EFS windows 2003

¿Chequear el estado de EFS? no comprendo bien lo que quieres, pero fíjate
el comando CIPHER.EXE que te puede ser útil.

Para evitar el cifrado, de ahora en más, por GPO: Configuración del
Equipo, Configuración de Windows, Configuración de Seguridad, Directivas
de claves públicas, y botón derecho sobre Sistema de Archivos de Cifrado
(qué mal traducido :-()

Tampoco se puede poner "la máxima seguridad" a todo, ***la seguridad
cuesta*** en soporte, capacitación, rendimiento, recursos, etc. Finalmente
cuesta mucho dinero :-)
Es toda la seguridad necesaria, no toda la posible

En Buenos Aires también soleado con 19ºC, muy agradable :-)


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Alberto" wrote in message
news:

Gracias Guillermo

¿Conoces alguna guía donde pueda chequear el estado de EFS dentro de mi
dominio? Necesito encontrar una solución al agente de recuperación o
quitar el cifrado.

Gran respuesta, seuiré tu consejo sobre la contraseña, del agente de
reucperación.

Ufff!! hay tantas cosas que se podrían implementar en seguridad que
ponerlas todas a la vez,sería la situación ideal, pero por lo general
pocas veces alcanzamos esa situación ideal.

Por cierto saludos desde ESPAÑA (madrid) un día soleado

un abrazo...


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

Es uno sólo por diseño de seguridad, si existieran varios agentes de
recuperación la responsabilidad queda diluida
¿Quién de los tres fue? ;-)

Inclusive una medida correcta de seguridad es que un administrador no
debería ser agente de recuperación.
Para no darle privilegios tan absolutos.

Sin darte cuenta estás apuntando a una solución muy comúnmente usada.
La cuenta del agente de recuperación tiene una contraseña compleja de de
gran longitud: los primeros caracteres los pone Admin1, los siguientes
Admin2 y los finales Admin3.
Por lo tanto si no se juntan todos no se puede descifrar información
confidencial


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no
rights. You assume all risk for your use.
_____________________


"Alberto" wrote in message
news:

Efectivamente, estoy deacuerdo contigo,

Por eso he configurado mi dominio como entidad emisora de
certifiicados, y cuando un usuario inicia sesión en el dominio e
intenta cifrar un dominio, se genera un certificado en dicha entidad
que permite al usuario cifrar sus carpetas y acceder a ellas desde
cualquier maquina.

Eso, mi dominio lo hace bien, pero a la hora de descifrar con los
agentes, solo el agente "administrador del dominio" y el usuario que ha
cifrado, puede descifrar los datos desde cualquier maquina en la que se
loguen dentro del dominio y me gustaria que hubiese dos usuarios
"administradores" que pudiesen descifrar además del usuario
administrador del dominio.

Esta es la parte que no comprendo porqué no lo hace, si los
certificados existen y está registrados correctamente en la entidad
emisora de certificados

La verdad es que no se donde recurrir, estoy pensando en quitar el
cifrado, ... ¿Hay algún documento para quitar la política de cifrado o
dejarla vacía?





"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

Alberto, el cifrado de archivos está pensado para otro uso.
Fundamentalmente para proveer seguridad en máquinas que no tienen
seguridad física (portables por ejemplo).
Trabajarlo en red, sobre una carpeta compartida, casi carece de
utilidad, pues al estar implementado a nivel File System, por más
cifrado que esté en el compartido, en el cable que es uno de los
puntos más débiles, se transmite sin ningun tipo de protección..

Específicamente por el tema que comentas, es necesario disponer de una
estructura bien configurada de clave pública (PKI) con certificados
específicos para cifrar y para agente de recuperación (que debe ser
SOLO uno).
Si no tienes esta estructura centralizada, en cada equipo donde se
cifra se genera localmente un par de claves pública/privada que es
independiente de las demás. Por lo tanto los archivos cifrados en un
equipo sólo se pueden recuperar en dicho equipo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no
rights. You assume all risk for your use.
_____________________


"Alberto" wrote in message
news:

Buenas, gracias de antemano por su ayuda.

Tengo una duda sobre EFS y los agentes de recuperación.

Tengo un dominio Windows 2003 con dos DC y el dominio funciona
genial. Decidí seguir los pasos del documento:
http://www.microsoft.com/spain/tech...s/efs.mspx
para implementar la directiva de EFS y poder recuperar archivos
cifrados.

Y he configurado la directiva Domain Policy, backup de certificados,
etc etc, y todo bien, sin errores, dispongo de 3 administradores del
dominio, que son agentes de recuperación de archivos cifrados, sin
embargo cuando un usuario del dominio cifra los datos en una unidad
de red, solo con el usuario "administrador" puedo descifrarlos,

Cuando intento descifrar cualquier carpeta con cualquiera de los
otros dos administradores/agentes de recuperación, no puedo hacerlo,
me dice acceso denegado, e intentado agregar los usuarios agentes
como usuarios que pueden ver el archivo, me aparece un error "No hay
certificados apropiados que correspondan al usuario seleccionado" y
ambos usuarios aparecen en la directiva y los certificados existen en
la entidad emisora, como agentes de recuperación y como certificados
de efs básicos.

Los tres administradores tienen permisos total sobre todas las
carpetas.

¿Que hago mal? segui el documento paso por paso y esta todo ok, el
visor de sucesos de los dos DC no dice nada al respecto.


¿Podeis ayudarme?

Muchas gracias...

Hola de nuevo Guillermo,

Me refería ha chequear, el estado de la configuración efs , por ejemplo yo
he chequeado todos los pasos del documento
http://www.microsoft.com/spain/tech...s/efs.mspx y no
encontré ningún error, me refería ha si existe algún otro documento o
herramienta que permita revisar todos los puntos que son necesario
implementar para EFS en un dominio

Gracias por todo

Saludos

"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

¿Chequear el estado de EFS? no comprendo bien lo que quieres, pero fíjate
el comando CIPHER.EXE que te puede ser útil.

Para evitar el cifrado, de ahora en más, por GPO: Configuración del
Equipo, Configuración de Windows, Configuración de Seguridad, Directivas
de claves públicas, y botón derecho sobre Sistema de Archivos de Cifrado
(qué mal traducido :-()

Tampoco se puede poner "la máxima seguridad" a todo, ***la seguridad
cuesta*** en soporte, capacitación, rendimiento, recursos, etc.
Finalmente cuesta mucho dinero :-)
Es toda la seguridad necesaria, no toda la posible

En Buenos Aires también soleado con 19ºC, muy agradable :-)


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Alberto" wrote in message
news:

Gracias Guillermo

¿Conoces alguna guía donde pueda chequear el estado de EFS dentro de mi
dominio? Necesito encontrar una solución al agente de recuperación o
quitar el cifrado.

Gran respuesta, seuiré tu consejo sobre la contraseña, del agente de
reucperación.

Ufff!! hay tantas cosas que se podrían implementar en seguridad que
ponerlas todas a la vez,sería la situación ideal, pero por lo
general pocas veces alcanzamos esa situación ideal.

Por cierto saludos desde ESPAÑA (madrid) un día soleado

un abrazo...


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

Es uno sólo por diseño de seguridad, si existieran varios agentes de
recuperación la responsabilidad queda diluida
¿Quién de los tres fue? ;-)

Inclusive una medida correcta de seguridad es que un administrador no
debería ser agente de recuperación.
Para no darle privilegios tan absolutos.

Sin darte cuenta estás apuntando a una solución muy comúnmente usada.
La cuenta del agente de recuperación tiene una contraseña compleja de
de gran longitud: los primeros caracteres los pone Admin1, los
siguientes Admin2 y los finales Admin3.
Por lo tanto si no se juntan todos no se puede descifrar información
confidencial


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no
rights. You assume all risk for your use.
_____________________


"Alberto" wrote in message
news:

Efectivamente, estoy deacuerdo contigo,

Por eso he configurado mi dominio como entidad emisora de
certifiicados, y cuando un usuario inicia sesión en el dominio e
intenta cifrar un dominio, se genera un certificado en dicha entidad
que permite al usuario cifrar sus carpetas y acceder a ellas desde
cualquier maquina.

Eso, mi dominio lo hace bien, pero a la hora de descifrar con los
agentes, solo el agente "administrador del dominio" y el usuario que
ha cifrado, puede descifrar los datos desde cualquier maquina en la
que se loguen dentro del dominio y me gustaria que hubiese dos
usuarios "administradores" que pudiesen descifrar además del usuario
administrador del dominio.

Esta es la parte que no comprendo porqué no lo hace, si los
certificados existen y está registrados correctamente en la entidad
emisora de certificados

La verdad es que no se donde recurrir, estoy pensando en quitar el
cifrado, ... ¿Hay algún documento para quitar la política de cifrado o
dejarla vacía?





"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

Alberto, el cifrado de archivos está pensado para otro uso.
Fundamentalmente para proveer seguridad en máquinas que no tienen
seguridad física (portables por ejemplo).
Trabajarlo en red, sobre una carpeta compartida, casi carece de
utilidad, pues al estar implementado a nivel File System, por más
cifrado que esté en el compartido, en el cable que es uno de los
puntos más débiles, se transmite sin ningun tipo de protección..

Específicamente por el tema que comentas, es necesario disponer de
una estructura bien configurada de clave pública (PKI) con
certificados específicos para cifrar y para agente de recuperación
(que debe ser SOLO uno).
Si no tienes esta estructura centralizada, en cada equipo donde se
cifra se genera localmente un par de claves pública/privada que es
independiente de las demás. Por lo tanto los archivos cifrados en un
equipo sólo se pueden recuperar en dicho equipo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no
rights. You assume all risk for your use.
_____________________


"Alberto" wrote in message
news:

Buenas, gracias de antemano por su ayuda.

Tengo una duda sobre EFS y los agentes de recuperación.

Tengo un dominio Windows 2003 con dos DC y el dominio funciona
genial. Decidí seguir los pasos del documento:
http://www.microsoft.com/spain/tech...s/efs.mspx
para implementar la directiva de EFS y poder recuperar archivos
cifrados.

Y he configurado la directiva Domain Policy, backup de certificados,
etc etc, y todo bien, sin errores, dispongo de 3 administradores del
dominio, que son agentes de recuperación de archivos cifrados, sin
embargo cuando un usuario del dominio cifra los datos en una unidad
de red, solo con el usuario "administrador" puedo descifrarlos,

Cuando intento descifrar cualquier carpeta con cualquiera de los
otros dos administradores/agentes de recuperación, no puedo hacerlo,
me dice acceso denegado, e intentado agregar los usuarios agentes
como usuarios que pueden ver el archivo, me aparece un error "No hay
certificados apropiados que correspondan al usuario seleccionado" y
ambos usuarios aparecen en la directiva y los certificados existen
en la entidad emisora, como agentes de recuperación y como
certificados de efs básicos.

Los tres administradores tienen permisos total sobre todas las
carpetas.

¿Que hago mal? segui el documento paso por paso y esta todo ok, el
visor de sucesos de los dos DC no dice nada al respecto.


¿Podeis ayudarme?

Muchas gracias...

Mucho para leer :-)
Aunque lo que conozco está en inglés

The Encrypting File System:
http://technet.microsoft.com/en-us/...00811.aspx

Encrypting File System:
http://www.microsoft.com/technet/pr..._xhkd.mspx



Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Alberto" wrote in message
news:

Hola de nuevo Guillermo,

Me refería ha chequear, el estado de la configuración efs , por ejemplo
yo he chequeado todos los pasos del documento
http://www.microsoft.com/spain/tech...s/efs.mspx y no
encontré ningún error, me refería ha si existe algún otro documento o
herramienta que permita revisar todos los puntos que son necesario
implementar para EFS en un dominio

Gracias por todo

Saludos

"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

¿Chequear el estado de EFS? no comprendo bien lo que quieres, pero
fíjate el comando CIPHER.EXE que te puede ser útil.

Para evitar el cifrado, de ahora en más, por GPO: Configuración del
Equipo, Configuración de Windows, Configuración de Seguridad, Directivas
de claves públicas, y botón derecho sobre Sistema de Archivos de Cifrado
(qué mal traducido :-()

Tampoco se puede poner "la máxima seguridad" a todo, ***la seguridad
cuesta*** en soporte, capacitación, rendimiento, recursos, etc.
Finalmente cuesta mucho dinero :-)
Es toda la seguridad necesaria, no toda la posible

En Buenos Aires también soleado con 19ºC, muy agradable :-)


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no
rights. You assume all risk for your use.
_____________________


"Alberto" wrote in message
news:

Gracias Guillermo

¿Conoces alguna guía donde pueda chequear el estado de EFS dentro de mi
dominio? Necesito encontrar una solución al agente de recuperación o
quitar el cifrado.

Gran respuesta, seuiré tu consejo sobre la contraseña, del agente de
reucperación.

Ufff!! hay tantas cosas que se podrían implementar en seguridad que
ponerlas todas a la vez,sería la situación ideal, pero por lo
general pocas veces alcanzamos esa situación ideal.

Por cierto saludos desde ESPAÑA (madrid) un día soleado

un abrazo...


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

Es uno sólo por diseño de seguridad, si existieran varios agentes de
recuperación la responsabilidad queda diluida
¿Quién de los tres fue? ;-)

Inclusive una medida correcta de seguridad es que un administrador no
debería ser agente de recuperación.
Para no darle privilegios tan absolutos.

Sin darte cuenta estás apuntando a una solución muy comúnmente usada.
La cuenta del agente de recuperación tiene una contraseña compleja de
de gran longitud: los primeros caracteres los pone Admin1, los
siguientes Admin2 y los finales Admin3.
Por lo tanto si no se juntan todos no se puede descifrar información
confidencial


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no
rights. You assume all risk for your use.
_____________________


"Alberto" wrote in message
news:

Efectivamente, estoy deacuerdo contigo,

Por eso he configurado mi dominio como entidad emisora de
certifiicados, y cuando un usuario inicia sesión en el dominio e
intenta cifrar un dominio, se genera un certificado en dicha entidad
que permite al usuario cifrar sus carpetas y acceder a ellas desde
cualquier maquina.

Eso, mi dominio lo hace bien, pero a la hora de descifrar con los
agentes, solo el agente "administrador del dominio" y el usuario que
ha cifrado, puede descifrar los datos desde cualquier maquina en la
que se loguen dentro del dominio y me gustaria que hubiese dos
usuarios "administradores" que pudiesen descifrar además del usuario
administrador del dominio.

Esta es la parte que no comprendo porqué no lo hace, si los
certificados existen y está registrados correctamente en la entidad
emisora de certificados

La verdad es que no se donde recurrir, estoy pensando en quitar el
cifrado, ... ¿Hay algún documento para quitar la política de cifrado
o dejarla vacía?





"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

Alberto, el cifrado de archivos está pensado para otro uso.
Fundamentalmente para proveer seguridad en máquinas que no tienen
seguridad física (portables por ejemplo).
Trabajarlo en red, sobre una carpeta compartida, casi carece de
utilidad, pues al estar implementado a nivel File System, por más
cifrado que esté en el compartido, en el cable que es uno de los
puntos más débiles, se transmite sin ningun tipo de protección..

Específicamente por el tema que comentas, es necesario disponer de
una estructura bien configurada de clave pública (PKI) con
certificados específicos para cifrar y para agente de recuperación
(que debe ser SOLO uno).
Si no tienes esta estructura centralizada, en cada equipo donde se
cifra se genera localmente un par de claves pública/privada que es
independiente de las demás. Por lo tanto los archivos cifrados en un
equipo sólo se pueden recuperar en dicho equipo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no
rights. You assume all risk for your use.
_____________________


"Alberto" wrote in message
news:

Buenas, gracias de antemano por su ayuda.

Tengo una duda sobre EFS y los agentes de recuperación.

Tengo un dominio Windows 2003 con dos DC y el dominio funciona
genial. Decidí seguir los pasos del documento:
http://www.microsoft.com/spain/tech...s/efs.mspx
para implementar la directiva de EFS y poder recuperar archivos
cifrados.

Y he configurado la directiva Domain Policy, backup de
certificados, etc etc, y todo bien, sin errores, dispongo de 3
administradores del dominio, que son agentes de recuperación de
archivos cifrados, sin embargo cuando un usuario del dominio cifra
los datos en una unidad de red, solo con el usuario "administrador"
puedo descifrarlos,

Cuando intento descifrar cualquier carpeta con cualquiera de los
otros dos administradores/agentes de recuperación, no puedo
hacerlo, me dice acceso denegado, e intentado agregar los usuarios
agentes como usuarios que pueden ver el archivo, me aparece un
error "No hay certificados apropiados que correspondan al usuario
seleccionado" y ambos usuarios aparecen en la directiva y los
certificados existen en la entidad emisora, como agentes de
recuperación y como certificados de efs básicos.

Los tres administradores tienen permisos total sobre todas las
carpetas.

¿Que hago mal? segui el documento paso por paso y esta todo ok, el
visor de sucesos de los dos DC no dice nada al respecto.


¿Podeis ayudarme?

Muchas gracias...