EFS: Problem mit Schlüssel exportieren

#0
17.12.2004, 01:09
Member

Beiträge: 15
#1 Hi Leute!

Ich hoffe, meine Erläuterungen sind nachvollziehbar. Ich beschäftige mich erst kurz mit dem EFS und vielleicht habe ich auch was nicht so richtig kapiert. Also seht mir nach, wenn ich was mit falschen Begriffen oder verwirrend erkläre - es ist auch schon spät ;-).
Nochwas: Ich habe das ganze auf einem Testsystem ausprobiert. D.h. ich brauche keine Tipps wie ich Daten eventuell retten könnte.



Hier die Frage:
Kann man den Schlüssel für die Dateiwiederherstellung (ich denke, das wird der General-Key des Wiederherstellungsagenten = Administrator-Account sein ) bei den Richtlinien nur 1-mal exportieren und dann NIE mehr wieder?


Folgendes zur Erläuterung (Betriebsystem ist W2000 Professional SP4):

Vorgang_1
Hat man noch nichts mit EFS gemacht, dann schaut es so aus:
Ich öffne mit <secpol.msc> die lokalen Sicherheitseinstellungen und sehe bei <Richtlinien öffentlicher Schlüssel> --> <Agenten für Wiederherstellung von verschlüsselten Daten> einen Eintrag ausgestellt für/von Administrator. Gehe ich dann mit recher Mausklick auf den Eintrag und dann auf <Alle Tasks> --> <Exportieren>, so kann ich im zweiten Fenster auswählen zwischen JA und NEIN (nämlich ob ich den privaten Schlüssel exportieren will).
Soweit so gut - ich breche jetzt ab.

Vorgang_2
Jetzt schaue ich mir <Systemsteuerung> --> <Benutzer und Kennwörter> --> <Erweitert> --> <Zertifikate> an.
Hier sehe ich einen Eintrag zur Dateiwiederherstellung, ausgestellt für/von Administrator.
So, und jetzt will ich diesen Eintrag entfernen, sodaß niemand mehr mit diesem Schlüssel was entschlüsseln kann. Natürlich exportiere und speichere ich ihn für mich.
D.h. ich klicke auf <Exportieren> und nach dem <Weiter> auf <Ja,privaten Schlüssel exportieren>. Und auf der nächsten Seite aktiviere ich <Privaten Schlüssel nach erfolgreichem Export löschen>. Somit speichere ich diesen Schlüssel in eine PFX-Datei.


Somit verschwindet dann der Schlüssel aus dem Zertifikat-Fenster und auch bei den oben beschriebenen Richtlinien (Vorgang_1) ändert sich folgendes (ich glaube ich habe dafür neu booten müssen): Wenn ich die gleichen Schritte wie oben mache (Vorgang_1), dann ist das <ja, priv. Schlüssel exportieren> nicht mehr anwählbar. Ich denka, das ist eh logisch und gewünscht - ich habe ihn ja vorher gelöscht!

So, aber jetzt kommt's:
Irgendwann will ich diesen Schlüssel wieder im System haben. Also installiere ich das früher gespeicherte PFX-File und klicke beim 3.Fenster <Privaten Schlüssel als exportierbar markieren> an. Der Schlüssel wird installiert und scheint auch bei den <Zertifikaten> von Vorgang_2 auf.

ABER:
bei den Richtlinien (Vorgang_1) wird er anscheinend nicht installiert, denn es bleibt (auch nach Neustart) das <ja, priv. Schlüssel exportieren> nicht mehr anwählbar!
Ich schaffe es nicht mehr, den URSPRÜNGLICHEN ZUSTAND, wo ich beide Möglichkeiten (Ja und Nein) auswählen konnte, HERZUSTELLEN.
Es steht auch als Hinweis dort, daß der dazugehörige Schlüssel nicht gefunden wurde.

Und das verstehe ich nicht. Ich habe bei den Richtlinien (Vorgang_1) ja nichts gelöscht, nur bei den Zerifikaten (Vorgang_2). Aber das machte ich ja durch das spätere Installieren wieder rückgängig.


Wie schaffe ich es, daß ich auch wieder bei den Richtlinien (Vorgang_1) den Schlüssel mitexportieren kann?


Danke mal,
Hodi
Seitenanfang Seitenende
19.12.2004, 11:40
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#2 mmh, welch bizarres Vorhaben - zumindest auf den ersten Blick.

mmh, ich glaube, daß das Verhalten so richtig ist. Der Recoveryschlüssel wurde exportiert und gelöscht. Ich kann es leider nicht an meinem PC nachvollziehen, da sich zu Windows XP sehr viele Gutes am EFS geändert hat. Da musst Du beispielsweise den Recoveryagent über die secpol.msc importieren.

Hast Du mal geschaut, ob Du in der Policy das Zertifikat für den RA festlegen kannst. Denn für das System ist er prinzipiell unbekannt bzw. da du das Zertifikat gelöscht hast, gibt es auch keinen RA mehr auf dem System.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
21.12.2004, 22:17
Member

Themenstarter

Beiträge: 15
#3 Ehrlich gesagt, kenn' ich mich nicht besonders gut aus (mit RA, Policy, Zertifikat,...).

Ich wollte eben mit dem EFS herumprobieren. Dazu habe ich vorher meiner Ansicht nach alles gesichert, um danach das System so wiederherzustellen, wie es war. Aber das ging eben nicht.

Ich dachte, wenn ich vorher alles sichere, dann kann ich gefahrlos Herumexperimentieren. Danach stelle ich alles so wiederher, wie es davor war. Naja, und das ging eben nicht - und ich weiß nicht wieso.

Danke trotzdem für deine Antwort.

LG,
Hodi
Seitenanfang Seitenende
24.12.2004, 12:52
Member

Beiträge: 546
#4 @Robert - Verständnisfrage (leicht OT):

Zitat

[..]da sich zu Windows XP sehr viele Gutes am EFS geändert hat. Da musst Du beispielsweise den Recoveryagent über die secpol.msc importieren.
Legt denn XP *standardmäßig* einen RA an? Ich kann das leider nicht antesten, da ich momentan keine XP Installation
besitze. Mich würde interessieren, ob dieser *automatisch* erstellt wird, oder ob der User per 'Cipher' Befehl den RA ins
Leben rufen muß.

Gruß,

Sepia
Seitenanfang Seitenende
25.12.2004, 09:23
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#5 Recoveryagent ist immer der erste Administrator eine Maschine oder einer Domäne.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
25.12.2004, 16:28
Member

Beiträge: 546
#6 OK danke, dann verhält es sich unter XP anscheinend genauso wie unter 2000. Ich war mir diesbezüglich nicht sicher, da man
in bezug auf XP (Einzelplatzrechner) verschiedene Meinungen findet.

Gruß,

Sepia
Seitenanfang Seitenende