Windows XP MediaCenter Verschlüsselung nach Formatierung?

[Chrisstman]

Windows XP MediaCenter Verschlüsselung nach Formatierung?

Hi!
Also ich hab jetzt nen Rechner für nen Freund formatiert. Aber hab bei der Siecherung der Dateien übersehen, dass einige verschlüsselt (grüne Schrift)waren. Jetzt hab ich Windows neu installiert und kann die Backups jetzt nichtmehr wiederherstellen. Und die Verschlüsselung kann ich jetzt auch nichtmehr aufheben. Dann sagt der immer kein Zugriff.
Wie kann ich das wieder hinbekommen?
MfG Chrisstman

 

[Weird_Sheep]

AW: Windows XP MediaCenter Verschlüsselung nach Formatierung?

Hi!
Also ich hab jetzt nen Rechner für nen Freund formatiert. Aber hab bei der Siecherung der Dateien übersehen, dass einige verschlüsselt (grüne Schrift)waren. Jetzt hab ich Windows neu installiert und kann die Backups jetzt nichtmehr wiederherstellen. Und die Verschlüsselung kann ich jetzt auch nichtmehr aufheben. Dann sagt der immer kein Zugriff.
Wie kann ich das wieder hinbekommen?
MfG Chrisstman

Es könnte sein, dass es schon ausreicht, dass nach der Neuinstallation wieder ein Benutzer erstellt wird, der dem des alten Rechners entspricht.
So was in der Art habe ich mal gelesen, da der Schlüssel irgendwie aus einer Mischung von Hardwareinformation und Benutzer bestehen soll.

[edit]
Das hilft wohl doch nicht, man hätte den Schlüssel entweder sichern müssen, oder aber einen Rettungsaccount anlegen müssen.

http://www.wintotal.de/Artikel/efs/efs.php

 

[Ra-Tiel]

AW: Windows XP MediaCenter Verschlüsselung nach Formatierung?

Wie Weird_Sheep schon korrekt bemerkt hatte kannst du das knicken.

Als Ergänzung am Rande allerdings eine Erklärung dazu. Bei Windows und EFS läuft die Sache nicht so einfach wie man es sich vielleicht vorstellt (wer hätte es gedacht? ).

Windows verwaltet Benutzer nicht nach Name, sondern nach dem SID, "Security Identifier". Der SID ist ein alphanumerischer String der einen Benutzer oder eine Gruppe identifiziert und zur Rechteverwaltung und Anmeldung gebraucht wird. Der Algorithmus der den SID erzeugt, ist so konstruiert dass keine SID 2x vergeben wird. Soll heißen, selbst wenn du sämtliche Daten bei der Erzeugung des neuen Benutzers identisch hättest, würdest du nicht den gleichen SID herausbekommen.

Daraus ergibt sich dein Dilemma. Da Windows Benutzer nicht nach Name verwaltet, und EFS die Betriebssystemdaten für Benutzer verwendet um die entsprechenden Schlüssel zu generieren, brauchst du den Privaten Schlüssel genau des Benutzeraccounts, der die Daten auch verschlüsselt hat, oder den eines designierten "Recovery Agents". Da unter WinXP allerdings standardmäßig kein Recovery Agent existiert (aus Sicherheitsgründen), sieht es ziemlich düster für die Daten aus.

Und nur so nebenbei: SID sind nicht portabel, dh du kannst sie nicht "einfach" von einem Rechner auf nen anderen kopieren oder sonst wie übertragen. Da das Ausstellen von SIDs auf keinen 2 Rechnern genau gleich abläuft, wird das Betriebssystem den kopierten SID als "fremd" erkennen und nicht akzeptieren. Es gibt die Möglichkeit entsprechende Mapping- oder Appendkonstrukte einzurichten (notwendig wenn man zB Useraccounts von einem Server auf nen anderen verlegt), aber das ist definitiv außerhalb der Reichweite eines normalen Benutzers.

Falls es nicht auf eine 100%ige Integrität der Verschlüsselung ankommt, gibt es folgende Lösung: man kopiert die Daten auf ein Medium welches nicht mit NTFS formatiert ist. EFS benötigt das NTFS-Dateisystem, um die entsprechenden Attribute für verschlüsselte Objekte zu setzen und die Keys einzutragen. Wenn man jetzt verschlüsselte Daten auf ein anderes, zB mit FAT32 formatiertes, Speichermedium kopieren will erkennt Windows dass das Zieldateisystem die EFS-Attribute nicht unterstützt und entschlüsselt die Daten automatisch beim Kopieren. Zumindest in der Theorie... :-o