Copia de seguridad de la clave privada del sistema de cifrado de archivos (EFS) del agente de recuperación en Windows

En este artículo se describe cómo realizar una copia de seguridad de la clave privada del sistema de cifrado de archivos (EFS) del agente de recuperación en un equipo.

Se aplica a: Windows Server 7 Service Pack 1, Windows Server 2012 R2
Número de KB original: 241201

Resumen

Use la clave privada del agente de recuperación para recuperar datos en situaciones en las que se pierde la copia de la clave privada de EFS que se encuentra en el equipo local. Este artículo contiene información sobre cómo usar el Asistente para exportación de certificados para exportar la clave privada del agente de recuperación desde un equipo que es miembro de un grupo de trabajo y desde un controlador de dominio basado en Windows Server 2003, basado en Windows 2000, Windows Server 2008 o Windows Server 2008 R2.

Introducción

En este artículo se describe cómo realizar una copia de seguridad de la clave privada del sistema de cifrado de archivos (EFS) del agente de recuperación en Windows Server 2003, en Windows 2000, en Windows XP, en Windows Vista, en Windows 7, en Windows Server 2008 y en Windows Server 2008 R2. Puede usar la clave privada del agente de recuperación para recuperar datos en situaciones en las que se pierde la copia de la clave privada de EFS que se encuentra en el equipo local.

Puede usar EFS para cifrar archivos de datos para evitar el acceso no autorizado. EFS usa una clave de cifrado que se genera dinámicamente para cifrar el archivo. La clave de cifrado de archivos (FEK) se cifra con la clave pública de EFS y se agrega al archivo como un atributo EFS denominado Campo de descifrado de datos (DDF). Para descifrar el FEK, debe tener la clave privada efs correspondiente del par de claves pública y privada. Después de descifrar el FEK, puede usar el FEK para descifrar el archivo.

Si se pierde la clave privada de EFS, puede usar un agente de recuperación para recuperar archivos cifrados. Cada vez que se cifra un archivo, el FEK también se cifra con la clave pública del Agente de recuperación. El FEK cifrado se adjunta al archivo con la copia cifrada con la clave pública de EFS en el campo recuperación de datos (DRF). Si usa la clave privada del agente de recuperación, puede descifrar el FEK y, a continuación, descifrar el archivo.

De forma predeterminada, si un equipo que ejecuta Microsoft Windows 2000 Professional es miembro de un grupo de trabajo o es miembro de un dominio de Microsoft Windows NT 4.0, el administrador local que inicia sesión primero en el equipo se designa como el agente de recuperación predeterminado. De forma predeterminada, si un equipo que ejecuta Windows XP o Windows 2000 es miembro de un dominio de Windows Server 2003 o un dominio de Windows 2000, la cuenta de administrador integrada en el primer controlador de dominio del dominio se designa como agente de recuperación predeterminado.

Un equipo que ejecuta Windows XP y que es miembro de un grupo de trabajo no tiene un agente de recuperación predeterminado. Tiene que crear manualmente un agente de recuperación local.

Exportación de la clave privada del agente de recuperación desde un equipo que sea miembro de un grupo de trabajo

Para exportar la clave privada del agente de recuperación desde un equipo que sea miembro de un grupo de trabajo, siga estos pasos:

1. Inicie sesión en el equipo mediante la cuenta de usuario local del agente de recuperación.

2. Haga clic en Inicio, Ejecutar, escriba mmcy, a continuación, haga clic en Aceptar.

3. En el menú Archivo, haga clic en Añadir o quitar complemento. A continuación, haga clic en Agregar en Windows Server 2003, en Windows XP o en Windows 2000. O bien, haga clic en Aceptar en Windows Vista, en Windows 7, en Windows Server 2008 o en Windows Server 2008 R2.

4. En Complementos independientes disponibles, haga clic en Certificadosy, a continuación, haga clic en Agregar.

5. Haga clic en Mi cuenta de usuario y, a continuación, haga clic en Finalizar.

6. Haga clic en Cerrary, a continuación, haga clic en Aceptar en Windows Server 2003, en Windows XP o en Windows 2000. O bien, haga clic en Aceptar en Windows Vista, en Windows 7, en Windows Server 2008 o en Windows Server 2008 R2.

7. Haga doble clic en Certificados: usuario actual, haga doble clic en Personaly, a continuación, haga doble clic en Certificados.

8. Busque el certificado que muestra las palabras "Recuperación de archivos" (sin comillas) en la columna Propósitos previstos .

9. Haga clic con el botón derecho en el certificado que se encuentra en el paso 8, seleccione Todas las tareas y, a continuación, haga clic en Exportar. Se inicia el Asistente para exportación de certificados.

10. Haga clic en Siguiente.

11. Haga clic en Sí, exporte la clave privada y, a continuación, haga clic en Siguiente.

12. Haga clic en Intercambio de información personal - PKCS #12 (. PFX).

    Nota:

    Se recomienda encarecidamente que también haga clic para activar la casilla Habilitar protección segura (requiere IE 5.0, NT 4.0 SP4 o superior ) para proteger su clave privada frente a accesos no autorizados.

    Si hace clic para seleccionar la casilla Eliminar la clave privada si la exportación se realiza correctamente , la clave privada se quitará del equipo y no podrá descifrar ningún archivo cifrado.

13. Haga clic en Siguiente.

14. Especifique una contraseña y, a continuación, haga clic en Siguiente.

15. Especifique un nombre de archivo y una ubicación donde desea exportar el certificado y la clave privada y, a continuación, haga clic en Siguiente.

    Nota:

    Se recomienda realizar una copia de seguridad del archivo en un disco o en un dispositivo multimedia extraíble y, a continuación, almacenar la copia de seguridad en una ubicación donde pueda confirmar la seguridad física de la copia de seguridad.

16. Compruebe la configuración que se muestra en la página Finalización del Asistente para exportación de certificados y, a continuación, haga clic en Finalizar.

Exportación de la clave privada del agente de recuperación de dominio

El primer controlador de dominio de un dominio contiene el perfil de administrador integrado que contiene el certificado público y la clave privada para el agente de recuperación predeterminado del dominio. El certificado público se importa a la directiva de dominio predeterminada y se aplica a los clientes de dominio mediante directiva de grupo. Si el perfil de administrador o si el primer controlador de dominio ya no está disponible, se pierde la clave privada que se usa para descifrar los archivos cifrados y los archivos no se pueden recuperar a través de ese agente de recuperación.

Para buscar la directiva de recuperación de datos cifrada, abra la directiva de dominio predeterminada en el complemento directiva de grupo object Editor, expanda Configuración del equipo, configuración de Windows, configuración de seguridad y, a continuación, expanda Directivas de clave pública.

Para exportar la clave privada del agente de recuperación de dominio, siga estos pasos:

1. Busque el primer controlador de dominio que se promovió en el dominio.

2. Inicie sesión en el controlador de dominio mediante la cuenta de administrador integrada.

3. Haga clic en Inicio, Ejecutar, escriba mmcy, a continuación, haga clic en Aceptar.

4. En el menú Archivo, haga clic en Añadir o quitar complemento. A continuación, haga clic en Agregar en Windows Server 2003 o en Windows 2000. O bien, haga clic en Aceptar en Windows Server 2008 o en Windows Server 2008 R2.

5. En Complementos independientes disponibles, haga clic en Certificadosy, a continuación, haga clic en Agregar.

6. Haga clic en Mi cuenta de usuario y, a continuación, haga clic en Finalizar.

7. Haga clic en Cerrary, a continuación, haga clic en Aceptar en Windows Server 2003 o en Windows 2000. O bien, haga clic en Aceptar en Windows Server 2008 o en Windows Server 2008 R2.

8. Haga doble clic en Certificados: usuario actual, haga doble clic en Personaly, a continuación, haga doble clic en Certificados.

9. Busque el certificado que muestra las palabras "Recuperación de archivos" (sin comillas) en la columna Propósitos previstos .

10. Haga clic con el botón derecho en el certificado que se encuentra en el paso 9, seleccione Todas las tareas y, a continuación, haga clic en Exportar. Se inicia el Asistente para exportación de certificados.

11. Haga clic en Siguiente.

12. Haga clic en Sí, exporte la clave privada y, a continuación, haga clic en Siguiente.

13. Haga clic en Intercambio de información personal - PKCS #12 (. PFX).

    Nota:

    Se recomienda encarecidamente hacer clic para activar la casilla Habilitar protección segura (requiere IE 5.0, NT 4.0 SP4 o superior ) para proteger la clave privada frente a accesos no autorizados.

    Si hace clic para seleccionar la casilla Eliminar la clave privada si la exportación se realiza correctamente , la clave privada se quita del controlador de dominio. Como procedimiento recomendado, se recomienda usar esta opción. Instale la clave privada del agente de recuperación solo en situaciones en las que necesite recuperar archivos. En cualquier otro momento, exporte y almacene la clave privada del agente de recuperación sin conexión para ayudar a mantener su seguridad.

14. Haga clic en Siguiente.

15. Especifique una contraseña y, a continuación, haga clic en Siguiente.

16. Especifique un nombre de archivo y una ubicación donde desea exportar el certificado y la clave privada y, a continuación, haga clic en Siguiente.

    Nota:

    Se recomienda realizar una copia de seguridad del archivo en un disco o en un dispositivo multimedia extraíble y, a continuación, almacenar la copia de seguridad en una ubicación donde pueda confirmar la seguridad física de la copia de seguridad.

17. Compruebe la configuración que se muestra en la página Finalización del Asistente para exportación de certificados y, a continuación, haga clic en Finalizar.