EFS - Zugriff mehrerer Nutzer erlauben

Hallo,

ich habe eine W2k-WS in einer NT4-Domäne.

Mit meinem Domänenkonto (LUA) habe ich einige meiner Verzeichnisse verschlüsselt. Auf der WS habe ich jedoch noch einen lokalen Account (Admin-Grp), dem ich den Zugriff auf die verschlüsselten Daten ebenfalls erlauben möchte.

Mit der Beschreibung, die ich bei MS gefunden habe, funktionert es leider nicht, da mir dazu schlichtweg der passende Dialog (Advanced Attributes) fehlt.

Wie kann ich trotzdem den Zugriff auf die verschlüsselten Daten erlauben?

In der Beziehung auch gleich noch was anderes: Ist es richtig, daß ich den privaten Schlüssel des Verschlüsselers für den Fall der Fälle sichern sollte, da der lokale Admin aufgrund der NT4-Domäne kein Wiederherstellungsagent ist? Den Gedanken dazu habe ich von hier.

Tschau,

Sigma

Hi,

Nachtrag zu meiner 2. Frage:

Ich hab mal mit efsinfo aus dem 2k-ResKit nachgesehen, wer zum Entschlüsseln der Daten berechtigt ist. Dort fand sich jeweils nur der Nutzer, der die Daten verschlüsselt hat. Wird denn der Wiederherstellungsagent dabei überhaupt aufgeführt?

Tschau,

Sigma

Hi,

EFS würde ich persönlich mit Vorsicht genießen. Es passiert sehr schnell das du die Daten nicht mehr öffnen kannst.

Es gibt ja immer zwei Schlüssel, eines des Nutzers/ Erstellers und ein für den Wiederherstellungsagenten.

Für den Agenten sollst du den Schlüssel sichern(für den Admin). Der vom Nutzer muss ja drauf bleiben, sonst kann er selber nicht Zugreifen.

Das heisst, wenn man von einem Laptop die Daten schützen will, dass im Falle eines Diebstahls die Daten nicht lesbar sind, müsste man jedes Mal die Schlüssel importieren/ exportieren(umständlich).

In einer gemschten Umgebung, wie bei dir beschrieben würde ich es mit Vorsicht genießen. Aber in der Beziehung habe ich keine Erfahrung mit EFS.

Sollte einmal ein Problem auftreten und die Daten müssen via Backup zurückgespielt werden, sind die EFS Daten futsch.

Und ich empfehle keine Systemdatein zu verschlüsseln. Ich habe das einmal testtechnisch probiert und danach ging garnichts mehr.

EFS ist eine feine Idee, aber absolut nicht ausgereift(meine Meinung.) :)

Hi,

wahrscheinlich hätte ich auf mehr Beiträge mit dne diversen Diskussionen verlinken sollen, damit deutlich wird, das hier im Forum noch keine Lösung steht, mein Fehler. :o

Mein Problem ist, daß mir die Schaltfläche Details fehlt, welche zum Hinzufügen der zusätzlichen Nutzer dient. Diese sollte sich eigentlich direkt neben dem Feld "Inhalt verschlüsseln, um Daten zu schützen" befinden.

Ich werde morgen mal den privaten Schlüssel meines Domänennnutzers exportieren und versuchen, den in meinen lokalen Account zu integrieren.

Und außerdem: Editier nicht Deinen Text, wenn ich ne Antwort schreibe. ;) :)

Tschau,

Sigma

Nun, dass die Option fehlt, liegt schlichtweg daran, dass man bei genauerer Betrachtung des Artikels feststellt, das gilt für XP (und 2003), man könnte auch sagen für NTFS V5.1, welches erst ab 2000 implementiert ist.

In der lokalen GPO des W2k sollte aber der lokale Admin Wiederherstellungsagent sein, dann kann dieser dieser auch die Datei öffnen.

grizzly999

Hi,

Das heisst, wenn man von einem Laptop die Daten schützen will, dass im Falle eines Diebstahls die Daten nicht lesbar sind, müsste man jedes Mal die Schlüssel importieren/ exportieren(umständlich).

Das ist so nicht richtig, denn zur Nutzung des privaten Schlüssels ist Zugriff auf mein Nutzerkonto notwendig. Bei Änderungen des Paßwort, z.B. Rücksetzen durch Admin, wird aber der private Schlüssel verändert und der Zugriff auf die Daten ist weiterhin nicht möglich.

Sollte einmal ein Problem auftreten und die Daten müssen via Backup zurückgespielt werden, sind die EFS Daten futsch.

NTBackup beherrscht auch das Rücksichern der Verschlüsselung. Zu beachten ist dabei nur, daß man bei jedem Paßwortwechsel des Nutzers auch gleich den neuen Schlüssel sichert.

BTW: Das mit den Systemdateien habe ich gar nicht erst probiert, weil durch die Anzahl der Zugriffe das System wohl extrem langsam werden dürfte. Außerdem hätte ja dann nur ein Nutzer Zugriff.

@grizzly

Hm, jetzt wo Du es sagst und ich mal auf "Welcome" geklickt habe, wird's ziemlich deutlich . :o

Heißt das jetzt, daß dies unter W2K nur über den Tausch der Schlüssel möglich ist?

Die Entschlüsselung mit dem lokalen Administrator habe ich testweise auch einmal probiert. Das hat aber nicht funktioniert (Zugriffsfehler).

Bin mir aber grad gar nicht sicher, ob ich der Admin-Grp Zugriffsrechte gegeben hatte oder ob es nur mein o.g. lokales Konto war, werde ich aber morgen, wenn ich wieder am AP bin, prüfen.

Tschau,

Sigma

Hi,

ersteinmal sry fürs Editieren. :D

Mit der Rücksetzung des PWs hast du Recht. Denn an die Daten kommt keiner mehr herran wenn sie nicht vorher entschlüsselt wurden. Was aus meiner Sicht auch sehr unkomfortabel ist für einen Systemadministrator. Aber das ist Ansichtssache. :)

Mir persönlich ging es um den gestohlenen Laptop. Denn PWs kann man "bekanntlich" auch auslesen. Mit dem User PW kommt man an die verschlüsselten Daten, wenn der Schlüssel nicht exportiert worden ist. So meinte ich das.

Auch mit dem backup ist es umständlicherweise möglich. Aber wieviele Schlüssel will man als Admin denn aufbewahren, wenn des öffteren Daten von Usern verschlüsselt wurden?

Theoretisch muss man alle verschlüsselten Daten entschlüsseln, System sichern und verschlüsseln.

Denn nach meiner Meinung bringt der neue Schlüssel nach dem PW Wechsel nichts für die davor verschlüsselten Daten!

Sollte ich damit Unrecht haben, lasse ich mich gerne eines besseren belehren. :)

Hi,

EFS ist weniger zum Datenschutz geeignet, wenn der private Schlüssel des Nutzers oder der des Admins, vorausgesetzt dieser ist WHA, auf dem Rechner verbleiben. Ich denke, hier sind wir uns einig. :)

Für dieses Szenario möchte ich ihn aber nicht absichern. Mein Ziel ist es, da mehrere Mitarbeiter Zugriff auf den Rechner haben, die Daten vor Einsicht zu schützen. Die "kriminelle" Energie (inkl. Wissen) dürften bei den NTFS-Zugriffsrechten enden. Deshalb möchte ich auch EFS verwenden, weil es bereits im BS integriert ist (und nix kostet).

Der Admin muß nur jeweils nur den Schlüssel des WHA sichern. Das kann nicht so schlimm sein. Wie das Problem exakt bei einer Rücksicherung aussieht, habe ich mir noch nicht überlegt.

Tschau,

Sigma

@candy:

Mit der Rücksetzung des PWs hast du Recht. Denn an die Daten kommt keiner mehr herran wenn sie nicht vorher entschlüsselt wurden

Ist in diesem Fall falsch, das betrifft nur XP und höher. Und bei XP gibt es dafür einen Wiederherstellungsagenten, bzw. bei alleinstehndem Rechner die Möglichkeiten einer Rücksetzdiskette.

Hier handelt es sich aber um Windows 2000.

@sigma:

EFS ist weniger zum Datenschutz geeignet, wenn der private Schlüssel des Nutzers oder der des Admins, vorausgesetzt dieser ist WHA, auf dem Rechner verbleiben. Ich denke, hier sind wir uns einig

Da bin ich nur mit dir einig, wenn es um 2000 geht. XP hat diese "Schwäche nicht", denn da hat candy wieder recht, wenn man das Kennwort zurücksetzt (als Admin oder mit einer entsprechenden Boot-CD ;) ), dann ist der Masterkey, mit dem der private key verschlüsselt wurde dahin. Kennwort cracken heißt dann die Devise, und da sind wir wieder bei Grundthema der Sicherheit: sichere, komplexe Kennwörter .... :wink2:

grizzly999

XP hat diese "Schwäche nicht", denn da hat candy wieder recht, wenn man das Kennwort zurücksetzt (als Admin oder mit einer entsprechenden Boot-CD ;) ), dann ist der Masterkey, mit dem der private key verschlüsselt wurde dahin.

Ich bin bis jetzt davon ausgegangen, daß dies auch bei 2000 zutrifft. :shock:

Das bedeutet folglich, daß ich bei 2000 das Paßwort des Nutzers zurücksetzen kann und sich keine Auswirkungen auf den privaten Schlüssel ergeben?

Tschau,

Sigma

Ich bin bis jetzt davon ausgegangen, daß dies auch bei 2000 zutrifft. :shock:

Das bedeutet folglich, daß ich bei 2000 das Paßwort des Nutzers zurücksetzen kann und sich keine Auswirkungen auf den privaten Schlüssel ergeben?

 

Tschau,

 

Sigma

Korrekt. Das war einer der Kritikpunkte an EFS bei W2k, was Microsoft eben bei XP behoben hat. Das ist auch das, was manche in ihrer Ahnungslosigkeit meinen, nachdem sie es irgendwo manl gelesen haben, wenn sie immer pauschal behaupten, EFS bei Windows sei generell unsicher, blabla usw. Ich meine jetzt nicht dich, sondern ich habe solche Pauschal-Sätze hier im Board in Diskussionen schon gelesen. Aber ich sage mir, Herr vergib ihnen, denn sie wissen nicht .......... :D

grizzly999

Ok, danke Euch beiden für die Antworten. :)

Eine Frage habe ich abschließend noch:

Ist es möglich, den privaten Schlüssel eines Kontos auf einem USB-Stick zu speichern, so daß zum Zugriff auf verschlüsselte Dateien der Stick angeschlossen sein muß?

Wenn das nicht funktioniert, muß ich eben jedesmal vor Abgabe meines Notebooks den privaten Schlüssel exportieren und vom Notebook löschen. Dann sollte auch ein Zurücksetzen des Paßwortes des Kontos nichts bringen.

Tschau,

Sigma

Hi,

o.k es geht um 2000. Die Unterschiede würden mich auch einmal interessieren. Wie auch Sigma dachte ich bis jetzt, dass die Rücksetzung die gleiche Wirkung hat?! Aber wieder dazu gelernt! :)

Sigma

O.k. in dem Bereich lässt sich das bewerkstelligen, wenn es in einem kleinen Userkreis bleibt. :)

Edit :)

Ja das geht mit dem stick. Einfach den Schlüssel auf den stick exportieren, aber um die daten zu öffnen musst du ihn importieren(kenne aber die 2000 die Unterschiede nicht genau)

Ist es möglich, den privaten Schlüssel eines Kontos auf einem USB-Stick zu speichern, so daß zum Zugriff auf verschlüsselte Dateien der Stick angeschlossen sein muß?

Nein das geht nicht. Der private Schlüssel muss sich beim Entschlüsselnim geschützten Zertifikatsspeicher befinden. Man kann ihn auf einen externen Datenträger exportieren und von der Platte löschen lassen, aber bei Gebrauch muss er erst wieder importiert werden.

grizzly999

Hi,

das das manuelle Ex-/Importieren funktioniert, ist klar, eine automatische Lösung wäre aber viel komfortabler. Schließlich müßte ich nur den Stick abziehen und alles wäre "sicher".

Edit: Ok, dann hat sich das erledigt. Ich denke mal, ich werde aber mit der manuellen Methode leben können.

Tschau,

Sigma