La capacidad de cifrar datos, tanto los datos en tránsito (usando IPSec) como los datos almacenados en el disco (utilizando el Sistema de archivos cifrados) sin la necesidad de software de terceros, es una de las mayores ventajas de Windows 2000 y XP / 2003 sobre Microsoft. sistemas operativos. Desafortunadamente, muchos usuarios de Windows no aprovechan estas nuevas características de seguridad o, si las usan, no entienden completamente qué hacen, cómo funcionan y cuáles son las mejores prácticas para aprovecharlas al máximo. En este artículo, hablaré sobre EFS: su uso, sus vulnerabilidades y cómo puede encajar en su plan de seguridad de red general.
La capacidad de cifrar datos, tanto los datos en tránsito (usando IPSec) como los datos almacenados en el disco (utilizando el Sistema de archivos cifrados) sin la necesidad de software de terceros, es una de las mayores ventajas de Windows 2000 y XP / 2003 sobre Microsoft. sistemas operativos. Desafortunadamente, muchos usuarios de Windows no aprovechan estas nuevas características de seguridad o, si las usan, no entienden completamente qué hacen, cómo funcionan y cuáles son las mejores prácticas para aprovecharlas al máximo.
Discutí el uso de IPSec en un artículo anterior; en este artículo, quiero hablar sobre EFS: su uso, sus vulnerabilidades y cómo puede encajar en su plan de seguridad de red general.
El propósito de EFS
Microsoft diseñó EFS para proporcionar una tecnología basada en una clave pública que actuaría como una especie de "última línea de defensa" para proteger los datos almacenados de los intrusos. Si un pirata informático inteligente supera otras medidas de seguridad: pasa a través de su firewall (o obtiene acceso físico a la computadora), anula los permisos de acceso para obtener privilegios administrativos, EFS aún puede impedir que él / ella pueda leer los datos en el documento encriptado. Esto es cierto a menos que el intruso pueda iniciar sesión como el usuario que cifró el documento (o, en Windows XP / 2000, otro usuario con el que ese usuario ha compartido el acceso).
Hay otros medios para cifrar los datos en el disco. Muchos proveedores de software fabrican productos de cifrado de datos que se pueden usar con varias versiones de Windows. Estos incluyen ScramDisk, SafeDisk y PGPDisk. Algunos de estos utilizan el cifrado a nivel de partición o crean una unidad virtual cifrada, por lo que todos los datos almacenados en esa partición o en esa unidad virtual se cifrarán. Otros utilizan el cifrado de nivel de archivo, lo que le permite cifrar sus datos en una base de archivo por archivo, independientemente de donde residan. Algunos de estos métodos utilizan una contraseña para proteger los datos; esa contraseña se ingresa cuando usted cifra el archivo y debe ingresarse nuevamente para descifrarlo. EFS utiliza certificados digitales vinculados a una cuenta de usuario específica para determinar cuándo se puede descifrar un archivo.
Microsoft diseñó EFS para que sea fácil de usar y, de hecho, es prácticamente transparente para el usuario. Encriptar un archivo, o una carpeta completa, es tan fácil como marcar una casilla de verificación en la configuración de Propiedades avanzadas del archivo o carpeta.
Tenga en cuenta que el cifrado EFS solo está disponible para archivos y carpetas que se encuentran en unidades con formato NTFS. Si la unidad está formateada en FAT o FAT32, no habrá Avanzado botón en la hoja de propiedades. También tenga en cuenta que aunque las opciones para comprimir o cifrar un archivo / carpeta se presentan en la interfaz como casillas de verificación, en realidad funcionan como botones de opción; es decir, si marca una, la otra se desactiva automáticamente. Un archivo o carpeta no se puede cifrar y comprimir al mismo tiempo.
Una vez que el archivo o la carpeta está cifrado, la única diferencia visible es que los archivos / carpetas cifrados se mostrarán en Explorer en un color diferente, si la casilla de verificación para Mostrar archivos NTFS encriptados o comprimidos en color. se selecciona en las Opciones de carpeta (configuradas a través de Herramientas | Opciones de carpeta | Pestaña de vista en el Explorador de Windows).
El usuario que cifró el documento nunca debe preocuparse por descifrarlo para acceder a él. Cuando él / ella lo abre, se descifra de forma automática y transparente, siempre y cuando el usuario inicie sesión con la misma cuenta de usuario que cuando se cifró. Sin embargo, si alguien más intenta acceder a él, el documento no se abrirá y un mensaje le informará al usuario que el acceso está denegado.
¿Qué está pasando bajo el capó?
Aunque el EFS parece increíblemente simple para el usuario, hay muchas cosas que suceden para hacer que todo esto suceda. Tanto el cifrado simétrico (clave secreta) como el asimétrico (clave pública) se utilizan en combinación para aprovechar los beneficios y desventajas de cada uno.
Cuando un usuario utiliza EFS inicialmente para cifrar un archivo, a la cuenta de usuario se le asigna un par de claves (clave pública y clave privada correspondiente), ya sea generada por los servicios de certificados (si hay una CA instalada en la red) o autofirmada por EFS. La clave pública se utiliza para el cifrado y la clave privada se utiliza para el descifrado …
Para leer el artículo completo y ver las imágenes a tamaño completo de las figuras, haga clic aquí: ¿Dónde encaja EFS en su plan de seguridad?
