greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Дано, домен w2k-w2k3 (контроллеры как на 2000 так и на 2003) + клиенты 2000. Поставил CA на 2003 контроллер в как "enterprise CA", выписал ему сертификат (ну он сам себе типа), пользователи получили с него юзерские сертификаты и позашифровали им соот нужные им документы(папки), теперь вот надо кое что восстановить. Оговорюсь сразу - вопрос собственно не в том "помогите восстановить и т.д." Вопрос именно в системном подходе: тк при установке администратор системы (по идее) становиться автоматом агентом востановления, то почему я заходя под этой учёткой (доменного админа, домен в лесу один) не могу декриптовать файлы пользователя!? В груп-полиси смотрел - там есть именно учётка админа в полиси "агент восстановления"... Куда копать!? ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 12:10 31-05-2005 | Исправлено: greenfox, 16:40 31-05-2005

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору greenfox Цитата:   Certificates with an object identifier of 1.3.6.1.4.1.311.10.3.4.1 in the Enhanced Key Usage field of the certificates are valid for EFS recovery agent operations. EFS automatically generates its own certificates for the default recovery agent accounts: the domain Administrator account for the first domain controller installed in the domain and the local Administrator account for stand-alone computers. The default recovery agent certificates are placed in the personal certificate store for the Administrator account. To recover data, a valid recovery agent certificate and private key must be installed on the computer where the recovery takes place. EFS recovery policy is valid only if all recovery certificates are valid   Ключевые фразы выделенны.   Т.е. проверяй, есть ли на компе, где ты восстанавливаешь, сертификат recovery agent и заходи под локальным админом.   http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/Default.asp?url=/resources/documentation/Windows/2000/server/reskit/en-us/distrib/dscj_mcs_EAKO.asp ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3799 | Зарегистр. 16-07-2004 | Отправлено: 12:21 31-05-2005 | Исправлено: FreemanRU, 12:22 31-05-2005

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору FreemanRU так вроде так и делаю как в той статейке -> что-то не едут лыжи Опишу что делаю: 1. захожу (под учёткой домен-админа) в sertmgr.msc (подключена на user - те на этого домен админа), там вижу его личные сертификаты, вижу там (он один) сертификат EFSrecovery. Далее экспорт, включаю привэйт кей, созраняю в файл. 2. Иду на комп пипла, захожу там под учёткой этого самого домен админа, импортирую сертификат - он появляется также в папке личные сертификаты на том компе. 3. Пытаюсь декриптоват файл юзверя и получаю аксес динайд (на уровне нтфс права есть конечно, собственником файла становился). Делал тоже самое и под локальным админом - таже фигня.   Не могу врубиться в чём дело!? ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 12:57 31-05-2005 | Исправлено: greenfox, 12:59 31-05-2005

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору greenfox Странно. У тебя Локальный Админ уже должен быть агентом воостановления. Так написано тут: http://www.microsoft.com/rus/security/articles/windows_xp_security/xp_data_protect/01.mspx А чем восстанавливаешь? ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3799 | Зарегистр. 16-07-2004 | Отправлено: 13:48 31-05-2005

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору FreemanRU Цитата: Странно. У тебя Локальный Админ уже должен быть агентом воостановления каким это образом локальный админ может быть агентом восстановления!? Им станет любой чел с правами админа (точнее с правами на файл на уровне нтфс) у которого есть сертификат агента восстановлени... или ты это и имел ввиду!? Цитата: А чем восстанавливаешь? всмысле чем восстанавливаю!? Правой педалью на файле - св-ва - advanced - снимаю галочку с атрибута "encrypt contens..." и жму apply. Или не так надо!?!?!?!           ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 14:06 31-05-2005

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору greenfox Цитата: каким это образом локальный админ может быть агентом восстановления!?   вот таким: Цитата: В груп-полиси смотрел - там есть именно учётка админа в полиси "агент восстановления Цитата: Или не так надо!?!?!?!   а попробуй   Код:   cipher /?   ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3799 | Зарегистр. 16-07-2004 | Отправлено: 15:14 31-05-2005

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору FreemanRU Цитата: каким это образом локальный админ может быть агентом восстановления!?     вот таким:     Цитата:В груп-полиси смотрел - там есть именно учётка админа в полиси "агент восстановления   нет... это я в доменной-полиси смотрел - там соотв для домена указан агент востановления как админ домена! Вот его то сертификат я и экспортирую-импортирую... А в лок политиках на клиентах везде прописаны лок.админы... Наверно я что-то недогоняю!?     Цитата: а попробуй     Код:   cipher /?   щас почитаю...     ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 15:24 31-05-2005

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору greenfox Цитата: домена указан агент востановления как админ домена! Ой что-то ты путаешь... Там наверняка указана учетка "Администратор" а ни как не "DOMAIN\Администратор"? Или вместе с домен указана? ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3799 | Зарегистр. 16-07-2004 | Отправлено: 15:39 31-05-2005

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору FreemanRU Цитата: Ой что-то ты путаешь...   Там наверняка указана учетка "Администратор" а ни как не "DOMAIN\Администратор"?   Или вместе с домен указана? а там это где!? В домен полиси!? Там в разделе Цитата: Computer configuration - Windows settings - Security settings - Public Key Policies - Encrypted Data Recovery Agents   смотрю... там учётка вроде как вообще не указана, точнее там же пишется "Issued To"\"Issued By" - так там написано: "Issued To = administrator" "Issued By = DomainCA"   естественно. что administrator понимается как админ домена ибо так в сертификате сказано... там же есть соотв поля вроде...     ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 15:58 31-05-2005

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору greenfox Цитата: смотрю... там учётка вроде как вообще не указана, точнее там же пишется "Issued To"\"Issued By" - так там написано:   "Issued To = administrator"   "Issued By = DomainCA"   мда... проебавши... давно не работал с EFS.. там же сертификат указывается, а не учетка..   Что с cipher? ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3799 | Зарегистр. 16-07-2004 | Отправлено: 16:20 31-05-2005

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору FreemanRU Цитата: Что с cipher? даю команду   Код: C:\>cipher /d /s:c:\2\serial.txt    Setting the directory c:\2\serial.txt not to encrypt new files [ERR] c:\2\serial.txt: Access is denied. c:\2\serial.txt: The directory name is invalid. где c:\2 - папка с защифрованными другим (доменным) пользователем.   Может в груп-полиси дело!? Может быть такое что они некорректно применились\неприменились и при шифровании пользователем данных сертификат доменного_агента_востановления (domain\administrator) не учитывался!? Можно как это проверит!? ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 16:28 31-05-2005 | Исправлено: greenfox, 16:31 31-05-2005

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору greenfox Цитата: груп-полиси дело!?   Проверь RSoP-ом   Цитата: Можно как это проверит!?   http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/Default.asp?url=/resources/documentation/Windows/2000/server/reskit/en-us/distrib/dscj_mcs_EAKO.asp Цитата:   To view user information for an encrypted file, type the following at the command prompt:   efsinfo /u <filename>   The user name and e-mail address of the file's encryptor are then displayed.   To view recovery agent information for an encrypted file, type the following at the command prompt:   efsinfo /r <filename>   The user names and e-mail addresses of the file's recovery agent accounts are then displayed.   ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3799 | Зарегистр. 16-07-2004 | Отправлено: 16:40 31-05-2005

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору FreemanRU да, интересная утилитка эта esfinfo.exe Вот что выдала: Код:   C:\>efsinfo /r /c /u c:\2\serial.txt   c:\2\   serial.txt: Encrypted   Users who can decrypt:     DOMAIN\user2 (CN=user2, OU=-usr-, DC=domain, DC=ru)     Certificate thumbprint: B70A 1B88 2058 C2CC 37D0 ACBE 0952 8497 8AA7 A3A0   Recovery Agents:     DOMAIN\administrator (OU=EFS File Encryption Certificate, L=EFS, CN=Administrator)     Certificate thumbprint: 91BD F15C 3664 3F24 490F B94D 4AE1 5459 D038 DB2B Но!!! С таким отпечатком (thumbprint) у админа (DOMAIN\administrator) нет не одного сертификата!!! Вроде админиские сертификаты не удалял (правда я апдейтил корневой сертификат, хотя после этого снова проапрувил вроде как в домен-полиси нового агента)... хм... странно... что-то я видать накосячил, пока манипулировал всем этим...   ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 17:37 31-05-2005 | Исправлено: greenfox, 17:38 31-05-2005

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору короче разобрался в итоге: оказывается в GP дефолтовой был рекавери агентом указан домен-админ с непонятным сертификатом... незнаю, может его удалили этот сертификат... а тк дефолтовая применялась последней, то именно его сертификат и шифровал симетр ключ пользователя... блин...   FreemanRU Спасибо за помощь.   efsinfo и cipher помогли в итоге, так же как и gpresult ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 18:07 01-06-2005

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору greenfox Наступил на те же грабли. Удалили (давно) CA (центр сертификации), и теперь не могу восстановить зашифрованный файл. ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3799 | Зарегистр. 16-07-2004 | Отправлено: 11:38 11-07-2006

Elaniel Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Домен Win2003 (два контроллера), клиенты WinXP SP2. Был установлен доменный центр сертификации, настроена групповая политика с агентом восстановления. Года два всё работало нормально. Потом на контроллере, где установлена СА, слетела часть служб (так и не смогли разобраться почему), в том числе и служба сертификации. Шифрование сейчас работает, файлики шифруются/дешифруются уже выданными сертификатами. Поставили СА на другой контроллер, он работает нормально. Встал вопрос, что делать с неработающей СА, если мы её сейчас удалим, пользователи смогут открыть свои файлы (наверно, да, но всё равно стрёмно)? И вообще, хотелось бы спросить у общественности как оптимальней в нашей ситуации перейти на новую СА (сейчас файлы шифруются уже выданными сертификатами старого СА)? Всего записей: 628 | Зарегистр. 08-10-2002 | Отправлено: 11:10 29-09-2008

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » CA: агент восстановления EFS

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование