11
Verschlüsselte Dateien auf Windows Freigabe
Hallo zusammen.
Habe hier eine Windows Domäne (2008) mit Fileserver und paar Usern und Freigaben.
Nun ist aufgefallen, dass in einigen Unterordnern der Freigaben Daten verschlüsselt sind. Sie wurden ganz offensichtlich ohne absichtliches Zutun der AD User verschlüsselt. Also die User wissen natürlich von nichts. Client Rechner sind Win7 + Win10, wobei die verschlüsselten Dateien wohl alle schon etwas älter sind, sodass es wohl Windows 7 System waren, als die Verschlüsselung vorgenommen wurde.
Wie kann es denn passieren, dass die Dateien von den Usern verschlüsselt werden, ohne dass sie das absichtlich machen?
Und: Wenn man sich mit dem jeweiligen Nutzer mit der Freigabe verbindet, kann man die Dateien woanders hin kopieren und dort sind sie dann nicht mehr verschlüsselt. Kann man die Dateien auch irgendwie als Domainadmin wiederherstellen? Der Admin ist ja da auch für die Wiederherstellung eingetragen.
Habe hier eine Windows Domäne (2008) mit Fileserver und paar Usern und Freigaben.
Nun ist aufgefallen, dass in einigen Unterordnern der Freigaben Daten verschlüsselt sind. Sie wurden ganz offensichtlich ohne absichtliches Zutun der AD User verschlüsselt. Also die User wissen natürlich von nichts. Client Rechner sind Win7 + Win10, wobei die verschlüsselten Dateien wohl alle schon etwas älter sind, sodass es wohl Windows 7 System waren, als die Verschlüsselung vorgenommen wurde.
Wie kann es denn passieren, dass die Dateien von den Usern verschlüsselt werden, ohne dass sie das absichtlich machen?
Und: Wenn man sich mit dem jeweiligen Nutzer mit der Freigabe verbindet, kann man die Dateien woanders hin kopieren und dort sind sie dann nicht mehr verschlüsselt. Kann man die Dateien auch irgendwie als Domainadmin wiederherstellen? Der Admin ist ja da auch für die Wiederherstellung eingetragen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 377420
Url: https://administrator.de/contentid/377420
Ausgedruckt am: 04.11.2024 um 22:11 Uhr
11 Kommentare
Neuester Kommentar
Das ist recht simpel.
Der Key liegt in der AD, daher sind auch noch keine Probleme aufgefallen.
Zudem ist die Funktion ja durch einen Klick aktivierbar, mehr braucht der User ja nicht zu tun.
Der Key liegt in der AD, daher sind auch noch keine Probleme aufgefallen.
Zudem ist die Funktion ja durch einen Klick aktivierbar, mehr braucht der User ja nicht zu tun.
Wie genau ist das denn per One Click aktivierbar? Tastenkombo? Das würde mich ja mal interessieren. Also die User werden ja kaum Rechtsklick -> Erweitert -> ..... gemacht haben.
Ja bisher sind keine Probleme aufgefallen, nun ist es aber hoch gekommen weil diese Dateien via Domainadmin woanders hin kopiert werden sollten und das ging nicht.
Ja bisher sind keine Probleme aufgefallen, nun ist es aber hoch gekommen weil diese Dateien via Domainadmin woanders hin kopiert werden sollten und das ging nicht.
Hi,
Aber auch nur, wenn man eine eigene CA betreibt. Die "self signed" Zertifikate für EFS landen dort nicht. Diese sind im Benutzerprofil gespeichert.
Meines Wissens ...
E.
Aber auch nur, wenn man eine eigene CA betreibt. Die "self signed" Zertifikate für EFS landen dort nicht. Diese sind im Benutzerprofil gespeichert.
Meines Wissens ...
Zitat von @hannsgmaulwurf:
Sie wurden ganz offensichtlich ohne absichtliches Zutun der AD User verschlüsselt. Also die User wissen natürlich von nichts.
Wie kann es denn passieren, dass die Dateien von den Usern verschlüsselt werden, ohne dass sie das absichtlich machen?
Wenn dem so ist, dann muss es ein Script gewesen sein. Von allein (Zauberhand) kommt das nicht. Es kann auch sein, dass am übergeordneten Ordner das Flag "verschlüsseln" aktiviert ist oder mal war.Sie wurden ganz offensichtlich ohne absichtliches Zutun der AD User verschlüsselt. Also die User wissen natürlich von nichts.
Wie kann es denn passieren, dass die Dateien von den Usern verschlüsselt werden, ohne dass sie das absichtlich machen?
Und: Wenn man sich mit dem jeweiligen Nutzer mit der Freigabe verbindet, kann man die Dateien woanders hin kopieren und dort sind sie dann nicht mehr verschlüsselt.
Weil der neue Zielordner nicht das oben erwähnte Flag gesetzt hat.Kann man die Dateien auch irgendwie als Domainadmin wiederherstellen? Der Admin ist ja da auch für die Wiederherstellung eingetragen.
Ja. Standardmäßig DER Administrator der Domäne. Einfach die Ordner und/oder Dateien anklicken, --> Eigenschaften und entschlüsseln oder per Kommandozeile mit CIPHER.E.
1Zitat von @emeriks:
Ja. Standardmäßig DER Administrator der Domäne. Einfach die Ordner und/oder Dateien anklicken, --> Eigenschaften und entschlüsseln oder per Kommandozeile mit CIPHER.
Ja. Standardmäßig DER Administrator der Domäne. Einfach die Ordner und/oder Dateien anklicken, --> Eigenschaften und entschlüsseln oder per Kommandozeile mit CIPHER.
Eben das geht beides nicht. Kommt immer Zugriff verweigert, obwohl ich als Domain Admin am Fileserver angemeldet bin.
Hallo,
Gruß,
Peter
Zitat von @hannsgmaulwurf:
Kommt immer Zugriff verweigert, obwohl ich als Domain Admin am Fileserver angemeldet bin.
Auch als Domänen Admin hast du nicht automatisch auf alles Zugriff. Schau dir mal die NTFS Rechte dort an.Kommt immer Zugriff verweigert, obwohl ich als Domain Admin am Fileserver angemeldet bin.
Gruß,
Peter
Eben das geht beides nicht. Kommt immer Zugriff verweigert, obwohl ich als Domain Admin am Fileserver angemeldet bin.
Entweder wie @Pjordorf schreibt: NTFS-Rechte.Oder der Recovery Agent wurde geändert.
Data Recovery and Encrypting File System
Plan B:
Erstelle ein Login-Script, welches die Dateien entschlüsselt und welches bei Anmeldung der Benutzer ausgeführt wird. Dieses musst Du nur ein paar Tage wirken lassen, bis sich alle Benutzer min. einmal im Netz angemeldet haben.
Erstelle ein Login-Script, welches die Dateien entschlüsselt und welches bei Anmeldung der Benutzer ausgeführt wird. Dieses musst Du nur ein paar Tage wirken lassen, bis sich alle Benutzer min. einmal im Netz angemeldet haben.
Hallo und Danke für eure Antworten und Ideen!!!
NTFS Rechte: Ich habe schon auf die betroffenen Verzeichnisse, Unterverz. und Dateien die Rechte angepasst (Domainadmin VZ) und sogar den Domainadmin als Besitzer eingetragen, nützt aber alles nichts.
Recovery Agent: Dachte ich komme drum herum, mich lang und breit in das Thema einzulesen, und kann die Daten einfach irgendwie mit dem Domainadmin entschlüsseln.
Login-Script: Das ist gar keine verkehrte Idee. Allerdings Könnte man das Skript nicht global für alle User anwenden und nicht auf oberster Freigabe-/Verzeichnisebene, das würde den Rahmen sprengen. Aber man könnte auf dem Server in regelmäßigen Abständen Verzeichnisse und Dateien mit Attribut "e" suchen, den Besitzer (=Verschlüsselnder?) auslesen und damit dann weiter arbeiten. Oder halt manuell nach solchen Dateien suchen und den Usern dann manuell ein entspr. Loginskript zuweisen...
NTFS Rechte: Ich habe schon auf die betroffenen Verzeichnisse, Unterverz. und Dateien die Rechte angepasst (Domainadmin VZ) und sogar den Domainadmin als Besitzer eingetragen, nützt aber alles nichts.
Recovery Agent: Dachte ich komme drum herum, mich lang und breit in das Thema einzulesen, und kann die Daten einfach irgendwie mit dem Domainadmin entschlüsseln.
Login-Script: Das ist gar keine verkehrte Idee. Allerdings Könnte man das Skript nicht global für alle User anwenden und nicht auf oberster Freigabe-/Verzeichnisebene, das würde den Rahmen sprengen. Aber man könnte auf dem Server in regelmäßigen Abständen Verzeichnisse und Dateien mit Attribut "e" suchen, den Besitzer (=Verschlüsselnder?) auslesen und damit dann weiter arbeiten. Oder halt manuell nach solchen Dateien suchen und den Usern dann manuell ein entspr. Loginskript zuweisen...
Was spricht denn nun gegen die Option ein decryption Script per GPO auszurollen?
Hallo,
VZ ist mir nicht geläufig. Was soll mir ein Domänenadministrator VZ also sagen?
Gruß,
Peter
VZ ist mir nicht geläufig. Was soll mir ein Domänenadministrator VZ also sagen?
Allerdings Könnte man das Skript nicht global für alle User anwenden und nicht auf oberster Freigabe-/Verzeichnisebene, das würde den Rahmen sprengen.
Was hindert dich es dort einzusetzen wo du es brauchst?Gruß,
Peter
VZ = Vollzugriff
