Шифрование съемных дисков

13 февраля 2024

ID 193689

Этот компонент доступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для серверов.

Kaspersky Endpoint Security поддерживает шифрование файлов в файловых системах FAT32 и NTFS. Если к компьютеру подключен съемный диск с неподдерживаемой файловой системой, то шифрование этого съемного диска завершается с ошибкой и Kaspersky Endpoint Security устанавливает статус доступа "только чтение" для этого съемного диска.

Для защиты данных на съемных дисках вы можете использовать следующие виды шифрования:

  • Полнодисковое шифрование (англ. Full Disk Encryption – FDE).

    Шифрование всего съемного диска, включая файловую систему.

    Получить доступ к зашифрованным данным вне корпоративной сети невозможно. Также невозможно получить доступ к зашифрованным данным внутри корпоративной сети, если компьютер не подключен к Kaspersky Security Center ("гостевой" компьютер).

  • Шифрование файлов (англ. File Level Encryption – FLE).

    Шифрование только файлов на съемном диске. Файловая система при этом остается без изменений.

    Шифрование файлов на съемных дисках предоставляет возможность доступа к данным за пределами корпоративной сети с помощью специального режима – портативный режим.

Во время шифрования Kaspersky Endpoint Security создает мастер-ключ. Kaspersky Endpoint Security сохраняет мастер-ключ в следующих хранилищах:

  • Kaspersky Security Center.
  • Компьютер пользователя.

    Мастер-ключ зашифрован секретным ключом пользователя.

  • Съемный диск.

    Мастер-ключ зашифрован открытым ключом Kaspersky Security Center.

После завершения шифрования данные на съемном диске доступны внутри корпоративной сети как при использовании обычного съемного диска без шифрования.

Получение доступа к зашифрованным данным

При подключении съемного диска с зашифрованными данными Kaspersky Endpoint Security выполняет следующие действия:

  1. Проверяет наличие мастер-ключа в локальном хранилище на компьютере пользователя.

    Если мастер-ключ найден, пользователь получает доступ к данным на съемном диске.

    Если мастер-ключ не найден, Kaspersky Endpoint Security выполняет следующие действия:

    1. Отправляет запрос в Kaspersky Security Center.

      После получения запроса Kaspersky Security Center отправляет ответ, который содержит мастер-ключ.

    2. Kaspersky Endpoint Security сохраняет мастер-ключ в локальном хранилище на компьютере пользователя для дальнейшей работы с зашифрованным съемным диском.
  2. Расшифровывает данные.

Особенности шифрования съемных дисков

Шифрование съемных дисков имеет следующие особенности:

  • Политика с заданными параметрами шифрования съемных дисков формируется для определенной группы управляемых компьютеров. Поэтому результат применения политики Kaspersky Security Center с настроенным шифрованием / расшифровкой съемных дисков зависит от того, к какому компьютеру подключен съемный диск.
  • Kaspersky Endpoint Security не выполняет шифрование / расшифровку файлов со статусом доступа "только чтение", хранящихся на съемных дисках.
  • В качестве съемных дисков поддерживаются следующие типы устройств:
    • носители информации, подключаемые по шине USB;
    • жесткие диски, подключаемые по шинам USB и FireWire;
    • SSD-диски, подключаемые по шинам USB и FireWire.

    Параметры компонента Шифрование съемных дисков

    Параметр

    Описание

    Режим шифрования

    Шифровать весь съемный диск. Если выбран этот элемент, то при применении политики с заданными параметрами шифрования съемных дисков Kaspersky Endpoint Security шифрует съемные диски по секторам, включая их файловые системы.

    Шифровать все файлы. Если выбран этот элемент, то при применении политики с заданными параметрами шифрования съемных дисков Kaspersky Endpoint Security шифрует все файлы, которые хранятся на съемных дисках. Уже зашифрованные файлы Kaspersky Endpoint Security повторно не шифрует. Содержимое файловой системы съемных дисков, включая имена зашифрованных файлов и структуру папок, остается доступным и не шифруется.

    Шифровать только новые файлы. Если выбран этот элемент, то при применении политики с заданными параметрами шифрования съемных дисков Kaspersky Endpoint Security шифрует на съемных дисках только те файлы, которые были добавлены или изменены после последнего применения политики Kaspersky Security Center. Этот режим шифрования может быть удобным, если пользователь использует съемный диск и в личных целях, и на работе. Режим шифрования позволяет оставлять без изменений все старые файлы и шифровать только те файлы, которые пользователь создает на рабочем компьютере с установленным приложением Kaspersky Endpoint Security и доступной функциональностью шифрования. Таким образом, доступ к личным файлам всегда открыт вне зависимости от того, установлено на компьютере приложение Kaspersky Endpoint Security с доступной функциональностью шифрования или нет.

    Расшифровывать весь съемный диск. Если выбран этот элемент, то при применении политики с заданными параметрами шифрования съемных дисков Kaspersky Endpoint Security расшифровывает все зашифрованные файлы, которые хранятся на съемных дисках, а также файловые системы съемных дисков, если они были зашифрованы.

    Оставлять без изменений. Если выбран этот элемент, то при применении политики приложение оставляет диски в прежнем состоянии. Если диск был зашифрован, то он остается зашифрованным, а если диск был расшифрован, то он остается расшифрованным. Этот элемент выбран по умолчанию.

    Портативный режим

    Флажок включает / выключает подготовку съемного диска, которая позволяет работать с хранящимися на этом съемном диске файлами на компьютерах вне корпоративной сети.

    Если флажок установлен, то при применении политики перед началом шифрования файлов на съемном диске Kaspersky Endpoint Security запрашивает у пользователя пароль. Пароль требуется для получения доступа к зашифрованным файлам на съемном диске на компьютерах вне корпоративной сети. Вы можете настроить сложность пароля.

    Портативный режим доступен для режимов Шифровать все файлы или Шифровать только новые файлы.

    Шифровать только занятое пространство

    Флажок включает / выключает режим шифрования, при котором шифруются только занятые секторы диска. Этот режим рекомендуется применять для новых дисков, данные которых не редактировались и не удалялись.

    Если флажок установлен, то шифруется только та часть диска, которая занята файлами. Kaspersky Endpoint Security зашифровывает новые данные автоматически по мере их добавления.

    Если флажок снят, то шифруется весь диск, в том числе остатки удаленных и отредактированных ранее файлов.

    Функция шифрования только занятого пространства доступна только для режима Шифровать весь съемный диск.

    Включение / выключение функции Шифровать только занятое пространство после запуска шифрования не изменяет этого параметра. Требуется установить или снять флажок до начала шифрования.

    Правила, заданные вручную

    Таблица устройств, для которых заданы отдельные правила шифрования. Вы можете создать правила шифрования для отдельных съемных дисков следующими способами:

    • Добавьте съемный диск из списка доверенных устройств Контроля устройств.
    • Добавьте съемный диск вручную:
      • по идентификатору устройства (англ. Hardware ID – HWID);
      • по модели устройства: идентификатор производителя (англ. Vendor ID – VID) и идентификатор продукта (англ. Product ID – PID).

    Разрешать шифрование съемных дисков в офлайн-режиме

    Если флажок установлен, то Kaspersky Endpoint Security шифрует съемные диски даже при отсутствии связи с Kaspersky Security Center. Данные, необходимые для расшифровки съемных дисков, сохраняются при этом на жестком диске компьютера, к которому подключен съемный диск, и не передаются на Kaspersky Security Center.

    Если флажок снят, Kaspersky Endpoint Security не шифрует съемные диски, если связь с Kaspersky Security Center отсутствует.

    Настройки паролей для шифрования / Портативный файловый менеджер

    Параметры надежности пароля для портативного файлового менеджера.

См. также об управлении программой через Консоль администрирования Kaspersky Security Center

Запуск шифрования съемных дисков

Добавление правила шифрования для съемных дисков

Портативный режим для работы с зашифрованными файлами на съемных дисках

Расшифровка съемных дисков

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!