Jump to content

EFS-Dateien wiederherstellen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

ich beschäftige mich gerade mit EFS. Habe die Lösung soweit in die Domain integriert und es funktioniert auch :-)

 

Wenn ich die Datei zum ersten Mal mit EFS verschlüssele, bekomme ich ein EFS-Zertifikat von der CA der 2 Jahre gültig ist.

 

Solange ich vom User exportiertes Zertifikat habe, kann ich die Dateien auch entschlüsseln. Was passiert aber nach 2 Jahren, wen das vorhandene Zertifikat ausläuft und CA ein Renew ausstellt.

 

Kann ich dann die Dateien, die mit dem "neuen" Zertifikat verschlüsselt wurden mit dem alten Zertifikat auch wieder entschlüsseln?

 

Environment: AD(2k8R2), CA(2k8R2), Clients(W7Ult).

Link zu diesem Kommentar

also:

 

User loggt sich ein und verschlüssele eine Datei. Damit ich diese Dateien im Notfall wiederherstellen kann, brauche ich ja das Zertifikat. Nach 2 Jahren wird ein neues Zertifikat bzw. Renew ausgestellt und wie das immer in der Praxis so ist, bekomme ich das neue Zertifikat vom User nicht.

 

Der User verschlüsselt seine Dateien fleißig weiter und nach dem das neue Zertifikat z.B. 3 Monate im Einsatz ist. Kommt es zum OS-Crash und man kann das System nicht mehr noch fahren. Ich klemme die Platte an einen Rechner, importier das vorhandene "alte" User Zertifikat und versuche mit Rocovery Agenten die Daten wiederherzustellen.

 

Werde ich alle Dateien mit dem alten Zertifikat wiederherstellen können?

 

Oder anders gefragt: Wie komme ich an die Dateien, wenn ich das aktuelle Zertifikat nicht habe und System nicht mehr hoch fährt?

Link zu diesem Kommentar

Danke für den Link, aber diese beantwortet leider meine Frage nicht. Außerdem sollte man nicht nur das DRA Zertifikat haben sondern auch den von User sonst kann man auf die Dateien nicht zugreifen.

 

Ich meine, es ist klar, dass man vorsorgen muss. Aber, woher soll ein User wissen, dass sein Zertifikat erneuert wurde und er dieses erneut Exportieren muss?

So was in der Praxis nachzuhalten ist doch unmöglich. Wie macht man das bei großen Firmen den? Wo es mehrere hundert User gibt? Es muss doch eine Lösung geben.

Link zu diesem Kommentar

Der User sollte sein Zertifikat (privaten Schlüssel) nicht exportieren!

 

Private Schlüssel, die auf irgendwelchen USB Sticks, Disketten, FileShares liegen, sind der erste Schritt zur Kompromittierung!

Die privaten Schlüssel sollten im AD oder auf SmartCard gespeichert werden.

 

Zusätzlich sollte bei EFS Zertifikaten die Archivierung des privaten Schlüssels auf der CA konfiguriert werden.

 

Für die Benutzerzertifikate kann über GPO ein Auto-Rollout und Auto-Renewal konfiguriert werden.

Das abgelaufene Zertifikat kann dabei nicht mehr für die Verschlüsselung neuer Dateien verwendet werden. Bereits verschlüsselte Dateien lassen sich damit aber noch entschlüsseln.

 

Buchtip:

Brian Komar: PKI & Certificate Security

Link zu diesem Kommentar

Hi,

 

Du gehst hier von einem vollkommen "falschen" Ansatz aus: Generell hast Du als Admin erst einmal gar kein "Recht" auf das Benutzerzertifikat. Das ist wie ein Kennwort zugehörig zum Benutzer und Du solltest - auch im Kontext des Datenschutzes - die Finger davon lassen. Sonst kannst Du auch gleich die Verschlüsselung sein lassen.

 

Das DRA Zertifikat ist genau für den von Dir beschriebenen Fall gedacht: Der Benutzer kann seine Dateien nicht mehr entschlüsseln, weil etwa das Schlüsselmatierial weg oder der Benutzer nicht mehr im Unternehmen ist. Nun greifst Du auf den DRA Account zurück, der die Daten wieder entschlüsseln kann, ohne Zugriff auf das Schlüsselmaterial des Bneutzers zu haben.

 

Genau aus diesem Grund ist der oben genannte Artikel auf ServerHowTo.de der richtige für Dich.

 

Wie Dunkelmann schon schrieb: Schau Dir einmal den genannten Literaturvorschlag an - dann entzerrt sich vielleicht einiges. Bevor Du mit der Verschlüsselung von Daten anfängst empfehle ich dringend, sich mit der PKI Thematik als solches zu beschäftigen. Sonst läuft Du ggf. schnell in wirklich große Probleme.

 

P.S.: Bitte nicht falsch verstehen, ich meine es nur gut. :)

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...