走近卡巴斯基（三）反加密勒索/安全支付/受信任程序模式/加密技术

白露为霜

走近卡巴斯基（三）

2L	反加密勒索
3L	安全支付
4L	受信任程序模式
5L	加密技术

上一帖：http://bbs.kafan.cn/thread-2045486-1-1.html
完~                                                                                                  

转载请注明来自bbs.kafan.cn
By root1605

白露为霜

Kaspersky Cryptomalware Countermeasures Subsystem

       网络犯罪分子也很快学会了现实生活中犯罪分子的那一套，比如向受害者勒索钱财。在计算机感染了加密勒索程序后，数据会被加密并弹出窗口要求支付赎金。用户通常很重视这些数据，许多人愿意支付高额的赎金来挽回这些珍贵的数据。然而，支付赎金并不是最明智的行为，其主要原因是支付赎金后并不能保证加密的数据一定会被恢复。如今，高级的加密勒索程序都是用了看上去牢不可破的加密算法（至少到现在为止是这样），所以用户只有两条路可走，支付赎金解密文件或者放弃这些文件。当然，安装在计算机上的可靠的安全解决方案将会对抗恶意活动，但是即使最先进的解决方案也只能在文件被加密后才能检测出最新的勒索程序（入库的还是可以的）。所以，以前没出现过的勒索程序，在任何数据库里也没有相关信息，能在安全软件将其清除前加密文件。这也是卡巴斯基实验室开发反加密勒索程序的原因。

加密勒索的威胁

       通常，加密勒索通过垃圾邮件传播，它作为垃圾邮件中的附件，看起来像正常文件而其实是一个可执行文件。但是，它也可以通过其他方式传播，我们也注意到了勒索程序由其他的木马打包的情况，比如ZeuS/Zbot家族木马。

*带加密勒索的垃圾邮件
         加密勒索的数量在增长。KSN统计到在2013年，大约有230万勒索攻击被登记，这是2012年的9倍，所有的事实都表明它们会继续大量传播，因为很多人愿意支付赎金，犯罪分子有利可图。根据一项由在肯特大学的网络研究中心于2014年2月发起的调查表明，超过40%的加密勒索的受害者选择支付赎金。此外，Dell SecureWorks发现每一百天，勒索程序就会赚到3000万美元。
       由于这些加密勒索使用的加密算法基本无法破解，这也造成了衍生的威胁，当用户发现文件被加密后是绝望的，他们会从网络上搜寻一些能够自称“解密”的软件。最好的情况是，这只是欺骗你，销售无用的解决方案。最坏的情况是，这些解密的程序还会带了一连串的恶意软件。

*假的解密器

加密勒索的演化史
       每年犯罪分子的手段越来越复杂。第一个加密勒索使用对称密钥加密算法，用相同的密钥加密和解密。通常，借助反病毒厂商的帮助，受加密的信息可能被破译。然而，犯罪分子开始使用公钥加密算法，使用两个单独的密钥，公钥用来加密，私钥用来解密。第一个可行的公钥加密算法是RSA（由Ron Rivest, Adi Shamir和 Leonard Adlema三人的名字而命名，他们首先发明了此算法）。早在2008年，卡巴斯基实验室的专家可以解密由GPCode木马使用的660-bit RSA key，但很快，作者将其升级到了1024bit，很难解密。
       一个最近的且最危险的加密勒索，Cryptolocker木马，也使用此算法。当一台计算机被感染后，它将连接到命令与控制中心下载公钥，而私钥，只有Cryptolocker的作者具有权限访问。通常受害者有72小时的时间考虑，超时后，私钥会被永远地删除，那样没人有办法解密。没有这个密钥，是不可能解密的。卡巴斯基可以检测到此勒索，但如果系统已经被感染了，那么面对着被加密的文件什么也做不了。


*Cryptolocker的勒索弹窗
      
卡巴斯基反加密勒索子模块
       以现在的科技水平，是绝不可能破解此类加密算法的，保证用户文件安全的唯一举措是文件备份。但是一般的备份，甚至定期备份，是不够的，因为最近修改过的文件依然可能丢失。这就是为什么卡巴斯基提出替代性的措施，这基于系统监控模块。
       卡巴斯基系统监控分析最重要的系统事件，包括关于文件更改的信息。当它发现可疑的应用程序试图打开个人文件时，它会立即将其备份并保护备份文件。
       如果随后可疑程序被判定为恶意的，卡巴斯基系统监控会自动回滚未经请求的更改（指恶意更改），因此，用户不需要做任何事来应对加密勒索，卡巴斯基会通知处理加密勒索程序的进度。
      
*系统监控发现了可疑的应用程序在更改文件，此时，系统监控模块创建文件受保护的副本并分析原文件的更改情况。

*应用程序被确认是恶意的，包含恶意程序的文件被删除。受影响的文件依然处于加密状态。

*系统监控用文件的副本替换了加密的文件，加密勒索造成的一切破坏都是无效的。系统监控报告，所有的恶意操作都被成功回滚。
        因此，即使新的加密勒索使用零日漏洞攻击，设法避开所有的安全系统，也不会造成任何伤害，因为对文件的任何操作都会被自动回滚。换句话说，反加密勒索模块保障了用户数据的安全，停止间接对犯罪分子的资助，因为给他们支付赎金只会鼓励他们继续这样下去创建更多的恶意程序。
      
可用性
        对家庭用户：KAV/KIS/KTS
        对企业用户：KSOS/KES
      

白露为霜

安全支付

都是为了钱
       很难想象现代的互联网环境没有在线支付会怎么样。根据2013年B2B国际调查结果显示，98%的互联网用户定期进行在线金融活动（购买商品等）。
       不幸的是，随着互联网支付的爆炸式增长，网络欺诈迅速飙升。有多种诈骗方法夺得现金，但是骗子最常采用的方法是欺骗互联网支付系统他们是该账户真正的用户。一旦做到这一点，骗子可以用受害者的钱执行任何交易。

骗子怎样得到个人数据
       根据现有的验证方式，只要骗子输入所有者的名称（或者卡号，注册号等），以及正确的密码，就会被支付系统认定是真正的账户拥有者。但是，网络犯罪分子如何获取这些信息呢？可以使用各种工具和技术，但是最常用的方法是通过木马程序。一旦计算机被木马感染，骗子们可以任意偷取他们想获得的任何信息。网络犯罪分子可以用下列方法获得这些保密数据：
       •向内存中直接运行恶意代码，或者借助浏览器执行未经许可的操作，比如收集登录名和密码的详细信息，或者替换交易的内容（金额，银行账户等）。
       •使用钓鱼网站替代原网站，收集私密信息。
       •通过截屏。
       •监听键盘和鼠标。
       •利用各种手段拦截在线交易传输的数据，从中提取所要的信息。

*以假乱真的钓鱼网站
       大多数情况下，用户不清楚他们的个人数据已暴露，直到他们查看自己的银行账户发现钱的数额不对。
       B2B国际研究表明，59%的互联网用户担心互联网诈骗，用户哪里可以找到可信赖的保护呢？

*被卡巴斯基反钓鱼组件检测到的钓鱼的分布情况。每当用户试图打开一个钓鱼链接，不管是来自网页还是垃圾邮件，都会记录。这张图显示，大约有三分之一的钓鱼攻击针对金融和电子支付组织，银行，在线商店和电子拍卖平台。总的来说，2013年面临过钓鱼攻击的用户超过3.96亿人次。此项统计基于KSN。

传统的反恶意软件工具
        传统的反恶意软件程序提供了一系列工具，显著降低了被木马感染的风险。像反钓鱼技术，网络反病毒和文件反病毒阻止了恶意代码在不同阶端的插入。然而，骗子越来越有“创意”，推出了很多木马的变种能够绕过传统的安全防线（比如加壳，白加黑等）。
        对于用户来说，有一个全面的多层次的安全解决方案至关重要。在恶意程序能够穿透计算机及试图执行任何操作的每一个环节都必须严格受到控制。最重要的是，所有的安全模块必须紧密地结合。
        这就是为什么卡巴斯基综合安全支付技术，不仅结合最好的反恶意软件工具，也提供了一系列新的技术，专门针对在线支付交易过程中的风险。

*安全支付

安全支付技术
       卡巴斯基在线支付保护包含三个重要部分。

*卡巴斯基安全支付怎样工作
受信站点
       用户访问在线支付系统或银行的网站，可以通过邮件或在浏览器中的链接，在地址栏里手动键入地址，或者从卡巴斯基用户事先的编辑好的站点列表里选取地址。
       在网站加载前，该URL会被自动检测，数据基于卡巴斯基或者用户指定的可信站点列表。如果找到匹配项，浏览器会切换到安全支付模式，避免自身受可疑代码注入，为所有的在线金融活动提供额外的防护层。如果在数据库中没有要加载网站的匹配项，该网站会被一个用来检测钓鱼网站的启发分析仪分析。如果启发分析仪判定该网站不安全，企图进行的交易行为会被禁止。这确保用户打开银行或在线支付系统的真实站点，不是由骗子制作的钓鱼网站。

*安全支付配置
受信任的连接
       检验用户在线支付或进行银行操作时，连接的服务器的真实性也很重要。卡巴斯基的证书验证技术可以确保连接的网站是真实的。如果网站的证书不能被验证正确，卡巴斯基安全支付会立即阻止对该网站的访问。为了加快这个验证过程，每当证书被验证后，安全支付会在本地存储关于该证书的判断信息。所以，当浏览器切换到安全支付模式，第一件事就是检查本地有没有对该证书的判决信息（缓存）。如果本地不存在此类信息，会从KSN查询。
受信任的环境
       在每次在线购买或支付前，安全支付检查执行交易的计算机的安全性。这包括对操作系统漏洞的扫描。扫描的高速缘于对特定类型的已知漏洞（比如能够用来提权的漏洞）。存在此类漏洞让交易不安全，安全支付会提示用户，使用Windows Update安装与这些漏洞对应的补丁修补程序。
       当进入安全支付模式后，可以确保用户的数据不被骗子修改或窃取。为了实现这个目的，安全支付阻止了浏览器注入恶意代码，读取内存，显示假冒窗口，还会保护浏览器插件免受非法激活状态或修改。安全支付还阻止了一切截屏的请求，包括调用GDI，DirectX，OpenGL等应用程序编程接口（API）的全屏截屏。
       此外，当web浏览器进入安全支付模式时，不受信任的程序无权访问剪切板，这是暂时存放敏感数据的地方，在执行复制粘贴操作的时候。因此，没有第三方软件有权限访问临时数据缓冲区来窃取登陆名和密码。
       另外，两个选项可以防止机密数据在从硬件键盘输入时被截取。
      

虚拟键盘：在用户的显示屏上显示，通过鼠标进行操作。
安全键盘：该功能使用一种特殊的驱动，保护从硬件键盘输入的数据。

       安全支付的另一个重要功能是在安全支付模式下对浏览器的额外保护。它不间断地扫描浏览器的地址空间，寻找任何的不同寻常的事，不受信任的模块可能被用来加载一些rootkit。如果这种风险模块被发现，会自动打开一个新的报警页面提示用户。
       当通过安全支付的交易完成后，用户会自动重定向到一个普通的网页窗口来完成交易过程，或者继续逛网上商城。安全支付兼容近年来最流行的web浏览器：IE，Safari，Google Chrome，Mozilla Fox。

可用性
        KAV/KIS/KTS/KSOS

安全支付的优势
        安全支付可以为任何使用HTTPS协议的需要支付系统的站点工作。最重要的是，用户有权利向受信任的站点列表中添加任何银行，支付系统，或在线商店的网址。
        安全支付的主要优势如下：
        •保护机制自动操作。在正确的时间正确的地点。
        •受修改的浏览器窗口让用户看到保护被激活，在运行。
        •激活安全支付保护不需要预配置（或者很少的配置，一次性确定对一个特定网站的操作）。
        •在Windows操作系统上，快速启动安全支付模式可以应用于在桌面上预先放好的快捷方式。这样，进入这些站点很方便也很安全。
        •在本地计算机的高级安全解决方案集成全方位的保护，抵御大多数的欺诈威胁。
        安全支付技术提供了对网上银行和在线支付的最大限度地保护，这由受信任的站点，受信任连接，受信任的环境实现。它对网上交易的所有环节进行深层次的控制。这些创新技术保证了最高的安全性，不仅针对在线交易，也针对所有其他的网络活动。

行业专家对安全支付的质量的证明
        安全支付在各项独立的测试中领先。
    Matousec Online Payments Threats, 1 part 
       Matousec Online Payments Threats, 2 part 
       AV-TEST Innovation Award 2013 
       MRG Effitas Online Banking/Browser Security 2013 
       MRG Effitas Online Banking/Browser Security 2014

白露为霜

受信任的程序模式

       如今，使用计算机和网络早已不是少数人的权益了。在10年前，计算机和网络总是被掌握了一定IT技术的人使用。然而随着技术的发展，PC越来越容易使用。计算机的用途越来越多，吸引了普通人，而不只是IT行业的人或者计算机爱好者。社交网站交流，在线购买商品，下载书籍，电影，游戏以及其他内容使互联网更丰富多彩，即使基本不懂计算机的人也可以享受这些。换句话说，PC和电视，电话一样，融入了我们的日常生活。
       同时，当计算机和网络朝着更简单，更易用的方向发展时，网络威胁如木马，蠕虫，病毒及间谍软件等变得越来越复杂和多样。这使用户面临越来越多的潜在的风险：众多的互联网用户缺乏必要的知识来避免复杂多样的网络威胁，而很多网络犯罪分子编写的恶意程序正是利用了用户的无知。
       不言而喻的是，各种不断发展的安全技术大大降低了这种风险。开发人员针对每一种威胁设计有效的手段对抗它。因此，即使“菜鸟级”用户安装了好的安全解决方案也能让使用计算机网上冲浪没有重大风险。
       但总有例外情况。根据KSN的数据，全球每天大约出现315000个新的恶意软件样本。大多数的恶意软件都是已知恶意软件变种，所以如果在计算机上安装了实时更新的安全软件，构不成真正的威胁。而同时，有一定比例的恶意程序是新的，以前未知的。这并不妨碍安全软件的有效性：即使新的恶意软件也会很快被安全软件检测到并阻止。不过，仍然有较小的可能让一些恶意程序渗透进计算机。有方法让这种可能性降到最小吗？根据卡巴斯基实验室专家的说法，要开发底层彻底的技术（指下文的“非白即黑”模式）。

为什么默认拒绝？
        这种解决问题的思想很简单：只是用黑名单不能100%防护威胁，将其和白名单技术结合才好。
        基于白名单技术的安全软件只允许合法安全的程序运行，所有其他的程序，包括恶意程序都被阻止运行（即“非白即黑”模式）。
        这种保护的方法叫做默认拒绝（阻止一切没有允许的运行）。这已经被证明是一个保护企业网络信息安全的好方法。例如，根据B2B国际和卡巴斯基实验室联合开展的一项调查，2013年全球各地的公司中，62%使用基于默认拒绝模式的应用程序控制解决方案。
        然而，默认拒绝模式在针对普通消费者的安全软件里相对少见，其重要的原因是白名单必须基本包括被保护计算机上所有要使用的应用程序。对于企业用户来说，编辑受信任的程序名单并不是很难的事，因为员工们为了完成工作需要的软件相对较少，很少改变。
        对于普通用户来说，他们每天可能安装和启动大量的新程序，这是个关键问题。因为使用默认拒绝模式的安全软件会是用户使用计算机很麻烦，一旦白名单没有相关程序就无法运行。换句话说，即使默认拒绝模式能够提供一种极高等级的保护，而将此模式完全推广充斥着一些难以解决的问题：怎样面对计算机上不断出现的新程序？怎样在不给用户带来不必要的麻烦的同时提供高水品的防护？
        在寻求这些问题的答案的同时，卡巴斯基实验室的专家们开发了一种使用默认拒绝模式的技术，而且使用不复杂。

卡巴斯基“受信任程序”技术

        这项技术叫做“Trusted Applications”,它在卡巴斯基针对家庭用户的产品里集成。这项技术包含了三个组件：
        •动态更新应用程序白名单（动态白名单），基于KSN。
        •一套完整的机制来确认每个应用程序的信任状态，包含判定程序是否可以信任“继承”的规则（下文会解释），不断更新安全证书和受信任的域名的名单。
        •控制单个应用程序的系统。
动态白名单
       动态白名单是“默认拒绝”模块的重要组件。它是对现有程序的广泛的和不断更新的信息库。该数据库包含大约10亿文件的信息，覆盖了绝大多数的应用程序，比如办公软件，浏览器，图像查看器等。
       该数据库不断更新，来自近450家专业开发软件的卡巴斯基合作伙伴公司。和软件开发人员的密切合作有助于使数据库保持最新，而且很有效。软件开发者定期为他们的软件开发更新包，这可能会影响软件的结构。在理论上，这可能导致误报。然而，在应用程序的更新对于用户可用之前，卡巴斯基实验室的数据库已经抢先将即将到来的变化的信息收集了。
       自然，尽管使用最全面的应用程序信息数据库，卡巴斯基的白名单也可能漏掉少量的合法程序，可能是软件开发者没有提前通知更新的信息。这也就是为什么受信任程序技术有两个额外的机制来确认程序的合法性：对应用程序信任“继承”的判断，针对受信任域名和证书的检查，这有助于在计算机上建立一个“受信任环境”。
信任链      
       信任链是一个基于对程序的某些特性分析而确定程序合法性的机制，比如，程序是否遵循应用程序信任“继承”规则，文件的数字签名的真实性，以及下载的文件的来源是否可信。
应用程序信任“继承”规则
       许多程序在操作中创建其他新的程序，这些新程序可能不在卡巴斯基的数据库里。例如，为了下载程序的更新，必须启动一个特定的模块，将会连接到软件提供商的服务器并下载新版本。实际上，更新程序是由原始程序创建的新程序，在白名单数据库里可能没有相关数据。然而，如果程序被受信任的程序创建并启动，它会被认为是可信的。

*受信任的程序
数字签名
       应用程序的更新模块可能自动下载程序的新版本，而新程序的行为可能和卡巴斯基白名单数据库里的不一样。然而，它的合法性也可以由别的特征判断，比如检查新文件的数字签名确定新文件的合法性。
       许多应用软件开发商用一个独一无二的数字签名来签名他们开发的程序，这防止对程序未经授权的修改，一旦文件被第三方修改，数字签名会损坏。卡巴斯基分析这些签名，判定它们的可靠性，并且维护一个不断更新的数据库，它手机关于应用程序开发商使用的用来创建数字签名的安全证书的信息。这可以判定特定文件是否是真实的。如果是，新版本的程序会被认为是受信任的。如果任何有关的签名被破坏，即使操作系统认为是可信的，也会立刻从数据库中删除这个签名（指破坏的签名）。
验证程序来源是否受信任
       然而，文件没有签名也很常见。Trusted Applications还有资源来判断：受信任的站点数据库，搜索文件下载的地址是否在其中。如果域名在受信任站点列表里（大多数情况下，都是知名软件提供商的域名），正在下载的对象会被认为是合法的。
       受信任的软件开发商的域名被认为是安全的，下载的文件不会被认为是恶意程序。但是，一旦这些网站分发恶意程序，它会立刻从受信任站点列表里删除。
       因此，白名单数据库配合其他应用程序信任验证工具，提供了一个验证信任的能够容错的机制，为计算机提供了高等级的防护。
       然而，即使这些组件都被启用，还有一种危险。网络犯罪分子会利用合法程序中的漏洞感染计算机。卡巴斯基受信任的程序技术将此牢记在心。

Security Corridor（即行为过滤）        
       攻击者总是利用合法软件中的漏洞。这意味着，任何受信任的程序，即使它的来源可信，有合法的数字签名，也可能被网络犯罪分子用来渗透系统。为了提供一个针对此类感染情况的对策，卡巴斯基安全专家开发了“Security Corridor”模型。
       模型的基本思想是基于开发者对他们的程序的行为的严格定义。比如，Word的功能主要是处理文档，浏览器的功能是处理Web内容：下载网页，文件等。
       恶意程序努力利用应用程序中的漏洞，让程序执行一些未经登记的行为，比如修改系统文件，向系统进程注入代码，安装驱动程序等。基于这一点，卡巴斯基实验室的专家开发了几种保护机制，跟踪这些潜在的危险程序的操作，只允许程序执行它们开发商定义过的行为，其他行为一概不放行，这使利用程序中的漏洞进行恶意操作几乎不可能。用简单的话说，卡巴斯基深知一个程序该做什么，不该做什么，程序的行为在“Sexurity Corridor”中通过，只放行限制范围内的功能。

*扫描应用程序

该技术怎样运行
       受信任的程序模式需要应用程序控制，文件反病毒，系统监控保持开启。当该模式第一次激活时，它分析系统环境并扫描所有已经安装了的程序，将它们和云端信息对比，评价哪些是可靠的。之后，每个新程序都会被验证。该模式不仅仅分析普通的PE文件，也分析脚本，.NET应用程序，安装包和Metro程序。为了加快分析速度，不含可执行代码的PE文件，因为其不会造成任何伤害所以不被检查。如果遇到未知的系统文件和应用程序，用户可以选择关闭该模式（最好不要，因为威胁到安全）或者继续开启，阻止这些程序。用户随时都可以看到禁用的程序，可以按照需要取消对它们的封锁。为了用户更好判断，该列表包含所在文件夹，程序，和供应商。
       该模式继承了一个EarlyBoot功能，在卡巴斯基程序启动前分析文件和脚本。如果其中有些被认为是可疑的，用户会受到警告，选择是否放行。
       如果用户未对关于未知文件的通知做出反应，我们会选择最安全的操作策略。因此有恶意程序，也不会因为用户由于某种原因错过提示或忽略而使计算机受到伤害。

*等待用户判断的未知程序名单
       总体来看，除了传统的反病毒保护与主动防御技术，卡巴斯基受信任的程序模块有以下优点：
       •基于只启动允许程序的原则和传统的反病毒保护和主动防御技术，提供对恶意程序的有效保护。
       •严格控制流行的易受攻击的应用程序行为，防止被网络犯罪分子利用漏洞。
       •极低的误报，基于使用多层应用程序合法性验证系统。
       •一个智能化的系统，适合用户使用习惯。

       一个高品质的安全解决方案，提供高效保护打击危险的网络威胁时，要确保用户访问合法程序和网站不受阻碍。卡巴斯基受信任的程序模式按照这一原则保证计算机和数据安全。

可用性
       KIS/KTS

白露为霜

卡巴斯基加密技术

       近些年来，我们看到了网络威胁的不断增长，包括针对某个商业公司有针对性地攻击以及间谍活动。无论企业大小，保证机密数据的安全是首要的。为了解决数据安全问题，不应只对付针对企业网络的恶意程序和（网络）攻击，也要防止由员工不当行为引起的数据泄露。这就是为什么一个可信的针对公司的安全解决方案包含了反恶意软件功能，安全规则，及数据加密。数据加密技术，是保护企业数据的最后一道防线。
       加密技术是最受需要的技术之一。根据卡巴斯基和B2B国际在2014年联合进行的一项研究，33%的公司在工作站上使用加密技术，32%的加密数据存储在可移动媒体上。这些数字表明了两个流行的加密技术：FLE（文件和文件夹级别的加密）和FDE（全盘加密）。这些技术的目的一致，蛋用不同的方法来做到。KES提供了这两种加密，用户根据业务需求使用。
      
加密怎样工作
       加密的过程实际上是将“明文”转为“密文”，这保持它免受未经授权的访问。今天可用的两个主要的加密技术––––FLE和FDE，完成不同但同等重要的任务。第一个保护关键数据并限制对它的访问，而第二个保证任何重要数据都不会落入第三方手中，即使存储关键数据的设备被遗失或偷窃。在KES的管理平台，管理员可以用这些技术任意加密硬盘和（存储）范围，从一个文件或整个文件夹到整个磁盘，都可以自定义加密。
       企业网络中每个端点的加密统一的管理控制台执行（Kaspersky Security Center）。统一的管理让管理员大大降低任务量，尤其是“基于角色的访问控制”（Role-Based Access Control）功能，允许由几位管理员协作工作。比如，加密这项任务可以交给专门的管理员。管理员可以在控制台可以跟踪每台计算机的加密进度，管理加密的每一个细节，甚至包括让特定的应用程序禁止访问加密数据。

*Kaspersky Security Center，控制端

       为了提高产品的性能，卡巴斯基加密技术支持 Intel Advanced Encryption Standard Instruction Set（Intel高级加密指令集）。这套指令让加密解密更迅速。

文件及文件夹级加密
       FLE是用来加密计算机硬盘及外部驱动器上的文件及文件夹的技术。如果一个公司有很多工作站，对于IT团队来说选择文件及文件夹加密是非常耗时间的。卡巴斯基因此对加密选定的文件提供了种类繁多的选项。
       使用Kaspersky Security Center，公司的网络管理员可以自定义加密：
       •获取内网计算机上选定文件夹的内容，可以根据文件名，拓展名，或目录名来选择对象加密。
       •选择特定类型的数据，比如Office文档。
       •被特定程序创建的所有数据。
       •可移动媒体––––管理员可以为所有的可移动媒体创建一个同样的加密规则，也可以不一样。例如，加密可移动媒体上的所有文件或者仅是新创建的文件。对可移动的媒体加密后，一个没有安装KES的计算机，只要拥有正确的密码，也可以访问其中内容。
       管理员也可以允许用户在企业外部的计算机上使用加密数据，只要有正确的密码而无须安装加密软件。

*加密数据访问规则

全盘加密
       FDE是一种特殊的加密方法，将会加密选定磁盘的所有扇区。这意味着磁盘上所有的信息都被FDE保护着：交换分区，系统文件，页面文件，休眠文件及临时文件。这种技术可以加密计算机的磁盘，也可以为外部驱动器使用。在加密开始前，硬盘兼容性的检查会自动开始。
       FDE支持两种固件接口：BIOS和UEFI，因此，它同时兼容MBR和GPT分区格式。在操作系统启动之前，一个PBE（指预引导环境）被启动来控制对计算机的访问。在系统启动前，PBE会验证用户，必须输入正确的ID和密码。如果输入了错误密码，操作系统不会被加载，且只有重新启动计算机才会被解除封锁状态。为了确保键盘的兼容性，PBE支持不同布局的键盘。
       KES最新版本还支持如今最流行的智能卡和令牌验证。

       如果忘记密码，可以通过“询问-响应”选项，这帮助用户回复密码。如果预启动身份验证是成功的，FDE将解密需要的内容，包括系统文件。在一个完全加密的环境下，用户可以打开创建文件，以及执行其他操作，FDE继续飞速加密和解密所需文件而不会干扰用户。这些操作不会对计算机性能有显著影响。   
       如果密码不慎丢失，可以使用被公司网络管理员存放在Kaspersky Security Center内的特别的key来解密存放在驱动器上的信息。   

加密技术的优点
       •安全。防止存在对数据未经授权的访问。
       •集中控制。用Kaspersky Security Center，管理员可以控制加密：密钥，对可移动驱动器的访问，根据需要锁定密钥或重置密钥。
       •简单。用户无需任何专门的技能使用加密数据。
       •支持外置驱动器。可以为连接到计算机的所有驱动器创建一个数据加密规则或者不同的规则。
       •自动化加密。自动加密更改和创建的加密文件，不许其他专门的程序。可以限制对文件的访问。
       •提供持续性保护。即使在危急情况下，当存放机密数据的设备遗失或被盗时，数据不会泄露。
       •灵活。公司可以自定义加密规则，根据需要。

可用性
       加密技术是卡巴斯基企业级产品的组件。
       Kaspersky Endpoint Security for Business Advanced /Kaspersky Total Security for Business

被证明的品质
       Forrester研究公司将卡巴斯基加密技术列为加密解决方案中的强者。根据Forrester Wave 端点加密公司，2015年第一季度，卡巴斯基解决方案是寻找一站式服务的企业的好选择，而且价格很吸引人。

支持的键盘布局
       English (UK) 
       English (USA) 
       Arabic (Algeria, Morocco, Tunis — AZERTY layout)  
       Spanish (Latin America)  
       Italian   
       German (Germany and Austria) 
       German (Switzerland) 
       Portuguese (Brazil — ABNT2 layout)  
       Turkish (QWERTY layout)  
       French (France)  
       French (Switzerland)

兼容的智能卡和令牌
    SafeNet eToken PRO 64K (4.2b) (USB) 
       SafeNet eToken PRO 72K Java (USB) 
       SafeNet eToken PRO 72K Java (Smart Card) 
       SafeNet eToken 5100 (USB)  
       SafeNet eToken 5105 (USB) 
       SafeNet eToken 7300 (USB) 
       EMC RSA SID 800 (USB) 
       ruToken dongle (USB) 
       Aladdin-RD JaCarta PKI (USB) 
       Aladdin-RD JaCarta PKI (Smart Card) 
       Athena IDProtect Laser (USB) 
       Gemalto IDPrime 510 (SmartCard) 
       Gemalto IDBridge CT40 (Reader)  

laukakit

来支持下，卡巴斯基忠实粉丝路过

neo4

楼主牛，前排支持！

dongwenqi

支持卡巴斯基，加油卡巴斯基

rrorr

支持支持，前排支持

东东@牧马

隐隐感觉综合症要发作了