Fallstricke des Encrypted File System von Windows vermeiden

Eingeschaltet ist es schnell, das Encrypted File System (EFS) von Windows 2000 und XP Professional. Vergisst man jedoch, seine die relevanten Benutzerdaten zu sichern, verwehrt einem Windows im Fehlerfall möglicherweise den Zugriff auf die eigenen Daten.

Lesezeit: 12 Min.
In Pocket speichern
vorlesen Druckansicht
Von
  • Peter Dassow
Inhaltsverzeichnis

Nur wenige Klicks genügen, um das Encrypted File System (EFS) von Windows 2000 und XP Professional zu aktivieren: Im Eigenschaftendialog einer Datei oder eines Verzeichnisses muss man lediglich in den erweiterten Attributen die Option "Inhalte verschlüsseln" aktivieren. Einzelne Dateien verschlüsselt Windows ohne Rückfrage, bei Verzeichnissen will das System nach der EFS-Aktivierung zuvor noch wissen, ob es auch Unterverzeichnisse einbeziehen soll. Kopiert man zukünftig Dateien in ein EFS-Verzeichnis, verschlüsselt Windows diese ohne weiteres Zutun des Benutzers. Greift ein Benutzer auf die Daten zu, entschlüsselt sie Windows automatisch - die nötigen Rechte vorausgesetzt. Der Anwender merkt davon nichts, außer vielleicht einer kleinen Denkpause bei großen Dateien. Einzige Voraussetzung: EFS funktioniert nur auf Laufwerken mit dem NTFS-Dateisystem. Mit FAT16/32 arbeitet es nicht zusammen.

Nach der Aktivierung des verschlüsselnden Dateisystems sollte man jedoch noch nicht die Hände in den Schoß legen. Es muss nicht der totale System-Crash mit Neuinstallation von Windows sein, um sein für die Entschlüsselung nötiges Zertifikat zu verlieren. Es genügt bereits, wenn der Administrator das Benutzerpasswort ändert, damit man keinen Zugriff mehr auf seine verschlüsselten Daten bekommt. Die Daten sind zwar noch auf Festplatte vorhanden, die Windows bekannten Schlüssel sind aber unvollständig oder passen nicht.

Das von EFS benutzte Zertifikat mit dem für das Public-/Private-Key-Verschlüsselungsverfahren nötige Schlüsselpaar erzeugt Windows - falls noch kein geeignetes Zertifikat vorhanden ist - bei der ersten Benutzung von EFS automatisch. Woran jedoch nur die wenigsten Benutzer denken und worauf auch Windows nicht aufmerksam macht, ist, dass man diese Schlüssel gezielt sichern sollte. Diese Vorsichtsmaßnahme eignet sich für alle Anwender, egal, ob ihr Rechner in einem Firmennetzwerk in einer Domäne arbeitet oder als Einzelplatzcomputer seinen Dienst verrichtet.

Die gesicherten Schlüssel - egal, ob auf Diskette, CD-R oder einem anderen Medium - sind also vergleichbar mit dem zweiten Wohnungsschlüssel, den man für den Fall der Fälle beim Nachbarn deponiert hat. Ändert der Benutzer selbst sein Passwort, besteht übrigens keine Gefahr. Dann entschützt Windows die Schlüssel mit dem alten Passwort, ehe es sie mit dem neuen verschlüsselt ablegt.

Die Schlüssel sind über certmgr.msc einsehbar, einer Microsoft Management Console (mmc.exe), die durch Eingabe von certmgr.msc in "Ausführen" im Startmenü aufgerufen wird. Die EFS-Schlüssel sind Bestandteil eines Zertifikats. Im Zweig "Eigene Zertifikate" kann man sich seine Zertifikate anzeigen lassen.

Das Sichern von Zertifikaten erledigt man ebenfalls in certmgr.msc, über Alle Tasks/Exportieren im Kontextmenü des Zertifikats. Der Zertifikatsexport-Assistent führt durch den Vorgang. Sichern Sie unbedingt den privaten Schlüssel mit und wählen Sie die Optionen "Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen" und "Verstärkte Sicherheit aktivieren". Zum Abschluss verlangt der Assistent noch ein Passwort, um die Exportdatei zu schützen. Das Zertifikat nebst Schlüssel landet in einer PKCS#12-Zertifikatsdatei (Endung "pfx"). Löschen Sie diese nach dem Kopieren auf Diskette oder Brennen auf CD-R von der Festplatte. Sonst könnte sie ein Trojaner ausspähen.

Hat ein Benutzer versehentlich sein Zertifikat gelöscht oder der Administrator ein neues Zugangspasswort vergeben, erhält man nach dem Import des gesicherten Zertifikats wieder Zugriff auf seine Daten. Den Import startet ein Doppelklick auf die pfx-Datei; ein Assistent leitet durch den Vorgang.

Im Dienste von EFS Alternativ kann man bei Problemen auch einen so genannten Wiederherstellungsagenten (recovery agent) nutzen, um wieder an seine verschlüsselten Daten zu gelangen. Solch ein Agent ist im Prinzip ein spezielles, autorisiertes Benutzerkonto, das im Notfall die verschlüsselten Daten anderer Benutzer wiederherstellen kann. Agenten spielen zwar eher im Unternehmenseinsatz eine Rolle, können aber auch sehr praktisch sein, wenn sich mehrere Benutzer einen Rechner teilen.

Bei Windows 2000 ist der Administrator automatisch auch Wiederherstellungsagent, da sich bei diesem System ohne den Agenten EFS nicht nutzen lässt. Bei Windows XP muss man den Agenten erst manuell einrichten. Das nötige Zertifikat für einen Wiederherstellungsagenten stellt entweder das Active Directory aus (wenn ein Rechner zu einer Domäne gehört), oder man legt es mit dem Kommandozeilenbefehl cipher an.