Administración de cuentas del Agente de autenticación
El Agente de autenticación es un componente necesario para operar con unidades que se han protegido con la tecnología Cifrado de disco de Kaspersky (FDE). El usuario debe autenticarse con el Agente antes de que se cargue el sistema operativo. Para configurar los ajustes de autenticación de los usuarios, utilice la tarea Administrar cuentas del Agente de autenticación. Puede optar por usar tareas locales para equipos específicos o tareas de grupo para selecciones de equipos o equipos que pertenezcan a diferentes grupos de administración.
La ejecución de la tarea Administrar cuentas del Agente de autenticación no puede programarse. Tampoco es posible detener esta tarea a la fuerza.
Cómo crear la tarea Administrar cuentas del Agente de autenticación en la Consola de administración (MMC)
- En la Consola de administración, vaya a la carpeta Servidor de administración → Tareas.
Se abre la lista de tareas.
- Haga clic en el botón Nueva tarea.
Se inicia el Asistente de tareas. Siga las instrucciones del Asistente.
Paso 1. Selección del tipo de tarea
Seleccione Kaspersky Endpoint Security para Windows (11.10.0) → Administrar cuentas del Agente de autenticación.
Paso 2. Selección del comando para administrar las cuentas del Agente de autenticación
Genere una lista de comandos para administrar las cuentas del Agente de autenticación. Los comandos de administración le permitirán agregar, modificar y eliminar cuentas (consulte las instrucciones más abajo). Solo los usuarios que tengan una cuenta del Agente de autenticación podrán completar el procedimiento de autenticación, cargar el sistema operativo y acceder a la unidad cifrada.
Paso 3. Selección de los dispositivos a los que se asignará la tarea
Seleccione los equipos en los que se ejecutará la tarea. Las siguientes opciones están disponibles:
- Asignar la tarea a un grupo de administración. En este caso, la tarea se asigna a los equipos incluidos en un grupo de administración creado anteriormente.
- Seleccione los equipos no detectados por el Servidor de Administración en la red - dispositivos no asignados. Los dispositivos específicos pueden incluir dispositivos en grupos de administración, así como dispositivos no asignados.
- Especifique direcciones de dispositivo manualmente o importe direcciones de una lista. Puede especificar los nombres NetBIOS, las direcciones IP y las subredes IP de los dispositivos a los que desea asignar la tarea.
Paso 4. Nombre de la tarea
Escriba el nombre que se le dará a la tarea, por ejemplo Cuentas de administrador.
Paso 5. Completar creación de la tarea
Salga del Asistente. De ser necesario, active la casilla Ejecutar la tarea al finalizar el Asistente. Podrá ver el progreso de la tarea en las propiedades de la misma.
Como resultado, la tarea se completará cuando el equipo vuelva a iniciarse y el nuevo usuario podrá autenticarse, cargar el sistema operativo y acceder a la unidad cifrada.
Cómo crear la tarea Administrar cuentas del Agente de autenticación en Web Console
- En la ventana principal de Web Console, seleccione Dispositivos → Tareas.
Se abre la lista de tareas.
- Haga clic en el botón Agregar.
Se inicia el Asistente de tareas. Siga las instrucciones del Asistente.
Paso 1. Configuración de los parámetros generales de una tarea
Configure los parámetros generales de la tarea:
- En la lista desplegable Aplicación, seleccione Kaspersky Endpoint Security para Windows (11.10.0).
- En la lista desplegable Tipo de tarea, seleccione Administrar cuentas del Agente de autenticación.
- En el campo Nombre de la tarea, escriba una descripción breve (por ejemplo, Cuentas de administrador).
- En el bloque Seleccione los dispositivos a los que se asignará la tarea, elija el alcance de la tarea.
Paso 2. Administración de cuentas del Agente de autenticación
Genere una lista de comandos para administrar las cuentas del Agente de autenticación. Los comandos de administración le permitirán agregar, modificar y eliminar cuentas (consulte las instrucciones más abajo). Solo los usuarios que tengan una cuenta del Agente de autenticación podrán completar el procedimiento de autenticación, cargar el sistema operativo y acceder a la unidad cifrada.
Paso 3. Completar creación de la tarea
Salga del Asistente. La nueva tarea aparecerá en la lista de tareas.
Para ejecutar una tarea, active la casilla a su lado y haga clic en el botón Iniciar.
Como resultado, la tarea se completará cuando el equipo vuelva a iniciarse y el nuevo usuario podrá autenticarse, cargar el sistema operativo y acceder a la unidad cifrada.
Para agregar una cuenta del Agente de autenticación, deberá agregar un comando especial a la tarea Administrar cuentas del Agente de autenticación. Recomendamos utilizar una tarea de grupo si, por ejemplo, desea agregar una cuenta de administración en todos los equipos.
Kaspersky Endpoint Security permite crear las cuentas del Agente de autenticación automáticamente antes de que se cifre una unidad. La opción para que las cuentas del Agente de autenticación se creen de forma automática puede habilitarse en la configuración de la directiva de cifrado de disco completo. También es posible usar la tecnología de inicio de sesión único (SSO).
Cómo agregar una cuenta del Agente de autenticación mediante la Consola de administración (MMC)
- Abra las propiedades de la tarea Administrar cuentas del Agente de autenticación.
- En Propiedades de la tarea, seleccione la sección Configuración.
- Haga clic en Agregar → Comando de adición de cuenta.
- En la ventana que se abre, en el campo Cuenta de Windows, especifique el nombre de la cuenta de Microsoft Windows que se usará para crear la cuenta del Agente de autenticación.
- Si escribió el nombre de la cuenta de Windows manualmente, haga clic en el botón Permitir para que se determine el identificador de seguridad (SID) de la cuenta.
Si opta por no determinar el identificador de seguridad (SID) haciendo clic en el botón Permitir, el SID será determinado al momento de ejecutar la tarea en el equipo.
Determinar el identificador de seguridad de una cuenta de Windows tiene la finalidad de verificar que el nombre de la cuenta se haya escrito correctamente. Si la cuenta de Windows no existe en el equipo o en el dominio de confianza, la tarea Administrar cuentas del Agente de autenticación finalizará con un error.
- Seleccione la casilla Reemplazar cuenta existente para que la cuenta que se cree tenga un nombre idéntico al nombre de cuenta del Agente de autenticación previamente creada que se reemplaza.
Este paso está disponible cuando se agrega un comando de creación de cuenta del Agente de autenticación en las propiedades de una tarea de grupo para administrar cuentas del Agente de autenticación. Este paso está disponible cuando se agrega un comando de creación de cuenta del Agente de autenticación en las propiedades de la tarea local Administrar cuentas del agente de autenticación.
- En el campo Nombre de usuario, escriba el nombre de la cuenta del Agente de autenticación que se debe ingresar durante la autenticación para poder acceder a discos duros cifrados.
- Seleccione la casilla Permitir la autenticación por contraseña si desea que la aplicación le solicite al usuario ingresar la contraseña de la cuenta del Agente de autenticación durante la autenticación para poder acceder a discos duros cifrados. Defina una contraseña para la cuenta del Agente de autenticación. Si lo considera necesario, puede exigir que el usuario cambie la contraseña la primera vez que se autentique.
- Seleccione la casilla Permitir la autenticación por certificado si desea que la aplicación le solicite al usuario que conecte un token o una tarjeta inteligente al equipo durante la autenticación para poder acceder a discos duros cifrados. Seleccione el archivo del certificado que se usará para la autenticación con la tarjeta inteligente o el token.
- Si es necesario, en el campo Descripción del comando, ingrese los detalles de la cuenta del Agente de autenticación que necesita para administrar el comando.
- En el bloque Acceso a la autenticación en el Agente de autenticación, configure el acceso a la autenticación en el Agente de autenticación para el usuario que utiliza la cuenta especificada en el comando.
- Guarde los cambios.
Cómo agregar una cuenta del Agente de autenticación mediante Web Console
- En la ventana principal de Web Console, seleccione Dispositivos → Tareas.
Se abre la lista de tareas.
- Haga clic en la tarea Administrar cuentas del Agente de autenticación de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la tarea.
- Seleccione la ficha Configuración de la aplicación.
- En la lista de cuentas del Agente de autenticación, haga clic en el botón Agregar.
Se abre un asistente para administrar las cuentas del Agente de autenticación.
- Seleccione el tipo de comando Agregar.
- Seleccione una cuenta de usuario. Puede escribir el nombre de la cuenta manualmente o elegir una de las disponibles en la lista de cuentas de dominio. Vaya al siguiente paso.
Kaspersky Endpoint Security determinará el identificador de seguridad (SID) de la cuenta. Esto se hace para verificar que la cuenta se haya especificado correctamente. Si se cometió un error al escribir el nombre de usuario, Kaspersky Endpoint Security finalizará la tarea con un error.
- Configure los ajustes de la cuenta del Agente de autenticación.
- Crear una nueva cuenta del Agente de autenticación para reemplazar la existente. Kaspersky Endpoint Security hará un relevamiento de las cuentas del equipo. Si el id. de seguridad del usuario en el equipo coincide con el de la tarea, Kaspersky Endpoint Security modificará la configuración de la cuenta de usuario como lo indique la tarea.
- Nombre de usuario. En una cuenta del Agente de autenticación, el nombre de usuario predeterminado se corresponde con el nombre del usuario en el dominio.
- Permitir la autenticación por contraseña. Defina una contraseña para la cuenta del Agente de autenticación. Si lo considera necesario, puede exigir que el usuario cambie la contraseña la primera vez que se autentique. De este modo, cada usuario tendrá su propia contraseña. Si desea definir requisitos de seguridad para la contraseña de la cuenta del Agente de autenticación, puede hacerlo en la directiva.
- Permitir la autenticación por certificado. Seleccione el archivo del certificado que se usará para la autenticación con la tarjeta inteligente o el token. De este modo, el usuario no necesitará introducir la contraseña para usar su tarjeta inteligente o token.
- Acceso de la cuenta a los datos cifrados. Configure las opciones que regularán el acceso del usuario a la unidad cifrada. Puede, por ejemplo, impedir temporalmente que un usuario se autentique en lugar de eliminar su cuenta del Agente de autenticación.
- Comentario. Escriba una descripción para la cuenta, de ser necesario.
- Guarde los cambios.
- Active la casilla ubicada junto a la tarea y haga clic en el botón Iniciar.
Como resultado, la tarea se completará cuando el equipo vuelva a iniciarse y el nuevo usuario podrá autenticarse, cargar el sistema operativo y acceder a la unidad cifrada.
Para modificar la contraseña u otros datos de configuración de una cuenta del Agente de autenticación, deberá agregar un comando especial a la tarea Administrar cuentas del Agente de autenticación. Recomendamos utilizar una tarea de grupo si, por ejemplo, necesita reemplazar el certificado del token del administrador en todos los equipos.
Cómo modificar una cuenta del Agente de autenticación mediante la Consola de administración (MMC)
- Abra las propiedades de la tarea Administrar cuentas del Agente de autenticación.
- En Propiedades de la tarea, seleccione la sección Configuración.
- Haga clic en Agregar → Comando de modificación de cuenta.
- En el campo Cuenta de Windows de la ventana que se abre, especifique el nombre de la cuenta de Microsoft Windows que desee modificar.
- Si escribió el nombre de la cuenta de Windows manualmente, haga clic en el botón Permitir para que se determine el identificador de seguridad (SID) de la cuenta.
Si opta por no determinar el identificador de seguridad (SID) haciendo clic en el botón Permitir, el SID será determinado al momento de ejecutar la tarea en el equipo.
Determinar el identificador de seguridad de una cuenta de Windows tiene la finalidad de verificar que el nombre de la cuenta se haya escrito correctamente. Si la cuenta de Windows no existe en el equipo o en el dominio de confianza, la tarea Administrar cuentas del Agente de autenticación finalizará con un error.
- Seleccione la casilla Cambiar nombre de usuario e ingrese un nuevo nombre para la cuenta del Agente de autenticación si desea que Kaspersky Endpoint Security cambie el nombre de usuario para todas las cuentas del Agente de autenticación creadas a partir de la cuenta de Microsoft Windows cuyo nombre figura en el campo Cuenta de Windows por el nombre que se ingrese en el campo a continuación.
- Seleccione la casilla Modificar la configuración de la autenticación por contraseña para hacer modificables las configuraciones de autenticación basada en contraseña.
- Seleccione la casilla Permitir la autenticación por contraseña si desea que la aplicación le solicite al usuario ingresar la contraseña de la cuenta del Agente de autenticación durante la autenticación para poder acceder a discos duros cifrados. Defina una contraseña para la cuenta del Agente de autenticación.
- Seleccione la casilla Modificar la regla de cambio de contraseña al autenticarse en el Agente de autenticación si desea que Kaspersky Endpoint Security cambie el valor de la configuración de cambio de contraseña correspondiente a todas las cuentas del Agente de autenticación creadas a partir de la cuenta de Microsoft Windows cuyo el nombre se indica en el campo Cuenta de Windows por el valor de configuración que se especifica a continuación.
- Especifique el valor de la configuración de cambio de contraseña al autenticarse en el Agente de autenticación.
- Seleccione la casilla Modificar la configuración de la autenticación por certificado para hacer modificables las configuraciones de autenticación basadas en un certificado electrónico de un dispositivo o tarjeta inteligente.
- Seleccione la casilla Permitir la autenticación por certificado si desea que la aplicación le solicite al usuario ingresar la contraseña del token o la tarjeta inteligente conectados al equipo durante el proceso de autenticación a fin de obtener acceso a discos duros cifrados. Seleccione el archivo del certificado que se usará para la autenticación con la tarjeta inteligente o el token.
- Seleccione la casilla Modificar la descripción del comando y modifique la descripción del comando si desea que Kaspersky Endpoint Security cambie la descripción del comando correspondiente a todas las cuentas del Agente de autenticación creadas a partir de la cuenta de Microsoft Windows cuyo nombre se indica en el campo Cuenta de Windows.
- Seleccione la casilla Modificar la regla de acceso a la autenticación en el Agente de autenticación si desea que Kaspersky Endpoint Security cambie la regla de acceso de usuarios al cuadro de diálogo de autenticación en el Agente de autenticación por el valor especificado a continuación para todas las cuentas del Agente de autenticación creadas a partir de la cuenta de Microsoft Windows cuyo nombre se indica en el campo Cuenta de Windows.
- Especifique la regla para acceder al cuadro de diálogo de autenticación en el Agente de autenticación.
- Guarde los cambios.
Cómo modificar una cuenta del Agente de autenticación mediante Web Console
- En la ventana principal de Web Console, seleccione Dispositivos → Tareas.
Se abre la lista de tareas.
- Haga clic en la tarea Administrar cuentas del Agente de autenticación de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la tarea.
- Seleccione la ficha Configuración de la aplicación.
- En la lista de cuentas del Agente de autenticación, haga clic en el botón Agregar.
Se abre un asistente para administrar las cuentas del Agente de autenticación.
- Seleccione el tipo de comando Cambiar.
- Seleccione una cuenta de usuario. Puede escribir el nombre de la cuenta manualmente o elegir una de las disponibles en la lista de cuentas de dominio. Vaya al siguiente paso.
Kaspersky Endpoint Security determinará el identificador de seguridad (SID) de la cuenta. Esto se hace para verificar que la cuenta se haya especificado correctamente. Si se cometió un error al escribir el nombre de usuario, Kaspersky Endpoint Security finalizará la tarea con un error.
- Active las casillas ubicadas junto a los parámetros que desee modificar.
- Configure los ajustes de la cuenta del Agente de autenticación.
- Crear una nueva cuenta del Agente de autenticación para reemplazar la existente. Kaspersky Endpoint Security hará un relevamiento de las cuentas del equipo. Si el id. de seguridad del usuario en el equipo coincide con el de la tarea, Kaspersky Endpoint Security modificará la configuración de la cuenta de usuario como lo indique la tarea.
- Nombre de usuario. En una cuenta del Agente de autenticación, el nombre de usuario predeterminado se corresponde con el nombre del usuario en el dominio.
- Permitir la autenticación por contraseña. Defina una contraseña para la cuenta del Agente de autenticación. Si lo considera necesario, puede exigir que el usuario cambie la contraseña la primera vez que se autentique. De este modo, cada usuario tendrá su propia contraseña. Si desea definir requisitos de seguridad para la contraseña de la cuenta del Agente de autenticación, puede hacerlo en la directiva.
- Permitir la autenticación por certificado. Seleccione el archivo del certificado que se usará para la autenticación con la tarjeta inteligente o el token. De este modo, el usuario no necesitará introducir la contraseña para usar su tarjeta inteligente o token.
- Acceso de la cuenta a los datos cifrados. Configure las opciones que regularán el acceso del usuario a la unidad cifrada. Puede, por ejemplo, impedir temporalmente que un usuario se autentique en lugar de eliminar su cuenta del Agente de autenticación.
- Comentario. Escriba una descripción para la cuenta, de ser necesario.
- Guarde los cambios.
- Active la casilla ubicada junto a la tarea y haga clic en el botón Iniciar.
Para eliminar una cuenta del Agente de autenticación, deberá agregar un comando especial a la tarea Administrar cuentas del Agente de autenticación. Recomendamos utilizar una tarea de grupo si, por ejemplo, necesita eliminar la cuenta de un empleado que ha renunciado.
Cómo eliminar una cuenta del Agente de autenticación mediante la Consola de administración (MMC)
- Abra las propiedades de la tarea Administrar cuentas del Agente de autenticación.
- En Propiedades de la tarea, seleccione la sección Configuración.
- Haga clic en Agregar → Comando de eliminación de cuenta.
- En el campo Cuenta de Windows de la ventana que se abre, especifique el nombre de la cuenta de usuario de Microsoft Windows que se haya utilizado para crear la cuenta del Agente de autenticación que va a eliminar.
- Si escribió el nombre de la cuenta de Windows manualmente, haga clic en el botón Permitir para que se determine el identificador de seguridad (SID) de la cuenta.
Si opta por no determinar el identificador de seguridad (SID) haciendo clic en el botón Permitir, el SID será determinado al momento de ejecutar la tarea en el equipo.
Determinar el identificador de seguridad de una cuenta de Windows tiene la finalidad de verificar que el nombre de la cuenta se haya escrito correctamente. Si la cuenta de Windows no existe en el equipo o en el dominio de confianza, la tarea Administrar cuentas del Agente de autenticación finalizará con un error.
- Guarde los cambios.
Cómo eliminar una cuenta del Agente de autenticación mediante Web Console
- En la ventana principal de Web Console, seleccione Dispositivos → Tareas.
Se abre la lista de tareas.
- Haga clic en la tarea Administrar cuentas del Agente de autenticación de Kaspersky Endpoint Security.
Se abre la ventana de propiedades de la tarea.
- Seleccione la ficha Configuración de la aplicación.
- En la lista de cuentas del Agente de autenticación, haga clic en el botón Agregar.
Se abre un asistente para administrar las cuentas del Agente de autenticación.
- Seleccione el tipo de comando Eliminar.
- Seleccione una cuenta de usuario. Puede escribir el nombre de la cuenta manualmente o elegir una de las disponibles en la lista de cuentas de dominio.
- Guarde los cambios.
- Active la casilla ubicada junto a la tarea y haga clic en el botón Iniciar.
Como resultado, la tarea se completará cuando el equipo vuelva a iniciarse y el usuario no podrá autenticarse ni cargar el sistema operativo. Kaspersky Endpoint Security no permitirá que el usuario acceda a la información cifrada.
Para ver una lista de usuarios que pueden autenticarse con el Agente y cargar el sistema operativo, debe consultar las propiedades del equipo administrado.
Cómo ver la lista de cuentas del Agente de autenticación mediante la Consola de administración (MMC)
- Abra la Consola de administración de Kaspersky Security Center.
- En la carpeta Dispositivos administrados del árbol de la Consola de administración, abra la carpeta con el nombre del grupo de administración al cual pertenecen los equipos cliente en cuestión.
- En el espacio de trabajo, seleccione la ficha Dispositivos.
- Haga doble clic en un equipo para abrir su ventana de propiedades.
- En la ventana de propiedades del equipo, elija la sección Tareas.
- En la lista de tareas, seleccione Administrar cuentas del Agente de autenticación y abra las propiedades de la tarea haciendo doble clic.
- En Propiedades de la tarea, seleccione la sección Configuración.
Como resultado, obtendrá acceso a la lista de cuentas del Agente de autenticación presentes en el equipo. Solo los usuarios que figuren en esa lista podrán autenticarse con el Agente y cargar el sistema operativo.
Cómo ver la lista de cuentas del Agente de autenticación mediante Web Console
- En la ventana principal de Web Console, seleccione Dispositivos → Dispositivos administrados.
- Haga clic en el nombre del equipo vinculado a las cuentas del Agente de autenticación en las que esté interesado.
- En las propiedades del equipo, seleccione la pestaña Tareas.
- En la lista de tareas, seleccione Administrar cuentas del Agente de autenticación.
- En las propiedades de la tarea, seleccione la ficha Configuración de la aplicación.
Como resultado, obtendrá acceso a la lista de cuentas del Agente de autenticación presentes en el equipo. Solo los usuarios que figuren en esa lista podrán autenticarse con el Agente y cargar el sistema operativo.
Inicio de página