EFS windows 2003

17/11/2008 - 16:52 por Alberto | Informe spam
Buenas, gracias de antemano por su ayuda.

Tengo una duda sobre EFS y los agentes de recuperación.

Tengo un dominio Windows 2003 con dos DC y el dominio funciona genial.
Decidí seguir los pasos del documento:
http://www.microsoft.com/spain/tech...s/efs.mspx para
implementar la directiva de EFS y poder recuperar archivos cifrados.

Y he configurado la directiva Domain Policy, backup de certificados, etc
etc, y todo bien, sin errores, dispongo de 3 administradores del dominio,
que son agentes de recuperación de archivos cifrados, sin embargo cuando un
usuario del dominio cifra los datos en una unidad de red, solo con el
usuario "administrador" puedo descifrarlos,

Cuando intento descifrar cualquier carpeta con cualquiera de los otros dos
administradores/agentes de recuperación, no puedo hacerlo, me dice acceso
denegado, e intentado agregar los usuarios agentes como usuarios que pueden
ver el archivo, me aparece un error "No hay certificados apropiados que
correspondan al usuario seleccionado" y ambos usuarios aparecen en la
directiva y los certificados existen en la entidad emisora, como agentes de
recuperación y como certificados de efs básicos.

Los tres administradores tienen permisos total sobre todas las carpetas.

¿Que hago mal? segui el documento paso por paso y esta todo ok, el visor de
sucesos de los dos DC no dice nada al respecto.


¿Podeis ayudarme?

Muchas gracias...

Preguntas similare

Leer las respuestas

#1 Guillermo Delprato [MS-MVP]
18/11/2008 - 11:40 | Informe spam
Alberto, el cifrado de archivos está pensado para otro uso. Fundamentalmente
para proveer seguridad en máquinas que no tienen seguridad física (portables
por ejemplo).
Trabajarlo en red, sobre una carpeta compartida, casi carece de utilidad,
pues al estar implementado a nivel File System, por más cifrado que esté en
el compartido, en el cable que es uno de los puntos más débiles, se
transmite sin ningun tipo de protección..

Específicamente por el tema que comentas, es necesario disponer de una
estructura bien configurada de clave pública (PKI) con certificados
específicos para cifrar y para agente de recuperación (que debe ser SOLO
uno).
Si no tienes esta estructura centralizada, en cada equipo donde se cifra se
genera localmente un par de claves pública/privada que es independiente de
las demás. Por lo tanto los archivos cifrados en un equipo sólo se pueden
recuperar en dicho equipo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Alberto" wrote in message
news:
Buenas, gracias de antemano por su ayuda.

Tengo una duda sobre EFS y los agentes de recuperación.

Tengo un dominio Windows 2003 con dos DC y el dominio funciona genial.
Decidí seguir los pasos del documento:
http://www.microsoft.com/spain/tech...s/efs.mspx para
implementar la directiva de EFS y poder recuperar archivos cifrados.

Y he configurado la directiva Domain Policy, backup de certificados, etc
etc, y todo bien, sin errores, dispongo de 3 administradores del dominio,
que son agentes de recuperación de archivos cifrados, sin embargo cuando
un usuario del dominio cifra los datos en una unidad de red, solo con el
usuario "administrador" puedo descifrarlos,

Cuando intento descifrar cualquier carpeta con cualquiera de los otros dos
administradores/agentes de recuperación, no puedo hacerlo, me dice acceso
denegado, e intentado agregar los usuarios agentes como usuarios que
pueden ver el archivo, me aparece un error "No hay certificados apropiados
que correspondan al usuario seleccionado" y ambos usuarios aparecen en la
directiva y los certificados existen en la entidad emisora, como agentes
de recuperación y como certificados de efs básicos.

Los tres administradores tienen permisos total sobre todas las carpetas.

¿Que hago mal? segui el documento paso por paso y esta todo ok, el visor
de sucesos de los dos DC no dice nada al respecto.


¿Podeis ayudarme?

Muchas gracias...

Respuesta Responder a este mensaje
#2 Alberto
18/11/2008 - 17:59 | Informe spam
Efectivamente, estoy deacuerdo contigo,

Por eso he configurado mi dominio como entidad emisora de certifiicados, y
cuando un usuario inicia sesión en el dominio e intenta cifrar un dominio,
se genera un certificado en dicha entidad que permite al usuario cifrar sus
carpetas y acceder a ellas desde cualquier maquina.

Eso, mi dominio lo hace bien, pero a la hora de descifrar con los agentes,
solo el agente "administrador del dominio" y el usuario que ha cifrado,
puede descifrar los datos desde cualquier maquina en la que se loguen dentro
del dominio y me gustaria que hubiese dos usuarios "administradores" que
pudiesen descifrar además del usuario administrador del dominio.

Esta es la parte que no comprendo porqué no lo hace, si los certificados
existen y está registrados correctamente en la entidad emisora de
certificados

La verdad es que no se donde recurrir, estoy pensando en quitar el cifrado,
... ¿Hay algún documento para quitar la política de cifrado o dejarla vacía?





"Guillermo Delprato [MS-MVP]"
escribió en el mensaje news:
Alberto, el cifrado de archivos está pensado para otro uso.
Fundamentalmente para proveer seguridad en máquinas que no tienen
seguridad física (portables por ejemplo).
Trabajarlo en red, sobre una carpeta compartida, casi carece de utilidad,
pues al estar implementado a nivel File System, por más cifrado que esté
en el compartido, en el cable que es uno de los puntos más débiles, se
transmite sin ningun tipo de protección..

Específicamente por el tema que comentas, es necesario disponer de una
estructura bien configurada de clave pública (PKI) con certificados
específicos para cifrar y para agente de recuperación (que debe ser SOLO
uno).
Si no tienes esta estructura centralizada, en cada equipo donde se cifra
se genera localmente un par de claves pública/privada que es independiente
de las demás. Por lo tanto los archivos cifrados en un equipo sólo se
pueden recuperar en dicho equipo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Alberto" wrote in message
news:
Buenas, gracias de antemano por su ayuda.

Tengo una duda sobre EFS y los agentes de recuperación.

Tengo un dominio Windows 2003 con dos DC y el dominio funciona genial.
Decidí seguir los pasos del documento:
http://www.microsoft.com/spain/tech...s/efs.mspx para
implementar la directiva de EFS y poder recuperar archivos cifrados.

Y he configurado la directiva Domain Policy, backup de certificados, etc
etc, y todo bien, sin errores, dispongo de 3 administradores del dominio,
que son agentes de recuperación de archivos cifrados, sin embargo cuando
un usuario del dominio cifra los datos en una unidad de red, solo con el
usuario "administrador" puedo descifrarlos,

Cuando intento descifrar cualquier carpeta con cualquiera de los otros
dos administradores/agentes de recuperación, no puedo hacerlo, me dice
acceso denegado, e intentado agregar los usuarios agentes como usuarios
que pueden ver el archivo, me aparece un error "No hay certificados
apropiados que correspondan al usuario seleccionado" y ambos usuarios
aparecen en la directiva y los certificados existen en la entidad
emisora, como agentes de recuperación y como certificados de efs básicos.

Los tres administradores tienen permisos total sobre todas las carpetas.

¿Que hago mal? segui el documento paso por paso y esta todo ok, el visor
de sucesos de los dos DC no dice nada al respecto.


¿Podeis ayudarme?

Muchas gracias...




Respuesta Responder a este mensaje
#3 Guillermo Delprato [MS-MVP]
18/11/2008 - 18:35 | Informe spam
Es uno sólo por diseño de seguridad, si existieran varios agentes de
recuperación la responsabilidad queda diluida
¿Quién de los tres fue? ;-)

Inclusive una medida correcta de seguridad es que un administrador no
debería ser agente de recuperación.
Para no darle privilegios tan absolutos.

Sin darte cuenta estás apuntando a una solución muy comúnmente usada.
La cuenta del agente de recuperación tiene una contraseña compleja de de
gran longitud: los primeros caracteres los pone Admin1, los siguientes
Admin2 y los finales Admin3.
Por lo tanto si no se juntan todos no se puede descifrar información
confidencial


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Alberto" wrote in message
news:
Efectivamente, estoy deacuerdo contigo,

Por eso he configurado mi dominio como entidad emisora de certifiicados, y
cuando un usuario inicia sesión en el dominio e intenta cifrar un dominio,
se genera un certificado en dicha entidad que permite al usuario cifrar
sus carpetas y acceder a ellas desde cualquier maquina.

Eso, mi dominio lo hace bien, pero a la hora de descifrar con los
agentes, solo el agente "administrador del dominio" y el usuario que ha
cifrado, puede descifrar los datos desde cualquier maquina en la que se
loguen dentro del dominio y me gustaria que hubiese dos usuarios
"administradores" que pudiesen descifrar además del usuario administrador
del dominio.

Esta es la parte que no comprendo porqué no lo hace, si los certificados
existen y está registrados correctamente en la entidad emisora de
certificados

La verdad es que no se donde recurrir, estoy pensando en quitar el
cifrado, ... ¿Hay algún documento para quitar la política de cifrado o
dejarla vacía?





"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:
Alberto, el cifrado de archivos está pensado para otro uso.
Fundamentalmente para proveer seguridad en máquinas que no tienen
seguridad física (portables por ejemplo).
Trabajarlo en red, sobre una carpeta compartida, casi carece de utilidad,
pues al estar implementado a nivel File System, por más cifrado que esté
en el compartido, en el cable que es uno de los puntos más débiles, se
transmite sin ningun tipo de protección..

Específicamente por el tema que comentas, es necesario disponer de una
estructura bien configurada de clave pública (PKI) con certificados
específicos para cifrar y para agente de recuperación (que debe ser SOLO
uno).
Si no tienes esta estructura centralizada, en cada equipo donde se cifra
se genera localmente un par de claves pública/privada que es
independiente de las demás. Por lo tanto los archivos cifrados en un
equipo sólo se pueden recuperar en dicho equipo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Alberto" wrote in message
news:
Buenas, gracias de antemano por su ayuda.

Tengo una duda sobre EFS y los agentes de recuperación.

Tengo un dominio Windows 2003 con dos DC y el dominio funciona genial.
Decidí seguir los pasos del documento:
http://www.microsoft.com/spain/tech...s/efs.mspx para
implementar la directiva de EFS y poder recuperar archivos cifrados.

Y he configurado la directiva Domain Policy, backup de certificados, etc
etc, y todo bien, sin errores, dispongo de 3 administradores del
dominio, que son agentes de recuperación de archivos cifrados, sin
embargo cuando un usuario del dominio cifra los datos en una unidad de
red, solo con el usuario "administrador" puedo descifrarlos,

Cuando intento descifrar cualquier carpeta con cualquiera de los otros
dos administradores/agentes de recuperación, no puedo hacerlo, me dice
acceso denegado, e intentado agregar los usuarios agentes como usuarios
que pueden ver el archivo, me aparece un error "No hay certificados
apropiados que correspondan al usuario seleccionado" y ambos usuarios
aparecen en la directiva y los certificados existen en la entidad
emisora, como agentes de recuperación y como certificados de efs
básicos.

Los tres administradores tienen permisos total sobre todas las carpetas.

¿Que hago mal? segui el documento paso por paso y esta todo ok, el visor
de sucesos de los dos DC no dice nada al respecto.


¿Podeis ayudarme?

Muchas gracias...








Respuesta Responder a este mensaje
#4 Alberto
19/11/2008 - 13:04 | Informe spam
Gracias Guillermo

¿Conoces alguna guía donde pueda chequear el estado de EFS dentro de mi
dominio? Necesito encontrar una solución al agente de recuperación o quitar
el cifrado.

Gran respuesta, seuiré tu consejo sobre la contraseña, del agente de
reucperación.

Ufff!! hay tantas cosas que se podrían implementar en seguridad que ponerlas
todas a la vez,sería la situación ideal, pero por lo general pocas veces
alcanzamos esa situación ideal.

Por cierto saludos desde ESPAÑA (madrid) un día soleado

un abrazo...


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje news:
Es uno sólo por diseño de seguridad, si existieran varios agentes de
recuperación la responsabilidad queda diluida
¿Quién de los tres fue? ;-)

Inclusive una medida correcta de seguridad es que un administrador no
debería ser agente de recuperación.
Para no darle privilegios tan absolutos.

Sin darte cuenta estás apuntando a una solución muy comúnmente usada.
La cuenta del agente de recuperación tiene una contraseña compleja de de
gran longitud: los primeros caracteres los pone Admin1, los siguientes
Admin2 y los finales Admin3.
Por lo tanto si no se juntan todos no se puede descifrar información
confidencial


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Alberto" wrote in message
news:
Efectivamente, estoy deacuerdo contigo,

Por eso he configurado mi dominio como entidad emisora de certifiicados,
y cuando un usuario inicia sesión en el dominio e intenta cifrar un
dominio, se genera un certificado en dicha entidad que permite al usuario
cifrar sus carpetas y acceder a ellas desde cualquier maquina.

Eso, mi dominio lo hace bien, pero a la hora de descifrar con los
agentes, solo el agente "administrador del dominio" y el usuario que ha
cifrado, puede descifrar los datos desde cualquier maquina en la que se
loguen dentro del dominio y me gustaria que hubiese dos usuarios
"administradores" que pudiesen descifrar además del usuario administrador
del dominio.

Esta es la parte que no comprendo porqué no lo hace, si los certificados
existen y está registrados correctamente en la entidad emisora de
certificados

La verdad es que no se donde recurrir, estoy pensando en quitar el
cifrado, ... ¿Hay algún documento para quitar la política de cifrado o
dejarla vacía?





"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:
Alberto, el cifrado de archivos está pensado para otro uso.
Fundamentalmente para proveer seguridad en máquinas que no tienen
seguridad física (portables por ejemplo).
Trabajarlo en red, sobre una carpeta compartida, casi carece de
utilidad, pues al estar implementado a nivel File System, por más
cifrado que esté en el compartido, en el cable que es uno de los puntos
más débiles, se transmite sin ningun tipo de protección..

Específicamente por el tema que comentas, es necesario disponer de una
estructura bien configurada de clave pública (PKI) con certificados
específicos para cifrar y para agente de recuperación (que debe ser SOLO
uno).
Si no tienes esta estructura centralizada, en cada equipo donde se cifra
se genera localmente un par de claves pública/privada que es
independiente de las demás. Por lo tanto los archivos cifrados en un
equipo sólo se pueden recuperar en dicho equipo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no
rights. You assume all risk for your use.
_____________________


"Alberto" wrote in message
news:
Buenas, gracias de antemano por su ayuda.

Tengo una duda sobre EFS y los agentes de recuperación.

Tengo un dominio Windows 2003 con dos DC y el dominio funciona genial.
Decidí seguir los pasos del documento:
http://www.microsoft.com/spain/tech...s/efs.mspx para
implementar la directiva de EFS y poder recuperar archivos cifrados.

Y he configurado la directiva Domain Policy, backup de certificados,
etc etc, y todo bien, sin errores, dispongo de 3 administradores del
dominio, que son agentes de recuperación de archivos cifrados, sin
embargo cuando un usuario del dominio cifra los datos en una unidad de
red, solo con el usuario "administrador" puedo descifrarlos,

Cuando intento descifrar cualquier carpeta con cualquiera de los otros
dos administradores/agentes de recuperación, no puedo hacerlo, me dice
acceso denegado, e intentado agregar los usuarios agentes como usuarios
que pueden ver el archivo, me aparece un error "No hay certificados
apropiados que correspondan al usuario seleccionado" y ambos usuarios
aparecen en la directiva y los certificados existen en la entidad
emisora, como agentes de recuperación y como certificados de efs
básicos.

Los tres administradores tienen permisos total sobre todas las
carpetas.

¿Que hago mal? segui el documento paso por paso y esta todo ok, el
visor de sucesos de los dos DC no dice nada al respecto.


¿Podeis ayudarme?

Muchas gracias...











Respuesta Responder a este mensaje
#5 Guillermo Delprato [MS-MVP]
19/11/2008 - 15:14 | Informe spam
¿Chequear el estado de EFS? no comprendo bien lo que quieres, pero fíjate el
comando CIPHER.EXE que te puede ser útil.

Para evitar el cifrado, de ahora en más, por GPO: Configuración del Equipo,
Configuración de Windows, Configuración de Seguridad, Directivas de claves
públicas, y botón derecho sobre Sistema de Archivos de Cifrado (qué mal
traducido :-()

Tampoco se puede poner "la máxima seguridad" a todo, ***la seguridad
cuesta*** en soporte, capacitación, rendimiento, recursos, etc. Finalmente
cuesta mucho dinero :-)
Es toda la seguridad necesaria, no toda la posible

En Buenos Aires también soleado con 19ºC, muy agradable :-)


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Alberto" wrote in message
news:
Gracias Guillermo

¿Conoces alguna guía donde pueda chequear el estado de EFS dentro de mi
dominio? Necesito encontrar una solución al agente de recuperación o
quitar el cifrado.

Gran respuesta, seuiré tu consejo sobre la contraseña, del agente de
reucperación.

Ufff!! hay tantas cosas que se podrían implementar en seguridad que
ponerlas todas a la vez,sería la situación ideal, pero por lo general
pocas veces alcanzamos esa situación ideal.

Por cierto saludos desde ESPAÑA (madrid) un día soleado

un abrazo...


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:
Es uno sólo por diseño de seguridad, si existieran varios agentes de
recuperación la responsabilidad queda diluida
¿Quién de los tres fue? ;-)

Inclusive una medida correcta de seguridad es que un administrador no
debería ser agente de recuperación.
Para no darle privilegios tan absolutos.

Sin darte cuenta estás apuntando a una solución muy comúnmente usada.
La cuenta del agente de recuperación tiene una contraseña compleja de de
gran longitud: los primeros caracteres los pone Admin1, los siguientes
Admin2 y los finales Admin3.
Por lo tanto si no se juntan todos no se puede descifrar información
confidencial


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Alberto" wrote in message
news:
Efectivamente, estoy deacuerdo contigo,

Por eso he configurado mi dominio como entidad emisora de certifiicados,
y cuando un usuario inicia sesión en el dominio e intenta cifrar un
dominio, se genera un certificado en dicha entidad que permite al
usuario cifrar sus carpetas y acceder a ellas desde cualquier maquina.

Eso, mi dominio lo hace bien, pero a la hora de descifrar con los
agentes, solo el agente "administrador del dominio" y el usuario que ha
cifrado, puede descifrar los datos desde cualquier maquina en la que se
loguen dentro del dominio y me gustaria que hubiese dos usuarios
"administradores" que pudiesen descifrar además del usuario
administrador del dominio.

Esta es la parte que no comprendo porqué no lo hace, si los certificados
existen y está registrados correctamente en la entidad emisora de
certificados

La verdad es que no se donde recurrir, estoy pensando en quitar el
cifrado, ... ¿Hay algún documento para quitar la política de cifrado o
dejarla vacía?





"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:
Alberto, el cifrado de archivos está pensado para otro uso.
Fundamentalmente para proveer seguridad en máquinas que no tienen
seguridad física (portables por ejemplo).
Trabajarlo en red, sobre una carpeta compartida, casi carece de
utilidad, pues al estar implementado a nivel File System, por más
cifrado que esté en el compartido, en el cable que es uno de los puntos
más débiles, se transmite sin ningun tipo de protección..

Específicamente por el tema que comentas, es necesario disponer de una
estructura bien configurada de clave pública (PKI) con certificados
específicos para cifrar y para agente de recuperación (que debe ser
SOLO uno).
Si no tienes esta estructura centralizada, en cada equipo donde se
cifra se genera localmente un par de claves pública/privada que es
independiente de las demás. Por lo tanto los archivos cifrados en un
equipo sólo se pueden recuperar en dicho equipo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no
rights. You assume all risk for your use.
_____________________


"Alberto" wrote in message
news:
Buenas, gracias de antemano por su ayuda.

Tengo una duda sobre EFS y los agentes de recuperación.

Tengo un dominio Windows 2003 con dos DC y el dominio funciona genial.
Decidí seguir los pasos del documento:
http://www.microsoft.com/spain/tech...s/efs.mspx
para implementar la directiva de EFS y poder recuperar archivos
cifrados.

Y he configurado la directiva Domain Policy, backup de certificados,
etc etc, y todo bien, sin errores, dispongo de 3 administradores del
dominio, que son agentes de recuperación de archivos cifrados, sin
embargo cuando un usuario del dominio cifra los datos en una unidad de
red, solo con el usuario "administrador" puedo descifrarlos,

Cuando intento descifrar cualquier carpeta con cualquiera de los otros
dos administradores/agentes de recuperación, no puedo hacerlo, me dice
acceso denegado, e intentado agregar los usuarios agentes como
usuarios que pueden ver el archivo, me aparece un error "No hay
certificados apropiados que correspondan al usuario seleccionado" y
ambos usuarios aparecen en la directiva y los certificados existen en
la entidad emisora, como agentes de recuperación y como certificados
de efs básicos.

Los tres administradores tienen permisos total sobre todas las
carpetas.

¿Que hago mal? segui el documento paso por paso y esta todo ok, el
visor de sucesos de los dos DC no dice nada al respecto.


¿Podeis ayudarme?

Muchas gracias...















Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida