Articulo: (parte 3) Protegiendo nuestros datos.

CREANDO UN AGENTE DE RECUPERACION


Un agente de recuperacion es otro usuario, normalmente un Administrador, que puede usar nuestros archivos encriptados. Esto permite la recuperacion de nuestro fichero encriptados si algo pasase con nuestra clave privada.

Windows XP no crea un agente de recuperacion por defecto en maquinas "standalone". Si pertenecemos a un Dominio, el Administrador del Dominio es el agente de recuperacion por defecto.

NOTA: Un agente de recuperacion puede solo recuperar archivos que han sido encriptados "despues" de que el certificado de recuperacion haya sido creado y se haya designado el agente de recuperacion tal y como describiremos posteriormente. El agente no tendrá acceso por tanto a ficheros encriptados anteriormente. Esto es debido, a que cuando un fichero se encripta, EFS usa la clave publica de la cuenta que está encriptando el fichero y cada una de las de los agentes designados de recuperacion. Por tanto, solo los agentes de recuperacion cuyos certificados esten instalados en el momento de la encriptacion pueden desencriptar el fichero.

Para crear un agente de recuperacion de datos debemos crear un certificado de recuperacion de datos y designar a un usuario para que sea agente de recuperacion.


GENERANDO UN CERTIFICADO DE AGENTE DE RECUPERACION

Para generar un certificado de agente de recuperacion, debemos seguir los siguientes pasos:

1) Conectarnos como Administrador.
2) En una consola de comandos (cmd.exe) ejecutar: cipher /r:nombrefichero
3) CUando nos pregunte, teclear una password que será usada para proteger los archivos que creemos.

Esto genera ambos: un fichero .pfx y un fichero .cer con el nombre de fichero que hemos especificado anteriormente.

NOTA: Estos ficheros permiten que cualquiera sea un agente de recuperacion. Por tanto, debemos asegurarnos de copiarlos a un disquete y colocarlo en un lugar seguro. Posteriormente debemos borrarlos de nuestro disco duro.


DESIGNADO AGENTES DE RECUPERACION DE DATOS


Podemos designar a cualquier usuario como un agente de recuperacion de datos. Se recomienda que sea una cuenta de un Administrador.

NOTA: No debemos designar a nuestra propia cuenta como agente de recuperacion, ya que si nuestro perfil se daña, y no hay mas agentes de recuperacion, habremos perdido irremediablemente los datos.

Para designar un agente de recuperacion:

1) Conectarnos con la cuenta del usuario que queremos designar como agente de recuperacion.
2) En certificados (ejecutando: certmgr.msc) ir a certificados, Usuario Actual\Personal.
3) En el menú Accion, todas las tareas, importar, lanzará el asistente de recuperacion. Pulsar siguiente y aparecerá una pagina para importar el archivo.
4) Entramos el path y el nombre del fichero del certificado de encriptacion (el fichero .pfx).
5) Entrar la password para este certificado (la tecleada anteriormente cuando ejecutamos el comando cipher) y seleccionamos "marcar esta clave como exportable". Pulsamos siguiente.
6) Seleccionamos: automaticamente seleccionar el certificado basado en el tipo de certificado y pulsamos siguiente. A continuacion pulsamos finalizar.
7) En Local Security Settings (ejecutando: secpol.msc) vamos a Security Settings\Public Key Policies\Encrypting File System
8) Menu Accion, añadir un agente de recuperacion. Pulsamos siguiente.
9) En la pagina de seleccionar agente de recuperacion, pulsamos el boton de ver y navegamos a la carpeta que contiene el .cer que hemos creado. Seleccionamos el fichero y le damos "abrir". Ahora nos mostrará el nuevo agente como USER_UNKNOWN. Esto es normal debido a que el nombre no está alamacenado en el fichero.
10) Tecleamos siguiente y finalizamos.


REMOVIENDO LA CLAVE PRIVADA


(y mañana más...)


Jose Manuel Tella Llop
MS MVP - DTS
jmtella@compuserve.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.