Articulo: (parte 1) Protegiendo nuestros datos.

(aunque estos articulos son para XP, son totalmente aplicables a W2000, por lo que dejo el articulo en ambos grupos).


WINDOWS XP PROFESIONAL: ENCRIPTACION DE FICHEROS


ENCRIPTANDO INFORMACION CONFIDENCIAL


Las organizaciones, e incluso los usuarios domesticos, son conscientes que los datos sensibles no deben estar disponibles a otros usuarios.

Windows XP profesional nos da una alternativa para poder proteger estos datos y prevenir su perdida. El "Encripting File System" (EFS) es el encargado de codificar los ficheros. Estos ficheros solo se pueden leer cuando el usuario que los ha creado hace "logon" en su maquina (con lo cual, presumiblemente, nuestra password será una password robusta). De hecho, cualquiera que acceda a nuestra maquina, no tendrá nunca acceso a nuestros ficheros encriptados aunque sea un Administrador del equipo.

La encriptacion es el proceso de codificar datos sensibles usando un algoritmo. Sin la clave del algoritmo correcta los datos no pueden ser desencriptados. Windows XP usa encriptacion para varios propositos:

* Ficheros encriptados en un volumen NTFS.

* Datos encriptados enviados entre un cliente web y un servidor usando Security Socket Layer (SSL).

* Encriptando trafico entre ordenadores usando VPN.

* Encriptando o firmando mensages de email.


PRECAUCIONES QUE DEBEMOS TENER CON EFS

EFS nos da un encriptacion segura de la informacion. La encriptacion es tan segura, que si perdemos la clave para desencriptar los datos, la informacion estará irremediablemente perdida. Windows XP no tiene una "puerta trasera" si la clave se pierde.

Inocementemente podemos perder la clave por varios motivos:

* Por ejemplo, manipulando en la caja de dialogo de Certificados o en la consola de Certificados (certmgr.msc) podemos sin querer, borrar el certificado de encriptacion.

* Podemos tener, por ejemplo, los datos almacenados en carpetas encriptadas en un segundo volumen (disco D:, por ejemplo). E imaginemos que decidimos por problemas reinstalar windows. Formateamos C:\ e instalamos. Por desgracia, en cada instalacion de windows, aunque los nombre y claves de usuario sean las mismas, Windows crea un nuevo identificador de seguridad (SID) para cada usuario. Por tanto, las claves de encriptacion y el certificado de seguridad, serán diferentes al ser nuevo el SID del usuario. En este caso, o tenemos copia de los certificados anteriores, o habremos perdido tambien irremediablemente la informacion encriptada en nuestro segundo disco duro (D:).

Con un poco de cuidado, estos escenarios tan dramaticos, pueden prevenirse. Para ello, sigamos los siguientes pasos (por priemra vez):

1) Creamos una carpeta vacia, y la colocamos los atributos de encriptada.

2) Creamos o guardamos cualquier fichero de texto en dicha carpeta. Esto encriptará un archivo por priemra vez.

3) Si nuestra maquina, no es parte de un Dominio, creamos un agente de recuperación. Una segunda cuenta de usuario, podrá ser usada con este agente para desencriptar los ficheros. Vermos mas adelante como crear este agente de recuperacion.

4) Guardamos el certificado de agente de recuperacion y el certificado personal de encriptacion (en un disquete, por ejemplo y a salvo de terceras personas). Este ultimo certificado, no se creará hasta que hayamos realizado la primera encriptacion, por ello, es por lo que hemos realizado por primera y unica vez, los pasos 1) y 2).

5) Ahora ya podemos empezar a encriptar los datos sensibles.


EL PORQUÉ ENCRIPTAR CARPETAS Y ARCHIVOS
-

EFS permite encriptar archivos en un volumen NTFS local (insisto: "local". No es aplicable a volumenes en red). Esto ofrece un nivel de proteccion adicional a los permisos NTFS. Recordemos que los volumenes NTFS pueden ser vulnerables por muchas vias: por ejemplo, instalando otro Windows XP en otra particion y tomando posesion de la particion primitiva, o bien arrancando con utilidades como NTFSDOS. En estos caso, si alguien tiene acceso fisico a nuestra maquina, podría llevarse informacion confidencial. Este es uno de los motivos, por los que se hace imprescindible, sobre todo en equipos portatiles de empresa, el tener encriptada la informacion sensible. Ante robo o perdida, los datos serán irrecuperables.

En algunas maquinas, podemos usar opciones de la Bios para proteger el inicio del ordenador con password. Desafortunadamente, este tipo de proteccion, tambien puede ser reventada, por ejemplo, quitando el disco duro y montandolo en otro equipo. Si los datos no están encriptados, se podrá tomar posesion de las carpetas y serán accesibles a un malintencionado usuario.


SECURIZANDO EL FICHERO DE PAGINACION


Si existe la posibilidad de que nuestro ordenador caiga en manos extrañas, debemos tener la seguridad de que no estamos dejando "pistas" en el fichero de paginacion. Por defecto, cuando apagamos la maquina, el fichero de paginacion permanece intacto. Quien pueda tener acceso fisico a nuestro disco duro, podría echar una mirada a un fichero de paginacion sin encriptar para intentar localizar restos de informacion sensible.

Si no queremos que esto suceda, podemos cambiar una entrada del registro. En la clave:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\MemoryManagement podemos colocar el valor 1, en la variable ClearPageFileAtShutdown.
De esta menra, al cerrar la maquina, Windows sobreescribirá las paginas usadas en el archivo de paginación con ceros binarios. Esto hace que el shutdown del sistema sea bastante mas lento, por tanto, no debemos realizar este cambio a no ser que las necesidades de seguridad lo hagan necesario.


COMO FUNCIONA EL MECANISMO DE ENCRIPTACION


... continuará.


Jose Manuel Tella Llop
MS MVP - DTS
jmtella@compuserve.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.