Introducción a Microsoft Bitlocker Administration and Monitoring 2.0

En las siguientes notas tenemos como objetivo detallar la infraestructura necesaria, los procedimientos y las diferentes configuraciones a realizar, con el fin de implementar el servicio de Microsoft Bitlocker Administration and Monitoring sobre el cliente Bitlocker y las configuraciones para iniciar el cifrado en todo equipo ya sea portátil o de escritorio, sobre el sistema operativo Windows 7 Enterprise (32 y 64 bits).

Imagen 1

BitLocker protege todos los archivos almacenados en la unidad donde está instalado Windows (unidad del sistema operativo) y en unidades de datos fijas (como unidades de disco duro internas). Puede usar BitLocker To Go para proteger todos los archivos almacenados en unidades de datos extraíbles (por ejemplo, unidades de disco duro externas o unidades flash USB).

A diferencia del Sistema de cifrado de archivos (EFS), que permite cifrar archivos individuales, BitLocker cifra toda la unidad. Puede iniciar sesión y trabajar normalmente con los archivos, y BitLocker puede evitar que los hackers tengan acceso a los archivos del sistema que necesitan para averiguar su contraseña, y puede evitar además que tengan acceso a la unidad si la quitan de su equipo y la instalan en otro.

Al agregar archivos nuevos a una unidad cifrada con BitLocker, BitLocker los cifra de forma automática. Los archivos solamente permanecerán cifrados si se almacenan en la unidad cifrada. Los archivos que se copien en otra unidad u otro equipo quedarán descifrados. Si comparte archivos con otros usuarios, por ejemplo, a través de una red, los archivos estarán cifrados mientras estén almacenados en la unidad cifrada, pero los usuarios autorizados podrán acceder a ellos normalmente.

Si se cifra la unidad del sistema operativo, BitLocker comprueba el equipo durante el inicio para ver si hay algún problema que pueda suponer un riesgo para la seguridad (por ejemplo, un cambio en el BIOS o cambios en los archivos de inicio). Si se detecta un posible riesgo de seguridad, BitLocker bloquea la unidad del sistema operativo y solicita una clave de recuperación de BitLocker especial para desbloquearla. Asegúrese de crear esta clave de recuperación la primera vez que active BitLocker; de lo contrario, podría perder el acceso a los archivos de forma permanente. Si el equipo tiene el chip del Módulo de plataforma segura (TPM), BitLocker lo usa para sellar las claves que se usan para desbloquear la unidad del sistema operativo cifrada. Al iniciar el equipo, BitLocker solicita al TPM las claves de la unidad y la desbloquea.

Si cifra unidades de datos (fijas o extraíbles), puede desbloquear la unidad cifrada con una contraseña o una tarjeta inteligente, o configurar la unidad para que se desbloquee automáticamente al iniciar sesión en el equipo.

Puede suspender BitLocker para desactivarlo temporalmente o descifrar la unidad para desactivarlo permanentemente.

Nota: La capacidad de cifrar unidades mediante Cifrado de unidad BitLocker está disponible únicamente en las ediciones Ultimate y Enterprise de Windows 7.

Imagen 2

Reseña histórica a alto nivel y Funcionalidad de MBAM

Anteriormente a la existencia de MBAM se encriptaban los discos corporativos de forma manual mediante Bitlocker y la clave para su recuperación debía de resguardarse en un File server, o extender el esquema de Active directory para poder alojar las mismas en este. Dada la necesidad de automatizar la encripcion del disco, resguardar de forma centralizada la clave de recuperación de Bitlocker/chip TPM y de obtener de forma sencilla y ágil las claves ante un evento de seguridad es que nació MBAM.

Microsoft Bitlocker Administration and Monitoring (MBAM) gestiona de forma controlada y automatizada la encripcion del disco rígido sobre los equipos corporativos, la administración y resguardo centralizado de las claves de Bitlocker y del chip TPM, como así también un portal de HelpDesk y Self Service para ser recuperadas según sea necesario. Además aporta Reportes de cumplimiento y auditoria para una administración completa del servicio.

  Imagen 3

Licenciamiento

Microsoft Bitlocker Administration and Monitoring (MBAM) es un producto que está disponible en Microsoft Desktop Optimization Pack (MDOP). MDOP es un conjunto de tecnologías que se encuentra disponible de forma gratuita como suscripción para clientes de Software Assurance.

 Imagen 4

En la próxima nota veremos los componentes para realizar el diseño de Bitlocker, el cual deberemos conocer bien antes de implementar MBAM en nuestro entorno productivo.