Daten mit dem EFS verschlüsseln

Administratoren sind grundsätzlich allmächtig. Ein NTFS-Schutz fällt in sich zusammen, sobald ihr PC oder ihre Festplatte, bzw. ein Stick Dritten in die Hände fällt.

Durch Einhängen des Datenträgers in ein eigenes System, auf dem Sie selbst Administrator sind, können Sie die Besitzrechte übernehmen und problemlos geschützte Daten lesen.

 

Sensible Daten können deshalb zusätzlich verschlüsselt werden., sodass man sie nur mithilfe des passenden Zugangsschlüssels wieder entziffern und lesen kann.

Das geht zum beispiel mit dem EFS (Encrypting File System oder Verschlüsselndes Dateisystem)

 

Ordner und Dateien verschlüsseln

Sie können einen neuen Ordner erstellen, den Sie verschluesseln. Öffnen Sie dann die Eigenschaften von diesem und  wählen auf der rigisterkarte ‚Allgemein‘ die Option ‚Erweitert‘. Aktivieren Sie die Checkbox ‚Inhalt verschlüsseln‘
 
Der Ordner erhält eine grüne Beschriftung und zeigt so an, dass dieser jetztz verschlüsselt ist. Alles was jetzt hier lagert, wird automatisch verschlüsselt und kann nur noch von Ihnen selbst gelesen werden

 

Geheimen Schlüssel sichern

Damit Sie – und nur Sie – Zugriff auf die verschlüsselten Daten haben, wurden diese mit einem geheimen Schlüssel verschlüsselt. Nur wer diesen Schlüssel besitzt, kann die Daten entschlüsseln.

Dieser Schlüssel wird automatisch im sicheren Zertifikatspeicher aufbewahrt, sodass Sie normalerweise kaum damit zu tun haben. Falls der PC jedoch kaputt geht und der Geheimschlüssel nicht mehr vorhanden ist, verlieren Sie ebenfalls den eigenen Zugriff auf sämtliche verschlüsselten Daten. Deshalb sollten Sie den EFS-Schlüssel rechtzeitig sichern.

HINWEIS: In einer Domäne können die gehimen Schlüssel für alle Mitarbeiter zentral gesichert werden!

  • Öffnen Sie in der Systemsteuerung den Assistenten ‚Dateiverschlüsselungszertifikate verwaleten‘



  • Folgen Sie den Anweisungen im Assistenten
  • Sie werden nach einem Kennwort für die Sicherheitskopie des geheimen Schlüssels gefragt. Nur wer dieses kennt, kann die sicherheitkopie später wieder reaktivieren. Also gut notieren, denn ohnen dieses ist die Kopie nichts wert.
  • Vergeben Sie einen Namen und speichern sie den Schlüssel auf einem Stick, getrennt von ihrem PC an einem sicheren Ort.
  • Waren Sie gezwungen ihren PC neu aufzusetzen und müssen den Schlüssel wiederherstellen, öffnen Sie die .pfx-Datei per Doppelklick, geben das Kennwort ein und wenig später ist der Schlüssel wiederhergestellt und Sie haben wieder Zugang zu ihren verschlüsselten Daten.

 

Wiederherstellungsschlüssel generieren und verwenden

Bis zu diesem Zeitpunkt sind Sie der einzige, der ihre verschlüsselten Daten öffnen kann. In einer Firam benötigt man jedoch einen umfassenderen Schutz und kann sich nicht darauf verlassen, dass jeder Mitarbeiter seinen eigenen Schlüssel sichert und diesem auch sicher aufbewahrt.

Deshalb kann zusätzlich ein zentraler Wiederherstellungsschlüssel festgelegt werden.

Dann können die Daten entweder mit ihrem eigenen normalen Schlüssel oder mit diesem zentralen Schlüssel lesbar gemacht werden. Der zentrale Schlüssel ist also wie ein Generalschlüssel, der für viele Benutzer gilt.

  • Der öffentliche Teil in Form einer .cer-Datei wird dann in einer GPO als Wiederherstellungs-Agent hinterlegt
  • Der geheime Teil in Form einer .pfx-Datei muss gut aufbewahrt werden und ermöglicht es im Notfall, verschlüsselte Dateien zu entschlüsseln.
Geben Sie folgende Befehle in der CMD oder Powershell-Konsole ein, um einen Wiederherstellungs-Schlüssel anzulegen
  • Geben Sie ein Kennwort ein, welches den Wiederherstellungsschlüssel schützt
  • Eine .pfx- und .cer-Datei werden generiert
Damit der zuvor angelegte Schlüssel in alle EFS-Verschlüsselungen einbezogen wird, gehen sie wie folgt vor:

  • Öffnen Sie die GPO-Verwaltung: gpedit.msc
  • Öffnen Sie den Zweig: COMPUTERKONFIGURATION/WINDOWS-EINSTELLUNGEN/SICHERHEITSEINSTELLUNGEN/RICHTLINIEN FÜR ÖFFENTLICHE SCHLÜSSEL/VERSCHLÜSSELNDES DATEISYSTEM

  • Wählen Sie im Kontextmenü den eintrag: ‚Datenwiederherstellungs-Agenten hinzufügen

  • Folgen Sie den Anweisungen im Assistenten. Sie werden nun nach dem Wiederherstellungs-Agenten gefragt: Wählen Sie die .cer-Datei aus

  • Aktualisieren Sie ihre GPOs mit dem Befehl  

Ab sofort können Sie im Notfall mit der .pfx-Datei die verschlüsselten Daten sämtlicher Benutzer dieses Computers entschlüsseln, die ab diesem neu verschlüsselt oder einfach nur geöffnet wurden.

Damit auch ältere verschlüsselte Daten mit ihrem Wiederherstellungsschlüssel entschlüsselt werden können, müssen sämtliche verschlüsselten Daten neu verschlüsselt werden. Das erledigen Sie in der Konsole mit folgendem Befehl:

 

 

Anderen Benutzern Zugriff gewähren

Falls Sie zum Beispiel mit einem Kollegen an einem vertraulichen Projekt arbeiten, müssen Sie diesen als Berechtigten hinzufügen.

Das funktioniert nur, wenn

  • sie sich denselben Computer teilen (im Netzwerk funktionieren EFS-Verschlüsselungen nur innerhalb eines Netzwerk mit zentralen Active Directory)
  • sich beide bereits eigene Dateien verschlüsselt haben, damit jeder einen eigenen EFS-Schlüssel besitzt.

 

 

Außerdem können Sie diese Berechtigung nur für jede Datei einzeln festlegen – NICHT für einen ORDNER.

So vergeben Sie anderen Person Zugriff auf verschlüsselte Daten:

  • Öffnen Sie die Eigenschaften der verschlüsselten Datei
  • Wählen Sie auf der Registerkarte ‚Allgemein‘ die Option ‚Erweitert‘
  • Wählen Sie dann die Option ‚Details‘ – Diese Schaltfläche ist nur bei Dateien, nicht bei Ordnern wählbar

  • Fügen Sie weitere Berechtigte mit der Option ‚Hinzufügen‘ hinzu

 

Befehl zum Verschlüsseln im Kontextmenü des Windows-Explorers hinzufügen

 

Falls Sie von der EFS-Verschlüsselung häufig Gebrauch machen, richten Sie dafür wie folgt einen Shortcut im Windows-Explorer ein: Rufen Sie den Registrierungs-Editor auf, indem Sie im Startmenü den Suchbegriff regedit verwenden. Navigieren Sie im Registrierungs-Editor zum Schlüssel

Erstellen Sie für diesen Schlüssel einen neuen DWORD-Wert mit dem Namen EncryptionContextMenu

 

Klicken Sie anschließend doppelt auf den neuen Eintrag und setzen Sie im Dialogfeld DWORD-Wert (32-Bit) bearbeiten den Wert auf 1. Danach steht im Kontextmenü des Windows-Explorers die Option Verschlüsseln – bzw. Entschlüsseln bei bereits verschlüsselten Dateien/Ordnern – zur Verfügung.