Die ICF lässt also noch viel Spielraum für Verbesserungen. Dagegen hat das Encrypting File System (EFS) in Windows XP Professional bereits einige der Kinderkrankheiten abgelegt, die bei seiner Einführung in Windows 2000 den zusätzlichen Nutzen für die Sicherheit in Frage gestellt hatten. Neben einigen Detailverbesserungen wie der Anzeige der Wiederherstellungsagenten in den Eigenschaften einer verschlüsselten Datei oder der Warnung, die man jetzt beim Kopieren auf Dateisysteme ohne EFS-Unterstützung erhält, haben sich auch einige grundsätzliche Dinge geändert.

So kann man jetzt anderen Benutzern den Zugriff auf codierte Dateien erlauben, indem man deren Konten den Eigenschaften der Datei hinzufügt. Dabei lassen sich jedoch nur einzelne Benutzer und keine Gruppen freischalten.

EFS ist nun schwerer zu knacken

Um den Kollegen dann über das Netz den Zugriff auf die verschlüsselten Dateien zu ermöglichen, sollte man keine Netzwerkfreigaben über eine unsichere Internet-Verbindung verwenden, da die Daten hierbei unverschlüsselt übertragen werden. Sollen EFS-Dateien gemeinsam benutzt werden, empfiehlt sich der Einsatz von Webdav (Web Distributed Authoring and Versioning), da hier die Dateien erst nach der Netzübertragung decodiert werden. Nach wie vor verhindern EFS-codierte Dateien in einem Server-gespeicherten Profil die Synchronisierung des gesamten Profils mit den Daten auf dem Server. Immerhin kann EFS jetzt im Zusammenspiel mit Offline-Dateien eingesetzt werden. Über die Ordneroptionen wird hierzu die Verschlüsselung aller Offline-Dateien für den gesamten PC aktiviert.

Die wichtigsten Neuerungen in EFS betreffen die verbesserte Sicherheit. Auf einem Windows-2000-System, zu dem man physischen Zugang hat, ist es ein Leichtes, EFS zu knacken. So muss man lediglich über eine Zweitinstallation von Windows 2000 oder mit einem geeigneten Tool die SAM-Datenbank löschen, um das Administratorpasswort auf "leer" zu setzen. Da der Administrator standardmäßig Wiederherstellungsagent ist, hat man damit Zugang zu allen EFS-verschlüsselten Daten auf der Festplatte. In Windows XP wurde dieser Weg in zweifacher Weise verbaut: Löscht man die SAM-Datei von einem Fremdsystem aus, kann man sich an dieser Installation nicht mehr anmelden. Außerdem ist die Festlegung eines Wiederherstellungsagenten jetzt nicht mehr zwingend, und der Administrator hat standardmäßig keinen Zugriff mehr auf alle EFS-Dateien des Systems.

Auch mit den einschlägigen Tools ist EFS nicht mehr beizukommen. Zwar ermöglichen diese Programme auch unter Windows XP, ohne Anmeldung am System jedes Passwort neu zu setzen, Zugang zu EFS-verschlüsselten Daten erhält man so aber nicht mehr. Auch das Knacken von EFS-Dateien mit purer Gewalt wurde erschwert. Statt der DESX-Codierung, einem von Microsoft verbesserten DES-Algorithmus, kann man nun auch 3DES verwenden. Die effektive Schlüssellänge erhöht sich damit von 112 auf 156 Bit. Allerdings muss 3DES über die lokale Sicherheitsrichtlinie erst aktiviert werden.