磁盘和文件加密
保护 Kaspersky Endpoint Security (Business) 的用户
Kaspersky Endpoint Security for Windows 具有用于数据加密的集成工具。它们根据从 Kaspersky Security Center 分发的策略运行,Kaspersky Security Center 是用于管理受 Kaspersky 安全产品保护的企业基础架构的管理员应用程序。
完整磁盘加密 (FDE) 可以防止因丢失笔记本电脑或便携式硬盘驱动器而导致数据泄漏。加密磁盘后,未经授权的用户将无法从该磁盘引导,或读取其中的数据。
文件级加密 (FLE) 可在不受信任的通道中传输文件时保护文件。根据加密策略,允许访问受保护文件的用户会看到未加密的文件。
加密策略
Kaspersky Security Center 的管理员可以设置加密策略,这些策略将在受 Kaspersky Endpoint Security 保护的公司计算机上启用加密。主机之间的策略可能会有所不同,并且策略合规性数据会汇总在管理员可见的通用报告数据源中。
也可以为连接到计算机的可移动设备(闪存驱动器、便携式驱动器等)设置策略。例如,在用户同意对设备或其上的特定文件类型应用加密之前,可能会阻止该设备。
在文件级加密中,策略可以根据文件扩展名或磁盘上的位置来定义要加密的文件。一旦在计算机上检测到匹配的文件,它将被加密。
透明加密
加密不会干扰一般用户的工作流程:不会引入新的应用程序或更改现有应用程序的配置。策略将自动应用。
加密对于应用程序是透明的:在操作系统中对用户进行身份验证后,应用程序看到磁盘上的数据就和未加密一样(尽管已经加密)。加密过滤器在应用程序和磁盘之间传输数据(用于 FDE 的磁盘过滤器和用于 FLE 的文件过滤器)。它可解密从磁盘传输到应用程序的数据,并对返回的数据进行加密。数据会在执行读取/写入操作时立即“动态”加密,并且,磁盘上不会在没有加密的情况下存储任何数据(哪怕是临时存储)。
对于某些应用程序,加密不应该如此透明。例如,存储加密磁盘副本以将其保留在其他位置的备份过程不应存储未加密的备份数据。因此,备份应用程序应以加密状态复制磁盘。在这种情况和其他类似情况下,管理员可以为特定应用程序集中禁用透明加密。
磁盘加密机制 (FDE)
FDE 机制会加密计算机上的整个磁盘。FDE 支持:
- 任何磁盘类型的加密:HDD、SSD、闪存驱动器等。对于 SSD 设备,FDE 会注意减少额外的读/写循环次数,从而延长驱动器使用寿命。
- 加密的硬件加速(如果计算机的处理器支持 AES-NI)。
- UEFI 安全引导技术可在引导时保护计算机并确保仅加载受信任的软件,并确保操作系统和软件能够正确启动,不会受到任何其他进程干扰。
加密密钥。磁盘加密过滤器使用磁盘密钥加密和解密数据。为每个磁盘创建一个单独的密钥,并将其存储在磁盘上的三个加密副本中。即使磁盘损坏且一个密钥副本被破坏,也可以使用另一副本访问该磁盘。如果磁盘上的全部三个密钥副本均已损坏,则可以使用存储在 Kaspersky Security Center 中的副本恢复对磁盘的访问。为此,在创建磁盘密钥时,会将其副本安全地发送到 Kaspersky Security Center。密钥永远不会未经加密存储在磁盘上。
用户身份验证和从加密磁盘加载操作系统。用户经过身份验证后,存储在磁盘上的磁盘密钥可被加密过滤器使用。用户可以使用密码、USB 令牌或智能卡进行身份验证。成功通过身份验证后,操作系统可以从加密磁盘引导。
在计算机上实施加密策略。在计算机上应用加密策略时,将启动两个过程:
- 永久启用动态加密。这可以确保,从现在开始,所有写入磁盘的数据都已加密。为此,磁盘加密过滤器将拦截所有磁盘读/写进程。
- 磁盘加密过程启动,开始对计算机磁盘进行整体加密。完成后,将在计算机上全面实施磁盘加密策略。磁盘加密可能需要几个小时。
在磁盘加密期间,用户可以照常工作,使计算机进入睡眠模式或关闭计算机:再次打开计算机时,加密将恢复。该过程也可以抵御故障(例如电源关闭、操作系统故障)。防故障加密设计可保证所有数据最终都将被加密。
访问加密文件 (FLE)
使用 Kaspersky Endpoint Security 进行访问。当用户在操作系统中进行身份验证后,计算机上代表用户运行的应用程序将根据加密策略获得加密文件的访问权限。
为了访问其他用户加密的文件,Kaspersky Endpoint Security 主机代理会从 Kaspersky Security Center 请求所需的解密密钥。例如,如果通过电子邮件发送的文件是由另一个用户加密的,则收件人的主机会从 Kaspersky Security Center 请求并接收密钥(如果策略允许访问)。该密钥用于访问该文件以及该用户在同一逻辑磁盘上加密的其他文件。密钥已缓存,因此每次接收在同一用户的同一磁盘上加密的文件时,都无需请求新密钥。
如果没有互联网连接,则接收者可以通过开放的通道(例如电话),通过标准质询-响应安全密钥交换从 Kaspersky Security Center 获取密钥。只需发送生成的质询代码,然后接收响应代码。
不使用 Kaspersky Endpoint Security 进行访问。如果加密策略允许这样做,则用户可以配置其设备,以便通过密码授权,在没有 Kaspersky Endpoint Security 的计算机上访问这些设备上的加密文件。当用户使用 Kaspersky Endpoint Security 配置这样的设备时:
- Kaspersky Portable File Manager 应用程序将复制到设备上。它将安全存储用于文件访问的密钥,并对文件进行加密/解密。
- 用户创建用于访问此设备上的文件的密码。
当用户连接设备并在 Portable File Manager 中完成授权后,加密的文件可用于读取和编辑。用户还可以将新文件加密到设备中。
保护 Kaspersky Total Security (Consumer) 的用户
加密磁盘是 Kaspersky Total Security 的子系统,可通过加密来保护用户存储的数据。
借助加密磁盘,用户可以创建存储为单独文件的虚拟加密磁盘。使用创建磁盘时分配的密码访问该磁盘。授权后,磁盘将作为本地驱动器进行安装(例如“E:\”)。用户可以通过设备、电子邮件、共享和云存储库将包含加密磁盘的文件传输给其他用户,并通过向其他用户提供密码来授予他们访问权限。
磁盘不是通过密码本身加密的(而是通过自动生成的密钥),在验证用户身份后将提供该密钥。这为用户提供了更改密码的选项,而无需重新加密整个虚拟磁盘。
加密模块
FDE、FLE 和加密磁盘使用了加密模块,该模块可在 XTS 模式下利用 AES-256 加密算法。加密库已通过以下认证:
- FIPS 140-2
- 通用标准
WHITEPAPER
Protecting Sensitive Data with Kaspersky...