Подготовка и шифрование жестких дисков с помощью Kaspersky Endpoint Security 10 для Windows
Статья относится к Kaspersky Endpoint Security 10 для Windows:
- Service Pack 2 Maintenance Release 4 (версия 10.3.3.304);
- Service Pack 2 Maintenance Release 3 (версия 10.3.3.275);
- Service Pack 2 Maintenance Release 2 (версия 10.3.0.6294);
- Service Pack 2 Maintenance Release 1 (версия 10.3.0.6294);
- Service Pack 2 (версия 10.3.0.6294);
- Service Pack 1 Maintenance Release 4 (версия 10.2.6.3733).
Подготовка к шифрованию жестких дисков
Основные особенности шифрования жестких дисков
- Kaspersky Endpoint Security 10 для Windows выполняет шифрование жестких дисков посекторно, при применении политики Kaspersky Security Center 10.
- Kaspersky Endpoint Security 10 для Windows шифрует все логические разделы жестких дисков.
- После шифрования жестких дисков при последующем входе в операционную систему, доступ к ним, а также загрузка операционной системы возможны только после прохождения процедуры аутентификации с помощью Агента аутентификации. Для этого требуется ввести имя и пароль, которые установлены для учетной записи пользователя системным администратором локальной сети организации с помощью задач управления учетными записями Агента аутентификации. Эти учетные записи основаны на учетных записях пользователей Microsoft Windows, под которыми пользователи выполняют вход в операционную систему.
- Вы можете управлять учетными записями Агента аутентификации и использовать технологию единого входа (SSO, Single Sign-On), позволяющую осуществлять автоматический вход в операционную систему с помощью логина и пароля учетной записи Агента аутентификации.
- Доступ к зашифрованным жестким дискам возможен только с компьютеров, на которых установлена программа Kaspersky Endpoint Security 10 для Windows с доступной функцией шифрования жестких дисков (см. таблицу ниже). Это условие сводит к минимуму вероятность утечки информации, хранящейся на зашифрованном жестком диске при его использовании вне локальной сети организации.
Требования
Перед настройкой параметров шифрования в политике убедитесь, что выполнены следующие условия на управляемой рабочей станции и Сервере администрирования:
| Управляемая рабочая станция | Сервер |
|---|---|
| 1. Установлен компонент Шифрование жестких дисков в составе Kaspersky Endpoint Security 10 для Windows. | 1. Установлен Сервер администрирования версии 10 |
| 2. Установлен Агент администрирования версии 10. | 2. В политике включено отображение параметров шифрования. |
| 3. Добавлена лицензия, позволяющая программе работать в режиме Расширенная защита (Advanced). |
Технологии шифрования
В Kaspersky Endpoint Security 10 для Windows для рабочих станций доступны технологии:
- Шифрования диска Kaspersky.
- Шифрование диска BitLocker.
Шифрование диска Kaspersky
Чтобы зашифровать жесткие диски с помощью технологии Шифрование диска Kaspersky:
- Откройте Kaspersky Security Center 10.
- Перейдите в Политики. Откройте свойство политики Kaspersky Endpoint Security 10.
- Перейдите в Шифрование жестких дисков.
- Выберите в поле Технология шифрования вариант Шифрование диска Kaspersky.
- Выберите в поле Режим шифрования вариант Шифровать все жесткие диски.
- Нажмите Да в окне Применение параметров шифрования жестких дисков.
- Перейдите в Общие параметры шифрования и выполните настройку паролей для Агента аутентификации.
- Нажмите OK и дождитесь применения политики на рабочие станции.
В зависимости от версии Kaspersky Endpoint Security 10 для Windows поведения рабочей станции может отличаться:
- Для версии SP1 MR4 (10.2.6.3733) и ниже:
- Аутентификация в агенте путем ввода имени и пароля учетной записи Агента аутентификации.
- Запрос на создание пароля для доступа к зашифрованному жесткому диску в активной сессии пользователя.
- Создание временного пароля для доступа к зашифрованному жесткому диску.
- Для версии SP2 (10.3.0.6294) и выше:
- Аутентификация в агенте путем ввода имени и пароля учетной записи Агента аутентификации.
- Создание временного пароля для доступа к зашифрованному жесткому диску.
Шифрование диска BitLocker
Чтобы зашифровать жесткие диски с помощью технологии Шифрование диска BitLocker:
- Откройте Kaspersky Security Center 10.
- Перейдите в Управляемые устройства и откройте вкладку Политики.
- Откройте свойство политики Kaspersky Endpoint Security 10 и перейдите в Шифрование жестких дисков.
- Выберите в поле Технология шифрования вариант Шифрование диска BitLocker.
- Выберите в поле Режим шифрования вариант Шифровать все жесткие диски.
- Настройте параметры шифрования.
- Нажмите OK и дождитесь применения политики на рабочие станции.
После применения политики на рабочей станции с Kaspersky Endpoint Security 10 появляются запросы:
- Если политика шифрования применяется к системному жесткому диску, то появится окно запроса ПИН-кода.
- Eсли в операционной системе включен режим совместимости с Федеральным стандартом обработки информации (FIPS), то в операционных системах Windows 8 и выше появится окно запроса на подключение USB-устройства для сохранения файла ключа восстановления.
Аутентификация в агенте
После шифрования жестких дисков при последующем включении компьютера загрузка операционной системы возможна только после прохождения процедуры аутентификации с помощью Агента аутентификации.
Идентификация пользователя в Агенте аутентификации выполняется:
- Путем ввода имени и пароля учетной записи Агента аутентификации, которая создана администратором локальной сети в Kaspersky Security Center 10.
- Путем ввода пароля подключенного к компьютеру токена или смарт-карты.
Если во время шифрования жестких дисков вы выключите или перезагрузите компьютер, то перед последующей загрузкой операционной системы загружается Агент аутентификации. После аутентификации в агенте и загрузки операционной системы Kaspersky Endpoint Security возобновляет шифрование жестких дисков.
Если во время шифрования жестких дисков операционная система переходит в режим гибернации (hibernation mode), то при выводе операционной системы из режима гибернации загружается Агент аутентификации. После аутентификации в агенте и загрузки операционной системы Kaspersky Endpoint Security возобновляет шифрование жестких дисков.
Если во время шифрования жестких дисков операционная система переходит в спящий режим (sleep mode), то при выводе операционной системы из спящего режима Kaspersky Endpoint Security возобновляет шифрование жестких дисков без загрузки Агента аутентификации.
Чтобы выполнить аутентификацию в агенте, перед загрузкой операционной системы введите домен, имя учетной записи и пароль для Агента аутентификации. Нажмите Сontinue.
Аутентификация в агенте. Запрос пароля для доступа к зашифрованному жесткому диску
Если в политике включена опция Запрашивать ввод пароля у активного пользователя, после применения политики и запуска задачи шифрования жесткого диска на экране рабочей станции появляется окно Запрос пароля для доступа к зашифрованному жесткому диску.
Чтобы запросить пароль для доступа к зашифрованному жесткому диску в активной сессии:
- Задайте пароль для доступа к зашифрованному жесткому диску. Нажмите ОК.
Если в политике включена опция Использовать технологию единого входа (SSO), то при первой перезагрузке компьютера в Агенте аутентификации потребуется ввести пароль, заданный на шаге 1. Затем в окне приветствия Windows пароль учетной записи Windows. Выполняется синхронизация паролей Агента аутентификации и учетной записи Windows. При каждой следующей загрузке в Агенте аутентификации потребуется ввести только пароль учетной записи Windows, вход в систему будет выполняться автоматически.
Если в политике не включена опция Использовать технологию единого входа (SSO), то при загрузке компьютера потребуется ввести пароль для Агента аутентификации, а затем пароль учетной записи Windows.
- Нажмите Да, если введенный пароль не совпадает с паролем учетной записи Windows.
- Дождитесь сохранения пароля.
- Убедитесь в успешном завершении операции. Нажмите ОК.
- Перезагрузите рабочую станцию.
- Выполните аутентификацию в агенте.
Аутентификация в агенте. Создание временного пароля для доступа к зашифрованному жесткому диску
Kaspersky Endpoint Security 10 для Windows формирует временный пароль для каждого пользователя согласно политике паролей для Агента аутентификации. Далее пароль отправляется на Сервер администрирования.
Чтобы получить временный пароль:
- Запросите пароль у администратора для получения доступа к зашифрованному жесткому диску.
- Откройте Kaspersky Security Center 10.
- Перейдите в Управляемые устройства.
- Откройте свойства рабочей станции и перейдите в Задачи.
- Выберите Шифрование данных (управление учетными записями) в списке задач и откройте ее Свойства.
- Перейдите в Параметры.
- Откройте необходимую учетную запись.
- Установите флажок Показать начальный пароль.
В строке отобразится временный пароль для Агента аутентификации. После этого администратор сообщает временный пароль пользователю.
- Выполните аутентификацию в агенте при следующей загрузке или выводе системы из гибернации. В случае необходимости измените временный пароль.
Если до шифрования жесткого диска вы не выполняли вход в операционную систему под учетной записью, например, Kav4isa\user2, то для этой учетной записи не будет создан пароль для Агента аутентификации. В этом случае добавьте свою учетную запись в задачу Шифрование данных (управление учетными записями) и задайте для нее пароль.
