卸除式磁碟機加密
如果 Kaspersky Endpoint Security 安裝在執行 Windows for Workstations 的電腦上,則該元件可用。如果 Kaspersky Endpoint Security 安裝在執行 Windows for Servers 的電腦上,則該元件不可用。
Kaspersky Endpoint Security 支援加密 FAT32 和 NTFS 檔案系統中的檔案。如果將具有不支援的檔案系統的卸除式磁碟機連線到電腦,對該卸除式磁碟機的加密工作將以出錯結束,Kaspersky Endpoint Security 會為該卸除式磁碟機分配唯讀狀態。
要防護卸除式磁碟機上的資料,可以使用以下類型的加密:
- 完整磁碟加密 (FDE)。
加密整個卸除式磁碟機,包括檔案系統。
無法在公司網路外部存取加密資料。如果電腦未連線到卡巴斯基安全管理中心(例如“訪客”電腦),也無法存取公司網路內部的加密資料。
- 檔案級加密 (FLE)。
僅加密卸除式磁碟機上的檔案。檔案系統保持不變。
是卸除式磁碟機上的檔案加密使用一種稱為攜帶模式的特殊模式,提供存取公司網路外部資料的功能。
在加密期間,Kaspersky Endpoint Security 會建立一個主要金鑰。Kaspersky Endpoint Security 將主要金鑰儲存在以下儲存區中:
- 卡巴斯基安全管理中心。
- 使用者的電腦。
主要金鑰使用使用者的金鑰加密。
- 卸除式磁碟機。
主要金鑰使用卡巴斯基安全管理中心的公開金鑰加密。
加密完成後,可在公司網路內存取卸除式磁碟機上的資料,就像資料在未加密的一般卸除式磁碟機一樣。
存取加密資料
連線帶有加密資料的卸除式磁碟機後,Kaspersky Endpoint Security 會執行以下操作:
- 檢查使用者電腦本機儲存的主要金鑰。
如果找到主要金鑰,使用者將獲得卸除式磁碟機上的資料存取權限。
如果找不到之要金鑰,Kaspersky Endpoint Security 會執行以下操作:
- 向卡巴斯基安全管理中心傳送請求。
收到請求後,卡巴斯基安全管理中心將傳送一個包含主要金鑰的回應。
- Kaspersky Endpoint Security 將主要金鑰儲存在使用者電腦的本機中,以供以後對加密的卸除式磁碟機進行操作。
- 向卡巴斯基安全管理中心傳送請求。
- 解密資料。
卸除式磁碟機加密的特殊功能
卸除式磁碟機加密具有以下特殊功能:
- 已經為指定的受管理電腦群組形成針對卸除式磁碟機加密且帶有預設設定的政策。因此,套用為加密/解密卸除式磁碟機配置的卡巴斯基安全管理中心政策的結果取決於抽取式磁碟機連線到的電腦。
- Kaspersky Endpoint Security 不會加密/解密卸除式磁碟機上儲存的唯讀檔案。
- 支援以下裝置類型的卸除式磁碟機:
- 透過 USB 介面連接的資料媒體
- 透過 USB 和 FireWire 介面連接的固定磁碟機
- 透過 USB 和 FireWire 介面連接的 SSD 磁碟機
卸除式磁碟機元件設定加密
參數
描述
加密模式
加密整個卸除式磁碟機如果選定了該項,為卸除式磁碟機套用帶有指定加密設定的政策時,Kaspersky Endpoint Security 將會逐個磁區加密卸除式磁碟機,包括其檔案系統。
加密所有檔案如果選定了該選項,為卸除式磁碟機套用帶有指定加密設定的政策時,Kaspersky Endpoint Security 將會加密卸除式磁碟機上儲存的所有檔案。Kaspersky Endpoint Security 不會再次加密已經加密的檔案。卸除式磁碟機的檔案系統內容,包括加密檔案的資料夾結構和名稱在內都不會被加密,仍可以被存取。
僅加密新檔案如果選定了該選項,為卸除式磁碟機套用帶有指定加密設定的政策時,Kaspersky Endpoint Security 將只會加密在上次應用卡巴斯基安全管理中心政策之後在卸除式磁碟機上新增或修改的檔案。當某個卸除式磁碟機由兩個人使用或在工作中使用時,該加密模式很有用。該加密模式可以使您保留所有舊的未變更過的檔案,加密那些使用者在已安裝 Kaspersky Endpoint Security 並啟用加密功能的工作電腦建立的檔案。結果是個人檔案是否可以被存取,與啟用了加密功能的電腦上是否安裝了 Kaspersky Endpoint Security 無關。
解密整個卸除式磁碟機如果選定了該選項,為卸除式磁碟機套用帶有指定加密設定的政策時,Kaspersky Endpoint Security 將會解密卸除式磁碟機上儲存的先前加密的所有檔案和檔案系統。
保留不變如果選定了該選項,套用政策後,應用程式將保留硬碟不動。如果磁碟機已加密,則其仍加密。如果磁碟機已解密,則其仍解密。預設情況下已勾選此項目。
攜帶模式
該核取方塊可啟用/停用準備卸除式磁碟機,以便能夠在公司網路外部的電腦上存取卸除式磁碟機中儲存的檔案。
如果選定該核取方塊,Kaspersky Endpoint Security 將提示使用者在根據政策加密卸除式磁碟機之前指定一個密碼。在公司網路外部的電腦上存取卸除式磁碟機中的加密檔案時需要該密碼。您可以設定密碼強度。
攜帶模式可用於“加密所有檔案”或“僅加密新檔案”模式。
僅加密使用的磁碟空間
該核取方塊將啟用/停用加密模式,其中僅加密已使用磁碟磁區。建議為尚未修改或刪除資料的新裝置使用該模式。
如果選定該核取方塊,則僅加密使用的磁碟部分。Kaspersky Endpoint Security 將自動加密新增的新資料。
如果清空該核取方塊,整個磁碟機將被加密,包括先前刪除和修改檔案殘留的碎片。
僅加密已占用空間的功能僅在“加密整個卸除式磁碟機”模式下可用。
開始加密後,啟用/停用“僅加密使用的磁碟空間”功能不會變更該設定。開始加密之前您必須選擇或清除該核取方塊。
自訂規則
該表包含了已其定義自訂加密規則的裝置。您可以透過以下方式為單一卸除式磁碟機建立加密規則:
- 從“裝置控制”的受信任裝置清單中新增卸除式磁碟機。
- 手動新增卸除式磁碟機:
- 按裝置 ID(硬體 ID 或 HWID)
- 按裝置型號:供應商 ID (VID) 和產品 ID (PID)
允許在離線模式下加密卸除式磁碟機
如果選中該核取方塊,則即使沒有連線至卡巴斯基安全管理中心,Kaspersky Endpoint Security 也會加密卸除式磁碟機。在這種情況下,解密卸除式磁碟機所需的資料儲存在與卸除式磁碟機連線的電腦的硬碟上,不會傳輸到卡巴斯基安全管理中心。
如果清除該核取方塊,則 Kaspersky Endpoint Security 無法在未連線至卡巴斯基安全管理中心的情況下加密卸除式磁碟機。
加密密碼設定/攜帶式檔案管理器
攜帶式檔案管理器的密碼強度設定。