Páginas

Confidencialidad y privacidad de datos

Principios de Seguridad y Alta Disponibilidad


Confidencialidad


En esta práctica aprenderemos cómo se puede asegurar la confidencialidad de los datos en sistema Windows, mediante la encriptación de archivos y carpetas.

La confidencialidad o privacidad de datos es uno de los aspectos críticos de la seguridad, por esto Microsoft incluyó a partir de su sistema Windows 2000, y posteriores, el método de archivos encriptados conocido como EFS (Encrypted File System) que cumple este propósito.

  • Encrypting File System (EFS) es un sistema de archivos que, trabajando sobre NTFS, permite cifrado de archivos a nivel de sistema.
  • Permite a los archivos administrados por el sistema operativo ser cifrados en las particiones NTFS en donde esté habilitado, para proteger datos confidenciales.
  • EFS es incompatible con la compresión de carpetas.
  • El usuario que realice la encriptación de archivos será el único que dispondrá de acceso a su contenido, y al único que se le permitirá modificar, copiar o borrar el archivo, controlado todo ello por el sistema operativo.


  Amenaza o vulnerabilidad
En un sistema personal es posible obtener el acceso al sistema de ficheros si podemos arrancar desde una distribución USB o CD/DVD Live, o incluso acceder al sistema local como administrador, realizando una escalada de privilegios, teniendo de este modo permisos para acceder al sistema de ficheros por completo y por tanto incluso a carpetas restringidas por el sistema operativo.


Para evitar la apertura, lectura o modificación de información privada bajo sistemas Windows podemos utilizar las opciones de encriptación EFS.


  Proceso de encriptación
Para probarlo crearemos una carpeta con tres archivos de texto plano con una información confidencial en su interior.


En primer lugar seleccionaremos la carpeta a encriptar (Practica 1.1) y con el botón derecho accederemos a la ventana de Propiedades.

En su pestaña General pulsaremos sobre Opciones Avanzadas y en Atributos de compresión y cifrado marcaremos la opción de Cifrar contenido para proteger datos.

Cuando pulsemos aceptar nos aparecerán dos opciones, en este caso seleccionaremos Aplicar cambios a esta carpeta y a todas las subcarpetas y archivos.


También tenemos la opción de cifrar un archivo en lugar de una carpeta, en ese caso nos aparecerá la confirmación de la siguiente manera.


En la barra de tareas nos aparecerá una notificación en la cual nos ofrecerá la posibilidad de hacer una copia de seguridad de la clave de cifrado de archivos.



Al abrir la carpeta podemos observar que el texto con el nombre de nuestros documentos ha cambiado a color verde lo que nos indica que están encriptados.




En caso de no tener habilitada dicha opción deberá ejecutar gpedit.msc (editor de directivas de grupo), pulsamos la tecla de Windows + R y en la siguiente ventana escribimos gpedit.msc.


Para habilitar la directiva local seguimos la siguiente ruta:
Directiva de equipo local\Configuración de Windows\Configuración de seguridad\Directivas de clave pública\Sistema de cifrado de archivos.



  Verificaciones


En este caso el usuario propietario y con el que se cifro la carpeta es el usuario llamado alumno.


Si accedemos con otro usuario al sistema que tenga permisos para acceder a todo el sistema de archivos, por ejemplo desde la cuenta de administrador (distinta a la que ha cifrado el archivo), podemos ver que al intentar acceder a él, nos indicará acceso denegado.

Accedemos a la carpeta desde la ruta c:\Usuarios\alumno\Escritorio\Practica 1.1.



También nos encontraremos con el acceso denegado si intentamos acceder desde la consola de comandos.


Igualmente si intentamos modificar el archivo para que deje de estar cifrado y aplicamos los cambios nos indicará error al aplicar los atributos.

Aunque no es posible leer ni modificar su contenido, sí es posible borrarlo.

EI archivo cifrado no es portable o copiable a una unidad externa ya que el sistema operativo pierde el control sobre su cifrado y cualquier usuario podría acceder a su contenido.

También perderíamos el control sobre su cifrado si lo comprimimos.



Si el que intenta comprimirlo es otro usuario aunque sea el administrador volvería a mostrar un mensaje de error como se muestra en la siguiente imagen.



En caso de tener acceso al sistema de archivos con un arranque desde una distribución modo Live (en nuestro ejemplo Ubuntu), montando la partición correspondiente (en este caso el punto de montaje /mnt/win) podremos borrar el archivo, pero no se nos permitirá ni copiarlo ni leer la información contenida.

Para ello antes tenemos que indicar en la BIOS de nuestro equipo, en la opción Boot (arranque), que el primer dispositivo será el CD-ROM y a continuación basta con pulsar la tecla F10 y confirmar que queremos guardar los cambios.



Una vez salvada la configuración iniciamos el equipo y Ubuntu nos dará la posibilidad de instalarlo o probar la versión del sistema operativo.





Una vez iniciado el sistema nos dirigimos al volumen de Windows siguiendo la ruta donde se encuentra nuestra carpeta cifrada y volvemos a intentas acceder a los documentos, ¡SORPRESA! , tampoco podemos.





En el caso de que hubiéramos comprimido el archivo anteriormente sí que tendríamos acceso.



Publicado por
Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)