Просмотр сообщений
1
Windows / EFS перешифровывает файлы сертификатом которого у меня нет
« : 10 сентября 2021, 10:45:08 »
Друзья, возник довольно-таки интересный вопрос связанный с Encrypted File System (EFS) в Win10 Pro.
Итак, в наличии рабочая станция, достаточно мощная, работающая под управлением Win10 Pro 21H1 (все апдейты в наличии). На машине имеется ряд директорий, в которой лежат файлы документов, фотографии, видеоклипы. Файлы синхронизируется с "облачными" сервисами посредством MS OneDrive, Resilio, Syncthing (каждый каталог отдельным сервисом, а не все сразу на один каталог). Эта каталоги, равно как и файлы в них, зашифрованы при помощи EFS.
Все работало норм, пока в один прекрасный день, я не обнаружил, что не могу получить доступ к некоторым файлам (совокупно менее 1 процента от общего количества). Система радостно сообщает, что у меня нет прав доступа к данному файлу. Однако, на этом ПК я единственный пользователь и я администратор. Права на файл у меня есть (проверяется через свойства, можно выставлять права индивидуально, не суть). Суть в том, что данные файлы были зашифрованы EFS не тем сертификатом, что все остальные.
Все файлы и каталоги зашифрованы сертификатом с Thumbprint начинающимся с 73fc. Файлы, к которым у меня нет доступа, зашифрованы с сертификатом 3709. Причем оба сертификата выданы на моего пользователя.
В certmgr я отлично могу найти мой сертификат 73fc с признаком возможности шифрования файловой системы. Но там нет сертификата с отпечатком 3709. Пробовал найти этот сертификат через Advanced EFS Data Recovery от Elcomsoft (правда программулина достаточно старая), но она такого сертификата не находит, даже при посекторном сканировании дисков.
Такое поведение EFS на этом ПК возникает уже третий раз. Единственное, что я могу сделать удалить эти файлы зашифрованные неизвестным мне сертификатом, который выдан на меня же. Благо все лежит в "облаках" и восстановить это дело не составляет труда.
Компьютер не в домене, правда он связан с двумя другими через эккаунт мелкософта, но ключи шифрования, насколько я понимаю, через это дело не синхронизируются.
То, что файлы синхронизируются, не должно быть причиной, просто все синхронизируемые каталоги зашифрованы на этом ПК. Плюс EFS это прозрачное шифрование и ПО получает файлы уже в расшифрованном виде. Более того, на двух других ПК, где есть аналогичное шифрование и с которыми синхронизируются те же файлы - такой проблемы нет.
Это не железо. Накопители разные: один это NVME, второй вообще Tiered Drive из SSD и HDD. Проблема вылезла на обоих дисках. Память тоже прогонял жесткими тестами - ошибки не вылазят. Процессор Ryzen, но на двух других ПК тоже Ryzen-ы. В целом ПК ведет себя прилично.
На вирусы - не похоже. Дело явно в EFS.
Отсюда вопросы:
1. Где можно еще поискать этот сертификат с отпечатком 3709? Куда их виндус складирует, что б руками грохнуть, потом все файлы перекачать под нормальный сертификат.
2. От чего оно вообще может происходить?
3. Как поменять текущий сертификат (на всякий случай)?
Благодарен за ответы и идеи.
PS. Антивирус, конечно же в наличии.
Итак, в наличии рабочая станция, достаточно мощная, работающая под управлением Win10 Pro 21H1 (все апдейты в наличии). На машине имеется ряд директорий, в которой лежат файлы документов, фотографии, видеоклипы. Файлы синхронизируется с "облачными" сервисами посредством MS OneDrive, Resilio, Syncthing (каждый каталог отдельным сервисом, а не все сразу на один каталог). Эта каталоги, равно как и файлы в них, зашифрованы при помощи EFS.
Все работало норм, пока в один прекрасный день, я не обнаружил, что не могу получить доступ к некоторым файлам (совокупно менее 1 процента от общего количества). Система радостно сообщает, что у меня нет прав доступа к данному файлу. Однако, на этом ПК я единственный пользователь и я администратор. Права на файл у меня есть (проверяется через свойства, можно выставлять права индивидуально, не суть). Суть в том, что данные файлы были зашифрованы EFS не тем сертификатом, что все остальные.
Все файлы и каталоги зашифрованы сертификатом с Thumbprint начинающимся с 73fc. Файлы, к которым у меня нет доступа, зашифрованы с сертификатом 3709. Причем оба сертификата выданы на моего пользователя.
В certmgr я отлично могу найти мой сертификат 73fc с признаком возможности шифрования файловой системы. Но там нет сертификата с отпечатком 3709. Пробовал найти этот сертификат через Advanced EFS Data Recovery от Elcomsoft (правда программулина достаточно старая), но она такого сертификата не находит, даже при посекторном сканировании дисков.
Такое поведение EFS на этом ПК возникает уже третий раз. Единственное, что я могу сделать удалить эти файлы зашифрованные неизвестным мне сертификатом, который выдан на меня же. Благо все лежит в "облаках" и восстановить это дело не составляет труда.
Компьютер не в домене, правда он связан с двумя другими через эккаунт мелкософта, но ключи шифрования, насколько я понимаю, через это дело не синхронизируются.
То, что файлы синхронизируются, не должно быть причиной, просто все синхронизируемые каталоги зашифрованы на этом ПК. Плюс EFS это прозрачное шифрование и ПО получает файлы уже в расшифрованном виде. Более того, на двух других ПК, где есть аналогичное шифрование и с которыми синхронизируются те же файлы - такой проблемы нет.
Это не железо. Накопители разные: один это NVME, второй вообще Tiered Drive из SSD и HDD. Проблема вылезла на обоих дисках. Память тоже прогонял жесткими тестами - ошибки не вылазят. Процессор Ryzen, но на двух других ПК тоже Ryzen-ы. В целом ПК ведет себя прилично.
На вирусы - не похоже. Дело явно в EFS.
Отсюда вопросы:
1. Где можно еще поискать этот сертификат с отпечатком 3709? Куда их виндус складирует, что б руками грохнуть, потом все файлы перекачать под нормальный сертификат.
2. От чего оно вообще может происходить?
3. Как поменять текущий сертификат (на всякий случай)?
Благодарен за ответы и идеи.
PS. Антивирус, конечно же в наличии.