Cómo usar la herramienta de cifrado en línea de comandos para Windows

La mayoría de los usuarios de Windows 2000 y XP Professional conocen la capacidad de cifrar datos a nivel de archivo, utilizando el Sistema de Archivos Cifrados (EFS). Es fácil de hacer a través de la interfaz gráfica, tan fácil como marcar una casilla de verificación en la hoja de propiedades de Atributos avanzados de archivos. Sin embargo, muchos profesionales de TI no saben que el cifrado también se puede realizar desde la línea de comandos.

Índice de Contenido
  1. La utilidad cipher.exe
  2. ¿Por qué una herramienta de cifrado de línea de comandos?
  3. Limitaciones de la herramienta cipher
  4. Usando Cipher para recopilar información de cifrado
  5. Cifrando y descifrando desde la línea de comandos
    1. Usando las opciones /e y /d
    2. Usando la opción /s
    3. Usando la opción /a
    4. Usando la opción /i
    5. Usando la opción /f
  6. Gestión de claves de cifrado y certificados de recuperación
    1. Usando la opción /k para crear una nueva clave de cifrado
    2. Usando la opción /u para actualizar claves
    3. Usando la opción /n para evitar que se actualicen claves
    4. Usando la opción /r para generar un nuevo certificado de recuperación
    5. Sobrescribir espacio no asignado con la opción /w
    6. Un último apunte

La utilidad cipher.exe

La utilidad cipher.exe está incluida en los sistemas operativos más recientes basados en NT de Microsoft. Te permite realizar las mismas tareas, cifrar y descifrar, que puedes hacer a través de la interfaz gráfica, pero también te permite hacer mucho más, todo desde la línea de comandos. Los administradores y usuarios avanzados pueden aprovechar el poder de la herramienta cipher para recopilar información sobre el cifrado y realizar tareas de cifrado de forma más rápida.

¿Por qué una herramienta de cifrado de línea de comandos?

¿Cuál es la necesidad de una herramienta de cifrado de línea de comandos si es tan fácil cifrar y descifrar archivos usando la interfaz gráfica (aparte de que a algunos nos gusta la interfaz basada en caracteres)? Si bien el cifrado y el descifrado son atributos fáciles de establecer a través de la hoja de propiedades de un archivo o carpeta, hay otras tareas relacionadas con el cifrado que son difíciles (o imposibles) de realizar a través de la interfaz gráfica.

Por ejemplo, ¿qué pasa si un usuario quiere crear una nueva clave de cifrado de archivos? Podrías pensar que podrías generar un nuevo par de claves solicitando un nuevo certificado de EFS. Lo harías invocando el Asistente para solicitar certificados a través de la MMC de Certificados (si estás en un dominio de Active Directory) o a través de la página web de la autoridad de certificación. Pero el problema con este método es que la clave de cifrado de archivos que genera EFS está envuelta con la clave pública del usuario durante el proceso de cifrado. Como solución alternativa, la herramienta cipher te permite crear una nueva clave de cifrado escribiendo `cipher /k`.

¿Qué pasa si quieres cifrar archivos que ya están cifrados? No hay forma de hacer esto a través de la interfaz gráfica; primero debes descifrar el archivo antes de poder cambiar su atributo de nuevo a cifrado. Con la herramienta cipher, puedes forzar el cifrado en todos los archivos y carpetas, incluidos aquellos que ya están cifrados.

La herramienta cipher también se puede utilizar para sobrescribir permanentemente los datos eliminados en un disco, de manera similar a las herramientas de "limpieza de disco" como CyberScrub y Paragon Disk Wiper.

Limitaciones de la herramienta cipher

Aunque la herramienta Cipher puede hacer algunas cosas que la interfaz gráfica no puede, sigues trabajando con los mismos componentes (EFS) y debes operar bajo algunas de las mismas limitaciones que cuando cifras y descifras archivos de la manera gráfica. El comando Cipher no proporciona ninguna forma de evitar la regla de que un archivo o carpeta no puede estar cifrado y comprimido al mismo tiempo, y Cipher no puede cifrar archivos o carpetas con el atributo Solo lectura o aquellos con el atributo de Sistema. Si intentas hacerlo, recibirás un mensaje de acceso denegado. Haz clic aquí para obtener más información sobre una posible preocupación de seguridad de EFS.

Una cosa que no puedes hacer con la herramienta Cipher que puedes hacer a través de la interfaz gráfica es dar a otros usuarios acceso criptográfico a archivos o carpetas cifrados. Windows XP y Windows Server 2003 (a diferencia de Windows 2000) permiten que la persona que cifra un archivo agregue otras cuentas de usuario que permitan a otros ver sus datos cifrados. Esto se hace a través del cuadro de diálogo de Detalles de cifrado (accedido a través del botón Detalles en la hoja de atributos avanzados). No hay mecanismo para hacer esto con la herramienta Cipher.

Usando Cipher para recopilar información de cifrado

El comando Cipher se puede utilizar sin ninguna opción para determinar rápidamente qué archivos y carpetas en un directorio dado están cifrados. Todo lo que tienes que hacer es cambiar al disco o directorio deseado y escribir `cipher`. La salida del comando se muestra en la figura A.

Cómo usar la herramienta de cifrado en línea de comandos para Windows - Microsoft | Imagen 1 Newsmatic

También puedes ver qué archivos están cifrados de un vistazo en el Explorador de Windows, si se habilita la opción de mostrar archivos NTFS cifrados o comprimidos en color (esto se hace yendo a Herramientas | Opciones de carpeta | Vista y luego marcando la casilla correspondiente). Como se puede ver en la figura B, el método de interfaz gráfica usa texto verde para marcar archivos cifrados y texto azul para marcar archivos comprimidos.

Cómo usar la herramienta de cifrado en línea de comandos para Windows - Microsoft | Imagen 2 Newsmatic

Después de cifrar un directorio, ya no podrás cambiar al directorio y usar el comando cipher para ver el estado de cifrado de los archivos dentro del directorio. En su lugar, cuando escribas `cipher`, verás un mensaje que indica que los nuevos archivos agregados al directorio se cifrarán.

Cómo usar la herramienta de cifrado en línea de comandos para Windows - Microsoft | Imagen 3 Newsmatic

En su lugar, para ver qué archivos dentro de una carpeta especificada están cifrados, usa la sintaxis `cipher \*`. Por ejemplo, para ver el estado de cifrado de los archivos en el directorio llamado "cifrado", escribe el siguiente comando: `cipher cifrado\*`. Esto mostrará una lista de archivos en el directorio con el atributo U (no cifrado) o E (cifrado) para cada archivo.

Cifrando y descifrando desde la línea de comandos

Puedes usar el comando cipher para cifrar y descifrar datos desde la línea de comandos, en directorios individuales o en lotes.

Usando las opciones /e y /d

Las opciones /e y /d se utilizan con el comando cipher para cifrar o descifrar un directorio, respectivamente. La sintaxis para cifrar un directorio es `cipher /e `. Es importante tener en cuenta que estas opciones solo funcionan en directorios, no en archivos individuales. Este es uno de los errores más comunes al usar la herramienta, lo que lleva a quejas de que "cipher no funciona". No importa cuántas veces escribas `cipher /e `, tu archivo no se cifrará. Hay una pista en el mensaje que recibes cuando haces esto, que se muestra a continuación: "0 directorio(s) dentro de 2 directorio(s) fueron cifrados". Como podrás imaginarte por este mensaje, debes utilizar el comando con nombres de carpetas, no de archivos.

De la misma manera, puedes descifrar un directorio cifrado usando el comando `cipher /d `. Nuevamente, solo funciona con directorios.

Usando la opción /s

La opción /s se utiliza en conjunto con las opciones /e o /d, y te permite realizar la operación especificada (cifrado o descifrado) en las subcarpetas dentro del directorio que estás cifrando o descifrando. Por lo tanto, si tienes varias capas de carpetas y quieres cifrar rápidamente todo el árbol, usa la sintaxis `cipher /e /s: `. Puedes descifrar las subcarpetas dentro del directorio de la misma manera, reemplazando /e por /d. Ten en cuenta que debes poner dos puntos después de la opción /s. Los resultados del comando nombrarán las subcarpetas que se hayan cifrado o descifrado, como se muestra en la figura D.

Cómo usar la herramienta de cifrado en línea de comandos para Windows - Microsoft | Imagen 4 Newsmatic

Usando la opción /a

En este punto, es posible que te preguntes cómo cifrar archivos individuales. Esa es la función de la opción /a. Usando la sintaxis `cipher /e /a `, puedes cifrar un solo archivo. Por ejemplo, el siguiente comando cifrará un archivo llamado "testdoc1.txt" en un subdirectorio llamado "subsub" dentro de un subdirectorio llamado "subcifrado" que está en un directorio llamado "cifrado": `Cipher /e /a cifrado\subcifrado\subsub\testdoc1.txt`.

También puedes cifrar todos los archivos en un directorio cambiando a ese directorio y escribiendo `cipher /e /a`. Como se muestra en la figura E, el comando mostrará los resultados, mostrándote los nombres de los archivos que se cifraron. También verás un recordatorio de advertencia de que cifrar archivos individuales (en lugar de crear archivos en carpetas cifradas) puede dejar fragmentos en texto plano en el disco.

Cómo usar la herramienta de cifrado en línea de comandos para Windows - Microsoft | Imagen 5 Newsmatic

También puedes usar comodines para cifrar (o descifrar) grupos de archivos. Por ejemplo, para descifrar todos los archivos en el directorio de trabajo con nombres que comienzan con las letras "test", usa el siguiente comando: `cipher /d /a test*`.

Usando la opción /i

De forma predeterminada, si ocurre un error mientras cipher está realizando una operación de cifrado o descifrado, se detendrá. Sin embargo, puedes forzar que la operación continúe incluso si ocurren errores, usando la opción /i. La sintaxis es `cipher /e [o /d] /i`.

Usando la opción /f

Normalmente, si hay archivos o carpetas dentro de la ruta que estás cifrando que ya están cifradas, la herramienta cipher omitirá la operación en esos objetos. Sin embargo, si quieres forzar el cifrado (o descifrado) de todas las carpetas o archivos especificados, incluso aquellos que ya están cifrados, puedes usar la opción /f (`cipher /e [o /d] /f `).

Gestión de claves de cifrado y certificados de recuperación

La utilidad cipher te permite hacer mucho más que cifrar y descifrar archivos. También incluye una serie de opciones que puedes utilizar para gestionar claves de cifrado y certificados de recuperación. Veamos eso ahora.

Usando la opción /k para crear una nueva clave de cifrado

Puedes usar cipher para generar una nueva clave de cifrado para el usuario que está ejecutando la utilidad. La sintaxis es `cipher /k`. Al utilizar esta opción, la herramienta cipher ignorará cualquier otra opción.

Cuando se haya generado la nueva clave, se mostrará la "información de la huella" del certificado de cifrado, como se muestra en la figura F.

Cómo usar la herramienta de cifrado en línea de comandos para Windows - Microsoft | Imagen 6 Newsmatic

Si no has iniciado sesión con la cuenta para la cual deseas crear la clave, puedes abrir el símbolo del sistema utilizando la opción Ejecutar como en Windows XP.

Usando la opción /u para actualizar claves

¿Qué pasa si cambias tu clave de cifrado? ¿Todavía podrás acceder a los datos que se cifraron con la clave antigua? Algunas fuentes recomiendan que conserves las claves antiguas hasta que todos los archivos y carpetas que se cifraron con ellas se descifren, pero hay una forma de actualizar la clave de cifrado de archivos del usuario o la clave de agente de recuperación a las claves actuales. Para hacer esto, utiliza la opción /u con el comando cipher (`cipher /u`). Esto actualizará las claves de todos los archivos cifrados en las unidades locales.

Cuando uses este comando, la herramienta mostrará los nombres de los archivos para los cuales se actualizaron las claves, como se muestra en la figura G.

Cómo usar la herramienta de cifrado en línea de comandos para Windows - Microsoft | Imagen 7 Newsmatic

Usando la opción /n para evitar que se actualicen claves

Para obtener una lista de solo los archivos cifrados en tu sistema, evitando que se actualicen las claves, debes usar la opción /n junto con la opción /u (`cipher /u /n`). Verás una lista de solo aquellos archivos que están cifrados (incluida la ruta para aquellos que no están en el directorio de trabajo), como se muestra en la figura H.

Cómo usar la herramienta de cifrado en línea de comandos para Windows - Microsoft | Imagen 8 Newsmatic

Usando la opción /r para generar un nuevo certificado de recuperación

Si las claves del agente de recuperación se ven comprometidas, es posible que necesites generar un nuevo certificado de recuperación. Puedes usar la opción /r para crear un nuevo certificado de agente de recuperación y clave privada. Debes especificar los archivos a los que se debe escribir el nuevo certificado y la clave, utilizando la ruta sin extensión. La sintaxis es `cipher /r:`.

En Windows 2000, EFS no funcionará para equipos que pertenezcan a un dominio de Active Directory si la directiva de recuperación no contiene un agente de recuperación con un certificado válido. No se requiere una directiva de recuperación en una máquina independiente, pero el administrador local puede definir una directiva y agregar un agente de recuperación si lo desea. Esto se hace accediendo a la directiva de seguridad local y expandiendo el nodo Políticas de clave pública, luego haciendo clic derecho en el nodo Sistema de archivos cifrados y seleccionando Agregar agente de recuperación de datos.

Uno de los cambios en EFS en Windows XP Professional y Windows Server 2003 es que ya no se requiere un agente de recuperación en el entorno de dominio. En consecuencia, configurar una política de recuperación vacía para el dominio hará que EFS esté deshabilitado para los clientes de Windows 2000, pero no para los clientes de XP y Windows 2003 Server. Una política vacía es aquella que no tiene ningún agente de recuperación agregado.

Sobrescribir espacio no asignado con la opción /w

La opción /w es una nueva adición a la herramienta cipher, no incluida en la versión original lanzada con Windows 2000. Se utiliza para sobrescribir el espacio no asignado en el disco para eliminar datos residuales que pueden quedar de archivos eliminados. Es especialmente importante hacer esto después de cifrar archivos existentes, debido a los archivos de texto sin formato temporales creados durante el proceso.

La sintaxis es `cipher /w:`. Cuando ejecutes este comando, se te aconsejará cerrar todas las demás aplicaciones, ya que la herramienta cipher no bloquea la unidad, por lo que otros programas aún pueden escribir en ella. Cerrar tantas aplicaciones como sea posible maximizará la cantidad de datos residuales que se sobrescribirán con la herramienta cipher.

Si el disco es grande, es posible que notes que lleva bastante tiempo realizar la operación de sobrescritura. La utilidad te mostrará el progreso de la sobrescritura a medida que se realiza, como se muestra en la figura I.

Cómo usar la herramienta de cifrado en línea de comandos para Windows - Microsoft | Imagen 9 Newsmatic

Un último apunte

Hay algunas otras tareas que se pueden realizar con la herramienta cipher. Algunas de estas son opciones estándar de la línea de comandos, como la opción /? que se utiliza para mostrar información útil sobre cómo utilizar la herramienta, y la opción /h, que se puede utilizar para mostrar archivos con atributos ocultos o del sistema (aunque los archivos del sistema no se pueden cifrar, pueden cifrarse archivos ocultos).

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Microsoft, allí encontraras muchos artículos similares a Cómo usar la herramienta de cifrado en línea de comandos para Windows , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.