EFS Verschlüsselung unter XP Pro und Vista Business

#1 Hallo,

ich hätte da mal ein Frage und zwar hocke ich gerade hier und lese über die EFS Verschlüsselung.

Kann mir bitte einer sagen wie sicher diese unter xp und vista ist? Der Grund warum ich frage ist, dass ich auf das Programm Advanced EFS Data Recovery von der Firma Elcomsoft gestoßen bin, welche behaupten, dass Sie auf die Daten zugreifen können.

Kann mich bitte einer aufklären ob das nun möglich ist oder nicht?

Danke

Gruß
TeleTobi

#2

Zitat

Kann mir bitte einer sagen wie sicher diese unter xp und vista ist?

Unter Einhaltung gewisser Spielregeln gilt EFS unter XP-SP2 und neuer als nicht gebrochen. Denmanch ist EFS
empfehlenswert.

Zitat

Der Grund warum ich frage ist, dass ich auf das Programm Advanced EFS Data Recovery von der Firma Elcomsoft gestoßen bin, welche behaupten, dass Sie auf die Daten zugreifen können.

Die Behauptung stimmt nur bedingt und folgendes gilt pauschal für alle Hersteller sog. "EFS Knack-Programme":
Sie können EFS verschlüsselte Daten rekonstruieren, wenn gewisse Voraussetzungen geschaffen wurden.
Diese resultieren letztendlich daraus, dass das Kennwort des Anwenders bekannt ist, welcher die Daten
verschlüsselt hat. Ist dieser Umstand nicht gegeben, versuchen sie via Brute-Force und Dictionary Attacken an
das gewünschte Ziel zu gelangen. Deshalb ist es elementar wichtig, zum einen ein komplexes Passwort zu wählen
und zum anderen dieses nicht per LM-Hash in die SAM schreiben zu lassen. "NT-LM only" ist existent, also warum sollte
man es nicht nutzen? [1]

Zum Abschluß Zitate aus den Hilfe-Dateien zweier bekannter "EFS Knacker":

Elcomsoft "Advanced EFS Recovery":

Zitat

Zunächst, wenn die Dateien unter Windows XP oder Windows Server 2003 verschlüsselt wurden, müssen Sie das (Anmelde-) Kennwort des Benutzers kennen, der die Dateien verschlüsselt hat, oder das Kennwort des Wiederherstellungsagenten.

Passware "EFS Key":

Zitat

EFS Key retrieves EFS-encrypted files from NTFS partitions. To retrieve the files, the encryption password must be known or SAM database must be present• .

• Anm.: Letzteres unter Windows 2000

Identisches gilt für "Encase" in einer 4er Version.

Meine pers. Meinung dazu: Diese sog. "EFS-Knacker" sind so nützlich wie Eier beim Eunuchen. Wenn ich das
Passwort des Benutzer, welcher Dateien EFS kodiert hat, kenne, brauche ich keinerlei Software um diese Files
wieder zu rekonstruieren.

Nun konkret zu den bereits genannten Spielregeln bei Einsatz von EFS auf einer XP-Workstation (stand-alone
oder in einem gepeerten Netz):

EFS steht und fällt vorrangig mit dem User-Passwort (Login-Passwort). Ist dieses trivial zu erraten oder
zu knacken, ist der Schutz von EFS hinfällig!
Also sollte das Kennwort mindestens den üblichen Komplexitätsanfoderungen entsprechen.[3]

- EFS unter Windows 2000 ist Müll (Nur am Rande bemerkt)
- Ein Home-User braucht keinen Recovery-Agent (wird unter XP sowieso nur optional und auf Wunsch er-
stellt)
- LM-Hashes will man nicht in der SAM speichern! Man will sie gar nicht![1]
- NT-LM existiert und sollte aussschließlich genutzt werden[1]
- Bei Einsatz in einem gepeerten LAN bietet sich außerdem "NTLM V.2" als Authentifizierung dringend an.[2]
- EFS schützt vor der Einsichtnahme so kodierter Dateien, nicht jedoch vor dem Löschen selbiger.

[1] Unter XP-Pro (und neuer) bietet die lokale Sicherheitsrichtlinie den Punkt "Netzwerksicherheit: Keine LAN Manager-
Hashwerte für nächste Kennwortänderung speichern" an. Diese ist zu aktivieren. Fortan werden eben keine
LM-Hashes in der SAM gespeichert, sondern nur noch die bei weitem komplexeren NTLM-Hashes.
Hat auch automatisch den Vorteil, dass die in http://board.protecus.de/t12708.htm genannten Knack-Versuche
in Verbindung mit einem komplexen Passwort wirkungslos sind. Mir ist auch keine Rainbow-Table bekannt, die
komplexe und lange NTLM-Passwörter in 'mix-alpha-numeric-symbol32-space' bricht (> 10 Stellen/Kennwort).
Nochmals: Die Sicherheit von EFS unter XP-Pro (und neuer) ist vom gewählten Kennwort und von der
Art des Hashes abhängig!
Erst an zweiter und zu vernachlässigender Stelle kommen die sog. "EFS-Knack-Programme".

[2]Lokale Sicherheitsrichtlinie "Netzwerksicherheit: LAN Manager-Authentifizierungsebene", hier ist
"Nur NTLMv2-Antworten senden\LM & NTLM verweigern" zu wählen (Jedoch Vorsicht bei gemischten Umgebungen)

[3]http://board.protecus.de/t8643.htm

Sonstige Board-interne EFS relevante Themen:
FAQ EFS: http://board.protecus.de/t21863.htm
und mehrere Hits nach Suchen mit dem Begriff "EFS"

Gruß,

Sepia

Edit: Sollte bei dir die Gefahr bestehen, dass irgendeine Person (Familie, Mitbewohner or whatever) dein Kennwort
mittels Passwort-Rücksetz-Software editiert und gleichzeitig existieren bereits von dir generierte EFS-Dateien auf deinem
Computer, exportiere zwingend dein EFS-Zertifikat als Backup! Sicher ist sicher.

#3 Hallo Sepia,

super genau so eine Antwort mit Begründung habe ich mir gewünscht. Jetzt checke ich es!

Danke für die ausführliche Erklärung!


Gruß
TeleTobi

#4 @ Sepia

Hallo Sepia, wie ist das gemeint mit den Eiern und den Eunuchen...?

"Meine pers. Meinung dazu: Diese sog. "EFS-Knacker" sind so nützlich wie Eier beim Eunuchen. Wenn ich das Passwort des Benutzer, welcher Dateien EFS kodiert hat, kenne, brauche ich keinerlei Software um diese Files wieder zu rekonstruieren."

Da Du Dich hier besonders auskennst, gib mir doch bitte einen Tipp, wie ich wieder zu meinen (verschlüsselten) Dateien komme...

Hab die Registry - dank Norton 360 - zerschossen und kann das System nicht mehr starten. Jetzt habe ich mir auf einer neuen Festplatte ein neues System aufgesetzt und die alte Festplatte mit dem zerschossenen System als Slave mit drangehängt, welche als Laufwerk (F) angezeigt wird.

Auf die unverschlüsselten Dateien kann ich zugreifen, auf die verschlüsselten "grünen" Dateien nicht.

Mein Adminpasswort kenne ich noch, nur wo muss ich das eingeben um die Dateien zu entschlüsseln...?

Ich hoffe Du kannst mir ein bisschen auf die Sprünge helfen und Licht ins Dunkle EFS-System bringen.

Danke einstweilen und Gruss in die Nacht - Tomes

#5 Mahlzeit Tomes!

Ich gehe davon aus, dass dein ehemaliges System tatsächlich abgeraucht ist und du weder in den abgesicherten Modus
gelangst, noch irgendwelche Reparatur Versuche -welcher Art auch immer- die Registrierung und demnach dein PC wieder-
beleben konnten. Weierhin nehme ich an, dass es sich bei der alten Konfiguration um ein Win XP/Vista handelt
und du nicht von Win 2000 sprachst.

Zitat

Mein Adminpasswort kenne ich noch, nur wo muss ich das eingeben um die Dateien zu entschlüsseln...?

Nirgends! Zumindest wird´s nicht innerhalb des neu aufgespielten OS gebraucht. Das aktuelle OS kann keine
EFS kodierten Dateien entschlüsseln, die vormals auf einem anderen (XP/Vista-)Sytem angelegt worden sind
wenn das entsprechende Zertifikat nicht vorhanden ist. Dabei spielt es keine Rolle, ob du auf dem neuen System ein
Konto mit identischem Namen & Passwort erstellt hast oder das Passwort des alten Benutzers kennst!

In diesem konkreten Fall (Passwort bekannt) sollten dir die o.g. EFS-Encrypter helfen. Dies ist m.E. die einzige Möglichkeit
an deine Daten zu gelangen. Ich würde "Advanced EFS Recovery" von Elcomsoft der Passware Variante vorziehen [1].
Eine Testversion dieser Software existiert, probiere sie einfach mal aus.

Du hast im Endeffekt also nur diese zwei Optionen. Entweder du kannst dein altes System reanimieren bzw. reparieren
oder du nutzt das erwähnte Programm um an deine Daten zu kommen.

Viel Glück!

Gruß,

Sepia

[1]http://www.elcomsoft.de/programme/aefsdr.html

#6 Hi Sepia,

ja, Reparaturversuche über die Reparaturkonsole haben nichts gebracht, chkdsk, fixboot oder fixmbr ebenfalls nicht. (ist Win XP Prof.)

Ich komme entweder immer wieder ins Setup, welches dann bei "noch 38 Minuten" stehen bleibt oder mit der F8 Taste ins Startmenü für den abgesicherten Modus.

Da läuft dann erst unten ein weisser Balken (wie beim erwachen aus dem Tiefschlaf) dann erscheint kurz der Startbildschirm von Windows und irgendwann steht in den vier Ecken "abgesicherter Modus" sowie ein weisser Mauszeiger in der Mitte hinter schwarzem Hintergrund.

Also bezüglich wiederbeleben des Systems, sind meine Fähigkeiten erschöpft.

Ich denke auch dass mir wohl nur noch Elcomsoft übrig bleibt - Danke für die Bestätigung daß hier nur noch diese Option zum "Erfolg" führen wird.

Viele Grüße

Tomes

#7 Hallo Leute,

nur der Vollständigkeit halber:

alle meine mit EFS verschlüsselten Daten konnten dank (?!) Elcomsoft entschlüsselt werden.

Bin also überglücklich dass dies relativ einfach zu machen war.

Bedeutet natürlich auch, daß ich mir die Verschlüsselung in Zukunft sparen kann und auch werde. (PC steht nicht mehr im externen "Garagenbüro") sondern bei mir in der Wohnung.

Solltet Ihr also Dateien verschlüsseln wollen, so müsst Ihr den Schlüssel und das Zertifikat extern lagern. Ansonsten sind diese Daten praktisch "unverschlüsselt"

Mit extern gelagertem Schlüssel und Zertifikat ist dann aber der Umgang mit den Dateien m.E. äusserst umständlich.

Danke nochmal - Grüße Tomes

#8

Zitat

alle meine mit EFS verschlüsselten Daten konnten dank (?!) Elcomsoft entschlüsselt werden.Bin also überglücklich[..]

Fein!

Zitat

[..]dass dies relativ einfach zu machen war.

Einfach war es nur deshalb, weil dir das alte Passwort bekannt war.

Zitat

Bedeutet natürlich auch, daß ich mir die Verschlüsselung in Zukunft sparen kann und auch werde.

Warum?

Zitat

Solltet Ihr also Dateien verschlüsseln wollen, so müsst Ihr den Schlüssel und das Zertifikat extern lagern. Ansonsten sind diese Daten praktisch "unverschlüsselt"

Nein. Man sollte ein komplexes NTLM-Passwort verwenden und dementsprechend auf das Speichern
eines LM-Hashes in der SAM zwingend verzichten. Beachtet man dies, ist EFS sicher (XP/Vista).

Zitat

Mit extern gelagertem Schlüssel und Zertifikat ist dann aber der Umgang mit den Dateien m.E. äusserst umständlich.

Ja, dem wäre so. Dieses Prozedere ist aber nicht erforderlich (s.o.).

Gruß,

Sepia

#9 Hi Sepia,

das alte Passwort musste ich nicht eingeben....ich habe das Feld mit dem Benutzernamen und Passwort einfach freigelassen...

Zitat

Man sollte ein komplexes NTLM-Passwort verwenden und dementsprechend auf das Speichern
eines LM-Hashes in der SAM zwingend verzichten. Beachtet man dies, ist EFS sicher (XP/Vista).

Äh... mag sein das dies ein Profi wie Du zustande bringst, ein ottonormal User wie ich versteht hier nur "Bahnhof"



Gruß Tom

#10

Zitat

das alte Passwort musste ich nicht eingeben....ich habe das Feld mit dem Benutzernamen und Passwort einfach freigelassen...

Dann gehe ich davon aus, dass das Passwort der neuen Installation identisch mit dem Kennwort der alten, zerschossenen
Installation ist.

[NTLM-Authentifizierung/NTLM-Hashes]

Zitat

Äh... mag sein das dies ein Profi wie Du zustande bringst, ein ottonormal User wie ich versteht hier nur "Bahnhof"

Ja, zugegeben. Für einen ONU gleichen diese Begriffe einer Fremdsprache. Kryptografie zu verstehen und wirksam
anzuwenden ist jedoch pauschal nicht einfach. Das gilt für ein EFS genauso wie für jede andere Software oder den
diversen Crypto-Algorithmen.
EFS ist keine "fire & forget Lösung". Ein paar Rahmenbedingungen sollten schon erfüllt sein. Ansonsten wäre es
vergleichsweise so, als wenn ich einen x-beliebigen anderen hochsicheren Algorithmus zwecks Verschlüsselung einsetze und
als Passwort für das Entschlüsseln "mama" benutze.

Je mehr Zeit und Aufwand du in die Konfiguration irgendeines Verschlüsselungsprogramm steckst, desto
unmöglicher wird es für Dritte, die sensitiven Daten zu entschlüsseln.

Gruß,

Sepia

#11 Hi Sepia,

das Passwort ist das selbe (alles was so auf dem Keybord zu finden ist) mehr sag ich nicht ;-)... der Benutzernahme ist jedoch ein anderer.

Wobei ich nicht weiss, ob hier der Registrierungsname genommen wird (also der unter System/Allgemein/Registriert für:xyz oder ob der Name vom Benutzerkonto verwendet wird.

Der Registrierungsname ist der selbe, der Benutzername ist ein anderer.

Grüße Tom

#12

Zitat

das Passwort ist das selbe[..]

Deshalb -und nur deshalb- funktionierte die Rettungsaktion.

[Komplexität Passwort]

Zitat

[..]alles was so auf dem Keybord zu finden ist[..]

"Und das ist auch gut so!" (tm) Wenn das Kennwort jetzt noch zufällig mehr als 15 Zeichen lang ist, wird vom OS automatisch
der sicherere NTLM-Hash benutzt und kein LM-Hash in die SAM geschrieben. Auf eine Modifikation der lokalen Sicherheits-
richtlinie könnte in diesem Fall verzichtet werden.

Zitat

[..]der Benutzernahme ist jedoch ein anderer

Ist irrelevant. Der Benutzername tut nichts zur Sache. Lediglich das Kennwort muß bekannt sein, wenn man Software
wie "Advanced EFS Recovery" benutzt. Die Eingabe eines Benutzernamens innerhalb dieses Programms ist sozusagen
als Platzhalter zu verstehen.

Gruß,

Sepia

#13 Hallo Sepia,

wieder was als "ONU" dazugelernt ;-)

Danke für die geduldige Erklärung...

Viele Grüße

Tom

#14 Hallo Sepia, hallo Tomes,

ich habe ebenfalls ein riesen Problem. Meine HDD ist letztes Wochenende abgeschmiert und dann ging nix mehr. Ein Freund konnte zwar so gut wie alle Daten retten, aber es gibt zwei Ordner mit wichtigen Excel Dateien die ich per EFS verschlüsselt habe. Jetzt hab ich XP neu installieren müssen und nun hab ich den Salat...ich komme nicht mehr an die verschlüsselten Daten ran.

Ich durchforste schon seit Tagen das Netz und hab auch "Advanced EFS Recovery" ausprobiert. Etwas hat es ja gebracht, die Dateien sind jetzt nicht mehr grün sondern ganz normal, doch wenn ich sie öffnen will kommen folgende Fehlermeldungen:

1. Von Excel wurde wurde unlesbarer Inhalt in (...Dateiname) gefunden. Möchten Sie den Inhalt dieser Arbeitsmappe wiederherstellen? Wenn Sie der Quelle dieser Arbeitsmappe vertrauen klicken Sie auf Ja.

...so und wenn ich auf ja klicke


2. Die Datei (Dateiname...) kann von Excel nicht geöffnet werden, da das Dateiformat oder die Dateierweoterung ungültig ist. Überprüfen Sie, ob die Datei beschädigt ist und ob die Dateierweiterung dem Dateiformat entspricht.

ich hoffe ihr könnt mir weiterhelfen


Viele Grüße

Alice

#15 Hallo Alice,

das Problem scheint weniger mit EFS verbunden zu sein als vielmehr mit korrupten Dateien, deren Integrität nicht
mehr gewährleistet ist.
Wenn du mittels Adv. EFS Rec. die vormals codierten Files entschlüsseln konntest, sollten diese ihren Ursprungszu-
stand angenommen haben. Sind diese jedoch nach der Dekodierung "defekt", ist davon auszugehen, dass bereits die
EFS kodierten Orginal-Dateien korrupt sind. Wohlmöglich stört sich AER aber nicht an diesen Umstand und rettet, was
zu retten ist.
Wären die Daten bspw. noch EFS kodiert, würde Excel eine andere Fehlermeldung bringen.

Wenn -und davon ist auszugehen- deine alte HD für diesen Umstand verantwortlich ist, sieht´s eher bitter aus.
Eine Lösung für dein Problem habe ich leider nicht. Zumindest keine, die auf den Einsatz professioneller Hilfe durch
Datenrettungslabore verzichten kann.

Du könntest mal versuchen, die fraglichen Dateien mit einem Editor zu öffnen. Dieser sollte vorzugsweise UTF-8 oder
ASCII unterstützen [1]. Wenn neben dem Datenmüll noch Reste an verwertbaren Informationen vorhanden
sind, kannst du diese so zumindest einsehen und per copy & paste in eine neue Datei kopieren.
Zur Not tut es auch der Windows eigene Editor, aber das sollte eher "Plan B" sein.

Gruß,

Sepia

[1] Der "Total Commander" bringt einen solchen Editor mit. Http://www.ghisler.com Shareware, 30 Tage nutzbar