[atreides]

Ich habe eine paar Ordner und Dateien mit dem Admin-Konto verschlüsselt. Anschließend habe ich das Zerfitikat exportiert, gesichert und anschließen dieses an einen eigeschr.Konto importiert, um weiter unter dem eigeschr.Konto arbeiten zu können.

Heute wollte ich mit dem Admin-Konto die Verschlüsselung der Dateien und Programme zurücksetzen. Bei einigen Dateien, innerhalb dem selbem Ordners, erschien die Fehlermeldung: "Fehler bei übernehmen der Attribute".
Beim großteil der Dateien wurde die Verschlüsselung zurückgesetzt, bis auf ein paar ausnahmen
Diese Dateien sind weiterhin für das Admin-Konto verschlüsselt, diese können auch nicht mehr unter dem Admin-Konto geöffnet oder gelesen werden. Unter dem eingeschr.Konto kann man diese Dateien öffne, lesen und die Verschlüsselung zurücksetzen.

Ich kann das Problem zwar umgehen, aber wieso kann ich mit dem Admin-Konto die Verschlüsselung nicht zurücksetzen obwohl ich die dazu nötigen Rechte besitze, und wieso kann das Admin-Konto seine eigne Verschlüsselung nicht entschlüsseln?

Software
WinXP Prof. mit SP2; es wurde die Windows interne Verschlüsselung benutzt.

Mfg
Atreides

[Blasehase]

Zitat (atreides: 11.06.2005, 01:06)

Software
WinXP Prof. mit SP2; es wurde die Windows interne Verschlüsselung benutzt.
<{POST_SNAPBACK}>

... sagt doch alles... verschlüsselung von Windows... würde davon stets abraten

um das problem zu umgehen... dateien nicht mehr verschlüsseln!! und alles sichern
irgendwie versuchen mit irgend einem konto die zu decodieren

gibt diverse tools die das sogar besser, schneller durchführen und zudem noch eine höhere verschlüsselung haben

z.b. truecrypt...
http://www.truecrypt.org/
http://www.winfuture...news,18010.html

greetz

[BadAss]

@Blasehase:

Ich empfehle EFS. Aber es hat glaube ich keinen Sinn, bereits dein "Windows" disqualifiziert deine Aussagen.


@atreides:

Wie Du schon vermutest, hängt es wahrscheinlich an den Rechten. Prüfe mal die ACLs. Benutzer, die Daten entschlüsseln wollen, müssen Vollzugriff auf diese haben.

Aber warum importierst Du das Zertifikat nicht unter Admin und entschlüsselst dann die Daten. Alles, was der Admin einmal verschlüsselt hat ist mit dem Zertifikat auch wieder zu entschlüsseln.

In der Theorie, zumindest

[Blasehase]

Zitat (BadAss: 12.06.2005, 13:33)

@Blasehase:
Ich empfehle EFS. Aber es hat glaube ich keinen Sinn, bereits dein "Windows" disqualifiziert deine Aussagen.
<{POST_SNAPBACK}>

lol... dann viel spass wenn das hochgeachtete windows xp mal abstürzt und die daten weg sind....
beim plattencrash is das ja noch dramatischer

aber.. jedem das seine

greetz

[BadAss]

Jaja, die inkompetenten und mitteilungsbedürftigen Winfuture-Kiddies...

[atreides]

1. EFS ist die interne Verschlüsselung von XP (sehe Wikipedia)

2. Ein Plattencrash kostet mich nur Geld und Zeit, nicht aber die Daten. Die Daten sind trotzdem sicher, meine wichtigsten Dateien laufen unter Raid 5 und die weniger wichtigen unter Raid 1 und Backup wird auch Regelmäßig gemacht; also ist es nicht so wild

3. Natürlich habe ich ACL kontrolliert, das war das erste was ich tat. Ich habe sogar die Rechte neu verteilt. Trotzdem konnte ich bestimmte Dateien nicht entschlüsseln.

3.1. Innerhalb des verschlüsselten Ordner konnte ich ca die hälfte der Dateien entschlüsseln, die andre hälfte jedoch nicht, obwohl ich die Rechte/Zerfitkat dazu hab.

4. "Wieso kann ich die Dateien nicht nicht mit dem selben Konto entschlüsseln mit welchen ich diese Verschlüsselt habe", das kann ich mir nicht erklären.

5. Truecrypt und AxCrypt nutze ich schon lange.

Mfg Atreides

Dieser Beitrag wurde von atreides bearbeitet: 13. Juni 2005 - 08:09

[Blasehase]

Zitat (BadAss: 13.06.2005, 00:07)

Jaja, die inkompetenten und mitteilungsbedürftigen Winfuture-Kiddies...
<{POST_SNAPBACK}>

*rofl*
sry, muss das los werden...

@BadAss
bin kein kiddy, bin sys/netzwerkadmin in einer sehr grossen firma (250 ma)...


... aber wenn dui das sagst, muss es ja wohl stimmen....

[Rika]

2. Das ist egal. RAID != Backup oder EFS-Konsistenz. Von EFS ist abzuraten, weil es im Falle von Dateisystemfehlern zu leicht die Grätsche macht.
3. Hast du auch die ADS kontrolliert?
4. Im Zweifelsfalle wegen der SID.

5. Kriegst du AxCrypt kompiliert? Bei mir gibt's immer 'ne ABI-Inkonsistenz, weil ich den C++-Teil mit VCC bzw. ICC kompilieren. Was aber eher für die Lausigkeit des Delphi-Compilers von Borland spricht.

[BadAss]

@blasehase:

Sachen gibts, die gibts nicht. Ich habe auch schon diverse "Informatiklehrer" gehabt.
Ergo: Aus Beruf folgt nicht Kompetenz.

@Rika:

Wo macht EFS bei Dateisystemfehlern die grätsche? Mich würde etwas der Hintergrund interessieren...

[Rika]

Wenn die ADS beschädigt werden, Inkonsistenzen in der MFT auftreten, bei Sektorfehlern wird's besonders schlimm.

Das Problem ist einfach die semantische Inkonsistenz - du kannst nicht einfach ein Image einer EFS-verschlüsselten NTFS-Partition machen, die Daten daraus extrahieren und mit dem Schlüssel entschlüsseln, was bei andere Verfahren wie beispielsweise TrueCrypt durchaus möglich ist.

[BadAss]

OK, danke, aber nur damit ich dich richtig verstehe:

Zitat

Wenn die ADS beschädigt werden, Inkonsistenzen in der MFT auftreten, bei Sektorfehlern wird's besonders schlimm.

OK, wenn da aber unverschlüsselte Dateien drauflagen sind die genauso weg, oder?

Ich speicher' nämlich meine Profile von Firefox und Thunderbird in einem EFS Verzeichnis, genauso wie Miranda, meine GPG-Keys etc.

Ich dachte, das wäre der optimale Schutz für mein NB, weil die Verschlüsselung ja transparent ist. Oder mache ich da grundsätzlich was falsch?

[Rika]

Zitat

OK, wenn da aber unverschlüsselte Dateien drauflagen sind die genauso weg, oder?

bei ADS-Fehlern: nein
bei MFT-Fehlern: nur vielleicht
bei Sektorfehler: nur die Daten in den betroffenen Sektoren

Zitat

Ich speicher' nämlich meine Profile von Firefox und Thunderbird in einem EFS Verzeichnis, genauso wie Miranda, meine GPG-Keys etc.

Also die GPG-Keyrings zu verschlüsseln ist verdammt sinnfrei.

Zitat

Ich dachte, das wäre der optimale Schutz für mein NB, weil die Verschlüsselung ja transparent ist. Oder mache ich da grundsätzlich was falsch?

Denk mal nach: Warum musste erst ein Fremdfirma (Elcomsoft) ein Tool schreiben, die EFS-verschlüsselte Daten von nicht mehr startfähigen Systemen bzw. kaputten Dateisystemen retten kann? Warum brauchte MS bis WinXP SP2, damit überhaupt gruppenweise Dateizugriffe via EFS möglich wurden?

[BadAss]

Zitat

Also die GPG-Keyrings zu verschlüsseln ist verdammt sinnfrei.

Ups, wenn Mister Paranoia sowas sagt...
Naja, dachte, dass man dann meine privaten Schlüssel nicht brute-forcen kann.

Zitat

Denk mal nach: Warum musste erst ein Fremdfirma (Elcomsoft) ein Tool schreiben, die EFS-verschlüsselte Daten von nicht mehr startfähigen Systemen bzw. kaputten Dateisystemen retten kann? Warum brauchte MS bis WinXP SP2, damit überhaupt gruppenweise Dateizugriffe via EFS möglich wurden?

Beides kann ich leider nicht beurteilen, weil ich von beidem noch rein gar nichts gehört habe. Also wenn ich das richtig verstehe, ist das System das Problem? Naja, meine EFS-Dateien liegen natürlich nicht auf der Systempartition. Neuinstallation und Zertifikat importieren, dachte ich immer.

Erschreckend, wie wenig ich davon weiß,

BTW: @Blasehase: Ich glaube ich bin hier Inkompetent. War ein Fehler, so blöd zu dir antworten, hab meine Lektion gelernt. Entschuldigung

und nochmals erschreckend, wie wenig wirklich gute Informationen man über EFS bekommt. Scheinbar alle, c'T, PC Professionell, und so ziemlich jede Seite im Netz reden vom guten EFS.

Aber ich möchte unbedingt mehr Details wissen, vielleicht hast Du ein paar Links, wo man (gute) Informationen erhält?

Das alles wurmt mich jetzt, da denkt man man hat schon ein optimales, sicheres System und dann stürtz alles in einem Posting zusammen

[Rika]

Zitat

ps, wenn Mister Paranoia sowas sagt...

Ich bin nicht paranoid, sondern realistisch, vernünftig und halt auch konsequent.

Zitat

Naja, dachte, dass man dann meine privaten Schlüssel nicht brute-forcen kann.

Den Public Keyring braucht man logischerweise nicht zu schützen.
Im Private Keyring ist der Private Key durch das festgelegte Passwort geschützt und verschlüsselt, und das sollte idealerweise eben nicht deutlich schwächer sein als das Passwort des Benutzerkontos, das eben den EFS-Schlüssel schützt.

Zitat

Aber ich möchte unbedingt mehr Details wissen, vielleicht hast Du ein paar Links, wo man (gute) Informationen erhält?

MSDN
Mark Russinovich, David Solomon: Inside Windows 2000
Doku zu Captive NTFS

Zitat

Das alles wurmt mich jetzt, da denkt man man hat schon ein optimales, sicheres System und dann stürtz alles in einem Posting zusammen

Sicherheit umfasst auch Schutz gegen Datenverlust durch zufällige Fehler oder absichtliche Manipulation. Die ist bei EFS verdammt mies, u.A. auch wegen der unvollständigen Spezifikation von NTFS.

Dieser Beitrag wurde von Rika bearbeitet: 14. Juni 2005 - 08:50

[Blasehase]

Zitat (BadAss: 13.06.2005, 22:59)

BTW: @Blasehase: Ich glaube ich bin hier Inkompetent. War ein Fehler, so blöd zu dir antworten, hab meine Lektion gelernt. Entschuldigung 
<{POST_SNAPBACK}>

.. was war da noch mal ... *grübel*

bin ja nich nachtragend ...
schön wenn man noch dazulernen kann oder ..

PS: hab mich da extra nich eingemischt, da rika das ja sehr gut erklärt hat...

Dieser Beitrag wurde von Blasehase bearbeitet: 14. Juni 2005 - 22:48