Beruflich Dokumente
Kultur Dokumente
Inhalt
Einführung
Vorbereitung
Erstellen und Sichern eines Wiederherstellungsschlüssels
Erstellen eines Wiederherstellungs-Agenten in einer Domäne
Erstellen eines lokalen Wiederherstellungs-Agenten
Verwenden des verschlüsselnden Dateisystems
Aktivieren der Verschlüsselungs- und Entschlüsselungsoptionen in Windows Explorer
Aktivieren der EFS-Dateifreigabe
Exportieren und Importieren von Datenwiederherstellungsschlüsseln
Wiederherstellen von Daten
Empfohlene Vorgehensweisen
Weitere Informationen
Einführung
In vielen Unternehmen werden Desktopcomputer von mehreren Benutzern verwendet. Einige Benutzer reisen
mit tragbaren Computern und verwenden sie außerhalb des Sicherheitssystems des Unternehmens in
Kundeneinrichtungen, in Hotels, an Flughäfen oder Heimarbeitsplätzen. Wertvolle Daten befinden sich damit
oft außerhalb der Kontrolle des Unternehmens. Nicht autorisierte Benutzer versuchen möglicherweise, die auf
einem Desktopcomputer gespeicherten Daten zu lesen. Ein tragbarer Computer kann gestohlen werden. In allen
Fällen können böswillige Dritte auf vertrauliche Daten des Unternehmens zugreifen.
Eine Möglichkeit zur Reduzierung dieser Risiken sowie zur Verbesserung der Sicherheit ist die Verschlüsselung
vertraulicher Dateien durch die Verwendung von Encrypting File System (EFS oder Verschlüsselndes Dateisystem).
Bei der Verschlüsselung werden mathematische Algorithmen angewendet, so dass die Daten nur von den Benutzern
gelesen werden können, die über den erforderlichen Schlüssel verfügen. Beim verschlüsselnden Dateisystem
handelt es sich um eine Microsoft-Technologie, mit der Sie Daten auf Ihrem Computer verschlüsseln sowie
angeben können, wer diese Daten entschlüsseln oder wiederherstellen kann. Bei verschlüsselten Dateien können
die Benutzerdaten auch dann nicht gelesen werden, wenn ein Dritter auf den Datenspeicher des Computers
zugreifen kann. Für die Verwendung des verschlüsselnden Dateisystems benötigen alle Benutzer EFS-Zertifikate.
Hierbei handelt es sich um digitale Dokumente zum Ver- und Entschlüsseln von Daten über EFS. Darüber hinaus
müssen EFS-Benutzer über NTFS-Berechtigungen zum Ändern von Dateien verfügen.
• Zertifikate für das verschlüsselnde Dateisystem. Mit diesem Zertifikat können Inhaber mithilfe des
verschlüsselnden Dateisystems Daten verschlüsseln und entschlüsseln. Dieses Zertifikat wird häufig als
"EFS-Zertifikat" bezeichnet. EFS-Standardbenutzern wird dieses Zertifikat zugewiesen. Bei diesem Zertifikat
wird im Feld Erweiterte Schlüsselverwendung (in der Microsoft Management Console im Zertifikat-Snap-In)
der Wert Verschlüsselndes Dateisystem (1.3.6.1.4.1.311.10.3.4) angegeben
• Zertifikate für die Dateiwiederherstellung. Mit diesem Zertifikat können Inhaber verschlüsselte Dateien
und Ordner in der gesamten Domäne oder einem anderen Bereich wiederherstellen, unabhängig davon,
welche Benutzer diese Daten verschlüsselt haben. Ausschließlich Domänenadministratoren oder als besonders
vertrauenswürdig eingestufte Personen, die so genannten Datenwiederherstellungs-Agenten, sollten dieses
Zertifikat erhalten. Bei diesem Zertifikat wird im Feld Erweiterte Schlüsselverwendung (in der Microsoft
4 Schützen von Daten durch Festplattenverschlüsselung mit EFS
Um einer anderen autorisierten Person das Lesen Ihrer verschlüsselten Daten zu ermöglichen, können Sie ihr
Ihren privaten Schlüssel geben oder sie als Datenwiederherstellungs-Agenten angeben.
Datenwiederherstellungs-Agenten können im jeweiligen Bereich alle durch EFS verschlüsselten Dateien in der
Domäne oder Organisationseinheit entschlüsseln. In diesem Dokument finden Sie detaillierte Anweisungen für
die wesentlichen EFS-Aufgaben in kleinen und mittleren Unternehmen sowie wichtige Empfehlungen zur
Verwendung des verschlüsselnden Dateisystems.
• Erstellen und Sichern eines Wiederherstellungsschlüssels zur sicheren Wiederherstellung von Daten für den
Fall, dass der ursprüngliche Benutzer keine Wiederherstellung durchführen kann.
• Erstellen von Wiederherstellungs-Agenten, die verschlüsselte Dateien wiederherstellen können, wenn der
ursprüngliche Benutzer keine Wiederherstellung durchführen kann.
• Wiederherstellen von Daten, wenn der ursprüngliche Benutzer keine Wiederherstellung durchführen kann.
Durch Ausführen der Schritte in diesem Dokument werden folgende Änderungen im System vorgenommen:
• Aktivieren des verschlüsselnden Dateisystems zur Verschlüsselung von Daten auf der Festplatte.
Anhand dieser Anweisungen können Sie darüber hinaus die folgenden Änderungen oder Vorsichtsmaßnahmen
implementieren:
Vorbereitung
Mit den Anweisungen in diesem Dokument können Sie die Computer zur Verwendung des verschlüsselnden
Dateisystems konfigurieren. Darüber hinaus finden Sie Erläuterungen zur Verwendung des verschlüsselnden
Dateisystems zum Schutz der Daten auf den Festplatten in Ihrem Unternehmen. Bevor Sie mit der Umsetzung
beginnen, sollten Sie mit Ihrer Rechtsberatung klären, ob die geplanten Verschlüsselungsrichtlinien und -verfahren
5 Schützen von Daten durch Festplattenverschlüsselung mit EFS
mit den geltenden Gesetzen und Vorschriften in Einklang stehen. Wenn Ihr Unternehmen Niederlassungen im
Ausland unterhält, sollten Sie sich mit Exportkontrollgesetzen für Verschlüsselungssoftware vertraut machen.
Sie sollten außerdem über Kenntnisse der grundlegenden Anforderungen und Bedingungen zum Einsatz des
verschlüsselnden Dateisystems verfügen:
• Die Verschlüsselung von Dateien und Ordnern ist nur in NTFS-Dateisystemen möglich. Sie können das
verschlüsselnde Dateisystem daher nicht in FAT- oder FAT32-Dateisystemen verwenden. Bei Verwendung
des FAT-Dateisystems wird die Konvertierung dieser Volumes zu NTFS empfohlen, sofern nicht besondere
Umstände den Einsatz des FAT-Systems erfordern. In den Betriebssystemen Windows 95, Windows 98 und
Windows Millennium Edition werden NTFS und EFS nicht unterstützt. Windows XP Home Edition unterstützt
NTFS, jedoch nicht EFS.
• Komprimierte Dateien oder Ordner können nicht gleichzeitig verschlüsselt werden. Wenn komprimierte
Dateien oder Ordner verschlüsselt werden, wird die Komprimierung aufgehoben.
• Dateien mit gesetztem Systemattribut können nicht verschlüsselt werden, das gleiche gilt für Dateien im
Ordner systemroot.
• Bei der ersten Verwendung legen Sie in einem Dialogfeld fest, welche Optionen beim Verschlüsseln von
Dateien und Ordnern zukünftig verwendet werden:
• Wenn Sie bei einer Dateiverschlüsselung die Verschlüsselung des übergeordneten Ordners auswählen,
werden alle Dateien und Unterordner, die dem Ordner hinzugefügt werden, beim Hinzufügen automatisch
verschlüsselt.
• Wenn Sie bei der Verschlüsselung eines Ordners die Verschlüsselung aller Dateien und Unterordner
auswählen, werden die aktuell vorhandenen Dateien und Unterordner ebenfalls verschlüsselt, dies gilt
auch für alle später hinzugefügten Dateien und Unterordner.
• Wenn Sie die Verschlüsselung nur für diesen Ordner auswählen, werden alle Dateien und Unterordner
im Verzeichnis nicht verschlüsselt. Alle zukünftigen Dateien und Unterordner werden dagegen beim
Hinzufügen zu diesem Ordner verschlüsselt.
Sofern nicht anders angegeben, wird bei den Anweisungen in diesem Dokument von der Verwendung der
Betriebssysteme Windows Server 2003 auf Servern und Windows XP Professional auf Clientcomputern
ausgegangen.
In einer Active Directory-Umgebung wird die Verwendung von servergespeicherten Profilen für die Benutzer
vorausgesetzt. Die Abbildungen in diesem Dokument entsprechen einer Testumgebung, und die Angaben
unterscheiden sich möglicherweise von den auf Ihrem Bildschirm angezeigten Informationen.
Alle detaillierten Anweisungen in diesem Dokument wurden unter Verwendung des Menüs Start entwickelt,
das nach der Installation des Betriebssystems angezeigt wird. Wenn Sie das Menü Start geändert haben, können
die Arbeitsschritte von den angezeigten Menüs abweichen.
Anforderungen
• Anmeldeinformationen: Dieser Vorgang muss über das Konto des Wiederherstellungs-Agenten durchgeführt
werden, in dessen persönlichem Zertifikatsspeicher das Wiederherstellungszertifikat und der private Schlüssel
verfügbar sind. In der Standardeinstellung ist der Domänenadministrator der Wiederherstellungs-Agent. Bei
Heimarbeitsplätzen oder Umgebungen ohne Domäne ist kein Wiederherstellungs-Agent vorgesehen. Sie
können jedoch einen lokalen Wiederherstellungs-Agenten für alle Konten auf dem Computer erstellen.
Üblicherweise führt jedoch an einem Heimarbeitsplatz jeder Inhaber eines EFS-Zertifikats die Sicherung der
eigenen privaten Schlüssel durch.
WARNUNG: Vergewissern Sie sich vor Änderungen an der Standardwiederherstellungsrichtlinie, dass die
Standardwiederherstellungsschlüssel gesichert wurden. Die Standardwiederherstellungsschlüssel einer Domäne
sind auf den Domänencontrollern gespeichert.
1. Klicken Sie im Menü Start auf Ausführen, geben Sie mmc ein, und klicken Sie dann auf OK. Die Microsoft
Management Console wird geöffnet.
2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen, und klicken Sie anschließend auf Hinzufügen.
3. Klicken Sie unter Eigenständiges Snap-In hinzufügen auf Zertifikate und dann auf Hinzufügen.
4. Klicken Sie auf Eigenes Benutzerkonto und anschließend auf Fertig stellen.
6. Doppelklicken Sie auf Zertifikate - Aktueller Benutzer, auf Persönlich und anschließend auf Zertifikate.
7. Klicken Sie auf das Zertifikat, für das in der Spalte Beabsichtigte Zwecke die Beschreibung
Dateiwiederherstellung angezeigt wird.
8. Klicken Sie mit der rechten Maustaste auf das Zertifikat, zeigen Sie auf Alle Tasks, und klicken Sie
anschließend auf Exportieren.
9. Befolgen Sie die Anweisungen im Zertifikatexport-Assistenten, um das Zertifikat und den zugehörigen
privaten Schlüssel in eine PFX-Datei zu exportieren.
7 Schützen von Daten durch Festplattenverschlüsselung mit EFS
Anforderungen
• Anmeldeinformationen: Administrator der Domäne.
1. Klicken Sie im Menü Start auf Systemsteuerung, doppelklicken Sie auf Verwaltung und anschließend auf
Active Directory-Benutzer und -Computer.
2. Klicken Sie mit der rechten Maustaste auf die Domäne, deren Wiederherstellungsrichtlinie geändert werden
soll, und klicken Sie dann auf Eigenschaften.
4. Klicken Sie mit der rechten Maustaste auf die zu ändernde Wiederherstellungsrichtlinie, und klicken Sie
dann auf Bearbeiten.
5. Klicken Sie in der Konsolenstruktur (linker Fensterbereich) auf Verschlüsselndes Dateisystem. Diese Option
befindet sich unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien
öffentlicher Schlüssel\Verschlüsselndes Dateisystem.
9 Schützen von Daten durch Festplattenverschlüsselung mit EFS
6. Klicken Sie rechts im Detailbereich mit der rechten Maustaste, und klicken Sie dann auf
Datenwiederherstellungs-Agenten erstellen.
Beim Hinzufügen eines Wiederherstellungs-Agenten von Active Directory müssen die EFS-Zertifikate
(Dateiwiederherstellungszertifikate) für den Agenten in Active Directory veröffentlicht sein. Da die Zertifikate
mit der Standardvorlage für EFS-Dateiwiederherstellungszertifikate jedoch nicht veröffentlicht werden, muss
eine entsprechende Vorlage erstellt werden. Kopieren Sie dazu im Snap-In Zertifikatvorlagen zum Erstellen
einer neuen Vorlage die Standardvorlage für EFS-Dateiwiederherstellungszertifikate. Klicken Sie mit der
rechten Maustaste auf die neue Vorlage, und wählen Sie Eigenschaften aus. Aktivieren Sie im Dialogfeld
Eigenschaften des kopierten Zertifikats auf der Registerkarte Allgemein das Kontrollkästchen Zertifikat
in Active Directory veröffentlichen.
7. Befolgen Sie die Anweisungen im Assistenten Wiederherstellungs-Agent erstellen, um die Erstellung des
Agenten abzuschließen.
Anforderungen
• Anmeldeinformationen: Administrator des lokalen Computers.
• Tools: Gruppenrichtlinienobjekt-Editor.
1. Klicken Sie im Menü Start auf Ausführen, geben Sie mmc ein, und klicken Sie dann auf OK.
2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen, und klicken Sie anschließend auf Hinzufügen.
4. Überprüfen Sie, ob unter Gruppenrichtlinienobjekt der Eintrag Lokaler Computer angezeigt wird, und
klicken Sie dann auf Fertig stellen.
7. Klicken Sie im Detailbereich mit der rechten Maustaste auf Verschlüsselndes Dateisystem, und klicken Sie
dann auf Datenwiederherstellungs-Agenten hinzufügen oder Datenwiederherstellungs-Agenten erstellen.
Hinweis: Im Assistenten werden Sie zur Auswahl eines Benutzernamens für den Wiederherstellungs-Agenten
aufgefordert. Sie können den Namen eines Benutzers mit einem veröffentlichten
Dateiwiederherstellungszertifikat eingeben oder nach Dateiwiederherstellungszertifikaten (CER-Dateien)
suchen, die Informationen über den hinzuzufügenden Wiederherstellungs-Agenten enthalten.
Dateiwiederherstellungszertifikate sind über Zertifizierungsstellen erhältlich. Suchen Sie zum Ermitteln eines
Dateiwiederherstellungszertifikats im Zertifikat-Snap-In im Detailbereich im Feld Erweiterte
Schlüsselverwendung nach dem Wert Dateiwiederherstellung (1.3.6.1.4.1.311.10.3.4.1).
Dateiwiederherstellungszertifikate werden als CER-Dateien im Dateisystem des lokalen Computers oder in
Active Directory gespeichert.
Beim Hinzufügen des Wiederherstellungs-Agenten aus einer Datei wird der Benutzer als USER_UNKNOWN
angegeben, da der Benutzername nicht in der Datei gespeichert ist.
8. Befolgen Sie zum Beenden des Vorgangs die Anweisungen des Assistenten.
Anforderungen
• Anmeldeinformationen: Zum Ändern von Dateien oder Ordnern müssen Sie als Benutzer mit einem
EFS-Zertifikat und einer NTFS-Berechtigung angemeldet sein.
2. Klicken Sie mit der rechten Maustaste auf die Datei oder den Ordner, die Sie verschlüsseln möchten, und
klicken Sie dann auf Eigenschaften.
4. Aktivieren Sie das Kontrollkästchen Inhalt verschlüsseln, um Daten zu schützen, und klicken Sie dann
auf OK.
12 Schützen von Daten durch Festplattenverschlüsselung mit EFS
5. Klicken Sie im Dialogfeld Eigenschaften auf OK, und führen Sie dann einen der folgenden Schritte aus:
• Klicken Sie zum Verschlüsseln einer Datei und des übergeordneten Ordners im Dialogfeld
Verschlüsselungswarnung auf Die Datei und den Ordner verschlüsseln.
• Klicken Sie zum ausschließlichen Verschlüsseln eines Ordners im Dialogfeld Änderungen der Attribute
bestätigen auf Änderungen nur für diesen Ordner übernehmen.
• Klicken Sie zum Verschlüsseln eines Ordners sowie der zugehörigen Unterordner und Dateien im
Dialogfeld Änderungen der Attribute bestätigen auf Änderungen für diesen Ordner, Unterordner
und Dateien übernehmen.
6. Klicken Sie auf OK, damit die Verschlüsselungsauswahl übernommen und angewendet wird.
WARNUNG: Durch eine nicht ordnungsgemäß ausgeführte Bearbeitung der Registrierung können im System
schwere Schäden entstehen. Sichern Sie alle wichtigen Daten auf dem Computer, bevor Sie Änderungen an der
Registrierung vornehmen.
Anforderungen
• Anmeldeinformationen: Ein Administrator mit Erfahrung beim Bearbeiten der Registrierung und Kenntnis
der möglichen Risiken bei der Bearbeitung.
• Tools: Registrierungs-Editor.
13 Schützen von Daten durch Festplattenverschlüsselung mit EFS
1. Öffnen Sie den Registrierungs-Editor, und wechseln Sie zum folgenden Registrierungspfad:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
2. Klicken Sie rechts im Detailbereich mit der rechten Maustaste, klicken Sie dann auf Neu und anschließend
auf DWORD-Wert.
3. Geben Sie EncryptionContextMenu als Namen des DWORD-Wertes ein, und drücken Sie dann die
EINGABETASTE.
4. Klicken Sie mit der rechten Maustaste auf den gerade erstellten DWORD-Wert, und klicken Sie dann auf
Bearbeiten.
5. Geben Sie im Dialogfeld DWORD-Wert bearbeiten im Feld Wert den Wert 1 ein, und klicken Sie dann
auf OK.
Hinweis: Unter Windows Server 2003 können Sie die Schaltfläche Verschlüsselungsdetails dem Explorer-Menü
auch durch eine Registrierungsbatchdatei (*.reg ) hinzufügen, die folgende Informationen enthält und für alle
Benutzer ausgeführt werden muss:
[HKEY_CLASSES_ROOT\*\Shell\Encrypt To User...\Command]
Beachten Sie bei der Freigabe verschlüsselter Daten bestimmte Anforderungen und Einschränkungen:
• Verschlüsselten Dateien können keine Benutzergruppen hinzugefügt werden, ebenso können verschlüsselten
Ordnern keine Benutzer hinzugefügt werden.
• Alle einer verschlüsselten Datei hinzugefügten Benutzer müssen über ein EFS-Verschlüsselungszertifikat
auf dem Computer verfügen, auf dem die Datei gespeichert ist. In der Regel werden Zertifikate über eine
Zertifizierungsstelle, zum Beispiel Verisign, ausgegeben. Wenn ein Benutzer am Computer angemeldet ist
und eine Datei verschlüsselt, verfügt er auf dem Computer über ein EFS-Verschlüsselungszertifikat.
Informationen zum Importieren von Zertifikaten finden Sie unter To import a certificate auf der Microsoft
TechNet-Website unter http://go.microsoft.com/fwlink/?LinkId=22846 (englischsprachig).
• Alle Benutzer, die die Datei entschlüsseln können, müssen über Leseberechtigungen für die Datei verfügen.
Die NTFS-Berechtigungen müssen zu diesem Zweck entsprechend eingerichtet sein. Wird einem Benutzer
der Zugriff aufgrund unzureichender NTFS-Berechtigungen verweigert, kann er die verschlüsselte Datei
nicht lesen oder entschlüsseln. Anweisungen zum Festlegen von Berechtigungen für Dateien finden Sie unter
To set, view, change, or remove permissions on files and folders auf der Microsoft TechNet-Website unter
http://go.microsoft.com/fwlink/?LinkId=22847 (englischsprachig).
Anforderungen
• Anmeldeinformationen: Ein EFS-Zertifikat und Besitzrechte an der Datei sind erforderlich.
Alle Benutzer, die der Datei hinzugefügt werden, müssen über ein Zertifikat auf dem Computer verfügen.
♦ So ermöglichen Sie einem Benutzer die Ver- oder Entschlüsselung einer Datei
2. Klicken Sie mit der rechten Maustaste auf die zu ändernde verschlüsselte Datei, und klicken Sie dann auf
Eigenschaften.
15 Schützen von Daten durch Festplattenverschlüsselung mit EFS
5. Klicken Sie zum Hinzufügen eines Benutzers zu dieser Datei auf Hinzufügen, und führen Sie dann einen
der folgenden Schritte aus:
• Klicken Sie zum Hinzufügen eines Benutzers mit einem auf dem Computer vorhandenen
EFS-Verschlüsselungszertifikat auf das entsprechende Zertifikat und dann auf OK.
• Wenn Sie ein Zertifikat vor dem Hinzufügen zur Datei anzeigen möchten, klicken Sie auf das
entsprechende Zertifikat und anschließend auf Zertifikat anzeigen.
• Klicken Sie zum Hinzufügen eines Benutzers von Active Directory auf Benutzer suchen, wählen Sie
dann in der Liste den gewünschten Benutzer aus, und klicken Sie auf OK.
• Klicken Sie zum Entfernen eines Benutzers in der Datei auf den entsprechenden Benutzernamen und
anschließend auf Entfernen.
Hinweis: Beim Hinzufügen eines Benutzers zu einer Datei wird das EFS-Verschlüsselungszertifikat des Benutzers
importiert und durch eine vertrauenswürdige Stammzertifizierungsstelle überprüft. Es wird dann für diesen
Benutzer im Zertifikatsspeicher Andere Personen gespeichert.
Anforderungen
• Anmeldeinformationen: Sie müssen am primären Domänencontroller der Domäne als Administrator angemeldet
sein.
1. Melden Sie sich am primären Domänencontroller in der Domäne als Administrator an.
5. Klicken Sie auf Hinzufügen. Eine Liste aller auf dem aktuellen Computer registrierten Snap-Ins wird
angezeigt.
6. Doppelklicken Sie auf das Snap-In Zertifikate, klicken Sie auf Eigenes Benutzerkonto und anschließend
auf Fertig stellen.
7. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen und dann im Dialogfeld
Snap-In hinzufügen/entfernen auf OK. In der MMC werden daraufhin die persönlichen Zertifikate für das
Administratorkonto angezeigt.
9. Klicken Sie mit der rechten Maustaste auf dieses Standardzertifikat, klicken Sie dann auf Alle Tasks und
anschließend auf Exportieren, um den Assistenten zu starten.
17 Schützen von Daten durch Festplattenverschlüsselung mit EFS
WICHTIG: Die Auswahl des korrekten Schlüssels beim Exportieren ist wichtig, da nach dem Exportvorgang
der ursprüngliche private Schlüssel und das zugehörige Zertifikat vom Computer entfernt werden. Wenn der
Schlüssel auf dem Computer nicht wiederhergestellt werden kann, ist die Dateiwiederherstellung unter
Verwendung dieses DRA-Zertifikats nicht möglich.
10. Klicken Sie auf Ja, privaten Schlüssel exportieren und dann auf Weiter. Dadurch wird der private Schlüssel
nach Abschluss des Exportvorgangs entfernt.
18 Schützen von Daten durch Festplattenverschlüsselung mit EFS
11. Klicken Sie auf der Seite Exportdateiformat auf Privater Informationsaustausch - PKCS #12 (.PFX),
aktivieren Sie die Kontrollkästchen Verstärkte Sicherheit aktivieren und Privaten Schlüssel nach
erfolgreichem Export löschen, und klicken Sie dann auf Weiter.
Es empfiehlt sich, den privaten Schlüssel nach dem erfolgreichen Exportieren im System zu entfernen – dies
soll als zusätzliche Sicherheitsmaßnahme dienen.
Beim Exportieren eines privaten Schlüssels wird das PFX-Dateiformat verwendet. Das PFX-Dateiformat
beruht auf dem PKCS #12-Standard, einem Format zum Speichern und Übertragen von Benutzerinformationen,
einschließlich privater Schlüssel, Zertifikate und verschiedener geheimer Daten. Darüber hinaus kann im
PFX-Dateiformat (PKCS #12) ein Kennwortschutz für den in der Datei gespeicherten privaten Schlüssel
eingerichtet werden.
12. Geben Sie auf der Seite Kennwort in den Textfeldern Kennwort und Kennwort bestätigen ein sicheres
Kennwort ein, und klicken Sie dann auf Weiter.
19 Schützen von Daten durch Festplattenverschlüsselung mit EFS
Im letzten Schritt wird die aktuelle PFX-Datei gespeichert. Das Zertifikat und der private Schlüssel können
auf alle beschreibbaren Datenträger gespeichert werden, einschließlich Netzlaufwerken oder Disketten.
13. Geben Sie auf der Seite Exportdatei den Pfad für die Datei ein, oder suchen Sie nach dem gewünschten
Dateinamen, und klicken Sie dann auf Weiter.
Wenn die Datei und der zugeordnete private Schlüssel verloren gehen, können alle mit diesem DRA-Zertifikat
als Datenwiederherstellungsagent verschlüsselten Dateien in einem Notfall nicht mehr entschlüsselt werden.
Bewahren Sie die PFX-Datei nach dem Exportieren dieser Datei und des privaten Schlüssels in
Übereinstimmung mit den Sicherheitsrichtlinien und -verfahren des Unternehmens auf permanenten
Wechselmedien an einem sicheren Ort auf. So kann die PFX-Datei beispielsweise auf einer oder mehreren
CD-ROMs gespeichert werden, die in einem Bankschließfach oder Tresor mit strengen Zugangskontrollen
verwahrt werden.
Anforderungen
• Anmeldeinformationen: Domänenadministratorkonto auf dem Computer.
1. Melden Sie sich am Computer unter Verwendung eines gültigen Kontos an.
5. Klicken Sie auf Hinzufügen. Eine Liste aller auf dem aktuellen Computer registrierten Snap-Ins wird
angezeigt.
6. Doppelklicken Sie auf das Snap-In Zertifikate, klicken Sie auf Eigenes Benutzerkonto und anschließend
auf Fertig stellen.
21 Schützen von Daten durch Festplattenverschlüsselung mit EFS
7. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen und dann im Dialogfeld
Snap-In hinzufügen/entfernen auf OK. In der MMC wird jetzt der persönliche Zertifikatspeicher für das
Administratorkonto angezeigt.
8. Wechseln Sie zum Ordner Zertifikate\Aktueller Benutzer\Persönlich\Zertifikate, klicken Sie mit der
rechten Maustaste auf den Ordner, wählen Sie Alle Tasks aus, und klicken Sie dann auf Importieren, um
den Zertifikatimport-Assistenten zu starten.
9. Klicken Sie auf Weiter, geben Sie den Dateinamen und -pfad der zu importierenden Datei ein, und klicken
Sie dann auf Weiter.
22 Schützen von Daten durch Festplattenverschlüsselung mit EFS
10. Geben Sie auf der Seite Kennwort im Feld Kennwort das Kennwort für die Datei ein, sofern es sich um
eine PKCS #12-Datei handelt.
Es empfiehlt sich, private Schlüssel mit einem sicheren Kennwort zu speichern.
11. Wenn Sie den Schlüssel zu einem späteren Zeitpunkt erneut vom aktuellen Computer exportieren möchten,
muss das Kontrollkästchen Schlüssel als exportierbar markieren auf jeden Fall aktiviert werden. Klicken
Sie auf Weiter.
23 Schützen von Daten durch Festplattenverschlüsselung mit EFS
12. Möglicherweise werden Sie im Assistenten dazu aufgefordert, den Namen des Speichers für das zu
importierende Zertifikat und den privaten Schlüssel anzugeben. Wenn Sie sicherstellen möchten, dass der
private Schlüssel in den privaten Speicher importiert wird, klicken Sie nicht auf Zertifikatspeicher
automatisch auswählen (auf dem Zertifikatstyp basierend). Klicken Sie stattdessen auf Alle Zertifikate
in folgendem Speicher speichern und anschließend auf Weiter.
13. Markieren Sie den Speicher Persönlich, und klicken Sie auf OK.
14. Klicken Sie auf Weiter und anschließend auf Fertig stellen, um den Assistenten zu beenden. In einer Meldung
wird angezeigt, ob der Import erfolgreich durchgeführt wurde.
24 Schützen von Daten durch Festplattenverschlüsselung mit EFS
WICHTIG: Für einen Datenwiederherstellungs-Agenten sollte immer ein Domänenkonto verwendet werden -
lokale Konten sind anfällig für Offlineangriffe.
Zum Ausführen dieser Schritte müssen Sie als Wiederherstellungs-Agent angemeldet sein. Sie müssen also über
den privaten Schlüssel und das Zertifikat für einen in den entsprechenden Dateien oder Ordnern angegebenen
Datenwiederherstellungsschlüssel verfügen.
Anforderungen
• Anmeldeinformationen: Datenwiederherstellungs-Agent.
2. Klicken Sie mit der rechten Maustaste auf die wiederherzustellende Datei oder den Ordner, und klicken Sie
dann auf Eigenschaften.
5. Erstellen Sie eine Sicherung der entschlüsselten Daten, und stellen Sie sie dem Benutzer zur Verfügung.
Hinweis: Sie können die Sicherungskopie der entschlüsselten Datei oder des entschlüsselten Ordners als
E-Mail-Anlage, auf einem Datenträger oder in einer Dateifreigabe im Netzwerk zur Verfügung stellen.
Ein alternatives Verfahren zum Wiederherstellen von Daten ist der physischen Transport des privaten
Schlüssels und Zertifikats für den Wiederherstellungs-Agenten auf den Computer mit der verschlüsselten
Datei. Dort müssen der private Schlüssel und das Zertifikat importiert, die Datei oder der Ordner entschlüsselt
26 Schützen von Daten durch Festplattenverschlüsselung mit EFS
und der importierte Schlüssel und das importierte Zertifikat anschließend wieder gelöscht werden. Bei diesem
Verfahren wird der private Schlüssel stärker offen gelegt als beim ersten Verfahren, jedoch müssen keine
Sicherungs-, Wiederherstellungs- oder Übertragungsvorgänge durchgeführt werden.
Empfohlene Vorgehensweisen
Die folgenden empfohlenen Vorgehensweisen können in einem Unternehmen bei der Verwendung und Verwaltung
verschlüsselter Dateien und Ordner von Nutzen sein.
Hinweis: Die Gültigkeitsdauer des selbstsignierenden Zertifikats in einer Domäne ohne Zertifizierungsstelle
beträgt 99 Jahre.
27 Schützen von Daten durch Festplattenverschlüsselung mit EFS
Die folgenden Vorgehensweisen können beim Schutz der Daten von mobilen Endbenutzern im Falle eines
Diebstahls oder Verlusts nützlich sein:
• Der physische Schutz der Computer hat höchste Priorität. Es gibt keinen technologischen Ersatz für die
Durchführung der Sicherheitsmaßnahmen, die den Diebstahl oder Zugriff verhindern.
• Verwenden Sie tragbare Computer immer als Teil einer Active Directory-Domäne.
• Sichern Sie die privaten Schlüssel der Benutzer nicht auf den tragbaren Computern, importieren Sie sie
stattdessen bei Bedarf.
• Häufig verwendete Speicherordner wie Eigene Dateien und temporäre Ordner sollten so verschlüsselt werden,
dass alle neuen und temporären Dateien bei der Erstellung verschlüsselt werden.
• Erstellen oder kopieren Sie neue beziehungsweise vorhandene Dateien immer in einen verschlüsselten Ordner,
wenn die entsprechenden Daten sicherheitsrelevant sind. Damit ist gewährleistet, dass die Dateien niemals
in lesbarer Form auf dem Computer vorhanden waren und dass temporäre Dateien nicht durch die Verwendung
von hochentwickelten Laufwerksanalyse-Angriffen wiederhergestellt werden können.
• In einer Domäne kann die Konfiguration und Verwendung von verschlüsselten Standardordnern (zum Beispiel
Eigene Dateien ) durch eine Kombination von Gruppenrichtlinien, Anmeldeskripts und Sicherheitsvorlagen
erzwungen werden.
• Im Betriebssystem Windows XP wird die Verschlüsselung von Daten in Offlinedateien unterstützt. Lokal
zwischengespeicherte Offlinedateien und -ordner sollten bei der Verwendung von Cache-Richtlinien auf
dem Client verschlüsselt werden.
• Verwenden Sie auf den tragbaren Computern das Systemschlüsseldienstprogramm SYSKEY im Modus 2
oder 3 (Startdiskette oder Startkennwort), damit das System nicht von einem böswilligen Benutzer gestartet
werden kann. Das Systemschlüsseldienstprogramm und die zugehörigen Optionen werden in der Onlinehilfe
der jeweiligen Windows-Version erläutert.
• Aktivieren Sie die SMB-Signatur (Server Message Block) in der Gruppenrichtlinie für Server, die für
Delegierungen als vertrauenswürdig eingestuft sind und zum Speichern von verschlüsselten Dateien verwendet
werden. Diese Einstellung wird in der Gruppenrichtlinie unter folgendem Pfad festgelegt: Name des
Gruppenrichtlinienobjekts\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale
Richtlinien\Sicherheitsoptionen\Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer).
• Stellen Sie sicher, dass unverschlüsselte Daten nach der Verschlüsselung von Dateien und anschließend in
regelmäßigen Abständen von der Festplatte entfernt werden.
Weitere Informationen
Weitere Informationen zum verschlüsselnden Dateisystem finden Sie unter:
• "Encrypting File System in Windows XP and Windows Server 2003" auf der Microsoft TechNet-Website
unter http://go.microsoft.com/fwlink/?LinkID=22413 (englischsprachig).