BitLocker

Es una aplicacin de cifrado de disco que puede encontrarse en Windows 7.

Esta aplicacin est diseada para proteger los datos e impedir el acceso no
autorizado a cualquier archivo almacenado en la unidad cifrada mediante una
clave de 128 bits.
Esta funcin est disponible en las ediciones Ultimate y Enterprise de
Windows 7 lo que quiere decir que si tienen Windows 7 Home, Starter o
Professional no podrn utilizar esta caracterstica, BitLocker permite mantener
a salvo todo, desde documentos hasta contraseas, ya que cifra toda la unidad
en la que Windows y sus datos residen. Una vez que se activa BitLocker, se
cifran automticamente todos los archivos almacenados en la unidad.

Descripcin General
Existen tres mecanismos de autenticacin que pueden ser utilizados como elementos
bsicos para implementar el cifrado BitLocker

Modo de funcionamiento transparente: Este modo aprovecha las capacidades

de la Plataforma de confianza (Trusted Platform Module en ingls). La clave
utilizada para el cifrado de disco est cifrada por y slo se dar a conocer el
cdigo al sistema operativo si los archivos de inicio a principio del arranque
parecen haber sido modificados. Este modo es vulnerable a un "ataque de
arranque en fro", ya que permite el apagado de la mquina por un atacante.

Modo de autenticacin de usuario: Este modo requiere que el usuario

proporcione alguna de autenticacin al prearranque. Este modo es vulnerable a un
ataque rootkit.

Modo en dispositivos USB: El usuario debe insertar un dispositivo USB que

contenga una clave de inicio en el equipo para poder arrancar el sistema operativo
protegido. Tenga en cuenta que esta modalidad requiere que la BIOS de la

mquina protegida acepte el arranque desde dispositivos USB. Este modo

tambin es vulnerable a un ataque rootkit.

BitLocker To Go:
Una nueva caracterstica de Windows 7, permite bloquear dispositivos de
almacenamiento porttiles que se extravan fcilmente, como unidades flash
USB y unidades de disco duro externas.
Qu es el Cifrado?
El cifrado es un mtodo que permite aumentar la seguridad de un mensaje o de
un archivo mediante la codificacin del contenido, de manera que solo pueda
leerlo la persona que disponga de la clave de cifrado adecuada para
descodificarlo. Por ejemplo, si realiza una compra en un sitio web, la
informacin de la transaccin (como su direccin, nmero de telfono y
nmero de tarjeta de crdito) suele cifrarse con el fin de mantenerla a salvo.
Use el cifrado cuando desee un alto nivel de proteccin de la informacin.

Cmo cifrar tus unidades de disco con Bitlocker de Windows

Se aplica a: Windows 7
Esta gua paso a paso proporciona las instrucciones necesarias para usar el Cifrado de
unidad BitLocker en un entorno de prueba de Windows 7. Se recomienda que realice
primero los pasos indicados en la presente gua en un entorno de laboratorio de pruebas.
Las guas paso a paso no estn necesariamente diseadas para implementar caractersticas
del sistema operativo Windows 7 sin la documentacin correspondiente y se deben usar con
discrecin como documento independiente.

1: Accede a las opciones de configuracin

Para configurar las opciones de Bitlocker, accede desde el botn Inicio y, desde all, al
Panel de control. Elige la categora Sistema y seguridad. En el apartado Cifrado de unidad
Bitlocker, elige Proteger el equipo cifrando los datos en el disco.
Ahora es el momento de elegir la unidad que quieres cifrar, para as proteger los archivos
que copies dentro de ella. Resulta especialmente til para unidades USB, discos externos u
ordenadores porttiles. Elige la unidad y haz clic sobre Activar Bitlocker.

2: Establece una contrasea para cifrar la unidad

Ahora debes asignar una contrasea para cifrar la unidad. Cuando quieras descifrarla, el
sistema te pedir esta contrasea, de modo que escribe una que puedas recordar fcilmente.
Esta contrasea debe contener, al menos, dos de las caractersticas que te indica el cuadro
de configuracin. Activa la casilla Usar una contrasea para desbloquear la unidad y escribe
la contrasea. A continuacin pulsa sobre Siguiente. Y elige la opcin Guardar la clave de
recuperacin en un archivo. Guarda cuidadosamente este archivo en un lugar seguro, ya
que es el ltimo recurso en caso de que olvides tu contrasea. Pulsa en Siguiente y, por
ltimo, en Iniciar cifrado. Ahora se inicia el cifrado de la unidad. El tiempo que dura el
proceso de cifrado, depende de la capacidad de la unidad a cifrar. Ten paciencia y sobre
todo no desconectes ni el ordenador, ni la unidad de disco mientras dure este proceso.

3: Descifrar la unidad Bitlocker

Ahora ya tienes la unida cifrada, puedes extraerla. Al volver a conectarla te aparece como
cifrada y no puedes acceder a ella sin introducir antes la contrasea correcta, o usar el
archivo que has guardado. Puedes hacer que el bloqueo no acte cuando la unidad se
conecte a uno de tus ordenadores con Windows, activando la opcin Desbloquear
automticamente en el equipo desde ahora. Para desbloquear la unidad, introduce la
contrasea y haz clic sobre Desbloquear. La unidad quedar ahora desbloqueada.

En esta gua
El objetivo de esta gua es ayudar a los profesionales de TI a familiarizarse con la
caracterstica Cifrado de unidad BitLocker de Windows 7. Estos pasos se incluyen
nicamente para fines de prueba. Esta gua no debe ser el nico recurso que emplee para
implementar las caractersticas de Windows Server 2008 R2 o Windows 7. Revise las
siguientes secciones para familiarizarse con la informacin bsica y los procedimientos
necesarios para comenzar a configurar e implementar BitLocker en su organizacin.

Escenario 1: activar el Cifrado de unidad BitLocker en una unidad del sistema

operativo (Windows 7)

Escenario 2: activar el Cifrado de unidad BitLocker en una unidad de datos fija o

extrable (Windows 7)

Escenario 3: actualizar un equipo protegido con BitLocker de Windows Vista a

Windows 7 (Windows 7)

Escenario 4: Configurar el modo en que las versiones anteriores de Windows

(Windows 7) admiten BitLocker

Escenario 5: requerir la proteccin de BitLocker en las unidades de datos (Windows

7)

Escenario 6: especificar cmo desbloquear unidades del sistema operativo

protegidas con BitLocker (Windows 7)

Escenario 7: especificar cmo desbloquear unidades de datos extrables o fijas

protegidas por BitLocker (Windows 7)

Escenario 8: especificar cmo se pueden recuperar las unidades protegidas por

BitLocker (Windows 7)

Escenario 9: configurar el mtodo y la intensidad de cifrado (Windows 7)

Escenario 10: configurar el campo de identificacin de BitLocker (Windows 7)

Escenario 11: recuperar datos protegidos con el Cifrado de unidad BitLocker

(Windows 7)

Escenario 12: desactivar Cifrado de unidad BitLocker (Windows 7)

Escenario 13: bloquear una unidad de datos con una tarjeta inteligente (Windows 7)

Escenario 14: usar un agente de recuperacin de datos para recuperar unidades

protegidas por BitLocker (Windows 7)

Escenario 15: usar el Visor de contraseas de recuperacin de Active Directory de

BitLocker para ver contraseas de recuperacin

Escenario 16: usar la herramienta de reparacin de BitLocker para recuperar una

unidad

Requisitos del Cifrado de unidad BitLocker

Los requisitos de hardware y software para BitLocker son los siguientes:

Un equipo que ejecute Windows 7 Enterprise, Windows 7 Ultimate o Windows

Server 2008 R2.
Nota
Windows Server 2008 R2 incluye el Cifrado de unidad BitLocker como caracterstica
opcional.

Un equipo que cumpla los requisitos mnimos de Windows 7 o Windows

Server 2008 R2.

Se recomienda disponer de un microchip de TMP, versin 1.2, activado para su uso

con BitLocker en unidades del sistema operativo para la validacin de componentes
de arranque iniciales y el almacenamiento de la clave maestra de BitLocker. Si el
equipo no tiene un TPM, es posible usar una unidad flash USB para almacenar la
clave de BitLocker.

Una BIOS compatible con Trusted Computing Group (TCG) para su uso con
BitLocker en las unidades del sistema operativo.

Una configuracin de BIOS para iniciar primero desde el disco duro, no desde la
unidad USB o de CD.
Nota
En cualquier escenario en el que se use una unidad flash USB para proporcionar una clave
de BitLocker (como una clave de inicio o de recuperacin), el BIOS debe admitir la lectura

de unidades flash USB en el inicio.

Problemas de seguridad
Segn fuentes de Microsoft, BitLocker no contiene incorporada una puerta trasera, no hay
forma de que la aplicacin tenga paso garantizado a los datos de las unidades del usuario.
La falta de una puerta trasera ha sido una preocupacin para el Ministerio del Interior del
Reino Unido, que intent entrar en conversaciones con Microsoft para conseguirla, aunque
no tuvo xito en tener un added. Aunque el algoritmo de cifrado AES utilizado en
BitLocker es de dominio pblico, su aplicacin real en BitLocker, as como otros
componentes del software, son de cdigo cerrado. El cdigo est disponible para los
controles, por los socios seleccionados de Microsoft y las empresas, sujetas a un acuerdo de
no divulgacin.
El "modo de funcionamiento transparente" y "modo de autenticacin de usuario" de
BitLocker utiliza el hardware TPM para detectar si hay cambios no autorizados en el
entorno previo al arranque, incluyendo la BIOS y MBR. Si se detectan cambios no
autorizados, las solicitudes de recuperacin de BitLocker clave en un dispositivo USB, o
una contrasea de recuperacin escrita. Cualquiera de estos secretos de cifrado se utilizan
para descifrar la clave maestra de volumen (VMK) y permitir que el proceso de arranque
para Continuo.
En febrero de 2008, un grupo de investigadores de seguridad public detalles de lo que se
denomina "ataque de arranque en fro" que permite que una mquina protegida por
BitLocker pueda verse comprometida si la misma esta encendida y con el disco montado.
El ataque consiste en recuperar la contrasea alojada en la memoria DRAM, para ello se
enfra el modulo DRAM, el cual aumenta el tiempo de retencin de los datos entre ciclo de
apagado - encendido. Luego, se reinicia el equipo y mediante un sistema operativo live, se
extrae la informacin retenido en el modulo DRAM, en la cual se aloja la clave usada para
desencriptar el disco.
El uso de un mdulo TPM por s solo no ofrece ninguna proteccin.

Novedades de auditora de seguridad de Windows

Se aplica a: Windows Server 2008 R2

Cules son los cambios principales?

Existen varias mejoras de auditora en Windows Server 2008 R2 y Windows 7 que
aumentan el nivel de detalle en los registros de auditoras de seguridad, adems de

simplificar la implementacin y administracin de las directivas de auditora. Estas mejoras

son:

Auditora de acceso a objetos global. En Windows Server 2008 R2 y

Windows 7, los administradores pueden definir las listas de control de
acceso del sistema (SACL) de todo el equipo, ya sea para el sistema de
archivos o el Registro. A continuacin, la SACL especificada se aplica
automticamente a cada objeto individual de ese tipo. Esto puede
resultar til para comprobar que la configuracin de todos los archivos,
las carpetas y los registros imprescindibles de un equipo est protegida
y para identificar el momento en que se presenta un problema en un
recurso del sistema.

Informe "Razn de acceso". Esta lista de entradas de control de

acceso (ACE) proporciona los privilegios en los que se bas la decisin de
permitir o denegar el acceso al objeto. Esto puede ser til para
documentar permisos, como pertenencias a grupos, que permiten o
impiden la repeticin de un evento de auditora particular.

Configuracin de directiva de auditora avanzada. Estas 53 nuevas

opciones se pueden usar en lugar de las nueve opciones de auditora
bsicas de Directivas locales\Directiva de auditora para permitir a
los administradores centrarse especficamente en los tipos de
actividades que deseen auditar y eliminar las actividades de auditora
innecesarias que pueden hacer que los registros de auditora sean
difciles de administrar y descifrar.

En las secciones siguientes se describen detalladamente estas mejoras.

Para qu sirven estas mejoras de auditora?

En Windows XP, los administradores tienen nueve categoras de eventos de auditora de
seguridad que pueden supervisar para determinar aciertos, errores, o tanto aciertos, como
errores. Estos eventos tienen un alcance bastante amplio y pueden desencadenarse con una
serie de acciones similares, que a su vez pueden generar un gran nmero de entradas en el
registro de eventos.
En Windows Vista y Windows Server 2008, la cantidad de eventos de auditora se ampli
de nueve a 53, y esto permite al administrador ser ms selectivo en la cantidad y en los
tipos de eventos que debe auditar. Sin embargo, a diferencia de los nueve eventos bsicos
de Windows XP, estos eventos de auditora nuevos no estn integrados con la directiva de
grupo y solamente pueden implementarse mediante scripts de inicio de sesin generados
por la herramienta de la lnea de comandos Auditpol.exe..
Las mejoras en las directivas de auditora en Windows Server 2008 R2 y Windows 7
permiten a los administradores vincular las reglas de negocio con las directivas de

auditora. Por ejemplo, aplicar una configuracin de directiva de auditora por dominio u
OU permitir a los administradores documentar el cumplimiento de las reglas, tales como:

Realizar el seguimiento de toda la actividad del administrador de grupo

en servidores con informacin financiera.

Realizar el seguimiento de todos los archivos a los que grupos definidos

de empleados tienen acceso.

Confirmar que se aplique la SACL correcta a cada archivo, carpeta y

clave de registro cuando se tiene acceso a ellos.