Guía para la Gestión de Cifrado
IBERO ASISTENCIAPráctica o problema30 de Junio de 2022
4.309 Palabras (18 Páginas)68 Visitas
Guía para la Gestión de Cifrado | [pic 1] |
[pic 2]
Uso interno |
Guía para la Gestión de Cifrado
Fecha de actualización: 13/02/2020
INDICE
1 PROCEDIMIENTO DE CIFRADO - BITLOCKER 2
1.1 Requisitos del Equipo 2
1.2 Instalación del agente 4
1.3 Proceso de Cifrado 5
1.4 Comprobación del estado de cifrado 6
1.4.1 Comprobaciones del estado de cifrado 6
1.4.2 Comprobaciones del estado de cifrado 6
1.4.3 Comprobaciones de la versión TPM 7
1.4.4 Comprobaciones de la partición 8
1.5 Crear particiones para el cifrado con Bitlocker 9
1.6 Grupos de directorio activo 9
1.7 Incidencias Comunes 10
1.7.1 Solicitud de clave de recuperación cada reinicio 10
1.7.2 Equipo no reporta a la consola MBAM 10
1.7.3 Downgrade TPM 2.0 a 1.2 11
1.7.4 Cambiar Modo bios a uefi 16
2 PROCEDIMIENTO DE RECUPERACIÓN - BITLOCKER 17
2.1 Procedimiento de Recuperación 17
2.1.1 Causas de recuperación 17
2.1.2 Proceso de recuperación de claves 17
2.1.3 Proceso de recuperación de disco duro 20
3 PROCEDIMIENTO DE CIFRADO CON CHECKPOINT 22
3.1 Software de cifrado 22
3.2 Proceso Previo: Instalación 22
3.2.1 Instalación en equipos nuevos 22
3.2.2 Instalación en equipos cifrados replataformados 22
3.2.3 Reinstalación en un equipo después de la desinstalación 23
4 DESCIFRADO DE EQUIPOS CON CHECKPOINT 23
4.1 Mediante la desinstalación del software de cifrado 23
4.2 Recuperación sin acceso a SO 23
4.2.1 Equipos cifrados con Checkpoint R73 24
4.2.2 Equipos cifrados con Checkpoint R77 25
PROCEDIMIENTO DE CIFRADO - BITLOCKER
Requisitos del Equipo
Los requisitos necesarios para poder cifrar una máquina con la herramienta Bitlocker son los siguientes:
- La máquina no debe estar cifrada con ninguna otra herramienta, si fuera así, se tendría que descifrar y desinstalar dicha herramienta antes de comenzar a ejecutar los pasos de este procedimiento.
- La máquina deberá tener una versión de TPM igual o superior a la 1.2.
- La máquina que se va a cifrar deberá disponer de una partición del sistema activa de al menos 350 MB además de la partición de datos, ambas deben estar formateadas con NTFS.
- El equipo deberá pertenecer preferentemente al Directorio Activo (DA) de MAPFRE (mapfre.net). Si el equipo no pertenece al DA de MAPFRE, consultar la solución en Zzd Disma Cifrado Dispositivos DISMA.CifradoDispositivos@mapfre.com.
- La cuenta de equipo tiene que estar ubicada en la OU de “Puestos” de su entidad, por ejemplo:
- Los equipos de Irlanda tienen que estar incluidos en la OU int.mapfre.net/MASIST/EUR/Irlanda/Puestos
- Los equipos de Paraguay tienen que estar incluidos en la int.mapfre.net/MASIST/LATAM/Paraguay/Puestos
- Los equipos de Australia tienen que estar incluidos en la int.mapfre.net/MASIST/AOMA/Australia/Puestos
- …
- Es recomendable siempre que sea posible realizar una copia de seguridad de los datos antes de iniciar el proceso de cifrado por si surgiera algún problema durante el proceso.
Además de los requisitos anteriores, el equipo deberá tener un sistema operativo corporativo compatible con la herramienta.
- Windows 7 Enterprise 32 bits o 64 bits
- Windows 10 Enterprise 32 bits o 64 bits
Se puede comprobar la conectividad con la consola de MBAM accediendo a las siguientes URL’s desde los clientes a cifrar, debiendo ver una pantalla similar a las que se adjuntan a continuación, en el caso de que la comunicación sea correcta:
https://mbamvip.es.mapfre.net/MBAMRecoveryAndHardwareService/CoreService.svc
[pic 3]
https://mbamvip.es.mapfre.net/MBAMComplianceStatusService/StatusReportingService.svc
[pic 4]
Instalación del agente
Para poder realizar el cifrado correctamente con la herramienta Bitlocker en una máquina, es necesario instalar el agente de MBAM. Se deberá instalar el agente que corresponda con el sistema operativo de la máquina en la que se va a instalar. Hay dos tipos de agentes, de 32 y 64 bits. La ruta para acceder al fichero de instalación es la siguiente:
https://wdismaexplo.es.mapfre.net/CARI/CifradoHDD/cliente_Agente_Mbam.rar
Si no se puede acceder a esta ruta se debe contactar con el buzón Zzd Disma Cifrado Dispositivos <DISMA.CifradoDispositivos@mapfre.com>.
Los pasos para realizar la instalación del agente son los siguientes:
- Se ejecuta el software del agente con permisos de administrador.
- Se aceptan los términos de licencia y se continúa con la instalación.
[pic 5]
- Una vez finalizada la instalación se debe reiniciar el equipo.
Para comprobar si el agente de MBAM está instalado se accede al panel de control y se comprueba que aparezca el agente.[pic 6]
Proceso de Cifrado
Instalado el agente, para que el equipo comience a cifrar se debe meter en el grupo GSEC-SVC-POLSEC-PUESTOS-DISCO_MBAM del directorio activo. Este grupo tiene configurada una GPO para que inicien el proceso de cifrado.
Se utiliza el procedimiento habitual para agregar la máquina al grupo del directorio activo. Si desconoces el procedimiento debes ponerte en contacto con el buzón Zzd Disma Cifrado Dispositivos <DISMA.CifradoDispositivos@mapfre.com> para que lo agreguen al grupo.
Terminado este paso, el equipo deberá comenzar a cifrar el disco. El proceso puede tardar hasta 24 horas una vez que le ha aplicado la GPO. Además, para que el equipo inicie el cifrado debe estar conectado a la red.
Durante el proceso de cifrado no es recomendable apagar el equipo, ni desconectarlo de la corriente eléctrica. Aunque si el equipo se apaga, una vez encendido de nuevo, el proceso se reanudará por donde se quedó.
Cuando la máquina ha cifrado, en el panel de control en la opción Microsoft Bitlocker Administration and Monitoring aparecerá la unidad cifrada.
[pic 7]
En la siguiente sección de esta guía hay métodos alternativos para conocer el estado del cifrado.
Si se han realizado los pasos descritos en el documento, pero el proceso de cifrado no se ha iniciado, debes ponerte en contacto con el siguiente buzón Zzd Disma Cifrado Dispositivos <DISMA.CifradoDispositivos@mapfre.com>.
...