Seguridad MVP - Artículo del Mes – Diciembre de 2006
Recuperación de Datos y Sistema de Encriptación de Archivos
Por Alun Jones, MVP de Microsoft Security
Consultar otros Artículos sobre Seguridad MVP en las columnas del Mes.
Así que finalmente lo hizo. Marcó la casilla correspondiente para activar el Sistema de Encriptación de Archivos –o Encrypting File System (EFS)– en ese archivo que contiene información corporativa confidencial. A lo mejor se trata de números de cuentas bancarias de sus clientes, de información médica, o del plan súper secreto que su compañía elaboró para dominar el mercado. Cualquiera sea el contenido de este archivo, usted y su empresa decidieron protegerlo.
Pero ahora la duda lo carcome: ¿qué garantía tiene de que podrá abrir nuevamente el archivo? ¿Está seguro de que podrá recuperar sus datos? Quizás en este preciso momento recuerde cuando aquella vez perdió la llave de un candado y debió romperlo para poder abrirlo. ¿Ahora también le sucederá lo mismo?
Es un hecho indiscutible que en nuestra era tecnológica existe la necesidad de recuperar datos aún cuando el responsable de haberlos encriptado no pueda hacerlo. Quizás esta persona esté enferma o de viaje, o quizás renunció en malos términos y usted no puede pedirle que recupere los archivos en cuestión. O quizás usted necesita recuperar archivos en el transcurso de una investigación sobre la sospechosa conducta de un usuario, y no quiere que su meta sea evidente.
Claramente existen buenas razones para que usted quiera estar seguro de que puede recuperar datos así como también protegerlos de algún acceso indebido. Este artículo presenta un rápido panorama de lo que necesita hacer para aprovechar el EFS de la mejor manera. Usted aprenderá sobre políticas y procedimientos, sobre agentes de recuperación de datos, sobre la realización de backups y la restauración de operaciones.
Políticas y Procedimientos
Las políticas y procedimientos son tan importantes para un buen plan de recuperación de datos como las capacidades técnicas de su sistema operativo. Usted debe planificar en función de cada razón por la cual un usuario podría solicitar datos, y luego debe documentar cuáles de estas razones merecen más tiempo por parte del Service Deck. También debe documentar una política clara en función de quién puede aprobar una recuperación, cuál es la cadena de mandos en caso de que el usuario autorizado se encuentre ausente. De la misma manera, debe designar a la persona autorizada para establecer alguna excepción a esta política.
Quizás quiera contar con más de un agente de recuperación de datos –o Data Recovery Agent (DRA)– clasificado por objetivo o por unidad organizacional. Si clasifica por objetivo, puede recurrir a dos DRAs para que lleven adelante investigaciones forenses: uno que lo ayude a desencriptar archivos previos al almacenamiento offline, y otro que asista al Service Deck en la recuperación de archivos cuyos usuarios olvidaron su clave de encriptación. Si clasifica por unidad organizacional, podrá querer distintos agentes de recuperación ubicados en distintas ramas de la organización, de tal manera que los empleados de un departamento o área afectado/a puedan recuperar archivos localmente.
Una vez más, recuerde establecer procesos y políticas antes de tener que recuperar cualquier dato, así todos los involucrados sabrán reconocer una solicitud apropiada para recuperar datos, las aprobaciones necesarias para responder a dicha solicitud, y las personas designadas para ejecutar tales aprobaciones. Establezca niveles de servicio que dejen en claro qué datos deben ser recuperados primero, y cuáles pueden recuperarse aprovechando “baches” de intervalos regulares.
Asegúrese de contar con un procedimiento de recuperación de desastres bien documentado. No importa cuánto haya asegurado sus recursos físicos, ni si su empresa se inunda, se quema o desaparece de la faz de la Tierra, lo cierto es que algún miembro del equipo de recuperación tendrá que –sí o sí– restaurar datos. Un procedimiento de recuperación de desastres sólo sirve si ha sido probado –recientemente– por gente desvinculada de la mencionada documentación. Planifique al menos una evaluación anual de recuperación de desastres con datos reales; trate de ejecutar su procedimiento de recuperación. Esto supone la verificación de todo su procedimiento, incluyendo el sueldo de los miembros del equipo, los costos de la tecnología utilizada, la renta del espacio físico necesario, como parte del presupuesto operativo. Después de pasar la prueba, verifique los resultados del procedimiento, documente todo lo que no se haya recuperado correctamente y luego, de ser necesario, revise los procesos ejecutados.
Preparándose para el Éxito
Con la clave en mano
Un primer llamado de atención sobre la instancia de preparación: antes de que sus usuarios encripten un archivo, pregúntese por el origen de las correspondientes claves de encriptación. Si no actúa en este sentido, las claves de encriptación serán generadas en forma aleatoria por cada usuario que encripte un archivo por primera vez, de tal manera que cada usuario obtendrá un certificado auto-iniciado y una clave de encriptación asociada. Para muchas organizaciones esto no es lo ideal, porque estas claves y certificados se encuentran descentralizadas y son difíciles de administrar y de backupear.
Existe una solución mucho mejor que consiste en crear en su dominio una Windows Enterprise Certification Authority (WECA), y en configurar plantillas certificadas para certificados EFS, junto con una política de auto-registración. Los certificados de auto-registración admiten certificados de administración centralizada de usuarios, así como la posibilidad de archivar claves privadas, lo cual deposita toda la confianza en los agentes de recuperación de datos como único punto de recuperación.
Nota: Cada archivo protegido a través de EFS se encuentra encriptado, a partir de una clave generada en forma aleatoria y de un algoritmo de encriptación simétrico (esto supone un método de encriptación que utiliza la misma clave tanto para desencriptar como para encriptar archivos). Esta clave simétrica es entonces encriptada y almacenada una vez por cada usuario (y agente de recuperación de datos) que ha accedido al archivo, utilizando la clave pública de ese usuario. Esto significa que el sistema operativo actúa en nombre de un usuario que puede usar una clave privada para desencriptar la clave simétrica del archivo, y utilizar la misma clave simétrica para desencriptar el archivo.
Agentes de recuperación de datos
La recuperación de datos exige preparación. Afortunadamente EFS figura por default en Windows, con esa preparación incluida, ya que exige la intervención de un agente de recuperación de datos para cada archivo encriptado. Cada vez que usted encripta un archivo, Windows permite que alguna de las dos claves sirva para desencriptar el archivo nuevamente, más tarde. Una de las claves pertenece al usuario que encripta el archivo, de tal manera que el usuario pueda acceder nuevamente al archivo. La otra clave pertenece al agente de recuperación de datos y, tal como sucede con la clave del usuario, la clave y el certificado del agente de recuperación de datos pueden ser creados por medio de acciones de los administradores, o son creadas cuando se las utilice por primera vez.
Por principio, se define al agente de recuperación de datos para que sea la cuenta del administrador. En máquinas aisladas y en máquinas en red, la cuenta del administrador es la primera cuenta del administrador que controla el dominio.
En esta instancia entra en juego su propia preparación. Usted querrá estar seguro de que la clave privada para el agente de recuperación de datos no se encuentra disponible online, lo cual significa que la clave se almacena en un sistema puesto en marcha y ejecutado, conectado a su grupo de trabajo o dominio. La clave del agente de recuperación de datos debe ser trasladada offline y guardada en un disquete o DVD, para estar seguros de que será utilizada únicamente cuando un proceso de recuperación se haya activado. Usted se verá tentado de asignarle alguna otra cuenta como la predeterminada para el agente de recuperación, pero esto no soluciona el problema básico, es decir, la presencia online de una clave privada rara vez usada para una operación importante.
Exportación y eliminación de una clave privada
Exportar y eliminar una clave privada para un agente de recuperación de datos (o cualquier otro usuario) es un proceso relativamente simple. Siga los pasos enunciados a continuación:
1. | Inicie una computadora dentro de su grupo / dominio como cuenta de usuario para el agente de recuperación de datos. | ||||||||||||
2. | Abra los snap-in de los Microsoft Management Certificates Le conviene hacerlo mediante la ejecución de Certmgr.msc. También puede seguir los pasos descriptos a continuación:
| ||||||||||||
3. | En el árbol Raíz de Consola , abra Certificados – Usuario Actual, abra Personal, y luego abra la carpeta Certificados. | ||||||||||||
4. | En la lista de certificados desplegados en el panel derecho, elija el certificado que posee el nombre de usuario para el agente de recuperación de datos en las dos columnas Publicado Para e Publicado Por. Cuando estas columnas son iguales, casi siempre indican que el certificado es un “certificado auto-iniciado”. Verifique que la columna Propósitos Previstos lea “Sistema de Encriptación de Archivos”, tal como muestra la figura siguiente.  Figura 1: Exportando la clave del Sistema de Encriptación de Archivos | ||||||||||||
5. | Haga clic derecho sobre el certificado que desea exportar, señale Todas las tareas, y luego haga clic en Exportar, tal como muestra la Figura 1. Inmediatamente se abrirá el Asistente para la Exportación de Certificados. | ||||||||||||
6. | Lea el texto explicativo de la primera página del asistente, y luego haga clic en Siguiente. | ||||||||||||
7. | En la página siguiente, debajo de ¿Desea exportar la clave privada con el certificado??, elija Sí, exportar la clave privada. Esto es importante, porque la clave privada es lo que usted desea backupear y eliminar en este proceso. Haga clic en Siguiente.  Figura 2: Eligiendo exportar la clave privada | ||||||||||||
8. | En la página siguiente del asistente, elija un formato donde exportar. Si elige correctamente exportar la clave privada para el certificado, el sistema le brindará una sola opción, Intercambio de Información Personal. Este formato de archivo también es conocido como archivo .pfx o PKCS#12 . Existen tres casillas disponibles para elegir con este formato, tal como se muestra en la figura siguiente.  Figura 3: Eliminando la clave privada después de la exportación La primera casilla es irrelevante porque el certificado que usted está exportando es un certificado auto-iniciado que contiene todo el path de certificación. En cambio, tilde siempre la segunda casilla, Activar la protección fuerte, cuando exporte a un archivo .pfx. También debe tildar la tercera casilla, Borrar la clave privada si la exportación es exitosa, de tal modo que después de exportar el archivo .pfx, la clave privada para el agente de recuperación de datos sea eliminada del almacenamiento online de certificados. Esto evita que exista alguna posibilidad de desencriptación mediante el uso de la clave privada de un agente de recuperación de datos, pero no evita la encriptación con el mismo certificado. Nota: Cuando exporte la clave privada y el certificado de un usuario, no borre la clave privada después de la exportación, o el usuario no podrá leer archivos encriptados con ese certificado. Mientras un agente de recuperación de datos será raramente convocado para que desencripte, la mayoría de los usuarios podrá encriptar y desencriptar sus archivos una y otra vez, como parte de una rutina diaria. | ||||||||||||
9. | Haga clic en Siguiente, y luego escriba y confirme la clave con la que desea encriptar el archivo .pfx:  Figura 4: Ingresando una clave contundente para el archivo exportado | ||||||||||||
10. | Haga clic en Siguiente y luego ingrese un path y un nombre para guardar el archivo .pfx. | ||||||||||||
11. | Haga clic en Siguiente, verifique que el resumen de operaciones encaja con lo que usted eligió, y luego haga clic en Finalizar para exportar su certificado EFS y su clave privada al archivo .pfx. | ||||||||||||
12. | Guarde el archivo .pfx de manera segura. Mantenga buenos registros de la clave asociada al archivo .pfx (es recomendable hacerlo en una ubicación distinta de la utilizada para guardar el mismo archivo .pfx). | ||||||||||||
13. | Asegúrese de contar a mano con un proceso apropiado para aprobar la confección del archivo .pfx y luego la clave, para cuando quiera importar la clave privada del agente de recuperación de datos. Así podrá recuperar documentos encriptados sin necesidad de recurrir a la clave privada del usuario. |
¿Por qué querría usted exportar un certificado y una clave privada de usuario? En entornos anteriores a Windows 2000, una clave generada por el service desk impide que los usuarios accedan a sus certificados, porque éstos se encuentran encriptados a partir de una cadena de claves que se inician con el pasaporte del usuario. Aunque esto ha perdido vigencia en los entornos actuales, igualmente se recomienda que los usuarios técnicos realicen un backup de sus claves y certificados.
Brindando acceso adicional a un archivo encriptado
El agente de recuperación de datos es el primer intermediario en el proceso de recuperación de datos EFS. Desde ya, sumar usuarios para que accedan a un archivo puede ser otra manera de asegurarse la posibilidad de recuperar archivos cuando el usuario principal se encuentre ausente.
¿Cuál es la diferencia? Técnicamente, ninguna. Tal como lo apuntamos anteriormente, cada usuario o agente de recuperación de datos posee una clave pública que puede servir para encriptar la clave de encriptación del archivo. De la misma manera, cada usuario del agente de recuperación de datos puede desencriptar el archivo utilizando su clave privada asociada para desencriptar la clave de encriptación del archivo. Sin embargo, desde el punto de vista administrativo, existe una gran diferencia. Usar la cuenta del agente de recuperación de datos para recuperar un archivo es una función administrativa, y sirve para un uso infrecuente cuando se recuperan archivos que de otro modo se perderían. Un agente de recuperación de datos es asignado a un archivo de manera administrativa, a través de una Política de Sistema de Encriptación de Archivos, y cuando esta política es fijada, se aplica al archivo encriptado.
En cambio, agregar usuarios suplementarios a un archivo es considerada una función de usuario. Se espera que un usuario acceda regularmente a sus propios archivos, sin mediar un control administrativo u otro tipo de procedimientos formales. Como tal, ese usuario puede desear sumar a alguien más (por ejemplo a un asistente administrativo) a los archivos encriptados, de tal manera que ese usuario suplementario también pueda acceder a archivos encriptados como parte de su trabajo habitual.
Cualquier usuario que haya aceptado desencriptar un archivo EFS y que pueda reescribir el archivo, también puede agregar las claves públicas de otros usuarios para que accedan al archivo: en EFS no existe el concepto de un usuario especial que decide qué usuarios pueden ser agregados o eliminados, y acceder (o no) al archivo. Esto permite que una cantidad limitada de personas pueda acceder a un archivo. Lamentablemente, no hay manera de asignar claves a un archivo desde un grupo de usuarios. Es posible acceder individualmente a cada clave pública de usuario, ya sea desde el almacenamiento local de certificados, o desde el servicio de directorios de Active Directory, para agregar el usuario al archivo. Desde una perspectiva criptográfica, ésta es una restricción necesaria, aunque puede resultar irritante cuando usted desea restringir un archivo a un grupo de usuarios. Recuerde que el sistema de protección de archivos NTFS puede resultar suficiente para archivos accesibles a un grupo, y que no todo archivo requiere una encriptación a través de EFS.
Cambiando su política EFS
El administrador de un dominio o empresa (o el administrador local de una red de computadoras o de una sola computadora) puede eliminar cualquier agente de recuperación de datos establecido por la Política del Sistema de Encriptación de Datos. Sin embargo, recomiendo vehementemente no hacerlo porque, en ese caso, es muy probable que termine perdiendo datos cada vez que el propietario de un archivo encriptado abandone su compañía, o cada vez que se desactiven claves o cuentas de usuarios.
En cambio, es posible que a medida que su empresa crezca usted necesite seguir sumando agentes de recuperación de datos a la Política del Sistema de Encriptación de Datos. De todos modos recuerde que los cambios en esta política no afectan a los archivos ya existentes. De hecho, los cambios afectarán únicamente a los archivos creados o modificados bajo la nueva política. Se recomienda entonces mantener activos los archivos .pfx de un agente de recuperación de datos mientras los archivos EFS existan y sean utilizados por dicho agente.
Backup y Restauración
Como resulta imposible recuperar archivos que no cuentan al menos con una versión encriptada, asegúrese de que su software de backup almacene las versiones de archivos encriptadas con EFS. La mayoría de los productos comerciales para backup harán esto, por ejemplo el Backup de Windows o el Asistente de Restauración (NTBackup.exe), pero así y todo vale la pena verificar las capacidades de su software. Cuando el software exige abrir un archivo que ha sido encriptado con EFS desde una cuenta que carece de una clave privada asociada con ese archivo, el acceso es denegado. Su software de backup debe verificar específicamente los archivos que fueron encriptados con EFS; de lo contrario el backup de los archivos no se efectuará.
No ignore la manera más sencilla de recuperar datos: mantener un backup actualizado de los archivos más importantes, guardarlos en un gabinete seguro, todo en función de la confidencialidad de los datos involucrados. Obviamente, esto exige una actitud de cooperación por parte del propietario del archivo, que no debe ser tratado como el simple reemplazo de una buena política de recuperación.
Como de costumbre, su herramienta de backup no será completamente aprobada si usted no controló el proceso de restauración de backups. Por lo tanto, evalúe si puede realizar el backup de un archivo encriptado, y también si puede restaurar el archivo en ambos casos, es decir, tanto si el propietario del archivo se encuentra disponible o si de lo contrario es necesario recurrir a un agente de recuperación de datos.
Esto me lleva a otro paso que usted puede dar para una recuperación de datos segura: poseer una “consola de recuperación central”, una computadora que admita el ingreso de un agente de recuperación de datos para que restaure datos de backups, y para que luego desencripte archivos. Al restringir el desempeño del agente a una sola computadora, y al ubicar esta computadora en un área protegida, puede estar seguro de que la recuperación de datos quedará circunscripta sólo a aquellas ocasiones contempladas por sus políticas y procedimientos de recuperación de datos.
Resumen
EFS puede dar miedo al principio y es cierto que efectivamente existe el riesgo de encriptar archivos de tal modo que sea imposible recuperarlos. Sin embargo, espero que este artículo haya servido para hacerle entender que basta con un poco de precaución y preparación para que sus archivos se encuentren disponibles únicamente para el personal debidamente autorizado. En definitiva, en ello radica todo este asunto de proteger sus archivos, ¿verdad?
Lecturas recomendadas
A continuación, figuran algunos links a sitios con más información sobre la recuperación de datos y el Sistema de Encriptación de Archivos, o Encrypting File System (EFS).
| • | http://www.microsoft.com/technet/prodtechnol/winxppro/support/dataprot.mspx |
| • | http://www.microsoft.com/technet/security/tools/cipher.mspx |
| • | http://support.microsoft.com/kb/223316/ |
| • | http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx |