Deshabilitar el cifrado de BitLocker por hardware en SSD vulnerables
Ayer se descubrió una vulnerabilidad en el cifrado de hardware implementado por algunos SSD. Desafortunadamente, BitLocker en Windows 10 (y posiblemente Windows 8.1 también) delega el deber de cifrar y proteger de forma segura los datos del usuario en la unidad fabricante. Cuando el cifrado de hardware está disponible, no verifica si el cifrado es infalible y desactiva su propio cifrado basado en software, lo que hace que sus datos sean vulnerables. Aquí hay una solución alternativa que puede aplicar.
Incluso si habilita el cifrado de BitLocker en un sistema, es posible que Windows 10 no esté realmente cifrando sus datos con su cifrado de software si la unidad transmite al sistema operativo que está utilizando hardware cifrado. Incluso si su unidad de disco admite el cifrado, es posible que se rompa fácilmente debido al uso de una frase de contraseña en blanco.
Un reciente estudio muestra que los productos Crucial y Samsung tienen muchos problemas con sus SSD. Por ejemplo, ciertos modelos Crucial tienen una contraseña maestra vacía, lo que permite el acceso a las claves de cifrado. Es muy posible que el firmware utilizado en otro hardware por varios proveedores también tenga problemas similares.
Como solución alternativa, Microsoft sugiere deshabilitar el cifrado de hardware y cambiar al cifrado de software de BitLocker si tiene datos realmente sensibles e importantes.
En primer lugar, debe verificar qué tipo de cifrado está utilizando su sistema actualmente.
Compruebe el estado del cifrado de unidad BitLocker para Drive en Windows 10
- Abra un símbolo del sistema elevado.
- Escriba o copie y pegue el siguiente comando:
administrar-bde.exe -status
- Consulte la línea 'Método de cifrado'. Si contiene 'Cifrado de hardware', BitLocker se basa en el cifrado de hardware. De lo contrario, utiliza cifrado de software.
A continuación, se explica cómo cambiar del cifrado de hardware al cifrado de software con BitLocker.
Deshabilitar el cifrado de BitLocker por hardware
- Apague BitLocker por completo para descifrar la unidad.
- Abierto PowerShell como administrador.
- Emita el comando:
Habilitar BitLocker -HardwareEncryption: $ False
- Habilite BitLocker nuevamente.
Si es administrador del sistema, habilite e implemente la política 'Configurar el uso de cifrado basado en hardware para las unidades del sistema operativo'.
Deshabilitar el cifrado de BitLocker de hardware con la directiva de grupo
Si está ejecutando Windows 10 Pro, Enterprise o Education edición, puede utilizar la aplicación Editor de políticas de grupo local para configurar las opciones mencionadas anteriormente con una GUI.
- prensa Ganar + R teclas juntas en su teclado y escriba:
gpedit.msc
Presione Entrar.
- Se abrirá el Editor de políticas de grupo. Ir a Configuración del equipo \ Plantillas administrativas \ Componentes de Windows \ Cifrado de unidad BitLocker \ Unidades del sistema operativo. Establecer la opción de políticaConfigurar el uso de cifrado basado en hardware para las unidades del sistema operativo para Discapacitado.
Alternativamente, puede aplicar un ajuste de Registro.
Deshabilite el cifrado de BitLocker de hardware con un ajuste de registro
- Abierto Editor de registro.
- Vaya a la siguiente clave de registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ FVE
Consejo: ver cómo saltar a la clave de registro deseada con un clic.
Si no tiene dicha clave, simplemente créela.
- Aquí, cree un nuevo valor DWORD de 32 bits OS PermitidoHardwareEncriptaciónAlgoritmos. Nota: Incluso si eres ejecutando Windows de 64 bits, aún necesita usar un DWORD de 32 bits como tipo de valor.
Deje sus datos de valor como 0. - Para que los cambios realizados por el ajuste del Registro surtan efecto, reiniciar Windows 10.
Eso es todo.