Aplica A: WatchGuard Full Encryption
WatchGuard Full Encryption (disponible en WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR y WatchGuard EPP) cifra y descifra las unidades de computadora y los dispositivos (solo Windows) de almacenamiento extraíbles, sin ningún impacto para los usuarios. Full Encryption monitoriza el estado del cifrado de las computadoras de la red y también administra las claves de recuperación para unidades administradas (Windows) o computadoras (Windows y Mac).
Para ayudar a minimizar la exposición de los datos corporativos en caso de pérdida o robo, Full Encryption aprovecha los recursos de hardware, como el chip Trusted Platform Module (TPM) y la tecnología Microsoft BitLocker, o FileVault para macOS, para cifrar y descifrar unidades. También admite métodos de autenticación para diferentes configuraciones de computadora.
Puede utilizar Full Encryption para:
Cuando aplica los ajustes de Full Encryption para administrar una computadora, es posible que la computadora necesite la interacción del usuario para continuar. Para más información, vaya a Full Encryption y las Interacciones del Usuario con la Computadora — Computadoras con Windows.
Cifrar Dispositivos
Cifrado de Unidades Sin Cifrar
El cifrado comienza cuando el WatchGuard Endpoint Agent instalado en una computadora descarga los ajustes de cifrado. Un asistente en el endpoint guía al usuario a través del proceso de cifrado y cifra todos los discos duros que se encuentran en la computadora. Cualquier unidad previamente cifrada recibe los ajustes de cifrado que especifica Full Encryption.
La cantidad de pasos de cifrado que deben realizarse depende del tipo de autenticación que elija el administrador de la red y del estado anterior de la computadora.
Si crea una nueva entrada en la unidad una vez finalizado el proceso de cifrado, Full Encryption cifrará la unidad inmediatamente y en función de los ajustes de cifrado.
No puede utilizar Full Encryption para cifrar las computadoras de una sesión de escritorio remoto. Debe reiniciar la computadora e ingresar una contraseña para poder instalar Full Encryption.
Cuando Existe un Cifrado Anterior
Para administrar una computadora con Full Encryption, la computadora debe recibir correctamente los ajustes de WatchGuard Endpoint Security al menos una vez. Los ajustes establecen el cifrado de las unidades.
Si una computadora ya tiene unidades cifradas, pero Full Encryption no envía los ajustes de la computadora para cifrar las unidades, Full Encryption no administra la computadora. Esto significa que el administrador de la computadora no puede acceder a las claves de recuperación ni monitorizar el estado de la computadora. Sin embargo, si Full Encryption envía los ajustes para cifrar las unidades, independientemente del estado anterior de la unidad (cifrada o no), Full Encryption administra la computadora.
Cuando intente cifrar una unidad previamente cifrada, tenga en cuenta estos puntos:
- Después de que Full Encryption cifre correctamente una computadora, Full Encryption podrá administrarla.
- Si un usuario de la computadora selecciona un método de autenticación que difiere del método especificado en Full Encryption, se muestra un aviso en la computadora del usuario que solicita contraseñas u otros recursos de hardware.
- Si no es posible utilizar un método de autenticación compatible con el sistema operativo, y especificado por el administrador de red, el método de cifrado existente sigue vigente. Full Encryption no administra la computadora.
- Si el algoritmo de cifrado no es AES-256, Full Encryption no realiza cambios de cifrado en la unidad de la computadora. Full Encryption administra la computadora.
- Si existen unidades cifradas y sin cifrar, Full Encryption utiliza el mismo método de autenticación para cifrar todas las unidades.
- Para unificar los métodos de autenticación, si un método de autenticación anterior requiere una contraseña y el método es compatible con los métodos de autenticación admitidos por Full Encryption, aparece un mensaje en la computadora del usuario que solicita la contraseña.
- Si los ajustes de cifrado del usuario de la computadora difiere de los reflejados en el panel de control de Full Encryption, para minimizar el proceso de cifrado, Full Encryption no realiza ningún cambio de cifrado.
- Cuando administra una unidad con Full Encryption, al final del proceso, Full Encryption genera una clave de recuperación y la envía al servidor de WatchGuard.
Para obtener información sobre cómo cifrar unidades desde la UI de administración de Full Encryption, vaya a Ajustes de Cifrado.
Full Encryption y las Interacciones del Usuario con la Computadora — Computadoras con Windows
Cuando Full Encryption aplica los ajustes de cifrado, es posible que el usuario tenga que interactuar con las computadoras administradas para solucionar estos problemas.
- Si una computadora no tiene BitLocker instalado, Full Encryption descarga e instala la herramienta. El usuario de la computadora debe reiniciarla para completar la instalación.
- Si una computadora no tiene cifrado previo, Full Encryption crea una partición del sistema. El usuario de la computadora debe reiniciar la computadora para completar la creación de la partición.
- Si existe una política de grupo que entra en conflicto con los ajustes de Full Encryption, aparece un mensaje de error y el proceso se detiene. El cifrado no se iniciará hasta que el usuario de la computadora corrija el error.
- Si una computadora tiene instalado un chip TPM, es posible que el usuario de la computadora tenga que habilitar el chip TPM desde el BIOS de la computadora. La computadora debe reiniciarse para que el usuario pueda acceder al BIOS.
- Si una computadora utiliza un dispositivo USB para la autenticación, el usuario de la computadora debe insertar el dispositivo USB cuando se inicie la computadora.
- Si una computadora utiliza un PIN o una contraseña para la autenticación, el usuario de la computadora debe escribir el PIN o la contraseña.
- Si una computadora no supera la prueba de hardware del proceso de arranque, la computadora no inicia el cifrado hasta que el usuario de la computadora corrija el error.
Particiones del Sistema — Computadoras con Windows
Si no existe una partición del sistema, Full Encryption crea automáticamente una partición del sistema en el disco duro. Una partición del sistema es un área pequeña y sin cifrar de la unidad (aproximadamente 1,5 GB). La computadora utiliza esta área requerida para completar el proceso de arranque.
Cuando Full Encryption cifra una unidad USB, no crea una partición del sistema. (Solo computadoras con Windows)
Full Encryption y las Interacciones del Usuario con la Computadora — Dispositivos Mac
Los usuarios de Mac reciben un mensaje para que ingresen las credenciales de administrador:
- Cuando Full Encryption aplica una política de cifrado a un dispositivo Mac sin cifrar, el usuario de Mac recibe un mensaje para que ingrese las credenciales de administrador y comience el cifrado. Si el usuario no ingresa las credenciales, recibirá un mensaje cada hora para que las ingrese.
- Cuando un dispositivo Mac ha sido cifrado previamente por otro producto, Full Encryption restablece la clave de recuperación y solicita al usuario las credenciales de administrador.
- Si el usuario habilita o deshabilita FileVault manualmente en su computadora, Full Encryption le solicita nuevamente las credenciales de administrador para restaurar la configuración establecida en la UI de administración. Si es necesario, Full Encryption vuelve a generar la clave de recuperación.
- Si el usuario modifica o elimina la clave de recuperación, Full Encryption vuelve a solicitarle las credenciales de administrador y genera una nueva clave de recuperación que reemplaza a la clave original en los servidores de WatchGuard Cloud.
Descifrar Dispositivos
Para obtener información sobre cómo descifrar unidades desde la UI de administración de Full Encryption, vaya a Descifrar Dispositivos.
Requisitos de WatchGuard Full Encryption
Tipos de Autenticación de Full Encryption