Decrypt (EFS) files

sub0666 · 09-08-2002, 02:05

Multumita sfaturior lui Mir, mi-am facut hardul la Quartz. Baietii au fost de treaba si mi-au pastrat si datele... Pacat! Pentru ca am revenit la o problema dinainte sa se buleasca.
Am facut odata un experiment cu encryptarea fisierelor in Win2k si encryptate au ramas... pentru ca eu, ca mesriasul, am uitat sa dau decrypt inainte sa reinstalez windowsul. (odata cu chestia asta am pierdut keyul)
Aveti ceva sugestii? Nu ma trimiteti la pagini pe net ca am incercat si eu cateva chestii si n-am rezolvat nimic... asa ca daca e ziceti ceva concret. Nu m-ar durea inima dac-as formata partitia dar am niste downloaduri printre alea...

Brigada · 09-08-2002, 20:59

Din cate stiu eu inca nu exista ceea ce cauti tu. Singura solutie pe care o recomanda M$ este sa iti salvezi intr-un loc "sigur" cheia. Tu nu ai facut-o, nici eu mai demult, asa ca aleluia date. Sad but true.

eBE · 09-08-2002, 22:02

Ha a patit-o si un prieten de al meu .. aseara ma sunat .. am stat 45 de minete cu el la telefon sai explic ca nu poti sa faci nimik ... Omu avea XP pro a sers os'ul a reinstalat si surpriza ia stricat seara ..

raziel · 12-08-2002, 15:37

se poate. intra ca admin, selecteaza folderul/fisierul, da-i take ownership din security. Apoi incearca sa deschizi.
daca nu merge incearca sa creezi un cont pe acel computer de recovery agent (sau ceva asemanator se numeste). logheaza-te pe acel cont. nu ar trebui sa fie nici un fel de problema. teoretic

eBE · 12-08-2002, 16:30

sau ai posibilitatea sa ceri ajutor de la Microsoft ca au acount incorporat pe PC'ul tau si te rezolva ... daca este cu licenta si inregistrat binteles

Brigada · 12-08-2002, 16:32

daragutul de raziel, evident, nu are habar despre EFS

ain't that cute ?
EFS, draga raziel, inseamna Encrypted File System si este practic mecanismul de criptare suportat nativ de catre NTFS 5.0. El functioneaza ca si o extensie a NTFS, criptand fisierele dupa o anumita cheie unica pentru fiecare utilizator. In lipsa aceste chei de criptare datele sunt disponibile, se supun regulilor de access stabilite prin NTFS Security, dar in forma lor criptata.
mai multe informatii pe google.com, keywords : "efs encryption how to windows ntfs".

raziel · 12-08-2002, 17:17

brigada, te bagi in seama aiurea. ai explicat pt tine probabil, nu ti-a cerut nimeni.
mai citeste, si nu de la google, hai sa fim seriosi

Brigada · 12-08-2002, 19:47

OK. Deci te crezi ca ai dreptate

Incearca urmatorul scenariu:
- adauga pe masina ta un account normal altul decat al tau.
- logheaza-te in acel account, dupa care creeaza un fisier (oriunde pe HDD, daca partitia este NTFS) dupa care cripteaza-l (click dreapta pe fisier, properties , advanced, encrypt, ok, ok).
- logheaza-te pe un cont de administrator local si aplica procedura ta. Cand ai sa reusesti sa ne spui si noua cum se creeaza un cont din acela de "recovery".

Iar daca ti se pare simplu, incearca sa faci decriptarea pe o alta masina Win2k sau mai mare.

In principiu s-ar fi putut face ceva daca respectivul calculator s-ar fi aflat intr-un domain de Active Directory, care se poate seta sa pastreze o copie de siguranta a cheii fiecarui user, tocmai pentru data recovery. Iar acel Data Recovery Agent despre care ai auzit tu sa stii ca nu este user account

Nope, este tocmai cheia despre care discutam noi.

raziel · 13-08-2002, 14:30

>>In principiu s-ar fi putut face ceva daca respectivul calculator s-ar fi aflat intr-un domain de Active Directory, care se poate seta sa pastreze o copie de siguranta a cheii fiecarui user, tocmai pentru data recovery. Iar acel Data Recovery Agent despre care ai auzit tu sa stii ca nu este user account Nope, este tocmai cheia despre care discutam noi.
1. Zice cineva ca nu e domeniu acolo?
2. Ce e Recovery Data Agent?

Brigada, n-am chef sa ma explic dar mai am si io o intrebare pt tine:
You are the administrator of your company network. Your network has 200 Windows 2000 Professional computers and 15 Windows 2000 Server computers. users on the network save their work files in home folders on a network server. The NTFS partition that contains the home folders has Encrypting File System (EFS) enabled.
A user named John leaves the company. You move all of the files from John home folder to his manager folder. When the manager attempts to open any of the files, she receives the following error message Access denied You want the manager to be able to access the files. What should you do?

A. Grant the manager NTFS Full Control permission to the files
B. Grant the manager NTFS Take Ownership permission to the files
C. Log on to the network as a Recovery Agent Decrypt the files for the manager
D. Log on to the network as a member of the Backup Operators group
Decrypt the files for the manager

Brigada · 13-08-2002, 14:50

Decrypt the files for the manager.

Asta este valabil NUMAI pentru Active Directory si NUMAI daca ai setat corespunzator Group Policy. Ceea ce nu se intampla in cazul de fata.

Quote:

se poate. intra ca admin, selecteaza folderul/fisierul, da-i take ownership din security. Apoi incearca sa deschizi.
daca nu merge incearca sa creezi un cont pe acel computer de recovery agent (sau ceva asemanator se numeste). logheaza-te pe acel cont. nu ar trebui sa fie nici un fel de problema. teoretic

Unde ziceai ca ai gresit in post-ul tau ? Scuza-ma, dar nu am fost atent...

raziel · 13-08-2002, 15:07

Hai s-o lamurim .
1.Tu nu ai recuperat niciodata EFS pana acum. Nici eu. D'aia am zis teoretic.
2.Recovery Agent este un group, deci respectivul cont (user) tb sa fie membru din acel grup, acest grup apare in AD, si doar admin poate pune acolo ceva. corect?
3.E obligatoriu sa faci legatura intre computerul din Active Directory si contul l-userului care va recupera datele de acolo. Asa e?
4. la ce examen esti?

Hannibal · 13-08-2002, 17:32

pe scurt...

deci EFS cripteaza datele folosing un certificat de criptare... acest certificat de criptare foate fi generat de masina locala sau de catre un Certificate Authority...

1. daca ai criptat datele de pe hard folosind un certificat local, ai reinstalat sistemul si nu ai salvat certificatul original... PA... DATELE SUNT LOST FOREVER

2. daca ai criptat datele folosind un certificat de la un CA (asta presupune participarea ta intr-un ActiveDirectory), ai resinstalat sistemul si ai pierdut certificatul original... TE DUCI LA ACELASI CA si soliciti un RECOVERY AGENT CERTIFICATE, pe baza acestui certificat ADMINISTRATORUL (local sau de la nivel de domeniu) POATE INCERCA DECRIPTAREA DATELOR... AICI PANA ACUM AM AVUT 100% RATA DE SUCCES...

sper ca este clar...

raziel · 13-08-2002, 17:43

cred ca ai dreptate.
dar ce certificat (si care e modalitatea in care il genereaza) emite computerul daca nu e parte dintr-ul domeniu? E posibil sa il genereze pe baza ID-urilor hardware?
Certificatul respectiv e unic, dar exista sansa ca un sistem dupa ce e reinstalat SO sa genereze acelasi CA? asta pt efs

**mike** · 13-08-2002, 17:59

>dar exista sansa ca un sistem dupa ce e reinstalat SO sa genereze acelasi CA?

Daca te referi la cheia de criptare, atunci sansa e atat de mica, incat o poti considera 0, pentru scopuri practice.

raziel · 13-08-2002, 18:02

dar a gasit/stie cineva modalitatea in care e generata (link, documentatzie)?

Brigada · 13-08-2002, 19:57

raziel: in Active Directory Recovery Agent nu este nici un user si nici macar un grup built-in. Recovery Agent este un certificat de criptare, atunci cand computer-ul este stand-alone acest certificat este per-user, iar atunci cand este membru in Active Directory acest certificat este certificatul de Data Recovery al user-ului Administrator (implicit). Setari aditionale pot atribui si altor useri capabilitati de data recovery, iar acest proces se realizeaza inainte de generarea cheii de criptare.
Am recuperat date criptate de pe partitii EFS si bazandu-ma pe apartenenta la Active Directory dar si atunci cand calculatoarele au fost stan-alone. In ultimul scenariu am putut sa fac asta doar daca am avut cheia de criptare - certificatul- salvat in prealabil. Altfel nu se poate.
In Active Directory este cam mult spus ca ar exista un CA pentru Data Recovery, in realitate procesul este cu mult mai simplist, treaba sta cam asa: in momentul in care unui user i se genereaza un certificat pentru data ecryption acestui certificat i se ataseaza o copie a certificatului celui care este responsabil de acest lucru, desemnat de Group Policy. Asta e tot.

bibicu · 13-08-2002, 22:05

Quote:

Originally posted by Brigada
OK. Deci te crezi ca ai dreptate
Incearca urmatorul scenariu:
- adauga pe masina ta un account normal altul decat al tau.
- logheaza-te in acel account, dupa care creeaza un fisier (oriunde pe HDD, daca partitia este NTFS) dupa care cripteaza-l (click dreapta pe fisier, properties , advanced, encrypt, ok, ok).
- logheaza-te pe un cont de administrator local si aplica procedura ta. Cand ai sa reusesti sa ne spui si noua cum se creeaza un cont din acela de "recovery".

Am urmat scenariul tau pe un windows 2000 pro, neconectat la nici un domeniu. Si iti spun ca MERGE! (cum de fapt stiam, dar incercasem pe un active directory anterior.

Deci am intrat cu user normal, am criptat un fisier, am intrat ca administrator si am putut face urmatoarele:

1. am vazut fisierul

2. am decriptat fisierul, desi el fusese criptat de un alt user.

In concluzie: un administrator poate decripta un fisier criptat de un alt user. Conditia e ca ambii useri sa fie pe ACELASI calculator.

Am incercat sa copiez fisierul criptat pe un alt calculator, unde am un user normal. NU AM PUTUT COPIA FISIERUL. Dupa ce l-am decriptat, s-a putut copia fara probleme.

bibicu · 13-08-2002, 22:07

Si by the way, FARA NICI UN FEL DE RECOVERY AGENT !!!

Brigada · 13-08-2002, 22:28

bibicu: ai dreptate, eu nu incercasem decat cu doua conturi de admin local, iar in cel care cripta fisierul aveam importata deja o cheie dintr-un account mai vechi. Lame me. In consecinta, in cazul in care computer-ul este stand-alone, Data Recovery Agent este chiar Administratorul local, exat ca si in cazul AD.

Hannibal · 14-08-2002, 16:54

looooollllll... ati pierdut din vedere faptul ca certificatul de decriptare nici nu era pierdut... bibicule refa experimentul dar intre criptrarea unui user si decriptarea de catre administrator incearca reinstalarea sistemului cu format pe vechea partitie sistem(sau cel putin cu stergerea vechiului certificat)... si apoi mai vorbim...