689785

Datenschlüssel für die Hosentasche

Sie haben sensible Daten, die nicht für fremde Augen bestimmt sind. NTFS-Rechte (2000, XP) zu vergeben ist schön und gut. Jedoch sind auch diese hinfällig, wenn ein Benutzer, bewaffnet mit einer Knoppix- oder Bart-PE-CD, auf das System zugreift. Auf NTFS-Partitionen können Sie alles - von der einzelnen Datei bis zur ganzen Ordnerstruktur - mit dem eingebauten EFS (Encrypting File System) verschlüsseln. Wir zeigen Ihnen, wie es funktioniert.

Anforderung:

Fortgeschrittener

Zeitaufwand:

Mittel

Problem:

Sie haben sensible Daten, die nicht für fremde Augen bestimmt sind. NTFS-Rechte (2000, XP) zu vergeben ist schön und gut. Jedoch sind auch diese hinfällig, wenn ein Benutzer, bewaffnet mit einer Knoppix- oder Bart-PE-CD, auf das System zugreift.

Lösung:

Auf NTFS-Partitionen können Sie alles - von der einzelnen Datei bis zur ganzen Ordnerstruktur - mit dem eingebauten EFS (Encrypting File System) verschlüsseln. Der Vorteil ist, dass dann wirklich niemand außer Ihnen auf die Daten zugreifen kann. Der Nachteil unter XP: Wenn Sie Ihren Schlüssel verlieren oder Ihr Profil kaputtgeht, haben auch Sie selbst keinen Zugriff mehr. Aus diesem Grund sollten Sie vor der ersten Verschlüsselung einen Schlüsseldienst anlegen. Damit haben Sie für den Fall des Falles eine Absicherung auf einem externen Datenträger. Unter Windows 2000 wird der Schlüsseldienst automatisch für das Administratorkonto angelegt.

Windows XP: Starten Sie den Rechner im abgesicherten Modus, und melden sich als Administrator an. Erstellen Sie dann ein neues Zertifikat, indem Sie "Start, Ausführen" aufrufen, "cmd" eingeben und dann die Befehle

cd /d c:\
cipher /r:Administrator

ausführen. Das erzeugte Zertifikat finden Sie dann in der Datei C:\Administrator.CER. Es identifiziert den Administrator als Inhaber des öffentlichen Schlüssels, über den wiederum die Daten verschlüsselt werden.

Rufen Sie das Zertifikat per Doppelklick auf, und installieren Sie es. Dabei wird es unter "Vertrauenswürdige Stammzertifizierungsstellen" abgelegt. Nun müssen Sie den neuen Wiederherstellungsagenten - so ist der offizielle Name des Schlüsseldiensts bei Microsoft - noch in den Richtlinien des lokalen Computers eintragen. Öffnen Sie dazu wieder "Start, Ausführen", und geben Sie "Gpedit.MSC" ein. Hier wählen Sie "Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, Richtlinien öffentlicher
Schlüssel, Dateisystem wird verschlüsselt". Danach klicken Sie mit der rechten Maustaste auf eine freie Stelle in der rechten Fensterhälfte, wählen "Dateiwiederherstellungs-Agenten hinzufügen" und fügen mit dem Assistenten die Administrator.CER hinzu. Damit kann der Wiederherstellungsagent mit seinem privaten Schlüssel im Notfall jede EFS-Verschlüsselung auf dem System aufheben. Der private Schlüssel wurde ebenfalls mit dem Zertifikat angelegt, und zwar in der Datei Administrator.PFX. Zur Sicherheit sollten Sie die Datei auf ein externes Medium verschieben, zum Beispiel einen USB-Stick.

Windows 2000: In dieser Windows-Version ist der Wiederherstellungsagent bereits vorinstalliert, so dass Sie den Schlüssel dafür zunächst exportieren müssen. Gehen Sie dazu in die Systemsteuerung, und wählen Sie "Internetoptionen". Wählen Sie die Registerkarte "Inhalte", klicken Sie auf "Zertifikate", exportieren Sie Ihr Administrator-Zertifikat auf ein externes Medium, und entfernen Sie es danach aus dem Profil. Im Notfall legen Sie den USB-Stick ein und lesen den Schlüssel per Doppelklick neu ein.

Um Daten zu verschlüsseln, klicken Sie mit der rechten Maustaste auf eine Datei oder einen Ordner. Dann wählen Sie "Eigenschaften, Allgemein, Erweitert" und aktivieren die Option "Inhalt verschlüsseln, um Daten zu schützen". Um sicherzugehen, sollten Sie den Schlüssel des eigenen Profils auf ein externes Medium exportieren und dann aus dem Profil entfernen. Um wieder auf die Daten zuzugreifen, importieren Sie den Schlüssel einfach wieder per Doppelklick auf die Datei.

0 Kommentare zu diesem Artikel
689785