Cargando



Configurar servicios de archivo DFS y encriptar con BitLocker

Completo manual explicando la configuración de servicios de archivo DFS junto a encriptación de archivos y carpetas con BitLocker.


dic 11 2016 11:55
Avanzado
Total de Apartados : 7
dic 13 2016 12:00

De tu interés 👌

Vamos a tratar un tema de vital importancia en nuestro papel de administradores, y es un tema que está relacionado con la seguridad de la información en nuestra red, todos sabemos que las organizaciones deben velar por la seguridad y disponibilidad de la información ya que hay datos que son extremadamente delicados y si llegan a ser robados, hackeados u algún otro tipo de situación puede incurrir en problemas no solo para la organización sino para la persona que tiene a cargo el área de sistemas.

 

Antes de comenzar, revisemos que significa el término Encriptación y que beneficios nos puede ofrecer; Encriptación es simplemente convertir los datos que tenemos en un archivo imposible de leer para otro usuario que no esté autorizado a tener acceso a dichos datos. Así mismo existe el proceso de desencriptar, que no es otra cosa que convertir los datos encriptados a su estado original.

 

Existen 3 tipos de algoritmos para encriptar:

 

Simétrico
Es aquel que usa una clave simple para encriptar o desencriptar un archivo.

 

Asimétrico
Es aquel que usa dos claves matemáticamente relacionadas, con una se encripta el archivo y con la otra se desencripta.

 

Tipo Hash
Este tipo de cifrado funciona en un solo sentido, es decir, después de encriptado no se puede desencriptar.

 

Hoy en día Windows Server 2012 incorpora dos (2) tecnologías de encriptación

  • Sistema de encriptado de archivos - Encrypting File System (EFS)

 

Empecemos con la parte práctica, pasemos al siguiente capítulo pulsando en siguiente.

 


1. Encriptar o desencriptar archivos mediante EFS


Puede cifrar archivos en volúmenes NTFS y para su uso el usuario debe tener las claves de acceso, cuando abrimos (con la clave válida) un archivo con EFS automáticamente quedará desencriptado y si lo guardamos quedará desencriptado.

 

Encriptar archivo con EFS

El proceso para encriptar un archivo con EFS es el siguiente:

 

Debemos dar clic derecho en la carpeta o archivo que deseamos encriptar y elegimos la opción Propiedades:

 

dfs-bitlocker-1.jpg

 

En la pestaña General elegimos la opción Opciones avanzadas.

 

dfs-bitlocker-2.jpg

 

Se desplegará la opción Atributos Avanzados.

 

dfs-bitlocker-3.jpg

 

Elegimos la opción Cifrar contenido para proteger datos, damos clic en Aceptar.

 

dfs-bitlocker-4.jpg

 

Veremos que nuestra carpeta encriptada queda resaltada.

 

dfs-bitlocker-5.jpg

 

Nota
Si dentro de la carpeta que tenemos existen subcarpetas, al momento de aplicar los cambios el sistema nos preguntará si deseamos aplicar esos cambios a todas las carpetas (incluidas subcarpetas) o sólo a la carpeta raíz

 

dfs-bitlocker-6.jpg

 

Seleccionamos la opción más adecuada y damos clic en Aceptar.

 

Desencriptar archivo o carpeta con EFS

Para desencriptar un archivo o carpeta realizamos el siguiente proceso:

 

Damos clic derecho y elegimos propiedades:

 

dfs-bitlocker-10.jpg

 

En la pestaña General elegimos Opciones avanzadas:

 

dfs-bitlocker-11.jpg

 

Se desplegará la ventana de Atributos avanzados y tendríamos que desmarcar la opción Cifrar contenido para proteger datos:

 

dfs-bitlocker-12.jpg

 

Damos clic en Aceptar y Aplicar para guardar los cambios.

 

Recordemos estos aspectos importantes cuando trabajemos con encriptación EFS:

  • Sólo podemos encriptar carpetas usando el volumen NTFS.
  • La carpeta se desencriptará automáticamente cuando la movemos o copiamos a otro volumen NTFS.
  • Archivos que son raíz del sistema no pueden ser encriptados.
  • El usar EFS no es garantía de que nuestros archivos pueden ser borrados, para evitar esto debemos usar los permisos de NTFS.

 

 


2. Compartir archivos protegidos con EFS a otros usuarios


¿Cómo compartir archivos protegidos con EFS a otros usuarios? Esta es una pregunta bastante demandada en este campo, pero no te preocupes tiene solución. Cuando encriptamos un archivo con EFS sólo el usuario que lo encriptó puede tener acceso a dicho archivo, pero en las últimas versiones de NTFS podemos agregar un certificado a nuestro archivo o carpeta encriptada para compartirla con otras personas.

 

Para realizar este proceso debemos realizar los siguientes pasos:

 

Damos clic derecho en la carpeta o archivo a compartir y elegimos Propiedades.

 

dfs-bitlocker-10.jpg

 

En la ventana Propiedades elegimos Opciones avanzadas.

 

dfs-bitlocker-11.jpg

 

Allí se desplegará la ventana de Atributos avanzados, debemos elegir la opción Detalles.

 

dfs-bitlocker-12.jpg

 

Y en la ventana desplegada simplemente adicionamos los usuarios con los que se va a compartir y damos clic en Aceptar.

 

En el caso que alguna persona que gestionaba los EFS se fue de la organización o se le olvido la contraseña de encriptación, podemos usar el DRA (Data Recovery Agent-Agente Recuperador de Datos).

 

Para ello vamos a realizar el siguiente proceso:

  • Desplegamos el bosque y el dominio.
  • Damos clic derecho en Política por defecto o Default Domain Policy, seleccionamos Editar:

 

dfs-bitlocker-13.jpg

 

Una vez se abra la ventana de edición vamos a la siguiente ruta:

  • Configuración del Computador (Computer Configuration)
  • Políticas (Policies)
  • Opciones de Windows (Windows Settings)
  • Opciones de Seguridad (Security Settings)
  • Políticas de Claves (Públicas-Public Key Policies)

 

dfs-bitlocker-14.jpg

 

Elegimos Sistema de Encriptación de Archivos (Encrypting File System) y allí damos clic derecho y elegimos Crear Agente Recuperador de Datos (Create Data Recovery Agent).

 

dfs-bitlocker-15.jpg

 

Damos clic en Sistema de Encriptación de Archivos (Encrypting File Systems), elegimos los certificados y cerramos el editor de grupo.

 

 


3. Administración de certificados


Cuando creamos por primera vez un archivo el sistema automáticamente creará el certificado de encriptación. Podemos realizar un backup a dicho certificado, para ello vamos al comando Ejecutar o teclas:

 

 

Windows + R

 

 

E ingresamos lo siguiente:

certmgr.msc

dfs-bitlocker-16.jpg

 

En la ventana desplegada elegimos Personal / Certificados, en el certificado desplegado damos clic derecho y elegimos Exportar.

 

dfs-bitlocker-17.jpg

 

Se abrirá el asistente de exportación, damos clic en Siguiente.

 

dfs-bitlocker-18.jpg

 

Elegimos si deseamos enviar la clave privada:

 

dfs-bitlocker-19.jpg

 

Damos clic en Siguiente, elegimos el tipo de formato y damos clic de nuevo en Siguiente.

 

dfs-bitlocker-20.jpg

 

Damos clic en Siguiente, buscamos nuestro certificado y damos Clic en Finalizar

 


4. Encriptación de archivos mediante Bitlocker


Con BitLocker (BDE-BitLocker Drive Encryption) es posible encriptar volúmenes enteros, así en caso de perder nuestro dispositivo los datos seguirán encriptados aunque sean instalados en algún otro lugar.

 

BDE usa una nueva característica llamada TPM-Trusted Plattform Module - Módulo de Plataforma Confiable, y ésta permite tener mayor seguridad en caso de un ataque externo.BitLocker usa TPM para validar el booteo y el arranque del servidor, y garantiza que el disco duro está en óptimas condiciones de seguridad y funcionamiento.

 

Existen algunos requerimientos que debemos tener en cuenta para implementar el cifrado con BitLocker, éstos son:

  • Un computador con TPM.
  • Un dispositivo de almacenamiento removible, como por ejemplo una USB , así en caso de que el computador no cuente con TPM, TPM almacena la clave en dicho dispositivo.
  • Mínimo 2 particiones en el disco duro.
  • BIOS compatible con TPM, en caso de no ser posible, debemos actualizar nuestra BIOS usando BitLocker.

 

TPM está disponible en las siguientes versiones de Windows para equipos personales:

  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows 8 Pro
  • Windows 8 Enterprise

 

BitLocker no es usado comúnmente en servidores pero puede incrementar la seguridad combinándose con el Clúster de Conmutación por error.

 

Bit Locker puede soportar los siguientes formatos:

  • FAT16
  • FAT32
  • NTFS
  • SATA
  • ATA, etc

 

BitLocker no soporta:

  • Archivos de sistema de CD o DVD
  • iSCI
  • Fibra
  • Bluetooth

 

BitLocker usa 5 modos operacionales en su funcionamiento:

 

TPM + PIN (Personal Identifier Number-Número de Identificacion personal) + Clave
El sistema encripta la información con TPM, adicionalmente el administrador debe introducir su PIN y la clave para acceder

 

TPM+Clave
El sistema encripta la información con TPM y el administrador debe suministrar una clave de acceso

 

TPM + PIN
El sistema encripta la información con TPM y el administrador debe suministrar su identificación de acceso

 

Clave únicamente
El administrador debe suministrar la clave para acceder a gestionar

 

TPM únicamente
No requiere acción por parte del administrador

 

 


5. Cómo instalar Bitlocker


El proceso para instalar esta característica es el siguiente:

 

Nos dirigimos al Administrador del Servidor o Server Manager y elegimos Agregar roles y características ubicado en el inicio rápido o en el menú Administrar:

 

 

En la ventana desplegada damos clic en Siguiente, elegimos Instalación basada en roles o características, damos clic nuevamente en Siguiente:

 

dfs-bitlocker-22.jpg

 

En la siguiente ventana seleccionamos nuestro servidor y damos clic en Siguiente, en la ventana de roles damos clic en Siguiente porque vamos a añadir una característica no un rol. En la ventana de Seleccionar características elegimos la opción Cifrado de unidad BitLocker.

 

dfs-bitlocker-23.jpg

 

Como vemos en el panel derecho tenemos un breve resumen de las funcionalidades de dicha característica, damos clic en Siguiente. Se desplegará una ventana con un resumen de lo que vamos a realizar:

 

dfs-bitlocker-24.jpg

 

Damos clic en Instalar para iniciar el proceso:

 

dfs-bitlocker-25.jpg

 

Una vez instalada nuestra característica de BitLocker debemos reiniciar el servidor.

 


6. Determinar si nuestro ordenador tiene TPM


Trusted Platform Module es el conodido (TPM). En BitLocker el chip TPM es utilizado para proteger las claves de cifrado y autenticación proporcionando integridad con confianza.

 

Para determinar si contamos con la opción de TPM debemos ir al Panel de Control y elegimos la opción Seguridad:

 

dfs-bitlocker-27.jpg

 

Una vez se despliegue la ventana de Seguridad elegimos Cifrado de unidad Bitlocker.

 

dfs-bitlocker-28.jpg

 

Veremos que en el panel inferior izquierdo tenemos la opción de Administración de TPM.

 

dfs-bitlocker-29.jpg

 

Damos clic en esta opción, Administración de TPM y veremos si nuestro equipo tiene instalada esta característica:

 

dfs-bitlocker-30.jpg

 

 


7. Activación de BitLocker


Para activar BitLocker debemos ir a:
  • Panel de Control
  • Seguridad
  • Cifrado de Unidad Bitlocker

 

dfs-bitlocker-31.jpg

 

Elegimos la opción Activar BitLocker, comenzará el proceso de habilitación:

 

dfs-bitlocker-32.jpg

 

El sistema nos indicará algunas de las siguientes opciones:

 

dfs-bitlocker-33.jpg

 

En este ejemplo elegimos Escribir una contraseña

 

dfs-bitlocker-34.jpg

 

El sistema nos indicará que debemos hacer con nuestra clave:

 

dfs-bitlocker-35.jpg

 

En nuestro caso elegimos Guardar en un archivo:

 

dfs-bitlocker-36.jpg

 

Guardamos nuestra clave y damos clic en Siguiente, allí el sistema nos indica que tipo de cifrado deseamos realizar, unidad entera o solo espacio de disco, elegimos según nuestra configuración.

 

dfs-bitlocker-37.jpg

 

Elegimos y damos clic en Siguiente y finalmente procedemos a encriptar nuestra unidad.

 

dfs-bitlocker-38.jpg

 

 

Atención
Si por algún motivo de hardware nuestro computador no pasa el test de TPM podemos ejecutar el siguiente proceso para permitir activar BitLocker:
  • Ejecutamos el comando gpedit.msc en Ejecutar
  • Ingresamos a la siguiente ruta: Configuración del equipo / Plantillas administrativas / Componentes de Windows / Cifrado de unidad Bitlocker / Unidades del sistema operativo.
  • Hacemos doble clic en esta última opción.
  • Habilitamos la política dando clic en Habilitar.
  • Guardamos y podremos ejecutar nuestra activación sin problemas.

 

 

¿Qué es BitLocker To Go?
Bitlocker To Go es una funcionalidad que nos permite encriptar nuestras unidades flash, para ello debemos seguir el paso anterior eligiendo la unidad flash.

 

BitLocker Pre-Aprovisionamiento
Esta opción permite configurar el Bitlocker desde antes de la instalación del sistema operativo, para ello debemos configurar la opción de Windows Preinstallation Environment Win PE con el comando Manage-bde -on x:

 

Como resumen podemos decir que tenemos herramientas que nos brindan una mayor seguridad para nuestros archivos y carpetas, todo esto con el propósito de preservar la integridad de los mismos.

 

Si queréis más información sobre DFS no olvidéis pasaros por la página oficial de Microsoft.

 


¿Te ayudó este Tutorial?


Sin comentarios, sé el primero!

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!

X