¿Es posible hackear Bitlocker? II. Cifremos los datos del disco usando BitLocker. ¿Cuánto disminuye el rendimiento cuando habilita BitLocker en su computadora?
Este artículo, dirigido a profesionales de TI, responde preguntas frecuentes sobre el uso, la actualización, la implementación y los requisitos de administración y políticas de administración de claves de BitLocker.
BitLocker es un componente de protección de datos que le permite cifrar discos duros en su computadora. Esto reduce la probabilidad de robo de datos, así como el acceso no autorizado a ellos en caso de robo o pérdida de computadoras y medios extraíbles. Además, este componente proporciona una eliminación de datos más segura al desmantelar computadoras protegidas con BitLocker, ya que es mucho más difícil recuperar datos eliminados en una unidad cifrada que en una no cifrada.
-
Seguridad
Otras preguntas
Información general y requisitos
Actualizar
Gestión de claves
Información general y requisitos
¿Cómo funciona BitLocker?
BitLocker trabajando con unidades del sistema operativo
BitLocker reduce el riesgo de acceso no autorizado a datos en computadoras perdidas o robadas al cifrar todos los archivos del usuario y del sistema en la unidad del sistema operativo, incluidos los archivos de paginación y los archivos de hibernación, y al verificar la integridad de los componentes de inicio temprano y los datos de configuración de inicio.
BitLocker funciona con unidades integradas y medios extraíbles
Puede utilizar BitLocker para cifrar toda su unidad de datos. Puede usar la Política de grupo para especificar que BitLocker debe estar habilitado en una unidad antes de que se puedan escribir datos en ella. BitLocker le permite configurar múltiples métodos de desbloqueo para unidades de datos y las unidades de datos admiten múltiples métodos de desbloqueo.
¿BitLocker admite la autenticación multifactor?
Sí, BitLocker admite la autenticación multifactor para unidades del sistema operativo. Si habilita BitLocker en una computadora que tiene el Módulo de plataforma segura (TPM) versión 1.2 o posterior, hay opciones de autenticación adicionales disponibles.
¿Cuáles son los requisitos de hardware y software de BitLocker?
Nota
BitLocker no admite discos dinámicos. Los volúmenes de datos dinámicos no aparecerán en el Panel de control. El volumen del sistema operativo siempre aparecerá en el Panel de control, independientemente de si es un disco dinámico. Pero si es dinámico, no se puede proteger con BitLocker.
¿Por qué se necesitan dos secciones? ¿Por qué el disco del sistema tiene que ser tan grande?
Es necesario tener dos particiones para que BitLocker funcione porque la autenticación previa al inicio y la verificación de la integridad del sistema deben realizarse en una partición que no esté asociada con la unidad cifrada del sistema operativo. Esta configuración ayuda a proteger el sistema operativo y los datos en la unidad cifrada.
¿Qué módulos de plataforma segura (TPM) admite BitLocker?
BitLocker admite la versión 1.2 o posterior del módulo de plataforma.
¿Cómo puedo saber si hay un Módulo de plataforma segura (TPM) instalado en mi computadora?
Abra la consola de administración de TPM (tpm.msc) y verifique el TPM en Estado.
¿Se puede utilizar BitLocker en una unidad de sistema operativo sin TPM?
Sí, puede habilitar BitLocker en una unidad del sistema operativo sin TPM 1.2 o posterior si el firmware BIOS o UEFI admite la lectura desde una unidad flash USB en el entorno de arranque. Esto es posible porque BitLocker no desbloqueará la unidad protegida hasta que reciba la clave maestra de volumen de BitLocker del TPM en la computadora o de una unidad flash USB que contenga la clave de inicio de BitLocker para esa computadora. Pero las computadoras sin TPM no podrán realizar las comprobaciones de integridad del sistema que son posibles con BitLocker.
Para determinar si su computadora puede leer un dispositivo USB al arrancar, use la opción para probar su sistema con BitLocker durante la configuración de BitLocker. Este análisis ejecuta pruebas para garantizar que los dispositivos USB se puedan leer en el momento correcto y que la computadora cumpla con otros requisitos de BitLocker.
¿Cómo habilito la compatibilidad con TPM en el BIOS de mi computadora?
Pregunte al fabricante de su computadora por el firmware BIOS o UEFI que cumpla con los estándares TCG y cumpla con los siguientes requisitos:
cumplimiento de los estándares TCG para la computadora cliente;
la presencia de un mecanismo de actualización seguro que evita la instalación de firmware BIOS malicioso o software de arranque en la computadora.
¿Qué credenciales se requieren para usar BitLocker?
Para habilitar o deshabilitar BitLocker o cambiar su configuración en unidades del sistema operativo y unidades de datos fijas, debe ser miembro de un grupo local Administradores. Los usuarios estándar pueden activar o desactivar BitLocker o cambiar su configuración en unidades de datos extraíbles.
¿Qué orden de inicio se recomienda para las computadoras que necesitan protección con BitLocker?
Debe configurar los ajustes de inicio de su computadora para que su disco duro ocupe el primer lugar en el orden de inicio, antes que cualquier otra unidad, como CD, DVD o unidades USB. Si el disco duro no aparece en primer lugar, pero normalmente inicia desde el disco duro, el sistema puede detectar o asumir un cambio en el orden de inicio cuando detecta medios extraíbles durante el inicio. El orden de inicio normalmente afecta las métricas del sistema verificadas por BitLocker. Al cambiar este orden, se le pedirá que ingrese su clave de recuperación de BitLocker. Por la misma razón, si tiene una computadora portátil con una estación de acoplamiento, asegúrese de que el disco duro esté primero en el orden de inicio tanto cuando esté acoplado como cuando esté desacoplado.
Actualizar
¿Puedo actualizar mi computadora con Windows 7 o Windows 8 a Windows 10 si BitLocker está habilitado?
Sí. En el Panel de control, busque el elemento Cifrado de unidad BitLocker, seleccione un comando Gestión de BitLocker y luego el comando Suspender. Si la protección está en pausa, el disco no se descifra. En este caso, los mecanismos de autenticación que utiliza BitLocker están deshabilitados y se utiliza una clave desprotegida para acceder a la unidad. Una vez que se complete la actualización, abra el Explorador de archivos, haga clic derecho en la unidad y seleccione Reanudar protección. Los métodos de autenticación de BitLocker se volverán a aplicar y se eliminará la clave desprotegida.
¿Cuál es la diferencia entre suspender BitLocker y descifrar unidades protegidas con BitLocker?
Equipo Descifrar anula completamente la protección de BitLocker y descifra toda la unidad.
Equipo Suspender deja los datos cifrados pero cifra la clave maestra de volumen de BitLocker utilizando una clave desprotegida. Una clave desprotegida es una clave criptográfica que se almacena en el disco sin cifrado ni protección. Almacenar esta clave sin cifrado le permite al equipo Suspender realice cambios y actualizaciones en su computadora sin gastar tiempo y recursos descifrando y volviendo a cifrar todo su disco. Después de volver a habilitar BitLocker y realizar cambios, el programa sellará la clave de cifrado utilizando los nuevos valores de los componentes que cambiaron durante la actualización, la clave maestra de volumen cambiará, los protectores se actualizarán y la clave no segura ser eliminado.
¿Necesito descifrar una unidad protegida con BitLocker para descargar e instalar actualizaciones del sistema?
La siguiente tabla enumera los pasos que debe seguir antes de actualizar su sistema operativo o instalar actualizaciones.
Nota
La protección de BitLocker en pausa se puede reanudar después de instalar la actualización. Cuando se reanude la protección, BitLocker sellará la clave de cifrado utilizando los nuevos valores de los componentes que cambiaron durante la actualización. Si estas actualizaciones se instalan sin pausar BitLocker, la computadora ingresa al modo de recuperación después del reinicio y requiere una clave de recuperación o contraseña para acceder a ella.
Implementación y administración
¿Es posible automatizar la implementación de BitLocker en un entorno empresarial?
Sí, la implementación y configuración de BitLocker y TPM se pueden automatizar mediante scripts WMI o Windows PowerShell. La forma en que se implementan los scripts depende del entorno. Puede configurar BitLocker de forma local o remota utilizando Manage-bde.exe. Para obtener más información sobre cómo escribir scripts que utilizan proveedores WMI de BitLocker, consulte Proveedor de cifrado de unidad BitLocker. Para obtener más información sobre el uso de cmdlets de Windows PowerShell con BitLocker Drive Encryption, consulte este artículo.
¿BitLocker puede cifrar unidades distintas a la unidad del sistema operativo?
¿Cuánto disminuye el rendimiento cuando habilita BitLocker en su computadora?
Normalmente, la pérdida de rendimiento es de hasta el diez por ciento.
¿Cuánto tiempo lleva el cifrado inicial después de habilitar BitLocker?
Aunque el cifrado de BitLocker se produce en segundo plano mientras continúa trabajando y el sistema permanece disponible, el tiempo de cifrado depende del tipo, tamaño y velocidad de la unidad. Se recomienda programar el cifrado de discos muy grandes para los momentos en que no estén en uso.
Cuando habilita BitLocker, también puede elegir si desea cifrar todo el disco o solo el espacio utilizado. En un disco duro nuevo, cifrar sólo el espacio utilizado es mucho más rápido que cifrar todo el disco. Una vez que selecciona esta opción de cifrado, BitLocker cifra automáticamente sus datos cuando se guardan. Este método garantiza que no se almacenen datos sin cifrado.
¿Qué sucede si apaga su computadora durante el cifrado o descifrado?
Si su computadora se apaga o entra en modo de hibernación, la próxima vez que inicie Windows, el proceso de cifrado y descifrado de BitLocker se reanuda donde lo dejó. Lo mismo ocurre en caso de un corte de energía.
¿BitLocker cifra y descifra todo el disco al leer y escribir datos?
No, BitLocker no cifra ni descifra toda la unidad al leer y escribir datos. Los sectores cifrados en una unidad protegida con BitLocker se descifran solo cuando lo solicitan las operaciones de lectura del sistema. Los bloques que se escriben en el disco se cifran antes de que el sistema los escriba en el disco físico. En una unidad protegida con BitLocker, los datos nunca quedan sin cifrar.
¿Cómo puedo evitar que los usuarios en línea guarden datos en una unidad no cifrada?
Puede configurar los ajustes de la Política de grupo para evitar que se escriban datos en unidades de una computadora protegida con BitLocker sin habilitar primero la protección de BitLocker en esas unidades.
.
Si se habilitan las configuraciones de política apropiadas, un sistema operativo protegido con BitLocker montará unidades de datos no protegidas con BitLocker en modo de solo lectura.
¿Qué cambios en el sistema provocan que aparezca un error al verificar la integridad del disco del sistema operativo?
Los siguientes tipos de cambios en el sistema pueden causar un error de verificación de integridad: En este caso, el TPM no proporciona la clave de BitLocker para descifrar la unidad del sistema operativo protegida.
Mover una unidad protegida con BitLocker a una computadora nueva.
Deshabilite, desactive o borre el TPM.
Cambie cualquier parámetro de configuración de arranque.
Modificar el firmware BIOS o UEFI, el registro de arranque maestro (MBR), el sector de arranque, el administrador de arranque, la ROM de opción y otros componentes de arranque tempranos o datos de configuración de arranque.
¿Cuándo se inicia BitLocker en modo de recuperación al intentar iniciar la unidad del sistema operativo?
Debido a que BitLocker está diseñado para proteger su computadora de numerosos ataques, existen muchas razones por las cuales BitLocker podría iniciarse en modo de recuperación. En BitLocker, la recuperación consiste en descifrar una copia de la clave maestra del volumen utilizando la clave de recuperación almacenada en una unidad USB o utilizando una clave criptográfica obtenida mediante la contraseña de recuperación. El TPM no participa en ningún escenario de recuperación. Esto significa que la recuperación es posible incluso si ocurre un error al verificar los componentes de arranque usando este módulo, o si falla o se elimina.
¿Puedo cambiar los discos duros de una computadora si la unidad del sistema operativo tiene habilitado el cifrado BitLocker?
Sí, puede cambiar los discos duros en la misma computadora con el cifrado BitLocker habilitado, siempre que tengan la protección BitLocker habilitada en la misma computadora. Las claves de BitLocker son exclusivas del TPM y de la unidad del sistema operativo. Por lo tanto, para preparar un disco de respaldo del sistema operativo o un disco de datos en caso de falla del disco, asegúrese de que usen el mismo TPM. También puede configurar diferentes discos duros para diferentes sistemas operativos y luego habilitar BitLocker en cada disco especificando diferentes métodos de autenticación (por ejemplo, un disco solo tiene TPM y otro tiene TPM con PIN), y esto no generará conflictos.
¿Puedo acceder a un disco duro protegido con BitLocker si lo instalo en otra computadora?
Sí, si se trata de una unidad de datos, se puede desbloquear como de costumbre seleccionando el elemento Cifrado de unidad BitLocker en el panel de control (usando una contraseña o tarjeta inteligente). Si su unidad de datos está configurada para desbloquearse automáticamente únicamente, deberá usar una clave de recuperación para desbloquear la unidad. Un disco duro cifrado se puede desbloquear utilizando un agente de recuperación de datos (si está configurado) o una clave de recuperación.
¿Por qué el comando "Habilitar BitLocker" no está disponible cuando hago clic derecho en la unidad?
Algunas unidades no se pueden cifrar con BitLocker. Esto sucede por varias razones. Por ejemplo, el tamaño del disco puede ser demasiado pequeño, el sistema de archivos puede ser incompatible, el disco puede ser dinámico o estar designado como partición del sistema. De forma predeterminada, el disco del sistema (o la partición del sistema) no se muestra. Pero si el disco (o partición) no se ocultó durante una instalación personalizada del sistema operativo, se puede mostrar, pero no cifrar.
¿Qué tipos de configuraciones de unidades admite BitLocker?
La protección BitLocker es posible para cualquier número de unidades fijas internas. Algunas versiones admiten unidades de conexión directa con interfaces ATA o SATA.
Gestión de claves
¿Cuál es la diferencia entre una contraseña de propietario de TPM, una contraseña de recuperación, una clave de recuperación, una contraseña, un PIN, un PIN mejorado y una clave de inicio?
BitLocker puede crear y utilizar diferentes claves. Algunos de ellos son de uso obligatorio, otros pueden usarse como fusibles adicionales, dependiendo del nivel de seguridad requerido.
¿Dónde almacenar la contraseña de recuperación y la clave de recuperación?
Puede guardar la contraseña de recuperación o la clave de recuperación para el disco de su sistema operativo o el disco de datos no extraíble en una carpeta, en uno o más dispositivos USB, en su cuenta de Microsoft o imprimirla.
La contraseña de recuperación y la clave de recuperación para unidades de datos extraíbles se pueden guardar en una carpeta o cuenta de Microsoft, o imprimir. De forma predeterminada, la clave de recuperación para medios extraíbles no se puede almacenar en medios extraíbles.
Un administrador de dominio puede configurar una política de grupo opcional para generar automáticamente contraseñas de recuperación y almacenarlas en los Servicios de dominio de Active Directory (AD DS) para todas las unidades protegidas con BitLocker.
¿Es posible agregar un método de autenticación adicional sin descifrar el disco si solo está habilitado el método de autenticación TPM?
Puede utilizar la herramienta de línea de comandos Manage-bde.exe para cambiar el modo de autenticación solo de TPM al modo de autenticación multifactor. Por ejemplo, si BitLocker está habilitado solo con autenticación TPM, para agregar autenticación PIN, ingrese los siguientes comandos desde un símbolo del sistema elevado, reemplazando <4-20 digit numeric PIN> al código PIN numérico deseado:
administrar-bde –protectores –eliminar %systemdrive% -tipo tpm
administrar-bde –protectores –añadir %systemdrive% -tpmandpin <4-20 digit numeric PIN>
¿Se pueden recuperar los datos protegidos con BitLocker si se pierden las herramientas de recuperación?
BitLocker está diseñado para que una unidad cifrada no se pueda recuperar sin requerir autenticación. En el modo de recuperación, el usuario necesita una contraseña de recuperación o una clave de recuperación para desbloquear la unidad cifrada.
Importante
Almacene los datos necesarios para la recuperación en AD DS, su cuenta de Microsoft u otra ubicación segura.
¿Es posible almacenar la clave de recuperación en la misma unidad flash USB donde se almacena la clave de inicio?
Es técnicamente posible almacenar ambas claves en la misma unidad flash USB, pero no se recomienda. Si pierde o le roban la unidad flash USB que contiene la clave de inicio, también perderá el acceso a la clave de recuperación. Además, cuando se inserta dicha clave, la computadora se iniciará automáticamente usando la clave de recuperación, incluso si los archivos cuyos indicadores están determinados por el TPM han cambiado, y no se realizará la verificación de integridad del sistema.
¿Es posible almacenar la clave de inicio en varias unidades flash USB?
Sí, la clave de inicio de su computadora se puede almacenar en varias unidades flash USB. Haga clic derecho en la unidad protegida con BitLocker y seleccione Gestión de BitLocker para abrir opciones para copiar claves de recuperación.
¿Es posible almacenar varias claves de inicio diferentes en una unidad flash USB?
Sí, puede almacenar claves de inicio de BitLocker para diferentes computadoras en una sola unidad flash USB.
¿Es posible crear varias claves de inicio diferentes para una computadora?
Usando scripts, puede crear diferentes claves de inicio para la misma computadora. Pero para las computadoras con un TPM, la creación de claves de inicio diferentes impide que BitLocker utilice la verificación de integridad del sistema que realiza el TPM.
¿Puedo crear múltiples combinaciones de códigos PIN?
No es posible crear múltiples combinaciones de códigos PIN.
¿Qué claves de cifrado utiliza BitLocker? ¿Cómo trabajan juntos?
Los datos sin procesar se cifran con la clave de cifrado de volumen completo, que luego se cifra con la clave maestra de volumen. La clave maestra de volumen, a su vez, se cifra mediante uno de varios métodos posibles, según el tipo de autenticación (mediante protectores de clave o TPM) y los escenarios de recuperación.
¿Dónde se almacenan las claves de cifrado?
La clave de cifrado de volumen completo se cifra con la clave maestra de volumen y se almacena en el disco cifrado. La clave maestra de volumen se cifra con una protección de clave adecuada y se almacena en el disco cifrado. Si se suspende la protección de BitLocker, la clave desprotegida que cifra la clave maestra de volumen también se almacena en la unidad cifrada junto con la clave maestra de volumen cifrada.
Este procedimiento de almacenamiento garantiza que la clave maestra de volumen nunca se almacene sin cifrado y que siempre esté protegida a menos que el cifrado BitLocker esté deshabilitado. Las claves también se almacenan en dos ubicaciones de disco adicionales para lograr redundancia. El administrador de arranque puede leer y procesar las claves.
¿Por qué necesito usar las teclas de función para ingresar mi PIN o contraseña de recuperación de 48 caracteres?
Las teclas F1 a F10 tienen códigos de sondeo universales disponibles en el entorno previo al arranque de todas las computadoras para todos los idiomas. Las teclas numéricas del 0 al 9 no se utilizan en el entorno previo al arranque en todos los teclados.
Si se utiliza un PIN mejorado, se recomienda a los usuarios que realicen una verificación adicional del sistema durante la configuración de BitLocker para garantizar que se pueda ingresar el PIN correcto en el entorno previo al inicio.
¿Cómo protege BitLocker el PIN de su sistema operativo de los atacantes?
Un atacante puede obtener el código PIN mediante un ataque de fuerza bruta. Un ataque de fuerza bruta se lleva a cabo utilizando una herramienta automatizada que prueba diferentes combinaciones de códigos PIN hasta encontrar el código correcto. Para las computadoras protegidas con BitLocker, este tipo de pirateo, también conocido como ataque de diccionario, requiere que el atacante tenga acceso físico a la computadora.
El TPM tiene capacidades integradas para detectar y contrarrestar dichos ataques. Debido a que los TPM de diferentes fabricantes tienen diferentes medidas para contrarrestar los ataques de fuerza bruta al PIN, comuníquese con el fabricante del módulo para determinar cómo el módulo de su computadora contrarresta los ataques de fuerza bruta al PIN.
Una vez que haya identificado al fabricante del TPM, comuníquese con el fabricante para obtener información sobre el TPM que solo el fabricante puede proporcionar. La mayoría de los fabricantes aumentan exponencialmente el tiempo de bloqueo de la interfaz PIN a medida que aumenta la cantidad de errores de PIN. Sin embargo, cada fabricante tiene sus propias reglas con respecto a restablecer el contador de errores o disminuir sus valores.
¿Cómo puedo determinar el fabricante de mi TPM?
Puede determinar el fabricante del TPM en la sección Información del fabricante del TPM en la consola de administración de TPM (tpm.msc).
¿Cómo evaluar el mecanismo de mitigación de ataques de diccionario utilizado en un TPM?
Haga las siguientes preguntas a su fabricante de TPM sobre su mecanismo de mitigación de ataques de diccionario:
¿Qué algoritmo se utiliza para determinar la duración del bloqueo, teniendo en cuenta la cantidad de intentos de autorización fallidos y otros parámetros importantes?
¿Qué acciones pueden hacer que el contador de errores se reinicie, disminuya o se bloquee?
¿Puedo cambiar la longitud y la complejidad del PIN mediante la Política de grupo?
Sí y no. Puede establecer la longitud mínima del PIN en una configuración de Política de grupo Esta configuración de política le permite establecer la longitud mínima del PIN para el inicio y permitir el uso de PIN alfanuméricos habilitando la configuración de Política de grupo Esta configuración de política le permite permitir el uso de PIN mejorados al iniciar la computadora.. Sin embargo, no es posible establecer requisitos de complejidad del PIN en la Política de grupo.
Para obtener más información, consulte Configuración de la política de grupo de BitLocker.
BitLocker para llevar
BitLocker To Go habilita el cifrado de unidades BitLocker para medios de almacenamiento extraíbles. Las unidades flash USB, tarjetas SD, discos duros externos y otras unidades con sistema de archivos NTFS, FAT16, FAT32 o exFAT están cifradas.
Servicios de dominio de Active Directory (AD DS)
¿Qué sucede si habilita BitLocker en su computadora antes de unirse a un dominio?
Si BitLocker está habilitado en una unidad antes de que se aplique la Política de grupo para forzar una copia de seguridad, los datos de recuperación no se respaldarán automáticamente en AD DS cuando la computadora se una a un dominio o se aplique la Política de grupo. Sin embargo, puede usar la configuración de política de grupo. Esta configuración de política le permite seleccionar el método de recuperación para unidades del sistema operativo protegidas con BitLocker, y esta configuración de política le permite seleccionar el método de recuperación para medios extraíbles protegidos con BitLocker para forzar a la computadora a unirse a una dominio antes de habilitar BitLocker. Esto garantizará que los Servicios de dominio de Active Directory realicen una copia de seguridad de los datos necesarios para recuperar las unidades protegidas con BitLocker en su organización.
Para obtener más información, consulte Configuración de la política de grupo de BitLocker.
La interfaz del Instrumental de administración de Windows (WMI) para BitLocker permite a los administradores escribir un script para realizar una copia de seguridad o sincronizar los datos existentes para recuperar un cliente en línea, pero BitLocker no administra automáticamente este proceso. La herramienta de línea de comandos Manage-bde también le permite realizar una copia de seguridad manual de sus datos para recuperarlos en AD DS. Por ejemplo, para hacer una copia de seguridad de todos los datos de recuperación en la unidad C, en AD DS, ejecute el siguiente comando desde un símbolo del sistema elevado: administrar-bde -protectores -adbackup C:.
Importante
Lo primero que debe hacer con una computadora nueva en su organización es unirla a un dominio. Una vez que las computadoras se unen a un dominio, el almacenamiento de la clave de recuperación de BitLocker en AD DS es automático (si lo habilita la Política de grupo).
¿Se registra el resultado de una copia de seguridad de Active Directory en el registro de eventos de la computadora cliente?
Sí, se escribe una entrada en el registro de eventos de la computadora cliente que indica el éxito o el fracaso de la copia de seguridad de Active Directory. Pero incluso si el registro de eventos indica éxito, los datos de la copia de seguridad pueden eliminarse de AD DS. Además, la configuración de BitLocker puede cambiar de modo que los datos de Active Directory no permitan desbloquear la unidad (por ejemplo, si se elimina el protector de clave de contraseña de recuperación). También es posible que se altere la entrada del registro.
Para asegurarse de que AD DS tenga una copia de seguridad válida, debe consultar los Servicios de dominio de Active Directory con credenciales de administrador de dominio mediante el Visor de contraseñas de BitLocker.
Si cambio la contraseña de recuperación de BitLocker en mi computadora local y almaceno la nueva contraseña en los Servicios de dominio de Active Directory, ¿los Servicios de dominio sobrescribirán la contraseña anterior?
No. Las contraseñas de recuperación de BitLocker no se eliminan de los Servicios de dominio de Active Directory y, por lo tanto, pueden aparecer varias contraseñas para cada unidad. Para determinar la última contraseña, verifique la fecha del objeto.
¿Qué sucede si falla la copia de seguridad inicial? ¿BitLocker repetirá las copias de seguridad?
Si la copia de seguridad inicial falla (por ejemplo, cuando un controlador de dominio no está disponible durante el Asistente de configuración de BitLocker), BitLocker no vuelve a intentar realizar la copia de seguridad de los datos de recuperación en AD DS.
Si el administrador selecciona la casilla de verificación Esta configuración de política le permite solicitar una copia de seguridad de BitLocker en los Servicios de dominio de Active Directory en una configuración de política Esta configuración de política le permite almacenar información de recuperación de BitLocker en Servicios de dominio de Active Directory (Windows 2008 y Windows Vista) o (de manera equivalente) selecciona No habilitar BitLocker hasta que la información de recuperación se almacene en Servicios de dominio de Active Directory para unidades del sistema operativo | medios de almacenamiento extraíbles | unidades de datos fijas en cualquiera de las configuraciones de política Esta configuración de política le permite seleccionar el método de recuperación para las unidades del sistema operativo que están protegidas por BitLocker. Esta configuración de política le permite seleccionar el método de recuperación para unidades fijas protegidas con BitLocker y Esta configuración de directiva le permite seleccionar el método de recuperación para medios extraíbles protegidos con BitLocker, evitando que los usuarios habiliten BitLocker cuando la computadora no está unida a un dominio y los datos de recuperación de BitLocker no tienen una copia de seguridad en AD DS. Si estas opciones están configuradas y la copia de seguridad falla, no puede habilitar BitLocker. Esto garantiza que los administradores puedan recuperar todas las unidades protegidas con BitLocker en la organización.
Para obtener más información, consulte Configuración de la política de grupo de BitLocker.
Si el administrador desactiva estas casillas de verificación, la unidad se puede proteger con BitLocker sin realizar una copia de seguridad exitosa de los datos de recuperación en AD DS. Sin embargo, BitLocker no reintenta automáticamente la copia de seguridad si falla. En su lugar, los administradores pueden crear un script de respaldo, como se describió anteriormente en la pregunta ¿Qué sucede si habilita BitLocker en una computadora antes de unirse a un dominio?, para recopilar datos después de que se restablezca la conexión.
Seguridad
¿Qué formato de cifrado utiliza BitLocker? ¿Se puede personalizar?
BitLocker utiliza un algoritmo de cifrado AES con una longitud de clave configurable (128 o 256 bits). De forma predeterminada, el cifrado está configurado en AES-128, pero puede configurar los ajustes mediante la Política de grupo.
¿Cuál es la mejor manera de usar BitLocker en una unidad del sistema operativo?
Para implementar BitLocker en una unidad de sistema operativo, recomendamos que su computadora tenga una versión TPM 1.2 o posterior y un firmware BIOS o UEFI compatible con TCG y un PIN. Requerir un PIN especificado por el usuario, además de la verificación de TPM, evita que un atacante que obtenga acceso a la computadora simplemente la ejecute.
¿Cuáles son las consecuencias de utilizar la configuración de administración de energía (suspensión e hibernación)?
En su configuración básica, BitLocker en unidades del sistema operativo (con un TPM pero sin autenticación adicional) proporciona protección adicional para el modo de hibernación. El uso de la autenticación BitLocker opcional (TPM y PIN, TPM y llave USB, o TPM, PIN y llave USB) proporciona mayor seguridad durante el modo de hibernación. Este método es más seguro porque se requiere la autenticación de BitLocker para volver de la hibernación. Le recomendamos que desactive el modo de suspensión y utilice una combinación de TPM/PIN para la autenticación.
¿Cuáles son los beneficios de un TPM?
La mayoría de los sistemas operativos utilizan espacio de memoria compartida y el sistema operativo es responsable de administrar la memoria física. Un TPM es un componente de hardware que utiliza su propio firmware y lógica interna para procesar instrucciones, brindando protección contra vulnerabilidades de software externo. Para piratear el TPM, necesita acceso físico a la computadora. Además, piratear la seguridad del hardware normalmente requiere herramientas y habilidades más costosas que no son tan comunes como las herramientas de piratería de software. Dado que el TPM de cada computadora es único, piratear varias computadoras con TPM requeriría mucho tiempo y esfuerzo.
Nota
La configuración de un factor de autenticación adicional en BitLocker proporciona protección adicional contra la piratería del TPM del hardware.
Desbloqueo de red BitLocker
BitLocker Network Unlocking facilita la administración de computadoras y servidores protegidos por BitLocker con un TPM y PIN en un entorno de dominio. Cuando reinicia una computadora conectada a una red corporativa cableada, el desbloqueo de la red le permite omitir la solicitud del PIN. Los volúmenes del sistema operativo protegidos con BitLocker se desbloquean automáticamente mediante una clave confiable proporcionada por el servidor de Servicios de implementación de Windows como método de autenticación adicional.
Para utilizar el desbloqueo de red, también necesita configurar un código PIN para su computadora. Si su computadora no está conectada a una red, debe ingresar un código PIN para desbloquearla.
BitLocker Network Unlocking tiene requisitos de software y hardware para computadoras cliente, servicios de implementación de Windows y controladores de dominio que deben cumplirse antes de poder usarlo.
El desbloqueo de red utiliza dos fusibles: el fusible del TPM y el fusible de red o PIN, mientras que el desbloqueo automático utiliza solo un fusible almacenado en el TPM. Si su computadora se une a una red sin un protector de clave, se le solicitará que ingrese un PIN. Si el PIN no está disponible, necesitará una clave de recuperación para desbloquear una computadora que no se puede conectar a la red.
Para obtener más información, consulte BitLocker: habilitar el desbloqueo de red.
Otras preguntas
¿Puede el depurador del kernel funcionar con BitLocker?
Sí. En este caso, el depurador debe estar habilitado antes de habilitar BitLocker. Habilitar el depurador con anticipación garantiza que el estado de sellado en el TPM se calcule correctamente, lo que permite que la computadora se inicie correctamente. Si necesita activar o desactivar la depuración mientras usa BitLocker, primero haga una pausa en BitLocker para evitar que la computadora entre en modo de recuperación.
¿Cómo funciona BitLocker con volcados de memoria?
BitLocker contiene una pila de controladores de almacenamiento que proporciona cifrado de volcados de memoria cuando BitLocker está habilitado.
¿BitLocker admite tarjetas inteligentes para la autenticación previa al inicio?
BitLocker no admite tarjetas inteligentes para la autenticación previa al inicio. No existe un estándar industrial para la compatibilidad con el firmware de tarjetas inteligentes y la mayoría de las computadoras no tienen soporte de firmware para tarjetas inteligentes o solo admiten ciertos tipos de tarjetas inteligentes y lectores. La falta de estandarización hace que sea demasiado difícil admitir tarjetas inteligentes.
¿Puedo utilizar un controlador TPM que no sea de Microsoft?
Microsoft no admite controladores TPM de terceros y desaconseja enfáticamente su uso con BitLocker. El uso de un controlador TPM que no sea de Microsoft con BitLocker puede dar como resultado una situación en la que BitLocker informe que el TPM no está presente en la computadora y no podrá usar el módulo con BitLocker.
¿Pueden otras herramientas que administran o modifican el Master Boot Record (MBR) funcionar con BitLocker?
No recomendamos modificar el Master Boot Record (MBR) en computadoras que tienen unidades de sistema operativo protegidas con BitLocker por razones de seguridad, confiabilidad y compatibilidad del producto. Cambiar el registro de arranque maestro (MBR) puede cambiar el entorno de seguridad e impedir que su computadora se inicie normalmente, y puede dificultar la reparación de un registro de arranque maestro (MBR) dañado. Los cambios de MBR realizados fuera de Windows pueden poner su computadora en modo de recuperación o hacer que el arranque sea completamente imposible.
¿Por qué falla la verificación del sistema al cifrar un disco con un sistema operativo?
Una verificación del sistema verifica que el firmware de su computadora (BIOS o UEFI) sea compatible con BitLocker y que el TPM esté funcionando correctamente. La verificación del sistema puede fallar por las siguientes razones:
El firmware de la computadora (BIOS o UEFI) no admite la lectura desde dispositivos de memoria flash USB;
El firmware de la computadora (BIOS o UEFI) o el menú de inicio no permiten la lectura desde dispositivos de memoria flash USB;
Se insertan varios dispositivos de memoria flash USB en la computadora;
Código PIN ingresado incorrectamente;
El firmware de la computadora (BIOS o UEFI) solo admite teclas de función (F1–F10) para ingresar números en el entorno previo al inicio;
la clave de inicio se eliminó antes de que se completara el reinicio de la computadora;
Debido a un TPM defectuoso, no se pudieron proporcionar las claves.
¿Qué debo hacer si no puedo leer la clave de recuperación desde una unidad flash USB?
Algunas computadoras no admiten la lectura de unidades flash USB en el entorno previo al inicio. Primero, verifique el firmware de su BIOS o UEFI y las opciones de inicio para asegurarse de que el almacenamiento USB esté habilitado. Habilite el uso de almacenamiento USB en BIOS o UEFI si no está habilitado y lea la clave de recuperación de la unidad flash USB nuevamente. Si aún no puede leer la clave, deberá conectar el disco duro como unidad de datos a otra computadora que ejecute el sistema operativo para leer la clave de recuperación desde la unidad flash USB. Si la unidad flash USB está dañada, es posible que deba ingresar una contraseña de recuperación o usar datos de recuperación respaldados en Servicios de dominio de Active Directory. Además, si la clave de recuperación se utiliza en un entorno previo al inicio, asegúrese de que la unidad sea un sistema de archivos NTFS, FAT16 o FAT32.
¿Por qué no puedo guardar la clave de recuperación en una unidad flash USB?
Elemento del menú Guardar en USB no se muestra de forma predeterminada para medios extraíbles. Si este elemento no está disponible, significa que el administrador del sistema ha prohibido el uso de claves de recuperación.
¿Por qué no puedo desbloquear automáticamente mi disco?
Para desbloquear automáticamente unidades de datos fijas, la unidad del sistema operativo también debe estar protegida por BitLocker. Si está utilizando una computadora donde la unidad del sistema operativo no está protegida por BitLocker, la unidad no se puede desbloquear automáticamente. Para medios de almacenamiento extraíbles, puede agregar el desbloqueo automático haciendo clic derecho en la unidad en el Explorador y seleccionando Gestión de BitLocker. Este dispositivo de almacenamiento extraíble se puede desbloquear en otras computadoras ingresando la contraseña o las credenciales de la tarjeta inteligente que especificó cuando habilitó BitLocker.
¿Puedo usar BitLocker en modo seguro?
En modo seguro, la funcionalidad limitada de BitLocker está disponible. Las unidades protegidas con BitLocker se pueden desbloquear y descifrar seleccionando el Cifrado de unidad BitLocker en el panel de control. En modo seguro, no se puede acceder a la configuración de BitLocker haciendo clic derecho en el icono de la unidad.
¿Cómo bloquear una unidad de datos?
El programa de línea de comandos Manage-bde y el comando –lock le permiten bloquear tanto medios extraíbles como unidades de datos integradas.
Nota
Antes de bloquear la unidad, asegúrese de que todos los datos estén guardados en ella. Una vez bloqueado, el disco quedará inaccesible.
Sintaxis del comando:
gestionar-bde
Además de utilizar este comando, las unidades de datos se bloquean durante el apagado o reinicio del sistema operativo. Los medios de almacenamiento extraíbles que se desconectan de la computadora también se bloquean automáticamente.
¿Se puede utilizar BitLocker con el servicio de instantáneas de volumen?
Sí. Pero las instantáneas creadas antes de activar BitLocker se eliminan automáticamente cuando BitLocker se activa para unidades cifradas por software. Si se utiliza una unidad cifrada por hardware, se conservan las instantáneas.
¿BitLocker admite discos duros virtuales (VHD)?
BitLocker no es compatible con VHD de arranque, pero sí para volúmenes de datos VHD (como los que se usan en clústeres) cuando se ejecuta en Windows 10, Windows 8.1, Windows 8, Windows Server 2012 o Windows Server 2012 R2.
Según los expertos, el robo de portátiles es uno de los principales problemas en el ámbito de la seguridad de la información (SI).
A diferencia de otras amenazas a la seguridad de la información, la naturaleza del problema de la “portátil robada” o la “unidad flash robada” es bastante primitiva. Y si el coste de los dispositivos perdidos rara vez supera los varios miles de dólares estadounidenses, el valor de la información almacenada en ellos suele medirse en millones.
Según Dell y el Instituto Ponemon, cada año desaparecen 637.000 portátiles sólo en los aeropuertos estadounidenses. Imagínese cuántas unidades flash se pierden, porque son mucho más pequeñas y dejar caer accidentalmente una unidad flash es más fácil que pelar peras.
Cuando se pierde un ordenador portátil perteneciente a un alto directivo de una gran empresa, los daños causados por dicho robo pueden ascender a decenas de millones de dólares.
¿Cómo protegerse a usted y a su empresa?
Continuamos nuestra serie de artículos sobre seguridad de dominios de Windows. En el primer artículo de la serie, hablamos sobre cómo configurar un inicio de sesión de dominio seguro y, en el segundo, sobre cómo configurar una transferencia de datos segura en un cliente de correo electrónico:
En este artículo hablaremos sobre cómo configurar el cifrado de la información almacenada en su disco duro. Comprenderá cómo asegurarse de que nadie más que usted pueda leer la información almacenada en su computadora.
Pocas personas saben que Windows tiene herramientas integradas que le ayudan a almacenar información de forma segura. Consideremos uno de ellos.
Seguramente algunos de vosotros habéis oído la palabra “BitLocker”. Averigüemos qué es.
¿Qué es BitLocker?
BitLocker (el nombre exacto es BitLocker Drive Encryption) es una tecnología para cifrar el contenido de las unidades de computadora desarrollada por Microsoft. Apareció por primera vez en Windows Vista.
Con BitLocker, fue posible cifrar volúmenes de discos duros, pero más tarde, en Windows 7, apareció una tecnología similar, BitLocker To Go, que está diseñada para cifrar unidades extraíbles y unidades flash.
BitLocker es un componente estándar de Windows Professional y de las versiones de servidor de Windows, lo que significa que ya está disponible para la mayoría de los casos de uso empresarial. De lo contrario, deberá actualizar su licencia de Windows a Professional.
¿Cómo funciona BitLocker?
Esta tecnología se basa en el cifrado de volumen completo realizado mediante el algoritmo AES (Advanced Encryption Standard). Las claves de cifrado deben almacenarse de forma segura y BitLocker tiene varios mecanismos para ello.
El método más simple, pero al mismo tiempo más inseguro, es una contraseña. La clave se obtiene de la contraseña de la misma manera cada vez y, en consecuencia, si alguien descubre su contraseña, se conocerá la clave de cifrado.
Para evitar almacenar la clave en texto claro, se puede cifrar en un TPM (Trusted Platform Module) o en un token criptográfico o tarjeta inteligente que admita el algoritmo RSA 2048.
TPM es un chip diseñado para implementar funciones básicas relacionadas con la seguridad, principalmente mediante claves de cifrado.
El módulo TPM generalmente se instala en la placa base de la computadora, sin embargo, es muy difícil comprar una computadora con un módulo TPM incorporado en Rusia, ya que la importación de dispositivos sin notificación al FSB a nuestro país está prohibida.
Usar una tarjeta inteligente o un token para desbloquear una unidad es una de las formas más seguras de controlar quién completó el proceso y cuándo. Para quitar el bloqueo en este caso, necesitará tanto la tarjeta inteligente como el código PIN.
Cómo funciona BitLocker:
- Cuando se activa BitLocker, se crea una secuencia de bits maestra utilizando un generador de números pseudoaleatorios. Esta es la clave de cifrado de volumen: FVEK (clave de cifrado de volumen completo). Cifra el contenido de cada sector. La clave FVEK se mantiene en la más estricta confidencialidad.
- FVEK se cifra mediante VMK (clave maestra de volumen). La clave FVEK (cifrada con la clave VMK) se almacena en el disco entre los metadatos del volumen. Sin embargo, nunca debería terminar en el disco en forma descifrada.
- La propia VMK también está cifrada. El usuario elige el método de cifrado.
- La clave VMK se cifra de forma predeterminada utilizando la clave SRK (clave raíz de almacenamiento), que se almacena en una tarjeta inteligente o token criptográfico. Esto sucede de manera similar con TPM.
Por cierto, la clave de cifrado de la unidad del sistema en BitLocker no se puede proteger mediante una tarjeta inteligente o un token. Esto se debe al hecho de que las bibliotecas del proveedor se utilizan para acceder a tarjetas inteligentes y tokens y, por supuesto, no están disponibles antes de cargar el sistema operativo.
Si no hay TPM, BitLocker sugiere guardar la clave de partición del sistema en una unidad flash USB, lo que, por supuesto, no es la mejor idea. Si su sistema no tiene un TPM, no recomendamos cifrar las unidades de su sistema.
En general, cifrar la unidad del sistema es una mala idea. Cuando se configura correctamente, todos los datos importantes se almacenan por separado de los datos del sistema. Esto es al menos más conveniente desde el punto de vista de su respaldo. Además, cifrar archivos del sistema reduce el rendimiento del sistema en su conjunto y el funcionamiento de un disco del sistema no cifrado con archivos cifrados se produce sin pérdida de velocidad. - Las claves de cifrado para otras unidades extraíbles y que no pertenecen al sistema se pueden proteger mediante una tarjeta inteligente o un token, así como un TPM.
Si no hay un módulo TPM ni una tarjeta inteligente, en lugar de SRK, se utiliza una clave generada en función de la contraseña que ingresó para cifrar la clave VMK.
Al iniciar desde un disco de arranque cifrado, el sistema consulta todos los almacenes de claves posibles: verifica la presencia de un TPM, verifica los puertos USB o, si es necesario, avisa al usuario (lo que se llama recuperación). El descubrimiento del almacén de claves permite a Windows descifrar la clave VMK que descifra la clave FVEK que descifra los datos en el disco.
Cada sector del volumen se cifra por separado y parte de la clave de cifrado está determinada por el número de ese sector. Como resultado, dos sectores que contienen los mismos datos no cifrados tendrán un aspecto diferente cuando estén cifrados, lo que hará muy difícil determinar las claves de cifrado escribiendo y descifrando datos previamente conocidos.
Además de FVEK, VMK y SRK, BitLocker utiliza otro tipo de clave que se crea "por si acaso". Estas son las claves de recuperación.
Para emergencias (el usuario perdió un token, olvidó su código PIN, etc.), BitLocker le solicita que cree una clave de recuperación en el último paso. El sistema no prevé la negativa a crearlo.
¿Cómo habilitar el cifrado de datos en su disco duro?
Antes de comenzar el proceso de cifrar volúmenes en su disco duro, es importante tener en cuenta que este procedimiento llevará algún tiempo. Su duración dependerá de la cantidad de información que haya en el disco duro.
Si la computadora se apaga o entra en hibernación durante el cifrado o descifrado, estos procesos se reanudarán donde se detuvieron la próxima vez que inicie Windows.
Incluso durante el proceso de cifrado, se puede utilizar el sistema Windows, pero es poco probable que le agrade su rendimiento. Como resultado, después del cifrado, el rendimiento del disco disminuye aproximadamente un 10%.
Si BitLocker está disponible en su sistema, cuando haga clic con el botón derecho en el nombre de la unidad que necesita cifrarse, se mostrará el elemento del menú que se abre. Activar BitLocker.
En las versiones de servidor de Windows es necesario agregar una función Cifrado de unidad BitLocker.
Comencemos a configurar el cifrado para un volumen que no sea del sistema y protejamos la clave de cifrado mediante un token criptográfico.
Usaremos un token producido por la empresa Aktiv. En particular, el token PKI de Rutoken EDS.
I. Preparemos Rutoken EDS PKI para el trabajo.
En la mayoría de los sistemas Windows configurados normalmente, después de la primera conexión a Rutoken EDS PKI, se descarga e instala automáticamente una biblioteca especial para trabajar con tokens producidos por la empresa Aktiv: Aktiv Rutoken minidriver.
El proceso de instalación de dicha biblioteca es el siguiente.
La presencia de la biblioteca de minicontroladores Aktiv Rutoken se puede comprobar a través de Administrador de dispositivos.
Si la descarga e instalación de la biblioteca no se realizó por algún motivo, entonces debe instalar el kit de controladores Rutoken para Windows.
II. Cifremos los datos del disco usando BitLocker.
Haga clic en el nombre del disco y seleccione Activar BitLocker.
Como dijimos anteriormente, usaremos un token para proteger la clave de cifrado del disco.
Es importante comprender que para utilizar un token o una tarjeta inteligente con BitLocker, debe contener claves RSA 2048 y un certificado.
Si utiliza el servicio de Autoridad de certificación en un dominio de Windows, entonces la plantilla de certificado debe contener el alcance del certificado "Cifrado de disco" (más información sobre cómo configurar la Autoridad de certificación en nuestra serie de artículos sobre seguridad de dominio de Windows).
Si no tiene un dominio o no puede cambiar la política para la emisión de certificados, puede utilizar un método alternativo, utilizando un certificado autofirmado. Se describen detalles sobre cómo emitir un certificado autofirmado por usted mismo.
Ahora marquemos la casilla correspondiente.
En el siguiente paso, seleccionaremos un método para guardar la clave de recuperación (recomendamos elegir Imprime la clave de recuperación).
El papel con la clave de recuperación impresa debe guardarse en un lugar seguro, preferiblemente en una caja fuerte.
En la siguiente etapa, iniciaremos el proceso de cifrado del disco. Una vez que se complete este proceso, es posible que deba reiniciar su sistema.
Cuando el cifrado esté habilitado, el icono del disco cifrado cambiará.
Y ahora, cuando intentemos abrir esta unidad, el sistema le pedirá que inserte un token e ingrese su código PIN.
La implementación y configuración de BitLocker y TPM se pueden automatizar mediante la herramienta WMI o scripts de Windows PowerShell. La forma en que se implementen los escenarios dependerá del entorno. Los comandos para BitLocker en Windows PowerShell se describen en este artículo.
¿Cómo recuperar datos cifrados de BitLocker si se pierde el token?
Si desea abrir datos cifrados en Windows
Para hacer esto, necesitará la clave de recuperación que imprimimos anteriormente. Simplemente ingréselo en el campo correspondiente y se abrirá la sección cifrada.
Si desea abrir datos cifrados en sistemas GNU/Linux y Mac OS X
Para hacer esto, necesita la utilidad DisLocker y una clave de recuperación.
La utilidad DisLocker funciona en dos modos:
- ARCHIVO: toda la partición cifrada por BitLocker se descifra en un archivo.
- FUSE: solo se descifra el bloque al que accede el sistema.
Por ejemplo, usaremos el sistema operativo Linux y el modo de utilidad FUSE.
En las últimas versiones de distribuciones comunes de Linux, el paquete dislocker ya está incluido en la distribución, por ejemplo, en Ubuntu, a partir de la versión 16.10.
Si por alguna razón el paquete dislocker no está disponible, debe descargar la utilidad y compilarla:
tar -xvjf dislocker.tar.gz
Abramos el archivo INSTALL.TXT y verifiquemos qué paquetes necesitamos instalar.
En nuestro caso, necesitamos instalar el paquete libfuse-dev:
sudo apt-get instalar libfuse-dev
Comencemos a armar el paquete. Vayamos a la carpeta src y usemos los comandos make y make install:
cd src/hacer hacer instalar
Cuando todo se haya compilado (o haya instalado el paquete), comencemos a configurar.
Vayamos a la carpeta mnt y creemos dos carpetas en ella:
- Partición cifrada: para una partición cifrada;
- Partición descifrada: para una partición descifrada.
Busquemos la partición cifrada. Descifrémoslo usando la utilidad y movámoslo a la carpeta de partición cifrada:
dislocker -r -V /dev/sda5 -p clave_recuperación /mnt/partición-cifrada(en lugar de recovery_key, sustituya su clave de recuperación)
Mostremos una lista de archivos ubicados en la carpeta de partición cifrada:
ls partición-cifrada/
Ingresemos el comando para montar la partición:
mount -o loop Driveq/dislocker-file partición-descifrada/
Para ver la partición descifrada, vaya a la carpeta Partición cifrada.
resumamos
Habilitar el cifrado de volúmenes con BitLocker es muy sencillo. Todo esto se hace sin esfuerzo y de forma gratuita (siempre que tengas una versión profesional o de servidor de Windows, claro).
Puede utilizar un token criptográfico o una tarjeta inteligente para proteger la clave de cifrado que cifra el disco, lo que aumenta significativamente el nivel de seguridad.
¿Alguna vez has pensado en la pregunta: cómo proteger la información ubicada en el disco duro? Resulta que no es necesario instalar software adicional para ello. El servicio especial BitLocker integrado en Windows 7 y superior le ayudará. Echemos un vistazo más de cerca a cómo funciona esto.
Qué es
BitLocker es una tecnología que protege la información cifrando particiones de disco duro. Este es un servicio de Windows que protege de forma independiente directorios y archivos cifrándolos mediante la creación de una clave TPM de texto.
TPM es un criptoprocesador en el que se ubican claves que protegen el acceso a la información. Utilizado para:
- Protección de información, copia de datos;
- Autenticación.
como funciona
Resulta que la computadora procesa información cifrada que se muestra en forma legible. El acceso al mismo no está bloqueado. La protección funcionará si se intenta desde fuera acceder a la información.
La tecnología se basa en el cifrado mediante el algoritmo AES 128 y 256. La forma más sencilla de almacenar claves es.
Peculiaridades
Puede cifrar cualquier disco duro (excepto el de red), información de una tarjeta SD o una unidad flash. La clave de recuperación de cifrado se almacena en la PC, en un medio extraíble o en el chip TPM.
El proceso de cifrado lleva mucho tiempo. Depende de la potencia de la PC y de la cantidad de información en el HDD. Cuando esté cifrado, el sistema podrá funcionar con un rendimiento inferior.
Los sistemas operativos modernos admiten esta tecnología. Por lo tanto, no necesitará descargar BitLocker para Windows 7 y versiones posteriores. Está disponible de forma totalmente gratuita.
Cifrado de disco de Windows 10 si hay un módulo TPM instalado en la placa
Si aparece un mensaje de error que dice que el servicio puede iniciarse sin un TPM, entonces la placa no tiene uno. Consideremos qué hacer.
BitLocker Windows 10, cómo habilitarlo sin TPM
Para cifrar una unidad BitLocker, siga estos pasos:
- Presione "Win+R", luego escriba "gpedit.msc";
- Procedemos como en la captura de pantalla;
- Haga clic en "Discos";
- A continuación, como en la captura de pantalla;
- Seleccione "Habilitado";
- Cierra el editor;
- Haga clic en "Inicio" - "Programas" - "Herramientas del sistema" - "Panel de control";
- Haga clic en el enlace "Cifrado";
- Siguiente “Habilitar”;
- Espere hasta que se complete el escaneo;
- Si pierde su contraseña, se bloqueará el acceso a la información, así que cree una copia de seguridad;
- Comenzará el proceso de preparación. No apague la PC; de lo contrario, la partición de inicio podría dañarse y Windows no arrancará;
- Haga clic en "Siguiente";
- Anota el que usarás para desbloquear. Recomiendo hacerlo diferente de cómo inicias sesión;
- Determine cómo almacenar la clave. Se utiliza para acceder a la unidad si olvida la contraseña. Guárdelo en: Microsoft Record, documento de texto, escríbalo en papel;
Guárdelo por separado de su PC.
- Recomiendo elegir cifrado de disco completo. Es más confiable. Haga clic en "Siguiente";
- Seleccione "Nuevo modo";
- Marque la casilla junto a "Ejecutar análisis";
- Aparecerá un icono de BitLocker en la bandeja del sistema y una notificación de que necesita reiniciar su PC;
- A continuación, aparecerá una ventana para ingresar una contraseña. Escriba el que especificó durante el cifrado;
- El cifrado comenzará después de que se inicie el sistema. Haga clic en el icono en la bandeja del sistema para ver qué porcentaje del trabajo está completado;
Cómo deshabilitar BitLocker Windows 10
BitLocker Windows 7 cómo habilitar
Muchos usuarios se preguntarán: ¿cómo descargar BitLocker para Windows 7? Resulta que no necesitas descargar nada. Lo mismo que para Windows décima serie. El servicio está activado en el sistema. Acciones similares a las descritas anteriormente.
BitLocker para llevar
La tecnología se utiliza para cifrar información en medios extraíbles: tarjetas SD, discos duros externos, dispositivos USB. Protege la información del robo de medios.
El dispositivo es detectado automáticamente por el sistema. Para descifrar, una persona debe registrar las credenciales de desbloqueo. La tecnología elimina la protección si el usuario conoce el inicio de sesión, la contraseña o la clave de recuperación. Se utiliza para proteger todos los archivos ubicados en los medios. BitLocker se puede descargar desde el sitio web oficial de Microsoft.
Para el cifrado, siga los pasos descritos anteriormente. En las políticas de grupo local, marque las opciones como en la captura de pantalla.
BitLocker Windows 10 cómo desbloquear
Para desbloquear datos, utilice una contraseña o clave de recuperación. Al cifrar, se debe crear una contraseña. Busque la clave de recuperación y luego siga estos pasos:
Si BitLocker ha bloqueado la unidad y se pierde la clave, revierta el sistema al que creó anteriormente. Si no está allí, haga retroceder el sistema a su estado inicial. Para hacer esto, vaya a: "Opciones" (Win + I) - "Actualizar" - "Recuperación" - "Iniciar".
Conclusión
Hemos visto cómo habilitar BitLocker en Windows 10. Utilice los métodos descritos anteriormente para mantener sus datos seguros. Lo principal es recordar la contraseña. Se utiliza incluso si retira el disco duro de una PC y lo conecta a otra.
A nadie le sorprende que en un ordenador personal se pueda almacenar información puramente personal o datos corporativos de gran valor. No es deseable que dicha información caiga en manos de terceros que puedan utilizarla, causando graves problemas al antiguo propietario de la PC.
Dependiendo de las circunstancias, Bitlocker se puede activar o desactivar.
Es por esta razón que muchos usuarios expresan el deseo de tomar alguna medida destinada a limitar el acceso a todos los archivos almacenados en la computadora. En realidad, tal procedimiento existe. Realizadas determinadas manipulaciones, ningún extraño, sin conocer la contraseña o la clave para recuperarla, podrá acceder a los documentos.
Puede proteger la información importante para que no acceda a terceros cifrando su disco con Bitlocker. Estas acciones ayudan a garantizar la total confidencialidad de los documentos no sólo en una PC específica, sino también en el caso de que alguien extraiga el disco duro y lo inserte en otra computadora personal.
Algoritmo para habilitar y deshabilitar la función.
El cifrado de disco Bitlocker funciona en Windows 7, 8 y 10, pero no en todas las versiones. Se supone que la placa base equipada con la computadora específica en la que el usuario desea realizar el cifrado debe tener un módulo TPM.
CONSEJO. No se enoje si sabe con certeza que no existe un módulo especial de este tipo en su placa base. Existen algunos trucos que le permiten "ignorar" dicho requisito y, en consecuencia, instalarlo sin dicho módulo.
Antes de comenzar el proceso de cifrar todos los archivos, es importante tener en cuenta que este procedimiento es bastante largo. Es difícil dar una cantidad exacta de tiempo por adelantado. Todo depende de cuánta información haya en el disco duro. Durante el proceso de cifrado, Windows 10 seguirá funcionando, pero es poco probable que pueda complacerlo con su rendimiento, ya que el indicador de rendimiento se reducirá significativamente.
Habilitando la característica
Si Windows 10 está instalado en su computadora y tiene un deseo activo de habilitar el cifrado de datos, utilice nuestros consejos para que no solo lo logre, sino que también le resulte fácil realizar este deseo. Inicialmente, busque la tecla "Win" en su teclado, a veces va acompañada del ícono de Windows, manténgala presionada y simultáneamente mantenga presionada la tecla "R". Al presionar estas dos teclas al mismo tiempo se abre la ventana Ejecutar.
En la ventana que se abre, encontrará una línea vacía en la que deberá ingresar "gpedit.msc". Después de hacer clic en el botón "Aceptar", se abrirá una nueva ventana del "Editor de políticas de grupo local". En esta ventana nos queda un corto camino por recorrer.
En el lado izquierdo de la ventana, busque e inmediatamente haga clic en la línea “Configuración de la computadora”, en el submenú que se abre busque “Plantillas administrativas”, y luego en el siguiente submenú que se abre, vaya a la opción ubicada primero en la lista. y llamado “Componentes de Windows”.
Ahora mueva su mirada hacia el lado derecho de la ventana, busque "Bitlocker Disk Encryption" en ella y haga doble clic para activarlo. Ahora se abrirá una nueva lista, en la que su próximo objetivo debería ser la línea "Discos del sistema operativo". Pulsa también en esta línea, solo tienes que hacer una transición más para acercarte a la ventana donde se configurará directamente Bitlocker, permitiéndote encenderlo, que es exactamente lo que deseas.
Busque la línea "Esta configuración de política le permite configurar el requisito de autenticación adicional al inicio", haga doble clic en esta configuración. En la ventana abierta encontrará la palabra deseada "Habilitar", junto a la cual encontrará una casilla de verificación, en ella deberá poner una marca específica en forma de marca de su consentimiento.
Justo debajo de esta ventana hay una subsección "Plataformas", en ella debe marcar la casilla de verificación junto a la oferta para usar BitLocker sin un módulo especial. Esto es muy importante, especialmente si tu Windows 10 no tiene TPM.
La configuración de la función deseada se completa en esta ventana, por lo que puede cerrarla. Ahora mueva el cursor del mouse sobre el ícono “Windows”, simplemente haga clic derecho sobre él, lo que permitirá que aparezca un submenú adicional. En él encontrará la línea "Panel de control", vaya a ella y luego a la siguiente línea "Cifrado de disco Bitlocker".
Asegúrese de indicar dónde desea que se realice el cifrado. Esto se puede hacer tanto en discos duros como en discos extraíbles. Después de seleccionar el objeto deseado, haga clic en el botón "Habilitar Bitlocker".
Ahora Windows 10 iniciará un proceso automático, que ocasionalmente llamará su atención y le pedirá que especifique sus deseos. Eso sí, lo mejor es realizar una copia de seguridad antes de emprender dicho proceso. De lo contrario, si se pierde la contraseña y su clave, ni siquiera el propietario de la PC podrá recuperar la información.
A continuación comenzará el proceso de preparación del disco para su posterior cifrado. Mientras se ejecuta este proceso, no está permitido apagar la computadora, ya que esta acción puede causar daños graves al sistema operativo. Después de tal falla, simplemente no podrá iniciar Windows 10, por lo tanto, en lugar de cifrar, tendrá que instalar un nuevo sistema operativo, perdiendo más tiempo.
Tan pronto como la preparación del disco se complete exitosamente, comienza la configuración real del disco para el cifrado. Se le pedirá que ingrese una contraseña, que le permitirá acceder posteriormente a los archivos cifrados. También se le pedirá que cree e ingrese una clave de recuperación. Es mejor guardar ambos componentes importantes en un lugar seguro, preferiblemente impreso. Es muy estúpido almacenar la contraseña y la clave de recuperación en la propia PC.
Durante el proceso de cifrado, el sistema puede preguntarle qué parte específicamente desea cifrar. Lo mejor es someter todo el espacio del disco a este procedimiento, aunque existe la opción de cifrar sólo el espacio ocupado.
Todo lo que queda es seleccionar una opción de acción como "Nuevo modo de cifrado" y luego ejecutar un análisis automático del sistema operativo BitLocker. A continuación, el sistema continuará el proceso de forma segura, tras lo cual se le pedirá que reinicie su PC. Por supuesto, cumpla este requisito y reinicie.
Después del próximo lanzamiento de Windows 10, estará convencido de que será imposible acceder a los documentos sin introducir una contraseña. El proceso de cifrado continuará, puedes controlarlo haciendo clic en el icono de BitLocker ubicado en el panel de notificaciones.
Deshabilitar la función
Si por alguna razón los archivos de su computadora ya no son de gran importancia y no le gusta ingresar una contraseña cada vez para acceder a ellos, le sugerimos que simplemente desactive la función de cifrado.
Para realizar tales acciones, vaya al panel de notificaciones, busque el ícono de BitLocker allí y haga clic en él. En la parte inferior de la ventana abierta encontrará la línea "Administrar BitLocker", haga clic en ella.
Ahora el sistema le pedirá que elija qué acción prefiere:
- archivar la clave de recuperación;
- cambiar la contraseña para acceder a archivos cifrados;
- eliminar una contraseña previamente establecida;
- deshabilite BitLocker.
Por supuesto, si decides desactivar BitLocker, deberás elegir la última opción ofrecida. Inmediatamente aparecerá una nueva ventana en la pantalla, en la que el sistema querrá asegurarse de que realmente desea desactivar la función de cifrado.
ATENCIÓN. Tan pronto como haga clic en el botón "Desactivar BitLocker", el proceso de descifrado comenzará inmediatamente. Desafortunadamente, este proceso no se caracteriza por una alta velocidad, por lo que definitivamente tendrá que prepararse durante algún tiempo, durante el cual simplemente tendrá que esperar.
Por supuesto, si necesita utilizar una computadora en este momento, puede permitírselo; no existe ninguna prohibición categórica al respecto. Sin embargo, debe prepararse para el hecho de que el rendimiento de la PC en este momento puede ser extremadamente bajo. No es difícil entender el motivo de esta lentitud, porque el sistema operativo tiene que desbloquear una enorme cantidad de información.
Entonces, si desea cifrar o descifrar archivos en su computadora, simplemente lea nuestras recomendaciones, luego, sin prisas, realice cada paso del algoritmo indicado y, al finalizar, regocíjese por el resultado obtenido.
Mucha gente utiliza la función de cifrado de Windows, pero no todo el mundo piensa en la seguridad de este método de protección de datos. Hoy hablaremos sobre el cifrado Bitlocker y trataremos de descubrir qué tan bien se implementa la protección del disco de Windows.
Por cierto, puedes leer sobre cómo configurar Bitlocker en el artículo "".
- Prefacio
- ¿Cómo funciona Bitlocker?
- Vulnerabilidades
- Claves de recuperación
- Abrir BitLocker
- BitLocker para llevar
- Conclusión
El artículo fue escrito con fines de investigación. Toda la información contenida en él es sólo para fines informativos. Está dirigido a especialistas en seguridad y a aquellos que quieran convertirse en uno.
¿Cómo funciona Bitlocker?
¿Qué es Bitlocker?
BitLocker es una función de cifrado de disco nativa en los sistemas operativos Windows 7, 8, 8.1, 10. Esta función le permite cifrar de forma segura datos confidenciales en su computadora, tanto en HDD como SSD, y en medios extraíbles.
¿Cómo funciona BitLocker?
La confiabilidad de BitLocker no debe juzgarse por la reputación de AES. Un estándar de cifrado popular puede no tener debilidades obvias, pero sus implementaciones en productos criptográficos específicos a menudo están repletas de ellas. Microsoft no revela el código completo de la tecnología BitLocker. Solo se sabe que en diferentes versiones de Windows se basó en diferentes esquemas, y los cambios no fueron comentados de ninguna manera. Además, en la versión 10586 de Windows 10 simplemente desapareció y dos versiones más tarde reapareció. Sin embargo, lo primero es lo primero.
La primera versión de BitLocker utilizaba el modo de encadenamiento de bloques de texto cifrado (CBC). Incluso entonces sus deficiencias eran obvias: la facilidad para atacar un texto conocido, la débil resistencia a ataques como la sustitución, etc. Por lo tanto, Microsoft decidió inmediatamente reforzar la protección. Ya en Vista, el algoritmo Elephant Difusor se agregó al esquema AES-CBC, lo que dificulta la comparación directa de bloques de texto cifrado. Con él, el mismo contenido de dos sectores dio resultados completamente diferentes después del cifrado con una clave, lo que complicó el cálculo del patrón general. Sin embargo, la clave en sí era corta por defecto: 128 bits. Mediante políticas administrativas se puede ampliar a 256 bits, pero ¿merece la pena hacerlo?
Para los usuarios, después de cambiar la clave, nada cambiará externamente: ni la longitud de las contraseñas ingresadas ni la velocidad subjetiva de las operaciones. Como la mayoría de los sistemas de cifrado de disco completo, BitLocker utiliza múltiples claves... y ninguna de ellas es visible para los usuarios. Aquí hay un diagrama esquemático de BitLocker.
- Cuando se activa BitLocker, se crea una secuencia de bits maestra utilizando un generador de números pseudoaleatorios. Esta es la clave de cifrado de volumen: FVEK (clave de cifrado de volumen completo). Es con esto que ahora se cifran los contenidos de cada sector.
- A su vez, FVEK se cifra utilizando otra clave, VMK (clave maestra de volumen), y se almacena de forma cifrada entre los metadatos del volumen.
- La propia VMK también está cifrada, pero de diferentes maneras a discreción del usuario.
- En las placas base nuevas, la clave VMK se cifra de forma predeterminada utilizando la clave SRK (clave raíz de almacenamiento), que se almacena en un criptoprocesador separado: un módulo de plataforma confiable (TPM). El usuario no tiene acceso al contenido del TPM y es único para cada computadora.
- Si no hay un chip TPM separado en la placa, entonces, en lugar de SRK, se usa un código PIN ingresado por el usuario o una unidad flash USB a pedido con información de clave pregrabada para cifrar la clave VMK.
- Además del TPM o la unidad flash, puede proteger la clave VMK con una contraseña.
Este patrón general de funcionamiento de BitLocker continuó en versiones posteriores de Windows hasta la actualidad. Sin embargo, los métodos de generación de claves y los modos de cifrado de BitLocker han cambiado. Entonces, en octubre de 2014, Microsoft eliminó silenciosamente el algoritmo adicional Elephant Difusor, dejando solo el esquema AES-CBC con sus conocidas deficiencias. Al principio no se hicieron declaraciones oficiales al respecto. A las personas simplemente se les proporcionó una tecnología de cifrado debilitada con el mismo nombre bajo la apariencia de una actualización. Se dieron explicaciones vagas para este paso después de que investigadores independientes notaron simplificaciones en BitLocker.
Formalmente, se requirió el abandono de Elephant Difusor para garantizar que Windows cumpliera con los requisitos de los Estándares Federales de Procesamiento de Información (FIPS) de EE. UU., pero un argumento refuta esta versión: Vista y Windows 7, que usaba Elephant Difusor, se vendieron sin problemas en Estados Unidos. .
Otra razón imaginaria para abandonar el algoritmo adicional es la falta de aceleración de hardware para Elephant Difusor y la pérdida de velocidad al usarlo. Sin embargo, en años anteriores, cuando los procesadores eran más lentos, la velocidad de cifrado era de alguna manera satisfactoria. Y el mismo AES se utilizó ampliamente incluso antes de que aparecieran conjuntos de instrucciones separados y chips especializados para acelerarlo. Con el tiempo, fue posible acelerar el hardware para Elephant Difusor, o al menos ofrecer a los clientes la posibilidad de elegir entre velocidad y seguridad.
Otra versión no oficial parece más realista. El "elefante" interfirió con los empleados que querían dedicar menos esfuerzo a descifrar el siguiente disco, y Microsoft interactúa voluntariamente con las autoridades incluso en los casos en que sus solicitudes no son del todo legales. Una confirmación indirecta de la teoría de la conspiración es el hecho de que antes de Windows 8, al crear claves de cifrado en BitLocker, se utilizaba el generador de números pseudoaleatorios integrado en Windows. En muchas (si no todas) versiones de Windows, se trataba de Dual_EC_DRBG, un "PRNG criptográfico fuerte" desarrollado por la Agencia de Seguridad Nacional de EE. UU. y que contiene una serie de vulnerabilidades inherentes.
Por supuesto, debilitar en secreto el cifrado incorporado provocó una poderosa ola de críticas. Bajo su presión, Microsoft reescribió BitLocker nuevamente, reemplazando PRNG con CTR_DRBG en las nuevas versiones de Windows. Además, en Windows 10 (a partir de la compilación 1511), el esquema de cifrado predeterminado es AES-XTS, que es inmune a la manipulación de bloques de texto cifrado. En las últimas versiones de "decenas" también se solucionaron otras deficiencias conocidas de BitLocker, pero el problema principal aún persistía. Es tan absurdo que hace que otras innovaciones carezcan de sentido. Estamos hablando de los principios de la gestión de claves.
La tarea de descifrar unidades BitLocker también se simplifica por el hecho de que Microsoft está promoviendo activamente un método alternativo para restaurar el acceso a los datos a través del Agente de recuperación de datos. El objetivo del "Agente" es que cifra las claves de cifrado de todas las unidades dentro de la red empresarial con una única clave de acceso. Una vez que la tengas, podrás descifrar cualquier clave, y por tanto cualquier disco utilizado por la misma empresa. ¿Cómodo? Sí, especialmente para hackear.
La idea de utilizar una llave para todas las cerraduras ya se ha visto comprometida muchas veces, pero se sigue devolviendo de una forma u otra por motivos de comodidad. Así escribió Ralph Layton los recuerdos de Richard Feynman de un episodio característico de su trabajo en el Proyecto Manhattan en el Laboratorio de Los Alamos: “... Abrí tres cajas fuertes, y las tres con la misma combinación. Me ocupé de todos ellos: abrí las cajas fuertes con todos los secretos de la bomba atómica: la tecnología para producir plutonio, una descripción del proceso de purificación, información sobre cuánto material se necesita, cómo funciona la bomba, cómo se producen los neutrones, cómo funciona la bomba, cuáles son sus dimensiones; en una palabra, todo lo que conocían en Los Álamos, ¡toda la cocina!
BitLocker recuerda un poco al diseño de caja fuerte descrito en otro fragmento del libro ¡Seguramente está bromeando, Sr. Feynman! La caja fuerte más impresionante de un laboratorio ultrasecreto tenía la misma vulnerabilidad que un simple archivador. “...Era coronel y tenía una caja fuerte mucho más sofisticada, de dos puertas, con manijas grandes de las que sacaban cuatro varillas de acero de tres cuartos de pulgada de espesor del marco. Examiné la parte trasera de una de las imponentes puertas de bronce y descubrí que el dial digital estaba conectado a una pequeña cerradura que se parecía exactamente a la cerradura de mi gabinete de Los Álamos. Era obvio que el sistema de palancas dependía de la misma pequeña varilla que cerraba los archivadores... Empecé a girar el dial al azar, fingiendo estar haciendo algo. Dos minutos después, ¡haga clic! - la caja fuerte se abrió. Cuando la puerta de la caja fuerte o el cajón superior de un archivador están abiertos, es muy fácil encontrar la combinación. Esto es exactamente lo que hice cuando leyó mi informe, sólo para demostrarle el peligro”.
Los propios contenedores criptográficos BitLocker son bastante seguros. Si te traen una unidad flash que surgió de la nada y cifrada con BitLocker To Go, es poco probable que puedas descifrarla en un tiempo aceptable. Sin embargo, el escenario de la vida real en el que se utilizan unidades cifradas y medios extraíbles está lleno de vulnerabilidades que pueden explotarse fácilmente para evitar BitLocker.
Vulnerabilidades de BitLocker
Probablemente hayas notado que cuando activas Bitlocker por primera vez, tienes que esperar mucho tiempo. Esto no es sorprendente: el proceso de cifrado sector por sector puede llevar varias horas, porque ni siquiera es posible leer todos los bloques de un disco duro de un terabyte más rápido. Sin embargo, deshabilitar BitLocker es casi instantáneo. ¿Cómo puede ser eso?
El hecho es que cuando está deshabilitado, Bitlocker no descifra los datos. Todos los sectores permanecerán cifrados con la clave FVEK. Simplemente, el acceso a esta clave ya no estará limitado de ninguna manera. Se desactivarán todas las comprobaciones y la VMK permanecerá registrada entre los metadatos en texto sin cifrar. Cada vez que enciende la computadora, el cargador de arranque del sistema operativo leerá el VMK (sin verificar el TPM, sin solicitar una clave en una unidad flash o una contraseña), descifrará automáticamente FVEK con él y luego todos los archivos a medida que se acceda a ellos. Para el usuario, todo parecerá una completa falta de cifrado, pero el más atento puede notar una ligera disminución en el rendimiento del subsistema del disco. Más precisamente, no hay ningún aumento en la velocidad después de desactivar el cifrado.
Hay algo más interesante en este esquema. A pesar del nombre (tecnología de cifrado de disco completo), algunos datos aún permanecen sin cifrar cuando se utiliza BitLocker. El MBR y la BS permanecen abiertos (a menos que el disco se haya inicializado en GPT), sectores y metadatos dañados. Un gestor de arranque abierto da espacio a la imaginación. Los sectores pseudomalos son convenientes para ocultar otro malware y los metadatos contienen muchas cosas interesantes, incluidas copias de claves. Si Bitlocker está activo, se cifrarán (pero es más débil que FVEK cifra el contenido de los sectores), y si está desactivado, simplemente quedarán claros. Todos estos son posibles vectores de ataque. Son potenciales porque, además de ellos, los hay mucho más simples y universales.
Clave de recuperación de Bitlocker
Además de FVEK, VMK y SRK, BitLocker utiliza otro tipo de clave que se crea "por si acaso". Estas son claves de recuperación, que son otro vector de ataque popular. Los usuarios tienen miedo de olvidar su contraseña y perder el acceso al sistema, y el propio Windows recomienda que realicen un inicio de sesión de emergencia. Para hacer esto, el asistente de cifrado de BitLocker le solicita que cree una clave de recuperación en el último paso. No es posible rechazar su creación. Sólo puedes elegir una de las opciones de exportación clave, cada una de las cuales es muy vulnerable.
En la configuración predeterminada, la clave se exporta como un archivo de texto simple con un nombre reconocible: “BitLocker Recovery Key #”, donde se escribe la ID de la computadora en lugar de # (sí, ¡justo en el nombre del archivo!). La clave en sí se ve así.
Si olvidó (o nunca supo) su contraseña de BitLocker, simplemente busque el archivo de clave de recuperación. Seguramente quedará guardado entre los documentos del usuario actual o en su unidad flash. Tal vez incluso esté impreso en una hoja de papel, como recomienda Microsoft.
Para localizar rápidamente una clave de recuperación, es conveniente limitar la búsqueda por extensión (txt), fecha de creación (si se sabe aproximadamente cuándo se pudo haber habilitado BitLocker) y tamaño del archivo (1388 bytes si el archivo no fue editado). Una vez que encuentre la clave de recuperación, cópiela. Con él, puedes omitir la autorización estándar en BitLocker en cualquier momento. Para hacer esto, simplemente presione Esc e ingrese la clave de recuperación. Iniciarás sesión sin ningún problema e incluso podrás cambiar tu contraseña de BitLocker por una personalizada sin especificar la anterior.
Abrir BitLocker
Real criptográfico el sistema es un compromiso entre comodidad, velocidad y fiabilidad. Debe proporcionar procedimientos para el cifrado transparente con descifrado sobre la marcha, métodos para recuperar contraseñas olvidadas y un trabajo cómodo con claves. Todo esto debilita cualquier sistema, sin importar en qué algoritmos fuertes se base. Por tanto, no es necesario buscar vulnerabilidades. directamente en el algoritmo de Rijndael o en varios esquemas del estándar AES. Es mucho más fácil detectarlos en los detalles de una implementación particular.
En el caso de Microsoft, estos “detalles” son suficientes. Por ejemplo, las copias de las claves de BitLocker se envían a SkyDrive y se depositan en Active Directory de forma predeterminada.
Bueno, ¿qué pasa si los pierdes... o el Agente Smith pregunta? Es un inconveniente hacer esperar a un cliente, y más aún a un agente. Por esta razón la comparación fuerza criptográfica AES-XTS y AES-CBC con difusor Elephant pasan a un segundo plano, al igual que las recomendaciones para aumentar la longitud de la clave. No importa cuánto tiempo sea, el atacante lo conseguirá fácilmente. sin cifrar forma .
Obtener claves en custodia de una cuenta de Microsoft o AD es el método principal para romper BitLocker. Si el usuario no ha registrado una cuenta en la nube de Microsoft y su computadora no está en un dominio, aún habrá formas de extraer las claves de cifrado. Durante el funcionamiento normal, sus copias abiertas siempre se almacenan en la RAM (de lo contrario, no habría un "cifrado transparente"). Esto significa que están disponibles en su archivo de volcado e hibernación.
¿Por qué están almacenados allí?
Por muy divertido que sea, por conveniencia. BitLocker fue diseñado para proteger únicamente contra ataques fuera de línea. Siempre van acompañados de un reinicio y la conexión del disco a otro sistema operativo, lo que conduce a la limpieza de la RAM. Sin embargo, en la configuración predeterminada, el sistema operativo descarga la RAM cuando ocurre una falla (que puede desencadenarse) y escribe todo su contenido en un archivo de hibernación cada vez que la computadora entra en suspensión profunda. Por lo tanto, si recientemente inició sesión en Windows con BitLocker habilitado, es muy probable que reciba una copia descifrada de la clave VMK y la use para descifrar el FVEK y luego los datos mismos a lo largo de la cadena.
¿Lo comprobamos? Todos los métodos de piratería de BitLocker descritos anteriormente se recopilan en un solo programa, desarrollado por la empresa nacional Elcomsoft. Puede recuperar automáticamente claves de cifrado y montar volúmenes cifrados como discos virtuales, descifrándolos sobre la marcha.
Además, EFDD implementa otra forma no trivial de obtener claves: un ataque a través del puerto FireWire, que se recomienda utilizar en los casos en que no es posible ejecutar su software en la computadora atacada. Siempre instalamos el programa EFDD en nuestra computadora, y en la computadora que está siendo pirateada intentamos seguir los pasos mínimos necesarios.
Por ejemplo, simplemente iniciemos un sistema de prueba con BitLocker activo y realicemos un volcado de memoria "silenciosamente". Entonces simularemos una situación en la que un colega salió a almorzar y no bloqueó su computadora. Lo ejecutamos y en menos de un minuto recibimos un volcado completo en un archivo con extensión .mem y un tamaño correspondiente a la cantidad de RAM instalada en el ordenador de la víctima.
En general, no importa lo que hagas con el vertedero. Independientemente de la extensión, esto dará como resultado un archivo binario, que luego será analizado automáticamente por EFDD en busca de claves.
Escribimos el volcado en una unidad flash o lo transferimos a través de la red, luego de lo cual nos sentamos frente a nuestra computadora y ejecutamos EFDD.
Seleccione la opción "Extraer claves" e ingrese la ruta al archivo de volcado de memoria como fuente de clave.
BitLocker es un contenedor criptográfico típico, como PGP Disk o TrueCrypt. Estos contenedores resultaron ser bastante confiables en sí mismos, pero las aplicaciones cliente para trabajar con ellos en Windows ensucian las claves de cifrado en la RAM. Por lo tanto, EFDD implementa un escenario de ataque universal. El programa encuentra instantáneamente claves de cifrado de los tres tipos de contenedores criptográficos populares. Por lo tanto, puedes dejar todas las casillas marcadas en caso de que la víctima utilice PGP en secreto.
Después de unos segundos, Elcomsoft Forensic Disk Decryptor muestra todas las claves encontradas en su ventana. Para su comodidad, puede guardarlos en un archivo; esto será útil en el futuro.
¡Ahora BitLocker ya no es un problema! Puede realizar un ataque clásico sin conexión, por ejemplo, extrayendo el disco duro y copiando su contenido. Para hacer esto, simplemente conéctelo a su computadora y ejecute EFDD en modo "descifrar o montar disco".
Después de especificar la ruta a los archivos con las claves guardadas, EFDD, según su elección, realizará un descifrado completo del volumen o lo abrirá inmediatamente como un disco virtual. En el último caso, los archivos se descifran a medida que se accede a ellos. En cualquier caso, no se realizan cambios en el volumen original, por lo que al día siguiente podrás devolverlo como si nada. Trabajar con EFDD se produce sin dejar rastro y solo con copias de datos y, por lo tanto, permanece invisible.
BitLocker para llevar
A partir de Windows 7, fue posible cifrar unidades flash, discos duros USB y otros medios externos. Una tecnología llamada BitLocker To Go cifra las unidades extraíbles de la misma manera que las unidades locales. El cifrado se habilita utilizando el elemento apropiado en el menú contextual del Explorador.
Para unidades nuevas, puede utilizar el cifrado solo del área ocupada; de todos modos, el espacio libre de la partición está lleno de ceros y no hay nada que ocultar allí. Si la unidad ya se ha utilizado, se recomienda habilitar el cifrado completo en ella. De lo contrario, la ubicación marcada como gratuita permanecerá sin cifrar. Puede contener archivos eliminados recientemente que aún no se han sobrescrito.
Incluso el cifrado rápido sólo de la zona ocupada tarda desde varios minutos hasta varias horas. Este tiempo depende de la cantidad de datos, el ancho de banda de la interfaz, las características de la unidad y la velocidad de los cálculos criptográficos del procesador. Dado que el cifrado va acompañado de compresión, el espacio libre en el disco cifrado suele aumentar ligeramente.
La próxima vez que conecte una unidad flash cifrada a cualquier computadora que ejecute Windows 7 o superior, se llamará automáticamente al asistente de BitLocker para desbloquear la unidad. En Explorer, antes de desbloquearlo, se mostrará como un disco bloqueado.
Aquí puede utilizar tanto las opciones ya comentadas para omitir BitLocker (por ejemplo, buscar la clave VMK en un volcado de memoria o un archivo de hibernación), como otras nuevas relacionadas con las claves de recuperación.
Si no conoce la contraseña, pero logró encontrar una de las claves (manualmente o usando EFDD), existen dos opciones principales para acceder a la unidad flash cifrada:
- utilice el asistente BitLocker integrado para trabajar directamente con una unidad flash;
- use EFDD para descifrar completamente la unidad flash y crear su imagen sector por sector.
La primera opción le permite acceder inmediatamente a los archivos grabados en la unidad flash, copiarlos o modificarlos, y también escribir los suyos propios. La segunda opción lleva mucho más tiempo (a partir de media hora), pero tiene sus ventajas. La imagen descifrada sector por sector le permite realizar un análisis más refinado del sistema de archivos a nivel de laboratorio forense. En este caso, la unidad flash ya no es necesaria y puede devolverse sin cambios.
La imagen resultante se puede abrir inmediatamente en cualquier programa que admita el formato IMA o convertirla primero a otro formato (por ejemplo, usando UltraISO).
Por supuesto, además de detectar la clave de recuperación de BitLocker2Go, EFDD también admite todos los demás métodos de omisión de BitLocker. Simplemente revise todas las opciones disponibles seguidas hasta encontrar una clave de cualquier tipo. El resto (hasta FVEK) se descifrará a lo largo de la cadena y usted tendrá acceso completo al disco.
Conclusión
La tecnología de cifrado de disco completo BitLocker difiere según las versiones de Windows. Después de una configuración adecuada, le permite crear contenedores criptográficos que, en teoría, son comparables en potencia a TrueCrypt o PGP. Sin embargo, el mecanismo integrado en Windows para trabajar con claves anula todos los trucos algorítmicos. En particular, la clave VMK utilizada para descifrar la clave maestra en BitLocker se recupera usando EFDD en unos segundos a partir de un duplicado en custodia, un volcado de memoria, un archivo de hibernación o un ataque al puerto FireWire.
Una vez que tenga la clave, puede realizar un ataque clásico sin conexión, copiar silenciosamente y descifrar automáticamente todos los datos en la unidad "protegida". Por lo tanto, BitLocker solo debe usarse junto con otras medidas de seguridad: sistema de cifrado de archivos (EFS), servicio de administración de derechos (RMS), control de inicio de programas, instalación de dispositivos y control de archivos adjuntos, así como políticas locales más estrictas y medidas de seguridad generales.
El artículo utiliza materiales del sitio: (84ckf1r3), .
