(0) exportieren Drucken
Alle erweitern
2 von 3 fanden dies hilfreich - Dieses Thema bewerten.

Verschlüsselndes Dateisystem

Letzte Aktualisierung: Mai 2008

Betrifft: Windows Server 2008

Das verschlüsselnde Dateisystem (Encrypting File System, EFS) ist ein leistungsstarkes Tool zum Verschlüsseln von Dateien und Ordnern auf Clientcomputern und Remotedateiservern. Es ermöglicht Benutzern das Schützen von Daten vor nicht autorisiertem Zugriff durch andere Benutzer oder externe Angreifer.

Wozu dient EFS?

EFS ist hilfreich für die Datei- und Ordnerverschlüsselung auf Benutzerebene. EFS wurde im Betriebssystem Microsoft® Windows® 2000 eingeführt und in den nachfolgenden Versionen des Betriebssystems erweitert.

Für wen ist dieses Feature von Interesse?

EFS könnte für folgende Personenkreise von Interesse sein:

  • Administratoren, IT-Sicherheits-Professionals und Compliance Officers, die sicherstellen müssen, dass vertrauliche Daten nicht ohne Autorisierung offengelegt werden

  • Administratoren, die für tragbare Server oder Windows Vista®-Clientcomputer zuständig sind

  • Benutzer, die Computer gemeinsam nutzen und mit vertraulichen Informationen arbeiten

Gibt es spezielle Überlegungen?

Vor dem Implementieren von EFS sollten Administratoren die Wiederherstellung der Informationen bei Verlusten von Schlüsseln oder Zertifikaten planen. EFS unterstützt einen robusten Wiederherstellungsmechanismus, der drei wichtige Änderungen in dieser Version von Windows umfasst:

  • Änderungen beim Schlüsselwiederherstellungs-Agent (Key Recovery Agent, KRA)

  • Der Datenwiederherstellungs-Agent (Data Recovery Agent, DRA) kann sich jetzt auf einer Smartcard befinden. Dadurch wird keine Offlinewiederherstellungsstation mehr benötigt, und die Wiederherstellung kann remote ausgeführt werden.

Diese ersten beiden Elemente stellen wichtige Änderungen für den Administrator dar.

  • Das Tool Ntbackup ist nicht mehr im Betriebssystem enthalten. Stattdessen wurde in Windows Server® 2008 das Dienstprogramm Robocopy hinzugefügt, mit dem EFS-verschlüsselte Dateien ohne Entschlüsselungsschlüssel kopiert werden können. (Die auf diese Weise erstellen Kopien bleiben verschlüsselt.) Das Modul der Windows-Sicherung unterstützt die Sicherung von EFS-Dateien in Windows Server 2008.

Alle diese Änderungen können sich erheblich auf den Bereitstellungsplan für EFS auswirken.

Welche neue Funktionalität wird mit diesem Feature bereitgestellt?

In Windows Server® 2008 werden verschiedene wichtige Erweiterungen für EFS bereitgestellt. Dazu gehören die Möglichkeit, Verschlüsselungszertifikate auf Smartcards zu speichern, Verschlüsselung von Dateien auf Benutzerbasis im clientseitigen Cache, zusätzliche Gruppenrichtlinienoptionen und ein neuer Assistent für die erneute Schlüsselerstellung.

Schlüsselspeicherung auf Smartcards

EFS-Verschlüsselungsschlüssel und -Zertifikate können auf Smartcards gespeichert werden, mit denen ein stärkerer Schutz für die Verschlüsselungsschlüssel bereitgestellt wird. Dies kann besonders nützlich sein, wenn tragbare Computer oder gemeinsam genutzte Arbeitsstationen geschützt werden sollen. Die Verwendung von Smartcards zum Speichern von Verschlüsselungsschlüsseln eignet sich möglicherweise auch zum Verbessern der Schlüsselverwaltung in großen Unternehmen.

Wieso ist diese Funktionalität wichtig?

Durch die Verwendung einer Smartcard zum Speichern der EFS-Schlüssel werden diese Schlüssel von der Festplatte des Computers ferngehalten. Dadurch wird die Sicherheit der Schlüssel erhöht, da sie nicht von anderen Benutzern oder einer Personen, die Computer stehlen, angegriffen werden können.

Inwiefern unterscheidet sich die Funktionsweise?

In Windows Server 2008 und Windows Vista unterstützt EFS die Speicherung der privaten Schlüssel von Benutzern auf Smartcards.

Schlüsselzwischenspeicherung

Sie können EFS mithilfe von Gruppenrichtlinieneinstellungen so konfigurieren, dass private Schlüssel auf Smartcards im nicht zwischengespeicherten oder im zwischengespeicherten Modus gespeichert werden.

  • Nicht zwischengespeicherter Modus. Ähnlich wie bei der herkömmlichen Funktionsweise von EFS werden alle Entschlüsselungsvorgänge, für die der private Schlüssel des Benutzers erforderlich ist, auf der Smartcard ausgeführt.

  • Zwischengespeicherter Modus. Ein symmetrischer Schlüssel wird vom privaten Schlüssel des Benutzers abgeleitet und im geschützten Speicher zwischengespeichert. Verschlüsselungs- und Entschlüsselungsvorgänge, an denen der Schlüssel des Benutzers beteiligt ist, werden dann mithilfe dieses abgeleiteten Schlüssels durch die entsprechenden symmetrischen kryptografischen Vorgänge ersetzt. Daher muss die Smartcard nicht mehr ständig eingesteckt sein, bzw. es ist nicht mehr notwendig, für jede Entschlüsselung den Smartcard-Prozessor zu verwenden. Dadurch ergibt sich eine deutliche Leistungssteigerung.

Mit EFS werden außerdem Richtlinien zum Erzwingen der Verwendung einer Smartcard und zum Steuern der Parameter und des Zwischenspeicherungsverhaltens der Schlüssel der Benutzer bereitgestellt.

Einmaliges Anmelden mit Smartcards

Einmaliges Anmelden (Single Sign-On, SSO) mit Smartcards wird ausgelöst, wenn sich Benutzer mit einer Smartcard anmelden und eine der folgenden Bedingungen zutrifft:

  • Die Benutzer verfügen nicht über einen gültigen EFS-Verschlüsselungsschlüssel auf dem Computer, und Smartcards sind aufgrund der Richtlinieneinstellungen für EFS erforderlich.

  • Die Benutzer verfügen über einen gültigen EFS-Verschlüsselungsschlüssel, der sich auf der für die Anmeldung verwendeten Smartcard befindet.

Wenn einmaliges Anmelden ausgelöst wird, wird die vom Benutzer bei der Anmeldung eingegebene PIN von EFS zwischengespeichert und auch für EFS-Vorgänge verwendet. Dem Benutzer werden daher während der Sitzung keine PIN-Eingabeaufforderungen angezeigt.

Wenn die für die Anmeldung verwendete Smartcard aus dem Smartcard-Leser entfernt wird, bevor ein Verschlüsselungsvorgang ausgeführt wurde, wird einmaliges Anmelden deaktiviert. Der Benutzer wird beim ersten EFS-Vorgang aufgefordert, eine Smartcard einzulegen und eine PIN einzugeben.

Wie sollte diese Änderung vorbereitet werden?

Zum Vorbereiten der Verwendung von Smartcards zum Speichern von EFS-Zertifikaten sollten Sie die vorhandene PKI-Implementierung (Public Key-Infrastruktur) überprüfen und EFS-Zertifikate in der PKI einplanen. Wenn in der Organisation keine PKI vorhanden ist, können Sie Smartcards nicht zum Speichern von EFS-Zertifikaten verwenden.

Verschlüsselung von Offlinedateien auf Benutzerbasis

Offlinekopien von Dateien von Remoteservern können ebenfalls mit EFS verschlüsselt werden. Wenn diese Option aktiviert ist, wird jede Datei im Offlinecache mit einem öffentlichen Schlüssel des Benutzers, der die Datei zwischengespeichert hat, verschlüsselt. Daher hat nur dieser Benutzer Zugriff auf die Datei, und selbst lokale Administratoren können die Datei ohne Zugriff auf die privaten Schlüssel des Benutzers nicht lesen.

ImportantWichtig
Wenn mehrere Benutzer einen Computer gemeinsam nutzen und mehrere Benutzer versuchen, eine verschlüsselte zwischengespeicherte Kopie einer bestimmten Datei zu verwenden, kann nur der Benutzer, der die Datei zuerst zwischengespeichert hat, auf die Offlinekopie der Datei zugreifen.

Wieso ist diese Funktionalität wichtig?

Durch Hinzufügen der Verschlüsselung auf Benutzerbasis wird die Sicherheit erhöht. Vorher konnte theoretisch jeder Benutzer des Computers Zugriff auf jede Datei im Offlinecache erhalten.

Inwiefern unterscheidet sich die Funktionsweise?

In der Vergangenheit wurden für die Verschlüsselung Systemschlüssel verwendet, sodass Benutzer die Offlinedateien anderer Benutzer lesen konnten. Diese Situation besteht nicht mehr, da die Verschlüsselung mit dem eigenen öffentlichen Schlüssel jedes Benutzers ausgeführt wird.

Wie sollte diese Änderung vorbereitet werden?

Machen Sie sich mit den neuen EFS-Einstellungen vertraut, und wählen Sie die Optionen aus, die den spezifischen Sicherheitsanforderungen Ihres Unternehmens entsprechen.

Erhöhte Konfigurierbarkeit von EFS über Gruppenrichtlinien

EFS-Schutzrichtlinien können für das gesamte Unternehmen zentral mithilfe von Gruppenrichtlinien gesteuert und konfiguriert werden.

Es wurde eine Reihe neuer Gruppenrichtlinienoptionen hinzugefügt, mit denen Administratoren Organisationsrichtlinien für EFS definieren und implementieren können. Dazu gehört die Möglichkeit, Smartcards für EFS erforderlich zu machen, die Verschlüsselung von Auslagerungsdateien zu erzwingen, Mindestschlüssellängen für EFS vorzuschreiben, die Verschlüsselung des Ordners Dokumente des Benutzers zu erzwingen und selbstsignierte Zertifikate nicht zuzulassen.

Wieso ist diese Funktionalität wichtig?

Die erhöhte Konfigurierbarkeit verbessert die Effizienz von Administratoren, da sie EFS-Richtlinien unternehmensweit konfigurieren und steuern können.

Inwiefern unterscheidet sich die Funktionsweise?

Die Effektivität von Gruppenrichtlinien wird durch zusätzliche Einstellungen verbessert. Weitere Informationen hierzu finden Sie unter Welche Einstellungen wurden hinzugefügt oder geändert? weiter unten in diesem Thema.

Wie sollte diese Änderung vorbereitet werden?

Machen Sie sich mit den neuen EFS-Einstellungen in den Gruppenrichtlinien vertraut, und wählen Sie die Optionen aus, die den spezifischen Sicherheitsanforderungen Ihres Unternehmens entsprechen.

Assistent für die erneute Schlüsselerstellung für das verschlüsselnde Dateisystem

Der Assistent für die erneute Schlüsselerstellung für das verschlüsselnde Dateisystem ermöglicht dem Benutzer das Auswählen eines Zertifikats für EFS und das Auswählen und Migrieren vorhandener Dateien, für die das neu ausgewählte Zertifikat verwendet werden soll. Er kann auch zum Migrieren von Benutzern in vorhandenen Installationen von Softwarezertifikaten zu Smartcards verwendet werden. Der Assistent kann außerdem von einem Administrator oder von den Benutzern selbst in Wiederherstellungssituationen verwendet werden. Dies ist effizienter als das Entschlüsseln und erneute Verschlüsseln von Dateien.

Wieso ist diese Funktionalität wichtig?

Der Assistent stellt einen optimierten schrittweisen Prozess für das Auswählen von Zertifikaten oder Migrieren von Dateien bereit.

Inwiefern unterscheidet sich die Funktionsweise?

Dateien werden nicht automatisch erneut verschlüsselt, wenn sie geöffnet oder aktualisiert werden. Der Assistent bietet den Benutzern ein hohes Maß an Flexibilität.

Wie sollte diese Änderung vorbereitet werden?

Klicken Sie auf einem Testcomputer auf Start. Geben Sie in das Feld Suche starten die Zeichenfolge rekeywiz ein, und drücken Sie dann die EINGABETASTE. Damit wird der Assistent für die erneute Schlüsselerstellung für das verschlüsselnde Dateisystem gestartet, und Sie können sich mit seiner Funktionsweise vertraut machen.

Welche Einstellungen wurden hinzugefügt oder geändert?

In dieser Version von Windows Server 2008 können zusätzliche EFS-Optionen mit Gruppenrichtlinien verwaltet werden. Die in der folgenden Tabelle aufgelisteten Gruppenrichtlinieneinstellungen stehen in administrativen Vorlagen zur Verfügung.

Die Tabelle enthält für jede Einstellung eine einfache Beschreibung. Weitere Informationen zu einer bestimmten Einstellung finden Sie auf der Registerkarte Erklärung der jeweiligen Einstellung in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console (GPMC).

 

Vorlage und Einstellung Pfad und Beschreibung Standard

GroupPolicy.admxVerarbeitung der Richtlinien für die EFS-Wiederherstellung

Computer-Konfiguration\Administrative Vorlagen\System\Gruppenrichtlinien – Bestimmt, wann Verschlüsselungsrichtlinien aktualisiert werden.

Nicht konfiguriert

EncryptFilesonMove.admxDateien, die in verschlüsselte Ordner verschoben werden, nicht automatisch verschlüsseln

Computer-Konfiguration\Administrative Vorlagen\System\ – Verhindert, dass in einen verschlüsselten Ordner verschobene Dateien von Windows-Explorer verschlüsselt werden.

Nicht konfiguriert

OfflineFiles.admxOfflinedateicache verschlüsseln

Computer-Konfiguration\Administrative Vorlagen\Netzwerk\Offlinedateien\ – Diese Einstellung bestimmt, ob Offlinedateien verschlüsselt werden.

noteHinweis
In Windows XP werden diese Dateien mit dem Systemschlüssel verschlüsselt, in Windows Server 2008 dagegen werden sie mit dem Schlüssel des Benutzers verschlüsselt.

Nicht konfiguriert

Search.admxIndizieren verschlüsselter Dateien zulassen

Computer-Konfiguration\Administrative Vorlagen\Windows-Komponenten\Suchen\ – Diese Einstellung lässt die Indizierung verschlüsselter Elemente durch die Windows-Suche zu.

noteHinweis
Wenn verschlüsselte Dateien indiziert werden und der Index nicht ausreichend durch EFS oder andere Methoden geschützt ist, können Probleme mit der Datensicherheit auftreten.

Nicht konfiguriert

Sie können zum Konfigurieren der folgenden EFS-Optionen auch die Gruppenrichtlinien-Verwaltungskonsole oder den Editor für lokale Gruppenrichtlinien (secpol.msc) verwenden. Zum Anzeigen oder Ändern dieser Optionen erweitern Sie den Knoten Richtlinien öffentlicher Schlüssel, klicken Sie mit der rechten Maustaste auf Verschlüsselndes Dateisystem, und klicken Sie dann auf Eigenschaften.

Auf der Registerkarte Allgemein können Sie allgemeine Optionen und Zertifikatoptionen konfigurieren. Die folgenden allgemeinen Optionen sind verfügbar:

 

Option Hinweise Standard

Dateiverschlüsselung mit EFS (Encrypting File System)

Wenn Sie diese Option auf Nicht zulassen festlegen, kann EFS auf diesem Computer nicht verwendet werden.

Wenn Sie diese Option auf Zulassen oder Nicht definiert festlegen, kann EFS auf diesem Computer verwendet werden.

Nicht definiert

Inhalt des Dokumentenordners des Benutzers verschlüsseln

Wenn diese Option aktiviert ist, wird der Ordner Dokumente aller Benutzer auf diesem Computer automatisch mit EFS verschlüsselt.

Deaktiviert

Für EFS eine Smartcard anfordern

Wenn diese Option aktiviert ist, können Softwarezertifikate für EFS nicht verwendet werden.

Deaktiviert

Zwischenspeicherfähigen Benutzerschlüssel von Smartcard erstellen

Wenn diese Option aktiviert ist, wird gemäß der Beschreibung weiter oben in diesem Thema eine zwischengespeicherte Version der erforderlichen Schlüssel erstellt, wenn zum ersten Mal während einer Benutzersitzung eine Smartcard für EFS erforderlich ist.

Wenn diese Option deaktiviert ist , muss immer eine Smartcard eingelegt werden, wenn eine mit einem Zertifikat auf der Smartcard geschützte Datei verschlüsselt oder entschlüsselt wird.

Aktiviert

Verschlüsselung der Auslagerungsdatei aktivieren

Wenn diese Option aktiviert ist, wird die Windows-Speicherauslagerungsdatei mit EFS verschlüsselt.

Deaktiviert

Schlüsselsicherungsbenachrichtigungen anzeigen, wenn der Benutzerschlüssel erstellt oder geändert wird

Wenn diese Option aktiviert ist, werden Benutzer zum Sichern ihrer EFS-Schlüssel für die Wiederherstellung aufgefordert, wenn ein neuer Schlüssel erstellt wird oder ein Schlüssel geändert wird.

Mit Beitritt zu Domäne: Deaktiviert

Arbeitsgruppe oder eigenständig: Aktiviert

Im Zertifikatabschnitt sind die folgenden Optionen verfügbar:

 

Option Hinweise Standard

Bei nicht verfügbarer Zertifizierungsstelle EFS gestatten, selbstsignierte Zertifikate zu erzeugen

Wenn diese Option deaktiviert ist, können Benutzer EFS nur mit Zertifikaten von einer Zertifizierungsstelle verwenden.

Aktiviert

Schlüsselgröße für selbstsignierte Zertifikate

Sie können Schlüssel mit 1024, 2048, 4096, 8192 oder 16384 Bit auswählen. Längere Schlüssel erhöhen die Sicherheit, können jedoch die Leistung beeinträchtigen.

2048

EFS-Vorlage für automatische Zertifikatanforderungen

Dies ist der Name der Zertifikatvorlage, die zum Anfordern eines EFS-Zertifikats von einer Zertifizierungsstelle verwendet wird.

Basis-EFS

noteHinweis
In allen EFS-Vorlagen für Benutzer und Wiederherstellungen in Windows Server 2008 sowie in selbstsignierten EFS-Zertifikaten wird jetzt standardmäßig eine Schlüssellänge von 2048 Bit angegeben.

Auf der Registerkarte Zwischenspeicher können Sie das Verhalten des EFS-Zertifikatcaches anpassen. Weitere Informationen zur Zwischenspeicherung in EFS finden Sie, wenn Sie auf den Link Weitere Informationen zur EFS-Zwischenspeicherung auf der Registerkarte Zwischenspeicher klicken.

Muss vorhandener Code geändert werden?

Änderungen an vorhandenem Code sind für EFS nicht erforderlich.

Wie sollte die Bereitstellung dieses Features vorbereitet werden?

Berücksichtigen Sie vor dem Aktivieren von EFS Folgendes:

  • Legen Sie einen designierten Wiederherstellungs-Agent und einen Wiederherstellungsprozess fest.

  • Überprüfen Sie die neuen EFS-Einstellungen, und ermitteln Sie die am besten für Ihre spezifischen Sicherheitsanforderungen geeigneten Konfigurationen.

Ist dieses Feature in allen Editionen von Windows Server 2008 verfügbar?

EFS ist ein elementarer Bestandteil des Dateisystems in allen Editionen von Windows Server 2008. Die Funktionalität unterscheidet sich in den einzelnen Editionen nicht. EFS ist auf 32-Bit- und 64-Bit-Plattformen verfügbar.

EFS ist verfügbar in Windows Vista® Business, Windows Vista® Enterprise und Windows Vista® Ultimate und kann einen wichtigen Beitrag zum Schutz der auf Clientcomputern, insbesondere auf tragbaren Computern, gespeicherten Daten leisten.

Weitere Verweise

  • Weitere Informationen zu EFS finden Sie im Artikel zum verschlüsselnden Dateisystem in Windows XP und Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkID=85746, möglicherweise in englischer Sprache).

  • Weitere Informationen zum Schützen von Daten mit Microsoft-Verschlüsselungstechnologien finden Sie im Data Encryption Toolkit for Mobile PCs (http://go.microsoft.com/fwlink/?LinkID=85982, möglicherweise in englischer Sprache).

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.