3 Schützen von Daten durch Festplattenverschlüsselung mit EFS

Inhalt
Einführung
Vorbereitung
Erstellen und Sichern eines Wiederherstellungsschlüssels
Erstellen eines Wiederherstellungs-Agenten in einer Domäne
Erstellen eines lokalen Wiederherstellungs-Agenten
Verwenden des verschlüsselnden Dateisystems
Aktivieren der Verschlüsselungs- und Entschlüsselungsoptionen in Windows Explorer
Aktivieren der EFS-Dateifreigabe
Exportieren und Importieren von Datenwiederherstellungsschlüsseln
Wiederherstellen von Daten
Empfohlene Vorgehensweisen
Weitere Informationen

Einführung
In vielen Unternehmen werden Desktopcomputer von mehreren Benutzern verwendet. Einige Benutzer reisen
mit tragbaren Computern und verwenden sie außerhalb des Sicherheitssystems des Unternehmens in
Kundeneinrichtungen, in Hotels, an Flughäfen oder Heimarbeitsplätzen. Wertvolle Daten befinden sich damit
oft außerhalb der Kontrolle des Unternehmens. Nicht autorisierte Benutzer versuchen möglicherweise, die auf
einem Desktopcomputer gespeicherten Daten zu lesen. Ein tragbarer Computer kann gestohlen werden. In allen
Fällen können böswillige Dritte auf vertrauliche Daten des Unternehmens zugreifen.

Eine Möglichkeit zur Reduzierung dieser Risiken sowie zur Verbesserung der Sicherheit ist die Verschlüsselung
vertraulicher Dateien durch die Verwendung von Encrypting File System (EFS oder Verschlüsselndes Dateisystem).
Bei der Verschlüsselung werden mathematische Algorithmen angewendet, so dass die Daten nur von den Benutzern
gelesen werden können, die über den erforderlichen Schlüssel verfügen. Beim verschlüsselnden Dateisystem
handelt es sich um eine Microsoft-Technologie, mit der Sie Daten auf Ihrem Computer verschlüsseln sowie
angeben können, wer diese Daten entschlüsseln oder wiederherstellen kann. Bei verschlüsselten Dateien können
die Benutzerdaten auch dann nicht gelesen werden, wenn ein Dritter auf den Datenspeicher des Computers
zugreifen kann. Für die Verwendung des verschlüsselnden Dateisystems benötigen alle Benutzer EFS-Zertifikate.
Hierbei handelt es sich um digitale Dokumente zum Ver- und Entschlüsseln von Daten über EFS. Darüber hinaus
müssen EFS-Benutzer über NTFS-Berechtigungen zum Ändern von Dateien verfügen.

Zwei Arten von Zertifikaten spielen im verschlüsselnden Dateisystem eine Rolle:

• Zertifikate für das verschlüsselnde Dateisystem. Mit diesem Zertifikat können Inhaber mithilfe des
verschlüsselnden Dateisystems Daten verschlüsseln und entschlüsseln. Dieses Zertifikat wird häufig als
"EFS-Zertifikat" bezeichnet. EFS-Standardbenutzern wird dieses Zertifikat zugewiesen. Bei diesem Zertifikat
wird im Feld Erweiterte Schlüsselverwendung (in der Microsoft Management Console im Zertifikat-Snap-In)
der Wert Verschlüsselndes Dateisystem (1.3.6.1.4.1.311.10.3.4) angegeben

• Zertifikate für die Dateiwiederherstellung. Mit diesem Zertifikat können Inhaber verschlüsselte Dateien
und Ordner in der gesamten Domäne oder einem anderen Bereich wiederherstellen, unabhängig davon,
welche Benutzer diese Daten verschlüsselt haben. Ausschließlich Domänenadministratoren oder als besonders
vertrauenswürdig eingestufte Personen, die so genannten Datenwiederherstellungs-Agenten, sollten dieses
Zertifikat erhalten. Bei diesem Zertifikat wird im Feld Erweiterte Schlüsselverwendung (in der Microsoft
 
4 Schützen von Daten durch Festplattenverschlüsselung mit EFS

Management Console im Zertifikat-Snap-In) der Wert Dateiwiederherstellung (1.3.6.1.4.1.311.10.3.4.1)

angegeben Die Zertifikate werden oft als "EFS-DRA-Zertifikate" bezeichnet.

Um einer anderen autorisierten Person das Lesen Ihrer verschlüsselten Daten zu ermöglichen, können Sie ihr
Ihren privaten Schlüssel geben oder sie als Datenwiederherstellungs-Agenten angeben.
Datenwiederherstellungs-Agenten können im jeweiligen Bereich alle durch EFS verschlüsselten Dateien in der
Domäne oder Organisationseinheit entschlüsseln. In diesem Dokument finden Sie detaillierte Anweisungen für
die wesentlichen EFS-Aufgaben in kleinen und mittleren Unternehmen sowie wichtige Empfehlungen zur
Verwendung des verschlüsselnden Dateisystems.

In diesem Dokument werden die folgenden Aufgaben erläutert:

• Erstellen und Sichern eines Wiederherstellungsschlüssels zur sicheren Wiederherstellung von Daten für den
Fall, dass der ursprüngliche Benutzer keine Wiederherstellung durchführen kann.

• Erstellen von Wiederherstellungs-Agenten, die verschlüsselte Dateien wiederherstellen können, wenn der
ursprüngliche Benutzer keine Wiederherstellung durchführen kann.

• Einrichten des verschlüsselnden Dateisystems in einem Unternehmen.

• Konfigurieren von Windows Explorer zur einfachen EFS-Verwendung.

• Konfigurieren der Dateifreigaben für die Verwendung des verschlüsselnden Dateisystems.

• Exportieren und Importieren von Wiederherstellungsschlüsseln zur sicheren Wiederherstellung von

verschlüsselten Dateien und Ordnern.

• Wiederherstellen von Daten, wenn der ursprüngliche Benutzer keine Wiederherstellung durchführen kann.

Durch Ausführen der Schritte in diesem Dokument werden folgende Änderungen im System vorgenommen:

• Erstellen eines Wiederherstellungsschlüssels für Sicherungsdaten.

• Erstellen eines Wiederherstellungs-Agenten.

• Aktivieren des verschlüsselnden Dateisystems zur Verschlüsselung von Daten auf der Festplatte.

• Konfigurieren von Windows Explorer zur Bereitstellung der EFS-Optionen.

Anhand dieser Anweisungen können Sie darüber hinaus die folgenden Änderungen oder Vorsichtsmaßnahmen
implementieren:

• Ermöglichen des gemeinsamen Zugriffs auf ausgewählte verschlüsselte Daten.

• Verwalten der Datenwiederherstellungsschlüssel zur Verwendung beim Wiederherstellen von verschlüsselten

Daten.

• Wiederherstellen von durch Assistenten verschlüsselte Daten.

Vorbereitung
Mit den Anweisungen in diesem Dokument können Sie die Computer zur Verwendung des verschlüsselnden
Dateisystems konfigurieren. Darüber hinaus finden Sie Erläuterungen zur Verwendung des verschlüsselnden
Dateisystems zum Schutz der Daten auf den Festplatten in Ihrem Unternehmen. Bevor Sie mit der Umsetzung
beginnen, sollten Sie mit Ihrer Rechtsberatung klären, ob die geplanten Verschlüsselungsrichtlinien und -verfahren
 
5 Schützen von Daten durch Festplattenverschlüsselung mit EFS

mit den geltenden Gesetzen und Vorschriften in Einklang stehen. Wenn Ihr Unternehmen Niederlassungen im
Ausland unterhält, sollten Sie sich mit Exportkontrollgesetzen für Verschlüsselungssoftware vertraut machen.
Sie sollten außerdem über Kenntnisse der grundlegenden Anforderungen und Bedingungen zum Einsatz des
verschlüsselnden Dateisystems verfügen:

• Die Verschlüsselung von Dateien und Ordnern ist nur in NTFS-Dateisystemen möglich. Sie können das
verschlüsselnde Dateisystem daher nicht in FAT- oder FAT32-Dateisystemen verwenden. Bei Verwendung
des FAT-Dateisystems wird die Konvertierung dieser Volumes zu NTFS empfohlen, sofern nicht besondere
Umstände den Einsatz des FAT-Systems erfordern. In den Betriebssystemen Windows 95, Windows 98 und
Windows Millennium Edition werden NTFS und EFS nicht unterstützt. Windows XP Home Edition unterstützt
NTFS, jedoch nicht EFS.

• Komprimierte Dateien oder Ordner können nicht gleichzeitig verschlüsselt werden. Wenn komprimierte
Dateien oder Ordner verschlüsselt werden, wird die Komprimierung aufgehoben.

• Dateien mit gesetztem Systemattribut können nicht verschlüsselt werden, das gleiche gilt für Dateien im
Ordner systemroot.

• Bei der ersten Verwendung legen Sie in einem Dialogfeld fest, welche Optionen beim Verschlüsseln von
Dateien und Ordnern zukünftig verwendet werden:

• Wenn Sie bei einer Dateiverschlüsselung die Verschlüsselung des übergeordneten Ordners auswählen,
werden alle Dateien und Unterordner, die dem Ordner hinzugefügt werden, beim Hinzufügen automatisch
verschlüsselt.

• Wenn Sie bei der Verschlüsselung eines Ordners die Verschlüsselung aller Dateien und Unterordner
auswählen, werden die aktuell vorhandenen Dateien und Unterordner ebenfalls verschlüsselt, dies gilt
auch für alle später hinzugefügten Dateien und Unterordner.

• Wenn Sie die Verschlüsselung nur für diesen Ordner auswählen, werden alle Dateien und Unterordner
im Verzeichnis nicht verschlüsselt. Alle zukünftigen Dateien und Unterordner werden dagegen beim
Hinzufügen zu diesem Ordner verschlüsselt.

Sofern nicht anders angegeben, wird bei den Anweisungen in diesem Dokument von der Verwendung der
Betriebssysteme Windows Server 2003 auf Servern und Windows XP Professional auf Clientcomputern
ausgegangen.

In einer Active Directory-Umgebung wird die Verwendung von servergespeicherten Profilen für die Benutzer
vorausgesetzt. Die Abbildungen in diesem Dokument entsprechen einer Testumgebung, und die Angaben
unterscheiden sich möglicherweise von den auf Ihrem Bildschirm angezeigten Informationen.

Alle detaillierten Anweisungen in diesem Dokument wurden unter Verwendung des Menüs Start entwickelt,
das nach der Installation des Betriebssystems angezeigt wird. Wenn Sie das Menü Start geändert haben, können
die Arbeitsschritte von den angezeigten Menüs abweichen.

Erstellen und Sichern eines Wiederherstellungsschlüssels

Der endgültige Verlust von verschlüsselten Daten kann die Folge einer nicht durchgeführten Sicherung des
Wiederherstellungsschlüssels sein. Durch die Sicherung des Wiederherstellungsschlüssels wird gewährleistet,
dass verschlüsselte Daten auch dann wiederhergestellt werden können, wenn der Inhaber des
EFS-Verschlüsselungszertifikats die Daten nicht entschlüsseln kann.
 
6 Schützen von Daten durch Festplattenverschlüsselung mit EFS

Anforderungen
• Anmeldeinformationen: Dieser Vorgang muss über das Konto des Wiederherstellungs-Agenten durchgeführt
werden, in dessen persönlichem Zertifikatsspeicher das Wiederherstellungszertifikat und der private Schlüssel
verfügbar sind. In der Standardeinstellung ist der Domänenadministrator der Wiederherstellungs-Agent. Bei
Heimarbeitsplätzen oder Umgebungen ohne Domäne ist kein Wiederherstellungs-Agent vorgesehen. Sie
können jedoch einen lokalen Wiederherstellungs-Agenten für alle Konten auf dem Computer erstellen.
Üblicherweise führt jedoch an einem Heimarbeitsplatz jeder Inhaber eines EFS-Zertifikats die Sicherung der
eigenen privaten Schlüssel durch.

• Tools: Zertifikat-Snap-In für die MMC (Microsoft Management Console).

WARNUNG: Vergewissern Sie sich vor Änderungen an der Standardwiederherstellungsrichtlinie, dass die
Standardwiederherstellungsschlüssel gesichert wurden. Die Standardwiederherstellungsschlüssel einer Domäne
sind auf den Domänencontrollern gespeichert.

♦ So sichern Sie Standard-Wiederherstellungsschlüssel auf einer Diskette

1. Klicken Sie im Menü Start auf Ausführen, geben Sie mmc ein, und klicken Sie dann auf OK. Die Microsoft
Management Console wird geöffnet.

2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen, und klicken Sie anschließend auf Hinzufügen.

3. Klicken Sie unter Eigenständiges Snap-In hinzufügen auf Zertifikate und dann auf Hinzufügen.

4. Klicken Sie auf Eigenes Benutzerkonto und anschließend auf Fertig stellen.

5. Klicken Sie auf Schließen und dann auf OK.

6. Doppelklicken Sie auf Zertifikate - Aktueller Benutzer, auf Persönlich und anschließend auf Zertifikate.

7. Klicken Sie auf das Zertifikat, für das in der Spalte Beabsichtigte Zwecke die Beschreibung
Dateiwiederherstellung angezeigt wird.

8. Klicken Sie mit der rechten Maustaste auf das Zertifikat, zeigen Sie auf Alle Tasks, und klicken Sie
anschließend auf Exportieren.

9. Befolgen Sie die Anweisungen im Zertifikatexport-Assistenten, um das Zertifikat und den zugehörigen
privaten Schlüssel in eine PFX-Datei zu exportieren.
 
7 Schützen von Daten durch Festplattenverschlüsselung mit EFS

Erstellen eines Wiederherstellungs-Agenten in einer Domäne

Damit die mit EFS verschlüsselten Daten über ein zusätzliches Konto gelesen oder wiederhergestellt werden
können, muss das entsprechende Konto als Wiederherstellungs-Agent definiert werden. In einer
Domänenumgebung empfiehlt sich zu diesem Zweck die Verwendung von Domänenkonten. Sie können einen
Wiederherstellungs-Agenten für alle Standorte, Domänen oder Organisationseinheiten in einer Active
Directory®-Verzeichnisdienststruktur erstellen. In der Standardeinstellung wird das integrierte Administratorkonto
einer Domäne als Wiederherstellungs-Agent verwendet. In diesem Fall muss kein Wiederherstellungs-Agent
erstellt werden.

Anforderungen
• Anmeldeinformationen: Administrator der Domäne.

• Tools: Snap-In Active Directory-Benutzer und -Computer für die MMC.

♦ So erstellen Sie einen Wiederherstellungs-Agenten in einer Domäne

1. Klicken Sie im Menü Start auf Systemsteuerung, doppelklicken Sie auf Verwaltung und anschließend auf
Active Directory-Benutzer und -Computer.

2. Klicken Sie mit der rechten Maustaste auf die Domäne, deren Wiederherstellungsrichtlinie geändert werden
soll, und klicken Sie dann auf Eigenschaften.

3. Klicken Sie auf die Registerkarte Gruppenrichtlinie.

 
8 Schützen von Daten durch Festplattenverschlüsselung mit EFS

4. Klicken Sie mit der rechten Maustaste auf die zu ändernde Wiederherstellungsrichtlinie, und klicken Sie
dann auf Bearbeiten.

5. Klicken Sie in der Konsolenstruktur (linker Fensterbereich) auf Verschlüsselndes Dateisystem. Diese Option
befindet sich unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
öffentlicher Schlüssel\Verschlüsselndes Dateisystem.
 
9 Schützen von Daten durch Festplattenverschlüsselung mit EFS

6. Klicken Sie rechts im Detailbereich mit der rechten Maustaste, und klicken Sie dann auf
Datenwiederherstellungs-Agenten erstellen.

Hinweis: Im Assistenten Datenwiederherstellungs-Agenten erstellen werden Sie zum Hinzufügen eines

Benutzers aus einer Datei oder von Active Directory als Wiederherstellungs-Agent aufgefordert. Beim
Hinzufügen des Wiederherstellungs-Agenten aus einer Datei wird der Benutzer als USER_UNKNOWN
angegeben. Der Grund hierfür liegt darin, dass der Benutzername in der Datei nicht gespeichert ist.

Beim Hinzufügen eines Wiederherstellungs-Agenten von Active Directory müssen die EFS-Zertifikate
(Dateiwiederherstellungszertifikate) für den Agenten in Active Directory veröffentlicht sein. Da die Zertifikate
mit der Standardvorlage für EFS-Dateiwiederherstellungszertifikate jedoch nicht veröffentlicht werden, muss
eine entsprechende Vorlage erstellt werden. Kopieren Sie dazu im Snap-In Zertifikatvorlagen zum Erstellen
einer neuen Vorlage die Standardvorlage für EFS-Dateiwiederherstellungszertifikate. Klicken Sie mit der
rechten Maustaste auf die neue Vorlage, und wählen Sie Eigenschaften aus. Aktivieren Sie im Dialogfeld
Eigenschaften des kopierten Zertifikats auf der Registerkarte Allgemein das Kontrollkästchen Zertifikat
in Active Directory veröffentlichen.

7. Befolgen Sie die Anweisungen im Assistenten Wiederherstellungs-Agent erstellen, um die Erstellung des
Agenten abzuschließen.

Erstellen eines lokalen Wiederherstellungs-Agenten

In einer Umgebung ohne Domäne, zum Beispiel auf einem Einzelplatzcomputer oder in einer Arbeitsgruppe,
können Sie einen lokalen Wiederherstellungs-Agenten erstellen. Die Erstellung eines lokalen
Wiederherstellungs-Agenten empfiehlt sich, wenn der Computer von mehreren Benutzern verwendet wird. Auf
einem Einzelplatzcomputer ist es einfacher, den Wiederherstellungsschlüssel auf Wechselmedien zu sichern.

Anforderungen
• Anmeldeinformationen: Administrator des lokalen Computers.

• Tools: Gruppenrichtlinienobjekt-Editor.

♦ So erstellen Sie einen lokalen Wiederherstellungs-Agenten

1. Klicken Sie im Menü Start auf Ausführen, geben Sie mmc ein, und klicken Sie dann auf OK.

2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen, und klicken Sie anschließend auf Hinzufügen.

3. Klicken Sie unter Eigenständiges Snap-In hinzufügen auf Gruppenrichtlinienobjekt-Editor und

anschließend auf Hinzufügen.

4. Überprüfen Sie, ob unter Gruppenrichtlinienobjekt der Eintrag Lokaler Computer angezeigt wird, und
klicken Sie dann auf Fertig stellen.

5. Klicken Sie auf Schließen und dann auf OK.

6. Wechseln Sie unter Richtlinie für Lokaler Computer zum Ordner

Computerrichtlinie\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
öffentlicher Schlüssel.
 
10 Schützen von Daten durch Festplattenverschlüsselung mit EFS

7. Klicken Sie im Detailbereich mit der rechten Maustaste auf Verschlüsselndes Dateisystem, und klicken Sie
dann auf Datenwiederherstellungs-Agenten hinzufügen oder Datenwiederherstellungs-Agenten erstellen.

Hinweis: Im Assistenten werden Sie zur Auswahl eines Benutzernamens für den Wiederherstellungs-Agenten
aufgefordert. Sie können den Namen eines Benutzers mit einem veröffentlichten
Dateiwiederherstellungszertifikat eingeben oder nach Dateiwiederherstellungszertifikaten (CER-Dateien)
suchen, die Informationen über den hinzuzufügenden Wiederherstellungs-Agenten enthalten.
Dateiwiederherstellungszertifikate sind über Zertifizierungsstellen erhältlich. Suchen Sie zum Ermitteln eines
Dateiwiederherstellungszertifikats im Zertifikat-Snap-In im Detailbereich im Feld Erweiterte
Schlüsselverwendung nach dem Wert Dateiwiederherstellung (1.3.6.1.4.1.311.10.3.4.1).
Dateiwiederherstellungszertifikate werden als CER-Dateien im Dateisystem des lokalen Computers oder in
Active Directory gespeichert.

Beim Hinzufügen des Wiederherstellungs-Agenten aus einer Datei wird der Benutzer als USER_UNKNOWN
angegeben, da der Benutzername nicht in der Datei gespeichert ist.

8. Befolgen Sie zum Beenden des Vorgangs die Anweisungen des Assistenten.

Verwenden des verschlüsselnden Dateisystems

Nach dem Erstellen des Wiederherstellungs-Agenten sowie dem Erstellen und Sichern des
Wiederherstellungsschlüssels können Sie das verschlüsselnde Dateisystem verwenden und damit Dateien und
Ordner vor nicht autorisierten Zugriffen schützen. In diesem Abschnitt finden Sie Anweisungen zum Aktivieren
des verschlüsselnden Dateisystems.

Anforderungen
• Anmeldeinformationen: Zum Ändern von Dateien oder Ordnern müssen Sie als Benutzer mit einem
EFS-Zertifikat und einer NTFS-Berechtigung angemeldet sein.

• Tools: Windows Explorer.

 
11 Schützen von Daten durch Festplattenverschlüsselung mit EFS

♦ So verschlüsseln Sie eine Datei oder einen Ordner mit EFS

1. Öffnen Sie Windows Explorer.

2. Klicken Sie mit der rechten Maustaste auf die Datei oder den Ordner, die Sie verschlüsseln möchten, und
klicken Sie dann auf Eigenschaften.

3. Klicken Sie auf der Registerkarte Allgemein auf Erweitert.

4. Aktivieren Sie das Kontrollkästchen Inhalt verschlüsseln, um Daten zu schützen, und klicken Sie dann
auf OK.
 
12 Schützen von Daten durch Festplattenverschlüsselung mit EFS

5. Klicken Sie im Dialogfeld Eigenschaften auf OK, und führen Sie dann einen der folgenden Schritte aus:

• Klicken Sie zum Verschlüsseln einer Datei und des übergeordneten Ordners im Dialogfeld
Verschlüsselungswarnung auf Die Datei und den Ordner verschlüsseln.

• Klicken Sie zum ausschließlichen Verschlüsseln einer Datei im Dialogfeld Verschlüsselungswarnung

auf Nur die Datei verschlüsseln.

• Klicken Sie zum ausschließlichen Verschlüsseln eines Ordners im Dialogfeld Änderungen der Attribute
bestätigen auf Änderungen nur für diesen Ordner übernehmen.

• Klicken Sie zum Verschlüsseln eines Ordners sowie der zugehörigen Unterordner und Dateien im
Dialogfeld Änderungen der Attribute bestätigen auf Änderungen für diesen Ordner, Unterordner
und Dateien übernehmen.

6. Klicken Sie auf OK, damit die Verschlüsselungsauswahl übernommen und angewendet wird.

Aktivieren der Verschlüsselungs- und Entschlüsselungsoptionen

in Windows Explorer
Möglicherweise möchten Sie EFS durch eine Konfiguration von Windows Explorer so implementieren, dass
"Verschlüsseln" und "Entschlüsseln" nach dem Klicken mit der rechten Maustaste auf eine Datei im Kontextmenü
angezeigt wird. Zum Aktivieren dieser Funktion müssen Sie Änderungen an der Windows-Registrierung vornehmen
und einen neuen Registrierungswert erstellen, der in der Standardeinstellung nicht vorhanden ist.

WARNUNG: Durch eine nicht ordnungsgemäß ausgeführte Bearbeitung der Registrierung können im System
schwere Schäden entstehen. Sichern Sie alle wichtigen Daten auf dem Computer, bevor Sie Änderungen an der
Registrierung vornehmen.

Anforderungen
• Anmeldeinformationen: Ein Administrator mit Erfahrung beim Bearbeiten der Registrierung und Kenntnis
der möglichen Risiken bei der Bearbeitung.

• Tools: Registrierungs-Editor.
 
13 Schützen von Daten durch Festplattenverschlüsselung mit EFS

♦ So aktivieren Sie die Verschlüsselungs- und Entschlüsselungsoptionen in Windows Explorer

1. Öffnen Sie den Registrierungs-Editor, und wechseln Sie zum folgenden Registrierungspfad:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

2. Klicken Sie rechts im Detailbereich mit der rechten Maustaste, klicken Sie dann auf Neu und anschließend
auf DWORD-Wert.

3. Geben Sie EncryptionContextMenu als Namen des DWORD-Wertes ein, und drücken Sie dann die
EINGABETASTE.

4. Klicken Sie mit der rechten Maustaste auf den gerade erstellten DWORD-Wert, und klicken Sie dann auf
Bearbeiten.

5. Geben Sie im Dialogfeld DWORD-Wert bearbeiten im Feld Wert den Wert 1 ein, und klicken Sie dann
auf OK.

6. Klicken Sie im Menü Datei auf Beenden, um den Registrierungs-Editor zu schließen.

 
14 Schützen von Daten durch Festplattenverschlüsselung mit EFS

Hinweis: Unter Windows Server 2003 können Sie die Schaltfläche Verschlüsselungsdetails dem Explorer-Menü
auch durch eine Registrierungsbatchdatei (*.reg ) hinzufügen, die folgende Informationen enthält und für alle
Benutzer ausgeführt werden muss:

[HKEY_CLASSES_ROOT\*\Shell\Encrypt To User...\Command]

@="rundll32 efsadu.dll,AddUserToObject %1"

Aktivieren der EFS-Dateifreigabe

In Unternehmen wird die Verschlüsselung zum Schutz vertraulicher Daten eingesetzt, gleichzeitig müssen jedoch
mehrere Benutzer auf diese Daten zugreifen können. Mit dem verschlüsselnden Dateisystem kann ein Benutzer
eine Datei verschlüsseln und dann anderen Benutzern den Zugriff auf die verschlüsselten Daten ermöglichen.
Damit mehrere Benutzer auf eine verschlüsselte Datei zugreifen können, wird diese Datei als freigegeben
festgelegt. Anschließend werden der Datei die EFS-Verschlüsselungszertifikate aller anderen Benutzer hinzugefügt,
die auf sie zugreifen können. Auf diese Weise kann die Sicherheit in Unternehmen verbessert werden, ohne dass
die Verfügbarkeit der Daten beeinträchtigt wird.

Beachten Sie bei der Freigabe verschlüsselter Daten bestimmte Anforderungen und Einschränkungen:

• Verschlüsselten Dateien können keine Benutzergruppen hinzugefügt werden, ebenso können verschlüsselten
Ordnern keine Benutzer hinzugefügt werden.

• Alle einer verschlüsselten Datei hinzugefügten Benutzer müssen über ein EFS-Verschlüsselungszertifikat
auf dem Computer verfügen, auf dem die Datei gespeichert ist. In der Regel werden Zertifikate über eine
Zertifizierungsstelle, zum Beispiel Verisign, ausgegeben. Wenn ein Benutzer am Computer angemeldet ist
und eine Datei verschlüsselt, verfügt er auf dem Computer über ein EFS-Verschlüsselungszertifikat.
Informationen zum Importieren von Zertifikaten finden Sie unter To import a certificate auf der Microsoft
TechNet-Website unter http://go.microsoft.com/fwlink/?LinkId=22846 (englischsprachig).

• Alle Benutzer, die die Datei entschlüsseln können, müssen über Leseberechtigungen für die Datei verfügen.
Die NTFS-Berechtigungen müssen zu diesem Zweck entsprechend eingerichtet sein. Wird einem Benutzer
der Zugriff aufgrund unzureichender NTFS-Berechtigungen verweigert, kann er die verschlüsselte Datei
nicht lesen oder entschlüsseln. Anweisungen zum Festlegen von Berechtigungen für Dateien finden Sie unter
To set, view, change, or remove permissions on files and folders auf der Microsoft TechNet-Website unter
http://go.microsoft.com/fwlink/?LinkId=22847 (englischsprachig).

Anforderungen
• Anmeldeinformationen: Ein EFS-Zertifikat und Besitzrechte an der Datei sind erforderlich.

• Tools: Windows Explorer.

Alle Benutzer, die der Datei hinzugefügt werden, müssen über ein Zertifikat auf dem Computer verfügen.

♦ So ermöglichen Sie einem Benutzer die Ver- oder Entschlüsselung einer Datei

1. Öffnen Sie Windows Explorer.

2. Klicken Sie mit der rechten Maustaste auf die zu ändernde verschlüsselte Datei, und klicken Sie dann auf
Eigenschaften.
 
15 Schützen von Daten durch Festplattenverschlüsselung mit EFS

3. Klicken Sie auf der Registerkarte Allgemein auf Erweitert.

4. Klicken Sie unter Erweiterte Attribute auf Details.

5. Klicken Sie zum Hinzufügen eines Benutzers zu dieser Datei auf Hinzufügen, und führen Sie dann einen
der folgenden Schritte aus:

• Klicken Sie zum Hinzufügen eines Benutzers mit einem auf dem Computer vorhandenen
EFS-Verschlüsselungszertifikat auf das entsprechende Zertifikat und dann auf OK.

• Wenn Sie ein Zertifikat vor dem Hinzufügen zur Datei anzeigen möchten, klicken Sie auf das
entsprechende Zertifikat und anschließend auf Zertifikat anzeigen.

• Klicken Sie zum Hinzufügen eines Benutzers von Active Directory auf Benutzer suchen, wählen Sie
dann in der Liste den gewünschten Benutzer aus, und klicken Sie auf OK.

• Klicken Sie zum Entfernen eines Benutzers in der Datei auf den entsprechenden Benutzernamen und
anschließend auf Entfernen.

Hinweis: Beim Hinzufügen eines Benutzers zu einer Datei wird das EFS-Verschlüsselungszertifikat des Benutzers
importiert und durch eine vertrauenswürdige Stammzertifizierungsstelle überprüft. Es wird dann für diesen
Benutzer im Zertifikatsspeicher Andere Personen gespeichert.

Exportieren und Importieren von

Datenwiederherstellungsschlüsseln
Im Datenwiederherstellungs-Agenten müssen Datenwiederherstellungsschlüssel (Data Recovery Keys oder
DRA-Schlüssel) verfügbar sein, damit verschlüsselte Daten wiederhergestellt werden können, bei denen keine
übliche Wiederherstellung durchgeführt werden kann. Daher ist der Schutz der Wiederherstellungsschlüssel
äußerst wichtig. Es empfiehlt sich, die Datenwiederherstellungszertifikate und privaten Schlüssel der
Wiederherstellungs-Agenten auf sicheren Wechselmedien im PFX-Dateiformat zu exportieren und so den Verlust
der Wiederherstellungsschlüssel zu vermeiden. Verloren gegangene Daten können dann durch Importieren dieser
Schlüssel wiederhergestellt werden.

Es folgen Anweisungen zum Exportieren und Importieren von DRA-Schlüsseln.

Anforderungen
• Anmeldeinformationen: Sie müssen am primären Domänencontroller der Domäne als Administrator angemeldet
sein.

• Tools: Zertifikat-Snap-In für die MMC.

Exportieren von Datenwiederherstellungsschlüsseln

♦ So exportieren Sie das Zertifikat und den privaten Schlüssel des Datenwiederherstellungs-Agenten in der
Domäne

1. Melden Sie sich am primären Domänencontroller in der Domäne als Administrator an.

2. Klicken Sie im Menü Start auf Ausführen.

 
16 Schützen von Daten durch Festplattenverschlüsselung mit EFS

3. Geben Sie mmc.exe ein, und drücken Sie die EINGABETASTE.

4. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.

5. Klicken Sie auf Hinzufügen. Eine Liste aller auf dem aktuellen Computer registrierten Snap-Ins wird
angezeigt.

6. Doppelklicken Sie auf das Snap-In Zertifikate, klicken Sie auf Eigenes Benutzerkonto und anschließend
auf Fertig stellen.

7. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen und dann im Dialogfeld
Snap-In hinzufügen/entfernen auf OK. In der MMC werden daraufhin die persönlichen Zertifikate für das
Administratorkonto angezeigt.

8. Wechseln Sie zum Ordner Zertifikate\Aktueller Benutzer\Persönlich\Zertifikate.

Im Detailbereich (rechter Fensterbereich) wird eine Liste aller Zertifikate für das Administratorkonto angezeigt.
In der Standardeinstellung sind normalerweise zwei Zertifikate vorhanden. Suchen Sie das
DRA-Standardzertifikat der Domäne.

9. Klicken Sie mit der rechten Maustaste auf dieses Standardzertifikat, klicken Sie dann auf Alle Tasks und
anschließend auf Exportieren, um den Assistenten zu starten.
 
17 Schützen von Daten durch Festplattenverschlüsselung mit EFS

WICHTIG: Die Auswahl des korrekten Schlüssels beim Exportieren ist wichtig, da nach dem Exportvorgang
der ursprüngliche private Schlüssel und das zugehörige Zertifikat vom Computer entfernt werden. Wenn der
Schlüssel auf dem Computer nicht wiederhergestellt werden kann, ist die Dateiwiederherstellung unter
Verwendung dieses DRA-Zertifikats nicht möglich.

10. Klicken Sie auf Ja, privaten Schlüssel exportieren und dann auf Weiter. Dadurch wird der private Schlüssel
nach Abschluss des Exportvorgangs entfernt.
 
18 Schützen von Daten durch Festplattenverschlüsselung mit EFS

11. Klicken Sie auf der Seite Exportdateiformat auf Privater Informationsaustausch - PKCS #12 (.PFX),
aktivieren Sie die Kontrollkästchen Verstärkte Sicherheit aktivieren und Privaten Schlüssel nach
erfolgreichem Export löschen, und klicken Sie dann auf Weiter.
Es empfiehlt sich, den privaten Schlüssel nach dem erfolgreichen Exportieren im System zu entfernen – dies
soll als zusätzliche Sicherheitsmaßnahme dienen.
Beim Exportieren eines privaten Schlüssels wird das PFX-Dateiformat verwendet. Das PFX-Dateiformat
beruht auf dem PKCS #12-Standard, einem Format zum Speichern und Übertragen von Benutzerinformationen,
einschließlich privater Schlüssel, Zertifikate und verschiedener geheimer Daten. Darüber hinaus kann im
PFX-Dateiformat (PKCS #12) ein Kennwortschutz für den in der Datei gespeicherten privaten Schlüssel
eingerichtet werden.

12. Geben Sie auf der Seite Kennwort in den Textfeldern Kennwort und Kennwort bestätigen ein sicheres
Kennwort ein, und klicken Sie dann auf Weiter.
 
19 Schützen von Daten durch Festplattenverschlüsselung mit EFS

Im letzten Schritt wird die aktuelle PFX-Datei gespeichert. Das Zertifikat und der private Schlüssel können
auf alle beschreibbaren Datenträger gespeichert werden, einschließlich Netzlaufwerken oder Disketten.

13. Geben Sie auf der Seite Exportdatei den Pfad für die Datei ein, oder suchen Sie nach dem gewünschten
Dateinamen, und klicken Sie dann auf Weiter.

In einer Meldung wird angezeigt, ob der Export erfolgreich durchgeführt wurde.

 
20 Schützen von Daten durch Festplattenverschlüsselung mit EFS

Wenn die Datei und der zugeordnete private Schlüssel verloren gehen, können alle mit diesem DRA-Zertifikat
als Datenwiederherstellungsagent verschlüsselten Dateien in einem Notfall nicht mehr entschlüsselt werden.
Bewahren Sie die PFX-Datei nach dem Exportieren dieser Datei und des privaten Schlüssels in
Übereinstimmung mit den Sicherheitsrichtlinien und -verfahren des Unternehmens auf permanenten
Wechselmedien an einem sicheren Ort auf. So kann die PFX-Datei beispielsweise auf einer oder mehreren
CD-ROMs gespeichert werden, die in einem Bankschließfach oder Tresor mit strengen Zugangskontrollen
verwahrt werden.

Importieren von Datenwiederherstellungsschlüsseln

Wenn Sie verschlüsselte Daten unter Verwendung eines exportierten Datenwiederherstellungsschlüssels
wiederherstellen möchten, muss zunächst der Schlüssel importiert werden. Der Import von Schlüsseln gestaltet
sich einfacher als der Export. Doppelklicken Sie zum Importieren eines im PKCS #12-Dateiformat (PFX-Datei)
gespeicherten Schlüssels einfach auf die Datei, um den Zertifikatimport-Assistenten zu starten. Oder starten Sie
den Assistenten, und importieren Sie den Schlüssel mit den folgenden Schritten:

Anforderungen
• Anmeldeinformationen: Domänenadministratorkonto auf dem Computer.

• Tools: Zertifikat-Snap-In für die MMC.

♦ So importieren Sie einen Datenwiederherstellungsschlüssel

1. Melden Sie sich am Computer unter Verwendung eines gültigen Kontos an.

2. Klicken Sie im Startmenü auf Ausführen.

3. Geben Sie mmc.exe ein, drücken Sie dann die EINGABETASTE.

4. Klicken Sie in der MMC im Menü Datei auf Snap-In hinzufügen/entfernen.

5. Klicken Sie auf Hinzufügen. Eine Liste aller auf dem aktuellen Computer registrierten Snap-Ins wird
angezeigt.

6. Doppelklicken Sie auf das Snap-In Zertifikate, klicken Sie auf Eigenes Benutzerkonto und anschließend
auf Fertig stellen.
 
21 Schützen von Daten durch Festplattenverschlüsselung mit EFS

7. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen und dann im Dialogfeld
Snap-In hinzufügen/entfernen auf OK. In der MMC wird jetzt der persönliche Zertifikatspeicher für das
Administratorkonto angezeigt.

8. Wechseln Sie zum Ordner Zertifikate\Aktueller Benutzer\Persönlich\Zertifikate, klicken Sie mit der
rechten Maustaste auf den Ordner, wählen Sie Alle Tasks aus, und klicken Sie dann auf Importieren, um
den Zertifikatimport-Assistenten zu starten.

9. Klicken Sie auf Weiter, geben Sie den Dateinamen und -pfad der zu importierenden Datei ein, und klicken
Sie dann auf Weiter.
 
22 Schützen von Daten durch Festplattenverschlüsselung mit EFS

10. Geben Sie auf der Seite Kennwort im Feld Kennwort das Kennwort für die Datei ein, sofern es sich um
eine PKCS #12-Datei handelt.
Es empfiehlt sich, private Schlüssel mit einem sicheren Kennwort zu speichern.

11. Wenn Sie den Schlüssel zu einem späteren Zeitpunkt erneut vom aktuellen Computer exportieren möchten,
muss das Kontrollkästchen Schlüssel als exportierbar markieren auf jeden Fall aktiviert werden. Klicken
Sie auf Weiter.
 
23 Schützen von Daten durch Festplattenverschlüsselung mit EFS

12. Möglicherweise werden Sie im Assistenten dazu aufgefordert, den Namen des Speichers für das zu
importierende Zertifikat und den privaten Schlüssel anzugeben. Wenn Sie sicherstellen möchten, dass der
private Schlüssel in den privaten Speicher importiert wird, klicken Sie nicht auf Zertifikatspeicher
automatisch auswählen (auf dem Zertifikatstyp basierend). Klicken Sie stattdessen auf Alle Zertifikate
in folgendem Speicher speichern und anschließend auf Weiter.

13. Markieren Sie den Speicher Persönlich, und klicken Sie auf OK.

14. Klicken Sie auf Weiter und anschließend auf Fertig stellen, um den Assistenten zu beenden. In einer Meldung
wird angezeigt, ob der Import erfolgreich durchgeführt wurde.
 
24 Schützen von Daten durch Festplattenverschlüsselung mit EFS

WICHTIG: Für einen Datenwiederherstellungs-Agenten sollte immer ein Domänenkonto verwendet werden -
lokale Konten sind anfällig für Offlineangriffe.

Wiederherstellen von Daten

Wenn verschlüsselte Daten vom ursprünglichen Benutzer nicht wiederhergestellt werden können, da dieser
beispielsweise das Unternehmen verlassen hat, müssen Sie dennoch in der Lage sein, die Daten wiederherzustellen
und im Unternehmen verfügbar zu machen. In diesem Abschnitt finden Sie Informationen zum Wiederherstellen
von verschlüsselten Dateien oder Ordnern. Mit einem Sicherungsprogramm können Sie die verschlüsselten
Dateien oder Ordner des Benutzers auf dem Computer wiederherstellen, auf dem das
Dateiwiederherstellungszertifikat und der Wiederherstellungsschlüssel des Datenwiederherstellungs-Agenten
gespeichert sind.

Zum Ausführen dieser Schritte müssen Sie als Wiederherstellungs-Agent angemeldet sein. Sie müssen also über
den privaten Schlüssel und das Zertifikat für einen in den entsprechenden Dateien oder Ordnern angegebenen
Datenwiederherstellungsschlüssel verfügen.

Anforderungen
• Anmeldeinformationen: Datenwiederherstellungs-Agent.

• Tools: Windows Explorer.

♦ So können Sie verschlüsselte Dateien oder Ordner wiederherstellen

1. Öffnen Sie Windows Explorer.

2. Klicken Sie mit der rechten Maustaste auf die wiederherzustellende Datei oder den Ordner, und klicken Sie
dann auf Eigenschaften.

3. Klicken Sie auf der Registerkarte Allgemein auf Erweitert.

 
25 Schützen von Daten durch Festplattenverschlüsselung mit EFS

4. Deaktivieren Sie das Kontrollkästchen Inhalt verschlüsseln, um Daten zu schützen.

5. Erstellen Sie eine Sicherung der entschlüsselten Daten, und stellen Sie sie dem Benutzer zur Verfügung.

Hinweis: Sie können die Sicherungskopie der entschlüsselten Datei oder des entschlüsselten Ordners als
E-Mail-Anlage, auf einem Datenträger oder in einer Dateifreigabe im Netzwerk zur Verfügung stellen.

Ein alternatives Verfahren zum Wiederherstellen von Daten ist der physischen Transport des privaten
Schlüssels und Zertifikats für den Wiederherstellungs-Agenten auf den Computer mit der verschlüsselten
Datei. Dort müssen der private Schlüssel und das Zertifikat importiert, die Datei oder der Ordner entschlüsselt
 
26 Schützen von Daten durch Festplattenverschlüsselung mit EFS

und der importierte Schlüssel und das importierte Zertifikat anschließend wieder gelöscht werden. Bei diesem
Verfahren wird der private Schlüssel stärker offen gelegt als beim ersten Verfahren, jedoch müssen keine
Sicherungs-, Wiederherstellungs- oder Übertragungsvorgänge durchgeführt werden.

Empfohlene Vorgehensweisen
Die folgenden empfohlenen Vorgehensweisen können in einem Unternehmen bei der Verwendung und Verwaltung
verschlüsselter Dateien und Ordner von Nutzen sein.

• Dateiwiederherstellungszertifikate von Wiederherstellungs-Agenten sollten an einem geeigneten Ort gesichert

werden.
Wenn Sie als Wiederherstellungs-Agent angemeldet sind, exportierten Sie das Dateiwiederherstellungszertifikat
und den privaten Schlüssel über den Befehl Exportieren unter Zertifikate in der Microsoft Management
Console (MMC) auf eine Diskette. Verwahren Sie die Diskette an einem sicheren Ort. Sie können dann im
Falle einer Beschädigung oder Entfernung des Zertifikats oder privaten Schlüssels auf Ihrem Computer den
Befehl Importieren unter Zertifikate in der MMC verwenden. So können Sie beschädigte oder gelöschte
Zertifikate oder Schlüssel mit den auf der Diskette gesicherten Zertifikaten oder Schlüsseln ersetzen.

• Verwenden Sie die Standarddomänenkonfiguration.

In der Standardeinstellung ist der Administrator einer Domäne der Standard-DRA einer Windows 2000- oder
Windows Server 2003-Domäne. Wenn sich der Administrator einer Domäne das erste Mal anmeldet, wird
ein selbst signiertes Zertifikat erstellt und der private Schlüssel im Profil des Computers gespeichert. Die
Standardgruppenrichtlinie in der Domäne enthält den öffentlichen Schlüssel des Zertifikats als Standard-DRA
der Domäne.

• Aktualisieren Sie verloren gegangene oder abgelaufene private DRA-Schlüssel umgehend.

Obwohl es sich beim Ablaufen eines DRA-Zertifikats um ein unbedeutendes Ereignis handelt, kann sich der
Verlust oder die Beschädigung der privaten Schlüssel des DRA katastrophal für das Unternehmen auswirken.
Ein abgelaufenes DRA-Zertifikat (privater Schlüssel) kann auch weiterhin zur Entschlüsselung von zuvor
verschlüsselten Dateien verwendet werden, bei neuen oder aktualisierten verschlüsselten Dateien kann das
abgelaufene Zertifikat (öffentlicher Schlüssel) jedoch nicht verwendet werden. Wenn in einem Unternehmen
die privaten Schlüssel eines DRA verloren gegangen sind oder das entsprechende Zertifikat abgelaufen ist,
empfiehlt sich die umgehende Erstellung von mindestens einem neuen DRA-Zertifikat sowie die Aktualisierung
der Gruppenrichtlinie im Hinblick auf die neuen Zertifikate. Wenn Benutzer neue Dateien verschlüsseln oder
vorhandene verschlüsselte Dateien aktualisieren, werden die Dateien automatisch mit den neuen öffentlichen
DRA-Schlüsseln aktualisiert. Möglicherweise müssen Benutzer zur Aktualisierung aller vorhandenen Dateien
veranlasst werden, damit die neuen DRA-Schlüssel berücksichtigt werden.
Unter Windows XP wurde das Befehlszeilenprogramm cipher.exe um den Parameter /U erweitert. Dadurch
können der Schlüssel zur Dateiverschlüsselung oder die Schlüssel des Wiederherstellungs-Agenten in allen
Dateien der lokalen Laufwerke aktualisiert werden. Im folgenden Beispiel werden zwei verschlüsselte Dateien
auf dem lokalen Laufwerk durch Ausführen von Cipher.exe aktualisiert:
Cipher.exe /U
C:\Temp\test.txt:
C:\Temp\test.txt Verschlüsselung aktualisiert.

Hinweis: Die Gültigkeitsdauer des selbstsignierenden Zertifikats in einer Domäne ohne Zertifizierungsstelle
beträgt 99 Jahre.
 
27 Schützen von Daten durch Festplattenverschlüsselung mit EFS

Die folgenden Vorgehensweisen können beim Schutz der Daten von mobilen Endbenutzern im Falle eines
Diebstahls oder Verlusts nützlich sein:

• Der physische Schutz der Computer hat höchste Priorität. Es gibt keinen technologischen Ersatz für die
Durchführung der Sicherheitsmaßnahmen, die den Diebstahl oder Zugriff verhindern.

• Verwenden Sie tragbare Computer immer als Teil einer Active Directory-Domäne.

• Sichern Sie die privaten Schlüssel der Benutzer nicht auf den tragbaren Computern, importieren Sie sie
stattdessen bei Bedarf.

• Häufig verwendete Speicherordner wie Eigene Dateien und temporäre Ordner sollten so verschlüsselt werden,
dass alle neuen und temporären Dateien bei der Erstellung verschlüsselt werden.

• Erstellen oder kopieren Sie neue beziehungsweise vorhandene Dateien immer in einen verschlüsselten Ordner,
wenn die entsprechenden Daten sicherheitsrelevant sind. Damit ist gewährleistet, dass die Dateien niemals
in lesbarer Form auf dem Computer vorhanden waren und dass temporäre Dateien nicht durch die Verwendung
von hochentwickelten Laufwerksanalyse-Angriffen wiederhergestellt werden können.

• In einer Domäne kann die Konfiguration und Verwendung von verschlüsselten Standardordnern (zum Beispiel
Eigene Dateien ) durch eine Kombination von Gruppenrichtlinien, Anmeldeskripts und Sicherheitsvorlagen
erzwungen werden.

• Im Betriebssystem Windows XP wird die Verschlüsselung von Daten in Offlinedateien unterstützt. Lokal
zwischengespeicherte Offlinedateien und -ordner sollten bei der Verwendung von Cache-Richtlinien auf
dem Client verschlüsselt werden.

• Verwenden Sie auf den tragbaren Computern das Systemschlüsseldienstprogramm SYSKEY im Modus 2
oder 3 (Startdiskette oder Startkennwort), damit das System nicht von einem böswilligen Benutzer gestartet
werden kann. Das Systemschlüsseldienstprogramm und die zugehörigen Optionen werden in der Onlinehilfe
der jeweiligen Windows-Version erläutert.

• Aktivieren Sie die SMB-Signatur (Server Message Block) in der Gruppenrichtlinie für Server, die für
Delegierungen als vertrauenswürdig eingestuft sind und zum Speichern von verschlüsselten Dateien verwendet
werden. Diese Einstellung wird in der Gruppenrichtlinie unter folgendem Pfad festgelegt: Name des
Gruppenrichtlinienobjekts\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale
Richtlinien\Sicherheitsoptionen\Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer).

• Stellen Sie sicher, dass unverschlüsselte Daten nach der Verschlüsselung von Dateien und anschließend in
regelmäßigen Abständen von der Festplatte entfernt werden.

Weitere Informationen
Weitere Informationen zum verschlüsselnden Dateisystem finden Sie unter:

• "Encrypting File System" auf der Microsoft TechNet-Website unter

http://go.microsoft.com/fwlink/?LinkID=22412 (englischsprachig).

• "Encrypting File System in Windows XP and Windows Server 2003" auf der Microsoft TechNet-Website
unter http://go.microsoft.com/fwlink/?LinkID=22413 (englischsprachig).