Mehr über cryptas.com Cryptas Security Cryptas Consulting
Cryptoshop Hilfe! Cryptoshop Kontakt! Cryptoshop Merkzettel! Cryptoshop Warenkorb! Zur Kassa gehen! Go to the english page!
+ Produkte
· · · · · · · · · · · · · · · · · · · · · · ·
+ Lösungen
· · · · · · · · · · · · · · · · · · · · · · ·
+ Knowledge Base
  Sicherheitsziele  
  Security Governance  
  Kryptographie  
  Technologie  
  Smart Card Anwendungen  
  Authentisierung  
  PKI  
  So Geht's  
  MyID - Screens etc.  
  SecureDoc - Screens etc.  
  Benutzerauthentisierung  
  E-Mail Sicherheit  
  MS-Enterprise-CA  
  Sicheres WLAN  
  Webauthentisierung  
  Remote Access  
  MS File-Encryption  
· · · · · · · · · · · · · · · · · · · · · · ·
+ Service
· · · · · · · · · · · · · · · · · · · · · · ·
     
Management
· · · · · · · · · · · · · · · · · · · · · · ·
Security Officer
· · · · · · · · · · · · · · · · · · · · · · ·
System Engineer
· · · · · · · · · · · · · · · · · · · · · · ·
Purchasing
· · · · · · · · · · · · · · · · · · · · · · ·
Maintenance
· · · · · · · · · · · · · · · · · · · · · · ·
 
 

EFS - Zertifikate  |  EFS - Best Practises

EFS - Recovery Agent
 
INFO & WISSEN
 
Um verschlüsselte Dateien zwangsweise oder rettungsweise wiederherstellen zu können gibt es bei EFS die Möglichkeit, einen Recovery Agent zu definieren, mit dessen öffentlichen Schlüssel alle einzelnen FEK gesichert werden.

Bei Windows 2000 wird automatisch der Benutzer "Administrator" als Recovery Agent herangezogen. Das Administratorkennwort lässt sich dort mit bestimmten Tools lokal zurücksetzen lässt, danach ist es keine Schwierigkeit mehr, sich als Administrator anzumelden, und als Recovery Agent alle EFS verschlüsselten Dateien zu kompromittieren. Bei XP Professional gibt es diese Vorgabe deshalb nicht mehr.

Achtung! Wird ein Benutzerpasswort von einem Administrator zurückgesetzt, findet keine Umschlüsselung des (passwortverschlüsselten) Master-Keys statt, mit dem unter anderem die privaten Schlüssel der Zertifikate im Windows Certificate Store verschlüsselt sind.
PRAXIS
 

Bestimmen eines Recovery Agents
Der Benutzer, der den ersten Domänencontroller einrichtet wird automatisch als Recovery Agent bestimmt. Es können aber auch andere Active-Directory Benutzer, nicht nur Administratoren, dazu bestimmt werden, wenn sie ein Recovery Agent Zertifikat besitzen. Über Gruppenrichtlinien lässt sich dieses Zertifikat allen Rechnern in einer Domäne schlussendlich bekannt geben.

Möglicherweise ist es sinnvoll, eine Gruppe von Recovery Agents zu erstellen und bei der EFS Recovery Agent Zertifikatsvorlage dieser Gruppe die Berechtigung "Registrieren" (enrollment) hinzuzufügen. So können alle Benutzer der Gruppe EFS-Zertifikate, z.B. über den Zertifikatsmanager (certmgr.msc) anfordern. Bedenken Sie aber, dass der private Schlüssel eines Recovery Agent Zertifikates sehr sensitiv ist, und entsprechende organisatorische Policies für Erstellung, Speicherung und Verwendung erstellt und berücksichtigt werden sollten.

In jedem Fall erscheint es sinnvoll, wenn eine eigene Recovery Agent Zertifikatsvorlage erstellt und dahingehend adaptiert wird, sodass diese Zertifikate im Active Directory veröffentlicht werden sollen. Damit kann ein Domänen-Administrator zur entsprechenden Gruppenrichtlinie das Zertifikat des Recovery Agents direkt aus dem Benutzerkonto ziehen. Ansonsten muss ein Recovery-Agent sein erstelltes Zertifikat als "DER-codiertes-X.509" (ohne privaten Schlüssel) exportieren und dem Domänen-Administrator bekannt geben.

Linktipps
Offline NT Passwort & Registry Editor von Petter Nordahl


Zurück zur vorherigen Seite!Zum Seitenanfang!Zur Startseite
  EFS - Zertifikate  
  EFS - Best Practises  
  MS-Enterprise-CA  
  Microsoft Zertifikatserweiterungen  
  Verwaltung und Überwachung einer MS Enterprise CA  
  Schlüsselmanagement  
  Dateiverschlüsselung  
  Zertifikate  
 
Demo Area Download Bereich Forum E-Mail an die Redaktion Cryptoshop Newsletter Sicherheit auf Cryptoshop.com
Impressum AGB Verbraucherhinweise Datenschutz Newsletter Copyright © 2011 CRYPTAS. Alle Rechte vorbehalten Jobs & Karriere