Verschlüsselndes Dateisystem im Windows-Client

  • 9 Minuten

EFS ist ein integriertes Dateiverschlüsselungstool für Windows-basierte Systeme. EFS ist eine Komponente des NTFS-Dateisystems und verwendet fortschrittliche Standardkryptografiealgorithmen, um eine transparente Dateiverschlüsselung und -entschlüsselung zu ermöglichen. Durch die Windows-Information Protection-Funktionalität von Windows wird die EFS-Funktionalität auch auf Volumes simuliert, die das FAT32-Dateisystem verwenden. Jede Person oder App, die keinen Zugriff auf einen Zertifikatspeicher mit einem geeigneten Kryptografieschlüssel hat, kann verschlüsselte Daten nicht lesen. Sie können verschlüsselte Dateien auch vor Personen schützen, die in den physischen Besitz eines Computers gelangen, auf dem Dateien gespeichert sind. Selbst Personen, die für den Zugriff auf einen Computer und sein Dateisystem autorisiert sind, können die verschlüsselten Daten nicht anzeigen.

Verschlüsselung ist eine wichtige Ergänzung für jeden Verteidigungsplan. Sie müssen jedoch zusätzliche Abwehrstrategien anwenden, da Verschlüsselung nicht für jede Bedrohung die richtige Gegenmaßnahme ist. Darüber hinaus besteht bei jeder Abwehrstrategie die Gefahr, dass Daten beschädigt werden, wenn sie falsch angewendet wird. Bei der Implementierung von EFS besteht die wichtigste Aufgabe darin, EFS-Zertifikate für Benutzer*innen ordnungsgemäß zu verwalten. Die EFS-Verschlüsselung basiert auf Benutzerzertifikaten und deren öffentlichen und privaten Schlüsseln. Ohne eine ordnungsgemäße Zertifikatverwaltung können Sie leicht in eine Situation kommen, in der auf verschlüsselte Daten nicht zugegriffen werden kann.

Verwalten von EFS-Zertifikaten

EFS verwendet Kryptografie mit öffentlichem Schlüssel, um Dateien zu verschlüsseln. EFS ruft die Schlüssel aus dem EFS-Benutzerzertifikat ab, das möglicherweise auch Informationen zu privaten Schlüsseln enthält. Daher müssen Sie sie ordnungsgemäß verwalten.

Benutzer*innen benötigen asymmetrische Schlüsselpaare, um Daten zu verschlüsseln, und sie können diese Schlüssel folgendermaßen abrufen:

  • Von einer Zertifizierungsstelle (ZS): Eine interne Zertifizierungsstelle oder eine Drittanbieterzertifizierungsstelle kann EFS-Zertifikate ausstellen. Diese Methode ermöglicht eine zentrale Verwaltung und die Sicherung von Schlüsseln. Sie wird empfohlen, um EFS-Zertifikate auszustellen und zu verwalten, da sie Ihnen die Wiederherstellung des Benutzerzertifikats ermöglicht, wenn es verloren geht.
  • Durch Generierung: Wenn eine Zertifizierungsstelle nicht verfügbar ist, generiert Windows ein Schlüsselpaar. Diese Schlüssel sind 100 Jahre lang gültig. Diese Methode ist ungünstiger als die Verwendung einer Zertifizierungsstelle, da es keine zentrale Verwaltung gibt und Benutzer*innen für die Verwaltung ihrer eigenen Schlüssel verantwortlich sind. Darüber hinaus ist die Wiederherstellung schwieriger zu verwalten. Es ist dennoch eine beliebte Methode, da sie kein Setup erfordert.

Benutzer*innen können verschlüsselte Dateien für die EFS-Zertifikate anderer Benutzer*innen zugänglich machen. Wenn Sie Zugriff auf die EFS-Zertifikate anderer Benutzer*innen gewähren, können diese Benutzer*innen die Dateien für die EFS-Zertifikate weiterer Benutzer*innen verfügbar machen.

Ausstellen eines Zertifikats für einen DRA

Bevor Sie mit der Verwendung von EFS in Ihrer Organisation beginnen, müssen Sie unbedingt ein Zertifikat für einen Datenwiederherstellungs-Agent (DRA) ausstellen. Dieses Zertifikat wird in Szenarios verwendet, in denen ein*e Benutzer*in, der oder die die Datei verschlüsselt hat, sie nicht entschlüsseln kann oder möchte. Benutzer*innen mit DRA-Zertifikat können jede verschlüsselte Datei in der Organisation entschlüsseln. Dies gilt für alle Dateien, die nach der Ausstellung eines DRA-Zertifikats verschlüsselt wurden.

Sie können EFS-Zertifikate nur für einzelne Benutzer*innen ausstellen. Sie können keine EFS-Zertifikate für Gruppen ausstellen.

Zertifizierungsstellen können von Zertifizierungsstellen ausgestellte EFS-Zertifikate archivieren und wiederherstellen.

Wenn Sie die Zertifizierungsstelle zum Ausstellen von EFS-Zertifikaten verwenden, können Sie die Archivierung privater Benutzerschlüssel konfigurieren. Sie sollten diese konfigurieren, bevor Sie mit der Ausstellung von EFS-Zertifikaten für Benutzer*innen beginnen. Wenn Sie diese Funktionalität nicht verwenden, müssen Benutzer*innen ihre selbstgenerierten EFS-Zertifikate und privaten Schlüssel manuell sichern. Hierfür können sie das Zertifikat und den privaten Schlüssel im PFX-Format (Personal Exchange File) exportieren. Die Datei ist während des Exportvorgangs kennwortgeschützt. Dieses Kennwort wird benötigt, um das Zertifikat in den Zertifikatspeicher eines Benutzers oder einer Benutzerin zu importieren. Unter Windows können Sie auch das integrierte Tool zum Verwalten und Sichern von Benutzerzertifikaten verwenden, die für EFS verwendet werden. Es wird empfohlen, dass alle EFS-Benutzer*innen dieses Tool verwenden, um ihre Zertifikate mit einem privaten Schlüssel an einem externen geschützten Speicherort zu sichern.

Exportieren des EFS-Clientzertifikats ohne den privaten Schlüssel

Wenn Sie nur Ihren öffentlichen Schlüssel verteilen müssen, können Sie das EFS-Clientzertifikat ohne den privaten Schlüssel im CER-Format (Canonical Encoding Rules) exportieren. Private Benutzerschlüssel werden im Benutzerprofil im RSA-Ordner gespeichert, auf den Sie zugreifen können, indem Sie AppData>Roaming>Microsoft>Crypto erweitern. Beachten Sie jedoch, dass der Schlüssel anfällig für Festplattenfehler oder Datenbeschädigungen ist, da es nur eine Instanz des Schlüssels gibt.

Exportieren von Zertifikaten mit dem Snap-In für MMC-Zertifikate

Das Snap-In für MMC-Zertifikate (Microsoft Management Console) exportiert Zertifikate und private Schlüssel. Der persönliche Zertifikatspeicher enthält die EFS-Zertifikate. Wenn Benutzer*innen Dateien in freigegebenen Remoteordnern verschlüsseln, werden ihre Schlüssel auf dem Dateiserver gespeichert.

Funktionsweise von EFS

Die EFS-Verschlüsselung funktioniert im Wesentlichen wie folgt:

  • Wenn ein*e Benutzer*in, der oder die über den erforderlichen Schlüssel verfügt, eine Datei öffnet, wird die Datei geöffnet. Wenn ein*e Benutzer*in nicht im Besitz des Schlüssels ist, wird ihm oder ihr angezeigt, dass der Zugriff verweigert wurde.
  • Bei der Dateiverschlüsselung wird ein symmetrischer Schlüssel verwendet, den sie mit dem öffentlichen Benutzerschlüssel verschlüsselt, der im Dateiheader gespeichert ist. Darüber hinaus wird ein Zertifikat mit den öffentlichen und privaten Benutzerschlüssel oder den asymmetrischen Schlüsseln im Benutzerprofil gespeichert. Der private Benutzerschlüssel muss zur Entschlüsselung der Datei verfügbar sein.
  • Wenn ein privater Schlüssel beschädigt wird oder verloren geht, kann die Datei nicht entschlüsselt werden. Wenn ein Datenwiederherstellungs-Agent vorhanden ist, kann die Datei wiederhergestellt werden. Wenn Sie die Schlüsselarchivierung implementieren, können Sie den Schlüssel wiederherstellen und die Datei entschlüsseln. Andernfalls ist die Datei möglicherweise verloren. Das Zertifikatsystem, auf dem die Verschlüsselung basiert, wird als Public Key Infrastructure (PKI) bezeichnet.
  • Sie können Benutzerzertifikate archivieren, die öffentliche und private Benutzerschlüssel enthalten. Sie können sie beispielsweise auf einen USB-Speicherstick exportieren und diesen dann für die Wiederherstellung an einem sicheren Ort aufbewahren, wenn die Schlüssel beschädigt werden oder verloren gehen.
  • Das Benutzerkennwort schützt die öffentlichen und privaten Schlüssel. Alle Benutzer*innen, die die Benutzer-ID und das Kennwort abrufen können, können sich als diese*r Benutzer*in anmelden und dessen Dateien entschlüsseln. Aus diesem Grund sollten die Sicherheitsmaßnahmen einer Organisation eine Richtlinie für sichere Kennwörter und eine Benutzerschulung zum Schutz von EFS-verschlüsselten Dateien beinhalten.
  • EFS-verschlüsselte Dateien bleiben nicht verschlüsselt, wenn sie das Netzwerk verlassen, zum Beispiel, wenn Sie die Dateien in einem freigegebenen Ordner verwenden. Die Datei wird entschlüsselt und durchläuft dann das Netzwerk im unverschlüsselten Zustand. EFS verschlüsselt sie lokal, wenn Sie sie in einem Ordner auf dem lokalen Laufwerk speichern, der für die Verschlüsselung konfiguriert ist. EFS-verschlüsselte Dateien können während der Durchquerung eines Netzwerks verschlüsselt bleiben, wenn Sie sie mithilfe des WebDAV-Protokolls (World Wide Web Distributed Authoring and Versioning) in einem Webordner speichern. Sie können auch verschlüsselt bleiben, wenn Sie den Netzwerkdatenverkehr so konfigurieren, dass er mithilfe von IPSec (Internet Protocol Security) verschlüsselt wird.
  • EFS unterstützt branchenübliche Verschlüsselungsalgorithmen, einschließlich Advanced Encryption Standard (AES). AES verwendet einen symmetrischen 256-Bit-Verschlüsselungsschlüssel und ist der EFS-Standardalgorithmus.

EFS-Features unter Windows 10

Außerdem sind die folgenden Features relevant, wenn Sie EFS unter Windows implementieren:

  • Unterstützung für das Speichern privater Schlüssel auf Smartcards: Windows bietet vollständige Unterstützung für das Speichern privater Benutzerschlüssel auf Smartcards. Wenn sich ein*e Benutzer*in mit einem Smartcard bei Windows anmeldet, kann EFS diese auch für die Dateiverschlüsselung verwenden. Administrator*innen können die Wiederherstellungsschlüssel ihrer Domäne auf einer Smartcard speichern. Für das Wiederherstellen von Dateien müssen Sie sich dann nur beim betroffenen Computer anmelden, entweder lokal oder per Remotedesktop, und die Wiederherstellungs-Smartcard für den Zugriff auf die Dateien verwenden.
  • EFS-Assistent für die Schlüsselerneuerung: Der EFS-Assistent für die Schlüsselerneuerung ermöglicht es Benutzer*innen, ein EFS-Zertifikat und dann die vorhandenen Dateien auszuwählen und zu migrieren, die das neu ausgewählte Zertifikat verwenden. Administrator*innen können den Assistenten verwenden, um Benutzer*innen in vorhandenen Installationen von Softwarezertifikaten zu Smartcards zu migrieren. Der Assistent ist auch in Wiederherstellungssituationen hilfreich, da er effizienter ist als das Entschlüsseln und erneute Verschlüsseln von Dateien.
  • Gruppenrichtlinieneinstellungen für EFS: Sie können Gruppenrichtlinie verwenden, um EFS-Schutzrichtlinien zentral für ein gesamtes Unternehmen zu steuern und zu konfigurieren. Windows ermöglicht beispielsweise die Verschlüsselung von Seitendateien über die lokale Sicherheitsrichtlinie oder Gruppenrichtlinie.
  • Benutzerspezifische Verschlüsselung von Offlinedateien: Sie können EFS verwenden, um Offlinekopien von Dateien von Remoteservern zu verschlüsseln. Wenn Sie diese Option aktivieren, wird jede Datei im Offlinecache mit einem öffentlichen Schlüssel des Benutzers oder der Benutzerin verschlüsselt, der oder die die Datei zwischengespeichert hat. Daher hat nur diese*r Benutzer*in Zugriff auf die Datei, und selbst lokale Administrator*innen können die Datei nicht ohne Zugriff auf die privaten Benutzerschlüssel lesen.
  • Selektives Zurücksetzen: Das selektive Zurücksetzen ist ein Windows-Feature in Unternehmensumgebungen. Wenn ein Gerät verloren geht oder gestohlen wird, kann ein*e Administrator*in den EFS-Schlüssel widerrufen, der zum Schutz der Dateien auf dem Gerät verwendet wurde. Durch das Widerrufen eines Schlüssels wird jeglicher Zugriff auf Datendateien verhindert, die auf dem Gerät eines Benutzers oder einer Benutzerin gespeichert sind.