para Windows y macOS
Cifrado de unidad BitLocker para Windows
BitLocker es una tecnología de cifrado que forma parte de los sistemas operativos Windows. Kaspersky Endpoint Security le permite controlar y administrar BitLocker a través de la infraestructura de Kaspersky Next. La tecnología BitLocker está diseñada para cifrar volúmenes lógicos. No puede utilizarse para cifrar unidades extraíbles. Para obtener detalles sobre AMSI, consulte la Documentación de Microsoft.
Al cifrar el disco, BitLocker coloca el cargador de arranque y otros archivos auxiliares en la partición del sistema. Esta partición no está cifrada. El sistema operativo crea la partición del sistema automáticamente durante la instalación de Windows. Si todo el disco está particionado antes de instalar Windows, el sistema operativo no podrá crear una partición del sistema. En este caso, cuando inicie el cifrado de disco BitLocker, el sistema operativo le pide al usuario que vuelva a particionar el disco y cree una partición del sistema. Después de crear una partición del sistema, el sistema operativo inicia el cifrado BitLocker.
Las claves de acceso de BitLocker pueden almacenarse de manera segura utilizando un TPM (módulo de plataforma segura). Un módulo de plataforma segura (TPM) es un microchip que ofrece funciones de seguridad fundamentales (entre ellas, la capacidad de almacenar claves de cifrado). Suele haber un Módulo de plataforma segura instalado en la placa madre del equipo y este módulo interactúa con todos los demás componentes del sistema a través del bus de hardware. Usar TPM es la forma más segura de almacenar las claves de acceso de BitLocker, ya que TPM proporciona verificación de la integridad del sistema antes del arranque del sistema operativo. Pero también es posible cifrar unidades en un equipo que no cuenta con TPM. En este caso, la clave de acceso se cifrará con una contraseña. BitLocker permite emplear los siguientes métodos de autenticación:
Cuando la unidad del sistema está cifrada, el usuario debe superar la autenticación de BitLocker para iniciar el sistema operativo. Después del procedimiento de autenticación, BitLocker permitirá que los usuarios inicien sesión. BitLocker no admite la tecnología Single Sign-On (SSO).
Después de cifrar una unidad, BitLocker crea una clave maestra. Kaspersky Endpoint Security envía la clave maestra a la infraestructura de Kaspersky Next para que pueda restaurar el acceso al disco, por ejemplo, si un usuario olvidó la contraseña.
Si un usuario cifra un disco con BitLocker, Kaspersky Endpoint Security enviará información sobre el cifrado de disco a la consola de Kaspersky Next. Sin embargo, Kaspersky Endpoint Security no enviará la clave maestra a la infraestructura de Kaspersky Next, por lo que no será posible restaurar el acceso al disco. Para que BitLocker funcione correctamente con la infraestructura de Kaspersky Next será necesario descifrar la unidad y utilizar una directiva para volver a cifrarla. El descifrado se puede realizar localmente o con una directiva.
Si está utilizando directivas de grupo de Windows, desactive la administración de BitLocker en la configuración de directivas. Las directivas de Windows pueden interferir con las de Kaspersky Security Center. Tales interferencias pueden derivar en errores de cifrado.
Cifrado de disco FileVault para macOS
Kaspersky Endpoint Security permite administrar el cifrado de FileVault de forma remota. El cifrado evita que usuarios no autorizados accedan a datos confidenciales almacenados en el disco de inicio del equipo del usuario.
Cuando un administrador inicia el cifrado FileVault de un equipo de la consola de Kaspersky Next, Kaspersky Endpoint Security solicita que un usuario de dicho equipo ingrese sus credenciales. El cifrado de disco se inicia solo después de que el usuario proporcione las credenciales, el equipo se reinicie y pasen 30 minutos desde que se recibió la configuración de la directiva en el equipo. El intervalo mínimo entre las solicitudes de credenciales también es de 30 minutos.
Para impedir que el usuario descifre el disco de inicio de una computadora cuando el cifrado de FileVault está activado, el administrador debe usar JAMF para implementar un perfil de MDM que prohíba el descifrado de disco. Para descifrar el disco de inicio de una computadora con un perfil de MDM que prohíbe el descifrado del disco, el administrador primero debe eliminar el perfil.
Si la administración del cifrado FileVault no está habilitada en la consola de Kaspersky Next, los usuarios con derechos de administrador pueden cifrar y descifrar los discos del equipo desde Configuración del sistema. Para obtener más información sobre FileVault, consulte la documentación de Apple.
Si la computadora tiene varias cuentas de equipo, el cifrado de FileVault hace que el disco sea inaccesible para todos los usuarios, con la excepción del usuario que ingresó sus credenciales.
Configuración de cifrado de datos para Pro View
Parámetro |
SO |
Descripción |
|---|---|---|
Acción en los dispositivos |
|
Cifrar todos los discos duros. Si selecciona este elemento, cuando se aplique la directiva, la aplicación cifrará todos los discos duros. Descifrar todos los discos duros. Si selecciona este elemento, cuando se aplique la directiva, la aplicación descifrará todos los discos duros que se encuentren cifrados. |
Utilizar el cifrado por hardware |
|
Si se selecciona la casilla de verificación, la aplicación implementa cifrado del hardware. Esto le permite aumentar la velocidad de cifrado y usar menos recursos del equipo. |
Uso de la autenticación BitLocker en tabletas Windows |
|
Usar la autenticación que requiere el ingreso de datos en un entorno previo al inicio del sistema, aun si la plataforma no tiene la capacidad de ingreso previo al inicio del sistema (por ejemplo, con teclados de pantalla táctil en tabletas). La pantalla táctil de las tabletas no está disponible en el entorno de prearranque. Para completar la autenticación de BitLocker en tabletas, el usuario debe, por ejemplo, conectar un teclado USB. Si se selecciona la casilla de verificación, se permite el uso de la autenticación que requiere ingreso previo al inicio del sistema. Se recomienda usar esta configuración solo para dispositivos que tienen herramientas alternativas de ingreso de datos en un entorno previo al inicio del sistema, como ser, un teclado USB además de teclados de pantalla táctil. Para poder usar la tecnología Cifrado de unidad BitLocker en una tableta, esta casilla debe estar activada. |
Método de autenticación |
|
Módulo de plataforma segura (TPM). Si se selecciona esta opción, BitLocker usa un Módulo de plataforma segura (TPM). Un módulo de plataforma segura (TPM) es un microchip que ofrece funciones de seguridad fundamentales (entre ellas, la capacidad de almacenar claves de cifrado). Suele haber un Módulo de plataforma segura instalado en la placa madre del equipo y este módulo interactúa con todos los demás componentes del sistema a través del bus de hardware. En equipos con Windows 7 o Windows Server 2008 R2, solo es posible utilizar el cifrado con módulo TPM. El cifrado BitLocker no está disponible en equipos que no cuentan con este módulo. No es posible utilizar una contraseña en tales equipos. Un dispositivo equipado con un Módulo de plataforma segura puede crear claves de cifrado que solo se pueden descifrar con el dispositivo. Un Módulo de plataforma segura cifra claves de cifrado con su propia clave de almacenamiento raíz. La clave de almacenamiento raíz se almacena dentro del Módulo de plataforma segura. Esto proporciona un nivel adicional de protección contra intentos de ataque a claves de cifrado. Esta acción está seleccionada por defecto. Contraseña. Si se selecciona esta opción, Kaspersky Endpoint Security le solicita al usuario una contraseña cuando intenta acceder a una unidad cifrada. Esta opción se puede seleccionar cuando no se está utilizando un Módulo de plataforma segura (TPM). Módulo de plataforma segura (TPM), o contraseña si el TPM no se encuentra disponible. Si se selecciona esta opción, el usuario puede usar una contraseña para obtener acceso a claves de cifrado cuando un módulo de plataforma segura (TPM) no está disponible. Si desactiva esta casilla y no hay un módulo TPM disponible, la función de cifrado de disco completo no se iniciará. Usar PIN para TPM. Si esta casilla de verificación está seleccionada, un usuario puede utilizar un código PIN para obtener acceso a una clave de cifrado almacenada en el módulo de plataforma segura (TPM). Si desactiva esta casilla, los usuarios no podrán usar un código PIN. Para acceder a la clave de cifrado, deberán utilizar una contraseña. |