Índice

1. Caso práctico. Cifrado nativo de datos en sistemas Windows..............................2

1.1 Cifrado EFS................................................................................................................... 2
Exemplo de uso. Cifrado dun cartafol...............................................................................................2
Axentes de recuperación................................................................................................................... 5
1.2 Bitlocker......................................................................................................................... 6
Exemplo de uso. Cifrado completo dun disco ou unidade.................................................................6
Desactivar BitLocker....................................................................................................................... 10

Páxina 0
1. Caso práctico. Cifrado nativo de
datos en sistemas Windows

1.1 Cifrado EFS

Exemplo de uso. Cifrado dun cartafol

Podemos activar o cifrado de calquera arquivo ou cartafol desde as opcións avanzadas do

mesmo:

Tamén é posible utilizar o comando de sistema cipher.exe:

Páxina 1
Unha vez marcado o directorio como cifrado todo o que se almacene nel cifrarase (non se
aplica sobre o que xa estivese dentro). O usuario non terá que preocuparse de nada máis.
Unha vez pechada a sesión, se outro usuario quere acceder aos devanditos datos, non
poderá facelo, aínda arrincando desde un medio live, como un USB ou DVD.
Para crear o certificado utilizado para o cifrado, utilízase o SID do usuario (único por
máquina) polo que, se o usuario se elimina será imposible recuperar os datos.
Para evitar este problema, pódese realizar unha copia de seguridade do certificado e as
claves EFS utilizadas. No momento que activas a característica de cifrado, o propio siste-
ma activa unha xanela emerxente que che propón realizar unha copia de seguridade dos
mesmos:

Páxina 2
Tamén se pode realizar co comando cipher cipher /X:
/X Fai unha copia de seguridade do certificado e as claves EFS no ar-
quivo filename. Se se proporciona efsfile, farase unha copia de seguri-
dade do certificado ou certificados actuais do usuario usados para ci-
frar o arquivo. Pola contra, farase unha copia de seguridade do certifi-
cado e as claves EFS actuais do usuario.

Pediranos un contrasinal para cifrar o arquivo xerado e xeraranos un ficheiro .PFX onde
quedarán gardadas as nosas credenciais de cifrado:

Páxina 3
Para importar un ficheiro de copia de seguridade de certificados, simplemente teremos que
facer clic dereito ->Instalar PFX. Pedirásenos o contrasinal utilizado e poderemos incorpo-
ralo ao noso almacen de certificados dixitais (a nivel de usuario ou a nivel do equipo).

Axentes de recuperación

En contornos de dominio existe o rol de axente de recuperación que é util para aquelas
situacións nas que un usuario deixa o seu posto de traballo con arquivos cifrados sen facer
copia de seguridade, ou se a súa conta se elimina accidentalmente. Nestes casos é intere-
sante dispoñer dunha figura a nivel de dominio que poida recuperar devanditos arquivos.
Esta é a función do axente de recuperación, un rol especial do directorio activo. O usuario
que ten este permiso debe de pertencer ao grupo de administradores de dominio (ou admi-
nistradores locais).
Cando está activada esta figura, Windows cifrará os arquivos con dúas credenciais: a
do usuario normal e a do axente de recuperación. Así os dous poderán descifralo.
Os axentes de recuperación créanse, a nivel de directorio activo, na seguinte directiva:

Unha vez definidos, podemos acceder ao botón de detalles no cartafol que teñamos cifrado
e podemos obter información dos certificados de recuperación que se aplican sobre o de-
vandita cartafol en función das directivas que se lle apliquen:

Páxina 4
1.2 Bitlocker

Exemplo de uso. Cifrado completo dun disco ou unidade

Vexamos como poderiamos facer para cifrar a unidade onde se atopa situado o sistema
operativo.
Desde unha conta con permisos de administrador executamos a utilidade do sistema
Administrar Bitlocker.
– Nota.- Tamén podemos acceder a través de Panel de control->Sistema y Segui-
dad->Cifrado de unidad BitLocker ou simplemente facer clic dereito sobre a uni-
dade que queiramos cifrar e buscar a opción Activar Bitlocker.
Despois é tan sinxelo como facer clic en Activar BitLocker xunto á unidade que queiras ci-
frar e seguir as instrucións do asistente.

Se estamos a tratar de usar Bitlocker desde un equipo sen TPM, sairanos a seguinte adver-
tencia:

Páxina 5
Para activar a directiva que se nos indica, utilizaremos o editor de directivas de grupo e
iremos ás opcións de administración de bitlocker comentadas anteriormente e, dentro de-
las, á subcarpeta Unidades del sistema operativo:

Teremos que habilitar a directiva Requerir autenticación adicional al iniciar e, dentro

dela, asegurarnos de marcar Permitir Bitlocker sin un TPM compatible:

Páxina 6
Posteriormente podemos volver iniciar o proceso (Activar Bitlocker) para executar o asis-
tente que nos irá guiando o proceso. Cada unha das opcións elixidas dependerá de cada
caso particular. No caso mostrado, o desbloqueo da unidade realizarase mediante contrasi-
nal e a clave de recuperación almacenarase nun ficheiro situado nunha unidade de rede:

Páxina 7
A continuación procederá co cifrado da unidade (é posible que solicite un reinicio) e, unha
vez concluído, cada vez que iniciemos o noso sistema pediranos a clave de desbloqueo (en
caso de solicitar o desbloqueo por USB teremos que telo enchufado para poder iniciar o
sistema).

– Nota.- Se agora quixeramos acceder ao disco iniciando un sistema operativo desde

outro dispositivo de arranque, por exemplo para tratar de extraer datos de usuarios
ou para facer uso da vulnerabilidade Utilman.exe vista no caso práctico 01, obteria-
mos a seguinte mensaxe imposibilitando o acceso ao disco:

Páxina 8
Desactivar BitLocker

Se nalgún momento queremos desactivar o cifrado de Bitlocker, simplemente teremos que

ir á mesma xanela na que iniciamos o cifrado e facer clic en Desactivar Bitlocker sobre a
unidade desexada.

Páxina 9