El algoritmo para la implementación de certificados de tarjeta inteligente de sistema de archivos cifrados (EFS) en Windows Vista puede causar pérdida de datos

Seleccione idioma Seleccione idioma
Id. de artículo: 953152 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

La Implementación de certificados de tarjeta inteligente del sistema de archivos de cifrado (EFS) en Windows Vista omite la extensión uso mejorado de claves si la extensión no especifica EFS. En esta situación, un certificado puede seleccionar que no está destinado para el cifrado de datos. Por lo tanto, datos pueden pueden si un agente de recuperación de desastres (DRA) no está configurada o si el certificado no compatible que se había seleccionado previamente no se conserva después de que caduque.

Solución

Esta revisión está programada para incluirse con Windows Server 2008 Service Pack 2 (SP2) y con Windows Vista Service Pack 2 (SP2).

Información del registro

importante Esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por tanto, asegúrese de que siga estos pasos cuidadosamente. Realice una para agregar protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo realizar una copia de seguridad y restaurar el registro de Windows
Después de aplicar este hotfix, debe realizar los cambios siguientes en el registro:
  1. Inicie el Editor del Registro. Para ello, haga clic en Inicio , escriba regedit en el cuadro Iniciar búsqueda y, a continuación, presione ENTRAR.
  2. Busque y haga clic con el botón secundario en la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS
  3. Seleccione nuevo y, a continuación, haga clic en Valor DWORD .
  4. Escriba RequireValidEKU y, a continuación, presione ENTRAR.
  5. Haga clic con el botón secundario del mouse en RequireValidEKU y, a continuación, haga clic en Modificar .
  6. En el cuadro datos del valor , escriba 1 y, a continuación, haga clic en Aceptar .

    Nota Establezca el valor en 1 para requerir un EKU válido.
  7. Editor de registro de salida.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:".

Más información

Para admitir el inicio de sesión único (SSO) en Windows Vista para EFS, el siguiente flujo de decisión se utiliza para buscar un certificado compatible con EFS en la tarjeta inteligente que se utiliza para iniciar sesión:
  1. Si el certificado de inicio de sesión tiene el EFS clave uso extendida (EKU) (OID de "1.3.6.1.4.1.311.10.3.4"), comprobar que es útil para EFS y, a continuación, selecciónelo como la clave EFS actual.
  2. Enumerar los certificados en la tarjeta inteligente. (Que está buscando una que tenga el EKU de EFS.) Si encuentra uno, comprobar que es útil para EFS y, a continuación, selecciónelo como la clave EFS actual.
  3. Si no hay ningún certificado tiene el EKU de EFS, buscar un certificado que cualquiera tenga un uso de claves (KU) de CERT_KEY_ENCIPHERMENT_KEY_USAGE o no KU definido. Si encuentra uno, comprobar que es útil para EFS y, a continuación, selecciónelo como la clave EFS actual.
Si ninguno de estos pasos produce un certificado compatible con EFS, el inicio de sesión con tarjeta inteligente no puede utilizarse para SSO.

notas
  • Siga estos pasos sólo si una clave EFS actual ya no está definida.
  • El significado de la frase "utilizable para EFS" depende de directiva y las capacidades de claves y certificados. En resumen, esta frase hace referencia a uno o más de las condiciones siguientes:
    • La clave que se ha especificado para clave privada el certificado ?s tiene el indicador AT_KEYEXCHANGE.
    • Si se especifica el modo de clave de tarjeta inteligente en caché de directiva, la clave privada puede utilizarse para derivar la clave almacenada en caché. Esto implica una operación de firma.
    • Si el modo de clave de tarjeta inteligente en caché no se especifica en la directiva, la clave debe ser capaz de realizar una operación de cifrado y descifrado de RSA.
    • Si se requieren tarjetas inteligentes por directiva, el proveedor de claves debe ser del tipo CRYPT_IMPL_REMOVABLE.
    • El tamaño de clave RSA debe tener al menos 1024 bits.
    • Si certificados autofirmados están deshabilitados por la directiva, debe ser emitido el certificado por una entidad emisora de CERTIFICADOS.
    Para obtener más información sobre el sistema de archivos de cifrado, visite el siguiente sitio Web:
    http://technet.microsoft.com/en-us/library/cc700811.aspx

Propiedades

Id. de artículo: 953152 - Última revisión: martes, 24 de marzo de 2009 - Versión: 1.1
La información de este artículo se refiere a:
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
Palabras clave: 
kbmt kbexpertiseinter kbfix kbbug kbsurveynew KB953152 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 953152

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com