Proceso de cifrado y descifrado en Windows
Cifrado de volúmenes sin cifrado previo
El proceso de cifrado se inicia cuando el agente Advanced EPDR instalado en el equipo de usuario se descarga una configuración de tipo Cifrado. En ese momento se le mostrará al usuario una ventana informativa que le guiará en todo el proceso.
El número de pasos total varía dependiendo del tipo de autenticación elegida por el administrador y del estado previo del equipo. Si cualquiera de los pasos termina en un error, el agente lo reportará a la consola de administración y el proceso se detendrá.
No se permitirá el cifrado de equipos desde una sesión de escritorio remoto ya que es necesario el reinicio del equipo y la introducción de una clave antes de la carga del sistema operativo, operaciones que no son posibles con un sistema de escritorio remoto estándar.
El proceso de cifrado se iniciará cuando la instalación o desinstalación en curso de parches gestionados por el módulo Cytomic Encryption haya finalizado.
A continuación se muestra el proceso completo de cifrado y se indica si se muestra feedback al usuario del equipo y si es necesario el reinicio de la máquina:
| Paso | Proceso en el equipo | Interacción con el usuario |
|---|---|---|
|
1 |
El agente recibe una configuración del módulo de cifrado que pide cifrar el contenido de los dispositivos de almacenamiento instalados. |
Ninguno |
|
2 |
Si el equipo es de tipo servidor y no tiene las herramientas de BitLocker instaladas éstas se descargan y se instalan. |
Se muestra una ventana pidiendo permiso para reiniciar el equipo y completar la instalación de BitLocker o posponer. Si se elige posponer el proceso se detiene y se volverá a preguntar en el siguiente inicio de sesión. Requiere reinicio. |
|
3 |
Si el equipo no estaba cifrado previamente se crea la partición de sistema. |
Se muestra una ventana pidiendo permiso para reiniciar el equipo y completar la creación de la partición de sistema o posponer. Si se elige posponer el proceso se detiene y se volverá a preguntar en el siguiente inicio de sesión. Requiere reinicio. |
|
4 |
Si existe una directiva de grupo definida previamente por el administrador de la red que colisione con las establecidas por Cytomic Encryption se mostrará un error y el proceso terminará. Las directivas de grupo configuradas por Cytomic Encryption son: En el Editor de Directivas de grupo local, navega la ruta siguiente: Directiva equipo local > Configuración del equipo > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker > Unidades del sistema operativo. Marca a Sin definir las políticas de grupo indicadas para evitar este error. |
Si el administrador no ha definido directivas de grupo globales que entren en colisión con las directivas locales definidas por Cytomic Encryption no se mostrará ningún mensaje. |
|
5 |
Preparación del TPM si existe y si el método de autenticación elegido involucra a éste componente y no estaba habilitado previamente desde la BIOS. |
Requiere confirmar un reinicio para que el usuario pueda entrar en la BIOS del equipo y habilitar el TPM. En sistemas operativos Windows 10 no es necesario modificar la BIOS pero se requiere el reinicio igualmente. El reinicio del paso 3, en caso de haberlo, se juntará con el actual. |
|
6 |
Preparación del dispositivo USB si el método de autenticación elegido involucra a este componente. |
Se requiere al usuario introducir un dispositivo USB para almacenar la contraseña de inicio de equipo. |
|
7 |
Almacenamiento del PIN si el método de autenticación elegido involucra a este componente. |
Se requiere al usuario introducir el PIN. Si se utilizan caracteres alfanuméricos y el hardware no es compatible se mostrará el error “-2144272180”. En este caso introduce un PIN numérico. |
|
8 |
Almacenamiento de la passphrase si el método de autenticación elegido involucra a este componente. |
Se requiere al usuario introducir la passphrase. |
|
9 |
Se genera la clave de recuperación y se envía a la nube de Cytomic. Una vez que la clave se ha recibido, el proceso continúa en el equipo del usuario. |
Ninguno. |
|
10 |
Comprobación de que el hardware del equipo es compatible con la tecnología de cifrado, e inicio del cifrado. |
Se requiere confirmar un reinicio para hacer el chequeo del hardware utilizado en los distintos métodos de autenticación elegidos. Requiere reinicio. |
|
11 |
Cifrado de volúmenes. |
Comienza el proceso de cifrado en segundo plano sin ocasionar molestias al usuario del equipo. La duración depende del volumen de datos a cifrar. Una duración media del tiempo de cifrado se sitúa en torno a las 2-3 horas. El usuario puede utilizar y apagar el equipo normalmente. El proceso de cifrado se reanudará en el siguiente encendido del equipo. |
|
12 |
El proceso de cifrado se completa de forma silenciosa y a partir de ese momento el proceso de cifrado y descifrado es transparente para el usuario. |
Dependiendo del método de autenticación elegido el usuario puede necesitar introducir una llave USB, un PIN, una passphrase o nada en el inicio del equipo. |
Cifrado de volúmenes ya cifrados previamente
En el caso de que algún volumen del equipo ya estuviera cifrado, Cytomic Encryption modifica algunos parámetros para habilitar su gestión centralizada. A continuación se indican las acciones realizadas:
-
Si el método de autenticación elegido por el usuario no coincide con el especificado en la configuración, éste se cambiará, solicitándole al usuario las claves o recursos hardware necesarios. Si no es posible asignar un método de autenticación compatible con la plataforma y con la configuración especificada por el administrador, el equipo quedará cifrado por el usuario y no será gestionado por Cytomic Encryption.
-
Si el algoritmo de cifrado utilizado no está soportado (distinto de AES-256) se dejará sin cambios para evitar el descifrado y cifrado completo el volumen pero el equipo será administrador por Cytomic Encryption.
-
Si existen tanto volúmenes cifrados como sin cifrar, se cifrarán todos los volúmenes aplicando el mismo método de autenticación.
-
Si el método de autenticación elegido previamente involucra la introducción de una contraseña y es compatible con los métodos soportados por Cytomic Encryption, se volverá a pedir la contraseña al usuario para unificar el método de autenticación en todos los volúmenes.
-
Si el usuario eligió una configuración de cifrado distinta a la establecida por el administrador (cifrado unicamente de los sectores ocupados frente al cifrado completo del volumen) el volumen se dejará sin cambios para minimizar el proceso de cifrado.
-
Al final de todo el proceso el dispositivo pasa a ser gestionado por Cytomic Encryption y se genera la clave de recuperación para su posterior envío a la nube de Cytomic.
Cifrado de nuevos volúmenes
Si una vez completado el proceso de cifrado el usuario del equipo crea un nuevo volumen, Cytomic Encryption lo cifrará inmediatamente respetando la configuración asignada por el administrador de la red.
Descifrado de volúmenes
Se distinguen tres casos:
-
Si Cytomic Encryption cifra un equipo, a partir de ese momento el administrador podrá asignar una configuración para descifrarlo.
-
Si un equipo ya estaba cifrado por el usuario antes de la instalación de Cytomic Encryption y se le asigna una configuración de cifrado se considerará cifrado por Cytomic Encryption y se podrá descifrar asignando una configuración desde la consola de administración.
-
Si un equipo ya estaba cifrado por el usuario antes de la instalación de Cytomic Encryption y nunca se le ha asignado una configuración de cifrado no se considerará cifrado por Cytomic Encryption y no se podrá descifrar asignando una configuración desde la consola de administración.
Modificación local de la configuración de BitLocker
El usuario del equipo tiene acceso a la configuración local de BitLocker desde las herramientas de Windows pero los cambios que efectúe serán revertidos de forma inmediata a la configuración establecida por el administrador de la red a través de la consola de administración. El comportamiento de Cytomic Encryption ante un cambio de esta naturaleza se muestra a continuación:
-
Desactivar el desbloqueo automático de una unidad: se revierte a la configuración de bloqueo automático.
-
Quitar la contraseña de un volumen: se pedirá la nueva contraseña.
-
Descifrar un volumen previamente cifrado por Cytomic Encryption: se cifrará automáticamente el volumen.
-
Cifrar una unidad descifrada: si la configuración de Cytomic Encryption implica descifrar las unidades la acción del usuario prevalece y no se descifrará la unidad.
Cifrado y descifrado de discos duros externos y llaves USB
Como el usuario del equipo puede conectar y desconectar medios de almacenamiento externos en cualquier momento, el comportamiento de Cytomic Encryption para este tipo de dispositivos difiere en los puntos siguientes:
-
Si el equipo del usuario o servidor no dispone de BitLocker, el agente no descargará los paquetes necesarios, y por lo tanto el dispositivo no se cifrará ni mostrará ningún aviso al usuario.
-
Si el equipo dispone de BitLocker, solo se mostrará un mensaje emergente al usuario ofreciendo la posibilidad de cifrarlo en las siguientes situaciones:
-
Cada vez que conecte un dispositivo de almacenamiento USB sin cifrar.
-
Si hay un dispositivo conectado en el equipo y sin cifrar cuando el administrador activa la configuración desde la consola web.
-
-
El mensaje de cifrado se mostrará al usuario durante 5 minutos, transcurridos los cuales dejará de ser visible. Tanto si el usuario acepta el cifrado como si no, el dispositivo podrá ser utilizado de forma normal, a no ser que se haya establecido previamente una configuración que impida el uso de estos dispositivos sin cifrar. Consulta Escritura en unidades de almacenamiento extraíbles para más información.
-
Cifrar en un dispositivo USB no requiere crear una partición de sistema.
-
Si el dispositivo de almacenamiento externo ya está cifrado por otra solución distinta de Cytomic Encryption, al conectarlo al equipo no se mostrará el mensaje de cifrado y se podrá usar con normalidad. Cytomic Encryption no enviará las claves de recuperación a la consola web.
-
Si se ha establecido una configuración de control de dispositivos que impida la conexión de este tipo de hardware, no se mostrará el mensaje de cifrado en el equipo del usuario. Consulta Control de dispositivos (Equipos Windows) para más información.
-
No se permitirá la escritura en dispositivos USB si está establecida la configuración Escritura en unidades de almacenamiento extraibles de Cytomic Data Watch y el dispositivo no ha sido cifrado con BitLocker o con Cytomic Encryption. Consulta Escritura en unidades de almacenamiento extraíbles para más información.
-
Para descifrar un dispositivo cifrado por Cytomic Encryption el usuario puede utilizar BitLocker de forma manual.
-
Solo se cifra el espacio utilizado.
-
Todas la particiones del dispositivo se cifran con la misma clave.
Retirar un dispositivo USB cuando el proceso de cifrado no se ha completado puede corromper todo su contenido.