Desde Windows 2000, el sistema operativo dispone de cifrado de archivos para soportes de datos NTFS: el Sistema de Archivos Cifrados, o EFS para abreviar. Esta función sigue sin utilizarse en gran medida. Y si se utiliza, la frustración es grande cuando ya no se puede acceder a los datos cifrados después de una nueva instalación. Este artículo proporciona una visión general de EFS y cómo utilizar la función.
Índice de contenidos
EFS ¿para quién y para qué?
Con Windows 2000, Microsoft introdujo una nueva función para los soportes de datos NTFS, que Microsoft denomina Sistema de archivos cifrados (Encrypted File System, EFS para abreviar). Con esta función, los archivos se cifran bajo demanda y sólo pueden ser leídos por el propietario y otros usuarios autorizados.
Sin embargo, el nombre EFS es algo engañoso. No es un sistema de archivos propio, sino una extensión del sistema de archivos NTFS. Por tanto, EFS no funciona en soportes de datos FAT.
EFS puede cifrar archivos individuales o carpetas enteras. Sólo se cifra el contenido de los archivos. Los archivos en sí siguen estando presentes y visibles en el sistema como cualquier otro archivo y no se ocultan. Por lo tanto, si el nombre del archivo ya debe clasificarse como información sensible, el archivo debe ocultarse o renombrarse por otros medios.
EFS trabaja para el usuario en segundo plano y sin su intervención. Si se establece el cifrado para un archivo o carpeta y luego se accede a los archivos cifrados, éstos se abren descifrados y se vuelven a cifrar al guardarlos sin más intervención del usuario. Si se guarda un nuevo archivo en una carpeta que está configurada como cifrada, el nuevo archivo se cifra automáticamente.
Algunos lectores se preguntarán seguramente qué sentido tiene el cifrado en este caso si el archivo se descifra automáticamente sin intervención del usuario. La solución es muy sencilla: sólo la cuenta de usuario del propietario puede descifrar el archivo.
Para ello, el EFS utiliza el cifrado asimétrico, ya conocido por PGP. El archivo se cifra con la clave pública del usuario. El archivo puede descifrarse de nuevo con la clave privada. El sistema operativo crea ambas claves individualmente para el usuario en un certificado.
Si un usuario accede al archivo sin la clave privada adecuada, lo que la configuración de seguridad del volumen NTFS puede incluso permitirle, sigue sin poder descifrarlo. El usuario o su aplicación sólo ven un caos de datos.
La fuerza de la clave es de 128 bits. Desde Windows XP SP1, EFS utiliza el Advanced Encryption Standard (AES) como algoritmo y sustituye al método DESX introducido con Windows 2000 y XP (sin SP).
¿Para quién es EFS?
EFS sólo es adecuado para archivos almacenados en soportes de datos NTFS. Windows XP Home no ofrece EFS. En este caso, tendrá que recurrir a herramientas de terceros.
Si un sistema es utilizado por varios usuarios, los archivos sensibles pueden cifrarse a nivel de usuario. Aunque todos los usuarios tuvieran acceso al archivo, no podrían descifrar su contenido debido a la falta de claves.
Los propietarios de portátiles pueden cifrar todo el contenido de sus datos. Así, los ladrones no tienen forma de acceder a los datos porque falta la clave del usuario. Incluso si el ladrón intentara asignar una nueva contraseña al administrador a través de una herramienta de terceros y, por tanto, establecer las contraseñas del resto de usuarios con un nuevo valor, esto no anularía el cifrado (véase el punto Seguridad de las claves).
Si montas un soporte de datos NTFS con otros sistemas o herramientas que se saltan la configuración de seguridad NTFS, seguirás sin poder ver o editar los archivos cifrados porque faltan las claves correspondientes.
Ni siquiera un administrador puede hacer nada con los datos.
Lo que EFS no puede hacer
- EFS sólo cifra el contenido de los archivos. Sin embargo, el nombre de un archivo ya puede decirnos algo sobre su contenido. Si además quieres ocultarlo, tienes que ayudarte de otras herramientas, que presentaremos en un artículo posterior. Los archivos de la imagen están todos cifrados (nombres de archivo en verde). Sin embargo, sólo el nombre ya puede despertar el interés y la imaginación del resto del personal.
Archivos cifrados - EFS no cifra los archivos temporales que los programas de aplicación pueden crear en otros lugares. Debes cifrar estas carpetas adicionalmente para conseguir la mayor seguridad posible.
- EFS no funciona en soportes de datos FAT, como memorias USB y otros medios de almacenamiento móviles. También en estos casos es mejor utilizar otras herramientas.
- Los expertos consideran que el EFS de Windows 2000 es inseguro debido a un error de diseño. Existen programas en Internet con los que se pueden extraer claves EFS de un sistema Windows 2000 y acceder así a los archivos cifrados.
- EFS no es adecuado para intercambiar archivos cifrados entre usuarios. En principio, es posible autorizar a otros usuarios del sistema con el propio certificado a acceder a los archivos, pero todo esto es muy engorroso. Además, el destinatario con el certificado podría leer todos los archivos del usuario. Para el simple intercambio de archivos cifrados, hay soluciones mejores que utilizan, por ejemplo, el cifrado simétrico (la misma contraseña para cifrar y descifrar).
En el artículo de seguimiento Cifrado de archivos – Posibilidades y programas, presentamos programas y posibilidades para sortear las limitaciones de EFS.
EFS cuesta rendimiento
En este punto nos gustaría señalar que el uso de EFS cuesta rendimiento en general. Dependiendo del equipamiento del ordenador, el rendimiento de escritura y lectura del sistema puede bajar hasta un 50 % con archivos cifrados. Mientras sólo se procesen archivos de Office, etc., el descifrado y el cifrado apenas se notan. Sin embargo, con archivos más grandes, como los que se producen en la edición de vídeo, EFS es un gran obstáculo. Lo ideal es cifrar sólo los archivos que realmente necesiten una mayor protección.
EFS en la práctica
El manejo de la función EFS es muy sencillo. Puede mostrar el cuadro de diálogo«Atributos extendidos» a través del menú contextual -> Propiedades ->Extendido.
Diálogo de cifrado |
Aquí puede activar el cifrado para el objeto.
Si selecciona un archivo en una carpeta no cifrada y activa el cifrado aquí, el sistema emite un mensaje de advertencia y ofrece la opción de cifrar la carpeta y el archivo.
Diálogo de encriptación para la carpeta |
Los archivos que se crean en una carpeta cifrada o se copian en ella son cifrados automáticamente por el sistema. Si desea volver a descifrar los archivos, sólo tiene que desmarcar la casilla de verificación en los atributos ampliados.
Si un usuario accede a un fichero cifrado para el que tiene los derechos necesarios pero no el fichero de claves adecuado, sólo recibe un mensaje de error:
Archivo cifrado no legible por usuarios ajenos |
También es posible cifrar y descifrar archivos a través de la línea de comandos. Esto es posiblemente adecuado para comandos por lotes, etc.
cipher /e /s: «C:\Documents and Settings\Michael\Documents\secret»
por ejemplo, cifra todos los archivos de la carpeta «secret». El comando para descifrar es cipher /d. La referencia completa del comando puede visualizarse mediante cipher /?
Color para EFS
Para que los archivos cifrados sean reconocibles como tales, debe activar la opción correspondiente en el Explorador, en Herramientas -> Opciones de carpeta -> Ver:
Hacer reconocibles los archivos cifrados |
El valor por defecto del color «verde» se puede cambiar a través del registro en HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrent\Version\Explorer por un nuevo valor binario llamado AltEncryptionColor. Como valor, introduzca el color deseado directamente como hexadecimal, el cuarto dígito debe ser siempre 00.
El color se puede ajustar fácilmente a través de TweakUi.
Ajustando el color via TweakUI |
EFS en el menú contextual
También puedes mostrar entradas para el cifrado y descifrado de archivos y carpetas en el menú contextual con una intervención en el registro.
Para ello, navegue con Regedit hasta HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrent\Version\Explorer\Advanced (cree sub-rutas si es necesario) y cree aquí una nueva entrada DWORD con el nombre EncryptionContextMenu y el valor 1. Después de reiniciar encontrará Cifrado y Descifrado en el menú contextual. El consejo también está disponible en el archivo de consejos de WinTotal.
Copia de seguridad de claves
Copia de seguridad inmediata de las teclas
En cuanto empiece a utilizar la función EFS, haga inmediatamente una copia de seguridad de su clave (certificado) en un medio de almacenamiento seguro.
Si el sistema se daña y deja de arrancar, es posible que ya no pueda acceder a sus datos. Aunque reinicie Windows y cree el mismo usuario (nombre y contraseña), los certificados seguirán sin poder descifrarse.
Si el administrador cambia la contraseña del usuario, tampoco podrás acceder a los archivos cifrados. Si, por el contrario, el propio usuario cambia su contraseña, no hay peligro. El sistema desencripta con la contraseña antigua y luego guarda los archivos con la contraseña nueva.
Si utiliza un software de imágenes como Acronis True Image, tenga en cuenta que las claves EFS sólo se incluyen en la imagen si el usuario ya utilizaba esta función. Por lo tanto, para estar seguro, debería hacer una copia de seguridad de las claves de forma independiente.
Copia de seguridad de claves en detalle
Para asegurarte de que puedes seguir accediendo a tus datos en caso de que la cuenta o el sistema se dañen y haya que reiniciarlos, deberías hacer una copia de seguridad de las claves.
Consulta también nuestro consejo sobre exportación e importación de claves EFS.
Puedes hacer una copia de seguridad de la clave de 2 maneras.
a.) Variante a través de Internet Explorer
En Internet Explorer, vaya a las opciones de Internet y aquí a la pestaña Contenido y al botón Certificados.
Botón Certificados en Internet Explorer |
Sus propios certificados aparecen en el siguiente cuadro de diálogo.
Exportar los certificados |
Haga clic en el botón Exportar para iniciar el asistente de exportación de certificados:
Asistente de exportación de certificados |
Aquí se selecciona Exportar clave privada y, a continuación, se asigna una contraseña de exportación y la ruta de almacenamiento del certificado. Sin la clave privada ya no podrá descifrar los archivos.
Exportar clave privada |
A continuación, el asistente guarda el archivo de clave PFX en la ubicación especificada.
Guarde este archivo en un lugar seguro y, a continuación, elimínelo del sistema.
b.) Variante a través de la Consola de administración de Microsoft
En lugar de utilizar Internet Explorer, también puede utilizar la Consola de administración de Microsoft para iniciar el Asistente para exportación de certificados. Para ello, introduzca certmgr.msc en Inicio -> Ejecutar.
Encontrará el certificado en Mis certificados. Puede iniciar el Asistente de exportación de certificados a través de Acción -> Todas las tareas. Para el resto, se aplica lo anterior.
certmgr.msc |
Importar la clave de nuevo
Con la clave asegurada en el archivo PFX, podrás acceder a los archivos que hayas cifrado aunque reinstales el sistema o cambies el nombre de usuario.
En el siguiente ejemplo, ahora nos llamamos «Erich» y queremos acceder a nuestros archivos que estaban encriptados bajo «Michael».
Para ello, «Erich» sólo necesita el archivo PFX y la contraseña de exportación, que se solicita al hacer doble clic en el archivo. Esto inicia el asistente de importación de certificados.
Importar certificados |
En el siguiente cuadro de diálogo debe introducir la contraseña de exportación. Las demás opciones se explican por sí mismas.
Introducir la contraseña de exportación |
Seleccione Certificados propios como destino del certificado.
Certificados propios como destino |
En cuanto se haya importado el certificado, tendrá acceso a los archivos cifrados del usuario del que procede el certificado. Si el «importador» es la nueva cuenta, lo mejor es desencriptar primero todos los archivos y luego volver a activar la encriptación. De este modo, se utilizará el certificado principal del usuario.
Ten en cuenta que cualquier usuario al que le des tu clave privada también podrá utilizarla automáticamente para ver tus archivos cifrados.
Acceso general para el administrador – el Recovery Agent
Además de la copia de seguridad de la clave para cada usuario, también puedes configurar un agente de recuperación de datos (Recovery Agent). Se trata de una cuenta especialmente autorizada que puede descifrar los archivos cifrados de los usuarios en caso de emergencia. Sin embargo, esto sólo es posible mientras Windows siga funcionando. Por tanto, el agente de recuperación no sustituye a una copia de seguridad del certificado.
Con Windows 2000, el administrador es automáticamente el agente de recuperación. Con Windows XP ss. éste debe crearse primero manualmente.
La forma más sencilla de hacerlo es utilizar el comando cipher /r filename. «filename» es el nombre antes del sufijo de los dos archivos que chiper crea automáticamente.
cipher /r:nombrearchivo |
Después de asignar las contraseñas, cipher guarda un archivo PFX (archivo de clave privada) y un archivo CER (archivo de certificado público). Guarde ambos archivos en un lugar seguro.
Para configurar ahora una cuenta como agente de recuperación de datos, inicia sesión con la cuenta correspondiente. A continuación, inicia la administración de las políticas de seguridad locales a través de secpol.msc.
Agente de recuperación de datos |
En «Políticas de clave pública» -> «El sistema de archivos está cifrado», inicie el diálogo para añadir el agente de recuperación de datos a través del menú contextual.
Agente de recuperación de datos |
Seleccione ahora el archivo CER creado previamente con cipher/r.
Agente de recuperación de datos – Selección del usuario |
Una vez finalizado el asistente, el usuario seleccionado es Data Recovery Agent.
Agente de Recuperación de Datos |
A partir de ese momento, un nuevo archivo siempre se cifra dos veces: primero con la clave pública del usuario ejecutor y después con la clave pública del agente de recuperación. De este modo, dispone de una clave duplicada para cada archivo.
Agente de recuperación en uso
Si en algún momento es necesario utilizar el Agente de Recuperación, por ejemplo, porque se ha eliminado una cuenta de usuario pero los ficheros siguen cifrados, proceda del siguiente modo:
- Inicie sesión con la cuenta del Agente de Recuperación.
- Importe la clave privada del agente a través del fichero PFX creado con cipher/r haciendo doble clic.
A continuación, podrá descifrar los archivos cifrados de los demás usuarios.
Desactivar EFS completamente
Como tantas otras cosas, EFS también se puede desactivar completamente a través del registro:
En HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Efs se crea un nuevo valor DWORD con el nombre EfsConfiguration y el valor 1. Esto desactiva EFS localmente. Esto desactiva EFS localmente. Vaya al consejo «Desactivar EFS».
Sin embargo, también puede desactivar EFS para determinados directorios. Para ello, coloque un archivo con el nombre DESKTOP.INI en la carpeta y añada
[Cifrado]
Disable=1
como contenido.
Conclusión
El EFS es una medida de seguridad ideal para proteger los archivos propios de ojos extraños. Ni siquiera un administrador puede ver los archivos. Las desventajas y limitaciones del EFS se explicaron en el artículo. En cualquier caso, el usuario debería exportar su certificado para poder importarlo de nuevo en caso de emergencia. Los archivos cifrados para los que ya no se dispone de certificado se pierden irremediablemente.
Otros enlaces web
Microsoft:
Sistema de cifrado de archivos
KB329741: Los archivos del Sistema de cifrado de archivos (EFS) aparecen dañados al abrirlos
Uso del Sistema de cifrado de archivos (EFS) en Windows Server 2003