Jeder Anwender besitzt einige sensible Daten, die nicht für fremde Leser bestimmt sind. NTFS-Rechte unter 2000 und XP zu vergeben, ist schön und gut, reicht aber nicht aus: Alle Restriktionen sind einfach zu umgehen, sobald ein Eindringling sich mit einer Knoppix- oder Bart-PE-CD bewaffnet und auf diesem Weg auf das System zugreift.
Lösung: Auf NTFS-Partitionen haben Sie die Möglichkeit, das EFS einzusetzen. Über das Encrypting File System können Sie alles verschlüsseln – von der einzelnen Datei bis zu ganzen Ordnerstrukturen. Um Daten zu codieren, klicken Sie mit der rechten Maustaste auf eine Datei oder einen Ordner. Dann wählen Sie „Eigenschaften, Allgemein, Erweitert“ und aktivieren die Option „Inhalt verschlüsseln, um Daten zu schützen“. Der Vorteil von EFS ist, dass dann wirklich niemand außer Ihnen auf die Daten zugreifen kann.
Sorgen Sie vor: Wenn Sie Ihren Schlüssel verlieren, Ihr Profil kaputtgeht,oder Sie gar neu installieren müssen, haben auch Sie selbst keinen Zugriff mehr. Aus diesem Grund sollten Sie vor dem ersten Verschlüsseln sozusagen einen Schlüsseldienst auf einem externen Datenträger anlegen. Damit kommen Sie im Fall des Falles immer noch an Ihre Daten.
Windows 2000: In dieser Windows-Version ist der Wiederherstellungsagent für das Administrator- Konto bereits vorinstalliert, so dass Sie den Schlüssel dafür nur exportieren müssen. Gehen Sie dazu in die Systemsteuerung, und wählen Sie „Internetoptionen“. Wechseln Sie auf die Registerkarte „Inhalte“, klicken Sie auf „Zertifikate“, exportieren Sie Ihr Administrator-Zertifikat auf ein externes Medium, und entfernen Sie es danach aus dem Profil. Im Notfall legen Sie den USB-Stick ein und lesen den Schlüssel per Doppelklick neu ein.
Windows XP Pro: Starten Sie den Rechner im abgesicherten Modus, und melden Sie sich als Administrator an. Erstellen Sie ein neues Zertifikat, indem Sie eine Eingabeaufforderung öffnen und die Befehle cd /d %temp% cipher /r:Administrator ausführen. Das auf diesem Weg erzeugte Zertifikat finden Sie dann in der Datei „%temp%\Administrator.cer“. Es identifiziert den Administrator als Inhaber des öffentlichen Schlüssels, über den wiederum die Daten verschlüsselt werden. Rufen Sie das Zertifikat per Doppelklick auf, und installieren Sie es. Dabei wird es unter „Vertrauenswürdige Stammzertifizierungsstellen“ abgelegt. Nun müssen Sie den neuen Wiederherstellungsagenten – so der offizielle Name des Schlüsseldiensts bei Microsoft – noch in den Richtlinien des lokalen Computers eintragen.
Öffnen Sie dazu wieder „Start, Ausführen“, und geben Sie „Gpedit.MSC“ ein. Hier wählen Sie „Computerkonfiguration, Windows- Einstellungen, Sicherheitseinstellungen, Richtlinien öffentlicher Schlüssel, Dateisystem wird verschlüsselt“. Danach klicken Sie mit der rechten Maustaste auf eine freie Stelle in der rechten Fensterhälfte, wählen „Dateiwiederherstellungs- Agenten hinzufügen“ und fügen schließlich mit dem Assistenten die Administrator.CER ein. Damit kann der Wiederherstellungsagent mit seinem privaten Schlüssel im Notfall jede EFS-Verschlüsselung auf dem System aufheben. Dieser Schlüssel wurde ebenfalls mit dem Zertifikat angelegt, und zwar in der Datei Administrator.PFX. Zur Sicherheit sollten Sie die Datei auf ein externes Medium verschieben, zum Beispiel einen USB-Stick.