Verschlüsselung auf Dateisystemebene - EFS

Zuletzt aktualisiert am 25. Dezember 2023 von Lars

Wenn Sie Dateien z.B. auf einen Laptop verschlüsseln möchten, muss eine Infrastruktur für den öffentlichen Schlüssel vorhanden sein.

Zur Verschlüsselung ist NTFS (ab Version 5.0) nötig.Bereits komprimierte Dateien können nicht verschlüsselt werden.

Arbeiten mit verschlüsselten Dateien

Beim Arbeiten mit verschlüsselten Dateien und Ordnern sollten Sie folgende Hinweise und Empfehlungen beachten:

  • Nur Dateien und Ordner auf NTFS-Datenträgern können verschlüsselt werden.
  • Die Verschlüsselung komprimierter Dateien oder Ordner wird nicht unterstützt. Um komprimierte Dateien oder Ordner zu verschlüsseln, müssen Sie sie erst dekomprimieren. Dekomprimieren Sie auf einem komprimierten Datenträger die Ordner, die Sie verschlüsseln möchten.
  • Verschlüsselte Dateien können nur von dem Benutzer geöffnet werden, der sie verschlüsselt hat.
  • Verschlüsselte Dateien können nicht freigegeben werden. Das verschlüsselnde Dateisystem dient nicht der Verteilung privater Daten.
  • Verschlüsselte Dateien können ihre Verschlüsselung verlieren, wenn Sie sie auf einen Datenträger kopieren oder verschieben, der ein anderes Dateisystem als NTFS hat.
  • Dateien werden durch Ausschneiden und Einfügen in einen verschlüsselten Ordner verschoben. Wenn Sie die Dateien mit Drag & Drop verschieben, werden sie im neuen Ordner nicht automatisch verschlüsselt.
  • Systemdateien können nicht verschlüsselt werden.
  • Ordner oder Dateien können auch gelöscht werden, obwohl sie verschlüsselt sind. Jeder Benutzer mit einer Berechtigung zum Löschen von Datenobjekten kann verschlüsselte Ordner oder Dateien löschen.
  • Auch temporäre Dateien, die von einigen Programmen beim Bearbeiten von Dokumenten erstellt werden, werden verschlüsselt, wenn alle Dateien sich auf einem NTFS-Datenträger in einem verschlüsselten Ordner befinden. Aus diesem Grund wird empfohlen, den Ordner TEMP auf der Festplatte zu verschlüsseln. Durch Verschlüsseln des Ordners TEMP stellen Sie sicher, dass verschlüsselte Dokumente auch während des Bearbeitens verschlüsselt bleiben. Wenn Sie ein neues Dokument erstellen oder eine Anlage in Outlook öffnen, kann die Datei als verschlüsseltes Dokument im Ordner TEMP angelegt werden. Wenn Sie das verschlüsselte Dokument in einem anderen Verzeichnis auf einem NTFS-Datenträger speichern möchten, bleibt die Verschlüsselung auch in diesem neuen Verzeichnis erhalten.
  • Sie können Dateien und Ordner auf einem Remotecomputer, der für die Remoteverschlüsselung konfiguriert ist, verschlüsseln oder entschlüsseln. Weitere Informationen erhalten Sie bei Ihrem Domänenadministrator. Wenn Sie jedoch eine verschlüsselte Datei über das Netzwerk öffnen, sind die über die Netzwerkverbindung übertragenen Daten nicht verschlüsselt. Zur Verschlüsselung von Netzwerkdaten müssen andere Protokolle wie SSL/PCT oder IPSEC verwendet werden.
  • Mit der Verschlüsselung der ersten Datei oder des ersten Ordners wird automatisch eine Wiederherstellungsrichtlinie implementiert, so dass ein Wiederherstellungsagent die Datei für Sie entschlüsseln kann, falls das Dateiverschlüsselungszertifikat und der dazugehörige private Schlüssel einmal gelöscht werden sollten.

Empfehlungen zum verschlüsselnden Dateisystem

  • Verschlüsseln Sie den Ordner Eigene Dateien, wenn Sie dort die überwiegende Zahl der Dokumente speichern. Dadurch wird sichergestellt, dass persönliche Dokumente standardmäßig verschlüsselt werden.
  • Verschlüsseln Sie den Ordner TEMP, so dass alle von Programmen erstellten, temporären Dateien automatisch verschlüsselt werden.
  • Sie sollten sich angewöhnen, ganze Ordner anstelle von einzelnen Dateien zu verschlüsseln, damit auch temporäre Dateien, die ein Programm während der Bearbeitung anlegt, verschlüsselt werden.
  • In MMC (Microsoft Management Console) können Sie unter den Zertifikaten mit dem Befehl Exportieren Sicherungskopien des Dateiverschlüsselungszertifikats und des dazugehörigen privaten Schlüssels auf Diskette erstellen. Bewahren Sie die Diskette an einem sicheren Ort auf. Falls Sie Ihr Dateiverschlüsselungszertifikat und den dazugehörigen privaten Schlüssel (aufgrund eines Festplattenfehlers oder aus einem anderen Grund) einmal verlieren sollten, können Sie das Zertifikat und den privaten Schlüssel in MMC unter den Zertifikaten mit dem Befehl Importieren von der Diskette wiederherstellen und so Ihre verschlüsselten Dateien wieder öffnen.

Windows 2000 kann von Haus aus nur mit 48 Bit verschlüsseln. Die 128 Bit Verschlüsselung lässt sich jedoch nachrüsten.

Hierzu gibt es auch ein Kommandozeilentool namens cipher.

Cipher

Zeigt die Verschlüsselung von Ordnern und Dateien auf NTFS-Datenträgern an oder ändert sie.

cipher [/e| /d] [/s:Verzeichnis] [/a][/i] [/f] [/q] [/h] [Pfadname [...]]

Parameter

keine
Wenn cipher ohne Parameter verwendet wird, wird der Verschlüsselungsstatus des aktuellen Ordners sowie aller darin enthaltenen Dateien angezeigt.

/e
Verschlüsselt die angegebenen Ordner. Die Ordner werden so gekennzeichnet, dass alle später hinzugefügten Dateien verschlüsselt werden.

/d
Entschlüsselt die angegebenen Ordner. Die Ordner werden so gekennzeichnet, dass alle später hinzugefügten Dateien nicht verschlüsselt werden.

/s: Verzeichnis
Führt den ausgewählten Befehl für alle Ordner im angegebenen Ordner und allen untergeordneten Ordnern aus.

/a
Führt den ausgewählten Befehl für alle angegebenen Dateien aus. Wenn es keine entsprechenden Dateien gibt, wird dieser Parameter ignoriert.

/i
fährt mit der Ausführung des angegebenen Befehls auch fort, wenn Fehler auftreten. Standardmäßig wird die Ausführung des Befehls cipher beendet, wenn Fehler auftreten.

/f
Erzwingt die Verschlüsselung bzw. Entschlüsselung aller angegebenen Objekte. Standardmäßig wird der Befehl für Dateien, die bereits verschlüsselt bzw. entschlüsselt sind, nicht ausgeführt.

/q
Zeigt nur die wichtigsten Informationen an.

/h
Zeigt Dateien mit den Attributen "versteckt" oder "System" an. Standardmäßig werden diese Dateien weder ver- noch entschlüsselt.

Pfadname
Gibt ein Dateimuster, eine Datei oder einen Ordner an.

Der Wiederherstellungsagent

So ändern Sie die Wiederherstellungsrichtlinie für den lokalen Computer

  • Klicken Sie auf Start, Ausführen, geben Sie mmc/a ein, und klicken Sie anschließend auf OK.
  • Klicken Sie im Menü Konsole auf Snap-In hinzufügen/entfernen und dann auf Hinzufügen.
  • Klicken Sie unter Snap-Ins auf Gruppenrichtlinie und dann auf Hinzufügen.
  • Stellen Sie unter Gruppenrichtlinienobjekt sicher, dass Lokaler Computer angezeigt wird, klicken Sie auf Fertig stellen, Schließen und dann auf OK.
  • Klicken Sie unter Richtlinien für Lokaler Computer auf
    • Computerkonfiguration
    • Windows-Einstellungen
    • Sicherheitseinstellungen
    • Richtlinien öffentlicher Schlüssel
  • Klicken Sie mit der rechten Maustaste auf Agenten für Wiederherstellung von verschlüsselten Daten, und klicken Sie dann auf eine der folgenden Optionen:
    • Durch Hinzufügen können Sie einen Benutzer mit Hilfe des Assistenten für das Hinzufügen von Wiederherstellungsagenten als zusätzlichen Wiederherstellungsagenten benennen.
    • Durch Erstellen wird ein neues Dateiwiederherstellungszertifikat mit Hilfe des Assistenten für die Zertifikatsanforderung angefordert. Um diese Schritte ausführen zu können, müssen Sie berechtigt sein, das Zertifikat anzufordern, und die Zertifizierungsstelle (Certificate Authority, CA) muss für die Ausgabe dieses Zertifikattyps konfiguriert sein.
    • Durch Richtlinie löschen wird diese EFS-Richtlinie und alle Wiederherstellungsagenten gelöscht. Das Löschen der EFS-Richtlinie und aller Wiederherstellungsagenten hat zur Folge, dass die Benutzer auf diesem Computer keine Dateien verschlüsseln können.
Du willst meine Arbeit unterstützen? Dann freue ich mich über eine kleine Spende!

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert