Woher kommen EFS und Computer (Machine) Einträge in meiner Root CA?
Beispiel Server 2003 R2 mit "Enterprise root CA" und Windows 7 client.
Oft sieht man EFS oder Computer$ Certificates. Hier soll erklärt werden woher und wie diese in die Firmen CA kommen.
Woher kommen Certificates "Computer (Machine)"
Diese werden automatisch gelöst vom client bei der CA sobald ein Auto Enrollment aktiviert ist.
Wie kann man dies verifizieren oder sehen was passiert?
Dazu muss auf der CA das Template Enrollment Agent (Computer) aktiviert werden.
In der Regel sehen wir alle ausser die templates fuer Exchange bei Kunden installiert.
Oft sehen wir, dass via die Default Domain Policy ein Auto Enrollment der clients gemacht werden. Dies kann man wie folgt nachvollziehen.
Anpassung Default Domain Policy.
Bessere wäre auf eine OU in welcher z.B. nur die clients sind und extra GPO.
Wann erscheinen die computer (Machine) clients automatisch auf der CA?
Nach dem einfügen des Certificate Templates Computer erscheinen die clients im Certificate Server mit Computer (machine). > Nach Reboot ohne was zu machen auf client Seite.
Spätestens nach dem GPO Intervall von 15 Minuten.
Certificates EFS Encrypted File System
Oft sieht man EFS Einträge auf der CA und an sich Weiss niemand etwas davon.
Das macht der client wenn jemand ein File mit EFS verschlüsselt.
- Besteht keine CA > Wird eine Self Signed Seitens W7 client erstellt
- Besteht eine CA und es gibt ein "User Certificate" auf dem client wird dieses verwendet (User cert von der CA in der Regel)
- Besteht eine CA und es gibt KEIN "User Certificate auf dem client holt sich der Client bei der CA eines.
Woher kommen diese?
Die User machen auf dem XP oder W7 client folgenden Prozess um Daten vor der IT zu verstecken (z.B.) Es gibt auch Optionen wie z.B. MS Access MDB in Offline Folders (Laptops) mit der Options Verschlüsseln welche dies ausklösen.
Klärung EFS |
If the EFS user certificate expires, EFS ensures that the certificate is renewed if possible or, if not, that a new public-private key pair and a new public key certificate are issued for the user the next time an EFS operation is performed for that user.
EFS automatically renews certificates if possible. Self-signed certificates are valid for 100 years, so renewal is not an issue if you use these certificates. Certificates issued by certification authorities are typically valid for only a few years. You can view a certificate's expiration date in the Certificates snap-in. If EFS is unable to automatically renew an expired certificate, you are unable to encrypt more files by using the existing certificate. You can still decrypt files, however, because EFS stores existing private keys. If EFS cannot renew the certificate, it requests a new certificate from a trusted enterprise CA if one is known and available. Otherwise, EFS creates a new self-signed certificate. |
http://technet.microsoft.com/en-us/library/cc962118.aspx
Wo sieht man OB ein User Certificate z.B. von der eignen CA auf dem client vorhanden ist?
START > MMC
ADD SNAP "Certificates"
Hier sieht man einen client der ein User Certificate hat (Dieses muss der User via https://Certserver/certsrv geholt haben oder durch die IT installiert pro client).
Will man, dass der client das EFS Cert bei der CA abholt (löst) und nicht das User Certificate auf dem client zum Verschlüsseln verwendet müsste man das User Cert entfernen. Natürlich sollte man zuerst klären fuer was das User Certificate auf dem Client ist (Es gibt einen Grund). Eventuell fuer Zugriff auf einen Share oder Server. Das user Certificate entspricht security technisch einem User Name und Passwort.
Löschen der beiden "Personal" user Certificates
Ordner "test4" neu verschlüsseln mit EFS
- KEIN Local Personal User Cert
- Verschlüsselung prüft ob CA in Enterprise vorhanden
- Verschlüsselung holt sich bei CA einen key
