Leitfaden zur Verwendung des verschlüsselnden Dateisystems (EFS)

Veröffentlicht: 17.09.2004

In diesem Dokument werden Beispielverfahren vorgestellt, die zeigen, welche Möglichkeiten das in das Betriebssystem Windows Server 2003 integrierte verschlüsselnde Dateisystem (Encrypting File System – EFS) Endbenutzern und Administratoren bietet.

Auf dieser Seite

Dn308940.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Einführung

Dn308940.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Übersicht

Dn308940.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Benutzerszenarien

Dn308940.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Verwaltungsszenarien

Dn308940.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Weitere Ressourcen

Einführung

Leitfäden

Die Leitfäden zur Bereitstellung von Microsoft Windows Server 2003 vermitteln praktische Erfahrungen im Umgang mit vielen gängigen Betriebssystemkonfigurationen. Diese Leitfäden befassen sich zunächst mit der Einrichtung einer einfachen Netzwerkinfrastruktur im Rahmen der Installation von Windows Server 2003 und der Konfiguration von Active Directory. Anschließend wird die Installation von Windows XP Professional als Arbeitsstation und schließlich das Hinzufügen dieser Arbeitsstation zu einer Domäne erläutert. Die hieran anschließenden Leitfäden setzen das Vorhandensein dieser allgemeinen Netzwerkinfrastruktur voraus. Falls Sie diese allgemeine Netzwerkinfrastruktur nicht einrichten möchten, müssen Sie bei Verwendung dieser Leitfäden die entsprechenden Änderungen vornehmen.

Die Einrichtung der allgemeinen Netzwerkinfrastruktur wird in den folgenden Leitfäden erläutert:

Nachdem die hierin beschriebene allgemeine Netzwerkinfrastruktur konfiguriert wurde, können alle anderen Leitfäden durchgearbeitet werden. Beachten Sie, dass für einige dieser Leitfäden neben der Einrichtung der vorstehend genannten allgemeinen Netzwerkinfrastruktur weitere Voraussetzungen erfüllt sein müssen. Alle zusätzlichen Anforderungen werden im jeweiligen Leitfaden aufgeführt.

Microsoft Virtual PC

Die Leitfäden zur Bereitstellung von Windows Server 2003 können in einer physischen Laborumgebung oder mithilfe von Virtualisierungstechnologien wie Microsoft Virtual PC 2004 oder Microsoft Virtual Server 2005 implementiert werden. Mit VM-Technologie (Virtual Machine) sind Kunden in der Lage, mehrere Betriebssysteme parallel auf einem einzigen physischen Server auszuführen. Virtual PC 2004 und Virtual Server 2005 wurden entwickelt, um die operative Effizienz beim Testen und Bereitstellen von Software, bei der Migration von Legacyanwendungen und bei der Serverkonsolidierung zu verbessern.

In den Leitfäden zur Bereitstellung von Windows Server 2003 wird bei allen Konfigurationen von einer physischen Laborumgebung ausgegangen, wobei die meisten Konfigurationen jedoch auch unverändert in einer virtuellen Umgebung zum Einsatz kommen können.

Die Übertragung der hier erläuterten Konzepte auf eine virtuelle Umgebung ist allerdings nicht Gegenstand des vorliegenden Dokuments.

Wichtige Hinweise

Die hierin verwendeten Firmen, Organisationen, Produkte, Domänennamen, E-Mail-Adressen, Logos, Personen, Orte und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten oder Ereignissen ist rein zufällig.

Diese allgemeine Infrastruktur ist für die Verwendung in einem privaten Netzwerk ausgelegt. Der in dieser Infrastruktur verwendete fiktive Firmenname und der DNS-Name (Domain Name System) sind nicht für die Verwendung im Internet registriert. Die Namen sollten daher nicht in einem öffentlichen Netzwerk oder im Internet verwendet werden.

Die Struktur des Verzeichnisdienstes Active Directory für diese allgemeine Infrastruktur soll zeigen, wie die Änderungs- und Konfigurationsverwaltung von Windows Server 2003 in Verbindung mit Active Directory funktioniert. Sie stellt kein Modell für die Konfiguration von Active Directory in einer beliebigen Organisation dar.

Dn308940.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Übersicht

Das verschlüsselnde Dateisystem (Encrypting File System – EFS) ist im Betriebssystem Windows Server 2003 enthalten und basiert auf der Verschlüsselung mit öffentlichen Schlüsseln. Dabei wird die CryptoAPI-Architektur in Windows Server 2003 genutzt. Jede Datei wird mit einem zufällig generierten Schlüssel verschlüsselt, der vom Schlüsselpaar aus öffentlichem und privatem Schlüssel eines Benutzers unabhängig ist.

Für die Dateiverschlüsselung kann jeder beliebige symmetrische Verschlüsselungsalgorithmus verwendet werden. Die EFS-Version verwendet DESX (Data Encryption Standard X) als Verschlüsselungsalgorithmus (128 Bit in Nordamerika und 40 Bit in anderen Ländern). In künftigen Versionen werden alternative Verschlüsselungsschemas zulässig sein. EFS unterstützt die Ver- und Entschlüsselung sowohl von Dateien auf lokalen Laufwerken als auch von Dateien auf Remotedateiservern.

Benutzereingriff

Die EFS-Standardkonfiguration ermöglicht Benutzern das Verschlüsseln von Dateien ohne Verwaltungsaufwand. Wenn ein Benutzer eine Datei zum ersten Mal verschlüsselt, generiert EFS ein öffentliches Schlüsselpaar und ein Dateiverschlüsselungszertifikat.

Die Ver- und Entschlüsselung von Dateien wird pro Datei oder für einen ganzen Ordner, einschließlich aller Unterordner, unterstützt. Die Ordnerverschlüsselung wird transparent durchgesetzt. Alle Objekte, die in einem zur Verschlüsselung gekennzeichneten Ordner erstellt werden, werden automatisch verschlüsselt. Da jede Datei über einen eindeutigen Verschlüsselungsschlüssel verfügt, kann sie auf sichere Weise umbenannt werden. Wenn Sie eine Datei aus einem verschlüsselten Ordner in einem unverschlüsselten Ordner auf demselben Datenträger umbenennen, bleibt die Datei verschlüsselt. Wenn Sie jedoch eine unverschlüsselte Datei in einen verschlüsselten Ordner kopieren, ändert sich der Dateistatus. In diesem Fall wird die Datei verschlüsselt. Für erfahrene Benutzer und Wiederherstellungs-Agenten sind Befehlszeilentools und Verwaltungsschnittstellen bereitgestellt.

Datenwiederherstellung

EFS bietet integrierte Unterstützung bei der Datenwiederherstellung. Die Sicherheitsinfrastruktur von Windows Server 2003 erzwingt die Konfiguration von Datenwiederherstellungsschlüsseln. Sie können die Dateiverschlüsselung nur verwenden, wenn das System mit mindestens einem der Wiederherstellungsschlüssel konfiguriert ist. EFS ermöglicht Wiederherstellungs-Agenten das Konfigurieren öffentlicher Schlüssel, mit deren Hilfe verschlüsselte Daten wiederhergestellt werden können, wenn ein Benutzer das Unternehmen verlässt. Bei Verwendung des Wiederherstellungsschlüssels steht nur der Dateiverschlüsselungsschlüssel, nicht der private Schlüssel eines Benutzers, zur Verfügung. Damit wird sichergestellt, dass dem Wiederherstellungs-Agenten keine anderen privaten Informationen angezeigt werden. Die Datenwiederherstellung ist für Unternehmen vorgesehen, in denen die von einem Mitarbeiter verschlüsselten Daten wiederhergestellt werden müssen.

Eine Wiederherstellungsrichtlinie kann über eine Gruppenrichtlinie in einer Windows Server 2003-Domäne definiert werden. Die Gruppenrichtlinie wird auf allen Domänencomputern durchgesetzt und von Domänenadministratoren gesteuert, die diese Steuerung in der Regel an festgelegte Konten von Datensicherheitsadministratoren delegieren. Auf diese Weise wird eine starke Kontrolle ermöglicht, und die zum Wiederherstellen verschlüsselter Daten autorisierte Person kann flexibel festgelegt werden. EFS unterstützt mehrere Wiederherstellungs-Agenten dadurch, dass mehrere Konfigurationen für die Datenwiederherstellung zulässig sind. Dank dieser Features erhalten Unternehmen Redundanz und Flexibilität für die Implementierung der Wiederherstellungsverfahren.

Voraussetzungen

Dn308940.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Benutzerszenarien

Verschlüsseln eines Ordners oder einer Datei

Beim Verschlüsseln eines Ordners oder einer Datei können Sie Windows Explorer oder das Befehlszeilen-Dienstprogramm Cipher.exe verwenden. In diesem Abschnitt werden beide Verfahren beschrieben. In diesem Leitfaden wird davon ausgegangen, dass Sie die Übungen im Abschnitt "Benutzerszenarien" auf einem Computer unter Windows XP Professional ausführen.

So verschlüsseln Sie einen Ordner oder eine Datei mithilfe von Windows Explorer

  1. Melden Sie sich an HQ-CON-WRK-01 als mike@contoso.com an. Wenn Sie dazu aufgefordert werden, ändern Sie Mikes Kennwort in pass#word2.

  2. Klicken Sie auf die Schaltfläche Start, zeigen Sie auf Programme, dann auf Zubehör, und klicken Sie anschließend auf Windows Explorer.

  3. Klicken Sie mit der rechten Maustaste auf den Namen des Ordners bzw. der Datei, mit dem/der Sie arbeiten möchten (in diesem Beispiel einem unter Eigene Dateien (My Documents) erstellten Ordner namens Encrypted Files), und wählen Sie Eigenschaften aus.

  4. Klicken Sie auf der Registerkarte Allgemein im Dialogfeld Eigenschaften von Verschlüsselte Dateien auf Erweitert.

  5. Aktivieren Sie im Dialogfeld Erweiterte Attribute das Kontrollkästchen Inhalt verschlüsseln, um Daten zu schützen (Encrypt contents to secure data) (siehe Abbildung 1), und klicken Sie auf OK.

    Dn308940.5346179D9CF0AF5B7E3A052CA4B65BFC(de-de,TechNet.10).png

    Abbildung 1. Erweiterte Attribute

  6. Klicken Sie im Dialogfeld Eigenschaften von Encrypted Files auf OK.

  7. Möglicherweise werden Sie aufgefordert zu wählen, ob der Ordner und sein gesamter Inhalt oder nur der Ordner verschlüsselt werden soll. Wenn der Ordner leer ist, wird keine derartige Eingabeaufforderung angezeigt. Wenn der Ordner Objekte enthält, wählen Sie, dass der Ordner und sein Inhalt verschlüsselt werden sollen, und klicken Sie dann auf OK.

  8. Ein Dialogfeld mit dem Status der Ordner- bzw. Dateiverschlüsselung wird angezeigt. Klicken Sie auf OK.

So verschlüsseln Sie einen Ordner oder eine Datei über die Befehlszeile

  1. Zum Verschlüsseln eines Ordners klicken Sie auf die Schaltfläche Start, dann auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK. Geben Sie an der Eingabeaufforderung beispielsweise ein:

    cipher /e /s:"C:\Documents and Settings\Mike\My Documents\Encrypted Files"
    
  2. Drücken Sie die EINGABETASTE. Die Anzeige sollte ähnlich wie in Abbildung 2 aussehen.

    Dn308940.9A77A3ECA64F5AE39376FAACA1EB4A97(de-de,TechNet.10).png

    Abbildung 2. Verschlüsseln über die BefehlszeileBild maximieren

Entschlüsseln eines Ordners oder einer Datei

Genauso wie bei der Verschlüsselung können Sie einen Ordner oder eine Datei mithilfe von Windows Explorer oder eines Befehlszeilen-Dienstprogramms entschlüsseln. In diesem Abschnitt werden beide Verfahren beschrieben. Beachten Sie, dass eine Datei nicht entschlüsselt werden muss, um sie öffnen und bearbeiten zu können. Entschlüsselt wird eine Datei, die Sie anderen Benutzern zur Verfügung stellen möchten.

So entschlüsseln Sie einen Ordner oder eine Datei mithilfe von Windows Explorer

  1. Klicken Sie auf die Schaltfläche Start, zeigen Sie auf Programme, dann auf Zubehör, und klicken Sie anschließend auf Windows Explorer.

  2. Klicken Sie mit der rechten Maustaste auf den Ordner- bzw. Dateinamen, und wählen Sie Eigenschaften.

  3. Klicken Sie auf der Registerkarte Allgemein im Dialogfeld Eigenschaften auf Erweitert.

  4. Aktivieren Sie im Dialogfeld Erweiterte Attribute das Kontrollkästchen Inhalt verschlüsseln, um Daten zu schützen, und klicken Sie auf OK.

  5. Klicken Sie im Dialogfeld Eigenschaften von Encrypted Files auf OK.

  6. Sie werden aufgefordert zu wählen, ob der Ordner und sein gesamter Inhalt oder nur der Ordner entschlüsselt werden soll. Aktivieren Sie das Kontrollkästchen Änderungen für diesen Ordner, Unterordner und Dateien übernehmen, und klicken Sie auf OK.

    Hinweis


    Es wird empfohlen, Ordner und nicht einzelne Dateien zu verschlüsseln. Viele vorhandene Anwendungen unterstützen nämlich keine Verschlüsselung und können die Datei deshalb in Klartext wiedergeben.

So entschlüsseln Sie einen Ordner oder eine Datei über die Befehlszeile

  1. Zum Entschlüsseln eines Ordners klicken Sie auf die Schaltfläche Start, dann auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK. Geben Sie an der Eingabeaufforderung beispielsweise ein:

    cipher /d /s:"C:\Documents and Settings\Mike\My Documents\Encrypted Files"
    
  2. Drücken Sie die EINGABETASTE.

  3. Schließen Sie das Fenster Eingabeaufforderung.

Kopieren eines verschlüsselten Ordners oder einer verschlüsselten Datei

In diesem Abschnitt werden die Verfahren zum Kopieren verschlüsselter Ordner oder Dateien auf demselben Datenträger und von einem Datenträger auf einen anderen sowie die damit verbundenen Einschränkungen erläutert.

  • So kopieren Sie eine Datei bzw. auf einen Ordner auf demselben Computer aus einer NTFS-Partition (New Technology File System) in einem Windows Server 2003 -Pfad in eine andere NTFS-Partition in einem Windows Server 2003-Pfad. Kopieren Sie die Datei bzw. den Ordner genauso wie eine unverschlüsselte Datei. Verwenden Sie dazu Windows Explorer oder die Eingabeaufforderung. Die Kopie wird verschlüsselt.
  • So kopieren Sie eine Datei oder einen Ordner auf demselben Computer aus einer NTFS-Partition eines Datenträgers unter Windows Server 2003 in eine FAT-Partition (File Allocation Table) Kopieren Sie die Datei bzw. den Ordner genauso wie eine unverschlüsselte Datei. Verwenden Sie dazu Windows Explorer oder die Eingabeaufforderung. Weil das Zieldateisystem die Verschlüsselung nicht unterstützt, wird die Kopie in Klartext erstellt.
  • So kopieren Sie eine Datei oder einen Ordner auf einen anderen Computer, wenn auf beiden Computern NTFS-Partitionen unter Windows Server 2003 verwendet werden Kopieren Sie die Datei bzw. den Ordner genauso wie eine unverschlüsselte Datei. Verwenden Sie dazu Windows Explorer oder die Eingabeaufforderung. Wenn auf dem Remotecomputer das Verschlüsseln von Dateien zulässig ist, wird die Kopie verschlüsselt; andernfalls wird sie in Klartext erstellt. Beachten Sie, dass dem Remotecomputer für Delegierungszwecke vertraut werden muss; in einer Domänenumgebung ist die Remoteverschlüsselung standardmäßig nicht aktiviert.
  • So kopieren Sie eine Datei oder einen Ordner aus einer NTFS-Partition in einem Windows Server 2003-Pfad auf einen anderen Computer in eine FAT- oder NTFS-Partition in einem Microsoft Windows NT® 4.0-Pfad Kopieren Sie die Datei bzw. den Ordner genauso wie eine unverschlüsselte Datei. Verwenden Sie dazu Windows Explorer oder die Eingabeaufforderung. Weil das Zieldateisystem die Verschlüsselung nicht unterstützt, wird die Kopie in Klartext erstellt.

Verschieben oder Umbenennen eines verschlüsselten Ordners oder einer verschlüsselten Datei

In diesem Abschnitt werden die Verfahren zum Verschieben verschlüsselter Ordner oder Dateien auf demselben Datenträger und von einem Datenträger auf einen anderen sowie die damit verbundenen Einschränkungen erläutert.

  • So können Sie eine Datei oder einen Ordner auf demselben Datenträger verschieben oder umbenennen Verschieben Sie die Datei bzw. den Ordner genauso wie eine unverschlüsselte Datei. Verwenden Sie dazu Windows Explorer, das Kontextmenü oder die Eingabeaufforderung. Die Zieldatei bzw. der Zielordner bleibt verschlüsselt.
  • So verschieben Sie eine Datei oder einen Ordner zwischen Datenträgern Hierbei handelt es sich im Wesentlichen um einen Kopiervorgang. Lesen Sie dazu den vorherigen Abschnitt, "Kopieren eines verschlüsselten Ordners oder einer verschlüsselten Datei".

Löschen eines verschlüsselten Ordners oder einer verschlüsselten Datei

Wenn Sie auf die Datei oder den Ordner Zugriff haben, können Sie sie/ihn genauso wie eine unverschlüsselte Datei bzw. einen unverschlüsselten Ordner löschen. Das Löschen eines verschlüsselten Ordners bzw. einer verschlüsselten Datei ist nicht auf den Benutzer beschränkt, der das Objekt ursprünglich verschlüsselt hat.

Sichern eines verschlüsselten Ordners oder einer verschlüsselten Datei

  • Sichern durch Kopieren Eine Sicherung, die mithilfe des Befehls Kopieren oder über die Menüauswahl angefertigt wurde, wird möglicherweise in Klartext erstellt, wie im vorherigen Abschnitt, "Kopieren eines verschlüsselten Ordners oder einer verschlüsselten Datei", erläutert wurde.
  • Sichern mithilfe des Sicherungsprogramms in Windows Server 2003 oder eines anderen Sicherungsprogramms, das die Windows Server 2003-Features unterstützt. Dies ist das empfohlene Verfahren zum Sichern verschlüsselter Dateien. Die Sicherung behält die Dateiverschlüsselung bei, und der Sicherungsoperator muss zum Erstellen der Sicherung nicht auf private Schlüssel zugreifen; für die Durchführung der Aufgabe ist lediglich Zugriff auf die benötigte Datei bzw. den benötigten Ordner erforderlich.

Wiederherstellen einer verschlüsselten Datei oder eines verschlüsselten Ordners

Wiederherstellungsvorgänge sind vergleichbar mit den Vorgängen zum Sichern verschlüsselter Dateien. In diesem Abschnitt werden die Verfahren zum Wiederherstellen gesicherter verschlüsselter Dateien auf dem Computer, auf dem die Sicherung erstellt wurde, und auf einem anderen Computer als demjenigen, auf dem die Dateien gesichert wurden, sowie die damit verbundenen Einschränkungen erläutert.

  • Wiederherstellen durch Kopieren Wiederhergestellte Dateien, die mithilfe des Befehls Kopieren oder über die Menüauswahl erstellt wurden, werden möglicherweise in Klartext erstellt, wie im vorherigen Abschnitt, "Kopieren eines verschlüsselten Ordners oder einer verschlüsselten Datei", erläutert wurde.
  • Wiederherstellen mithilfe des Sicherungsprogramms in Windows Server 2003 oder eines anderen Sicherungsprogramms, das die Windows Server 2003-Features unterstützt. Dies ist das empfohlene Verfahren zum Wiederherstellen verschlüsselter Dateien. Beim Wiederherstellungsvorgang wird die Dateiverschlüsselung beibehalten, und der Wiederherstellungs-Agent muss zum Wiederherstellen der Dateien auf keine privaten Schlüssel zugreifen. Nach Abschluss der Wiederherstellung kann der Benutzer, der den privaten Schlüssel besitzt, die Datei normal verwenden.

Wiederherstellen von Dateien auf einem anderen Computer

Wenn Sie verschlüsselte Dateien auf einem anderen Computer als demjenigen verwenden möchten, auf dem die Dateien verschlüsselt wurden, müssen Sie sicherstellen, dass Ihr Verschlüsselungszertifikat und der zugeordnete private Schlüssel auf dem anderen System verfügbar sind. Zu diesem Zweck können Sie entweder ein servergespeichertes Profil verwenden oder die Schlüssel manuell verschieben.

  • Verwenden eines servergespeicherten Profils Bitten Sie Ihren Administrator, ein servergespeichertes Profil für Sie einzurichten, wenn noch keines vorhanden ist. Nachdem dieses Profil eingerichtet wurde, sind die von Ihnen verwendeten Verschlüsselungsschlüssel auf allen Computern identisch, an denen Sie sich mit diesem Benutzerkonto anmelden. Selbst wenn Sie servergespeicherte Profile verwenden, können Sie Ihr Verschlüsselungszertifikat und Ihren privaten Schlüssel bei Bedarf sichern. Wenn Sie jedoch die Schlüssel verlieren, die Ihnen das Entschlüsseln einer Datei ermöglichen, können Sie den dafür bestimmten Wiederherstellungs-Agent (standardmäßig der lokale Administrator oder der Domänenadministrator) bitten, Ihre verschlüsselten Dateien wiederherzustellen.
  • Manuelles Verschieben von Schlüsseln Bevor Sie daran denken, Ihre Schlüssel manuell zu verschieben, sollten Sie das Verschlüsselungszertifikat und den privaten Schlüssel sichern. Anschließend können Sie Zertifikat und Schlüssel auf einem anderen System wiederherstellen.

So sichern Sie das Verschlüsselungszertikat und den privaten Schlüssel

  1. Klicken Sie auf die Schaltfläche Start, dann auf Ausführen, geben Sie mmc im Feld Öffnen ein, und klicken Sie auf OK, um die Microsoft Management Console (MMC) zu starten.

  2. Klicken Sie im Menü Konsole auf Datei, dann auf Snap-In hinzufügen/entfernen und anschließend auf Hinzufügen.

  3. Ermitteln Sie das Zertifikats-Snap-In, klicken Sie darauf und dann auf Hinzufügen. Klicken Sie auf Schließen und dann auf OK.

  4. Ermitteln Sie die EFS-Zertifikate im Zertifikatsspeicher Eigene Zertifikate (Personal). Klicken Sie auf das Pluszeichen (+) neben Zertifikate – Aktueller Benutzer (Certificates – Current User). Erweitern Sie den Ordner Eigene Zertifikate (Personal), und klicken Sie auf Zertifikate (Certificates).

    Hinweis


    Der Eintrag in der Spalte Beabsichtigte Zwecke (Intended Purposes) für das entsprechende Zertifikat lautet Verschlüsselndes Dateisystem (Encrypting File System) (siehe Abbildung 3).

    Dn308940.7307A20CC9FF810A3B4AC748EA35D504(de-de,TechNet.10).png

    Abbildung 3. Ermitteln von EFS-Zertifikaten

    Bild maximieren

  5. Klicken Sie mit der rechten Maustaste auf das Zertifikat, klicken Sie auf Alle Tasks und dann auf Exportieren. Damit wird der Zertifikatexport-Assistent gestartet. Klicken Sie auf Weiter.

  6. Aktivieren Sie das Kontrollkästchen Ja, privaten Schlüssel exportieren, und klicken Sie auf Weiter.

  7. Das verfügbare Exportformat lautet Privater Informationsaustausch - PKCS #12 (.PFX). Stellen Sie sicher, dass das Kontrollkästchen Verstärkte Sicherheit aktivieren aktiviert ist, und klicken Sie auf Weiter.

  8. Geben Sie ein Kennwort zum Schutz des exportierten Zertifikats ein, und bestätigen Sie diese Eingabe. Klicken Sie dann auf Weiter.

  9. Geben Sie den Pfad und Dateinamen ein, unter dem das exportierte Zertifikat gespeichert werden soll. Klicken Sie auf Weiter und dann auf Fertig stellen, um den Zertifikatexport abzuschließen. Klicken Sie auf OK, um zu bestätigen, dass der Export erfolgreich war.

  10. Schließen Sie die MMC-Konsole.

So stellen Sie das Verschlüsselungszertifikat und den privaten Schlüssel auf einem anderen System wieder her

  1. Kopieren Sie die zuvor erstellte PFX-Datei auf eine Diskette oder eine Netzwerkfreigabe.
  2. Klicken Sie auf einem anderen System auf die Schaltfläche Start, um das Zertifikats-Snap-In zu starten. Klicken Sie auf Ausführen, geben Sie mmc ein, und klicken Sie dann auf OK.
  3. Klicken Sie im Menü Konsole auf Datei, dann auf Snap-In hinzufügen/entfernen und anschließend auf Hinzufügen.
  4. Ermitteln Sie das Zertifikats-Snap-In, klicken Sie darauf und dann auf Hinzufügen. Wenn Sie dazu aufgefordert werden, aktivieren Sie das Kontrollkästchen Eigenes Benutzerkonto, und klicken Sie auf Fertig stellen.
  5. Klicken Sie auf Schließen und dann auf OK.
  6. Klicken Sie auf das Pluszeichen (+), um Zertifikate – Aktueller Benutzer zu erweitern.
  7. Klicken Sie mit der rechten Maustaste auf den Ordner Eigene Zertifikate, klicken Sie dann auf Alle Tasks und anschließend auf Importieren.
  8. Klicken Sie auf Weiter. Damit wird der Zertifikatsimport-Assistent gestartet.
  9. Geben Sie den Pfad der zuvor erstellten PFX-Datei ein, und klicken Sie auf Weiter. Geben Sie das Kennwort für den Zugriff auf die Zertifikatsdaten ein, und klicken Sie auf Weiter.
  10. Klicken Sie auf das Kontrollkästchen Alle Zertifikate in folgendem Speicher speichern (Standard), und klicken Sie auf Weiter.
  11. Klicken Sie auf Fertig stellen. Wenn der Import beendet ist, klicken Sie auf OK, um den Assistenten zu schließen.

Sobald Sie über identische Schlüssel verfügen, können Sie verschlüsselte Dateien, die möglicherweise auf einem anderen Computer gesichert wurden, transparent verwenden.

Ordner und Dateien auf einem Remoteserver

Sie können Dateien transparent ver- und entschlüsseln sowie verschlüsselte Dateien verwenden, die auf einem Remoteserver gespeichert sind. Dies funktioniert unabhängig davon, ob Sie auf diese Dateien remote zugreifen oder sich an dem anderen Computer lokal anmelden. Beim Verschieben verschlüsselter Dateien mithilfe der Sicherungs- und Wiederherstellungsmechanismen müssen Sie jedoch sicherstellen, dass das entsprechende Verschlüsselungszertifikat und die zugehörigen privaten Schlüssel ebenfalls verschoben werden. Nur dann können Sie die verschlüsselten Dateien an den neuen Zielen verwenden. Ohne die richtigen privaten Schlüssel können Sie die Dateien weder öffnen noch entschlüsseln.

Hinweis


Wenn Sie die verschlüsselte Datei über das Netzwerk öffnen, werden die durch diesen Prozess über das Netzwerk übertragenen Daten nicht verschlüsselt. Zum Verschlüsseln von Daten über das Netzwerk müssen andere Protokolle, z. B. SSL/PCT (Secure Sockets Layer/Personal Communication Technology) oder IPSec (Internet Protocol Security), verwendet werden.

Dn308940.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Verwaltungsszenarien

Sicherstellen der Datenwiederherstellung auf einem eigenständigen Computer

Zum Ausführen der folgenden Beispiele melden Sie sich als Administrator am lokalen Computer an (im Beispiel ist dies der Computer HQ-CON-WRK-01). Melden Sie sich am Computer unbedingt lokal (nicht an der Domäne) an.

So erstellen Sie ein Standardwiederherstellungszertifikat (wenn keine Zertifizierungsstelle vorhanden ist)

  1. Klicken Sie auf HQ-CON-WRK-01 auf die Schaltfläche Start und dann auf Ausführen. Geben Sie cmd im Feld Öffnen ein, und klicken Sie auf OK.
  2. Geben Sie im Eingabeaufforderungsfenster cipher.exe /r:dra ein, und drücken Sie die EINGABETASTE.
  3. Wenn Sie dazu aufgefordert werden, geben Sie Kennwort ein, um die PFX-Datei zu sichern. Geben Sie Kennwort erneut ein, um die Einstellung zu bestätigen.
  4. Schließen Sie das Fenster Eingabeaufforderung.

So definieren Sie eine Datenwiederherstellungsrichtlinie

  1. Klicken Sie auf die Schaltfläche Start, dann auf Ausführen, geben Sie MMC im Feld Öffnen ein, und klicken Sie auf OK.

  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.

  3. Klicken Sie auf Hinzufügen, führen Sie einen Bildlauf nach unten durch, und doppelklicken Sie dann auf Gruppenrichtlinie.

  4. Übernehmen Sie den Standardwert Lokaler Computer, klicken Sie auf Fertig stellen, dann auf Schließen und anschließend auf OK.

  5. Klicken Sie auf das Pluszeichen (+) neben Richtlinie für "Lokaler Computer" (Local Computer Policy), um die Struktur zu erweitern. Erweitern Sie nacheinander Computerkonfiguration (Computer Configuration), Windows-Einstellungen (Windows Settings), Sicherheitseinstellungen (Security Settings), Richtlinien öffentlicher Schlüssel (Public Key Policies). Klicken Sie auf Verschlüsselndes Dateisystem (Encrypting File System).

  6. Klicken Sie mit der rechten Maustaste auf Verschlüsselndes Dateisystem, und klicken Sie dann auf Datenwiederherstellungs-Agenten hinzufügen.

  7. Klicken Sie im Fenster Datenwiederherstellungs-Agenten hinzufügen auf Weiter und dann auf Ordner durchsuchen. Navigieren Sie anschließend zum Ordner Dokumente und Einstellungen des Administrators. Doppelklicken Sie auf die Datei DRA.CER, dann auf Weiter und anschließend auf Fertig stellen. Nach Abschluss dieser Schritte sollte die Anzeige wie in Abbildung 4 aussehen.

    Dn308940.EAAAF8AA335344BB6F4187028C0A3B33(de-de,TechNet.10).png

    Abbildung 4. Standardwiederherstellungs-Agenten

  8. Schließen Sie die MMC-Konsole.

    Hinweis


    Sie sollten die in "So sichern Sie das Verschlüsselungszertifikat und den privaten Schlüssel" beschriebenen Verfahren ausführen, um eine geschützte Sicherung (PFX-Datei) des Wiederherstellungszertifikats zu erstellen.

Sichern des Standardwiederherstellungsschlüssels für die Domäne

Eine Standardwiederherstellungsrichtlinie wird beim Einrichten des ersten Domänencontrollers für die Domäne konfiguriert. Diese Richtlinie verwendet ein selbstsigniertes Zertifikat, um das Domänenadministratorkonto zum Wiederherstellungs-Agenten zu machen.

Hinweis


Sie sollten die in "So sichern Sie das Verschlüsselungszertifikat und den privaten Schlüssel" beschriebenen Verfahren ausführen, um eine geschützte Sicherung (PFX-Datei) des Wiederherstellungszertifikats zu erstellen.

Anfordern eines Dateiwiederherstellungszertifikats

Wenn Sie beschließen, die Standardwiederherstellungsrichtlinien zu verwenden, müssen Sie niemals ein Dateiwiederherstellungszertifikat anfordern. In Fällen, in denen mehrere Wiederherstellungs-Agenten für die Domäne benötigt werden oder in denen der Wiederherstellungs-Agent aufgrund gesetzlicher Richtlinien oder Unternehmensrichtlinien eine andere Person als der Domänenadministrator sein muss, müssen Sie möglicherweise bestimmte Benutzer als Wiederherstellungs-Agenten identifizieren. Für diese Benutzer müssen Dateiwiederherstellungszertifikate ausgestellt werden.

Zu diesem Zweck ist es erforderlich, die nachstehenden Verfahren abzuschließen.

  • Eine Zertifizierungsstelle muss verfügbar sein.
  • Die Richtlinie für die Unternehmenszertifizierungsstelle muss es dem/den festgelegten Benutzer/Agenten ermöglichen, ein Dateiwiederherstellungszertifikat anzufordern und zu erhalten.
  • Jeder Benutzer muss ein Dateiwiederherstellungszertifikat anfordern.

So richten Sie eine Unternehmenszertifizierungsstelle ein

  1. Melden Sie sich an HQ-CON-DC-01 als Domänenadministrator an.
  2. Klicken Sie auf die Schaltfläche Start, zeigen Sie auf Systemsteuerung, und klicken Sie dann auf Software.
  3. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen.
  4. Klicken Sie auf Zertifikatsdienste. Eine Warnung teilt Ihnen mit, dass der Computer nach Installation der Zertifikatsdienste nicht umbenannt werden kann und dass er einer Domäne nicht zugeordnet oder aus ihr entfernt werden kann. Klicken Sie auf Ja, um den Vorgang fortzusetzen, und klicken Sie dann auf Weiter.
  5. Überprüfen Sie, ob das Optionsfeld Stammzertifizierungsstelle des Unternehmens ausgewählt ist, und klicken Sie auf Weiter.
  6. Geben Sie im Fenster Informationen über die Zertifizierungsstelle die Zeichenfolge ContosoCA für Allgemeiner Name ein, und klicken Sie auf Weiter.
  7. Klicken Sie auf Weiter, um die Standardposition für den Datenspeicher zu übernehmen.
  8. Wenn Internet Information Server (IIS) nicht installiert ist, werden Sie gewarnt, dass die webbasierte Zertifikatregistrierung nicht verfügbar ist. Klicken Sie auf OK, um diese Warnung zu bestätigen.
  9. Wenn IIS ausgeführt wird, werden Sie aufgefordert, diesen Dienst vorübergehend zu beenden. Klicken Sie auf OK.
  10. Klicken Sie nach Abschluss des Assistenten für Windows-Komponenten auf Fertig stellen. Schließen Sie Software.

So erstellen Sie eine Sicherheitsgruppe für Benutzer, die als Wiederherstellungs-Agenten festgelegt wurden

  1. Klicken Sie auf die Schaltfläche Start, zeigen Sie auf Alle Programme, dann auf Verwaltung, und klicken Sie anschließend auf Active Directory-Benutzer und -Computer.
  2. Klicken Sie mit der rechten Maustaste auf Gruppen, klicken Sie auf Neu, dann auf Gruppe, geben Sie Domain Recovery Agents ein, und klicken Sie auf OK.
  3. Klicken Sie unter der Organisationseinheit Groups mit der rechten Maustaste auf Domain Recovery Agents, klicken Sie auf Eigenschaften und dann auf die Registerkarte Mitglieder.
  4. Klicken Sie auf Hinzufügen, geben Sie Administrator ein, und klicken Sie auf OK. Schließen Sie das Snap-In Active Directory-Benutzer und -Computer.

So fügen Sie die Gruppe Domain Recovery Agents der EFS-Wiederherstellungsvorlage hinzu

Dieses Verfahren ermöglicht es Benutzern in der Gruppe Domain Recovery Agents, Wiederherstellungszertifikate anzufordern.

  1. Klicken Sie auf die Schaltfläche Start, zeigen Sie auf Alle Programme, dann auf Verwaltung, und klicken Sie anschließend auf Active Directory-Standorte und -Dienste.

  2. Klicken Sie auf Active Directory-Standorte und -Diensteund dann im Menü Ansicht auf Dienstknoten anzeigen.

  3. Klicken Sie im linken Fensterbereich auf das Pluszeichen (+) neben Dienste. Wiederholen Sie diesen Vorgang, um den Ordner Public Key Services zu erweitern.

  4. Klicken Sie im linken Fensterbereich auf Zertifikatsvorlagen, und doppelklicken Sie dann im rechten Fensterbereich auf EFSRecovery.

  5. Klicken Sie auf die Registerkarte Sicherheit und dann auf Hinzufügen.

  6. Geben Sie im Dialogfeld Geben Sie die zu verwendenden Objektnamen ein die Zeichenfolge Domain Recovery Agents ein, und klicken Sie auf OK.

  7. Klicken Sie im Ergebnisbereich Gruppen- oder Benutzername (Group or user name) auf Domain Recovery Agents. Aktivieren Sie im Fensterbereich Berechtigungen für Domain Recovery Agents (Permissions for Domain Recovery Agents) die Kontrollkästchen Zulassen (Allow) für Lesen (Read) und Registrieren (Enroll) (siehe Abbildung 5).

    Dn308940.C920EF5375C9E57B52AD421A5DF6A96E(de-de,TechNet.10).png

    Abbildung 5. EFS-Wiederherstellungszertikatsvorlage

  8. Klicken Sie auf OK, und schließen Sie das Snap-In Active Directory-Standorte und -Dienste.

So fordern Sie ein Dateiwiederherstellungszertifikat an

  1. Klicken Sie auf die Schaltfläche Start, dann auf Ausführen, geben Sie mmc ein, und klicken Sie auf OK.

  2. Wählen Sie Snap-In hinzufügen/entfernen im Menü Datei aus, und klicken Sie auf Hinzufügen.

  3. Doppelklicken Sie auf Zertifikate, wählen Sie Eigenes Benutzerkonto aus, und klicken Sie auf Fertig stellen. Klicken Sie auf Schließen und dann auf OK.

  4. Klicken Sie auf das Pluszeichen (+) neben Zertifikate – Aktueller Benutzer, um den Ordner zu erweitern.

  5. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf Eigene Zertifikate, klicken Sie auf Alle Tasks und dann auf Neues Zertifikat anfordern. Damit wird der Zertifikatsanforderungs-Assistent gestartet.

  6. Die erste Seite des Assistenten dient nur der Information. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  7. Eine Liste von Zertifikatsvorlagen wird angezeigt. Klicken Sie auf EFS-Wiederherstellungs-Agent (EFS Recovery Agent) (siehe Abbildung 6) und dann auf Weiter.

    Dn308940.1EE82E2E9C3D4C93BB48AF62ABB1BCB9(de-de,TechNet.10).png

    Abbildung 6. Auswählen eines Zertifikatstyps

  8. Geben Sie einen Anzeigenamen ein, um dieses Zertifikat von anderen Zertifikaten zu unterscheiden, und fügen Sie bei Bedarf eine Beschreibung hinzu. Klicken Sie auf Weiter und dann auf Fertig stellen, um das Zertifikat anzufordern.

  9. Klicken Sie auf OK, um die erfolgreiche Zertifikatsanforderung zu bestätigen.

Zum Erstellen einer domänenweiten EFS-Wiederherstellungsrichtlinie muss das zuvor erstellte Zertifikat EFS-Wiederherstellungs-Agent in ein CER-Format exportiert werden. Darüber hinaus sollten Sie die in "So sichern Sie das Verschlüsselungszertifikat und den privaten Schlüssel" beschriebenen Verfahren ausführen, um eine geschützte Sicherung (PFX-Datei) des Wiederherstellungszertifikats zu erstellen.

So exportieren Sie das Zertifikat in ein CER-Format, damit es über eine domänenweite Richtlinie zugewiesen werden kann

  1. Erweitern Sie in der MMC-Konsole den Ordner Eigene Zertifikate.
  2. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf das soeben erstellte Zertifikat, klicken Sie auf Alle Tasks und dann auf Exportieren. Klicken Sie auf Weiter, um den Exportvorgang zu starten.
  3. Aktivieren Sie das Kontrollkästchen Nein, privaten Schlüssel nicht exportieren, und klicken Sie auf Weiter.
  4. Behalten Sie das Standarddateiformat CER bei, und klicken Sie auf Weiter.
  5. Geben Sie einen Dateipfad und Dateinamen ein, und klicken Sie auf Weiter.
  6. Klicken Sie auf Fertig stellen und dann auf OK, um den Export auszuführen.
  7. Schließen Sie die MMC-Konsole.

Festlegen einer Wiederherstellungsrichtlinie für die gesamte Domäne

Nachdem Wiederherstellungs-Agenten identifiziert und für sie Zertifikate ausgestellt wurden, kann der Domänenadministrator diese Zertifikate der Wiederherstellungsrichtlinie hinzufügen.

So fügen Sie der Wiederherstellungsrichtlinie Zertifikate hinzu

  1. Klicken Sie auf die Schaltfläche Start, zeigen Sie auf Alle Programme, dann auf Verwaltung, und wählen Sie anschließend Sicherheitsrichtlinie für Domänen aus.
  2. Klicken Sie auf das Pluszeichen (+) neben Richtlinien öffentlicher Schlüssel und dann auf Verschlüsselndes Dateisystem.
  3. Klicken Sie mit der rechten Maustaste auf Verschlüsselndes Dateisystem, und klicken Sie dann auf Datenwiederherstellungs-Agenten hinzufügen. Klicken Sie beim Starten des Assistenten auf Weiter.
  4. Klicken Sie auf Ordner durchsuchen. Navigieren Sie dann zu der im vorherigen Abschnitt erstellten CER-Datei, und öffnen Sie sie.
  5. Klicken Sie auf Weiter und anschließend auf Fertig stellen.

Festlegen einer Wiederherstellungsrichtlinie für eine bestimmte Organisationseinheit

Möglicherweise müssen Sie eine eindeutige Wiederherstellungsrichtlinie für eine Teilmenge von Computern in der Domäne festlegen. Dies können Sie über Gruppenrichtlinienobjekte (Group Policy Objects – GPOs) erreichen, indem Sie die zuvor beschriebenen Schritte auf OU-Ebene (Organizational Unit – Organisationseinheit) statt auf Domänenebene wiederholen.

Wiederherstellen einer Datei oder eines Ordners

Wiederherstellungs-Agenten müssen Dateien oder Ordner möglicherweise wiederherstellen, wenn deren Benutzer ihre Schlüssel verloren haben oder das Unternehmen verlassen oder wenn diese Vorgehensweise gesetzlich erforderlich ist. Der Vorgang der Wiederherstellung ähnelt der Entschlüsselung, sobald der Wiederherstellungsschlüssel im System verfügbar ist.

So können Sie eine Datei oder einen Ordner wiederherstellen

  1. Sichern Sie die Dateien bzw. den Ordner in einer BKF-Datei des Systems, in dem sie momentan vorhanden sind.
  2. Kopieren Sie die BKF-Datei auf den geschützten Computer des Wiederherstellungs-Agenten.
  3. Der Wiederherstellungs-Agent sollte die Dateien oder Ordner in der BKF-Datei lokal auf einem geschützten System wiederherstellen.
  4. Wenn ein Wiederherstellungsschlüssel installiert wurde, kann der Wiederherstellungs-Agent jede Datei auf einfache Weise öffnen oder über das Dialogfeld Eigenschaften von Windows Explorer einzelne Dateien oder ganze Ordner entschlüsseln.

Deaktivieren von EFS für eine bestimmte Computergruppe

In einigen Fällen müssen Sie möglicherweise sicherstellen, dass EFS auf einem eigenständigen Computer oder einem Computer in einer Organisationseinheit deaktiviert ist. Das beste Verfahren zum Deaktivieren von EFS ist das Festlegen einer leeren Wiederherstellungsrichtlinie. Dies kann mithilfe des lokalen Gruppenrichtlinien-Snap-Ins lokal auf dem Computer oder durch Definieren eines Gruppenrichtlinienobjekts auf OU-Ebene mit einer leeren Wiederherstellungsrichtlinie geschehen.

Hinweis


Es besteht ein Unterschied zwischen einer leeren Richtlinie und keiner Richtlinie. In Active Directory, in dem es sich bei der effektiven Richtlinie um eine Ansammlung von GPOs auf verschiedenen Ebenen der Verzeichnisstruktur handelt, ermöglicht das Fehlen einer Wiederherstellungsrichtlinie auf Knoten höherer Ebenen (z. B. auf dem Domänenknoten), dass Richtlinien auf einer niedrigeren Ebene wirksam werden. Dagegen wird EFS bei einer leeren Wiederherstellungsrichtlinie auf Knoten höherer Ebenen dadurch deaktiviert, dass keine effektiven Wiederherstellungszertifikate bereitgestellt werden. Auf einem bestimmten Computer (eigenständig oder der Domäne zugeordnet) muss eine effektive Richtlinie über mindestens ein gültiges Wiederherstellungszertifikat verfügen, um EFS auf dem Computer aktivieren zu können. Aus diesem Grund hat das Fehlen einer Wiederherstellungsrichtlinie oder aber eine leere Wiederherstellungsrichtlinie bei einem bestimmten Computer dieselbe Wirkung – EFS wird deaktiviert.

Dn308940.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Weitere Ressourcen

Aktuelle Informationen zu Windows Server 2003 finden Sie auf der Windows Server 2003-Website unter /germany/windowsserver2003/.

Dn308940.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

| Home | Technische Artikel | Community