Mehr über cryptas.com Cryptas Security Cryptas Consulting
Cryptoshop Hilfe! Cryptoshop Kontakt! Cryptoshop Merkzettel! Cryptoshop Warenkorb! Zur Kassa gehen! Go to the english page!
+ Produkte
· · · · · · · · · · · · · · · · · · · · · · ·
+ Lösungen
· · · · · · · · · · · · · · · · · · · · · · ·
+ Knowledge Base
  Sicherheitsziele  
  Security Governance  
  Kryptographie  
  Technologie  
  Smart Card Anwendungen  
  Authentisierung  
  PKI  
  So Geht's  
  MyID - Screens etc.  
  SecureDoc - Screens etc.  
  Benutzerauthentisierung  
  E-Mail Sicherheit  
  MS-Enterprise-CA  
  Sicheres WLAN  
  Webauthentisierung  
  Remote Access  
  MS File-Encryption  
· · · · · · · · · · · · · · · · · · · · · · ·
+ Service
· · · · · · · · · · · · · · · · · · · · · · ·
     
Management
· · · · · · · · · · · · · · · · · · · · · · ·
Security Officer
· · · · · · · · · · · · · · · · · · · · · · ·
System Engineer
· · · · · · · · · · · · · · · · · · · · · · ·
Purchasing
· · · · · · · · · · · · · · · · · · · · · · ·
Maintenance
· · · · · · · · · · · · · · · · · · · · · · ·
 
 

EFS - Recovery Agent

EFS - Best Practises
 
PRAXIS
 
Erstellen Sie Richtlinien für folgende Themenbereiche, und zwar in der Art, wie Sie für Ihre Organisation am besten geeignet ist. Wägen Sie den Sicherheitsbedarf gegen den generierten Aufwand ab.

Handhabung der Schlüssel
Sehen Sie Schulungsmaßnahmen für EFS - Benutzer vor, wie Sie mit Ihrem EFS - Zertifikat umzugehen haben, wie und wo Sicherheitskopien anzulegen sind, welche Dateien (Klassifikation) und Ordner zu verschlüsseln sind, etc. Die bestmögliche Sicherheit besteht natürlich darin das Zertifikat mit privatem Schlüssel jedes Mal vom Rechner zu entfernen, wenn er nicht benötigt wird.

Legen Sie besonderen Wert auf die Ausbildung der Recovery Agents und der Handhabung von Recovery-Agent-Zertifikaten. Da deren private Schlüssel besonders sensitiv sind, ist eine Speicherung an physisch sicheren Orten empfehlenswert, ebenso wie eine Verwendung mit eigenen Recovery Agent Accounts. Für eine Organisationseinheit sind zudem mehrere Recovery Agents empfehlenswert, da Redundanz die Zugriffssicherheit im Notfall erhöht, genauso, wie Zertifikate und Schlüssel bei Wechsel von Recovery Agents solange bewahrt werden sollten, bis wirklich alle verschlüsselten Daten umgeschlüsselt wurden.

Berücksichtigen Sie besonders beim Archivierungskonzept diese "Schlüssel-Problematik". Wenn verschlüsselte Daten archiviert werden - archivieren Sie die zugehörigen Schlüssel mit - und sichern Sie den Zugriff auf die Archive entsprechend ab.

Verwendung von EFS
Spezifizieren Sie, welche Informationen, wie und wo gesichert werden müssen. Verschlüsselung auf Ordnerniveau statt auf Dateiniveau gestaltet sich etwas sicherer. Programme greifen auf Dateien unterschiedlich zu, Verschlüsselung auf Ordnerniveau schützt hier in gewisser Weise vor unerwarteter Entschlüsselung. Beachten Sie aber, dass nur neu erstellte Dateien in einem verschlüsselten Ordner auch wirklich verschlüsselt werden. Beim "Verschieben" einer Datei in einen verschlüsselten Ordner wird die Datei nicht verschlüsselt - im Gegensatz zu "Kopieren" in den Ordner.

Berücksichtigen Sie aber, dass EFS auch Berechnungs-Overhead verursacht. Berücksichtigen Sie Print Spool Files wo Informationen in unverschlüsselter Form vorliegen.

Da die Verschlüsselungsoption für eine Datei etwas versteckt unter Eigenschaften / Erweitert zu aktivieren ist, erhöht es den Komfort erheblich die Verschlüsselungsoption im Kontextmenü anzubieten. Dazu muss ein entsprechender Registry-Key gesetzt werden.

Grenzen von EFS
Komprimierte Dateien und Ordner werden vor einer Verschlüsselung wieder dekomprimiert. Systemdateien und Systemordner können nicht verschlüsselt werden - damit lassen sich auch andere Ordner und Dateien vor Verschlüsselung "schützen", indem Sie das Attribut System hinzufügen (Kommandozeilenbefehl Attrib).

Bei "Verschieben" von Dateien in einen verschlüsselten Ordner behalten die Dateien Ihren unverschlüsselten Status, im Gegensatz zu "Kopieren" in einen Ordner. Verschieben oder Kopieren aus einem Ordner behalten die Dateien ihren verschlüsselten Status bei - außer das Ziel ist ein Nicht-NTFS-Datenträger - dort wird automatisch entschlüsselt abgelegt.

Zur Verschlüsselung wird die Dateiberechtigung "Schreiben" benötigt, weitere zur Entschlüsselung autorisierte Benutzer benötigen auch die entsprechenden Dateizugriffsrechte. Offlinedateien können unabhängig ihres Status am Server verschlüsselt gespeichert werden. Dateien auf servergespeicherten Benutzerprofilen können nicht verschlüsselt werden. Um verschlüsselte Daten in den "Eigenen Dateien" zu ermöglichen ist eine Ordnerumleitung zu einem Ordner eines Fileservers einzurichten.

EFS erlaubt die "Remoteverschlüsselung", wobei auf Webordner - mittels WebDAV - die Datei in verschlüsselter Form übertragen wird. Ver- und Entschlüsselung finden lokal statt. Bei der Speicherung auf freigegebene Ordner eines Windows-Servers wird die Datei unverschlüsselt übertragen und dort vom Server verschlüsselt. Die Voraussetzung dafür ist, dass eine Kerberos-Delegation erfolgen kann, wo der Server auf den privaten Schlüssel zugreifen darf. Das Benutzerkonto darf nicht für diese Delegationen gesperrt sein d.h. die Option "Konto ist vertraulich und darf nicht delegiert werden" muss deaktiviert sein. Dem Konto des Server-Rechners hingegen muss für Delegierungszwecke explizit vertraut werden.

Bei der Kerberos Delegation wird kurz gesagt ein TGT an einen anderen Principal weitergegeben, dazu muss eben ein Principal sein TGT weitergeben dürfen, und einem anderen Principal soweit vertraut werden, dass er ein TGT annehmen darf.
DOWNLOADS
 
EFS Konfiguration über Registry und Tools


Linktipps
EFS Best Practises - MS Knowledge Base 223316
EFS Remote - MS Knowledge Bas 320044
Kerberos in W2k - MS Technet


Zurück zur vorherigen Seite!Zum Seitenanfang!Zur Startseite
  EFS - Zertifikate  
  EFS - Recovery Agent  
  Verwaltung und Überwachung einer MS Enterprise CA  
  Autoenrollment  
  CobiT - allgemein  
  CobiT - authentisierte Datenverwaltung durch PKI  
  DES und 3DES  
  AES  
  Kerberos  
 
Demo Area Download Bereich Forum E-Mail an die Redaktion Cryptoshop Newsletter Sicherheit auf Cryptoshop.com
Impressum AGB Verbraucherhinweise Datenschutz Newsletter Copyright © 2011 CRYPTAS. Alle Rechte vorbehalten Jobs & Karriere