Guía de planeamiento de BitLocker
Una estrategia de implementación de BitLocker incluye la definición de las directivas y los requisitos de configuración adecuados en función de los requisitos de seguridad de la organización. Este artículo ayuda a recopilar la información para ayudar con una implementación de BitLocker.
Auditoría del entorno
Para planear una implementación de BitLocker, comprenda el entorno actual. Realice una auditoría informal para definir las directivas, los procedimientos y el entorno de hardware actuales. Revise el software de cifrado de disco existente y las directivas de seguridad de la organización. Si la organización no usa software de cifrado de disco, es posible que estas directivas no existan. Si el software de cifrado de disco está en uso, es posible que las directivas tengan que cambiar para usar ciertas características de BitLocker.
Para ayudar a documentar las directivas de seguridad de cifrado de disco actuales de la organización, responda a las siguientes preguntas:
☑️ | Pregunta |
---|---|
🔲 | ¿Hay directivas para determinar qué dispositivos deben usar BitLocker y cuáles no? |
🔲 | ¿Qué directivas existen para controlar la contraseña de recuperación y el almacenamiento de claves de recuperación? |
🔲 | ¿Cuáles son las directivas para validar la identidad de los usuarios que necesitan realizar la recuperación de BitLocker? |
🔲 | ¿Qué directivas existen para controlar quién de la organización tiene acceso a los datos de recuperación? |
🔲 | ¿Qué directivas existen para controlar la retirada o retirada de dispositivos? |
🔲 | ¿Qué fuerza del algoritmo de cifrado está en vigor? |
Claves de cifrado y autenticación
Un módulo de plataforma de confianza (TPM) es un componente de hardware instalado en muchos dispositivos Windows por los fabricantes. Funciona con BitLocker para ayudar a proteger los datos de usuario y asegurarse de que un dispositivo no se ha alterado mientras el sistema estaba sin conexión.
BitLocker puede bloquear el proceso de inicio normal hasta que el usuario proporciona un número de identificación personal (PIN) o inserta un dispositivo USB extraíble que contiene una clave de inicio. Estas medidas de seguridad adicionales proporcionan autenticación multifactor. También se aseguran de que el equipo no se inicie o se reanude desde la hibernación hasta que se presente el PIN o la clave de inicio correctos.
En los dispositivos que no tienen un TPM, BitLocker todavía se puede usar para cifrar el volumen del sistema operativo Windows. Sin embargo, esta implementación no proporciona la comprobación de integridad del sistema previa al inicio ofrecida por BitLocker que funciona con un TPM.
Una implementación eficaz de la protección de la información, como la mayoría de los controles de seguridad, considera la facilidad de uso y la seguridad. Por lo general, los usuarios prefieren una experiencia de seguridad simple. De hecho, cuanto más transparente se vuelve una solución de seguridad, más probable es que los usuarios cumplan con ella.
Es fundamental que las organizaciones protejan la información en sus dispositivos independientemente del estado del dispositivo o de la intención de los usuarios. Esta protección no debe ser complicada para los usuarios. Una situación indeseable y anteriormente común es cuando se solicita al usuario la entrada durante el arranque previo y, después, de nuevo durante el inicio de sesión de Windows. Debe evitarse complicar a los usuarios para que escriban más de una vez.
El TPM es capaz de proteger de forma segura la clave de cifrado de BitLocker mientras está en reposo y puede desbloquear de forma segura la unidad del sistema operativo. Cuando la clave está en uso y, por tanto, en la memoria, una combinación de hardware y funcionalidades de Windows puede proteger la clave y evitar el acceso no autorizado a través de ataques de arranque en frío. Aunque hay disponibles otras contramedidas como el desbloqueo basado en PIN, no son tan fáciles de usar; dependiendo de la configuración de los dispositivos, es posible que no ofrezcan más seguridad en lo que respecta a la protección de claves. Para obtener más información, vea Contramedidas de BitLocker.
Protectores de claves de BitLocker
Para proteger la clave de cifrado de BitLocker, BitLocker puede usar diferentes tipos de protectores. Al habilitar BitLocker, cada protector recibe una copia de la clave maestra de volumen, que luego se cifra mediante su propio mecanismo.
Protector de clave | Descripción |
---|---|
Desbloqueo automático | Se usa para desbloquear automáticamente volúmenes que no hospedan un sistema operativo. BitLocker usa información cifrada almacenada en los metadatos del registro y del volumen para desbloquear los volúmenes de datos que usan el desbloqueo automático. |
Contraseña y contraseña para la unidad del sistema operativo | Para desbloquear una unidad, el usuario debe proporcionar una contraseña. Cuando se usa para las unidades del sistema operativo, se solicita al usuario una contraseña en la pantalla de arranque previo. Este método no ofrece ninguna lógica de bloqueo, por lo que no protege contra ataques por fuerza bruta. |
Clave de inicio | Una clave de cifrado que se puede almacenar en medios extraíbles, con un formato de nombre de archivo de <protector_id>.bek . Se solicita al usuario la unidad flash USB que tiene la clave de recuperación o la clave de inicio y, a continuación, reinicia el dispositivo. |
Certificado de tarjeta inteligente | Se usa para desbloquear volúmenes que no hospedan un sistema operativo. Para desbloquear una unidad, el usuario debe usar una tarjeta inteligente. |
TPM | Dispositivo de hardware que se usa para ayudar a establecer una raíz de confianza segura, validando los componentes de arranque temprano. El protector de TPM solo se puede usar con la unidad del sistema operativo. |
TPM + PIN | Protector de clave numérico o alfanumérico especificado por el usuario que solo se puede usar con volúmenes del sistema operativo y además del TPM. El TPM valida los componentes de arranque anticipado. El usuario debe escribir el PIN correcto antes de que pueda continuar el proceso de inicio y antes de que se pueda desbloquear la unidad. El TPM entra en bloqueo si el PIN incorrecto se escribe repetidamente, para proteger el PIN de ataques por fuerza bruta. El número de intentos repetidos que desencadenan un bloqueo es variable. |
TPM + Clave de inicio | El TPM valida correctamente los componentes de arranque anticipado. El usuario debe insertar una unidad USB que contenga la clave de inicio antes de que el sistema operativo pueda arrancar. |
TPM + Clave de inicio + PIN | El TPM valida correctamente los componentes de arranque anticipado. El usuario debe escribir el PIN correcto e insertar una unidad USB que contenga la clave de inicio antes de que el sistema operativo pueda arrancar. |
Contraseña de recuperación | Número de 48 dígitos que se usa para desbloquear un volumen cuando está en modo de recuperación. Los números a menudo se pueden escribir en un teclado normal. Si los números del teclado normal no responden, las teclas de función (F1-F10) se pueden usar para introducir los números. |
TPM + Clave de red | El TPM valida correctamente los componentes de arranque anticipado y se ha proporcionado una clave de red cifrada válida desde un servidor WDS. Este método de autenticación proporciona desbloqueo automático de los volúmenes del sistema operativo mientras se mantiene la autenticación multifactor. Este protector de clave solo se puede usar con volúmenes del sistema operativo. |
Clave de recuperación | Una clave de cifrado almacenada en medios extraíbles que se puede usar para recuperar datos cifrados en un volumen de BitLocker. El nombre de archivo tiene el formato .<protector_id>.bek |
Agente de recuperación de datos | Los agentes de recuperación de datos (DRA) son cuentas que pueden descifrar unidades protegidas por BitLocker mediante sus certificados. La recuperación de una unidad protegida por BitLocker se puede realizar mediante un agente de recuperación de datos configurado con el certificado adecuado. |
Usuario o grupo de Active Directory | Protector que se basa en un usuario de Active Directory o una seguridad de grupo identificada (SID). Las unidades de datos se desbloquean automáticamente cuando estos usuarios intentan acceder a ellas. |
Compatibilidad con dispositivos sin TPM
Determine si se admitirán los equipos que no tengan un TPM 1.2 o versiones posteriores en el entorno. Si decide admitir dispositivos sin TPM, un usuario debe usar una clave de inicio USB o una contraseña para arrancar el sistema. La clave de inicio requiere procesos de soporte técnico adicionales similares a la autenticación multifactor.
¿Qué áreas de la organización necesitan un nivel de base de referencia de protección de datos?
El método de autenticación solo TPM proporciona la experiencia de usuario más transparente para las organizaciones que necesitan un nivel de base de referencia de protección de datos para cumplir las directivas de seguridad. Tiene el costo total de propiedad más bajo. Es posible que solo TPM sea más adecuado para los dispositivos desatendidos o que deben reiniciarse desatendidos.
Sin embargo, el método de autenticación solo TPM no ofrece un alto nivel de protección de datos. Este método de autenticación protege contra ataques que modifican componentes de arranque anticipado. Sin embargo, el nivel de protección puede verse afectado por posibles debilidades en el hardware o en los componentes de arranque temprano. Los métodos de autenticación multifactor de BitLocker aumentan significativamente el nivel general de protección de datos.
Sugerencia
Una ventaja de la autenticación solo tpm es que un dispositivo puede arrancar Windows sin ninguna interacción del usuario. En caso de pérdida o robo de un dispositivo, puede haber una ventaja de esta configuración: si el dispositivo está conectado a Internet, se puede borrar de forma remota con una solución de administración de dispositivos como Microsoft Intune.
¿Qué áreas de la organización necesitan un nivel de protección de datos más seguro?
Si hay dispositivos con datos altamente confidenciales, implemente BitLocker con autenticación multifactor en esos sistemas. Requerir que el usuario introduzca un PIN aumenta significativamente el nivel de protección del sistema. El desbloqueo de red de BitLocker también se puede usar para permitir que estos dispositivos se desbloqueen automáticamente cuando se conectan a una red cableada de confianza que puede proporcionar la clave de desbloqueo de red.
¿Qué método de autenticación multifactor prefiere la organización?
Las diferencias de protección proporcionadas por los métodos de autenticación multifactor no se pueden cuantificar fácilmente. Tenga en cuenta el impacto de cada método de autenticación en el soporte técnico del departamento de soporte técnico, la educación de los usuarios, la productividad del usuario y los procesos de administración de sistemas automatizados.
Administrar contraseñas y PIN
Cuando BitLocker está habilitado en una unidad del sistema y el dispositivo tiene un TPM, se puede requerir a los usuarios que escriban un PIN antes de que BitLocker desbloquee la unidad. Este requisito de PIN puede impedir que un atacante que tenga acceso físico a un dispositivo incluso acceda al inicio de sesión de Windows, lo que hace que sea casi imposible que el atacante acceda a los datos del usuario y a los archivos del sistema o los modifique.
Requerir un PIN en el inicio es una característica de seguridad útil porque actúa como un segundo factor de autenticación. Sin embargo, esta configuración conlleva algunos costos, especialmente si necesita cambiar el PIN con regularidad.
Además, los dispositivos en espera moderna no requieren un PIN para el inicio: están diseñados para iniciarse con poca frecuencia y tener otras mitigaciones en su lugar que reduzcan aún más la superficie expuesta a ataques del sistema.
Para obtener más información sobre cómo funciona la seguridad de inicio y las contramedidas que proporciona Windows, consulte Autenticación previa al arranque.
Configuraciones de hardware de TPM
En el plan de implementación, identifique qué plataformas de hardware basadas en TPM se admiten. Documente los modelos de hardware de los OEM que usa la organización para que sus configuraciones se puedan probar y admitir. El hardware tpm requiere una consideración especial durante todos los aspectos de planeamiento e implementación.
Estados e inicialización de TPM 1.2
Para TPM 1.2, hay varios estados posibles. Windows inicializa automáticamente el TPM, lo que lo lleva a un estado habilitado, activado y de propiedad. Este estado es el estado que BitLocker requiere para poder usar el TPM.
Claves de aprobación
Para que BitLocker pueda usar un TPM, debe contener una clave de aprobación, que es un par de claves RSA. La mitad privada del par de claves se mantiene dentro del TPM y nunca se revela ni se puede acceder a ella fuera del TPM. Si el TPM no tiene una clave de aprobación, BitLocker obliga al TPM a generar uno automáticamente como parte de la instalación de BitLocker.
Se puede crear una clave de aprobación en varios puntos del ciclo de vida del TPM, pero debe crearse solo una vez durante la vigencia del TPM. Si no existe una clave de aprobación para el TPM, debe crearse para poder tomar la propiedad de TPM.
Para obtener más información sobre tpm y TCG, vea Trusted Computing Group: Trusted Platform Module (TPM) Specifications (Especificaciones del grupo de computación de confianza: módulo de plataforma segura (TPM).
Configuraciones de hardware que no son tpm
Los dispositivos sin TPM todavía se pueden proteger con cifrado de unidad mediante una clave de inicio.
Use las siguientes preguntas para identificar los problemas que podrían afectar a la implementación en una configuración que no es de TPM:
- ¿Hay un presupuesto para las unidades flash USB para cada uno de estos dispositivos?
- ¿Los dispositivos que no son TPM existentes admiten unidades USB en el momento del arranque?
Pruebe las plataformas de hardware individuales con la opción de comprobación del sistema de BitLocker al habilitar BitLocker. La comprobación del sistema garantiza que BitLocker pueda leer la información de recuperación de un dispositivo USB y las claves de cifrado correctamente antes de cifrar el volumen.
Consideraciones sobre la configuración del disco
Para funcionar correctamente, BitLocker requiere una configuración de disco específica. BitLocker requiere dos particiones que cumplan los siguientes requisitos:
- La partición del sistema operativo contiene el sistema operativo y sus archivos de soporte técnico; debe tener formato con el sistema de archivos NTFS.
- La partición del sistema (o partición de arranque) incluye los archivos necesarios para cargar Windows después de que el firmware del BIOS o UEFI haya preparado el hardware del sistema. BitLocker no está habilitado en esta partición. Para que BitLocker funcione, la partición del sistema no debe cifrarse y debe estar en una partición diferente a la del sistema operativo. En las plataformas UEFI, la partición del sistema debe tener formato con el sistema de archivos FAT 32. En las plataformas BIOS, la partición del sistema debe tener formato con el sistema de archivos NTFS. Debe tener al menos 350 MB de tamaño.
El programa de instalación de Windows configura automáticamente las unidades de disco de los equipos para admitir el cifrado de BitLocker.
Windows Recovery Environment (Windows RE) es una plataforma de recuperación extensible basada en el entorno de preinstalación de Windows (Windows PE). Cuando el equipo no se inicia, Windows pasa automáticamente a este entorno y la herramienta reparación de inicio de Windows RE automatiza el diagnóstico y la reparación de una instalación de Windows que no se puede iniciar. Windows RE también contiene los controladores y las herramientas necesarios para desbloquear un volumen protegido por BitLocker proporcionando una clave de recuperación o una contraseña de recuperación. Para usar Windows RE con BitLocker, la imagen de arranque de Windows RE debe estar en un volumen que no esté protegido por BitLocker.
Windows RE también se puede usar desde medios de arranque distintos del disco duro local. Si Windows RE no está instalado en el disco duro local de los equipos habilitados para BitLocker, se pueden usar métodos diferentes para arrancar Windows RE. Por ejemplo, los Servicios de implementación de Windows (WDS) o la unidad flash USB se pueden usar para la recuperación.
Aprovisionamiento de BitLocker
Los administradores pueden habilitar BitLocker antes de la implementación del sistema operativo desde el entorno de preinstalación de Windows (WinPE). Este paso se realiza con un protector de clave clara generado aleatoriamente aplicado al volumen con formato. Cifra el volumen antes de ejecutar el proceso de instalación de Windows. Si el cifrado usa la opción Solo espacio en disco usado , este paso tarda solo unos segundos y se puede incorporar en los procesos de implementación existentes. La preaprovisionamiento requiere un TPM.
Para comprobar el estado de BitLocker de un volumen determinado, los administradores pueden examinar el estado de la unidad en bitlocker Panel de control applet o el Explorador de Windows. El estado De activación en espera significa que la unidad se preaprovisionó para BitLocker y solo se usa un protector claro para cifrar el volumen. En este caso, el volumen no está protegido y debe tener una clave segura agregada al volumen antes de que la unidad se considere totalmente protegida. Los administradores pueden usar las opciones de Panel de control, los cmdlets de PowerShell, la manage-bde.exe
herramienta o las API de WMI para agregar un protector de clave adecuado. A continuación, se actualiza el estado del volumen.
Al usar las opciones de Panel de control, los administradores pueden optar por activar BitLocker y seguir los pasos del asistente para agregar un protector, como un PIN para un volumen del sistema operativo (o una contraseña si no existe tpm), o una contraseña o un protector de tarjeta inteligente a un volumen de datos. A continuación, se muestra la ventana de seguridad de la unidad antes de cambiar el estado del volumen.
Cifrado de solo espacio en disco usado
El Asistente para la instalación de BitLocker proporciona a los administradores la capacidad de elegir el método Solo espacio en disco usado o Cifrado completo al habilitar BitLocker para un volumen. Los administradores pueden usar la configuración de directiva de BitLocker para aplicar solo espacio en disco usado o cifrado de disco completo.
Al iniciar el Asistente para la instalación de BitLocker, se solicita el método de autenticación que se va a usar (la contraseña y la tarjeta inteligente están disponibles para los volúmenes de datos). Una vez que se elige el método y se guarda la clave de recuperación, el asistente le pide que elija el tipo de cifrado de unidad. Seleccione Solo espacio en disco usado o Cifrado de unidad completa .
Con Solo espacio en disco usado, solo se cifra la parte de la unidad que contiene datos. El espacio no utilizado permanece sin cifrar. Este comportamiento hace que el proceso de cifrado sea más rápido, especialmente para nuevos dispositivos y unidades de datos. Cuando BitLocker está habilitado con este método, a medida que se agregan datos a la unidad, se cifra la parte de la unidad usada. Por lo tanto, nunca hay datos sin cifrar almacenados en la unidad.
Con el cifrado de unidad completa, se cifra toda la unidad, independientemente de si los datos se almacenan en ella o no. Esta opción es útil para las unidades que se han reutilizado y pueden contener restos de datos de su uso anterior.
Precaución
Tenga cuidado al cifrar solo el espacio usado en un volumen existente en el que es posible que los datos confidenciales ya se hayan almacenado en un estado no cifrado. Cuando se usa el cifrado de espacio usado, los sectores en los que se almacenan datos no cifrados anteriormente se pueden recuperar a través de herramientas de recuperación de disco hasta que se sobrescriban por nuevos datos cifrados. Por el contrario, cifrar solo el espacio usado en un volumen nuevo puede reducir significativamente el tiempo de implementación sin el riesgo de seguridad, ya que todos los datos nuevos se cifrarán a medida que se escriben en el disco.
Compatibilidad con unidad de disco duro cifrado
Las unidades de disco duro cifradas proporcionan funcionalidades criptográficas incorporadas para cifrar los datos en las unidades. Esta característica mejora el rendimiento de la unidad y del sistema mediante la descarga de cálculos criptográficos desde el procesador del dispositivo a la propia unidad. La unidad cifra rápidamente los datos mediante hardware dedicado y diseñado específicamente. Si planea usar el cifrado de unidad completa con Windows, Microsoft recomienda investigar a los fabricantes y modelos de discos duros para determinar si alguno de sus discos duros cifrados cumple los requisitos de seguridad y presupuesto.
Para obtener más información sobre las unidades de disco duro cifradas, consulte Unidades de disco duro cifradas.
consideraciones Microsoft Entra ID y Servicios de dominio de Active Directory
BitLocker se integra con Microsoft Entra ID y Servicios de dominio de Active Directory (AD DS) para proporcionar administración centralizada de claves. De forma predeterminada, no se realiza ninguna copia de seguridad de la información de recuperación en Microsoft Entra ID o AD DS. Los administradores pueden configurar la configuración de directiva para cada tipo de unidad para habilitar la copia de seguridad de la información de recuperación de BitLocker.
Los siguientes datos de recuperación se guardan para cada objeto de equipo:
- Contraseña de recuperación: contraseña de recuperación de 48 dígitos que se usa para recuperar un volumen protegido por BitLocker. Los usuarios deben escribir esta contraseña para desbloquear un volumen cuando BitLocker entra en modo de recuperación
- Paquete de claves: con el paquete de claves y la contraseña de recuperación, se pueden descifrar partes de un volumen protegido con BitLocker si el disco está gravemente dañado. Cada paquete de claves solo funciona con el volumen en el que se creó, que se identifica mediante el identificador de volumen correspondiente.
Compatibilidad con FIPS para el protector de contraseñas de recuperación
Los dispositivos configurados para funcionar en modo FIPS pueden crear protectores de contraseñas de recuperación compatibles con FIPS, que usan el algoritmo FIPS-140 NIST SP800-132 .
Nota
El estándar federal de procesamiento de información (FIPS) de Estados Unidos define los requisitos de seguridad e interoperabilidad para los sistemas informáticos utilizados por el Gobierno Federal de ee. UU. El estándar FIPS-140 define algoritmos criptográficos aprobados. El estándar FIPS-140 también establece los requisitos para la generación de claves y para la administración de claves. El Instituto Nacional de Estándares y Tecnología (NIST) usa el Programa de validación de módulos criptográficos (CMVP) para determinar si una implementación determinada de un algoritmo criptográfico es compatible con el estándar FIPS-140. Una implementación de un algoritmo criptográfico se considera compatible con FIPS-140 solo si se ha enviado para y ha pasado la validación de NIST. Un algoritmo que no se ha enviado no se puede considerar compatible con FIPS aunque la implementación genere datos idénticos como una implementación validada del mismo algoritmo.
- Los protectores de contraseñas de recuperación compatibles con FIPS se pueden exportar y almacenar en AD DS
- La configuración de la directiva de BitLocker para las contraseñas de recuperación funciona igual para todas las versiones de Windows que admiten BitLocker, ya sea en modo FIPS o no.
Desbloqueo de red
Algunas organizaciones tienen requisitos de seguridad de datos específicos de la ubicación, especialmente en entornos con datos de alto valor. El entorno de red podría proporcionar una protección de datos crucial y aplicar la autenticación obligatoria. Por lo tanto, la directiva indica que esos dispositivos no deben salir del edificio ni desconectarse de la red corporativa. Las medidas de seguridad como los bloqueos de seguridad física y la geovalla pueden ayudar a aplicar esta directiva como controles reactivos. Más allá de estas medidas de seguridad, es necesario un control de seguridad proactivo que conceda acceso a los datos solo cuando el dispositivo esté conectado a la red corporativa.
Desbloqueo de red permite que los dispositivos protegidos por BitLocker se inicien automáticamente cuando se conecten a una red corporativa cableada en la que se ejecuten servicios de implementación de Windows. Cada vez que el dispositivo no esté conectado a la red corporativa, un usuario debe escribir un PIN para desbloquear la unidad (si el desbloqueo basado en PIN está habilitado). El desbloqueo de la red requiere la infraestructura siguiente:
- Dispositivos cliente que tienen la versión 2.3.1 o posterior del firmware de la interfaz de firmware extensible unificada (UEFI), que admite el Protocolo de configuración dinámica de host (DHCP)
- Un servidor Windows Server que ejecuta el rol servicios de implementación de Windows (WDS)
- Un servidor DHCP
Para obtener más información sobre cómo configurar la característica de desbloqueo de red, consulte Desbloqueo de red.
Recuperación de BitLocker
Las organizaciones deben planear cuidadosamente una estrategia de recuperación de BitLocker como parte del plan de implementación general de BitLocker. Hay diferentes opciones al implementar un modelo de recuperación de BitLocker, que se describen en Información general sobre la recuperación de BitLocker.
Supervisión de BitLocker
Las organizaciones pueden usar Microsoft Intune o Configuration Manager para supervisar el cifrado de dispositivos en varios dispositivos. Para obtener más información, consulte Supervisión del cifrado de dispositivos con Intune y Visualización de informes de BitLocker en Configuration Manager.
Pasos siguientes
Obtenga información sobre cómo planear una estrategia de recuperación de BitLocker para su organización:
Obtenga información sobre las opciones disponibles para configurar BitLocker y cómo configurarlas a través de proveedores de servicios de configuración (CSP) o directiva de grupo (GPO):