This is one of the new features that Windows Server presents to us 2008 also available on Windows Vista, the possibility of encrypting our hard drive so that it is impossible to remove any type of data, all encrypted. We can store this key on a USB device such as a USB Pendrive or directly on a floppy disk, without this, The computer will not be able to reboot or decrypt the disk. The typical thing for when they boot our computer from a LiveCD of some tool to extract data or break the Windows password. It's ideal for when you go to the USA and your laptop is taken away at customs, he, Even though they definitely ask you for the password or… They take out the rubber glove ;), but in principle it is information that could not be accessed since it is encrypted.

Opcionalmente usa un módulo de plataforma de confianza (TPM) para una protección mejorada de los datos. Aún que también se puede utilizar en equipos sin un módulo TPM compatible, With this, se ofrece el cifrado de volumen pero no la seguridad adicional de la validación de integridad de archivos de preinicio. Stop that, usaremos una unidad USB o diskett válidando la identidad del usuario al inicio. En resumen:

Con TPM tenemos dos formas: Una, sólo TPM: sería transparente para el usuario y no cambia el modo de inicio de sesión. However, si falta o se ha modificado TPM, BitLocker introducirá el modo de recuperación y tendrá una contraseña o clave de recuperación para volver a tener acceso a los datos. Y dos, with clave de inicio: El usuario necesitará una clave de inicio para iniciar sesión en el equipo. Esta clave puede ser física (en un pendrive USB con una clave legible en el equipo) o personal (una clave establecida x el usuario).

Y sin TPM: (que será el ejemplo de este documento) será mediante clave de unidad flash USB. El usuario insertará una unidad USB en el equipo antes de activarlo, la clave del Pendrive, desbloqueará el equipo.

Well, Started, para cifrar un disco con BitLocket o Cifrado de unidad BitLocker, First of all,, es que tenemos que particionar el disco ANTES de instalar el sistema operativo, ya quees necesario dos particiones en el disco. La primera partición (volumen del sistema), tiene la información de inicio en un espacio no cifrado. La segunda partición (volumen del sistema operativo) se cifra y contiene datos de usuarios y del sistema operativo a cifrar. Así que debemos crear estas particiones antes de instalar Windows Server 2008 o Windows Vista.

Encendemos el equipo e Introducimos el CD de Windows, iniciamos el asistente de instalación en él, “Following”,

Click on “Reparar el equipo”,

“Following”,

Pressed “Command Prompt” ya que desde línea de comandos crearemos ambas particiones.

GOOD, debemos crear las dos particiones, la primera con un mínimo de 1,5Gb y la segunda con el resto del espacio de nuestro disco, ya que será ahí donde esté instalado Windows y tengamos nuestros datos cifrados. Desde la consola de DOS, Run “diskpart” para entrar en la utilidad de Microsoft de particionamiento. Seleccionamos nuestro disco duro a particionar, si sólo tenemos uno, Write “select disk 0” > “Clean” > “create partition primary size=1500” > “assign letter=S” > “active” > “create partition primary” > “assign letter=C” > “list volume”. With this, creamos una partición con 1,5Gb necesario por BitLocker y creamos una partición C: donde instalaremos Windows, lo comprobamos y salimos con “exit” del DiskPart,

Lo que tenemos que hacer ahora es formatear ambas particiones con el formato NTFS, for this:
“format c: /y /q /fs:NTFS” and “format s: /y /q /fs:NTFS”

Salimos de DOS con “exit”,

Eye, ahora debemos salir de las opciones de recuperación del sistema pulsando en la “X” de la ventanita 😉 para poder continuar con la instalación del S.O.

Seguimos el asistente normal para instalar nuestro equipo, So we click on “Install Now”,

Saldrán las particiones que hemos creado desde Diskpart y seleccionamos la partición grande que será donde instalemos Windows 2008 o Windows Vista, “Following” y continuamos con todo el asistente de instalación de Windows, una vez finalicemos con la instalación continuaremos con el documento.

Ok, una vez instalado Windows, vamos a activar BitLocker, pero antes, deberemos instalarlo, ya que es una característica nueva de Windows, We open the “Server Administrator” and we are going to “Características” > “Add Features”,

Mark “BitLocker Drive Encryption” & “Following”,

OK, Click on “Install” to install it…

…

GOOD, debemos reiniciar el equipo para que surja efecto lo que acabamos de instalar, So we click on “Close”,

Y reiniciamos ahora o cuando podamos,

Once rebooted, saldrá el asistente de instalación de BitLocker y nos confirmará que la instalación fué satisfactoria. “Close”,

Well, ahora queda activarlo, for this, We're going to the “Panel de Control” y ahí lo tendremos en “Safety”, Click on “BitLocker Drive Encryption”,

Nos indica que nuestro equipo no tiene un microchip compatible con TPM, así que no nos queda más remedio que usar el cifrado con clave en un dispositivo USB o en disquete. Ummm.

Well, vamos a permitir que se pueda usar BitLocker sin el chip compatible con TPM, lo podemos hacer por ejemplo editando la directiva local del equipo, for this: “Beginning” > “Execute” > “gpedit.msc” & “Accept”.

We're going to “Equipment Setup” > “Administrative templates” > “Windows Components” > “BitLocker Drive Encryption”. Y modificamos la directiva “Configuración del Panel de Control: Habilitar opciones de inicio avanzadas”.

La habilitamos y marcamos “Permitir BitLocker sin un TPM compatible”, as well as in “Configurar opción de clave de inicio del TPM” and “Configurar opción del NIP de inicio del TPM” a “Permitir al usuario crear u omitir” whether we are interested or not. Of course, esta GPO que estamos editando, también se podría modificar a nivel de Directorio Activo a todos los equipos de nuestra red.

Una vez modificado, cerramos las MMC y actualizamos las directivas con “gpupdate /force”,

Once ready, si volvemos al “Panel de Control” > “BitLocker Drive Encryption” ya podremos disponer de BitLocker si lo activamos desde “Activar BitLocker”,

Pulsaríamos en “Continuar con el Cifrado de unidad BitLocker”,

Almacenaremos la clave de inicio en un dispositivo USB marcando “Requerir llave de inicio USB en cada inicio”,

Introducimos una memoria USB extraible en el equipo y pulsamos en “Save”,

Apart from this, podremos guardar la contraseña de recuperación en el mismo dispositivo USB, en una carpeta de red o imprimirla directamente, esto es por si bloqueamos el inicio del equipo. En mi caso marcaré “Guardar contraseña en una unidad USB”,

IDEM than before, introducimos el Pendrive & “Save”,

Una vez guardada pulsamos en “Following”,

Y ya podríamos cifrar el volumen o partición de nuestro disco, Marking “Ejecutar la comprobación del sistema de BitLocker” & “Continue”. Yo en mi caso no lo haré mediante GUI ya que de paso vemos los comandos disponibles por DOS.

En este caso para guardar la contraseña en vez de un dispositivo USB para guardarla en un disquete, así que con este script activaremos iniciaremos el cifrado de nuestro disco guardando la clave en un floppy. “cscript C:WindowsSystem32manage-bde.wsf -on C: -rp -sk A:” (-on indica la unidad a cifrar; -rp indica que use una clave numérica y -sk para indicar el destino de la clave),

Una vez ejecutado el comando ya tendremos la clave en el disquete, ahora deberíamos apuntarnos la contraseña de recuperación (esa que nos muestra) por ahí por si fuera necesario en caso de pérdida de la clave de inicio. Deberemos reiniciar el equipo para ejecutar la prueba de hardware,

After the computer restarts, si ejecutamos el script: “cscript C:WindowsSystem32manage-bde.wsf -status” podremos comprobar el estado del cifrado de BitLocker, en este caso vemos que todavía el disco no está cifrado, que va por el 47%, le damos tiempo a que acabe…

Ok, ready, cifrado con AES 128bit mi disco!

Podemos comprobarlo también desde el administrador de discos, indicará que está “Cifrado con BitLocker”,

Y también podremos desactivar BitLocker si nos interesa en cualquier momento, from the “Panel de Control” o por linea de comandos: “cscript C:WindowsSystem32manage-bde.wsf -protectors -disable C:”

O podremos duplicar ambas claves, la contraseña de recuperación o la clave de inicio.

Well, una vez cifrado el disco, cuando arranca podremos comprobar cómo nos pide la clave de inicio que la tendremos o en un dispositivo USB o en un disquete, lo introducimos y listo, podremos arrancar.

Ok,

Si nos fijamos con cualquier distro de Linux, ya no nos montará las particiones NTFS de forma automática ya que es ilegible para él,

O si las intentamos montar manualmente, veremos cómo falla (en el ejemplo se ve cómo si monta el disco D: correctamente, pero el C: No, ya que está cifrado).

Este procedimiento es totalmente compatible con un entorno de máquinas virtuales, si queremos cifrar el disco duro virtual de una máquina virtual, sea en entornos VMware o XenServer o Hyper-V.