FAQ: EFS unter Windows 2000/XP/2003

#1 (Update 20.05.11)

[Generell]
F: Unter welchen OS steht EFS zur Verfügung?
A: Windows 2000 (Workstation + Server), XP Pro, Server 03 & 08 , sowie unter Vista und Win 7 mit folgenden Distributionen:

Vista und 7: Professional, Ultimate & Enterpise Editionen (32 und 64-Bit)
Die sog. "Home-Versionen" o.g. Betriebssysteme unterstützen EFS nicht. Gleiches gilt auch für "Premium" Varianten.

F: (7) Was hat sich in Windows 7 bzgl. EFS geändert?
A: http://technet.microsoft.com/en-us/library/dd630631(WS.10).aspx

F: Sind sonstige Voraussetzungen nötig und gibt es irgendwelche Einschränkungen?
A: Der Datenträger muss zwingend mit NTFS formatiert sein. Außerdem ist es nicht möglich, die interne Komprimierung
simultan mit EFS verschlüsselten Dateien/Verzeichnissen zu nutzen. Hier gilt: Entweder, oder!

F: Wie sicher ist EFS?
A: Ab XP Pro und späteren OS gilt EFS als höchstsicher, unter Windows 2000 kann es u.U. trivial zu
knacken sein. (<- absichtlich vage formuliert!)

F: (2000) Wieso ist EFS unter Windows 2000 möglicherweise banal zu brechen?
A: (Lese zwischen den Zeilen!) Weil im Gegensatz zu XP (und nachfolgenden OS) nicht die Einträge der SID zur Entschlüsselung verwendet
werden. Unter Windows 2000 setzt sich die Legitimation für das Encrypten der Dateien nur aus Benutzername+Kennwort
und dem Vorhandensein eines gültigen Zertifikats zusammen! Dies ist auch der Grund, warum User ab XP freigegebene EFS codierte Dateien über das LAN bei einem Windows 2000 System entschlüsseln können (sofern
gleiche Benutzernamen+Kennwörter auf beiden Systemen existieren). Umgekehrt funtioniert dies bspw. nicht.
(Danke an 'JMK' für die Frage)

F: Ich habe vor, mein System neu zu installieren. Es bestehen bereits EFS codierte Daten. Was muß ich
beachten?
A: Sichere bzw. exportiere vor der Neu-Installation zwingend(!) dein EFS-Zertifikat! Selbst wenn du bei der
neuen Windows Installation den identischen Benutzer samt Passwort anlegst, wären deine alten, vorher codierten
Daten nicht mehr lesbar! Hast du hingegen dein altes Zertifikat gesichert, kannst du es problemlos innerhalb
der neuen Windows Installation importieren.

F: Kann ich EFS verschlüsselte Dateien mit meinem Backup-Programm kopieren?
A: Ja, sofern dein Backup Programm dies unterstützt. Das sollte jedoch bei sämtlicher Software ab 2001 der
Fall sein.

F: Wenn man per Backup-Programm EFS Dateien sichern kann, ist es dann möglich, innerhalb des Backup-
Containers die verschlüsselten Daten auszulesen?
A: Nein. Die Daten liegen auch dort nur verschlüsselt vor.

F: Wer kann die verschlüsselten Daten entschlüsseln bzw. lesen?
A: Nur der Besitzer und -sofern vorhanden- der Wiederherstellungs-Agent. Selbst Personen, die der Gruppe der
Administratoren angehören, haben keinen Zugriff auf die Daten.

F: Sind die EFS Daten durch Booten eines alternativen Betriebssystems entschlüsselbar?
A: Nein.

F: Sind die EFS Daten durch Booten mit einer alternativen Software wenigstens kopierbar?
A: Höchstwahrscheinlich. Immerhin können auch Backup-Programme (Norton Ghost, Acronis etc.) problemlos die Datei- und
Verzeichnisstruktur von EFS Daten kopieren. Nur, was nutzt dir das?

F: Wie kann ich EFS höchstsicher benutzen?
A: 1.: Benutze ein starkes Kennwort!
2.: Exportiere dein EFS Zertifikat und lösche es aus dem Zertifikatsspeicher. (Anm.: Bei Windows 2000 zwingend notwendig!)
3.: (XP) Verzichte auf das Generieren eines Wiederherstellungs-Agenten.
Die Sicherheit von EFS steht und fällt vorrangig mit dem verwendeten Passwort!
4.: (2000/XP) Verzichte zwingend auf das Speichern von LM-Hashes in der SAM! Weise Windows stattdessen
an, ausschließlich NTLM-Hashes zu nutzen. Eine Anleitung für das Konfigurieren für Windows 2000
findet sich hier: http://www.winfaq.de/faq_html/Content/tip1500/onlinefaq.php?h=tip1663.htm
Unter Windows XP erfolgt das Setzen dieses Features vorzugsweise mit Hilfe der lokalen Sicherheitsrichtlinien:
(Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> Netzwerksicherheit: Keine LAN Manager
-Hashwerte für nächste Kennwortänderung speichern)

Wie unter [3] bereits erwähnt, ist die Sicherheit von EFS sehr stark von der Komplexität des verwendeten Login-
Passwortes abhängig. Wird dieses (ggf. durch spezielle Software) erraten/errechnet oder durch Dictionary-/Rainbow-
Table Attacken validiert, ist der Schutz hinfällig!

NTLM-Hashes gewähren hier einen bedeutend besseren Schutz, vorausgesetzt, das verwendete
Kennwort entspricht einer gewissen Komplexität analog zur Kennwortlänge. Die einzigen "Feinde" eines so
gewählten Kennwortes sind Brute-Force und Rainbow-Table Angriffe.

Brute-Force: Die Chancen, ein sicheres, komplexes NTLM Passwort zu brechen, indem lediglich Variationen
durchgerechnet werden, sind beliebig gering. CPU & GPU Power spielen hierbei keinerlei Rolle.
Rainbow-Tables: Die üblichen Verdächtigen bieten nach wie vor nur streng limititerte Tabellen für NTLM-Hashes an.
Mit Glück findet man diese vorberechnet für eine maximale Kennwortlänge von 8 Zeichen (Groß/klein Alpha, Numerisch und
sämtliche Sonderzeichen). Ein bspw. 14-stelliges komplexes Kennwort sollte dem trotzen.[/b]

[Sonderfälle]
F: (XP und neuer) Ich möchte mein installiertes System clonen. Dazu möchte ich vorher "Sysprep" oder "NewSID" benutzen. Auf dem
System sind bereits EFS kodierte Dateien vorhanden. Muss ich diesbezüglich etwas beachten?
A: Ja! Es muß(!) eine vorherige Dekodierung sämtlicher EFS verschlüsselter Dateien vorgenommen werden!
Erst danach darf "Sysprep" ("NewSID" o.ä.) ausgeführt werden! Dies ist elementar wichtig, ansonsten wären
die EFS verschlüsselten Daten unwiederbringlich verloren!

Die einzige -wirklich einzige- Ausnahme betrifft ein System, welches einen bereits existierenden Wiederherstellungs-
Agenten vorweist. Dann -und nur dann- reicht es aus, wenn das Zeritifikat des besagten Agenten gesichert und
später wieder importiert wird.

F: (XP und neuer) Ich habe Dateien und/oder Verzeichnisse EFS codiert und mein Passwort vergessen. Ein Wiederher-
stellungs-Agent existiert nicht. Was kann ich tun?
A: Nichts. Die Daten sind verloren.

F: (XP und neuer)Ich habe Dateien und/oder Verzeichnisse EFS codiert. Nun habe ich mein System neu aufgesetzt aber leider vergessen
vorab das Zertifikat der alten Windows Installation zu sichern/exportieren. Wie komme nun an die verschlüsselten Daten?
A: Leider gar nicht.

F: Ich habe auf meiner NTFS Partition EFS verschlüsselte Dateien. Nun möchte ich gerne das Filesystem mit einer
separaten Software nachträglich in FAT-32 wandeln. Muss ich etwas beachten?
A: Hebe vor der Migration die Verschlüsselung besser wieder auf. Da FAT-32 EFS nicht unterstützt, wird ansonsten
bei der Konvertierung bestenfalls deine benutzte Software selbige verweigern, schlechtestenfalls jedoch korrupte Daten
erzeugen! Btw: Es ist eine 'urban legend', dass mit obigem Prozedere EFS Dateien angeblich *automatisch* entschlüsselt
werden können! Eine absurde Vorstellung. Seit wann kann Software a'la Partition Magic & Co. als Decrypter eingesetzt
werden, noch dazu 'on the fly'?

F: (XP und neuer) Ich habe auf meinem PC zwei Konten: Das standardmäßige Admin-Konto und ein weiteres Konto. Nun habe ich mit
meinem 'normalen' Benutzer EFS codierte Dateien erstellt jedoch das Anmelde-Passwort vergessen. Und nun?
A: 1.: Falls ein Wiederherstellungs-Agent existiert und dieser eingerichtet wurde, *bevor* du mit einem anderen
Konto EFS Daten erstellt hast, kann dieser die Daten entschlüsseln. Existiert jedoch kein WHA kannst du dir sparen,
*jetzt* diesen mittels "Cipher" Befehl zu generieren! Ein WHA kann nur Dateien entschlüsseln, die *nach* seiner
Generierung erstellt worden sind!
2.: Versuche dich an dein Passwort zu erinnern!

Greift weder Möglichkeit 1 noch Variante 2 "...sag zum Abschied leise Servus"!

F: (XP und neuer/zu obigem Szenario) Kann ich nicht einfach mittels Software ein neues Passwort erstellen?
A: Klar kannst du das, dies hat jedoch keinen Einfluss auf EFS codierte Dateien! Sie sind trotzdem nicht entschlüsselbar,
Zertifikat hin oder her!

F: (XP und neuer/zu obigem Szenario) Kann mir der Administrator nicht ein neues Passwort zuweisen?
A: Klar kann er das, an deine Daten kommst du trotzdem nicht!

Anm.: Bei EFS ab XP und späteren OS gilt:
Wird das Passwort von jemand anderem als dem rechtmässigen Besitzer "gesetzt" bzw. geändert, sind die
Daten verloren! Dies gilt auch für Software, mit deren Hilfe man Kennwörter zurücksetzen kann!

F: (XP und neuer) Mein Passwort wurde vom Administrator bzw. durch eine externe Software neu vergeben. Mittlerweile
kenne ich jedoch wieder mein ursprüngliches Kennwort. Wenn *ich* nun wieder das aktuelle Kennwort ändere und
das ursprüngliche verwende, habe ich dann wieder Zugriff auf meine EFS Dateien?
A: Ja, wenn du zwischenzeitlich keine neuen Dateien unter dem neuen Passwort verschlüsselt hast.
Hast du hingegen bereits weitere Daten mit dem neuen Passwort codiert, benötigst du zwingend eine alte
Kopie deines Zertifikates. Dieses importierst du einfach. Danach sollten sich sowohl die alten, als auch die neuen
Daten entschlüsseln lassen.
Der Umkehrschluss: Besitzt du *keine* Kopie des alten Zertifikates *und* du hast bereits weitere Daten mit
dem neuen Passwort encrypted, sind die alten Daten nicht wiederherstellbar!
(Danke an 'JMK' für die Frage!)

F: (XP und neuer) Wie erstelle ich einen Wiederherstellungs-Agenten?
A: Unter der Eingabeaufforderung mit dem Befehl "Cipher". Tippe "Cipher/?" für weitere Hilfe.

F: (2000) Wie erstelle ich einen Wiederherstellungs-Agenten?
A: Unter W2K ist der standardmäßige Administrator der Wiederherstellungs-Agent. Eine Erstellung ist nicht mehr
notwendig.

F: Was ist von sog. "EFS-Knack-Software" zu halten?
A: Nichts! Mir ist nicht bekannt, dass EFS entschlüsselt werden kann. (Stand 05/11)

Links & Infos:
Vorgehensweisen bei Verwendung des Verschlüsselnden Dateisystems:
http://support.microsoft.com/default.aspx?scid=kb;de-de;223316&sd=tech

EFS im Klartext auf Different-Thinking.de:
http://www.different-thinking.de/efs.php

interne Windows Hilfe, Stichwort EFS

#2 Update (10.06.09)

#3 Update (20.05.11)
Text hinsichtlich neuerer, aktueller Betriebssysteme editiert: s/s "XP" "XP und neuer".
Sonstige Änderungen sind fett gedruckt.