Notas de la edición de SafeGuard Easy y Sophos SafeGuard Disk Encryption 5.60.0

Notas de la edición de SafeGuard Easy (SGE) y Sophos SafeGuard Disk Encryption (SDE) 5.60.0

Ocurre en los siguientes productos de Sophos

SafeGuard Easy 5.60.0
Sophos SafeGuard Disk Encryption 5.60.0

A menos que se indique lo contrario, la información siguiente hace referencia tanto a SafeGuard Easy como a Sophos SafeGuard Disk Encryption.

Requisitos

*  Para realizar la instalación, es necesario un mínimo de 300 MB de espacio libre en el disco duro. Para utilizar el cifrado de dispositivos, al menos 100 de ellos deben ser continuos. Si dispone de menos de 5 GB libres en el disco duro y el sistema operativo no se ha instalado recientemente, para aumentar las posibilidades de contar con este espacio continuo disponible, se recomienda desfragmentar el disco antes de realizar la instalación. De lo contrario, puede producirse un error.

** Espacio en memoria recomendado para el equipo. SafeGuard Easy no lo utiliza en su totalidad. 

Software necesario:

Device Encryption / Data Exchange:
Internet Explorer versión 6.0 o posterior

Policy Editor:
.NET Framework 3.0 SP1

Problemas resueltos

• Corrección de la posible vulnerabilidad de la seguridad descrita en KBA112655

• En determinadas circunstancias, SGNRUNTimeClient provocaba una pantalla azul en Windows Vista de 64 bits

• Otros problemas resueltos


Problemas conocidos

Cliente de Data Exchange (solo SafeGuard Easy)

• Elevación de usuario para ejecutables cifrados
Al iniciar un ejecutable cifrado o un paquete de instalación que exige elevación de privilegios en Windows Vista o Windows 7, es posible que no se produzca la elevación y que el ejecutable no se inicie.

• Acceso directo a SafeGuard Portable en unidades de solo lectura
El acceso directo a SafeGuard Portable desde el directorio raíz de unidades extraíbles de solo lectura puede no funcionar en ciertas condiciones (Windows 7). Al insertar el disco en un dispositivo cuya letra de unidad difiere de la que tenía cuando se copió, el acceso directo a SafeGuard Portable no funciona si dicha letra de unidad se encuentra disponible también en el dispositivo. Por ejemplo: el acceso directo a SafeGuard Portable se creó en la unidad D:. Después, el soporte se utiliza en la unidad E: de otro equipo. El acceso directo no funcionará si el equipo dispone también de una unidad D:. De lo contrario, el enlace funciona según lo previsto.

• Acceso al juego de claves tras cerrar una sesión remota
No se puede acceder al juego de claves del usuario tras cerrarse una sesión remota. Debe reiniciar el equipo para recuperar el acceso al juego de claves del usuario. No es suficiente con reiniciar la sesión.

Cliente de Device Encryption

• La opción de arranque en modo seguro de Windows, las actualizaciones del controlador de gráficos y la accesibilidad desde Windows PE pueden verse afectadas según la versión de la BIOS instalada
Se ha observado que las versiones de la BIOS actuales (consulte la información descrita en el artículo de la base de conocimiento que se menciona a continuación) llevan a pantallas negras cuando la tarjeta gráfica está controlada por el controlador genérico de Windows, en lugar del controlador específico del fabricante, y SafeGuard Enterprise está instalado. Aunque no es una configuración habitual durante el funcionamiento normal del sistema operativo, en algunos casos, esta es la situación predeterminada: 

- Cuando el usuario decide iniciar Windows en el modo seguro 
- Cuando el equipo se ha iniciado en Windows PE desde un medio externo 
- Cuando el controlador de gráficos del fabricante se actualiza de forma improvisada mientras Windows está en funcionamiento

Cuando el programa de instalación de SGN detecta que la BIOS del equipo coincide con la versión afectada, 
- y que el controlador de gráficos genérico de Windows está en funcionamiento, se anulará la instalación para evitar bloquear completamente el acceso al equipo.
- y el controlador predeterminado de la tarjeta gráfica está en funcionamiento, aparecerá un aviso que sugiere cambiar la versión de la BIOS y el usuario deberá confirmar si desea continuar con la instalación.

Solución:
Instale cualquiera de las versiones de la BIOS recomendadas que se enumeran en el artículo http://esp.sophos.com/support/knowledgebase/article/113426.html.
Sophos está en contacto con los proveedores de hardware y BIOS para solucionar estos problemas. Por otra parte, se está estudiando cómo evitar que se produzcan en una próxima versión de SafeGuard Enterprise.
DEF69880

•  Se produce un error al reanudar ciertos sistemas Lenovo con Win 7 SP1 para salir del modo de hibernación
Sophos ha identificado recientemente un problema con Windows 7 Service Pack 1 (32 y 64 bits) en equipos Lenovo con procesadores Core i3/i5/i7 y el conjunto de chips correspondiente. En dichos equipos, cuando Safeguard Easy está instalado, no es posible reanudar el sistema para salir del modo de hibernación. Los equipos se bloquean con una pantalla negra después de la autenticación en el arranque. Por el momento, el problema ha aparecido en los modelos de Lenovo siguientes: T510, X201, W701ds.

Los equipos sin el Service Pack 1 no se han visto afectados.

Hasta la fecha, los sistemas equipados con procesadores Intel Core lx de otros proveedores (por ejemplo, DELL o HP) tampoco han presentado problemas. Sin embargo, el problema no solo se produce con la versión 5.60, sino también con la versión 5.50.8.
Para más información, consulte el artículo http://esp.sophos.com/support/knowledgebase/article/113546.html.
DEF69434

• La hora de las entradas del inicio de sesión automático de la autenticación en el arranque que aparecen en el visualizador de eventos de Management Center es incorrecta
Si no se ha iniciado sesión en Windows previamente, la autenticación en el arranque etiqueta los eventos con la fecha proporcionada por la BIOS. La fecha local del equipo no contiene información sobre la zona horaria, por lo que las entradas del registro pueden no aparecer en orden cronológico en Management Center. Al reiniciar Windows, la autenticación en el arranque se actualiza con la configuración correspondiente de la zona horaria y los eventos se registran con la hora correcta.
DEF69645

• No es posible cambiar el tamaño de las particiones
No es posible cambiar el tamaño de ninguna partición en los equipos que tienen SafeGuard Easy Volume Based Encryption instalado.

• Local Self Help se desactiva de forma silenciosa cuando el usuario cambia la contraseña en otro equipo
Cuando un usuario de SafeGuard Easy está registrado en más de un equipo con Local Self Help activado, al cambiar la contraseña en un equipo, se desactiva esta función en el resto de equipos. Al volver a iniciar sesión en esos otros equipos, no aparece ningún aviso sobre este cambio.
Solución:
Vuelva a activar Local Self Help en todos los equipos. Para ello, deberá volver a responder a las preguntas del asistente para la activación de Local Self Help.
DEF62926

• El proceso de instalación de SafeGuard Easy debe iniciarse dentro de una sesión con derechos de administrador. No es posible iniciar la instalación desde la opción "Ejecutar como administrador".

• Instalación del paquete de configuración del cliente
Tras instalar el paquete de configuración del cliente, es necesario esperar entre 5 y 10 segundos para reiniciar el sistema. Después de reiniciar el sistema, se recomienda esperar alrededor de 3 minutos antes de iniciar sesión en Windows. De lo contrario, la sincronización inicial del usuario puede no completarse a tiempo.

• Los dispositivos cifrados con BitLocker To Go pueden impedir la instalación de Device Encryption
Si un dispositivo USB cifrado con BitLocker To Go se encuentra conectado al equipo durante la instalación de SafeGuard Easy, se producirá un error en la instalación, ya que Windows detecta la activación de BitLocker en el sistema (una de las condiciones válidas para el fallo de la instalación del cliente de DE). Para solucionar este problema, debe desconectar los dispositivos cifrados con BitLocker to Go antes de instalar SafeGuard Easy DE.

• Tiempo de arranque
El tiempo de arranque aumenta en aproximadamente un minuto después de instalar el cliente de SafeGuard Easy.

• Se recomienda reiniciar el sistema tras activar la autenticación en el arranque de SafeGuard Easy. SafeGuard Easy realiza una copia de seguridad de los datos del kernel cada vez que se reinicia el sistema. La copia de seguridad no se realiza si el sistema se encuentra hibernando o en modo de espera.


Cifrado

• En algunos discos OPAL de Toshiba, puede producirse un error en el cifrado si la primera partición no está colocada al principio del disco
La especificación de almacenamiento TCG OPAL para unidades con autocifrado (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal) exige que exista una sección instantánea del registro de arranque maestro de un tamaño mínimo de 128 MB. Si no se puede acceder totalmente a esta sección, como en el caso de los discos OPAL de Toshiba con la versión MGT00A del firmware, y el sector de inicio de la partición de inicio del sector se encuentra entre los sectores de la sección inaccesible, SafeGuard Easy no puede activar el cifrado de OPAL para dicha unidad.
Toshiba es consciente del problema y tiene intención de corregirlo en las próximas versiones del firmware para estas unidades.
Solución: coloque la partición de inicio al principio del disco
DEF69429

• Restricciones de OPAL
A partir de la versión 5.60, la compatibilidad de SafeGuard Easy con unidades OPAL con autocifrado presenta ciertas limitaciones: 
- Solo es posible activar el cifrado de una unidad OPAL en cada equipo.
- Si existe más de una unidad OPAL y la política de cifrado se asigna a cualquiera de los volúmenes, dichos volúmenes se cifrarán como si se tratase de una unidad sin autocifrado.
Por lo tanto, las configuraciones de RAID con más de una unidad OPAL se cifrará siempre.
- En el caso de las unidades OPAL que contienen más de un volumen, el estado de activación del cifrado se aplica a todos los volúmenes de forma simultánea.
- El primer sector de la partición de inicio del disco debe estar colocado en los primeros 128 MB.
DEF69695

• No utilice la suspensión híbrida de Windows en equipos OPAL
En los equipos con unidades OPAL con autocifrado administradas con SGN, al activar la opción "Permitir suspensión híbrida" en la configuración avanzada de la energía, pueden producirse errores durante el procedimiento de reanudación posterior a períodos de suspensión, que pueden provocar la pérdida de todos los datos que no se hayan guardado en el disco con anterioridad.
DEF70019

• Las unidades OPAL con autocifrado dejan de funcionar cuando se pierde la clave de cifrado
Según la especificación de almacenamiento TCG OPAL para unidades con autocifrado (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal), no es posible acceder a unidades activadas cuando se pierden las credenciales para desbloquearlas.
Por lo tanto, el disco queda inservible, en contraposición a lo que ocurre con los discos cifrados con software, en los que los datos también se pierden, pero el hardware puede seguir utilizándose una vez reformateado.
SafeGuard Easy almacena de forma automática las claves de cifrado en la base de datos en cuanto se aplica la política de cifrado (en el caso de los clientes administrados) o solicita al usuario que guarde el archivo de la clave (en el caso de los clientes independientes) pero, si se pierden estos datos, se produce la situación descrita anteriormente.
DEF69207

• Para volver a formatear o crear imágenes de unidades OPAL con autocifrado, es necesario desbloquearlas de forma permanente
Para reformatear o volver a crear imágenes de unidades con autocifrado, es necesario devolverlas a la configuración predeterminada de fábrica. Cuando esto no es posible mediante un cifrado "normal" o mediante la desinstalación de SafeGuard Easy, se puede utilizar la herramienta OPALEmergencyDecrypt.exe para restaurar de forma permanente la unidad administrada con SafeGuard Easy. Por razones de seguridad, esta aplicación no está incluida en la carpeta de herramientas, pero puede solicitarla al servicio de atención al cliente de Sophos.
DEF69207

• Se produce un error en la reanudación posterior a períodos de suspensión cuando el controlador MSAHCI de Windows está instalado en un equipo con una unidad OPAL activada
Al intentar reanudar un equipo después de utilizar el modo de suspensión, si el controlador del disco duro MSAHCI de Microsoft está instalado, se produce un error. MSAHCI solo existe en los sistemas operativos Windows Vista o posteriores, por lo que este problema no aparece con Windows XP.

Soluciones: 
- Si la configuración del hardware lo permite, utilice el controlador IAStore correspondiente en lugar de MSAHCI. La versión 10.1.0.1008 del paquete del controlador RST de Intel ha dado buenos resultados en las pruebas.
- Cambie la configuración del controlador del disco duro en la BIOS (por ejemplo, modo SATA, modo controlador ATA, modo controlador IDE, etc.) por el modo de compatibilidad. Para ello, en la mayoría de BIOS, es necesario seleccionar valores que no sean AHCI (por ejemplo, IDE, compatibilidad, etc.).
DEF66126

• Problemas para la seguridad al utilizar unidades de estado sólido
Las unidades de estado sólido actuales no permiten que ningún programa (ni el sistema operativo) pueda determinar la ubicación física exacta de los datos en la unidad. Los controladores son un componente esencial de estas unidades y tienen un comportamiento externo similar al de un disco, pero la función interna es totalmente distinta.
Esto afecta a la seguridad de los datos almacenados de varias formas, que se describen en el artículo de la base de conocimiento 113334. La más importante es la siguiente:
Los únicos datos criptográficamente seguros son aquellos guardados en el volumen de la unidad de estado sólido después de haber activado una política de cifrado. Por lo tanto, no es posible garantizar que los datos presentes en la unidad antes de iniciar el proceso de cifrado de SafeGuard Easy desaparecerán completamente una vez finalizado el cifrado inicial.
Tenga en cuenta que este problema concierne a todos los sistemas de cifrado completo de discos basados en software y no es un problema específico de SafeGuard Easy.
DEF68440

• El cifrado basado en volúmenes de las unidades eSATA no funciona según lo previsto
En estos momentos, la mayoría de unidades eSATA no se dan a conocer como dispositivos extraíbles. Por eso, SafeGuard Easy las considera unidades internas y les impone las políticas correspondientes. Sophos recomienda no utilizar unidades eSATA en los entornos de cifrado completo de discos de SafeGuard Easy, a menos que las políticas de cifrado que se apliquen tengan en cuenta dicha situación.
DEF65729, DEF66438, DEF58796

• Fallo en ciertos dispositivos de memoria USB
Ciertos modelos de memorias USB indican un tamaño de almacenamiento incorrecto (normalmente, mayor que el tamaño real). En estos modelos, el cifrado inicial del dispositivo fallará y se perderán los datos. Sophos recomienda utilizar el cifrado de archivos (módulo DX) para unidades extraíbles.

• Cifrado de unidades virtuales
Las unidades virtuales montadas en el sistema (por ejemplo, los archivos VHD montados con MS Virtual Server) se consideran unidades locales y, por lo tanto, se cifrarán si se ha definido una política que tenga activada la opción de cifrado para ‘otros volúmenes’.

• Durante el cifrado inicial de la partición del sistema (es decir, la partición que contiene el archivo hiberfil.sys), se debe evitar la suspensión a disco, ya que puede fallar. Tras el cifrado inicial de la partición del sistema, es necesario reiniciar el sistema para que la opción suspender a disco vuelva a funcionar sin problemas.


General

• SafeGuard Easy desactiva la función AutoAdminLogon de Windows
Por razones de seguridad, el cliente de SafeGuard Easy desactiva la función AutoAdminLogon de Windows.

• Después de actualizar un cliente de SafeGuard Easy o Sophos Disk Encryption, es necesario reiniciar el sistema para poder aplicar un paquete de configuración nuevo
No es posible actualizar clientes con versiones nuevas y aplicar paquetes de configuración de forma simultánea. Después de realizar una actualización, es obligatorio reiniciar el sistema para poder aplicar un paquete de configuración nuevo. De lo contrario, no se aplicarán los cambios correspondientes.
DEF68409

• Cliente de Novell
Para poder utilizar el cliente de SafeGuard Easy junto con el cliente de Novell, es necesario realizar ciertos cambios. Póngase en contacto con el soporte técnico de Sophos para más información.

• El cambio rápido de usuario no es compatible y debe desactivarse.

• Disquetera
Tras la instalación de SafeGuard Device Encryption en Windows Vista, la disquetera deja de estar disponible. Esta limitación no afecta a las disqueteras externas que se conectan a través del bus USB.

• Es posible saltarse la imposición de la política de historial de contraseñas de SafeGuard Easy durante el cambio de contraseña por la imposición del administrador del sistema.

• No es posible modificar los paquetes originales del instalador MSI del producto de Sophos. Si necesita modificar alguna opción, aplique un archivo de transformación de Microsoft. En la base de conocimiento de Sophos, encontrará una lista de todos los cambios posibles. Las modificaciones de desviación no son compatibles y pueden dar lugar a comportamientos no especificados del producto.

Windows XP

• En ciertos equipos con Windows XP (SP2 y anteriores), al reanudar el sistema en modo de espera, se produce un error que abre directamente el escritorio del usuario, en lugar del escritorio bloqueado. Este problema se produce también en los equipos con SafeGuard Easy y debería solucionarse a partir de Windows XP SP3.

• El kernel de Microsoft Windows XP tiene ciertas limitaciones técnicas. Si instala varios controladores de filtrado del sistema de archivos (por ejemplo, programas antivirus), se puede agotar la memoria. En este caso, podría producirse un error fatal del sistema (pantalla azul). Sophos no se hace responsable de esta limitación de Windows y no puede solucionar el problema.


Compatibilidad

• SafeGuard LanCrypt debe repararse al desinstalar el cliente de SafeGuard Enterprise en el mismo equipo
Al desinstalar SafeGuard Enterprise 5.60 en un ordenador de sobremesa que tenga el cliente SafeGuard LanCrypt (SGLC) instalado, cuando el usuario intenta cargar el conjunto de claves de SGLC, se produce un error en la unidad interna.
Solución:
Realice una instalación de reparación del paquete del cliente de SafeGuard LanCrypt.
DEF69644

• SafeGuard Removable Media y SafeGuard Easy no se pueden ejecutar en el mismo equipo
Para utilizar cualquiera de los componentes de SafeGuard Easy en un equipo, es necesario desinstalar el producto SafeGuard Removable Media, ya descatalogado.
DEF69092

• Agente de Empirum Security Suite
Cuando el cliente de SafeGuard Easy 5.50 se instala en un sistema con el agente de Empirum Security Suite, se puede producir el siguiente error fatal del sistema:

Pantalla azul con código de error 0x00000044 MULTIPLE_IRP_COMPLETE_REQUESTS

El problema está provocado por uno de los componentes de Empirum Software. Empirum Security Suite incluirá un parche para solucionarlo.
Para obtener más información y conocer las últimas novedades sobre este problema, póngase en contacto con el soporte de Matrix42.

• Lenovo Rescue and Recovery
Para obtener información sobre las versiones de Rescue and Recovery compatibles con SafeGuard Easy, consulte el artículo de la base de conocimiento: http://esp.sophos.com/support/knowledgebase/article/108383.html

• No se ofrece soporte para herramientas de creación de imágenes de disco, ya que no se ha probado su compatibilidad.

Tokens y tarjetas inteligentes (solo SafeGuard Easy)

• Al reanudar clientes de Windows XP para salir del modo de hibernación, si se utiliza el eToken Aladdin de 72k (Java) para la autenticación, puede aparecer una pantalla azul. Por eso, y dado que podrían perderse los datos no guardados al aparecer la pantalla azul, la hibernación en Windows XP en combinación con los eToken Aladdin de 72k (Java) no es compatible en estos momentos.
DEF66421

• Al utilizar el middleware para tarjetas inteligentes .NET de Gemalto, no se detecta correctamente la desconexión de los lectores USB de tarjetas inteligentes
En estos casos, el escritorio no se bloquea de forma automática. Sin embargo, al retirar las tarjetas inteligentes del lector, no se ha observado ningún problema.
DEF66637

• Al utilizar el middleware Gemalto Classic, el modo de inicio de sesión no criptográfico no funciona durante la autenticación en el arranque
DEF67495

• Los tokens TCOS no son compatibles con Windows Vista
DEF67397, DEF67386

• Las notificaciones de ActivIdentity hace que Winlogon.exe se bloquee
En ciertos sistemas Windows XP, Winlogon.exe puede bloquearse si las notificaciones de ActivClient están activadas.
Solución:
Desactive las notificaciones de ActivClient en las opciones de la configuración avanzada de ActivIdentity
DEF60040

Productos antivirus probados con SafeGuard Device Encryption
El cifrado de unidades de SGN ha demostrado ser compatible con los productos antivirus de Sophos, además de:

Volver a la página de notas de la edición de SafeGuard