EFI utiliza algoritmos estándar de la industria y la criptografía de clave pública para asegurar el cifrado fuerte. Los archivos que están codificados, por lo tanto, son siempre confidenciales. Aunque el inicio de sesión de autenticación y permisos de archivos NTFS están orientadas a proteger los datos confidenciales, puede utilizar EFS para añadir una capa adicional de seguridad. Esto garantizaría que, cuando los piratas informáticos obtener pleno acceso al almacén de datos de un ordenador, los datos localizados en los archivos están protegidos por el cifrado EFS. Una persona no autorizada no pueda abrir un archivo encriptado.

EFS en Windows Server 2003 mejora de las capacidades de EFS en Windows 2000. Los usuarios que utilizan cifrado EFS pueden compartir archivos con otros usuarios de recursos compartidos de archivos e incluso carpetas Web. Puede configurar EFI ofrece a través de la política de grupo y herramientas de línea de comandos. EFI es muy adecuado para obtener datos sensibles en ordenadores portátiles. También funciona bien para asegurar los datos cuando los equipos son compartidos por varios usuarios.

¿Cómo funciona EFI

EFI es firmemente integrada con NTFS, y su archivo de los procesos de cifrado y descifrado son transparentes para los usuarios. Lo que esto significa es que cuando los usuarios guardar un archivo, EFS encripta los datos que los datos se graban en el disco, y cuando el usuario abre un archivo, es descifrar los datos por EFI como se lee desde el disco. Los usuarios son, básicamente, desconocen este proceso, y no necesitan tomar ninguna acción para iniciar EFI cifrado y descifrado. Puede haber tecnologías de terceros que pueden proporcionar capacidades de cifrado de archivos, pero estos programas no están completamente transparente para los usuarios. Con estos programas, la responsabilidad sería colocada para recordar a los usuarios a utilizar el programa de cifrado. Esto, a su vez da lugar a procesos de seguridad más débil, y podría crear vulnerabilidades de seguridad para los productos sensibles, los datos confidenciales.

EFI utiliza claves para cifrar y descifrar datos, la criptografía y la interfaz de programación de aplicaciones (CryptoAPI) arquitectura para suministrar funciones criptográficas. A pesar de que la empresa puede utilizar autoridad certificadora (CA) certificados, este no es un requisito. Cuando no existe CA, EFI firme un certificado que se puede utilizar con cifrado de archivos. Debido a esta función, EFI puede funcionar en los equipos que son miembros de un dominio, independiente y en equipos.

Las claves que EFI utiliza para cifrar y descifrar datos, es un público y privado par de claves, y por un archivo de clave de cifrado. EFI genera una clave de cifrado de archivos (FEK), que es una clave de cifrado simétrico para cifrar los datos. La clave de cifrado de archivos (FEK) es la próxima cifra mediante el uso de la encriptación asimétrica de clave pública del usuario. Cifrado asimétrico utiliza una clave pública y privada para la pareja más fuerte de seguridad. La FEK cifrada se almacena con el archivo encriptado. Cuando el archivo tiene que ser descifrado, la FEK debe ser descifrado. La clave privada del usuario se utiliza para descifrar la FEK. La FEK se utiliza para descifrar los datos del archivo.

EFI Características clave

• EFI está activado por defecto. Sin embargo, los usuarios necesitan un público y privado par de claves, y el permiso para utilizar EFS.
• EFI necesita un certificado de agente de recuperación para que funcione. Va a generar el certificado, si no tiene uno.
• EFI sólo puede cifrar archivos cuando el sistema de archivos NTFS se utiliza.
• Cifrado tiene un impacto sobre los permisos de archivos y carpetas
• Usted puede autorizar a varios usuarios compartir archivos cifrados
• Al mover archivos EFS a otro sistema de archivos, cifrado se elimina.
• Al mover archivos a una carpeta que está cifrado, el archivo permanece en su forma original. Se queda bien codificadas o sin codificar.
• Cuando se copia un archivo a una carpeta cifrada, el archivo será encriptado.
• Cuando hay una carpeta cifrada, todos los archivos temporales en esa carpeta cifrada también.
• De cifrado aparece como atributo de un archivo y, por tanto, aparece con el resto de los atributos del archivo.
• EFI puede cifrar y descifrar los archivos en un equipo remoto
• Fuera de línea los archivos también pueden ser encriptados con EFS
• Los archivos que son encriptados se pueden almacenar en carpetas Web
• EFI utilizado anteriormente la norma de cifrado de datos ampliada (DESX) para el cifrado. Con Windows Server 2003, el triple-DES (3DES) algoritmo de cifrado puede utilizarse para mejorar la seguridad de EFI.
• Puede realizar copias de seguridad de archivos cifrados.
• Cualquier comprimido los archivos y carpetas deben ser descomprimido antes de que puedan ser codificados
• Sistema de archivos y carpetas no pueden ser encriptados.
• Archivos o carpetas en un perfil de usuario móvil no puede ser cifrada

Componentes de la EFI

EFI utiliza los siguientes elementos para realizar sus funciones:

• EFI servicio: El servicio de EFI EFI se comunica con el conductor a través de la llamada de procedimiento local (LPC) puerto. EFI y el servicio de cifrado de Microsoft Interfaz de programación de aplicaciones (CryptoAPI) comunicar, con el EFI servicio que reciben las llaves de cifrado de archivos de la CryptoAPI. Utiliza estas teclas para generar campos de descifrado de datos (DDFs) y de recuperación de datos de campos (DRFs). La clave de cifrado de archivos (FEK) se utiliza para los datos de los archivos. El EFI servicio pasa la FEK, DRF, DDF y al conductor a través de los EFI EFI Sistema de archivos de la Biblioteca en tiempo de ejecución (FSRTL).
• EFI conductor: El controlador EFI pide claves de cifrado de archivos, DDFs y DRFs de la EFI servicio. A continuación, estos enlaces a la EFI FSRTL.
• EFI Sistema de archivos de la Biblioteca en tiempo de ejecución (FSRTL): El EFI FSRTL existe en el controlador de EFI, y funciona con el controlador EFI como uno de los componentes. De archivos NTFS de control de llamadas se utilizan como mecanismo de comunicación entre los dos. El EFI FSRTL lleva a cabo un conjunto de funciones del sistema de archivos que incluyen la encriptación, descifrar, y la recuperación de datos del archivo cuando se lee desde el disco o por escrito en el disco.
• Microsoft criptográfico Interfaz de programación de aplicaciones (CryptoAPI): CryptoAPI es utilizado por EFI para funciones criptográficas. CryptoAPI admite el cifrado, descifrado, hashing, firmas digitales y la verificación del mismo, gestión de claves, almacenamiento seguro, y las operaciones de intercambio de claves.

¿Cómo están los archivos cifrados y descifrados

Como se mencionó anteriormente, EFS utiliza una clave pública y clave simétrica de cifrado para garantizar el contenido de los archivos y carpetas. Los algoritmos de cifrado de clave pública utilizan claves asimétricas para el cifrado y descifrado. Lo que esto significa es que las claves utilizadas para cifrar y descifrar los datos son diferentes debido a una clave privada y una clave pública se utiliza. La clave privada se mantiene por el propietario de la clave. La clave pública puede ser utilizado en la red.

Cuando los datos se cifran, EFS genera un único FEK para cifrar el archivo. A continuación, la FEK encripta usando la clave pública del certificado del usuario. FEK EFI utiliza el cifrado para asegurar que se produce rápidamente. La clave privada del usuario se utiliza para descifrar la FEK.

El proceso descrito a continuación se produce cuando un usuario cifra un archivo:

• El archivo es abierto por el servicio de EFI
• Los flujos de datos del archivo se copian en un próximo texto de archivo temporal ubicado en el directorio temporal del sistema
• EFI genera el único FEK.
• La FEK se utiliza para cifrar el archivo ya sea a través de DESX o 3DES.
• El descifrado de datos de campo (DDF) se crea. El titular de la DDF FEK cifrada a través de la clave pública del usuario.
• Cuando un agente de recuperación se define por medio de la política de grupo, la recuperación de datos de campos (DRFs) es creado.
• Los datos cifrados, DDF, DRF y se almacenan en el archivo.
• El texto de archivo temporal ubicado en el directorio temporal del sistema se eliminará.

El proceso descrito a continuación se produce cuando un archivo se descifra:

• NTFS en realidad se identifica como los archivos cifrados y, a continuación, presenta una solicitud de descifrado hasta el controlador EFI.
• El controlador EFI siguiente obtiene el descifrado de datos de campo (DDF) y la envía a la EFI servicio.
• El EFI servicio obtiene la clave privada del usuario. Se utiliza esta clave para descifrar el DDF.
• Una vez que el servicio de EFI ha descifrado el DDF y obtuvo la FEK, envía la FEK en el controlador de EFI.
• El controlador EFI utiliza la FEK que recibió del servicio de EFI para descifrar los datos en el archivo.
• El controlador EFI luego pasa el descifrado de datos a NTFS.

EFI y certificados

Tan pronto como un usuario permite el cifrado de una carpeta o archivos, EFI comprueba si el usuario tiene un certificado de la empresa almacena en el almacén de certificados personales. EFI solicita un certificado para el usuario en caso de que no puede encontrar un certificado en el almacén de certificados personales, de una autoridad de certificación (CA). EFI producto para crear un certificado auto firmado por el usuario si no hay empresa AC. El certificado de EFS de los usuarios cuando se accede a las necesidades de EFS para cifrar y descifrar la FEK. EFI EFI también renueva los certificados que hayan caducado.

Certificados que se obtienen de la empresa AC certificado de uso de plantillas que se almacenan en Active Directory. Certificado de plantillas detalle los atributos del certificado de tipo que pueden ser expedidos a los usuarios y computadoras. El certificado de que las plantillas de apoyo son EFI usuario, administrador y Básica EFI. Empresa. CA utiliza listas de control de acceso (ACL), cuando hay que comprobar si las solicitudes de certificado debe ser aprobado. Un usuario, por lo tanto, tiene que tener la autorización para inscribirse un certificado de plantilla para tener un certificado expedido. Los miembros del grupo Administradores de dominio y el grupo Usuarios de dominio tiene este permiso. Los usuarios pueden utilizar el complemento Certificados para solicitar certificados.

Utilice los pasos a continuación para solicitar un certificado de una CA a través de los Certificados de

1. Abra el complemento Certificados en
2. Proceder a ampliar las carpetas personales.
3. Haga clic con el botón Certificados y elegir Todas las tareas y, a continuación, Nueva Solicitud de Certificado del menú de acceso directo
4. La Solicitud de Certificado de Asistente de Nueva lanzamientos.
5. Elija la opción básica EFI en el Certificado Tipo de pantalla. Haga clic en Siguiente
6. Proporcionar información para Friendly nombre y descripción. Haga clic en Siguiente
7. Haga clic en Finalizar para salir del asistente.
8. El nuevo certificado se almacena en la carpeta Certificados.

Puede utilizar el complemento Certificados para comprobar si ya tiene un certificado

1. Proceder a navegar y abrir el complemento Certificados en crear para la cuenta de usuario de Mi
2. Expanda la carpeta personal
3. Haga clic con el botón Certificados para ver si existe un certificado

Cifrar / descifrar archivos con EFI

Se recomienda habilitar la encriptación de carpetas EFI en lugar de permitir que para archivos individuales. De esta manera, usted no tendría que codificar cada archivo al guardar el archivo.

Utilice los pasos siguientes para cifrar una carpeta

1. Abra Mi PC
2. Haga clic derecho en la carpeta que desee cifrar, y seleccione Propiedades en el menú contextual.
3. Cuando el cuadro de diálogo Propiedades de la carpeta se abre, haga clic en el botón Avanzadas en la ficha General.
4. El cuadro de diálogo Atributos avanzados aparece en la pantalla.
5. En el Encriptar Comprimir o atributos de la sección Atributos avanzada cuadro de diálogo, active la Cifrar contenido para proteger datos casilla.
6. Haga clic en Aceptar para permitir el cifrado de la carpeta y todos los archivos incluidos en la carpeta.
7. Un mensaje adicional que se muestra en un cuadro de diálogo cuando la carpeta que incluye las subcarpetas y archivos que están sin encriptar. El mensaje le pide que verifique si los ajustes deben aplicarse sólo a la carpeta oa la carpeta y subcarpetas y archivos.
8. Si elige Aplicar cambios a esta carpeta única opción, ocurre lo siguiente:
• Ya los archivos almacenados en la carpeta y todas las subcarpetas permanecer en su estado original
• Los archivos que usted crea en la carpeta cifrada
• Archivos copiados a la carpeta por usted y otros usuarios están codificados
• En los archivos creados, copiados o movidos a subcarpetas permanecer en su estado original.
9. Si elige Aplicar cambios a esta carpeta, subcarpetas y archivos de opción, ocurre lo siguiente:
• Ya los archivos almacenados en la carpeta y todas las subcarpetas están codificados si tienen el permiso de escritura.
• En los archivos creados, copiados o movidos a subcarpetas están codificados, ya sea por usted o por otros usuarios

Utilice los pasos siguientes para descifrar una carpeta

1. Haga clic derecho en la carpeta que desee descifrar, y seleccione Propiedades en el menú contextual.
2. Cuando el cuadro de diálogo Propiedades de la carpeta se abre, haga clic en el botón Avanzadas en la ficha General
3. Cuando el cuadro de diálogo Atributos avanzados se muestra, el claro Cifrar contenido para proteger datos casilla.

Cómo cifrar archivos sin conexión

1. Abra Mi PC
2. Utilice el menú Herramientas para seleccionar el elemento Opciones de Carpeta
3. Utilice la ficha Archivos sin conexión a:
• Habilitar archivos sin conexión
• Cifrar archivos sin conexión
4. Haga clic en Aceptar

Cómo ver el estado de cifrado EFS

1. Abra Mi PC
2. Utilice el menú Herramientas para seleccionar el elemento Opciones de Carpeta
3. Haga clic en la ficha Ver
4. Mostrar Activar el cifrado de archivos NTFS comprimidos o en color casilla.
5. Haga clic en Aceptar
6. Carpeta cifrada y los nombres de los archivos se muestran en verde.

Cómo habilitar EFI opciones en el menú

Si EFI opciones están habilitadas en el menú, el usuario sólo tiene que hacer clic derecho en la carpeta o el archivo de para cifrar o descifrar la carpeta o el archivo.

1. Haga clic en Inicio, Ejecutar y escriba regedit.exe en el cuadro de diálogo Ejecutar. Haga clic en Aceptar
2. Se abre el Editor del Registro
3. Busque la siguiente subclave:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced

4. Utilice el menú Editar para seleccionar Nuevo y, a continuación, en Valor DWORD
5. Proceder a especificar el valor EncryptionContextMenu nombre, y 1 para el valor de datos.
6. Registro de los cambios son efectivos inmediatamente.

Cómo utilizar Cipher.exe para ver, crear o modificar el cifrado de archivos y carpetas

Cipher.exe es una herramienta de línea de comandos que se pueden utilizar para cifrar y descifrar archivos o carpetas. Usando el sistema de cifrado de comando sin modificadores se mostrará el estado de la encriptación de la carpeta y archivos ubicados dentro de la carpeta.

La sintaxis para el sistema de cifrado de sus interruptores de mando y se indica a continuación:

cipher [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]]

• /e encripta las carpetas y los archivos son encriptados añadido y
• /d descifra las carpetas. El atributo de cifrado se elimina de las carpetas.
• /s:Folder que sirve para indicar la carpeta y subcarpetas que se deben utilizar
• /a que se utiliza para cifrar los archivos en el directorio actual
• /i que se utiliza para indicar que el actual proceso debe continuar a pesar de los errores están presentes.
• /f que se utiliza para el cifrado o descifrado vigor para todos los archivos y carpetas definidas
• /q listas sólo la información importante
• /h listas de archivos que tienen atributos ocultos y sistema atributos
• /k genera un nuevo FEK para el usuario que ejecuta el comando
• /u las actualizaciones de la FEK del usuario y la clave del agente de recuperación. Se usa con / n cambiar
• /n deja de teclas que no sean actualizados. Se usa con / u interruptor

¿Cómo autorizar el acceso del usuario a múltiples archivos cifrados

Antes de autorizar el acceso a múltiples usuarios de los archivos cifrados, considere lo siguiente:

• Un recurso compartido de archivos, carpeta Web o sesión remota es necesario para los usuarios autorizados para compartir archivos EFS a través de la red.
• Los usuarios que va a autorizar el acceso a los archivos debe tener EFI EFI certificados
• Al autorizar a un usuario para descifrar un archivo, el usuario es automáticamente capaz de autorizar usuarios adicionales con acceso al expediente

Utilice los pasos a continuación para compartir un archivo con EFI usuarios adicionales

1. Abra Mi PC
2. Haga clic derecho en el archivo encriptado y seleccione Propiedades en el menú contextual.
3. Cuando la avanzada atributos abrirá el cuadro de diálogo, haga clic en el botón Detalles
4. El cuadro de diálogo Detalles de cifrado se abre.
5. Haga clic en Agregar para abrir el cuadro de diálogo Seleccionar usuario.
6. Ahora puede añadir un usuario desde el equipo local, o de Active Directory.
7. Haga clic en el certificado del usuario para añadir un usuario desde el equipo local. Haga clic en Aceptar
8. Buscar usuario haga clic en el botón para buscar un usuario en Active Directory.
9. A continuación, haga clic en Examinar, cuando el Encuentra usuarios, contactos y grupos abrirá el cuadro de diálogo para encontrar el usuario (s).
10. Haga clic en la carpeta o el dominio que deben ser buscadas en la Búsqueda de contenedores para el cuadro de diálogo.
11. Seleccione el usuario (s) y haga clic en Aceptar

Agentes de recuperación de archivo

Ser capaz de recuperar los datos cuando los empleados se convierte en importante extraviarán sus claves privadas o salir de la organización sin descifrar la totalidad de sus archivos. Esto es cuando se convierte en agente de recuperación importante. Para utilizar EFS, un agente de recuperación de datos cifrados política debe existir. EFI automáticamente por defecto utiliza un agente de recuperación no cuenta a la hora de recuperación de datos cifrados Agente política existe. Los miembros del grupo Administradores de dominio puede especificar una cuenta para utilizar para la cuenta de agente de recuperación. La política local se puede utilizar en ordenadores independientes para especificar las cuentas de recuperación de datos de los agentes. Estas cuentas son normalmente una cuenta de administrador. DRA certificados se almacenan en el almacén de certificados de la computadora cuando un usuario accede a un ordenador de dominio que se incluye en el rango de la política de recuperación de EFS. Esto hace posible que cada equipo del dominio para acceder a la clave pública de la DRA. Archivos cifrados contienen un campo de recuperación de datos que, a su vez posee el archivo cifrado FEK. A DRA puede descifrar un archivo cifrado que está en el rango de la política de recuperación de EFS mediante la utilización de la clave privada.
Usted debe definir a través de múltiples DRAs EFI política de recuperación si desea que varios usuarios para poder descifrar los archivos. Los archivos son generalmente más seguro si sólo una persona es capaz de descifrar el archivo. La desventaja es que aunque el archivo es menor de reembolso.

Utilice los pasos siguientes para agregar un agente de recuperación para el equipo local

1. Haga clic en Inicio, Ejecutar y, a continuación, escriba mmc en el cuadro de diálogo Ejecutar. Haga clic en Aceptar
2. Elija Agregar o quitar complemento en el menú Archivo, y haga clic en Agregar.
3. Cuando el Agregar un complemento independiente en el cuadro de diálogo aparece, seleccione Editor de objetos de directiva de grupo. Haga clic en Agregar.
4. Asegúrese de que el equipo local está seleccionado. Haga clic en Aceptar
5. En el panel izquierdo, proceder a ampliar la Directiva de equipo local, Configuración del equipo, Configuración de Windows, Configuración de seguridad y Ajustes de clave pública.
6. Haga clic con el botón Sistema de archivos de cifrado y, a continuación, seleccione Propiedades desde el menú contextual.
7. EFI se está ejecutando en el equipo si Permitir a los usuarios encriptar archivos utilizando Sistema de archivos de cifrado (EFS) casilla de verificación está habilitada. Haga clic en Aceptar
8. Haga clic con el botón Sistema de archivos de cifrado y seleccione Agregar agente de recuperación de datos en el menú contextual.
9. El Asistente para Agregar agente de recuperación se inicia.
10. Proporcionar un nombre de usuario para el usuario, que tiene un certificado de recuperación. Haga clic en Siguiente
11. Seleccione en la pantalla de recuperación de los agentes, navegar por las carpetas / directorios para especificar los usuarios.
12. Haga clic en Siguiente. Haga clic en Finalizar.

Utilice los pasos siguientes para quitar un DRS

1. Uso de grupo, en el panel izquierdo, proceder a ampliar la Directiva de equipo local, Configuración del equipo, Configuración de Windows, Configuración de seguridad, de claves públicas, y Sistema de archivos de cifrado
2. DRA elegir el que desea eliminar y suprimir el certificado.

Cómo exportar e importar y EFI DRA certificados y claves privadas

Los usuarios pueden garantizar el acceso a los archivos cifrados por EFI exportar sus certificados y claves privadas a medios extraíbles.

Utilice los pasos siguientes para exportar un certificado a un medio extraíble

1. Proceder para acceder a los Certificados de
2. Expanda la carpeta personal y, a continuación, haga doble clic en Certificados
3. Buscar y haga clic derecho en el certificado que desea exportar, y seleccione Todas las tareas y, a continuación, Exportar en el menú contextual.
4. Elija Sí, exportar la clave privada.
5. Ahora puede elegir entre eliminar la clave privada de la computadora después de que se ha exportado, o puede optar por dejar en el equipo. Después de seleccionar una opción que se adapte a sus necesidades, haga clic en Siguiente
6. Proporcionar una contraseña para la protección de la clave privada exportada. Haga clic en Siguiente
7. Proporcionar un nombre para el certificado exportado y la clave privada.
8. Haga clic en Siguiente. Haga clic en Finalizar.

Utilice los pasos siguientes para importar un certificado

1. Proceder para acceder a los Certificados de
2. Expanda la carpeta personal y, a continuación, haga clic con el botón Certificados, seleccione Todas las tareas y, a continuación, en Importar desde el menú contextual.
3. Introduzca el archivo de certificado que debe ser importado.
4. Proporcionar la contraseña correcta para abrir el archivo
5. Especifique la ubicación donde el certificado debe ser importado a.

¿Cómo reforzar la seguridad de archivos y claves

Puede reforzar la seguridad mediante la sustitución de las DESX algoritmo que utiliza EFI, con el algoritmo más fuerte 3DES. Puede utilizar el sistema de criptografía de configuración de Directiva de grupo para permitir el cifrado 3DES para la Seguridad y la propiedad intelectual de EFI. Sin embargo, puede cambiar la configuración del Registro en la clave HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ EFI clave a través del Editor del Registro para permitir el cifrado 3DES para sólo para EFI.

También puede utilizar una clave de inicio maestro claves para proteger información confidencial y que reside en el equipo. Una clave de inicio también se le llama un SysKey. Inicio claves se crean automáticamente para los equipos que son miembros de un dominio. Usted tiene que crear manualmente una clave de inicio para un ordenador.

Una tecla de arranque protege la información confidencial la siguiente:

• Master claves: Estas son las claves utilizadas para proteger las claves privadas.
• Protección de teclas: Estas son las claves para la cuenta de usuario ni contraseñas almacenados en Active Directory, o en el local de Administrador de cuentas de seguridad (SAM) clave del Registro
• Claves para su protección secretos LSA
• La clave para la protección de la contraseña de la cuenta de administrador

Después de un inicio clave está habilitada, el procedimiento que se lleva a cabo en el inicio es el siguiente:

• El sistema recupera la clave de inicio
• A continuación se utiliza para descifrar la clave maestra de protección
• Esta clave se utiliza para obtener la cuenta de usuario clave de cifrado.
• La cuenta de usuario clave de cifrado se utiliza para descifrar la contraseña en Active Directory, o en el local de Administrador de cuentas de seguridad (SAM) clave del Registro.

Utilice los pasos siguientes para permitir el cifrado 3DES para sólo para EFI

1. Abra el Editor del Registro
2. Busque la clave HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ EFI subclave del Registro.
3. Utilice el menú Editar haga clic en Nuevo y, a continuación, en Valor DWORD
4. AlgorithmID para insertar nombre de valor, y el valor 0x6603 datos
5. Estos valores permiten 3DES
6. Reinicie el equipo

Utilice los pasos siguientes para que 3DES mediante Directiva de grupo

1. Uso de grupo, en el panel izquierdo, proceder a expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y, en Opciones de seguridad.
2. Haga doble clic en el sistema de criptografía: Utilice algoritmos compatibles FIPS para cifrado de la política.
3. Seleccione Activar
4. Haga clic en Aceptar

Utilice los pasos siguientes a fin de que la clave de inicio

1. SysKey entrar en la línea de comandos
2. Proceda a hacer clic Cifrado habilitado.
3. Haga clic en Aceptar
4. Elija una opción para la tecla. El sistema genera la contraseña que se almacena localmente opción es la opción predeterminada.
5. Haga clic en Aceptar para reiniciar el equipo.

Utilice los pasos siguientes para cambiar la clave de opciones de inicio

1. SysKey entrar en la línea de comandos
2. Proceda a hacer clic en Actualizar.
3. Proceder a cambiar la contraseña, o escoger otra opción clave
4. Haga clic en Aceptar. Reinicie el equipo.

Cómo deshabilitar EFI

Puede desactivar EFI de una computadora o para el dominio. Utilice los pasos siguientes para desactivar EFI usando el Editor del Registro

1. Abra el Editor del Registro
2. Busque la clave HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ EFI subclave del Registro.
3. Utilice el menú Editar haga clic en Nuevo y, a continuación, en Valor DWORD
4. EfsConfiguration para insertar nombre de valor, y 1 para el valor de datos
5. Estos valores desactivar EFI
6. Reinicie el equipo

EFI Mejores Prácticas

Algunas de las mejores prácticas EFI se resumen a continuación:

• Siempre seleccione para encriptar carpetas, y no archivos individuales. Encriptar carpetas facilita la gestión de cifrado de archivos. Recuerde que los archivos ubicados en, o creados en una carpeta cifrada automáticamente encriptada.
• Puede utilizar Microsoft Certificate Services para gestionar y EFI DRA certificados / claves privadas
• Los usuarios deben exportar sus EFI certificados y claves privadas a medios extraíbles, así como almacenar los medios de comunicación en un lugar seguro.
• Trate de tener un pequeño número de agentes de recuperación especificados. El menor el número de agentes de recuperación, es el más sencillo de administrar, y garantizar que no se descodifique incorrectamente archivos.
• Usted debe también exportar las claves privadas para la recuperación de las cuentas, y segura en un lugar seguro.
• Usted debe tratar de encriptar los datos sensibles en cada equipo que es miembro de un dominio.
• Habilitar una tecla de inicio de ordenadores independientes para mejorar la seguridad de las claves privadas de los usuarios.
• Asegúrese de que la carpeta Mis documentos está codificada en los casos en que el usuario se conecta a la misma computadora.
• Usted debe cifrar archivos sin conexión para garantizar la protección de los documentos almacenados localmente.
• Uso de Bloque de mensajes de servidor (SMB) con la firma EFI ayuda a garantizar que los archivos estén bien transmitidas o recibidas a través de la red.
• También puede utilizar IPSec para cifrar los datos a medida que se mueve a través de la red