ADMINISTRACIÓN DE SISTEMAS OPERATIVOS

AVANZADO

LABORATORIO N° 04

Configuración de la Encriptación

CODIGO DEL CURSO: C33366

Alumno(s): Nota

Grupo: Ciclo:
Requiere No
Excelente Bueno Puntaje
Criterios de Evaluación (4pts) (3pts)
Mejora Acept.
Logrado
(2pts) (0pts)
Identifica las diferentes formas de utilizar la
encriptación.
Instala y configura correctamente Bitlocker y
EFS.
Implementa correctamente la auditoria
avanzada.
Redacta correctamente los pasos principales
de la implementación y conclusiones.
Se comunica de manera efectiva, cumple las
actividades extras con orden, limpieza y
puntualidad.

ADMINISTRACIÓN DE REDES Y COMUNICACIONES

PROGRAMA DE FORMACIÓN REGULAR
Administración de Sistemas Operativos Avanzado

Laboratorio N°4: Configuración de la Encriptación

Objetivos:
Al finalizar el laboratorio el estudiante será capaz de:
• Usar Bitlocker para asegurar las unidades de disco.
• Encriptar y recuperar archivos
• Configurar avanzada de auditoría

Seguridad:

• Ubicar maletines y/o mochilas en el gabinete al final de aula de Laboratorio o en los casilleros
asignados al estudiante.
• No ingresar con líquidos, ni comida al aula de Laboratorio.
• Al culminar la sesión de laboratorio apagar correctamente la computadora y la pantalla, y ordenar
las sillas utilizadas.

Equipos y Materiales:

• Una computadora con:

• Windows 7 o superior
• VMware Workstation 10+ o VMware Player 7+
• Conexión a la red del laboratorio

• Máquinas virtuales:
• DVD:
• De Windows Server 2012

Guía de Laboratorio Pág. 2

Administración de Sistemas Operativos Avanzado

Procedimiento:
Nota: En el siguiente laboratorio se realizarán las siguientes actividades:
• Usando Bitlocker para asegurar las unidades de disco.
• Encriptando y recuperando archivos
• Configuración avanzada de auditoría

Escenario

Se le ha pedido configurar el entorno de Windows Server 2012 para proteger archivos sensitivos para
la empresa, también debe asegurar que el acceso a los archivos en la red este auditada
apropiadamente.

Lab Setup

1. Abrir VMware Workstation y crear un “snapshot” de las máquinas virtuales: LON-DC1, LON-SVR1
y LON-CL1.

2. Encender las máquinas virtuales.

Guía de Laboratorio Pág. 3

Administración de Sistemas Operativos Avanzado

EJERCICIO 1: Usando Bitlocker para asegurar unidades de disco

Las principales tareas para este ejercicio son las siguientes:

• Utilizar GPO para preparar el servidor para la implementación de Bitlocker
• Habilitar Bitlocker para una unidad de disco
• Mover los datos de una unidad de disco a otro servidor
• Recuperar datos

*** Reemplazar XYZ por las iniciales de su primer nombre, apellido paterno y apellido materno.

► Task 1: Use Group Policy to Prepare the Server for Implementing BitLocker
1. Log in to LON-DC1 as Adatum\Administrator with the password Pa$$w0rd.
2. In Server Manager, click Tools, and then click Group Policy Management.
3. In Group Policy Management, double-click Forest: Adatum.com, double-click Domains, double
click Adatum.com, expand Group Policy Objects, right-click the Default Domain Policy, and
then click Edit.
4. In the Group Policy Management Editor, under Computer Configuration, expand Policies,
expand Administrative Templates, expand Windows Components, expand BitLocker Drive
Encryption, and then click Fixed Data Drives.
5. In the right pane, double-click the Choose how BitLocker-protected fixed drives can be recovered
setting.
6. In the Choose how BitLocker-protected fixed drives can be recovered window, click
Enabled. Ensure that the checkbox next to the Save BitLocker recovery information to AD DS
for fixed data drives option is selected, click the Do not enable BitLocker until recovery
information is stored to AD DS for fixed data drives option, and then click OK.

Entregable 1. Capture la pantalla que muestre la configuración de la política.

Guía de Laboratorio Pág. 4

Administración de Sistemas Operativos Avanzado

7. Close the Group Policy Management Editor.

8. Switch to LON-SVR1.
9. If necessary, log in to LON-SVR1 as Adatum\Administrator with the password Pa$$w0rd.
10. Click Windows PowerShell on the taskbar.

11. At the Windows PowerShell® command prompt, run the gpupdate /force command.

12. Restart LON-SVR1.

RESPONDER: ¿Por qué se configura dicha política?

Esta configuración de directiva le permite controlar cómo se recuperan las unidades de datos fijos
protegidas por BitLocker en ausencia de las credenciales necesarias. Esta configuración de
directiva se aplica al activar BitLocker.

► Task 2: Enable BitLocker for a Data Drive

Add the BitLocker Drive Encryption feature
1. Log in to LON-SVR1 as Adatum\Administrator with the password Pa$$w0rd.
2. In Server Manager, click Manage, and then click Add Roles and Features.
3. In the Before you begin window, click Next.
4. In the Select installation type window, click Next.
5. In the Select destination server window, click Next.
6. In the Select server roles window, click Next.
7. In the Select features window, click BitLocker Drive Encryption. In the Add features that are
required for BitLocker Drive Encryption window, click Add Features, and then click Next.
8. In the Confirm installation selections window, click Restart the destination server automatically
if required, click Yes on the warning dialog box, and then click Install.
9. After restarting, log in to LON-SVR1 as Adatum\Administrator with the password Pa$$w0rd.
The BitLocker Drive Encryption installation progress should show that the installation succeeded
within a couple of minutes. Click Close once the installation succeeds.
a
Turn on BitLocker, and then validate that BitLocker is encrypting the data drive

1. Go to Control Panel, and then type BitLocker in the Search Control Panel search box.
2. In the search results, click BitLocker Drive Encryption. If you do not see BitLocker Drive
Encryption, then restart LON-SVR1 again and go back to Step 1 to search Control Panel.
3. In the BitLocker Drive Encryption window, click the Down Arrow icon next to the drive F, and then

Guía de Laboratorio Pág. 5

Administración de Sistemas Operativos Avanzado

click Turn on BitLocker.

4. In the Choose how you want to unlock this drive window, click Use a password to unlock the
drive, type the password Pa$$w0rd into the Enter your password text box and into the Reenter
your password text box, click to confirm, and then click Next.
5. In the How do you want to back up your recovery key window, click Save to a file.
6. In the Save BitLocker recovery key as window, navigate to E:\Labfiles\Mod10, and then click
Save.
7. In the BitLocker Drive Encryption dialog box, click Yes to save the recovery key to the
computer.
8. Click Next after the recovery key is saved to the file.
9. In the Are you ready to encrypt this drive window, click Start encrypting.
10. Click Close when the encryption is complete.

11. Click the Windows PowerShell button on the taskbar.

12. At the Windows PowerShell command prompt, run the manage-bde -status command to view

the current status. The F: volume should show "Protection On" as the protection status.
RESPONDER: ¿Qué es lo que se realizó en esta tarea?

Instalo la característica de BitLocker Drive Encryption y se reinició hasta 3 veces para poder usar
esta nueva característica en Windows en el Panel de Control de encripto el disco E con la
contraseña Pa$$w0rd.

Entregable 2. Capture la pantalla que muestre el resultado del comando manage-bde.

Guía de Laboratorio Pág. 6

Administración de Sistemas Operativos Avanzado

► Task 3: Move the Data Drive to Another Server

1. In the Virtual Machine Connection window for LON-SVR1, right-click in the name LON-SVR1, and
then click Settings.
D:\Tecsup\Administracion SA\20411D-LON-SVR1\20411D-LON-SVR1-Encrypted.vmdk
2. In the left pane, click last Hard Drive SCSI Controller. Note that the name of the virtual hard disk
(.vmdk) file includes 20411D-LON-SVR1-Encrypted-xxxxxx.
3. In the right pane, click Remove, and then click OK. If a Settings dialog box appears, click
Continue to remove the virtual hard disk.
4. Switch to LON-DC1.
5. In the Virtual Machine Connection window for LON-DC1, right-click in the name LON-DC1, and
then click Settings.
6. In the left pane of the Settings window, click Add.
7. In the right pane, click Hard Drive, and then click Next.
8. Select the option Use an Existing Virtual Hard Disk
9. In the next windows, click Browse, browse to D:\YourNameFile\LON-SVR1 and select 20411D-
LON~SVR1 encryptedxxxx.vmdk file, and then click Open,
10. Click Finish. If a dialog box appears, click Keep Existing Format

11. Click OK.

12. Right-click the Start menu, and then click Computer Management.

13. In the Computer Management window, click Disk Management.

14. In the list of disks, right-click Disk 2, and then click Online.

RESPONDER: ¿Qué se realizó en esta tarea?

Se removió el disco local E de la maquina SVR1 hacia la maquina DC1 primero se obtiene la
ubicación del disco virtual luego se remueve de la maquina SVR1 y en la maquina DC1 se añade un
nuevo disco dándole la ubicación obtenida anteriormente dentro de DC1 se va a la administración
de discos y al nuevo disco se le pone en línea

Guía de Laboratorio Pág. 7

Administración de Sistemas Operativos Avanzado

Entregable 3. Capture la pantalla que muestre el disco nuevo puesto en línea

► Task 4: Recover the Data

Add the BitLocker Drive Encryption feature on LON-DC1
1. Log in to LON-DC1 as Adatum\Administrator with the password Pa$$w0rd.
2. In Server Manager, click Manage, and then click Add Roles and Features.
3. In the Before you begin window, click Next.
4. In the Select installation type window, click Next.
5. In the Select destination server window, click Next.
6. In the Select server roles window, click Next.
7. In the Select features window, click BitLocker Drive Encryption. In the Add features that are
required for BitLocker Drive Encryption window, click Add Features, and then click Next.
8. In the Confirm installation selections window, click Restart the destination server automatically
if required, click Yes on the warning dialog box, and then click Install.
9. After restarting, log in to LON-DC1 as Adatum\Administrator with the password Pa$$w0rd. The
BitLocker Drive Encryption installation progress should show that the installation succeeded within
a couple of minutes. Click Close once the installation succeeds.
10. Go to Control Panel, and then type BitLocker in the Search Control Panel search box.

11. In the search results, click BitLocker Drive Encryption. If BitLocker Drive Encryption does not

appear in the search results, click the Windows PowerShell icon on the taskbar, run the
gpupdate /force command, and then restart LON-DC1. Then, start again from Step 10.

Guía de Laboratorio Pág. 8

Administración de Sistemas Operativos Avanzado

Recover the data on LON-DC1

1. On LON-DC1, click the File Explorer button on the taskbar. Note that Local Disk (F:) is shown
with a lock icon to indicate that the drive is locked with BitLocker.
2. Double-click the Local Disk (F:) drive.
3. In the BitLocker (F:) window, click More options. Note the option for entering a recovery key.
4. Put the password Pa$$w0rd, click Unlock.
5. Go back to File Explorer and note that the drive F has an unlocked icon. The drive is now
unlocked and data can be recovered.

Entregable 4. Capture la pantalla que muestre el desbloqueo del disco duro correspondiente

RESPONDER: ¿Por qué se obtuvo dicho resultado?

Se pudo desencriptar le disco ya que se instaló la característica de BitLocker Drive Encryption y este
reconoció el disco encriptado por esta misma característica en otro equipo.

Results: After completing this exercise, you will have configured Group Policy for BitLocker,
enabled BitLocker on a data drive, moved the data drive to a different server, and then
prepared for recovering data from the drive.

Guía de Laboratorio Pág. 9

Administración de Sistemas Operativos Avanzado

EJERCICIO 2: Encriptando y recuperando archivos

Escenario

Su organización desea que sus usuarios puedan encriptar sus archivos con EFS, sin embargo, ellos
tienen problemas en la recuperación de datos. Para extender la administración de los certificados que
son usados por EFS, usted configurará una CA interna para entregar certificados a los usuarios. Debe
configurar un agente de recuperación para EFS y verificar que el agente de recuperación puede
recuperar archivos. La recuperación consiste en abrir un archivo para validar que el agente de
recuperación puede ver el contenido. En un escenario real, la recuperación se realiza desde una copia
de seguridad en vez de que el agente de recuperación lo haga. Sin embargo, este paso no es parte de
este laboratorio.

Las principales tareas para este ejercicio son las siguientes:

• Actualizar el certificado para el agente de recuperación para utilizar EFS
• Obtener un certificado EFS
• Encriptar un archivo
• Utilizar el agente de recuperación para abrir un archivo

► Task 1: Update the Recovery Agent Certificate for the Encrypting File System (EFS)
1. On LON-DC1, in Server Manager, dick Tools, and then dick Group Policy Management.
2. In Group Policy Management, expand Forest: Adatum.com, expand Domains, expand
Adatum.com, and then click Default Domain Policy.
3. In the Group Policy Management Console dialog box, click OK to dear the message.
4. Right-click Default Domain Policy, and then click Edit.
5. In the Group Policy Management Editor window, under Computer Configuration, expand
Policies, expand Windows Settings, expand Security Settings, expand Public Key Policies,
and then click Encrypting File System.
6. Right-click the Administrator certificate, and then dick Delete.
7. In the Certificates window, click Yes.
8. Right-click Encrypting File System, and then click Create Data Recovery Agent.
9. Read the information for the new certificate that was created. Notice that this certificate was
obtained from AdatumCA.
RESPONDER: ¿Qué es lo que indica la información del certificado Data Recovery Agent?

La indicación del certificado creado indica que será válido durante aproximadamente cinco años, su
versión de V3, lo emite AdatumCA dentro del dominio de Adatum.com para un asunto de
administradores y usuarios dentro del dominio de adatum.com

Guía de Laboratorio Pág. 10

Administración de Sistemas Operativos Avanzado

Entregable 5. Capture la pantalla que muestre la información del certificado creado.

10. Close the Group Policy Management Editor.

11. Close Group Policy Management.

► Task 2: Update Group Policy on the Computers

1. On LON-DC1, on the taskbar, click Windows PowerShell.
2. At the Windows PowerShell prompt, type the following command, and then press Enter:
gpupdate /force
3. Close the Windows PowerShell Command Prompt window.
4. Switch to LON-CL1.
5. On LON-CL1, at the Start screen, type cmd, and then press Enter.
6. At the command prompt, type the following command, and then press Enter:
gpupdate /force
7. Close the Command Prompt window.
8. Sign out of LON-CL1.

Guía de Laboratorio Pág. 11

Administración de Sistemas Operativos Avanzado

► Task 3: Obtain a Certificate for EFS

1. On LON-CL1, log in as Adatum\Doug with a password of Pa$$w0rd.
2. Click the Desktop tile, right-click the Start button, click Command Prompt, type MMC, and then
press Enter.
3. In the Console1 window, click File, and then click Add/Remove Snap-in.
4. In the list of available snap-ins, click Certificates, and then click Add.
5. In the Add Or Remove Snap-ins dialog box, click OK.
6. In the left pane, click Certificates - Current User, right-click Personal, point to All Tasks, and
then click Request New Certificate.
7. In the Certificate Enrollment wizard, click Next.
8. On the Select Certificate Enrollment Policy page, click Next to use the Active Directory®
Enrollment Policy.
9. On the Request Certificates page, select the Basic EFS check box, and then click Enroll.

Entregable 6. Capture la pantalla que muestre el enrolamiento correcto del certificado.

10. On the Certificate Installation Results page, click Finish.

11. In the Console1 window, in the left pane, expand Certificates - Current User, expand Personal,

and then click Certificates.

12. Read the certificate details, and note that it was issued by AdatumCA.

Guía de Laboratorio Pág. 12

Administración de Sistemas Operativos Avanzado

Entregable 7. Capture la pantalla que muestre el certificado asignado.

13. Close the Console1 window, and do not save the settings.

► Task 4: Encrypt a File

1. On LON-CL1, open File Explorer, type \\LON-DC1\Mod10Share\Marketing in the address field,
and then press Enter.
2. Right-click DougFile, and then click Properties.
3. On the General tab, click Advanced.
4. In the Advanced Attributes dialog box, select the Encrypt contents to secure data check
box, and then click OK.
5. In the DougFile Properties dialog box, click OK.
6. In the Encryption Warning dialog box, click Encrypt the file only, and then click OK. Wait a few
seconds for the file to encrypt and the dialog box to close automatically.
7. Look at the color of the file name.

Entregable 8. Capture la pantalla que muestre el cambio de color en el archivo.

Guía de Laboratorio Pág. 13

Administración de Sistemas Operativos Avanzado

8. Close the File Explorer window.

9. Sign out of LON-CL1.

► Task 5: Use the Recovery Agent to Open the File

1. On LON-DC1, on the taskbar, click the File Explorer button.
2. In File Explorer, browse to E:\Labfiles\Mod10\Mod10Share\Marketing.
3. Double-click DougFile.txt.
4. In Notepad, add some text to the file, click File, and then click Save.
5. Close Notepad, and then close File Explorer.

Results: After completing this exercise, you will have encrypted and recovered files.

RESPONDER: ¿Por qué se obtuvo dicho resultado?

Se creó un nuevo certificado en DC1 el cual será válido durante cinco años y ayudará a la creación
de nuevos certificados dentro de los clientes, dentro del cliente Doug se agrega un nuevo certificado
EFS un el cual fue emitido por el primer certificado creado en DC1. La recuperación consiste en abrir
un archivo para validar que el agente de recuperación puede ver el contenido.

Guía de Laboratorio Pág. 14

Administración de Sistemas Operativos Avanzado

EJERCICIO 3: Configurando auditoría avanzada

Escenario

Su administrador le ha pedido realizar un seguimiento a todos los archivos compartidos en LON-SVR1.

También necesita advertido cada vez que acceden a un archivo en un dispositivo de almacenamiento
removible que está conectado al servidor.

Las principales tareas para este ejercicio son las siguientes:

• Crear un GPO para la auditoría avanzada
• Verificar las entradas auditadas

► Task 1: Create a Group Policy Object (GPO) for Advanced Auditing

1. On LON-DC1, open Server Manager, click Tools, and then click Active Directory Users and
Computers.
2. In Active Directory Users and Computers, right-click Adatum.com, click New, and then click
Organizational Unit.
3. Type File ServersXYZ, and then press Enter.
4. Click the Computers container, right-click LON-SVR1, click Move, click the File ServersXYZ
organizational unit (OU), and then click OK.
5. In Server Manager, click Tools, and then click Group Policy Management.
6. In Group Policy Management, expand Forest: Adatum.com, expand Domains, expand
Adatum.com, click and then right-click File Servers, and then click Create a GPO in this
domain and Link it here.
7. In the New GPO window, type File AuditXYZ, and then press Enter.
8. Double-click the Group Policy Objects container, right-click File AuditXYZ, and then click Edit.
9. In the Group Policy Management Editor, under Computer Configuration, expand Policies,
expand Windows Settings, expand Security Settings, expand Advanced Audit Policy
Configuration, expand Audit Policies, and then click Object Access.
10. Double-click Audit Detailed File Share.

11. In the Properties dialog box, select the Configure the following audit events check box.

12. Select both the Success and Failure check boxes, and then click OK.

Entregable 9. Capture la pantalla que muestre la configuración realizada en la GPO

Guía de Laboratorio Pág. 15

Administración de Sistemas Operativos Avanzado

13. Double-click Audit Removable Storage.

14. In the Properties dialog box select the Configure the following audit events check box.

15. Select both the Success and Failure check boxes, and then click OK.

Entregable 10. Capture la pantalla que muestre la configuración realizada en la GPO

Guía de Laboratorio Pág. 16

Administración de Sistemas Operativos Avanzado

16. Close the Group Policy Management Editor and the Group Policy Management Console.

17. Restart LON-SVR1.

18. Log in to LON-SVR1 as Adatum\Administrator with a password of Pa$$w0rd.

► Task 2: Verify Audit Entries

1. Log in to LON-CL1 as Adatum\Allan with a password of Pa$$w0rd.
2. On the Start screen, type \\LON-SVR1\Mod10, and then press Enter.
3. Double-click testfile to open it in Notepad.
4. Close Notepad.
5. Switch to LON-SVR1.
6. On LON-SVR1, in Server Manager, click Tools, and then click Event Viewer.
7. In Event Viewer, double-click Windows Logs, and then click Security.
8. Double-click one of the log entries with a Source of Microsoft Windows security auditing.
9. Click the Details tab, and then note the access that was performed.

Guía de Laboratorio Pág. 17

Administración de Sistemas Operativos Avanzado

Entregable 11. Capture la pantalla que muestre el resultado de realizar el paso 9.

Results: After completing this exercise, you will have configured advanced auditing.

► Task 3: To Prepare for the Next Module

1. Volver el estado de las máquinas virtuales al snapshot “Inicio” creado anteriormente.

Guía de Laboratorio Pág. 18

Administración de Sistemas Operativos Avanzado

Conclusiones:
Indicar las conclusiones que llegó después de los temas tratados de manera práctica en este
laboratorio.

• Existen varias formas de poder protegernos información una de ellas es protegiendo todo el
disco con BitLocker y otra es protegiendo sólo requerido.
• Para la encriptación y deseen retracción de discos es necesario instalar una característica
dentro de Windows.
• No es necesario que Windows tenga instalada en la característica de BitLocker Drive
Encryption para que reconozca acción disco está encriptado.
• Los certificados usados para poder encriptar y salvar archivos tiene un tiempo de duración
entonces se concluyen que con una regularidad de aproximadamente cinco años que tiene que
renovar dicho certificado.
• La combinación del estas dos tecnologías de encriptación nos ayudaría a estar mucho más
protegidos ante posibles intrusiones en nuestro sistema operativo.
• La encriptación de discos también puede ser aplicable para discos extraíbles.

Guía de Laboratorio Pág. 19