部署前請先參考全硬碟加密注意事項 : 如何實現全硬碟加密功能
加密原則如下:
1. 指定特定附檔名(無論檔案放置位置,依照副檔名)
2. 指定特定資料夾(資料夾內檔案皆加密)
3. 指定特定應用程式新增並有內容修改過(進行檔案加密或封鎖開啟檔案)
規則如下 :
副檔名加密 :
1. A電腦加密檔案透過B電腦RDP連線取得→解密
2. A電腦加密檔案B電腦透過網芳直接開啟或拷貝→加密
3. A電腦將加密檔案透過網芳拷貝至B電腦→加密
4. B電腦透過網芳新增、複製檔案至A電腦→不加密 (僅限於複製非加密檔案)
5. A電腦修改B電腦透過網芳新增、複製之檔案→加密
6. 檔案位元為0 →不加密
資料夾加密
1. 加密檔案移出非加密資料夾→加密
2. 加密檔案移至解密資料夾→解密
3. 檔案為0→加密
特定應用程式
1. 設定之應用程式修改儲存後→加密
2. 檔案位元為0 →不加密
PS: 使用檔案加密功能,為確保金鑰能夠保存,管理中心必須每日進行備份。
步驟1:
開啟管理中左半部管理的電腦(裝置)→政策頁籤→選擇用戶端版本政策→右鍵內容→檔案和資料夾加密。
(若無法看到該節點請參考如何實現全硬碟加密功能)
- 保留不變→預設選項,用戶端不加密任何檔案動作。
- 根據規則→檔案、資料夾加密必須給予範圍、條件方可執行。
- 全部解密→解密所有使用檔案及資料夾加密後之檔案。
步驟二:
選擇根據規則→新增有以下四種條件。
- 預先定義的資料夾
可直接勾選位置,該區域檔案將會進行加密
- 自定資料夾
可自行輸入路徑,支援環境變數。
輸入路徑內檔案將會進行加密
- 根據副檔名選取檔案
自行定義須要加密檔案的副檔名。例如:*.doc
輸入完畢表內副檔名檔案將會進行加密
- 根據檔案副檔名群組
表中會有文書處理常用副檔名格式範例,可直接勾選。
勾選範例相關副檔名將會進行加密。(勾選後可選擇編輯查看清單內容)
定義好相關條件,選擇確定。用戶端會依條件範圍進行加密。
PS:被加密之檔案,檔案大小會增加4KB。
步驟三:
如果加密規則與解密條件衝突,解密條件優先。
設定解密資料夾,舉凡被加密檔案拖曳、拷貝至該資料夾或將會自動解密。
(下圖為範例:)
檔案大小將恢復正常,解密。
上述動作幾乎同步作業,端看遷移檔案數量多寡。
步驟五:
應用程式規則
用於特定應用程式編修過後之檔案進行加密。
- 可由卡巴斯基管理中心收集之應用程式選擇。
- 自行輸入應用程式名稱。(用戶端執行檔名稱 例如:notepad.exe )
用戶端電腦使用notepad.exe 修改儲存相關檔案,該檔案將自動加密。
PS : 再次提醒使用檔案加密及資料夾加密管理中心備份相當重要,避免管理中心損壞導致檔案無法解密,請每日定期備份管理中心,確保金鑰的保存。