frogger 10 Geschrieben 25. Mai 2007 Melden Teilen Geschrieben 25. Mai 2007 Moin! Folgende Ausgangssituation: Kundenrechner Windows XP SP2 mit folgenden Benutzern: User1-Benutzer User2-Hauptbenutzer Administrator-Administratoren Order "Eigene Dateien" im Profil von User1 und User2 sind mit EFS verschlüsselt. Die Zertifikate von User1 und User2 sind exportiert und gesichert. Nach dem Besuch etlicher Webseiten mit schlüppfrigen Inhalt bootet WinXP nicht mehr normal, sondern nur noch im abgesicherten Modus. Kunde meldet sich als "Administrator" an, importiert beide Zertifikate für User1 und User2 und kopiert "Eigene Dateien" aus den User1 und User2 Profilen auf eine externe Festplatte mit NTFS Patition. Jetzt komme ich ins Spiel und soll den Rechner des Kunden neu aufsetzen. Die Frage nach vorhandener Datensicherung wurde mit Innbrunst stolz bejaht. Weswegen ich mich nicht weiter darum gekümmert habe. System mit Win XP SP2 neu aufgesetzt und alles fertig gemacht und an den Kunden ünbergeben (ist nen Sparfuchs, der möglichst viel selber machen möchte). Böses Erwachen jetzt beim Kunden: Er kann auf die EFS verschlüsselten Daten auf seiner externen Festplatte trotz abermaligem Zertifikatimports User1, User2 nicht mehr zugreifen. Meine Theorie: Dadurch, dass die Daten im abgesicherten Modus als angemeldeter "Administrator" auf die externe Platte kopiert wurden, wurde die Verschlüsselung automatisch mit einem "Administrator" Zertifikat versehen und die User1 und User2 Zertifikate sind für diese Dateien nutzlos. Das "Administrator" Zertifikat wurde aber nicht exportiert. Fazit: Die Dateien sind verloren? Oder gibt es noch eine Möglichkeit an die heranzukommen? Gruß, frogger Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 25. Mai 2007 Melden Teilen Geschrieben 25. Mai 2007 Die Theorie dürfte so in etwa stmmen, bedauerlicherweise. Der Admin hätte sie entschlüsseln müssen und dann erst kopieren dürfen, aber verschlüsselte Datein von NTFS nach NTFS kopieren hießt, sie im hintergrund zu entschlüsseln und dann am Ziel im Hintergrund wieder zu verschlüsseln. Offensichtlich hatte der Admin dabei bereits ein eigenes EFS-Zertifikat, das zum Verschlüsseln verwendet wurde. Wenn das original Profil des Admins nicht mehr herstellbar ist, z.B.aus einer Sicherung, oder von der Platte - was bei einer Neufromatierung und anschließendem Daten aufspielen kaum noch möglich sein dürfte - dann sind die Ordner auf der ext. HDD nr noch zum Löschen da. grizzly999 Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 27. Mai 2007 Melden Teilen Geschrieben 27. Mai 2007 Je nachdem, wie wichtig die Daten sind wäre es ein Versuch mit Link von Dr.Melzer wegen verstoss gegen die Boardregeln gelöscht. Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 27. Mai 2007 Melden Teilen Geschrieben 27. Mai 2007 Schau dir auch das mal an .. https://www.mcseboard.de/windows-forum-allgemein-28/efs-recovery-huerden-99607.html#post614335 Eventuell hilft dir ein Anruf beim PSS .. !! subby Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 27. Mai 2007 Melden Teilen Geschrieben 27. Mai 2007 Interessant, dass der Produktname bei mir gelöscht wurde, bei substyle nicht. Und wie substyle schreibt, ist der Hersteller Microsoft Gold Certified Partner. https://www.mcseboard.de/windows-forum-allgemein-28/efs-recovery-huerden-99607.html#post614335 Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 27. Mai 2007 Melden Teilen Geschrieben 27. Mai 2007 Kann ich auch leider nicht verstehen, es wird sogar vom PSS als ein offizieller Lösungsweg geführt! subby Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. Mai 2007 Melden Teilen Geschrieben 27. Mai 2007 Leute, vergesst es bitte. Ich spiele nicht gerne den Hiob, aber ich weiß sehr gut wie EFS funktioniert, und mit diesem Wissen sage ich: Kein Key, kein Profil, nichts, ==> da hilft kein PSS und kein Tool, die Daten sind AES 256bit verschlüsselt und verloren. Punkt. So ist das nunmal. Wer will, kann ihm dennoch per PN(!) ein Tool für Brute Force EFS schicken, aber dann fairerweise nur, wenn ihr ihm dazu schreibt, wielange ein einzelner Rechner für 2^256 Möglichkeiten braucht. :rolleyes: :thumb2: grizzly9999 Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 27. Mai 2007 Melden Teilen Geschrieben 27. Mai 2007 Und ich kann dir aus der Berufserfahrung sagen: Verlorenes Profil -> reccert.exe Benutzer gelöscht -> Recovery über Administrator+Passwort und MFT. Grüße subby Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. Mai 2007 Melden Teilen Geschrieben 27. Mai 2007 Ich rede davon, dass nichts mehr da ist, kein Profil mehr, gar nichts mehr, nur verschlüsselte Dateien. Das ist hier ja wohl der Fall. Ich kenne das erstgenannte Tool nicht, aber ich lerne gerne dazu. Dann fang einfach mal an, mir es technisch zu erklären, wie man einen private key aus Nichts wieder her holt, außer Brute Force. Danke im voraus ;) Und ich will dir nicht zu nahe treten, aber die Berufserfahrung spreche ich dir ab, außer: ich schicke dir morgen eine CD mit ein paar EFS verschlüssekten Files. Wenn du mir bis Ende der Woche sagst, was da drin stand, dann neige ich huldvoll mein Haupt und verbrenne öffentlich alle meine Zertifizierungen ...... grizzly999 Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 27. Mai 2007 Melden Teilen Geschrieben 27. Mai 2007 @ frogger Ist das eigentlich ein einzelner Rechner oder gibt es eine Domäne? Ich denke an den EFS Recovery Agent. Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 27. Mai 2007 Melden Teilen Geschrieben 27. Mai 2007 Es geht nicht darum EFS Daten ohne die zugehörige Windowsinstallation wiederherzustellen. Ich sage nur das es möglich ist die Dateien eines beliebigen Users zurück zu gewinnen. Alles was ich dazu benötige ist ein lokaler User der zum Zeitpunkt der Verschüsselung lokaler Admin war, und sein Passwort. Zusätzlich benötigt man den MFT und Software. Also gib mir ein Image einer Insatllation und lösche Benutzer und seine Certs, und ich hole deine Daten wieder. Grüße subby Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 27. Mai 2007 Melden Teilen Geschrieben 27. Mai 2007 @ substyle Was ist MFT? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. Mai 2007 Melden Teilen Geschrieben 27. Mai 2007 Dazu folgendes: Hier meldet sich jemand - wie so viele - mit einem konkreten Problem, und sucht Hilfe. Das Problem ist ganz oben beschrieben. Verschlüsselte Dateien auf externer Festplatte, altes System ist platt, überbügelt, mit einem Neuem überspielt. Keine Profile mehr da, kein key des Verschlüsselers. Ich schreibe dazu, dass er, wenn diesem so ist, die Dateien weglöschen kann, sie belegen eh nur Platz, und bekommen wird er sie nicht mehr. Dann kommen Schreiber, die anschließend behaupten, schau mal hier rein, da ein Tool, oder ruf mal dort an, die haben mir bei was "Ähnlichem" auch schon mal geholfen. Ich bestätige daraufhin nochmal meine Aussage, dass in diesem Fall nichts hilft. Ich möchte bei solch einem Thread keine Diskusion führen, was alles möglich wäre, wenn, und könnte und hätte. Das ist keine Hilfe für den Beitragersteller, im Gegenteil, es macht den Thread unübersichtlich und verwirrt den Hilfesuchenden bei der Suche der Lösung seines ganz konkreten Problems. Und genau auf dieses konkrete Problem bezog sich meine Aussage, auf kein anderes Problem, und die steht immer noch. Wenn dein Tool da hilft, dann schreib ihm eine PN, wenn es eine andere Lösung gibt, dann poste es hier, ansonsten sehe ich die Diskussion um Tools und Möglichkeiten bei WENN und HÄTTE und WÄRE in diesem Thread als beendet an, nud alle anderen, die nicht konkret weiterhelfen können, bitte auch. Einzige Möglichkeit, darauf bezieht sich die Frage von carlito, wenn der Rechner zum Zeitpunkt der Verschlüsselung Mitglied einer AD-Domäne war, davon bin ich der Beschreibung nach nicht ausgegangen, aber das muss der TO noch beantworten. grizzly999 Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 27. Mai 2007 Melden Teilen Geschrieben 27. Mai 2007 @grizzly999 Du hast recht. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.