Ciclo de vida de BitLocker

05.04.2011 16:29

Ciclo de vida de BitLocker

Existen cuatro fases principales en el ciclo de vida de BitLocker, como muestra la ilustración 3. Estas fases incluyen la instalación, la inicialización, el uso diario y la retirada o el reciclaje del equipo.

Ciclo de vida de BitLocker
  1. Instalación: BitLocker se instala como parte de Windows Vista o se agrega como opción para Windows Server 2008.

     
  2. Inicialización: BitLocker se inicializa y se habilita.

     
  3. Uso diario: el equipo se utiliza en situaciones cotidianas. BitLocker ofrece un nivel de protección según la opción de autenticación seleccionada durante la inicialización.

     
  4. Retirada y reciclaje de equipos: un equipo con BitLocker habilitado debe retirarse o reciclarse.

     

En las siguientes secciones se describe cada una de estas fases. Para ver un diagrama de arquitectura detallado, consulte el diagrama de arquitectura.

Instalación

En el caso de Windows Vista Enterprise y Windows Vista Ultimate, BitLocker se instala automáticamente como parte de la instalación del sistema operativo. Sin embargo, BitLocker no está habilitado hasta que se activa mediante el panel de control de BitLocker.

Inicialización

En cualquier momento tras la instalación y la configuración inicial del sistema operativo, el administrador del sistema puede usar el Panel de control de Windows Vista para inicializar BitLocker. El proceso de inicialización consta de dos pasos:

  1. En los equipos que tienen un TPM, inicialice el TPM mediante el Asistente para inicializar TPM, el panel de control de BitLocker o la ejecución de un script diseñado para inicializarlo. Puede obtener acceso al Asistente para inicializar TPM a través del Asistente para consola de administración de TPM, que se inicia mediante un vínculo del panel de control de BitLocker. Al abrir el panel de control de BitLocker se iniciará automáticamente la inicialización del TPM, si es necesario. También se admite la inicialización remota del TPM. Aunque normalmente es necesario estar físicamente presente para inicializar el TPM de un equipo, si éste se distribuye con el TPM ya activado, entonces no es necesario. El componentes de servicios del TPM de BitLocker incluyen una API de administración que permite el scripting de los procedimientos de inicialización, como establecer un propietario y crear la contraseña de administración del TPM.

     
  2. Configure BitLocker. Obtenga acceso al Asistente para la instalación de BitLocker desde el Panel de control de Windows Vista, que le guía durante la configuración y presenta opciones de autenticación avanzadas.

    La inicialización de BitLocker y el TPM debe llevarla a cabo un miembro del grupo local Administradores del equipo. Un usuario que no sea un administrador se beneficia de la protección de datos que ofrece BitLocker, pero no puede habilitarlo ni deshabilitarlo.

    Para obtener información detallada acerca de la configuración y la implementación de BitLocker en Windows Vista, consulte la Guía paso a paso del Cifrado de unidad BitLocker de Windows (https://go.microsoft.com/fwlink/?LinkID=53779, puede estar en inglés).

    Uso diario

    Una vez que BitLocker se ha inicializado y el volumen se ha cifrado, el usuario sólo lo ve durante la autenticación y en tareas administrativas ocasionales.

    BitLocker admite cuatro modos de autenticación diferentes, dependiendo de las capacidades de hardware del equipo y del nivel de seguridad deseado:

    • BitLocker con un TPM

       
    • BitLocker con un TPM y un NIP

       
    • BitLocker con un TPM y una clave de inicio USB

       
    • BitLocker sin un TPM (se requiere una clave de inicio USB)

       

    Los equipos con BitLocker habilitado que dependen sólo de un TPM para la autenticación y que no tienen factores de autenticación de BitLocker adicionales, se pueden utilizar como cualquier otro equipo. Los usuarios inician Windows y se les solicita su nombre de usuario y contraseña, lo que constituye un inicio de sesión normal. A menos que se les informe acerca de BitLocker, lo más probable es que los usuarios no sepan que sus equipos cuentan con un nivel adicional de protección de datos.

    Si BitLocker está configurado para una seguridad mejorada, el usuario deberá escribir un NIP o insertar una clave de inicio USB para poder iniciar Windows Vista. En tal caso, el proceso de inicio o reanudación normal se modifica al solicitar este factor de autenticación adicional.

    Para obtener información detallada acerca de los modos de autenticación de BitLocker, consulte la Guía paso a paso del Cifrado de unidad BitLocker de Windows (https://go.microsoft.com/fwlink/?LinkID=53779, puede estar en inglés).

    Escenario con sólo TPM

    En este caso, BitLocker está habilitado en un equipo que tiene un TPM, pero no se ha habilitado ningún factor de autenticación adicional. El disco duro está particionado con dos volúmenes:

    1. Volumen del sistema

       
    2. Volumen del sistema operativo Windows Vista

       

    Tal como muestra la ilustración 4, BitLocker cifra el volumen del sistema operativo con una clave de cifrado del volumen completo. La clave en sí se cifra con la clave maestra de volumen, que es cifrada a su vez por el TPM.

    BitLocker con protección de TPM

    El administrador local puede habilitar o deshabilitar este escenario mediante el elemento Seguridad del Panel de control de Windows Vista. Si se desactiva BitLocker, se descifra el volumen y se quitan todas las claves. Se crean nuevas claves una vez que se vuelve a activar BitLocker más adelante

 

Escenarios con autenticación mejorada

Estos escenarios agregan factores de autenticación adicionales al escenario básico descrito anteriormente. Tal como muestra la ilustración 5, usar BitLocker en un equipo que tiene un TPM ofrece dos opciones de autenticación multifactor:

  • El TPM más un NIP (comprobación de integridad del sistema más datos que el usuario conoce)

     
  • El TPM más una clave de inicio almacenada en una unidad flash USB (comprobación de integridad del sistema más algo que el usuario tiene)

     

La ventaja de estos escenarios es que no todo el material clave se almacena en el equipo local.

BitLocker con autenticación de dos factores
Autenticación con NIP

En este caso, el administrador establece un NIP numérico durante la inicialización de BitLocker. BitLocker genera un valor hash para el NIP mediante SHA-256 y los primeros 160 bits del hash se usan como datos de autorización enviados al TPM para sellar la clave maestra de volumen. La clave maestra de volumen queda así protegida tanto por el TPM como por el NIP. Para quitar el sello de la clave maestra de volumen, el usuario deberá escribir el NIP cada vez que el equipo se inicie o se reanude el uso tras la hibernación.

noteNota
En el caso de las implementaciones en servidores, es posible que no resulte conveniente habilitar la autenticación con NIP cuando la velocidad del inicio es importante o cuando no puede haber intervención humana en el caso de un reinicio.

Autenticación con clave de inicio

En este caso, el administrador crea una clave de inicio durante la inicialización de BitLocker. La clave se almacena en cualquier dispositivo de almacenamiento enumerado en el BIOS como una unidad flash USB conectable y el usuario debe insertar este dispositivo en el equipo cada vez que éste se inicia o se reanuda el uso tras la hibernación. La unidad flash USB que contiene la clave de inicio debe estar conectada al equipo desde que éste se enciende y durante todo el proceso de inicio, pero debe quitarse una vez cargado Windows.

Escenario con sólo clave de inicio (sin TPM)

En este caso, el administrador habilita BitLocker en un equipo que no contiene un TPM. El usuario del equipo debe insertar la unidad flash USB que contiene la clave de inicio cada vez que se inicia el equipo o se reanuda el uso tras la hibernación.

noteNota
El perfil de seguridad de un sistema que utiliza un escenario con sólo clave de inicio será distinto del perfil de seguridad de un sistema que utiliza un TPM; la integridad de los componentes de arranque iniciales no se validará en el sistema sin TPM.

La clave de inicio para un equipo sin TPM se debe crear durante la inicialización de BitLocker, ya sea mediante el Asistente para la instalación de BitLocker o mediante scripting. BitLocker genera la clave de inicio, el usuario inserta la unidad flash USB y el sistema almacena la clave de inicio en ese dispositivo.

Mediante el panel de control de BitLocker, el usuario puede crear una copia de seguridad de la clave de inicio. La clave de seguridad se guarda sin cifrar, en un archivo ".bek" como datos binarios sin procesar. En el caso de que se pierda una clave de inicio, el volumen se debe recuperar con la clave de recuperación o la contraseña de recuperación y se debe generar un nueva clave de inicio (este proceso revocará la clave de inicio original). Todos los demás volúmenes que también usan la clave de inicio perdida deben pasar por un procedimiento similar con el fin de garantizar que ningún usuario no autorizado utilice la clave de inicio perdida.

Administración

El administrador puede administrar BitLocker a través del panel de control de BitLocker, al que se obtiene acceso desde el elemento Seguridad del Panel de control de Windows Vista. También está disponible una herramienta de administración de línea de comandos, manage-bde.wsf, para que los administradores de TI puedan llevar a cabo funciones de scripting remotamente.

Para obtener información detallada acerca de la configuración y la implementación de BitLocker en Windows Vista, consulte la Guía paso a paso del Cifrado de unidad BitLocker de Windows (https://go.microsoft.com/fwlink/?LinkID=53779, puede estar en inglés).

Administración de claves

Una vez que el volumen se ha cifrado y protegido con BitLocker, la página Administrar claves del panel de control de BitLocker permite a los administradores locales y de dominio duplicar claves y restablecer el NIP.

Configuración de BitLocker y administración de TPM

El panel de control de BitLocker, accesible desde el elemento Seguridad del Panel de control de Windows Vista, muestra el estado de BitLocker y ofrece la funcionalidad para habilitar o deshabilitarlo. Si BitLocker está cifrando o descifrando datos de manera activa debido a una solicitud de instalación o desinstalación reciente, aparece el estado del progreso. Los administradores también pueden utilizar el panel de control de BitLocker para obtener acceso a la MMC de Administración de TPM. Para obtener más información, consulte Inicialización.

Actualizaciones de equipos: deshabilitar la protección de BitLocker

Es posible que un administrador desee deshabilitar BitLocker temporalmente en determinadas situaciones, como al:

  • Reiniciar el equipo por motivos de mantenimiento sin requerir ninguna acción por parte del usuario (por ejemplo, escribir un NIP o insertar una clave de inicio).

     
  • Actualizar el BIOS

     
  • Actualizar componentes de arranque iniciales básicos sin desencadenar la recuperación de BitLocker. Por ejemplo:

    • Instalar una versión distinta del sistema operativo u otro sistema operativo, lo que podría cambiar el registro de arranque maestro (MBR).

       
    • Volver a particionar el disco, lo que podría cambiar la tabla de particiones.

       
    • Realizar otras tareas del sistema que cambian los componentes de arranque validados por el TPM.

       
  • Actualizar la placa base para reemplazar o quitar el TPM sin desencadenar la recuperación de BitLocker.

     
  • Desactivar (deshabilitar) o quitar el TPM sin desencadenar la recuperación de BitLocker.

     
  • Trasladar un volumen de disco protegido por BitLocker a otro equipo sin desencadenar la recuperación de BitLocker.

     

Se hace referencia de forma conjunta a estos escenarios como escenario de actualización de equipos. BitLocker se puede habilitar o deshabilitar a través del elemento BitLocker del Panel de control de Windows.

Es necesario realizar los siguientes pasos para actualizar un equipo con BitLocker habilitado.

  1. Desactive BitLocker temporalmente pasándolo al modo deshabilitado.

     
  2. Actualice el sistema o el BIOS.

     
  3. Vuelva a activar BitLocker.

     

Si se fuerza BitLocker al modo deshabilitado, el volumen se mantendrá cifrado, pero la clave maestra de volumen se cifrará con una clave simétrica almacenada sin cifrar en el disco duro. La disponibilidad de esta clave sin cifrar deshabilita la protección de datos que ofrece BitLocker, pero garantiza que el equipo se iniciará correctamente a partir de entonces sin más intervenciones del usuario. Cuando se vuelve a habilitar BitLocker, la clave sin cifrar se quita del disco y la protección de BitLocker se vuelve a activar. Asimismo, la clave maestra de volumen se regenera y se cifra de nuevo.

El traslado del volumen cifrado (es decir, el disco físico) a otro equipo con BitLocker habilitado no requiere ningún paso adicional porque la clave que protege la clave maestra de volumen se almacena sin cifrar en el disco.

 

Para obtener información detallada acerca de cómo deshabilitar BitLocker, consulte la Guía paso a paso del Cifrado de unidad BitLocker de Windows (https://go.microsoft.com/fwlink/?LinkID=53779, puede estar en inglés).

Retirada y reciclaje de equipos

Hoy en día, muchos equipos son reutilizados por personas que no son el propietario o usuario inicial del equipo. En escenarios empresariales, los equipos se pueden volver a implementar en otros departamentos, o es posible que dejen la compañía como parte de un ciclo de reciclaje de hardware informático estándar.

En el caso de las unidades sin cifrar, es posible que los datos puedan leerse incluso después de formatearlas. Las empresas recurren a menudo a sobrescrituras múltiples o a la destrucción física para reducir el riesgo de exposición de los datos de unidades retiradas.

BitLocker puede ayudar a crear un proceso de retirada simple y rentable. Las empresas pueden reducir permanentemente el riesgo de dejar su información expuesta si dejan los datos cifrados por BitLocker y quitan luego las claves. Es prácticamente imposible obtener acceso a los datos cifrados por BitLocker después de quitar todas las claves de BitLocker porque esto supondría descifrar un cifrado AES de 128 o 256 bits.

 

Un administrador puede quitar las claves de BitLocker de un volumen si lo formatea desde Windows Vista. El comando "format" ha sido actualizado para admitir esta operación. Para formatear el volumen del sistema operativo, puede abrir un símbolo del sistema mediante el entorno de recuperación que se incluye en el DVD de instalación de Windows Vista.

Como alternativa, un administrador puede crear un script que quite todos los protectores de claves de BitLocker. Después de ejecutar este script, todos los datos cifrados por BitLocker serán irrecuperables cuando inicie el equipo. Como medida de seguridad, BitLocker requiere que el volumen cifrado tenga al manos un protector de clave. Debido a este requisito, para retirar la unidad, cree una nueva protección de clave externa, evite guardar la información de la clave externa creada y, a continuación, quite todos los demás protectores de clave del volumen. Para obtener más información acerca de la escritura de scripts para BitLocker, consulte Win32_EncryptableVolume (https://go.microsoft.com/fwlink/?LinkId=85983, puede estar en inglés).

Una vez que se hayan quitado las claves de BitLocker del volumen, es necesario realizar una serie de tareas de seguimiento para completar el proceso de retirada. Por ejemplo: restablecer los valores predeterminados de fábrica del TPM quitándolo y desechar la información de recuperación guardada para el volumen como copias impresas, archivos almacenados en dispositivos USB e información almacenada en Active Directory.

 

Volver