none
cifrar ficheros no solo para local, sino a la hora de sacarlos del equipo y/o la red lan RRS feed

  • Pregunta

  • Hola, aqui dejo una consulta que no he sabido encontrar respuesta.

    Tengo claro como cifrar ficheros usando windows y que esos ficheros no son accedibles localmente, desde otro usuario o accediendo por un LIVE CD.

    Lo que no he encontrado respuesta es que cuando un fichero cifrado, lo adjunto a un email de GMAIL y lo envio, ese fichero llega al destinatario DESCIFRADO.

         Encuentro que eso es un fallo de seguridad, ya que, desde mi punto de vista tendria que llegarle cifrado y tener le que pasar al destinatario el CERTIFICADO CLAVE PUBLICA, para que lo pudiera leer.

    Alguien sabe como hacerlo, usando el cifrado de windows o directamente es imposible hacerlo

    Gracias

    Saludos

    viernes, 21 de agosto de 2015 17:57

Respuestas

  • El nombre te dice cómo funciona: EFS = "Encrypted File System" (Sistema de Archivos, Cifrado), esto es, que lo maneja el "File System". Inclusive si no puedes descifrarlo no puede ni siquiera copiarlo

    Y por eso cuando lo sacas del sistema de archivos deja de estar cifrado

    Y además para poder descifrarlo se necesita tener localmente la copia de seguridad de la clave privada, no la pública, del certificado

    Los datos se cifran con la pública, justamente para que sean descifrados únicamente con la privada. O si quieres más datos, en realidad la clave pública se utiliza para cifrar las claves simétricas usadas para cifrar los datos

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 24 de agosto de 2015 16:57
    • Marcado como respuesta Moderador M miércoles, 26 de agosto de 2015 14:36
    viernes, 21 de agosto de 2015 18:13
    Moderador
  • Me alegro te sirva :)

    a) Es una medida adicional de seguridad, además de proteger no sólo ante un live-cd sino por ejemplo además sustracción de disco o servidor

    b) No trabaja así EFS. Cuando un archivo o carpeta está cifrado, lo puede descifrar: el usuario que lo cifró, otro al cual le otorgue acceso el mismo, o el agente de recuperación. Para poder usa EFS en un servidor de archivos hay que manejar muy bien el tema de certificados, no se deben usar archivos autofirmados, se necesita una Autoridad Certificadora propia. RMS se maneja diferente

    c) No termino de comprender bien la pregunta, pero seguro que hay aplicaciones de terceros para cifrar información, pero cuidado que estás pensando en una forma diferente a cómo trabaja normalmente el cifrado

    En EFS por ejemplo, se cifra usando varias claves simétricas por parte del archivo, que luego se guardan cifradas con la clave pública de los que puedan acceder. Lo cifrado con una clave pública sólo se puede descifrar con la clave privada que tiene la cuenta y que no tiene relación con la contraseña

    No, lamentablemente acá no respondemos preguntas existenciales, eso lo dejamos a los foros de filosofía :D

    [Edito] Agrego algo más de información: ten mucho, pero mucho cuidado con el tema cifrado, si no lo manejas bien y no resguardas los elementos para descifrar la información, puedes perder irremisiblemente todos los datos. Los sitemas de cifrado seguros son así. Si pudieras descifrar la información de otra manera no servirían para nada

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    lunes, 31 de agosto de 2015 22:09
    Moderador
  • No, no soy yo el que da la solución :)

    Lo que estás buscando, por lo que dices es un agregado que se llama RMS ("Rights Management Service")

    Este tiene toda la funcionalidad que buscas, y aún más

    Te dejo un enlace a una nota que hice hace ya bastante tiempo con el servicio, pero que te servirá para ver la funcionalidad

    Demostración Rights Management Services (RMS) en Ambiente de Prueba | WindowServer
    https://windowserver.wordpress.com/2011/05/31/demostracin-rights-management-services-rms-en-ambiente-de-prueba/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Grupo InsaTeck viernes, 4 de septiembre de 2015 16:18
    lunes, 31 de agosto de 2015 10:58
    Moderador
  • Estimado,

    Estas usted buscando varias opciones de seguridad.

    Una de ellas seria un EndPoint de cualquier empresa de terceros. este solo te dará los permisos que tu desees, recuerda que de igual en algún momento alguien te ingresara un celular, sacara una foto y tu no podrás hacer nada. esto aunque existan herramientas de seguridad, también se debe tener un 20% parte del administrador de la plataforma.

    Saludos,


    Edwin Duran Ospina _____________________________________________ Si la respuesta ha sido la solución, favor marcarla.

    • Marcado como respuesta Grupo InsaTeck viernes, 4 de septiembre de 2015 16:18
    martes, 1 de septiembre de 2015 0:35
  • Estimado, 

    Herramientas EndPoint o puntos finales son las que te administran y controlan los puntos de escapes finales para los usuarios.

    Yo trabaje con esta herramienta para el Ejercito y empresas del estado las cuales tiene mucho peligro de perdida y robo de información:

    http://www.gfi.com/products-and-solutions/network-security-solutions/gfi-endpointsecurity

    Esta herramienta te controla y te envía una alerta de quien ingreso un pendrive u otras dispositivos a la red.

    Hay opciones mas económicas y que ya vienen en los antivirus tales como:

    Kaspersky Endpoint Security.

    ESET Nod32, entre otros.

    De igual manera estos antivirus tiene encriptacion o cifrado de documentos también.

    Saludos,


    Edwin Duran Ospina

    Si la respuesta ha sido la solución, favor marcarla.


    viernes, 4 de septiembre de 2015 13:10
  • Hola, ok

    Entonces lanzo las siguientes preguntas / dudas:

    1) Entiendo que cifrando los datos de un windows server 2008, si me arrancan con un LIVE CD. Ya no podrán leerlos por defecto.

    2) Si un cliente me pide que ademas de tener cifrados los datos en local. Quiere evitar que los ficheros de su empresa, no puedan salir por medios externos como:

         2.1. ) Pendrive USB

         2.2. ) Correos electronicos

           *** Que solución le das?, si el cifrar archivos, ya no tendría efecto.

    Gracias

    Saludos

    • Marcado como respuesta Grupo InsaTeck viernes, 4 de septiembre de 2015 16:18
    lunes, 31 de agosto de 2015 0:15
  • ok, gracias, muy interesando lo que me has enviado

    entonces, te pregunto lo siguiente y no se si ya es competencia tuya o no

    a) De que sirve tener un File Server, con archivos cifrados?

            Si ya tienes la seguridad NTFS de acceso a los ficheros.

               Por si, te arrancan con un live cd? Por entiendo que sino pones el Sistema RMS. Cualquier que tenga acceso a la LAN, se lleva todos los secretos de la empresa.

    b) En el File Server, se pueden crear diferentes certificados de cifrado, para asignarlas a diferentes carpetas?

    c) Hay alguna otra alternativa no nativa en windows server, que corra sobre windows server, que deje cifrar archivos / carpetas, asignados a los usuarios del dominio, los certificados para cada archivo / carpeta que pueden descifrar

    Muchas gracias

    Se agradece alguien que pueda contestarte, según que preguntas existenciales de Windows Server.

    • Marcado como respuesta Grupo InsaTeck viernes, 4 de septiembre de 2015 16:18
    lunes, 31 de agosto de 2015 19:59

Todas las respuestas

  • El nombre te dice cómo funciona: EFS = "Encrypted File System" (Sistema de Archivos, Cifrado), esto es, que lo maneja el "File System". Inclusive si no puedes descifrarlo no puede ni siquiera copiarlo

    Y por eso cuando lo sacas del sistema de archivos deja de estar cifrado

    Y además para poder descifrarlo se necesita tener localmente la copia de seguridad de la clave privada, no la pública, del certificado

    Los datos se cifran con la pública, justamente para que sean descifrados únicamente con la privada. O si quieres más datos, en realidad la clave pública se utiliza para cifrar las claves simétricas usadas para cifrar los datos

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 24 de agosto de 2015 16:57
    • Marcado como respuesta Moderador M miércoles, 26 de agosto de 2015 14:36
    viernes, 21 de agosto de 2015 18:13
    Moderador
  • Hola, ok

    Entonces lanzo las siguientes preguntas / dudas:

    1) Entiendo que cifrando los datos de un windows server 2008, si me arrancan con un LIVE CD. Ya no podrán leerlos por defecto.

    2) Si un cliente me pide que ademas de tener cifrados los datos en local. Quiere evitar que los ficheros de su empresa, no puedan salir por medios externos como:

         2.1. ) Pendrive USB

         2.2. ) Correos electronicos

           *** Que solución le das?, si el cifrar archivos, ya no tendría efecto.

    Gracias

    Saludos

    • Marcado como respuesta Grupo InsaTeck viernes, 4 de septiembre de 2015 16:18
    lunes, 31 de agosto de 2015 0:15
  • No, no soy yo el que da la solución :)

    Lo que estás buscando, por lo que dices es un agregado que se llama RMS ("Rights Management Service")

    Este tiene toda la funcionalidad que buscas, y aún más

    Te dejo un enlace a una nota que hice hace ya bastante tiempo con el servicio, pero que te servirá para ver la funcionalidad

    Demostración Rights Management Services (RMS) en Ambiente de Prueba | WindowServer
    https://windowserver.wordpress.com/2011/05/31/demostracin-rights-management-services-rms-en-ambiente-de-prueba/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Grupo InsaTeck viernes, 4 de septiembre de 2015 16:18
    lunes, 31 de agosto de 2015 10:58
    Moderador
  • ok, gracias, muy interesando lo que me has enviado

    entonces, te pregunto lo siguiente y no se si ya es competencia tuya o no

    a) De que sirve tener un File Server, con archivos cifrados?

            Si ya tienes la seguridad NTFS de acceso a los ficheros.

               Por si, te arrancan con un live cd? Por entiendo que sino pones el Sistema RMS. Cualquier que tenga acceso a la LAN, se lleva todos los secretos de la empresa.

    b) En el File Server, se pueden crear diferentes certificados de cifrado, para asignarlas a diferentes carpetas?

    c) Hay alguna otra alternativa no nativa en windows server, que corra sobre windows server, que deje cifrar archivos / carpetas, asignados a los usuarios del dominio, los certificados para cada archivo / carpeta que pueden descifrar

    Muchas gracias

    Se agradece alguien que pueda contestarte, según que preguntas existenciales de Windows Server.

    • Marcado como respuesta Grupo InsaTeck viernes, 4 de septiembre de 2015 16:18
    lunes, 31 de agosto de 2015 19:59
  • Me alegro te sirva :)

    a) Es una medida adicional de seguridad, además de proteger no sólo ante un live-cd sino por ejemplo además sustracción de disco o servidor

    b) No trabaja así EFS. Cuando un archivo o carpeta está cifrado, lo puede descifrar: el usuario que lo cifró, otro al cual le otorgue acceso el mismo, o el agente de recuperación. Para poder usa EFS en un servidor de archivos hay que manejar muy bien el tema de certificados, no se deben usar archivos autofirmados, se necesita una Autoridad Certificadora propia. RMS se maneja diferente

    c) No termino de comprender bien la pregunta, pero seguro que hay aplicaciones de terceros para cifrar información, pero cuidado que estás pensando en una forma diferente a cómo trabaja normalmente el cifrado

    En EFS por ejemplo, se cifra usando varias claves simétricas por parte del archivo, que luego se guardan cifradas con la clave pública de los que puedan acceder. Lo cifrado con una clave pública sólo se puede descifrar con la clave privada que tiene la cuenta y que no tiene relación con la contraseña

    No, lamentablemente acá no respondemos preguntas existenciales, eso lo dejamos a los foros de filosofía :D

    [Edito] Agrego algo más de información: ten mucho, pero mucho cuidado con el tema cifrado, si no lo manejas bien y no resguardas los elementos para descifrar la información, puedes perder irremisiblemente todos los datos. Los sitemas de cifrado seguros son así. Si pudieras descifrar la información de otra manera no servirían para nada

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    lunes, 31 de agosto de 2015 22:09
    Moderador
  • Estimado,

    Estas usted buscando varias opciones de seguridad.

    Una de ellas seria un EndPoint de cualquier empresa de terceros. este solo te dará los permisos que tu desees, recuerda que de igual en algún momento alguien te ingresara un celular, sacara una foto y tu no podrás hacer nada. esto aunque existan herramientas de seguridad, también se debe tener un 20% parte del administrador de la plataforma.

    Saludos,


    Edwin Duran Ospina _____________________________________________ Si la respuesta ha sido la solución, favor marcarla.

    • Marcado como respuesta Grupo InsaTeck viernes, 4 de septiembre de 2015 16:18
    martes, 1 de septiembre de 2015 0:35
  • hola

    buenas

    que seria una solución EndPoint?

          por que me serviria para mi caso?

               un ejemplo, nombre de un producto EnPoint?

    muchas gracias

    saludos

    viernes, 4 de septiembre de 2015 9:09
  • Estimado, 

    Herramientas EndPoint o puntos finales son las que te administran y controlan los puntos de escapes finales para los usuarios.

    Yo trabaje con esta herramienta para el Ejercito y empresas del estado las cuales tiene mucho peligro de perdida y robo de información:

    http://www.gfi.com/products-and-solutions/network-security-solutions/gfi-endpointsecurity

    Esta herramienta te controla y te envía una alerta de quien ingreso un pendrive u otras dispositivos a la red.

    Hay opciones mas económicas y que ya vienen en los antivirus tales como:

    Kaspersky Endpoint Security.

    ESET Nod32, entre otros.

    De igual manera estos antivirus tiene encriptacion o cifrado de documentos también.

    Saludos,


    Edwin Duran Ospina

    Si la respuesta ha sido la solución, favor marcarla.


    viernes, 4 de septiembre de 2015 13:10