grizzly999

Jjj......a (zögerlich) Ist vom Fakt her richtig, aber die Begriffe implementieren möglicherweise was Falsches. Der Wiederherstellungsagent (z.B. Admin) hat nicht einen ersten Schlüssel, was implizit nahelegen würde: .. und seinen zweiten Schlüssel und dritten Schlüssel, und.... Er halt halt ein Schlüsselpaar bestehnd aus zwei Schlüsseln, so wie jeder User auch, der verschlüsselt. Da sind beide, User und Admin exakt gleich. Das gilt auch für den Begriff "general Schlüssel". Der DRA hat keinen Generalschlüssel. Dass er alle verschlüsselten Dateien von allen Usern entschlüsseln kann, liegt schlichtweg daran, dass für jede verschlüsselte Datei der FEK zusätzlich auch mit seinem öffentlichen Schlüssel verschlüsselt wird. Er ist sozusagen immer dabei. Aber wie gesagt, die Quintessenz stimmt: Der DRA kann mit seinem Schlüssel jederzeit alle verschlüsselten Datein entschlüsseln, egal wie oft er oder ein User die ver- und wieder entschlüsselt haben, solange nur sein Zertifikat auch gültig ist, und an der sonstigen Konfiguration ichts geändert wird (GPOs) grizzly999

An das MCSE-Board Rate-Team :D (außer zahni) [ironie off]: Schon mal die Erklärung der betreffenden GPO angeschaut? grizzly999

Naja, wenn man so einen Ausfall nicht tragen kann, das gibt's ja, dann muss man halt investieren, z.B. in hochausfallsichere Clustersysteme. Ich hätte auch gerne einen Porsche, und wenn der grad mal nicht anspringt, dann will ich sofort mit dem nächsten fahren. Wo ist das Problem? Ich muss mir halt zwei Porsche kaufen. Um es ganz exakt auf den Punkt zu bringen, was hier schon gesagt wurde: Eine Vollsicherung ist dafür da, im Falle eines Ausfalles das System auf exakt derselben Hardware in seinem alten Zustand zu bringen. Punktum. Da ist in jedem Betriebssystem so. Und: "es muss doch aber schneller gehen ..." gibt es bei Raumschiff Enterprise aber nicht bei sowas. Andere Hardware (insbesondere andere RAID-Controller) , dann kann man eine Reparaturinstallation mit neuen Treibern versuchen und rummurksen, meist bleibt es bei dem Versuch, oder neu aufsetzen und die gesicherten Daten zurückspielen, dafür hat man sie gesichert. Klingt jetzt grausam hart, aber ist auch genau so grizzly999

Ja, es werden zwei Schlüssel für den Benutzer (und auch zwei für den DRA) generiert, ein Schlüsselpaar. Das eine ist der öffentliche Schlüssel, das andere der zugehörige private Schlüssel, für eien asymetrische Verschlüsselung. Die haben aber nichts mit der Verschlüsselung der Datei zu tun. Die Datei selber wird mit einem Dateiverschlüsselungsschlüssel (FEK File Encryption Key) in einem symetrischen Verschlüsselungsverfahren verschlüsselt, der für jeden einzelnen Verschl.-Vorgang vom System zufallsmäßig neu generiert wird. Dieser FEK wird dann mit dem öffentlichen Schlüssel des Benutzers verschlüsselt und dieser nun verschlüsselte Dateiverschlüsselungsschlüssel an die Datei im DDF (Data Decryption Field) angehängt. Ist ein Wiederherstellungsagent (DRA Data Recovery Agent) per GPO definiert, hat dieser wie o.a. auch ein Schlüsselpaar. In diesem Fall holt sich das System beim Verschlüsseln der Datei auch noch dessen öffentlichen Schlüssel aus dem zertifikat in der GPO raus und verschlüsselt damit gleich nochmal den FEK, ganz genauso wie eben mit dem öff. Schlüssels des Benutzers. Diesen zweiten verschlüsselten FEK hängt das OS in einem weiteren Feld an die Datei, den DRF (Data Recovery Field) an. An der verschlüsselten Datei hängt jetzt also zwei mal der verschlüsselte FEK. Eine mit einem öffentlichen Schlüssel verschlüsselte Datei (in dem Fall der FEK) kann man nur mit dem zugehörigen privaten Schlüssel wieder entschlüsseln. Das bedeutet, zwei unterschiedliche private Schlüssel, der des benutzers und der des DRA können den den eigentlichen Dateiverschlüsselungsschlüssel für diese Datei wieder entschlüsseln und damit die Datei entschlüsseln, nämlich der Benutzer und der DRA. Das Schlüsselpaar bestehend aus öff. und priv. Schlüssel ändert sich aber nicht, außer das Zertifikat geht verloren oder läuft ab und muss neu ausgestellt werden. Was sich bei jeder verschlüsselung ändert, ist der FEK, der selber verschlüsselt an die Datei angehängt wird. HTH grizzly999

Nein, wieso sollte der Wiederherstellungsagent danach einen neuen Schlüssel brauchen? Der ist solange gültig, wie sein Zertifikat gültig ist. P.S: Muss nicht die letzet Frage gewesen sein, dazu ist das Board ja da ;) grizzly999

Ob er es vorher oder nachher macht, würde keine Rolle spielen, er müsste es halt nur machen ;) grizzly999

Die auswahl istr standardmäßig da, außer man kann keine Gruppe zu dieser Gruppe hinzufügen. Das ist IMHO nur in einem Fall der Fall: bei einer Globalen Gruppe in einer Domäne die nicht mindestens im Windows 2000 pur Modus oder höher läuft (bei 2000: einheitlicher Modus). Da kann dann keine andere Gruppe Mitglied einer Globalen Gruppe sein. grizzly999

Die Unterschiede bei EFS zwischen XP und W2k sind klein aber fein. Die Verschlüsselung ist bei 2000 eine DESX-Verschlüsselung mit 56 Bit, ab SP2 mit 128 Bit. Bei XP ist es DESX mit 56 Bit, ab SP1 AES mit 256 Bit, und wenn die Richtlinie für FIPS (140-1) konforme Verschlüsselung aktiviert sein sollte, 3DES mit 168 Bit. Bei W2k wird der private Schlüssel mit einem Masterkey verschlüsselt und der Masterkey in der Registry (HKCU) abgelegt. Bei XP wird der private Schlüssel mit einem Masterkey verschlüsselt und der Masterkey dann mit dem Kennwort des Benutzers verschlüsselt und in der Registry (HKCU) abgelegt (irgendwo stand mal "in der Registry verstreut"). Wenn das kennwort von aussen zurückgesetzt wird, kann der Masterkey nicht mehr entschlüsselt werden und damit der private Schlüssel auch nicht. Wenn der Benutzer selber sein Kennwort ändert, wird beim Ändern automatisch mit dem alten Kennwort der Masterkey entschlüsselt und mit dem neuen Kennwort erneut verschlüsselt und wieder in der Registry verstreut. Deshalb auch das übergroße Warnfenster bei alleinstehenden XPs, wenn ein Admin ein Kennwort zurücksetzt. grizzly999

Nein das geht nicht. Der private Schlüssel muss sich beim Entschlüsselnim geschützten Zertifikatsspeicher befinden. Man kann ihn auf einen externen Datenträger exportieren und von der Platte löschen lassen, aber bei Gebrauch muss er erst wieder importiert werden. grizzly999

Willkommen im Board :) und gleich mal sorry, ich verstehe deine Frage nicht ganz. Wenn ich einer Gruppe Mitglieder hinzufüge, dann kann ich rechts am Button "Objekttypen" auch Gruppen auswählen, das ist Standard, oder meintest du das nicht grizzly999

Darf Papa auch mal? :D Nein, es geht nicht ! Einen Benutzer kann immer nur der Domänencontroller für die Domäne authentifizieren, in welcher der Benutzer geführt wird. Ein anderer DC kann die Authentifizierung weiterreichen (Pass-Through-Authntifizierung aufgrund des Trusts) grizzly999

Korrekt. Das war einer der Kritikpunkte an EFS bei W2k, was Microsoft eben bei XP behoben hat. Das ist auch das, was manche in ihrer Ahnungslosigkeit meinen, nachdem sie es irgendwo manl gelesen haben, wenn sie immer pauschal behaupten, EFS bei Windows sei generell unsicher, blabla usw. Ich meine jetzt nicht dich, sondern ich habe solche Pauschal-Sätze hier im Board in Diskussionen schon gelesen. Aber ich sage mir, Herr vergib ihnen, denn sie wissen nicht .......... :D grizzly999

@candy: Ist in diesem Fall falsch, das betrifft nur XP und höher. Und bei XP gibt es dafür einen Wiederherstellungsagenten, bzw. bei alleinstehndem Rechner die Möglichkeiten einer Rücksetzdiskette. Hier handelt es sich aber um Windows 2000. @sigma: Da bin ich nur mit dir einig, wenn es um 2000 geht. XP hat diese "Schwäche nicht", denn da hat candy wieder recht, wenn man das Kennwort zurücksetzt (als Admin oder mit einer entsprechenden Boot-CD ;) ), dann ist der Masterkey, mit dem der private key verschlüsselt wurde dahin. Kennwort cracken heißt dann die Devise, und da sind wir wieder bei Grundthema der Sicherheit: sichere, komplexe Kennwörter .... :wink2: grizzly999

Nun, dass die Option fehlt, liegt schlichtweg daran, dass man bei genauerer Betrachtung des Artikels feststellt, das gilt für XP (und 2003), man könnte auch sagen für NTFS V5.1, welches erst ab 2000 implementiert ist. In der lokalen GPO des W2k sollte aber der lokale Admin Wiederherstellungsagent sein, dann kann dieser dieser auch die Datei öffnen. grizzly999

Das ist mit neu und auch entgegen aller Papers bei Microsft. Das einzige, was ich mir vorstellen kann, wieso sowas überhaupt ohne Trust funktionieren könnte, ist, gleicher Adminname und Kennwort auf beiden Seiten, aber ansonsten .... grizzly999

Gratuliere :) Aber speziellen Support gibt es nicht. Nicht umsonst und auch nicht gegen Bezahlung, zweiteres im Sinne von Support, den ich zwar zahler, aber den Nicht-MCSEs nicht bekiommen. Da Windows &.NET -Magazine Abo gibt's billiger, aber das war's dann auch schon Hier steht alles: http://www.microsoft.com/learning/mcp/mcse/benefits.asp grizzly999

FW=Firewall (dein Router, den du konfiguriert hast). Der muss wie geasgt PassTruogh unterstützen und man muss die Weiterleitung dieser verschlüsselten Pakete (GRE-Pakete) auch erst einrichten. Wie, das ist von Firewall zu Firewall unterschiedlich, read the manual ;) Es gibt auch wenige ältere Modelle, die das nicht können ,aber alle gängigen, auch im Consumer-Bereich, können das grizzly999

Schreibfehler? Ist der Port 1723. Ausserdem muss die FW VPN-Passthrough unterstützen. grizzly999

Also ich habe zum Beispiel bei meiner Bank (VR-Bank) den VR-Web-Zugang, do für mal schnell unterwegs im Hotel mich einwählen oder so. Ist mit 1,3 ct/min nicht das preiswerteste, ich weiß, ich weiß, aber ich bekommme eine extra Rechnung von denen und Call-by-Call Anbieter sind halt im Hotel Sch...., weil die Rechnung geht ja erst irgendwann nach meiner Abreise nicht an mich, sondern ans Hotel grizzly999

Aber klar geht das, schon mehr als hundert mal praktiziert (keine rhetorische Redewendung ;) ) grizzly999

Wer sagt, dass dieser User Domänenmitglied sein muss? Ich nehme ein Benutzerzertifkat nebst privatem Schlüssel ACHTUNG: von einem Domänenbenutzer und importiere das (plus Root Zertifikat) in das Profils eines Nicht-Domänen-Benutzers und wähle mich mit der EAP-Authentifizerung ein. Wenn ich mich recht entsinne, muss dort aber "Verbindung mit anderem Benutzernamen ermöglichen" (oder so?!) aktiviert sein. Fertig grizzly999

Schau mal hier rein: http://www.mcseboard.de/showthread.php?t=70296 grizzly999

Addusers.exe mit Parameter export und import aus dem Resource Kit - NT 4.0 war's glaube ich nur drin - kann genau das, auch für 2000/2003 grizzly999

Nein, das ist ja kein Mailserver. Nein, nur wenn ich für diese Site die Basisauthentifizierung einschalte und die anonyme Anmeldung wegnehme, wobei man das Ganze dann am besten das ganze über HTTPS schützt. Aber wieseo sollte der IIS mit der Webseite für die Zertifikatsregistrierung direkt aus dem Internet erreichbar sein? Da gibt es keinen Grund für mich. Und da fängt die Sicherheit schon mals an, von wo aus muss ich/jemand auf die Zertifikatspage kommen und wie. Und wenn er je auf diese Weise errreichbar sein müsste, dann wie gesagt über entsprechende Authentifizierung auf der Site und mit HTTPS geschützt. Der Schutz fängt damit an, dass man eine geeignete Authentifizeirungsmethode auswählt, nur den Benutzern, die es nötig haben, die Einwahl gewährt geht bei sicheren Kennwörtern weiter, und hört bei .... noch nicht auf ;) grizzly999

Ha! Und wieder einmal eine Sekunde schneller mit dem Antworten-Button gewesen :D :D ;) grizzly999