Thông tin về mã hóa dữ liệu

Kaspersky Endpoint Security cho phép bạn mã hóa các tập tin và thư mục được lưu trữ trên các ổ đĩa cục bộ và ổ đĩa di động, cũng như toàn bộ các ổ cứng và ổ đĩa di động. Việc mã hóa dữ liệu giúp giảm thiểu nguy cơ rò rỉ thông tin khi một máy tính lưu động, ổ đĩa di động hoặc ổ cứng bị thất lạc hoặc mất cắp, hoặc khi dữ liệu được truy cập bởi những người dùng hoặc ứng dụng trái phép.

Nếu giấy phép đã hết hạn, ứng dụng sẽ không thể mã hóa dữ liệu mới, và các dữ liệu được mã hóa cũ vẫn sẽ duy trì tình trạng mã hóa và có thể được sử dụng. Trong trường hợp này, việc mã hóa dữ liệu mới đòi hỏi chương trình được kích hoạt với một giấy phép mới cho phép việc sử dụng mã hóa.

Nếu giấy phép của bạn đã hết hạn, hoặc Thỏa thuận Giấy phép Người dùng Cuối đã bị vi phạm, hoặc khóa hay Kaspersky Endpoint Security hoặc thành phần mã hóa đã bị gỡ bỏ, trạng thái mã hóa của các tập tin được mã hóa từ trước sẽ không được bảo đảm. Điều này là bởi vì một số ứng dụng, ví dụ như Microsoft Office Word sẽ tạo một bản sao tạm thời của các tập tin trong quá trình chỉnh sửa. Khi tập tin gốc được lưu lại, bản sao tạm thời sẽ thay thế tập tin gốc. Kết quả là, trên một máy tính không có hoặc không thể truy cập chức năng mã hóa, tập tin vẫn ở tình trạng chưa được mã hóa.

Kaspersky Endpoint Security cung cấp các khía cạnh bảo vệ dữ liệu sau:

• Mã hóa các tập tin trên ổ đĩa cục bộ trên máy tính. Bạn có thể tổng hợp danh sách các tập tin theo phần mở rộng hoặc nhóm phần mở rộng và danh sách thư mục được lưu trữ trên các ổ đĩa máy tính cục bộ, và tạo các quy tắc mã hóa tập tin được tạo bởi các ứng dụng cụ thể. Sau khi một chính sách Kaspersky Security Center đã được áp dụng, Kaspersky Endpoint Security sẽ mã hóa và giải mã các tập tin sau:
  • Những tập tin đã được thêm lần lượt vào danh sách mã hóa và giải mã.
  • Những tập tin được lưu trữ trong các thư mục được thêm vào danh sách mã hóa và giải mã.
  • những tập tin được tạo bởi các ứng dụng riêng biệt.

  Xem Hướng dẫn dành cho Quản trị viên Kaspersky Security Center để biết chi tiết về việc áp dụng các chính sách Kaspersky Security Center.

• Mã hóa ổ đĩa di động. Bạn có thể quy định một quy tắc mã hóa mặc định mà theo đó ứng dụng sẽ áp dụng một hành động cho tất cả các ổ đĩa di động, hoặc quy định các quy tắc mã hóa cho những ổ đĩa di động riêng biệt.

  Quy tắc mã hóa mặc định có mức độ ưu tiên thấp hơn các quy tắc mã hóa được tạo cho các ổ đĩa di động riêng lẻ. Quy tắc mã hóa được tạo cho các ổ đĩa di động của một mẫu thiết bị cụ thể có mức độ ưu tiên thấp hơn các quy tắc mã hóa được tạo cho các ổ đĩa di động riêng lẻ có ID thiết bị cụ thể.

  Để chọn một quy tắc mã hóa cho các tập tin trên một ổ đĩa di động, Kaspersky Endpoint Security sẽ kiểm tra liệu mẫu thiết bị và ID đã được biết hay chưa. Sau đó, ứng dụng sẽ thực hiện một trong các hoạt động sau:

  • Nếu chỉ mẫu thiết bị là được biết, ứng dụng sẽ sử dụng quy tắc mã hóa (nếu có) được tạo cho các ổ đĩa di động của mẫu thiết bị cụ thể.
  • Nếu chỉ ID thiết bị là được biết, ứng dụng sẽ sử dụng quy tắc mã hóa (nếu có) được tạo cho các ổ đĩa di động với ID thiết bị cụ thể.
  • Nếu cả mẫu và ID thiết bị đều được biết, ứng dụng sẽ áp dụng quy tắc mã hóa (nếu có) được tạo cho các ổ đĩa di động với ID thiết bị cụ thể. Nếu không tồn tại quy tắc nào như vậy, nhưng có một quy tắc mã hóa được tạo cho các ổ đĩa di động với mẫu thiết bị cụ thể, ứng dụng sẽ áp dụng quy tắc này. Nếu không có quy tắc mã hóa nào được quy định cho ID thiết bị cụ thể hay cho mẫu thiết bị cụ thể, ứng dụng sẽ áp dụng quy tắc mã hóa mặc định.
  • Nếu cả mẫu thiết bị và ID thiết bị đều không được biết, ứng dụng sẽ sử dụng quy tắc mã hóa mặc định.

  Ứng dụng cho phép bạn chuẩn bị một ổ đĩa di động cho việc sử dụng dữ liệu được mã hóa trên đó trong chế độ lưu động. Sau khi đã bật chế độ lưu động, bạn có thể truy cập các tập tin được mã hóa trên ổ đĩa di động được kết nối đến một máy tính không có chức năng mã hóa.

  Ứng dụng sẽ thực hiện hành động được quy định trong quy tắc mã hóa khi chính sách Kaspersky Security Center được áp dụng.

• Quản lý các quy tắc truy cập tập tin được mã hóa của ứng dụng. Với bất kỳ ứng dụng nào, bạn cũng có thể tạo một quy tắc truy cập tập tin được mã hóa chặn truy cập đến các tập tin được mã hóa, hoặc cho phép truy cập đến các tập tin được mã hóa dưới dạng văn bản mật mã, là một chuỗi ký tự nhận được khi áp dụng mã hóa.
• Tạo các tập nén được mã hóa. Bạn có thể tạo các tập nén được mã hóa và bảo vệ truy cập đến các tập nén đó với một mật khẩu. Nội dung của các tập nén được mã hóa chỉ có thể được truy cập bằng cách nhập mật khẩu được bạn sử dụng để bảo vệ việc truy cập đến các tập nén này. Các tập nén này có thể được truyền tải bảo mật qua mạng hoặc trên ổ đĩa di động.
• Mã hóa ổ cứng. Bạn có thể chọn một công nghệ mã hóa: Kaspersky Disk Encryption hoặc Mã hóa Ổ đĩa BitLocker (sau đây cũng được gọi tắt là "BitLocker").

  BitLocker là một công nghệ trong hệ điều hành Windows. Nếu máy tính được trang bị một Mô-đun Nền tảng Đáng Tin cậy (TPM), BitLocker sẽ sử dụng nó để lưu các khóa khôi phục cho phép truy cập đến một ổ cứng được mã hóa. Khi máy tính được khởi động, BitLocker sẽ yêu cầu khóa khôi phục ổ cứng từ Mô-đun Nền tảng Đáng Tin cậy và mở khóa ổ đĩa này. Bạn có thể thiết lập việc sử dụng mật khẩu và / hoặc mã PIN để truy cập các khóa khôi phục.

  Bạn có thể quy định quy tắc mã hóa ổ cứng mặc định và tạo một danh sách ổ cứng được loại trừ khỏi tác vụ mã hóa. Kaspersky Endpoint Security sẽ thực hiện mã hóa ổ cứng theo từng khu vực sau khi chính sách Kaspersky Security Center được áp dụng. Công nghệ này sẽ mã hóa tất cả các phân vùng lôgic của ổ cứng cùng một lúc. Xem Hướng dẫn dành cho Quản trị viên Kaspersky Security Center để biết chi tiết về việc áp dụng các chính sách Kaspersky Security Center.

  Sau khi ổ cứng hệ thống đã được mã hóa, vào lần khởi động tiếp theo, người dùng sẽ phải hoàn tất xác thực sử dụng Authentication Agent trước khi ổ cứng có thể được truy cập và hệ điều hành có thể được nạp. Điều này đòi hỏi bạn nhập vào mật khẩu của token hoặc thẻ thông minh được kết nối đến máy tính, hoặc tên người dùng và mật khẩu của tài khoản Authentication Agent được tạo bởi quản trị viên mạng máy tính cục bộ sử dụng tác vụ quản lý tài khoản Authentication Agent. Những tài khoản này đều dựa trên các tài khoản Microsoft Windows được người dùng sử dụng để đăng nhập vào hệ điều hành. Bạn có thể quản lý các tài khoản Authentication Agent và sử dụng công nghệ Single Sign-On (SSO) cho phép bạn đăng nhập tự động vào hệ điều hành sử dụng tên người dùng và mật khẩu của tài khoản Authentication Agent.

  Một giao diện để vượt qua quy trình xác thực để truy cập các ổ cứng được mã hóa và nạp hệ điều hành sau khi ổ cứng hệ thống đã được mã hóa.

  Nếu bạn sao lưu một máy tính và sau đó mã hóa dữ liệu máy tính, sau đó khôi phục bản sao dự phòng của máy tính và mã hóa lại dữ liệu máy tính một lần nữa, Kaspersky Endpoint Security sẽ tạo các bản sao của tài khoản Authentication Agent. Để xóa các tài khoản trùng nhau, bạn phải sử dụng tiện ích klmover với khóa dupfix. Tiện ích klmover được bao gồm trong bản dựng của Kaspersky Security Center. Bạn có thể đọc thêm về hoạt động của tiện ích này trong Hướng dẫn dành cho Quản trị viên Kaspersky Security Center.

  Khi phiên bản ứng dụng được nâng cấp lên Kaspersky Endpoint Security 10 Service Pack 2 for Windows, danh sách các tài khoản Authentication Agent sẽ không được lưu lại.

  Việc truy cập đến các ổ cứng được mã hóa sẽ chỉ có thể được thực hiện trên các máy tính có cài đặt Kaspersky Endpoint Security với chức năng mã hóa ổ cứng. Biện pháp phòng ngừa này giúp giảm thiểu nguy cơ rò rỉ dữ liệu từ một ổ cứng được mã hóa khi một nỗ lực truy cập nó được thực hiện từ bên ngoài mạng máy tính cục bộ của công ty.

Để mã hóa các ổ cứng và ổ đĩa di động, bạn có thể sử dụng chức năng Chỉ mã hóa dung lượng ổ đĩa được sử dụng. Bạn được khuyến nghị chỉ sử dụng chức năng này cho các thiết bị mới chưa được sử dụng trước đây. Nếu bạn đang áp dụng mã hóa cho một thiết bị đang được sử dụng, bạn nên mã hóa toàn bộ thiết bị đó. Điều này đảm bảo mọi dữ liệu đều được bảo vệ - kể cả những dữ liệu đã bị xóa có thể vẫn chứa thông tin truy hồi được.

Trước khi bắt đầu mã hóa, Kaspersky Endpoint Security sẽ nhận bản đồ các khu vực của hệ thống tập tin. Lượt mã hóa đầu tiên bao gồm các khu vực chứa tập tin tại thời điểm mã hóa được bắt đầu. Lượt mã hóa thứ hai bao gồm các khu vực được ghi sau khi quá trình mã hóa được bắt đầu. Sau khi quá trình mã hóa được hoàn tất, tất cả các khu vực chứa dữ liệu đều sẽ được mã hóa.

Sau khi quá trình mã hóa được hoàn tất và người dùng xóa một tập tin, các khu vực chứa tập tin bị xóa sẽ có thể được sử dụng để lưu trữ thông tin mới ở cấp hệ thống tập tin, nhưng vẫn được mã hóa. Vì vậy, khi các tập tin mới được ghi vào một thiết bị mới trong lúc khởi chạy mã hóa thông thường với chức năng Chỉ mã hóa dung lượng ổ đĩa được sử dụng được bật trên máy tính, sau một thời gian tất cả các phân vùng sẽ được mã hóa.

Dữ liệu cần thiết để giải mã các tập tin được cung cấp bởi Máy chủ Quản trị của Kaspersky Security Center kiểm soát máy tính tại thời điểm mã hóa. Nếu máy tính với các tập tin được mã hóa được chuyển sang sự kiểm soát của một Máy chủ Quản trị khác vì bất cứ lý do gì, và các tập tin được mã hóa chưa bao giờ được truy cập, quyền truy cập có thể được nhận bằng một trong các cách sau:

• yêu cầu truy cập đến các đối tượng được mã hóa từ quản trị viên mạng LAN;
• khôi phục dữ liệu trên các thiết bị được mã hóa sử dụng Tiện ích Khôi phục;
• Khôi phục thiết lập của Máy chủ Quản trị của Kaspersky Security Center đã kiểm soát máy tính tại thời điểm mã hóa từ một bản sao dự phòng và sử dụng thiết lập này trên Máy chủ Quản trị hiện đang kiểm soát máy tính có chứa các đối tượng được mã hóa.

Ứng dụng sẽ tạo các tập tin dịch vụ trong quá trình mã hóa. Cần khoảng 2% đến 3% không gian trống không phân mảnh trên ổ cứng để lưu trữ chúng. Nếu không có đủ không gian trống không phân mảnh trên ổ cứng, việc mã hóa sẽ không được bắt đầu cho đến khi đã giải phóng đủ không gian trống.

Sự tương thích giữa chức năng mã hóa của Kaspersky Endpoint Security và Kaspersky Anti-Virus cho UEFI là không được hỗ trợ. Việc mã hóa ổ cứng của các máy tính mà trên đó có cài đặt Kaspersky Anti-Virus cho UEFI sẽ khiến Kaspersky Anti-Virus cho UEFI không thể hoạt động được.