Articulo: (parte 3) Protegiendo nuestros datos.

Muchas gracias JM!

OSTOS, javier

CREANDO UN AGENTE DE RECUPERACION


Un agente de recuperacion es otro usuario, normalmente

un Administrador, que puede usar nuestros archivos
encriptados. Esto permite la recuperacion de nuestro
fichero encriptados si algo pasase con nuestra clave
privada.

Windows XP no crea un agente de recuperacion por

defecto en maquinas "standalone". Si pertenecemos a un
Dominio, el Administrador del Dominio es el agente de
recuperacion por defecto.

NOTA: Un agente de recuperacion puede solo recuperar

archivos que han sido encriptados "despues" de que el
certificado de recuperacion haya sido creado y se haya
designado el agente de recuperacion tal y como
describiremos posteriormente. El agente no tendrá acceso
por tanto a ficheros encriptados anteriormente. Esto es
debido, a que cuando un fichero se encripta, EFS usa la
clave publica de la cuenta que está encriptando el
fichero y cada una de las de los agentes designados de
recuperacion. Por tanto, solo los agentes de recuperacion
cuyos certificados esten instalados en el momento de la
encriptacion pueden desencriptar el fichero.

Para crear un agente de recuperacion de datos debemos

crear un certificado de recuperacion de datos y designar
a un usuario para que sea agente de recuperacion.

GENERANDO UN CERTIFICADO DE AGENTE DE RECUPERACION

Para generar un certificado de agente de recuperacion,

debemos seguir los siguientes pasos:

1) Conectarnos como Administrador.
2) En una consola de comandos (cmd.exe) ejecutar:

cipher /r:nombrefichero

3) CUando nos pregunte, teclear una password que será

usada para proteger los archivos que creemos.

Esto genera ambos: un fichero .pfx y un fichero .cer

con el nombre de fichero que hemos especificado
anteriormente.

NOTA: Estos ficheros permiten que cualquiera sea un

agente de recuperacion. Por tanto, debemos asegurarnos de
copiarlos a un disquete y colocarlo en un lugar seguro.
Posteriormente debemos borrarlos de nuestro disco duro.

DESIGNADO AGENTES DE RECUPERACION DE DATOS


Podemos designar a cualquier usuario como un agente de

recuperacion de datos. Se recomienda que sea una cuenta
de un Administrador.

NOTA: No debemos designar a nuestra propia cuenta como

agente de recuperacion, ya que si nuestro perfil se daña,
y no hay mas agentes de recuperacion, habremos perdido
irremediablemente los datos.

Para designar un agente de recuperacion:

1) Conectarnos con la cuenta del usuario que queremos

designar como agente de recuperacion.

2) En certificados (ejecutando: certmgr.msc) ir a

certificados, Usuario Actual\Personal.

3) En el menú Accion, todas las tareas, importar,

lanzará el asistente de recuperacion. Pulsar siguiente y
aparecerá una pagina para importar el archivo.

4) Entramos el path y el nombre del fichero del

certificado de encriptacion (el fichero .pfx).

5) Entrar la password para este certificado (la

tecleada anteriormente cuando ejecutamos el comando
cipher) y seleccionamos "marcar esta clave como
exportable". Pulsamos siguiente.

6) Seleccionamos: automaticamente seleccionar el

certificado basado en el tipo de certificado y pulsamos
siguiente. A continuacion pulsamos finalizar.

7) En Local Security Settings (ejecutando: secpol.msc)

vamos a Security Settings\Public Key Policies\Encrypting
File System

8) Menu Accion, añadir un agente de recuperacion.

Pulsamos siguiente.

9) En la pagina de seleccionar agente de recuperacion,

pulsamos el boton de ver y navegamos a la carpeta que
contiene el .cer que hemos creado. Seleccionamos el
fichero y le damos "abrir". Ahora nos mostrará el nuevo
agente como USER_UNKNOWN. Esto es normal debido a que el
nombre no está alamacenado en el fichero.

10) Tecleamos siguiente y finalizamos.


REMOVIENDO LA CLAVE PRIVADA


(y mañana más...)


Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.


.

2ç!ŠÈŠjÁ«iȚ°“j[¢Â §" 1SçiÇå{NHð†‹fj)\¢d.ŠÖ9#À2Ȫº'«zǬrž›Š¹žEè%jÇ^r‰Ý¹ËZuéh²
zz-‰Èš²m§ÿ캚h®Ù¢rº,¡û\¢oÝyö®–Ö¬§‰

2ç!ŠÈŠjÁ«iȚ°“j[¢Â §" 1SçiÇå{NHð†‹fj)\¢d.ŠÖ9#À2Ȫº'«zǬrž›Š¹žEè%jÇ^r‰Ý¹ËZuéh²
zz-‰Èš²m§ÿ캚h®Ù¢rº,¡û\¢oÝyö®–Ö¬§‰

Archivando para la biblioteca de documentos.


"JM Tella Llop [MS MVP] ·" escribió en el mensaje
news:%
CREANDO UN AGENTE DE RECUPERACION


Un agente de recuperacion es otro usuario, normalmente un Administrador,
que puede usar nuestros archivos encriptados. Esto permite la recuperacion
de nuestro fichero encriptados si algo pasase con nuestra clave privada.

Windows XP no crea un agente de recuperacion por defecto en maquinas
"standalone". Si pertenecemos a un Dominio, el Administrador del Dominio es
el agente de recuperacion por defecto.

NOTA: Un agente de recuperacion puede solo recuperar archivos que han sido
encriptados "despues" de que el certificado de recuperacion haya sido creado
y se haya designado el agente de recuperacion tal y como describiremos
posteriormente. El agente no tendrá acceso por tanto a ficheros encriptados
anteriormente. Esto es debido, a que cuando un fichero se encripta, EFS usa
la clave publica de la cuenta que está encriptando el fichero y cada una de
las de los agentes designados de recuperacion. Por tanto, solo los agentes
de recuperacion cuyos certificados esten instalados en el momento de la
encriptacion pueden desencriptar el fichero.

Para crear un agente de recuperacion de datos debemos crear un certificado
de recuperacion de datos y designar a un usuario para que sea agente de
recuperacion.


GENERANDO UN CERTIFICADO DE AGENTE DE RECUPERACION

Para generar un certificado de agente de recuperacion, debemos seguir los
siguientes pasos:

1) Conectarnos como Administrador.
2) En una consola de comandos (cmd.exe) ejecutar: cipher /r:nombrefichero
3) CUando nos pregunte, teclear una password que será usada para proteger
los archivos que creemos.

Esto genera ambos: un fichero .pfx y un fichero .cer con el nombre de
fichero que hemos especificado anteriormente.

NOTA: Estos ficheros permiten que cualquiera sea un agente de recuperacion.
Por tanto, debemos asegurarnos de copiarlos a un disquete y colocarlo en un
lugar seguro. Posteriormente debemos borrarlos de nuestro disco duro.


DESIGNADO AGENTES DE RECUPERACION DE DATOS


Podemos designar a cualquier usuario como un agente de recuperacion de
datos. Se recomienda que sea una cuenta de un Administrador.

NOTA: No debemos designar a nuestra propia cuenta como agente de
recuperacion, ya que si nuestro perfil se daña, y no hay mas agentes de
recuperacion, habremos perdido irremediablemente los datos.

Para designar un agente de recuperacion:

1) Conectarnos con la cuenta del usuario que queremos designar como agente
de recuperacion.
2) En certificados (ejecutando: certmgr.msc) ir a certificados, Usuario
Actual\Personal.
3) En el menú Accion, todas las tareas, importar, lanzará el asistente de
recuperacion. Pulsar siguiente y aparecerá una pagina para importar el
archivo.
4) Entramos el path y el nombre del fichero del certificado de encriptacion
(el fichero .pfx).
5) Entrar la password para este certificado (la tecleada anteriormente
cuando ejecutamos el comando cipher) y seleccionamos "marcar esta clave como
exportable". Pulsamos siguiente.
6) Seleccionamos: automaticamente seleccionar el certificado basado en el
tipo de certificado y pulsamos siguiente. A continuacion pulsamos finalizar.
7) En Local Security Settings (ejecutando: secpol.msc) vamos a Security
Settings\Public Key Policies\Encrypting File System
8) Menu Accion, añadir un agente de recuperacion. Pulsamos siguiente.
9) En la pagina de seleccionar agente de recuperacion, pulsamos el boton de
ver y navegamos a la carpeta que contiene el .cer que hemos creado.
Seleccionamos el fichero y le damos "abrir". Ahora nos mostrará el nuevo
agente como USER_UNKNOWN. Esto es normal debido a que el nombre no está
alamacenado en el fichero.
10) Tecleamos siguiente y finalizamos.


REMOVIENDO LA CLAVE PRIVADA


(y mañana más...)


Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Archivando para la biblioteca de documentos.


"JM Tella Llop [MS MVP] ·" escribió en el mensaje
news:%
CREANDO UN AGENTE DE RECUPERACION


Un agente de recuperacion es otro usuario, normalmente un Administrador,
que puede usar nuestros archivos encriptados. Esto permite la recuperacion
de nuestro fichero encriptados si algo pasase con nuestra clave privada.

Windows XP no crea un agente de recuperacion por defecto en maquinas
"standalone". Si pertenecemos a un Dominio, el Administrador del Dominio es
el agente de recuperacion por defecto.

NOTA: Un agente de recuperacion puede solo recuperar archivos que han sido
encriptados "despues" de que el certificado de recuperacion haya sido creado
y se haya designado el agente de recuperacion tal y como describiremos
posteriormente. El agente no tendrá acceso por tanto a ficheros encriptados
anteriormente. Esto es debido, a que cuando un fichero se encripta, EFS usa
la clave publica de la cuenta que está encriptando el fichero y cada una de
las de los agentes designados de recuperacion. Por tanto, solo los agentes
de recuperacion cuyos certificados esten instalados en el momento de la
encriptacion pueden desencriptar el fichero.

Para crear un agente de recuperacion de datos debemos crear un certificado
de recuperacion de datos y designar a un usuario para que sea agente de
recuperacion.


GENERANDO UN CERTIFICADO DE AGENTE DE RECUPERACION

Para generar un certificado de agente de recuperacion, debemos seguir los
siguientes pasos:

1) Conectarnos como Administrador.
2) En una consola de comandos (cmd.exe) ejecutar: cipher /r:nombrefichero
3) CUando nos pregunte, teclear una password que será usada para proteger
los archivos que creemos.

Esto genera ambos: un fichero .pfx y un fichero .cer con el nombre de
fichero que hemos especificado anteriormente.

NOTA: Estos ficheros permiten que cualquiera sea un agente de recuperacion.
Por tanto, debemos asegurarnos de copiarlos a un disquete y colocarlo en un
lugar seguro. Posteriormente debemos borrarlos de nuestro disco duro.


DESIGNADO AGENTES DE RECUPERACION DE DATOS


Podemos designar a cualquier usuario como un agente de recuperacion de
datos. Se recomienda que sea una cuenta de un Administrador.

NOTA: No debemos designar a nuestra propia cuenta como agente de
recuperacion, ya que si nuestro perfil se daña, y no hay mas agentes de
recuperacion, habremos perdido irremediablemente los datos.

Para designar un agente de recuperacion:

1) Conectarnos con la cuenta del usuario que queremos designar como agente
de recuperacion.
2) En certificados (ejecutando: certmgr.msc) ir a certificados, Usuario
Actual\Personal.
3) En el menú Accion, todas las tareas, importar, lanzará el asistente de
recuperacion. Pulsar siguiente y aparecerá una pagina para importar el
archivo.
4) Entramos el path y el nombre del fichero del certificado de encriptacion
(el fichero .pfx).
5) Entrar la password para este certificado (la tecleada anteriormente
cuando ejecutamos el comando cipher) y seleccionamos "marcar esta clave como
exportable". Pulsamos siguiente.
6) Seleccionamos: automaticamente seleccionar el certificado basado en el
tipo de certificado y pulsamos siguiente. A continuacion pulsamos finalizar.
7) En Local Security Settings (ejecutando: secpol.msc) vamos a Security
Settings\Public Key Policies\Encrypting File System
8) Menu Accion, añadir un agente de recuperacion. Pulsamos siguiente.
9) En la pagina de seleccionar agente de recuperacion, pulsamos el boton de
ver y navegamos a la carpeta que contiene el .cer que hemos creado.
Seleccionamos el fichero y le damos "abrir". Ahora nos mostrará el nuevo
agente como USER_UNKNOWN. Esto es normal debido a que el nombre no está
alamacenado en el fichero.
10) Tecleamos siguiente y finalizamos.


REMOVIENDO LA CLAVE PRIVADA


(y mañana más...)


Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.