Bitlocker PDF

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 1/21

o

Bitlocker: Recuperar Acceso a Datos

Actualmente es muy común el uso de dispositivos portátiles, que como todos sabemos

tienen un riesgo de pérdida o sustracción. El problema es que a veces es mucho más

valiosa la información contenida en el dispositivo, que el propio dispositivo

¿Es realmente conciente del riesgo que implica lo anterior?

Hay más de un método para proteger la información y los datos almacenados en un

dispositivo portátil. El primero ofrecido por Microsoft fue EFS (“Encrypted File

System” = Sistema de Cifrado de Archivos), pero últimamente se han descubierto

ciertas posibles vulnerabilidades, que aunque poco probables, realmente existen

El segúndo método, y del que nos ocuparemos en esta ocasión es el uso de cifrado dediscos mediante Bitlocker

El posible problema de Bitlocker, aunque parezca mentira, es justamente la seguridad

pues es seguro :-)

¿Qué sucedería si deja de funcionar el hardware? ¿qué sucedería si el usuario olvida la

contraseña o pierde el “pendrive” con las claves? ¿lo pensó? :-)

Bien, vamos a ver cómo podemos solucionar estos últimos casos

En realidad nunca deberían producirse los hechos nombrados de pérdida de la

información de recuperación, pero a veces sobre todo los usuarios normales no sonconscientes totalmente de la seguridad, y aunque el sistema los obliga a guardar

información de recuperación, no siempre la conservan

O no ha faltado el caso que guardan la información de recuperación en el mismo disco

que han cifrado (si, ya lo he visto, no reirse que todos podemos tener un instante de

tontería)

Lo que nos permite recuperar sí o sí la información para poder acceder a un disco

cifrado con Bitlocker, es que en el Dominio Active Directory se guarde

automáticamente, y sin intervención, la contraseña de recuperación, que no es la misma

que puede haber puesto el usuario para ingresar al sistema

Personalmente he utilizado Bitlocker con Windows 7, por bastante tiempo, y muy buen

resultado. Inclusive como mi equipo no disponía del chip TPM, utilizaba un “pendrive”

para habilitar el arranque

Hasta que una vez perdí el “pendrive”. Menos mal que llevaba encima, en forma

impresa, la clave de recuperación, pues al no estar en ambiente de Dominio no me iba a

quedar opción

En esta nota desarrollaré el caso, que el usuario haya protegido el sistema por

contraseña de acceso y luego se la olvide, y además que no haya guardado copia de la

información, por supuesto en ambiente de Dominio Active Directory



Las máquinas necesarias para la demostración son solamente dos: un Controlador de

Dominio, y una máquina cliente.

Sigo utilizando la misma infraestructura de todas estas demostraciones: el Dominio se

llama “ad.guillermod.com.ar” con Windows Server 2012 R2, y el cliente usaré un

Windows 8.1. Se puede hacer con alguna variación si fueran sistemas operativos

anteriores

En el Dominio he creado una Unidad Organizativa llamada “Portables” donde he puesto

al cliente CL1, ya que debemos aplicar Directivas de Grupo (GPOs)

Comenzaremos creando y enlazando una GPO a esta Unidad Organizativa



Yo la he llamado “Bitlocker Recovery” pero denle el nombre que les parezca más

adecuado a cada uno



En mi caso, como lo estoy haciendo con máquinas virtuales (VMware) no disponemos

de TPM, así que deberé configurar para permitir el uso de Bitlocker sin el mismo. Esta

opción es totalmente válida si lo quieren aplicar a dispositivos sin TPM reales

Yo lo he hecho sobre el disco del sistema operativo, porque creo que es la opción máscomún, ya que la mayoría de los dispositivos portables tienen un único disco, pero de la

misma forma lo podría hacer sobre discos removibles o todos los fijos

Debemos editar: “Computer Configuration / Policies / Administrative Templates /

Windows Components / Bitlocker Drive Encryption / Operating System Drives



Debemos modificar la opción “Require additional authentication at startup” para

permitir el uso de Bitlocker sin TPM

En cuanto la habilitamos se marcará la opción correspondiente



Y ahora sí, la configuración importante para que la información sea almacenada en

Active Directory. En el mismo lugar debemos habilitar y configurar “Choose how

Bitlocker-protected operating system drives can be recovered”

Debemos marcar “Allow data recovery agent”, y una que me parció muy buena paraimpedir que los usuarios utilicen Bitlocker hasta que la información de seguridad no

esté en Active Directory, como es “Do not enable Bitlocker until recovery information

is stored in AD DS for operating system drives”



Quedará así la GPO

Ahora en CL1 para que esta GPO se aplique fuerzo la reaplicación de la GPO, o si

quieren pueden reinicarlo



Y vamos a Panel de Control para configurar Bitlocker

Habilitaremos Bitlocker sobre el disco C:



Acá tenemos dos opciones para proteger el arranque. La primera es la inserción de un

“pendrive” al momento del arranque, y la segunda que es la que demostraré, es

mediante una protección por contraseña



Asegurarnos de poner una “buena” contraseña, y que no la olvidaremos ;-)

Y ahora nos pregunta dónde guardará la información de recuperación ante emergencias.

Elegiré un archivo. Cuidado que la opción del “USB flash drive” no es lo mismo



Yo he seleccionado guardarla en un “pendrive” ya que el sistema tiene la suficiente

“inteligencia” para no permitir guardarla en el mismo disco cifrado

Podríamos también imprimir la información, aunque en este caso no lo haré



La siguiente es una opción nueva desde Windows 8, que permite ahorrar mucho tiempo

en el proceso de cifrado

Es altamente recomendable dejar que el sistema verifique que se podrá cifrar sin problemas



Y justamente por lo anterior, pedirá reinciar la máquina para verificar que todo esté

correcto, y solamente luego comenzará con el cifrado

Apenas reincia, y antes de la carga del sistema operativo nos pedirá la contraseña deseguridad que habíamos puesto anteriormente



Si pusimos bien la contraseña continua la carga del sistema operativo y nos mostrará

que está cifrando la información

Aunque el proceso es mucho más rápido que en Windows 7, este se tomará su tiempo



Mientras el sistema trabaja podemos acceder a nuestro “pendrive”, ver el archivo

creado, y su contenido



Si no la imprimieron antes, es un buen momento para hacerlo con la clave de

recuperación, aunque por supuesto podemos estar tranquilos en cuanto ya está guardada

en Active Directory

Y finaliza



Para poder acceder a la clave de recuperación almacenada en Active Directory debemos

instalar Bitlocker en un Controlador de Dominio. Mostaré sólo la pantalla de selección,

ya que se hace como cualquier otro componente

Esto no lo esperaba, hay que reiniciar :-(



Luego del reinicio abrimos “Active Directory Users and Computer” y debemos

seleccionar ver las opciones avanzadas

Vamos a las Propiedades del cliente en cuestión



Y observamos que se ha añadido una nueva ficha “Bitlocker Recovery” donde podemos

ver la contraseña de recuperación (“Recovery Password”)

Ahora volvamos a CL1, reiniciamos, y suponemos que no conocemos la contraseña o el

usuario la ha olvidado, en cuyo caso debe, según se indica, pusar la tecal ESC



Es el momento en que el administrador debe buscar la contraseña de recuperación en

Active Directory y proporcionársela al usuario, o ingresarla él mismo :-)

¿Arrancará? parece que sí :-)



Si, por supuesto, arranca, y podremos ingresar nuevamente a la configuración de

Bitlocker y si es necesario cambiar la contraseña olvidada. Y al usuario … :-D

Con esta demostración de recuperación de Bitlocker, ya doy por finalizada la nota,

solamente recomendarles que si lo fueran a aplicar a Windows Vista, revisen las otrasopciones de la GPO, que son diferentes, no separa en diferentes tipos de discos

Bitlocker PDF

Documents

Transcript of Bitlocker PDF