Sinds Windows 2000 beschikt het besturingssysteem over bestandscodering voor NTFS-gegevensdragers: het Encrypted File System, kortweg EFS. Deze functie blijft grotendeels ongebruikt. En als ze wordt gebruikt, is de frustratie groot wanneer u na een nieuwe installatie geen toegang meer hebt tot uw versleutelde gegevens. Dit artikel geeft een overzicht van EFS en hoe u de functie kunt gebruiken.
Inhoudsopgave
EFS voor wie en wat?
Met Windows 2000 introduceerde Microsoft een nieuwe functie voor NTFS-gegevensdragers, die Microsoft Encrypted File System – kortweg EFS – noemt. Met deze functie worden bestanden op verzoek versleuteld en kunnen ze alleen worden gelezen door de eigenaar en andere geautoriseerde gebruikers.
De naam EFS is echter enigszins misleidend. Het is geen eigen bestandssysteem, maar slechts een uitbreiding van het NTFS-bestandssysteem. EFS werkt dus niet op FAT-gegevensdragers.
EFS kan afzonderlijke bestanden of hele mappen versleutelen. Alleen de inhoud van de bestanden wordt versleuteld. De bestanden zelf zijn nog steeds aanwezig en zichtbaar in het systeem zoals elk ander bestand en worden niet verborgen. Als de bestandsnaam al als gevoelige informatie moet worden aangemerkt, moet het bestand dus op een andere manier worden verborgen of hernoemd.
EFS werkt voor de gebruiker op de achtergrond en zonder zijn of haar tussenkomst. Als men encryptie instelt voor een bestand of map en vervolgens gecodeerde bestanden opent, worden deze geopend gedecodeerd en opnieuw gecodeerd bij het opslaan zonder verdere tussenkomst van de gebruiker. Als u een nieuw bestand opslaat in een map die als versleuteld is ingesteld, wordt het nieuwe bestand automatisch versleuteld.
Sommige lezers zullen zich zeker afvragen wat het nut is van versleuteling in dit geval als het bestand automatisch wordt gedecodeerd zonder tussenkomst van de gebruiker. De oplossing is heel eenvoudig: alleen de gebruikersaccount van de eigenaar kan het bestand ontsleutelen.
Hiervoor gebruikt het EFS asymmetrische versleuteling, zoals reeds bekend van PGP. Het bestand wordt versleuteld met de openbare sleutel van de gebruiker. Het bestand kan weer worden ontsleuteld met de privésleutel. Het besturingssysteem maakt beide sleutels afzonderlijk voor de gebruiker aan in een certificaat.
Als een gebruiker het bestand benadert zonder de juiste privésleutel, wat volgens de beveiligingsinstellingen van het NTFS-volume zelfs mogelijk is, kan hij het bestand nog steeds niet ontsleutelen. De gebruiker of zijn toepassing ziet alleen een data chaos.
De sleutelsterkte is 128-bit. Sinds Windows XP SP1 gebruikt EFS de Advanced Encryption Standard (AES) als algoritme en vervangt het de DESX-methode die met Windows 2000 en XP (zonder SP) werd geïntroduceerd.
EFS voor wie ?
EFS is alleen geschikt voor bestanden die zijn opgeslagen op NTFS gegevensdragers. Windows XP Home biedt geen EFS. Hier bent u aangewezen op tools van derden.
Als een systeem door meerdere gebruikers wordt gebruikt, kunnen gevoelige bestanden dus op gebruikersniveau worden versleuteld. Zelfs als alle gebruikers toegang zouden hebben tot het bestand, zouden ze de inhoud niet kunnen ontcijferen vanwege ontbrekende sleutels.
Eigenaars van notebooks kunnen de volledige inhoud van hun gegevens versleutelen. Dieven hebben dus geen toegang tot de gegevens omdat het wachtwoord van de gebruiker ontbreekt. Zelfs indien de dief zou proberen een nieuw wachtwoord toe te kennen aan de beheerder via een tool van derden en zo de wachtwoorden van de overige gebruikers op een nieuwe waarde zou instellen, zou dit de versleuteling niet ongedaan maken (zie item Sleutelbeveiliging).
Als u een NTFS-gegevensdrager aankoppelt met andere systemen of hulpmiddelen die de NTFS-beveiligingsinstellingen omzeilen, kunt u de gecodeerde bestanden nog steeds niet bekijken of bewerken omdat de juiste sleutels ontbreken.
Zelfs een beheerder kan niets met de gegevens doen.
Wat EFS niet kan doen
- EFS versleutelt alleen de inhoud van de bestanden. De naam van een bestand kan echter al iets zeggen over de inhoud ervan. Als je dit ook wilt verbergen, moet je jezelf helpen met andere hulpmiddelen, die we in een volgend artikel zullen presenteren. De bestanden in de afbeelding zijn allemaal versleuteld (groene bestandsnamen). De naam alleen al zou echter de interesse en verbeelding van de rest kunnen wekken.
Gecodeerde bestanden - EFS versleutelt geen tijdelijke bestanden die toepassingsprogramma’s elders kunnen aanmaken. U moet deze mappen aanvullend versleutelen om de grootst mogelijke veiligheid te bereiken.
- EFS werkt niet op FAT-gegevensdragers, zoals USB-sticks en andere mobiele opslagmedia. Ook hier kunt u beter andere hulpmiddelen gebruiken.
- EFS van Windows 2000 wordt door deskundigen als onveilig beschouwd vanwege een ontwerpfout. Op internet zijn programma’s te vinden waarmee men EFS-sleutels uit een Windows 2000-systeem kan halen en zo toegang krijgt tot de versleutelde bestanden.
- EFS is niet geschikt om versleutelde bestanden tussen gebruikers uit te wisselen. In principe is het mogelijk om andere systeemgebruikers met een eigen certificaat toegang te geven tot de bestanden, maar het geheel is erg omslachtig. Bovendien zou de ontvanger met het certificaat alle bestanden van de gebruiker kunnen lezen. Voor de eenvoudige uitwisseling van versleutelde bestanden zijn er betere oplossingen die bijvoorbeeld gebruik maken van symmetrische versleuteling (hetzelfde wachtwoord voor versleutelen en ontsleutelen).
In het vervolgartikel File Encryption – Possibilities and Programmes presenteren we programma’s en mogelijkheden om de beperkingen van EFS te omzeilen.
EFS kost prestaties
Op dit punt willen wij erop wijzen dat het gebruik van EFS in het algemeen prestaties kost. Afhankelijk van de uitrusting van de computer kan de schrijf- en leesprestatie van het systeem met gecodeerde bestanden tot 50% dalen. Zolang alleen Office-bestanden e.d. worden verwerkt, zijn ontsleuteling en versleuteling nauwelijks merkbaar. Bij grotere bestanden, zoals bij videobewerking, is EFS echter een grote belemmering. Idealiter versleutelt u alleen bestanden die echt een verhoogde bescherming nodig hebben.
EFS in de praktijk
De bediening van de EFS-functie is heel eenvoudig. U kunt het dialoogvenster“Extended Attributes” weergeven via het contextmenu -> Eigenschappen ->Uitgebreid.
 |
| Encryptie dialoog |
Hier kunt u de versleuteling voor het object activeren.
Als u een bestand in een niet-gecodeerde map selecteert en hier de codering activeert, geeft het systeem een waarschuwing en biedt het de optie om de map en het bestand te coderen.
 |
| Coderingsdialoog voor map |
Bestanden die in een versleutelde map worden aangemaakt of erin worden gekopieerd, worden vervolgens automatisch door het systeem versleuteld. Als u de bestanden weer wilt decoderen, hoeft u alleen het vinkje bij de uitgebreide attributen uit te zetten.
Als een gebruiker een versleuteld bestand opent waarvoor hij de nodige rechten heeft, maar niet het juiste sleutelbestand, krijgt hij alleen een foutmelding:
 |
| Gecodeerd bestand niet leesbaar door buitenlandse gebruikers |
Het is ook mogelijk om bestanden te versleutelen en te ontsleutelen via de opdrachtregel. Dit is mogelijk geschikt voor batchopdrachten enz.
cipher /e /s: “C:\Documents and Settings”.
versleutelt bijvoorbeeld alle bestanden in de map “secret” Het commando om te ontsleutelen is cipher /d. De volledige opdrachtreferentie kan worden weergegeven via cipher /?
Kleur voor EFS
Om gecodeerde bestanden als zodanig herkenbaar te maken, dient u in Verkenner onder Extra -> Mapopties -> Weergave de betreffende optie te activeren:
 |
| Gecodeerde bestanden herkenbaar maken |
De standaard kleurwaarde “groen” kan via het register onder HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrent\Version\Explorer worden gewijzigd door een nieuwe binaire waarde met de naam AltEncryptionColor. Voer als waarde direct de gewenste kleur in als hexadecimaal, waarbij het vierde cijfer altijd 00 moet zijn.
De kleur kan eenvoudig worden aangepast via TweakUi.
 |
| De kleur aanpassen via TweakUI |
EFS in het contextmenu
Met een ingreep in het register kunt u in het contextmenu ook vermeldingen voor de versleuteling en ontsleuteling van bestanden en mappen weergeven.
Navigeer hiervoor met Regedit naar HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\Explorer\Advanced (maak indien nodig sub-paths) en maak hier een nieuwe DWORD entry aan met de naam EncryptionContextMenu en de waarde 1. Na een herstart vindt u Encryptie en Decryptie in het contextmenu. De tip is ook beschikbaar in het WinTotal tip archief.
Sleutel back-up
Direct een back-up maken van toetsen
Zodra u de EFS-functie gaat gebruiken, moet u onmiddellijk een back-up van uw sleutel (certificaat) maken op een veilig opslagmedium.
Als het systeem beschadigd raakt en niet meer opstart, kunt u mogelijk niet meer bij uw gegevens. Zelfs als u Windows opnieuw opstart en dezelfde gebruiker (naam en wachtwoord) aanmaakt, zullen de certificaten nog steeds niet geschikt zijn voor ontsleuteling.
Als de beheerder het wachtwoord van de gebruiker wijzigt, hebt u ook geen toegang meer tot de versleutelde bestanden. Wijzigt de gebruiker daarentegen zelf zijn wachtwoord, dan is er geen gevaar. Het systeem decodeert met het oude wachtwoord en slaat de bestanden vervolgens op met het nieuwe wachtwoord.
Gebruikt u image-software zoals Acronis True Image, houd er dan rekening mee dat de EFS-sleutels alleen in de image worden opgenomen als de functie al in gebruik was voor de gebruiker. Om het zekere voor het onzekere te nemen, moet u daarom een afzonderlijke back-up van de sleutels maken.
Back-up van sleutels in detail
U moet een back-up maken van de sleutels, zodat u nog steeds toegang hebt tot uw gegevens in het geval dat het account of het systeem beschadigd raakt en opnieuw moet worden opgestart.
Zie ook onze tip over het exporteren en importeren van EFS-sleutels.
U kunt op 2 manieren een back-up van de sleutel maken.
a.) Variant via Internet Explorer
Ga in Internet Explorer naar de Internetopties en hier naar het tabblad Inhoud en naar de knop Certificaten.
 |
| Knop Certificaten in Internet Explorer |
Uw eigen certificaten staan in de volgende dialoog.
 |
| De certificaten exporteren |
Klik op de knop Exporteren om de wizard voor het exporteren van certificaten te starten:
 |
| Wizard certificaten exporteren |
Hier selecteert u Export private key en wijst u vervolgens een exportwachtwoord en het opslagpad van het certificaat toe. Zonder de privésleutel kunt u de bestanden niet meer ontsleutelen.
 |
| Exporteer private sleutel! |
De wizard slaat vervolgens het PFX-sleutelbestand op de opgegeven locatie op.
Bewaar dit bestand op een veilige plaats en verwijder vervolgens het bestand van het systeem.
b.) Variant via de Microsoft Management Console
In plaats van Internet Explorer te gebruiken, kunt u ook de Microsoft Management Console gebruiken om de Certificate Export Wizard te starten. Voer hiervoor certmgr.msc in onder Start -> Uitvoeren.
U vindt het certificaat onder Mijn Certificaten. U kunt de Certificate Export Wizard starten via Action -> All Tasks. Voor de rest geldt het bovenstaande.
 |
| certmgr.msc |
Importeer de sleutel opnieuw
Met de beveiligde sleutel in het PFX-bestand hebt u toegang tot de bestanden die u hebt versleuteld, zelfs als u het systeem opnieuw installeert of de gebruikersnaam wijzigt.
In het volgende voorbeeld noemen we onszelf nu “Erich” en willen we toegang tot onze bestanden die waren versleuteld onder “Michael”.
Hiervoor heeft “Erich” alleen het PFX-bestand en het exportwachtwoord nodig, dat wordt opgevraagd als u dubbelklikt op het bestand. Dit start de certificaatimportwizard.
 |
| Certificaten importeren |
In het volgende dialoogvenster moet u het export-wachtwoord invoeren. De andere opties spreken voor zich.
 |
| Invoeren van het export-wachtwoord |
Selecteer Eigen certificaten als certificaatbestemming.
 |
| Eigen certificaten als bestemming |
Zodra het certificaat is geïmporteerd, heeft u toegang tot de versleutelde bestanden van de gebruiker van wie het certificaat afkomstig is. Als de “importeur” het nieuwe account is, kunt u het beste eerst alle bestanden ontsleutelen en daarna de versleuteling weer activeren. Op die manier wordt het hoofdcertificaat van de gebruiker gebruikt.
Merk op dat elke gebruiker aan wie u uw privésleutel geeft, deze automatisch ook kan gebruiken om uw versleutelde bestanden te bekijken.
Algemene toegang voor de beheerder – de Recovery Agent
Naast de sleutelback-up voor elke gebruiker kunt u ook een gegevensherstelagent (Recovery Agent) instellen. Dit is een speciaal geautoriseerde account die in noodgevallen de versleutelde bestanden van gebruikers kan ontsleutelen. Dit kan echter alleen zolang Windows zelf nog uitvoerbaar is. De recovery-agent vervangt dus niet een back-up van het certificaat.
Bij Windows 2000 is de beheerder automatisch de Recovery Agent. Bij Windows XP e.v. moet deze eerst handmatig worden aangemaakt.
De eenvoudigste manier om dit te doen is met het commando cipher /r filename. “filename” is de naam voor het achtervoegsel van de twee bestanden die chiper automatisch aanmaakt.
 |
| cipher /r:filename |
Na het toekennen van de wachtwoorden bewaart cipher een PFX (private key bestand) en een CER bestand (publiek certificaat bestand). Bewaar beide bestanden op een veilige plaats.
Om nu een account in te stellen als data recovery agent, logt u in met het betreffende account. Start vervolgens het beheer van het lokale beveiligingsbeleid via secpol.msc.
 |
| Gegevensherstel agent |
Start onder “Public key policies” -> “File system is encrypted” via het contextmenu de dialoog voor het toevoegen van de data recovery agent.
 |
| Gegevensherstel agent |
Selecteer nu het CER-bestand dat eerder is aangemaakt met cipher/r.
 |
| Gegevensherstelagent – Gebruikersselectie |
Nadat de wizard is voltooid, is de geselecteerde gebruiker Data Recovery Agent.
 |
| Data Herstel Agent |
Vanaf dat moment wordt een nieuw bestand altijd twee keer versleuteld – eerst met de publieke sleutel van de uitvoerende gebruiker en daarna met de publieke sleutel van de recovery agent. Hij heeft dus voor elk bestand een dubbele sleutel.
Herstelagent in gebruik
Als de Recovery Agent op een bepaald moment gebruikt moet worden, bijvoorbeeld omdat een gebruikersaccount is verwijderd maar de bestanden nog steeds versleuteld zijn, gaat u als volgt te werk:
- Log in met het account van de Recovery Agent.
- Importeer de privésleutel van de agent via het met cipher/r aangemaakte PFX-bestand door te dubbelklikken.
Vervolgens kunt u de versleutelde bestanden van de andere gebruikers ontsleutelen.
EFS volledig uitschakelen
Zoals zoveel dingen kan ook EFS volledig gedeactiveerd worden via het register:
Maak onder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NTCurrentVersion\Efs een nieuwe DWORD-waarde aan met de naam EfsConfiguration en de waarde 1. Hierdoor wordt EFS lokaal uitgeschakeld. Ga naar de tip “EFS uitschakelen”.
U kunt EFS echter ook uitschakelen voor bepaalde mappen. Plaats hiervoor een bestand met de naam DESKTOP.INI in de map en voeg toe
[Encryptie]
Disable=1
als inhoud.
Conclusie
EFS is een ideale beveiligingsmaatregel om de eigen bestanden te beschermen tegen vreemde ogen. Zelfs een beheerder kan de bestanden niet inzien. De nadelen en beperkingen van EFS werden in het artikel uitgelegd. In ieder geval moet de gebruiker zijn certificaat exporteren om het in geval van nood weer te kunnen importeren. Versleutelde bestanden waarvoor geen certificaat meer beschikbaar is, gaan onherroepelijk verloren.
Verdere weblinks
Microsoft:
Het coderende bestandssysteem
KB329741: EFS-bestanden (Encrypting File System) lijken corrupt wanneer u ze opent.
Het coderende bestandssysteem (EFS) gebruiken in Windows Server 2003