Vamos a tratar un tema de vital importancia en nuestro papel de administradores, y es un tema que está relacionado con la seguridad de la información en nuestra red, todos sabemos que las organizaciones deben velar por la seguridad y disponibilidad de la información ya que hay datos que son extremadamente delicados y si llegan a ser robados, hackeados u algún otro tipo de situación puede incurrir en problemas no solo para la organización sino para la persona que tiene a cargo el área de sistemas.
Antes de comenzar, revisemos que significa el término Encriptación y que beneficios nos puede ofrecer; Encriptación es simplemente convertir los datos que tenemos en un archivo imposible de leer para otro usuario que no esté autorizado a tener acceso a dichos datos. Así mismo existe el proceso de desencriptar, que no es otra cosa que convertir los datos encriptados a su estado original.
Existen 3 tipos de algoritmos para encriptar:
Hoy en día Windows Server 2012 incorpora dos (2) tecnologías de encriptación
- Sistema de encriptado de archivos - Encrypting File System (EFS)
- Encriptación de dispositivos con BitlLocker - BitLocker Drive Encryption
Empecemos con la parte práctica, pasemos al siguiente capítulo pulsando en siguiente.
1. Encriptar o desencriptar archivos mediante EFS
Puede cifrar archivos en volúmenes NTFS y para su uso el usuario debe tener las claves de acceso, cuando abrimos (con la clave válida) un archivo con EFS automáticamente quedará desencriptado y si lo guardamos quedará desencriptado.
El proceso para encriptar un archivo con EFS es el siguiente:
Debemos dar clic derecho en la carpeta o archivo que deseamos encriptar y elegimos la opción Propiedades:
En la pestaña General elegimos la opción Opciones avanzadas.
Se desplegará la opción Atributos Avanzados.
Elegimos la opción Cifrar contenido para proteger datos, damos clic en Aceptar.
Veremos que nuestra carpeta encriptada queda resaltada.
Seleccionamos la opción más adecuada y damos clic en Aceptar.
Para desencriptar un archivo o carpeta realizamos el siguiente proceso:
Damos clic derecho y elegimos propiedades:
En la pestaña General elegimos Opciones avanzadas:
Se desplegará la ventana de Atributos avanzados y tendríamos que desmarcar la opción Cifrar contenido para proteger datos:
Damos clic en Aceptar y Aplicar para guardar los cambios.
Recordemos estos aspectos importantes cuando trabajemos con encriptación EFS:
- Sólo podemos encriptar carpetas usando el volumen NTFS.
- La carpeta se desencriptará automáticamente cuando la movemos o copiamos a otro volumen NTFS.
- Archivos que son raíz del sistema no pueden ser encriptados.
- El usar EFS no es garantía de que nuestros archivos pueden ser borrados, para evitar esto debemos usar los permisos de NTFS.
2. Compartir archivos protegidos con EFS a otros usuarios
¿Cómo compartir archivos protegidos con EFS a otros usuarios? Esta es una pregunta bastante demandada en este campo, pero no te preocupes tiene solución. Cuando encriptamos un archivo con EFS sólo el usuario que lo encriptó puede tener acceso a dicho archivo, pero en las últimas versiones de NTFS podemos agregar un certificado a nuestro archivo o carpeta encriptada para compartirla con otras personas.
Para realizar este proceso debemos realizar los siguientes pasos:
Damos clic derecho en la carpeta o archivo a compartir y elegimos Propiedades.
En la ventana Propiedades elegimos Opciones avanzadas.
Allí se desplegará la ventana de Atributos avanzados, debemos elegir la opción Detalles.
Y en la ventana desplegada simplemente adicionamos los usuarios con los que se va a compartir y damos clic en Aceptar.
En el caso que alguna persona que gestionaba los EFS se fue de la organización o se le olvido la contraseña de encriptación, podemos usar el DRA (Data Recovery Agent-Agente Recuperador de Datos).
Para ello vamos a realizar el siguiente proceso:
- Abrimos nuestro Administrador de Políticas de grupo (En nuestro Server manager o Administrador de Servidor, menú Herramientas).
- Desplegamos el bosque y el dominio.
- Damos clic derecho en Política por defecto o Default Domain Policy, seleccionamos Editar:
Una vez se abra la ventana de edición vamos a la siguiente ruta:
- Configuración del Computador (Computer Configuration)
- Políticas (Policies)
- Opciones de Windows (Windows Settings)
- Opciones de Seguridad (Security Settings)
- Políticas de Claves (Públicas-Public Key Policies)
Elegimos Sistema de Encriptación de Archivos (Encrypting File System) y allí damos clic derecho y elegimos Crear Agente Recuperador de Datos (Create Data Recovery Agent).
Damos clic en Sistema de Encriptación de Archivos (Encrypting File Systems), elegimos los certificados y cerramos el editor de grupo.
3. Administración de certificados
Cuando creamos por primera vez un archivo el sistema automáticamente creará el certificado de encriptación. Podemos realizar un backup a dicho certificado, para ello vamos al comando Ejecutar o teclas:
Windows + R
E ingresamos lo siguiente:
certmgr.msc
En la ventana desplegada elegimos Personal / Certificados, en el certificado desplegado damos clic derecho y elegimos Exportar.
Se abrirá el asistente de exportación, damos clic en Siguiente.
Elegimos si deseamos enviar la clave privada:
Damos clic en Siguiente, elegimos el tipo de formato y damos clic de nuevo en Siguiente.
Damos clic en Siguiente, buscamos nuestro certificado y damos Clic en Finalizar
4. Encriptación de archivos mediante Bitlocker
Con BitLocker (BDE-BitLocker Drive Encryption) es posible encriptar volúmenes enteros, así en caso de perder nuestro dispositivo los datos seguirán encriptados aunque sean instalados en algún otro lugar.
BDE usa una nueva característica llamada TPM-Trusted Plattform Module - Módulo de Plataforma Confiable, y ésta permite tener mayor seguridad en caso de un ataque externo.BitLocker usa TPM para validar el booteo y el arranque del servidor, y garantiza que el disco duro está en óptimas condiciones de seguridad y funcionamiento.
Existen algunos requerimientos que debemos tener en cuenta para implementar el cifrado con BitLocker, éstos son:
- Un computador con TPM.
- Un dispositivo de almacenamiento removible, como por ejemplo una USB , así en caso de que el computador no cuente con TPM, TPM almacena la clave en dicho dispositivo.
- Mínimo 2 particiones en el disco duro.
- BIOS compatible con TPM, en caso de no ser posible, debemos actualizar nuestra BIOS usando BitLocker.
TPM está disponible en las siguientes versiones de Windows para equipos personales:
- Windows 7 Ultimate
- Windows 7 Enterprise
- Windows 8 Pro
- Windows 8 Enterprise
BitLocker no es usado comúnmente en servidores pero puede incrementar la seguridad combinándose con el Clúster de Conmutación por error.
Bit Locker puede soportar los siguientes formatos:
- FAT16
- FAT32
- NTFS
- SATA
- ATA, etc
BitLocker no soporta:
- Archivos de sistema de CD o DVD
- iSCI
- Fibra
- Bluetooth
BitLocker usa 5 modos operacionales en su funcionamiento:
5. Cómo instalar Bitlocker
El proceso para instalar esta característica es el siguiente:
Nos dirigimos al Administrador del Servidor o Server Manager y elegimos Agregar roles y características ubicado en el inicio rápido o en el menú Administrar:
En la ventana desplegada damos clic en Siguiente, elegimos Instalación basada en roles o características, damos clic nuevamente en Siguiente:
En la siguiente ventana seleccionamos nuestro servidor y damos clic en Siguiente, en la ventana de roles damos clic en Siguiente porque vamos a añadir una característica no un rol. En la ventana de Seleccionar características elegimos la opción Cifrado de unidad BitLocker.
Como vemos en el panel derecho tenemos un breve resumen de las funcionalidades de dicha característica, damos clic en Siguiente. Se desplegará una ventana con un resumen de lo que vamos a realizar:
Damos clic en Instalar para iniciar el proceso:
Una vez instalada nuestra característica de BitLocker debemos reiniciar el servidor.
6. Determinar si nuestro ordenador tiene TPM
Trusted Platform Module es el conodido (TPM). En BitLocker el chip TPM es utilizado para proteger las claves de cifrado y autenticación proporcionando integridad con confianza.
Para determinar si contamos con la opción de TPM debemos ir al Panel de Control y elegimos la opción Seguridad:
Una vez se despliegue la ventana de Seguridad elegimos Cifrado de unidad Bitlocker.
Veremos que en el panel inferior izquierdo tenemos la opción de Administración de TPM.
Damos clic en esta opción, Administración de TPM y veremos si nuestro equipo tiene instalada esta característica:
7. Activación de BitLocker
Para activar BitLocker debemos ir a:
- Panel de Control
- Seguridad
- Cifrado de Unidad Bitlocker
Elegimos la opción Activar BitLocker, comenzará el proceso de habilitación:
El sistema nos indicará algunas de las siguientes opciones:
En este ejemplo elegimos Escribir una contraseña
El sistema nos indicará que debemos hacer con nuestra clave:
En nuestro caso elegimos Guardar en un archivo:
Guardamos nuestra clave y damos clic en Siguiente, allí el sistema nos indica que tipo de cifrado deseamos realizar, unidad entera o solo espacio de disco, elegimos según nuestra configuración.
Elegimos y damos clic en Siguiente y finalmente procedemos a encriptar nuestra unidad.
- Ejecutamos el comando gpedit.msc en Ejecutar
- Ingresamos a la siguiente ruta: Configuración del equipo / Plantillas administrativas / Componentes de Windows / Cifrado de unidad Bitlocker / Unidades del sistema operativo.
- Hacemos doble clic en esta última opción.
- Habilitamos la política dando clic en Habilitar.
- Guardamos y podremos ejecutar nuestra activación sin problemas.
Como resumen podemos decir que tenemos herramientas que nos brindan una mayor seguridad para nuestros archivos y carpetas, todo esto con el propósito de preservar la integridad de los mismos.
Si queréis más información sobre DFS no olvidéis pasaros por la página oficial de Microsoft.