Disco duro externo (USB 2.0/IEEE 1394)

Puedes encriptar todo el contenido del disco.
Leete estos articulos que te dejo debaja y que estoy publicando estos dias no está completo del todo pero por ahora te sirve...



WINDOWS XP PROFESIONAL: ENCRIPTACION DE FICHEROS


ENCRIPTANDO INFORMACION CONFIDENCIAL


Las organizaciones, e incluso los usuarios domesticos, son conscientes que los datos sensibles no deben estar disponibles a otros usuarios.

Windows XP profesional nos da una alternativa para poder proteger estos datos y prevenir su perdida. El "Encripting File System" (EFS) es el encargado de codificar los ficheros. Estos ficheros solo se pueden leer cuando el usuario que los ha creado hace "logon" en su maquina (con lo cual, presumiblemente, nuestra password será una password robusta). De hecho, cualquiera que acceda a nuestra maquina, no tendrá nunca acceso a nuestros ficheros encriptados aunque sea un Administrador del equipo.

La encriptacion es el proceso de codificar datos sensibles usando un algoritmo. Sin la clave del algoritmo correcta los datos no pueden ser desencriptados. Windows XP usa encriptacion para varios propositos:

* Ficheros encriptados en un volumen NTFS.

* Datos encriptados enviados entre un cliente web y un servidor usando Security Socket Layer (SSL).

* Encriptando trafico entre ordenadores usando VPN.

* Encriptando o firmando mensages de email.


PRECAUCIONES QUE DEBEMOS TENER CON EFS

EFS nos da un encriptacion segura de la informacion. La encriptacion es tan segura, que si perdemos la clave para desencriptar los datos, la informacion estará irremediablemente perdida. Windows XP no tiene una "puerta trasera" si la clave se pierde.

Inocementemente podemos perder la clave por varios motivos:

* Por ejemplo, manipulando en la caja de dialogo de Certificados o en la consola de Certificados (certmgr.msc) podemos sin querer, borrar el certificado de encriptacion.

* Podemos tener, por ejemplo, los datos almacenados en carpetas encriptadas en un segundo volumen (disco D:, por ejemplo). E imaginemos que decidimos por problemas reinstalar windows. Formateamos C:\ e instalamos. Por desgracia, en cada instalacion de windows, aunque los nombre y claves de usuario sean las mismas, Windows crea un nuevo identificador de seguridad (SID) para cada usuario. Por tanto, las claves de encriptacion y el certificado de seguridad, serán diferentes al ser nuevo el SID del usuario. En este caso, o tenemos copia de los certificados anteriores, o habremos perdido tambien irremediablemente la informacion encriptada en nuestro segundo disco duro (D:).

Con un poco de cuidado, estos escenarios tan dramaticos, pueden prevenirse. Para ello, sigamos los siguientes pasos (por priemra vez):

1) Creamos una carpeta vacia, y la colocamos los atributos de encriptada.

2) Creamos o guardamos cualquier fichero de texto en dicha carpeta. Esto encriptará un archivo por priemra vez.

3) Si nuestra maquina, no es parte de un Dominio, creamos un agente de recuperación. Una segunda cuenta de usuario, podrá ser usada con este agente para desencriptar los ficheros. Vermos mas adelante como crear este agente de recuperacion.

4) Guardamos el certificado de agente de recuperacion y el certificado personal de encriptacion (en un disquete, por ejemplo y a salvo de terceras personas). Este ultimo certificado, no se creará hasta que hayamos realizado la primera encriptacion, por ello, es por lo que hemos realizado por primera y unica vez, los pasos 1) y 2).

5) Ahora ya podemos empezar a encriptar los datos sensibles.


EL PORQUÉ ENCRIPTAR CARPETAS Y ARCHIVOS
-

EFS permite encriptar archivos en un volumen NTFS local (insisto: "local". No es aplicable a volumenes en red). Esto ofrece un nivel de proteccion adicional a los permisos NTFS. Recordemos que los volumenes NTFS pueden ser vulnerables por muchas vias: por ejemplo, instalando otro Windows XP en otra particion y tomando posesion de la particion primitiva, o bien arrancando con utilidades como NTFSDOS. En estos caso, si alguien tiene acceso fisico a nuestra maquina, podría llevarse informacion confidencial. Este es uno de los motivos, por los que se hace imprescindible, sobre todo en equipos portatiles de empresa, el tener encriptada la informacion sensible. Ante robo o perdida, los datos serán irrecuperables.

En algunas maquinas, podemos usar opciones de la Bios para proteger el inicio del ordenador con password. Desafortunadamente, este tipo de proteccion, tambien puede ser reventada, por ejemplo, quitando el disco duro y montandolo en otro equipo. Si los datos no están encriptados, se podrá tomar posesion de las carpetas y serán accesibles a un malintencionado usuario.


SECURIZANDO EL FICHERO DE PAGINACION


Si existe la posibilidad de que nuestro ordenador caiga en manos extrañas, debemos tener la seguridad de que no estamos dejando "pistas" en el fichero de paginacion. Por defecto, cuando apagamos la maquina, el fichero de paginacion permanece intacto. Quien pueda tener acceso fisico a nuestro disco duro, podría echar una mirada a un fichero de paginacion sin encriptar para intentar localizar restos de informacion sensible.

Si no queremos que esto suceda, podemos cambiar una entrada del registro. En la clave:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\MemoryManagement podemos colocar el valor 1, en la variable ClearPageFileAtShutdown.
De esta menra, al cerrar la maquina, Windows sobreescribirá las paginas usadas en el archivo de paginación con ceros binarios. Esto hace que el shutdown del sistema sea bastante mas lento, por tanto, no debemos realizar este cambio a no ser que las necesidades de seguridad lo hagan necesario.


COMO FUNCIONA EL MECANISMO DE ENCRIPTACION


EFS nos proporciona una via segura para almacenar datos sensibles. Usa una clave publica para crear una clave de encriptacion aleatoriamente generada (FEK). Este proceso se realiza transparentemente para el usuario. Windows, automaticamente encripta los datos usando esta FEK cuando los datos se escriben a disco. Estos datos pueden ser solo desenciptados con su certificado y su clave privada asociada la cual solo está disponible haciendo "logon" con el usuario / password que lo encriptó. Si otros usuarios intentan usar uno de estos achivos encriptados, recibirán un mensaje de "acceso denegado".

Se pueden encriptar archivos o carpetas. Se recomienda encriptar carpetas en lugar de archivos individuales ya que cualquier archivo que guardemos en dicha carpeta se encriptará automaticamente. Y esto ultimo, incluye tambien archivos temporales que una aplicacion pueda escribir en dichas carpetas ya que por ejemplo, Office escribe una copia temporal de los documentos que estemos ariendo en la carpeta en donde resida el documento. Si la carpeta está encriptadad, estops temporales tambien lo estarán y no corremos peligro que por una caida de la aplicacion queden archivos temporales con datos sensibles sin encriptar. Por esta razón se debe considerar tambien el encriptar la carpeta %temp% y %tmp% del usuario.

Lo mismo que el proceso de encriptación, la desencriptacion se realiza transparentemente para el usuario. Por ello, la manera de trabajar con ficheros encriptados es la misma que con fichero no encriptados: no tenemos que hacer nada. Cuando windows detecta que un fichero está encriptado, simplemente busca el certificado y usa la calve privada para desencriptar loss datos. Es transparente por tanto a las aplicaciones.


PERMITIENDO A OTROS USUARIOS USAR NUESTROS FICHEROS ENCRIPTADOS


Despues de encriptar un fichero, podemos permitir a otros usuarios el acceder a dicho fichero transparentemente. Esta cpacidad, nueva en XP, nos permite asegurar un fichero con EFS y dejarlo disponible a los usuarios que deseemos. Los usuarios que especifiquemos, pueden ser usuarios que acceden desde la misma maquina, o bien usuarios que acceden desde la red. Para activar que otros usuarios puedan acceder a nuestros ficheros encriptados:

1) Boton derecho sobre el fichero encriptado y "propiedades". En la pestaña "general" seleccionamos "avanzado".

2) En Atributos Avanzados, pinchamos "detalles".

NOTA: El boton de "detalles" está indisponible cuando incialmente encriptamos un fichero. Debemos encriptar el fichero, salirnos y volver posteriormente al dialogo de Atributos Avanzados. Igualmente, el botón de "detalles" está disponible solo cuando seleccionamos un unico fichero. Si seleccionamos una carpeta o varios ficheros, el boton estará indisponible.

3) En la caga de dialogo de "detalles" de encriptacion, le damos al botón de Añadir. Aparecerá una caja de dialogo con los usuarios.

4) Seleccionamos a los usuarios a los que queremos permitir el acceso.

NOTA: Unicamente los usuarios que tengan ya un certificado EFS en nuestra maquina aparecerán en dicha caja de dialogo. La mejor manera para que un usuario de nuestra maquina cree un certificado (y por tanto, aparecer en la lista) es que el usuario haga logon en la maquina y encripte un fichero cualquiera. Los usuarios de red, deben exportar su propio certificado (para mas detalles, lo veremos mas adelante); posteriormente debemos importar dicho certificado en nuestra maquina.


USO DEL COMANDO CIPHER
-

Si preferimos unar un comando en la linea de comandos de una consola, tenemos el comando chiper como alternativa a la caja de dialogo de Atributos Avanzados que hemos visto anteriormente y que nos permite, encriptar y desencriptar carpetas y archivos.

Si ejecutamos CIPHER sin parametros, veremos el estado de la encriptacion de la carpeta en donde nos encontremos y sus archivos.

Para encriptar o desencriptar ficheros debemos incluir el path y los parametros. Podemos usar el parametro /E para encriptar archivos o carpetas, o /D para desencriptarlo. Por ejemplo, para encriptar la carpeta Mis Documentos y todas sus subcarpetas:

cipher /e /a /s:"%userprofile%\mis documentos"

En la especificacion de los nombres de ficheros, podemos usar comodines. Igualmente podemos especificar multiples carpetas o ficheros en una sola invocacion desde la linea de comandos, separandoles simplemente por un espacio.

Los parametros mas ahbituales los descirbimos a continuacion. Para ver una lista detallada de parametros, ejecutar cipher /? en la linea de comandos.

/E Encripta las carpetas que hayamos especificado.

/D Desencripta las carpetas especificadas.

/S:carpeta Realiza la operacion en un carpeta y en sus sibcarpetas (pero no en los ficheros).

/A Realiza la operacion en los ficheros especificados o bien en los ficheros de una determinada carpeta.

/K Crea una nueva clave de encriptacion. Si usamos esta opcion, todas las demas opciones posibles de la linea de comandos serán ignoradas.

/R Genera una clave de agente de recuperacion y el certificado. La clave y el certificado son puestos en un archivo .pfx y el certificado solo, en un archivo .cer



CREANDO UN AGENTE DE RECUPERACION


Un agente de recuperacion es otro usuario, normalmente un Administrador, que puede usar nuestros archivos encriptados. Esto permite la recuperacion de nuestro fichero encriptados si algo pasase con nuestra clave privada.

Windows XP no crea un agente de recuperacion por defecto en maquinas "standalone". Si pertenecemos a un Dominio, el Administrador del Dominio es el agente de recuperacion por defecto.

NOTA: Un agente de recuperacion puede solo recuperar archivos que han sido encriptados "despues" de que el certificado de recuperacion haya sido creado y se haya designado el agente de recuperacion tal y como describiremos posteriormente. El agente no tendrá acceso por tanto a ficheros encriptados anteriormente. Esto es debido, a que cuando un fichero se encripta, EFS usa la clave publica de la cuenta que está encriptando el fichero y cada una de las de los agentes designados de recuperacion. Por tanto, solo los agentes de recuperacion cuyos certificados esten instalados en el momento de la encriptacion pueden desencriptar el fichero.

Para crear un agente de recuperacion de datos debemos crear un certificado de recuperacion de datos y designar a un usuario para que sea agente de recuperacion.


GENERANDO UN CERTIFICADO DE AGENTE DE RECUPERACION

Para generar un certificado de agente de recuperacion, debemos seguir los siguientes pasos:

1) Conectarnos como Administrador.
2) En una consola de comandos (cmd.exe) ejecutar: cipher /r:nombrefichero
3) CUando nos pregunte, teclear una password que será usada para proteger los archivos que creemos.

Esto genera ambos: un fichero .pfx y un fichero .cer con el nombre de fichero que hemos especificado anteriormente.

NOTA: Estos ficheros permiten que cualquiera sea un agente de recuperacion. Por tanto, debemos asegurarnos de copiarlos a un disquete y colocarlo en un lugar seguro. Posteriormente debemos borrarlos de nuestro disco duro.


DESIGNADO AGENTES DE RECUPERACION DE DATOS


Podemos designar a cualquier usuario como un agente de recuperacion de datos. Se recomienda que sea una cuenta de un Administrador.

NOTA: No debemos designar a nuestra propia cuenta como agente de recuperacion, ya que si nuestro perfil se daña, y no hay mas agentes de recuperacion, habremos perdido irremediablemente los datos.

Para designar un agente de recuperacion:

1) Conectarnos con la cuenta del usuario que queremos designar como agente de recuperacion.
2) En certificados (ejecutando: certmgr.msc) ir a certificados, Usuario Actual\Personal.
3) En el menú Accion, todas las tareas, importar, lanzará el asistente de recuperacion. Pulsar siguiente y aparecerá una pagina para importar el archivo.
4) Entramos el path y el nombre del fichero del certificado de encriptacion (el fichero .pfx).
5) Entrar la password para este certificado (la tecleada anteriormente cuando ejecutamos el comando cipher) y seleccionamos "marcar esta clave como exportable". Pulsamos siguiente.
6) Seleccionamos: automaticamente seleccionar el certificado basado en el tipo de certificado y pulsamos siguiente. A continuacion pulsamos finalizar.
7) En Local Security Settings (ejecutando: secpol.msc) vamos a Security Settings\Public Key Policies\Encrypting File System
8) Menu Accion, añadir un agente de recuperacion. Pulsamos siguiente.
9) En la pagina de seleccionar agente de recuperacion, pulsamos el boton de ver y navegamos a la carpeta que contiene el .cer que hemos creado. Seleccionamos el fichero y le damos "abrir". Ahora nos mostrará el nuevo agente como USER_UNKNOWN. Esto es normal debido a que el nombre no está alamacenado en el fichero.
10) Tecleamos siguiente y finalizamos.


REMOVIENDO LA CLAVE PRIVADA



Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"cesar" wrote in message news:bnb61v$v5cng$

Tengo uno de estos discos y me interesaría saber si es posible, con Windows
XP o algún programa, colocarle una contraseña para evitar el uso por
terceros.

Muchas gracias.

Muy interesante y parece ser que es exactamente lo que estaba buscando,

gracias otra vez,


Cesar.





In news:%,
JM Tella Llop [MS MVP] · typed:

Puedes encriptar todo el contenido del disco.
Leete estos articulos que te dejo debaja y que estoy publicando estos
dias no está completo del todo pero por ahora te sirve...

-