Que es BitLocker Drive Encryption?
BitLocker Drive Encryption (Encriptación de unidad BitLocker) es una nueva característica de seguridad integrada en el sistema operativo Windows Vista, Windows 7, y en el Windows Server 2008 que proporciona una protección considerable para el sistema operativo de su equipo y para los datos almacenados en el volumen donde se encuentra dicho sistema. BitLocker garantiza que los datos almacenados en un equipo permanecen encriptados aun cuando se intenta sabotear el equipo cuando no se está ejecutando el sistema operativo. Esto ayuda a protegerse contra los “ataques offline”, los ataques que se realizan deshabilitando o puenteando el sistema operativo instalado, o retirando físicamente el disco duro para atacar por separado a los datos.
BitLocker utiliza un TPM (Trusted Platform Module) para ofrecer una protección mejorada de sus datos y para garantizar la integridad del arranque. Esto ayuda a proteger sus datos frente al robo o una visualización no autorizada, gracias a la encriptación de todo el volumen que contiene Windows.
BitLocker está diseñado para ofrecer al usuario una experiencia cómoda. Está pensado para los sistemas que tienen un microchip TPM y un BIOS compatibles. Un TPM compatible se define como un TMP versión 1.2. Un BIOS compatible debe soportar el TPM y el Static Root of Trust Measurement según lo define el Trusted Computing Group. Si desea más información sobre las especificaciones TPM, visite la sección “Especificaciones del TPM” del sitio web del Trusted Computing Group (http://go.microsoft.com/fwlink/?LinkId=72757).
El TPM interactúa con BitLocker a fin de proporcionar una protección perfecta durante el inicio del sistema. Esta acción es transparente para el usuario y el inicio de sesión de este último no cambia. No obstante, si el TPM no se encuentra o ha cambiado, o si la información de inicio ha cambiado, BitLocker entrará en el modo de recuperación y necesitará una contraseña de recuperación para volver a tener acceso a los datos.
|
Plantilla y opción
|
Ruta de acceso y descripción
|
Valor predeterminado
|
|
GroupPolicy.admx: procesamiento de directivas de recuperación EFS
|
Configuración del equipoPlantillas administrativasSistemaDirectivas de grupo: determina cuándo se actualizan las directivas de cifrado.
|
No configurado
|
|
EncryptFilesonMove.admx: no cifrar automáticamente archivos trasladados a carpetas cifradas
|
Configuración del equipoPlantillas administrativasSistema: impide que el Explorador de Windows cifre los archivos que se trasladan a una carpeta cifrada.
|
No configurado
|
|
OfflineFiles.admx: cifrar la caché de archivos sin conexión
|
Configuración del equipoPlantillas administrativasRedArchivos sin conexión: esta opción de configuración determina si se cifran o no los archivos sin conexión.
|
Nota
|
|
En Windows XP estos archivos se cifran con la clave del sistema, mientras que en Windows Server 2008 se cifran con la clave del usuario.
|
|
No configurado
|
|
Search.admx: permitir la indización de archivos cifrados
|
Configuración del equipoPlantillas administrativasComponentes de WindowsBuscar: esta opción permite que la Búsqueda de Windows realice el indizado de los elementos cifrados.
|
Nota
|
|
Si los archivos cifrados se indizan y el índice no está protegido adecuadamente por EFS u otros medios, podrían producirse problemas de seguridad de los datos.
|
|
No configurado
|
También puede configurar las opciones de EFS siguientes con GPMC o el Editor de directivas de grupo local (secpol.msc). Para ver o cambiar estas opciones, expanda el nodo Directivas de clave pública, haga clic con el botón secundario en Sistema de cifrado de archivos y después haga clic en Propiedades.
En la ficha General, puede configurar las opciones generales y las opciones de certificados. Están disponibles las opciones generales siguientes:
|
Opción
|
Notas
|
Valor predeterminado
|
|
Cifrado de archivos a través del Sistema de cifrado de archivos (EFS)
|
Si se establece en No permitir, no podrá usar EFS en este equipo.
Si se establece en Permitir o No definido, podrá usar EFS en este equipo.
|
No definido
|
|
Cifrar el contenido de la carpeta Documentos del usuario
|
Si está habilitada, la carpeta Documentos de todos los usuarios del equipo se cifrará automáticamente con EFS.
|
Deshabilitada
|
|
Requerir tarjeta inteligente para EFS
|
Si está habilitada, no podrá usar certificados de software para EFS.
|
Deshabilitada
|
|
Crear una clave de usuario con capacidad de almacenamiento en caché desde la tarjeta inteligente
|
Si está habilitada, la primera vez que se requiera una tarjeta inteligente para EFS durante una sesión de usuario, se creará una versión en caché de las claves requeridas, como se explicó anteriormente en este tema.
Si está deshabilitada, se deberá insertar una tarjeta inteligente siempre que se cifre o descifre un archivo protegido con un certificado en la tarjeta inteligente.
|
Habilitada
|
|
Habilitar cifrado de archivo de paginación
|
Si está habilitada, el archivo de paginación de la memoria de Windows se cifrará con EFS.
|
Deshabilitada
|
|
Mostrar notificaciones de copia de seguridad de clave al crear o modificar la clave de usuario
|
Si está habilitada, se solicitará a los usuarios que creen copias de seguridad de sus claves de EFS para recuperación siempre que se cree una clave nueva o se modifique una clave.
|
Unido a dominio: deshabilitada
Grupo de trabajo o Independiente: habilitada
|
En la sección de certificados, están disponibles las opciones siguientes:
|
Opción
|
Notas
|
Valor predeterminado
|
|
Permitir que EFS genere certificados autofirmados si no hay una entidad de certificación disponible
|
Se está deshabitada, los usuarios no podrán usar EFS, excepto con los certificados de una entidad de certificación.
|
Habilitada
|
|
Tamaño de clave para certificados autofirmados
|
Puede seleccionar claves de 1024, 2048, 4096, 8192 o 16384 bits. Los tamaños de clave grandes aumentan la seguridad, pero pueden disminuir el rendimiento.
|
2048
|
|
Plantilla EFS para solicitudes automáticas de certificado
|
Es el nombre de la plantilla de certificado que se emplea para solicitar un certificado EFS a una entidad de certificación.
|
EFS básico
|
|
Nota
|
|
Todas las plantillas de EFS en Windows Server 2008, tanto para usuarios como para recuperación, así como los certificados EFS autofirmados, ahora especifican de forma predeterminada una longitud de clave de 2048 bits.
|
En la ficha Caché también puede ajustar el comportamiento de la memoria caché de certificados EFS. Para obtener más información acerca del almacenamiento en caché en EFS, haga clic en el vínculo Obtener más información acerca del almacenamiento en caché de EFS en la ficha Caché.
¿Qué preparativos se necesitan para la implementación de esta función?
Antes de habilitar EFS, considere lo siguiente:
- Establecer un agente de recuperación designado y un proceso de recuperación.
- Examinar la nueva configuración de EFS y averiguar qué configuraciones son óptimas para sus requisitos de seguridad concretos.
Referencias adicionales
- Para obtener más información acerca de EFS, consulte Sistema de cifrado de archivos en Windows XP y Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkID=85746) (puede estar en inglés).
- Para obtener más información acerca de cómo proteger los datos con las tecnologías de cifrado de Microsoft, consulte la página acerca del kit de herramientas de cifrado de datos para equipos portátiles (http://go.microsoft.com/fwlink/?LinkID=85982) (puede estar en inglés).
http://www.trucoswindows.net/windows-vista-90-Bitlocker.html
hdomenech Server 2008