none
Probleme mit EFS-Verschlüsselung RRS feed

  • Frage

  • Hallo in die Runde,

    ich habe ein Problem mit mehreren Windows 10 Rechnern, bei denen sensible Daten per EFS verschlüsselt werden, damit sie nicht in falsche Hände fallen, wenn mal ein Laptop entwedet werden sollte. Konkret geht es um einen Ordner auf der Festplatte, der per DriveOnWeb (einem Cloudspeicheranbieter) mit Daten in der Cloud synchron gehalten wird. Also im Grunde die gleiche Funktionsweise wie Dropbox oder Onedrive etc.

    Wir haben in der Vergangenheit unter Windows 7 einfach dem lokalen Ordner das Verschlüsselungsflag verpasst, den Client gestartet und alles funktionierte wie erwartet: Dateien die lokal erstellt wurden, werden lokal verschlüsselt und entschlüsselt in die Cloud geladen, Dateien die auf anderen PCs erstellt wurden, wurden vom DOW-Client heruntergeladen und verschlüsselt in den lokalen Ordner gelegt. Seit dem Wechsel auf Windows 10 funktioniert dies nicht mehr, da nur noch lokal erstellte Dateien verschlüsselt werden, alles was der Client herunterläd bleibt unverschlüsselt bis manuell nachgeholfen wird (verschlüsselungsflag entfernen und neu setzen). Das ist natürlich mühsam und wir suchen nach Abhilfe. Herausgefunden habe ich inzwischen, dass es ziemlich sicher nichts mit Zone Identifiern und Alternativen Datenströmen (ADS) zu tun hat, da unabhängig von Dateityp und vorhandensein von ADS nicht verschlüsselt wird. Das gleiche Verhalten tritt übrigens auch mit dem offiziellen Dropbox Client oder auch beim  Herunterladen von Dateien per Mozille Firefox auf. Hier hat schon einmal jemand das gleiche Problem geschildert: https://answers.microsoft.com/en-us/windows/forum/windows_10-files/windows-10-download-folder-and-encrypted-file/7a0fb6fc-0d34-416f-b186-0678883099ab

    Interessant ist allerdings auch, dass dieses Verhalten nur auftritt, wenn sich der verschlüsselte Ordner auf C:\ befindet. Ordner auf anderen Partitionen oder externen Laufwerken scheinen nicht betroffen zu sein. Leider haben wir nicht auf allen unseren Geräten eine zweite Datenpartition eingerichtet und der Aufwand einer Verkleinerung der Systempartition um Platz zu schaffen scheint mir groß und mit gewissen Risiken behaftet. Das würde ich gern umgehen.

    Hat irgendjemand eine Idee in welche Richtung ich forschen könnte, um dieser Sache auf den Grund zu gehen? Der Mitarbeiter an der Windows Support Hotline war gerade jedenfalls überfragt.

    Vielen Dank im Voraus und beste Grüße,

    Moritz

    Mittwoch, 12. Dezember 2018 15:33

Alle Antworten

  • Am 12.12.2018 schrieb Moritz-W:

    ich habe ein Problem mit mehreren Windows 10 Rechnern, bei denen sensible Daten per EFS verschlüsselt werden, damit sie nicht in falsche Hände fallen, wenn mal ein Laptop entwedet werden sollte. Konkret geht es um einen Ordner auf der

    Was spricht gegen Bitlocker? Ist doch bei W10 Pro schon dabei und kann
    on the fly aktiviert werden.
    https://www.gruppenrichtlinien.de/de/artikel/bitlocker-mit-tpm-einrichten-speicherung-des-wiederherstellungsschluessel-im-active-directory/

    Servus
    Winfried


    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren:
    https://github.com/JochenKalmbach/communitybridge
    GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

    Mittwoch, 12. Dezember 2018 18:06
  • Hi Winfried,

    danke für die schnelle Antwort. Über Bitlocker haben wir auch nachgedacht. Dagegen spricht, dass es eine Nummer invasiver als EFS ist. Wir arbeiten mit einigen Freelancern zusammen, die ihre eigene Hardware einsetzen. Mit EFS verpflichten wir diese Nutzer nur dazu,  einzelne für uns relevante Ordner zu verschlüsseln. Was mit anderen Daten auf dem PC passiert ist nicht unser Bier. Setzen wir Bitlocker ein, wird alles mitverschlüsselt, wenn ich das recht verstanden habe. Wenn dann mal ein Rechner abraucht würde das bedeuten, dass wir Hilfe bei der Widerherstellung der Daten leisten müssten, was auf Grund von räumlicher Ferne wohl schweirig werden könnte. Unsere Daten müssen nicht wiederhergestellt werden, da sie ohnehin in die Cloud synchronisiert werden. Uns geht's also nur darum, die Daten vor fremdem Zugriff zu schützen. Und als letztes haben wir auf mindestens 2 Rechnern den Fall, dass die Hardware von mehr als einem User genutzt wird. Bei Bitlocker ist die Verschlüsselung ja nicht an die Windows-Anmeldung gebunden, die anderen User hätten also potenziell Zugriff auf die Daten, was eine Verletzung des NDA bedeuten würde...

    Mir wäre es wirklich am liebsten das EFS Feature würde einfach so weiterfunktionieren, wie bisher. Wir sind damit die letzten Jahre eigentlich sehr gut gefahren...

    Viele Grüße,

    Moritz


    • Bearbeitet Moritz-W Donnerstag, 13. Dezember 2018 02:53
    Donnerstag, 13. Dezember 2018 02:52