Dateiverschlüsselung
Hinweis | |
Fehlfunktionen Verschlüsseln Sie nicht die gesamte System-Partition, Windows-System-Dateien oder den TwinCAT‑Ordner. Dies kann zu Fehlfunktionen führen. |
In der Regel reicht eine etablierte Zugriffskontrolle aus, um sensible Dateien und Verzeichnisse vor einem unberechtigten Zugriff zu schützen. Geht jedoch der Datenträger verloren, ist der Schutz dieser Daten nicht mehr gewährleistet und erfordert zusätzlichen Schutz durch Verschlüsselung einzelner Dateien und Verzeichnisse.
Windows stellt mit EFS (Encrypted File System) eine Verschlüsselungsfunktion zur Verfügung, mit der einzelne Dateien oder ganze Verzeichnisse verschlüsselt werden können. Damit wird eine zusätzliche Sicherheitsstufe und kryptografischer Schutz zur Verfügung gestellt.
Ein wichtiger Aspekt nach der Verschlüsselung ist die Schlüsselverwaltung und die Klärung folgender Fragen:
- Wer soll Zugriff erhalten?
- Welche Authentifizierungsmöglichkeiten gibt es? (USB-Token, PIN, Passwort, Benutzername + Passwort, …)
- Wie werden die Schlüssel verwaltet?
In jedem Fall sind die Daten ungeschützt, wenn sie entschlüsselt und genutzt werden.
Im Vergleich dazu unterstützt BitLocker die Verschlüsselung kompletter Datenträger. Zusätzlich bietet BitLocker maximalen Schutz, wenn es mit TPM (Trusted Platform Module) verwendet wird, wie in der TPM-Dokumentation beschrieben.
EFS aktivieren
- 1. Klicken Sie mit der rechten Maustaste auf einen Ordner oder eine Datei und wählen Sie in dem sich öffnenden Kontextmenü Properties aus.
- 2. Öffnen Sie die Registerkarte General und klicken Sie auf Advanced.
- 3. Um den Ordner oder die Datei zu verschlüsseln, aktivieren Sie das Auswahlkästchen Encrypt contents to secure data.
- Wenn dies die ersten auf diesem Weg verschlüsselten Daten sind, erzeugt Windows automatisch ein EFS-Zertifikat im lokalen Zertifikat-Store. Das Zertifikat muss gesichert werden, da eine Wiederherstellung der Daten unmöglich ist (siehe Zertifikat sichern).
Zertifikat sichern
- 1. Starten Sie certmgr.msc.
- 2. Klicken Sie auf Add, wählen Sie My user account und klicken Sie auf Finish.
- 3. Erweitern Sie den Ordner „Personal“ und klicken Sie auf Certificates
- Sie sollten ein Zertifikat mit dem „Intended Purpose“ „Encrypting File System“ sehen.
- 4. Um das Zertifikat zu sichern, klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie All Tasks > Export.
- 5. Wählen Sie Export Private Key.
- 6. Wählen Sie Personal Information Exchange, Include all certificates… und Enable strong protection.
- 7. Geben Sie ein Passwort an, mit dem das Zertifikat geschützt werden soll. Dieses Zertifikat wird später beim Import benötigt.
- 8. Geben Sie den Pfad an, unter dem das Zertifikat gesichert werden soll. Sichern Sie das Zertifikat an einem anderen gesicherten Ort.