EFS Verschlüssellung nutzen

[StefanWe 14]

Guten Morgen,

 

ich habe hier einen Win 2003 Server. Dieser läuft nun seit 3 Jahren.

Ich möchte nun für einige User aus der Buchhaltung EFS auf den Netzlaufwerken auf dem Server nutzen.

 

Ich habe keine Zertifikatsstelle, möchte also mit Selbstsignierten Certs arbeiten.

 

Nun wollte ich zuerst das Datenwiederherstellungszertifikat des Domänenadministrators + Privaten Schlüssel sichern. Mir ist allerdings aufgefallen, dass das Zertifikat abgelaufen ist.

 

Nun soll ja auch der oder die User EFS nutzen.

Beim aktivieren der Dateiverschlüsselung wird ja das UserCert automatisch erstellt. Allerdings erhalte ich folgende Fehlermeldung:

 

Die Wiederherstellungsrichtlinie für diesen Computer enthält ein ungültiges Wiederherstellungszertifikat.

 

Ich vermute diese meldung kommt, weil das Cert des Admins abgelaufen ist, richtig ?

 

Nun meine Fragen.

 

1: Wie verlänger ich das Datenwiederherstellungszertifikat des Admins ohne Zertifikatsstelle ?

 

2: Reicht es das Datenwiederherstellungszertifikat + Priv. Schlüssel zu sichern, oder muss ich das Datenverschlüssellungszertifikat auch noch sichern ?

 

3: Wenn in 2 Jahren das Zertifikat für die User abläuft, wie verlänger ich dann diese Zertifikate ?

[olc 18]

Hi,

 

schau einmal in den folgenden Artikel, das sollte Deine Fragen klären: Windows Server How-To Guides: Teil 2 - Einrichtung von Data Recovery Agents - ServerHowTo.de

 

Die Boardsuche liefert dazu auch Informationen. ;)

 

Viele Grüße

olc

[StefanWe 14]

Das Howto habe ich bereits gelesen, allerdings brachte es nicht den erhofften Erfolg.

 

Ich habe mir mit cipher /r:dateiname ein neues zertifikat für den Administrator erstellt. Habe eine Zertifikatdatei und eine Datei mit dem Privaten Schlüssel.

 

Wenn ich nun im Gruppenrichtlinieneditor unterhalb von Verschlüsselndesdateisystem auf Datenrettungsassistentren hinzufügen klicke und im Wizard den Admin auswähle, erhalte ich die Fehlermeldung, das der ausgewählte Benutzer nicht über geeignete Zertfikate für EFS-Weiderherstellung verfügt.

 

Wähle ich hingegen das Zertifikat direkt aus, importiert er dieses einwandfrei und der Admin steht dort wieder drin.

 

Am Vista Client hingegen kann ich trotzdem keine Dateien verschlüsseln, da ich die Fehlermeldung bekomme, das der Client über kein geeignetes Wiederherstellungszertifikat verfügt.

 

Natürlich habe ich ein gpupdate /force durchgeführt und auch einen neustart. Also die Default Domain Policy sollte eigentlich erfolgreich geladen worden sein.

 

Hier im Forum oder internet hab ich diesbezüglich leider noch nichts gefunden, was mir weiterhilft.

 

Was mich eben auch sehr stark wundert, das im am Server die Meldung bekomme, dass der Administrator über kein geeignetes Zertifikat verfügt.

 

Wenn ich im lokalen Zertifikatsspeicher des Benutzers-Administrator schaue, ist das Datenwiederherstellungscert dort vorhanden.

[olc 18]

Hi,

 

hast Du vorher das alte Zertifikat des Data Recovery Agents aus der GPO entfernt? Das ist notwendig, wenn Du ein neues DRA Zertifikat angibst.

 

Auf dem Vista Client solltest Du noch einmal prüfen, ob die Richtlinie nicht durch eine andere GPO überschrieben wird. Bestenfalls erledigst Du das über den Group Policy Results Report der GPMC remote.

 

Viele Grüße

olc

[StefanWe 14]

Hi,

 

habe gerade folgendes festgestellt.

 

Wenn ich von meinem Vista Client auf dem Lokalen PC einen Ordner verschlüssel geht dies einwandfrei.

 

Mache ich es aber auf einem Netzlaufwerk auf dem Server, erhalte ob obige Fehlermeldung.

 

 

Habe nun die Selbsterstellten Zertifikate mit cipher /r:dateiname gelöscht.

Anschließend in der Default Domain Policy das Datenwiederherstellungszertifikat gelöscht.

Dann mit cipher ein neues Cert erstellt und in die DefaultDomainPolicy importiert.

 

EIn Update mittels gpupdate /force am client brachte weiterhin keinen Erfolg.

 

Ich kann keine Ordner/Dateien auf Netzlaufwerken verschlüsseln.

[olc 18]

Hi,

 

ok, das mit dem Netzwerkzugriff ist natürlich eine wichtige Information... ;)

 

In diesem Fall müssen die Fileserver den entsprechenden Recovery Agent haben. Du entschlüsselst nämlich (kurz gesagt) die Daten beim Kopiervorgang erst lokal, überträgst die Daten dann unverschlüsselt und diese werden dann auf dem Fileserver neu verschlüsselt. Daher muß dieser ein aktuelles DRA-Zertifikat haben.

 

Prüfe doch einmal, ob unter Umständen eine andere GPO Deine Domänenpolicy auf den Fileservern überschreibt. Am besten mittels GPMC Group Policy Results Report.

 

Wenn es die korrekte Policy ist, prüfe einmal, ob die Änderung (also der neue DRA) an den Fileservern ebenfalls schon per GPO angekommen ist.

 

Viele Grüße

olc

[StefanWe 14]

Also der Fileserver ist gleichzeitig der Domänencontroller auf dem ich das DRA Zertifikat erstellt habe.

 

Durch die Gruppenrichtlinienergebnisse habe ich folgende ausgabe.

 

ZertifikateAusblenden

Ausgestellt für Ausgestellt von Gültig bis Beabsichtigte Zwecke Ausschlaggebendes Gruppenrichtlinienobjekt

Administrator Administrator 19.09.2109 17:02:33 Dateiwiederherstellung Default Domain Policy

 

Starten Sie den Gruppenrichtlinienobjekt-Editor für weitere Informationen über bestimmte Einstellungen.

 

Damit wurde die DomainPolcy geladen und auch angewendet.

 

Allerdings ist mir folgendes Aufgefallen. Ich habe gerade als angemeldeter Administrator am Server(Fileserver) versucht einen Ordner zu verschlüsseln.

Hier erhalte ich die selbe Fehlermeldung wie vom Vista CLient übers Netzlaufwerk.

 

Also scheint der Hund beim Server begraben zu sein.

Benötige ich denn noch ein anderes Cert ?

[olc 18]

Hi snoopy,

 

nein, der DRA sollte ausreichen (natürlich neben dem eigenen EFS Zertifikat).

 

Hast Du Punkt 6. aus dem folgenden Artikel ebenfalls durchgeführt? Error message when client computers encrypt a file in a Windows Server 2003 domain: “Recovery policy configured for this system contains invalid recovery certificate”

 

Viele Grüße

olc

[sschulz80 10]

noch nie wirklich mit remote EFS gearbeitet aber ich hab da so nen hacken im Computerkonto der Servers der EFS machen soll in errinerung.

 

"Computer für Deligierungszwecke vertrauen" dieser muss für EFS auf jedenfall aktiviert sein.

[StefanWe 14]

@sschulz80: der Haken ist definitiv gesetzt.

 

@olc: Punkt 6 habe ich noch nicht gemacht. Habe es nun aber durchgeführt, sowie ein gpupdate - brachte leider immernoch keinen Erfolg. Im lokalen Zertifikatsspeicher ist das Zertifikat nun auch bei allen CLients drin. Die GPO wird also einwandfrei angewendet.

 

Ich vermute das Problem liegt eher am Administratorkonto. Da ich selbst wenn ich am SBS2003 angemeldet bin, als Administrator auf den Lokalen Festplatten nichts verschlüsseln kann, ich erhalte dann immer die selbe Fehlermeldung, wie beim Client.

[olc 18]

Hi,

 

am Administrator-Konto dürfte es nicht liegen, denn es funktioniert ja auf anderen Systemen lokal.

 

Scheinbar hat der SBS immer noch nicht die Information, daß es einen korrekten DRA gibt. Daher scheitert die Verschlüsselung SBS-lokal als auch Remote. Ich würde also - auch wenn es erst einmal überflüssig scheint - noch einmal ganz genau auf dem SBS prüfen, ob das aktuelle DRA-Zertifikat wirklich angekommen ist.

 

war der RSOP Export oben vom SBS oder vom Client? Falls vom Client, mach noch einmal einen RSOP Report vom SBS.

 

Viele Grüße

olc

[StefanWe 14]

Guten Morgen,

 

erstmal nocheinmal ein großes Danke, das du dir die Mühe machst.

 

der RSOP war vom SBS.

Ich habe jetzt gerade im Lokalen Zertifikatsspeicher des SBS geschaut( nicht des Administrators)

 

Und im Ordner Vertrauenswürdige Stammzertifikate -> Zertifikate gibt es ein "Datenwiederherstellungs Zertifikat.

 

Dieses ist fausgestellt für den Administrator und auch vom Administrator ausgestellt. Gültig bis 19.09.2109. Allerdings bei Angezeigter Name steht <Keine>

 

Es lässt sich nun auch nach einigen Tagen warten immernoch nichts auf dem SBS verschlüsseln.

[olc 18]

Hi Snoopy,

 

ehrlich gesagt habe ich im Moment keine Ahnung, was Du auf die Schnelle noch testen könntest. Soweit sieht ja alles korrekt aus, wahrscheinlich liegt das Problem tiefer.

 

Wenn Du Dir über der Certmgr-Optionen View --> Options auch den "physical store" anzeigen läßt - wo liegt das Recovery Agent Zertifikat? Im Store, der über die Group Policies kommt? Ist unter Umständen lokal in der Registry des SBS noch ein alter Agent definiert?

 

Durchsuche doch einmal alle Stores nach dem DRA - liegt irgendwo noch ein altes Zertifikat herum?

 

Viele Grüße

olc

[StefanWe 14]

Guten Morgen,

 

also das DRA liegt im Physikal Store unterhalb von Vertrauenswürdige Stammzertifizierungsstellen-> Gruppentichlinie->Zertifikate

 

Ein anderes Cert als DRA hab ich nirgends gefunden.

Das einzige, ich hatte unterhalb von Vertrauenswürdige Personen zwei mal den Administrator drin mit einem Cert für verschlüsselndes Dateisystem.

Habe das eine Cert gelöscht und das andere in den Vertrauenswürdigen Stammcerts importiert. Aber trotzdem kein Erfolg.

 

Kann es denn nicht sein, dass das DRA Cert falsch ist?

 

Muss ich das wirklich nur mit cipher.exe /r:dateiname machen?

Und dann in dem Gruppenrichtlinienverwalter das cert also die *.cer Datei auswählen?

Muss ich den Privaten schlüssel nicht irgendwo extra noch importieren?

[olc 18]

Hi,

 

nein, der private Schlüssel sollte nie importiert werden - es sei denn, Du mußt Daten wiederherstellen.

Das Zertifikat hattest Du in den Trusted Root Store importiert, korrekt? (Schritt 6 des KB).

 

Der Cipher Befehl ist auch korrekt.

 

Viele Grüße

olc