Cifrado de disco completo

Puede seleccionar una tecnología de cifrado: Cifrado de disco de Kaspersky o Cifrado de unidad BitLocker (en adelante también llamado simplemente "BitLocker").

Cifrado de disco de Kaspersky

Después de que se hayan cifrado los discos duros del sistema, en el siguiente inicio de sesión en el equipo, el usuario debe autenticarse en el Agente de autenticación antes de que se pueda acceder a los discos duros y cargar el sistema operativo. Esto requiere la introducción de la contraseña del token o la tarjeta inteligente conectada al equipo, o bien el nombre de usuario y la contraseña de la cuenta del Agente de autenticación creada por el administrador de la red de área local que utilice la tarea de administración de las cuentas del Agente de autenticación. Estas cuentas se basan en las cuentas de Microsoft Windows con las que los usuarios inician sesión en el sistema operativo. También puede usar la tecnología de inicio de sesión único (SSO), que le permite iniciar sesión automáticamente en el sistema operativo utilizando el nombre de usuario y la contraseña de la cuenta del Agente de autenticación.

La autenticación de usuario en Agente de autenticación se puede realizar de dos maneras:

Cifrado de unidad BitLocker

BitLocker es una tecnología de cifrado integrada en los sistemas operativos Windows. Kaspersky Endpoint Security le permite controlar y gestionar Bitlocker utilizando Kaspersky Security Center. BitLocker cifra los volúmenes lógicos. BitLocker no se puede utilizar para el cifrado de unidades extraíbles. Para obtener más detalles sobre BitLocker, consulte la documentación de Microsoft.

BitLocker proporciona almacenamiento seguro de claves de acceso utilizando un módulo de plataforma segura. Un módulo de plataforma segura (TPM) es un microchip desarrollado para proporcionar funciones básicas relacionadas con la seguridad (por ejemplo, para almacenar claves de cifrado). Un módulo de plataforma segura se suele instalar en la placa base del ordenador e interactúa con todos los otros componentes del sistema a través del bus de hardware. Utilizar el módulo TPM es el modo más seguro de almacenar las clave de acceso de BitLocker, ya que TPM proporciona verificación de integridad del sistema antes del inicio. Sigue pudiendo cifrar unidades en un equipo sin un módulo TPM. En este caso, la clave de acceso se cifrará con una contraseña. BitLocker utiliza los siguientes métodos de autenticación:

Después de cifrar una unidad, BitLocker crea una clave maestra. Kaspersky Endpoint Security envía la clave maestra a Kaspersky Security Center para que pueda restaurar el acceso al disco, por ejemplo, si un usuario ha olvidado la contraseña. Si un usuario cifra un disco con BitLocker, Kaspersky Endpoint Security enviará información sobre el cifrado de disco a Kaspersky Security Center. Sin embargo, Kaspersky Endpoint Security no enviará la clave maestra a Kaspersky Security Center, por lo que será imposible restaurar el acceso al disco utilizando Kaspersky Security Center. Para que BitLocker funcione correctamente con Kaspersky Security Center, descifre la unidad y vuelva a cifrarla utilizando una directiva. Puede descifrar una unidad de manera local o usar una directiva.

Después de cifrar el disco duro del sistema, el usuario debe pasar por el procedimiento de autenticación de BitLocker para iniciar el sistema operativo. Después del procedimiento de autenticación, BitLocker permitirá que los usuarios inicien sesión. BitLocker no admite la tecnología Single Sign-On (SSO).

Si está utilizando directivas de grupo de Windows, desactive la administración de BitLocker en la configuración de directivas. La configuración de directivas de Windows puede entrar en conflicto con la configuración de directivas de Kaspersky Endpoint Security. Al cifrar una unidad, pueden producirse errores.

Configuración del componente Cifrado de disco de Kaspersky

Parámetro

Descripción

Modo de cifrado

Cifrar todos los discos duros. Si se selecciona este elemento, la aplicación cifra todos los discos duros cuando se aplica la directiva.

Si el equipo tiene varios sistemas operativos instalados, después del cifrado, solo podrá cargar el sistema operativo con la aplicación instalada.

Descifrar todos los discos duros. Si se selecciona este elemento, la aplicación descifra todas las unidades de disco duro cifradas previamente cuando se aplica la directiva.

Dejar sin modificar Si se selecciona este elemento, la aplicación revierte el estado de todas las unidades de disco duro cuando se aplica la directiva. Si se cifró la unidad de disco, permanecerá cifrada. Si se descifró, permanecerá descifrada. Este elemento está seleccionado de forma predeterminada.

Crear automáticamente cuentas del Agente de autenticación para los usuarios

Esta casilla activa o desactiva la creación automática de cuentas del Agente de autenticación al aplicar una directiva. Kaspersky Endpoint Security crea una lista de cuentas de Agente de autenticación en función de las cuentas de Windows. De forma predeterminada, Kaspersky Endpoint Security utiliza todas las cuentas locales y de dominio con las que el usuario ha iniciado sesión en el sistema operativo durante los últimos 30 días.

Configuración de la creación de cuentas del Agente de autenticación

Todas las cuentas del equipo. Si se selecciona esta casilla de verificación, durante la ejecución de la tarea de cifrado de disco completo, Kaspersky Endpoint Security crea cuentas del Agente de autenticación para todas las cuentas que han estado activas alguna vez en el equipo.

Todas las cuentas de dominio del equipo. Si se selecciona esta casilla de verificación, durante la tarea de cifrado de disco completo, Kaspersky Endpoint Security crea cuentas del Agente de autenticación para todas las cuentas que pertenecen a un dominio en particular y que han estado activas alguna vez en el equipo.

Todas las cuentas locales del equipo. Si se selecciona esta casilla de verificación, durante la ejecución de la tarea de cifrado de disco completo, Kaspersky Endpoint Security crea cuentas del Agente de autenticación para todas las cuentas locales que han estado activas alguna vez en el equipo.

Administrador local. Si se selecciona esta casilla de verificación, durante la tarea de cifrado de disco completo, Kaspersky Endpoint Security crea cuentas de administrador local.

Administrador del equipo. Si se selecciona esta casilla de verificación, durante la tarea de cifrado de disco completo, Kaspersky Endpoint Security crea una cuenta del Agente de autenticación para la cuenta cuyas propiedades en Active Directory muestran que es una cuenta de administración.

Cuenta activa. Si se selecciona esta casilla de verificación, durante la tarea de cifrado de disco completo, Kaspersky Endpoint Security crea automáticamente una cuenta del Agente de autenticación para la cuenta del equipo que está activa durante la tarea de cifrado.

Guardar el nombre de usuario introducido en el Agente de autenticación

Si se selecciona la casilla de verificación, la aplicación guarda el nombre de la cuenta del Agente de Autenticación. No se le solicitará introducir el nombre de la cuenta la próxima vez que intente realizar una autorización en el Agente de autenticación con la misma cuenta.

Cifrar únicamente el espacio en disco utilizado

Esta casilla activa o desactiva la opción que limita el área de cifrado solo a los sectores del disco duro que están ocupados. Este límite le permite reducir el tiempo de cifrado.

Una vez iniciado el cifrado, la activación o desactivación de la función Cifrar solo el espacio en disco utilizado no cambiará esta opción hasta que termine el cifrado de los discos duros. Debe seleccionar o desactivar la casilla de verificación antes de iniciar el cifrado.

Si se selecciona, solo se cifran las partes del disco duro ocupadas por archivos. Kaspersky Endpoint Security cifra automáticamente los datos a medida que se añaden.

Si se desactiva, se cifra todo el disco duro, incluidos los fragmentos restantes de los archivos que se han modificado o eliminado previamente.

Se recomienda esta opción para nuevos discos duros cuyos datos no se han modificado ni eliminado. Si va a aplicar cifrado a un disco duro que está ya en uso, se recomienda que cifre el disco duro completo. Esto garantiza la protección de todos los datos, incluso los datos eliminados que son potencialmente recuperables.

Esta casilla de verificación está desactivada de forma predeterminada.

Utilizar Legacy USB Support

Esta casilla de verificación activa o desactiva la función Legacy USB Support Legacy USB Support es una función BIOS/UEFI que le permite usar dispositivos USB (como un token de seguridad) durante la fase de inicio del equipo antes de iniciar el sistema operativo (modo BIOS). Legacy USB Support no afecta a la compatibilidad con dispositivos USB después del inicio del sistema operativo.

Si la casilla está seleccionada, se activará la compatibilidad con dispositivos USB durante el primer inicio del equipo.

Cuando la función Legacy USB Support está activada, el Agente de autenticación en el modo BIOS no permite trabajar con tokens a través de USB. Se recomienda usar esta opción solo cuando existe un problema de compatibilidad de hardware y solo para los equipos en los cuales se produce el problema.

Configuración de contraseña

Configuración de seguridad de la contraseña de la cuenta del Agente de autenticación. También puede activar el uso de la tecnología de inicio de sesión único (SSO).

La tecnología SSO posibilita el uso de las mismas credenciales de la cuenta para acceder a unidades de disco duro cifradas e iniciar sesión en el sistema operativo.

Si la casilla está seleccionada, debe introducir las credenciales de la cuenta para acceder a los discos duros cifrados y, luego, iniciar sesión automáticamente en el sistema operativo.

Si la casilla se desactiva, para acceder a discos duros cifrados y posteriormente iniciar sesión en el sistema operativo, debe escribir por separado las credenciales para acceder a unidades cifradas y las credenciales de la cuenta de usuario del sistema operativo.

Textos de ayuda

Autenticación. Texto de ayuda que aparece en la ventana del Agente de autenticación al introducir las credenciales de la cuenta.

Cambiar contraseña. Texto de ayuda que aparece en la ventana del Agente de autenticación al cambiar la contraseña de la cuenta del Agente de autenticación.

Recuperar contraseña. Texto de ayuda que aparece en la ventana del Agente de autenticación al recuperar la contraseña de la cuenta del Agente de autenticación.

Configuración del componente Cifrado de unidad BitLocker

Parámetro

Descripción

Modo de cifrado

Cifrar todos los discos duros. Si se selecciona este elemento, la aplicación cifra todos los discos duros cuando se aplica la directiva.

Si el equipo tiene varios sistemas operativos instalados, después del cifrado, solo podrá cargar el sistema operativo con la aplicación instalada.

Descifrar todos los discos duros. Si se selecciona este elemento, la aplicación descifra todas las unidades de disco duro cifradas previamente cuando se aplica la directiva.

Dejar sin modificar Si se selecciona este elemento, la aplicación revierte el estado de todas las unidades de disco duro cuando se aplica la directiva. Si se cifró la unidad de disco, permanecerá cifrada. Si se descifró, permanecerá descifrada. Este elemento está seleccionado de forma predeterminada.

Activar el uso de autenticación BitLocker que requiera entrada de teclado de prearranque en tablets

Esta casilla de verificación activa o desactiva el uso de la autenticación que requiere la entrada de datos en un entorno de prearranque, incluso si la plataforma no tiene la capacidad de entrada de prearranque (por ejemplo, con los teclados de la pantalla táctil de las tabletas).

La pantalla táctil de las tabletas no está disponible en el entorno de prearranque. Para completar la autenticación BitLocker en tabletas, el usuario debe conectar un teclado USB, por ejemplo.

Si selecciona, se permite el uso de la autenticación que requiere la entrada de prearranque en las tabletas. Se recomienda utilizar esta configuración solo en dispositivos con herramientas alternativas de entrada de datos en un entorno de prearranque, como un teclado USB, además de los teclados de la pantalla táctil.

Si se desactiva, el Cifrado de unidad BitLocker no es posible en tabletas.

Uso del cifrado basado en hardware

Si se selecciona, la aplicación utiliza el cifrado basado en hardware, lo que le permite aumentar la velocidad de cifrado y utilizar menos recursos del equipo.

Cifrar únicamente el espacio en disco utilizado

Esta casilla activa o desactiva la opción que limita el área de cifrado solo a los sectores del disco duro que están ocupados. Este límite le permite reducir el tiempo de cifrado.

Una vez iniciado el cifrado, la activación o desactivación de la función Cifrar solo el espacio en disco utilizado no cambiará esta opción hasta que termine el cifrado de los discos duros. Debe seleccionar o desactivar la casilla de verificación antes de iniciar el cifrado.

Si se selecciona, solo se cifran las partes del disco duro ocupadas por archivos. Kaspersky Endpoint Security cifra automáticamente los datos a medida que se añaden.

Si se desactiva, se cifra todo el disco duro, incluidos los fragmentos restantes de los archivos que se han modificado o eliminado previamente.

Se recomienda esta opción para nuevos discos duros cuyos datos no se han modificado ni eliminado. Si va a aplicar cifrado a un disco duro que está ya en uso, se recomienda que cifre el disco duro completo. Esto garantiza la protección de todos los datos, incluso los datos eliminados que son potencialmente recuperables.

Esta casilla de verificación está desactivada de forma predeterminada.

Parámetros de autenticación

Usar el módulo de plataforma segura (TPM)

Si se selecciona esta opción, BitLocker utiliza el módulo de plataforma segura (TPM).

Un módulo de plataforma segura (TPM) es un microchip desarrollado para proporcionar funciones básicas relacionadas con la seguridad (por ejemplo, para almacenar claves de cifrado). Un módulo de plataforma segura se suele instalar en la placa base del ordenador e interactúa con todos los otros componentes del sistema a través del bus de hardware.

En equipos con Windows 7 o Windows Server 2008 R2, solo es posible utilizar el cifrado con módulo TPM. El cifrado BitLocker no está disponible en equipos que no cuentan con este módulo. No es posible utilizar una contraseña en tales equipos.

Un dispositivo equipado con un módulo de plataforma segura puede crear claves de cifrado que solo con dicho dispositivo se pueden descifrar. El módulo de plataforma segura cifra las claves de cifrado con su propia clave raíz de almacenamiento. La clave raíz de almacenamiento se guarda en el módulo de plataforma segura, lo que proporciona un nivel adicional de protección contra los intentos de piratear las claves de cifrado.

Esta acción está seleccionada de forma predeterminada.

Puede configurar los ajustes para acceder a la clave de cifrado:

  • Utilizar PIN. Si esta casilla de verificación está seleccionada, un usuario puede utilizar un código PIN para obtener acceso a una clave de cifrado almacenada en el módulo de plataforma segura (TPM).

    Si la casilla no está seleccionada, se prohíbe a los usuarios utilizar códigos PIN. Para acceder a la clave de cifrado, un usuario debe introducir la contraseña.

  • Usar contraseña si el módulo de plataforma segura (TPM) no está disponible Si se selecciona la casilla de verificación, el usuario podrá utilizar una contraseña para acceder a claves de cifrado cuando el TPM no esté disponible.

    Si no se seleccionó la casilla de verificación y el módulo TPM no está disponible, no comenzará el cifrado de disco completo.

    Usar contraseña

    Si se selecciona esta opción, Kaspersky Endpoint Security solicita una contraseña al usuario cada vez que este intenta acceder a la unidad cifrada.

    Se puede seleccionar cuando el módulo de plataforma segura (TPM) no se está utilizando.

Vea también: Sobre el uso de la Consola de administración de Kaspersky Security Center para administrar la aplicación

Cifrado de disco completo con la tecnología Cifrado de disco de Kaspersky

Inicio del Cifrado de unidad BitLocker

Creación de una lista de discos duros excluidos del cifrado

Descifrado de discos duros

Actualización del sistema operativo

Eliminación de errores al actualizar la función de cifrado

Inicio de página