Bitlocker en Controladores de Dominio: Configuración y Recuperación

Los Controladores de Dominio son máquinas que hay que asegurar de forma especial, ya que contienen “lo más valioso de la red” como son los usuarios y sus correspondientes contraseñas, ademas de informacio importante derl Dominio

Bitlocker es un método muy seguro para proteger los datos a nivel de volumen de disco, pero esta seguridad tienen un precio, ya que si no se implementa adecuadamente se corre el riesgo de justamente perder “lo más valioso de la red”

Complementando la informacion de esta nota pueden consultar: “Bitlocker: Recuperar Acceso a Datos

Como un ejercicio de práctica de laboratorio decidí hacer esta nota donde implementaré el cifrado del volumen en un Controlador de Dominio, y luego simulando una pérdida de la máquina, cómo deshabilitar Bitlocker en el disco en otro equipo de forma de poder transladar la información a una nueva máquina

La infraestructura que utilizaré es de sólo dos máquinas virtuales:

  • DC1.ad.guillermod.com.ar: Controlador de Dominio
  • Un servidor en grupo de trabajo, con el mismo sistema operativo donde haré el procedimiento para deshabilitar Bitlocker, y volver a recuperar el acceso a los datos

Como el procedimiento lo haré con máquinas virtuales, y sin poder disponer del chip TPM, en mi caso configuraré por GPO para permitir el uso de Bitlocker sin este requerimiento

El cambio lo haré creando una GPO enlazada a la Unidad Organizativa Domain Controllers, y que llamaré “DCs Bitlocker”

Debemos configurar: Computer Configuration / Policies / Administrative Templates / Windows Components / Bitlocker Drive Encryption / Operating System Drives, y en esta editar “Require additional authentication at startup”

Debemos habilitar la configuración y asegurarnos que quede marcada la opción “Allow Bitlocker without a compatible TPM …”

Teniendo esto hecho, el paso siguiente para poder usar Bitlocker es instalar la requerida funcionalidad. Esto se hace con el procedimiento habitual y conocido

Pero tengamos en cuenta que al agregar esta funcionalidad es necesario reiniciar la máquina

En realidad el mensaje está incompleto. Por mi experiencia recién con un segundo reinicio se tiene acceso a Bitlocker

Y procederemos a cifrar el disco

El sistema nos ofrece dos posibilidades para poder desbloquear el disco en cada reinicio: insertar un USB o ingresar una contraseña. En mi caso, y por facilidad utilizaré el método de la contraseña

Es muy importante poner a salvo la información de recuperación (“Recovery Key”) para el caso de perder la contraseña. La podemos imprimir, guardar en un USB o en un archivo de texto

Como no ha faltado en sistemas de escritorio que alguno que ha guardado la clave de recuperación en el propio disco cifrado, el sistema no lo permite, debemos elegir un disco separado. Siguiendo con mi simplificación de ambiente de pruebas yo la he guardado en un “Floppy” virtual

Continuamos con el asistente

Nos ofrece dos posibilidades, por omisión cifrará sólo la porción de disco donde hay datos existentes, luego cifrará toda la información que se agregue

Este paso es muy importante dejar que el sistema pruebe, antes de cifrar, que el sistema es compatible, y que podrá acceder al medio por el cual ingresemos la contraseña o tome la información desde el USB

Aunque ya sabemos que debemos reiniciar para verificar el acceso a la información, aparecerá un icono en la barra de tareas recordándolo. Tengamos en cuenta que es sólo una simulación de acceso y que la información aún no está cifrada

En mi caso, y por el método que escogí, ingreso la contraseña asignada

Aparecerá el correspondiente icono en la barra de tareas, y si pulsamos sobre el mismo mostrará el progreso

Unos minutos hasta que finaliza

Vemos que el disco está cifrado con Bitlocker, pero que ha sido desbloqueado

 

Todo bien, pero ¿qué sucedería si por ejemplo por un problema de hardware esa máquina no volviera a arrancar? ¿cómo recuperamos la información?

Si tenemos la contraseña o la clave de recuperación correspondiente podremos hacerlo fácilmente en otra máquina

En el servidor en grupo de trabajo que nombré al principio de la nota, debo instalar la funcionalidad de Bitlocker

Y conectar el disco del Controlador de Dominio, como segundo disco en este servidor

Luego desde el administrador de disco, debemos ponerlo “Online” para que el sistema pueda tener acceso al mismo

Observen que el sistema ya nos avisa que el volumen que nos interesa (la “Boot Partition”) está cifrado

Y lo podremos comprobar en el explorador de archivos

Procederé al desbloqueo del disco, en mi caso usando la contraseña, pero si se hubiera perdido, podré hacerlo también con la “Recovery Key” que ha quedado en el archivo guardado anteriormente

Y ya está

Y tenemos acceso

Pero lo que más nos interesa es poder quitarle Bitlocker para poder usarlo en una máquina nueva, así que procederemos a quitar Bitlocker en este disco

Y llevamos el disco sin Bitlocker a una nueva máquina, o a la original reparada, donde veremos si efectivamente ha quedado deshabilitado Bitlocker

Y podemos ver que es así

 

Y muy importante, es que guardemos en forma segura y confiable el archivo creado originalmente cuando se cifró la información con Bitlocker, ya que en caso de olvido de la contraseña o daño en el USB de inicio, esta información será imprescindible para recuperar el acceso al disco

Muestro el archivo de mi caso

 

Siempre, siempre, siempre, que se use Bitlocker, ya sea en un Controlador de Dominio como en cualquier otra máquina, es muy necesario tener guardada y protegida en forma segura la clave de recuperación ante problemas de cualquier tipo, ya sean de hardware o de “olvidos”

Post a comment or leave a trackback: Trackback URL.

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: