none
Ordner verschlüsseln RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    kennt jemand ein Windows Boardmittel oder eine externe Software mit der ich folgendes machen kann.

    Ordner verschlüsseln und einem bestimmten Dienst erlauben auf diesen Ordner zuzugreifen. Aber nur dieser Dienst darf drauf zugreifen, sonst niemand, nicht mal der Admin. Müsste über ein Kennwort oder ein Zertifikat gehen.

    Montag, 30. Mai 2011 20:50
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    wenn du von Verschlüsseln sprichst, reden wir bei Windows Bordmitteln von EFS.
    http://de.wikipedia.org/wiki/Encrypting_File_System

    Verschlüsseln kann hier immer ein User.
    Wenn dieser speziell für den Dienst angelegt wird, sollte es also kein Problem sein.

    Es gibt natürlich tonnenweise Verschlüsselungstools und Drittanbietersoftware,
    aber wir gesagt direkt zum Verschlüsseln im OS, gibt es AFAIK nur EFS.

    http://technet.microsoft.com/de-de/library/cc162818.aspx

    Montag, 30. Mai 2011 21:28
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

     

    die Idee hatt ich auch schon nur da gibt es doch das Problem mit dem Admin oder?

    Kann der nicht einfach das Kennwort dieses Benutzers zurücksetzen und sich dann selbst mit diesen Benutzer anmelden? Schon könnte er doch auf die Dateien zugreifen oder?

    Dienstag, 31. Mai 2011 10:29
    |
  • Discussion
    Anmelden
    0
    Anmelden

    >Kann der nicht einfach das Kennwort dieses Benutzers zurücksetzen und sich dann selbst mit diesen Benutzer anmelden? Schon könnte er doch auf die Dateien zugreifen oder?

    Nein. Nur wenn der Benutzer das Kennwort selbst ändert, funktionieren die EFS Verschlüsselten Dateien noch.

    Allerdings gibt es in der Regel einen Recovery Agent.

    Mehr siehe hier:
    http://social.technet.microsoft.com/Forums/de-CH/windows_Serverde/thread/a2e81df8-2697-42eb-91d3-1ac7bc36db6d

    Dienstag, 31. Mai 2011 19:46
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Ah ok Danke für die Info.

    Werde mir das mal genauer anschauen, so wie ich es aber verstanden habe kann nur der Benutzer an die Daten, vorausgesetzt es wurde zuvor keine DRA definiert?!

    Mittwoch, 1. Juni 2011 12:15
    |
  • Discussion
    Anmelden
    0
    Anmelden

    >vorausgesetzt es wurde zuvor keine DRA definiert?!

    Richtig.

    Per Default wird aber der Built-In Administrator der Domäne eingetragen.

     

    Mittwoch, 1. Juni 2011 13:37
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    der Default Admin kann aber geändert werden. Damit dieser entschlüsseln kann, muss das Recovery Agent Zertifikat noch da sein. Das liegt im Benutzerprofil des Administrators auf dem ersten Server (DC) der installiert wurde. Ich kenn aber ´kaum eine Umgebung, bei der dieses Profil noch vorhanden ist ...

    Um das Thema neu zu konfigurieren, brauchst du erst mal eine PKI. Mit dieser kannst du dann einen neuen Recovery Agenten festlegen und diesem Konto das passende Zertifikat ausstellen. Zur sicherheit sollte das Zertifikat nach ausstellung exportiert und extern aufbewahrt werden. Wenn dieses Zertifikat entsprechend geschützt ist (vier-augen-kennwort etc.) kann niemand einfach so verschlüsselte Dateien öffnen. Der öffentliche Schlüssel wird dann in der GPO als Recovery Agent hinterlegt.

    Dann brauchst du eine Vorlage für efs und verteilst die Zertifikate per GPO an die Benutzer. Danach können diese mit efs arbeiten.

    Für eine hohe Sicherheit bietet sich an, die Zertifikate auf einer Smartcard abzulegen.

    Eine mögliche alternative für den Recovery Agenten ist die Schlüsselarschivierung auf der CA. Damit können Zertifikate wiederhergestellt werden. Dafür sind aber zwei Parteien nötig. Wir haben also hier auch eine Rollentrennung und einer alleine kann keinen Schlüessel wiederherstellen.

     

    Viele Grüße Carsten
    Mittwoch, 1. Juni 2011 17:40
    |