Kaspersky Endpoint Security 允许您加密存储在本地和可移动磁盘驱动器上的文件和文件夹,或者整个可移动磁盘驱动器和硬盘驱动器。笔记本电脑、可移动磁盘或硬盘丢失或被盗时,又或者在未经许可的用户或应用程序访问数据时,数据加密功能能够最小化信息泄露的危险。
如果授权许可已过期,本程序不会加密新数据,旧的已加密数据仍保持加密状态并且可用。在此情况下,加密新数据将要求用允许使用加密的新授权许可来激活程序。
如果授权许可已过期,或违反了终端用户授权许可协议,亦或计算机上已卸载该密钥、 Kaspersky Endpoint Security 或加密组件,则先前加密文件的加密状态将得不到保证。这是因为某些应用程序,例如 Microsoft Office Word,会在编辑期间创建临时文件副本。原始文件保存后,临时文件副本将会替换原始文件,结果是,在没有或无法访问加密功能的计算机上,文件仍保持为不加密。
Kaspersky Endpoint Security 提供了以下方面的数据保护:
有关应用 Kaspersky Security Center 策略的详细信息,请参阅《Kaspersky Security Center 帮助指南》。
默认加密规则低于为个别可移动磁盘驱动器创建的加密规则的优先级。为拥有特定设备型号的可移动磁盘驱动器创建的加密规则的优先级低于为拥有特定设备 ID 的可移动磁盘驱动器创建的文件加密规则的优先级。
若要为可移动磁盘驱动器上的文件选择加密规则,Kaspersky Endpoint Security 将会检查设备的型号和 ID 是否已知。然后该程序将执行以下操作之一:
程序可以让您准备可移动磁盘驱动器以便携模式使用驱动器上存储的加密数据。启用便携模式后,您可以访问连接到没有加密功能的计算机上的可移动磁盘驱动器上的加密文件。
应用 Kaspersky Security Center 策略后,应用程序将执行加密规则内指定的操作。
BitLocker 技术是 Windows 操作系统的一部分。如果计算机配备了 Trusted Platform Module (TPM),BitLocker 将用其存储提供加密硬盘驱动器访问的恢复密钥。计算机启动时,BitLocker 将从 Trusted Platform Module 请求硬盘驱动器恢复密钥并解锁驱动器。您可以配置访问恢复密钥使用密码和/或 PIN 码。
您可以指定默认的完整磁盘加密规则,并创建要从加密中排除的硬盘驱动器的列表。应用 Kaspersky Security Center 策略后,Kaspersky Endpoint Security 将按照扇区执行完整磁盘加密。应用程序加密将同时应用至硬盘驱动器的所有逻辑分区上。有关应用 Kaspersky Security Center 策略的详细信息,请参阅《Kaspersky Security Center 帮助指南》。
加密系统硬盘驱动器后,在下次计算机启动时,用户能够访问硬盘驱动器并且操作系统加载前,用户必须通过身份验证代理的身份验证。这需要输入连接至计算机的令牌或智能卡的密码,或者本地局域网管理员使用身份验证代理账户管理任务创建的身份验证代理账户的用户名或密码。这些账户以用户登录操作系统的 Microsoft Windows 账户为基础。这些帐户以用户登录操作系统的 Microsoft Windows 帐户为基础。您可以管理身份验证代理账户并使用单点登录(SSO)技术,该技术使您可以使用身份验证代理账户的用户名和密码自动登录至操作系统。
如果您备份计算机,然后对计算机数据进行加密,之后恢复计算机备份副本并再次加密计算机数据,Kaspersky Endpoint Security 将会创建相同的身份验证代理帐户。要删除重复帐户,您必须使用带有 dupfix 密钥的 klmover 实用程序。Klmover 实用程序包含在 Kaspersky Security Center 分发包中。您可以在《Kaspersky Security Center 帮助指南》中了解有关其操作的更多信息。
将应用程序版本升级到 Kaspersky Endpoint Security 11 for Windows 时,系统不会保存身份验证代理帐户列表。
只能在安装了带有完整磁盘加密功能的 Kaspersky Endpoint Security 的计算机上访问已加密的硬盘驱动器。当出现公司的本地局域网之外的连接尝试访问加密数据时,该功能能够最大限度地降低加密硬盘驱动器的数据泄露风险。
若要加密硬盘驱动器和可移动磁盘驱动器,您可以使用“仅加密使用的磁盘空间”功能。建议您仅为先前未使用的新设备使用该功能。如果您在已使用的设备上应用加密,建议您加密整个设备。这将确保所有数据受到保护 - 即使删除了仍包含可检索信息的数据。
开始加密之前,Kaspersky Endpoint Security 将获得文件系统扇区图。第一波加密包括开始加密时文件占用的扇区。第二波加密包括加密开始后写入的扇区。加密完成后,所有包含数据的扇区都将被加密。
加密完成并且用户删除文件后,存储删除文件的扇区可以在文件系统级别存储新的信息但是仍保持为加密状态。因此,在启用“仅加密使用的磁盘空间”功能的情况下,随着文件写入新设备和定期加密该设备,在一段时间后所有扇区都将加密。
解密文件所需的数据由加密时控制计算机的 Kaspersky Security Center 管理服务器提供。如果包含加密文件的计算机发现自己由于某种原因处于另外一个管理服务器的控制下,并且这些加密文件从未受到访问,则可以通过下列方式之一获取访问权限:
程序将在加密期间创建服务文件。需要硬盘上大约 0.5% 的非碎片磁盘空间来存储这些文件。如果硬盘驱动器上的可用非碎片磁盘空间不足,加密操作不会运行,直至您清理出足够的空间。
SUGGESTED CORRECTION: Kaspersky Endpoint Security 加密功能和 Kaspersky Anti-Virus for UEFI 不兼容。对安装了 Kaspersky Anti-Virus for UEFI 的计算机驱动器进行加密会使得 Kaspersky Anti-Virus for UEFI 无法运行。