Come recuperare EFS Cert dal backup?

Naviga le tue risposte
8

Ho fatto un backup del vecchio Win 7 Pro, quindi ho fatto un'installazione pulita. Ma ho dimenticato di esportare il mio certificato di crittografia EFS, quindi quando ho ripristinato i file crittografati dal backup non ho potuto più accedervi. Fino a qui, nessuna sorpresa.

Ho quindi studiato e scoperto che i certificati sono memorizzati nella cartella C:\Users\username\AppData\Roaming\Microsoft\SystemCertificates\My\ . Sono passato a quella posizione nel backup e ripristinato i certificati e le chiavi nella stessa posizione nella nuova installazione .

Ora, quando apro il gestore dei certificati EFS (non il gestore dei certificati MMC) mi chiede di selezionare o creare un certificato personale. Posso navigare attraverso tutti i vecchi certificati della macchina (che ora sono disponibili, dal momento che ho ripristinato i file cert dalla vecchia macchina). Posso selezionare i certificati che sembrano essere i certificati personali (il nome del certificato è il mio nome utente ), ma il gestore dei certificati EFS non mi consente di utilizzare nessuno di questi certificati: "Impossibile trovare il certificato e il privato chiave per la decrittazione ". Si potrebbe immaginare nella cartella keys che si trovino le chiavi private e nei certificati nella cartella certificates . È, dopo tutto, leggere i certificati da questa posizione in cui ho abbandonato i file di backup - prima di ripristinare il backup, il gestore dei certificati EFS non aveva certificati da visualizzare.

Quando apro Gestione certificati MMC , vedo le stesse dozzine di certificati introdotte dalla vecchia macchina tramite backup. Con mia sorpresa, quando clicco su ognuno di questi due certmgr mi dice che "ho una chiave privata che corrisponde a questo certificato" . Grande! Ma se provo ad esportare questi stessi certificati, mi dice che non è stato possibile trovare la chiave privata associata ( qualunque cosa, Windows! )

Ho scritto tutto quanto sopra per chiedere questo: DOVE dal backup richiama i certificati e le chiavi private? Queste risposte non si applicano alla mia situazione.

PS: Nella peggiore delle ipotesi, so che posso ripristinare il vecchio sistema online dal backup ed esportare il certificato. Ma sto davvero cercando di evitare di farlo.

    
posta Gaia 13.12.2013 - 05:48
fonte

4 risposte

0

AFAIK non c'è modo di aggirarlo. È necessario eseguire l'avvio nel vecchio sistema, esportare il certificato con la chiave privata corrispondente e salvarlo (l'ho salvato come PFX).

Poi ho portato il file in un altro sistema (ho trovato un altro laptop, quindi diverso TPM) e ho effettuato l'accesso usando lo stesso nome utente e amp; pword come la macchina precedente. Sono stato in grado di importare con successo il PFX nel mio negozio di certificati personali.

Posso confermare che funzioni per accedere ai file protetti EFS.

PS: non avevo bisogno di usare lo strumento raccomandato da @ Td6 nella sua risposta.

    
risposta data 07.07.2016 - 03:54
fonte
1

  1. Forse i file ripristinati dal vecchio computer hanno interrotto il collegamento tra i certificati EFS e le relative chiavi private associate.

  2. Quindi, prova a utilizzare Mimikatz 2.0 sul vecchio collegamento della vecchia macchina con i privilegi di amministratore

    • utilizzando la funzione crypto :: exportKeys, puoi esportare le chiavi private (fai attenzione al tuo ACL sui file)

    • utilizzando la funzione crypto :: patchcapi, puoi patchare il provider CryptoAPI di Windows caricato in mimikatz. Quindi, le chiavi private «non esportabili» diventano «esportabili»:)

risposta data 06.03.2014 - 11:43
fonte
0

Si riduce alle chiavi private che sono intrappolate con la password dell'utente. Non esistono strumenti esistenti per automatizzare l'estrazione anche se si conosce la password.

Come vengono memorizzate le chiavi private

    
risposta data 14.03.2016 - 10:40
fonte
-1

Questo potrebbe essere ciò che stai cercando:

Segreti DPAPI

    
risposta data 02.01.2014 - 02:10
fonte

Leggi altre domande sui tag

server Hacked Ubuntu, probabilmente comandi hackerati (netstat, ps, ...), come sostituirli? [duplicare] Come accedere alle directory non consentite in robots.txt?