bitlocker pdf

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 1/21

o

Bitlocker: Recuperar Acceso a Datos

Actualmente es muy común el uso de dispositivos portátiles, que como todos sabemos

tienen un riesgo de pérdida o sustracción. El problema es que a veces es mucho más

valiosa la información contenida en el dispositivo, que el propio dispositivo

¿Es realmente conciente del riesgo que implica lo anterior?

Hay más de un método para proteger la información y los datos almacenados en un

dispositivo portátil. El primero ofrecido por Microsoft fue EFS (“Encrypted File

System” = Sistema de Cifrado de Archivos), pero últimamente se han descubierto

ciertas posibles vulnerabilidades, que aunque poco probables, realmente existen

El segúndo método, y del que nos ocuparemos en esta ocasión es el uso de cifrado dediscos mediante Bitlocker

El posible problema de Bitlocker, aunque parezca mentira, es justamente la seguridad

 pues es seguro :-)

¿Qué sucedería si deja de funcionar el hardware? ¿qué sucedería si el usuario olvida la

contraseña o pierde el “pendrive” con las claves? ¿lo pensó? :-)

Bien, vamos a ver cómo podemos solucionar estos últimos casos

En realidad nunca deberían producirse los hechos nombrados de pérdida de la

información de recuperación, pero a veces sobre todo los usuarios normales no sonconscientes totalmente de la seguridad, y aunque el sistema los obliga a guardar

información de recuperación, no siempre la conservan

O no ha faltado el caso que guardan la información de recuperación en el mismo disco

que han cifrado (si, ya lo he visto, no reirse que todos podemos tener un instante de

tontería)

Lo que nos permite recuperar sí o sí la información para poder acceder a un disco

cifrado con Bitlocker, es que en el Dominio Active Directory se guarde

automáticamente, y sin intervención, la contraseña de recuperación, que no es la misma

que puede haber puesto el usuario para ingresar al sistema

Personalmente he utilizado Bitlocker con Windows 7, por bastante tiempo, y muy buen

resultado. Inclusive como mi equipo no disponía del chip TPM, utilizaba un “pendrive”

 para habilitar el arranque

Hasta que una vez perdí el “pendrive”. Menos mal que llevaba encima, en forma

impresa, la clave de recuperación, pues al no estar en ambiente de Dominio no me iba a

quedar opción

En esta nota desarrollaré el caso, que el usuario haya protegido el sistema por

contraseña de acceso y luego se la olvide, y además que no haya guardado copia de la

información, por supuesto en ambiente de Dominio Active Directory

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 2/21

Las máquinas necesarias para la demostración son solamente dos: un Controlador de

Dominio, y una máquina cliente.

Sigo utilizando la misma infraestructura de todas estas demostraciones: el Dominio se

llama “ad.guillermod.com.ar” con Windows Server 2012 R2, y el cliente usaré un

Windows 8.1. Se puede hacer con alguna variación si fueran sistemas operativos

anteriores

En el Dominio he creado una Unidad Organizativa llamada “Portables” donde he puesto

al cliente CL1, ya que debemos aplicar Directivas de Grupo (GPOs)

Comenzaremos creando y enlazando una GPO a esta Unidad Organizativa

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 3/21

Yo la he llamado “Bitlocker Recovery” pero denle el nombre que les parezca más

adecuado a cada uno

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 4/21

En mi caso, como lo estoy haciendo con máquinas virtuales (VMware) no disponemos

de TPM, así que deberé configurar para permitir el uso de Bitlocker sin el mismo. Esta

opción es totalmente válida si lo quieren aplicar a dispositivos sin TPM reales

Yo lo he hecho sobre el disco del sistema operativo, porque creo que es la opción máscomún, ya que la mayoría de los dispositivos portables tienen un único disco, pero de la

misma forma lo podría hacer sobre discos removibles o todos los fijos

Debemos editar: “Computer Configuration / Policies / Administrative Templates /

Windows Components / Bitlocker Drive Encryption / Operating System Drives

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 5/21

Debemos modificar la opción “Require additional authentication at startup” para

 permitir el uso de Bitlocker sin TPM

En cuanto la habilitamos se marcará la opción correspondiente

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 6/21

Y ahora sí, la configuración importante para que la información sea almacenada en

Active Directory. En el mismo lugar debemos habilitar y configurar “Choose how

Bitlocker-protected operating system drives can be recovered”

Debemos marcar “Allow data recovery agent”, y una que me parció muy buena paraimpedir que los usuarios utilicen Bitlocker hasta que la información de seguridad no

esté en Active Directory, como es “Do not enable Bitlocker until recovery information

is stored in AD DS for operating system drives”

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 7/21

Quedará así la GPO

Ahora en CL1 para que esta GPO se aplique fuerzo la reaplicación de la GPO, o si

quieren pueden reinicarlo

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 8/21

Y vamos a Panel de Control para configurar Bitlocker

Habilitaremos Bitlocker sobre el disco C:

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 9/21

Acá tenemos dos opciones para proteger el arranque. La primera es la inserción de un

“pendrive” al momento del arranque, y la segunda que es la que demostraré, es

mediante una protección por contraseña

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 10/21

Asegurarnos de poner una “buena” contraseña, y que no la olvidaremos ;-)

Y ahora nos pregunta dónde guardará la información de recuperación ante emergencias.

Elegiré un archivo. Cuidado que la opción del “USB flash drive” no es lo mismo

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 11/21

Yo he seleccionado guardarla en un “pendrive” ya que el sistema tiene la suficiente

“inteligencia” para no permitir guardarla en el mismo disco cifrado

Podríamos también imprimir la información, aunque en este caso no lo haré

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 12/21

La siguiente es una opción nueva desde Windows 8, que permite ahorrar mucho tiempo

en el proceso de cifrado

Es altamente recomendable dejar que el sistema verifique que se podrá cifrar sin problemas

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 13/21

Y justamente por lo anterior, pedirá reinciar la máquina para verificar que todo esté

correcto, y solamente luego comenzará con el cifrado

Apenas reincia, y antes de la carga del sistema operativo nos pedirá la contraseña deseguridad que habíamos puesto anteriormente

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 14/21

Si pusimos bien la contraseña continua la carga del sistema operativo y nos mostrará

que está cifrando la información

Aunque el proceso es mucho más rápido que en Windows 7, este se tomará su tiempo

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 15/21

Mientras el sistema trabaja podemos acceder a nuestro “pendrive”, ver el archivo

creado, y su contenido

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 16/21

Si no la imprimieron antes, es un buen momento para hacerlo con la clave de

recuperación, aunque por supuesto podemos estar tranquilos en cuanto ya está guardada

en Active Directory

Y finaliza

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 17/21

Para poder acceder a la clave de recuperación almacenada en Active Directory debemos

instalar Bitlocker en un Controlador de Dominio. Mostaré sólo la pantalla de selección,

ya que se hace como cualquier otro componente

Esto no lo esperaba, hay que reiniciar :-(

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 18/21

Luego del reinicio abrimos “Active Directory Users and Computer” y debemos

seleccionar ver las opciones avanzadas

Vamos a las Propiedades del cliente en cuestión

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 19/21

Y observamos que se ha añadido una nueva ficha “Bitlocker Recovery” donde podemos

ver la contraseña de recuperación (“Recovery Password”)

Ahora volvamos a CL1, reiniciamos, y suponemos que no conocemos la contraseña o el

usuario la ha olvidado, en cuyo caso debe, según se indica, pusar la tecal ESC

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 20/21

Es el momento en que el administrador debe buscar la contraseña de recuperación en

Active Directory y proporcionársela al usuario, o ingresarla él mismo :-)

¿Arrancará? parece que sí :-)

8/18/2019 Bitlocker PDF

http://slidepdf.com/reader/full/bitlocker-pdf 21/21

Si, por supuesto, arranca, y podremos ingresar nuevamente a la configuración de

Bitlocker y si es necesario cambiar la contraseña olvidada. Y al usuario … :-D

Con esta demostración de recuperación de Bitlocker, ya doy por finalizada la nota,

solamente recomendarles que si lo fueran a aplicar a Windows Vista, revisen las otrasopciones de la GPO, que son diferentes, no separa en diferentes tipos de discos