Mejores prácticas para administrar claves privadas - Security Center 5.8

Guía para el Administrador de Security Center 5.8

Applies to
Security Center 5.8
Last updated
2019-08-28
Language
Español
Product
Security Center
Version
5.8

La eficacia de la encriptación de flujos de fusión reside en una infraestructura de clave pública externa para administrar las claves privadas. Toda la seguridad del sistema se basa en el hecho de que las claves privadas se mantienen en secreto. Por lo tanto, la transferencia y manejo de las claves privadas debe realizarse de una manera segura.

Salvaguardar las claves privadas

La manera más segura de manejar los pares de claves públicas y privadas es generar los certificados de encriptación directamente en la máquina de clientes, y luego asignar este certificado (solo la parte de la clave que es pública) al Archiver responsable de realizar la encriptación. De esta manera, reduce la superficie de ataque al garantizar que la clave privada nunca salga de la máquina de clientes donde se está utilizando.

Si desea usar la misma clave privada en varias máquinas de clientes, asegúrese de distribuirla de manera segura. Utilice una contraseña segura para encriptar la clave privada mientras esté en tránsito. Para aprender a hacer esto, consulte Importar o exportar certificados y claves privadas.

Después de haber instalado todas las copias de la clave privada en las máquinas de clientes, puede eliminar de manera segura los archivos temporales que se utilizaron para distribuir la clave privada.

MEJOR PRÁCTICA: Si su empresa utiliza los Servicios de Dominio de Active Directory, se recomienda que use el mecanismo Credential Roaming, en el que las claves privadas se asocian a los perfiles de grupo de usuarios en vez de que se asocien con máquinas específicas.

Prevenir la divulgación de claves privadas

Tal vez usted esté preocupado porque los usuarios puedan exportar las claves privadas de las máquinas de cliente. Para reducir este riesgo, puede seguir cualquiera de las siguientes prácticas de defensa en profundidad.
Marque las claves privadas como no exportables.
Para evitar que los clientes de Windows extraigan claves privadas, puede marcarlas como no exportables.

Usted configura la advertencia de no exportable cuando importa un certificado.

Así es cómo se hace:
  1. Cree un certificado y exporte las claves públicas y privadas en formato PFX. Utilice una contraseña segura para encriptar la clave privada.
  2. Importe solamente la clave pública para los servidores del Archiver.
  3. Importe la clave privada para cada máquina individual, y configure la clave privada como no exportable.
    certutil -importPFX [PFXfile] NoExport
  4. Cuando la clave privada se haya importado a todas las máquinas, destruya el archivo PFX original.
IMPORTANTE: Existen aplicaciones de terceros que no hacen cumplir la advertencia de no exportable. Debido a que es posible exportar claves privadas al utilizar estas aplicaciones de terceros, marcar a las claves privadas como no exportables no es una medida infalible.
Ejecute la cuenta de operador en modo no privilegiado
Puede evitar que sus usuarios de Security Desk exporten las claves privadas si instala los certificados en el almacenamiento local de computadoras en vez de los almacenamientos personales de los usuarios, y negándoles los privilegios de administrador. Sin embargo, Security Desk aún necesita tener acceso a las claves privadas. Esto significa que necesita ejecutar Security Desk como un administrador, e ingresar la contraseña para los usuarios de Security Desk.
Limite el uso de aplicaciones a través de la Política Grupal de Windows
Puede evitar que los usuarios de Security Desk tengan acceso a las claves privadas si bloquea las herramientas utilizadas para manipular los certificados, como certmgr.msi a través de la Política Grupal de Windows.

Crear copias de seguridad para claves privadas

Si pierde sus claves privadas no podrá recuperar los datos encriptados. Le recomendamos utilizar una máquina de clientes para copias de seguridad protegidas para crear un certificado de encriptación adicional para todos los datos que usted encripte. La clave privada correspondiente a este certificado no puede ser utilizada en ninguna otra máquina de clientes. El único propósito de esta máquina de copias de seguridad es que usted cuente con una solución de recuperación en caso de que se pierdan todas las claves privadas utilizadas en sus máquinas de cliente.