MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

EFS - Encrypted File System

Wussten Sie, dass Anwender auf einem NTFS-Dateisystem mit wenigen Mausklicks Dateien verschlüsseln können?  Das sollten Sie nicht zulassen, denn es macht mehr Probleme als es Vorteile bringt. Dann sollten Sie eher über Rights Management und Information Protection nachdenken.

Ein nicht verwaltetes EFS sehe ich als Risiko für Firmen.

Mit EFS verschlüsseln

Als Anwender gehe ich einfach mit dem Windows Explorer auf das gewünschte Verzeichnis oder die Datei, bearbeite die Eigenschaften und bei den "Attributen" unter "Erweitert" kann ich neben der Komprimierung auf die Verschlüsselung steuern.

Das ist damit erschreckend einfach, wenn Sie es als Administrator nicht unterbindet. Denn damit werden Dateien für den eigenen Benutzer verschlüsselt. Das war vielleicht noch eine Option für mobile Rechner, als Bitlocker noch nicht vorhanden war aber heute blockieren EFS-Dateien jegliche Zusammenarbeit und sicher ist es auch nicht. Wenn ein Computer nicht per SecureBoot, TPM und Bitlocker gesichert ist, dann kann ein Angreifer einfach eine passende CD/DVD/USB-Stick booten und über die Festplatte die Zertifikate extrahieren oder dem Benutzer ein Programm unterschieben.

Immerhin wird der Anwender darauf hingewiesen dass er seinen Schlüssel sichern sollte. Bei Windows 2000 konnte das lokale Admin-Konto auch immer die Dateien entschlüsseln. Seit Windows XP ist dies nicht mehr der Fall.

Ein Klick auf die Benachrichtigung startet einen Assistenten:

Allerdings gibt es hier kein "Sichern im OneDrive", Sichern in Entra ID oder Active Directory.

Wenn Sie die Datei auf einen Speicher kopieren, der kein EFS unterstützt, dann warnt sie der Windows Explorer, ehe die Datei dort unverschlüsselt gespeichert wird:

Sollte ich als Anwender aber auf eine EFS-Datei stoßen, auf die ich anhand der NTFS-Rechte eigentlich zugreifen könnte aber die ich nicht entschlüsseln kann, dann hilft die Fehlermeldung nicht wirklich weiter. Beim Kopieren versucht der Windows Explorer es erst als Benutzer und dann noch mal als Administrator, ehe die Fehlermeldung kommt:

Zumindest kann ich hier am Icon erkennen, dass ein Schloss vorhanden ist. Der Versuch die Datei in Notepad zu öffnen, liefert auch einfach einen "Zugriff verweigert":

Auch ein Zugriff per PowerShell liefert wohl nur ein "Access Denied":

Ich hatte gedacht, dass Applikationen hier einen anderen Fehler bekommen und entsprechend darauf  reagieren könnten.

EFS wird seit NTFS 3  (Windows 2000 und neuer) aber nicht Windows Home unterstützt. Seit Windows 10 1607/Server 2016 funktioniert EFS auch auf FAT und exFAT. Aber Windows 11 24H2/Windows Server 2025 auch auf ReFS. Es gibt also durch aus Einsatzbereiche, wo EFS einen Nutzen haben kann, weil es doch einen zusätzlichen Schutz bietet. Allerdings müssen Sie als Administrator die passende Umgebung schaffen.

EFS-Zertifikate und PKI

Wenn Sie eine Datei per EFS verschlüsseln, dann erfolgt das natürlich über Zertifikate. Wenn Sie keine PKI haben, die entsprechende Zertifikate für Anwender ausstellt, dann generiert sich der Benutzer mit Bordmitteln eines ein "SelfSigned" Zertifikat. Das Zertifikat sehen wir dann in den Details der Verschlüsselung:

Der Dialog zeigt aber auch, dass hier kein "Widerherstellungszertifikat" angefügt wurde. Das wäre dann Hebel, über den eine Firma wieder an Dateien kommt. die von Anwendern per EFS nutzen will aber ein privilegiertes Konto immer noch die Dateien erreichen könnte.

Der Benutzer sieht das Zertifikat natürlich auch in seinem Zertifikatsspeicher. 

Mit Roaming Profiles würde das Zertifikat sogar mitgenommen aber was passiert, wenn Sie ein Backup des PCs als Image haben aber der Benutzer ausscheidet, das Profil bei einem Hardwarewechsel nicht mitgenommen wird oder andere Gründe eine Nutzung des Zertifikats behindern?

Als Firma sind solche "Self Signed"-Zertifikate natürlich nicht sinnvoll, da Sie nicht zurückgezogen werden können und sehr lange (100 Jahre!) gültig sind. Hier sollten Sie besser auf Zertifikate einer PKI setzen, bei der die CA auch den ein Backup der privaten Schlüssel mit einem passenden Key Recovery Prozess bereitstellen. Auch auf den Servern und Clients sollten Sie die Nutzung von selbstsignierten Zertifikaten unterbinden. (Seit Windows XP SP2 möglich). Wer sich mit EFS gar nicht beschäftigen will, sollte die Nutzung besser komplett bis zu einer Entscheidung unterbinden.

EFS und GPOs

Sie können den Einsatz von EFS auf Clients am besten über Gruppenrichtlinien steuern. Alternativ stehen ihnen natürlich auch die Wege wie Intune und anderen MDM-Lösungen offen, sofern sie die entsprechenden Einstellungen vornehmen können. Besonders wichtig ist der folgende Schlüssel, mit dem Sie die EFS-Nutzung auf einem Client generell kontrollieren können:

Software\Policies\Microsoft\Windows NT\CurrentVersion\EFS 
0x00000000 Enable EFS 
0x00000001 Disable EFS

Wer mit EFS arbeitet, sollte auf jeden Fall auch einen "EFS Recovery Agenten" hinterlegen. Technisch ist das ein Zertifikate, welches auf alle Clients mit dem öffentlichen Schlüssel verteilt und von Windows bei EFS immer als zusätzlicher Decryptor für den File Encrption Key addiert wird. Den privaten sollten Sie dann ausreichend "sicher" gegen Fremdzugriff, Diebstahl aber auch Verlust aufbewahren.

Verschlüsselte Dateien (EFS) finden

Der Windows Explorer zeigt per EFS verschlüsselte Dateien derart an, dass das Icon ein kleines gelbes Schloss bekommt. Aber richtig offensichtlich ist dies nicht. Wenn Sie aber Dateiserver migrieren oder anderweitig Daten umgruppieren oder Berechtigungen verändern, dann sollten Sie wissen, ob EFS ihnen Probleme machen könnte. Ob eine Datei per EFS verschlüsselt ist, ist ein Attribut an der Datei und kann sehr einfach gelesen werden, auch wenn Sie die Datei selbst dann nicht öffnen könnten. Die meisten Administratoren und Anwender kennen von früher vielleicht noch die Attribute "Archiv", "ReadOnly", "System" und "Hidden".  Aber mit NTFS gibt es doch weitere Attribute, die als "[System.Io.FileAttributes]" auflösbar sind

PS C:\> ([System.Io.FileAttributes] | Get-Member -MemberType property -static).name -join ","

Für die weitere Auswertung ist das Attribute "Encrypted" maßgeblich 

Mit Get-ChildItem und einem Filter kann ich sehr einfach nach Dateien auf einem Volume suchen:

Get-ChildItem C:\-Recurse | Where {$_.attributes -like "*Encrypted*"}

Wer lieber mit der alten CMD-Shell arbeitet, findet mit "cipher.exe" einen Helfer, um die EFS-Funktionen per Kommandozeile umzusetzen. Eine Suche nach verschlüsselten Dateien starten Sie dann wie folgt:

REM Anzeige der verschlüsselten Dateien
REM /u Versucht auf alle verschlüsselten Dateien zuzugreifen und Schlüssel ggfls. zu aktualisieren
REM /n Verhindert beim Einsatz von /u die Aktualisierung der SChlüssel
REM /h Auch Hidden/System-Dateien mit anzeigen

cipher /u /n /h

Die Ausgabe ist einfach eine Liste der Dateien,  die sie aber nicht wirklich einfach weiter verarbeiten können. Daher finde ich den Ansatz per PowerShell zu suchen besser.

Weitere Links