Cytomic Encryption(Cifrado de dispositivos)
Cytomic Encryption es un módulo integrado en la plataforma Cytomic que cifra el contenido de los medios de almacenamiento conectados a los equipos administrados por Advanced EDR. Su objetivo es minimizar la exposición de la información de las empresas, tanto en casos de pérdida o robo de los equipos como al descartar sistemas de almacenamiento en uso sin borrar previamente su contenido.
Cytomic Encryption es compatible con ciertas versiones de sistemas operativos Windows 7 en adelante y con determinadas versiones de macOS (consulta Versiones compatibles del sistema operativo Windows) y permite controlar el estado del cifrado de los equipos de la red, gestionando de forma centralizada sus claves de recuperación. Además, aprovecha recursos hardware como los chips TPM, ofreciendo una gran flexibilidad a la hora de elegir el sistema de autenticación más adecuado en cada caso.
Para obtener información adicional sobre los distintos apartados del módulo Cytomic Encryption consulta las referencias siguientes:
Crear y gestionar configuraciones: información sobre crear, modificar, borrar o asignar configuraciones a los equipos de la red.
Acceso, control y supervisión de la consola de administración : gestión de cuentas de usuario y asignación de permisos.
Gestión de listados: información sobre como gestionar listados.
Introducción a los conceptos de cifrado
Cytomic Encryption utiliza las herramientas integradas en los sistemas operativos Windows y macOS para gestionar el cifrado en los equipos de la red gestionados con Advanced EDR.
Para una correcta comprensión de los procesos involucrados en el cifrado y descifrado de la información, es necesario presentar algunos conceptos relativos a la tecnología de cifrado utilizada.
TPM
TPM (Trusted Platform Module, módulo de plataforma segura) es un chip que se incluye en algunas placas base de equipos de sobremesa, portátiles y servidores. Su principal objetivo es proteger la información sensible de los usuarios, almacenando claves y otra información utilizada en el proceso de autenticación.
Ademas, el TPM es el responsable de detectar los cambios en la cadena de inicio del equipo, impidiendo por ejemplo el acceso a un disco duro desde un equipo distinto al que se utilizó para su cifrado.
La versión mínima de TPM soportada por Cytomic Encryption es la 1.2. y Cytomic recomienda su uso en combinación con otros sistemas de autenticación soportados. En algunos escenarios es posible que el TPM esté deshabilitado en la BIOS del equipo y sea necesario su activación manual.
Tipos de autenticación soportados
Contraseña de inicio de sesión
En el sistema operativo macOS no se dispone de métodos de autenticación independientes, por lo que se utiliza siempre la contraseña de inicio de sesión, compatible con todas las versiones de macOS soportadas por Cytomic Encryption.
PIN
El PIN (Personal Identification Number, número de identificación personal) es una secuencia de números que actúa como contraseña simple y es requerida en el inicio de un equipo que tenga un volumen cifrado. Sin el PIN la secuencia de arranque no se completa y el acceso al equipo no es posible. Compatible con todas las versiones de Windows soportadas.
PIN extendido
Si el hardware es compatible,Cytomic Encryption utilizará un PIN extendido o PIN mejorado compuesto por letras y números para incrementar la complejidad de la contraseña.
Debido a que el PIN Extendido se pide en el proceso de inicio del equipo previo a la carga del sistema operativo, las limitaciones de la BIOS pueden restringir la entrada de teclado a la tabla ASCII de 7 bits.
Adicionalmente, los teclados que utilizan una distribución distinta a la dispuesta en el mapa de caracteres EN-US, tales como teclados QWERTZ o AZERTY, pueden provocar el fallo en la introducción del PIN Extendido. Por esta razón, Cytomic Encryption controla que los caracteres introducidos por el usuario pertenecen al mapa EN-US antes de establecer el PIN Extendido en el proceso de cifrado del equipo.
Compatible con todas las versiones de Windows soportadas.
Passphrase
Una passphrase es una contraseña de mayor longitud formada por caracteres alfanuméricos equivalente al PIN Extendido.
Cytomic Encryption establece las siguientes prioridades al solicitar un tipo u otro de contraseña al usuario:
-
Passphrase: siempre que el equipo tenga un TPM instalado.
-
PIN extendido: si el sistema operativo y el hardware del equipo lo soportan.
-
PIN: si todas las demás opciones no son válidas.
Compatible con equipos Windows 8 y posteriores sin TPM.
Llave USB
Permite almacenar la clave de acceso en un dispositivo USB formateado con NTFS, FAT o FAT32. De esta forma, no se requiere introducir ninguna contraseña en el proceso de inicio del equipo, aunque es necesario que el dispositivo USB que almacena la contraseña esté conectado en el equipo.
Compatible con equipos Windows 7 sin TPM.
Algunos PCs antiguos no son capaces de acceder a las unidades USB en el proceso de arranque, comprueba que los equipos de tu organización tienen acceso a las unidades USB desde la BIOS.
Clave de recuperación
Cuando se detecta una situación anómala en un equipo protegido con Cytomic Encryption o en el caso de que hayamos olvidado la contraseña de desbloqueo, el sistema pedirá una clave de recuperación. Esta clave se gestiona desde la consola de administración y debe ser introducida para completar el inicio del equipo.
Cytomic Encryption únicamente almacena las claves de recuperación de los equipos que gestiona. La consola de administración no mostrará las claves de recuperación de los equipos cifrados por el usuario y no gestionados por Cytomic.
La clave de recuperación se solicita en los escenarios mostrados a continuación:
-
Cuando se introduce errónea y repetidamente el PIN o la passphrase en el proceso de inicio del equipo.
-
Cuando un equipo protegido con TPM detecta un cambio en la secuencia de arranque (disco duro protegido por TPM y conectado en otro equipo).
-
Cuando se ha cambiado la placa base del equipo y por lo tanto el TPM.
-
Al desactivar, deshabilitar o borrar el contenido del TPM.
-
Al cambiar los valores de configuración de arranque del equipo.
-
Al cambiar el proceso de arranque del equipo:
-
Actualización de la BIOS.
-
Actualización del firmware.
-
Actualización de la UEFI.
-
Modificación del sector de arranque.
-
Modificación del registro maestro de arranque (master boot record).
-
Modificación del gestor de arranque (boot manager).
-
Cambio del firmware implementado en ciertos componentes que forman parte del proceso de arranque del equipo (tarjetas de vídeo, controladores de discos, etc.) conocido como Option ROM.
-
Cambio de otros componentes que intervienen en las fases iniciales del arranque del sistema.
-
BitLocker
Es el software instalado en algunas versiones de los equipos Windows 7 y superiores encargado de gestionar el cifrado y descifrado de los datos almacenados en los volúmenes del equipo. Cytomic Encryption instala BitLocker automáticamente en aquellas versiones de servidor que no lo incluyan pero sean compatibles.
FileVault
Es el software integrado en el sistema operativo macOS, que permite cifrar de forma automática todos los archivos que se almacenan en el disco duro o memoria SSD del ordenador.
Partición de sistema
En el sistema operativo Windows, es una zona pequeña del disco duro que permanece sin cifrar y que es necesaria para que el equipo complete correctamente el proceso de inicio. Cytomic Encryption crea automáticamente esta partición de sistema si no existiera previamente.
Algoritmo de cifrado
El algoritmo de cifrado para Windows elegido en Cytomic Encryption es el AES-256 aunque los equipos con volúmenes cifrados por el usuario que utilicen otro algoritmo de cifrado también son compatibles.
En macOS, el único algoritmo disponible es el AES-XTS.