lunes, 13 de enero de 2020

Servicios de Cifrado en Windows Server

Windows Server 2016 dispone de servicios integrados en el propio sistema operativo para el cifrado de datos, Encrypted File System EFS basado en el sistema de archivos NTFS, permite a los usuarios cifrar carpetas y archivos desde Microsoft Windows 2000, sin ninguna instalación o configuración previa.

El cifrado de archivos utiliza una clave simétrica que cifra con la clave pública del usuario, que se almacena en el encabezado del archivo. Almacena el certificado con las claves públicas y privadas del usuario, o claves asimétricas, en el perfil del usuario. EFS utiliza como algoritmo predeterminado Advanced Encryption Standard AES con una clave de cifrado simétrica de 256 bits.

En las propiedades avanzadas de un contenedor esta el check para habilitar el cifrado con Encrypted File System


En Windows Server 2016 y Windows 10 están disponibles las siguientes características para EFS:
  • Group Policy Settings EFS. Las Directivas de Grupo permiten configurar la protección de EFS de forma centralizada.
  • Soporte para almacenar claves privadas en Smart cards.
  • Cifrado de archivos sin conexión. El usuario puede cifrar copias sin conexión de archivos de servidores remotos. Esta opción habilita el cifrado con una clave pública del usuario de cada archivo de la caché que almacenó.
  • Asistente de cambio de clave para Encrypting File System, permite reconfigurar los archivos cifrados utilizando un nuevo certificado para el cifrado, también es útil en situaciones de recuperación.
  • Limpieza selectiva. Una característica de Windows 10 es Selective Wipe, en un entorno corporativo, un administrador puede revocar la clave EFS en un dispositivo en particular.
En cualquier infraestructura en la que se utilicen métodos de cifrado es necesario diseñar un plan de prevención de pérdida de los datos en caso de que se pierdan las claves de cifrado o las cuentas de usuario y sus certificados asociados, para ese propósito EFS dispone de dos métodos:
  • Key Recovery Agent KRA. En las organizaciones que utilizan certificados EFS emitidos por CA, el agente de recuperación de claves puede permitir a una persona autorizada extraer las claves EFS para un usuario específico de la base de datos del servidor de certificados.
  • Data Recovery Agent DRA. El agente de recuperación de datos es una cuenta que tiene acceso a todos los archivos cifrados con EFS, es capaz de recuperar archivos si el propietario original pierde el acceso a su clave privada. La cuenta de administrador de un dominio está configurada como el agente de recuperación de datos predeterminado, esto presenta un riesgo de seguridad, el agente de recuperación de datos se puede configurar mediante la directiva de grupo para evitar esta situación.
BitLocker permite cifrar discos y volúmenes completos, incluido el volumen de sistema y también dispositivos extraíbles, está disponible desde sistemas Windows 7 o Server 2008, se instala como una característica del sistema y requiere un chip TPM 1.2 o superior, para aprovechar algunas de sus funcionalidades. En la siguiente imagen se aprecia la consola de administración de BitLocker.



BitLocker puede configurarse para proteger el arranque del sistema operativo, en un escenario con TPM en la opción de inicio avanzado, puede agregar un segundo factor de autenticación a la protección estándar de TPM: puede requerir que el usuario ingrese un PIN o proporcione una clave de inicio en una unidad flash USB.

BitLocker examina y verifica los siguientes componentes del sistema:
  • The BIOS and any platform extensions.
  • Optional read-only memory (ROM) code.
  • Master boot-record code.
  • The NTFS boot sector.
  • The Windows Boot Manager.
  • The core root of trust for measurement.
Otra característica de BitLocker ofrece la posibilidad de cifrar dispositivos extraíbles, se denomina BitLocker To Go, además BitLocker puede configurarse mediante directivas de grupo GPOs en la ruta: Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption.

Seguridad a lo Jabalí para Todos!!

No hay comentarios:

Publicar un comentario

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias