Seite 2: Fallstricke des Encrypted File System von Windows vermeiden

Inhaltsverzeichnis

Der Befehl cipher /R:dateiname (dateiname mit oder ohne Pfadangabe) erfordert Administratorrechte. Nach Eingabe eines Kennworts für das Wiederherstellungszertifikat schreibt cipher dieses in zwei Dateien. In der Datei mit der Endung "pfx" befindet sich wie im bereits beschriebenen Exportvorgang auch der private Schlüssel. Sie sollte man nach einer Sicherung von der Platte löschen. Die Datei mit der Endung "cer" enthält den öffentlichen Schlüssel.

Beim Export seines Schlüssels sollte man unbedingt den privaten Schlüssel mitsichern. Melden Sie sich nun unter Windows XP mit dem Benutzerkonto an, welches Sie später für die Wiederherstellung benutzen wollen. Administratorrechte sind nicht nötig. Die mit cipher angelegte cer-Datei importieren Sie über das Sicherheitsrichtlinien-Snap-In. Man ruft es per Ausführen und der Eingabe secpol.msc auf. Im Zweig "Richtlinien öffentlicher Schlüssel/Dateisystem wird verschlüsselt" importiert man über die Funktion "Datenwiederherstellungs-Agenten hinzufügen" im Kontextmenü die cer-Datei.

Existiert ein Wiederherstellungsagent, speichert EFS den zur Verschlüsselung einer Datei benutzten File Encryption Key [1] mehrfach in der Datei: zum einem verschlüsselt mit dem öffentlichen Schlüssel des jeweiligen Benutzers, zum anderen verschlüsselt mit dem öffentlichen Schlüssel des Wiederherstellungsagenten. Der Agent hat also keinen Generalschlüssel, sondern eher einen Zweitschlüssel.

Sein Zertifikat sollte man auf alle Fälle sichern. Es dient sozusagen als Zweitschlüssel, falls man sich einmal "aussperrt". Wenn der Notfall eingetreten ist und ein Benutzer seine Dateien nicht mehr entschlüsseln kann, meldet man sich mit dem Konto an, das man für die Wiederherstellung vorgesehen hat. Anschließend startet man per Doppelklick den Import der gesicherten pfx-Datei. Mit seinem privaten Schlüssel kann der Wiederherstellungsagent den mit seinem öffentlichen Schlüssel gesicherten File Encryption Key entschlüsseln, der wiederum zum Entschlüsseln der EFS-verschlüsselten Dateien dient. Dazu eignet sich beispielsweise auch der Kommandozeilenbefehl efsrecvr. Das Kommando

efsrecvr /s:"Eigene Dateien" *.*

entschlüsselt alle verschlüsselten Dateien aus dem Verzeichnis "Eigene Dateien" und legt sie im aktuellen Verzeichnis ab.

Tücken des Objekts Zwar funktioniert EFS im Allgemeinen recht problemlos, dennoch sollte man sich einiger Eigenheiten bewusst sein. So legt Windows Benutzerdaten in einem geschützten Bereich der Registry ab, der SAM-Datenbank (Security Account Manager). Um auf Nummer Sicher zu gehen, sollte man die lokale SAM-Datenbank mit dem Befehl syskey verschlüsseln. Den hierzu verwendeten Schlüssel generiert Windows automatisch. Man kann ihn durch ein Kennwort schützen oder auf einer Diskette ablegen. Beim Systemstart verlangt Windows dann entweder nach Passwort oder Diskette. Eine teure, aber bessere Alternative ist die Ablage der Zertifikate auf intelligenten Smartcards oder USB-Tokens. Gehört ein Rechner zu einer Domäne, liegen die Zertifikate auf dem Domänen-Controller und nicht in der lokalen SAM-Datenbank.