Upload
ngohuong
View
214
Download
2
Embed Size (px)
Citation preview
-----------------------------------------------------------------------------------------------------------------------------------------------------------
----------------
-----------------------------------------------------------------------------------------------------------------------------------------------------------
----------------
Module 10: Configuring Encryption and Advanced Auditing
-----------------------------------------------------------------------------------------------------------------------------------------------------------
----------------
-----------------------------------------------------------------------------------------------------------------------------------------------------------
----------------
Cifrado y auditoria avanzada:
En este modulo hablaremos del cifrado de archivos y carpetas en reposo, no en transito, como es el caso de las
VPN’s y DirectAccess.
Para cifrar archivos y carpetas en un disco duro, windows Server 2012 R2 incluye 2 herramientas:
- Bitlocker: es relativamente reciente, desde windows Vista y Server 2008
- EFS (Encrypted File System): es una caracteristica de NTFS
Bitlocker:
Es una caracteristica que podemos añadir a windows server desde la version 2008 y a los clientes windows desde
vista.
Windows XP no soporte bitlocker, pero si puede leer dispositivos removibles que hayan sido cifrados con bitlocker
on the go
Para esto, Windows XP necesita el reader de Bitlocker on the go.
Bitlocker es una tecnologia que permite cifrar unidades completas. Podemos cifrar una particion o solo el espacio
que se esta usando de una particion. Bitlocker no permite cifrar archivos o carpetas independientes.
Al cifrar solo el espacio usado por una particion aceleramos el proceso, pero podria ocurrir que se vieran
comprometidos archivos que fueron borrados y que aun estan en la zona sin usar de la particion.
El objetivo de bitlocker es evitar que una persona que obtenga un disco duro o un pendrive, puede conectarlo a otro
ordenador y acceder a su contenido.
El escenario habitual es cifrar los portatiles de la empresa por si uno se pierde.
Otro escenario habitual de bitlocker es proteger los archivos de arranque y del sistema. Bitlocker analiza los archivos
de arranque y del sistema y si detecta cambios no autorizados en alguno, no permite el arranque. Secure Boot.
El tamaño minimo de la clave es de 2048
Algunas caracteristicas de Bitlocker solo estan disponibles si disponemos de un TPM (Trusted Platform Module).
TPM es un chip que encontramos en la mayoria de equipos y esta diseñado para llevar a cabo tareas criptograficas.
En este TPM es donde bitlocker almacena las contraseñas de cifrado. El requisito es disponer de TPM 1.2
El algoritmo de cifrado que usa bitloker es AES, tanto de 128 como de 256 bits.
Protege particiones tanto de datos como del sistema y es posible que se aplique durante el proceso de instalacion de
windows
Para comprobar la version de TPM usar tpm.msc (comprobar que esta activo en la bios)
Bitlocker network unlock es una caracteristica que permite descifrar automaticamente unidades de equipos que
esten en un dominio confiable. Las claves de cifrado de bitlocker se habran almacenado en el AD DS. Si el equipo que
contiene la particion esta en el dominio, la particion se descifra. Cuando esta fuera, la particion permanece
bloqueada.
Es recomendable que este en un servidor WDS para crear imágenes ya con bitlocker activado
Vamos a configurar bitlocker en un disco duro
Vamos a modificar la GPO default del dominio para aplicar Bitlocker
aquí estan todas las politicas de bitlocker
Con estos elegimos entre 128 y 256 bits para el cifrado
Aquí elegimos entre cifrar el disco entero o solo la parte usada de una unidad
Aquí configuramos el tipo de encriptacion para la particion del sistema lo normal es que sea completo
Para que podamos usar un PIN si no tenemos TPM
Importante Secure boot obligatorio TPM y windows 2012 o windows 8
Ahora con reiniciar deberia aparecer en el panel de control la opcion de bitlocker
Vamos a cifrar E:
Guardamos en el escritorio y seguimos
Y asi se ve
Y el archivo que nos genera es asi
Si perdemos TPM, la contraseña, el pendrive donde tenemos almacenadas las credenciales o el archivo donde la
hemos guardado, perderemos el acceso a la unidad.
A no ser que previamente hayamos configurado un DRA (Data Recovery Agent).
La configuracion de un DRA es igual para bitlocker y para EFS. Por defecto, el DRA para EFS es el administrador del
dominio.
EFS:
EFS es una propiedad del sistema de archivos NTFS que permite cifrar archivos individuales o carpetas.
No exige instalar ninguna caracteristica adicional.
Es una capa adicional de seguridad. Incluso si un usuario tiene acceso completo a nivel de permisos a un archivo, si
no esta autorizado en EFS, tendra acceso denegado.
EFS no cifra volumenes completos, si no carpetas y archivos.
Es un cifrado a nivel de usuario. Por defecto, el archivo solo sera accesible para quien lo ha cifrado y para el DRA.
Para que otro usuario tenga acceso al archivo, tendremos que añadirlo a la lista de autorizados en EFS
EFS utiliza un sistema un sistema de cifrado simetrico. La clave de cifrado se genera para cada archivo y se almacena
en la cabecera de ese archivo
La clave para cifrar y descifrar el archivo se llama FEK (File Encryption Key)
El metodo que se usa es la clave cifrada que va en la cabecera de ese archivo, lo que se hace es cifrar esa clave con la
clave publica del ususario, asi solo el usuario con su clave publica podra descifrar la cabecera con la clave para
descifrar el archivo.
Para implementar EFS no es necesario contar con una CA, pero en ese caso, los certificados que se usarian para
proteger la FEK serian autofirmados. Contar con una CA nos va a facilitar la gestion de certificados y la recuperacion
de archivos cifrados con EFS
Si accedemos por red el cifrado no se aplica
Vamos a entrar en el LON-CL1 como usuario y pediremos el certificado
Ahora vamos a cifrar una carpeta
Desde propiedades de la carpeta
Marcamos la ultima opcion
Y ya vemos que no aparece en verde
Vemos la configuracion
Vamos a dar acceso a otro usuario al archivo cifrado
Vamos a probocar un fallo de certificados desde la CA revocamos el certificado y en el CL1 eliminamos el certificado
O entramos con un usuario que tenia acceso y le devolvemos al acceso al certificado nuevo
O
Exportamos el certificado del administrador y lo importamos en la maquina y ya nos permite dar acceso de nuevo al
certificado nuevo del usuario
Delegacion de DRA
Add para cuando ya tenemos el certificado con proposito con file recovery (Basic EFS)
Create para generar uno nuevo
Auditoria avanzada:
Para activar la auditoria