none
impossibile aprire file criptati con EFS RRS feed

Risposte

  • Dei file contenuti sul desktop dell’account “user A” sono stati criptati e sono stati generati i certificati .cer e .pfx. sono stati rigenerati nuovamente il giorno successivo e con altro nome ed in posizione di directory differente. Gli stessi sono stati importati nella MMC console dell’account  “user A”, da questo esportati, per poi essere importati dall’account “user B”. Provato ad prire i file criptati dall'account "user B", nessun problema.


    Questo passaggio non mi è chiaro. scusa...

    Per sbaglio sono stati eliminati i certificati .cer e .pfx dall’account “user A”. Ho provato ad  aprire quelli in formato word ( ma anche gli altri formati ) ma il computer risponde: “impossibile aprire il documento: l’utente non dispone dei diritti di accesso”. Nonostante questi siano stati tutti concessi a tutti gli users e administrator presenti.

    Si tratta di un comportamento (per fortuna) normale: la crittografia file system serve appunto a proteggere i dati dell'utente A.
    leggi qui: http://support.microsoft.com/kb/307877

    Hai ancora accesso all'account dell'utente A? Perchè se così fosse... (cito dal documento precedente):

    Se un altro utente crea un documento in una cartella crittografata, tale documento viene crittografato consentendo l'accesso solo a quell'utente (in base all'impostazione predefinita). Per questo motivo, una cartella crittografata può contenere documenti che non è possibile aprire. Per accedere a tali file è necessario che l'account utente in questione venga aggiunto all'elenco degli utenti che condividono i file crittografati.

     

    INOLTRE, leggi qui: http://support.microsoft.com/kb/223316/

    C'è scritto, tra l'altro:

    1. che i certificati dovrebbero essere TOLTI dal computer e salvati su supporto rimovibile in un luogo sicuro.
    2. che si dovrebbero addestrare gli utenti a crittografare intere cartelle e non singoli files (vedi sotto)
    3. implementare un programma di archiviazione degli agenti di recupero dati per garantire che i file crittografati possano essere recuperati utilizzando le chiavi di recupero precedenti. I certificati di recupero dati e le chiavi private devono essere esportati e archiviati secondo modalità controllate e protette. È preferibile che, come per tutti i dati protetti, i supporti di archiviazione siano conservati in un luogo ad accesso controllato e distinti in due archivi: un archivio principale e un archivio di backup. L'archivio principale deve essere conservato sul posto, mentre l'archivio di backup deve essere conservato in un luogo esterno protetto.

     

     

     

     

    Precedentemente a ciò, ho ritrovato la password di un'altro certificato di chiave privata che è stato importato nella console MMC, una volta importato questo ho importato anche il certificato .cer. Stranamente ho potuto riaprire solo uno dei sei file criptati, ma gli altri sono rimasti inaccessibili.

    Perchè i files sono stati crittografati singolarmente in tempi diversi o crittografati con diverse chiavi e poi spostati, cosa da evitare...

     


    Diego Castelli ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    • Contrassegnato come risposta fortuna977 sabato 18 settembre 2010 12:00
    sabato 18 settembre 2010 08:29

Tutte le risposte

  • ringrazio per le numerose risposte

    Ric

    venerdì 17 settembre 2010 20:14
  • buondì,

    ho individuato un link della Microsoft che riporta la procedura dettagliata per recuperare dei file criptati con EFS.

    vorrei sapere se questa procedura di ricupero http://support.microsoft.com/kb/929103/en-us/ prevista per l'agente di recupero dati DRA in wndows server 2003 ci sia anche per il windows XP prof. e soprattutto per il windows 7 ult., visto che la procedura parte dal windows server 2003 cioè in un'ambiente di dominio, in quanto al punto 3 indica di aprire Active Directory Users and Computers sotto strumenti di amministrazione per esportare il vecchio file .cer -.

    Per aprire l'analogo sul win xp pro?

    al punto 1 equivale a loggarsi sull'account dello user che deve recuperare i file criptati e non più apribili - cioè nel mio caso "User AZ" - o sull'account "admin. DRA/ARD"?

    dopo il punto 3.f indica che il certificato andrebbe esportato come .pfx. dalla mmc console dell'"admin. DRA/ARD", ma nella mmc avrei soltanto i criteri computer locale nel quale vi ho importato il file .cer generato ed importato sullo "user AZ" poi esportato da questo per poi essere perso ed importato sull' "admin. DRA/ARD" come .cer ( anche definito old certificate ai punti 4 e 5 ).

    E' chiaro quindi che non è possibile quindi esportarlo come chiave privata. E' un problema?

    il punto 5 và compiuto sempre dall'account del "admin. DRA/ARD", che è quindi l'account con il compito di agente recupero dati con diritti administrator?

    al punto 10 il comando cipher /u và eseguito sull'account user AZ che ha generato ed esportato la prima volta i certificati per poi averli persi e poi generati una seconda volta al punto 2? la corrett asintassi quale sarebbe?

    al punto 10 quando dice, "You can recover old EFS data by using the default recovery agent private key. Even though the recovery agent certificate expires, the recovery agent private key does not expire". The default recovery agent private key quale sarebbe - visto che per la configurazione dell'ARD nei criteri computer locale attiviato mediante l'aggiunta dello snap in editor criteri di gruppo è possibile aggiungere solo i certificati .cer - ? quella che ho generato ed importato come .pfx la prima volta sull'user AZ che è andata poi smarrita, o quella generata la seconda volta e importata al punto 7 come .cer?

    infine, quando ho digitato efsinfo /r /u /c mi ha risposto accesso negato, sia quando dal prompt mi sono locato nella directory desktop/archivio/criptazione che contiene i file criptati sia quando mi sono ubicato nella posizione di directory immediatamente sospra - che contiene i certificati .pfx e .cer - e cioè, dekstop/archivio ( ed anche scrivendo efsinfo /r /u /c c:\Documents and settings\user AZ\desktop\archivio\criptazione ).

    grazie

    Ric

    venerdì 17 settembre 2010 21:45
  • Dei file contenuti sul desktop dell’account “user A” sono stati criptati e sono stati generati i certificati .cer e .pfx. sono stati rigenerati nuovamente il giorno successivo e con altro nome ed in posizione di directory differente. Gli stessi sono stati importati nella MMC console dell’account  “user A”, da questo esportati, per poi essere importati dall’account “user B”. Provato ad prire i file criptati dall'account "user B", nessun problema.


    Questo passaggio non mi è chiaro. scusa...

    Per sbaglio sono stati eliminati i certificati .cer e .pfx dall’account “user A”. Ho provato ad  aprire quelli in formato word ( ma anche gli altri formati ) ma il computer risponde: “impossibile aprire il documento: l’utente non dispone dei diritti di accesso”. Nonostante questi siano stati tutti concessi a tutti gli users e administrator presenti.

    Si tratta di un comportamento (per fortuna) normale: la crittografia file system serve appunto a proteggere i dati dell'utente A.
    leggi qui: http://support.microsoft.com/kb/307877

    Hai ancora accesso all'account dell'utente A? Perchè se così fosse... (cito dal documento precedente):

    Se un altro utente crea un documento in una cartella crittografata, tale documento viene crittografato consentendo l'accesso solo a quell'utente (in base all'impostazione predefinita). Per questo motivo, una cartella crittografata può contenere documenti che non è possibile aprire. Per accedere a tali file è necessario che l'account utente in questione venga aggiunto all'elenco degli utenti che condividono i file crittografati.

     

    INOLTRE, leggi qui: http://support.microsoft.com/kb/223316/

    C'è scritto, tra l'altro:

    1. che i certificati dovrebbero essere TOLTI dal computer e salvati su supporto rimovibile in un luogo sicuro.
    2. che si dovrebbero addestrare gli utenti a crittografare intere cartelle e non singoli files (vedi sotto)
    3. implementare un programma di archiviazione degli agenti di recupero dati per garantire che i file crittografati possano essere recuperati utilizzando le chiavi di recupero precedenti. I certificati di recupero dati e le chiavi private devono essere esportati e archiviati secondo modalità controllate e protette. È preferibile che, come per tutti i dati protetti, i supporti di archiviazione siano conservati in un luogo ad accesso controllato e distinti in due archivi: un archivio principale e un archivio di backup. L'archivio principale deve essere conservato sul posto, mentre l'archivio di backup deve essere conservato in un luogo esterno protetto.

     

     

     

     

    Precedentemente a ciò, ho ritrovato la password di un'altro certificato di chiave privata che è stato importato nella console MMC, una volta importato questo ho importato anche il certificato .cer. Stranamente ho potuto riaprire solo uno dei sei file criptati, ma gli altri sono rimasti inaccessibili.

    Perchè i files sono stati crittografati singolarmente in tempi diversi o crittografati con diverse chiavi e poi spostati, cosa da evitare...

     


    Diego Castelli ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    • Contrassegnato come risposta fortuna977 sabato 18 settembre 2010 12:00
    sabato 18 settembre 2010 08:29
  • rispondo a parte per l'articolo KB:

    1. l'articolo titola:  Error message when you try to renew the default recovery agent certificate in Windows Server 2003, in Windows XP, or in Windows 2000: "This certificate cannot be renewed because it does not contain enough information to generate a renewal request".
      quindi NON E'
      "un link della Microsoft che riporta la procedura dettagliata per recuperare dei file criptati con EFS."
    2. al punto 1 equivale a loggarsi sull'account dello user che deve recuperare i file criptati e non più apribili - cioè nel mio caso "User AZ" - o sull'account "admin. DRA/ARD"?

      Admin DRA/ARD
    3. dopo il punto 3.f indica che il certificato andrebbe esportato come .pfx. dalla mmc console dell'"admin. DRA/ARD", ma nella mmc avrei soltanto i criteri computer locale nel quale vi ho importato il file .cer generato ed importato sullo "user AZ" poi esportato da questo per poi essere perso ed importato sull' "admin. DRA/ARD" come .cer ( anche definito old certificate ai punti 4 e 5 ).

      E' chiaro quindi che non è possibile quindi esportarlo come chiave privata. E' un problema?

      SI, se i certificati sono scaduti, no se non lo sono.
    4. prevista per l'agente di recupero dati DRA in wndows server 2003 ci sia anche per il windows XP prof. e soprattutto per il windows 7 ult., visto che la procedura parte dal windows server 2003 cioè in un'ambiente di dominio, in quanto al punto 3 indica di aprire Active Directory Users and Computers sotto strumenti di amministrazione per esportare il vecchio file .cer -.
      Ma tu non hai un dominio?

     

    Tagliando corto: forse stai cercando di usare una documentazione che non è appropriata per il tuo scopo. Leggi invece:

    http://technet.microsoft.com/en-us/library/bb457065.aspx

    a fondo. Sono convinto che il tuo caso abbia una soluzione, se hai ancora l'utente AZ o "user A", come lo chiami nel primo post.

     

    Ciao!


    Diego Castelli ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    • Modificato Diego Castelli sabato 18 settembre 2010 08:48 m'è scappato "inoltra"
    sabato 18 settembre 2010 08:39
  • ciao Diego,

    ringrazio per la risposta.

    i primi due post sono relativi ad una situazione che mi è avvenuta per errore su alcuni file posti su un computer non di dominio ( non ne ho ) ma che non c'entra nulla con il terzo post relativo a delle prove che sto eseguendo con la criptazione EFS.

    Provvedo a leggere l'altro link e spero di risolvere la questione.

    infine ti chiedo se è possibile contattarti successivamente via e-mail.

    Ric

    sabato 18 settembre 2010 09:48
  • ciao Diego,

    vorrei aggiungere, che l'articolo "Error message when you try to renew the default recovery agent certificate in Windows Server 2003, in Windows XP, or in Windows 2000: "This certificate cannot be renewed because it does not contain enough information to generate a renewal request" relativo al link http://support.microsoft.com/kb/929103/en-us/ l'ho preso in esame perchè volevo approfondire l'uso del comando cipher /u poichè

    ho la necessità di aggiornare il certificato di ripristino file .cer del DRA/ARD mediant eil comando cipher /u.

    grazie

    Ric

    lunedì 20 settembre 2010 10:03
  • Ciao Fortuna, sono contento che tu abbia risolto. il problema.

    Perchè hai rimosso il post iniziale?

    Come hai risolto, alla fine (scusa la curiosità...)

     

    Ciao! :-)


    Diego Castelli ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    lunedì 20 settembre 2010 13:44
  • Non ho ancora risolto il terzo post tant'è che mi sono rivolto ad una società informatica che svolge consulenza. Comunque ho dato uno sguardo al link che mi hai segnalato.

    Ric

    lunedì 20 settembre 2010 16:25