Professional Documents
Culture Documents
Páxina 0
1. Caso práctico. Cifrado nativo de
datos en sistemas Windows
Páxina 1
Unha vez marcado o directorio como cifrado todo o que se almacene nel cifrarase (non se
aplica sobre o que xa estivese dentro). O usuario non terá que preocuparse de nada máis.
Unha vez pechada a sesión, se outro usuario quere acceder aos devanditos datos, non
poderá facelo, aínda arrincando desde un medio live, como un USB ou DVD.
Para crear o certificado utilizado para o cifrado, utilízase o SID do usuario (único por
máquina) polo que, se o usuario se elimina será imposible recuperar os datos.
Para evitar este problema, pódese realizar unha copia de seguridade do certificado e as
claves EFS utilizadas. No momento que activas a característica de cifrado, o propio siste-
ma activa unha xanela emerxente que che propón realizar unha copia de seguridade dos
mesmos:
Páxina 2
Tamén se pode realizar co comando cipher cipher /X:
/X Fai unha copia de seguridade do certificado e as claves EFS no ar-
quivo filename. Se se proporciona efsfile, farase unha copia de seguri-
dade do certificado ou certificados actuais do usuario usados para ci-
frar o arquivo. Pola contra, farase unha copia de seguridade do certifi-
cado e as claves EFS actuais do usuario.
Pediranos un contrasinal para cifrar o arquivo xerado e xeraranos un ficheiro .PFX onde
quedarán gardadas as nosas credenciais de cifrado:
Páxina 3
Para importar un ficheiro de copia de seguridade de certificados, simplemente teremos que
facer clic dereito ->Instalar PFX. Pedirásenos o contrasinal utilizado e poderemos incorpo-
ralo ao noso almacen de certificados dixitais (a nivel de usuario ou a nivel do equipo).
Axentes de recuperación
En contornos de dominio existe o rol de axente de recuperación que é util para aquelas
situacións nas que un usuario deixa o seu posto de traballo con arquivos cifrados sen facer
copia de seguridade, ou se a súa conta se elimina accidentalmente. Nestes casos é intere-
sante dispoñer dunha figura a nivel de dominio que poida recuperar devanditos arquivos.
Esta é a función do axente de recuperación, un rol especial do directorio activo. O usuario
que ten este permiso debe de pertencer ao grupo de administradores de dominio (ou admi-
nistradores locais).
Cando está activada esta figura, Windows cifrará os arquivos con dúas credenciais: a
do usuario normal e a do axente de recuperación. Así os dous poderán descifralo.
Os axentes de recuperación créanse, a nivel de directorio activo, na seguinte directiva:
Unha vez definidos, podemos acceder ao botón de detalles no cartafol que teñamos cifrado
e podemos obter información dos certificados de recuperación que se aplican sobre o de-
vandita cartafol en función das directivas que se lle apliquen:
Páxina 4
1.2 Bitlocker
Vexamos como poderiamos facer para cifrar a unidade onde se atopa situado o sistema
operativo.
Desde unha conta con permisos de administrador executamos a utilidade do sistema
Administrar Bitlocker.
– Nota.- Tamén podemos acceder a través de Panel de control->Sistema y Segui-
dad->Cifrado de unidad BitLocker ou simplemente facer clic dereito sobre a uni-
dade que queiramos cifrar e buscar a opción Activar Bitlocker.
Despois é tan sinxelo como facer clic en Activar BitLocker xunto á unidade que queiras ci-
frar e seguir as instrucións do asistente.
Se estamos a tratar de usar Bitlocker desde un equipo sen TPM, sairanos a seguinte adver-
tencia:
Páxina 5
Para activar a directiva que se nos indica, utilizaremos o editor de directivas de grupo e
iremos ás opcións de administración de bitlocker comentadas anteriormente e, dentro de-
las, á subcarpeta Unidades del sistema operativo:
Páxina 6
Posteriormente podemos volver iniciar o proceso (Activar Bitlocker) para executar o asis-
tente que nos irá guiando o proceso. Cada unha das opcións elixidas dependerá de cada
caso particular. No caso mostrado, o desbloqueo da unidade realizarase mediante contrasi-
nal e a clave de recuperación almacenarase nun ficheiro situado nunha unidade de rede:
Páxina 7
A continuación procederá co cifrado da unidade (é posible que solicite un reinicio) e, unha
vez concluído, cada vez que iniciemos o noso sistema pediranos a clave de desbloqueo (en
caso de solicitar o desbloqueo por USB teremos que telo enchufado para poder iniciar o
sistema).
Páxina 8
Desactivar BitLocker
Páxina 9