[WinXP] Wer kennt sich mit Efs aus?

RCA

Erster Beitrag
Wer kennt sich mit Efs aus?

Hi,
kennt sich jemand mit EFS hier aus?
Hab folgendes Problem.
Hab unterschiedliche daten (txt´s u.a.) mit EFS verschlüsselt.
Als irgendwann der Rechner kaputt war hab ich mir einfach neue Bauteile reingehauen (neues Mainboard etc.) da mit den neuen Teilen Win nicht funktioniert hab ichs alte runtergeschmissen und neu aufgespielt. Mein Prob. ist halt, das des EFS nichtmehr funzt, weil die SID und die shit keys nichtmehr übereinstimmen (Zertifakt auch nicht mehr existend).
Hab schon an mehreren Stellen im Netz nachgeschaut, doch die meisten Lösungen funzten bei mir net, da diese das org. system benötigen (bei denen hats meist nur das Zertifikat zerrissen). Naja, vieleicht wisst ihr ja ne antwort.....
Dank für eure Mühe schonmal vorab.
RCA
 

MaXg

assimiliert
RCA schrieb:
weil die SID und die shit keys nichtmehr übereinstimmen (Zertifakt auch nicht mehr existend).

Windows XP/2003:
Irgendwo im Microsoft Technet ist ne Anleitung in der steht wie man mit Microsoft Boardmitteln EFS Verschlüsselte Dateien wiederhrstellen kann.

Soweit ich noch weiss, MUSS es das Administratorkonto als die Daten Verschlüsselt wurden noch geben.

Habe damals etwas herumexperimentiert:

Selbst mit dem passenden Zertifikat und "nur" umbenannten Administratorkonto (Administrator = Neuer User) geht das schon nicht mehr. <- Der darf alles, nur EFS Verschlüsselung aufheben ist nicht.


Bei EFS Verschlüsselung wird auch beim Benutzernamen zwischen gross-/kleinschreibung unterschieden.

Microsoft Deutschland hat eine recht Preiswerte Hotline.
01805 67 22 55 für 0,12 Euro pro Minute.
 

Lektro

assimiliert
Wenn man nach EFS + RECOVERY googelt, findet man einige (hoffentlich) hilfreiche Artikel und auch Tools. Z.B.: Advanced EFS Data Recovery
Advanced EFS Data Recovery (AEFSDR) ist ein Programm zur Wiederherstellung (Entschlüsselung) verschlüsselter Dateien auf NTFS (EFS)-Partitionen, die unter Windows 2000, Windows XP und Windows Server 2003 erstellt wurden. Dateien können sogar in den Fällen entschlüsselt werden, in denen das System nicht gebootet werden kann und Sie sich daher nicht anmelden können, und/oder in denen einige Schlüssel zur Verschlüsselung verfälscht wurden.

Außerdem ist die Entschlüsselung auch dann möglich, wenn Windows mit Hilfe von SYSKEY geschützt wurde. AEFSDR entschlüsselt die geschützten Dateien effektiv (und augenblicklich) unter allen Versionen von Windows Server 2003 (Standard und Enterprise), Windows XP (einschließlich Service Pack 1 und 2) und Windows 2000 (einschließlich Service Pack 1, 2, 3 und 4).

MfG
Lektro
 

Wolfi

IT Trainer
Ein kleiner Auszug aus der aktuellen Version Advanced EFS Data Recovery 3.x (in Englisch):

Known problems and limitations

- The program can decrypt protected files only if encryption keys (at least, some of them) are still exist in the system and have not been tampered.
- Only "Basic" (but not "Dynamic") NTFS partitions are supported.
- For files encrypted on Windows 2000, if Account Database Key (SYSKEY) is stored on floppy disk, or if "Password Startup" option has been set, you should know/have one of the following in order to be able to decrypt the files:
- startup password or startup floppy disk
- the password of user who encrypted the files
- the password of Recovery Agent (if one is availbale)
- If password of the user (who encrypted the files) have been changed after encryption, you may need to enter the old password into the program.
- If files were encrypted under Windows XP (with or without SP1/SP2) or Windows Server 2003, the password of user who encrypted the files (or Recovery Agent) is needed for decryption.
- The program has been tested only on files encrypted under U.S. version of Windows; if any other (international) version has been used, correct work is not guaranteed.

Dann noch "Just my 2 Cents":

Bei EFS-Verschlüsselung in Verbindung mit dem jeweiligen
Firmen-Domain-Server-Zertifikat unter Windows Server 2003 R2
ist dann aEFS DataRecovery völlig nutzlos. :D
 

ollitello

treuer Stammgast
hi

Also wenn ich das richtig im Kopf habe, ist die EFS Ver- und Entschlüsselung abhängig von den Hash Werten des berechtigten Users. Wenn Du also unter dem Admin deines alten Systems verschlüsselt hast, kannst du auch als Admin des neuen Systems nicht entschlüsseln, weil die ursprünglichen Berechtigungen der UID und der HAshwerte des Alten Admins für die Datei gelten.

Ich denke also, das der einzige Weg ist, die Dateien deinem neuen Admin zuzuordnen. Rechenr mit f8 abgesichert als Administrator booten und dann im Exlplorer die Berechtigungen neu setzen.
Zuerst unter "Ordneroptionen" den Haken bei "Einfache Dateifreigabe verwenden" entfernen. Danach einen Rechtsklick auf den "gesperrten" Ordner durchführen. Im Kontextmenü "Eigenschaften" wählen, Register Sicherheit auswählen, Erweitert anklicken, Register Besitzer auswählen, bei 'Besitzer ändern auf' Deinen aktuellen Namen auswählen, Haken bei "Besitzer der Objekte und..." setzen und schließlich auf "Übernehmen" klicken.
Nach Reboot kann dann der Admin die Dateien als seine bezeichnen und auch ein entschlüsseln sollte eigentlich wieder gehen.

Viel Glück dabei.
 

xerxes333

gehört zum Inventar
Falls du den EFS-Schlüssel nicht gesichert hast, kannst du deine Daten in die Tonne "schmeissen".


xerxes333
 
Oben