Hi!

Ich habe vor ein paar Tagen angefangen meine 558Gb-Ablage mit EFS zu verschlüsseln. Gleich nach 2-3 Dateien, kam ein Fenster aufgepoppt wo Vista mich fragte ob ich das Zertifikat sichern will---->Na logo!

Also ab auf den Stick.

Dann fuhr ich weiter fort....2 Tage lang. Denn 558GB sind dafür schon ne Menge.
Ich war dann fertig und kopierte das Zertifikat nun nocheinmal manuell auf den Stick. Alles ok.

Nunja...wie der Zufall es will, wollte ich heute dann ein PDF auf der Ablage öffnen was aber mit "Zugriff verweigert"-Fehler quittiert wurde. Egal was ich öffnen will............überall "Zugriff verweigert"!


Hmm...ok..denk nochmal nach. Wo ist der Fehler von dir???
Dann kam es in mir hoch. Ich hatte beim erneuten Kopieren des Zertifikates das "alte Zertifikat" überschrieben.
War das der Grund? Wer hat nun Tips und Tricks für mich, um mein "kleines" Problem zu lösen?

mfg

Erledigt.........nochmal Schwein gehabt! :biggrin:
Eine erneutes Importieren des "neuen" Zertifikates auf dem USB-Stick nebst Neustart hat Erleichterung gebracht.

mfg

Das self signed certificate wird exakt einmal pro User für EFS angelegt.
Es ist an den Account gebunden und wird immer dann benutzt, wenn der FEK verschlüsselt werden muss.

Gruß,
QFT

was passiert denn im falle einer formatierung?
der account wird dann bestimmt nicht mehr derselbe sein, oder?
wie kommt man an die daten ran?

Es gibt immer zwei Schlüssel für EFS einmal den vom User und dann noch einen Masterkey

und mit dem masterkey kann ich die daten wieder entschlüsseln nachdem ich windows neu aufgesetzt hab?
d.h ich könnte die platte auch in einen anderen rechner stecken und könnte die daten einsehen?

Jup.

Das Masterzertifikat kannst du aber nur mit einem Commandshell Befehl erzeugen und den hab ich vergessen, nutzt in der Praxis kaum Jemand das EFS weil du nur deine Daten verschlüsseln kannst aber nicht deine Struktur.

Wenn du nur neu Installieren willst müsste dir auch das normale Zertifikat reichen das kannst du übern Internet Explorer expertieren und vergiss nicht den Private key mitzunehmen.

Es gibt immer zwei Schlüssel für EFS einmal den vom User und dann noch einen Masterkey

Bullshit.

Schlicht und ergreifend einfach falsch.
Lies die Paper zu EFS durch, was du nichtgemacht hast, dann wüsstest du es.

ja leute was denn jetzt?

weil du nur deine Daten verschlüsseln kannst aber nicht deine Struktur.
was für struktur?
bitte etwas genauer erklären.

Wenn du nur neu Installieren willst müsste dir auch das normale Zertifikat reichen das kannst du übern Internet Explorer expertieren und vergiss nicht den Private key mitzunehmen.

keine ahnung wovon du redest.
ich hab mit vista und efs nichts zu tun.
es interessiert mich einfach nur etwas.

was für struktur?
bitte etwas genauer erklären.Du sieht noch die ganzen Ordnernamen und Dateinamen. Nur die Dateiinhalte sind verschlüsselt.
Bei Aktueller Kinofilm.avi bringt EFS also nur wenig.

Du sieht noch die ganzen Ordnernamen und Dateinamen. Nur die Dateiinhalte sind verschlüsselt.
Bei Aktueller Kinofilm.avi bringt EFS also nur wenig.sicherlich bringt es was da der inhalt der datei zählt und sofern niemand das efs zertifikat hat, können auch gewisse behörden etc nichts dagegen tun...


@3d
gerade für den fall einer formatierung oder eines systemcrashs etc SOLL man eben jenes benutzerzertifikat sichern, dieses lässt sich dann auch problemlos in ein frisch installiertes (windows) system importieren und du hast wieder wie gewohnt zugriff auf deine daten!
ein sogenannter masterkey ist mir absolut nicht bekannt und mir ist auch schleierhaft woher joe das nun hat?!

ohne das benutzerzertifikat siehst du die dateistruktur, kannst aber die daten nicht nutzen (weder anschauen, noch manipulieren etc)...und wieso das ein grund sein sollte weshalb efs anscheinend in der praxis nicht genutzt wird (was mir recht neu ist) weiss ich auch nicht...eine dateistruktur macht leute höchstens neugierig, damit anfangen können sie trotzdem nichts

Du sieht noch die ganzen Ordnernamen und Dateinamen. Nur die Dateiinhalte sind verschlüsselt.
Bei Aktueller Kinofilm.avi bringt EFS also nur wenig.sicherlich bringt es was da der inhalt der datei zählt und sofern niemand das efs zertifikat hat, können auch gewisse behörden etc nichts dagegen tun...


@3d
gerade für den fall einer formatierung oder eines systemcrashs etc SOLL man eben jenes benutzerzertifikat sichern, dieses lässt sich dann auch problemlos in ein frisch installiertes (windows) system importieren und du hast wieder wie gewohnt zugriff auf deine daten!
ein sogenannter masterkey ist mir absolut nicht bekannt und mir ist auch schleierhaft woher joe das nun hat?!

ohne das benutzerzertifikat siehst du die dateistruktur, kannst aber die daten nicht nutzen (weder anschauen, noch manipulieren etc)...und wieso das ein grund sein sollte weshalb efs anscheinend in der praxis nicht genutzt wird (was mir recht neu ist) weiss ich auch nicht...eine dateistruktur macht leute höchstens neugierig, damit anfangen können sie trotzdem nichts

ohne das benutzerzertifikat siehst du die dateistruktur, kannst aber die daten nicht nutzen (weder anschauen, noch manipulieren etc)

Ein bisher schönes Posting, Gast, aber an einer Stelle muss ich nachbessern:

EFS sichert die Inhalte der Datei, nicht die Datei selbst.
Die Datei kann manipuliert werden, sprich der Ciphertext kann verändert werden, wenn dies nicht durch ACEs in den ACLs unterbunden wird.
Darauf weißt MS auch in den diversen Paper über EFS immerwieder hin.

Gruß,
QFT

Erledigt.........nochmal Schwein gehabt! :biggrin:
Eine erneutes Importieren des "neuen" Zertifikates auf dem USB-Stick nebst Neustart hat Erleichterung gebracht.

mfg
Dann ist eFS eine neue Verschlüsselung um Daten zu schützen...like winrar?

Nein, winrar verschlüsselt die Dateien symmetrisch. Der Schlüssel zur Entschlüsselung und der Schlüssel für die Verschlüsselung sind identisch.
EFS ist ein hybrides Verfahren.
Es wird ein selbstsigniertes Public-Key Zertifikat generiert, also ein selbstunterschriebener öffentlicher Schlüssel mit dem dazugehörigen privaten Schlüssel.
Um eine Datei zu verschlüsseln wird nun ein zufälliger Dateiverschlüsselungsschlüssel generiert (File Encryption Key = FEK). Mit diesem verschlüsselt man die Datei. Danach wird der FEK mit dem öffentlichen Teil des Users asymmetrisch verschlüsselt und der verschlüsselte FEK im Header der verschlüsselten Datei abgelegt.
Beim öffnen und entschlüsseln muss also erst der verschlüsselte FEK entschlüsselt werden, was nur mit dem privaten Schlüssel des obigen Zertifikats klappt.

Ein bisher schönes Posting, Gast, aber an einer Stelle muss ich nachbessern:

EFS sichert die Inhalte der Datei, nicht die Datei selbst.
Die Datei kann manipuliert werden, sprich der Ciphertext kann verändert werden, wenn dies nicht durch ACEs in den ACLs unterbunden wird.
Darauf weißt MS auch in den diversen Paper über EFS immerwieder hin.
jo danke...

wie ich auf das manipulieren gekommen bin weiss ich nun auch nicht :) der schreibwahn....


hm du meinst mit ace sicher die entries...ist das als sicherheit nicht eh umgehbar? sogar recht leicht ;)

Bullshit.

Schlicht und ergreifend einfach falsch.
Lies die Paper zu EFS durch, was du nichtgemacht hast, dann wüsstest du es.

Es gibt immer min. ein DDF und immer ein DRF!
Man merkt sich nicht viel über EFS weils in der Praxis einfach scheisse ist.
Aber wenn man sich was merkt (Prüfung) dann is das Das.

Hör auf rumzutrollen.

Es gibt immer min. ein DDF und immer ein DRF!
Man merkt sich nicht viel über EFS weils in der Praxis einfach scheisse ist.
Aber wenn man sich was merkt (Prüfung) dann is das Das.

Hör auf rumzutrollen.

Joe,

der Troll hatte leider Recht und du hast diesen Teil der Prüfung bestimmt nicht mit Glanz bestanden.
Es gibt bei 2000 und XP unterschiedliche EFS Implementierungen (von mir immer als Killerfeature von XP gegenüber 2000 verkauft).
Entfernst du bei einem Standalone 2000 (kein Mitglied einer Domäne) den letzten Wiederherstellungsagenten (DRA), dann funktioniert EFS nicht mehr.
Bei XP, selbe Bedingungen wie oben, ist dies nicht mehr der Fall. Wenn ich der Public-Key Policy den letzten DRA entferne, dann funktioniert EFS einwandfrei und eben OHNE DRA.
Und das hat der "Troll" richtiggestellt und das war deine nicht ganz korrekte Behauptung.
Und btw: EFS ist ausgesprochen praxistauglich und ich kenne viele Unternehmen, die es verwenden.

Gruß,
QFT

:massa:

Okok ich zieh mich ja schon in mein Exchange Kämmerchen zurück :)

Dann ist eFS eine neue Verschlüsselung um Daten zu schützen...like winrar?
Nein, gibt´s schon seit Windows 2000 und funktioniert völlig anders, aber das hat QFT schon erklärt.