Cuando pensamos en el cifrado para una red basada en Microsoft, lo primero que generalmente nos viene a la mente es BitLocker, el software de cifrado nativo de unidades fijas de Microsoft. Pero eso pone de relieve una tendencia a olvidar que en una red hay muchos lugares donde se toman decisiones de cifrado.
Estas decisiones son importantes pero no siempre obvias, especialmente cuando las toman proveedores de aplicaciones o software que recomiendan ciertas configuraciones durante el proceso de instalación del software. No puedo decirle cuántas veces un proveedor ha recomendado configuraciones que me han hecho reflexionar e incluso me han hecho cuestionar su postura sobre la seguridad.
Las empresas modernas gestionan muchos tipos de cifrado en sus, a veces, vastas redes. Yo diría que, en general, los equipos de ciberseguridad hacen un trabajo decente al administrar el cifrado en estaciones de trabajo móviles. Es relativamente sencillo habilitar BitLocker con un PIN durante la implementación de Autopilot: en la configuración de Autopilot, se puede configurar una plantilla en la protección de endpoints de Intune. Además, con las máquinas con Windows 11 que cumplen con ciertas configuraciones de hardware, como dispositivos que cumplen con el modo de espera moderno o cumplen con la Especificación de capacidad de prueba de seguridad de hardware (HSTI), el cifrado se realiza de forma predeterminada durante la experiencia inmediata y se realiza una copia de seguridad de las claves de cifrado. a una cuenta de Microsoft o una cuenta de Entra ID de forma predeterminada.
Opciones adicionales pueden fortalecer el cifrado BitLocker
Si el usuario necesita una clave de recuperación, si es necesario restablecer una estación de trabajo a la configuración predeterminada, o si un dispositivo solicita una clave de BitLocker durante la aplicación de parches, la clave de recuperación se almacenará en una ubicación a la que el servicio de asistencia pueda derivarlo. . Autopilot permite la configuración de opciones adicionales, como fortalecer el algoritmo de cifrado Bitlocker. En Bitlocker CSP en Intune, puede especificar un algoritmo más potente, como XTS-AES de 256 bits. Puede configurar esto en Endpoint Security > Disk Encryption > Crear política > Plataforma > Windows 10 y versiones posteriores y luego elegir el tipo de perfil BitLocker.
En última instancia, las empresas querrán medir el cumplimiento de la política: revisar el estado de cifrado de los dispositivos en toda la empresa y las opciones de seguimiento y presentación de informes. En un dominio determinado, puede haber secuencias de comandos o herramientas de administración de terceros que pueden usarse para identificar aquellas unidades que están cifradas. Cuando hay licencias de Intune, los informes se pueden obtener mediante la consola de informes de estado de cifrado de Intune.
Inicie sesión en el portal de Intune, luego vaya a Dispositivos y luego Monitor y haga clic en el informe de cifrado. Desde allí obtendrá un informe del estado de las computadoras, qué versión de TPM tienen, si están listas para el cifrado y, lo más importante, si están cifradas. También identificará quién tiene el nombre de usuario asignado al nombre de ese dispositivo informático para que pueda identificar al «propietario» de la computadora.
