in Microsoft

Cifrado de datos personales en Windows 11

1.5k Views

Logotipo de Windows 11 visto en la pantalla de la tableta y el usuario apuntándolo con el dedo. Stafford, Reino Unido, 1 de julio de 2021

Existe una forma nueva y más segura de cifrar archivos en Windows 11, pero solo es una opción para crear aplicaciones seguras, no un reemplazo de BitLocker.

Logotipo de Windows 11 visto en la pantalla de la tableta y el usuario apuntándolo con el dedo. Stafford, Reino Unido, 1 de julio de 2021
Imagen: Ascannio/Adobe Stock

Windows 10 ya tiene dos tipos de cifrado: BitLocker y Windows Device Encryption, y a partir de la versión 22H2, Windows 11 Enterprise and Education agrega el cifrado de datos personales.

BitLocker y Device Encryption son efectivamente lo mismo tecnología de cifrado de disco completo, pero existen herramientas de administración para BitLocker (que solo está disponible en Windows Pro, Enterprise y Education) que permiten a los administradores controlar si una o más unidades en un sistema están encriptadas, así como realizar copias de seguridad y recuperar las claves. Device Encryption está incluido en Windows Home y cifra todas las unidades en la PC, sin opción para excluir unidades secundarias. El nombre es diferente porque llamarlo BitLocker haría que las personas pensaran que estaban obteniendo las mismas opciones y herramientas de administración.

El Cifrado de datos personales no reemplaza a ninguno de ellos porque no cifra un disco completo; en su lugar, protege archivos y carpetas individuales mediante claves de cifrado AES-CBC de 256 bits que están protegidas por Windows Hello para empresas, pero solo a través de aplicaciones diseñadas para usarlo.

Salta a:

Cifrado de archivos en Windows

Ya podría cifrar una selección de archivos en Windows haciendo lo siguiente:

  1. Seleccionándolos en el Explorador de archivos.
  2. Haciendo clic derecho y eligiendo Propiedades.
  3. Haciendo clic en el botón Avanzado en la sección Atributos de la pestaña General.
  4. Marcando la casilla de verificación ‘Cifrar contenido para proteger los datos’.

Eso usa el sistema de cifrado de archivos integrado en Windows, pero tiene varios inconvenientes.

Complicaciones del cifrado a través de EFS

EFS se remonta a Windows 2000, mucho antes de que los TPM fueran comunes en las PC, por lo que no usa seguridad de hardware para proteger las claves de cifrado. Están almacenados en Windows y un atacante podría potencialmente extraerlos, o simplemente podría intentar piratear su cuenta de Windows.

Los archivos encriptados con EFS también pueden ser accedidos solo por la cuenta de usuario que los encriptó. Eso es perfecto: tan pronto como inicie sesión con esa cuenta de usuario, puede acceder a los archivos cifrados sin hacer nada adicional, pero si inicia sesión con una cuenta diferente, no podrá abrirlos en absoluto.

PDE usa Windows Hello para obtener claves más seguras

BitLocker desbloquea la unidad cifrada tan pronto como inicia Windows: PDE solo desbloquea los archivos cifrados cuando el usuario inicia sesión, e inicia sesión con Windows Hello.

Al usar Windows Hello para empresas, el Cifrado de datos personales coloca las claves de cifrado en un hardware seguro donde solo se liberan cuando se autentica biométricamente o con un PIN, que también está protegido por la seguridad del hardware y, a diferencia de una contraseña, no se desplaza a otros dispositivos con los que usa esa cuenta.

Eso es más seguro, pero también más transparente para los usuarios, aunque debe acostumbrarse a no ver los archivos protegidos por Cifrado de datos personales si decide iniciar sesión en su cuenta con su contraseña.

Activar el cifrado de datos personales

Existen algunas limitaciones para usar el Cifrado de datos personales. La PC debe estar unida a Azure AD y no ser un dispositivo híbrido (es decir, uno que esté unido al Active Directory de su organización pero también registrado con Azure AD). Las conexiones de Escritorio remoto no son compatibles, no puede ver los archivos protegidos con Cifrado de datos personales a través de un recurso compartido de red y no puede usar una clave FIDO en lugar de Windows Hello para empresas o reiniciar automáticamente el inicio de sesión en Windows.

Para asegurarse de que las claves de Cifrado de datos personales no queden expuestas accidentalmente, querrá deshabilitar la hibernación, los volcados de memoria y el Informe de errores de Windows: puede hacerlo a través de la misma solución MDM que usa para habilitar el Cifrado de datos personales (ya sea Afinado o a través Política de grupo con un CSP).

También puede decidir si desea que los archivos cifrados estén disponibles cuando Windows esté bloqueado o no. Si elige la protección de nivel dos, se podrá acceder a los archivos cifrados durante un minuto después de que aparezca la pantalla de bloqueo de Windows, pero luego se descartarán las claves de descifrado. No tiene que usar OneDrive para ello, pero querrá asegurarse de tener copias de seguridad en caso de que se pierdan las claves de Cifrado de datos personales.

A diferencia de EFS, una vez que ha habilitado el Cifrado de datos personales, no cifra los archivos a través del Explorador de archivos: de hecho, no hay una interfaz de usuario para el Cifrado de datos personales. Eso es porque está controlado a través de API que los desarrolladores usan en las aplicaciones; el primero en habilitar PDA es la aplicación de correo integrada, que puede cifrar tanto los mensajes de correo electrónico como los archivos adjuntos.

PDE es un socio de BitLocker

Nuevamente, el Cifrado de datos personales no reemplaza a BitLocker: está diseñado para usarse junto con archivos que las organizaciones deciden que necesitan protección adicional.

Si tiene una aplicación de línea de negocio que maneja información particularmente confidencial, puede usar las API de PDE para asegurarse de que solo los empleados que se supone que tienen acceso puedan acceder a los archivos y solo en los dispositivos administrados que están unidos a Azure AD. Desea que eso se establezca en sus políticas de cumplimiento, en lugar de brindarles a los empleados individuales una herramienta para cifrar archivos, que podría ser utilizada por personas internas malintencionadas para ocultar datos que no deberían tener en sus dispositivos y que podrían estar tratando de sacar fuera de la organización. .

A diferencia de los archivos que están protegidos por herramientas como Protección de la información de Azure o Purview Information Protection, donde las etiquetas de confidencialidad y el cifrado se imponen en los archivos de forma permanente, los usuarios pueden descifrar los archivos protegidos con el cifrado de datos personales manualmente en el Explorador de archivos. Así es cómo:

  1. Haga clic derecho en el archivo.
  2. Elija Propiedades.
  3. Haga clic en el botón Avanzado en la pestaña General, el mismo lugar donde aplica el cifrado EFS.
  4. Desmarque la opción Cifrar contenido para proteger los datos.

Recuerde, no puede volver a cifrar el archivo de la misma manera; eso solo puede ser hecho por una aplicación.

Si tiene muchos archivos cifrados, puede utilizar el CIFRAR comando para descifrar uno o más archivos en una carpeta. Solo puede hacerlo cuando haya iniciado sesión con Windows Hello para empresas y ya tenga acceso. Esto no es una falla de seguridad, porque si tuviera acceso, podría simplemente copiar y pegar el contenido del archivo en otro lugar de todos modos.

El nombre de Cifrado de datos personales es bastante confuso: es personal porque está vinculado a la forma en que una persona inicia sesión con Windows Hello para empresas, pero no es algo que un individuo pueda elegir usar y no es para proteger archivos personales. En cambio, es otro elemento fundamental para hacer de Windows una forma más segura de manejar la información, pero solo una vez que haya más aplicaciones que la utilicen.

Fuente

iFixit derriba el HomePod de segunda generación
Hogwarts Legacy Hippogriff Capture Tame Beast Vivarium Guía

Cómo capturar y domar a un hipogrifo en Hogwarts Legacy