Hay muchísimo para hablar de Windows 8, por lo que estoy tratando de ir rotando entre temas, en esta ocasión, pasaré por alto un poco la serie de artículos con los que empecé detallando PC Settings, la razón es que me adentraré un poco a nivel general sobre una de las tecnologías más robustas de Windows desde un par de versiones anteriores, me refiero a BitLocker Drive Encryption (Cifrado de Unidad de BitLocker).
*Importante: La información que en este Blog se escribe, no representa palabra oficial de Microsoft ni nada por el estilo, y puede estar sujeta a cambios por el estado actual de Windows 8 Consumer Preview (Beta).
Evolución de BitLocker
Para recordar, BitLocker nació con Windows Vista, con el concepto general de hacer un cifrado de unidad completo de sistema operativo, que permite proteger el acceso no autorizado a nuestro disco, incluso moviendo físicamente el HDD (Disco Duro) a otro PC, o arrancando con un sistema operativo diferente; a menos de que se tenga la clave de recuperación o la contraseña, el sistema y su información es inaccesible. Lamentablemente, hasta antes del SP1 de Windows Vista, BitLocker era un poco más complejo de implementar, puesto que requería que se creara la partición de arranque manualmente y por otro lado, sólo cubría la unidad que alojaba el sistema operativo, no para particiones adicionales. Cuando se liberó el maravilloso SP1 de Windows Vista, la complejidad seguía, pero ahora el cifrado se había extendido también a particiones que no fueran el sistema operativo, ¡Mucho mejor!
Con el Flamante Windows 7, BitLocker ahora es muchísimo más fácil, desde la misma instalación, Windows automáticamente crea la partición oculta donde almacenará todos los archivos necesarios para iniciar BitLocker, y adicional a esto, los que Windows requiere para correr, esto soluciona el primer inconveniente; por supuesto, el cifrado ya está disponible para unidades de sistema operativo y particiones adicionales, pero lo más interesante, es que el cifrado se extendió a dispositivos extraibles, es decir, ahora cada dispositivo USB que se conecte, puede encriptarse utilizando BitLocker, así no podrá escribirse información en otros equipos o sacar esta información en caso de pérdida o robo, esta característica se conoce como BitLocker To Go.
Un poco de BitLocker en Windows 8 CP
El concepto no ha cambiado en nada, como siempre, Microsoft ha buscado mejorar en todos los aspectos la experiencia con sus productos y tecnologías, BitLocker hasta ahora en Windows 8 CP, tiene una serie de mejoras que están descritas en este artículo oficial: http://technet.microsoft.com/en-us/library/hh831412.aspx
Aquí me centraré en las que a mi concepto, son las más útiles para la experiencia de usuario. Lo primero para resaltar, es que ahora BitLocker no requiere hacer el cifrado de unidad completo, tanto del sistema operativo, como de cualquier dispositivo extraible para asegurar el contenido; ahora tenemos la posibilidad de encriptar sólo el espacio en disco que se haya usado, más no el que se encuentre libre, esto por supuesto, garantizará una encripción a mayor velocidad y tiempo.
Otro aspecto adicional, es que ahora cada usuario, dejando del lado al tipo de usuario que pertenece (Estándar o del grupo de Administradores), podrá cambiar la contraseña o PIN de BitLocker cuando desee desde el panel de Administración de BitLocker, aunque por supuesto, no podrá hacer lo mismo con la clave de recuperación, tendrá que dar las credenciales actuales antes del cambio, y sólo podrá tener 5 intentos como máximo.
*Nota: Para encriptar o desencriptar, todavía se requiere privilegios administrativos, además de esto, el comportamiento para el cambio de contraseña, se puede impedir desde una nueva política implementada para BitLocker que se llama: Disallow standard users from changing the PIN
Por último, ahora BitLocker se podrá implementar incluso antes de instalar el sistema operativo, haciendo uso de un Windows PE, aunque esto no lo trataré por falta aún de conocimiento, y planeo adentrarme en temas de implementación pero mucho más adelante.
Configurando BitLocker en Windows 8 CP
BitLocker, como en Windows 7, se puede activar de dos formas, haciendo clic derecho sobre la unidad deseada y seleccionando Turn on BitLocker (Activar BitLocker) o bien, desde el Administrador de BitLocker. Basta con abrir la Pantalla de Inicio (Start Screen), digitar BitLocker y ubicar el nodo de Settings donde podremos acceder:
*Nota: Cualquiera de las dos opciones nos llevará a la misma ventana.
La ventana de BitLocker Drive Encryption, nos mostrará todas las unidades detectadas por BitLocker en el equipo, y su estado actual de encripción:
La primera unidad siempre será la del sistema operativo, las demás, las separa indicando si son Fixed data drives (Nuevo soporte en 8 también) y unidades removibles para BitLocker To Go. Al expandir la unidad principal, o de cualquier dispositivo, veremos el enlace de Turn on BitLocker, a continuación mostraré el paso a paso de cada una (BitLocker y BitLocker To Go), para ver las leves diferencias, además de las nuevas características.
Cifrando unidad del sistema…
Sobre la unidad del sistema operativo que queramos cifrar, hacemos clic en Turn on BitLocker, automáticamente se abrirá la ventana para el asistente de BitLocker Drive Encryption, pero, si al momento de querer encriptar una unidad de sistema operativo, BitLocker no detecta un Chip TPM compatible, indicará que no es posible continuar a menos de que se active o se active la política para no requerir TPM:
*Nota: El chip TPM brinda una protección adicional cuando se activa BitLocker en una unidad de sistema operativo, que permite hacer una verificación de integridad a nivel de hardware antes de que arranque Windows, por si detecta algún cambio, activar inmediatamente el Agente de recuperación de BitLocker, donde si no se dan las credenciales de BitLocker, Windows no inciará.
El camino más rápido sería activarlo desde BIOS, pero si no se cuenta con uno, se debe proceder a activar la plantilla que permite continuar sin TPM, se llama “Require additional authentication at startup” y se encuentra ubicada dentro del Editor de Políticas de grupo, específicamente en:
Computer ConfigurationAdministrative TemplatesWindows ComponentsBitLocker Drive Encription
En español, para cuando se pueda, sería:
Configuración de equipoPlantillas administrativas Componentes de WindowsCifrado de unidad de BitLocker.
Debemos ingresar a la carpeta de Operating System Drives en el panel derecho, abrrir la plantilla, habilitarla y asegurarnos de que esté seleccionada la casilla de “Allow BitLocker without a compatible TPM” (Habilitar BitLocker sin TPM):
Como información adicional, Windows habilita este funcionamiento desde un valor en el Registro llamado EnableBDEWithNoTPM, que tiene un contenido de “1” para habilitar, se crea en la clave:
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftFVE
Para las demás opciones en esta plantilla, se crean valores adicionales llamados UseAdvancedStartup, UseTPM, UseTPMKey, UseTPMkeyPIN, UseTPMPIN; si no se deshabilitaron, manejan valores predeterminados, aunque para habilitar BitLocker no es necesario modificarlos.
Para los que deseen activar esta política a través del Registro de Windows, pueden descargar el fichero de registro EnableBDEWithNoTPM desde mi Skydrive y ejecutarlo:
*Nota: Si no pueden ver la previsualización, este es el enlace directo:
https://skydrive.live.com/#!/?cid=69fbd8240f3b536e&sc=documents&id=69FBD8240F3B536E%21616!cid=69FBD8240F3B536E&id=69FBD8240F3B536E%21617&sc=documents
Hecho esto, BitLocker iniciará, lo primero que solicita es una contraseña segura y personalizada, no tiene la restricción completa de contraseñas como en un DC, pero requiere una mínima complejidad para continuar:
La siguiente página nos pedirá seleccionar una forma de guardar nuestra clave de recuperación, es importante tener en cuenta que es diferente a la clave que escogimos para cifrar el contenido en la página anterior:
Lo interesante aquí, y que es nuevo en Windows 8, es la primera alternativa para guardar la clave: Save to SkyDrive (recommended), con solo hacer clic aquí, Windows inmediatamente creará una nueva carpeta en nuestro SkyDrive llamada BitLocker y almacenará esta clave de recuperación, especificando los permisos únicos para que sólo nosotros podamos visualizar la carpeta. Esto es posible con la integración de Windows 8 con Windows Live cuando creamos una cuenta tipo Microsoft Account (Live ID, ejem: Hotmail, Live); por lo que si no hemos iniciado sesión con una cuenta así, no podremos guardar en la nube y tendremos que guardar localmente en alguna otra partición, o bien imprimiendo la clave.
*Nota: Desde Windows 8, utilizando la aplicación Metro de Skydrive, podremos ver la nueva carpeta de forma instantánea al momento de que el asistente de BitLocker la crea:
Al darle siguiente (Next), estaremos en la opción más interesante de BitLocker hasta ahora con Windows 8:
Como comenté anteriormente, ahora tendremos dos posibilidades de cifrado, el primero: Encrypt used disk space only (Encriptar sólo el espacio en disco utilizado), y Encrypt entire drive (Encriptar el disco completo); Encrypt used disk space only, hará la encripción sólo del contenido total que se haya guardado en el disco, el resto del espacio libre no lo encriptará, posiblemente ahorremos hasta la mitad del tiempo que normalmente se toma cuando escogemos encriptar todo el disco (Predeterminada y única opción en Windows 7).
Debemos tener en cuenta, que esto no indica que podamos acceder al espacio vacío del disco una vez tengamos encriptado y no al espacio que se encriptó, la experiencia seguirá siendo la misma, es decir, podremos acceder a todo siempre y cuando hayamos garantizado credenciales correctamente.
Por último, y antes de empezar la encripción, tendremos una novedad más:
BitLocker system check, se encargará de reiniciar el equipo, verificar que no haya problemas para leer la clave de recuperación antes de encriptar, y una vez se reinicie Windows, iniciará automáticamente el cifrado del disco de acuerdo a lo que hayamos seleccionado.
*Nota: Si no está seleccionado “Run BitLocker system check”, podremos iniciar el cifrado de inmediato.
Cifrando dispositivo extraible…
A diferencia del cifrado de la unidad que contiene el sistema operativo, BitLocker To Go no requiere ningún tipo de chip adicional activo de forma predeterminada, aunque al iniciar tenemos dos opciones, una contraseña tradicional o bien utilizar una Smart card para autenticarnos:
El lugar de almacenamiento, tal cual como en el cifrado de unidad (Visto anteriormente), podremos guardar la clave de recuperación directamente en Skydrive si es que hemos iniciado sesión con una cuenta de Live ID, localmente o imprimirlo. Una vez guardemos la clave de recuperación, podremos hacer clic en el botón Next (Siguiente) para continuar.
Afortunadamente, también en los dispositivos extraibles, podremos cifrar sólo el contenido del disco que ya se utilizó y dejar el espacio libre sin cifrar para que sea mucho más rápido. Al darle clic en Next (Siguiente) y empezar la encripción (Start encrypting) verán la gran diferencia cuando se cifra sólo espacio ocupado:
Explorando las opciones y comportamientos…
Una vez cifradas las unidades, la experiencia de usuario es muy similar, para este artículo expondré el comportamiento de un dispositivo extraible, pero las funciones aplican en su mayoría para la unidad del sistema también.
Cuando insertamos el dispositivo por primera vez después de cifrado, la nueva interfaz metro, de inmediato nos avisa que detectó una unidad protegida por BitLocker:
Si hacemos clic aquí, o símplemente tratamos de abrir el dispositivo desde el Explorador de Windows, también se nos presentará una interfaz Metro para digitar la contraseña o bien utilizar opciones adicionales como la Clave de recuperación, además de especificar si queremos desbloquear el contenido automáticamente en el equipo Windows 8 donde hayamos insertado el dispositivo:
Como comenté en la primera descripción, desde el Administrador de BitLocker, tenemos algunas opciones adicionales, unas nuevas, otras que vienen desde Windows 7:
La más interesante, radica en la posibilidad de cambiar la contraseña (Change password), una vez hacemos clic aquí, podremos cambiar a una nueva contraseña más amigable digitando la anterior y la que deseamos, o hasta hacer un reset de la contraseña anterior, indicando desde el principio una nueva contraseña (Esto en caso de que hayamos tenido que iniciar con una clave de recuperación por ejemplo):
De nuevo, un usuario estándar no necesita elevar privilegios para cambiar la contraseña, sin embargo, para administrar el cifrado sí que lo requiere.
*Nota final: Hasta ahora, BitLocker se puede desactivar y reactivar en Windows 7, aún después de cifrarse en Windows 8, cosa que no ocurría en Windows 7 con respecto a su antecesor Windows Vista. ¡Punto para Windows 8!
Esto es todo lo que tengo para decir de BitLocker, espero con el tiempo, aprender un poco más y poder compartir detalles a profundidad aquí. Espero sea de utilidad.
Saludos,
Checho
A estas alturas, ya debe estar en boca de todos que Windows 8 pasó a ser oficialmente RTM, lo que representa
Hace apenas unos días, iniciamos esta serie de dos artículos acerca de Windows To Go , la primera parte
Hemos descrito ya 3 de los 4 métodos posibles, y soportados, que hay para aprovisionar un Área de Trabajo
Hace algunos meses atrás, cuando Windows 8 alcanzó su etapa de Consumer Preview (Beta), estuvimos Explorando