EFS Verschlüsselte Datei von Windows XP auf Windows 2003

Hallo Liebe leute,

Ich habe hier ein kleines Problem wo ich hoffe ihr könntet mir helfen....

Also folgender Maßen

Habe ein Testsystem Eingerichtet

Windows 2000 Domain Server
Windows 2003 Fileserver
Windows XP Pro. CLient

Und folgende User Exisitieren auf der Domain

WXP = User
Administrator = Der jenige welcher halt  

Nun ist es so das ich ein bischen mit der integrierten EFS verschlüsselung von Windows rumprobieren soll, und ich im mom versuche, verschlüsselte Daten vom Windows Xp Client als User in der Domain zum Windows 2003 Sever zu schieben.

Dieses macht er allerdings nicht, ohne mir vorher den Hinweis zu geben das er die Daten nur Unverschlüsselt übermitteln kann, und diese vorher Entschlüsseln muss.

Wenn die Daten sich auf dem Fileserver befinden, und ich will sie über den User auf dem Xp Client Verschlüsseln funktioniert dieses auch nicht.

Allerdings wenn ich mich als Administrator auf der XP Maschiene anmelde funktioniert alles ohne Probleme.

Ich habe über den 2000 Servern allen Rechnern das Vertrauen ausgesprochen, habe schon versucht in der Registery den EFS Schlüssel zu bearbeiten, den User nahezu alle Rechte gegeben, und trotzdem krieg ich immernoch den selben Fehler.

Wass ist mein Elementarer fehler?

Bitte helft mir .......   :-[

Moin moin,

bin bei mir in der Firma grad selber am verschlüsseln der ganzen Notebooks... (habe aber auch ein ähnliches Problem http://www.wintotal-forum.de/index.php/topic,93793.0.html)

Fragen:
Verschlüsselst du nur normale Clients (ich meine Desktops) oder auch Notebooks?
Werden einzelne Ordner oder im Prinzip die ganze Platte verschlüsselt?
Hat der user WXP Vollzugriff, sprich volle Rechte, auf dem Ordner?
Schonmal versucht den WXP user zur Gruppe der lokalen Administratoren zu adden?
Unter welchem user warst du angemeldet als du die Daten verschlüsselt hast?
Welche Attribute besitzt der Ordner auf dem Fileserver (vorab verschlüsselt oder komprimiert)?


Zur Verschlüsselung an sich:
Ein Auszug aus meiner Beschreibung von EFS für einen Firmen Kollegen (Namen angepasst):

Nach der Verschlüsselung ist das Arbeiten mit den Daten aus dem Userverzeichnis nur noch möglich wenn man an dem Rechner mit dem Account des User und seinem Passwort angemeldet ist.
Ist man mit einem anderen User, z.B. install-User oder dem lokalen Administrator angemeldet hat man keinen Zugriff auf die Daten. (keine lese oder schreibrechte - nur löschen und kopieren möglich)
Somit hat ein Dieb keine Möglichkeit die Daten einzulesen solange er nicht das Passwort des User besitzt.

Ist man als User angemeldet läuft der Ver-/Entschlüsselungsprozess beim Arbeiten folgendermaßen ab:
Durch das anmelden mit dem Account des Users über den das Verzeichnis verschlüsselt wurde, wird der im Betriebssystem hinterlegte Schlüssel aktiviert.
Wenn man nun eine verschlüsselte Datei öffnet wird diese entschlüsselt in den Arbeitsspeicher gelegt. Man kann nun ganz normal damit arbeiten.
Wird eine Datei auf einen externen Datenträger (CD-Rom, Netzlaufwerk, ...) verschoben oder kopiert passiert das selbe: Die Datei wird entschlüsselt im Arbeitsspeicher abgelegt und weiter gesendet.
Somit liegt die Datei nun unverschlüsselt auf dem ausgewählten Medium vor und jeder der Zugriff auf den Ordner oder den Datenträger hat kann mit der Datei arbeiten.

Die Datensicherung auf das Sicherungs-Laufwerk ist auch davon betroffen. Daten können entweder nur verschlüsselt oder nur komprimiert werden.
(..Inhalt entfernt..)

Das Verzeichnis wieder Entschlüsseln kann nur der User selber oder der Recovery-Agent welcher in Unserer Domäne nur einmal existiert.

Bei einem totalen Festplattencrash wird es dadurch etwas schwerer an die Daten heran zu kommen. Daher ist eine regelmäßige Sicherung der Daten auf ein Netzlaufwerk immer noch das wichtigste!


Ich muss dazu sagen das wir den lokalen Administrator komplett von den Berechtigungen auf den verschlüsselten Ordner entfernt haben. Für gewöhnlich hat dieser ja sonst immer die Möglichkeit die Daten wieder zu entschlüsseln. Das wollten wir aber vermeiden da das Passwort von lokalen Usern schneller geknackt werden kann. Deshalb gibt es ja in einem Active Directory den Recovery-Agent der in jedem verschlüsselungszertifikat mit drinnen hängt solange die Verschlüsselung an dem Rechner durchgeführt wurde während er an der Domäne angemeldet war.



Hoffe ich konnte dir ein bisschen weiter helfen. Vielleicht hast du auch selber schon das Problem gelöst.
Ich bleib am Ball!

Grüßle Benny

Hi Benny, also ich bin das Problem erstmal umgangen indem ich den User in der Domain gelöscht habe und nen neuen Angelegt habe.

Jetzt ist es mir möglich Daten zu Ver und zu Entschlüsseln, und diese auf dem Fileserver zu verschieben.

Zu Deinen Fragen:

Ich Verschlüssele nur Testhalber Clients, da wir bei uns in der Firma unsere EFS möglichkeiten effizienter nutzen wollen.

Es werden nur einzelne Ordner, Beziehungsweise Dateien verschlüsselt.

Der user hat volles zugriffsrecht.

WO soll ich den User in die Gruppe lokaler Admins ziehen? auf dem Fileserver?, das ist etwas was ich meiden will, da es zwar in der Testumgebung eine Maßnahme wäre im Unternehmen allerdings ein Kaos.

Mit dem user WXP war ich beim Verschlüsseln bzw Verschieben eingeloggt.

Der Ordner auf dem Fileserver ist weder Verschlüsselt noch Komprimiert.

Danke auch für deines Ausführliche Doku,

musst wissen bin Azubi im ersten seit 01.08 und ganz frisch in der Materie, EFS mach ich erst bissel seit 2 Wochen, allerdings haben sich schon die ein oder anderen Sachen auch für mich ergeben.

Bei der sicherung verschlüsselter Daten auf Bandlaufwerken bleibt die Verschlüsselung vorhanden (Getstet an einem älteren Bandlaufwerk).
Daten auf Band geschoben, gelöscht und wieder hergestellt.

In meiner Domain macht der 2000 Domainserver die meisten Probleme, da er offensichtlich mit einer anderen EFS Version läuft, was zur folge hat das es nicht möglich ist vom Server trotz Zertifikate auf Verschlüsselte Dateien von anderen Usern zuzugreifen und andersherum, sobald man sich allerdings mit dem Domain-Admin auf einem 2003 Server bzw einem Xp Client anmeldet funktioniert auch das ohne Probleme.

Ich frage mich auch warum bei der certmgr.msc auf dem 2000 System keine Zertifikate angezeigt werden, obwohl er mir bestätigt hat das die Zertifikate Importiert werden .

Genauso ist es mir noch nicht ganz klar wieso die 2003 und Xp Versionen nicht abwährts kompatibel sind, wovon man doch eigentlich ausgehen sollte.

Und wie kann man in der Registry es einrichten, das ich alle auf die Windoes 2000 EFS version Runterschrauben kann?.

Hatte da zwar schon 1-2 methoden, aber beide waren nicht so der reisser.

Gruß Kai

Hi Kai,

schließe mich dir an: Bin auch Azubi, allerdings 2. Lehrjahr. Mit EFS schlage ich mich auch erst seit ca. 3 Monaten rum. Kann dir also auch nur das mitteilen was ich mir in der Zeit selber beigebracht habe.


Zitat: WO soll ich den User in die Gruppe lokaler Admins ziehen? auf dem Fileserver?, das ist etwas was ich meiden will, da es zwar in der Testumgebung eine Maßnahme wäre im Unternehmen allerdings ein Kaos.

Ich meinte damit auf dem Client selber in die Gruppe Administratoren. Ist aber nicht zwingend notwendig. Sieht man auch daran das es mit dem neuen User den du angelegt hast geklappt hat.

Das die Daten auf dem Streamerband verschlüsselt bleiben ist für mich auch was neues.. wieder was dazu gelernt!


Für mich ist die ganze Sache gerade etwas undurchsichtig. Was willst du eigentlich genau mit den verschlüsselten Daten anfangen? Willst du es so einrichten das bestimmte User alle verschlüsselten Daten von jedem user öfnnen können? Oder bereitet dir die Sicherung noch Kopfschmerzen??

Ich bin aber auch gerade etwas zerstreut und tu mich etwas schwer mit den Zusammenhängen! Liegt wohl daran das ich noch in der Firma sitz!

Das mit dem certmgr die importierten Zertis nicht angezeigt werden kann ich gerade nicht bestätigen. Werd ich glei mal ausprobieren...
(gerade ausprobiert: ) Bei mir wird jedes importierte Zertifikat angezeigt (unter dem Ordner: eigene Zertifikate, bzw. Personal)

Mit der kompatibilität der EFS Versionen kann ich leider nicht weiterhelfen da ein Azubi in unserer großen Firma einfach Null Rechte hat überhaupt was an der Serverstruktur zu ändern. ( Kotzt mich jedesmal aufs neue an..)

Und mit der Registry hab ich diesbezüglich auch Null ahnung. Was waren denn das für Methoden?

Hey Benni also

das mit dem certmgr ... du meinst aber bei einer 2000 Verson oder, den bei Xp und 2003 funzt es bei mir auch ohne Probleme.

Als Azubi habe ich hier auch keine Rechte, aber in meiner 3 Server testumgebung bin ich mein eigener Herr

Also was ich genau will sind 2 Dinge....

Ich will das unser Administrator, der auf nem 2000 Domainserver Fährt die ganzen Daten im Notfall wieder entschlüsseln kann, auch von seinem System aus.
Denn wenn man die  Exportierten Zertifikate im 2000 System reinpackt, dann kann der Administrator trotz Zertifikate nicht an die Verschlüsselten Daten dran, was eigentlich nicht sein darf.

Naja werde die Komplette Umgebung nochmal neu Aufsetzen.. also

2000 Domainserver mit  Administrator
2003 Fileserver mit Domainuser Fileserver
XP Pro Client mit User : User

HOffe mal dann komme ich weiter.

Werd dir auf jedenfall bericht erstatten

Aso ja die Methoden in der Registry wenn man unter

Regedit Current User\Software\Microsoft\WindowsNT\Current Version\EFS\CurrentKeys\ geht

kann man da wohl einen Wert ergänzen, indem man angeben kann welche EFS Version genutzt werden soll.

EFS Versionen

EFS unterscheidet man zwischen 4 Versionen?.

- Der ursprünglichen EFS Version mit einem 40bit Schlüssel
- Der klassischen DES Version mit 56bit (Diese findet man in Windows 2000)
- Der 3DES Version mit 112bit
- Und der in den neuen Windows Versionen enthaltenen DESX Ausführung mit 120bit

Die letzten beiden Versionen schützen vor Brut Force angriffen und sind deshalb zu empfehlen.

Allerdings als einen Hexwert, und den Eintrag wo man diesen Punkt hinzufügen sollte gibt es noch nicht, der muss erst erstellt werden.

Naja und des habe ich auch scho Versucht, allerdings ohne Größeren erfolg.

soo endlich wieder daheim.

certmgr: Argh.. ne habs an einer XP Kiste gemacht. Werds morgen aber gleich an einer 2000er nachholen!

Will auch so ne Testumgebung!

Was du willst klingt alles sehr gut. Also auf einer 2000er Domäne sinnvoll. Wobei ich jetzt absolut nicht weiß ob da nicht auch einfach ein Recovery-Agent aktivierbar ist. Dann braucht man nicht so mit den Zertifikaten rumschmeißen, da dieser die automatisch bekommt wenn der rechner an der domäne hängt während gerade was verschlüsselt wird.


Das mit der registry wäre auch für mich denk ich eine eventuelle Hilfe zu meinem Problem. Werde mal in der 128 Seiten langen Doku von MS suchen!...
Den Ordner hatte ich auch schon gesehen allerdings wie du schon sagst ohne Werte.
Mal schaun ob ich was zu dem Thema in Erfahrung bringen kann.

Dann bin ich mal gespannt ob du das hinbekommst! Wünsch dir auf jeden Fall viel Erfolg!

Bis moin...

(.. musste heute feststellen wie nervig es ist 19,6 GB an Daten zu verschlüsseln! .. noch fieser wirds wenns über 9.000 Dateien sind.. .)

Morgen,

Also ich bin mir nicht ganz sicher ob das ganz einfach mit nem ernannten Recoverx Agent funzt, da es ja hier auch wieder das Problem der EFS Versionen gibt, den eigentlich ist der Admin einer 2000 Domaine ja schon Recovery Agent.
Aber hier ist auch wieder das Problem des Zusammenspiels zwischen 2000 und 2003/XP

Jo grosse Daten zu verschlüsseln ist sehr Zeitaufwendig, aber ist ja auch logisch, wenn jede einzelne Datei in den Arbeitsspeicher geladen werden muss.

................Erstmal einen Kaffe geholt und getz werd ich mich auch nochn bissel bezüglich EFS belesen und dann Alles was ich an meiner Testumgebung mache Dokumentieren, denn das ist alles total wieder´sprüchlich, in einer Umgebung wo ich gestern noch alles verschlüsseln konnte , habe ich nurnoch von einem Rechne rzugriff drauf ?

Naja werd wie gesagt getz erstmal bissel an meiner Doku schreiben und mich dann weider an die Testumgebung machen.

Hey ho,
soo au mal wieder Zeit zu schreiben...

Schau mal ob du den Recovery Agent Standartmäßig in der domain angelegt findest. Da ich ja leider keine Testumgebung hab kann ich da auch nur das sagen was ich mal irgendwo gelesen hab..

Als nächstes werd ich mal das Problem mit der Kompatibilität der BS/EFS Versionen in Angriff nehmen. Aber morgen is bei mir Berufsschule angesagt..

habs jetzt mit den Zertis ausprobiert: Auf einer XPmaschine zertifikat von User ZZZ exportiert(beim exportieren Standarteinstellungen benutzt, private key mit exportiert), und unter USER XXX auf dem 2000er Rechner importiert.
Zertifikat ist sichtbar. Also gehts bei mir in beide Richtungen (das es angezeigt wird).

ABER jetzt kommts: ich konnte von der 2000er maschine aus die daten der XP maschine nicht öffnen obwohl ich das zerti importiert habe.
Andersherum, also von der XP Maschine auf die verschlüsselten Daten auf der 2000er Maschine zuzugreifen funktioniert dagegen ohne Probleme.. Einfach das neuste Zerti importieren und gut ist.

Hab das ganz mit 2 verschiedenen user ausprobiert.
Also auf der XP Maschine wird immer der install-user verwendet, welche ein paar mehr rechte in der domäne hat. also eigentlich auf jedem Rechter Admin ist.
Auf der 2000er meinen Account welcher domänen-weit nicht so viele Rechte aber natürlich am Rechner lokale Adminrechte besitzt.

Das wird wohl das Ergebnis gewesen sein welches du mit deinem 2000er server hast.
Also schauts so aus das wenn der 2000er auch ein 2003er wäre dann könntest mit dem Admin alle Zertis importieren und damit arbeiten.
Wenns bei 2000 Server auch schon einen Recovery Agent gibt, dann versuchs mal mit dem.


Die ganze Sache ist ganz schön verwirrend finde ich!

jo so richtig mitkommen tuh ich da auch noch nicht, in meiner Testumgebung installieren sich noch die Doofen Auto updates, ich glaube heute komm ich nicht mehr dazu irgendwas da auszuprobieren.

Aber ich werde auf jeden fall mal versuchen ob da was über den Recovery Agent zu machen ist.

Hallo Benny,

Wie war dein Weekend

Also das Problem habe ich noch nicht gelösst.

Allerdings schonmal ein paar Infos zusammengetragen die ich niemandem Vorenthalten möchte.

EFS (Encrypting File System)

Ein von Microsoft in ihr Betriebssystem integriertes Produkt, welches es ermöglicht Daten und Ordner auf der Festplatte zu verschlüsseln und trotzdem weiterhin mit ihnen zu Arbeiten.


Funktionsweise von EFS

Die mit EFS zu verschlüsselnden Daten werden mit Hilfe eines durch den Usernamen und das Passwort generierten Zertifikates verschlüsselt.

Um zu gewährleistend das die Daten im Falle eines Systemabsturzes nicht verloren gehen während sie ver- bzw. entschlüsselt werden, werden Kopien der Daten erst komplett im Arbeitsspeicher verschlüsselt, und anschließend durch ihre Originale ersetzt.

Beim entschlüsseln lauft diese Prozedur Rückwärts ab, eine Kopie der verschlüsselten Daten wird in den Arbeitsspeicher geladen, dort mit Hilfe des Zertifikates entschlüsselt und anschließend durch die verschlüsselte Datei ersetzt.

Sicherheit

Die Zertifikate werden in einen Zertifikatstore geschoben, wo sie von einem Masterkey der sich alle 60 Tage neu generiert, und einem aus Passwort- und Benutzernamen abgeleiteten Schlüssel geschützt werden

Das Sicherungssystem von EFS ist gut durchdacht, und ohne das richtige Zertifikat, hat man keine Möglichkeit auf die verschlüsselten Daten zuzugreifen.

Was natürlich nicht nur positiv angesehen werden kann, denn wenn da, es bei einem Systemabsturz, oder einer Windows Neuinstallation dazu kommen kann das die Verschlüsselten Daten nicht mehr abrufbar sind, da das Zertifikat beschädigt, zerstört oder gelöscht wurde.

Für so einen Fall empfiehlt sich Vorsorglich ein EFS Recovery Agent, dem in der Domain alle Zertifikate zugespielt werden, und er im Falle des Datenverlustes mit Hilfe des gesicherten Zertifikates noch auf die Daten des Users zugreifen kann.

EFS Versionen

Bei EFS unterscheidet man zwischen 5 Versionen?.

- Der ursprünglichen EFS Version mit einem 40bit Schlüssel
- Der klassischen DES Version mit 56bit (Diese findet man in den alten Windows 2000 Versionen)
- Der 3DES Version mit 112bit
- Der DESX Ausführung mit 120bit
- Und der in den aktuellen Versionen Vertretenen AES Version mit 256bit


Die letzten beiden Versionen schützen vor Brut Force angriffen und sind deshalb zu empfehlen.


Efsinfo.exe

?Efsinfo? ist ein nützliches Tool was im Microsoft Ressource-Kid enthalten ist und welches einem von der Verschlüsselungsversion einer Datei bis zum Zugriffsberechtigten, und dem Thumbprint alles verrät.


Sooo nun zu meiner Umgebung

Aufgesetzt wurde eine Testumgebung mit folgenden Systemen:

- Eines Domainservers mit Windows 2000 Server, SP4 und allen Updates
- Computer Name: DOMAINSERVER
- Administrator PW: ****
- Domainuser = Administrator

- Eines Fileservers mit Windows 2003 Server und allen Updates
- Computer Name: FILESERVER
- Administrator PW (local): ****
- Domainuser: -

- Eines Clienten mit Windows XP Pro und SP2
- Computer Name: CLIENT
- Administrator PW (local): ********
- Domainuser: Client
- Domain PW: *****

Feststellungen


Dem Fileserver muss vom Domainserver aus das Vertrauen ausgesprochen werden, damit der Client und der Domainserver in der Domain auf dem Fileserver verschlüsseln dürfen und verschlüsselte Dateien auf ihn übertragen werden können.

Von dem Clienten und vom Domainserver wurde jeweils ein verschlüsselter Ordner auf den Fileserver geschoben, und mit ?efsinfo /k /c? vom Fileserver aus getestet.
Alle weisen eine 256 Bit Verschlüsselung auf.

Der Thumbprint den ?efsinfo? bei dem mit dem Clienten verschlüsselten Ordner ausgibt, ist nicht Identisch mit dem des Zertifikates und dem Hash in der RegEdit.
Allerdings ist Regedit = Zertifikat.

Der Administrator ist Recovery Agent für alle verschlüsselten Dateien in der Domain,
Allerdings kann der die vom Client erstellten Daten nicht ohne weiteres entschlüsseln.

So jetzt mal wieder ein paar Fragen........

.......Muss man als Recovery Agent irgendwas beachten um die Daten von anderen Usern Wieder herzustellen?

Über verbesserungs Vorschläge, Ergänzungen und Anregungen bin ich übrigens sehr Dankbar.

Hi ho, Hi ho,

die weekends bis jetzt waren wie immer das schönste an den Wochen!
Und bei dir alles fitt?


Sorry das ich so lange nichts mehr von mir hören lassen hab.
Wir waren hier schwer beschäftigt die Laptops weiter zu verschlüsseln und gleichzeitig eine möglichkeit zu finden das dieser Vorgang schneller durchläuft und für uns weniger Arbeit bedeutet. Mittlerweile haben wir ein Programm (hat mein Kollege selber geschrieben) welches wir dem Anwender per Email schicken, was dieser dann selber per Start-Knopf starten kann, wenn er z.B. in die Mittagspause oder in eine Besprechung geht.
- Dieses Programm sichert erst die Timestamps, die ja bekanntlich überschrieben werden beim verschlüsseln,
- dann entfernt es alle attribute (per attrib.exe) die nicht gewünscht sind,
- dann setzt es die Berechtigungen auf den Ordner (per xcacls.exe - eine erweiterte Version von cacls.exe),
- dann verschlüsselt es den Ordner,
- dann schreibt es die Timestamps zurück,
- dann schickt es die Logdatei der Verschlüsselung als .txt Datei per FTP an einen bestimmten Ordner im Netz und gleichzeitig auch an eine oder mehrere Emailadressen. (Absender: PC-Name, Betreff: UserID + errors bei der Timestamp-erstellung/sicherung)

Hoffe man kann das verstehen! .. nett gell?..


Jetzt du deinem Post:
Eine Sache vorweg: beim EFSinfo.exe kann ich den Parameter /k nicht ausführen. Kann also nicht das Verschlüsselungsverfahren einsehen. ist eventuelle eine alte Version.. Allerdings war das so weit ich weiß die aktuellste die ich gefunden hatte. hmm..

Deinen Bericht find ich gut!.. Steht gut was drinn!

Das einfachste wird aber nach wie vor sein wenn alle Server 2003 sind und alle Clients XP pro.. (ui, wäre das unproblematisch...)

Es stimmt schon mit dem Racovery Agent: Es ist wichtig das es so einen User gibt der die Möglichkeit hat alles wieder zu entschlüsseln, ob crash oder nicht.
Allerdings finde ich von der Sicherheitsstrategie unsere Methode doch noch etwas besser:


Ich habe mittlerweile rausgefunden das wir 2 recovery Agents in unserer riesen Domäne haben.
Die sind aber eigentlich nicht sooo nötig wenn man:
- eine regelmäßige (tägliche) korrekt ablaufende Sicherung auf ein Netzlaufwerk durchführt auf dem die Dateien dann unverschlüsselt vorliegen.
- Es einen Admin gibt der auf diese Sicherungen zugreifen kann.

Im Falle eines Festplattencrashes muss der Anwender so höchstens auf die Daten von 1-2 Tagen verzichten. Ist er unterwegs schleppt er die Daten verschlüsselt rum. Die Sicherung auf dem Server bzw. der Server selber sollte ja selbstverständlich schon so abgeriegelt sein das keiner an die Daten kommt, außer die Berechtigten.
Somit ist eigentlich keine Sicherheitslücke da, und der Zugriff auf die gesicherten Dateien wird für die Admins und techniker vereinfacht.
Bei einem Crash wird nämlich nurnoch ne neue Platte hergeholt, Image drauf bzw. neuinstallation, auf die sicherung im Netz zugegriffen auf die platte kopiert, neu verschlüsselt, und fertig is.
Natürlich ist das auch auf normale Desktops übertragbar.

Geht es um den gemeinsamen Zugiff auf verschlüsselte Daten auf einem PC, gibt es momentan nur diese 3 möglichkeiten:
- Zertifikat des Verschlüsslers exportieren und bei dem anderen importieren.
- bei XP auf einzelne Dateien: rechtsklick>eigenschaften>erweiter>details, hier kann man angeben welche user berechtigt sein sollen auf diese datei zuzugreifen.
- Datei auf einen anderen Datenträger (CD, Usb-Stick, Netzlaufwerk) kopieren. Man sollte aber drauf achten das es nicht unbedingt ein NTFS-Datenträger ist oder das auf diesem verschlüsseln nicht erlaubt ist.



Da fällt mir ein: Ich hatte hier ja auch schonmal mein Problem gepostet von wegen Sicherung würde nicht laufen auf einem bestimmten Server:
http://www.wintotal-forum.de/index.php/topic,93793.0.html

Das Problem ist mittlerweile behoben...
Es gibt einen Registry-Eintrag den man auf den Server hauen muss damit es nicht erlaubt ist Dateien auf den Server verschlüsselt abzulegen.
Auf dem einen Server war dieser bereits drinnen. Auf dem Problemserver wurde dieser nachgetragen, und siehe da, die Sicherung funzt ohne Probleme.

Wie dieser doofe Eintrag heißt kann ich dir leider nicht sagen.. das ist halt das wenn man selber nicht an die Sachen ran darf...



Noch 2 informative Links:

hab ich komischerweise erst jetzt entdeckt.. ???
http://www.microsoft.com/windows2000/techinfo/planning/security/efssteps.asp

den kennst wahrscheinlich schon:
http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx

Ich nochmal..
Hab die Info jetzt doch noch erhalten was in die Registry rein muss:

hier klicken

Vielleicht hilft dir das..

Grüßle Benny

Hey Benny,

Danke das du mal geschrieben hast, sicher wäre es für uns einfacher wenn wir nur 2003 Server haben, aber leider sind wir ein bischen abhängig von den Programmen die wir haben, und die machen es uns leider nicht so einfach.

Da ich aus der Abteilung im mom raus bin, bei der ich mich mit EFS befassen durfte.

Werde eure Erkentnisse aber mal weiterleiten,
den der punkt mit den Attributen und der berechtigungen über ein seperates Programm zu machen, des habe ich noch nicht versucht.

Und vieleicht liefert das ja noch den benötigten Grundbaustein für eine Solide verschlüsselung.

Danke dir nochmal für deine Hilfe... werd mal gucken ob das vieleicht sogar der letzte Stein im Puzzle war

Ja diese Programmabhängigkeiten kenne ich gut :


Würde mich freuen wenn du/ihr das zum laufen bekommt.

Wünsche weiterhin viel Erfolg!!!

Bis dann.
Grüßle Benny

Naja, wir haben das Problem umgangen, habe getz Truecrypt getestet.

Wird wohl das Programm sein, welches wir demnächst nutzen werden.

Gruß Kai