G 4.54 Verlust des Schutzes durch das verschlüsselnde Dateisystem EFS
Das verschlüsselnde Dateisystem (Encrypting File System, EFS) von Windows Server 2003/XP ist ein für Benutzer einfach zu bedienendes Mittel, um ein aus Anwendungssicht transparentes Arbeiten mit verschlüsselten Dateien zu ermöglichen. Es eignet sich am besten für einzelne Benutzer und exponierte Client-Computer, die zeitweise außerhalb der geschützten IT-Umgebung zum Einsatz kommen. Die Hauptintention ist das Herstellen von Vertraulichkeit für dedizierte lokale Daten.
Die in G 2.19 Unzureichendes Schlüsselmanagement bei Verschlüsselung genannten Gefährdungen können in vielfältiger Art und Weise dazu führen, dass EFS-Zertifikate, welche zur Ver- und Entschlüsselung verwendet werden, offen gelegt werden oder abhanden kommen. Auf einem Dateiserver, wären dann große Datenmengen nicht mehr vertraulich oder nicht mehr verfügbar, was im Vergleich zu einem einzelnen Client fatal sein kann. Auf einem Server spielt auch G 2.116 Datenverlust beim Kopieren oder Verschieben von Daten unter Windows Server 2003 eine erhebliche Rolle und kann zum Verlust oder zur Beschädigung größerer Datenmengen führen. Wenn Administratoren sich solcher Effekte und den komplexen Anforderungen nicht ausreichend bewusst sind, kann die durch Aktivierung des EFS beabsichtigte höhere Sicherheit leicht verloren gehen. Kommt aufgrund der vermeintlichen Sicherheit noch eine gewisse Fahrlässigkeit bei Benutzern und Administratoren hinzu, sind kritische Daten sogar stärker bedroht als vor der Aktivierung des EFS. Im Folgenden werden einige Teilaspekte genauer erläutert.
Mit EFS ist es nicht möglich, die Vertraulichkeit von verschlüsselten Daten auf Remote-Servern gegenüber Administratoren zu garantieren. Der Administrator kann sich jederzeit die Möglichkeit verschaffen, mittels Berechtigungen und dem integrierten Wiederherstellungsverfahren auf verschlüsselte Daten zuzugreifen.
EFS ist vollständig transparent für den Benutzer und die Anwendungen. Das bedeutet, dass jeder Prozess und jede Anwendung, die im Kontext des Benutzers ausgeführt wird, Zugriff auf die verschlüsselten Dateien hat. EFS stellt somit keinen Schutz vor Schadsoftware wie Trojanischen Pferden und Viren dar. EFS ersetzt nicht die sorgfältige Administration der Zugriffsberechtigungen (Access Control Lists, ACL) des NTFS. Verschlüsselte Dateien können von Benutzern oder Anwendungen unabhängig vom Schutz durch EFS gelöscht werden, wenn sie über dafür ausreichende NTFS-Berechtigungen verfügen.
Die Transparenz geht soweit, dass Benutzer im Allgemeinen nicht mitbekommen, ob Daten ver- oder entschlüsselt sind. Eine Verschlüsselung liegt aber tatsächlich nur auf NTFS-formatierten Datenträgern vor. Beim Kopieren/Verschieben auf Speichermedien mit anderen Dateisystemen werden die Dateien unverschlüsselt abgespeichert.
Fehlende Kontrolle über EFS-Zertifikate
EFS erfordert ein definiertes zentrales Schlüsselmanagement. Ohne den Einsatz einer Public Key Infrastructure (PKI) werden selbstsignierte Zertifikate des lokalen Computers (Client oder Server) benutzt. Damit stellt EFS ein nicht unerhebliches Risiko dar, durch Schlüsselverlust den Zugriff auf die verschlüsselten Dateien zu verlieren.
Werden von einem Client aus Daten mittels EFS auf einem Server verschlüsselt, der Mitglied in einer Domäne ist, muss dieser Server im Namen des Client-Benutzers ein EFS-Zertifikat anfordern. Das ist nur möglich, wenn dem Domänenkonto des Servers erweiterte Berechtigungen eingeräumt werden. So wird dem Serverobjekt innerhalb der Domäne für Delegierungszwecke vertraut. Diese "Stellvertretung" und das "Vertrauen" lassen sich mit dem Kerberos-Protokoll realisieren, designbedingt wird dadurch allerdings die Sicherheit der Kerberos-Umgebung verringert. Im Falle einer Kompromittierung des vertrauten Servers kann der Angreifer Einfluss auf benutzerspezifische Daten nehmen. Sind die Einstellungen zum Vertrauen nicht korrekt konfiguriert und auf EFS-relevante Dienste beschränkt, ergeben sich auch Manipulationsmöglichkeiten in anderen Bereichen des Servers oder der Domäne.
Außerdem erschwert das Prinzip der Erzeugung von EFS-Zertifikaten auf dem Remote-Server bzw. im Active Directory das Verwalten und Schützen des Schlüsselmaterials.
Nutzung des EFS-API
Greift eine Anwendung auf verschlüsselte Dateien zu, welche für mehrere Benutzer verschlüsselt wurden, muss die Anwendung das entsprechende Application Programming Interface (API) von Windows Server 2003/Windows XP unterstützen. Anderenfalls werden die Schlüssel der zusätzlichen Benutzer von den Dateien entfernt. Kein Benutzer außer dem ursprünglichen Erzeuger hat dann noch Zugriff auf die jeweilige Datei. Microsoft Office XP oder höher benutzt das korrekte API. Sicherungs-, Archiv- und Synchronisierungs-Tools von Drittherstellern bergen ähnliche Risiken, sobald sie zur Verarbeitung verschlüsselter Dateien zum Einsatz kommen.