Procedimientos recomendados para el Sistema de archivos de cifrado

Id. de artículo: 223316 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E223316
Expandir todo | Contraer todo

En esta página

Resumen

Microsoft Windows incluye la posibilidad de cifrar directamente datos de volúmenes que utilizan el sistema de archivos NTFS de manera que ningún otro usuario pueda utilizar los datos. Puede cifrar archivos y carpetas si establece un atributo en el cuadro de diálogo Propiedades del objeto.

Puesto que el proceso de cifrado y descifrado es transparente para los usuarios, las organizaciones que deseen utilizar el cifrado de archivos deben promover unas instrucciones claras sobre su uso.
Volver al principio | Enviar comentarios

Más información

A continuación se muestra la lista de procedimientos estándar:
  • Enseñe a los usuarios a exportar sus certificados y claves privadas a medios extraíbles, y a almacenar los medios de manera segura cuando no estén en uso. Para lograr la máxima seguridad posible, se debe quitar del equipo la clave privada siempre que el equipo no esté en uso. Esto protege contra los atacantes que obtienen físicamente el equipo e intentan tener acceso a la clave privada. Cuando se debe tener acceso a los archivos cifrados, se puede importar fácilmente la clave privada de los medios extraíbles.
  • Cifre la carpeta Mis documentos para todos los usuarios (perfilDeUsuario\Mis documentos). Esto asegura que la carpeta personal, donde se almacenan la mayoría de los documentos, se cifra de forma predeterminada.
  • Explique a los usuarios que no deben cifrar nunca archivos individuales, sino carpetas. Los programas trabajan sobre los archivos de varias maneras. El cifrar de forma coherente los archivos en el nivel de carpeta asegura que los archivos no se descifran inesperadamente.
  • Las claves privadas asociadas a certificados de recuperación son sumamente sensibles. Estas claves se deben generar en un equipo que esté protegido físicamente o sus certificados se deben exportar a un archivo .pfx, protegido con una contraseña segura, y guardarse en un disco que esté almacenado en una ubicación físicamente segura.
  • Los certificados de agente de recuperación deben asignarse a cuentas especiales de agente de recuperación que no se utilicen para ningún otro fin.
  • No destruya certificados de recuperación ni claves privadas cuando se modifiquen los agentes de recuperación. (Los agentes se cambian periódicamente.) Consérvelos todos, hasta que todos los archivos que puedan haberse cifrado con ellos estén actualizados.
  • Designe dos o más cuentas de agente de recuperación por unidad organizativa (OU), dependiendo del tamaño de la OU. Designe dos o más equipos para la recuperación, uno para cada cuenta de agente de recuperación designada. Conceda permisos a los administradores adecuados para utilizar las cuentas de agente de recuperación. Es conveniente tener dos cuentas de agente de recuperación con el fin de proporcionar redundancia para la recuperación de archivos. El hecho de tener dos equipos que contengan estas claves proporciona más redundancia para permitir la recuperación de datos perdidos.
  • Implemente un programa de almacenamiento de agentes de recuperación para asegurarse de que los archivos cifrados puedan recuperarse utilizando claves de recuperación obsoletas. Los certificados de recuperación y las claves privadas se deben exportar y almacenar de forma controlada y segura. Idealmente, como ocurre con todos los datos seguros, los archivos de almacenamiento deben guardarse en un recinto con acceso controlado y debe disponer de dos archivos: uno maestro y una copia de seguridad. El maestro se guarda en las instalaciones, mientras que la copia de seguridad se guarda en una ubicación externa segura.
  • Evite utilizar archivos de cola de impresión en su arquitectura del servidor de impresión o asegúrese de que esos archivos de cola de impresión se generan en una carpeta cifrada.
  • El Sistema de archivos de cifrado consume bastante CPU cada vez que un usuario cifra y descifra un archivo. Planee exhaustivamente su uso del servidor. Equilibre la carga de sus servidores cuando haya muchos clientes que utilicen el Sistema de archivos de cifrado (EFS).

Cómo habilitar el uso compartido de archivos del Sistema de archivos de cifrado

En Microsoft Windows XP, EFS permite compartir archivos cifrados entre varios usuarios. Gracias a ello, puede conceder a los usuarios individuales permiso de acceso a un archivo cifrado. La posibilidad de agregar usuarios adicionales está restringida a archivos individuales. La posibilidad de agregar varios usuarios en las carpetas no se proporciona en Microsoft Windows 2000 ni en Windows XP. Además, EFS no permite utilizar grupos en archivos cifrados.

Una vez cifrado un archivo, el uso compartido de archivos se habilita mediante un nuevo botón en la interfaz de usuario. Antes de poder agregar usuarios adicionales, es preciso cifrar primero un archivo y después guardarlo. Los usuarios se pueden agregar desde el equipo local o desde el servicio de directorios Active Directory si el usuario tiene un certificado válido para EFS. La posibilidad de agregar usuarios adicionales está restringida a archivos individuales. No se permite varios usuarios en carpetas cifradas de EFS. Además, sólo se pueden agregar usuarios individuales a los archivos. EFS no permite utilizar grupos en archivos cifrados.

Para obtener información acerca de cómo habilitar el cifrado de EFS en carpetas y archivos, consulte la sección "Cómo cifrar y descifrar utilizando el Sistema de archivos de cifrado".

Cómo cifrar un archivo para varios usuarios

Nota
Este procedimiento sólo se aplica a Windows XP. No puede cifrar un archivo para varios usuarios en Windows 2000.

Para ello, siga estos pasos:
  1. Inicie el Explorador de Microsoft Windows y seleccione el archivo cifrado al que desea agregar usuarios adicionales.
  2. Haga clic con el botón secundario del mouse (ratón) en el archivo cifrado y, a continuación, haga clic en Propiedades.
  3. Haga clic en Opciones avanzadas para tener acceso a la configuración de EFS.
  4. Haga clic en Detalles para agregar usuarios adicionales.
  5. Haga clic en Agregar. El cuadro de diálogo Agregar mostrará todos los certificados preparados para EFS de su almacén personal o aquellos de cualquier otro usuario que pueda estar en sus almacenes de certificados "Otras personas" y "Personas de confianza".

    Si no ve al usuario que desea agregar, haga clic en Buscar usuario para buscar en Active Directory. Aparecerá la ventana Seleccionar usuario. Un cuadro de diálogo mostrará los certificados válidos de EFS en Active Directory según el criterio de búsqueda empleado. Si no se encuentra ningún certificado válido para ese usuario, un mensaje le informará de que no hay ningún certificado adecuado para el usuario seleccionado. En este caso, los usuarios previstos deben enviarle una copia de su certificado para que lo importe. Puede agregarlos entonces a su archivo cifrado.
  6. Seleccione el certificado del usuario que desea agregar y haga clic en Aceptar. Volverá a la ficha Detalles y la ficha mostrará los diversos usuarios que tendrán acceso al archivo cifrado y a los certificados de EFS de los usuarios.
  7. Repita este proceso hasta que haya agregado a todos los usuarios que desea. Haga clic en Aceptar para registrar el cambio y continuar.
Nota
Cualquier usuario que puede descifrar un archivo también puede quitar a otros usuarios si el usuario que realiza el descifrado tiene también permisos de escritura para el archivo.

Cómo cifrar y descifrar utilizando el Sistema de archivos de cifrado

Los pasos siguientes cifran y descifran un archivo o una carpeta con el Sistema de archivos de cifrado.

Nota
Estas instrucciones sólo se aplican a Windows 2000 y a Windows XP.

Cifrar una carpeta

Aunque puede cifrar archivos individualmente, recomendamos encarecidamente que designe una carpeta concreta donde almacenará los datos cifrados.

Cifrar una carpeta y su contenido


Aunque puede cifrar archivos individualmente, suele ser conveniente designar una carpeta concreta donde almacenará los archivos cifrados y cifrar esa carpeta. Si lo hace, todos los archivos que se creen en esta carpeta o que se muevan a ella obtendrán automáticamente el atributo de cifrado.

Para cifrar una carpeta y su contenido actual, siga estos pasos:
  1. Haga clic con el botón secundario del mouse en la carpeta que desee cifrar y, a continuación, haga clic en Propiedades.
  2. En el cuadro de diálogo Propiedades, haga clic en Opciones avanzadas.
  3. El cuadro de diálogo Atributos avanzados mostrará las opciones de atributo para la compresión y el cifrado. Este cuadro de diálogo también incluye atributos de almacenamiento e indización.

    Nota
    Aunque el sistema de archivos NTFS admite tanto la compresión como el cifrado, no admite ambos al mismo tiempo. Esto significa que sólo puede seleccionar uno u otro. Un archivo o una carpeta no pueden estar cifrados y comprimidos al mismo tiempo.

    Para cifrar la carpeta, haga clic para activar la casilla de verificación Cifrar contenido para proteger datos y, a continuación, haga clic en Aceptar.
  4. Haga clic en Aceptar para cerrar el cuadro de diálogo Atributos avanzados.
  5. Si la carpeta que decidió cifrar en los pasos 1 a 3 ya contiene archivos, aparecerá un cuadro de diálogo Confirmar cambios de atributos.

    Puede elegir cifrar sólo la carpeta para que se cifren todos los archivos que se muevan a esa carpeta o se creen en ella. Si también desea cifrar todo el contenido de esta carpeta, haga clic en Aplicar los cambios a esta carpeta, y sus subcarpetas y archivos y, a continuación, haga clic en Aceptar.

Descifrar una carpeta

Para descifrar una carpeta, utilice básicamente el mismo proceso pero en orden inverso:
  1. Haga clic con el botón secundario del mouse en la carpeta que desee descifrar y, a continuación, haga clic en Propiedades.
  2. Haga clic en Opciones avanzadas.
  3. Haga clic para desactivar la casilla de verificación Cifrar contenido para proteger datos con el fin de descifrar los datos.
  4. Haga clic en Aceptar para cerrar el cuadro de diálogo Atributos avanzados.
  5. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades.
  6. Si la carpeta contiene archivos, aparecerá el cuadro de diálogo Confirmar cambios de atributos. Puede elegir descifrar sólo la carpeta. Sin embargo, esto no descifrará los archivos contenidos actualmente en la carpeta.

    Si desea descifrar todo el contenido de esta carpeta, haga clic en Aplicar los cambios a esta carpeta, y sus subcarpetas y archivos y, a continuación, haga clic en Aceptar.

Información adicional

Cómo se cifran los archivos

Los archivos se cifran mediante el uso de algoritmos que básicamente reorganizan, combinan y codifican los datos. Se genera aleatoriamente un par de claves cuando cifra su primer archivo. Este par de claves consta de una clave privada y una clave pública. El par de claves se utiliza para codificar y descodificar los archivos cifrados.

Si el par de claves se pierde o resulta dañado y no ha designado ningún agente de recuperación, no hay ninguna manera de recuperar los datos.

Por qué debe hacer copia de seguridad de sus certificados

Puesto que no hay ninguna forma de recuperar los datos cifrados con un certificado dañado o perdido, es fundamental hacer copia de seguridad de los certificados y almacenarlos en una ubicación segura. También puede especificar un agente de recuperación. Este agente puede restaurar los datos. El certificado del agente de recuperación sirve para un propósito diferente que el certificado del usuario.

Cómo hacer copia de seguridad de su certificado

Para hacer copia de seguridad de sus certificados, siga estos pasos:
  1. Inicie Microsoft Internet Explorer.
  2. En el menú Herramientas, haga clic en Opciones de Internet.
  3. En la ficha Contenido, en la sección Certificados, haga clic en Certificados.
  4. Haga clic en la ficha Personal.

    Nota
    Puede haber varios certificados presentes, dependiendo de si ha instalado o no certificados para otro fin.
  5. Seleccione un certificado cada vez hasta que el campo Propósitos planteados del certificado muestre Sistema de archivos de cifrado. Éste es el certificado que se generó cuando cifró su primera carpeta.
  6. Haga clic en Exportar para iniciar el Asistente para exportación de certificados y, a continuación, haga clic en Siguiente.
  7. Haga clic en Exportar la clave privada para exportar la clave privada y, a continuación, haga clic en Siguiente.
  8. Haga clic en Permitir protección segura y, a continuación, haga clic en Siguiente.
  9. Escriba su contraseña. (Debe tener una contraseña para proteger la clave privada.)
  10. Especifique la ruta de acceso donde desea guardar la clave. Puede guardar la clave en un disquete, en otra ubicación del disco duro o en un CD. Si se produce un error en el disco duro o se vuelve a formatear, se perderán la clave y la copia de seguridad. (Si hace copia de seguridad de la clave en un disquete o en un CD, debe guardar ese disco o ese CD en una ubicación segura.)
  11. Especifique el destino y haga clic en Siguiente.
Para obtener información adicional acerca del Sistema de archivos de cifrado (EFS), visite el siguiente sitio Web de Microsoft:
Sistema de archivos de cifrado en Windows 2000
http://www.microsoft.com/technet/security/prodtech/windows2000/w2kccadm/dataprot/w2kadm21.mspx
(http://www.microsoft.com/technet/security/prodtech/windows2000/w2kccadm/dataprot/w2kadm21.mspx)


Sistema de archivos de cifrado en Windows XP y Microsoft Windows Server 2003
http://www.microsoft.com/technet/security/guidance/cryptographyetc/efs.mspx
(http://www.microsoft.com/technet/security/guidance/cryptographyetc/efs.mspx)
Volver al principio | Enviar comentarios

Propiedades

Id. de artículo: 223316 - Última revisión: viernes, 26 de octubre de 2007 - Versión: 12.2
La información de este artículo se refiere a:
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
Palabras clave: 
kbhowto kbinfo kbenv kbproductlink KB223316
Volver al principio | Enviar comentarios

Enviar comentarios

 
Volver al principioVolver al principio