Cifrado de dispositivos paso a paso

Siga estos pasos para cifrar dispositivos.

Antes de que los usuarios puedan empezar:

  • El software del agente de Sophos Central debe estar instalado en las estaciones.
  • Debe haber configurada una directiva de cifrado de dispositivos en Sophos Central.
  • Los usuarios deben iniciar sesión en sus estaciones de forma interactiva y conectarse y sincronizarse con Sophos Central. Tenga en cuenta que no se admite el inicio de sesión remoto.
  • El sistema operativo debe ser compatible con el Cifrado de unidad BitLocker. Para obtener más información, consulte Preparar el cifrado de dispositivos y Sistemas compatibles con Device Encryption.

Las instrucciones siguientes le indican lo que verán los usuarios y lo que deben hacer:

  1. Si el hardware de seguridad TPM aún no está activado, se desencadena una acción del BIOS para activarlo. Esto requiere reiniciar el equipo. El usuario puede optar por reiniciar el equipo inmediatamente o aplazar la operación.
    Durante el reinicio, se pedirá al usuario que active el TPM. Si no se puede activar el TPM o el usuario no responde, se mostrará un mensaje.
  2. Si el TPM está activo pero no es propio, el software del agente de Sophos Central genera y define la información de propiedad del TPM de forma automática. Si se produce un error, se envía una alerta a Sophos Central.
  3. Si faltan las claves de aprobación del TPM, el software del agente de Sophos Central las crea automáticamente. Si se produce un error, se envía una alerta a Sophos Central.
  4. Si la política de Device Encryption no especifica Requerir autenticación de inicio, el cifrado del disco duro se inicia automáticamente. Los usuarios no tienen que hacer nada en este caso. Puede ir al paso 8.
  5. Si la política de Device Encryption sí que especifica Requerir autenticación de inicio, el usuario verá el cuadro de diálogo Sophos Device Encryption.
    • Si la política de Device Encryption requiere un PIN o una contraseña para la autenticación, los usuarios deben seguir las instrucciones en pantalla para definir un PIN o una contraseña. Si se utiliza TPM+PIN, la clave de cifrado para el disco del sistema se almacenará en el TPM.

      Nota: Los usuarios deben tener cuidado a la hora de definir una contraseña. El entorno previo al arranque solo admite la distribución de teclado en inglés EE. UU. Si ahora establecen un PIN o una contraseña con caracteres especiales, es posible que deban utilizar teclas distintas cuando los introduzcan para iniciar sesión más adelante.
    • Si la política de Device Encryption requiere una llave USB para la autenticación, los usuarios deben conectar una memoria USB a su ordenador. El formato de la memoria USB debe ser NTFS, FAT o FAT32.
  6. Cuando el usuario hace clic en Reiniciar y cifrar, el equipo se reinicia y comprueba que Device Encryption funcione.
    El usuario puede seleccionar Más tarde para cerrar el cuadro de diálogo. Sin embargo, volverá a aparecer la próxima vez que el usuario inicie sesión o cuando usted cambie la política de Device Encryption.
  7. Si el usuario no puede introducir la contraseña o el PIN correcto, puede pulsar la tecla Esc. El sistema arranca normalmente ya que el cifrado no se ha aplicado todavía. Se pedirá al usuario que vuelva a introducir la contraseña o el PIN después de iniciar sesión.
  8. Puede ver los usuarios que aún no han activado el cifrado. Esto significa que aún no han reiniciado el ordenador o que no todavía no han seguido las instrucciones en pantalla. Consulte Informes en Sophos Central.
  9. Si la prueba previa al arranque es satisfactoria, el software del agente de Sophos Central inicia el cifrado de los discos fijos. El cifrado tiene lugar en un segundo plano, lo que permite al usuario trabajar con normalidad.
    Si la prueba de hardware da error, el sistema se reiniciará y no se aplicará el cifrado. Se enviará un evento a Sophos Central para notificarle.
  10. Después de que el agente de Sophos Central haya cifrado el volumen del sistema, se inicia el cifrado de los volúmenes de datos (si se especifica en la política). La protección para estos volúmenes se almacena en el volumen del sistema, de modo que los volúmenes de datos están disponibles automáticamente después del inicio. Esto quiere decir que cuando un usuario inicia sesión en su equipo, se puede acceder a los volúmenes de datos sin más interacción por parte del usuario. Los volúmenes de datos extraíbles, como las unidades de memoria USB, no se cifran.

Puede encontrar dos archivos de registro, CDE.log y CDE_trace.xml, en %ProgramData%\Sophos\Sophos Data Protection\Logs en la estación de trabajo.