Teil 5e: Einen Datenwiederherstellungs-Agent für EFS konfigurieren

Sollte eine Sicherheitsrichtlinie im Unternehmen das Archivieren der privaten Schlüssel nicht gestatten, kann mit dem privaten Schlüssel des Zertifikats des Datenwiederherstellungs-Agent eine Wiederherstellung verschlüsselter Dateien durchgeführt werden.

Eine Zertifikatsvorlage für den Datenwiederherstellungs-Agent konfigurieren

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Certification Authority
  3. Einfaches-Netzwerk SubCA erweitern
  4. Den Ordner Certificate Templates rechts anklicken > Manage
  5. Die Zertifikatsvorlage EFS Recovery Agent rechts anklicken > Duplicate Template
  6. Properties of New Template
  7. Reiter General:
    1. Template display name: CUSTOM – EFS Recovery Agent
    2. Validity period: 5 years
      EFS_DRA-001
  8. Fenster mit OK schließen
    EFS_DRA-002
  9. Certificate Templates-Konsole schließen
  10. In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
  11. CUSTOM – EFS Recovery Agent markieren > OK
    EFS_DRA-003
  12. EFS Recovery Agent-Template rechts anklicken > Delete
    EFS_DRA-004
  13. Alle Fenster schließen

Das Zertifikat für den Data Recovery Agent anfordern und exportieren

  1. MMC (Admin) starten
  2. Das Snap-in Certificates für My user account importieren
  3. Den Ordner Personal rechts anklicken > All Tasks > Request New Certificate…
  4. Certificate Enrollment
    1. Before You Begin: Next
    2. Select Certificate Enrollment Policy > Next
    3. Request Certificates: CUSTOM – EFS Recovery Agent > Enroll
      EFS_DRA-005
  5. Finish
    EFS_DRA-006
  6. Das Zertifikat rechts anklicken > All Tasks > Export…
    EFS_DRA-007
  7. Certificate Export Wizard
    1. Welcome… : Next
    2. Export private key: No, do not export the private key > Next
      EFS_DRA-008
    3. Export File Format: DER > Next
      EFS_DRA-009
    4. File to Export: C:\Temp\Einfaches-Netzwerk EFS-DRA.cer > Next
      EFS_DRA-010
    5. Finish
      EFS_DRA-011
  8. Das Zertifikat rechts anklicken > All Tasks > Export…
  9. Certificate Export Wizard
    1. Welcome… : Next
    2. Export Private Key: Yes, export the private key > Next
      EFS_DRA-012
    3. Export File Format: Personal Information Exchange – PKCS #12 (.PFX) > Next
      EFS_DRA-013
    4. Security: Passwort Password1 > Next
      EFS_DRA-014
    5. File to Export: C:\Temp\Einfaches-Netzwerk EFS-DRA.pfx > Next
      EFS_DRA-015
    6. Finish
      EFS_DRA-016
  10. Alle Fenster schließen

Das DRA-Zertifikat mittels Gruppenrichtlinen verteilen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domain\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. Das GPO CUSTOM – Client Standard Settings rechts anklicken > Edit…
  5. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
  6. Encrypting File System rechts anklicken > Add Data Recovery Agent…
    EFS_DRA-017
  7. Add Recovery Agent Wizard:
    1. Welcome… > Next
    2. Select Recovery Agents: Browse Folders… > C:\Temp\Einfaches-Netzwerk EFS-DRA.cer > NextEFS_DRA-018
    3. Finish
      EFS_DRA-019
      EFS_DRA-020
  8. Alle Fenster schließen

Die Zertifikate für den EFS-DRA sollten auf einen externen Datenträger kopiert und im Safe aufbewahrt werden. Die Kopien auf dem Server anschließend löschen.

Weitere Informationen

Teil 5d: Eine Zertifikatsvorlage für die EFS-Verschlüsselung konfigurieren

Eine Zertifikatsvorlage für die EFS-Verschlüsselung konfigurieren

  1. Als Administrator an APP1 anmelden
  2. Server Manager > Tools > Certification Authority
  3. Einfaches-Netzwerk SubCA erweitern
  4. Certification Templates rechts anklicken > Manage
  5. Die Vorlage Basic EFS rechts anklicken > Duplicate Template
  6. Properties of New Template:
    1. Reiter General:
      1. Template display name: CUSTOM – Basic EFS
      2. Validity period: 5 years
        KEYARCHIVAL-021
    2. Reiter Request Handling:
      1. Häkchen bei Archive subject’s encryption private key (Schlüsselarchivierung, siehe Teil 5c) aktivieren
        KEYARCHIVAL-022
    3. Reiter Security:
      1. Domain Users markieren > Allow Read, Enroll
        KEYARCHIVAL-023
  7. Template mit OK schließen
    KEYARCHIVAL-025
  8. Certificate Template Console schließen
  9. In der Certification Authority-Konsole Certificate Templates rechts anklicken > New > Certificate Template to Issue
  10. CUSTOM – Basic EFS markieren > OK
    KEYARCHIVAL-026
  11. Die Zertifikatsvorlage Basic EFS rechts anlicken > DeleteKEYARCHIVAL-027

Das Gruppenrichtlinienobjekt CUSTOM – Client Standard Settings für EFS konfigurieren

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domains\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. Das GPO CUSTOM – Client Standard Settings (siehe Teil 2c) rechts anklicken > Edit…
  5. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
  6. Encrypting File System rechts anklicken > Properties
    KEYARCHIVAL-029
  7. Encrypting File System Properties:
  8. Reiter General:
    1. File encryption unsing EFS: Allow
      KEYARCHIVAL-030
    2. Reiter Certificates:
      1. EFS Template: Browse… > CUSTOM – Basic EFS
      2. Allow EFS to generate self-signed certificates…: deaktivieren > OK
        KEYARCHIVAL-031
  9. Das GPO schließen
    KEYARCHIVAL-032

Weitere Informationen