hi

ich hab hier eine externe usb-platte, deren daten ich mittels ntfs verschlüsselt habe, falls mir die platte mal gezockt wird. an den angeschlossenen rechnern funktioniert das auch soweit ganz gut. allerdings habe ich zuhause mehrere rechner, mit denen ich auf diese platte gleichzeitig zugreifen möchte, bzw. nicht immer die platte umstecken möchte, wenn ich an nem anderen rechner sitze. doch sobald ich übers netz auf das laufwerk zugreifen möchte, bekomme ich eine fehlermeldung (den genauen wortlaut weiß ich jetzt grad nicht). benutzer sind auf allen rechnern identisch, und der verschlüsselungs-schlüssel ist auch auf allen rechnern installiert. lokal angeschlossen klappt der zugriff.
gibts da irgendwo vielleicht eine sicherheitsrichtlinie, die den netzwerkzugriff verhindert?

Hast Du schon probiert die USB Platte als Netzwerklaufwerk zu mounten ? Oder klappt auch schon der Zugriffversuch nicht ?

das verbinden mit einem laufwerksbuchstaben funktioniert. ich kann auch das inhaltsverzeichnis der platte aufrufen. nur der zugriff auf die verschlüsselten dateien geht nicht, unverschlüsselte dateien lassen sich dagegen (logischerweise) normal öffnen.

Du mußt einen EFS Recovery Agent (für verschlüsselte Dateien) erstellen.



Login as Administrator

Go to Start/Run and type in cmd and click OK.
At the prompt type cipher /r:Eagent and press enter

This prompt will then display:

Please type in the password to protect your .PFX file:

Type in your Administrator password
Re-confirm your Administrator password

The prompt will then display

Your .CER file was created successfully.
Your .PFX file was created successfully.

The Eagent.cer and Eagent.pfx files will be saved in the current directory that is shown at the command prompt. Example: The command prompt displays C:\Documents and Settings\admin> the two files are saved in the admin folder. (For security concerns, you should house the two files in your Administrator folder or on a floppy disk).

Go to Start/Run and type in certmgr.msc and click OK. This will launch the Certificates Manager. Navigate to Personal and right click on the folder and select All Tasks/Import. The Certificate Import Wizard will appear. Click Next. Browse to the C:\Documents and Settings\admin folder. In the Open dialog box, change the Files of Type (at the bottom) to personal Information Exchange (*.pfx,*.P12). Select the file Eagent.pfx and click Open. Click Next. Type in your Administrator password (leave the two checkboxes blank) and click Next. Make sure the Radio button is active for the first option (Automatically select the certificate store based on the type of certifcate). Click Next. Click Finish. (You'll receive a message that the import was successful). To confirm the import, close Certificates Manager and re-open it. Expand the Personal folder and you will see a new subfolder labeled Certificates. Expand that folder and you will see the new entry in the right side column. Close Certificate Manager.

Go to Start/Run and type in secpol.msc and click OK. This will launch the Local Security Policy. Expand the Public Key Policies folder and then right click on the Encrypted File System subfolder and select Add Data Recovery Agent... The Wizard will then display. Click Next. Click the Browse Folders... button. Browse to the C:\Documents and Settings\admin folder. Select the Eagent.cer file and click Open. (The wizard will display the status User_Unknown. That's ok). Click Next. Click Finish. You will see a new entry in the right side column. Close the Local Security Policy.

Quelle: TweakXP.com (http://www.tweakxp.com/article37355.aspx)


Als ich eine alte Festplatte in einen anderen PC eingebaut hatte und an eine Datei ran wollte, die ich per EFS verschlüsselte, funktionierte das einwandfrei.

Weitere Infos: http://support.microsoft.com/default.aspx?scid=kb;en-us;887414
http://www.msdn.microsoft.com/library/default.asp?url=/library/en-us/dnsecure/html/WinNETSrvr-EncryptedFileSystem.asp
http://support.microsoft.com/default.aspx?scid=kb;en-us;255742

EFS ist ergo nicht sonderlich gut geeignet, um sensible Daten vor unerlaubten Zugriff zu schützen.

das mit der pfx-datei hatte ich vorher schon gemacht. ich hab jetzt zusätzlich nochmal die cer-datei bei den sicherheitsrichtlinien importiert (auf beiden rechnern), es funktioniert aber trotzdem nicht.
wenn ich die festplatte an den 2. rechner anschliesse, kann ich auf die verschlüsselten daten zugreifen, sobald ich das zertifikat importiert habe. möchte ich aber auf die verschlüsselte datei übers netzwerk zugreifen, bekomme ich nur die fehlermeldung "zugriff verweigert".
allerdings hat das ganze wohl nichts speziell mit der usb-platte zu tun, auch auf verschlüsselte dateien auf fest eingebauten platten kann ich nicht übers netz zugreifen.

hab ich noch irgendwo was übersehen? das ist jetzt auf beiden rechnern vorhanden:

http://www.derrob.de/images/certmgr.gif

http://www.derrob.de/images/secpol.gif

Natürlich muss neben dem Zertifikat auch der dazugehörige User auf allen Rechnern existieren.

das tut er natürlich auch, auf beiden rechnern ist der gleiche benutzer mit dem gleichen passwort angelegt, netzwerkzugriffe auf unverschlüsselte dateien funktionieren einwandfrei.

Natürlich muss neben dem Zertifikat auch der dazugehörige User auf allen Rechnern existieren.
Nein, das spielt keine Rolle, da die SIDs eh verschieden wären.


Rob, ich, hatte das nicht richtig gelesen gehabt, der Teil mit dem EDRA war doch nicht nötig - ich hab gedacht es ging zunächst darum, daß du auf die Platte an einem anderen PC angeschlossen keinen Zugriff hast. :redface:

Was wichtig ist, damit das ganze überhaupt klappt, ist das auf dem PC, der die Freigabe macht, die Zertifikate + privater Schlüssel der anderen Benutzer importierst.

Selber damit Erfahrungen hab ich allerdings auch nicht - macht meiner Meinung nach auch nicht sonderlich viel Sinn, EFS und Netzwerk-Freigabe. Den Zugriff kann man über die Sicherheitsrichtlinien steuern und EFS ist mit dem Recovery Agent auch umgangen werden kann.

Jeder PC der auf die Platte zugreifen will braucht ein Benutzerkonto mit den entsprechenden Schlüsseln und der Rolle als Wiederherstelleungs-Agent.
Obs übers Netz überhaupt geht, wage ich zu bezweifeln...

Obs übers Netz überhaupt geht, wage ich zu bezweifeln...
In einer Domäne auf jeden Fall.

p.s.
Remote EFS operations on files stored on network file shares are possible in Windows 2000 or later domain environments only.
http://www.microsoft.com/resources/documentation/Windows/XP/all/reskit/en-us/Default.asp?url=/resources/documentation/Windows/XP/all/reskit/en-us/prnb_efs_umpb.asp

Impersonifikation erfordert Kerberos, welches in
Arbeitsgruppenumgebungen nicht verwendet wird.