Verschlüsselung von Dateien auf NTFS-Datenträgern
Home-Editionen unterstützen die Verschlüsselungen nicht.
Windows ab 2000 bietet eine Verschlüsselung von Dateien auf NTFS-Datenträgern. Ohne die Entschlüsselung durch den berechtigten Benutzer kommt man nicht mehr an diese Dateien (Private Key). Man sollte daher eine Kopie der Schlüssel an einer sicheren Stelle aufbewahren. Weitere Informationen zum EFS (Encrypting File System) finden sich bei Microsoft KB241201.
Zum Sichern der Schlüssel geht man wie folgt vor:
1.) Es muss sich der Administrator am System anmelden (der "echte" Administrator, nicht ein anderer Account mit diesen Rechten!).
HINWEIS: In den Home-Editionen gibt es keine Verschlüsselungen und keine Sicherheitseinstellungen (secpol.msc).
2.) Nun startet man über Start-> Ausführen: secpol.msc. [OK], die Sicherheitseinstellungen.
Unter Richtlinien für öffentliche Schlüssel findet sich der Agent für Wiederherstellung von verschlüsselten Daten. Sollte dies nicht der Fall sein, wurden keine EFS-Richtlinien für das verschlüsselte Dateisystem definiert. Ist der Eintrag vorhanden, fährt mit Punkt 3 fort.
Um die Richtlinie zu definieren, muss die Option "Datenwiederherstellungs-Agent hinzufügen" eingerichtet werden.
**Gleich zum Tipp
Exportieren über die Managementkonsole
springen**
3.) Unter Richtlinien für öffentliche Schlüssel findet sich der Agent für Wiederherstellung von verschlüsselten Daten.
Hier klickt man mit der rechten Maustaste auf den Eintrag Administrator und wählt hier Alle Tasks (Alle Aufgaben) -> Exportieren.
Im folgenden Screen exportiert man die privaten Schlüssel.
Exportieren über die Managementkonsole
Über Start - Ausführen: mmc [OK] starte man die Managementkonsole. Menüpunkt "Datei" anklicken und "Snap-In hinzufügen/entfernen" auswählen. Zertifikate auswählen und Button "Hinzufügen".
Die Standardeinstellung "Eigenes Benutzerkonto" nicht verändern - Button "Fertig stellen".
Nach "Fertig stellen" sollte unter "Ausgewählte Snap-Ins" unter Konsolenstamm Zertifikate - Aktueller Benutzer stehen.
Nach Klick auf [OK] sehen Sie unter Zertifikate - Aktueller Benutzer weitere Ordner und Unterordner, die mit Zertifikaten zu tun haben.
Wenn keine weiteren Ordner und Unterordner vorhanden sind, hat man noch keine Dateien verschlüsselt und es ist noch kein Zertifikat für den aktuellen Benutzer oder Administrator vorhanden.
Sie können die Konsoleneinstellungen (Konsole1.msc) unter "Verwaltung" speichern bzw. überschreiben.
Exportieren Sie die Schlüssel über die Managementkonsole.
Wenn Sie die Managementkonsole abgespeichert haben, öffnen Sie die Konsole mit Start - Ausführen: mmc [OK]
Menü "Datei" - "Öffnen" - Konsole1.msc (unter "Verwaltung").
Menü "Ansicht" - "Optionen" - Zertifikatzweck aktivieren - [OK].
Verschlüsseltes Dateisystem unter "Beabsichtigte Zwecke" per Doppelklick aufrufen.
Alle aufgeführten Zertifikatseinträge markieren mit (STRG]+Klick auf jeden Eintrag, dann einen Rechtsklick Alle Aufgaben --> Exportieren.
Es öffnet sich der "Zertifikatexport-Assistent".
Nach [Weiter] "Privater Informationsaustausch - PKCS # 12 (.PFX)"
[Weiter] Kennwort eingeben und noch einmal Kennwort eingeben (und gut merken)
[Weiter] Dateiname angeben
[Weiter] Fertig stellen
Je nach Betriebssystem kann die Anleitung etwas abweichen.
Zum Wiederherstellen der Schlüssel geht man wie folgt vor:
Man meldet sich wieder mit dem Benutzer Administrator an.
Jetzt sucht man das oben gesicherte PFX-File und wählt hier über die rechte Maustaste PFX installieren. Im Folgenden gibt man das vergebene Passwort der Datei ein und folgt den letzten Anweisungen.
Exportieren und Importieren von eigenen EFS-Schlüsseln:
Um auf verschlüsselte Dateien auch auf fremden Rechnern zuzugreifen, muss man die Schlüssel für das EFS (Encrypted File System) ex- bzw. importieren.
Hierzu startet man über Start-> Ausführen certmgr.msc [OK] den Zertifikatmanager. Mit einem Rechtsklick auf Eigene Zertifikate -> Zertifikate, [%angezeigtes Zertifikat%] -> kann man unter "Alle Tasks (Alle Aufgaben) -> Exportieren bzw. Importieren diese importieren oder exportieren.
Den privaten Schlüssel sollte man mit exportieren, man wird dann nach einem Passwort gefragt. Wird der "private Schlüssel" nicht mit exportiert, kann jeder mit der PFX-Datei verschlüsselte Daten öffnen, daher Vorsicht.
Die exportierte PFX-Datei kann man auf dem Zielrechner mit einem Rechtsklick auf die Datei "PFX-Datei installieren" wieder importieren.
Wichtig: Beim Export wird ein Passwort abgefragt, an welches man sich beim Importieren wieder erinnern muss!
Je nach Betriebssystem kann die Anleitung etwas abweichen.
Tipp: "EFS deaktivieren"