EFS Verschlüsselung unter XP Pro und Vista BusinessThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
07.07.2007, 14:21
...neu hier
Beiträge: 7 |
||
|
||
07.07.2007, 19:43
Member
Beiträge: 546 |
#2
Zitat Kann mir bitte einer sagen wie sicher diese unter xp und vista ist?Unter Einhaltung gewisser Spielregeln gilt EFS unter XP-SP2 und neuer als nicht gebrochen. Denmanch ist EFS empfehlenswert. Zitat Der Grund warum ich frage ist, dass ich auf das Programm Advanced EFS Data Recovery von der Firma Elcomsoft gestoßen bin, welche behaupten, dass Sie auf die Daten zugreifen können.Die Behauptung stimmt nur bedingt und folgendes gilt pauschal für alle Hersteller sog. "EFS Knack-Programme": Sie können EFS verschlüsselte Daten rekonstruieren, wenn gewisse Voraussetzungen geschaffen wurden. Diese resultieren letztendlich daraus, dass das Kennwort des Anwenders bekannt ist, welcher die Daten verschlüsselt hat. Ist dieser Umstand nicht gegeben, versuchen sie via Brute-Force und Dictionary Attacken an das gewünschte Ziel zu gelangen. Deshalb ist es elementar wichtig, zum einen ein komplexes Passwort zu wählen und zum anderen dieses nicht per LM-Hash in die SAM schreiben zu lassen. "NT-LM only" ist existent, also warum sollte man es nicht nutzen? [1] Zum Abschluß Zitate aus den Hilfe-Dateien zweier bekannter "EFS Knacker": Elcomsoft "Advanced EFS Recovery": Zitat Zunächst, wenn die Dateien unter Windows XP oder Windows Server 2003 verschlüsselt wurden, müssen Sie das (Anmelde-) Kennwort des Benutzers kennen, der die Dateien verschlüsselt hat, oder das Kennwort des Wiederherstellungsagenten.Passware "EFS Key": Zitat EFS Key retrieves EFS-encrypted files from NTFS partitions. To retrieve the files, the encryption password must be known or SAM database must be present• .• Anm.: Letzteres unter Windows 2000 Identisches gilt für "Encase" in einer 4er Version. Meine pers. Meinung dazu: Diese sog. "EFS-Knacker" sind so nützlich wie Eier beim Eunuchen. Wenn ich das Passwort des Benutzer, welcher Dateien EFS kodiert hat, kenne, brauche ich keinerlei Software um diese Files wieder zu rekonstruieren. Nun konkret zu den bereits genannten Spielregeln bei Einsatz von EFS auf einer XP-Workstation (stand-alone oder in einem gepeerten Netz): EFS steht und fällt vorrangig mit dem User-Passwort (Login-Passwort). Ist dieses trivial zu erraten oder zu knacken, ist der Schutz von EFS hinfällig! Also sollte das Kennwort mindestens den üblichen Komplexitätsanfoderungen entsprechen.[3] - EFS unter Windows 2000 ist Müll (Nur am Rande bemerkt) - Ein Home-User braucht keinen Recovery-Agent (wird unter XP sowieso nur optional und auf Wunsch er- stellt) - LM-Hashes will man nicht in der SAM speichern! Man will sie gar nicht![1] - NT-LM existiert und sollte aussschließlich genutzt werden[1] - Bei Einsatz in einem gepeerten LAN bietet sich außerdem "NTLM V.2" als Authentifizierung dringend an.[2] - EFS schützt vor der Einsichtnahme so kodierter Dateien, nicht jedoch vor dem Löschen selbiger. [1] Unter XP-Pro (und neuer) bietet die lokale Sicherheitsrichtlinie den Punkt "Netzwerksicherheit: Keine LAN Manager- Hashwerte für nächste Kennwortänderung speichern" an. Diese ist zu aktivieren. Fortan werden eben keine LM-Hashes in der SAM gespeichert, sondern nur noch die bei weitem komplexeren NTLM-Hashes. Hat auch automatisch den Vorteil, dass die in http://board.protecus.de/t12708.htm genannten Knack-Versuche in Verbindung mit einem komplexen Passwort wirkungslos sind. Mir ist auch keine Rainbow-Table bekannt, die komplexe und lange NTLM-Passwörter in 'mix-alpha-numeric-symbol32-space' bricht (> 10 Stellen/Kennwort). Nochmals: Die Sicherheit von EFS unter XP-Pro (und neuer) ist vom gewählten Kennwort und von der Art des Hashes abhängig! Erst an zweiter und zu vernachlässigender Stelle kommen die sog. "EFS-Knack-Programme". [2]Lokale Sicherheitsrichtlinie "Netzwerksicherheit: LAN Manager-Authentifizierungsebene", hier ist "Nur NTLMv2-Antworten senden\LM & NTLM verweigern" zu wählen (Jedoch Vorsicht bei gemischten Umgebungen) [3]http://board.protecus.de/t8643.htm Sonstige Board-interne EFS relevante Themen: FAQ EFS: http://board.protecus.de/t21863.htm und mehrere Hits nach Suchen mit dem Begriff "EFS" Gruß, Sepia Edit: Sollte bei dir die Gefahr bestehen, dass irgendeine Person (Familie, Mitbewohner or whatever) dein Kennwort mittels Passwort-Rücksetz-Software editiert und gleichzeitig existieren bereits von dir generierte EFS-Dateien auf deinem Computer, exportiere zwingend dein EFS-Zertifikat als Backup! Sicher ist sicher. Dieser Beitrag wurde am 07.07.2007 um 19:52 Uhr von Sepia editiert.
|
|
|
||
09.07.2007, 10:50
...neu hier
Themenstarter Beiträge: 7 |
#3
Hallo Sepia,
super genau so eine Antwort mit Begründung habe ich mir gewünscht. Jetzt checke ich es! Danke für die ausführliche Erklärung! Gruß TeleTobi |
|
|
||
12.11.2007, 00:38
...neu hier
Beiträge: 9 |
#4
@ Sepia
Hallo Sepia, wie ist das gemeint mit den Eiern und den Eunuchen...? "Meine pers. Meinung dazu: Diese sog. "EFS-Knacker" sind so nützlich wie Eier beim Eunuchen. Wenn ich das Passwort des Benutzer, welcher Dateien EFS kodiert hat, kenne, brauche ich keinerlei Software um diese Files wieder zu rekonstruieren." Da Du Dich hier besonders auskennst, gib mir doch bitte einen Tipp, wie ich wieder zu meinen (verschlüsselten) Dateien komme... Hab die Registry - dank Norton 360 - zerschossen und kann das System nicht mehr starten. Jetzt habe ich mir auf einer neuen Festplatte ein neues System aufgesetzt und die alte Festplatte mit dem zerschossenen System als Slave mit drangehängt, welche als Laufwerk (F) angezeigt wird. Auf die unverschlüsselten Dateien kann ich zugreifen, auf die verschlüsselten "grünen" Dateien nicht. Mein Adminpasswort kenne ich noch, nur wo muss ich das eingeben um die Dateien zu entschlüsseln...? Ich hoffe Du kannst mir ein bisschen auf die Sprünge helfen und Licht ins Dunkle EFS-System bringen. Danke einstweilen und Gruss in die Nacht - Tomes |
|
|
||
12.11.2007, 13:37
Member
Beiträge: 546 |
#5
Mahlzeit Tomes!
Ich gehe davon aus, dass dein ehemaliges System tatsächlich abgeraucht ist und du weder in den abgesicherten Modus gelangst, noch irgendwelche Reparatur Versuche -welcher Art auch immer- die Registrierung und demnach dein PC wieder- beleben konnten. Weierhin nehme ich an, dass es sich bei der alten Konfiguration um ein Win XP/Vista handelt und du nicht von Win 2000 sprachst. Zitat Mein Adminpasswort kenne ich noch, nur wo muss ich das eingeben um die Dateien zu entschlüsseln...?Nirgends! Zumindest wird´s nicht innerhalb des neu aufgespielten OS gebraucht. Das aktuelle OS kann keine EFS kodierten Dateien entschlüsseln, die vormals auf einem anderen (XP/Vista-)Sytem angelegt worden sind wenn das entsprechende Zertifikat nicht vorhanden ist. Dabei spielt es keine Rolle, ob du auf dem neuen System ein Konto mit identischem Namen & Passwort erstellt hast oder das Passwort des alten Benutzers kennst! In diesem konkreten Fall (Passwort bekannt) sollten dir die o.g. EFS-Encrypter helfen. Dies ist m.E. die einzige Möglichkeit an deine Daten zu gelangen. Ich würde "Advanced EFS Recovery" von Elcomsoft der Passware Variante vorziehen [1]. Eine Testversion dieser Software existiert, probiere sie einfach mal aus. Du hast im Endeffekt also nur diese zwei Optionen. Entweder du kannst dein altes System reanimieren bzw. reparieren oder du nutzt das erwähnte Programm um an deine Daten zu kommen. Viel Glück! Gruß, Sepia [1]http://www.elcomsoft.de/programme/aefsdr.html |
|
|
||
12.11.2007, 16:14
...neu hier
Beiträge: 9 |
#6
Hi Sepia,
ja, Reparaturversuche über die Reparaturkonsole haben nichts gebracht, chkdsk, fixboot oder fixmbr ebenfalls nicht. (ist Win XP Prof.) Ich komme entweder immer wieder ins Setup, welches dann bei "noch 38 Minuten" stehen bleibt oder mit der F8 Taste ins Startmenü für den abgesicherten Modus. Da läuft dann erst unten ein weisser Balken (wie beim erwachen aus dem Tiefschlaf) dann erscheint kurz der Startbildschirm von Windows und irgendwann steht in den vier Ecken "abgesicherter Modus" sowie ein weisser Mauszeiger in der Mitte hinter schwarzem Hintergrund. Also bezüglich wiederbeleben des Systems, sind meine Fähigkeiten erschöpft. Ich denke auch dass mir wohl nur noch Elcomsoft übrig bleibt - Danke für die Bestätigung daß hier nur noch diese Option zum "Erfolg" führen wird. Viele Grüße Tomes |
|
|
||
15.11.2007, 22:42
...neu hier
Beiträge: 9 |
#7
Hallo Leute,
nur der Vollständigkeit halber: alle meine mit EFS verschlüsselten Daten konnten dank (?!) Elcomsoft entschlüsselt werden. Bin also überglücklich dass dies relativ einfach zu machen war. Bedeutet natürlich auch, daß ich mir die Verschlüsselung in Zukunft sparen kann und auch werde. (PC steht nicht mehr im externen "Garagenbüro") sondern bei mir in der Wohnung. Solltet Ihr also Dateien verschlüsseln wollen, so müsst Ihr den Schlüssel und das Zertifikat extern lagern. Ansonsten sind diese Daten praktisch "unverschlüsselt" Mit extern gelagertem Schlüssel und Zertifikat ist dann aber der Umgang mit den Dateien m.E. äusserst umständlich. Danke nochmal - Grüße Tomes |
|
|
||
16.11.2007, 14:21
Member
Beiträge: 546 |
#8
Zitat alle meine mit EFS verschlüsselten Daten konnten dank (?!) Elcomsoft entschlüsselt werden.Bin also überglücklich[..]Fein! Zitat [..]dass dies relativ einfach zu machen war.Einfach war es nur deshalb, weil dir das alte Passwort bekannt war. Zitat Bedeutet natürlich auch, daß ich mir die Verschlüsselung in Zukunft sparen kann und auch werde.Warum? Zitat Solltet Ihr also Dateien verschlüsseln wollen, so müsst Ihr den Schlüssel und das Zertifikat extern lagern. Ansonsten sind diese Daten praktisch "unverschlüsselt"Nein. Man sollte ein komplexes NTLM-Passwort verwenden und dementsprechend auf das Speichern eines LM-Hashes in der SAM zwingend verzichten. Beachtet man dies, ist EFS sicher (XP/Vista). Zitat Mit extern gelagertem Schlüssel und Zertifikat ist dann aber der Umgang mit den Dateien m.E. äusserst umständlich.Ja, dem wäre so. Dieses Prozedere ist aber nicht erforderlich (s.o.). Gruß, Sepia |
|
|
||
17.11.2007, 16:47
...neu hier
Beiträge: 9 |
#9
Hi Sepia,
das alte Passwort musste ich nicht eingeben....ich habe das Feld mit dem Benutzernamen und Passwort einfach freigelassen... Zitat Man sollte ein komplexes NTLM-Passwort verwenden und dementsprechend auf das SpeichernÄh... mag sein das dies ein Profi wie Du zustande bringst, ein ottonormal User wie ich versteht hier nur "Bahnhof" Gruß Tom |
|
|
||
17.11.2007, 19:53
Member
Beiträge: 546 |
#10
Zitat das alte Passwort musste ich nicht eingeben....ich habe das Feld mit dem Benutzernamen und Passwort einfach freigelassen...Dann gehe ich davon aus, dass das Passwort der neuen Installation identisch mit dem Kennwort der alten, zerschossenen Installation ist. [NTLM-Authentifizierung/NTLM-Hashes] Zitat Äh... mag sein das dies ein Profi wie Du zustande bringst, ein ottonormal User wie ich versteht hier nur "Bahnhof"Ja, zugegeben. Für einen ONU gleichen diese Begriffe einer Fremdsprache. Kryptografie zu verstehen und wirksam anzuwenden ist jedoch pauschal nicht einfach. Das gilt für ein EFS genauso wie für jede andere Software oder den diversen Crypto-Algorithmen. EFS ist keine "fire & forget Lösung". Ein paar Rahmenbedingungen sollten schon erfüllt sein. Ansonsten wäre es vergleichsweise so, als wenn ich einen x-beliebigen anderen hochsicheren Algorithmus zwecks Verschlüsselung einsetze und als Passwort für das Entschlüsseln "mama" benutze. Je mehr Zeit und Aufwand du in die Konfiguration irgendeines Verschlüsselungsprogramm steckst, desto unmöglicher wird es für Dritte, die sensitiven Daten zu entschlüsseln. Gruß, Sepia |
|
|
||
17.11.2007, 22:21
...neu hier
Beiträge: 9 |
#11
Hi Sepia,
das Passwort ist das selbe (alles was so auf dem Keybord zu finden ist) mehr sag ich nicht ;-)... der Benutzernahme ist jedoch ein anderer. Wobei ich nicht weiss, ob hier der Registrierungsname genommen wird (also der unter System/Allgemein/Registriert für:xyz oder ob der Name vom Benutzerkonto verwendet wird. Der Registrierungsname ist der selbe, der Benutzername ist ein anderer. Grüße Tom |
|
|
||
17.11.2007, 23:15
Member
Beiträge: 546 |
#12
Zitat das Passwort ist das selbe[..]Deshalb -und nur deshalb- funktionierte die Rettungsaktion. [Komplexität Passwort] Zitat [..]alles was so auf dem Keybord zu finden ist[..]"Und das ist auch gut so!" (tm) Wenn das Kennwort jetzt noch zufällig mehr als 15 Zeichen lang ist, wird vom OS automatisch der sicherere NTLM-Hash benutzt und kein LM-Hash in die SAM geschrieben. Auf eine Modifikation der lokalen Sicherheits- richtlinie könnte in diesem Fall verzichtet werden. Zitat [..]der Benutzernahme ist jedoch ein andererIst irrelevant. Der Benutzername tut nichts zur Sache. Lediglich das Kennwort muß bekannt sein, wenn man Software wie "Advanced EFS Recovery" benutzt. Die Eingabe eines Benutzernamens innerhalb dieses Programms ist sozusagen als Platzhalter zu verstehen. Gruß, Sepia |
|
|
||
20.11.2007, 09:54
...neu hier
Beiträge: 9 |
#13
Hallo Sepia,
wieder was als "ONU" dazugelernt ;-) Danke für die geduldige Erklärung... Viele Grüße Tom |
|
|
||
22.11.2007, 17:34
...neu hier
Beiträge: 4 |
#14
Hallo Sepia, hallo Tomes,
ich habe ebenfalls ein riesen Problem. Meine HDD ist letztes Wochenende abgeschmiert und dann ging nix mehr. Ein Freund konnte zwar so gut wie alle Daten retten, aber es gibt zwei Ordner mit wichtigen Excel Dateien die ich per EFS verschlüsselt habe. Jetzt hab ich XP neu installieren müssen und nun hab ich den Salat...ich komme nicht mehr an die verschlüsselten Daten ran. Ich durchforste schon seit Tagen das Netz und hab auch "Advanced EFS Recovery" ausprobiert. Etwas hat es ja gebracht, die Dateien sind jetzt nicht mehr grün sondern ganz normal, doch wenn ich sie öffnen will kommen folgende Fehlermeldungen: 1. Von Excel wurde wurde unlesbarer Inhalt in (...Dateiname) gefunden. Möchten Sie den Inhalt dieser Arbeitsmappe wiederherstellen? Wenn Sie der Quelle dieser Arbeitsmappe vertrauen klicken Sie auf Ja. ...so und wenn ich auf ja klicke 2. Die Datei (Dateiname...) kann von Excel nicht geöffnet werden, da das Dateiformat oder die Dateierweoterung ungültig ist. Überprüfen Sie, ob die Datei beschädigt ist und ob die Dateierweiterung dem Dateiformat entspricht. ich hoffe ihr könnt mir weiterhelfen Viele Grüße Alice |
|
|
||
22.11.2007, 19:22
Member
Beiträge: 546 |
#15
Hallo Alice,
das Problem scheint weniger mit EFS verbunden zu sein als vielmehr mit korrupten Dateien, deren Integrität nicht mehr gewährleistet ist. Wenn du mittels Adv. EFS Rec. die vormals codierten Files entschlüsseln konntest, sollten diese ihren Ursprungszu- stand angenommen haben. Sind diese jedoch nach der Dekodierung "defekt", ist davon auszugehen, dass bereits die EFS kodierten Orginal-Dateien korrupt sind. Wohlmöglich stört sich AER aber nicht an diesen Umstand und rettet, was zu retten ist. Wären die Daten bspw. noch EFS kodiert, würde Excel eine andere Fehlermeldung bringen. Wenn -und davon ist auszugehen- deine alte HD für diesen Umstand verantwortlich ist, sieht´s eher bitter aus. Eine Lösung für dein Problem habe ich leider nicht. Zumindest keine, die auf den Einsatz professioneller Hilfe durch Datenrettungslabore verzichten kann. Du könntest mal versuchen, die fraglichen Dateien mit einem Editor zu öffnen. Dieser sollte vorzugsweise UTF-8 oder ASCII unterstützen [1]. Wenn neben dem Datenmüll noch Reste an verwertbaren Informationen vorhanden sind, kannst du diese so zumindest einsehen und per copy & paste in eine neue Datei kopieren. Zur Not tut es auch der Windows eigene Editor, aber das sollte eher "Plan B" sein. Gruß, Sepia [1] Der "Total Commander" bringt einen solchen Editor mit. Http://www.ghisler.com Shareware, 30 Tage nutzbar |
|
|
||
ich hätte da mal ein Frage und zwar hocke ich gerade hier und lese über die EFS Verschlüsselung.
Kann mir bitte einer sagen wie sicher diese unter xp und vista ist? Der Grund warum ich frage ist, dass ich auf das Programm Advanced EFS Data Recovery von der Firma Elcomsoft gestoßen bin, welche behaupten, dass Sie auf die Daten zugreifen können.
Kann mich bitte einer aufklären ob das nun möglich ist oder nicht?
Danke
Gruß
TeleTobi