Kaspersky Encryption for Endpoint

Полное шифрование диска предотвращает утечку данных из-за потери устройства, шифрование на уровне файлов защищает файлы, передаваемые по ненадежным каналам, а Crypto Disk хранит пользовательские данные, зашифрованные в отдельном файле.

Защита пользователей Kaspersky Endpoint Security (Бизнес)
Kaspersky Endpoint Security для Windows имеет встроенные инструменты для шифрования данных. Они работают в соответствии с политиками, распространяемыми Kaspersky Security Center, приложением администратора для управления корпоративной инфраструктурой, защищенной продуктами безопасности «Лаборатории Касперского».
Полное шифрование диска (FDE) предотвращает утечку данных через потерю ноутбука или переносного жесткого диска. Когда диск зашифрован, неавторизованные пользователи не могут загружаться с него или читать его данные.
Шифрование на уровне файлов (FLE) защищает файлы на ходу, когда они передаются по ненадежным каналам. Пользователи, которым разрешен доступ к защищенным файлам в соответствии с политиками шифрования, видят их в незашифрованном виде.

Политики шифрования
Администраторы Kaspersky Security Center могут устанавливать политики шифрования, которые будут включать шифрование на корпоративных компьютерах, защищенных Kaspersky Endpoint Security. Политики могут различаться для разных хостов, а данные о соответствии политик объединяются в общий фид отчетов, видимый для администраторов.
Политики также могут быть установлены для съемных устройств (флэш-накопителей, портативных накопителей и т. Д.), Подключенных к компьютеру. Например, устройство может быть заблокировано, пока пользователь не согласится применить шифрование к этому устройству или к определенным типам файлов на нем.
При шифровании на уровне файлов политики могут определять, какие файлы должны быть зашифрованы, в зависимости от расширения файла или расположения на диске. Как только соответствующий файл обнаружен на компьютере, он зашифрован

Прозрачное шифрование

Шифрование не мешает обычному рабочему процессу пользователя: оно не вводит новые приложения и не изменяет конфигурацию существующих. Политики применяются автоматически.
Шифрование прозрачно для приложений: когда пользователь проходит аутентификацию в ОС, приложения видят данные на дисках, как будто они не зашифрованы, хотя это так. Фильтр шифрования передает данные между приложениями и дисками (дисковый фильтр для FDE и файловый фильтр для FLE). Он расшифровывает данные, поступающие с дисков в приложения, и шифрует данные, которые возвращаются. Данные зашифровываются «на лету», непосредственно при операциях чтения / записи, и на диске нет данных, сохраненных без шифрования, даже временно.
Для некоторых приложений шифрование не должно быть таким прозрачным. Например, процедуры резервного копирования, которые хранят копию зашифрованного диска, чтобы хранить ее в другом месте, не должны хранить данные резервной копии в незашифрованном виде. Поэтому приложение резервного копирования должно копировать диск в зашифрованном виде. В этом и других подобных случаях прозрачное шифрование может централизованно отключаться администратором для определенных приложений.

Механизм шифрования диска (FDE)
Механизм FDE шифрует целые диски на компьютере.
FDE поддерживает:
Шифрование любых типов дисков: HDD, SSD, флэш-накопители и т. Д. Для устройств SSD FDE старается сократить количество дополнительных циклов чтения / записи, увеличивая срок службы накопителя.
Аппаратное ускорение шифрования (если процессор компьютера поддерживает AES-NI).
UEFI Secure Boot, технология, которая защищает компьютеры при загрузке и гарантирует, что загружается только проверенное программное обеспечение, что ОС и программное обеспечение запускаются правильно, без вмешательства каких-либо других процессов.
Ключи шифрования. Фильтр шифрования диска шифрует и дешифрует данные с помощью ключа диска. Для каждого диска создается отдельный ключ, который хранится в трех зашифрованных копиях. Даже если диск поврежден и одна копия ключа уничтожена, к диску можно получить доступ с другой копией. Если все три копии ключа на диске повреждены, доступ к диску можно восстановить с помощью копии, хранящейся в Kaspersky Security Center. Для этого при создании ключа диска его копия надежно отправляется в Kaspersky Security Center. Ключи никогда не хранятся в незашифрованном виде на диске.
Аутентификация пользователя и загрузка ОС с зашифрованного диска. Дисковый ключ, хранящийся на диске, становится доступным для фильтра шифрования после аутентификации пользователя. Пользователь может аутентифицироваться с помощью пароля, USB-токена или смарт-карты. После успешной аутентификации ОС может загрузиться с зашифрованного диска.

Применение политики шифрования на компьютере. Когда на компьютере применяется политика шифрования, запускаются два процесса:
Шифрование на лету постоянно включено. Это гарантирует, что все данные, записанные на диск, зашифрованы с этого момента. Для этого фильтр шифрования диска перехватывает все процессы чтения / записи на диск.
Начинается процесс шифрования диска, начиная полное шифрование дисков компьютера. После его завершения политика шифрования диска полностью применяется на компьютере. Шифрование диска может занять несколько часов.
Во время шифрования диска пользователи могут работать как обычно, переводить компьютер в спящий режим или выключать его: при повторном включении шифрование возобновляется. Процесс также устойчив к сбоям (например, отключение питания, сбой ОС). Отказоустойчивое шифрование гарантирует, что все данные будут в конечном итоге зашифрованы.

Доступ к зашифрованным файлам (FLE)
Доступ с помощью Kaspersky Endpoint Security. Когда пользователь проходит проверку подлинности в ОС, приложения на компьютере, которые запускаются от имени пользователя, получают доступ к зашифрованным файлам в соответствии с политиками шифрования.
Для доступа к файлам, зашифрованным другими пользователями, хост-агент Kaspersky Endpoint Security запрашивает необходимые ключи дешифрования у Kaspersky Security Center. Например, если отправленный по электронной почте файл был зашифрован другим пользователем, хост получателя запрашивает и получает ключ от Kaspersky Security Center (если политики разрешают доступ). Этот ключ работает для доступа к этому файлу и другим файлам, зашифрованным на том же логическом диске этого пользователя. Ключ кэшируется, поэтому нет необходимости запрашивать новый ключ при каждом получении файла, зашифрованного на том же диске того же пользователя.
Если подключение к Интернету отсутствует, получатель может получить ключ от Kaspersky Security Center посредством стандартного безопасного обмена ключами «запрос-ответ» по открытым каналам (например, по телефону). Просто отправьте сгенерированный код запроса и затем получите код ответа.
Доступ без Kaspersky Endpoint Security. Если это разрешено политиками шифрования, пользователи могут настроить свои устройства так, чтобы зашифрованные файлы на этих устройствах могли быть доступны на компьютерах без Kaspersky Endpoint Security с помощью авторизации по паролю. Когда пользователи настраивают такое устройство с помощью Kaspersky Endpoint Security:
Приложение Kaspersky Portable File Manager копируется на устройство. Он надежно хранит ключи для доступа к файлам и шифрует / дешифрует файлы.
Пользователь создает пароль для доступа к файлам на этом устройстве.
Когда пользователь подключает устройство и авторизуется в Portable File Manager, зашифрованные файлы становятся доступными для чтения и редактирования. Пользователи также могут зашифровать новые файлы на устройстве.

Защита пользователей Kaspersky Total Security (Consumer)
Crypto Disk - это подсистема Kaspersky Total Security, которая защищает хранимые данные пользователя с помощью шифрования.
С Crypto Disk пользователи создают виртуальный зашифрованный диск, хранящийся в виде отдельного файла. Доступ к диску осуществляется с помощью пароля, который назначается при создании диска. После авторизации диск монтируется как локальный диск (например, «E: \»). Пользователь может передать файл с зашифрованного диска другим пользователям через устройства, электронную почту, общие и облачные хранилища и предоставить другим пользователям доступ, предоставив им пароль.
Диск зашифрован не на самом пароле, а на автоматически сгенерированном ключе, который доступен, когда пользователь аутентифицирован. Это дает возможность пользователю изменить пароль без необходимости повторного шифрования всего виртуального диска.
Модуль шифрования
FDE, FLE и Crypto Disk используют модуль шифрования, который использует алгоритм шифрования AES-256 в режиме XTS. Библиотека шифрования сертифицирована:
FIPS 140-2
Общие критерии