para Windows y macOS
Cifrado de unidad BitLocker para Windows
BitLocker es una tecnología de cifrado integrada en los sistemas operativos Windows. Kaspersky Endpoint Security le permite controlar y administrar BitLocker utilizando Kaspersky Security Center. BitLocker cifra los volúmenes lógicos. BitLocker no se puede utilizar para el cifrado de unidades extraíbles. Para obtener detalles sobre AMSI, consulte la Documentación de Microsoft.
Al cifrar el disco, BitLocker coloca el cargador de arranque y otros archivos auxiliares en la partición del sistema. Esta partición no está cifrada. El sistema operativo crea la partición del sistema automáticamente durante la instalación de Windows. Si el disco está completamente particionado antes de instalar Windows, el sistema operativo no puede crear una partición del sistema. En este caso, cuando inicia el cifrado de disco de BitLocker, el sistema operativo solicita al usuario que vuelva a particionar el disco y cree una partición del sistema. Después de crear una partición del sistema, el sistema operativo inicia el cifrado de BitLocker.
BitLocker proporciona almacenamiento seguro de claves de acceso utilizando un módulo de plataforma segura. Un módulo de plataforma segura (TPM) es un microchip desarrollado para proporcionar funciones básicas relacionadas con la seguridad (por ejemplo, para almacenar claves de cifrado). Un módulo de plataforma segura se suele instalar en la placa base del equipo e interactúa con todos los otros componentes del sistema a través del bus de hardware. Usar TPM es la forma más segura de almacenar las claves de acceso de BitLocker, ya que TPM proporciona verificación de la integridad del sistema antes del arranque del sistema operativo. Pero también es posible cifrar unidades en un equipo que no cuenta con TPM. En este caso, la clave de acceso se cifrará con una contraseña. BitLocker utiliza los siguientes métodos de autenticación:
Después de cifrar el disco duro del sistema, el usuario debe pasar por el procedimiento de autenticación de BitLocker para iniciar el sistema operativo. Después del procedimiento de autenticación, BitLocker permitirá que los usuarios inicien sesión. BitLocker no admite la tecnología Single Sign-On (SSO).
Después de cifrar una unidad, BitLocker crea una clave maestra. Kaspersky Endpoint Security envía la clave maestra a Kaspersky Security Center para que pueda restaurar el acceso al disco, por ejemplo, si un usuario ha olvidado la contraseña.
Si un usuario cifra un disco con BitLocker, Kaspersky Endpoint Security enviará información sobre el cifrado de disco a la consola de Kaspersky Next. Sin embargo, Kaspersky Endpoint Security no enviará la clave maestra a la infraestructura de Kaspersky Next, por lo que será imposible restaurar el acceso al disco. Para que BitLocker funcione correctamente con la infraestructura de Kaspersky Next, descifre la unidad y vuelva a cifrarla utilizando una directiva. Puede descifrar una unidad de manera local o usar una directiva.
Si está utilizando directivas de grupo de Windows, desactive la administración de BitLocker en la configuración de directivas. La configuración de directivas de Windows puede entrar en conflicto con la configuración de directivas de Kaspersky Endpoint Security. Al cifrar una unidad, pueden producirse errores.
Cifrado de disco FileVault para macOS
Kaspersky Endpoint Security permite administrar el cifrado de FileVault de forma remota. El cifrado evita que usuarios no autorizados accedan a datos confidenciales almacenados en el disco de inicio del ordenador del usuario.
Cuando un administrador inicia el cifrado de FileVault de un dispositivo a través de la consola de Kaspersky Next, Kaspersky Endpoint Security solicita que un usuario de dicho dispositivo introduzca sus credenciales. El cifrado de disco se inicia solo después de que el usuario proporcione las credenciales, el ordenador se reinicie y pasen 30 minutos desde que se recibió la configuración de la directiva en el ordenador. El intervalo mínimo entre las solicitudes de credenciales también es de 30 minutos.
Para impedir que el usuario descifre el disco de inicio de un ordenador cuando el cifrado de FileVault está activado, el administrador debe usar JAMF para implementar un perfil de MDM que prohíba el descifrado de disco. Para descifrar el disco de inicio de un ordenador con un perfil de MDM que prohíbe el descifrado del disco, el administrador primero debe eliminar el perfil.
Si la administración del cifrado de FileVault no está activada en la consola de Kaspersky Next, los usuarios con derechos de administrador pueden cifrar y descifrar los discos del ordenador desde Configuración del sistema. Para obtener más información sobre FileVault, consulte la documentación de Apple.
Si el ordenador tiene varias cuentas de ordenador, el cifrado de FileVault hace que el disco sea inaccesible para todos los usuarios, con la excepción del usuario que introdujo sus credenciales.
Configuración de cifrado de datos para Pro View
Parámetro |
SO |
Descripción |
|---|---|---|
Acción en los dispositivos |
|
Cifrar todos los discos duros. Si se selecciona este elemento, la aplicación cifra todos los discos duros cuando se aplica la directiva. Descifrar todos los discos duros. Si se selecciona este elemento, la aplicación descifra todas las unidades de disco duro cifradas previamente cuando se aplica la directiva. |
Utilizar el cifrado por hardware |
|
Si se selecciona, la aplicación utiliza el cifrado basado en hardware, Le permite aumentar la velocidad de cifrado y usar menos recursos del equipo. |
Uso de la autenticación de BitLocker en tabletas Windows |
|
Uso de la autenticación que requiere la entrada de datos en un entorno de prearranque, incluso si la plataforma no tiene la capacidad de entrada de prearranque (por ejemplo, con los teclados de la pantalla táctil de las tabletas). La pantalla táctil de las tabletas no está disponible en el entorno de prearranque. Para completar la autenticación BitLocker en tabletas, el usuario debe conectar un teclado USB, por ejemplo. Si selecciona, se permite el uso de la autenticación que requiere la entrada de prearranque en las tabletas. Se recomienda utilizar esta configuración solo en dispositivos con herramientas alternativas de entrada de datos en un entorno de prearranque, como un teclado USB, además de los teclados de la pantalla táctil. Si se desactiva, el Cifrado de unidad BitLocker no es posible en tabletas. |
Método de autenticación |
|
Módulo de plataforma segura (TPM). Si se selecciona esta opción, BitLocker utiliza el módulo de plataforma segura (TPM). Un módulo de plataforma segura (TPM) es un microchip desarrollado para proporcionar funciones básicas relacionadas con la seguridad (por ejemplo, para almacenar claves de cifrado). Un módulo de plataforma segura se suele instalar en la placa base del equipo e interactúa con todos los otros componentes del sistema a través del bus de hardware. En equipos con Windows 7 o Windows Server 2008 R2, solo es posible utilizar el cifrado con módulo TPM. El cifrado BitLocker no está disponible en equipos que no cuentan con este módulo. No es posible utilizar una contraseña en tales equipos. Un dispositivo equipado con un módulo de plataforma segura puede crear claves de cifrado que solo con dicho dispositivo se pueden descifrar. El módulo de plataforma segura cifra las claves de cifrado con su propia clave raíz de almacenamiento. La clave raíz de almacenamiento se guarda en el módulo de plataforma segura, lo que proporciona un nivel adicional de protección contra los intentos de piratear las claves de cifrado. Esta acción está seleccionada de forma predeterminada. Contraseña. Si se selecciona esta opción, Kaspersky Endpoint Security solicita una contraseña al usuario cada vez que este intenta acceder a la unidad cifrada. Se puede seleccionar cuando el módulo de plataforma segura (TPM) no se está utilizando. Módulo de plataforma segura (TPM), o contraseña si el TPM no está disponible. Si se selecciona esta opción, el usuario podrá utilizar una contraseña para acceder a claves de cifrado cuando el módulo de plataforma segura (TPM) no esté disponible. Si no se seleccionó la casilla de verificación y el módulo TPM no está disponible, no comenzará el cifrado de disco completo. Utilizar PIN para el TPM. Si esta casilla de verificación está seleccionada, un usuario puede utilizar un código PIN para obtener acceso a una clave de cifrado almacenada en el módulo de plataforma segura (TPM). Si la casilla no está seleccionada, se prohíbe a los usuarios utilizar códigos PIN. Para acceder a la clave de cifrado, un usuario debe introducir la contraseña. |