La versión independiente de SafeGuard Enterprise Device Encryption ahora se convierte en “SafeGuard Easy 5.50”, sucesor de SafeGuard Easy 4.x. Técnicamente, SafeGuard Easy 5.50 es sólo el nuevo nombre para la versión independiente de SafeGuard Enterprise 5.50. Es compatible con Windows Vista, Windows 7 y ediciones de 64 bits. Para el inicio de sesión con Smartcard/crypto token se requiere la versión administrada de SafeGuard Enterprise Device Encryption. Se permite la actualización de SafeGuard Easy 4.x bajo las mismas condiciones que en ediciones anteriores de SafeGuard Enterprise, excepto que Windows 2000 ya no es compatible.

1.1 Novedades en la edición SGE 5.50.8

1.1.1 Cifrado inicial más rápido

Un nuevo proceso optimizado de cifrado inicial de discos permite reducir de forma significativa el tiempo de esta tarea. El cifrado inicial del disco duro se limita al espacio que se encuentra en uso, por lo que el tiempo empleado dependerá de la cantidad utilizada. Esta opción se controla desde la directiva de cifrado (por defecto se encuentra desactivada).

1.1.2 Rendimiento mejorado de cifrado

Un nuevo proceso optimizado en el algoritmo de cifrado AES256 permite mejorar el rendimiento al acceder a datos cifrados. Este módulo se utiliza tanto en el cifrado de discos como en el cifrado de archivos (DE y DX), por lo que se mejora el rendimiento en ambos casos.

1.2 Novedades en la edición SGE 5.50.1

1.2.1 Compatibilidad de SafeGuard Data Exchange con plataformas de 64 bits

SafeGuard Easy 5.50.1 Data Exchange es compatible con versiones de 32 y 64 bits de Microsoft Windows Vista y Microsoft Windows 7, así como Windows XP de 32 bits.

1.3 Novedades en la edición SGE 5.50

1.3.1 Compatibilidad ampliada con plataformas Windows: 64 bits y Windows 7

SafeGuard Easy 5.50 es compatible con versiones de 32 y 64 bits de Microsoft Windows Vista y Microsoft Windows 7, así como Windows XP de 32 bits. El editor de políticas también es compatible con versiones de 32 y 64 bits de Windows Server 2003 y Windows Server 2008/R2.

1.3.2 Cuentas de servicio

SafeGuard Easy 5.50 permite asignar usuarios a la lista de cuentas de servicio. En equipos nuevos donde POA todavía no se encuentra activo, no se aplica la lista de cuentas de servicio. De esta forma, se puede configurar el equipo sin modificar el estado de SafeGuard Easy para el nuevo usuario.

1.3.3 Cuentas de usuario “sólo POA”

SGE 5.50 dispone de cuentas especiales, que pertenecen al dominio virtual “<POA>”, y que permiten ,por ejemplo, iniciar equipos con protección POA sin conocer las credenciales del usuario o sin disponer de una cuenta en cada equipo. Se podrá iniciar el equipo desde una unidad externa e iniciar la sesión en Windows sin activar las acciones predeterminadas de SafeGuard Easy. Por ejemplo, el usuario no se registrará con SGE independientemente de las credenciales utilizadas en el inicio de Windows.

1.3.4 Mejorada la compatibilidad entre el hardware y el sistema operativo

Se ha mejorado la compatibilidad de SafeGuard Easy en varios aspectos:

Tolerancia ante dispositivos USB que no cumplen rigurosamente la especificación USB
Rendimiento mejorado en el cifrado inicial en Windows Vista y Windows 7
Ampliada la lista de compatibilidad de hardware en el programa de instalación. Vea el siguiente artículo en la base de conocimiento de Sophos para más información: http://esp.sophos.com/support/knowledgebase/article/65700.html

1.3.5 CD-ROM de recuperación Windows PE (cliente virtual)

SafeGuard Easy 5.50 ahora también incluye las funciones avanzadas de recuperación de SafeGuard Enterprise, como por ejemplo, el uso de un CD-ROM de recuperación Windows PE.

1.3.6 Instalación simplificada y copia de seguridad de claves

Un nuevo asistente de instalación facilita la configuración de los componentes de administración y las políticas predeterminadas. Para utilizar el asistente, ejecute “SGNInstallAdvisor.bat” en el directorio raíz del DVD del producto. Los archivos de recuperación de SafeGuard Easy se pueden almacenar en unidades de red de forma automática. También se han añadido opciones para realizar y restaurar copias de seguridad del certificado de la empresa.

1.3.7 Otras mejoras

SafeGuard Easy incluye también otras mejoras en usabilidad, almacenamiento, rendimiento y uso. Entre otras:

· Se ha mejorado la velocidad de cifrado en Windows 7.

Mejoras en el diseño de la interfaz gráfica y en la interacción con el usuario.
Nuevas medidas para evitar errores de administración accidentales al evitar que se puedan borrar de forma permanente las claves SGE internas.
SGNState ahora también informa de la versión del cliente SafeGuard.
Una nueva herramienta puede restaurar el sistema en el caso de que un fallo de instalación haga que el sistema se bloquee en el POA.
Se ha corregido el módulo de SafeGuard Data Exchange (DX). Ahora se permite el uso simultáneo de reglas de exportación de archivos y archivos cifrados.
El período de validez de una sesión desafío/respuesta se ha ampliado a 30 minutos. El intervalo entre reintentos de contraseña se incrementa a la potencia de 2 (antes era 3). Con estas medidas se intenta reducir el impacto al olvidar la contraseña de forma temporal sin reducir el nivel de seguridad.
Entre las funciones de recuperación es posible importar el certificado de la empresa de la instalación anterior.
Mejoras de rendimiento, seguridad y compatibilidad, incluyendo revisiones desde SGN 5.40.
Se ha introducido la marca Sophos.

2 Instalación

Necesita derechos de administrador para instalar el software. Para la instalación del software, consulte la guía de inicio.

Si modifica la instalación de SGE o instala nuevos módulos, el programa de instalación podría indicar que ciertos componentes se encuentra en uso (por ejemplo, Safe Guard Removable Media Manager). Esto se debe a que algunos componentes son comunes a varios módulos. La actualización se completará tras reiniciar el sistema.

Nota: Este es el comportamiento predeterminado en instalaciones no interactivas.

Aunque es posible instalar ciertos componentes y añadir otros posteriormente, se recomienda instalar Device Encryption en la instalación inicial.

Si desea actualizar SafeGuard Easy 4.x, consulte primero la ayuda de administrador y los artículos relacionados en la base de conocimiento de Sophos.

3 Información general

3.1 Editor de políticas de SafeGuard

Hardware:

Procesador Intel o AMD X86

512 MB de memoria RAM

1 GB libre en el disco duro (recomendado)

Software:

Sistema operativo Microsoft Windows en inglés, francés, alemán o japonés

· XP SP2 SP3 32 bit

· Vista SP1 SP2 32 bit 64 bit

· 7 32 bit 64 bit

· 2003 Server SP1 SP2 32 bit 64 bit

· 2003 Server R2 SP1 SP2 32 bit 64 bit

· 2008 Server SP1 SP2 32 bit 64 bit

· 2008 Server R2 64 bit

Microsoft ASP.net

· .NET Framework 3.0 SP1

El usuario debe disponer de permiso de lectura y escritura a la base de datos con uno de los siguientes métodos de autenticación:

· Autenticación Windows NT

· Autenticación SQL

Certificados X.509 probados

Microsoft PKI (longitud 384 a 4096 bits; se recomienda al menos 2048 bits por razones de seguridad)
MS Base Cryptographic Provider 1.0
MS Strong Cryptographic Provider
OpenSSL

3.2 Cliente de SafeGuard Easy Device Encryption/Data Exchange

Hardware:

Procesador Intel o AMD X86
512 MB de memoria RAM (mínimo), 1 GB recomendado para Windows Vista/7
La instalación requiere al menos 300 MB. De los cuales, al menos 100 MB deben ser continuos para Device Encryption. Se recomienda desfragmentar el disco si dispone de menos de 5 GB libres y el sistema operativo no se ha instalado recientemente. Si no dispone de este espacio continuo, no se podrá realizar la instalación.

Sistema operativo Microsoft Windows:

XP SP2 SP3 32 bit

Vista SP1 SP2 32 bit 64 bit Enterprise/Ultimate/Business/Home Premium
7 32 bit 64 bit Enterprise/Ultimate/Professional/Home Premium

Software:

Internet Explorer versión 6.0 o posterior

3.3 Matriz de actualización de SGN

A continuación se muestran las versiones anteriores de SGN que se pueden actualizar a SGN 5.50.8.

Matriz de actualización de SGN

Actualización de

Actualización a

SGN 5.20

SGN

5.20.1

SGN 5.20.2

SGN 5.20.3

SGN 5.20.4

SGN 5.20.5

SGN 5.21

SGN 5.21.1

SGN 5.30 RC1

SGN 5.30

SGN 5.30.1

SGN 5.30.2

SGN 5.30.3

SGN

5.35

SGN

5.35.x

SGN 5.40.x

SGN 5.50

SGN 5.50.8

SGN 5.50.1

SGN 5.50 GA

SGN 5.40.x

SGN 5.35.x

SGN 5.35 GA

SGN 5.30.3

¢¹

SGN 5.30.2

SGN 5.30.1

SGN 5.30 GA

SGN 5.30 RC 1

SGN 5.21.1 (Patch)

SGN 5.21

SGN 5.20.5 (Patch)

SGN 5.20.4 (Patch)

SGN 5.20.3 (Patch)

SGN 5.20.2 (Patch)

SGN 5.20.1 (Lenovo)

SGN 5.20

Leyenda:

l Actualización compatible

¢¹Actualización solamente compatible por SGN Server y SGN Management Console

3.4 Matriz de migración de SGE

A continuación se muestran las versiones de SafeGuard Easy que se pueden migrar a SGE 5.50.8.

Matriz de migración de SGE
	IDEA	DES	3DES	AES 128	AES 256	Blowfish	Stealth	XOR
SGE 4.50	l		l	l	l
SGE 4.40	l		l	l	l
SGE 4.30	l		l	l	l
SGE 4.20
SGE 4.1x
SGE 3.x

3.5 Sistemas Windows compatibles

A continuación se indican las plataformas compatibles y los módulos disponibles para cada plataforma.

	SGE – Sistemas Windows compatibles
						SGE 5.50.x
						DE	DE BitLocker	DX	PE
XP Professional Edition				SP2 SP3	32 Bit	l		l	.NET 3.0¹
Vista Home Premium Business Enterprise Ultimate				SP1 SP2	32 Bit	l	- - l l	l	.NET 3.0¹
Vista Home Premium Business Enterprise Ultimate				SP1 SP2	64 Bit	l	- - l l	l	.NET 3.0¹
7 Home Premium Professional Enterprise Ultimate					32 Bit	l	- - l l	l	NET 3.0¹
7 Home Premium Professional Enterprise Ultimate					64 Bit	l	- - l l	l	NET 3.0¹
Server 2003 / R2		.NET 3.0	IIS 6	SP1 SP2	32 Bit 64 Bit				l l
Server 2008 Server 2008 R2		.NET 3.0	IIS 7.0 IIS 7.5	SP1	64 Bit 64 Bit				l l

¹ necesita .Net 3.0 SP1

Nota 1: SafeGuard Easy es compatible con unidades de estado sólido (SSD).

Note 2: SafeGuard Easy es compatible con entornos de virtualización. Se pueden producir problemas de interoperabilidad con el cifrado de dispositivos conectados mediante USB. Según el entorno de virtualización y el tipo de dispositivo conectado, se puede producir un fallo del sistema.

4 Problemas corregidos (SGE edición 5.50.x comparado con SGN edición 5.40)

4.1 Editor de políticas de SafeGuard

Al modificar archivos de texto de información, no se añadían cortes de línea.

4.2 Cliente de SafeGuard Easy

Cifrado de dispositivos

- Funcionamiento defectuoso del inicio de sesión automático en POA

- El programa de instalación no disponía de la propiedad POACFG

- Entradas incorrectas en el registro indicando que la unidad se está descifrando cuando en realidad se estaba cifrando

- “antiguo” no se ha borrado previamente de SGN Management Center.

SafeGuard Portable

- No se creaban carpetas al grabar CDs con el asistente de Windows

- El acceso directo de SGPortable no funcionaba

Data Exchange

- Desaparecían elementos del menú en Corel Draw X4 tras instalar Data Exchange. También se han resuelto problemas similares con Adobe Fireworks y Candela.

- La opción para cambiar la contraseña no siempre estaba disponible en la bandeja del sistema.

- El programa Mindjet MindManager dejaba de funcionar al seleccionar Guardar como.

- El cambio de contraseña en Windows XP no tenían efecto en estaciones con el programa Evidian SSO. Se ha aplicado un parche genérico que también solventa el problema de cambio de contraseña tras un intento fallido de inicio de sesión.

5 Problemas conocidos

5.1 SGE edición 5.50

En Windows Vista y Windows 7, al actualizar el cliente de SGN 5.35 o posterior a SGE 5.50, el programa de instalación pide al usuario que detenga ciertos procesos activos. El usuario debe ignorar este mensaje. De lo contrario, especialmente en Windows 7, podría ocurrir que Windows Explorer no funcione tras reiniciar el sistema.
El programa de instalación de SGE debe iniciarse dentro de una sesión con derechos de administrador. No es posible utilizar la opción “Ejecutar como administrador”.
Bloqueo de mayúsculas en POA: nótese que el bloqueo de mayúsculas en POA sólo afecta a las letras y no a la fila de número en el teclado. Se recomienda el uso de la tecla Mayúsculas al introducir la contraseña.
Durante la desinstalación del cliente, durante la cual se descifran las unidades cifradas, no debe apagar o reiniciar el sistema. Esto provocaría un error del programa de desinstalación.

Si un lector interno de tarjetas SD se encuentra vinculado al controlador de host Secure Digital con sdbus.sys estándar de Microsoft, las tarjetas no se podrán cifrar con SGE Device Encryption ni bloquear. Las tarjetas no aparecerán en el visor de cifrado. En Windows Explorer aparecerán como dispositivo de texto. Para el cifrado de tarjetas SD debe utilizar el cifrado de archivos (SG DX)
El asistente de configuración inicial del editor de políticas no funciona cuando se ejecuta como usuario local en Windows Vista.
Al importar claves externas no se pueden utilizar caracteres XML, como ‘<’, ’>’, ’&’, ‘\’, ‘”’.
El sistema de archivos exFAT, introducido por Microsoft con Windows CE 6.0 y Windows Vista Service Pack 1, no es compatible con SafeGuard Easy Device Encryption.
La copia de archivos cifrados en unidades ópticas (CD/DVD) mediante el asistente integrado para Windows no es compatible con Windows Vista 64 bits.

En ciertos casos no se puede acceder a unidades compartidas en equipos que tienen instalado el módulo SafeGuard DataExchange. El problema se puede resolver aumentado el tamaño de la pila IRP desde la siguiente clave del registro:

             Subárbol:      HKEY_LOCAL_MACHINE
                  Clave:      SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Nombre del valor:      IRPStackSize (DWORD)
                 Valor:      21 (o al menos 3 más que el valor actual)

Para más información, consulte el artículo http://support.microsoft.com/kb/177078/ en la web de Microsoft.

5.2 Editor de políticas de SafeGuard

· La desinstalación del cliente de SGE en sistemas con el editor de políticas hace que éste deje de funcionar.
Si utiliza el editor de políticas en un sistema con el cliente de SGE, al desinstalar el cliente hará que el editor de políticas deje de funcionar. Este problema es independiente del orden en que se instalaros ambos productos. Debe volver a instalar el editor de políticas en dicho equipo.

· La configuración del editor de políticas puede fallar debido a los permisos predeterminados del servidor SQL
Al instalar el editor de políticas en Windows Vista o Windows 7, asegúrese de que cuenta con los derechos administrativos correspondientes en las bases de datos SQL.

·         Nomenclatura de las bases de datos
El nombre de la base de datos de SGE debe cumplir el siguiente convenio para evitar problemas de localización.

El nombre de la base de datos de SGE sólo debe contener:
            - Letras (A-Z, a-z)
            - Números (0-9)
            - Guión bajo (_)

· Si tiene instalado el editor de políticas y el cliente de SGE en el mismo equipo, debe actualizar ambos componentes a SGE 5.50, comenzando por el cliente. Si sólo actualiza el editor de políticas puede que falle el inicio de sesión en Windows.

· Para más información sobre la actualización del editor de políticas de SafeGuard, consulte el CD-ROM del producto (carpeta tools) o la base de conocimiento de Sophos.

· Posibles métodos de acceso a las bases de datos SQL:
La autenticación Windows NT requiere más pasos de configuración descritos por Microsoft (consulte en la base de conocimiento de Sophos los artículos relativos a la cuenta de servicio de SGN). La autenticación SQL es menos compleja y no requiere configuración adicional.

· Certificados personalizados importados en PE no se verifican según RFC3280. Es decir, no se evita el uso de certificados de firma para el cifrado.

· Si un grupo recibe políticas que se solapan, se pueden aplicar prioridades incorrectas. Utilice políticas que no se solapen.

· Si desea que la contraseña caduque en menos de 2 días no cambie la opción “Password change allowed after min. (days)”. Una vez cambiada, el mínimo será 2 días.

· Se pueden producir problemas en la interfaz gráfica del producto si la resolución de la pantalla no es 96 DPI.

· Dos encargados de seguridad no pueden utilizar la misma cuenta de Windows en el mismo ordenador. Si lo hacen no se podrán establecer los derechos de acceso de cada uno.

· Tras actualizar la base de datos de SGE a la versión 5.50 el editor de políticas muestra un mensaje de error. También deben actualizarse.

· Tras realizar la desinstalación, no se borran algunos archivos y entradas del registro. Para borrarlos de forma manual, consulte en la base de conocimiento de Sophos los artículos relativos a la desinstalación de SGN. Debe borrar estos archivos y entradas del registro antes de volver a instalar SGE.

· En situaciones muy concretas, es posible que ocurra algún problema de sincronización y/o configuración con SQL Server Express de manera que la base de datos de SafeGuard no funcione con la autenticación SQL. En este caso, se recomienda utilizar la autenticación de Windows con SQL Server Express.

5.3 Cliente de SafeGuard Easy Data Exchange

· No se impide la instalación de DX en un sistema con SafeGuard Removable Media. SGRM y SGE DX so productos para el cifrado de archivos que no se pueden utilizar al mismo tiempo. Sin embargo, el programa de instalación de DX no comprueba esta condición. Debe desinstalar SGRM antes de instalar SGE DX.

· Recuperar contraseñas olvidadas
SafeGuard Data Exchange sin Device Encryption no dispone de esta función. Debe cambiar la contraseña en Active Directory, iniciar la sesión sin Sophos Credential Provider y restaurar la configuración del usuario desde la estación. Para más información, consulte la base de conocimiento de Sophos.

· Compatibilidad con SG RemovableMedia 1.20
Claves locales creadas con SafeGuard Removable Media anterior a la versión 1.20 antes de cambiar a SGE Data Exchange se pueden utilizar con el cliente SGE. Aunque no se transfieren a la base de datos de SGE de forma automática.

· Compatibilidad con SG Easy 4.x
Al utilizar SafeGuard Data Exchange con SafeGuard Easy 4.x, tenga en cuenta que los mecanismos de SGE GINA (especialmente el inicio de sesiones seguras - SAL) dejarán de funcionar. SGE debe instalarse primero y ambos se deben desinstalar de forma consecutiva (sin reiniciar) para evitar conflictos en GINA.

· Compatibilidad con Microsoft Office 2007
Las aplicaciones de la suite de Microsoft Office 2007 producen un error al intentar guardar un archivo que debe cifrarse según la política de protección de la estación.

Solución:
- Ajuste el estado de cifrado de archivos especificados en la política o
- añada las aplicaciones de Office a la clave del registro de procesos de cambio de nombre especial.

En el siguiente ejemplo se muestra cómo añadir WinWord.exe y Excel.exe a esta clave.

Registro de Windows, versión 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\UTIMACO\SGLCENC]
"SpecialRenamePrograms"="winword.exe;excel.exe;"

Para más información, consulte el artículo 109474 en la base de conocimiento de Sophos.

· Elevación de usuario para ejecutables cifrados
Al ejecutar un programa que requiere elevación de privilegios en Windows Vista o Windows 7, puede que la elevación no se lleve a cabo y que no se ejecute el programa.

· Acceso directo a SafeGuard Portable en unidades de solo lectura
El acceso directo a SafeGuard Portable desde el directorio raíz de unidades extraíbles de solo lectura puede no funcionar en ciertas condiciones (Windows 7). Al insertar el disco en un lector con la letra de unidad diferente a la que tenía cuando se copió, el acceso directo no funciona si dicha letra de unidad se encuentra disponible. Por ejemplo, si se crea el acceso directo a SafeGuard Portable en un disco en la unidad D: y se utiliza en otro ordenador en la unidad E:, el acceso directo no funcionará si dicho ordenador tiene la unidad D: disponible.

· Acceso al juego de claves tras cerrar una sesión remota
No se puede acceder al juego de claves del usuario tras cerrarse una sesión remota. Debe reiniciar el equipo para recuperar el acceso al juego de claves del usuario. No es suficiente con reiniciar la sesión.

5.4 Cliente de SafeGuard Easy Device Encryption

· BitLocker To Go - dispositivos cifrados pueden impedir la instalación de Device Encryption
Si un dispositivo USB cifrado con BitLocker To Go se encuentra conectado al equipo durante la instalación de SGE, la instalación fallará. Para solucionar este problema debe desconectar los dispositivos cifrados con BitLocker to Go antes de instalar SGE DE.

· Fallo en ciertos dispositivos de memoria USB
Ciertos modelos de memoria USB indican un tamaño de almacenamiento incorrecto (normalmente mayor que el tamaño real). En estos modelos, el cifrado inicial del dispositivo fallará y se perderán los datos. Sophos recomienda utilizar el cifrado de archivos en unidades extraíbles.

· El cliente debe reiniciarse tras iniciar la primera sesión para asegurar el registro del usuario.

· Actualización
Al actualizar el cliente de SGE se recomienda la opción ‘Personalizada’ para poder seleccionar las funciones que desea actualizar. También puede seleccionar la opción ‘Completa’. Con la opción predeterminada puede que algunos componentes no se actualicen correctamente.
En instalaciones no interactivas, utilice la opción ADDLOCAL= para seleccionar las funciones (existentes o nuevas). Si no utiliza esta opción, sólo se actualizarán las funciones existentes.

· Instalación del paquete de configuración del cliente
Tras instalar el paquete de configuración del cliente, se debe esperar unos 5 a 10 segundos antes de reiniciar el sistema. Al reiniciar el sistema, se debe esperar unos 3 minutos antes de iniciar la sesión en Windows. De lo contrario, la sincronización inicial del usuario puede no completarse a tiempo.

· Autoayuda local
En la opción de autoayuda en POA, no se mostrará la opción de recuperación si el usuario tiene activada la opción de iniciar la sesión con un token o mediante un lector de huellas digitales. La autoayuda sólo está disponible si el usuario utiliza POA con credenciales habituales.

·         Errores de escritura durante el cifrado inicial
Durante la instalación de SafeGuard Easy Device Encryption, el sistema operativo puede indicar ciertos errores de escritura. Esto puede ocurrir tras instalarse el kernel en el sistema. Esto puede agravarse al iniciar el sistema modificado por primera vez, cuando ocurren numerosas operaciones I/O en paralelo.

Solución:
Puede utilizar una forma alternativa al instalar el kernel de SafeGuard Easy Device Encryption mediante el siguiente registro:

            Subárbol:       HKEY_LOCAL_MACHINE
                   Clave:       System\CurrentControlSet\Control\Session Manager
Nombre del valor:        AllocMode (DWORD)
                   Valor:        1

Debe modificar el registro antes de iniciar la instalación de SafeGuard Easy Device Encryption

· Política de protección de dispositivos para unidades extraíbles
Una política de cifrado de dispositivos que permita al usuario seleccionar la clave de una lista, puede saltarse sin seleccionar ninguna clave. Par evitar esta posibilidad, las políticas de cifrado de unidades extraíbles deben indicar la clave a utilizar o aplicar el cifrado de archivos.

· Política de intercambio de datos y SafeGuard Easy
Las políticas de intercambio de datos no puede utilizar la clave definida en SafeGuard Easy 5.50. Utilice una clave diferente para estaciones con SafeGuard Easy.

· Cliente Novell
Para poder utilizar SGE junto con el cliente Novell, se deben realizar ciertos cambios. Póngase en contacto con soporte técnico de Sophos para más información.

· Cambio rápido de usuario
El cambio rápido de usuario no es compatible y debe desactivarse.

· Disquetera integrada
Tras la instalación de SGE Device Encryption en Windows Vista la disquetera deja de estar disponible. Esta limitación no se aplica a disqueteras externas USB.

· Tiempo de arranque
El tiempo de arranque se incrementa en aproximadamente un minuto tras instalar SGE.

· Cifrado de unidades virtuales
Las unidades virtuales montadas en el sistema (por ejemplo, un archivo VHD montado con MS Virtual Server) se consideran unidades locales y por lo tanto se cifrarán si la política aplicada tiene activada la opción de cifrado para ‘otros volúmenes’.

· No se posible utilizar cifrado de volúmenes con BitLocker. El programa de instalación del cliente de SGE no permite instalar ambas funciones de forma simultánea.

· Durante el cifrado inicial de la partición del sistema (es decir, la partición que contiene el archivo hiberfil.sys) se debe evitar suspender a disco ya que puede fallar. Tras el cifrado inicial de la partición del sistema se debe reiniciar el sistema para que la opción suspender a disco vuelva a funcionar sin problemas.

· Debe descifrar todas las unidades extraíbles antes de desinstalar el cliente SGE. De lo contrario no podrá acceder a los datos almacenados en dichas unidades. Para poder recuperar los datos necesitará la base de datos de SGE.

· Se recomienda reiniciar el sistema tras activar la autenticación de encendido de SGE. SGE realiza una copia de seguridad de los datos del kernel cada vez que se reinicia el sistema. La copia de seguridad no se realiza si el sistema se encuentra hibernando o en modo de espera.

· El número de máximo de usuarios para SGE en una estación es 200.
Tenga en cuenta el tamaño máximo de archivos a la hora de importar archivos mediante la política:

· Archivos de texto no pueden superar los 50 kB.

· Imágenes de encabezado no pueden superar los 100 kB.

· Imágenes de fondo no pueden superar los 500 kB.

· El kernel de Microsoft Windows XP tiene ciertas limitaciones técnicas. Si instala varios controladores de filtrado del sistema de archivos (por ejemplo, programas antivirus), se puede agotar la memoria. En este caso podría producirse un error fatal del sistema (pantalla azul). Sophos no es responsable de esta limitación de Windows y no puede hacer nada para solucionar el problema.

· Para el cifrado de volúmenes, no son compatibles los "discos dinámicos" ni los “discos GPT”.

· Tras realizar la desinstalación, no se borran algunos archivos y entradas del registro. Para borrarlos de forma manual, consulte en la base de conocimiento de Sophos los artículos relativos a la desinstalación de SGE. Debe borrar estos archivos y entradas del registro antes de volver a instalar SGE.

· Si la desinstalación de SGE se realiza desde Active Directory, debe primero asegurarse de que todos los volúmenes se han descifrado correctamente.

· No se ha probado la compatibilidad con herramientas de creación de imágenes de disco, por lo que no se ofrece soporte.

· Con caracteres especiales (como ä,ö,ü,…) se distingue entre mayúsculas y minúsculas en el POA.

· Ciertos ordenadores no pueden iniciarse desde un disquete si ya se han iniciado alguna vez desde el POA en el disco duro. Esto se debe a una limitación de la BIOS en dichos ordenadores y es algo que Sophos no puede resolver.

· Debe revisar el uso de caracteres especiales en el aviso legal del POA. Algunos de estos caracteres puede que no se muestren correctamente.

· Antes de cifrar un volumen, se recomienda ejecutar chkdsk c: /f /v /l /x para verificar todos los sectores de la partición. El sistema de corrección del disco duro marcará los sectores defectuosos antes de realizar el cifrado de SGE.

· Al utilizar SafeGuard Portable con el cliente de SGE, se debe utilizar el algoritmo AES-256 para el cifrado de unidades extraíbles.

· Estaciones con cifrado BitLocker detectarán discos duros USB como “Otros volúmenes” y no como “Extraíbles”. No utilice políticas de cifrado para “Otros volúmenes” si emplea discos duros USB en estaciones con BitLocker.

· Si instala SGE Device Encryption y SGE Data Exchange en una estación, no podrá desinstalar sólo Device Encryption. Debe desinstalar el paquete completo.

· Se ha probado con éxito la compatibilidad del cifrado de unidades y archivos con los productos antivirus de Sophos y con los siguientes productos:

AVG
AVG Anti-Virus Netzwerk Edition 8.5.386
Computer Associates
CA Anti-Virus 2009
Debe utilizarse la siguiente clave del registro

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\INO_FLTR\Setting]
"Controls"=dword:00000003
F-Secure
F-Secure AntiVirus 2009 (versión 9.00, revisión 149)
G-Data
G Data Antivirus 2010 (versión 20.0.1.1)
Kaspersky
Kaspersky Internet Security 2010 (versión 9.0.0.459)
Network Associates
McAfee VirusScan Enterprise versión 8.7.0 i
Scanmodul-Version (32-bit): 5300.2777, DAT-Version: 5381.0000
Norman
Norman Virus Control (versión 5.99)
Symantec
Symantec Endpoint Protection 11.0 (versión 11.0.4000)

Si se produce algún error durante el inicio, haga lo siguiente:

En HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\Storages\ Filesystem\RealTimeScan

Cambie el valor DWORD de KStackMinFree a 0x2200.

Para más información sobre esta clave, vea el siguiente artículo:

http://service1.symantec.com/support/ent-security.nsf/854fa02b4f5013678825731a007d06af/f5ee041a924af12d8825709d00509eb2?OpenDocument

Trend Micro
Trend Micro Internet Security 2009

· Antes de desinstalar el cliente de SGE debe desinstalar el paquete de configuración.

· La herramienta BE_RESTORE siempre intenta acceder al disco duro en disk0. En ciertos casos este puede no ser el disco duro, por ejemplo si tiene conectada una unidad de memoria USB o si está utilizando un disco RAM.

· La herramienta BE_RESTORE tiene ciertas limitaciones en Windows Vista y Windows PE 2.0 si el disco todavía no se encuentra cifrado.

· Para utilizar la herramienta BE_RESTORE en Windows PE 2.0 necesita al menos 512 MB de memoria RAM.

· El cambio de disquete no siempre se detecta correctamente. Intente acceder a la disquetera cuando está vacía para asegurarse de que se detecta el cambio.

· En Windows XP hasta Service Pack 2 se produce un error en ciertos equipos por el que al reanudar el sistema tras encontrarse en modo de espera no se muestra el escritorio bloqueado sino que se accede directamente al escritorio del usuario. El problema también se aplica a SafeGuard Easy. Este problema parece que se va a resolver en Windows XP SP3.

· De forma ocasional, el programa de instalación del cliente SGE Device Encryption termina con el error 5001. Este error indica que el disco se encuentra muy fragmentado. El kernel de SGE necesita 96 MB de espacio continuo en el primer disco duro.

· Es posible saltarse la imposición de la política de historial de contraseñas de SafeGuard Easy durante el cambio de contraseña por la imposición del administrador del sistema.

· No se puede iniciar la sesión en el POA si el nombre de usuario tiene caracteres con diéresis y estos caracteres no se encuentran en el teclado.

· A continuación se muestra la lista de teclados compatibles con el módulo de autenticación. "x" indica que el idioma es compatible. Para el resto de idiomas se utilizará el predeterminado como se indica. Evite caracteres especiales en idiomas cuyo teclado predeterminado es US.

ID del idioma Teclado Idioma y comentarios

====================================================================

0x0000 US Idioma neutral

0x0400 US Idioma de proceso o predeterminado del usuario

0x0800 US Idioma predeterminado del sistema

0x0401 US Árabe (Arabia Saudí)

0x0801 US Árabe (Irak)

0x0c01 US Árabe (Egipto)

0x1001 US Árabe (Libia)

0x1401 US Árabe (Argelia)

0x1801 US Árabe (Marruecos)

0x1c01 US Árabe (Túnez)

0x2001 US Árabe (Omán)

0x2401 US Árabe (Yemen)

0x2801 US Árabe (Siria)

0x2c01 US Árabe (Jordania)

0x3001 US Árabe (Líbano)

0x3401 US Árabe (Kuwait)

0x3801 US Árabe (E.A.U.)

0x3c01 US Árabe (Bahrein)

0x4001 US Árabe (Qatar)

US Árabe (102) AZERTY

X 0x0402 BG Búlgaro Fuente no disponible

0x0403 ES Catalán

0x0404 US Chino (Taiwán) Fuente no disponible

0x0804 US Chino (RPC) Fuente no disponible

0x0c04 US Chino (Hong Kong, ZAE RPC) “

0x1004 US Chino (Singapur) Fuente no disponible

0x1404 US Chino (Macao RAE) (98/ME,2K/XP)

X 0x0405 cz Checo

X 0x1402 cz_qwerty Checo (QWERTY)

US Checo (programación)

X 0x0406 dk Danés

X 0x0407 de Alemán (estándar)

X 0x0807 de_CH Alemán (Suiza)

0x0c07 de Alemán (Austria)

0x1007 de Alemán (Luxemburgo)

0x1407 de Alemán (Liechtenstein)

X 0x0408 el Griego Fuente no disponible

X 0x0409 us Inglés (Estados Unidos)

X 0x0809 gb Inglés (Reino Unido)

0x0c09 us Inglés (Australia)

0x1009 us Inglés (Canadá)

0x1409 us Inglés (Nueva Zelanda)

X 0x1809 ie Inglés (Irlanda)

0x1c09 US Inglés (Sudáfrica)

0x2009 US Inglés (Jamaica)

0x2409 US Inglés (Caribe)

0x2809 US Inglés (Belice)

0x2c09 US Inglés (Trinidad)

0x3009 US Inglés (Zimbabue) (98/ME,2K/XP)

0x3409 US Inglés (Filipinas) (98/ME,2K/XP)

X 0x040a ES Español (España, alfab. tradicional)

0x080a ES Español (México)

0x0c0a ES Español (España, alfab. internacional)

0x100a ES Español (Guatemala)

0x140a ES Español (Costa Rica)

0x180a ES Español (Panamá)

0x1c0a ES Español (República Dominicana)

0x200a ES Español (Venezuela)

0x240a ES Español (Colombia)

0x280a ES Español (Perú)

0x2c0a ES Español (Argentina)

0x300a ES Español (Ecuador)

0x340a ES Español (Chile)

0x380a ES Español (Uruguay)

0x3c0a ES Español (Paraguay)

0x400a ES Español (Bolivia)

0x440a ES Español (El Salvador)

0x480a ES Español (Honduras)

0x4c0a ES Español (Nicaragua)

0x500a ES Español (Puerto Rico)

X 0x040b fi Finés

US Finés (con sami)

X 0x040c fr Francés (estándar)

X 0x080c be Francés (Bélgica)

0x1080c be Belga (coma)

X 0x0c0c ca_enhanced Francés (Canadá)

US Francés (Canadá, heredado)

US Canadiense (multilingüe)

X 0x100c fr_CH Francés (Suiza)

0x140c fr_CH Francés (Luxemburgo)

0x180c fr Francés (Mónaco) (98/ME,2K/XP)

0x040d US Hebreo

X 0x040e hu Húngaro

X 0x040f is Islandés

X 0x0410 it Italiano (estándar)

0x0810 it Italiano (Suiza)

X 0x0411 jp Japonés

X 0x0412 ko Coreano Fuente no disponible

0x0812 US Coreano (Johab) (95,NT)

X 0x0413 nl Holandés (Países Bajos)

X 0x0813 be Holandés (Bélgica)

X 0x0414 no Noruego (Bokmal)

0x0814 no Noruego (Nynorsk)

X 0x0415 pl Polaco Fuente no disponible

X 0x0416 br Portugués (Brasil)

X 0x0816 pt Portugués (Portugal)

X 0x0418 ro Rumano

0x0419 US Ruso

0x041a US Croata

0x081a US Serbio (latino)

0x0c1a US Serbio (cirílico)

0x101a US Croata (Bosnia-Herzegovina)

0x141a US Bosnio (Bosnia-Herzegovina)

0x181a US Serbio (latino, Bosnia-Herzegovina)

0x1c1a US Serbio (cirílico, Bosnia-Herzegovina)

0x041b sk Eslovaco

0x041c US Albanés

X 0x041d se Sueco

0x081d se Sueco (Finlandia)

0x041e US Tailandés

X 0x041f tr Turco Fuente no disponible

0x0420 US Urdú (Pakistán) (98/ME,2K/XP)

0x0820 US Urdú (India)

0x0421 US Indonesio

0x0422 uk Ucraniano

0x0423 US Bielorruso

0x0424 sl Esloveno

0x0425 US Estonio

0x0426 lv Letón

0x0427 lt Lituano

0x0827 US Lituano (clásico) (98)

0x0429 US Persa

0x042a US Vietnamita (98/ME,NT,2K/XP)

0x042b US Armenio. Sólo Unicode. (2K/XP)

US Armenio oriental

US Armenio occidental

0x042c US Azerí (latino)

0x082c US Azeri (cirílico)

0x042d US Vasco

0x042f US Macedonio (FYROM)

0x0430 US Sutu

0x0432 US Setswana/Tswana (Sudáfrica)

0x0434 US isiXhosa/Xhosa (Sudáfrica)

0x0435 US isiZulu/Zulu (Sudáfrica)

0x0436 US Afrikaans

0x0437 US Georgiano. Sólo Unicode. (2K/XP)

0x0438 US Feroés

0x0439 US Hindú. Sólo Unicode. (2K/XP)

0x043a US Maltés (Malta)

0x043b US Sami septentrional (Noruega)

0x083b US Sami septentrional (Suecia)

0x0c3b US Sami septentrional (Finlandia)

0x103b US Sami lule (Noruega)

0x143b US Sami lule (Suecia)

0x183b US Sami meridional (Noruega)

0x1c3b US Sami meridional (Suecia)

0x203b US Sami skolt (Finlandia)

0x243b US Sami inari (Finlandia)

0x043e US Malayo (Malasia)

0x083e US Malayo (Sultanato de Brunei)

0x0440 US Kirguizo. (XP)

0x0441 US Swahili (Kenia)

0x0443 uz Uzbeko (latino)

0x0843 US Uzbeko (cirílico)

0x0444 US Tatar (Tatarstan)

0x0445 US Bengalí (India)

US Bengalí (inscript)

0x0446 US Punjabí. Sólo Unicode. (XP)

0x0447 US Gujarate. Sólo Unicode. (XP)

0x0449 US Tamil. Sólo Unicode. (2K/XP)

0x044a US Telugu. Sólo Unicode. (XP)

0x044b US Kannada. Sólo Unicode. (XP)

0x044c US Malayalam (India)

0x044e US Marathi. Sólo Unicode. (2K/XP)

0x044f US Sánscrito. Sólo Unicode. (2K/XP)

0x0450 US Mongol (XP)

0x0452 US Galés (Reino Unido)

0x0455 US Birmano

0x0456 US Gallego (XP)

0x0457 US Konkani. Sólo Unicode. (2K/XP)

0x045a US Sirio. Sólo Unicode. (XP)

0x0465 US Divehi. Sólo Unicode. (XP)

US Divehi (fonético)

US Divehi (máquina de escribir)

0x046b US Quechua (Bolivia)

0x086b US Quechua (Ecuador)

0x0c6b US Quechua (Perú)

0x046c US Sesotho sa Leboa/Sotho septentrional (Sudáfrica)

0x007f US LOCALE_INVARIANT. Vea MAKELCID.

0x0481 US Maorí (Nueva Zelanda)

5.5 SafeGuard Easy 4.x

Migración de SafeGuard Easy 4.30 o posterior a SGE 5.50
Para realizar la migración de SafeGuard Easy 4.x a SafeGuard Easy 5.50, es necesario que el usuario disponga de una cuenta de Windows. Si el usuario no conoce sus credenciales de Windows (por ejemplo, porque utiliza SAL para iniciar la sesión), deberá establecer una nueva contraseña para dicho usuario. Consulte la ayuda de administrador antes de proceder con la actualización.

5.6 SafeGuard LAN Crypt

· SafeGuard LAN Crypt 3.70 es la primera versión compatible con SafeGuard Enterprise Standalone (SafeGuard Easy 5.50). Si dispone de una versión anterior de SafeGuard LAN Crypt, se recomienda actualizar este programa primero.

· Si se intenta instalar SafeGuard Easy 5.50 en un sistema con SafeGuard LAN Crypt, aparecerá un mensaje indicando que SGLC Profile Loader se encuentra en uso. Esto se debe a que SafeGuard LAN Crypt y SafeGuard Easy comparten ciertos componentes. Puede ignorar este mensaje. La actualización se completará al reiniciar el sistema.

5.7 Lector de huellas digitales

Software de reconocimiento de huellas digitales Lenovo ThinkVantage
Debido a limitaciones en el software UPEK ThinkVantage Fingerprint, el inicio de sesión mediante el reconocimiento de huellas digitales no funciona si el nombre de usuario tiene algún espacio.

5.8 Problemas de interoperabilidad

Agente de Empirum Security Suite
Si el cliente de SGE 5.50 se instala en un sistema con el agente de Empirum Security Suite, se puede producir un error fatal del sistema:

Pantalla azul con código de error 0x00000044 MULTIPLE_IRP_COMPLETE_REQUESTS

Este problema lo causa uno de los componentes de Empirum Software. El problema se resuelve en Empirum Security Suite v5.
Para más información, póngase en contacto con Matrix42.
Lenovo Rescue and Recovery
La compatibilidad de SafeGuard Easy con las diferentes versiones de Rescue and Recovery se describe en: http://esp.sophos.com/support/knowledgebase/article/108383.html.
AbsoluteSoftware Computrace
SGE Device Encryption no se puede instalar en estaciones con AbsoluteSoftware Computrace ‘track-0 based persistent agent’ activo.

5.9 Discos duros SCSI

Agente de SafeGuard Easy Device Encryption
El cliente de SafeGuard Easy Device Encryption no es compatible con discos duros SCSI.

6 Soporte técnico

Para obtener asistencia técnica sobre cualquier producto de Sophos, puede:

Visitar el fórum SophosTalk en http://community.sophos.com/ para consultar casos similares.
Visitar la base de conocimiento de Sophos en http://esp.sophos.com/support/.
Descargar la documentación correspondiente desde http://esp.sophos.com/support/docs/.
Enviar un email a support@sophos.com indicando la versión del producto de Sophos, el sistema operativo y parches aplicados, y el texto exacto de cualquier mensaje de error.

Oberursel,4 de noviembre de 2010

Ninguna parte de esta publicación puede ser reproducida, almacenada o transmitida de ninguna forma, ni por ningún medio, sea éste electrónico, químico, mecánico, electro-óptico, grabación, fotocopia o cualquier otro, a menos que disponga de una licencia válida, en cuyo caso puede reproducirse según los términos del acuerdo de licencia, o con la previa autorización escrita por parte del propietario.

Sophos es una marca registrada de Sophos Plc y Sophos Group. SafeGuard es una marca registrada de Utimaco Safeware AG - miembro de Sophos Group. Todos los demás nombres de productos o empresas mencionados son marcas comerciales o registradas de sus respectivos propietarios.

Todos los productos SafeGuard tienen copyright de Utimaco Safeware AG - miembro de Sophos Group, o, si es aplicable, de sus licenciantes. Todos los productos de Sophos tienen copyright de Sophos Plc., o, si es aplicable, de sus licenciantes.

Podrá encontrar información de copyright de productos de terceros en el archivo Disclaimer and Copyright for 3rd Party Software.rtf en la carpeta del producto.