C’est l’une des nouvelles fonctionnalités que Windows Server nous présente 2008 également disponible sur Windows Vista, la possibilité de crypter notre disque dur de sorte qu’il est impossible de supprimer tout type de données, Tout est crypté. Nous pouvons stocker cette clé sur un périphérique USB tel qu’une clé USB ou directement sur une disquette, sans cela, L’ordinateur ne pourra pas redémarrer ou déchiffrer le disque. La chose typique quand ils démarrent notre ordinateur à partir d’un LiveCD d’un outil pour extraire des données ou casser le mot de passe Windows. C’est idéal lorsque vous allez aux États-Unis et que votre ordinateur portable est emporté à la douane, il, Même s’ils vous demandent certainement le mot de passe ou… Ils sortent le gant en caoutchouc ;), Mais en principe, il s’agit d’informations qui ne sont pas accessibles car elles sont cryptées.

Opcionalmente usa un módulo de plataforma de confianza (TPM) para una protección mejorada de los datos. Aún que también se puede utilizar en equipos sin un módulo TPM compatible, Avec ce, se ofrece el cifrado de volumen pero no la seguridad adicional de la validación de integridad de archivos de preinicio. Arrête ça, usaremos una unidad USB o diskett válidando la identidad del usuario al inicio. En resumen:

Con TPM tenemos dos formas: Una, sólo TPM: sería transparente para el usuario y no cambia el modo de inicio de sesión. Toutefois, si falta o se ha modificado TPM, BitLocker introducirá el modo de recuperación y tendrá una contraseña o clave de recuperación para volver a tener acceso a los datos. Y dos, avec clave de inicio: El usuario necesitará una clave de inicio para iniciar sesión en el equipo. Esta clave puede ser física (en un pendrive USB con una clave legible en el equipo) o personal (una clave establecida x el usuario).

Y sin TPM: (que será el ejemplo de este documento) será mediante clave de unidad flash USB. El usuario insertará una unidad USB en el equipo antes de activarlo, la clave del Pendrive, desbloqueará el equipo.

Puits, Commencé, para cifrar un disco con BitLocket o Cifrado de unidad BitLocker, Tout d’abord, es que tenemos que particionar el disco ANTES de instalar el sistema operativo, ya quees necesario dos particiones en el disco. La primera partición (volumen del sistema), tiene la información de inicio en un espacio no cifrado. La segunda partición (volumen del sistema operativo) se cifra y contiene datos de usuarios y del sistema operativo a cifrar. Así que debemos crear estas particiones antes de instalar Windows Server 2008 o Windows Vista.

Encendemos el equipo e Introducimos el CD de Windows, iniciamos el asistente de instalación en él, “Suivant”,

Cliquez sur “Reparar el equipo”,

“Suivant”,

Pressé “Invite de commande” ya que desde línea de comandos crearemos ambas particiones.

Pas mal, debemos crear las dos particiones, la primera con un mínimo de 1,5Gb y la segunda con el resto del espacio de nuestro disco, ya que será ahí donde esté instalado Windows y tengamos nuestros datos cifrados. Desde la consola de DOS, Courir “diskpart” para entrar en la utilidad de Microsoft de particionamiento. Seleccionamos nuestro disco duro a particionar, si sólo tenemos uno, escribimos “select disk 0” > “Propre” > “create partition primary size=1500” > “assign letter=S” > “actif” > “Créer une partition primaire” > “assign letter=C” > “list volume”. Avec ce, creamos una partición con 1,5Gb necesario por BitLocker y creamos una partición C: donde instalaremos Windows, lo comprobamos y salimos con “sortie” del DiskPart,

Lo que tenemos que hacer ahora es formatear ambas particiones con el formato NTFS, pour cela:
“format c: /y /q /fs:NTFS” et “format s: /y /q /fs:NTFS”

Salimos de DOS con “sortie”,

Oeil, ahora debemos salir de las opciones de recuperación del sistema pulsando en la “X” de la ventanita 😉 para poder continuar con la instalación del S.O.

Seguimos el asistente normal para instalar nuestro equipo, Nous cliquons donc sur “Instalar ahora”,

Saldrán las particiones que hemos creado desde Diskpart y seleccionamos la partición grande que será donde instalemos Windows 2008 o Windows Vista, “Suivant” y continuamos con todo el asistente de instalación de Windows, una vez finalicemos con la instalación continuaremos con el documento.

D’accord, una vez instalado Windows, vamos a activar BitLocker, pero antes, deberemos instalarlo, ya que es una característica nueva de Windows, Nous ouvrons le “Administrateur de serveur” et nous allons “Características” > “Ajouter des fonctionnalités”,

Marque “Cifrado de unidad BitLocker” & “Suivant”,

D’ACCORD, Cliquez sur “Installer” pour l’installer…

…

Pas mal, debemos reiniciar el equipo para que surja efecto lo que acabamos de instalar, Nous cliquons donc sur “Fermer”,

Y reiniciamos ahora o cuando podamos,

Une fois redémarré, saldrá el asistente de instalación de BitLocker y nos confirmará que la instalación fué satisfactoria. “Fermer”,

Puits, ahora queda activarlo, pour cela, Nous allons à la “Panel de Contrôle” y ahí lo tendremos en “Sécurité”, Cliquez sur “Cifrado de unidad BitLocker”,

Nos indica que nuestro equipo no tiene un microchip compatible con TPM, así que no nos queda más remedio que usar el cifrado con clave en un dispositivo USB o en disquete. Ummm.

Puits, vamos a permitir que se pueda usar BitLocker sin el chip compatible con TPM, lo podemos hacer por ejemplo editando la directiva local del equipo, pour cela: “Commencement” > “Exécuter” > “gpedit.msc” & “Accepter”.

Nous allons “Configuration de l’équipement” > “Modèles administratifs” > “Composants Windows” > “Cifrado de unidad BitLocker”. Y modificamos la directiva “Configuración del Panel de Control: Habilitar opciones de inicio avanzadas”.

La habilitamos y marcamos “Permitir BitLocker sin un TPM compatible”, ainsi qu’en “Configurar opción de clave de inicio del TPM” et “Configurar opción del NIP de inicio del TPM” À “Permitir al usuario crear u omitir” que nous soyons intéressés ou non. Bien sûr, esta GPO que estamos editando, también se podría modificar a nivel de Directorio Activo a todos los equipos de nuestra red.

Una vez modificado, cerramos las MMC y actualizamos las directivas con “gpupdate /force”,

Une fois prêt, si volvemos al “Panel de Contrôle” > “Cifrado de unidad BitLocker” ya podremos disponer de BitLocker si lo activamos desde “Activar BitLocker”,

Pulsaríamos en “Continuar con el Cifrado de unidad BitLocker”,

Almacenaremos la clave de inicio en un dispositivo USB marcando “Requerir llave de inicio USB en cada inicio”,

Introducimos una memoria USB extraible en el equipo y pulsamos en “Sauvegarder”,

En dehors de cela, podremos guardar la contraseña de recuperación en el mismo dispositivo USB, en una carpeta de red o imprimirla directamente, esto es por si bloqueamos el inicio del equipo. Dans mon cas, je vais marquer “Guardar contraseña en una unidad USB”,

IDEM que antes, introducimos el Pendrive & “Sauvegarder”,

Una vez guardada pulsamos en “Suivant”,

Y ya podríamos cifrar el volumen o partición de nuestro disco, Marquage “Ejecutar la comprobación del sistema de BitLocker” & “Continuer”. Yo en mi caso no lo haré mediante GUI ya que de paso vemos los comandos disponibles por DOS.

En este caso para guardar la contraseña en vez de un dispositivo USB para guardarla en un disquete, así que con este script activaremos iniciaremos el cifrado de nuestro disco guardando la clave en un floppy. “cscript C:WindowsSystem32manage-bde.wsf -on C: -rp -sk A:” (-on indica la unidad a cifrar; -rp indica que use una clave numérica y -sk para indicar el destino de la clave),

Una vez ejecutado el comando ya tendremos la clave en el disquete, ahora deberíamos apuntarnos la contraseña de recuperación (esa que nos muestra) por ahí por si fuera necesario en caso de pérdida de la clave de inicio. Deberemos reiniciar el equipo para ejecutar la prueba de hardware,

Una vez reiniciado el equipo, si ejecutamos el script: “cscript C:WindowsSystem32manage-bde.wsf -status” podremos comprobar el estado del cifrado de BitLocker, en este caso vemos que todavía el disco no está cifrado, que va por el 47%, le damos tiempo a que acabe…

D’accord, prêt, cifrado con AES 128bit mi disco!

Podemos comprobarlo también desde el administrador de discos, indicará que está “Cifrado con BitLocker”,

Y también podremos desactivar BitLocker si nos interesa en cualquier momento, de la “Panel de Contrôle” o por linea de comandos: “cscript C:WindowsSystem32manage-bde.wsf -protectors -disable C:”

O podremos duplicar ambas claves, la contraseña de recuperación o la clave de inicio.

Puits, una vez cifrado el disco, cuando arranca podremos comprobar cómo nos pide la clave de inicio que la tendremos o en un dispositivo USB o en un disquete, lo introducimos y listo, podremos arrancar.

D’accord,

Si nos fijamos con cualquier distro de Linux, ya no nos montará las particiones NTFS de forma automática ya que es ilegible para él,

O si las intentamos montar manualmente, veremos cómo falla (en el ejemplo se ve cómo si monta el disco D: correctamente, pero el C: Non, ya que está cifrado).

Este procedimiento es totalmente compatible con un entorno de máquinas virtuales, si queremos cifrar el disco duro virtual de una máquina virtual, sea en entornos VMware o XenServer o Hyper-V.