Jump to content

EFS Verschlüssselung in Domäne Zertifikathandling


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich melde mich da wir im Moment versuchen die EFS-Verschlüsselung in unserer Domäne bereitzustellen. Jetzt sind einige Fragen aufgekommen, weil es uns doch so nicht ganz richtig vorkommen.

 

Die EFS-Verschlüsselung ist soweit via GPO eingerichtet und ein Wiederherstellungsagent wurde auch erstellt.

 

Wenn wir nun Dateien lokal verschlüsseln wird automatisiert ein Zertifikat hierfür erstellt und im AD abgelegt.

 

verschlüsseln wir nun Dateien auf Netzwerkfreigaben wird für jeden neuen Computer, auf dem die Freigabe erstllt wurde, ein neues Zertifikat erstellt.

 

Somit wären wir bei dem Punkt das jeder Benutzer in der Domäne bald eine Hand voll Zertifikate besitzt und im Falle ein nachträäglich Zertifikatszuordnung wird es nur schwer erkennbar welches Zertifikat nun für welches verschlüsselten Dateien verwendet wurde.

 

Ist das wirklich richtig so?

 

Kann man dies nicht besser handeln?

 

 

 

 

MfG

Philipp

Link zu diesem Kommentar

Hi Philipp,

 

warum möchtest Du EFS nutzen? Meiner Erfahrung nach wird EFS nur sehr eingeschränklt genutzt, ggf. gibt es andere / bessere Lösungen je nach Anwendungszweck. Was ist der Hintergrund der Anforderung?

 

Zu Deiner Frage: Vermutlich melden sich die Benutzer an unterschiedlichen Arbeitsstationen an? Wenn dem so ist und es keine Ordnerumleitung bzw. Roaming Profiles gibt (und kein Credential Roaming eingesetzt wird), fordert der Benutzer auf jeder Maschine / jedem neuen Profil ein neues Zertifikat an. Denn die Zertifikate liegen im Benutzerprofil (AppData).

 

In der Konstellation wäre es also sinnvoll, eine der 3 Optionen zu nutzen (Ordnerumleitung, Roaming Profiles oder Credential Roaming). Alle 3 Optionen erfordern jedoch einigen Planungsaufwand, weshalb das nicht "mal eben" aktiviert werden sollte.

 

Ihr könnt auch das Autoenrollment für EFS Zertifikate (bzw. das jeweilige Template) auf Eurer CA deaktivieren. Jedoch ist das auch nicht zielführend, da es nur die Sympthome behebt, nicht jedoch die Ursache.

 

[EDIT] Zu Deinem Nachtrag: Das ist normal - EFS erzeugt auf dem Dateiserver automatisch ein Zertifikat für den Benutzer und verschlüsselt damit die Daten auf dem Server. DIes ist jedoch transparent für den Benutzer und "by design". [/EDIT]

 

Viele Grüße

olc

Link zu diesem Kommentar

Wir wollen EFS ausprobieren/einführen, weil das Anliegen von der Geschäftsführung kam und gewünscht ist. Hierzu wollen wir auch keine zusätzliche Applikationen verwenden, da dies ja soquasi ein Bordmittel ist.

 

Ordnerumleitung verwenden wir , jedoch kann ich dir leider nicht folgen wie hier der zusammenhang ist?

 

Das Problem ist ja evtl. nicht nur lokale Dateien verschlüsselt werden, sondern auch welche die auf einem Server liegen. Nur ist uns aufgefallen das für jeden Server ein neues Zertifikat für die Benutzer erstellt wird und diese auch nicht im AD abgelegt werden sondern nur im Zertifikatspeicher des Servers.

Link zu diesem Kommentar

Hi,

 

Wir wollen EFS ausprobieren/einführen, weil das Anliegen von der Geschäftsführung kam und gewünscht ist.

 

Das ist keine Antwort auf die Frage. ;)

 

Ordnerumleitung verwenden wir , jedoch kann ich dir leider nicht folgen wie hier der zusammenhang ist?

 

Die "lokalen" Zertifikate liegen im AppData Verzeichnis. Aber das Thema hat sich aufgrund Deines Nachsatzes, der erst nachträglich eingefügt wurde, erledigt. :)

 

Das Problem ist ja evtl. nicht nur lokale Dateien verschlüsselt werden, sondern auch welche die auf einem Server liegen. Nur ist uns aufgefallen das für jeden Server ein neues Zertifikat für die Benutzer erstellt wird und diese auch nicht im AD abgelegt werden sondern nur im Zertifikatspeicher des Servers.

 

Das ist wie angesprochen "by design" und kein Problem. Wenn es Dir also nur darum geht, daß auf den Servern pro Benutzer eigene Zertifikate erzeugt werden, dann brauchst Du an dieser Stelle nicht weitersuchen. Das ist normal.

 

Siehe dazu auch:

Delegated Server Mode

 

Windows 2000, Windows XP and Windows Server 2003 permit a user to remotely encrypt files on a server if the server has an NTFS partition and the server is trusted for delegation in the Active Directory. The user account must not be marked as "sensitive and cannot be delegated" in the Active Directory.

 

Remote encryption requires that a user's certificate and private key be loaded in a local profile on the server for encryption and decryption operations. The server obtains access to the profile through Kerberos delegation. Remotely encrypted files will only be encrypted using the private keys stored in this profile. If a roaming profile is available, it will be copied locally.

 

Note A user will have a profile and private keys stored on the server even if the user has never logged on interactively to the server.

 

Welches Anliegen hat denn die GF genau ?

 

ACK. ;)

 

Viele Grüße

olc

Link zu diesem Kommentar

Vielen Dank für die schnelle Antwort!

 

Die GF ist auf diese Möglichkeit im System gestoßen und hat sich erkundigt, wieso es nicht verwendet werden kann ;). Somit haben wir uns damit auseinander gesetzt.

 

Gibt es eine Möglichkeit dafür zu sorgen, dass auch beim verschlüsseln von Dateien im Netzwerk (Freigaben) die erzeugten Zertifikate im AD abgelegt werden? Beim Verschlüsseln lokaler Dateien ist dies ja der Fall, aber wenn es bei Netzwerkspeicherorten nicht der Fall ist sehe ich schwarz für die Wiederherstellung im Falle eines Ausfalls/Austausches der Server auf dem verschlüsselte Dateien liegen.

Link zu diesem Kommentar

Hi,

 

nein, das ist nicht möglich und auch nicht sinnvoll. In den EFS Infos steht, welcher Benutzer entschlüsseln kann. Daher sollte das auch kein Problem werden.

 

Außerdem hast Du einen Data Recovery Agent, daher ist "irrelevant", wer die Datei verschlüsselt hat. Du kannst sie immer mit dem DRA entschlüsseln. Dafür ist er da. ;)

 

Zum Thema "Feature entdeckt, darum soll es genutzt werden": Das ist aus meiner Sicht kein Anforderungsprofil. ;) Insbesondere, da es sinnvollere / besere Produkte gibt als EFS. Zuallererst sollte also einmal geklärt werden, wovor sich Deine GF da eigentlich schützen möchte, warum sie sich schützen wollen und ob der eingeschlagene Weg ein sinnvoller Weg ist. :)

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...