Foro de TI tranquilo

Contáctanos
en https://forum.tranquil.it/

[RESUELTO] Cifrado de infraestructura de TI con BitLocker

https://forum.tranquil.it/viewtopic.php?t=3704

Página 1 de 2

[RESUELTO] Cifrado de infraestructura de TI con BitLocker

Publicado: 4 de diciembre de 2023 - 14:15
por PaulSLA
Hola,

nos gustaría implementar BitLocker en nuestra empresa. Encontramos los paquetes BitLocker Enable y Audit para este propósito.

Después de varios intentos, logramos que BitLocker Enable funcionara en una estación de trabajo, pero no en las otras tres, a pesar de tener la misma instalación. Con BitLocker Audit, no podemos recuperar las claves en Active Directory ni en WAPT. Entendemos que se requiere una lista de certificados; ¿podrían proporcionarnos más detalles? ¿

Dónde podemos encontrar documentación más completa sobre el cifrado y el almacenamiento de claves BitLocker a través de WAPT?

Atentamente,
Paul

Re: Cifrado informático BitLocker

Publicado: 5 de diciembre de 2023 - 15:33
por jorico
Hola Paul,

yo uso el paquete tis-audit-bitlocker, para mostrar las claves en la consola WAPT necesitas editar el paquete y añadir los nombres de los certificados de los usuarios autorizados para leer los datos de auditoría.

Re: Cifrado informático BitLocker

Publicado: 8 de diciembre de 2023 - 13:10
por PaulSLA
Gracias por su respuesta.

No estoy seguro de entender a qué se refiere con "nombres de certificados de usuario". ¿No se gestiona eso directamente a través de la consola WAPT? ¿Algo parecido al cifrado de contraseñas LAPS en WAPT?

Saludos.

Re: Cifrado informático BitLocker

Publicado: 8 de diciembre de 2023 - 14:08
por jorico
Hola Paul,

estos son los certificados (vinculados a tus administradores de WAPT) que te permiten firmar paquetes de WAPT.

Re: Cifrado informático BitLocker

Publicado: 8 de diciembre de 2023 - 15:27
por dcardon
Hola

@PaulSLA, con respecto a la parte de LAPS by WAPT, utiliza los certificados definidos en el agente, por lo que no es necesario agregar ninguno. Sin embargo, el paquete BitLocker se diseñó para solicitar certificados explícitamente. Es cierto que también podríamos reutilizar los certificados ya implementados.

Saludos,

Denis

Re: Cifrado informático BitLocker

Publicado: 11 de diciembre de 2023 - 08:46
por PaulSLA
Buen día,

Si entiendo correctamente tus explicaciones y el código del paquete, simplemente necesito ingresar el nombre del certificado que puede ver los resultados de la auditoría:

Si mi certificado es wapt-crt.crt en C:\wapt\ssl, debo hacer lo siguiente:

Código: Seleccionar todo

target_encryption_method = 7
allow_swap_encryption_method = False  # Not implemented yet
decrypt_cert_list = wapt-crt


def install():
    # Adding certificates allowed to decrypt in WAPT
    for cert in decrypt_cert_list:
        cert_path = makepath(WAPT.wapt_base_dir, "ssl", cert)
        if not isfile(cert_path):
            print("Copying: %s" % cert_path)
            filecopyto(cert, cert_path)
¿El script recuperará automáticamente el certificado para que funcione? Si tengo varios certificados, ¿debería usar comas? ¿Punto y coma?

En cuanto a la activación de BitLocker, recibo un error relacionado con el Protector de Clave de BitLocker. ¿Debo forzar la instalación del paquete en todos los equipos afectados, lo cual eliminará el Protector de Clave de BitLocker, y luego realizar una instalación estándar? ¿Debería funcionar?

¿No hay alguna manera de hacer esto automáticamente?

Atentamente,

Re: Cifrado informático BitLocker

Publicado: 29 de diciembre de 2023 - 13:17
por PaulSLA
Buen día,

Después de varios intentos de mi parte, ahora obtengo un error durante la instalación del paquete:
Aquí están los registros:

Código: Seleccionar todo

"
Traceback (most recent call last):
  File "C:\Program Files (x86)\wapt\common.py", line 4010, in install_wapt
    setup = import_setup(setup_filename)
  File "C:\Program Files (x86)\wapt\waptutils.py", line 1525, in import_setup
    py_mod = imp.load_source(modulename, setupfilename)
  File "imp.py", line 171, in load_source
  File "<frozen importlib._bootstrap>", line 702, in _load
  File "<frozen importlib._bootstrap>", line 671, in _load_unlocked
  File "<frozen importlib._bootstrap_external>", line 843, in exec_module
  File "<frozen importlib._bootstrap>", line 219, in _call_with_frames_removed
  File "C:\WINDOWS\TEMP\wapt_3l1xqgx\setup.py", line 73, in <module>
NameError: name 'wapt' is not defined

NameError: name 'wapt' is not defined
"

Simplemente agregué el nombre del certificado después de "decrypt_cert_list" en el formato decrypt_cert_list = certificate_name

¿Alguien tiene alguna idea de cuál podría ser el error, a menos que el paquete ya no sea compatible?

Gracias de antemano,
Atentamente,
Pablo

Re: Cifrado informático BitLocker

Publicado: 3 de enero de 2024 - 10:36 a. m.
por dcardon
Hola Paul,
en Python, el guion "-" se interpreta como el operador de resta. Por lo tanto, `wapt-crt` se interpreta como `wapt - crt` (la variable `wapt` menos la variable `crt`), de ahí el mensaje de que la variable `wapt` no existe.
Debe haber comillas que falten en algún lugar, :-)
Denis.

Re: Cifrado informático BitLocker

Publicado: 3 de enero de 2024 - 17:18
por PaulSLA
Buen día,

Gracias, eso fue todo. Lo encontré ayer. Puse comillas al certificado y todo está bien con la auditoría.

Ahora nos queda la activación de BitLocker. Intentamos usar el paquete de la tienda, pero es imposible que funcione. Siempre pasa lo mismo:

Primera instalación:

Código: Seleccionar todo

OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Traceback (most recent call last):
  File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
    exitstatus = setup.install()
  File "C:\WINDOWS\TEMP\waptzpc2fp1z\setup.py", line 118, in install
  File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
    raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.

EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.
Entonces lo instalé usando la opción forzar y el resultado fue:

Código: Seleccionar todo

OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Remove-BitlockerKeyProtector -MountPoint C: -KeyProtectorId "{92D79314-13A0-475E-B8FC-4195EAEDF1E0}"
Traceback (most recent call last):
  File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
    exitstatus = setup.install()
  File "C:\WINDOWS\TEMP\wapt_03ore3e\setup.py", line 116, in install
  File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
    raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : BitlockerKeyProtector have been removed on C: please reinstall this package.

EWaptSetupException: Fatal error : BitlockerKeyProtector have been removed on C: please reinstall this package.
Eso parece estar bien. Así que lo reinstalé una segunda vez sin forzar la instalación, y el resultado fue:

Código: Seleccionar todo

OK: This computer BIOS boot in UEFI mode
OK: TPM chip found on this system
OK: TPM chip ready
Encrypting: C: drive with BitLocker encryption method: XtsAes256
Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Traceback (most recent call last):
  File "C:\Program Files (x86)\wapt\common.py", line 4083, in install_wapt
    exitstatus = setup.install()
  File "C:\WINDOWS\TEMP\waptraxa1eek\setup.py", line 118, in install
  File "C:\Program Files (x86)\wapt\waptutils.py", line 1892, in error
    raise EWaptSetupException('Fatal error : %s' % reason)
waptutils.EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.

EWaptSetupException: Fatal error : ERROR: The above PowerShell command appears to be unsuccessful.
You can force install this package to remove BitlockerKeyProtector.

Y el problema sigue dando vueltas; no hemos tocado ese paquete. Crear nuestro propio paquete con un script de PowerShell funciona, pero cada vez que lo actualizamos, vuelve a cifrar todos los equipos y crea una nueva clave de recuperación. Esto se convierte rápidamente en un desastre.

¿Alguna idea? A menos que me haya saltado algún paso de configuración, como con el paquete de auditoría

Atentamente,
Pablo

Re: Cifrado informático BitLocker

Publicado: 3 de enero de 2024 - 17:55
por jpele
Buen día,
¿Podrías escribir el comando de PowerShell indicado en una máquina afectada?

Código: Seleccionar todo

Enable-Bitlocker -MountPoint C: -EncryptionMethod XtsAes256 -SkipHardwareTest -TpmProtector
Deberías saber más sobre el punto de fricción.
Hay una gran posibilidad de que sea un GPO el que lo esté bloqueando.

Atentamente,
Palanqueta
Zona horaria configurada en UTC+02:00
Página 1 de 2

Desarrollado por phpBB® Software para foros © phpBB Limited

Traducción oficial al francés © Qiaeru