Data Encryption Toolkit for Mobile PCs: Planungs- und Implementierungshandbuch

Kapitel 2: Konfigurations- und Bereitstellungsaufgaben

Veröffentlicht: Mai 29, 2007

Bevor Sie die Microsoft® BitLocker™-Laufwerkverschlüsselung (BitLocker) und das verschlüsselnde Dateisystem (Encrypting File System, EFS) bereitstellen, müssen Sie eine Reihe von Konfigurationsaufgaben durchführen, um Ihre Umgebung für die Bereitstellung vorzubereiten. Die in diesem Kapitel beschriebenen Aufgaben helfen Ihnen bei der Vorbereitung Ihres Active Directory®-Verzeichnisdiensts und Ihres Netzwerks sowie der Bereitstellung von BitLocker und EFS auf Clientcomputern.

Sowohl EFS als auch BitLocker nutzen Active Directory, um einheitliche Konfigurationseinstellungen für mehrere Computer einzurichten. Die für die jeweilige Technologie verfügbaren Einstellungen sind etwas unterschiedlich. Da aber beide Technologien über Active Directory-Gruppenrichtlinienobjekte gesteuert werden können, sollten Sie überlegen, ob Sie Ihren Active Directory-Entwurf nutzen können, um Ihren Computern auf Grundlage von Standort, Verwendungsweise und Benutzern einen entsprechenden Schutz zuzuweisen.

In diesem Kapitel werden die folgenden Aufgaben beschrieben:

  • Auswählen einer BitLocker-Konfiguration für den Schutz sensibler Daten


  • Verwenden von Active Directory-Gruppenrichtlinieneinstellungen, über die Sie die Funktionsweise der Schlüsselsicherung, der Einrichtung und der Datenträgerverschlüsselung mit BitLocker sowie die Interaktion mit dem Trusted Platform Module (TPM) steuern können


  • Verwenden von Active Directory für die Steuerung der EFS-Verschlüsselung und der Zertifikatverwaltung


  • Vorbereiten Ihrer Clientcomputer auf die Verwendung von BitLocker in der ausgewählten Konfiguration


  • Aktivieren von BitLocker auf Clientcomputern


  • Konfigurieren des Microsoft Encrypting File System-Assistenten (EFS-Assistent) für die Verwendung mit EFS auf Ihren Domänencomputern


  • Importieren administrativer Vorlagen für die Anpassung der für EFS verfügbaren Verwaltungstools


  • Konfigurieren der Dateiwiederherstellungs-Agenten für EFS


Auf dieser Seite

Aufgaben zur Vorbereitung der Infrastruktur
Konfigurationsaufgaben auf einzelnen Computern
Weitere Informationen

Aufgaben zur Vorbereitung der Infrastruktur

Sowohl BitLocker als auch EFS erfordern einige Vorbereitungsmaßnahmen innerhalb der Infrastruktur, bevor die Tools in einer Umgebung bereitgestellt werden können. Die in diesem Abschnitt beschriebenen Aufgaben werden normalerweise einmal vor der ersten Bereitstellung durchgeführt und in der Regel nicht wiederholt.

Infrastrukturvorbereitung für BitLocker

Die Infrastrukturvorbereitung für BitLocker erfordert zwei Schritte:

  • Konfigurieren der BitLocker-Optionen mithilfe der Active Directory-Gruppenrichtlinie


  • Vorbereiten der Active Directory-Infrastruktur auf das Speichern von BitLocker-Wiederherstellungsschlüsseln


Konfigurieren von BitLocker-Optionen mithilfe der Gruppenrichtlinie

Windows Vista™ bietet eine Reihe von BitLocker-Steuerungseinstellungen, mit denen die Verfügbarkeit und das Verhalten von BitLocker auf Clientcomputern gesteuert werden kann. Sie steuern diese Einstellungen, indem Sie über die Standardverwaltungstools für Gruppenrichtlinienobjekte in Windows Server® und die administrativen Vorlagen von Windows Vista Active Directory-Gruppenrichtlinienobjekte erstellen. (Weitere Informationen über diese Tools finden Sie in der Windows Server 2003-Onlinehilfe.)

Da Gruppenrichtlinienobjekte einzelnen Computern oder Active Directory-Sites, -Domänen und -Organisationseinheiten zugeordnet werden können, sind Sie sehr flexibel in Ihrer Entscheidung, wie Sie den Computern in Ihrem Unternehmen BitLocker-Einstellungen zuweisen. Sie haben folgende Möglichkeiten:

  • Sie können die Einstellungen einzelnen Computern zuweisen, indem Sie das Gruppenrichtlinienobjekt des lokalen Computers ändern.


  • Sie können Computer mit ähnlichen Funktionen in eine Organisationseinheit gruppieren und dann nur dieser Organisationseinheit eindeutige BitLocker-Einstellungen zuweisen. Beispielsweise können Sie eine separate Organisationseinheit für alle mobilen PCs einrichten, oder nur für mobile PCs, die von Mitarbeitern in bestimmten Geschäftseinheiten oder Positionen genutzt werden.


  • Sie können BitLocker-Richtlinien breit gefasst allen Computern in einer Domäne oder Gesamtstruktur zuweisen. Dieser Ansatz sorgt für eine unkomplizierte Implementierung einer unternehmensweiten Verschlüsselung auf allen Windows Vista-basierten Computern. Computer, auf denen andere Windows-Versionen ausgeführt werden, ignorieren die BitLocker-spezifischen Einstellungen.


Vorbereitungen für das Speichern von Schlüsseln in Active Directory

Für die Aktivierung des Speicherns von TPM-Besitzerkennwörtern und BitLocker-Volumewiederherstellungsdaten in Active Directory müssen Sie die nachfolgend aufgeführten Schritte durchführen. Dabei muss auf allen für BitLocker-Clients zugänglichen Domänencontrollern Windows Server 2003 Service Pack 1 (SP1) oder höher ausgeführt werden.

  1. Erweitern Sie das Active Directory-Schema.


  2. Richten Sie Berechtigungen für die Schemaobjekte der BitLocker- und TPM-Wiederherstellungsinformationen ein.


  3. Konfigurieren Sie ein Gruppenrichtlinienobjekt, um die Active Directory-Sicherung von BitLocker-Schlüsselinformationen zu aktivieren.


  4. Konfigurieren Sie ein Gruppenrichtlinienobjekt, um die Active Directory-Sicherung von TPM-Besitzerkennwortinformationen zu aktivieren.


Eine ausführliche Beschreibung dieser Schritte finden Sie im Handbuch Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information (Konfiguration von Active Directory für die Sicherung von Wiederherstellungsinformationen der Windows BitLocker-Laufwerkverschlüsselung und des Trusted Platform Module, möglicherweise in englischer Sprache).

Wenn Sie die vorstehenden Schritte abgeschlossen haben, können Sie den Wiederherstellungszugriff an andere Personen in Ihrem Unternehmen delegieren.

So delegieren Sie den Wiederherstellungszugriff

  1. Erstellen oder identifizieren Sie eine Active Directory-Sicherheitsgruppe, die alle Benutzerkonten enthält, an die Sie den Zugriff delegieren möchten.


  2. Fügen Sie einen Zugriffssteuerungseintrag (Access Control Entry, ACE) in die freigegebene Zugriffssteuerungsliste (Access Control List, ACL) für die Domäne oder Organisationseinheit ein, die alle Computer enthält, an die Sie den Zugriff delegieren möchten. Der ACE muss dem BitLocker-Wiederherstellungsinformationsobjekt, dem Schlüsselpaket und dem Computerobjekt die Berechtigungen „Zugriff steuern“ und „Leseeigenschaft“ gewähren.


  3. Verwenden Sie dieselbe Methode, um die Wiederherstellung der TPM-Informationen zu aktivieren, und weisen Sie dem TPM-Besitzerinformationsobjekt die Berechtigungen „Zugriff steuern“ und „Leseeigenschaft“ zu.


Als Teil dieses Prozesses sollten Sie außerdem überlegen, ob Sie zwei separaten Benutzergruppen Zugriff auf die TPM- und BitLocker-Wiederherstellungsinformationen zuweisen. Dieser Ansatz trägt dazu bei, die Aufgaben für den Zugriff auf Wiederherstellungsinformationen getrennt zu halten.

Infrastrukturvorbereitung für EFS

Für eine effektive Verwendung von EFS müssen Sie die folgenden Aufgaben zur Vorbereitung der Infrastruktur ausführen:

  1. Vorbereitung von Active Directory und Erstellung von Gruppenrichtlinienobjekten


  2. Verwaltung und Konfiguration von Datenwiederherstellungs-Agenten


  3. Verwaltung und Konfiguration von Schlüsselwiederherstellungs-Agenten


Vorbereiten von Active Directory und Erstellen von Gruppenrichtlinienobjekten

Dieser Abschnitt des Handbuchs beschreibt die erforderlichen Konfigurationsaufgaben, mit denen Sie Ihre Active Directory-Umgebung auf die Unterstützung von EFS vorbereiten. Wenn Sie diese Aufgaben nicht durchführen, können einzelne Clientcomputer, auf denen Windows XP oder Windows Vista ausgeführt wird, EFS zwar verwenden, aber Sie können die EFS-Funktionalität möglicherweise nicht zentral verwalten und steuern.

Steuerung der EFS-Verschlüsselungseinstellungen

Windows Vista™ bietet eine Reihe von Einstellungen, mit denen Sie die Verfügbarkeit und das Verhalten von EFS auf Ihren Clientcomputern steuern können. Sie steuern diese Einstellungen, indem Sie mithilfe der Windows Server-Standardverwaltungstools für Gruppenrichtlinienobjekte Active Directory-Gruppenrichtlinienobjekte erstellen. (Weitere Informationen über diese Tools finden Sie in der Windows Server 2003-Onlinehilfe.)

Da Gruppenrichtlinienobjekte einzelnen Computern oder Active Directory-Sites, -Domänen und -Organisationseinheiten zugeordnet werden können, sind Sie sehr flexibel in Ihrer Entscheidung, wie Sie den Computern in Ihrem Unternehmen EFS-Einstellungen zuweisen. Sie haben folgende Möglichkeiten:

  • Sie können die Einstellungen einzelnen Computern zuweisen, indem Sie das Gruppenrichtlinienobjekt des lokalen Computers ändern.


  • Sie können Computer mit ähnlichen Funktionen in eine Organisationseinheit gruppieren und dann nur dieser Organisationseinheit eindeutige EFS-Einstellungen zuweisen. Beispielsweise können Sie eine separate Organisationseinheit für alle mobilen PCs einrichten, oder nur für mobile PCs, die von Mitarbeitern in bestimmten Geschäftseinheiten oder Positionen genutzt werden.


  • Sie können EFS-Richtlinien breit gefasst allen Computern in einer Domäne oder Gesamtstruktur zuweisen. Dieser Ansatz kann in Kombination mit dem EFS-Assistent verwendet werden und bietet dann eine unkomplizierte Implementierung einer unternehmensweiten Verschlüsselung sowohl auf Windows XP- als auch auf Windows Vista-Computern.


In Windows Vista und Windows XP verfügbare EFS-Einstellungen

Mit der Vorlage für Active Directory-Gruppenrichtlinienobjekte können Sie verschiedene EFS-relevante Einstellungen steuern. Diese sind in der folgenden Tabelle aufgeführt und beschrieben. Weitere Informationen finden Sie in den Windows XP- und Windows Vista-Sicherheitshandbüchern.

Tabelle 2.1. EFS-relevante Einstellungen in der Vorlage für Active Directory-Gruppenrichtlinienobjekte

Name der Einstellung

Verfügbarkeit

Standard

EFS aktivieren

Windows XP, Windows Vista

Zulassen

Dokumente verschlüsseln

Windows Vista

Deaktiviert

Smartcard erforderlich

Windows Vista

Deaktiviert

Zwischenspeicherfähigen Benutzerschlüssel aus Smartcard erstellen

Windows Vista

Deaktiviert

Auslagerungsdateiverschlüsselung aktivieren

Windows Vista

Deaktiviert

Automatische Zertifikatregistrierung

Windows XP, Windows Vista

Aktiviert

Schlüsselgröße für selbstsignierte Zertifikate

Windows Vista

2048 Bit

EFS-Vorlage für automatische Zertifikatanforderungen

Windows Vista

Keine


Aktivieren und Deaktivieren von EFS

Da ein eigenständiges EFS ein erhebliches Risiko birgt, dass Schlüssel (und damit der Zugriff auf verschlüsselte Dateien) verloren gehen, entscheiden sich einige Unternehmen, EFS zu deaktivieren, bis sie eine Zertifizierungsstelle für das Unternehmen und ein domänenbasiertes EFS implementieren können. Sie können die Verwendung von EFS aktivieren oder deaktivieren, indem Sie den Status des Kontrollkästchens Benutzer dürfen das verschlüsselnde Dateisystem verwenden in den Eigenschaften des EFS-Objekts in einem Gruppenrichtlinienobjekt ändern. Das EFS-Objekt befindet sich unter folgendem Pfad: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien öffentlicher Schlüssel.

Wenn Ihr Unternehmen EFS bisher über ein Gruppenrichtlinienobjekt deaktiviert hat, müssen Sie den Status jetzt im Gruppenrichtlinienobjekt ändern, um EFS zu aktivieren. Wenn EFS über lokale Richtlinien oder Änderungen der Registrierung deaktiviert wurde, müssen Sie jetzt die lokalen Richtlinien entfernen oder EFS mit dem Registrierungs-Editor aktivieren. Für die Aktivierung von EFS über die Registrierung suchen Sie in der Registrierung nach einem DWORD-Wert namens EfsConfiguration im HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\EFS-Schlüssel. Sie deaktivieren EFS, indem Sie den Wert auf 1 ändern. Wenn Sie EFS aktivieren möchten, setzen Sie den Wert auf 0. Beachten Sie, dass die Änderung nur den lokalen Computer und nicht die anderen Computer in der Domäne betrifft.

Unterstützung für zusätzliche Verschlüsselungsalgorithmen

Wenn Sie während der Planungsphase festgelegt haben, dass Ihre Bereitstellung von EFS mit den Richtlinien des Federal Information Processing Standards (FIPS) 140-1 kompatibel sein muss, sollten Sie FIPS aktivieren, indem Sie die Option Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden in der lokalen oder Gruppenrichtlinie in Active Directory ändern. Diese Option befindet sich unter folgendem Pfad: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen.

Wenn ein anderer Verschlüsselungsalgorithmus verwendet werden muss (aus anderen Gründen als der FIPS-Kompatibilität), sollten Sie HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS über die Gruppenrichtlinie auf den entsprechenden Clientcomputern ändern.

Windows Vista-spezifische EFS-Optionen

Windows Vista wurden eine Reihe neuer Gruppenrichtlinienoptionen hinzugefügt, mit denen Administratoren Unternehmensrichtlinien für EFS definieren und umsetzen können. Zu diesen Optionen (siehe Abbildung) gehören beispielsweise das erforderliche Verwenden von Smartcards für EFS, das Erzwingen einer Verschlüsselung der Auslagerungsdatei, das Vorschreiben einer Mindestlänge für EFS-Schlüssel und das Durchsetzen der Verschlüsselung des Benutzerordners „Eigene Dateien“. Sie können auf diese Optionen zugreifen, indem Sie das EFS-Objekt in einem Gruppenrichtlinienobjekt bearbeiten. (Dieses Objekt befindet sich unter dem folgenden Pfad: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien öffentlicher Schlüssel.)


Cc162812.1a71105c-d527-4302-a6e6-db91d08078a4(de-de,TechNet.10).gif

Abbildung 2.1. Windows Vista-Optionen für EFS-Eigenschaften

Steuern der automatischen Zertifikatregistrierung

In Windows XP Professional und Windows Vista können sich Benutzer beim Anmelden automatisch für Benutzerzertifikate registrieren. Die automatische Registrierung von Benutzerzertifikaten ist schnell und einfach und ermöglicht Infrastrukturanwendungen für öffentliche Schlüssel (Public Key Infrastructure, PKI) innerhalb einer Active Directory-Umgebung, darunter Smartcard-Anmeldung, EFS, SSL, S/MIME und andere. Die automatische Benutzerregistrierung verringert die hohen Kosten typischer PKI-Bereitstellungen. Zum Aktivieren der automatischen Zertifikatregistrierung müssen Sie eine entsprechende Zertifikatvorlage in Active Directory erstellen. Verwenden Sie das MMC-Snap-In (Microsoft Management Console) „Zertifikatvorlagen“, um eine entsprechende Zertifikatvorlage hinzuzufügen. Weitere Informationen finden Sie im Artikel Certificate Autoenrollment in Windows XP (Automatische Zertifikatregistrierung in Windows XP, möglicherweise in englischer Sprache).

Verwaltung und Konfiguration von Datenwiederherstellungs-Agenten

Microsoft empfiehlt, dass Ihr Unternehmen mindestens einen Datenwiederherstellungs-Agenten (Data Recovery Agent, DRA) für die Verwendung mit EFS definiert. DRAs können reguläre Netzwerkadministratorkonten sein. Allerdings empfiehlt Microsoft die Verwendung dedizierter Konten, die nur für Wiederherstellungsaktivitäten verwendet werden. Ihre Unternehmensrichtlinie oder rechtliche Vorschriften geben möglicherweise zusätzliche Anforderungen wie eine Überwachung und Trennung des Zugriffs an. Die Einhaltung dieser Anforderungen zieht u. U. die Definition separater DRAs für verschiedene Gruppen, Organisationen, Positionen oder andere Unterabteilungen Ihres Unternehmensnetzwerks nach sich.

Zur DRA-Verwaltung gehören die folgenden Aufgaben, die in den nächsten Unterabschnitten ausführlich beschrieben sind:

  • Erstellung von DRA-Benutzerkonten


  • Erstellung und Auffüllung der Sicherheitsgruppen für DRAs


  • Konfiguration der Zertifizierungsstelle für die Ausgabe von DRA-Zertifikaten


  • Anforderung der DRA-Zertifikate


  • Genehmigung DRA-Zertifikatanforderungen für EFS


  • Festlegung einer Datenwiederherstellungsrichtlinie (ein in Kapitel 1 beschriebener Planungsschritt)


  • Export des Zertifikats für die Zuweisung an eine Richtlinie


  • Definition eines Datenwiederherstellungs-Agenten


Erstellen von DRA-Benutzerkonten

Die bewährte Methode für die Verwaltung von DRA-Benutzerkonten besteht darin, separate Benutzerkonten einzurichten, die nur für die Datenwiederherstellung verwendet werden. Dieser Ansatz mindert das Risiko, dass ein Benutzer mit den entsprechenden Rechten Daten falsch wiederherstellt. Dedizierte DRA-Benutzerkonten werden als ganz normale Konten erstellt, denen dann Wiederherstellungsrechte zugewiesen werden.

So erstellen Sie DRA-Benutzerkonten

  1. Öffnen Sie Active Directory-Benutzer und -Computer.


  2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Ordner, dem Sie ein Benutzerkonto hinzufügen möchten. (Active Directory-Benutzer und -Computer/Domänenknoten/Ordner)


  3. Wählen Sie Neu aus, und klicken Sie dann auf Benutzer.


  4. Geben Sie dem Konto einen Namen. Statt dem Namen eines einzelnen Benutzers sollten Sie das Konto nach der Rolle benennen (zum Beispiel Personal-DRA oder Technik-DRA).


  5. Geben Sie in Benutzeranmeldename den Anmeldenamen für den Benutzer ein, klicken Sie in der Dropdownliste auf das UPN-Suffix, und klicken Sie dann auf Weiter.


  6. Geben Sie in Kennwort und Kennwort bestätigen das Kennwort des Benutzers ein, und wählen Sie dann die entsprechenden Kennwortoptionen aus.


  7. Klicken Sie auf OK.


  8. Wiederholen Sie die Schritte 3 bis 7 für jeden weiteren DRA, den Sie erstellen möchten.


Erstellen von Sicherheitsgruppen für DRAs

Microsoft empfiehlt, dass Sie für jede Gruppe von DRAs, die Sie verwenden möchten, eine Active Directory-Sicherheitsgruppe erstellen. Mit diesem Ansatz können Sie effektiv steuern, welche Benutzer Zugriff auf die Datenwiederherstellung von verschiedenen Teilen Ihres Unternehmens haben.

So erstellen Sie Sicherheitsgruppen für DRAs

  1. Öffnen Sie Active Directory-Benutzer und -Computer.


  2. Klicken Sie mit der rechten Maustaste auf Benutzer, klicken Sie auf Neu, klicken Sie auf Gruppe, geben Sie Domänenwiederherstellungs-Agenten (oder einen anderen passenden Namen) ein, und klicken Sie dann auf OK.


  3. Um dieser Gruppe Benutzer hinzuzufügen, klicken Sie mit der rechten Maustaste auf Domänenwiederherstellungs-Agenten unter der Organisationseinheit Benutzer, klicken Sie auf Eigenschaften, und öffnen Sie die Registerkarte Mitglieder. Wählen Sie die Benutzer aus, die Sie dieser Gruppe hinzufügen möchten, und klicken Sie dann auf OK.


  4. Wiederholen Sie die Schritte 2 und 3 für jede weitere DRA-Gruppe.


Konfigurieren der Zertifizierungsstelle für die Ausgabe von DRA-Zertifikaten

Sie müssen Ihre Zertifizierungsstelle für die Ausgabe von Zertifikaten konfigurieren, indem Sie eine Vorlage verwenden, in der sich die Schlüsselverwendungskennzeichen für die EFS-Wiederherstellung befinden. In den folgenden Schritten wird dargelegt, wie Sie die Microsoft-Zertifikatdienste für die Ausgabe digitaler DRA-Zertifikate für EFS konfigurieren. Sie können andere kompatible Zertifizierungsstellen für die Ausgabe von DRA-Zertifikaten für EFS verwenden, allerdings bietet dieses Handbuch keine Anleitung für Zertifizierungsstellendienste von Drittanbietern.

So konfigurieren Sie die Zertifikatdienste für die Ausgabe von EFS-Wiederherstellungszertifikaten

  1. Melden Sie sich bei Windows mit einem Benutzerkonto an, das Zertifikatdienste verwalten darf.


  2. Öffnen Sie die Konsole „Zertifizierungsstelle“, um einen autorisierten Zertifikatdiensteserver auszuwählen. Klicken Sie dafür auf Start, zeigen Sie auf Alle Programme, zeigen Sie auf Verwaltung, und wählen Sie dann Zertifizierungsstelle aus.


  3. Erweitern Sie das Zertifizierungsstellen-Serverobjekt, um seine Komponenten anzuzeigen.


  4. Klicken Sie mit der rechten Maustaste auf den Knoten Zertifikatvorlagen, und wählen Sie Verwalten aus, um die Konsole „Zertifikatvorlage“ wie in der folgenden Abbildung gezeigt zu öffnen.


    Cc162812.5d9e236e-785e-454c-983f-216b50dcce52(de-de,TechNet.10).gif

    Abbildung 2.2. Zertifikatvorlagen in der Konsole „Zertifizierungsstelle“

  5. Das digitale Zertifikat, das für die Ausgabe von Zertifikaten für den EFS-Wiederherstellungs-Agenten verwendet wird, lässt nicht zu, dass die Standardschlüsselgröße von 1024 Bit geändert wird. Sie müssen eine Kopie der integrierten Vorlage erstellen. Die daraus resultierende Kopie der Zertifikatvorlage für den EFS-Wiederherstellungs-Agenten muss entsprechend konfiguriert werden.

    Klicken Sie mit der rechten Maustaste auf die Zertifikatvorlage EFS-Wiederherstellungs-Agent, und wählen Sie dann Doppelte Vorlage aus.


  6. Weisen Sie der neuen Zertifikatvorlage einen neuen Namen (beispielsweise Aktualisierter EFS-Wiederherstellungs-Agent) zu, um sie von der Standardvorlage zu unterscheiden.


  7. Klicken Sie auf die Registerkarte Anforderungsverarbeitung, und konfigurieren Sie die gewünschte Schlüssellänge auf 2048 Bit oder größer.


  8. Klicken Sie auf die Registerkarte Sicherheit, und vergewissern Sie sich, dass die Benutzerkonten, die Sie zu EFS-Wiederherstellungs-Agenten machen möchten, über die Rechte Lesen und Registrieren verfügen.


  9. Klicken Sie auf OK.


  10. Öffnen Sie das Dialogfeld „Eigenschaften“ der ursprünglichen Zertifikatvorlage für den EFS-Wiederherstellungs-Agenten, klicken Sie auf die Registerkarte Sicherheit, und richten Sie für alle Benutzer die Berechtigungen Verweigern/Registrieren ein. Klicken Sie auf OK.


  11. Wechseln Sie zur Konsole „Zertifizierungsstelle“, klicken Sie mit der rechten Maustaste auf das Objekt Zertifikatvorlagen, und wählen Sie Neu und anschließend Auszustellende Zertifikatvorlage aus.


  12. Wählen Sie das neue, stärkere Zertifikat für den EFS-Wiederherstellungs-Agenten aus, und klicken Sie auf OK.


  13. Schließen Sie die Konsole „Zertifizierungsstelle“.


  14. Lassen Sie alle vorhandenen EFS-Wiederherstellungs-Agenten mit den neuen, stärkeren Zertifikatvorlagen für den EFS-Wiederherstellungs-Agenten neue digitale Zertifikate anfordern.


  15. Genehmigen Sie die neuen Zertifikate für den EFS-Wiederherstellungs-Agenten, und stellen Sie diese aus.


  16. Stellen Sie sicher, dass die neuen privaten Schlüssel für den EFS-Wiederherstellungs-Agenten (diese Dateien haben die Dateierweiterung PFX) an mindestens zwei separaten und sicheren Standorten archiviert bzw. gesichert werden, und löschen Sie diese dann vom lokalen Computer, bis sie für die Wiederherstellung benötigt werden.


Hinweis   Alle DRA- und KRA-Zertifikate für EFS müssen vom neu konfigurierten Zertifikat ausgestellt werden, da sie andernfalls die ursprünglich eingerichtete Schlüssellänge haben.

Unternehmen, die bereits EFS und EFS-Wiederherstellungs-Agenten über die Standardvorlage bereitgestellt haben, müssen zuvor mit dem schwächeren EFS-Wiederherstellungs-Agenten verschlüsselte Dateien mit dem neuen und stärkeren Zertifikat für den EFS-Wiederherstellungs-Agenten verschlüsseln. Dieser Prozess erfolgt automatisch auf einer Datei-für-Datei-Basis, wenn einzelne Dateien verändert werden.

Sie können EFS anweisen, alle verschlüsselten Dateien auf lokalen Laufwerken auf einmal zu aktualisieren, indem Sie eine Eingabeaufforderung öffnen, Cipher.exe /U eingeben und die EINGABETASTE drücken.

Wenn alle verschlüsselten Dateien mit dem neuen Zertifikat für den EFS-Wiederherstellungs-Agenten neu verschlüsselt sind und Sie sichergestellt haben, dass Sicherungskopien des ursprünglichen Schlüssels für den EFS-Wiederherstellungs-Agenten an mindestens zwei separaten und sicheren Standorten gespeichert sind, können Sie den ursprünglichen Wiederherstellungsschlüssel im Zertifikatvorlagenobjekt in der Konsole „Zertifizierungsstelle“ löschen.

Anfordern von DRA-Zertifikaten für einen einzelnen Benutzer

Falls mehrere Wiederherstellungs-Agenten für die Domäne benötigt werden, oder sich der Wiederherstellungs-Agent aus rechtlichen Gründen oder aufgrund von Unternehmensrichtlinien vom Domänenadministrator unterscheiden muss, müssen Sie bestimmte Benutzer als Wiederherstellungs-Agenten identifizieren. Für diese Benutzer müssen Dateiwiederherstellungszertifikate ausgestellt werden.

Dafür muss Folgendes gegeben sein:

  • Sie benötigen eine verfügbare Unternehmenszertifizierungsstelle.


  • Die Richtlinie für die Unternehmenszertifizierungsstelle muss zulassen, dass die designierten Benutzer/Agenten ein Dateiwiederherstellungszertifikat anfordern und erhalten können.


  • Jeder Benutzer muss ein Dateiwiederherstellungszertifikat anfordern.


Dieser Prozess kann entweder durch die Aktivierung der automatischen Zertifikatregistrierung automatisiert erfolgen, oder manuell über die folgenden Schritte durchgeführt werden:

So erstellen Sie ein Zertifikat für den EFS-Wiederherstellungs-Agenten

  1. Klicken Sie im Menü Start auf Ausführen, geben Sie mmc ein, und klicken Sie dann auf OK.


  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen, und klicken Sie anschließend auf Hinzufügen.


  3. Doppelklicken Sie auf Zertifikate, wählen Sie Eigenes Benutzerkonto aus, und klicken Sie dann auf Fertig stellen. Klicken Sie auf Schließen und dann auf OK.


  4. Klicken Sie auf das Pluszeichen (+) neben Zertifikate – Aktueller Benutzer, um den Ordner zu erweitern.


  5. Klicken Sie mit der rechten Maustaste auf Persönlich im linken Fenster, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Neues Zertifikat anfordern, um den Zertifikatanforderungs-Assistenten zu starten.


  6. Die erste Seite des Assistenten ist rein informativ. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.


  7. Eine Liste der Zertifikatvorlagen wird angezeigt. Wählen Sie EFS-Wiederherstellungs-Agent aus, und klicken Sie auf Weiter.


  8. Geben Sie einen Anzeigenamen ein, um dieses Zertifikat von anderen zu unterscheiden, und fügen Sie ggf. eine Beschreibung hinzu. Klicken Sie auf Weiter und dann auf Fertig stellen, um das Zertifikat anzufordern.


  9. Klicken Sie auf OK, um die erfolgreiche Zertifikatanforderung zu bestätigen.


Für eine domänenweite EFS-Wiederherstellungsrichtlinie muss das zuvor erstellte Zertifikat für den EFS-Wiederherstellungs-Agenten im CER-Format exportiert werden.

Genehmigung von DRA-Zertifikatanforderungen für EFS

In der Regel müssen DRA-Zertifikatanforderungen für EFS manuell in den Zertifikatdiensten genehmigt werden.

So prüfen und genehmigen Sie DRA-Anforderungen, die an einen Microsoft-Zertifikatdiensteserver übermittelt wurden

  1. Melden Sie sich bei Windows mit einem Benutzerkonto an, das digitale Zertifikatanforderungen in den Zertifikatdiensten genehmigen darf.


  2. Öffnen Sie die Konsole „Zertifizierungsstelle“, um einen autorisierten Zertifikatdiensteserver auszuwählen. Klicken Sie dafür auf Start, zeigen Sie auf Alle Programme, zeigen Sie auf Verwaltung, und wählen Sie dann Zertifizierungsstelle aus.


  3. Erweitern Sie den Zertifizierungsstellenserver, um seine Komponenten anzuzeigen.


  4. Klicken Sie auf Ausstehende Anforderungen. Das rechte Fenster zeigt eine Liste ausstehender Zertifikatanforderungen an, die auf eine Genehmigung warten.


  5. Suchen Sie nach der entsprechenden ausstehenden Zertifikatanforderung für den EFS-Wiederherstellungs-Agenten, klicken Sie mit der rechten Maustaste darauf, und wählen Sie Ausstellen aus. Schließen Sie die Konsole „Zertifizierungsstelle“, wenn Sie fertig sind.


Cc162812.note(de-de,TechNet.10).gif Hinweis:

Wenn Sie eine Zertifikatvorlage verwenden, die von einem Manager genehmigt werden muss, und Sie mit dieser Vorlage manuell ein Zertifikat anfordern, schlägt die Anforderung u. U. fehl. In diesem Fall muss die Vorlage so bearbeitet werden, dass die erforderliche Genehmigung durch einen Manager entfernt wird, oder mit einer anderen Vorlage eine neue Anforderung erstellt werden.

Exportieren von Zertifikaten für die Zuweisung an eine Richtlinie

Wenn Sie einem einzelnen Benutzer ein DRA-Zertifikat zugewiesen haben, müssen Sie dieses Zertifikat exportieren, damit es an ein Gruppenrichtlinienobjekt angehängt und als Wiederherstellungsrichtlinie zugewiesen werden kann.

So exportieren Sie ein Zertifikat für die Zuweisung an eine Richtlinie

  1. Erweitern Sie in der Konsole „Zertifikate“ den Ordner Persönlich.


  2. Klicken Sie im rechten Fenster mit der rechten Maustaste auf das soeben erstellte Zertifikat, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Exportieren. Klicken Sie auf Weiter, um den Exportprozess zu starten.


  3. Markieren Sie das Kontrollkästchen Nein, privaten Schlüssel nicht exportieren, und klicken Sie dann auf Weiter.


  4. Behalten Sie das Standarddateiformat CER bei, und klicken Sie auf Weiter.


  5. Geben Sie einen Dateipfad und -namen an, und klicken Sie anschließend auf Weiter.


  6. Um den Exportvorgang durchzuführen, klicken Sie auf Fertig stellen und dann auf OK.


  7. Schließen Sie die Konsole „Zertifikate“.


Definition eines Datenwiederherstellungs-Agenten

Für die Festlegung von DRAs ändern Sie das PKI-Richtlinienobjekt innerhalb eines Gruppenrichtlinienobjekts, fügen einen DRA hinzu, und verknüpfen das DRA-Zertifikat mit dem DRA. Dafür benötigen Sie das DRA-Zertifikat im CER-Format.

So definieren Sie einen DRA

  1. Klicken Sie im Menü Start auf Ausführen, geben Sie mmc ein, und klicken Sie dann auf OK.


  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.


  3. Klicken Sie auf Hinzufügen, gehen Sie mit dem Bildlauf nach unten, und doppelklicken Sie dann auf Gruppenrichtlinie.


  4. Wählen Sie das Gruppenrichtlinienobjekt aus, das Sie für die Zuweisung der DRA-Richtlinie an die betroffenen Computer verwenden, und klicken Sie dann auf OK.


  5. Klicken Sie auf das Pluszeichen (+) neben dem gewünschten Gruppenrichtlinienobjekt, um die Struktur zu erweitern. Erweitern Sie Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen und Richtlinien öffentlicher Schlüssel. Klicken Sie auf Verschlüsselndes Dateisystem.


  6. Klicken Sie mit der rechten Maustaste auf Verschlüsselndes Dateisystem, und klicken Sie dann auf Datenwiederherstellungs-Agenten hinzufügen.


  7. Klicken Sie auf dem Bildschirm des Assistenten zum Hinzufügen eines Wiederherstellungs-Agenten auf Weiter, klicken Sie auf Ordner durchsuchen, und navigieren Sie dann zum Ordner Dokumente und Einstellungen des Administrators. Doppelklicken Sie auf die Datei DRA.CER, klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen.


Verwaltung und Konfiguration von Schlüsselwiederherstellungs-Agenten

Die nächste Implementierungsaufgabe, die für die Bereitstellung von EFS erforderlich ist, besteht in der Einrichtung der Konten und der Infrastruktur für Ihren Schlüsselwiederherstellungs-Agent (Key Recovery Agent, KRA).

Konfigurieren der Zertifikatdienste für die Schlüsselarchivierung

Wenn Sie die Windows Server 2003-Zertifikatdienste verwenden, können Sie Ihre Zertifizierungsstelle für die automatische Schlüsselarchivierung konfigurieren. Nur Windows Server 2003 und spätere Servereditionen ermöglichen eine automatische Schlüsselarchivierung. Die Konfiguration der automatischen Schlüsselarchivierung beinhaltet die folgenden Aufgaben, die in den nächsten Unterabschnitten ausführlich beschrieben sind:

  • Aktivierung der Zertifikate für den Schlüsselwiederherstellungs-Agenten


  • Anforderung und Ausstellung der Zertifikate für den Schlüsselwiederherstellungs-Agenten


  • Genehmigung der Zertifikatanforderungen


  • Konfiguration der Schlüsselwiederherstellungs-Agent in den Zertifikatdiensten


  • Konfiguration der digitalen Zertifikatvorlage, sodass diese ein Archivierungsfunktionskennzeichen für die Archivierung ausgestellter Zertifikate enthält


Aktivieren der Zertifikate für den Schlüsselwiederherstellungs-Agenten

Um Zertifikatanforderungen für den Schlüsselwiederherstellungs-Agenten zu ermöglichen, müssen Sie diese zunächst in den Zertifikatdiensten aktivieren.

So ermöglichen Sie KRA-Zertifikatanforderungen

  1. Wählen Sie einen oder mehrere Benutzerkonten aus, die Schlüsselwiederherstellungs-Agenten werden sollen.


  2. Melden Sie sich bei Windows mit einem Benutzerkonto an, das Zertifikatdienste verwalten darf.


  3. Öffnen Sie die Konsole „Zertifizierungsstelle“ (Start, Alle Programme, Verwaltung, Zertifizierungsstelle), und hängen Sie diese an einen autorisierten Zertifikatdiensteserver an.


  4. Erweitern Sie den Knoten Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf das Objekt Zertifikatvorlagen, und wählen Sie Verwalten aus, um die Konsole „Zertifikatvorlage“ zu öffnen.


  5. Klicken Sie mit der rechten Maustaste auf die Zertifikatvorlage Schlüsselwiederherstellungs-Agent, und wählen Sie dann Eigenschaften aus.


  6. Klicken Sie auf die Registerkarte Sicherheit, und stellen Sie sicher, dass die Benutzerkonten, die KRAs werden sollen (und in Schritt 1 ausgewählt wurden), die Rechte Lesen und Registrieren haben.


  7. Klicken Sie auf die Registerkarte Anforderungsverarbeitung, und vergewissern Sie sich, dass die Option Minimale Schlüsselgröße auf 2048 Bit oder größer eingerichtet ist.

    Cc162812.note(de-de,TechNet.10).gif Hinweis:

    Microsoft empfiehlt jetzt eine Mindestgröße von 2048 Bit für alle DRA- und KRA-Wiederherstellungsschlüssel.


  8. Klicken Sie auf OK .


  9. Wenn Schlüssel mit 1024 Bit oder weniger bereits erstellt und verwendet wurden, müssen neue, längere Schlüssel als Ersatz für die schwächeren Schlüssel generiert werden. Klicken Sie mit der rechten Maustaste auf die Zertifikatvorlage Schlüsselwiederherstellungs-Agent, und wählen Sie dann Alle Zertifikatinhaber erneut registrieren aus.


  10. Wechseln Sie zur Konsole „Zertifizierungsstelle“, klicken Sie mit der rechten Maustaste auf das Objekt Zertifikatvorlagen, und wählen Sie Neu und dann Auszustellende Zertifikatvorlage aus.


  11. Wählen Sie Zertifikat des Schlüsselwiederherstellungs-Agent aus, und klicken Sie auf OK.


  12. Schließen Sie die Konsolen „Zertifikatvorlagen“ und „Zertifizierungsstelle“.


Anfordern und Ausstellen von Zertifikaten für den Schlüsselwiederherstellungs-Agenten

Wenn Sie festgelegte Konten für den Einsatz als KRAs aktiviert haben, müssen Sie KRA-fähige Zertifikate für diese Benutzer ausstellen.

Cc162812.note(de-de,TechNet.10).gif Hinweis:

Zertifikate für den Schlüsselwiederherstellungs-Agenten können auf vielerlei Weise angefordert werden, beispielsweise über die Konsole „Zertifikate“, die Webregistrierung (falls aktiviert) oder über manuelle Zertifikatanforderungsdateien. Dieses Handbuch beschreibt die Methode über die Konsole „Zertifikate“.

So stellen Sie KRA-fähige Zertifikate aus

  1. Melden Sie sich mit dem KRA-Benutzerkontoanmeldenamen und dem entsprechenden Kennwort bei Windows an.


  2. Klicken Sie auf Start, Ausführen, geben Sie MMC.EXE ein, und drücken Sie die EINGABETASTE. Klicken Sie auf Weiter, wenn Sie von der Benutzerkontensteuerung dazu aufgefordert werden.


  3. Klicken Sie auf die Menüoption Datei, und wählen Sie dann Snap-In hinzufügen/entfernen aus.


  4. Wählen Sie das Snap-In Zertifikate aus, und klicken Sie dann auf Hinzufügen.


  5. Wenn Sie dazu aufgefordert werden, wählen Sie Eigenes Benutzerkonto aus, klicken Sie auf Fertig stellen, und klicken Sie dann auf OK.


  6. Erweitern Sie das Objekt Zertifikate – Aktueller Benutzer, und klicken Sie dann auf das Objekt Persönlich.


  7. Klicken Sie mit der rechten Maustaste auf Persönlich, wählen Sie Alle Aufgaben aus, und klicken Sie dann auf Neues Zertifikat anfordern.


  8. Klicken Sie im Zertifikatanforderungs-Assistenten auf Weiter.


  9. Wählen Sie Schlüsselwiederherstellungs-Agent im Dialogfeld Zertifikattyp aus, und klicken Sie dann auf Weiter.


  10. Geben Sie einen Anzeigenamen (zum Beispiel Zertifikat für meinen Wiederherstellungs-Agenten) und eine Beschreibung ein, klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen.


  11. Schließen Sie die Konsole „Zertifikate“, wenn Sie diese nicht mehr benötigen.


  12. Melden Sie sich von Windows ab.


Wiederholen Sie die Schritte 1 bis 12 für alle Benutzer, die autorisiert sind, ein Zertifikat für einen Schlüsselwiederherstellungs-Agenten zu erhalten.

Genehmigen von Zertifikatanforderungen

Normalerweise müssen KRA-Zertifikatanforderungen manuell in den Zertifikatdiensten genehmigt werden.

So genehmigen Sie KRA-Zertifikate

  1. Melden Sie sich bei Windows mit einem Benutzerkonto an, das digitale Zertifikatanforderungen in den Zertifikatdiensten genehmigen darf.


  2. Öffnen Sie die Konsole „Zertifizierungsstelle“, und verbinden Sie sich mit einem autorisierten Zertifikatdiensteserver.


  3. Erweitern Sie den Knoten Zertifizierungsstelle, und klicken Sie dann auf Ausstehende Anforderungen. Das rechte Fenster zeigt ausstehende Zertifikatanforderungen an, die auf eine Genehmigung warten.


  4. Wählen Sie die KRA-Zertifikatanforderungen aus, die Sie genehmigen möchten.


  5. Klicken Sie mit der rechten Maustaste auf jede KRA-Anforderung, und wählen Sie dann Ausstellen aus.


  6. Schließen Sie die Konsole „Zertifizierungsstelle“.


Konfigurieren von Schlüsselwiederherstellungs-Agenten in den Zertifikatdiensten

Jeder Schlüsselwiederherstellungs-Agent muss den Zertifikatdiensten hinzugefügt werden.

So fügen Sie den Zertifikatdiensten KRAs hinzu

  1. Melden Sie sich bei Windows mit einem Benutzerkonto an, das Zertifikatdienste verwalten darf.


  2. Öffnen Sie die Konsole „Zertifizierungsstelle“, und verbinden Sie sich mit einem autorisierten Zertifikatdiensteserver.


  3. Klicken Sie mit der rechten Maustaste auf das Serverobjekt, und wählen Sie Eigenschaften aus.


  4. Klicken Sie auf die Registerkarte Wiederherstellungs-Agenten (die im folgenden Screenshot dargestellt ist).


    Cc162812.57b5ad90-e987-4a94-b282-f8ebe8ff066d(de-de,TechNet.10).gif

    Abbildung 2.3. Die Registerkarte „Wiederherstellungs-Agenten“ für ein Serverobjekt in der Konsole „Zertifizierungsstelle“

  5. Geben Sie im Feld Anzahl der zu verwendenden Wiederherstellungs-Agenten die Anzahl der Schlüsselwiederherstellungs-Agenten ein, die für die Verschlüsselung des archivierten Schlüssels verwendet werden. Dieser Wert muss mindestens 1 sein. Wenn der Wert allerdings die Anzahl der Zertifikate für den Wiederherstellungs-Agenten mit Status „Gültig“ übertrifft, schlagen neue Registrierungsanforderungen für den archivierten Schlüssel fehl.


  6. Klicken Sie auf Hinzufügen, und fügen Sie einen oder mehrere der zuvor genehmigten KRAs hinzu. Klicken Sie danach auf OK.


  7. Wählen Sie Ja aus, wenn Sie aufgefordert werden, die Zertifikatdienste zu beenden und neu zu starten. Neue Schlüsselwiederherstellungs-Agenten werden erst geladen, wenn Sie die Zertifikatdienste beendet und neu gestartet haben.


  8. Schließen Sie die Konsole „Zertifizierungsstelle“, wenn Sie diese nicht mehr benötigen.


Erstellen einer neuen EFS-Zertifikatvorlage für die Schlüsselarchivierung

Das digitale Zertifikat, mit dem digitale EFS-Zertifikate für Benutzer ausgestellt werden, muss für die automatische Archivierung von Schlüsseln konfiguriert werden. Diese Option kann nicht für die integrierte Basis-EFS-Zertifikatvorlage aktiviert werden. Sie müssen die integrierte Vorlage kopieren und dann die EFS-Zertifikatvorlagenkopie für die automatische Schlüsselarchivierung aktivieren.

So konfigurieren Sie ein digitales Zertifikat für die automatische Schlüsselarchivierung

  1. Melden Sie sich bei Windows mit einem Benutzerkonto an, das Zertifikatdienste verwalten darf.


  2. Öffnen Sie die Konsole „Zertifizierungsstelle“, und verbinden Sie sich mit einem autorisierten Zertifikatdiensteserver.


  3. Erweitern Sie den Knoten Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf den Knoten Zertifikatvorlagen, und wählen Sie Verwalten aus, um die Konsole „Zertifikatvorlage“ zu öffnen.


  4. Klicken Sie mit der rechten Maustaste auf die Zertifikatvorlage Basis-EFS, und wählen Sie Doppelte Vorlage aus.


  5. Weisen Sie der neuen Zertifikatvorlage einen neuen Namen (beispielsweise Aktualisiertes Basis-EFS) zu, um sie von der Standardvorlage zu unterscheiden.


  6. Klicken Sie auf die Registerkarte Anforderungsverarbeitung, und markieren Sie das Kontrollkästchen Privaten Schlüssel für die Verschlüsselung archivieren, wie im folgenden Screenshot gezeigt.


    Cc162812.c10c48ea-8cdd-4057-8b41-760fa2df9665(de-de,TechNet.10).gif

    Abbildung 2.2. Das Dialogfeld „Eigenschaften der neuen Vorlage“ in der Konsole „Zertifizierungsstelle“

  7. Richten Sie die gewünschte Schlüssellänge ein (z. B. 2048 Bit).


  8. Klicken Sie auf die Registerkarte Sicherheit, und vergewissern Sie sich, dass die Benutzerkonten, die am EFS teilnehmen sollen, über die Rechte Lesen und Registrieren verfügen.


  9. Richten Sie andere Optionen für die Zertifikatvorlage wie gewünscht ein, beispielsweise die automatische Registrierung, die Nutzungsdauer und so weiter.


  10. Klicken Sie auf der Originalzertifikatvorlage Basis-EFS auf die Registerkarte Sicherheit, und richten Sie einen neuen Zugriffssteuerungseintrag ein, der dem Recht Registrieren die Aktion Verweigern zuweist.

    Cc162812.note(de-de,TechNet.10).gif Hinweis:

    Alle ausgestellten EFS-Zertifikate müssen vom neu konfigurierten Zertifikat ausgestellt werden, andernfalls werden die Schlüssel nicht automatisch archiviert.


  11. Klicken Sie auf OK, und beenden Sie die Konsole „Zertifizierungsstelle“.


Erstellen und Verwenden eines Offlinewiederherstellungs-Agenten

Microsoft empfiehlt ausdrücklich, dass KRAs und DRAs für die Offlineverwendung konfiguriert und nur aktiviert werden, wenn sie für Wiederherstellungszwecke benötigt werden. Für die Erstellung eines Offlinewiederherstellungs-Agenten sind vier allgemeine Schritte erforderlich:

  1. Erstellung eines neuen Benutzerkontos, das nur für Wiederherstellungsereignisse verwendet wird.


  2. Anforderung, Generierung und Zuweisung eines digitalen DRA- oder KRA-Zertifikats für das neue Konto.


  3. Export des Zertifikats und des privaten Schlüssels, Entfernen beider aus dem Netzwerk und sicheres Speichern.


  4. Deaktivierung des Wiederherstellungsbenutzerkontos, sodass dieses nicht verwendet werden kann, bis es benötigt wird.


Die Schritte 1 und 2 werden an anderer Stelle in diesem Handbuch erörtert, und Schritt 4 ist eine Standardaufgabe für die Kontoverwaltung in Windows. Schritt 3 erfordert dagegen einige zusätzliche Erklärungen.

Export und Entfernen eines Wiederherstellungszertifikats

Führen Sie die folgenden Schritte aus, um ein Wiederherstellungszertifikat für die Offlineverwendung zu exportieren und zu entfernen.

So exportieren und entfernen Sie ein Wiederherstellungszertifikat

  1. Melden Sie sich bei Windows mit dem Wiederherstellungsbenutzerkonto an, für das Sie Schlüssel exportieren möchten.


  2. Klicken Sie auf Start, Ausführen, geben Sie MMC.EXE ein, und drücken Sie die EINGABETASTE. Wenn Sie von der Benutzerkontensteuerung dazu aufgefordert werden, klicken Sie auf Weiter.


  3. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.


  4. Wählen Sie das Snap-In Zertifikate aus, und klicken Sie dann auf die Schaltfläche Hinzufügen.


  5. Wenn Sie dazu aufgefordert werden, markieren Sie das Optionsfeld Eigenes Benutzerkonto, klicken Sie auf Fertigstellen, und klicken Sie dann auf OK.


  6. Erweitern Sie das Objekt Zertifikate – Aktueller Benutzer, erweitern Sie Persönlich, und klicken Sie dann auf Zertifikate.


  7. Suchen Sie nach dem korrekten digitalen Wiederherstellungszertifikat. Wenn Sie nicht sicher sind, welches Zertifikat Sie verwenden sollen, suchen Sie nach digitalen Zertifikaten mit der Beschreibung Dateiwiederherstellung oder Schlüsselwiederherstellung im Feld Beabsichtigte Zwecke.


  8. Klicken Sie mit der rechten Maustaste auf das digitale Wiederherstellungszertifikat, klicken Sie dann auf Alle Aufgaben, und klicken Sie anschließend auf Exportieren, um den Zertifikatexport-Assistenten zu starten.


  9. Klicken Sie auf die Schaltfläche Weiter.


  10. Markieren Sie das Kontrollkästchen Ja, privaten Schlüssel exportieren, und klicken Sie dann auf Weiter.


  11. Markieren Sie das Kontrollkästchen Privaten Schlüssel nach erfolgreichem Export löschen, und klicken Sie dann auf Weiter.


    Cc162812.98313b0b-0b11-4d33-aaf6-0a5ac35dce84(de-de,TechNet.10).gif

    Abbildung 2.5. Eingabeaufforderung zum „Exportdateiformat“ im Zertifikatexport-Assistenten

  12. Geben Sie zum Schutz zweimal ein Kennwort ein, und klicken Sie dann auf Weiter.


  13. Klicken Sie auf Durchsuchen, und wählen Sie dann den Standort aus, an dem Sie das exportierte Wiederherstellungszertifikat speichern möchten.


  14. Geben Sie einen Dateinamen für die gesicherten Wiederherstellungsschlüssel und das Zertifikat ein. Behalten Sie die Dateierweiterung PFX bei, um das erneute Importieren des Schlüssels zu vereinfachen.


  15. Klicken Sie auf Speichern, klicken Sie auf Weiter, klicken Sie auf Fertig stellen, und klicken Sie anschließend auf OK.


  16. Kopieren Sie die aus diesem Vorgang resultierende Sicherungsdatei an einen anderen Standort, und löschen Sie die Datei aus dem aktuellen Standort, wenn sie nicht benötigt wird. Leeren Sie auf jeden Fall den Papierkorb, nachdem Sie digitale EFS-Zertifikate oder -Dateien gelöscht haben.


  17. Speichern Sie das gesicherte digitale Wiederherstellungszertifikat und die Schlüssel an mindestens zwei verschiedenen sicheren Standorten.


Cc162812.note(de-de,TechNet.10).gif Hinweis:

Wenn der private Schlüssel des Wiederherstellungszertifikats exportiert wird, sollte der öffentliche Wiederherstellungsschlüssel (für die Verschlüsselung des FEK) auf dem Computer bleiben. Wenn Sie ihn löschen, könnten Sie den Wiederherstellungs-Agenten nicht für die Verschlüsselung oder Wiederherstellung von EFS-geschützten Dateien oder Schlüsseln aktivieren.

Konfigurationsaufgaben auf einzelnen Computern

Zusätzlich zu den bereits beschriebenen Konfigurationsaufgaben für die Infrastruktur müssen Sie Konfigurationsaufgaben auf einzelnen Computern durchführen.

Konfigurationsaufgaben für BitLocker auf einzelnen Computern

Folgende Aufgaben sind für die Konfiguration von BitLocker auf einem Computer erforderlich:

  • Überprüfung, ob der Computer für die Ausführung von BitLocker geeignet ist


  • Aktivierung und Initialisierung des TPM, wenn dieses vorhanden ist


  • Aktivierung von BitLocker


BIOS-Update für TPM-Unterstützung

Sie haben in der Planungsphase festgelegt, welche Computer mit BitLocker verwendet werden und auf welchen dieser Computer TPM 1.2-Hardware (oder höher) und ein kompatibles BIOS verfügbar sind. Der erste Schritt der Konfigurationsaufgaben für BitLocker auf einzelnen Computern besteht darin, ein BIOS-Update auf den Computern durchzuführen, auf denen dies erforderlich ist.

Die spezifischen Schritte für das BIOS-Update auf einem einzelnen Computer sind je nach Hersteller unterschiedlich. BIOS-Firmwareupdates werden oft auf den im Lieferumfang neuer Computer enthaltenen Medien ausgeliefert und können außerdem in der Regel von der Website des OEM- oder Hauptplatinenanbieters heruntergeladen werden. Im Allgemeinen müssen Sie für mobile Computer einen bootfähigen CD- oder USB-Datenträger mit dem vom Hersteller bereitgestellten BIOS-Abbild erstellen, und den Datenträger dann beim Starten eines an das Netz angeschlossenen Computers verwenden. Dieser Prozess erfordert natürlich den physischen Zugriff auf jeden Computer, der aktualisiert werden soll. Folgen Sie den Anweisungen für ein BIOS-Firmwareupdate Ihres Anbieters, und starten Sie den Computer neu, wenn Sie die Aktualisierung durchgeführt haben.

Cc162812.note(de-de,TechNet.10).gif Hinweis:

Dass alle teilnehmenden Computer über die neuesten BIOS-Firmwareupdates verfügen, ist aus verschiedenen Gründen wichtig, darunter Softwareupdates und Leistungsverbesserungen. Stellen Sie vor der Aktivierung von TPM oder BitLocker in Windows Vista sicher, dass die neueste Firmwareversion installiert ist.

Bestätigung eines stabilen Startpfads

BitLocker und TPM stellen die Integrität des Startpfads vom Computerstart durch den Startprozess von Windows Vista sicher, indem eine Reihe von Überprüfungen durchgeführt werden, die zusammen als TPM-Plattformvalidierungsprofil (PVP) bezeichnet werden. Wenn der Startprozess nach der Installation von BitLocker wesentlich verändert wird, weichen die PVP-Ergebnisse ab. In diesem Fall kann eine Integritätsveränderung festgestellt werden. Bei einer derartigen Integritätsveränderung könnte BitLocker das Entsperren des Betriebssystemvolumes ohne den Einsatz einer zusätzlichen Wiederherstellungsmethode verweigern.

Aus diesem Grund sollten Sie sicherstellen, dass der Hardware- und Softwarestartpfad vollständig konfiguriert und stabil sind, bevor Sie BitLocker aktivieren. Jeder Computer, auf dem BitLocker aktiviert wird, sollte speziell über Folgendes verfügen:

  • Eine BIOS-Konfiguration, die das korrekte Startgerät darstellt


  • Alle optionalen Geräte, die ROM-Firmware anwenden, müssen installiert sein


  • Konfigurierte Wake-on-LAN-Ereignisse


  • Konfigurierte Windows-Startkonfigurationsdaten (Boot Configuration Data, BCD)


Sie können über die Richtlinie „Lokaler Computer“ und die Active Directory-Gruppenrichtlinie konfigurieren, welche Startkomponenten (die als Plattformkonfigurationsregister oder PCRs bezeichnet werden) während des Startprozesses vom TPM berücksichtigt werden. Für die meisten Anwendungen bietet der PCR-Standardsatz ausreichende Sicherheit, und Microsoft empfiehlt, diesen nicht zu ändern.

Nach der Installation von BitLocker führt eine Veränderung von Komponenten mit einem entsprechenden PCR dazu, dass BitLocker ein Wiederherstellungskennwort anfordert. Beispiele für PCR-Veränderungen sind ein BIOS-Update, das Hinzufügen zusätzlicher ROM-fähiger Startgeräte, das Ändern des Master Boot Record (MBR), der Partitionstabelle, der unteren Startsektordaten, der Startkonfigurationsdaten oder des Start-Managers, sowie die Installation eines anderen Betriebssystems in einem neuen Dual-Boot-Szenario.

Cc162812.note(de-de,TechNet.10).gif Hinweis:

Der Windows Vista Master Boot Record (MBR), der Startsektorcode und der Start-Manager stellen einen wichtigen Integritätsschutz für BitLocker bereit. Microsoft empfiehlt, keine Startladeprogramme von Drittanbietern zu verwenden. Wenn Sie nach der Aktivierung von BitLocker ein neues Startladeprogramm hinzufügen, wird eine Wiederherstellung ausgelöst. Wenn Sie vor der Aktivierung von BitLocker die Startladeprogramme wechseln, kann BitLocker keine sichere Startumgebung erhalten.

Aktivierung des TPM

Wenn Sie eine Bereitstellung von BitLocker mit TPM planen, müssen Sie das TPM auf jedem Clientcomputer aktivieren. Computer, die als Windows Vista-kompatibel zertifiziert sind, sollten eine BIOS-Version enthalten, die BitLocker die Aktivierung von TPM als Teil des BitLocker-Setupprozesses ermöglicht. Andernfalls erfordert die Aktivierung des TPM in der Regel, dass Sie das BIOS-Setup- und -Konfigurationsprogramm des Computers verwenden, das normalerweise durch Drücken einer bestimmten Tastenkombination während des Hardwarestartprozesses des Computers gestartet wird. Die TPM-Option befindet sich oft unter Erweiterte Optionen oder Konfiguration von Peripheriegeräten in den Konfigurationsfenstern, es gibt keinen Standardstandort. Wenn die Option deaktiviert ist, wählen Sie Aktivieren aus, speichern Sie die neuen BIOS-Einstellungen, beenden Sie das Programm, und starten Sie dann bei Bedarf neu. Nach dem Neustart wird bei den meisten mit TPM ausgestatteten Computern ein Fenster wie das im folgenden Screenshot angezeigt, in dem der Benutzer aufgefordert wird, die Aktivierung des TPM zu bestätigen.


Cc162812.e6903e71-09fe-424c-87de-d344db8d8e05(de-de,TechNet.10).gif

Abbildung 2.6. Beispiel für ein TPM-Bestätigungsdialogfeld

Initialisierung des TPM mit Windows Vista

Wenn ein TPM mit BitLocker verwendet wird, muss der TPM-Chip initialisiert werden, indem Windows Vista die Möglichkeit erhält, den Besitz des TPM zu übernehmen. TPM-Besitzinformationen können über das MMC-Snap-In „TPM“ (tpm.msc) angezeigt werden.

Das TPM muss für jeden Computer einmal initialisiert werden. BitLocker muss einmal pro Betriebssystem aktiviert werden (wenn der Computer für das Starten mehrerer Betriebssysteme konfiguriert ist). Anders gesagt müssen Sie BitLocker für jede Windows Vista-Installation aktivieren, wenn ein einzelner Computer mit mehreren Startinstallationen von Windows Vista vorliegt.

Unter normalen Bedingungen wird der Prozess der Initialisierung des TPM durch den BitLocker-Setup-Assistenten automatisiert. Allerdings können Sie das TPM bei Bedarf auch manuell initialisieren.

So initialisieren Sie das TPM in Windows Vista

  1. Stellen Sie sicher, dass der TPM-Chip im BIOS aktiviert wurde.


  2. Vergewissern Sie sich, dass ein entsprechendes Speicher- oder Druckergerät für das TPM-Verwaltungskennwort verfügbar ist.


  3. Melden Sie sich bei Windows Vista mit einem Konto an, das über lokale Administratorrechte auf dem Computer verfügt.


  4. Starten Sie das MMC-Snap-In „Trusted Platform Module“. Geben Sie dazu TPM.MSC in das Feld Suchen ein, und drücken Sie dann die EINGABETASTE.


  5. Wenn Sie von der Benutzerkontensteuerung dazu aufgefordert werden, klicken Sie auf Weiter. Daraufhin wird eine TPM-Konsole geöffnet.


  6. Wenn Windows Vista den TPM-Chip nicht erkennt, müssen Sie das Problem beheben, den TPM-Chip erfolgreich aktivieren, und dann diesen Vorgang neu starten.


  7. Klicken Sie im Fenster Aktionen auf die Option TPM initialisieren.


  8. Im Dialogfeld Das TPM-Kennwort erstellen werden Sie aufgefordert, ein TPM-Besitzerkennwort zu erstellen. Dieses Kennwort wird nur für TPM-Verwaltungsaufgaben außerhalb des BitLocker-Bereichs benötigt.

    Sie können das Kennwort automatisch vom Assistenten erstellen lassen (die empfohlene Aktion) oder es manuell selbst erstellen. Wenn Sie sich für eine manuelle Erstellung des Kennworts entscheiden, muss das Kennwort mindestens acht Zeichen lang sein. Das TPM-Besitzerkennwort kann nach der Einrichtung jederzeit geändert werden (dazu muss allerdings das aktuelle Kennwort bekannt sein).


  9. Sie können das Kennwort auf Wechselspeichermedien oder an jedem anderen gültigen Speicherstandort wie einem USB-Flashspeichergerät, einem Dateistandort, auf dem Desktop oder an einem Netzwerkstandort speichern. Auf Wunsch können Sie das Kennwort auf einem verbundenen lokalen oder Netzwerkdrucker drucken. Windows Vista speichert das Kennwort als XML-formatierte Datei mit der Dateierweiterung TPM. Standardmäßig wird die Datei nach dem Namen des Computers benannt. Sie sollten das TPM-Besitzerkennwort an mindestens zwei sicheren und separaten Standorten speichern.


  10. Wenn Sie das Kennwort eingegeben und gespeichert bzw. gedruckt haben, beginnt die Initialisierung des TPM. Windows Vista zeigt ein Fortschrittsdialogfeld für den TPM-Initialisierungsstatus an.


  11. Wenn die Initialisierung abgeschlossen ist, zeigt Windows Vista ein Abschlussdialogfeld an. Klicken Sie auf Schließen, um den Initialisierungsprozess zu beenden.


Sie können das TPM in Windows Vista auch initialisieren und in Besitz nehmen, indem Sie an einer Eingabeaufforderung das Skript manage-bde.wsf wie folgt verwenden:

cscript manage-bde.wsf -tpm -takeownership - <Kennwort>

Die Ausführung dieses Befehls übernimmt den Besitz des TPM und richtet das TPM-Besitzerkennwort auf den angegebenen Wert ein.

Optional können Sie ein eigenes Skript schreiben, das die bereitgestellten WMI-Schnittstellen für die Steuerung des TPM verwendet.

Aktivierung von BitLocker

BitLocker kann auf zweierlei Weise aktiviert werden: manuell mit der folgenden Vorgehensweise oder mit dem Windows-Bereitstellungs-Assistenten. Weitere Informationen über die Verwendung des Windows-Bereitstellungs-Assistenten für die Aktivierung von BitLocker finden Sie unter Ausführen des Windows-Bereitstellungs-Assistenten im „Handbuch zur Lite Touch-Installation“ des Business Desktop Deployment-Toolkits.

Cc162812.note(de-de,TechNet.10).gif Hinweis:

Über Gruppenrichtlinieneinstellungen kann gesteuert werden, welche BitLocker-Funktionen Endbenutzer konfigurieren können, deshalb kann die Benutzeroberfläche in den folgenden Screenshots von der Darstellung auf Ihrem Computer abweichen.

So aktivieren Sie BitLocker manuell

  1. Öffnen Sie die Systemsteuerung, und doppelklicken Sie auf Sicherheit.


  2. Doppelklicken Sie auf BitLocker-Laufwerkverschlüsselung. Wenn Sie von der Benutzerzugriffssteuerung dazu aufgefordert werden, klicken Sie auf Weiter.


    Cc162812.d98ec788-93f5-4dc5-813d-55a9f67c70ba(de-de,TechNet.10).gif

    Abbildung 2.7. Fenster für die BitLocker-Laufwerkverschlüsselung in der Systemsteuerung

  3. Klicken Sie auf die Option BitLocker aktivieren.


  4. Wie die folgende Abbildung zeigt, werden Sie möglicherweise aufgefordert, einen Standort für das Speichern oder Drucken des BitLocker-Wiederherstellungskennworts auszuwählen. Wenn Sie sich für das Speichern des BitLocker-Wiederherstellungskennworts entscheiden, wird das 48 Zeichen umfassende BitLocker-Wiederherstellungskennwort in einer Textdatei gespeichert, die mit der BitLocker-Kennwort-ID benannt wird. Wenn Sie das Wiederherstellungskennwort auf ein USB-Flashspeicherlaufwerk speichern, wird darüber hinaus ein 256-Bit-Wiederherstellungsschlüssel als versteckte Datei (mit der Dateierweiterung BEK) gespeichert. Sie können sich für einen beliebigen Dateispeicherstandort oder ein USB-Flashspeicherlaufwerk entscheiden. Alternativ können Sie das Wiederherstellungskennwort drucken. Der folgende Screenshot zeigt, wie das Wiederherstellungskennwort in einem Ordner auf einem USB-Flashspeicherlaufwerk gespeichert wird.


    Cc162812.f0c09b3f-eeee-479e-8aa3-12214ccb7249(de-de,TechNet.10).gif

    Abbildung 2.8. Optionen für das BitLocker-Wiederherstellungskennwort

  5. Sie sollten das Wiederherstellungskennwort an mindestens zwei separaten und sicheren Standorten speichern. Wenn Sie den BitLocker-Wiederherstellungsschlüssel verlieren, können Sie möglicherweise nicht mehr auf Ihre Daten zugreifen. Sie können mit der Aktivierung von BitLocker erst fortfahren, wenn Sie das BitLocker-Wiederherstellungskennwort sicher gespeichert haben.

    Cc162812.note(de-de,TechNet.10).gif Hinweis:

    Das Wiederherstellungskennwort wird in Klartext in die Textdatei geschrieben, daher müssen Sie die Datei vor unbefugtem Zugriff schützen.

    Wenn Sie das BitLocker-Wiederherstellungskennwort ein- oder mehrmals gespeichert haben, klicken Sie auf die Schaltfläche Weiter.


  6. Wählen Sie im Dialogfeld Volume verschlüsseln die Option BitLocker-Systemüberprüfung ausführen aus, um sicherzustellen, dass der Startpfad vertrauenswürdig ist und die BitLocker-Schutzvorrichtung gefunden werden kann, bevor die Verschlüsselung beginnt. Dieser Schritt ist optional, wird aber ausdrücklich empfohlen. Bei einem Fehler zeigt Windows Vista eine Warnung an, und die BitLocker-Verschlüsselung erfolgt nicht automatisch.


  7. Klicken Sie auf die Schaltfläche Weiter. Wenn Sie sich nicht für die Durchführung einer Systemüberprüfung entscheiden, können Sie auf Verschlüsseln klicken, um die Volumeverschlüsselung zu starten.


  8. Wenn Sie sich für die Systemüberprüfung entscheiden, werden Sie aufgefordert sicherzustellen, dass das USB-Flashspeichermedium eingelegt ist (wenn Sie ein solches für das Speichern des BitLocker-Wiederherstellungskennworts ausgewählt haben) und den Computer dann neu zu starten.


  9. Während des Neustarts sucht Windows Vista nach dem auf dem USB-Schlüssel gespeicherten BitLocker-Wiederherstellungskennwort, überprüft es, und zeigt dann eine Meldung in einem Textdialogfeld zur Startvorbereitung an, das auf eine erfolgreiche Durchführung hinweist.


  10. Wenn Windows Vista neu startet, beginnt BitLocker die Verschlüsselung des Startvolumes, und zeigt in einer Fortschrittsmeldung an, welcher Prozentsatz des Prozesses bereits abgeschlossen ist (siehe Screenshot).


    Cc162812.bdf7dbb8-4613-45fb-af4a-6c0180e4702b(de-de,TechNet.10).gif

    Abbildung 2.9. BitLocker-Meldung über den Fortschritt der Verschlüsselung

Die erste aktive Verschlüsselung des Betriebssystemvolumes führt zu einer geringen Leistungsverzögerung. Benutzer können während der Verschlüsselung weiter auf dem Computer arbeiten.

Überprüfung der BitLocker-Konfiguration und -Installation

Wenn BitLocker die Verschlüsselung des Betriebssystemvolumes abgeschlossen hat, können Sie über die Konsole „Datenträgerverwaltung“ den Status bestätigen, wie im folgenden Screenshot dargestellt. Das verschlüsselte Volume enthält die Bezeichnung „BitLocker-verschlüsselt“.


Cc162812.7985cd63-82be-41ae-bf22-ef5b57f7f667(de-de,TechNet.10).gif

Abbildung 2.10. Die Konsole „Datenträgerverwaltung“

Wenn Sie Active Directory für das Speichern des Wiederherstellungsschlüssels verwenden, sollten Sie überprüfen, ob die Wiederherstellungsinformationen korrekt in Active Directory gespeichert sind. Hierfür können Sie den Viewer für das BitLocker-Wiederherstellungskennwort herunterladen. Dieser ist über den Microsoft Knowledge Base-Artikel 928202 zur Verwendung des BitLocker-Wiederherstellungskennwort-Viewers für Active Directory-Benutzer und -Computer zur Anzeige von Wiederherstellungskennwörtern für Windows Vista (maschinell übersetzter Artikel) erhältlich. Installieren Sie den Viewer, und verwenden Sie ihn zur Überprüfung, ob Wiederherstellungsinformationen für einen oder mehrere Testcomputer verfügbar sind. Der Viewer für das BitLocker-Wiederherstellungskennwort vereinfacht außerdem den Prozess, um bei Bedarf autorisierten Helpdesk- oder Supportmitarbeitern das Abrufen von Wiederherstellungsinformation zu ermöglichen. (Weitere Informationen über Richtlinienaspekte in Bezug auf die Kennwortwiederherstellung finden Sie im Handbuch Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information (Konfiguration von Active Directory für die Sicherung von Wiederherstellungsinformationen der Windows BitLocker-Laufwerkverschlüsselung und des Trusted Platform Module, möglicherweise in englischer Sprache).

Konfigurationsaufgaben für EFS auf einzelnen Computern

Für EFS sind nur relativ wenige Konfigurationsaufgaben auf einzelnen Computern erforderlich. Wenn Sie EFS zum ersten Mal bereitstellen, besteht die einzige Aufgabe darin, die Dateien oder Ordner zu verschlüsseln, die Sie auf dem Zielcomputer schützen möchten.

Verschlüsselung von Dateien und Ordnern

Wenn EFS auf den Zielcomputern aktiviert ist, können die Benutzer innerhalb des Unternehmens die Verschlüsselung von Dateien und Ordnern auf ihren Computern vornehmen. Der im Lieferumfang für dieses Toolkit enthaltene EFS-Assistent kann für die Erstellung von Verschlüsselungsrichtlinien verwendet werden. Alternativ weisen Sie die Benutzer an, wie Sie eine der beiden mit Windows bereitgestellten Schnittstellen für das Aktivieren der EFS-Verschlüsselung einsetzen.

Verwenden von Windows Explorer

So ändern Sie den Verschlüsselungsstatus einer Datei oder eines Ordners mit Windows Explorer

  1. Klicken Sie mit der rechten Maustaste auf die Datei oder den Ordner, und klicken Sie anschließend auf Eigenschaften.


  2. Klicken Sie auf der Registerkarte Allgemein auf die Schaltfläche Erweitert, und markieren Sie dann das Kontrollkästchen Inhalt verschlüsseln, um Daten zu schützen.


  3. Klicken Sie zweimal auf OK, um die Verschlüsselung der Datei zu gewährleisten.



Cc162812.5c7c1e31-6246-4f2a-bdd2-dd1691effa61(de-de,TechNet.10).gif

Abbildung 2.11. Das Dialogfeld „Erweiterte Attribute“ in Windows Explorer

Wenn Sie eine einzelne Datei in einem Ordner zum ersten Mal verschlüsseln, fragt Windows Sie, ob nur die Datei oder der gesamte übergeordnete Ordner verschlüsselt werden soll. Im letzten Fall wird EFS für den gesamten Ordner und alle untergeordneten Dateien und Ordner aktiviert.


Cc162812.1adbaf44-740f-4eef-82d9-b9bbd0750f41(de-de,TechNet.10).gif

Abbildung 2.12. Das Dialogfeld „Verschlüsselungswarnung“ in Windows Explorer

Verwenden von Cipher.exe

Sie können Dateien und Ordner auch mit dem Befehlszeilentool Cipher.exe verschlüsseln. Wechseln Sie dazu an einer Eingabeaufforderung zum Verzeichnis, das die zu verschlüsselnden Dateien oder Ordner enthält. Um das gesamte Verzeichnis und alle darin enthaltenen Dateien und Ordner zu verschlüsseln, geben Sie Cipher.exe /e ein, und drücken Sie dann die EINGABETASTE. Alternativ können Sie eine Liste von zu verschlüsselnden Dateien und Ordnern angeben, indem Sie die Namen nach dem Switch /e einfügen.

Verschlüsseln freigegebener Dateien

So fügen Sie einer freigegebenen Datei Benutzer hinzu

  1. Klicken Sie mit der rechten Maustaste auf die Datei oder den Ordner, und klicken Sie anschließend auf Eigenschaften.


  2. Klicken Sie auf der Registerkarte Allgemein auf die Schaltfläche Erweitert, und klicken Sie dann auf die Schaltfläche Details.

    Windows zeigt die anderen verfügbaren Benutzer mit digitalen EFS-Zertifikaten an.


  3. Wählen Sie einen oder mehrere zusätzliche Benutzer aus, und klicken Sie dann auf OK.


  4. Wenn Sie fertig sind, klicken Sie zweimal auf OK, um zu Windows Explorer zurückzukehren.


Cc162812.note(de-de,TechNet.10).gif Hinweis:

In Windows Vista können Sie EFS-geschützten Dateien auch zusätzliche Benutzer hinzufügen, indem Sie den Befehl Cipher.exe mit dem Parameter /adduser verwenden.

Überprüfen des Verschlüsselungsstatus einer Datei oder eines Ordners

Wenn Sie nicht sicher sind, ob bestimmte Dateien oder Ordner verschlüsselt sind, können Sie ihren Status über verschiedene Methoden bestimmen. Dazu zählen beispielsweise visuelle Hinweise in Windows Explorer und die Verwendung von Cipher.exe.

Windows Explorer

In Windows Explorer werden EFS-verschlüsselte Dateien und Ordner mit grüner Schrift dargestellt (wie im folgenden Screenshot gezeigt) oder enthalten ein E in den Dateiattributen.


Cc162812.87097207-c6cf-446a-be68-c00201db89ee(de-de,TechNet.10).gif

Abbildung 2.13. EFS-verschlüsselte Dateien in Windows Explorer

Die grüne Schrift ist eine Eigenschaft, die in Windows XP Professional und späteren Versionen von Windows standardmäßig aktiviert ist. Für die Aktivierung oder Deaktivierung dieser Funktion in Windows XP klicken Sie auf Ordneroptionen und aktivieren oder deaktivieren dann das Kontrollkästchen für das Attribut Verschlüsselte oder komprimierte NTFS-Dateien in anderer Farbe anzeigen.

Um in Windows Vista auf diese Einstellung zuzugreifen, öffnen Sie Windows Explorer, klicken Sie im Menü Organisieren auf Ordner- und Suchoptionen, klicken Sie auf die Registerkarte Ansicht, und markieren oder deaktivieren Sie dann das Kontrollkästchen Verschlüsselte oder komprimierte NTFS-Dateien in anderer Farbe anzeigen.

Um in Windows XP Professional auf diese Einstellung zuzugreifen, öffnen Sie Windows Explorer, und klicken Sie im Menü Extras auf Ordneroptionen. Klicken Sie dann auf die Registerkarte Ansicht.

Datei- oder Ordnerattribute sind in einigen Windows-Versionen möglicherweise nicht sofort in Windows Explorer sichtbar. Stellen Sie sicher, dass Sie für die Anzeige von Dateien die Ansicht Details verwenden. Wenn Datei- oder Ordnerattribute immer noch nicht sichtbar sind, müssen Sie diese der Ansicht Details hinzufügen. Klicken Sie dafür auf eine beliebige Spaltenüberschrift in der Ansicht Details, klicken Sie auf Weitere, und wählen Sie dann Attribute aus.

Cipher.exe

Sie können EFS-geschützte Dateien auch über das Befehlszeilenprogramm Cipher.exe anzeigen, verschlüsseln und entschlüsseln (unter anderem). Um den EFS-Status einer Datei zu überprüfen, öffnen Sie eine Eingabeaufforderung in Windows, wechseln Sie zum Datei- oder Ordnerstandort, geben Sie Cipher.exe ohne Befehlszeilenparameter ein, und drücken Sie dann die EINGABETASTE. Das Cipher-Programm zeigt neben unverschlüsselten Dateien oder Ordnern ein U, neben verschlüsselten Dateien oder Ordnern ein E an.

Weitere Informationen


In diesem Beitrag


Download

Laden Sie das Data Encryption Toolkit for Mobile PCs herunter (engl.)


Anzeigen: