Teil 5e: Einen Datenwiederherstellungs-Agent für EFS konfigurieren

Veröffentlicht am von
Antworten

Sollte eine Sicherheitsrichtlinie im Unternehmen das Archivieren der privaten Schlüssel nicht gestatten, kann mit dem privaten Schlüssel des Zertifikats des Datenwiederherstellungs-Agent eine Wiederherstellung verschlüsselter Dateien durchgeführt werden.

Eine Zertifikatsvorlage für den Datenwiederherstellungs-Agent konfigurieren

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Certification Authority
  3. Einfaches-Netzwerk SubCA erweitern
  4. Den Ordner Certificate Templates rechts anklicken > Manage
  5. Die Zertifikatsvorlage EFS Recovery Agent rechts anklicken > Duplicate Template
  6. Properties of New Template
  7. Reiter General:
    1. Template display name: CUSTOM – EFS Recovery Agent
    2. Validity period: 5 years
      EFS_DRA-001
  8. Fenster mit OK schließen
    EFS_DRA-002
  9. Certificate Templates-Konsole schließen
  10. In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
  11. CUSTOM – EFS Recovery Agent markieren > OK
    EFS_DRA-003
  12. EFS Recovery Agent-Template rechts anklicken > Delete
    EFS_DRA-004
  13. Alle Fenster schließen

Das Zertifikat für den Data Recovery Agent anfordern und exportieren

  1. MMC (Admin) starten
  2. Das Snap-in Certificates für My user account importieren
  3. Den Ordner Personal rechts anklicken > All Tasks > Request New Certificate…
  4. Certificate Enrollment
    1. Before You Begin: Next
    2. Select Certificate Enrollment Policy > Next
    3. Request Certificates: CUSTOM – EFS Recovery Agent > Enroll
      EFS_DRA-005
  5. Finish
    EFS_DRA-006
  6. Das Zertifikat rechts anklicken > All Tasks > Export…
    EFS_DRA-007
  7. Certificate Export Wizard
    1. Welcome… : Next
    2. Export private key: No, do not export the private key > Next
      EFS_DRA-008
    3. Export File Format: DER > Next
      EFS_DRA-009
    4. File to Export: C:\Temp\Einfaches-Netzwerk EFS-DRA.cer > Next
      EFS_DRA-010
    5. Finish
      EFS_DRA-011
  8. Das Zertifikat rechts anklicken > All Tasks > Export…
  9. Certificate Export Wizard
    1. Welcome… : Next
    2. Export Private Key: Yes, export the private key > Next
      EFS_DRA-012
    3. Export File Format: Personal Information Exchange – PKCS #12 (.PFX) > Next
      EFS_DRA-013
    4. Security: Passwort Password1 > Next
      EFS_DRA-014
    5. File to Export: C:\Temp\Einfaches-Netzwerk EFS-DRA.pfx > Next
      EFS_DRA-015
    6. Finish
      EFS_DRA-016
  10. Alle Fenster schließen

Das DRA-Zertifikat mittels Gruppenrichtlinen verteilen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domain\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. Das GPO CUSTOM – Client Standard Settings rechts anklicken > Edit…
  5. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
  6. Encrypting File System rechts anklicken > Add Data Recovery Agent…
    EFS_DRA-017
  7. Add Recovery Agent Wizard:
    1. Welcome… > Next
    2. Select Recovery Agents: Browse Folders… > C:\Temp\Einfaches-Netzwerk EFS-DRA.cer > NextEFS_DRA-018
    3. Finish
      EFS_DRA-019
      EFS_DRA-020
  8. Alle Fenster schließen

Die Zertifikate für den EFS-DRA sollten auf einen externen Datenträger kopiert und im Safe aufbewahrt werden. Die Kopien auf dem Server anschließend löschen.

Weitere Informationen

Teil 5d: Eine Zertifikatsvorlage für die EFS-Verschlüsselung konfigurieren

Veröffentlicht am von
Antworten

Eine Zertifikatsvorlage für die EFS-Verschlüsselung konfigurieren

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Certification Authority
  3. Einfaches-Netzwerk SubCA erweitern
  4. Certification Templates rechts anklicken > Manage
  5. Die Vorlage Basic EFS rechts anklicken > Duplicate Template
  6. Properties of New Template:
    1. Reiter General:
      1. Template display name: CUSTOM – Basic EFS
      2. Validity period: 5 years
        KEYARCHIVAL-021
    2. Reiter Request Handling:
      1. Häkchen bei Archive subject’s encryption private key (Schlüsselarchivierung, siehe Teil 5c) aktivieren
        KEYARCHIVAL-022
    3. Reiter Security:
      1. Domain Users markieren > Allow Read, Enroll
        KEYARCHIVAL-023
  7. Template mit OK schließen
    KEYARCHIVAL-025
  8. Certificate Template Console schließen
  9. In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
  10. CUSTOM – Basic EFS markieren > OK
    KEYARCHIVAL-026
  11. Die Zertifikatsvorlage Basic EFS rechts anlicken > DeleteKEYARCHIVAL-027

Das Gruppenrichtlinienobjekt CUSTOM – Client Standard Settings für EFS konfigurieren

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domains\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. Das GPO CUSTOM – Client Standard Settings (siehe Teil 2c) rechts anklicken > Edit…
  5. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
  6. Encrypting File System rechts anklicken > Properties
    KEYARCHIVAL-029
  7. Encrypting File System Properties:
  8. Reiter General:
    1. File encryption unsing EFS: Allow
      KEYARCHIVAL-030
    2. Reiter Certificates:
      1. EFS Template: Browse… > CUSTOM – Basic EFS
      2. Allow EFS to generate self-signed certificates…: deaktivieren > OK
        KEYARCHIVAL-031
  9. Das GPO schließen
    KEYARCHIVAL-032

Weitere Informationen

Teil 5c: Schlüsselarchivierung für eine Zertifizierungsstelle aktivieren

Veröffentlicht am von
1

Die Zertifikatsvorlage für den Key Recovery Agent konfigurieren

  1. Server Manager > Local Server > Tools > Certification Authority
  2. Einfaches-Netzwerk SubCA erweitern
  3. Certificate Templates rechts anklicken > ManageKEYARCHIVAL-001
  4. Die Zertifikatsvorlage Key Recovery Agent rechts anklicken > Duplicate Template
    KEYARCHIVAL-002
  5. Properties of New Template
    1. Reiter General
      1. Template display name: CUSTOM – Key Recovery Agent
      2. Validity period: 5 years
        KEYARCHIVAL-003 
    2. Reiter Issuance Requirements
      1. CA certificate manager approval deaktivieren
        KEYARCHIVAL-004
  6. Mit OK schließen
    KEYARCHIVAL-005
  7. In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
    KEYARCHIVAL-006
  8. CUSTOM – Key Recovery Agent markieren > OK
    KEYARCHIVAL-007KEYARCHIVAL-020

Die Konfiguration für die Schlüsselarchivierung kann erst abgeschlossen werden, wenn der KRA das Zertifikat angefordert hat.

Das Zertifikat für den Key Recovery Agent anfordern

  1. MMC (Admin) starten
  2. Das Snap-in Certificates für My user account importieren
  3. Certificates erweitern
  4. Personal rechts anklicken > All Tasks > Request New Certificate…
    KEYARCHIVAL-008
  5. Certificate Enrollment
    1. Before You Begin: Next
    2. Select Certificate Enrollment Policy: Next
    3. Request Certificates: CUSTOM – Key Recovery Agent > Enroll
      KEYARCHIVAL-009
    4. Das Zertifikat wird angefordert > Finish
      KEYARCHIVAL-010
  6. Den Ordner Certificates anklicken > Fenster schließen
    KEYARCHIVAL-011

Jetzt kann die Schlüsselarchivierung (Key Archival) aktiviert werden.

Schlüsselarchivierung für eine Zertifizierungsstelle aktivieren

  1. In der Certification Authority-Konsole Einfaches-Netzwerk SubCA rechts anklicken > Properties
    KEYARCHIVAL-013
  2. Zum Reiter Recovery Agents wechseln
  3. Archive the key aktivieren > Add…
    KEYARCHIVAL-014
  4. Das Zertifikat KeyRecoveryAgent markieren > OK
    KEYARCHIVAL-015
  5. Das Zertifikat wird in der Liste Key recovery agent certificates mit dem Status Not Loaded angezeigt
    KEYARCHIVAL-016
  6. Auf Apply klicken
  7. Die Frage über den Neustart des CertSvc mit Yes beantworten
  8. Das Zertifikat hat jetzt den Status Valid
    KEYARCHIVAL-018
  9. Fenster mit OK schließen

Weitere Informationen