Glosario
Advanced Authentication: el producto Advanced Authentication proporciona opciones de lectores de tarjetas inteligentes. Advanced
Authentication ayuda a administrar estos diversos métodos de autenticación, admite inicio de sesión con unidades de cifrado automático,
SSO, y administra credenciales y contraseñas de usuario.
Contraseña de administrador de cifrado (EAP): la EAP es una contraseña administrativa que es exclusiva para cada equipo. La mayoría
de los cambios de configuración realizados en la consola de administración local requieren esta contraseña. Además, esta contraseña es la
misma que necesita para utilizar el archivo LSARecovery_[hostname].exe a fin de recuperar datos. Anote y guarde esta contraseña en un
lugar seguro.
Cliente Encryption: el cliente Encryption es el componente en dispositivo que aplica las políticas de seguridad, independientemente de
que un extremo esté conectado a la red, desconectado de la red, perdido o robado. Creando un entorno informático de confianza
para extremos, el cliente Encryption funciona como capa sobre el sistema operativo del dispositivo, y ofrece autenticación, cifrado y
autorización aplicados de forma coherente para maximizar la protección de información confidencial.
Claves de cifrado: en la mayoría de los casos, Encryption utiliza la clave de cifrado del usuario, junto con dos claves de cifrado adicionales.
Sin embargo, hay excepciones: todas las políticas de SDE y la política Proteger credenciales de Windows utilizan la clave de SDE. La
política Cifrar archivo de paginación de Windows y Proteger archivo de hibernación de Windows utilizan su propia clave, la Clave de
propósito general (GPK). La clave de cifrado común permite que todos los usuarios administrados tengan acceso a los archivos en el
dispositivo en el que se crearon. La clave de cifrado del usuario determina que solo tenga acceso a los archivos la persona que los crea
y únicamente en el dispositivo en el que se crearon. La clave de cifrado de roaming del usuario determina que solo tenga acceso a los
archivos la persona que los crea en cualquier dispositivo Windows o Mac cifrado.
Barrido de cifrado: el proceso de escanear las carpetas que se van a cifrar para garantizar que los archivos que contienen estén en el
estado de cifrado correcto. Las operaciones de creación de archivo ordinaria y cambio de nombre no desencadenan un barrido de cifrado.
Es importante entender cuándo se puede producir un barrido de cifrado y cómo puede afectar los tiempos de barrido resultantes, de
la siguiente forma: se producirá un barrido de cifrado durante el recibo inicial de una política que tenga habilitado el cifrado. Esto puede
ocurrir inmediatamente después de la activación si la política tiene habilitado el cifrado. - Si la política Escanear estación de trabajo durante
el inicio de sesión está habilitada, se realiza un barrido en las carpetas especificadas para el cifrado en cada inicio de sesión del usuario. -
Se puede volver a desencadenar un barrido con determinados cambios de política posteriores. Cualquier cambio de política relacionado con
la definición de las carpetas de cifrado, los algoritmos de cifrado, el uso de claves de cifrado (común frente a usuario), desencadena un
barrido. Además, cambiar entre cifrado activado y desactivado desencadenará un barrido de cifrado.
Autenticación previa al arranque (PBA): la autenticación previa al arranque sirve como una extensión del BIOS o del firmware de arranque
y garantiza un entorno seguro, a prueba de manipulaciones y externo al sistema operativo que sirve como una capa confiable de
autenticación. La PBA impide la lectura de la unidad de disco duro, incluido el sistema operativo, hasta que el usuario haya confirmado que
tiene las credenciales correctas.
Inicio de sesión único (SSO): El inicio de sesión único simplifica el proceso de inicio de sesión cuando está habilitada la autenticación
multifactor tanto antes del arranque como al inicio de sesión en Windows. Si está habilitada, la autenticación se requiere solo en el preinicio,
y los usuarios inician sesión en Windows automáticamente. Si está deshabilitada, la autenticación puede requerirse varias veces.
System Data Encryption (SDE): el SDE está diseñado para cifrar el sistema operativo y los archivos de programa. Para cumplir con este
propósito, SDE debe poder abrir su clave mientras se inicia el sistema operativo. La finalidad de este requisito es evitar que el sistema
operativo quede expuesto a alteraciones o ataques perpetrados por piratas informáticos. SDE no está desarrollado para proteger datos
de usuario. El cifrado de clave común y de usuario está pensado para datos de usuario confidenciales porque requieren una contraseña
de usuario para desbloquear claves de cifrado. Las políticas de SDE no cifran los archivos que necesita el sistema operativo para el
proceso de inicio. Las políticas de SDE no requieren de autenticación antes del inicio ni interfieren de manera alguna con el registro de
inicio maestro. Cuando el equipo arranca, los archivos cifrados están disponibles antes del inicio de sesión de los usuarios (a fin de activar
la administración de revisiones, SMS y las herramientas de copias de seguridad y de recuperación). La deshabilitación de SDE activa el
descifrado automático de todos los archivos y directorios cifrados de SDE de los usuarios correspondientes, sin tener en cuenta los otros
valores de política de SDE, como Reglas de cifrado de SDE.
Trusted Platform Module (TPM): el TPM es un chip de seguridad que cumple tres funciones importantes: atestación, medición y
almacenamiento seguro. El cliente Encryption utiliza el TPM por su función de almacenamiento seguro. El TPM también sirve para
proporcionar contenedores cifrados al almacén de software.
13
92 Glosario