|
EFS - Recovery Agent
|
EFS - Zertifikate |
| |
|
|
|
Jeder Benutzer oder Wiederherstellungsagent, der auf, mit EFS verschlüsselte, Informationen zugreifen will, benötigt ein EFS-Zertifikat. Dabei wird keine Zertifizierungsstelle zwingenderweise benötigt, so werden EFS - Zertifikate für Benutzer und Wiederherstellungsagent von EFS unbekümmert selbst ausgestellt, wenn keine Zertifizierungsstelle vorhanden ist.
|
EFS - Zertifikate ohne PKI |
Auf Rechnern, die keiner Domäne angehören wird für den Benutzer völlig unsichtbar ein selbstsigniertes EFS-Zertifikat erstellt. Der Benutzer weiß somit nicht, dass er ein EFS-Zertifikat besitzt, auf welches er ab sofort gut aufpassen sollte. Verliert er den privaten Schlüssel auf dem Rechner oder vergisst er das Passwort, muss er auf den Wiederherstellungsagenten oder andere autorisierte Benutzer hoffen. Ab XP-Professional sind Wiederherstellungsagenten nicht zwingend vorgeschrieben.
Gehört der Rechner einer Domäne an, so kann mit servergespeicherten Profilen, und damit servergespeicherten Certificate Store zumindest eine gewisse Datensicherheit erzielt werden, das Passwortproblem bleibt ihm aber.
|
EFS - Zertifikate mit PKI |
EFS sucht normalerweise zuerst eine Enterprise-CA, erst dann wird ein Zertifikat eigenmächtig ausgestellt. Die Anforderung eines EFS-Zertifikats gemäß der Zertifikatsvorlage
für EFS geschieht über Autoenrollment, völlig unsichtbar für den Anwender. Ist keine EFS-Zertifikatsvorlage vorhanden schlägt das Enrollment fehl. Das ausgestellte EFS-Zertifikat wird auch im jeweiligen Active-Directory Benutzerkonto gespeichert. Bei Server 2003 mit Windows XP-Professional kann das Autoenrollment auch nach Gruppenrichtlinien passieren. So kann ein EFS-Zertifikat bei der ersten Anmeldung ausgestellt werden.
|
EFS - Zertifikatsvorlage für Autoenrollment |
EFS versucht immer Zertifikate mit der EFS-Zertifikatsvorlage über Autoenrollment
zu registrieren. Wenn eine bestimmte Vorlage (z.B. mit automatischer Schlüsselarchivierung) verwendet werden soll, sollte diese Vorlage die EFS-Vorlage komplett ersetzen, d.h. die bestehende Vorlage sollte auch von der Enterprise CA entfernt werden.
Für EFS ist eine Schlüsselarchivierung besonders wichtig - die automatische Schlüsselsicherung der Enterprise CA bietet eine effiziente Möglichkeit dafür. Neben der automatischen Schlüsselsicherung kann die Ausstellung eines EFS-Zertifikats mit einer individuellen Vorlage auch die Bedingung des Einlegens der persönlichen Smart Card gekoppelt werden. So wird Benutzern bewusst gemacht, dass Sie nun ein EFS-Zertifikat besitzen, andererseits können Benutzer ohne Smart Card besser von EFS ausgeschlossen werden, bei denen das Problem des Passwortverlustes sich auf den Verlust des privaten Schlüssels auswirkt. Die Speicherung des EFS-Zertifikats auf einer Smart Card ist nicht möglich.
|
EFS - Zertifikate von anderen CAs |
Natürlich können auch andere CAs EFS-Zertifikate sowie EFS-Recovery Zertifikate ausgeben. Die Zertifikate müssen aber die korrekte Schlüsselverwendung (key usage)
und Erweiterte Schlüsselverwendung (enhanced key usage)
Erweiterungen definiert haben.
EFS Zertifikat benötigt als erlaubte Schlüsselverwendung, Schlüsselverschlüsselung (Key Encipherment) und Datenverschlüsselung (Data Encipherment) sowie Encrypting File System (1.3.6.1.4.1.311.10.3.4) in der erweiterten Schlüsselverwendung.
|
Linktipps |
|
Impressum
