DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 223316 - Geändert am: Freitag, 26. Oktober 2007 - Version: 12.1

Dieser Artikel wurde zuvor veröffentlicht unter D41504
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
223316  (http://support.microsoft.com/kb/223316/EN-US/ ) Best practices for the Encrypting File System
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Zusammenfassung

In Microsoft Windows haben Sie die Möglichkeit, Daten auf Datenträgern, die das NTFS-Dateisystem verwenden, direkt zu verschlüsseln und somit zu verhindern, dass andere Benutzer diese Daten verwenden können. Sie können Dateien und Ordnern verschlüsseln, indem Sie im Dialogfeld Eigenschaften für das Objekt ein entsprechendes Attribut festlegen.

Da der Verschlüsselungs-/Entschlüsselungsvorgang für Benutzer transparent ist, sollten Sie sicherstellen, dass Organisationen, die Dateiverschlüsselung nutzen möchten, hierfür strenge Richtlinien erlassen.

Weitere Informationen

Nachstehend werden die diesbezüglichen Standardvorgehensweisen beschrieben:
  • Leiten Sie die Benutzer an, ihre Zertifikate und privaten Schlüssel auf Wechselmedien zu exportieren und die Medien an einem sicheren Ort aufzubewahren, wenn sie nicht verwendet werden. Der private Schlüssel muss immer vom Computer entfernt werden, wenn dieser nicht verwendet wird, um höchstmögliche Sicherheit zu gewährleisten. Dies stellt einen Schutz gegen Angreifer dar, die sich physisch Zugang zum Computer verschaffen und versuchen, auf den privaten Schlüssel zuzugreifen. Wenn Zugriff auf die verschlüsselten Dateien benötigt wird, kann der private Schlüssel auf einfache Weise von dem Wechselmedium importiert werden.
  • Verschlüsseln Sie den Ordner "Eigene Dateien" für alle Benutzer (Benutzerprofil\Eigene Dateien). Dadurch ist gewährleistet, dass der persönliche Ordner, in dem die meisten Dokumente gespeichert werden, standardmäßig verschlüsselt ist.
  • Leiten Sie die Benutzer dazu an, niemals einzelne Dateien, sondern komplette Ordner zu verschlüsseln. Programme verarbeiten Dateien auf unterschiedliche Weise. Durch eine konsistente Verschlüsselung von Dateien auf Ordnerebene ist gewährleistet, dass Dateien nicht unerwarteterweise entschlüsselt werden.
  • Die Wiederherstellungszertifikaten zugeordneten privaten Schlüssel sind streng vertraulich. Diese Schlüssel müssen entweder auf einem physisch gesicherten Computer erstellt oder ihre Zertifikate in eine PFX-Datei exportiert werden, die durch ein starkes Kennwort geschützt ist, und auf einer Diskette gespeichert werden, die an einem sicheren physischen Ort aufbewahrt wird.
  • Wiederherstellungsagentenzertifikate müssen speziellen Wiederherstellungsagentenkonten zugewiesen werden, die nur diesem Zweck dienen.
  • Zerstören Sie Wiederherstellungszertifikate oder private Schlüssel nicht, wenn Wiederherstellungsagenten geändert werden. (Agenten werden regelmäßig geändert.) Bewahren Sie alle Zertifikate und Schlüssel auf, bis alle Dateien, die mit deren Hilfe verschlüsselt worden sein könnten, aktualisiert wurden.
  • Legen Sie für jede Organisationseinheit (Organizational Unit, OU) - je nach deren Größe - zwei oder mehr Wiederherstellungsagentenkonten fest. Bestimmen Sie mindestens zwei Computer für die Wiederherstellung, einen für jedes festgelegte Wiederherstellungsagentenkonto. Gewähren Sie den entsprechenden Administratoren Berechtigungen zur Verwendung der Wiederherstellungsagentenkonten. Sie sollten zwei Wiederherstellungsagentenkonten haben, um über Spielraum für die Dateiwiederherstellung zu verfügen. Wenn zwei Computer mit diesen Schlüsseln zur Verfügung stehen, bietet dies mehr Spielraum für die Wiederherstellung verloren gegangener Daten.
  • Implementieren Sie ein Archivprogramm für Wiederherstellungsagenten, um zu gewährleisten, dass verschlüsselte Dateien mithilfe alter Wiederherstellungsschlüssel wiederhergestellt werden können. Wiederherstellungszertifikate und private Schlüssel müssen auf kontrollierte und sichere Art und Weise exportiert und gespeichert werden. Idealerweise sollten Archive (wie alle besonders zu schützenden Daten) in einem besonders gesicherten Tresor verwahrt werden. Zudem sollten Sie über zwei Archive verfügen: ein Masterarchiv und eine Sicherungskopie. Das Masterarchiv wird vor Ort verwahrt, während die Sicherungskopie an einem sicheren anderen Standort aufgehoben wird.
  • Vermeiden Sie die Verwendung von Druckerwarteschlangendateien in Ihrer Druckerserverarchitektur, oder stellen Sie sicher, dass Druckerwarteschlangendateien in einem verschlüsselten Ordner generiert werden.
  • Das Verschlüsseln und Entschlüsseln einer Datei durch einen Benutzer im Verschlüsselnden Dateisystem (Encrypting File System = EFS) erfordert einige CPU-Kapazität. Planen Sie Ihre Serverauslastung umsichtig. Führen Sie einen Lastenausgleich für Ihre Server durch, wenn viele Clients das Verschlüsselnde Dateisystem verwenden.

Aktivieren der Dateifreigabe mit Verschlüsselndem Dateisystem

In Microsoft Windows XP unterstützt EFS die gemeinsame Nutzung von verschlüsselten Dateien durch mehrere Benutzer. Mit dieser Unterstützung können Sie einzelnen Benutzern die Berechtigung geben, auf eine verschlüsselte Datei zuzugreifen. Die Möglichkeit, zusätzliche Benutzer hinzuzufügen, ist auf einzelne Dateien beschränkt. Unterstützung mehrerer Benutzer für Ordner wird weder in Microsoft Windows 2000 noch in Windows XP geboten. Auch die Verwendung von verschlüsselten Dateien durch Gruppen wird von EFS nicht unterstützt.

Nachdem eine Datei verschlüsselt wurde, wird die Dateifreigabe über eine neue Schaltfläche der Benutzeroberfläche aktiviert. Eine Datei muss erst verschlüsselt und dann gespeichert werden, bevor zusätzliche Benutzer hinzugefügt werden können. Benutzer können entweder von dem lokalen Computer aus oder vom Active Directory-Verzeichnisdienst aus hinzugefügt werden, wenn der Benutzer über ein gültiges Zertifikat für EFS verfügt. Die Möglichkeit, zusätzliche Benutzer hinzuzufügen, ist auf einzelne Dateien beschränkt. Mehrere Benutzer für verschlüsselte EFS-Ordner werden nicht unterstützt. Außerdem können nur einzelne Benutzer den Dateien hinzugefügt werden. Die Verwendung von verschlüsselten Dateien durch Gruppen wird von EFS nicht unterstützt.

Informationen über die Aktivierung der EFS-Verschlüsselung für Ordner und Dateien finden Sie im Abschnitt "Verschlüsseln und Entschlüsseln mithilfe des Verschlüsselnden Dateisystems".

Verschlüsseln einer Datei für mehrere Benutzer

Hinweis: Dieses Verfahren gilt nur für Windows XP. Sie können in Windows 2000 eine Datei nicht für mehrere Benutzer verschlüsseln.

Gehen Sie hierzu folgendermaßen vor:
  1. Starten Sie Microsoft Windows Explorer, und wählen Sie anschließend die verschlüsselte Datei, der Sie zusätzliche Benutzer hinzufügen möchten.
  2. Klicken Sie mit der rechten Maustaste auf die verschlüsselte Datei, und klicken Sie anschließend auf Eigenschaften.
  3. Klicken Sie auf Erweitert, um auf die EFS-Einstellungen zuzugreifen.
  4. Klicken Sie auf Details, um zusätzliche Benutzer hinzuzufügen.
  5. Klicken Sie auf Hinzufügen. Das Dialogfeld Hinzufügen zeigt alle anderen EFS-fähigen Zertifikate in Ihrem privaten Speicher oder die anderer Benutzer, die sich möglicherweise in Ihren Zertifikatsspeichern "Andere Personen" und "Vertrauenswürdige Personen" befinden.

    Wenn der Benutzer, den Sie hinzufügen möchten, nicht angezeigt wird, klicken Sie auf Benutzer suchen, um Active Directory zu durchsuchen. Das Fenster Benutzer wählen wird geöffnet. Ein Dialogfeld zeigt gültige EFS-Zertifikate in Active Directory basierend auf Ihren Suchkriterien an. Wenn für diesen Benutzer kein gültiges Zertifikat gefunden wird, wird eine Meldung angezeigt, die besagt, dass für den ausgewählten Benutzer keine entsprechenden Zertifikate vorhanden sind. In diesem Fall müssen Ihnen die vorgesehenen Benutzer eine Kopie ihres Zertifikats senden, das Sie wiederum importieren müssen. Sie können sie dann Ihrer verschlüsselten Datei hinzufügen.
  6. Wählen Sie das Zertifikat des Benutzers aus, den Sie hinzufügen möchten, und klicken Sie anschließend auf OK. Sie kehren zur Registerkarte Details zurück. Die Registerkarte zeigt die verschiedenen Benutzer an, die Zugriff auf die verschlüsselte Datei haben, und die EFS-Zertifikate der Benutzer.
  7. Wiederholen Sie diesen Vorgang, bis Sie alle gewünschten Benutzer hinzugefügt haben. Klicken Sie auf OK, um die Änderung zu registrieren und fortzufahren.
Hinweis: Jeder Benutzer, der eine Datei entschlüsseln kann, kann auch andere Benutzer entfernen, wenn der Benutzer, der entschlüsselt, auch über Schreibberechtigungen für die Datei verfügt.

Verschlüsseln und Entschlüsseln mithilfe des Verschlüsselnden Dateisystems

In den folgenden Schritten wird eine Datei oder ein Ordner mithilfe des Verschlüsselnden Dateisystems (Encrypting File System, EFS) verschlüsselt und entschlüsselt.

Hinweis: Diese Richtlinien gelten für Windows 2000 und Windows XP.

Verschlüsseln eines Ordners

Sie können Dateien einzeln verschlüsseln, es wird jedoch dringend empfohlen, einen spezifischen Ordner für das Speichern der verschlüsselten Daten festzulegen.

Verschlüsseln eines Ordners und seiner Inhalte


Sie können Dateien einzeln verschlüsseln, es ist jedoch generell empfehlenswert, spezifische Ordner festzulegen, in denen Sie Ihre verschlüsselten Dateien speichern, und diesen Ordner zu verschlüsseln. Wenn Sie dies tun, erhalten alle Dateien, die in diesem Ordner erstellt bzw. in diesen Ordner verschoben werden, automatisch das verschlüsselte Attribut.

Gehen Sie folgendermaßen vor, um einen Ordner und seine derzeitigen Inhalte zu verschlüsseln:
  1. Klicken Sie mit der rechten Maustaste auf den zu verschlüsselnden Ordner, und klicken Sie anschließend auf Eigenschaften.
  2. Klicken Sie im Dialogfeld Eigenschaften auf Erweitert.
  3. Das Dialogfeld Erweiterte Attribute zeigt Attributoptionen für die Komprimierung und Verschlüsselung an. Dieses Dialogfeld enthält außerdem Archiv- und Indexattribute.

    Hinweis: Obwohl das NTFS-Dateisystem sowohl Komprimierung als auch Verschlüsselung unterstützt, unterstützt es diese jedoch nicht gleichzeitig. Das bedeutet, dass Sie nur einen der beiden Vorgänge auswählen können. Eine Datei oder ein Ordner kann nicht gleichzeitig verschlüsselt und komprimiert werden.

    Um den Ordner zu verschlüsseln, aktivieren Sie das Kontrollkästchen Inhalt verschlüsseln, um Daten zu schützen, und klicken Sie anschließend auf OK.
  4. Klicken Sie auf OK, um das Dialogfeld Erweiterte Attribute zu schließen.
  5. Wenn der in Schritt 1 bis 3 zum Verschlüsseln gewählte Ordner bereits Dateien enthält, wird das Dialogfeld Änderungen der Attribute bestätigen angezeigt.

    Sie können auswählen, dass nur der Ordner verschlüsselt wird, sodass alle Dateien, die nachfolgend in den Ordner verschoben oder in dem Ordner erstellt werden, verschlüsselt werden. Wenn Sie auch alle Inhalte in diesem Ordner verschlüsseln möchten, klicken Sie auf Änderungen für diesen Ordner, Unterordner und Dateien übernehmen und dann auf OK.

Entschlüsseln eines Ordners

Um einen Ordner zu entschlüsseln, wenden Sie im Prinzip denselben Vorgang an, nur in umgekehrter Reihenfolge:
  1. Klicken Sie mit der rechten Maustaste auf den zu entschlüsselnden Ordner, und klicken Sie anschließend auf Eigenschaften.
  2. Klicken Sie auf Erweitert.
  3. Deaktivieren Sie das Kontrollkästchen Inhalt verschlüsseln, um Daten zu sichern, um die Daten zu entschlüsseln.
  4. Klicken Sie auf OK, um das Dialogfeld Erweiterte Attribute zu schließen.
  5. Klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schließen.
  6. Wenn der Ordner Dateien enthält, wird das Dialogfeld Änderungen der Attribute bestätigen angezeigt. Sie haben die Möglichkeit, nur den Ordner zu entschlüsseln. Dadurch werden jedoch die Dateien, die sich derzeit in dem Ordner befinden, nicht entschlüsselt.

    Wenn Sie auch alle Inhalte in diesem Ordner entschlüsseln möchten, klicken Sie auf Änderungen für diesen Ordner, Unterordner und Dateien übernehmen und dann auf OK.

Weitere Informationen

Verschlüsseln von Dateien

Dateien werden durch die Verwendung von Algorithmen verschlüsselt, die Daten im Wesentlichen neu anordnen, vermischen und codieren. Ein Schlüsselpaar wird nach dem Zufallsprinzip erzeugt, wenn Sie Ihre erste Datei verschlüsseln. Dieses Schlüsselpaar besteht aus einem privaten und einem öffentlichen Schlüssel. Das Schlüsselpaar wird zum Verschlüsseln und Entschlüsseln der verschlüsselten Dateien verwendet.

Wenn das Schlüsselpaar verloren geht oder beschädigt wird und Sie keinen Wiederherstellungsagenten bestimmt haben, besteht keine Möglichkeit, die Daten wiederherzustellen.

Notwendigkeit der Sicherung Ihrer Zertifikate

Da es keine Möglichkeit gibt, Daten wiederherzustellen, die mit einem beschädigten oder fehlenden Zertifikat verschlüsselt wurden, ist es von enormer Wichtigkeit, dass Sie die Zertifikate sichern und an einem sicheren Ort aufbewahren. Sie können auch einen Wiederherstellungsagenten festlegen. Dieser Agent kann die Daten wiederherstellen. Das Zertifikat des Wiederherstellungsagenten dient einem anderen Zweck als das Zertifikat des Benutzers.

Sichern Ihres Zertifikats

Gehen Sie folgendermaßen vor, um Ihre Zertifikate zu sichern:
  1. Starten Sie Microsoft Internet Explorer.
  2. Klicken Sie im Menü Extras auf Internetoptionen.
  3. Klicken Sie auf der Registerkarte Inhalte unter Zertifikate auf Zertifikate.
  4. Klicken Sie auf die Registerkarte Eigene Zertifikate.

    Hinweis: Es sind möglicherweise mehrere Zertifikate vorhanden, abhängig davon, ob Sie Zertifikate für andere Zwecke installiert haben.
  5. Wählen Sie jeweils ein Zertifikat aus, bis das Feld Beabsichtigte Zwecke des Zertifikats den Eintrag Verschlüsselndes Dateisystem anzeigt. Das ist das Zertifikat, das beim Verschlüsseln Ihres ersten Ordners erzeugt wurde.
  6. Klicken Sie auf Exportieren, um den Zertifikatsexport-Assistent zu starten, und klicken Sie dann auf Weiter.
  7. Klicken Sie auf Ja, privaten Schlüssel exportieren, um den privaten Schlüssel zu exportieren, und klicken Sie anschließend auf Weiter.
  8. Klicken Sie auf Verstärkte Sicherheit aktivieren und dann auf Weiter.
  9. Geben Sie Ihr Kennwort ein. (Sie benötigen ein Kennwort, um den privaten Schlüssel zu schützen.)
  10. Geben Sie den Pfad an, in dem Sie den Schlüssel speichern möchten. Sie können den Schlüssel auf einer Diskette, an einem anderen Speicherort auf der Festplatte oder auf einer CD speichern. Wenn auf der Festplatte ein Fehler auftritt oder sie neu formatiert wird, gehen Schlüssel und Sicherungskopie verloren. (Wenn Sie den Schlüssel auf einer Diskette oder einer CD sichern, müssen Sie diese Diskette oder CD an einem sicheren Ort aufbewahren.)
  11. Geben Sie den Zielspeicherort an, und klicken Sie anschließend auf Weiter.
Weitere Informationen über das Verschlüsselnde Dateisystem finden Sie auf folgender Website von Microsoft:
Encrypting File System in Windows 2000 (Verschlüsselndes Dateisystem in Windows 2000)
http://www.microsoft.com/technet/security/prodtech/windows2000/w2kccadm/dataprot/w2kadm21.mspx (http://www.microsoft.com/technet/security/prodtech/windows2000/w2kccadm/dataprot/w2kadm21.mspx)

Encrypting File System in Windows XP and Windows Server 2003 (Verschlüsselndes Dateisystem in Windows XP und Windows Server 2003)
http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx (http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx)

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
Keywords: 
kbhowto kbinfo kbenv kbproductlink KB223316
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store
Folgen Sie uns: