guybrush 19 Geschrieben 20. Juni 2005 Melden Teilen Geschrieben 20. Juni 2005 hallo boarders! ich wende mich wieder hilfesuchend an euch ;-) wenn ich auf einem lokalen rechner (laptop, wegen mobilität nicht in der domäne sondern autark in einer ag) daten mit efs verschlüssele und das passwort von dem user ändere, ist dann auf die daten nicht mehr zuzugreifen oder hab ich das falsch im kopf? wer ist auf einer einzelnen maschine der wiederherstellungsagent? der benutzer der efs verwendet ist selbst in der gruppe der administratoren (der automatisch bei der inst. angelegte administrator ist noch vorhanden). ganz dunkel glaube ich mich zu erinnern, daß erst eine richtlinie aktiviert werden musste. falls dem so ist, kann ich das im nachhinein noch machen? wie schaut es mit der sicherheit von efs aus? jetzt würde ich aber gerne nur wirklich technische antworten hören, nichts wie "es gibt keine wirkliche sicherheit" - das ist mir selber auch bewusst ;-) welchen verschlüsselungsalgorithmus verwendet efs? wie lange würde es dauern, den zu knacken (~)? vielen dank schon mal für eure antworten, ich weiss die hilfe echt zu schätzen wünsche noch einen "netten" montag ;-) mfg roat Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 20. Juni 2005 Melden Teilen Geschrieben 20. Juni 2005 Ich fange mit der Sicherheit an. EFS ansich, von XP und 2003, sind sehr sicher. Sie verwenden beide eine 256 AES Verschlüsselung (XP seit SP1), ist derzeit eigentlich nicht knackbar. Zahlenbeispiele habe ich keine, aber glaube mir, du kannst alle Rechner dieser Erde parallel rechnen lassen, und die Sonne wird ein weißer Zwerg werden, bevor die alle Kombinationen durch haben. Die Sicherheit liegt vor allem in den Kennwörtern. MIt Brute Force ein Kennwort geknackt, und ich melde mich als DER Benutzer an, dann habe ich auch die verschlüsselten Daten. Wenn ein Admin das kennwort zurücsetz, wars das auch mit den verschlüsselten Daten. Nur der Benutzer selber kann das Kennwort unbeschadet ändern. Einen Wiederherstellungsagenten (DRA, Data Recovery Agent) gibt es bei XP Standalone nicht meh, demnach kann nur der Benutzer ..... Man kann nachträglich einen DRA per GPO hinzufügen, muss vorher aber ihm ein entsprechendes Zertifikat basteln, war glaube ich mit "cipher -r". Die zuvor bereits verschlüsselten Daten kriegt er natürlich nicht geöffnet. Wenn man mit EFS auf dem Standalone XP arbeitet, empfiehlt sich, alle Zertifikate mit samt dem private Key zu exportieren und auf CD zu brennen. So zur Sicherheit ;) grizzly999 Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 20. Juni 2005 Autor Melden Teilen Geschrieben 20. Juni 2005 hallo grizzly! vielen dank für die äußerst aufschlussreiche antwort - genau das wollt ich hören. meine passwörter bruten? nie im leben - mein derzeitiges ist ~25 zeichen lang mit sonderzeichen und buchstaben, da bin ich ein bissl paranoid. wenn du sagst, daß nur der benutzer selber sein pw ändern kann, gilt das ja auch für z.b.: den erdcommander oder den cia commander. gibts da auch keinen workaround, sich mit solchen tools irgendwie dem schlüssel zu bemächtigen? ich habe zwar keine geheimen staatspapiere auf meinem rechner, aber halt meine privaten daten, an die keiner kommen sollte. ein verlust meines lappies wäre fatal, aber ich könnte doch noch ruhig mit meinem streamertape unterm kopfpolster schlafen, wenn ich wüsste, daß niemand an mein zeug kommt... mfg hannes Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.