-----------------------------------------------------------------------------------------------------------------------------------------------------------

----------------

-----------------------------------------------------------------------------------------------------------------------------------------------------------

----------------

Module 10: Configuring Encryption and Advanced Auditing

-----------------------------------------------------------------------------------------------------------------------------------------------------------

----------------

-----------------------------------------------------------------------------------------------------------------------------------------------------------

----------------

Cifrado y auditoria avanzada:

En este modulo hablaremos del cifrado de archivos y carpetas en reposo, no en transito, como es el caso de las

VPN’s y DirectAccess.

Para cifrar archivos y carpetas en un disco duro, windows Server 2012 R2 incluye 2 herramientas:

- Bitlocker: es relativamente reciente, desde windows Vista y Server 2008

- EFS (Encrypted File System): es una caracteristica de NTFS

Bitlocker:

Es una caracteristica que podemos añadir a windows server desde la version 2008 y a los clientes windows desde

vista.

Windows XP no soporte bitlocker, pero si puede leer dispositivos removibles que hayan sido cifrados con bitlocker

on the go

Para esto, Windows XP necesita el reader de Bitlocker on the go.

Bitlocker es una tecnologia que permite cifrar unidades completas. Podemos cifrar una particion o solo el espacio

que se esta usando de una particion. Bitlocker no permite cifrar archivos o carpetas independientes.

Al cifrar solo el espacio usado por una particion aceleramos el proceso, pero podria ocurrir que se vieran

comprometidos archivos que fueron borrados y que aun estan en la zona sin usar de la particion.

El objetivo de bitlocker es evitar que una persona que obtenga un disco duro o un pendrive, puede conectarlo a otro

ordenador y acceder a su contenido.

El escenario habitual es cifrar los portatiles de la empresa por si uno se pierde.

Otro escenario habitual de bitlocker es proteger los archivos de arranque y del sistema. Bitlocker analiza los archivos

de arranque y del sistema y si detecta cambios no autorizados en alguno, no permite el arranque. Secure Boot.

El tamaño minimo de la clave es de 2048

Algunas caracteristicas de Bitlocker solo estan disponibles si disponemos de un TPM (Trusted Platform Module).

TPM es un chip que encontramos en la mayoria de equipos y esta diseñado para llevar a cabo tareas criptograficas.

En este TPM es donde bitlocker almacena las contraseñas de cifrado. El requisito es disponer de TPM 1.2

El algoritmo de cifrado que usa bitloker es AES, tanto de 128 como de 256 bits.

Protege particiones tanto de datos como del sistema y es posible que se aplique durante el proceso de instalacion de

windows

Para comprobar la version de TPM usar tpm.msc (comprobar que esta activo en la bios)

Bitlocker network unlock es una caracteristica que permite descifrar automaticamente unidades de equipos que

esten en un dominio confiable. Las claves de cifrado de bitlocker se habran almacenado en el AD DS. Si el equipo que

contiene la particion esta en el dominio, la particion se descifra. Cuando esta fuera, la particion permanece

bloqueada.

Es recomendable que este en un servidor WDS para crear imágenes ya con bitlocker activado

Vamos a configurar bitlocker en un disco duro

Vamos a modificar la GPO default del dominio para aplicar Bitlocker

aquí estan todas las politicas de bitlocker

Con estos elegimos entre 128 y 256 bits para el cifrado

Aquí elegimos entre cifrar el disco entero o solo la parte usada de una unidad

Aquí configuramos el tipo de encriptacion para la particion del sistema lo normal es que sea completo

Para que podamos usar un PIN si no tenemos TPM

Importante Secure boot obligatorio TPM y windows 2012 o windows 8

Ahora con reiniciar deberia aparecer en el panel de control la opcion de bitlocker

Vamos a cifrar E:

Guardamos en el escritorio y seguimos

Y asi se ve

Y el archivo que nos genera es asi

Si perdemos TPM, la contraseña, el pendrive donde tenemos almacenadas las credenciales o el archivo donde la

hemos guardado, perderemos el acceso a la unidad.

A no ser que previamente hayamos configurado un DRA (Data Recovery Agent).

La configuracion de un DRA es igual para bitlocker y para EFS. Por defecto, el DRA para EFS es el administrador del

dominio.

EFS:

EFS es una propiedad del sistema de archivos NTFS que permite cifrar archivos individuales o carpetas.

No exige instalar ninguna caracteristica adicional.

Es una capa adicional de seguridad. Incluso si un usuario tiene acceso completo a nivel de permisos a un archivo, si

no esta autorizado en EFS, tendra acceso denegado.

EFS no cifra volumenes completos, si no carpetas y archivos.

Es un cifrado a nivel de usuario. Por defecto, el archivo solo sera accesible para quien lo ha cifrado y para el DRA.

Para que otro usuario tenga acceso al archivo, tendremos que añadirlo a la lista de autorizados en EFS

EFS utiliza un sistema un sistema de cifrado simetrico. La clave de cifrado se genera para cada archivo y se almacena

en la cabecera de ese archivo

La clave para cifrar y descifrar el archivo se llama FEK (File Encryption Key)

El metodo que se usa es la clave cifrada que va en la cabecera de ese archivo, lo que se hace es cifrar esa clave con la

clave publica del ususario, asi solo el usuario con su clave publica podra descifrar la cabecera con la clave para

descifrar el archivo.

Para implementar EFS no es necesario contar con una CA, pero en ese caso, los certificados que se usarian para

proteger la FEK serian autofirmados. Contar con una CA nos va a facilitar la gestion de certificados y la recuperacion

de archivos cifrados con EFS

Si accedemos por red el cifrado no se aplica

Vamos a entrar en el LON-CL1 como usuario y pediremos el certificado

Ahora vamos a cifrar una carpeta

Desde propiedades de la carpeta

Marcamos la ultima opcion

Y ya vemos que no aparece en verde

Vemos la configuracion

Vamos a dar acceso a otro usuario al archivo cifrado

Vamos a probocar un fallo de certificados desde la CA revocamos el certificado y en el CL1 eliminamos el certificado

O entramos con un usuario que tenia acceso y le devolvemos al acceso al certificado nuevo

O

Exportamos el certificado del administrador y lo importamos en la maquina y ya nos permite dar acceso de nuevo al

certificado nuevo del usuario

Delegacion de DRA

Add para cuando ya tenemos el certificado con proposito con file recovery (Basic EFS)

Create para generar uno nuevo

Auditoria avanzada:

Para activar la auditoria