Sobre el cifrado de datos. Kaspersky Lab lanza Kaspersky KryptoStorage y Kaspersky Password Manager

Sin embargo, en esta revisión nos centraremos en dos aplicaciones: Kaspersky Security Center 10 y Kaspersky Endpoint Security 10 para Windows, porque Estas son las aplicaciones que se han lanzado en nuevas versiones.

Hay tres versiones de Kaspersky Security for Business: arrancador, estándar y extendido. También existe una versión de Kaspersky Total Security, que además de proteger computadoras personales y dispositivos móviles, permite proteger servidores de correo, servidores web y servidores de colaboración. La versión estándar incluye protección antivirus, firewall, escaneo de vulnerabilidades y herramientas de detección de malware utilizando tecnologías en la nube. La protección estándar se complementa con componentes de control y protección de dispositivos móviles. La licencia extendida incluye capacidades de encriptación y administración del sistema (Systems Management). Las herramientas para garantizar la seguridad de los servidores de correo, puertas de enlace de Internet y servidores de colaboración se incluyen en la versión completa (Total) de la solución propuesta (Figura 1).

Figura 1. Estructura de funcionesKasperskySeguridad para empresas en diferentes versiones

En la versión extendida, Kaspersky Endpoint Security for Business no solo es un sistema de seguridad integral, sino que también va más allá de esta clase de programas y proporciona herramientas adicionales que no son típicas de ellos. Este es un sistema de cifrado, que es uno de los componentes de protección contra el compromiso de datos (sistemas DLP) y herramientas para la administración del sistema. El resultado es una especie de híbrido que permite al administrador, a través de Kaspersky Security Center, utilizar un gran conjunto de funciones de gestión de red a través de una única herramienta.

La inclusión de herramientas de administración en el sistema de seguridad puede considerarse original, pero no deja de ser controvertida. Se le pide al administrador que abandone las utilidades y programas que ya conoce y comience a realizar las mismas funciones a través de Kaspersky Security Center. En nuestra opinión, esto puede suceder si las herramientas propuestas son significativamente más cómodas (ergonómicas) y más fiables en comparación con las que ya se utilizan. Al mismo tiempo, la solución integrada debería ser más económica que un conjunto de diferentes tipos de aplicaciones.

Requisitos del sistema

Para trabajar con varios componentes de Kaspersky Endpoint Security for Business, la computadora avanzada debe cumplir con los requisitos de hardware especificados en la Tabla 1. Los distintos componentes se ejecutan en los sistemas operativos especificados en la Tabla 2.

Tabla 1. Requisitos de hardware para varios componentes

	Procesador, GHz	RAM,GB	Espacio en disco duro, GB
	1/2*	1	1
Servidor de administración	1/1,4*	4	10
Consola de administración	1/1,4*	0,5	1
Servidor de dispositivos móviles	1/1,4*	1	1

* Para sistemas operativos de 32/64 bits

Tabla 2. Sistemas operativos compatibles

Centro de seguridad Kaspersky 10	Kaspersky Endpoint Security 10 para Windows
SO de 32 bits
Servidor Microsoft Windows 2003; Microsoft Windows Server 2008 implementado en modo Server Core, 2012; Microsoft Windows XP Profesional SP2, Vista SP1, 7 SP1, 8.	Microsoft Windows XP Professional (SP3 y superior), Vista (SP2 y superior), 7 (SP1 y superior), 8.
SO de 64 bits
Servidor Microsoft Windows 2003; Microsoft Windows Server 2008 SP1, 2008 R2, 2008 R2 implementado en modo Server Core, 2012; Microsoft Windows XP Profesional SP2, Vista SP1, 7 SP1, 8;	Microsoft Windows Vista (SP2 y superior), 7 (SP1 y superior), 8.

Cada componente también requiere las siguientes aplicaciones de software para funcionar.

Kaspersky Endpoint Security 10 paraventanas

• Microsoft Internet Explorer 7.0 o superior.
• Microsoft Windows Installer 3.0 o superior.

Servidor de administración

• Componentes de acceso a datos de Microsoft (MDAC) 2.8 o superior.
• Microsoft Windows DAC 6.0.
• Microsoft Windows Installer 4.5 (para Windows Server 2008/Windows Vista).

Sistema de gestión de bases de datos

• Microsoft SQL Server Express 2005, 2008b 2008 R2, 2012;
• Servidor Microsoft SQL 2005, 2008, 2008 R2, 2012;
• Empresa MySQL.

Consola de administración

• Microsoft Management Console 2.0 o posterior.
• MicrosoftInternet Explorer 7.0.

Consola de administración web del servidor

• Servidor web: Apache 2.2.9.
• Navegador: Internet Explorer 7, Firefox 16 o Safari 4.

Funcionalidad

Todos los componentes de seguridad se pueden dividir en tres clases: componentes de protección (tecnologías antivirus), componentes de control (control del lugar de trabajo) y herramientas de cifrado.

Los “componentes de seguridad” brindan protección contra malware y redes seguras.

Los componentes de control regulan el trabajo del usuario con programas, dispositivos conectados y navegación por Internet.

El cifrado le permite garantizar la seguridad de los datos que pueden transferirse fuera del perímetro de seguridad de la organización en varios dispositivos (computadoras portátiles, teléfonos inteligentes, unidades flash, etc.). Como resultado, podemos hablar de garantizar una protección integral de los datos en la empresa.

Tabla 3. Componentes de seguridad

Clase de componente	Componentes	Objetivo
"Componentes de protección"	Antivirus de archivos.	Proporciona análisis del sistema de archivos en tiempo real y bajo demanda en busca de malware.
	antivirus de correo	Comprueba los mensajes de correo electrónico en busca de virus y otro malware.
	antivirus web	Bloquea la ejecución de scripts maliciosos en sitios web, protege la transferencia de información a través de protocolos HTTP y FTP y también identifica direcciones web sospechosas y de phishing.
	antivirus de mensajería instantánea	Protege la transmisión de datos cuando se utilizan programas de mensajería instantánea.
	Cortafuegos	Filtra el tráfico según reglas de red específicas.
	Protección contra ataques a la red	Monitoriza y bloquea ataques a la red.
	Monitoreo de red	Proporciona información sobre la actividad de red actual de la computadora.
	Monitoreo del sistema	Recopila datos sobre toda la actividad del programa y los proporciona a todos los demás componentes.
Componentes de control	Control de lanzamiento del programa	Regula el lanzamiento de programas de acuerdo con las políticas establecidas para los mismos.
	Control de actividad del programa	Establece restricciones a los programas de acuerdo con los grupos de confianza a los que pertenecen los programas.
	Monitoreo de vulnerabilidades	Supervisa la presencia de vulnerabilidades en los programas activos y el sistema operativo.
	Control de dispositivos	Establece restricciones de acceso a dispositivos de transmisión y almacenamiento de datos, así como a interfaces de hardware de PC externas.
	control web	Establece restricciones de acceso a recursos web para varios grupos de usuarios.
Cifrado	Cifrado de archivos (FLE)
	Cifrado de disco duro y medios extraíbles (FDE)

Nuevas características

Dos nuevas características que han aparecido en la versión extendida de Kaspersky Endpoint Security for Business son herramientas para la administración y el cifrado del sistema.

Las herramientas para la administración del sistema permiten al administrador realizar las funciones habituales de administrar la red y dar servicio a sus dispositivos usando la consola Kaspersky Security Center 10. Veamos qué funciones de administrador podemos realizar ahora a través de la consola.

Una de las tareas más importantes es monitorear e instalar las actualizaciones necesarias. Para buscar vulnerabilidades se utiliza la base de datos de la empresa de investigación Secunia y la propia base de datos integrada en la nube (KSN) de Kaspersky Lab. Y para buscar actualizaciones, utilice Microsoft Windows Server Update Services (WSUS). Al mismo tiempo, el seguimiento de las vulnerabilidades (evaluación de vulnerabilidades) y la instalación de actualizaciones que las cierran (gestión de parches) se pueden realizar de forma automática o a petición del administrador. Como resultado, el administrador puede automatizar el proceso, bastante lento, de buscar e instalar actualizaciones para varios tipos de software.

El inventario de hardware y software le permite obtener automáticamente información sobre todos los componentes de hardware de los dispositivos en la red y todas las aplicaciones instaladas. A partir de estos datos, el administrador puede separar dispositivos para aplicarles diferentes políticas de seguridad, controlar la instalación y uso de software sin licencia, crear nuevas reglas para controlar programas, etc.

También existe una herramienta para monitorear el ciclo de vida del software con licencia. Otra tarea importante que realiza el administrador es la instalación de sistemas operativos y diversas aplicaciones. Ahora puede crear y editar imágenes del sistema operativo e instaladores de aplicaciones, así como acceder a ellos e instalarlos en dispositivos a través de la consola. La instalación se puede realizar a pedido o según un horario, por ejemplo, durante el almuerzo o fuera de horario. Para hacer esto, simplemente cree la tarea deseada y aplíquela al grupo de dispositivos seleccionado.

Durante el trabajo, el administrador a menudo necesita conectarse de forma remota a las computadoras de la red para solucionar problemas y problemas que surjan. Ahora puede obtener acceso remoto al dispositivo de red a través de la consola.

El administrador ahora tiene la capacidad de crear reglas de acceso a los recursos corporativos. Por ejemplo, puede crear políticas para computadoras y cuentas de invitados, con las que puede limitar el acceso a la red local o a los recursos de la misma (Control de acceso a la red) o limitar los derechos de nuevos dispositivos, incluidos los móviles.

Kaspersky Endpoint Security 10 para Windows incluye una herramienta de cifrado de datos que ayuda a reducir el riesgo de fuga de datos cuando se roban o se pierden computadoras portátiles y medios extraíbles.

Para el cifrado, se utiliza uno de los algoritmos más comunes y fiables, el Estándar de cifrado avanzado (AES). Se admiten dos tipos de cifrado:

• cifrado de archivos en unidades locales y medios extraíbles (File Level Encryption, FLE);
• Cifrado completo de discos duros y medios extraíbles (Full Disk Encryption, FDE).

La configuración del cifrado y la administración de dispositivos cifrados se realizan desde la consola de administración de Kaspersky Security Center 10. Trabajar con datos cifrados para los usuarios no es diferente de trabajar con datos normales, tanto dentro como fuera de la empresa. En caso de situaciones de emergencia (fallas de software y hardware), el administrador tiene la capacidad de descifrar datos en computadoras protegidas, así como proporcionar al usuario acceso a sus datos cifrados en caso de que olvide la contraseña.

Figura 2. Cifrado de datos

Brevemente, todas las funciones de la versión extendida de Kaspersky Endpoint Security for Business se presentan en la Figura 3.

Figura 3. Funciones de la versión avanzadaKasperskyPunto finalSeguridad para empresas

Trabajando con el producto

La apariencia de la consola Kaspersky Security Center 10 prácticamente no ha cambiado. Para gestionar el cifrado, se utiliza una sección especial "Cifrado y protección de datos" que está integrada en varias secciones de la consola.

Figura 4. Ventana principal cuando se trabaja conKasperskySeguridadCentro 10

Herramientas de administración de sistemas (Gestión de sistemas)

Echemos un vistazo paso a paso a las nuevas funciones de administración del sistema proporcionadas por Kaspersky Security Center 10.

Una de las tareas que resuelve un administrador cada día es la de instalar software en los ordenadores de la red. Las funciones de administración le permiten crear paquetes de instalación de sistemas operativos y aplicaciones para su instalación centralizada en dispositivos de la red. Puede trabajar con estas funciones en la sección “Instalación remota”.

Figura 5. Sección “Instalación remota”

Para crear una imagen del sistema operativo, necesita una computadora llamada "de referencia", de la cual se "eliminará" la imagen para su posterior instalación en otras computadoras. Para comenzar a trabajar con imágenes del sistema operativo, primero debe instalar el kit de instalación automatizada de Windows (WAIK), diseñado para instalarlas, configurarlas e implementarlas. Después de esto, debe crear y ejecutar la tarea para el servidor de administración "Crear un paquete de instalación basado en la imagen del sistema operativo de la computadora de referencia".

Figura 6. Tarea para crear una imagen del sistema operativo

Al crearlo, debe especificar la computadora para tomar la imagen; Programas de Microsoft para incluir en la imagen; categorías de software que necesitan ser actualizados, etc.

Figura 7. Seleccionar una computadora de referencia para crear una imagen del sistema operativo

Una vez creada la imagen, se coloca en un repositorio con paquetes de instalación, desde donde siempre se puede implementar en computadoras seleccionadas. El administrador puede agregar los controladores necesarios para computadoras específicas a las imágenes existentes. La instalación de imágenes en las computadoras se realiza utilizando la tecnología Preboot eXecution Environment (PXE).

Para instalar programas de aplicación, también necesita crear paquetes de instalación. Al crear, debe seleccionar el tipo de compilación: una imagen del sistema operativo, un programa de Kaspersky Lab o una aplicación personalizada.

Figura 8. Seleccionar el tipo de paquete de instalación

Además de que al crear un paquete de instalación podemos seleccionar cualquier aplicación en el ordenador, Kaspersky Security Center 10 brinda la posibilidad de crear un instalador a partir de aplicaciones gratuitas desde su base de datos (7Zip, Adobe Reader, WinZip, etc.).

Figura 9. Selección de un programa de la base de datos de Kaspersky Lab

Una vez creado el paquete de instalación, va al almacenamiento de "Paquetes de instalación", desde donde se puede instalar en cualquier número de computadoras de la red.

Figura 10. Almacenamiento de “paquetes de instalación”

La instalación de aplicaciones y sistemas operativos, como la mayoría de las demás acciones, se realiza creando el conjunto necesario de tareas que se inician manualmente o según una programación. Una característica conveniente es el encendido remoto de las computadoras (WAKE-ON-LINE), que permite la instalación de aplicaciones y su mantenimiento fuera del horario laboral, incluso si las computadoras ya han sido apagadas por los empleados.

Una de las tareas importantes de un administrador es la contabilidad y el control de diversos recursos. Las herramientas de administración del sistema le permiten trabajar con tres tipos de recursos: dispositivos de hardware, software y sus licencias.

Kaspersky Security Center 10 detecta y mantiene registros automáticamente de todas las computadoras y dispositivos externos en la red. Esto permite al administrador responder rápidamente a la aparición de nuevos dispositivos.

Figura 11. Almacenamiento de equipos

Para una computadora específica, podemos obtener información sobre todos los componentes de hardware y dispositivos conectados. Esto puede resultar útil a la hora de elegir ordenadores en los que instalar sistemas operativos o aplicaciones que consumen muchos recursos. Por ejemplo, instalar programas de edición de vídeo sólo en ordenadores con al menos 4 GB de RAM.

Figura 12. Registro de equipos

El registro del programa le permite controlar el software instalado en las computadoras. Estos datos de registro se pueden utilizar para monitorear aplicaciones sin licencia, así como para programar la instalación de nuevas aplicaciones con licencia en las computadoras de los empleados.

Figura 13. Registro de programas para todos los dispositivos

Para cada dispositivo específico, en sus propiedades también puedes ver todas las aplicaciones instaladas en él.

Figura 14. Registro de programas para un dispositivo específico

El administrador también puede gestionar de forma centralizada las licencias de cualquier aplicación, agregándolas al repositorio apropiado, distribuyéndolas a las computadoras necesarias y controlando su tiempo de vencimiento.

Otra característica importante de Kaspersky Security Center 10 es la búsqueda y corrección de vulnerabilidades, así como la instalación de actualizaciones para diversas aplicaciones. La búsqueda de vulnerabilidades se realiza mediante la tarea “Buscar vulnerabilidades y actualizaciones de software”, y el cierre de las vulnerabilidades encontradas se realiza mediante la tarea “Instalación de actualizaciones de software y cierre de vulnerabilidades”.

El mecanismo para detectar y cerrar vulnerabilidades es bastante sencillo. Para los programas incluidos en el registro, sus versiones actuales y actualizaciones instaladas se comparan con las actualizaciones ofrecidas por sus desarrolladores. Si no está instalada la última actualización de una aplicación, se detecta su posible vulnerabilidad y se propone instalar la última actualización. Puede cerrar las vulnerabilidades manualmente analizando las actualizaciones propuestas, o puede configurar el cierre automático de vulnerabilidades y relevar al administrador.

Figura 15. Tarea para encontrar y corregir vulnerabilidades

Después de completar la tarea correspondiente, el administrador recibe una lista de vulnerabilidades encontradas, indicando su criticidad y enlaces a su descripción. Para obtener información más detallada, puede generar un informe sobre la tarea de búsqueda de vulnerabilidades completada.

Figura 16. Lista de vulnerabilidades encontradas

Figura 17. Informe de análisis de vulnerabilidades

Lo mismo se aplica a las actualizaciones de software. Se crean y ejecutan las tareas "Recibir actualizaciones" y "Sincronizar Windows Update". Según los resultados de su trabajo, se forma un registro de las actualizaciones de software necesarias, que pueden descargarse inmediatamente o posponerse hasta un momento más conveniente.

Figura 18. Registro de actualización de software

Otra función sencilla pero al mismo tiempo útil es el acceso remoto a ordenadores de la red. Si los usuarios tienen problemas o inquietudes, el administrador puede tomar el control de sus computadoras y resolver los problemas sin moverse de su escritorio.

Kaspersky Security Center 10 administra el cifrado durante el proceso de creación y configuración de políticas de seguridad. Podemos gestionar por separado el cifrado de tres tipos de objetos: discos duros, medios extraíbles y archivos y directorios en el sistema de archivos.

Figura 19. Configuración de una política de seguridad

Al configurar el cifrado del disco duro, debe especificar las acciones que deben aplicarse "de forma predeterminada" a todos los discos duros del sistema. Hay tres opciones: no utilizar cifrado, cifrar todos los discos o descifrar todos los discos. El cifrado completo de todos los discos conlleva una serie de limitaciones, por ejemplo, si tenemos varios sistemas operativos, solo podremos ejecutar aquel en el que esté instalado Kaspersky Security Center 10.

Figura 20. Configuración del cifrado del disco duro

Estas dificultades se pueden evitar parcialmente creando una lista de dispositivos que no deben cifrarse. En este caso, la lista de dispositivos disponibles se genera automáticamente, según la lista de equipos disponibles en Kaspersky Security Center 10.

Figura 21. Configuración de una lista de exclusión de cifrado

Cabe señalar algunos inconvenientes. En primer lugar, no puede especificar directamente la unidad específica que debe cifrarse. En segundo lugar, cuando conecta un nuevo dispositivo, Kaspersky Security Center 10 lo encuentra solo después de reiniciar la computadora.

Una vez que se han cifrado los discos duros o las particiones, solo se puede acceder a ellos mediante una contraseña. Aquí hay una característica importante: si el disco cifrado es un disco del sistema, después de cifrarlo, el usuario deberá autenticarse antes de cargar el sistema operativo. Y solo si se ha ingresado la contraseña correcta, el sistema continuará con el inicio.

Para cifrar archivos y carpetas, debe especificar la regla adecuada: no cifrar nada, no cifrar los objetos especificados en las reglas ni descifrar todo. Agregar objetos para el cifrado se realiza de manera conveniente. Para el cifrado, puede seleccionar varias de las carpetas denominadas "estándar" ("Documentos", "Favoritos", "Escritorio", etc.), especificar las extensiones de los archivos cifrados o su tipo (archivos de audio, archivos, texto). documentos, etc., etc.), así como seleccionar una carpeta específica para cifrar o especificar un tipo específico de archivos que desea cifrar.

Figura 23. Configuración del cifrado de archivos y carpetas

Otra característica útil es establecer reglas para los programas. Estas reglas le permiten configurar el cifrado de todos los archivos creados por aplicaciones específicas. Por lo tanto, puede configurar Microsoft Word para cifrar no un tipo de archivo específico (por ejemplo, doc o docx), sino todos los archivos que crea. En este caso, el administrador tiene la oportunidad de seleccionar una aplicación del registro de aplicaciones disponible en Kaspersky Security Center 10 o configurar el nombre de la aplicación manualmente.

Además, las reglas del programa le permiten configurar los derechos de acceso de aplicaciones específicas a datos cifrados: negar el acceso de aplicaciones específicas a datos cifrados o permitir el acceso a datos, pero en forma cifrada (es decir, cuando una aplicación lee archivos cifrados desde una computadora, recibir “texto cifrado”).

El primero será útil si el administrador quiere excluir la posibilidad de enviar datos cifrados externamente (por ejemplo, a través de Skype o ICQ).

La segunda opción es útil al configurar una copia de seguridad segura: al leer archivos cifrados, la aplicación de copia de seguridad no recibirá los datos abiertos, sino el "texto cifrado" que, cuando se coloca en el almacenamiento de la copia de seguridad, ya no necesita estar cifrado.

Figura 24. Configuración de reglas de cifrado para aplicaciones

Al configurar el cifrado de almacenamiento extraíble, debe definir una regla "predeterminada" que se aplicará a todos los dispositivos de este tipo y establecer un conjunto de excepciones para esta regla. En este caso, puede implementar uno de dos enfoques: configurar el cifrado de todos los dispositivos encontrados y especificar los dispositivos que no se ajustan a esta regla, o configurar las funciones de cifrado para cada dispositivo por separado.

Puede utilizar tres métodos de cifrado: cifrar todos los medios, todos los archivos o sólo los archivos nuevos. Para los dos últimos modos, también está disponible la opción "Modo portátil", que le permite ver y editar datos cifrados incluso en una situación en la que Kaspersky Endpoint Security 10 para Windows no está instalado en las computadoras o no hay conexión con el servidor de administración. .

Esto puede resultar útil cuando se viaja por negocios o se utilizan dispositivos de oficina fuera del lugar de trabajo. Esta característica distingue el cifrado en la versión extendida de Kaspersky Endpoint Security for Business del cifrado utilizado en otros productos, ya que elimina la necesidad de que el usuario instale herramientas adicionales en las computadoras para que funcione el cifrado.

Figura 26. Configuración de reglas de cifrado para medios extraíbles

Cabe señalar que al implementar la protección, el administrador puede utilizar la configuración "predeterminada" y no perder el tiempo en ello. El producto está configurado para que pueda usarse inmediatamente después de sacarlo de la caja, y la configuración solo es necesaria para casos "delicados".

El administrador también puede configurar funciones de autenticación de usuario cuando trabaja con objetos cifrados. Por ejemplo, habilite la tecnología de inicio de sesión único (SSO), que le permitirá obtener acceso a varios objetos después de la primera autenticación en el sistema. También puede establecer restricciones en las contraseñas utilizadas: la longitud y complejidad de la contraseña, la posibilidad de su uso posterior, bloquear la contraseña después de una serie de intentos fallidos de escribirla, etc.

Figura 27. Configuración de contraseña para cifrado

Una vez aplicada la política de seguridad y encontrados y cifrados los dispositivos especificados en ella, se pueden gestionar en la sección especial "Cifrado y protección de datos". Puede ir a la configuración de la política de seguridad, crear un informe sobre el funcionamiento del módulo de cifrado, ver una lista de errores que ocurren durante el cifrado y también obtener una clave de acceso al dispositivo cifrado.

Figura 28. Apartado “Cifrado y protección de datos”

La clave especificada se puede utilizar para descifrar un disco duro o un dispositivo extraíble si no hay conexión con Kaspersky Security Center 10, por ejemplo, si hay problemas con la red local dentro o fuera de la organización. El administrador también tiene la oportunidad de descifrar datos en caso de una falla del hardware o una situación de emergencia; para ello, el producto implementa utilidades de recuperación especiales.

El cifrado en los dispositivos finales se realiza en modo "transparente": los archivos se cifran y descifran automáticamente y no requieren la intervención del usuario. Sin embargo, en algunos casos se requieren algunas acciones por parte del usuario. Por ejemplo, al cifrar medios extraíbles por primera vez, se le puede pedir al usuario que dé su consentimiento para este procedimiento.

Conclusiones

En general, mis impresiones sobre trabajar con las nuevas funciones de la versión extendida de Kaspersky Endpoint Security for Business son positivas. Las funciones de administración y cifrado del sistema están integradas en la consola y son administradas por herramientas que el administrador ya conoce. Las desventajas incluyen la visualización incorrecta de varias ventanas de programas y una alta carga del procesador al realizar determinadas tareas. Sin embargo, esto puede deberse a que la aplicación fue lanzada recientemente.

Una característica importante es que al comenzar a utilizar la versión extendida de Kaspersky Endpoint Security for Business, el administrador no necesita configurar todo el sistema. Puede utilizar la configuración "predeterminada" de los componentes de protección y solo entonces, durante el proceso de trabajo, realizar configuraciones de protección más detalladas. Por otra parte, me gustaría señalar que cuando revisamos Kaspersky Endpoint Security 8 para Windows, nuestras conclusiones indicaron que lo más lógico es ampliar el producto incluyendo funciones de cifrado. Y fue en esta dirección que el producto empezó a desarrollarse.

Ventajas

1. La característica principal de la versión extendida de Kaspersky Endpoint Security for Business es que no es sólo un producto para la seguridad empresarial integral, sino también algo más. Integrar funciones para la administración del sistema puede hacer de este producto una herramienta única para administrar todos los dispositivos de la organización.
2. Soporte para una gran cantidad de sistemas operativos protegidos, incluido Windows 8.
3. Uso de múltiples métodos de cifrado. Se pueden cifrar tanto dispositivos (discos duros, unidades flash, etc.) como archivos y directorios específicos. Como resultado, la funcionalidad de seguridad corporativa se amplía para incluir control sobre el uso y distribución de datos confidenciales, lo cual es especialmente cierto para los dispositivos móviles donde el cifrado le permite diferenciar entre datos personales y corporativos.
4. Integración de funciones de cifrado y control de aplicaciones. Cuando configura una política de cifrado, puede establecer derechos de acceso a archivos cifrados para aplicaciones específicas y cifrar archivos creados por aplicaciones.
5. Disponibilidad del modo móvil para dispositivos cifrados. Si no hay conexión a la consola del administrador, el usuario puede acceder a los datos cifrados mediante una contraseña creada previamente.
6. La capacidad de trabajar automáticamente para encontrar y cerrar vulnerabilidades. La búsqueda de vulnerabilidades y la descarga automática de actualizaciones después de la configuración adecuada le permite liberar al administrador de estas responsabilidades y le brinda la oportunidad de dedicar su atención a problemas más complejos. Para obtener datos sobre vulnerabilidades se utiliza la base de datos de la empresa de investigación Secunia y la propia base de datos de Kaspersky Lab, y para buscar actualizaciones se utiliza Microsoft Windows Server Update Services (WSUS).
7. Despliegue centralizado de sistemas operativos y aplicaciones. El administrador sólo necesita crear una imagen del sistema operativo en una computadora de "referencia" y luego implementarla en cualquier conjunto de computadoras correspondientes. Todas las imágenes creadas de sistemas operativos y paquetes de instalación de software se encuentran en el repositorio de Kaspersky Security Center 10.

Contras

1. Problemas con la interfaz de usuario al configurar políticas de protección. Al realizar la transición entre secciones, los paneles "chocaron" entre sí y no permitieron realizar ajustes. La interfaz suele utilizar controles muy pequeños.
2. Alta carga de CPU al realizar una serie de tareas. Al realizar tareas de inventario y crear un paquete de instalación, la carga en el procesador central alcanzó el 90-95%, lo que no permitió realizar otras operaciones (CPU Intel Core Duo 2,66 GHz).
3. Falta de algoritmo de cifrado según GOST 28147-89. Actualmente, sólo se utiliza el algoritmo AES para el cifrado. La falta de cifrado GOST puede convertirse en un obstáculo para que la versión extendida de Kaspersky Endpoint Security for Business reciba certificados positivos de las autoridades reguladoras que indiquen que esta versión es una herramienta de cifrado. La presencia de estos certificados es importante para las empresas que necesitan cumplir con los requisitos de la Ley Federal 152 "Sobre Datos Personales". Sin embargo, cabe señalar que dado que la funcionalidad de cifrado se implementa en un módulo separado, el mecanismo para instalar y utilizar nuevos algoritmos de cifrado en el sistema está integrado. Además, debido a la transferibilidad del cifrado, esto no debería afectar la certificación como herramienta antivirus para proteger datos personales.
4. Limitaciones en el uso de la función de cifrado. El nuevo cliente Kaspersky Endpoint Security 10 para Windows hasta ahora se ha lanzado sólo para sistemas operativos de la familia Windows. En consecuencia, las funciones de cifrado aún no están disponibles para ordenadores con Linux y MacOS. Al parecer, los clientes para estos sistemas operativos aparecerán más adelante.
5. Incapacidad para obtener acceso a unidades y dispositivos cifrados mediante tarjetas inteligentes y tokens. Sin embargo, los desarrolladores planean agregar esta funcionalidad en futuras versiones de Kaspersky Endpoint Security for Business.

Kaspersky Lab lanza Kaspersky KryptoStorage y Kaspersky Password Manager

Kaspersky Lab, fabricante líder de sistemas de protección contra malware, software no deseado, ataques de piratas informáticos y spam, anuncia el lanzamiento de su producto de cifrado de datos Kaspersky KryptoStorage (KKS) y su solución de almacenamiento seguro de contraseñas Kaspersky Password Manager (KPM).

Kaspersky KryptoAlmacenamiento

Recientemente, las amenazas relacionadas con el robo de datos confidenciales de los usuarios se han generalizado cada vez más. Cifrar los datos de usuario más importantes le permite crear una barrera adicional contra un ataque de piratas informáticos, incluido el uso de diversos programas maliciosos.

Kaspersky KryptoStorage está diseñado para la protección de datos criptográficos, garantizando su confidencialidad mediante cifrado, así como la eliminación garantizada de los datos especificados por el usuario. El sistema KKS implementa protección criptográfica de directorios, discos virtuales y particiones lógicas de discos duros. El cifrado y descifrado se producen en segundo plano sin interferir con el trabajo del usuario.

Dependiendo de las tareas, el usuario puede cifrar una partición completa o carpetas individuales. Al realizar operaciones de lectura, la información se descifra automáticamente y las operaciones de escritura se cifran. Vale la pena señalar que los datos protegidos por KKS solo se pueden leer utilizando una contraseña establecida durante el cifrado inicial.

La protección criptográfica en la solución Kaspersky KryptoStorage se implementa basándose en el potente algoritmo de cifrado simétrico AES-128. La clave secreta se crea traduciendo criptográficamente la contraseña ingresada por el usuario. La solidez de la solución se ve reforzada aún más por un algoritmo especial que previene los ataques de fuerza bruta, haciéndolos ineficaces incluso en las computadoras más rápidas.

Los contenedores de archivos cifrados con Kaspersky KryptoStorage se pueden enviar por correo electrónico y guardar en medios internos y externos, locales y de red, es decir, en cualquier dispositivo de almacenamiento digital, incluidos discos magnéticos y ópticos, así como tarjetas flash. Puede establecer la misma contraseña para todos los datos protegidos o una única para cada objeto protegido. Además de la protección criptográfica, la solución Kaspersky KryptoStorage es capaz de eliminar datos de manera confiable de cualquier medio digital, lo que ayuda a prevenir fugas de información, incluso de dispositivos de memoria perdidos o desechados.

Administrador de contraseñas de Kaspersky

Kaspersky Password Manager le ayudará a almacenar de forma segura códigos de acceso a información importante. La solución automatiza completamente el ingreso de contraseñas y otros datos en páginas web, eliminando la necesidad de que el usuario cree y recuerde contraseñas. El producto proporciona códigos de seguridad que protegen el acceso a páginas web y aplicaciones de Windows almacenándolas en una base de datos especial (que a su vez está protegida por una contraseña maestra).

Además del almacenamiento, KPM puede generar de forma independiente contraseñas seguras de hasta 99 caracteres de longitud, lo que permite la creación de contraseñas complejas y únicas. La solución tiene un indicador visual de la seguridad de la contraseña, tras lo cual el usuario puede proteger de manera confiable la base de datos de sus contraseñas. También puede utilizar un teclado virtual para protegerse contra los registradores de teclas al ingresar su contraseña maestra.

El acceso a Kaspersky Password Manager es fácil de usar porque el producto está profundamente integrado con otros programas de aplicación. Su funcionalidad está disponible no sólo a través de la barra de tareas del sistema operativo, sino también a través de un botón en la GUI de las aplicaciones de Windows. Las contraseñas almacenadas sin protección en los navegadores se pueden importar automáticamente al almacenamiento seguro de la solución.

Kaspersky Password Manager es capaz de funcionar desde unidades USB, sin necesidad de instalación previa. Además, la solución cuenta con una funcionalidad antiphishing que identifica sitios sospechosos y notifica al usuario sobre ellos.

Los productos personales de Kaspersky Lab y las nuevas soluciones de Kaspersky Lab se complementan perfectamente; el coste recomendado de una licencia perpetua para cada producto es de 288 UAH. Puede comprar nuevos productos de Kaspersky Lab a través de la tienda online en el sitio oficial.

Umnik_ADS 18 de enero de 2010 a las 13:51

Kaspersky KryptoStorage por dentro y por fuera

• Seguridad de la información

En diciembre de 2009, Kaspersky Lab anunció el lanzamiento comercial del programa Kaspersky KryptoStorage. Este programa fue creado sobre la base de InfoWatch CryptoStorage y adaptado para su uso en PC domésticas. En este artículo intentaré ir más allá de la revisión habitual y describir el programa de la forma más completa posible, advertir sobre los errores y dar consejos generales sobre su uso. Kaspersky KryptoStorage es necesario para:

• proteger información confidencial de terceros;
• prevenir la fuga de datos cuando el sistema operativo almacena información de servicio en el disco (por ejemplo, volcados de memoria);
• eliminar datos sin posibilidad de recuperación.

¿Cómo funciona, en términos generales? Se utiliza un mecanismo de cifrado transparente para proteger la información. Es decir, todos los datos almacenados en un objeto protegido están exclusivamente cifrados. Cuando se necesitan estos datos, se descifran en la RAM y, cuando se escriben en objeto protegido se cifran nuevamente. El algoritmo de cifrado es AES con clave de 128 bits. ¿Qué se entiende por objeto protegido?

• Carpeta protegida. Esta es una carpeta especial creada por el programa en el sistema de archivos NTFS. Cuando lo conectas, puedes trabajar con él como con una carpeta normal, con algunas reservas.
• z contenedor seguro. Este es un archivo especial creado por el programa. Cuando conecta un contenedor, puede trabajar con él como un disco lógico. Este archivo se puede copiar en una memoria flash, grabar en un CD/DVD, enviar por correo electrónico, publicar en un intercambiador de archivos y utilizar en cualquier PC donde esté instalado el programa y se conozca la contraseña para conectar el contenedor.
• Partición protegida (disco). Esta es una partición de disco existente o un disco que ha sido convertido (cifrado) por un programa. Después de conectar una partición/disco protegido usando Kaspersky KryptoStorage, puede trabajar con él como con una partición/disco normal. También es posible cifrar particiones del sistema y/o de arranque y dispositivos de clase de almacenamiento masivo (unidades flash, dispositivos de almacenamiento USB, etc.).

Instalación de Kaspersky KryptoStorage

Antes de instalar el programa, debe asegurarse de que la plataforma en la que se ejecutará cumpla con los requisitos.

Requisitos de hardware:

• Procesador Intel Celeron de 1 GHz o superior o equivalente
• 256 MB de RAM libre
• 10 MB de espacio libre en disco para instalar la aplicación

Requisitos de software:

• sistema operativo Windows 2000 SP4 (con todas las actualizaciones)...
• ...o Windows XP SP2...
• ...o servidor Windows 2003...
• ...o Windows Vista SP1...
• ...o Windows 7

La profundidad de bits (x86/x64) no importa.

Inicie el instalador del programa. El proceso de instalación no es diferente de instalar cualquier otro programa, el usuario pasa por las mismas etapas de aceptar el acuerdo de licencia, seleccionar la ubicación de instalación (se sugiere %ProgramFiles%\Kaspersky Lab\KryptoStorage\ de forma predeterminada) y completar el asistente de instalación; . Cuando termine, se le pedirá que reinicie su computadora y, después de reiniciar, la aplicación estará completamente lista para funcionar. ¡Importante! Se recomienda encarecidamente no apagar la computadora durante el proceso de reinicio. ¡Esto puede causar un bloqueo y un error cada vez que reinicias! Si por alguna razón se produce una falla, deberá usar la opción para cargar la última configuración buena conocida y reinstalar la aplicación.

Empecemos a trabajar con el programa. Así es como se ve la ventana principal:

Grupo Cifrado de datos. Este grupo contiene tres botones con los que puedes crear carpeta protegida, contenedor seguro, o cifrar disco (partición de disco). ¡Vamos a hacerlo!

Cifrar una carpeta en Kaspersky KryptoStorage

vamos a crear carpeta protegida. Haga clic en el botón deseado. Aparece una ventana donde debe especificar la carpeta (disco) donde se encuentra el carpeta protegida, nombre para carpeta protegida, contraseña y sugerencia de contraseña. De forma predeterminada, se propone crear una "Nueva Carpeta Segura" en "Mis Documentos" del usuario actual.

Al hacer clic en Aceptar, se crea la carpeta. Lo que necesitas saber sobre carpeta protegida?

• Todos los archivos y carpetas ubicados dentro del protegido también están cifrados y protegidos. Es decir, si copia a carpeta protegida archivo que se encuentra fuera de él, la copia estará protegida.
• Realizar cualquier acción sobre carpeta protegida(copiar, mover, eliminar, renombrar, archivar, escribir, leer) y su contenido solo es posible cuando esta carpeta está conectada.
• Acceso a carpeta protegida a través de la red está prohibido, pero la carpeta conectada está disponible para todos los usuarios y programas que pueden trabajar con la computadora localmente en nombre del conectado. Por ejemplo, puede trabajar con una carpeta conectada a través de RDP.
• Si el archivo se copia de carpeta protegida externamente, la copia queda desprotegida. Al mismo tiempo, se conserva la protección del archivo original.
• El programa no permite ejecutar con carpetas protegidas y su contenido son las acciones enumeradas:
  • eliminar a la basura
  • emocionante dentro de un volumen de archivos y carpetas que contienen archivos. Cuando intentas navegar hacia tu destino, aparece un vacío carpeta con el mismo nombre que la original
    • Sin embargo, algunos administradores de archivos (por ejemplo, Total Commander) al mover, primero hacen una copia del objeto y luego eliminan el original. En este caso, la transferencia será exitosa.
• Dentro de un volumen, puede mover carpetas desprotegidas que contengan carpetas protegidas a otras carpetas desprotegidas sin restricciones. Conexión carpeta protegida en este caso, no es necesario y se conserva la protección. En otras palabras, hay una carpeta normal "A" que contiene carpeta protegida"B" es la carpeta habitual "C". El movimiento de "A" a "B" se realizará sin restricciones. La conexión "B" no es necesaria y se conservará la protección.
• Una carpeta desprotegida con archivos adjuntos. carpetas protegidas se puede mover a la papelera si los archivos adjuntos carpetas protegidas conectado. Una vez que una carpeta se ha movido a la Papelera de reciclaje, puede eliminarla y restaurarla. Al recuperarse carpetas protegidas estará conectado.
  • Algunos administradores de archivos (por ejemplo, Total Commander) no pueden mover dicha carpeta a la papelera.
• Trabajando con carpeta protegida posible si el subsistema está habilitado Carpetas protegidas. El estado se puede ver en la ventana principal del bloque. Subsistemas de criptoalmacenamiento.
• Creación carpeta protegida Sólo es posible en soportes que no estén protegidos contra escritura.
• El usuario debe tener derechos para crear una carpeta.
• Carpeta protegida Sólo se puede crear en el sistema de archivos NTFS.
• Longitud lleno El nombre de la carpeta no debe exceder los 255 caracteres.
• Carpeta protegida es imposible crear otro dentro carpeta protegida.
• Carpeta protegida no se puede crear dentro de una carpeta protegida por EFS.
• Carpeta protegida se puede crear en un disco duro, en un medio extraíble, así como en un disco protegido por un programa o en contenedor cifrado(cuando el disco o contenedor está conectado).
• La contraseña no puede tener más de ocho caracteres.

Hay una forma alternativa de crear carpeta cifrada.

Es decir, en un espacio vacío (ni en una carpeta ni en un archivo), haga clic derecho, Crear - Carpeta Kaspersky KryptoStorage.

• La contraseña no debe tener menos de seis caracteres (a modo de recordatorio, el máximo es ocho)
• la contraseña puede incluir números, letras latinas, espacios y caracteres especiales
• Es deseable que la contraseña esté formada por números y letras (en mayúsculas y minúsculas) y especiales. personajes.

Como no vale la pena usar:

• palabras comunes y combinaciones estables
• un conjunto de caracteres que representan combinaciones de teclas ubicadas en una fila del teclado (qwertyui, 12345678, qazxswed, etc.)
• datos personales (nombres, apellidos, fechas de nacimiento, números de pasaporte, números de seguro, etc.)
• contraseñas de otros programas y servicios (correo, foros, etc.)

Si la contraseña no cumple con los requisitos de seguridad, el programa lo informará.

Entonces, la carpeta ha sido creada. Intentemos proteger las fotografías, cuyo papel lo desempeñará el fondo de escritorio.
Videoclip nº1
Déjame explicarte lo que pasó en el vídeo.

1. Copié los objetos que deben protegerse en el portapapeles (no es posible moverlos, como describí anteriormente)
2. Conectado una carpeta protegida
   • Para demostrar la pista, ingresé datos incorrectos. Como ves, la pista cumple dos requisitos principales: es clara para mí, no dice nada a los demás.
3. Archivos pegados en carpeta protegida
4. Desmantelado carpeta protegida
5. Lanzado irrevocable eliminar archivos fuente

El vídeo también muestra cómo puedes cambiar la contraseña de carpeta protegida y cómo se puede eliminar permanentemente.

Crear un contenedor protegido en Kaspersky KryptoStorage

Lo que necesitas saber sobre contenedor seguro?

• El dispositivo en el que se crea el contenedor (archivo contenedor) no debe estar protegido contra escritura.
• El contenedor no se puede crear en un CD/DVD, pero se puede escribir allí como un archivo una vez que ya esté creado.
• El usuario que crea el contenedor debe tener permiso para crear archivos.
• Trabajar con un contenedor solo es posible si Kaspersky KryptoStorage está instalado en el sistema y el subsistema está en ejecución. Contenedores seguros.
• Se puede crear un contenedor en un disco duro, en una memoria flash, dentro de otro contenedor (cuando está conectado), dentro carpeta protegida(cuando está conectado), dentro disco protegido(cuando está conectado) y también copiado en todos estos lugares.
• Las limitaciones en el tamaño del contenedor las impone únicamente el propio sistema de archivos:
  • para FAT16 - 2GB
  • para FAT32 - 4GB
  • para exFAT - 256 TB
  • para NTFS - 16 TB
• Puedes crear un contenedor de la misma manera que carpeta protegida de dos maneras:
  • desde la ventana del programa
  • desde el menú contextual
• De forma predeterminada, a los contenedores se les ofrece una extensión .kde. Esta extensión se asocia con el programa en el sistema durante la etapa de instalación. Si utiliza esta extensión, puede montar el contenedor haciendo doble clic con el mouse o desde el menú contextual. Si usa otra extensión, puede montar el contenedor solo desde el menú contextual del archivo contenedor (Kaspersky KryptoStorage - Montar contenedor).
• No hay una función de desmontaje automático.
• El contenedor conectado se puede compartir (además, el sistema recordará compartir si se utiliza la misma letra para el montaje). En consecuencia, es posible el siguiente escenario: el usuario inicia sesión en el sistema, conecta el contenedor y cierra sesión, y el contenedor permanece compartido y accesible a través de la red.
• Porque el contenedor es un archivo normal, puede protegerlo para que no se elimine colocándolo en carpeta protegida o en disco protegido.

Pongámonos manos a la obra. vamos a crear contenedor seguro desde el menú contextual. Crear ventana contenedor seguro muy similar a la ventana de creación carpeta protegida, la única diferencia es que al crear un contenedor es necesario especificar su tamaño en megabytes. En consecuencia, no será posible colocar más datos en el contenedor de los que se especificarán en esta ventana.

Después de crear un contenedor, el programa le pedirá que lo formatee. Sin formatear, no se puede escribir nada en el contenedor. Si se niega a formatear en esta etapa, la solicitud aparecerá cada vez que realice el montaje y cuando acceda al disco montado desde el Explorador (intente abrirlo).
Al formatear debes tener en cuenta:

• Si selecciona el modo de formato rápido y el sistema de archivos FAT16/FAT32/exFAT, el archivo contenedor tendrá el tamaño mínimo posible y crecerá hasta el tamaño especificado cuando se cree a medida que se llene. Esto ahorrará espacio donde se encuentra el archivo contenedor.
• Cuando selecciona el sistema de archivos NTFS, el archivo contenedor tendrá inmediatamente el tamaño especificado
• con formato completo, independientemente del sistema de archivos, el archivo contenedor tendrá inmediatamente el tamaño especificado cuando se crea

El siguiente paso es seleccionar el punto y el modo de conexión.

El contenedor está conectado como un disco (duro o extraíble) y, por lo tanto, es necesario asignarle una letra. El menú desplegable Unidad lógica enumerará todas las letras de unidad libres. El modo de conexión no estará disponible hasta que se formatee el contenedor.
Modos de conexión de contenedores:

• sólo lectura. En este modo, no se puede escribir nada en un contenedor montado ni se puede eliminar nada de él.
  • la casilla de verificación se selecciona automáticamente y no se puede borrar si el archivo contenedor tiene el atributo de solo lectura
  • En MS Windows 2000, es imposible trabajar en modo de sólo lectura con contenedores formateados en NTFS.
• conéctelo como una unidad extraíble. Si la casilla de verificación está marcada, el disco está conectado como extraíble. Si la casilla de verificación está desactivada, el disco está conectado como un disco fijo (disco duro).
  • En MS Windows Vista, un contenedor sólo se puede conectar como disco extraíble

Trabajar con un contenedor formateado conectado no es diferente de trabajar con un disco extraíble/fijo normal. También puedes formatearlo, cambiar la etiqueta, etc.
Demostración de trabajo con contenedor protegido:
Videoclip nº 2
Tenga en cuenta que el desmantelamiento llevará algún tiempo. Sin embargo, puede reiniciar o apagar la computadora cuando los contenedores estén montados; Después de cargar el sistema operativo, se desmontarán.

Cifrado de disco en Kaspersky KryptoStorage

¿Qué necesita saber sobre el cifrado de disco?

• Si la protección se coloca en una partición que es de arranque/sistema, deberá autorizar el acceso a ella antes de cargar el sistema operativo.
• Si el sistema y las particiones de arranque están en unidades lógicas diferentes y ambas están protegidas, entonces deberá montar cada una de estas particiones.
• La instalación de protección en la partición del sistema del disco duro protege el archivo de volcado de memoria, así como el contenido de la RAM al entrar en modo de hibernación.
• Es posible trabajar con un disco protegido o un medio extraíble si el subsistema se está ejecutando en la computadora con el sistema instalado. Unidades protegidas.
• Si el ordenador tiene un sistema protegido y/o una partición de arranque del disco duro, el configurador del sistema no permite desactivar el subsistema Unidades protegidas. En este caso, en la ventana principal del programa en la sección Subsistemas de criptoalmacenamiento bloquear Unidades protegidas No disponible para cambios.
• No se recomienda usarlo en computadoras con múltiples sistemas operativos mientras se protegen las particiones de disco necesarias para iniciar los sistemas operativos instalados.
• Datos sobre todas las particiones lógicas protegidas de los medios físicos (disco duro físico, Destello-drive, etc.), se encuentran en el directorio raíz de la primera partición lógica del medio físico en el archivo iwcs.bin. Si formatea la partición que contiene el archivo iwcs.bin, o si este archivo se elimina, reemplaza o daña, se puede perder el acceso a todas las particiones lógicas protegidas del medio físico.

Limitaciones en la protección de particiones lógicas del disco duro y medios extraíbles:

• Es posible instalar protección en particiones lógicas de discos duros y medios extraíbles si el dispositivo correspondiente tiene un tamaño de sector 512 bytes (tamaño de sector estándar para la mayoría de dispositivos de este tipo).
• No se admite la instalación de protección en particiones dinámicas.
• La protección sólo se puede instalar en unidades locales. No se admite la protección de unidades de red.
• La instalación, eliminación o reinstalación de la protección para varias particiones lógicas no se puede iniciar simultáneamente en un disco físico. Puedes trabajar con particiones lógicas de diferentes discos simultáneamente.
• La protección de la partición lógica del disco duro en el que está instalado el sistema está permitida sólo si esta partición es del sistema y/o de arranque.
• Se permite instalar protección siempre que se permita la escritura en la partición protegida.
• Puede comenzar a instalar protección en un disco extraíble solo si ningún programa utiliza los archivos del disco extraíble. Durante la instalación de la protección, es posible utilizar archivos en un disco extraíble.
• EN Kaspersky Almacenamiento criptográfico protección no compatible CD/DVD-discos.
• Cambiar el tamaño de las particiones lógicas de un disco duro (así como dividirlas o fusionarlas) puede provocar la pérdida de datos. Si estos cambios son necesarios, desproteja las particiones antes de comenzar a trabajar.

Configuración de protección para una partición lógica o un dispositivo de almacenamiento extraíble. Mientras instala la protección, puede continuar trabajando con el dispositivo, porque el proceso tiene lugar en segundo plano. El proceso puede interrumpirse y luego continuar o negarse a proteger el objeto. Poner el sistema operativo en modo de espera o hibernación interrumpe automáticamente la instalación de la protección. Después de cargar el sistema operativo, puede continuar con la instalación o puede rechazarla.
Hay dos formas de instalar protección:

1. Desde la ventana principal del programa, botón Cifrar disco.
2. En el menú contextual del objeto, seleccione Kaspersky KryptoStorage - Instalar protección en el disco.

En la ventana "Cifrado de disco", debe especificar el disco deseado (si se utilizó el primer método), una contraseña y una pista. Al hacer clic en Aceptar se inicia el proceso de instalación de la protección. El proceso se puede controlar visualmente:

Al finalizar con éxito, el usuario recibe una notificación.

Hasta que se instale la protección, puede hacer clic en el botón "Detener". Luego aparecerá una ventana de autorización (donde deberá ingresar la contraseña para acceder al objeto). La siguiente ventana mostrará un mensaje indicando que la instalación de la protección se interrumpió exitosamente.

Si se interrumpe la instalación de la protección (manualmente, o el sistema entra en modo de espera/suspensión, o la computadora se desconecta), el objeto permanece parcialmente cifrado, pero se considera protegido. Por lo tanto, trabajar con este objeto sólo es posible cuando está conectado y se ingresa una contraseña. Por supuesto, si la protección no se ha instalado completamente, parte de la información permanece sin cifrar. Si surge una situación, puede reanudar la instalación de la protección o cancelarla.

Para reanudar la instalación de protección, debe conectar el objeto (si estaba deshabilitado) y seleccionarlo en su menú contextual. Kaspersky KryptoStorage: continuar instalando protección en el disco. El proceso de instalación de la protección continuará.

Para cancelar la instalación de la protección de objetos, debe seleccionar en el menú contextual del objeto Kaspersky KryptoStorage: cancelar la instalación de protección del disco. Se requerirá autorización para realizar la operación.

Para trabajar con un objeto protegido, primero deberá conectarlo. Para hacer esto, seleccione el elemento en el menú contextual del objeto. Kaspersky KryptoStorage - Conectar disco. El procedimiento requiere autorización. Al finalizar el trabajo con el objeto, se recomienda apagarlo, porque un objeto conectado no es un objeto protegido. Para hacer esto, seleccione el elemento en el menú contextual. Kaspersky KryptoStorage - Desconectar disco. Los objetos también se desactivarán si se reinicia el sistema operativo.

El arranque desde un sistema protegido y/o un disco de arranque sólo es posible después de la autorización. Aparecerá una solicitud de autorización durante el proceso de inicio de la PC antes de cargar el sistema operativo:

Después de una autorización exitosa, se cargará el sistema operativo. Si comete un error al ingresar una contraseña, aparecerá un mensaje sobre la contraseña incorrecta y se le pedirá que presione cualquier tecla. Si se especificó una sugerencia al instalar la protección, se mostrará:

Puedes intentar ingresar nuevamente. Si no se configuró el mensaje, para repetir el procedimiento de autorización deberá reiniciar la computadora usando las combinaciones Ctrl+Alt+Supr.

Para eliminar la protección de un objeto, debe seleccionar el elemento en su menú contextual Kaspersky KryptoStorage: eliminar la protección del disco. El procedimiento requiere autorización y el objeto debe estar previamente conectado. El proceso de eliminación de la protección, así como de instalación de la protección, se puede interrumpir y reanudar. El algoritmo de trabajo también es similar a los algoritmos de instalación de protección.

Configuración de Kaspersky KryptoStorage

Volvamos a la ventana principal. debajo del bloque Cifrado de datos hay un bloque Subsistemas. Cada uno de los subsistemas proporciona protección para objetos de un determinado tipo: discos, contenedores, carpetas. Si se detiene un subsistema de un determinado tipo de objeto, se pierde la capacidad de trabajar con este tipo de objeto. El estado del subsistema (encendido o apagado) se indica en la segunda columna del bloque. La tercera columna le permite cambiar este estado. Para detener el subsistema para trabajar con carpetas protegidas, debe desmarcar la casilla de verificación "Inicio automático" para este subsistema y reiniciar la computadora. Para iniciar el subsistema, debe marcar esta casilla y también reiniciar la computadora.

en el bloque Configuración de conexión de objetos Sólo hay una configuración, que es responsable de la apertura automática de los objetos conectados en el Explorador. Puede desactivar la apertura de objetos a la vez desmarcando la casilla Abra objetos usando el Explorador en una nueva ventana después de conectarse, o actívalo para todos a la vez. Configurar la apertura automática carpeta protegida y al mismo tiempo prohibir la apertura automática para contenedor seguro imposible.

El botón abre la ventana de gestión de licencias:

La licencia puede tener la forma de un código de activación o puede ser un archivo. Un archivo de licencia se crea automáticamente cuando se activa con un código. La licencia es ilimitada para el funcionamiento del programa. La fecha de vencimiento significa que no se brindará soporte al usuario, pero la funcionalidad se mantendrá.

El botón es necesario para liberar espacio en un disco duro, partición lógica, memoria flash, etc., cuando se pierde el acceso a ellos. Para realizar operaciones, se requieren derechos de administrador local. Esta situación puede surgir si:

• Se han perdido las claves de acceso a la partición protegida, por lo que es imposible conectarla o quitar la protección
• la partición protegida fue formateada después de la eliminación con el subsistema en ejecución Unidades protegidas. Después de reinstalar el programa con el subsistema ejecutándose por defecto Unidades protegidas el acceso al objeto formateado se vuelve imposible
• Se ha cambiado el tamaño de la partición protegida. Como resultado, surgió una discrepancia entre el tamaño tenido en cuenta y el tamaño real de la partición protegida. Para cambiar el tamaño correctamente, primero debe quitar la protección del objeto, cambiar el tamaño y luego reinstalar la protección.

Antes de comenzar a trabajar necesitas:

1. completar todas las operaciones relacionadas con la instalación, reinstalación y eliminación de la protección en todas las particiones de un disco físico o medio extraíble
2. deshabilite las particiones protegidas del disco físico, cuya información debe eliminarse de

Si selecciona una partición protegida durante la recuperación, será imposible descifrar los datos de esta partición.

Para que el espacio en disco ocupado por una partición protegida esté disponible, debe:

1. En la ventana principal, haga clic en el botón
2. En la ventana "Recuperación de disco", especifique la partición protegida, información sobre la cual desea eliminar del disco
3. En el menú contextual de la sección, seleccione Eliminar información del área cifrada
4. En la ventana que advierte sobre la pérdida de información cifrada, haga clic en "Sí".

Con esto doy por completo mi artículo y con gusto leeré tus comentarios. Además, os informo que está incluido en la composición. Kaspersky puro, cuyo lanzamiento comercial está a la vuelta de la esquina.

Se utiliza activamente para escribir este artículo.

Kaspersky Endpoint Security le permite cifrar archivos y carpetas almacenados en unidades de computadora locales y unidades extraíbles, discos duros y extraíbles completos. El cifrado de datos reduce los riesgos de fuga de información en caso de robo o pérdida de una computadora portátil, una unidad extraíble o un disco duro, así como cuando usuarios y programas no autorizados acceden a los datos.

Si la licencia ha caducado, el programa no cifra los datos nuevos y los datos cifrados antiguos permanecen cifrados y disponibles para trabajar. En este caso, para cifrar nuevos datos, debe activar el programa bajo una nueva licencia que permita el uso de cifrado.

Si la licencia caduca, se viola el Acuerdo de licencia, se elimina la clave o Kaspersky Endpoint Security o los componentes de cifrado se eliminan de la computadora del usuario, no se garantiza que los archivos previamente cifrados permanezcan cifrados. Esto se debe a que algunos programas, como Microsoft Office Word, al editar archivos, crean una copia temporal de los mismos, que reemplaza el archivo original cuando se guarda. Como resultado, si la función de cifrado no está disponible o no está disponible en la computadora, el archivo permanece sin cifrar.

Kaspersky Endpoint Security proporciona las siguientes áreas de protección de datos:

• Cifrar archivos en unidades de computadora locales. Puede crear listas de archivos por extensión o grupos de extensiones y desde carpetas ubicadas en unidades de computadora locales, y también crear reglas para cifrar archivos creados por programas individuales. Después de aplicar la política de Kaspersky Security Center, Kaspersky Endpoint Security cifra y descifra los siguientes archivos:
  • archivos agregados por separado a las listas para cifrado y descifrado;
  • archivos almacenados en carpetas agregadas a las listas de cifrado y descifrado;
  • archivos creados por programas individuales.

  Puede leer más sobre la aplicación de la política de Kaspersky Security Center en la ayuda de Kaspersky Security Center.

• Cifrado de unidades extraíbles. Puede especificar una regla de cifrado predeterminada, según la cual el programa realiza la misma acción en todas las unidades extraíbles y especificar reglas de cifrado para unidades extraíbles individuales.

  La regla de cifrado predeterminada tiene menor prioridad que las reglas de cifrado creadas para unidades extraíbles individuales. Las reglas de cifrado creadas para unidades extraíbles con el modelo de dispositivo especificado tienen menor prioridad que las reglas de cifrado creadas para unidades extraíbles con el ID de dispositivo especificado.

  Para seleccionar una regla para cifrar archivos en una unidad extraíble, Kaspersky Endpoint Security comprueba si se conocen el modelo del dispositivo y su ID. Luego, el programa realiza una de las siguientes acciones:

  • Si solo se conoce el modelo del dispositivo, el programa aplica la regla de cifrado creada para unidades extraíbles con este modelo de dispositivo, si existe dicha regla.
  • Si solo se conoce el ID del dispositivo, el programa aplica la regla de cifrado creada para unidades extraíbles con este ID de dispositivo, si existe dicha regla.
  • Si se conocen tanto el modelo como el ID del dispositivo, el programa aplica la regla de cifrado creada para las unidades extraíbles con ese ID de dispositivo, si existe dicha regla. Si no existe tal regla, pero existe una regla de cifrado creada para unidades extraíbles con un modelo de dispositivo determinado, el programa la aplica. Si no se especifican reglas de cifrado para una ID de dispositivo determinada o un modelo de dispositivo determinado, el programa aplica la regla de cifrado predeterminada.
  • Si no se conocen ni el modelo ni el ID del dispositivo, el programa aplica la regla de cifrado predeterminada.

  El programa le permite preparar un disco extraíble para trabajar con archivos cifrados en modo portátil. Después de habilitar el modo portátil, es posible trabajar con archivos cifrados en unidades extraíbles conectadas a una computadora con funcionalidad de cifrado inaccesible.

  La aplicación realiza la acción especificada en la regla de cifrado al aplicar la política de Kaspersky Security Center.

• Administrar los derechos de acceso del programa a archivos cifrados. Para cualquier programa, puede crear una regla de acceso a archivos cifrados que niegue el acceso a archivos cifrados o permita el acceso a archivos cifrados solo en forma de texto cifrado, una secuencia de caracteres obtenida como resultado del cifrado.
• Crear archivos cifrados. Puede crear archivos cifrados y proteger el acceso a estos archivos con una contraseña. El acceso al contenido de los archivos cifrados solo se puede obtener después de ingresar las contraseñas con las que ha protegido el acceso a estos archivos. Estos archivos se pueden transferir de forma segura a través de la red o en unidades extraíbles.
• Cifrado de disco completo. Puede elegir una tecnología de cifrado: Kaspersky Drive Encryption o BitLocker Drive Encryption (en adelante también denominado "BitLocker").

  BitLocker es una tecnología que forma parte del sistema operativo Windows. Si su computadora tiene un Módulo de plataforma segura (TPM), BitLocker lo usa para almacenar claves de recuperación que permiten el acceso al disco duro cifrado. Cuando su computadora arranca, BitLocker le solicita al TPM las claves de recuperación del disco duro y lo desbloquea. Puede configurar el uso de una contraseña y/o PIN para acceder a las claves de recuperación.

  Puede especificar una regla de cifrado de disco completo predeterminada y generar una lista de discos duros para excluir del cifrado. Kaspersky Endpoint Security realiza el cifrado sector por sector de todo el disco después de aplicar la política de Kaspersky Security Center. El programa cifra todas las particiones lógicas de los discos duros a la vez. Puede leer más sobre la aplicación de la política de Kaspersky Security Center en la ayuda de Kaspersky Security Center .

  Después de cifrar los discos duros del sistema, la próxima vez que encienda la computadora, el acceso a ellos, así como la carga del sistema operativo, solo será posible después de pasar el procedimiento de autenticación utilizando. Esto requiere ingresar la contraseña del token o tarjeta inteligente conectada a la computadora, o el nombre y la contraseña de la cuenta del Agente de autenticación creada por el administrador del sistema de la red local de la organización mediante las tareas de administración de cuentas del Agente de autenticación. Estas cuentas se basan en las cuentas de usuario de Microsoft Windows con las que los usuarios inician sesión en el sistema operativo. Puede administrar cuentas del Agente de autenticación y utilizar la tecnología SSO (inicio de sesión único), que le permite iniciar sesión automáticamente en el sistema operativo utilizando el nombre de cuenta y la contraseña del Agente de autenticación.

  Una interfaz que permite, después de cifrar el disco duro de arranque, someterse a un procedimiento de autenticación para acceder a los discos duros cifrados e iniciar el sistema operativo.

  Si se realizó una copia de seguridad de una computadora, luego se cifraron los datos de la computadora, después de lo cual se restauró la copia de seguridad de la computadora y se cifraron los datos nuevamente, Kaspersky Endpoint Security genera cuentas duplicadas del Agente de autenticación. Para eliminar duplicados, debe utilizar la utilidad klmover con la clave dupfix. La utilidad klmover se suministra con la compilación de Kaspersky Security Center. Puede leer más sobre su funcionamiento en la ayuda de Kaspersky Security Center.

  Al actualizar la versión de la aplicación a Kaspersky Endpoint Security 11 para Windows, la lista de cuentas del Agente de autenticación no se guarda.

  El acceso a discos duros cifrados solo es posible desde equipos en los que Kaspersky Endpoint Security esté instalado y tengan disponible la funcionalidad de cifrado de disco completo. Esta condición minimiza la probabilidad de que la información almacenada en un disco duro cifrado se filtre cuando el disco duro cifrado se utiliza fuera de la red local de la organización.

Para cifrar discos duros y extraíbles, puede utilizar el archivo . Se recomienda utilizar esta función sólo para dispositivos nuevos que no se hayan utilizado anteriormente. Si está utilizando cifrado en un dispositivo que ya está utilizando, se recomienda cifrar todo el dispositivo. Esto garantiza que todos los datos estén protegidos, incluso los datos que se han eliminado pero que aún contienen información recuperable.

Antes de que comience el cifrado, Kaspersky Endpoint Security recibe un mapa de los sectores del sistema de archivos. La primera secuencia cifra los sectores ocupados por archivos en el momento en que comienza el cifrado. La segunda secuencia cifra los sectores en los que se escribió después de que comenzó el cifrado. Una vez que se completa el cifrado, se cifran todos los sectores que contienen datos.

Si, una vez finalizado el cifrado, el usuario elimina un archivo, los sectores en los que se almacenó este archivo quedan libres para un mayor registro de información a nivel del sistema de archivos, pero permanecen cifrados. Por lo tanto, a medida que los archivos se escriben en el nuevo dispositivo, si ejecuta regularmente el cifrado con la función habilitada Cifrar sólo el espacio utilizado Después de un tiempo, todos los sectores de la computadora estarán cifrados.

Los datos necesarios para descifrar objetos los proporciona el servidor de administración de Kaspersky Security Center, que estaba ejecutando la computadora en el momento del cifrado. Si por alguna razón la computadora con los objetos cifrados quedó bajo el control de otro Servidor de Administración y nunca se logró el acceso a los objetos cifrados, entonces es posible obtenerlo de una de las siguientes maneras:

• solicitar acceso a objetos cifrados al administrador de la red local de la organización;
• recuperar datos en dispositivos cifrados utilizando la utilidad de recuperación;
• restaure la configuración del Servidor de administración de Kaspersky Security Center, que administraba la computadora en el momento del cifrado, a partir de una copia de seguridad y use esta configuración en el Servidor de administración, que administraba la computadora con los objetos cifrados.

Durante el proceso de cifrado, el programa crea archivos de servicio. Almacenarlos requiere aproximadamente el 0,5% del espacio libre no fragmentado en el disco duro de su computadora. Si no hay suficiente espacio libre sin fragmentar en el disco duro, el cifrado no se inicia hasta que se cumpla esta condición.

No se admite la compatibilidad entre la funcionalidad de cifrado de Kaspersky Endpoint Security y Kaspersky Anti-Virus para UEFI. Al cifrar los discos de las computadoras en las que está instalado Kaspersky Anti-Virus para UEFI, Kaspersky Anti-Virus para UEFI no funciona.

22.04.2013 Vladimir Bezmály

En criptografía, el cifrado es el proceso de codificar información de tal manera que sólo los usuarios autorizados puedan leer los datos. En un esquema de cifrado, la información o "texto sin formato" se protege mediante un algoritmo de cifrado, convirtiéndolo en un "texto cifrado" ilegible. Esto generalmente se hace mediante el uso de una clave de cifrado, que determina cómo se deben cifrar los datos.

Los usuarios no autorizados pueden ver el texto cifrado, pero no podrán leer los datos originales. Los usuarios autorizados pueden decodificar texto cifrado utilizando un algoritmo de descifrado, que normalmente requiere una clave de descifrado secreta a la que sólo ellos tienen acceso. Un esquema de cifrado normalmente necesita un algoritmo de generación de claves para generar claves arbitrarias.

Full Disk Encryption (FDE) es una de las formas más efectivas de proteger los datos almacenados en las computadoras portátiles contra robo o pérdida junto con el dispositivo. Pase lo que pase con el dispositivo, el mecanismo FDE garantiza que toda la información almacenada en él no sea accesible para la persona en cuyas manos cayó el dispositivo.

Cuando se utiliza FDE, todos los datos del disco duro se cifran. Básicamente, todos los sectores están cifrados. En este caso, sólo podrá acceder un usuario autorizado que conozca la contraseña. Además, esta tecnología se puede utilizar para medios extraíbles como unidades USB. Veamos el funcionamiento del sistema de cifrado usando el ejemplo del producto Kaspersky Security for Business.

Cómo funciona FDE

FDE se utiliza antes de que se inicie el sistema. Esto significa que la tecnología utilizada comienza a funcionar inmediatamente después de presionar el botón de encendido del dispositivo. El cifrado de disco se puede iniciar directamente en la computadora del usuario o de forma centralizada mediante el módulo del Centro de seguridad. En este caso, el programa cifra todas las unidades seleccionadas e instala un módulo de autorización en el entorno de arranque. Cuando enciende la computadora, el sistema operativo comienza a cargarse en un entorno cifrado (Figura 1). El cifrado ralentiza ligeramente el rendimiento del sistema, lo cual es común en todas las implementaciones de software de cifrado de cualquier proveedor. Todas las operaciones de cifrado (descifrado) pasan desapercibidas para el usuario, independientemente del software que utilice. Esto cifra todo el disco duro (archivo de intercambio, archivo de hibernación, archivos temporales, que a menudo también contienen datos importantes). Y si el usuario pierde la contraseña del disco duro cifrado, la información se puede descifrar utilizando una clave secreta que sólo conoce el administrador del producto. La función FDE está incluida en Kaspersky Endpoint Security. Los administradores de seguridad pueden administrar este complejo de forma centralizada utilizando el Centro de seguridad.

Figura 1. Diagrama de funcionamiento del FDE

Beneficios de la FDE

Cifrado forzado de datos confidenciales. El usuario final no tiene la capacidad de reconfigurar el mecanismo de cifrado. FDE evita el acceso no autorizado a los datos mediante un mecanismo de autenticación (nombre/contraseña). Cuando ingresa la combinación correcta de nombre de usuario y contraseña, el sistema recupera la clave necesaria para descifrar los archivos en su disco duro. De hecho, esto añade una capa adicional de seguridad, ya que los datos cifrados serán inútiles para un atacante una vez que se destruya la clave criptográfica.

Gestión de claves centralizada. Todas las claves de cifrado se almacenan en el Centro de seguridad y solo el administrador de seguridad puede acceder a ellas.

Gestión de cifrado centralizada. La administración de claves de descifrado, el control de acceso para dispositivos móviles, los informes y la recuperación de contraseñas perdidas están disponibles solo para el administrador de seguridad y solo cuando el Centro de seguridad está en ejecución.

Simplicidad y flexibilidad. Desde el punto de vista del usuario final, el cifrado es completamente transparente. Después de una autorización exitosa, el proceso de cifrado/descifrado se produce sin problemas y no afecta la experiencia del usuario.

Recuperación de datos centralizada. En caso de pérdida de contraseña o daño de los medios, los datos se pueden recuperar y descifrar mediante un procedimiento especial de recuperación ante desastres administrado centralmente.

Desventajas de la tecnología FDE

Tenga en cuenta que FDE solo cifra la información almacenada en medios cifrados, por lo que si la envía por correo electrónico o la copia a otro medio, la está copiando en texto sin cifrar.

La clave de descifrado debe estar disponible antes de que se le solicite en la interfaz una contraseña para acceder al sistema. Por lo tanto, si su disco duro está dañado, puede resultar muy difícil recuperar los datos, incluso utilizando un software especial.

Puede utilizar FDE para cifrar unidades SSD, pero debe tener en cuenta que pierde velocidad, una de las principales ventajas de utilizar una SSD.

El mayor inconveniente, en mi opinión, es que sólo admite la autenticación de contraseña. Actualmente no se admiten tarjetas inteligentes, datos biométricos ni tokens.

Cómo funciona FDE

Cada disco duro del dispositivo final utiliza dos claves. La primera clave se utiliza para cifrar/descifrar datos en el disco duro, la clave de cifrado de disco (DEK). La segunda clave está diseñada para cifrar DEK y otros datos vulnerables: la clave maestra de disco (DMK). El DMK para el disco de arranque tiene un propósito especial: es el cifrado/descifrado del DMK para todos los demás discos duros y políticas de usuario. Esta clave se llama clave de punto final (EPK) y para el disco de arranque se cumple la siguiente ecuación:

“EPK”=”Disco de arranque DMK”.

El dispositivo final almacena todos los datos confidenciales (metadatos) en un almacén de metadatos especial al que puede acceder tanto el usuario antes del arranque como desde el modo kernel. Para verificar la integridad y autenticidad de los metadatos, se calcula una etiqueta de autenticación especial (según la especificación CMAC NIST-SP-800-38B) utilizando el DMK como clave.

Cifrado del disco de arranque

Dependiendo del tipo de medio (disco de arranque, disco de datos o disco extraíble), los metadatos tienen su propio formato de implementación física. Un disco de arranque con FDE instalado tiene su propio registro de arranque MBR personalizado. Esta entrada de MBR personalizado no está cifrada y contiene una tabla con los siguientes parámetros importantes: el GUID del disco y la dirección (número de sectores) de la ubicación de los componentes previos al arranque. Otros datos del disco se cifran a nivel de sector utilizando el algoritmo AES-XTS con una clave de 256 bits, excepto dos áreas (Figura 2):

• el área Componentes previos al arranque contiene los componentes ejecutables (PBE, controlador INT13, registro MBR inicial) y la dirección del bloque de metadatos de Endpoint Metadata Storage;
• El área de almacenamiento de metadatos del endpoint contiene todos los metadatos (información confidencial) del dispositivo final utilizado para la autenticación y autorización.

Figura 2. Mecanismo de cifrado del disco duro de arranque

Tanto los componentes previos al arranque como el almacenamiento de metadatos del terminal se pueden ubicar en el medio del disco, entre sectores con datos cifrados.

El área de Almacenamiento de metadatos de endpoints contiene dos secciones principales (Figura 3):

• la sección Metadatos del terminal contiene información relacionada con todo el terminal (políticas de contraseña y configuración del terminal) e información relacionada con el disco de arranque (DEK cifrado y etiqueta de autenticación de metadatos);
• La sección Metadatos de usuarios contiene información relacionada con los usuarios: datos de autenticación de usuarios, DMK cifrado, políticas de usuario, etc.

Figura 3. Estructura de almacenamiento de metadatos de endpoints

La sección Endpoint Metadata consta de un bloque continuo que contiene información auxiliar (versión de metadatos, firma, tamaño de este bloque, tamaño de la sección de usuario, número de usuarios, parámetros de cifrado y autenticación), cifrado utilizando DMK DEK (algoritmo CBC AES, 256- clave de bits), etiqueta de autenticación de todo el almacenamiento de metadatos del endpoint, cifrada con un DMK (AES-CMAC, clave de 256 bits) y configuraciones del endpoint, como políticas de contraseña y clave pública del Security Center.

Una sección de metadatos personalizados contiene uno o más bloques de metadatos personalizados. Cada bloque de metadatos personalizado es un bloque contiguo que contiene las siguientes secciones.

1. Información de respaldo (firma, tamaño de todo el bloque de usuario, estado del registro, tamaño del subbloque de autenticación y número de registros de autenticación, tamaño del subbloque de datos).
2. ID de usuario: nombre de usuario con hash para registrarse en el sistema (algoritmo SHA1).
3. El bloque de datos de autenticación de usuario contiene uno o más registros de autenticación: La autenticación basada en contraseña almacena la información necesaria para autenticar a un usuario con una contraseña. El registro de autenticación basada en token almacena la información necesaria para autenticar a un usuario con un token de seguridad. Esta entrada contiene el ID del token y el DMK cifrado con la clave pública del token. El registro de autenticación basada en certificados almacena la información necesaria para autenticar a un usuario con un certificado. Esta entrada contiene el ID del certificado, los parámetros clave, la clave privada del certificado de usuario cifrada con una contraseña, DMK cifrada con la clave pública del certificado de usuario.
4. El bloque de datos de usuario, cifrado con DMK (CBC AES, clave de 256 bits), contiene políticas de usuario con información de cuenta de usuario y nombre de usuario.

Así, cada usuario puede tener uno o más tipos diferentes de autenticadores al mismo tiempo.

Otras unidades y unidades extraíbles con FDE instalado también tienen una entrada MBR personalizada (en formato no cifrado), pero de un tipo ligeramente diferente. Este MBR personalizado contiene el GUID del disco y un bloque de almacenamiento de metadatos del dispositivo que contiene datos de autenticación y claves cifradas (DMK y DEK). Otros datos en este tipo de medios están completamente cifrados (AES-XTS, clave de 256 bits), consulte la Figura 4.

El área de Almacenamiento de metadatos del dispositivo contiene dos secciones principales.

1. La sección Metadatos del dispositivo contiene información relacionada con el dispositivo actual, como datos de identificación, DEK cifrado y etiqueta de autenticación de metadatos.
2. La sección Metadatos de desbloqueo del dispositivo contiene información relacionada con los dos métodos de desbloqueo: la contraseña base (para un dispositivo independiente) y la contraseña de desbloqueo automático (para una unidad secundaria instalada en el sistema de destino), y datos de autenticación de usuario y un DMK cifrado.

La sección Metadatos del dispositivo consta de un bloque continuo que contiene información auxiliar (versión de metadatos, firma, tamaño de este bloque, parámetros de cifrado y autenticación), cifrada mediante DMK DEK (CBC AES, clave de 256 bits) y etiqueta de autenticación de todos los metadatos del dispositivo. Almacenamiento, clave DMK cifrada (AES-CMAC, clave de 256 bits).

Cuando el cifrado se ejecuta en el dispositivo final, se crean metadatos para todos los discos duros y cuentas de usuario cifrados.

Arrancar en una computadora con un disco de arranque cifrado

Si el disco de arranque está cifrado en el host, antes de cargar el sistema operativo, el usuario debe autenticarse con el agente de prearranque. Según el nombre de usuario y la contraseña ingresados ​​por el usuario, se conectan todos los dispositivos cifrados con FDE que se cifraron en este host. Si se conectó un dispositivo cifrado con FDE al host, cuyo cifrado se realizó en otro host, el acceso a dicho dispositivo se proporcionará solo después de cargar el sistema operativo e iniciar el producto.

Proporcionar acceso al contenido de un disco cifrado

El producto proporciona acceso al contenido del objeto cifrado a cualquier usuario que haya iniciado sesión correctamente en el sistema operativo. Para hacer esto, la primera vez que un usuario accede a un disco cifrado en una computadora determinada, el producto recibe claves de acceso del propio disco cifrado. El producto extrae el criptocontenedor del objeto cifrado y, utilizando el servicio de cifrado SC, obtiene del mismo todas las claves necesarias. Después de obtener exitosamente la clave, el producto la almacena localmente para ese usuario (excepto para algunos usuarios del sistema). Cuando un usuario vuelve a acceder a un objeto cifrado, el producto utiliza la clave almacenada localmente para ese usuario. En el caso de varias sesiones de usuario simultáneas, todos los usuarios reciben acceso a los objetos cifrados si se ha concedido acceso a al menos uno de ellos. En ausencia del producto, un agente especial del modo portátil puede proporcionar acceso a archivos cifrados en un dispositivo extraíble. El producto instala este agente en el dispositivo durante la aplicación de políticas y permite el acceso a archivos cifrados después de que el usuario ingresa correctamente una contraseña.

Cifrado a nivel de archivos

El cifrado a nivel de archivos (FLE) permite el cifrado de datos en archivos y carpetas específicos en un dispositivo determinado (Figura 5). Esto hace que la información seleccionada sea inaccesible para espectadores no autorizados, sin importar dónde esté almacenada. FLE permite a los administradores del sistema cifrar archivos automáticamente según atributos como la ubicación y el tipo de archivo.

Figura 5. Diagrama de funcionamiento FLE

A diferencia del cifrado de disco completo FDE, donde se cifra toda la partición o unidad, FLE no cifra toda la información en un disco duro o dispositivo de almacenamiento portátil como lo hace FDE. Los administradores pueden elegir qué datos deben cifrarse (o no) utilizando reglas que se pueden implementar a través de la interfaz de usuario fácil de usar del software. Se pueden crear reglas de cifrado para que usted pueda decidir qué se debe cifrar; por ejemplo, puede crear listas de archivos para cifrar por su nombre, extensión o directorio. Puede especificar archivos en medios extraíbles o cifrar automáticamente archivos creados o modificados por cualquier aplicación determinada.

El host en el que un usuario accede por primera vez a un objeto cifrado debe ser administrado por el mismo servidor de Security Center que el host en el que se cifró el objeto. De lo contrario, el servicio de cifrado de Security Center no podrá descomprimir el contenedor criptográfico y, en consecuencia, el producto no recibirá las claves para acceder al objeto cifrado.

Si por alguna razón se perdió el acceso al almacenamiento de claves local en el host (el almacenamiento de claves local está dañado, el administrador restableció la contraseña del usuario), cuando el usuario acceda nuevamente al objeto cifrado, el producto intentará obtener la claves del objeto cifrado.