3
Nach Mainboardtausch: Zugriff auf EFS-verschlüsselte Daten nicht möglich
Hallo zusammen,
ich nutze ein Lenovo Yoga X1-Convertible, auf dem ein Dual-Boot-System (Windows 10 + Ubuntu 22.04) läuft. Aufgrund eines Hardware-Defekts wurde das komplette Mainboard getauscht. Nun habe ich folgendes Problem:
Unter Win10 habe ich einzelne Ordner und Dateien verschlüsselt (EFS), die ich nun nicht mehr öffnen oder entschlüsseln kann ("Zugriff verweigert"). Ich habe am System - abgesehen vom Mainboard-Tausch - nichts verändert. Ich bin mit dem entsprechenden Benutzer mit Adminrechten angmeldet.
Soweit ich weiß ist der TPM-Chip bei EFS nicht involviert. Meine Vermutung war / ist, dass ich keinen Zugriff mehr auf das Dateiverschlüsselungszertifikat habe, da mir die Verwaltung der Dateiverschlüsselungszertifikate anzeigt, dass es nur ein Zertifikat gibt, das erst seit vier Tagen gültig ist, also kurz nach dem Mainboardtausch erstellt wurde. Ich frage mich allerdings, wo das alte Zertifikat geblieben ist?
Ich habe leider kein Wiederherstellungszertifikat in meinen backups gefunden (Ja, dumm, ich weiß...). Die Frage ist: Komme ich an die entsprechenden Zertifikate bzw. Daten wieder ran oder ist der Drops gelutscht?
Vielen Dank vorab!
Gruß
Stefan
ich nutze ein Lenovo Yoga X1-Convertible, auf dem ein Dual-Boot-System (Windows 10 + Ubuntu 22.04) läuft. Aufgrund eines Hardware-Defekts wurde das komplette Mainboard getauscht. Nun habe ich folgendes Problem:
Unter Win10 habe ich einzelne Ordner und Dateien verschlüsselt (EFS), die ich nun nicht mehr öffnen oder entschlüsseln kann ("Zugriff verweigert"). Ich habe am System - abgesehen vom Mainboard-Tausch - nichts verändert. Ich bin mit dem entsprechenden Benutzer mit Adminrechten angmeldet.
Soweit ich weiß ist der TPM-Chip bei EFS nicht involviert. Meine Vermutung war / ist, dass ich keinen Zugriff mehr auf das Dateiverschlüsselungszertifikat habe, da mir die Verwaltung der Dateiverschlüsselungszertifikate anzeigt, dass es nur ein Zertifikat gibt, das erst seit vier Tagen gültig ist, also kurz nach dem Mainboardtausch erstellt wurde. Ich frage mich allerdings, wo das alte Zertifikat geblieben ist?
Ich habe leider kein Wiederherstellungszertifikat in meinen backups gefunden (Ja, dumm, ich weiß...). Die Frage ist: Komme ich an die entsprechenden Zertifikate bzw. Daten wieder ran oder ist der Drops gelutscht?
Vielen Dank vorab!
Gruß
Stefan
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2951176070
Url: https://administrator.de/forum/nach-mainboardtausch-zugriff-auf-efs-verschluesselte-daten-nicht-moeglich-2951176070.html
Ausgedruckt am: 26.03.2025 um 11:03 Uhr
3 Kommentare
Neuester Kommentar
Hallo,
https://tinyapps.org/docs/decrypt-efs-without-cert-backup.html
https://answers.microsoft.com/en-us/windows/forum/all/can-i-recover-encr ...
Aber Ohne Zertifikat usw. bleiben EFS Dateien verschlüsselt, es gibt kein weg drum herum. dafür wurde EFS ja gebaut
Vielleicht ist deine Datensicherung eine bessere Option.
https://docs.microsoft.com/en-us/windows/security/information-protection ...
https://www.pcreview.co.uk/threads/is-it-possible-to-decrypt-efs-files-w ...
https://www.windowsphoneinfo.com/threads/can-i-recover-encrypted-files-w ...
https://superuser.com/questions/1543877/decrypting-efs-encrypted-files-o ...
https://www.repairwin.com/how-to-decrypt-efs-encrypted-files-and-remove- ...
http://etutorials.org/Microsoft+Products/windows+server+hack/Chapter+10 ...
https://techcult.com/back-up-your-efs-certificate-and-key-in-windows-10/
https://community.spiceworks.com/topic/2328825-recover-encrypted-files
https://stackoverflow.com/questions/17410253/how-to-decrypt-files-withou ...
https://superuser.com/questions/668122/getting-the-efs-private-key-out-o ...
https://security.stackexchange.com/questions/46915/how-to-recover-efs-ce ...
https://social.technet.microsoft.com/Forums/en-US/0e2af3ce-d843-45e3-a02 ...
https://www.tenforums.com/tutorials/77225-backup-encrypting-file-system- ...
https://flylib.com/books/en/2.922.1.145/1/
For the computer account, certificates are indeed stored in the registry, in the keys detailed above. The corresponding private keys are stored encrypted in C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys and similarly for the others.
https://www.michev.info/Blog/Post/1435/windows-certificate-stores
https://www.serverbrain.org/certificate-security-2003/how-windows-choose ...
http://www.idc-online.com/technical_references/pdfs/information_technol ...
P.S. Selbst Regierungen suchen nach möglichkeiten EFS zu knacken. In z.B. 50 Jahren /oder mehr) kann dies dann Möglich sein, kann aber auch schon nächstes Jahr passieren (Quanten Computer usw.).
Gruß,
Peter
Zitat von @stefan1:
Unter Win10 habe ich einzelne Ordner und Dateien verschlüsselt (EFS). ..Ich frage mich allerdings, wo das alte Zertifikat geblieben ist?
https://www.top-password.com/blog/backup-or-export-efs-certificate-in-wi ...Unter Win10 habe ich einzelne Ordner und Dateien verschlüsselt (EFS). ..Ich frage mich allerdings, wo das alte Zertifikat geblieben ist?
https://tinyapps.org/docs/decrypt-efs-without-cert-backup.html
https://answers.microsoft.com/en-us/windows/forum/all/can-i-recover-encr ...
Aber Ohne Zertifikat usw. bleiben EFS Dateien verschlüsselt, es gibt kein weg drum herum. dafür wurde EFS ja gebaut
Vielleicht ist deine Datensicherung eine bessere Option.https://docs.microsoft.com/en-us/windows/security/information-protection ...
https://www.pcreview.co.uk/threads/is-it-possible-to-decrypt-efs-files-w ...
https://www.windowsphoneinfo.com/threads/can-i-recover-encrypted-files-w ...
https://superuser.com/questions/1543877/decrypting-efs-encrypted-files-o ...
https://www.repairwin.com/how-to-decrypt-efs-encrypted-files-and-remove- ...
http://etutorials.org/Microsoft+Products/windows+server+hack/Chapter+10 ...
https://techcult.com/back-up-your-efs-certificate-and-key-in-windows-10/
https://community.spiceworks.com/topic/2328825-recover-encrypted-files
https://stackoverflow.com/questions/17410253/how-to-decrypt-files-withou ...
https://superuser.com/questions/668122/getting-the-efs-private-key-out-o ...
https://security.stackexchange.com/questions/46915/how-to-recover-efs-ce ...
https://social.technet.microsoft.com/Forums/en-US/0e2af3ce-d843-45e3-a02 ...
https://www.tenforums.com/tutorials/77225-backup-encrypting-file-system- ...
https://flylib.com/books/en/2.922.1.145/1/
For the computer account, certificates are indeed stored in the registry, in the keys detailed above. The corresponding private keys are stored encrypted in C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys and similarly for the others.
https://www.michev.info/Blog/Post/1435/windows-certificate-stores
https://www.serverbrain.org/certificate-security-2003/how-windows-choose ...
http://www.idc-online.com/technical_references/pdfs/information_technol ...
P.S. Selbst Regierungen suchen nach möglichkeiten EFS zu knacken. In z.B. 50 Jahren /oder mehr) kann dies dann Möglich sein, kann aber auch schon nächstes Jahr passieren (Quanten Computer usw.).
Gruß,
Peter
Moin,
vielleicht als mögliches Vorgehen:
Bin da u. a. über diesen Thread drüber gestolpert:
https://answers.microsoft.com/de-de/windows/forum/all/efs-wiederherstell ...
vielleicht als mögliches Vorgehen:
- Erstelle ein Image der bisherigen SSD/ m2
- anschließend mal einen Wiederherstellungspunkt VOR dem Mainboardtausch laden/ aktivieren.
- Im Zertifikatsspeicher nach dem passenden Zertifikat suchen und ex exportieren/ vorher prüfen, ob du auf deinen EFS-Content zugreifen kannst.
Bin da u. a. über diesen Thread drüber gestolpert:
https://answers.microsoft.com/de-de/windows/forum/all/efs-wiederherstell ...
Vielen Dank für eure Tipps und die vielen Links!
War schon dabei, die Mimikatz-Lösung auszuprobieren. Dann musste ich aus Zeitgründen schnell ein neues System aufsetzen auf einer ganz frischen, neuen (!) SSD. Jetzt kommt der Knaller, glaubt mir wahrscheinlich niemand:
EFS-verschlüsselte Dateien in meinen backups wurden geöffnet, keine "Zugriff verweigert"-Meldung, NICHTS! Vorher, mit dem alten System, dem Benutzer, der die Daten ursprünglich verschlüsselt hat, gabs ne entsprechende Fehlermeldung. Das hat zwar nicht bei allen Daten geklappt, aber die wesentlichen sind wieder da, sprich, entschlüsselt.
Wie kann das sein?? Egal, hinten kackt die Ente. Mein Vertrauen in EFS ist damit jdf. nicht gestärkt worden. Werde jetzt andere Wege gehen.
Danke nochmal!
Stefan
War schon dabei, die Mimikatz-Lösung auszuprobieren. Dann musste ich aus Zeitgründen schnell ein neues System aufsetzen auf einer ganz frischen, neuen (!) SSD. Jetzt kommt der Knaller, glaubt mir wahrscheinlich niemand:
EFS-verschlüsselte Dateien in meinen backups wurden geöffnet, keine "Zugriff verweigert"-Meldung, NICHTS! Vorher, mit dem alten System, dem Benutzer, der die Daten ursprünglich verschlüsselt hat, gabs ne entsprechende Fehlermeldung. Das hat zwar nicht bei allen Daten geklappt, aber die wesentlichen sind wieder da, sprich, entschlüsselt.
Wie kann das sein?? Egal, hinten kackt die Ente. Mein Vertrauen in EFS ist damit jdf. nicht gestärkt worden. Werde jetzt andere Wege gehen.
Danke nochmal!
Stefan
