Программы шифрования данных. Шифрование данных, как необходимая мера для защиты ваших данных

Защита важной информации от злоумышленников и просто от посторонних глаз – первостепенная задача любого пользователя, ведущего активную деятельность в интернете. Зачастую данные лежат на жестких дисках в открытом виде, что повышает риск их хищения с компьютера. Последствия могут быть самые разные – от потери паролей к различным сервисам до расставания с внушительной суммой денег, хранящейся на электронных кошельках.

В этой статье рассмотрим несколько специализированных программ, которые позволяют зашифровать и защитить паролем файлы, каталоги и съемные носители.

Этот софт, пожалуй, один из самых известных шифровальщиков. TrueCrypt позволяет создавать зашифрованные контейнеры на физических носителях, защищать флешки, разделы и целые жесткие диски от несанкционированного доступа.

PGP Desktop

Это программа-комбайн для максимальной защиты информации на компьютере. PGP Desktop умеет шифровать файлы и каталоги, в том числе и в локальной сети, защищать почтовые вложения и сообщения, создавать закриптованные виртуальные диски, безвозвратно удалять данные путем многопроходной перезаписи.

Folder Lock

Folder Lock – наиболее дружелюбный к пользователю софт. Программа позволяет скрывать из видимости папки, шифровать файлы и данные на флешках, хранить пароли и другую информацию в защищенном хранилище, может бесследно затирать документы и свободное место на дисках, имеет встроенную защиту от взлома.

Dekart Private Disk

Данная программа предназначена исключительно для того, чтобы создавать зашифрованные образы дисков. В настройках можно указать, какие программы, содержащиеся в образе, будут запускаться при монтировании или демонтировании, а также включить брандмауэр, отслеживающий приложения, которые пытаются получить доступ к диску.

R-Crypto

Еще один софт для работы с закриптованными контейнерами, которые выступают в качестве виртуальных носителей данных. Контейнеры R-Crypto можно подключать как флешки или обычные жесткие диски и отключать их от системы при выполнении условий, указанных в настройках.

Crypt4Free

Crypt4Free – программа для работы с файловой системой. Она позволяет шифровать обычные документы и архивы, прикрепленные к письмам файлы и даже информацию в буфере обмена. В состав программы также входит генератор сложных паролей.

RCF EnCoder/DeCoder

Этот маленький шифровальщик дает возможность защищать каталоги и содержащиеся в них документы с помощью создаваемых ключей. Основной особенностью RCF EnCoder/DeCoder является возможность зашифровки текстового содержимого файлов, а также то, что он поставляется только в портативной версии.

Запретный файл

Самый крошечный по объему участник данного обзора. Программа скачивается в виде архива, содержащего один единственный исполняемый файл. Несмотря на это, софт умеет шифровать любые данные с помощью алгоритма IDEA.

Это был небольшой список известных, и не очень, программ для шифрования файлов и папок на жестких дисках компьютера и съемных носителях. Все они имеют разные функции, но выполняют одну задачу – скрывать информацию пользователя от посторонних глаз.

Принцип современной криптозащиты заключается не в создании шифровки, которую невозможно прочесть (такое практически невозможно), а в повышении затрат криптоанализа.
То есть зная сам алгоритм шифрования, но не знаю ключа, взломщик должен потратить миллионы лет на расшифровку. Ну или столько, сколько понадобится (как известно информация перестаёт быть важной после смерти ваших близких и вас самих), пока x-files не потеряют актуальность. При этом сложность вступает в противоречии с лёгкостью использования: данные должны шифроваться и расшифровываться достаточно быстро при использовании ключа. Программы, которые попали в сегодняшний обзор, в целом удовлетворяют двум названным критериям: они достаточно просты в эксплуатации, при этом используют в меру стойкие алгоритмы.

Начнём мы с проги, которая сама по себе достойна отдельной статьи или цикла статей. Уже при установке я был удивлён дополнительной возможностью создания ложной операционной системы. Сразу же после завершения общения с мастером установки ДрайвКрипт предложил создать хранилище ключей. Хранилищем может быть выбран любой файл: файл, рисунок, мп3. После того как путь к хранилищу указан, вбиваем пароли, коих у нас целых два типа: master & user. Отличаются они доступом к настройкам DCPP — пользователь не имеет возможности что-то изменить, он может лишь просматривать заданные настройки. Каждый тип может состоять из двух и боле паролей. Собственно доступ к установке защиты может быть представлен как по паролю мастера, так и по паролю пользователя.

Перед тем, как шифровать любые диски, нужно проверить корректность установки защиты загрузки. Будьте внимательны, если не проверить корректность работы защиты загрузки и сразу же зашифровать диск, то восстановить его содержимое будет невозможно. После проверки можно переходить к шифрованию диска или раздела. Чтобы зашифровать диск или раздел, следует
выбрать Disk Drives и нажать Encrypt. Мастер шифрования диска откроет окно, в котором будет предложено выбрать ключ из хранилища. Диск будет зашифрован этим ключом и этот же ключ потребуется для дальнейшей работы с диском. После того, как ключ выбран, будет запущен процесс шифровки диска. Процесс достаточно долгий: в зависимости от объема шифруемого диска или раздела он может занимать до нескольких часов.

В общем всё это достаточно просто и стандартно. Гораздо интереснее поработать с ложной осью. Отформатируем раздал на жёстком диске обязательно в FAT32 (похоже, слухи о смерти этой файловой системы оказались сильно преувеличены
:)), поставим Windows, установим DriveCrypt. Создаваемая ложная операционная система должна выглядеть как рабочая, постоянно используемая. После того, как скрытая операционная система будет создана, загружаться и работать с ложной ОС крайне опасно, поскольку есть вероятность разрушить данные скрытой операционной системы. Накидав в систему всякий мусор, создаём новое хранилище,
авторизуемся в DCPP, переключаемся на вкладку Drives, выделяем раздел, где установлена ложная операционная система и фтыкаем HiddenOS. Откроется окно настроек. Здесь всё просто: указываем путь к только что созданному хранилищу, пароли, метку скрытого диска, его файловую систему и количество свободного места, которое будет отделять ложную операционную систему от скрытой. После фтыкания кнопки Create Hidden OS будет запущен процесс создания скрытого раздела и всё содержимое системного раздела будет скопировано на скрытый раздел. Прога создаст скрытый раздел, начало которого будет находиться через указанный при создании скрытого раздела промежуток свободного места от окончания ложного раздела. Перезагружаемся и
авторизуемся вводом паролей, которые были указаны при создании скрытого раздела. Содержимое ложной операционной системы не будет видно при работе в скрытой ОС, и наоборот: при работе в ложной операционной системе не будет видно скрытой ОС. Таким образом, только введённый пароль при включении компьютера определяет то, какая операционная система будет загружена. После окончания создания скрытой операционной системы в неё нужно войти и зашифровать системный раздел.

При помощи DriveCrypt можно зашифровать любой жесткий диск или сменный накопитель (за исключением CD и DVD) и использовать его для обмена данными между пользователями. Несомненным плюсом обмена данными на полностью зашифрованном носителе является невозможность обнаружения на нём каких-либо файлов, носитель выглядит не отформатированным. Даже располагая информацией о том, что носитель зашифрован, при отсутствии ключа данные прочитать будет невозможно.

DriveCrypt шифрует целый диск или раздел, позволяя скрыть не только важные данные, но и всё содержимое диска или раздела, включая операционную систему. К сожалению, за такой уровень безопасности приходится расплачиваться значительным падением производительности файловой системы.

Здесь мы встречаем довольно оригинальный алгоритм шифрования с закрытым ключом длиной от 4 до 255 символов, разработанный самими авторами проги. Причем, пароль-ключ не хранится внутри зашифрованного файла, что уменьшает возможность его взлома. Принцип работы программы прост: указываем файлы или папки, которые необходимо зашифровать, после чего прога предлагает ввести ключ. Для большей надежности ключик можно подбирать не только на клавиатуре, но и с помощью специальной панели. Эта панель, походу дела, была нагла украдена у MS Word (вставка
— символ). Подтвердив ввод пароля, мы вынудим программу зашифровывать файл, присвоив ему расширение *.shr.

Files Cipher способен сжимать шифруемые файлы с помощью встроенного алгоритма архивации. К тому же после шифрования исходный файл может удаляться с жесткого диска без возможности восстановления.
Программа работает с файлами любых типов, а также поддерживает файлы размером более 4 Gb (для NTFS). При этом системные требования к компьютеру очень скромные и ресурсов в отличии от фронтмена кушается всего ничего.

В PGP реализовано шифрование как открытыми, так и зарекомендовавшими себя симметричными
ключами: AES с шифрованием до 256-битного, CAST, TripleDES, IDEA и Twofish2. Для управления ключами шифрования имеется опция PGP Keys, которая выводит окошко с отображением пользовательских ключей и добавленных в список открытых ключей. Схема работы модуля для шифрования дисков PGP Disk… мммм… как бы это сказать? А, элементарна. Опять таки создаём файл Хранилище Ключей (я его про себя называю Ключником), вводим пароли. Причем при указании пароля отображается специальный индикатор стойкости (качества), который, кстати, наглядно демонстрирует актуальность сложных паролей: так, стойкость пароля, состоящего из восьми цифр, примерно равна стойкости шестибуквенного или четырехзначного, в котором есть один спецсимвол (восклицательный знак) и три буквы.

Очень понравилось, что создатели подумали и об ICQ (кто читал логи Сталкера после дефейса мазафаки, тот поймёт… или они не в аси были и я что-то путаю?). После установки в окошке аськи появляется специальная иконка, с помощью которой и включается защита сессий.

Что касается самой больной темы – утечки информации через своп-файл – авторы сами признали, что наглухо перекрыть этот канал утечки они не смогли ввиду особенностей функционирования операционной системы. С другой стороны, предприняты меры по уменьшению данной угрозы – все важные данные хранятся в памяти не дольше, чем это необходимо. После завершения операции вся критически важная информация из памяти удаляется. Таким образом, эта уязвимость имеет место, и для ее ликвидации нужно либо отключить виртуальную память (что может привести к заметному ухудшению работы ОС), либо предпринять дополнительные меры по защите.

Когда Эдвард Сноуден приступил к разоблачению тайн программ по сбору данных, запущенных разведками по всему миру, у него была цель: предотвратить подобные захваты в будущем.

На данный момент нет ощущения, что Сноуден достиг своей цели. Только в начале декабря ФБР получило широкие полномочия на слежку за компьютерами, расположенными за океаном, в том числе и в России. Многие политики в США едины в своем мнении: в период президенства Трампа такие организации получат еще больше прав.

На подобные меры уже пошла Великобритания: здесь секретные службы с 29 ноября получили правовые основания на масштабный сбор информации по принципу Full Take. Для Сноудена это означает «самую мощную слежку в истории западной демократии». И таких взглядов придерживается не он один. Уполномоченный по защите личных данных ЕС также видит сложившуюся ситуацию «не просто опасной».

«На каждую атаку есть свой метод
защиты»

Эдвард Сноуден , разоблачитель
По мнению Сноудена, разумнее раскрывать
как можно меньше персональной информации

Сторонники слежки в качестве аргумента предъявляют принцип «Мне скрывать нечего». Загвоздка лишь в том, что, если секретные службы без каких-либо ограничений могут копаться в ваших личных данных и контактах, всегда существует риск злоупотребления и возникновения ошибок.

Например, в Германии действует один из лучших в мире законов о защите информации, но и там данные подвергаются опасности из-за нового закона, касающегося деятельности Федеральной разведывательной службы (BND).

Если же вы храните свою информацию в облаке, она в большинстве случаев попадает под юрисдикцию других стран. Однако и в такой ситуации ее можно надежно защитить. Способ уже предложил Сноуден - это шифрование. Почему до сих пор этим занимаются лишь отдельные пользователи, легко объяснимо - понижается комфорт.

Но с помощью наших советов вам не придется выбирать между безопасностью и удобством. Мы покажем, как тщательно зашифровать свои данные на локальном компьютере, смартфоне и в облаке. Особое внимание мы уделяем простоте настройки и оптимальному «сцеплению» с соответствующей операционной системой.

Благодаря этому вы не только скроете конфиденциальную информацию от глаз секретных служб, но и предотвратите хакерские атаки, поскольку если даже разведки не смогут расшифровать ваши данные, то хакеры и подавно.

Защита данных на ПК

Начнем с Windows. Информацию на домашнем компьютере лучше всего защитить посредством шифрования всего жесткого диска. Однако на устаревших машинах со слабой производительностью имеет смысл кодировать каждую папку по отдельности. Ниже мы опишем каждый из методов.

Применяем аппаратное шифрование

Зашифровать современные жесткие диски проще, чем можно подумать, поскольку они предлагают собственную методику кодирования. Для этого в них используется Opal SSC (Opal Security Subsystem Class). Данный стандарт позволяет шифровать диск напрямую на контроллере носителя. Таким образом, операционная система остается незатронутой.

Криптоалгоритмы для шифрования файлов
> AES (Advanced Encryption Standard)
Преемник DES. Ключ при длине от 192 и более знаков, например, AES-192, считается надежным
> DES (Data Encryption Standard)
Совместная разработка компании IBM и АНБ США. Следует использовать только последние версии, такие как 3DES и Tripple-DES.
> Twofish
Находится в свободном доступе в качестве ключа публичного домена. Среди экспертов считается надежным и не замеченным в наличии лазеек.

Чтобы узнать, поддерживает ли ваш диск технологию Opal, посмотрите техническое описание продукта на сайте производителя. Там же вы найдете инструменты для активации этой функции. В случае с Samsung, к примеру, это программа Magician. После активации жесткий диск перед запуском ОС попросит вас ввести заданный пароль.

На два момента следует обратить особое внимание: не используйте параллельно дополнительное шифрование - например, посредством инструмента Bit­Locker в Windows. Часто это вызывает проблемы: многие пользователи сообщали даже о потере данных.

Кроме того, следует отключить шифрование перед демонтажом жесткого диска, поскольку ПО для декодирования запускается лишь в том случае, если винчестер выступает в качестве загрузочного носителя с операционной системой. При этом, если подключить такой накопитель к другому компьютеру по USB, диск будет казаться абсолютно пустым.

Шифрование диска сторонним ПО

Windows 10 также предлагает собственное ПО для шифрования жестких дисков – BitLocker. Впрочем, оно доступно только для версий «Профессиональная» и «Корпоративная». Владельцы версии «Домашняя» могут воспользоваться в качестве варианта бесплатной программой VeraCrypt (veracrypt.codeplex.com).

После запуска VeraCrypt выберите опцию «Encrypt the system partition or entire system drive». В появившемся окне нажмите на «Normal», а затем - на «Encrypt the whole drive». Благодаря этому впоследствии будут зашифрованы все данные на системном и всех других разделах.

Во всплывающем окне появится вопрос, должна ли VeraCrypt кодировать также скрытые разделы. Как правило, на него следует отвечать «Yes». Однако имейте в виду, что в таком случае утилита зашифрует и раздел для восстановления, если таковой существует. Этот раздел используется на некоторых предприятиях для запуска процесса загрузки.

В последнем диалоговом окне создайте аварийный диск - VeraCrypt предложит это автоматически.

Шифрование отдельных папок

На медленных и старых компьютерах стоит все же отказаться от полного шифрования. Мы настоятельно рекомендуем для таких случаев создавать так называемый контейнер.

При этом появляется виртуальный диск, на который сохраняется конфиденциальная информация. Она автоматически шифруется и укладывается в файл на вашем жестком диске.

И в этой ситуации вы можете воспользоваться программой VeraCrypt. В окне настройки шифрования нажмите на опцию «Create an encrypted file container» и следуйте указаниям Мастера.

USB-накопитель с шифрованием

Ежегодно жители России приобретают USB-накопителей на сотни тысяч рублей. Эти миниатюрные носители очень удобны в использовании, однако невероятно быстро теряются.

Если же вы храните на них конфиденциальную информацию, человек, обнаруживший вашу флешку, без проблем может ее прочитать. Исправить ситуацию способны закодированные по стандарту AES накопители .

> Недорого создать подобный накопитель поможет шифрование обычной флешки программой VeraCrypt. Проблема: на каждом компьютере, куда вы будете его подключать, должно стоять данное программное обеспечение.
> Самые надежные - те, в которые шифрование интегрировано по умолчанию, в том числе DataTraveler2000 от Kingston. Однако такие устройства дороже обычных на целых 6400 рублей. Доступ данных открывается лишь после ввода пароля на встроенной в устройство клавиатуре.
> Максимальный комфорт предлагает . В этот накопитель встроен сканер отпечатка пальца. Флешка, зашифрованная надежным AES-ключом, распознается системой только после успешной аутентификации. Разумеется, подобная супертехнология не может стоить дешево. Для стопроцентной защиты данных придется выложить примерно 18 000 рублей.

Фото: компании-производители, vchalup, tashatuvango, Scanrail, Oleksandr Delyk, 2nix/Fotolia.com

Шифрование - это процесс кодирования информации таким образом, что она не может быть доступной другим людям, если они не имеют необходимый ключ для декодирования. Шифрование, как правило, используется для защиты важных документов, но это также хороший способ остановить людей, которые пытаются украсть ваши личные данные.

Зачем использовать категории? Чтобы разбить огромное множество программ шифрования информации на более простые и понятные наборы программ, т.е. структурировать. Данная статья ограничивается набором утилит для шифрования файлов и папок.

1. Утилиты шифрования файлов и папок - эти утилиты рассматриваются в данной статье. Эти утилиты шифрования работают напрямую с файлами и папками, в отличие от утилит, которые осуществляют шифрование и хранение файлов в томах (архивах, то есть в контейнерах файлов). Данные утилиты шифрования могут работать в режиме "по требованию" или в режиме "на лету".
2. Утилиты шифрования виртуальных дисков . Такие утилиты работают по средствам создания томов (зашифрованных контейнеров/архивов), которые представляются в файловой системе в качестве виртуальных дисков, имеющих свою букву, например, "L:". Эти диски могут содержать как файлы, так и папки. Файловая система компьютера может читать, писать и создавать документы в режиме реального времени, т.е. в открытом виде. Такие утилиты работают в режиме "на лету".
3. Full-drive утилиты шифрования - шифруют все устройства хранения данных, например, сами жесткие диски, разделы диска и USB устройства. Некоторые из утилит в этой категории также могут зашифровать диск, на котором установлена операционная система.
4. Клиентские утилиты шифрования в "облаке": новая категория утилит шифрования. Эти утилиты шифрования файлов используются до загрузки или синхронизации с "облаком". Файлы находятся в зашифрованном виде при передаче и во время хранения в "облаке". Утилиты шифрования в "облаке" используют различные формы виртуализации, чтобы представить доступ к исходному тексту на стороне клиента. При этом вся работа происходит в режиме "на лету".

Предостережения

Операционные системы порочны: эхо ваших личных данных - файлы подкачки, временные файлы, файлы режима энергосбережения ("сна системы"), удаленные файлы, артефакты браузеров, и т.д. - скорее всего, останутся на любом компьютере, который вы используете для доступа к данным. Это нетривиальная задача - выделить это эхо ваших личных данных. Если вам необходима защита данных жесткого диска во время их перемещения или поступления извне, то это достаточно сложная задача. Например, когда вы осуществляете создание зашифрованного архива файлов или разархивирование такого архива, то, соответственно, оригинальные версии файлов или копии оригинальных файлов из этого архива остаются на жестком диске. Они так же могут остаться в местах хранилища временных файлов (ака папки Temp и т.д.). И получается, что задача удаления этих оригинальных версий становится задачей не простого удаления этих файлов по средствам команды "удалить".

1. Тот факт, что программа шифрования «работает» не означает, что она является безопасной. Новые утилиты шифрования часто появляются после того, как "кто-то" прочитает прикладную криптографию, выберет алгоритм и возьмется за разработку. Может быть даже "кто-то" использует проверенный опенсурс код. Реализует пользовательский интерфейс. Убедится в том, что она работает. И подумает, что на этом все закончено. Но, это не так. Такая программа наверняка наполнена фатальными багами. "Функциональность не означает качество, и никакое бета-тестирование не раскроет проблемы безопасности. Большинство продуктов представляют собой красивое слово "соблюдается". Они используют алгоритмы криптографии, но сами не являются безопасными." (Вольный перевод) - Брюс Шнайер, из Security Pitfalls in Cryptography. (исходная фраза: "Functionality does not equal quality, and no amount of beta testing will ever reveal a security flaw. Too many products are merely buzzword compliant; they use secure cryptography, but they are not secure.").
2. Использование шифрования - не является достаточным для обеспечения безопасности ваших данных. Существует множество способов обойти защиту, поэтому если ваши данные "очень секретные", то необходимо так же задумываться и о других путях защиты. Как "старт" для дополнительных поисков можно использовать статью риски использования криптографического ПО .

Обзор программ шифрования файлов и папок

TrueCrypt когда-то был самой лучшей программой в этой категории. И до сих пор является одной из лучших, но уже не соответствует данной категории, так как базируется на работе по средствам виртуальных дисков.

Большинство, если не все программы, описанные ниже, подвергают пользователя неочевидным угрозам, которые описаны выше в пункте №1 из списка п редостережений. TrueCrypt, который базируется на работе с разделами, а не на работе с файлами и папками - не подвергает пользователей этой уязвимости.

Sophos Free Encryption - больше не доступна.

Сопутствующие продукты и ссылки

Сопутствующие продукты:

Альтернативные продукты:

• SafeHouse Explorer является простой, бесплатной программой, которая достаточно мало весит, что позволяет ее с легкостью использовать на USB накопителях. Так же вы можете найти хорошо подготовленные видео материалы и руководство пользователя на их веб-сайте.
  
• Rohos Mini Drive это портативная (portable) программа, которая создает скрытый, зашифрованный раздел на USB накопителе.
• FreeOTFE (из обзора утилит шифрования виртуальных дисков) является программой для осуществления шифрования диска "на лету". Она может быть адаптирована для портативного (portable) использования.
• FreeOTFE Explorer является более простым вариантом FreeOTFE. Она не требует прав администратора.
• Pismo File Mount Audit Package является расширением файловой системы, которое обеспечивает доступ к специальным зашифрованным файлам (через контекстное меню проводника Windows), в свою очередь которые предоставляют доступ к зашифрованным папкам. Приложения могут писать прямо в эти папки, что позволяет гарантировать, что текстовые копии оригинального документа не останутся на жестком диске.
• 7-Zip это мощная утилита для создания архивов файлов, которая обеспечивает 256-битное AES шифрование для *.7z и *.zip форматов. Однако, программа Pismo более лучшее решение, поскольку оно позволяет избежать проблемы хранения незашифрованных версий файлов.

Руководство по быстрому выбору (скачать программы для шифрования файлов и папок)

AxCrypt

Kaspersky Endpoint Security позволяет шифровать файлы и папки, хранящиеся на локальных дисках компьютера и съемных дисках, съемные и жесткие диски целиком. Шифрование данных снижает риски утечки информации в случае кражи / утери портативного компьютера, съемного диска или жесткого диска, а также при доступе посторонних пользователей и программ к данным.

Если срок действия лицензии истек, то программа не шифрует новые данные, а старые зашифрованные данные остаются зашифрованными и доступными для работы. В этом случае для шифрования новых данных требуется активировать программу по новой лицензии, которая допускает использование шифрования.

В случае истечения срока действия лицензии, нарушения Лицензионного соглашения, удаления ключа, удаления программы Kaspersky Endpoint Security или компонентов шифрования с компьютера пользователя не гарантируется, что файлы, зашифрованные ранее, останутся зашифрованными. Это связано с тем, что некоторые программы, например Microsoft Office Word, при редактировании файлов создают их временную копию, которой подменяют исходный файл при его сохранении. В результате при отсутствии или недоступности на компьютере функциональности шифрования файл остается незашифрованным.

Kaspersky Endpoint Security обеспечивает следующие направления защиты данных:

• Шифрование файлов на локальных дисках компьютера . Вы можете сформировать списки из файлов по расширению или группам расширений и из папок, расположенных на локальных дисках компьютера, а также создать правила шифрования файлов, создаваемых отдельными программами . После применения политики Kaspersky Security Center программа Kaspersky Endpoint Security шифрует и расшифровывает следующие файлы:
  • файлы, отдельно добавленные в списки для шифрования и расшифровки;
  • файлы, хранящиеся в папках, добавленных в списки для шифрования и расшифровки;
  • файлы, создаваемые отдельными программами.

  Подробнее о применении политики Kaspersky Security Center вы можете прочитать в справке для Kaspersky Security Center.

• Шифрование съемных дисков . Вы можете указать правило шифрования по умолчанию, в соответствии с которым программа выполняет одинаковое действие по отношению ко всем съемным дискам, и указать правила шифрования отдельных съемных дисков.

  Правило шифрования по умолчанию имеет меньший приоритет, чем правила шифрования, созданные для отдельных съемных дисков. Правила шифрования, созданные для съемных дисков с указанной моделью устройства, имеют меньший приоритет, чем правила шифрования, созданные для съемных дисков с указанным идентификатором устройства.

  Чтобы выбрать правило шифрования файлов на съемном диске, Kaspersky Endpoint Security проверяет, известны ли модель устройства и его идентификатор. Далее программа выполняет одно из следующих действий:

  • Если известна только модель устройства, программа применяет правило шифрования, созданное для съемных дисков с данной моделью устройства, если такое правило есть.
  • Если известен только идентификатор устройства, программа применяет правило шифрования, созданное для съемных дисков с данным идентификатором устройства, если такое правило есть.
  • Если известны и модель устройства, и идентификатор устройства, программа применяет правило шифрования, созданное для съемных дисков с данным идентификатором устройства, если такое правило есть. Если такого правила нет, но есть правило шифрования, созданное для съемных дисков с данной моделью устройства, программа применяет его. Если не заданы правила шифрования ни для данного идентификатора устройства, ни для данной модели устройства, программа применяет правило шифрования по умолчанию.
  • Если неизвестны ни модель устройства, ни идентификатор устройства, программа применяет правило шифрования по умолчанию.

  Программа позволяет подготовить съемный диск для работы с зашифрованными на нем файлами в портативном режиме. После включения портативного режима становится доступной работа с зашифрованными файлами на съемных дисках, подключенных к компьютеру с недоступной функциональностью шифрования.

  Программа выполняет указанное в правиле шифрования действие при применении политики Kaspersky Security Center.

• Управление правами доступа программ к зашифрованным файлам . Для любой программы вы можете создать правило доступа к зашифрованным файлам, запрещающее доступ к зашифрованным файлам или разрешающее доступ к зашифрованным файлам только в виде шифротекста - последовательности символов, полученной в результате применения шифрования.
• Создание зашифрованных архивов . Вы можете создавать зашифрованные архивы и защищать доступ к этим архивам паролем. Доступ к содержимому зашифрованных архивов можно получить только после ввода паролей, которыми вы защитили доступ к этим архивам. Такие архивы можно безопасно передавать по сети или на съемных дисках.
• Полнодисковое шифрование . Вы можете выбрать технологию шифрования: Шифрование диска Kaspersky или Шифрование диска BitLocker (далее также "BitLocker").

  BitLocker - технология, являющаяся частью операционной системы Windows. Если компьютер оснащен доверенным платформенным модулем (TPM, Trusted Platform Module), BitLocker использует его для хранения ключей восстановления, позволяющих получить доступ к зашифрованному жесткому диску. При загрузке компьютера BitLocker запрашивает у доверенного платформенного модуля ключи восстановления жесткого диска и разблокирует его. Вы можете настроить использование пароля и / или PIN-кода для доступа к ключам восстановления.

  Вы можете указать правило полнодискового шифрования по умолчанию и сформировать список жестких дисков для исключения из шифрования. Kaspersky Endpoint Security выполняет полнодисковое шифрование по секторам после применения политики Kaspersky Security Center. Программа шифрует сразу все логические разделы жестких дисков. Подробнее о применении политики Kaspersky Security Center вы можете прочитать в справке для Kaspersky Security Center.

  После шифрования системных жестких дисков при последующем включении компьютера доступ к ним, а также загрузка операционной системы возможны только после прохождения процедуры аутентификации с помощью. Для этого требуется ввести пароль токена или смарт-карты, подключенных к компьютеру, или имя и пароль учетной записи Агента аутентификации, созданной системным администратором локальной сети организации с помощью задач управления учетными записями Агента аутентификации. Эти учетные записи основаны на учетных записях пользователей Microsoft Windows, под которыми пользователи выполняют вход в операционную систему. Вы можете управлять учетными записями Агента аутентификации и использовать технологию единого входа (SSO, Single Sign-On), позволяющую осуществлять автоматический вход в операционную систему с помощью имени и пароля учетной записи Агента аутентификации.

  Интерфейс, позволяющий после шифрования загрузочного жесткого диска пройти процедуру аутентификации для доступа к зашифрованным жестким дискам и для загрузки операционной системы.

  Если для компьютера была создана резервная копия, затем данные компьютера были зашифрованы, после чего была восстановлена резервная копия компьютера и данные компьютера снова были зашифрованы, Kaspersky Endpoint Security формирует дубликаты учетных записей Агента аутентификации. Для удаления дубликатов требуется использовать утилиту klmover с ключом dupfix . Утилита klmover поставляется со сборкой Kaspersky Security Center. Подробнее о ее работе вы можете прочитать в справке для Kaspersky Security Center.

  При обновлении версии программы до Kaspersky Endpoint Security 11 для Windows список учетных записей Агента аутентификации не сохраняется.

  Доступ к зашифрованным жестким дискам возможен только с компьютеров, на которых установлена программа Kaspersky Endpoint Security с доступной функциональностью полнодискового шифрования . Это условие сводит к минимуму вероятность утечки информации, хранящейся на зашифрованном жестком диске, при использовании зашифрованного жесткого диска вне локальной сети организации.

Для шифрования жестких и съемных дисков вы можете использовать функцию . Рекомендуется применять эту функцию только для новых, ранее не использовавшихся устройств. Если вы применяете шифрование на уже используемом устройстве, рекомендуется зашифровать все устройство. Это гарантирует защиту всех данных - даже удаленных, но еще содержащих извлекаемые сведения.

Перед началом шифрования Kaspersky Endpoint Security получает карту секторов файловой системы. В первом потоке шифруются секторы, занятые файлами на момент запуска шифрования. Во втором потоке шифруются секторы, в которые выполнялась запись после начала шифрования. После завершения шифрования все секторы, содержащие данные, оказываются зашифрованными.

Если после завершения шифрования пользователь удаляет файл, то секторы, в которых хранился этот файл, становятся свободными для дальнейшей записи информации на уровне файловой системы, но остаются зашифрованными. Таким образом, по мере записи файлов на новом устройстве при регулярном запуске шифрования с включенной функцией Шифровать только занятое пространство на компьютере через некоторое время будут зашифрованы все секторы.

Данные, необходимые для расшифровки объектов, предоставляет Сервер администрирования Kaspersky Security Center, под управлением которого находился компьютер в момент шифрования. Если по каким-либо причинам компьютер с зашифрованными объектами попал под управление другого Сервера администрирования и доступ к зашифрованным объектам ни разу не был осуществлен, то получить его возможно одним из следующих способов:

• запросить доступ к зашифрованным объектам у администратора локальной сети организации;
• восстановить данные на зашифрованных устройствах с помощью утилиты восстановления;
• восстановить конфигурацию Сервера администрирования Kaspersky Security Center, под управлением которого находился компьютер в момент шифрования, из резервной копии и использовать эту конфигурацию на Сервере администрирования, под управлением которого оказался компьютер с зашифрованными объектами.

В процессе шифрования программа создает служебные файлы. Для их хранения требуется около 0,5% нефрагментированного свободного пространства на жестком диске компьютера. Если нефрагментированного свободного пространства на жестком диске недостаточно, то шифрование не запускается до тех пор, пока не обеспечено это условие.

Не поддерживается совместимость между функциональностью шифрования Kaspersky Endpoint Security и Антивирусом Касперского для UEFI. Шифрование дисков компьютеров, на которых установлен Антивирус Касперского для UEFI, приводит к неработоспособности Антивируса Касперского для UEFI.