hannsgmaulwurf
Goto Top

Verschlüsselte Dateien auf Windows Freigabe

Hallo zusammen.

Habe hier eine Windows Domäne (2008) mit Fileserver und paar Usern und Freigaben.

Nun ist aufgefallen, dass in einigen Unterordnern der Freigaben Daten verschlüsselt sind. Sie wurden ganz offensichtlich ohne absichtliches Zutun der AD User verschlüsselt. Also die User wissen natürlich von nichts. Client Rechner sind Win7 + Win10, wobei die verschlüsselten Dateien wohl alle schon etwas älter sind, sodass es wohl Windows 7 System waren, als die Verschlüsselung vorgenommen wurde.

Wie kann es denn passieren, dass die Dateien von den Usern verschlüsselt werden, ohne dass sie das absichtlich machen?

Und: Wenn man sich mit dem jeweiligen Nutzer mit der Freigabe verbindet, kann man die Dateien woanders hin kopieren und dort sind sie dann nicht mehr verschlüsselt. Kann man die Dateien auch irgendwie als Domainadmin wiederherstellen? Der Admin ist ja da auch für die Wiederherstellung eingetragen.

2018-06-18_17h07_35

Content-ID: 377420

Url: https://administrator.de/contentid/377420

Ausgedruckt am: 24.11.2024 um 11:11 Uhr

Spirit-of-Eli
Spirit-of-Eli 18.06.2018 um 17:17:48 Uhr
Goto Top
Das ist recht simpel.
Der Key liegt in der AD, daher sind auch noch keine Probleme aufgefallen.

Zudem ist die Funktion ja durch einen Klick aktivierbar, mehr braucht der User ja nicht zu tun.
hannsgmaulwurf
hannsgmaulwurf 18.06.2018 um 17:21:18 Uhr
Goto Top
Wie genau ist das denn per One Click aktivierbar? Tastenkombo? Das würde mich ja mal interessieren. Also die User werden ja kaum Rechtsklick -> Erweitert -> ..... gemacht haben.

Ja bisher sind keine Probleme aufgefallen, nun ist es aber hoch gekommen weil diese Dateien via Domainadmin woanders hin kopiert werden sollten und das ging nicht.
emeriks
emeriks 18.06.2018 aktualisiert um 17:33:02 Uhr
Goto Top
Hi,
Zitat von @Spirit-of-Eli:
Der Key liegt in der AD, daher sind auch noch keine Probleme aufgefallen.
Aber auch nur, wenn man eine eigene CA betreibt. Die "self signed" Zertifikate für EFS landen dort nicht. Diese sind im Benutzerprofil gespeichert.
Meines Wissens ...

Zitat von @hannsgmaulwurf:
Sie wurden ganz offensichtlich ohne absichtliches Zutun der AD User verschlüsselt. Also die User wissen natürlich von nichts.
Wie kann es denn passieren, dass die Dateien von den Usern verschlüsselt werden, ohne dass sie das absichtlich machen?
Wenn dem so ist, dann muss es ein Script gewesen sein. Von allein (Zauberhand) kommt das nicht. Es kann auch sein, dass am übergeordneten Ordner das Flag "verschlüsseln" aktiviert ist oder mal war.

Und: Wenn man sich mit dem jeweiligen Nutzer mit der Freigabe verbindet, kann man die Dateien woanders hin kopieren und dort sind sie dann nicht mehr verschlüsselt.
Weil der neue Zielordner nicht das oben erwähnte Flag gesetzt hat.

Kann man die Dateien auch irgendwie als Domainadmin wiederherstellen? Der Admin ist ja da auch für die Wiederherstellung eingetragen.
Ja. Standardmäßig DER Administrator der Domäne. Einfach die Ordner und/oder Dateien anklicken, --> Eigenschaften und entschlüsseln oder per Kommandozeile mit CIPHER.

E.
hannsgmaulwurf
hannsgmaulwurf 18.06.2018 um 18:03:28 Uhr
Goto Top
Zitat von @emeriks:
Ja. Standardmäßig DER Administrator der Domäne. Einfach die Ordner und/oder Dateien anklicken, --> Eigenschaften und entschlüsseln oder per Kommandozeile mit CIPHER.

Eben das geht beides nicht. Kommt immer Zugriff verweigert, obwohl ich als Domain Admin am Fileserver angemeldet bin.
Pjordorf
Pjordorf 18.06.2018 um 19:26:12 Uhr
Goto Top
Hallo,

Zitat von @hannsgmaulwurf:
Kommt immer Zugriff verweigert, obwohl ich als Domain Admin am Fileserver angemeldet bin.
Auch als Domänen Admin hast du nicht automatisch auf alles Zugriff. Schau dir mal die NTFS Rechte dort an.

Gruß,
Peter
emeriks
emeriks 19.06.2018 um 08:19:50 Uhr
Goto Top
Eben das geht beides nicht. Kommt immer Zugriff verweigert, obwohl ich als Domain Admin am Fileserver angemeldet bin.
Entweder wie @Pjordorf schreibt: NTFS-Rechte.
Oder der Recovery Agent wurde geändert.

Data Recovery and Encrypting File System
emeriks
emeriks 19.06.2018 um 08:30:33 Uhr
Goto Top
Plan B:
Erstelle ein Login-Script, welches die Dateien entschlüsselt und welches bei Anmeldung der Benutzer ausgeführt wird. Dieses musst Du nur ein paar Tage wirken lassen, bis sich alle Benutzer min. einmal im Netz angemeldet haben.
hannsgmaulwurf
hannsgmaulwurf 21.06.2018 um 09:50:23 Uhr
Goto Top
Hallo und Danke für eure Antworten und Ideen!!!

NTFS Rechte: Ich habe schon auf die betroffenen Verzeichnisse, Unterverz. und Dateien die Rechte angepasst (Domainadmin VZ) und sogar den Domainadmin als Besitzer eingetragen, nützt aber alles nichts.

Recovery Agent: Dachte ich komme drum herum, mich lang und breit in das Thema einzulesen, und kann die Daten einfach irgendwie mit dem Domainadmin entschlüsseln.

Login-Script: Das ist gar keine verkehrte Idee. Allerdings Könnte man das Skript nicht global für alle User anwenden und nicht auf oberster Freigabe-/Verzeichnisebene, das würde den Rahmen sprengen. Aber man könnte auf dem Server in regelmäßigen Abständen Verzeichnisse und Dateien mit Attribut "e" suchen, den Besitzer (=Verschlüsselnder?) auslesen und damit dann weiter arbeiten. Oder halt manuell nach solchen Dateien suchen und den Usern dann manuell ein entspr. Loginskript zuweisen...
Spirit-of-Eli
Spirit-of-Eli 21.06.2018 um 09:56:42 Uhr
Goto Top
Was spricht denn nun gegen die Option ein decryption Script per GPO auszurollen?
Pjordorf
Pjordorf 21.06.2018 um 11:26:57 Uhr
Goto Top
Hallo,

Zitat von @hannsgmaulwurf:
Rechte angepasst (Domainadmin VZ)
VZ ist mir nicht geläufig. Was soll mir ein Domänenadministrator VZ also sagen?

Allerdings Könnte man das Skript nicht global für alle User anwenden und nicht auf oberster Freigabe-/Verzeichnisebene, das würde den Rahmen sprengen.
Was hindert dich es dort einzusetzen wo du es brauchst?

Gruß,
Peter
hannsgmaulwurf
hannsgmaulwurf 27.06.2018 um 08:02:02 Uhr
Goto Top
VZ = Vollzugriff