• Artículo

Seguridad

Avances en el Cifrado de unidad BitLocker

Byron Hynes

 

De un vistazo:

  • Mejoras en BitLocker
  • Obtener e instalar BitLocker
  • Uso de BitLocker en un servidor
  • Consideraciones para la protección completa de datos

En el número del año pasado de TechNet Magazine acerca de la seguridad, presenté algunas de las características de Cifrado de unidad BitLocker de Windows para mostrar cómo se implementó en la versión inicial de Windows Vista. Ahora, con el lanzamiento de Service Pack 1 para

Windows Vista® y el nuevo sistema operativo Windows Server ® 2008, ha llegado el momento de volver a visitar BitLocker®.

En este artículo trataré algunos de los cambios incluidos en la última versión, ofreceré información general acerca de la instalación y el uso de BitLocker en un servidor, y describiré algunas consideraciones que han surgido recientemente y que hay que tener en cuenta. (A propósito, para leer el artículo del año pasado, "Claves para la protección de datos con Cifrado de unidad BitLocker", vaya a technet.microsoft.com/magazine/cc138009.aspx.)

Novedades

Los cambios incorporados en esta versión de BitLocker proporcionan una flexibilidad nueva sin modificar ninguna operación básica. Los cambios que repasaré son la compatibilidad con volúmenes de datos; la autenticación de tres factores para el acceso al equipo; compatibilidad con Unified Extensible Firmware Interface (UEFI), el nuevo firmware estándar del sector para sistemas de 64 bits; protección mejorada contra ataques de cifrado en los metadatos del volumen; y el uso aumentado del Módulo de plataforma segura (TPM).

Volúmenes de datos

Cuando se lanzó Windows Vista inicialmente, el panel de control de BitLocker sólo permitía activar el cifrado para el volumen del sistema operativo de Windows® (generalmente la unidad C:). Para muchos consumidores, esto era suficiente, ya que los equipos domésticos suelen configurarse con todos los datos y programas del usuario almacenados en el mismo volumen que el sistema operativo. No obstante, en las empresas y, especialmente, en los servidores, este no suele ser el caso. Como resultado, una de las solicitudes más comunes que recibimos de los clientes era la capacidad de cifrar volúmenes de datos, es decir, volúmenes distintos del volumen del sistema operativo instalados en el equipo (tenga en cuenta que BitLocker no está diseñado para cifrar medios extraíbles).

Como se puede observar en la figura 1, hay tres volúmenes que se pueden usar en este equipo. (En realidad, hay cuatro si se incluye la pequeña partición activa que se usa para el inicio.) Mi sistema operativo está instalado en la unidad C: (en realidad, esto se puede ver gracias al marcador de Windows del icono). También hay dos volúmenes de datos, E: y P:. El volumen P: ya se cifró con BitLocker y ahora está bloqueado. El volumen E: aún no está cifrado. En Windows Vista SP1 y Windows Server 2008, se pueden cifrar y desbloquear estos volúmenes de datos desde el applet del panel de control de BitLocker.

Figura 1 La interfaz de Bitlocker

Figura 1** La interfaz de Bitlocker **(Hacer clic en la imagen para ampliarla)

Si el volumen del sistema operativo está cifrado con BitLocker, el comportamiento predeterminado es que los volúmenes de datos cifrados se desbloquean cada vez que se desbloquee el volumen del sistema operativo. Si usa el panel de control para desbloquear un volumen de datos, puede ver esta opción presentada como una casilla, tal como se indica en la figura 2.

Figura 2 Guardado de claves para el desbloqueo automático

Figura 2** Guardado de claves para el desbloqueo automático **(Hacer clic en la imagen para ampliarla)

Para activar o desactivar el desbloqueo automático de un volumen de datos, use la herramienta de línea de comandos manage-bde.wsf. manage-bde.wsf es un script muy eficaz que se incluye con Windows y que usa los proveedores subyacentes de Instrumental de administración de Windows (WMI) instalados con BitLocker.

Por ejemplo, para marcar el volumen de datos P: de forma que se deba desbloquear manualmente, use el siguiente comando:

manage-bde.wsf –autounlock –disable P:

Para volver a activar el desbloqueo automático para el volumen P:, use:

manage-bde.wsf –autounlock –enable P:

El panel de control de BitLocker no expone todo que se puede hacer con BitLocker y los volúmenes de datos, por lo que debería usar la opción -? para explorar los comandos manage-bde.wsf. La sintaxis de manage-bde.wsf también se incluye en la Guía de diseño de cifrado de unidad BitLocker de Windows y la Guía de implementación de Windows BitLocker disponibles en el Centro de descarga de Microsoft en go.microsoft.com/fwlink/?LinkId=115215.

TPM+USB+PIN

Los clientes también querían poder usar factores de autenticación adicionales con BitLocker. BitLocker usa el chip TPM del equipo para comprobar la integridad de la plataforma; es decir, para comprobar que ni se han alterado ni dañado los componentes de inicio iniciales. Sin embargo, desde el lanzamiento de Windows Vista, puede que también necesite un código PIN o la presencia de una unidad USB que contenga una clave creada al habilitar BitLocker.

Con Windows Server 2008 y Windows Vista SP1, ahora puede combinar los tres métodos. El TPM comprueba la integridad de la plataforma, la clave USB representa "algo que tiene" y el código PIN representa "algo que sabe". Esta configuración le ofrece una protección muy eficaz para impedir que los usuarios no autorizados puedan iniciar el equipo y desbloquear unidades de disco protegidas por BitLocker.

No obstante, al igual que ocurre con otros muchos aspectos relacionados con la seguridad, esto representa una contrapartida. Evidentemente, al configurar BitLocker de esta forma, un equipo no puede reiniciarse de forma automática. En el caso de un servidor, por ejemplo, debe decidir qué es más importante: un reinicio perfecto o niveles más altos de protección.

Compatibilidad UEFI

Con Windows Server 2008 y Windows Vista SP1, también se agregó compatibilidad para equipos con Unified Extensible Firmware Interface (UEFI). UEFI es una especificación que representa una modernización del BIOS tradicional que usa la mayoría de los equipos al iniciar. Para obtener más información acerca la especificación UEFI, vaya a www.uefi.org.

Mayor protección

Cuando BitLocker detecta que se ha modificado el sistema, o bien si un código PIN o tecla USB obligatorios no están disponibles al iniciar, BitLocker entra en modo de recuperación. En este modo, los volúmenes habilitados con BitLocker permanecen bloqueados y el usuario recibe un cuadro de diálogo de texto denominado Consola de recuperación.

Para desbloquear la unidad, el usuario debe especificar una contraseña de recuperación (un número de 48 dígitos) desde el teclado o desde una unidad flash USB. (Cuando se almacena en una unidad flash USB, la contraseña a veces se denomina clave de recuperación, porque tiene un formato binario en lugar de un formato de texto).

BitLocker usa la contraseña de recuperación para descifrar las claves almacenadas en los metadatos del volumen, es decir, la clave maestra del volumen (VMK) y, a continuación, la clave de cifrado de volumen completo (FVEK), para desbloquear la unidad. Para que la recuperación se realice correctamente, debe estar disponible una copia de la contraseña de recuperación.

Por este motivo, además del almacenamiento por parte del usuario (por ejemplo, una unidad flash USB), también es recomendable almacenar la contraseña de recuperación de forma centralizada. El sistema operativo incluye funcionalidad para almacenar contraseñas de recuperación en los servicios de dominio de Active Directory® (ADDS).

Las contraseñas almacenadas en los metadatos del volumen, como, por ejemplo, la VMK, se cifran y la integridad de todos los metadatos del volumen se protege mediante cifrado. Si BitLocker detecta que los metadatos del volumen han sido alterados, se negará a usarlos y no desbloqueará ninguno de los volúmenes protegidos. Tenga en cuenta que sólo con la contraseña de recuperación no se desbloqueará una unidad en este estado.

Es importante enfatizar que esta situación sólo se produce con un ataque deliberado contra la seguridad del equipo. Si sucede, es muy probable que el equipo ya se encuentre en manos de un usuario malintencionado y fuera de su control. Esto no se producirá a partir de un simple cambio imprevisto en la plataforma ni si se olvida el código PIN.

Para desbloquear el volumen, necesitará los tres elementos siguientes:

  • La contraseña de recuperación (como texto que se debe especificar en una unidad flash USB).
  • El paquete de claves binarias que incluya las versiones cifradas de la FVEK y la VMK.
  • La herramienta de reparación de BitLocker.

En resumen, deberá asegurarse de que la empresa siempre tiene acceso a todos estos elementos.

Se puede crear una copia de seguridad de la contraseña de recuperación de forma manual o automática. Es recomendable usar la configuración de directiva de grupo para realizar copias de seguridad de la contraseña de recuperación de forma automática en los servicios de dominio de Active Directory.

Al configurar esta opción, tal y como se muestra en figura 3, incluya la opción para realizar copias de seguridad del paquete de claves binarias. El paquete de claves binarias incluye versiones cifradas de la VMK y la FVEK, lo que permite usar la herramienta de reparación de BitLocker, si fuera necesario.

Figura 3 Configuración de la directiva de grupo para incluir paquetes de claves en la información de recuperación

Figura 3** Configuración de la directiva de grupo para incluir paquetes de claves en la información de recuperación **(Hacer clic en la imagen para ampliarla)

La herramienta de reparación de BitLocker está diseñada para ayudar a recuperar los datos de discos dañados con BitLocker habilitado. Tenga en cuenta que se trata de una herramienta avanzada, destinada para su uso por parte de administradores experimentados. Para obtener más información acerca de la herramienta de reparación de BitLocker, lea el artículo de Microsoft Knowledge Base en support.microsoft.com/kb/928201, o consulte mi webcast acerca de Microsoft BitLocker en la empresa: Herramientas de BitLocker para facilitar la vida (que incluye una demostración en directo), en go.microsoft.com/fwlink/?LinkId=114985.

Ahora es un buen momento para indicar que BitLocker no reemplaza la necesidad de realizar copias de seguridad de los datos. Si se daña el disco o éste ha recibido un ataque deliberado, no hay garantía de que la herramienta de reparación de BitLocker pueda recuperar ni siquiera parte de los datos.

Uso más amplio de TPM

Técnicamente, no supone un cambio de BitLocker, pero resulta suficientemente interesante como para mencionarlo. Antes de SP1, la única parte del sistema operativo de Windows que usaba TPM era BitLocker, pero ahora también hay otras funciones que usan TPM. En primer lugar, cuando Windows detecta que hay disponible un TPM, lo usa como fuente de entropía aumentada al generar números aleatorios. Esto mejora la calidad de todos los tipos de cifrado (y puede, incluso, ayudar también al rendimiento de los juegos).

No obstante, esto también significa que no todos los eventos relacionados con el TPM que aparecen en el visor de eventos tienen que estar relacionados con BitLocker necesariamente. Como profesional de la TI, quizás desee saber qué otros componentes del sistema (y probablemente software de otros proveedores) pueden hacer uso del TPM y, por lo tanto, provocará el registro de eventos.

Cambios en BitLocker en Windows Server 2008

Debido al código base compartido entre Windows Vista y Windows Server 2008, los cambios en BitLocker incluidos en SP1 forman parte de Windows Server 2008, pero, ¿por qué BitLocker es importante en un servidor? Después de todo, por su diseño, BitLocker protege un equipo contra ataques sin conexión. Es decir, BitLocker no ofrece protección a un sistema en ejecución y, generalmente, se espera que los servidores estén en ejecución de forma permanente.

Resulta que hay situaciones en las que un servidor, o un disco duro de un servidor, podría estar expuesto a un ataque sin conexión. Incluso si esto nunca suceda, BitLocker puede ayudar significativamente a la hora de retirar de servicio un servidor o un disco duro, tal y como verá más adelante. En primer lugar, veamos cómo instalar y ejecutar BitLocker en un servidor.

Obtener e instalar BitLocker

BitLocker se incluye en todas las ediciones de Windows Server 2008, pero es un componente o característica opcional, que se instala desde el administrador de servidores o la línea de comandos. BitLocker se implementa, en parte, como un controlador de filtros de NTFS. La instalación de este controlador de filtros necesita que se reinicie del equipo, por lo que deberá saber que la activación de BitLocker en un servidor necesitará un reinicio. Asimismo, al igual que ocurre con Windows Vista, BitLocker necesita una configuración de carga dividida, en la que la partición activa que se usa para iniciar el equipo se queda sin cifrar. La herramienta de preparación de unidad BitLocker está disponible para ayudar a configurar correctamente los discos duros y hacer que sean compatibles con BitLocker si el servidor no está preconfigurado así del fabricante. Sin embargo, si prefiere usar particiones de unidades de disco, puede configurar los discos duros manualmente.

Para instalar BitLocker en Windows Server 2008, puede usar la interfaz gráfica del administrador de servidores para seleccionar BitLocker de la lista de características, tal como se muestra en la figura 4. Asimismo, puede usar la interfaz de línea de comandos del administrador de servidores mediante el siguiente comando:

Figura 4 Selección de BitLocker en el administrador de servidores

Figura 4** Selección de BitLocker en el administrador de servidores **(Hacer clic en la imagen para ampliarla)

ServerManagerCmd –install BitLocker –restart

Al usar el administrador de servidores, éste instala BitLocker y las herramientas de administración correspondientes. También puede instalar los componentes de administración sin tener que instalar BitLocker. Esto evita la necesidad de reiniciar, ya que no se incluye el controlador de filtros. El nombre de este componente es "RSAT-BitLocker".

BitLocker funciona correctamente en equipos que ejecutan la opción de instalación Server Core, pero no puede usar el administrador de servidores para instalar BitLocker en Server Core ni usar la interfaz gráfica de usuario para administrar BitLocker en Server Core. En cambio, para instalar los componentes, use las herramientas de la línea de comandos pkgmgr u ocsetup.

Una vez que tenga instalados los códigos binarios de BitLocker y los discos configurados en la configuración de carga dividida necesaria, puede habilitar BitLocker en el volumen del sistema operativo. El applet del panel de control de BitLocker tiene los mismos iconos y opciones en Windows Server 2008 que los de Windows Vista SP1. Para habilitar los modos avanzados de BitLocker, deberá ajustar la configuración predeterminada mediante el editor de directivas local o un objeto de directiva de grupo que se aplique al servidor.

En Server Core, o si no desea usar el panel de control, puede usar manage-bde.wsf para habilitar BitLocker. Para habilitar BitLocker en la unidad C:, escriba

manage-bde.wsf –on C: -RecoveryPassword –RecoveryKey F:\

donde C: es el volumen que se debe cifrar y F:\ es una clave USB u otro volumen en el que se almacenará una copia de la clave de recuperación (en el formato binario). También puede usar una ruta de acceso UNC para almacenar la clave de recuperación en una unidad de red. Además, se generará y se mostrará una contraseña de recuperación (en formato de texto numérico). Quizás desee agregar el parámetro –skiphardwaretest si está seguro de que la plataforma de hardware cumple todos requisitos de BitLocker. Esto le ahorrará un reinicio.

Situaciones de servidor

Ahora hablemos de algunas situaciones específicas en las que BitLocker es de gran utilidad para los servidores. Tenga en cuenta que, tal y como mencioné anteriormente, BitLocker está diseñado para ayudarle a protegerse contra ataques sin conexión (el tipo de ataques que se llevan a cabo cuando no se ejecuta Windows).

Sucursales Uno de los primeros y principales usos de BitLocker en un servidor es como parte de la estrategia de sucursal de Windows Server 2008. Entre una cuarta y una tercera parte de los servidores están instalados en sucursales (es decir, las oficinas que pueden tener un nivel inferior de seguridad, menor acceso al soporte técnico de TI y quizás menor conectividad a los centros de datos). Las sucursales también son un objetivo muy atractivo para los ataques. Junto con características como, por ejemplo, controladores de dominio de sólo lectura (RODC), BitLocker puede ayudar a proteger los datos confidenciales que se deben almacenar en una sucursal para ser de utilidad, pero que no están protegidos físicamente como lo estarían quizás en un centro de datos.

Ahora es un buen momento para reflexionar acerca del nivel correcto de protección. ¿Qué es más importante? ¿Impedir un acceso no autorizado a los datos o exigir que un servidor vuelva a iniciarse inmediatamente y sin intervención? Mi sugerencia es que en muchas sucursales, sería buena idea exigir la escritura de un código PIN para reiniciar un servidor, pero eso es una decisión que debe realizar cada empresa de forma individual.

Discos durante el transporte A menudo, es necesario transportar datos en un disco duro a una ubicación lejana. Esto puede incluir el transporte de un solo disco o la preconfiguración y el transporte de servidor completo. Durante el transporte, los datos en dichos discos están fuera de su control y alguien podría copiarlos, perderlos o robarlos.

Para mitigar este riesgo, habilite BitLocker en dichos volúmenes en el equipo antes del transporte y, a continuación, quite todos los protectores de clave salvo una clave o contraseña de recuperación. Esta clave o contraseña se puede transportar por separado o, incluso, se puede comunicar por teléfono o correo electrónico cifrado al personal de destino. Al recibir el equipo o el disco, se puede desbloquear la unidad con la contraseña de recuperación. La unidad se puede dejar cifrada (volver a agregar otros protectores de clave), o bien se puede descifrar el disco por completo tras la entrega, si así lo desea.

Esta es una forma especialmente eficaz de preparar los controladores de dominio o servidor para las sucursales.

Robo de un servidor Tal y como se indicó en la sección anterior, existe un riesgo real de que se produzca el robo de un servidor (especialmente un controlador de dominio). Los ladrones pueden llevarse un equipo portátil al presentarse la oportunidad, pero un servidor puede ser un objetivo cuidadosamente elegido. Si BitLocker se configura para que sólo exija la comprobación de integridad de TPM, el servidor robado simplemente podría encenderse y arrancarse. En cambio, si las unidades en un servidor están protegidas mediante BitLocker y este último se configura en modo avanzado (requerir una clave USB, un código PIN, o ambos elementos), a los ladrones les resultaría mucho más difícil obtener información de utilidad en un marco de tiempo razonable.

Robo de un disco Por el contrario, si sólo se roba un disco, el TPM ofrece una gran protección. Sólo se puede usar el TPM del servidor original para desbloquear la unidad protegida mediante BitLocker, por lo que el disco no se puede insertar en otro equipo para su lectura sin más.

Exposición reducida Al pedir hardware de servidor que incluya un chip de TPM y usar la comprobación de la integridad de la plataforma de BitLocker, aumenta la defensa contra algunas formas de código malintencionado (malware). En concreto, BitLocker detectará los cambios realizados mientras que Windows está sin conexión o los cambios realizados a los componentes de inicio iniciales, especialmente, si el código malintencionado (por ejemplo, un kit de raíz) necesita que se reinicie el equipo para su instalación. Esta no es una solución completa, pero cuando se combina con características como, por ejemplo, la integridad de código de Windows y productos como Seguridad de cliente Microsoft® ForefrontTM, resulta otro nivel de defensa eficaz.

Retiro de servicio seguro Una de las situaciones más útiles para BitLocker se produce al final del ciclo de vida de un servidor o disco. ¿Cuántas veces ha oído que los servidores o sus discos se desechan sin realizar un retiro de servicio seguro adecuado? ¿Sabía que los discos duros usados a veces se venden a un mayor precio en los sitios de subasta que los discos nuevos, ya que los compradores poco escrupulosos esperan obtener información de utilidad de ellos?

Por suerte, en lugar de emprender un proceso costoso y complicado para limpiar los datos útiles del disco, BitLocker permite adoptar otro enfoque. Básicamente, no se escribe ninguna información en un formato útil. Ya que los datos cifrados no se pueden usar, la eliminación de toda la información clave se convierte en un paso rápido y sencillo. Después de eso, no importa lo que le ocurra al hardware del disco, se puede vender, reciclar, remodelar, etc., sin tener que preocuparse por que los datos caigan en manos equivocadas.

En Windows Vista y Windows Server 2008, el comando de formato se actualizó para eliminar por completo las claves de BitLocker, incluidos varios procesos de sobrescritura. Ahora dispone de una manera sencilla y eficaz de retirar de servicio una unidad de disco.

Noticias recientes

Mientras redacto este artículo, varias semanas antes de que los lectores obtengan una copia de la publicación, varios artículos, informes y noticias recientes han tratado algunas características interesantes de hardware y la forma en que éstas afectan a BitLocker, otras características de seguridad de Windows y otros productos de cifrado de distintos proveedores. Me gustaría tomar un momento para tratar algunas de las conclusiones.

Un artículo publicado por investigadores en la Universidad de Princeton que demostraron (de manera muy eficaz) un rasgo de la memoria informática moderna a veces denominado "remanencia de DRAM" (disponible en citp.princeton.edu/pub/coldboot.pdf). Dicho de manera simple, se puede obtener acceso al contenido de la memoria informática durante cierto período de tiempo tras retirar la fuente de energía de la memoria. BitLocker conserva las claves para descifrar datos en la memoria mientras se ejecuta Windows y principal la preocupación es que usuarios no autorizados puedan obtenerlas.

Otra demostración de Adam Boileau (security-assessment.com/files/presentations/ab_firewire_rux2k6-final.pdf) mostró cómo IEEE 1394 (a menudo llamado FireWire) permite el acceso a la memoria directa (DMA), que se puede usar para conseguir los secretos de Windows, como contraseñas y claves de descifrado. Lo más interesante de esto es que DMA es prácticamente el punto de 1394. No es una brecha de seguridad, sino lo que Firewire está diseñado para hacer.

No obstante, lo que estos dos ataques tienen en común es que necesitan el acceso físico a un equipo en ejecución (o al menos a uno que haya estado en ejecución recientemente). BitLocker no está diseñado para proteger frente a ataques con conexión y no elimina la necesidad de aplicar algún tipo de seguridad física. Una defensa adecuada precisa el uso de diferentes herramientas y características, la creación de un entorno de seguridad física, las esquematización de las directivas corporativas principales y la educación continua de los usuarios.

Además, no se trata de descubrimientos nuevos. Hace tiempo que se conocen y, de hecho, se habla de ellos en el kit de herramientas de cifrado de datos de Microsoft® (DET). El análisis de riesgos que se proporciona en el DET está diseñado para ayudar a los clientes a obtener una seguridad de equilibrio con la utilidad y el costo de implementación y la administración. Esto no es ninguna tontería. Creemos que los clientes informados están mejores equipados para tomar decisiones acerca de las contrapartidas de seguridad, de la utilidad y del costo.

Además del DET, algunos de mis colegas han proporcionado excelentes comentarios y sugerencias. En primer lugar, Russ Humphries habló acerca de los equilibrios de seguridad en el contexto de remanencia de DRAM en su entrada de blog en go.microsoft.com/fwlink/?LinkId=115217. Además, Douglas MacIver escribió acerca de los pasos de configuraciones y contramedidas específicos adicionales que se pueden emplear hoy mismo, en el blog del equipo de integridad del sistema (SUS) en go.microsoft.com/fwlink/?LinkId=115218. Le recomiendo que se tome el tiempo de leer estas dos entradas de blog de gran utilidad. También debería leer el DET.

El elemento clave entre estas recomendaciones es usar un modo avanzado (es decir, uno que requiera una clave USB o un código PIN) y no dejar un equipo desatendido en modo de suspensión (usar el modo de hibernación).

Conclusión

BitLocker sigue siendo una de las características de mayor utilidad de Windows Vista. Con el lanzamiento de SP1, se ha mejorado como respuesta directa a los comentarios de los clientes para permitir un mayor número de situaciones y satisfacer una mayor cantidad de necesidades para la protección de datos. La ampliación de la protección de datos sin usar en Windows Server 2008 ofrece más formas de proteger los datos y mantener el cumplimiento, independientemente de si los datos se almacenan en servidores o en estaciones de trabajo cliente, en el centro de datos, en la sucursal o con un trabajador móvil.

Byron Hynes es estratega de tecnología empresarial en el grupo de empresas y socios de Microsoft (EPG), especializado en las características y los productos de seguridad. Antes de unirse a EPG, trabajó en la división de Windows Server y de manera estrecha con BitLocker (integridad del sistema) desde que 2005. Agradecemos sus comentarios y preguntas. Póngase en contacto con él en Tech•Ed 2008, o envíe un correo electrónico a bhynes@microsoft.com.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos. Queda prohibida la reproducción parcial o total sin previa autorización.