Die Wiederherstellung von verschlüsselten Daten mit EFS (Encrypting File System)

  • Artikel

Der 5-Minuten-Sicherheitstipp

Veröffentlicht: 01. Mrz 2004

Ihre Benutzer haben die Segnungen von EFS (Encrypting File System) entdeckt und haben sich dafür entschieden, alle - bis auf die unkritischen - Dokumente für andere Benutzer unsichtbar zu machen. Einer Ihrer Benutzer, wir nennen in Klaus, ist seit einiger Zeit damit beschäftigt, den Entwurf eines wichtigen firmeninternen Dokuments zu entschlüsseln, das in einer Stunde verschickt werden soll. Einige Minuten später bekommen Sie einen Anruf des CFO. Er hat einen neuen Laptop bekommen und kann nun nicht mehr seinen Finanzreport öffnen. Sie nehmen noch zwei Aspirin, aber das hilft auch nicht.

Um solche Problematiken zu verstehen und vor allem die Fehler zu beheben, sollten Sie sich mit EFS beschäftigen. Insbesondere damit, wie EFS-Dateien ver- und entschlüsselt werden.

Auf dieser Seite

Dn151218.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Wie funktioniert die Datenwiederherstellung mit EFS?

Dn151218.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Wiederherstellungsagenten

Dn151218.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Sicherung von verschlüsselten Daten

Dn151218.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Datenzugriff wiederherstellen

Wie funktioniert die Datenwiederherstellung mit EFS?

EFS benutzt zwei verschiedene Verfahren zum Verschlüsseln von Daten. Einerseits eine asymmetrische Verschlüsselung mit öffentlichen Schlüsseln und andererseits eine symmetrische Verschlüsselung. Die asymmetrische Verschlüsselung nutzt ein Verfahren, bei dem zwei verschiedene Schlüssel existieren, einer zum Verschlüsseln, der andere zum Entschlüsseln der Daten. Bei der symmetrischen Verschlüsselung wird ein Schlüssel für die Ver- und Entschlüsselung verwendet. Die Sicherheit des symmetrischen Verfahrens ist schwieriger zu gewährleisten als bei der Verschlüsselung mit öffentlichen Schlüsseln, da hier das Verschlüsselungsschema nicht öffentlich gemacht werden darf. Insbesondere nicht der Schlüssel. Jedoch ist die symmetrische Verschlüsselung hinsichtlich der Prozessorbelastung weniger aufwendig und lässt sich 100 bis 1000 mal schneller als die asymmetrische Verschlüsselung berechnen. EFS kombiniert beide Methoden, um eine gute Performance und hohe Sicherheitsstandards zu gewährleisten.

Wenn der EFS Dienst eine neue Datei verschlüsselt, dann wird diese für den Zugriff gesperrt und EFS generiert einen Datenschlüssel (File Encryption Key, FEK). Dieser FEK ist ein symmetrischer Schlüssel, der zum Verschlüsseln und Entschlüsseln der Datei verwendet wird. Ein FEK gilt nur für eine Datei. Sobald der FEK generiert wurde, ist die Datei verschlüsselt. Danach sucht EFS den öffentlichen Schlüssel des Benutzers, verschlüsselt mit diesem den FEK und speichert den verschlüsselten FEK im Datenverschlüsselungsfeld (Data Decryption Field, DDF) im Header der verschlüsselten Datei.

Wenn ein Benutzer eine Datei entschlüsseln möchte, ruft EFS den privaten Schlüssel des Benutzers auf. Danach entschlüsselt EFS mit dem privaten Schlüssel den FEK aus dem DDF im Header und entschlüsselt schließlich die Datei mittels des FEK.

Bitte beachten Sie, dass der Dateischlüssel (FEK) nicht auf einen Benutzer personalisiert ist. EFS kann mehrere Datenverschlüsselungsfelder im Header der Datei speichern und unterstützt damit die Entschlüsselung durch mehrere Benutzer. In jedem einzelnen DDF ist der selbe Schlüssel enthalten. Sie unterscheiden sich darin, dass sie mit verschiedenen öffentlichen Schlüsseln verschlüsselt sind.

Einige sensible Daten können trotzdem noch in der Auslagerungsdatei einsehbar sein. Stellen Sie deshalb sicher, dass auf Notebooks der Standby-Modus deaktiviert ist und das die Auslagerungsdatei beim Herunterfahren des Computers gelöscht wird.

Dn151218.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Wiederherstellungsagenten

Zusätzlich zum DDF speichert EFS für jedes Benutzerkonto, das als Wiederherstellungsagenten (Data Recovery Agent, DRA) eingerichtet wurde, ein Datenwiederherstellungsfeld (Data Recovery Field, DRF). Für unsere Zwecke kann man sagen, dass DDFs und DRFs identisch arbeiten. Der Unterschied besteht darin, das ein DDF auf der Ebene einer Datei funktioniert und dass das DRF in allen Dateien eines Computers oder der gesamten Domäne identisch ist. Dies erlaubt einem Administrator, selbst dann Dateien zu entschlüsseln, wenn Benutzer ihren primären Schlüssel verlieren. In Windows XP sind keine DRAs mehr notwendig, um EFS zu benutzen. Der FEK befindet sich nur im DDF und DRF. Hat eine Datei nur einen DDF und kein DRF, kann diese Datei nur ein Benutzer entschlüsseln. Obwohl dieses Verfahren sehr sicher ist, ist es anderseits auch gefährlich. Sollte der Benutzer seinen privaten Schlüssel verlieren, kann die Datei nicht mehr geöffnet werden.

Dn151218.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Sicherung von verschlüsselten Daten

Die Sicherung von verschlüsselten Dateien ist genauso einfach wie die Sicherung jeder anderen Datei. Da das FEK mit in der Datei gespeichert wird, brauchen Sie keine besonderen Vorbereitungen zu treffen. Beachten Sie, dass verschlüsselte Dateien nur in einer Domäne oder auf Computern, auf denen Benutzer Zugriff auf ihre privaten Schlüssel haben, wieder entschlüsselt werden können.

Bei einer Sicherung sollten Sie ebenfalls die öffentlich/privaten Schlüsselpaare sowie die Zertifikate der öffentlichen Schlüssel mit einbeziehen. Der öffentliche Schlüssel sowie das Zertifikat befinden sich im Ordner Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Microsoft\SystemCertificates\My\Certificates. Der private Schlüssel befindet sich im Ordner Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Microsoft\Crypto\RSA. Wie auch alle anderen Dateien im RSA-Ordner ist der private Schlüssel mit dem Master-Key des Benutzers verschlüsselt. Da das Schlüsselpaar und das Zertifikat im Benutzerprofil abgelegt sind, werden sie bei einer Sicherung mit gesichert.

Schlüsselpaare und Zertifikate, einschließlich aller DRA Schlüssel, können auf Wechselmedien exportiert werden und so an einem sicheren Ort aufbewahrt werden. Beachten Sie, dass jeder, der Zugriff auf die Schlüssel eines DRAs hat, auch die Dateien entschlüsseln kann, die ein DRA entschlüsseln kann. Somit ist es dringend notwendig, dass diese Schlüssel und die Wechselmedien mit den Sicherungskopien an einem sicheren Ort aufbewahrt werden.

Dn151218.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Datenzugriff wiederherstellen

Der Wiederherstellungszugriff wird durch die Wiederherstellungs-Richtlinien festgelegt. Für Rechner, die sich nicht in einer Domäne befinden, stellen Sie die Richtlinie direkt am lokalen Computer ein. Befindet sich Ihr Computer in einer Domäne, so müssen Sie die Richtlinie für die Domänen EFS Wiederherstellung über Gruppenrichtlinien einstellen. Dort legen Sie fest wer in der Domäne die Rechte eines Wiederherstellungsagenten bekommt. Sollte ein Benutzer keinen Zugriff auf eine Datei haben, dann liegt es in jedem Fall daran, dass er nicht auf seinen privaten Schlüssel zugreifen kann. Sie sollten, wenn möglich, den Benutzer wieder mit seinem Schlüssel ausstatten. Dies können Sie tun, indem Sie das Benutzerprofil wiederherstellen oder Schlüssel und Zertifikate importieren. Wenn der Benutzer Zugriff auf seine Schlüssel hat, dann kann er seinen FEK abfragen, indem er das DDF der Datei ausliest. Existiert keine gültige Sicherungskopie des Schlüssels, dann kann ein Wiederherstellungsagent entweder den Schlüssel auf den Computer des Benutzers importieren oder die Datei auf einem Computer wiederherstellen, auf dem der DRA-Schlüssel gespeichert ist und die Datei für den Benutzer entschlüsseln. Um zu erfahren welcher DRA für die Datei zuständig ist benötigen Sie das Programm efsinfo.

Können Sie den Schlüssel des Benutzers nicht wiederherstellen, haben aber Zugriff auf den DRA-Schlüssel, dann ist die Wiederherstellung der Datei sehr einfach: Verschieben Sie die Datei zu einem Computer, auf dem der DRA-Schlüssel vorhanden ist. Öffnen Sie mit dem Explorer den Ordner, in dem sich die Datei befindet, klicken Sie mit der rechten Maustaste die Datei und wählen den Eigenschaften Dialog. Klicken Sie auf Erweitert und löschen Sie das Häkchen neben Inhalte verschlüsseln, um Daten zu schützen. Mehr müssen Sie nicht tun.

Mit diesen Informationen können Sie sich jetzt zu dem Büro Ihres CFO aufmachen. Dort werden Sie feststellen, dass er sich lokal am Rechner angemeldet hat, jedoch nicht in der Domäne. Sie fragen in der IT-Abteilung nach, ob das alte lokale Profil noch auf dem alten Laptop vorhanden ist, aber bedauerlicherweise sind die Festplatten des alte Laptops bereits gelöscht worden. Da die CFO ungeduldig wird, speichern Sie ihren DRA-Schlüssel auf ihrem Rechner und entschlüsseln die Dateien für ihn. Während dieser Vorgang läuft, stellen Sie sicher, daß er sich das nächste mal an der Domäne anmeldet. Danach gehen Sie zu Klaus, und stellen fest, dass sein Profil defekt ist. Sie rufen wieder in der IT-Abteilung an und lassen sein Profil auf dessen Rechner wiederherstellen. Nun kann er die Nachricht fast pünktlich absenden. Sie kehren zu Ihrem Schreibtisch zurück und verfassen eine E-Mail mit der Bitte um eine Gehaltserhöhung.

Dn151218.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

| Home | Technische Artikel | Community