Actualmente es muy común el uso de dispositivos portátiles, que como todos sabemos tienen un riesgo de pérdida o sustracción. El problema es que a veces es mucho más valiosa la información contenida en el dispositivo, que el propio dispositivo
¿Es realmente conciente del riesgo que implica lo anterior?
Hay más de un método para proteger la información y los datos almacenados en un dispositivo portátil. El primero ofrecido por Microsoft fue EFS (“Encrypted File System” = Sistema de Cifrado de Archivos), pero últimamente se han descubierto ciertas posibles vulnerabilidades, que aunque poco probables, realmente existen
El segúndo método, y del que nos ocuparemos en esta ocasión es el uso de cifrado de discos mediante Bitlocker
El posible problema de Bitlocker, aunque parezca mentira, es justamente la seguridad pues es seguro 🙂
¿Qué sucedería si deja de funcionar el hardware? ¿qué sucedería si el usuario olvida la contraseña o pierde el “pendrive” con las claves? ¿lo pensó? 🙂
Bien, vamos a ver cómo podemos solucionar estos últimos casos
En realidad nunca deberían producirse los hechos nombrados de pérdida de la información de recuperación, pero a veces sobre todo los usuarios normales no son conscientes totalmente de la seguridad, y aunque el sistema los obliga a guardar información de recuperación, no siempre la conservan
O no ha faltado el caso que guardan la información de recuperación en el mismo disco que han cifrado (si, ya lo he visto, no reirse que todos podemos tener un instante de tontería)
Lo que nos permite recuperar sí o sí la información para poder acceder a un disco cifrado con Bitlocker, es que en el Dominio Active Directory se guarde automáticamente, y sin intervención, la contraseña de recuperación, que no es la misma que puede haber puesto el usuario para ingresar al sistema
Personalmente he utilizado Bitlocker con Windows 7, por bastante tiempo, y muy buen resultado. Inclusive como mi equipo no disponía del chip TPM, utilizaba un “pendrive” para habilitar el arranque
Hasta que una vez perdí el “pendrive”. Menos mal que llevaba encima, en forma impresa, la clave de recuperación, pues al no estar en ambiente de Dominio no me iba a quedar opción
En esta nota desarrollaré el caso, que el usuario haya protegido el sistema por contraseña de acceso y luego se la olvide, y además que no haya guardado copia de la información, por supuesto en ambiente de Dominio Active Directory
Las máquinas necesarias para la demostración son solamente dos: un Controlador de Dominio, y una máquina cliente.
Sigo utilizando la misma infraestructura de todas estas demostraciones: el Dominio se llama “ad.guillermod.com.ar” con Windows Server 2012 R2, y el cliente usaré un Windows 8.1. Se puede hacer con alguna variación si fueran sistemas operativos anteriores
En el Dominio he creado una Unidad Organizativa llamada “Portables” donde he puesto al cliente CL1, ya que debemos aplicar Directivas de Grupo (GPOs)
Comenzaremos creando y enlazando una GPO a esta Unidad Organizativa
Yo la he llamado “Bitlocker Recovery” pero denle el nombre que les parezca más adecuado a cada uno
En mi caso, como lo estoy haciendo con máquinas virtuales (VMware) no disponemos de TPM, así que deberé configurar para permitir el uso de Bitlocker sin el mismo. Esta opción es totalmente válida si lo quieren aplicar a dispositivos sin TPM reales
Yo lo he hecho sobre el disco del sistema operativo, porque creo que es la opción más común, ya que la mayoría de los dispositivos portables tienen un único disco, pero de la misma forma lo podría hacer sobre discos removibles o todos los fijos
Debemos editar: “Computer Configuration / Policies / Administrative Templates / Windows Components / Bitlocker Drive Encryption / Operating System Drives
Debemos modificar la opción “Require additional authentication at startup” para permitir el uso de Bitlocker sin TPM
En cuanto la habilitamos se marcará la opción correspondiente
Y ahora sí, la configuración importante para que la información sea almacenada en Active Directory. En el mismo lugar debemos habilitar y configurar “Choose how Bitlocker-protected operating system drives can be recovered”
Debemos marcar “Allow data recovery agent”, y una que me parció muy buena para impedir que los usuarios utilicen Bitlocker hasta que la información de seguridad no esté en Active Directory, como es “Do not enable Bitlocker until recovery information is stored in AD DS for operating system drives”
Quedará así la GPO
Ahora en CL1 para que esta GPO se aplique fuerzo la reaplicación de la GPO, o si quieren pueden reinicarlo
Y vamos a Panel de Control para configurar Bitlocker
Habilitaremos Bitlocker sobre el disco C:
Acá tenemos dos opciones para proteger el arranque. La primera es la inserción de un “pendrive” al momento del arranque, y la segunda que es la que demostraré, es mediante una protección por contraseña
Asegurarnos de poner una “buena” contraseña, y que no la olvidaremos 😉
Y ahora nos pregunta dónde guardará la información de recuperación ante emergencias. Elegiré un archivo. Cuidado que la opción del “USB flash drive” no es lo mismo
Yo he seleccionado guardarla en un “pendrive” ya que el sistema tiene la suficiente “inteligencia” para no permitir guardarla en el mismo disco cifrado
Podríamos también imprimir la información, aunque en este caso no lo haré
La siguiente es una opción nueva desde Windows 8, que permite ahorrar mucho tiempo en el proceso de cifrado
Es altamente recomendable dejar que el sistema verifique que se podrá cifrar sin problemas
Y justamente por lo anterior, pedirá reinciar la máquina para verificar que todo esté correcto, y solamente luego comenzará con el cifrado
Apenas reincia, y antes de la carga del sistema operativo nos pedirá la contraseña de seguridad que habíamos puesto anteriormente
Si pusimos bien la contraseña continua la carga del sistema operativo y nos mostrará que está cifrando la información
Aunque el proceso es mucho más rápido que en Windows 7, este se tomará su tiempo
Mientras el sistema trabaja podemos acceder a nuestro “pendrive”, ver el archivo creado, y su contenido
Si no la imprimieron antes, es un buen momento para hacerlo con la clave de recuperación, aunque por supuesto podemos estar tranquilos en cuanto ya está guardada en Active Directory
Y finaliza
Para poder acceder a la clave de recuperación almacenada en Active Directory debemos instalar Bitlocker en un Controlador de Dominio. Mostaré sólo la pantalla de selección, ya que se hace como cualquier otro componente
Esto no lo esperaba, hay que reiniciar 🙁
Luego del reinicio abrimos “Active Directory Users and Computer” y debemos seleccionar ver las opciones avanzadas
Vamos a las Propiedades del cliente en cuestión
Y observamos que se ha añadido una nueva ficha “Bitlocker Recovery” donde podemos ver la contraseña de recuperación (“Recovery Password”)
Ahora volvamos a CL1, reiniciamos, y suponemos que no conocemos la contraseña o el usuario la ha olvidado, en cuyo caso debe, según se indica, pusar la tecal ESC
Es el momento en que el administrador debe buscar la contraseña de recuperación en Active Directory y proporcionársela al usuario, o ingresarla él mismo 🙂
¿Arrancará? parece que sí 🙂
Si, por supuesto, arranca, y podremos ingresar nuevamente a la configuración de Bitlocker y si es necesario cambiar la contraseña olvidada. Y al usuario … 😀
Con esta demostración de recuperación de Bitlocker, ya doy por finalizada la nota, solamente recomendarles que si lo fueran a aplicar a Windows Vista, revisen las otras opciones de la GPO, que son diferentes, no separa en diferentes tipos de discos
