Cromm 10 Geschrieben 11. Januar 2010 Melden Teilen Geschrieben 11. Januar 2010 Hallo zusammen ich hoffe ihr könnt mir helfen. Folgendes Problem: Wir setzen bei uns in der Firma EFS verschlüsselung ein und bereiten gerade einen Rollout vor. Nun möchten wir gerne die EFS Daten RAW kopieren um die Ordner nicht entschlüsseln zu müssen(Faktor Zeit) das habe ich auch soweit schon Scripten können und es funktioniert auch soweit. Nun habe ich aber das Problem, das der User beim rechnerwechsel automatisch ein neues EFS Zertifikat erhält. Dies ist aus Sicherheitstechnischen gründen so gewünscht. Mein Problem dabei ist aber das ich das Zertifkat nun aber nicht vom alten Klient exportieren kann und dann auf dem neuen Rechner auf die EFS Daten zugreifen kann. Nun bräuchte ich ein paar Tips wie ich am Besten mit zu migrirenden EFS Daten umgehen soll bzw. wie ich mit einer Zentralen Zertifikatsverwaltung die alten und neuen EFS Zertifkate ggf. miteinander verbiden kann... Bin noch neu was ZertifkateServer mit EFS Verschlüsselung angeht wenn ihr mehr infos braucht, einfach fragen.... Danke Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 11. Januar 2010 Melden Teilen Geschrieben 11. Januar 2010 Moin, ihr setzt EFS ohne einen zentralen Recovery Agent ein? Oder wie? (Das wäre natürlich ausgesprochen mutig.) Bitte beschreibe die EFS-Infrastruktur genauer. Gruß, Nils Zitieren Link zu diesem Kommentar
andreaskossatz 10 Geschrieben 11. Januar 2010 Melden Teilen Geschrieben 11. Januar 2010 Ich habe mich noch zu wenig mit dem EFS befasst. Allerdings müsste das EFS Zertifikat ja schon auf Grund der Sicherheit an die entsprechende lokale Umgebung gebunden sein, für die es erstellt worden ist. Du kannst Dir das Leben aber auch einfacher machen, in dem Du das EFS über GPO konfigurierst und die zertifikate automatisch verteilen und erneuern lässt. Dann funktioniert das System doch schon um einiges stressfreier und du sparst viel Zeit. Wie Nilsk schon sagte, wichtig ist auch das einrichten des besagten Recovery Agents für das EFS denn OHNE den kannst Du keine EFS verschlüsselten Daten wiederherstellen wenn Du z.B. bei einem ausgeschiedenen User, dessen Login Du nicht hast, dessen Daten wieder herstellen wolltest. Wie genau das einrichten geht und was Du beachten musst findest Du aber auch unter Encrypting File System Technical Reference: Security Policy; Public Key; Security Services Da ist auch beschrieben, welche GPO Schlüssel Du konfigurieren musst. Weitere Infos zu den GPO findest Du dann unter Gruppenrichtlinien - Übersicht, FAQ und Tutorials grüsse andreas Zitieren Link zu diesem Kommentar
chiefus 10 Geschrieben 11. Januar 2010 Melden Teilen Geschrieben 11. Januar 2010 Des Weiteren kann man die privaten Schlüssel der Benutzer verschlüsselt im Active Directory speichern! Gruß chiefus Zitieren Link zu diesem Kommentar
Ivo 10 Geschrieben 11. Januar 2010 Melden Teilen Geschrieben 11. Januar 2010 Wie Nilsk schon sagte, wichtig ist auch das einrichten des besagten Recovery Agents für das EFS denn OHNE den kannst Du keine EFS verschlüsselten Daten wiederherstellen wenn Du z.B. bei einem ausgeschiedenen User, dessen Login Du nicht hast, dessen Daten wieder herstellen wolltest. Es gibt eine recht einfache Moeglichkeit EFS auszuhebeln und die Daten im Klartext zu haben. Nur sehe ich wieder gerade den "Beitrag geschlossen, wir danken fuer Dein Verstaendniss Hammer" ueber mir schweben.... Zitieren Link zu diesem Kommentar
Cromm 10 Geschrieben 12. Januar 2010 Autor Melden Teilen Geschrieben 12. Januar 2010 Doch wir haben natürlich einen Recovery Agent. Wir wollen den ganzen Prozess Automatisieren ohne das große eingriffe des Admins nötig sind mit Zertifikat export import entschlüsseln neu verschlüsseln der Daten. Deswegen dachte ich, das es einfacher ist irgendwie das Zertifkat des Users zu übernehemn oder zu erneuern so das er mit dem neuen Zertifikat auch die alten Daten nutzen kann. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 12. Januar 2010 Melden Teilen Geschrieben 12. Januar 2010 Hi, wo liegen denn die verschlüsselten Benutzerdaten? Auf einem Server oder lokal auf den Clients? Wie Nils schon sagte: Beschreibe Deine Umgebung etwas genauer, dann kann man vielleicht helfen. Viele Grüße olc Zitieren Link zu diesem Kommentar
Cromm 10 Geschrieben 13. Januar 2010 Autor Melden Teilen Geschrieben 13. Januar 2010 Hallo die EFS Daten liegen auf den Client Systemen nicht im Netzwerk. Was genau braucht ihr denn für Infos? Alles zu beschreiben würde sicher hier den Rahmen sprengen... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.