Jump to content

EFS - Zugriff mehrerer Nutzer erlauben

Sigma

Von Sigma
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Sigma

Sigma   10

Geschrieben
Geschrieben

Hallo,

 

ich habe eine W2k-WS in einer NT4-Domäne.

Mit meinem Domänenkonto (LUA) habe ich einige meiner Verzeichnisse verschlüsselt. Auf der WS habe ich jedoch noch einen lokalen Account (Admin-Grp), dem ich den Zugriff auf die verschlüsselten Daten ebenfalls erlauben möchte.

 

Mit der Beschreibung, die ich bei MS gefunden habe, funktionert es leider nicht, da mir dazu schlichtweg der passende Dialog (Advanced Attributes) fehlt.

 

Wie kann ich trotzdem den Zugriff auf die verschlüsselten Daten erlauben?

 

In der Beziehung auch gleich noch was anderes: Ist es richtig, daß ich den privaten Schlüssel des Verschlüsselers für den Fall der Fälle sichern sollte, da der lokale Admin aufgrund der NT4-Domäne kein Wiederherstellungsagent ist? Den Gedanken dazu habe ich von hier.

 

Tschau,

 

Sigma

Link zu diesem Kommentar
Candy Rising Star

Candy   27

Geschrieben
Geschrieben

Hi,

 

EFS würde ich persönlich mit Vorsicht genießen. Es passiert sehr schnell das du die Daten nicht mehr öffnen kannst.

Es gibt ja immer zwei Schlüssel, eines des Nutzers/ Erstellers und ein für den Wiederherstellungsagenten.

Für den Agenten sollst du den Schlüssel sichern(für den Admin). Der vom Nutzer muss ja drauf bleiben, sonst kann er selber nicht Zugreifen.

Das heisst, wenn man von einem Laptop die Daten schützen will, dass im Falle eines Diebstahls die Daten nicht lesbar sind, müsste man jedes Mal die Schlüssel importieren/ exportieren(umständlich).

In einer gemschten Umgebung, wie bei dir beschrieben würde ich es mit Vorsicht genießen. Aber in der Beziehung habe ich keine Erfahrung mit EFS.

 

Sollte einmal ein Problem auftreten und die Daten müssen via Backup zurückgespielt werden, sind die EFS Daten futsch.

Und ich empfehle keine Systemdatein zu verschlüsseln. Ich habe das einmal testtechnisch probiert und danach ging garnichts mehr.

 

EFS ist eine feine Idee, aber absolut nicht ausgereift(meine Meinung.) :)

Link zu diesem Kommentar
Sigma

Sigma   10

Geschrieben
  • Autor
Geschrieben

Hi,

 

wahrscheinlich hätte ich auf mehr Beiträge mit dne diversen Diskussionen verlinken sollen, damit deutlich wird, das hier im Forum noch keine Lösung steht, mein Fehler. :o

 

Mein Problem ist, daß mir die Schaltfläche Details fehlt, welche zum Hinzufügen der zusätzlichen Nutzer dient. Diese sollte sich eigentlich direkt neben dem Feld "Inhalt verschlüsseln, um Daten zu schützen" befinden.

 

Ich werde morgen mal den privaten Schlüssel meines Domänennnutzers exportieren und versuchen, den in meinen lokalen Account zu integrieren.

 

Und außerdem: Editier nicht Deinen Text, wenn ich ne Antwort schreibe. ;) :)

 

Tschau,

 

Sigma

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Nun, dass die Option fehlt, liegt schlichtweg daran, dass man bei genauerer Betrachtung des Artikels feststellt, das gilt für XP (und 2003), man könnte auch sagen für NTFS V5.1, welches erst ab 2000 implementiert ist.

 

In der lokalen GPO des W2k sollte aber der lokale Admin Wiederherstellungsagent sein, dann kann dieser dieser auch die Datei öffnen.

 

grizzly999

Link zu diesem Kommentar
Sigma

Sigma   10

Geschrieben
  • Autor
Geschrieben

Hi,

 

Das heisst, wenn man von einem Laptop die Daten schützen will, dass im Falle eines Diebstahls die Daten nicht lesbar sind, müsste man jedes Mal die Schlüssel importieren/ exportieren(umständlich).

 

Das ist so nicht richtig, denn zur Nutzung des privaten Schlüssels ist Zugriff auf mein Nutzerkonto notwendig. Bei Änderungen des Paßwort, z.B. Rücksetzen durch Admin, wird aber der private Schlüssel verändert und der Zugriff auf die Daten ist weiterhin nicht möglich.

 

Sollte einmal ein Problem auftreten und die Daten müssen via Backup zurückgespielt werden, sind die EFS Daten futsch.

 

NTBackup beherrscht auch das Rücksichern der Verschlüsselung. Zu beachten ist dabei nur, daß man bei jedem Paßwortwechsel des Nutzers auch gleich den neuen Schlüssel sichert.

 

BTW: Das mit den Systemdateien habe ich gar nicht erst probiert, weil durch die Anzahl der Zugriffe das System wohl extrem langsam werden dürfte. Außerdem hätte ja dann nur ein Nutzer Zugriff.

 

@grizzly

 

Hm, jetzt wo Du es sagst und ich mal auf "Welcome" geklickt habe, wird's ziemlich deutlich . :o

Heißt das jetzt, daß dies unter W2K nur über den Tausch der Schlüssel möglich ist?

 

Die Entschlüsselung mit dem lokalen Administrator habe ich testweise auch einmal probiert. Das hat aber nicht funktioniert (Zugriffsfehler).

Bin mir aber grad gar nicht sicher, ob ich der Admin-Grp Zugriffsrechte gegeben hatte oder ob es nur mein o.g. lokales Konto war, werde ich aber morgen, wenn ich wieder am AP bin, prüfen.

 

Tschau,

 

Sigma

Link zu diesem Kommentar
Candy Rising Star

Candy   27

Geschrieben
Geschrieben

Hi,

 

ersteinmal sry fürs Editieren. :D

Mit der Rücksetzung des PWs hast du Recht. Denn an die Daten kommt keiner mehr herran wenn sie nicht vorher entschlüsselt wurden. Was aus meiner Sicht auch sehr unkomfortabel ist für einen Systemadministrator. Aber das ist Ansichtssache. :)

Mir persönlich ging es um den gestohlenen Laptop. Denn PWs kann man "bekanntlich" auch auslesen. Mit dem User PW kommt man an die verschlüsselten Daten, wenn der Schlüssel nicht exportiert worden ist. So meinte ich das.

 

Auch mit dem backup ist es umständlicherweise möglich. Aber wieviele Schlüssel will man als Admin denn aufbewahren, wenn des öffteren Daten von Usern verschlüsselt wurden?

Theoretisch muss man alle verschlüsselten Daten entschlüsseln, System sichern und verschlüsseln.

 

Denn nach meiner Meinung bringt der neue Schlüssel nach dem PW Wechsel nichts für die davor verschlüsselten Daten!

Sollte ich damit Unrecht haben, lasse ich mich gerne eines besseren belehren. :)

Link zu diesem Kommentar
Sigma

Sigma   10

Geschrieben
  • Autor
Geschrieben

Hi,

 

EFS ist weniger zum Datenschutz geeignet, wenn der private Schlüssel des Nutzers oder der des Admins, vorausgesetzt dieser ist WHA, auf dem Rechner verbleiben. Ich denke, hier sind wir uns einig. :)

 

Für dieses Szenario möchte ich ihn aber nicht absichern. Mein Ziel ist es, da mehrere Mitarbeiter Zugriff auf den Rechner haben, die Daten vor Einsicht zu schützen. Die "kriminelle" Energie (inkl. Wissen) dürften bei den NTFS-Zugriffsrechten enden. Deshalb möchte ich auch EFS verwenden, weil es bereits im BS integriert ist (und nix kostet).

 

Der Admin muß nur jeweils nur den Schlüssel des WHA sichern. Das kann nicht so schlimm sein. Wie das Problem exakt bei einer Rücksicherung aussieht, habe ich mir noch nicht überlegt.

 

Tschau,

 

Sigma

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

@candy:

Mit der Rücksetzung des PWs hast du Recht. Denn an die Daten kommt keiner mehr herran wenn sie nicht vorher entschlüsselt wurden

Ist in diesem Fall falsch, das betrifft nur XP und höher. Und bei XP gibt es dafür einen Wiederherstellungsagenten, bzw. bei alleinstehndem Rechner die Möglichkeiten einer Rücksetzdiskette.

Hier handelt es sich aber um Windows 2000.

 

@sigma:

EFS ist weniger zum Datenschutz geeignet, wenn der private Schlüssel des Nutzers oder der des Admins, vorausgesetzt dieser ist WHA, auf dem Rechner verbleiben. Ich denke, hier sind wir uns einig

Da bin ich nur mit dir einig, wenn es um 2000 geht. XP hat diese "Schwäche nicht", denn da hat candy wieder recht, wenn man das Kennwort zurücksetzt (als Admin oder mit einer entsprechenden Boot-CD ;) ), dann ist der Masterkey, mit dem der private key verschlüsselt wurde dahin. Kennwort cracken heißt dann die Devise, und da sind wir wieder bei Grundthema der Sicherheit: sichere, komplexe Kennwörter .... :wink2:

 

grizzly999

Link zu diesem Kommentar
Sigma

Sigma   10

Geschrieben
  • Autor
Geschrieben

XP hat diese "Schwäche nicht", denn da hat candy wieder recht, wenn man das Kennwort zurücksetzt (als Admin oder mit einer entsprechenden Boot-CD ;) ), dann ist der Masterkey, mit dem der private key verschlüsselt wurde dahin.

 

Ich bin bis jetzt davon ausgegangen, daß dies auch bei 2000 zutrifft. :shock:

Das bedeutet folglich, daß ich bei 2000 das Paßwort des Nutzers zurücksetzen kann und sich keine Auswirkungen auf den privaten Schlüssel ergeben?

 

Tschau,

 

Sigma

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben
Ich bin bis jetzt davon ausgegangen, daß dies auch bei 2000 zutrifft. :shock:

Das bedeutet folglich, daß ich bei 2000 das Paßwort des Nutzers zurücksetzen kann und sich keine Auswirkungen auf den privaten Schlüssel ergeben?

 

Tschau,

 

Sigma

Korrekt. Das war einer der Kritikpunkte an EFS bei W2k, was Microsoft eben bei XP behoben hat. Das ist auch das, was manche in ihrer Ahnungslosigkeit meinen, nachdem sie es irgendwo manl gelesen haben, wenn sie immer pauschal behaupten, EFS bei Windows sei generell unsicher, blabla usw. Ich meine jetzt nicht dich, sondern ich habe solche Pauschal-Sätze hier im Board in Diskussionen schon gelesen. Aber ich sage mir, Herr vergib ihnen, denn sie wissen nicht .......... :D

 

grizzly999

Link zu diesem Kommentar
Sigma

Sigma   10

Geschrieben
  • Autor
Geschrieben

Ok, danke Euch beiden für die Antworten. :)

 

Eine Frage habe ich abschließend noch:

 

Ist es möglich, den privaten Schlüssel eines Kontos auf einem USB-Stick zu speichern, so daß zum Zugriff auf verschlüsselte Dateien der Stick angeschlossen sein muß?

 

Wenn das nicht funktioniert, muß ich eben jedesmal vor Abgabe meines Notebooks den privaten Schlüssel exportieren und vom Notebook löschen. Dann sollte auch ein Zurücksetzen des Paßwortes des Kontos nichts bringen.

 

Tschau,

 

Sigma

Link zu diesem Kommentar
Candy Rising Star

Candy   27

Geschrieben
Geschrieben

Hi,

 

o.k es geht um 2000. Die Unterschiede würden mich auch einmal interessieren. Wie auch Sigma dachte ich bis jetzt, dass die Rücksetzung die gleiche Wirkung hat?! :confused: Aber wieder dazu gelernt! :)

 

Sigma

O.k. in dem Bereich lässt sich das bewerkstelligen, wenn es in einem kleinen Userkreis bleibt. :)

 

Edit :)

 

Ja das geht mit dem stick. Einfach den Schlüssel auf den stick exportieren, aber um die daten zu öffnen musst du ihn importieren(kenne aber die 2000 die Unterschiede nicht genau)

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben
Ist es möglich, den privaten Schlüssel eines Kontos auf einem USB-Stick zu speichern, so daß zum Zugriff auf verschlüsselte Dateien der Stick angeschlossen sein muß?

Nein das geht nicht. Der private Schlüssel muss sich beim Entschlüsselnim geschützten Zertifikatsspeicher befinden. Man kann ihn auf einen externen Datenträger exportieren und von der Platte löschen lassen, aber bei Gebrauch muss er erst wieder importiert werden.

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...