Articulo: (parte 2) Protegiendo nuestros datos.

COMO FUNCIONA EL MECANISMO DE ENCRIPTACION


EFS nos proporciona una via segura para almacenar datos sensibles. Usa una clave publica para crear una clave de encriptacion aleatoriamente generada (FEK). Este proceso se realiza transparentemente para el usuario. Windows, automaticamente encripta los datos usando esta FEK cuando los datos se escriben a disco. Estos datos pueden ser solo desenciptados con su certificado y su clave privada asociada la cual solo está disponible haciendo "logon" con el usuario / password que lo encriptó. Si otros usuarios intentan usar uno de estos achivos encriptados, recibirán un mensaje de "acceso denegado".

Se pueden encriptar archivos o carpetas. Se recomienda encriptar carpetas en lugar de archivos individuales ya que cualquier archivo que guardemos en dicha carpeta se encriptará automaticamente. Y esto ultimo, incluye tambien archivos temporales que una aplicacion pueda escribir en dichas carpetas ya que por ejemplo, Office escribe una copia temporal de los documentos que estemos ariendo en la carpeta en donde resida el documento. Si la carpeta está encriptadad, estops temporales tambien lo estarán y no corremos peligro que por una caida de la aplicacion queden archivos temporales con datos sensibles sin encriptar. Por esta razón se debe considerar tambien el encriptar la carpeta %temp% y %tmp% del usuario.

Lo mismo que el proceso de encriptación, la desencriptacion se realiza transparentemente para el usuario. Por ello, la manera de trabajar con ficheros encriptados es la misma que con fichero no encriptados: no tenemos que hacer nada. Cuando windows detecta que un fichero está encriptado, simplemente busca el certificado y usa la calve privada para desencriptar loss datos. Es transparente por tanto a las aplicaciones.


PERMITIENDO A OTROS USUARIOS USAR NUESTROS FICHEROS ENCRIPTADOS


Despues de encriptar un fichero, podemos permitir a otros usuarios el acceder a dicho fichero transparentemente. Esta cpacidad, nueva en XP, nos permite asegurar un fichero con EFS y dejarlo disponible a los usuarios que deseemos. Los usuarios que especifiquemos, pueden ser usuarios que acceden desde la misma maquina, o bien usuarios que acceden desde la red. Para activar que otros usuarios puedan acceder a nuestros ficheros encriptados:

1) Boton derecho sobre el fichero encriptado y "propiedades". En la pestaña "general" seleccionamos "avanzado".

2) En Atributos Avanzados, pinchamos "detalles".

NOTA: El boton de "detalles" está indisponible cuando incialmente encriptamos un fichero. Debemos encriptar el fichero, salirnos y volver posteriormente al dialogo de Atributos Avanzados. Igualmente, el botón de "detalles" está disponible solo cuando seleccionamos un unico fichero. Si seleccionamos una carpeta o varios ficheros, el boton estará indisponible.

3) En la caga de dialogo de "detalles" de encriptacion, le damos al botón de Añadir. Aparecerá una caja de dialogo con los usuarios.

4) Seleccionamos a los usuarios a los que queremos permitir el acceso.

NOTA: Unicamente los usuarios que tengan ya un certificado EFS en nuestra maquina aparecerán en dicha caja de dialogo. La mejor manera para que un usuario de nuestra maquina cree un certificado (y por tanto, aparecer en la lista) es que el usuario haga logon en la maquina y encripte un fichero cualquiera. Los usuarios de red, deben exportar su propio certificado (para mas detalles, lo veremos mas adelante); posteriormente debemos importar dicho certificado en nuestra maquina.


USO DEL COMANDO CIPHER
-

Si preferimos unar un comando en la linea de comandos de una consola, tenemos el comando chiper como alternativa a la caja de dialogo de Atributos Avanzados que hemos visto anteriormente y que nos permite, encriptar y desencriptar carpetas y archivos.

Si ejecutamos CIPHER sin parametros, veremos el estado de la encriptacion de la carpeta en donde nos encontremos y sus archivos.

Para encriptar o desencriptar ficheros debemos incluir el path y los parametros. Podemos usar el parametro /E para encriptar archivos o carpetas, o /D para desencriptarlo. Por ejemplo, para encriptar la carpeta Mis Documentos y todas sus subcarpetas:

cipher /e /a /s:"%userprofile%\mis documentos"

En la especificacion de los nombres de ficheros, podemos usar comodines. Igualmente podemos especificar multiples carpetas o ficheros en una sola invocacion desde la linea de comandos, separandoles simplemente por un espacio.

Los parametros mas ahbituales los descirbimos a continuacion. Para ver una lista detallada de parametros, ejecutar cipher /? en la linea de comandos.

/E Encripta las carpetas que hayamos especificado.

/D Desencripta las carpetas especificadas.

/S:carpeta Realiza la operacion en un carpeta y en sus sibcarpetas (pero no en los ficheros).

/A Realiza la operacion en los ficheros especificados o bien en los ficheros de una determinada carpeta.

/K Crea una nueva clave de encriptacion. Si usamos esta opcion, todas las demas opciones posibles de la linea de comandos serán ignoradas.

/R Genera una clave de agente de recuperacion y el certificado. La clave y el certificado son puestos en un archivo .pfx y el certificado solo, en un archivo .cer



CREANDO UN AGENTE DE RECUPERACION


(mañana más.)

Jose Manuel Tella Llop
MS MVP - DTS
jmtella@compuserve.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.