Microsoft Windows Vista Community Forums - Vistaheads
Recommended Download



Welcome to the Microsoft Windows Vista Community Forums - Vistaheads, YOUR Largest Resource for Windows Vista related information.

You are currently viewing our boards as a guest which gives you limited access to view most discussions and access our other features. By joining our free community you will have access to post topics, communicate privately with other members (PM), respond to polls, upload content and access many other special features. Registration is fast, simple and absolutely free so , join our community today!

If you have any problems with the registration process or your account login, please contact us.

Driver Scanner

EFS Widerherstellungszertifikat innerhalb einer Domäne

microsoft.public.de.windows.vista.sicherheit






Speedup My PC
Reply
  #1 (permalink)  
Old 06-20-2008
Jens Broich
 

Posts: n/a
EFS Widerherstellungszertifikat innerhalb einer Domäne
hi,

ich hätte mal eine Frage an erfahrene User bzgl. EFS Verschlüsselung.
ich habe einen Rechner der in der Domäne ist. Wenn ich jetzt die
Verschlüsselung einschalte, sehe ich daß in der Sicherheitsrichtlinien ein
Admin hinterlegt wurde mit einem Wiederherstellungszertifikat.

Es sind private Daten die nicht mal von einem Admin innerhalb der
Organisation entschlüsselt werden sollten.

Wie kann ich es denn verhindern, daß bei der Verschlüsselung kein
Wiederherstellungszertifikat existiert?
Reply With Quote
Sponsored Links
  #2 (permalink)  
Old 06-21-2008
Thomas D.
 

Posts: n/a
Re: EFS Widerherstellungszertifikat innerhalb einer Domäne
Hallo Jens,

wenn ich es richtig in Erinnerung habe, ist es nicht möglich den Recovery
Agent auszuschließen. Eure Policy sollte so aussehen, dass derjenige, der
Recovery Agent ist, vertrauenswürdig ist.

Ggf. kann man das Zertifikat auch exportieren, dabei es mit einem Kennwort
versehen und anschließend löschen. Hier kann man das Zertifikat dann Person
A geben und das Kennwort kennt nur Person B. So müssen zumindest zwei
Personen zusammenarbeiten, um an die Daten zu gelangen.

Ansonsten ist EFS für euer Vorhaben nicht die Lösung. Blieben noch Lösungen
wie PGP und TrueCrypt.


--
Grüße,
Thomas
Reply With Quote
  #3 (permalink)  
Old 06-21-2008
Jens Broich
 

Posts: n/a
Re: EFS Widerherstellungszertifikat innerhalb einer Domäne
Am Sat, 21 Jun 2008 02:23:10 +0200 schrieb Thomas D.:

> Hallo Jens,
>
> wenn ich es richtig in Erinnerung habe, ist es nicht möglich den Recovery
> Agent auszuschließen. Eure Policy sollte so aussehen, dass derjenige, der
> Recovery Agent ist, vertrauenswürdig ist.
>
> Ggf. kann man das Zertifikat auch exportieren, dabei es mit einem Kennwort
> versehen und anschließend löschen. Hier kann man das Zertifikat dann Person
> A geben und das Kennwort kennt nur Person B. So müssen zumindest zwei
> Personen zusammenarbeiten, um an die Daten zu gelangen.


Wenn ich nur wüßte wo ich das Zertifikat finde !?
Ich habe mir mal die verschlüsselte Datei angeschaut indem ich auch
Eigenschaften\Erweitert\Details geklickt habe.
Dort erscheint unter "Wiederherstellungszertifikate diesr Datei laut
Wiederherstellungsrichtlinie" ein Username dessen Zertifikat nicht im
System finden kann. Auch nach dem Zertifikatfingerabruck habe ich geschaut,
aber nichts ist hierzu passend.
Wo kann ich denn das Zertifikat finden?

Habe mit dem Befehl certmgr.msc die Zertifikate aufgerufen und dort
nachgeschaut.

> Ansonsten ist EFS für euer Vorhaben nicht die Lösung. Blieben noch Lösungen
> wie PGP und TrueCrypt.


An das Truecrypt habe ich auch gedacht, jedoch scheint es nicht so
komfortabel zu sein wie das EFS.
Reply With Quote
  #4 (permalink)  
Old 06-21-2008
Thomas D.
 

Posts: n/a
Re: EFS Widerherstellungszertifikat innerhalb einer Domäne
Jens Broich schrieb:

>> Ggf. kann man das Zertifikat auch exportieren, dabei es mit einem Kennwort
>> versehen und anschließend löschen. Hier kann man das Zertifikat dann Person
>> A geben und das Kennwort kennt nur Person B. So müssen zumindest zwei
>> Personen zusammenarbeiten, um an die Daten zu gelangen.

>
> Wenn ich nur wüßte wo ich das Zertifikat finde !? Ich habe mir mal die
> verschlüsselte Datei angeschaut indem ich auch
> Eigenschaften\Erweitert\Details geklickt habe. Dort erscheint unter
> "Wiederherstellungszertifikate diesr Datei laut
> Wiederherstellungsrichtlinie" ein Username dessen Zertifikat nicht im
> System finden kann. Auch nach dem Zertifikatfingerabruck habe ich
> geschaut, aber nichts ist hierzu passend. Wo kann ich denn das
> Zertifikat finden?


In der Domäne.
http://support.microsoft.com/kb/241201/en


>> Ansonsten ist EFS für euer Vorhaben nicht die Lösung. Blieben noch Lösungen
>> wie PGP und TrueCrypt.

>
> An das Truecrypt habe ich auch gedacht, jedoch scheint es nicht so
> komfortabel zu sein wie das EFS.


Das stimmt, da es mit Containern arbeitet.
Dann wäre PGP NetShare wahrscheinlich das was du suchst. Kostet, arbeitet
aber transparent und ohne Container.


--
Grüße,
Thomas
Reply With Quote
  #5 (permalink)  
Old 06-23-2008
Mark Heitbrink [MVP]
 

Posts: n/a
Re: EFS Widerherstellungszertifikat innerhalb einer Domäne
Hi,

Jens Broich schrieb:
> Wenn ich nur wüßte wo ich das Zertifikat finde !?


Es ist nur im ersten Benutzerprofil des Admins auf dem ersten
DC vorhanden, an dem er sich angemeldet hat.
-> MMC -> Zertifiakte
oder -> IE Optionen -> Inhalte -> Zertifikate

Existiert der erste DC der Domänen icht mehr (HW ausgetauscht, oder
nur temporär wegen migration vorhanden) dann ist das WdH Zert weg.
Ebenfalls nicht mehr vorhanden ist es, wenn man das Systgem mal per
Recovery wiederbelebt hat. Zertifikate werden nicht mitgesichert.

"cipher -R" in der CMD erstellt ein neues ...

Es gibt aber noch ein paar Argumente gegen EFS, z.B.:
http://www.faq-o-matic.net/2006/04/23/efs-alles-safe/

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Reply With Quote
Reply


Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

vB code is On
Smilies are On
[IMG] code is On
HTML code is Off
Trackbacks are On
Pingbacks are On
Refbacks are Off

Similar Threads
Thread Thread Starter Forum Replies Last Post
Article ID: 926184 Nach Hinzufügen von Windows Vista zu einer Domäne werden Benutzerrichtlinieneinstellungen nicht übernommen, wenn der Anmeldedienst deaktiviert oder auf Manuell gesetzt ist KBArticles German 0 10-22-2007 21:20
Article ID: 935576 Nachdem Sie ein Smart-Card-Zertifikat zu dem Herstellen einer RAS-Verbindung verwenden, können Sie einen Windows Vista-based Computer zu einer freigegebenen Ressource in einer Fremd-Domäne nicht verbinden KBArticles German 0 10-22-2007 21:20
Article ID: 938756 Ein Windows Vista-based Computer, der mit einer Domäne verbunden wird, verwendet das öffentliche Profil oder das private Profil für die Windows-Firewall-Richtlinie statt des Domäne-Profils KBArticles German 0 10-22-2007 21:20
Article ID: 940453 Wenn Sie sich zu jedem Mal an einem Windows Vista-based Computer anmelden, der mit einer Domäne verbunden wird, wird ein temporäres Benutzerprofil erstellt KBArticles German 0 10-22-2007 21:20
Article ID: 942220 Ordner auf einem Windows Vista-based Clientcomputer werden nicht erwartet in einer Windows Server 2003-Domäne umgeleitet KBArticles German 0 10-22-2007 21:20




All times are GMT +1. The time now is 08:07.




Driver Scanner - Free Scan Now

Vistaheads.com is part of the Heads Network. See also XPHeads.com , Win7Heads.com and Win8Heads.com.


Design by Vjacheslav Trushkin for phpBBStyles.com.
Powered by vBulletin® Version 3.6.7
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.6.0 RC 2

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120