuperare.
Poți specifica regula de criptare implicită pentru întreaga unitate de hard disk și poți crea o listă de unități de hard disk care să fie excluse de la criptare. Kaspersky Endpoint Security efectuează criptarea Full Disk Encryption sector cu sector după ce este aplicată politica aplicației Kaspersky Security Center. Aplicația criptează toate partițiile logice ale unităților de hard disk simultan.
După ce unitățile de hard disk de sistem au fost criptate, la următoarea pornire a computerului utilizatorul trebuie să finalizeze autentificarea folosind Agentul de Autentificare pentru ca unitățile de hard disk să poată fi accesate și sistemul de operare să fie încărcat. Acest lucru necesită introducerea parolei pentru simbolul sau cardul inteligent conectat la computer sau a numelui de utilizator și a parolei pentru contul de Agent de Autentificare creat de administratorul rețelei locale folosind activitatea Gestionare conturi Agent de Autentificare. Aceste conturi se bazează pe conturile Microsoft Windows sub care utilizatorii se conectează la sistemul de operare. Puteți utiliza, de asemenea, tehnologia Single Sign-On (SSO), care vă permite să vă conectați automat la sistemul de operare folosind numele de utilizator și parola din contul Agent de Autentificare.
Dacă faci o copie de rezervă unui computer și apoi criptezi datele computerului, după care restaurezi copia de rezervă a computerului și criptezi datele computerului din nou, Kaspersky Endpoint Security creează dubluri ale conturilor Agent de Autentificare. Pentru a elimina conturile dublate, trebuie să folosești utilitarul klmover cu cheia
dupfix. Utilitarul klmover este inclus în pachetul Kaspersky Security Center. Poți citi mai multe despre funcționarea sa în secțiunea de ajutor din Kaspersky Security Center.Accesul la unitățile de hard disk criptate va fi posibil numai de pe computerele pe care este instalat Kaspersky Endpoint Security cu funcționalitate full disk encryption. Această precauție reduce riscul pierderilor de date de pe o unitate de hard disk criptată atunci când se încearcă accesarea acesteia în afara rețelei locale a companiei.
Pentru a cripta unitățile de hard disk și unitățile amovibile, poți folosi funcția Criptează doar spațiul de disc utilizat. Se recomandă folosirea acestei funcții numai pentru dispozitive noi care nu au fost utilizate anterior. Dacă aplici criptarea unui dispozitiv aflat deja în uz, este recomandat să criptezi întregul dispozitiv. Astfel se asigură protecția tuturor datelor – chiar și a datelor șterse care pot conține informații ce pot fi recuperate.
Înainte de a începe criptarea, Kaspersky Endpoint Security obține o hartă cu sectoarele sistemului de fișiere. Primul val de criptare include sectoare care sunt ocupate de fișiere în momentul în care începe criptarea. Al doilea val de criptare include sectoare care au fost scrise după ce a început criptarea. După finalizarea criptării, toate sectoarele care conțin date sunt criptate.
După finalizarea criptării, dacă un utilizator șterge un fișier, sectoarele care au stocat fișierul devin disponibile pentru stocarea unor informații noi, la nivelul sistemului de fișiere, dar ele rămân în continuare criptate. Astfel, atunci când fișierele se scriu pe un dispozitiv nou și dispozitivul este criptat periodic cu funcția Criptează doar spațiul de disc utilizat activată, toate sectoarele vor fi criptate după un timp.
Datele necesare pentru decriptarea fișierelor The data sunt furnizate de serverul de administrare Kaspersky Security Center care controla computerul la momentul criptării. În cazul în care computerul cu obiecte criptate a fost gestionat de un alt server de administrare din anumite motive, puteți obține acces la datele criptate într-unul din următoarele moduri:
- Servere de administrare în aceeași ierarhie:
- Nu trebuie să întreprindeți nicio acțiune suplimentară. Utilizatorul va păstra accesul la obiectele criptate. Cheile de criptare sunt distribuite tuturor serverelor de administrare.
- Servere de administrare separate:
- solicitați acces la obiectele criptate de la administratorul rețelei LAN.
- Restaurează date pe dispozitivele criptate folosind Utilitarul de restaurare.
- Restaurează configurația serverului de administrare a Kaspersky Security Center care a controlat computerul la momentul criptării dintr-o copie de rezervă și utilizează această configurație pe serverul de administrare care controlează acum computerul cu obiectele criptate.
Dacă nu există acces la datele criptate, urmați instrucțiunile speciale pentru lucrul cu datele criptate (Restaurarea accesului la fișierele criptate, Lucrul cu dispozitive criptate atunci când nu există acces la ele).