Explorar Sistema de cifrado de archivos en el cliente de Windows

  • 4 minutos

EFS es una herramienta de cifrado de archivos integrada para sistemas basados en Windows. EFS es un componente del sistema de archivos NTFS y usa algoritmos criptográficos estándar avanzados para permitir el cifrado y descifrado de archivos transparentes. A través de la funcionalidad de Windows Information Protection de Windows, la funcionalidad EFS también se simula en volúmenes que usan el sistema de archivos FAT32. Cualquier persona o aplicación que no tenga acceso a un almacén de certificados que contenga una clave criptográfica adecuada no podrá leer los datos cifrados. Puede proteger los archivos cifrados incluso de aquellos que obtienen la posesión física de un equipo en el que se almacenan los archivos. Incluso las personas que tienen la autorización para acceder a un equipo y su sistema de archivos no pueden ver los datos cifrados.

El cifrado es una adición eficaz a cualquier plan de defensa. Sin embargo, debe usar estrategias de defensa adicionales, ya que el cifrado no es la contramedida correcta para cada amenaza. Además, cada arma de defensa tiene el potencial de dañar los datos, si los usas incorrectamente. Al implementar EFS, la tarea más importante es administrar correctamente los certificados EFS para los usuarios. El cifrado proporcionado por EFS se basa en los certificados de usuario y en sus claves públicas y privadas. Sin una administración de certificados adecuada, puede entrar fácilmente en una situación en la que los datos cifrados no son accesibles.

Administrar certificados EFS

EFS usa criptografía de clave pública para cifrar archivos. EFS obtiene las claves de un certificado EFS de usuario, que también puede contener información de clave privada. Por lo tanto, debe administrarlos correctamente.

Los usuarios necesitan pares de claves asimétricas para cifrar los datos y pueden obtener estas claves:

  • De una entidad de certificación (CA). Una ENTIDAD de certificación interna o de terceros puede emitir certificados EFS. Este método proporciona administración central y copia de seguridad de claves. Esta es la manera recomendada de emitir y administrar certificados EFS, ya que permite restaurar el certificado de usuario si se pierde.
  • Al generarlos. Si una CA no está disponible, Windows generará un par de claves. Estas claves tienen una duración de 100 años. Este método es más difícil que usar una CA porque no hay ninguna administración centralizada y los usuarios se vuelven responsables de administrar sus propias claves. Además, la recuperación es más difícil de administrar. Sin embargo, sigue siendo un método popular porque no requiere ninguna configuración.

Los usuarios pueden hacer que los archivos cifrados sean accesibles para los certificados EFS de otros usuarios. Si concede acceso a otro certificado EFS de usuario, ese usuario puede hacer que esos archivos estén disponibles para otros certificados EFS de usuarios.

Emisión de un certificado para un DRA

Antes de empezar a usar EFS en su organización, es muy importante emitir un certificado para un Agente de recuperación de datos (DRA). Este certificado se usa en escenarios en los que un usuario que cifró el archivo no puede descifrarlo o no quiere descifrarlo. Un usuario que tenga un certificado DRA puede descifrar cualquier archivo cifrado de la organización. Esto se aplica a todos los archivos cifrados después de emitir un certificado DRA.

Solo puede emitir certificados EFS a usuarios individuales. No puede emitir certificados EFS a grupos.

Las CA pueden archivar y recuperar certificados EFS emitidos por la entidad de certificación

Si usa ca para emitir certificados EFS, puede configurar el archivado de la clave privada de los usuarios. Debe configurarlo antes de empezar a emitir certificados EFS para los usuarios. Si no’ usa esta funcionalidad, los usuarios deben hacer una copia de seguridad manualmente de sus certificados EFS y claves privadas generados automáticamente. Para ello, pueden exportar el certificado y la clave privada a un archivo de Exchange personal (.pfx), que está protegido con contraseña durante el proceso de exportación. Esta contraseña es necesaria para importar el certificado en un almacén de certificados de usuarios. En Windows, también puede usar la herramienta integrada para administrar y hacer una copia de seguridad de los certificados de usuario usados para EFS. Se recomienda que cada usuario que use EFS use esta herramienta para realizar una copia de seguridad de su certificado, con una clave privada, en una ubicación protegida externa.

Exportar certificado EFS de cliente sin la clave privada

Si necesita distribuir solo la clave pública, puede exportar el certificado EFS de cliente sin la clave privada a archivos de reglas de codificación canónica (.cer). Una clave privada de usuario se almacena en el perfil de usuarios’ de la carpeta RSA, a la que puede acceder expandiendo AppData>Roaming>Microsoft>Crypto. Sin embargo, tenga en cuenta que, dado que solo hay una instancia de la clave, es vulnerable a errores en el disco duro o daños en los datos.

Exportación de certificados con el complemento Certificados MMC

El complemento Certificados Microsoft Management Console (MMC) exporta certificados y claves privadas. El almacén de certificados personales contiene los certificados EFS. Cuando los usuarios cifran archivos en carpetas compartidas remotas, sus claves se almacenan en el servidor de archivos.

Funcionamiento de EFS

La funcionalidad básica de cifrado EFS funciona de la siguiente manera:

  • Cuando un usuario que posee la clave necesaria abre un archivo, se abre el archivo. Si un usuario no posee la clave, recibe un mensaje de acceso denegado.
  • El cifrado de archivos usa una clave simétrica que cifra con una clave pública de usuario, que se almacena en el encabezado del archivo. Además, almacena un certificado con las claves públicas y privadas de los usuarios, o claves asimétricas, en el perfil de usuarios’. La clave privada de los usuarios debe estar disponible para el descifrado del archivo.
  • Si una clave privada incurre en daños o se pierde, el archivo no se puede descifrar. Si existe un agente de recuperación de datos, el archivo se puede recuperar. Si implementa el archivo de claves, puede recuperar la clave y descifrar el archivo. De lo contrario, es posible que se pierda el archivo. El sistema de certificados, en el que se basa el cifrado, se conoce como infraestructura de clave pública (PKI).
  • Puede archivar un certificado de usuario que contenga sus claves públicas y privadas. Por ejemplo, puede exportarla a una unidad flash USB y, a continuación, mantener la unidad flash USB en un lugar seguro para la recuperación si las claves incurren en daños o se pierden.
  • Una contraseña de usuario’ protege las claves públicas y privadas. Cualquier usuario que pueda obtener el identificador de usuario y la contraseña puede iniciar sesión como ese usuario y descifrar los archivos de los usuarios. Por lo tanto, las prácticas de seguridad de las organizaciones deben incluir una directiva de contraseñas segura y educación del usuario para proteger los archivos cifrados con EFS.
  • Los archivos cifrados con EFS no permanecen cifrados al cruzar la red, como cuando se trabaja con los archivos en una carpeta compartida. El archivo se descifra y, a continuación, atraviesa la red en un estado sin cifrar. EFS lo cifra localmente si lo guarda en una carpeta de la unidad local que está configurada para el cifrado. Los archivos cifrados con EFS pueden permanecer cifrados mientras recorren una red si los guarda en una carpeta web mediante el protocolo World Wide Web Distributed Authoring and Versioning (WebDAV). También pueden permanecer cifrados si configura el tráfico de red que se va a cifrar mediante seguridad de protocolo de Internet (IPSec).
  • EFS admite algoritmos de cifrado estándar del sector, incluido Estándar de cifrado avanzado (AES). AES usa una clave de cifrado simétrica de 256 bits y es el algoritmo EFS predeterminado.

Características de EFS en Windows 10

Además, tenga en cuenta las siguientes características al implementar EFS en Windows:

  • Compatibilidad con el almacenamiento de claves privadas en tarjetas inteligentes. Windows incluye compatibilidad total para almacenar claves privadas de los usuarios en tarjetas inteligentes. Si un usuario inicia sesión en Windows con una tarjeta inteligente, EFS también puede usar la tarjeta inteligente para el cifrado de archivos. Los administradores pueden almacenar sus claves de recuperación de dominios’ en una tarjeta inteligente. La recuperación de archivos es tan sencilla como iniciar sesión en el equipo afectado, ya sea localmente o mediante Escritorio remoto, y usar la tarjeta inteligente de recuperación para acceder a los archivos.
  • El Asistente para regeneración de claves Sistema de cifrado de archivos. El Asistente para regeneración de claves Sistema de cifrado de archivos permite a los usuarios elegir un certificado EFS y, a continuación, seleccionar y migrar los archivos existentes que usarán el certificado EFS recién elegido. Los administradores pueden usar el asistente para migrar usuarios de instalaciones existentes de certificados de software a tarjetas inteligentes. El asistente también es útil en situaciones de recuperación porque es más eficaz que descifrar y volver a cifrar los archivos.
  • Directiva de grupo configuración de EFS. Puede usar directiva de grupo para controlar y configurar directivas de protección EFS de forma centralizada para toda una empresa. Por ejemplo, Windows permite el cifrado de archivos de paginación a través de la directiva de seguridad local o directiva de grupo.
  • Cifrado por usuario de archivos sin conexión. Puede usar EFS para cifrar copias sin conexión de archivos de servidores remotos. Al habilitar esta opción, cada archivo de la memoria caché sin conexión se cifra con una clave pública del usuario que ha almacenado en caché el archivo. Por lo tanto, solo ese usuario tiene acceso al archivo e incluso los administradores locales no pueden leer el archivo sin acceso a las claves privadas del usuario.
  • Borrado selectivo Una característica de Windows en un entorno corporativo es el borrado selectivo. Si se pierde o se roba un dispositivo, un administrador puede revocar la clave EFS que se usó para proteger los archivos del dispositivo. Revocar una clave impide todo acceso a los archivos de datos que se almacenan en un dispositivo de usuario’.