Bitlocker PDF
-
Upload
cristian-munoz-silva -
Category
Documents
-
view
234 -
download
3
Transcript of Bitlocker PDF
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 1/21
o
Bitlocker: Recuperar Acceso a Datos
Actualmente es muy común el uso de dispositivos portátiles, que como todos sabemos
tienen un riesgo de pérdida o sustracción. El problema es que a veces es mucho más
valiosa la información contenida en el dispositivo, que el propio dispositivo
¿Es realmente conciente del riesgo que implica lo anterior?
Hay más de un método para proteger la información y los datos almacenados en un
dispositivo portátil. El primero ofrecido por Microsoft fue EFS (“Encrypted File
System” = Sistema de Cifrado de Archivos), pero últimamente se han descubierto
ciertas posibles vulnerabilidades, que aunque poco probables, realmente existen
El segúndo método, y del que nos ocuparemos en esta ocasión es el uso de cifrado dediscos mediante Bitlocker
El posible problema de Bitlocker, aunque parezca mentira, es justamente la seguridad
pues es seguro :-)
¿Qué sucedería si deja de funcionar el hardware? ¿qué sucedería si el usuario olvida la
contraseña o pierde el “pendrive” con las claves? ¿lo pensó? :-)
Bien, vamos a ver cómo podemos solucionar estos últimos casos
En realidad nunca deberían producirse los hechos nombrados de pérdida de la
información de recuperación, pero a veces sobre todo los usuarios normales no sonconscientes totalmente de la seguridad, y aunque el sistema los obliga a guardar
información de recuperación, no siempre la conservan
O no ha faltado el caso que guardan la información de recuperación en el mismo disco
que han cifrado (si, ya lo he visto, no reirse que todos podemos tener un instante de
tontería)
Lo que nos permite recuperar sí o sí la información para poder acceder a un disco
cifrado con Bitlocker, es que en el Dominio Active Directory se guarde
automáticamente, y sin intervención, la contraseña de recuperación, que no es la misma
que puede haber puesto el usuario para ingresar al sistema
Personalmente he utilizado Bitlocker con Windows 7, por bastante tiempo, y muy buen
resultado. Inclusive como mi equipo no disponía del chip TPM, utilizaba un “pendrive”
para habilitar el arranque
Hasta que una vez perdí el “pendrive”. Menos mal que llevaba encima, en forma
impresa, la clave de recuperación, pues al no estar en ambiente de Dominio no me iba a
quedar opción
En esta nota desarrollaré el caso, que el usuario haya protegido el sistema por
contraseña de acceso y luego se la olvide, y además que no haya guardado copia de la
información, por supuesto en ambiente de Dominio Active Directory
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 2/21
Las máquinas necesarias para la demostración son solamente dos: un Controlador de
Dominio, y una máquina cliente.
Sigo utilizando la misma infraestructura de todas estas demostraciones: el Dominio se
llama “ad.guillermod.com.ar” con Windows Server 2012 R2, y el cliente usaré un
Windows 8.1. Se puede hacer con alguna variación si fueran sistemas operativos
anteriores
En el Dominio he creado una Unidad Organizativa llamada “Portables” donde he puesto
al cliente CL1, ya que debemos aplicar Directivas de Grupo (GPOs)
Comenzaremos creando y enlazando una GPO a esta Unidad Organizativa
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 3/21
Yo la he llamado “Bitlocker Recovery” pero denle el nombre que les parezca más
adecuado a cada uno
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 4/21
En mi caso, como lo estoy haciendo con máquinas virtuales (VMware) no disponemos
de TPM, así que deberé configurar para permitir el uso de Bitlocker sin el mismo. Esta
opción es totalmente válida si lo quieren aplicar a dispositivos sin TPM reales
Yo lo he hecho sobre el disco del sistema operativo, porque creo que es la opción máscomún, ya que la mayoría de los dispositivos portables tienen un único disco, pero de la
misma forma lo podría hacer sobre discos removibles o todos los fijos
Debemos editar: “Computer Configuration / Policies / Administrative Templates /
Windows Components / Bitlocker Drive Encryption / Operating System Drives
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 5/21
Debemos modificar la opción “Require additional authentication at startup” para
permitir el uso de Bitlocker sin TPM
En cuanto la habilitamos se marcará la opción correspondiente
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 6/21
Y ahora sí, la configuración importante para que la información sea almacenada en
Active Directory. En el mismo lugar debemos habilitar y configurar “Choose how
Bitlocker-protected operating system drives can be recovered”
Debemos marcar “Allow data recovery agent”, y una que me parció muy buena paraimpedir que los usuarios utilicen Bitlocker hasta que la información de seguridad no
esté en Active Directory, como es “Do not enable Bitlocker until recovery information
is stored in AD DS for operating system drives”
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 7/21
Quedará así la GPO
Ahora en CL1 para que esta GPO se aplique fuerzo la reaplicación de la GPO, o si
quieren pueden reinicarlo
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 8/21
Y vamos a Panel de Control para configurar Bitlocker
Habilitaremos Bitlocker sobre el disco C:
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 9/21
Acá tenemos dos opciones para proteger el arranque. La primera es la inserción de un
“pendrive” al momento del arranque, y la segunda que es la que demostraré, es
mediante una protección por contraseña
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 10/21
Asegurarnos de poner una “buena” contraseña, y que no la olvidaremos ;-)
Y ahora nos pregunta dónde guardará la información de recuperación ante emergencias.
Elegiré un archivo. Cuidado que la opción del “USB flash drive” no es lo mismo
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 11/21
Yo he seleccionado guardarla en un “pendrive” ya que el sistema tiene la suficiente
“inteligencia” para no permitir guardarla en el mismo disco cifrado
Podríamos también imprimir la información, aunque en este caso no lo haré
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 12/21
La siguiente es una opción nueva desde Windows 8, que permite ahorrar mucho tiempo
en el proceso de cifrado
Es altamente recomendable dejar que el sistema verifique que se podrá cifrar sin problemas
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 13/21
Y justamente por lo anterior, pedirá reinciar la máquina para verificar que todo esté
correcto, y solamente luego comenzará con el cifrado
Apenas reincia, y antes de la carga del sistema operativo nos pedirá la contraseña deseguridad que habíamos puesto anteriormente
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 14/21
Si pusimos bien la contraseña continua la carga del sistema operativo y nos mostrará
que está cifrando la información
Aunque el proceso es mucho más rápido que en Windows 7, este se tomará su tiempo
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 15/21
Mientras el sistema trabaja podemos acceder a nuestro “pendrive”, ver el archivo
creado, y su contenido
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 16/21
Si no la imprimieron antes, es un buen momento para hacerlo con la clave de
recuperación, aunque por supuesto podemos estar tranquilos en cuanto ya está guardada
en Active Directory
Y finaliza
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 17/21
Para poder acceder a la clave de recuperación almacenada en Active Directory debemos
instalar Bitlocker en un Controlador de Dominio. Mostaré sólo la pantalla de selección,
ya que se hace como cualquier otro componente
Esto no lo esperaba, hay que reiniciar :-(
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 18/21
Luego del reinicio abrimos “Active Directory Users and Computer” y debemos
seleccionar ver las opciones avanzadas
Vamos a las Propiedades del cliente en cuestión
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 19/21
Y observamos que se ha añadido una nueva ficha “Bitlocker Recovery” donde podemos
ver la contraseña de recuperación (“Recovery Password”)
Ahora volvamos a CL1, reiniciamos, y suponemos que no conocemos la contraseña o el
usuario la ha olvidado, en cuyo caso debe, según se indica, pusar la tecal ESC
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 20/21
Es el momento en que el administrador debe buscar la contraseña de recuperación en
Active Directory y proporcionársela al usuario, o ingresarla él mismo :-)
¿Arrancará? parece que sí :-)
8/18/2019 Bitlocker PDF
http://slidepdf.com/reader/full/bitlocker-pdf 21/21
Si, por supuesto, arranca, y podremos ingresar nuevamente a la configuración de
Bitlocker y si es necesario cambiar la contraseña olvidada. Y al usuario … :-D
Con esta demostración de recuperación de Bitlocker, ya doy por finalizada la nota,
solamente recomendarles que si lo fueran a aplicar a Windows Vista, revisen las otrasopciones de la GPO, que son diferentes, no separa en diferentes tipos de discos