En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Cambios de formato leves; no hay cambios de contenido.
Para recibir una notificación por correo electrónico cuando se actualice este artículo, haga clic en Suscribirse en la parte derecha de la página. Para suscribirse debe haber iniciado sesión.
Esta lista presenta preguntas y respuestas comunes, y está pensada para usuarios que no están presentes en el producto.
NOTAS:
Para revisar las preguntas frecuentes de Endpoint Assistant (EA), consulte KB85917-FAQ for Endpoint Assistant 2.x. EA es una aplicación complementaria para iOS y Android desarrollada para funcionar con DE. Los costos de Help Desk de DE DE DE no suelen estar relacionados con la administración de restablecimiento de contraseña de usuario. EA puede descargar por completo el restablecimiento de la contraseña previa al arranque de Help Desk costos relacionados con los usuarios. Puede activar a los usuarios restablecer las contraseñas previas al arranque de forma segura incluso si no tienen acceso a un teléfono para llamar a la Help Desk.
Contenido Haga clic para expandir la sección que desee ver:
¿Qué es un usuario OptIn y OptOut?
Es posible que vea las referencias a los usuarios OptIn y OptOut en los registros. Por ejemplo, error en la implementación de directivas: usuario de OptId asignado.
Los usuarios de optin tienen su Directiva de implementación basada en usuario (UBP) establecida en true en ePO, lo que significa que se aplica un UBP específico.
Los usuarios de OptOut tienen la implementación de UBP establecida en false, lo que significa que se aplican los UBP asignados al equipo.
¿Por qué necesito?
El objetivo clave de DE es proteger solo los datos confidenciales del disco cuando están en reposo. Es posible que este tipo de protección también sea necesario para cubrir las leyes de protección de identidad.
¿Qué protección tengo cuando se desactiva la autenticación de arranque previo al activar la función de arranque automático temporal?
El propósito clave de DE es proteger el disco en reposo cuando se desbloquea el disco. Sin embargo, DE no proporciona protección DE acceso a datos. Por lo tanto, si desea un sistema seguro, no utilice la función de arranque automático. La función de arranque automático elimina de forma efectiva la autenticación previa al arranque, que elimina por completo la seguridad del producto. La función de arranque automático solo se proporciona como medio temporal. Para obtener más detalles sobre el arranque automático, consulte arranqueautomático. Para obtener detalles sobre el arranque automático seguro del módulo de plataforma segura (TPM).
Compatibilidad de 7.2.0 y posteriores:
¿Es compatible con el parámetro de línea de comandos nuevo de la actualización de aniversario de Windows 10 o ReflectDrivers para la ampliación local? Sí. Microsoft ha incluido una nueva función en la actualización de aniversario de Windows 10 que permite una ampliación en contexto del sistema operativo a través de ISO y SCCM mediante una /Reflectdrivers opción.
Este modificador de comando especifica la ruta de acceso a una carpeta que contiene controladores de cifrado para un equipo que tiene activado el cifrado de terceros. Los controladores de PnP están instalados y la ampliación puede continuar.
Nota: La /Reflectdrivers opción también es compatible con de 7.1.3 hotfix 1148978 o posterior. No obstante, el proceso se ha simplificado aún más con DE 7.2.0 , como resultado de los cambios introducidos en el instalador del producto.
¿Es compatible con la herramienta de conversión de Unified extensible firmware Interface (UEFI) ( MBR2GPT.EXE ) con Windows 10 Creators Update y posteriores? Sí. Se ha desarrollado una herramienta DE TABLA DE particiones DE Master Boot Record (MBR) GUID (GPT) ( MdeMbr2GptTool.exe ), que funciona en Microsoft Windows 10 (versión 1703) Creators Update y posteriores (64 bits solamente). La herramienta funciona con la herramienta de Microsoft ( MBR2GPT.EXE ). La herramienta convierte un software cifrado DE unidad de MBR a la partición GPT. Lo hace sin necesidad de descifrar el disco.Para obtener la herramienta DE y las instrucciones, consulte KB89024-cómo convertir un disco cifrado de MBR a GPT mediante Microsoft MBR2GPT .EXE y Drive Encryption MdeMbr2GptTool .exe herramientas.
¿Qué versión de de admite Windows 10 (versión 1507)? DE 7.1 la actualización 3 ( 7.1.3 ) es la primera versión compatible con Windows 10, pero se ha lanzado antes de la versión general de Windows 10. Por lo tanto, es posible que existan advertencias que se apliquen al despliegue y uso de 7.1.3 de en Windows 10 sistemas.
Consulte los siguientes artículos para obtener detalles específicos sobre la ampliación de Windows 10 cuando se instala:
Versión Windows
Artículo
Actualización del sistema operativo (sistema operativo) de Windows 8
La opción Windows 10 "volver al" de compilación anterior es compatible con de instalado y activo.
Windows 10 rama DE mantenimiento a largo plazo (LTSB) o el canal DE mantenimiento a largo plazo (LTSC) es compatible con DE 7.2.2 y con posterioridad.
NOTAS:
Desde Windows 10 versión 1809, LTSB cambió a LTSC. Para obtener detalles, consulte esta Microsoft documentación.
LTSC y LTSB son Microsoft terminología de una compilación de sostenimiento. Estas compilaciones no reciben actualizaciones de funciones y se limitarían a las actualizaciones de seguridad en general.
¿Es compatible un sistema operativo Windows con el DE DE DE Mac instalado en el hardware? No. DE no se ha probado en ningún hardware Mac y, por lo tanto, no es compatible.
¿Puedo ejecutar la tarea de ampliación de Microsoft para ampliar un sistema Windows 8.0 a Windows 8.1 ? No. Microsoft utiliza una funcionalidad que establece una nueva imagen WIM. Se trata fundamentalmente de un proceso de actualización del sistema operativo y no de una ampliación o ampliación tradicionales de Service Pack. Sin embargo, DE cuenta con un proceso de actualización de sistemas operativos documentado que le permite ampliar desde Windows 8.0 a Windows 8.1. el proceso le permite mantener los datos existentes cifrados durante todo el proceso. Para obtener ayuda con este proceso, consulte las siguientes guías de proceso:
¿Puedo utilizar la reparación automática de Windows 8 o posterior (activada de forma predeterminada)? No. Le recomendamos que desactive esta función. La reparación automática de un disco cifrado podría destruir inadvertidamente los archivos cifrados del sistema operativo y provocar problemas de arranque permanentes. Las versiones anteriores de Windows preguntan si desea reparar el sistema antes de iniciar la reparación. No obstante, Windows 8 inicia reparación automática inmediatamente cuando se detecta un problema, dejando poco alcance para evitar la destrucción de datos cifrados. Para obtener información sobre cómo deshabilitar Windows 8 reparación automática, consulte el KB76649-cómo desactivar Windows reparación automática a través de un script de inicio de sesión para los sistemas que tienen Drive Encryption instalado.
¿Por qué debo usar el proceso DE 7.1 actualización del sistema operativo cuando no lo utilizo en Windows sistemas BitLocker?
Microsoft implementa un mecanismo que expone la clave de cifrado BitLocker durante la ampliación, lo que permite que se ejecute el proceso de superposición de WIM. No adoptamos este enfoque porque deja al sistema vulnerable a un ataque durante el proceso de ampliación del Windows.
Microsoft ha hablado sobre una nueva función llamada DE. ¿Qué es?
Microsoft DE puede considerarse una versión de BitLocker no gestionada y reducida.
Otros datos DE carácter general:
Microsoft DE se activa automáticamente. Solo se activa cuando el hardware coincide o supera sus requisitos mínimos de hardware.
Ocurre lo siguiente si se está desplegando en un sistema que tiene "Microsoft cifrado DE dispositivo" activado automáticamente:
Las comprobaciones previas a la activación determinan que BitLocker está activo. Recuerde que Microsoft DE es simplemente una versión no gestionada de BitLocker.
DE la activación falla porque el disco ya está cifrado con Microsoft DE.
Este estado se comunica de nuevo con ePO.
Lo anterior se aplica si se aplican las siguientes dos opciones:
La opción 'the system meets the minimum hardware requirements' se activa automáticamente.
El disco duro está cifrado.
Importante: Lo siguiente es aplicable si tiene un nuevo sistema que cumple los requisitos DE hardware mínimos Microsoft, pero tiene Windows 7 y DE 7.1 instalado y, a continuación, decide ampliar a Windows 8.1 :
Si no ha iniciado sesión con una cuenta de MSDN, el sistema no intenta activar Microsoft DE.
Si ha iniciado sesión con una cuenta de MSDN, se rompe el sistema operativo.
¿Es compatible con unidades comprimidas de Windows?
No, no se admiten Windows unidades comprimidas porque no se llevan a cabo pruebas de compatibilidad.
¿Existen planes para admitir JAWS for Windows el software de lectura de pantalla del cliente previo al arranque para ayudar a los usuarios con una buena página? No. JAWS es un producto de software solo Windows. No funciona en el punto de autenticación previo al arranque porque aún no se ha cargado Windows.
¿DE funciona con la nueva Dell tecnología de protección avanzada de amenazas de Cylance, que puede informar si se detecta un ataque de arranque? No. DE no se comprueba con Dell protección de amenazas avanzada de Cylance.
¿Es compatible con la tecnología Anti-Theft de Intel, que puede bloquear el equipo según el hardware? No. Intel ha interrumpido el servicio de Intel Anti-Theft.
7.1¿Es compatible con Intel Smart Response Technology (SRT)? Sí. Los datos siempre son seguros, incluso los datos almacenados en caché. Intel SRT es un componente de caché inteligente que solo almacena en caché los datos a los que se accede con frecuencia. Esta caché se encuentra en el nivel de sector y está cifrada por el controlador DE FILTRO DE.
¿Es compatible con Intel Rapid Start (IRS)? No. La Agencia Tributaria requiere un espacio de partición extra en la (SSD) o en la Solid State Drive unidad de disco duro (HDD) denominada partición de hibernación. Esta partición debe ser igual o mayor que la cantidad de memoria del sistema. Esta partición no tiene una letra de unidad.
La Agencia Tributaria proporciona un estado S3 de baja potencia. Aquí, en lugar de almacenar el estado en DRAM en S3, el contenido de la memoria se vacía en la partición dedicada de la SSD. Dado que la BIOS es responsable de la baja desde y hacia la SSD, DE no se puede interceptar ni cifrar el contenido. Por tanto, cualquier dato de carácter confidencial de DRAM se escribe en el disco en texto sin formato. Este problema solo afecta al estado S3, no a S4.
Nota: La tecnología de IRS permite que el sistema se reanude más rápido de la suspensión; Este hecho ahorra tiempo y consumo de energía.
¿El cliente DE 7.1.x es compatible con Microsoft BitLocker? No. No es compatible con BitLocker ni con ningún otro software de cifrado de nivel de sector o cifrado de disco completo que se esté ejecutando en el mismo sistema. DE detecta Windows BitLocker durante el proceso DE activación y detiene la activación de de si BitLocker está activo.
¿Es necesario Active Directory (AD) para una instalación DE DE 7.1 . No. Puede instalar los paquetes de instalación (MSI) sin acceso a ad debido a la nueva función del Directorio de usuarios incluida en 7.1. la, consulte la sección "funcionalidad" para obtener detalles.
Otros datos generales AD:
Se requiere AD para administrar clientes a través DE 7.1 ePO.
Aunque se requiere AD para una 7.1 activación de, una 7.1.0 nueva función permite la activación offline de sin una conexión a ePO. Cuando el sistema se puede comunicar correctamente con ePO, el cliente pasa a un modo online. Solo los sistemas que ePO no gestiona pueden permanecer cifrados sin necesidad de estar conectados a AD.
Los usuarios asignados no se eliminan de la base de datos de ePO si el nombre del objeto, por ejemplo, un grupo o un usuario, se modifica en AD. El cambio de nombre de objeto se detecta en la siguiente ejecución de la tarea "sincronización: Sync Across the Users from LDAP" y se actualiza en ePO. Durante la siguiente Agent a la comunicación del servidor (ASCI), cualquier cambio de nombre de objeto de usuario se sincroniza con el cliente.
¿Qué ocurre con mis endpoints si el servidor de ePO deja de funcionar?
Si el producto ya está instalado y activo, los clientes seguirán funcionando con la copia almacenada en caché de la Directiva. No se producen actualizaciones de directivas ni asignaciones de usuario adicionales hasta que el cliente se puede comunicar con el servidor de ePO. Si el producto aún no está instalado, no puede activarse hasta que se restablezca la comunicación con el servidor de ePO.
¿Puedo utilizar un CD de arranque de Windows en un sistema cifrado?
Un CD de arranque funciona en un sistema cifrado a menos que desee acceder al disco duro. Una ventaja del cifrado de disco completo es que evita que se utilice una unidad de arranque para acceder a la unidad de disco duro sin autenticarse.
Si Windows no funciona correctamente y tiene que repararlo con el disco de instalación de Windows. Debe descifrar primero la unidad antes de utilizar las herramientas de reparación de Windows.
Para acceder a la unidad cifrada y a la recuperación de la destecnología de WinPE, tiene que crear medios. Para obtener más información sobre cómo crear el contenido multimedia, consulte la guía de la última versión de destech.
Nota: Lo siguiente también se aplica al artículo mencionado anteriormente.
Las versiones mínimas DE ePO admitidas por DE 7.x.
El McAfee Agent mínimo (MA) admitido por DE 7.x.
¿A qué versiones DE 7.1.x EEPC se puede ampliar?
Se pueden realizar las siguientes ampliaciones:
EEPC 7.x : (fin de ciclo de vida)
Los sistemas instalados con EEPC 7.0.x pueden ampliarse a de 7.1. , pero antes debe ampliar la extensión EEPC a EEPC 7.0 actualización 2 ( 7.0.2 ) o actualización 3 ( 7.0.3 ).
EEPC 6.x : (EOL)
Si utiliza EEPC 6.1.2 o posterior, primero debe ampliar todas las extensiones a EEPC 7.0 actualización 2 o actualización 3. Los sistemas cliente que ejecuten EEPC 6.1.2 o posterior se pueden ampliar directamente a las instalaciones de 7.1. ePO con EEPC 7.0 actualización 2 o 3 las extensiones incorporadas se pueden ampliar directamente a de 7.1.
EEPC 5.x : (EOL)
Los sistemas instalados con EEPC 5.2.6 , 5.2.12 y 5.2.13 pueden migrar directamente a de 7.1.
¿Qué pasos debo seguir si quiero ampliar a la versión más reciente de 7.2.x de, pero ya tengo instalada una versión anterior 7.1.x ? Si tiene una versión anterior instalada, como, por ejemplo, DE 7.1.0 , pero desea ampliar a una versión posterior 7.1.x , siga estos pasos:
Asegúrese de que no hay ninguna tarea de sincronización de LDAP en ejecución. En caso de haberlas, espere a que se completen.
Desactive todas las tareas de sincronización de LDAP antes de iniciar la ampliación.
Instale las extensiones DE 7.1.3 .
Incorpore los paquetes DE SOFTWARE DE 7.1.3 Agent y PC.
Vuelva a activar todas las tareas de sincronización de LDAP.
Despliegue los paquetes DE 7.1.3 software en el sistema cliente.
Reinicie el sistema cliente una vez finalizada la tarea de despliegue.
Estoy configurando un nuevo servidor de ePO y quiero mover DE clientes a través de él. ¿Es compatible esta acción? Sí. Este escenario es compatible con 7.1.3 la versión de y posteriores.
NOTAS:
Con las versiones anteriores de de, al transferir un sistema de un servidor de ePO a otro, se sustituyen las asignaciones de usuarios. Los datos de token de usuario del sistema también se sustituyen por los datos del servidor de destino. Existe una posibilidad de perder asignaciones de usuarios y cambiar las credenciales de usuario en el entorno previo al arranque.
DE introduce una capacidad DE 7.1.3 transferencia de cliente. La funcionalidad proporciona al administrador de ePO un mecanismo para permitir que los sistemas se transfieran de un servidor de ePO a otro. La transferencia se realiza mientras conserva las asignaciones de usuarios y los datos de usuario. Si la función está activada, un sistema DE detecta un cambio DE 7.1.3 servidor. Solicita que el nuevo servidor DE 7.1.3 Administración asigne automáticamente los usuarios al sistema en el contexto del nuevo servidor de administración. Cuando la asignación se realiza correctamente, el sistema envía sus datos token de usuario al nuevo servidor de administración. Todos los sistemas que no hayan superado el proceso de transferencia de sistemas se resaltan en el servidor de destino mediante un informe intuitivo de forma remota.
Se incluye una Guía de transferencia de sistemas de cliente independiente 7.1.3 en la versión que describe este proceso de transferencia de sistemas en detalle.
¿Qué tengo que tener en cuenta si instalo a un sistema Windows 8.x mediante UEFI nativo? Recomendaciones si tiene previsto instalar 7.x de en un sistema Windows 8.x , mediante UEFI nativo: le recomendamos que solo utilice el modo UEFI nativo si el sistema está certificado de forma explícita Windows 8. También le recomendamos que amplíe sus sistemas UEFI al nivel firmware del de UEFI más reciente. A continuación, pruebe un sistema nativo compatible con UEFI específico antes del despliegue a gran escala.
Nota: Para otras preguntas y respuestas de UEFI, consulte la siguiente sección funcionalidad de "". ¿Tengo que descifrar y volver a cifrar los clientes durante la ampliación a DE 7.1 ? No. El proceso de ampliación está diseñado para transferir la clave del agente anterior al nuevo agente.
Durante el proceso de instalación, ¿qué métodos hay disponibles para evitar que todos los usuarios utilicen la misma contraseña predeterminada?
Existen dos métodos:
A través DE la Directiva DE, puede renunciar al uso de la contraseña predeterminada. En su lugar, fuerce la confirmación a los usuarios para que introduzcan una contraseña que elijan.
Utilice un regla de asignación de directivas con un UBP distinto en el que defina una contraseña predeterminada distinta para los usuarios que tengan asignada la UBP.
¿Puedo instalar de en un sistema y tomar una imagen sin procesar (sector por sector) para utilizarla en equipos nuevos? No. Este escenario no es compatible. Se introduciría un problema de seguridad porque cada sistema tendría la misma clave de seguridad.
¿Puedo cambiar el tamaño del teclado en pantalla de Tablet PC mostrado durante el arranque previo si creo que el tamaño predeterminado es demasiado pequeño? No. Para enviar una solicitud de mejora de producto a fin de incluir esta funcionalidad, consulte la sección "información relacionada".
¿Necesito agregar VirusScan exclusiones de antivirus de? No. Las exclusiones de antivirus ya no son necesarias.
Preguntas frecuentes DE funcionalidad aplicables a DE 7.2.0 y posteriores
¿Cómo se utiliza la extensión de 7.2.x Intel software Guard (SGX)? Intel SGX es una extensión de arquitectura de Intel, introducida con las plataformas de procesador Intel Core de sexta generación, diseñada para aumentar la seguridad del software a través de un mecanismo de recinto inverso . En este enfoque, el software legítimo se puede sellar dentro de un enclave protegerlo y estar protegido frente a estas amenazas, independientemente del nivel de privilegios de la amenaza. La alternativa es intentar identificar y aislar todas las amenazas potenciales o las superficies de ataque de la plataforma.
El uso DE Intel SGX con más mejora la protección contra los ataques basados en memoria (como el ataque de arranque en frío) sin que ello afecte al rendimiento de los sistemas que admiten SGX y que tienen aplicada una directiva adecuada.
Preguntas frecuentes DE funcionalidad aplicables a DE 7.1 y posteriores
¿Puedo crear una partición de un disco cifrado con de? No. No es posible cambiar la partición de un disco que ya está cifrado. Debe descifrar completamente el disco y desinstalar antes de realizar la partición del disco.
¿Cuál es la longitud de la clave utilizada por el algoritmo de cifrado AES256?
La longitud de la clave utilizada es 256 bits.
¿Es compatible RAID?
Existen dos tipos de tecnologías RAID que se deben tener en cuenta: equipos con RAID de hardware o software.
DE no se ha probado con RAID de hardware. No obstante, esperamos que la destech funcione correctamente en entornos en los que se implemente un RAID de hardware puro. Esta expectativa cubre los sistemas que tienen tarjetas RAID internas o sistemas RAID externos con una controladora integrada.
Nota: DE o desatech no puede admitir diagnósticos o recuperación de desastres para una configuración de RAID rota cuando el RAID de hardware está en uso.
DE o desatech no admite RAID basado en software. Windows discos dinámicos son una forma de RAID de software.
Equipos cuando el modo SATA de la BIOS está configurado para utilizar RAID o RAID en:
En general, DE o destech funciona en el modo RAID, siempre que el modo SATA de la BIOS de ese equipo pueda ver el disco.
NOTAS:
En el modo de BIOS heredado o MBR, DE se basa en llamadas INT13 para acceder al disco duro (HDD) del equipo.
En el modo UEFI, DE se basa en el protocolo de entrada o salida del sistema; por lo tanto, DE es independiente del modo SATA de la BIOS.
La única condición de esta afirmación es que el disco sea un HDD de OPAL o de cifrado automático (SED). DE debe establecerse en el modo interfaz de controlador de host avanzada (AHCI). El motivo es que tiene su propio controlador de controlador y no se basa en el BIOS para el acceso al disco duro.
Notas: La advertencia solo se aplica al cifrado de hardware de una unidad OPAL o SED, y no si el disco duro OPAL está configurado para el cifrado de software.
¿Es posible cifrar un dispositivo de almacenamiento de medios extraíbles conectado a través de un puerto USB? No. DE detecta y cifra la unidad solo si se detecta mediante un puerto SATA.
¿Qué es el directorio DE usuarios?
El directorio de usuarios amplía los sistemas gestionados de ePO con los usuarios no gestionados que no son de dominio. Además de los usuarios gestionados en AD, ahora también puede utilizar estos usuarios gestionados por ePO para la autenticación previa al arranque.
Ahora, los datos de usuario se sincronizan desde AD y se almacenan localmente en ePO. De este hecho, se elimina la necesidad de acciones de ida y vuelta constantes desde ePO hasta AD. El resultado es una mejora significativa del rendimiento para las comprobaciones de directivas basadas en usuario.
Otros datos generales del directorio de usuarios:
El directorio de usuarios elimina la dependencia de AD.
Un administrador debe instalar la extensión del directorio de usuarios. Puede realizar esta instalación antes o después DE 7.1.x ampliar a la, siempre que se cumplan los requisitos previos de ePO, que es ePO 5.1.x.
No existen diferencias conceptuales entre los usuarios independientes de EEPC 5.x y los usuarios del directorio de usuarios.
Migre los usuarios independientes de EEPC 5.x al directorio de usuarios.
Puede crear unidades organizativas (OU) en el directorio de usuarios.
Los usuarios se pueden agregar a una unidad organizativa y eliminarse de ella.
Los usuarios se pueden mover de una unidad organizativa a otra.
Las unidades organizativas se pueden anidar.
Un usuario no puede pertenecer a más de una unidad organizativa.
Al seleccione una unidad organizativa, puede ver todos los usuarios que la componen (incluidas las unidades organizativas anidadas).
Notas: Puede ver todos los usuarios de las unidades organizativas secundarias, pero no todas las unidades organizativas anidadas. A partir del nombre distintivo, puede ver la unidad organizativa secundaria de la que procede cada usuario.
En cuanto a la secuencia de comandos, ¿se realiza el cambio de User: Machine assignments ePO WebAPI? No.
¿Qué es el arranque automático del módulo de plataforma segura (TPM)? El arranque automático de 7.1. TPM es una oferta nueva, ya que refuerza las funciones de arranque tradicional mediante un TPM, si el hardware está presente, para proteger la clave.
El TPM proporciona un mecanismo de sellado, mediante el cual solo se pueden descifrar datos cifrados si el sistema se encuentra en un estado predefinido. Durante el inicio del sistema, el firmware del TPM mide el y todos los componentes de arranque. La medición consiste en ampliar una hash almacenada en un registro de TPM, con el código que se va a ejecutar. El firmware toma medidas que no se pueden omitir. El TPM solo permite el descifrado de la clave. Si el sistema está en el mismo estado en el que estaba sellado, cualquier cambio, con independencia de lo que sea pequeño, provoca que falle.
Otros datos generales de TPM:
El arranque automático de TPM es diferente del arranque tradicional automático en que el arranque tradicional automático no proporciona seguridad para el sistema. La clave utilizada para cifrar el disco se escribe en texto sin formato en el disco. El arranque automático de TPM protege la clave mediante el cifrado con el TPM; ya no se trata de texto sin formato.
TPM ayuda a proteger la clave porque el TPM solo puede descifrar la clave si el estado del sistema no ha cambiado. La clave no se descifra si se cumple alguna de las siguientes condiciones:
El TPM considera que el estado del sistema ha cambiado.
Existe un nuevo chip TPM (nueva placa base).
Si no puede descifrar la clave, se produce un error en la función de arranque automático y se muestra la autenticación previa al arranque.
Con el arranque automático de TPM activado, el sistema continúa arrancando automáticamente, pero solo si el TPM considera que todo está en orden. En esta situación, el usuario no ve el entorno previo al arranque y simplemente se inicia en Windows.
El arranque automático de TPM se puede usar con el arranque automático reactivo.
El arranque automático de TPM y el arranque automático reactivo se pueden utilizar con el nuevo modo de espera conectado. Ambos proporcionan soporte y refuerzo de sistemas contra ataques de arranque en frío.
Si se cambia la placa base o cambian las medidas de arranque del TPM, el usuario verá la pantalla de autenticación anterior al arranque. Si un usuario ha llegado a esta situación, debe realizar una recuperación de desafío o respuesta para obtener acceso a Windows.
Si se conocen credenciales de usuario de arranque previo válidas, el usuario puede simplemente autenticarse y arrancar en Windows. No obstante, como el usuario se encontraba en este modo de arranque automático, las posibilidades de que ellos sepan que una credencial de usuario válida es baja.
El TPM hace más que cifrar la clave. También mide la ruta de arranque. Cada vez que se inicia el sistema, se hash algunos datos sobre la ruta de arranque en el TPM. El resultado es que el TPM solo descifra la clave si no se ha cambiado la ruta de arranque.
Este hecho significa que, después de que el arranque automático de TPM desbloquee el disco, no es posible arrancar en otra ruta de arranque. Si se selecciona una opción de arranque diferente en el inicio, se produce un error en la función de arranque automático y se muestra el arranque previo.
Otros hechos de la función de administrador de TPM:
La configuración de directiva para el arranque automático de TPM se encuentra bajo el título "TPM del usuario para el arranque autom?" y tiene las tres opciones siguientes:
Never -La clave del disco se escribe en texto sin formato en el disco. Esta opción es la funcionalidad original de arranque automático.
If Available -Si el sistema tiene un TPM utilizable, se utiliza el TPM para cifrar la clave. Si no hay ningún TPM disponible, o si no se puede utilizar, el TPM presente en el sistema tiene la clave escrita en texto sin formato en el disco. Esta acción es conforme a la funcionalidad original de arranque automático.
Required -Arranque automático solo funciona si el sistema tiene un TPM utilizable. El entorno DE prearranque se muestra en los sistemas que no tienen un TPM.
Importante: Si Microsoft actualiza el cargador de arranque de Windows durante una Windows Update, las medidas de inicio han cambiado. Como resultado, el TPM no puede descifrar la clave y debe llevar a cabo un proceso de recuperación. El proceso de recuperación requiere una llamada Help Desk para que el arranque del sistema vuelva a iniciarse correctamente.
Nota: El arranque previo también se encuentra en la ruta de arranque. Por lo tanto, cuando un administrador implementa una nueva versión de, hotfix, actualización o versión nueva, actualiza lo siguiente:
Para prearranque DE la aplicación EFI
Mediciones de arranque
Al igual que el caso de Windows Update, los usuarios deben realizar una llamada Help Desk para acceder a su sistema tras la inserción DE una actualización.
Los requisitos mínimos para el arranque automático de TPM son los siguientes:
Permite el arranque 7.1.xautomático de TPM7.2.x en sistemas TPM 2.0 (todos los sistemas en espera conectados son compatibles con TPM 2.0 ).
Nota: Los sistemas antiguos con TPM 1.2 no admiten esta función.
DE 7.1 la actualización 1 ( 7.1.1 ) y posteriores agregar compatibilidad con los chipsets TPM 1.2 (solo sistemas UEFI).
La clave de propietario de TPM debe administrarse de forma local y no en la AD.
El sistema debe incluir el protocolo UEFI de TPM en la implementación de UEFI del OEM (un requisito para sistemas de reserva conectados).
Otros datos sobre la experiencia de los usuarios de TPM:
Cuando el TPM no puede descifrar la clave, muestra el entorno previo al arranque y solicita al usuario que se autentique. Si el TPM tiene alguna duda, no arranca automáticamente el sistema y, en su lugar, muestra el entorno previo al arranque y espera la autenticación.
¿Puedo administrar ahora un número mayor de usuarios en el arranque previo?
El entorno previo al arranque ahora se ha mejorado para admitir más de 5.000 usuarios sin una degradación perceptible del rendimiento durante la autenticación anterior al arranque. El límite anterior era un máximo de 250 usuarios en el arranque previo. Ahora puede aprovisionar de forma segura a todos los usuarios que compartan escritorios, lo que activar cualquier usuario para utilizar cualquier sistema.
¿Cuál es la recomendación para el número de usuarios asignados para la autenticación previa al arranque?
La recomendación general permanece inalterada. Asigne solo el número mínimo de usuarios para la autenticación previa al arranque.
Otros hechos generales de autenticación previa al arranque:
DE 7.1 y más adelante, aumente el número de usuarios que puede admitir el arranque previo, aunque se recomienda minimizar el número de usuarios asignados por nodo. Los números han aumentado a miles, en lugar de cientos.
En primer lugar, las prácticas recomendadas de seguridad limitan el número de usuarios que pueden acceder a un sistema al grupo de usuarios más pequeño.
En segundo lugar, la asignación de un gran número de usuarios a cada nodo puede afectar a la escalabilidad general de todo el sistema. Esto puede reducir el número máximo de nodos que puede admitir.
Se aplican las siguientes sanciones si permite que los usuarios de 5.000 inicien sesión en el arranque previo en un equipo:
La activación tarda más porque necesita descargar toda la información sobre los usuarios de 5.000.
La sincronización de la información de usuario tarda más, lo que aumenta la carga de trabajo en el servidor de ePO.
Otras acciones que incluyen información de usuario tardan más tiempo en procesarse. Un ejemplo de estas acciones es guardar la información del sistema sobre un cliente, ya que también incluye información del usuario.
La escalabilidad de un servidor de ePO puede verse afectada. Su servidor de ePO realiza más trabajo por ASCI para asegurarse de que toda la información esté actualizada.
Ejemplo:
Suponga que tiene sistemas 100 que tienen asignados 5.000 usuarios. Tomemos el caso más habitual y se cambiará la contraseña. Para un usuario, se capturaba en un sistema, se cargaba en ePO y, a continuación, se enviaba a otros sistemas de 99 cuando se sincronizaban con ePO.
Si fuerza a los usuarios a cambiar sus contraseñas cada 90 días, los usuarios de 5.000 deben actualizar su contraseña. El resultado es 500.000 actualizaciones (5.000 usuarios x 100 sistemas) que el servidor de ePO debe procesar en varias ocasiones a medida que los sistemas se sincronizan con ePO.
Un gran número de usuarios provoca un aumento del tráfico de red. Todo este tráfico se gestiona a través de la red. Aunque los datos de usuario individuales son pequeños, generalmente < 20 kilobytes, se multiplica por el número de transacciones. Si un sistema tiene un vínculo lento, puede tardar una cantidad considerable de tiempo en recibir todos los cambios. Si el servidor controla las actualizaciones de usuario de muchos clientes, el tráfico de red también puede ser importante. En el peor de los casos, es posible que no reciba todas las actualizaciones en un período de sincronización.
¿Qué es AOAC?
AOAC significa siempre activado y conectado siempre. Microsoft lo llama ' modo de espera conectado ' e Intel lo llama Smart Connect. Todo ello hace referencia básicamente a la misma función de alto nivel.
Es la capacidad de mantener un sistema en modo de espera de bajo consumo y activarlo periódicamente para recuperar datos, por ejemplo, para mensajes de correo electrónico o actualizaciones de Facebook y, a continuación, hacer que vuelva a estar en reposo. Esta actividad se produce sin que el usuario se entere ni intervenga. Piense que es similar a la forma en que funciona su teléfono móvil.
Otros datos generales de AOAC:
DE admite un modelo DE 7.1.x AOAC. La compatibilidad se proporciona a través del modo de espera conectado. Aunque se encuentre en este modo de espera, el inicio de sesión de Windows se utiliza para proteger los datos frente al acceso no autorizado.
AOAC cambia el cifrado de disco completo. El cifrado completo del disco se ha visto históricamente de la protección de los datos en reposo (cuando el sistema está apagado). Varias empresas están introduciendo la función AOAC.
Con el modelo AOAC, el sistema y los servicios deben acceder al disco. Significa que la clave de cifrado del disco siempre permanece en la memoria. No obstante, los sistemas que admiten AOAC son más vulnerables a los ataques de estilo de arranque en frío porque la clave siempre está en la memoria. Recuerde que el sistema no se apaga; solo está en modo de espera.
Todos los AOAC y el modo de espera conectado siguen funcionando cuando esta función está activada.
Cuando el sistema está en reposo, los datos nunca están en reposo con el modelo AOAC. Los sistemas no están desactivados; solo están en espera. El modelo de AOAC requiere que los discos sigan estando desbloqueados debido a lo siguiente:
Los sistemas podrían activarse periódicamente o a través de una notificación de inserción.
Es posible que las aplicaciones y los servicios requieran acceso al disco durante este período activo.
Puede utilizar las funciones de AOAC con el arranque previo, la función de arranque automático o ambos.Esta función funciona independientemente del método de autenticación. No obstante, le recomendamos que utilice uno de los siguientes elementos:
Preboot
Si se elige el arranque automático, activar TPM se inicia de forma autoarranque con reactivo o la integración con la tecnología de administración activa de Intel.
¿Cómo se consolidan los sistemas contra los ataques de arranque en frío?
A continuación se ofrece una descripción general de alto nivel de las funciones de este nuevo:
En las plataformas de Windows modernas que pueden admitir el nuevo modo de ' espera conectado ', el usuario puede tener una experiencia de tipo iPad.
Estos sistemas siempre se encuentran en estado "encendido".
El sistema requiere que la clave de cifrado esté siempre en la RAM, lo que los hace susceptibles a los ataques de limpieza de la memoria que pueden borrar la clave de cifrado de la RAM.
DE puede operar en segundo plano entregando una experiencia de Windows nativa al usuario. Cuando el dispositivo entra en estado de modo de espera conectado, borra la clave de cifrado de la RAM. DE este modo, a continuación, se mueve a un área segura de un sistema de protección de hardware de Intel para evitar ataques de arranque en frío y limpieza de memoria. Cuando el dispositivo pasa a un estado activo, la clave de cifrado se vuelve a colocar en la RAM de forma transparente. Esto ocurre tras la autenticación correcta de los usuarios para Windows.
¿Qué es un ataque de arranque en frío?
Un ataque de arranque en frío es una forma de extraer datos confidenciales de la memoria del sistema. Lo hace cuando el sistema se enciende o se encuentra en estado de espera, incluso si el sistema está protegido por una contraseña Windows. El ataque implica cualquiera de las dos acciones siguientes:
Reinicio duro del sistema y ejecución de un pequeño programa en el siguiente ciclo de arranque que analiza la memoria del sistema en busca de información confidencial
Eliminación de la RAM de un sistema alimentado y traducción a otro sistema para su análisis
Otros hechos generales de arranque en frío:
Evita la reinstalación de los sistemas frente a un ataque de arranque en frío cuando un sistema entra en uno de los modos de espera. DE 7.1.x elimina la clave de la memoria. Se almacena en una ubicación segura a la que aún se puede acceder en modo de espera conectado. El sistema sigue funcionando a medida que lo espera un usuario; No obstante, el sistema es menos vulnerable a un ataque de tipo arranque en frío porque la clave ya no se encuentra en la memoria.
DE elimina completamente la clave de la memoria. Esta función dificulta el sistema contra ataques de tipo memoria. Se lleva a cabo todo el esfuerzo para asegurarse de que la clave se elimina de la memoria. No obstante, no podemos garantizar que se elimine, debido a la forma en que Windows administra la memoria.
Además, esta función no funciona con la seguridad basada en la virtualización, introducida en Windows RS1 y posteriores. Por lo tanto, no se puede activar en esas plataformas..
La única condición en que la clave se vuelve a colocar en la memoria es después de que un usuario se haya autenticado correctamente en Windows. La simple ejecución de Windows no vuelve a colocar la clave en la memoria.
Cuando la clave no está en la memoria, se mantiene en un área de almacenamiento seguro que no se encuentra en la memoria. La clave se puede eliminar de la memoria cuando se produzca cualquiera de los siguientes eventos:
El sistema está desactivado.
El usuario cierra la sesión.
El usuario bloquea la estación de trabajo.
El sistema está esperando a que un usuario se autentique en el Windows inicio de sesión.
Después de que el sistema se active de modo de espera o de suspensión/
Si los usuarios se autentican y se encuentran en su escritorio, la clave se encuentra en la memoria. Si los usuarios no se autentican o no se encuentran en su escritorio, la clave no se encuentra en la memoria.
Notas: Un administrador puede seleccionar, a través de una directiva, las condiciones en las que se elimina la clave.
Aunque solo se requiere un controlador para controlar la clave en la memoria, funciona en uno de los dos modos siguientes:
Cifrado estándar
Cifrado de seguridad elevado
¿Qué es el modo de cifrado estándar?
Se trata de un estado del controlador de cifrado donde:
La clave de cifrado se almacena en la RAM.
No es seguro frente a los ataques de tipo arranque en RAM o en frío.
Es muy optimizado para el rendimiento.
Utiliza la misma implementación del algoritmo que en las versiones anteriores heredadas de EEPC 7.x .
¿Qué es el modo de cifrado de seguridad elevado?
Se trata de un estado del controlador de cifrado donde:
Se utiliza una nueva implementación del algoritmo de cifrado AES256-CBC.
La clave de cifrado se almacena en una ubicación segura y no en la RAM.
ISO.
Se trata de una penalización de rendimiento significativa.
Las implementaciones de directivas están desactivadas.
Otros aspectos generales de cifrado de seguridad elevada:
El controlador intercambia los dos modos y se define mediante una directiva. Ejemplo: DE puede intercambiar el modo de cifrado DE 7.1 seguridad elevada cuando el sistema es:
Bloqueada
Sesión cerrada
Entra en modo de espera
Nota: El modo de cifrado estándar se reanuda cuando el usuario se ha autenticado correctamente en Windows.
Esta funcionalidad se puede utilizar con el arranque automático de TPM.
El tiempo de arranque es más lento en el modo cifrado de seguridad elevada. Desde el arranque inicial, la clave no se almacena en la memoria hasta que el usuario se autentica correctamente para Windows. Si utiliza una tableta, rara vez se apaga por completo, por lo que no siempre se produce este problema.
Cuando el sistema realiza una tarea con gran cantidad de espacio en disco y la estación de trabajo se bloquea, la estación de trabajo se ejecuta más lentamente. Los usuarios observan este impacto en el rendimiento cuando devuelven más tarde. Este problema aparece cuando el sistema se ejecuta en el modo cifrado de seguridad elevada y cuando la clave no está en la memoria.
En el modo de cifrado de seguridad elevada, tiene un equilibrio de seguridad frente a rendimiento. Lo importante es recordar que, cuando un usuario está utilizando el sistema de forma activa, se experimenta el rendimiento normal total. Solo se trata de períodos en los que la autenticación sigue produciéndose que el usuario experimente el impacto en el rendimiento.
Ejemplo del impacto en el rendimiento cuando el controlador utiliza el modo de cifrado de seguridad elevado:
Análisis de rendimiento de algoritmos sin procesar: 64 bits AES-NI procesador:
Estándar Crypt = 1 ciclo de reloj/byte de la CPU
Cifrado de seguridad elevado = 15 ciclos de reloj/bytes de la CPU
32-bit no compatible con AES-NI procesador:
StandardCrypt = 35 ciclos/bytes de reloj de CPU
Cifrado de seguridad elevado = ciclos de reloj/bytes de la CPU de 133
Nota: El impacto puede ser superior al del algoritmo sin procesar anterior, ya que las pruebas se ejecutan con interrupciones desactivadas. Se ha observado otra forma, por ejemplo, si un sistema experimenta un rendimiento de 208 MB/s en un cifrado estándar, puede caer hasta 20 MB/S en un cifrado de seguridad elevado.
Nota: El sistema debe ser compatible con el modo de espera conectado y debe ser un Tablet. de tréboles o un sistema Haswell.
¿Existe alguna diferencia entre ' connected Standby ' y ' inteligencia inteligente '? Sí. Smart Connect es una tecnología más antigua. Smart Connect tiene un controlador que reactiva periódicamente el sistema y marca en un servidor para extraer notificaciones. El modo de espera conectado es una nueva tecnología en la que el sistema entra en un nuevo estado de alimentación en la CPU.
El modo de espera conectado requiere hardware nuevo para admitirlo; La conexión inteligente no lo hace. Por lo tanto, puede tener una conexión inteligente en un sistema Windows 7 con una CPU y hardware antiguos. Técnicamente hablando, Smart Connect utiliza el estado de alimentación S3, que está en reposo. El modo de espera conectado utiliza el estado de alimentación RTD3, que tiene un Estado distinto en la CPU.
¿Qué es el modo de espera conectado?
El modo de espera conectado no es en realidad un verdadero estado de reposo. Se ejecuta en este nuevo estado de energía y deja algunos servicios en ejecución que pueden recibir notificaciones del servidor. Por lo tanto, tiene requisitos de hardware y solo está disponible en sistemas Windows 8.x .
Ejemplo: los requisitos de hardware para el modo de espera conectado en Windows 8 aprovechan las ventajas del modo de espera conectado si se cumplen todos los requisitos de hardware siguientes:
Un indicador de firmware indica compatibilidad con el estándar.
El volumen de arranque no utiliza un disco de rotación.
Compatibilidad con NDIS 6.30 de todos los dispositivos de red.
Refrigeración pasiva cuando se está conectado en modo de espera.
Notas: Existen otros requisitos específicos de seguridad; por ejemplo:
La memoria se debe soldar a la motherboard para evitar los vectores de ataque de arranque en frío que implican la eliminación de memoria del equipo.
¿ Es posible clonar un disco duro (HDD) existente con un disco mayor, hacer que se arranque el nuevo disco y ampliar el tamaño en Windows entorno? No. Para migrar a una unidad de disco duro mayor, primero debe descifrar el disco duro, completar la clonación y, a continuación, volver a cifrar.
¿Es posible realizar un borrado remoto de un sistema cifrado? No. El arranque previo no dispone de funcionalidad de red.
¿Por qué requiere Windows 8 un cambio significativo en los productos de cifrado?
Microsoft introducido muchas funciones nuevas con Windows 8 y posteriores. Los que afectan más al cifrado son los siguientes:
A UEFI Boot Process
GPT Disk partitioning
Secure Boot
Hybrid Boot
Windows 8 Modern User Interface (UI)
Windows 8 Tablets
Otros aspectos generales de cifrado de seguridad elevada:
Windows 8.x tiene dos métodos de arranque posibles. En función de la configuración y las funciones de su sistema, Windows 8 instala la capacidad de arranque con el nuevo proceso de arranque de UEFI o el proceso de arranque de la BIOS heredada.
No se puede cambiar la configuración y el intercambio Windows 8 de un proceso de arranque a otro. Debe reinstalar completamente Windows 8 debido al cambio en el mecanismo de partición.
Desde Windows 8 y posteriores, DE tiene dos entornos previos al arranque. Un arranque previo para controlar el proceso de arranque de UEFI y un arranque previo para gestionar el proceso de arranque de la BIOS.
El cliente inteligente examina el proceso de arranque que el sistema está configurado para utilizar. A continuación, determina qué arranque previo se debe instalar. Este hecho permite a un administrador desplegar DE en los sistemas y saber que el arranque previo adecuado se instala automáticamente.
DE 7.x no utiliza la interfaz de usuario (IU) moderna Windows 8. Una vez cargado Windows, la única interfaz de usuario en Windows 8 es el estado de la bandeja monitor, que solo está disponible en el escritorio. No está disponible en la interfaz de usuario moderna.
¿Qué es el arranque automático?
El arranque automático es una cuenta que omite de manera efectiva la protección proporcionada por DE. Con esta opción activada, los usuarios no ven la pantalla de autenticación anterior al arranque.
¿Qué es el arranque automático reactivo?
El arranque automático reactivo es una mejora de la funcionalidad tradicional de arranque automático que existe en Windows y OS X. En el modo de arranque automático, la unidad está cifrada. No obstante, el usuario no ve la pantalla de autenticación previa al arranque y se inicia directamente en el sistema operativo.
A diferencia del arranque automático tradicional, el arranque automático reactivo tiene otra parte de la funcionalidad. Cuando se activa, el producto supervisa las solicitudes de autenticación Windows. Si un usuario supera un número máximo especificado de errores de autenticación, el arranque automático reactivo activa automáticamente la autenticación anterior al arranque, desactiva el arranque automática y reinicia inmediatamente el equipo. Después de que se produzcan estas acciones, el usuario debe superar correctamente la autenticación previa al arranque antes de acceder al sistema operativo.
Esta funcionalidad permite que la Directiva de autenticación pase automáticamente del arranque automático (desbloqueado, no seguro) al arranque previo (bloqueado y seguro). Se basa en ciertas condiciones designadas por el administrador.
Otros datos generales reactivos de arranque automático:
Para activar arranque automático reactivo (no activado de forma predeterminada), un administrador debe hacer dos cosas:
Seleccione la configuración 'Disable and restart system after <n> (1–10) failed logons or unlocks (Windows only, Vista onwards)' de directiva del producto.
Especifique el número de inicios de sesión fallidos o desbloqueos permitidos.
La Directiva se debe asignar a los sistemas que requieran la funcionalidad de arranque automático reactivo.
Ejemplo de uso del arranque automático reactivo: desea cifrar los sistemas compartidos a los que puede necesitar acceso cualquier usuario de la organización. Como resultado, no se puede asignar un usuario específico o un grupo de usuarios para la autenticación previa al arranque. El arranque automático reactivo puede ser una solución aceptable para estos casos en los que, de lo contrario, se vería obligado a desplegar mediante el arranque automático.
Las unidades se cifran en un sistema con arranque automático reactivo si así se define en la Directiva de cifrado. No obstante, dado que la autenticación no está activada cuando se activa el arranque automático, los datos no están protegidos.
¿Cuáles son las funciones clave del arranque automático reactivo?
Esta función es exclusiva del cliente; Esta funcionalidad solo es para clientes. Los eventos de auditoría se cargan en ePO en la siguiente sincronización, pero el servidor de ePO no tiene ninguna interacción con esta funcionalidad.
Esta función es de solo Windows. El arranque automático reactivo no se ofrece en Mac OS X. Debido a los cambios de Apple, Management of Native Encryption (MNE) ha sustituido al producto EEMac. Para obtener detalles, consulte KB79375-plataformas compatibles para Management of Native Encryption.
Puede especificar el número máximo de intentos fallidos. Un administrador de ePO puede especificar este número en la Directiva. Tiene un valor mínimo de 1 y un valor máximo de 10.
Se aplica a todos los intentos de autenticación de Windows. Se aplica a los intentos Windows inicios de sesión y desbloqueos.
Funciona con el cifrado de software y Opal.
Los usuarios pueden utilizar la recuperación de desafío y respuesta para permitir que el sistema acceda a Windows cuando un usuario supere el número máximo de intentos fallidos definidos.
Un usuario Windows puede formar parte de un grupo de trabajo o de un usuario de dominio.
Se auditan los eventos. Un administrador de ePO puede ver qué sistemas están activados. El evento 30070: "arranque automático desactivado: se ha excedido el número máximo de inicios de sesión fallidos" se envía al servidor de ePO, pero solo después de la siguiente autenticación correcta a Windows y cuando es posible la conectividad con ePO.
Nota: El momento en el que el sistema considera que está en ataque, desactiva el arranque automático y reinicia el sistema. No hay tiempo para enviar un evento a ePO, por lo que ePO no conoce el bloqueo a medida que se implementa.
No se requiere ninguna acción de administrador para volver a activar arranque automático reactivo en un sistema en el que está desactivado, lo que puede producirse en un intento de autenticación de Windows fallido. Una vez que el cliente reinicia el sistema y accede a Windows, el arranque automático reactivo se vuelve a activar automáticamente. El sistema no necesita comunicarse con ePO para volver a activar el arranque automático.
¿Qué experiencia tiene el usuario cuando el sistema utiliza arranque automático reactivo?
Cuando los usuarios encienden sus equipos, arrancan directamente en Windows. El arranque automático significa que no hay autenticación previa al arranque. Los usuarios van directamente al inicio de sesión de Windows. Suponiendo que siempre se autentican correctamente en Windows, su experiencia no cambia.
El usuario experimenta lo siguiente tras superar el número máximo de intentos de autenticación de Windows fallidos:
La autenticación previa al arranque se activa automáticamente y el arranque automático está desactivado.
Se produce un cierre indebido de Windows y se reinicia el sistema.
Cuando se reinicia el equipo, se muestra la pantalla de autenticación anterior al arranque y el usuario debe autenticarse correctamente para acceder a Windows.
Cuando un usuario supera el máximo de intentos fallidos definidos, un usuario no puede realizar las siguientes acciones:
Autenticar mediante credenciales de Windows
Usar recuperación automática para pasar el arranque previo y el acceso Windows
Nota: Si el sistema siempre ha funcionado en el modo de arranque automático, no es probable que se haya asignado ningún usuario DE para permitir la autenticación previa al arranque correcta.
Para obtener acceso a Windows cuando se le presenta la autenticación previa al arranque, para obtener acceso a Windows, un usuario debe realizar cualquiera de las siguientes acciones:
Autenticarse en la pantalla de prearranque.
Pase por uno de los mecanismos de recuperación estándar.
¿Cómo vuelvo a activar arranque automático reactivo y desactive la autenticación previa al arranque para volver al flujo de trabajo anterior?
El usuario debe autenticarse correctamente en el arranque previo o llevar a cabo el proceso de recuperación necesario para acceder a Windows. Una vez que se cargan Windows y se inician los servicios, el arranque automático reactivo se vuelve a activar automáticamente.
¿Qué funciones de integración de Intel Active Management Technology (AMT) funcionan con el arranque automático reactivo?
Aunque en teoría puede utilizar el caso de uso consciente de la ubicación de la integración de Intel AMT con el arranque automático reactivo, el uso combinado no tiene sentido por dos razones principales.
En primer lugar, aunque el arranque automático reactivo está activado, la funcionalidad de AMT no se utiliza en el arranque previo porque el sistema arranca directamente en Windows.
En segundo lugar, desde el punto de vista de la seguridad y la capacidad de uso, es mejor utilizar la funcionalidad de AMT y el caso de uso de "conocimiento de ubicación". Ambos activar el arranque automático autorizado y seguro del sistema en Windows. Si ha activado esta funcionalidad, se trata de la solución más segura en comparación con el arranque automático reactivo.
Puede que le interese utilizar AMT para eliminar o reducir las llamadas al servicio de asistencia de los usuarios cuando la funcionalidad de arranque automático reactivo permita el arranque previo. Esta funcionalidad podría reducir la necesidad de una llamada de asistencia técnica para continuar tras el entorno previo al arranque. No obstante, puede seguir encontrando un escenario en el que se requiere la llamada Help Desk. Lo que es más importante, la funcionalidad AMT proporciona seguridad a los datos al requerir que el servidor proporcione una autenticación de prearranque automática. Por el contrario, el arranque automático no tiene autenticación previa al arranque y no proporciona seguridad para los datos.
La experiencia del usuario parece ser la misma cuando se aplica lo siguiente:
Cuando se utilizan tanto la integración de AMT como el arranque automático reactivo
Cuando el usuario no se autentica demasiadas veces
Nota: No obstante, existen diferencias de back-end.
Ejemplo de escenario:
importante: si ha activado elreconocimiento de ubicaciónde Intel AMT, ' le recomendamos que utilice esa funcionalidad y que no arranque automático reactivo. El motivo se debe a que proporciona seguridad de datos mediante la autenticación desde el servidor. Si es necesario, puede establecer una directiva de Windows para desactivar al usuario si no se autentica tras un umbral establecido.
El arranque automático reactivo es una solución no segura que se inicia en Windows mediante la información de cifrado ya presente en el cliente.
La integración de Intel AMT es una solución segura que Contacta con ePO y solicita permiso para arrancar en Windows. A continuación, recibe la información criptográfica necesaria para hacerlo.
En un sistema cliente que utiliza arranque automático reactivo, no se utiliza la funcionalidad de AMT en el arranque previo. Cuando un usuario no puede autenticarse repetidamente, el arranque automático reactivo permite el arranque previo y reinicia el sistema.
El arranque previo utiliza AMT y Contacta con ePO para recibir permisos para el arranque. Si ePO no responde, el usuario se encuentra en la misma situación que con el arranque automático reactivo tradicional sin AMT.
El usuario volverá a la pantalla de autenticación de Windows. El arranque automático activo está activado porque el sistema arranca en Windows. El usuario puede seguir introduciendo contraseñas incorrectas hasta que Windows desactiva el usuario.
Este caso podría forzar una llamada Help Desk. El arranque automático reactivo es una actividad del lado del cliente. No hay comunicación con el servidor de ePO y no hay tiempo para comunicarse con el servidor cuando la funcionalidad responde a los intentos de inicio de sesión fallidos.
¿Qué es el cifrado inicial rápido (solo sector utilizado)?
El cifrado inicial rápido es la capacidad de instalar el producto de en un sistema y realizar el cifrado en cuestión de minutos, en comparación con varias horas que se requieren en circunstancias normales.
La función principal de cifrado inicial rápido es el cifrado inicial de un sistema recién instalado o con una imagen. El sistema se encuentra en un escritorio de un técnico de ti y no lo utiliza el usuario. Puede ver los casos de uso de "aprovisionamiento interno" o "aprovisionamiento por parte de un tercero" en las preguntas frecuentes de activación offline.
Esta función no se puede utilizar con una unidad Opal. No es necesario utilizar el cifrado inicial rápido con una unidad Opal, ya que la unidad técnicamente siempre está cifrada. El proceso DE ACTIVACIÓN DE activa el mecanismo de bloqueo de la unidad. Actualmente, una unidad Opal pasa de inactiva a activa y completamente cifrada en cuestión de minutos. Consulte también las preguntas frecuentes de la activación offline.
No se puede utilizar el cifrado inicial rápido como parte del proceso de activación normal.
El cifrado inicial rápido se puede utilizar con una unidad de disco duro o SSD normal. Sin embargo, es importante leer las consideraciones sobre el sector utilizado únicamente (véase a continuación).
Otro cifrado inicial rápido (solo sector utilizado):
El cifrado inicial rápido elimina la protección contra fallos de alimentación, que proporciona protección frente a la fuga de datos en caso de que se produzca un error de alimentación o un apagado de hardware. Lleva a cabo el cifrado inicial tan rápidamente como lo permita el hardware. También cifra solo los sectores que se encuentran actualmente en uso.
El cifrado inicial rápido difiere de la forma DE 7.1 trabajar y de las versiones anteriores. Tradicionalmente, el producto asume que está cifrando un sistema que está en uso. Prioriza la experiencia del usuario para minimizar el impacto en la rutina diaria del usuario. Este hecho tiene la ventaja de permitir que el usuario continúe trabajando mientras se produce el cifrado y proporciona protección contra fallos de alimentación o apagados en el disco. En un despliegue estándar, el proceso de cifrado tarda más en completarse. El motivo es que el DE cifra cada sector de los volúmenes y las particiones. Cifra cualquier área especificada en la Directiva de cifrado. Incluso los sectores en blanco que no contienen datos se cifran.
El cifrado inicial rápido solo cifra los sectores utilizados. El producto consulta al sistema operativo de qué sectores está utilizando el sistema de archivos. A continuación, el producto cifra únicamente los sectores que están marcados como utilizados en los volúmenes y las particiones. Según los volúmenes y las particiones especificados en la Directiva de cifrado, en una instalación nueva, este número suele ser un pequeño subconjunto del tamaño total del disco.
Cuando se escriben datos nuevos en el disco, a medida que se utilizan nuevos sectores, se cifran.
El cifrado inicial rápido solo está disponible en Windows con 7.1. los cambios de Apple, MNE ha sustituido al producto EEMac.
Para activar el cifrado inicial rápido como parte de un paquete de activación sin conexión, utilice una de las dos opciones siguientes:
SkipUnused (el valor predeterminado es desactivado)
DisablePF (el valor predeterminado es desactivado)
Esta función no está activada de forma predeterminada para la activación offline. Debe activar de forma explícita el cifrado inicial rápido.
El cifrado inicial rápido solo está disponible como parte del proceso de activación sin conexión. La opción de activación offline se denomina omitir sectores no utilizados.
Otros datos de cifrado inicial rápido (solo sector utilizado) aspectos de la experiencia de usuario:
Cuando el cifrado inicial rápido está activado, el usuario debe escribir sí al utilizar solo los sectores utilizados. Esta ley garantiza la lectura de la renuncia y la comprensión del uso de esta funcionalidad. Es importante leer las consideraciones sobre el sector utilizado únicamente.
Cuando un usuario no escribe ' sí ' cuando se le solicita, el paquete de activación sin conexión no se genera y el proceso falla. Debe volver a generar el paquete de nuevo y escribir correctamente ' sí ', o bien eliminar la opción ' solo sectores usados ' del paquete.
Otros aspectos generales solo del sector utilizado:
La opción "solo sector utilizado" significa que no hay sectores en el disco que no estén cifrados. El producto solo cifra los sectores que los Estados del sistema operativo están en uso. Todos los demás sectores (espacio en blanco) se dejan sin cifrar hasta que se utilizan, incluso si esos sectores contienen datos de carácter confidencial previamente eliminados. Los sectores nuevos escritos durante el funcionamiento normal se escriben en un estado cifrado.
La opción recomendación de uso exclusivo del sector utilizado se aplica a una nueva unidad de disco duro y SSD. Esta funcionalidad se puede utilizar antes de que los datos confidenciales de la empresa se escriban en el disco.
Al reciclar una unidad antigua que está totalmente cifrada con DE, esta funcionalidad se puede seguir utilizando, siempre que todos los volúmenes que contengan datos confidenciales se hayan cifrado previamente. Si no se cumple esta condición, le recomendamos que no utilice esta función.
Importante: No utilice esta funcionalidad en discos que anteriormente contenían datos confidenciales de la empresa. Cifre todo el volumen o la partición o el disco.
¿Puedo reiniciar un equipo mientras el disco duro está cifrado?
Hay dos casos que se deben tener en cuenta:
No se puede reiniciar mientras se utiliza el cifrado inicial rápido y cuando la función DisablePF está activada. Un reinicio del sistema en estas condiciones acarrearía una pérdida de datos.
Con cifrado de disco completo (FDE), es posible reiniciar. Con FDE, el cifrado continúa cuando se reinicia el equipo.
¿Cuál es el tamaño máximo DE HDD que admite?
Sea cual sea la compatibilidad con el BIOS o UEFI, DE soportes. El BIOS está técnicamente limitado a 2.2 los TB, donde UEFI está limitado a 9.4 ZB. Para obtener más detalles sobre la limitación de UEFI, Consulte este documento.
¿Puedo seguir realizando una activación normal u offline con la protección contra fallos de alimentación activada y cifrar todos los sectores, y no solo los que están en uso? Sí. Debe activar de forma explícita el cifrado inicial rápido para su uso. Si no está activado, se utiliza el proceso normal de activación y cifrado inicial.
¿Puedo desactivar la opción de protección contra fallos de alimentación pero permitir la funcionalidad de cifrado solo sector utilizado? Sí. Se puede seleccione cualquier combinación de las dos opciones. No obstante, debido a las posibles preocupaciones de seguridad cuando se utiliza el cifrado "solo sector utilizado" en unidades recicladas (discos sucios), es posible desactivar esta opción. Es importante leer las consideraciones sobre el sector utilizado únicamente.
¿Qué es UEFI?
UEFI define la interfaz de firmware de última generación para su equipo personal. El sistema básico de entrada y salida (BIOS) firmware, escrito originalmente en el ensamblado y utilizando interrupciones de software para la e/s, ha definido el sistema PC desde su creación. No obstante, los cambios en el firmware del entorno informático han paveddo la forma en que una definición moderna de iniciará sesión en la siguiente generación de tabletas y dispositivos.
Otros hechos de UEFI:
UEFI se administra a través del Foro de UEFI, un conjunto de chipsets, hardware, sistemas, firmware y proveedores de sistemas operativos. El Foro mantiene las especificaciones, las herramientas de prueba y las implementaciones de referencia que se utilizan en muchos equipos UEFI.
La intención de UEFI es definir una forma estándar para que el firmware del sistema operativo se comunique con la plataforma durante el proceso de arranque. Antes de UEFI, el mecanismo principal para comunicarse con el hardware durante el proceso de arranque era interrupciones de software. Los equipos modernos pueden realizar una entrada/salida de bloque más rápida y eficaz entre el hardware y el software. Además, UEFI permite que los diseños utilicen todo el potencial de su hardware.
UEFI permite un diseño modular de firmware, que permite a los diseñadores de hardware y sistemas una mayor flexibilidad a la hora de diseñar firmware para los entornos informáticos modernos más exigentes. Aunque la E/S está limitada por las interrupciones de software, UEFI promueve el concepto de estándares de codificación basados en arquitecturas neutros basada en eventos.
DE admite la versión 2.3.1 de 7.1 UEFI y posteriores.
Windows 7 (64 bits) y Windows 8 (32 bits y 64 bits) y los sistemas posteriores admiten un proceso de arranque de UEFI.
¿Cuáles son las funciones clave de uso de UEFI con DE?
Existen diferentes herramientas de recuperación para sistemas con un proceso de arranque de UEFI. Dado que se trata de un proceso de arranque distinto, se requiere una herramienta de recuperación distinta para gestionar los distintos procesos de arranque.
La destecnología también es una aplicación UEFI. Existe una aplicación destech que se utiliza para la recuperación en sistemas con un proceso de arranque de UEFI.
Nota: No puede utilizar las herramientas de destech del BIOS (heredadas) con un sistema de arranque UEFI.
Importante: Un sistema con un proceso de arranque de UEFI no funciona con discos particionados MBR. Windows requiere un nuevo mecanismo para la partición de disco, denominada GPT, para arrancar mediante UEFI.
DE prearranque es una aplicación. Si considera que UEFI es como un sistema operativo, el arranque previo se convertirá en una aplicación nativa DE UEFI. En comparación, la versión previa al arranque del BIOS es un sistema operativo por sí mismo. En ambos casos, el arranque previo debe ejecutarse primero para que, tras una autenticación correcta, la clave DE cifrado se pueda cargar y el proceso de arranque pueda continuar. En el mundo de UEFI, cuando un usuario se autentica correctamente en el arranque previo.
No todos los dispositivos de pantalla táctil son compatibles con UEFI. Si piensa en UEFI más como un sistema operativo, los OEM deben proporcionar controladores de software para el hardware contenido en ese dispositivo. En el caso de UEFI, el arranque previo admite tanto el protocolo de puntero simple como el protocolo de puntero Absolute. Se espera que se implementen uno o ambos protocolos para todos los dispositivos de pantalla táctil encontrados. Si un fabricante o OEM de la implementación de UEFI no pueden implementar ninguno de estos mecanismos, no se puede garantizar la compatibilidad con el dispositivo de pantalla táctil.
Nota: Hemos descubierto en sus propias pruebas internas que no todas las implementaciones de UEFI de los OEM implementan realmente estas interfaces. En estos casos, el creador de la implementación de UEFI en ese sistema deja las secciones de la especificación de UEFI.
Las unidades GPT son compatibles con UEFI. Se admiten como discos de arranque o secundarios.
La implementación de UEFI se produce en todos los proveedores. Las implementaciones de UEFI difieren según los proveedores de hardware. En función de la implementación de UEFI, los problemas pueden oscilar entre los siguientes:
Faltan los protocolos necesarios para admitir unidades Opal.
Problemas de compatibilidad con USB proporcionados en el entorno previo al arranque y utilizados por DE DE en el modo UEFI nativo.
Unidades Opal compatibles con UEFI:
La compatibilidad con las unidades de autocifrado de Opal en sistemas UEFI solo está disponible en Windows 8 o sistemas posteriores conformes con el logotipo que estén equipadas con una unidad de autocifrado de Opal cuando se fabrique.
La compatibilidad con las unidades de autocifrado de Opal bajo UEFI no se ofrece cuando se cumple alguna de las siguientes condiciones:
Instalación de unidades Opal en versiones anteriores a sistemas Windows 8
Reconexión a sistemas Windows 8 que no se envían con unidades Opal de los fabricantes.
El motivo de lo anterior es que se requiere un protocolo de seguridad UEFI para la administración de Opal. Solo es obligatorio cuando se instala una unidad de cifrado automático en el momento del envío. Sin el protocolo de seguridad, no es posible la administración de Opal.
¿Es compatible con unidades GPT? Windows 7
Como disco de arranque, no. Como disco secundario, sí. Además, es el sistema operativo el que es compatible con la unidad secundaria en modo GPT y para que la BIOS admita discos de gran tamaño para la destecnología (independiente) a fin de recuperarlos.
Windows 8 y posteriores
Los discos GPT principal y secundario son compatibles con Windows 8 con DE 7.1.0 y posteriores.
NOTAS:
Los sistemas basados en UEFI solo pueden arrancar desde un disco GPT principal.
Los sistemas basados en BIOS no se pueden arrancar desde un disco GPT principal. En estos sistemas de EEPC 7.0 y posteriores, los discos GPT solo se admiten como unidad secundaria.
¿Qué experiencia tiene el usuario cuando el sistema utiliza UEFI?
Ambos entornos previos al arranque tienen el mismo aspecto y tienen el mismo comportamiento. Un usuario no puede distinguir la diferencia entre los entornos de arranque de UEFI y BIOS.
¿Por qué debo crear y usar medios de recuperación de WinPE de destech, cuando la versión independiente de DeTech incluye más funcionalidad, como por ejemplo, un arranque de emergencia?
La versión de WinPE es mucho más rápida que la versión independiente.
La versión de WinPE también permite acceder al disco duro cifrado, solucionar problemas de Windows o copiar datos de usuario en otra unidad antes de la creación de una nueva imagen.
También puede ejecutar cualquiera de las herramientas de Windows y acceder a la red.
Notas: La destecnología autónoma no es compatible con versiones anteriores. Utilice siempre una versión de media de recuperación de DeTech correspondiente. Si el cliente tiene 7.1 instalado, cree un medio de recuperación independiente de destech 7.1 para realizar las acciones de recuperación.
Importante: No es posible proporcionar a los clientes un CD de recuperación de WinPE porque se necesita una licencia de Microsoft válida.
¿Qué es el arranque seguro?
El arranque seguro es una función que se activa mediante UEFI, pero Microsoft impuestos sobre implementaciones específicas para PC x86 (Intel). Los sistemas con una etiqueta de logotipo Windows 8 tienen activado el arranque seguro.
UEFI tiene un proceso de validación de firmware, denominado arranque seguro, que se define en el capítulo 27 de la especificación de UEFI 2.3.1 . Arranque seguro define la forma en que la plataforma firmware administra los certificados de seguridad, la validación de firmware y una definición de la interfaz (Protocolo) entre firmware y el sistema operativo. Crea una raíz de confianza, que comienza en UEFI, que valida el siguiente módulo de la cadena antes de cargarlo y ejecutarlo. La validación garantiza que no ha cambiado desde que se firmó digitalmente. Con la arquitectura de arranque seguro y su establecimiento de una cadena de confianza, el cliente está protegido frente a malware ejecución en el proceso de arranque. Solo se pueden ejecutar los cargadores de arranque, certificados y firmados con certificación certificada, antes de que se cargue el propio sistema operativo.
Otros datos generales de arranque seguro:
DE 7.1.x admite arranque seguro.
DE está firmado, de modo que el proceso de arranque seguro confía en él.
El arranque seguro no funciona en sistemas basados en BIOS Windows 8 o posteriores. Solo funciona en sistemas basados en UEFI.
¿Qué es arranque híbrido/ Inicio rápido/arranque rápido?
En versiones anteriores de Windows, un apagado tradicional cerraba todas las sesiones de usuario, servicios y dispositivos, y también cerraba el kernel para prepararse para un apagado completo. Windows 8 cierra las sesiones de usuario, pero en lugar de cerrar la sesión de kernel, la hiberna. El resultado es un apagado y una hora de inicio más rápidos.
Nota: Microsoft Windows 8 agrega compatibilidad para el arranque rápido (anteriormente conocido como arranque híbrido); con la publicación de Windows 10 y posteriores, esta función ahora se conoce como inicio rápido.
Otros aspectos generales del
arranque híbrido, el Inicio rápido y el arranque rápido :
De 7.1.x no admite arranque híbrido, Inicio rápido y arranque rápido. DE las funciones se ven afectadas si están activadas.
El inicio de sesión único (SSO) funciona en un arranque híbrido. DE admite SSO en una reanudación desde el modo de hibernación, a diferencia de las versiones de EEPC anteriores.
DE 7.1 incluye mejoras en todas las áreas de rendimiento, que se experimentan de forma inexcepcional con un procesador AES-ni. En pruebas internas, de otros tiempos de arranque cifrados comparables o no cifrados mediante arranque híbrido.
Veo referencias a Windows RT. ¿Qué es?
Windows RT (anteriormente conocido como Windows en ARM) es una versión de Windows 8 para dispositivos ARM. Solo el software escrito para la interfaz de la interfaz de usuario moderna de Windows 8 se ejecuta en Windows RT, excepto en Microsoft Office 2013 RT y Internet Explorer 10. Cualquier aplicación escrita mediante las API de Win32, como las aplicaciones más actuales, no se ejecuta en Windows RT.
¿Qué es una tableta Windows?
Un Windows Tablet es un dispositivo con estilo tableta capaz y certificado para ejecutar Windows. Existen dos categorías principales de Windows tabletas:
Tabletas con tecnología de procesadores Intel
Tabletas con tecnología de procesadores ARM
Otros datos generales de tablets:
DE 7.xno es compatible con las tabletas Windows que utilizan un procesador ARM y Windows RT.
DE 7.x admite Windows tabletas con un procesador Intel. Estas tabletas se ven como cualquier otro sistema de Windows. No obstante, debe examinar lo siguiente:
Capacidad de la CPU
Compatibilidad con la pantalla táctil
Capacidad de CPU en las tabletas: el equipo de desarrollo de productos ha observado que algunas vistas previas de Windows los dispositivos tablets de los fabricantes contienen procesadores de baja potencia, algunos de los cuales no tienen AES-NI capacidades. Los clientes deben tener en cuenta las capacidades de la CPU para asegurarse de que el usuario tenga una experiencia óptima cuando el sistema esté cifrado.
Compatibilidad con pantallas táctiles en tabletas: algunas tabletas Windows tienen teclados, por lo que la compatibilidad con la pantalla táctil no es un problema. En el caso de los dispositivos que no disponen de teclado, estos dispositivos requieren que el usuario se autentique mediante la interfaz táctil en el arranque previo.
¿Qué es la Seleccioneción offline?
La activación offline es la capacidad de activar sin conexión con ePO.
Otros datos generales de activación offline:
Proceso de alto nivel para la activación offline:
Un administrador crea un paquete offline en el servidor de ePO. Este paquete contiene la primera Directiva que se debe crear y una lista de "usuarios offline".
Una vez creado el paquete, se puede distribuir a los clientes con el MSI necesario para instalar DE. Cuando DE se instala correctamente, se ejecuta el paquete offline y se aplica e implementa la Directiva.
Ahora puede iniciar sesión con los "usuarios offline" en el arranque previo.
No hay registros de auditoría en ePO para encontrar información sobre un sistema activado a través de la activación offline. Este es el comportamiento esperado. Dado que el sistema no se ha comunicado nunca con ePO, no hay información sobre ese sistema.
Si un dispositivo se activa solo a través de la activación offline, no podrá comprobar que está cifrado. Si el sistema no se comunica nunca con ePO, no hay información en ePO que se pueda utilizar con fines de auditoría en caso de pérdida o robo. Una vez que el sistema se comunica con ePO y entra en un modo online, toda la información normal se encuentra en ePO. Una vez completada la transferencia, se demuestra el estado cifrado del sistema.
Agregar usuarios del dominio local (AUDL) no funciona a través de la activación offline. AUDL es un proceso de dos pasos que requiere que ePO realice la asignación de usuario o sistema. Dado que ePO no está disponible con la activación offline, AUDL no puede completarse y no se puede utilizar.
Para definir la directiva inicial para la activación offline, utilice los parámetros disponibles en la utilidad de creación de paquetes offline.
Un sistema descarta todos los usuarios offline después de que el sistema se comunique correctamente con el servidor de ePO.
¿Cuáles son los casos de uso para la activación offline?
Los tres casos de uso principal que se abordan con la activación offline son los siguientes:
Aprovisionamiento interno.
Aprovisionamiento por parte de un tercero.
Un sistema remoto que no se conecta nunca a ePO.
Nota: Existen otros casos de uso en los que la activación offline puede resultar útil; sin embargo, DE 7.1 se centra en estos tres casos de uso.
Un caso de uso de aprovisionamiento interno para la activación offline es donde podría tener su propio proceso de aprovisionamiento. El proceso puede indicar que un sistema debe tener instalado el sistema operativo, además de todas las aplicaciones aprobadas por la empresa. El disco debe estar completamente cifrado antes de que se entregue al usuario. En el momento del aprovisionamiento, es posible que no disponga de conectividad de red, ya que los dispositivos podrían estar sentados en una estantería en una habitación distinta.
Aprovisionamiento mediante un caso de uso de terceros para la activación offline. Es posible que tenga una tercera parte externa para aprovisionar sus dispositivos. En este caso, no desea abrir su firewall para permitir las conexiones con ePO, pero es necesario que todos los portátiles se cifren antes de la entrega.
Uso del caso para la activación offline de un sistema remoto que nunca se conecta a ePO:
Tiene un cliente en una ubicación remota.
El cliente no tiene conectividad de red.
El sistema puede recopilar datos confidenciales y debe cifrarse.
Puede distribuir un CD con los paquetes de MSI. Los paquetes instalan MA, DE y el paquete de activación offline.
A continuación, se ejecutan los paquetes de MSI para instalar, activar y cifrar el sistema.
¿Cómo funciona la recuperación para la activación offline?
Si el administrador ha seleccionado guardar la clave de cifrado, la clave se escribe en un archivo de un disco. A continuación, la responsabilidad del usuario es transferir esa clave cifrada al administrador mediante un método aprobado por la empresa. Cuando los administradores tienen la clave cifrada, pueden descifrarla cuando sea necesario mediante el servidor de ePO que crea el paquete offline. El resultado de este proceso de descifrado es un archivo XML estándar que se puede utilizar con las herramientas DE recuperación.
Otros datos generales de activación offline:
Solo hay una opción de recuperación disponible para una activación sin conexión. Esta opción es una recuperación local mediante las herramientas DE recuperación.
Si el administrador desactiva la recuperación local, la única opción es utilizar las herramientas DE recuperación para corregir cualquier problema del sistema. También es posible conectar el sistema a ePO. En este momento, los usuarios y las directivas se sustituyen por la información proporcionada por ePO. No obstante, este escenario requiere la capacidad de arrancar Windows.
No hay opciones de recuperación adicionales para la activación offline cuando la siguiente retención es cierta:
La recuperación local está desactivada.
No ha guardado la clave de cifrado.
¿Cuáles son las funciones clave sobre la activación offline para la instalación?
Tenga en cuenta los sistemas activados por la activación offline como sistemas no gestionados. El motivo es que es posible que no los vea en ePO y que no pueda administrarlos en ePO.
Importante: No hay una versión independiente y no gestionada de de para los sistemas que están offline y activados. La activación offline podría permitirle crear un sistema independiente cifrado de acuerdo con una directiva específica. Sin embargo, una vez finalizada la primera implementación de directivas, no se puede actualizar la directiva ni los usuarios. No hay ninguna consola local y ningún método para actualizar la información de la Directiva o del usuario. No obstante, se admite un mecanismo de recuperación de claves. Para obtener detalles, consulte las preguntas frecuentes de recuperación del usuario offline a continuación.
Para la activación offline, el hecho importante es que DE puede instalarse en el sistema. El método de instalación utilizado: por ejemplo, un CD/DVD a los usuarios con MSI que pueden ejecutarse, o un método más automatizado, depende de su entorno específico.
Se requieren los siguientes requisitos de instalación para la activación offline:
MA
Agent de Endpoint Encryption
DE
Paquete offline creado por el administrador
Se puede activar un sistema a través de la activación offline a ePO posteriormente desde ePO.
Cuando un sistema activado offline se conecta a ePO, ocurre lo siguiente:
Suponiendo que la activación offline se realice con fines de aprovisionamiento, el sistema en un punto se conectará a ePO.
Cuando el sistema se puede comunicar correctamente con ePO, el cliente pasa a un modo online.
El modo online se define como una conexión normal entre MA y ePO; Considérese lo mismo que una instalación normal.Otros detalles: Other details:
Descarta la Directiva offline que se ha implementado y también descarta todos los usuarios offline. Recibe la directiva real de ePO, la lista de usuarios asignados según la activación normal y guarda su clave de cifrado en ePO. Puede verla como segunda activación automática.
Importante: Recuerde que toda la información sin conexión se descarta, si el usuario no conoce el servidor de ePO antes de la conexión. Si se conoce el usuario offline del servidor de ePO, se despliegan las directivas de ePO. No obstante, los datos almacenados en modo offline no se descartan.
¿Qué es un usuario sin conexión?
Un usuario sin conexión es uno de los que se utiliza para la autenticación previa al arranque y solo existe en un paquete offline específico.
Otros datos de usuario sin conexión:
Un usuario sin conexión es distinto de un usuario normal en DE. Los usuarios offline solo existen en ese paquete offline concreto. Estos usuarios no existen en AD y básicamente no existen en ninguna parte excepto en este paquete offline.
No es posible agregar más usuarios offline a un sistema activado sin conexión una vez que la activación haya finalizado y haya estado en el campo durante un tiempo.
Un usuario offline comienza con la contraseña predeterminada.
Puede recuperar una contraseña si un usuario sin conexión la olvida, ya que los usuarios pueden utilizar la funcionalidad de recuperación local para recuperarla.
Consideraciones para el uso de tokens (distinta de una contraseña) para los usuarios offline:
Las contraseñas y las tarjetas inteligentes que admiten la inicialización automática pueden funcionar en la activación offline.
Las tarjetas inteligentes que solo son PKI no pueden funcionar porque no hay ningún back-end para recuperar la información necesaria para autenticar al usuario.
Cuando un administrador desactiva la recuperación local, los usuarios offline se bloquean. Si hay otro usuario en el sistema, puede arrancar el sistema o conectar el sistema a ePO. No obstante, esta alternativa requiere que el sistema arranque en Windows.
Cuando el usuario offline ha olvidado su contraseña y las respuestas de recuperación local, el usuario se bloquea ahora. Si hay otro usuario en el sistema, puede arrancar el sistema o conectar el sistema a ePO. No obstante, esta alternativa requiere que el sistema arranque en Windows.
Si hay un usuario offline llamado Bob y un usuario AD llamado Bob, cuando Bob pase de estar offline a online, ¿qué ocurre con la contraseña?
Suponiendo que AD usuario Bob haya iniciado sesión en el sistema al menos una vez y un AUDL esté activo en la Directiva de ePO, Roberto se asigna al sistema después de descartar a Bob sin conexión.
Nota: A partir de este punto, el AD usuario Bob puede tener dos posibilidades. Si inicia sesión en el arranque previo por primera vez, Bob tiene la contraseña predeterminada. De lo contrario, y si ePO ya tiene credenciales para Bob, esas credenciales de ePO se encuentran en el sistema.
¿Es una directiva sin conexión igual que una directiva definida en ePO? No. Existen algunas opciones de configuración de directivas que requieren interacción, como AUDL. Esta configuración de Directiva no se puede utilizar en una activación sin conexión.
Otros datos generales de directiva sin conexión:
No se puede actualizar la Directiva de un sistema activado sin conexión una vez finalizada la activación y después de que haya estado en el campo durante un tiempo. La activación offline solo implementa la primera Directiva. No hay actualizaciones posibles después de aplicar la primera Directiva.
Un sistema descarta todos los usuarios offline después de que el sistema se comunique correctamente con el servidor de ePO. Descarta la Directiva offline y solicita a ePO que proporcione la Directiva adecuada.
La siguiente configuración está disponible para una directiva sin conexión:
Back up the Device Key
Path to the recovery key
Enable temporary autoboot
Enable autoboot
Don’t display the previous user name
Enable SSO
Enable boot manager
PBFS Size
Opal PBFS Size
Require user changes their password
User name must match Windows logon user name
Enable self-recovery
User smart card PIN
Enable USB in preboot
Importante: Cuando el equipo está equipado con una unidad Opal, las activaciones offline utilizan el cifrado Opal en primer lugar. Las preferencias de OPAL están codificadas de forma rígida en los paquetes de activación sin conexión y no utilizan la configuración de directiva personalizada.
¿Qué ocurre con las claves de cifrado durante la activación offline?
Cuando el administrador configura el paquete de activación sin conexión, existe una opción disponible para indicar si las claves se guardan o no. La decisión sobre si guardar las claves y a qué ubicación, es la única discreción del administrador. No es algo que el usuario pueda elegir o manipular.
Otros datos generales de clave de cifrado:
Una vez que haya recibido la clave cifrada, un administrador puede descifrarla y exportar la información en formato XML utilizada por las herramientas DE recuperación.
Si guarda una clave de cifrado de un sistema que haya completado el proceso de activación sin conexión, no podrá importar la clave en ePO. No obstante, puede almacenar todas las claves en una ubicación segura y utilizar ePO para descifrarlas y generar los archivos XML de recuperación necesarios.
Si las claves de cifrado no se pueden guardar debido a algún otro error, el disco duro del cliente se debe volver a formatear. A continuación, se debe reiniciar el proceso de activación offline.
La clave de cifrado no se escribe en un archivo de texto sin formato en el disco y la clave de cifrado siempre se cifra. Si una aplicación de terceros intercepta la clave, ninguna es útil para ellos, ni tampoco una forma de identificar el sistema al que pertenece.
La única ubicación donde se puede descifrar la clave de cifrado para una activación offline es el servidor de ePO que crea el paquete offline. Ningún otro servidor de ePO puede descifrar la clave.
Todas las activaciones sin conexión no tienen la misma clave de cifrado. Durante la primera implementación de directivas, se genera la clave de cifrado. Este hecho garantiza que todas las activaciones sin conexión tienen una clave distinta.
Otros casos de uso de claves de cifrado:
Acerca de la clave de cifrado para el sistema en el caso de uso de aprovisionamiento interno:
Es posible que no desee guardar la clave. Recuerde que, en la primera conexión con el servidor de ePO, carga la clave. Esta situación abarca principalmente los nuevos sistemas. Hay pocos datos de usuario que perder, en caso de que se produzca alguna de las siguientes situaciones:
Se ha detectado un defecto físico que provoca el bloqueo del disco.
Se bloquea el acceso al sistema.
Nota: Puede guardar la clave en una unidad USB o en un recurso compartido de red específico por si se requiere una recuperación.
Acerca de las claves de cifrado del sistema en el aprovisionamiento por un escenario de terceros:
Es probable que no desee que el tercero guarde la clave de cifrado; por lo tanto, puede especificar que no guarde la clave en ningún lugar.
ADVERTENCIA: Si la aplicación de terceros copia cada clave de cifrado de todos los sistemas de su organización, se considera un riesgo para la seguridad.
Dado que esta situación abarca principalmente los nuevos sistemas, hay pocos datos de usuario que perder cuando se produce una de las siguientes situaciones:
Se ha detectado un defecto físico que provoca el bloqueo del disco.
Se bloquea el acceso al sistema.
Con respecto a las claves de cifrado, en las que las claves de cifrado del sistema nunca se conectan a ePO:
Es probable que desee guardar la clave de cifrado en una unidad USB o en un disco duro. Este paso es opcional y se refiere únicamente a la discreción del administrador. Es responsabilidad suya asegurarse de que la clave de cifrado se transporta de forma segura a ePO para protegerla. Este transporte se puede lograr mediante cualquier mecanismo que la organización apruebe para las claves de cifrado. Una vez que el administrador de ePO tiene una copia de la clave guardada, se puede utilizar posteriormente con fines de recuperación.
¿Qué se incluye en el sistema de archivos de prearranque (PBFS)?
El PBFS contiene toda la información necesaria para proporcionar al usuario la capacidad de autenticarse. Esta información incluye pero no está limitada a lo siguiente:
Los archivos necesarios para el entorno previo al arranque.
Archivos de idioma para todos los idiomas de cliente compatibles.
Fuentes para mostrar caracteres de todos los idiomas admitidos.
El tema asignado al cliente.
Los usuarios asignados al cliente.
Otros hechos de PBFS:
Si realiza el despliegue en un cliente y aumenta el tamaño del PBFS en la directiva más tarde, el tamaño de PBFS no cambia en el cliente desplegado. La configuración del tamaño de PBFS se aplica solo cuando se crea o se vuelve a crear el PBFS durante cualquier procedimiento de recuperación.
Es posible crear y personalizar los temas de arranque previo en ePO.
No puede forzar durante el arranque previo un teclado inglés cuando instale 7.x por primera vez en un sistema operativo que no esté en inglés. El motivo es que, de forma predeterminada, el instalador DE muestra el teclado localizado asociado al sistema operativo Windows localizado en el que se está instalando el producto.
¿Cuánto tiempo se necesita para que un usuario recién creado esté disponible en PBFS?
No hay una respuesta breve a esta pregunta. Los siguientes escenarios intentan cubrir las situaciones más comunes:
Escenario 1
Si solo se asigna un usuario sin inicializar a un sistema: solo se requiere un ASCI, dado que el usuario se verifica mediante la tarea de sincronización LDAP de EE en ePO.
Nota: Un usuario no inicializado es un usuario que no ha iniciado sesión previamente en ningún sistema. Por lo tanto, no existen datos de token para este usuario.
Escenario 2
Si se agrega un nuevo usuario no inicializado a un sistema que ya tiene usuarios asignados, es posible que necesite dos ASCI antes de que el usuario esté completamente disponible en PBFS.
Escenario 3
Si se acaba de agregar un usuario inicializado a un sistema que puede o no tener usuarios asignados, se requieren dos intervalos ASCI hasta que el usuario esté completamente disponible en PBFS. El motivo es que este usuario ya tiene datos de token inicializados.
En Resumen, cuando se asigna un usuario a un sistema, se incrementan las directivas de este sistema. Durante la implementación de directivas, se activa un evento para solicitar datos de usuario. Cuando ePO devuelve ese evento, se verifican y descargan al cliente todos los usuarios que hayan sido asignados.
En el caso de un usuario sin inicializar, donde no hay datos token, el evento secundario no es necesario para extraer todos los datos de los usuarios requeridos y en el PBFS. Al igual que en el resto de escenarios, se requieren dos eventos para que un usuario esté totalmente disponible en PBFS.
Además, si el cliente está utilizando la opción de directiva AUDL, hay un 2.5 tiempo de espera de ASCI que se activa. Este evento se produce cuando no se responde a la solicitud de AUDL. Si se supera este tiempo de espera, se requiere una nueva implementación de directivas para cargar los datos de usuario para su verificación.
¿Cuáles son los requisitos DE 7.x los temas personalizados?
Cree el tema personalizado según los siguientes requisitos:
Una imagen debe tener dimensiones 1024 x 768
El formato de archivo debe ser. PNG
El tamaño del archivo debe ser de unos 600 KB
Nota: Para los usuarios que amplían desde EEPC 6.x , un nuevo tema predeterminado se incluye como parte de 7.1.x. de si utiliza temas personalizados con EEPC 6.x , vuelve a crear los temas personalizados desde el tema de 7.1.x predeterminados tras la ampliación. Este enfoque garantiza que se muestre la interfaz de usuario correcta y que se oiga el audio correcto. De lo contrario, se sigue mostrando la interfaz de usuario de EEPC 6.x y se utiliza el audio de EEPC 6.x . Los usuarios que deseen desplegar el nuevo tema predeterminado en todos sus endpoints existentes o que dispongan de su propio tema personalizado deben seguir los pasos descritos en las notas DE la versión DE 7.1 . Estos pasos garantizan que estén utilizando el tema correcto durante la autenticación anterior al arranque.
¿Qué es PBSC?
PBSC es una funcionalidad de de que realiza varias comprobaciones de compatibilidad de hardware previo al arranque. Las comprobaciones se aseguran de que el entorno DE prearranque de funcione correctamente en un sistema. Prueba las áreas que se han identificado para provocar problemas de incompatibilidad en el pasado.
Otros datos generales de PBSC:
El objetivo de PBSC es ayudar a proporcionar un despliegue sin complicaciones de la completa cifrado de disco, que se consigue buscando condiciones de error comunes en el entorno previo al arranque. Sin las comprobaciones activadas, la productividad puede verse afectada cuando los problemas de despliegue pudieran bloquear a los usuarios del sistema. PBSC desactiva DE si existe un problema y permite al sistema revertir a la autenticación de solo Windows.
La funcionalidad de PBSC no está activada de forma predeterminada porque introduce uno o varios reinicios del sistema en el proceso de activación. Algunos clientes aceptan esta situación, mientras que otros no.
Cuando PBSC encuentra un problema, como por ejemplo, un error al cargar el arranque previo o un problema que se está entregando a Windows, el sistema se reinicia automáticamente o el usuario debe reiniciar el sistema de forma forzada. Esto permite a PBSC probar un conjunto distinto de configuraciones de compatibilidad para solucionar el problema. Si la configuración funciona y el sistema arranca en Windows, el DE se activa completamente y se implementa la Directiva de cifrado.
Si se han intentado todas las configuraciones de compatibilidad y se encuentran problemas no recuperables, se omite el arranque previo. En esta situación, el sistema arranca en Windows y DE se desactiva. En este momento, se envía una auditoría a ePO para alertar del error y se bloquean las siguientes activaciones en el sistema.
Cuando un sistema pasa el PBSC, se activa DE e implementa la Directiva DE cifrado.
¿Qué sucede si un sistema falla el PBSC?
Si un sistema no cumple el PBSC, no se activa DE. Por lo tanto, la activación (y el cifrado, si se establece en la Directiva) no continúa, y el sistema "revierte" a la autenticación de solo Windows.
Otros errores de PBSC hechos generales:
En el caso de un sistema que siga ejecutándose a través de PBSC, el administrador de ePO solo puede ver que el sistema no está activado y no cifrado.
Pueden ver el registro de auditoría para obtener el progreso desde la última vez que el sistema se sincronizó con ePO.
El administrador puede ver que un sistema no está activado, ya que el error se audita.
Para que un administrador vea que un sistema ha fallado la PBSC, consulte el registro de auditoría del sistema.
Si un sistema falla en el PBSC, sigue intentando activarse en la siguiente implementación de directivas. Sin embargo, la activación se abandona inmediatamente. Todas las activaciones subsiguientes se abandonan inmediatamente hasta que se produce una de las siguientes situaciones:
Desactive PBSC de la Directiva.
Elimina el valor de registro: Software\McAfee Full Disk Encryption\MfeEpePc\SafeFailStatus\Status.
Nota: Además, una solución es configurar una respuesta automática en ePO basada en el ID de evento. De esta forma, cuando llegue un evento a ePO (el evento que indica un fallo de PBSC), ePO puede asignar automáticamente una nueva Directiva a ese sistema. Esa Directiva se configuraría para desactivar y, DE este modo, detener futuros intentos DE activación. Consulte la documentación de ePO para obtener más información.
¿Cómo puedo saber si PBSC modifica la configuración? Esta información no se expone en 7.1. de sí es transparente para el usuario y se produce de forma automática.
Si la PBSC no ha realizado ningún cambio y el sistema funciona fuera de la caja, ¿indica que puedo desactivar esa comprobación para fines de despliegue?
Es a la discreción de los clientes si quieren desactivar la comprobación. No obstante, la variabilidad es común entre los sistemas que tienen el mismo número de modelo. Por ejemplo, es posible que un usuario haya pasado a la BIOS y haya cambiado su configuración de USB.
Los cambios realizados en la configuración de USB pueden afectar a la integración con ese BIOS; por lo tanto, la conservación de PBSC agrega valor aquí. Sin embargo, si utiliza contraseñas de BIOS para evitar que los usuarios realicen tales cambios, podría ser seguro no utilizar PBSC.
Nota: La versión de AMT forma parte de la información que un administrador puede ver en un equipo. La información intercalada se comunica de nuevo a ePO Deep Command.
Otros hechos generales de Intel AMT:
Un administrador puede aprender a determinar si puede utilizar la funcionalidad de Intel AMT en un sistema concreto. Se consigue visualizando las propiedades del sistema en ePO. En ePO, puede ver la información de AMT de ese sistema específico. ePO Deep Command Discovery and Reporting (Free) también proporciona esta información para todos los sistemas gestionados en ePO y la muestra en un panel. Para ser compatible con DE, el comando Deep debe informar del estado de AMT como configuración posterior. Además, DE requiere que AMT sea una versión 6.0 o posterior.
Proceso para transferir la información de Intel AMT sobre un sistema a ePO.
En primer lugar, debe instalar las extensiones de Deep Command, incluidas las extensiones de descubrimiento y generación de informes, y incorporar los paquetes en el servidor de ePO.
Debe desplegar los paquetes de Deep Command en los clientes, los cuales informan si AMT está activado. Además, si el sistema activa AMT, el cliente informa de qué funciones de importe se admiten.
Deep Command agrega una tarea de planificación de servidor a ePO, que etiqueta automáticamente los sistemas con AMT. Esta tarea está planificada para ejecutarse a diario y se puede modificar. Consulte la documentación de ePO Deep Command para obtener más información.
Si el sistema no ha activado AMT, consulte el panel de Resumen de descubrimiento y generación de informes de Deep Command para obtener información de soporte de AMT de un cliente.
¿Cuántos tipos de acciones de Intel AMT se pueden poner en cola en un sistema?
Existen dos tipos:
Acciones transitorias
Acciones
permanentes
Ejemplos de acciones permanentes y transitorias:
Una
acción transitoria es una acción que se ejecuta x número de veces y, a continuación, se elimina de la cola de acciones. A continuación se muestran algunos ejemplos:
Reset User Password
Desbloqueo x número de veces
Desbloqueo hasta
Arranque de emergencia
Restaurar MBR
La acciónpermanente es una acción que permanece en la cola de acciones hasta que el administrador la elimina.
Desbloquear planificación
Desbloquear permanentemente
Otros hechos permanentes y transitorios:
Por cada acción de Intel AMT, solo puede asignar lo siguiente de una vez:
Un sistema o un usuario para un máximo de una acción transitoria.
Una acción permanente.
Solo puede tener una acción transitoria de Intel AMT y otra permanente. Se trata de una decisión de diseño tomada para la primera implementación de la integración con Intel AMT. Si se producen otros casos de uso, esta decisión se puede revisar. La arquitectura subyacente está diseñada para gestionar más acciones si es necesario.
¿Qué significa el acceso local iniciado por el cliente (CILA) y el cliente iniciado Acceso remoto (CIRA) en relación con Intel AMT?
La definición de lo que es local y remoto se define como parte del proceso de aprovisionamiento de AMT.
CILA es una solicitud AMT de una dirección de red interna.
CIRA es una solicitud AMT procedente de una dirección de red remota.
Nota: La configuración de directiva predeterminada para CIRA está desactivada de forma predeterminada. Esta decisión es la que es consciente de que el equipo de desarrollo de productos protege a los clientes de la exposición accidental.
CIRA es compatible y debe estar activado de forma explícita. La desactivación de CIRA significa que si un Controlador de agentes se expone a Internet, no puede responder a ninguna solicitud AMT. El equipo de desarrollo de productos cree que los clientes deben decidir si desean activar esta funcionalidad.
Cuando veo un Wakeand Patch (Remote Unlock) o Contextual Security (Unlock) en un cliente, el arranque previo parece esperar unos 20 segundos antes de continuar con el arranque en el sistema operativo. ¿es esto normal?
Existen muchos factores implicados en la determinación del tiempo que puede durar el periodo de espera. La velocidad de la red y la carga de trabajo del servidor de ePO son dos factores posibles. Existe un problema conocido en firmware AMT, que podría acarrear un retraso de 20 segundos antes de que los eventos de CILA salgan del Endpoint. El efecto de este problema es que podría tardar más de 20 segundos en producirse un desbloqueo fuera de banda en un entorno de CILA. Estamos investigando este problema. Para revisar otros 7.1 problemas conocidos, consulte KB84502-Drive Encryption 7.x problemas conocidos.
¿Qué directivas y opciones de Deep Command son necesarias para 7.1 la integración?
ePO Deep Command 1.5.0 y las directivas de Intel AMT son necesarias, lo que garantiza que las siguientes opciones estén configuradas correctamente en las directivas:
Acceso remoto debe estar activado.
CILA debe estar activado. Se debe seleccione el controlador de agentes correcto.
Para el tipo de conexión, se debe seleccione el BIOS y el sistema operativo.
Si desea activar CIRA, asegúrese de configurar lo siguiente:
Doméstico sufijo de dominio
Controlador de agentes DMZ
Permitir túnel Iniciado por el usuario
¿Cuáles son los casos DE primer uso implementados en DE 7.1.x uso de Intel (AMT) y EPO Deep Command? Los primeros cuatro casos de uso implementados en DE 7.1.0 son los siguientes:
¿Cuál es el caso de uso de restablecimiento de contraseña?
Esta funcionalidad utiliza Intel AMT para enviar datos de token nuevos a un cliente. En este caso de uso, un usuario inicia su sistema pero olvida su contraseña. Pueden llamar a un servicio de asistencia o un administrador y solicitar que restablezcan la contraseña. El administrador crea una contraseña de un solo uso que se extrae a través de Intel AMT al cliente durante el arranque previo. El uso de Intel AMT es una alternativa más rápida para el restablecimiento de contraseñas que el método de desafío o respuesta de larga duración.
Otros hechos generales de restablecimiento de contraseña :
A continuación se indican los pasos de alto nivel para el caso de uso de restablecimiento de contraseña:
El usuario inicia su equipo, no puede iniciar sesión y llama al servicio de asistencia.
El usuario se dirige a la sección recuperación en el arranque previo y proporciona al usuario de soporte su nombre de equipo de ePO.
El operador de asistencia técnica encuentra en ePO el sistema que utiliza el usuario.
El usuario del servicio de asistencia utiliza la funcionalidad de Intel AMT para restablecer su contraseña con un contraseña de un solo uso temporal.
Para que el sistema especificado reciba nuevos datos de token, ePO escribe el elemento en la cola de trabajo. El arranque previo lee la cola de trabajo y obtiene la clave mediante la pila de red proporcionada por Intel AMT.
El cliente recibe nuevos datos de token y sale automáticamente de la pantalla de recuperación y vuelve a la pantalla de contraseña. Este hecho es una indicación para el usuario de que se ha recibido la nueva contraseña. Además, el usuario oirá un pitido para indicar que se han recibido los nuevos datos de token.
A continuación, el usuario se autentica con su contraseña de un solo uso y establece una nueva contraseña.
Acciones necesarias cuando un usuario requiere un restablecimiento de contraseña: para determinar en qué sistema se encuentra el usuario, el usuario en el cliente, en el arranque previo, debe ir a la pantalla de recuperación. En la pantalla de recuperación, pueden ver el ID del equipo y el nombre del equipo. Pueden proporcionar esta información al administrador o al servicio de asistencia y buscar el equipo en ePO. Este procedimiento es necesario porque las acciones de Intel AMT funcionan en sistemas en lugar de en usuarios.
Otros hechos de la función Administrador de contraseñas restablecidas :
Cuando un administrador necesita verificar si un cambio se ha realizado correctamente o por qué parece que no funciona, el administrador puede encontrar la información en el AMTService.log archivo.
NOTAS:
No se genera un evento en ePO porque no hay ninguna API de ePO para generar un evento desde el controlador de agentes.
El administrador puede encontrar el AMTService.log archivo en el servidor de ePO en <ePO_Install_folder>/<Agent_Handler_Install_Folder>\DB\Logs\AMTService.log . También se recopila como parte del MER del servidor.
Lo siguiente no se recomienda cuando un administrador desea determinar qué sistema está utilizando el usuario. Es posible que el administrador envíe el comando de Intel AMT a todos los sistemas a los que puede acceder el usuario.
Razonamiento:
Supongamos que el usuario puede acceder a dos equipos portátiles.
Inician el equipo portátil-1 y reciben la instrucción para cambiar su contraseña.
Recorren el proceso e inician Windows.
Ahora activan el portátil-2, que también recibe la solicitud para cambiar la contraseña.
Los datos de token se actualizan a la contraseña de un solo uso y se les solicita que vuelvan a cambiarlo.
En teoría, lo anterior puede funcionar en un entorno controlado o cuando el usuario es consciente.
Otra experiencia de usuario de restablecimiento de contraseña:
Cuando el administrador utiliza la funcionalidad de Intel AMT para cambiar la contraseña del usuario, el usuario sabe que la nueva contraseña de recuperación ha llegado al cliente. Si el usuario está sentado en la pantalla de recuperación, verá que desaparece la pantalla de recuperación. Poco después, se sustituye por la pantalla de inicio de sesión. Esta indicación confirma que se recibe la nueva información de contraseña.
Notas: Cuando se reciben los nuevos datos de token, el usuario escucha un pitido.
¿Qué es el caso de uso de seguridad contextual?
El caso de uso de seguridad contextual (también conocido como con reconocimiento de ubicación) es una nueva función de autenticación en el entorno DE prearranque. Proporciona a los sistemas la capacidad de autenticarse sin la intervención del usuario. En lugar de solicitar credenciales a un usuario, el arranque previo utiliza Intel AMT para iniciar una conexión de red con ePO. A continuación, el arranque previo recupera una clave que utiliza para autenticarse en el arranque previo y, a continuación, arranca el equipo en el sistema operativo. El entorno previo al arranque y ePO pueden determinar si el sistema se encuentra en la oficina o se conecta a través de Internet. La seguridad contextual ofrece a los administradores la capacidad de configurar los sistemas para que se autentiquen automáticamente a través de ePO y AMT en la oficina. Sin embargo, cuando el sistema está fuera de la oficina, muestra la pantalla de autenticación anterior al arranque.
Los casos de uso de ejemplo en los que la seguridad contextual es útil son los siguientes:
Clientes que no desean mostrar el entorno previo al arranque mientras sus usuarios están en la oficina, pero que lo muestran cuando están fuera de la oficina o si el sistema se pierde o se lo roban.
Cifre un sistema que siempre esté en la oficina. No afecte al usuario con las nociones de arranque previo y que se autentique automáticamente a través de ePO y AMT. Sin embargo, muestre la opción previo al arranque si el equipo es robado desde la oficina.
Clientes que han compartido equipos utilizados por muchas personas, como en una sala de reuniones o un salón de formación, o en equipos portátiles y de sobremesa en un entorno hospitalario.
Los clientes que desean eliminar problemas de sincronización de contraseña no muestran nunca la opción anterior al arranque. Sin embargo, aunque tenga su protección, si el equipo se pierde o se lo roban, los usuarios se autentican por primera vez en Windows. Aunque se encuentra en segundo plano, se autentica automáticamente a través de ePO y AMT.
¿Cómo funciona la seguridad contextual?
Cuando se inicia el arranque previo, intenta ponerse en contacto con ePO y le pide permiso para arrancar. ePO está en control y decide si se debe devolver la clave de desbloqueo. Si el cliente no puede ponerse en contacto con ePO, o ePO no devuelve la clave de desbloqueo al cliente, se muestra el entorno previo al arranque. La pantalla anterior al arranque sigue apareciendo mientras espera a que un usuario se autentique correctamente. Si ePO envía la clave de desbloqueo, el equipo se desbloquea. Las claves de desbloqueo se envían al cliente en un canal seguro, protegido por el hardware AMT.
Otros datos de seguridad contextuales:
La autenticación de seguridad contextual se produce realmente en el cliente, pero la información proviene de ePO.
La seguridad contextual no omite el arranque previo. El entorno previo al arranque siempre está activo. El arranque previo sigue apagando e inicia el sistema operativo cuando se produce una autenticación correcta. En este caso de uso, la autenticación proviene de ePO.
SSO no funciona en este caso de uso de seguridad contextual porque la autenticación en el arranque previo se lleva a cabo en el equipo y no en un usuario. Dado que DE no sabe qué usuario inicia sesión, no puede reproducir ningún dato SSO capturado.
Con la seguridad contextual, el usuario solo necesita iniciar sesión una vez. En este caso, la autenticación de usuario se realiza en la solicitud de Windows y no en la solicitud DE prearranque.
El uso de la seguridad contextual significa que el usuario solo inicia sesión en Windows con su Windows contraseña más reciente. Este hecho puede eliminar cualquier preocupación sobre la sincronización de contraseñas para los usuarios que utilicen esta funcionalidad de forma continua.
Con un usuario móvil que dedica tiempo dentro y fuera de la oficina, estos usuarios necesitan sus credenciales para autenticarse en el arranque previo cuando no están en la oficina.
El equipo arranca automáticamente en Windows, siempre que ePO envíe una respuesta positiva. Inicia automáticamente el sistema operativo una vez procesada la respuesta.
Si se roba un equipo cuando se utiliza la seguridad contextual, muestra el entorno previo al arranque. El arranque previo se muestra porque el sistema no puede comunicarse con ePO y espera a que un usuario se autentique.
El caso de uso más no excepcional es utilizar esta función para sistemas de sobremesa o portátiles que no salen de la red de la oficina.
Otros hechos de la función de administrador de seguridad contextual:
Para que los administradores activarn la funcionalidad de seguridad contextual, deben realizar lo siguiente:
Seleccione uno o varios sistemas
Seleccione la acción "fuera de banda: desbloquear la autenticación anterior al arranque"
Especificar la duración del desbloqueo, bien de forma permanente o en una planificación
Nota: Un administrador también puede elegir si la acción es accionable para equipos locales o locales y remotos.
Cuando un administrador recibe quejas de un usuario que, desde el momento del momento, la seguridad contextual no funciona, para verificar que en el servidor de ePO, revise el archivo ' AMTService. log. '. Este archivo se revierte y tiene un límite de tamaño de archivo (el límite de tamaño predeterminado se establece mediante Deep Command. La configuración se puede configurar).
Cuando el administrador activa la funcionalidad de seguridad contextual, puede activar de forma permanente o durante un tiempo definido.
Para la opción período definido, un administrador puede especificar una de las siguientes opciones:
Uno o varios reinicios
Desde fecha/hora de inicio hasta fecha/hora de finalización
Una planificación semanal de horas bloqueadas o disponibles
Para los usuarios móviles, es mejor implementar siempre la autenticación previa al arranque porque, técnicamente, un usuario no inicia sesión en el arranque previo en este caso de uso. DE no conoce las actualizaciones de contraseñas porque no sabe qué usuario anterior al arranque debe aplicar ninguna actualización de contraseña.
Cuando se utiliza la seguridad contextual, el sistema permanece en el entorno previo al arranque. Se vuelve a intentar cada cinco minutos, si el servidor de ePO está ocupado y no puede responder al sistema.
Si el sistema no llega a ePO en el primer intento, lo vuelve a intentar. Intenta ponerse en contacto con ePO cada cinco minutos. Este comportamiento se aplica a las solicitudes CILA (locales). No obstante, en el caso de las solicitudes CIRA (Remote), el equipo solo Contacta con ePO una vez. Si no recibe respuesta, debe reiniciar el sistema para ponerse en contacto con ePO de nuevo.
El servidor de ePO deja de estar disponible y el cliente no puede contactar con el servidor de ePO. Si el usuario no conoce sus credenciales de arranque previo, se bloquea en el entorno previo al arranque. Su única opción es llamar al servicio de asistencia y realizar una recuperación del sistema con el proceso de desafío y respuesta.
Cuando CIRA está activado, significa que un sistema que no se encuentra en la red no se puede arrancar automáticamente. DE no toma ninguna decisión sobre si se debe mostrar la autenticación anterior al arranque. Si el DE ' Out of Band management' está activado, de intenta enviar una llamada para obtener ayuda.
A continuación, el chip AMT comprueba el entorno y ve si está conectado en la red remota o local.
Red local: Publica un CILA en el servidor de ePO.
Red remota: Si se especifica un servidor de CIRA, intenta conectarse de forma segura a él.
El arranque del arranque se desbloquea y entra en Windows si se cumplen las siguientes condiciones:
Una llamada de CILA o CIRA provoca una conexión correcta con el servidor.
El servidor envía la clave de cifrado.
De lo contrario, si no se recibe ninguna clave, permanece en la autenticación anterior al arranque.
Otra experiencia de usuario de seguridad contextual:
Ejemplo de uso de casos:
Qué acciones llevan a cabo los usuarios cuando utilizan un sistema de escritorio en la oficina con la funcionalidad de seguridad contextual. Nunca han necesitado iniciar sesión antes del arranque previo, pero, a continuación, ver la pantalla anterior al arranque y no conoce sus credenciales. Estos usuarios tienen varias opciones, según se indica a continuación:
En primer lugar, pueden esperar cinco minutos para que el siguiente intento contacte con ePO. Esto es cierto porque se trata de una solicitud CILA (local).
En segundo lugar, pueden apagar y encender el sistema de nuevo. Esto provoca que el arranque previo vuelva a ponerse inmediatamente en contacto con ePO cuando se reinicie.
Por último, siempre se pueden autenticar introduciendo el nombre de usuario y la contraseña de otros usuarios conocidos que se pueden autenticar en el arranque previo.
¿Qué es el Wake and Patch (Remote Unlock) caso de uso? Este caso de uso cubre la necesidad de planificar wake and patch equipos de forma urgente o regular. Estos equipos se apagan y es necesario Woken para poder aplicar la actualización a ellos. Los casos de Wake and Patch (Remote Unlock) uso son similares a los casos de uso de seguridad contextual. Las siguientes preguntas ya respondidas para la seguridad contextual también se aplican a Wake and Patch (Remote Unlock la opción:
¿Cómo funciona?
¿Esta omisión del arranque previo?
Si estuviera en posición de un usuario delante del equipo, ¿lo vería de forma automática arrancar Windows?
¿SSO funciona en este caso de uso?
¿Qué sucede si ePO está ocupado y no puede responder al sistema?
Si el sistema no llega a ePO en el primer intento, ¿lo intenta de nuevo?
¿Cómo realiza un administrador activar esta funcionalidad?
¿Se puede establecer esta funcionalidad de forma permanente o solo durante un período de tiempo específico?
¿La autenticación se produce realmente en el cliente y la información procede de ePO?
Otros Wake and Patch (Remote Unlock) hechos generales:
Cuando el servidor de ePO está ocupado y no responde después de una solicitud Wake on LAN, el sistema cliente permanece en el arranque previo e intenta de nuevo cada cinco minutos. Aunque esto se aplica a solicitudes CILA (locales), para solicitudes CIRA (remotas), el equipo solo se pone en contacto con ePO una vez. Si no recibe ninguna respuesta, es necesario reiniciar el sistema para que se ponga en contacto con el servidor de ePO.
Para acceder a un sistema periódicamente, es necesario configurarlo para enviar mensajes de CIRA periódicamente mediante el reloj despertador. La función de reloj despertador cambia al sistema en el momento especificado.
Otros Wake and Patch (Remote Unlock) hechos de la función de administrador:
Un administrador puede ver cuántos sistemas ha convertido en Windows para el Wake and Patch (Remote Unlock) proceso. Los resultados se pueden ver a través de la consulta "DE: Product Client Event" con un filtro adecuado. Los resultados dependen de los sistemas que se hayan comunicado con el servidor de ePO para enviar la información de auditoría.
Un administrador no puede determinar qué sistemas no se han realizado antes del arranque previo al utilizar la Wake and Patch función. Dado que el sistema no arranca en Windows, no hay ninguna entrada en la 'DE: Product Client Event' consulta.
Un administrador puede escalonar el Wake and Patch (Remote Unlock) o el intervalo para ponerse en contacto con ePO. Un administrador debe escalonar el Deep Command Power On comando o su solicitud Wake on LAN equivalente.
Los sistemas se activan cuando se corrigen en el entorno de CILA (local) (cuando la acción se inicia en el servidor). En otros casos, el cliente Contacta con ePO; Por lo tanto, se puede suponer que se activa porque se pone en contacto con el servidor de ePO.
¿Qué es el caso de uso de corrección remota?
Esta función ofrece a los administradores la posibilidad de realizar un arranque de emergencia o sustituir el MBR en un sistema cliente a través de AMT. Lo hace así sin necesidad de tocar físicamente el equipo. Esto permite a un administrador corregir un problema en un sistema cliente que está a medio nivel de distancia.
Ejemplo de uso del caso 1:
Un administrador de Santa Clara intenta ejecutar un arranque de emergencia en un usuario que está en Japón. El usuario necesita una recuperación urgente antes de una reunión importante.
El uso de este proceso no requiere la intervención del usuario. Simplemente pueden observar cómo repara su sistema cliente, que es el que se mantiene en CILA. Para CIRA, inicialmente falla, pero después de que el sistema se conecte a través de CIRA, se realiza una transacción.
Nota: El tiempo que tarda la corrección remota en el ejemplo anterior depende en gran medida de la velocidad de la red. Cuando se ha arrancado en la imagen, se tarda el mismo tiempo que el arranque de emergencia si se lleva a cabo de forma manual. En realidad sigue el mismo proceso, pero de manera automatizada.
Ejemplo de uso del caso 2:
El proceso de corrección remota se realiza correctamente y el usuario obtiene acceso a Windows. El usuario puede ofrecer su presentación, pero no tiene conexión con el servidor de ePO corporativo.
En este caso, el usuario debe volver a realizar el mismo proceso cuando reinicie su cliente. Si el arranque previo está dañado, el cliente se habría iniciado con emergencia. No se puede reparar hasta que el cliente pueda comunicarse correctamente con el servidor de ePO.
¿Cómo funciona la corrección remota? En un nivel alto, una pequeña imagen de disco ( 1.44 MB de tamaño, pero solo 300k de su uso) se inserta a través de AMT en el sistema cliente. Cuando se recibe en el cliente, se reinicia y se inicia mediante la red de arranque desde IDE-R. A continuación, la imagen realiza las acciones de corrección necesarias e inicia el proceso para arrancar Windows.
Otros datos generales de corrección remota:
La corrección remota solo funciona en equipos con un proceso de arranque de la BIOS.
La funcionalidad de corrección remota no funciona en un entorno UEFI. La redirección de IDE no funciona en UEFI y esta funcionalidad es necesaria para la corrección remota.
Las acciones posibles para la corrección remota son las siguientes:
Realice un arranque de emergencia.
Sustituya el MBR.
Otros hechos de la función Administrador de corrección remota:
Para utilizar la funcionalidad de corrección remota, un administrador selecciona uno o varios sistemas y, a continuación, selecciona la opción ' fuera de banda – corrección ' como acción. Por último, el administrador especifica 'arranque de emergencia' o ' restaurar Endpoint Encryption MBR' antes de hacer clic en Aceptar.
Lo siguiente se aplica a un administrador para recibir notificaciones sobre el progreso de la corrección remota:
El administrador solo se informa cuando se ha iniciado y finalizado.
Al finalizar, se informa al administrador de si se ha realizado correctamente.
El registro de auditoría del cliente solo se devuelve a ePO en el siguiente ASCI.
El administrador puede ejecutar una consulta sobre los eventos de cliente para localizar los clientes con un evento de desbloqueo.
Un administrador sustituye el MBR, si es válido cualquiera de los siguientes:
Un producto de terceros sobrescribe accidentalmente el MBR, mientras el sistema está cifrado.
Si el sistema está infectado con un virus de MBR.
En ambos casos, es necesario volver a colocar el sistema en Windows de modo que cualquier otra corrección se pueda realizar.
Al seleccione una corrección, un administrador puede seleccione una imagen de disco específica. Existen distintas imágenes para el arranque de la BIOS y la corrección de Opal y no Opal.
La opción automática es la predeterminada y la que debe utilizar siempre, a menos que se indique lo contrario. La opción automático utiliza la información recibida del cliente para seleccione la imagen correcta. Si la información no está disponible, no realiza la corrección. Esta opción le permite especificar la imagen exacta que se envía al equipo.
Importante: Si el administrador selecciona una imagen de disco incorrecta para el cliente, cuando la imagen se selecciona manualmente, la interfaz de usuario indica que puede dañar el disco con la imagen equivocada. Esta opción se agrega para el evento cuando el proveedor de cifrado o el tipo de BIOS no están disponibles.
Otros aspectos de la experiencia del usuario de corrección remota:
Notificación del progreso de la corrección remota al usuario: se muestra un mensaje en la pantalla cuando se descarga la imagen y se inicia el proceso de corrección.
Nota: Al descargar la imagen en el cliente a través de AMT, en algunos casos puede ver un glifo intermitente en la esquina superior derecha de la pantalla. Esta luz indica que AMT está recibiendo tráfico de red. De nuevo, la duración depende en gran medida del tráfico y la velocidad de la red. Si la red es rápida, el usuario podría ver Windows carga repentinamente.
Cuando se realiza una corrección remota, es posible que un usuario no vea el glifo intermitente. Esta funcionalidad solo se incluye en la versión 7 de AMT. Por lo tanto, si tiene la versión 6 de AMT, no la verá.
Cuando un usuario realiza una corrección remota, se queda fuera de tiempo y debe abandonar su ubicación actual, no es necesario que inicie todo el proceso de nuevo. El motivo es que el proceso vuelve a iniciarse automáticamente. Cuando el administrador agrega la solicitud de corrección remota, permanece en la cola de acciones hasta que finaliza o cuando el administrador la elimina. Como resultado, intenta realizar la corrección cada vez que se cambia al cliente hasta que se realiza correctamente.
¿Cómo se inicia la corrección remota en el cliente cuando es local?
A continuación se ofrece una descripción general del proceso cuando el sistema cliente está conectado a la red empresarial local:
El usuario inicia el sistema y descubre que no funciona.
El usuario llama al administrador y le pide ayuda.
El administrador selecciona la acción de corrección adecuada y la acción empieza a procesarse inmediatamente. Esta acción también se conoce como Server Initiated Local Access (SILA ).
Si se encuentra el sistema cliente y se puede conectar a, se inicia el redireccionamiento y se repara el sistema automáticamente.
No obstante, si el sistema cliente no se encuentra en la red local, la acción falla y el estado permanece como pendiente en la cola. Esta situación solo se puede procesar cuando el sistema llama. En esta situación, el sistema no puede llamar porque el arranque previo está dañado. Por lo tanto, también se puede utilizar un flujo similar, tal y como se describe en el siguiente caso.
¿Cómo se inicia la corrección remota en el cliente cuando se trata de un sistema remoto?
A continuación se ofrece una descripción general del proceso cuando el sistema está conectado a través de una red pública:
El usuario inicia el sistema y descubre que no funciona.
El usuario llama al administrador y le pide ayuda.
El administrador selecciona la acción de corrección adecuada y la acción empieza a procesarse inmediatamente. En esta situación, la acción falla debido a que no puede encontrar el sistema en la red de la empresa.
El administrador pide al usuario que inicie una "llamada para obtener ayuda" desde el BIOS. Esta llamada varía de un OEM a otro. No obstante, suele estar en las opciones de arranque y en algunos sistemas, simplemente puede pulsar CTRL+ALT+F1 .
Cuando se selecciona esta opción, el sistema se conecta a Stunner (Deep Command Gateway Services). A continuación, el controlador de Agent detecta este servicio y envía un mensaje a Deep Command.
Deep Command procesa la acción asociada con el sistema. En este caso, es la acción de corrección.
Nota: La corrección sobre CIRA puede tardar bastante más que al realizar la misma acción dentro de la empresa. En algunos sistemas, puede tardar hasta 20 minutos en función del uso de la red durante el procesamiento.
¿Quéinformes puede utilizar un administrador para saber que la acción AMT se ha completado correctamente en el cliente?
DE solo tiene una acción del lado del servidor, que es para la corrección. Para determinar si se ha completado, un administrador debe consultar el registro de tareas servidor de ePO. Esto se consigue mediante la ejecución de una consulta en el registro de auditoría de eventos para ver los eventos de cliente. Todas las demás acciones (desbloquear/restablecer, contraseña de usuario) se inician por el cliente. Cuando el administrador configura estas acciones, existe una entrada en el registro de auditoría de usuario de ePO para registrar que la solicitud se ha agregado a la cola DE acciones "DE: fuera de banda". A continuación, cuando el PBA del cliente solicita ayuda, crea un elemento de auditoría en el cliente. Este elemento de auditoría se envía a ePO en el siguiente ASCI cuando se carga Windows. Estos eventos aparecen en la consulta ' DE: eventos DE cliente de producto '.
¿Qué informes o registros puede ver un administrador para determinar qué y dónde se ha producido el error y no se ha podido completar la acción correctamente? El administrador debe consultar la AMTService.log y la consulta de: eventos de cliente de productos.
¿Dónde puede ver un administrador que una (o más) de las acciones de AMT se ha completado correctamente en un cliente (o en varios clientes)?
Ejecute la consulta DE evento DE cliente DE: producto.
Puede un administrador crear informes sobre las acciones de AMT, por ejemplo, para mostrar cuántos sistemas han arrancado automáticamente hoy mediante la funcionalidad de desbloqueo remoto.
Ejecute la consulta "DE: Product Client Events" con un filtro adecuado. Esta consulta se basa en los sistemas que se han comunicado correctamente con el servidor de ePO para enviar la información de auditoría.
¿Qué solución de problemas puede llevar a cabo un administrador para un problema de fuera de banda de AMT? ¿Cuáles son los primeros pasos que deben realizar?
El administrador debe determinar si el problema proviene de una tarea CILA (local) o CIRA (remota).
En caso de que se realice una tarea CIRA (remota), ¿qué hace el administrador?
Solicite al administrador que arranque el sistema cliente y acceda al BIOS. O bien, el administrador puede arrancar en Windows y utilizar el estado de administración y seguridad de Intel para solicitar ayuda. Pídales que busquen en el archivo ' AMTService. log ' para ver si se ha recibido una solicitud. En tal caso, la llamada DE soporte implica DE Soporte técnico. En caso contrario, implica Soporte técnico de comandos Deep.
¿Qué ocurre si el problema fuera de banda de AMT proviene de una tarea CILA (local)?
Solicite al administrador que utilice la acción Deep Command para arrancar el cliente en la BIOS. Si se realiza correctamente, la llamada DE soporte implica DE Soporte técnico. En caso contrario, implica Soporte técnico de comandos Deep.
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.