McAfee Management of Native Encryption (MNE) 5.x, 4.x
Resumen
En este artículo se proporciona una lista consolidada de preguntas y respuestas comunes, que está pensada para los usuarios que no están nuevos en el producto. No obstante, puede ser de uso para todos los usuarios.
Actualizaciones recientes de este artículo
Fecha
Actualización
9 de abril de 2021
Se ha agregado una sección de preguntas frecuentes en "funcionalidad-características y funciones del producto".
8 de febrero de 2021
Cambios secundarios realizados.
14 de marzo de 2018
Se ha implementado la expansión y contracción del diseño.
Para recibir una notificación por correo electrónico cuando se actualice este artículo, haga clic en Suscribirse en la parte derecha de la página. Para suscribirse debe haber iniciado sesión.
Haga clic para expandir la sección que desee ver:
¿Cuál es el objetivo principal de MNE?
MNE 1.0 se trata de un nuevo producto de cifrado que le dio la posibilidad de informar y administrar el Mac OS X FileVault función directamente desde ePolicy Orchestrator (ePO). MNE 2.0 y, además, se ha introducido la capacidad de informar y administrar Windows BitLocker.
¿Cuáles son las novedades de MNE?
MNE 4.0 así 4.1 -Esta versión incluye varias correcciones y nuevas funciones.
Las nuevas funciones se documentan en las notas de la versión. Para obtener las notas de la versión, consulte https://docs.mcafee.com/.
NOTA: MNE 4.1 agrega funciones nuevas solo al cliente de BitLocker. El cliente de Mac no se ha actualizado en esta versión, por lo que la MNE 4.1.0 el paquete de la versión incluye la Mac OS X 4.0.0 paquetes de software.
¿Cómo puedo obtener MNE?
MNE se incluye en los cuatro siguientes conjuntos de aplicaciones:
McAfee protección completa de datos (CDB)
McAfee completa protección de datos: avanzada (CDA)
McAfee completa protección de datos: esencial (CDE)
McAfee completa protección del Endpoint-Empresas (CEB)
NOTA:No hay cargos adicionales a los clientes para esta capacidad.
¿Por qué agregar la administración de Windows BitLocker con MNE cuando ya tenemos Drive Encryption (DE) o Endpoint Protection for PC (EEPC)?
MNE para BitLocker es una opción secundaria para nuestros clientes existentes y nuevos clientes potenciales. Uno de los objetivos es proporcionar a los clientes una opción si desean solo cifrado básico. Este objetivo es especialmente para los clientes que ya utilizan BitLocker en todos los endpoints o en un grupo de ellos. Una aplicación de MNE para un sistema Windows es la de activar la administración a través de ePO de pequeños clústeres de sistemas que no se pueden gestionar actualmente con desde hoy. Por ejemplo, Windows para ir a dispositivos o a tabletas de Surface Pro.
Para traer sus propios activos de tipo dispositivo (BYOD), también existe un modo de "solo informar". Este modo es similar a lo ofrecido en MNE 1.0 para la administración de FileVault. Con esa versión, ePO podría informar de que el cifrado está activado para ese Endpoint, pero no administraba el Endpoint.
¿DE y MNE seguirán desarrollándose en el futuro?
Sí. DE es un Gartner-MQ solución empresarial galardonada y ofrece muchas más funciones orientadas al cliente que Microsoft BitLocker incluidos, pero sin limitarse a, lo siguiente:
Arranque previo basado en usuario
Tarjeta inteligente y autenticación biométrica
Recuperación automática
Directivas complejas basadas en usuarios
Endpoint Assistant
Compatibilidad con Intel® AMT y ePO Deep Command
MNE está diseñado para proporcionar una solución de cifrado sencilla y fácil de administrar que administre el cifrado del sistema operativo integrado de Apple OS X y Microsoft Windows.
¿Qué es FileVault?
FileVault es el producto de cifrado del sistema operativo nativo de Apple. Cifra todo el volumen de inicio de OS X, normalmente incluido el directorio principal, pero no los volúmenes que no son de OS. Admite un arranque previo basado en usuario.
¿Qué es BitLocker?
BitLocker es el producto de cifrado del sistema operativo nativo de Microsoft. Está disponible en algunas ediciones del sistema operativo. Puede cifrar todo el volumen del sistema operativo y los demás volúmenes del sistema. No es compatible con un arranque previo basado en el usuario, lo que significa que todos los usuarios que comparten un sistema necesitan conocer la misma contraseña. Se ha agregado compatibilidad con la administración de Windows BitLocker en MNE 2.0.
Específico de Mac de compatibilidad (FileVault)
¿Qué versiones de OS X admiten MNE?
MNE 4.1 proporciona compatibilidad total con Mac OS X 10.10.x (Yosemite) y Mac OS X 10.11.x (El Capitan).
¿Es Windows 10 rama de mantenimiento a largo plazo de la empresa (LTSB) compatible con MNE?
No. Actualmente, MNE solo ofrece compatibilidad con compilaciones oficiales de Windows 10, que incluyen rama actual (CB) y rama actual para Empresas (CBB).
NOTA: LTSB es Microsoft terminología de una compilación de sostenimiento que no recibe actualizaciones de funciones y que está limitada a los parches de seguridad en general.
¿MNE admite XP o vista?
No. Se ha agregado BitLocker compatibilidad con la introducción de MNE en Windows 7 y posteriores.
NOTA: MNE 4.x solo es compatible con ePO 5.x; compatibilidad con ePO 4.6 (que es fin de ciclo de vida) se ha eliminado en MNE 4.0 y posteriores.
¿Puedo simplemente pasar de Microsoft cliente de administración y supervisión de BitLocker (MBAM) a MNE?
Sí. Debe insertar el software cliente de MNE en los endpoints y activar MNE la Directiva de generación de informes en la primera instancia. Después de ver los sistemas que informan sobre BitLocker estado, puede empezar a eliminar MBAM del Endpoint y activar la Directiva de administración de MNE. Por ejemplo, establezca la Directiva de producto de BitLocker como BitLocker de activación (activar) con las opciones adecuadas. Si no elimina MBAM del Endpoint, provocará conflictos entre las dos soluciones de administración a medida que compitan para administrar BitLocker.
¿Puede MNE administrar el módulo de plataforma segura (TPM)?
No. MNE no administra TPM. En Windows 7 sistemas, debe administrar TPM personalmente. En Windows 8 y versiones posteriores, el sistema operativo puede administrar TPM si aún no lo ha administrado.
¿MNE admite unidades Opal en los sistemas operativos compatibles?
Sí. La compatibilidad con unidades Opal se incluye con MNE 4.1 y posteriores.
¿Cómo puedo desplegar el desbloqueo de red (MNE 4.0 y posteriores)?
Al desplegar MNE 4.0, asegúrese de haber instalado la extensión de funciones avanzadas de MNE (mneadvancedfeatures. zip) en McAfee ePO. Al instalar esta extensión, se desbloquea la función de desbloqueo de red.
Instalación/ampliación-Mac (FileVault) específicas ¿Cuál es la forma más rápida de ir al modo conforme con MNE 4?.0 Mac OS X?
MNE 4.0 y posterioresproporciona un instalador independiente para Mac OS X sistema, que instala McAfee Agent y MNE (FileVault). Para obtener más información sobre la instalación de MNE, consulte la Management of Native Encryption guía del producto en: https://docs.mcafee.com/
¿Cómo podemos aprovisionar McAfee Agent (MA) en modo no gestionado en el servidor de ePO después de instalar MA mediante MNE paquete de instalación autónomo?
Con McAfee Agent 4.8 Patch 2, ahora es posible aprovisionar MA en ejecución en modo no gestionado para conectar con el servidor de ePO para la administración remota. La herramienta de aprovisionamiento remoto de ePO incluye MNE 2.x y posteriores proporciona una interfaz simple para el aprovisionamiento remoto con el servidor de ePO cuando se instala en un Mac OS X. La herramienta de aprovisionamiento remoto de ePO requiere que la dirección de ePO, el nombre de usuario y la contraseña del usuario estén disponibles en el servidor de ePO. Estos elementos son necesarios para configurar el McAfee Agent que se está ejecutando en modo no gestionado con el fin de conectar con el servidor de ePO. El usuario puede estar limitado a una función de revisor ejecutiva con permisos de función limitados en el servidor de ePO. En la tabla siguiente se describen dos soluciones con explicaciones de procedimientos:
Solución
Proceso
Aprovisione el MA en ejecución en modo no gestionado para conectar con el servidor de ePO para la administración remota. Cree un usuario en el servidor de ePO con permisos restringidos.
Inicie sesión en la consola del servidor de ePO en un navegador compatible.
Haga clic en Menú, Administración de usuarios, Usuarios.
Para agregar un usuario de ePO, en usuarios haga clic en Nuevo usuario.
Introduzca el nombre de usuario.
Establezca el estado de inicio de sesión como Activado.
Seleccione el tipo de autenticación como autenticación de ePO.
Establezca la contraseña del usuario.
Agregue otros detalles, como el nombre completo, la dirección de correo electrónico y el número de teléfono. Estos detalles son opcionales.
Seleccione el conjunto de permisos como Revisor Ejecutivo en conjuntos de permisos asignados manualmente.
El revisor ejecutivo de conjuntos de permisos predeterminados tiene permisos para ver paneles, eventos, contactos y puede ver información relacionada con todo el Árbol de sistemas.
Aprovisione el McAfee Agent en un sistema cliente de OS X mediante un usuario de ePO.
Inicie la herramienta de aprovisionamiento remoto de ePO obtenida del MNE paquete extraído que se encuentra en /Applications/Utilities/.
Introduzca la dirección de ePO, el nombre de usuario y la contraseña.
Haga clic en Define.
Introduzca la contraseña de administrador de OS X cuando se le solicite.
¿Cuál es la práctica recomendada para desplegar MNE y Endpoint Security para Mac (ESM), anteriormente Endpoint Protection for Mac (EPM), junto con ellos?
Por lo general, MNE o ESM/EPM se pueden desplegar en Mac OS X sistemas en cualquier orden. Se recomienda desplegar ESM/EPM seguido de MNE cuando se vaya a desplegar en empresas de gran escala.
¿Es posible migrar de Endpoint Encryption for Mac (EEMac) a MNE?
Sí. Siga los pasos de ampliación siguientes:
Despliegue MNE en el sistema cliente con la configuración de directiva adecuada para su entorno de empresa.
NOTAS:
El sistema puede tener EEMac y MNE instalados al mismo tiempo.
MNE no activar FileVault en un sistema cliente si EEMac está instalado y activo.
Mac OS X: el sistema debe ejecutar Lion o Mountain Lion. EEMac no admite Mavericks.
Desactive y desinstale EEMac.
Supervise el progreso de la eliminación de EEMac en el panel de ePO. Confirme que se ha desinstalado.
NOTA: Una vez desinstalado EEMac, MNE se activarrá automáticamente FileVault en la siguiente implementación de directivas.
Configuración: General ¿Cómo puedo definir las reglas de acceso para el desbloqueo de red?
Las reglas de acceso se pueden definir en la página Configuración del servidor a través de ePO. Para obtener más información acerca de la configuración y las directivas del servidor configuración de las directivas de desbloqueo de red, consulte la sección directivas de producto de la MNE 4.0 GUID de producto&.
Los volúmenes de datos de los servidores de destino están protegidos mediante claves de cifrado. Estas claves están retenidas por el servidor de ePO y se liberan a los endpoints cuando se solicitan según los flujos de trabajo que puede definir el administrador. Los informes de auditoría a través de ePO ayudan al administrador a revisar el estado del control de acceso a los volúmenes en el servidor.
¿Por qué debe activar la rotación de clave en la página Configuración del servidor?
A diferencia de Drive Encryption, las claves de recuperación de BitLocker no tienen elementos aleatorios. Esta instrucción significa que hasta que se cambia la clave de recuperación, se puede seguir utilizando la clave de recuperación. Si la clave de recuperación cae en las manos equivocadas, un atacante podría obtener acceso al sistema. Cuando activar la clave configuración del servidor-parámetros de rotación, protege contra cualquier persona que vea la clave de recuperación en ePO (a través de MNE recuperación o DPSSP). El motivo es que el servidor indica al Endpoint que cambie las claves de recuperación. Las claves de recuperación cambian a algo nuevo en la siguiente oportunidad. Esta acción cierra este agujero de seguridad.
Específico de la configuración Mac (FileVault) Mac OS X sistema está configurado con el servidor de Active Directory (AD) y AD los usuarios también son FileVault inicio de sesión previo al arranque. ¿Cuál sería la configuración de directiva recomendada para MNE?
Se han observado problemas con sistemas Mac OS X. Cuando un usuario AD intenta cambiar la contraseña de forma periódica en el sistema de Mac OS X, la nueva contraseña establecida por el usuario no se sincroniza con la FileVault arranque previo. Ocurre cuando la Directiva de MNE destruye FileVault clave en modo de espera está activada. McAfee recomienda desactivar esta opción de Directiva si Mac OS X sistemas tienen AD usuarios en el sistema. Para obtener más información, consulte KB81289-el usuario que cambió su contraseña no puede autenticarse en la FileVault pantalla anterior al arranque.
¿Es posible configurar MNE para que FileVault solo permita a un usuario durante el arranque previo?
No. Una vez que MNE activa FileVault, Mac OS X agrega el usuario que ha iniciado sesión actualmente al FileVault arranque previo. Una vez que se haya activado FileVault en el sistema, cuando se cree un nuevo usuario en el sistema, Mac OS X agregará ese usuario a FileVault inicio de sesión previo al arranque automáticamente. MNE realiza no admite la restricción del inicio de sesión para un solo usuario en el sistema, ya que MNE no controla FileVault administración de usuarios.
Específico de la configuración Windows (BitLocker) ¿Dónde está la interfaz de usuario para administrar FileVault usuarios en MNE?
MNE no proporciona compatibilidad con FileVault administración de usuarios. Para administrar Mac usuarios, debe utilizar las funciones de administración de usuarios estándar de Apple (en System Preferences, Users & Groups), que requieren derechos de administrador. Para obtener más información, consulte KB79648-cómo agregar un usuario Active Directory a FileVault.
¿Qué tipos de autenticación son compatibles con BitLocker?
MNE es compatible con la autenticación de TPM, TPM + PIN y contraseña. La autenticación mediante contraseña solo está disponible con Windows 8 y posteriores.
¿Por qué no hay ninguna opción de directiva para la autenticación USB con BitLocker MNE?
La autenticación USB está no compatible con MNE por motivos de seguridad.
¿Por qué MNE cifra todos los volúmenes en un sistema Windows y utiliza el mismo código PIN/contraseña para desbloquearlos todos?
MNE está configurado para utilizar el desbloqueo automático para todos los volúmenes que no sean de OS en esta versión, ya que simplifica la experiencia del usuario. Un usuario solo tiene una contraseña o código PIN que recordar. Reduce la probabilidad de que los usuarios anoten sus contraseñas.
¿Qué permisos se necesitan para aprovisionar el McAfee Agent que se está ejecutando en modo no gestionado al utilizar el instalador independiente de MNE?
La herramienta de aprovisionamiento remoto de ePO requiere la dirección de ePO, el nombre de usuario y la contraseña del usuario que se va a introducir. El usuario puede estar limitado a una función de revisor ejecutiva con permisos limitados en el servidor de ePO. Para obtener más información, consulte KB82640-cómo utilizar la herramienta de aprovisionamiento remoto incluida con Management of Native Encryption.
Funcionalidad general Cuando se elimina un sistema de ePO, ¿sigue siendo posible utilizar el número de serie para obtener la clave de recuperación?
Sí. El número de serie y la clave de recuperación no se eliminan cuando se elimina un sistema de ePO.
Cuando un equipo tiene dos unidades que están BitLocker protegidas, si la unidad secundaria falla o se elimina y se instala una nueva, ¿se cifra automáticamente la nueva unidad?
La nueva unidad se administra automáticamente mediante MNE en la siguiente implementación de directivas. Cuando se implementa una directiva de cifrado normal, MNE genera una nueva clave de desbloqueo automático (el mecanismo de desbloqueo estándar para los volúmenes de datos). Además, genera una nueva clave de recuperación para esa unidad y depósito de garantía en ePO antes del inicio del cifrado. El usuario no tiene que realizar ningún paso manualmente.
¿Puedo utilizar el desbloqueo de red en las estaciones de trabajo?
Normalmente, las estaciones de trabajo no se utilizan para compartir datos a través de sus volúmenes de datos. Se trata de una función que normalmente se reserva para los sistemas basados en el servidor debido a sus especificaciones de rendimiento y funciones de administración de usuarios. Debido a la naturaleza específica del diseño de funciones, la compatibilidad está limitada a las plataformas de servidor que están documentadas en la lista de plataformas compatibles. Para MNE entornos compatibles, consulte KB79375: plataformas compatibles con Management of Native Encryption.
¿Es compatible MNE BitLocker To Go (cifrado de BitLocker para unidades USB)?
No. McAfee recomienda utilizar McAfee File and Removable Media Protection (FRP) para cifrar las unidades USB.
¿MNE admite el cifrado de unidades USB con FileVault?
No. McAfee recomienda utilizar McAfee File and Removable Media Protection (FRP) para cifrar las unidades USB.
¿Cuál es el número máximo de veces que un usuario puede aplazar la activación (MNE 4.1 y posteriores)?
El usuario puede aplazar la activación hasta 10 veces. Esta opción se encuentra en la sección Directiva de autenticación.
NOTA: Esta función, introducida en MNE 4.1, restringe el número de aplazamientos durante la activación a fin de reducir la cantidad de tiempo que un sistema cliente no está cifrado. Los sistemas que ya están cifrados están activados. Cualquier cambio de directiva que requiera que se introduzcan credenciales diferentes permite al usuario aplazar el cuadro de diálogo de credenciales cualquier número de veces. El usuario puede aplazarse porque el sistema ya está en estado cifrado.
¿Cuándo es posible que desee utilizar la opción aplazar la activación?
A veces, no resulta conveniente instalar o actualizar un producto en períodos ocupados o durante la reunión de un cliente. MNE proporciona la flexibilidad de aplazar esta acción, lo que puede mejorar la experiencia del usuario durante una fase de despliegue.
¿Por qué querría usar el applet de Control Panel de MNE?
La administración de credenciales es la clave para mantener una postura y una capacidad de seguridad efectivas en una parte gestionada.
Puntos clave:
Es posible que los administradores deseen bloquear de forma segura la capacidad del usuario para cambiar la configuración de BitLocker. Para bloquear esta capacidad, debe eliminar la Control Panel de BitLocker y sustituirla por la interfaz de usuario de MNE. También se accede a esta interfaz a través de la Control Panel.
Al desactivar la BitLocker Control Panel se elimina la posibilidad de que el usuario pueda desactivar la protección de BitLocker y administrar TPM. También elimina la capacidad de guardar o imprimir la contraseña de recuperación que podría estar fuera de las prácticas recomendadas de seguridad de una empresa.
Cuando se ha eliminado el elemento de Control Panel de BitLocker, la interfaz de MNE aún permite que los usuarios que no sean administradores puedan cambiar su contraseña si lo necesitan. A continuación, se reduce la necesidad de elevar un tíquet del servicio de asistencia. El resultado es una práctica de funcionamiento más eficiente mientras mantiene una postura de seguridad eficaz.
Los usuarios con derechos de administrador pueden seguir administrando BitLocker a través de la herramienta de línea de comandos BitLocker manage-bde.
¿Dónde puedo encontrar el sistema por nombre de usuario?
Puede ver el panel buscar sistemas MNE por nombre de usuario en la página paneles.
¿Por qué suele utilizar buscar sistema por nombre de usuario?
Esta función resulta útil cuando el propietario de un sistema realiza una llamada e informa de que el sistema se ha perdido o robado o no tiene a mano los detalles del sistema.
¿Cómo puedo desactivar la protección mientras modificaba el sistema operativo?
MNE 3.0 se ha introducido una nueva herramienta del lado del Endpoint MaintenanceMode.exe. This tool se puede utilizar para desactivar la protección durante un período o un número de reinicios establecidos. Debe utilizar esta herramienta en lugar de desactivar la protección por medio de herramientas no MNE; de lo contrario MNE implementación de directivas simplemente vuelve a activar la protección cuando la siguiente implementa la Directiva. Puede crear esta herramienta en sus secuencias de comandos de endpoints durante las actualizaciones y las ampliaciones del sistema operativo.
¿Cómo puedo conseguir la escalabilidad?
Para conseguir la máxima escalabilidad en entornos grandes, asegúrese de que los servidores de ePO y de base de datos se ejecuten en servidores físicos bien reincorporados. (No dentro de las máquinas virtuales.) Además, asegúrese de Configurar ePO con más de un controlador de agentes. Consulte la guía de prácticas recomendadas de ePO correspondiente para obtener más detalles.
¿Puedo exportar directivas de MNE de un servidor de ePO a otro?
Sí. Puede exportar las directivas de MNE de un servidor de e importarlas a otro. Algunas versiones de ePO exportan una directiva de sistema interna. Asegúrese de no importar inadvertidamente la Directiva del sistema interno y la Directiva del producto.
¿Por qué un sistema sin unidades de datos no informa de la "pasada" contra las pruebas de postura de seguridad?
Las pruebas de generación de informes de postura de seguridad devuelven Defecto solo si hay algo que no supera la prueba concreta. En el caso de que no haya unidades de datos, no hay nada para hacer que las pruebas den error, y así (por implicación) que pasen. El informe busca sistemas que no son conformes. Un sistema sin unidades fijas no puede ser no conforme a la Directiva de unidad fija.
En el caso de los métodos de generación de informes, ¿hay alguna forma de ver qué protectores de clave se están utilizando para un sistema y sus volúmenes, así como el algoritmo utilizado?
No. No hay informes de ePO que muestren qué protectores de clave están en uso para un sistema y sus volúmenes. Solo puede utilizar el comando manage-bdepara obtener esta información.
Para obtener más información sobre cómo utilizar la herramienta manage-bdeConsulte https://technet.microsoft.com/en-gb/library/ff829849.aspx
Si se transfiere sistemas por KB79283 o volver a desplegar el McAfee Agent desde un servidor de ePO distinto, ¿dónde se ha depositado la clave de cifrado en el nuevo servidor de ePO?
Sí. Si FileVault o BitLocker está activado mediante MNE en el servidor de ePO de origen y se utiliza la opción transferir sistemas, la clave se deposita en el servidor de ePO de destino. En concreto, si se utiliza la opción transferir sistemas, tal y como se describe en: KB79283-cómo transferir equipos de un servidor de ePolicy Orchestrator a otro
IMPORTANTE: Los puntos clave que se deben observar mediante FileVault como ejemplo:
La Directiva de FileVault de MNE debe estar activada en el servidor de ePO de destino antes de la transferencia de sistemas.
Si la Directiva de FileVault de MNE no está activada en el servidor de ePO de destino, el estado de la consola de McAfee Endpoint Protection for Mac en modo de cifrado y administración muestra:
FileVault como no gestionado y
El estado de la clave de recuperación muestra que el cliente no ha depositado la clave en ePO.
Si la Directiva está activada después de que se haya transferido el sistema y se ha producido la implementación de directivas, el estado de la consola de McAfee Endpoint Protection for Mac en modo de cifrado y administración muestra que FileVault está gestionado. Sin embargo, el estado de la clave de recuperación sigue mostrando que el cliente no ha depositado la clave en ePO.
El sistema se puede transferir de vuelta al servidor de ePO de origen y, a continuación, transferirse de nuevo al servidor de ePO de destino y la clave se deposita entonces en el depósito.
Funcionalidad-específico de Mac (FileVault) ¿MNE admite el uso de Boot Camp?
MNE no es compatible con Boot Camp. Mac FileVault propiamente dicho no admite Boot Camp. No obstante, FileVault solo cifra el volumen de OS X del disco. Una partición de Windows creada mediante Boot Camp permanece sin cifrar en el disco. Es una funcionalidad FileVault pura. Para obtener más información, consulte la referencia de Apple HT5639 en: http://support.apple.com/kb/HT5639
FileVault ya está activado en el sistema de Mac OS X y el usuario Mac OS X tiene la clave de recuperación disponible. ¿Cuál es la mejor práctica para depositar esta clave en la base de datos de ePO de forma segura?
En la tabla siguiente se describen dos soluciones con explicaciones de procedimientos:
Solución
Proceso
Mac OS X sistemas instalados con Mavericks 10.9.x) y Yosemite (10.10.x)
El administrador de ePO debe activar la importación de clave de recuperación en el cliente. Activar el elemento de Directiva Permitir a los usuarios importar la recuperación en el cliente en la Directiva configuración del producto FileVault para MNE.
Inicie el McAfee Endpoint Protection for Mac 3.0 el paquete de aplicación extraído se encuentra en Aplicaciones Encryption.
Introduzca la clave de recuperación y haga clic en Vuelva.
Mac OS X sistemas instalados con Mountain Lion (10.8.2 y posteriores)
Todos los usuarios de Mac OS X sistemas pueden enviar la clave de recuperación al administrador de ePO con el número de serie del sistema de Mac OS X.
El administrador de ePO puede importar fácilmente todas las claves de recuperación de FileVault en la base de datos de ePO. Utilice la función importar FileVault clave de recuperación disponible en ePO en Menú, Protección de datos, Importar clave de recuperación de FileVault.
¿Cuál es la forma recomendada de generar una nueva clave de recuperación de FileVault en los sistemas instalados con Mac OS X Mavericks 10.9.X y Yosemite 10.10.x?
Para sistemas instalados con Mac OS X Mavericks 10.9.x y Yosemite 10.10.x, es posible cambiar o generar una nueva clave de recuperación de FileVault. Puede utilizar la clave de recuperación o la contraseña válidas existentes. Para obtener más información, consulte KB82481-cómo volver a generar la clave de recuperación cuando FileVault está activado y la clave no es válida.
¿Cuál es la forma recomendada de activar FileVault tras la activación por parte del administrador de ePO a través de la implementación de directivas?
Cuando el administrador de ePO activa FileVault en el sistema, FileVault se activa en el modo de activación aplazada. Significa que el usuario que ha iniciado sesión actualmente tiene autorización para activar FileVault con la contraseña. Cuando el administrador de ePO activa FileVault, el usuario del sistema de Mac OS X ve una notificación para reiniciar el sistema a fin de activar el cifrado en el sistema Mac. El usuario debe reiniciar y escribir la contraseña en la pantalla de solicitud de contraseña para autorizar FileVault. Active el cifrado de FileVault cuando el sistema arranca de nuevo.
MNE ha activado FileVault para un usuario con sesión iniciada actualmente; No obstante, el sistema tiene varios usuarios. ¿Cómo puede activar el usuario que ha iniciado sesión FileVault inicio de sesión previo al arranque para los demás usuarios?
MNE no juega ningún papel en la adición de FileVault inicio de sesión a los usuarios. El FileVault de Mac OS X gestiona esta operación. Si un sistema tiene más de un usuario en el momento de activar FileVault, el usuario con sesión iniciada actualmente tiene autorización para iniciar sesión en el arranque previo. Si desea permitir que otros usuarios del sistema inicien sesión en el FileVault anterior al arranque, el usuario administrador del sistema de Mac OS X puede activar estos usuarios siguiendo estos pasos:
Haga clic en Bloque y escriba las credenciales de usuario del administrador.
Haga clic en FacilitarUsuarios.
Seleccione los usuarios y haga clic en FacilitarUsuario\Plantillas para activar los usuarios seleccionados como usuarios FileVault.
Funcionalidad-específico de Windows (BitLocker) ¿Por qué no se activa BitLocker?
Para que BitLocker se active, el sistema necesita una partición de sistema. En función de cómo se haya creado la imagen de Windows, es posible que no esté disponible, en cuyo caso debe crear la partición del sistema antes de que se active BitLocker. En general, si puede activar BitLocker manualmente, MNE puede activarlo también.
¿Es posible delegar grupos de Active Directory específicos (AD) los derechos para recuperar las claves de cifrado.
No. Los derechos para la recuperación de claves de cifrado se definen con los conjuntos de permisos de ePO para los usuarios de ePO, no a través de AD. El autoserviceportal de Data Protection (DPSSP) se puede utilizar para permitir a los usuarios recuperar los sistemas en los que han iniciado sesión previamente. No puede recuperar sistemas en los que no haya iniciado sesión previamente.
¿Cómo controla MNE las claves de recuperación BitLocker almacenadas en AD; ¿se ha hecho automáticamente?
Cuando MNE se instala por primera vez en un sistema en el que ya se está ejecutando BitLocker, MNE toma una copia de seguridad de las claves de recuperación existentes en el equipo en ePO. Para ello, simplemente las extrae del cliente mediante la API de BitLocker (no se necesita ningún viaje de ida y vuelta para AD). MNE también incorpora nuestra propia clave de recuperación. Por lo tanto, un sistema en el que la MNE está asumiendo BitLocker tendrá varias claves de recuperación y todas ellas se almacenan de forma segura en ePO. Lo anterior se produce en la primera implementación de directivas, ya que MNE intenta extraer BitLocker conforme a la Directiva de MNE. Volver al principio
Información relacionada
Para obtener documentos de productos de McAfee, vaya al portal Documentación de producto empresarial en https://docs.mcafee.com.
Período del fin de ciclo de vida: espacio de tiempo que transcurre entre el día en que McAfee anuncia que deja de ofrecer el producto y el último día en que McAfee ofrece oficialmente soporte para el producto. En términos generales, no se ofrece ninguna mejora cuando se anuncia el período del fin del ciclo de vida.
Fecha de EOL: el último día que se ofrece soporte de acuerdo con los términos de la oferta de soporte de McAfee.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
