(0) exportieren Drucken
Alle erweitern

Änderungen bei EFS

Letzte Aktualisierung: Januar 2010

Betrifft: Windows 7, Windows Server 2008 R2

Das verschlüsselnde Dateisystem (Encrypting File System, EFS) ist eine wichtige Dateiverschlüsselungstechnologie zum Speichern verschlüsselter Dateien auf Volumes mit dem Dateisystem NTFS. Verschlüsselte Dateien können nicht verwendet werden, sofern der Benutzer keinen Zugriff auf die erforderlichen Schlüssel zum Entschlüsseln der Daten hat. Von EFS werden Verschlüsselungsalgorithmen nach Industriestandard einschließlich erweiterter Verschlüsselungsstandard (Advanced Encryption Standard, AES), Secure-Hash-Algorithmus (SHA), Kryptografie für elliptische Kurve (Elliptic Curve Cryptography, ECC), auf Smartcard basierte Verschlüsselung und weitere Features unterstützt. Da neue Verschlüsselungsstandards entwickelt und alte Algorithmen weniger sicher werden, müssen neue Verschlüsselungsalgorithmen integriert werden, damit die Benutzer ihre Daten schützen können.

EFS-Unterstützung durch ECC

In Windows 7 wurde die Architektur von EFS geändert, sodass ECC integriert ist. Dadurch ist EFS mit den Suite B-Verschlüsselungsanforderungen kompatibel, die vom National Security Agency definiert wurden, um dem Bedürfnis der Regierungsbehörden der Vereinigten Staaten nach einem Schutz für klassifizierte Daten Rechnung zu tragen. Die Suite B-Kompatibilität erfordert die Verwendung der AES-, SHA- und ECC-Kryptografiealgorithmen für den Datenschutz. Die RSA-Kryptografie ist in Suite B nicht zulässig.

Von EFS in Windows 7 wird ein Vorgang im "gemischten Modus" der ECC- und RSA-Algorithmen unterstützt. Dadurch wird die Abwärtskompatibilität mit EFS-Dateien sichergestellt, die mithilfe der in den vorherigen Windows-Versionen unterstützten Algorithmen erstellt wurden. Dies kann in Organisationen hilfreich sein, die RSA verwenden und auch den ECC-Algorithmus als Vorbereitung auf die Suite B-Kompatibilität verwenden möchten.

Verwenden von selbstsignierten Zertifikaten

Die Standardeinstellung für EFS-Richtlinien für öffentliche Schlüssel ermöglicht es, dass selbstsignierte Zertifikate von EFS generiert werden, wenn keine Zertifizierungsstelle (Certification Authority, CA) verfügbar ist. In einigen Organisationen dürfen selbstsignierte Zertifikat aufgrund von Sicherheitsbedenken im Zusammenhang mit den Daten nicht verwendet werden. Wenn Sie diese Einstellung deaktivieren, muss den Benutzern ein Zertifikat von einer Zertifizierungsstelle erteilt worden sein, damit EFS verwendet werden kann.

Falls Sie die Verwendung selbstsignierter Zertifikate zulassen, können Sie die zum Verschlüsseln von Dateien und Ordnern verwendete Länge des Verschlüsselungsschlüssels angeben. Standardmäßig wird von EFS eine Schlüsselgröße von 2.048 Bit für selbstsignierte RSA-Zertifikate und eine Schlüsselgröße von 256 Bit für ECC-Zertifikate verwendet. Die folgenden RSA- und ECC-Schlüssel sind verfügbar:

  • 1.024-Bit-RSA

  • 2.048-Bit-RSA

  • 4.096-Bit-RSA

  • 8.192-Bit-RSA

  • 16.384-Bit-RSA

  • 256-Bit-ECC

  • 384-Bit-ECC

  • 521-Bit ECC

Gruppenrichtlinienänderungen für EFS

Die Schritte zum Aktivieren von EFS wurden als Folge der Unterstützung von ECC nicht geändert. Es wurden jedoch zusätzliche administrative Optionen in Bezug auf ECC hinzugefügt. So können Gruppenrichtlinieneinstellungen von Administratoren verwendet werden, um das Erstellen von EFS-Dateien zu verweigern, wenn Algorithmen verwendet werden, die nicht mit Suite B kompatibel sind. Die Richtlinieneinstellung für EFS befindet sich im Editor für lokale Gruppenrichtlinien unter Richtlinien für Lokaler Computer\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien für öffentliche Schlüssel\Verschlüsselndes Dateisystem.

Nach Aktivierung und Konfiguration der EFS-Richtlinieneinstellungen verwenden Sie die Gruppenrichtlinieneinstellungen, um die Art der Unterstützung von ECC anzugeben. Öffnen Sie unter Richtlinien für öffentliche Schlüssel die Eigenschaften Verschlüsselndes Dateisystem. Wählen Sie dann auf der Registerkarte Allgemein unter Kryptografie für elliptische Kurve die entsprechende Option aus: entweder Zulassen, um die Verwendung von ECC-Algorithmen und RSA-Algorithmen zuzulassen, Anfordern, um nur die Verwendung der ECC-Verschlüsselungsalgorithmen zuzulassen, oder Nicht zulassen, um nur die RSA-Verschlüsselung zu verwenden.

noteHinweis
Diese Richtlinieneinstellungen gelten nur, wenn eine Datei oder ein Ordner zum ersten Mal verschlüsselt wird. Falls eine Datei oder ein Ordner vor Konfiguration dieser Einstellungen bereits verschlüsselt wurde, kann der Benutzer weiterhin auf den Inhalt zugreifen und der Inhalt wird weiterhin mithilfe des Algorithmus verschlüsselt, der zu jener Zeit erzwungen wurde.

Durch Auswahl von Anfordern wird die Verwendung von AES für den Dateiverschlüsselungsschlüssel nicht erzwungen, Es wird lediglich die Verwendung eines ECC-Algorithmus erzwungen. Nur einige der ECC-Algorithmen sind mit Suite B kompatibel.

Änderungen am Befehlszeilentool "Cipher.exe"

Die Optionen /K und /R für "Cipher.exe" enthalten einen optionalen /ECC:length-Parameter, der die Generierung von ECC-Schlüsseln zulässt. Als Schlüssellänge für ECC-Schlüssel kann 256, 384 oder 521 angegeben werden. Dieser Parameter wird nur beachtet, wenn ein selbstsigniertes Zertifikat generiert wird.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft