Para obtener detalles de los entornos de compatibles, consulte ARTÍCULO KB79422.
Resumen
Actualizaciones recientes de este artículo:
Fecha
Actualización
28 de julio de 2021
Cambiar de marca para McAfee Enterprise.
24 de julio de 2020
Cambio de formato secundario; no hay cambios de contenido.
3 de junio de 2020
Corrección de la sección "hechos generales adicionales del arranque en frío":
Se ha eliminado "se ha planeado más trabajo de refuerzo para esta función en futuras versiones".
2 de junio de 2020
Se ha agregado lo siguiente a la sección "aspectos generales adicionales del arranque en frío":
Además, esta función no funciona con la seguridad basada en la virtualización, introducida en Windows RS1 y posteriores. Por lo tanto, no se puede activar en esas plataformas. Se ha planeado más trabajo de refuerzo para esta función en futuras versiones.
23 de marzo de 2020
Corrección para preguntas frecuentes "¿Cuál es la longitud de la clave utilizada por el algoritmo de cifrado AES256?". La longitud de la clave ha cambiado de 128 bits a 256 bits.
Para recibir una notificación por correo electrónico cuando se actualice este artículo, haga clic en Suscribirse en la parte derecha de la página. Para suscribirse debe haber iniciado sesión.
Esta lista presenta preguntas y respuestas comunes, y está pensada para usuarios que no están presentes en el producto.
NOTAS:
Para revisar las preguntas frecuentes de Endpoint Assistant (EA), consulte KB85917. EA es una aplicación complementaria para iOS y Android desarrollada para funcionar con DE. Los costos de Help Desk de DE DE DE no suelen estar relacionados con la administración de restablecimiento de contraseña de usuario. EA puede descargar por completo el restablecimiento de la contraseña previa al arranque de Help Desk costos relacionados con los usuarios. Puede activar a los usuarios restablecer las contraseñas previas al arranque de forma segura incluso si no tienen acceso a un teléfono para llamar a la Help Desk.
Las preguntas frecuentes de las unidades Opal se han dividido en un artículo independiente. Para obtener detalles, Ve KB89333.
Contenido
Haga clic para expandir la sección que desee ver:
¿Qué es un usuario OptIn y OptOut?
Es posible que vea las referencias a los usuarios OptIn y OptOut en los registros. Por ejemplo, error en la implementación de directivas: usuario de OptId asignado.
OptIn los usuarios tienen su implementación de directiva basada en usuario (UBP) establecida en true en ePO, lo que significa que se aplica un UBP específico.
OptOut los usuarios tienen su implementación de UBP establecida en false, lo que significa que se aplican los UBP asignados al equipo.
¿Por qué necesito?
El objetivo clave de DE es proteger solo los datos confidenciales del disco cuando están en reposo. Es posible que este tipo de protección también sea necesario para cubrir las leyes de protección de identidad.
¿Qué protección tengo cuando se desactiva la autenticación de arranque previo al activar la función de arranque automático temporal?
El propósito clave de DE es proteger el disco en reposo cuando se desbloquea el disco. Sin embargo, DE no proporciona protección DE acceso a datos. Por lo tanto, si desea un sistema seguro, no utilice la función de arranque automático. La función de arranque automático elimina de forma efectiva la autenticación previa al arranque, que elimina por completo la seguridad del producto. La función de arranque automático solo se proporciona como medio temporal. Para obtener más detalles sobre el arranque automático, consulte Arranque automático. Para obtener detalles sobre el arranque automático seguro del módulo de plataforma segura (TPM).
Compatibilidad DE 7.2.0 y posteriores:
¿Es compatible con la actualización de aniversario de Windows 10 nuevo parámetro de línea de comandos/ReflectDrivers para la ampliación en contexto?
Sí. Microsoft ha incluido una nueva función en Windows 10 actualización de aniversario que permite la ampliación en contexto del sistema operativo mediante ISO y SCCM mediante un /Reflectdrivers Option.
Este modificador de comando especifica la ruta de acceso a una carpeta que contiene controladores de cifrado para un equipo que tiene activado el cifrado de terceros. Los controladores de PnP están instalados y la ampliación puede continuar.
SEÑALAR Lo /Reflectdrivers la opción también es compatible con DE 7.1.3 Hotfix 1148978 o posterior. Sin embargo, el proceso se simplifica aún más con DE 7.2.0, como resultado de los cambios introducidos en el instalador del producto.
Para obtener información detallada acerca de Windows 10 ampliación en contexto con DE DE instalada, consulte KB87909.
Para ver las plataformas, los entornos y los sistemas operativos compatibles con de, consulte ARTÍCULO KB79422.
Compatibilidad para DE 7.1.0 y posteriores:
¿Es compatible con la interfaz de firmware extensible unificado local? (UEFI) (MBR2GPT. EXE) con Windows 10 Creators Update y posteriores?
Sí. Un Drive Encryption Master Boot Record (MBR) se ha desarrollado la herramienta de tabla de particiones GUID (GPT) (MdeMbr2GptTool. exe), que funciona en Microsoft Windows 10 (versión 1703) Creators Update y posteriores (solo 64 bits). La herramienta funciona con la herramienta de Microsoft (MBR2GPT.EXE). La herramienta convierte una unidad de Drive Encryption cifrada por software de MBR a la partición de la tabla de particiones GUID (GPT). Lo hace sin necesidad de descifrar el discoPara obtener la herramienta de Drive Encryption y las instrucciones, consulte KB89024.
¿Qué versión de de admite Windows 10 (versión 1507)?
DE 7.1 Actualización 3 (7.1.3) es la primera versión que admite Windows 10, pero se ha lanzado antes de la versión general de Windows 10. Por lo tanto, es posible que existan advertencias que se apliquen al despliegue y uso de 7.1.3 en sistemas Windows 10.
Consulte los siguientes artículos para obtener detalles específicos sobre la ampliación de Windows 10 cuando se instala:
Versión Windows
Artículo
Actualización del sistema operativo (sistema operativo) de Windows 8
LTSC y LTSB son Microsoft terminología de una compilación de sostenimiento. Estas compilaciones no reciben actualizaciones de funciones y se limitarían a las actualizaciones de seguridad en general.
¿Es compatible un sistema operativo Windows con el DE DE DE Mac instalado en el hardware?
No. DE no se ha probado en ningún hardware Mac y, por lo tanto, no es compatible.
¿Puedo ejecutar la tarea de ampliación de Microsoft para ampliar un Windows 8.0 sistema para Windows 8.1?
No. Microsoft utiliza la funcionalidad que establece una nueva imagen WIM. Se trata fundamentalmente de un proceso de actualización del sistema operativo y no de una ampliación o ampliación tradicionales de Service Pack. Sin embargo, DE cuenta con un proceso de actualización de sistemas operativos documentado que le permite ampliar desde Windows 8.0 a Windows 8.1. El proceso de mantenimiento permite mantener los datos existentes cifrados durante todo el proceso. Para obtener ayuda con este proceso, consulte lo siguiente:
Guía de proceso recomendado de actualización del sistema operativo Windows para Master Boot Record solo sistemas, haga clic en aquí.
Windows Guía de procesos recomendadas de actualización del sistema operativo solo para sistemas UEFI, haga clic en aquí.
¿Puedo utilizar la reparación automática de Windows 8 o posterior (activada de forma predeterminada)?
No. Le recomendamos que desactive esta función. La reparación automática de un disco cifrado podría destruir inadvertidamente los archivos cifrados del sistema operativo y provocar problemas de arranque permanentes. Las versiones anteriores de Windows preguntaban si deseaba reparar el sistema antes de iniciar la reparación. No obstante, Windows 8 inicia reparación automática inmediatamente cuando se detecta un problema, dejando poco alcance para evitar la destrucción de datos cifrados. Para obtener información sobre cómo deshabilitar Windows 8 reparación automática, consulte el artículo KB76649.
¿Por qué debo usar el DE 7.1 Proceso de actualización del sistema operativo cuando no lo utilizo en Windows sistemas BitLockers?
Microsoft implementa un mecanismo que expone la clave de cifrado BitLocker durante la ampliación, lo que permite que se ejecute el proceso de superposición de WIM. McAfee no adopta este enfoque porque deja al sistema vulnerable a un ataque durante el proceso de ampliación del Windows.
Microsoft ha hablado sobre una nueva función llamadaCifrado de dispositivos. ¿Qué es?
Microsoft el cifrado de dispositivos se puede considerar una versión de BitLocker no gestionada y reducida.
Otros datos generales de cifrado de dispositivos:
El cifrado de dispositivos de Microsoft se activa automáticamente. Solo se activa cuando el hardware coincide o supera sus requisitos mínimos de hardware.
Lo siguiente ocurre si se está desplegando en un sistema que tiene "Microsoft cifrado DE dispositivo" activado automáticamente:
Las comprobaciones previas a la activación determinan que BitLocker está activo. Recuerde que Microsoft Device Encryption es simplemente una versión no gestionada de BitLocker.
DE la activación falla porque el disco ya está cifrado con Microsoft cifrado de dispositivos.
Este estado se comunica de nuevo con ePO.
Lo anterior se aplicará si se aplica lo siguiente:
La opción 'the system meets the minimum hardware requirements' se ha activado automáticamente.
Así
El disco duro está cifrado.
ASPECTO Lo siguiente se aplica si tiene un nuevo sistema que cumple los requisitos mínimos de hardware del cifrado de dispositivos Microsoft. Pero tienen Windows 7 y DE 7.1 instalado y, a continuación, decida ampliar a Windows 8.1:
Si no ha iniciado sesión con una cuenta de MSDN, el sistema no intenta activar Microsoft cifrado del dispositivo.
Si ha iniciado sesión con una cuenta de MSDN, se rompe el sistema operativo.
¿Es compatible con unidades comprimidas DE Windows?
No, no se admiten Windows unidades comprimidas porque no se han llevado a cabo pruebas de compatibilidad.
¿Existen planes para admitir JAWS for Windows el software de lectura de pantalla del cliente previo al arranque para ayudar a los usuarios con una buena página?
No. JAWS es un producto de software solo Windows. No funciona en el punto de autenticación previo al arranque porque aún no se ha cargado Windows.
¿DE funciona con la nueva Dell tecnología de protección avanzada de amenazas de Cylance, que puede informar si se detecta un ataque de arranque?
No. No se ha probado con Dell protección de amenazas avanzada de Cylance.
¿Es compatible con la tecnología Anti-Theft de Intel, que puede bloquear el equipo según el hardware?
No. Intel ha interrumpido el servicio de Anti-Theft Intel.
¿DE 7.1 ¿es compatible con Intel Smart Response Technology (SRT)?
Sí. Los datos siempre son seguros, incluso los datos almacenados en caché. Intel SRT es un componente de caché inteligente que solo almacena en caché los datos a los que se accede con frecuencia. Esta caché se encuentra en el nivel de sector y está cifrada por el controlador DE FILTRO DE.
¿Es compatible con Intel Rapid Start (IRS)?
No. La Agencia Tributaria requiere un espacio de partición adicional en la Solid State Drive (SSD) o la unidad de disco duro (HDD), denominada partición de hibernación. Esta partición debe ser igual o mayor que la cantidad de memoria del sistema. Esta partición no tiene una letra de unidad.
La Agencia Tributaria proporciona un estado S3 de baja potencia. Cuando, en lugar de almacenar el estado en DRAM en S3, el contenido de la memoria se vacía en la partición dedicada de la SSD. Dado que la BIOS es responsable de la baja desde y hacia la SSD, DE no se puede interceptar ni cifrar el contenido. Por tanto, cualquier dato de carácter confidencial de DRAM se escribe en el disco en texto sin formato. Este problema solo afecta al estado S3, no a S4. SEÑALAR La tecnología de IRS permite que el sistema se reanude más rápido de la suspensión; Este hecho ahorra tiempo y consumo de energía.
Es el DE 7.1.x ¿es compatible el cliente con Microsoft BitLocker?
No. No es compatible con BitLocker ni con ningún otro software de cifrado de nivel de sector o cifrado de disco completo que se esté ejecutando en el mismo sistema. DE detecta Windows BitLocker durante el proceso DE activación y detiene la activación de si BitLocker está activo.
Es Active Directory necesario para un DE 7.1 instalaciones?
No. Puede instalar los paquetes de instalación (MSI) sin acceso a Active Directory debido a la nueva Directorio de usuarios función incluida en de 7.1. Consulte la sección funcionalidad para obtener detalles. Otros datos generales Active Directory:
Active Directory es necesario para administrar 7.1 clientes a través de ePO.
Aunque se requiere Active Directory para una DE 7.1 activación, DE 7.1.0 nueva función que permite la activación offline DE sin conexión a ePO. Cuando el sistema se puede comunicar correctamente con ePO, el cliente pasa a un modo online. Solo los sistemas que ePO no gestiona, pueden permanecer cifrados sin necesidad de conectarse a Active Directory.
Los usuarios asignados no se eliminan de la base de datos de ePO si el nombre del objeto, por ejemplo, un grupo o un usuario, se modifica en Active Directory. El cambio de nombre de objeto se detecta en la siguiente ejecución de la tarea "sincronización: Sync Across the Users from LDAP" y se actualiza en ePO. Durante la siguiente Agent a la comunicación del servidor (ASCI), cualquier cambio de nombre de objeto de usuario se sincroniza con el cliente.
¿Qué ocurre con mis endpoints si el servidor de ePO deja de funcionar?
Si el producto ya está instalado y activo, los clientes seguirán funcionando con la copia almacenada en caché de la Directiva. No se producen actualizaciones de directivas ni asignaciones de usuario adicionales hasta que el cliente se puede comunicar con el servidor de ePO. Si el producto aún no está instalado, no se puede activar hasta que se vuelva a establecer la comunicación con el servidor de ePO.
¿Puedo utilizar un CD de arranque de Windows en un sistema cifrado?
Un CD de arranque funciona en un sistema cifrado a menos que desee acceder al disco duro. Una ventaja del cifrado de disco completo es que evita que se utilice una unidad de arranque para acceder a la unidad de disco duro sin autenticarse.
Si Windows no funciona correctamente y tiene que repararlo con el disco de instalación de Windows. Debe descifrar primero la unidad antes de utilizar las herramientas de reparación de Windows.
Para acceder a la unidad cifrada y a la recuperación de la destecnología de WinPE, tiene que crear medios. Para obtener más información sobre cómo crear el medio, Consulte la guía de deTecnología más reciente:
Para obtener documentos de productos de McAfee, vaya al portal Documentación de producto empresarial en https://docs.mcafee.com.
¿Qué sistemas operativos son compatibles con DE?
Para obtener información actualizada sobre los sistemas operativos compatibles actuales, consulte ARTÍCULO KB79422. SEÑALAR Lo siguiente también se aplica al artículo mencionado anteriormente.
Las versiones mínimas DE ePO admitidas por DE 7.x.
El McAfee Agent mínimo (MA) admitido por DE 7.x.
Qué versiones DE EEPC pueden ampliarse a DE 7.1.x?
Se pueden realizar las siguientes ampliaciones:
EEPC 7.x -(Fin de ciclo de vida) Sistemas con EEPC instalado 7.0.x puede ampliar a DE 7.1. No obstante, primero debe ampliar la extensión de EEPC a EEPC 7.0 Actualización 2 (7.0.2) o actualización 3 (7.0.3).
EEPC 6.x -(Fin de ciclo de vida)
Si utiliza EEPC 6.1.2 o posterior, primero debe ampliar todas las extensiones a EEPC 7.0 Actualización 2 o actualización 3. Sistemas cliente que ejecutan EEPC 6.1.2 o posterior se pueden ampliar directamente a DE 7.1. instalaciones de ePO con EEPC 7.0 Las extensiones de actualización 2 o 3 incorporadas se pueden ampliar directamente a DE 7.1.
EEPC 5.x -(Fin de ciclo de vida)
Sistemas con EEPC instalado 5.2.6, 5.2.12, y 5.2.13 puede migrar directamente a DE 7.1.
¿Qué pasos debo seguir si quiero ampliar a la versión más reciente de 7.2.x. Pero ya tienen una versión anterior DE 7.1.x ¿está instalada la versión?
Si tiene una versión anterior instalada, como DE 7.1.0, pero desea ampliar a una versión posterior DE 7.1.x versión, siga estos pasos:
Asegúrese de que no se esté ejecutando ninguna tarea de sincronización de LDAP. En caso de haberla, espere a que se complete.
Desactive todas las tareas de sincronización de LDAP antes de iniciar la ampliación.
Instale el DE 7.1.3 prórroga.
Incorpore el DE 7.1.3 Paquetes de software de Agent y PC.
Vuelva a activar todas las tareas de sincronización de LDAP.
Desplegar DE 7.1.3 paquetes de software al sistema cliente.
Reinicie el sistema cliente una vez finalizada la tarea de despliegue.
Estoy instalando un nuevo servidor de ePO y quiero mover DE clientes a través de él. ¿Es compatible esta acción?
Sí. Este escenario es compatible con de 7.1.3 y posteriores. NOTAS:
Con las versiones anteriores de de, al transferir un sistema de un servidor de ePO a otro, se sustituyen las asignaciones de usuarios. Los datos de token de usuario del sistema también se sustituyen por los datos del servidor de destino. Existe la posibilidad de perder asignaciones de usuarios y cambiar las credenciales de usuario en el entorno previo al arranque.
DE 7.1.3 presenta una función de transferencia de clientes. La funcionalidad proporciona al administrador de ePO un mecanismo para permitir que los sistemas se transfieran de un servidor de ePO a otro. La transferencia se realiza mientras conserva las asignaciones de usuarios y los datos de usuario. Si la función está activada, una DE 7.1.3 el sistema detecta un cambio de servidor. Solicita que el nuevo DE 7.1.3 el servidor de administración asigna automáticamente los usuarios al sistema en el contexto del nuevo servidor de administración. Cuando la asignación se realiza correctamente, el sistema envía sus datos token de usuario al nuevo servidor de administración. Todos los sistemas que no hayan superado el proceso de transferencia de sistemas se resaltan en el servidor de destino mediante un informe intuitivo de forma remota.
Una independiente DE 7.1.3 Guía de transferencia de sistemas cliente se incluye en la versión que describe este proceso de transferencia de sistemas en detalle. Para obtener detalles, haga clic en aquí.
¿Qué tengo que tener en cuenta si instalo a un Windows 8.x ¿el sistema utiliza UEFI nativo?
Recomendaciones si tiene previsto instalar DE 7.x en un Windows 8.x sistema mediante la interfaz de firmware extensible unificado (UEFI) nativo. McAfee empresa recomienda que solo utilice el modo UEFI nativo si el sistema está certificado de forma explícita Windows 8. McAfee Enterprise también recomienda ampliar los sistemas UEFI al nivel de firmware UEFI más reciente. A continuación, pruebe un sistema nativo compatible con UEFI específico antes del despliegue a gran escala. SEÑALAR Para obtener otras preguntas y respuestas de UEFI, consulte la sección funcionalidad a continuación.
¿Tengo que descifrar y volver a cifrar los clientes durante la ampliación a DE 7.1?
No. El proceso de ampliación está diseñado para transferir la clave del agente anterior al nuevo agente.
¿Puedo automatizar la migración de usuarios y sistemas de un servidor de ePO a otro?
Para saber cómo migrar usuarios de un dominio a otro, consulte KB83802.
Durante el proceso de instalación, ¿qué métodos hay disponibles para evitar que todos los usuarios utilicen la misma contraseña predeterminada?
Existen dos métodos:
A través DE la Directiva DE, puede renunciar al uso de la contraseña predeterminada. En lugar de ello, fuerce a los usuarios a introducir la contraseña que elijan.
Utilice un regla de asignación de directivas con una directiva basada en usuario distinta (UBP) en la que defina una contraseña predeterminada distinta para los usuarios que tengan asignada la UBP.
¿Puedo instalar de en un sistema y tomar una imagen sin procesar (sector por sector) para utilizarla en equipos nuevos?
No. Este escenario no es compatible. Se introduciría un problema de seguridad porque cada sistema tendría la misma clave de seguridad.
¿Puedo cambiar el tamaño del teclado en pantalla de Tablet PC mostrado durante el arranque previo si creo que el tamaño predeterminado es demasiado pequeño?
No. Para enviar una solicitud de mejora de producto a fin de incluir esta funcionalidad, consulte la sección información relacionada.
¿Necesito agregar VirusScan exclusiones de antivirus de?
No. Las exclusiones de antivirus ya no son necesarias.
Preguntas frecuentes DE funcionalidad aplicables a 7.2.0 y posteriores ¿Cómo DE 7.2.x utilizar Intel Software Guard Extensions (SGX)?
Intel SGX es una extensión de arquitectura de Intel, introducida con las plataformas de procesador Intel Core de sexta generación, diseñada para aumentar la seguridad del software a través de una espacio aislado inverso método. En este enfoque, el software legítimo se puede sellar dentro de un enclave protegerlo y estar protegido frente a estas amenazas, independientemente del nivel de privilegios de la amenaza. La alternativa es intentar identificar y aislar todas las amenazas potenciales o las superficies de ataque de la plataforma.
El uso de Intel SGX con más mejora la protección contra los ataques basados en memoria (como el ataque de arranque en frío) sin que ello afecte al rendimiento de los sistemas que admiten SGX y con la Directiva adecuada aplicada.
¿Cómo puedo activar SGX con DE 7.2.x?
Para asegurarse de que utiliza SGX cuando está disponible, la compatibilidad con SGX debe estar activada antes DE 7.2.0 se ha desplegado en un sistema de destino.
Para obtener más información sobre los requisitos tecnológicos de esta nueva función, consulte KB87256.
Preguntas frecuentes DE funcionalidad aplicables a 7.1 y posteriores ¿Puedo crear una partición de un disco cifrado con DE?
No. No es posible cambiar la partición de un disco que ya está cifrado. Debe descifrar completamente el disco y desinstalar antes de realizar la partición del disco.
¿Cuál es la longitud de la clave utilizada por el algoritmo de cifrado AES256?
La longitud de la clave utilizada es 256 bits.
¿Es compatible RAID?
Existen dos tipos de tecnologías RAID que se deben tener en cuenta: equipos con RAID de hardware o software:
DE no se ha probado con RAID de hardware. Sin embargo, esperamos que la destech funcione correctamente en entornos en los que se haya implementado un RAID de hardware puro. Esta expectativa cubre los sistemas que tienen tarjetas RAID internas o sistemas RAID externos con una controladora integrada. SEÑALAR DE/destechno es posible admitir diagnósticos o recuperación de desastres para una configuración de RAID rotaCuando se utiliza el RAID de hardware.
DE/destech no es compatible con RAID basado en software. Windows discos dinámicos son una forma de RAID de software.
Equipos cuando el modo SATA de la BIOS está configurado para utilizar RAID o RAID en:
En general, DE o destech funciona en el modo RAID, siempre que el modo SATA de la BIOS de ese equipo pueda ver el disco.
NOTAS:
En el modo heredado/MBR BIOS de se basa en las llamadas INT13 para acceder al disco duro (HDD) del equipo.
En el modo Unified extensible firmware Interface (UEFI), DE se basa en el protocolo de entrada/salida del sistema, DE modo que es independiente del modo SATA de la BIOS.
La única condición de esta afirmación es que, si el disco es de OPAL o drives de autocifrado (SEDs). DE debe establecerse en el modo interfaz de controlador de host avanzada (AHCI). El motivo es que tiene su propio controlador de controlador y no se basa en el BIOS para el acceso al disco duro. Notas La advertencia solo se aplica al cifrado de hardware de una unidad OPAL o SED, y no si el disco duro OPAL está configurado para el cifrado de software.
¿Es posible cifrar un dispositivo de almacenamiento de medios extraíbles conectado a través de un puerto USB?
No. DE detecta y cifra la unidad solo si se detecta mediante un puerto SATA.
¿Qué es el DE ¿Directorio de usuarios?
El directorio de usuarios amplía los sistemas gestionados de ePO con los usuarios no gestionados que no son de dominio. Además de los usuarios gestionados en Active Directory, ahora también puede utilizar estos usuarios gestionados por ePO para la autenticación previa al arranque.
Ahora, los datos de usuario se sincronizan desde Active Directory y se almacenan localmente en ePO. De este hecho, se elimina la necesidad de acciones de ida y vuelta constantes desde ePO hasta Active Directory. El resultado es una mejora significativa del rendimiento para las comprobaciones de directivas basadas en usuario.
Otros datos generales del directorio de usuarios:
El directorio de usuarios elimina la dependencia de Active Directory
Un administrador debe instalar la extensión del directorio de usuarios. Puede realizar esta instalación antes o después de ampliar a la 7.1.x. Siempre que se cumplan los requisitos previos de ePO, que es ePO 5.1.x
No existen diferencias conceptuales entre los usuarios independientes de EEPC 5.x y los usuarios del directorio de usuarios
Migrar EEPC 5.x usuarios independientes al directorio de usuarios.
Puede crear Unidades organizativas (OU) en el directorio de usuarios.
Los usuarios se pueden agregar a una unidad organizativa y eliminarse de ella.
Los usuarios se pueden mover de una unidad organizativa a otra.
Las unidades organizativas se pueden anidar.
Un usuario no puede pertenecer a más de una unidad organizativa
Al seleccionar una unidad organizativa, puede ver todos los usuarios que la componen (incluidas las unidades organizativas anidadas). Notas Puede ver todos los usuarios de las unidades organizativas secundarias, pero no todas las unidades organizativas anidadas. A partir del nombre distintivo, puede ver la unidad organizativa secundaria de la que procede cada usuario.
Relacionascripting, ¿cambia el cambio de ePO WebAPI para User: Machine assignments?
No.
¿Qué es Arranque automático del módulo de plataforma segura (TPM)
El arranque automático de TPM es una oferta nueva en 7.1. Refuerza las funciones tradicionales de arranque automático mediante un TPM, si el hardware está presente, para proteger la clave.
El TPM proporciona un mecanismo de sellado. Que solo se pueden descifrar datos cifrados si el sistema está en estado predefinido. Durante el inicio del sistema, el TPM mide el firmware y todos los componentes de arranque. La medición consiste en ampliar una hash almacenada en un registro de TPM, con el código que se va a ejecutar. El firmware toma medidas que no se pueden omitir. El TPM solo permite el descifrado de la clave. Si el sistema está en el mismo estado en el que estaba sellado, cualquier cambio, con independencia de lo que sea pequeño, provoca que falle. Otros datos generales de TPM:
El arranque automático de TPM es diferente del arranque tradicional automático en que el arranque tradicional automático no proporciona seguridad para el sistema. La clave utilizada para cifrar el disco se escribe en texto sin formato en el disco. El arranque automático de TPM protege la clave mediante el cifrado con el TPM; ya no se encuentra en texto sin formato.
TPM ayuda a proteger la clave porque el TPM solo puede descifrar la clave si el estado del sistema no ha cambiado. La clave no se descifra si:
El TPM considera que el estado del sistema ha cambiado.
O
Existe un nuevo chip TPM (placa base nueva),
Si no puede descifrar la clave, se produce un error en la función de arranque automático y se muestra la autenticación previa al arranque.
Con el arranque automático de TPM activado, el sistema continúa arrancando automáticamente, pero solo si el TPM considera que todo está en orden. En esta situación, el usuario no ve el entorno previo al arranque y simplemente se inicia en Windows.
El arranque automático de TPM se puede usar con el arranque automático reactivo.
El arranque automático de TPM y el arranque automático reactivo se pueden utilizar con el nuevo modo de espera conectado. Ambos proporcionan soporte y refuerzo de sistemas contra ataques de arranque en frío.
Si se cambia la placa base o cambian las medidas de arranque del TPM, el usuario verá la pantalla de autenticación anterior al arranque. Si un usuario ha llegado a esta situación, debe realizar una recuperación de desafío/respuesta para obtener acceso a Windows.
Si se conocen credenciales de usuario de arranque previo válidas, el usuario puede simplemente autenticarse y arrancar en Windows. No obstante, como el usuario se encontraba en este modo de arranque automático, las posibilidades de que ellos sepan que una credencial de usuario válida es baja.
El TPM hace más que cifrar la clave. También mide la ruta de arranque. Cada vez que se inicia el sistema, se hash algunos datos sobre la ruta de arranque en el TPM. El resultado es que el TPM solo descifra la clave si no se ha cambiado la ruta de arranque.
Este hecho significa que, una vez que el arranque automático de TPM desbloquea el disco, no es posible arrancar en otra ruta de arranque. Si se selecciona una opción de arranque diferente en el inicio, se produce un error en la función de arranque automático y se muestra el arranque previo.
Otros hechos de la función de administrador de TPM:
La configuración de directiva para el arranque automático de TPM se encuentra en el título "TPM de usuario para el arranque autom?" y tiene las tres opciones siguientes:
Never -La clave del disco se escribe en texto sin formato en el disco. Esta opción es la funcionalidad original de arranque automático.
If Available -Si el sistema tiene un TPM utilizable, se utiliza el TPM para cifrar la clave. Si no hay ningún TPM disponible o no se puede utilizar, el TPM presente en el sistema tiene la clave escrita en texto sin formato en el disco. Esta acción es conforme a la funcionalidad original de arranque automático.
Required -Arranque automático solo funciona si el sistema tiene un TPM utilizable. El entorno DE prearranque se muestra en los sistemas que no tienen un TPM.
ASPECTO Si Microsoft actualiza el cargador de arranque de Windows durante una actualización de Windows, las medidas de inicio han cambiado. Como resultado, el TPM no puede descifrar la clave y debe llevar a cabo un proceso de recuperación. El proceso de recuperación requiere una llamada Help Desk para que el arranque del sistema se vuelva a iniciar correctamente. SEÑALAR El arranque previo también se encuentra en la ruta de arranque. Por lo tanto, cuando un administrador implementa una nueva versión de, hotfix, actualización o versión nueva, actualiza tanto:
Para prearranque DE la aplicación EFI
Así
Mediciones de arranque
Al igual que el caso de actualización de Windows, los usuarios deben realizar una llamada Help Desk para acceder a su sistema tras la inserción DE una actualización.
Los requisitos mínimos para el arranque automático de TPM son los siguientes:
DE 7.1.x/7.2.x solo compatibilidad con arranque automático de TPM en TPM 2.0 sistemas (todos los sistemas en espera conectados son compatibles con TPM 2.0). SEÑALAR Sistemas antiguos con TPM 1.2 no admiten esta función.
DE 7.1 Actualización 1 (7.1.1) y posteriores Agregar compatibilidad con TPM 1.2 chipsets (solo sistemas UEFI).
La clave de propietario de TPM debe administrarse de forma local y no en la Active Directory.
El sistema debe incluir el protocolo UEFI de TPM en la implementación de UEFI del OEM (un requisito para sistemas de reserva conectados).
Otros datos sobre la experiencia de los usuarios de TPM:
Cuando el TPM no puede descifrar la clave, muestra el entorno previo al arranque y solicita al usuario que se autentique. Si el TPM tiene alguna duda, no arranca automáticamente el sistema y, en su lugar, muestra el entorno previo al arranque y espera la autenticación.
¿Ahora puedo gestionar un número mayor deusuarios en el arranque previo?
El entorno previo al arranque se ha mejorado ahora para admitir más de 5.000 usuarios sin una degradación perceptible del rendimiento durante la autenticación anterior al arranque. El límite anterior era un máximo de 250 usuarios en el arranque previo. Ahora puede aprovisionar de forma segura a todos los usuarios que compartan escritorios, lo que activar cualquier usuario para utilizar cualquier sistema.
¿Cuál es la recomendación para el número de usuarios asignados para la autenticación previa al arranque?
La recomendación general permanece inalterada. Asigne solo el número mínimo de usuarios para la autenticación previa al arranque. Otros hechos generales de autenticación previa al arranque:
DE 7.1 y más adelante se incrementa el número de usuarios que puede admitir el arranque previo. Aunque se recomienda minimizar el número de usuarios asignados por nodo. Los números han aumentado a miles, en lugar de cientos.
En primer lugar, las prácticas recomendadas de seguridad limitan el número de usuarios que pueden acceder a un sistema al grupo de usuarios más pequeño.
En segundo lugar, la asignación de un gran número de usuarios a cada nodo puede afectar a la escalabilidad general de todo el sistema. Que puede reducir el número máximo de nodos que puede admitir.
Se aplican las siguientes sanciones si permite que los usuarios de 5.000 inicien sesión en el arranque previo en un equipo:
La activación tarda más porque necesita descargar toda la información sobre los usuarios de 5.000.
La sincronización de la información de usuario tarda más, lo que aumenta la carga de trabajo en el servidor de ePO.
Otras acciones que incluyen información de usuario tardan más tiempo en procesarse. Un ejemplo de estas acciones es guardar la información del sistema sobre un cliente, ya que también incluye información del usuario.
La escalabilidad de un servidor de ePO puede verse afectada. Su servidor de ePO realiza más trabajo por intervalos de comunicación agente-servidor (ASCI) para asegurarse de que toda la información esté actualizada.
Como
Suponga que tiene sistemas 100 que tienen asignados 5.000 usuarios. Tomemos el caso más habitual y se cambiará la contraseña. Para un usuario, se capturaba en un sistema, se cargaba en ePO y, a continuación, se enviaba a otros sistemas de 99 cuando se sincronizaban con ePO.
Si fuerza a los usuarios a cambiar sus contraseñas cada 90 días, los usuarios de 5.000 deben actualizar su contraseña. El resultado es 500.000 actualizaciones (5.000 usuarios x 100 sistemas) que el servidor de ePO debe procesar en varias ocasiones a medida que los sistemas se sincronizan con ePO.
Un gran número de usuarios provoca un aumento del tráfico de red. Todo este tráfico se gestiona a través de la red. Aunque los datos de cada usuario son pequeños, generalmente < 20 kilobytes, it is multiplied out by the number of transactions. Si un sistema tiene un vínculo lento, podría tardar una cantidad considerable de tiempo en recibir todos los cambios. Si el servidor controla las actualizaciones de usuario para muchos clientes, el tráfico de red también podría ser importante. En el peor de los casos, es posible que no reciba todas las actualizaciones en un período de sincronización.
¿Qué esAOAC?
AOAC significa siempre activado y conectado siempre. Microsoft lo llama ' modo de espera conectado ' e Intel lo llama como Conexión inteligente. Todo ello hace referencia básicamente a la misma función de alto nivel.
Es la capacidad de mantener un sistema en modo de espera de bajo consumo y activarlo periódicamente para recuperar datos. Por ejemplo, para mensajes de correo electrónico o Facebook actualizaciones, haga que vuelva a suspenderse. Esta actividad se produce sin que el usuario se entere ni intervenga. Piense que es similar a la forma en que funciona su teléfono móvil. Otros datos generales de AOAC:
DE 7.1.x admite un modelo de AOAC. La compatibilidad se proporciona a través del modo de espera conectado. Mientras se encuentra en este modo de espera, el inicio de sesión de Windows se utiliza para proteger los datos frente al acceso no autorizado.
AOAC cambia el cifrado de disco completo. El cifrado completo del disco se ha visto históricamente de la protección de los datos en reposo (cuando el sistema está apagado). Varias empresas están introduciendo la función AOAC.
Con el modelo AOAC, el sistema y los servicios deben acceder al disco. Esto significa que la clave de cifrado del disco siempre permanece en la memoria. No obstante, los sistemas que admiten AOAC son más vulnerables a los ataques de estilo de arranque en frío porque la clave siempre está en la memoria. Recuerde que el sistema no se apaga; solo está en modo de espera.
Todos los AOAC y el modo de espera conectado siguen funcionando cuando esta función está activada.
Cuando el sistema está en reposo, los datos nunca están en reposo con el modelo AOAC. Los sistemas no se apagan; solo están en modo de espera. El modelo de AOAC requiere que los discos sigan siendo "desbloqueados" debido a:
Los sistemas podrían activarse periódicamente o a través de una notificación de inserción.
Es posible que las aplicaciones y los servicios requieran acceso al disco durante este período activo.
Puede utilizar las funciones de AOAC con el arranque previo, la función de arranque automático o ambos.Esta función funciona independientemente del método de autenticación. No obstante, McAfee empresa recomienda que utilice una de las siguientes opciones:
Arranque previo
Si se elige el arranque automático, activar TPM se inicia de forma autoarranque con reactivo o la integración con la tecnología de administración activa de Intel.
¿Cómo DEprotección de los sistemas contra frío ¿ataques de arranque?
Una descripción general de alto nivel de estas funciones nuevas:
En las plataformas de Windows modernas que pueden admitir el nuevo modo de ' espera conectado ', el usuario puede tener una experiencia de tipo iPad.
Estos sistemas siempre se encuentran en estado "encendido".
El sistema requiere que la clave de cifrado esté siempre en la RAM, lo que los hace susceptibles a los ataques de limpieza de la memoria que pueden borrar la clave de cifrado de la RAM.
DE puede operar en segundo plano entregando una experiencia de Windows nativa al usuario. Cuando el dispositivo entra en estado de modo de espera conectado, borra la clave de cifrado de la RAM. DE este modo, a continuación, se mueve a un área segura de un sistema de protección de hardware de Intel para evitar ataques de arranque en frío y limpieza de memoria. Cuando el dispositivo pasa a un estado activo, la clave de cifrado se vuelve a colocar en la RAM de forma transparente. Lo que ocurre tras una autenticación de usuario correcta para Windows.
¿Qué es un ataque de arranque en frío?
Un ataque de arranque en frío es una forma de extraer datos confidenciales de la memoria del sistema. Lo hace cuando el sistema está encendido o en estado de espera. Incluso si el sistema está protegido por una contraseña Windows. El ataque implica cualquiera de las dos acciones siguientes:
Reinicio duro del sistema y ejecución de un pequeño programa en el siguiente ciclo de arranque que analiza la memoria del sistema en busca de información confidencial
Eliminación de la RAM de un sistema alimentado y traducción a otro sistema para su análisis
Otros hechos generales de arranque en frío:
Evita la reinstalación de los sistemas frente a un ataque de arranque en frío cuando un sistema entra en uno de los modos de espera. DE 7.1.x elimina la clave de la memoria. Se almacena en una ubicación segura a la que aún se puede acceder en modo de espera conectado. El sistema sigue funcionando a medida que lo espera un usuario; No obstante, el sistema es menos vulnerable a un ataque de tipo arranque en frío porque la clave ya no se encuentra en la memoria.
DE elimina completamente la clave de la memoria. Esta función dificulta el sistema contra ataques de tipo memoria. Se ha tomado todos los esfuerzos para asegurarse de que la clave se elimina de la memoria. Sin embargo McAfee empresa no puede garantizar que se elimine, debido a la forma en que Windows administra la memoria.
Además, esta función no funciona con la seguridad basada en la virtualización, introducida en Windows RS1 y posteriores. Por lo tanto, no se puede activar en esas plataformas..
La única condición en que la clave se vuelve a colocar en la memoria es después de que un usuario se haya autenticado correctamente en Windows. Simplemente tener Windows en ejecución no vuelve a colocar la clave en la memoria.
Cuando la clave no está en la memoria, se mantiene en un área de almacenamiento seguro que no se encuentra en la memoria. La clave se puede eliminar de la memoria cuando se produzca cualquiera de los siguientes eventos:
El sistema está desactivado.
El usuario cierra la sesión.
El usuario bloquea la estación de trabajo.
El sistema está esperando a que un usuario se autentique en el Windows inicio de sesión.
Después de que el sistema se active del modo de espera o de suspensión
Si los usuarios se han autenticado y se encuentran en su escritorio, la clave se encuentra en la memoria. Si los usuarios no se han autenticado o no están en su escritorio, la clave no se encuentra en la memoria.
Notas Un administrador puede seleccionar, a través de una directiva, las condiciones en las que se elimina la clave.
Aunque solo se requiere un controlador para controlar la clave en la memoria, funciona en uno de los dos modos. Estos dos modos son:
Cifrado estándar
Cifrado de seguridad elevado
¿Qué es¿Modo de cifrado estándar?
Se trata de un estado del controlador de cifrado donde:
La clave de cifrado se almacena en la RAM.
No está protegido frente a ataques de tipo arranque en RAM o en frío.
Optimizado para el rendimiento.
Utiliza la misma implementación del algoritmo que en EEPC heredado anterior 7.x CHS.
¿Qué es¿Modo de cifrado de seguridad elevado?
Se trata de un estado del controlador de cifrado donde:
Utiliza una nueva implementación del algoritmo de cifrado AES256-CBC.
La clave de cifrado se almacena en una ubicación segura, no en la RAM.
ISO
Incluye una penalización de rendimiento significativa.
Las implementaciones de directivas están desactivadas durante este estado.
Otros aspectos generales de cifrado de seguridad elevada:
El controlador intercambia los dos modos y se define mediante una directiva.
Ejemplo: DE 7.1 se puede intercambiar el modo de cifrado de seguridad elevado cuando el sistema es:
Bajo
Sesión cerrada
Ha entrado en modo de espera SEÑALAR El modo de cifrado estándar se reanuda cuando el usuario se ha autenticado correctamente en Windows.
Esta funcionalidad se puede utilizar con el arranque automático de TPM.
El tiempo de arranque es más lento en el modo cifrado de seguridad elevada. Desde el arranque inicial, la clave no se almacena en memoria hasta que el usuario se ha autenticado correctamente en Windows. Si utiliza una tableta, rara vez se apaga por completo, por lo que no siempre se produce este problema.
Cuando el sistema realiza una tarea con gran cantidad de espacio en disco y la estación de trabajo se bloquea, la estación de trabajo se ejecuta más lentamente. Los usuarios observan que se ha alcanzado el rendimiento cuando devuelven más tarde. Se observa porque cuando el sistema se ejecuta en el modo de cifrado de seguridad elevada. Este problema se produce cuando la clave no está en la memoria.
En el modo de cifrado de seguridad elevada, tiene un equilibrio de seguridad frente a rendimiento. Lo importante es recordar que, cuando un usuario está utilizando el sistema de forma activa, se experimenta el rendimiento normal total. Solo son los períodos en los que la autenticación aún no tiene lugar que el usuario experimente el impacto en el rendimiento.
Ejemplo del impacto en el rendimiento cuando el controlador utiliza el modo de cifrado de seguridad elevado:
Análisis de rendimiento de algoritmos sin procesar: 64 bits AES-NI procesador:
Estándar Crypt = 1 ciclo de reloj/byte de la CPU
Cifrado de seguridad elevado = 15 ciclos de reloj/bytes de la CPU
32-bit no compatible con AES-NI procesador:
StandardCrypt = 35 ciclos/bytes de reloj de CPU
Cifrado de seguridad elevado = ciclos de reloj/bytes de la CPU de 133
SEÑALAR El impacto puede ser mayor que el algoritmo sin procesar anterior debido a que las pruebas se ejecutan con interrupciones desactivadas. Se ha observado otra forma, por ejemplo: Si un sistema ha experimentado un rendimiento de 208 MB/segundo en un cifrado estándar, puede caer hasta 20 MB/segundo en cifrado de seguridad elevado.
¿Existen requisitos de hardware para utilizar esta funcionalidad del modo de cifrado de seguridad elevado?
Sí. Esta información se proporciona en KB79291. SEÑALAREl sistema debe ser compatible con el modo de espera conectado y debe ser un Tablet. de tréboles o un sistema Haswell.
¿Existe alguna diferencia entre ' connected Standby ' y ' inteligencia inteligente '?
Sí. Smart Connect es una tecnología más antigua. Smart Connect tiene un controlador que reactiva periódicamente el sistema y marca en un servidor para extraer notificaciones. El modo de espera conectado es una nueva tecnología en la que el sistema entra en un nuevo estado de alimentación en la CPU.
El modo de espera conectado requiere hardware nuevo para admitirlo; La conexión inteligente no lo hace. Por lo tanto, puede tener una conexión inteligente en un sistema Windows 7 con una CPU y hardware antiguos. Técnicamente hablando, Smart Connect utiliza el estado de alimentación S3, que está en reposo. El modo de espera conectado utiliza el estado de alimentación RTD3, que tiene un Estado distinto en la CPU.
¿Qué es el modo de espera conectado?
El estado de espera conectado no es un modo de espera real. Se ejecuta en este nuevo estado de energía y deja algunos servicios en ejecución que pueden recibir notificaciones del servidor. Por lo tanto, tiene requisitos de hardware y solo está disponible en Windows 8.x sistemas.
Ejemplo: los requisitos de hardware para el modo de espera conectado en Windows 8 aprovechan las ventajas del modo de espera conectado si se cumplen los siguientes requisitos de hardware:
Un indicador de firmware indica compatibilidad con el estándar.
El volumen de arranque no utiliza un disco de rotación.
Compatibilidad con NDIS 6.30 en todos los dispositivos de red.
Refrigeración pasiva cuando se está conectado en modo de espera.
Notas Existen otros requisitos específicos de seguridad, por ejemplo:
La memoria se debe soldar a la motherboard para evitar los vectores de ataque de arranque en frío que implican la eliminación de memoria del equipo
¿Es posible clonar un disco duro (HDD) existente con un disco mayor, hacer que se arranque el nuevo disco y ampliar el tamaño en el entorno de la ventana?
No. Para migrar a una unidad de disco duro mayor, primero debe descifrar el disco duro, completar la clonación y, a continuación, volver a cifrar.
¿Es posible realizar un borrado remoto de un sistema cifrado?
No. El arranque previo no dispone de funcionalidad de red.
¿Por quéWindows 8 requiere un cambio significativo en los productos de cifrado?
Microsoft introducido muchas funciones nuevas con Windows 8 y posteriores. Aquellos que afectan al cifrado más son:
A Unified Extensible Firmware Interface (UEFI) Boot Process
GPT Disk partitioning
Secure Boot
Hybrid Boot
Windows 8 Modern User Interface (UI)
Windows 8 Tablets
Otros aspectos generales de cifrado de seguridad elevada:
Windows 8.x tiene dos métodos de arranque posibles. En función de la configuración y las funciones de su sistema,
Windows 8 instala la capacidad de arranque con el nuevo proceso de arranque de UEFI o el proceso de arranque de la BIOS heredada.
No se puede cambiar la configuración y el intercambio Windows 8 de un proceso de arranque a otro. Debe reinstalar completamente Windows 8 debido al cambio en el mecanismo de partición.
Desde Windows 8 y posteriores, DE tiene dos entornos previos al arranque. Un arranque previo para controlar el proceso de arranque de UEFI y un arranque previo para gestionar el proceso de arranque de la BIOS.
El cliente inteligente examina el proceso de arranque que el sistema está configurado para utilizar. A continuación, determina qué arranque previo se debe instalar. Este hecho permite a un administrador desplegar DE en los sistemas y saber que el arranque previo adecuado se instala automáticamente.
DE 7.x no utiliza la interfaz de usuario (IU) moderna Windows 8. Una vez cargada Windows, la única interfaz de usuario en Windows 8 es el estado de la bandeja monitor, que solo está disponible en el escritorio. No está disponible en la interfaz de usuario moderna.
¿Qué esArranque automático?
El arranque automático es una cuenta que omite de manera efectiva la protección proporcionada por DE. Con esta opción activada, los usuarios no ven la pantalla de autenticación anterior al arranque.
¿Qué esArranque automático reactivo
El arranque automático reactivo es una mejora de la funcionalidad tradicional de arranque automático que existe en Windows y OS X. En el modo de arranque automático, la unidad está cifrada. Sin embargo, el usuario no ve la pantalla de autenticación anterior al arranque y se inicia directamente en el sistema operativo.
A diferencia del arranque automático tradicional, el arranque automático reactivo tiene otra parte de la funcionalidad. Cuando se activa, el producto supervisa las solicitudes de autenticación Windows. Si un usuario supera un número máximo especificado de errores de autenticación, el arranque automático reactivo activa automáticamente la autenticación anterior al arranque, desactiva el arranque automática y reinicia inmediatamente el equipo. Después de que se produzcan estas acciones, el usuario debe superar correctamente la autenticación previa al arranque antes de acceder al sistema operativo.
Esta funcionalidad permite que la Directiva de autenticación pase automáticamente del arranque automático (desbloqueado, no seguro) al arranque previo (bloqueado y seguro). Se basa en ciertas condiciones designadas por el administrador.
Otros datos generales reactivos de arranque automático:
Para activar arranque automático reactivo (no activado de forma predeterminada), un administrador debe hacer dos cosas:
Seleccione la configuración de directiva del producto 'Disable and restart system after (1–10) failed logons or unlocks (Windows only, Vista onwards)'.
Así
Especifique el número de inicios de sesión fallidos o desbloqueos permitidos.
La Directiva se debe asignar a los sistemas que requieran la funcionalidad de arranque automático reactivo.
Ejemplo de uso del arranque automático reactivo. Desea cifrar sistemas compartidos, que es posible que cualquier usuario de la organización tenga que acceder a ellos. Como resultado, no se puede asignar un usuario específico o un grupo de usuarios para la autenticación previa al arranque. El arranque automático reactivo puede ser una solución aceptable para estos casos en los que, de lo contrario, se vería obligado a desplegar mediante el arranque automático.
Las unidades se cifran en un sistema con arranque automático reactivo si así se define en la Directiva de cifrado. No obstante, dado que la autenticación no está activada cuando se activa el arranque automático, los datos no están protegidos.
¿Cuáles son las funciones clave del arranque automático reactivo?
Esta función es exclusiva del cliente; Esta funcionalidad solo es para clientes. Los eventos de auditoría se cargan en ePO en la siguiente sincronización, pero el servidor de ePO no tiene ninguna interacción con esta funcionalidad.
Esta función es de solo Windows. El arranque automático reactivo no se ofrece en Mac OS X. Debido a los cambios de Apple, Management of Native Encryption (MNE) ha sustituido al producto EEMac. Para obtener detalles, consulte KB79375.
Puede especificar el número máximo de intentos fallidos. Un administrador de ePO puede especificar este número en la Directiva. Tiene un valor mínimo de 1 y un valor máximo de 10.
Se aplica a todos los intentos de autenticación de Windows. Se aplica a los intentos Windows inicios de sesión y desbloqueos.
Funciona con el cifrado de software y Opal.
Los usuarios pueden utilizar la recuperación de desafío y respuesta para permitir que el sistema acceda a Windows cuando un usuario supere el máximo de intentos fallidos definidos.
Un usuario Windows puede formar parte de un grupo de trabajo o de un usuario de dominio.
Se auditan los eventos. Un administrador de ePO puede ver qué sistemas están activados. El evento 30070: "arranque automático desactivado: se ha superado el máximo de inicios de sesión fallidos" se envía al servidor de ePO, pero solo después de la siguiente autenticación correcta a Windows y cuando es posible la conectividad con ePO. SEÑALAR El momento en que el sistema lo considera un ataque, desactiva el arranque automático y reinicia el sistema. No hay tiempo para enviar un evento a ePO, por lo que ePO no conoce el bloqueo a medida que se implementa.
No se requiere ninguna acción de administrador para volver a activar arranque automático reactivo en un sistema en el que estaba desactivado. Esto puede producirse en un intento fallido de autenticación de Windows. Una vez que el cliente ha reiniciado el sistema y se ha accedido a Windows, el arranque automático reactivo se vuelve a activar automáticamente. El sistema no necesita comunicarse con ePO para volver a activar el arranque automático.
¿Cuál es la experiencia del usuario cuando el sistema utiliza el arranque automático reactivo?
Cuando los usuarios encienden sus equipos, arrancan directamente en Windows. El arranque automático significa que no hay autenticación previa al arranque. Los usuarios van directamente al inicio de sesión de Windows. Suponiendo que siempre se autentican correctamente en Windows, su experiencia no cambia.
El usuario experimenta lo siguiente tras superar el número máximo de intentos de autenticación de Windows fallidos:
La autenticación previa al arranque se activa automáticamente y el arranque automático está desactivado.
Se produce un cierre indebido de Windows y se reinicia el sistema.
Cuando se reinicia el equipo, se muestra la pantalla de autenticación anterior al arranque y el usuario debe autenticarse correctamente para acceder a Windows.
Cuando un usuario supera el máximo de intentos fallidos definidos,un usuario no puede:
Autenticar mediante credenciales de Windows
Usar recuperación automática para pasar el arranque previo y el acceso Windows SEÑALAR Si el sistema siempre ha funcionado en el modo de arranque automático, no es probable que se haya asignado ningún usuario DE para permitir la autenticación previa al arranque correcta.
Un usuario, para obtener acceso a Windows cuando se le presenta una autenticación previa al arranque, para obtener acceso a Windows debe:
Autenticarse en la pantalla de prearranque.
O
Pase por uno de los mecanismos de recuperación estándar.
¿Cómo vuelvo a activar arranque automático reactivo y desactive la autenticación previa al arranque para volver al flujo de trabajo anterior?
El usuario debe autenticarse correctamente en el arranque previo o llevar a cabo el proceso de recuperación necesario para acceder a Windows. Una vez que se cargan Windows y se inician los servicios, el arranque automático reactivo se vuelve a activar automáticamente.
¿Qué funciones de integración de Intel Active Management Technology (AMT) funcionan con el arranque automático reactivo?
Aunque en teoría puede utilizar el caso de uso consciente de la ubicación de la integración de Intel AMT con el arranque automático reactivo, el uso combinado no tiene sentido por dos razones principales.
En primer lugar, aunque el arranque automático reactivo está activado, la funcionalidad de AMT no se utiliza en el arranque previo porque el sistema arranca directamente en Windows.
En segundo lugar, desde el punto de vista de la seguridad y la capacidad de uso, es mejor utilizar la funcionalidad de AMT y el caso de uso de "conocimiento de ubicación". Ambos activar el arranque automático autorizado y seguro del sistema en Windows. Si ha activado esta funcionalidad, se trata de la solución más segura en comparación con el arranque automático reactivo.
Puede que le interese utilizar AMT para eliminar o reducir las llamadas al servicio de asistencia de los usuarios cuando la funcionalidad de arranque automático reactivo permita el arranque previo. Esta funcionalidad podría reducir la necesidad de una llamada de asistencia técnica para continuar tras el entorno previo al arranque. Sin embargo, se puede seguir encontrando una situación en la que se requiere la llamada Help Desk. Lo que es más importante, la funcionalidad AMT proporciona seguridad a los datos al requerir que el servidor proporcione una autenticación de prearranque automática. Por el contrario, el arranque automático no tiene autenticación previa al arranque y no proporciona seguridad para los datos.
La experiencia del usuario parece coincidir con lo siguiente:
Cuando se utilizan tanto la integración de AMT como el arranque automático reactivo
Cuando el usuario no se autentica demasiadas veces
SEÑALAR No obstante, existen diferencias de back-end:
Ejemplo de escenario: ASPECTO Ha activado Intel AMT 'Reconocimiento de ubicación'. McAfee empresa recomienda utilizar esa funcionalidad y no el arranque automático reactivo. El motivo es que proporciona seguridad de datos mediante la autenticación desde el servidor. Si es necesario, puede establecer una directiva de Windows para desactivar al usuario si no se autentica tras un umbral establecido.
El arranque automático reactivo es una solución no segura que se inicia en Windows mediante la información de cifrado ya presente en el cliente.
La integración de Intel AMT es una solución segura que Contacta con ePO y solicita permiso para arrancar en Windows. A continuación, recibe la información criptográfica necesaria para hacerlo.
En un sistema cliente que utiliza arranque automático reactivo, no se utiliza la funcionalidad de AMT en el arranque previo. Cuando un usuario no puede autenticarse repetidamente, el arranque automático reactivo permite el arranque previo y reinicia el sistema.
El arranque previo utiliza AMT y Contacta con ePO para recibir permisos para el arranque. Si ePO no responde, el usuario se encuentra en la misma situación que con el arranque automático reactivo tradicional sin AMT.
El usuario volverá a la pantalla de autenticación de Windows. El arranque automático activo está activado porque el sistema ha arrancado en Windows. El usuario puede seguir introduciendo contraseñas incorrectas hasta que Windows desactiva el usuario.
Este caso podría forzar una llamada Help Desk. El arranque automático reactivo es una actividad del lado del cliente. No hay comunicación con el servidor de ePO ni tiempo para comunicarse con el servidor cuando la funcionalidad responde a los intentos de inicio de sesión fallidos.
¿Qué es¿Cifrado inicial rápido (solo sector utilizado)?
El cifrado inicial rápido es la capacidad de instalar el producto de en un sistema y realizar el cifrado en cuestión de minutos. En comparación con varias horas que se requieren en circunstancias normales.
La función principal de cifrado inicial rápido es el cifrado inicial de un sistema recién instalado o con una imagen. El sistema está sentado en un escritorio de un técnico de ti y no está siendo utilizado por el usuario. Puede ver los casos de uso de "aprovisionamiento interno" o "aprovisionamiento por parte de un tercero" en las preguntas frecuentes de activación offline.
Esta función no se puede utilizar con una unidad Opal. No es necesario utilizar el cifrado inicial rápido con una unidad Opal, ya que la unidad técnicamente siempre está cifrada. El proceso DE ACTIVACIÓN DE activa el mecanismo de bloqueo de la unidad. Actualmente, una unidad Opal pasa de inactiva a activa y completamente cifrada en cuestión de minutos. Consulte también las preguntas frecuentes de la activación offline.
No se puede utilizar el cifrado inicial rápido como parte del proceso de activación normal.
Para ver un documento detallado que abarque las ventajas de cifrar el equipo en cuestión de minutos mediante la funcionalidad de cifrado inicial rápido, consulte KB81093.
El cifrado inicial rápido se puede utilizar con una unidad de disco duro (HDD) o un disco de estado sólido (SSD) normales. Sin embargo, es importante leer las consideraciones sobre Solo sector utilizado (véase a continuación).
Otro cifrado inicial rápido (solo sector utilizado):
El cifrado inicial rápido elimina la protección contra fallos de alimentación. Que proporciona protección contra la fuga de datos en caso de que se produzca un error de alimentación o un escenario de apagado. Lleva a cabo el cifrado inicial tan rápidamente como lo permita el hardware. También cifra solo los sectores que se encuentran actualmente en uso.
El cifrado inicial rápido difiere de la forma DE 7.1 y las versiones anteriores funcionaban. Tradicionalmente, el producto asume que está cifrando un sistema que está en uso. Prioriza la experiencia del usuario para minimizar el impacto en la rutina diaria del usuario. Este hecho tiene la ventaja de permitir que el usuario continúe trabajando mientras se produce el cifrado y proporciona protección contra fallos de alimentación o apagados en el disco. En un despliegue estándar, el proceso de cifrado tarda más en completarse. El motivo es que el DE cifra cada sector de los volúmenes y las particiones. Cifra cualquier área especificada en la Directiva de cifrado. Incluso los sectores en blanco que no contienen datos se cifran.
El cifrado inicial rápido solo cifra los sectores utilizados. El producto consulta al sistema operativo de qué sectores está utilizando el sistema de archivos. A continuación, el producto cifra únicamente los sectores que están marcados como utilizados en los volúmenes y las particiones. Por volúmenes y particiones especificados en la Directiva de cifrado. En una nueva instalación, este número suele ser un pequeño subconjunto del tamaño total del disco.
Cuando se escriben datos nuevos en el disco, a medida que se utilizan nuevos sectores, se cifran.
El cifrado inicial rápido solo está disponible en Windows con DE 7.1. Debido a los cambios de Apple, MNE ha sustituido el producto EEMac.
Para activar el cifrado inicial rápido como parte de un paquete de activación sin conexión, utilice una de las dos opciones siguientes:
SkipUnused (el valor predeterminado es desactivado)
DisablePF (el valor predeterminado es desactivado)
Esta función no está activada de forma predeterminada para la activación offline. Debe activar de forma explícita el cifrado inicial rápido.
El cifrado inicial rápido solo está disponible como parte del proceso de activación sin conexión. Se llama a la opción de activación sin conexión Omitir sectores no utilizados.
Otros datos de cifrado inicial rápido (solo sector utilizado) aspectos de la experiencia de usuario:
Cuando el cifrado inicial rápido está activado, el usuario debe escribir sí al utilizar solo los sectores utilizados. Esta ley garantiza la lectura de la renuncia y la comprensión del uso de esta funcionalidad. Es importante leer las consideraciones sobre el sector utilizado únicamente.
Cuando un usuario no escribe sí cuando se le solicita, el paquete de activación sin conexión no se genera y el proceso falla. Debe volver a generar el paquete de nuevo y escribir correctamente ' sí ', o bien eliminar la opción ' solo sectores usados ' del paquete.
¿La opción de cifrado inicial rápido utilizada solo afecta a HDD y SSD de la misma forma?
Existe una mayor influencia y implicación en SSDs debido a la forma en que SSDs funciona. Para obtener más información sobre los problemas de rendimiento notificados en algunas SSDs, consulte KB66256. Otros aspectos generales solo del sector utilizado:
La opción "solo sector utilizado" significa que no hay sectores en el disco que no estén cifrados. El producto solo cifra los sectores que los Estados del sistema operativo están en uso. Todos los demás sectores (espacio en blanco) se dejan sin cifrar hasta que se utilizan. Aunque estos sectores contengan datos de carácter confidencial previamente eliminados. Los sectores nuevos escritos durante el funcionamiento normal se escriben en un estado cifrado.
La opción recomendación de uso exclusivo del sector utilizado se aplica a una nueva unidad de disco duro y SSD. Esta funcionalidad se puede utilizar antes de que los datos confidenciales de la empresa se escriban en el disco.
Cuando se está reciclando una unidad antigua que se cifró completamente con DE, esta funcionalidad se puede seguir utilizando. Suponiendo que todos los volúmenes que contenían datos confidenciales se cifraron anteriormente. Si no se cumple esa condición, se recomienda no utilizar esta función.
Para ver los datos que muestran las mejoras al utilizar el cifrado inicial rápido (solo sector utilizado), consulte KB77844.
ASPECTO No utilice esta funcionalidad en discos que anteriormente contenían datos confidenciales de la empresa. Cifre todo el volumen/partición/disco.
¿Puedo reiniciar un equipo mientras el disco duro está cifrado?
Hay dos casos que se deben tener en cuenta:
No se puede reiniciar mientras se utiliza Cifrado inicial rápido y cuando el DisablePF la función está activada. Un reinicio del sistema en estas condiciones acarrearía una pérdida de datos.
Con cifrado de disco completo (FDE), es posible reiniciar. Con FDE, el cifrado continúa cuando el equipo se ha reiniciado.
¿Puedo seguir realizando una activación normal o sin conexión conProtección contra fallos de alimentación activada y cifrar todos los sectores, no solo los que están en uso?
Sí. Debe activar de forma explícita el cifrado inicial rápido para su uso. Si no está activado, se utiliza el proceso normal de activación y cifrado inicial.
¿Puedo desactivar la opción de protección contra fallos de alimentación pero permitir la funcionalidad de cifrado solo sector utilizado?
Sí. Se puede seleccionar cualquier combinación de las dos opciones. No obstante, debido a las posibles preocupaciones de seguridad cuando se utiliza el cifrado "solo sector utilizado" en unidades recicladas (discos sucios), es posible desactivar esta opción. Es importante leer las consideraciones sobre el sector utilizado únicamente
¿Qué esUEFI?
UEFI (Unified extensible firmware Interface) define la interfaz de firmware de última generación para su equipo personal. El sistema básico de entrada y salida (BIOS) firmware, escrito originalmente en el ensamblado y utilizando interrupciones de software para la e/s, ha definido el sistema PC desde su creación. No obstante, los cambios en el entorno informático han paveddo la forma en que una definición moderna de firmware iniciará sesión en la siguiente generación de tabletas y dispositivos. Otros hechos de UEFI:
UEFI se administra a través del Foro de UEFI. Un conjunto de proveedores de chipsets, hardware, sistemas, firmware y sistemas operativos. El Foro mantiene las especificaciones, las herramientas de prueba y las implementaciones de referencia que se utilizan en muchos equipos UEFI.
La intención de UEFI es definir una forma estándar para que el sistema operativo se comunique con la plataforma firmware durante el proceso de arranque. Antes de UEFI, el mecanismo principal para comunicarse con el hardware durante el proceso de arranque era interrupciones de software. Los equipos modernos pueden realizar una entrada/salida de bloque más rápida y eficaz entre el hardware y el software. Además, UEFI permite que los diseños utilicen todo el potencial de su hardware.
UEFI permite un diseño modular de firmware que permite a los diseñadores de hardware y sistemas una mayor flexibilidad a la hora de diseñar firmware para los entornos informáticos modernos más exigentes. Mientras que la e/s estaba limitada por interrupciones de software, UEFI promueve el concepto de estándares de codificación basados en arquitecturas neutros basada en eventos.
DE 7.1 es compatible con la versión UEFI 2.3.1 y posteriores.
Windows 7 (64 bits) y Windows 8 (32 bits y 64 bits) y los sistemas posteriores admiten un proceso de arranque de UEFI.
¿Cuáles son las funciones clave de uso de UEFI con DE?
Existen diferentes herramientas de recuperación para sistemas con un proceso de arranque de UEFI. Dado que se trata de un proceso de arranque distinto, se requiere una herramienta de recuperación distinta para gestionar los distintos procesos de arranque.
La destecnología también es una aplicación UEFI. Existe una aplicación de deTecnología que se utiliza para la recuperación en sistemas con un proceso de arranque de UEFI. SEÑALAR No puede utilizar las herramientas de destech del BIOS (heredadas) con un sistema de arranque UEFI.
ASPECTO Un sistema con un proceso de arranque de UEFI no funciona con discos particionados MBR. Windows requiere un nuevo mecanismo para la partición de disco, denominada GPT, para arrancar mediante UEFI.
Todos los tokens y lectores compatibles funcionan tanto en BIOS como en UEFI, con las siguientes excepciones: para revisar los tokens admitidos para la autenticación en 7.1.x, consulte KB79787.
Para revisar los lectores compatibles para la autenticación en DE 7.1.x, consulte KB79788.
Todos los tokens biométricos
Tokens de USB Etokens de SafeNet
DE prearranque es una aplicación. Si considera que UEFI es como un sistema operativo, el arranque previo se convertirá en una aplicación nativa DE UEFI. En comparación, la versión previa al arranque del BIOS es un sistema operativo de sí mismo. En ambos casos, el arranque previo debe ejecutarse primero para que, tras una autenticación correcta, la clave DE cifrado se pueda cargar y el proceso de arranque pueda continuar. En el mundo de UEFI, cuando un usuario se autentica correctamente en el arranque previo.
No todos los dispositivos de pantalla táctil son compatibles con UEFI. Si piensa en UEFI más como un sistema operativo, los OEM deben proporcionar controladores de software para el hardware contenido en ese dispositivo. En el caso de UEFI, el arranque previo admite tanto el protocolo de puntero simple como el protocolo de puntero Absolute. Se espera que se implementen uno o ambos protocolos para todos los dispositivos de pantalla táctil encontrados. Si un fabricante o OEM de la implementación de UEFI no han implementado ninguno de estos mecanismos, no se puede garantizar la compatibilidad con el dispositivo de pantalla táctil. SEÑALAR McAfee empresa ha encontrado en sus propias pruebas internas que no todas las implementaciones de UEFI de los OEM implementan realmente estas interfaces. En estos casos, el creador de la implementación de UEFI en ese sistema está dejando las secciones de la especificación de UEFI.
Las unidades GPT son compatibles con UEFI. Se admiten como discos de arranque o secundarios.
Implementación de UEFI en todos los proveedores. Las implementaciones de UEFI difieren según los proveedores de hardware. En función de la implementación de UEFI, los problemas pueden oscilar entre:
Faltan los protocolos necesarios para admitir unidades Opal.
Problemas de compatibilidad con USB proporcionados en el entorno previo al arranque y utilizados por DE DE en el modo UEFI nativo.
Unidades Opal compatibles con UEFI:
La compatibilidad con las unidades de autocifrado de Opal en sistemas UEFI solo está disponible en Windows 8 o sistemas posteriores conformes con el logotipo que se hayan equipado con una unidad de autocifrado de Opal al fabricarse.
La compatibilidad con las unidades de autocifrado de Opal en UEFI no se ofrece cuando:
Instalación de unidades Opal en versiones anteriores a sistemas Windows 8
O
Reconexión a sistemas Windows 8 que no se enviaron con unidades Opal de los fabricantes.
El motivo de lo anterior, se debe a que se requiere un protocolo de seguridad UEFI para la administración de Opal. Solo es obligatorio cuando se instala una unidad de cifrado automático en el momento del envío. Sin el protocolo de seguridad, no es posible la administración de Opal.
SEÑALAREste hecho no afecta a la compatibilidad con unidades Opal en el BIOS. Para obtener una lista de los modelos de unidades compatibles, consulte KB81136.
¿Existe compatibilidad con unidades de tabla de particiones GUID (GPT)?Windows 7
Como disco de arranque, no. Como disco secundario, sí. Además, corresponde al sistema operativo admitir la unidad secundaria en modo GPT y para que la BIOS admita discos de gran tamaño para que la destech (independiente) la recupere.
Windows 8 y posteriores
Los discos principal y secundario de tabla de particiones GUID (GPT) son compatibles con Windows 8 con 7.1.0 y posteriores.
NOTAS:
Los sistemas basados en UEFI solo pueden arrancar desde un disco GPT principal.
Los sistemas basados en BIOS no se pueden arrancar desde un disco GPT principal. En estos sistemas desde EEPC 7.0 y posteriores, los discos GPT solo se admiten como unidad secundaria.
¿Cuál es la experiencia del usuario cuando el sistema utiliza UEFI?
Ambos entornos previos al arranque tienen el mismo aspecto y tienen el mismo comportamiento. Un usuario no pudo indicar la diferencia entre el entorno de arranque previo de UEFI y el de BIOS.
¿Por qué debo crear y usar medios de recuperación de WinPE de destech, cuando la versión independiente de DeTech incluye más funciones. Como realizar un arranque de emergencia?
La versión de WinPE es mucho más rápida que la versión independiente.
La versión de WinPE también permite acceder al disco duro cifrado, solucionar problemas de Windows o copiar datos de usuario en otra unidad antes de la creación de una nueva imagen.
También puede ejecutar cualquiera de las herramientas de Windows y acceder a la red.
Notas La destecnología independiente no es compatible con versiones anteriores. Utilice siempre una versión de media de recuperación de DeTech correspondiente. Si el cliente tiene 7.1 instalado, crear una destecnología 7.1 Medios de recuperación independientes para realizar acciones de recuperación.
ASPECTO No es posible que McAfee Enterprise proporcione a los clientes un CD de recuperación de WinPE porque se necesita una licencia de Microsoft válida.
¿Qué es ¿Arranque seguro?
El arranque seguro es una función que se activa mediante UEFI, pero Microsoft impuestos sobre implementaciones específicas para PC x86 (Intel). Los sistemas con una etiqueta de logotipo Windows 8 tienen activado el arranque seguro.
UEFI tiene un proceso de validación de firmware, denominado arranque seguro, que se define en el capítulo 27 de UEFI 2.3.1 Especificaciones. Arranque seguro define la forma en que la plataforma firmware administra los certificados de seguridad, la validación de firmware y una definición de la interfaz (Protocolo) entre firmware y el sistema operativo. Crea una raíz de confianza que comienza en UEFI. Que valida el siguiente módulo de la cadena antes de cargarlo y ejecutarlo. La validación se asegura de que no ha cambiado desde que se firmó digitalmente. Con la arquitectura de arranque seguro y su establecimiento de una cadena de confianza, el cliente está protegido frente a malware ejecución en el proceso de arranque. Solo se pueden ejecutar los cargadores de arranque, certificados y firmados con certificación certificada, antes de que se cargue el propio sistema operativo. Otros datos generales de arranque seguro:
DE 7.1.x admite arranque seguro.
DE está firmado, de modo que el proceso de arranque seguro confía en él.
El arranque seguro no funciona en sistemas basados en BIOS Windows 8 o posteriores. Solo funciona en sistemas basados en UEFI.
¿Qué esArranque híbrido Inicio rápido/arranque rápido?
En versiones anteriores de Windows, un apagado tradicional cerraba todas las sesiones de usuario, servicios y dispositivos, y también cerraba el kernel para prepararse para un apagado completo. Windows 8 cierra las sesiones de usuario, pero en lugar de cerrar la sesión de kernel, Windows 8 la hiberna. El resultado es un apagado y una hora de inicio más rápidos. SEÑALAR Microsoft Windows 8 agrega compatibilidad para el arranque rápido (anteriormente conocido como arranque híbrido); con la publicación de Windows 10 y posteriores, esta función ahora se conoce como inicio rápido.
Otro arranque híbrido, Inicio rápido, arranque rápido hechos generales:
DE 7.1.x no admite Arranque híbrido, Inicio rápido así Arranque rápido no son compatibles. DE las funciones se ven afectadas si están activadas.
El inicio de sesión único (SSO) funciona en un arranque híbrido. DE admite SSO en una reanudación desde el modo de hibernación, a diferencia de las versiones de EEPC anteriores.
DE 7.1 incluye mejoras en todas las áreas de rendimiento, que se experimentan de forma inexcepcional con un procesador AES-NI. En pruebas internas, DEha experimentado tiempos de arranque cifrados/no cifrados comparables mediante arranque híbrido.
Veo referencias a Windows RT. ¿Qué es?
Windows RT (anteriormente conocido como Windows en ARM) es una versión de Windows 8 para dispositivos ARM. Solo el software escrito para la interfaz de la interfaz de usuario moderna de Windows 8 se ejecuta en Windows RT, excepto en Microsoft Office 2013 RT y Internet Explorer 10. Las aplicaciones escritas con las API Win32, que son las más actuales, no se ejecutan en Windows RT.
¿Qué es un WindowsDigital?
Un Windows Tablet es un dispositivo con estilo tableta capaz y certificado para ejecutar Windows. Existen dos categorías principales de Windows tabletas:
Tabletas con tecnología de procesadores Intel
Tabletas con tecnología de procesadores ARM
Otros datos generales de tablets:
DE 7.x sin necesariamente compatibilidad con tabletas Windows mediante un procesador ARM y Windows RT
DE 7.x admite Windows tabletas con un procesador Intel. Estas tabletas se ven como cualquier otro sistema de Windows. No obstante, examine las siguientes precauciones:
Capacidad de la CPU
Compatibilidad con la pantalla táctil
Capacidad de CPU en las tabletas. El equipo de desarrollo de productos ha observado que algunas vistas previas de Windows los dispositivos tablets de los fabricantes contienen procesadores con menos potencia. Algunas de las cuales no tienen AES NI capacidades. Los clientes deben tener en cuenta las capacidades de la CPU para asegurarse de que el usuario tenga una experiencia óptima cuando el sistema esté cifrado.
Compatibilidad con la pantalla táctil en tabletas.
Algunas tabletas Windows tienen teclados, por lo que la compatibilidad con la pantalla táctil no es un problema. En el caso de los dispositivos que no disponen de teclado, estos dispositivos requieren que el usuario se autentique mediante la interfaz táctil en el arranque previo.
¿Qué esactivación offline?
La activación offline es la capacidad de activar sin una conexión a ePO
Otros datos generales de activación offline:
Proceso de alto nivel para la activación offline:
Un administrador crea un paquete offline en el servidor de ePO. Este paquete contiene la primera Directiva que se debe crear y una lista de "usuarios offline".
Una vez creado el paquete, se puede distribuir a los clientes con el MSI necesario para instalar DE. Cuando DE se instala correctamente, se ejecuta el paquete offline y se aplica e implementa la Directiva.
Ahora puede iniciar sesión con los "usuarios offline" en el arranque previo.
No hay registros de auditoría en ePO para encontrar información sobre un sistema activado a través de la activación offline. Comportamiento esperado porque el sistema no se ha comunicado nunca con ePO; no hay información sobre ese sistema.
Si un dispositivo se activa solo a través de la activación offline, no podrá comprobar si se ha cifrado. Si el sistema no se ha comunicado nunca con ePO. No hay información en ePO que se pueda utilizar para fines de auditoría, en caso de pérdida o robo. Una vez que el sistema se comunica con ePO y entra en un modo online, toda la información normal se encuentra en ePO. Una vez completada la transferencia, se demuestra el estado cifrado del sistema.
Agregar usuarios del dominio local (AUDL) no funciona la activación sin conexión. AUDL es un proceso de dos pasos que requiere que ePO realice la asignación de usuario/sistema. Dado que ePO no está disponible con la activación offline, AUDL no puede completarse y no se puede utilizar.
Para definir la directiva inicialpara la activación offline, utilice los parámetros disponibles en la utilidad de creación de paquetes offline.
Un sistema descarta todos los usuarios offline después de que el sistema se comunique correctamente con el servidor de ePO.
¿Cuáles son los casos de uso para la activación offline?
Los tres casos de uso principal que se abordan con la activación offline son:
Aprovisionamiento interno.
Aprovisionamiento por parte de un tercero.
Un sistema remoto que no se ha conectado nunca a ePO.
SEÑALAR Existen otros casos de uso en los que la activación offline puede resultar útil; pero, DE 7.1 se centra en estos tres casos de uso.
Un caso de uso de aprovisionamiento interno para la activación offline es donde podría tener su propio proceso de aprovisionamiento. El proceso puede indicar que un sistema debe tener instalado el sistema operativo, además de todas las aplicaciones aprobadas por la empresa. El disco debe estar completamente cifrado antes de que se entregue al usuario. En el momento del aprovisionamiento, es posible que no disponga de conectividad de red, ya que los dispositivos podrían estar sentados en una estantería en una habitación distinta.
Aprovisionamiento mediante un caso de uso de terceros para la activación offline. Es posible que tenga una tercera parte externa para aprovisionar sus dispositivos. En este caso, no desea abrir su firewall para permitir las conexiones con ePO, pero es necesario que todos los portátiles se cifren antes de la entrega.
Caso de uso de la activación offline de un sistema remoto que nunca se conecta a ePO.
Tiene un cliente en una ubicación remota.
El cliente no tiene conectividad de red.
El sistema puede recopilar datos confidenciales y debe cifrarse.
Puede distribuir un CD con los paquetes de MSI. Los paquetes se instalan McAfee Agent, DE y el paquete de activación offline.
A continuación, se ejecutan los paquetes de MSI para instalar, activar y cifrar el sistema.
¿Cómo funciona la recuperación para la activación offline?
Si el administrador ha seleccionado guardar la clave de cifrado, la clave se escribe en un archivo de un disco. En ese punto, es responsabilidad del usuario transferir esa clave cifrada al administrador mediante un método aprobado por la empresa. Cuando los administradores tienen la clave cifrada, pueden descifrarla cuando sea necesario mediante el servidor de ePO que creó el paquete offline. El resultado de este proceso de descifrado es un archivo XML estándar que se puede utilizar con las herramientas DE recuperación.
Otros datos generales de activación offline:
Solo hay una opción de recuperación disponible para una activación sin conexión. Esta opción es una recuperación local mediante las herramientas DE recuperación.
Si el administrador ha desactivado la recuperación local, la única opción es utilizar las herramientas DE recuperación para corregir cualquier problema del sistema. También es posible conectar el sistema a ePO. En ese momento, los usuarios y las directivas se sustituyen por la información proporcionada por ePO. No obstante, este escenario requiere la capacidad de arrancar Windows.
No hay opciones de recuperación adicionales para la activación offline cuando:
La recuperación local está desactivada
Así
No ha guardado la clave de cifrado
¿Cuáles son las funciones clave sobre la activación offline para la instalación?
Tenga en cuenta los sistemas activados por la activación offline como sistemas no gestionados. El motivo es que es posible que no los vea en ePO y que no pueda administrarlos en ePO.
ASPECTO No hay una versión independiente y no gestionada de de para los sistemas que están offline y activados. La activación offline podría permitirle crear un sistema independiente cifrado por una directiva específica. Sin embargo, una vez finalizada la primera implementación de directivas, no se puede actualizar la directiva ni los usuarios. No hay ninguna consola local y ningún método para actualizar la información de la Directiva o del usuario. No obstante, se admite un mecanismo de recuperación de claves. Para obtener detalles, consulte las preguntas frecuentes de recuperación del usuario offline a continuación.
Para la activación offline, el hecho importante es que DE puede instalarse en el sistema. El método de instalación utilizado: por ejemplo, un CD/DVD a los usuarios con MSI que pueden ejecutar o un método más automatizado depende de su entorno específico.
Se requieren los siguientes requisitos de instalación para la activación offline:
McAfee Agent
McAfee Agent de Endpoint Encryption
DE
Paquete offline creado por el administrador
Se puede activar un sistema a través de la activación offline a ePO posteriormente desde ePO.
Cuando un sistema activado offline se conecta a ePO, ocurre lo siguiente:
Suponiendo que la activación offline se haya realizado para el aprovisionamiento, el sistema se conecta en un punto a ePO.
Cuando el sistema se puede comunicar correctamente con ePO, el cliente pasa a un modo online.
El modo online se define como una conexión normal entre el McAfee Agent y ePO; Considérese lo mismo que una instalación normal.
Otros detalles:
Descarta la Directiva offline que se ha implementado y también descarta todos los usuarios sin conexión. Recibe la directiva real de ePO, la lista de usuarios asignados según la activación normal y guarda su clave de cifrado en ePO. Podría verlo como segunda activación automática. ASPECTO Recuerde que toda la información sin conexión se descarta, si el servidor de ePO no conoce el usuario antes de la conexión. Si se conoce el usuario offline del servidor de ePO, se despliegan las directivas de ePO. Sin embargo, los datos que se hayan almacenado en modo offline no se descartan.
¿Qué es un¿usuario offline?
Un usuario sin conexión es uno de los que se utiliza para la autenticación previa al arranque y solo existe en un paquete offline específico. Otros datos de usuario sin conexión:
Un usuario sin conexión es distinto de un usuario normal en DE. Los usuarios offline solo existen en ese paquete offline concreto. Estos usuarios no existen en Active Directory y básicamente no existen en ninguna parte excepto en este paquete offline.
No es posible agregar más usuarios offline a un sistema activado sin conexión una vez que la activación haya finalizado y haya estado en el campo durante un tiempo.
Un usuario offline comienza con la contraseña predeterminada.
Puede recuperar una contraseña si un usuario sin conexión la olvida, ya que los usuarios pueden utilizar la funcionalidad de recuperación local para recuperarla.
Consideraciones para el uso de tokens (distinta de una contraseña) para los usuarios offline:
Las contraseñas y las tarjetas inteligentes que admiten la inicialización automática pueden funcionar en la activación offline.
Las tarjetas inteligentes que solo son PKI no pueden funcionar porque no hay ningún back-end para recuperar la información necesaria para autenticar al usuario.
No es posible la compatibilidad con biométrica.
Los tokens de autoinicialización se identifican en el artículo DE tokens compatibles KB79787.
Otros hechos de recuperación de usuarios offline:
Cuando un administrador desactiva la recuperación local, los usuarios offline se bloquean. Si hay otro usuario en el sistema, puede utilizar para arrancar el sistema o conectar el sistema a ePO. No obstante, esta alternativa requiere que el sistema arranque en Windows.
Cuando el usuario offline ha olvidado su contraseña y sus respuestas de recuperación locales, el usuario se bloquea ahora. Si hay otro usuario en el sistema, es posible que arranque el sistema o que conecte el sistema a ePO. No obstante, esta alternativa requiere que el sistema arranque en Windows.
Si tiene un usuario offline llamado Bob y un usuario AD llamado Bob, cuando Bob pase de estar offline a online, ¿qué ocurre con la contraseña?
Suponiendo que AD usuario Bob haya iniciado sesión en el sistema al menos una vez. Un AUDL estaba activo en la Directiva de ePO y, a continuación, Bob se asigna al sistema una vez que Bob offline se descartó. SEÑALAR A partir de este punto, el AD usuario Bob puede tener dos posibilidades. Si inicia sesión en el arranque previo por primera vez, Bob tiene la contraseña predeterminada. De lo contrario, y si ePO ya tiene credenciales para Bob, esas credenciales de ePO se encuentran en el sistema.
¿Es una directiva sin conexión igual que una directiva definida en ePO?
No. Hay algunas opciones de configuración de directivas que requieren interacción, como agregar usuarios de dominio local (AUDL). Esta configuración de Directiva no se puede utilizar en una activación sin conexión.
Otros datos generales de directiva sin conexión:
No se puede actualizar la Directiva de un sistema activado sin conexión una vez finalizada la activación y después de que haya estado en el campo durante un tiempo. La activación offline solo implementa la primera Directiva. No hay actualizaciones posibles después de aplicar la primera Directiva.
Un sistema descarta todos los usuarios offline después de que el sistema se comunique correctamente con el servidor de ePO. Descarta la Directiva offline y solicita a ePO que proporcione la Directiva adecuada.
La siguiente configuración está disponible para una directiva sin conexión:
Back up the Device Key
Path to the recovery key
Enable temporary autoboot
Enable autoboot
Don’t display the previous user name
Enable SSO
Enable boot manager
PBFS Size
Opal PBFS Size
Require user changes their password
User name must match Windows logon user name
Enable self-recovery
User smart card PIN
Enable USB in preboot
ASPECTO Cuando el equipo está equipado con una unidad Opal, las activaciones offline utilizan el cifrado Opal en primer lugar. Las preferencias de OPAL están codificadas de forma rígida en los paquetes de activación sin conexión y no utilizan la configuración de directivas personalizada.
¿Qué ocurre con el¿las claves de cifrado durante la activación offline?
Cuando el administrador configura el paquete de activación sin conexión, existe una opción disponible para indicar si las claves se guardan o no. La decisión sobre si guardar las claves y a qué ubicación, es la única discreción del administrador. No es algo que el usuario pueda elegir o manipular.
Otros datos generales de clave de cifrado:
Cuando haya recibido la clave cifrada, un administrador puede descifrarla y exportar la información en el formato XML utilizado por las herramientas DE recuperación.
Si guarda una clave de cifrado de un sistema que haya completado el proceso de activación sin conexión, no podrá importar la clave en ePO. No obstante, puede almacenar todas las claves en una ubicación segura y utilizar ePO para descifrarlas y generar los archivos XML de recuperación necesarios.
Si las claves de cifrado no se pueden guardar debido a algún otro error, el disco duro del cliente se debe volver a formatear. A continuación, se debe reiniciar el proceso de activación offline.
La clave de cifrado no se escribe en un archivo de texto sin formato en el disco y la clave de cifrado siempre se cifra. Si una aplicación de terceros ha interceptado la clave, no le resultaría útil. Tampoco dispondrían de una forma de identificar el sistema al que pertenecía.
La única ubicación donde se puede descifrar la clave de cifrado para una activación offline es el servidor de ePO que creó el paquete offline. Ningún otro servidor de ePO puede descifrar la clave.
Todas las activaciones sin conexión no tienen la misma clave de cifrado. Durante la primera implementación de directivas, se genera la clave de cifrado. Este hecho garantiza que todas las activaciones sin conexión tienen una clave distinta.
Otros casos de uso de claves de cifrado:
Acerca de la clave de cifrado para el sistema en el caso de uso de aprovisionamiento interno:
Es posible que no desee guardar la clave. Recuerde que, en la primera conexión con el servidor de ePO, carga la clave. Esta situación abarca principalmente los nuevos sistemas. Hay pocos datos de usuario que perder, en caso de que se produzca alguna de las siguientes situaciones:
Se ha detectado un defecto físico que provoca el bloqueo del disco
O
Se bloquea un sistema
SEÑALAR Puede guardar la clave en una unidad USB o en un recurso compartido de red específico por si se requiere una recuperación.
Acerca de las claves de cifrado del sistema en el aprovisionamiento por un escenario de terceros:
Es probable que no desee que el tercero guarde la clave de cifrado. Por lo tanto, debe especificar que no debe guardar la clave en ningún lugar. AvisoSi la aplicación de terceros copia cada clave de cifrado de todos los sistemas de su organización, se consideraría un riesgo para la seguridad.
Dado que esta situación abarca principalmente los nuevos sistemas, hay pocos datos de usuario que perder cuando:
Se ha detectado un defecto físico que provoca el bloqueo del disco.
O
Se bloqueará un sistema.
Con respecto a las claves de cifrado, en las que las claves de cifrado del sistema nunca se conectan a ePO:
Es probable que desee guardar la clave de cifrado en una unidad USB o en el disco duro. Este paso es opcional y se refiere únicamente a la discreción del administrador. Es responsabilidad suya asegurarse de que la clave de cifrado se transporta de forma segura a ePO para protegerla. Este transporte se puede lograr mediante cualquier mecanismo que la organización apruebe para las claves de cifrado. Una vez que el administrador de ePO tiene una copia de la clave guardada, se puede utilizar posteriormente con fines de recuperación.
Qué se incluye en la¿El sistema de archivos de prearranque (PBFS)?
El PBFS contiene toda la información necesaria para proporcionar al usuario la capacidad de autenticarse. Esta información incluye, pero no se limita a, lo siguiente:
Los archivos necesarios para el entorno previo al arranque
Archivos de idioma para todos los idiomas de cliente compatibles
Fuentes para mostrar caracteres de todos los idiomas admitidos
Tema asignado al cliente
Los usuarios asignados al cliente
Otros hechos de PBFS:
Si realiza el despliegue en un cliente y aumenta el tamaño del PBFS en la directiva más tarde, el tamaño de PBFS no cambia en el cliente desplegado. La configuración del tamaño de PBFS se aplica solo cuando se crea la PBFS o se vuelve a crear durante cualquier procedimiento de recuperación.
Es posible crear y personalizar los temas de arranque previo en ePO.
No puede forzar durante el arranque previo un teclado inglés cuando se instala por primera vez DE 7.x a un sistema operativo que no esté en inglés. El motivo es que, de forma predeterminada, el instalador DE muestra el teclado localizado asociado al sistema operativo Windows localizado en el que se está instalando el producto.
¿Cuánto tiempo se necesita para que un usuario recién creado esté disponible en PBFS?
No hay ninguna respuesta breve a esta pregunta. Los siguientes escenarios intentan cubrir las situaciones más comunes:
Escenario 1
Si solo se asigna un usuario sin inicializar a un sistema. Solo se requiere un ASCI, ya que el usuario se verifica mediante la tarea de sincronización LDAP de EE en ePO. SEÑALARUn usuario no inicializado es un usuario que no ha iniciado sesión anteriormente en ningún sistema. Por lo tanto, no existen datos de token para este usuario.
Escenario 2
Si se agrega un nuevo usuario no inicializado a un sistema que ya tiene usuarios asignados. Es posible que necesite dos ASCI antes de que el usuario esté completamente disponible en PBFS.
Escenario 3
Si un usuario inicializado se agrega recientemente a un sistema que puede o no tener usuarios asignados todavía. Se requieren dos ASCI hasta que el usuario está completamente disponible en PBFS. El motivo es que este usuario ya tiene datos de token inicializados.
En Resumen: cuando se asigna un usuario a un sistema, se incrementan las directivas de este sistema. Durante la implementación de directivas, se activa un evento para solicitar datos de usuario. Cuando ePO devuelve ese evento, se verifican y descargan al cliente todos los usuarios que hayan sido asignados.
En el caso de un usuario sin inicializar, en el que no hay datos tokens, el evento secundario no es necesario para extraer todos los datos de los usuarios requeridos y en el PBFS. Al igual que en el resto de escenarios, se requieren dos eventos para que un usuario esté totalmente disponible en PBFS.
Además, si el cliente está utilizando la opción de Directiva Agregar usuario de dominio local (AUDL), existe una 2.5 Tiempo de espera de ASCI activado. Se produce cuando no se responde a la solicitud de AUDL. Si se supera este tiempo de espera, se requiere una nueva implementación de directivas para cargar los datos de usuario para su verificación. ¿Cuáles son los DE 7.x ¿requisitos de temas personalizados?
Cree el tema personalizado según los siguientes requisitos:
Una imagen con dimensiones 1024 x 768
Asegúrese de que el formato de archivo sea. DICHO
Un tamaño de archivo de unos 600 KB
SEÑALAR Usuarios ampliar desde EEPC 6.x, se incluye un nuevo tema predeterminado como parte de 7.1.x. Si utiliza temas personalizados con EEPC 6.x, vuelva a crear sus temas personalizados de de 7.1.x tema predeterminado tras la ampliación. Este enfoque garantiza que se muestre la interfaz de usuario correcta y se oiga el audio correcto. De lo contrario, se sigue mostrando el EEPC 6.x interfaz de usuario y utilizar la EEPC 6.x audio. Los usuarios que deseen desplegar el nuevo tema predeterminado en todos sus endpoints existentes o que tengan su propio tema personalizado deben seguir los pasos indicados en el DE 7.1 Notas de la versión. Estos pasos garantizan que estén utilizando el tema correcto durante la autenticación anterior al arranque.
¿Cuál es el ¿Comprobación inteligente previa al arranque (PBSC)?
PBSC es la funcionalidad de de que realiza varias comprobaciones de compatibilidad de hardware previo al arranque. Las comprobaciones se aseguran de que el entorno DE prearranque de funcione correctamente en un sistema. Prueba las áreas que se han identificado para provocar problemas de incompatibilidad en el pasado.
Otros hechos generales de comprobación inteligente anterior al arranque:
El objetivo de la comprobación inteligente anterior al arranque es ayudar a proporcionar un despliegue sin complicaciones de cifrado de disco completo. Que se consigue buscando condiciones de error comunes en el entorno previo al arranque. Sin las comprobaciones activadas, la productividad podría verse afectada cuando los problemas de despliegue pudieran bloquear a los usuarios fuera del sistema. Comprobación inteligente anterior al arranque desactiva si hay un problema y permite al sistema revertir a la autenticación de solo Windows.
La funcionalidad de comprobación inteligente anterior al arranque no está activada de forma predeterminada porque introduce uno o varios sistemas que se reinician en el proceso de activación. Algunos clientes pueden aceptar esta situación y otros podrían no.
Cuando la comprobación inteligente anterior al arranque encuentra un problema, puede que se produzca un error al cargar el arranque previo o un problema de entrega a Windows. Ether el sistema se reinicia automáticamente o el usuario debe reiniciar el sistema de forma forzada. Que permite a PBSC probar un conjunto distinto de configuraciones de compatibilidad para solucionar el problema. Si la configuración funciona y el sistema arranca en Windows, el DE se activa completamente y se implementa la Directiva de cifrado.
Si se han intentado todas las configuraciones de compatibilidad y se encuentran problemas no recuperables, se omite el arranque previo. En esta situación, el sistema arranca en Windows y se desactiva. En este momento, se envía una auditoría a ePO para alertar del error y se bloquean las siguientes activaciones en el sistema.
Cuando un sistema pasa la comprobación inteligente anterior al arranque, se activa DE e implementa la Directiva de cifrado.
¿Qué sucede si un sistema no supera la comprobación inteligente previa al arranque?
Si un sistema no supera la comprobación inteligente anterior al arranque, no se activa DE. Por lo tanto, la activación (y el cifrado si se establece en la Directiva) no continúa, y el sistema "revierte" a la autenticación de solo Windows.
Otros hechos generales del error de comprobación inteligente anterior al arranque:
En el caso de un sistema que siga ejecutándose a través de la comprobación inteligente anterior al arranque, el administrador de ePO solo puede ver que el sistema no está activado y no cifrado.
Pueden ver el registro de auditoría para obtener el progreso desde la última vez que el sistema se sincronizó con ePO.
El administrador puede ver que un sistema no se ha activado, ya que el error se audita.
Para que un administrador vea que un sistema ha fallado la comprobación inteligente previa al arranque, consulte el registro de auditoría del sistema.
Si un sistema no supera la comprobación inteligente previa al arranque, sigue intentando activar en la siguiente implementación de directivas. Sin embargo, la activación se abandona inmediatamente. Todas las activaciones subsiguientes se abandonan inmediatamente hasta que ocurra una de las siguientes situaciones:
Desactive PBSC de la Directiva
Elimina el valor de registro: Software\McAfee disco lleno Encryption\MfeEpePc\SafeFailStatus\Status
SEÑALAR Además, una solución alternativa podría ser configurar una respuesta automática en ePO basada en el ID de evento. De esta forma, cuando llegue un evento en ePO (el evento que indica un fallo de PBSC), ePO puede asignar automáticamente una nueva Directiva a ese sistema. Esa Directiva se configuraría para desactivar y, DE este modo, detener futuros intentos DE activación. Consulte la documentación de ePO para obtener más información.
¿Cómo puedo saber si la comprobación inteligente anterior al arranque ha modificado la configuración?
Esta información no se expone en 7.1. Es transparente para el usuario y se produce automáticamente.
Si la comprobación inteligente anterior al arranque no ha realizado ningún cambio y el sistema ha funcionado fuera de la caja. ¿Esto indica que puedo desactivar esa comprobación para fines de despliegue?
Es a discreción de los clientes si desactivan la comprobación. No obstante, la variabilidad es común entre los sistemas que tienen el mismo número de modelo. Por ejemplo, un usuario podría haber pasado a la BIOS y haber cambiado su configuración de USB.
Los cambios realizados en la configuración de USB pueden afectar a la integración con esa BIOS, de modo que la conservación de PBSC agregaría valor aquí. Sin embargo, si utiliza contraseñas de BIOS para evitar que los usuarios realicen tales cambios, es seguro que no utilice PBSC.
¿Qué versiones de Intel La tecnología DE administración activa (AMT) es compatible con ePO Deep Command y DE?
Para ver qué versiones de AMT son compatibles, consulte ARTÍCULO KB79422.
SEÑALARLa versión de AMT forma parte de la información que un administrador puede ver en un equipo. La información intercalada se comunica de nuevo a ePO Deep Command.
Otros hechos generales de Intel AMT:
Un administrador puede aprender a determinar si puede utilizar la funcionalidad de Intel AMT en un sistema concreto. Se consigue visualizando las propiedades del sistema en ePO. En ePO, puede ver la información de AMT de ese sistema específico. McAfee ePO descubrimiento y generación de informes (gratuito) de Deep Command también proporciona esta información para todos los sistemas gestionados de ePO y la muestra en un panel. Para ser compatible con DE, el comando Deep debe informar del estado de AMT como configuración posterior. Además, DE requiere la versión de AMT 6.0 o posterior.
Cómo se transfiere la información de Intel AMT sobre un sistema a ePO.
En primer lugar, ha instalado las extensiones de Deep Command. Incluye las extensiones de descubrimiento y generación de informes, además de incorporar los paquetes en el servidor de ePO.
Debe desplegar los paquetes de Deep Command en los clientes, los cuales informan si AMT está activado. Además, si el sistema ha activado AMT, el cliente informa de qué funciones de AMT se admiten.
Deep Command agrega una tarea de planificación de servidor a ePO que etiqueta automáticamente los sistemas con AMT. Esta tarea está planificada para ejecutarse a diario y se puede modificar. Consulte la documentación de ePO Deep Command para obtener más información.
Si el sistema no ha activado AMT, consulte el panel de Resumen de descubrimiento y generación de informes de Deep Command para obtener información de soporte de AMT de un cliente.
¿Cuántos tipos de acciones de Intel AMT se pueden poner en cola en un sistema?
Dos tipos:
Acciones transitorias
Acciones permanentes.
Ejemplos de acciones permanentes y transitorias:
Acción transitoria es una acción que se ejecuta x número de veces y, a continuación, se elimina de la cola de acciones. A continuación se muestran algunos ejemplos:
Restablecer contraseña de usuario
Desbloqueo x número de veces
Desbloqueo hasta
Arranque de emergencia
Restaurar MBR
Empleadosmedida es una acción que permanece en la cola de acciones hasta que el administrador la elimina.
Desbloquear planificación
Desbloquear permanentemente
Otros hechos permanentes y transitorios:
Por cada acción de Intel AMT, solo puede asignar lo siguiente de una vez:
Un sistema o un usuario un máximo de una acción transitoria.
Así
Una acción permanente.
Solo puede tener una acción transitoria de Intel AMT y otra permanente. Decisión de diseño tomada para esta primera implementación de la integración con Intel AMT. Si se producen otros casos de uso, esta decisión se puede revisar. La arquitectura subyacente se ha diseñado para gestionar más acciones si es necesario.
¿Qué significa el acceso local iniciado por el cliente (CILA) y el cliente iniciado Acceso remoto (CIRA) en relación con Intel AMT?
La definición de lo que es local y remoto se define como parte del proceso de aprovisionamiento de AMT.
CILA es una solicitud AMT de una dirección de red interna.
CIRA es una solicitud AMT procedente de una dirección de red remota.
SEÑALAR La configuración de directiva predeterminada para CIRA está desactivada de forma predeterminada. Esta decisión fue consciente de que el equipo de desarrollo de productos protege a los clientes de la exposición accidental.
CIRA es compatible y debe estar activado de forma explícita. La desactivación de CIRA significa que, si un Controlador de agentes se expone a Internet, no puede responder a ninguna solicitud AMT. El equipo de desarrollo de productos cree que los clientes deben decidir si desean activar esta funcionalidad.
Al ver un Wakeand Patch (Remote Unlock) bien Contextual Security (Unlock) en un cliente, el arranque previo parece esperar unos 20 segundos antes de continuar con el arranque en el sistema operativo, ¿es lo normal?
Hay muchos factores implicados en la determinación del tiempo que puede durar esta hora. La velocidad de la red y la carga de trabajo del servidor de ePO son dos factores posibles. Existe un problema conocido en firmware AMT, que podría acarrear un retraso de 20 segundos antes de que los eventos de CILA salgan del Endpoint. El efecto de este problema es que podría tardar más de 20 segundos en producirse un desbloqueo fuera de banda en un entorno de CILA. McAfee Enerprise está investigando este problema. Para revisar otro DE 7.1 Problemas conocidos, consulte KB84502.
¿Qué directivas y opciones de Deep Command son necesarias para 7.1 integración?
ePO Deep Command 1.5.0 y las directivas de Intel AMT son obligatorias. Esto garantiza que las siguientes directivas se configuren correctamente:
Acceso remoto debe estar activado.
Active el acceso local iniciado por el cliente (CILA). Elija el controlador de agentes correcto.
En tipo de conexión, seleccione BIOS y sistema operativo.
Si desea que el cliente inicie Acceso remoto (CIRA), asegúrese de haber configurado lo siguiente:
Doméstico sufijo de dominio
Controlador de agentes DMZ
Permitir túnel Iniciado por el usuario
¿Cuáles son los casos de primer uso implementados en DE 7.1.x el uso de Intel (AMT) y McAfee ePO Deep Command?
Los primeros cuatro casos de uso implementados en 7.1.0 suelen
¿Cuál es el¿Restablecer caso de uso de contraseña?
Esta funcionalidad utiliza Intel AMT para enviar datos de token nuevos a un cliente. En este caso de uso, un usuario ha iniciado su sistema y ha olvidado su contraseña. Pueden llamar a un servicio de asistencia o al administrador y solicitar que restablezcan la contraseña. El administrador crea una contraseña de un solo uso que se inserta a través de Intel AMT en el cliente mientras se realiza el arranque previo. El uso de Intel AMT es una alternativa más rápida para restablecer contraseñas que el método de desafío/respuesta de larga duración. Otra contraseña de restablecimiento general curioso
A continuación se indican los pasos de alto nivel para el caso de uso de restablecimiento de contraseña:
El usuario inicia su equipo, no puede iniciar sesión y llama al servicio de asistencia.
El usuario se dirige a la sección recuperación en el arranque previo y proporciona al usuario del servicio de asistencia su nombre de usuario de ePO.
El operador de asistencia técnica encuentra en ePO el sistema que está utilizando el usuario.
El usuario del servicio de asistencia utiliza la funcionalidad de Intel AMT para restablecer su contraseña con un contraseña de un solo uso temporal.
Para que el sistema especificado reciba los nuevos datos de token, ePO escribe el elemento en la cola de trabajo. El arranque previo lee la cola de trabajo y obtiene la clave mediante la pila de red proporcionada por Intel AMT.
El cliente recibe los nuevos datos de token y sale automáticamente de la pantalla de recuperación y vuelve a la pantalla de contraseña. Este hecho es una indicación para el usuario de que se ha recibido la nueva contraseña. Además, el usuario oirá un pitido para indicar que se han recibido los nuevos datos de token.
A continuación, el usuario se autentica con su contraseña de un solo uso y establece una nueva contraseña.
Acciones necesarias cuando un usuario requiere un restablecimiento de contraseña. Para determinar en qué sistema se encuentra el usuario, el usuario en el cliente, en el arranque previo, debe ir a la pantalla de recuperación. En la pantalla de recuperación pueden ver el ID del equipo y el nombre del equipo. Pueden proporcionar esta información al administrador o al servicio de asistencia y buscar el equipo en ePO. El procedimiento es necesario porque las acciones de Intel AMT funcionan en sistemas en lugar de en usuarios.
Otra contraseña restablecidaHechos de función de administrador:
Cuando un administrador necesita verificar que un cambio se ha producido correctamente, o bien validar por qué parece no funcionar. El administrador puede encontrar la información en la AMTService.log File. NOTAS:
No se genera un evento en ePO porque no existe ninguna API de ePO que genere un evento desde el controlador de agentes.
El administrador puede encontrar el archivo AMTService. log en el servidor de ePO en /\DB\Logs\AMTService.log. También se recopila como parte del MER del servidor.
Lo siguiente no se recomienda cuando un administrador desea determinar qué sistema está utilizando el usuario. Es posible que el administrador envíe el comando de Intel AMT a todos los sistemas a los que puede acceder el usuario.
Razonamiento:
Supongamos que el usuario puede acceder a dos equipos portátiles.
Inician el portátil-1 y reciben la instrucción para cambiar su contraseña.
Recorren el proceso e inician Windows.
Ahora activan el portátil-2, que también recibe la solicitud para cambiar la contraseña.
Los datos de token se actualizan a la contraseña de un solo uso y se les pide que lo vuelvan a cambiar.
En teoría, lo anterior podría funcionar en un entorno controlado o en el que el usuario sea consciente.
Otra experiencia de usuario de restablecimiento de contraseña:
El administrador ha utilizado la funcionalidad de Intel AMT para cambiar la contraseña del usuario. El usuario sabe que la nueva contraseña de recuperación ha llegado al cliente. Si el usuario está sentado en la pantalla de recuperación, verá que desaparece la pantalla de recuperación. Poco después, se sustituirá por la pantalla de inicio de sesión. Esta indicación confirma que se ha recibido la nueva información de contraseña. Notas Cuando se reciben los nuevos datos de token, el usuario escucha un pitido.
¿Cuál es el¿Caso de uso de seguridad contextual?
El caso de uso de seguridad contextual (también conocido como con reconocimiento de ubicación) es una nueva función de autenticación en el entorno DE prearranque. Proporciona a los sistemas la capacidad de autenticarse sin la intervención del usuario. En lugar de solicitar credenciales a un usuario, el arranque previo utiliza Intel AMT para iniciar una conexión de red con ePO. A continuación, el arranque previo recupera una clave que utiliza para autenticarse en el arranque previo y, a continuación, arranca el equipo en el sistema operativo. El entorno previo al arranque y ePO pueden determinar si el sistema se encuentra en la oficina o se conecta a través de Internet. La seguridad contextual ofrece a los administradores la capacidad de configurar los sistemas para que se autentiquen automáticamente a través de ePO y AMT en la oficina. Sin embargo, cuando el sistema está fuera de la oficina, muestra la pantalla de autenticación anterior al arranque.
Algunos ejemplos de casos en los que la seguridad contextual es útil son:
Los clientes que deseen no mostrar el entorno previo al arranque mientras sus usuarios están en la oficina. Pero mostrarlo cuando se encuentren fuera de la oficina o si el sistema se pierde o se lo roban.
Cifre un sistema que siempre se encuentra en la oficina. Pero no influir en el usuario con las nociones de arranque previo, y hacer que se autentiquen automáticamente a través de ePO y AMT. No obstante, muestre el arranque previo si el equipo es robado desde la oficina.
Clientes con equipos compartidos utilizados por muchas personas. Piense en una sala de reuniones, un salón de formación o equipos portátiles y de sobremesa en un entorno de hospital/.
Los clientes que desean eliminar problemas de sincronización de contraseña no muestran nunca el arranque previo. Sin embargo, aunque tenga su protección, si el equipo se pierde o se lo roban. Los usuarios se autentican por primera vez en Windows, aunque en segundo plano, DE se autentican automáticamente mediante ePO y AMT.
¿Cómo funciona la seguridad contextual?
Cuando se inicia el arranque previo, intenta ponerse en contacto con ePO y solicita permiso para arrancar. ePO está en control y decide si se debe devolver la clave de desbloqueo. Si el cliente no puede ponerse en contacto con ePO, o ePO no devuelve la clave de desbloqueo al cliente, se muestra el entorno previo al arranque. La pantalla anterior al arranque sigue apareciendo mientras espera a que un usuario se autentique correctamente. Si ePO envía la clave de desbloqueo, el equipo se desbloquea. Las claves de desbloqueo se envían al cliente en un canal seguro, protegido por el hardware AMT. Otros datos de seguridad contextuales:
La autenticación de seguridad contextual se produce realmente en el cliente, pero la información proviene de ePO.
La seguridad contextual no omite el arranque previo. El entorno previo al arranque siempre está presente y siempre activo. El arranque previo sigue apagando e inicia el sistema operativo cuando se produce una autenticación correcta. En este caso de uso, la autenticación proviene de ePO.
El inicio de sesión único (SSO) no funciona en este caso de uso de seguridad contextual porque la autenticación en el arranque previo se lleva a cabo en el equipo y no en un usuario. Dado que DE no sabe qué usuario iniciar sesión, no puede reproducir ningún dato SSO capturado.
Con la seguridad contextual, el usuario solo necesita iniciar sesión una vez. En este caso, la autenticación de usuario se realiza en la solicitud de Windows y no en la solicitud DE prearranque.
El uso de la seguridad contextual significa que el usuario solo inicia sesión en Windows con su Windows contraseña más reciente. Este hecho puede eliminar cualquier preocupación sobre la sincronización de contraseñas para los usuarios que utilicen esta funcionalidad de forma continua.
Con un usuario móvil que dedica tiempo dentro y fuera de la oficina, estos usuarios necesitan sus credenciales para autenticarse en el arranque previo cuando no están en la oficina.
El equipo arranca automáticamente en Windows, siempre que ePO envíe una respuesta positiva. Inicia automáticamente el sistema operativo, una vez procesada la respuesta.
Si se roba un equipo cuando se utiliza la seguridad contextual, muestra el entorno previo al arranque. El arranque previo se muestra porque el sistema no puede comunicarse con ePO y espera a que un usuario se autentique.
El caso de uso más informativo es utilizar solo esta función para sistemas de sobremesa o portátiles que no salen de la red de la oficina.
Otros hechos de la función de administrador de seguridad contextual:
Para que los administradores activarn la funcionalidad de seguridad contextual, deben:
Seleccionar uno o varios sistemas
Seleccione la acción "fuera de banda: desbloquear la autenticación anterior al arranque"
Especificar la duración del desbloqueo, bien de forma permanente o en una planificación
SEÑALAR Un administrador también puede elegir si la acción es accionable para equipos locales o locales y remotos.
Cuando un administrador recibe quejas de un usuario que, desde el momento del momento, la seguridad contextual no funciona, entonces para verificar que en el servidor de ePO, revise el archivo ' AMTService. log '. Este archivo se revierte y tiene un límite de tamaño de archivo (el límite de tamaño predeterminado se establece mediante Deep Command. La configuración se puede configurar).
Cuando el administrador activa la funcionalidad de seguridad contextual, puede activar de forma permanente o durante un tiempo definido.
Para las opciones de período definidas, un administrador puede especificar uno de los siguientes elementos:
Uno o varios reinicios
Desde fecha/hora de inicio hasta fecha/hora de finalización
Una planificación semanal de horas bloqueadas o disponibles
Para los usuarios móviles, es mejor implementar siempre la autenticación previa al arranque, ya que técnicamente un usuario no inicia sesión en el arranque previo en este caso de uso. DE no conoce las actualizaciones de contraseñas porque no sabe qué usuario anterior al arranque debe aplicar ninguna actualización de contraseña.
Cuando se utiliza la seguridad contextual, el sistema permanece en el entorno previo al arranque. Se vuelve a intentar cada cinco minutos, si el servidor de ePO está ocupado y no puede responder al sistema.
Si el sistema no llega a ePO en el primer intento, lo vuelve a intentar. Intenta ponerse en contacto con ePO cada cinco minutos. Este comportamiento se aplica a las solicitudes CILA (locales). No obstante, en el caso de las solicitudes CIRA (Remote), el equipo solo Contacta con ePO una vez. Si no recibe respuesta, se debe reiniciar el sistema para ponerse en contacto con ePO de nuevo.
El servidor de ePO deja de estar disponible y el cliente no puede contactar con el servidor de ePO. Si el usuario no conoce sus credenciales de arranque previo, se bloquearán en el entorno previo al arranque. Su única opción es llamar al servicio de asistencia y realizar una recuperación del sistema con el proceso de desafío y respuesta.
Cuando CIRA está activado, significa que un sistema que no se encuentra en la red no se puede arrancar automáticamente. DE no toma ninguna decisión sobre si se debe mostrar la autenticación anterior al arranque. Si DE 'Out of Band management' está activado, DE intenta enviar una llamada para obtener ayuda.
A continuación, el chip AMT comprueba el entorno y ve si está conectado en la red remota o local.
Red local. Publica un CILA en el servidor de ePO.
Red remota. Si se ha especificado un servidor de CIRA, intenta conectarse de forma segura a él.
El arranque del arranque se desbloquea y entra en Windows si se cumplen las siguientes condiciones:
Una llamada de CILA o CIRA, provoca una conexión correcta con el servidor.
El servidor envía la clave de cifrado.
De lo contrario, si no se recibe ninguna clave, permanece en la autenticación anterior al arranque.
Otra experiencia de usuario de seguridad contextual:
Ejemplo de uso de casos:
Qué acciones llevan a cabo los usuarios cuando utilizan un sistema de escritorio en la oficina con una funcionalidad de seguridad contextual. Nunca han necesitado iniciar sesión antes del arranque previo, pero, a continuación, ver la pantalla anterior al arranque y no conocen sus credenciales. Los usuarios tienen varias opciones:
En primer lugar, podían esperar cinco minutos para el siguiente intento de contacto con ePO. Esto es cierto porque se trata de una solicitud CILA (local).
En segundo lugar, pueden apagar y encender el sistema de nuevo. Lo que provoca que el arranque previo vuelva a ponerse inmediatamente en contacto con ePO cuando se reinicie.
Por último, siempre se pueden autenticar introduciendo el nombre de usuario y la contraseña de otro usuario conocido que pueda autenticarse en el arranque previo.
¿Cuál es elWake and Patch (Remote Unlock) ¿Usar-Case?
Este caso de uso cubre la necesidad de planificar de forma urgente o regular wake and patch ordenadores. Estos equipos se apagan y es necesario Woken para poder aplicar la actualización a ellos. Lo Wake and Patch (Remote Unlock) los casos de uso son similares a los casos de uso de seguridad contextual. Las siguientes preguntas ya respondidas para la seguridad contextualtambién se aplican a Wake and Patch (Remote Unlock Option
¿Cómo funciona?
¿Esta omisión del arranque previo?
Si fuera un usuario situado delante del equipo, ¿lo vería de forma automática arrancar Windows?
¿Funciona el inicio de sesión único (SSO) en este caso de uso?
¿Qué sucede si ePO está ocupado y no puede responder al sistema?
Si el sistema no consigue acceder a ePO en el primer intento, lo vuelve a intentar?
¿Cómo realiza un administrador activar esta funcionalidad?
¿Se puede establecer esta funcionalidad de forma permanente o solo durante un período de tiempo específico?
¿La autenticación se produce realmente en el cliente y la información proviene de ePO?
Distinto Wake and Patch (Remote Unlock) hechos generales:
Cuando el servidor de ePO está ocupado y no responde después de una solicitud de Wake on LAN. El sistema cliente permanece en el arranque previo e intenta de nuevo cada cinco minutos. Aunque es true para solicitudes CILA (locales), para solicitudes CIRA (remotas), el equipo solo Contacta con ePO una vez. Si no recibe ninguna respuesta, es necesario reiniciar el sistema para que se ponga en contacto con el servidor de ePO.
Para acceder a un sistema periódicamente, es necesario configurarlo para enviar mensajes de CIRA periódicamente mediante el reloj despertador. La función de reloj despertador cambia al sistema en el momento especificado.
Distinto Wake and Patch (Remote Unlock) Hechos de función de administrador:
Un administrador puede ver cuántos sistemas ha convertido en Windows para la Wake and Patch (Remote Unlock) cuatricromía. Los resultados se pueden ver a través de la consulta "DE: Product Client Event" con un filtro adecuado. Los resultados dependen de los sistemas que se hayan comunicado con el servidor de ePO para enviar la información de auditoría.
Un administrador no puede determinar qué sistemas no han superado el arranque previo al utilizar el Wake and Patch presentan. Dado que el sistema no arranca en Windows, no hay ninguna entrada en la 'DE: Product Client Event' Consulte.
Un administrador puede escalonar el Wake and Patch (Remote Unlock)o interval.to contact ePO. Un administrador debe escalonar el Deep Command Power On o su solicitud Wake on LAN equivalente.
Los sistemas se activan cuando se corrigen en el entorno de SILA (local) (cuando la acción se inicia en el servidor). En otros casos, el cliente Contacta con ePO; Por lo tanto, se puede suponer que está activado porque se ha puesto en contacto con el servidor de ePO.
¿Cuál es el¿Caso de uso de corrección remota?
Esta función ofrece a los administradores la posibilidad de realizar un arranque de emergencia o sustituir el MBR en un sistema cliente a través de AMT. Lo hace así sin necesidad de tocar físicamente el equipo. Lo que permite a un administrador corregir un problema en un sistema cliente que está a medio mundo.
Ejemplo de uso del caso 1:
Un administrador de Santa Clara está intentando ejecutar un arranque de emergencia en un usuario de Japón. El usuario necesita una recuperación urgente antes de una reunión importante.
El uso de este proceso no requiere la intervención del usuario. Simplemente pueden ver cómo repara su sistema cliente. Que es correcto para CILA (local). En el caso de CIRA (Remote), inicialmente falla, pero después de que el sistema se conecte a través de CIRA, se realiza la transacción. SEÑALAR El tiempo que tardaba la corrección remota en el ejemplo anterior depende en gran medida de la velocidad de la red. Cuando se ha arrancado en la imagen, se tarda la misma cantidad de tiempo que el arranque de emergencia en el momento si lo ha hecho manualmente. En realidad sigue el mismo proceso, pero de manera automatizada.
Ejemplo de uso del caso 2:
El proceso de corrección remota se ha realizado correctamente y el usuario ha obtenido acceso a Windows. El usuario puede ofrecer su presentación, pero no tiene conexión con el servidor de ePO corporativo..
En este caso, el usuario debe volver a realizar el mismo proceso cuando reinicie su cliente. Esta acción es el caso, si el arranque previo se ha dañado, el cliente se habría iniciado con emergencia. No se puede reparar hasta que el cliente pueda comunicarse correctamente con el servidor de ePO.
¿Cómo funciona la corrección remota?
En un nivel alto, una pequeña imagen de disco (1.44 MB de tamaño, pero solo se emplea 300k, se inserta a través de AMT en el sistema cliente. Cuando se recibe en el cliente, se reinicia y se inicia mediante una red de arranque desde IDE-R. A continuación, esa imagen realiza las acciones de corrección necesarias e inicia el proceso para arrancar Windows. Otros datos generales de corrección remota:
La corrección remota solo funciona en equipos con un proceso de arranque de la BIOS.
Funcionalidad de corrección remota necesariamente funciona en un entorno UEFI. La redirección de IDE no funciona en UEFI y esta funcionalidad es necesaria para la corrección remota.
Las acciones posibles para la corrección remota son las siguientes:
La primera es realizar un arranque de emergencia
La segunda es sustituir la MBR.
Otros hechos de la función Administrador de corrección remota:
Para utilizar la funcionalidad de corrección remota, un administrador selecciona uno o varios sistemas y, a continuación, selecciona la opción ' fuera de banda: corrección ' como acción. Por último, especifica 'Arranque de emergencia' o ' Restaurar MBR de cifrado de endpoints', antes de hacer clic VALE.
Lo siguiente se aplica a un administrador para recibir notificaciones sobre el progreso de la corrección remota:
El administrador solo se informa de que se ha iniciado y de que ha finalizado.
Al finalizar, se le indica al administrador si se ha realizado correctamente.
El registro de auditoría del cliente solo se devuelve a ePO en la siguiente Agent a la comunicación del servidor (ASCI).
El administrador puede ejecutar una consulta sobre los eventos de cliente para localizar los clientes con un evento de desbloqueo.
Un administrador podría querer sustituir el MBR si:
Un producto de terceros sobrescribió accidentalmente el MBR, mientras el sistema estaba cifrado
O
Si el sistema estaba infectado con una MBR virus
En ambos casos, es necesario volver a poner el sistema en Windows de modo que cualquier otra corrección podría llevarse a cabo.
Al seleccionar una corrección, un administrador puede seleccionar una imagen de disco específica. Existen distintas imágenes para el arranque de la BIOS y la corrección de Opal y no Opal.
Automático es la opción predeterminada y la que debe utilizar siempre, a menos que se indique lo contrario. La opción automático utiliza la información recibida del cliente para seleccionar la imagen correcta. Si la información no está disponible, no realiza la corrección. Esta opción le permite especificar la imagen exacta que se envía al equipo.
ASPECTO Si el administrador selecciona una imagen de disco incorrecta para el cliente, para cuando la imagen se seleccione manualmente. La interfaz de usuario indica que podría dañar el disco mediante la imagen incorrecta. Esta opción se ha agregado para el evento cuando el proveedor de cifrado o el tipo de BIOS no están disponibles.
Otros aspectos de la experiencia del usuario de corrección remota:
Notificación del progreso de la corrección remota al usuario.Aparecerá un mensaje en la pantalla cuando se haya descargado la imagen y se inicie el proceso de corrección. SEÑALAR La descarga de la imagen en el cliente a través de AMT, en algunos casos puede ver un glifo intermitente en la esquina superior derecha de la pantalla. Esta luz indica que AMT está recibiendo tráfico de red. De nuevo, la duración depende en gran medida del tráfico y la velocidad de la red. Si la red es rápida, el usuario podría ver Windows carga repentinamente.
Cuando se realiza una corrección remota, es posible que un usuario no vea el glifo intermitente. Esa funcionalidad solo se incluye en la versión 7 de AMT. Por lo tanto, si tiene la versión 6 de AMT, no la verá.
Cuando un usuario realiza una corrección remota, se queda fuera de tiempo y debe abandonar su ubicación actual, no es necesario que inicie de nuevo todo el proceso. El motivo es que el proceso vuelve a iniciarse automáticamente. Cuando el administrador ha agregado la solicitud de corrección remota, se encuentra en la cola de acciones hasta que se haya completado. O bien el administrador la eliminará. El resultado es que intenta realizar la corrección cada vez que se cambia al cliente hasta que se realiza correctamente.
¿Cómo se inicia la corrección remota en el cliente cuando es local?
A continuación se ofrece una descripción general del proceso cuando el sistema cliente está conectado a la red de la empresa local:
El usuario inicia el sistema y descubre que no funciona.
El usuario llama al administrador y le pide ayuda.
El administrador selecciona la acción de corrección adecuada y la acción empieza a procesarse inmediatamente. Esta acción también se conoce como SILA (Server Initiated Local Access).
Si se encuentra el sistema cliente y se puede conectar a, se inicia el redireccionamiento y se repara el sistema automáticamente.
No obstante, si el sistema cliente no se encuentra en la red local, la acción falla y el estado permanece como pendiente en la cola. Esta situación solo se puede procesar cuando el sistema llama. En esta situación, el sistema no puede llamar porque el arranque previo se ha interrumpido. Así que también podría utilizarse un flujo similar descrito en el siguiente caso.
¿Cómo se inicia la corrección remota en el cliente cuando se trata de un sistema remoto?
A continuación se ofrece una descripción general del proceso cuando el sistema está conectado a través de una red pública:
El usuario inicia el sistema y descubre que no funciona.
El usuario llama al administrador y le pide ayuda
El administrador selecciona la acción de corrección adecuada y la acción empieza a procesarse inmediatamente. En esta situación, la acción falla debido a que no puede encontrar el sistema en la red de la empresa.
El administrador pide al usuario que inicie una "llamada para obtener ayuda" desde el BIOS. Esta llamada varía de un OEM a otro. No obstante, suele estar en las opciones de arranque y en algunos sistemas simplemente se puede pulsar CTRL + ALT + F1.
Cuando se selecciona esta opción, el sistema se conecta a Stunner (Deep Command Gateway Services). A continuación, el controlador de Agent detecta este servicio y envía un mensaje a Deep Command.
Deep Command procesa la acción asociada con el sistema. En este caso, es la acción de corrección.
SEÑALAR La corrección sobre CIRA puede tardar bastante más que al realizar la misma acción dentro de la empresa. En algunos sistemas, podría tardar hasta 20 minutos en función del uso de la red durante el procesamiento. Volver al contenido
Ocurrelos informes pueden utilizar un administrador para saber que la acción AMT se ha completado correctamente en el cliente.
DE solo tiene una acción del lado del servidor, que es para la corrección. Para determinar si se ha completado, un administrador debe consultar el registro de tareas servidor de ePO. Se consigue ejecutando una consulta en el registro de auditoría de eventos para ver los eventos de cliente. Todas las demás acciones (desbloquear/restablecer, contraseña de usuario) se inician por el cliente. Cuando el administrador configura estas acciones, hay una entrada en el registro de auditoría de usuario de ePO para registrar que la solicitud se ha agregado a la cola DE acciones "DE: fuera de banda". A continuación, cuando el PBA del cliente solicita ayuda, crea un elemento de auditoría en el cliente. Este elemento de auditoría se envía a ePO en el siguiente ASCI cuando se carga Windows. Estos eventos aparecen en la consulta ' DE: eventos DE cliente de producto '.
¿Qué informes o registros puede ver un administrador para determinar qué y dónde se ha producido el error y no se ha podido completar la acción correctamente?
El administrador debe consultar las consultas AMTService. log y DE: Product Client Events.
¿Dónde puede ver un administrador que una (o más) de las acciones de AMT se ha completado correctamente en un cliente (o en varios clientes)?
Ejecute la consulta DE evento DE cliente DE: producto.
Puede un administrador crear informes sobre las acciones de AMT, por ejemplo, para mostrar cuántos sistemas han arrancado automáticamente hoy mediante la funcionalidad de desbloqueo remoto.
Ejecute la consulta "DE: Product Client Events" con un filtro adecuado. Esta consulta se basa en los sistemas que se han comunicado correctamente con el servidor de ePO para enviar la información de auditoría.
Ocurrela solución de problemas puede llevar a cabo un administrador para un problema de fuera de banda de AMT. ¿Cuáles son los primeros pasos que deben realizar?
El administrador debe determinar si el problema proviene de una tarea CILA (local) o de una tarea CIRA (remota).
En caso de que se haya realizado una tarea de CIRA (remota), ¿qué hace el administrador ahora?
Solicite al administrador que arranque el sistema cliente y acceda al BIOS. O arranque en Windows, y utilice el estado de administración y seguridad de Intel para solicitar ayuda. Pídales que busquen en el archivo ' AMTService. log ' para ver si se ha recibido una solicitud. En tal caso, la llamada DE soporte implica DE Soporte técnico. En caso contrario, implica Soporte técnico de comandos Deep.
¿Qué ocurre si el problema fuera de banda de AMT procede de una tarea CILA (local)?
Solicite al administrador que utilice la acción Deep Command para arrancar el cliente en la BIOS. Si se realiza correctamente, la llamada DE soporte implica DE Soporte técnico. En caso contrario, implica Soporte técnico de comandos Deep.
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.