跳至主内容

加密

加密 策略部分中,您可以控制终端上的加密设置。

加密模块 通过调用 BitLocker (Windows系统)、 FileVault diskutil 分别是macOS上的命令行工具。

GravityZone 能够提供以下优势:

  • 设备丢失或被盗时确保数据安全。

  • 通过采用微软和苹果全面支持的推荐加密标准,为全球最流行的计算机平台提供全面保护。

  • 由于采用原生加密工具,对终端性能影响极小。

注意

该模块适用于:

  • 工作站版Windows

  • 服务器版Windows

  • macOS

加密模块运行以下解决方案:

  • BitLocker 1.2及更高版本,适用于带可信平台模块(TPM)的Windows终端,支持启动卷和非启动卷。

  • BitLocker 1.2及更高版本,适用于无TPM的Windows终端,支持启动卷和非启动卷。

  • macOS终端上的FileVault,适用于启动卷。

  • macOS终端上的diskutil,适用于非启动卷。

有关加密模块支持的操作系统列表,请参阅 GravityZone 要求。

注意

该功能的可用性和运行情况可能因当前套餐包含的许可证而异。

激活

要使用全磁盘加密,首先需确保该功能已在GravityZone产品中激活,然后在策略设置中进行配置。

全磁盘加密是需要基于许可证密钥激活的功能。请前往 配置 > 许可证 输入许可证密钥。要检查全磁盘加密的可用性,请打开策略设置或新建安装包,查看 加密 是否出现在模块列表中。

针对按年和按月许可的客户公司,全盘加密的激活方式有所不同。

  • 对于按年许可的客户公司,全盘加密作为附加组件提供,需基于许可证密钥激活。

  • 对于按月许可的客户公司,您可为每家公司直接启用全盘加密管理,无需提供许可证密钥。

按年许可的客户公司

为按年许可的客户公司激活全盘加密的步骤:

  1. 登录 控制中心 .

  2. 进入 公司 页面(通过左侧菜单)。

  3. 点击需要启用全盘加密的公司名称。

  4. 许可证 部分,将全盘加密的许可证密钥填入 附加密钥 字段。

  5. 点击 添加 。附加组件详情将显示在表格中:类型、许可证密钥及移除密钥选项。

  6. 点击 保存 以应用更改。

按月许可的客户公司

为按月许可客户公司启用全盘加密管理的步骤:

  1. 登录 控制中心 .

  2. 进入 公司 从左侧菜单中选择公司页面。

  3. 点击 add.png 添加 操作工具栏中的按钮。

  4. 填写必填信息,选择 客户 作为公司类型, 月度订阅 作为许可证类型。

  5. 勾选 允许公司管理加密 复选框。

  6. 点击 保存 以应用更改。

合作伙伴公司默认具有全盘加密设置,且无法启用或禁用此功能。

配置

要在 控制中心 管理终端加密,请点击 加密管理 切换开关,位于 加密 > 常规 页面以启用该功能。只要此设置处于活动状态,终端用户就无法在本地管理加密,其所有操作将被取消或回滚。

注意

禁用此设置将使终端卷保持当前状态(加密或未加密),用户将能够在自己的机器上管理加密。

注意

本主题涵盖 全盘加密 设置位于 GravityZone 控制台界面。有关端点加密解密流程、最佳实践和用例的详细信息,请参阅 GravityZone 全盘加密 常见问题解答 。另请查看 要求章节 中关于 全盘加密 .

policies_encyption_cp_48267_en.png

管理加密和解密流程时,有两种可选方式:

  • 解密 ——当策略在端点上激活时,对卷进行解密并保持未加密状态。

  • 加密 ——当策略在端点上激活时,对卷进行加密并保持加密状态。

    在加密选项下,您可以勾选 若可信平台模块(TPM)已激活,则加密时不要求输入密码 。该设置可在配备TPM的Windows端点上实现无用户加密密码的加密。

GravityZone 支持Windows和macOS系统上采用128位和256位密钥的高级加密标准(AES)方法。实际使用的加密算法取决于各操作系统配置。

注意

GravityZone 可检测并管理通过BitLocker、FileVault和diskutil手动加密的卷。开始管理这些卷时,安全代理将提示端点用户更改其恢复密钥。若使用其他加密解决方案,必须在应用 GravityZone 策略前对卷进行解密。

加密卷

加密卷操作步骤:

  1. 点击 加密管理 切换开关以启用该功能。

  2. 选择 加密 选项。

加密过程在策略在终端生效后开始,Windows和Mac系统存在一些特殊性。

注意

加密和解密仅由设备类型策略管理。基于规则的策略无法管理卷加密。

  • Windows系统

    默认情况下,安全代理会提示用户配置密码以启动加密。若机器配有可用的TPM芯片,安全代理将提示用户配置个人识别码(PIN)以启动加密。

    Full_disk_encryption_password_48267.png

    用户每次启动终端时,需在预启动认证界面输入此阶段配置的密码或PIN。

    注意

    安全代理允许您通过BitLocker组策略(GPO)设置配置PIN复杂度要求及用户修改PIN的权限。

    若需在不要求终端用户输入密码的情况下启动加密,请勾选 若可信平台模块(TPM)处于活动状态,则不要求预启动密码 。此设置兼容配备TPM和UEFI的Windows终端。

    若可信平台模块(TPM)处于活动状态,则不要求预启动密码 复选框被启用时:

    • 在未加密终端上:

      • 加密过程无需输入密码即可进行。

      • 启动机器时不会出现预启动认证界面。

    • 在已通过密码加密的终端上:

      • 密码将被移除。

      • 卷保持加密状态。

    • 在没有TPM、未检测到TPM或TPM失效的加密/未加密终端上:

      • 系统会提示用户输入加密密码。

      • 启动机器时将显示预启动认证界面。

    若可信平台模块(TPM)处于活动状态,则不要求预启动密码 若该复选框被禁用:

    • 用户必须输入加密密码。

    • 卷将保持加密状态。

  • 在Mac上

    启动卷加密时,安全代理将提示用户输入系统凭证。

    非启动卷加密时,安全代理将提示用户配置加密密码。每次计算机启动时都需要此密码解锁非启动卷。若计算机有多个非启动卷,用户需为每个卷单独配置加密密码。

    注意

    加密模块会绕过macOS的静默模式。因此即使您在终端生效策略中禁用通知,相关情况下仍会提示用户操作。

解密卷

解密终端上的卷:

  1. 点击 加密管理 开关以启用功能。

  2. 选择 解密 选项。

策略在终端生效后开始解密过程,Windows和Mac存在特定差异。

  • 在Windows上

    解密过程无需用户交互。

  • 在Mac上

    启动卷需用户输入系统凭证,非启动卷需输入加密时配置的密码。

若终端用户忘记加密密码,需使用恢复密钥解锁设备。获取恢复密钥的详情请参阅 使用加密卷恢复管理器 .

注意

若加密模块过期,将无法从 GravityZone 获取恢复密钥,加密驱动器将不可访问。强烈建议在模块过期前解密所有驱动器以避免数据丢失。

排除分区

您可通过添加特定驱动器号、分区标签/名称及分区GUID,为Windows终端创建加密排除列表。但无法排除安装操作系统的分区。

注意

在macOS上, Bitdefender 仅支持对启动分区和本地分区(而非卷)进行加密。因此无需为外接硬盘、U盘或其他类似设备设置排除项。

创建分区加密排除规则:

  1. 勾选 排除项 复选框。

  2. 类型 下拉菜单中选择分区标识方式。

  3. 排除项目 字段中输入需排除分区的标识符。格式要求如下:

    • 若选择 驱动器盘符 ,请输入盘符加冒号,例如 D: .

    • 若选择 标签/名称 ,请输入驱动器标签,例如 Work .

    • 若选择 GUID ,请按以下格式输入分区GUID: \\?\Volume{6a2d53fe-c79a-11e1-b189-806e6f6e6963}\ .

      提示

      要在Windows中查找卷GUID,请使用 mountvol 命令且不带任何参数。

  4. 点击 Add.png 添加 将排除项加入列表。

编辑排除项:

  1. 打开内联菜单。

    policies_encyption_inline_menu_cp_48267_en.png

  2. 点击 编辑排除项 .

  3. 进行修改。

  4. 点击 ok-icon.png 确认图标保存更改。

    或者,点击 delete_gray_icon.png 取消图标关闭编辑字段而不保存更改。

要删除排除项,请打开内联菜单并点击 删除 .

本节内容 :