Instalación, configuración y uso de bitlocker. BitLocker: cifrado de Drive Encryption de Windows 7

En los últimos años, en varios foros, cartas y reuniones, los usuarios comienzan cada vez más a hacer preguntas sobre cuál es la funcionalidad relativamente nueva de los sistemas operativos Windows Vista, Windows 7 y Windows Server 2008/2008 R2. BitLocker de Windows(Con el lanzamiento de los últimos sistemas operativos, esta tecnología ha adquirido algunos cambios y ahora se llama BitLoker To Go). Pero después de que la mayoría de los usuarios y administradores de sistemas novatos escuchen la respuesta de que este componente es "simplemente" una característica de seguridad incorporada en los sistemas operativos modernos, que brinda protección confiable para el sistema operativo en sí, los datos almacenados en la computadora del usuario, así como los datos individuales. volúmenes y medios extraíbles, lo que le permite dejar los datos del usuario intactos durante ataques graves, así como eliminar físicamente los discos duros para una mayor piratería de datos autónoma, a menudo escucho que dicha funcionalidad no tendrá ninguna demanda y su uso solo complicará la vida de los usuarios. Es imposible estar de acuerdo con tal afirmación, ya que los datos deben estar seguros. No dejas las llaves de tu casa ni el código de la cerradura electrónica de tu organización a todas las personas que conoces, ¿verdad?

Los usuarios domésticos suelen justificar su renuencia a utilizar esta tecnología por el hecho de que no hay datos "vitales" en sus computadoras e incluso si son pirateados, no sucederá nada malo excepto que alguien mirará sus perfiles en las redes sociales de Odnoklassniki y " En contacto con". Los propietarios de portátiles y netbooks creen que si les roban el equipo, lo último de lo que deben preocuparse es de la pérdida de datos. Los administradores de sistemas de algunas empresas afirman que no tienen ningún proyecto secreto y que se puede confiar en absolutamente todos los empleados de la empresa, y se llevan a casa la documentación y los productos del trabajo intelectual sólo para completar trabajos para los que no tenían suficiente tiempo de trabajo. Y las computadoras de su organización están protegidas por software antivirus y configuración de firewall de forma predeterminada. ¿Por qué es necesario proteger los discos externos si simplemente almacenan archivos de música y vídeo? Y está bien que dispositivos como las unidades flash puedan circular tanto dentro de las organizaciones como entre todos sus amigos.

Pero no podemos estar de acuerdo con ninguna de las razones anteriores. Durante un ataque, los usuarios domésticos no sólo pueden copiar toda su colección de archivos de música y vídeo, sino también apoderarse de todas las contraseñas de cuentas bancarias y credenciales de los sitios visitados utilizando cookies o, Dios no lo quiera, archivos de texto con nombres de usuario y contraseñas que no rara vez se colocan. en el escritorio. También existe una alta probabilidad de que se vea toda la correspondencia postal, etc. Las computadoras portátiles robadas pueden contener datos confidenciales, cuyo robo podría afectar negativamente el negocio de su empresa, y ser despedido con la correspondiente "promoción" en su currículum podría tener un impacto extremadamente negativo en su carrera en el futuro. Y finalmente, hoy en día, cualquier organización contiene datos secretos que no es recomendable mostrar a sus competidores. Y si al menos una de las computadoras de su organización es atacada con éxito, existe una gran posibilidad de que pronto toda su flota de computadoras quede infectada, lo que implicará esfuerzos hercúleos para llevar las computadoras de su organización a su estado original. Puede que incluso en su organización haya personas que le quieran mal. Incluso si seguridad revisa sus maletas cuando sale del edificio, no revisarán el dispositivo de almacenamiento externo de cada empleado. Pero pueden contener una gran cantidad de datos que sus competidores no deberían conocer hasta dentro de unos meses.

Por este motivo, simplemente debe intentar proteger sus datos de cualquier forma válida posible. Precisamente para esto está diseñado este componente de los sistemas operativos modernos de Microsoft. BitLocker le permite evitar el acceso no autorizado a datos incluso en computadoras perdidas o robadas, mejorando así el rendimiento de su sistema operativo. Para mejorar la protección de sus datos, Windows BitLocker utiliza un Módulo de plataforma segura (TPM), una especificación que detalla el criptoprocesador en el que se almacenan las claves criptográficas para proteger la información, así como un nombre genérico para las implementaciones de la especificación especificada, por ejemplo. , en forma de “chip TPM”, que garantiza la integridad de los componentes utilizados incluso en las primeras etapas de carga.

Estas tecnologías ofrecen beneficios tanto para los usuarios domésticos como para los administradores de sistemas en las organizaciones. Para un usuario doméstico, la principal ventaja de estas tecnologías es la facilidad de uso, ya que para el uso diario de la funcionalidad BitLocker o BitLocker To Go, proteger la computadora y restaurarla es completamente transparente para el usuario. Los administradores de sistemas sin duda apreciarán la facilidad de gestión de la protección de datos. Para administrar de forma remota el cifrado BitLocker, puede utilizar la infraestructura de Servicios de dominio de Active Directory, con administración avanzada a través de scripts y políticas de grupo.

Son estos componentes de los sistemas operativos los que se analizarán en esta serie de artículos. En Internet ya se puede encontrar mucha información útil sobre estos componentes y su funcionalidad, incluidos maravillosos reportajes en vídeo en los que se puede ver en directo el principio de su funcionamiento. Por lo tanto, en los artículos de esta serie intentaré considerar con más detalle la mayoría de las funciones tanto para usuarios domésticos como para organizaciones, para que no tenga que perder mucho tiempo buscando cómo implementar tal o cual escenario para aplicar ciertos comportamiento.

Arquitectura de esta tecnología.

Como ya sabes, cuando el sistema operativo está activo, se puede proteger mediante políticas de seguridad locales, software antivirus y firewalls, pero puedes proteger el volumen del sistema operativo en el disco duro con cifrado BitLocker. Para aprovechar al máximo el cifrado BitLocker y la autenticación del sistema, su computadora debe cumplir requisitos como tener instalado TPM versión 1.2, que, cuando el cifrado está habilitado, le permite almacenar una clave de inicio del sistema específica dentro del Módulo de plataforma segura. Además del TPM, el sistema de entrada/salida (BIOS) subyacente debe tener instalada la especificación Trusted Computing Group (TCG), que crea una cadena de confianza para acciones antes de que se inicie el sistema operativo e incluye soporte para un objeto de cambio de confianza raíz estático. . Desafortunadamente, no todas las placas base están equipadas con un módulo como TPM, pero incluso sin este módulo, el sistema operativo le permite aprovechar esta tecnología de cifrado si tiene dispositivos de almacenamiento USB que admitan comandos UFI y también si su disco duro es dividido en dos y más de un volumen. Por ejemplo, en un volumen tendrá el sistema operativo en sí, para lo cual se habilitará el cifrado, y el segundo volumen del sistema, con una capacidad de al menos 1,5 GB, contiene los archivos necesarios para cargar el sistema operativo después de la BIOS carga la plataforma. Todos sus volúmenes deben estar formateados con el sistema de archivos NTFS.

La arquitectura de cifrado BitLocker proporciona mecanismos manejables y funcionales tanto en modo kernel como en modo usuario. A alto nivel, los componentes principales de BitLocker incluyen:

• Controlador del módulo de plataforma segura(%SystemRoot%System32DriversTpm.sys) – controlador que accede al chip TPM en modo kernel;
• Servicios principales de TPM, que incluyen servicios personalizados que brindan acceso en modo de usuario al TPM (%SystemRoot%System32tbssvc.dll), al proveedor WMI y al complemento MMC (%SystemRoot%System32Tpm.msc);
• Código BitLocker relacionado en Boot Manager (BootMgr), que autentica el acceso al disco duro y también permite reparar y desbloquear el gestor de arranque;
• Controlador de filtro BitLocker(%SystemRoot%System32DriversFvevol.sys), que le permite cifrar y descifrar volúmenes sobre la marcha en modo kernel;
• Proveedor WMI BitLocker y gestión de scripts, que le permiten configurar y administrar scripts de interfaz BitLocker.

La siguiente ilustración muestra los distintos componentes y servicios que hacen que la tecnología de cifrado BitLocker funcione correctamente:

Arroz. 1. Arquitectura BitLocker

Claves de cifrado

BitLocker cifra el contenido de un volumen usando clave de cifrado de volumen completo(FVEK - Clave de cifrado de volumen completo) que se le asignó cuando se configuró inicialmente para usar BitLocker, utilizando algoritmos de clave AES de 128 o 256 bits AES128-CBC y AES256-CBC con extensiones de Microsoft llamadas difusores. La clave FVEK se cifra utilizando tecla maestra de volumen(VMK - Volume Master Key) y se almacena en el volumen en un área especialmente designada para metadatos. Proteger la clave maestra de un volumen es una forma indirecta de proteger los datos del volumen: rellenar la clave maestra del volumen permite que el sistema regenere la clave después de que las claves se hayan perdido o estén comprometidas.

Cuando configura el cifrado BitLocker, puede utilizar uno de varios métodos para proteger su computadora con VMK, según la configuración de su hardware. El cifrado BitLocker admite cinco modos de autenticación, según las capacidades del hardware de su computadora y el nivel de seguridad que requiera. Si su configuración de hardware admite la tecnología Trusted Platform Module (TPM), puede guardar el VMK tanto en TMP como en TPM y en un dispositivo USB, o guardar la clave VMK en TPM e ingresar el PIN cuando se inicia el sistema. Además, tienes la oportunidad de combinar los dos métodos anteriores. Y para plataformas que no son compatibles con la tecnología TPM, puedes almacenar la clave en un dispositivo USB externo.

Vale la pena prestar atención al hecho de que al cargar un sistema operativo con el cifrado BitLocker habilitado, se realiza una secuencia de acciones que depende del conjunto de herramientas de protección de volumen. Estos pasos incluyen comprobaciones de integridad del sistema, así como otros pasos de autenticación que deben completarse antes de que se pueda liberar un bloqueo de un volumen protegido. La siguiente tabla resume los diferentes métodos que puede utilizar para cifrar un volumen:

Fuente	Seguridad	Acciones del usuario
Solo TPM	Protege contra ataques de software, pero es vulnerable a ataques de hardware.	Ninguno
TPM+PIN	Agrega protección contra ataques de hardware	El usuario debe ingresar un PIN cada vez que se inicia el sistema operativo.
TPM + llave USB	Protección total contra ataques de hardware, pero vulnerable a la pérdida de la llave USB
TPM + llave USB + PIN	Nivel máximo de protección	Cada vez que se inicia el sistema operativo, el usuario debe ingresar un código PIN y usar una llave USB
Sólo llave USB	Nivel mínimo de protección para computadoras no equipadas con TPM + existe el riesgo de perder la clave	El usuario debe utilizar la llave USB cada vez que se inicia el sistema operativo.

Tabla 1. Fuentes de VMK

La siguiente ilustración muestra cómo cifrar volúmenes:

Arroz. 2. Métodos para cifrar volúmenes utilizando la tecnología BitLocker

Antes de que BitLocker otorgue acceso al FEVK y descifre el volumen, debe proporcionar las claves de un usuario o computadora autorizado. Como se indicó anteriormente, si su computadora tiene un TPM, puede usar diferentes métodos de autenticación. En las siguientes subsecciones, consideraremos cada uno de estos métodos con más detalle.

Usando solo TPM

El proceso de arranque del sistema operativo utiliza TPM para garantizar que el disco duro esté conectado a la computadora correcta y que los archivos importantes del sistema no hayan sido dañados, y también evita el acceso al disco duro si el malware o un rootkit han comprometido la integridad del sistema. Mientras se valida la computadora, el TPM desbloquea la VMK y su sistema operativo se inicia sin interacción del usuario, como puede ver en la siguiente ilustración.

Arroz. 3. Autenticación mediante tecnología TPM

Usando TPM con una llave USB

Además de la seguridad física que se describió en la subsección anterior, en este caso el TPM requiere una clave externa que reside en el dispositivo USB. En este caso, el usuario necesita insertar una unidad USB que almacena una clave externa diseñada para autenticar al usuario y la integridad de la computadora. En este caso, puede proteger su computadora contra robos cuando la enciende, así como cuando la despierta del modo de hibernación. Desafortunadamente, este método no lo protegerá de reactivar su computadora del modo de suspensión. Al utilizar este método, para reducir el riesgo de que le roben su computadora, debe almacenar la clave externa por separado de su computadora. En la siguiente ilustración puede ver el uso de TPM junto con una llave USB externa:

Arroz. 4. Autenticación mediante TPM y llave USB

Uso de TPM junto con un código PIN

Este método evita que la computadora se inicie hasta que el usuario ingrese un número de identificación personal (PIN). Este método le permite proteger su computadora en caso de que le roben la computadora apagada. Desafortunadamente, no debes utilizar este método si la computadora necesita iniciarse automáticamente sin intervención humana, que generalmente actúa como servidores. Cuando se solicita un PIN, el TPM del hardware de la computadora le solicita que ingrese un PIN de cuatro dígitos con un retraso especial establecido por los fabricantes de la placa base y el propio TPM. En la siguiente ilustración puede ver este método de autenticación:

Arroz. 5. Autenticación TPM y PIN

Usando un método combinado (TPM+PIN+llave USB)

En los sistemas operativos Windows 7 y Windows Vista, puede utilizar un método de autenticación combinado para obtener el máximo nivel de protección para su computadora. En este caso, la autenticación del hardware del TPM se complementa ingresando un código PIN y utilizando una clave externa ubicada en una unidad USB. Todas estas herramientas brindan el nivel máximo de protección BitLocker, que requiere datos que el usuario "conoce" y "usa". Para que un atacante pueda tomar posesión de sus datos, que se encuentran en un volumen protegido con tecnología BitLocker, necesita robar su computadora, tener una unidad USB con su clave y también conocer el código PIN, lo cual es casi imposible. La siguiente ilustración ilustra este método de autenticación:

Arroz. 6. Autenticación mediante TPM, llave USB y código PIN

Autenticación solo con llave de inicio USB

En este caso, el usuario proporciona el VMK en un disco, unidad USB o cualquier dispositivo de almacenamiento externo para descifrar el volumen cifrado con FEVK y BitLocker en una computadora que no tiene un TPM instalado. El uso de una clave de inicio sin TPM le permite cifrar datos sin actualizar su hardware. Este método se considera el más vulnerable, ya que en este caso no se verifica la integridad del arranque y al transferir el disco duro a otra computadora, se pueden utilizar los datos del disco cifrado.

Conclusión

BitLocker Drive Encryption es una característica de seguridad en los sistemas operativos Windows modernos que ayuda a proteger el sistema operativo y los datos almacenados en sus computadoras. En una combinación ideal, BitLocker está configurado para utilizar un Módulo de plataforma segura (TPM), que garantiza que la integridad del arranque y los componentes de bloqueo de volumen estén protegidos incluso cuando el sistema operativo aún no se está ejecutando. En este artículo de la serie sobre cifrado de datos, conoció la arquitectura de esta herramienta. En el siguiente artículo, aprenderá cómo implementar el cifrado de unidades mediante la tecnología BitLocker de Windows.

Con el lanzamiento del sistema operativo Windows 7, muchos usuarios se enfrentaron al hecho de que aparecía en él un servicio BitLocker algo incomprensible. Qué es BitLocker, muchos sólo pueden adivinarlo. Intentemos aclarar la situación con ejemplos específicos. En el camino, consideraremos preguntas sobre qué tan apropiado es activar este componente o desactivarlo por completo.

BitLocker: qué es BitLocker, por qué se necesita este servicio

Si lo miras bien, BitLocker es una herramienta universal y totalmente automatizada para almacenar datos almacenados en un disco duro. ¿Qué es BitLocker en un disco duro? Sí, solo un servicio que protege archivos y carpetas sin la intervención del usuario cifrándolos y creando una clave de texto especial que brinda acceso a los documentos.

Cuando un usuario trabaja en el sistema con su propia cuenta, es posible que ni siquiera se dé cuenta de que los datos están cifrados, porque la información se muestra en forma legible y el acceso a archivos y carpetas no está bloqueado. En otras palabras, dicha herramienta de protección está diseñada sólo para aquellas situaciones en las que se accede a un terminal de computadora, por ejemplo, cuando se intenta interferir desde el exterior (ataque de Internet).

Problemas de contraseñas y criptografía

Sin embargo, si hablamos de qué es BitLocker en Windows 7 o sistemas de rango superior, vale la pena señalar el hecho desagradable de que si pierden su contraseña de inicio de sesión, muchos usuarios no solo no pueden iniciar sesión en el sistema, sino que también pueden realizar algunas acciones de navegación. documentos previamente disponibles para copiar, mover, etc.

Pero eso no es todo. Si nos preguntamos qué es BitLocker en Windows 8 o 10, entonces no hay diferencias significativas, excepto que tienen una tecnología de criptografía más avanzada. El problema aquí es claramente diferente. El hecho es que el servicio en sí es capaz de funcionar en dos modos, almacenando claves de descifrado en un disco duro o en una unidad USB extraíble.

Esto sugiere la conclusión más simple: si la clave se guarda en el disco duro, el usuario accede sin problemas a toda la información almacenada en él. Pero cuando la clave se guarda en una unidad flash, el problema es mucho más grave. En principio, puedes ver un disco o partición cifrados, pero no puedes leer la información.

Además, si hablamos de qué es BitLocker en Windows 10 o sistemas anteriores, no podemos dejar de notar el hecho de que el servicio está integrado en cualquier tipo de menú contextual del botón derecho, lo que resulta simplemente molesto para muchos usuarios. Pero no nos adelantemos, sino que consideremos todos los aspectos principales relacionados con el funcionamiento de este componente y la conveniencia de su uso o desactivación.

Método de cifrado de discos y medios extraíbles.

Lo más extraño es que en diferentes sistemas y sus modificaciones, el servicio BitLocker puede estar en modo activo y pasivo de forma predeterminada. En el "siete" está habilitado de forma predeterminada; en las versiones octava y décima, a veces se requiere la activación manual.

En cuanto al cifrado, aquí no se ha inventado nada especialmente nuevo. Como regla general, se utiliza la misma tecnología AES basada en clave pública que se usa con mayor frecuencia en las redes corporativas. Por tanto, si su terminal informático con el sistema operativo adecuado a bordo está conectado a la red local, puede estar seguro de que la política de seguridad y protección de datos aplicable implica la activación de este servicio. Sin derechos de administrador (incluso si comienza a cambiar la configuración como administrador), no podrá cambiar nada.

Habilite BitLocker si el servicio está deshabilitado

Antes de abordar el problema relacionado con BitLocker (cómo deshabilitar el servicio, cómo eliminar sus comandos del menú contextual), veamos cómo habilitarlo y configurarlo, especialmente porque los pasos de desactivación deberán realizarse en orden inverso.

La habilitación del cifrado de la forma más sencilla se realiza desde el "Panel de control" seleccionando la sección. Este método es aplicable sólo si la clave no debe guardarse en un medio extraíble.

Si el dispositivo bloqueado es una unidad no extraíble, tendrá que encontrar la respuesta a otra pregunta sobre el servicio BitLocker: ¿cómo deshabilitar este componente en una unidad flash? Esto se hace de forma bastante sencilla.

Siempre que la clave esté ubicada en un medio extraíble, para descifrar discos y particiones de disco, primero debe insertarla en el puerto (conector) correspondiente y luego ir a la sección del sistema de seguridad del Panel de control. Después de eso, encontramos el elemento de cifrado BitLocker y luego miramos las unidades y los medios en los que está instalada la protección. En la parte inferior verá un hipervínculo para desactivar el cifrado, en el que deberá hacer clic. Si se reconoce la clave, se activa el proceso de descifrado. Sólo queda esperar a que se complete.

Problemas al configurar componentes de ransomware

En cuanto a la configuración, no puedes prescindir de un dolor de cabeza. En primer lugar, el sistema ofrece reservar al menos 1,5 GB para sus necesidades. En segundo lugar, debe ajustar los permisos del sistema de archivos NTFS, reducir el tamaño del volumen, etc. Para evitar hacer tales cosas, es mejor desactivar inmediatamente este componente, porque la mayoría de los usuarios simplemente no lo necesitan. Incluso todos aquellos que tienen este servicio habilitado en su configuración predeterminada tampoco siempre saben qué hacer con él o si es necesario. Pero en vano. Puede usarlo para proteger los datos en su computadora local incluso si no tiene software antivirus.

BitLocker: cómo desactivarlo. Primera etapa

Nuevamente, use el elemento especificado anteriormente en el "Panel de control". Dependiendo de la modificación del sistema, los nombres de los campos de desactivación del servicio pueden cambiar. La unidad seleccionada puede tener una línea para suspender la protección o una indicación directa para deshabilitar BitLocker.

Ese no es el punto. Aquí vale la pena prestar atención al hecho de que deberá deshabilitar completamente los archivos de inicio del sistema informático. De lo contrario, el proceso de descifrado puede tardar bastante.

Menú de contexto

Esta es sólo una cara de la moneda BitLocker. Probablemente ya esté claro qué es BitLocker. Pero la otra cara es aislar los menús adicionales de la presencia de enlaces a este servicio en ellos.

Para hacer esto, echemos un vistazo nuevamente a BitLocker. ¿Cómo eliminar todos los enlaces a un servicio? ¡Elemental! En Explorer, cuando seleccione el archivo o carpeta deseado, use la sección de servicio y edite el menú contextual correspondiente, vaya a la configuración, luego use la configuración del comando y organícela.

Después de eso, en el editor de registro, ingresamos a la rama HKCR, donde encontramos la sección ROOTDirectoryShell, la expandimos y eliminamos el elemento deseado presionando la tecla Supr o el comando eliminar del menú contextual. En realidad, eso es lo último sobre el componente BitLocker. Creo que ya está claro cómo desactivarlo. Pero no te engañes. De todos modos, este servicio funcionará (por si acaso), lo quieras o no.

En lugar de un epílogo

Queda por añadir que esto no es todo lo que se puede decir sobre el componente del sistema de cifrado BitLocker. ¿Qué es BitLocker? Descubrí cómo deshabilitarlo y también eliminar los comandos del menú. La pregunta es: ¿debería desactivar BitLocker? Aquí sólo podemos dar un consejo: en una red local corporativa no conviene desactivar este componente en absoluto. Pero si se trata de un terminal de ordenador doméstico, ¿por qué no?

Según los expertos, el robo de portátiles es uno de los principales problemas en el ámbito de la seguridad de la información (SI).

A diferencia de otras amenazas a la seguridad de la información, la naturaleza del problema de la “portátil robada” o la “unidad flash robada” es bastante primitiva. Y si el coste de los dispositivos perdidos rara vez supera los varios miles de dólares estadounidenses, el valor de la información almacenada en ellos suele medirse en millones.

Según Dell y el Instituto Ponemon, cada año desaparecen 637.000 portátiles sólo en los aeropuertos estadounidenses. Imagínese cuántas unidades flash se pierden, porque son mucho más pequeñas y dejar caer accidentalmente una unidad flash es más fácil que pelar peras.

Cuando se pierde un ordenador portátil perteneciente a un alto directivo de una gran empresa, los daños causados ​​por dicho robo pueden ascender a decenas de millones de dólares.

¿Cómo protegerse a usted y a su empresa?

Continuamos nuestra serie de artículos sobre seguridad de dominios de Windows. En el primer artículo de la serie, hablamos sobre cómo configurar un inicio de sesión de dominio seguro y, en el segundo, sobre cómo configurar una transferencia de datos segura en un cliente de correo electrónico:

En este artículo hablaremos sobre cómo configurar el cifrado de la información almacenada en su disco duro. Comprenderá cómo asegurarse de que nadie más que usted pueda leer la información almacenada en su computadora.

Pocas personas saben que Windows tiene herramientas integradas que le ayudan a almacenar información de forma segura. Consideremos uno de ellos.

Seguramente algunos de vosotros habéis oído la palabra “BitLocker”. Averigüemos qué es.

¿Qué es BitLocker?

BitLocker (exactamente llamado BitLocker Drive Encryption) es una tecnología para cifrar el contenido de las unidades de computadora desarrollada por Microsoft. Apareció por primera vez en Windows Vista.

Con BitLocker, fue posible cifrar volúmenes de discos duros, pero más tarde, en Windows 7, apareció una tecnología similar, BitLocker To Go, que está diseñada para cifrar unidades extraíbles y unidades flash.

BitLocker es un componente estándar de Windows Professional y de las versiones de servidor de Windows, lo que significa que ya está disponible para la mayoría de los casos de uso empresarial. De lo contrario, deberá actualizar su licencia de Windows a Professional.

¿Cómo funciona BitLocker?

Esta tecnología se basa en el cifrado de volumen completo realizado mediante el algoritmo AES (Advanced Encryption Standard). Las claves de cifrado deben almacenarse de forma segura y BitLocker tiene varios mecanismos para ello.

El método más simple, pero al mismo tiempo más inseguro, es una contraseña. La clave se obtiene de la contraseña de la misma manera cada vez y, en consecuencia, si alguien descubre su contraseña, se conocerá la clave de cifrado.

Para evitar almacenar la clave en texto claro, se puede cifrar en un TPM (Trusted Platform Module) o en un token criptográfico o tarjeta inteligente que admita el algoritmo RSA 2048.

TPM es un chip diseñado para implementar funciones básicas relacionadas con la seguridad, principalmente mediante claves de cifrado.

El módulo TPM generalmente se instala en la placa base de la computadora, sin embargo, es muy difícil comprar una computadora con un módulo TPM incorporado en Rusia, ya que la importación de dispositivos sin notificación FSB a nuestro país está prohibida.

Usar una tarjeta inteligente o un token para desbloquear una unidad es una de las formas más seguras de controlar quién completó el proceso y cuándo. Para quitar el bloqueo en este caso, necesitará tanto la tarjeta inteligente como el código PIN.

Cómo funciona BitLocker:

1. Cuando se activa BitLocker, se crea una secuencia de bits maestra utilizando un generador de números pseudoaleatorios. Esta es la clave de cifrado de volumen: FVEK (clave de cifrado de volumen completo). Cifra el contenido de cada sector. La clave FVEK se mantiene en la más estricta confidencialidad.
2. FVEK se cifra mediante VMK (clave maestra de volumen). La clave FVEK (cifrada con la clave VMK) se almacena en el disco entre los metadatos del volumen. Sin embargo, nunca debería terminar en el disco en forma descifrada.
3. La propia VMK también está cifrada. El usuario elige el método de cifrado.
4. La clave VMK se cifra de forma predeterminada utilizando la clave SRK (clave raíz de almacenamiento), que se almacena en una tarjeta inteligente o token criptográfico. Esto sucede de manera similar con TPM.
   Por cierto, la clave de cifrado de la unidad del sistema en BitLocker no se puede proteger mediante una tarjeta inteligente o un token. Esto se debe al hecho de que las bibliotecas del proveedor se utilizan para acceder a tarjetas inteligentes y tokens y, por supuesto, no están disponibles antes de cargar el sistema operativo.
   Si no hay TPM, BitLocker sugiere guardar la clave de partición del sistema en una unidad flash USB, lo que, por supuesto, no es la mejor idea. Si su sistema no tiene un TPM, no recomendamos cifrar las unidades de su sistema.
   En general, cifrar la unidad del sistema es una mala idea. Cuando se configura correctamente, todos los datos importantes se almacenan por separado de los datos del sistema. Esto es al menos más conveniente desde el punto de vista de su respaldo. Además, cifrar los archivos del sistema reduce el rendimiento del sistema en su conjunto y el funcionamiento de un disco del sistema no cifrado con archivos cifrados se produce sin pérdida de velocidad.
5. Las claves de cifrado para otras unidades extraíbles y que no pertenecen al sistema se pueden proteger mediante una tarjeta inteligente o un token, así como un TPM.
   Si no hay un módulo TPM ni una tarjeta inteligente, en lugar de SRK, se utiliza una clave generada en función de la contraseña que ingresó para cifrar la clave VMK.

Al iniciar desde un disco de arranque cifrado, el sistema consulta todos los almacenes de claves posibles: verifica la presencia de un TPM, verifica los puertos USB o, si es necesario, avisa al usuario (lo que se llama recuperación). El descubrimiento del almacén de claves permite a Windows descifrar la clave VMK que descifra la clave FVEK que descifra los datos en el disco.

Cada sector del volumen se cifra por separado y parte de la clave de cifrado está determinada por el número de ese sector. Como resultado, dos sectores que contienen los mismos datos no cifrados tendrán un aspecto diferente cuando estén cifrados, lo que hará muy difícil determinar las claves de cifrado escribiendo y descifrando datos previamente conocidos.

Además de FVEK, VMK y SRK, BitLocker utiliza otro tipo de clave que se crea "por si acaso". Estas son las claves de recuperación.

Para emergencias (el usuario perdió un token, olvidó su PIN, etc.), BitLocker le solicita que cree una clave de recuperación en el último paso. El sistema no prevé la negativa a crearlo.

¿Cómo habilitar el cifrado de datos en su disco duro?

Antes de comenzar el proceso de cifrar volúmenes en su disco duro, es importante tener en cuenta que este procedimiento llevará algún tiempo. Su duración dependerá de la cantidad de información que haya en el disco duro.

Si la computadora se apaga o entra en hibernación durante el cifrado o descifrado, estos procesos se reanudarán donde se detuvieron la próxima vez que inicie Windows.

Incluso durante el proceso de cifrado, se puede utilizar el sistema Windows, pero es poco probable que le agrade su rendimiento. Como resultado, después del cifrado, el rendimiento del disco disminuye aproximadamente un 10%.

Si BitLocker está disponible en su sistema, cuando haga clic derecho en el nombre de la unidad que necesita cifrarse, se mostrará el elemento del menú que se abre. Activar BitLocker.

En las versiones de servidor de Windows es necesario agregar una función Cifrado de unidad BitLocker.

Comencemos a configurar el cifrado de un volumen que no sea del sistema y protejamos la clave de cifrado mediante un token criptográfico.

Usaremos un token producido por la empresa Aktiv. En particular, el token PKI de Rutoken EDS.

I. Preparemos Rutoken EDS PKI para el trabajo.

En la mayoría de los sistemas Windows configurados normalmente, después de la primera conexión a Rutoken EDS PKI, se descarga e instala automáticamente una biblioteca especial para trabajar con tokens producidos por la empresa Aktiv: Aktiv Rutoken minidriver.

El proceso de instalación de dicha biblioteca es el siguiente.

La presencia de la biblioteca de minicontroladores Aktiv Rutoken se puede comprobar a través de administrador de dispositivos.

Si la descarga e instalación de la biblioteca no se realizó por algún motivo, debe instalar el kit de controladores Rutoken para Windows.

II. Cifremos los datos del disco usando BitLocker.

Haga clic en el nombre del disco y seleccione Activar BitLocker.

Como dijimos anteriormente, usaremos un token para proteger la clave de cifrado del disco.
Es importante comprender que para utilizar un token o una tarjeta inteligente con BitLocker, debe contener claves RSA 2048 y un certificado.

Si utiliza el servicio de Autoridad de certificación en un dominio de Windows, entonces la plantilla de certificado debe contener el alcance del certificado "Cifrado de disco" (más información sobre cómo configurar la Autoridad de certificación en nuestra serie de artículos sobre seguridad de dominio de Windows).

Si no tiene un dominio o no puede cambiar la política para la emisión de certificados, puede utilizar un método alternativo utilizando un certificado autofirmado. Se describen detalles sobre cómo emitir un certificado autofirmado para usted.
Ahora marquemos la casilla correspondiente.

En el siguiente paso, seleccionaremos un método para guardar la clave de recuperación (recomendamos elegir Imprime la clave de recuperación).

El papel con la clave de recuperación impresa debe guardarse en un lugar seguro, preferiblemente en una caja fuerte.

En la siguiente etapa, iniciaremos el proceso de cifrado del disco. Una vez que se complete este proceso, es posible que deba reiniciar su sistema.

Cuando el cifrado esté habilitado, el icono del disco cifrado cambiará.

Y ahora, cuando intentemos abrir esta unidad, el sistema le pedirá que inserte un token e ingrese su código PIN.

La implementación y configuración de BitLocker y TPM se pueden automatizar mediante la herramienta WMI o scripts de Windows PowerShell. La forma en que se implementen los escenarios dependerá del entorno. Los comandos para BitLocker en Windows PowerShell se describen en este artículo.

¿Cómo recuperar datos cifrados de BitLocker si se pierde el token?

Si desea abrir datos cifrados en Windows

Para hacer esto, necesitará la clave de recuperación que imprimimos anteriormente. Simplemente ingréselo en el campo correspondiente y se abrirá la sección cifrada.

Si desea abrir datos cifrados en sistemas GNU/Linux y Mac OS X

Para hacer esto, necesita la utilidad DisLocker y una clave de recuperación.

La utilidad DisLocker funciona en dos modos:

• ARCHIVO: toda la partición cifrada por BitLocker se descifra en un archivo.
• FUSE: solo se descifra el bloque al que accede el sistema.

Por ejemplo, usaremos el sistema operativo Linux y el modo de utilidad FUSE.

En las últimas versiones de distribuciones comunes de Linux, el paquete dislocker ya está incluido en la distribución, por ejemplo, en Ubuntu, a partir de la versión 16.10.

Si por alguna razón el paquete Dislocker no está disponible, debe descargar la utilidad y compilarla:

tar -xvjf dislocker.tar.gz

Abramos el archivo INSTALL.TXT y verifiquemos qué paquetes necesitamos instalar.

En nuestro caso, necesitamos instalar el paquete libfuse-dev:

sudo apt-get instalar libfuse-dev

Comencemos a armar el paquete. Vayamos a la carpeta src y usemos los comandos make y make install:

cd src/hacer hacer instalar

Cuando todo se haya compilado (o haya instalado el paquete), comencemos a configurar.

Vayamos a la carpeta mnt y creemos dos carpetas en ella:

• Partición cifrada: para una partición cifrada;
• Partición descifrada: para una partición descifrada.

cd /mnt mkdir Partición cifrada mkdir Partición descifrada

Busquemos la partición cifrada. Descifrémoslo usando la utilidad y movámoslo a la carpeta de partición cifrada:

dislocker -r -V /dev/sda5 -p clave_recuperación /mnt/partición-cifrada(en lugar de recovery_key, sustituya su clave de recuperación)

Mostremos una lista de archivos ubicados en la carpeta de partición cifrada:

ls partición-cifrada/

Ingresemos el comando para montar la partición:

mount -o loop Driveq/dislocker-file partición-descifrada/

Para ver la partición descifrada, vaya a la carpeta Partición cifrada.

resumamos

Habilitar el cifrado de volúmenes con BitLocker es muy sencillo. Todo esto se hace sin esfuerzo y de forma gratuita (siempre que tengas una versión profesional o de servidor de Windows, claro).

Puede utilizar un token criptográfico o una tarjeta inteligente para proteger la clave de cifrado que cifra el disco, lo que aumenta significativamente el nivel de seguridad.

Cifrado de disco Bitlocker

BitLocker: BitLocker (nombre completo BitLockerDrive Encryption) está integrado en los sistemas operativos Windows Vista Ultimate/Enterprise, Windows 7 Ultimate, Windows Server 2008 R2, Windows Server 2012 y Windows 8.

Con BitLocker, puede cifrar completamente todo el medio de almacenamiento (unidad lógica, tarjeta SD, llave USB). Al mismo tiempo, se admiten los algoritmos de cifrado AES 128 y AES 256.

Quizás también le interese el artículo "", en el que intentamos averiguar si es posible descifrar el cifrado de disco de Windows.

La clave de recuperación de cifrado se puede almacenar en su computadora, en un dispositivo USB o en un chip de hardware TPM (Trusted Platform Module). También puedes guardar una copia de la clave en tu cuenta de Microsoft (pero ¿por qué?).

EXPLICACIÓN Puede almacenar la clave en el chip TPM solo en aquellas computadoras donde el chip TPM está integrado en la placa base. Si la placa base de la computadora está equipada con un chip TPM, la clave se puede leer después de la autenticación mediante una llave USB/tarjeta inteligente o después de ingresar un código PIN.

En el caso más sencillo, puede autenticar al usuario utilizando una contraseña normal. Este método, por supuesto, no es adecuado para James Bond, pero para la mayoría de los usuarios comunes que desean ocultar algunos de sus datos a colegas o familiares, será suficiente.

Con BitLocker, puede cifrar cualquier volumen, incluido el volumen de inicio, aquel desde el que arranca Windows. Luego, será necesario ingresar la contraseña al arrancar (o utilizar otros medios de autenticación, por ejemplo, TPM).

CONSEJO Le recomiendo encarecidamente que no cifre su volumen de arranque. Primero, la productividad disminuye. Technet.microsoft informa que el impacto típico en el rendimiento es del 10%, pero en su caso particular puede esperar más lentitud en su computadora, dependiendo de su configuración. Y, de hecho, no es necesario cifrar todos los datos. ¿Por qué cifrar los mismos archivos de programa? No hay nada confidencial en ellos. En segundo lugar, si algo le sucede a Windows, me temo que todo podría terminar mal: formatear el volumen y perder datos.

Por lo tanto, es mejor cifrar un volumen: una unidad lógica independiente, una unidad USB externa, etc. Y luego colocar todos sus archivos secretos en esta unidad cifrada. También puede instalar programas que requieren protección en un disco cifrado, por ejemplo, el mismo 1C Accounting.

Conectará dicho disco solo cuando sea necesario: haga doble clic en el icono del disco, ingrese la contraseña y obtenga acceso a los datos.

¿Qué se puede cifrar con BitLocker?

Puede cifrar cualquier unidad excepto la de red y la óptica. Aquí hay una lista de tipos de conexión de unidades admitidos: USB, Firewire, SATA, SAS, ATA, IDE, SCSI, eSATA, iSCSI, Fibre Channel.

No se admite el cifrado de volúmenes conectados a través de Bluetooth. Y aunque la tarjeta de memoria de un teléfono móvil conectado a un ordenador mediante Bluetooth parece un medio de almacenamiento independiente, no se puede cifrar.

Los sistemas de archivos admitidos son NTFS, FAT32, FAT16, ExFAT. No se admiten otros sistemas de archivos, incluidos CDFS, NFS, DFS, LFS y matrices RAID de software (se admiten matrices RAID de hardware).

Puede cifrar unidades de estado sólido: (unidades SSD, unidades flash, tarjetas SD), discos duros (incluidos los conectados mediante USB). No se admite el cifrado de otros tipos de unidades.

Cifrado de disco Bitlocker

Vaya a su escritorio, inicie el Explorador de archivos y haga clic en haga clic derecho en el disco, que desea cifrar. Permítame recordarle que puede ser un volumen lógico, una tarjeta SD, una unidad flash, una unidad USB o una unidad SSD. En el menú que aparece, seleccione Habilitar BitLocker.

Comando para habilitar el cifrado BitLocker

Lo primero que se le preguntará es cómo accederá a la unidad cifrada: mediante una contraseña o una tarjeta inteligente. Debe seleccionar una de las opciones (o ambas: entonces estarán involucradas tanto la contraseña como la tarjeta inteligente); de lo contrario, el botón Siguiente no se activará.

¿Cómo eliminaremos el bloqueo de Bitlocker?

En el siguiente paso se le pedirá que cree una copia de seguridad de la clave.
recuperación.

Archivar la clave de recuperación

EXPLICACIÓN La clave de recuperación se utiliza para desbloquear la unidad en caso de que haya olvidado su contraseña o haya perdido su tarjeta inteligente. No puede negarse a crear una clave de recuperación. Y esto es correcto, porque al regresar de vacaciones, olvidé mi contraseña del disco cifrado. La misma situación puede volver a sucederle a usted. Por lo tanto, elegimos uno de los métodos propuestos para archivar la clave de recuperación.

• Guardando la clave de su cuenta de Microsoft. No recomiendo este método: no hay conexión a Internet; no podrá obtener su clave.
• Guardar en un archivo es la mejor manera. El archivo de clave de recuperación se escribirá en su escritorio.

Guardar la clave de recuperación en el escritorio

• Ya comprende, debe transferirse desde allí a un lugar más seguro, por ejemplo, a una unidad flash. También es recomendable cambiarle el nombre para que no quede claro inmediatamente por el nombre del archivo que se trata exactamente de la misma clave. Puede abrir este archivo (verá cómo se ve más adelante) y copiar la clave de recuperación en algún archivo para que solo usted sepa cuál es la línea y en qué archivo se encuentra. Es mejor eliminar el archivo original con la clave de recuperación más tarde. Será más confiable de esta manera.
• Imprimir una clave de recuperación es una idea bastante descabellada, a menos que luego guardes esta hoja de papel en una caja fuerte y la cierres con siete candados.

Ahora debe determinar qué parte del disco debe cifrarse.

¿Qué parte del disco se debe cifrar?

Puede cifrar sólo el espacio ocupado o puede cifrar todo el disco a la vez. Si su disco está casi vacío, es mucho más rápido cifrar sólo el espacio ocupado. Consideremos las opciones:

• Deje que solo haya 10 MB de datos en una unidad flash de 16 GB. Elija la primera opción y el disco se cifrará instantáneamente. Los archivos nuevos escritos en una unidad flash se cifrarán "sobre la marcha", es decir, automáticamente;
• la segunda opción es adecuada si hay muchos archivos en el disco y está casi completamente lleno. Sin embargo, para la misma unidad flash de 16 GB, pero llena hasta 15 GB, la diferencia en el tiempo de cifrado según la primera o la segunda opción será prácticamente indistinguible (se cifrarán 15 GB o 16 GB
  casi al mismo tiempo);
• sin embargo, si hay pocos datos en el disco y elige la segunda opción, el cifrado llevará mucho tiempo en comparación con el primer método.

Entonces todo lo que tienes que hacer es presionar el botón Iniciar cifrado.

Cifrado de disco con Bitlocker

Espere hasta que el disco esté cifrado. No apague la computadora ni la reinicie hasta que se complete el cifrado; recibirá un mensaje indicándolo.

Si se produce un corte de energía, el cifrado continuará desde donde se quedó cuando se inicia Windows. Esto es lo que dice en el sitio web de Microsoft. No verifiqué si esto es cierto para el disco del sistema; no quería correr el riesgo.

El artículo continúa en la página siguiente. Para pasar a la página siguiente, haga clic en el botón 2 que se encuentra debajo de los botones de redes sociales.

En esta serie, hablamos brevemente sobre la tecnología BitLocker, que es una herramienta de seguridad en los sistemas operativos Windows modernos. En principio, el artículo describe la arquitectura de esta herramienta, que no será de mucha utilidad a la hora de realizar el cifrado de disco en casa o en una organización. Además, en el primer artículo se pudo descubrir que para aprovechar al máximo esta tecnología, los ordenadores en los que se realizará el cifrado deben estar equipados con un módulo como el Módulo de plataforma segura (TPM), que, lamentablemente, puede no funcionar. no se encuentra en todos los ordenadores. Por lo tanto, en los siguientes artículos de esta serie, al describir cómo trabajar con un módulo de plataforma confiable, solo se considerará su emulador en una máquina virtual. Además, creo que vale la pena señalar que ni este ni los siguientes artículos de esta serie abordarán el bloqueo de unidades de datos cuando se utilizan tarjetas inteligentes.

Como probablemente sepa, la tecnología BitLocker le permite cifrar una unidad completa, mientras que el Sistema de cifrado de archivos (EFS) le permite cifrar solo archivos individuales. Naturalmente, en algunos casos es necesario cifrar sólo ciertos archivos y parecería que no tiene sentido cifrar toda la partición, pero es aconsejable utilizar EFS sólo en ordenadores de la intranet que no se trasladarán entre departamentos y oficinas. En otras palabras, si su usuario tiene una computadora portátil, necesita realizar viajes de negocios periódicamente y dicho usuario tiene, digamos, solo unas pocas docenas de archivos en su computadora que deben cifrarse, es mejor que su computadora portátil esté Utilice la tecnología BitLocker en lugar de un sistema de archivos cifrado. Esto se explica por el hecho de que con EFS no podrá cifrar elementos tan vitales del sistema operativo como los archivos de registro. Y si un atacante accede al registro de su computadora portátil, puede encontrar mucha información interesante para sí mismo, como datos almacenados en caché para la cuenta de dominio de su usuario, un hash de contraseña y mucho más, que en el futuro puede causar un daño significativo y pérdida no sólo para este usuario, sino para toda la empresa en su conjunto. Y con la ayuda de la tecnología BitLocker, a diferencia de un sistema de archivos cifrados, como se indicó anteriormente, todos los datos ubicados en el disco cifrado de la computadora portátil de su usuario se cifrarán en la computadora portátil de su usuario. Muchos se preguntarán: ¿cómo pueden otros usuarios de la organización utilizar archivos cifrados mediante esta tecnología? De hecho, todo es muy simple: si se comparte una computadora con archivos cifrados usando la tecnología BitLocker, los usuarios autorizados podrán interactuar con dichos archivos tan fácilmente como si no hubiera cifrado en la computadora de ese usuario. Además, si los archivos ubicados en un disco cifrado se copian a otra computadora o a un disco no cifrado, estos archivos se descifrarán automáticamente.

En las siguientes secciones, aprenderá cómo cifrar el sistema y las particiones secundarias en una computadora portátil que no es TPM y ejecuta Windows 7.

Habilite el cifrado BitLocker para la partición del sistema

No hay nada complicado en habilitar el cifrado de unidad BitLocker en una partición del sistema en una computadora que no forma parte de un dominio. Antes de cifrar el disco del sistema, creo que vale la pena prestar atención al hecho de que en la computadora portátil en la que se cifrarán los discos, se crearon tres particiones y las dos primeras deben estar cifradas:

Arroz. 1. Explorador de Windows en la computadora portátil en la que se cifrarán los discos.

Para cifrar la partición del sistema, siga estos pasos:

1. En primer lugar, dado que la computadora portátil de este ejemplo en la que se cifrarán las unidades no tiene TPM, es recomendable realizar algunos pasos preliminares. Necesitas abrir el complemento. "Editor de políticas de grupo local" y navegue hasta Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo. Aquí puede encontrar seis configuraciones de políticas diferentes. Como se mencionó anteriormente que esta computadora portátil no está equipada con un módulo TPM, debe asegurarse de que antes de cargar el sistema operativo utilice una unidad USB que contenga una clave especial diseñada para confirmar la autenticación y el posterior arranque del sistema. La configuración de política utilizada para realizar esta operación es "Se requiere autenticación adicional al inicio". En el cuadro de diálogo de propiedades de esta configuración de política, debe marcar las opciones "Permitir BitLocker sin un TPM compatible". En este caso, al ser esta la única opción que nos puede interesar a la hora de cifrar un disco en un grupo de trabajo, guardar los cambios realizados. El cuadro de diálogo de propiedades para esta configuración de directiva se muestra en la siguiente ilustración:



Arroz. 2. Requerir autenticación adicional en el cuadro de diálogo Propiedades de configuración de política de inicio

Hay muchas configuraciones de política de grupo diferentes disponibles para administrar la tecnología BitLocker. Estas opciones se analizarán en detalle en un artículo futuro sobre la tecnología BitLocker.

2. Abierto "Panel de control", ir a la categoría "Sistema y seguridad" y luego seleccione "Cifrado de unidad BitLocker";
3. En la ventana del Panel de control que aparece, seleccione la partición del sistema y luego haga clic en el enlace "Habilitar BitLocker". Vale la pena prestar atención al hecho de que solo puede cifrar una partición si está ubicada en un disco básico. Si ha creado particiones en un disco dinámico, antes de cifrarlas deberá convertir el disco de dinámico a básico. La siguiente ilustración muestra la ventana "Cifrado de unidad BitLocker":



Arroz. 3. Ventana de cifrado de unidad BitLocker del panel de control

4. Después de verificar la configuración de su computadora, en la primera página del Asistente de cifrado de unidad BitLocker, puede especificar varias opciones de inicio. Pero como mi computadora portátil no tiene un TPM y se cambió una configuración de política de grupo para permitir el cifrado BitLocker en hardware no habilitado para TPM, solo puedo seleccionar el "Solicitar clave al inicio". La primera página del asistente se muestra a continuación:



Arroz. 4. Opción de inicio del Asistente de cifrado de unidad BitLocker

5. En la pagina "Guardar la clave de inicio" En el asistente de BitLocker Drive Encryption, debe conectar una unidad flash a su computadora y luego seleccionarla en la lista. Después de seleccionar la unidad, haga clic en el botón "Ahorrar";
6. En la tercera página del asistente, deberá especificar la ubicación de la clave de recuperación. La clave de recuperación es un pequeño archivo de texto que contiene algunas instrucciones, una etiqueta de unidad, una ID de contraseña y una clave de recuperación de 48 caracteres. Hay que recordar que esta clave se diferencia de la clave de inicio en que se utiliza para acceder a los datos en los casos en los que es imposible acceder a ellos por cualquier otro medio. Puedes elegir una de las siguientes tres opciones: guarde la clave de recuperación en una unidad flash USB, guarde la clave de recuperación en un archivo o imprimir clave de recuperación. Tenga en cuenta que al elegir la primera opción, debe guardar las claves de recuperación e inicio en diferentes unidades flash. Dado que se recomienda guardar varias claves de recuperación y en computadoras distintas a la que se está cifrando, en mi caso la clave de recuperación se guardó en una carpeta de red en uno de mis servidores, así como en una unidad en la nube de HP. Ahora solo HP y yo conoceremos el contenido de la clave de recuperación, aunque lo más probable es que nos convenzan de la total confidencialidad de la información. Si imprime una clave de recuperación, Microsoft recomienda almacenar el documento en una caja fuerte cerrada con llave. Recomiendo simplemente memorizar estos 48 números y después de leer el documento simplemente quemarlo :). Página "¿Cómo guardar la clave de recuperación?" El asistente de cifrado de BitLocker se muestra en la siguiente ilustración:



Arroz. 5. Guardar la clave de recuperación de datos cifrados con BitLocker

7. Esta es la última página del Asistente de Drive Encryption porque en este punto puede ejecutar una verificación del sistema BitLocker para asegurarse de que puede usar fácilmente su clave de recuperación si es necesario. Para completar la verificación del sistema, se le pedirá que reinicie su computadora. En principio este paso no es obligatorio, pero aun así es recomendable realizar esta comprobación. Puede ver la última página del asistente a continuación:



Arroz. 6. Última página del Asistente de cifrado de disco

8. Inmediatamente después de la prueba POST, se le pedirá que inserte una unidad flash con una clave de inicio para iniciar el sistema operativo. Una vez que se reinicia la computadora y BitLocker sabe que no ocurrirán circunstancias imprevistas después del cifrado, comenzará el proceso de cifrado del disco. Lo sabrás por el ícono que se muestra en el área de notificación o si vas a la ventana "Cifrado de unidad BitLocker" desde el panel de control. El proceso de cifrado en sí se ejecuta en segundo plano, es decir, podrá continuar trabajando en su computadora mientras se ejecuta el cifrado, pero BitLocker utilizará intensamente los recursos del procesador y liberará espacio en el disco cifrado. Para ver qué porcentaje de su disco ya está cifrado, busque el ícono en el área de notificación "Cifrar %volume_name% usando BitLocker Drive Encryption" y haga doble clic en él. Icono de notificación de BitLocker y cuadro de diálogo "Cifrado de unidad BitLocker" mostrado a continuación:



Arroz. 7. Realizar cifrado

9. Una vez que se complete el proceso de cifrado de la unidad BitLocker, se le notificará que el cifrado de la unidad que seleccionó se completó con éxito. Este cuadro de diálogo se puede ver a continuación:





Arroz. 8. Completar el cifrado de unidad BitLocker

Para aquellos que cifran un disco por primera vez, me gustaría señalar que este procedimiento no se realiza instantáneamente y, por ejemplo, me tomó 70 minutos cifrar un disco del sistema con una capacidad de 75 gigabytes.

Ahora, como puedes ver en la siguiente ilustración, en el Explorador de Windows hay un candado en el icono de la partición del sistema, lo que significa que esta partición está cifrada usando la tecnología BitLocker:

Arroz. 9. Explorador de Windows con una partición del sistema cifrada

Conclusión

En este artículo, aprendió cómo cifrar una unidad utilizando la tecnología BitLocker. Se considera el proceso de preparación para el cifrado y el cifrado del disco mediante una interfaz gráfica. Dado que al principio del artículo indiqué que se cifrarán dos unidades en esta computadora portátil, en el siguiente artículo aprenderá cómo cifrar una unidad utilizando la tecnología BitLocker usando una utilidad de línea de comandos. administrar-dbe .