Encriptando el disco duro con Bitlocker en Windows 2008 o Windows Vista

Esta es una de las novedades que nos presenta Windows Server 2008 también disponible en Windows Vista, la posibilidad de cifrar nuestro disco duro de forma que sea imposible sacar cualquier tipo de dato, todo cifrado. Podremos almacenar esta clave en un dispositivo USB tipo Pendrive USB o directamente a un diskette, sin esto, el equipo no podrá ni reiniciar ni ser descifrado el disco. Lo típico para cuando arrancan nuestro equipo desde un LiveCD de alguna herramienta para sacarnos datos o reventar la contraseña de Windows. Es ideal para cuando vas a USA y te quitan el portátil en la aduana, jejeje, aunq fijo q te piden la clave o… sacan el guante de goma ;), pero en principio es información que no se podría acceder ya que está cifrada.

Opcionalmente usa un módulo de plataforma de confianza (TPM) para una protección mejorada de los datos. Aún que también se puede utilizar en equipos sin un módulo TPM compatible, con esto, se ofrece el cifrado de volumen pero no la seguridad adicional de la validación de integridad de archivos de preinicio. Para eso, usaremos una unidad USB o diskett válidando la identidad del usuario al inicio. En resumen:

Con TPM tenemos dos formas: Una, sólo TPM: sería transparente para el usuario y no cambia el modo de inicio de sesión. Sin embargo, si falta o se ha modificado TPM, BitLocker introducirá el modo de recuperación y tendrá una contraseña o clave de recuperación para volver a tener acceso a los datos. Y dos, con clave de inicio: El usuario necesitará una clave de inicio para iniciar sesión en el equipo. Esta clave puede ser física (en un pendrive USB con una clave legible en el equipo) o personal (una clave establecida x el usuario).

Y sin TPM: (que será el ejemplo de este documento) será mediante clave de unidad flash USB. El usuario insertará una unidad USB en el equipo antes de activarlo, la clave del Pendrive, desbloqueará el equipo.

Bueno, empezamos, para cifrar un disco con BitLocket o Cifrado de unidad BitLocker, lo primero de todo, es que tenemos que particionar el disco ANTES de instalar el sistema operativo, ya quees necesario dos particiones en el disco. La primera partición (volumen del sistema), tiene la información de inicio en un espacio no cifrado. La segunda partición (volumen del sistema operativo) se cifra y contiene datos de usuarios y del sistema operativo a cifrar. Así que debemos crear estas particiones antes de instalar Windows Server 2008 o Windows Vista.

Encendemos el equipo e Introducimos el CD de Windows, iniciamos el asistente de instalación en él, “Siguiente”,

Pulsamos en “Reparar el equipo”,

“Siguiente”,

Pulsamos “Símbolo del sistema” ya que desde línea de comandos crearemos ambas particiones.

Bien, debemos crear las dos particiones, la primera con un mínimo de 1,5Gb y la segunda con el resto del espacio de nuestro disco, ya que será ahí donde esté instalado Windows y tengamos nuestros datos cifrados. Desde la consola de DOS, ejecutamos “diskpart” para entrar en la utilidad de Microsoft de particionamiento. Seleccionamos nuestro disco duro a particionar, si sólo tenemos uno, escribimos “select disk 0” > “clean” > “create partition primary size=1500” > “assign letter=S” > “active” > “create partition primary” > “assign letter=C” > “list volume”. Con esto, creamos una partición con 1,5Gb necesario por BitLocker y creamos una partición C: donde instalaremos Windows, lo comprobamos y salimos con “exit” del DiskPart,

Lo que tenemos que hacer ahora es formatear ambas particiones con el formato NTFS, para ello:
“format c: /y /q /fs:NTFS” y “format s: /y /q /fs:NTFS”

Salimos de DOS con “exit”,

Ojo, ahora debemos salir de las opciones de recuperación del sistema pulsando en la “X” de la ventanita 😉 para poder continuar con la instalación del S.O.

Seguimos el asistente normal para instalar nuestro equipo, así que pulsamos en “Instalar ahora”,

Saldrán las particiones que hemos creado desde Diskpart y seleccionamos la partición grande que será donde instalemos Windows 2008 o Windows Vista, “Siguiente” y continuamos con todo el asistente de instalación de Windows, una vez finalicemos con la instalación continuaremos con el documento.

Ok, una vez instalado Windows, vamos a activar BitLocker, pero antes, deberemos instalarlo, ya que es una característica nueva de Windows, abrimos el “Administrador del servidor” y vamos a “Características” > “Agregar características”,

Marcamos “Cifrado de unidad BitLocker” & “Siguiente”,

OK, pulsamos en “Instalar” para instalarlo…

Bien, debemos reiniciar el equipo para que surja efecto lo que acabamos de instalar, así que pulsamos en “Cerrar”,

Y reiniciamos ahora o cuando podamos,

Una vez reiniciado, saldrá el asistente de instalación de BitLocker y nos confirmará que la instalación fué satisfactoria. “Cerrar”,

Bueno, ahora queda activarlo, para ello, nos vamos al “Panel de Control” y ahí lo tendremos en “Seguridad”, pinchamos en “Cifrado de unidad BitLocker”,

Nos indica que nuestro equipo no tiene un microchip compatible con TPM, así que no nos queda más remedio que usar el cifrado con clave en un dispositivo USB o en disquete. Ummm.

Bueno, vamos a permitir que se pueda usar BitLocker sin el chip compatible con TPM, lo podemos hacer por ejemplo editando la directiva local del equipo, para ello: “Inicio” > “Ejecutar” > “gpedit.msc” & “Aceptar”.

Vamos a “Configuración del equipo” > “Plantillas administrativas” > “Componentes de Windows” > “Cifrado de unidad BitLocker”. Y modificamos la directiva “Configuración del Panel de Control: Habilitar opciones de inicio avanzadas”.

La habilitamos y marcamos “Permitir BitLocker sin un TPM compatible”, así como en “Configurar opción de clave de inicio del TPM” y “Configurar opción del NIP de inicio del TPM” a “Permitir al usuario crear u omitir” si nos interesa o no. Por supuesto, esta GPO que estamos editando, también se podría modificar a nivel de Directorio Activo a todos los equipos de nuestra red.

Una vez modificado, cerramos las MMC y actualizamos las directivas con “gpupdate /force”,

Una vez listo, si volvemos al “Panel de Control” > “Cifrado de unidad BitLocker” ya podremos disponer de BitLocker si lo activamos desde “Activar BitLocker”,

Pulsaríamos en “Continuar con el Cifrado de unidad BitLocker”,

Almacenaremos la clave de inicio en un dispositivo USB marcando “Requerir llave de inicio USB en cada inicio”,

Introducimos una memoria USB extraible en el equipo y pulsamos en “Guardar”,

A parte de esto, podremos guardar la contraseña de recuperación en el mismo dispositivo USB, en una carpeta de red o imprimirla directamente, esto es por si bloqueamos el inicio del equipo. En mi caso marcaré “Guardar contraseña en una unidad USB”,

IDEM que antes, introducimos el Pendrive & “Guardar”,

Una vez guardada pulsamos en “Siguiente”,

Y ya podríamos cifrar el volumen o partición de nuestro disco, marcando “Ejecutar la comprobación del sistema de BitLocker” & “Continuar”. Yo en mi caso no lo haré mediante GUI ya que de paso vemos los comandos disponibles por DOS.

En este caso para guardar la contraseña en vez de un dispositivo USB para guardarla en un disquete, así que con este script activaremos iniciaremos el cifrado de nuestro disco guardando la clave en un floppy. “cscript C:WindowsSystem32manage-bde.wsf -on C: -rp -sk A:” (-on indica la unidad a cifrar; -rp indica que use una clave numérica y -sk para indicar el destino de la clave),

Una vez ejecutado el comando ya tendremos la clave en el disquete, ahora deberíamos apuntarnos la contraseña de recuperación (esa que nos muestra) por ahí por si fuera necesario en caso de pérdida de la clave de inicio. Deberemos reiniciar el equipo para ejecutar la prueba de hardware,

Una vez reiniciado el equipo, si ejecutamos el script: “cscript C:WindowsSystem32manage-bde.wsf -status” podremos comprobar el estado del cifrado de BitLocker, en este caso vemos que todavía el disco no está cifrado, que va por el 47%, le damos tiempo a que acabe…

Ok, listo, cifrado con AES 128bit mi disco!

Podemos comprobarlo también desde el administrador de discos, indicará que está “Cifrado con BitLocker”,

Y también podremos desactivar BitLocker si nos interesa en cualquier momento, desde el “Panel de Control” o por linea de comandos: “cscript C:WindowsSystem32manage-bde.wsf -protectors -disable C:”

O podremos duplicar ambas claves, la contraseña de recuperación o la clave de inicio.

Bueno, una vez cifrado el disco, cuando arranca podremos comprobar cómo nos pide la clave de inicio que la tendremos o en un dispositivo USB o en un disquete, lo introducimos y listo, podremos arrancar.

Ok,

Si nos fijamos con cualquier distro de Linux, ya no nos montará las particiones NTFS de forma automática ya que es ilegible para él,

O si las intentamos montar manualmente, veremos cómo falla (en el ejemplo se ve cómo si monta el disco D: correctamente, pero el C: no, ya que está cifrado).

Este procedimiento es totalmente compatible con un entorno de máquinas virtuales, si queremos cifrar el disco duro virtual de una máquina virtual, sea en entornos VMware o XenServer o Hyper-V.


Héctor Herrero

Autor del blog Bujarra.com
Cualquier necesidad que tengas, no dudes en contactar conmigo, os intentare ayudar siempre que pueda, compartir es vivir 😉 . Disfrutar de los documentos!!!

Últimos Posts de: Héctor Herrero (ver todos)