Hoppa till huvudinnehållet
Technology

Disk- och filkryptering

Omfattande diskkryptering förhindrar dataläckor om du förlorar din enhet. Filerna som överförs via icke-betrodda kanaler krypteras på filnivå och krypterade användardata lagras i en separat fil via Crypto Disk.


Skydd för användare av Kaspersky Endpoint Security (Business)

Kaspersky Endpoint Security för Windows har inbyggda verktyg för datakryptering. De används i enlighet med policyerna från Kaspersky Security Center som är ett administratörsprogram för hantering av den verksamhetsstruktur som skyddas med Kaspersky-säkerhetslösningar.

Fullständig diskkryptering (FDE, Full Disk Encryption) förhindrar dataförlust om du blir av med din bärbara dator eller maskinvara. Genom att kryptera disken förhindrar du att obehöriga användare startar den eller får åtkomst till dess data.

Kryptering på filnivå (FLE, File-Level Encryption) skyddar filerna vid överföring via icke-betrodda kanaler. Filerna är inte krypterade för de som har behörighet till de skyddade filerna i enlighet med krypteringspolicyerna.

Krypteringspolicyer

Krypteringspolicyer kan anges av Kaspersky Security Center-administratörerna för att aktivera kryptering på de datorer i verksamheten som skyddas av Kaspersky Endpoint Security. Policyerna kan variera mellan olika värdar och de data som hanteras i enlighet med policyn sammanställs genom vanlig rapportering som är synlig för administratörerna.

Det går även att ange policyer för anslutningsbara enheter som flash-minnen och bärbara drivrutiner. Du kan till exempel välja att blockera åtkomst till enheten tills användaren godkänner kryptering av den eller av specifika enhetsfiler.

Vid kryptering på filnivå går det att ange vilka filer som ska krypteras baserat på filtillägg eller lagringsplats på disken. Om filen matchar den angivna policyn kommer den att krypteras.

Transparent kryptering

Krypteringen påverkar inte ditt vanliga arbetsflöde och innebär inga nya program eller ändringar i befintliga konfigurationer. Policyerna tillämpas automatiskt.

Krypteringen är transparent för programmen. Om du har behörighet för operativsystemet kommer programmen att kunna se data på disken, även om de är krypterade. Data överförs mellan program och diskar via ett krypteringsfilter (ett diskfilter vid FDE och filfilter vid FLE). Alla data som överförs mellan diskar och program krypteras. Data krypteras ”på språng” via läs-/skrivfunktioner och alla data som lagras på disken krypteras, även temporära filer.

Krypteringen är inte lika transparent för alla program. Säkerhetskopior av den krypterade disken som lagras på annan plats ska till exempel vara krypterade. Säkerhetskopiering ska därför utföras när disken är krypterad. I fall som dessa kan transparent kryptering enkelt inaktiveras för vissa program av administratören.

Diskkrypteringsmekanism (FDE, Full Disk Encryption)

FDE-mekanismen krypterar hela diskar på datorn. FDE har stöd för:

  • Kryptering av alla disktyper: HDD, SSD, flashminnen m.m. FDE-mekanismen minskar antalet ytterligare läs-/skrivcykler i SSD-enheter för att förlänga drivrutinens livslängd.
  • Maskinvaruacceleration vid kryptering (om datorns processor har stöd för AES-NI).
  • UEFI-säker start, en teknik som skyddar datorn vid start och säkerställer att endast betrodda program startas och att operativsystemet och programmen kan öppnas utan avbrott på grund av andra processer.

Krypteringsnycklar – data krypteras med en disknyckel via ett diskkrypteringsfilter. Varje disk får sin egen nyckel och tre krypterade kopior lagras. Om disken skadas och en av nycklarna förstörs kan du ändå få åtkomst med någon av de andra kopiorna. Om ingen av de tre kopiorna på disken kan användas går det att få åtkomst till disken via kopian som lagras i Kaspersky Security Center. En kopia skickas därför alltid till Kaspersky Security Center när du skapar en disknyckel. Nycklarna krypteras alltid vid disklagring.

Användarbehörighet och operativsystem som öppnas via en krypterad disk.Den lagrade disknyckeln blir tillgänglig för krypteringsfiltret när användarbehörigheten har fastställts. Användarbehörighet kan bekräftas via ett lösenord, smartkort eller en USB-token. När behörigheten har fastställts går det att starta operativsystemet via den krypterade disken.



Verkställande av krypteringspolicyer på datorn.Två processer startar när en krypteringspolicy tillämpas i datorn:

  • Kryptering ”på språng” aktiveras permanent. På så sätt kommer alla data som skapas på disken att krypteras fr.o.m. denna tidpunkt. Samtliga läs-/skrivprocesser kommer därmed att fångas upp av diskkrypteringsfiltret.
  • Diskkrypteringsprocessen startar och samtliga diskar på datorn krypteras. När krypteringen är slutförd är diskkrypteringspolicyn tillämpad för hela datorn. Diskkrypteringsprocessen kan ta flera timmar.

Du kan arbeta som vanligt under diskkrypteringen, försätta datorn i viloläge eller t.o.m. stänga av den. Krypteringen fortsätter när du sätter igång datorn igen. Processen är även tålig när det gäller driftstopp, som vid strömavbrott eller problem i operativsystemet. Tack vare dess felsäkra utformning kommer alla data att krypteras till slut.

Åtkomst till krypterade filer (FLE, File Level Encryption)

Åtkomst med Kaspersky Endpoint Security.När användarbehörigheten har fastställts i operativsystemet går det att få åtkomst till de krypterade filerna i enlighet med krypteringspolicyerna via användarens program på datorn.

Om du vill få åtkomst till filer som krypteras av andra användare måste du, i roll som värdagent, begära de dekrypteringsnycklar som behövs via Kaspersky Security Center. Om den krypterade filen skickades till dig via e-post måste du som mottagare kontakta Kaspersky Security Center för att erhålla en nyckel (om detta är tillåtet enligt policyerna). Nyckeln används för att få åtkomst till denna fil och andra krypterade filer på samma lokala användardisk. Nyckeln sparas i cacheminnet, så du behöver inte be om en ny nyckel varje gång om det gäller krypterade filer på samma disk som tillhör samma användare.

Om du saknar Internetanslutning går det att erhålla en nyckel från Kaspersky Security Center genom standardmässiga kontrollfrågesvarsmetoder via öppna kanaler t.ex. över telefon. Skicka en genererad kontrollfrågekod och vänta in koden för svaret.

Åtkomst utan Kaspersky Endpoint Security.Om det är tillåtet enligt krypteringspolicyerna går det att konfigurera åtkomsten till de krypterade filerna på dina enheter så att du kommer åt dem utan Kaspersky Endpoint Security och istället använder ett lösenord. Vid konfiguration av en sådan enhet med Kaspersky Endpoint Security:

  • Programmet Kaspersky Portable File Manager kopieras till enheten. Här lagras nycklarna för att få åtkomst till krypterade filer och krypterar/dekrypterar dem på ett säkert sätt.
  • Skapa ett lösenord för att få åtkomst till filerna på enheten.

När du ansluter enheten och godkänner användning via Portable File Manager kan du läsa och redigera de krypterade filerna. Det går även att kryptera nya filer på enheten.

Skydd för användare av Kaspersky Total Security (Consumer)

Crypto Disk är ett underordnat Kaspersky Total Security-system som skyddar dina data med hjälp av kryptering.

Med Crypto Disk skapar du en virtuell, krypterad disk som lagras som en separat fil. Du får åtkomst till disken genom att ange det lösenord som tilldelades när disken skapades. Efter auktorisering installeras disken som en lokal drivrutin t.ex. "E:\". Överför och dela filer från den krypterade disken till andra användare via enheter, e-post, delnings- och molnplattformar genom att ge dem lösenordet.

Disken krypteras inte med själva lösenordet utan med en nyckel som skapas automatiskt när användarbehörigheten har fastställts. På så sätt går det att ändra ett lösenord utan att behöva kryptera hela den virtuella disken på nytt.

Krypteringsmodul

En krypteringsmodul med AES-256-krypteringsalgoritmer i XTS-läge används för FDE, FLE och Crypto Disk. Krypteringsbiblioteket är certifierat för:

Relaterade produkter

Kaspersky Endpoint Security for Business

Anpassningsbart skydd mot avancerade hot som riktar in sig på din verksamhet.

Kaspersky Total Security

En produkt som täcker alla dina säkerhetsbehov

WHITEPAPER

Protecting Sensitive Data with Kaspersky...