Autor: jlrambla

Finalizamos con este post, el ciclo que iniciamos sobre las diferentes versiones que nos acompañarán durante un tiempo en nuestros equipos. Para finalizar evaluaremos la versión Windows Vista Ultimate. Seguramente será la versión más popular (aunque la más cara), por la dualidad de sus características.

Por un lado, nos ofrece todas aquellas características aportadas a nivel doméstico que porta la versión Windows Vista Home Premium, incluida las funcionalidades de Windows Media Center, sin perder de vista el que ocupara en su versión empresarial, puesto que porta también las funcionalidades aportadas a las versiones Windows Vista Enterprise y Business que le hacen propicio el uso en un dominio.

Al ofrecer todas las características de seguridad e implementación frente a desastres, que ya porta la versión Enterprise, hace que sea posible la disponibilidad de estos elementos a aquellas personas que no cuentan con el sistema de licenciamiento de Software Assurance o Microsoft Enterprise Agreement. Un elemento vital en estas circunstancias para el servicio de movilidad, es además la seguridad y como ya hablamos en su momento Bitlocker es uno de los elementos que se convertirán en esencial por la posibilidad de cifrar nuestros datos frente a contingencias no deseadas. Esta versión también aporta esta característica, lo que la hace valedora a muchos equipos portátiles que cuenten con la seguridad entre algunas de sus normas básicas de uso.

Seguramente en este sector, el de los portátiles, es donde más se extenderá el uso de esta última versión, ya que nos dará la funcionalidad tanto estando en la oficina, como todas las características que pueden aportarse al entorno doméstico. En este apartado el uso de las características de seguridad domésticas como el de control parental, como el de las de empresa dotan de una versatilidad no ofrecida en el resto de versiones.

En cuanto a la licencia, los términos de licencias adicionales más destacadas, nos condicionan las siguientes características:

–         Se admiten un máximo de 10 conexiones concurrentes para el uso de determinados servicios que pudieran estar ejecutándose sobre el equipo licenciado.

–         Se admite el uso de una sesión para el acceso remoto a las aplicaciones instaladas en la máquina a través de una sesión de Escritorio remoto o tecnología similar, para el usuario principal, así como el uso de la Asistencia remota u otro software que aporte estas funcionalidades.

–         Se admite la instalación de este software sobre hardware virtualizado aunque se limita la licencia, no pudiendo ejecutarse o acceder al contenido, ni utilizar las aplicaciones protegidas por cualquier tecnología de administración de derechos digitales, de información o de empresa de Microsoft, o por cualquier otro servicio de gestión de derechos de Microsoft. Tampoco podrá utilizarse bitlocker en medios virtualizados.

–         Con respecto a Media Center Extender, se admite hasta un uso máximo de 5 sesiones para mostrar la interfaz del usuario o el contenido de las aplicaciones en pantallas u otros dispositivos.

 

 

Referencias Externas

 

 —————————————————————-

 

Windows Vista Ultimate

 

Licencia Windows Vista Ultimate

Continuamos nuestro periplo con las versiones de Windows Vista y en esta ocasión, nos toca el análisis de las versiones destinadas a Empresa: Business y Enterprise. Cada una cuenta con características comunes al resto de las versiones de Windows Vista, sobre todo aquellas en materia de seguridad, pero por su ámbito de implantación, no contienen aquellos elementos destinados a usuarios domésticos y que fueron analizados en el post anterior sobre versiones domésticas.

Básicamente estos sistemas estarán orientados a aquellos equipos que deseamos hacerlos partícipes de un dominio, ya que las versiones comentadas anteriormente no contaban con esta funcionalidad. Estas dos versiones adquieren nuevas funcionalidades relacionados con entornos de trabajo tipo empresa, pero pierden funcionalidades con respecto a la versión Home Premium, como la de Media Center.

Estas versiones con respecto a las versiones de uso doméstico aportan características para la protección ante fallos, mediante mejoras en los mecanismos de copia de seguridad, así como funcionalidades de red como el soporte de redes de empresa y el escritorio remoto. Dentro de las características contra desastres habilitan las funcionalidades de Shadow Copy e instantáneas de ficheros.

Entre las características que portan para profesionales IT, orientado a mecanismos de empresa podemos encontrar:

–          Copia de seguridad y restauración basado en imágenes de sistema.

–          Encrypting File System.

–          QoS de Red.

–          Cliente de RMS.

–          Control de instalación de dispositivos.

–          Agente de cliente NAP (Networ Access Protection).

 

¿Qué diferencia estas dos versiones? Una de las diferencias fundamentales es el sistema de licenciamiento. La versión Enterprise está solamente disponible a través de Microsoft Software Assurance o Microsoft Enterprise Agreement. El sistema de licenciamiento a través de Software Assurance otorga unas características adicionales para la versión de Windows Vista Enterprise, como Virtual PC Express, que otorga el derecho de uso de hasta cuatro copias adicionales del sistema operativo para aprovechar y utilizar hasta cuatro máquinas virtuales en Virtual PC, que aportará funcionalidades para el uso de compatibilidad de aplicaciones, evaluación de aplicaciones, etc. Además a través del acuerdo de Software Assurance, se ofrece el paquete de optimización de Escritorio de Microsoft, que reduce los costes de instalación de aplicaciones, permitiendo la entrega de estos como servicios.

–          Softgrid.

–          Asset Inventory Services.

–          Desktop Optimization Pack for Software Assurance.

 

Además de estas características la Versión Enterprise presenta funcionalidades adicionales de seguridad, como el cifrado de disco mediante Bitlocker (tema ya tratado con anterioridad en este mismo blog).

 

Otra de las características importantes que presenta, sobre todo de cara al proceso de instalación y al despliegue del Sistema Operativo basado en el sistema de Desktop Deployment (ya tratado también), es facultar el soporte para la instalación basada en múltiples interface de lenguaje para usuario, con una disponibilidad de hasta 36 lenguajes diferentes. Esto permite con la creación de una única imagen el despliegue para múltiples usuarios aunque estos no compartan un idioma.

En aquellos entornos de trabajo multisistemas con coexistencia de entornos Unix, la versión Enterpriso aporta nuevas funcionalidades y mejoras en otras, para la compatibilidad con aplicaciones basadas en el subsistema de Unix (SUA).

Con respecto a los términos de la licencia, se faculta la instalación del producto en un único sistema, con un máximo de 10 conexiones concurrentes por la red. Se admite el uso de tecnologías de Escritorio remoto, y la asistencia remota o tecnología equivalente para compartir una sesión activa.

Se admite asimismo por licenciamiento la virtualización de la versión, aunque quedan restringidas algunas de las funcionalidades tales como el uso de Bitlocker, Microsoft Digital Information o la tecnología Enterprise Rights Management.

 

Referencias Externas

 

 —————————————————————-

Versión Windows Vista Business

Versión Windows Vista Enterprise

Contrato licencia Windows Vista Business

Microsoft Enterprise Agreement

Software Assurance

Seguimos nuestro ciclo de versiones de Windows Vista, con la orientación doméstica del producto: versiones Home. Para esta circunstancia, Microsoft nos provee de dos versiones que evolucionan de versiones que ya podíamos encontrar en las versiones equivalentes de Windows XP. La versión Home Basic actualiza la versión Windows XP Home y la versión Home Premium actualiza la edición Windows XP Media Center. En el caso del mercado europeo además tenemos la versión Windows Home Basic N que será una versión que no incorpora las funciones de Media Player, ni ninguna otra funcionalidad relativa a medios.

En ambas circunstancias estas versiones no podrán formar parte de un dominio y por ello la orientación que se le ha dado es de versiones para usuarios domésticos o pequeñas empresas con disposición de grupos de trabajo. La versión Home Basic está orientada principalmente a puestos con características ofimáticas, donde poder ejecutar aplicaciones y todas las funciones para la navegación para Internet.

 Incorpora las características básicas de seguridad que incorpora toda la plataforma además de los elementos de protección antimalware: SMRT, Windows Defender, Protección de seguridad dinámica y las tecnologías Antiphising. Como una medida adicional para el control del equipo tanto en esta versión como en la versión Premium aparece una funcionalidad para la gestión Parental, de tal forma que podremos asignar cuentas de usuarios estándares a nuestros hijo (o a quien queramos controlar), y gestionar de una forma amigable, tareas que puedan realizar en la máquina tales como horas de uso, filtros web o control de aplicaciones y juegos.

 

 

  Figura 1- Control Parental

 

Cuando planteamos la necesidad de llevar un poco más allá nuestra estación de trabajo dotándolo de otras funcionalidades podremos utilizar la versión Home Premium. Además de las funciones reportadas en la anterior versión, nos ofrece características adicionales de productividad y entretenimiento. Podremos disfrutar del nuevo diseño del sistema gráfico: Aero, además de poder convertir en una plataforma de gestión de biblioteca virtual a través Windows Media Center. Incorpora herramientas para la creación de DVD y herramientas para la creación y edición de películas en alta definición.

¿La diferencia entre ambas? Pues dependerá del uso que le quieras dar. Principalmente en cuestiones de seguridad ambas cuentan con las mismas características, y la versión Premium, va más enfoncada a aquellos usuarios que quieren sacarle un partido adicional a su equipo, conectandolo a medios externos como televisiones o como mediador entre una Xbox (vía inhalámbrica) y tu televisor. Las opciones de entretenimiento darán oportunidad a aquellos mañosos que quieran hacer pinitos en la generación de vídeos, presentaciones o demás funcionalidades de carácter lúdico con los que cuenta la Versión Premium. Para el resto que no necesitan Aero, ni estas funcionalidad y que necesitan el PC principalmente como puesto ofimático, la versión Home Basic sería más que suficiente.

Uno de los aspectos fundamentales que obviamos es el contrato específico de licencia de las aplicaciones. Como ya comenté en su momento analizaremos las características especiales que afectan al contrato de licencia para cada versión. Además de las características generales que trataré en un Post posterior, aquí tenemos las condiciones aceptadas junto con la licencia (como siempre ya será cuestión de cada uno su aplicación). Con respecto a las versión Home Basic, el sistema admite un máximo de 5 conexiones concurrentes contra nuestro sistema. Que nadie se asuste por el emule J, solo afectan a las conexiones para los servicios de ficheros, impresión, IIS, servicio de telefonía y conexión compartida de Internet. Alguno estará pensando ya ¡vaya pedazo de limitación!, claro como en mi casa tengo 5 ordenadores que a la vez están lanzando tareas de impresión contra mi puesto de trabajo u otra acción, ¡me encuentro limitado! Tendremos que tener en cuenta que no es un servidor aunque porte funcionalidades como la de servicios de impresión y ficheros propios de ellos y que el escenario potencial para esta versión es un entorno doméstico o una pequeña red para sistemas ofimáticos.

La licencia admite el uso de tecnología de asistencia remota “o similar” para compartir la sesión de forma concurrente. Y la licencia especifica que una sesión es cualquier forma para interactuar con el software, directa o indirectamente a través de cualquier combinación de periféricos de entrada salida o a través de pantalla. En el caso del uso de cualquier otro acceso a software instalado sobre la máquina estará permitido sin ningún tipo de restricción, siempre y cuando no esté sujeto a los puntos anteriores.

Con respecto a la virtualización, la licencia no admite su instalación sobre un entorno virtualizado. Si tenemos en cuenta el uso que se está dando en producción a los entornos virtuales (especialmente hacia servidores), no tiene ningún sentido el que realicemos una virtualización de este tipo de versión.

Para la versión Home Premium, se establecen las mismas condiciones de licencia que para la Home Basic, aunque se amplían las conexión concurrente para 10 dispositivos. Adicionalmente y para las características que porta esta versión frente a la anterior, se establecen las siguientes condiciones: 5 sesiones adicionales para Windows Media Center y condiciones específicas para software de control de medios y usos de dispositivos adicionales para los servicios de Media Center.

Referencias Externas

 

 —————————————————————-

 

Versión Windows Vista Home Basic

 

Versión Windows Vista Home Premium

 

Contrato Licencia Windows Vista Home y Ultimate

 

 

Como prometí en un post de réplica hace unas semanas, vamos a iniciar una serie de entradas en el Blog, sobre las diferentes versiones que nos ofrece Microsoft para Windows Vista y sus características. Analizaremos que sistema nos puede resultar más interesante y cual se puede ajustar más a nuestras necesidades. Para ello además de este, se postearán 3 más dedicados uno a las versiones domésticas, uno a las versiones empresariales y uno la versión Ultimate y al contrato de licencia para las versiones de Windows Vista.

 

Desde hace ya algún tiempo, Microsoft ha ido generando versiones diferenciando sus características y realizando una marcada diferencia entre el mercado doméstico y el mercado empresarial, ofreciendo funcionalidades diferentes para cada sector, a la vez que se ajustaban los costes en base a estas funcionalidades. El problema se presentaba en que en muchas ocasiones se acababa pagando por funcionalidades que nunca se acababan utilizando o si disponía de una versión queríamos utilizar funcionalidades aportadas por otra versión. De cara a intentar llegar a todos los posibles mercados y aportar diferentes funcionalidades se han propuesto hasta 6 versiones diferentes de producto con sus elementos diferenciadores.

 

A estas alturas algunos se estarán preguntando porque tantas versiones y no una y que cada cual decida que tener… Llevémoslo a otro sector y hagamos una comparativa. Un buen día decido cambiar de coche y me acerco al concesionario x buscando precios para un coche que ha salido nuevo y del que me gustaría disfrutar. Bueno, pues resulta que cuando nos ponemos a hablar con el vendedor resulta que del modelo del coche elegido tenemos tropecientas versiones: que si con clima, AA, elevalunas, las llantas, la pintura, el navegador, velocidad de crucero, sensores de distancia y lluvía, ordenador de a bordo, etc. Nadie se sorprende, compramos uno base y le empezamos a añadir funciones hasta que nos cuadra sus prestaciones y sus precios, y nadie se asusta (o sí), claro lo que queremos es todos los accesorios con el precio más barato, pero ya sabemos que eso no nos lo da nadie.

 

De cara al nuevo Sistema Operativo Cliente de Microsoft, nos ofrecen las siguientes versiones: Starter Edition, Home Basic, Home Premium, Business Edition, Enterprise Edition y Ultimate Edition.

 

 En post posteriores analizaremos las diferentes versiones, en este veremos la versión de Starter Edition. Esta versión que ya tuvo su homónima en la versión de Windows XP, no llegará a España, debido a su función. El objetivo con esta versión es hacer llegar a países menos desarrollados a nivel informático un producto que les permita la iniciación a la informática, limitando algunas de sus funcionalidades originales para poder funcionar en máquinas con menores prestaciones. Se incorporará en equipos nuevos, de bajo coste, en formato OEM (Original Equipment Manufacture), a través de distribuidores Microsoft OEM.

 

Incorpora muchas de las funcionalidades de la versión Home Basic, incluidas aquellas correspondientes a los mecanismos de seguridad: Windows defender, control parental, mecanismos de seguridad de I.E. 7.0 y uso de cuentas estándar. También incorpora los elementos de conectividad con Internet y de dispositivos. No incorpora las funciones de Aero, ni la aportación visual que si acompaña otras versiones, al igual que todos aquellos elementos destinados a mecanismos de tipo empresarial.

 

Referencias Externas

 

 —————————————————————-

 

Descripción general de versiones

Windows Vista Starter

En este último post sobre bitlocker, vamos a definir como se realiza la implementación en Windows Vista. Antes de realizar la implementación, necesitamos haber definido inicialmente una estructura de disco consecuente para la implantación de Bitlocker.

 

            Inicialmente necesitamos para habilitar bitlocker 2 particiones formateadas en NTFS. Una de las particiones, la activa, es el volumen de sistema, que contendrá todo el sistema de arranque y no se cifrará, esta partición no cifrada además de mantener todo el arranque, nos permitirá cargar el boot loader y arrancan otro sistema operativo que pudiera estar coexistiendo en nuestra máquina y en otra partición diferente de aquella que vamos a cifrar. La otra partición, almacenará el sistema operativo y es aquella que podemos cifrar. Únicamente mediante bitlocker se puede cifrar esta partición.

 

            Una vez que tenemos definido y creado nuestro sistema de almacenamiento siguiendo estas características, procederemos a habilitarlo. En el caso de que no poseamos el chip TPM, siempre podremos optar por utilizar un Stick USB para el almacenamiento de las claves.  Para utilizar esta metodología deberíamos habilitar la directiva correspondiente tal y como definimos en post anteriores.

 

            Posteriormente a la definición del método para el almacenamiento de las claves, el sistema nos presenta la posibilidad de guardar una password de recuperación. El almacenamiento de la misma se puede realizar en un dispositivo USB, en una carpeta o bien imprimirse. Esta clave debiera quedar bien resguardada, tanto por motivos de seguridad, como por motivos de administración, puesto que nos permitirá recuperar el disco cifrado, en caso de contratiempos, aunque nos lleváramos el disco duro a otra máquina diferente del que hallamos implementado el cifrado del disco. Esta password de recuperación es única para cada sistema donde hayamos implementada por bitlocker.

 

            Finalizaremos la aplicación de Bitlocker, reiniciando la máquina. Se realiza un pre-arranque donde se comprueban las condiciones para su implementación y la compatibilidad. Si supera este proceso, se procederá a la implementación del cifrado. Una vez completado en el siguiente proceso de arranque, en función del escenario de implementación que hayamos utilizado, bien por PIN o USB, nos lo solicitará para proceder con el proceso de carga del sistema operativo.

 

            Uno de los mecanismos que tenemos que tener siempre presente es el de la recuperación en caso de una contingencia. Para ello deberemos disponer de la clave de recuperación bien que se encuentre en un dispositivo USB, o lo hubiéramos impreso. Durante el arranque si el sistema está bloqueado nos pedirá la clave de recuperación. Inicialmente nos solicitará la llave USB o bien introducir manualmente la clave que tuviéramos en papel. Este mismo mecanismo deberemos implementar en el caso de que el hardware haya provocado fallos y tuviéramos que llevarnos el disco a otra máquina.

 

Referencias Externas

 

 —————————————————————-

– Bitlocker III: Escenarios de bitlocker.

– Guia para la implementación de bitlocker.

– Extensión del esquema para la implementación de claves de recuperación en Directorio Activo.

Como planteé en el anterior post, existen numerosos elementos necesarios aplicar a la hora de determinar un mecanismo de cifrado, y estos deben garantizarse, de tal forma que el acceso a los datos cifrados deben ser controlados, tanto a nivel lógico, como el impedir los ataques que mediante manipulación arbitraria permitiera el acceso aleatorio a los datos y la obtención del mecanismo de cifrado.

Por mecanismos de rendimiento el mejor sistema que se puede emplear para el cifrado de datos de disco es AES-CBC, pero ya advertimos anteriormente el riesgo de posibles ataques al utilizar únicamente este mecanismo. La decisión finalmente establecía la utilización de AES-CBC para la encriptación primaria y una clave difusor independiente para texto plano. Este difusor tiene como objetivo fortificar frente a los ataques de manipulación, mejor que lo que puede realizar de forma única el algoritmo de AES-CBC.

 

 

 

        

 

 Figura 1 – Funciones de cifrado mediante AES-CBC + Difusor

 

La figura anterior describe los mecanismos empleados para el cifrado de los datos. Los datos en texto plano son corred con una clave del sector. Posteriormente se le aplican los difusores y finalmente se encripta con el modo AES-CBC. La clave del sector viene definida por la siguiente función:

 

K_S:=E(K_SEC, e(s)) || E(K_SEC,e’(s))

 

donde E() es la función AES de encriptación, K_SEC es la clave utilizada (128 o 256 bits, según lo elegido) y e(s) y e’(s), es la función de codificación utilizada en la capa AES-CBC teniendo en cuenta que e’ es como e solo que el último byte tiene el valor 128. La clave Ks se repite tantas veces como sea necesario hasta completar una clave del tamaño del bloque y se aplica una función corred sobre el texto plano.

 

El uso de dos difusores, muy similares pero aplicados en direcciones opuestas, permite la propiedad de difusión correcta en ambas direcciones. Los difusores vienen determinadas en una función donde intervienen el número de palabras del sector y un operador de 4 constantes (diferentes para cada difusor) en un array que especifica la rotación. Este mecanismo tiene como objetivo minimizar el impacto del cifrado en el rendimiento al utilizar un menor uso de ciclos por segundo para realizar el mismo.

 

Referencias Externas

 

——————————————————-

 

RFC 3602 AES – CBC

 

Algoritmo AES – CBC + Elephant

 

 

Cuando se determina la necesidad de implementar un mecanismo para establecer un cifrado, así como el mecanismo para su descifrado tiene que cumplir ciertas normas y criterios para no hacerlo inviable:

–         No debe repercutir de forma muy negativa en el rendimiento general en procesos de escritura y lectura.

–         Debe ser transparente para los mecanismos de funcionalidad de las aplicaciones con las que trabajamos.

–         Debe ser lo suficientemente robusto para evitar ataques mediante ataques de permutación o por manipulación de datos y obtención de resultados en texto plano.

 

A la hora de determinar un sistema de implementación para el cifrado de la unidad de disco para bitlocker, Microsoft tuvo en cuenta determinados factores y evaluó la posibilidad de implementar algunos de estos sistemas de implementación de cifrado. Uno de los elementos que se tuvieron en cuenta es que Bitlocker no debería consistir solamente en un elemento de cifrado, sino que debería garantizar mediante un sistema de autenticación de datos, el evitar que una manipulación de los datos cifrados pudieran introducir una modificación a ciegas, en el código del S.O., provocando una debilidad en el mecanismo de arranque con Bitlocker o para conseguir una escalada de privilegios en el sistema. Además debería evitar el permitir la predicción de la función de cifrado mediante la manipulación de datos cifrados y la obtención de datos en texto plano.

 

Autenticación MAC.

 

El mecanismo natural de implementación de cifrado para evitar estos mecanismos de ataque, es la utilización de MAC (Message Autenthication Code) a cada bloque de datos del disco. El problema que plantea el uso de este mecanismo es que necesitaríamos establecer una reserva de sectores para almacenar el MAC, con lo cual tendríamos un uso limitado en la capacidad de almacenamiento de hasta un posible 50% de almacenamiento. Además bajo las condiciones actuales de implementación de este mecanismo en sistema de altos procesamiento de datos con accesos de lectura y escritura, podremos encontrarnos con problemas de rendimiento o la corrupción de sectores. Si no queremos escribir en sectores x, sin dañar x+1 x-1 en procesos de caída del sistema no controlados o por pérdida de energía, tendremos que tener en cuenta que en el caso de escribir en un sector x el sistema deberá leer el sector, desencriptarlo, encriptarlo y nuevamente escribir todos los sectores que correspondan al bloque. Si falla el sistema cuando se  escriben sectores, en el nuevo bloque pero quedan pendientes otros, entonces todo el bloque puede quedar corrompido.

 

Autentificación de “Poor-man”

 

Este es otro de los posibles mecanismos para la implementación de seguridad que permite generar bloques cifrados con un tamaño entre 512-8192 bytes, de tal forma que una leve modificación en uno de los caracteres del bloque modifica de forma aleatoria todo el bloque. Con objeto de evitar el mecanismo de secuenciación moviendo datos cifrados de un sector a otro sector, se generan cambios del algoritmo para cada sector.

De este forma aunque el potencial atacante tuviera acceso a los datos tanto cifrados como en texto plano, la variedad del mecanismo de secuenciación y los cambios en el algoritmo evitan los mecanismos de predicción del sistema de cifrado.

 

En el siguiente post evaluaremos diferentes mecanismos de cifrado y el mecanismo empleado para Bitlocker: AES-CBC + difusor.

 

 

Referencias Externas

 

——————————————————-

MAC authentication 

 

Cifrado bloques de disco

¿Dónde implementaremos Bitlocker?

 

Uno de los problemas que se nos plantea cuando decidamos implementar Bitlocker, es cual es el escenario previsible en el que podemos implementarlo y como será la forma idónea para realizarlo. Evidentemente cuando decidimos por la implementación de un mecanismo de seguridad como el cifrado deberemos tener presente si es necesario el mismo o para que lo vamos a hacer, si esta es una máquina convencional usada solamente como soporte de aplicaciones pero no almacenamos en ella ningún dato de interés.

 

Supongamos los equipos estándar de una empresa. Estos por regla general son utilizados solo como soporte para la ejecución de las aplicaciones, ya que los datos importantes de la empresa se encuentran almacenados en un servidor bien resguardado en el CPD (o así debería ser…) Habrá que tener presente también los elementos adicionales que pudieran quedar almacenados en la máquina que por comodidad pudiéramos dejar almacenados, tales como contraseñas de navegación, de aplicaciones enmascaradas por los dichosos asteriscos, los correos, etc. Cual importante es esta información en manos de alguien que busca datos de nuestra empresa, implicaría prever la opción para el cifrado de estos discos. Una de las mejoras que nos reporta el sistema de Bitlocker en máquinas coexistiendo en un Dominio, es que los mecanismos para la recuperación de las contraseñas, obtienen ventaja de las funcionalidades aportadas por el Directorio Activo.

 

Si la circunstancia la evaluamos desde el punto de vista de una persona que viaja muy a menudo, con un portátil que parece ya una extensión más de su propio cuerpo (alguno se sentirá identificado seguramente), el hecho de tenerlo cifrado sería una opción más que interesante, máxime cuando puedan llevar informes de clientes, datos de la empresa, etc. Un eventual robo o pérdida, solo significaría precisamente eso: el robo o la pérdida, pero pasaría a un significativo segundo plano los datos que portaran. La implementación dependerá fundamentalmente si el dispositivo presenta o no Chip TPM. Si no lo lleva la única opción posible es el uso del almacenamiento de la clave en un USB (cuidado donde lo llevamos no sea que se rían de nosotros).

 

¿Y el usuario doméstico? Salvo para algunos casos significativos, resulta evidente que este método no será el empleado en los hogares, principalmente porque la orientación de los sistemas operativos de índole doméstico no portan esta funcionalidad. Un elemento previsible aunque negativo, es que este sistema pudiera dificultar elementos para el análisis de un  equipo donde es requerido determinar si desde él, se ha cometido un posible delito.

 

Y en todos estos posibles escenarios, ¿tengo que equiparme con un nuevo PC, para soportar la infraestructura de Bitlocker? La respuesta es NO, aunque podremos obtener mejoras significativas si optamos por utilizar un equipo que cuente con el Chip TPM. Para todos aquellos que desean utilizar el cifrado y no poseen el Chip, encontramos una directiva de seguridad bajo la cual podemos condicionar el uso de Bitlocker sin el citado Chip. Por defecto el sistema solo admite la configuración de Bitlocker si el equipo cuenta con el Chip.

 

Configuración de Bitlocker sin TPM en Vista

 

Para utilizar Bitlocker sin TPM

1. MMC


2. Directiva Equipo Local


3. Configuración del equipo


4. Plantillas Administrativas


5. Componentes de Windows


6. Cifrado de Unidad Bitlocker

 

 

 

Imagen 1: Directiva de Seguridad

 

 

 

 

Imagen 2: Configuración Bitlocker sin TPM

 

 

Referencias Externas

 

 —————————————————————-

– Bitlocker I: Seguro más allá de su uso

– Bitlocker II: La Concienciáción para la seguridad de los discos

– Consecuencia de los robos.

– Versiones de Windows Vista y funcionalidades.

Bitlocker proporciona mecanismos para garantizar tanto el cifrado de la unidad que contiene el sistema operativos, proporcionando de esta manera, seguridad adicional frente a amenazas externas directas o indirectas. De esta forma nadie ajeno al sistema podría conseguir la información almacenada en la partición del disco duro cifrado mediante Bitlocker. A pesar de las mejoras que este mecanismo proporciona no hay que obviar otras metodologías como EFS o Right Management Services, puesto que Bitlocker solo condiciona este mecanismo de seguridad, a la información almacenada sobre el disco cifrado y en ninguna instancia a todos los datos que salen fuera de él como ficheros compartidos, almacenados en discos externos, etc. El cifrado del sistema se puede combinar mediante cifrado de mecanismos Software y/o Hardware.

¿Combinar Hardware y Software? 

 

Bitlocker proporciona un filtro en el Stack del sistema de Windows Vista encargado de realizar los procesos de cifrado y descifrado de una forma totalmente transparente, cuando se escribe o se lee en un volumen protegido. Este mismo mecanismo interviene también cuando el equipo entra en el modo de hibernación. Mediante este mecanismo se garantiza también la seguridad del fichero de paginación, los ficheros temporales y resto de elementos que puedan contener información sensible. Una vez que el mecanismo de cifrado ha sido puesto en marcha, la clave de cifrado es eliminada del disco y posteriormente almacenada en el Chip TPM. Con objeto de garantizar que un posible ataque al sistema hardware mediante posibles vulnerabilidades, se proporcionan mecanismos de autentificación mediante sistemas adicionales tales como el uso de Token (llave USB) o una password (PIN) para evitar esta posibilidad.

  

El uso combinado de mecanismos hardware y software evitan determinados ataques que tienen como objetivo la modificación de datos que aunque cifrados podrían provocar una vulnerabilidad en el sistema, siendo explotado posteriormente para poder acceder al sistema. La implementación de Bitlocker requiere de la existencia de condiciones para su implementación. Un factor importante es que el sistema necesita dos particiones NTFS una de las cuales, la partición activa, que albergará el sistema de arranque no se encontrará cifrada. Bitlocker también proporciona mecanismos para garantizar que no se han producido modificaciones en el sistema de arraque del sistema, tales como los que pueden provenir de ataques tipo malware que pudieran producir un ataque colateral o el control del acceso al sistema.

 

Puesto que bitlocker proporciona diferentes mecanismos de implementación, cada escenario dependerá de determinados factores, algunos de los cuales pueden ser tan curiosos como la predisposición a la seguridad de sus usuarios. Imaginemos que se implementa bitlocker con autentificación por Token (almacenada en un Memory Stick USB) para un portátil y cuando pierdes o te roban el portátil ¿qué?, pues resulta que el USB iba en el mismo maletín y a rezar para que el que nos haya robado el portátil cuando vea el USB y que Vista no arranque no una situaciones. Aunque alguno piense menuda tontería, eso es imposible que pase… tampoco pensaba que iba a ver nunca en una SmartCard el código PIN escrito con rotulador indeleble y lo he visto (sino tiempo al tiempo, y es que más de uno se planteará donde llevar el Memoty Stick). En el siguiente post analizaremos estos escenarios.

 

Referencias

—————————–

– Bitlocker I : Seguro más allá de su uso

Ante todo un saludo a todos aquellos que se aventuren a leernos a través de estos post, en los que iremos desgranando diferentes temas, y algunos de ellos muy curiosos. Para este primer post os propongo una reflexión tras la cual iremos desesentrañando alguna tecnología de seguridad interesante que incorpora Windows Vista.

Cuando finalizamos el ciclo de vida de un equipo, ¿qué hacemos?, simplemente nos deshacemos de él. Pero realmente tenemos en cuenta cuál es el destino del mismo, quien lo puede manipular,…, total si nosotros no lo vamos a utilizar que más da, ya tenemos una copia de los datos y los habremos pasado a nuestro nuevo y flamante equipo. Otras veces un equipo estropeado es enviado a un servicio técnico y desconocemos quien va a manipular la información; o simplemente hemos dejado olvidado nuestro equipo portátil en cualquier lugar o nos lo han robado, ofreciendo eso sí, un acceso total a la información que este contiene (claro y en muchas circunstancias como no con un descriptivo fichero llamado password o con fotos comprometidas,… ya podemos imaginar las consecuencias).

Algunas veces es posible que el propietario de un equipo que se va deshacer de él pudiera llegar a formatear el disco (las menos), pero desconoce realmente, que este mecanismo no garantiza que alguien pudiera llegar a extraer los datos que él tuviera anteriormente almacenado. Algunos estudios revelan informaciones alarmantes que determinan que un gran número de datos médicos, de cuentas corrientes, datos financieros, de empleados, clientes, etc., acaban en cubos de la basura junto a los equipos deshechados o bien camino de algún supuesto país, tras haber hecho una importante donación de los mismos a una nueva Fundación que ha aparecido vaya usted a saber donde, requiriendo de mi empresa los ordenadores en deshuso, y todo esto claro está sin que hagamos ningún tratamiento para la eliminación de los datos almacenados (Dios mío mis datos médicos o financieros camino de… y quien habrá detras de estos envíos).

 

Dos graduados del Instituto Tecnológico de Massachussets realizaron un estudio con objeto de determinar el alcance de esta problemática, para lo cual compraron 150 discos duros de segunda mano y le aplicaron técnicas de análisis forense para extraer los datos almacenados. En muchas de las circunstancias estos datos no se encontraban ni eliminados y en los que así era, pudieron extraerlos mediante aplicaciones para la recuperación de ficheros. De los discos duros consiguieron extraer una cantidad significativa de datos de tipo confidencial.

Y ahora ¿qué? 

Windows Vista en sus versiones Enterprise y Ultimate, incorpora una nueva funcionalidad que entre otras posibles características podría paliar los anteriores escenarios que habíamos planteado: Bitlocker. Este nuevo sistema garantiza la confidencialidad de los datos almacenados en el disco mediante cifrado. Bitlocker utiliza AES (Advance Encription Standard) como algoritmo de cifrado en modo CBC (Cypher Block Chaining) y con objeto de evitar los ataques por manipulación de datos cifrados se incorpora un difusor adicional independiente de AES-CBC.

Los mecanismos de seguridad implementados por Bitlocker se complementan mediante unas nuevas especificaciones de seguridad hardware Trusted Platform Module (TPM). Este nuevo chip TPM proporciona una plataforma segura para el almacenamiento de claves, password o certificados, haciendo más difícil el ataque contra las mismas. Aunque nuestros equipos no dispusieran de este mecanismo de seguridad las especificaciones de Bitlocker admiten su funcionalidad sin el chip TPM, pero ¿funciona igual?

En post posteriores trataremos los diferentes aspectos técnicos empleados para el cifrado de la información, destriparemos Bitlocker y las funcionalidades que nos reporta el uso del Chip TPM si disponemos del mismo.