Cifrado de disco completo

Puede seleccionar una tecnología de cifrado: Cifrado de disco de Kaspersky o Cifrado de unidad BitLocker (en adelante también llamado simplemente "BitLocker").

Cifrado de disco de Kaspersky

Después de que se hayan cifrado los discos duros del sistema, en el siguiente inicio de sesión en el equipo, el usuario debe autenticarse en el Agente de autenticación antes de que se pueda acceder a los discos duros y cargar el sistema operativo. Esto requiere la introducción de la contraseña del token o la tarjeta inteligente conectada al equipo, o bien el nombre de usuario y la contraseña de la cuenta del Agente de autenticación creada por el administrador de la red de área local que utilice la tarea Administrar cuentas del agente de autenticación. Estas cuentas se basan en las cuentas de Microsoft Windows con las que los usuarios inician sesión en el sistema operativo. También puede usar la tecnología de inicio de sesión único (SSO), que le permite iniciar sesión automáticamente en el sistema operativo utilizando el nombre de usuario y la contraseña de la cuenta del Agente de autenticación.

La autenticación de usuario en Agente de autenticación se puede realizar de dos maneras:

Cifrado de unidad BitLocker

BitLocker es una tecnología de cifrado integrada en los sistemas operativos Windows. Kaspersky Endpoint Security le permite controlar y gestionar Bitlocker utilizando Kaspersky Security Center. BitLocker cifra los volúmenes lógicos. BitLocker no se puede utilizar para el cifrado de unidades extraíbles. Para obtener más detalles sobre BitLocker, consulte la documentación de Microsoft.

BitLocker proporciona almacenamiento seguro de claves de acceso utilizando un módulo de plataforma segura. Un módulo de plataforma segura (TPM) es un microchip desarrollado para proporcionar funciones básicas relacionadas con la seguridad (por ejemplo, para almacenar claves de cifrado). Un módulo de plataforma segura se suele instalar en la placa base del ordenador e interactúa con todos los otros componentes del sistema a través del bus de hardware. Utilizar el módulo TPM es el modo más seguro de almacenar las clave de acceso de BitLocker, ya que TPM proporciona verificación de integridad del sistema antes del inicio. Sigue pudiendo cifrar unidades en un equipo sin un módulo TPM. En este caso, la clave de acceso se cifrará con una contraseña. BitLocker utiliza los siguientes métodos de autenticación:

Después de cifrar una unidad, BitLocker crea una clave maestra. Kaspersky Endpoint Security envía la clave maestra a Kaspersky Security Center para que pueda restaurar el acceso al disco, por ejemplo, si un usuario ha olvidado la contraseña.

Si un usuario cifra un disco con BitLocker, Kaspersky Endpoint Security enviará información sobre el cifrado de disco a Kaspersky Security Center. Sin embargo, Kaspersky Endpoint Security no enviará la clave maestra a Kaspersky Security Center, por lo que será imposible restaurar el acceso al disco utilizando Kaspersky Security Center. Para que BitLocker funcione correctamente con Kaspersky Security Center, descifre la unidad y vuelva a cifrarla utilizando una directiva. Puede descifrar una unidad de manera local o usar una directiva.

Después de cifrar el disco duro del sistema, el usuario debe pasar por el procedimiento de autenticación de BitLocker para iniciar el sistema operativo. Después del procedimiento de autenticación, BitLocker permitirá que los usuarios inicien sesión. BitLocker no admite la tecnología Single Sign-On (SSO).

Si está utilizando directivas de grupo de Windows, desactive la administración de BitLocker en la configuración de directivas. La configuración de directivas de Windows puede entrar en conflicto con la configuración de directivas de Kaspersky Endpoint Security. Al cifrar una unidad, pueden producirse errores.

Configuración del componente Cifrado de disco de Kaspersky

Parámetro

Descripción

Modo de cifrado

Cifrar todos los discos duros. Si se selecciona este elemento, la aplicación cifra todos los discos duros cuando se aplica la directiva.

Si el equipo tiene varios sistemas operativos instalados, después del cifrado, solo podrá cargar el sistema operativo con la aplicación instalada.

Descifrar todos los discos duros. Si se selecciona este elemento, la aplicación descifra todas las unidades de disco duro cifradas previamente cuando se aplica la directiva.

Dejar sin modificar. Si se selecciona este elemento, la aplicación revierte el estado de todas las unidades de disco duro cuando se aplica la directiva. Si se cifró la unidad de disco, permanecerá cifrada. Si se descifró, permanecerá descifrada. Este elemento está seleccionado de forma predeterminada.

Durante el cifrado, crear automáticamente cuentas del Agente de autenticación para usuarios de Windows

Si esta casilla de verificación está seleccionada, la aplicación creará cuentas de agente de autenticación según la lista de cuentas de usuario de Windows en el equipo. De forma predeterminada, Kaspersky Endpoint Security utiliza todas las cuentas locales y de dominio con las que el usuario ha iniciado sesión en el sistema operativo durante los últimos 30 días.

Configuración de la creación de cuentas del Agente de autenticación

Todas las cuentas del equipo. Todas las cuentas en el ordenador que han estado activas en algún momento.

Todas las cuentas de dominio del equipo. Todas las cuentas del ordenador que pertenecen a algún dominio y que han estado activas en algún momento.

Todas las cuentas locales del equipo. Todas las cuentas locales en el ordenador que han estado activas en algún momento.

Cuenta de servicio con una contraseña única. La cuenta de servicio es necesaria para acceder al ordenador, por ejemplo, cuando el usuario olvida la contraseña. También puede utilizar la cuenta de servicio como cuenta de reserva. Debe introducir el nombre de la cuenta (por defecto, ServiceAccount). Kaspersky Endpoint Security crea una contraseña automáticamente. Puede encontrar la contraseña en la consola de Kaspersky Security Center.

Administrador local. Kaspersky Endpoint Security crea una cuenta de usuario del Agente de autenticación para el administrador local del ordenador.

Administrador del equipo. Kaspersky Endpoint Security crea una cuenta de usuario del Agente de autenticación para la cuenta del administrador del ordenador. Puede ver qué cuenta tiene la función de administrador del ordenador en las propiedades del ordenador en Active Directory. Por defecto, la función de administrador del ordenador no está definida, es decir, no corresponde a ninguna cuenta.

Cuenta activa. Kaspersky Endpoint Security crea automáticamente una cuenta de agente de autenticación para la cuenta que está activa en el momento del cifrado del disco.

Crear automáticamente cuentas del Agente de autenticación para todos los usuarios de este equipo al iniciar sesión

Si esta casilla de verificación está seleccionada, la aplicación verifica la información sobre las cuentas de usuario de Windows en el equipo antes de iniciar el Agente de autenticación. Si Kaspersky Endpoint Security detecta una cuenta de usuario de Windows que no tiene una cuenta de Agente de autenticación, la aplicación creará una nueva cuenta para acceder a las unidades cifradas. La nueva cuenta del Agente de autenticación tendrá la siguiente configuración predeterminada: inicio de sesión protegido con contraseña únicamente y cambio de contraseña en la primera autenticación. Por lo tanto, no es necesario agregar manualmente cuentas del Agente de autenticación mediante la tarea Administrar cuentas del Agente de autenticación para equipos con unidades ya cifradas.

Guardar el nombre de usuario introducido en el Agente de autenticación

Si se selecciona la casilla de verificación, la aplicación guarda el nombre de la cuenta del Agente de Autenticación. No se le solicitará introducir el nombre de la cuenta la próxima vez que intente realizar una autorización en el Agente de autenticación con la misma cuenta.

Cifrar solo el espacio en disco utilizado (reduce el tiempo de cifrado)

Esta casilla activa o desactiva la opción que limita el área de cifrado solo a los sectores del disco duro que están ocupados. Este límite le permite reducir el tiempo de cifrado.

Activar o desactivar la función Cifrar solo el espacio en disco utilizado (Windows 8 y versiones posteriores) después de iniciar el cifrado no modifica esta configuración hasta que se descifran los discos duros. Debe seleccionar o desactivar la casilla de verificación antes de iniciar el cifrado.

Si se selecciona, solo se cifran las partes del disco duro ocupadas por archivos. Kaspersky Endpoint Security cifra automáticamente los datos a medida que se añaden.

Si se desactiva, se cifra todo el disco duro, incluidos los fragmentos restantes de los archivos que se han modificado o eliminado previamente.

Se recomienda esta opción para nuevos discos duros cuyos datos no se han modificado ni eliminado. Si va a aplicar cifrado a una unidad de disco que está ya en uso, se recomienda que cifre la unidad de disco completa. Esto garantiza la protección de todos los datos, incluso los datos eliminados que son potencialmente recuperables.

Esta casilla de verificación está desactivada de forma predeterminada.

Utilizar Legacy USB Support (no recomendado)

Esta casilla de verificación activa o desactiva la función Legacy USB Support Legacy USB Support es una función BIOS/UEFI que le permite usar dispositivos USB (como un token de seguridad) durante la fase de inicio del equipo antes de iniciar el sistema operativo (modo BIOS). Legacy USB Support no afecta a la compatibilidad con dispositivos USB después del inicio del sistema operativo.

Si la casilla está seleccionada, se activará la compatibilidad con dispositivos USB durante el primer inicio del equipo.

Cuando la función Legacy USB Support está activada, el Agente de autenticación en el modo BIOS no permite trabajar con tokens a través de USB. Se recomienda usar esta opción solo cuando existe un problema de compatibilidad de hardware y solo para los equipos en los cuales se produce el problema.

Configuración de contraseña

Configuración de seguridad de la contraseña de la cuenta del Agente de autenticación. Cuando se utiliza la tecnología de inicio de sesión único, el Agente de autenticación ignora los requisitos de seguridad de la contraseña especificados en Kaspersky Security Center. Puede definir los requisitos de seguridad de la contraseña en la configuración del sistema operativo.

Utilizar la tecnología de inicio de sesión único (SSO)

La tecnología SSO posibilita el uso de las mismas credenciales de la cuenta para acceder a unidades de disco duro cifradas e iniciar sesión en el sistema operativo.

Si la casilla está seleccionada, debe introducir las credenciales de la cuenta para acceder a los discos duros cifrados y, luego, iniciar sesión automáticamente en el sistema operativo.

Si la casilla se desactiva, para acceder a discos duros cifrados y posteriormente iniciar sesión en el sistema operativo, debe escribir por separado las credenciales para acceder a unidades cifradas y las credenciales de la cuenta de usuario del sistema operativo.

Ajustar proveedores de credenciales de terceros

Kaspersky Endpoint Security es compatible con el proveedor de credenciales de terceros ADSelfService Plus.

Al trabajar con proveedores de credenciales de terceros, el agente de autenticación intercepta la contraseña antes de que se cargue el sistema operativo. Esto significa que un usuario debe introducir la contraseña una sola vez al iniciar sesión en Windows. Después de iniciar sesión en Windows, el usuario puede utilizar las capacidades del proveedor de credenciales de terceros para la autenticación en servicios corporativos, por ejemplo. Los proveedores de credenciales de terceros también permiten que los usuarios restablezcan su propia contraseña de forma independiente. En este caso, Kaspersky Endpoint Security actualizará automáticamente la contraseña para el agente de autenticación.

Si está utilizando un proveedor de credenciales de terceros que no es compatible con la aplicación, es posible que encuentre algunas limitaciones en la operación de la tecnología de inicio de sesión único.

Textos de ayuda

Autenticación. Texto de ayuda que aparece en la ventana del Agente de autenticación al introducir las credenciales de la cuenta.

Cambiar la contraseña. Texto de ayuda que aparece en la ventana del Agente de autenticación al cambiar la contraseña de la cuenta del Agente de autenticación.

Recuperar la contraseña. Texto de ayuda que aparece en la ventana del Agente de autenticación al recuperar la contraseña de la cuenta del Agente de autenticación.

Configuración del componente Cifrado de unidad BitLocker

Parámetro

Descripción

Modo de cifrado

Cifrar todos los discos duros. Si se selecciona este elemento, la aplicación cifra todos los discos duros cuando se aplica la directiva.

Si el equipo tiene varios sistemas operativos instalados, después del cifrado, solo podrá cargar el sistema operativo con la aplicación instalada.

Descifrar todos los discos duros. Si se selecciona este elemento, la aplicación descifra todas las unidades de disco duro cifradas previamente cuando se aplica la directiva.

Dejar sin modificar. Si se selecciona este elemento, la aplicación revierte el estado de todas las unidades de disco duro cuando se aplica la directiva. Si se cifró la unidad de disco, permanecerá cifrada. Si se descifró, permanecerá descifrada. Este elemento está seleccionado de forma predeterminada.

Activar el uso de autenticación BitLocker que requiera entrada de teclado de prearranque en tabletas

Esta casilla de verificación activa o desactiva el uso de la autenticación que requiere la entrada de datos en un entorno de prearranque, incluso si la plataforma no tiene la capacidad de entrada de prearranque (por ejemplo, con los teclados de la pantalla táctil de las tabletas).

La pantalla táctil de las tabletas no está disponible en el entorno de prearranque. Para completar la autenticación BitLocker en tabletas, el usuario debe conectar un teclado USB, por ejemplo.

Si selecciona, se permite el uso de la autenticación que requiere la entrada de prearranque en las tabletas. Se recomienda utilizar esta configuración solo en dispositivos con herramientas alternativas de entrada de datos en un entorno de prearranque, como un teclado USB, además de los teclados de la pantalla táctil.

Si se desactiva, el Cifrado de unidad BitLocker no es posible en tabletas.

Utilizar cifrado de hardware (Windows 8 y versiones posteriores)

Si se selecciona, la aplicación utiliza el cifrado basado en hardware, lo que le permite aumentar la velocidad de cifrado y utilizar menos recursos del equipo.

Cifrar solo el espacio en disco utilizado (Windows 8 y versiones posteriores)

Esta casilla activa o desactiva la opción que limita el área de cifrado solo a los sectores del disco duro que están ocupados. Este límite le permite reducir el tiempo de cifrado.

Activar o desactivar la función Cifrar solo el espacio en disco utilizado (Windows 8 y versiones posteriores) después de iniciar el cifrado no modifica esta configuración hasta que se descifran los discos duros. Debe seleccionar o desactivar la casilla de verificación antes de iniciar el cifrado.

Si se selecciona, solo se cifran las partes del disco duro ocupadas por archivos. Kaspersky Endpoint Security cifra automáticamente los datos a medida que se añaden.

Si se desactiva, se cifra todo el disco duro, incluidos los fragmentos restantes de los archivos que se han modificado o eliminado previamente.

Se recomienda esta opción para nuevos discos duros cuyos datos no se han modificado ni eliminado. Si va a aplicar cifrado a una unidad de disco que está ya en uso, se recomienda que cifre la unidad de disco completa. Esto garantiza la protección de todos los datos, incluso los datos eliminados que son potencialmente recuperables.

Esta casilla de verificación está desactivada de forma predeterminada.

Configuración de autenticación

Utilizar contraseña (Windows 8 y versiones posteriores)

Si se selecciona esta opción, Kaspersky Endpoint Security solicita una contraseña al usuario cada vez que este intenta acceder a la unidad cifrada.

Se puede seleccionar cuando el módulo de plataforma segura (TPM) no se está utilizando.

Usar el módulo de plataforma segura (TPM)

Si se selecciona esta opción, BitLocker utiliza el módulo de plataforma segura (TPM).

Un módulo de plataforma segura (TPM) es un microchip desarrollado para proporcionar funciones básicas relacionadas con la seguridad (por ejemplo, para almacenar claves de cifrado). Un módulo de plataforma segura se suele instalar en la placa base del ordenador e interactúa con todos los otros componentes del sistema a través del bus de hardware.

En equipos con Windows 7 o Windows Server 2008 R2, solo es posible utilizar el cifrado con módulo TPM. El cifrado BitLocker no está disponible en equipos que no cuentan con este módulo. No es posible utilizar una contraseña en tales equipos.

Un dispositivo equipado con un módulo de plataforma segura puede crear claves de cifrado que solo con dicho dispositivo se pueden descifrar. El módulo de plataforma segura cifra las claves de cifrado con su propia clave raíz de almacenamiento. La clave raíz de almacenamiento se guarda en el módulo de plataforma segura, lo que proporciona un nivel adicional de protección contra los intentos de piratear las claves de cifrado.

Esta acción está seleccionada de forma predeterminada.

Puede establecer una capa de protección adicional para acceder a la clave de cifrado, y cifrar la clave con una contraseña o PIN:

  • Utilizar PIN para el TPM. Si esta casilla de verificación está seleccionada, un usuario puede utilizar un código PIN para obtener acceso a una clave de cifrado almacenada en el módulo de plataforma segura (TPM).

    Si la casilla no está seleccionada, se prohíbe a los usuarios utilizar códigos PIN. Para acceder a la clave de cifrado, un usuario debe introducir la contraseña.

    Puede permitir que el usuario utilice un PIN optimizado. El PIN optimizado permite utilizar otros caracteres además de los numéricos: letras latinas mayúsculas y minúsculas, caracteres especiales y espacios.

  • Use el módulo de plataforma segura (TPM); si no está disponible, use la contraseña. Si se selecciona la casilla de verificación, el usuario podrá utilizar una contraseña para acceder a claves de cifrado cuando el módulo de plataforma segura (TPM) no esté disponible.

Si no se seleccionó la casilla de verificación y el módulo TPM no está disponible, no comenzará el cifrado de disco completo.

Vea también: Sobre el uso de la Consola de administración de Kaspersky Security Center para administrar la aplicación

Comienzo del Cifrado de disco de Kaspersky

Inicio del Cifrado de unidad BitLocker

Creación de una lista de discos duros excluidos del cifrado

Descifrado de discos duros

Actualización del sistema operativo

Eliminación de errores al actualizar la función de cifrado

Inicio de página