Kaspersky Endpoint Security permet de chiffrer les fichiers et les dossiers enregistrés sur les disques locaux de l'ordinateur et sur les disques amovibles, les disques amovibles et les disques durs en entier. Le chiffrement des données réduit le risque de fuites d'informations en cas de perte ou de vol d'un ordinateur portable, d'un disque amovible ou d'un disque dur ou en cas d'accès d'utilisateurs ou d'applications tierces à ces données.
Si la licence a expiré, l'application ne chiffre pas les nouvelles données et les anciennes données chiffrées restent chiffrées et accessibles. Dans ce cas, le chiffrement de nouvelles données requiert l'activation de l'application selon une nouvelle licence qui autorise l'utilisation du chiffrement.
En cas d'expiration de la licence, de violation des conditions du Contrat de licence Utilisateur final, de suppression de la clé ou de Kaspersky Endpoint Security ou de ses modules de chiffrement de l'ordinateur de l'utilisateur, il n'est pas garanti que les fichiers chiffrés antérieurement le resteront. Cela est dû au fait que certaines applications, comme Microsoft Office Word, créent une copie temporaire d'un fichier lorsque celui-ci est modifié, laquelle remplacera le fichier d'origine lors de son enregistrement. Par conséquent, en l'absence de la fonction de chiffrement sur l'ordinateur ou en cas d'indisponibilité de celle-ci, le fichier reste non chiffré.
Kaspersky Endpoint Security protège les données de la manière suivante :
Pour en savoir plus sur l'application de la stratégie de Kaspersky Security Center, consultez l'aide de Kaspersky Security Center.
La priorité d'une règle de chiffrement par défaut est inférieure à celle d'une règle de chiffrement définie pour différents disques amovibles. La priorité des règles de chiffrement définies pour les disques amovibles du modèle de périphérique indiqué est inférieure à celle des règles de chiffrement définies pour les disques amovibles portant un identificateur de périphérique indiqué.
Afin de sélectionner la règle de chiffrement des fichiers sur le disque amovible, Kaspersky Endpoint Security vérifie si le modèle du périphérique ou son identificateur sont connus. Ensuite, l'application réalise une des opérations suivantes :
L'application permet de préparer le disque amovible pour travailler en mode portable avec les fichiers qui sont chiffrés sur ce dernier. Après l'activation du mode portable, l'utilisation des fichiers chiffrés devient accessible sur les disques amovibles connectés à l'ordinateur dont la fonction de chiffrement est inaccessible.
L'application exécute l'action indiquée dans la règle de chiffrement lors de l'application de la stratégie de Kaspersky Security Center.
BitLocker est une technologie qui fait partie du système d'exploitation Windows. Si l'ordinateur est équipé d'un module de plateforme sécurisée (TPM, Trusted Platform Module), BitLocker l'utilise pour conserver les clés de récupération qui permettent d'accéder au disque dur chiffré. Lors du chargement de l'ordinateur, BitLocker sollicite la clé de restauration du disque dur au module de plateforme sécurisée, puis débloque le disque. Vous pouvez configurer l'utilisation du mot de passe et/ou d'un code PIN pour accéder aux clés de restauration.
Vous pouvez désigner une règle de chiffrement du disque par défaut et composer une liste de disques à exclure du chiffrement. Kaspersky Endpoint Security chiffre le disque secteur par secteur après l'application de la stratégie de Kaspersky Security Center. L'application chiffre toutes les sections logiques des disques durs à la fois. Pour en savoir plus sur l'application de stratégies de Kaspersky Security Center, consultez l'aide de Kaspersky Security Center.
Une fois que les disques durs système auront été chiffrés, l'accès à ceux-ci et le chargement du système d'exploitation lors du prochain démarrage de l'ordinateur seront possibles uniquement après avoir suivi la procédure d'authentification à l'aide de l'Agent d'authentification. Pour ce faire, il faut saisir le mot de passe du token ou de la carte à puce connectés à l'ordinateur ou le nom et le mot de passe du compte utilisateur de l'Agent d'authentification créé par l'administrateur système du réseau local de l'organisation à l'aide des tâches d'administration des comptes utilisateur de l'Agent d'authentification. Ces comptes utilisateur reposent sur les comptes utilisateur Microsoft Windows utilisés pour accéder au système d'exploitation. Vous pouvez administrer les comptes de l'Agent d'authentification et utiliser la technologie (SSO, Single Sign-On) qui permet d'accéder automatiquement au système d'exploitation à l'aide du nom et du mot de passe du compte utilisateur de l'Agent d'Authentification.
Si une copie sauvegarde a été créée pour l'ordinateur puis que les données de celui-ci ont été chiffrées et que la copie de sauvegarde de l'ordinateur a été restaurée et les données à nouveau chiffrées, Kaspersky Security crée des doubles des comptes de l'Agent d'authentification. Pour supprimer les doublons, utilisez l'utilitaire klmover avec l'argument dupfix. L'utilitaire klmover est fourni avec la distribution de Kaspersky Security Center. Pour en savoir plus sur son fonctionnement, lisez l'aide de Kaspersky Security Center.
Lors de la mise à jour jusqu'à Kaspersky Endpoint Security 11 for Windows, la liste de comptes utilisateur de l'Agent d'authentification n'est pas conservée.
Les disques durs chiffrés sont accessibles uniquement depuis des ordinateurs équipés de l'application Kaspersky Endpoint Security avec la fonction de chiffrement du disque. Cette condition réduit au minimum le risque de fuite d'informations stockées sur le disque dur chiffré en cas d'utilisation de ce disque en dehors du réseau local de l'organisation.
Pour le chiffrement des disques durs et amovibles, vous pouvez utiliser la fonction Chiffrer uniquement l'espace occupé. Il est conseillé d'utiliser cette fonction seulement pour les nouveaux périphériques qui n'ont jamais été utilisés. Si vous appliquez le chiffrement à un périphérique déjà utilisé, il est recommandé de chiffrer tout le périphérique. Cela garantit la protection de toutes les données, mêmes celles qui ont été supprimées mais dont les informations peuvent toujours être extraites.
Avant le chiffrement, Kaspersky Endpoint Security reçoit la carte des secteurs du système de fichiers. Lors du premier flux, ce sont les secteurs occupés par des fichiers au moment du lancement du chiffrement qui seront chiffrés. Dans le deuxième flux, les secteurs chiffrés sont les secteurs dans lesquels une écriture a eu lieu après le début du chiffrement. A la fin du chiffrement, tous les secteurs contenant des données sont chiffrés.
Si l'utilisateur, après le chiffrement, supprime un fichier, alors les secteurs dans lesquels se trouvait ce fichier deviennent disponibles pour d'autres écritures d'informations au niveau du système de fichiers, mais restent chiffrés. Ainsi, au fur et à mesure de l'enregistrement de fichiers sur un nouveau périphérique, en cas de lancement régulier du chiffrement avec la fonction activée Chiffrer uniquement l'espace occupé, tous les secteurs de l'ordinateur seront chiffrés après un certain temps.
Les données indispensables au déchiffrement des objets sont offertes par le Serveur d'administration Kaspersky Security Center qui gère l'ordinateur au moment du chiffrement. Si pour une raison quelconque l'ordinateur contenant les objets chiffrés est géré par un autre Serveur d'administration et que l'accès aux objets chiffrés n'a jamais été effectué, il est possible de résoudre la situation d'une des manières suivantes :
L'application crée des fichiers de service pendant le chiffrement. Pour leur sauvegarde, il faut environ 0,5 % d'espace libre non fragmenté sur le disque dur de l'ordinateur. S'il n'y a pas assez d'espace libre non fragmenté sur le disque dur, le chiffrement n'est pas lancé tant que cette condition n'est pas remplie.
La compatibilité entre la fonction de chiffrement Kaspersky Endpoint Security et Kaspersky Anti-Virus for UEFI n'est pas prise en charge. Le chiffrement des disques des ordinateurs sur lesquels Kaspersky Anti-Virus for UEFI est installé entraîne la mise hors service de Kaspersky Anti-Virus for UEFI.