資料加密
Kaspersky Endpoint Security 允許您加密儲存在本機和卸除式磁碟機上的檔案和資料夾,或者整個卸除式磁碟機和硬碟。筆記型電腦、卸除式磁碟機或硬碟遺失或被竊取時,又或者在未經許可的使用者或應用程式存取資料時,資料加密功能能夠將資訊洩露的危險降至最低。Kaspersky Endpoint Security 使用進階加密標準 (AES) 加密演算法。
如果產品授權已到期,本程式不會加密新資料,舊的已加密資料仍保持加密狀態並且可用。在此情況下,加密新資料將要求用允許使用加密的新產品授權來啟動應用程式。
如果產品授權已到期,或違反了最終使用者產品授權協議,亦或已刪除產品授權金鑰、Kaspersky Endpoint Security 或加密元件,則先前加密檔案的加密狀態將得不到保證。這是因為某些應用程式,例如 Microsoft Office Word,會在編輯期間建立暫存檔案副本。儲存原始檔案時,臨時副本將替換原始檔案。因此,在沒有加密功能或無法存取加密功能的電腦上,檔案保持未加密狀態。
Kaspersky Endpoint Security 提供了以下幾個方面的資料防護:
- 本機電腦磁碟機上檔案級加密。您可以根據副檔名或副檔名群組編制檔案清單,和儲存在本機電腦磁碟上的資料夾清單,並且為特定應用程式建立的檔案建立加密規則。套用政策後,卡巴斯基安全管理中心將加密和解密以下檔案:
- 單獨新增到加密和解密清單中的檔案。
- 儲存在新增到加密和解密清單中的資料夾內的檔案。
- 單獨應用程式建立的檔案。
- 卸除式磁碟機加密。您可以指定預設加密規則,應用程式將根據此規則對所有卸除式磁碟機套用相同操作,您也可以為個別卸除式磁碟機指定加密規則。
預設加密規則的優先順序低於為個別卸除式磁碟機建立的加密規則。為擁有特定裝置型號的卸除式磁碟機建立的加密規則,其優先順序低於為擁有特定裝置 ID 的卸除式磁碟機建立的檔案加密規則。
若要為卸除式磁碟機中的檔案選取加密規則,Kaspersky Endpoint Security 將會檢查裝置的型號和 ID 是否已知。然後此程式將執行以下操作之一:
- 如果只有裝置型號已知,程式將使用為特定裝置型號的卸除式磁碟機建立的加密規則(如果已建立)。
- 如果只有裝置 ID 已知,程式將使用為特定裝置 ID 的卸除式磁碟機建立的加密規則(如果已建立)。
- 如果裝置型號和 ID 已知,程式將使用為特定裝置 ID 的卸除式磁碟機建立的加密規則(如果已建立)。如果不存在此類規則,但是存在為特定裝置型號的卸除式磁碟機建立的加密規則,則應用程式將套用此規則。如果沒有為特定的裝置 ID 或特定的裝置型號指定加密規則,應用程式將應用預設的加密規則。
- 如果裝置型號和裝置 ID 都未知,程式將使用預設的加密規則。
程式可以讓您準備卸除式磁碟機以攜帶模式使用磁碟機上儲存的加密資料。啟用攜帶模式後,您可以存取連線到沒有加密功能之電腦上的卸除式磁碟機中的加密檔案。
- 管理應用程式存取加密檔案的規則。對於任何應用程式,您可以建立加密檔案存取規則,封鎖對加密檔案的存取或者允許僅使用加密文字(應用加密時獲得的字串)存取加密檔案。
- 建立加密資料。您可以建立加密存檔,並使用密碼防護對此類存檔的存取。只有輸入您防護此檔案的密碼才能存取加密檔案中的內容。此類檔案可以安全的透過網路或透過卸除式磁碟機傳輸。
- 完整磁碟加密。您可以選取加密技術:卡巴斯基磁碟加密或 BitLocker 磁碟機加密(以下簡稱“BitLocker”)。
BitLocker 技術是 Windows 作業系統的一部分。如果電腦配備了受信任平台模組 (TPM),BitLocker 將用其儲存提供加密硬碟存取的還原金鑰。電腦啟動時,BitLocker 將從受信任平台模組請求硬碟還原金鑰並解鎖磁碟機。您可以設定存取還原金鑰使用密碼和/或 PIN 碼。
您可以指定預設的完整磁碟加密規則,並建立要從加密中排除的硬碟的清單。套用卡巴斯基安全管理中心政策後,Kaspersky Endpoint Security 將按照磁區執行完整磁碟加密。應用程式加密將同時套用至硬碟的所有邏輯分區上。
加密系統硬碟後,在下次電腦啟動時,使用者要能夠存取硬碟並且作業系統載入前,使用者必須透過身分驗證代理的驗證。這需要輸入權杖或連線到電腦的智能卡的密碼,或者輸入由局域網管理員使用“管理身分驗證代理帳戶”工作建立的身分驗證代理帳戶的使用者名稱和密碼。這些帳戶以使用者登入作業系統的 Microsoft Windows 帳戶為基礎。您還可以使用單點登入 (SSO) 技術,此技術允許您使用身分驗證代理帳戶的使用者名稱和密碼自動登入至作業系統。
如果您備份電腦,然後對電腦資料進行加密,之後還原電腦備份副本並再次加密電腦資料,Kaspersky Endpoint Security 將會建立相同的身分驗證代理帳戶。要刪除重複帳戶,請使用帶有
dupfix金鑰的 klmover 實用程式。Klmover 實用程式含在卡巴斯基安全管理中心分發套件中。您可以在《卡巴斯基安全管理中心說明》中瞭解有關其操作的更多資訊。只能在安裝了帶有完整磁碟加密功能的 Kaspersky Endpoint Security 的電腦上存取已加密的硬碟。當出現公司區域網路之外的連接嘗試存取加密檔案時,此功能會大大降低加密硬碟中的檔案洩露的風險。
若要加密硬碟和卸除式磁碟機,您可以使用“僅加密使用的磁碟空間”功能。建議您僅為先前未使用的新裝置使用此功能。如果您在已使用的裝置上套用加密,建議您加密整個裝置。這將確保所有資料受到防護 – 即使刪除了可能仍包含擷取資訊的資料。
開始加密之前,Kaspersky Endpoint Security 將獲得檔案系統磁區圖。第一波加密包括開始加密時檔案佔用的磁區。第二波加密包括加密開始後寫入的磁區。加密完成後,所有包含資料的磁區都將被加密。
加密完成並且使用者刪除檔案後,儲存刪除檔案的磁區可以在檔案系統等級儲存新的資訊但是仍保持為加密狀態。因此,在啟用“僅加密使用的磁碟空間”功能的情況下,隨著檔案寫入新裝置和定期加密該裝置,在一段時間後所有磁區都將加密。
解密檔案所需的檔案由加密時控制電腦的卡巴斯基安全管理中心管理伺服器提供。如果含有加密物件的電腦因某種原因由其他管理伺服器管理,則可以透過下列方式之一獲得對加密資料的存取權限:
- 同一層次結構中的管理伺服器:
- 您無需執行其他任何操作。使用者將保留對加密物件的存取權限。加密金鑰將分發到所有管理伺服器。
- 單獨的管理伺服器:
- 向區域網路管理員請求加密物件的存取權限。
- 使用“還原實用工具”還原加密裝置上的資料。
- 從備份副本還原在加密時控制電腦的卡巴斯基安全管理中心管理伺服器的配置,並且在現在控制包含加密物件的電腦的管理伺服器上使用此配置。
如果沒有加密資料的存取權限,請遵循有關處理加密資料的特殊說明(還原對加密檔案的存取權限、無法存取加密裝置時的裝置使用)。