EFS (Encrypting File System) na NTFS-u - kako ga isključiti ili exportirati cert?

[domy_os]

Zanima me da li je netko od vas detaljno proučavao kako ovo čudo radi? Je li kompatibilno s drugom verzijom Windowsa ukoliko se radi export/import certifikata? Kako skinuti enkripciju na nekom drugom kompu ukoliko imam certifikat?

Nekad davno sam dobio jedan komp s kriptiranim podacima koje je trebalo izvući van, ali nisam uspio. Neki dan sam opet dobio drugi komp s pola diska kriptiranog i jedva sam izvukao podatke. Disk dobio logičke bad sectore, Windowsi u banani,... i kad sam to sve pokrpao, uspio sam skinuti enkripciju i na drugom kompu povući podatke.

Sad želim spriječiti da se to više ne ponovi ili barem nekako napraviti export certifikata koji će provjereno raditi na drugom kompu. Zezam se već par dana i ne mogu ništa napraviti, niti onemogućiti enkripciju niti napraviti export certifikata koji bi radio na drugom kompu.

Probao sam mijenjati razne registry ključeve, igrati se po Group Policyu, exportirati/importirati certifikate na više načina, ali jednostavno ništa ne pali tako da trebam pomoć iskusnijih ljudi.

Unaprijed hvala.

[Hamm]

http://netsecurity.about.com/od/quicktips/qt/efs.htm
http://www.computercare.ca/forum/showthread.php?t=2556

Ovak nekaj?

[domy_os]

Probao sam i to, ali nakon importa na drugi komp opet ne mogu ništa napraviti s enkriptiranim podacima s prvog kompa...

[domy_os]

Uspio sam onemogućiti enkripciju, ali i dalje ostaje pitanje kako napraviti recovery enkriptiranih datoteka u slučaju havarije OS-a...

Citiraj:

Finally, if you prefer, you can disable EFS on the system level. This can be accomplished by editing the Registry. Set the following entry of DWORD type to the value 1:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\EfsConfiguration

U mom slučaju taj key nije postojao nego sam ga morao ručno napraviti i vrijednost promijeniti u 1 jer je po defaultu 0.

[domy_os]

Citiraj:

Autor domy_os

Probao sam i to, ali nakon importa na drugi komp opet ne mogu ništa napraviti s enkriptiranim podacima s prvog kompa...

U drugoj kombinaciji kompova je proradilo, hm... Moram to još malo istražiti da ne požalim kasnije.

Neke zanimljivosti koje sam pronašao ili otkrio:

- ukoliko se password resetira preko Computer Managementa, podacima se više ne može pristupiti
- ako se na isti način vrati stari password, podaci su opet čitljivi
- password obavezno mijenjati iz samog accounta, najbolje preko CTRL+ALT+DEL pa change password
- drugi komp koji ima isti user name s istim passwordom može bez greške pristupiti podacima koji su kriptirani na prvom kompu iako nema certifikat s tog prvog
- ukoliko koristite notebook, najbolje da preko syskeya kriptirate i password za account (link za upute)
- za enkripciju i dekripciju većih količina podataka je potrebno i po nekoliko sati

Sad mene zanima koliko je ovakva zaštita podataka stvarno sigurna i postoji li još kakav security tretman koji bi bilo dobro staviti na notebook?

[Forest Gimp]

Cert moraš ekportirati uz odabir opcije za eksport privatnog ključa i u pfx format. Možeš ga dodatno zaštititi lozinkom. Kada ga importiraš isključi opciju za "Enable strong private key protection". Naime, EFS je dizajniran tako da bude transparentan za korisnika dok ga koristi, ako privatni ključ zaštitiš lozinkom kod importa, ne postoji procedura koja bi te upitala za password kod enkriptiranja/dekriptiranja datoteka kao npr kod certifikata za digitalni potpis.