Jump to content

Verschlüsselung aufheben ohne Wiederherstellungsagent


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo.

Hoffe ich bin im richtigen Forum, über Suche leider nichts gefunden.

 

Betriebssystem Windows XP Prof.

Ich habe das Problem das ein Ordner verschlüsselt und dann wahrscheinlich der Benutzer gelöscht wurde. Somit habe ich kein entsprechendes Zertifikat um den Ordner zu entschlüsseln.

Hatte es dann (Vorgehensweise Windowshilfe) über die MMC Konsole -> Gruppenrichtlinie -> Richtlinien öffentlicher Schlüssel versucht, dort konnte ich aber keinen Wiederherstellungsagenten erzeugen.

 

Habe auch leider keine große Ahnung und weiß daher nicht, ob ich irgend etwas falsch gemacht habe.

Wenn hier also einer eine Lösung für dieses Problem weiß, bitte mit ausführlicher Anleitung.

 

Vielen Dank

Link zu diesem Kommentar

Ein alleinstehendes XP hat kein Recovery Agent. Du kannst mit cipher /r:<Dateiname> ein zertifikat (mit private key) erzeugen und dann dort importieren, bringt dir aber im nachhinein nichts.

 

Wenn du das alte Profile nicht mehr herstellen kannst (vielleicht mit Datenrettungssoftware untersuchen), dann kannst du die verschlüsselten Dateien vergessen. Da hilft auch keine russische Software, falls hier wieder jemand damit anfängt. Brute Force Carck mehtoden bei 256 Bit AES Verschlüsselung ist ein ziemlich aussichtsloses Unterfangen.

 

Wenn der Rechner alelrdings Mitglied ein Domäe wäre, dann gibt es dort den Domänen-Admin als Wiederherstellungsagent.

 

grizzly999

Link zu diesem Kommentar

Schau dir mal meinen alten Thread an:

 

http://www.mcseboard.de/windows-forum-allgemein-28/efs-recovery-huerden-99607.html

 

@grizzly999

 

Egal wie die Meinung und die Rules hier im Board sind, es gibt bei EFS Problemen mehr Lösungen als MS sie supportet. Das gibt sogar der PSS in seinen Mails zu. (Wer möchte kann entsprechende Texte per PN von mir bekommen)

 

EFS Recovey funkioniert auch über andere Wege als Bruteforce auf AES.

 

Ich würde in jedem Fall einer Demoversion einer solchen russichern Software einen Versuch gönnen. Das ist umsonst und rettet in vielen Fällen Daten die sonst verloren wären.

 

Den ersten Link den man von Microsoft übrigens per Mail bekommt wenn man ein mit Boardmitteln nicht mehr lösbares Problem hat ist der von elcomsoft, welche immerhin Microsoft Gold Certified sind. https://solutionfinder.microsoft.com/Partners/PartnerDetailsView.aspx?partnerid=c488785eed1446c98bdd8052194cf65c

 

subby

Link zu diesem Kommentar
Schau dir mal meinen alten Thread an:

 

http://www.mcseboard.de/windows-forum-allgemein-28/efs-recovery-huerden-99607.html

 

@grizzly999

 

Egal wie die Meinung und die Rules hier im Board sind, es gibt bei EFS Problemen mehr Lösungen als MS sie supportet. Das gibt sogar der PSS in seinen Mails zu. (Wer möchte kann entsprechende Texte per PN von mir bekommen)

 

EFS Recovey funkioniert auch über andere Wege als Bruteforce auf AES.

 

Ich würde in jedem Fall einer Demoversion einer solchen russichern Software einen Versuch gönnen. Das ist umsonst und rettet in vielen Fällen Daten die sonst verloren wären.

 

Den ersten Link den man von Microsoft übrigens per Mail bekommt wenn man ein mit Boardmitteln nicht mehr lösbares Problem hat ist der von elcomsoft, welche immerhin Microsoft Gold Certified sind. https://solutionfinder.microsoft.com/Partners/PartnerDetailsView.aspx?partnerid=c488785eed1446c98bdd8052194cf65c

 

subby

Ich hab's gewusst, dass es wieder kommt :cry:

Ja, ja, ich weiß, die russische Software - Gold Partner hin oder her - kann in Bezug auf EFS alles, zumindest laut Werbung. Und der Weiße Riese wäscht so weiß, weißer geht's nicht. Das glabust du? Nein? Warum glaubst du dann den anderen Werbeversprechen? Oder lest doch wenigstens das Kleingedruckte, unter den fetten Werbebotschaften, auch bei Elmsoft.

Ich sage dir: Wenn der Key weg, ist, das Profil unwiederruflich gelöscht ist (so, dass du die relevanten Teile vielleicht nur noch von Ontrack mit Platte im Reinraum öffnen wiederherstellen lassen kannst), dann ist der Ofen aus. Ich weiß, wie EFS funktioniert, das wissen DIE auch. Und zaubern, hexen oder hellsehen können die auch nicht. Und das steht bei denen auch im Kleingedruckten (!!), hintendrüben, natürlich nicht auf der ersten Seite mit den dollen Werbeaussagen. Dort ist zu lesen:

 

Known problems and limitations:

• The program can decrypt protected files only if encryption keys (at least, some of them) are still exist in the system and have not been tampered.

Und die wissen, warum die das da hinschreiben. Ich schaffe es bald nicht mehr , dieses Thema immer und immer wieder durchzukauen. :cry:

Ja, ich weiß auch, jetzt kommst du mit "Aber bei uns hat .....

War in deinem Fall das Profil mit private key weg?

War es so weg, dass es nicht wiederherstellbar war?

War es so weg, dass nicht mal ein Hexeditor den Part aus dem Profil mit dem private key auf der Platte hätte finden können?

Wenn du alle diese Fragen mit einem klaren Ja beantwortest, und diese Software sich dennoch hat eine Bitfolge aus 2^256 Möglichkeiten einfach so hat einfallen lassen, die das Ding wieder entschlüsselt hat, dann glaube ich an übersinnliche Kräfte in Russland :rolleyes:

 

 

grizzly999

Link zu diesem Kommentar

Hallo,

Ich meine mal gelesen zu haben, dass es einen Unterschied macht, ob man Ordner oder einzelne Files mit EFS verschlüsselt.

Bei einzelnen Files werden nur Kopien verschlüsselt, die unverschlüsselten Orginale bleiben aber auf der Platte erhalten und sind relativ einfach wieder hervorzuholen. Bei verschlüsselten Ordnern hat man keine Chance.

 

cu

blub

Link zu diesem Kommentar
Hallo,

Ich meine mal gelesen zu haben, dass es einen Unterschied macht, ob man Ordner oder einzelne Files mit EFS verschlüsselt.

Bei einzelnen Files werden nur Kopien verschlüsselt, die unverschlüsselten Orginale bleiben aber auf der Platte erhalten und sind relativ einfach wieder hervorzuholen. Bei verschlüsselten Ordnern hat man keine Chance.

 

cu

blub

Das ist teilweise richtig. Wenn man nur eine Datei verschlüsselt, wird während des Ver- bzw. Entschlüsselungsvorgangs eine unverschlüsselte Sicherungskopie erstellt, für den Fall, dass das System jetzt ausfallen sollte. Wird der Vorgang erfolgreich beendet wird die unverschlüsselte Kopie gelöscht, und zwar so, wie eine normale Dateilöschung abäuft. D.h. es könnte mit irgendwelchen Undelete-Tools die gelöschte Datei wieder hergestellt werden, falls die Cluster noch nicht überschrieben sind. Wennd er genaze Ordner verschlüsselt ist, erben alle im Ordner erstellten Dateien das E-Attribut, auch die Sicherungskopie, und wäre damit ebenfalls verschlüsselt ;)

 

 

grizzly999

Link zu diesem Kommentar

grizzly999 das habe ich nicht so gemeint wie du es darstellst. Ich glaube weder blind an deren "Werbeaussagen" noch habe ich das von dir hier zitierte "Kleingedruckte" nicht gelesen.

 

Ja, ich weiß auch, jetzt kommst du mit "Aber bei uns hat ...

 

Och bitte verschone mich damit - schon vorher zu wissen was ich wohl sagen werde. Ein Tipp am Rande: Ich bin kein 14 Jahre alt, du solltest einer Diskussion nicht in solcher Art und Weise vorgreifen. Das gehört nicht in das hier so hoch gehaltene Niveau. Es wirkt schlicht beleidigend.

 

Ich finde es respektabel das du über so ein profundes Wissen bzgl. EFS verfügst - du solltest es teilen anstatt polemisch zu werden.

 

Im übrigen - genausowenig wie du es magst es immer wieder zu erklären das Recovery von EFS Dateien außschließlich unter bestimmten Umständen funktioniert, so wenig mag ich die doch sehr pauschale Aussage das im Fall von Sealem nichts mehr zu retten ist.

 

Benannte Tools sind keine Wunderwaffen - soviel steht mal fest. Nun kann man zwei Wege bestreiten. Auf dem einen benötigt man viel Fachwissen - tiefe Kentnisse in Windows und EFS. (Dies ist der von dir sicherlich präferierte Weg, so wie du hier argumentierst) Auf dem anderen Weg setzt man eine Software ein die die meisten Wege intelligent ausschöpft. Das technisch machbare versucht. Dafür benötigt man weniger detailliertes Fachwissen.

 

In diesem Fall verlassen wir uns auf wenige Zeile von Sealem, die sicherlich nicht zu beschreiben vermögen, wie das System live ausschaut. Solange ich nicht selbst physikalisch davor sitze, erlaube ich mir, Sealem zu unterstellen vielleicht nicht alles technisch machbare hier beschrieben zu haben.

 

Nun fragt er aber nach einem Ratschlag. Für mich kann die Lösung nicht sein zu sagen das alles verloren ist, weil ich das perönlich so einschätze oder glaube.

 

Stattdessen gebe ich lieber eine Einschätzung ab, und weise zusätzlich auf entsprechende Software hin. Zumal MS selbst die Verwendung empfiehlt. Vermutlich aus genau dem selben Grund - man sitzt nicht selbst davor und man spart sich viel Zeit und Mühe es selbst, ich nenne es mal "forensisch", zu analysieren.

 

Ich werde mich in Zukunft wohl besser aus solchen Diskussionen heraushalten.

 

Noch eines:

 

1. Die Rules im Board gibt es aus gutem Grund.

2. Nein ich distanziere mich nicht davon.

 

Ich mag das mcseboard und seine User - MODs Admins etc. natürlich eingeschlossen. Ich respektiere Ihre Meinung so wie sie die meine respektieren. Auf dieser Grundlage nämlich baut ein gutes Forum in meinen Augen auf.

 

Beste Grüße und auf eine allzeit gute Diskussion

 

Lars

Link zu diesem Kommentar

@subby, hat dir MS tatsächlich pauschal den Kauf einer Software für 199/299€ "empfohlen" (!), die nur unter ganz bestimmten, günstigen, Umständen zum Erfolg führt??.

Ich habe bestimmt schon weit mehr als 100 Calls bei MS aufgemacht und bearbeitet. Eine derartige Empfehlung entspricht meiner Erfahrung nicht den üblichen Policies für einen MS-SupportEngineer.

Aus gleichem Grund sollten wir nicht einem User wie Sealem, der von sich selbst sagt, dass er keine allzugrosse Windows-Erfahrung hat, eine solche KaufSoftware ohne die entsprechenden Erklärungen, wie grizzly sie erst nachgeliefert hat, empfehlen.

 

Eine tatsächliche Beschreibung der Demoversion habe ich übrigens nicht gefunden.

 

cu

blub

Link zu diesem Kommentar

@blub

 

Ja, ich habe tatsächlich genau dies mit mehreren Supportern vom PSS besporchen. Diese haben das Vorgehen jedoch nicht "pauschal empfohlen". Vielmehr haben wir an mehreren Tagen das tatsächliche Problem versucht nachzuvollziehen. Dabei haben wir (so glaube ich) ziemlich alle Microsoft hausinternen vorhandenen Tools ausgeschöpft. Daraufhin erst hat PSS mir - und ich sage es nochmal gerne - einen Testlauf mit der Elcomsoft Lösung empfohlen. Dies führte NICHT zum Erfolg. Ich habe daraufhin für MEIN spezielles Problem eine Lösung von Lostpassword versucht, die unsere Dateien restlos wiederherstellen konnte.

 

Wenn ich auf meine Calls zurückschaue, dann sind es vielleicht ~70 vielleicht etwas mehr, zu nicht gerade trivialen Themen. Ich kenne den Einstellung dort auch recht gut. Es ist ungewöhnlich, das gebe ich zu, aber es ist so gewesen.

 

Back to Toppic! - oder?

 

Um nun nochmal auf Sealems Problem zurück zu kommen:

 

Wenn er sich eine Demoversion entsprechender Software besorgt, kann er damit nichts kaputt machen, wenn er vorsichtig arbeitet.

 

Ich würde es wie folgt machen. (Habe das gestern nochmal ausprobiert) Acronis Demo besorgen. Ein Image der Maschiene machen. Das Image auf einer 2. Maschiene im nur lesen Modus unter Windows einhängen. Die Demoversionen intsallieren und versuchen zu entschlüsseln.

 

Erfolg hatte ich gestern in folgenden Szenarien:

 

1. Userpasswort wurde vom Admin zwangsweise geändert.

2. Profil des Users wurde gelöscht.

3. 1. + 2. + User selbst wurde in der Kontenverwaltung gelöscht.

 

Letzteres trifft dann wohl auf den Threadowner zu. Er sollte es versuchen. Er kann auf diese Art und Weise nichts verlieren.

 

Grüße Lars

Link zu diesem Kommentar

Hallo Substyle.

Du redest von der Demo von Acronis True Image 11!?

Werde das mal einem Bekannten von mir erzählen, der hatte nämlich auch was von der russischen Version erzählt und hat auf jeden Fall mehr Ahnung als ich.

Danke zumindest.

 

Interessant finde ich übrigens, dass nach einer Neuinstallation des Systems nur noch die Dateien und nicht mehr die Ordner verschlüsselt sind.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...