Crear y comprobar un certificado del Agente de recuperación de datos (DRA) del Sistema de cifrado de archivos (EFS)

Nota

A partir de julio de 2022, Microsoft está desusando Windows Information Protection (WIP). Microsoft seguirá admitiendo WIP en las versiones compatibles de Windows. Las nuevas versiones de Windows no incluirán nuevas funcionalidades para WIP y no se admitirán en versiones futuras de Windows. Para obtener más información, vea Anuncio de la puesta del sol de Windows Information Protection.

Para sus necesidades de protección de datos, Microsoft recomienda usar Microsoft Purview Information Protection y Prevención de pérdida de datos de Microsoft Purview. Purview simplifica la configuración y proporciona un conjunto avanzado de funcionalidades.

Se aplica a:

• Windows 10
• Windows 11

Si aún no tiene un certificado EFS DRA, deberá crear y extraer uno del sistema para poder usar Windows Information Protection (WIP), anteriormente conocido como protección de datos empresariales (EDP), en su organización. Para los fines de esta sección, usaremos el nombre de archivo EFSDRA; sin embargo, este nombre se puede reemplazar por cualquier cosa que tenga sentido para usted.

Importante

Si ya tienes un certificado DRA de EFS para la organización, puedes omitir crear uno nuevo. Simplemente, usa el certificado DRA de EFS actual en la directiva. Para obtener más información sobre cuándo usar una PKI y la estrategia general que debes usar para implementar certificados DRA, consulta el artículo Vigilancia de seguridad Implementación de EFS: Parte 1 en TechNet. Para obtener información más general acerca de la protección de EFS, consulta Protecting Data by Using EFS to Encrypt Hard Drives (Protección de datos mediante EFS para cifrar unidades de disco duro).

Si el certificado DRA ha expirado, no podrá cifrar los archivos con él. Para corregir esto, deberás crear un nuevo certificado siguiendo los pasos de este tema y, después, implementarlo mediante la directiva.

Creación manual de un certificado DE EFS DRA

1. En un equipo sin un certificado DRA de EFS instalado, abre un símbolo del sistema con permisos elevados y, después, desplázate a la ubicación donde quieres almacenar el certificado.

2. Ejecuta este comando:

   cipher /r:EFSRA
   

   Donde EFSRA es el nombre de los .cer archivos y .pfx que desea crear.

3. Cuando se te pida, escribe y confirma una contraseña para ayudar a proteger el nuevo archivo de intercambio de información personal (.pfx).

   Los archivos EFSDRA.cer y EFSDRA.pfx se crean en la ubicación especificada en el paso 1.

   Importante

   Dado que las claves privadas de los archivos .pfx de DRA pueden usarse para descifrar cualquier archivo WIP, debes protegerlos en consecuencia. Se recomienda encarecidamente almacenar estos archivos sin conexión, mantener copias en una tarjeta inteligente con protección segura para el uso normal y copias maestras en una ubicación física protegida.

4. Agregue el certificado EFS DRA a la directiva wip mediante una herramienta de implementación, como Microsoft Intune o Microsoft Configuration Manager.

   Nota

   Este certificado se puede usar en Intune para directivas tanto con inscripción de dispositivos (MDM) como sin inscripción de dispositivos (MAM).

Comprobar que el certificado de recuperación de datos está configurado correctamente en un equipo cliente WIP

1. Busca o crea un archivo cifrado con Windows Information Protection. Por ejemplo, podría abrir una aplicación en la lista de aplicaciones permitidas y, a continuación, crear y guardar un archivo para que wip lo cifre.

2. Abra una aplicación en la lista de aplicaciones protegidas y, a continuación, cree y guarde un archivo para que wip lo cifre.

3. Abre un símbolo del sistema con permisos elevados, desplázate a la ubicación donde almacenaste el archivo recién creado y, después, ejecuta este comando:

   cipher /c filename
   

   Donde nombre de archivo es el nombre del archivo que creaste en el paso 1.

4. Asegúrate de que el certificado de recuperación de datos se muestre en la lista Certificados de recuperación.

Recuperación de los datos mediante el certificado EFS DRA en un entorno de prueba

1. Copia el archivo cifrado con WIP en una ubicación donde tengas acceso de administrador.

2. Instala el archivo EFSDRA.pfx usando su contraseña.

3. Abre un símbolo del sistema con permisos elevados, desplázate al archivo cifrado y, después, ejecuta este comando:

   cipher /d encryptedfile.extension
   

   Donde archivo_cifrado.extensión es el nombre del archivo cifrado. Por ejemplo, corporatedata.docx.

Recuperación de wip protegido después de la anulación de la inscripción

Es posible que puedas revocar los datos de un dispositivo cuya inscripción se haya anulado, por si quieres restaurarlo todo posteriormente. Esto puede suceder en el caso de la devolución de un dispositivo que falta o si un empleado cuya inscripción se ha anulado se inscribe nuevamente. Si el empleado se inscribe de nuevo con el perfil de usuario original y el almacén de claves revocado sigue en el dispositivo, todos los datos revocados se pueden restaurar a la vez.

Importante

Para mantener el control sobre los datos empresariales y para poder revocar datos de nuevo en el futuro, solo tienes que realizar este proceso cuando el empleado haya vuelto a inscribir el dispositivo.

1. Pida al empleado que inicie sesión en el dispositivo no inscrito, abra un símbolo del sistema con privilegios elevados y escriba:

   Robocopy "%localappdata%\Microsoft\EDP\Recovery" "new_location" * /EFSRAW
   

   Donde "new_location" está en un directorio diferente. Esto puede ser en el dispositivo del empleado o en una carpeta compartida en un equipo que ejecuta Windows 8 o Windows Server 2012 o más reciente y se puede acceder a él mientras inicia sesión como agente de recuperación de datos.

   Para iniciar Robocopy en modo S, abra el Administrador de tareas. Haga clic en Ejecutar>archivo nueva tarea, escriba el comando y haga clic en Crear esta tarea con privilegios administrativos.

   

   Si el empleado realizó una instalación limpia y no hay ningún perfil de usuario, debe recuperar las claves de la carpeta Volumen del sistema en cada unidad. Tipo:

   Robocopy "drive_letter:\System Volume Information\EDP\Recovery\" "new_location" * /EFSRAW
   

2. Inicia sesión en otro dispositivo con credenciales de administrador que tengan acceso al certificado DRA de la organización, y escribe lo siguiente para descifrar y recuperar el archivo:

   cipher.exe /D "new_location"
   

3. Pide al empleado que inicie sesión en el dispositivo cuya inscripción se ha anulado y escribe lo siguiente:

   Robocopy "new_location" "%localappdata%\Microsoft\EDP\Recovery\Input"
   

4. Pide al empleado que bloquee y desbloquee el dispositivo.

   El servicio de credenciales de Windows recupera automáticamente las claves revocadas anteriormente del empleado de la Recovery\Input ubicación.

Recuperación automática de las claves de cifrado

A partir de Windows 10, versión 1709, WIP incluye una característica de recuperación de datos que permite el acceso de recuperación automática a los empleados para archivos de trabajo si se pierde la clave de cifrado y los archivos ya no son accesibles. Esto suele ocurrir si un empleado vuelve a crear una imagen de la partición del sistema operativo, quitando la información de la clave WIP o si se notifica que se ha perdido un dispositivo y que indicó para anulación de la inscripción un dispositivo equivocado.

Para asegurarse de que los empleados siempre puedan acceder a los archivos, WIP crea una clave de recuperación automática de la que se realiza una copia de seguridad en su identidad de Microsoft Entra.

La experiencia del empleado se basa en el inicio de sesión con una cuenta profesional Microsoft Entra ID. El empleado puede:

• Agregue una cuenta profesional a través del menú Conexión profesional o educativa > de cuentas > de configuración > de Windows.

  O bien

• Abra Cuentas > de configuración de > Windows Access work o school > Connect y elija el vínculo Unir este dispositivo a Microsoft Entra ID, en Acciones alternativas.

  Nota

  Para realizar una Microsoft Entra Unión a un dominio desde la página Configuración, el empleado debe tener privilegios de administrador en el dispositivo.

Después de iniciar sesión, la información de la clave WIP se desacarga automáticamente y los empleados pueden obtener a los archivos de nuevo.

Para probar qué ve el empleado durante el proceso de recuperación de claves WIP

1. Intenta abrir un archivo de trabajo en un dispositivo cuya inscripción se ha anulado.

   Aparece el cuadro Connect to Work to access work files.

2. Haz clic en Connect.

   Aparecerá la página Access work or school settings.

3. Inicie sesión en Microsoft Entra ID como empleado y compruebe que los archivos ahora se abren.

Temas relacionados

• Vigilancia de seguridad: implementación de EFS; parte 1

• Protecting Data by Using EFS to Encrypt Hard Drives (Protección de datos mediante EFS para cifrar unidades de disco duro)

• Crear una directiva de Windows Information Protection (WIP) con Microsoft Intune

• Cree una directiva de Windows Information Protection (WIP) mediante Microsoft Configuration Manager

• Creación de un agente de recuperación basado en dominio