Полнодисковое шифрование

Режим шифрования

Шифровать все жесткие диски. Если выбран этот элемент, то при применении политики приложение шифрует все жесткие диски.

Если на компьютере установлено несколько операционных систем, то после шифрования вы сможете выполнить загрузку только той операционной системы, в которой установлено приложение.

Расшифровывать все жесткие диски. Если выбран этот элемент, то при применении политики приложение расшифровывает все зашифрованные ранее жесткие диски.

Оставлять без изменений. Если выбран этот элемент, то при применении политики приложение оставляет диски в прежнем состоянии. Если диск был зашифрован, то он остается зашифрованным, а если диск был расшифрован, то он остается расшифрованным. Этот элемент выбран по умолчанию.

Автоматически создавать учетные записи Агента аутентификации для пользователей при применении шифрования на компьютере

Если флажок установлен, приложение создает учетные записи Агента аутентификации на основе списков учетных записей Windows на компьютере. По умолчанию Kaspersky Endpoint Security использует все локальные и доменные учетные записи, с помощью которых пользователь выполнял вход в операционную систему за последние 30 дней.

Настройки создания учетных записей Агента аутентификации

Все учетные записи компьютера. Все учетные записи компьютера, которые когда-либо были активными.

Все доменные учетные записи компьютера. Все учетные записи компьютера, которые принадлежат какому-либо домену и которые когда-либо были активными.

Все локальные учетные записи компьютера. Все локальные учетные записи компьютера, которые когда-либо были активными.

Служебная учетная запись с одноразовым паролем. Служебная учетная запись нужна для доступа к компьютеру в случаях, когда пользователь, например, забыл пароль. Также вы можете использовать служебную учетную запись в качестве резервной учетной записи. Вам нужно указать имя учетной записи (по умолчанию ServiceAccount). Kaspersky Endpoint Security создаст пароль автоматически. Пароль вы можете посмотреть в консоли Kaspersky Security Center.

Локальный администратор. Kaspersky Endpoint Security создает учетную запись Агента аутентификации для локального администратора компьютера.

Менеджер компьютера. Kaspersky Endpoint Security создает учетную запись Агента аутентификации для учетной записи менеджера компьютера. Вы можете посмотреть какая учетная запись имеет роль менеджера компьютера в свойствах компьютера в Active Directory. По умолчанию роль менеджера компьютера не определена, то есть не соответствует ни одной учетной записи.

Активная учетная запись. Kaspersky Endpoint Security автоматически создает учетную запись Агента аутентификации для учетной записи активной в момент выполнения шифрования диска.

Автоматически создавать учетные записи Агента аутентификации для всех пользователей на компьютере при входе

Если флажок установлен, приложение проверяет информацию об учетных записях Windows на компьютере перед запуском Агента аутентификации. Если Kaspersky Endpoint Security обнаружит учетную запись Windows, для которой нет учетной записи Агента аутентификации, приложение создаст новую учетную запись для доступа к зашифрованным дискам. Новая учетная запись Агента аутентификации будет иметь параметры по умолчанию: вход только по паролю, смена пароля при первой аутентификации. Таким образом, вам не нужно вручную добавлять учетные записи Агента аутентификации с помощью задачи Управление учетными записями Агента аутентификации для компьютеров с уже зашифрованными дисками.

Сохранять введенное в Агенте аутентификации имя пользователя

Если флажок установлен, то приложение сохраняет имя учетной записи Агента аутентификации. При последующей аутентификации в Агенте аутентификации под той же учетной записью имя учетной записи вводить не требуется.

Шифровать только занятое пространство (сокращает время шифрования)

Флажок включает / выключает функцию, ограничивающую область шифрования только занятыми секторами жесткого диска. Это ограничение позволяет сократить время шифрования.

Включение / выключение функции Шифровать только занятое пространство (сокращает время шифрования) после запуска шифрования не изменяет этого параметра до тех пор, пока жесткие диски не будут расшифрованы. Требуется установить или снять флажок до начала шифрования.

Если флажок установлен, то шифруется только та часть жесткого диска, которая занята файлами. Kaspersky Endpoint Security зашифровывает новые данные автоматически по мере их добавления.

Если флажок снят, то шифруется весь жесткий диск, в том числе остатки удаленных и отредактированных ранее файлов.

Данную функцию рекомендуется применять для новых жестких дисков, данные которых не редактировались и не удалялись. Если вы применяете шифрование на уже используемом жестком диске, рекомендуется зашифровать весь жесткий диск. Это гарантирует защиту всех данных – даже удаленных, но потенциально восстанавливаемых.

По умолчанию флажок снят.

Использовать Legacy USB Support (не рекомендуется)

Флажок включает / выключает функцию Legacy USB Support. Legacy USB Support – функция BIOS / UEFI, которая позволяет использовать USB-устройства (например, токен) на этапе загрузки компьютера до запуска операционной системы (BIOS-режим). Функция Legacy USB Support не влияет на поддержку USB-устройств после запуска операционной системы.

Если флажок установлен, то будет включена поддержка USB-устройств на этапе начальной загрузки компьютера.

При включенной функции Legacy USB Support Агент аутентификации в BIOS-режиме не поддерживает работу с токенами по USB. Функцию рекомендуется использовать только при возникновении проблемы несовместимости с аппаратным обеспечением и только для тех компьютеров, на которых возникла проблема.

Настройки паролей

Параметры надежности пароля учетной записи Агента аутентификации. При использовании технологии единого входа Агент аутентификации игнорирует требования к надежности пароля, заданные в Kaspersky Security Center. Вы можете задать требования к надежности пароля в параметрах операционной системы.

Использовать технологию единого входа (SSO)

Технология единого входа позволяет использовать одни и те же учетные данные для доступа к зашифрованным жестким дискам и для входа в операционную систему.

Если флажок установлен, то для доступа к зашифрованным жестким дискам и последующего автоматического входа в операционную систему требуется ввести учетные данные доступа к зашифрованным дискам.

Если флажок снят, то для доступа к зашифрованным жестким дискам и последующего входа в операционную систему требуется отдельно ввести учетные данные для доступа к зашифрованным жестким дискам и учетные данные пользователя в операционной системе.

Включить поддержку сторонних поставщиков учетных данных

Kaspersky Endpoint Security поддерживает стороннего поставщика учетных данных ADSelfService Plus.

При работе со сторонними поставщиками учетных данных Агент аутентификации перехватывает пароль перед загрузкой операционной системы. Таким образом, при входе в Windows пользователю нужно ввести пароль только один раз. После входа в Windows пользователь может использовать возможности стороннего поставщика учетных данных, например, для аутентификации в сервисах организации. Также сторонние поставщики учетных данных позволяют пользователям самостоятельно сбрасывать пароль. В этом случае Kaspersky Endpoint Security обновит пароль для Агента аутентификации автоматически.

Если вы используете стороннего поставщика учетных данных, который не поддерживается приложением, вы можете столкнуться с ограничениями в работе технологии единого входа.

Справка

Аутентификация. Справочный текст, который отображается в окне Агента аутентификации на этапе ввода учетных данных.

Смена пароля. Справочный текст, который отображается в окне Агента аутентификации на этапе смены пароля для учетной записи Агента аутентификации.

Восстановление пароля. Справочный текст, который отображается в окне Агента аутентификации на этапе восстановления пароля для учетной записи Агента аутентификации.

Режим шифрования

Шифровать все жесткие диски. Если выбран этот элемент, то при применении политики приложение шифрует все жесткие диски.

Если на компьютере установлено несколько операционных систем, то после шифрования вы сможете выполнить загрузку только той операционной системы, в которой установлено приложение.

Расшифровывать все жесткие диски. Если выбран этот элемент, то при применении политики приложение расшифровывает все зашифрованные ранее жесткие диски.

Оставлять без изменений. Если выбран этот элемент, то при применении политики приложение оставляет диски в прежнем состоянии. Если диск был зашифрован, то он остается зашифрованным, а если диск был расшифрован, то он остается расшифрованным. Этот элемент выбран по умолчанию.

Включить использование проверки подлинности BitLocker, требующей предзагрузочного ввода с клавиатуры на планшетах

Флажок включает / выключает использование аутентификации, требующей ввода данных в предзагрузочной среде, даже если у платформы отсутствует возможность предзагрузочного ввода (например, у сенсорных клавиатур на планшетах).

Сенсорная клавиатура планшетов недоступна в предзагрузочной среде. Для прохождения аутентификации BitLocker на планшетах пользователю необходимо подключить, например, USB-клавиатуру.

Если флажок установлен, то использование аутентификации, требующей предзагрузочного ввода, разрешено. Рекомендуется использовать этот параметр только для устройств, у которых во время предварительной загрузки, помимо сенсорных клавиатур, имеются альтернативные средства ввода данных, например, USB-клавиатура.

Если флажок снят, шифрование диска BitLocker на планшетах невозможно.

Использовать аппаратное шифрование (ОС Windows 8 и выше)

Если флажок установлен, то приложение применяет аппаратное шифрование. Это позволяет увеличить скорость шифрования и сократить использование ресурсов компьютера.

Шифровать только занятое пространство (ОС Windows 8 и выше)

Флажок включает / выключает функцию, ограничивающую область шифрования только занятыми секторами жесткого диска. Это ограничение позволяет сократить время шифрования.

Включение / выключение функции Шифровать только занятое пространство (сокращает время шифрования) после запуска шифрования не изменяет этого параметра до тех пор, пока жесткие диски не будут расшифрованы. Требуется установить или снять флажок до начала шифрования.

Если флажок установлен, то шифруется только та часть жесткого диска, которая занята файлами. Kaspersky Endpoint Security зашифровывает новые данные автоматически по мере их добавления.

Если флажок снят, то шифруется весь жесткий диск, в том числе остатки удаленных и отредактированных ранее файлов.

Данную функцию рекомендуется применять для новых жестких дисков, данные которых не редактировались и не удалялись. Если вы применяете шифрование на уже используемом жестком диске, рекомендуется зашифровать весь жесткий диск. Это гарантирует защиту всех данных – даже удаленных, но потенциально восстанавливаемых.

По умолчанию флажок снят.

Способ аутентификации

Только пароль (ОС Windows 8 и выше)

Если выбран этот вариант, Kaspersky Endpoint Security запрашивает у пользователя пароль при обращении к зашифрованному диску.

Этот вариант действия может быть выбран, если не используется доверенный платформенный модуль (TPM).

Доверенный платформенный модуль (TPM)

Если выбран этот вариант, BitLocker использует доверенный платформенный модуль (TPM).

Доверенный платформенный модуль (англ. Trusted Platform Module – TPM) – микрочип, разработанный для предоставления основных функций, связанных с безопасностью (например, для хранения ключей шифрования). Доверенный платформенный модуль обычно устанавливается на материнской плате компьютера и взаимодействует с остальными компонентами системы при помощи аппаратной шины.

Для компьютеров под управлением операционных систем Windows 7 и Windows Server 2008 R2 доступно только шифрование с использованием модуля TPM. Если модуль TPM не установлен, шифрование BitLocker невозможно. Использование пароля на этих компьютерах не поддерживается.

Устройство, оснащенное доверенным платформенным модулем, может создавать ключи шифрования, которые могут быть расшифрованы только с его помощью. Доверенный платформенный модуль шифрует ключи шифрования собственным корневым ключом хранилища. Корневой ключ хранилища хранится внутри доверенного платформенного модуля. Это обеспечивает дополнительную степень защиты ключей шифрования от попыток взлома.

Этот вариант действия выбран по умолчанию.

Вы можете установить дополнительную защиту для доступа к ключу шифрования и зашифровать ключ паролем или PIN:

• Использовать PIN для TPM. Если флажок установлен, пользователь может использовать PIN-код для получения доступа к ключу шифрования, который хранится в доверенном платформенном модуле (TPM).

  Если флажок снят, пользователю запрещено использовать PIN-код. Для получения доступа к ключу шифрования пользователь использует пароль.

• Доверенный платформенный модуль (TPM), если он недоступен, то пароль. Если флажок установлен, то при отсутствии доверенного платформенного модуля (TPM) пользователь может получить доступ к ключам шифрования с помощью пароля.

  Если флажок снят и модуль TPM недоступен, то полнодисковое шифрование не запускается.

  Для выбранного способа аутентификации необходимо настроить требования к паролю или PIN-коду:

• Минимальная длина PIN-а (символов).
• Минимальная длина пароля (символов).
• Ограничить срок действия пароля​ / PIN-а для TPM (дни).
• Использовать расширенный PIN (с буквами и цифрами). Расширенный PIN-код кроме цифр позволяет использовать другие символы: заглавные и строчные латинские буквы, специальные символы и пробел.

Автоматически пересоздавать ключ восстановления (дни)

Автоматическое обновление пароля для восстановления доступа к диску, защищенному BitLocker. Если флажок установлен, задайте срок действия пароля ключа восстановления. Эта функция позволяет исключить повторное использование пароля ключа восстановления.