Crittografia del disco rigido con Bitlocker su Windows 2008 o Windows Vista

Compatibile con la stampa, PDF ed e-mail

Esta es una de las novedades que nos presenta Windows Server 2008 anche disponibile en Windows Vista, la posibilidad de cifrar nuestro disco duro de forma que sea imposible sacar cualquier tipo de dato, todo cifrado. Podremos almacenar esta clave en un dispositivo USB tipo Pendrive USB o directamente a un diskette, sin esto, el equipo no podrá ni reiniciar ni ser descifrado el disco. Lo típico para cuando arrancan nuestro equipo desde un LiveCD de alguna herramienta para sacarnos datos o reventar la contraseña de Windows. Es ideal para cuando vas a USA y te quitan el portátil en la aduana, jejeje, aunq fijo q te piden la clave o… sacan el guante de goma ;), pero in principio es información que no se podría acceder ya que está cifrada.

Facoltativamente utilizzare un modulo di piattaforma fidata (TPM) per una protezione avanzata dei dati. Anche se può essere utilizzato anche su computer senza un modulo TPM compatibile, Con questo, viene offerta la crittografia del volume ma non la sicurezza aggiuntiva della convalida dell'integrità dei file di preavvio. Smettila, utilizzeremo un'unità USB o floppy validando l'identità dell'utente all'avvio. In sintesi:

Con TPM abbiamo due modalità: Una, solo TPM: sarebbe trasparente per l'utente e non cambia il metodo di accesso all'avvio. Tuttavia, se il TPM manca o è stato modificato, BitLocker introdurrà la modalità di ripristino e avrà una password o chiave di ripristino per riottenere l'accesso ai dati. E due, con chiave di avvio: L'utente avrà bisogno di una chiave di avvio per accedere al computer. Questa chiave può essere fisica (su una chiavetta USB con una chiave leggibile dal computer) o personale (una chiave impostata dall'utente).

E senza TPM: (che sarà l'esempio di questo documento) sarà tramite chiave di unità flash USB. L'utente inserirà un'unità USB nel computer prima di attivarlo, la chiave della Pendrive, sbloccherà il computer.

Bene, Avviato, per criptare un disco con BitLocker o Cifrare unità BitLocker, Innanzitutto, è che dobbiamo partizionare il disco PRIMA di installare il sistema operativo, dato che sono necessarie due partizioni sul disco. La prima partizione (volume di sistema), ha le informazioni di avvio in uno spazio non criptato. La seconda partizione (volume del sistema operativo) se cifra y contiene datos de usuarios y del sistema operativo a cifrar. Así que debemos crear estas particiones antes de instalar Windows Server 2008 o Windows Vista.

Encendemos el equipo e introducimos el CD de Windows, iniciamos el asistente de instalación en él, “Seguente”,

Clicca su “Reparar el equipo”,

“Seguente”,

Pressato “Prompt” ya que desde línea de comandos crearemos ambas particiones.

Non male, debemos crear las dos particiones, la primera con un mínimo de 1,5Gb y la segunda con el resto del espacio de nuestro disco, ya que será ahí donde esté instalado Windows y tengamos nuestros datos cifrados. Desde la consola de DOS, Correre “diskpart” para entrar en la utilidad de Microsoft de particionamiento. Seleccionamos nuestro disco duro a particionar, si sólo tenemos uno, Scrivere “seleziona disco 0” > “pulito” > “crea partizione primaria dimensione=1500” > “assegna lettera=S” > “attivo” > “create partition primary” > “assegna lettera=C” > “elenca volume”. Con questo, creiamo una partizione con 1,5Gb necessari per BitLocker e creiamo una partizione C: dove installeremo Windows, lo controlliamo ed usciamo con “uscita” del DiskPart,

Quello che dobbiamo fare ora è formattare entrambe le partizioni con il formato NTFS, per questo:
“format c: /e /q /fs:NTFS” e “format s: /e /q /fs:NTFS”

Usciamo dal DOS con “uscita”,

Occhio, ora dobbiamo uscire dalle opzioni di ripristino del sistema cliccando sulla “X” dalla finestrella 😉 per poter continuare con l'installazione del S.O..

Seguiamo l'assistente normale per installare il nostro computer, Quindi clicchiamo su “Installa ora”,

Saldrán las particiones que hemos created desde Diskpart y seleccionamos la partición grande que será donde instalemos Windows 2008 o Windows Vista, “Seguente” y continuamos con todo el asistente de instalación de Windows, una vez finalicemos con la instalación continuaremos con el documento.

Ok, una vez instalado Windows, vamos a activar BitLocker, pero antes, deberemos instalarlo, ya que es una característica nueva de Windows, Apriamo il “Amministratore del server” e stiamo per “Características” > “Aggiungi funzionalità”,

Segno “Cifrado de unidad BitLocker” & “Seguente”,

OK, Clicca su “Installare” per installarlo…

Non male, dobbiamo reiniciar el equipo para que surja efecto lo que acabamos de instalar, Quindi clicchiamo su “Chiudere”,

Y reiniziamos ora o quando podamos,

Una volta riavviato, saldrá el asistente de instalación de BitLocker y nos confirmará que la instalación fué satisfactoria. “Chiudere”,

Bene, ahora queda activarlo, per questo, nos vamos al “Pannello di controllo” y ahí lo tendremos en “Sicurezza”, Clicca su “Cifrado de unidad BitLocker”,

Nos indica que nuestro equipo no tiene un microchip compatible con TPM, así que no nos queda más remedio que use el cifrado con clave en un dispositivo USB o en disquete. um.

Bene, vamos a permettere che se possa usare BitLocker sin el chip compatible con TPM, lo podemos hacer por ejemplo editando la directiva local del equipo, per questo: “Inizio” > “Eseguire” > “gpedit.msc” & “Accettare”.

Stiamo per “Configurazione dell'attrezzatura” > “Modelli amministrativi” > “Componenti di Windows” > “Cifrado de unidad BitLocker”. Y modificamos la directiva “Configuración del Panel de Control: Habilitar opciones de inicio avanzadas”.

La habilitamos y marcamos “Permitir BitLocker sin un TPM compatible”, nonché in “Configurar opción de clave de inicio del TPM” e “Configurar opción del NIP de inicio del TPM” A “Permitir al usuario creare u omitir” si nos interesa o no. Certo, esta GPO que estamos editando, anche se podría modificare a livello di Directorio Activo a todos los equipos de nuestra red.

Una vez modificado, cerramos las MMC y actualizamos las directivas con “gpupdate /force”,

Una volta pronto, si volvemos al “Pannello di controllo” > “Cifrado de unidad BitLocker” ya podremos disponer de BitLocker si lo activamos desde “Activar BitLocker”,

Pulsaríamos en “Continuar con el Cifrado de unidad BitLocker”,

Almacenaremos la clave de inicio en un dispositivo USB marcando “Requerir llave de inicio USB en cada inicio”,

Introducimos una memoria USB extraible en el equipo y pulsamos en “Salvare”,

Oltre a questo, podremos guardar la contraseña de recuperación en lo stesso dispositivo USB, en una carpeta de red o imprimirla directamente, esto es por si blocamos el inicio del equipo. En mi caso marcaré “Guardar contraseña en una unidad USB”,

IDEM rispetto a prima, introducimos el Pendrive & “Salvare”,

Una vez guardada pulsamos en “Seguente”,

Y ya podríamos cifrare el volumen o partición de nuestra disco, Marcatura “Ejecutar la comprobación del sistema de BitLocker” & “Continuare”. Yo en mi caso no lo haré mediante GUI ya que de paso vemos los comandos disponibili por DOS.

En este caso para guardar la contraseña en vez de un dispositivo USB para guardarla en un disquete, así que con este script activaremos iniciaremos el cifrado de nuestro disco guardando la clave en un floppy. “cscript C:WindowsSystem32manage-bde.wsf -on C: -rp -sk A:” (-on indica la unidad a cifrar; -rp indica que use una clave numérica y -sk para indicar el destino de la clave),

Una volta eseguito il comando avremo già la chiave sul floppy disk, ora dovremmo annotarci la password di recupero (quella che ci mostra) da qualche parte nel caso fosse necessario in caso di perdita della chiave di avvio. Dovremo riavviare il computer per eseguire il test dell'hardware,

Una volta riavviato il computer, se eseguiamo lo script: “cscript C:WindowsSystem32manage-bde.wsf -status” potremo verificare lo stato della cifratura di BitLocker, in questo caso vediamo che il disco non è ancora cifrato, che sta procedendo 47%, daremo il tempo necessario per terminare…

Ok, pronto, cifrato con AES 128bit il mio disco!

Possiamo verificarlo anche dall'amministratore dischi, indicherà che è “Cifrato con BitLocker”,

Y también podremos desactivar BitLocker si nos interessa en cualquier momento, dal “Pannello di controllo” o por linea de comandos: “cscript C:WindowsSystem32manage-bde.wsf -protectors -disable C:”

O podremos duplicar ambas claves, la contraseña de recuperación o la clave de inicio.

Bene, una vez cifrado el disco, cuando arranca podremos comprobar cómo nos pide la clave de inicio que la tendremos o en un dispositivo USB o en un disquete, lo introducimos y listo, podremos arrancar.

Ok,

Si nos fijamos con cualquier distro de Linux, ya no nos montará las particiones NTFS de forma automática ya que es ilegible para él,

O si las intentamos montar manualmente, veremos cómo falla (in el caso se ve cómo si monta el disco D: correttamente, ma il C: No, dato che è crittografato).

Questa procedura è completamente compatibile con un ambiente di macchine virtuali, se vogliamo crittografare il disco rigido virtuale di una macchina virtuale, sia in ambienti VMware o XenServer o Hyper-V.


Post consigliati

Libro BitLocker en español
Leggere

Il post non ha un'immagine in primo piano

Utilizzo di Windows AIK per le distribuzioni Windows 7 e Windows 2008 R2
Leggere

Il post non ha un'immagine in primo piano

Novità di Windows 2008 R2: Account del servizio gestito
Leggere
Criteri di replica delle password del controller di dominio di sola lettura
Leggere

Autore

presso Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Non esitate a contattarmi, Cercherò di aiutarti ogni volta che potrò, Condividere è vivere ;) . Goditi i documenti!!!

Creazione e distribuzione di pacchetti ACE VMware

8 di gennaio 2009

Utilizzo di GOURAMI FASe in ambienti XenApp

21 di gennaio 2009