Klicken Sie OK because der einzigartigen Natur des verschlüsselten
Klicken Sie OK.Because der einzigartigen Natur des verschlüsselten Dateien, unterschiedliche Ergebnisse können auftreten, wenn das Kopieren oder Verschieben von Dateien zwischen Standorten verschlüsselt. Zum Beispiel, wenn das Kopieren einer verschlüsselten Datei von einem lokalen Rechner auf einen Server im Netzwerk, unterschiedliche Ergebnisse der Kopie Betrieb auftreten, wird je nach Betriebssn partition recovery ystem, das auf dem Server. Im Allgemeinen ist das Kopieren einer Datei wird das EFS erben Eigenschaften der Zielgruppe, sondern ein Verschieben wird nicht erben, die Eigenschaften von EFS den Zielordner. *
Wenn der Ziel-Server auf dem Microsoft Windows NT ® Server 4,0, wird die Datei entschlüsselt und lautlos auf den Server kopiert.
*
Wenn der Ziel-Server mit Windows 2000, und die Maschine der Server vertrauenswürdig für die Delegierung in das Active Directory, wird die Datei entschlüsselt und lautlos auf den Server kopiert werden, wo sie erneut verschlüsselt über ein lokales Profil-und Verschlüsselungs-Schlüssel .
*
Wenn der Ziel-Server mit Windows 2000 und die Maschine der Server ist nicht vertrauenswürdig für die Delegierung in das Active Directory, oder der Server dateien reparieren in einer Arbeitsgruppe oder einer Windows NT-Domäne 4,0, wird die Datei nicht kopiert werden und der Benutzer erhalten "Zugriff verweigert" Fehlermeldung.
Die "Zugriff verweigert" Fehlermeldung an Anwendungen aus dem NTFS-Dateisystem, um die Kompatibilität mit bestehenden Anwendungen. Die Verwendung eines alternativen oder mehrere beschreibende Fehlermeldung würde dazu führen, dass viele Anwendungen nicht oder verhält sich unvorhersehbar.
Die Windows XP Professional-Client enthält einige Verbesserungen im Bereich der verschlüsselten Dateien zu kopieren. Sowohl die Shell-Schnittstelle und die Befehlszeile unterstützen nun auch eine Option zum Zulassen oder Verweigern eines Datei-Entschlüsselung. Wenn eine verschlüss dateien reparieren Datei kopiert wird, um ein Ziel, die Lage nicht erlauben entfernten Verschlüsselung, die der Benutzer wird aufgefordert, mit einer Dialogbox, die eine Wahl, ob oder nicht, die Datei zu entschlüsseln.
Das Zertifikat wird in den Speicher und gelöscht, wenn die Dateien erzeugt werden
Dieser Befehl wird filename.PFX (für die Datenrettung) und filename.CER (für die Verwendung in der Politik). Das Zertifikat wird in den Speicher und gelöscht, wenn die Dateien erzeugt werden. Sobald der Schlüssel generiert wurden das Zertifikat importiert werden sollen in die lokale Politik und die privaten Schlüssel in einem sicheren Ort.
Support für die Verwendung von Gruppen auf verschlüsselte Dateien nicht vorgesehen ist, entweder in Windows 2000 oder Windows XP. Auch die Unterstützung für mehrere Benutzer auf Ordner nicht vorgesehen ist, entweder in Windows 2000 oder Windows XP. Allerdings, Windows XP unterstützt EFS File-Sharing zwischen mehreren Benutzern auf einem einzigen Datei.
Die Verwendung von EFS File-Sharing in Windows XP bietet eine weitere Gelegenheit für die Datenrettung, indem Sie zusätzliche Benutzer zu einer hard drive recovery verschlüsselten Datei. Obwohl die Verwendung von zusätzlichen Nutzern nicht durchgesetzt werden können oder durch andere Mittel, es ist eine nützliche und einfache Methode für die Verwertung von verschlüsselten Dateien durch mehrere Benutzer, ohne tatsächlich Gruppen mit und ohne Austausch von privaten Schlüsseln zwischen den Nutzern.
Sobald eine Datei wurde zunächst verschlüsselt, File-Sharing aktiviert ist durch eine neue Schaltfläche in der Benutzeroberfläche. Eine Datei muss verschlüsselt und dann gespeichert, bevor zusätzliche Benutzer hinzugefügt werden kann. Nach der Auswahl der erweiterte Eigenschaften datenrettung der eine verschlüsselte Datei, ein Benutzer kann hinzugefügt werden, indem Sie die Schaltfläche Details. Einzelne Benutzer können andere Benutzer (Gruppen) aus dem lokalen Rechner oder aus dem Active Directory, sofern der Benutzer über ein gültiges Zertifikat für EFS.haring verschlüsselte Dateien mit EFS wurde seit 2000 durch Windows Win32 Anwendungsprogramm-Schnittstellen (API), EFS hat aber nicht ausgesetzt waren, in der Windows-Explorer-Benutzeroberfläche, bis die Entwicklung des Windows-XP-Professional-Client.
Zum Verschlüsseln einer Datei für mehrere Benutzer
1.
Öffnen Sie den Windows-Explorer und wählen Sie die Datei, die Sie verschlüsseln möchten
2.
Der rechten Maustaste auf die datenrettung ausgewählte Datei und wählen Sie "Eigenschaften" aus dem Kontextmenü.
3.
Wählen Sie die Schaltfläche Erweitert, um EFS.
4.
Verschlüsseln Sie die Datei, indem Sie das Kontrollkästchen Inhalt verschlüsseln, um Daten zu schützen aktivieren wie in Abbildung 2 gezeigt.
Wenn ein Administrator fügt eine oder mehrere Recovery-Agenten
Administratoren können eine von drei Arten von Maßnahmen:
Recovery Agent. Wenn ein Administrator fügt eine oder mehrere Recovery-Agenten, ein Recovery-Agent ist in der Tat. Diese Agenten sind dafür verantwortlich, alle file recovery für die Wiederherstellung verschlüsselter Daten in ihrem Anwendungsbereich der Verwaltung. Dies ist die häufigste Art der Erholung.
Leere Wiederherstellungsrichtlinie. Wenn ein Administrator löscht alle Recovery-Agenten und ihre Public-Key-Zertifikate, eine leere Recovery-Politik in Kraft ist. Eine leere Wiederherstellungsrichtlinie bedeutet, dass keine Recovery-Agent vorhanden ist, und wenn die Client-Betriebssystem ist Windows 2000, EFS deaktiviert ist insgesamt. Nur der Windows XP-Client unterstützt EFS mit einer leeren DRA Politik.
Keine Recovery-Politik. Wenn ein Administrator löscht die privaten Schlüssel, die mit einem bestimmten Recovery-Politik, eine no-Recovery-Politik in Kraft ist. Da kein privater Schlüssel vorhanden ist, gibt es keine Möglichkeit, eine Recovery-und festplatte wird nicht möglich sein. Dies wäre nützlich für Organisationen mit einer gemischten Umgebung von Windows 2000 und Windows XP-Clients, wo keine Datenrettung ist erwünscht.
Obwohl die Domain-Administrator ist der Standard-DRA in einer Active Directory-Umgebung, dieser Fähigkeit kann delegiert werden oder an einen oder mehrere Benutzer. Dies ist im Detail diskutiert später in diesem Artikel.
Datenrettung auf Standalone-Maschinen
Windows XP nicht mehr schafft eine Standard-DRA auf neu festplatte installierten Maschinen in einer Arbeitsgruppe (standalone). Dies verhindert wirksam das bisherige Offline-Angriffe gegen das Administrator-Konto. Daher ist ein DRA müssen manuell erstellt werden, indem ein Benutzer und installiert werden. Um manuell ein DRA, die cipher.exe Dienstprogramm verwendet werden.
Datenrettung ist ein Prozess, durch den die einzelnen Datenpakete
Datenrettung ist ein Prozess, durch den die einzelnen Datenpakete Elemente wie Dateien oder Ordner verschlüsselt sind für mehr als eine Person oder Einrichtung. Durch die Verschlüsselung für mehr als eine Person oder ein Sperrkonto Einheit, ein Escrow-Einheit kann eine bestimmte Administrator innerhalb einer Organisation zur Durchführung einer Datenrettung Rolle. Daten können abgerufen und Klartext-Form durch einen Dritten. Datenrettung nicht unbedingt bedeuten, dass die privaten Schlüssel Erholung hat sich jedoch immer wieder, Key-Recovery kann eine Methode zur Erreichung Datenrettung, data Recovery kann erreicht werden, ohne privaten Schlüssel Erholung in der Windows XP-Betriebssystem, das auf symmetrisch verschlüsselte Daten blockiert.
Beide Secure Multi-purpose Internet Mail Extensions (S / MIME) und EFS verwenden symmetrisch verschlüsselte Datenübertragung blockiert, mit dem symmetrischen Schlüssel geschützt wird von einem oder mehreren öffentlichen Schlüssel eines öffentlichen / privaten Schlüsselpaar. In diesem Szenario werden die symmetrischen Schlüssel geschützt datenrettung software werden können (verschlüsselt) mit mehr als einem Benutzer, und damit mehr als eine öffentliche key.In Windows 2000, DRA ist obligatorisch und wird standardmäßig ist der Domain-Administrator für einen Windows 2000-Domäne. Windows XP beseitigt diese Einschränkung.
Data Recovery wird am effektivsten durch den Einsatz von Active Directory ™ und Microsoft Enterprise Zertifizierungsstelle. Mit Group Policy, Active Directory enthält einen Mechanismus, um zentral konfigurieren, eine oder mehrere Datenrettung Agenten. Diese DRAs haben die Möglichkeit, die Benutzer Dateien wiederherstellen sollte Datenrettung notwendig sein.
EFS bietet eine integrierte Daten-und Recovery-die Durchsetzung der politischen Forderung einer Erholung. Die Anforderung besteht darin, dass eine Erholung muss sein, bevor Benutzer Dateien verschlüsseln können. Die Erholung ist eine Art Public-Key-Politik, die für einen oder mehrere Benutzer-Accounts zu benennen als DRA. Eine standardmäßige Wiederherstellungsrichtlinie wird automatisch eingerichtet, wenn der Administrator anmeldet, um das System zum ersten Mal, dass der Administrator die Recovery-Agenten.
Die standardmäßige Wiederherstellungsrichtlinie wird lokal konfiguriert für Standalone-Computern. Bei Computern, die Teil einer Active Directory-Domäne, die Recovery-Politik so konfiguriert ist, auf der Domäne, Organisationseinheit (OU), oder einzelne Computer-Ebene, und gilt für alle Windows 2000 - und Windows XP-Computern innerhalb der definierten Geltungsbereich Einfluss. Recovery Zertifikate werden von einer Zertifizierungsstelle (CA) verwaltet und mit Hilfe der Microsoft Management Console (MMC)-Snap-In Zertifikate.
In einer Netzwerkumgebung, die Domain-Administrator steuert, wie EFS ist in den Recovery-Politik für alle Benutzer und Computer in den Anwendungsbereich der Einfluss. Bei datenrettung software einer Standardinstallation von Windows 2000 oder Windows XP-Installation, bei der der erste Domänencontroller eingerichtet ist, die Domain-Administrator ist die angegebene Recovery Agent für die Domäne. Die Art, wie der Domain-Administrator konfiguriert die Recovery-Politik bestimmt, wie EFS implementiert ist für die Benutzer auf ihren lokalen Rechner. So ändern Sie die Wiederherstellungsrichtlinie für die Domäne, die Domain-Administrator bei dem ersten Domänencontroller.
