SID-500

Home » Security » EFS: Dateien verschlüsseln unter Windows

EFS: Dateien verschlüsseln unter Windows

Das Encrypting File System ermöglicht die Verschlüsselung von Daten unter Windows. EFS arbeitet mit einem vom System erzeugten File Encryption Key (FEK). Mithilfe des öffentlichen Schlüssels (Public Key) des Benutzers und des FEK können die Daten verschlüsselt werden. Der Private Key des Benutzers dient der Entschlüsselung.

Die Verschlüsselung kann grafisch oder in der Befehlszeile durchgeführt werden. Beide Optionen werden im Folgenden erläutert.

EFS ist nur auf Windows Server Editionen und auf Windows 10 Pro verfügbar. (nicht auf der Home Edition!). Außerdem muss das Volume NTFS als Dateisystem ausführen. EFS verschlüsselt einzelne Ordner. Wer seinen ganzen Computer verschlüsseln möchte der ist mit dem Windows Feature BitLocker besser aufgehoben: Windows 10: BitLocker aktivieren (TPM + PIN).

EFS mit der grafischen Oberfläche

Ich klicke mit der rechten Maustaste auf den zu verschlüsselnden Ordner und wähle Eigenschaften und klicke auf Erweitert. Ich wähle Inhalt verschlüsseln, um Daten zu schützen und klicke auf OK.

1.PNG

Die Attribute werden übernommen …

2.PNG

Danach präsentieren sich die Dateien mit einem kleinen Icon.

3.PNG

Fertig! Die Daten sind verschlüsselt.

Rechts unten am Bildschirm wird ein Hinweis angezeigt. Das Zertifikat sollte gesichert werden. Bedenken Sie: Wenn Sie ein Backup Ihrer Ordner durchführen wird das generierte Zertifikat nicht mitgesichert, d.h. das Backup ist für die Mülltonne, denn Sie können die Dateien nicht mehr entschlüsseln. Wenn Sie darauf klicken, startet ein Assistent zum sichern des Schlüssels.

3a.PNG

Wenn Sie das Zertifikat im nachhinein sichern möchten, so öffnen Sie in Ausführen (Windows Taste + R) certmgr.msc.

4.PNG

Sie finden unter Eigene Zertifikate – Zertifikate Ihr Zertifikat für das Verschlüsselte Dateisystem. Ein Doppelklick öffnet das Zertifikat.

5.PNG

Hier kann unter der Registrierkarte Details und anschließend mit In Datei kopieren… der Schlüssel nachträglich gesichert werden.

6.PNG

Achten Sie darauf, dass Sie den privaten Schlüssel mitsichern. Ohne diesen können Sie die Dateien nicht entschlüsseln.

7.PNG

EFS mit cipher

Alternativ zur grafischen Variante steht der Befehl cipher zur Verfügung.

Verschlüsseln
cipher /e c:\OrdnerName

8.PNG

Zertifikat sichern
cipher /x 

9.PNG

10.PNG

11.PNG

Grundlegendes zum Thema Zertifikate und Verschlüsselung finden Sie in meinen Artikeln Cyber Security / Pen Testing (Teil 2): Grundlagen der Kryptographie und Cyber Security – Pen Testing (Teil 4): Zertifikate und PKI.

Wenn eine Zertifizierungsstelle (CA) eingerichtet werden soll, um die Verteilung, Sicherung, Prüfung und Bereitstellung von Zertifikaten zu gewährleisten, dann empfehle ich die Serie Active Directory Zertifikatsdienste beginnend mit Teil 1 Active Directory Zertifikatsdienste (Teil 1): Installation einer Enterprise Root-CA


4 Comments

  1. […] Einer der großen Vorteile einer Active Directory integrierten CA ist die Möglichkeit Zertifikate automatisch über Gruppenrichtlinien an Benutzer oder Computer zu verteilen. In dieser Übung wird Autoenrollment für die duplizierte Vorlage Basis-EFS konfiguriert. Die Vorlage dient der Verschlüsselung von Ordnerinhalten. Dazu gibt es bereits einen Artikel von mir:  EFS: Dateien verschlüsseln unter Windows […]

    Like

  2. […] Verbindungen (L2TP/IPSec, SSTP), 802.1x Authentifizierung über RADIUS, Remotedesktopverbindungen, EFS, Bitlocker, Windows Firewall, PowerShell Web Access, Bitlocker, Exchange, Sharepoint, Skyp for […]

    Like

  3. […] Dateiverschlüsselung mit EFS […]

    Like

  4. […] Ein bisschen tricky ist die Sache schon. Wer nur einzelne Ordner verschlüsseln möchte der kann das mit EFS tun: EFS: Dateien verschlüsseln unter Windows. […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

Who is the blogger?

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com