[XP] Encrypted file is onleesbaar

Hoe heb je de file ge-encrypt dan?

Heb me er even over ingelezen, denk idd dat het niet kan als de oude domain controller weg is. Verdere info MS site :

Opmerking Alleen de gebruiker die een bestand heeft gecodeerd, kan de gecodeerde gegevens herstellen, tenzij deze gebruiker voorafgaand aan de codering van de bestanden een herstelagent heeft aangewezen. Als u er zeker van wilt zijn dat u later bestanden zult kunnen decoderen, moet u altijd uw certificaat en persoonlijke sleutel exporteren en op een veilige plaats bewaren. Klik voor meer informatie hierover op het volgende artikelnummer in de Microsoft Knowledge Base:

[ Voor 90% gewijzigd door Exorcist op 10-08-2007 01:56 ]

Dat document wat je noemt had je moeten doen voordat je de domeincontroller formatteerde. Nu ben je je data gewoon kwijt.

eens navragen of ze een efs recovery agent aangemaakt hebben.

Als er geen agent is, kun je fluiten naar je data.
Hoezo: "kunnen ze niet maken" ? Dit is echt user error hoor, net als de sleutel van je onkraakbare kluis verliezen....

Data kwijt, dat kunnen ze toch niet maken zeg.

Het hele idee achter encryptie is nu juist dat de enige die er bij kan, degene met een key is. En dat zou wel eens een probleem kunnen zijn als het hele domein niet meer bestaat. Lullig, maar het zou juist jammer zijn als je er wel makkelijk en snel bij kon komen zonder key.

Er zijn nog wel andere opties, maar niet via GoT (en bepaald niet gratis). Als je belt met Microsoft hebben ze misschien, natuurlijk tegen betaling en als je het wachtwoord nog wel weet, een tooltje om de key terug te krijgen (reccerts.exe).

[ Voor 1% gewijzigd door F_J_K op 10-08-2007 09:41 . Reden: misschien toegevoegd ]

_Thanatos_ schreef op vrijdag 10 augustus 2007 @ 09:25:
Data kwijt, dat kunnen ze toch niet maken zeg.

Daar is maar een antwoord voor: Read The Manual before you try.
Kunnen ze wel maken. Jij had een export incl private key moeten doen voordat je zonder na te denken een domaincontroller (!) formatteerde. Dus echt wel een gevalletje eigen schuld dikke bult

Als je bepaalde data geheim wilt houden kan je misschien TrueCrypt eens proberen....

wel als je echt wanhopig bent, efs laat altijd een onversleutelde kopie achter op het bestandssysteem, echter zonder actieve referenties naar waar zich dat bevindt. ik weet niet of er al een ooit iemand een poging ondernomen heeft met bestandsherstelsoftware dergelijk bestand op te sporen, maar dat zou in theorie een ultieme mogelijkheid vormen.

Verwijderd schreef op vrijdag 10 augustus 2007 @ 09:49:
wel als je echt wanhopig bent, efs laat altijd een onversleutelde kopie achter op het bestandssysteem, echter zonder actieve referenties naar waar zich dat bevindt. ik weet niet of er al een ooit iemand een poging ondernomen heeft met bestandsherstelsoftware dergelijk bestand op te sporen, maar dat zou in theorie een ultieme mogelijkheid vormen.

Volgens mij is efs wel wat efficienter dan dat. Twee kopieen opslaan zou ook twee keer diskspace betekenen lijkt me, hoe weet immers het filesystem dat decrypted en encrypted beide dezelfde file zijn.

Een bestand zó makkelijk recoveren, dat kan ik me echt nit voorstellen. Er zijn vele duizenden bedrijven die deze beveiliging gebruiken. En ik weet zeker dat als zoiets als dit algemeen bekend is er niemand het zou gebruiken. Als de files toch nog niet-versleuteld op de hdd staan, is het toch per definitie onveilig?

EFS is bijzonder link voor 'normale' gebruikers op een prive pc. Zoals voor mij al diverse malen genoemd heb je je certificaat nodig van de 'oude' server. Dat bestaat waarschijnlijk niet meer, dus is je data pleite.

Het linke aan EFS is dat er naast de username/wachtwoord combinatie dus nog een certificaat nodig is en dat Windows je dat normaal gesproken niet vertelt.

Heb je geen backup van die server dan?

sanfranjake schreef op vrijdag 10 augustus 2007 @ 10:11:Volgens mij is efs wel wat efficienter dan dat. Twee kopieen opslaan zou ook twee keer diskspace betekenen lijkt me, hoe weet immers het filesystem dat decrypted en encrypted beide dezelfde file zijn.

Een bestand zó makkelijk recoveren, dat kan ik me echt nit voorstellen. Er zijn vele duizenden bedrijven die deze beveiliging gebruiken. En ik weet zeker dat als zoiets als dit algemeen bekend is er niemand het zou gebruiken. Als de files toch nog niet-versleuteld op de hdd staan, is het toch per definitie onveilig?

kijk eens naar puntje 2.5 uit volgende pdf:
http://www.eracom-tech.co...ctFile_Vs_Windows_EFS.pdf
de situatie kan zich voordoen wanneer je een individueel bestand aanmerkt voor efs versleuteling. het originele onversleutelde bestand bevindt zich gewoon nog, weliswaar in verwijderde toestand, op de harde schijf. net alsof je manueel op delete gedrukt hebt om het te wissen. maw, met bestandsherstelsoftware kan dit opgespoord en hersteld worden.

True, maar dat bestand zal vast heel snel overschreven worden natuurlijk. Maar snap nu iig wel wat je bedoelt

Conclusie dus: De enige optie is om recovery software te draaien en hopen dat hij intern niet overschreven is (of via backup van server mocht die bestaan)

[ Voor 17% gewijzigd door Kixtart op 10-08-2007 10:56 ]

sanfranjake schreef op vrijdag 10 augustus 2007 @ 09:43:
[...]

Daar is maar een antwoord voor: Read The Manual before you try.
Kunnen ze wel maken. Jij had een export incl private key moeten doen voordat je zonder na te denken een domaincontroller (!) formatteerde. Dus echt wel een gevalletje eigen schuld dikke bult

Waar staat dat hij de dc opnieuw geïnstalleerd heeft? Ik meen juist te lezen dat ie 'dom gebruikertje' is ipv beheerder.

Hyp Hyper schreef op vrijdag 10 augustus 2007 @ 10:58:
[...]


Waar staat dat hij de dc opnieuw geïnstalleerd heeft? Ik meen juist te lezen dat ie 'dom gebruikertje' is ipv beheerder.

uit de ts:

dat ik in een nieuw windows domein gejoined ben, en het oude bestaat niet meer (herinstallatie van de server)

Overigens is dat de grootste fout geweest. Had TS het domein netjes gemigreerd ipv snel een ander te maken met dezelfde naam, had dit probleem zich niet voorgedaan.

De encryptie optie die je hebt gebruikt verzorgt authorisatie op basis van het jou SID-adres. Als deze sinds dien niet meer het zelfde is, zal je het niet lukken om dit bestand te openen.

_Thanatos_ schreef op vrijdag 10 augustus 2007 @ 11:13:
Precies, ik wil me helemaal niet bezig hoeven te houden met sleutels en certificaten. Het enige dat ik zie staan is een vinkje op gegevens te "coderen". Dat is goed, dat wil ik. *vink*. En dan kan ik het bestand een tijdje later in mijn eigen "domme gebruiker" perspectief niet meer openen. Wtf?

Dat zie ik dan als een serieus fundamenteel probleem aan EFS.

Natuurlijk ben ik geen echte domme gebruiker, dus ik ben best bereid wat stappen te ondernemen om dat bestandje "gedecodeerd" te krijgen. Ik heb een exacte kopie nog van het profiel dat ik op de oude domeincontroller gebruikte. Sterker nog, dat profiel gebruik ik nu nog steeds. Ook heb ik de domeinnaam, de gebruikersnaam en het wachtwoord allemaal nog steeds. Sterker nog, ALLES is EXACT hetzelfde gebleven, behalve dat er een herinstallatie tussen zit.

Dus als er een tool is om dat bestand gedecodeerd te krijgen, graag. Kan me eigenlijk niet schelen op wat voor manier dat dat gebeurt

Als je alles hetzelfde maakt dan werkt het nog steeds niet, want dan zou iemand die je wachtwoord heeft vanuit een andere plaats het domein na kunnen bouwen. Tools lijkt me ook sterk, want het is en blijft encryption (die je dus niet gekraakt wilt hebben)

_Thanatos_ schreef op vrijdag 10 augustus 2007 @ 11:13:
Dus als er een tool is om dat bestand gedecodeerd te krijgen, graag. Kan me eigenlijk niet schelen op wat voor manier dat dat gebeurt

Zoals ik zei: bel met MS
Andere tools zijn wegens Het algemeen beleid #misbruik niet de bedoeling@GoT. Immers kunnen wij niet zien (1) of het jouw data is en (2) wie er ook dit topic leest

Overigens ben ik het met je eens dat het een hele enge functie is voor een 'domme eindgebruiker'. Maar het gaat hier niet om de domme gebruiker. Die zal immers nooit een domein opnieuw opzetten zonder zeker te weten dat het kan.

[ Voor 19% gewijzigd door F_J_K op 10-08-2007 11:38 ]

F_J_K schreef op vrijdag 10 augustus 2007 @ 11:36:
[...]

Zoals ik zei: bel met MS
Andere tools zijn wegens Het algemeen beleid #misbruik niet de bedoeling@GoT. Immers kunnen wij niet zien (1) of het jouw data is en (2) wie er ook dit topic leest

Overigens ben ik het met je eens dat het een hele enge functie is voor een 'domme eindgebruiker'. Maar het gaat hier niet om de domme gebruiker. Die zal immers nooit een domein opnieuw opzetten zonder zeker te weten dat het kan.

Eigenlijk moet er dus een waarschuwing door MS aangehangen worden. (U verlaat het domein. Let op: encrypte (of beveiligde) bestanden zullen niet meer geopend kunnen worden. Wilt u doorgaan?)
Ik ben ook ooit per ongeluk uit het domein gegaan van de universitiet met m'n laptop, gelukkig geen encrypte bestanden (ik wist eigenlijk ook niet dat de encryptie hieraan gekoppeld was)

Dat is dan ook een van de redens waarom ik EFS niet gebruik, stel je voor dat je de key niet meer kan restoren :! Weg gegevens!

Helaas zelfs met je wachtwoord en gebruikersnaam zelf zal je niet een EFS certificaat kunnen maken dat de bestanden zomaar opent. Aangezien dat maar 2 van de factoren zijn die een EFS certificaat maken. Het feit dat inderdaad een domein server gebruikt werdt maakt het nog moeilijker, in zo'n geval moet je inderdaad eigenlijk een "restore agent" maken en veilig stellen.

EFS gebruikt niet de laagste encryptie van de wereld dus het handmatig proberen te decrypten van de files zal ..well verre van makkelijk gaan. Beste is hopen dat je een backup hebt op een medium als een CD or een FAT geformateerde memorystick. Waarom? EFS werkt alleen op NTFS schijven! Zodra je gegevens naar een FAT bestands systeem kopieert of een CDFS dan wordt het gedecrypt omdat die geen support hebben voor EFS.

[ Voor 7% gewijzigd door swampy op 10-08-2007 11:53 . Reden: spelvouten ;) ]

En voor het geval het nog eens aangehaald wordt dat het profiel nog beschikbaar is... daar wordt de sleutel tot EFS niet opgeslagen. Dus heb je deze nog, heel mooi, maar je hebt er niets aan. De sleutel tot EFS wordt opgeslagen in AD. En die is verloren gegaan. Daar komt bij dat die sleutel gekoppeld is aan het SID dat je had in het vorige domein en die wordt ook niet opgeslagen in je profiel, maar, ja raad het al, in de AD. Dus wederom, die is er niet meer.
Verder: een SID kan ook nooit teruggekoppeld worden aan een ander account, dus zelfs al bestond het oude domein nog, je account is onherroepelijk aangepast.

Kixtart schreef op vrijdag 10 augustus 2007 @ 11:43:
[...]

Eigenlijk moet er dus een waarschuwing door MS aangehangen worden. (U verlaat het domein. Let op: encrypte (of beveiligde) bestanden zullen niet meer geopend kunnen worden. Wilt u doorgaan?)

...en die warning krijg je dan ook heel erg duidelijk te zien als je bijvoorbeeld op je lokale PC iemand anders' password reset

In een Active Directory domain hoort de beheerder dit soort functionaliteit ook goed in/af te richten d.m.v. policies.

_Thanatos_ schreef op vrijdag 10 augustus 2007 @ 11:13:
Precies, ik wil me helemaal niet bezig hoeven te houden met sleutels en certificaten. Het enige dat ik zie staan is een vinkje op gegevens te "coderen". Dat is goed, dat wil ik. *vink*. En dan kan ik het bestand een tijdje later in mijn eigen "domme gebruiker" perspectief niet meer openen. Wtf?

Dat zie ik dan als een serieus fundamenteel probleem aan EFS.

Natuurlijk ben ik geen echte domme gebruiker, dus ik ben best bereid wat stappen te ondernemen om dat bestandje "gedecodeerd" te krijgen. Ik heb een exacte kopie nog van het profiel dat ik op de oude domeincontroller gebruikte. Sterker nog, dat profiel gebruik ik nu nog steeds. Ook heb ik de domeinnaam, de gebruikersnaam en het wachtwoord allemaal nog steeds. Sterker nog, ALLES is EXACT hetzelfde gebleven, behalve dat er een herinstallatie tussen zit.

Dus als er een tool is om dat bestand gedecodeerd te krijgen, graag. Kan me eigenlijk niet schelen op wat voor manier dat dat gebeurt

Wat je zou kunnen proberen is je SID adres te bekijken via Regedit. Dit even noteren.

Daarna je pc uit het domein te halen en weer terug in de zelfde werkgroep(naam). Controleer daarna of het SID adres is veranderd.. zo ja zou het kunnen zijn dat je het EFS beveiligd bestand weer kunt openen.

Vraag nu trouwens het volgende af (misschien voer voor een nieuw topic):

1. Ik pak een lege pc installeer Windows XP. Maak een account aan etcetra.
2. Ik encrypt een bestand.. dit bestand zet ik tijdelijk op een usbstick
3. Ik maak deze pc weer helemaal leeg en doe exact het zelfde bij stap 1 (zelfde Windows cdrom pc benaming etctra).
5. Ik kopieer het EFS bestand terug naar de zelfde plek op de HD en probeer hem te openen.

Zou dit werken? Ik ben wel benieuwd of Windows je dan toch de zelfde SID code heeft gegeven. Dit lijkt mij namelijk wel.. of dit moet echt @ random gebeuren.

Ik zit er over na te denken om dit even te testen vanavond op me iMac.

PS: Niet om warez aan te spreken.. maar bestaat er een programma waarmee je je SID adres kunt veranderen?

Falcon schreef op vrijdag 10 augustus 2007 @ 16:20:

PS: Niet om warez aan te spreken.. maar bestaat er een programma waarmee je je SID adres kunt veranderen?

Natuurlijk bestaan die ook.
Een sID resetten (da's dus wat anders) is bovendien niet ongebruikelijk bij sysprep of Ghost, daar heb je tools als sIDWalker voor bijvoorbeeld.

Tools waar je een exacte sid mee repliceert lijken me hier buiten de policy te vallen gezien de beveiligingsrisico's, dus gaan we het daar maar niet over hebben

_Thanatos_ schreef op vrijdag 10 augustus 2007 @ 11:13:
Precies, ik wil me helemaal niet bezig hoeven te houden met sleutels en certificaten. Het enige dat ik zie staan is een vinkje op gegevens te "coderen". Dat is goed, dat wil ik. *vink*. En dan kan ik het bestand een tijdje later in mijn eigen "domme gebruiker" perspectief niet meer openen. Wtf?

Dat zie ik dan als een serieus fundamenteel probleem aan EFS.

De bedoeling van EFS is als iemand je PC jat, deze gegevens niet meer kan decoderen omdat hij:
• je wachtwoord niet weet.
• herinstallatie niet helpt, want immers je raakt je sleutels/certificaten kwijt!

EFS is zwaar encrypted. Er bestaat echt geen tooltje om dit te kunnen kraken. En ik ben bang dat Microsoft je hierin niet kan helpen. EFS is meer dan alleen een "slotje" op je bestand. De gehele bestand word geencrypted en Windows moet de certificaat weten wil ie uberhaupt de gegevens kunnen lezen.

Dit is helemaal geen fundamenteel probleem van EFS. Dit is een typische user-fout. Iets inschakelen waarvan je niet weet wat de implicaties hiervan kunnen zijn.

Wat je sowieso moet doen als je EFS gaat gebruiken:
• Encrypt de bestanden wat gevoelige informatie of wat dan ook voor reden.
• Onmiddelijk naar je Internetopties gaan, tabblad [Inhoud] en op Cerficaten en zoek vervolgens de certificaat op voor "het versleutelen van gegevens op schijf".
• Exporteer deze certificaat.
• beantwoord met "Ja, de persoonlijke sleutel exporteren"
• Geef een wachtwoord op.
• Bewaar deze bestand op een veilige plaats. (niet op plaatsen zetten waarbij meerdere gebruikers toegang hebben)

Mocht je later in een situatie komen zoals deze (helaas). kun je je key gewoon netjes importeren en al je bestanden decrypten.

_Thanatos_ schreef op vrijdag 10 augustus 2007 @ 11:13:
Natuurlijk ben ik geen echte domme gebruiker, dus ik ben best bereid wat stappen te ondernemen om dat bestandje "gedecodeerd" te krijgen. Ik heb een exacte kopie nog van het profiel dat ik op de oude domeincontroller gebruikte. Sterker nog, dat profiel gebruik ik nu nog steeds. Ook heb ik de domeinnaam, de gebruikersnaam en het wachtwoord allemaal nog steeds. Sterker nog, ALLES is EXACT hetzelfde gebleven, behalve dat er een herinstallatie tussen zit.

Je bent je certificaat kwijt. Je kunt controleren via Internetopties, tabblad [Inhoud], knop [Certificaten] of ie nog bestaat. Maar kennelijk (vanwege je problemen met EFS nu) niet meer.

_Thanatos_ schreef op vrijdag 10 augustus 2007 @ 11:13:
Dus als er een tool is om dat bestand gedecodeerd te krijgen, graag. Kan me eigenlijk niet schelen op wat voor manier dat dat gebeurt

Helaas zal zo'n tool niet bestaan. zelfde reden waarom 1 computer nooit een 2048bits RSA sleutel kan kraken.