Criptografando o disco rígido com o Bitlocker no Windows 2008 o Windows Vista

Impressão amigável, PDF & E-mail

Esta é uma das novidades que o Windows Server nos apresenta 2008 também disponível no Windows Vista, a possibilidade de criptografar nosso disco rígido para que seja impossível remover qualquer tipo de dados, todos criptografados. Podemos armazenar essa chave em um dispositivo USB, como um Pendrive USB, ou diretamente em um disquete, sem isso, O computador não poderá reinicializar ou descriptografar o disco. O típico para quando eles inicializam nosso computador a partir de um LiveCD de alguma ferramenta para extrair dados ou quebrar a senha do Windows. É ideal para quando você vai para os EUA e seu laptop é levado na alfândega, ele, Mesmo que eles definitivamente peçam a senha ou… Eles tiram a luva de borracha ;), mas, em princípio, é uma informação que não pode ser acessada, pois é criptografada.

Opcionalmente usa un módulo de plataforma de confianza (TPM) para una protección mejorada de los datos. Aún que también se puede utilizar en equipos sin un módulo TPM compatible, com isto, se oferece el cifrado de volumen pero no la seguridad adicional de la validación de integridad de archivos de preinicio. Pare com isso, usaremos uma unidade USB o diskett válidando la identidad del usuario al inicio. En resumen:

Con TPM tenemos dos formas: Uma, sólo TPM: sería transparente para el usuario y no cambia el modo de início de sesión. Contudo, si falta o se ha modificado TPM, BitLocker introducirá el modo de recuperación y tendrá una contraseña o clave de recuperación para volver a tener acesso a los datos. Y dos, com clave de inicio: O utilizador necessitará de uma chave de arranque para iniciar sessão no computador. Esta chave pode ser física (num pen USB com uma chave legível no computador) ou pessoal (uma chave estabelecida pelo utilizador).

E sem TPM: (que será o exemplo deste documento) será através de chave de unidade flash USB. O utilizador irá inserir uma unidade USB no computador antes de o ativar, a chave do Pen drive, desbloqueará o computador.

Poço, Começou, para cifrar um disco com BitLocker ou Cifrado de unidade BitLocker, Em primeiro lugar, é que temos de particionar o disco ANTES de instalar o sistema operativo, já que é necessário ter duas partições no disco. A primeira partição (volume do sistema), tem a informação de arranque num espaço não cifrado. A segunda partição (volume do sistema operativo) se cifra y contém datos de usuarios y del sistema operativo a cifrar. Así que debemos crear estas particiones antes de instalar Windows Server 2008 o Windows Vista.

Encendemos el equipo e Introducimos el CD de Windows, iniciamos el asistente de instalação en él, “Seguinte”,

Clique em “Reparar el equipo”,

“Seguinte”,

Pressionado “Símbolo del sistema” ya que desde linha de comandos crearemos ambas partições.

Nada mau, devemos criar las dos partições, a primeira com um mínimo de 1,5Gb y a segunda com o resto do espaço do nosso disco, já que será ahí onde esteja instalado Windows e tengamos os nossos dados cifrados. Desde a consola de DOS, Correr “diskpart” para entrar na utilidade da Microsoft de particionamiento. Selecionamos nosso disco duro a particionar, si sólo tenemos uno, Escrever “selecionar disco 0” > “clean” > “criar partição primária tamanho=1500” > “atribuir letra=S” > “ativa” > “create partition primary” > “atribuir letra=C” > “listar volume”. Com isso, criámos uma partição com 1,5Gb necessária para o BitLocker e criámos uma partição C: onde instalaremos o Windows, verificamos e saímos com “sair” do DiskPart,

O que temos de fazer agora é formatar ambas as partições com o formato NTFS, por isso:
“format c: /e /q /fs:NTFS” e “format s: /e /q /fs:NTFS”

Saímos do DOS com “sair”,

Olho, agora devemos sair das opções de recuperação do sistema clicando na “X” da janelinha 😉 para poder continuar com a instalação do S.O.

Seguimos o assistente normal para instalar o nosso equipamento, Por isso, clicamos em “Instalar agora”,

Sairão as partições que criámos no Diskpart e selecionamos a partição grande que será onde instalamos o Windows 2008 o Windows Vista, “Seguinte” y continuamos com todo o assistente de instalação de Windows, uma vez finalizamos com a instalação continuaremos com o documento.

Okey, uma vez instalado Windows, vamos a activar o BitLocker, pero antes, deberemos instalarlo, ya que es una característica nova de Windows, abrimos el “Administrador del servidor” e vamos a “Características” > “Agregar características”,

Assinalar “Cifrado de unidad BitLocker” & “Seguinte”,

OKEY, Clique em “Instalar” para instalá-lo…

Nada mau, devemos reiniciar a equipa para que surja efeito o que acabamos de instalar, Por isso, clicamos em “Fechar”,

Y reiniciamos agora o quando podamos,

Depois de reinicializado, saldrá el asistente de instalação de BitLocker y nos confirmará que la instalação fué satisfactoria. “Fechar”,

Poço, ahora queda activarlo, por isso, Nós vamos para o “Painel de Controle” y ahí lo tendremos en “Segurança”, Clique em “Cifrado de unidad BitLocker”,

Nos indica que a nossa equipa no tiene un microchip compatível com TPM, así que no nos queda más remedio que usar el cifrado con clave en un dispositivo USB o en disquete. Ummm.

Poço, vamos a permitir que se pueda usar BitLocker sin el chip compatible con TPM, lo podemos hacer por ejemplo editando la directiva local del equipo, por isso: “Princípio” > “Executar” > “gpedit.msc” & “Aceitar”.

Nós vamos “Configuração do computador” > “Modelos administrativos” > “Componentes do Windows” > “Cifrado de unidad BitLocker”. Y modificamos la directivaConfiguración del Panel de Control: Habilitar opciones de inicio avanzadas”.

La habilitamos y marcamosPermitir BitLocker sin un TPM compatible”, assim como em “Configurar opción de clave de inicio del TPM” e “Configurar opción del NIP de inicio del TPM” Para “Permitir al usuario crear u omitirsi nos interesa o no. É claro, esta GPO que estamos editando, también se podría modificar a nivel de Directorio Activo a todos los equipos de nuestra red.

Una vez modificado, cerramos las MMC y actualizamos las directivas con “gpupdate /force”,

Quando estiver pronto, si volvemos al “Painel de Controle” > “Cifrado de unidad BitLocker” ya podremos disponer de BitLocker si lo activamos desdeActivar BitLocker”,

Pulsaríamos enContinuar con el Cifrado de unidad BitLocker”,

Almacenaremos la clave de inicio en un dispositivo USB marcandoRequerir llave de inicio USB en cada inicio”,

Introducimos una memoria USB extraible en el equipo y pulsamos en “Salvar”,

A parte de esto, podremos guardar la contraseña de recuperación en el mismo dispositivo USB, en una carpeta de red o imprimirla directamente, esto es por si bloqueamos el inicio del equipo. En mi caso marcaréGuardar contraseña en una unidad USB”,

IDEM que antes, introducimos el Pendrive & “Salvar”,

Una vez guardada pulsamos en “Seguinte”,

E já poderíamos encriptar o volume ou partição do nosso disco, marcando “Executar a verificação do sistema do BitLocker” & “Continuar”. No meu caso não o farei através da GUI, já que aproveitamos para ver os comandos disponíveis no DOS.

Neste caso, para guardar a password em vez de um dispositivo USB, guardamo-la num disquete, portanto, com este script vamos ativar e iniciar a encriptação do nosso disco, guardando a chave num disquete. “cscript C:WindowsSystem32manage-bde.wsf -on C: -rp -sk A:” (-on indica a unidade a encriptar; -rp indica que use uma chave numérica e -sk para indicar o destino da chave),

Uma vez executado o comando, já teremos a chave no disquete, agora deveríamos anotar a password de recuperação (esa que nos muestra) por ahí por si fuera necesario en caso de perda de la clave de inicio. Deberemos reiniciar el equipo para executar la prueba de hardware,

Una vez reiniciado el equipo, si executamos el script: “cscript C:WindowsSystem32manage-bde.wsf -status” podremos comprobar el estado del cifrado de BitLocker, em este caso vemos que todavía el disco no está cifrado, que va por el 47%, le damos tiempo a que acabe…

Okey, pronto, cifrado con AES 128bit mi disco!

Podemos comprobarlo también desde el administrador de discos, indicará que está “Cifrado con BitLocker”,

Y también podremos desactivar o BitLocker se nos interessamos em qualquer momento, desde el “Painel de Controle” o por linha de comandos: “cscript C:WindowsSystem32manage-bde.wsf -protectors -disable C:”

O podremos duplicar ambas claves, la contraseña de recuperación o la clave de inicio.

Poço, una vez cifrado el disco, quando arranca podremos verificar como nos pidamos a clave de início que tendremos o no dispositivo USB o num disquete, lo introducimos y listo, podremos arrancar.

Okey,

se nos fijamos con qualquer distro de Linux, ya no nos montará las particiones NTFS de forma automática ya que es ilegível para ele,

O si las intentamos montar manualmente, veremos cómo falla (no exemplo se ve como si monta el disco D: correctamente, pero el C: Não, ya que está cifrado).

Este procedimento es totalmente compatível com um entorno de máquinas virtuales, si queremos cifrar o disco duro virtual de una máquina virtual, sea en entornos VMware o XenServer o Hyper-V.


Postagens recomendadas

Post does not have featured image

Novidade no Windows 2008 R2: Managed Service Account
Ler
Política de replicação de palavras-passe com RODC
Ler

Post does not have featured image

Uso do Windows AIK para implementações do Windows 7 e Windows 2008 R2
Ler
Livro BitLocker em espanhol
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Criação e distribuição de pacotes VMware ACE

8 de Janeiro 2009

Usando FASe de GOURAMI en entornos XenApp

21 de Janeiro 2009