Ver destacados

Configurar servicios de archivo DFS y encriptar con BitLocker

Completo manual explicando la configuración de servicios de archivo DFS junto a encriptación de archivos y carpetas con BitLocker.
Escrito por
13.2K Visitas  |  Publicado dic 11 2016 11:55
Favorito
Compartir
Comparte esta pagina a tus Amigos y Contactos usando las siguientes Redes Sociales


Vamos a tratar un tema de vital importancia en nuestro papel de administradores, y es un tema que está relacionado con la seguridad de la información en nuestra red, todos sabemos que las organizaciones deben velar por la seguridad y disponibilidad de la información ya que hay datos que son extremadamente delicados y si llegan a ser robados, hackeados u algún otro tipo de situación puede incurrir en problemas no solo para la organización sino para la persona que tiene a cargo el área de sistemas.

 

Antes de comenzar, revisemos que significa el término Encriptación y que beneficios nos puede ofrecer; Encriptación es simplemente convertir los datos que tenemos en un archivo imposible de leer para otro usuario que no esté autorizado a tener acceso a dichos datos. Así mismo existe el proceso de desencriptar, que no es otra cosa que convertir los datos encriptados a su estado original.

 

Existen 3 tipos de algoritmos para encriptar:

 

Simétrico
Es aquel que usa una clave simple para encriptar o desencriptar un archivo.

 

Asimétrico
Es aquel que usa dos claves matemáticamente relacionadas, con una se encripta el archivo y con la otra se desencripta.

 

Tipo Hash
Este tipo de cifrado funciona en un solo sentido, es decir, después de encriptado no se puede desencriptar.

 

Hoy en día Windows Server 2012 incorpora dos (2) tecnologías de encriptación

  • Sistema de encriptado de archivos - Encrypting File System (EFS)

 

Empecemos con la parte práctica, pasemos al siguiente capítulo pulsando en siguiente.

 


1. Encriptar o desencriptar archivos mediante EFS


Puede cifrar archivos en volúmenes NTFS y para su uso el usuario debe tener las claves de acceso, cuando abrimos (con la clave válida) un archivo con EFS automáticamente quedará desencriptado y si lo guardamos quedará desencriptado.

 

Encriptar archivo con EFS

El proceso para encriptar un archivo con EFS es el siguiente:

 

Debemos dar clic derecho en la carpeta o archivo que deseamos encriptar y elegimos la opción Propiedades:

 

 

En la pestaña General elegimos la opción Opciones avanzadas.

 

 

Se desplegará la opción Atributos Avanzados.

 

 

Elegimos la opción Cifrar contenido para proteger datos, damos clic en Aceptar.

 

 

Veremos que nuestra carpeta encriptada queda resaltada.

 

 

Nota
Si dentro de la carpeta que tenemos existen subcarpetas, al momento de aplicar los cambios el sistema nos preguntará si deseamos aplicar esos cambios a todas las carpetas (incluidas subcarpetas) o sólo a la carpeta raíz

 

 

Seleccionamos la opción más adecuada y damos clic en Aceptar.

 

Desencriptar archivo o carpeta con EFS

Para desencriptar un archivo o carpeta realizamos el siguiente proceso:

 

Damos clic derecho y elegimos propiedades:

 

 

En la pestaña General elegimos Opciones avanzadas:

 

 

Se desplegará la ventana de Atributos avanzados y tendríamos que desmarcar la opción Cifrar contenido para proteger datos:

 

 

Damos clic en Aceptar y Aplicar para guardar los cambios.

 

Recordemos estos aspectos importantes cuando trabajemos con encriptación EFS:

  • Sólo podemos encriptar carpetas usando el volumen NTFS.
  • La carpeta se desencriptará automáticamente cuando la movemos o copiamos a otro volumen NTFS.
  • Archivos que son raíz del sistema no pueden ser encriptados.
  • El usar EFS no es garantía de que nuestros archivos pueden ser borrados, para evitar esto debemos usar los permisos de NTFS.

 

 


2. Compartir archivos protegidos con EFS a otros usuarios


¿Cómo compartir archivos protegidos con EFS a otros usuarios? Esta es una pregunta bastante demandada en este campo, pero no te preocupes tiene solución. Cuando encriptamos un archivo con EFS sólo el usuario que lo encriptó puede tener acceso a dicho archivo, pero en las últimas versiones de NTFS podemos agregar un certificado a nuestro archivo o carpeta encriptada para compartirla con otras personas.

 

Para realizar este proceso debemos realizar los siguientes pasos:

 

Damos clic derecho en la carpeta o archivo a compartir y elegimos Propiedades.

 

 

En la ventana Propiedades elegimos Opciones avanzadas.

 

 

Allí se desplegará la ventana de Atributos avanzados, debemos elegir la opción Detalles.

 

 

Y en la ventana desplegada simplemente adicionamos los usuarios con los que se va a compartir y damos clic en Aceptar.

 

En el caso que alguna persona que gestionaba los EFS se fue de la organización o se le olvido la contraseña de encriptación, podemos usar el DRA (Data Recovery Agent-Agente Recuperador de Datos).

 

Para ello vamos a realizar el siguiente proceso:

  • Desplegamos el bosque y el dominio.
  • Damos clic derecho en Política por defecto o Default Domain Policy, seleccionamos Editar:

 

 

Una vez se abra la ventana de edición vamos a la siguiente ruta:

  • Configuración del Computador (Computer Configuration)
  • Políticas (Policies)
  • Opciones de Windows (Windows Settings)
  • Opciones de Seguridad (Security Settings)
  • Políticas de Claves (Públicas-Public Key Policies)

 

 

Elegimos Sistema de Encriptación de Archivos (Encrypting File System) y allí damos clic derecho y elegimos Crear Agente Recuperador de Datos (Create Data Recovery Agent).

 

 

Damos clic en Sistema de Encriptación de Archivos (Encrypting File Systems), elegimos los certificados y cerramos el editor de grupo.

 

 


3. Administración de certificados


Cuando creamos por primera vez un archivo el sistema automáticamente creará el certificado de encriptación. Podemos realizar un backup a dicho certificado, para ello vamos al comando Ejecutar o teclas:

 

 

Windows + R

 

 

E ingresamos lo siguiente:

certmgr.msc

 

En la ventana desplegada elegimos Personal / Certificados, en el certificado desplegado damos clic derecho y elegimos Exportar.

 

 

Se abrirá el asistente de exportación, damos clic en Siguiente.

 

 

Elegimos si deseamos enviar la clave privada:

 

 

Damos clic en Siguiente, elegimos el tipo de formato y damos clic de nuevo en Siguiente.

 

 

Damos clic en Siguiente, buscamos nuestro certificado y damos Clic en Finalizar

 


4. Encriptación de archivos mediante Bitlocker


Con BitLocker (BDE-BitLocker Drive Encryption) es posible encriptar volúmenes enteros, así en caso de perder nuestro dispositivo los datos seguirán encriptados aunque sean instalados en algún otro lugar.

 

BDE usa una nueva característica llamada TPM-Trusted Plattform Module - Módulo de Plataforma Confiable, y ésta permite tener mayor seguridad en caso de un ataque externo.BitLocker usa TPM para validar el booteo y el arranque del servidor, y garantiza que el disco duro está en óptimas condiciones de seguridad y funcionamiento.

 

Existen algunos requerimientos que debemos tener en cuenta para implementar el cifrado con BitLocker, éstos son:

  • Un computador con TPM.
  • Un dispositivo de almacenamiento removible, como por ejemplo una USB , así en caso de que el computador no cuente con TPM, TPM almacena la clave en dicho dispositivo.
  • Mínimo 2 particiones en el disco duro.
  • BIOS compatible con TPM, en caso de no ser posible, debemos actualizar nuestra BIOS usando BitLocker.

 

TPM está disponible en las siguientes versiones de Windows para equipos personales:

  • Windows 7 Ultimate
  • Windows 7 Enterprise
  • Windows 8 Pro
  • Windows 8 Enterprise

 

BitLocker no es usado comúnmente en servidores pero puede incrementar la seguridad combinándose con el Clúster de Conmutación por error.

 

Bit Locker puede soportar los siguientes formatos:

  • FAT16
  • FAT32
  • NTFS
  • SATA
  • ATA, etc

 

BitLocker no soporta:

  • Archivos de sistema de CD o DVD
  • iSCI
  • Fibra
  • Bluetooth

 

BitLocker usa 5 modos operacionales en su funcionamiento:

 

TPM + PIN (Personal Identifier Number-Número de Identificacion personal) + Clave
El sistema encripta la información con TPM, adicionalmente el administrador debe introducir su PIN y la clave para acceder

 

TPM+Clave
El sistema encripta la información con TPM y el administrador debe suministrar una clave de acceso

 

TPM + PIN
El sistema encripta la información con TPM y el administrador debe suministrar su identificación de acceso

 

Clave únicamente
El administrador debe suministrar la clave para acceder a gestionar

 

TPM únicamente
No requiere acción por parte del administrador

 

 


5. Cómo instalar Bitlocker


El proceso para instalar esta característica es el siguiente:

 

Nos dirigimos al Administrador del Servidor o Server Manager y elegimos Agregar roles y características ubicado en el inicio rápido o en el menú Administrar:

 

 

En la ventana desplegada damos clic en Siguiente, elegimos Instalación basada en roles o características, damos clic nuevamente en Siguiente:

 

 

En la siguiente ventana seleccionamos nuestro servidor y damos clic en Siguiente, en la ventana de roles damos clic en Siguiente porque vamos a añadir una característica no un rol. En la ventana de Seleccionar características elegimos la opción Cifrado de unidad BitLocker.

 

 

Como vemos en el panel derecho tenemos un breve resumen de las funcionalidades de dicha característica, damos clic en Siguiente. Se desplegará una ventana con un resumen de lo que vamos a realizar:

 

 

Damos clic en Instalar para iniciar el proceso:

 

 

Una vez instalada nuestra característica de BitLocker debemos reiniciar el servidor.

 


6. Determinar si nuestro ordenador tiene TPM


Trusted Platform Module es el conodido (TPM). En BitLocker el chip TPM es utilizado para proteger las claves de cifrado y autenticación proporcionando integridad con confianza.

 

Para determinar si contamos con la opción de TPM debemos ir al Panel de Control y elegimos la opción Seguridad:

 

 

Una vez se despliegue la ventana de Seguridad elegimos Cifrado de unidad Bitlocker.

 

 

Veremos que en el panel inferior izquierdo tenemos la opción de Administración de TPM.

 

 

Damos clic en esta opción, Administración de TPM y veremos si nuestro equipo tiene instalada esta característica:

 

 

 


7. Activación de BitLocker


Para activar BitLocker debemos ir a:
  • Panel de Control
  • Seguridad
  • Cifrado de Unidad Bitlocker

 

 

Elegimos la opción Activar BitLocker, comenzará el proceso de habilitación:

 

 

El sistema nos indicará algunas de las siguientes opciones:

 

 

En este ejemplo elegimos Escribir una contraseña

 

 

El sistema nos indicará que debemos hacer con nuestra clave:

 

 

En nuestro caso elegimos Guardar en un archivo:

 

 

Guardamos nuestra clave y damos clic en Siguiente, allí el sistema nos indica que tipo de cifrado deseamos realizar, unidad entera o solo espacio de disco, elegimos según nuestra configuración.

 

 

Elegimos y damos clic en Siguiente y finalmente procedemos a encriptar nuestra unidad.

 

 

 

Atención
Si por algún motivo de hardware nuestro computador no pasa el test de TPM podemos ejecutar el siguiente proceso para permitir activar BitLocker:
  • Ejecutamos el comando gpedit.msc en Ejecutar
  • Ingresamos a la siguiente ruta: Configuración del equipo / Plantillas administrativas / Componentes de Windows / Cifrado de unidad Bitlocker / Unidades del sistema operativo.
  • Hacemos doble clic en esta última opción.
  • Habilitamos la política dando clic en Habilitar.
  • Guardamos y podremos ejecutar nuestra activación sin problemas.

 

 

¿Qué es BitLocker To Go?
Bitlocker To Go es una funcionalidad que nos permite encriptar nuestras unidades flash, para ello debemos seguir el paso anterior eligiendo la unidad flash.

 

BitLocker Pre-Aprovisionamiento
Esta opción permite configurar el Bitlocker desde antes de la instalación del sistema operativo, para ello debemos configurar la opción de Windows Preinstallation Environment Win PE con el comando Manage-bde -on x:

 

Como resumen podemos decir que tenemos herramientas que nos brindan una mayor seguridad para nuestros archivos y carpetas, todo esto con el propósito de preservar la integridad de los mismos.

 

Si queréis más información sobre DFS no olvidéis pasaros por la página oficial de Microsoft.

 

¿Te ayudó este Tutorial?

Ayuda a mejorar este Tutorial!
¿Quieres ayudarnos a mejorar este tutorial más? Puedes enviar tu Revisión con los cambios que considere útiles. Ya hay 0 usuario que han contribuido en este tutorial al enviar sus Revisiones. ¡Puedes ser el próximo!