Haga clic aquí para instalar Silverlight*
EspañaCambiar|Todos los sitios de Microsoft
Microsoft
|Suscripción CD/DVD|Boletín|Internacional|Suscríbase|Mapa del Web|Contacte con nosotros
Buscar



Guía detallada de uso del Sistema de archivos de cifrado

Publicado: septiembre 17, 2004

En este documento se proporcionan procedimientos de ejemplo que muestran las capacidades administrativas y para el usuario final del Sistema de archivos de cifrado (EFS) incluido con el sistema operativo Windows Server 2003.

En esta página
IntroducciónIntroducción
IntroducciónIntroducción
Escenarios de usoEscenarios de uso
Escenarios de administraciónEscenarios de administración
Recursos adicionalesRecursos adicionales

Introducción

Guías detalladas

Las guías detalladas de desarrollo de Windows Server 2003 proporcionan experiencia práctica para muchas configuraciones de sistemas operativos. Las guías comienzan estableciendo una infraestructura de red común a través de la instalación de Windows Server 2003, la configuración de Active Directory®, la instalación de una estación de trabajo Windows XP Professional y, por último, la incorporación de esta estación de trabajo a un dominio. Las guías detalladas posteriores asumen que posee esta infraestructura de red común. Si no desea seguir esta infraestructura de red común, tendrá que efectuar las modificaciones pertinentes mientras utiliza estas guías.

La infraestructura de red común requiere que se sigan las instrucciones de las guías siguientes.

Parte I: Instalar Windows Server 2003 como un controlador de dominio

Parte II: Instalar una estación de trabajo Windows XP Professional y conectarla a un dominio

Una vez configurada la infraestructura de red común, pueden utilizarse todas las guías detalladas adicionales. Tenga en cuenta que algunas guías detalladas pueden tener requisitos previos adicionales además de los requisitos de infraestructura de red común. Todos los requisitos adicionales se indicarán en la guía detallada específica.

Microsoft Virtual PC

Las guías detalladas de desarrollo de Windows Server 2003 se pueden implementar en un entorno de laboratorio físico o mediante tecnologías de creación de entornos virtuales como Microsoft Virtual PC 2004 o Microsoft Virtual Server 2005. La tecnología de máquina virtual permite a los usuarios ejecutar varios sistemas operativos simultáneamente en un único servidor físico. Virtual PC 2004 y Virtual Server 2005 están diseñados para aumentar la eficacia operativa de las pruebas y desarrollo de software, la migración de aplicaciones heredadas y los escenarios de consolidación de servidores.

En las guías detalladas de desarrollo de Windows Server 2003 se asume que todas las configuraciones se realizarán en un entorno de laboratorio físico, aunque la mayoría de ellas se pueden aplicar a un entorno virtual sin necesidad de modificarlas.

La aplicación de los conceptos proporcionados en estas guías detalladas a un entorno virtual se escapa al alcance de este documento.

Notas importantes

Las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y datos mencionados aquí son ficticios. No se pretende indicar, ni debe deducirse ninguna asociación con compañías, organizaciones, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o datos reales.

Esta infraestructura común está concebida para su uso en una red privada. El nombre ficticio de la compañía y el nombre DNS (Sistema de nombres de dominio) utilizados en la infraestructura común no están registrados para su uso en Internet. No debe utilizar estos nombres en una red pública ni en Internet.

El objetivo de la estructura del servicio Active Directory para esta infraestructura común es mostrar cómo funciona la administración de cambios y configuración de Windows Server 2003 con Active Directory. No se ha diseñado como un modelo para configurar Active Directory en una organización.

Introducción

El Sistema de archivos de cifrado (EFS) incluido con el sistema operativo Windows Server 2003 se basa en el cifrado de claves públicas y aprovecha la arquitectura CryptoAPI de Windows Server 2003. Cada archivo se cifra mediante una clave de cifrado de archivo generada aleatoriamente, que es independiente del par de claves pública/privada.

El cifrado de archivos se puede realizar con cualquier algoritmo de cifrado simétrico. La versión de EFS utiliza el Estándar de cifrado de datos X, o DESX (128 bits en Norteamérica y 40 bits en los demás países) como algoritmo de cifrado. En versiones posteriores se utilizarán otros esquemas de cifrado. EFS admite el cifrado y descifrado de archivos almacenados en unidades locales y en servidores de archivos remotos.

Interacción con el usuario

La configuración predeterminada de EFS permite a los usuarios cifrar archivos sin ningún trabajo administrativo. EFS genera un par de clave públicas y un certificado de cifrado de archivos cuando el usuario cifra por primera vez un archivo.

El cifrado y descifrado de archivos se realiza para cada archivo o para toda una carpeta, incluidas todas las subcarpetas. El cifrado de carpetas se aplica de forma transparente. Todos los objetos creados en una carpeta que están marcados para cifrado se cifran automáticamente. Cada archivo tiene su propia clave de cifrado única, lo que permite cambiar el nombre del archivo de forma segura. Si al cambiar el nombre de un archivo, éste pasa de una carpeta cifrada a una no cifrada del mismo volumen, el archivo permanecerá cifrado. Sin embargo, si copia un archivo no cifrado a una carpeta cifrada, cambiará el estado del archivo. En ese caso, el archivo sigue estando cifrado. Se proporcionan herramientas de línea de comandos e interfaces administrativas para usuarios avanzados y agentes de recuperación.

Recuperación de datos

EFS proporciona compatibilidad integrada con la recuperación de datos. La infraestructura de seguridad de Windows Server 2003 exige la configuración de claves de recuperación de datos. Sólo se puede utilizar el cifrado de archivos si el sistema está configurado con una o varias claves de recuperación. EFS permite que los agentes de recuperación configuren claves públicas que sirvan para recuperar los datos cifrados si un usuario abandona la organización. Con la clave de recuperación sólo se tiene acceso a la clave de cifrado del archivo, no a la clave privada del usuario. Esto garantiza que no se revelará otra información privada al agente de recuperación. La recuperación de datos está diseñada para las organizaciones que necesitan recuperar los datos cifrados por un empleado.

Mediante la Directiva de grupo se puede definir una directiva de recuperación en un dominio de Windows Server 2003. La directiva se aplica a todos los equipos del dominio y la controlan los administradores del dominio, que suelen delegar el control a las cuentas de administrador de seguridad de datos designadas. Esto proporciona un mayor control y flexibilidad con respecto a los usuarios que disponen de autorización para recuperar datos cifrados. EFS admite varios agentes de recuperación al permitir distintas configuraciones de recuperación de datos. Estas características proporcionan a las organizaciones redundancia y flexibilidad a la hora de implementar sus procedimientos de recuperación.

Requisitos previos

Parte 1: Instalar Windows Server 2003 como un controlador de dominio

Parte II: Instalar una estación de trabajo Windows XP Professional y conectarla a un dominio

Guía detallada de administración de Active Directory

Guía detallada de introducción al conjunto de características de Directiva de grupo

Escenarios de uso

Cifrar una carpeta o un archivo

Para cifrar una carpeta o un archivo, puede utilizar el Explorador de Windows o la utilidad de línea de comandos Cipher.exe. En esta sección se describen ambos procedimientos. En esta guía se asume que va a realizar los ejercicios de Escenarios de uso en un equipo que ejecuta Windows XP Professional.

Para utilizar el Explorador de Windows para cifrar una carpeta o un archivo

1.

En HQ-CON-WRK-01, inicie sesión como mike@contoso.com. Si se le indica, cambie la contraseña de Mike por pass#word2.

2.

Haga clic en el botón Inicio, seleccione Programas, Accesorios y, a continuación, haga clic en Explorador de Windows.

3.

Haga clic con el botón secundario del mouse (ratón) en el nombre de carpeta o archivo con el que desea trabajar (en este ejemplo, la carpeta que se ha creado bajo Mis documentos llamada Archivos cifrados) y, a continuación, seleccione Propiedades.

4.

En la ficha General, en el cuadro de diálogo Propiedades de Archivos cifrados, haga clic en Opciones avanzadas.

5.

En el cuadro de diálogo Atributos avanzados, active la casilla de verificación Cifrar contenido para proteger datos, como se muestra en la Figura 1 y, después, haga clic en Aceptar.

Figure 1.  Advanced Attributes

Figura 1.  Atributos avanzados

6.

En el cuadro de diálogo Propiedades de Archivos cifrados, haga clic en Aceptar.

7.

Puede que se le pida que elija entre cifrar la carpeta y todo su contenido o sólo la carpeta. Si la carpeta está vacía, no aparecerá este mensaje. Si la carpeta contiene objetos, elija cifrar la carpeta y su contenido y, después, haga clic en Aceptar.

8.

Aparecerá un cuadro de diálogo en el que se indicará el estado de cifrado de la carpeta o archivo. Haga clic en Aceptar.

Para utilizar la línea de comandos para cifrar una carpeta o un archivo

1.

Para cifrar una carpeta, haga clic en el botón Inicio y en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar. Por ejemplo, en el símbolo del sistema, escriba:

cipher /e /s:"C:\Documents and Settings\Mike\Mis documentos\Archivos cifrados"

2.

Presione ENTRAR. Los resultados deben ser similares a los que se muestran en la Figura 2.

Figure 2.  Encrypting from the Command Line

Figura 2.  Cifrar desde la línea de comandos
Ver la imagen a tamaño completo

Descifrar una carpeta o un archivo

Al igual que con el cifrado, puede utilizar el Explorador de Windows o una utilidad de la línea de comandos para descifrar una carpeta o un archivo. En esta sección se describen ambos procedimientos. Tenga en cuenta que no necesita descifrar un archivo para abrirlo y modificarlo. Descifre un archivo para permitir que otros usuarios lo utilicen.

Para utilizar el Explorador de Windows para descifrar una carpeta o un archivo

1.

Haga clic en el botón Inicio, seleccione Programas, Accesorios y luego Explorador de Windows.

2.

Haga clic con el botón secundario del mouse en el nombre de carpeta o archivo y, después, elija Propiedades.

3.

En la ficha General, en el cuadro de diálogo Propiedades, haga clic en Opciones avanzadas.

4.

En el cuadro de diálogo Atributos avanzados, active la casilla de verificación Cifrar contenido para proteger datos y, después, haga clic en Aceptar.

5.

En el cuadro de diálogo Propiedades de Archivos cifrados, haga clic en Aceptar.

6.

Se le pedirá que elija entre descifrar la carpeta y todo su contenido o sólo la carpeta. Active la casilla de verificación Aplicar cambios a esta carpeta y a todas las subcarpetas y archivos y, a continuación, haga clic en Aceptar.

Nota:  se recomienda que cifre carpetas y no archivos individuales, ya que muchas aplicaciones no son compatibles con el cifrado y pueden procesar el archivo en texto sin cifrar.

Para utilizar la línea de comandos para descifrar una carpeta o un archivo

1.

Para descifrar una carpeta, haga clic en el botón Inicio y en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar. Por ejemplo, en el símbolo del sistema, escriba:

cipher /d /s:"C:\Documents and Settings\Mike\Mis documentos\Archivos cifrados"

2.

Presione ENTRAR.

3.

Cierre la ventana Símbolo del sistema.

Copiar una carpeta cifrada o un archivo cifrado

En esta sección se explican los procedimientos y las limitaciones de copiar carpetas o archivos cifrados en el mismo volumen o desde un volumen a otro.

Para copiar un archivo o una carpeta en el mismo equipo entre particiones NTFS de una ubicación de Windows Server 2003. Copie el archivo o la carpeta como si se tratara de un archivo sin cifrar. Utilice el Explorador de Windows o el símbolo del sistema. La copia estará cifrada.

Para copiar un archivo o una carpeta en el mismo equipo desde una partición NTFS de un volumen de Windows Server 2003 a una partición FAT (Tabla de asignación de archivos). Copie el archivo o la carpeta como si se tratara de un archivo sin cifrar. Utilice el Explorador de Windows o el símbolo del sistema. Puesto que el sistema de archivos de destino no admite el cifrado, la copia no estará cifrada.

Para copiar un archivo o una carpeta a un equipo diferente cuando ambos utilizan particiones NTFS de Windows Server 2003. Copie el archivo o la carpeta como si se tratara de un archivo sin cifrar. Utilice el Explorador de Windows o el símbolo del sistema. Si el equipo remoto permite cifrar archivos, la copia estará cifrada; de lo contrario, no lo estará. Tenga en cuenta que el equipo remoto debe ser de confianza para la delegación; en un entorno de dominio, el cifrado remoto no está habilitado de manera predeterminada.

Para copiar un archivo o una carpeta a otro equipo desde una partición NTFS de una ubicación de Windows Server 2003 a una partición FAT o NTFS de una ubicación de Microsoft Windows NT® 4.0. Copie el archivo o la carpeta como si se tratara de un archivo sin cifrar. Utilice el Explorador de Windows o el símbolo del sistema. Puesto que el sistema de archivos de destino no admite el cifrado, la copia no estará cifrada.

Mover o cambiar el nombre de una carpeta o de un archivo cifrado

En esta sección se explican los procedimientos y las limitaciones de mover carpetas o archivos cifrados en el mismo volumen o desde un volumen a otro.

Para mover o cambiar el nombre de un archivo o de una carpeta dentro del mismo volumen. Mueva el archivo como si se tratara de un archivo sin cifrar. Utilice el Explorador de Windows, el menú contextual o el símbolo del sistema. El archivo o la carpeta de destino permanecerán cifrados.

Para mover un archivo o una carpeta de un volumen a otro. Esta operación no es más que una copia. Consulte la sección anterior, Copiar una carpeta cifrada o un archivo cifrado.

Eliminar una carpeta o un archivo cifrado

Si dispone de acceso para eliminar el archivo o la carpeta, hágalo como si se tratara de un archivo sin cifrar. La eliminación de una carpeta o un archivo cifrado no se limita al usuario que los cifró originalmente.

Hacer una copia de seguridad de una carpeta cifrada o un archivo cifrado

Hacer una copia de seguridad mediante una copia. Las copias de seguridad creadas con el comando o la opción de menú Copiar pueden dar lugar a texto sin cifrar, como se explicó anteriormente en la sección Copiar una carpeta cifrada o un archivo cifrado.

Hacer una copia de seguridad mediante la utilidad Copia de seguridad de Windows Server 2003 o cualquier utilidad de copia de seguridad compatible con las características de Windows Server 2003. Éste es el método recomendado para hacer una copia de seguridad de los archivos cifrados. La copia de seguridad mantendrá el cifrado de los archivos, y el operador de la copia de seguridad no necesitará tener acceso a las claves privadas para hacer la copia de seguridad; sólo deberá tener acceso al archivo o a la carpeta para realizar esta tarea.

Restaurar una carpeta cifrada o un archivo cifrado

Las operaciones de restauración son similares a las utilizadas para crear copias de seguridad de archivos cifrados. En esta sección se explican los procedimientos y las limitaciones para restaurar copias de seguridad de archivos cifrados en el mismo equipo donde se realizó la copia y en un equipo diferente.

Restaurar mediante una copia. Los archivos restaurados creados con el comando o la opción de menú Copiar pueden dar lugar a texto sin cifrar, como se explicó anteriormente en la sección Copiar una carpeta cifrada o un archivo cifrado.

Restaurar mediante la utilidad Copia de seguridad de Windows Server 2003 o cualquier utilidad de copia de seguridad compatible con las características de Windows Server 2003. Éste es el método recomendado para restaurar archivos cifrados. La operación de restauración mantiene el cifrado de los archivos y el agente de restauración no necesita tener acceso a las claves privadas para restaurarlos. Una vez finalizada la restauración, el usuario con la clave privada puede utilizar normalmente el archivo.

Restaurar archivos en un equipo diferente

Si desea poder utilizar archivos cifrados en un equipo distinto del que se usó para cifrar los archivos, debe asegurarse de que el certificado de cifrado y la clave privada asociada están disponibles en el otro sistema. Para ello, puede utilizar un perfil móvil o mover manualmente las claves.

Utilizar un perfil móvil. Pida al administrador que le configure un perfil móvil si aún no dispone de uno. Cuando tenga el perfil móvil, utilizará las mismas claves de cifrado en todos los equipos en los que inicie sesión con esa cuenta de usuario. Tenga en cuenta que aunque utilice perfiles móviles, tal vez desee hacer una copia de seguridad del certificado de cifrado y la clave privada. Sin embargo, si pierde las claves que le permiten descifrar un archivo, puede pedir al agente de recuperación designado (el administrador local o del dominio, de forma predeterminada) que recupere los archivos cifrados.

Mover manualmente las claves. Antes de contemplar la posibilidad de mover las claves manualmente, debe realizar una copia de seguridad del certificado de cifrado y de la clave privada. Después podrá restaurar el certificado y la clave en otro sistema.

Para hacer una copia de seguridad del certificado de cifrado y de la clave privada

1.

Para iniciar Microsoft Management Console (MMC), haga clic en el botón Inicio y en Ejecutar, escriba mmc en el cuadro Abrir y, a continuación, haga clic en Aceptar.

2.

En el menú Consola, haga clic en Archivo, en Agregar o quitar complemento y luego en Agregar.

3.

Busque y haga clic en el complemento Certificados y, después, haga clic en Agregar. Haga clic en Cerrar y luego en Aceptar.

4.

Busque los certificados EFS en el almacén de certificados Personales. Haga clic en el signo más (+) situado junto a Certificados: usuario actual. Expanda la carpeta Personal y, a continuación, haga clic en Certificados.

Nota:  la columna Propósitos planteados del certificado correspondiente indicará el Sistema de archivos de cifrado, como se muestra en la Figura 3.

Figure 3.  Locating EFS Certificates

Figura 3.  Buscar certificados EFS
Ver la imagen a tamaño completo

5.

Haga clic con el botón secundario del mouse en el certificado, haga clic en Todas las tareas y después en Exportar. Se iniciará el Asistente para exportación de certificados. Haga clic en Siguiente.

6.

Active la casilla de verificación Exportar la clave privada y, a continuación, haga clic en Siguiente.

7.

El formato de exportación disponible es Intercambio de información personal: PKCS#12 (.PFX). Compruebe que la casilla de verificación Permitir protección segura está activada y, a continuación, haga clic en Siguiente.

8.

Especifique y confirme una contraseña para proteger el certificado exportado y, después, haga clic en Siguiente.

9.

Especifique la ruta de acceso y el nombre de archivo donde desea almacenar el certificado exportado. Haga clic en Siguiente y luego en Finalizar para finalizar la exportación del certificado. Haga clic en Aceptar para confirmar que la exportación se ha realizado correctamente.

10.

Cierre la consola MMC.

Para restaurar el certificado de cifrado y la clave privada en un sistema diferente

1.

Copie el archivo .pfx creado anteriormente en un disquete o un recurso compartido de red.

2.

En el otro sistema, haga clic en el botón Inicio para iniciar el complemento Certificados, haga clic en Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.

3.

En el menú Consola, haga clic en Archivo, en Agregar o quitar complemento y luego en Agregar.

4.

Busque y haga clic en el complemento Certificados y, después, haga clic en Agregar. Si se le indica, active la casilla de verificación Mi cuenta de usuario y, a continuación, haga clic en Finalizar.

5.

Haga clic en Cerrar y luego en Aceptar.

6.

Haga clic en el signo más (+) para expandir Certificados: usuario actual.

7.

Haga clic con el botón secundario del mouse en la carpeta Personal, haga clic en Todas las tareas y luego en Importar.

8.

Haga clic en Siguiente. Se iniciará el Asistente para importación de certificados.

9.

Especifique la ruta de acceso al archivo .pfx creado anteriormente y, a continuación, haga clic en Siguiente. Especifique la contraseña para tener acceso a los datos de certificado y, después, haga clic en Siguiente.

10.

Haga clic en la casilla de verificación Colocar todos los certificados en el siguiente almacén (opción predeterminada) y, a continuación, haga clic en Siguiente.

11.

Haga clic en Finalizar. Cuando termine la importación, haga clic en Aceptar para cerrar el asistente.

Cuando disponga de las mismas claves, podrá utilizar de forma transparente los archivos cifrados de los que se haya hecho una copia de seguridad en otro equipo.

Carpetas y archivos en un servidor remoto

Puede cifrar y descifrar archivos de forma transparente y utilizar archivos cifrados en un servidor remoto. Para ello, debe tener acceso a esos archivos de forma remota o iniciar sesión localmente en el otro equipo. Sin embargo, tenga en cuenta que cuando mueve archivos cifrados mediante los mecanismos de copia de seguridad y restauración, debe asegurarse de que también se mueven el certificado de cifrado y las claves privadas correspondientes para poder utilizar los archivos cifrados en sus nuevos destinos. Sin las claves privadas correctas no podrá abrir ni descifrar los archivos.

Nota:  si abre el archivo cifrado a través de la red, los datos que se transmiten por la red mediante este proceso no están cifrados. Deben utilizarse otros protocolos, como Nivel de sockets seguro/Tecnología de comunicaciones personales (SSL/PCT) o Seguridad del Protocolo Internet (IPSec), para cifrar datos a través de la red.

Escenarios de administración

Garantizar la recuperación de los datos en un equipo independiente

Para los ejemplos siguientes, inicie sesión como administrador en el equipo local (en el ejemplo, éste es el equipo llamado HQ-CON-WRK-01). Asegúrese de que inicia sesión en el equipo de forma local (y no en el dominio).

Para crear un certificado de recuperación predeterminado (cuando no existe una entidad emisora de certificados)

1.

En HQ-CON-WRK-01, haga clic en el botón Inicio y en Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, haga clic en Aceptar.

2.

En la ventana del símbolo del sistema, escriba cipher.exe /r:dra y, después, presione ENTRAR.

3.

Cuando se le indique, escriba password para proteger el archivo .PFX y, a continuación, escriba de nuevo password para confirmar la contraseña.

4.

Cierre la ventana Símbolo del sistema.

Para definir una directiva de recuperación de datos

1.

Haga clic en el botón Inicio y en Ejecutar, escriba MMC en el cuadro Abrir y, a continuación, haga clic en Aceptar.

2.

En el menú Archivo, haga clic en Agregar o quitar complemento.

3.

Haga clic en Agregar, desplácese hacia abajo y, a continuación, haga doble clic en Directiva de grupo.

4.

Acepte el valor predeterminado de Equipo local, haga clic en Finalizar, en Cerrar y luego en Aceptar.

5.

Haga clic en el signo más (+) situado junto a Directiva de equipo local para expandir el árbol. Expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad y Directivas de claves públicas. Haga clic en Sistema de archivos de cifrado.

6.

Haga clic con el botón secundario del mouse en Sistema de archivos de cifrado y, a continuación, haga clic en Agregar Agente de recuperación de datos.

7.

En la pantalla Asistente para agregar agente de recuperación, haga clic en Siguiente, en Examinar carpetas y, después, desplácese hasta la carpeta Documents and Settings del administrador. Haga doble clic en el archivo DRA.CER y, a continuación, haga clic en Siguiente y en Finalizar. Cuando termine, la pantalla deberá ser similar a la que se muestra en la Figura 4.

Figure 4.  Default Recovery Agents

Figura 4.  Agentes de recuperación predeterminados

8.

Cierre la consola MMC.

Nota:  debe seguir los procedimientos descritos en Para hacer una copia de seguridad del certificado de cifrado y de la clave privada para crear una copia de seguridad protegida (.PFX) del certificado de recuperación.

Proteger la clave de recuperación predeterminada para el dominio

Cuando se instala el primer controlador de dominio, se configura una directiva de recuperación predeterminada para el dominio. Esta directiva utiliza un certificado de firma automática para convertir la cuenta de administrador del dominio en el agente de recuperación.

Nota:  debe seguir los procedimientos descritos en Para hacer una copia de seguridad del certificado de cifrado y de la clave privada para crear una copia de seguridad protegida (.PFX) del certificado de recuperación.

Solicitar un certificado de recuperación de archivos

Si decide utilizar las directivas de recuperación predeterminadas, no tendrá que solicitar nunca un certificado de recuperación de archivos. En aquellas circunstancias en las que se necesiten varios agentes de recuperación para el dominio, o cuando los agentes de recuperación tengan que ser distintos de los administradores de dominio debido a una directiva legal o corporativa, tal vez sea necesario identificar determinados usuarios como agentes de recuperación. Estos usuarios debe recibir certificados de recuperación de archivos.

Para ello, deben realizarse los siguientes procedimientos.

Debe existir una entidad emisora de certificados de la empresa.

La directiva de la entidad emisora de certificados de la empresa debe permitir que los usuarios o agentes designados soliciten y obtengan un certificado de recuperación de archivos.

Cada usuario debe solicitar un certificado de recuperación de archivos.

Para configurar una entidad emisora de certificados de la empresa

1.

Inicie sesión en HQ-CON-DC-01 como administrador del dominio.

2.

Haga clic en el botón Inicio, seleccione Panel de control y, después, haga clic en Agregar o quitar programas.

3.

Haga clic en Agregar o quitar componentes de Windows.

4.

Haga clic en Servicios de Certificate Server. Recibirá un mensaje de advertencia en el que se indica que una vez instalado Servicios de Certificate Server, no podrá cambiar el nombre del equipo y el equipo no podrá unirse ni quitarse de un dominio. Haga clic en para continuar y luego en Siguiente.

5.

Compruebe que el botón de opción Entidad emisora raíz de la empresa está seleccionado y, a continuación, haga clic en Siguiente.

6.

En la pantalla Identificación de la entidad emisora de certificados, escriba ContosoCA para Nombre común y, después, haga clic en Siguiente.

7.

Haga clic en Siguiente para aceptar la ubicación de almacenamiento de datos predeterminada.

8.

Si Servicios de Internet Information Server (IIS) no está instalado, se le avisará de que la inscripción de certificados basada en Web no estará disponible. Haga clic en Aceptar para confirmar este mensaje de advertencia.

9.

Si IIS se está ejecutando, se le pedirá que cierre temporalmente ese servicio. Haga clic en Aceptar.

10.

Cuando concluya el Asistente para componentes de Windows, haga clic en Finalizar. Cierre Agregar o quitar programas.

Para crear un grupo de seguridad para los usuarios designados como agentes de recuperación

1.

Haga clic en el botón Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.

2.

Haga clic con el botón secundario del mouse en Grupos, haga clic en Nuevo y en Grupo, escriba Agentes de recuperación del dominio y, a continuación, haga clic en Aceptar.

3.

Para agregar usuarios a ese grupo, haga clic con el botón secundario del mouse en Agentes de recuperación del dominio bajo la unidad organizativa Grupos, haga clic en Propiedades y luego en la ficha Miembros.

4.

Haga clic en Agregar, escriba Administrador y, después, haga clic dos veces en Aceptar. Cierre el complemento Usuarios y equipos de Active Directory.

Para agregar el grupo Agentes de recuperación del dominio a la plantilla de recuperación EFS

En este procedimiento se utilizan los usuarios del grupo Agentes de recuperación del dominio para solicitar certificados de recuperación.

1.

Haga clic en el botón Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory.

2.

Haga clic en Sitios y servicios de Active Directory y, a continuación, en el menú Ver, haga clic en Mostrar el nodo de servicios.

3.

Haga clic en el signo más (+) situado junto a Servicios en el panel de la izquierda. Repita este proceso para expandir la carpeta Servicios de clave pública.

4.

Haga clic en Plantillas de certificado en el panel de la izquierda y, a continuación, haga doble clic en EFSRecovery en el panel de la derecha.

5.

Haga clic en la ficha Seguridad y luego en Agregar.

6.

En el cuadro de diálogo Escriba los nombres de objeto que desea seleccionar, escriba Agentes de recuperación del dominio y, a continuación, haga clic en Aceptar.

7.

Haga clic en Agentes de recuperación del dominio en el panel de resultados Nombres de grupos o usuarios. En el panel Permisos para Agentes de recuperación del dominio, active las casillas de verificación Permitir para Leer e Inscribir, como se muestra en la Figura 5.

Figure 5.  EFS Recovery Certificate Template

Figura 5.  Plantilla de certificado de recuperación EFS

8.

Haga clic en Aceptar y, a continuación, cierre el complemento Sitios y servicios de Active Directory.

Para solicitar un certificado de recuperación de archivos

1.

Haga clic en el botón Inicio y en Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.

2.

En el menú Archivo, seleccione Agregar o quitar complemento y, después, haga clic en Agregar.

3.

Haga doble clic en Certificados, seleccione Mi cuenta de usuario y, después, haga clic en Finalizar. Haga clic en Cerrar y luego en Aceptar.

4.

Haga clic en el signo más (+) situado junto a Certificados: usuario actual para expandir la carpeta.

5.

Haga clic con el botón secundario del mouse en Personal en el panel de la izquierda, haga clic en Todas las tareas y luego en Solicitar un nuevo certificado. Se iniciará el Asistente para solicitud de certificados.

6.

La primera página del asistente es informativa. Haga clic en Siguiente para continuar.

7.

Se muestra una lista de plantillas de certificado. Haga clic en Agente de recuperación de EFS como se muestra en la Figura 6 y, a continuación, haga clic en Siguiente.

Figure 6.  Selecting a Certificate Type

Figura 6.  Seleccionar un tipo de certificado

8.

Escriba un nombre sencillo para distinguir este certificado de los demás y agregue una descripción si lo desea. Haga clic en Siguiente y luego en Finalizar para solicitar el certificado.

9.

Haga clic en Aceptar para confirmar que la solicitud del certificado se ha realizado correctamente.

Para crear una directiva de recuperación EFS para todo el dominio, el certificado Agente de recuperación de EFS creado anteriormente debe exportarse al formato .CER. Debe seguir también los procedimientos descritos en Para hacer una copia de seguridad del certificado de cifrado y de la clave privada para crear una copia de seguridad protegida (.PFX) del certificado de recuperación.

Para exportar el certificado a un formato .CER para asignarlo mediante una directiva aplicable a todo el dominio

1.

En la Consola de MMC, expanda la carpeta Personal .

2.

En el panel de la derecha, haga clic con el botón secundario del mouse en el certificado que acaba de crear, haga clic en Todas las tareas y luego en Exportar. Haga clic en Siguiente para iniciar el proceso de exportación.

3.

Active la casilla de verificación No exportar la clave privada y, a continuación, haga clic en Siguiente.

4.

Deje el formato de archivo .cer predeterminado y, después, haga clic en Siguiente.

5.

Especifique una ruta de acceso y un nombre y, a continuación, haga clic en Siguiente.

6.

Para realizar la exportación, haga clic en Finalizar y luego en Aceptar.

7.

Cierre la consola MMC.

Establecer una directiva de recuperación para todo el dominio

Una vez identificados los agentes de recuperación y provistos de certificados, el administrador del dominio puede agregar esos certificados a la directiva de recuperación.

Para agregar certificados a la directiva de recuperación

1.

Haga clic en el botón Inicio, seleccione Todos los programas, Herramientas administrativas y luego Directiva de seguridad de dominio.

2.

Haga clic en el signo más (+) situado junto a Directivas de claves públicas y, a continuación, haga clic en Sistema de archivos de cifrado.

3.

Haga clic con el botón secundario del mouse en Sistema de archivos de cifrado y, a continuación, haga clic en Agregar Agente de recuperación de datos. Cuando se inicie el asistente, haga clic en Siguiente.

4.

Haga clic en Examinar carpetas y, después, desplácese hasta el archivo .CER creado en la sección anterior y ábralo.

5.

Haga clic en Siguiente y, a continuación, en Finalizar.

Configurar una directiva de recuperación para una unidad organizativa específica

Tal vez necesite establecer una directiva de recuperación exclusiva para un subconjunto de equipos del dominio. Para ello, puede utilizar objetos de Directiva de grupo y repetir los pasos descritos anteriormente en el nivel de unidad organizativa en lugar de en el nivel de dominio.

Recuperar un archivo o una carpeta

Puede que los agentes de recuperación necesiten recuperar archivos o carpetas si los usuarios pierden sus claves o abandonan la organización, o existe un requisito legal que lo exija. El proceso de recuperación es similar al del descifrado, una vez que la clave de recuperación está disponible en el sistema.

Para recuperar un archivo o una carpeta

1.

Haga una copia de seguridad de los archivos o la carpeta en un archivo .bkf en el sistema en el que estén ubicados.

2.

Copie el archivo .bkf en el equipo del agente de recuperación protegido.

3.

El agente de recuperación debe restaurar los archivos o la carpeta en el archivo .bkf de manera local en un sistema protegido.

4.

Con una clave de recuperación instalada, el agente de recuperación puede simplemente abrir cada archivo o utilizar el cuadro de diálogo Propiedades del Explorador de Windows para descifrar archivos individuales o carpetas enteras.

Deshabilitar EFS para un conjunto de equipos específico

En algunas ocasiones, tal vez necesite asegurarse de que un equipo independiente o algún equipo de una unidad organizativa tiene EFS deshabilitado. La mejor forma de deshabilitar EFS es definir una directiva de recuperación vacía. Puede realizar esta operación localmente en el equipo mediante el complemento Directiva de grupo local o definiendo un objeto de Directiva de grupo en el nivel de unidad organizativa con una directiva de recuperación vacía.

Nota:  existen diferencias entre no tener directiva y tener una directiva vacía. En Active Directory, en donde la directiva en vigor es una acumulación de objetos de Directiva de grupo definidos en distintos niveles del árbol de directorios, la ausencia de una directiva de recuperación en los nodos de nivel superior (por ejemplo, en el nodo de dominio) permite que las directivas de nivel inferior se apliquen. Una directiva de recuperación vacía en los nodos de nivel superior deshabilita EFS ya que no existen certificados de recuperación en vigor. En un equipo dado (independiente o unido al dominio), una directiva en vigor debe tener al menos un certificado de recuperación válido para habilitar EFS en ese equipo. Por tanto, en un equipo dado, la ausencia de una directiva de recuperación o la existencia de una directiva de recuperación vacía tienen el mismo efecto: deshabilitan EFS.

Recursos adicionales

Para obtener la información más reciente sobre Windows Server 2003, visite el sitio Web de Windows Server 2003 en http://www.microsoft.com/windowsserver2003 (en inglés)



©2016 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Condiciones de uso |Marcas registradas |Declaración de Privacidad
Microsoft