Відновлення паролів до EFS

В першій частині статті я розповідав про відновлення паролів облікового запису користувача при роботі з операційними системами Windows XP / Vista / 7 і відновленні паролів до пошти і інтернет-сайтам. Наступним завданням, якої часто доводиться займатися при розслідуванні інцидентів, є відновлення паролів до архівів, поштових клієнтів і EFS (Encrypting File System). Про це і піде мова в даній статті.


відновлення паролів до EFS

Дуже часто ми з вами при дослідженні комп'ютерів можемо спостерігати ситуацію, коли з тієї чи іншої причини втрачено доступ до папок або файлів, зашифрованих за допомогою EFS ( Encrypting File System ). Причому найчастіше користувач сам забуває зробити сертифікат для відновлення або переустановлює систему, не розшифрувавши попередньо відповідні файли і папки або не експортувати сертифікат. Як бути в цьому випадку?

Служба EFS (Encrypting File System) тісно інтегрована з NTFS . З'явилася вона в Windows 2000. Файлові системи станом на сьогодні не забезпечують необхідний рівень захисту даних від несанкціонованого доступу . Адже, незважаючи на те що в NTFS існує розмежування доступу, можна отримати доступ, завантажившись з-під сторонньої операційної системи. Єдиним засобом захисту від прочитання є шифрування файлів . Розглянемо докладніше, як працює EFS.

EFS використовує архітектуру Windows CryptoAPI . В її основі лежить шифрування з відкритим ключем. Для шифрування кожного файлу випадковим чином генерується ключ шифрування файлу. При цьому сам файл буде шифруватися за допомогою будь-якого симетричного алгоритму шифрування . В даний момент для цього використовується алгоритм DESX, який є спеціальною модифікацією DES.

Операції шифрування і дешифрування підтримуються для файлів і каталогів. У тому випадку, якщо шифрується каталог, автоматично шифруються всі файли і підкаталоги цього каталогу. Необхідно відзначити, що якщо зашифрований файл переміщається або перейменовується з зашифрованого каталогу в незашифрований, то він все одно залишається зашифрованим. Операції шифрування / дешифрування можна виконати двома різними способами - за допомогою Windows Explorer або консольної утиліти Cipher.

Зашифровані файли зберігаються на диску в зашифрованому вигляді. При читанні файлу дані автоматично розшифровуються, а при записі - автоматично шифруються.

Для шифрування в EFS використовується схема із загальним ключем. При цьому дані шифруються симетричним алгоритмом за допомогою згенерованого випадковим чином ключа FEK певної довжини. FEK шифрується одним або кількома загальними ключами шифрування, в результаті чого виходить список зашифрованих ключів FEK. Список зашифрованих ключів FEK зберігається в спеціальному атрибуті EFS, який називається DDF (data decryption field - поле дешифрування даних). Інформація, за допомогою якої проводиться шифрування даних , Жорстко пов'язана з цим файлом. Загальні ключі виділяються з пар для користувача ключів сертифіката X509 з додатковою можливістю використання File encryption. Особисті ключі з цих пар застосовуються при дешифрування даних і FEK.

FEK також шифрується за допомогою одного або декількох ключів відновлення (отриманих з сертифікатів X509, записаних в політиці відновлення зашифрованих даних для даного комп'ютера, з додатковою можливістю File recovery ).


Відновлення ключів EFS

Насправді, краще за все в цій ситуації відновити пароль користувача . Тоді розшифрувати EFS буде значно простіше, ми до цього ще повернемося. Однак необхідно розуміти, що навіть якщо у вас немає пароля, все одно можна спробувати розшифрувати відповідні файли і папки. Для цього призначено програмне забезпечення Advanced EFS Data Recovery.

В даному програмному забезпеченні для зручності користувача створено відповідний майстер Advanced EFS Data Recovery, за допомогою якого ви зможете покроково пройти весь процес розшифровки. Або можна скористатися "Режимом експерта" для того, щоб виконувати дії самому.

На мій погляд, якщо людина, що використовує Advanced EFS Data Recovery, не відчуває себе впевнено, набагато зручніше задіяти Майстер Advanced EFS Data Recovery. Розглянемо цей режим більш докладно.

На першому етапі роботи майстра Advanced EFS Data Recovery система запросить персональний сертифікат , Який використовували для EFS.

На першому етапі роботи майстра Advanced EFS Data Recovery система запросить персональний   сертифікат   , Який використовували для EFS

Припустимо, у вас є такий сертифікат (ситуація вкрай рідкісна, адже користувачі чомусь або нехтують експортом сертифікатів, або просто забувають, куди ж його експортували). У цьому випадку все досить просто. Від вас вимагається вибрати файл сертифіката та ввести пароль сертифіката. Далі проводиться пошук всіх зашифрованих з його допомогою папок і файлів на локальних розділах. Ви отримуєте список зашифрованих даними сертифікатом файлів, які можете розшифрувати. Природно, в разі дослідження комп'ютера розшифровувати доведеться на інший жорсткий диск або зовнішній носій , Щоб нічого не пошкодити.

Природно, в разі дослідження комп'ютера розшифровувати доведеться на інший   жорсткий диск   або   зовнішній носій   , Щоб нічого не пошкодити

Але як бути, якщо у вас немає сертифіката? У цьому випадку майстер Advanced EFS Data Recovery запропонує пошукати його на жорсткому диску. Врахуйте, що ви зможете шукати сертифікат не тільки серед існуючих файлів, але і серед віддалених. Але для цього необхідно включити прапорець "Перевіряти посекторного". Рекомендується включати даний режим при повторному скануванні, якщо на першому проході ви не виявили шукані сертифікати.

Рекомендується включати даний режим при повторному скануванні, якщо на першому проході ви не виявили шукані сертифікати

Далі деякий час у вас займе сам пошук ключів. В результаті пошуку буде виведено вікно майстра. Якщо ключі не знайдені, необхідно ввести ім'я користувача (власника EFS) і його пароль або в крайньому випадку HEX-код. Як отримати пароль користувача, було описано в попередній статті.

Якщо вам відомий пароль користувача, ви вводите ім'я відповідної облікового запису і її пароль і натискаєте кнопку "Вперед". далі відбувається дешифрування знайдених папок і файлів, зашифрованих за допомогою EFS. Як бачите, навіть якщо ви переустановили операційну систему, це не означає, що ви втратили дані, зашифровані за допомогою EFS.

Не забудьте, що якщо ви знаєте ім'я та пароль облікового запису, під якою здійснювалося шифрування , Процес розшифрування займе куди менше часу. В іншому випадку можна спробувати здійснити дешифрування за допомогою режиму експерта. Хоча треба визнати, що ймовірність позитивного результату в даному випадку помітно нижче. Вам буде запропоновано додати пароль зі словника. Природно, вважається, що файли словників у вас є.

Хотілося б відзначити наступне. Як ми бачимо, сьогодні існують досить потужні засоби відновлення (злому) паролів. Отже, для забезпечення їх стійкості у нас є три шляхи:

  1. Подальше нарощування довжини і складності (на мій погляд, шлях тупиковий, тому що рано чи пізно користувачі починають плутатися, забувати паролі, застосовувати один і той же на всі випадки життя і т. Д.).
  2. Використання біометричних засобів аутентифікації .
  3. Використання багатофакторної аутентифікації і сертифікатів. Даний шлях знову-таки, на мій погляд, значно перспективніше, однак варто врахувати, що запропоновані рішення, звичайно ж, коштують грошей, і часом чималих.

Вибір, природно, за вами.

Володимир Безмаль

Як бути в цьому випадку?
Але як бути, якщо у вас немає сертифіката?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация: