Módulo 10 - Configuring Encryption and Advanced Auditing

Cifrado y Auditoría Avanzada.En este módulo hablaremos de cifrado de archivos y carpetas en reposo, no en tránsito, como es el caso de las VPNs y DirectAccess. Para cifrar archivos y carpetas en un disco duro, Windows Server 2012 R2 incluye 2 herramientas:

• BitLocker: Es relativamente reciente, desde Windows Vista y Windows Server 2008. • EFS (Encrypted File System): Es una característica de NTFS.

BitLockerEs una característica que podemos añadir a Windows Server desde la versión 2008 y a los clientes Windows desde Vista. Windows XP no soporta BitLocker, pero si puede leer dispositivos removibles que hayan sido cifrados con BitLocker on the Go. Para esto, Windows XP necesita el Reader de BitLocker on the Go. BitLocker es una tecnología que permite cifrar unidades completas. Podemos cifrar una partición o solo el espacio que se está usando de una partición. BitLocker no permite cifrar archivos o carpetas independientes. Al cifrar solo el espacio cifrado por una partición aceleramos el proceso, pero podría ocurrir que se vieran comprometidos archivos que fueron borrados y que aún están en la zona sin usar de la partición. El objetivo de BitLocker es evitar que una persona que obtenga un disco duro o un pendrive pueda conectarlo a otro ordenador y acceder a su contenido. El escenario habitual es cifrar los portátiles de la empresa por si uno se pierde. Otro escenario habitual de BitLocker es proteger los archivos de arranque del sistema. BitLocker analiza los archivos de arranque y del sistema y si detecta cambios no autorizados en alguno, no permite el arranque. Secure Boot. Es un método de protección frente a troyanos, backdoors, rootkits, … Algunas características de BitLocker sólo están disponibles si disponemos de un TPM (Trusted Platform Module). TPM es un chip que encontramos en la mayoría de equipos y está diseñado para llevar a cabo tareas criptográficas. En este TPM es donde BitLocker almacena las contraseñas de cifrado. El requisito es disponer de TPM 1.2. El algoritmo de cifrado que usa BitLocker es AES, tanto de 128 como de 256 bits. Proteger particiones tanto de datos como del sistema y es posible que se apliquen durante el proceso de instalación de Windows. Practica-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Creamos una partición de 20GB en LON-RTR, lo inicializamos todo por defecto.Creamos un archivo.txt "Archivo Importante"Instalamos la Característica de BitLocker Drive Encryption.Pide reiniciar. Vamos a esperar a reiniciar, para configurar unas GPOs en LON-DC1 y reiniciar después para que se apliquen los cambios de la GPO.

• BitLocker Network Unlock es una característica que permite descifrar automáticamente unidades de equipos que estén en un dominio confiable. Las claves de cifrado de BitLocker se habrán almacenado en el AD DS. Si el equipo que contiene la partición está en el dominio, la partición se descifra. Cuando está fuera, la partición permanece bloqueada. Entramos en LON-DC1 y modificamos la política por defecto, para que se aplique en todo el dominio.

Módulo 10: 70-411 Configuring Encryption and Advanced Auditingjueves, 15 de enero de 2015 9:28

Page 1 of 33OneNote Online

13/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...

Seleccionamos la que está marcada porque es para Windows 8 y Windows Server 2012. La de abajo es para otros sistemas operativos anteriores pero hace lo mismo.

La editamos y seleccionamos los bits de cifrado. Si no configuramos, por defecto tiene la longitud de 128 bits.



Ahora configuramos Unidades de Datos Fijas. El tipo de encriptación para la partición del sistema, lo normal es que sea completo.

Cifrarnos el espacio utilizado



Podemos configurarlo para un cifrado completo del Sistema Operativo. Aunque todavía no hemos habilitado el TPM



Y configuramos el TPM para que no nos lo pida, ya que no lo tenemos. Y nos deje cifrar utilizando una contraseña.Requerir autenticación adicional en el inicio. Así podemos sustituir el TPM por una contraseña.

Como vemos esta opción es solo para Windows Server 2008 R2 o Windows 7.



Esta es la misma que la anterior pero para Windows Server 2008 y Windows Vista.

• Esta opción es solo para Windows Server 2012 o Windows 8. (no la configuramos pero importante para el examen)



Entramos en LON-RTR y hacemos gpupdate /force y reiniciamos para que se apliquen las GPOs y termine de instalarse la característica que hemos instalado anteriormente.

Ahora si entramos en Panel de Control y mostramos todos los iconos vemos el icono

Nos da 2 opciones o Contraseña o tarjeta inteligente. Como no tenemos tarjeta inteligente lo hacemos con contraseña.



Y nos dice si queremos imprimir la contraseña o guárdala.Lo guardamos en el escritorio aunque no es lo más seguro.

Y que solo cifre el espacio utilizado.



Iniciar encriptado.

Vemos que las opciones del Panel de Control han cambiado



Este es el archivo que ha creado

Y vemos que el icono de la unidad también ha cambiado.

Ahora vamos a LON-CL1 y vamos a añadir el disco de LON-RTR (Unidad E:\)



-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Si perdemos TPM, la contraseña, el pendrive donde tenemos almacenadas las credenciales o el archivo donde la hemos guardado, perderemos el acceso a la unidad. Al no ser que previamente hayamos configurado un DRA (Data Recovery Agent) (Agente de Recuperación de Datos). La configuración de un DRA es igual para BitLocker y para EFS. Por defecto, el DRA para EFS es el Administrador del dominio. EFS.EFS es una propiedad del sistema de archivos NTFS que permite cifrar archivos individuales o carpetas. No exige instalar ninguna característica adicional. Es una capa adicional de seguridad. Incluso si un usuario tienen acceso completo a nivel de permisos a un archivo, si no está autorizado en EFS, tendrá acceso denegado.



EFS no cifra volúmenes completos, sino carpetas y archivos. Es un cifrado a nivel de usuario. Por defecto, el archivo sólo será accesible para quien lo ha cifrado y para el DRA. Para que otro usuario tenga acceso al archivo, tendremos que añadirlo a la lista de autorizados en EFS. EFS utiliza un sistema de cifrado simétrico. La clave de cifrado se genera para cada archivo y se almacena en la cabecera de ese archivo. La clave para cifrar y descifrar el archivo se llama FEK (File Encryption Key). Archivo en plano: Este archivo es muy importante. | Cifrar | Clave de cifrado (FEK): 2 (se trata de mover 2 posiciones las letras) Ejemplo: Este = Guvg Archivo Cifrado: Guvg -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Entramos en LON-CL1 con un usuario que no sea administrador. En la autoridad certificadora. (certsrv)--> Certificate Templates --> botón derecho Management --> plantilla de usuario (User) --> botón derecho propiedades --> Security --> Domain User --> comprobamos que si nos va a dar certificado.

• Para implementar EFS no es necesario contar con un CA, pero es ese caso, los certificados que se usarían para proteger la FEK serían autofirmado. Contar con una CA nos va a facilitar la gestión de certificados la recuperación de archivos cifrados con EFS. Active Directory --> Sales --> usuario Sales1 --> botón derecho --> propiedades y vemos que no es administrador de dominio.Entramos con ese usuario (Sales1) a LON-CL1.Abrimos una MMC y añadimos la consola de certificados. (Certificates)

Y vemos que en "Personal no tiene ningún certificado. --> Botón derecho --> All Task --> Request New Certificate (pedimos un certificado ) --> Next

--> User



--> Enroll --> FinishEn "Personal" --> Certificates --> ya tenemos el certificado de Sales1 En LON-DC1 verificamos desde la consola de certificados que se ha emitido (Issued Certificates) el certificado a Sales1. (LON-CL1) Creamos una carpeta en c:\

Y creamos un archivo que queremos proteger para todos los usuarios que no sean Sales1

Ciframos la carpeta.



Marcamos la última opción.



Pulsamos en aplicar y OK.

Y ha cambiado el color de archivo

Volvemos a entrar en las propiedades del archivo "Secreto"



Vamos a entrar con Sales2 a ver si puede acceder al archivo.Lo intentamos abrir y sale el siguiente mensaje (no nos deja abrir el archivo)

Queremos que Sales1 y Sales2 puedan colaborar con ese archivo.Con el usuario Sales2 entramos otra vez en la consola mmc, añadimos el Snap-in de certificados y solicitamos un certificado como hemos hecho con Sales1



Para que Sales2 tenga acceso se lo tiene que proporcionar Sales1 o el administrador.Entramos con el usuario Sales1.





Damos a todas las ventanas "OK"Entramos ahora con Sales2 y comprobamos que nos deja abrir el archivo.txt

Desde LON-DC1El Certificado de Sales1 ya no es seguro y hay que revocarlo. (ejemplo)



Ha pasado a estar en certificados Revocados.

Entramos en LON-CL1 con el usuario Sales1. No nos debería dejar entrar en el archivo (la revocación de certificado tarda un poco)Y vamos a provocar otro fallo.Entramos en la mmc --> certificados y borramos el certificado de Sales1

Cerramos la sesión (solo para que se apliquen los cambios) y volvemos a entrar con Sales1Intentamos entrar en el archivo y no nos deja.



Cómo le volvemos a dejar entrar? Deja des-revocarlo, pero lo hemos revocado porque la clave se ha visto comprometida (en este ejemplo) por lo que no se puede volver a generar el mismo certificado por seguridad. Pedimos otro certificado con Sales1.Cambiamos de usuario entrando con Sales2, y le damos permiso con el nuevo certificado de Sales1 para acceder al archivo. (pasos anteriores)Entramos con Sales1 y ya nos deja entrar con el nuevo certificado. Esto es una solución a medias, porque Sales2 solo tiene acceso a ese archivo concretamente y Sales1 tenía acceso a toda la carpeta, por lo que si hubiera otros archivos .txt, a Sales1 no le dejaría entrar si Sales2 no tiene permisos para acceder a esos otros archivos… De todos modos si hubiera 100 archivos y Sales2 tuviera acceso a todo, sería muy costoso dar permisos a Sales1 archivo por archivo. Por lo que entramos como administrador del dominio en LON-CL1. A nivel de carpeta vemos que solo Sales1 tiene permiso para entrar

Abrimos una consola mmc y agregamos el certificado como My user account



Deberíamos importar el certificado del administrador, pero antes hay que exportarlo desde LON-DC1.Entramos en LON-DC1Abrimos la consola mmc y agregamos el Snap-in de certificados

Vemos que este certificado es para recuperación de archivos.

Pero si hubiera miles de archivos que recuperar el Administrador no tiene por qué encargarse de esa tarea, por lo que debería delegar la tarea. (se haría como en la imagen, pero no lo vamos a hacer.

Abrimos la consola de Gestión de Directivas de Grupo (GPO)Editamos la política por defecto



Vemos que tiene el mismo certificado que desde la consola mmc, pero si pulsamos con el botón derecho vemos que se puede añadir un agente de recuperación de datos. Ya no lo tendría que hacer el administrador.Podemos "Añadir" y "Crear".Añadir es cuando ya tenemos el certificado que le permite hacer esas tareas.Lo creo cuando todavía el usuario no tiene el certificado que le permite hacer esas tareas.



En este caso tenemos que Crear un Agente de Recuperación de Datos.

Y nos crea otro certificado.

Exportamos el certificado Administrador.

Es una chapuza porque metemos la clave privada en una carpeta compartida, (no recomendable), pero para la práctica nos sirve.



La protegemos con una clave.





Vamos LON-CL1 con el usuario administrador. Añadimos el Snap-in de certificado.





Finish. Ya tenemos el certificado.

Entramos en las propiedades de la carpeta y probamos descifrar, y si nos deja ya podríamos acceder con el usuario al archivo.



Directivas de Auditoria.Para activar la auditoria

Creamos una nueva GPO en el dominio





Vamos a auditar esta carpeta. LON-DC1



Entramos a LON-CL1 con Sales1 Creamos un archivo en la "carpeta compartida" Informes Vamos al visor de eventos y vemos que ha creado un evento.



Documents

Módulo 10 - Configuring Encryption and Advanced Auditing