In einer Organisation möchte man EFS-Verschlüsselung zentral verwalten statt, wie an Stand-Alone- oder Workgroup-Rechnern, jedem Benutzer selbst die Erzeugung und Sicherung seiner Schlüssel und Zertifikate zu überlassen. So ist gewährleistet, dass auch nach einem Password-Reset, der Restaurierung des Gerätes per Image oder ähnlichen administrativen Eingriffen der Benutzer Zugriff auf seine verschlüsselten Dateien hat: Schlüssel, Zertifikate und Wie­der­her­stellungs­agenten verwaltet das Active Directory. Voraussetzung dazu ist die Einrichtung einer PKI.

Wie­der­her­stellungs­agent (EFS Recovery Agent) einrichten

Die EFS-Verwaltung für die Domäne geschieht über Gruppenrichtlinien. Diese findet man unter Computerkonfiguration → Richtlinien → Windows-Einstellungen → Richtlinien für öffentliche Schlüssel → Verschlüsselndes Dateisystem. Hier kann man Wie­der­her­stellungs­agenten für die Domäne erstellen oder hinzufügen.

Beide Funktionen findet man im Kontextmenü des Knotens Verschlüsselndes Dateisystem. Beim der Funktion Dateiwiederherstellungs-Agents erstellen wird dem aktuell angemeldeten Benutzer von der Zertifizierungsstelle ein Zertifikat von Typ EFS-Dateiwiederherstellungs-Agent mit dem Zweck Dateiwiederherstellung ausgestellt und im AD veröffentlicht.

Will man einen anderen Benutzer zum Wie­der­her­stellungs­agenten erklären, dient dazu die Funktion Dateiwiederherstellungs-Agents hinzufügen. Hier wählt man aus dem AD einen Benutzer aus, der bereits ein Zertifikat mit dem Zweck Dateiwiederherstellung besitzt. Der Benutzer muss dieses Zertifikat also bereits vorher angefordert haben. Es muss im Zertifikatsspeicher des Active Directory hinterlegt sein – alternativ kann man ein zuvor gesichertes Zertifikat an dieser Stelle als Datei importieren.

Richtlinien für EFS in der Domäne festlegen

Die für die diversen OUs der Domäne geltenden EFS-Regeln legt man klassisch per Gruppenrichtlinien fest, etwa ob EFS verwendet werden darf oder ob selbstsignierte Zertifikate zulässig sind. Jede OU, für die man Richtlinien festlegt, muss zuvor einen Wiederstellungsagenten nach dem oben beschriebenen Verfahren konfiguriert bekommen haben – die GUI für die Gruppenrichtlinien hilft in dieser Beziehung etwas nach.

Die Richtlinien selbst definiert man, indem man mit der rechten Maustaste auf den Knoten Verschlüsselndes Dateisystem klickt und aus dem Kontextmenü den Punkt Eigenschaften wählt. Hier lässt sich angeben, ob EFS für die jeweilige OU zugelassen ist und wenn ja, ob das Dokumente-Verzeichnis der jeweiligen Benutzer standardmäßig verschlüsselt wird. Außerdem lässt sich angeben, EFS nur mit Smartcard zuzulassen.

Auf der Registerkarte Zertifikate kann man außerdem festlegen, welche Zertifikatvorlage für die Anforderung eines EFS-Zertifikats verwendet wird (Standard: Basis-EFS) und ob Clients bei Nichtverfügbarkeit der Zertifizierungsstelle auch selbstsignierte Zertifikate erzeugen dürfen. Standardmäßig ist dies erlaubt – wer sicherstellen will, dass nur zentral verwaltete EFS-Zertifikate zum Einsatz kommen, sollte diese Option abschalten.

GPO-verwaltete EFS-Zertifikate aus Sicht des Clients

Aus Sicht des Benutzers zentral verwalteter EFS-Zertifikate besteht kein besonderer Aufwand. Sofern es ihm erlaubt ist, das verschlüsselnde Dateisystem zu verwenden, fordert der erste Verschlüsselungsvorgang ein EFS-Zertifikat bei der Zertifizierungsstelle an und installiert dieses. Auf dem Server kann man dies im MMC-Snap-In Zertifizierungsstelle unter Ausgestellte Zertifikate nachverfolgen.

Alternativ kann jeder Benutzer in der Systemsteuerung unter Benutzerkonten → Dateiverschlüsselungszertifikate verwalten die Anforderung manuell auslösen beziehungsweise auch bei einem bereits bestehenden ein neues EFS-Zertifikat erstellen. Ob er dabei die Wahlmöglichkeit hat, dies selbst zu erstellen oder ob er es bei der Zertifizierungsstelle anfordern muss, hängt von der konkreten Richtlinie für die OU ab.

Als Übersicht für die eigenen Zertifikate bietet sich etwa in der Systemsteuerung die Schaltfläche Zertifikate auf der Registerkarte Inhalte in den Internetoptionen an. Wer es detaillierter und mit mehr Optionen möchte, muss sich selbst eine Konsole erstellen, in die er das Snap-In Zertifikate für das eigene Benutzerkonto einfügt.