Hogar Dispositivos Sistemas de archivos cifrados. Controle el sistema de cifrado de archivos (EFS) mediante la política de grupo. Cómo habilitar el cifrado de directorio EFS en Windows

Sistemas de archivos cifrados. Controle el sistema de cifrado de archivos (EFS) mediante la política de grupo. Cómo habilitar el cifrado de directorio EFS en Windows

Comenzando con Windows XP en todos los sistemas operativos sistemas microsoft hay tecnología de cifrado de datos incorporada EFS (sistema de cifrado de archivos). El cifrado EFS se basa en las capacidades del archivo. sistemas NTFS 5.0 y arquitectura CryptoAPI y está diseñado para cifrar rápidamente archivos en el disco duro de una computadora.

Describamos brevemente el esquema de cifrado EFS. EFS utiliza cifrado de clave pública y privada. El cifrado EFS utiliza las claves públicas y privadas del usuario, que se generan la primera vez que el usuario utiliza la función de cifrado. Estas claves permanecen sin cambios mientras exista su cuenta. Al cifrar un archivo, EFS genera aleatoriamente un número único, la llamada clave de cifrado de archivos (FEK) de 128 bits de longitud, con el que se cifran los archivos. Las claves FEK se cifran con una clave maestra, que a su vez se cifra con la clave de los usuarios del sistema que tienen acceso al archivo. La clave privada del usuario está protegida por un hash de la contraseña del usuario.

Por lo tanto, podemos concluir: toda la cadena de cifrado EFS está esencialmente estrictamente ligada al nombre de usuario y la contraseña del usuario. Esto significa que la seguridad de los datos también depende de la seguridad de la contraseña del usuario.

Importante. Datos cifrados con usando EFS, sólo se puede descifrar usando la misma cuenta Entradas de Windows con la misma contraseña utilizada para el cifrado. Otros usuarios, incluidos los administradores, no podrán descifrar ni abrir estos archivos. Esto significa que los datos privados permanecerán seguros, incluso por cualquier medio. Pero es importante entender el otro lado de la cuestión. Si se cambia la cuenta o su contraseña (a menos que el propio usuario la haya cambiado directamente desde su sesión), el sistema falla o se reinstala el sistema operativo, los datos cifrados quedarán inaccesibles. Por eso es extremadamente importante exportar y almacenar los certificados de cifrado en un lugar seguro (el procedimiento se describe a continuación).

Nota. A partir de WindowsVista Los sistemas MS OS admiten otra tecnología de cifrado: BitLocker. BitLocker a diferencia del cifrado EFS:

utilizado para cifrar un volumen de disco completo
Requiere un módulo TPM de hardware (si es necesario). dispositivo externo almacenamiento de claves, como una unidad flash USB o un disco duro)

Externamente, para el usuario, trabajar con archivos privados cifrados mediante EFS no es diferente de trabajar con archivos normales: el sistema operativo realiza operaciones de cifrado/descifrado automáticamente (estas funciones las realiza el controlador sistema de archivos).

Cómo habilitar el cifrado de directorio EFS en Windows

Veamos paso a paso el procedimiento para cifrar datos en Windows 8 usando EFS.

Nota. Bajo ninguna circunstancia debe habilitar el cifrado de directorios y carpetas del sistema. De lo contrario, es posible que Windows simplemente no arranque, porque... el sistema no podrá encontrar la clave privada del usuario ni descifrar los archivos.

En el Explorador de archivos, seleccione el directorio o los archivos que desea cifrar y, haciendo clic derecho, vaya a sus propiedades ( Propiedades).

en la pestaña General en la sección de atributos, busque y haga clic en el botón Avanzado.

En la ventana que aparece, marca la casilla Cifrar contenidos para proteger los datos(Cifre el contenido para proteger los datos).

Haga clic en Aceptar dos veces.

Si está cifrando un directorio, el sistema le preguntará si desea cifrar sólo el directorio o el directorio y todos sus subelementos. Seleccione la acción deseada, después de lo cual se cerrará la ventana de propiedades del directorio.

Los directorios y archivos cifrados en el Explorador de Windows se muestran en verde (recuerde que los objetos están resaltados en azul). Si elige cifrar una carpeta con todo su contenido, todos los elementos nuevos dentro de la carpeta cifrada también se cifran.

Puede administrar el cifrado/descifrado de EFS desde línea de comando utilizando la utilidad de cifrado. Por ejemplo, puede cifrar el directorio C:\Secret de esta manera:

Cifrado /e c:\Secreto

Se puede mostrar una lista de todos los archivos en el sistema de archivos cifrados con el certificado del usuario actual usando el comando:

Cifrado /u/n

Cifrado EFS de copia de seguridad de claves

Después de que el usuario cifre sus datos usando EFS por primera vez, aparecerá una ventana emergente en la bandeja del sistema indicándole que guarde la clave de cifrado.

Haga una copia de seguridad de su clave de cifrado de archivos. Esto le ayuda a evitar perder permanentemente el acceso a sus archivos cifrados.

Al hacer clic en el mensaje se iniciará el asistente. respaldo certificados y sus claves privadas de cifrado EFS asociadas.

Nota. Si cierra accidentalmente la ventana o no aparece, puede exportar certificados EFS usando el botón " Administrar certificados de cifrado de archivos» en el panel de control del usuario.

Seleccionar Haga una copia de seguridad de su certificado y clave de cifrado de archivos

Luego ingrese una contraseña para proteger el certificado (preferiblemente bastante compleja).

Sólo queda indicar la ubicación donde desea guardar el certificado exportado (por motivos de seguridad, debe copiarse en duro externo disco/ unidad flash usb y guárdelo en un lugar seguro).

Windows XP y el sistema de archivos cifrados (EFS) permiten almacenar datos en el disco en un formato cifrado; sin embargo, si se reinstala el sistema o se elimina la cuenta del usuario, los datos cifrados se perderán irremediablemente a menos que se tenga cuidado de guardarlos. certificado y claves y crear una cuenta de agente de recuperación.

El sistema de archivos cifrado EFS se utiliza para almacenar archivos cifrados en volúmenes del sistema de archivos NTFS 5.0. Una vez que un archivo o carpeta está cifrado, puede trabajar con él de la misma manera que con otros archivos o carpetas, es decir. El cifrado es transparente para el usuario que cifró el archivo. Esto significa que no es necesario descifrar el archivo antes de su uso. Puede abrir el archivo como de costumbre y editarlo.

Trabajar con EFS es similar a usar permisos de archivos y carpetas. El objetivo de ambos métodos es restringir el acceso a los datos. Sin embargo, los permisos de archivos y carpetas no lo protegerán si un atacante obtiene acceso físico a sus datos, como al conectar su disco duro a otra computadora o iniciar en otro sistema operativo que tenga acceso a volúmenes NTFS. Cuando intenta abrir o copiar un archivo o carpeta cifrados, recibirá una respuesta completa: "Sin acceso".

El cifrado y descifrado de archivos se realiza configurando el atributo de archivo o carpeta Propiedades de carpeta o archivo > General > Otro > Cifrar contenido para proteger datos(Figura 1).

Tan pronto como cifremos una carpeta o un archivo, Windows creará para nosotros un certificado y un par de claves asociadas (clave pública y privada), en base a las cuales se cifrarán y descifrarán los archivos. Un certificado es un documento digital utilizado para verificar la autenticidad y la transmisión segura de datos en redes públicas (Internet, Intranet, Extranet), asocia una clave pública a un objeto que contiene la clave privada correspondiente.

Nuestra tarea es hacer una copia de seguridad de las claves. Esto se puede hacer usando el complemento Management Console Certificados. Por defecto al instalar el sistema no está presente, por lo que lo agregaremos mediante una serie de pasos.

Haga clic en el botón Comenzar, seleccione un comando Ejecutar, ingresar mmc y presione el botón DE ACUERDO. en el menú Consola seleccionar equipo Agregar o quitar un complemento y presione el botón Agregar. en el campo Equipo doble clic Certificados. A continuación, marque la casilla mi cuenta de usuario y presione el botón Listo. en el menú Consola > Opciones configurar el modo de consola Costumbre - ogro. acceso, una ventana, haga clic en Aplicar. La consola ahora está lista para usar (Fig. 2).

Si ya ha cifrado un archivo o carpeta, entonces Raíz de la consola > Certificados - usuario actual > Personal > Certificados Debería ver el certificado asociado con la clave privada y que debemos exportar a un archivo. Vamos a él y llamémosle. menú contextual, elegir Todas las tareas, y luego Exportar. En oferta Exportar la clave privada junto con el certificado responderá « Sí", dejaremos el formato del archivo sin cambios; ingresaremos una contraseña, cuyo conocimiento necesitaremos para el procedimiento inverso: importar el certificado. El archivo resultante con extensión .pfx debe estar oculto, ya que cualquier usuario que importe este certificado para su cuenta obtendrá acceso a sus archivos, por supuesto, si descubre o adivina la contraseña necesaria para importar el certificado.

Se recomienda utilizar cifrado a nivel de carpeta. Si una carpeta está cifrada, todos los archivos y subcarpetas creados en el directorio cifrado se cifran automáticamente. Este procedimiento le permite crear archivos cifrados cuyos datos nunca aparecerán en el disco en texto plano, ni siquiera archivos temporales. creado por programas durante el proceso de edición también se cifrarán.

Hay una serie de cosas a considerar al trabajar con archivos y carpetas cifrados.

Sólo se pueden cifrar archivos y carpetas ubicados en volúmenes NTFS. Los archivos y carpetas comprimidos no se pueden cifrar. Si el cifrado se realiza en un archivo o carpeta comprimido, el archivo o carpeta se convierte a su estado sin comprimir.

Los archivos cifrados se pueden descifrar si el archivo se copia o se mueve a un volumen que no sea NTFS. Cuando mueve archivos no cifrados a una carpeta cifrada, se cifran automáticamente en la nueva carpeta, pero la operación inversa no descifrará automáticamente los archivos; los archivos deben descifrarse explícitamente. Los archivos con el atributo Sistema y los archivos en el directorio del sistema no se pueden cifrar. Cifrar una carpeta o un archivo no lo protege contra la eliminación: cualquier usuario con derechos de eliminación puede eliminar carpetas o archivos cifrados. Por este motivo, se recomienda utilizar EFS en combinación con los permisos del sistema NTFS. Los archivos y carpetas de una computadora remota que esté habilitada para el cifrado remoto se pueden cifrar o descifrar. Sin embargo, si se abre un archivo cifrado a través de una red, los datos transmitidos a través de la red no se cifrarán. Se deben utilizar otros protocolos, como SSL/TLS o IPSec, para cifrar los datos enviados a través de la red.

Ahora veamos el proceso de cifrado en Microsoft Windows XP en un nivel inferior para protegernos de los costos del cifrado, es decir, la pérdida de datos.

Primero, recordemos los dos sistemas criptográficos principales. El más simple es el cifrado mediante una clave secreta (simétrica), es decir. Se utiliza la misma clave para cifrar y descifrar datos. Ventajas: alta velocidad cifrado; desventajas: el problema de transferir la clave secreta, es decir, la posibilidad de su interceptación. Representantes: DES, 3DES, DESX, AES. La diferencia entre el cifrado de clave pública (cifrado asimétrico) es que los datos se cifran con una clave y se descifran con otra no se puede realizar la transformación inversa utilizando la misma clave. Esta tecnología de cifrado supone que cada usuario tiene a su disposición un par de claves: una clave pública y una privada. Por lo tanto, al distribuir libremente su clave pública, les brinda a otros usuarios la capacidad de cifrar sus mensajes, que solo usted puede descifrar. Si la clave pública cae en manos equivocadas, no será posible determinar la clave secreta y descifrar los datos. De ahí la principal ventaja de los sistemas de clave pública: no es necesario transferir la clave secreta, pero también existe una desventaja: la baja velocidad de cifrado. Representantes: RSA, algoritmo ElGamal, algoritmo Diffie-Hellman.

EFS utiliza todas las ventajas de los sistemas anteriores para el cifrado. Los datos se cifran mediante un algoritmo simétrico utilizando una clave de cifrado de archivos (File Encryption Key, FEK). FEK es una clave generada aleatoriamente por EFS. En el siguiente paso, la FEK se cifra utilizando la clave pública del usuario y se almacena dentro de un atributo llamado Campo de descifrado de datos (DDF) directamente dentro del archivo. Además, EFS cifra la FEK utilizando la clave pública del agente de recuperación y la coloca en el atributo Campo de recuperación de datos: DRF. El DRF puede contener datos para múltiples agentes de recuperación.

¿Quién es este misterioso agente de recuperación? El Agente de Recuperación de Datos (DRA) es un usuario que tiene acceso a todos los datos cifrados de otros usuarios. Esto es relevante en caso de pérdida de claves por parte de los usuarios u otras situaciones imprevistas. Generalmente se designa a un administrador como agente de recuperación de datos. Para crear un agente de recuperación, primero debe crear un certificado de recuperación de datos, definir una política de recuperación y luego designar a uno de sus usuarios como agente. La política de recuperación juega un papel importante en el sistema de cifrado de Windows XP; define los agentes de recuperación, y su ausencia o eliminación de la política impide que los usuarios utilicen el cifrado.

Para configurar la política de recuperación, debe iniciar la consola. Inicio > Configuración > Panel de control > Herramientas administrativas > Política de seguridad local, en el que vamos al grano Políticas de clave pública > Sistemas de archivos EFS(Figura 3). De forma predeterminada, la política de recuperación es tal que el administrador tiene derechos sobre el agente de recuperación. Si se elimina el certificado del agente de recuperación predeterminado y no hay ningún otro agente en la política, la computadora tendrá una política de recuperación vacía. Una política de recuperación vacía significa que no hay ningún agente de recuperación. Esto deshabilita EFS, impidiendo así que los usuarios cifren archivos en esa computadora. Podemos crear una cuenta de administrador utilizando el agente de recuperación y, para mayor confiabilidad, realizar la operación de exportar su clave, o podemos crear nuevo certificado recuperación y asignar otro usuario como agente.

Para crear un certificado de recuperación, debe utilizar la utilidad de línea de comando de cifrado, que está diseñada para administrar el cifrado (puede encontrar información detallada sobre esta utilidad en la ayuda del sistema operativo). Debe iniciar sesión con privilegios de administrador e ingresar en la línea de comando:

cifrado /R: nombre del archivo del certificado

A continuación, ingrese la contraseña que será necesaria si se importa. Los archivos de certificado tienen la extensión . pfx(contiene el certificado y su clave pública y privada asociada) o. cer(certificado y clave pública asociada) y el nombre que proporcionó. Estos archivos permiten que cualquier usuario del sistema se convierta en un agente de recuperación, por lo que nuestra tarea es mantenerlos en un lugar seguro y, lo más importante, no olvide agregar el certificado del agente de recuperación a la política de clave pública.

Para crear este mismo agente, debes hacer próximos pasos: Inicie sesión con la cuenta que debería convertirse en el agente de recuperación de datos; en la consola Certificados ir a la sección Certificados - Usuario actual > Personal > Certificados; más Acción > Todas las tareas > Importar para ejecutar el Asistente de importación de certificados y luego importe el certificado de recuperación. Tenga en cuenta: para descifrar archivos, necesita importar la clave privada, por lo que al seleccionar un archivo para importar, use el archivo .pfx.

A menudo se considera que una desventaja del cifrado mediante EFS es la imposibilidad de transportar datos cifrados, es decir. No será posible escribir datos en un espacio en blanco sin perder su secreto. Pero esto no es del todo cierto; de hecho, no puede simplemente escribirlos, sino que puede utilizar el programa de archivo para Windows XP. NTCopia de seguridad, en este caso, los datos se copiarán al medio especificado sin descifrarlos y es posible que el medio no sea compatible con NTFS 5.0. Después de la recuperación, los datos cifrados permanecen cifrados.

Y algunos consejos más. Habilite siempre el cifrado de carpetas, ya que esto protegerá los archivos temporales. Exporte la clave privada de la cuenta del agente de recuperación, guárdela en un lugar seguro y luego elimínela de su computadora. Al cambiar las políticas de recuperación, no se apresure a eliminar los certificados antiguos hasta que esté seguro de que todos los archivos cifrados con estos certificados no se actualizarán.

Recuerde: ¡el cifrado "incorrecto" puede hacer más daño que bien!

Para proteger datos potencialmente confidenciales del acceso no autorizado cuando acceso físico a la computadora y a los discos.

Autenticación de usuario y derechos de acceso a recursos que tienen lugar en NT funcionan cuando Sistema operativo cargado, pero si accede físicamente al sistema, es posible cargar otro sistema operativo para evitar estas restricciones. EFS utiliza cifrado simétrico para proteger archivos, así como cifrado de par de claves públicas/privadas para proteger una clave de cifrado generada aleatoriamente para cada archivo. De forma predeterminada, la clave privada del usuario está protegida mediante cifrado de contraseña de usuario y la seguridad de los datos depende de la seguridad de la contraseña del usuario.

Descripción del trabajo

EFS funciona cifrando cada archivo mediante un algoritmo de cifrado simétrico, según la versión y la configuración del sistema operativo (a partir de Windows XP, en teoría es posible utilizar bibliotecas de terceros para cifrar datos). Esto utiliza una clave generada aleatoriamente para cada archivo, llamada Clave de cifrado de archivos(FEK), la elección del cifrado simétrico en esta etapa se explica por su velocidad y mayor confiabilidad en relación al cifrado asimétrico.

FEK (una clave de cifrado simétrica aleatoria para cada archivo) está protegida mediante cifrado asimétrico utilizando la clave pública del usuario que cifra el archivo y el algoritmo RSA (teóricamente, es posible utilizar otros algoritmos de cifrado asimétrico). La FEK cifrada de esta manera se almacena en el flujo alternativo $EFS del sistema de archivos NTFS. Para descifrar datos, el controlador del sistema de archivos cifrados descifra de forma transparente la FEK utilizando la clave privada del usuario y luego el archivo deseado utilizando la clave del archivo descifrado.

Dado que el cifrado/descifrado de archivos se produce mediante el controlador del sistema de archivos (esencialmente un complemento de NTFS), se produce de forma transparente para el usuario y las aplicaciones. Vale la pena señalar que EFS no cifra los archivos transferidos a través de la red, por lo que para proteger los datos transferidos, debe utilizar otros protocolos de protección de datos (IPSec o WebDAV).

Interfaces para interactuar con EFS

Para trabajar con EFS, el usuario tiene la opción de utilizar una interfaz gráfica del Explorador o una utilidad de línea de comandos.

Usando la GUI

Para cifrar un archivo o carpeta que contiene un archivo, el usuario puede usar el cuadro de diálogo de propiedades del archivo o carpeta correspondiente marcando o desmarcando la casilla de verificación "cifrar contenido para proteger datos" para archivos a partir de Windows XP, puede agregar claves públicas; de otros usuarios, que también podrán descifrar este archivo y trabajar con su contenido (sujeto a los permisos apropiados). Al cifrar una carpeta, se cifran todos los archivos que contiene, así como los que se colocarán en ella más adelante.

Fundación Wikimedia.

2010.

Vea qué es "EFS" en otros diccionarios: EFS

- Steht für: EFS Flug Service, ein deutsches Charterflugunternehmen EFS Hausgeräte, eine Haushaltsgerätefirma Encrypting File System, System für Dateiverschlüssung unter Microsoft Windows EFS Euro Finanz Service Vermittlungs AG (EFS AG), ein… … Deutsch Wikipedia Efes - Steht für: EFS Flugservice, ein deutsches Charterflugunternehmen EFS Hausgeräte, eine Haushaltsgerätefirma Encrypting File System, System für Dateiverschlüssung bajo Microsoft Error de Windows

Vea qué es "EFS" en otros diccionarios: Gratis Second beim Betrieb von Netzelementen Euro Finanz… … Deutsch Wikipedia

Vea qué es "EFS" en otros diccionarios:- Saltar a navegación, buscar El Encrypting File System (EFS) es un sistema de archivos que, trabajando sobre NTFS, lete cifrado de archivos a nivel de sistema. Está disponible para Microsoft Windows 2000 y posteriores. La tecnología… … Wikipedia Español

Vea qué es "EFS" en otros diccionarios:- puede referirse a uno de los siguientes: *Electronic Filing System, una plataforma electrónica del poder judicial de Singapur *Emergency Fire Service, ahora Country Fire Service (Australia) *Emperor of the Fading Suns, un videojuego de estrategia por turnos… … Wikipedia

Vea qué es "EFS" en otros diccionarios:- , ein System zur Verschlüsselung von Dateien und Ordnern unter den Betriebssystemen Windows NT y Windows 2000, so dass sie vor dem Zugriff unberechtigter Benutzer geschützt… … Universal-Lexikon

Vea qué es "EFS" en otros diccionarios:- Esta página de catálogo homogéneo de diferentes temas y artículos comparte un mismo nombre. Sigles d'une seule lettre Sigles de deux lettres > Sigles de trois lettres Sigles de quatre lettres … Wikipédia en Français - ● en sg. metro. Sistema de cifrado de archivos MS GESTFICH. Sistema de archivos cifrados, integrado en Microsoft en Windows 2000, y no lo uso como opción. Ver TCFS. Je ne sais pas il existe un lien avec efs...

Diccionario de informática francófono efs

Vea qué es "EFS" en otros diccionarios:- Sistema de cifrado de archivos (Informática »Seguridad) * Enhance Financial Services Group, Inc. (Negocios » Símbolos NYSE) * Selección de fibras diseñadas (Varios » Ropa) * Declaración de financiamiento efectivo (Negocios » Contabilidad) * Diagrama de flujo (EasyFlow) … Diccionario de abreviaturas

Vea qué es "EFS" en otros diccionarios:- terminar el turno lo antes posible; estimulación de campos eléctricos; Estudio europeo sobre fraxiparina; supervivencia libre de eventos... Diccionario médico

Uno de los poco conocidos Características de Windows es un sistema cifrado Sistema de cifrado de archivos(EFS). Le permite cifrar y proteger con contraseña rápidamente sus archivos y carpetas en el sistema Windows utilizando su propia cuenta de usuario. Porque los archivos o carpetas fueron cifrados usando la contraseña de la cuenta usuario de windows, otros usuarios de su sistema, incluido el administrador, no pueden abrir, editar ni mover carpetas o archivos. EFS es útil si no desea que otros usuarios vean sus archivos y carpetas. En esta guía, veremos cómo poner una contraseña en una carpeta y archivos incrustados. usando ventanas, sin programas de terceros.

El sistema de cifrado de archivos y BitLocker son absolutamente diferentes sistemas para cifrado. EFS es menos seguro que BitLocker. Cualquiera que conozca la contraseña de su cuenta podrá acceder a ellas fácilmente. No podrá cifrar particiones enteras del disco, EFS solo funciona con archivos y carpetas, y BitLocker, por el contrario, solo funciona con discos y unidades flash.

Cómo poner una contraseña en una carpeta y archivos

Todo lo que necesitas hacer es marcar la casilla y crear una copia de seguridad del certificado de seguridad. Para comenzar, seleccione la carpeta con los archivos a los que desea asignar una contraseña usando EFS, haga clic en clic derecho pasa el cursor sobre él y selecciona " propiedades".

En la pestaña "general", haga clic en Otro atributos.

En la ventana de atributos adicionales, marque la casilla Cifre el contenido para proteger los datos.

Si hay archivos en la carpeta, aparecerá la siguiente ventana. Haga clic en Aplicar a todas las subcarpetas y archivos.

Aparecerá una carpeta con un signo de exclamación en su bandeja; haga clic en ella para realizar más configuraciones.

Cree una copia de la clave, seleccione la opción "Archivar ahora".

Establezca la configuración como en la imagen.

Seleccione la casilla de verificación "Contraseña" y cree una contraseña para su carpeta y archivos.

Asigne cualquier nombre a su certificado de seguridad y elija cualquier ruta para almacenarlo.

Elegí el escritorio para almacenar el certificado y, a su vez, lo oculté a través de las propiedades de la carpeta.

En varias listas de correo de seguridad de Internet, los administradores suelen hacer preguntas sobre productos de cifrado de archivos seguros y fáciles de usar para Windows. Con la misma frecuencia, los gerentes están interesados en formas de prevenir administradores de sistemas Investigar archivos confidenciales de la empresa. Cuando sugiero utilizar el sistema de cifrado de archivos (EFS) propio de Windows, la mayoría de la gente dice que quiere algo más fuerte y seguro.

Pero contrariamente a la creencia popular, EFS es verdaderamente una solución de cifrado segura, fácil de usar y confiable que puede avergonzar incluso al administrador de red más curioso. EFS es un medio excelente para proteger archivos confidenciales en redes y computadoras portátiles, que a menudo son objeto de robo. Desafortunadamente, la reputación de EFS se ha visto afectada inmerecidamente debido a la negativa de los usuarios a evaluar objetivamente cualquier producto de seguridad de Microsoft. De hecho, EFS es uno de los mejores productos de seguridad que Microsoft haya lanzado jamás, pero requiere conocimientos adecuados para utilizarlo. Este artículo cubre los conceptos básicos de EFS, su propósito y funcionalidad, operaciones administrativas básicas y posibles errores.

Principios de EFS

Microsoft lanzó EFS con Windows 2000 y ha mejorado continuamente las versiones del producto para Windows XP y Servidor Windows 2003. Los usuarios de EFS pueden cifrar cualquier archivo o carpeta en el que tengan permisos de lectura y escritura. Después del cifrado, el recurso se descifra "sobre la marcha" cada vez que el propietario legítimo accede a él. Los usuarios que intenten acceder a un archivo o carpeta protegido sin los permisos EFS adecuados verán el nombre del archivo o carpeta, pero no podrán abrir, editar, copiar, imprimir ni compartir. correo electrónico y mover el archivo o carpeta. Curiosamente, los usuarios que tienen permiso NTFS para eliminar un archivo protegido con EFS pueden eliminarlo incluso si no tienen permiso de lectura. Como la mayoría de los productos de cifrado, EFS está diseñado para proteger la privacidad pero no evita la pérdida de datos. La tarea de EFS se considera exitosa si el usuario no autorizado no puede ver los datos de ninguna forma. Algunos usuarios afirman que incluso poder ver el nombre de un archivo o carpeta protegido es un defecto imperdonable en Windows.

Además, no es necesario ser el propietario ni tener permisos de control total sobre un archivo o carpeta para cifrarlo. Para hacer esto, los permisos de lectura y escritura son suficientes, los mismos que son necesarios para acceder al recurso. Sólo el usuario que lo cifró (y otras personas con quienes el primer usuario acepta compartir el recurso) tiene acceso al archivo o carpeta. La única excepción general es el agente de recuperación de datos (DRA). De forma predeterminada (en la mayoría de los casos), Windows asigna al administrador como agente DRA para que pueda acceder a cualquier archivo o carpeta cifrados por EFS. En un entorno de dominio, DRA es el administrador del dominio; en un entorno sin dominio, DRA es el administrador local.

La función de cifrado de archivos y carpetas está habilitada de forma predeterminada, pero el usuario debe seleccionar cada archivo o carpeta individualmente (o indirectamente mediante reglas de herencia normales). EFS requiere que el archivo o carpeta esté ubicado en una partición de disco NTFS. Luego, para proteger un archivo o carpeta, simplemente haga clic derecho en el recurso en Explorador de Windows, seleccione Propiedades y luego haga clic en el botón Avanzado en la pestaña General. (Nota: no haga clic en el botón Avanzado en la pestaña Seguridad). Finalmente, debe marcar la casilla Cifrar contenido para proteger los datos.

Si selecciona uno o más archivos (a diferencia de una carpeta), EFS pregunta si desea cifrar solo los archivos o la carpeta principal y los archivos actuales. Si se selecciona esta última opción, EFS marca la carpeta como cifrada. Todos los archivos que se agreguen a la carpeta se cifrarán de forma predeterminada, aunque los archivos que estaban en la carpeta pero no seleccionados durante la operación de cifrado EFS permanecerán sin cifrar. En muchos casos, es preferible cifrar toda la carpeta. archivos separados, especialmente porque una serie de programas (p. ej. Microsoft Word) crear archivos temporales en la misma carpeta que abrir archivo. Una vez finalizado el programa (por ejemplo, en caso de un reinicio de emergencia), los archivos temporales a menudo no se eliminan y se presentan en un formato puramente de texto que una persona no autorizada puede restaurar.

De forma predeterminada, en las versiones de XP Professional y posteriores, EFS resalta los archivos cifrados en verde, pero se puede anular la selección del resaltado seleccionando Opciones de carpeta en el menú Herramientas del Explorador de Windows y luego desactivando la casilla de verificación Mostrar archivos NTFS cifrados o comprimidos en color en la pestaña Ver. En la vista Detalles Explorador de Windows en archivos comprimidos la columna Atributos, junto con el atributo habitual Archivo (A), contiene el atributo E. Como resultado, el conjunto de atributos se verá como AE. Cabe señalar que los mecanismos integrados de Windows no se pueden utilizar para cifrar y comprimir archivos al mismo tiempo, aunque puede comprimir un archivo utilizando una utilidad de terceros como WinZip o PKZIP y luego cifrar el archivo comprimido.

cifrado fuerte

EFS proporciona un cifrado sólido, tan fuerte que si pierde la clave privada de EFS (utilizada para recuperar archivos protegidos por el cifrado EFS), es probable que los datos ya no sean legibles. Si la configuración de EFS está configurada correctamente, ni siquiera un administrador puede acceder a un archivo o carpeta cifrados a menos que esté designado como agente DRA.

Actualmente hay al menos un producto disponible comercialmente, Advanced EFS Data Recovery (AEFSDR) de ElcomSoft, que afirma poder recuperar archivos protegidos con EFS. El programa realmente recupera la contraseña del administrador local (un proceso simple si configuración de ventanas configurado sin éxito), que luego se puede utilizar para recuperar la clave privada EFS del administrador. Un usuario que tenga una herramienta para resolver la contraseña de administrador puede realizar cualquier acción en el sistema. El acceso de dicho usuario a archivos protegidos por EFS será el menor de los problemas que amenazarán a la empresa. El riesgo de recuperación no autorizada de la clave privada de EFS se mitiga asignando la función de DRA en el dominio a la cuenta del administrador del dominio en lugar de a la cuenta del administrador local, cuya contraseña se puede adivinar utilizando casi cualquier herramienta de descifrado. XP tiene una nueva política que dificulta la realización de este tipo de ataques. Si la herramienta de recuperación no puede recuperar la contraseña de administrador actual (y correcta) (muchas herramientas restablecen la contraseña en lugar de recuperarla), entonces la protección EFS aún está vigente.

¿Cómo funciona EFS?

EFS utiliza una combinación de cifrado simétrico y asimétrico. Con el método simétrico, el archivo se cifra y se recupera utilizando una única clave. El método asimétrico utiliza una clave pública para el cifrado y una segunda clave privada, pero relacionada, para la recuperación de datos. Si el usuario al que se le conceden derechos de recuperación de datos no revela la clave privada a nadie, el recurso protegido no está en riesgo.

EFS está habilitado de forma predeterminada para todos sistemas windows 2000 y posteriores. Cuando alguien usa EFS por primera vez para proteger un archivo o carpeta, Windows verifica que esté disponible un servidor PKI (infraestructura de clave pública) que pueda generar certificados digitales EFS. Los servicios de certificados en Windows 2003 y Windows 2000 pueden generar certificados EFS, al igual que algunos productos PKI de terceros. Si Windows no detecta un proveedor de PKI aceptable, el sistema operativo genera y autofirma un certificado EFS para el usuario (Figura 1). Los certificados EFS autofirmados tienen una vida útil de 100 años, mucho más que la vida útil de cualquier usuario.

Si Windows detecta un servidor de Servicios de Certificate Server, genera y envía automáticamente un certificado de dos años al usuario. Es probable que esto se deba a que si una organización tiene un servicio PKI interno, el servidor PKI puede emitir y renovar fácilmente los certificados EFS después de que caduque el original. En cualquier caso, puede ver los certificados EFS ampliando Microsoft Management Console (MMC) con el complemento Certificados y buscando en el contenedor Personal.

La clave privada del usuario de EFS (que abre archivos protegidos por EFS) se cifra con la clave maestra del usuario y se almacena en el perfil del usuario en Documentos y configuración, Datos de aplicación, Microsoft, Cripto, RSA. Si se utiliza un perfil móvil, la clave privada se encuentra en la carpeta RSA del controlador de dominio (DC) y se descarga en la computadora del usuario durante el proceso de registro. La clave maestra se genera utilizando la contraseña del usuario actual y el algoritmo RC4 de 56, 128 o 512 bits. Probablemente lo más importante que debe saber sobre EFS es que la clave privada de un usuario de EFS se encuentra en su perfil y está protegida por una clave maestra derivada de la contraseña actual del usuario. Tenga en cuenta que la solidez del cifrado EFS está determinada por la solidez de la contraseña del usuario. Si un atacante adivina la contraseña de un usuario de EFS o inicia sesión como un usuario legítimo, aparecerá una grieta en la seguridad de EFS.

Si la contraseña de un usuario se pierde o se restablece (pero el usuario no la cambia), es posible que se pierda el acceso a todos los archivos protegidos por EFS. Por este motivo, se deben almacenar copias de la clave privada del usuario de EFS en dos o más almacenes remotos seguros, o se deben designar uno o más agentes de DRA (y sus claves privadas se deben exportar y hacer). copias de seguridad en dos o más ubicaciones de almacenamiento remotas separadas y seguras). El incumplimiento de estas reglas puede provocar la pérdida de datos.

Cuando un archivo o carpeta se cifra por primera vez, Windows genera una clave simétrica aleatoria utilizando el Estándar de cifrado de datos X de 128 bits (DESX, predeterminado en XP y Windows 2000) o el Estándar de cifrado avanzado de 256 bits (AES, en Windows). 2003 XP) Paquete de servicio profesional 1). Ambos algoritmos son estándares gubernamentales generalmente reconocidos, aunque el segundo es más moderno y recomendado para su uso. También puede habilitar el antiguo estándar de cifrado simétrico gubernamental, Triple DES (3DES) de 168 bits, si la política de su organización requiere su uso. Más información detallada Consulte el artículo de Microsoft "Los archivos del sistema de archivos cifrados (EFS) aparecen dañados cuando los abre" ( http://support.microsoft.com/default.aspx?scid=kb;en-us;329741&sd=tech). La clave simétrica generada aleatoriamente se conoce como clave de cifrado de archivos (FEK). Esta clave es la única que utiliza Windows para cifrar archivos y carpetas, independientemente de la cantidad de personas que acceden al recurso protegido por EFS.

Una vez hecho esto, Windows cifra la FEK utilizando una clave pública RSA EFS de 1024 bits y almacena la FEK en los atributos extendidos del archivo. Si se asignan DRA, el sistema operativo almacena otra copia cifrada de la FEK con la clave EFS pública del DRA. Luego, Windows guarda la instancia cifrada de FEK en un archivo. En XP y versiones posteriores, varios usuarios pueden tener acceso EFS a un archivo o carpeta específicos. Cada usuario autorizado tendrá su propia FEK, cifrada con una clave pública EFS única. En Windows 2000, sólo puede asignar un DRA.

Si un usuario autorizado accede a un archivo protegido, Windows restaura su instancia de FEK cifrada utilizando la clave EFS privada asociada con el usuario. Luego, usando FEK, se desbloqueará el archivo cifrado. A diferencia de las primeras versiones de EFS en Windows 2000, EFS ahora administra de forma segura todos los archivos y carpetas cifrados en la memoria, por lo que no quedan fragmentos de texto puro en el disco que puedan recuperarse ilegalmente.

Compartir archivos EFS

En Windows 2000, sólo un usuario puede proteger un archivo con EFS a la vez, pero en XP Pro y versiones posteriores, varios usuarios pueden compartir un archivo EFS protegido. Cuando trabajan juntos, el primer usuario que protege un archivo o carpeta controla el acceso de los demás. Después de proteger inicialmente un archivo o carpeta, el usuario puede especificar usuarios adicionales haciendo clic en el botón Detalles (Figura 2). El número de usuarios agregados no está limitado. Cada usuario tiene su propia copia de FEK, cifrada con su clave EFS. Esta innovación de XP es muy conveniente para compartir archivos protegidos por EFS entre grupos de usuarios. Desafortunadamente, organízate. trabajando juntos Esto sólo es posible a nivel de archivos individuales, no de carpetas. Un usuario debe cifrar un archivo o carpeta u obtener un certificado EFS antes de poder asignarlo a usuarios adicionales.

Agente DRA

Es muy fácil eliminar un perfil de usuario y los administradores a menudo lo restablecen. contraseñas de usuario Por lo tanto, los administradores de red deben realizar una copia de seguridad de las claves EFS o asignar uno o más DRA. Puede obtener una copia de seguridad de la clave privada EFS de un usuario accediendo al certificado digital EFS en la consola de Certificados y seleccionando la casilla Copiar a archivo en la pestaña Detalles. En XP Pro y versiones posteriores, también puede usar el botón Claves de copia de seguridad, que se encuentra debajo del botón Detalles en la intercambio Archivos EFS. Los amantes de la línea de comandos pueden usar el comando.

Cifrado.exe /x

para obtener copias de seguridad de las claves EFS en Windows 2003, así como en XP Pro SP1 y versiones posteriores. Al responder a solicitudes posteriores, puede hacer copias y/o exportar la clave privada correspondiente. Nunca debe eliminar la clave privada de un usuario de EFS, como sugiere Windows durante la exportación, porque esto evitará que el usuario descifre sus archivos protegidos. Después de exportar la clave privada, debe almacenarla en dos ubicaciones de almacenamiento fuera de línea separadas. Hacer una copia de seguridad de las claves privadas EFS de los usuarios individuales requiere mucha mano de obra. A partir de Windows 2000, Microsoft le permite seleccionar un agente DRA. Cada vez que alguien cifra un archivo o carpeta, DRA recibe automáticamente una instancia de FEK. En Windows 2000 (modo de grupo de trabajo o dominio), XP (sólo modo de dominio) y Windows 2003 (modo de grupo de trabajo o dominio), el DRA predeterminado está configurado como administrador, aunque el administrador puede cambiar la cuenta de usuario asignada a la función de DRA. Lamentablemente, en el modo de grupo de trabajo de XP, el agente DRA no está definido. Esta decisión se tomó en respuesta a las críticas de que los archivos protegidos por EFS eran vulnerables si la contraseña del administrador se veía comprometida. Desafortunadamente, muchos sistemas XP Pro se ejecutan en modo de grupo de trabajo y todo lo que se necesita es restablecer la contraseña o dañar el perfil para que todos los usuarios de EFS pierdan sus archivos. Al utilizar EFS (sin olvidar que el mecanismo está activo de forma predeterminada y disponible para los usuarios), debe asegurarse de que los usuarios de EFS hayan realizado copias de claves privadas o tengan uno o más DRA asignados.

Si planea asignar la función de DRA a una cuenta de usuario que no sea la cuenta de administrador predeterminada, el sucesor debe tener la certificación EFS Recovery Agent. El certificado del Agente de recuperación de EFS se puede solicitar desde Servicios de certificados o instalarse desde otro producto PKI de terceros. Si está desplegado servicio de windows 2003 Certificate Services, podrá implementar agentes de recuperación de claves en lugar de DRA. En última instancia, los agentes de recuperación de claves recuperarán la clave perdida en lugar de recuperar directamente el archivo.

A diferencia de las claves privadas usuarios comunes EFS, las claves EFS privadas de los agentes DRA deben exportarse y eliminarse de las computadoras. Si se roban las claves privadas de los agentes de DRA, todos los archivos con FEK protegidas por la clave pública de DRA pueden volverse vulnerables. Por lo tanto, las claves deben exportarse y almacenarse de forma segura en dos ubicaciones de almacenamiento remotas. Si necesita claves para recuperar archivos cifrados, puede importar y utilizar claves privadas fácilmente.

Aunque el administrador predeterminado suele ser designado como agente de DRA, debe preparar específicamente a uno o dos usuarios cuentas, la probabilidad de eliminación bajo cualquier circunstancia es pequeña. La clave pública de DRA también copia y protege cada FEK, por lo que si se elimina accidentalmente una cuenta de usuario de DRA o se restablece una contraseña, es difícil recuperar una FEK protegida por DRA. Si se cambian las cuentas de usuario que tienen estado DRA, es posible que los archivos protegidos por EFS tengan FEK protegidas por las claves DRA antiguas. Cuando Windows accede a los archivos, las FEK protegidas por DRA se actualizan las últimas claves DRA; sin embargo, puede utilizar el comando Cipher para forzar una actualización masiva de todas las FEK utilizando las claves DRA actuales. Independientemente de si la clave privada de DRA se exporta y elimina del sistema, es muy importante mantener copias del certificado de recuperación de DRA en dos o más ubicaciones seguras de almacenamiento externo.

Notas adicionales

EFS no protege los archivos copiados a través de la red. Windows copia todos los archivos abiertos en un recurso compartido de red en un formato puramente de texto. Si necesita cifrar en tiempo real archivos almacenados en disco y copiados a través de una red, debe utilizar otro método de seguridad, seguridad IP (IPsec), capa de sockets seguros (SSL) o creación y control de versiones distribuidas WWW (WebDAV). Además, en XP y versiones posteriores, puede habilitar la protección EFS para archivos sin conexión.

EFS es un mecanismo de seguridad local. Fue diseñado para cifrar archivos en discos locales. Para usar EFS para proteger archivos almacenados en discos computadoras remotas, debe existir una relación de confianza entre estas máquinas para delegar autoridad. Los usuarios de portátiles suelen utilizar EFS para los recursos del servidor de archivos. Para usar EFS en el servidor, debe seleccionar la casilla Confiar en esta computadora para delegarla a cualquier servicio (solo Kerberos) o Confiar en esta computadora para delegar solo a servicios específicos en la cuenta de la computadora del servidor (Figura 3).

Puede evitar que los usuarios utilicen EFS bloqueándolo mediante la Política de grupo. Debe seleccionar el contenedor Configuración de la computadora, hacer clic derecho en Configuración de Windows y seleccionar Configuración de seguridad, Políticas de clave pública, Sistema de cifrado de archivos. Luego puede desactivar la casilla de verificación Permitir a los usuarios cifrar archivos usando EFS. Puede activar o bloquear EFS de forma individual unidades organizativas(UNED).

Antes de usar EFS, debe asegurarse de que sus aplicaciones sean compatibles con EFS y la API de EFS. Si las aplicaciones son incompatibles, los archivos protegidos por EFS pueden estar dañados o, peor aún, no estar protegidos sin la autorización adecuada. Por ejemplo, si guarda y modifica un archivo protegido con EFS usando edit.com (16 bits archivo ejecutable) desde Windows, todos los usuarios adicionales perderán el acceso a este archivo. Mayoría aplicaciones de microsoft(incluido oficina de microsoft, Bloc de notas y Wordpad) son totalmente compatibles con EFS.

Si un usuario autorizado copia archivos protegidos por EFS en una partición FAT, se eliminará la protección EFS. No se debe permitir que un usuario no autorizado mueva o copie archivos a ningún particiones de Windows. Un usuario no autorizado puede iniciar además del sistema. Permisos de Windows NTFS, utilizando un disquete de arranque o un programa de CD-ROM que le permita montar directorio general NTFS (por ejemplo, Knoppix, NTFSDOS, disquete de arranque Peter Nordahl-Hagen). Como resultado, podrá copiar o mover el archivo, pero si no tiene la clave EFS del usuario autorizado, el archivo permanecerá cifrado.

Mejores prácticas

Las siguientes son las mejores prácticas para trabajar con EFS.

Defina el número e identifique las cuentas DRA.
Genere certificados DRA para cuentas DRA.
Importe certificados DRA a Active Directory (AD).
Exporte y elimine claves privadas de DRA, almacenándolas en dos bóvedas fuera de línea, seguras y separadas.
Presente a los usuarios finales los métodos de aplicación y las características de EFS.
Pruebe periódicamente la recuperación de archivos DRA.
Si es necesario, ejecute periódicamente el comando Cipher con el parámetro /u para actualizar las FEK de los DRA agregados o eliminados.

EFS es un método confiable y seguro para cifrar archivos y carpetas en sistemas Windows 2000 y posteriores. Administradores de red Se debe crear y activar una política de DRA y educar a los usuarios finales sobre los beneficios y limitaciones de EFS.

Roger Grimes- Editor de Windows IT Pro y consultor de seguridad. Cuenta con certificados CPA, CISSP, CEH, CHFI, TICSA, MCT, MCSE: Security y Security+.

Configuración y optimización de sistemas operativos.