FestplattenencryptionEFS

InhaltEinführung

Vorbereitung

Erstellen und Sichern eines Wiederherstellungsschlüssels

Erstellen eines Wiederherstellungs-Agenten in einer Domäne

Erstellen eines lokalen Wiederherstellungs-Agenten

Verwenden des verschlüsselnden Dateisystems

Aktivieren der Verschlüsselungs- und Entschlüsselungsoptionen in Windows Explorer

Aktivieren der EFS-Dateifreigabe

Exportieren und Importieren von Datenwiederherstellungsschlüsseln

Wiederherstellen von Daten

Empfohlene Vorgehensweisen

Weitere Informationen

EinführungIn vielen Unternehmen werden Desktopcomputer von mehreren Benutzern verwendet. Einige Benutzer reisenmit tragbaren Computern und verwenden sie außerhalb des Sicherheitssystems des Unternehmens inKundeneinrichtungen, in Hotels, an Flughäfen oder Heimarbeitsplätzen. Wertvolle Daten befinden sich damitoft außerhalb der Kontrolle des Unternehmens. Nicht autorisierte Benutzer versuchen möglicherweise, die aufeinem Desktopcomputer gespeicherten Daten zu lesen. Ein tragbarer Computer kann gestohlen werden. In allenFällen können böswillige Dritte auf vertrauliche Daten des Unternehmens zugreifen.

Eine Möglichkeit zur Reduzierung dieser Risiken sowie zur Verbesserung der Sicherheit ist die Verschlüsselungvertraulicher Dateien durch die Verwendung von Encrypting File System (EFS oder Verschlüsselndes Dateisystem).Bei der Verschlüsselung werden mathematische Algorithmen angewendet, so dass die Daten nur von den Benutzerngelesen werden können, die über den erforderlichen Schlüssel verfügen. Beim verschlüsselnden Dateisystemhandelt es sich um eine Microsoft-Technologie, mit der Sie Daten auf Ihrem Computer verschlüsseln sowieangeben können, wer diese Daten entschlüsseln oder wiederherstellen kann. Bei verschlüsselten Dateien könnendie Benutzerdaten auch dann nicht gelesen werden, wenn ein Dritter auf den Datenspeicher des Computerszugreifen kann. Für die Verwendung des verschlüsselnden Dateisystems benötigen alle Benutzer EFS-Zertifikate.Hierbei handelt es sich um digitale Dokumente zum Ver- und Entschlüsseln von Daten über EFS. Darüber hinausmüssen EFS-Benutzer über NTFS-Berechtigungen zum Ändern von Dateien verfügen.

Zwei Arten von Zertifikaten spielen im verschlüsselnden Dateisystem eine Rolle:

• Zertifikate für das verschlüsselnde Dateisystem. Mit diesem Zertifikat können Inhaber mithilfe desverschlüsselnden Dateisystems Daten verschlüsseln und entschlüsseln. Dieses Zertifikat wird häufig als"EFS-Zertifikat" bezeichnet. EFS-Standardbenutzern wird dieses Zertifikat zugewiesen. Bei diesem Zertifikatwird im Feld Erweiterte Schlüsselverwendung (in der Microsoft Management Console im Zertifikat-Snap-In)der Wert Verschlüsselndes Dateisystem (1.3.6.1.4.1.311.10.3.4) angegeben

• Zertifikate für die Dateiwiederherstellung. Mit diesem Zertifikat können Inhaber verschlüsselte Dateienund Ordner in der gesamten Domäne oder einem anderen Bereich wiederherstellen, unabhängig davon,welche Benutzer diese Daten verschlüsselt haben. Ausschließlich Domänenadministratoren oder als besondersvertrauenswürdig eingestufte Personen, die so genannten Datenwiederherstellungs-Agenten, sollten diesesZertifikat erhalten. Bei diesem Zertifikat wird im Feld Erweiterte Schlüsselverwendung (in der Microsoft

3 Schützen von Daten durch Festplattenverschlüsselung mit EFS

Management Console im Zertifikat-Snap-In) der Wert Dateiwiederherstellung (1.3.6.1.4.1.311.10.3.4.1)angegeben Die Zertifikate werden oft als "EFS-DRA-Zertifikate" bezeichnet.

Um einer anderen autorisierten Person das Lesen Ihrer verschlüsselten Daten zu ermöglichen, können Sie ihrIhren privaten Schlüssel geben oder sie als Datenwiederherstellungs-Agenten angeben.Datenwiederherstellungs-Agenten können im jeweiligen Bereich alle durch EFS verschlüsselten Dateien in derDomäne oder Organisationseinheit entschlüsseln. In diesem Dokument finden Sie detaillierte Anweisungen fürdie wesentlichen EFS-Aufgaben in kleinen und mittleren Unternehmen sowie wichtige Empfehlungen zurVerwendung des verschlüsselnden Dateisystems.

In diesem Dokument werden die folgenden Aufgaben erläutert:

• Erstellen und Sichern eines Wiederherstellungsschlüssels zur sicheren Wiederherstellung von Daten für denFall, dass der ursprüngliche Benutzer keine Wiederherstellung durchführen kann.

• Erstellen von Wiederherstellungs-Agenten, die verschlüsselte Dateien wiederherstellen können, wenn derursprüngliche Benutzer keine Wiederherstellung durchführen kann.

• Einrichten des verschlüsselnden Dateisystems in einem Unternehmen.

• Konfigurieren von Windows Explorer zur einfachen EFS-Verwendung.

• Konfigurieren der Dateifreigaben für die Verwendung des verschlüsselnden Dateisystems.

• Exportieren und Importieren von Wiederherstellungsschlüsseln zur sicheren Wiederherstellung vonverschlüsselten Dateien und Ordnern.

• Wiederherstellen von Daten, wenn der ursprüngliche Benutzer keine Wiederherstellung durchführen kann.

Durch Ausführen der Schritte in diesem Dokument werden folgende Änderungen im System vorgenommen:

• Erstellen eines Wiederherstellungsschlüssels für Sicherungsdaten.

• Erstellen eines Wiederherstellungs-Agenten.

• Aktivieren des verschlüsselnden Dateisystems zur Verschlüsselung von Daten auf der Festplatte.

• Konfigurieren von Windows Explorer zur Bereitstellung der EFS-Optionen.

Anhand dieser Anweisungen können Sie darüber hinaus die folgenden Änderungen oder Vorsichtsmaßnahmenimplementieren:

• Ermöglichen des gemeinsamen Zugriffs auf ausgewählte verschlüsselte Daten.

• Verwalten der Datenwiederherstellungsschlüssel zur Verwendung beim Wiederherstellen von verschlüsseltenDaten.

• Wiederherstellen von durch Assistenten verschlüsselte Daten.

VorbereitungMit den Anweisungen in diesem Dokument können Sie die Computer zur Verwendung des verschlüsselndenDateisystems konfigurieren. Darüber hinaus finden Sie Erläuterungen zur Verwendung des verschlüsselndenDateisystems zum Schutz der Daten auf den Festplatten in Ihrem Unternehmen. Bevor Sie mit der Umsetzungbeginnen, sollten Sie mit Ihrer Rechtsberatung klären, ob die geplanten Verschlüsselungsrichtlinien und -verfahren


mit den geltenden Gesetzen und Vorschriften in Einklang stehen. Wenn Ihr Unternehmen Niederlassungen imAusland unterhält, sollten Sie sich mit Exportkontrollgesetzen für Verschlüsselungssoftware vertraut machen.Sie sollten außerdem über Kenntnisse der grundlegenden Anforderungen und Bedingungen zum Einsatz desverschlüsselnden Dateisystems verfügen:

• Die Verschlüsselung von Dateien und Ordnern ist nur in NTFS-Dateisystemen möglich. Sie können dasverschlüsselnde Dateisystem daher nicht in FAT- oder FAT32-Dateisystemen verwenden. Bei Verwendungdes FAT-Dateisystems wird die Konvertierung dieser Volumes zu NTFS empfohlen, sofern nicht besondereUmstände den Einsatz des FAT-Systems erfordern. In den Betriebssystemen Windows 95, Windows 98 undWindows Millennium Edition werden NTFS und EFS nicht unterstützt. Windows XP Home Edition unterstütztNTFS, jedoch nicht EFS.

• Komprimierte Dateien oder Ordner können nicht gleichzeitig verschlüsselt werden. Wenn komprimierteDateien oder Ordner verschlüsselt werden, wird die Komprimierung aufgehoben.

• Dateien mit gesetztem Systemattribut können nicht verschlüsselt werden, das gleiche gilt für Dateien imOrdner systemroot.

• Bei der ersten Verwendung legen Sie in einem Dialogfeld fest, welche Optionen beim Verschlüsseln vonDateien und Ordnern zukünftig verwendet werden:

• Wenn Sie bei einer Dateiverschlüsselung die Verschlüsselung des übergeordneten Ordners auswählen,werden alle Dateien und Unterordner, die dem Ordner hinzugefügt werden, beim Hinzufügen automatischverschlüsselt.

• Wenn Sie bei der Verschlüsselung eines Ordners die Verschlüsselung aller Dateien und Unterordnerauswählen, werden die aktuell vorhandenen Dateien und Unterordner ebenfalls verschlüsselt, dies giltauch für alle später hinzugefügten Dateien und Unterordner.

• Wenn Sie die Verschlüsselung nur für diesen Ordner auswählen, werden alle Dateien und Unterordnerim Verzeichnis nicht verschlüsselt. Alle zukünftigen Dateien und Unterordner werden dagegen beimHinzufügen zu diesem Ordner verschlüsselt.

Sofern nicht anders angegeben, wird bei den Anweisungen in diesem Dokument von der Verwendung derBetriebssysteme Windows Server 2003 auf Servern und Windows XP Professional auf Clientcomputernausgegangen.

In einer Active Directory-Umgebung wird die Verwendung von servergespeicherten Profilen für die Benutzervorausgesetzt. Die Abbildungen in diesem Dokument entsprechen einer Testumgebung, und die Angabenunterscheiden sich möglicherweise von den auf Ihrem Bildschirm angezeigten Informationen.

Alle detaillierten Anweisungen in diesem Dokument wurden unter Verwendung des Menüs Start entwickelt,das nach der Installation des Betriebssystems angezeigt wird. Wenn Sie das Menü Start geändert haben, könnendie Arbeitsschritte von den angezeigten Menüs abweichen.

Erstellen und Sichern eines WiederherstellungsschlüsselsDer endgültige Verlust von verschlüsselten Daten kann die Folge einer nicht durchgeführten Sicherung desWiederherstellungsschlüssels sein. Durch die Sicherung des Wiederherstellungsschlüssels wird gewährleistet,dass verschlüsselte Daten auch dann wiederhergestellt werden können, wenn der Inhaber desEFS-Verschlüsselungszertifikats die Daten nicht entschlüsseln kann.


Anforderungen• Anmeldeinformationen: Dieser Vorgang muss über das Konto des Wiederherstellungs-Agenten durchgeführt

werden, in dessen persönlichem Zertifikatsspeicher das Wiederherstellungszertifikat und der private Schlüsselverfügbar sind. In der Standardeinstellung ist der Domänenadministrator der Wiederherstellungs-Agent. BeiHeimarbeitsplätzen oder Umgebungen ohne Domäne ist kein Wiederherstellungs-Agent vorgesehen. Siekönnen jedoch einen lokalen Wiederherstellungs-Agenten für alle Konten auf dem Computer erstellen.Üblicherweise führt jedoch an einem Heimarbeitsplatz jeder Inhaber eines EFS-Zertifikats die Sicherung dereigenen privaten Schlüssel durch.

• Tools: Zertifikat-Snap-In für die MMC (Microsoft Management Console).

WARNUNG: Vergewissern Sie sich vor Änderungen an der Standardwiederherstellungsrichtlinie, dass dieStandardwiederherstellungsschlüssel gesichert wurden. Die Standardwiederherstellungsschlüssel einer Domänesind auf den Domänencontrollern gespeichert.

♦ So sichern Sie Standard-Wiederherstellungsschlüssel auf einer Diskette

1. Klicken Sie im Menü Start auf Ausführen, geben Sie mmc ein, und klicken Sie dann auf OK. Die MicrosoftManagement Console wird geöffnet.

2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen, und klicken Sie anschließend auf Hinzufügen.

3. Klicken Sie unter Eigenständiges Snap-In hinzufügen auf Zertifikate und dann auf Hinzufügen.

4. Klicken Sie auf Eigenes Benutzerkonto und anschließend auf Fertig stellen.

5. Klicken Sie auf Schließen und dann auf OK.

6. Doppelklicken Sie auf Zertifikate - Aktueller Benutzer, auf Persönlich und anschließend auf Zertifikate.

7. Klicken Sie auf das Zertifikat, für das in der Spalte Beabsichtigte Zwecke die BeschreibungDateiwiederherstellung angezeigt wird.

8. Klicken Sie mit der rechten Maustaste auf das Zertifikat, zeigen Sie auf Alle Tasks, und klicken Sieanschließend auf Exportieren.

9. Befolgen Sie die Anweisungen im Zertifikatexport-Assistenten, um das Zertifikat und den zugehörigenprivaten Schlüssel in eine PFX-Datei zu exportieren.


Erstellen eines Wiederherstellungs-Agenten in einer DomäneDamit die mit EFS verschlüsselten Daten über ein zusätzliches Konto gelesen oder wiederhergestellt werdenkönnen, muss das entsprechende Konto als Wiederherstellungs-Agent definiert werden. In einerDomänenumgebung empfiehlt sich zu diesem Zweck die Verwendung von Domänenkonten. Sie können einenWiederherstellungs-Agenten für alle Standorte, Domänen oder Organisationseinheiten in einer ActiveDirectory®-Verzeichnisdienststruktur erstellen. In der Standardeinstellung wird das integrierte Administratorkontoeiner Domäne als Wiederherstellungs-Agent verwendet. In diesem Fall muss kein Wiederherstellungs-Agenterstellt werden.

Anforderungen• Anmeldeinformationen: Administrator der Domäne.

• Tools: Snap-In Active Directory-Benutzer und -Computer für die MMC.

♦ So erstellen Sie einen Wiederherstellungs-Agenten in einer Domäne

1. Klicken Sie im Menü Start auf Systemsteuerung, doppelklicken Sie auf Verwaltung und anschließend aufActive Directory-Benutzer und -Computer.

2. Klicken Sie mit der rechten Maustaste auf die Domäne, deren Wiederherstellungsrichtlinie geändert werdensoll, und klicken Sie dann auf Eigenschaften.

3. Klicken Sie auf die Registerkarte Gruppenrichtlinie.


4. Klicken Sie mit der rechten Maustaste auf die zu ändernde Wiederherstellungsrichtlinie, und klicken Siedann auf Bearbeiten.

5. Klicken Sie in der Konsolenstruktur (linker Fensterbereich) auf Verschlüsselndes Dateisystem. Diese Optionbefindet sich unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinienöffentlicher Schlüssel\Verschlüsselndes Dateisystem.


6. Klicken Sie rechts im Detailbereich mit der rechten Maustaste, und klicken Sie dann aufDatenwiederherstellungs-Agenten erstellen.

Hinweis: Im Assistenten Datenwiederherstellungs-Agenten erstellen werden Sie zum Hinzufügen einesBenutzers aus einer Datei oder von Active Directory als Wiederherstellungs-Agent aufgefordert. BeimHinzufügen des Wiederherstellungs-Agenten aus einer Datei wird der Benutzer als USER_UNKNOWNangegeben. Der Grund hierfür liegt darin, dass der Benutzername in der Datei nicht gespeichert ist.

Beim Hinzufügen eines Wiederherstellungs-Agenten von Active Directory müssen die EFS-Zertifikate(Dateiwiederherstellungszertifikate) für den Agenten in Active Directory veröffentlicht sein. Da die Zertifikatemit der Standardvorlage für EFS-Dateiwiederherstellungszertifikate jedoch nicht veröffentlicht werden, musseine entsprechende Vorlage erstellt werden. Kopieren Sie dazu im Snap-In Zertifikatvorlagen zum Erstelleneiner neuen Vorlage die Standardvorlage für EFS-Dateiwiederherstellungszertifikate. Klicken Sie mit derrechten Maustaste auf die neue Vorlage, und wählen Sie Eigenschaften aus. Aktivieren Sie im DialogfeldEigenschaften des kopierten Zertifikats auf der Registerkarte Allgemein das Kontrollkästchen Zertifikatin Active Directory veröffentlichen.

7. Befolgen Sie die Anweisungen im Assistenten Wiederherstellungs-Agent erstellen, um die Erstellung desAgenten abzuschließen.

Erstellen eines lokalen Wiederherstellungs-AgentenIn einer Umgebung ohne Domäne, zum Beispiel auf einem Einzelplatzcomputer oder in einer Arbeitsgruppe,können Sie einen lokalen Wiederherstellungs-Agenten erstellen. Die Erstellung eines lokalenWiederherstellungs-Agenten empfiehlt sich, wenn der Computer von mehreren Benutzern verwendet wird. Aufeinem Einzelplatzcomputer ist es einfacher, den Wiederherstellungsschlüssel auf Wechselmedien zu sichern.

Anforderungen• Anmeldeinformationen: Administrator des lokalen Computers.

• Tools: Gruppenrichtlinienobjekt-Editor.

♦ So erstellen Sie einen lokalen Wiederherstellungs-Agenten

1. Klicken Sie im Menü Start auf Ausführen, geben Sie mmc ein, und klicken Sie dann auf OK.

2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen, und klicken Sie anschließend auf Hinzufügen.

3. Klicken Sie unter Eigenständiges Snap-In hinzufügen auf Gruppenrichtlinienobjekt-Editor undanschließend auf Hinzufügen.

4. Überprüfen Sie, ob unter Gruppenrichtlinienobjekt der Eintrag Lokaler Computer angezeigt wird, undklicken Sie dann auf Fertig stellen.

5. Klicken Sie auf Schließen und dann auf OK.

6. Wechseln Sie unter Richtlinie für Lokaler Computer zum OrdnerComputerrichtlinie\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinienöffentlicher Schlüssel.


7. Klicken Sie im Detailbereich mit der rechten Maustaste auf Verschlüsselndes Dateisystem, und klicken Siedann auf Datenwiederherstellungs-Agenten hinzufügen oder Datenwiederherstellungs-Agenten erstellen.

Hinweis: Im Assistenten werden Sie zur Auswahl eines Benutzernamens für den Wiederherstellungs-Agentenaufgefordert. Sie können den Namen eines Benutzers mit einem veröffentlichtenDateiwiederherstellungszertifikat eingeben oder nach Dateiwiederherstellungszertifikaten (CER-Dateien)suchen, die Informationen über den hinzuzufügenden Wiederherstellungs-Agenten enthalten.Dateiwiederherstellungszertifikate sind über Zertifizierungsstellen erhältlich. Suchen Sie zum Ermitteln einesDateiwiederherstellungszertifikats im Zertifikat-Snap-In im Detailbereich im Feld ErweiterteSchlüsselverwendung nach dem Wert Dateiwiederherstellung (1.3.6.1.4.1.311.10.3.4.1).Dateiwiederherstellungszertifikate werden als CER-Dateien im Dateisystem des lokalen Computers oder inActive Directory gespeichert.

Beim Hinzufügen des Wiederherstellungs-Agenten aus einer Datei wird der Benutzer als USER_UNKNOWNangegeben, da der Benutzername nicht in der Datei gespeichert ist.

8. Befolgen Sie zum Beenden des Vorgangs die Anweisungen des Assistenten.

Verwenden des verschlüsselnden DateisystemsNach dem Erstellen des Wiederherstellungs-Agenten sowie dem Erstellen und Sichern desWiederherstellungsschlüssels können Sie das verschlüsselnde Dateisystem verwenden und damit Dateien undOrdner vor nicht autorisierten Zugriffen schützen. In diesem Abschnitt finden Sie Anweisungen zum Aktivierendes verschlüsselnden Dateisystems.

Anforderungen• Anmeldeinformationen: Zum Ändern von Dateien oder Ordnern müssen Sie als Benutzer mit einem

EFS-Zertifikat und einer NTFS-Berechtigung angemeldet sein.

• Tools: Windows Explorer.


♦ So verschlüsseln Sie eine Datei oder einen Ordner mit EFS

1. Öffnen Sie Windows Explorer.

2. Klicken Sie mit der rechten Maustaste auf die Datei oder den Ordner, die Sie verschlüsseln möchten, undklicken Sie dann auf Eigenschaften.

3. Klicken Sie auf der Registerkarte Allgemein auf Erweitert.

4. Aktivieren Sie das Kontrollkästchen Inhalt verschlüsseln, um Daten zu schützen, und klicken Sie dannauf OK.


5. Klicken Sie im Dialogfeld Eigenschaften auf OK, und führen Sie dann einen der folgenden Schritte aus:

• Klicken Sie zum Verschlüsseln einer Datei und des übergeordneten Ordners im DialogfeldVerschlüsselungswarnung auf Die Datei und den Ordner verschlüsseln.

• Klicken Sie zum ausschließlichen Verschlüsseln einer Datei im Dialogfeld Verschlüsselungswarnungauf Nur die Datei verschlüsseln.

• Klicken Sie zum ausschließlichen Verschlüsseln eines Ordners im Dialogfeld Änderungen der Attributebestätigen auf Änderungen nur für diesen Ordner übernehmen.

• Klicken Sie zum Verschlüsseln eines Ordners sowie der zugehörigen Unterordner und Dateien imDialogfeld Änderungen der Attribute bestätigen auf Änderungen für diesen Ordner, Unterordnerund Dateien übernehmen.

6. Klicken Sie auf OK, damit die Verschlüsselungsauswahl übernommen und angewendet wird.

Aktivieren der Verschlüsselungs- und Entschlüsselungsoptionenin Windows Explorer

Möglicherweise möchten Sie EFS durch eine Konfiguration von Windows Explorer so implementieren, dass"Verschlüsseln" und "Entschlüsseln" nach dem Klicken mit der rechten Maustaste auf eine Datei im Kontextmenüangezeigt wird. Zum Aktivieren dieser Funktion müssen Sie Änderungen an der Windows-Registrierung vornehmenund einen neuen Registrierungswert erstellen, der in der Standardeinstellung nicht vorhanden ist.

WARNUNG: Durch eine nicht ordnungsgemäß ausgeführte Bearbeitung der Registrierung können im Systemschwere Schäden entstehen. Sichern Sie alle wichtigen Daten auf dem Computer, bevor Sie Änderungen an derRegistrierung vornehmen.

Anforderungen• Anmeldeinformationen: Ein Administrator mit Erfahrung beim Bearbeiten der Registrierung und Kenntnis

der möglichen Risiken bei der Bearbeitung.

• Tools: Registrierungs-Editor.


♦ So aktivieren Sie die Verschlüsselungs- und Entschlüsselungsoptionen in Windows Explorer

1. Öffnen Sie den Registrierungs-Editor, und wechseln Sie zum folgenden Registrierungspfad:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

2. Klicken Sie rechts im Detailbereich mit der rechten Maustaste, klicken Sie dann auf Neu und anschließendauf DWORD-Wert.

3. Geben Sie EncryptionContextMenu als Namen des DWORD-Wertes ein, und drücken Sie dann dieEINGABETASTE.

4. Klicken Sie mit der rechten Maustaste auf den gerade erstellten DWORD-Wert, und klicken Sie dann aufBearbeiten.

5. Geben Sie im Dialogfeld DWORD-Wert bearbeiten im Feld Wert den Wert 1 ein, und klicken Sie dannauf OK.

6. Klicken Sie im Menü Datei auf Beenden, um den Registrierungs-Editor zu schließen.


Hinweis: Unter Windows Server 2003 können Sie die Schaltfläche Verschlüsselungsdetails dem Explorer-Menüauch durch eine Registrierungsbatchdatei (*.reg ) hinzufügen, die folgende Informationen enthält und für alleBenutzer ausgeführt werden muss:

[HKEY_CLASSES_ROOT\*\Shell\Encrypt To User...\Command]

@="rundll32 efsadu.dll,AddUserToObject %1"

Aktivieren der EFS-DateifreigabeIn Unternehmen wird die Verschlüsselung zum Schutz vertraulicher Daten eingesetzt, gleichzeitig müssen jedochmehrere Benutzer auf diese Daten zugreifen können. Mit dem verschlüsselnden Dateisystem kann ein Benutzereine Datei verschlüsseln und dann anderen Benutzern den Zugriff auf die verschlüsselten Daten ermöglichen.Damit mehrere Benutzer auf eine verschlüsselte Datei zugreifen können, wird diese Datei als freigegebenfestgelegt. Anschließend werden der Datei die EFS-Verschlüsselungszertifikate aller anderen Benutzer hinzugefügt,die auf sie zugreifen können. Auf diese Weise kann die Sicherheit in Unternehmen verbessert werden, ohne dassdie Verfügbarkeit der Daten beeinträchtigt wird.

Beachten Sie bei der Freigabe verschlüsselter Daten bestimmte Anforderungen und Einschränkungen:

• Verschlüsselten Dateien können keine Benutzergruppen hinzugefügt werden, ebenso können verschlüsseltenOrdnern keine Benutzer hinzugefügt werden.

• Alle einer verschlüsselten Datei hinzugefügten Benutzer müssen über ein EFS-Verschlüsselungszertifikatauf dem Computer verfügen, auf dem die Datei gespeichert ist. In der Regel werden Zertifikate über eineZertifizierungsstelle, zum Beispiel Verisign, ausgegeben. Wenn ein Benutzer am Computer angemeldet istund eine Datei verschlüsselt, verfügt er auf dem Computer über ein EFS-Verschlüsselungszertifikat.Informationen zum Importieren von Zertifikaten finden Sie unter To import a certificate auf der MicrosoftTechNet-Website unter http://go.microsoft.com/fwlink/?LinkId=22846 (englischsprachig).

• Alle Benutzer, die die Datei entschlüsseln können, müssen über Leseberechtigungen für die Datei verfügen.Die NTFS-Berechtigungen müssen zu diesem Zweck entsprechend eingerichtet sein. Wird einem Benutzerder Zugriff aufgrund unzureichender NTFS-Berechtigungen verweigert, kann er die verschlüsselte Dateinicht lesen oder entschlüsseln. Anweisungen zum Festlegen von Berechtigungen für Dateien finden Sie unterTo set, view, change, or remove permissions on files and folders auf der Microsoft TechNet-Website unterhttp://go.microsoft.com/fwlink/?LinkId=22847 (englischsprachig).

Anforderungen• Anmeldeinformationen: Ein EFS-Zertifikat und Besitzrechte an der Datei sind erforderlich.


Alle Benutzer, die der Datei hinzugefügt werden, müssen über ein Zertifikat auf dem Computer verfügen.

♦ So ermöglichen Sie einem Benutzer die Ver- oder Entschlüsselung einer Datei


2. Klicken Sie mit der rechten Maustaste auf die zu ändernde verschlüsselte Datei, und klicken Sie dann aufEigenschaften.


http://go.microsoft.com/fwlink/?LinkId=22846





4. Klicken Sie unter Erweiterte Attribute auf Details.

5. Klicken Sie zum Hinzufügen eines Benutzers zu dieser Datei auf Hinzufügen, und führen Sie dann einender folgenden Schritte aus:

• Klicken Sie zum Hinzufügen eines Benutzers mit einem auf dem Computer vorhandenenEFS-Verschlüsselungszertifikat auf das entsprechende Zertifikat und dann auf OK.

• Wenn Sie ein Zertifikat vor dem Hinzufügen zur Datei anzeigen möchten, klicken Sie auf dasentsprechende Zertifikat und anschließend auf Zertifikat anzeigen.

• Klicken Sie zum Hinzufügen eines Benutzers von Active Directory auf Benutzer suchen, wählen Siedann in der Liste den gewünschten Benutzer aus, und klicken Sie auf OK.

• Klicken Sie zum Entfernen eines Benutzers in der Datei auf den entsprechenden Benutzernamen undanschließend auf Entfernen.

Hinweis: Beim Hinzufügen eines Benutzers zu einer Datei wird das EFS-Verschlüsselungszertifikat des Benutzersimportiert und durch eine vertrauenswürdige Stammzertifizierungsstelle überprüft. Es wird dann für diesenBenutzer im Zertifikatsspeicher Andere Personen gespeichert.

Exportieren und Importieren vonDatenwiederherstellungsschlüsseln

Im Datenwiederherstellungs-Agenten müssen Datenwiederherstellungsschlüssel (Data Recovery Keys oderDRA-Schlüssel) verfügbar sein, damit verschlüsselte Daten wiederhergestellt werden können, bei denen keineübliche Wiederherstellung durchgeführt werden kann. Daher ist der Schutz der Wiederherstellungsschlüsseläußerst wichtig. Es empfiehlt sich, die Datenwiederherstellungszertifikate und privaten Schlüssel derWiederherstellungs-Agenten auf sicheren Wechselmedien im PFX-Dateiformat zu exportieren und so den Verlustder Wiederherstellungsschlüssel zu vermeiden. Verloren gegangene Daten können dann durch Importieren dieserSchlüssel wiederhergestellt werden.

Es folgen Anweisungen zum Exportieren und Importieren von DRA-Schlüsseln.

Anforderungen• Anmeldeinformationen: Sie müssen am primären Domänencontroller der Domäne als Administrator angemeldet

sein.

• Tools: Zertifikat-Snap-In für die MMC.

Exportieren von Datenwiederherstellungsschlüsseln♦ So exportieren Sie das Zertifikat und den privaten Schlüssel des Datenwiederherstellungs-Agenten in der

Domäne

1. Melden Sie sich am primären Domänencontroller in der Domäne als Administrator an.

2. Klicken Sie im Menü Start auf Ausführen.


3. Geben Sie mmc.exe ein, und drücken Sie die EINGABETASTE.

4. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.

5. Klicken Sie auf Hinzufügen. Eine Liste aller auf dem aktuellen Computer registrierten Snap-Ins wirdangezeigt.

6. Doppelklicken Sie auf das Snap-In Zertifikate, klicken Sie auf Eigenes Benutzerkonto und anschließendauf Fertig stellen.

7. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen und dann im DialogfeldSnap-In hinzufügen/entfernen auf OK. In der MMC werden daraufhin die persönlichen Zertifikate für dasAdministratorkonto angezeigt.

8. Wechseln Sie zum Ordner Zertifikate\Aktueller Benutzer\Persönlich\Zertifikate.

Im Detailbereich (rechter Fensterbereich) wird eine Liste aller Zertifikate für das Administratorkonto angezeigt.In der Standardeinstellung sind normalerweise zwei Zertifikate vorhanden. Suchen Sie dasDRA-Standardzertifikat der Domäne.

9. Klicken Sie mit der rechten Maustaste auf dieses Standardzertifikat, klicken Sie dann auf Alle Tasks undanschließend auf Exportieren, um den Assistenten zu starten.


WICHTIG: Die Auswahl des korrekten Schlüssels beim Exportieren ist wichtig, da nach dem Exportvorgangder ursprüngliche private Schlüssel und das zugehörige Zertifikat vom Computer entfernt werden. Wenn derSchlüssel auf dem Computer nicht wiederhergestellt werden kann, ist die Dateiwiederherstellung unterVerwendung dieses DRA-Zertifikats nicht möglich.

10.Klicken Sie auf Ja, privaten Schlüssel exportieren und dann auf Weiter. Dadurch wird der private Schlüsselnach Abschluss des Exportvorgangs entfernt.


11.Klicken Sie auf der Seite Exportdateiformat auf Privater Informationsaustausch - PKCS #12 (.PFX),aktivieren Sie die Kontrollkästchen Verstärkte Sicherheit aktivieren und Privaten Schlüssel nacherfolgreichem Export löschen, und klicken Sie dann auf Weiter.

Es empfiehlt sich, den privaten Schlüssel nach dem erfolgreichen Exportieren im System zu entfernen – diessoll als zusätzliche Sicherheitsmaßnahme dienen.

Beim Exportieren eines privaten Schlüssels wird das PFX-Dateiformat verwendet. Das PFX-Dateiformatberuht auf dem PKCS #12-Standard, einem Format zum Speichern und Übertragen von Benutzerinformationen,einschließlich privater Schlüssel, Zertifikate und verschiedener geheimer Daten. Darüber hinaus kann imPFX-Dateiformat (PKCS #12) ein Kennwortschutz für den in der Datei gespeicherten privaten Schlüsseleingerichtet werden.

12.Geben Sie auf der Seite Kennwort in den Textfeldern Kennwort und Kennwort bestätigen ein sicheresKennwort ein, und klicken Sie dann auf Weiter.


Im letzten Schritt wird die aktuelle PFX-Datei gespeichert. Das Zertifikat und der private Schlüssel könnenauf alle beschreibbaren Datenträger gespeichert werden, einschließlich Netzlaufwerken oder Disketten.

13.Geben Sie auf der Seite Exportdatei den Pfad für die Datei ein, oder suchen Sie nach dem gewünschtenDateinamen, und klicken Sie dann auf Weiter.

In einer Meldung wird angezeigt, ob der Export erfolgreich durchgeführt wurde.


Wenn die Datei und der zugeordnete private Schlüssel verloren gehen, können alle mit diesem DRA-Zertifikatals Datenwiederherstellungsagent verschlüsselten Dateien in einem Notfall nicht mehr entschlüsselt werden.Bewahren Sie die PFX-Datei nach dem Exportieren dieser Datei und des privaten Schlüssels inÜbereinstimmung mit den Sicherheitsrichtlinien und -verfahren des Unternehmens auf permanentenWechselmedien an einem sicheren Ort auf. So kann die PFX-Datei beispielsweise auf einer oder mehrerenCD-ROMs gespeichert werden, die in einem Bankschließfach oder Tresor mit strengen Zugangskontrollenverwahrt werden.

Importieren von DatenwiederherstellungsschlüsselnWenn Sie verschlüsselte Daten unter Verwendung eines exportierten Datenwiederherstellungsschlüsselswiederherstellen möchten, muss zunächst der Schlüssel importiert werden. Der Import von Schlüsseln gestaltetsich einfacher als der Export. Doppelklicken Sie zum Importieren eines im PKCS #12-Dateiformat (PFX-Datei)gespeicherten Schlüssels einfach auf die Datei, um den Zertifikatimport-Assistenten zu starten. Oder starten Sieden Assistenten, und importieren Sie den Schlüssel mit den folgenden Schritten:

Anforderungen

• Anmeldeinformationen: Domänenadministratorkonto auf dem Computer.

• Tools: Zertifikat-Snap-In für die MMC.

♦ So importieren Sie einen Datenwiederherstellungsschlüssel

1. Melden Sie sich am Computer unter Verwendung eines gültigen Kontos an.

2. Klicken Sie im Startmenü auf Ausführen.

3. Geben Sie mmc.exe ein, drücken Sie dann die EINGABETASTE.

4. Klicken Sie in der MMC im Menü Datei auf Snap-In hinzufügen/entfernen.

5. Klicken Sie auf Hinzufügen. Eine Liste aller auf dem aktuellen Computer registrierten Snap-Ins wirdangezeigt.

6. Doppelklicken Sie auf das Snap-In Zertifikate, klicken Sie auf Eigenes Benutzerkonto und anschließendauf Fertig stellen.


7. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen und dann im DialogfeldSnap-In hinzufügen/entfernen auf OK. In der MMC wird jetzt der persönliche Zertifikatspeicher für dasAdministratorkonto angezeigt.

8. Wechseln Sie zum Ordner Zertifikate\Aktueller Benutzer\Persönlich\Zertifikate, klicken Sie mit derrechten Maustaste auf den Ordner, wählen Sie Alle Tasks aus, und klicken Sie dann auf Importieren, umden Zertifikatimport-Assistenten zu starten.

9. Klicken Sie auf Weiter, geben Sie den Dateinamen und -pfad der zu importierenden Datei ein, und klickenSie dann auf Weiter.


10.Geben Sie auf der Seite Kennwort im Feld Kennwort das Kennwort für die Datei ein, sofern es sich umeine PKCS #12-Datei handelt.

Es empfiehlt sich, private Schlüssel mit einem sicheren Kennwort zu speichern.

11.Wenn Sie den Schlüssel zu einem späteren Zeitpunkt erneut vom aktuellen Computer exportieren möchten,muss das Kontrollkästchen Schlüssel als exportierbar markieren auf jeden Fall aktiviert werden. KlickenSie auf Weiter.


12.Möglicherweise werden Sie im Assistenten dazu aufgefordert, den Namen des Speichers für das zuimportierende Zertifikat und den privaten Schlüssel anzugeben. Wenn Sie sicherstellen möchten, dass derprivate Schlüssel in den privaten Speicher importiert wird, klicken Sie nicht auf Zertifikatspeicherautomatisch auswählen (auf dem Zertifikatstyp basierend). Klicken Sie stattdessen auf Alle Zertifikatein folgendem Speicher speichern und anschließend auf Weiter.

13.Markieren Sie den Speicher Persönlich, und klicken Sie auf OK.

14.Klicken Sie auf Weiter und anschließend auf Fertig stellen, um den Assistenten zu beenden. In einer Meldungwird angezeigt, ob der Import erfolgreich durchgeführt wurde.


WICHTIG: Für einen Datenwiederherstellungs-Agenten sollte immer ein Domänenkonto verwendet werden -lokale Konten sind anfällig für Offlineangriffe.

Wiederherstellen von DatenWenn verschlüsselte Daten vom ursprünglichen Benutzer nicht wiederhergestellt werden können, da dieserbeispielsweise das Unternehmen verlassen hat, müssen Sie dennoch in der Lage sein, die Daten wiederherzustellenund im Unternehmen verfügbar zu machen. In diesem Abschnitt finden Sie Informationen zum Wiederherstellenvon verschlüsselten Dateien oder Ordnern. Mit einem Sicherungsprogramm können Sie die verschlüsseltenDateien oder Ordner des Benutzers auf dem Computer wiederherstellen, auf dem dasDateiwiederherstellungszertifikat und der Wiederherstellungsschlüssel des Datenwiederherstellungs-Agentengespeichert sind.

Zum Ausführen dieser Schritte müssen Sie als Wiederherstellungs-Agent angemeldet sein. Sie müssen also überden privaten Schlüssel und das Zertifikat für einen in den entsprechenden Dateien oder Ordnern angegebenenDatenwiederherstellungsschlüssel verfügen.

Anforderungen• Anmeldeinformationen: Datenwiederherstellungs-Agent.


♦ So können Sie verschlüsselte Dateien oder Ordner wiederherstellen


2. Klicken Sie mit der rechten Maustaste auf die wiederherzustellende Datei oder den Ordner, und klicken Siedann auf Eigenschaften.



4. Deaktivieren Sie das Kontrollkästchen Inhalt verschlüsseln, um Daten zu schützen.

5. Erstellen Sie eine Sicherung der entschlüsselten Daten, und stellen Sie sie dem Benutzer zur Verfügung.

Hinweis: Sie können die Sicherungskopie der entschlüsselten Datei oder des entschlüsselten Ordners alsE-Mail-Anlage, auf einem Datenträger oder in einer Dateifreigabe im Netzwerk zur Verfügung stellen.

Ein alternatives Verfahren zum Wiederherstellen von Daten ist der physischen Transport des privatenSchlüssels und Zertifikats für den Wiederherstellungs-Agenten auf den Computer mit der verschlüsseltenDatei. Dort müssen der private Schlüssel und das Zertifikat importiert, die Datei oder der Ordner entschlüsselt


und der importierte Schlüssel und das importierte Zertifikat anschließend wieder gelöscht werden. Bei diesemVerfahren wird der private Schlüssel stärker offen gelegt als beim ersten Verfahren, jedoch müssen keineSicherungs-, Wiederherstellungs- oder Übertragungsvorgänge durchgeführt werden.

Empfohlene VorgehensweisenDie folgenden empfohlenen Vorgehensweisen können in einem Unternehmen bei der Verwendung und Verwaltungverschlüsselter Dateien und Ordner von Nutzen sein.

• Dateiwiederherstellungszertifikate von Wiederherstellungs-Agenten sollten an einem geeigneten Ort gesichertwerden.

Wenn Sie als Wiederherstellungs-Agent angemeldet sind, exportierten Sie das Dateiwiederherstellungszertifikatund den privaten Schlüssel über den Befehl Exportieren unter Zertifikate in der Microsoft ManagementConsole (MMC) auf eine Diskette. Verwahren Sie die Diskette an einem sicheren Ort. Sie können dann imFalle einer Beschädigung oder Entfernung des Zertifikats oder privaten Schlüssels auf Ihrem Computer denBefehl Importieren unter Zertifikate in der MMC verwenden. So können Sie beschädigte oder gelöschteZertifikate oder Schlüssel mit den auf der Diskette gesicherten Zertifikaten oder Schlüsseln ersetzen.

• Verwenden Sie die Standarddomänenkonfiguration.

In der Standardeinstellung ist der Administrator einer Domäne der Standard-DRA einer Windows 2000- oderWindows Server 2003-Domäne. Wenn sich der Administrator einer Domäne das erste Mal anmeldet, wirdein selbst signiertes Zertifikat erstellt und der private Schlüssel im Profil des Computers gespeichert. DieStandardgruppenrichtlinie in der Domäne enthält den öffentlichen Schlüssel des Zertifikats als Standard-DRAder Domäne.

• Aktualisieren Sie verloren gegangene oder abgelaufene private DRA-Schlüssel umgehend.

Obwohl es sich beim Ablaufen eines DRA-Zertifikats um ein unbedeutendes Ereignis handelt, kann sich derVerlust oder die Beschädigung der privaten Schlüssel des DRA katastrophal für das Unternehmen auswirken.

Ein abgelaufenes DRA-Zertifikat (privater Schlüssel) kann auch weiterhin zur Entschlüsselung von zuvorverschlüsselten Dateien verwendet werden, bei neuen oder aktualisierten verschlüsselten Dateien kann dasabgelaufene Zertifikat (öffentlicher Schlüssel) jedoch nicht verwendet werden. Wenn in einem Unternehmendie privaten Schlüssel eines DRA verloren gegangen sind oder das entsprechende Zertifikat abgelaufen ist,empfiehlt sich die umgehende Erstellung von mindestens einem neuen DRA-Zertifikat sowie die Aktualisierungder Gruppenrichtlinie im Hinblick auf die neuen Zertifikate. Wenn Benutzer neue Dateien verschlüsseln odervorhandene verschlüsselte Dateien aktualisieren, werden die Dateien automatisch mit den neuen öffentlichenDRA-Schlüsseln aktualisiert. Möglicherweise müssen Benutzer zur Aktualisierung aller vorhandenen Dateienveranlasst werden, damit die neuen DRA-Schlüssel berücksichtigt werden.

Unter Windows XP wurde das Befehlszeilenprogramm cipher.exe um den Parameter /U erweitert. Dadurchkönnen der Schlüssel zur Dateiverschlüsselung oder die Schlüssel des Wiederherstellungs-Agenten in allenDateien der lokalen Laufwerke aktualisiert werden. Im folgenden Beispiel werden zwei verschlüsselte Dateienauf dem lokalen Laufwerk durch Ausführen von Cipher.exe aktualisiert:

Cipher.exe /U C:\Temp\test.txt: C:\Temp\test.txt Verschlüsselung aktualisiert.

Hinweis: Die Gültigkeitsdauer des selbstsignierenden Zertifikats in einer Domäne ohne Zertifizierungsstellebeträgt 99 Jahre.


Die folgenden Vorgehensweisen können beim Schutz der Daten von mobilen Endbenutzern im Falle einesDiebstahls oder Verlusts nützlich sein:

• Der physische Schutz der Computer hat höchste Priorität. Es gibt keinen technologischen Ersatz für dieDurchführung der Sicherheitsmaßnahmen, die den Diebstahl oder Zugriff verhindern.

• Verwenden Sie tragbare Computer immer als Teil einer Active Directory-Domäne.

• Sichern Sie die privaten Schlüssel der Benutzer nicht auf den tragbaren Computern, importieren Sie siestattdessen bei Bedarf.

• Häufig verwendete Speicherordner wie Eigene Dateien und temporäre Ordner sollten so verschlüsselt werden,dass alle neuen und temporären Dateien bei der Erstellung verschlüsselt werden.

• Erstellen oder kopieren Sie neue beziehungsweise vorhandene Dateien immer in einen verschlüsselten Ordner,wenn die entsprechenden Daten sicherheitsrelevant sind. Damit ist gewährleistet, dass die Dateien niemalsin lesbarer Form auf dem Computer vorhanden waren und dass temporäre Dateien nicht durch die Verwendungvon hochentwickelten Laufwerksanalyse-Angriffen wiederhergestellt werden können.

• In einer Domäne kann die Konfiguration und Verwendung von verschlüsselten Standardordnern (zum BeispielEigene Dateien ) durch eine Kombination von Gruppenrichtlinien, Anmeldeskripts und Sicherheitsvorlagenerzwungen werden.

• Im Betriebssystem Windows XP wird die Verschlüsselung von Daten in Offlinedateien unterstützt. Lokalzwischengespeicherte Offlinedateien und -ordner sollten bei der Verwendung von Cache-Richtlinien aufdem Client verschlüsselt werden.

• Verwenden Sie auf den tragbaren Computern das Systemschlüsseldienstprogramm SYSKEY im Modus 2oder 3 (Startdiskette oder Startkennwort), damit das System nicht von einem böswilligen Benutzer gestartetwerden kann. Das Systemschlüsseldienstprogramm und die zugehörigen Optionen werden in der Onlinehilfeder jeweiligen Windows-Version erläutert.

• Aktivieren Sie die SMB-Signatur (Server Message Block) in der Gruppenrichtlinie für Server, die fürDelegierungen als vertrauenswürdig eingestuft sind und zum Speichern von verschlüsselten Dateien verwendetwerden. Diese Einstellung wird in der Gruppenrichtlinie unter folgendem Pfad festgelegt: Name desGruppenrichtlinienobjekts\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\LokaleRichtlinien\Sicherheitsoptionen\Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer).

• Stellen Sie sicher, dass unverschlüsselte Daten nach der Verschlüsselung von Dateien und anschließend inregelmäßigen Abständen von der Festplatte entfernt werden.

Weitere InformationenWeitere Informationen zum verschlüsselnden Dateisystem finden Sie unter:

• "Encrypting File System" auf der Microsoft TechNet-Website unterhttp://go.microsoft.com/fwlink/?LinkID=22412 (englischsprachig).

• "Encrypting File System in Windows XP and Windows Server 2003" auf der Microsoft TechNet-Websiteunter http://go.microsoft.com/fwlink/?LinkID=22413 (englischsprachig).


http://go.microsoft.com/fwlink/?LinkID=22412




FestplattenencryptionEFS

Documents

Transcript of FestplattenencryptionEFS