Bitlockerrekin disko gogorra enkriptatzea Windows-en 2008 edo Windows Vistan

Inprimatzeko Lagunkoa, PDF eta Email

Hau da Windows Serverrek aurkezten dizkigun berrikuntzetako bat 2008 also Windows Vistan eskuragarri, Gure disko gogorra modu batean zifratzeko aukera, datu mota guztiak ateratzea ezinezkoa izango dena, dena zifratuta. Giltza hau USB motako pendrive batean edo zuzenean diskete batean gorde ahal izango dugu, honek gabe, ordenagailuak ezingo du berrabiarazi ezta diskoa deszifratu ere egin. Orokorra da gure ordenagailua LiveCD batekin abiarazten dutenean, datuak ateratzeko edo Windowsen pasahitza hautsi nahian. Ideal da AEBetara joaten zarenean eta zergen bulegoan portatil zaizuenean, jejeje, nahiz eta ziur asko giltza eskatuko dizut… gomazko eskularrua ateratzen duten ala ez ;), pero en principio es información que no se podría acceder ya que está cifrada.

Opcionalmente usa un módulo de plataforma de confianza (TPM) para una protección mejorada de los datos. Aún que también se puede utilizar en equipos sin un módulo TPM compatible, con esto, se ofrece el cifrado de volumen pero no la seguridad adicional de la validación de integridad de archivos de preinicio. Para eso, usaremos una unidad USB o diskett válidando la identidad del usuario al inicio. En resumen:

Con TPM tenemos dos formas: Una, sólo TPM: sería transparente para el usuario y no cambia el modo de inicio de sesión. Hala ere, si falta o se ha modificado TPM, BitLocker introducirá el modo de recuperación y tendrá una contraseña o clave de recuperación para volver a tener acceso a los datos. Y dos, con clave de inicio: El usuario necesitará una clave de inicio para iniciar sesión en el equipo. Esta clave puede ser física (en un pendrive USB con una clave legible en el equipo) o personal (una clave establecida x el usuario).

Y sin TPM: (que será el ejemplo de este documento) será mediante clave de unidad flash USB. El usuario insertará una unidad USB en el equipo antes de activarlo, la clave del Pendrive, desbloqueará el equipo.

Onena, has gaitezen, para cifrar un disco con BitLocket o Cifrado de unidad BitLocker, Lehenik eta behin, es que tenemos que particionar el disco ANTES de instalar el sistema operativo, ya quees necesario dos particiones en el disco. Lehen zatidura (sistemaren bolumena), hasierako informazioa zifratuta ez dagoen espazio batean dago. Bigarren zatidura (sistema eragilearen bolumena) zifratu egiten da eta erabiltzaileen eta sistema eragilearen datuak ditu zifratzeko. Beraz, Windows Server instalatu aurretik zatidura hauek sortu behar ditugu 2008 edo Windows Vistan.

Ordenagailua pizten dugu eta Windows CDa sartzen dugu, instalazio laguntzailea bertan hasten dugu, “Hurrengoa”,

Sakatu on “Ordenagailua konpondu”,

“Hurrengoa”,

Sakatu “Sistema ikurra” komando lerrotik bi zatidura sortuko ditugunez.

Ondo, bi zatidura sortu behar ditugu, lehena gutxienez 1,5 Gb-koa eta bigarrena gure diskoaren gainerako espazioa, han instalatuko da Windows eta gure datuak zifratuta edukiko ditugu. Desde la consola de DOS, ejecutamos “diskpart” para entrar en la utilidad de Microsoft de particionamiento. Seleccionamos nuestro disco duro a particionar, si sólo tenemos uno, escribimos “select disk 0” > “clean” > “create partition primary size=1500” > “assign letter=S” > “active” > “create partition primary” > “assign letter=C” > “list volume”. Con esto, creamos una partición con 1,5Gb necesario por BitLocker y creamos una partición C: donde instalaremos Windows, lo comprobamos y salimos con “exit” del DiskPart,

Lo que tenemos que hacer ahora es formatear ambas particiones con el formato NTFS, horretarako:
“format c: /y /q /fs:NTFS” eta “format s: /y /q /fs:NTFS”

Salimos de DOS con “exit”,

Ojo, ahora debemos salir de las opciones de recuperación del sistema pulsando en la “X” de la ventanita 😉 para poder continuar con la instalación del S.O.

Seguimos el asistente normal para instalar nuestro equipo, beraz, sakatzen dugu “Instalar ahora”,

Saldrán las particiones que hemos creado desde Diskpart y seleccionamos la partición grande que será donde instalemos Windows 2008 edo Windows Vistan, “Hurrengoa” y continuamos con todo el asistente de instalación de Windows, una vez finalicemos con la instalación continuaremos con el documento.

Ados, una vez instalado Windows, vamos a activar BitLocker, pero antes, deberemos instalarlo, ya que es una característica nueva de Windows, abrimos el “Administrador del servidor” y vamos a “Características” > “Agregar características”,

Marcamos “Cifrado de unidad BitLocker” & “Hurrengoa”,

OK, sustatu “Instalatu” instalatzeko…

Ondo, debemos reiniciar el equipo para que surja efecto lo que acabamos de instalar, beraz, sakatzen dugu “Itxi”,

Y reiniciamos ahora o cuando podamos,

Una vez reiniciado, saldrá el asistente de instalación de BitLocker y nos confirmará que la instalación fué satisfactoria. “Itxi”,

Onena, ahora queda activarlo, horretarako, nos vamos al “Control panelea” y ahí lo tendremos en “Segurtasuna”, t klikatu “Cifrado de unidad BitLocker”,

Nos indica que nuestro equipo no tiene un microchip compatible con TPM, así que no nos queda más remedio que usar el cifrado con clave en un dispositivo USB o en disquete. um.

Onena, vamos a permitir que se pueda usar BitLocker sin el chip compatible con TPM, lo podemos hacer por ejemplo editando la directiva local del equipo, horretarako: “Hasi” > “Ejecutar” > “gpedit.msc” & “Onartu”.

Joango gara “Configuración del equipo” > “Plantillas administrativas” > “Componentes de Windows” > “Cifrado de unidad BitLocker”. Y modificamos la directiva “Configuración del Panel de Control: Habilitar opciones de inicio avanzadas”.

La habilitamos y marcamos “Permitir BitLocker sin un TPM compatible”, así como en “TPM hasierako giltza aukera konfiguratu” eta “TPM hasierako PIN aukerak konfiguratu” a “Erabiltzaileari sortu edo saltzeko baimena eman” guri interesatzen zaigun ala ez. Por supuesto, editatzen ari garen GPO hau, Aktiboen Direktorioa mailan ere alda daiteke gure sareko ordenagailu guztietan.

Aldaketa egin ondoren, itxi MMCak eta eguneratu politikak “gpupdate /force”,

Prest dagoenean, itzuli bagara “Control panelea” > “Cifrado de unidad BitLocker” orduan BitLocker erabil dezakegu aktibatzen badugu “BitLocker Aktibatu”,

Sakatu egingo genuke “BitLocker Unitatearen Zifratzearekin jarraitu”,

Hasierako giltza USB gailu batean gorde behar dugu markatuz “Hasierako USB giltza eskatzea bakoitzean”,

Ordenagailuan USB memoria eramangarri bat sartu eta sakatu “Guardar”,

Horrez gain, herenkogailua berreskuratzeko pasahitza gorde ahal izango dugu USB bidezko gailu berean, sareko karpeta batean edo zuzenean inprimatu, hau gure ordenagailuaren hasiera blokeatzen badugu egiteko da. Nire kasuan markatuko dut “Gorde pasahitza USB unitate batean”,

AURREKOREKIN BERDINA, Pendrive-a sartzen dugu & “Guardar”,

Gordeta dagoenean sakatzen dugu “Hurrengoa”,

Eta jada gure diskoaren bolumena edo partizioa enkriptatu genezake, marcando “BitLocker sistemaren egiaztapena exekutatu” & “Jarraitu”. Nire kasuan ez dut GUI bidez egingo, DOS bidez eskuragarri dauden komandoak ikusteko ondotik.

Kasualitate honetan, pasahitza gordetzeko USB gailu bat erabiltzearen ordez disket batean gorde, así que con este script activaremos iniciaremos el cifrado de nuestro disco guardando la clave en un floppy. “cscript C:WindowsSystem32manage-bde.wsf -on C: -rp -sk A:” (-on indica la unidad a cifrar; -rp indica que use una clave numérica y -sk para indicar el destino de la clave),

Una vez ejecutado el comando ya tendremos la clave en el disquete, ahora deberíamos apuntarnos la contraseña de recuperación (esa que nos muestra) por ahí por si fuera necesario en caso de pérdida de la clave de inicio. Deberemos reiniciar el equipo para ejecutar la prueba de hardware,

Una vez reiniciado el equipo, si ejecutamos el script: “cscript C:WindowsSystem32manage-bde.wsf -status” podremos comprobar el estado del cifrado de BitLocker, en este caso vemos que todavía el disco no está cifrado, que va por el 47%, le damos tiempo a que acabe…

Ados, prest, cifrado con AES 128bit mi disco!

Podemos comprobarlo también desde el administrador de discos, indicará que está “Cifrado con BitLocker”,

Y también podremos desactivar BitLocker si nos interesa en cualquier momento, desde el “Control panelea” o por linea de comandos: “cscript C:WindowsSystem32manage-bde.wsf -protectors -disable C:”

O podremos duplicar ambas claves, la contraseña de recuperación o la clave de inicio.

Onena, una vez cifrado el disco, cuando arranca podremos comprobar cómo nos pide la clave de inicio que la tendremos o en un dispositivo USB o en un disquete, lo introducimos y listo, podremos arrancar.

Ados,

Si nos fijamos con cualquier distro de Linux, ya no nos montará las particiones NTFS de forma automática ya que es ilegible para él,

O si las intentamos montar manualmente, veremos cómo falla (en el ejemplo se ve cómo si monta el disco D: correctamente, pero el C: ez, ya que está cifrado).

Este procedimiento es totalmente compatible con un entorno de máquinas virtuales, si queremos cifrar el disco duro virtual de una máquina virtual, sea en entornos VMware o XenServer o Hyper-V.


Izenburuko mezuak

Libro BitLocker en español
Irakurri

Postak ez du irudi bat ezagutzat

Windows AIK erabiltzea Windows-en ezarpenetarako 7 eta Windows 2008 R2
Irakurri

Postak ez du irudi bat ezagutzat

Berritasuna Windows-en 2008 R2: Zerbitzu Kudeatutako Kontua
Irakurri
RODC-rekin pasahitzen erreplikazio politika
Irakurri

Egilea

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, ez zalantzarik izan nirekin harremanetan jartzeko, ahal duzun guztietan laguntzen saiatuko naiz, partekatu ahal dudan guztietan ;) . Dokumentuez gozatu!!!

Creando y distribuyendo paquetes de VMware ACE

8 de January de 2009

Usando FASe de GOURAMI en entornos XenApp

21 de January de 2009