Jump to content

EFS Mallheur


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin!

 

Folgende Ausgangssituation:

 

Kundenrechner Windows XP SP2 mit folgenden Benutzern:

 

User1-Benutzer

User2-Hauptbenutzer

Administrator-Administratoren

 

Order "Eigene Dateien" im Profil von User1 und User2 sind mit EFS verschlüsselt.

Die Zertifikate von User1 und User2 sind exportiert und gesichert.

 

Nach dem Besuch etlicher Webseiten mit schlüppfrigen Inhalt bootet WinXP nicht mehr normal, sondern nur noch im abgesicherten Modus.

 

Kunde meldet sich als "Administrator" an, importiert beide Zertifikate für User1 und User2 und kopiert "Eigene Dateien" aus den User1 und User2 Profilen auf eine externe Festplatte mit NTFS Patition.

 

Jetzt komme ich ins Spiel und soll den Rechner des Kunden neu aufsetzen. Die Frage nach vorhandener Datensicherung wurde mit Innbrunst stolz bejaht. Weswegen ich mich nicht weiter darum gekümmert habe.

 

System mit Win XP SP2 neu aufgesetzt und alles fertig gemacht und an den Kunden ünbergeben (ist nen Sparfuchs, der möglichst viel selber machen möchte).

 

Böses Erwachen jetzt beim Kunden: Er kann auf die EFS verschlüsselten Daten auf seiner externen Festplatte trotz abermaligem Zertifikatimports User1, User2 nicht mehr zugreifen.

 

Meine Theorie: Dadurch, dass die Daten im abgesicherten Modus als angemeldeter "Administrator" auf die externe Platte kopiert wurden, wurde die Verschlüsselung automatisch mit einem "Administrator" Zertifikat versehen und die User1 und User2 Zertifikate sind für diese Dateien nutzlos. Das "Administrator" Zertifikat wurde aber nicht exportiert.

 

Fazit: Die Dateien sind verloren? Oder gibt es noch eine Möglichkeit an die heranzukommen?

 

Gruß,

 

 

frogger

Link zu diesem Kommentar

Die Theorie dürfte so in etwa stmmen, bedauerlicherweise. Der Admin hätte sie entschlüsseln müssen und dann erst kopieren dürfen, aber verschlüsselte Datein von NTFS nach NTFS kopieren hießt, sie im hintergrund zu entschlüsseln und dann am Ziel im Hintergrund wieder zu verschlüsseln.

Offensichtlich hatte der Admin dabei bereits ein eigenes EFS-Zertifikat, das zum Verschlüsseln verwendet wurde.

 

Wenn das original Profil des Admins nicht mehr herstellbar ist, z.B.aus einer Sicherung, oder von der Platte - was bei einer Neufromatierung und anschließendem Daten aufspielen kaum noch möglich sein dürfte - dann sind die Ordner auf der ext. HDD nr noch zum Löschen da.

 

 

grizzly999

Link zu diesem Kommentar

Leute, vergesst es bitte. Ich spiele nicht gerne den Hiob, aber ich weiß sehr gut wie EFS funktioniert, und mit diesem Wissen sage ich:

Kein Key, kein Profil, nichts, ==> da hilft kein PSS und kein Tool, die Daten sind AES 256bit verschlüsselt und verloren. Punkt. So ist das nunmal.

 

Wer will, kann ihm dennoch per PN(!) ein Tool für Brute Force EFS schicken, aber dann fairerweise nur, wenn ihr ihm dazu schreibt, wielange ein einzelner Rechner für 2^256 Möglichkeiten braucht. :rolleyes: :cry: :thumb2:

 

grizzly9999

Link zu diesem Kommentar

Ich rede davon, dass nichts mehr da ist, kein Profil mehr, gar nichts mehr, nur verschlüsselte Dateien. Das ist hier ja wohl der Fall.

 

Ich kenne das erstgenannte Tool nicht, aber ich lerne gerne dazu. Dann fang einfach mal an, mir es technisch zu erklären, wie man einen private key aus Nichts wieder her holt, außer Brute Force. Danke im voraus ;)

 

Und ich will dir nicht zu nahe treten, aber die Berufserfahrung spreche ich dir ab, außer: ich schicke dir morgen eine CD mit ein paar EFS verschlüssekten Files. Wenn du mir bis Ende der Woche sagst, was da drin stand, dann neige ich huldvoll mein Haupt und verbrenne öffentlich alle meine Zertifizierungen ......

 

grizzly999

Link zu diesem Kommentar

Es geht nicht darum EFS Daten ohne die zugehörige Windowsinstallation wiederherzustellen. Ich sage nur das es möglich ist die Dateien eines beliebigen Users zurück zu gewinnen. Alles was ich dazu benötige ist ein lokaler User der zum Zeitpunkt der Verschüsselung lokaler Admin war, und sein Passwort. Zusätzlich benötigt man den MFT und Software.

 

Also gib mir ein Image einer Insatllation und lösche Benutzer und seine Certs, und ich hole deine Daten wieder.

 

Grüße

 

subby

Link zu diesem Kommentar

Dazu folgendes: Hier meldet sich jemand - wie so viele - mit einem konkreten Problem, und sucht Hilfe. Das Problem ist ganz oben beschrieben. Verschlüsselte Dateien auf externer Festplatte, altes System ist platt, überbügelt, mit einem Neuem überspielt. Keine Profile mehr da, kein key des Verschlüsselers.

 

Ich schreibe dazu, dass er, wenn diesem so ist, die Dateien weglöschen kann, sie belegen eh nur Platz, und bekommen wird er sie nicht mehr.

 

Dann kommen Schreiber, die anschließend behaupten, schau mal hier rein, da ein Tool, oder ruf mal dort an, die haben mir bei was "Ähnlichem" auch schon mal geholfen.

 

Ich bestätige daraufhin nochmal meine Aussage, dass in diesem Fall nichts hilft.

Ich möchte bei solch einem Thread keine Diskusion führen, was alles möglich wäre, wenn, und könnte und hätte. Das ist keine Hilfe für den Beitragersteller, im Gegenteil, es macht den Thread unübersichtlich und verwirrt den Hilfesuchenden bei der Suche der Lösung seines ganz konkreten Problems. Und genau auf dieses konkrete Problem bezog sich meine Aussage, auf kein anderes Problem, und die steht immer noch.

Wenn dein Tool da hilft, dann schreib ihm eine PN, wenn es eine andere Lösung gibt, dann poste es hier, ansonsten sehe ich die Diskussion um Tools und Möglichkeiten bei WENN und HÄTTE und WÄRE in diesem Thread als beendet an, nud alle anderen, die nicht konkret weiterhelfen können, bitte auch.

 

Einzige Möglichkeit, darauf bezieht sich die Frage von carlito, wenn der Rechner zum Zeitpunkt der Verschlüsselung Mitglied einer AD-Domäne war, davon bin ich der Beschreibung nach nicht ausgegangen, aber das muss der TO noch beantworten.

 

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...