Bitlocker Efs-verschlüsselung Windows 7 Ultimate x64
#1
geschrieben 17. November 2009 - 20:21
Ich verwende das Bitlocker mit einem USB-Stick,weil ich kein TPM-Modul habe,was auch nach einigen Einstellungen in der Computerkonfiguration sehr gut funktioniert.
Jetzt habe ich noch zusätzlich einige Dateien in meinen Ordner Eigene Dokumente mit EFS nach Anleitung verschlüsselt.
Die verschlüsselten Dateien sind grün unterlegt.
Aber trotzdem kann man die verschlüsselten Dateien,ohne zu entschlüsseln öffnen.
Die Dateien sollten doch verschlüsselt sein,warum kann man trotzdem drauf zugreifen ?
Habe ich irgendwas falsch gemacht ?
Welche einstellungen müssen vorgenommen werden,um einzelne Dateien mit EFS zu verschlüsseln ?
Anzeige
#2
geschrieben 17. November 2009 - 20:59
um die verschlüsselten Dateien EINZUSEHEN (sprich deren Inhalt erkennen zu können) benötigt man:
Ein NTFS Laufwerk und das Zertifikat des Benutzers der es verschlüsselt hat.
Hier liegt der Hase im Pfeffer:
wird das PW des Benutzers geändert ohne dass dieser angemeldet ist, so ist das Zertifikat auch im Eimer. Sprich du kannst due verschlüsselten Dateien vergessen.
Du kannst unter Win7/Win Vista das Zertifikat sichern - sehr zu empfehlen falls mal das OS nicht mehr will du aber ggf. noch an die Dateien ran musst.
#3 _harrypotter6_
geschrieben 17. November 2009 - 22:27
Übrigens auch der Grund, warum man von der Entschlüsselung nichts merkt (ich nutze seit jahren EFS)
Klickt man eine der verschlüsselten Dateien an, schaut Windows sofort im Zertifikatspeicher nach dem passenden Zertifikat. Ist das Zertifikat vorhanden, wird die Datei entschlüsselt. Testen kann man das ganz einfach, indem man mal eine Datei auf einem USB- Stick verschlüsselt und dann versucht, diese Datei unter einem anderen Benutzer, der eben nicht das EFS- Zertifikat hat, zu öffnen. Dann muss es eine Fehlermeldung geben.
Ich habe das gerade noch mal getestet, ändere ich von einem Benutzer das PW (und nur das !!!), meldet dieser sich dann mit dem neuen PW an, so ist das EFS- Zertifikat weiterhin in seinem Zertifikatspeicher und er kann auch die von ihm verschlüsselten Dateien ganz normal öffnen / verndern
#4
geschrieben 18. November 2009 - 06:39
Zitat (harrypotter6: 17.11.2009, 22:27)
ist nur der Fall wenn jemand anderes dein PW "zurücksetzt" bzw dir einfach ein neues verpasst.
Es ist neben PW und UID jede Menge drann gebunden. Erst mittels des "Zertifikat sichern" kannst du das Zertifikat abspeichern und ggf. anderen Usern vergeben.
Verändere mal von einem Testbenutze welcher EFS verwendet offline - also über ein anderes Konto - das Passwort, logge dich ein und schaue ob du noch auf die Dateien kommst.
Ist ja auch Sinnvoll diese Schutzfunktion... sonst könnte ja nahezu jeder dahergelaufene die Dateien auf dem Recher verwenden indem er einfach nur das PW anpasst.
Gruß,
Stefan
#5
geschrieben 18. November 2009 - 09:45
Bei mir wird erst gar nicht nach ein Passwort gefragt.
Jeder,der an mein PC arbeitet,bzw.surft,kann an die verschlüsselten Dateien heran,kann sie problemlos öffnen,etc.ohne ein Passwort einzugeben.
Anders z.b. bei PGP,da kann man sich ein virtuelles Laufwerk erstellen,wo man die Ordner,Dateien,etc.hineinlegt.die verschlüsselt werden soll.
Man kann auch mit PGP einzelne Ordner,Verzeichnisse,Dateien verschlüsseln,sogar E-Mails.
Ich möchte ja mein Ordner Eigenen Dokumente,wo ich die Dateien abgelegt habe, separat vor unbefugten verschlüsseln.Wie bei PGP.
Vielleicht sollte ich doch zu PGP wechseln.
#6 _harrypotter6_
geschrieben 18. November 2009 - 10:07
Möchte jetzt ein Anwender, dass auch andere User seine verschlüsselten Daten bearbeiten können, so muss der Anwender die EFS- Zertifikate der anderen User mit an die verschlüsselte Datei anhängen.
Vorteil dieser PHylosophie ist, dass auch jeder Anwender seinen Desktop individuell gestallten kann.
#7
geschrieben 18. November 2009 - 10:55
Zitat (Fat Tony: 18.11.2009, 09:45)
du hast es immernoch nicht verstanden....
Die VERSCHLÜSSELUNG ist bei EFS Zertifikatbasiert.
Ein Zertifikat ist quasi das Passwort was man sonst händisch eingeben müsste...
Habe einfach mal ebend ein "Ablaufdiagram" erstellt - ist nur Grob aber die Funktion ist denke ich mal selbstklärend
Du siehst also: vom Entschlüsseln/verschlüsseln bekommst du bei geringen Datenmengen normalerweise nix mit.
Bei vielen Dateien im Ordner die verschlüsselt sind wirst du zum Beispiel beim Auflisten des Inhalts etwas mehr zeit benötigen. (vom Explorer ausgegangen).
Gruß,
Stefan
#8
geschrieben 18. November 2009 - 10:55
Jeder,der sich mit meinen Kennwort an meinem PC anmeldet,kann sich meine verschlüsselten Dateien ansehen,ohne irgendein Passwort eingeben zu müssen ?
Dann würde ja eine verschlüsselung meiner Dateien,Ordner,etc. mit EFS nichts bringen,bzw.keinen Sinn machen,wenn auf meinen Heim-PC jeder User, ( mein Freund/in,Eltern,etc. ) der sich mit meinen Kennwort anmeldet,bzw.der auf mein PC surft,meine verschlüsselten Dateien,Ordner,etc.öffnen und lesen kann.
Das soll ja nicht sinn der verschlüsselung sein.
Ich möchte Dateien,Ordner separat verschlüsseln,mit eingabe des Passworts,wie bei PGP.
#9
geschrieben 18. November 2009 - 11:05
Dieser Beitrag wurde von Kvothe bearbeitet: 18. November 2009 - 11:06
#10
geschrieben 18. November 2009 - 11:09
Wenn du Dateien deines Accounts für bestimmte Nutzer unzugänglich halten willst, warum um alles in der Welt lässt du sie dann deinen Account nutzen? Der Sinn von Nutzeraccounts ist es nunmal, das jeder Nutzer einen eigenen hat. Eben genau deshalb, damit jeder seinen eigenen Kram macht und seine eigene Konfiguration nutzen kann. Und wenn man ein solches Multi-User-System auch richtig nutzt, so wie es eben gedacht ist, ist auch eine solche Verschlüsselung alles andere als "sinnlos".
Wenn du Dateien mit deiner sonderbaren Definition von Multi-User-Environment separat verschlüsseln willst, dann hilft dir weder Bitlocker, noch das EFS an sich, denn dazu sind sie nicht gemacht. Da darfst du dann auf Tools wie axCrypt, Truecrypt oder eben PGP/GnuPG zurückgreifen. Das Problem an dieser Stelle ist aber eindeutig nicht der fehlenden Sinn von Bitlocker/EFS...
#11 _harrypotter6_
geschrieben 18. November 2009 - 11:28
ein Benutzerkonto (mit PW) gehört auch nur einem Benutzer.
Arbeitet ein zweiter Benutzer an dem Rechner, bekommt er sein eigenes Benutzerkonto mit seinem eigenen Passwort.
Alles andere hat nichts mehr mit Sicherheit zu tun. Wenn man so arbeitet wie Du, ein Benutzerkonto für alle, dann brauchst Du keine Benutzerkonten mehr .... Nur dann wird man auch nie die Sicherheit erreichen, die eigentlich bei so einem System konzipiert wurde.
#12
geschrieben 18. November 2009 - 11:41
Aber ich habe auch öfter Besuch von Freunden,und die wollen auch mal surfen,bzw.wir arbeiten dann auch gemeinsam am PC.
Daher will ich meine Daten separat verschlüsseln.
Ich werde mir mal einige Verschlüsselungssoftware wie z.b. AxCrypt,Steganos Safe,BCArchive,Truecrypt,
oder Advanced Encryption Package 2009,ansehen,und mir das für meine bedürfnisse angepasste Software installieren.
#13 _harrypotter6_
geschrieben 18. November 2009 - 11:54
Denn warum unnötig Software kaufen, wenn W7 das alles kann.
#14
geschrieben 18. November 2009 - 12:23
Zitat (Fat Tony: 18.11.2009, 10:55)
Jeder,der sich mit meinen Kennwort an meinem PC anmeldet,kann sich meine verschlüsselten Dateien ansehen,ohne irgendein Passwort eingeben zu müssen ?
genau....
deshalb sollten Passwörter - seit jeher - nicht zu simpel gewählt werden.
Zitat
Das soll ja nicht sinn der verschlüsselung sein.
Ich möchte Dateien,Ordner separat verschlüsseln,mit eingabe des Passworts,wie bei PGP.
Dafür kannst du schließlich einzelne Benutzer anlegen.
Wenn du jemand den Schlüssel in deine Wohnung gibst brauchst du dich nicht zu wundern, wenn dieser ohne die Tür aufbrechen zu müssen hineinkommen kann
Gruß,
Stefan
EDIT:
Ich MEINE - selbst noch nicht geschaut - das es möglich ist, das PW fürs EFS Zertifikat so einzurichten, dass du bei jeder Anmeldung dieses erst eingeben musst.
#15
geschrieben 18. November 2009 - 14:46
Sicher ist Sicher.
- ← Alte Festplatte Ersetzen; Datenumzug
- Windows 7 - System & Software
- Sicherheitshinweise Ausschalten →