Administración de cifrado

Esta sección incluye información sobre el cifrado de dispositivos administrados.

Esta función solo está disponible si activó Kaspersky Next con una licencia de Kaspersky Next EDR Optimum o XDR Expert.

Acerca de la Administración de cifrado

Kaspersky Next le permite configurar el cifrado de dispositivos administrados con Windows y macOS. El cifrado impide que otros usuarios accedan de manera no autorizada a datos almacenados en el dispositivo del usuario.

Esta función solo está disponible si activó Kaspersky Next con una licencia de Kaspersky Next EDR Optimum o XDR Expert.

Dispositivos que ejecutan Windows se cifran con Cifrado de unidad BitLocker. BitLocker es una tecnología que es parte del sistema operativo Windows. Kaspersky Endpoint Security para Windows cifra todas las particiones lógicas de los discos duros de un dispositivo de forma simultánea. Las claves de recuperación se almacenan en la infraestructura de Kaspersky Next.

El cifrado se admite en Kaspersky Endpoint Security para Windows a partir del Service Pack 2 de la versión 10.

No recomendamos que mueva un disco duro de un dispositivo cifrado a otro dispositivo. De lo contrario, puede perder la capacidad de utilizar la clave de recuperación para obtener acceso si el usuario olvida la contraseña.

Los dispositivos que se ejecutan en macOS se cifran con la función de cifrado del disco FileVault. Al iniciar el cifrado FileVault para el dispositivo desde Kaspersky Endpoint Security Cloud, Kaspersky Endpoint Security para Mac le solicita al usuario que introduzca las credenciales. El cifrado del disco solo se inicia después de que el usuario proporciona las credenciales y se reinicie el dispositivo. Las claves de recuperación se almacenan en la infraestructura de Kaspersky Next.

El cifrado se admite en Kaspersky Endpoint Security for Mac a partir de la versión 11.

Puede habilitar el cifrado en varios perfiles de seguridad al mismo tiempo y definir configuraciones de cifrado idénticas para ellos. Más adelante, si es necesario, puede editar la configuración de cifrado en cada perfil de seguridad por separado; esto incluye cifrar o descifrar los dispositivos. También puede ver el informe sobre cifrado.

Para ayudar a un usuario que ha olvidado la contraseña de acceso a un dispositivo Windows cifrado por BitLocker, puede enviarle la clave de recuperación.

Puede descifrar algunos de los dispositivos de sus usuarios, sin desactivtar la administración del cifrado. Si ya no necesita administrar el cifrado de los dispositivos de los usuarios, puede deshabilitar el cifrado.

Habilitación del cifrado

Puede habilitar el cifrado en varios perfiles de seguridad al mismo tiempo y definir configuraciones de cifrado idénticas para ellos. El procedimiento exacto depende del sistema operativo de los dispositivos para los que desea habilitar el cifrado.

Habilitación del cifrado de dispositivos que ejecutan Windows

El cifrado real de los dispositivos protegidos comienza solo después de completar el procedimiento descrito en esta sección.

Para habilitar el cifrado de dispositivos que ejecutan Windows:

1. Abra la Consola de administración de Kaspersky Next.
2. Seleccione la sección Administración de la seguridad → Cifrado.

   La ventana Uso del cifrado en dispositivos que se muestra le permite habilitar y deshabilitar el cifrado en los perfiles de seguridad e ir a la lista de informes.

3. Haga clic en el botón Habilitar cifrado para Windows

   El botón está disponible solo si hay al menos un perfil de seguridad en el que aún no se habilitó el cifrado de dispositivos que ejecutan Windows.

   Se abre la ventana Habilitar la Administración de cifrado para dispositivos que ejecutan Windows.

4. Seleccione las casillas de verificación al lado de los nombres del perfil de seguridad en los que desea habilitar el cifrado.

   La lista contiene solo aquellos perfiles de seguridad en los que aún no se habilitó el cifrado.

5. Haga clic en el botón Habilitar la Administración de cifrado.
6. Defina la configuración de cifrado:
   1. Si desea activar el módulo de cifrado sin enviar el comando real para cifrar los dispositivos de sus usuarios, seleccione la opción Descifrar dispositivos.

      Por defecto, la opción Cifrar dispositivos está seleccionada.

   2. Si desea utilizar el cifrado de hardware, ponga el conmutador en la posición Cifrado de hardware. Si esta opción está deshabilitada, se usa el cifrado por software.

      El cifrado de hardware le permite aumentar la velocidad de cifrado y usar menos recursos del equipo.

   3. Si desea habilitar la autenticación mediante el
      Módulo de plataforma segura (TPM)

      Un microchip desarrollado para ofrecer funciones básicas relacionadas con la seguridad (por ejemplo, para almacenar claves de cifrado). Por lo general, TPM se instala en la placa madre del equipo e interactúa con todos los otros componentes del sistema a través del bus de hardware.

      Un microchip desarrollado para ofrecer funciones básicas relacionadas con la seguridad (por ejemplo, para almacenar claves de cifrado). Por lo general, TPM se instala en la placa madre del equipo e interactúa con todos los otros componentes del sistema a través del bus de hardware.

      , ponga el conmutador en Autenticación mediante el Módulo de plataforma segura (TPM).
   4. Si habilitó la opción Autenticación mediante el Módulo de plataforma segura (TPM) durante el paso anterior, haga clic en el enlace Configuraciónen la sección Autenticación mediante el Módulo de plataforma segura (TPM).

      Se abre la ventana de Configuración de la autenticación del Módulo de plataforma de confianza (TPM).

   5. Si desea configurar un código PIN que se solicitará cuando el usuario intente obtener acceso a una clave de cifrado, habilite la opción Usar PIN cuando esté disponible. En el campo Longitud mínima del PIN (dígitos), puede especificar la cantidad mínima de dígitos que debe tener un código PIN.

      Se utilizará un código PIN para obtener acceso a las claves de cifrado almacenadas en TPM, si TPM está disponible en el dispositivo.

   6. Si desea acceder a las claves de cifrado en caso de que TPM no esté disponible en el dispositivo, habilite la opción Autorización mediante el uso de una contraseña (si no tiene TPM o si TPM tiene fallas). En el campo Longitud mínima de la contraseña (caracteres), puede especificar la cantidad mínima de caracteres que debe tener una contraseña.

      El acceso a las claves de cifrado se protegerá con contraseña.

      En los dispositivos que ejecutan Windows 7 y Windows Server 2008 R2, solo está disponible el cifrado mediante TPM. Si el módulo TPM no está instalado en dichos dispositivos, no se pueden cifrar. El uso de una contraseña no es compatible con estos dispositivos.

   7. Si desea habilitar la autenticación BitLocker en el entorno previo al arranque en tabletas, active el botón de alternancia Habilitar el uso de autenticación BitLocker en tabletas con Windows.

      La pantalla táctil de las tabletas no está disponible en el entorno de prearranque. Para completar la autenticación de BitLocker en tabletas, el usuario debe, por ejemplo, conectar un teclado USB.

7. Haga clic en Siguiente para continuar.
8. Consulte la lista de perfiles de seguridad en los que desea habilitar el cifrado y la configuración de cifrado que definió.
9. Haga clic en el botón Aplicar.

El cifrado está habilitado en los perfiles de seguridad seleccionados con la configuración definida.

Posteriormente, si es necesario, puede editar la configuración de cifrado en cada perfil de seguridad por separado.

El cifrado y descifrado de dispositivos puede demorar mucho tiempo. Puede utilizar el informe Estado del cifrado de los dispositivos para ver el estado de cifrado actual.

Principio de página

Habilitación del cifrado de dispositivos que ejecutan macOS

El cifrado real de los dispositivos protegidos comienza solo después de completar el procedimiento descrito en esta sección.

Para habilitar el cifrado en dispositivos que ejecutan macOS:

1. Abra la Consola de administración de Kaspersky Next.
2. Seleccione la sección Administración de la seguridad → Cifrado.

   La ventana Uso del cifrado en dispositivos que se muestra le permite habilitar y deshabilitar el cifrado en los perfiles de seguridad e ir a la lista de informes.

3. Haga clic en el botón Habilitar cifrado for macOS.

   El botón está disponible solo si hay al menos un perfil de seguridad en el que aún no se habilitó el cifrado de dispositivos que ejecutan macOS.

   Se abre la ventana Habilitar la Administración de cifrado para dispositivos que ejecutan macOS.

4. Seleccione las casillas de verificación al lado de los nombres del perfil de seguridad en los que desea habilitar el cifrado.

   La lista contiene solo aquellos perfiles de seguridad en los que aún no se habilitó el cifrado.

5. Haga clic en el botón Habilitar la Administración de cifrado.
6. Si desea activar el módulo de cifrado sin enviar el comando real para cifrar los dispositivos de sus usuarios, seleccione la opción Descifrar dispositivos.

   La opción Cifrar dispositivos está preseleccionada.

7. Haga clic en Siguiente para continuar.
8. Consulte la lista de perfiles de seguridad en los que desea habilitar el cifrado y la configuración de cifrado que definió.
9. Haga clic en el botón Aplicar.

El cifrado está habilitado en los perfiles de seguridad seleccionados con la configuración definida.

Posteriormente, si es necesario, puede editar la configuración de cifrado en cada perfil de seguridad por separado.

El cifrado y descifrado de dispositivos puede demorar mucho tiempo. Puede utilizar el informe Estado del cifrado de los dispositivos para ver el estado de cifrado actual.

Principio de página

Editar la configuración del cifrado

Después de activar el cifrado en varios perfiles de seguridad al mismo tiempo, puede editar la configuración de cifrado en cada perfil de seguridad por separado, como se describe en esta sección.

Editar el cifrado de dispositivos Windows

Para editar el cifrado de dispositivos que ejecutan Windows:

1. Abra la Consola de administración de Kaspersky Next.
2. Seleccione la sección Administración de la seguridad → Perfiles de seguridad.

   La sección Perfiles de seguridad contiene una lista de perfiles de seguridad configurados en Kaspersky Next.

3. En la lista, seleccione el perfil de seguridad aplicado a los dispositivos en los cuales quiera configurar el cifrado.
4. Haga clic en el enlace con el nombre del perfil para abrir la ventana de propiedades del perfil de seguridad.

   En la ventana de propiedades del perfil de seguridad, se muestra la configuración disponible para todos los dispositivos.

5. En el grupo Windows, seleccione la sección Configuración de administración → Cifrado.
6. Si desea desactivar el módulo de cifrado sin enviar el comando real para cifrar o descifrar los dispositivos de sus usuarios, ponga el conmutador en la posición Administración de cifrado está deshabilitada. Esto puede resultar útil si utiliza una herramienta de cifrado de terceros.
7. Realice alguna de las siguientes acciones:
   • Para cifrar los dispositivos de los usuarios, seleccione la opción Cifrar dispositivos.
   • Para descifrar los dispositivos de sus usuarios, seleccione la opción Descifrar dispositivos.
8. Haga clic en el vínculo Configuración.
9. Edite los ajustes del cifrado según sea necesario:
   1. Si desea utilizar el cifrado de hardware, ponga el conmutador en la posición Cifrado de hardware. Si esta opción está deshabilitada, se usa el cifrado por software.

      El cifrado de hardware le permite aumentar la velocidad de cifrado y usar menos recursos del equipo.

   2. Si desea habilitar la autenticación mediante el Módulo de plataforma segura (TPM), ponga el conmutador en Autenticación mediante el Módulo de plataforma segura (TPM).
   3. Si habilitó la opción Autenticación mediante el Módulo de plataforma segura (TPM) durante el paso anterior, haga clic en el enlace Configuraciónen la sección Autenticación mediante el Módulo de plataforma segura (TPM).

      Se abre la ventana de Configuración de la autenticación del Módulo de plataforma de confianza (TPM).

   4. Si desea configurar un código PIN que se solicitará cuando el usuario intente obtener acceso a una clave de cifrado, habilite la opción Usar PIN cuando esté disponible. En el campo Longitud mínima del PIN (dígitos), puede especificar la cantidad mínima de dígitos que debe tener un código PIN.

      Se utilizará un código PIN para obtener acceso a las claves de cifrado almacenadas en TPM, si TPM está disponible en el dispositivo.

   5. Si desea acceder a las claves de cifrado en caso de que TPM no esté disponible en el dispositivo, habilite la opción Autorización mediante el uso de una contraseña (si no tiene TPM o si TPM tiene fallas). En el campo Longitud mínima de la contraseña (caracteres), puede especificar la cantidad mínima de caracteres que debe tener una contraseña.

      El acceso a las claves de cifrado se protegerá con contraseña.

      En los dispositivos que ejecutan Windows 7 y Windows Server 2008 R2, solo está disponible el cifrado mediante TPM. Si el módulo TPM no está instalado en dichos dispositivos, no se pueden cifrar. El uso de una contraseña no es compatible con estos dispositivos.

   6. Si desea habilitar la autenticación BitLocker en el entorno previo al arranque en tabletas, active el botón de alternancia Habilitar el uso de autenticación BitLocker en tabletas con Windows.

      La pantalla táctil de las tabletas no está disponible en el entorno de prearranque. Para completar la autenticación de BitLocker en tabletas, el usuario debe, por ejemplo, conectar un teclado USB.

10. Haga clic en el botón Guardar.

Se guardará la configuración del cifrado especificada.

El cifrado y descifrado de dispositivos puede demorar mucho tiempo. Puede utilizar el informe Estado del cifrado de los dispositivos para ver el estado de cifrado actual.

Editar el cifrado de dispositivos Mac

Para editar el cifrado de dispositivos que ejecutan macOS:

1. Abra la Consola de administración de Kaspersky Next.
2. Seleccione la sección Administración de la seguridad → Perfiles de seguridad.

   La sección Perfiles de seguridad contiene una lista de perfiles de seguridad configurados en Kaspersky Next.

3. En la lista, seleccione el perfil de seguridad aplicado a los dispositivos en los cuales quiera configurar el cifrado.
4. Haga clic en el enlace con el nombre del perfil para abrir la ventana de propiedades del perfil de seguridad.

   En la ventana de propiedades del perfil de seguridad, se muestra la configuración disponible para todos los dispositivos.

5. En el grupo Mac, seleccione la sección Configuración de administración → Cifrado.
6. Si desea desactivar el módulo de cifrado sin enviar el comando real para cifrar o descifrar los dispositivos de sus usuarios, ponga el conmutador en la posición Administración de cifrado está deshabilitada. Esto puede resultar útil si utiliza una herramienta de cifrado de terceros.
7. Realice alguna de las siguientes acciones:
   • Para cifrar los dispositivos de los usuarios, seleccione la opción Cifrar dispositivos.
   • Para descifrar los dispositivos de sus usuarios, seleccione la opción Descifrar dispositivos.
8. Haga clic en el botón Guardar.

Se guardará la configuración del cifrado especificada.

El cifrado y descifrado de dispositivos puede demorar mucho tiempo. Puede utilizar el informe Estado del cifrado de los dispositivos para ver el estado de cifrado actual.

Recuperar el acceso a un dispositivo cifrado

Si un usuario olvidó una contraseña para acceder a un dispositivo de Windows cifrado por BitLocker o a un dispositivo macOS cifrado por FileVault, puede brindarle ayuda enviándole la clave de recuperación.

Para recuperar el acceso a un dispositivo protegido por BitLocker o FileVault, haga lo siguiente:

1. Solicite al usuario que le diga el id. de la clave de recuperación que aparece en la ventana de solicitud de la clave de recuperación.
2. En Kaspersky Next, abra las propiedades del dispositivo al que el usuario desea recuperar acceso.

   En la ventana de propiedades del dispositivo, se muestran todas las claves de recuperación a las que el dispositivo puede acceder.

3. Verifique que el id. de la clave de recuperación proporcionado por el usuario sea el mismo que se muestra en las propiedades del dispositivo.
4. Si los id. de la clave de recuperación son los mismos, dígale al usuario la clave de recuperación que también se muestra en las propiedades del dispositivo.

El usuario ingresa la clave de recuperación y obtiene acceso al dispositivo.

Descifrar dispositivos

Puede descifrar algunos de los dispositivos de sus usuarios sin desactivar la administración del cifrado. Por ejemplo, siga este procedimiento antes de eliminar dispositivos cifrados.

Como alternativa, puede desactivar el cifrado. En este caso también se descifrarán los dispositivos.

Para descifrar dispositivos:

1. Cree un perfil de seguridad aparte en el que el cifrado de dispositivos esté desactivado. O bien, puede editar un perfil existente.

   Si dicho perfil de seguridad ya existe, omita este paso.

2. Asigne el perfil de seguridad del paso anterior a los usuarios cuyos dispositivos desea descifrar.

Kaspersky Next inicia el descifrado de los dispositivos que pertenecen a los usuarios seleccionados.

El cifrado y descifrado de dispositivos puede demorar mucho tiempo. Puede utilizar el informe Estado del cifrado de los dispositivos para ver el estado de cifrado actual.

Principio de página

Deshabilitación del cifrado

Si ya no necesita administrar el cifrado de los dispositivos de los usuarios, puede desactivar el cifrado, como se describe en esta sección. Los dispositivos también se descifrarán.

Como alternativa, puede descifrar dispositivos sin desactivar el cifrado.

Desactivar el cifrado mediante la lista de perfiles de seguridad

Para desactivar el cifrado mediante la lista de perfiles de seguridad:

1. Abra la Consola de administración de Kaspersky Next.
2. Seleccione la sección Administración de la seguridad → Perfiles de seguridad.

   La sección Perfiles de seguridad contiene una lista de perfiles de seguridad configurados en Kaspersky Next.

3. En la lista, seleccione el perfil de seguridad requerido.
4. Haga clic en el enlace con el nombre del perfil para abrir la ventana de propiedades del perfil de seguridad.

   En la ventana de propiedades del perfil de seguridad, se muestra la configuración disponible para todos los dispositivos.

5. Según el sistema operativo de los dispositivos para los que desee deshabilitar el cifrado, realice una de las siguientes acciones:
   • En el grupo Windows, seleccione la sección Configuración de administración → Cifrado.
   • En el grupo Mac, seleccione la sección Configuración de administración → Cifrado.
6. Seleccione la opción Descifrar dispositivos.
7. Ponga el conmutador en la posición Administración de cifrado está deshabilitada.
8. Haga clic en el botón Guardar para guardar los cambios.
9. Si es necesario, repita los pasos anteriores para otro perfil de seguridad.

El cifrado se desactiva en los perfiles de seguridad seleccionados. Comienza el descifrado de los dispositivos de los usuarios.

El cifrado y descifrado de dispositivos puede demorar mucho tiempo. Puede utilizar el informe Estado del cifrado de los dispositivos para ver el estado de cifrado actual.

Desactivar el cifrado mediante la ventana de gestión del cifrado

Para desactivar el cifrado mediante la ventana de administración de cifrado:

1. Abra la Consola de administración de Kaspersky Next.
2. Seleccione la sección Administración de la seguridad → Cifrado.

   La ventana Uso del cifrado en dispositivos que se muestra le permite habilitar y deshabilitar el cifrado en los perfiles de seguridad e ir a la lista de informes.

3. Haga clic en el enlace junto a La Administración de cifrado está habilitada en los perfiles.

   La ventana Información del estado de cifrado que aparece contiene la lista de perfiles de seguridad en los que se habilitó el cifrado para dispositivos que ejecutan Windows o macOS.

4. Haga clic en Deshabilitar cifrado junto al perfil de seguridad requerido.
5. Si es necesario, repita el paso anterior para otro perfil de seguridad.
6. Haga clic en el botón Aceptar para cerrar la ventana Información del estado de cifrado.

El cifrado se desactiva en los perfiles de seguridad seleccionados. Comienza el descifrado de los dispositivos de los usuarios.

El cifrado y descifrado de dispositivos puede demorar mucho tiempo. Puede utilizar el informe Estado del cifrado de los dispositivos para ver el estado de cifrado actual.

Principio de página