Re: EFS - Zusammenfassung und neue Fragen
- From: "Lars Meier" <larsamd@xxxxxxxx>
- Date: Mon, 4 Aug 2008 19:51:40 +0200
Ein herzliches Hallo an alle EFS Spezialisten!
Wie angekündigt, möchte ich für die Nachwelt einige Dinge festhalten, auch wenn ich noch lange nicht mit EFS derart im "Reinen" bin, dass ich sagen könnte ich blicke endgültig durch:
Hier die Fakten (sorry, wenn manche Dinge sich wiederholen - der Vollständigkeit halber eben):
- EFS ist ein Dateiattribut! Eigentlich klar, heißt aber beim verschieben von Dateien werden die Attribute ja logischerweise mitgenommen, und somit werden nicht automatisch nicht verschlüsselte Dateien verschlüsselt, auch wenn am Ordner die Verschlüsselung aktiviert ist!
- wird eine verschlüsselte Datei nicht lokal, sondern auf einem Netzlaufwerk gespeichert geschieht folgendes: wird dem Conputerkonto vertraut (für Delegierungszwecke vertrauen),
so wird die efs verschlüsselte Datei entschlüsselt, unverschlüsselt zum Server übertragen (ausser bei WebDAV) und vom Server wieder verschlüsselt gespeichert. Und das funktioniert im Detail so, dass über eine Kerberos Delegation auf den privaten Schlüssel des Users in seinem servergespeicherten Profil durch den Server zugegriffen wird. (Übrigens: auch der Server, auf dem die verschlüsselte Datei gespeichert werden soll muss für Deligierungszwecke vertraut werden!)
Frage zwischendurch:
- Wie funktioniert es technisch bei Notebooks? Servergespeicherte Profile werden hier nicht eingesetzt. Allerdings kann ich erfahrungsgemäß berichten, dass mit und ohne PKI die "Remoteverschlüsselung" auf Netzlaufwerken funktioniert.
- Oft werden die "Eigenen Dateien" verschlüsselt. Nun beisst sich das aber mit servergespeicherten Profilen. Lösung: Ordnerumleitungen müssen eingerichtet werden!
Erfreulicherweise redet das BSI im Gegensatz zu Microsoft Tacheles. Hier weitere Fakten:
- Vorsicht beim Verschieben / Kopieren von kompletten Serverdatenbeständen bei Serverumzügen! Hier gehen u.U. unwissentlich die Integrität / Lesbarkeit verloren, da Meta-Daten nicht mitkopiert / verschoben werden! (öffent. Schlüssel in Meta-Daten, ADS (Alternate Data Streams)) - und es gibt Unterschiede in der Handhabung vom Windows Explorer und cmd-Tools!
- aufgrund der Transparenz von EFS hat Alles was im Benutzerkontext läuft Zugriff auf die verschlüsselten Informationen (auch Schadprogramme!!!)
- das BSI schreibt, dass im Falle der bereits angesprochenen Remoteverschlüsselung auf einer Freigabe, der Server von der PKI im Namen des Client-Benutzers ein EFS-Zertifikat für die Verschlüsselung anfordert (Vor.: Für Delegierungszwecke vertrauen) - das wäre nun bereits das zweite Zertifikat pro Benutzer!
- greift eine Anwendung auf verschlüsselte Daten zu, die für mehrere User verschlüsselt ist, so muss diese zwingend die EFS-API unterstützen, sonst gehen die Schlüssel der anderen User verloren!
- prinzipiell werden die für die Ver- und Entschlüsselung benötigten Schlüssel in einem geschützten Hauptspeicherbereich abgelegt, der nicht in die Auslagerungsdatei geschrieben wird - Achtung beim Benutzen des Ruhezustandes! Genau das was nicht passieren soll, wird hier gemacht!
- wichtig sind starke Passwörter, denn der Schutz fällt mit dem Knacken des Benutzer-Passworts!
- nur in der Domäne kann ein Administrator erfolgreich ein Kennwort eines users zurücksetzen, ohne dass es Entschlüsselungsprobleme gibt. Unter Nicht-Dom-Usern gibt es dafür die Kennwortrücksetzdiskette
- wird EFS ohne servergespeichertes Profil eingesetzt, so werden auch an unterschiedlichen Rechnern unterschiedliche private/öffentliche Schlüssel zum entschlüsseln/verschlüsseln des FEK benutzt, da die Schlüssel im Benutzerprofil abgelegt sind.
- man kann unter XP mit EFS auch die Registrierung (mithilfe von syskey) und die Offlinedateien verschlüsseln
- auch das BSI empfiehlt im Unternehmensumfeld EFS nur in Verbindung mit einer PKI (es muss also auch anders gehen...)
- Wichtigste Erkenntnis (nicht von Microsoft, sondern auch vom BSI!): vor dem Ablauf des Wiederherstellungszertifikates (i.d.R. 5 Jahre) muss ein Neues hinzugefügt werden, da sonst unmittelbar nach Ablauf die Verschlüsselung nicht mehr funktioniert!
- werden die Zertifikate nicht automatisch oder manuell verlängert, so wird mal eben auf selbst signierte Zertifikate umgestellt und was das zur Folge hat, spreche ich gar nicht erst an... .
- stellt sich mir noch folgende Frage: Wie zieht man eine Zertifizierungsstelle auf einen anderen Server um? Jeder Server kommt mal in die Jahre... . Hier tun sich mir folgende Probleme auf: Die Konfiguration selbst ist in der Registrierung gespeichert, die nur über den Systemstatus sicher- und rücksicherbar ist. Bei einem neuen Server (Übernahmeszenario natürlich so, dass nach der Übernahme der neue Server die selbe Netzwerkkonfig hat wie der Alte) ist das so ein Problem zu übernehmen! Kennt jemand dazu eine Lösung?
- wie stellt man sicher, dass alle irgendwo angeforderten Zertifikate zentral sichert? (es wird nicht nur W2k3 Enterprise eingesetzt!)
- Alles in Allem eine sehr komplexe Sache, deren Einführung und Aufwand gut überlegt sein will, denn einen Notausgang für die Entschlüsselung bei Nichtbeachtung eines eventuell einzigen Punktes gibt es nicht!
Weitere Neuigkeiten werde ich wieder posten, das reicht ja auch erst einmal.
Viele Grüsse
L. Meier
.
- Prev by Date: Re: vertrauensstellung
- Next by Date: Re: Office 2007 über GPO
- Previous by thread: RE: 2 DC´s Prioretisierung
- Next by thread: Re: Office 2007 über GPO
- Index(es):
Relevant Pages
|
