Data Encryption Toolkit for Mobile PCs: Planungs- und Implementierungshandbuch

Kapitel 3: Betriebs- und Wiederherstellungsszenarien

Veröffentlicht: 29. Mai 2007

Für die in diesem Handbuch beschriebenen Abläufe für den laufenden Betrieb und die Verwaltung von Computern, die mit der Microsoft® BitLocker™-Laufwerkverschlüsselung (BitLocker) und/oder dem verschlüsselnden Dateisystem (Encrypting File System, EFS) geschützt werden, muss eine Reihe teilweise komplexer Szenarien berücksichtigt werden. In diesem Kapitel werden die Schlüsselszenarien aufgezeigt, die Sie möglicherweise für Ihr Unternehmen unterstützen müssen, darunter die folgenden:

  • Datenwiederherstellung auf Systemen, die mit EFS geschützt werden

  • Datenwiederherstellung auf Systemen, die mit BitLocker geschützt werden

Auf dieser Seite

Szenarien für die BitLocker-Laufwerkverschlüsselung
EFS-Szenarien
Weitere Informationen

Szenarien für die BitLocker-Laufwerkverschlüsselung

Die BitLocker-Wiederherstellung hängt voll und ganz von einem Zugriff auf das Wiederherstellungskennwort ab. Daher beginnen alle Wiederherstellungsszenarien mit der Annahme, dass das Wiederherstellungskennwort verfügbar ist. Die Anforderung für eine Wiederherstellung von BitLocker-Daten kann aus einer der folgenden Situationen entstehen:

  • Installieren des mit BitLocker geschützten Laufwerks in einem neuen Computer.

  • Aktualisieren der Hauptplatine auf eine Platine mit einem neuen TPM.

  • Ausschalten, Deaktivieren oder Löschen des TPM.

  • Aktualisieren kritischer Startkomponenten, die dazu führen, dass der TPM-Validierungsprozess fehlschlägt.

  • Vergessen der PIN, nachdem der PIN-Authentifizierungsprozess aktiviert ist.

  • Verlust des Plug-and-Play USB-Flashlaufwerks mit dem Startschlüssel, nachdem die Startschlüsselauthentifizierung aktiviert ist.

  • Erneutes Bereitstellen von Desktopcomputern oder Laptops an andere Abteilungen oder Mitarbeiter im Unternehmen. Derartige neue Bereitstellungen erfolgen z. B. für Benutzer mit unterschiedlichen Sicherheitsmerkmalen, die Datenwiederherstellungsfunktionalität für ihre Computer benötigen, bevor diese für die Verwendung auf einer neuen Sicherheitsstufe zugelassen werden.

  • Festlegen neuer Aufgabenbereiche für Desktopcomputer, die bereits in Gebrauch sind. Ein IT-Administrator muss möglicherweise ein Betriebssystems neu installieren, ohne geschützte Daten zu verlieren.


BitLocker verschlüsselt das gesamte Betriebssystemvolume, das nur entschlüsselt werden kann, wenn der Volumeschlüssel entsperrt wurde. Wenn das Volume nicht entsperrt werden kann, wird der Startvorgang unterbrochen, bevor das Betriebssystem starten kann. In dieser Phase des Startvorgangs müssen Sie entweder das Wiederherstellungskennwort von einem USB-Flashlaufwerk bereitstellen oder das Wiederherstellungskennwort über die Funktionstasten eingeben. (Die Tasten F1 bis F9 stellen die Ziffern 1 bis 9 dar, die Taste F10 die Ziffer 0.)

Cc162802.note(de-de,TechNet.10).gif Hinweis:

Da die Wiederherstellung in einer so frühen Phase des Startvorgangs stattfindet, sind die Eingabehilfen von Microsoft Windows® (einschließlich Bildschirmanzeigen mit hohem Kontrast und Bildschirmsprachausgaben) nicht verfügbar. Falls Sie diese Eingabehilfen benötigen, sollten Sie überlegen, wie alternative Wiederherstellungsverfahren für Benutzer eingerichtet werden können, für die Eingabehilfen unerlässlich sind.

Methoden und Probleme bei der BitLocker-Wiederherstellung

Für die BitLocker-Wiederherstellung ist der Zugriff auf ein BitLocker-Wiederherstellungskennwort erforderlich, das für den Computer, auf dem es erstellt wurde, eindeutig ist. Sie können den Schlüssel auf Papier, auf einem USB-Startgerät, im Active Directory®-Verzeichnisdienst oder in einer Datei in einem Netzwerk speichern. Allerdings gewährt der Zugriff auf diesen Schlüssel dem Besitzer die Möglichkeit, ein BitLocker-geschütztes Volume zu entsperren und alle darin enthaltenen Daten zu lesen. Aus diesem Grund ist es wichtig, dass Ihr Unternehmen Verfahren für die Steuerung des Zugriffs auf Wiederherstellungskennwörter einrichtet und sicherstellt, dass diese Kennwörter sicher und getrennt von den Computern aufbewahrt werden, die sie schützen.

Entsperrungsmethoden

Ein mit BitLocker verschlüsselter Datenträger kann über drei verschiedene Methoden entsperrt werden:

  • Die BitLocker-Wiederherstellungskonsole, die vor dem Start von Windows Vista™ ausgeführt wird, ist darauf ausgerichtet, Benutzer beim Entsperren eines mit BitLocker verschlüsselten Betriebssystemvolumes zu unterstützen.

  • Der Wiederherstellungs-Assistent der BitLocker-Systemsteuerung ist darauf ausgerichtet, Benutzer beim Entsperren eines mit BitLocker verschlüsselten Datenvolumes (ein Nichtbetriebssystemvolume, ein alternatives Betriebssystemvolume auf demselben Computer oder ein Betriebssystemvolume von einem anderen Computer) zu unterstützen.

  • Die Windows Vista-Wiederherstellungsumgebung (Windows Vista Recovery Environment, WinRE) beinhaltet einen Assistenten zum Entsperren von BitLocker-geschützten Betriebssystem- und Datenvolumes. WinRE ist über eine Windows Vista-DVD oder innerhalb einer Wiederherstellungspartition von einigen Computeranbietern erhältlich.


In allen Fällen können Sie das aus 48 Ziffern bestehende Wiederherstellungskennwort verwenden, um den Zugriff auf das verschlüsselte Laufwerk freizugeben. Dieses Kennwort kann BitLocker-verschlüsselte Informationen unabhängig von der verwendeten Schutzmethode (TPM, TPM mit PIN, TPM mit Startschlüssel und so weiter) wiederherstellen. Diese Funktion sorgt dafür, dass BitLocker immer in der Lage ist, die verschlüsselten Informationen wiederherzustellen. Wenn beispielsweise die PIN verloren geht, können Benutzer den Zugriff auf das verschlüsselte Laufwerk durch Eingabe des Wiederherstellungskennworts erneut herstellen.

Während einer Wiederherstellung zeigt die BitLocker-Wiederherstellungskonsole zwei Informationen an:

  • Die Laufwerkbezeichnung. Diese Informationen sind in einer dreiteiligen Zeichenkette festgelegt, die aus dem Computernamen, dem Namen des Datenträgervolumes und dem Datum der Kennwortgenerierung besteht (z. B. CATAPULT OS 15/1/2007).

  • Die Kennwort-ID. Diese Informationen sind in einer hexadezimalen Zeichenkette mit 32 Ziffern festgelegt, die jedes BitLocker-Wiederherstellungskennwort eindeutig definiert (z. B. 4269744C-6F63-6B65-7220-697320537570).


Benutzer und Supportmitarbeiter können unter Verwendung dieser Bezeichner sicherstellen, dass das korrekte Wiederherstellungskennwort bereitgestellt wird. Diese Informationen sind besonders nützlich, wenn das Kennwort aus Active Directory abgerufen wird.

Vom Benutzer initiierte Wiederherstellung

Benutzer können ihre eigenen Daten mit einem Wiederherstellungskennwort wiederherstellen. Allerdings müssen sie das Kennwort kennen bzw. Zugriff auf das Kennwort haben, das z. B. auf einem USB-Flashlaufwerk oder in einem anderen zugänglichen Format gespeichert ist. Wenn Benutzer über Zugriff auf das korrekte Kennwort verfügen, können sie entweder die Pre-Boot-Wiederherstellungskonsole oder die WinRE-Tools verwenden, um das Volume zu entsperren und den Betrieb wiederaufzunehmen.

Vom Helpdesk unterstützte Wiederherstellung

Wenn Sie den BitLocker-Wiederherstellungsprozess planen, sollten Sie zunächst die aktuellen bewährten Methoden Ihres Unternehmens für die Wiederherstellung sensibler Informationen berücksichtigen. Wie handhabt Ihr Unternehmen beispielsweise verloren gegangene Windows-Kennwörter? Welche Verfahren setzt Ihr Unternehmen ein, um Anforderungen zum Zurücksetzen einer Smartcard-PIN zu verarbeiten? Verwenden Sie diese bewährten Methoden und entsprechende Ressourcen (Mitarbeiter und Programme), um ein BitLocker-Wiederherstellungsmodell aufzustellen.

Vorbereitung für die Wiederherstellung

Bevor Sie die BitLocker-Bereitstellung abschließen, sollten Sie sicherstellen, dass alle Wiederherstellungsanforderungen zeitgerecht erfüllt werden können.

Lesen Sie zunächst den Leitfaden Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information (Konfiguration von Active Directory für die Sicherung von Wiederherstellungsinformationen der Windows BitLocker-Laufwerkverschlüsselung und des Trusted Platform Module, möglicherweise in englischer Sprache). Er stellt Informationen zur Verfügung, wie Sie Active Directory für das Speichern von Schlüsselwiederherstellungsinformationen verwenden können. Das Dokument enthält eine Reihe von Programmen und Skripts, die für die Einrichtung von Wiederherstellungsabläufen nützlich sein können.

Microsoft hat den Viewer für das BitLocker-Wiederherstellungskennwort (eine Erweiterung für das MMC-Snap-In „Active Directory-Benutzer und -Computer“) als ein Mittel entwickelt, um BitLocker-Wiederherstellungsinformationen als Eigenschaft eines Computerobjekts anzuzeigen. Durch diese Funktion können Helpdeskmitarbeiter einfacher auf Wiederherstellungsinformationen zugreifen. Sie sollten Ihre Betriebsrichtlinien und die Delegation von Active Directory-Berechtigungen sorgfältig überprüfen, um sicherzustellen, dass der Zugriff auf Wiederherstellungsinformationen nur den Supportmitarbeitern bereitgestellt wird, die einen solchen Zugriff benötigen.

Sie erhalten den Viewer für das BitLocker-Wiederherstellungskennwort, indem Sie den Anleitungen im Microsoft Knowledge Base-Artikel 928202 zur Verwendung des BitLocker-Wiederherstellungskennwort-Viewers für Active Directory-Benutzer und -Computer zur Anzeige von Wiederherstellungskennwörtern für Windows Vista (maschinell übersetzter Artikel) folgen. Wenn Sie das Tool heruntergeladen haben, installieren Sie es mithilfe der Anleitungen im Knowledge Base-Artikel. Sie müssen bei der ersten Installation des Tools in einer Domäne ein Konto verwenden, das über eine Berechtigung als Unternehmensadministrator verfügt. Folgeinstallationen erfordern lediglich, dass das Installationskonto über lokale Administratorrechte für den Computer verfügt, auf dem das Tool installiert wird.

Cc162802.note(de-de,TechNet.10).gif Hinweis:

Microsoft empfiehlt die Einrichtung einer Benutzeridentifikationsrichtlinie, mit der Sie überprüfen, welche Computer in Ihrem Unternehmen zu welchen Benutzern gehören, bevor Sie Wiederherstellungskennwörter ausgeben.

Durchführen einer Wiederherstellung

Helpdesktechniker können das folgende Wiederherstellungsverfahren anwenden.

So führen Sie eine erfolgreiche Wiederherstellung durch

  1. Lassen Sie sich vom Benutzer den Namen des Computers geben. Falls der Benutzer den Computernamen nicht kennt, können Sie diesen aus der Laufwerkbezeichnungszeichenkette ableiten (wenn der Computername nicht verändert wurde).

  2. Überprüfen Sie die Identität des Benutzers mithilfe eines entsprechenden Authentifizierungsmechanismus.

  3. Rufen Sie das BitLocker-Wiederherstellungskennwort aus dem Computerobjekt in Active Directory ab. Sie können dafür das Skript Get-BitLockerRecoveryInfo.vbs verwenden, das im Leitfaden Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information (Konfiguration von Active Directory für die Sicherung von Wiederherstellungsinformationen der Windows BitLocker-Laufwerkverschlüsselung und des Trusted Platform Module, möglicherweise in englischer Sprache) enthalten ist. Alternativ können Sie den Viewer für das BitLocker-Wiederherstellungskennwort (falls dieser installiert ist) verwenden, indem Sie wie folgt vorgehen:

    1. Öffnen Sie das Snap-In „Active Directory-Benutzer und -Computer“.

    2. Suchen Sie im Snap-In „Active Directory-Benutzer und -Computer“ nach dem Container, in dem sich der Computer befindet, und klicken Sie dann darauf. Klicken Sie beispielsweise auf den Container Computer.

    3. Klicken Sie mit der rechten Maustaste auf das Computerobjekt, und wählen Sie dann Eigenschaften aus.

    4. Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte BitLocker-Wiederherstellung, um die BitLocker-Wiederherstellungskennwörter für den bestimmten Computer anzuzeigen.

  4. Wenn der Computername nicht verfügbar ist, können Sie das Kennwort mit der Kennwort-ID als Eingabe abrufen, wenn Sie das Skript Get-BitLockerRecoveryInfoByID.vbs ausführen. Alternativ können Sie den Viewer für das BitLocker-Wiederherstellungskennwort verwenden:

    1. Klicken Sie in Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Domänencontainer, und klicken Sie dann auf Find BitLocker Recovery Password (BitLocker-Wiederherstellungskennwort suchen).

    2. Geben Sie im Dialogfeld Find BitLocker Recovery Password (BitLocker-Wiederherstellungskennwort suchen) die ersten acht Zeichen des Wiederherstellungskennworts in das Feld Password ID (first 8 characters) (Kennwort-ID (erste 8 Zeichen)) ein, und klicken Sie dann auf Suchen.

  5. Stellen Sie das Wiederherstellungskennwort für den Benutzer bereit. Das Kennwort wird jedes Mal angefordert, wenn der Computer neu startet, es sei denn, dass ein Startschlüssel oder eine PIN bereitgestellt wird oder der Benutzer BitLocker ausschaltet.

  6. Falls der Benutzer die PIN oder den Startschlüssel weder vergessen noch verloren hat, sollte das System untersucht werden, um festzustellen, aus welchem Grund die Wiederherstellung überhaupt vorgenommen wurde. Probleme mit dem TPM, den Startdateien oder anderen Aspekten, die eine Wiederherstellung erfordern, sollten auf jeden Fall ermittelt und korrekt gelöst werden, damit sie sich nicht auf andere Systeme auswirken.

Wenn die Ursache für die Erzwingung der Wiederherstellung gefunden wurde, empfiehlt Microsoft, den BitLocker-Schutz auf dem Laufwerk zurückzusetzen. Wählen Sie je nach Ursache der Wiederherstellung eine der folgenden Methoden aus:

  • Zurücksetzen des Wiederherstellungskennworts. Diese Methode erstellt ein neues Wiederherstellungskennwort und macht alle früheren Kennwörter ungültig.

  • Zurücksetzen der PIN oder des USB-Startschlüssels. Diese Methode ersetzt eine verlorene PIN oder einen USB-Startschlüssel. Der Link Schlüsselverwaltung in der Systemsteuerung für die BitLocker-Laufwerkverschlüsselung ermöglicht das Zurücksetzen einer verlorenen PIN oder das Duplizieren eines USB-Startschlüssels.

  • Zurücksetzen der TPM-Validierungsmessungen. Diese Methode erneuert den Schnappschuss, den das TPM für die Validierung der Startdateien verwendet. Setzen Sie TPM-Messungen nur zurück, wenn Sie wissen, warum der Validierungsprozess fehlgeschlagen ist, und festgestellt haben, dass dieser Fehler harmlos ist (beispielsweise ein BIOS-Update durch einen bekannten Benutzer). Andernfalls sollten Sie in Betracht ziehen, den Computer von Grund auf neu aufzubauen.

Verwenden des BitLocker Repair Tools (BitLocker-Reparaturprogramm)

Das BitLocker Repair Tool (das über den Microsoft Knowledge Base-Artikel 928201 zum Verwenden des BitLocker Repair Tools für die Datenwiederherstellung von einem verschlüsselten Volume in Windows Vista (maschinell übersetzter Artikel) erhältlich ist) kann einen Zugriff auf verschlüsselte Daten unterstützen, wenn die Festplatte schwer beschädigt wurde. Dieses Programm kann kritische Teile der Festplatte neu aufbauen und wiederherstellbare Daten retten. Für die Entschlüsselung der Daten ist ein Wiederherstellungskennwort oder ein Wiederherstellungsschlüsselpaket erforderlich. Das Programm ist auf Situationen ausgerichtet, in denen Windows Vista nicht gestartet werden kann oder die BitLocker-Wiederherstellungskonsole nicht verfügbar ist. Wenn Sie das Wiederherstellungskennwort bereitstellen, versucht das Programm, den volumespezifischen Verschlüsselungsschlüssel vom Volume zu lesen. Falls der volumespezifische Schlüssel beschädigt oder nicht lesbar ist, müssen Sie möglicherweise direkt das Wiederherstellungsschlüsselpaket verwenden. Das Programm verwendet im Wesentlichen das bereitgestellte Wiederherstellungskennwort oder Schlüsselpaket, damit Sie die Festplatte bereitstellen und versuchen können, Daten von der Festplatte wiederherzustellen. Beachten Sie, dass das Wiederherstellungsprogramm nur nützlich ist, wenn die Daten auf der Festplatte lesbar bleiben. Wenn der Festplattenfehler schwerwiegend ist, ist das Wiederherstellungsprogramm nicht in der Lage, verschlüsselte Daten für eine Entschlüsselung zu lesen.

Vor der Ausführung des BitLocker Repair Tools benötigen Sie Folgendes:

  • Das BitLocker-verschlüsselte Originalvolume.

  • Ein Datenträgervolume mit ausreichend Platz, um die Daten vom verschlüsselten Volume aufzunehmen. Microsoft empfiehlt die Verwendung einer externen Festplatte für diese Daten.

  • Einen USB-Flashdatenträger oder ein ähnliches Wechselspeichermedium mit den BitLocker-Wiederherstellungsinformationen für das beschädigte Volume.

  • Das BitLocker Repair Tool.


Umfassende Anleitungen für die Ausführung des BitLocker Repair Tools finden Sie im zuvor in diesem Abschnitt erwähnten KB-Artikel.

EFS-Szenarien

Die EFS-Wiederherstellung hängt davon ab, dass Sie Zugriff auf das Schlüsselmaterial haben, das für den Schutz des Dateiverschlüsselungsschlüssels (File Encryption Key, FEK) verwendet wird. Bei diesem Material kann es sich um das EFS-Benutzerzertifikat oder ein Zertifikat für einen Datenwiederherstellungs-Agenten (Data Recovery Agent, DRA) handeln. Für die Wiederherstellung von EFS-Daten sind drei primäre Szenarien möglich:

  • Der Benutzer hat Daten verschlüsselt, die nicht verschlüsselt werden sollten. In dieser Situation ist das Wiederherstellungsmodell ganz simpel: Deaktivieren Sie die Verschlüsselung für die spezifischen Datenelemente.

  • Ein Benutzer verliert den Zugriff auf sein Schlüsselmaterial.

  • Ein Unternehmen muss den Zugriff auf Daten wiederherstellen, wenn der ursprüngliche Benutzer (oder das mit diesem Benutzer verbundene Zertifikat) nicht vorhanden ist, um diese Wiederherstellung selbst durchzuführen.

Methoden und Aspekte der EFS-Wiederherstellung

Wenn der private EFS-Verschlüsselungsschlüssel eines Benutzers verloren geht oder beschädigt wird, kann der Benutzer erst dann wieder auf EFS-geschützte Dateien zugreifen, wenn der Verschlüsselungsschlüssel wiederhergestellt ist. Dieser Abschnitt bietet Informationen über verschiedene EFS-Wiederherstellungsszenarien, die davon abhängen, welche Wiederherstellungsmethode ursprünglich geplant und implementiert wurde.

Importieren von EFS-Schlüsseln

Wenn ein Benutzer seinen privaten EFS-Schlüssel verliert, besteht die einfachste Wiederherstellungsmethode darin, das digitale EFS-Zertifikat (und den privaten Schlüssel) aus einer bekannten, guten Sicherung zu importieren. In den vorigen Kapiteln wurden einige Methoden für die Sicherung von EFS-Schlüsseln beschrieben.

Cc162802.note(de-de,TechNet.10).gif Hinweis:

Für eine erfolgreiche Wiederherstellung muss die Sicherungskopie des EFS-Benutzerschlüssels den privaten EFS-Verschlüsselungsschlüssel enthalten. Außerdem muss sich der Benutzer an sein Schutzkennwort erinnern, das während des Schlüsselexports festgelegt wurde.

So importieren Sie einen zuvor exportierten EFS-Schlüssel erneut

  1. Melden Sie sich bei Windows mit dem Konto des Benutzers an, der seinen EFS-Schlüssel importieren muss.

  2. Lassen Sie den Benutzer auf eine Kopie seines exportierten digitalen EFS-Zertifikats und seines privaten Schlüssels zugreifen. Die exportierte Datei sollte die Dateierweiterung FX haben.

  3. Doppelklicken Sie auf die exportierte EFS-Datei.

  4. Klicken Sie im Dialogfeld Zertifikatimport-Assistent auf die Schaltfläche Weiter.

  5. Geben Sie bei Bedarf den Standort und Namen des digitalen EFS-Zertifikats ein, und klicken Sie dann auf Weiter.

  6. Geben Sie das Schutzkennwort ein, das während des Exports des EFS-Zertifikats erstellt wurde, und klicken Sie dann auf Weiter.


    Cc162802.3e3b1988-af31-480c-aae0-d594a200773b(de-de,TechNet.10).gif

    Abbildung 3.1. Aufforderung zur Eingabe des Zertifikatkennworts im Zertifikatimport-Assistenten

  7. Damit der Zertifikatimport-Assistent das EFS-Zertifikat in den korrekten Standardspeicher importieren kann, markieren Sie das Optionsfeld Zertifikatspeicher automatisch auswählen (auf dem Zertifikatstyp basierend), und klicken Sie dann auf Weiter.


    Cc162802.8933a7be-a729-4e88-9c80-c73c134f21d6(de-de,TechNet.10).gif

    Abbildung 3.1. Aufforderung zur Eingabe des Zertifikatspeicherstandorts im Zertifikatimport-Assistenten

  8. Klicken Sie im letzten Fenster auf Fertig stellen.

Der Benutzer kann jetzt versuchen, auf eine zuvor EFS-geschützte Datei zuzugreifen. Wenn dies erfolgreich ist, sollte der EFS-Sicherungsschlüssel des Benutzers zurück an seinen sicheren Ursprungsstandort gesetzt werden. Löschen Sie alle erstellten Kopien, und leeren Sie den Papierkorb.

Verwenden von Datenwiederherstellungs-Agenten

Ein weiteres typisches EFS-Wiederherstellungsszenario ist die Verwendung eines EFS-Datenwiederherstellungs-Agenten (DRA). Wenn Sie den DRA vor der Verschlüsselung einer Datei korrekt konfigurieren, wird er automatisch mit dieser Datei verwendet. Sie können vorhandenen Dateien auch nach ihrer anfänglichen Verschlüsselung DRAs hinzufügen.

So verwenden Sie einen Datenwiederherstellungs-Agenten

  1. Melden Sie sich mit dem Benutzerkonto des DRA bei Windows an. Sie müssen einen Computer verwenden, der auf die wiederherzustellenden Dateien zugreifen kann.

    Cc162802.note(de-de,TechNet.10).gif Hinweis:

    Ein DRA kann deren digitales DRA-Zertifikat für EFS, falls dieses nicht bereits installiert ist, mithilfe der Anleitungen im vorherigen Abschnitt importieren.

  2. Greifen Sie auf den Standort der wiederherzustellenden Dateien oder Ordner zu.

  3. Entfernen Sie über Windows Explorer oder den Befehl Cipher.exe/D das EFS-Attribut von diesen Dateien oder Ordnern.

  4. Melden Sie sich ab, und sorgen Sie dafür, dass sich der ursprünglich betroffene Benutzer anmeldet.

  5. Der Benutzer kann dann auf Wunsch den EFS-Schutz für die Dateien erneut aktivieren. Windows generiert bei Bedarf erneut ein EFS-Zertifikat.

Wiederherstellen archivierter Schlüssel

Wenn das digitale EFS-Zertifikat und die privaten Schlüssel eines Benutzers von einer teilnehmenden Zertifizierungsstelle archiviert wurden, ist ein Schlüsselwiederherstellungsszenario angemessen. Dieser Abschnitt stellt die EFS-Schlüsselwiederherstellung über die Windows Server® 2003-Zertifikatdienste dar.

Cc162802.note(de-de,TechNet.10).gif Hinweis:

Damit die Schlüsselwiederherstellung verfügbar ist, muss die EFS-Zertifikatvorlage, die für die Erstellung des digitalen EFS-Zertifikats sowie für die Verschlüsselung von Dateien und Ordnern verwendet wurde, für die Schlüsselarchivierung konfiguriert sein.

Die Schlüsselwiederherstellung umfasst die folgenden drei grundlegenden Schritte:

  1. Die Zertifikatverwaltung der Zertifikatdienste ruft das digitale EFS-Zertifikat des Benutzers aus dem Schlüsselarchivierungsspeicher ab.

  2. Die Zertifikatverwaltung entschlüsselt den privaten Schlüssel des Benutzers und speichert ihn dann in einer PFX-Datei.

  3. Der Benutzer importiert die PFX-Datei, die das digitale EFS-Zertifikat und den privaten Schlüssel erneut in den Zertifikatspeicher auf dem lokalen Computer einfügt.


Der Wiederherstellungsprozess ist unkompliziert, erfordert aber zwei Zwischenschritte: das Identifizieren der Seriennummer des digitalen EFS-Benutzerzertifikats und die Wiederherstellung des Zertifikats selbst.

Identifizieren der Seriennummer des digitalen EFS-Benutzerzertifikats

Der erste Schritt der Schlüsselwiederherstellung besteht darin, die Seriennummer des digitalen EFS-Benutzerzertifikats zu identifizieren. Die Zertifikatdienste benötigen diese Seriennummer, um festzulegen, welches Zertifikat aus dem Archiv abgerufen werden soll.

So identifizieren Sie die Seriennummer des Zertifikats eines einzelnen Benutzers

  1. Melden Sie sich bei Windows mit einem Benutzerkonto an, das Zertifikatdienste verwalten darf.

  2. Öffnen Sie die Konsole „Zertifizierungsstelle“, und verbinden Sie sich mit einem autorisierten Zertifikatdiensteserver.

  3. Erweitern Sie den Knoten „Zertifizierungsstelle“, und klicken Sie dann auf den Knoten Ausgestellte Zertifikate.

  4. Klicken Sie im Menü Anzeige auf Spalten hinzufügen/entfernen.

  5. Klicken Sie im Dialogfeld Spalten hinzufügen/entfernen in der Liste Verfügbare Spalten auf Archivierter Schlüssel, und klicken Sie dann auf Hinzufügen.

  6. Verwenden Sie die Schaltfläche Nach oben oder Nach unten, um das Feld Archivierter Schlüssel in der Spaltenliste nach oben oder unten zu verschieben, sodass Sie den Schlüssel leichter finden können, und klicken Sie dann auf OK.

  7. Das Feld Archivierter Schlüssel ist jetzt in der angezeigten Spaltenauflistung zu sehen und zeigt an, welche Schlüssel archiviert wurden.

  8. Suchen Sie das korrekte digitale EFS-Zertifikat. Stellen Sie sicher, dass es sich um das zuletzt ausgestellte und archivierte EFS-Zertifikat handelt. Schreiben Sie die Seriennummer des Zertifikats auf (sie wird für die Wiederherstellung benötigt).

  9. Schließen Sie die Konsole „Zertifizierungsstelle“.

Wiederherstellen des EFS-Zertifikats und Schlüssels eines Benutzers

Wenn Sie die Seriennummer des Benutzerzertifikats kennen, können Sie das eigentliche Zertifikat und das damit verbundene Schlüsselmaterial vom Zertifikatdiensteserver abrufen. Dafür müssen Sie das Befehlszeilenprogramm Certutil verwenden, um die Zertifizierungsstelle abzufragen und eine PKCS #7-Datei abzurufen, die das bzw. die Zertifikate des Schlüsselwiederherstellungs-Agenten und das Benutzerzertifikat mit der gesamten Zertifikatsvertrauenskette enthält. Der Inhalt ist eine verschlüsselte PKCS #7-Struktur, die den privaten Schlüssel enthält (der von den KRA-Zertifikaten verschlüsselt ist).

Um die verschlüsselte PKCS #7-Ausgabedatei zu entschlüsseln, muss der angemeldete Benutzer ein Schlüsselwiederherstellungs-Agent sein oder über den privaten Schlüssel eines oder mehrerer KRAs für die verschlüsselte Zielausgabedatei verfügen. Wenn der Benutzer, der den Schlüssel aus dem Zertifikatspeicher wiederherstellt, kein KRA ist, muss er die verschlüsselte Ausgabedatei zur weiteren Verarbeitung an einen Benutzer übermitteln, der einen privaten KRA-Schlüssel besitzt.

So stellen Sie das Zertifikat und den privaten Schlüssel eines Benutzers wieder her

  1. Melden Sie sich bei Windows mit einem Benutzerkonto an, das Zertifikatdienste verwalten darf.

  2. Öffnen Sie ein Eingabeaufforderungsfenster. Geben Sie an der Eingabeaufforderung Folgendes ein:

    Certutil -getkey <Nummer> <Name>,

    wobei Nummer die Seriennummer des wiederherzustellenden Zertifikats und Name der Name der Ausgabedatei ist, in der Sie das Zertifikat speichern möchten.

    Dieser Befehl versucht, die Wiederherstellung von einer beliebigen in der Struktur verfügbaren Unternehmenszertifizierungsstelle durchzuführen. Wenn statt aller Unternehmenszertifizierungsstellen in der Struktur eine bestimmte Zertifizierungsstelle kontaktiert werden soll, verwenden Sie die folgende Befehlssyntax:

    Certutil -config <Computername\Name der Zertifizierungsstelle> -getkey <Nummer> <Name>

  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

    Certutil -recoverkey <Dateiname> <Dateiname.pfx> –p  <Kennwort>,

    wobei Dateiname die im vorherigen Schritt erstellte verschlüsselte Ausgabedatei, Dateiname.pfx der Name der neuen Ausgabedatei für den privaten EFS-Schlüssel des Benutzers im PKCS #12-Format und Kennwort das Kennwort für die resultierende Dateiname.pfx-Datei ist.

  4. Geben Sie bei Aufforderung ein starkes Kennwort und die entsprechende Bestätigung ein.

  5. Stellen Sie dem Benutzer das jeweilige Kennwort über einen sicheren Mechanismus zur Verfügung, der von der Datei selbst getrennt ist, um eine hohe Sicherheit im Wiederherstellungsprozess zu garantieren.

  6. Übermitteln Sie die PFX-Datei über einen sicheren Übermittlungsmechanismus an den Benutzer.

  7. Stellen Sie dem Benutzer die Anleitungen im Abschnitt „Importieren von EFS-Schlüsseln“ weiter oben in diesem Kapitel bereit.

Wiederherstellen von Daten über einen Offlinewiederherstellungs-Agenten

Wenn Sie Daten wiederherstellen müssen und Offlinewiederherstellungs-Agenten verwenden, müssen Sie vor Durchführung der Wiederherstellung das Zertifikat für den Offlinewiederherstellungs-Agenten wiederherstellen. Dieser Prozess ist unkompliziert und kann mit den einzelnen Schritten durchgeführt werden, die an anderer Stelle in diesem Handbuch ausführlicher beschrieben sind:

  1. Aktivieren Sie das vom Wiederherstellungs-Agenten verwendete Active Directory-Benutzerkonto über das MMC-Snap-In „Active Directory-Benutzer und -Computer“, sodass es für die Anmeldung auf dem Wiederherstellungscomputer verwendet werden kann.

  2. Melden Sie sich mit dem Benutzerkonto für den Wiederherstellungs-Agenten auf dem Computer an, auf dem die Wiederherstellung stattfinden soll.

  3. Importieren Sie das digitale Zertifikat und den privaten Schlüssel des Wiederherstellungs-Agenten.

  4. Stellen Sie die erforderlichen Dateien und Ordner wieder her.

  5. Führen Sie das erneute Entfernen oder Exportieren des Zertifikats und privaten Schlüssels für den Wiederherstellungs-Agenten durch. Wenn Sie das Zertifikat und den Schlüssel erneut exportieren, entfernen Sie diese aus dem Netzwerk, und speichern die exportierte Version auf sichere Weise.

  6. Deaktivieren Sie das Benutzerkonto für die Wiederherstellung.

Migration auf einen neuen Computer

Benutzer migrieren ihre Arbeitsumgebungen oft von einem Computer auf einen anderen. Diese Migration findet aus vielerlei Gründen statt, darunter Hardwareaustausch, Computerupgrades oder berufliche Veränderungen. Bei der Migration von Benutzerdaten von einem Computer auf einen anderen müssen spezielle Schritte durchgeführt werden, um einen fortwährenden Zugriff auf EFS-geschützte Daten zu gewährleisten. Für den grundlegenden Prozess müssen die folgenden Aufgaben durchgeführt werden:

  • Migrieren der EFS-Zertifikate und des damit verbundene Schlüsselmaterials vom alten zum neuen Computer.

  • Erstellen von Zertifikaten für den Datenwiederherstellungs-Agenten (falls gewünscht).

  • Migrieren der verschlüsselten Dateien und anderer Benutzerdaten zum neuen Computer.

  • Testen der verschlüsselten Dateien, um sicherzustellen, dass sie geöffnet werden können.

Migration der EFS-Zertifikate

Die Migration von EFS-Zertifikaten ist unbedingt erforderlich, wenn Sie Benutzerdaten von einem Computer zu einem anderen verschieben. Die dafür verwendete Methode hängt vom verwendeten Windows-Betriebssystem ab.

Migration auf Windows Vista

Sie können das Microsoft Migrationsprogramm für den Benutzerstatus (User State Migration Tool, USMT) Version 3.0 verwenden, um EFS-Zertifikate automatisch von Windows XP-basierten Computern auf Windows Vista-Computer zu verschieben. Allerdings schlägt USMT standardmäßig fehl, wenn das Programm eine verschlüsselte Datei findet (es sei denn, Sie verwenden die Option /efs). Daher müssen Sie das Flag /efs:copyraw mit USMT verwenden, um die verschlüsselten Dateien zu migrieren. Wenn Sie USMT dann auf dem Zielcomputer ausführen, werden die verschlüsselte Datei und das EFS-Zertifikat automatisch migriert. Sie können EFS-Daten auch über die im folgenden Abschnitt beschriebenen manuellen Methoden von Windows XP auf Windows Vista verschieben.

Migration auf Windows XP

Um verschlüsselte Dateien auf Computer zu migrieren, auf denen Windows XP läuft, muss auch das EFS-Zertifikat verschoben werden. Für die Migration von Zertifikaten mit USMT sind sowohl vor als auch nach der Migration Benutzereingaben erforderlich.

EFS-Zertifikate können mit einer der folgenden Methoden migriert werden:

  • Verwenden des Tools Cipher.exe.

  • Verwenden des MMC-Snap-In „Zertifikate“.


Verwenden von Cipher.exe für die Migration von EFS-Zertifikaten

Sie können das EFS-Zertifikat eines Benutzers mit dem Befehlszeilenprogramm Cipher.exe exportieren (wie im Abschnitt „Wiederherstellen nach EFS-Problemen“ in diesem Kapitel beschrieben) und die daraus resultierende PFX-Datei dann auf dem neuen Computer importieren.

So migrieren Sie ein Benutzerzertifikat mit Cipher.exe

  1. Melden Sie sich als Benutzer an, dem das Zertifikat gehört.

  2. Öffnen Sie eine Eingabeaufforderung, und geben Sie Cipher /x: <EFS-Datei>   <Dateiname> ein, wobei Dateiname ein Dateiname ohne Erweiterungen und EFS-Datei ein Pfad zu einer verschlüsselten Datei ist. Drücken Sie danach die EINGABETASTE.

    Wenn <EFS-Datei> bereitgestellt ist, wird das für die Verschlüsselung der Datei verwendete Zertifikat des aktuellen Benutzers gesichert. Andernfalls werden das aktuelle EFS-Zertifikat und die Schlüssel des Benutzers gesichert. Cipher.exe erzeugt eine kennwortgeschützte PFX-Datei am von Ihnen angegebenen Standort. Für weitere Informationen über Cipher.exe geben Sie cipher /? ein.


    Cc162802.note(de-de,TechNet.10).gif Hinweis:

    Dieser Prozess beinhaltet zwei wichtige Sicherheitsüberlegungen. Erstens muss die PFX-Datei an einem Standort gespeichert werden, auf den vom Zielcomputer zugegriffen werden kann (z. B. ein freigegebener Ordner oder ein Wechselspeichermedium). Zweitens sollte die Datei nicht an demselben Standort gespeichert werden wie die EFS-geschützten Dateien.

Nach dem Export der Datei kann der Benutzer sie über die später beschriebene Vorgehensweise So importieren Sie das Zertifikat auf dem neuen Computer auf dem neuen Computer importieren.

Verwenden des Snap-Ins „Zertifikate“ für die Migration von EFS-Zertifikaten

So exportieren Sie ein Benutzerzertifikat mit dem Snap-In „Zertifikate“

  1. Veranlassen Sie, dass sich der Benutzer, der das Zertifikat besitzt, beim Ursprungscomputer anmeldet.

  2. Öffnen Sie die Microsoft Management Console (MMC). Klicken Sie dafür auf Start, Ausführen, geben Sie mmc ein, und drücken Sie dann die EINGABETASTE.

  3. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.

  4. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen.

  5. Wählen Sie aus der angezeigten Liste Zertifikate aus, klicken Sie auf Hinzufügen, und wählen Sie dann Eigenes Benutzerkonto aus.

  6. Klicken Sie auf Fertig stellen, klicken Sie auf Schließen, und klicken Sie dann auf OK.

  7. Navigieren Sie zu Zertifikate – Aktueller Benutzer\Persönlich\Zertifikate.

  8. Klicken Sie mit der rechten Maustaste auf das Zertifikat, das Sie migrieren möchten.

  9. Klicken Sie auf Alle Aufgaben, und klicken Sie anschließend auf Exportieren.

  10. Der Zertifikatexport-Assistent hilft Ihnen beim Speichern des Zertifikats an einem Standort, auf den vom Zielcomputer zugegriffen werden kann – zum Beispiel eine Diskette oder ein freigegebener Ordner. Geben Sie nach Aufforderung an, dass Sie den privaten Schlüssel zusammen mit dem Zertifikat exportieren möchten.

    Nach Abschluss des Prozesses wird in einer Meldung angezeigt, dass der Exportvorgang erfolgreich war.


So importieren Sie das Zertifikat auf dem neuen Computer

  1. Veranlassen Sie, dass sich der Benutzer, der das Zertifikat besitzt, beim neuen Computer anmeldet.

  2. Öffnen Sie die MMC, wie in der vorherigen Vorgehensweise beschreiben.

  3. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.

  4. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen.

  5. Wählen Sie Zertifikate aus der Liste aus, klicken Sie auf Hinzufügen, und wählen Sie dann Eigenes Benutzerkonto aus.

  6. Klicken Sie auf Fertig stellen, klicken Sie auf Schließen, und klicken Sie dann auf OK.

  7. Navigieren Sie zu Zertifikate – Aktueller Benutzer\Persönlich.

  8. Klicken Sie mit rechten Maustaste auf Persönlich.

  9. Klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren.

  10. Verwenden Sie den Zertifikatimport-Assistenten, um das Zertifikat zu suchen, das Sie exportiert haben. Wenn Sie nach dem Zertifikat suchen, wählen Sie „Privater Informationsaustausch (*.pfx; *.p12)“ aus dem Dropdownlistenfeld Dateityp aus. Sie müssen das Kennwort eingeben, das Sie beim Exportieren des Zertifikats vom Zielcomputer bereitgestellt haben.

    Nach Abschluss des Prozesses wird in einer Meldung angezeigt, dass der Importvorgang erfolgreich war.

Erstellung von DRA-Zertifikaten

Als Teil der Migration sollten Sie möglicherweise die Anweisungen in Kapitel 2: Konfigurations- und Bereitstellungsaufgaben nutzen, um sicherzustellen, dass der neue Computer (und alle verbundenen Zertifikate) über den korrekten Satz verbundener DRA-Zertifikate verfügt.

Migration der verschlüsselten Dateien auf den neuen Computer

Wenn das Zertifikat exportiert ist, können Sie mit dem Verschieben anderer Benutzerdaten wie der eigentlichen Dateien auf den neuen Computer fortfahren.

Wenn Sie für das Verschieben verschlüsselter Dateien von einem Computer zu einem anderen USMT verwenden, müssen Sie das Flag /efs:copyraw angeben, damit USMT den gesamten verschlüsselten Datenstrom aus den Ursprungsdateien lesen kann. Wenn Sie dieses Flag nicht angeben oder für das Verschieben der Dateien andere Programme (wie xcopy oder robocopy) verwenden, werden diese vor dem Kopieren vom Ursprungscomputer entschlüsselt.

Testen der migrierten Dateien

Wenn Sie alle Zertifikate und Dateien auf den neuen Computer verschoben haben, sollten Sie anhand von zwei Tests sicherstellen, dass die Migration richtig funktioniert hat:

  • Vergewissern Sie sich, dass das Benutzerkonto, dem die Dateien gehören, diese öffnen kann.

  • Stellen Sie durch Überprüfen der Dateiattribute in Windows Explorer sicher, dass die Dateien verschlüsselt bleiben. Die Symbole verschlüsselter Dateien sind grün eingefärbt. Sie können außerdem über das Dialogfeld Dateieigenschaften prüfen, ob das Attribut Verschlüsselt aktiviert ist.

Aktualisieren der DRA-Zertifikate

Sie müssen die DRA-Zertifikate unter folgenden Umständen aktualisieren:

  • Ihr Unternehmen stellt von lokalen DRAs auf eine zentral verwaltete DRA-Infrastruktur um.

  • Sie müssen eine zentral verwaltete DRA-Richtlinie aktualisieren, weil die vorhandenen DRA-Zertifikate abgelaufen sind (oder in naher Zukunft ablaufen).

  • Sie müssen eine zentral verwaltete DRA-Richtlinie aktualisieren, weil die vorhandenen DRA-Schlüssel verloren, verlegt oder beschädigt wurden.

Überlegungen zum Aktualisieren von DRA-Zertifikaten

Um die DRA-Zertifikate zu aktualisieren, müssen Sie zunächst ein oder mehrere neue DRA-Schlüsselpaare und -Zertifikate anfordern oder erstellen. Abhängig von der Umgebung kann diese Aufgabe mit einer der folgenden Methoden durchgeführt werden:

  • Verwenden Sie den Switch /R mit Cipher.exe.

  • Verwenden Sie die von den Microsoft-Zertifikatdiensten bereitgestellten Web- oder Programmschnittstellen.

  • Verwenden Sie den Anforderungsmechanismus Ihrer vorhandenen Zertifizierungsstelle von einem Drittanbieter.


Diese Anforderung muss eine entsprechende DRA-Vorlage verwenden, sodass die ausgestellten Zertifikate als DRA nutzbar sind.

Nachdem Sie neue DRA-Zertifikate angefordert und erhalten haben, müssen Sie diese an eine entsprechende Gruppenrichtlinie binden, die auf alle Computer angewendet wird, deren DRA-Informationen aktualisiert werden sollen. Stellen Sie sicher, dass das von Ihnen verwendete Gruppenrichtlinienobjekt die neuen DRA-Zertifikate korrekt über mehrere Organisationseinheiten, Active Directory-Domänen und Active Directory-Strukturen zuweist. Standardmäßig können Sie möglicherweise das Gruppenrichtlinienobjekt der Active Directory-Standarddomänenrichtlinie als Basis für die Verteilung neuer DRA-Informationen einsetzen.

Wenn Sie die neuen DRA-Zertifikate einem Gruppenrichtlinienobjekt zugewiesen haben, können Sie die vorhandenen DRA-Zertifikate löschen. Als Folge verlieren Sie allerdings die Möglichkeit, Dateien wiederherzustellen, die mit dem vorhandenen DRA-Zertifikat erstellt wurden. Stellen Sie vor dem Löschen von DRA-Zertifikaten immer sicher, dass Sie eine nutzbare Kopie haben, mit der Sie verschlüsselte Dateien wiederherstellen können.

DRA-Änderungen wirken sich erst auf einzelne Computer aus, wenn diese Computer ihre Gruppenrichtlinieneinstellungen aktualisieren. Sie können auf die nächste Aktualisierung der Sicherheitsrichtlinie warten (die standardmäßig alle 90 Minuten erfolgt), den Befehl gpupdate /force auf den betroffenen Computern ausführen oder diese neu starten.

Für eine optimierte Sicherheit des privaten Schlüssels sollten Sie außerdem das DRA-Schlüsselpaar und das bzw. die Zertifikate archivieren. Danach sollten Sie das Schlüsselpaar und das Zertifikat aus dem Benutzerzertifikatspeicher jedes Benutzers löschen, der das Zertifikat und das Schlüsselpaar importiert hat. Stellen Sie dabei sicher, im Export-Assistenten das Kontrollkästchen Privaten Schlüssel nach erfolgreichem Export löschen zu markieren.

Nach der Aktualisierung der DRA-Informationen können Sie mit der Aktualisierung der EFS-geschützten Dateien auf den Zielcomputern fortfahren, wie es im nächsten Abschnitt beschrieben ist.

Aktualisierung von Dateien für neue DRA- oder Benutzerzertifikate

Nachdem Sie die in Ihrem Unternehmen verwendeten DRAs geändert oder aktualisiert haben, müssen Sie alle Dateien aktualisieren, die mit dem früheren DRA geschützt wurden. Dies kann manuell erfolgen, indem jede einzelne Datei geöffnet und gespeichert wird, aber diese Methode ist zeitaufwändig und fehleranfällig. Sie können auch den Befehl Cipher.exe mit dem Switch /U verwenden, der die lokale Festplatte durchgeht und die DRA-Informationen für jede gefundene verschlüsselte Datei aktualisiert.

In diesen Prozess sollten möglicherweise die folgenden Schritte aufgenommen werden:

  • Zeichnen Sie die Ausgabe von Cipher /U in einem Fehlerprotokoll auf, und speichern Sie dieses an einem zentralen Standort (wie eine Netzwerkfreigabe).

  • Ziehen Sie die Verwendung des Flags /I in Betracht, um Cipher.exe zu zwingen, Fehler zu ignorieren. Wenn dies nicht erfolgt, ist Cipher /U nicht in der Lage, gesperrte oder verwendete Dateien zu aktualisieren, sodass der Updateprozess fehlschlägt.

  • Sie sollten vielleicht ein Skript für die Durchführung der Aktualisierung erstellen, statt Cipher /U von der Befehlszeile auszuführen. Die Ausführung eines solchen Skripts kann lange Zeit in Anspruch nehmen, deshalb sollte es möglichst nicht während des Anmeldeprozesses verwendet werden. Allerdings können Sie die Ausführung auf den Computern von Benutzern planen oder die Benutzer bitten, das Skript zu einem passenden Zeitpunkt manuell zu starten.


Weitere Informationen


In diesem Beitrag

Download

Laden Sie das Data Encryption Toolkit for Mobile PCs herunter (engl.)


Anzeigen: