Beskyttelse af brugere af Kaspersky Endpoint Security (erhverv)

Kaspersky Endpoint Security for Windows har integrerede værktøjer til datakryptering. De arbejder ud fra politikker distribueret fra Kaspersky Security Center, som er administratorens program til administration af virksomhedens infrastruktur, der er beskyttet af Kasperskys sikkerhedsprodukter.

Fuld diskkryptering (FDE) forhindrer datalækage som følge af en tabt bærbar computer eller bærbar harddisk. Når en disk er krypteret, kan uautoriserede brugere ikke starte fra den eller læse dens data.

Kryptering på filniveau (FLE) beskytter filer i transit, når de overføres i kanaler, der ikke er tillid til. De brugere, der har tilladelse til at få adgang til beskyttede filer i henhold til krypteringspolitikker, får dem vist ukrypteret.

Krypteringspolitikker

Administratorer af Kaspersky Security Center kan angive krypteringspolitikker, som vil aktivere kryptering på virksomhedens computere, der er beskyttet af Kaspersky Endpoint Security. Politikker kan variere mellem værter, og data om overholdelse af politikker samles i et fælles rapportfeed, der er synligt for administratorer.

Politikker kan også indstilles for flytbare enheder (flashdrev, bærbare drev osv.), der er tilsluttet en computer. Enheden kan f.eks. blokeres, indtil brugeren accepterer at anvende kryptering på denne enhed eller på de specifikke filtyper, der ligger på den.

Med kryptering på filniveau kan politikker definere, hvilke filer der skal krypteres baseret på filtypenavn eller placering på en disk. Når en tilsvarende fil registreres på computeren, bliver den krypteret.

Transparent kryptering

Kryptering forstyrrer ikke en typisk brugers arbejdsgang: den indfører ikke nye programmer eller ændringer i konfigurationen af eksisterende programmer. Politikker anvendes automatisk.

Kryptering er transparent for programmer: Når en bruger er godkendt i operativsystemet, læser programmer data på diske, som om dataene ikke er krypteret, selv om de er. Krypteringsfilteret transmitterer data mellem programmer og diske (et diskfilter til FDE og et filfilter til FLE). Det dekrypterer data, der kommer fra diske til programmer, og krypterer data, der kommer tilbage. Data krypteres "på farten" under læse-/skrivehandlinger, og ingen data bliver gemt uden kryptering på disken, heller ikke midlertidigt.

For visse programmer bør kryptering ikke være så transparent. Sikkerhedskopieringsprocedurer, der gemmer en kopi af en krypteret disk for at opbevare den et andet sted, bør f.eks. ikke gemme sikkerhedskopidataene ukrypterede. Derfor skal sikkerhedskopieringsprogrammet kopiere disken i krypteret tilstand. I dette og andre lignende tilfælde kan gennemsigtig kryptering deaktiveres centralt af administratoren for bestemte programmer.

Diskkrypteringsmekanisme (FDE)

FDE-mekanismen krypterer hele diske på en computer. FDE understøtter:

• Kryptering af alle disktyper: HDD, SSD, flash-drev osv. Hvad angår SSD-enheder, sørger FDE for at reducere antallet af ekstra læse-/skrivecyklusser, hvilket øger drevets levetid.
• Hardwareacceleration af kryptering (hvis computerens processor understøtter AES-NI).
• UEFI Sikker opstart er en teknologi, der beskytter computere ved opstart og garanterer, at kun betroet software indlæses, samt at OS og software starter korrekt uden indblanding af andre processer.

Krypteringsnøgler.Diskkrypteringsfilteret krypterer og dekrypterer data ved hjælp af en disknøgle. Der oprettes en separat nøgle for hver disk, som gemmes på den i tre krypterede kopier. Selvom disken er beskadiget, og en nøglekopi ødelægges, kan disken åbnes med en anden kopi. Hvis alle tre nøglekopier på disken er beskadiget, kan adgangen til disken gendannes med den kopi, som er gemt i Kaspersky Security Center. Når en disknøgle oprettes, sendes dens kopi sikkert til Kaspersky Security Center til dette formål. Nøgler gemmes aldrig ukrypteret på disken.

Brugergodkendelse og OS-indlæsning fra en krypteret disk. Disknøglen, der er gemt på disken, bliver tilgængelig for krypteringsfilteret efter en brugers godkendelse. En bruger kan godkende med en adgangskode, et USB-token eller et chipkort. Efter vellykket godkendelse kan operativsystemet starte fra den krypterede disk.

Håndhævelse af krypteringspolitik på en computer. Når der anvendes en krypteringspolitik på en computer, starter to processer:

• Kryptering på farten er permanent aktiveret. Dette garanterer, at alle data, der er skrevet til disken, er krypteret siden dette øjeblik. Til dette opfanger diskkrypteringsfilteret alle læse-/skrive-til-disk-processer.
• Diskkrypteringsprocessen startes og begynder med den samlede kryptering af computerens diske. Når den er færdig, håndhæves politikken for diskkryptering fuldt ud på computeren. Diskkryptering kan tage flere timer. Under diskkryptering kan brugerne arbejde som normalt, skifte computeren til slumretilstand eller slukke den. Når computeren tændes igen, genoptages krypteringen. Processen er også robust over for fejl (f.eks. strømafbrydelse, OS-fejl). Et fejlsikkert krypteringsdesign garanterer, at alle data i sidste ende bliver krypteret.

Adgang til krypterede filer (FLE)

med Kaspersky Endpoint Security Cloud. Når en bruger godkender i operativsystemet, får de programmer på computeren, der kører på brugerens vegne, adgang til de krypterede filer i henhold til krypteringspolitikker.

Kaspersky Endpoint Security-værtsagenten anmoder om de nødvendige dekrypteringsnøgler fra Kaspersky Security Center for at få adgang til filer, der er krypteret af andre brugere. Hvis en e-mail f.eks. blev krypteret af en anden bruger, anmoder og modtager modtagerværten en nøgle fra Kaspersky Security Center (hvis politikkerne tillader adgang). Denne nøgle har til opgave at opnå adgang til denne fil og andre filer, der er krypteret på samme logiske disk som den pågældende bruger. Nøglen er cachelagret, så der er ingen grund til at anmode om en ny nøgle, hver gang der modtages en fil, der er krypteret på samme disk af den samme bruger.

Hvis der ikke er internetforbindelse, kan modtageren få en nøgle fra Kaspersky Security Center via den sikre nøgleudveksling gennem åbne kanaler (f.eks. en telefon). Du skal blot sende en genereret udfordringskode, og derefter modtager du svarkoden.

Adgang uden Kaspersky Endpoint Security. Hvis dette er tilladt af krypteringspolitikkerne, kan brugerne konfigurere deres enheder, således at krypterede filer på disse enheder kan tilgås på computere uden Kaspersky Endpoint Security ved hjælp af adgangskodegodkendelse. Når brugere konfigurerer en sådan enhed med Kaspersky Endpoint Security, gælder følgende:

• Kaspersky Portable File Manager-programmet kopieres til enheden. Programmet gemmer sikkert nøgler til filadgang og krypterer/dekrypterer filer.
• Brugeren opretter en adgangskode for at få adgang til filer på denne enhed.

Når en bruger opretter forbindelse til en enhed og godkender den i Portable File Manager, bliver krypterede filer tilgængelige til læsning og redigering. Brugere kan også kryptere nye filer til enheden.

Brugerbeskyttelse med Kaspersky Total Security (forbruger)

Crypto Disk er et undersystem af Kaspersky Total Security, der beskytter en brugers lagrede data med kryptering. Med Crypto Disk opretter brugerne en virtuel krypteret disk, der gemmes som en separat fil. Disken åbnes med en adgangskode, der tildeles, når disken oprettes. Efter godkendelse indsættes disken som et lokalt drev (f.eks. "E:\"). En bruger kan overføre en fil med den krypterede disk til andre brugere via enheder, e-mail, delte arkiver og cloudlagre og give andre brugere adgang ved at give dem adgangskoden.

Disken krypteres ikke på selve adgangskoden, men på en automatisk genereret nøgle, som er tilgængelig, når brugeren er godkendt. Dette giver en bruger mulighed for at ændre en adgangskode uden at skulle kryptere hele den virtuelle disk igen.

Krypteringsmodul

FDE, FLE og Crypto Disk bruger et krypteringsmodul, der anvender AES-256-krypteringsalgoritmen i XTS-tilstand. Krypteringsbiblioteket er certificeret med:

• FIPS 140-2
• Common Criteria