Kaspersky Endpoint Security le permite cifrar las carpetas y los archivos almacenados en las unidades locales y extraíbles, o las unidades extraíbles y los discos duros por completo. El cifrado de datos minimiza el riesgo de filtraciones de información que se puede producir en caso de pérdida o robo del equipo portátil, unidad extraíble o disco duro, o cuando usuarios y aplicaciones no autorizados acceden a los datos. Kaspersky Endpoint Security utiliza el algoritmo de cifrado AES (del inglés "Advanced Encryption Standard").
Si la licencia ha caducado, la aplicación no cifra datos nuevos, y los datos cifrados antiguos permanecen cifrados y disponibles para su uso. En este caso, para cifrar nuevos datos se requiere activar la aplicación con una nueva licencia que permita el uso de cifrado.
Si la licencia ha caducado, si no se ha cumplido el Contrato de licencia de usuario final, si se ha eliminado la clave de licencia o los componentes de cifrado, o si se ha desinstalado Kaspersky Endpoint Security, no se garantiza que los archivos cifrados previamente se encuentren cifrados. La razón es que algunas aplicaciones, como Microsoft Office Word, crean una copia temporal de los archivos cuando se modifican. Cuando se guarda el archivo original, la copia temporal sustituye al archivo original. Por lo tanto, en un equipo que no disponga de funcionalidad de cifrado, o un equipo en la que esta funcionalidad no sea accesible, el archivo permanece sin cifrar.
Kaspersky Endpoint Security ofrece las siguientes características de protección de datos:
La prioridad de la regla de cifrado predeterminada es más baja que la de las reglas de cifrado creadas para unidades extraíbles particulares. La prioridad de las reglas de cifrado creadas para las unidades extraíbles del modelo de dispositivo especificado es más baja que la de las reglas de cifrado creadas para las unidades extraíbles cuyo ID de dispositivo es el especificado.
Para seleccionar una regla de cifrado de los archivos de una unidad extraíble, Kaspersky Endpoint Security comprueba si se conocen el modelo de dispositivo y el ID. A continuación, la aplicación realiza una de las siguientes operaciones:
La aplicación le permite preparar una unidad extraíble para que pueda utilizar los datos cifrados que contiene en modo portátil. Una vez que active el modo portátil, puede acceder a los archivos cifrados de las unidades extraíbles conectadas al equipo sin la necesidad de disponer de la funcionalidad de cifrado.
BitLocker es una tecnología que forma parte del sistema operativo Windows. Si un equipo está dotado de un módulo de plataforma segura (TPM), BitLocker lo utiliza para almacenar claves de recuperación que proporcionan acceso a un disco duro cifrado. Cuando el equipo se inicia, BitLocker solicita las claves de recuperación del disco duro desde el módulo de plataforma segura y desbloquea la unidad. Puede configurar el uso de una contraseña y un código PIN para acceder a las claves de recuperación.
Puede especificar la regla de cifrado de disco completo predeterminada y crear una lista de discos duros que se deben excluir del cifrado. Kaspersky Endpoint Security realiza un cifrado de disco completo sector por sector cuando se aplica la directiva de Kaspersky Security Center. La aplicación cifra todas las particiones lógicas de los discos duros de forma simultánea.
Después de que se hayan cifrado los discos duros del sistema, en el siguiente inicio de sesión en el equipo, el usuario debe autenticarse en el Agente de autenticación antes de que se pueda acceder a los discos duros y cargar el sistema operativo. Esto requiere la introducción de la contraseña del token o la tarjeta inteligente conectada al ordenador, o bien el nombre de usuario y la contraseña de la cuenta del Agente de autenticación creada por el administrador de la red de área local que utilice la tarea Administrar cuentas del Agente de autenticación. Estas cuentas se basan en las cuentas de Microsoft Windows con las que los usuarios inician sesión en el sistema operativo. También puede usar la tecnología de inicio de sesión único (SSO), que le permite iniciar sesión automáticamente en el sistema operativo utilizando el nombre de usuario y la contraseña de la cuenta del Agente de autenticación.
Kaspersky Endpoint Security duplica las cuentas del Agente de autenticación si crea una copia de seguridad del equipo y cifra los datos de este, y, a continuación, restaura la copia de seguridad del equipo y vuelve a cifrar dichos datos. Para eliminar las cuentas duplicadas, debe usar la herramienta klmover con la clave dupfix
. La utilidad klmover se incluye en la compilación de Kaspersky Security Center. Puede leer más sobre su funcionamiento en la ayuda de Kaspersky Security Center.
Solo se puede acceder a discos duros cifrados en los equipos en los que se haya instalado Kaspersky Endpoint Security con la funcionalidad de cifrado de disco completo. Esta precaución minimiza el riesgo de fuga de datos de un disco duro cifrado cuando se intenta acceder a él desde el exterior de la red de área local de la compañía.
Para cifrar discos duros y unidades extraíbles, puede utilizar la función Cifrar solo el espacio en disco utilizado. Se recomienda utilizar esta función solo para dispositivos nuevos que no se hayan utilizado anteriormente. Si va a aplicar cifrado a un dispositivo que ya está en uso, se recomienda que cifre el dispositivo completo. Esto garantiza que se protegen todos los datos, incluso los datos eliminados que todavía podrían contener información recuperable.
Antes comenzar el cifrado, Kaspersky Endpoint Security obtiene el mapa de los sectores del sistema de archivos. La primera oleada de cifrado incluye los sectores que están ocupados por archivos en el momento en que se inicia el cifrado. La segunda oleada de cifrado incluye los sectores que se escribieron después de que comenzara el cifrado. Una vez que el cifrado se ha completado, todos los sectores que contienen datos están cifrados.
Una vez que el cifrado se ha completado y un usuario elimina un archivo, los sectores que almacenaban el archivo eliminado vuelven a estar disponibles para almacenar nueva información a nivel del sistema de archivos, pero permanecen cifrados. Esto quiere decir que, después de un tiempo, todos los sectores de un dispositivo nuevo terminan por cifrarse, según se van guardando archivos en él, si este se cifra regularmente con la función Cifrar solo el espacio en disco utilizado.
El Servidor de administración de Kaspersky Security Center que haya controlado el equipo durante el cifrado proporciona los datos necesarios para descifrar archivos. Si el equipo con objetos cifrados estaba administrado por un Servidor de Administración diferente por algún motivo, puede obtener acceso a los datos cifrados de una de las siguientes maneras:
Si no hay acceso a datos cifrados, siga las instrucciones especiales para trabajar con datos cifrados (Restaurar el acceso a archivos cifrados, Trabajar con dispositivos cifrados si no existe acceso a estos).