Windows Encrypted files CHALLENGE

[Dmoney]

טוב, היכונו לבעיה רצינית...

יש לי 2 כוננים קשיחים במחשב.

על אחד מהם (לא זה עם מערכת ההפעלה עליו), איחסנתי כמה קבצי טקסט אותם הצפנתי בעזרת אופציית ה-EFS של WinXp.

EFS = Encrypted File System.

הבעיה מתחילה עכשיו...ביצעתי אתחול לכונן השני והתקנתי מחדש את ה-Windows.

כשניסיתי לפתוח את הקבצים המוצפנים ניתקלתי בהודעה "Access is denied"

מה אני יכול לעשות עכשיו ?

[X-TeNDeR]

נשמע כמו בעיית הרשאות משתמש.

מכיוון שיש לך התקנה חדשה עם משתמש חדש (אחר), המערכת לא מאפשרת לך גישה לקבצי המשתמש הקודם.

אתה צריך להעביר בעלות על הקבצים הנ"ל כדי לגשת אליהם.

לחצן ימני על התיקיות/קבצים > מאפיינים > הרשאות

לא זוכר בדיוק את התהליך אך ישנה לשונית הרשאות, אתה צריך להוסיף את עצמך כבעל הרשאה.

הנה לינק מאתר מיקרוסופט לפתרון הבעיה:

http://support.microsoft.com/kb/810881

[Dmoney]

תודה על התגובה אבל לא, הבעיה אינה בהרשאות.

[DOGMA]

כלום, מפתח ההצפנה לקבצים האלה נגזר ישירות מהSID של המשתמש שהצפנת אותם איתו, כיוון שייצרת משתמש חדש הSID שלו הוא שונה ולא תוכל לפתוח את הקבצים הללו. לדבר הזה אין backdoor מובנה לכן גם Admin לא יכול לגשת לקבצים הללו בדרך כלשהי(בשונה מהרשאות שיתוף רגילות שבהן הוא כן יכול אבל יהיה Log event לזה).

אני מניח שיש כלי פריצה אבל לא משהו שאתה תוכל להשיג את היד שלך עליהם, אם זה באמת חשוב אני יכול להניח שחברות שמשחזרות מידע יכולו לעזור לך בין אם זה בפענוח סטטיסטי של הקבצים עצמם, אם בשיחזור הregistery הישן והוצאת הSID של אותו משתמש.

[Dmoney]

באסה!

אני יודע את השם מחשב המדויק שהיה לי וגם את שם המשתמש ואת הסיסמא - פשוט הכל

אני יודע שגם אפשר לשנות SID.

האם בכל זאת אין משהו שאני אוכל לעשות?

[SuperGirl]

http://www.elcomsoft.com/aefsdr.html

השאלה היא כמה זה אפקטיבי, אם בכלל.

[avokadoman]

זה לא משנה הSID זה סרטיפיקט מה שמחזיק את מפתח ההצפנה!

אם הייתה משתמש ב User Migret זה היה עובד לך.

[Dmoney]

זה לא משנה הSID זה סרטיפיקט מה שמחזיק את מפתח ההצפנה!

אם הייתה משתמש ב User Migret זה היה עובד לך.

לא הבנתי.

מה זה User Migret ? משהו שיכול לעזור לי עכשיו..?

[omerha]

אתה לא תצליח לפרוץ את הקבצים האלה אם לא ביצעת import ל certificate שהמערת הפעלה יצרה בזמן שהצפנת את הקבצים האלה.

שכח מזה

[avokadoman]

USER MIGRET = גיבויי שלי קיבצי המשתמש כולל הגדרות וסרטיפיקטים.

וזה היה באיחור אז סליחה.

[ר]

איך מבצעים את אותו user migrate שאתה מדבר עליו? אתה בטוח שזה מגבה EFS certificates?

הדרך שאני ראיתי להינצל מאי-גישה לתכנים מוצפנים בעתיד היא:

http://www.microsoft.com/technet/security/smallbusiness/topics/cryptographyetc/protect_data_efs.mspx#EJAAE

כלומר export ל-data recovery key.

אני בעצמי שוקל שימוש ב-EFS על כמה מחשבים בעבודה בעלי תכנים רגישים.

[avokadoman]

יש את זה בחבילת הכלים על הדיסק התקנה של XP.

[ר]

לא ענית לשאלה השנייה שלי ועכשיו אני גם מבין למה... כי אתה לא בטוח...

User State Migration Tool ב-XP, בעזרת פקודת scanstate, לא מזכיר שום דבר לגבי גיבוי EFS certificate.

אתה יכול להעתיק את הקבצים המוצפנים ע"י USMT, אך לפי מה שהבנתי אתה תצטרך להעביר את ה-certificate בצורה שהזכרתי בהודעתי הקודמת כדי שגם תוכל לקרוא את הקבצים המוצפנים אח"כ.

http://www.serverwatch.com/tutorials/article.php/10825_3482606_3

/efs dictates the behavior when EFS files are encountered. It can be used with the following values:

/efs:abort, which is enabled by default, causes SCANSTATE.EXE to fail if an encrypted file is found on the source computer.

/efs:skip ignores EFS files during copy.

/efs:decryptcopy attempts to decrypt EFS files before copying takes place. If this is not possible, SCANSTATE.EXE fails unless /c switch is specified.

/efs:copyraw forces EFS files to be copied to the target location in encrypted format.

ופה כתוב בבירור את הנקודה:

http://www.server-management.co.uk/index.php?option=com_content&task=view&id=181&Itemid=48

Glancing through the mentioned switches above, you will notice one switch to deal with EFS certificates. The USMT tool does not migrate EFS certificates. They need to be migrated outside of the USMT process. Any encrypted files on the source system will not be encrypted when they are migrated to the destination computer. The use of the /efs:copyraw switch with ScanState will ensure that the files are encrypted on the destination system, but your EFS certificates must have been imported on to the destination computer prior to running LoadState. Further details on working with EFS certificates with USMT can be found in the USMT.chm help file.

אז למדנו כולנו עכשיו מה צריך לעשות במידה ורוצים לעבוד עם EFS, ומה לא בדיוק יעזור לך...

נ.ב., בוויסטה, USMT כבר כן יכול לגבות certificates:

http://technet2.microsoft.com/WindowsVista/en/library/3145bf5d-a5a1-456e-a069-6e619f845ce21033.mspx?mfr=true

What is New in USMT 3.0

[...]

USMT 3.0 migrates EFS files and certificates to computers running Windows Vista. EFS files and certificates are migrated automatically to computers running Windows Vista when you specify the /efs:copyraw option on the ScanState command line.

[avokadoman]

טוב אז אני חשבתי על זה של וויסטה זה למה לא הייתי בטוח.

בכל מקרה אתה מתקין מחדש זה תמיד טוב לעשות את זה גם אם אתה צריך ליבא את הסרטיפיקט.