Was bringt mir eigentlich die Windows XP verschlüsselung?! Es kann nach wie vor jeder andere Benutzer (egal ob Admin oder nicht) auf meine verschlüsselten verzeichnisse zugreifen. Wofür ist die verschlüsselung also gut?!

Windows Verschlüsselung (EFS) schützt den Inhalt der Daten vor Sichtung. Ordnerstruktur, Dateinamen, Attribute bleiben sichtbar.

In Zusammenspiel mit den Benutzerrechten von NTFS verhindert man auch den Zugriff auf verschlüsselte Daten.

Also am besten immer beides zusammen benutzen!

Man verschlüsselt, damit andere nicht in den privaten Daten herumschnüffeln.

Und du benutzt EFS offenbar vollkommen falsch. Lies die Hilfe dazu.

MfG,
P.

das einfach so alle auf die Dateien zugreifen können kann nicht sein.
Ist es überhaupt möglich Dateien für mehrere Benutzer zu verschlüsseln?

Man verschlüsselt, damit andere nicht in den privaten Daten herumschnüffeln.

Und du benutzt EFS offenbar vollkommen falsch. Lies die Hilfe dazu.

MfG,
P.
Du brauchst mir nicht erklären wofür eine Verschlüsselung gut ist, sondern wofür die Windows XP Verschlüsselung gut ist. Es kann doch nicht sein, das ich einen Ordner von 65 GiB verschlüssel, 3 Stunden warte bis Windows damit fertig ist und der einzige Unterschied besteht darin, das die Ordnerbeschriftung nicht mehr schwarz, sondern grün ist....

Jedenfalls konnte ich noch keinen anderen Unterschied erkennen.

das einfach so alle auf die Dateien zugreifen können kann nicht sein.
Ist es überhaupt möglich Dateien für mehrere Benutzer zu verschlüsseln?
Ja.

Du brauchst mir nicht erklären wofür eine Verschlüsselung gut ist, sondern wofür die Windows XP Verschlüsselung gut ist. Es kann doch nicht sein, das ich einen Ordner von 65 GiB verschlüssel, 3 Stunden warte bis Windows damit fertig ist und der einzige Unterschied besteht darin, das die Ordnerbeschriftung nicht mehr schwarz, sondern grün ist....

Jedenfalls konnte ich noch keinen anderen Unterschied erkennen.
Melde dich doch mal unter einem anderen Benutzernamen an (noch besser: erstell einen neuen und melde dich mit dem an) und versuch auf die Dateien zuzugreifen (öffnen).

Ja.Wie denn?

Melde dich doch mal unter einem anderen Benutzernamen an (noch besser: erstell einen neuen und melde dich mit dem an) und versuch auf die Dateien zuzugreifen (öffnen).
Genau das habe ich ja gemacht, ich kann die Ordner öffnen (lesen und schreiben), egal mit welchen Profil ich angemeldet bin, sowohl als Admin, als auch eingeschränkt. Der Ordner ist grün beschriftet, einen anderen Unterschied konnte ich nicht feststellen.

Wie denn?
http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx#EIAA

Genau das habe ich ja gemacht, ich kann die Ordner öffnen (lesen und schreiben), egal mit welchen Profil ich angemeldet bin, sowohl als Admin, als auch eingeschränkt. Der Ordner ist grün beschriftet, einen anderen Unterschied konnte ich nicht feststellen.
:|
Wenn du obigen Link folgst, welche Benutzer sind bei dir als berechtigte Benutzer bei den verschlüsselten Dateien eingetragen?

http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx#EIAA


:|
Wenn du obigen Link folgst, welche Benutzer sind bei dir als berechtigte Benutzer bei den verschlüsselten Dateien eingetragen?
Tjehe, da haben wir das Problem: Der "Details" Button ist bei mir ausgegraut.....

Was bringt mir eigentlich die Windows XP verschlüsselung?! Es kann nach wie vor jeder andere Benutzer (egal ob Admin oder nicht) auf meine verschlüsselten verzeichnisse zugreifen. Wofür ist die verschlüsselung also gut?!
Kann nicht. Jedenfalls, wenn man das richtig konfiguriert ;) Erstmal vergibt man Rechte. Damit können die Leute nicht auf Deine Daten zugreifen. Passiert das gleich in einem Oberverzeichnis, können anderen "Benutzer" die 'dadrin' liegenden Verzeichnise nicht einsehen. Nicht die Namen, nicht die Größen, nicht den Inhalt. Nichts. Sie klicken es an und nichts passiert.

Verschlüsseln: Wenn auf dem System nicht Dein Windows gebootet wird (zB. CD) oder die Platte in einem anderen System steckt, kümmert sich das Betriebssystem (zB. Linux mit NTFS-Treibern) nicht um die vergegebenen Rechte des Windows Dateisystems (NTFS). Dafür ist das Verschlüsseln gedacht. Die Daten liegen Verschlüsselt auf der Platte und jeder kann sie zwar sehen und lesen, aber niemand kann etwas damit anfangen.

Übe erstmal mit Testverzeichnisen. Es haben sich schon aber Tausende selbst ausgesperrt. Oder nach einem Crash verschlüsselte Daten unwiederruflich verloren. Den Key, mit dem Verschlüsselt wird, sollte man nämlich als erstes zur Seite tun ;) Zuerst zieh Dir also paar FAQs zum Thema rein. Über Vererbung, Schlüssel extrahierien und und und.

Dass du den Ordner oeffnen kannst, ist, wie ja schon bereits erwaehnt wurde, auch gar nicht weiter ungewoehnlich. Die Verschluesselung bezieht sich dann wirklich nur auf die Dateien, die du dann mit einem anderen Benutzer nicht mehr oeffnen koennen solltest, weil ihm eben der Schluessel fehlt. Dass dann auch der "Details"-Button ausgegraut ist, klingt logisch.

Es ist aber egal mit welchen Benutzerprofil ich mich anmelde, ich kann immer auf die Daten zugreifen. Und so weit ich es verstanden habe kann man die Berechtigungen hinter dem Button "Details" setzen, der neben dem Verschlüsselungskästchen steht: aber der Button ist ausgegraut.

Es ist aber egal mit welchen Benutzerprofil ich mich anmelde, ich kann immer auf die Daten zugreifen. Und so weit ich es verstanden habe kann man die Berechtigungen hinter dem Button "Details" setzen, der neben dem Verschlüsselungskästchen steht: aber der Button ist ausgegraut.
Vieleicht hast du einfach kein Benutzerpasswort benutzt? Die Windowsverschluesselung benutzt das Benutzerpasswort des angemeldeten Benutzers.

// (oder bei beiden Benutzern das gleiche Kennwort)

Wenn es an etwaigen gleichen Passwörtern leigen sollte wäre das aber nciht gerade schön diese rtkenntnis :D. Dann koennte man ja unter umstaenden.....

Wenn es an etwaigen gleichen Passwörtern leigen sollte wäre das aber nciht gerade schön diese rtkenntnis :D. Dann koennte man ja unter umstaenden.....
...mit Hilfe des Passwortes an die Daten kommen?

Vieleicht wird der Benutzername fuer den Schluessel ja mitverhashed, ich weiss nicht wie das im Detail aussieht. Ich weiss nur dass die Windows Anmeldedaten benutzt werden, wuerde der Schluessel im Benutzerprofil gespeichert werden, waere das ja auch ziemlich unsicher.

Wenn das Password reichen würde, wofür ist dann das Zertifikat gut? Das kann also nicht sein.

Vieleicht hast du einfach kein Benutzerpasswort benutzt? Die Windowsverschluesselung benutzt das Benutzerpasswort des angemeldeten Benutzers.

// (oder bei beiden Benutzern das gleiche Kennwort)
Weder das gleich, noch kein Passwort.... :(

Hallo,

ich kann Euch nur eines raten, lasst die Finger von der Windows-eigenen Verschlüsselung.

1. Ist das Verfahren zur Verschlüsselung nicht offen gelegt, es könnte also eine Backdoor eingebaut sein!

2. Ist die Performance einfach schlecht!

3. Ist das System kompliziert.
Jeder kann die Dateien und Ordner sehen, nur öffnen kann man sie nicht!
Die meisten Leute wollen aber auch unsichtbare Datei und Ordnernamen haben. ;)

4. Verliert man seinen User-Account, dann sind alle Dateien futsch!



Mein Tip daher: TrueCrypt!

Das Ding ist OpenSource, also ohne Backdoors, für jedes OS erhältlich und vor allem sehr sehr schnell. Das hängt natürlich auch vom gewählten Algorithmus ab, aber auch hier bietet das Programm eine große Auswahl (AES, Blowfish, auch Wiederholungen und Kombinationen, usw) an.

Zudem kann man festlegen, ob man ein Passwort oder eine Datei als Passwort nutzen will. Die Container mit Daten können selbst Dateien sein, oder auch unformatierte Bereiche der Festplatte. Die dort liegenden Daten sind nicht von einem normalen unformatierten Bereich zu unterscheiden. Also könnte einem nichtmal nachgewiesen werden, dass hier verschlüsselte Dateien auf dem System liegen ;)
Natürlich kann man auch verschlüsselte Container in anderen verschlüsselten Containern erzeugen.

Fazit: Max. Sicherheit, max. Geschwindigkeit, max. Flexibilität!

Hallo,

ich kann Euch nur eines raten, lasst die Finger von der Windows-eigenen Verschlüsselung.

1. Ist das Verfahren zur Verschlüsselung nicht offen gelegt, es könnte also eine Backdoor eingebaut sein!

2. Ist die Performance einfach schlecht!

3. Ist das System kompliziert.
Jeder kann die Dateien und Ordner sehen, nur öffnen kann man sie nicht!
Die meisten Leute wollen aber auch unsichtbare Datei und Ordnernamen haben. ;)

4. Verliert man seinen User-Account, dann sind alle Dateien futsch!1. olol...
2. aha?! andere erfahrung gemacht
3. was ist daran kompliziert? es wird eben mit zertifikaten gearbeitet ud das hat nicht direkt was mit öffnen und sehen der dateien zu tun...allerdings ist es für eine verschlüsselung eigentlich völlig irrelevant ob man dateinamen sieht ausser man hat angst vor mama dass sie die porns sehen kann
4. völlig falsch...
man sichere das zertifikat und schon hat man damit 0 probleme


du solltest dich vielleicht erst ernsthaft mit der thematik oder hier im speziellen esf auseinandersetzen bevor du gegen es wetterst...murphys law gibt es nicht umsonst ;)


Mein Tip daher: TrueCrypt!

Das Ding ist OpenSource, also ohne Backdoors, für jedes OS erhältlich und vor allem sehr sehr schnell. Das hängt natürlich auch vom gewählten Algorithmus ab, aber auch hier bietet das Programm eine große Auswahl (AES, Blowfish, auch Wiederholungen und Kombinationen, usw) an.

Zudem kann man festlegen, ob man ein Passwort oder eine Datei als Passwort nutzen will. Die Container mit Daten können selbst Dateien sein, oder auch unformatierte Bereiche der Festplatte. Die dort liegenden Daten sind nicht von einem normalen unformatierten Bereich zu unterscheiden. Also könnte einem nichtmal nachgewiesen werden, dass hier verschlüsselte Dateien auf dem System liegen ;)
Natürlich kann man auch verschlüsselte Container in anderen verschlüsselten Containern erzeugen.

Fazit: Max. Sicherheit, max. Geschwindigkeit, max. Flexibilität!
ich will ja dein backdoor geblärre ja nicht schlecht reden aber wenn man als unterbau ein closed source os hat und davor "angst"/bedenken hat sollte man seine komplette softwarestrategie inkl der eigenen einstellung mal evtl überdenken

wer sagt dass sich der berreich nicht von normalem unformatierten bereich unterscheidet?! da hätte ich gern eine quellenangabe auch wenn ich truecrypt nicht ausprobiert habe...


@topicproblem...
ist dein zertifikat evtl als computerzertifikat eingetragen?

3. Ist das System kompliziert.
Jeder kann die Dateien und Ordner sehen, nur öffnen kann man sie nicht!
Die meisten Leute wollen aber auch unsichtbare Datei und Ordnernamen haben. ;)
Man muss vor auch mal schauen, was allein an Dateinamen auf Ewigkeiten in der Registry stehen. Der Recent Ordner enthält auch noch Verknüpfungen zu allen möglichen Datei.
Wenn man das konsequent verhindern möchte, dann bleibt nur Totalverschlüsselung.

@topicproblem...
ist dein zertifikat evtl als computerzertifikat eingetragen?
Was denn für ein Zertifikat?

Ich mache einen rechtsklick auf einen Ordner, erweitert - verschlüsseln anhaken, ok, warten (warten, warten...) und irgendwann ist dann der Ordnername grün: Ende.

Tjehe, da haben wir das Problem: Der "Details" Button ist bei mir ausgegraut.....
Auch bei Dateien oder nur bei Ordnern? Bei Ordnern ist das auch bei mir so und wohl normal.

Männer, ist es denn so extrem schwer, sich mal 10 Minuten auf den Arsch zu setzen, Google zu verwenden, die Microsoft Seite zu EFS zu finden, diese zu lesen und plötzlich ganz furchtbar schlau zu sein?

Junge, Junge....

Männer, ist es denn so extrem schwer, sich mal 10 Minuten auf den Arsch zu setzen, Google zu verwenden, die Microsoft Seite zu EFS zu finden, diese zu lesen und plötzlich ganz furchtbar schlau zu sein?

Junge, Junge....
Wenn du so furchtbar schlau bist, dann hilf doch dem Gast anstatt rumzumosern. :|

Für alle die es schon gelesen habe: ich habe den gesamten text editiert, weil er teilweise falsch war.

EFS stellt eine Ergänzung zu den ACLs da, und wird primär dort verwendet, wenn Gefahr besteht dass die ACLs von aussen umgangen werden könnten. Als Nebeneffekt: Benutzer OHNE vollzugriff auf dateien, können datein verschlüsseln und sie sogar vor dem Admin schützen indem sie das recht "attribute schreiben" erhalten. Das haben sie schon mit ormalen "ändern" rechten.

Beispiel: Platte in andere Rechner stecken und unter Linux oder anderem Windows die Daten auslesen. Oder geklautem Laptop. EFS schützt also davor, das von aussen auf die daten zugegriffen werden kann, NTFS kann davor nicht schützen. Dafür bräuchte man das Zertifikat, dass natürlich nicht ungeschützt auf der Platte rumliegen sollte. Genau wie man keine EC Karte mit der Pin im Portmonnaie aufbewahrt.

Deswegen: Wenn man Windows neu installiert und verschlüsselte Verz. hat immer vorher das Zertifikat sichern, ansonsten Daten futsch, man kann nur noch löschen. IMO ist nochkein Weg bekannt, EFS zu knacken. (EDIT: geht wohl doch http://www.at-mix.de/news/druckversion-artikel-529.html )
Auch alle Benutzer mit SICHEREN Passwörtern versehen. Wenn ein Benutzer sich anmelden kann, dann kommt er auch an die verschlüsselten Daten ran, weil die Verschlüsselung für das system und NICHT für den Benutzer gilt. Externes ändern der PAsswörter verhindern, also kein boot von cd oder floppy. am besten beides rausbauen.

Und als wiederholung zu meinem folgenden Beitrag. EFS verschlüsselt die Daten, aber versteckt sie nicht vor anderen Benutzern, dass kann man mit ACLs besser erledigen. ACLs und EFS sind zusammen in NTFS integriert.

EFS zu knacken. (EDIT: geht wohl doch http://www.at-mix.de/news/druckversion-artikel-529.html )naja, sie sind wzar auf nem weg aber noch lang nicht am ziel...

-> " Dazu werden die Systemdateien nach den EFS-Zertifikaten durchsucht, denn zumindest einen Teil dieser Schlüssel benötigt AEFSDR, um die EFS-Verschlüsselung zu knacken."

und des rätsles lösung für alle Probleme hier im Thread: Andere User könne IN den verschlüsselten Ordner reinschauen und den inhalt sehen. wenn sie aber die datei zu öffnen versuchen gibt es eine fehlermeldung.
@Threadstarter: erzeuge eine verschlüsselte Textdatei. schreib was rein. log dich mit einem andren user ein. verscuh die datei zu öffnen. voilá.

Evtl. kann mir ja jemand helfen:

Ich möchte gerne eine Partition sicher verschlüsseln. Die partition sollte immer dann "gemountet" werden, wenn sich ein bestimmter User mit seinem PW an Windows anmeldet. Sprich: ich habe keine Lust, jedesmal wenn ich auf Partition x zugreifen will, ein PW eingeben zu müssen.

Ich will nur vermeiden, das jemand in meiner Abwesenheit meinen PC hochfärt und sich den Inhalt meiner Partition x ansehen kann.

Evtl. kann mir ja jemand helfen:

Ich möchte gerne eine Partition sicher verschlüsseln. Die partition sollte immer dann "gemountet" werden, wenn sich ein bestimmter User mit seinem PW an Windows anmeldet. Sprich: ich habe keine Lust, jedesmal wenn ich auf Partition x zugreifen will, ein PW eingeben zu müssen.

Ich will nur vermeiden, das jemand in meiner Abwesenheit meinen PC hochfärt und sich den Inhalt meiner Partition x ansehen kann.

www.truecrypt.org

Evtl. kann mir ja jemand helfen:

Ich möchte gerne eine Partition sicher verschlüsseln. Die partition sollte immer dann "gemountet" werden, wenn sich ein bestimmter User mit seinem PW an Windows anmeldet. Sprich: ich habe keine Lust, jedesmal wenn ich auf Partition x zugreifen will, ein PW eingeben zu müssen.

Ich will nur vermeiden, das jemand in meiner Abwesenheit meinen PC hochfärt und sich den Inhalt meiner Partition x ansehen kann.

hast du mehrere Benutzer, die nicht Admin sind? dann reicht NTFS ACLs. Einfach nur dem einen Benutzer die Rechte geben, der andere darf dann nicht drauf.

Laufwerke einblenden / ausblenden (dynamische Mounten mit _lokalen_ Volumes) kannst du mir "Bordmitteln" nicht so einfach. Zu sehen sind sie eigentlich immer, aber eben nicht "zugreifbar". Man könnte mit Loginskripten und Policies arbeiten, aber das ist IMO mit Kanonen auf Spatzen schießen.

Wenn du nur mit Admins arbeitest ( :nono: ) hebelst du ACLs natürlich aus, dann kannst du das mit Verschlüsselung machen, das kann auch der Admin nicht so einfach aushebeln.

Bei EFS hast du den Nachteil, das deine Freundin die Datei "Gina Wild - Ganz heiß.avi" sehen kann aber nicht den Inhalt. :smile: Wenn du ACLs verwendest wird dies auch unterbunden. Die anderen Dürfen aber NUR mit Benutzern arbeiten, nicht mit Admins und du musst dem zu schützenden Account (und dem Admin) passwörter vergeben, die man nicht eben erraten kann.

Obs mit externer SW das alle geht? k.A. ist aber in einem vernünftigen System IMO auch nicht notwendig.

Wenn du so furchtbar schlau bist, dann hilf doch dem Gast anstatt rumzumosern. :|

Mir ist meine Zeit zu schade dafür ist, merkbefreiten Usern die Anleitung vorzulesen.
EFS ist im MS Technet wirklich sehr gut dokumentiert.

Alles was jorge42 gerade rauf und runter betet, ist dort exakt und ebenso gründlich beschrieben. jorge42 ist nur einfach zu nett um euch zu verstehen zu geben, dass man auch mal selbst lesen kann und sollte. :whistle:

Q

hört endlich auf zu jammern und fangt an zu lesen :smile: nicht bös gemeint aber quantendingsbums hat schon recht.

http://www.cipherbox.de/sicherheit-efs.html guter Link auf deutsch! Vor allem die EINSCHRÄNKUNGEN lesen. Damit wird einigermaßen deutlich was EFS kann und was nicht.

oder direkt von MS im Technet (wie von Quanten... schon vorgeschlagen) http://www.microsoft.com/technet/prodtechnol/winxppro/reskit/c18621675.mspx

oder einfach mal F1 drücken und nach EFS suchen. Dort steht eigentlich alles drin.

Ich behaupte immer noch. In einem sauber konfigurierten System, in dem die User mit eingeschränkten rechten arbeiten, braucht man zu 99,9% KEINE verschlüsselung. Und wenn die Leute eh als Admin unterwegs sind, dann kann man das ganze Verstecken und bla bla eh vergessen und weiter Quake 4 spielen.

Ganz im Ernst: Mal ganz davon abgesehen, daß ein Forum von solchen "viel zu netten Usern" lebt. Mir persönlich sind sie auch wesentlich lieber, als irgendwelche User, die einen "sprung in der Schüssel" haben, unhöflich sind und eigentlich nur mal ein bissl klugschei... möchten! :)

Das war natürlich nur gaaanz allgemein gemeint.... ;)

editiert.

Dann auch bitte gaaanz allgemein ausdrücken. Danke.