Specops Key Recovery
Specops Key Recovery es una solución de autoservicio para desbloquear computadoras cifradas o gestionadas por Symantec Endpoint Encryption o Microsoft BitLocker. Un usuario que está bloqueado en la pantalla de autenticación previa al arranque puede usar Specops Key Recovery para desbloquear su computadora, sin llamar al servicio de asistencia. Para mayor seguridad, los usuarios son verificados con autenticación multifactor. La solución admite varios factores de autenticación, incluyendo Symantec VIP y Código Móvil (SMS) (enviando un código de un solo uso a un dispositivo móvil).
Specops Key Recovery actualmente admite:
- Symantec Endpoint Encryption (versión 11 y superior)
- BitLocker gestionado por Symantec Endpoint Encryption (versión 11 y superior)
- BitLocker
Conceptos centrales
Pantalla de autenticación previa al arranque
Cuando un usuario enciende una computadora con cifrado de disco completo, aparecerá la pantalla de autenticación previa al arranque. Windows puede no arrancar hasta que el usuario haya confirmado correctamente su identidad en esta pantalla.
Autenticación
La autenticación es el proceso de verificar la identidad de un usuario. Normalmente, esto requiere que el usuario haga una declaración sobre su identidad ingresando su nombre de usuario y contraseña.
Inscripción
Se requiere que los usuarios se inscriban con Specops Authentication. El proceso de inscripción variará para cada tipo de servicio de identidad. Para inscribirse con un servicio de identidad personal como Google, los usuarios deberán seguir el enlace desde la aplicación web de Specops a la página web de Google, e iniciar sesión con la dirección de correo electrónico y la contraseña asociadas con su cuenta de Google.
Autenticación multifactor
La autenticación multifactor requiere más de un método de autenticación de categorías independientes de credenciales: algo que sabes (es decir, contraseña), algo que tienes (es decir, dispositivo móvil) y algo que eres (es decir, huella digital). Specops uReset va más allá de la autenticación de dos factores al admitir una amplia gama de servicios de identidad que se pueden usar para aumentar la seguridad y la flexibilidad. La solución no solo admite autenticadores comunes, como preguntas y respuestas, y códigos de verificación móvil, sino también varios servicios de identidad digital que van desde servicios de identidad personal (por ejemplo, LinkedIn) hasta servicios de identidad de la empresa (por ejemplo, salesforce.com), además de métodos de mayor confianza como las tarjetas inteligentes. El modelo de autenticación multifactor de Specops es dinámico. Los usuarios pueden elegir qué servicios de identidad quieren combinar para la inscripción y autenticación, siempre que cumplan con los requisitos de la política. Los usuarios inscritos con más servicios de identidad de los requeridos para su autenticación tendrán opción de autenticación. Esto garantiza que los usuarios finales siempre tendrán la capacidad de cumplir con la política de autenticación, incluso si un servicio de identidad no está disponible (por ejemplo, no tener su teléfono móvil cerca).
Los administradores pueden seleccionar, basándose en el rol y la política de seguridad, qué servicios de identidad/autenticadores quieren extender a los usuarios finales para verificar su identidad al restablecer o desbloquear sus cuentas. Tal flexibilidad puede asegurar que se satisfagan las necesidades de seguridad y flexibilidad variables. Por ejemplo:
- Para los usuarios que tienen una autorización de seguridad de bajo nivel, pero una alta necesidad de flexibilidad, como los estudiantes, los administradores de TI pueden permitirles autenticarse con algunos servicios de identidad personal como su Google ID.
- Para los usuarios que tienen una autorización de seguridad de nivel superior, como los administradores de ayuda financiera o ejecutivos de alto nivel, los administradores de TI pueden asignar políticas que impongan un mayor número, o una combinación más fuerte de servicios de identidad. Este enfoque proporciona a los administradores la flexibilidad que necesitan para imponer políticas que se traduzcan en mayor seguridad y eficiencia.
Política
Una política contiene las reglas requeridas para la inscripción y la autenticación multifactor. Una política controla qué servicios de identidad se pueden usar, y cuántos deben usarse para verificar la identidad de los usuarios finales. El administrador del sistema es responsable de configurar las reglas en las políticas.
Servicios de identidad
Los servicios de identidad son métodos de autenticación que permiten a los usuarios verificar su identidad en Specops Cloud.
Para más información, consulte Specops Authentication Servicios de identidad.
Arquitectura y Diseño
Specops Key Recovery es un componente de Specops Cloud. Specops Authentication, otro componente de Specops Cloud, se utiliza para autenticarse en Specops Key Recovery. Las reglas de autenticación para acceder a Specops Key Recovery se pueden definir en las páginas de administración en Specops Cloud.
Para leer la información del usuario desde Active Directory, Specops Cloud se comunica con el Gatekeeper. El Gatekeeper se instala en un servidor en su dominio. El Gatekeeper lee la información del usuario desde Active Directory y gestiona todas las operaciones contra Active Directory, como leer/escribir datos de inscripción.
Recuperación de claves para Symantec Endpoint Encryption
- El usuario olvida su contraseña y está bloqueado en la pantalla de autenticación previa al arranque. La pantalla le pide al usuario que visite Specops Key Recovery en un dispositivo móvil.
- Specops Key Recovery (keyrecovery.specopssoft.com) redirige al usuario a Specops Authentication.
- Specops Authentication le pide al Gatekeeper el Objeto de Política de Grupo que afecta al usuario, y obtiene las reglas de autenticación para otorgar acceso a Specops Key Recovery. Las reglas de autenticación se muestran al usuario. El usuario se autentica con varios servicios de identidad para cumplir con la política, después de lo cual, el usuario regresa a Specops Key Recovery.
- Specops Key Recovery le pide al Gatekeeper una lista de los dispositivos del usuario.
- El Gatekeeper le pide a Symantec Endpoint Encryption los dispositivos del usuario, y se devuelve una lista. Las computadoras del usuario se muestran en la página de recuperación de claves (keyrecovery.specopssoft.com).
- El usuario selecciona su computadora bloqueada de la lista en Specops Key Recovery, y el navegador se redirige a la página de recuperación.
- El usuario ingresa un número de secuencia en su dispositivo móvil y presiona Continuar. Se genera un par de claves y la clave pública se envía con el número de secuencia al Gatekeeper.
- El Gatekeeper le pide a Symantec Endpoint Encryption una Clave de Recuperación, basada en la información que el usuario ha proporcionado.
- Specops Key Recovery muestra la Clave de Recuperación al usuario y le indica que ingrese la información en su computadora bloqueada.
- El usuario ingresa la Clave de Recuperación en su computadora bloqueada. La computadora entonces se desbloquea.
Recuperación de claves para BitLocker
- El usuario olvida su contraseña y navega a Specops Key Recovery en un dispositivo móvil.
- Specops Key Recovery redirige a login.specopssoft.com.
- Specops Authentication le pide al Gatekeeper el Objeto de Política de Grupo (GPO) que afecta al usuario, y obtiene las reglas de autenticación para otorgar acceso a Specops Key Recovery. Las reglas de autenticación se muestran al usuario y el usuario se autentica con varios servicios de identidad, después de lo cual, regresa a Specops Key Recovery.
- Specops Key Recovery le pide al usuario que proporcione los primeros 8 caracteres del ID de Clave de Recuperación, visible en su computadora. El usuario ingresa el ID de Clave de Recuperación y presiona Continuar. Se genera una clave pública y se envía junto con el ID de Clave de Recuperación al Gatekeeper.
- El Gatekeeper consulta Active Directory para encontrar la contraseña de recuperación para la computadora del usuario. La contraseña de recuperación se cifra en el Gatekeeper, y luego se descifra y se muestra en el dispositivo móvil del usuario.
- El usuario ingresa la contraseña de recuperación en su computadora bloqueada. La computadora entonces se desbloquea.