Exportar (0) Imprimir
Expandir todo

Cambios en EFS

Actualizado: enero de 2010

Se aplica a: Windows 7, Windows Server 2008 R2

El Sistema de cifrado de archivos (EFS) es una tecnología de cifrado de archivos principal que se usa para almacenar archivos cifrados en volúmenes con el sistema de archivos NTFS. Los archivos cifrados no se pueden usar a menos que el usuario tenga acceso a las claves requeridas para descifrar la información. EFS es compatible con los algoritmos de cifrado estándar del sector incluido el Estándar de cifrado avanzado (AES), el algoritmo hash seguro (SHA), el cifrado de curva elíptica (ECC), el cifrado basado en tarjetas inteligentes y otras características. Como el progreso de los estándares de cifrado es constante y los algoritmos antiguos son cada vez menos seguros, se deben incorporar nuevos algoritmos de cifrado para ayudar a los usuarios a proteger sus datos.

Compatibilidad de EFS con ECC

En Windows 7, la arquitectura de EFS ha cambiado para incorporar ECC. Esto permite que EFS cumpla con los requisitos de cifrado Suite B según la definición de la National Security Agency para satisfacer las necesidades de los organismos gubernamentales de Estados Unidos para proteger información confidencial. La conformidad con la Suite B requiere el uso de algoritmos de cifrado de AES, SHA y ECC para la protección de datos. La Suite B no permite el cifrado RSA.

EFS en Windows 7 admite un funcionamiento de "modo mixto" de algoritmos de ECC y RSA. Esto proporciona compatibilidad con versiones anteriores para archivos EFS que se crearon usando algoritmos admitidos en versiones anteriores de Windows. Esto podría resultar de utilidad en organizaciones que usan RSA y que también desean usar el algoritmo ECC para prepararse para la conformidad con la Suite B.

Uso de certificados autofirmados

La configuración predeterminada de las directivas de clave pública de EFS permite que EFS genere certificados autofirmados cuando no haya disponible una entidad de certificación (CA). Algunas organizaciones no permiten usar certificados autofirmados debido a posibles riesgos de seguridad de la información. Si deshabilita esta configuración, será necesario que los usuarios reciban un certificado de una CA de confianza para poder usar EFS.

Si permite el uso de certificados autofirmados, puede especificar la longitud de clave de cifrado que se debe usar al cifrar archivos y carpetas. De forma predeterminada, EFS usa el tamaño de clave de 2.048 bits para los certificados RSA autofirmados y la clave de 256 bits para los certificados ECC. Están disponibles las siguientes claves RSA y ECC:

  • RSA de 1.024 bits

  • RSA de 2.048 bits

  • RSA de 4.096 bits

  • RSA de 8.192 bits

  • RSA de 16.384 bits

  • ECC de 256 bits

  • ECC de 384 bits

  • ECC de 521 bits

Cambios en la directiva de grupo para EFS

Los pasos para habilitar EFS no han cambiado como resultado de la compatibilidad con ECC; no obstante, se han agregado opciones administrativas adicionales relacionadas con ECC. Concretamente, los administradores pueden usar la configuración de directiva de grupo para denegar la creación de archivos EFS mediante el uso de algoritmos que no sean compatibles con Suite B. La configuración de directivas para EFS está ubicada en el Editor de directivas de grupo local bajo Directiva de equipo local\Configuración de Windows\Configuración de seguridad\Directivas de clave pública\Sistema de cifrado de archivos.

Después de habilitar y configurar las opciones de directivas para EFS, se usa la configuración de la directiva de grupo para especificar la compatibilidad con ECC. Bajo Directivas de clave pública, abra las propiedades del Sistema de cifrado de archivos. A continuación, en la ficha General bajo Criptografía de curva elíptica, seleccione la opción adecuada: Permitir, para habilitar el uso tanto de algoritmos ECC como algoritmos RSA, Requerir, para permitir únicamente el uso de algoritmos de cifrado ECC, o No permitir, para usar sólo cifrado RSA.

noteNota
Esta configuración de directivas solo se aplica cuando se cifra un archivo o carpeta por primera vez. Si se cifró un archivo o carpeta antes de establecer esta configuración, el usuario aún tendrá acceso al contenido que aún estará cifrado mediante el algoritmo exigido en ese momento.

Seleccionar Requerir no exige el uso de AES para la clave de cifrado de archivos; solo exige el uso de un algoritmo ECC. Algunos algoritmos ECC son compatibles con la Suite B y otros no lo son.

Cambios a la herramienta de línea de comandos Cipher.exe

Las opciones /K y /R de Cipher.exe incluyen un parámetro opcional /ECC:length, que permite la generación de claves ECC. La longitud de clave de las claves ECC se puede especificar como 256, 384 ó 521. Este parámetro se ignorará a menos que se genere un certificado autofirmado.

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft