atomique
Goto Top

EFS Verschlüsselung aktiv - Deaktivieren nicht möglich

Guten Abend zusammen,

ich hoffe bei euch Hilfe zu finden. Ich bin etwas ratlos was die Problematik angeht. Screenshots sind unten angehängt.

back-to-topProblem

Wir haben hier eine externe Festplatte auf der Dateien durch EFS verschlüsselt sind (grün im Explorer markierte Dateien). Es sind nicht alle Ordner / Dateien verschlüsselt und die Verschlüsselung wurde durch den Benutzer nicht absichtlich aktiviert. Der Benutzer dachte sich erst nichts dabei, es hatte auf Computer01 damit ja alles hervorragend funktioniert. Die Daten auf der externen Festplatte waren lesbar und benutzbar. Nun bekam der Benutzer einen zweiten Rechner und merkte, dass er bestimmte Dateien auf der auf Computer02 eingebundenen externen Festplatte nicht öffnen konnte. Ich wurde gefragt und ich merkte, dass die Dateien verschlüsselt worden sind. Wahrscheinlich von Computer01. Das hab ich durch die Zertifikats-Fingerprints in den Eigenschaften der verschlüsselten Dateien herausgefunden.

back-to-topWeg zur Problemlösung - aber nicht komplett

Nun fand ich heraus, dass man die Dateien auf Computer01 perfekt öffnen kann und auf anderen Rechnern nicht. Nun wollte ich die Dateien auf Computer01 entschlüsseln, da mir aber der Zugriff verweigert wird, war mir auch das nicht möglich. Googlen brachte mir die "Lösung" das Zertifikat mit privatem Schlüssel zu exportieren. Das hat auf Computer01 zwar keinen Sinn, da dort ja alles "funktioniert", aber trotzdem habe ich auch das ausprobiert und entdeckt, dass ich das Zertifikat zwar exportieren kann aber nicht den privaten Schlüssel.


back-to-topFragestellung

  1. Wie macht Windows aber die Dateien ohne diesen Schlüssel auf?
  2. Wie kann ich die Verschlüsselung aufheben?
  3. Und wie kann ich präventiv vorgehen? Ich möchte nicht, dass mir das noch einmal unterkommt.

Vielen Dank für eure Hilfe. Ich hoffe es gibt überhaupt eine Lösung für das Problem. Mich verwundert nur, dass Windows auf Computer01 die Dateien öffnen kann, diese aber nicht entschlüsseln, während Computer02 beides nicht kann.

back-to-topVielleicht noch ein paar nötige Hinweise zum Schluss:


  • Es dreht sich um Windows 7 Professional SP1 x64 (Beide)
  • Das Benutzerkonto auf Computer01 ist das selbe (namentlich - SID weiß ich nicht) wie das, dass den Fingerprint zur Verschlüsselung besitzt
  • Der Rechner müsste der selbe sein. Der Hostname ist nur leicht anders, ich hatte das mal vor Ewigkeiten geändert, kann mich aber nicht mehr an den alten Namen des Rechners erinnern. Eine Umbenennung wird wohl keine Lösung bringen..?
  • Auch das entfernen des Schreibschutzes sowie das übernehmen der Besitzrechte hat keine Abhilfe geschaffen

Sollten noch Informationen fehlen, dann meldet euch bitte! Ich hab den Rechner zwar nicht sofort zur Hand, kann aber die nötigen Informationen beschaffen.

Gruß Atomique - und Danke nochmals!

back-to-topScreenshots


back-to-topErweiterte Attribute
9655cbf2eb0e54a9a61483597498c540

back-to-topFehlermeldung (Zugriff verweigert)
1b183d296798b3952b52c1ea1f5610b4

back-to-topZertifikate im Zertifikatsmanager (MMC --> Snapin)
47fbdf966153f90bdcff759cbbe19a15

back-to-topZertifikatsinformation (markiertes Zert. von oben)
ce1b6e7924e1f3d7705a97a90b1a1669

back-to-topZertifikatsexportierung
3840875a93755df19bd76a85f10e2656

Content-Key: 287528

Url: https://administrator.de/contentid/287528

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: michi1983
Lösung michi1983 04.11.2015, aktualisiert am 05.11.2015 um 17:31:29 Uhr
Goto Top
Hallo,

ev ist hier eine brauchbare Info dabei:
http://m.heise.de/security/artikel/Fallstricke-des-Encrypted-File-Syste ...

Gruß
Mitglied: atomique
atomique 04.11.2015 um 23:23:12 Uhr
Goto Top
Vielen Dank, ich werde mir das einmal ansehen und mich zurückmelden!

Gruß Atomique
Mitglied: AndiEoh
AndiEoh 05.11.2015 um 09:48:07 Uhr
Goto Top
Hallo,

wie dir das System schon sagt wurde der Key wohl mit dem Sicherheitsmerkmal "nicht exportierbar" eingerichten was meine ich auch der Default ist. Du solltest das Problem auf "Computer01" lösen indem du den Benutzer in dessen Profil der Schlüssel ist zum lokalen Administrator machst, sodass er auf jeden Fall auf alle Dateien der USB Platte zugreifen kann, dann die Verschlüsselung entfernen.

Gruß

Andi
Mitglied: atomique
atomique 05.11.2015 aktualisiert um 14:57:21 Uhr
Goto Top
Hallo zusammen,

@michi: Ich hab mir deinen Bericht durchgelesen. Es scheint so als sei das Zertifikat entweder importiert wurden (nicht von mir) oder der private Schlüssel ist abhanden gekommen. Ich kann die Dateien also wahrscheinlich nicht selbst entschlüsseln solange ich diesen nicht habe. Richtig?

@andi: Danke auch dir für dein Feedback. Der Benutzer ist lokaler Administrator. Auf alle Daten kann er komischerweise zugreifen. Ich kann nur die Verschlüsselung nicht aufheben. Dann wird mir gesagt, dass der Zugriff verweigert wird.

--> Habe auch das hier dazu gefunden: http://www.tomshardware.co.uk/forum/224739-46-ways-export-private-marke ...

Sieht nicht besonder gut aus oder?

Gruß Atomique

back-to-topEDIT

Falls der Schlüssel doch noch irgendwie im System ist: Gibt es einen Weg diesen als exportierbar zu markieren?

back-to-topEDIT 2

Nagut ich hab gerade noch etwas gefunden (Bei MS direkt), dass mir leider bestätigt, dass ich an die Daten nicht mehr wirklich ran komm bzw. dass ich sie nicht entschlüsseln kann.

To restore the Recovery Agent's private key, use one of the following methods:
  • Restore the administrator's user profile from a backup that was made before the administrator's profile was overwritten.
  • Restore the data from a backup that you made before the data was encrypted using EFS.
You must extract the private keys from an EFS Recovery Agent whose profile is not overwritten. If this is a stand-alone computer, no other Recovery Agents may be available. If there is no other Recovery Agent available and the EFS private key is not backed up, the data is not recoverable.

Link zum MS-Support: https://support.microsoft.com/en-us/kb/259732
Mitglied: AndiEoh
Lösung AndiEoh 05.11.2015 aktualisiert um 17:31:34 Uhr
Goto Top
Also wenn auf Computer01 noch der Schlüssel aktiv ist mit dem die Daten verschlüsselt wurde hat der "Zugriff verweigert" erstmal nix mit der Verschlüsselung zu tun. Wenn sich also die Dateien auf Computer01 öffnen lassen sollte dieser auch in der Lage sein die Verschlüsselung aufzuheben. Was dabie zu beachten ist:

1. Es wird (temporär) freier Platz auf dem Laufwerk benötigt um die Sachen zu entschlüsseln
2. Die Zugriffsrechte müssen ein ändern der Attribute und Schreibzugriff zulassen
3. Bei Massenänderungen Virenscanner und ähnliche Dinge die auch gerne mal auf das Dateisystem zugreifen abschalten

Gruß & Viel Erfolg

Andi
Mitglied: atomique
atomique 05.11.2015 um 15:40:57 Uhr
Goto Top
Hi Andi,

vielen Dank für deine Hilfe! Ich hab gerade nochmal den Link von "michi" gelesen und einen etwas sonderbaren Fix entdeckt. Wenn ich die Dateien auf ein FAT / FAT32 Laufwerk kopiere fragt mich Windows ob ich die Dateien wirklich auf das Laufwerk kopieren möchte, da diese das Attribut der EFS-Verschlüsselung verlieren. Die Daten werden nun entschlüsselt und auf das FAT/FAT32 kopiert. Dort liegen sie unverschlüsselt. Ich mache das gerade mit allen verschlüsselten Dateien.

Zu deiner Hilfestellung:

1. Speicherplatz war mehr als genug vorhanden (ca. 4GB verschlüsselt, auf C sowie dem externen Laufwerk waren mehr als das 5-Fache frei)
2. Ich habe alle Dateien als Besitzer übernommen (Mit dem lokalen Administrator dessen Schlüssel im System ist). Auch habe ich alle Dateien mit Vollzugriff gekennzeichnet um wirklich jegliche Probleme dieser Art auszuschließen. Nach diesem Schritt habe ich versucht den Schreibschutz zu entfernen und die Dateien zu entschlüsseln, ehlanzeige. Was ich aber nicht probiert habe war Nummer 3. - Der Virenscanner (ESET) war dauernd aktiv.

Vielleicht habe ich hier einen besonderen Sonderfall erwischt. Der Hostname des Systems ist auch nicht mehr der selbige wie der den der Schlüssel benötigt. Würde eine Änderung in den Ursprungszustand (wieder umbenennen) etwas bewirken? Oder bekommt der Rechner intern wieder andere IDs usw. die das entschlüsseln unmöglich machen? Ich bin etwas verwirrt von der ganzen Geschichte aber doch froh, dass ich einen Umweg gefunden habe um das Problem zu beheben. Ich werde nachdem ich überprüft habe ob es noch mehr verschlüsselte Dateien gibt (außerhalb dieses Laufwerks) EFS abschalten. Sowas passiert mir nicht nochmal.

Vielen vielen Dank nochmal fürs Schubsen in die richtige Richtung, manchmal braucht man eine Orientierungshilfe.

Gruß Atomique