Основные особенности шифрования жестких дисков

• Kaspersky Endpoint Security 10 для Windows выполняет шифрование жестких дисков посекторно, при применении политики Kaspersky Security Center 10.
• Kaspersky Endpoint Security 10 для Windows шифрует все логические разделы жестких дисков.
• После шифрования жестких дисков при последующем входе в операционную систему, доступ к ним, а также загрузка операционной системы возможны только после прохождения процедуры аутентификации с помощью Агента аутентификации. Для этого требуется ввести имя и пароль, которые установлены для учетной записи пользователя системным администратором локальной сети организации с помощью задач управления учетными записями Агента аутентификации. Эти учетные записи основаны на учетных записях пользователей Microsoft Windows, под которыми пользователи выполняют вход в операционную систему. 
• Вы можете управлять учетными записями Агента аутентификации и использовать технологию единого входа (SSO, Single Sign-On), позволяющую осуществлять автоматический вход в операционную систему с помощью логина и пароля учетной записи Агента аутентификации.
• Доступ к зашифрованным жестким дискам возможен только с компьютеров, на которых установлена программа Kaspersky Endpoint Security 10 для Windows с доступной функцией шифрования жестких дисков (см. таблицу ниже). Это условие сводит к минимуму вероятность утечки информации, хранящейся на зашифрованном жестком диске при его использовании вне локальной сети организации.

Требования

Перед настройкой параметров шифрования в политике убедитесь, что выполнены следующие условия на управляемой рабочей станции и Сервере администрирования:

Технологии шифрования

В Kaspersky Endpoint Security 10 для Windows для рабочих станций доступны технологии: 

• Шифрования диска Kaspersky.
• Шифрование диска BitLocker. 

Чтобы зашифровать жесткие диски с помощью технологии Шифрование диска Kaspersky:

1. Откройте Kaspersky Security Center 10.
2. Перейдите в Политики. Откройте свойство политики Kaspersky Endpoint Security 10.
3. Перейдите в Шифрование жестких дисков.
4. Выберите в поле Технология шифрования вариант Шифрование диска Kaspersky.

5. Выберите в поле Режим шифрования вариант Шифровать все жесткие диски.

6. Нажмите Да в окне Применение параметров шифрования жестких дисков.

7. Перейдите в Общие параметры шифрования и выполните настройку паролей для Агента аутентификации.
8. Нажмите OK и дождитесь применения политики на рабочие станции.
   

В зависимости от версии Kaspersky Endpoint Security 10 для Windows поведения рабочей станции может отличаться:

• Для версии SP1 MR4 (10.2.6.3733) и ниже:
  • Аутентификация в агенте путем ввода имени и пароля учетной записи Агента аутентификации.
  • Запрос на создание пароля для доступа к зашифрованному жесткому диску в активной сессии пользователя. 
  • Создание временного пароля для доступа к зашифрованному жесткому диску. 
• Для версии SP2 (10.3.0.6294) и выше:
  • Аутентификация в агенте путем ввода имени и пароля учетной записи Агента аутентификации.
  • Создание временного пароля для доступа к зашифрованному жесткому диску.

Чтобы зашифровать жесткие диски с помощью технологии Шифрование диска BitLocker:

1. Откройте Kaspersky Security Center 10.
2. Перейдите в Управляемые устройства и откройте вкладку Политики.
3. Откройте свойство политики Kaspersky Endpoint Security 10 и перейдите в Шифрование жестких дисков.
4. Выберите в поле Технология шифрования вариант Шифрование диска BitLocker.

5. Выберите в поле Режим шифрования вариант Шифровать все жесткие диски.

6. Настройте параметры шифрования. 
7. Нажмите OK и дождитесь применения политики на рабочие станции. 

После применения политики на рабочей станции с Kaspersky Endpoint Security 10 появляются запросы:

• Если политика шифрования применяется к системному жесткому диску, то появится окно запроса ПИН-кода.
• Eсли в операционной системе включен режим совместимости с Федеральным стандартом обработки информации (FIPS), то в операционных системах Windows 8 и выше появится окно запроса на подключение USB-устройства для сохранения файла ключа восстановления.

После шифрования жестких дисков при последующем включении компьютера загрузка операционной системы возможна только после прохождения процедуры аутентификации с помощью Агента аутентификации. 

Идентификация пользователя в Агенте аутентификации выполняется:

• Путем ввода имени и пароля учетной записи Агента аутентификации, которая создана администратором локальной сети в Kaspersky Security Center 10.
• Путем ввода пароля подключенного к компьютеру токена или смарт-карты.

Если в политике включена опция Запрашивать ввод пароля у активного пользователя, после применения политики и запуска задачи шифрования жесткого диска на экране рабочей станции появляется окно Запрос пароля для доступа к зашифрованному жесткому диску.

Чтобы запросить пароль для доступа к зашифрованному жесткому диску в активной сессии:

1. Задайте пароль для доступа к зашифрованному жесткому диску. Нажмите ОК.

Если в политике включена опция Использовать технологию единого входа (SSO), то при первой перезагрузке компьютера в Агенте аутентификации потребуется ввести пароль, заданный на шаге 1. Затем в окне приветствия Windows пароль учетной записи Windows. Выполняется синхронизация паролей Агента аутентификации и учетной записи Windows. При каждой следующей загрузке в Агенте аутентификации потребуется ввести только пароль учетной записи Windows, вход в систему будет выполняться автоматически.

Если в политике не включена опция Использовать технологию единого входа (SSO), то при загрузке компьютера потребуется ввести пароль для Агента аутентификации, а затем пароль учетной записи Windows.

2. Нажмите Да, если введенный пароль не совпадает с паролем учетной записи Windows.

3. Дождитесь сохранения пароля.

4. Убедитесь в успешном завершении операции. Нажмите ОК.

5. Перезагрузите рабочую станцию.
6. Выполните аутентификацию в агенте.

Kaspersky Endpoint Security 10 для Windows формирует временный пароль для каждого пользователя согласно политике паролей для Агента аутентификации. Далее пароль отправляется на Сервер администрирования.

Чтобы получить временный пароль:

1. Запросите пароль у администратора для получения доступа к зашифрованному жесткому диску.
2. Откройте Kaspersky Security Center 10. 
3. Перейдите в Управляемые устройства. 
4. Откройте свойства рабочей станции и перейдите в Задачи.
5. Выберите Шифрование данных (управление учетными записями) в списке задач и откройте ее Свойства.
6. Перейдите в Параметры.
7. Откройте необходимую учетную запись.

8. Установите флажок Показать начальный пароль. 

В строке отобразится временный пароль для Агента аутентификации. После этого администратор сообщает временный пароль пользователю.

9. Выполните аутентификацию в агенте при следующей загрузке или выводе системы из гибернации. В случае необходимости измените временный пароль.

Если до шифрования жесткого диска вы не выполняли вход в операционную систему под учетной записью, например, Kav4isa\user2, то для этой учетной записи не будет создан пароль для Агента аутентификации. В этом случае добавьте свою учетную запись в задачу Шифрование данных (управление учетными записями) и задайте для нее пароль.