Sistema de cifrado de archivo EFS

Descripción general del sistema de cifrado de archivos:

  • El sistema de cifrado de archivos (EFS) es un componente del sistema de archivos NTFS en Windows 2000, Windows XP Professional y Windows Server 2003.
  • EFS es la herramienta de cifrado de archivos integrada para los sistemas de archivos de Windows.
  • EFS habilita el cifrado y descifrado transparente de archivos mediante el uso avanzado, algoritmos criptográficos estándar.
  • Cualquier persona o programa que no posea la clave criptográfica adecuada no puede leer los datos encriptados.
  • Los archivos encriptados pueden protegerse incluso de aquellos que obtienen la posesión física de la computadora en la que residen los archivos.
  • Incluso las personas que están autorizadas para acceder a la computadora y su sistema de archivos no pueden ver los datos.
  • Si bien se deben utilizar otras estrategias defensivas, y la encriptación no es la contramedida correcta para cada amenaza, el cifrado es una poderosa adición a cualquier estrategia defensiva.

Puntos fuertes de EFS:

  • El cifrado EFS no ocurre en el nivel de la aplicación sino en el nivel del sistema de archivos; por lo tanto, el proceso de cifrado y descifrado es transparente para el usuario y la aplicación.
  • Si una carpeta está marcada para el cifrado, todos los archivos creados o trasladados a la carpeta serán encriptados.
  • Las aplicaciones no tienen que entender EFS ni administrar archivos cifrados con EFS de forma diferente a los archivos no encriptados.
  • Si un usuario intenta abrir un archivo y posee la clave para hacerlo, el archivo se abre sin esfuerzo adicional por parte del usuario.
  • Si el usuario no posee la clave, recibe un mensaje de error “Acceso denegado”

 Como seria el proceso de encriptación de un archivo:

El cifrado EFS implica la creación de una clave simétrica en el momento de cifrar el archivo o la carpeta. El usuario no tiene que escribir en ningún momento ninguna clave para cifrar o descifrar. El proceso es:

  1. El usuario habilito el cifrado en un archivo o una carpeta.
  2. Se genera de forma automática una clave simétrica para cifrar el archivo
  3. La clave simétrica generada se cifra con la clave pública del usuario y el resultado se anexa al encabezado del archivo.

Para compartir el archivo con otro usuario se sigue el siguiente proceso:

  1. Se obtiene la clave pública del otro usuario.
  2. Se usa la clave pública del otro usuario para cifrar la clave simétrica
  3. El resultado se anexa también al encabezado del archivo.

Agente de recuperación de datos DRA

  •  La recuperación de datos es el proceso por el que un usuario que pierde el acceso a su clave de cifrado puede ofrecerle sus datos cifrados a un administrador designado, conocido como Agente de Recuperación de Datos (DRA), que puede a su vez descifrar dichos datos y devolvérselos al usuario o volver a cifrarlos para su uso con una clave privada nueva
  •  El DRA funciona como una sombra del proceso de cifrado del usuario, proceso según el cual todo que cifre el usuario con su clave se cifra también con una copia de la clave del DRA. Así, cuando se pierde la clave de usuario, el DRA puede entrar, obtener los datos del texto cifrado, aplicarle una clave de DRA para descifrarlo (o volver a cifrarlo) y, a continuación, devolver los datos al usuario.
  1. Se obtiene la clave pública del usuario designado como agente de recuperacion de datos.
  2. Se usa la clave pública del DRA para cifrar la clave simétrica.
  3. El resultado se anexa al encabezado del archivo.

Por defecto, el DRA es el administrador del dominio. La tarea de recuperación de archivos la podemos delegar en otros usuarios, podemos definir otros DRAs. Esto debe hacerse desde una GPO

Debilidades y contramedidas:

Mecanismos de protección adicionales para archivos cifrados

Cualquier usuario de archivos encriptados debe reconocer posibles debilidades y avenidas de ataque.

  1. Use la defensa en profundidad y use los permisos de archivos.
  • El uso de EFS no elimina la necesidad de usar permisos de archivos para limitar el acceso a los archivos.
  • Si los usuarios obtuvieron claves de encriptación, pueden importarlas a su cuenta y descifrarlas. Sin embargo, si a las cuentas de usuario se le niega el acceso al archivo, los usuarios se frustrarán en sus intentos por obtener esta información confidencial.
  1. Use permisos de archivos para denegar eliminar.
  • Los archivos cifrados se pueden eliminar. Si los atacantes no pueden descifrar el archivo, pueden elegir simplemente eliminarlo. Si bien no tienen la información confidencial, no tienes tu archivo.
  1. Proteger las credenciales del usuario.
  • Si un atacante puede descubrir la identidad y la contraseña de un usuario que puede descifrar un archivo, el atacante puede iniciar sesión como ese usuario y ver los archivos.
  • La protección de estas credenciales es primordial.
  • Una política sólida de contraseñas, capacitación de los usuarios sobre el diseño de contraseñas seguras y las mejores prácticas para proteger estas credenciales ayudarán a prevenir este tipo de ataque.
  • Si las contraseñas de la cuenta están en peligro, cualquiera puede iniciar sesión con la identificación de usuario y la contraseña.
  • Una vez que el usuario ha iniciado sesión correctamente, puede descifrar cualquier archivo que la cuenta de usuario tenga el derecho de descifrar.
  • La mejor defensa es una política sólida de contraseñas, educación del usuario y el uso de buenas prácticas de seguridad.

Donde es aplicable un cifrado de archivo:

  • Otra prestación posible derivada del uso de PKI con EFS es facilitar un uso compartido más fácil de archivos cifrados.
  • Recuerde que EFS no se limita únicamente a sistemas de equipo portátil; puede ser igualmente valioso en cualquier situación donde la seguridad física de un equipo no se pueda garantizar.
  • En estas situaciones, es posible que exista la necesidad de que múltiples usuarios puedan tener acceso a los mismos datos cifrados.

Si bien el soporte técnico de Windows para el uso compartido de archivos cifrados está limitado de algún modo, ya que sólo admite el uso compartido de archivos individuales, no directorios, puede ser una herramienta útil

Autor/a: Manuel LLerena Mallqui

Curso: Microsoft MCSA Windows Server 2016 + Microsoft MCSE Cloud Platform & Infrastructure

Centro: Tajamar

Año académico: 2017-2018