seitek
Goto Top

Verschlüsselte Datei auf Netzlaufwerk

Hallo zusammen,
wir haben bei uns gerade das Problem, dass eine Datei, sowie ein Ordner verschlüsselt sind. Natürlich weiß niemand wer diesen Ordner, oder Dateien verschlüsselt hat.
Wie auf dem Bild zu sehen, wird leider auch kein Nutzer mit Zugriff auf die Datei angezeigt. Auch ein Besitzer kann von Windows nicht ermittelt werden.

Besteht noch die Möglichkeit diese Daten wieder zu entschlüsseln? mit Administratorberechtigungen komme ich leider nicht weiter.

Es handelt sich dabei um eine Datei und einen Ordner in einem anderen Verzeichnis. Beide Dateien liegen auf einem Netzwerklaufwerk. Der Ersteller war kein Administrator.

Falls ich wichtige Infos vergessen habe, lasst es mich gerne wissen.

Vielen Dank für eure Hilfe.
verschluesselte_datei

Content-Key: 5920253716

Url: https://administrator.de/contentid/5920253716

Printed on: February 23, 2024 at 05:02 o'clock

Mitglied: 2423392070
2423392070 Feb 09, 2023 at 09:58:04 (UTC)
Goto Top
Backup?
Ansonsten schrillen mir die Alarmglocken.
Member: Seitek
Seitek Feb 09, 2023 at 10:01:04 (UTC)
Goto Top
Ja, es gibt ein Backup. Leider wurde die Datei das letzte mal 2020 angefasst. So lange werden Die Backups nicht gespeichert. (Verschlüsselt mit gesichert.)
Member: Lochkartenstanzer
Lochkartenstanzer Feb 09, 2023 updated at 10:05:34 (UTC)
Goto Top
Moin,

ich sehe da nur eine Möglichkeit: Die Lehrer müssen sich hinsetzen und die Klassenarbeit neu schreiben. face-smile

lks

PS: Und man sollte sich die Sicherheitsinfrastruktur auf dem System mal anschauen. (Alte Nuzter deaktivieren, Paßwörter ändern, etc.)
Mitglied: 5175293307
5175293307 Feb 09, 2023 updated at 10:17:36 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
ich sehe da nur eine Möglichkeit: Die Lehrer müssen sich hinsetzen und die Klassenarbeit neu schreiben. face-smile
OMG, das kannst du denen nicht zumuten, da müssten sie ja "Arbeiten", ob sie das so schnell hinbekommen 🤪.

Rundmail an alle Lehrer: "Wer war das? Bitte melden sonst, Kaffeeentzug für alle für 5 Jahre..."

Bist du denn überhaupt sicher daß es NTFS Verschlüsselt ist und nicht Ransomware dahinter steckt? Wenn ja dann extrahier doch mal den öffentlichen Schlüssel für mehr Infos zur Person
https://ss64.com/nt/cipher.html
Mitglied: 2423392070
2423392070 Feb 09, 2023 at 10:17:05 (UTC)
Goto Top
Ist es denn überhaupt ein PDF oder war es Mal?
Member: Seitek
Seitek Feb 09, 2023 at 12:01:25 (UTC)
Goto Top
Danke für die Hilfe. Habe in einem Backup noch eine unverschlüsselte Datei gefunden.

Danke an @5175293307 für die Info. Den Verdacht hatte ich auch schon. Wobei es doch sehr komisch ist, dass nur diese eine/zwei Dateien davon betroffen sind.

Viele Grüße.
Member: anteNope
Solution anteNope Feb 09, 2023 at 12:41:57 (UTC)
Goto Top
Wenn Domäne vorhanden, kannst du via GPO die Verschlüsselung durch Benutzer verbieten. Das passiert manchmal unbeabsichtigt oder auch mit voller Absicht. Einfach die NTFS-Verschlüsselung verbieten und gut ist.

Ich hatte das nämlich bei einem Kunden auch mal. Da kann man nur noch die Entschlüsselung pro Benutzer durchlaufen lassen bis alles entschlüsselt ist. Richtig blöd wird es nur wenn es den Benutzer nicht mehr gibt 😅
Member: Lochkartenstanzer
Lochkartenstanzer Feb 09, 2023 at 13:52:13 (UTC)
Goto Top
Zitat von @anteNope:

Richtig blöd wird es nur wenn es den Benutzer nicht mehr gibt 😅

Deswegen löscht man Benutzer i.d.R. nicht, sondern deaktiviert sie nur. face-smile

lks
Member: Seitek
Seitek Feb 09, 2023 at 13:58:36 (UTC)
Goto Top
Zitat von @anteNope:

Wenn Domäne vorhanden, kannst du via GPO die Verschlüsselung durch Benutzer verbieten. Das passiert manchmal unbeabsichtigt oder auch mit voller Absicht. Einfach die NTFS-Verschlüsselung verbieten und gut ist.

Ich hatte das nämlich bei einem Kunden auch mal. Da kann man nur noch die Entschlüsselung pro Benutzer durchlaufen lassen bis alles entschlüsselt ist. Richtig blöd wird es nur wenn es den Benutzer nicht mehr gibt 😅

Danke für den Tipp. Das werde ich berücksichtigen.
Member: anteNope
anteNope Feb 10, 2023 at 08:30:42 (UTC)
Goto Top
Zitat von @Seitek:
Danke für den Tipp. Das werde ich berücksichtigen.

Also man kann sich ein Skript bauen, was einfach das gesamte Laufwerk auf dem Server durchgeht und entschlüsselt was verschlüsselt ist. Am einfachsten ist es, dies als "ausführen als" im Server direkt laufen zu lassen. Einmal pro Benutzer und dann sollte alles entschlüsselt sein. Leider habe ich das Skript nicht mehr und das ist locker ~5 Jahre her ...

Hier die Einstellungen für die GPO:
clipboard01
Member: TwistedAir
TwistedAir Feb 11, 2023 at 11:38:54 (UTC)
Goto Top
Moin,

der Thread ist ja schon gelöst, der TO dank eines vorhandenen Backups glücklich. face-smile

Rein Interesse halber: heute Morgen bin ich durch Zufall über das Sysinternals-Tool "EFSDump" https://learn.microsoft.com/en-us/sysinternals/downloads/efsdump gestolpert. Hätte dieses dem TO geholfen den Verursacher zu ermitteln, um dann wie von @anteNope vorgeschlagen zu entschlüsseln? Nur, dass dann nicht alle Benutzer durchprobiert werden müssten...

Gruß
TA
Member: anteNope
anteNope Feb 13, 2023 at 11:12:12 (UTC)
Goto Top
Zitat von @TwistedAir:
https://learn.microsoft.com/en-us/sysinternals/downloads/efsdump gestolpert. Hätte dieses dem TO geholfen den Verursacher zu ermitteln

Durchaus interessant. Bei uns lagen die überall verstreut auf dem abzuschaffenden Server. Wir hatten damals einfach die Brechstange genutzt 😅
Mitglied: 5175293307
5175293307 Feb 13, 2023 at 11:53:15 (UTC)
Goto Top
Cipher kann es auch mit Bordmitteln:
cipher /c test.txt
Mitglied: 3063370895
3063370895 Feb 13, 2023 at 11:59:06 (UTC)
Goto Top
Zitat von @5175293307:

Cipher kann es auch mit Bordmitteln:
cipher /c test.txt

Was ist denn mit Wurstel passiert
Member: StefanKittel
StefanKittel Feb 27, 2023 at 13:01:29 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
Deswegen löscht man Benutzer i.d.R. nicht, sondern deaktiviert sie nur. face-smile
Mache ich auch so.

Wobei es aus Datenschutz sicht nicht erlaubt ist.
Laut Datenschutzfraggle müssen alte Benutzer Accounts und Profile gelöscht werden.
Die Profile dürfen auch nicht archiviert werden. Könnte ja privates bei sein face-wink

Stefan
Member: Lochkartenstanzer
Lochkartenstanzer Feb 27, 2023 at 15:01:31 (UTC)
Goto Top
Zitat von @StefanKittel:

Zitat von @Lochkartenstanzer:
Deswegen löscht man Benutzer i.d.R. nicht, sondern deaktiviert sie nur. face-smile
Mache ich auch so.

Wobei es aus Datenschutz sicht nicht erlaubt ist.
Laut Datenschutzfraggle müssen alte Benutzer Accounts und Profile gelöscht werden.
Die Profile dürfen auch nicht archiviert werden. Könnte ja privates bei sein face-wink

Laut GODB mußt Du das alles aber aufheben. face-smile

lks
Member: StefanKittel
StefanKittel Feb 27, 2023 at 15:55:49 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
Laut GODB mußt Du das alles aber aufheben. face-smile
Und auch laut GODB musst Du bestimmte Dinge, abgelehnte Bewerbungen und ausgeschiedene Mitarbeiter, sofort löschen.
Der Verantwortliche ist eh Schuld. Egal ob A oder B.
Mitglied: 2423392070
2423392070 Feb 27, 2023 at 16:03:01 (UTC)
Goto Top
Die GODB regelt die Datensparsamkeit?
Das zum Montag?