Академический Документы
Профессиональный Документы
Культура Документы
Page 1 of 33
En este mdulo hablaremos de cifrado de archivos y carpetas en reposo, no en trnsito, como es el caso de las VPNs y DirectAccess.
Para cifrar archivos y carpetas en un disco duro, Windows Server 2012 R2 incluye 2 herramientas:
BitLocker: Es relativamente reciente, desde Windows Vista y Windows Server 2008.
EFS (Encrypted File System): Es una caracterstica de NTFS.
BitLocker
Es una caracterstica que podemos aadir a Windows Server desde la versin 2008 y a los clientes Windows desde Vista.
Windows XP no soporta BitLocker, pero si puede leer dispositivos removibles que hayan sido cifrados con BitLocker on the Go. Para
esto, Windows XP necesita el Reader de BitLocker on the Go.
BitLocker es una tecnologa que permite cifrar unidades completas. Podemos cifrar una particin o solo el espacio que se est usando
de una particin. BitLocker no permite cifrar archivos o carpetas independientes.
Al cifrar solo el espacio cifrado por una particin aceleramos el proceso, pero podra ocurrir que se vieran comprometidos archivos
que fueron borrados y que an estn en la zona sin usar de la particin.
El objetivo de BitLocker es evitar que una persona que obtenga un disco duro o un pendrive pueda conectarlo a otro ordenador y
acceder a su contenido.
Proteger particiones tanto de datos como del sistema y es posible que se apliquen durante el proceso de instalacin de Windows.
Practica
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Creamos una particin de 20GB en LON-RTR, lo inicializamos todo por defecto.
Creamos un archivo.txt "Archivo Importante"
BitLocker Network Unlock es una caracterstica que permite descifrar automticamente unidades de equipos que estn en un
dominio confiable. Las claves de cifrado de BitLocker se habrn almacenado en el AD DS. Si el equipo que contiene la particin
est en el dominio, la particin se descifra. Cuando est fuera, la particin permanece bloqueada.
Entramos en LON-DC1 y modificamos la poltica por defecto, para que se aplique en todo el dominio.
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 2 of 33
Seleccionamos la que est marcada porque es para Windows 8 y Windows Server 2012. La de abajo es para otros sistemas operativos
anteriores pero hace lo mismo.
La editamos y seleccionamos los bits de cifrado. Si no configuramos, por defecto tiene la longitud de 128 bits.
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 3 of 33
Ahora configuramos Unidades de Datos Fijas. El tipo de encriptacin para la particin del sistema, lo normal es que sea completo.
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 4 of 33
Podemos configurarlo para un cifrado completo del Sistema Operativo. Aunque todava no hemos habilitado el TPM
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 5 of 33
Y configuramos el TPM para que no nos lo pida, ya que no lo tenemos. Y nos deje cifrar utilizando una contrasea.
Requerir autenticacin adicional en el inicio. As podemos sustituir el TPM por una contrasea.
Como vemos esta opcin es solo para Windows Server 2008 R2 o Windows 7.
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 6 of 33
Esta es la misma que la anterior pero para Windows Server 2008 y Windows Vista.
Esta opcin es solo para Windows Server 2012 o Windows 8. (no la configuramos pero importante para el examen)
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 7 of 33
Entramos en LON-RTR y hacemos gpupdate /force y reiniciamos para que se apliquen las GPOs y termine de instalarse la caracterstica
que hemos instalado anteriormente.
Ahora si entramos en Panel de Control y mostramos todos los iconos vemos el icono
Nos da 2 opciones o Contrasea o tarjeta inteligente. Como no tenemos tarjeta inteligente lo hacemos con contrasea.
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 8 of 33
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 9 of 33
Iniciar encriptado.
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 10 of 33
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 11 of 33
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Si perdemos TPM, la contrasea, el pendrive donde tenemos almacenadas las credenciales o el archivo donde la hemos guardado,
perderemos el acceso a la unidad. Al no ser que previamente hayamos configurado un DRA (Data Recovery Agent) (Agente de
Recuperacin de Datos).
La configuracin de un DRA es igual para BitLocker y para EFS. Por defecto, el DRA para EFS es el Administrador del dominio.
EFS.
EFS es una propiedad del sistema de archivos NTFS que permite cifrar archivos individuales o carpetas.
No exige instalar ninguna caracterstica adicional.
Es una capa adicional de seguridad. Incluso si un usuario tienen acceso completo a nivel de permisos a un archivo, si no est
autorizado en EFS, tendr acceso denegado.
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 12 of 33
EFS no cifra volmenes completos, sino carpetas y archivos. Es un cifrado a nivel de usuario. Por defecto, el archivo slo ser accesible
para quien lo ha cifrado y para el DRA. Para que otro usuario tenga acceso al archivo, tendremos que aadirlo a la lista de autorizados
en EFS.
EFS utiliza un sistema de cifrado simtrico. La clave de cifrado se genera para cada archivo y se almacena en la cabecera de ese
archivo.
La clave para cifrar y descifrar el archivo se llama FEK (File Encryption Key).
--> Certificate Templates --> botn derecho Management --> plantilla de usuario (User) --> botn derecho propiedades --> Security -->
Domain User --> comprobamos que si nos va a dar certificado.
Para implementar EFS no es necesario contar con un CA, pero es ese caso, los certificados que se usaran para proteger la FEK
seran autofirmado. Contar con una CA nos va a facilitar la gestin de certificados la recuperacin de archivos cifrados con EFS.
Active Directory --> Sales --> usuario Sales1 --> botn derecho --> propiedades y vemos que no es administrador de dominio.
Entramos con ese usuario (Sales1) a LON-CL1.
Abrimos una MMC y aadimos la consola de certificados. (Certificates)
--> User
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 13 of 33
En LON-DC1 verificamos desde la consola de certificados que se ha emitido (Issued Certificates) el certificado a Sales1.
(LON-CL1) Creamos una carpeta en c:\
Y creamos un archivo que queremos proteger para todos los usuarios que no sean Sales1
Ciframos la carpeta.
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 14 of 33
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 15 of 33
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 16 of 33
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 17 of 33
Para que Sales2 tenga acceso se lo tiene que proporcionar Sales1 o el administrador.
Entramos con el usuario Sales1.
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 18 of 33
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 19 of 33
Entramos ahora con Sales2 y comprobamos que nos deja abrir el archivo.txt
Desde LON-DC1
El Certificado de Sales1 ya no es seguro y hay que revocarlo. (ejemplo)
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 20 of 33
Entramos en LON-CL1 con el usuario Sales1. No nos debera dejar entrar en el archivo (la revocacin de certificado tarda un poco)
Y vamos a provocar otro fallo.
Entramos en la mmc --> certificados y borramos el certificado de Sales1
Cerramos la sesin (solo para que se apliquen los cambios) y volvemos a entrar con Sales1
Intentamos entrar en el archivo y no nos deja.
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 21 of 33
Cmo le volvemos a dejar entrar? Deja des-revocarlo, pero lo hemos revocado porque la clave se ha visto comprometida (en este
ejemplo) por lo que no se puede volver a generar el mismo certificado por seguridad.
Esto es una solucin a medias, porque Sales2 solo tiene acceso a ese archivo concretamente y Sales1 tena acceso a toda la carpeta,
por lo que si hubiera otros archivos .txt, a Sales1 no le dejara entrar si Sales2 no tiene permisos para acceder a esos otros archivos
De todos modos si hubiera 100 archivos y Sales2 tuviera acceso a todo, sera muy costoso dar permisos a Sales1 archivo por archivo.
Por lo que entramos como administrador del dominio en LON-CL1.
A nivel de carpeta vemos que solo Sales1 tiene permiso para entrar
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 22 of 33
Deberamos importar el certificado del administrador, pero antes hay que exportarlo desde LON-DC1.
Entramos en LON-DC1
Abrimos la consola mmc y agregamos el Snap-in de certificados
Pero si hubiera miles de archivos que recuperar el Administrador no tiene por qu encargarse de esa tarea, por lo que debera delegar
la tarea. (se hara como en la imagen, pero no lo vamos a hacer.
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 23 of 33
Vemos que tiene el mismo certificado que desde la consola mmc, pero si pulsamos con el botn derecho vemos que se puede aadir un
agente de recuperacin de datos. Ya no lo tendra que hacer el administrador.
Podemos "Aadir" y "Crear".
Aadir es cuando ya tenemos el certificado que le permite hacer esas tareas.
Lo creo cuando todava el usuario no tiene el certificado que le permite hacer esas tareas.
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 24 of 33
Es una chapuza porque metemos la clave privada en una carpeta compartida, (no recomendable), pero para la prctica nos sirve.
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 25 of 33
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 26 of 33
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 27 of 33
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 28 of 33
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 29 of 33
Finish.
Ya tenemos el certificado.
Entramos en las propiedades de la carpeta y probamos descifrar, y si nos deja ya podramos acceder con el usuario al archivo.
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 30 of 33
Directivas de Auditoria.
Para activar la auditoria
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 31 of 33
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 32 of 33
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016
OneNote Online
Page 33 of 33
https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016