Aquesta és una de les novetats que ens presenta Windows Server 2008 també disponible a Windows Vista, la possibilitat de xifrar el nostre disc dur de manera que sigui impossible treure qualsevol tipus de dada, tot xifrat. Podrem emmagatzemar aquesta clau en un dispositiu USB tipus Pendrive USB o directament a un diskette, sense això, l'equip no podrà ni reiniciar ni ser desxifrat el disc. El típic per quan arrenquen el nostre equip des d'un LiveCD d'alguna eina per treure'ns dades o reviure la contrasenya de Windows. És ideal per quan vas a USA i et treuen el portàtil a la duana, jejeje, encara que et demanen la clau o… treuen el guant de goma ;), però en principi és informació que no s'hi podria accedir ja que està xifrada.

Opcionalment fa servir un mòdul de plataforma de confiança (TPM) per a una protecció millorada de les dades. Encara que també es pot utilitzar en equips sense un mòdul TPM compatible, amb això, s'ofereix el xifrat de volum però no la seguretat addicional de la validació d'integritat d'arxius de preinici. Per això, usarem una unitat USB o diskett vàlidant la identitat de l'usuari a l'inici. En resum:

Amb TPM tenim dues formes: Una, només TPM: seria transparent per a l' usuari i no canvia el mode d' inici de sessió. Tanmateix, si falta o s' ha modificat TPM, BitLocker introduirà el mode de recuperació i tindrà una contrasenya o clau de recuperació per tornar a tenir accés a les dades. I dos, amb clau d' inici: L'usuari necessitarà una clau d'inici per iniciar sessió a l'equip. Aquesta clau pot ser física (en un pendrive USB amb una clau llegible a l'equip) o personal (una clau establerta x l'usuari).

I sense TPM: (que serà l' exemple d' aquest document) serà mitjançant clau d' unitat flash USB. L'usuari inserirà una unitat USB a l'equip abans d'activar-lo, la clau del Pendrive, desbloquejarà l'equip.

Bo, comencem, per xifrar un disc amb BitLocket o Xifrat d'unitat BitLocker, el primer de tot, és que hem de particionar el disc ABANS d'instal·lar el sistema operatiu, ja que cal dues particions en el disc. La primera partició (volum del sistema), té la informació d' inici en un espai no xifrat. La segona partició (volum del sistema operatiu) xifra i conté dades d' usuaris i del sistema operatiu a xifrar. Així que hem de crear aquestes particions abans d'instal·lar Windows Server 2008 o Windows Vista.

Encenem l'equip i Introduïm el CD de Windows, iniciem l'assistent d'instal·lació en ell, “Següent”,

Posem en “Reparar l' equip”,

“Següent”,

Posem “Símbol del sistema” ja que des de línia de comandaments crearem ambdues particions.

Bé, hem de crear les dues particions, la primera amb un mínim d'1,5Gb i la segona amb la resta de l'espai del nostre disc, ja que serà aquí on estigui instal·lat Windows i tinguem les nostres dades xifrades. Des de la consola de DOS, executem “diskpart” per entrar en la utilitat de Microsoft de particionament. Seleccionem el nostre disc dur a particionar, si només en tenim un, escrivim “select disk 0” > “clean” > “create partition primary size=1500” > “assign letter = S” > “active” > “create partition primary” > “assign letter = C” > “list volume”. Amb això, creem una partició amb 1,5Gb necessari per BitLocker i creem una partició C: on instal·larem Windows, ho comprovem i sortim amb “exit” del DiskPart,

El que hem de fer ara és formatejar ambdues particions amb el format NTFS, per a això:
“format c: /i /q /fs:NTFS” y “format s: /i /q /fs:NTFS”

Sortim de DOS amb “exit”,

Ull, ara hem de sortir de les opcions de recuperació del sistema polsant en la “X” de la finestra 😉 per poder continuar amb la instal·lació del S.O.

Seguim l'assistent normal per instal·lar el nostre equip, així que posem en “Instal·lar ara”,

Sortiran les particions que hem creat des de Diskpart i seleccionem la partició gran que serà on instal·lem Windows 2008 o Windows Vista, “Següent” i continuem amb tot l'assistent d'instal·lació de Windows, un cop finalitzem amb la instal·lació continuarem amb el document.

Ok, una vegada instal·lat Windows, vam activar BitLocker, però abans, haurem d'instal·lar-lo, ja que és una característica nova de Windows, obrim el “Administrador del servidor” i anem a “Característiques” > “Agregar característiques”,

Marquem “Xifrat d' unitat BitLocker” & “Següent”,

OK, posem en “Instal·lar” per instal·lar-lo…

…

Bé, hem de reiniciar l'equip perquè sorgeixi efecte el que acabem d'instal·lar, així que posem en “Tancar”,

I reiniciem ara o quan puguem,

Un cop reiniciat, sortirà l'assistent d'instal·lació de BitLocker i ens confirmarà que la instal·lació va ser satisfactòria. “Tancar”,

Bo, ara queda activar-lo, per a això, ens anem al “Panell de Control” i aquí el tindrem en “Seguretat”, punxem en “Xifrat d' unitat BitLocker”,

Ens indica que el nostre equip no té un microxip compatible amb TPM, així que no ens queda més remei que usar el xifrat amb clau en un dispositiu USB o en disquet. Ummm.

Bo, vam permetre que es pugui fer servir BitLocker sense el xip compatible amb TPM, ho podem fer per exemple editant la directiva local de l'equip, per a això: “Inici” > “Executar” > “gpedit.msc” & “Acceptar”.

Anem a “Configuració de l' equip” > “Plantilles administratives” > “Components de Windows” > “Xifrat d' unitat BitLocker”. I modifiquem la directiva “Configuració del Panell de Control: Habilitar opcions d' inici avançades”.

L'habiliten i marquem “Permetre BitLocker sense un TPM compatible”, així com en “Configurar opció de clau d' inici del TPM” y “Configurar opció del NIP d' inici del TPM” a “Permetre a l' usuari crear o ometre” si ens interessa o no. Per suposat, aquesta GPO que estem editant, també es podria modificar a nivell de Directori Actiu a tots els equips de la nostra xarxa.

Un cop modificat, tanquem les MMC i actualitzem les directives amb “gpupdate /force”,

Un cop llest, si tornem al “Panell de Control” > “Xifrat d' unitat BitLocker” ja podrem disposar de BitLocker si ho activem des de “Activar BitLocker”,

Polsaríem en “Continuar amb el Xifrat d'unitat BitLocker”,

Emmagatzemarem la clau d'inici en un dispositiu USB marcant “Requerir clau d' inici USB en cada inici”,

Introduïm una memòria USB extraible a l'equip i posem en “Guardar”,

A part d'això, podrem guardar la contrasenya de recuperació en el mateix dispositiu USB, en una carpeta de xarxa o imprimir-la directament, això és per si bloquegem l'inici de l'equip. En el meu cas marcaré “Guardar contrasenya en una unitat USB”,

IDEM que abans, introduïm el Pendrive & “Guardar”,

Un cop guardada posem en “Següent”,

I ja podríem xifrar el volum o partició del nostre disc, marcant “Executar la comprovació del sistema de BitLocker” & “Continuar”. Jo en el meu cas no ho faré mitjançant GUI ja que de pas veiem els comandaments disponibles per DOS.

En aquest cas per guardar la contrasenya en comptes d'un dispositiu USB per guardar-la en un disquet, així que amb aquest script activarem el xifrat del nostre disc guardant la clau en un floppy. “cscript C:WindowsSystem32manage-bde.wsf -on C: -rp -sk A:” (-on indica la unitat a xifrar; -rp indica que usi una clau numèrica i -sk per indicar el destí de la clau),

Un cop executat el comandament ja tindrem la clau en el disquet, ara hauríem d'apuntar-nos la contrasenya de recuperació (aquesta que ens mostra) per aquí per si fos necessari en cas de pèrdua de la clau d' inici. Haurem de reiniciar l'equip per executar la prova de maquinari,

Un cop reiniciat l'equip, si executem l'script: “cscript C:WindowsSystem32manage-bde.wsf -status” podrem comprovar l'estat del xifrat de BitLocker, en aquest cas veiem que encara el disc no està xifrat, que va pel 47%, li donem temps que acabi…

Ok, llest, xifrat amb AES 128bit el meu disc!

Podem comprovar-ho també des de l'administrador de discos, indicarà que està “Xifrat amb BitLocker”,

I també podrem desactivar BitLocker si ens interessa en qualsevol moment, des del “Panell de Control” o per línia de comandaments: “cscript C:WindowsSystem32manage-bde.wsf -protectors -dissable C:”

O podrem duplicar ambdues claus, la contrasenya de recuperació o la clau d' inici.

Bo, un cop xifrat el disc, quan arrenca podrem comprovar com ens demana la clau d'inici que la tindrem o en un dispositiu USB o en un disquet, l'introduïm i llest, podrem arrencar.

Ok,

Si ens fixem amb qualsevol distro de Linux, ja no ens muntarà les particions NTFS de forma automàtica ja que és il·legible per a ell,

O si les intentem muntar manualment, veurem com falla (en l'exemple es veu com si munta el disc D: correctament, però el C: no, ja que està xifrat).

Aquest procediment és totalment compatible amb un entorn de màquines virtuals, si volem xifrar el disc dur virtual d'una màquina virtual, sigui en entorns VMware o XenServer o Hyper-V.