EFS-Verschlüsselung kann nicht aufgehoben werden

[Miobroker]

Hallo Leute,

vielleicht kann mir einer helfen. Im Grunde ist es ein schwwierige Problem aber ich habe teilweise noch alte Daten von meinem ehemaligen Benutzerkonto.

Folgendes:

Vor einiger Zeit habe ich ein paar wichtige Ordner und Dateien per EFS verschlüsselt (Kontextmenü->Verschlüsseln). Jetzt habe ich aus diversen Gründen mein eines Profil gelöscht un ein neues erstellt, wobei ich eigene Dateien NICHT LÖSCHEN angeklickt habe. Nun wollte ich meine Buchführung wieder aufrufen, doch die Dateien sind verschlüsselt - habe also vergessen vor Neuanlage des neuen Benutzerkontos die Verschlüsselung aufzuheben.

Okay dacht ich mir, machst du erstmal ne Systemwiederherstellung. Jetzt wollte ich die Systemwiederherstellung öffnen ist das Sch*** Ding deaktiviert, womit ich überhaupt nicht gerechnet habe. Hab es wieder aktiviert. Da es aber ein relativ neuer PC ist, war die Sys-Wiederh. von anfang an deaktiviert, sodass kein Wiederherstellungspunkt vorhanden ist.


Wie kriege ich diese Daten wieder entschlüsselt? In dem Ordner Dokumente und Einstellungen/[Konto]/Anwenderdaten/Microsoft/My/Zertifikate

waren leider keine Dateien mehr drin.


Kann mir wer bitte helfen? Danke im Voraus.


Miobroker

[Greenhorn23]

servus

versuche dich nochmal mit deinem alten user anzumelden, damit deine alt sid wieder da ist und dann zugriff auf die dateien hast.

hast du nicht den key auf eine disk gesichert, damit du ihn für einen solchen fall wieder einspielen kannst?

oder von microsoft -Die Wiederherstellung von verschlüsselten Daten mit EFS (Encrypting File System)
http://www.microsoft.com/germany/tec...es/900941.mspx

dann gibt es nohc sowas
http://www.elcomsoft.com/aefsdr.html
zur software: ... denn es unterstützt nicht die unter XP SP2 EFS-verschlüsselten Daten. Diese Begrenzung wird auch in der Anleitung , wenn auch etwas versteckt und implizit angesprochen. XP SP 1 und W2K3 sowie W2K bis SP 4 werden unterstützt.
http://www.wer-weiss-was.de/theme14/article4043773.html

evtl. lässt sich mit einem recover tool die dateien (zertifikat) wiederherstellen

[Miobroker]

das alte Konto ist ja gelöscht, deswegen gibt es ja erst das Problem.

Du sagst die Elcom Software funtzt nicht unter XP SP2 ?

[Greenhorn23]

das habe ich in dem administrator forum gelesen.
in der übersicht der elcom seite steht aber das es funktionieren könnte
du kannst dir mal die testversion herunterladen und testen

[Miobroker]

Bin gerade dabei. Aber der erkennt die Kombination Passwort - Benutzer nicht.

Naja versuche ich mal weiter. Danke dir erstmal.

[maxi89]

Hallo,

Ist das ein XP Home oder Professional?
Hat das neue Konto das gleiche Passwort wie das alte?

[Miobroker]

Ist Pro mit gleichem ! Kontonamen und gleichem Passwort !

Falls du darauf hinaus willst, dass der Schlüssel evtl. überschrieben wurde; ich habe noch keine neuen Verschlüsselungen gemacht, sodass vermutlich kein Schlüssel fürs neue Konto angelegt wurde.

Es soll iwie mit regedit und nem hex-editor gehen, habe aber davon nicht wirklich ahnung.

[Greenhorn23]

das mit dem hexeditor kann ich mir vorstellen, da

Danach sucht EFS den öffentlichen Schlüssel des Benutzers, verschlüsselt mit diesem den FEK und speichert den verschlüsselten FEK im Datenverschlüsselungsfeld (Data Decryption Field, DDF) im Header der verschlüsselten Datei.

diesen könntest du mit dem hexeditor auslesen.

vielleicht kannst du über einen datarecovery an den inhalt folgender ordner kommen

ei einer Sicherung sollten Sie ebenfalls die öffentlich/privaten Schlüsselpaare sowie die Zertifikate der öffentlichen Schlüssel mit einbeziehen. Der öffentliche Schlüssel sowie das Zertifikat befinden sich im Ordner Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Microsoft\SystemCertificates\My\Certificates. Der private Schlüssel befindet sich im Ordner Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Microsoft\Crypto\RSA. Wie auch alle anderen Dateien im RSA-Ordner ist der private Schlüssel mit dem Master-Key des Benutzers verschlüsselt. Da das Schlüsselpaar und das Zertifikat im Benutzerprofil abgelegt sind, werden sie bei einer Sicherung mit gesichert.

wenn ich den artikel auch richtig verstanden habe, dann gibt es noch einen data rec. agent, der aber evtl. manuell eingestellt werden muss .. war irgendwas mit chiper wenn ich es richtig im kopf habe.

http://www.microsoft.com/germany/tec...es/900941.mspx

folgende seite habe ich noch gefunden -nicht durchgelesen-
http://www.beginningtoseethelight.or...very/index.php
in der scheint auch ein hexeditor zum einsatz zu kommen.

vielleicht in kombi mit dem technetartikel, hier werden pfade in der reg. genannt
http://technet.microsoft.com/en-us/l.../bb457065.aspx

bisher sehe ich schwarz für die wiederherstellung der datei, wenn der schlüssel (generiert unter anderem aus der sid des users) und das zertifkat nicht gesichert wurden, denn sinn und zweck einer verschlüsselung ist es den zugriff von nicht berechtigten personen zu verhindern.

beim nächsten mal den schlüssel und zertifikat sichern
anleitung
http://support.microsoft.com/kb/223316/DE/

[Miobroker]

Danke erstmal für die Antwort. Die Seiten habe ich mir auch schon angeschaut. Ich habe, so glaube ich das Zertifikat im Zertifikat-Manager gefunden und ich glaube auch die alte SiD gefunden zu haben. Habe auch Elcomsoft ausprobiert funtzt aber nicht. Alle fast 6.000 Datein sind nicht entschlüsselbar gemäß dem Programm.

In den von dir genannten Ordnern habe ich schon geschaut und nichts mehr vorgefunden. Crypto gibt es schon gar nicht mehr und mit cipher /r: habe ich im ("Super")- Admin auch schon ein neues Zertifikat angelegt und damit weitergearbeitet. Nichts, Nada

Ich habe aber Versucht, einer der verschlüsselten Dateien, einen Mitbenutzer zuzuweisen. Er gibt mir ungefähr so eine Fehlermeldung aus:

- Sie haben keine Berechtigung einen Benutzer hinzuzufügen. Fehlercode 5

Frage: Wie kann ich meinem Admin dieses Recht verleihen? Unter lokalen Richtlinien finde ich so etwas nicht.


Geht es vielleicht, das alte Konto wiederherzustellen ohne Systemwiederherstellung, wenn ich noch so viele Infos übrig habe?

[Greenhorn23]

versuche mal mit get data back for ntfs
in der testversion wird dann angezeigt ob er dein altes profil gefunden hat bzw. welche dateien zum wiederherstellen wären