Módulo 10 - Configuring Encryption and Advanced Auditing

OneNote Online
Page 1 of 33
Mdulo 10: 70-411 Configuring Encryption and Advanced

Auditing
jueves, 15 de enero de 2015 9:28
Cifrado y Auditora Avanzada.
En este mdulo hablaremos de cifrado de archivos y carpetas en reposo, no en trnsito, como es el caso de las VPNs y DirectAccess.
Para cifrar archivos y carpetas en un disco duro, Windows Server 2012 R2 incluye 2 herramientas:
BitLocker: Es relativamente reciente, desde Windows Vista y Windows Server 2008.
EFS (Encrypted File System): Es una caracterstica de NTFS.
BitLocker
Es una caracterstica que podemos aadir a Windows Server desde la versin 2008 y a los clientes Windows desde Vista.
Windows XP no soporta BitLocker, pero si puede leer dispositivos removibles que hayan sido cifrados con BitLocker on the Go. Para
esto, Windows XP necesita el Reader de BitLocker on the Go.
BitLocker es una tecnologa que permite cifrar unidades completas. Podemos cifrar una particin o solo el espacio que se est usando
de una particin. BitLocker no permite cifrar archivos o carpetas independientes.
Al cifrar solo el espacio cifrado por una particin aceleramos el proceso, pero podra ocurrir que se vieran comprometidos archivos
que fueron borrados y que an estn en la zona sin usar de la particin.
El objetivo de BitLocker es evitar que una persona que obtenga un disco duro o un pendrive pueda conectarlo a otro ordenador y
acceder a su contenido.
El escenario habitual es cifrar los porttiles de la empresa por si uno se pierde.

Otro escenario habitual de BitLocker es proteger los archivos de arranque del sistema. BitLocker analiza los archivos de arranque y del
sistema y si detecta cambios no autorizados en alguno, no permite el arranque. Secure Boot. Es un mtodo de proteccin frente a
troyanos, backdoors, rootkits,
Algunas caractersticas de BitLocker slo estn disponibles si disponemos de un TPM (Trusted Platform Module). TPM es un chip que
encontramos en la mayora de equipos y est diseado para llevar a cabo tareas criptogrficas. En este TPM es donde BitLocker
almacena las contraseas de cifrado. El requisito es disponer de TPM 1.2.
El algoritmo de cifrado que usa BitLocker es AES, tanto de 128 como de 256 bits.
Proteger particiones tanto de datos como del sistema y es posible que se apliquen durante el proceso de instalacin de Windows.
Practica
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Creamos una particin de 20GB en LON-RTR, lo inicializamos todo por defecto.
Creamos un archivo.txt "Archivo Importante"
Instalamos la Caracterstica de BitLocker Drive Encryption.

Pide reiniciar. Vamos a esperar a reiniciar, para configurar unas GPOs en LON-DC1 y reiniciar despus para que se apliquen los cambios
de la GPO.
BitLocker Network Unlock es una caracterstica que permite descifrar automticamente unidades de equipos que estn en un
dominio confiable. Las claves de cifrado de BitLocker se habrn almacenado en el AD DS. Si el equipo que contiene la particin
est en el dominio, la particin se descifra. Cuando est fuera, la particin permanece bloqueada.
Entramos en LON-DC1 y modificamos la poltica por defecto, para que se aplique en todo el dominio.
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 2 of 33
Seleccionamos la que est marcada porque es para Windows 8 y Windows Server 2012. La de abajo es para otros sistemas operativos
anteriores pero hace lo mismo.
La editamos y seleccionamos los bits de cifrado. Si no configuramos, por defecto tiene la longitud de 128 bits.
OneNote Online
Page 3 of 33
Ahora configuramos Unidades de Datos Fijas. El tipo de encriptacin para la particin del sistema, lo normal es que sea completo.
Cifrarnos el espacio utilizado
OneNote Online
Page 4 of 33
Podemos configurarlo para un cifrado completo del Sistema Operativo. Aunque todava no hemos habilitado el TPM
OneNote Online
Page 5 of 33
Y configuramos el TPM para que no nos lo pida, ya que no lo tenemos. Y nos deje cifrar utilizando una contrasea.
Requerir autenticacin adicional en el inicio. As podemos sustituir el TPM por una contrasea.
Como vemos esta opcin es solo para Windows Server 2008 R2 o Windows 7.
OneNote Online
Page 6 of 33
Esta es la misma que la anterior pero para Windows Server 2008 y Windows Vista.
Esta opcin es solo para Windows Server 2012 o Windows 8. (no la configuramos pero importante para el examen)
OneNote Online
Page 7 of 33
Entramos en LON-RTR y hacemos gpupdate /force y reiniciamos para que se apliquen las GPOs y termine de instalarse la caracterstica
que hemos instalado anteriormente.
Ahora si entramos en Panel de Control y mostramos todos los iconos vemos el icono
Nos da 2 opciones o Contrasea o tarjeta inteligente. Como no tenemos tarjeta inteligente lo hacemos con contrasea.
OneNote Online
Page 8 of 33
Y nos dice si queremos imprimir la contrasea o gurdala.

Lo guardamos en el escritorio aunque no es lo ms seguro.
Y que solo cifre el espacio utilizado.
OneNote Online
Page 9 of 33
Iniciar encriptado.
Vemos que las opciones del Panel de Control han cambiado
OneNote Online
Page 10 of 33
Este es el archivo que ha creado
Y vemos que el icono de la unidad tambin ha cambiado.
Ahora vamos a LON-CL1 y vamos a aadir el disco de LON-RTR (Unidad E:\)
OneNote Online
Page 11 of 33
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Si perdemos TPM, la contrasea, el pendrive donde tenemos almacenadas las credenciales o el archivo donde la hemos guardado,
perderemos el acceso a la unidad. Al no ser que previamente hayamos configurado un DRA (Data Recovery Agent) (Agente de
Recuperacin de Datos).
La configuracin de un DRA es igual para BitLocker y para EFS. Por defecto, el DRA para EFS es el Administrador del dominio.
EFS.
EFS es una propiedad del sistema de archivos NTFS que permite cifrar archivos individuales o carpetas.
No exige instalar ninguna caracterstica adicional.
Es una capa adicional de seguridad. Incluso si un usuario tienen acceso completo a nivel de permisos a un archivo, si no est
autorizado en EFS, tendr acceso denegado.
OneNote Online
Page 12 of 33
EFS no cifra volmenes completos, sino carpetas y archivos. Es un cifrado a nivel de usuario. Por defecto, el archivo slo ser accesible
para quien lo ha cifrado y para el DRA. Para que otro usuario tenga acceso al archivo, tendremos que aadirlo a la lista de autorizados
en EFS.
EFS utiliza un sistema de cifrado simtrico. La clave de cifrado se genera para cada archivo y se almacena en la cabecera de ese
archivo.
La clave para cifrar y descifrar el archivo se llama FEK (File Encryption Key).
Archivo en plano: Este archivo es muy importante.

|
Cifrar
|
Clave de cifrado (FEK): 2 (se trata de mover 2 posiciones las letras) Ejemplo: Este = Guvg
Archivo Cifrado: Guvg
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Entramos en LON-CL1 con un usuario que no sea administrador.

En la autoridad certificadora. (certsrv)
--> Certificate Templates --> botn derecho Management --> plantilla de usuario (User) --> botn derecho propiedades --> Security -->
Domain User --> comprobamos que si nos va a dar certificado.
Para implementar EFS no es necesario contar con un CA, pero es ese caso, los certificados que se usaran para proteger la FEK
seran autofirmado. Contar con una CA nos va a facilitar la gestin de certificados la recuperacin de archivos cifrados con EFS.
Active Directory --> Sales --> usuario Sales1 --> botn derecho --> propiedades y vemos que no es administrador de dominio.
Entramos con ese usuario (Sales1) a LON-CL1.
Abrimos una MMC y aadimos la consola de certificados. (Certificates)
Y vemos que en "Personal no tiene ningn certificado.

--> Botn derecho --> All Task --> Request New Certificate (pedimos un certificado ) --> Next
--> User
OneNote Online
Page 13 of 33
--> Enroll --> Finish
En "Personal" --> Certificates --> ya tenemos el certificado de Sales1
En LON-DC1 verificamos desde la consola de certificados que se ha emitido (Issued Certificates) el certificado a Sales1.
(LON-CL1) Creamos una carpeta en c:\
Y creamos un archivo que queremos proteger para todos los usuarios que no sean Sales1
Ciframos la carpeta.
OneNote Online
Page 14 of 33
Marcamos la ltima opcin.
OneNote Online
Page 15 of 33
Pulsamos en aplicar y OK.
Y ha cambiado el color de archivo
Volvemos a entrar en las propiedades del archivo "Secreto"
OneNote Online
Page 16 of 33
Vamos a entrar con Sales2 a ver si puede acceder al archivo.

Lo intentamos abrir y sale el siguiente mensaje (no nos deja abrir el archivo)
Queremos que Sales1 y Sales2 puedan colaborar con ese archivo.

Con el usuario Sales2 entramos otra vez en la consola mmc, aadimos el Snap-in de certificados y solicitamos un certificado como
hemos hecho con Sales1
OneNote Online
Page 17 of 33
Para que Sales2 tenga acceso se lo tiene que proporcionar Sales1 o el administrador.
Entramos con el usuario Sales1.
OneNote Online
Page 18 of 33
OneNote Online
Page 19 of 33
Damos a todas las ventanas "OK"
Entramos ahora con Sales2 y comprobamos que nos deja abrir el archivo.txt
Desde LON-DC1
El Certificado de Sales1 ya no es seguro y hay que revocarlo. (ejemplo)
OneNote Online
Page 20 of 33
Ha pasado a estar en certificados Revocados.
Entramos en LON-CL1 con el usuario Sales1. No nos debera dejar entrar en el archivo (la revocacin de certificado tarda un poco)
Y vamos a provocar otro fallo.
Entramos en la mmc --> certificados y borramos el certificado de Sales1
Cerramos la sesin (solo para que se apliquen los cambios) y volvemos a entrar con Sales1
Intentamos entrar en el archivo y no nos deja.
OneNote Online
Page 21 of 33
Cmo le volvemos a dejar entrar? Deja des-revocarlo, pero lo hemos revocado porque la clave se ha visto comprometida (en este
ejemplo) por lo que no se puede volver a generar el mismo certificado por seguridad.
Pedimos otro certificado con Sales1.

Cambiamos de usuario entrando con Sales2, y le damos permiso con el nuevo certificado de Sales1 para acceder al archivo. (pasos
anteriores)
Entramos con Sales1 y ya nos deja entrar con el nuevo certificado.
Esto es una solucin a medias, porque Sales2 solo tiene acceso a ese archivo concretamente y Sales1 tena acceso a toda la carpeta,
por lo que si hubiera otros archivos .txt, a Sales1 no le dejara entrar si Sales2 no tiene permisos para acceder a esos otros archivos
De todos modos si hubiera 100 archivos y Sales2 tuviera acceso a todo, sera muy costoso dar permisos a Sales1 archivo por archivo.
Por lo que entramos como administrador del dominio en LON-CL1.
A nivel de carpeta vemos que solo Sales1 tiene permiso para entrar
Abrimos una consola mmc y agregamos el certificado como My user account
OneNote Online
Page 22 of 33
Deberamos importar el certificado del administrador, pero antes hay que exportarlo desde LON-DC1.
Entramos en LON-DC1
Abrimos la consola mmc y agregamos el Snap-in de certificados
Vemos que este certificado es para recuperacin de archivos.
Pero si hubiera miles de archivos que recuperar el Administrador no tiene por qu encargarse de esa tarea, por lo que debera delegar
la tarea. (se hara como en la imagen, pero no lo vamos a hacer.
Abrimos la consola de Gestin de Directivas de Grupo (GPO)

Editamos la poltica por defecto
OneNote Online
Page 23 of 33
Vemos que tiene el mismo certificado que desde la consola mmc, pero si pulsamos con el botn derecho vemos que se puede aadir un
agente de recuperacin de datos. Ya no lo tendra que hacer el administrador.
Podemos "Aadir" y "Crear".
Aadir es cuando ya tenemos el certificado que le permite hacer esas tareas.
Lo creo cuando todava el usuario no tiene el certificado que le permite hacer esas tareas.
OneNote Online
Page 24 of 33
En este caso tenemos que Crear un Agente de Recuperacin de Datos.
Y nos crea otro certificado.
Exportamos el certificado Administrador.
Es una chapuza porque metemos la clave privada en una carpeta compartida, (no recomendable), pero para la prctica nos sirve.
OneNote Online
Page 25 of 33
La protegemos con una clave.
OneNote Online
Page 26 of 33
OneNote Online
Page 27 of 33
Vamos LON-CL1 con el usuario administrador. Aadimos el Snap-in de certificado.
OneNote Online
Page 28 of 33
OneNote Online
Page 29 of 33
Finish.
Ya tenemos el certificado.
Entramos en las propiedades de la carpeta y probamos descifrar, y si nos deja ya podramos acceder con el usuario al archivo.
OneNote Online
Page 30 of 33
Directivas de Auditoria.
Para activar la auditoria
Creamos una nueva GPO en el dominio
OneNote Online
Page 31 of 33
OneNote Online
Page 32 of 33
Vamos a auditar esta carpeta. LON-DC1
OneNote Online
Page 33 of 33
Entramos a LON-CL1 con Sales1

Creamos un archivo en la "carpeta compartida" Informes
Vamos al visor de eventos y vemos que ha creado un evento.

Módulo 10 - Configuring Encryption and Advanced Auditing

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Módulo 10 - Configuring Encryption and Advanced Auditing

Загружено:

Авторское право:

Доступные форматы

OneNote Online

Mdulo 10: 70-411 Configuring Encryption and Advanced

Cifrado y Auditora Avanzada.

El escenario habitual es cifrar los porttiles de la empresa por si uno se pierde.

Instalamos la Caracterstica de BitLocker Drive Encryption.

Cifrarnos el espacio utilizado

Y nos dice si queremos imprimir la contrasea o gurdala.

Y que solo cifre el espacio utilizado.

Vemos que las opciones del Panel de Control han cambiado

Este es el archivo que ha creado

Y vemos que el icono de la unidad tambin ha cambiado.

Ahora vamos a LON-CL1 y vamos a aadir el disco de LON-RTR (Unidad E:\)

Archivo en plano: Este archivo es muy importante.

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Entramos en LON-CL1 con un usuario que no sea administrador.

Y vemos que en "Personal no tiene ningn certificado.

--> Enroll --> Finish

En "Personal" --> Certificates --> ya tenemos el certificado de Sales1

Marcamos la ltima opcin.

Pulsamos en aplicar y OK.

Y ha cambiado el color de archivo

Volvemos a entrar en las propiedades del archivo "Secreto"

Vamos a entrar con Sales2 a ver si puede acceder al archivo.

Queremos que Sales1 y Sales2 puedan colaborar con ese archivo.

Damos a todas las ventanas "OK"

Ha pasado a estar en certificados Revocados.

Pedimos otro certificado con Sales1.

Abrimos una consola mmc y agregamos el certificado como My user account

Vemos que este certificado es para recuperacin de archivos.

Abrimos la consola de Gestin de Directivas de Grupo (GPO)

En este caso tenemos que Crear un Agente de Recuperacin de Datos.

Y nos crea otro certificado.

Exportamos el certificado Administrador.

La protegemos con una clave.

Vamos LON-CL1 con el usuario administrador. Aadimos el Snap-in de certificado.

Creamos una nueva GPO en el dominio

Vamos a auditar esta carpeta. LON-DC1

Entramos a LON-CL1 con Sales1

Vamos al visor de eventos y vemos que ha creado un evento.

Вам также может понравиться