Cromm 10 Posted January 11, 2010 Report Share Posted January 11, 2010 Hallo zusammen ich hoffe ihr könnt mir helfen. Folgendes Problem: Wir setzen bei uns in der Firma EFS verschlüsselung ein und bereiten gerade einen Rollout vor. Nun möchten wir gerne die EFS Daten RAW kopieren um die Ordner nicht entschlüsseln zu müssen(Faktor Zeit) das habe ich auch soweit schon Scripten können und es funktioniert auch soweit. Nun habe ich aber das Problem, das der User beim rechnerwechsel automatisch ein neues EFS Zertifikat erhält. Dies ist aus Sicherheitstechnischen gründen so gewünscht. Mein Problem dabei ist aber das ich das Zertifkat nun aber nicht vom alten Klient exportieren kann und dann auf dem neuen Rechner auf die EFS Daten zugreifen kann. Nun bräuchte ich ein paar Tips wie ich am Besten mit zu migrirenden EFS Daten umgehen soll bzw. wie ich mit einer Zentralen Zertifikatsverwaltung die alten und neuen EFS Zertifkate ggf. miteinander verbiden kann... Bin noch neu was ZertifkateServer mit EFS Verschlüsselung angeht wenn ihr mehr infos braucht, einfach fragen.... Danke Quote Link to comment
NilsK 2,922 Posted January 11, 2010 Report Share Posted January 11, 2010 Moin, ihr setzt EFS ohne einen zentralen Recovery Agent ein? Oder wie? (Das wäre natürlich ausgesprochen mutig.) Bitte beschreibe die EFS-Infrastruktur genauer. Gruß, Nils Quote Link to comment
andreaskossatz 10 Posted January 11, 2010 Report Share Posted January 11, 2010 Ich habe mich noch zu wenig mit dem EFS befasst. Allerdings müsste das EFS Zertifikat ja schon auf Grund der Sicherheit an die entsprechende lokale Umgebung gebunden sein, für die es erstellt worden ist. Du kannst Dir das Leben aber auch einfacher machen, in dem Du das EFS über GPO konfigurierst und die zertifikate automatisch verteilen und erneuern lässt. Dann funktioniert das System doch schon um einiges stressfreier und du sparst viel Zeit. Wie Nilsk schon sagte, wichtig ist auch das einrichten des besagten Recovery Agents für das EFS denn OHNE den kannst Du keine EFS verschlüsselten Daten wiederherstellen wenn Du z.B. bei einem ausgeschiedenen User, dessen Login Du nicht hast, dessen Daten wieder herstellen wolltest. Wie genau das einrichten geht und was Du beachten musst findest Du aber auch unter Encrypting File System Technical Reference: Security Policy; Public Key; Security Services Da ist auch beschrieben, welche GPO Schlüssel Du konfigurieren musst. Weitere Infos zu den GPO findest Du dann unter Gruppenrichtlinien - Übersicht, FAQ und Tutorials grüsse andreas Quote Link to comment
chiefus 10 Posted January 11, 2010 Report Share Posted January 11, 2010 Des Weiteren kann man die privaten Schlüssel der Benutzer verschlüsselt im Active Directory speichern! Gruß chiefus Quote Link to comment
Ivo 10 Posted January 11, 2010 Report Share Posted January 11, 2010 Wie Nilsk schon sagte, wichtig ist auch das einrichten des besagten Recovery Agents für das EFS denn OHNE den kannst Du keine EFS verschlüsselten Daten wiederherstellen wenn Du z.B. bei einem ausgeschiedenen User, dessen Login Du nicht hast, dessen Daten wieder herstellen wolltest. Es gibt eine recht einfache Moeglichkeit EFS auszuhebeln und die Daten im Klartext zu haben. Nur sehe ich wieder gerade den "Beitrag geschlossen, wir danken fuer Dein Verstaendniss Hammer" ueber mir schweben.... Quote Link to comment
Cromm 10 Posted January 12, 2010 Author Report Share Posted January 12, 2010 Doch wir haben natürlich einen Recovery Agent. Wir wollen den ganzen Prozess Automatisieren ohne das große eingriffe des Admins nötig sind mit Zertifikat export import entschlüsseln neu verschlüsseln der Daten. Deswegen dachte ich, das es einfacher ist irgendwie das Zertifkat des Users zu übernehemn oder zu erneuern so das er mit dem neuen Zertifikat auch die alten Daten nutzen kann. Quote Link to comment
olc 18 Posted January 12, 2010 Report Share Posted January 12, 2010 Hi, wo liegen denn die verschlüsselten Benutzerdaten? Auf einem Server oder lokal auf den Clients? Wie Nils schon sagte: Beschreibe Deine Umgebung etwas genauer, dann kann man vielleicht helfen. Viele Grüße olc Quote Link to comment
Cromm 10 Posted January 13, 2010 Author Report Share Posted January 13, 2010 Hallo die EFS Daten liegen auf den Client Systemen nicht im Netzwerk. Was genau braucht ihr denn für Infos? Alles zu beschreiben würde sicher hier den Rahmen sprengen... Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.