Aanbevelingen voor het coderen van een bestandssysteem

Samenvatting

Microsoft Windows biedt de mogelijkheid om gegevens rechtstreeks te coderen op volumes met het NTFS-bestandssysteem zodat de gegevens niet kunnen worden gebruikt door anderen. U kunt bestanden en mappen coderen als u een kenmerk instelt in het dialoogvenster Eigenschappen van het object.

Aangezien het coderings-/decoderingsproces transparant is voor gebruikers, is het van belang dat organisaties die gebruik willen maken van bestandscodering ervoor zorgen dat al hun medewerkers de beschikking hebben over duidelijke richtlijnen voor het gebruik ervan.

Meer informatie

Hieronder ziet u een lijst met standaardprocedures:
 • Leer gebruikers hun certificaten en persoonlijke sleutels te exporteren naar verwisselbare media en deze media zorgvuldig op te bergen als deze niet worden gebruikt. De persoonlijke sleutel moet worden verwijderd van de computer wanneer de computer niet wordt gebruikt. Dit biedt de beste beveiliging tegen kwaadwillenden die de computer in handen krijgen en toegang proberen te krijgen tot de persoonlijke sleutel. Wanneer toegang nodig is tot gecodeerde bestanden, kan de persoonlijke sleutel eenvoudig worden geïmporteerd van de verwisselbare media.
 • Codeer de map Mijn documenten van alle gebruikers (Gebruikersprofiel\Mijn documenten). Zo zorgt u ervoor dat de persoonlijke map, waarin de meeste documenten worden opgeslagen, standaard is gecodeerd.
 • Leer gebruikers nooit afzonderlijke bestanden te coderen, maar om mappen te coderen. Programma's werken op verschillende manieren met bestanden. Als consequent wordt gecodeerd op mapniveau, worden bestanden niet onverwacht gedecodeerd.
 • De persoonlijke sleutels die zijn gekoppeld aan herstelcertificaten, zijn zeer vertrouwelijk. Deze sleutels moeten worden gegenereerd op een computer met fysieke beveiliging. Een andere mogelijkheid is dat de bijbehorende certificaten worden geëxporteerd naar een PFX-bestand dat is beveiligd met een sterk wachtwoord, en worden opgeslagen op een locatie met fysieke beveiliging.
 • Herstelagentcertificaten moeten worden toegewezen aan speciale herstelagentaccounts die niet voor andere doeleinden worden gebruikt.
 • Verwijder geen herstelcertificaten en persoonlijke sleutels wanneer herstelagents worden gewijzigd. (Agents worden regelmatig gewijzigd). Bewaar ze allemaal totdat alle bestanden die er mogelijk mee zijn gecodeerd, zijn bijgewerkt.
 • Wijs twee of meer herstelagentaccounts aan per organisatie-eenheid, afhankelijk van de grootte van de organisatie-eenheid. Wijs twee of meer computers aan voor herstel, een voor elke aangewezen herstelagentaccount. Geef de betreffende beheerders de machtigingen om de herstelagentaccounts te gebruiken. Het is verstandig om twee herstelagentaccounts te hebben zodat u beschikt over redundantie voor bestandsherstel. Als u twee computers hebt met deze sleutels, beschikt u over meer redundantie voor herstel van verloren gegevens.
 • Implementeer een archiveringsprogramma voor herstelagents zodat gecodeerde bestanden kunnen worden hersteld met verouderde herstelsleutels. Herstelcertificaten en persoonlijke sleutels moeten worden geëxporteerd en opgeslagen op een veilige, gestructureerde manier. In het ideale geval, zoals bij alle vertrouwelijke gegevens, moeten archieven worden opgeslagen in een kluis met beperkte toegang en moeten er twee archieven zijn: een hoofdarchief en een reservearchief. Het hoofdarchief wordt op de eigen locatie bewaard. Het reservearchief bevindt zich op een veilige plek buiten het eigen gebouw.
 • Gebruik liever geen afdrukspoolbestanden in uw afdrukserverarchitectuur, of zorg ervoor dat afdrukspoolbestanden worden gegenereerd in een gecodeerde map.
 • Het EFS-bestandssysteem neemt enige CPU-bronnen in beslag wanneer een gebruiker een bestand codeert of decodeert. Plan het gebruik van uw server goed. Verdeel de belasting van servers wanneer er veel clients zijn die gebruikmaken van EFS.

Bestanden delen in Encrypting File System inschakelen

In Microsoft Windows XP ondersteunt EFS het delen van gecodeerde bestanden door meerdere gebruikers. Dankzij deze ondersteuning kunt u afzonderlijke gebruikers machtigingen verlenen om een gecodeerd bestand te openen. De mogelijkheid om extra gebruikers toe te voegen geldt alleen voor afzonderlijke bestanden. Er wordt geen ondersteuning van meerdere gebruikers voor mappen geboden in Microsoft Windows 2000 en Windows XP. Ook het gebruik van groepen voor gecodeerde bestanden wordt niet ondersteund in EFS.

Nadat een bestand is gecodeerd, schakelt u het delen van bestanden in via een nieuwe knop in de gebruikersinterface. Extra gebruikers kunnen pas worden toegevoegd nadat een bestand is gecodeerd en opgeslagen. Gebruikers kunnen worden toegevoegd vanaf de lokale computer of vanuit de adreslijstservice Active Directory als de gebruiker een geldig certificaat heeft voor EFS. De mogelijkheid om extra gebruikers toe te voegen geldt alleen voor afzonderlijke bestanden. Er wordt in EFS geen ondersteuning voor meerdere gebruikers geboden voor gecodeerde mappen. Bovendien kunt u alleen afzonderlijke gebruikers toevoegen aan bestanden. Het gebruik van groepen voor gecodeerde bestanden wordt niet ondersteund in EFS.

Raadpleeg de sectie 'Coderen en decoderen met Encrypting File System' voor informatie over de manier waarop u EFS-codering inschakelt voor mappen en bestanden.

Een bestand coderen voor meerdere gebruikers

Opmerking Deze procedure is alleen van toepassing op Windows XP. U kunt geen bestanden coderen voor meerdere gebruikers in Windows 2000.

Ga hiervoor als volgt te werk:
 1. Start Microsoft Windows Verkenner en selecteer het gecodeerde bestand waaraan u gebruikers wilt toevoegen.
 2. Klik met de rechtermuisknop op het gecodeerde bestand en klik op Eigenschappen.
 3. Klik op Geavanceerd om de EFS-instellingen te openen.
 4. Klik op Details om extra gebruikers toe te voegen.
 5. Klik op Toevoegen. Het dialoogvenster Toevoegen wordt geopend met daarin alle andere voor EFS geschikte certificaten in uw persoonlijke opslag of certificaten van andere gebruikers die zijn opgeslagen in uw certificaatopslag Anderen of Vertrouwde personen.

  Als de gebruiker die u wilt toevoegen niet wordt weergegeven, klikt u op Gebruiker zoeken om te zoeken in Active Directory. Het venster Gebruiker selecteren wordt geopend. In een dialoogvenster ziet u geldige EFS-certificaten in Active Directory die voldoen aan uw zoekcriteria. Als er geen geldig certificaat is gevonden voor die gebruiker, wordt in een bericht gemeld dat er geen geschikte certificaten zijn voor de geselecteerde gebruiker. In dat geval moeten de betreffende gebruikers u een kopie sturen van hun certificaat, zodat u dit kunt importeren. Hierna kunt u hen toevoegen aan het gecodeerde bestand.
 6. Selecteer het certificaat van de gebruiker die u wilt toevoegen en klik op OK. U gaat terug naar het tabblad Details. Op dit tabblad worden de gebruikers weergegeven die toegang hebben tot het gecodeerde bestand en hun EFS-certificaten.
 7. Herhaal deze procedure tot u alle gewenste gebruikers hebt toegevoegd. Klik op OK om de wijziging door te voeren en verder te gaan.
Opmerking Gebruikers die een bestand kunnen decoderen, kunnen ook andere gebruikers verwijderen als degene die het bestand decodeert ook schrijfmachtigingen heeft voor het bestand.

Coderen en decoderen met Encrypting File System

Met de volgende procedure codeert of decodeert u een bestand of map met Encrypting File System.

Opmerking Deze richtlijnen gelden voor Windows 2000 en Windows XP.

Een map coderen

Hoewel u bestanden afzonderlijk kunt coderen, wordt u ten sterkste aangeraden een speciale map te maken om gecodeerde gegevens in op te slaan.

Een map en de inhoud daarvan coderen


Hoewel u bestanden afzonderlijk kunt coderen, is het verstandig om een speciale map te maken waarin u gecodeerde bestanden opslaat en die map te coderen. Als u dat doet, krijgen alle bestanden die u maakt in of verplaatst naar die map automatisch het kenmerk Gecodeerd.

Voer de volgende procedure uit om een map en de inhoud ervan te coderen:
 1. Klik met de rechtermuisknop op de map die u wilt coderen en klik op Eigenschappen.
 2. Klik in het dialoogvenster Eigenschappen op Geavanceerd.
 3. Het dialoogvenster Geavanceerde kenmerken laat de kenmerkopties voor compressie en codering zien. Dit dialoogvenster bevat bovendien kenmerken voor archiveren en indexeren.

  Opmerking Hoewel het NTFS-bestandssysteem zowel compressie als codering ondersteunt, is er geen ondersteuning voor beide opties tegelijk. Dit betekent dat u alleen de ene optie of de andere kunt selecteren. Bestanden en mappen kunnen niet gelijktijdig zowel gecodeerd als gecomprimeerd zijn.

  Als u de map wilt coderen, schakelt u het selectievakje Inhoud coderen voor beveiliging van gegevens in en klikt u op OK.
 4. Klik op OK om het dialoogvenster Geavanceerde kenmerken te sluiten.
 5. Als de map die u hebt gekozen om te coderen in stap 1 tot en met 3 al bestanden bevat, wordt het dialoogvenster Wijzigen van kenmerken bevestigen geopend.

  U kunt ervoor kiezen alleen de map te coderen, zodat alle bestanden die daarna naar die map worden verplaatst of in deze map worden gemaakt, worden gecodeerd. Als u ook alle inhoud van de map wilt coderen, klikt u op Wijzigingen op deze map en op alle submappen en bestanden toepassen en klikt u op OK.

Een map decoderen

Als u een map wilt decoderen, volgt u in principe dezelfde procedure, alleen in omgekeerde volgorde:
 1. Klik met de rechtermuisknop op de map die u wilt decoderen en klik op Eigenschappen.
 2. Klik op Geavanceerd.
 3. Schakel het selectievakje Inhoud coderen voor beveiliging van gegevens uit om de gegevens te decoderen.
 4. Klik op OK om het dialoogvenster Geavanceerde kenmerken te sluiten.
 5. Klik op OK om het dialoogvenster Eigenschappen te sluiten.
 6. Als de map bestanden bevat, wordt het dialoogvenster Wijzigen van kenmerken bevestigen geopend. U kunt ervoor kiezen alleen de map te decoderen. Hiermee worden echter de bestanden die zich momenteel in de map bevinden niet gedecodeerd.

  Als u alle inhoud van de map wilt decoderen, klikt u op Wijzigingen op deze map en op alle submappen en bestanden toepassen en klikt u op OK.

Aanvullende informatie

Hoe bestanden worden gecodeerd

Bestanden worden gecodeerd door middel van algoritmen die de gegevens herschikken, door elkaar husselen en coderen. Er wordt een willekeurig paar sleutels gegenereerd wanneer u voor het eerst een bestand codeert. Dit paar sleutels bestaat uit een persoonlijke en openbare sleutel. Het sleutelpaar wordt gebruikt om de gecodeerde bestanden te coderen en te decoderen.

Als de sleutels verloren of beschadigd raken en u geen herstelagent hebt aangewezen, kunt u de gegevens niet meer herstellen.

De noodzaak van reservekopieën van uw certificaten

Aangezien er geen andere manier is om gegevens te herstellen die zijn gecodeerd met een certificaat dat is beschadigd of is zoekgeraakt, is het van essentieel belang dat u reservekopieën maakt van de certificaten en deze op een veilige plaats bewaart. U kunt bovendien een herstelagent opgeven. Met deze agent kunnen de gegevens worden hersteld. Het certificaat van de herstelagent heeft een ander doel dan het certificaat van de gebruiker.

Een reservekopie van uw certificaat maken

Ga als volgt te werk om een reservekopie van uw certificaten te maken:
 1. Start Microsoft Internet Explorer.
 2. Open het menu Extra en klik op Internet-opties.
 3. Open het tabblad Inhoud en klik onder Certificaten op Certificaten.
 4. Open het tabblad Persoonlijk.

  Opmerking Er kunnen diverse certificaten zijn, afhankelijk van het gegeven of u certificaten hebt geïnstalleerd voor andere doeleinden.
 5. Selecteer één certificaat tegelijk totdat in het veld Beoogde certificaatdoeleinden de tekst Encrypting File System wordt weergegeven. Dit is het certificaat dat werd gegenereerd bij het coderen van de eerste map.
 6. Klik op Exporteren om de Wizard Certificaat exporteren te starten en klik op Volgende.
 7. Klik op Ja, de persoonlijke sleutel exporteren om de persoonlijke sleutel te exporteren en klik op Volgende.
 8. Klik op Zware beveiliging en klik op Volgende.
 9. Typ uw wachtwoord. (U moet een wachtwoord hebben om de persoonlijke sleutel te beveiligen.)
 10. Geef het pad op waar u de sleutel wilt opslaan. U kunt de sleutel opslaan op diskette, op een andere locatie op de vaste schijf of op cd. Als de vaste schijf defect raakt of opnieuw wordt geformatteerd, gaan de sleutel en de reservekopie verloren. (Als u de reservekopie van de sleutel opslaat op diskette of cd, moet u die diskette of cd op een veilige plaats bewaren.)
 11. Geef de bestemming op en klik op Volgende.
Als u meer informatie wilt over EFS, bezoekt u de volgende Microsoft-website:
Eigenschappen

Artikel-id: 223316 - Laatst bijgewerkt: 26 okt. 2007 - Revisie: 1

Feedback