Puede seleccionar una tecnología de cifrado: Cifrado de disco de Kaspersky o Cifrado de unidad BitLocker (en adelante también llamado simplemente "BitLocker").
Cifrado de Disco de Kaspersky
Una vez cifrados los discos duros del sistema, la próxima vez que se inicie el equipo, el usuario deberá superar la autenticación por medio del Agente de autenticación para poder acceder a los discos duros y cargar el sistema operativo. El usuario puede autenticarse de dos maneras: puede escribir la contraseña de un token o de una tarjeta inteligente que conecte al equipo, o puede introducir el nombre de usuario y la contraseña de la cuenta del Agente de autenticación que el administrador de la red de área local haya creado con la tarea de Administrar cuentas del Agente de autenticación. Estas cuentas se basan en las cuentas de Microsoft Windows con las que el usuario inicia sesión en el sistema operativo. Existe también la posibilidad de usar la tecnología de inicio de sesión único (SSO), que permite iniciar sesión en el sistema operativo automáticamente con el nombre de usuario y la contraseña de la cuenta del Agente de autenticación.
La autenticación de usuarios en el Agente de autenticación se puede realizar de dos formas:
El uso de un token o de una tarjeta inteligente está disponible solo si los discos duros del equipo se cifraron usando el algoritmo de cifrado AES256. Si los discos duros del equipo se cifraron usando el algoritmo de cifrado AES56, se rechazará la adición del archivo de certificado electrónico al comando.
Cifrado de Unidad BitLocker
BitLocker es una tecnología de cifrado que forma parte de los sistemas operativos Windows. Kaspersky Endpoint Security permite controlar y administrar BitLocker a través de Kaspersky Security Center. La tecnología BitLocker está diseñada para cifrar volúmenes lógicos. No puede utilizarse para cifrar unidades extraíbles. Para más información sobre BitLocker, puede consultar la documentación de Microsoft.
Las claves de acceso de BitLocker pueden almacenarse de manera segura utilizando un TPM (módulo de plataforma segura). Un módulo de plataforma segura (TPM) es un microchip que ofrece funciones de seguridad fundamentales (entre ellas, la capacidad de almacenar claves de cifrado). Por lo general, el TPM forma parte de la placa madre del equipo e interactúa con los demás componentes del sistema a través de un bus físico. Es la opción más segura para almacenar las claves de acceso de BitLocker porque permite verificar la integridad del sistema antes del arranque. La ausencia de un TPM no es impedimento para cifrar las unidades de un equipo. En tal caso, se utiliza una contraseña para cifrar la clave de acceso. BitLocker permite emplear los siguientes métodos de autenticación:
Cuando se cifra una unidad, BitLocker crea una clave maestra. Kaspersky Endpoint Security transfiere esa clave a Kaspersky Security Center; ello le permitirá restaurar el acceso a la unidad si un usuario olvida su contraseña, por ejemplo.
Si un usuario cifra su disco con BitLocker, Kaspersky Endpoint Security remitirá información sobre la operación a Kaspersky Security Center. Sin embargo, la clave maestra no se transferirá a Kaspersky Security Center, por lo que no será posible restaurar el acceso al disco a través de Kaspersky Security Center. Para que BitLocker pueda interactuar correctamente con Kaspersky Security Center, será necesario descifrar la unidad y utilizar una directiva para volver a cifrarla. El descifrado se puede realizar localmente o con una directiva.
Cuando la unidad del sistema está cifrada, el usuario debe superar la autenticación de BitLocker para iniciar el sistema operativo. BitLocker permitirá que el usuario inicie sesión una vez que se haya autenticado. BitLocker no es compatible con la tecnología de inicio de sesión único (SSO).
Si utiliza directivas de grupo de Windows, deshabilite el control de BitLocker en las mismas. Las directivas de Windows pueden interferir con las de Kaspersky Security Center. Tales interferencias pueden derivar en errores de cifrado.
Parámetros del componente Cifrado de disco de Kaspersky
Parámetro |
Descripción |
---|---|
Modo de cifrado |
Cifrar todos los discos duros. Si selecciona este elemento, cuando se aplique la directiva, la aplicación cifrará todos los discos duros. Si el equipo tiene varios sistemas operativos instalados, después del cifrado podrá solo cargar el sistema operativo que tenga la aplicación instalada. Descifrar todos los discos duros. Si selecciona este elemento, cuando se aplique la directiva, la aplicación descifrará todos los discos duros que se encuentren cifrados. Dejar sin modificar. Si selecciona este elemento, cuando se aplique la directiva, la aplicación no modificará el estado de las unidades. Si la unidad se cifra, permanece cifrada. Si la unidad se descifra, permanece descifrada. Este elemento está seleccionado por defecto. |
Durante el cifrado, crear automáticamente cuentas de Agente de autenticación para los usuarios de Windows |
Cuando esta casilla está activada, la aplicación crea cuentas del Agente de autenticación para las cuentas de usuario de Windows disponibles en el equipo. De manera predeterminada, Kaspersky Endpoint Security utiliza todas las cuentas locales y de dominio con las que el usuario haya iniciado sesión en el sistema operativo en los treinta días anteriores. |
Creación de cuentas del Agente de autenticación |
Todas las cuentas del equipo. Todas las cuentas del equipo que estuvieron activas en cualquier momento. Todas las cuentas de dominio del equipo. Todas las cuentas del equipo que pertenecen a algún dominio y que estuvieron activas en algún momento. Todas las cuentas locales del equipo. Todas las cuentas locales del equipo que estuvieron activas en cualquier momento. Cuenta del servicio con una contraseña de un solo uso. La cuenta del servicio es necesaria para acceder al equipo (por ejemplo, cuando el usuario olvida la contraseña). También puede utilizar la cuenta del servicio como cuenta de reserva. Debe ingresar el nombre de la cuenta (de manera predeterminada, Administrador local. Kaspersky Endpoint Security crea una cuenta de usuario del Agente de autenticación para el administrador local del equipo. Administrador del equipo. Kaspersky Endpoint Security crea una cuenta de usuario del Agente de autenticación para la cuenta del administrador del equipo. Puede ver qué cuenta tiene la función de administrador del equipo en las propiedades del equipo en Active Directory. De manera predeterminada, el rol de administrador del equipo no está definido (es decir, no corresponde a ninguna cuenta). Cuenta activa. Kaspersky Endpoint Security crea automáticamente una cuenta de Agente de autenticación para la cuenta que está activa en el momento del cifrado del disco. |
Crear automáticamente cuentas de Agente de autenticación para todos los usuarios de este equipo al iniciar sesión |
Si activa esta casilla de verificación, la aplicación analizará las cuentas de Windows disponibles en el equipo antes de que se inicie el Agente de autenticación. Si detecta que una cuenta de Windows no tiene su correspondiente cuenta para el Agente de autenticación, crea esa cuenta para que el usuario pueda acceder a las unidades cifradas de su equipo. La nueva cuenta del Agente de autenticación tendrá las siguientes opciones por defecto: inicio de sesión con contraseña únicamente y cambio de contraseña obligatorio tras el primer inicio de sesión. Gracias a esta función, ya no necesitará agregar cuentas del Agente de autenticación manualmente con la tarea Administrar cuentas del Agente de autenticación para los equipos que ya tengan sus unidades cifradas. |
Guardar el nombre de usuario utilizado en el Agente de autenticación |
Si se selecciona la casilla de verificación, la aplicación guarda el nombre de la cuenta del Agente de Autenticación. No se le solicitará que ingrese el nombre de la cuenta la próxima vez que intente completar la autorización en el Agente de Autenticación bajo la misma cuenta. |
Cifrar solo el espacio de disco usado (reduce el tiempo de cifrado) |
Esta casilla habilita/deshabilita la opción que limita el área del cifrado solo con sectores del disco duro ocupados. Este límite le permite reducir el tiempo de cifrado. Habilitar o deshabilitar la función Cifrar solo el espacio de disco usado (reduce el tiempo de cifrado) después de iniciar el cifrado no modifica esta configuración hasta que se descifran los discos duros. Debe seleccionar o deshabilitar la casilla de verificación antes de iniciar el cifrado. Si se selecciona la casilla de verificación, solo se cifran partes del disco duro que contienen archivos. Kaspersky Endpoint Security cifra automáticamente nuevos datos a medida que se agregan. Si se desactiva la casilla de verificación, se cifra todo el disco duro, incluidos fragmentos residuales de archivos eliminados y modificados anteriormente. Esta opción se recomienda para discos duros nuevos cuyos datos no se han modificado o eliminado. Si está aplicando el cifrado a un disco duro que ya está en uso, le recomendamos que cifre todo el disco. Esto asegura la protección de todos los datos, incluso los datos eliminados que son potencialmente recuperables. Esta casilla está desactivada por defecto. |
Usar Legacy USB Support (no recomendado) |
Utilice esta casilla para habilitar o deshabilitar la función Legacy USB Support. Legacy USB Support es una función de la BIOS o UEFI que permite utilizar dispositivos USB (por ejemplo, tokens de seguridad) durante el arranque del equipo, en la etapa anterior al inicio del sistema operativo (modo BIOS). La función Legacy USB Support no afecta la capacidad de usar dispositivos USB una vez que el sistema operativo se ha iniciado. Si la casilla se selecciona, la compatibilidad con dispositivos USB durante el primer inicio del equipo se habilitará. Si habilita la función Legacy USB Support y el Agente de autenticación se ha instalado en modo BIOS, no podrá usar tokens USB. Se recomienda usar esta opción solo cuando hay un problema de compatibilidad del hardware y solo para esos equipos en los cuales el problema ocurrió. |
Configuración de contraseñas |
Parámetros relativos a los requisitos de seguridad con los que deben cumplir las contraseñas de las cuentas del Agente de autenticación. Si opta por usar la tecnología SSO, el Agente de autenticación no tendrá en cuenta los requisitos que puedan haberse definido en Kaspersky Security Center para controlar la seguridad de las contraseñas. Para controlar la seguridad de las contraseñas, utilice las opciones del sistema operativo. |
Usar tecnología de inicio de sesión único (SSO) |
La tecnología SSO hace posible usar las mismas credenciales de cuenta para acceder a discos duros cifrados e iniciar sesión en el sistema operativo. Si activa la casilla, será necesario introducir las credenciales de cuenta para acceder a los discos duros cifrados, pero el inicio de sesión en el sistema operativo se realizará automáticamente. Si la casilla se desactiva, para acceder a discos duros cifrados y posteriormente iniciar sesión en el sistema operativo, debe escribir por separado las credenciales para acceder a unidades cifradas y las credenciales de la cuenta de usuario del sistema operativo. |
Cifrar proveedores de credenciales de terceros |
Kaspersky Endpoint Security es compatible con el proveedor de credenciales de terceros ADSelfService Plus. Cuando se trabaja con proveedores de credenciales de terceros, el Agente de autenticación intercepta la contraseña antes de que se inicie el sistema operativo. Esto significa que un usuario debe ingresar una contraseña solo una vez al iniciar sesión en Windows. Después de iniciar sesión en Windows, el usuario puede utilizar las capacidades de un proveedor de credenciales de terceros para, por ejemplo, autenticar servicios corporativos. Los proveedores de credenciales de terceros también permiten a los usuarios restablecer su propia contraseña de forma independiente. En este caso, Kaspersky Endpoint Security actualizará automáticamente la contraseña del Agente de autenticación. Si está utilizando un proveedor de credenciales de terceros que no es compatible con la aplicación, es posible que encuentre algunas limitaciones en el funcionamiento de la tecnología de inicio de sesión único. |
Ayuda |
Autenticación. Texto que se muestra en la ventana del Agente de autenticación al momento de introducir las credenciales de cuenta. Cambiar contraseña. Texto que se muestra en la ventana del Agente de autenticación cuando se intenta cambiar la contraseña de la cuenta del Agente de autenticación. Recuperar contraseña. Texto que se muestra en la ventana del Agente de autenticación cuando se intenta recuperar la contraseña de la cuenta del Agente de autenticación. |
Parámetros del componente Cifrado de unidad BitLocker
Parámetro |
Descripción |
---|---|
Modo de cifrado |
Cifrar todos los discos duros. Si selecciona este elemento, cuando se aplique la directiva, la aplicación cifrará todos los discos duros. Si el equipo tiene varios sistemas operativos instalados, después del cifrado podrá solo cargar el sistema operativo que tenga la aplicación instalada. Descifrar todos los discos duros. Si selecciona este elemento, cuando se aplique la directiva, la aplicación descifrará todos los discos duros que se encuentren cifrados. Dejar sin modificar. Si selecciona este elemento, cuando se aplique la directiva, la aplicación no modificará el estado de las unidades. Si la unidad se cifra, permanece cifrada. Si la unidad se descifra, permanece descifrada. Este elemento está seleccionado por defecto. |
Habilitar el uso de autenticación BitLocker que requiera entrada de teclado de prearranque en tabletas |
Esta casilla de verificación habilita / deshabilita el uso de la autenticación que requiere el ingreso de datos en un entorno previo al inicio del sistema, aun si la plataforma no tiene la capacidad de ingreso previo al inicio del sistema (por ejemplo, con teclados de pantalla táctil en tabletas). La pantalla táctil de las tabletas no está disponible en el entorno previo al inicio. Para completar la autenticación de BitLocker en tabletas, el usuario debe, por ejemplo, conectar un teclado USB. Si se selecciona la casilla de verificación, se permite el uso de la autenticación que requiere ingreso previo al inicio del sistema. Se recomienda usar esta configuración solo para dispositivos que tienen herramientas alternativas de ingreso de datos en un entorno previo al inicio del sistema, como ser, un teclado USB además de teclados de pantalla táctil. Para poder usar la tecnología Cifrado de unidad BitLocker en una tableta, esta casilla debe estar activada. |
Usar cifrado de hardware (Windows 8 y versiones posteriores) |
Si se selecciona la casilla de verificación, la aplicación implementa cifrado del hardware. Esto le permite aumentar la velocidad de cifrado y usar menos recursos del equipo. |
Cifrar solo el espacio de disco usado (Windows 8 y versiones posteriores) |
Esta casilla habilita/deshabilita la opción que limita el área del cifrado solo con sectores del disco duro ocupados. Este límite le permite reducir el tiempo de cifrado. Habilitar o deshabilitar la función Cifrar solo el espacio de disco usado (reduce el tiempo de cifrado) después de iniciar el cifrado no modifica esta configuración hasta que se descifran los discos duros. Debe seleccionar o deshabilitar la casilla de verificación antes de iniciar el cifrado. Si se selecciona la casilla de verificación, solo se cifran partes del disco duro que contienen archivos. Kaspersky Endpoint Security cifra automáticamente nuevos datos a medida que se agregan. Si se desactiva la casilla de verificación, se cifra todo el disco duro, incluidos fragmentos residuales de archivos eliminados y modificados anteriormente. Esta opción se recomienda para discos duros nuevos cuyos datos no se han modificado o eliminado. Si está aplicando el cifrado a un disco duro que ya está en uso, le recomendamos que cifre todo el disco. Esto asegura la protección de todos los datos, incluso los datos eliminados que son potencialmente recuperables. Esta casilla está desactivada por defecto. |
Método de autenticación |
Solo contraseña (Windows 8 y versiones posteriores) Si se selecciona esta opción, Kaspersky Endpoint Security le solicita al usuario una contraseña cuando intenta acceder a una unidad cifrada. Esta opción se puede seleccionar cuando no se está utilizando un Módulo de plataforma segura (TPM). Módulo de plataforma segura (TPM) Si se selecciona esta opción, BitLocker usa un Módulo de plataforma segura (TPM). Un módulo de plataforma segura (TPM) es un microchip que ofrece funciones de seguridad fundamentales (entre ellas, la capacidad de almacenar claves de cifrado). Suele haber un Módulo de plataforma segura instalado en la placa madre del equipo y este módulo interactúa con todos los demás componentes del sistema a través del bus de hardware. En equipos con Windows 7 o Windows Server 2008 R2, solo es posible utilizar el cifrado con módulo TPM. El cifrado BitLocker no está disponible en equipos que no cuentan con este módulo. No es posible utilizar una contraseña en tales equipos. Un dispositivo equipado con un Módulo de plataforma segura puede crear claves de cifrado que solo se pueden descifrar con el dispositivo. Un Módulo de plataforma segura cifra claves de cifrado con su propia clave de almacenamiento raíz. La clave de almacenamiento raíz se almacena dentro del Módulo de plataforma segura. Esto proporciona un nivel adicional de protección contra intentos de ataque a claves de cifrado. Esta acción está seleccionada de forma predeterminada. Puede establecer una capa de protección adicional para acceder a la clave de cifrado, y cifrar la clave con una contraseña o PIN:
|
Recrear automáticamente clave de recuperación (días) |
Actualice automáticamente la contraseña para restaurar el acceso a una unidad protegida con BitLocker. Si se selecciona la casilla de verificación, especifique el período de validez de la contraseña con clave de recuperación. Esto ayuda a prevenir la reutilización de la contraseña con clave de recuperación. |