Hallo allseits,
ich spiele gerade mit EFS rum und komme auf keinen grünen Zweig. Eventuell habe ich da was komplett falsch in Erinnerung … kann mich wer mit dem Bug in die richtige Richtung stellen?
Gefechtsannahme: User hat *irgendwie* seinen Schlüssel verbummelt, seinen Acocunt, was auch immer. Jedenfalls soll der Recovery Agent ran.
Übungsgelände: 1 Windows 2003 Server/AD Controller/SP-2, 1 Windows XP Arbeitsstation, Domänen-Mitglied, SP-3. Einstellung Default. Angenehmer Weise. Verzeichnis auf der lokalen Arbeitsstation (c:\temp), NTFS Berechtigung Jeder-Vollzugriff.
Übungsteilnehmer: Domänen-Account Administrator, lokaler Account Administrator, Domänen-Account Test1 (nur Domänen-Benutzer), Lokaler Account Test2 (nur lokaler Benutzer).
Vorbereitung: einmalig mit jedem der 4 Accounts an der Arbeitsstation angemeldet, und in c:\temp jeweils eine Datei angelegt. Sind also 4 Dateien drinnen, und jede wurde von ihrem Ersteller verschlüsselt (Eigenschaften - Haken rein bei „Inhalt verschlüsseln“.
Test 1: Angemeldet als Domänen-Admin.
Erwartetes Resultat: der Administrator der Domäne kann alle 4 Dateien entschlüsseln (Haken wieder rausmachen und Inhalt lesen). Zumindest bei den beiden unter den Domänenkonten erstellten Dateien.
Tatsächliches Resultat: er kann nur seine eigene Datei entschlüsseln, bei den anderen bekommt er „Zugriff verweigert“. Offenbar kann er mit seinem Recovery-Zertifikat gar nichts entschlüsseln, für seine eigene Datei braucht er ja keins.
Geprüft: Sicherheitsrichlinie der Domäne auf dem DC geöffnet, Default Domain Policy, "Computerkonfiguration - … - „verschlüsselndes Dateisystem“: 1 Zertifikat vorhanden, ausgestellt für „Administrator“, Zweck „Dateiwiederherstellung“, gültig bis 2011. Einzige Auffälligkeit: Zertifikat wird bei Eigenschaften angemeckert weil „es nicht von einer vertrauenswürdigen Stammzertifizierungsstelle stammt“. Kann eine Rolle spielen oder auch nicht. --> festgefahren.
Test 2: angemeldet als lokaler Admin.
Vorab lokale Sicherheitsrichtlinie geprüft. Secpol.msc - Sicherheitseinstellungen - … - „Dateisystem wird verschlüsselt“ (oh Mann, erschieß doch mal endlich einer die Übersetzer …): kein Zertifikat eingetragen.
Dateitest wiederholt - selbes Resultat: Account kann nur seine eigene Datei entschlüsseln. War zu erwarten.
cipher/r:bla.txt Zertifikat des lokalen Admins exportiert, mit Passwort geschützt, und über secpol.msc (s.o.) wieder importiert. Erste Auffälligkeit: Passwort wird nicht abgefragt. Zertifikat erscheint trotzdem in der Liste der Zertifikate: ausgestellt für Administrator, Zweck „Dateiwiederherstellung“. Datei-Lesetest wiederholt, wieder kein Zugriff auf Dateien der anderen Benutzer. War zu erwarten, da nach meinem Verständnis das Zertifikat des Recovery-Agenten bereits vorhanden sein muss wenn die Datei verschlüsselt wird. Also alle 4 Dateien gelöscht, mit jedem Account einmal angemeldet und Datei wieder erstellt.
Erwartetes Verhalten: Lokaler Administrator kann alle 4 Dateien entschlüsseln, oder zumindest die mit dem lokalen Account erstellten.
Ergebnis: kann wieder nur die eigene Datei enstchlüsseln. Also nix.
–> festgefahren.
Jetzt reichts, mir gehen die Ideen aus. Habe ich EFS Recovery generell nie richtig verstanden? Wie geht das nun *wirklich* mit dem Nachschlüssel, und mit lokalen und Domänen-Konten?
Wer kann helfen?
Armin.