assy 10 Geschrieben 13. Juli 2004 Melden Teilen Geschrieben 13. Juli 2004 Das : "5. Aufpassen!!! Weil das verschieben einer verschlüsselten Datei in einen unverschlüsselten Bereich die verschlüsselung löscht." ist mir neu.. habe es gerade nochmal probiert und es bleibt das Attribut der Verschlüsselung erhalten! Was das wegkopieren von EFS-daten angeht ist das nur möglich wenn die Dateien noch unverschlüsslet vorliegen .. das ist Glückssache! Bei der Verschlüsselung wird nämlich eine verschlüsselte Datei NEU erzeugt und die vorhandene "gelöscht" im Sinne von unsichtbar gemacht, existiert aber noch im NTFS solange bis Sie überschrieben wird..... Also beeindruckt hat mich das jetzt nicht :rolleyes: Gruss Assy Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 13. Juli 2004 Melden Teilen Geschrieben 13. Juli 2004 Hab ich gemacht, allerdings bräuchte ich einen Hint, in welchem Themenbereich... Lesenswert scheint mir ADSI Thema... Nein, EFS hat mit ADSI nichts zu tun. Das ist in dem Buch, wo die Security Themen und PKI drin sind. sollte der jetzt (über I-Net, Firmennetzwerk etc. ) irgendwie auf meinen verschlüsselten Ordner zugreifen können, dann kopiert er sich die Daten, die dann "unverschlüsselt" bei ihm sind? Versuch's doch mal :D :D grizzly999 Zitieren Link zu diesem Kommentar
garyp 10 Geschrieben 13. Juli 2004 Melden Teilen Geschrieben 13. Juli 2004 hi, ich habe hier irgendwo gelesen, dass Windows sicher sein soll. Kann ich ja nicht glauben. Die Datei verliert ihr Verschlüsselungsattribut wenn sie auf eine FAT Partition kopiert wird. Habe ich gerade ausprobiert. Geht - logisch - nur wenn ich die Berechtigung bzw den Schlüssel dazu habe. Also als Ersteller angemeldet bin. Gut. Wie sieht es denn aus, wenn ich die Datei von DOS aus kopiere. Es git da irgendwo im net ein Tool mit dem NTFS Partitionen unter DOS gelesen und geschrieben werden können. Denke auch, dass es mit Koppix oder Linux funktionieren müsste. Würde es gerne mit Koppix ausprobieren, habe aber leider nicht die Möglichkeit mich bei meiner CD als root anzumelden. (kein passwort) und für ne Linux installation habe ich jetzt leider keine Zeit. Aber vielleicht kann das mal jemand von euch probieren. Einfach die Verschlüsselte Datei auf ein FAT Laufwerk kopieren. Wäre ja n Ding wenn das funzt. Ansonsten habe ich im Netz nur die Einheitliche Meinung gefunden, dass wenn der Benutzer gelöscht wurde und der Administratoraccount auch nicht merh vorhanden ist, es keine Möglichkeit gibt die Datei zu entschlüsseln. gruß garyp Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 13. Juli 2004 Melden Teilen Geschrieben 13. Juli 2004 ich habe hier irgendwo gelesen, dass Windows sicher sein sollKann ich ja nicht glauben Dann glaub's halt nicht :rolleyes: Hier noch etwas Weiterbildungsmaterial: http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/distrib/dsck_efs_duwf.asp Danach kannst du ja überlegen, ob das mit Knoppix geht :suspect: grizzly999 Zitieren Link zu diesem Kommentar
Willow 10 Geschrieben 13. Juli 2004 Melden Teilen Geschrieben 13. Juli 2004 Hallo Jetzt bin ich erstaunt, was so alles kursiert. Hab das mal so gelernt: Beim erstellen einer verschlüsselten Datei, werden die Schlüssel erstellt. Wer Inhaber des Privaten Schlüssels ist kann entschlüsseln. (Kann exportiert werden zur Sicherheit (wichtig) so aber auch andern zugänglich gemacht werden) Beim erstellen des Privaten Schlüssels wird der Private Schlüssel des Wiederherstellungs Agenten berücksichtigt. Somit kann dieser auch die Dateien entschlüsseln. (Standart ist hier der Enterprise Admin) So wenn ich die verschlüsselte Datei von einem NTFS zu einem FAT Dateisystem verschiebe (kopiere) geht die Verschlüsselung verloren, aber auch nur wenn ich den nötigen Privaten Schlüssel besitze. Ohne den Priv. Schlüssel kann ich die Datei max verschieben oder Löschen mit den nötigen Berechtigungen. Aber niemals lesbar machen. Ob die Dateien auch anders lesbar gemacht werden können wär mir neu! Gruß Willow Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 13. Juli 2004 Melden Teilen Geschrieben 13. Juli 2004 Sehr gut, ist ganz dicht dran, bis auf Kleinigkeiten: Beim erstellen des Privaten Schlüssels wird der Private Schlüssel des Wiederherstellungs Agenten berücksichtigt Es wird der öffentliche Schlüssel verwendet, vom Besitzer und allen Wiederherstellungsagenten. Somit kann dieser auch die Dateien entschlüsseln. (Standart ist hier der Enterprise Admin) Das ist unterscheidlich. Es ist der öffentliche Schlüssel ..... a) in einer AD-Domäne: .... des ursprünglichen Administrators, der default auch in der Gruppe der Organisations-Admins ist, aber nicht unbedingt drin bleiben muss. An seinem WHA-Status würde sich aber von alleine auch dadurch nichts ändern. b) auf einem W2k-Standalone PC: .... des lokalen ursprünglichen Administrators. Rest s.u. a) c) auf einem Standalone XP-PC: .... von niemand. Hier gibt es by default keinen WHA, den müsste man erst erstellen. Fakt ist und bleibt aber, wie du richtig sagtest: Habe ich keinen der zugehörigen privaten Schlüssel, dann verweisen wir alle anderen Methoden (außer wahrscheinlich vergeblichen Brute-Force-methoden), die Datei zu öffnen, zu Alice ins Wunderland :D ;) grizzly999 Zitieren Link zu diesem Kommentar
Der Newbie 10 Geschrieben 13. Juli 2004 Autor Melden Teilen Geschrieben 13. Juli 2004 Original geschrieben von grizzly999 grizzly999 [/b] efsinfo_license.txt: Encrypted Users who can decrypt: DOM\Newbie (OU=EFS File Encryption Certificate, L=EFS, CN=Newbie) Also, die Domäne ist richtig, der User auch. Nur habe ich im AD keine OU EFS File Encryption! Zudem fehlt mir ja auch die Möglichkeit das Zertifikat zu exportieren, bzw. ein spezielles Zertifikat zu nutzen um einen speziellen Ordner zu verschlüsseln. Du hast in einem anderen Thread geschrieben, einfacher wäre es ein Verschlüsselungsprogramm zu nehmen. Oder gibt es eine einfache Möglichkeit? denn jedesmal das zertifikat zu exportieren, zu löschen etc. ist ja ein wenig aufwendig, wenn ich mal auf das Klo will, oder? habe keine Möglichkeit gefunden, ein CAcert Zertifikat zu nehmen, das funktioniert nur mit Outlook oder Adobe. Ist wohl doch nicht so leicht, wie ich dachte, oder hab ich was falsch gedacht? den krbtgmt Account hab ich noch deaktiviert gruss Newbie. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 13. Juli 2004 Melden Teilen Geschrieben 13. Juli 2004 Hmm, bei mir steht immer der UPN. Zudem fehlt mir ja auch die Möglichkeit das Zertifikat zu exportieren, bzw. ein spezielles Zertifikat zu nutzen um einen speziellen Ordner zu verschlüsseln Nein, man starte mit certmgr.exe die entsprechende MMC, dort sieht man siene Zertifikate und kann sie auch exportieren, und bei Bedarf den privaten Schlüssel von der Platte löschen. Das wäre dann die sichere Variante mit dem USB-Stick um den Hals :D ;) denn jedesmal das zertifikat zu exportieren, zu löschen etc. ist ja ein wenig aufwendig, wenn ich mal auf das Klo will, oder? Wenn man eine auf diese Weise geschützte Datei 30x am Tag öffnen will, dann ja :rolleyes: Du hast in einem anderen Thread geschrieben, einfacher wäre es ein Verschlüsselungsprogramm zu nehmen. Das war aber in einem anderen Zusammenhang. IIRC ging es darum, dass mehrere User Verschlüsseln könnn sollen und mehrere auf die verschlüsselten Dateien Zugriff haben sollten, aber nur bei Bedarf oder so, und die anderen User dürfen aber nicht verschlüsseln können. Da gerät man an die Grenzen von EFS bzw. dessen Bedienbarkeit. EFS ist für sowas in seiner Auslegung nicht vorgesehen. habe keine Möglichkeit gefunden, ein CAcert Zertifikat zu nehmen, das funktioniert nur mit Outlook oder Adobe CAcert für was nehmen?? grizzly999 Zitieren Link zu diesem Kommentar
Der Newbie 10 Geschrieben 14. Juli 2004 Autor Melden Teilen Geschrieben 14. Juli 2004 Original geschrieben von grizzly999 Hmm, bei mir steht immer der UPN. [/b] Hmm...was ist UPN? Original geschrieben von grizzly999 Nein, man starte mit certmgr.exe die entsprechende MMC, dort sieht man siene Zertifikate und kann sie auch exportieren, und bei Bedarf den privaten Schlüssel von der Platte löschen. Das wäre dann die sichere Variante mit dem USB-Stick um den Hals :D ;) Finde bei mir keinen Certmgr.exe. Ich gehe immer über MMC und dann Zertifikate. Habe den Zertifikatsdienst nicht installiert, wir hatten das ja mal vor geraumer Zeit und da Du zu recht geschrieben hast, es sei eher komplex, denn trivial...hab ich es gelassen... Original geschrieben von grizzly999 CAcert für was nehmen?? grizzly999 Ich habe bei CAcert.org mir ein kostenloses Zertifikat geholt mit dem ich Mails verschlüssele und Zertifiziere. wenn man das einsetzen könnte für efs wäre es ja vom handling einfacher, da nur noch 1 Zertifikat gesichert, getragen und benutzt wird. Ist schon nervend, wenn man für 6 Dinge 6 verschiedene Zertifikate braucht. gruss newbie Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 14. Juli 2004 Melden Teilen Geschrieben 14. Juli 2004 Sorry wegen certmgr.exe, musste natürlich heißen certmgr.msc :o Man kann ein Zertifikat nicht beliebig einsetzen, ein Zertifikat hat immer einen eingetragenen Zweck, und kann dann nur für diesen angebenen Zweck verwendet werden. Der Zweck kann auch ALLE sein, aber ich vermute mal sehr stark, dass der Zweck dieser CAcert-Zertifikate nur email betrifft. Damit scheidet es für Dateiverschlüsselung aus. UPN: User Principal Name (im AD) -> user@domaine.local oder so. grizzly999 Zitieren Link zu diesem Kommentar
Der Newbie 10 Geschrieben 14. Juli 2004 Autor Melden Teilen Geschrieben 14. Juli 2004 Original geschrieben von grizzly999 Sorry wegen certmgr.exe, musste natürlich heißen certmgr.msc :o Man kann ein Zertifikat nicht beliebig einsetzen, ein Zertifikat hat immer einen eingetragenen Zweck, und kann dann nur für diesen angebenen Zweck verwendet werden. Der Zweck kann auch ALLE sein, aber ich vermute mal sehr stark, dass der Zweck dieser CAcert-Zertifikate nur email betrifft. Damit scheidet es für Dateiverschlüsselung aus. UPN: User Principal Name (im AD) -> user@domaine.local oder so. grizzly999 Ja, das stimmt. Ich habe aber mal geschaut, es ist ein globalzertifikat, mit dem man alles machen kann. Von Dateiherstellung bis hin zu Brötchen backen. Ist eine Organisation, die die Zertifikate verbreiten will. dort gibt es sogar kostenlose servercertifikate für ssl und so weiter....was woanders hunderte von dollars kostet. war ein bericht bei golem. kannst ja mal schauen http://www.cacert.org falls du es noch nicht gehört hast. Hm...was hat das mit UPN auf sich? für was kann man denn das nutzen? gruss newbie Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.