EFS Verschlüsselte Datei von Windows XP auf Windows 2003

Dieses Thema EFS Verschlüsselte Datei von Windows XP auf Windows 2003 im Forum "Netzwerk" wurde erstellt von Lumpi2001, 10. Okt. 2005.

Thema: EFS Verschlüsselte Datei von Windows XP auf Windows 2003 Hallo Liebe leute, Ich habe hier ein kleines Problem wo ich hoffe ihr könntet mir helfen.... Also folgender Maßen...

  1. Hallo Liebe leute,

    Ich habe hier ein kleines Problem wo ich hoffe ihr könntet mir helfen....

    Also folgender Maßen

    Habe ein Testsystem Eingerichtet

    Windows 2000 Domain Server
    Windows 2003 Fileserver
    Windows XP Pro. CLient

    Und folgende User Exisitieren auf der Domain

    WXP = User
    Administrator = Der jenige welcher halt  

    Nun ist es so das ich ein bischen mit der integrierten EFS verschlüsselung von Windows rumprobieren soll, und ich im mom versuche, verschlüsselte Daten vom Windows Xp Client als User in der Domain zum Windows 2003 Sever zu schieben.

    Dieses macht er allerdings nicht, ohne mir vorher den Hinweis zu geben das er die Daten nur Unverschlüsselt übermitteln kann, und diese vorher Entschlüsseln muss.

    Wenn die Daten sich auf dem Fileserver befinden, und ich will sie über den User auf dem Xp Client Verschlüsseln funktioniert dieses auch nicht.

    Allerdings wenn ich mich als Administrator auf der XP Maschiene anmelde funktioniert alles ohne Probleme.

    Ich habe über den 2000 Servern allen Rechnern das Vertrauen ausgesprochen, habe schon versucht in der Registery den EFS Schlüssel zu bearbeiten, den User nahezu alle Rechte gegeben, und trotzdem krieg ich immernoch den selben Fehler.

    Wass ist mein Elementarer fehler?

    Bitte helft mir .......   :-[
     
  2. Moin moin,

    bin bei mir in der Firma grad selber am verschlüsseln der ganzen Notebooks... (habe aber auch ein ähnliches Problem http://www.wintotal-forum.de/index.php/topic,93793.0.html)

    Fragen:
    Verschlüsselst du nur normale Clients (ich meine Desktops) oder auch Notebooks?
    Werden einzelne Ordner oder im Prinzip die ganze Platte verschlüsselt?
    Hat der user WXP Vollzugriff, sprich volle Rechte, auf dem Ordner?
    Schonmal versucht den WXP user zur Gruppe der lokalen Administratoren zu adden?
    Unter welchem user warst du angemeldet als du die Daten verschlüsselt hast?
    Welche Attribute besitzt der Ordner auf dem Fileserver (vorab verschlüsselt oder komprimiert)?


    Zur Verschlüsselung an sich:
    Ein Auszug aus meiner Beschreibung von EFS für einen Firmen Kollegen (Namen angepasst):

    Nach der Verschlüsselung ist das Arbeiten mit den Daten aus dem Userverzeichnis nur noch möglich wenn man an dem Rechner mit dem Account des User und seinem Passwort angemeldet ist.
    Ist man mit einem anderen User, z.B. install-User oder dem lokalen Administrator angemeldet hat man keinen Zugriff auf die Daten. (keine lese oder schreibrechte - nur löschen und kopieren möglich)
    Somit hat ein Dieb keine Möglichkeit die Daten einzulesen solange er nicht das Passwort des User besitzt.

    Ist man als User angemeldet läuft der Ver-/Entschlüsselungsprozess beim Arbeiten folgendermaßen ab:
    Durch das anmelden mit dem Account des Users über den das Verzeichnis verschlüsselt wurde, wird der im Betriebssystem hinterlegte Schlüssel aktiviert.
    Wenn man nun eine verschlüsselte Datei öffnet wird diese entschlüsselt in den Arbeitsspeicher gelegt. Man kann nun ganz normal damit arbeiten.
    Wird eine Datei auf einen externen Datenträger (CD-Rom, Netzlaufwerk, ...) verschoben oder kopiert passiert das selbe: Die Datei wird entschlüsselt im Arbeitsspeicher abgelegt und weiter gesendet.
    Somit liegt die Datei nun unverschlüsselt auf dem ausgewählten Medium vor und jeder der Zugriff auf den Ordner oder den Datenträger hat kann mit der Datei arbeiten.

    Die Datensicherung auf das Sicherungs-Laufwerk ist auch davon betroffen. Daten können entweder nur verschlüsselt oder nur komprimiert werden.
    (..Inhalt entfernt..)

    Das Verzeichnis wieder Entschlüsseln kann nur der User selber oder der Recovery-Agent welcher in Unserer Domäne nur einmal existiert.

    Bei einem totalen Festplattencrash wird es dadurch etwas schwerer an die Daten heran zu kommen. Daher ist eine regelmäßige Sicherung der Daten auf ein Netzlaufwerk immer noch das wichtigste!



    Ich muss dazu sagen das wir den lokalen Administrator komplett von den Berechtigungen auf den verschlüsselten Ordner entfernt haben. Für gewöhnlich hat dieser ja sonst immer die Möglichkeit die Daten wieder zu entschlüsseln. Das wollten wir aber vermeiden da das Passwort von lokalen Usern schneller geknackt werden kann. Deshalb gibt es ja in einem Active Directory den Recovery-Agent der in jedem verschlüsselungszertifikat mit drinnen hängt solange die Verschlüsselung an dem Rechner durchgeführt wurde während er an der Domäne angemeldet war.



    Hoffe ich konnte dir ein bisschen weiter helfen. Vielleicht hast du auch selber schon das Problem gelöst.
    Ich bleib am Ball! :)

    Grüßle Benny
     
  3. Hi Benny, also ich bin das Problem erstmal umgangen indem ich den User in der Domain gelöscht habe und nen neuen Angelegt habe.

    Jetzt ist es mir möglich Daten zu Ver und zu Entschlüsseln, und diese auf dem Fileserver zu verschieben.

    Zu Deinen Fragen:

    Ich Verschlüssele nur Testhalber Clients, da wir bei uns in der Firma unsere EFS möglichkeiten effizienter nutzen wollen.

    Es werden nur einzelne Ordner, Beziehungsweise Dateien verschlüsselt.

    Der user hat volles zugriffsrecht.

    WO soll ich den User in die Gruppe lokaler Admins ziehen? auf dem Fileserver?, das ist etwas was ich meiden will, da es zwar in der Testumgebung eine Maßnahme wäre im Unternehmen allerdings ein Kaos.

    Mit dem user WXP war ich beim Verschlüsseln bzw Verschieben eingeloggt.

    Der Ordner auf dem Fileserver ist weder Verschlüsselt noch Komprimiert.

    Danke auch für deines Ausführliche Doku,

    musst wissen bin Azubi im ersten seit 01.08 und ganz frisch in der Materie, EFS mach ich erst bissel seit 2 Wochen, allerdings haben sich schon die ein oder anderen Sachen auch für mich ergeben.

    Bei der sicherung verschlüsselter Daten auf Bandlaufwerken bleibt die Verschlüsselung vorhanden (Getstet an einem älteren Bandlaufwerk).
    Daten auf Band geschoben, gelöscht und wieder hergestellt.

    In meiner Domain macht der 2000 Domainserver die meisten Probleme, da er offensichtlich mit einer anderen EFS Version läuft, was zur folge hat das es nicht möglich ist vom Server trotz Zertifikate auf Verschlüsselte Dateien von anderen Usern zuzugreifen und andersherum, sobald man sich allerdings mit dem Domain-Admin auf einem 2003 Server bzw einem Xp Client anmeldet funktioniert auch das ohne Probleme.

    Ich frage mich auch warum bei der certmgr.msc auf dem 2000 System keine Zertifikate angezeigt werden, obwohl er mir bestätigt hat das die Zertifikate Importiert werden .

    Genauso ist es mir noch nicht ganz klar wieso die 2003 und Xp Versionen nicht abwährts kompatibel sind, wovon man doch eigentlich ausgehen sollte.

    Und wie kann man in der Registry es einrichten, das ich alle auf die Windoes 2000 EFS version Runterschrauben kann?.

    Hatte da zwar schon 1-2 methoden, aber beide waren nicht so der reisser.

    Gruß Kai
     
  4. Hi Kai,

    schließe mich dir an: Bin auch Azubi, allerdings 2. Lehrjahr. Mit EFS schlage ich mich auch erst seit ca. 3 Monaten rum. Kann dir also auch nur das mitteilen was ich mir in der Zeit selber beigebracht habe.


    Zitat: WO soll ich den User in die Gruppe lokaler Admins ziehen? auf dem Fileserver?, das ist etwas was ich meiden will, da es zwar in der Testumgebung eine Maßnahme wäre im Unternehmen allerdings ein Kaos.

    Ich meinte damit auf dem Client selber in die Gruppe Administratoren. Ist aber nicht zwingend notwendig. Sieht man auch daran das es mit dem neuen User den du angelegt hast geklappt hat.

    Das die Daten auf dem Streamerband verschlüsselt bleiben ist für mich auch was neues.. wieder was dazu gelernt! ;)


    Für mich ist die ganze Sache gerade etwas undurchsichtig. Was willst du eigentlich genau mit den verschlüsselten Daten anfangen? Willst du es so einrichten das bestimmte User alle verschlüsselten Daten von jedem user öfnnen können? Oder bereitet dir die Sicherung noch Kopfschmerzen??

    Ich bin aber auch gerade etwas zerstreut und tu mich etwas schwer mit den Zusammenhängen! Liegt wohl daran das ich noch in der Firma sitz! ;)

    Das mit dem certmgr die importierten Zertis nicht angezeigt werden kann ich gerade nicht bestätigen. Werd ich glei mal ausprobieren...
    (gerade ausprobiert: :D) Bei mir wird jedes importierte Zertifikat angezeigt (unter dem Ordner: eigene Zertifikate, bzw. Personal)

    Mit der kompatibilität der EFS Versionen kann ich leider nicht weiterhelfen da ein Azubi in unserer großen Firma einfach Null Rechte hat überhaupt was an der Serverstruktur zu ändern. ( Kotzt mich jedesmal aufs neue an..)

    Und mit der Registry hab ich diesbezüglich auch Null ahnung. Was waren denn das für Methoden?
     
  5. Hey Benni also

    das mit dem certmgr ... du meinst aber bei einer 2000 Verson oder, den bei Xp und 2003 funzt es bei mir auch ohne Probleme.

    Als Azubi habe ich hier auch keine Rechte, aber in meiner 3 Server testumgebung bin ich mein eigener Herr :p

    Also was ich genau will sind 2 Dinge....

    Ich will das unser Administrator, der auf nem 2000 Domainserver Fährt die ganzen Daten im Notfall wieder entschlüsseln kann, auch von seinem System aus.
    Denn wenn man die  Exportierten Zertifikate im 2000 System reinpackt, dann kann der Administrator trotz Zertifikate nicht an die Verschlüsselten Daten dran, was eigentlich nicht sein darf.

    Naja werde die Komplette Umgebung nochmal neu Aufsetzen.. also

    2000 Domainserver mit  Administrator
    2003 Fileserver mit Domainuser Fileserver
    XP Pro Client mit User : User

    HOffe mal dann komme ich weiter.

    Werd dir auf jedenfall bericht erstatten
     
  6. Aso ja die Methoden in der Registry wenn man unter

    Regedit Current User\Software\Microsoft\WindowsNT\Current Version\EFS\CurrentKeys\ geht

    kann man da wohl einen Wert ergänzen, indem man angeben kann welche EFS Version genutzt werden soll.

    EFS Versionen

    EFS unterscheidet man zwischen 4 Versionen?.

    - Der ursprünglichen EFS Version mit einem 40bit Schlüssel
    - Der klassischen DES Version mit 56bit (Diese findet man in Windows 2000)
    - Der 3DES Version mit 112bit
    - Und der in den neuen Windows Versionen enthaltenen DESX Ausführung mit 120bit

    Die letzten beiden Versionen schützen vor Brut Force angriffen und sind deshalb zu empfehlen.

    Allerdings als einen Hexwert, und den Eintrag wo man diesen Punkt hinzufügen sollte gibt es noch nicht, der muss erst erstellt werden.

    Naja und des habe ich auch scho Versucht, allerdings ohne Größeren erfolg.
     
  7. soo endlich wieder daheim.

    certmgr: Argh.. ne habs an einer XP Kiste gemacht. Werds morgen aber gleich an einer 2000er nachholen!

    Will auch so ne Testumgebung! ;)

    Was du willst klingt alles sehr gut. Also auf einer 2000er Domäne sinnvoll. Wobei ich jetzt absolut nicht weiß ob da nicht auch einfach ein Recovery-Agent aktivierbar ist. Dann braucht man nicht so mit den Zertifikaten rumschmeißen, da dieser die automatisch bekommt wenn der rechner an der domäne hängt während gerade was verschlüsselt wird.


    Das mit der registry wäre auch für mich denk ich eine eventuelle Hilfe zu meinem Problem. Werde mal in der 128 Seiten langen Doku von MS suchen!...
    Den Ordner hatte ich auch schon gesehen allerdings wie du schon sagst ohne Werte.
    Mal schaun ob ich was zu dem Thema in Erfahrung bringen kann.

    Dann bin ich mal gespannt ob du das hinbekommst! Wünsch dir auf jeden Fall viel Erfolg!

    Bis moin...

    (.. musste heute feststellen wie nervig es ist 19,6 GB an Daten zu verschlüsseln! :D.. noch fieser wirds wenns über 9.000 Dateien sind.. :eek:.)
     
  8. Morgen,

    Also ich bin mir nicht ganz sicher ob das ganz einfach mit nem ernannten Recoverx Agent funzt, da es ja hier auch wieder das Problem der EFS Versionen gibt, den eigentlich ist der Admin einer 2000 Domaine ja schon Recovery Agent.
    Aber hier ist auch wieder das Problem des Zusammenspiels zwischen 2000 und 2003/XP :D

    Jo grosse Daten zu verschlüsseln ist sehr Zeitaufwendig, aber ist ja auch logisch, wenn jede einzelne Datei in den Arbeitsspeicher geladen werden muss.

    ................Erstmal einen Kaffe geholt und getz werd ich mich auch nochn bissel bezüglich EFS belesen und dann Alles was ich an meiner Testumgebung mache Dokumentieren, denn das ist alles total wieder´sprüchlich, in einer Umgebung wo ich gestern noch alles verschlüsseln konnte , habe ich nurnoch von einem Rechne rzugriff drauf :D ?:)

    Naja werd wie gesagt getz erstmal bissel an meiner Doku schreiben und mich dann weider an die Testumgebung machen.
     
  9. Hey ho,
    soo au mal wieder Zeit zu schreiben...

    Schau mal ob du den Recovery Agent Standartmäßig in der domain angelegt findest. Da ich ja leider keine Testumgebung hab kann ich da auch nur das sagen was ich mal irgendwo gelesen hab..

    Als nächstes werd ich mal das Problem mit der Kompatibilität der BS/EFS Versionen in Angriff nehmen. Aber morgen is bei mir Berufsschule angesagt.. :)

    habs jetzt mit den Zertis ausprobiert: Auf einer XPmaschine zertifikat von User ZZZ exportiert(beim exportieren Standarteinstellungen benutzt, private key mit exportiert), und unter USER XXX auf dem 2000er Rechner importiert.
    Zertifikat ist sichtbar. Also gehts bei mir in beide Richtungen (das es angezeigt wird).

    ABER jetzt kommts: ich konnte von der 2000er maschine aus die daten der XP maschine nicht öffnen obwohl ich das zerti importiert habe.
    Andersherum, also von der XP Maschine auf die verschlüsselten Daten auf der 2000er Maschine zuzugreifen funktioniert dagegen ohne Probleme.. Einfach das neuste Zerti importieren und gut ist.

    Hab das ganz mit 2 verschiedenen user ausprobiert.
    Also auf der XP Maschine wird immer der install-user verwendet, welche ein paar mehr rechte in der domäne hat. also eigentlich auf jedem Rechter Admin ist.
    Auf der 2000er meinen Account welcher domänen-weit nicht so viele Rechte aber natürlich am Rechner lokale Adminrechte besitzt.

    Das wird wohl das Ergebnis gewesen sein welches du mit deinem 2000er server hast.
    Also schauts so aus das wenn der 2000er auch ein 2003er wäre dann könntest mit dem Admin alle Zertis importieren und damit arbeiten.
    Wenns bei 2000 Server auch schon einen Recovery Agent gibt, dann versuchs mal mit dem.


    Die ganze Sache ist ganz schön verwirrend finde ich! :)
     
  10. :D jo so richtig mitkommen tuh ich da auch noch nicht, in meiner Testumgebung installieren sich noch die Doofen Auto updates, ich glaube heute komm ich nicht mehr dazu irgendwas da auszuprobieren.

    Aber ich werde auf jeden fall mal versuchen ob da was über den Recovery Agent zu machen ist. ;)
     
Die Seite wird geladen...

EFS Verschlüsselte Datei von Windows XP auf Windows 2003 - Ähnliche Themen

Forum Datum
EFS: Verschlüsselte Datei aus vollständigem Image ohne Restore holen Windows XP Forum 11. Dez. 2011
verschlüsselte dateien sind weg Datenwiederherstellung 9. Aug. 2009
Verschlüsselte Dateien retten Windows XP Forum 26. Apr. 2007
Verschlüsselte Dateien entschlüsseln Datenwiederherstellung 22. Apr. 2006
verschlüsselte Dateien entschlüsseln - Wie? Windows XP Forum 16. Nov. 2005