Bundesamt für Sicherheit in der Informationstechnik

M 4.278 Sichere Nutzung von EFS unter Windows Server 2003

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Das verschlüsselnde Dateisystem (Encrypting File System, EFS ) von Windows Server 2003/XP ist für Benutzer ein einfach zu bedienendes Mittel zum anwendungsunabhängigen Arbeiten mit verschlüsselten Dateien. Es eignet sich am besten für einzelne Benutzer und exponierte Client-Computer, die zeitweise außerhalb der geschützten IT-Umgebung zum Einsatz kommen. Die Hauptintention ist das Herstellen von Vertraulichkeit für dedizierte lokale Daten. Grundlagen sind M 4.147 Sichere Nutzung von EFS unter Windows zu entnehmen.

Weniger geeignet ist EFS für die großflächige Verschlüsselung von zentralisierten Benutzerdaten auf Remote-Servern, beispielsweise Dateiservern. Dies ist nur mit spezieller Planung der Schlüsselverwaltung zu realisieren. Einen erheblichen Aufwand für die Sicherung und den Schutz großer Datenmengen und einer Vielzahl von Benutzerschlüsseln muss in Kauf genommen werden.

Unterschiede bei der Implementierung

Zu Beginn der Planung sollte klar unterschieden werden, ob mit EFS die Verschlüsselung von servergespeicherten Dateien im Netz angeboten werden soll oder ob es nur darum geht, Sitzungsdaten und vertrauliche administrative Daten lokal auf dem Server zu verschlüsseln. In letzterem Fall funktioniert der Server wie ein Client-Computer mit aktiviertem EFS und es sollte die Maßnahme M 4.147 Sichere Nutzung von EFS unter Windows umgesetzt werden. Es sollte jedoch mit der Verschlüsselung von Statusinformationen des Systems (z. B. DNS -Zonendateien, Druckerwarteschlange auf Druckservern), Protokolldateien (z. B. IIS-Protokoll) und den gemeinsamen temporären Ordnern (C:\WINDOWS\Temp) äußerst sparsam umgegangen werden. Hier sind Tests unter lastähnlichen Bedingungen zu empfehlen, bevor die Verschlüsselung für solche kritischen Dateien eingeschaltet wird, sonst kann durch G 4.54 Verlust des Schutzes durch das verschlüsselnde Dateisystem EFS der gesamte Server gestört werden.

Eine Möglichkeit, mit EFS die Sicherheit von administrativen Sitzungen auf dem Server zu erhöhen, stellt das Verschlüsseln von Sitzungsdaten (z. B. temporäre Verzeichnisse, Desktop-Ordner, Eigene Dateien, Druckerwarteschlange) und vertraulichen Arbeitsdaten wie zum Beispiel Dokumentationsunterlagen dar. Dies ist weniger kritisch, da im Zweifel nur das Profil nicht mehr funktioniert und zentrale Dienste unberührt bleiben. Anwendungen erstellen regelmäßig zur Laufzeit temporäre Kopien von Dateien. Es ist zu prüfen, welche Ordner von Anwendungen für temporäre Dateien verwendet werden. Für diese Ordner kann EFS aktiviert werden, damit diese Daten nicht während der Bearbeitung von unberechtigten Dritten eingesehen werden können.

EFS als Verschlüsselungsdienst für Remote-Dateien (servergespeicherte Dateien im Netz) sollte nur aktiviert werden, wenn ein sehr hoher Schutzbedarf hinsichtlich der Vertraulichkeit von Daten auf dem Server erforderlich ist und die zusätzlichen Risiken und der Aufwand dafür gerechtfertigt sind. Dies ist in einer Richtlinie für die IT-Umgebung festzuschreiben. Der Einsatzbereich für EFS ist genau zu definieren. Hierzu ist auch die Gefährdung G 4.54 Verlust des Schutzes durch das verschlüsselnde Dateisystem EFS zu beachten.

Wird EFS im Zusammenhang mit WebDAV-Freigaben verwendet, findet die Verschlüsselung einer Datei nicht auf dem Server, sondern auf dem Client statt. Die verschlüsselte Datei kann dann auf der WebDAV-Freigabe per HTTP-Transfer abgelegt werden. EFS braucht dazu nicht auf dem Server aktiviert zu werden. Für den Benutzer bestehen dann die gleichen Risiken wie bei der lokalen Verschlüsselung von Daten auf seinem Client. In der oben genannten Richtlinie muss festgehalten werden, in wie weit der Administrator zentrale Mittel zur Wartung, Sicherung und Wiederherstellung solcher Daten bei Schlüsselverlust bereitstellen soll. Je weitgehender dies gefordert wird, desto höher sind die Anforderungen und der Aufwand für das zentrale Schlüsselmanagement.

Die Aktivierung von EFS im Behörden- oder Unternehmensumfeld ist nur mit der gleichzeitigen Nutzung einer Public Key Infrastructure (PKI) und der Konfiguration von Wiederherstellungsagenten zu empfehlen.

EFS deaktivieren

Nach einer Standardinstallation von Windows Server 2003 ist EFS aktiv. Ein Wiederherstellungsagent ist nicht konfiguriert. EFS sollte für den normalen Betrieb in der Sicherheitsrichtlinie des Servers deaktiviert werden:

Start | Systemsteuerung | Verwaltung | Lokale Sicherheitsrichtlinie | Richtlinien öffentlicher Schlüssel | Eigenschaften von Verschlüsselndes Dateisystem | Benutzer dürfen das Verschlüsselnde Dateisystem verwenden deaktivieren

In einer Active-Directory-Umgebung sollte diese Einstellung durch eine Gruppenrichtlinie für alle Server- und Clientcomputer vorgegeben werden.

Wenn EFS nachträglich auf einem laufenden System deaktiviert wird, empfiehlt es sich, das System nach noch verschlüsselten Datenbeständen zu durchsuchen. Dies kann z. B. mit dem Programm EFSinfo.exe aus den Support Tools für Windows Server 2003 durchgeführt werden.

Beispiel für Befehl an der Kommandozeile: efsinfo /s:c:\

Rollentrennung für den DRA

Eine geeignete Rollentrennung verhindert, dass Administratoren uneingeschränkt auf verschlüsselte Daten zugreifen können. Eine kritische Rolle spielt der Datenwiederherstellungsagent (Data Recovery Agent, DRA), mit dem Daten zentral und unabhängig von den verschlüsselnden Benutzern wiederhergestellt werden können. Datenwiederherstellungsagenten werden in Form spezieller Sicherheitszertifikate erzeugt. Folgende Bedingungen sollten für einen DRA eingehalten werden:

  • Das vordefinierte Administratorkonto darf nicht mit einem DRA-Zertifikat versehen werden
  • Benutzerkonten, die die Rolle eines DRA übernehmen, sollten generell keine Administratorrechte besitzen
  • Es sind so wenige Datenwiederherstellungsagenten wie möglich zu erstellen
  • Es ist stets ein separates Konto für den Einsatz als DRA zu verwenden

Der private Schlüssel des DRA sollte kennwortgeschützt auf einen externen Datenträger exportiert und vom System gelöscht werden. Der Datenträger mit der Sicherung des privaten Schlüssels ist in einem Bereich mit geschütztem Zugang (Tresor) zu verwahren. Zur Erhöhung der Sicherheit können die Kennwörter getrennt von den Datenträgern aufbewahrt werden.

Es sollte erwogen werden, ein Hardware-Sicherheitsmodul (HSM, siehe B 1.7 Kryptokonzept ) einzusetzen, um die Sicherheit des privaten Schlüssels eines DRA zu erhöhen.

Datensicherung

Das Dienstkonto für die Datensicherung sollte keinerlei EFS- oder Wiederherstellungszertifikat besitzen und somit Daten nur verschlüsselt lesen und auf das Sicherungsmedium schreiben können.

Abgelaufene DRA-Zertifikate

Abgelaufene DRA-Zertifikate bleiben weiterhin sicherheitskritisch, weil sie

  • Zugriff auf alle bisher verschlüsselten Daten ermöglichen (gefährdete Vertraulichkeit).
  • die einzige Wiederherstellungsmöglichkeit für den bisher verschlüsselten Datenbestand auf dem Server sind (gefährdete Verfügbarkeit).

Vor Ablauf des alten DRA-Zertifikats muss ein neues hinzugefügt werden, da unmittelbar nach Ablauf die Verschlüsselung nicht mehr funktioniert. Für den neuen DRA müssen die gleichen Sicherheitsmaßnahmen umgesetzt werden (siehe oben). Dies ist bei Planung und Betrieb zu berücksichtigen.

Die Entsorgung eines alten DRA-Zertifikats ist nur ratsam, nachdem der gesamte Datenbestand entschlüsselt und mit einem neuen DRA wieder verschlüsselt wurde. Dies kann, abhängig von der Datenmenge und -organisation, einen erheblichen Aufwand und ein erhebliches Risiko für die Verfügbarkeit und Integrität der Daten mit sich bringen und sollte nur in Ausnahmefällen durchgeführt werden, z. B. wenn die Schlüsselstärke des bisherigen DRA-Zertifikats als nicht mehr ausreichend erachtet wird.

Zentrales Schlüsselmanagement

EFS erfordert ein definiertes zentrales Schlüsselmanagement. Der Einsatz einer Public Key Infrastructure (PKI) ist dringend empfohlen, damit nicht selbst signierte Zertifikate des lokalen Servers oder Clients benutzt werden. Weitere Informationen zu diesem Thema sind unter den Hilfsmitteln zum IT-Grundschutz zu finden (siehe Schutz der Zertifikatsdienste unter Windows Server 2003 in Hilfsmittel zum Windows Server 2003).

Es ist außerdem empfehlenswert, das automatische Verlängern der EFS-Zertifikate zu erlauben, da nach deren Ablauf sonst auf selbst signierte Zertifikate zurückgegriffen wird.

Es ist notwendig, einen Wiederherstellungsagenten festzulegen, um Gefahren wie G 4.55 Datenverlust beim Zurücksetzen des Kennworts ab Windows Server 2003 und XP vorzubeugen. Der Assistent hierfür ist unter

Start | Systemsteuerung | Verwaltung | Lokale Sicherheitsrichtlinie | Richtlinien öffentlicher Schlüssel | Verschlüsselndes Dateisystem | Menüpunkt Aktion | Datenwiederherstellungs-Agenten erstellen...

aufzurufen.

Das Risiko des Verlusts der Benutzerschlüssel kann weiter verringert werden, indem die Archivierung der privaten Schlüssel auf der Zertifizierungsstelle zugelassen wird, welche die EFS-Zertifikate ausstellt. Allerdings können die Schlüssel durch die zentrale Speicherung einem erhöhten Missbrauchsrisiko ausgesetzt sein. Dadurch entsteht ein deutlich höherer organisatorischer und administrativer Aufwand für die Zertifizierungsdienste, insbesondere für Schlüsselwiederherstellungsagenten, Rollentrennung und Schutz der Zertifizierungsstelle insgesamt.

Wiederherstellungsstation

In größeren IT-Verbünden sollte die Einrichtung einer Wiederherstellungsstation erwogen werden, welche in einem Bereich mit gesicherter Zugangskontrolle verwahrt und nur im Bedarfsfall aktiviert wird. Die zu entschlüsselnden Dateien können mit einem Sicherungswerkzeug wie ntbackup auf die Wiederherstellungsstation übertragen und dort mit dem Schlüssel des DRA wiederhergestellt werden. Der DRA-Schlüssel kann auf der Wiederherstellungsstation verbleiben. Ein weiterer Vorteil der Verwendung einer Wiederherstellungsstation ist, dass der Schlüssel auf der Wiederherstellungsstation nicht durch nicht vertrauenswürdige Software gefährdet werden kann.

Für die Wiederherstellungsstation kann Virtualisierungstechnologie eingesetzt werden. Das heißt, das gesamte Betriebssystem wird in einer simulierten Hardware-Umgebung installiert. Diese virtuelle Umgebung kann leicht auf einem Wechseldatenträger gespeichert und sicher verwahrt werden.

Schulung

Zur Funktion und den Risiken von EFS muss der Benutzer geschult werden. Mit geschulten Benutzern und einem Schlüsselmanagement kann durch die Nutzung von EFS ein Sicherheitsgewinn erzielt werden.

Prüffragen:

  • Sind die Mittel zur Wartung, Sicherung und Wiederherstellung von EFS -Daten für die Administratoren bei Schlüsselverlust definiert?

  • Ist sichergestellt, dass das vordefinierte Administratorkonto nicht mit einem DRA -Zertifikat versehen ist?

  • Ist sichergestellt, dass die Benutzerkonten, die die Rolle eines DRA übernehmen generell keine Administratorrechte besitzen?

  • Sind die Anzahl der Datenwiederherstellungsagenten auf das erforderliche Minimum begrenzt?

  • Wird für den Einsatz von DRA stets ein separates Konto verwendet?

  • Werden bei Ablauf alter DRA -Zertifikate rechtzeitig neue DRA -Zertifikate erstellt?

  • Sind die Benutzer im Umgang mit EFS und den damit entstehenden Risiken geschult?

  • Werden abgelaufene DRA -Zertifikate sicher aufbewahrt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK