Problem mit EFS-verschlüsselten Dateien

[vedette 10]

Hallo Kollegen,

 

[] Eine Kollegin hat auf ihrem lokalen Rechner

Dateien verschlüsselt mit einem User-Account,

der auf einem Domänenserver verwaltet wird

(wurde).

 

[] Das USER-Profil wird allerdings auf dem

lokalen Rechner verwaltet, weil ich das mal so

eingestellt habe, um die Netzlast beim

morgendlichen Booten zu senken.

 

[] Der Server ist vor kurzem gecrasht und ich

musste die Domäne und die User neu einrichten.

(Siehe mein letztes Posting)

 

[] Die Kollegin kann jetzt nicht mehr auf

die verschlüsselten Dateien zugreifen, da

sie ja einen neuen UID hat.

 

[] Ich habe sowohl administrativen Zugriff

auf ihr altes Profil, dass im Profilpfad

liegt, (alt "%Profilpfad%/blabla", neu

"%Profilpfad%/blabla.000". Ihr wisst schon.)

als auch ein komplettes Acronis-Image,

dass wenige Tage vor dem Crash gezogen

wurde.

 

DIE FRAGEN:

 

[] Seht ihr eine Möglichkeit, dass "alte"

Userzertifikat irgendwie zu extrahieren,

um damit die verschlüsselten Daten zu

entschlüsseln, natürlich möglichst ohne

das "alte" Image wieder zurückzuspielen?

Das steckt zwar irgendwie in der "ntuser.dat"

des alten Profils. Da kommt man aber mit

keinem mir bekannten Tool dran.

 

[] Würde es überhaupt etwas nützen das

alte Image wieder herzustellen? Kann ich

als "++lokaler++ Admin" dann überhaupt das

Zertifikat des "++Domänen-Users++" extrahieren,

wenn die Domäne so gar nicht mehr existiert?

(Obwohl die Profile lokal aufgehoben werden)

 

Vielen Dank für Eure Bemühungen im Voraus.

[banani 10]

hast du einen wiederherstellungs-agent eingerichtet? --> Wenn ja, versuche dann mit diesem account die verschlüsselten Dateien wiederherzustellen.

[GerhardG 10]

http://www.elcomsoft.com/aefsdr.html

[Scorpi 10]

Hi,

 

verwende das alte Profil und fahr offline hoch.

 

Das sollte gehen.

[vedette 10]

Erst mal Danke für die schnelle Antwort!

 

@banani

Es ist nicht vorgesehen, dass User sich Dateien auf

dem lokalen Rechner verschlüsseln, denn - seien wir

ehrlich - das EFS taugt nicht viel. Wenn jemand

lokale Verschlüsselung braucht rate ich zu PGP

oder PGP-Disk oder ähnlichem. Ich ziehe ausserdem

regelmäßig Images von den Rechnern im Netz.

Daher ist die zusätzliche Einrichtung des

Wiederherstellungsagenten überflüssig (und würde

mir als Freelancer von diesem Kunden auch nicht

bezahlt). Antwort also. Nein.

 

@GerhardG

Schau mal im ZD-Net unter

ZD-NET Download Advanced EFS Data Recovery, was andere

Admins so von dieser SW halten. Unter XP SP2 -

dass habe ich schon recherchiert funzt sie sowieso

nicht. Ich habe es mit Windows 2000 Pro am Client

zu tun. Das könnte also klappen. In der Testversion

werden aber nur die ersten 512 Bytes der zu

entschlüsselnden Datei tatsächlich entschlüsselt.

Um zu sehen, ob es überhaupt geht, wäre das ja

ausreichend.

 

Ich brauche aber eine Lösung aufgrund der vorhandenen

Faktenlage. Wenn es die nicht gibt, dann ... Pech!

[Dirk_privat 10]

Hi

 

Wenn Du einen Domänen User die Verschlüsselung erlaubst, ist bei einer PKI automatisch der Domain Admin auch der Wiederherstellungsagent (DRA) und nicht der lokale Admin. Wenn Du die Schlüssel/Zertifikate nicht exportiert hast, sieht es schlecht aus für Dich.

 

Das Tool von Elcomsoft macht soviel ich weiß nichts anderes als das Password des lokalen Admin Accounts zu entschlüsseln, damit Du an das Zertifikat kommst.

In einer Domäne nutzt Dir das nicht sehr viel, vor allem ist die Quell Domäne nicht mehr vorhanden wenn ich Dich richtig verstanden habe!

 

Die EFS Verschlüsselung ist sehr professionell und hält unter objektiver Betrachtung jedem Vergleich stand. Die Aussagen das die SW nicht funzt kommt von denen die sie nicht kennen oder nicht wissen wie eine PKI funktioniert. Wenn EFS so schlecht wäre, hättest Du jetzt keine Probleme die Daten zu entschlüsseln.

 

Gruß

Dirk

[vedette 10]

@Dirk_privat

 

[] Da setz ich noch einen drauf.

Die PKI klappt auch nicht besonders gut.

Und ich habe den Usern die Verschlüsselung

NICHT erlaubt. Sie haben es einfach gemacht.

Und, ja ich habe zuvor alle begründeten

Sicherheitsmassnahmen gegen einen GAU

getroffen. Er ist trotzdem eingetreten!

 

[] Wenn Du natürlich Admin bei einem grossen

Unternehmen bist, dann wird das Thema ernst

genommen und man gibt dir den Freiraum, sich

mit dem Thema tiefgreifend auseinanderzusetzen.

Und oberhalb einer bestimmten Nutzerzahl und

Infrastruktur ist das auch tatsächlich dringend

geraten. Da gebe ich Dir recht.

 

[] Der administrative Aufwand, der benötigt

wird, sich durch all die Konsolen und Einstellungen

zu bewegen (im übrigen nach wirklich gründlicher

Planung der PKI mit dem jeweiligen CIO und einigen

Powerpoint-Präsentationen) ist aber für Unternehmen

mit 2 bis 40 Usern (die alle in einem Haus sitzen und

sehr ähnliche Sachen machen) ziemlich hoch.

 

[] Ganz zu schweigen von einer Querauthentifizierung

auf Linux-Systeme (der Mailserver des konkreten Kunden

ist zudem eine Linux-Appliance).

 

[] Ich hatte schon vor Jahren die Hoffnung, dass

für eine Public Key Infrastructure ein genereller

Ansatz gefunden werden könnte mit Authentifizeriungs-

und KEY-Servern, die ähnlich wie DNS-Servern nicht nur

im lokalen Netz, sondern auch im Internet angesiedelt

sind, also mit generellen Zertifikatsservern. Auch das

gibt es zwar mittlwerweile, aber google mal nach

"PKI Zertifikatsstellen", dann findest Du zig-Firmen,

die alle denselben und dann doch wieder unterschiedliche

Ansätze verfolgen. Letztlich wird man immer wieder

auf Einzellösungen zurückgeworfen.

 

[] Dazu kommt was ganz anderes:

Ich spreche gerne mit Unternehmenslenkern. Wenn ich

da zu technisch werde, verdrehen die entgeistert die

Augen. Erläre mal jemanden asymetrische Verschlüsselung.

Ich habe das Buch "Geheime Botschaften" (Untertitel: Die

Kunst der Verschlüsselung von der Antike bis in die Zeiten

des Internet) von Simon Singh gelesen. Darin gibt es

wenigstens ein paar Modelle, mit denen man asymetrische

Verschlüsselung in Seminaren recht anschaulich erklären

kann. Wie's aber technisch genau geht, will keiner wissen.

Und wenn es dann darum geht - Wer bezahlt? - dann

höre ich häufig, dass kein Interesse mehr vorhanden ist.

 

[] Daher ist für mich der Maßstab, ob eine Lösung

funzt (schreckliches Wort, aber ich habe mich daran gewöhnt)

nicht, ob sie in einer bestimmten Umgebung ausgereift

ins Werk gesetzt werden kann, sondern mit welchem

Aufwand ich bei welchem Ergebnis lande. Und bestimmt

glaubst auch Du mir, dass es einfacher ist ein altes

(Freeware)-PGP runterzuladen, aufzuspielen und

damit Dateien zu verschlüsseln. Und wenn ich nur

Dateiverschlüsselung brauche, dann ist mein Kunde

damit zufrieden. (Und die Wiederherstellung ist

nicht abhängig vom Neuaufsetzen einer Domäne oder

ähnlichem!)

[Dirk_privat 10]

HI

 

Da stimme ich Dir natürlich zu. Für kleine Firmen ist das Thema PKI und Verschlüsselung immer noch zu komplex. Eine funktionierende PKI macht man mal nicht ebenso nebenbei und da ist natürlich der Ansatz mit PGP etc. von Vorteil.

Das ist aber genau der Grund, das sich viele nicht genügend Gedanken dazu machen und munter darauf loslegen Daten zu verschlüsseln. Diese Möglichkeit sollte man generell per Policy unterbinden, denn Sie wissen nicht was sie tun...

 

Falls Du es mit dem Tool von Elsomsoft probieren solltest würde es mich interessieren ob es gefunzt hat. Poste doch bitte das Ergebnis.

 

Gruß

Dirk

[vedette 10]

@Dirk_privat

 

Danke für Dein Verständnis. Tut gut, nach dem,

was ich in den letzten Tagen erlebt habe. ;)