Seguridad de Windows 7: Consejos y trucos para ayudar a proteger su SO
Orin Thomas
Existen varios pasos obvios y básicos para proteger un equipo: mantenerse al día con las últimas actualizaciones de sistema operativo y de aplicaciones, asegurarse de que instaló los últimos software anti spyware y antivirus, y usar contraseñas complejas, renovándolas regularmente. En este artículo, cubriré algunos consejos de seguridad que trascienden estas estrategias básicas y le ayudarán a usar de mejor manera las características de seguridad de Windows 7.
Preparación para BitLocker
Una de las mejoras de seguridad más notables de Windows 7 es BitLocker, la tecnología para cifrado de disco duro y protección de integridad de entorno de arranque que debutó en Windows Vista. En Windows 7, las ediciones Enterprise y Ultimate incluyen BitLocker. Esta tecnología asegura que los usuarios no autorizados no puedan recuperar datos de las unidades de disco duro de equipos portátiles robados o perdidos, siempre y cuando el equipo haya estado apagado cuando este se extravió.
Sin embargo, un desafío que presenta BitLocker es recuperar datos después de una falla de hardware que bloquea volúmenes protegidos. De esta manera, aunque BitLocker ofrezca excelente protección, muchos profesionales de TI lo consideran problemático, puesto que tienden a encontrarlo sólo cuando deben realizar operaciones de recuperación.
La recuperación de datos requiere tener acceso a las claves o contraseñas de BitLocker o a las contraseñas asociadas a los volúmenes bloqueados. Si bien es relativamente fácil seguir estas para un número reducido de equipos, hacerlo con centenares es mucho más difícil.
La Directiva de grupo ayuda a los profesionales de TI a configurar BitLocker de manera que sólo se active cuando las claves de recuperación y las contraseñas se hayan respaldado correctamente en Active Directory. Extraer estos datos de recuperación se ha simplificado enormemente al mejorar la consola de usuarios y equipos de Active Directory en Windows Server 2008 R2 y las Herramientas de administración de servidor remoto para equipos que ejecutan Windows 7. Ubicar contraseñas y claves de recuperación es mucho más sencillo que con las herramientas de Windows Vista.
En lugar de tener que descargar, instalar y configurar herramientas especiales, puede obtener acceso a la recuperación de claves y contraseñas de BitLocker desde la ficha Recuperación de BitLocker. Verá esto al visualizar las propiedades de la cuenta del equipo en usuarios y equipos de Active Directory. Asegurarse de que las claves y contraseñas de BitLocker estén respaldadas es un proceso que consta de tres pasos:
1. En Directivas de grupo para las cuentas del equipo del sistema que BitLocker va a proteger, navegue a Configuración del equipo | Configuración de Windows | Plantillas administrativas | Componentes de Windows | Cifrado de unidad de BitLocker.
2. Ahora, si el equipo sólo tiene una unidad de almacenamiento, navegue al nodo Unidades de sistema operativo y edite la directiva Elija cómo se pueden recuperar las unidades del sistema operativo protegidas por BitLocker. Si la máquina sólo tiene más de una unidad de almacenamiento, debe ir también al nodo Unidades de datos fijas y editar la directiva Elija cómo se pueden recuperar las unidades de datos fijas protegidas por BitLocker. Observe que aunque pueda definir las configuraciones de manera idéntica, las políticas se aplicarán a unidades diferentes.
3. Para configurar BitLocker de manera que las contraseñas y claves estén respaldadas en Active Directory cuando se active la protección BitLocker, asegúrese de habilitar la siguiente configuración:
Guardar la información de recuperación de BitLocker en AD DS para unidades de SO (o unidades de datos fijas, si es adecuado)
No habilitar BitLocker hasta que la recuperación de información esté almacenada en AD DS para unidades de SO (o unidades de datos fijas, si es adecuado)
Se hará una copia de seguridad de las claves y las contraseñas de los volúmenes protegidos sólo después de que se aplique la directiva. Los volúmenes configurados para protección de BitLocker previamente a la implementación de la directiva no almacenarán sus claves y contraseñas automáticamente en Active Directory. Tendrá que deshabilitar y volver a habilitar BitLocker en esos equipos para asegurarse de que la información de recuperación llegue a la base de datos de AD DS.
Configurar un agente de recuperación de datos
Existe otra opción disponible si necesita recuperar volúmenes protegidos de BitLocker sin escribir contraseñas o PIN para una cuenta de equipo particular: un agente de recuperación de datos (DRA). Este es un tipo de certificado especial asociado a una cuenta de usuario que se puede usar para recuperar datos encriptados.
Los agentes de recuperación de datos de BitLocker se configuran editando la directiva de grupo y especificando un certificado DRA por medio del asistente para agregar un agente de recuperación de datos, que analizaremos en seguida. Sin embargo, para usar el asistente, debe haber un certificado DRA disponible en un sistema de archivos accesible o que esté publicado en Active Directory. Los equipos que hospedan la función Servicios de certificado de Active Directory pueden emitir los certificados.
Cuando necesite recuperar datos, una cuenta de usuario que tenga el certificado DRA instalado localmente permitirá desbloquear el volumen de BitLocker protegido. Podrá obtener acceso al asistente para agregar un agente de recuperación de datos al navegar al nodo Configuración del equipo | Configuración de Windows | Configuración de seguridad | Directivas públicas, al hacer clic con el botón secundario en Cifrado de unidad de BitLocker y al seleccionar la opción Agregar agente de recuperación de datos.
Para usar BitLocker con DRA, debe también seleccionar la casilla de verificación Habilitar agente de recuperación de datos en la directiva Elija cómo se pueden recuperar las unidades del sistema operativo protegidas por BitLocker (y también en la directiva de unidades de datos fijas, si es apropiado). Puede usar tanto DRA como las copias de seguridad de contraseña o clave de Active Directory para la recuperación de un volumen protegido por BitLocker.
DRA funcionará sólo en volúmenes protegidos por BitLocker donde se habilitó BitLocker después de que se aplicó la directiva. La ventaja de este método frente a la recuperación de contraseña o clave es que DRA funciona como una clave maestra de BitLocker. Esto permite recuperar cualquier volumen cifrado de acuerdo a la directiva, en lugar de tener que ubicar una contraseña o clave única para cada volumen a recuperar.
BitLocker To Go
Muchas de las unidades de almacenamiento extraíbles actuales tienen una capacidad de almacenamiento promedio cercana a la que tenían la mayor parte de los recursos compartidos a nivel de departamento pequeño o mediano de hace diez años atrás. Esto presenta varios desafíos.
Primero, cuando se extravía una unidad de almacenamiento extraíble, puede ponerse en peligro una cantidad significativa de datos de la organización. Además, probablemente un problema más importante es que mientras los usuarios informan rápidamente al departamento de TI del extravío de un equipo portátil, no sienten la misma urgencia cuando se extravía una unidad de almacenamiento USB que puede contener gigabytes enteros de datos de la organización.
BitLocker To Go, una nueva característica que se presenta con Windows 7, le permite proteger dispositivos de almacenamiento USB de una manera bastante similar a la que BitLocker ofrece a sistemas operativos y unidades fijas. A través de directivas de grupo, se pueden restringir los equipos de una organización para que sólo escriban datos en dispositivos de almacenamiento extraíbles protegidos por BitLocker To Go. Esto aumenta la seguridad al asegurarse de que, si un usuario llega a perder un dispositivo extraíble, al menos los datos que se encuentren en él estarán cifrados y terceros sin autorización no podrán acceder a ellos con facilidad.
Las directivas de BitLocker To Go pertinentes se encuentran en el nodo Configuración del equipo | Plantillas administrativas | Componentes de Windows | Cifrado de unidad de BitLocker | Unidades de datos extraíbles de un objeto de directiva de grupo. Estas directivas incluyen:
Controlar uso de BitLocker en unidades extraíbles. Esto permite configurar cómo se usa BitLocker en unidades extraíbles, lo que incluye si usuarios corrientes pueden habilitar o deshabilitar la función en dispositivos extraíbles. Por ejemplo, puede que quiera permitir que usuarios específicos almacenen datos en unidades extraíbles que ya están configuradas con capacidad de protección, pero bloquearles la capacidad de configurar sus propios dispositivos con esta capacidad.
Denegar acceso de escritura a dispositivos extraíbles no protegidos por BitLocker. Esta directiva permite restringir a los usuarios de manera que sólo puedan escribir datos en dispositivos protegidos por cifrado BitLocker To Go. Al habilitar esta directiva, una persona no autorizada no podrá obtener con facilidad acceso a datos escritos en un dispositivo extraíble, puesto que estos estarán protegidos por el cifrado.
Elija cómo las unidades removibles protegidas por BitLocker se pueden recuperar. Esta directiva permite configurar un agente de recuperación de datos o guardar la información de recuperación de BitLocker en Active Directory. Esta directiva es importante, puesto que si elige implementar BitLocker To Go para proteger datos en dispositivos extraíbles, debe contar con una estrategia para recuperar los datos para el caso inevitable en el que un usuario olvide su contraseña de BitLocker To Go.
Una vez que haya configurado BitLocker To Go en una unidad de almacenamiento extraíble, un usuario debe escribir una contraseña para desbloquear el dispositivo en otro equipo. Al escribir la contraseña, el usuario tendrá acceso de lectura y escritura al dispositivo en un equipo que ejecute las versiones Enterprise o Ultimate de Windows 7. También puede configurar BitLocker To Go al permitir al usuario acceso de sólo lectura a los datos protegidos de BitLocker To Go en equipos que ejecuten otras versiones de los sistemas operativos de Microsoft.
Si su organización va a usar BitLocker To Go, necesitará alguna clase de estrategia de recuperación de datos en caso de pérdida u olvido de contraseñas. Configurar la recuperación de BitLocker To Go es parecido a la configuración de la recuperación de BitLocker. En este caso, tendrá que establecer la directiva Configuración del equipo | Configuración de Windows | Plantillas administrativas | Componentes de Windows | Cifrado de unidad de BitLocker | Unidades de datos extraíbles | Elija cómo se pueden recuperar unidades protegidas por BitLocker.
Puede realizar una copia de seguridad de las contraseñas de BitLocker To Go para Active Directory, donde estarán disponibles para administradores que tengan acceso a la consola Usuarios y equipos de Active Directory y a la cuenta del equipo donde se protegió al dispositivo. También puede configurar una directiva de modo que los datos estén protegidos con DRA, lo que permite a un usuario al que se le asigne el certificado de DRA recuperar datos de las unidades sin necesitar la recuperación de contraseñas individuales.
Configurar AppLocker
Ninguna utilidad anti malware puede detener a todos los programas maliciosos. AppLocker agrega otra capa de protección. Esta tecnología permite crear una lista de aplicaciones conocidas como seguras y limitar la ejecución de aplicaciones a aquellas que estén en la lista. Si bien este tipo de enfoque para proteger un equipo puede ser incómodo para alguien que ejecuta software nuevo e inusual con regularidad, la mayoría de las organizaciones cuenta con un entorno de sistema estándar, donde los cambios a las aplicaciones ocurren más gradualmente, lo que hace que permitir la ejecución de sólo aplicaciones autorizadas resulte más práctico.
Puede extender el conjunto de reglas de autorización de AppLocker no solo a archivos ejecutables, sino también a scripts, DLL y archivos en formato MSI. A no ser que el ejecutable, script, DLL o instalador esté autorizado por una regla, no se ejecutará.
AppLocker facilita la creación de las listas de reglas para aplicaciones autorizadas con un asistente que automatiza el proceso. Esta es una de las mejoras significativas de AppLocker en comparación al software de restricción de directivas, una tecnología de versiones previas de Windows que tiene una funcionalidad principal similar.
AppLocker también puede usar reglas que identifiquen archivos por medio de la firma digital del creador del publicador del archivo, de manera que pueda crear reglas que incluyan las versiones actuales y futuras del archivo. Esto le ahorra a los administradores la tarea de actualizar las reglas actuales después de aplicar actualizaciones de software. El archivo ejecutable, script, instalador o DLL modificado seguirá cubierto por la regla original. Esto no era posible para directivas de restricción de software, el que obligaba a los administradores a actualizar las reglas al cambiar la configuración del software.
Para crear un conjunto de referencia de reglas de directiva de AppLocker para aplicar a otros equipos, siga los pasos a continuación:
1. Configure un equipo de referencia que ejecute Windows 7 con todas las aplicaciones que desee ejecutar en su entorno.
2 Inicie sesión en el equipo con una cuenta de usuario que tenga privilegios de administrador.
3. Inicie el editor de directivas de grupo local ejecutando Gpedit.msc desde el cuadro de texto Buscar programas y archivos.
4. Navegue a Configuración del equipo | Configuración de Windows | Configuración de seguridad | Directivas de control de aplicación | AppLocker | Reglas ejecutables del GPO local. Haga clic con el botón secundario en el nodo Reglas ejecutables y luego haga clic en generar nuevas reglas automáticamente. Esto iniciará el asistente de generación automática de reglas de ejecutables.
5. En el cuadro de texto etiquetado Carpeta que contiene los archivos por analizar, escriba c:\. En el cuadro de texto etiquetado Nombre para identificar este conjunto de reglas, escriba Todos los ejecutables y luego haga clic en Siguiente.
6 En la página Preferencias de reglas, seleccione Crear reglas de publicador para archivos con firma digital, y en caso de que un archivo no esté firmado, seleccione también Hash del archivo: las reglas se crearán usando el hash del archivo. Asegúrese de que la opción Reducir el número de reglas al agrupar archivos similares no esté seleccionada y luego haga clic en Siguiente.
7. La generación de reglas tomará algo de tiempo. Cuando estas se generen, haga clic en Crear. Cuando se le pregunte si desea crear las reglas predeterminadas, haga clic en No. No necesita crearlas: al crear reglas para todos los ejecutables en el equipo de referencia, habrá creado el equivalente de unas reglas predeterminadas más integral.
8. Si el equipo posee aplicaciones almacenadas en múltiples volúmenes, repita los pasos 5 a 7, escriba la letra de unidad apropiada al ejecutar el asistente de generación automática de reglas de ejecutable.
9. Una vez que se generen las reglas, puede exportar la lista de aplicaciones permitidas en formato XML al hacer clic con el botón secundario en el nodo AppLocker y luego al hacer clic en Exportar directiva. También puede importar estas reglas a otros objetos de directiva de grupo, tal como aquellos que se aplican a equipos portátiles de su organización. Al aplicar estas reglas a través de la directiva, podrá limitar la ejecución de aplicaciones de manera que se permita sólo aquellas presentes en el equipo de referencia.
10. Al configurar AppLocker, debe asegurarse de que el servicio Identidad de aplicación esté habilitado en la consola de servicios y que las reglas ejecutables se apliquen por medio de la directiva. Si se deshabilita este servicio, no se aplicarán las directivas de AppLocker. Aunque puede configurar el estado de inicio del servicio en la directiva de grupo, debe establecer un límite de cuáles usuarios tienen acceso al administrador local, para evitar que eludan AppLocker. Se puede habilitar la aplicación de reglas de ejecutable haciendo clic con el botón secundario en el nodo Configuración del equipo | Configuración de seguridad | Directivas de control de aplicaciones | AppLocker y luego haciendo clic en Directivas. Habilite la opción Configurado en Reglas ejecutables y luego asegúrese de que Aplicar reglas esté seleccionado.
Espero que esto haya sido de ayuda para aprender cómo implementar y recuperar BitLocker, como usar BitLocker To Go y cómo configurar directivas de AppLocker. Usar estas tecnologías junto a tareas normales de administración doméstica (tales como asegurar que las actualizaciones, el software antivirus y los programas anti spyware de los equipos estén al día) mejorarán la seguridad de los equipos en las organizaciones que ejecutan Windows 7.
Orin Thomas* (orin.thomas@gmail.com) es un administrador de sistemas y MVP de seguridad del cliente de Windows ubicado en Melbourne, Australia. Ha escrito y sido coautor de más de una docena de libros de texto para Microsoft Press*.