EFS failide taastamine

EFS ehk Encrypted File System on NTFS failisüsteemi lisavõimalus, mis võimaldab kasutajatel krüpteerida oma faile, salastades nii nende sisu. Tegemist on avaliku võtme krüptograafiaga ehk failide krüpteerimiseks kasutatakse avalikult teada olevat võtit. See tähendab, et sinu võtmega saavad faile krüpteerida ka teised kasutajad, kuid lugeda saad vaid sina ise kasutades oma salajast võtit. EFS-i võimaldavad kasutada Windowsi ärikasutajatele suunatud versioonid (XP Professional, Vista Business, Vista Enterprise, Vista Ultimate, Windows Server).

Encrypt

EFS-i on väga mugav ja lihtne kasutada – tuleb vaid Windows Exploreris valida faili (või kausta) omadused ning märkida, et rakenda krüpteerimist. Faili krüpteerimine ja dekrüpteerimine käib edaspidi taustal. Kuid probleem tekib siis, kui arvuti läheb rikki ja päästetud kõvakettalt on neid faile tarvis teisest arvutist kasutada. See tähendab, et krüpteerimiseks ja dekrüpteerimiseks kasutatavad võtmed tuleb teise arvutisse lisada.

Taastamine teisest arvutist

Parimal juhul on teil tehtud oma võtmetest koopia ja seega piisab vaid krüpteerimissertifikaadi importimisest (vaadake artikli lõpupoole toodud samme importimise ja eksportimise teostamiseks). Veidi vähem õnnelikul juhul saate kasutada aga Advanced EFS Data Recovery nimelist tarkvara. Advanced EFS Data Recovery küsib teilt millisel kettal asuvad arvuti kasutajate profiilid, seejärel, kus asuvad taastatavad failid ning lõpuks küsib ta veel kasutajate nimesid ja paroole, mis on vajalikud privaatvõtmete dekrüpteerimiseks. Seejärel üritab ta teie faile taastada (prooviversioon taastab failidest ainult esimesed baidid). Kuid mõnikord ei saa ka Advanced EFS DataRecovery failide taastamisega hakkama. See juhtub näiteks siis kui krüpteeritud või krüpteerimiseks kasutatud failidele on seatud teatud viisil piiratud õigused.

EFS võtme taastamine virtuaalarvuti abil

Ainus viis sel viisil kaitstud faile lugeda (privaatvõtit taastada/kasutada) on kasutades täpselt sama kasutajat (või taastamisõigusega kasutajat juhul kui EFS ole seadistatud taastamisõigusega kasutajaga), kes need failid krüpteeris. Täpselt sama kasutaja tähendab seda, et samad peavad olema nii kasutajanimi ja parool kui ka kasutaja id ja arvuti id.

Täpselt sama kasutaja loomine tähendab registris kaitstud registriosas (st. registriosas, mille muutmiseks tavaliselt isegi administraatoril õigust pole) muudatuste tegemist, mistõttu ei tohiks seda teha arvutis, mida hetkel aktiivselt kasutate. Kasulik on selle jaoks teha ajutiselt virtuaalarvuti või kasutada ajutist Windowsi paigaldust. Ka taastatavast kettast tuleks enne tagavarakoopia teha. Üks väga lihtne lahendus on kasutada vabavaralist Virtual PC-d.

Kettakoopia loomine Virtual PC-ga

Virtual PC-ga ketta koopia tegemiseks tuleb teha järgmised sammud:

  1. Käivitage Virtual PC administraatorina
  2. Valiga File -> Virtual Disk Wizard
  3. Vajutage Next
  4. Valige “Create a new virtual disk” ja vajutage Next
  5. Valige “A virtual hard disk” ja vajutage Next
  6. Valige uue virtuaalse ketta asukoht ja vajutage Next
  7. Valige “Linked to a hard disk” ning vajutage Next
  8. Valige ketas ja vajutage Next
  9. Vajutage Finish
  10. Valige uuesti File -> Virtual Disk Wizard
  11. Vajutage Next
  12. Valige “Edit an existing virtual disk” ja vajutage Next
  13. Valige sammul 6 loodud virtuaalketas ja vajutage Next
  14. Valige “Convert it to a fixed-size virtual disk
  15. Valige “Saving the file as:” ning uue virtuaalse ketta asukohat ja vajutage Next
    NB! Valitud asukohal peab olema vähemalt sama palju vaba ruumi kui on teie konverditava ketta kettamaht!
  16. Vajutage Finish ja oodake kuni võlur oma töö lõpetab.
  17. Väljuge Virtual PC-st

Uue virtuaalmasina loomine

Virtual PC-ga uue virtuaalmasina loomiseks tuleb teha järgmised sammud:

  1. Käivitage Virtual PC
  2. Valige File -> New Virtual Machine Wizard
  3. Vajutage Next
  4. Valige “Create a virtual machine” ja vajutage Next
  5. Valige uue virtuaalmasina nimi (ja asukoht) ning vajutage Next
  6. Võite valida operatsionisüsteemi (aga ei pea) ning vajutage Next
  7. Valige virtuaalmasinale eraldatud RAM mälu maht (soovitavalt 512 MB) ning vajutage Next
  8. Valige “An existing virtual hard disk” ja vajutage Next
  9. Valige virtuaalketas, mille lõite ketta loomise sammul 15 ning vajutage Next
  10. Vajutage Finish

Nüüd on teil olemas uus virtuaalarvuti, mille saate käivitada vajutades Virtual PC-s nuppu Start. Juhul kui teil veab, saate virtuaalarvutis kohe oma vana Windows süsteemi kasutada, halvemal juhul on virtuaalarvutis olev Windows mitte ühilduv Virtual PC-ga ning virtuaalarvuti näitab teile sinist ekraani veateatega (BSOD ehk Blue Screen Of Death). Viimasel juhul ei jää muud üle kui tuleb virtuaalkettale ajutiselt uus Windows paigaldada (võib kasutada mõnda prooviversiooni, Windowsi registreerimine pole vajalik, sest arvuti ja paigaldus on ajutine – kasutatakse ainult võtmete kätte saamiseks). Uus Windows tuleks paigaldada samale kettale, kus oli vana Windows ning uus Windowsi paigaldus peab ka toetama EFS-i.

Arvuti SID muutmine

Peale uue Windowsi paigaldamist tuleb muuta arvuti id võrdseks vana arvuti id-ga. Vana arvuti id saab teada vaadates päästetud kettal kataloogi “Documents and Settings\kasutajanimi\Application Data\Microsoft\Crypto\RSA” (Vista all “Users\kasutajanimi\AppData\Roaming\Microsoft\Crypto\RSA”) kataloogis olevat katalooginime. Selle nime esimene osa (S-1-5-21- järel) on arvuti id, viimane nelik on kasutaja id. Arvuti id muutmiseks on mugav kasutada programmi NewSID. NewSID tuleb käivitada administraatorina ning uueks SID-ks tuleb valida vana arvuti SID. Peale SID vahetamist tuleb virtuaalarvutile taaskäivitamine teha.

Kasutaja id seadmine

Kasutaja id seadmine on aga keerulisem, samas on lootus, et vajaliku id-ga kasutaja on juba olemas. Kontrollimaks, millised kasutaja id-d on arvutis, tuleb kõige esimese asjana kasutaja id üles kirjutada kuueteistkümnendsüsteemis. Mugav on selleks kasutada Windowsi kalkulaatorit. Näiteks kasutaja id 1003 on kuueteistkümnendsüsteemis 3eb. Seejärel tuleb avada regedit ning vaadata, millised on võtme hklm\sam\sam\domains\account\users\ alamvõtmed (HKLM = HKEY_LOCAL_MACHINE, hklm\sam\sam võti vajab vaatamiseks vastava õiguse lisamist kasutajale: Edit -> Permissions…). Juhul kui sobiva numbriga (kuueteistkümnendsüsteemis, prefiksiga nullid) võti on olemas, saate taastamiseks kasutada vastavat kontot (vaadake alamvõtme v sisu, et teada saada kasutaja nime) – muuta tuleb vaid kasutajanimi ja parool samaks, mis olid vanas arvutis.Regedit user id

Kui aga õige id-ga kasutaja puudub, tuleb selle loomisega veidi rohkem vaeva näha. Nimelt tuleb soovitud id kirjutada võtmes hklm\sam\sam\domains\account\f asukohale 48 (NB! baitide järjekord on muudetud – 03 eb asemel on eb 03). Seejärel tuleb virtuaalarvuti taaskäivitada ning luua uus kasutaja, kellel on faile krüpteerinud kasutajaga sama nimi ja parool. Uus loodud kasutaja saab oma id-ks just soovitud id. Kasulik on lisada loodud kasutaja ka administraatorite gruppi (st. loodav kasutaja võiks olla administraatori õigustega).

Kasutaja profiili taastamine

Järgnevalt tuleb loodud kasutajaga sisse logida. Esmakordsel sisse logimisel luuakse ka kasutajale profiil ning enne krüptovõtmete taastamist tuleb vana kasutaja profiil üle kanda loodud kasutaja alla. Täpsemalt tuleb ümber kopeerida järgmised profiili kaustad:

  • %APPDATA%\microsoft\crypto\ – Sisaldab krüpteeritud privaatvõtmeid.
  • %APPDATA%\microsoft\protect\ – Privaatvõtmete krüptovõtmed kaitstuna sinu parooliga.
  • %APPDATA%\microsoft\systemcertificates\ – Avalikud võtmed (tegelikult pole vajalikud, sest need saab ka hiljem genereerida).

%APPDATA% on vanemates Windowsi versioonides “%USERPROFILE%\application data” kataloog, uuemates “%USERPROFILE%\AppData\Roaming” (tegemist on keskkonnamuutujaga), %USERPROFILE% on vastavalt kasutaja profiili kataloog (“C:\Documents And Settings\kasutajanimi” vanemates, “C:\Users\kasutajanimi” uuemates). Profiili kopeerimise järel tuleb teha virtuaalarvutile taaskäivitus (võimalik, et piisab kasutaja välja ja sisse logimisest, kuid taaskäivitus on turvalisem). Ära ei tohi unustada ka kasutajale lugemis- (ja kirjutamis-) õiguse andmist kopeeritud kataloogides.

Krüptovõtme eksportimine

EFS krüptovõtme eksportimiseks tuleb teha järgmised sammud:Certificates EFS

  1. Logige võtme omanikuna arvutisse
  2. Käivitage Microsoft Management Console (Run… -> mmc , Enter).
  3. Valige menüüst File -> Add/Remove Snap-in…
  4. Valige nimekirjast Certificates ning vajutage Add. Vajutage OK, et sulgeda dialoog.
  5. Avage “Certificates – Current User” -> Personal -> Certificates
  6. Otsige üles sertifikaat, mille “Intended Purposes” veerus on kirjas “Encrypting File System“. Kui sellist sertifikaati pole, siis on profiili taastamises tehtud viga (kontrollige üle kasutaja ja arvuti id ning see, et kopeeritud kataloogid oleksid loetavad kasutaja jaoks) või on tegemist vale kasutajaga.
  7. Tehke parem klõps sertifikaadi peal ja valige “All tasks” -> Export…
  8. Vajutage Next
  9. Valige “Yes, export the private key” ning vajutage Next. Kui Valikut “Yes, export the private key” pole või teile antakse teade, et privaatvõtit ei leitud, on teil tõenäoliselt kasutaja või arvuti id vale. Kontrollige need üle ja vajadusel korrake eeltoodud protseduuri (sealjuures pöörake tähelepanu ka taaskäivitamise vajalikkusele).
  10. Valige soovitud failiformaat (võib jätta vaikimisi valiku) ning vajutage Next
  11. Sisestage parool (kaks korda) eksporditud sertifikaadi kaitsmiseks volitamata importimise eest ning vajutage Next
  12. Valige eksporditava faili nimi ja asukoht ning vajutage Next
  13. Vajutage Finish eksportimise teostamiseks.

Eksporditud sertifikaadi võite nüüd viia teise arvutisse, kus te soovite krüpteeritud faile lugeda. Virtuaalarvutist tööarvutisse saab faile liigutada mugavalt kui paigaldate virtuaalarvutis Virtual Machine Additions’ (saab valida Virtual PC File menüüst). Virtual Machine Additions paigaldus vajab virtuaalarvuti taaskäivitamist, mille järel saate Virtual PC akna allosas oleval kausta ikoonil paremklõpsu tehes jagada faile ja katalooge Virtual PC-d jooksutavas arvutis (jagatud kataloogid esitatakse virtuaalmasinas uute ketastena). Lisaks failide jagamise võimalusele muutub ka hiire kasutamine mugavamaks, sest enam pole tarvis “Host” klahvi (vaikimisi Alt Gr) vajutada, et hiirt virtuaalarvuti ekraanilt kätte saada

Krüptovõtme importimine

Krüpteeritud failide lugemiseks tuleb krüpteerimise privaatvõtme sertifikaat importida oma sertifikaatide juurde. Sertifikaadi importimiseks tuleb teha järgmised sammud:

  1. Logige arvutisse
  2. Käivitage Microsoft Management Console (Run… -> mmc , Enter).
  3. Valige menüüst File -> Add/Remove Snap-in…
  4. Valige nimekirjast Certificates ning vajutage Add. Vajutage OK, et sulgeda dialoog.
  5. Avage “Certificates – Current User” -> Personal -> Certificates
  6. Valige menüüst Actions -> “All tasks” -> Import…
  7. Vajutage Next
  8. Valige imporditav fail ja vajutage Next
  9. Sisestage eksportides valitud parool. uhul kui soovite jätta võimaluse võtit kunagi hiljem eksportida, siis valige ka “Mark this key as exportable“. Vajutage Next
  10. Valige “Place all certificates in the following store” ja valige “Certificate store:” “Personal” (teistes kogudes ei tööta EFS privaatse võtmega sertifikaat). Vajutage Next
  11. Vajutage Finish importimise teostamiseks.

Nüüd saate te taas ligi oma krüpteeritud andmetele oma krüpteeritud kettal. Kui mõne faili puhul saate jätkuvalt “Access Denied” veateate, siis tuleb lihtsalt lisada teie kasutajakontole õigus seda faili lugeda (või muuta) – dekrüpteerimiseks (ja uute failide krüpteerimiseks) on kõik vajalik teil olemas.

Peale privaatvõtme taastamist ja tööarvutisse importimist on soovitav virtuaalarvuti ja virtuaalketas ära kustutada (eemaldada). Seda seetõttu, et sealne süsteem ei oma stabiilset konfiguratsiooni – osa konfiguratsioonist on “vale” arvuti oma ning osa (nt. registrivõtmed) muutusi põhjustavad tõenäoliselt hiljem konflikte arvuti ja kasutajate konfiguratsioonis. Virtuaalarvuti ja virtuaalketas võtavad ka palju ressursse (eriti kettaruumi), mille vabastamine aitab teie töökeskkonda kiiremaks ja mahukamaks muuta.

EFS taastamine kahjustunud kasutajaprofiili korral

Siin artiklis ei käsitleta olukorda, kus kasutaja profiil on kannatada saanud (nt. ketta rikke tagajärjel). See siiski ei tähenda, et andmete taastamine ja krüptovõtmete leidmine sel juhul võimatu oleks – lihtsalt vaeva tuleb rohkem näha. Juhendi, kuidas kettalt leida üles privaatvõti ja see taastada leiate beginning to see the light lehelt.

2 thoughts on “EFS failide taastamine”

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga