Windows-Zertifikat <-> wer kennt sich aus?

Hi,

ich bin am Probieren und man lernt am Besten durch Try and Error, nur leider komm ich jetzt nicht mehr weiter.

Folgendes Szenario:

- 2 Rechner mit WinXP Prof. SP1 - wir nennen sie mal Client&Server

- auf dem Server gibt es auf einen Ordner eine Windowsfreigabe (extra User mit spez. Recht darf darauf über LAN zugreifen)

- habe dort diesen Ordner verschlüsselt (Rechtsklick auf Ordner--> Allgemein->Erweitert->Inhalt verschlüsseln ....

- Ordner werden auf Server nun grün angezeigt und Zertifikat wurde auf Server erstellt

- dieses exportiert und auf Client importiert

- trotzdem kann ich die verschlüsselten Dateien mit dem Client nicht öffnen?



Muss ich da noch irgendwas einstellen. Sagt mir nicht, dass auf beiden Rechnern der gleiche User/Rechnername existieren muss ... dann is das Schrott!


Bitte um fachmännische Hilfe

Gruß
Hawkmr

So wie Du denkst funktioniert EFS nicht. Warum verschlüsselst Du es überhaupt? Die Verschlüsselung wird absichtlkich nur von den "Professional" Versionen eingesetzt. Und die werden für gewöhnlich in Domänen eingesetzt, wo die Benutzerauthentifizierung nem Domain Controller obliegt.
In Deinem Fall obliegt die Authentifizierung aber dem lokalen SAM. Benutzer sind einmalig auf jedem Rechner, inkl. Ihrer Zertifikate fürs EFS. Daher kannste nen EFS Ordner nicht einfach auf nen anderen Rechner kopieren und mit dem dortigen Benutzer den Ordner öffnen.

Gesetzt der Fall, dass Du das richtige Zertifikat exportiert haste, damit kenn ich mich leider nicht gut genug aus, sollte es theoretisch gehen. Aber ich bin sicher, Franzkat wird sich hier bald zu Wort melden, vielleicht kann er helfen. Der kennt sich mit EFS offensichtlich besser aus. Ich gelobe Besserung, wenn ich Zeit finde
Hab um Zertifikate und Root CAs und wie sie alle heißen bisher nen größtmöglichen Bogen gemacht... *fg*

Danke erstmal für die Info..aber wieso kann man Zertifikate exportieren? Nur als Sicherheit, für den Fall das der Rechner neu aufgesetzt werden muss? Da ändert sich ja dann auch schon Einmaligkeit eines Users trotz z.B. gleichem Namen ?!

Ja, allerdings dachte ich, EFS wäre nur abhängig vom Zertifikat. Wenn das natürlich anders ist, laut Franzkat ist es auch vom Benutzerpasswort usw. abhängig, dann bringt der Export natürlich wenig. Aber wie gesagt, mir fehtl da derzeit der Durchblick, sry.

IMHO sieht es so aus : Unter XP wird - im Gegensatz zu Win 2000 - der Admin nicht automatisch als Wiederherstellungsagent betrachtet; man muss also einen Benutzer des XP-Rechners als Wiederherstellungsagent festlegen.Auf diese Weise ist sichergestellt, dass eine rettende Entschlüsselung verschlüsselter Dateien auch dann noch stattfinden kann, wenn einem Benutzer sein (zur Entschlüselung der von ihm verschlüsselten Dateien benötigter) privater Schlüssel abhanden gekommen sein sollte.

Ist der Windows XP-PC in ein Netzwerk eingebunden, in dem sich ein CA befindet, kann EFS auch auf dessen Dienste zur Zertifikatsverwaltung zurückgreifen.

Wenn man auf die rettende Hilfe eines Wiederherstellungsagenten bauen möchte, dann muss ein Benutzer als solcher festgelegt werden, bevor Dateien mit Hilfe von EFS verschlüsselt werden.

Denn : Legt ein Admin für einen Benutzer, der sein Kennwort vergessen hat, ein neues Kennwort fest, dann geht dadurch unter anderem der von EFS verwendete private Schlüssel und somit alle Informationen verloren, die diesem Benutzer eine Entschlüsselung seiner Dateien ermöglichen.

franzkat schrieb:

Denn : Legt ein Admin für einen Benutzer, der sein Kennwort vergessen hat, ein neues Kennwort fest, dann geht dadurch unter anderem der von EFS verwendete private Schlüssel und somit alle Informationen verloren, die diesem Benutzer eine Entschlüsselung seiner Dateien ermöglichen.

Zum Vergrößern anklicken....

Und wie sieht das jetzt aus, wenn der Benutzer sein Passwort selbst ändert? Dann bleibt das Zertifiakt aber schon gültig oder? Wär ja sonst dämlich, wenn ich alle 48 Tage rechtzeitig alle Dateien entschlüsseln, mein Passwort ändern und dann wieder alle verschlüsseln müsste.

>>Und wie sieht das jetzt aus, wenn der Benutzer sein Passwort selbst ändert?

Dann funktioniert EFS weiterhin. Wenn der Benutzer sein Passwort NACH der Verschlüsselung der 1sten Datei X-mal geändert hat, und ein Admin ihm ein Neues verpasst, dann hat der Benutzer erst wieder Zugriff auf seine verschlüsselten Dateien, indem er sein Passwort auf eines der X Verwendeten zurückändert (Die größe von X weiß ich auch nicht, 7 funktionierten bei Tests aber).

Allerdings sollte man bei Wichtigen Dateien gleich beim Verschlüsseln einen weiteren Benutzer eintragen der ebenfalls darauf Zugriff haben soll. Dieser muss jedoch ein eigenes Zertifikat besitzen, d.h. mindestens eine Verschlüsselte Datei erstellt haben. Dann läßt sich dieser unter Details hinzufügen. Bei einem Profilcrash sind dann keine Orgien nötig, einfach ein Neues anlegen, eine Dummy-Datei verschlüsseln und mit dem 2ten Konto dann das Neue Zertifikat hinzufügen.

Außerdem ist EFS erst nach einiger Zeit wirklich Sicher:
Selbst in einem Ordner der die Eigenschaften "Verschlüsselt" besitzt, werden Neue Daten zunächst unverschlüsselt gespeichert. Danach verschlüsselt EFS die Datei und löscht die Kopie. Ein weiterer Benutzer könnte nun auf die Idee kommen mit einem "Undelete-Tool" oder Diskeditor diese unverschlüsselte Datei wiederherzustellen - liegt der Verschlüsselte Ordner auf einer wenig genutzten Partition klappt das unter Umständen noch nach Monaten

J3x

Ein weiterer Punkt ist auch wichtig, wenn man solche Tools wie EFS Key(lostpassword) oder Advanced EFS Data Recovery (Elcomsoft) einsetzt. Das Windows-System, auf dem die EFS-Verschlüsselung durchgeführt wurde, muss noch verhanden sein, sonst funktionieren diese Tools nicht.

Beispiel 1:

Ich habe eine Partition C: (Systempartition) und D: (logisches Laufwerk).
Ich verschlüssele unter C: Dateien, speichere diese auf D: und designiere keinen Wiederherstellungsagenten. Anschließend installiere ich auf C: das Windows-System neu -> In diesem Fall können mir die Utulities nicht mehr helfen.

Beispiel 2:

Wieder dieselbe Ausgangssituation, aber : Das Passwort wird versehentlich vom Administrator geändert . In diesem Fall können die Tools die verschlüsselten Dateien entschlüsseln, wenn ich unter XP das Kennwort für den ursprünglichen Account weiß. Bei W2K geht es sogar auch ohne das Kennwort.

Was macht das 2te Beispiel für einen Sinn? Wenn es versehentlich geändert wurde kommt der Benutzer durch Zurücksetzen seines Kennworts wieder an seine Daten. Weiß er das Passwort nicht nutzen ihm die Tools laut deines Beipiels auch nichts. Irgendwie scheinen Deine Finger heute etwas zu schnell zu sein 'bg'

J3x

....kommt der Benutzer durch Zurücksetzen seines Kennworts wieder an seine Daten

Zum Vergrößern anklicken....

Wenn er die Berechtigung dazu hat sicherlich. Das wird aber in vielen Fällen nicht gegeben sein.

Eher unwahrscheinlich das ein Benutzer sein Kennwort nicht ändern darf. Die Regel wird wohl eher sein, das er sein Passwort alle xx Tage ändern muss. Anderenfalls dürfte er wohl auch keine Daten verschlüsseln. Bei Kündigung/Ableben/Rente des Benutzers kanns der Admin ja wieder zurücksetzen.

J3x

Holla .. da hab ich ja was aufgerissen ... muss wohl noch mehr ausprobieren als gedacht.

Danke erstmal für die Infos...

Gruß
Hawkmr