Trace: » statistikengine » data » index » sonnentor » goldfisch » spam » news » techkonzepte » snmp » efs


Page map
Site map
Table of Contents

EFS-Verschlüsselung

Unter Eigenschaften -> Erweitert:
Inhalt verschlüsseln, um Daten zu schützen auswählen

Ein Domänen-Benutzer registriert sich dann automatisch ein Basis-EFS Zertifikat.

EFS-Entschlüsselung

Mit Windows Server 2003 sind zwei Verfahren möglich:

  • Datenwiederherstellung mittels EFS-Wiederherstellungs-Agent
  • Schlüsselwiederherstellung


Die für die Schlüsselwiederherstellung notwendige Archivierung von Verschlüsselungsschlüsseln wird allerdings nur von den CA ab Windows Server 2003 Enterprise Edition unterstützt, weshalb im Folgenden nur die Datenwiederherstellung berücksichtigt ist.

Default-Zustand

In einer Domänen-Umgebung wird das selbstsignierte Dateiwiederherstellung-Zertifikat des Administrator-Kontos des ersten Domänenkontrollers verwendet um den FEK für das DRF zu verschlüsseln, sofern kein Dateiwiederherstellung-Zertifikat von einer CA registriert wurde.

Dieses Zertifikat ist automatisch in der Sicherheitsrichtlinie für Domänen/Richtlinien öffentlicher Schlüssel/Verschlüsselndes Dateisstem eingetragen

Empfohlene Vorgangsweise

Definition EFS-Wiederherstellungs-Agent

Bei einem GPO unter Richtlinien öffentlicher Schlüssel/Verschlüsselndes Dateisystem im Kontext-Menü -> Datenwiederherstellungs-Agenden erstellen

Damit wird von der CA ein EFS-Wiederherstellungs-Agent (EFSRecovery) Zertifikat für den registrierenden Account erstellt und dieser User zum EFS-Wiederherstellungs-Agent ernannt.
Wurde das Zertifikat auf einem anderen Weg erstellt, kann es ebendort mit dem Punkt Datenwiederherstellungs-Agenden hinzufügen im Kontextmenü importiert werden.

Wiederherstellung

Die widerherzustellenden Daten werden zB mit NTBackup gesichert und auf der Workstation des Recovery-Agenten wiederhergestellt. Sie sind dann immer noch verschlüselt, es kann jedoch im Kontext-Menü des Objekts die Verschlüsselung deaktiviert werden.

Hinweis: Wurde der Wiederherstellungs-Agent gerade erstellt -> gpupdate /force
Unter Details sind Name und Fingerprint des Wiederherstellungs-Agent Zertifikats eingetragen, hilfreich, wenn die Wiederherstellung scheitert.

Hinweise

Ist ein Wiederherstellungs-Agent angemeldet und ihm ein Wiederherstellungs-Agent Zertifikat zugeordnet und verfügbar, dann können alle verschlüsselten Dateinen sowohl geöffnet als auch entschlüsselt werden, die am lokalen Rechner liegen und für die der Wiederherstellungs-Agent eingetragen ist. Dateien die auf Freigaben liegen müssen gesichert und lokal wieder hergestellt werden.

Änderungen Änderungen der Wiederherstellungsagenten werden auf verschlüsselte Dateien angewendet, wenn auf diese zugegriffen wird.

 
knowwiki/windows/efs.txt · Last modified: 2006/02/20 21:56