Alta seguridad con BitLocker

La tecnología de cifrado BitLocker en conjunción con un chip TPM le añade un plus de seguridad a nuestro equipo. Blinda todas las puertas de tu sistema operativo, incluso las traseras, poniendo en práctica el siguiente artículo

Juan Pablo Cruz Martín

Alta seguridad con BitLocker

17 junio 2008

Paso 1

Particiona el disco

La primera acción que debemos acometer es crear dos particiones del disco duro: una de 1,5 Gbytes, que será la del sistema, no estará cifrada y alojará los archivos y configuraciones de preinicio; y otra que será la que aloje el sistema operativo cifrado. Si tenemos Windows Vista instalado, habrá que ir al Administrador de discos y crear la partición si tenemos espacio libre o dividir la del sistema operativo en dos. Establecemos la partición como Activa, reiniciamos con el DVD de Vista y, después de seleccionar idioma y teclado, escogemos Reparar el equipo. Luego, elegimos la partición que contiene el sistema operativo y, en el menú que aparece, marcamos Reparación de inicio, aunque también podéis utilizar BitLocker Drive Preparation Tool, herramienta que nos facilita este proceso de partición.

Si no tuviéramos instalado Vista, en el último menú que se nos muestra seleccionamos Símbolo del sistema y tecleamos los siguientes comandos: diskpart, select disk 0, clean, create partition primary, assign letter=c (se pone la letra que queramos), shrink mínimum=1500, create partition primary, active, assign letter=e (u otra que deseemos), exit, format c: /y /q /fs:NTFS, format e: /y /q /fs:NTFS y exit. Por supuesto, siempre, después de escribir cada uno de los comandos, debemos pulsar Intro. A continuación, volvemos a la página inicial de instalación de Vista y especificamos Instalar ahora, cargándolo en el volumen C. También es posible utilizar el asistente de BitLocker para realizar las particiones y recibir ayuda, se halla en la ruta Panel de Control/BitLocker Encription.

Paso 2

Inicializa el TPM

Antes de inicializar el chip TPM, lo activaremos en la BIOS del PC directamente (es muy recomendable tenerla protegida por contraseña) o a través de las herramientas de modificación de la BIOS que nos ofrece el fabricante (recomendado). Hecho esto, vamos a Ejecutar, escribimos tpm.msc y, en Acciones, nos decidimos por Inicialización de TPM (aquí también podemos utilizar las herramientas de modificación del TPM del fabricante). El asistente que se lanza nos solicitará Crear la contraseña de propietario TPM; si TPM no estuviera activado, nos daría la posibilidad de Activar el hardware de seguridad del TPM. Pero, si no tenemos hardware compatible TPM, no podremos continuar en el asistente. Tendremos que reiniciar el ordenador y seguir las instrucciones de la BIOS para activar el TPM; además, nos mostrará un mensaje de aceptación para asegurarse que somos nosotros y no un virus el que está manipulando TPM.

Tras activarlo, tendremos que asignarle la contraseña de propietario para poder administrarlo (desactivar o borrar) y tener acceso a él. Así, iniciamos de nuevo el asistente de inicialización TPM si hemos reiniciado, o vamos a Crear la contraseña de propietario TPM si no lo hemos hecho. Entonces, seleccionamos Crear contraseña automáticamente (recomendado), guardamos la password en alguna ubicación segura mediante Guardar contraseña del cuadro de diálogo Guardar la contraseña de propietario TPM y el archivo se almacenará con un literal del tipo nombre_equipo.tpm. Es muy aconsejable que se guarde el archivo en algún medio extraíble y se imprima la copia de la contraseña en papel. Por último, hacemos clic en Inicializar y esperamos un poco hasta que se complete el proceso.

Paso 3

Configura características avanzadas

Antes de activar el cifrado hay que hacer unas modificaciones en la política de grupo de nuestro ordenador para acceder a todas las opciones de BitLocker. De nuevo, acudimos a la línea de comandos y escribimos gpedit.msc. En la consola, vamos a Configuración de equipo/Plantillas administrativas/Componentes de Windows/Cifrado de unidad BitLocker y habilitamos las siguientes políticas: Configuración del panel de control: configurar opciones de recuperación y Configuración del panel de control: habilitar opciones de inicio avanzadas. Refrescamos la política de nuestro ordenador volviendo a Ejecutar y anotando cmd; en la consola, ejecutamos gpupdate/force para confirmar que no hay ningún error.

Paso 4

Activa el cifrado BitLocker

Iniciamos sesión como Administrador y, en Panel de Control/Seguridad, nos decantamos por Cifrado de Unidad BitLocker (cuando nos salga el mensaje de Control de Cuentas de Usuario, hemos de Continuar), donde seleccionamos Activar BitLocker. Para el modo Solo TPM, escogemos Usar BitLocker sin claves adicionales, después, seguimos las instrucciones para Crear contraseña de recuperación y concretamos cómo guardarla: en una unidad USB, en una carpeta compartida, mostrarla o imprimirla. Antes de iniciar el cifrado, se nos pregunta si deseamos hacer un chequeo del hardware de disco para evitar errores en zonas que puedan contener claves de cifrado. Finalmente, en Cifrar el volumen de disco seleccionado, elegimos Cifrar. El proceso de encriptación dura aproximadamente un minuto por 1 Gbyte.

Para el modo Contraseña de inicio (PIN), en la pantalla Activar BitLocker, elegimos Requerir un NIP en cada inicio e introducimos el PIN que nos parezca oportuno marcando Establecer PIN (podemos cambiarlo tantas veces como queramos); los demás pasos son los mismos que acabamos de ver. Para el modo Requerir llave de inicio USB en cada inicio, en la pantalla Activar BitLocker, decidimos Guardar una clave de inicio en una unidad USB, introducimos el dispositivo USB y pinchamos en Guardar, los demás pasos son los mismos que vimos anteriormente.

Obviamente, es factible cifrar las demás unidades que tengamos en nuestro ordenador, sin embargo, antes de llevarlo a cabo hay que cifrar primero la del sistema operativo.

Paso 5

Utiliza las opciones avanzadas

Existe un script de línea de comandos que nos permite realizar más acciones sobre BitLocker que las que aparecen en la interfaz gráfica. Para utilizarlo, accedemos a Programas/Accesorios y, en Símbolo del sistema, hacemos clic con el botón derecho del ratón para escoger Ejecutar como administrador. En la consola, ejecutamos cdwindowssystem32. El script se encuentra aquí alojado y se ejecuta como 0 más las opciones correspondientes. Con este script podremos cambiar, borrar y añadir tantos métodos de autenticación como queramos, así como habilitar-deshabilitar BitLocker, cifrar-descifrar volúmenes y gestionar claves de recuperación.

Paso 6

Recupera una unidad cifrada

Si hacemos cualquiera de los siguientes cambios en el ordenador se producirá un fallo de integridad del sistema evitando que TPM libere la clave de BitLocker; de esta forma, el disco se pone en modo de restauración. Éstas son las acciones a las que nos referimos: mover el disco duro encriptado a otro ordenador, instalar una nueva placa base con un nuevo chip TPM, deshabilitar o borrar la TPM, actualizar la BIOS, olvidar el PIN, perder la llave de autenticación, cambiar el MBR al instalar otro sistema operativo, hacer nuevas o modificar particiones en el disco duro, o efectuar cambios en el sector de arranque, administrador de arranque o componentes y configuraciones de pre-inicio. También se incluyen el debug de kernel del sistema, la actualización del firmware del ordenador o del TPM, la ejecución de aplicaciones no Microsoft que actualizan componentes de arranque... Eso sí, las actualizaciones de Windows Update no ponen al disco en modo restauración.

Se puede evitar este comportamiento deshabilitando BitLocker antes de cada cambio, no obstante, hay que distinguir entre deshabilitar y descifrar. Esta última opción descifra el volumen del sistema operativo y anula la protección ofrecida por BitLocker. Es la idónea para cambiar la versión del sistema operativo. Por su parte, al deshabilitar se mantiene el volumen encriptado, pero la VMK (Volume Master Key) se cifra con una clave en texto plano en el propio volumen. Así, podremos incluso cambiar el disco duro por otro, evitando descifrar y cifrar el volumen una y otra vez. Al habilitar de nuevo BitLocker, se vuelve a cifrar la VMK con la SRK (Storage Root Key) contemplando la nueva configuración y la clave en texto plano se borra.

Si no deshabilitamos BitLocker, una vez que arranquemos el ordenador, nuestro sistema se pondrá en modo recuperación y la consola de recuperación de Cifrado de BitLocker nos pedirá primeramente que introduzcamos la llave USB que contiene la clave de recuperación. En el caso de que no la tengamos, nos reclamará la contraseña de recuperación. En este punto, es importante señalar que hay que introducir los números con las teclas de función, ya que son caracteres que están presentes en todos los entornos de prearranque del sistema operativo y en todos los lenguajes.

Paso 7

Quita la configuración de BitLocker

A partir de aquí el ordenador arrancará normalmente y podremos deshabilitar o quitar la protección BitLocker o volver a configurarlo para crear las claves de inicio. Para llevar a cabo todo ello, comenzamos acudiendo al panel de control de BitLocker y marcando Desactivar Cifrado de unidad BitLocker. Aquí tendremos la posibilidad de elegir entre Deshabilitar Cifrado de unidad BitLocker o Descifrar el volumen. Si nos decantamos por esta segunda alternativa, en la consola de tpm.msc podemos hacer un borrado de TPM y desactivarlo en la BIOS para dejar el ordenador sin ninguna característica de seguridad activada.

Paso 8

Conclusión

Con todo esto ya estáis preparados para tener más seguro vuestro equipo. Es una buena opción, sobre todo en portátiles, que son más vulnerables a pérdidas y descuidos. Sin embargo, también se puede implementar en sobremesas y servidores. Otra ventaja es que ahora ya podremos reciclar nuestros ordenadores viejos sin abordar la tediosa tarea de borrar toda la información de los discos, máxime teniendo en cuenta que había que hacerlo en formato seguro (unas 10 pasadas de borrado por cada sector), para que no pudiera ser extraída por utilidades de recuperación.

Para administradores de sistemas, apuntar que con el Directorio Activo se pueden administrar y almacenar las claves de recuperación y el hash de la contraseña del propietario de las TPM de vuestros usuarios. Asimismo, es factible utilizar las herramientas de recuperación y lectura de claves BitLocker Recovery Password Viewer for Active Directory, para ver y localizar claves de recuperación; y BitLocker Repair Tool, para descifrar datos de un disco dañado. Con todo ello, nos será más fácil realizar despliegues de imágenes con BitLocker activado.

Obtén BitLocker Drive Preparation Tool

Si tenemos instalado Windows Vista Ultimate, tendremos que obtener esta herramienta a través de Windows Update. Pinchando en Inicio, vamos Windows Update y seleccionamos Buscar Actualizaciones/Ver extras disponibles. Activamos la opción de Mejoras para BitLocker y EFS e instalamos. Si nuestro sistema es Windows Vista Enterprise deberemos contactar con el servicio de soporte técnico de Microsoft para que nos proporcione esta herramienta. Más información en http://support.microsoft.com/?LN=es-es&x=14&y=18.

Configuración hardware y software utilizada

Hemos empleado para nuestras pruebas un portátil de la marca Toshiba modelo Tecra M9, con tecnología Centrino y las siguientes características: procesador Intel Core2 Duo T7500 a 2,20 GHz, 800 MHz de bus frontal y 4 Mbytes de memoria caché de nivel 2,2 Gbytes de memoria DDR a 667 MHz y 160 Gbytes de disco duro SATA a 5.400 rpm. Luce una pantalla TFT de 14 pulgadas WXGA, con tarjeta gráfica NVIDIA Quadro NVS 130M y soporte para la tecnología TurboCache. Como sistemas inalámbricos, implementa Bluetooth y WLAN.

En él, hemos instalado como sistema operativo un Windows Vista Enterprise con Service Pack 1 para aprovechar las nuevas características, como, por ejemplo, la autenticación conjunta de PIN y clave de inicio USB, la encriptación de otros volúmenes además de aquel donde está el sistema operativo…