Mientras que el sistema de ficheros cifrado de Windows 2000/XP puede ser útil para proteger datos, su mejor acercamiento pudo realmente ser inhabilitarlo.
|
|
La característica cifrada del sistema de ficheros (EFS) primero fue introducida en Windows 2000 y está también disponible en profesional de Windows.xp. EFS proporciona un nivel mucho más alto de la seguridad que la que esta' ofrecida por NTFS solamente, que puede ser evitado sin mucho esfuerzo tan de largo como el acceso físico a la computadora se permite. EFS es extremadamente fácil de utilizar y está disponible sin ninguna configuración especial porque es permitido por el defecto. Aunque se parece ése con todo el estas ventajas EFS deben encontrar rápidamente su lugar en cada uno ambiente, implementating lo son correctamente una tarea bastante compleja.
Sus dos preocupaciones primarias son la capacidad de recuperar archivos cifrados y la protección de las llaves privadas usadas para el cifrado, que se asocian a la cuenta de cada usuario y a la cuenta del agente de la recuperación. La recuperación de archivos cifrados pudo ser una ocurrencia bastante común. Porque las llaves privadas necesarias para el desciframiento se almacenan en el perfil de usuario, si el perfil consigue suprimido o corrompido, el usuario no puede ningún acceso más largo sus archivos cifrados. El proceso de la recuperación implica simplemente el entrar como cuenta que se señale como agente de la recuperación de los datos. Por defecto, esta cuenta es administrador local en una computadora independiente y administrador del dominio en un ambiente del dominio. Porque las llaves privadas para los agentes de la recuperación de los datos también se almacenan como parte de sus perfiles, se recomienda que las llaves privadas para los agentes de la recuperación de los datos se deben exportar de la computadora que los contiene y almacenada en un lugar seguro hasta que una recuperación necesita ser realizada.
Actualmente, sin usar ninguna solución de encargo, la reserva y el almacenaje de las llaves privadas de un usuario (sin sostener el perfil entero) tiende para ser un proceso desperdiciador de tiempo. Además, usar los agentes de la recuperación del nondefault (que es el procedimiento recomendado) requiere la instalación de la característica del Certificate Authority, que también las necesidades de ser manejado correctamente. Si usted no es listo manejar todas estas tareas adicionales, su mejor apuesta pudo simplemente ser inhabilitar temporalmente EFS en las máquinas de los usuarios.
En el ambiente 2000 del dominio de Windows, lance la política MMC del grupo snap-in y seleccione el objeto de la política del grupo (GPO) ligado a su dominio. Entonces, perfore abajo a los agentes dominantes de la recuperación de los datos de las Poli'ticas->Encrypted de los Ajustes->Public de los Ajustes->Security de la Configuracio'n->Windows de la computadora, derecho-tecleo en la carpeta etiquetada los agentes cifrados de la recuperación de los datos, y seleccione la política de la cancelación para suprimir la política de la recuperación del defecto. Entonces, el derecho-tecleo en agentes cifrados de la recuperación de los datos otra vez y selectos inicializan la política vacía. Esto quitará la capacidad de los usuarios de utilizar EFS en cualquier sistema 2000 de Windows que pertenezca al dominio. En la ausencia del agente de la recuperación de EFS, Windows 2000 clientes rechazará cifrar cualesquiera archivos o carpeta.
Sin embargo, usted puede ser que sea adentro para una sorpresa si usted intenta utilizar el mismo acercamiento en Windows.xp, porque Microsoft cambió el comportamiento del defecto EFS para permitir que un cliente de Windows.xp utilice el cifrado incluso si no hay agente de la recuperación de los datos disponible (igual es verdad para el servidor 2003 de Windows). Afortunadamente, hay varias nuevas maneras de prevenir el, que ahora miraremos.
Windows.xp ofrece mayor flexibilidad en el configuración del alcance del alcance de EFS. Si su intención es inhabilitar EFS para un solo archivo, usted puede asignar simplemente la cualidad del sistema al archivo. Aunque ésta no es la solución más elegante, proporciona un workaround rápido. Para aplicar la cualidad del sistema a un archivo, utilice el comando del attrib con parámetro de +s. Por ejemplo, para aplicar la cualidad del sistema al archivo de info1.txt, mecanografíe el siguiente en el aviso de comando:
attrib +s info1.txt
Si usted en lugar de otro desea prevenir EFS en el nivel de la carpeta, usted puede crear un archivo de desktop.ini en la carpeta. El archivo de desktop.ini debe contener las dos líneas siguientes:
[ cifrado ] Disable=1
Esto afectará la carpeta sí mismo y toda de sus archivos. Sin embargo, no tiene ningún impacto en sus subfolders y su contenido.
Finalmente, si usted prefiere, usted puede inhabilitar EFS en el nivel de sistema. Esto puede ser lograda corrigiendo el registro. Fije la entrada siguiente del tipo de DWORD al valor 1:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\EfsConfiguration
Es más fácil, sin embargo, utilizar la política del grupo para este propósito. Comience lanzando la política local de la seguridad del menú administrativo de las herramientas. Después, doble-tecleo en la carpeta dominante pública de las políticas. Usted verá un subfolder nombrado sistema de ficheros que cifra. Derecho-tecleo en él y características selectas del menú sensible al contexto. Usted notará un checkbox etiquetado "para permitir que los usuarios cifren archivos usando el sistema de ficheros que cifra (EFS).
Unchecking esta caja inhabilitará EFS en conjunto en el sistema. Observe que este ajuste se puede también utilizar junto con a la política del grupo para inhabilitar EFS para todas las computadoras que residen en cualesquiera de sitios activos de los envases—del directorio, de dominios, o de unidades de organización.
Online: 483 users browsing the articles directory
|
|