EFS - Verständnisfrage

[Marco1000 10]

Hallo zusammenn,

ich habe da ne Frag zu EFS.

Wenn ein User in der Domäne Dateien verschlüsselt, das Zert. nicht exportiert, die verschlüsselten Daten ins Netz kopiert um sie zu sichern und dann den Rechner (XP PRO SP2) neu installiert und in die Domäne aufnimmt, kommt er nicht mehr an seine verschlüsselten Daten dran ?

 

Ist das wirklich so ? Den Fall habe ich jetzt!

Wenn ja, kann der Wiederherstellungsassistent da was machen, den man nachträglich hinzufügen kann!

 

bin dankbar für jeden Tipp:

[dark knight 10]

Er nicht, aber der Recoveryagent der Domain.

[Marco1000 10]

Hmmm,

und was muss ich da genau anstellen ?

Wie werde ich Recoveryagent, bzw erstelle einen ?

[Rainer Smetan 10]

ORIGINALAUSZUG MICROSOFT:

 

"Wiederherstellungsagenten

 

Zusätzlich zum DDF speichert EFS für jedes Benutzerkonto, das als Wiederherstellungsagenten (Data Recovery Agent, DRA) eingerichtet wurde, ein Datenwiederherstellungsfeld (Data Recovery Field, DRF). Für unsere Zwecke kann man sagen, dass DDFs und DRFs identisch arbeiten. Der Unterschied besteht darin, das ein DDF auf der Ebene einer Datei funktioniert und dass das DRF in allen Dateien eines Computers oder der gesamten Domäne identisch ist. Dies erlaubt einem Administrator, selbst dann Dateien zu entschlüsseln, wenn Benutzer ihren primären Schlüssel verlieren. In Windows XP sind keine DRAs mehr notwendig, um EFS zu benutzen. Der FEK befindet sich nur im DDF und DRF. Hat eine Datei nur einen DDF und kein DRF, kann diese Datei nur ein Benutzer entschlüsseln. Obwohl dieses Verfahren sehr sicher ist, ist es anderseits auch gefährlich.

 

 

 

Sollte der Benutzer seinen privaten Schlüssel verlieren, kann die Datei nicht mehr geöffnet werden..."

 

Quelle: http://www.microsoft.com/germany/ms/security/5min/5min-401.mspx

 

Mir persönlich ist auch nichts anderes bekannt, sollte es ohne privaten Schlüssel gehen - bin immer wieder lernwillig...

[Marco1000 10]

Hmm,

in der grauen Theorie sieht das erstmal hilfreich aus.

 

Ich habe allerdings vorher keinen Agenten in einer GPO erstellt.

Jetzt kann ich keinen Agenten erstellen, da keine vertrauenswürdige Zertifizierungsstelle exisitiert....o.ä.

[Willow 10]

Hallo

 

Im Resource Kit gibt es ein Tool Namens EFSINFO damit kannst Du nachschauen wer alles Zugriff auf die verschlüsselten Daten hat.

Hab ich selber noch nicht durchführen müssen.

 

Der Recovery Agent muß vor dem Verschlüsseln der Dateien bestimmt worden sein. Beim einführen eines Recovery Agents müssen die Daten neu verschlüsselt werden damit dieser berücksichtigt wird.

 

Gruß

Willow

[Marco1000 10]

Mit anderen Worten habe ich jetzt die Karte mit dem Großen "A". Den das Tool EFSinfo sagt, das nur der User Zugriff hat!

 

PRIMA !

 

DANKE!

[grizzly999 11]

Wenn das efsinfo sagt, stimmt das im Allgemeinen. Und wenn der einzie Schlüssel weg ist, dann ist das insbesondere bei XP ... naja: aussichtslos.

Was mich dabei nur wundert: eine AD-Domäne hat immer standardmäßig einen DRA eingerichtet. Hat jemand in der Richtlinie das Zertifikat des DRA entfernt?

 

 

grizzly999

[dark knight 10]

HD raw sichern, recover möglich, aber nicht grantiert.

es geht- ist aber Aufwand.

[Marco1000 10]

Zu Grizzly999:

 

Das ist eine W2K Domäne und niemand ein Zertifikat gelöscht!

Wer ist denn dann i.d.R. der Agent. Der erste Administrator nicht wahr ?!

 

Zu dark knight:

Was mienst Du mit RAW Sichern ?