14.7. Sicherheit des Windows Encrypted File Systems (EFS)

Microsoft Windows Betriebssysteme bieten die Möglichkeit, das Dateisystem mit Bordmitteln zu verschlüsseln. Diese Verschlüsselung wird noch viel zu wenig genutzt und hat in den meisten Fällen keine merkliche Leistungseinbuße des Rechners zur Folge. Im Folgenden werden die Anforderungen an eine sichere Konfiguration beschrieben.

Das EFS ist unter Windows 2000 generell als unsicher anzusehen, da jeder lokale Administrator Zugriff als Data Recovery Agent (DRA) hat. Ab Windows XP gibt es keinen automatisch vom System vorgegebenen DRA und auch keinen Zwang zur Einrichtung eines lokalen DRA mehr. Da Windows 2000 Zugänge relativ einfach ausgehebelt werden können (das Rücksetzen des Passworts eines beliebigen Accounts erlaubt den Zugriff auf den Verschlüsselungs-Key des EFS), ist die EFS-Nutzung hier generell als unsicher zu betrachten.

Für moderne Windows-Systeme ist bei sensiblen Daten die Möglichkeit der EFS-Nutzung oft durchaus eine Alternative zu separaten Verschlüsselungsprogrammen wie dem als sehr sicher geltenden TrueCrypt, da das EFS keine zusätzliche Software und kein Container-Handling etc. erfordert und dennoch Schutz bietet.

Ab Windows XP wird das Backup des Benutzer-Schlüssels sicherer, im Active Directory oder Offline auf einem Backup-Medium , gespeichert. Damit kann ein Angreifer mit Zugriff auf das System die Dateien nicht mehr direkt entschlüsseln, sondern muss das Passwort des Nutzers ermitteln. Auch dies wurde deutlich erschwert.

Die Konfiguration des EFS unter Windows XP Professional muss mindestens folgenden Anforderungen genügen:

• Die Sicherheit steht und fällt mit einem guten Passwort!
  
  
• Die Security Account Manager (SAM)-Datenbank muss mit Hilfe des SYSKEY-Werkzeugs verschlüsselt worden sein, weil sie das gehashte Passwort enthält. Ab Windows 2000: Mit Syskey.exe auf Modus 2 oder 3 stellen und beachten, dass alle Passwörter anschließend neu vergeben werden müssen, da alte Passwörter so lange noch als Hash in der SAM-Datenbank enthalten sind. Ab Windows Vista ist das die Vorgabe-Einstellung. Um das EFS zu aktivieren, die Konten zu verschlüsseln und den Schlüssel lokal zu speichern, reicht z. B. der Aufruf von "syskey-L".
  
  
• Autologon muss deaktiviert sein, da hierfür das Klartextpasswort in der Windows-Registry hinterlegt wird.
  
  
• In den Sicherheitseinstellungen der Gruppen-Policy muss Windows das Speichern des Passworts in Form von LM-Hashes untersagt werden.
  
  
• Passwörter werden zusätzlich als NTLM-Hashes (NT LAN Manager; für SMB) abgelegt. Diese sind mit Hilfe von Rainbow-Tabellen auffindbar. Einzige Abhilfe ist ein genügend langes Passwort, so dass die Tabellen die entsprechenden Hashes nicht mehr enthalten.
  
  
• Der Zugriff auf das Administrator-Konto muss ebenso gesichert werden, da über diesen das DRA-Zertifikat verändert werden kann. Alle anschließend verschlüsselten Dateien wären für einen Angreifer lesbar.
  
  
• Das EFS sollte mindestens auf Verzeichnisebene aktiviert werden, so dass auch z. B. temporäre Word-Dateien verschlüsselt werden. Bei einer Verschlüsselung wird die unverschlüsselte Datei im Anschluss gelöscht und ist u. U. wiederherstellbar. Windows speichert eine unverschlüsselte Sicherheitskopie, welche erst nach erfolgreicher Verschlüsselung gelöscht wird. Zum Löschen bietet das Windows-eigene Programm Cipher.exe die /W-Option. Das Programm gibt es ab Windows 2000 Security Rollup Package 1. Anwendungen von Drittanbietern könnten ebenfalls den Zweck erfüllen.

Zur Passwortlänge: Ab 14 Zeichen wird der LM-Hash nicht mehr in der SAM-Datenbank abgelegt. Zusätzlich wird der Angriff auf den NTLM-Hash erschwert. Um eine zur EFS-Verschlüsselung (3DES, AES) gleichwertige Sicherheit für den Nutzerzugang zu erreichen, ist ein mind. 20 Zeichen langes Passwort erforderlich.

Ab Windows Vista ist es möglich, statt einem Passwort zur Absicherung ein Zertifikat auf einer Smart Card zu verwenden. Diese Möglichkeit sollte genutzt werden, um Brute Force-Angriffe zur Passwortfindung ins Leere laufen zu lassen.

Alle Hinweise dienen nur der Absicherung der lokalen Dateien. Zugriffe über das Netzwerk oder mit Hilfe zusätzlicher Software sind parallel möglich und deren Absicherung ist zusätzlich zu bedenken.