EFS Widerherstellungszertifikat innerhalb einer Domäne

hi,

ich hätte mal eine Frage an erfahrene User bzgl. EFS Verschlüsselung.
ich habe einen Rechner der in der Domäne ist. Wenn ich jetzt die
Verschlüsselung einschalte, sehe ich daß in der Sicherheitsrichtlinien ein
Admin hinterlegt wurde mit einem Wiederherstellungszertifikat.

Es sind private Daten die nicht mal von einem Admin innerhalb der
Organisation entschlüsselt werden sollten.

Wie kann ich es denn verhindern, daß bei der Verschlüsselung kein
Wiederherstellungszertifikat existiert?

Hallo Jens,

wenn ich es richtig in Erinnerung habe, ist es nicht möglich den Recovery
Agent auszuschließen. Eure Policy sollte so aussehen, dass derjenige, der
Recovery Agent ist, vertrauenswürdig ist.

Ggf. kann man das Zertifikat auch exportieren, dabei es mit einem Kennwort
versehen und anschließend löschen. Hier kann man das Zertifikat dann Person
A geben und das Kennwort kennt nur Person B. So müssen zumindest zwei
Personen zusammenarbeiten, um an die Daten zu gelangen.

Ansonsten ist EFS für euer Vorhaben nicht die Lösung. Blieben noch Lösungen
wie PGP und TrueCrypt.


--
Grüße,
Thomas

Am Sat, 21 Jun 2008 02:23:10 +0200 schrieb Thomas D.:

> Hallo Jens,
>
> wenn ich es richtig in Erinnerung habe, ist es nicht möglich den Recovery
> Agent auszuschließen. Eure Policy sollte so aussehen, dass derjenige, der
> Recovery Agent ist, vertrauenswürdig ist.
>
> Ggf. kann man das Zertifikat auch exportieren, dabei es mit einem Kennwort
> versehen und anschließend löschen. Hier kann man das Zertifikat dann Person
> A geben und das Kennwort kennt nur Person B. So müssen zumindest zwei
> Personen zusammenarbeiten, um an die Daten zu gelangen.

Wenn ich nur wüßte wo ich das Zertifikat finde !?
Ich habe mir mal die verschlüsselte Datei angeschaut indem ich auch
Eigenschaften\Erweitert\Details geklickt habe.
Dort erscheint unter "Wiederherstellungszertifikate diesr Datei laut
Wiederherstellungsrichtlinie" ein Username dessen Zertifikat nicht im
System finden kann. Auch nach dem Zertifikatfingerabruck habe ich geschaut,
aber nichts ist hierzu passend.
Wo kann ich denn das Zertifikat finden?

Habe mit dem Befehl certmgr.msc die Zertifikate aufgerufen und dort
nachgeschaut.

> Ansonsten ist EFS für euer Vorhaben nicht die Lösung. Blieben noch Lösungen
> wie PGP und TrueCrypt.

An das Truecrypt habe ich auch gedacht, jedoch scheint es nicht so
komfortabel zu sein wie das EFS.

Jens Broich schrieb:

>> Ggf. kann man das Zertifikat auch exportieren, dabei es mit einem Kennwort
>> versehen und anschließend löschen. Hier kann man das Zertifikat dann Person
>> A geben und das Kennwort kennt nur Person B. So müssen zumindest zwei
>> Personen zusammenarbeiten, um an die Daten zu gelangen.
>
> Wenn ich nur wüßte wo ich das Zertifikat finde !? Ich habe mir mal die
> verschlüsselte Datei angeschaut indem ich auch
> Eigenschaften\Erweitert\Details geklickt habe. Dort erscheint unter
> "Wiederherstellungszertifikate diesr Datei laut
> Wiederherstellungsrichtlinie" ein Username dessen Zertifikat nicht im
> System finden kann. Auch nach dem Zertifikatfingerabruck habe ich
> geschaut, aber nichts ist hierzu passend. Wo kann ich denn das
> Zertifikat finden?

In der Domäne.
http://support.microsoft.com/kb/241201/en


>> Ansonsten ist EFS für euer Vorhaben nicht die Lösung. Blieben noch Lösungen
>> wie PGP und TrueCrypt.
>
> An das Truecrypt habe ich auch gedacht, jedoch scheint es nicht so
> komfortabel zu sein wie das EFS.

Das stimmt, da es mit Containern arbeitet.
Dann wäre PGP NetShare wahrscheinlich das was du suchst. Kostet, arbeitet
aber transparent und ohne Container.


--
Grüße,
Thomas

Hi,

Jens Broich schrieb:
> Wenn ich nur wüßte wo ich das Zertifikat finde !?

Es ist nur im ersten Benutzerprofil des Admins auf dem ersten
DC vorhanden, an dem er sich angemeldet hat.
-> MMC -> Zertifiakte
oder -> IE Optionen -> Inhalte -> Zertifikate

Existiert der erste DC der Domänen icht mehr (HW ausgetauscht, oder
nur temporär wegen migration vorhanden) dann ist das WdH Zert weg.
Ebenfalls nicht mehr vorhanden ist es, wenn man das Systgem mal per
Recovery wiederbelebt hat. Zertifikate werden nicht mitgesichert.

"cipher -R" in der CMD erstellt ein neues ...

Es gibt aber noch ein paar Argumente gegen EFS, z.B.:
http://www.faq-o-matic.net/2006/04/23/efs-alles-safe/

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english