Автор Тема: EFS перешифровывает файлы сертификатом которого у меня нет  (Прочитано 375 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн kvv213

  • Новичок
  • *
  • Сообщений: 6
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Албания
Друзья, возник довольно-таки интересный вопрос связанный с Encrypted File System (EFS) в Win10 Pro.

Итак, в наличии рабочая станция, достаточно мощная, работающая под управлением Win10 Pro 21H1 (все апдейты в наличии). На машине имеется ряд директорий, в которой лежат файлы документов, фотографии, видеоклипы. Файлы синхронизируется с "облачными" сервисами посредством MS OneDrive, Resilio, Syncthing (каждый каталог отдельным сервисом, а не все сразу на один каталог). Эта каталоги, равно как и файлы в них, зашифрованы при помощи EFS.

Все работало норм, пока в один прекрасный день, я не обнаружил, что не могу получить доступ к некоторым файлам (совокупно менее 1 процента от общего количества). Система радостно сообщает, что у меня нет прав доступа к данному файлу. Однако, на этом ПК я единственный пользователь и я администратор. Права на файл у меня есть (проверяется через свойства, можно выставлять права индивидуально, не суть). Суть в том, что данные файлы были зашифрованы EFS не тем сертификатом, что все остальные.

Все файлы и каталоги зашифрованы сертификатом с Thumbprint начинающимся с 73fc. Файлы, к которым у меня нет доступа, зашифрованы с сертификатом 3709. Причем оба сертификата выданы на моего пользователя.

В certmgr я отлично могу найти мой сертификат 73fc с признаком возможности шифрования файловой системы. Но там нет сертификата с отпечатком 3709. Пробовал найти этот сертификат через Advanced EFS Data Recovery от Elcomsoft (правда программулина достаточно старая), но она такого сертификата не находит, даже при посекторном сканировании дисков.

Такое поведение EFS на этом ПК возникает уже третий раз. Единственное, что я могу сделать удалить эти файлы зашифрованные неизвестным мне сертификатом, который выдан на меня же. Благо все лежит в "облаках" и восстановить это дело не составляет труда.

Компьютер не в домене, правда он связан с двумя другими через эккаунт мелкософта, но ключи шифрования, насколько я понимаю, через это дело не синхронизируются.

То, что файлы синхронизируются, не должно быть причиной, просто все синхронизируемые каталоги зашифрованы на этом ПК. Плюс EFS это прозрачное шифрование и ПО получает файлы уже в расшифрованном виде. Более того, на двух других ПК, где есть аналогичное шифрование и с которыми синхронизируются те же файлы - такой проблемы нет.

Это не железо. Накопители разные: один это NVME, второй вообще Tiered Drive из SSD и HDD. Проблема вылезла на обоих дисках. Память тоже прогонял жесткими тестами - ошибки не вылазят. Процессор Ryzen, но на двух других ПК тоже Ryzen-ы. В целом ПК ведет себя прилично.

На вирусы - не похоже. Дело явно в EFS.

Отсюда вопросы:
1. Где можно еще поискать этот сертификат с отпечатком 3709? Куда их виндус складирует, что б руками грохнуть, потом все файлы перекачать под нормальный сертификат.
2. От чего оно вообще может происходить?
3. Как поменять текущий сертификат (на всякий случай)?

Благодарен за ответы и идеи.

PS. Антивирус, конечно же в наличии.

Оффлайн kvv213

  • Новичок
  • *
  • Сообщений: 6
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Албания
Пока работал за компом, обнаружил, что ранее недоступные файлы, вдруг стали доступными. К ним есть доступ, можно их расшифровать.
Проверил через cipher /y и вижу, что активный сертификат как раз неверный 3709.
Причем в certmgr его так и нету.

Оффлайн kvv213

  • Новичок
  • *
  • Сообщений: 6
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Албания
Еще добавление. После того, как система самопроизвольно переключилась на несуществующий сертификат 3709 (и у меня открылись все ранее недоступные файлы, сертификат 3709 стал активным это видно через cipher /y), я попробовал сделать экспорт этого сертификата через команду cipher /R (сохраняет сертификат для восстановления). Однако, сколько раз не нажимал, выгружались другие сертификаты, но не 3709.
Это немного позабавило.

Потом пошел еще раз в certmgr. Оказывается, что там есть поиск сертификатов. Если тапнуть на корне дерева хранилища сертификатов, а потом по пустому месту мышкой, то появится меню, в котором есть поиск. По отпечатку искать нельзя, но можно по пользователю выпустившему сертификат. И я нашел отсутствующий сертификат. Оказывается, что он лежит в хранилище Other people. Если зайти туда, там есть единственный сертификат и его отпечаток 73fc (т.е. верный и правильный). Но, через поиск именно там находит 3709.

Через контекстное меню поиска можно сертификат удалить, экспортировать, поменять его применение (отключить единственный признак, который как раз отвечает за привязку этого сертификата к EFS).
Однако, система не дает экспортировать ключ к сертификату, можно выгрузить только его самого. Плюс на сертификате стоит ошибка "This CA Root certificate is not trusted because it is not in the Trusted Root Certification Authorities store."

Оффлайн kvv213

  • Новичок
  • *
  • Сообщений: 6
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Албания
Дальше больше. Захожу в MMC - добавляю оснастку по сертификатам (добавил на машину, на пользователя и на сервис EFS). В MCC вижу сертификат 3709 в хранилище Other People. В certmgr там же лежит сертификат 73fc.

Оффлайн kvv213

  • Новичок
  • *
  • Сообщений: 6
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Албания
Далее, что сделал:
1. Удалил все каталоги с сихнонизацией-шифрованием. Их быстрее потом заново закачать, чем расшифровать.
2. Удалил сертификат 3709 (спасибо MMC). Заодно все остальные сертификаты, что относились к шифрованию EFS.
3. Восстановил синхронизацию и заново зашифровал. К этому моменту система опять переключилась на сертификат 73fc.

Дальше мы будем посмотреть.

Оффлайн kvv213

  • Новичок
  • *
  • Сообщений: 6
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Албания
К сожалению, несмотря на принятые меры ситуация повторилась в точном соответствии с первоначальным сценарием. Придется переустанавливать систему, заодно будет апргейд на Win11.

Оффлайн Fray

  • Администратор
  • Олдфаг
  • *****
  • Сообщений: 6481
  • Рейтинг: 57
  • Пол: Мужской
    • fray@sysadminz.ru
    • lushikafu
    • lushikafu
    • Просмотр профиля
    • IT-Бложек
  • Откуда: Петербург
заодно будет апргейд на Win11.
Не рановато-то ли?
MCSE: Messaging, MCSE: Communication, MCSE: Productivity, MCSA: Office 365, MCPS
my blog - http://it-blojek.ru