Probleme bei der Nutzung des EFS

[ggg-mike 10]

Hallo Forum,

 

ich habe da ein Problem mit der Nutzung von EFS. Ich habe in meiner Testumgebung auf dem Server(Server 2003) eine Textdatei verschlüsselt. Das hat auch super geklappt. Nun möchte ich mehrere Benutzer auf die verschlüsselte Datei zugreifen lassen. Wenn ich mein Buch hier richtig verstehe gehe ich auf die Datei und offne nochmals auf Eigenschaften->Attribute->Erweitert->Details und ordne dort die Benutzer meine AD zu, die Zugriff auf die Datei bekommen sollen. Wenn ich nun einen anderen Benutzer als den Adminitsrator zuordne bekomme ich die Meldung "Dem ausgewählten Benutzer ensprechen keine Zertifikate":confused:. Für den Administrator wird diese Zertifikat bei der Instalation des AD erzeugt(meine ich gelesen zu habe).

Kann mir jemand beantworten wo ich den Benutzern Zertifikate zuordnen kann, bzw. wo ich sie erzeugen muß, ich habe zwar ganz viel zum Thema Wiederherstellungsagent gefunden doch leider nichts zu diesem Thema. Vieleicht hat ja jemand einen Link zu einen "How To" oder so etrwas.

 

Gruß,

 

Mike

[olc 18]

Hallo Mike,

 

Du mußt für die anderen Benutzer ebenfalls Zertifikate erzeugen (solltest Du keine CA am Laufen haben, aber danach klingt es nicht ;) ). Neue Zertifikate kannst Du erzeugen, indem Du "cipher /R:schlüsselname" ausführst. Danach mußt Du das erzeugte Zertifikat dem gewünschten Benutzer zuordnen.

 

Wenn die anderen Benutzer Dateien auf dem System verschlüsseln, wird beim ersten Verschlüsselungsvorgang automatisch ein Zertifikat dafür angelegt. In diesem Fall würde das cipher Kommando und der Zertifikatimport in den Userstore entfallen können.

 

Das folgende HowTo behandelt zwar schwerpunktmäßig die Data Recovery, jedoch findest Du darin sicherlich auch einige Informationen zu Deinen Fragen: Windows Server How-To Guides: EFS Recovery – oder: Vorsorge ist alles - ServerHowTo.de

 

Viele Grüße

olc

[ggg-mike 10]

Hallo olc,

 

Du mußt für die anderen Benutzer ebenfalls Zertifikate erzeugen (solltest Du keine CA am Laufen haben, aber danach klingt es nicht ). Neue Zertifikate kannst Du erzeugen, indem Du "cipher /R:schlüsselname" ausführst. Danach mußt Du das erzeugte Zertifikat dem gewünschten Benutzer zuordnen.

 

Genau das habe ich gemacht, doch wo, bzw. wie kann ich das Zertifikat einem Benzuter zuordnen?

 

Gruß,

 

Mike

[olc 18]

Hallo Mike,

 

das kannst Du beispielsweise, angemeldet als der entsprechende Benutzer, über die Zertifikate MMC erledigen. Du importierst das Zertifikat dann in den "Personal Store" bzw. die "Eigenen Zertifikate". Dazu mußt Du halt als der Benutzer selbst angemeldet sein.

 

Oder - wie oben kurz angesprochen - Du läßt die Benutzer eine beliebige Datei verschlüsseln. Dabei wird automatisch das benötigte Zertifikat erzeugt und Du kannst es danach auf den gewünschten Ordnern oder Dateien zuordnen.

 

Viele Grüße

olc

[ggg-mike 10]

Hallo,

 

nun klappt es. Danke für die Hilfe!

 

Nun noch eine kurze Frage hinterher. Ich habe ja nun eine Netzwerkfreigabe in diesem Szenario benutzt. Nun ist mir noch aufgefallen das jeder der auf dieser Netzwerkfreigabe eine Datei erstellt alle aberen Verschlüsselten Dateien auf der Freigabe öffnen kann. Muß ich das über die Berechtigung der Freigabe sperren? Mit dem Zertifikat das ich erstelle kann ich dann theoretisch alle Verschlüsselten Dateien in der Domäne öffnen?

 

Gruß,

 

Mike

[olc 18]

Hi,

 

nutzt Du eine Domäne? Falls nicht liegen die Dateien auf der Freigabe unverschlüsselt. D.h. beim Kopieren auf das Netzlaufwerk werden sie entschlüsselt.

 

Hintergrund dafür ist, daß der Server mit dem Recht "Trusted for Delegation" ausgestattet sein muß, damit der Benutzer vom Server "impersoniert" werden kann (sorry für den eingedeutschten Ausdruck, mir fällt gerade nichts besseres ein), siehe:

 

Using file shares for remote EFS operations requires a Windows 2000 or later domain environment because EFS must impersonate the user by using Kerberos delegation to encrypt or decrypt files for the user.

 

Bedeutet (einfach ausgedrückt), daß der Server stellvertretend, also im Namen des Benutzers, die Dateien verschlüsseln kann. Dafür brauchst Du eine Domänenumgebung und die entsprechende Option auf dem Serverobjekt.

 

Viele Grüße

olc

[ggg-mike 10]

Hallo olc,

 

ich habe in meiner Testumbebung einen DC der auch als File-Server dient.

 

Ich habe nochmal ein wenig rumexperementiert. Dabei ist mir aufgefallen das ich einen Benuzter habe der auch in der Gruppe Domänen-Administrator ist. Somit konnte ich über einen Client-Rechner mit diesem Benutzer auf der Freigabe die Benutzer hinzufügen, die die Datei entschlüsseln können. Mit einem "normalen Domänen-Benutzer" geht das nicht.

 

Danke für die Hilfe.

 

Gruß,

 

Mike

[olc 18]

Hey Mike,

 

danke für Deine Rückmeldung.

 

Zwar hat Deine letzte Meldung m.E. nichts mit dem Problem Deines letzten Postings zu tun (oder habe ich da etwas falsch verstanden?), aber es ist schön zu hören, daß es nun wie gewünscht funktioniert. ;)

 

Viele Grüße

olc

[ggg-mike 10]

Hallo olc,

 

nun ja, ich versuche mal etwas genauer zu beschreiben:

 

Auf der Freigabe lagen 3 verschlüsselte Dateien jeweils von anderen Benutzern verschlüsselt. Eine vom Domänen-Administrator(Benutzer1), eine vom einen Benutzer der auch in der Domänen-Gruppe Administratoren ist(Benutzer2) und eine von einen "normalen Benutzer(Benutzer3)". Nun habe ich mich mit Benutzer 2 auf einen Client-Rechner angemeldet und habe mich gewundert, das der Benutzer(in diesem Fall Benutzer 2) auf der Freigabe in den Dateien die Benutzer ändern konnte, die "unerkannt auf die Datei zugreiffen können"(unter Eigenschaften->Attribute->Erweitert). Das ergab für mich keinen Sinn, da die Verschlüsselung keinen Sinn ergeben hätte, wenn sich jeder Benutzer in jede Datei "eintragen kann".

 

Aber ich hatte nicht bedacht, das in diesem Fall Benutzer 2 Administratoren-Rechte hat. Ich habe das gleiche mit Benutzer 3 probiert mit dem Ergeniss, das Benutzer 3 keine Benutzer in die Datei eintragen, die "unerkannt auf die Datei zugreiffen können".

 

Ich hoffe dass das alle Klarheiten beseitigt hat. ;)

 

Gruß,

 

Mike

[olc 18]

Hallo Mike,

 

danke für Deine Rückmeldung. :)

 

Daß der zweite Administrator die Daten öffnen / neue zugriffsberechtige Benutzer hinzufügen konnte hat nichts mit seinen administrativen Rechten zu tun. Genau das ist der Sinn der Verschlüsselung - es müssen explizit Benutzer angegeben werden. Da helfen auch Administrator-Rechte nichts. Deshalb gibt es den Data Recovery Agent.

 

D.h. in Deinem Szenario: Der Administrator2 muß das DRA Zertifikat und den dazugehörigen privaten Schlüssel im lokalen Zertifikatspeicher haben oder er muß die entsprechenden Rechte auf die Datei schon gehabt haben (z.B. vom verschlüsselden Benutzer zugewiesen.

 

Viele Grüße

olc

[ggg-mike 10]

Hallo olc,

 

du hast Recht, mit den Administratorenrechten hat das nichts zu tun(ausführlich durchgetestet:D), Doch nun eine weitere Frage die sich beim Testen aufgetan hat. Ich habe habe bemerkt, das Benutzer2 immer unter den Benutzer die auf die Datei zugreiffen können eingetragen werden kann wenn Benutzer3 eine Datei verschlüsselt.

 

Gefunden habe ich folgendes:

 

Benutzer2 hat ein eigenes Zertifikat unter "Eigene Zertifikate"

Benuzter3 hat kein eigenses Zertifikat sondern nur unter Vertrauenswürde Personen das Zertifikat von Benutzer2:suspect:.

 

Sollte Benutzer3 nicht auch ein eigenes Zertifikat zum Verschlüsseln von Dateien haben?

 

Heißt das jetzt das Benutzer 3 mit dem Zertifikat von Benutzer2 die Dateien verschlüsselt und Benutzer2 deshalb auf alle Verschlüsselten Dateien von Benutzer3 zugreifen kann?

 

Ich hoffe das Du verstehst was ich meine?!?!

 

Gruß,

 

MIke