Erkunden des verschlüsselnden Dateisystems in Windows Client

  • 4 Minuten

EFS ist ein integriertes Dateiverschlüsselungstool für Windows-basierte Systeme. EFS ist eine Komponente des NTFS-Dateisystems und verwendet erweiterte, standardmäßige kryptografische Algorithmen, um eine transparente Dateiverschlüsselung und -entschlüsselung zu ermöglichen. Durch die Windows Information Protection-Funktionalität von Windows wird die EFS-Funktionalität auch auf Laufwerken simuliert, die das FAT32-Dateisystem verwenden. Jede Person oder App, die keinen Zugriff auf einen Zertifikatspeicher hat, der einen entsprechenden kryptografischen Schlüssel enthält, kann verschlüsselte Daten nicht lesen. Sie können verschlüsselte Dateien auch vor Personen schützen, die in den physischen Besitz eines Computers gelangen, auf dem die Dateien gespeichert sind. Selbst Personen, die über die Berechtigung zum Zugriff auf einen Computer und sein Dateisystem verfügen, können die verschlüsselten Daten nicht anzeigen.

Verschlüsselung ist eine leistungsstarke Ergänzung zu jedem Verteidigungsplan. Sie müssen jedoch zusätzliche Verteidigungsstrategien verwenden, da Verschlüsselung nicht die richtige Gegenmaßnahme für jede Bedrohung ist. Darüber hinaus hat jede Verteidigungswaffe das Potenzial, Ihre Daten zu schädigen, wenn Sie sie falsch verwenden. Bei der Implementierung von EFS besteht die wichtigste Aufgabe darin, EFS-Zertifikate für Benutzer ordnungsgemäß zu verwalten. Die von EFS bereitgestellte Verschlüsselung basiert auf Benutzerzertifikaten und ihren öffentlichen und privaten Schlüsseln. Ohne ordnungsgemäße Zertifikatverwaltung können Sie problemlos in eine Situation gelangen, in der verschlüsselte Daten nicht zugänglich sind.

Verwalten von EFS-Zertifikaten

EFS verwendet Kryptografie mit öffentlichem Schlüssel zum Verschlüsseln von Dateien. EFS ruft die Schlüssel aus dem EFS-Zertifikat eines Benutzers ab, das auch private Schlüsselinformationen enthalten kann. Daher müssen Sie sie ordnungsgemäß verwalten.

Benutzer benötigen asymmetrische Schlüsselpaare, um Daten zu verschlüsseln, und sie können diese Schlüssel wie folgt erhalten:

  • Von einer Zertifizierungsstelle. Eine interne Zertifizierungsstelle oder eine Drittanbieter-Zertifizierungsstelle kann EFS-Zertifikate ausstellen. Diese Methode ermöglicht die zentrale Verwaltung und Sicherung von Schlüsseln. Dies ist eine empfohlene Methode zum Ausstellen und Verwalten von EFS-Zertifikaten, da sie es Ihnen ermöglicht, das Benutzerzertifikat wiederherzustellen, wenn es verloren geht.
  • Durch generieren. Wenn eine Zertifizierungsstelle nicht verfügbar ist, generiert Windows ein Schlüsselpaar. Diese Schlüssel haben eine Lebensdauer von 100 Jahren. Diese Methode ist schwieriger als die Verwendung einer Zertifizierungsstelle, da es keine zentrale Verwaltung gibt und die Benutzer für die Verwaltung ihrer eigenen Schlüssel verantwortlich sind. Darüber hinaus ist die Wiederherstellung schwieriger zu verwalten. Es ist jedoch immer noch eine beliebte Methode, da kein Setup erforderlich ist.

Benutzer können verschlüsselte Dateien für EFS-Zertifikate anderer Benutzer zugänglich machen. Wenn Sie Zugriff auf das EFS-Zertifikat eines anderen Benutzers gewähren, kann dieser Benutzer diese Dateien für die EFS-Zertifikate eines anderen Benutzers verfügbar machen.

Ausstellen eines Zertifikats für einen DRA

Bevor Sie mit der Verwendung von EFS in Ihrer Organisation beginnen, ist es sehr wichtig, ein Zertifikat für einen Datenwiederherstellungs-Agent (Data Recovery Agent, DRA) auszugeben. Dieses Zertifikat wird in Szenarien verwendet, in denen ein Benutzer, der die Datei verschlüsselt hat, sie nicht entschlüsseln kann oder möchte. Ein Benutzer mit einem DRA-Zertifikat kann jede verschlüsselte Datei in der Organisation entschlüsseln. Dies gilt für alle Dateien, die nach der Ausstellung eines DRA-Zertifikats verschlüsselt wurden.

EFS-Zertifikate können nur für einzelne Benutzer ausgestellt werden. EFS-Zertifikate können nicht an Gruppen ausgestellt werden.

Zertifizierungsstellen können EFS-Zertifikate archiviert und wiederherstellen, die von der Zertifizierungsstelle ausgestellt wurden

Wenn Sie die Zertifizierungsstelle zum Ausstellen von EFS-Zertifikaten verwenden, können Sie die Archivierung des privaten Schlüssels des Benutzers konfigurieren. Sie sollten dies konfigurieren, bevor Sie mit dem Ausstellen von EFS-Zertifikaten für Benutzer beginnen. Wenn Sie diese Funktionalität nicht verwenden, müssen Benutzer ihre selbst generierten EFS-Zertifikate und privaten Schlüssel manuell sichern. Dazu können sie das Zertifikat und den privaten Schlüssel in eine persönliche Exchange Datei (PFX) exportieren, die während des Exportvorgangs kennwortgeschützt ist. Dieses Kennwort ist erforderlich, um das Zertifikat in den Zertifikatspeicher eines Benutzers zu importieren. In Windows können Sie auch das integrierte Tool zum Verwalten und Sichern von Benutzerzertifikaten für EFS verwenden. Es wird empfohlen, dass jeder Benutzer, der EFS verwendet, dieses Tool verwendet, um sein Zertifikat mit einem privaten Schlüssel an einem externen geschützten Speicherort zu sichern.

Exportieren des Client-EFS-Zertifikats ohne den privaten Schlüssel

Wenn Sie nur Ihren öffentlichen Schlüssel verteilen müssen, können Sie das Client-EFS-Zertifikat ohne den privaten Schlüssel als Canonical Encoding Rules- (CER-)Dateien exportieren. Der private Schlüssel eines Benutzers wird im Profil des Benutzers im RSA-Ordner gespeichert, auf den Sie durch Erweitern von AppData>Roaming>Microsoft>Crypto zugreifen können. Bitte beachten Sie jedoch, da es nur eine Instanz des Schlüssels gibt, dass er daher Festplattenfehlern oder Datenbeschädigungen ausgesetzt ist.

Exportieren von Zertifikaten mit dem MMC-Zertifikat-Snap-In

Das Microsoft Management Console- (MMC-)Zertifikat-Snap-In exportiert Zertifikate und private Schlüssel. Der Speicher für persönliche Zertifikate enthält die EFS-Zertifikate. Wenn Benutzer Dateien in freigegebenen Remoteordnern verschlüsseln, werden ihre Schlüssel auf dem Dateiserver gespeichert.

Funktionsweise von EFS

Die grundlegende Verschlüsselung von EFS funktioniert wie folgt:

  • Wenn ein Benutzer, der über den erforderlichen Schlüssel verfügt, eine Datei öffnet, wird die Datei geöffnet. Wenn ein Benutzer nicht über den Schlüssel verfügt, erhält der Benutzer eine Nachricht über den verweigerten Zugriff.
  • Die Dateiverschlüsselung verwendet einen symmetrischen Schlüssel, der mit dem öffentlichen Schlüssel eines Benutzers verschlüsselt wird, der im Dateiheader gespeichert ist. Darüber hinaus wird ein Zertifikat mit den öffentlichen und privaten Schlüsseln des Benutzers oder asymmetrischen Schlüsseln im Profil des Benutzers gespeichert. Der private Schlüssel des Benutzers muss für die Entschlüsselung der Datei verfügbar sein.
  • Wenn ein privater Schlüssel beschädigt wird oder verloren geht, kann die Datei nicht entschlüsselt werden. Wenn ein Datenwiederherstellungs-Agent vorhanden ist, kann die Datei wiederhergestellt werden. Wenn Sie die Schlüsselarchivierung implementieren, können Sie den Schlüssel wiederherstellen und die Datei entschlüsseln. Andernfalls ist die Datei möglicherweise verloren. Das Zertifikatsystem, auf dem die Verschlüsselung basiert, wird als Public Key-Infrastruktur (PKI) bezeichnet.
  • Sie können das Zertifikat eines Benutzers archivieren, das seinen öffentlichen und privaten Schlüssel enthält. Sie können ihn beispielsweise auf einen USB-Speicherstick exportieren und dann den USB-Speicherstick an einem sicheren Ort für die Wiederherstellung aufbewahren, wenn die Schlüssel beschädigt werden oder verloren gehen.
  • Das Kennwort eines Benutzers schützt die öffentlichen und privaten Schlüssel. Jeder Benutzer, der die Benutzer-ID und das Kennwort erhalten kann, kann sich als dieser Benutzer anmelden und die Dateien dieses Benutzers entschlüsseln. Daher sollten die Sicherheitspraktiken einer Organisation eine sichere Kennwortrichtlinie und Benutzerschulungen zum Schutz von EFS-verschlüsselten Dateien enthalten.
  • EFS-verschlüsselte Dateien bleiben nicht verschlüsselt, wenn Sie das Netzwerk durchlaufen, z. B. wenn Sie mit den Dateien in einem freigegebenen Ordner arbeiten. Die Datei wird entschlüsselt und durchläuft das Netzwerk dann unverschlüsselt. EFS verschlüsselt sie lokal, wenn Sie sie in einem Ordner auf dem lokalen Laufwerk speichern, der für die Verschlüsselung konfiguriert ist. EFS-verschlüsselte Dateien können beim Durchlaufen eines Netzwerks verschlüsselt bleiben, wenn Sie sie mithilfe des World Wide Web Distributed Authoring and Versioning- (WebDAV-)Protokolls in einem Webordner speichern. Sie können auch verschlüsselt bleiben, wenn Sie den Netzwerkdatenverkehr so konfigurieren, dass er mithilfe von IPSec (Internet Protocol Security) verschlüsselt wird.
  • EFS unterstützt Industriestandard-Verschlüsselungsalgorithmen, einschließlich AES (Advanced Encryption Standard). AES verwendet einen symmetrischen 256-Bit-Verschlüsselungsschlüssel und ist der Standard-EFS-Algorithmus.

EFS-Features in Windows 10

Beachten Sie außerdem die folgenden Features bei der Implementierung von EFS in Windows:

  • Unterstützung für das Speichern privater Schlüssel auf Smartcards. Windows bietet vollständigen Support für das Speichern der privaten Schlüssel von Benutzern auf Smartcards. Wenn sich ein Benutzer mit einer Smartcard bei Windows anmeldet, kann EFS die Smartcard auch für die Dateiverschlüsselung verwenden. Administratoren können die Wiederherstellungsschlüssel ihrer Domäne auf einer Smartcard speichern. Das Wiederherstellen von Dateien ist dann so einfach wie das Anmelden am betroffenen Computer, entweder lokal oder mithilfe von Remotedesktop und mithilfe der Wiederherstellungs-Smartcard, um auf die Dateien zuzugreifen.
  • Der Dateiverschlüsselungssystemassistent zum Erstellen von Schlüsseln. Mit dem Dateiverschlüsselungssystemassistenten zum Erstellen von Schlüsseln können Benutzer ein EFS-Zertifikat auswählen, dann die vorhandenen Dateien auswählen und migrieren, die das neu ausgewählte EFS-Zertifikat verwenden. Administratoren können den Assistenten verwenden, um Benutzer in vorhandenen Installationen von Softwarezertifikaten zu Smartcards zu migrieren. Der Assistent ist auch in Wiederherstellungssituationen hilfreich, da er effizienter ist als das Entschlüsseln und erneute Verschlüsseln von Dateien.
  • Gruppenrichtlinieneinstellungen für EFS. Sie können Gruppenrichtlinie verwenden, um EFS-Schutzrichtlinien zentral für ein gesamtes Unternehmen zu steuern und zu konfigurieren. Beispielsweise ermöglicht Windows über die lokale Sicherheitsrichtlinie oder Gruppenrichtlinie die Verschlüsselung der Auslagerungsdatei.
  • Benutzerspezifische Verschlüsselung von Offlinedateien. Sie können EFS verwenden, um Offlinekopien von Dateien von Remoteservern zu verschlüsseln. Wenn Sie diese Option aktivieren, wird jede Datei im Offlinecache mit einem öffentlichen Schlüssel des Benutzers verschlüsselt, der die Datei zwischengespeichert hat. Daher hat nur dieser Benutzer Zugriff auf die Datei, und selbst lokale Administratoren können die Datei nicht ohne Zugriff auf die privaten Schlüssel des Benutzers lesen.
  • Selektives Zurücksetzen. Ein Feature von Windows in einer Unternehmensumgebung ist die selektive Zurücksetzung. Wenn ein Gerät verloren geht oder gestohlen wird, kann ein Administrator den EFS-Schlüssel widerrufen, der zum Schützen der Dateien auf dem Gerät verwendet wurde. Durch das Widerrufen eines Schlüssels wird der gesamte Zugriff auf Datendateien verhindert, die auf dem Gerät eines Benutzers gespeichert sind.