Esta es una de las novedades que nos presenta Windows Server 2008 también disponible en Windows Vista, la posibilidad de cifrar nuestro disco duro de forma que sea imposible sacar cualquier tipo de dato, todo cifrado. Podremos almacenar esta clave en un dispositivo USB tipo Pendrive USB o directamente a un diskette, sin esto, el equipo no podrá ni reiniciar ni ser descifrado el disco. Lo típico para cuando arrancan nuestro equipo desde un LiveCD de alguna herramienta para sacarnos datos o reventar la contraseña de Windows. Es ideal para cuando vas a USA y te quitan el portátil en la aduana, jejeje, aunq fijo q te piden la clave o… sacan el guante de goma ;), pero en principio es información que no se podría acceder ya que está cifrada.

Opcionalmente usa un módulo de plataforma de confianza (TPM （TPM）) para una protección mejorada de los datos. Aún que también se puede utilizar en equipos sin un módulo TPM compatible, 有了这个, se ofrece el cifrado de volumen pero no la seguridad adicional de la validación de integridad de archivos de preinicio. 停下, usaremos una unidad USB o diskett válidando la identidad del usuario al inicio. En resumen:

Con TPM tenemos dos formas: Una, sólo TPM: sería transparente para el usuario y no cambia el modo de inicio de sesión. 然而, si falta o se ha modificado TPM, BitLocker introducirá el modo de recuperación y tendrá una contraseña o clave de recuperación para volver a tener acceso a los datos. Y dos, 跟 clave de inicio: El usuario necesitará una clave de inicio para iniciar sesión en el equipo. Esta clave puede ser física (en un pendrive USB con una clave legible en el equipo) o personal (una clave establecida x el usuario).

Y sin TPM: (que será el ejemplo de este documento) será mediante clave de unidad flash USB. El usuario insertará una unidad USB en el equipo antes de activarlo, la clave del Pendrive, desbloqueará el equipo.

井, 开始, para cifrar un disco con BitLocket o Cifrado de unidad BitLocker, 首先, es que tenemos que particionar el disco ANTES de instalar el sistema operativo, ya quees necesario dos particiones en el disco. La primera partición (volumen del sistema), tiene la información de inicio en un espacio no cifrado. La segunda partición (volumen del sistema operativo) se cifra y contiene datos de usuarios y del sistema operativo a cifrar. Así que debemos crear estas particiones antes de instalar Windows Server 2008 o Windows Vista作系统.

Encendemos el equipo e Introducimos el CD de Windows, iniciamos el asistente de instalación en él, “以后”,

点击 “Reparar el equipo”,

“以后”,

压 “命令提示符” ya que desde línea de comandos crearemos ambas particiones.

不错, debemos crear las dos particiones, la primera con un mínimo de 1,5Gb y la segunda con el resto del espacio de nuestro disco, ya que será ahí donde esté instalado Windows y tengamos nuestros datos cifrados. Desde la consola de DOS, 跑 “diskpart” para entrar en la utilidad de Microsoft de particionamiento. Seleccionamos nuestro disco duro a particionar, si sólo tenemos uno, 写 “select disk 0” > “clean” > “create partition primary size=1500” > “assign letter=S” > “积极” > “create partition primary” > “assign letter=C” > “list volume”. 有了这个, creamos una partición con 1,5Gb necesario por BitLocker y creamos una partición C: donde instalaremos Windows, lo comprobamos y salimos con “退出” del DiskPart,

Lo que tenemos que hacer ahora es formatear ambas particiones con el formato NTFS, 为此:
“format c: /y /q /fs:NTFS” 和 “format s: /y /q /fs:NTFS”

Salimos de DOS con “退出”,

眼睛, ahora debemos salir de las opciones de recuperación del sistema pulsando en la “X” de la ventanita 😉 para poder continuar con la instalación del S.O.

Seguimos el asistente normal para instalar nuestro equipo, 所以我们点击 “立即安装”,

Saldrán las particiones que hemos creado desde Diskpart y seleccionamos la partición grande que será donde instalemos Windows 2008 o Windows Vista作系统, “以后” y continuamos con todo el asistente de instalación de Windows, una vez finalicemos con la instalación continuaremos con el documento.

还行, una vez instalado Windows, vamos a activar BitLocker, pero antes, deberemos instalarlo, ya que es una característica nueva de Windows, 我们打开 “服务器管理员” 我们将 “特性” > “添加功能”,

马克 “BitLocker 驱动器加密” & “以后”,

还行, 点击 “安装” 进行安装…

…

不错, debemos reiniciar el equipo para que surja efecto lo que acabamos de instalar, 所以我们点击 “关闭”,

Y reiniciamos ahora o cuando podamos,

重新启动后, saldrá el asistente de instalación de BitLocker y nos confirmará que la instalación fué satisfactoria. “关闭”,

井, ahora queda activarlo, 为此, nos vamos al “Panel de Control” y ahí lo tendremos en “安全”, 点击 “BitLocker 驱动器加密”,

Nos indica que nuestro equipo no tiene un microchip compatible con TPM, así que no nos queda más remedio que usar el cifrado con clave en un dispositivo USB o en disquete. Ummm.

井, vamos a permitir que se pueda usar BitLocker sin el chip compatible con TPM, lo podemos hacer por ejemplo editando la directiva local del equipo, 为此: “开始” > “执行” > “gpedit.msc” & “接受”.

我们将 “设备设置” > “管理模板” > “Windows 组件” > “BitLocker 驱动器加密”. Y modificamos la directiva “Configuración del Panel de Control: Habilitar opciones de inicio avanzadas”.

La habilitamos y marcamos “Permitir BitLocker sin un TPM compatible”, 以及 “Configurar opción de clave de inicio del TPM” 和 “Configurar opción del NIP de inicio del TPM” 自 “Permitir al usuario crear u omitir” 无论我们是否感兴趣. 答案是肯定的, esta GPO que estamos editando, también se podría modificar a nivel de Directorio Activo a todos los equipos de nuestra red.

Una vez modificado, cerramos las MMC y actualizamos las directivas con “gpupdate /force”,

准备好后, si volvemos al “Panel de Control” > “BitLocker 驱动器加密” ya podremos disponer de BitLocker si lo activamos desde “Activar BitLocker”,

Pulsaríamos en “Continuar con el Cifrado de unidad BitLocker”,

Almacenaremos la clave de inicio en un dispositivo USB marcando “Requerir llave de inicio USB en cada inicio”,

Introducimos una memoria USB extraible en el equipo y pulsamos en “救”,

除此之外, podremos guardar la contraseña de recuperación en el mismo dispositivo USB, en una carpeta de red o imprimirla directamente, esto es por si bloqueamos el inicio del equipo. En mi caso marcaré “Guardar contraseña en una unidad USB”,

IDEM 比以前, introducimos el Pendrive & “救”,

Una vez guardada pulsamos en “以后”,

Y ya podríamos cifrar el volumen o partición de nuestro disco, 标记 “Ejecutar la comprobación del sistema de BitLocker” & “继续”. Yo en mi caso no lo haré mediante GUI ya que de paso vemos los comandos disponibles por DOS.

En este caso para guardar la contraseña en vez de un dispositivo USB para guardarla en un disquete, así que con este script activaremos iniciaremos el cifrado de nuestro disco guardando la clave en un floppy. “cscript C:WindowsSystem32manage-bde.wsf -on C: -rp -sk A:” (-on indica la unidad a cifrar; -rp indica que use una clave numérica y -sk para indicar el destino de la clave),

Una vez ejecutado el comando ya tendremos la clave en el disquete, ahora deberíamos apuntarnos la contraseña de recuperación (esa que nos muestra) por ahí por si fuera necesario en caso de pérdida de la clave de inicio. Deberemos reiniciar el equipo para ejecutar la prueba de hardware,

计算机重新启动后, si ejecutamos el script: “cscript C:WindowsSystem32manage-bde.wsf -status” podremos comprobar el estado del cifrado de BitLocker, en este caso vemos que todavía el disco no está cifrado, que va por el 47%, le damos tiempo a que acabe…

还行, 准备, cifrado con AES 128bit mi disco!

Podemos comprobarlo también desde el administrador de discos, indicará que está “Cifrado con BitLocker”,

Y también podremos desactivar BitLocker si nos interesa en cualquier momento, 从 “Panel de Control” o por linea de comandos: “cscript C:WindowsSystem32manage-bde.wsf -protectors -disable C:”

O podremos duplicar ambas claves, la contraseña de recuperación o la clave de inicio.

井, una vez cifrado el disco, cuando arranca podremos comprobar cómo nos pide la clave de inicio que la tendremos o en un dispositivo USB o en un disquete, lo introducimos y listo, podremos arrancar.

还行,

Si nos fijamos con cualquier distro de Linux, ya no nos montará las particiones NTFS de forma automática ya que es ilegible para él,

O si las intentamos montar manualmente, veremos cómo falla (en el ejemplo se ve cómo si monta el disco D: correctamente, pero el C: 不, ya que está cifrado).

Este procedimiento es totalmente compatible con un entorno de máquinas virtuales, si queremos cifrar el disco duro virtual de una máquina virtual, sea en entornos VMware o XenServer o Hyper-V.