Kaspersky Endpoint Security le permite cifrar las carpetas y los archivos almacenados en las unidades locales y extraíbles, o las unidades extraíbles y los discos duros por completo. El cifrado de datos minimiza el riesgo de filtraciones de información que se puede producir en caso de pérdida o robo del equipo portátil, unidad extraíble o disco duro, o cuando usuarios y aplicaciones no autorizados acceden a los datos.
Si la licencia ha caducado, la aplicación no cifra datos nuevos, y los datos cifrados antiguos permanecen cifrados y disponibles para su uso. En este caso, para cifrar nuevos datos se requiere activar el programa con una nueva licencia que permita el uso de cifrado.
Si la licencia ha caducado, si no se ha cumplido el Contrato de licencia de usuario final, si se ha eliminado la clave o si se ha desinstalado Kaspersky Endpoint Security, no se garantiza que los archivos cifrados previamente se encuentren cifrados. La razón es que algunas aplicaciones, como Microsoft Office Word, crean una copia temporal de los archivos cuando se modifican. Cuando se guarda el archivo original, la copia temporal sustituye al archivo original. Por lo tanto, en un equipo que no disponga de funcionalidad de cifrado, o un equipo en la que esta funcionalidad no sea accesible, el archivo permanece sin cifrar.
Kaspersky Endpoint Security ofrece las siguientes características de protección de datos:
Consulte la Guía de administrador de Kaspersky Security Center para obtener información detallada sobre la aplicación de la directiva de Kaspersky Security Center.
La prioridad de la regla de cifrado predeterminada es más baja que la de las reglas de cifrado creadas para unidades extraíbles particulares. La prioridad de las reglas de cifrado creadas para las unidades extraíbles del modelo de dispositivo especificado es más baja que la de las reglas de cifrado creadas para las unidades extraíbles cuyo ID de dispositivo es el especificado.
Para seleccionar una regla de cifrado de los archivos de una unidad extraíble, Kaspersky Endpoint Security comprueba si se conocen el modelo de dispositivo y el ID. A continuación, la aplicación realiza una de las siguientes operaciones:
La aplicación le permite preparar una unidad extraíble para que pueda utilizar los datos cifrados que contiene en modo portátil. Una vez que active el modo portátil, puede acceder a los archivos cifrados de las unidades extraíbles conectadas al equipo sin la necesidad de disponer de la funcionalidad de cifrado.
La aplicación realiza la acción que se especifica en la regla de cifrado cuando se aplica la directiva de Kaspersky Security Center.
BitLocker es una tecnología que forma parte del sistema operativo Windows. Si un equipo está dotado de un módulo de plataforma segura (TPM), BitLocker lo utiliza para almacenar claves de recuperación que proporcionan acceso a un disco duro cifrado. Cuando el equipo se inicia, BitLocker solicita las claves de recuperación del disco duro desde el módulo de plataforma segura y desbloquea la unidad. Puede configurar el uso de una contraseña y un código PIN para acceder a las claves de recuperación.
Puede especificar la regla de cifrado de discos duros predeterminada y crear una lista de discos duros que se deben excluir del cifrado. Kaspersky Endpoint Security cifra los discos duros sector por sector cuando se aplica la directiva de Kaspersky Security Center. La aplicación cifra todas las particiones lógicas de los discos duros de forma simultánea. Consulte la Guía de administrador de Kaspersky Security Center para obtener información detallada sobre la aplicación de la directiva de Kaspersky Security Center.
Después de que se hayan cifrado los discos duros del sistema, en el siguiente inicio de sesión en el equipo, el usuario debe autenticarse en el Agente de autenticación antes de que se pueda acceder a los discos duros y cargar el sistema operativo. Esto requiere la introducción de la contraseña del token o la tarjeta inteligente conectada al equipo, o bien el nombre de usuario y la contraseña de la cuenta del Agente de autenticación creada por el administrador de la red de área local que utilice las tareas de gestión de la cuentas del Agente de autenticación. Estas cuentas se basan en las cuentas de Microsoft Windows con las que los usuarios inician sesión en el sistema operativo. Puede administrar las cuentas del Agente de autenticación y utilizar la tecnología de inicio de sesión único (SSO) que le permite iniciar sesión en el sistema operativo de forma automática con el usuario y la contraseña del Agente de autenticación.
Kaspersky Endpoint Security duplica las cuentas del Agente de autenticación si crea una copia de respaldo del equipo y cifra los datos de este, y, a continuación, restaura la copia de respaldo del equipo y vuelve a cifrar dichos datos. Para eliminar las cuentas duplicadas, debe usar la herramienta klmover con la clave dupfix
. La utilidad klmover se incluye en la compilación de Kaspersky Security Center. Puede leer más sobre su funcionamiento en la Guía de administrador de Kaspersky Security Center.
Cuando se actualiza la versión de la aplicación a Kaspersky Endpoint Security 10 Service Pack 2 para Windows, no se guarda la lista de cuentas del Agente de autenticación.
Solo se puede acceder a discos duros cifrados en los equipos en los que se haya instalado Kaspersky Endpoint Security con la funcionalidad de cifrado de discos duros. Esta precaución minimiza el riesgo de fuga de datos de un disco duro cifrado cuando se intenta acceder a él desde el exterior de la red de área local de la compañía.
Para cifrar discos duros y unidades extraíbles, puede utilizar la función Cifrar únicamente el espacio en disco utilizado. Se recomienda utilizar esta función solo para dispositivos nuevos que no se hayan utilizado anteriormente. Si va a aplicar cifrado a un dispositivo que ya está en uso, se recomienda que cifre el dispositivo completo. Esto garantiza que se protegen todos los datos, incluso los datos eliminados que todavía podrían contener información recuperable.
Antes comenzar el cifrado, Kaspersky Endpoint Security obtiene el mapa de los sectores del sistema de archivos. La primera oleada de cifrado incluye los sectores que están ocupados por archivos en el momento en que se inicia el cifrado. La segunda oleada de cifrado incluye los sectores que se escribieron después de que comenzara el cifrado. Una vez que el cifrado se ha completado, todos los sectores que contienen datos están cifrados.
Una vez que el cifrado se ha completado y un usuario elimina un archivo, los sectores que almacenaban el archivo eliminado vuelven a estar disponibles para almacenar nueva información a nivel del sistema de archivos, pero permanecen cifrados. De este modo, como los nuevos archivos se escriben en un dispositivo nuevo durante el inicio del cifrado habitual con la función Cifrar únicamente el espacio en disco utilizado activada en el equipo, después de algún tiempo todos los sectores se cifrarán.
El servidor de administración de Kaspersky Security Center que haya controlado el equipo durante el cifrado proporciona los datos necesarios para descifrar archivos. Se puede obtener el acceso de las siguientes maneras si el equipo con los archivos cifrados se encuentra bajo el control de otro servidor de administración por cualquier motivo y si no se ha accedido nunca a los archivos cifrados:
La aplicación crea archivos de servicio durante el cifrado. Se requiere alrededor de un dos o tres por ciento del espacio libre no fragmentado en el disco duro para almacenarlos. Si no hay bastante espacio libre no fragmentado en el disco duro, el cifrado no comenzará hasta que se libere suficiente.
No se admite la compatibilidad entre la funcionalidad de cifrado de Kaspersky Endpoint Security y Kaspersky Anti-Virus para UEFI. El cifrado de los discos duros de los equipos en los que está instalado Kaspersky Anti-Virus para UEFI impide el uso de Kaspersky Anti-Virus para UEFI.