Erstellen und Überprüfen eines DRA-Zertifikats (Data Recovery Agent, Datenwiederherstellungsagent) des verschlüsselnden Dateisystems (Encrypting File System, EFS)

Hinweis

Ab Juli 2022 wird Windows Information Protection (WIP) von Microsoft eingestellt. Microsoft unterstützt WIP weiterhin auf unterstützten Versionen von Windows. Neue Versionen von Windows enthalten keine neuen Funktionen für WIP und werden in zukünftigen Versionen von Windows nicht unterstützt. Weitere Informationen finden Sie unter Ankündigung des Sonnenuntergangs von Windows Information Protection.

Für Ihre Datenschutzanforderungen empfiehlt Microsoft, Microsoft Purview Information Protection und Microsoft Purview Data Loss Prevention zu verwenden. Purview vereinfacht die Einrichtung der Konfiguration und bietet erweiterte Funktionen.

Gilt für:

• Windows 10
• Windows 11

Wenn Sie noch nicht über ein EFS-DRA-Zertifikat verfügen, müssen Sie eines erstellen und aus Ihrem System extrahieren, bevor Sie Windows Information Protection (WIP), früher als Unternehmensdatenschutz (EDP) bezeichnet), in Ihrem organization verwenden können. Für die Zwecke dieses Abschnitts verwenden wir den Dateinamen EFSDRA. Dieser Name kann jedoch durch alles ersetzt werden, was für Sie sinnvoll ist.

Wichtig

Wenn Sie bereits über ein EFS DRA-Zertifikat für Ihre Organisation verfügen, können Sie das Erstellen eines neuen Zertifikats überspringen. Verwenden Sie einfach Ihr aktuelles EFS DRA-Zertifikat in der Richtlinie. Weitere Informationen dazu, wann Sie eine PKI und die allgemeine Strategie zum Bereitstellen von DRA-Zertifikaten verwenden, finden Sie im Artikel Sicherheit auf dem Prüfstand Bereitstellen von EFS: Teil 1 bei TechNet. Allgemeine Informationen zum EFS-Schutz finden Sie unter Schützen von Daten mit EFS zum Verschlüsseln von Festplatten.

Wenn Ihr DRA-Zertifikat abgelaufen ist, können Sie Ihre Dateien nicht damit verschlüsseln. Um dieses Problem zu beheben, müssen Sie ein neues Zertifikat mithilfe der Schritte in diesem Thema erstellen und dann durch Richtlinien bereitstellen.

Manuelles Erstellen eines EFS-DRA-Zertifikats

1. Öffnen Sie auf einem Computer ohne installiertes EFS DRA-Zertifikat eine Eingabeaufforderung mit erhöhten Rechten, und navigieren Sie zu dem Speicherort, an dem das Zertifikat gespeichert werden soll.

2. Führen Sie folgenden Befehl aus:

   cipher /r:EFSRA
   

   Dabei ist EFSRA der Name der .cer Dateien und .pfx , die Sie erstellen möchten.

3. Geben Sie bei Aufforderung ein Kennwort zum Schutz der neuen Personal Information Exchange-Datei (.pfx) ein, und bestätigen Sie dieses.

   Die Dateien EFSDRA.cer und EFSDRA.pfx werden an dem Speicherort erstellt, den Sie in Schritt 1 angegeben haben.

   Wichtig

   Da die privaten Schlüssel in den DRA PFX-Dateien zum Entschlüsseln aller WIP-Dateien verwendet werden können, müssen sie entsprechend geschützt werden. Es wird dringend empfohlen, diese Dateien offline zu speichern und dabei Kopien auf einer Smartcard mit starkem Schutz zur normalen Nutzung und Masterkopien an einem sicheren physischen Speicherort beizubehalten.

4. Fügen Sie Ihr EFS-DRA-Zertifikat mithilfe eines Bereitstellungstools wie Microsoft Intune oder Microsoft Configuration Manager zu Ihrer WIP-Richtlinie hinzu.

   Hinweis

   Dieses Zertifikat kann in Intune für Richtlinien sowohl mit Geräteregistrierung (DEVICE Enrollment, MDM) als auch ohne Geräteregistrierung (MAM) verwendet werden.

Überprüfen, ob Ihr Datenwiederherstellungszertifikat auf einem WIP-Clientcomputer ordnungsgemäß eingerichtet ist

1. Suchen oder erstellen Sie eine mit Windows Information Protection verschlüsselte Datei. Beispielsweise können Sie eine App in der Liste der zulässigen Apps öffnen und dann eine Datei erstellen und speichern, damit sie von WIP verschlüsselt wird.

2. Öffnen Sie eine App in der Liste der geschützten Apps, und erstellen und speichern Sie dann eine Datei, sodass sie von WIP verschlüsselt wird.

3. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, navigieren Sie zu dem Speicherort, an dem Sie die gerade erstellte Datei gespeichert haben, und führen Sie folgenden Befehl aus:

   cipher /c filename
   

   Dabei ist filename der Name der Datei, die Sie in Schritt 1 erstellt haben.

4. Stellen Sie sicher, dass das Datenwiederherstellungszertifikat in der Liste Wiederherstellungszertifikate aufgeführt ist.

Wiederherstellen Ihrer Daten mithilfe des EFS DRA-Zertifikats in einer Testumgebung

1. Kopieren Sie die WIP-verschlüsselte Datei an einen Speicherort, für den Sie Administratorzugriff haben.

2. Installieren Sie die Datei EFSDRA.pfx unter Verwendung des Kennworts.

3. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, navigieren Sie zu der verschlüsselten Datei, und führen Sie folgenden Befehl aus:

   cipher /d encryptedfile.extension
   

   Dabei ist encryptedfile.extension der Name der verschlüsselten Datei. Beispiel: corporatedata.docx.

Wiederherstellen wip-geschützter Nach aufhebung der Registrierung

Unter Umständen widerrufen Sie Daten von einem nicht registrierten Gerät, nur um sie später alle wiederherstellen zu wollen. Dies kann passieren, wenn ein fehlendes Gerät zurückgegeben wird oder wenn sich ein nicht registrierter Mitarbeiter erneut registriert. Wenn sich der Mitarbeiter erneut mit dem ursprünglichen Benutzerprofil registriert und sich der gesperrte Schlüsselspeicher noch auf dem Gerät befindet, können alle widerrufenen Daten gleichzeitig wiederhergestellt werden.

Wichtig

Um die Kontrolle über die Unternehmensdaten zu behalten und in Zukunft erneut widerrufen zu können, müssen Sie nur den folgenden Vorgang durchführen, nachdem der Mitarbeiter das Gerät erneut registriert hat.

1. Lassen Sie den Mitarbeiter sich beim nicht registrierten Gerät anmelden, öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und geben Sie Folgendes ein:

   Robocopy "%localappdata%\Microsoft\EDP\Recovery" "new_location" * /EFSRAW
   

   Wobei sich "new_location" in einem anderen Verzeichnis befindet. Dies kann sich auf dem Gerät des Mitarbeiters oder auf einem freigegebenen Ordner auf einem Computer befinden, auf dem Windows 8 oder Windows Server 2012 oder höher ausgeführt wird und auf den zugegriffen werden kann, während Sie als Datenwiederherstellungs-Agent angemeldet sind.

   Um Robocopy im S Modus zu starten, öffnen Sie den Task-Manager. Klicken Sie auf Datei>Neue Aufgabe ausführen, geben Sie den Befehl ein, und klicken Sie auf Diese Aufgabe mit Administratorrechten erstellen.

   

   Wenn der Mitarbeiter eine sauber Installation durchgeführt hat und kein Benutzerprofil vorhanden ist, müssen Sie die Schlüssel aus dem Systemvolumeordner auf jedem Laufwerk wiederherstellen. Typ:

   Robocopy "drive_letter:\System Volume Information\EDP\Recovery\" "new_location" * /EFSRAW
   

2. Melden Sie sich an einem anderen Gerät mit Administratoranmeldeinformationen mit Zugriff auf das DRA-Zertifikat Ihrer Organisation an, und führen Sie die Entschlüsselung und Wiederherstellung der Datei durch, indem Sie Folgendes eingeben:

   cipher.exe /D "new_location"
   

3. Lassen Sie Ihren Mitarbeiter sich am nicht registrierten Gerät anmelden, und geben Sie Folgendes ein:

   Robocopy "new_location" "%localappdata%\Microsoft\EDP\Recovery\Input"
   

4. Bitten Sie den Mitarbeiter, das Gerät zu sperren und zu entsperren.

   Der Windows-Anmeldeinformationsdienst stellt die zuvor widerrufenen Schlüssel des Mitarbeiters automatisch vom Standort wieder Recovery\Input her.

Automatische Wiederherstellung von Verschlüsselungsschlüsseln

WIP enthält ab Windows 10, Version 1709, eine Datenwiederherstellungsfunktion, die Ihren Mitarbeitern eine automatische Wiederherstellung des Zugriff auf die Arbeitsdateien ermöglichen, wenn der Verschlüsselungsschlüssel verloren geht und auf die Dateien nicht mehr zugegriffen werden kann. Dies erfolgt in der Regel dann, wenn ein Mitarbeiter ein Re-Imaging der Betriebssystempartition durchführt, die WIP-Schlüsselinformationen entfernt oder ein Gerät als verloren meldet und versehentlich das falsche Gerät für die Deregistrierung verwendet.

Um sicherzustellen, dass Mitarbeiter immer auf Dateien zugreifen können, erstellt WIP einen Schlüssel für die automatische Wiederherstellung, der in ihrer Microsoft Entra Identität gesichert wird.

Die Mitarbeitererfahrung basiert auf der Anmeldung mit einem Microsoft Entra ID Geschäftskonto. Der Mitarbeiter kann:

• Fügen Sie über das Menü "Windows-Einstellungen > Konten > Auf Geschäfts-, Schul- oder Unikonto > zugreifen" ein Geschäftskonto hinzu.

  – ODER –

• Öffnen Sie Windows-Einstellungen > Konten > Auf Geschäfts-, Schul- oder Unizugriff > Verbinden, und wählen Sie unter Alternative Aktionen den Link Diesem Gerät Microsoft Entra ID beitreten aus.

  Hinweis

  Zum Ausführen einer Microsoft Entra Domänenbeitritts auf der Seite Einstellungen muss der Mitarbeiter über Administratorrechte für das Gerät verfügen.

Nach der Anmeldung wird die erforderliche WIP-Schlüssel-Informationen automatisch heruntergeladen und Mitarbeiter können auf die Dateien erneut zugreifen.

Testen Sie, was der Mitarbeiter während des WIP-Schlüssel-Wiederherstellungsprozesses sieht

1. Versuchen Sie, eine Arbeitsdatei auf einem nicht registrierten Gerät zu öffnen.

   Das Feld Verbinden mit Ihrem Arbeitsplatz, um auf Arbeitsdateien zuzugreifen wird angezeigt.

2. Klicken Sie auf Verbinden.

   Die Seite Auf Arbeits- oder Schulkonto zugreifen wird angezeigt.

3. Melden Sie sich bei Microsoft Entra ID als Mitarbeiter an, und vergewissern Sie sich, dass die Dateien jetzt geöffnet werden.

Verwandte Themen

• Sicherheit auf dem Prüfstand – Bereitstellen von EFS: Teil 1

• Schützen von Daten durch Verschlüsseln von Festplatten mit EFS

• Erstellen einer Windows Information Protection-Richtlinie (WIP) mithilfe von Microsoft Intune

• Erstellen einer Windows Information Protection-Richtlinie (WIP) mithilfe von Microsoft Configuration Manager

• Erstellen eines domänenbasierten Wiederherstellungs-Agents