OneNote Online

Page 1 of 33

Mdulo 10: 70-411 Configuring Encryption and Advanced

Auditing
jueves, 15 de enero de 2015 9:28

Cifrado y Auditora Avanzada.

En este mdulo hablaremos de cifrado de archivos y carpetas en reposo, no en trnsito, como es el caso de las VPNs y DirectAccess.
Para cifrar archivos y carpetas en un disco duro, Windows Server 2012 R2 incluye 2 herramientas:
BitLocker: Es relativamente reciente, desde Windows Vista y Windows Server 2008.
EFS (Encrypted File System): Es una caracterstica de NTFS.
BitLocker

Es una caracterstica que podemos aadir a Windows Server desde la versin 2008 y a los clientes Windows desde Vista.

Windows XP no soporta BitLocker, pero si puede leer dispositivos removibles que hayan sido cifrados con BitLocker on the Go. Para
esto, Windows XP necesita el Reader de BitLocker on the Go.

BitLocker es una tecnologa que permite cifrar unidades completas. Podemos cifrar una particin o solo el espacio que se est usando
de una particin. BitLocker no permite cifrar archivos o carpetas independientes.
Al cifrar solo el espacio cifrado por una particin aceleramos el proceso, pero podra ocurrir que se vieran comprometidos archivos
que fueron borrados y que an estn en la zona sin usar de la particin.
El objetivo de BitLocker es evitar que una persona que obtenga un disco duro o un pendrive pueda conectarlo a otro ordenador y
acceder a su contenido.

El escenario habitual es cifrar los porttiles de la empresa por si uno se pierde.

Otro escenario habitual de BitLocker es proteger los archivos de arranque del sistema. BitLocker analiza los archivos de arranque y del
sistema y si detecta cambios no autorizados en alguno, no permite el arranque. Secure Boot. Es un mtodo de proteccin frente a
troyanos, backdoors, rootkits,
Algunas caractersticas de BitLocker slo estn disponibles si disponemos de un TPM (Trusted Platform Module). TPM es un chip que
encontramos en la mayora de equipos y est diseado para llevar a cabo tareas criptogrficas. En este TPM es donde BitLocker
almacena las contraseas de cifrado. El requisito es disponer de TPM 1.2.
El algoritmo de cifrado que usa BitLocker es AES, tanto de 128 como de 256 bits.

Proteger particiones tanto de datos como del sistema y es posible que se apliquen durante el proceso de instalacin de Windows.
Practica
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Creamos una particin de 20GB en LON-RTR, lo inicializamos todo por defecto.
Creamos un archivo.txt "Archivo Importante"

Instalamos la Caracterstica de BitLocker Drive Encryption.

Pide reiniciar. Vamos a esperar a reiniciar, para configurar unas GPOs en LON-DC1 y reiniciar despus para que se apliquen los cambios
de la GPO.

BitLocker Network Unlock es una caracterstica que permite descifrar automticamente unidades de equipos que estn en un
dominio confiable. Las claves de cifrado de BitLocker se habrn almacenado en el AD DS. Si el equipo que contiene la particin
est en el dominio, la particin se descifra. Cuando est fuera, la particin permanece bloqueada.

Entramos en LON-DC1 y modificamos la poltica por defecto, para que se aplique en todo el dominio.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 2 of 33

Seleccionamos la que est marcada porque es para Windows 8 y Windows Server 2012. La de abajo es para otros sistemas operativos
anteriores pero hace lo mismo.

La editamos y seleccionamos los bits de cifrado. Si no configuramos, por defecto tiene la longitud de 128 bits.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 3 of 33

Ahora configuramos Unidades de Datos Fijas. El tipo de encriptacin para la particin del sistema, lo normal es que sea completo.

Cifrarnos el espacio utilizado

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 4 of 33

Podemos configurarlo para un cifrado completo del Sistema Operativo. Aunque todava no hemos habilitado el TPM

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 5 of 33

Y configuramos el TPM para que no nos lo pida, ya que no lo tenemos. Y nos deje cifrar utilizando una contrasea.
Requerir autenticacin adicional en el inicio. As podemos sustituir el TPM por una contrasea.

Como vemos esta opcin es solo para Windows Server 2008 R2 o Windows 7.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 6 of 33

Esta es la misma que la anterior pero para Windows Server 2008 y Windows Vista.

Esta opcin es solo para Windows Server 2012 o Windows 8. (no la configuramos pero importante para el examen)

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 7 of 33

Entramos en LON-RTR y hacemos gpupdate /force y reiniciamos para que se apliquen las GPOs y termine de instalarse la caracterstica
que hemos instalado anteriormente.

Ahora si entramos en Panel de Control y mostramos todos los iconos vemos el icono

Nos da 2 opciones o Contrasea o tarjeta inteligente. Como no tenemos tarjeta inteligente lo hacemos con contrasea.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 8 of 33

Y nos dice si queremos imprimir la contrasea o gurdala.

Lo guardamos en el escritorio aunque no es lo ms seguro.

Y que solo cifre el espacio utilizado.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 9 of 33

Iniciar encriptado.

Vemos que las opciones del Panel de Control han cambiado

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 10 of 33

Este es el archivo que ha creado

Y vemos que el icono de la unidad tambin ha cambiado.

Ahora vamos a LON-CL1 y vamos a aadir el disco de LON-RTR (Unidad E:\)

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 11 of 33

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Si perdemos TPM, la contrasea, el pendrive donde tenemos almacenadas las credenciales o el archivo donde la hemos guardado,
perderemos el acceso a la unidad. Al no ser que previamente hayamos configurado un DRA (Data Recovery Agent) (Agente de
Recuperacin de Datos).
La configuracin de un DRA es igual para BitLocker y para EFS. Por defecto, el DRA para EFS es el Administrador del dominio.
EFS.

EFS es una propiedad del sistema de archivos NTFS que permite cifrar archivos individuales o carpetas.
No exige instalar ninguna caracterstica adicional.

Es una capa adicional de seguridad. Incluso si un usuario tienen acceso completo a nivel de permisos a un archivo, si no est
autorizado en EFS, tendr acceso denegado.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 12 of 33

EFS no cifra volmenes completos, sino carpetas y archivos. Es un cifrado a nivel de usuario. Por defecto, el archivo slo ser accesible
para quien lo ha cifrado y para el DRA. Para que otro usuario tenga acceso al archivo, tendremos que aadirlo a la lista de autorizados
en EFS.
EFS utiliza un sistema de cifrado simtrico. La clave de cifrado se genera para cada archivo y se almacena en la cabecera de ese
archivo.
La clave para cifrar y descifrar el archivo se llama FEK (File Encryption Key).

Archivo en plano: Este archivo es muy importante.

|
Cifrar
|
Clave de cifrado (FEK): 2 (se trata de mover 2 posiciones las letras) Ejemplo: Este = Guvg
Archivo Cifrado: Guvg

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Entramos en LON-CL1 con un usuario que no sea administrador.

En la autoridad certificadora. (certsrv)

--> Certificate Templates --> botn derecho Management --> plantilla de usuario (User) --> botn derecho propiedades --> Security -->
Domain User --> comprobamos que si nos va a dar certificado.

Para implementar EFS no es necesario contar con un CA, pero es ese caso, los certificados que se usaran para proteger la FEK
seran autofirmado. Contar con una CA nos va a facilitar la gestin de certificados la recuperacin de archivos cifrados con EFS.

Active Directory --> Sales --> usuario Sales1 --> botn derecho --> propiedades y vemos que no es administrador de dominio.
Entramos con ese usuario (Sales1) a LON-CL1.
Abrimos una MMC y aadimos la consola de certificados. (Certificates)

Y vemos que en "Personal no tiene ningn certificado.

--> Botn derecho --> All Task --> Request New Certificate (pedimos un certificado ) --> Next

--> User

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 13 of 33

--> Enroll --> Finish

En "Personal" --> Certificates --> ya tenemos el certificado de Sales1

En LON-DC1 verificamos desde la consola de certificados que se ha emitido (Issued Certificates) el certificado a Sales1.
(LON-CL1) Creamos una carpeta en c:\

Y creamos un archivo que queremos proteger para todos los usuarios que no sean Sales1

Ciframos la carpeta.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 14 of 33

Marcamos la ltima opcin.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 15 of 33

Pulsamos en aplicar y OK.

Y ha cambiado el color de archivo

Volvemos a entrar en las propiedades del archivo "Secreto"

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 16 of 33

Vamos a entrar con Sales2 a ver si puede acceder al archivo.

Lo intentamos abrir y sale el siguiente mensaje (no nos deja abrir el archivo)

Queremos que Sales1 y Sales2 puedan colaborar con ese archivo.

Con el usuario Sales2 entramos otra vez en la consola mmc, aadimos el Snap-in de certificados y solicitamos un certificado como
hemos hecho con Sales1

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 17 of 33

Para que Sales2 tenga acceso se lo tiene que proporcionar Sales1 o el administrador.
Entramos con el usuario Sales1.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 18 of 33

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 19 of 33

Damos a todas las ventanas "OK"

Entramos ahora con Sales2 y comprobamos que nos deja abrir el archivo.txt

Desde LON-DC1
El Certificado de Sales1 ya no es seguro y hay que revocarlo. (ejemplo)

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 20 of 33

Ha pasado a estar en certificados Revocados.

Entramos en LON-CL1 con el usuario Sales1. No nos debera dejar entrar en el archivo (la revocacin de certificado tarda un poco)
Y vamos a provocar otro fallo.
Entramos en la mmc --> certificados y borramos el certificado de Sales1

Cerramos la sesin (solo para que se apliquen los cambios) y volvemos a entrar con Sales1
Intentamos entrar en el archivo y no nos deja.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 21 of 33

Cmo le volvemos a dejar entrar? Deja des-revocarlo, pero lo hemos revocado porque la clave se ha visto comprometida (en este
ejemplo) por lo que no se puede volver a generar el mismo certificado por seguridad.

Pedimos otro certificado con Sales1.

Cambiamos de usuario entrando con Sales2, y le damos permiso con el nuevo certificado de Sales1 para acceder al archivo. (pasos
anteriores)
Entramos con Sales1 y ya nos deja entrar con el nuevo certificado.

Esto es una solucin a medias, porque Sales2 solo tiene acceso a ese archivo concretamente y Sales1 tena acceso a toda la carpeta,
por lo que si hubiera otros archivos .txt, a Sales1 no le dejara entrar si Sales2 no tiene permisos para acceder a esos otros archivos
De todos modos si hubiera 100 archivos y Sales2 tuviera acceso a todo, sera muy costoso dar permisos a Sales1 archivo por archivo.
Por lo que entramos como administrador del dominio en LON-CL1.
A nivel de carpeta vemos que solo Sales1 tiene permiso para entrar

Abrimos una consola mmc y agregamos el certificado como My user account

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 22 of 33

Deberamos importar el certificado del administrador, pero antes hay que exportarlo desde LON-DC1.
Entramos en LON-DC1
Abrimos la consola mmc y agregamos el Snap-in de certificados

Vemos que este certificado es para recuperacin de archivos.

Pero si hubiera miles de archivos que recuperar el Administrador no tiene por qu encargarse de esa tarea, por lo que debera delegar
la tarea. (se hara como en la imagen, pero no lo vamos a hacer.

Abrimos la consola de Gestin de Directivas de Grupo (GPO)

Editamos la poltica por defecto

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 23 of 33

Vemos que tiene el mismo certificado que desde la consola mmc, pero si pulsamos con el botn derecho vemos que se puede aadir un
agente de recuperacin de datos. Ya no lo tendra que hacer el administrador.
Podemos "Aadir" y "Crear".
Aadir es cuando ya tenemos el certificado que le permite hacer esas tareas.
Lo creo cuando todava el usuario no tiene el certificado que le permite hacer esas tareas.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 24 of 33

En este caso tenemos que Crear un Agente de Recuperacin de Datos.

Y nos crea otro certificado.

Exportamos el certificado Administrador.

Es una chapuza porque metemos la clave privada en una carpeta compartida, (no recomendable), pero para la prctica nos sirve.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 25 of 33

La protegemos con una clave.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 26 of 33

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 27 of 33

Vamos LON-CL1 con el usuario administrador. Aadimos el Snap-in de certificado.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 28 of 33

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 29 of 33

Finish.
Ya tenemos el certificado.

Entramos en las propiedades de la carpeta y probamos descifrar, y si nos deja ya podramos acceder con el usuario al archivo.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 30 of 33

Directivas de Auditoria.
Para activar la auditoria

Creamos una nueva GPO en el dominio

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 31 of 33

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 32 of 33

Vamos a auditar esta carpeta. LON-DC1

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 33 of 33

Entramos a LON-CL1 con Sales1

Creamos un archivo en la "carpeta compartida" Informes

Vamos al visor de eventos y vemos que ha creado un evento.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016