Philipp_S 10 Geschrieben 30. Januar 2012 Melden Teilen Geschrieben 30. Januar 2012 Hallo zusammen, ich melde mich da wir im Moment versuchen die EFS-Verschlüsselung in unserer Domäne bereitzustellen. Jetzt sind einige Fragen aufgekommen, weil es uns doch so nicht ganz richtig vorkommen. Die EFS-Verschlüsselung ist soweit via GPO eingerichtet und ein Wiederherstellungsagent wurde auch erstellt. Wenn wir nun Dateien lokal verschlüsseln wird automatisiert ein Zertifikat hierfür erstellt und im AD abgelegt. verschlüsseln wir nun Dateien auf Netzwerkfreigaben wird für jeden neuen Computer, auf dem die Freigabe erstllt wurde, ein neues Zertifikat erstellt. Somit wären wir bei dem Punkt das jeder Benutzer in der Domäne bald eine Hand voll Zertifikate besitzt und im Falle ein nachträäglich Zertifikatszuordnung wird es nur schwer erkennbar welches Zertifikat nun für welches verschlüsselten Dateien verwendet wurde. Ist das wirklich richtig so? Kann man dies nicht besser handeln? MfG Philipp Zitieren Link zu diesem Kommentar
Philipp_S 10 Geschrieben 30. Januar 2012 Autor Melden Teilen Geschrieben 30. Januar 2012 Ergänzung: Erzeugte Zertifikate für Verschlüsselte Dateien in Netzwerkfreigaben werden nur im lokalen Zertifikatspeicher des jeweiligen Servers auf die Freigabe erstellt wurde abgelegt, jedoch nicht im AD. Kann jmd. erklären, wieso dies nicht funktioniert? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 30. Januar 2012 Melden Teilen Geschrieben 30. Januar 2012 Hi Philipp, warum möchtest Du EFS nutzen? Meiner Erfahrung nach wird EFS nur sehr eingeschränklt genutzt, ggf. gibt es andere / bessere Lösungen je nach Anwendungszweck. Was ist der Hintergrund der Anforderung? Zu Deiner Frage: Vermutlich melden sich die Benutzer an unterschiedlichen Arbeitsstationen an? Wenn dem so ist und es keine Ordnerumleitung bzw. Roaming Profiles gibt (und kein Credential Roaming eingesetzt wird), fordert der Benutzer auf jeder Maschine / jedem neuen Profil ein neues Zertifikat an. Denn die Zertifikate liegen im Benutzerprofil (AppData). In der Konstellation wäre es also sinnvoll, eine der 3 Optionen zu nutzen (Ordnerumleitung, Roaming Profiles oder Credential Roaming). Alle 3 Optionen erfordern jedoch einigen Planungsaufwand, weshalb das nicht "mal eben" aktiviert werden sollte. Ihr könnt auch das Autoenrollment für EFS Zertifikate (bzw. das jeweilige Template) auf Eurer CA deaktivieren. Jedoch ist das auch nicht zielführend, da es nur die Sympthome behebt, nicht jedoch die Ursache. [EDIT] Zu Deinem Nachtrag: Das ist normal - EFS erzeugt auf dem Dateiserver automatisch ein Zertifikat für den Benutzer und verschlüsselt damit die Daten auf dem Server. DIes ist jedoch transparent für den Benutzer und "by design". [/EDIT] Viele Grüße olc Zitieren Link zu diesem Kommentar
Philipp_S 10 Geschrieben 30. Januar 2012 Autor Melden Teilen Geschrieben 30. Januar 2012 Wir wollen EFS ausprobieren/einführen, weil das Anliegen von der Geschäftsführung kam und gewünscht ist. Hierzu wollen wir auch keine zusätzliche Applikationen verwenden, da dies ja soquasi ein Bordmittel ist. Ordnerumleitung verwenden wir , jedoch kann ich dir leider nicht folgen wie hier der zusammenhang ist? Das Problem ist ja evtl. nicht nur lokale Dateien verschlüsselt werden, sondern auch welche die auf einem Server liegen. Nur ist uns aufgefallen das für jeden Server ein neues Zertifikat für die Benutzer erstellt wird und diese auch nicht im AD abgelegt werden sondern nur im Zertifikatspeicher des Servers. Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 30. Januar 2012 Melden Teilen Geschrieben 30. Januar 2012 Welches Anliegen hat denn die GF genau ? -Zahni Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 30. Januar 2012 Melden Teilen Geschrieben 30. Januar 2012 Hi, Wir wollen EFS ausprobieren/einführen, weil das Anliegen von der Geschäftsführung kam und gewünscht ist. Das ist keine Antwort auf die Frage. ;) Ordnerumleitung verwenden wir , jedoch kann ich dir leider nicht folgen wie hier der zusammenhang ist? Die "lokalen" Zertifikate liegen im AppData Verzeichnis. Aber das Thema hat sich aufgrund Deines Nachsatzes, der erst nachträglich eingefügt wurde, erledigt. :) Das Problem ist ja evtl. nicht nur lokale Dateien verschlüsselt werden, sondern auch welche die auf einem Server liegen. Nur ist uns aufgefallen das für jeden Server ein neues Zertifikat für die Benutzer erstellt wird und diese auch nicht im AD abgelegt werden sondern nur im Zertifikatspeicher des Servers. Das ist wie angesprochen "by design" und kein Problem. Wenn es Dir also nur darum geht, daß auf den Servern pro Benutzer eigene Zertifikate erzeugt werden, dann brauchst Du an dieser Stelle nicht weitersuchen. Das ist normal. Siehe dazu auch: Delegated Server Mode Windows 2000, Windows XP and Windows Server 2003 permit a user to remotely encrypt files on a server if the server has an NTFS partition and the server is trusted for delegation in the Active Directory. The user account must not be marked as "sensitive and cannot be delegated" in the Active Directory. Remote encryption requires that a user's certificate and private key be loaded in a local profile on the server for encryption and decryption operations. The server obtains access to the profile through Kerberos delegation. Remotely encrypted files will only be encrypted using the private keys stored in this profile. If a roaming profile is available, it will be copied locally. Note A user will have a profile and private keys stored on the server even if the user has never logged on interactively to the server. Welches Anliegen hat denn die GF genau ? ACK. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
Philipp_S 10 Geschrieben 31. Januar 2012 Autor Melden Teilen Geschrieben 31. Januar 2012 Vielen Dank für die schnelle Antwort! Die GF ist auf diese Möglichkeit im System gestoßen und hat sich erkundigt, wieso es nicht verwendet werden kann ;). Somit haben wir uns damit auseinander gesetzt. Gibt es eine Möglichkeit dafür zu sorgen, dass auch beim verschlüsseln von Dateien im Netzwerk (Freigaben) die erzeugten Zertifikate im AD abgelegt werden? Beim Verschlüsseln lokaler Dateien ist dies ja der Fall, aber wenn es bei Netzwerkspeicherorten nicht der Fall ist sehe ich schwarz für die Wiederherstellung im Falle eines Ausfalls/Austausches der Server auf dem verschlüsselte Dateien liegen. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 31. Januar 2012 Melden Teilen Geschrieben 31. Januar 2012 Hi, nein, das ist nicht möglich und auch nicht sinnvoll. In den EFS Infos steht, welcher Benutzer entschlüsseln kann. Daher sollte das auch kein Problem werden. Außerdem hast Du einen Data Recovery Agent, daher ist "irrelevant", wer die Datei verschlüsselt hat. Du kannst sie immer mit dem DRA entschlüsseln. Dafür ist er da. ;) Zum Thema "Feature entdeckt, darum soll es genutzt werden": Das ist aus meiner Sicht kein Anforderungsprofil. ;) Insbesondere, da es sinnvollere / besere Produkte gibt als EFS. Zuallererst sollte also einmal geklärt werden, wovor sich Deine GF da eigentlich schützen möchte, warum sie sich schützen wollen und ob der eingeschlagene Weg ein sinnvoller Weg ist. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 31. Januar 2012 Melden Teilen Geschrieben 31. Januar 2012 Und, falls das eine Rolle spielt: Der Admin kann die Dateien trotzdem lesen ( mit dem DRA). Wenn es sicher sein soll, ohne DRA arbeiten. Dann sollte die GF aber ihr Passwort nicht vergessen ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.