Notas de la edición de SafeGuard Easy 6.0

  • N.º del artículo: 114139
  • Actualizado: 10 abr 2012

Notas de la edición de SafeGuard Easy (SGE) 6.0

Afecta a los siguientes productos de Sophos

SafeGuard Easy 6.0

Requisitos

Plataformas compatibles 32 bits 64 bits IA-64 (Itanium)
de 64 bits
espacio libre
en disco recomendado
Memoria
RAM (como mínimo)
SafeGuard Easy: cifrado de dispositivos, intercambio de datos, sistemas de almacenamiento en la nube
Windows 7, SP1 Enterprise/Ultimate/Professional/Home Premium  no compatible 300 MB* 1 GB**
Windows Vista SP1, SP2 Enterprise/Ultimate/Business  no compatible
Windows XP Professional SP2, SP3

 no

 no compatible
SafeGuard Easy: editor de políticas
Windows 7, SP1 Enterprise/Ultimate/Professional

 no compatible

1 GB 1 GB**
Windows Vista SP1, SP2 Enterprise/Ultimate/Business

 Sí

 no compatible
Windows XP Professional SP2, SP3

 

no
 no compatible
Windows Server 2008 SP1, SP2  no compatible 1 GB

1 GB**

Windows Server 2008 R2, SP1  no  no compatible
Windows Server 2003 SP1, SP2  no compatible
Windows Server 2003 R2 SP1, SP2  no compatible
Windows Small Business Server 2003, 2008, 2011 no compatible

* Para la instalación, son necesarios al menos 300 MB de espacio libre en el disco. Para utilizar el cifrado de dispositivos, al menos 100 de ellos deben ser continuos. Si dispone de menos de 5 GB libres en el disco duro y el sistema operativo no se ha instalado recientemente, para aumentar las posibilidades de contar con este espacio continuo disponible, se recomienda desfragmentar el disco antes de realizar la instalación. De lo contrario, puede producirse un error.

** Espacio en memoria recomendado para el equipo. SafeGuard Easy no lo utiliza en su totalidad.

Software necesario

  • SafeGuard Device Encryption / Data Exchange / Cloud Storage:
    Internet Explorer versión 6.0 o posterior
  • SafeGuard Policy Editor:
    .NET Framework 4.0

Cambios destacables

Hemos modificado el comportamiento predeterminado de las siguientes funciones:

Contador de inicios de sesión fallidos

Hemos unido los contadores de inicios de sesión fallidos del equipo y del usuario. El número máximo de inicios de sesión fallidos se evalúa ahora solamente con respecto al equipo, en lugar de los usuarios. Por lo tanto, si se supera el número de intentos de inicio de sesión fallidos consecutivos, el equipo se bloquea independientemente del usuario. Las opciones definidas en la política para los contadores de cada usuario ya no se tienen en cuenta.

Aplicaciones sin identificar

La opción de excluir ciertas aplicaciones del cifrado basado en archivos (es decir, DX) se ha eliminado de la política de protección de dispositivos. Puesto que también afecta al módulo de cifrado basado en archivos recién introducido para sistemas de almacenamiento en la nube Cloud Storage, la opción se ha trasladado a la política de configuración general. Los clientes más recientes (SGE 6.0 o posteriores) no tienen en cuenta la opción de la política antigua y, por lo tanto, es necesario especificar las aplicaciones a excluir en la política de configuración general.

Paquetes de configuración del cliente

Con las versiones anteriores a SafeGuard Easy 6.0, los paquetes de configuración del cliente creados con una versión anterior se podían instalar en clientes nuevos (por ejemplo, un paquete creado con la versión 5.50.8 en clientes de la versión 5.60.1). A partir de la versión 6.0, ya no es posible. La versión del paquete de configuración del cliente debe coincidir con la versión del cliente. Sin embargo, los clientes actualizados no necesitan nuevos paquetes de configuración.

Problemas conocidos

SafeGuard Data Exchange

No aparecen todas las opciones al utilizar un dispositivo como "dispositivo portátil"
Al utilizar un medio extraíble en el modo de dispositivo portátil, algunas de las opciones específicas de SafeGuard Data Exchange no están disponibles en el Explorador de Windows. No aparecen los iconos superpuestos que indican el estado del cifrado de los archivos ni la opción de SGN DX en el menú contextual de los archivos. Sin embargo, las políticas de cifrado correspondientes se aplican a los archivos almacenados en el dispositivo extraíble, tanto si se indica en el árbol del dispositivo portátil como en la letra de unidad asignada.
  • Elevación de usuario para ejecutables cifrados
    Al ejecutar un programa que requiere elevación de privilegios en Windows Vista o Windows 7, puede que la elevación no se lleve a cabo y que no se ejecute el programa.
  • Acceso al juego de claves tras cerrar una sesión remota
    No se puede acceder al juego de claves del usuario tras cerrarse una sesión remota. Debe reiniciar el equipo para recuperar el acceso al juego de claves del usuario. No es suficiente con cerrar la sesión y volver a iniciarla para recuperar el acceso al juego de claves.

SafeGuard Device Encryption

  • (DEF69645) La hora de las entradas del inicio de sesión automático en la POA en el visor de eventos de Management Center es incorrecta
    Si no se ha iniciado sesión en Windows previamente, la autenticación en el arranque etiqueta los eventos con la fecha proporcionada por la BIOS. La fecha local del equipo no contiene información sobre la zona horaria, por lo que las entradas del registro pueden no aparecer en orden cronológico en Management Center. Al reiniciar Windows, la autenticación en el arranque se actualiza con la configuración correspondiente de la zona horaria y los eventos se registran con la hora correcta.
  • No es posible cambiar el tamaño de las particiones
    No es posible cambiar el tamaño de ninguna partición en los equipos que tienen SafeGuard Easy Volume Based Encryption instalado.
  • (DEF62926 ) Local Self Help se desactiva de forma silenciosa cuando el usuario cambia la contraseña en otro equipo
    Cuando un usuario de SafeGuard Easy está registrado en más de un equipo con Local Self Help activado, al cambiar la contraseña en un equipo, se desactiva esta función en el resto de equipos. Al iniciar sesión en cualquiera de los otros equipos, no aparece ninguna notificación con información sobre el cambio.
    Solución:
    Vuelva a activar Local Self Help en todos los equipos. Para ello, es necesario iniciar el asistente de activación de LSH y volver a responder a todas las preguntas.
  • El proceso de instalación de SafeGuard Easy debe iniciarse dentro de una sesión con derechos de administrador. No es posible iniciar la instalación desde la opción 'Ejecutar como administrador'.
  • Instalación del paquete de configuración del cliente
    Tras instalar el paquete de configuración del cliente, es necesario esperar entre 5 y 10 segundos antes de reiniciar el sistema. Después de reiniciar el sistema, se recomienda esperar alrededor de 3 minutos antes de iniciar sesión en Windows. De lo contrario, la sincronización inicial del usuario puede no completarse a tiempo.
  • Los dispositivos cifrados con BitLocker To Go pueden impedir la instalación de Device Encryption
    Si un dispositivo USB cifrado con BitLocker To Go se encuentra conectado al equipo durante la instalación de SafeGuard Easy, la instalación fallará. Para solucionar este problema debe desconectar los dispositivos cifrados con BitLocker to Go antes de instalar SafeGuard Device Encryption.
  • Tiempo de arranque
    El tiempo de arranque aumenta alrededor de un minuto después de instalar el cliente de SafeGuard Easy.
  • Se recomienda reiniciar el sistema tras activar la autenticación en el arranque de SafeGuard Easy. SafeGuard Easy realiza una copia de seguridad de los datos del kernel cada vez que se reinicia el sistema. La copia de seguridad no se realiza si el sistema se encuentra hibernando o en modo de espera.
  • En algunos casos aislados, el acceso a las unidades flash USB con formato exFAT no se bloquea de manera uniforme al aplicar una política de cifrado de volúmenes junto con una clave definida por el usuario. En alrededor de 2 de cada 10 casos en los que las unidades USB se retiran y se vuelven a conectar, SafeGuard Easy no impone correctamente la política de denegación de acceso.(DEF54324)

Cifrado

  • (DEF69429) En algunos discos OPAL de Toshiba, puede producirse un error en el cifrado si la primera partición no está colocada al principio del disco
    La especificación de almacenamiento TCG OPAL para unidades con autocifrado (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal) exige que exista una sección instantánea del registro de arranque maestro de un tamaño mínimo de 128 MB. Si no se puede acceder totalmente a esta sección, como en el caso de los discos OPAL de Toshiba con la versión MGT00A del firmware, y el sector de inicio de la partición de inicio del sector se encuentra entre los sectores de la sección inaccesible, SafeGuard Easy no puede activar el cifrado de OPAL para dicha unidad.
    Toshiba es consciente del problema y tiene intención de corregirlo en las próximas versiones del firmware para estas unidades.
    Solución: coloque la partición de inicio al principio del disco.
  • (DEF69695) Restricciones de OPAL
    A partir de la versión 5.60, la compatibilidad de SafeGuard Easy con unidades OPAL con autocifrado presenta ciertas limitaciones:
    • Solo es posible activar el cifrado de una unidad OPAL en cada equipo.
    • Si existe más de una unidad OPAL y la política de cifrado se asigna a cualquiera de los volúmenes, dichos volúmenes se cifrarán como si se tratase de una unidad sin autocifrado.
      Por lo tanto, las configuraciones de RAID con más de una unidad OPAL se cifrarán siempre.
    • En el caso de las unidades OPAL que contienen más de un volumen, el estado de activación del cifrado se aplica a todos los volúmenes de forma simultánea.
    • El primer sector de la partición de inicio del disco debe estar colocado en los primeros 128 MB.
    • (DEF70019) No utilice la suspensión híbrida de Windows en equipos OPAL
      En los equipos con unidades OPAL con autocifrado administradas con SGE, al activar la opción 'Permitir suspensión híbrida' en la configuración avanzada de la energía, pueden producirse errores durante el procedimiento de reanudación posterior a períodos de suspensión, que pueden provocar la pérdida de todos los datos que no se hayan guardado en el disco con anterioridad.
    • (DEF69207) Las unidades OPAL con autocifrado dejan de funcionar cuando se pierde la clave de cifrado
      Según la especificación de almacenamiento TCG OPAL para unidades con autocifrado (http://www.trustedcomputinggroup.org/resources/storage_work_group_storage_security_subsystem_class_opal), no es posible acceder a unidades activadas cuando se pierden las credenciales para desbloquearlas.
      Por lo tanto, el disco queda inservible, en contraposición a lo que ocurre con los discos cifrados con software, en los que los datos también se pierden, pero el hardware puede seguir utilizándose una vez formateado.
      SafeGuard Easy almacena de forma automática las claves de cifrado en la base de datos en cuanto se aplica la política de cifrado (en el caso de los clientes administrados) o solicita al usuario que guarde el archivo de la clave (en el caso de los clientes independientes) pero, si se pierden estos datos, se produce la situación descrita anteriormente.
    • (DEF69207) Para volver a formatear o crear imágenes de unidades OPAL con autocifrado, es necesario desbloquearlas de forma permanente
      Para reformatear o volver a crear imágenes de unidades con autocifrado, es necesario devolverlas a la configuración predeterminada de fábrica. Cuando esto no es posible mediante un cifrado "normal" o mediante la desinstalación de SafeGuard Easy, se puede utilizar la herramienta OPALEmergencyDecrypt.exe para restaurar de forma permanente la unidad administrada con SafeGuard Easy. Por razones de seguridad, solo es posible obtener esta herramienta a través del servicio de atención al cliente de Sophos.
    • (DEF66126) Se produce un error en la reanudación posterior a períodos de suspensión cuando el controlador MSAHCI de Windows está instalado en un equipo con una unidad OPAL activada
      Al intentar reanudar un equipo después de utilizar el modo de suspensión, si el controlador del disco duro MSAHCI de Microsoft está instalado, se produce un error. MSAHCI solo existe en los sistemas operativos Windows Vista o posteriores, por lo que este problema no aparece con Windows XP.
      Soluciones:
      • Si la configuración del hardware lo permite, utilice el controlador IAStore correspondiente en lugar de MSAHCI. La versión 10.1.0.1008 del paquete del controlador RST de Intel ha dado buenos resultados en las pruebas.
      • Cambie la configuración del controlador del disco duro en la BIOS (por ejemplo, modo SATA, modo controlador ATA, modo controlador IDE, etc.) por el modo de compatibilidad. Para ello, en la mayoría de BIOS, es necesario seleccionar valores que no sean AHCI (por ejemplo, IDE, compatibilidad, etc.).
    • (DEF68440) Problemas para la seguridad al utilizar unidades de estado sólido (SSD)
      Las unidades de estado sólido actuales no permiten que ningún programa (ni el sistema operativo) pueda determinar la ubicación física exacta de los datos en la unidad. Los controladores son un componente esencial de estas unidades y tienen un comportamiento externo similar al de un disco, pero la función interna es totalmente distinta.
      Esto afecta a la seguridad de los datos almacenados de varias formas, que se describen en el artículo de la base de conocimiento 113334. La más importante es la siguiente:
      Los únicos datos criptográficamente seguros son aquellos guardados en el volumen de la unidad de estado sólido después de haber activado una política de cifrado. Por lo tanto, no es posible garantizar que los datos presentes en la unidad antes de iniciar el proceso de cifrado de SafeGuard Easy desaparecerán completamente una vez finalizado el cifrado inicial.
      Tenga en cuenta que este problema concierne a todos los sistemas de cifrado completo de discos basados en software y no es un problema específico de SafeGuard Easy.
    • (DEF65729, DEF66438, DEF58796) El cifrado basado en volúmenes de las unidades eSATA no funciona según lo previsto
      En estos momentos, la mayoría de unidades eSATA no se dan a conocer como dispositivos extraíbles. Por eso, SafeGuard Easy las considera unidades internas y les impone las políticas correspondientes. Sophos recomienda no utilizar unidades eSATA en los entornos de cifrado completo de discos de SafeGuard Easy, a menos que las políticas de cifrado que se apliquen tengan en cuenta dicha situación.
    • Fallo en ciertos dispositivos de memoria USB
      Ciertos modelos de memoria USB indican un tamaño de almacenamiento incorrecto (normalmente mayor que el tamaño real). En estos modelos, el cifrado inicial del dispositivo fallará y se perderán los datos. Sophos recomienda utilizar el cifrado de archivos en unidades extraíbles.
    • Cifrado de unidades virtuales
      Las unidades virtuales montadas en el sistema (por ejemplo, un archivo VHD montado con MS Virtual Server) se consideran unidades locales y por lo tanto se cifrarán si la política aplicada tiene activada la opción de cifrado para ‘otros volúmenes’.
    • Durante el cifrado inicial de la partición del sistema (es decir, la partición que contiene el archivo hiberfil.sys) se debe evitar suspender a disco ya que puede fallar. Tras el cifrado inicial de la partición del sistema se debe reiniciar el sistema para que la opción suspender a disco vuelva a funcionar sin problemas.

General

  • (DEF68409) Después de actualizar un cliente de SafeGuard Easy, es necesario reiniciar el sistema para poder aplicar un paquete de configuración nuevo
    No es posible actualizar clientes con versiones nuevas y aplicar paquetes de configuración de forma simultánea. Después de realizar una actualización, es obligatorio reiniciar el sistema para poder aplicar un paquete de configuración nuevo. De lo contrario, no se aplicarán los cambios correspondientes.
  • El cambio rápido de usuario no es compatible y debe desactivarse.
  • No es posible modificar los paquetes originales del instalador MSI del producto de Sophos.

Windows Vista

  • Disquetera
    Tras la instalación de SafeGuard Device Encryption en Windows Vista, la disquetera deja de estar disponible. Esta limitación no afecta a las disqueteras externas que se conectan a través del bus USB.

Windows XP

  • En Microsoft Windows XP hasta Service Pack 2 se produce un error en ciertos equipos por el que, al reanudar el sistema tras encontrarse en modo de espera, no se muestra el escritorio bloqueado sino que se accede directamente al escritorio del usuario. Este problema se produce también en los equipos con SafeGuard Easy y debería solucionarse a partir de Windows XP SP3.
  • El kernel de Microsoft Windows XP tiene ciertas limitaciones técnicas. Si instala varios controladores de filtrado del sistema de archivos (por ejemplo, programas antivirus), se puede agotar la memoria. En este caso, podría producirse un error fatal del sistema (pantalla azul). Sophos no es responsable de esta limitación de Windows y no puede hacer nada para solucionar el problema.

Compatibilidad

  • Compatibilidad de SafeGuard LAN Crypt con SafeGuard Easy 6.0 Data Exchange (DX) y Cloud Storage (CS):
    Para volver a activar la compatibilidad de SafeGuard LAN Crypt 3.70 y 3.71 con los módulos de DX y CS, existe un parche independiente. Si es necesario instalar SafeGuard LAN Crypt junto con SafeGuard Easy 6.0 DX o CS, instale el paquete de compatibilidad independiente después de instalar SG LAN Crypt. El parche está disponible en la sección de descargas de SafeGuard Easy 6.0 de mysophos.com.
    Las versiones antiguas de SafeGuard LAN Crypt (hasta la versión 3.60) ya no son compatibles con los módulos de cifrado de archivos correspondientes de SafeGuard Easy 6.0 (DX y CS). Estas versiones solo son compatibles con SafeGuard Device Encryption.
  • SafeGuard LAN Crypt debe repararse al desinstalar el cliente de SafeGuard de Sophos en el mismo equipo
    Al desinstalar SafeGuard Easy 6.0 en un ordenador de sobremesa que tenga el cliente de SafeGuard LAN Crypt (SGLC) instalado, cuando el usuario intenta cargar el conjunto de claves de SGLC, se produce un error en la unidad interna.
    Solución:
    Realice una instalación de reparación del paquete del cliente de SafeGuard LAN Crypt. (DEF69644)
  • SafeGuard RemovableMedia y SafeGuard Easy no se pueden ejecutar en el mismo equipo
    Para utilizar cualquiera de los componentes de SafeGuard Easy en un equipo, es necesario desinstalar SafeGuard RemovableMedia, ya descatalogado. (DEF69092)
  • SafeGuard Easy no se ha probado junto con instalaciones del cliente de Novell para Windows. Pueden experimentarse ciertas restricciones, ya que no existe comunicación entre los componentes de inicio de sesión de ambos productos.

Agente de Empirum Security Suite

  • Cuando el cliente de SafeGuard Easy 6 se instala en un sistema con el agente de Empirum Security Suite, se puede producir el siguiente error fatal del sistema:
    Pantalla azul con código de error 0x00000044 MULTIPLE_IRP_COMPLETE_REQUESTS
    El problema está provocado por uno de los componentes de Empirum Software. Empirum Security Suite incluirá un parche para solucionarlo.
    Para más información, póngase en contacto con Matrix42.
  • Lenovo Rescue and Recovery
    La compatibilidad de SafeGuard Easy con las diferentes versiones de Rescue and Recovery se describe en: http://www.sophos.com/es-es/support/knowledgebase/108383.aspx
  • No se ha probado la compatibilidad con herramientas de creación de imágenes de disco, por lo que Sophos no ofrece soporte.

Tokens y tarjetas inteligentes


  • (DEF66421) Al reanudar clientes de Windows XP para salir del modo de hibernación, si se utiliza el eToken Aladdin de 72k (Java) para la autenticación, puede aparecer una pantalla azul. Por eso, y dado que podrían perderse los datos no guardados al aparecer la pantalla azul, la hibernación en Windows XP en combinación con los eToken Aladdin de 72k (Java) no es compatible en estos momentos.
  • (DEF66637) Al utilizar el middleware para tarjetas inteligentes .NET de Gemalto, no se detecta correctamente la desconexión de los lectores USB de tarjetas inteligentes
    En estos casos, el escritorio no se bloquea de forma automática. Sin embargo, al retirar las tarjetas inteligentes del lector, no se ha observado ningún problema.
  • (DEF67495) Al utilizar el middleware Gemalto Classic, el modo de inicio de sesión no criptográfico no funciona durante la autenticación en el arranque
  • (DEF67397, DEF67386 ) Los tokens TCOS no son compatibles con Windows Vista
  • Las notificaciones de ActivIdentity hacen que Winlogon.exe se bloquee
    En ciertos sistemas Windows XP, Winlogon.exe puede bloquearse si las notificaciones de ActivClient están activadas.
    Solución:
    Desactive las notificaciones de ActivClient en las opciones de la configuración avanzada de ActivIdentity.

Productos antivirus probados con SafeGuard Device Encryption

El cifrado de unidades de SGE ha demostrado ser compatible con los productos antivirus de Sophos, además de:

 

Fabricante

Producto

Versión

F-Secure Client Security 9.10 B249
Kaspersky Business Space Security - AntiVirus
6.0.4,1424
Symantec Endpoint Protection 12.1
Trend Micro Enterprise Security for Endpoints - Office Scan
10.5
McAfee McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8

Volver a la página de notas de la edición de SafeGuard

 
Si necesita más ayuda, póngase en contacto con soporte técnico.

Valore el artículo

Muy malo Excelente

Comentarios