Microsoft® BitLocker™ Drive Encryption (BitLocker) y el Sistema de archivos de cifrado (EFS) son dos tecnologías independientes que se pueden combinar para proporcionar una solución general muy eficaz para la seguridad de los datos. Una solución de cifrado que usa una combinación de BitLocker y EFS aprovecha el cifrado eficaz por equipo proporcionado por BitLocker y el cifrado por usuario proporcionado por EFS. En esta páginaSelección de la combinación de BitLocker y EFSUna organización puede implementar muchas combinaciones diferentes de BitLocker y EFS. Este documento no pretende ofrecer una descripción completa de todas las combinaciones posibles, aunque existen varias combinaciones comunes de BitLocker y EFS. Esta sección resume algunas combinaciones y describe sus minimizaciones de riesgos. Estas combinaciones son: | • | BitLocker con Módulo de plataforma segura (TPM) y EFS | | • | BitLocker con TPM, número de identificación personal (NIP) y EFS | | • | BitLocker con TPM, NIP y EFS con tarjetas inteligentes |
BitLocker con TPM y EFS con almacenamiento de claves de softwareLa combinación de BitLocker con un TPM y EFS con almacenamiento de claves de software proporciona seguridad básica con requisitos mínimos de formación de usuario y costos generales. La solución más útil para las organizaciones que desean combinar BitLocker y EFS sería la combinación de BitLocker con las opciones de TPM y EFS (sin tarjetas inteligentes) que se trataron anteriormente en esta guía. La subsección siguiente proporciona información acerca de las características de dicha solución. Riesgos minimizados: BitLocker con TPM y EFS con almacenamiento de claves de softwareLa combinación de BitLocker y EFS minimizan los siguientes riesgos para los datos: | • | Usuario no autorizado puede leer datos cifrados. Una ventaja específica de EFS en comparación con BitLocker es que las claves de cifrado se guardan en un almacenamiento de clave segura que está protegido con las credenciales del usuario. En esta configuración, la credencial es una contraseña. Por tanto, otros usuarios autorizados del equipo pueden iniciar sesión en el equipo ya sea de forma interactiva o a través de la red, pero no tendrán acceso a archivos confidenciales del equipo que otro usuario haya protegido con EFS, a menos que este usuario les conceda específicamente el acceso a los mismos.
| | • | Detección de claves mediante ataque sin conexión. La clave maestra de volumen (VMK) se cifra mediante una clave que se encuentra dentro del hardware de TPM y que se combina con un NIP. Si se desconoce el NIP, el atacante necesitará realizar un ataque por fuerza bruta para determinar el valor de la clave de cifrado del volumen completo (FVEK).
| | • | Ataques sin conexión contra el sistema operativo. Los ataques sin conexión contra el sistema operativo se minimizan porque un atacante debe recuperar correctamente la clave raíz de almacenamiento (SRK) del TPM y usarla para descifrar la VMK, o realizar un ataque por fuerza bruta en la FVEK. Además, BitLocker configurado con la tecnología de difusor (habilitada de forma predeterminada) minimiza con precisión los ataques localizados de esta naturaleza, ya que las pequeñas modificaciones en el texto cifrado se propagan a través de un área mayor.
| | • | Pérdidas de datos de texto sin formato mediante el archivo de hibernación. El objetivo principal de BitLocker es proteger los datos del volumen del sistema operativo de la unidad de disco duro cuando el equipo se apaga o se encuentra en modo de hibernación. Cuando BitLocker está habilitado, el archivo de hibernación se cifra.
| | • | Pérdidas de datos de texto sin formato mediante el archivo de paginación del sistema. En Windows Vista, se puede configurar EFS para cifrar el archivo de paginación mediante una clave simétrica temporal que se genera en el momento del inicio, pero que nunca se escribe en el disco. Esta clave se descarta después de apagar el sistema, por lo que la recuperación de datos del archivo de paginación necesitará un ataque por fuerza bruta para encontrar la clave simétrica usada para cifrar el archivo de paginación. Si BitLocker también está habilitado, el atacante deberá vencer BitLocker y completar correctamente un ataque por fuerza bruta a la clave del archivo de paginación para recuperar la información útil.
| | • | Error de usuario. Como BitLocker es una tecnología de cifrado completo de volúmenes, cifra todos los archivos almacenados en el volumen del sistema operativo Windows Vista. Esta funcionalidad ayuda a evitar errores por parte de los usuarios que toman decisiones incorrectas acerca de la aplicación o no del cifrado.
|
Riesgos residuales y minimizaciones: BitLocker con TPM y EFS con almacenamiento de claves de software
La combinación de BitLocker y EFS no minimiza los siguientes riegos sin controles y directivas adicionales. Los detalles acerca de estos riesgos y sus minimizaciones se pueden encontrar en las descripciones de escenarios del Capítulo 2: BitLocker Drive Encryption y el Capítulo 3: Sistema de archivos de cifrado en este Análisis de seguridad.
| • | Equipo en modo de hibernación. Si el usuario no configura el equipo para solicitar una contraseña cuando éste se reanude, el sistema operativo no puede saber que el usuario actual no es el usuario adecuado. Este riesgo se minimiza configurando el equipo para solicitar las credenciales de usuario cuando se reanuda tras un tiempo en modo de hibernación.
| | • | Equipo en modo de suspensión (en espera). Como en el modo de hibernación, el estado de las claves de cifrado del equipo portátil y de BitLocker no cambia cuando el portátil entra en modo de suspensión. Cuando se reanuda desde el modo de suspensión, la FVEK permanece accesible para el equipo. Este riesgo se puede minimizar habilitando la configuración Solicitar una contraseña cuando el equipo se active tras un tiempo de suspensión.
| | • | Equipo con sesión iniciada y escritorio desbloqueado. Un usuario que obtenga acceso al escritorio de un equipo protegido con BitLocker y EFS, tendrá básicamente acceso a la totalidad del equipo. Este riesgo se puede minimizar proporcionando un proceso de formación de la conciencia de seguridad y considerando el uso de configuraciones de Directivas de grupo para bloquear automáticamente el equipo tras un periodo de inactividad.
| | • | Detección de contraseña local o de dominio. Las claves de EFS se descifran en una secuencia que comienza con una clave derivada de la contraseña del usuario. Por tanto, el cifrado de EFS estará comprometido si la contraseña del usuario también lo está.
| | • | Ataques en línea contra el sistema operativo. Esta opción no minimiza los ataques en línea contra el sistema operativo. Un atacante que puede atacar con éxito el sistema operativo mientras se está ejecutando, puede también ejecutar un código de su elección para recuperar los datos cifrados.
| | • | Ataques a plataformas. Ni BitLocker ni EFS proporcionan una protección total frente a ataques a plataformas.
| | • | Factor de autenticación necesario dejado con el equipo. Si el usuario deja su contraseña de inicio de sesión con el equipo, el atacante puede iniciar sesión y suplantar al usuario, obteniendo acceso completo a sus recursos. Este riesgo se puede minimizar proporcionando un proceso de formación de la conciencia de seguridad de los usuarios.
|
BitLocker con TPM, NIP y EFS con almacenamiento de claves de softwareAgregar un requisito de NIP a un equipo habilitado con BitLocker mejora significativamente la seguridad de la tecnología BitLocker en términos de capacidad de uso y de administración. En esta opción, al usuario se le solicitan dos contraseñas para usar el equipo: una para BitLocker (en el inicio) y otra para el equipo o el dominio en el inicio de sesión. Las dos contraseñas deberán ser diferentes, ya que el NIP está restringido a caracteres numéricos introducidos mediante las teclas de función (F0 - F9) y la mayoría de directivas de contraseñas de dominio rechazan contraseñas completamente numéricas. Con esta combinación, EFS proporciona minimización de algunos ataques que BitLocker no puede minimizar por sí solo. Riesgos minimizados: BitLocker con TPM, NIP y EFS con almacenamiento de claves de software| • | Equipo en modo de hibernación. La combinación de BitLocker con TPM y NIP minimiza este riesgo porque se le pide al usuario que proporcione el NIP cuando el portátil se reanuda tras un tiempo en modo de hibernación.
| | • | Detección de contraseña local o de dominio. La ventaja principal de BitLocker con la opción de TPM y NIP es que la solución introduce otro factor o credencial que son necesarios para iniciar el equipo o reanudarlo tras un tiempo en modo de hibernación. Esta ventaja es importante para los usuarios que se encuentren en riesgo de recibir ataques de ingeniería social o que tengan malos hábitos de contraseñas, como usar la contraseña de Windows en equipos que no sean de confianza.
| | • | Usuario no autorizado puede leer datos cifrados. Una ventaja específica de EFS en comparación con BitLocker es que las claves de cifrado se guardan en un almacenamiento de clave segura que está protegido con las credenciales del usuario. En esta configuración, la credencial es una contraseña. Por tanto, otros usuarios autorizados del equipo pueden iniciar sesión en el equipo ya sea de forma interactiva o a través de la red, pero no tendrán acceso a archivos confidenciales del equipo que otro usuario haya protegido con EFS, a menos que este usuario les conceda específicamente el acceso a los mismos.
| | • | Detección de claves mediante ataque sin conexión. La VMK se cifra mediante una clave dentro del hardware de TPM que se combina con un NIP. Si se desconoce el NIP, el atacante necesitará realizar un ataque por fuerza bruta para determinar el valor de la FVEK.
| | • | Ataques sin conexión contra el sistema operativo. Los ataques sin conexión contra el sistema operativo se minimizan porque un atacante debe recuperar correctamente la SRK del TPM y usarla para descifrar la VMK, o realizar un ataque por fuerza bruta en la FVEK. Además, BitLocker configurado con la tecnología de difusor (habilitada de forma predeterminada) minimiza con precisión los ataques localizados de esta naturaleza, ya que las pequeñas modificaciones en el texto cifrado se propagan a través de un área mayor.
| | • | Pérdidas de datos de texto sin formato mediante el archivo de hibernación. El objetivo principal de BitLocker es proteger los datos del volumen del sistema operativo de la unidad de disco duro cuando el equipo se apaga o se encuentra en modo de hibernación. Cuando BitLocker está habilitado, el archivo de hibernación se cifra.
| | • | Pérdidas de datos de texto sin formato mediante el archivo de paginación del sistema. En Windows Vista, se puede configurar EFS para cifrar el archivo de paginación mediante una clave simétrica temporal que se genera en el momento del inicio, pero que nunca se escribe en el disco. Esta clave se descarta después de apagar el sistema, por lo que la recuperación de datos del archivo de paginación necesitará un ataque por fuerza bruta para encontrar la clave simétrica usada para cifrar el archivo de paginación. Si BitLocker también está habilitado, el atacante deberá vencer BitLocker y completar correctamente un ataque por fuerza bruta a la clave del archivo de paginación para recuperar la información útil.
| | • | Factor de autenticación necesario dejado con el equipo. El NIP es un segundo factor de autenticación no física que no se puede perder con el equipo a menos que se escriba en un papel o se deje en algún sitio obvio.
| | • | Error de usuario. Como BitLocker es una tecnología de cifrado completo de volúmenes, cifra todos los archivos almacenados en el volumen del sistema operativo Windows Vista. Esta funcionalidad ayuda a evitar errores por parte de los usuarios que toman decisiones incorrectas acerca de la aplicación o no del cifrado.
|
Riesgos residuales y minimizaciones: BitLocker con TPM, NIP y EFS con almacenamiento de claves de software
La combinación de BitLocker y EFS no minimiza los siguientes riegos sin controles y directivas adicionales. Los detalles acerca de estos riesgos y sus minimizaciones se pueden encontrar en las descripciones de escenarios del Capítulo 2: BitLocker Drive Encryption y el Capítulo 3: Sistema de archivos de cifrado en este Análisis de seguridad.
| • | Equipo en modo de suspensión (en espera). El estado de las claves de cifrado del equipo portátil y de BitLocker no cambian cuando el portátil entra en modo de suspensión. Cuando se reanuda desde el modo de suspensión, la FVEK permanece accesible para el equipo. Este riesgo se puede minimizar habilitando la configuración Solicitar una contraseña cuando el equipo se active tras un tiempo de suspensión.
| | • | Equipo con sesión iniciada y escritorio desbloqueado. Un usuario que obtenga acceso al escritorio de un equipo protegido con BitLocker y EFS, tendrá básicamente acceso a la totalidad del equipo. Este riesgo se puede minimizar proporcionando un proceso de formación de la conciencia de seguridad y considerando el uso de configuraciones de Directivas de grupo para bloquear automáticamente el equipo tras un periodo de inactividad.
| | • | Ataques en línea contra el sistema operativo. Esta opción no minimiza los ataques en línea contra el sistema operativo. Un atacante que puede atacar con éxito el sistema operativo mientras se está ejecutando, puede también ejecutar un código de su elección para recuperar los datos cifrados.
| | • | Ataques a plataformas. Ni BitLocker ni EFS proporcionan una protección total frente a ataques a plataformas.
|
BitLocker con TPM, NIP y EFS con tarjetas inteligentes (modo de clave en caché)La combinación de BitLocker con TPM, NIP y EFS con tarjetas inteligentes en modo de clave en caché minimiza casi todos los riesgos importantes descritos en esta guía. Sin embargo, esta combinación de tecnologías precisa de una inversión sustancial en la implementación de infraestructuras de tarjetas inteligentes, por lo que resulta más adecuada para las organizaciones que cuentan con grandes requisitos de negocio para este nivel de seguridad. Riesgos minimizados: BitLocker con TPM, NIP y EFS con tarjetas inteligentes| • | Equipo en modo de hibernación. La combinación de BitLocker con TPM y NIP minimiza este riesgo porque se le pide al usuario que proporcione el NIP cuando el portátil se reanuda tras un tiempo en modo de hibernación.
| | • | Detección de contraseña local o de dominio. La ventaja principal de BitLocker con la opción de TPM y NIP es que la solución introduce otro factor o credencial que son necesarios para iniciar el equipo o reanudarlo tras un tiempo en modo de hibernación. Esta ventaja es importante para los usuarios que se encuentren en riesgo de recibir ataques de ingeniería social o que tengan malos hábitos de contraseñas, como usar la contraseña de Windows en equipos que no sean de confianza.
| | • | Usuario no autorizado puede leer datos cifrados. Una ventaja específica de EFS en comparación con BitLocker es que las claves de cifrado se guardan en un almacenamiento de clave segura que está protegido con las credenciales del usuario. En esta configuración, la credencial es una contraseña. Por tanto, otros usuarios autorizados del equipo pueden iniciar sesión en el equipo ya sea de forma interactiva o a través de la red, pero no tendrán acceso a archivos confidenciales del equipo que otro usuario haya protegido con EFS, a menos que este usuario les conceda específicamente el acceso a los mismos.
| | • | Detección de claves mediante ataque sin conexión. La VMK se cifra mediante una clave dentro del hardware de TPM que se combina con un NIP. Si se desconoce el NIP, el atacante necesitará realizar un ataque por fuerza bruta para determinar el valor de la FVEK.
| | • | Ataques sin conexión contra el sistema operativo. Los ataques sin conexión contra el sistema operativo se minimizan porque un atacante debe recuperar correctamente la SRK del TPM y usarla para descifrar la VMK, o realizar un ataque por fuerza bruta en la FVEK. Además, BitLocker configurado con la tecnología de difusor (habilitada de forma predeterminada) minimiza con precisión los ataques localizados de esta naturaleza, ya que las pequeñas modificaciones en el texto cifrado se propagan a través de un área mayor.
| | • | Pérdidas de datos de texto sin formato mediante el archivo de hibernación. El objetivo principal de BitLocker es proteger los datos del volumen del sistema operativo del disco duro cuando el equipo se apaga o se encuentra en modo de hibernación. Cuando BitLocker está habilitado, el archivo de hibernación se cifra.
| | • | Pérdidas de datos de texto sin formato mediante el archivo de paginación del sistema. En Windows Vista, se puede configurar EFS para cifrar el archivo de paginación mediante una clave simétrica temporal que se genera en el momento del inicio, pero que nunca se escribe en el disco. Esta clave se descarta después de apagar el sistema, por lo que la recuperación de datos del archivo de paginación necesitará un ataque por fuerza bruta para encontrar la clave simétrica usada para cifrar el archivo de paginación. Si BitLocker también está habilitado, el atacante deberá vencer BitLocker y completar correctamente un ataque por fuerza bruta a la clave del archivo de paginación para recuperar la información útil.
| | • | Factor de autenticación necesario dejado con el equipo. El NIP es un segundo factor de autenticación no física que no se puede perder con el equipo a menos que se escriba en un papel o se deje en algún sitio obvio.
| | • | Error de usuario. Como BitLocker es una tecnología de cifrado completo de volúmenes, cifra todos los archivos almacenados en el volumen del sistema operativo Windows Vista. Esta funcionalidad ayuda a evitar errores por parte de los usuarios que toman decisiones incorrectas acerca de la aplicación o no del cifrado.
|
Riesgos residuales y minimizaciones: BitLocker con TPM, NIP y EFS con tarjetas inteligentes| • | Equipo en modo de suspensión (en espera). Ni BitLocker ni EFS en modo de tarjeta inteligente de clave en caché minimizan este riesgo. Un atacante que pueda obtener acceso al equipo en modo de espera puede activar el equipo y obtener acceso a los datos para los que el usuario tiene derechos.
| | • | Equipo con sesión iniciada y escritorio desbloqueado. Este riesgo no se minimiza en el modo de tarjeta inteligente de clave en caché. Un atacante que obtenga acceso al escritorio desbloqueado puede suplantar al usuario legítimo y tener acceso a los datos para los que ese usuario tiene derechos.
| | • | Ataques en línea contra el sistema operativo. Ni BitLocker ni EFS minimizan completamente el riesgo de un ataque en línea contra el sistema operativo. Un atacante que puede atacar con éxito el sistema operativo mientras se está ejecutando, puede también ejecutar un código de su elección para recuperar los datos cifrados. Sin embargo, EFS con tarjetas inteligentes en el modo de clave no almacenada en caché, proporciona una minimización eficaz frente a los ataques en línea que pretenden recuperar claves criptográficas.
| | • | Ataques a plataformas. En el modo en caché, un equipo configurado para usar EFS con almacenamiento de clave de tarjeta inteligente mantendrá las claves de EFS en memoria. En este caso, un ataque a plataforma podría recuperar las claves. BitLocker no ofrece protección frente a ataques a plataformas.
|
Resumen de análisis de riesgos
La siguiente tabla enumera los riesgos para datos e indica si las distintas combinaciones de BitLocker con TPM, NIP y EFS con almacenamiento de claves de software son eficaces en su minimización. Los riesgos que se pueden minimizar mediante combinaciones específicas están marcados con la letra Y. Los guiones - indican riesgos para los que la combinación específica proporciona poca o ninguna minimización de riesgos.
Tabla 4.1. Minimizaciones de riesgos de BitLocker y EFS 
| En este artículo| • | Capítulo 4: Combinación de BitLocker y EFS |
|
