EFS nutzt Standard-Algorithmen und Public Key-Kryptographie, um sicherzustellen, starke Verschlüsselung. Die Dateien, die verschlüsselt sind daher stets vertraulich. Auch wenn die Anmeldung und Authentifizierung NTFS-Dateisystem-Berechtigungen werden auf den Schutz von vertraulichen Daten, können Sie mit EFS, um eine zusätzliche Ebene der Sicherheit. Dies würde gewährleisten, dass bei der Hacker Zugriff auf die Daten von einem Computer speichern, die Daten in Dateien gesichert werden, weil der EFS-Verschlüsselung. Eine unbefugte Person nicht in der Lage wäre, um eine verschlüsselte Datei.

EFS unter Windows Server 2003 weiter verbessert die Möglichkeiten der EFS in Windows 2000. Nutzer, die Verwendung von EFS verschlüsselte Dateien können mit anderen Benutzern auf Datei-Shares und sogar Web-Ordner. Sie können EFS-Funktionen über Gruppenrichtlinien-und Kommandozeilen-Tools. EFS eignet sich gut für die Sicherung sensibler Daten auf tragbaren Computern. Es funktioniert auch gut zur Sicherung von Daten, wenn der Computer von mehreren Nutzern.

Wie funktioniert EFS

EFS ist eigentlich fest mit NTFS, und die Datei-Verschlüsselung und Entschlüsselung sind transparent für den Benutzer. Das bedeutet, dass, wenn Benutzer eine Datei speichern, EFS-Verschlüsselung von Daten als die Daten auf die Festplatte geschrieben, und, wenn Benutzer eine Datei öffnen, ist es von EFS entschlüsselt die Daten von der Festplatte gelesen wird. Benutzer sind im Grunde keine Kenntnis von diesem Prozess, und müssen nicht alle Maßnahmen ergreifen, die zur Einleitung des EFS-Verschlüsselung und Entschlüsselung. Es kann Dritten Technologien, die Datei-Verschlüsselung Fähigkeiten aber diese Programme sind nicht völlig transparent für den Benutzer. Mit diesen Programmen, die Verantwortung wäre auf Benutzer zu erinnern, zu nutzen, die Verschlüsselung Programm. Dies wiederum führt zu weniger Sicherheit, und möglicherweise schaffen Sicherheitslücken für sensible und vertrauliche Daten.

EFS-Schlüssel verwendet zum Verschlüsseln und Entschlüsseln von Daten sowie die Verschlüsselungs-Application Programming Interface (CryptoAPI) Architektur, um kryptographische Funktionen. Auch wenn es können Enterprise Certificate Authority (CA)-Zertifikate, das nicht erforderlich. Wenn keine CA vorhanden, EFS Zeichen ein Zertifikat verwendet werden kann mit Datei-Verschlüsselung. Aus diesem Grund ist die EFS-Funktion kann auf Computern, die Mitglied einer Domäne ist, und auf Standalone-Computern.

Die EFS-Schlüssel, verwendet zum Verschlüsseln und Entschlüsseln von Daten, ist eine öffentliche und private Schlüsselpaar, und eine Datei pro Schlüssel. EFS erzeugt eine Datei Schlüssel (FEK), die einen symmetrischen Schlüssel zur Verschlüsselung der Daten. Der File Encryption Key (FEK) ist neben verschlüsselt mittels der asymmetrischen Verschlüsselung mit Hilfe der Benutzer den öffentlichen Schlüssel. Asymmetrische Verschlüsselung verwendet einen öffentlichen und privaten Schlüssel-Paar für größere Sicherheit. Der verschlüsselte FEK wird dann mit der verschlüsselten Datei. Wenn die Datei muss entschlüsselt werden, der FEK muss entschlüsselt werden. Der Benutzer den privaten Schlüssel wird zum Entschlüsseln des FEK. Der FEK wird dann zum Entschlüsseln der Daten der Datei.

EFS Wesentliche Merkmale

• EFS ist standardmäßig aktiviert. Benutzer müssen jedoch einem öffentlichen und einem privaten Schlüssel-Paar, und die Erlaubnis zur Verwendung von EFS.
• EFS braucht eine Recovery-Agent für sie zu arbeiten. Es wird das Zertifikat, wenn Sie es nicht besitzen.
• EFS kann nur Dateien verschlüsseln, wenn das NTFS-Dateisystem verwendet wird.
• Die Verschlüsselung hat keinen Einfluss auf Datei-und Ordner-Berechtigungen
• Sie können mehrere Benutzer an verschlüsselten Dateien
• Wenn Sie EFS-Dateien in eine andere Datei-System, Verschlüsselung entfernt wird.
• Wenn Sie Dateien in einen Ordner, die verschlüsselt ist, wird die Datei bleibt in seiner ursprünglichen Form. Es bleibt entweder verschlüsselt oder unverschlüsselt.
• Beim Kopieren einer Datei auf einem verschlüsselten Ordner, wird die Datei verschlüsselt werden.
• Wenn ein Ordner verschlüsselt ist, alle temporären Dateien in diesem Ordner werden verschlüsselt, so gut.
• Verschlüsselung ist als Datei-Attribut, und ist daher mit dem Rest der Attribute der Datei.
• EFS können Verschlüsseln und Entschlüsseln von Dateien auf einem entfernten Rechner
• Offline-Dateien können auch verschlüsselt werden durch EFS
• Dateien, die verschlüsselt gespeichert werden können in Web-Ordner
• EFS zuvor genutzten Data Encryption Standard Extended (DESX) für die Verschlüsselung. Mit Windows Server 2003, die Triple-DES (3DES) Verschlüsselungs-Algorithmus verwendet werden kann zur Verbesserung der Sicherheit von EFS.
• Können Sie verschlüsselte Dateien.
• Alle komprimierten Dateien und Ordner entpackt werden müssen, bevor sie verschlüsselt werden
• System-Dateien und Ordner können nicht verschlüsselt werden.
• Dateien oder Ordner in ein Roaming-Benutzer kann nicht verschlüsselt werden

Die Komponenten von EFS

EFS verwendet die folgenden Komponenten zur Erfüllung seiner Funktionen:

• EFS: Die EFS-Dienst kommuniziert mit dem EFS-Treiber durch die lokalen Procedure Call (LPC)-Port. Die EFS-Dienst und den Microsoft Cryptographic Application Programming Interface (CryptoAPI) kommunizieren, mit der EFS-Dienst empfangen Datei-Verschlüsselung Schlüssel aus dem CryptoAPI. Es nutzt diese Schlüssel zur Generierung von Daten Entschlüsselung Felder (DDFs) und Datenrettung Felder (DRFs). Die Datei Schlüssel (FEK) wird verwendet, für die Daten der Dateien. Die EFS-Dienst an den FEK, DRF, und DDF der EFS-Treiber durch die EFS File System Run-Time Library (FSRTL).
• EFS-Treiber: Die EFS-Treiber fordert Datei-Verschlüsselung Schlüssel, DDFs und DRFs aus der EFS-Dienst. Dann Relais diese auf die EFS FSRTL.
• EFS File System Run-Time Library (FSRTL): Die EFS FSRTL gibt es in der EFS-Treiber, und arbeitet mit der EFS-Treiber als eine Komponente. NTFS-Dateisystem Callouts Kontrolle verwendet werden, wie die Kommunikation zwischen den beiden Verfahren. Die EFS FSRTL führt eine Reihe von Datei-System Funktionen, die Verschlüsselung, Entschlüsselung, und Wiederherstellen-Daten, wenn sie von der Festplatte lesen oder auf die Festplatte geschrieben.
• Microsoft Cryptographic Application Programming Interface (CryptoAPI): CryptoAPI ist, die von EFS für kryptographische Funktionen. CryptoAPI unterstützt Verschlüsselung, Entschlüsselung, Hashing, digitale Signaturen und die Überprüfung, in Schlüssel-Management, sichere Lagerung und Schlüssel-Austausch-Operationen.

Wie Dateien sind verschlüsselt und entschlüsselt

Wie bereits erwähnt, EFS nutzt Public-Key-Verschlüsselung und symmetrische Schlüssel, um den Inhalt von Dateien und Ordnern. Die Algorithmen in der Public-Key Verschlüsselung nutzen asymmetrischen Schlüsseln für die Verschlüsselung und Entschlüsselung. Das bedeutet, dass die Schlüssel verwendet zum Verschlüsseln und Entschlüsseln von Daten sind anders, weil ein privater Schlüssel und einem öffentlichen Schlüssel verwendet. Der private Schlüssel wird durch den Eigentümer des Schlüssels. Der öffentliche Schlüssel verwendet werden kann über das Netzwerk.

Wenn Daten verschlüsselt sind, EFS erzeugt eine einzigartige FEK zum Verschlüsseln der Datei. Anschließend verschlüsselt die FEK mit dem öffentlichen Schlüssel des Zertifikats des Benutzers. EFS nutzt die FEK, um sicherzustellen, dass die Verschlüsselung erfolgt rasch. Der private Schlüssel des Benutzers wird zur Entschlüsselung der FEK.

Der Prozess unten tritt auf, wenn ein Benutzer eine Datei verschlüsselt:

• Die Datei wird von der EFS-Dienst
• Die Daten-Streams der Datei werden neben kopiert zu einem Klartext temporäre Datei im temporären Verzeichnis des Systems
• EFS erzeugt die einzigartige FEK.
• Der FEK wird zur Verschlüsselung der Datei entweder durch DESX oder 3DES.
• Die Daten Entschlüsselung Bereich (DDF) erstellt. Das DDF ist der FEK verschlüsselt durch den öffentlichen Schlüssel des Benutzers.
• Weist eine Verwertungs-Agenten ist definiert durch die Gruppe, den Bereichen Data Recovery (DRFs) erstellt.
• Die verschlüsselten Daten, DDF, und DRF sind in der Datei.
• Der Klartext temporäre Datei im temporären Verzeichnis des Systems wird gestrichen.

Der Prozess unten tritt auf, wenn eine Datei entschlüsselt:

• NTFS tatsächlich werden die Dateien als verschlüsselt, und dann stellt einen Antrag für die durch die Entschlüsselung der EFS-Treiber.
• Die EFS-Treiber Weiter erhält die Daten-Entschlüsselung Bereich (DDF) und sendet sie an die EFS-Service.
• Die EFS-Service erhält der private Schlüssel des Benutzers. Er benutzt diesen Schlüssel zum Entschlüsseln der DDF.
• Sobald die EFS-Dienst hat die DDF-und entschlüsselt die FEK erhalten, sendet er die FEK auf die EFS-Treiber.
• Die EFS-Treiber nutzt die FEK es von der EFS-Service zum Entschlüsseln der Daten in der Datei.
• Die EFS-Treiber dann die entschlüsselten Daten zu NTFS.

EFS und Zertifikate

Sobald ein Benutzer ermöglicht Verschlüsselung für einen Ordner oder Dateien, EFS, ob der Benutzer hat ein Unternehmen Zertifikat in den persönlichen Zertifikatsspeicher. EFS fordert ein Zertifikat für den Benutzer, wenn sie nicht finden können ein Zertifikat in den persönlichen Zertifikatsspeicher, von einer Certification Authority (CA). EFS Erlöse um ein selbst signiertes Zertifikat für den Benutzer, wenn es keine Unternehmen CA. Die EFS-Zertifikat des Benutzers zugegriffen wird, wenn EFS muss Verschlüsseln und Entschlüsseln der FEK. EFS auch erneuert EFS-Zertifikate, die abgelaufen ist.

Zertifikate, die von Unternehmen CA-Zertifikat-Vorlagen verwenden, die in Active Directory. Zertifikat Vorlagen detailliert die Eigenschaften des Zertifikats werden können, die für die Benutzer und Computer. Das Zertifikat-Vorlagen, die EFS sind User, Administratoren und Basic EFS. Enterprise. CA nutzt Access Control Lists (ACLs), wenn sie benötigen, um festzustellen, ob Zertifikat Anträge genehmigt werden sollte. Ein Benutzer hat daher, dass die Anmeldung für ein Zertifikat zur Vorlage haben, eine Bescheinigung ausgestellt. Die Mitglieder der Gruppe "Domänen-Admins und Domänen-Benutzer-Gruppe haben diese Erlaubnis. Benutzer können mit dem Zertifikate-Snap-In-Zertifikate zu beantragen.

Verwenden Sie die Schritte aus, um ein Zertifikat von einer CA über das Zertifikate-Snap-in

1. Öffnen Sie das Zertifikate-Snap-In
2. Gehen Sie, um die Persönliche Ordner.
3. Der rechten Maustaste auf Zertifikate, und wählen Sie Alle Aufgaben und dann Neues Zertifikat anfordern "aus dem Menü
4. Der Antrag Neues Zertifikat-Assistent startet.
5. Wählen Sie die Option Basic EFS-Zertifikat auf den Bildschirm-Typen. Klicken Sie auf Weiter
6. Bereitstellung von Informationen für Friendly Name und Beschreibung. Klicken Sie auf Weiter
7. Klicken Sie auf Fertig stellen um den Assistenten zu beenden.
8. Das neue Zertifikat wird in der Zertifikate-Ordner.

Sie können mit dem Zertifikate-Snap-In, um festzustellen, ob Sie bereits über ein Zertifikat

1. Gehen Sie zu suchen und öffnen Sie das Zertifikate-Snap-In, die für die Mein Benutzerkonto
2. Erweitern Sie die Persönliche Ordner
3. Der rechten Maustaste auf Zertifikate, um, ob ein Zertifikat vorhanden ist

Verschlüsselung / Entschlüsselung von Dateien mit EFS

Es wird empfohlen, um EFS-Verschlüsselung für Ordner, anstatt es ihr ermöglichen, für die einzelnen Dateien. Auf diese Weise müssen Sie nicht zum Verschlüsseln von einzelnen Dateien beim Speichern der Datei.

Verwenden Sie die Schritte aus, um einen Ordner zu verschlüsseln

1. Öffnen Sie "Arbeitsplatz"
2. Der rechten Maustaste auf den Ordner, den Sie verschlüsseln möchten, und wählen Sie "Eigenschaften" aus dem Kontextmenü aus.
3. Wenn Sie das Dialogfeld Eigenschaften des Ordners öffnet, klicken Sie auf die Schaltfläche "Erweitert" auf der Registerkarte "Allgemein".
4. Das Dialogfeld Erweiterte Attribute wird angezeigt.
5. In der Komprimierung oder Verschlüsselung Attribute Teil des Dialogfeld Erweiterte Attribute, aktivieren Sie das Kontrollkästchen Inhalt verschlüsseln, um Daten zu schützen Kontrollkästchen.
6. Klicken Sie auf OK, um die Verschlüsselung für den Ordner und alle Dateien in den Ordner.
7. Eine weitere Meldung wird angezeigt, in einem Dialogfeld angezeigt, wenn der Ordner enthält Unterordner und Dateien, die unverschlüsselt. Die Nachricht fordert Sie auf, ob Sie Ihre Einstellungen sollten auf den Ordner oder nur zu dem Ordner, die Unterordner und Dateien.
8. Wenn Sie die auf Änderungen für diesen Ordner nur die Möglichkeit, die folgenden Fälle eintritt:
• Dateien, die sich bereits in den Ordner und alle Unterordner bleiben in ihren ursprünglichen Zustand
• Dateien, die Sie in dem Ordner werden verschlüsselt
• Kopiert Dateien in den Ordner, die Sie und andere Benutzer sind verschlüsselt
• Dateien, die in, kopiert oder verschoben werden, um Unterordner bleiben in ihren ursprünglichen Zustand.
9. Wenn Sie die auf Änderungen für diesen Ordner, Unterordner und Dateien Option, geschieht Folgendes:
• Dateien, die sich bereits in den Ordner und alle Unterordner werden verschlüsselt, wenn Sie die Schreibberechtigung.
• Dateien, die in, kopiert oder verschoben werden, um Unterordner werden verschlüsselt, unabhängig davon, ob von Ihnen oder anderen Benutzern

Verwenden Sie die Schritte aus, um einen Ordner entschlüsseln

1. Der rechten Maustaste auf den Ordner, den Sie entschlüsseln möchten, und wählen Sie "Eigenschaften" aus dem Kontextmenü aus.
2. Wenn Sie das Dialogfeld Eigenschaften des Ordners öffnet, klicken Sie auf die Schaltfläche "Erweitert" auf der Registerkarte "Allgemein"
3. Wenn das Dialogfeld Erweiterte Attribute angezeigt wird, deaktivieren Sie die Kontrollkästchen Inhalt verschlüsseln, um Daten zu schützen Kontrollkästchen.

Wie zum Verschlüsseln von Offline-Dateien

1. Öffnen Sie "Arbeitsplatz"
2. Verwenden Sie das Menü "Extras" wählen Sie den Ordner Optionen im
3. Verwenden Sie die Registerkarte Offlinedateien zu:
• Aktivieren Sie Offline-Dateien
• Encrypt Offline-Dateien
4. Klicken Sie auf OK

Wie, um den Status der EFS-Verschlüsselung

1. Öffnen Sie "Arbeitsplatz"
2. Verwenden Sie das Menü "Extras" wählen Sie den Ordner Optionen im
3. Klicken Sie auf die Registerkarte "Ansicht"
4. Aktivieren Sie die Show verschlüsselte oder komprimierte NTFS-Dateien in Farbe Kontrollkästchen.
5. Klicken Sie auf OK
6. Verschlüsselten Ordner-und Dateinamen werden in grün.

Wie, um EFS-Optionen im Kontextmenü

Wenn EFS-Optionen aktiviert sind über das Kontextmenü, ein Nutzer nur auf der rechten Maustaste auf den Ordner oder die Datei zu verschlüsseln oder entschlüsseln den Ordner oder die Datei.

1. Klicken Sie auf Start, Ausführen, und geben Sie regedit.exe in das Dialogfeld Ausführen ein. Klicken Sie auf OK
2. Der Registrierungs-Editor öffnet sich
3. Suchen Sie den folgenden Unterschlüssel:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced

4. Verwenden Sie das Menü "Bearbeiten" wählen Sie Neu und anschließend DWORD-Wert
5. Gehen Sie, um EncryptionContextMenu Wert für Name, und 1 für den Wert.
6. Veränderungen der Registry sind sofort wirksam.

So nutzen Sie Cipher.exe zum Betrachten, erstellen oder ändern, Verschlüsselung für Ordner und Dateien

Cipher.exe ist ein Kommandozeilen-Tool benutzt werden kann zum Verschlüsseln und Entschlüsseln von Ordnern oder Dateien. Mit dem Befehl cipher ohne Schalter wird der Status der Verschlüsselung auf den Ordner und Dateien innerhalb des Ordners.

Die Syntax für den Befehl cipher und ihre Schalter sind unten:

cipher [{/e|/d}][/s:Folder][/a][/i][/f][/q][/h][/k][/u [/n]]

• /e verschlüsselt die bestimmte Ordner und Dateien hinzugefügt werden verschlüsselt und
• /d entschlüsselt der besonderen Ordner. Die Verschlüsselungs-Attribut wird aus dem Ordner.
• /s:Folder die dazu dient, den Ordner und Unterordner, die genutzt werden
• /a die zur Verschlüsselung von Dateien im aktuellen Verzeichnis
• /i verwendet, um anzuzeigen, dass der gegenwärtige Prozess sollte fortgesetzt werden, auch wenn Fehler vorhanden sind.
• /f für die Kraft-Verschlüsselung oder Entschlüsselung für alle Sinne von Dateien und Ordnern
• /q nur die wichtigen Informationen
• /h Listen von Dateien, die versteckte und System-Attribute Attribute
• /k erzeugt eine neue FEK für den jeweiligen Benutzer, der den Befehl
• /u Updates der FEK des Nutzers und den Schlüssel des Recovery Agent. Wird mit / n
• /n stoppt Tasten nicht aktualisiert. In Verbindung mit / u

Wie zu ermächtigen, für mehrere Benutzer Zugriff auf verschlüsselte Dateien

Vor der Zulassung von mehreren Benutzern Zugriff auf verschlüsselte Dateien, die folgenden:

• Eine Datei teilen, Web-Ordner oder Remote-Sitzung ist für autorisierte Benutzer, um EFS-Dateien über das Netzwerk.
• Die Benutzer, die Sie autorisieren den Zugriff auf die EFS-Dateien müssen die EFS-Zertifikate
• Wenn Sie zulassen, ein Benutzer eine Datei zu entschlüsseln, wird der Benutzer automatisch zu genehmigen, für zusätzliche Nutzer mit Zugriff auf die Datei

Verwenden Sie die Schritte aus, um ein EFS-Datei mit zusätzlichen Nutzern

1. Öffnen Sie "Arbeitsplatz"
2. Der rechten Maustaste auf die verschlüsselte Datei und wählen Sie "Eigenschaften" aus dem Kontextmenü aus.
3. Wenn das Dialogfeld Erweiterte Attribute öffnet, klicken Sie auf die Schaltfläche Details
4. Die Verschlüsselung Dialogfeld "Details" öffnet sich.
5. Klicken Sie auf Hinzufügen, öffnen Sie das Dialogfeld Wählen Sie Benutzer.
6. Sie können jetzt einen Benutzer aus dem lokalen Computer, oder aus dem Active Directory.
7. Klicken Sie auf das Zertifikat des Benutzers, um einen Benutzer aus dem lokalen Computer. Klicken Sie auf OK
8. Klicken Sie auf die Schaltfläche Suchen User zu finden, einen Benutzer in Active Directory.
9. Dann klicken Sie auf Durchsuchen, wenn das Finden Sie Benutzer, Kontakte und Gruppen Dialogfeld öffnet, um die User (s).
10. Klicken Sie auf den Ordner oder die Domäne, die gesucht werden soll in der Leute für Container Dialogfeld.
11. Wählen Sie den Benutzer (n) und klicken Sie dann auf OK

File Recovery Agents

Die Möglichkeit für die Wiederherstellung von Daten wird wichtig, wenn die Mitarbeiter verlegen ihre privaten Schlüssel oder die Organisation verlassen, ohne dazu alle ihre Dateien. Dies ist, wenn Wiederherstellungsagenten wichtig. Um EFS zu nutzen, eine Wiederherstellung von verschlüsselten Daten-Agent Politik muss vorhanden sein. EFS nutzt automatisch eine Standard-Recovery-Agent-Konto, wenn keine Wiederherstellung von verschlüsselten Daten-Agent-Politik besteht. Die Mitglieder der Gruppe "Domänen-Admins können ein Konto zur Nutzung für den Wiederherstellungsagenten Konto. Lokale Politik kann auf Standalone-Computer, um Konten als Agenten für Wiederherstellung von Daten. Diese Konten werden in der Regel ein Administrator-Konto. DRA-Zertifikate werden in das Zertifikat des Computers speichern, wenn ein Benutzer auf einen Domain-Computer, ist im Bereich der EFS-Recovery-Politik. Dies macht es möglich, für jede Domain Computer für den Zugriff auf den öffentlichen Schlüssel des DRA. Verschlüsselte Dateien enthalten eine Datenrettung, das wiederum hält die Datei verschlüsselt FEK. Ein DRA entschlüsseln kann eine verschlüsselte Datei, die im Bereich der EFS-Recovery-Politik durch die Nutzung des privaten Schlüssels.
Sie sollten mehrere DRAs durch EFS-Recovery-Politik, wenn Sie mehrere Benutzer sein, um Dateien zu entschlüsseln. Dateien sind in der Regel mehr sicher, wenn nur eine Person ist in der Lage, die Datei zu entschlüsseln. Der Nachteil ist aber, dass die Datei weniger erstattungsfähig.

Verwenden Sie die Schritte aus, um ein Recovery-Agent für den lokalen Computer

1. Klicken Sie auf Start, Ausführen, und geben Sie mmc in das Dialogfeld Ausführen ein. Klicken Sie auf OK
2. Wählen Sie Add / Remove Snap-in aus dem Menü "Datei", und klicken Sie auf "Hinzufügen".
3. Wenn das Add Eigenständiges Snap-In-Dialogfeld angezeigt wird, wählen Sie Group Policy Object Editor. Klicken Sie auf "Hinzufügen".
4. Stellen Sie sicher, dass Lokaler Computer ausgewählt ist. Klicken Sie auf OK
5. In der linken Fensterbereich, gehen Sie zu erweitern Lokaler Computer, Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, und Public-Key-Einstellungen.
6. Der rechten Maustaste auf Encrypting File System, und wählen Sie dann Eigenschaften aus dem Kontextmenü.
7. EFS auf dem Computer, wenn der Benutzer zum Verschlüsseln von Dateien mit Encrypting File System (EFS) Kontrollkästchen aktiviert ist. Klicken Sie auf OK
8. Der rechten Maustaste auf Encrypting File System, und wählen Sie Add Data Recovery Agent aus dem Kontextmenü aus.
9. Das Add Recovery Agent-Assistent wird gestartet.
10. Geben Sie einen Benutzernamen für den Benutzer, der eine Verwertung Zertifikat. Klicken Sie auf Weiter
11. Wählen Sie auf der Agenten für Wiederherstellung von Bildschirm, Navigieren durch Ordner / Verzeichnisse, um Benutzer.
12. Klicken Sie auf Weiter. Klicken Sie auf "Fertig stellen".

Verwenden Sie die folgenden Schritte zum Entfernen eines DRS

1. Mit Group Policy, in der linken Fensterbereich, gehen Sie zu erweitern Lokaler Computer, Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, Richtlinien öffentlicher Schlüssel, und Encrypting File System
2. Wählen Sie die DRA, die Sie löschen möchten, und löschen Sie das Zertifikat.

Wie zum Exportieren und Importieren von EFS und DRA-Zertifikate und private Schlüssel

Benutzer können den Zugang zu verschlüsselten Dateien von der Ausfuhr ihrer EFS-Zertifikate und private Schlüssel zu den entfernbaren Medien.

Verwenden Sie die Schritte aus, um den Export einer Bescheinigung an einen Wechseldatenträger

1. Gehen Sie für den Zugriff auf die Zertifikate-Snap-In
2. Erweitern Sie die Persönliche Ordner, und doppelklicken Sie dann auf Zertifikate
3. Finden Sie und der rechten Maustaste auf das Zertifikat, das Sie exportieren möchten, und wählen Sie Alle Tasks, und exportieren Sie dann aus dem Kontextmenü aus.
4. Wählen Sie Ja, privaten Schlüssel exportieren.
5. Sie können nun entweder zu löschen, wählen Sie den privaten Schlüssel aus dem Computer, nachdem es ausgeführt worden ist, oder Sie können wählen, lassen Sie es auf dem Computer. Nach der Auswahl einer Option, die Ihren Bedürfnissen entspricht, klicken Sie auf Weiter
6. Geben Sie ein Passwort für den Schutz der privaten Schlüssel exportiert. Klicken Sie auf Weiter
7. Geben Sie einen Namen für die exportierte Zertifikat und privaten Schlüssel.
8. Klicken Sie auf Weiter. Klicken Sie auf "Fertig stellen".

Verwenden Sie die Schritte aus, um ein Zertifikat importieren

1. Gehen Sie für den Zugriff auf die Zertifikate-Snap-In
2. Erweitern Sie die Persönliche Ordner, und dann mit der rechten Maustaste auf Zertifikate, wählen Sie Alle Aufgaben und anschließend auf Import aus dem Kontextmenü aus.
3. Geben Sie die Zertifikat-Datei, die importiert werden sollen.
4. Geben Sie die richtige Passwort zum Öffnen der Datei
5. Geben Sie einen Ort, an dem das Zertifikat importiert werden soll.

Wie kann die Schlüssel-und Datei-Sicherheit

Sie können die Sicherheit durch den Ersatz der Algorithmus, dass DESX EFS nutzt, mit dem stärkeren 3DES-Algorithmus. Sie können das System Kryptographie Group Policy Einstellung, um für 3DES-Verschlüsselung für IP-Sicherheit und EFS. Sie können jedoch ändern Sie die entsprechenden Einstellungen in der Registry HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ EFS-Schlüssel über den Registrierungs-Editor, um für 3DES-Verschlüsselung für EFS nur.

Sie können auch ein Start-Taste zu schützen Master-Schlüssel und vertrauliche Informationen, die sich auf dem Computer. Ein Start-Taste wird auch als SYSKEY. Autostart-Schlüssel werden automatisch erstellt, für Computer, die Mitglied einer Domäne. Sie müssen manuell einen Start-Taste für einen Standalone-Computer.

Ein Start-Schlüssel schützt die folgenden vertraulichen Informationen:

• Master-Tasten: Diese sind der Schlüssel zum Schutz der genutzten privaten Schlüssel.
• Schutz-Tasten: Diese sind der Schlüssel für Benutzer-Account-Passwörter entweder in Active Directory oder in den lokalen Security Accounts Manager (SAM) Registrierungsschlüssel
• Schutz für Ihre Schlüssel LSA Geheimnisse
• Der Schutz Schlüssel für das Administrator-Konto Passwort

Nach einem Start-Taste aktiviert ist, wird das Verfahren, das beim Start ist wie folgt:

• Das System ruft die Start-Taste
• Es wird dann genutzt, um den Master-Schutz-Taste
• Dieser Schlüssel wird dann genutzt, um die Benutzer-Account Schlüssel.
• Die Benutzer-Account Schlüssel wird zur Entschlüsselung der Kennwortinformationen in Active Directory oder in den lokalen Security Accounts Manager (SAM) Registrierungsschlüssel.

Verwenden Sie die Schritte aus, um für 3DES-Verschlüsselung für EFS nur

1. Öffnen Sie den Registrierungs-Editor
2. Suchen Sie den HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ EFS Unterschlüssel in der Registrierung.
3. Verwenden Sie das Menü "Bearbeiten" klicken Sie auf Neu, und dann DWORD-Wert
4. Legen Sie Wert AlgorithmID für Namen und 0x6603 für Wert
5. Diese Werte ermöglichen 3DES
6. Starten Sie den Computer neu

Verwenden Sie die Schritte aus, um 3DES mit Group Policy

1. Mit Group Policy, in der linken Fensterbereich, gehen Sie zu erweitern Sie Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, Lokale Richtlinien, und Sicherheits-Optionen.
2. Doppelklicken Sie auf das System der Kryptographie: Benutze FIPS kompatible Algorithmen für die Verschlüsselung Politik.
3. Wählen Sie Aktivieren
4. Klicken Sie auf OK

Verwenden Sie die Schritte aus, um die Start-Taste

1. Geben Sie SYSKEY auf der Befehlszeile
2. Gehen Sie auf die Verschlüsselung aktiviert.
3. Klicken Sie auf OK
4. Wählen Sie eine Option für den Schlüssel. Das System-Passwort, die lokal gespeichert Option ist die Standardoption.
5. Klicken Sie auf OK, um den Computer neu starten.

Verwenden Sie die Schritte aus, um die Start-Taste Optionen

1. Geben Sie SYSKEY auf der Befehlszeile
2. Fahren Sie auf Update.
3. Gehen Sie das Passwort zu ändern, oder wählen Sie eine andere Taste Option
4. Klicken Sie auf OK. Starten Sie den Computer neu.

Wie zu deaktivieren EFS

Sie können entweder deaktivieren EFS für einen Computer oder ein für die Domain. Verwenden Sie die Schritte aus, um mit EFS deaktivieren Sie den Registrierungs-Editor

1. Öffnen Sie den Registrierungs-Editor
2. Suchen Sie den HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ EFS Unterschlüssel in der Registrierung.
3. Verwenden Sie das Menü "Bearbeiten" klicken Sie auf Neu, und dann DWORD-Wert
4. Legen Sie Wert EfsConfiguration für Name, und 1 für den Wert
5. Diese Werte EFS deaktivieren
6. Starten Sie den Computer neu

EFS-Best Practices

Ein paar Best Practices für EFS sind im Folgenden zusammengefasst:

• Immer wählen Sie Ordner zu verschlüsseln, und nicht einzelne Dateien. Verschlüsselung von Ordnern erleichtert die einfache Datei-Verschlüsselung Management. Denken Sie daran, dass alle Dateien, oder in einem verschlüsselten Ordner werden automatisch verschlüsselt.
• Sie können den Microsoft Certificate Services zu verwalten und EFS DRA Zertifikate / private Schlüssel
• Die Nutzer sollten ihre Ausfuhr EFS-Zertifikate und private Schlüssel zu den entfernbaren Medien, und speichern Sie die Medien an einem sicheren Ort auf.
• Versuchen Sie, eine kleine Anzahl von bestimmten Agenten für Wiederherstellung. Je weniger die Zahl der Recovery-Agenten, desto einfacher ist es zu verwalten, und sicherstellen, dass sie nicht falsch Entschlüsseln von Dateien.
• Sie sollten auch den Export der private Schlüssel für die Verwertung Konten, und sichern sie an einem sicheren Ort.
• Sie sollte sich bemühen, Verschlüsselung sensibler Daten auf jedem Computer, der Mitglied einer Domäne.
• Ermöglichen eine Start-Taste auf Standalone-Computer zur weiteren Verbesserung der Sicherheit für die privaten Schlüssel der Nutzer.
• Stellen Sie sicher, dass der Ordner "Eigene Dateien" verschlüsselt ist in Fällen, in denen der Nutzer eine Verbindung zu dem gleichen Computer.
• Sie sollten Offline-Dateien verschlüsseln, um den Schutz für lokal gespeicherte Dokumente.
• Mit dem Programm "Server Message Block (SMB) Unterzeichnung mit EFS unterstützt, um sicherzustellen, dass Dateien sicher übertragen / empfangen über das Netzwerk.
• Sie können auch IPSec zum Verschlüsseln von Daten, da es sich über das Netzwerk