Implementación de BitLocker en servidores
Implementación de BitLocker en servidores
En el caso de los servidores con Windows Server 2008 de un entorno compartido o potencialmente no seguro, como una sucursal, BitLocker puede ofrecer el mismo nivel de protección de datos que ofrece en equipos cliente. Esta característica adicional, disponible para Windows Server 2008, permite a un administrador de TI cifrar tanto el volumen del sistema operativo como los volúmenes de datos adicionales en el mismo servidor.
De manera predeterminada, BitLocker no se instala con Windows Server 2008. Puede agregar BitLocker desde la página Administrador del servidor de Windows Server 2008. Después de instalar BitLocker, la configuración y el mantenimiento se realizan tal como se describe más adelante en el presente documento. Debe reiniciar tras instalar BitLocker en un servidor. Mediante WMI, es posible habilitar BitLocker de forma remota.
Compatibilidad con NIP
Es posible que no resulte conveniente habilitar la característica de NIP en un servidor en que la velocidad del inicio es importante o en que no puede haber intervención humana en el caso de un reinicio. En muchos entornos de servidor, el tiempo de actividad y la administración remota son fundamentales. Un escenario de implementación factible es habilitar BitLocker con la autenticación con NIP en sucursales en que un empleado debe encender el servidor al principio de cada turno de trabajo. En este caso, el individuo responsable conocería e introduciría el NIP al inicio.
Compatibilidad con clave de inicio
Las claves de inicio USB son compatibles con los servidores, pero sólo incrementan la protección de datos si no se dejan en el servidor tras el inicio. Por tanto, para maximizar la protección de datos, alguien debe insertar manualmente la clave de inicio cada vez que se reinicie el servidor y luego quitar la clave hasta que vuelva a necesitarse.
Compatibilidad con Extensible Firmware Interface
BitLocker es compatible con servidores EFI (Extensible Firmware Interface) que utilicen una arquitectura de procesador de 64 bits instalada con Windows Server 2008.
Volúmenes de datos
Los volúmenes que no son el volumen del sistema operativo y el volumen del sistema se denominan volúmenes de datos. El cifrado BitLocker de volúmenes de datos sólo se admite en Windows Server 2008. BitLocker cifra volúmenes de datos de Windows Server 2008 del mismo modo que cifra el volumen del sistema operativo. El sistema operativo puede leer un volumen de datos protegido por BitLocker como normalmente.
Desbloqueo automático
Puede configurar BitLocker para que desbloquee volúmenes de datos montados automáticamente durante el inicio, sin que haya intervención humana. Para ello, BitLocker cifra la clave maestra de volumen del volumen de datos con una clave de encapsulado externa y, a continuación, almacena una copia de texto simple de la clave de encapsulado externa en el Registro del volumen del sistema operativo cifrado. Puesto que la clave de encapsulado externa se almacena en el volumen del sistema operativo cifrado, está protegida tanto por BitLocker como por el propio sistema operativo Windows Server 2008. Si el sistema operativo pasa al modo de recuperación, los volúmenes de datos permanecen protegidos.
Si habilita el desbloqueo automático, la desactivación de BitLocker tiene el mismo efecto en volúmenes de datos que en el volumen del sistema operativo:
- Si descifra el volumen del sistema operativo, BitLocker también descifrará los volúmenes de datos protegidos y quitará todas las claves de desbloqueo automático del Registro.
- Si deshabilita BitLocker temporalmente, el volumen del sistema operativo y los volúmenes de datos permanecerán cifrados; sin embargo, la clave que protege el volumen del sistema operativo será accesible hasta que vuelva a activar BitLocker.
Mediante una interfaz WMI que puede usarse en scripts, un administrador del sistema puede habilitar o deshabilitar el desbloqueo automático para cada servidor. Para mantener un alto nivel de protección para los volúmenes de datos, no se puede habilitar el desbloqueo automático a menos que BitLocker esté habilitado para el volumen del sistema operativo y que el volumen esté cifrado.
Configuraciones de clúster
BitLocker no admite las configuraciones de clúster.
Recuperación de volúmenes de datos
La recuperación de un volumen de datos es similar a la de un volumen del sistema operativo. Se debe almacenar una copia de la clave de recuperación en otro medio antes de cualquier error (preferiblemente en el momento de la instalación). Si se traslada el volumen de datos a un nuevo servidor o si el sistema operativo no puede recuperar la clave de encapsulado externa para desbloquear automáticamente el volumen de datos, un usuario debe insertar el medio que contiene la clave de recuperación.
La recuperación de volúmenes de datos es posible a través del panel de control de BitLocker y el proveedor de WMI.