跳至主内容

加密

加密 策略模块中,您可以控制终端上的加密设置。

加密模块 通过利用 BitLocker 在Windows上,以及 FileVault diskutil 命令行工具在macOS上分别实现。

GravityZone 能够提供以下优势:

  • 设备丢失或被盗时数据仍受保护。

  • 通过采用微软和苹果全面支持的推荐加密标准,为全球最流行的计算机平台提供广泛保护。

  • 由于使用原生加密工具,对终端性能影响极小。

注意

该模块适用于:

  • 工作站版Windows

  • 服务器版Windows

  • macOS

加密模块运行以下解决方案:

  • BitLocker 1.2及更高版本,在配备可信平台模块(TPM)的Windows终端上,用于引导卷和非引导卷。

  • BitLocker 1.2及更高版本,在无TPM的Windows终端上,用于引导卷和非引导卷。

  • macOS终端上的FileVault,用于引导卷。

  • macOS终端上的diskutil,用于非引导卷。

有关加密模块支持的操作系统列表,请参阅 GravityZone 系统要求。

注意

该功能的可用性和运行情况可能因当前套餐包含的许可证而异。

激活

要使用全盘加密,首先需确保该功能已在GravityZone产品中激活,随后在策略设置中进行配置。

全盘加密是需要基于许可证密钥激活的功能。为此,请前往 配置 > 许可证 并输入许可证密钥。要检查全盘加密的可用性,请打开策略设置或创建新的安装包,查看 加密 是否出现在列出的模块中。

对于拥有年度和月度许可证的客户公司,全盘加密的激活方式不同。

  • 对于拥有年度许可证的客户公司,全盘加密作为附加组件提供,需要基于许可证密钥激活。

  • 对于拥有月度许可证的客户公司,您可以为每家公司启用全盘加密管理,而无需提供许可证密钥。

拥有年度许可证的客户公司

为拥有年度许可证的客户公司激活全盘加密:

  1. 登录 控制中心 .

  2. 从左侧菜单进入 公司 页面。

  3. 点击您要启用全盘加密的公司名称。

  4. 许可证 部分,将全盘加密的许可证密钥输入 附加密钥 字段。

  5. 点击 添加 。附加组件详情将显示在表格中:类型、许可证密钥及移除密钥的选项。

  6. 点击 保存 以应用更改。

拥有月度许可证的客户公司

为拥有月度许可证的客户公司启用全盘加密管理:

  1. 登录 控制中心 .

  2. 进入 公司 页面(通过左侧菜单)。

  3. 点击 add.png 添加 按钮(位于操作工具栏)。

  4. 填写必填信息,选择 客户 作为公司类型,并选择 月度订阅 作为许可证类型。

  5. 勾选 允许公司管理加密 复选框。

  6. 点击 保存 以应用更改。

合作伙伴公司默认拥有全盘加密设置,且无法启用或禁用此功能。

配置

要在 控制中心 管理终端加密,请点击 加密管理 开关(位于 加密 > 常规 页面以启用该功能。只要此设置处于激活状态,终端用户就无法在本地管理加密,其所有操作将被取消或回滚。

注意

禁用此设置将使终端卷保持当前状态(加密或未加密),用户将能够在自己的机器上管理加密。

注意

本主题涵盖 全盘加密 GravityZone 控制台角度的设置。有关终端上加密和解密流程、最佳实践及用例的详细信息,请参阅 GravityZone 全盘加密 常见问题解答 。另请参见 要求部分 关于 全盘加密 .

policies_encyption_cp_48267_en.png

为管理加密和解密过程,提供两种选项:

  • 解密 ——当策略在终端生效时,解密卷并保持其未加密状态。

  • 加密 ——当策略在终端生效时,加密卷并保持其加密状态。

    在加密选项下,您可勾选复选框 若可信平台模块(TPM)处于活动状态,则不要求输入加密密码 。此设置支持在配备TPM的Windows终端上无需用户提供加密密码即可实现加密。

GravityZone 支持Windows和macOS系统上采用128位和256位密钥的高级加密标准(AES)方法。实际使用的加密算法取决于各操作系统配置。

注意

GravityZone 可检测并管理通过BitLocker、FileVault和diskutil手动加密的卷。开始管理这些卷时,安全代理将提示终端用户更改其恢复密钥。若使用其他加密解决方案,则必须在应用 GravityZone 策略。

加密卷

加密卷步骤:

  1. 点击 加密管理 开关以启用该功能。

  2. 选择 加密 选项。

策略在终端生效后即开始加密流程,Windows和Mac系统存在特定差异。

注意

加密与解密仅通过设备类型策略管理,基于规则的策略无法管理卷加密。

  • Windows系统

    默认情况下,安全代理将提示用户配置密码以启动加密。若设备具备可用TPM模块,安全代理将提示用户配置个人识别码(PIN)以启动加密。

    Full_disk_encryption_password_48267.png

    此后每次终端启动时,用户都需在预启动认证界面输入此阶段配置的密码或PIN。

    注意

    安全代理支持通过BitLocker组策略(GPO)设置配置PIN复杂度要求及用户修改PIN的权限。

    若需无需终端用户输入密码即开始加密,请勾选 若可信平台模块(TPM)处于活动状态,则不要求预启动密码 。此设置适用于配备TPM和UEFI的Windows终端。

    当勾选 若可信平台模块(TPM)处于活动状态,则不要求预启动密码 时:

    • 未加密终端:

      • 加密过程无需输入密码。

      • 机器启动时不显示预启动认证界面。

    • 已配置密码加密的终端:

      • 密码将被移除。

      • 卷保持加密状态。

    • 在没有TPM或未检测到/失效TPM的加密或未加密终端上:

      • 系统会提示用户输入加密密码。

      • 机器启动时将显示预启动认证界面。

    当复选框 若可信平台模块(TPM)处于激活状态,则不要求预启动密码 处于禁用状态时:

    • 用户必须输入加密密码。

    • 卷保持加密状态。

  • 在Mac上

    要对启动卷启用加密,安全代理将提示用户输入系统凭证。

    要对非启动卷启用加密,安全代理将提示用户配置加密密码。每次计算机启动时都需要此密码来解锁非启动卷。若计算机有多个非启动卷,用户需为每个卷单独配置加密密码。

    注意

    加密模块会绕过macOS的静默模式。因此即使您在终端生效策略中禁用通知,相关情况下仍会提示用户操作。

解密卷

解密终端上的卷:

  1. 点击 加密管理 开关以启用该功能。

  2. 选择 解密 选项。

策略在终端生效后即开始解密过程,Windows和Mac系统存在特定差异。

  • 在Windows上

    解密过程无需用户交互。

  • 在Mac上

    启动卷需用户输入系统凭证,非启动卷需输入加密过程中配置的密码。

若终端用户忘记加密密码,需使用恢复密钥解锁设备。获取恢复密钥的详细信息请参阅 加密卷恢复管理器使用指南 .

注意

如果加密模块过期,将无法从 GravityZone 获取恢复密钥,加密驱动器将无法访问。我们强烈建议在模块到期前解密所有驱动器以避免数据丢失。

排除分区

您可以通过添加特定驱动器号、分区标签和名称以及分区GUID,为Windows终端创建加密排除列表。无法排除安装操作系统的分区。

注意

在macOS上, Bitdefender 仅支持对启动分区和本地分区(而非卷)进行加密。因此无需为外置硬盘、U盘等设备定义排除项。

创建分区加密排除规则的步骤:

  1. 勾选 排除项 复选框。

  2. 类型 下拉菜单中选择分区标识方法。

  3. 排除项 字段中输入要排除分区的标识符。格式要求如下:

    • 若选择 驱动器号 ,请输入驱动器号加冒号,例如 D: .

    • 若选择 标签/名称 ,请输入驱动器标签,例如 工作盘 .

    • 若选择 GUID ,输入如下格式的分区GUID: \\?\Volume{6a2d53fe-c79a-11e1-b189-806e6f6e6963}\ .

      提示

      在Windows中查找卷GUID时,请使用 mountvol 命令且不带任何参数。

  4. 点击 Add.png 添加 将排除项加入列表。

编辑排除项:

  1. 打开内联菜单。

    policies_encyption_inline_menu_cp_48267_en.png

  2. 点击 编辑排除项 .

  3. 进行修改。

  4. 点击 ok-icon.png 确认图标以保存更改。

    或者,点击 delete_gray_icon.png 取消图标关闭编辑字段而不做更改。

删除排除项时,打开内联菜单并点击 删除 .

本节内容 :