EFS (Encrypting File System)

In Microsoft Windows haben Sie die Möglichkeit, Daten auf Datenträgern, die das NTFS-Dateisystem verwenden, direkt zu verschlüsseln und somit zu verhindern, dass andere Benutzer diese Daten verwenden können. Sie können Dateien und Ordner verschlüsseln, indem Sie im Dialogfeld Eigenschaften für das Objekt ein entsprechendes Attribut festlegen.

Da der Verschlüsselungs-/Entschlüsselungsvorgang für Benutzer transparent ist, sollten Sie sicherstellen, dass Organisationen, die Dateiverschlüsselung nutzen möchten, hierfür strenge Richtlinien erlassen. Die EFS-Funktion ist in Microsoft Windows XP Home Edition nicht enthalten.

In Microsoft Windows XP unterstützt EFS die gemeinsame Nutzung von verschlüsselten Dateien durch mehrere Benutzer. Mit dieser Unterstützung können Sie einzelnen Benutzern die Berechtigung geben, auf eine verschlüsselte Datei zuzugreifen. Die Möglichkeit, zusätzliche Benutzer hinzuzufügen, ist auf einzelne Dateien beschränkt. Unterstützung mehrerer Benutzer für Ordner wird weder in Microsoft Windows 2000 noch in Windows XP geboten. Auch die Verwendung von verschlüsselten Dateien durch Gruppen wird von EFS nicht unterstützt.

Wenn eine Datei per EFS verschlüsselt wird, generiert das System zuächst einen zufälligen Schlüssel, den sogenannten File Encryption Key (FEK), mit dem die Datei dann mittels des symmetrischen Verschlüsselungsverfahrens DES oder bei Windows XP ab SP1 mittels AES unlesbar gemacht wird. Der FEK wird dann mittels des asymmetrischen RSA-Algorithmus unter Benutzung des öffentlichen Schlüssels des Benutzers verschlüsselt und mit der Datei zusammen abgespeichert. Soll die Datei gelesen werden, wird der FEK mittels des privatenen Schlüssels des Benutzers entschlüsselt, um damit den Klartext der verschlüsselten Datei wiederherzustellen.

Sie können Dateien einzeln verschlüsseln, es ist jedoch generell empfehlenswert, spezifische Ordner festzulegen, in denen Sie Ihre verschlüsselten Dateien speichern, und diesen Ordner zu verschlüsseln. Wenn Sie dies tun, erhalten alle Dateien, die in diesem Ordner erstellt und in diesen Ordner verschoben werden, automatisch das verschlüsselte Attribut.
Dateien werden durch die Verwendung von Algorithmen (Expanded Data Encryption Standard, DESX) oder Triple-DES (3DES)verschlüsselt, die Daten im Wesentlichen neu anordnen, vermischen und codieren. Ein Schlüsselpaar wird nach dem Zufallsprinzip erzeugt, wenn Sie Ihre erste Datei verschlüsseln. Dieses Schlüsselpaar besteht aus einem privaten und einem öffentlichen Schlüssel. Das Schlüsselpaar wird zum Verschlüsseln und Entschlüsseln der verschlüsselten Dateien verwendet. Wenn das Schlüsselpaar verloren geht oder beschädigt wird und Sie keinen Wiederherstellungsagenten (DRA) bestimmt haben, besteht keine Möglichkeit, die Daten wiederherzustellen.

Die Verschlüsselungsdienste sind über den Windows-Explorer verfügbar. Benutzer können eine Datei oder einen Ordner auch mithilfe der Befehlszeilenfunktion cipher verschlüsseln.

In der Eingabeaufforderung schreiben sie nun den Befehl

cipher /e /s: ordner /a /f /i” ... ganzer Ordner wird verschlüsselt
cipher /r: dateiname” ... Zertifikat für DRA wird erstellt
cipher /x” ... Zertifikat wird gesichert
cipher /n /u” ... suchen nach verschlüsselten Dateien

Da es keine Möglichkeit gibt, Daten wiederherzustellen, die mit einem beschädigten oder fehlenden Zertifikat verschlüsselt wurden, ist es von enormer Wichtigkeit, dass Sie die Zertifikate sichern und an einem sicheren Ort aufbewahren. Sie können auch einen Wiederherstellungsagenten festlegen. Dieser Agent kann die Daten wiederherstellen. Das Zertifikat des Wiederherstellungsagenten dient einem anderen Zweck als das Zertifikat des Benutzers.

Sie können Dateien und Ordner nicht verschlüsseln ...
  wenn sich diese auf einem Volume befinden, auf dem das FAT-Dateisystem verwendet wird
  Dateien in einem servergespeichertem Userprofil
  Systemdateien 
  Systemroot Verzeichnis
  unter Windows 2000 wenn kein DRA angegeben wird (durch Gruppenrichtlinien)

Neue Futures in XP/2003
  PRD (password reset disk)
  DRA (Recovery Agent) optional
  mehrere User in die DRF integrieren

was kann man sonst noch verschlüsseln?
  Offline Dateien, Web Ordner

welche Möglichkeiten gibt es noch um Dateien verschlüsselt zu übertragen?
  Remote, IPSec, WebDAV

 

Um den Sicherheitsschlüssel des "Encrypting File System" (EFS) zu sichern, gehen Sie folgendermaßen vor:

  1. Melden Sie sich als Administrator an

  2. Starten Sie über "Systemsteuerung" -> "Verwaltung" -> "Lokale Sicherheitsrichtlinie" bzw. durch
    "Start" -> "Ausführen" und der Eingabe von "secpol.mmc"

  3. Klicken Sie auf "Richtlinien öffentlicher Schlüssel" -> "Agenten für Wiederherstellung von verschlüsselten Daten"

  4. Klicken Sie mit der rechten Maustaste auf den "Datenwiederherstellungs" - Eintrag und wählen Sie aus dem Kontextmenü "Alle Tasks" -> "Exportieren..."

  5. Klicken Sie im Willkommensbildschirm des Assistenten auf "Weiter" -> "Ja, privaten Schlüssel exportieren" -> "Weiter"

  6. Unter "Exportdateiformat" sollten Sie aus Sicherheitsgründen "Privaten Schlüssel nach erfolgreichem Export löschen" auswählen.

  7. Klicken Sie auf "Weiter" -> geben Sie einen Dateinamen ein und speichern den Schlüssel über "Weiter" -> "Fertig stellen".

Diese Datei sollten Sie auf einer Diskette sicher verwahren.

Wenn Sie nicht mehr an die Daten kommen und den Sicherheitsschlüssel benötigen, können Sie ihn wieder folgendermaßen importieren:

  1. Melden Sie sich als Administrator an

  2. Klicken Sie mit der rechten Maustaste auf die Datei (*.pfx)

  3. Wählen Sie aus dem Kontextmenü "Install PFX"

  4. Bestätigen Sie mit "Weiter" -> geben Sie Ihr Passwort ein und bestätigen Sie mit "Weiter".