Geen toegang tot versleutelde bestanden van oude gebruikersaccount

[Butka]

Doordat ik een tijd geleden een nieuwe moederbord liet zetten, moest Windows XP opnieuw geïnstalleerd worden. Mijn gebruikersgevevens onder "Documents and Settings" waren eerst in het mapje "<naam>", maar na de herinstallatie werden mijn gebruikersgegevens opnieuw gecreëerd in een nieuw mapje, genaamd "<naam>.AMD2600".
Sindsdien kan ik mijn versleutelde documenten niet meer openen, want hij herkent het certificaat enz. van de oude gebruiker van mapje "<naam>" niet meer.

Voor de duidelijkheid heb ik screenshots gemaakt van de eigenschappen en instellingen van zo'n versleuteld documentje (ik zie nu pas dat AMD2600 censureren onnodig was ):


Inmiddels heb ik Windows 7 op m'n PC staan, maar heb nog de optie om ervoor te kiezen om met Windows XP op te starten.

Dus mijn vraag is: hoe kan ik ervoor zorgen dat de certificaten van mijn oude gebruikersaccount weer worden herkend, zodat ik ze kan ontsleutelen? Ik heb namelijk nog de certificaten en andere gegevens op de schijf staan en vraag me af hoe ik die kan 'importeren' of iets dergelijks.

Ik hoop dat ik mijn vraag en beschrijving duidelijk genoeg heb verwoord.

P.S: heb ik dit topic op de juiste subforum geplaatst?

 

[Zoefff]

Ben je wel eigenaar van de oude mappen: http://support.microsoft.com/kb/308421/nl

 

[Butka]

De eerste stap (eigenaar worden van een bestand) had ik paar weken geleden al geprobeerd, maar dat hielp niet.
Zojuist heb ik via Windows 7 geprobeerd om de machtigingen te wijzigen van het bestand waarvan ik eigenaar ben geworden (opjectnamen toevoegen enz.), maar dat is niet gelukt.

Zou het verschil maken of ik de machtigingen wijzig via 7 of via XP?

 

[dnties]

Bedoel je met "Ik heb namelijk nog de certificaten en andere gegevens op de schijf staan en vraag me af hoe ik die kan 'importeren' of iets dergelijks." dat de publieke en/of private certificaten (incl. sleutels) geëxporteerd beschikbaar zijn? Bedoel je dat, dan maak je een kans (zie hier onder). Bedoel je dat echter niet dan kun je het vergeten om de bestanden/mappen de decoderen.

Probeer het volgende (ik ga er hier vanuit dat je wel bestandsrechten hebt op de map(pen) maar de mappen niet kunt decoderen):
a. Importeer de veiliggestelde/geëxporteerde EFS certificaten naar je persoonlijke certificaten-opslaggebied.
b. Rechtsklik op de mappen die je wilt decoderen, kies Eigenschappen, kies knop Geavanceerd, haal het vinkje weg bij Inhoud versleutelen om gegevens te beveiligen.

EDIT, TOEVOEGING: Eventueel moet je het zelfs zo ver brengen dat je (huidige) administrator-account op de XP installatie een Recovery Agent wordt voordat de bestanden gedecodeerd kunnen worden. Kijk hier hoe je dat zou moeten kunnen doen.
Natuurlijk geldt ook hier dat de EFS certificaten (incl. sleutel) geëxporteerd waren vanuit de oude XP installatie.

Tijs.

 

[Butka]

Bedankt voor jullie snelle antwoorden!

Bedoel je met "Ik heb namelijk nog de certificaten en andere gegevens op de schijf staan en vraag me af hoe ik die kan 'importeren' of iets dergelijks." dat de publieke en/of private certificaten (incl. sleutels) geëxporteerd beschikbaar zijn? Bedoel je dat, dan maak je een kans (zie hier onder). Bedoel je dat echter niet dan kun je het vergeten om de bestanden/mappen de decoderen.

@ Tijs: die oude certificaten heb ik nog ergens op Verkenner staan. Hoe kan ik achterhalen of die geëxporteerd zijn? Want de computermonteur zelf had XP opnieuw geïnstalleerd, maar dat weet ik niet 100% zeker.
Of moet ik toch mijn (huidige) administrator-account op de XP installatie een Recovery Agent laten worden?

Maar ik neem aan dat ik die oude certificaten moet gaan importeren. Maar de link die TheKnight heeft opgestuurd (Certificaten importeren), begrijp ik nog niet helemaal:

• Moet ik nou de certificatenmanager Uitvoeren via "mmc" of "certmgr"?
• Via certmgr kwam ik al terecht bij "certificaten - huidige gebruiker". Als ik klik op "Actie -> alle taken", dan zie ik vervolgens alleen maar "Certificaten zoeken..." in plaats van "Importeren...".
• En als ik uiteindelijk moet gaan bladeren, in welk mapje van de oude gebruiker zou ik dan die oude certificaten moeten vinden?
• Is het handiger om de boel te decoderen via XP, gezien XP nog wel werkt met EFS-codering?

 

[dnties]

certmgr.msc levert hetzelfde op als het toevoegen in MMC (omdat je daar toch voor Huidige gebruiker moet kiezen).

De kans dat die certificaten + sleutels zijn geëxporteerd is niet groot, eerlijk gezegd (ondanks jouw optimisme daaromtrent).
Waar je naar op zoek moet gaan zijn *.pfx en *.p12 bestanden (zie ook onderaan deze instructie) bij de 'oude' gebruiker. Je ziet in diezelfde instructie ook hoe die sleutels worden geëxporteerd en dat verklaart ook waarom ik pessimistisch ben dat die geëxporteerd zouden zijn.

De instructie m.b.t. decoderen is (nagenoeg) hetzelfde in W7 als in XP, maar zonder geëxporteerde certificaten/sleutels gaat het in beiden niet lukken.

Tijs.

 

[Butka]

Moet ik die *.pfx of *.p12 bestanden gewoon zoeken via Verkenner (verborgen bestanden zoeken staat overigens aangevinkt)?

Wat ik wel probeerde, was via MCC de oude certificaten te bladeren. Via de "certificaat import wizard" zag ik een bestandje met allerlei getallen (en letters?) onder de filepath "<oude naam>\Application Data\Microsoft\SystemCertificates\My\Certificates\<bestand met lange getallen>" via "alle bestanden bekijken". Geen idee wat voor extensie dat is.

Ik zag verder ook een systeembestand onder het pad "<oude gebruiker>\Local Settings\Application Data\Microsoft\Credentials\<mapje oude gebruikerscode>". Heb ik hier ook iets aan?

Bedoel je met "hoe die sleutels in de instructie worden geëxporteerd" de exportmanier via cipher.exe, of via MMC?

Nogmaals bedankt voor de hulp en moeite .

 

[dnties]

Je kunt die bestanden gewoon zoeken via Verkenner.

M.b.t. export-methode: Beide manieren werken, maar het is maar zéér de vraag of dat ook gebeurd is! En nee, die certificaten staan niet in de paden waar jij het over hebt, want standaard worden die ergens anders geëxporteerd (bijv. in Mijn Documenten), dus niet in 'systeemmappen'.
Misschien een goed plan om eens terug te rekenen/denken of die export echt is gebeurd, want het is een actie die (ooit) handmatig moet zijn uitgevoerd!

Tijs.

 

[Butka]

Intussen heb ik een forumtopic gevonden met een mogelijke oplossing als je nog je certificaten enz. op je schijf hebt (ja, ik ben nog optimistisch ): import EFS key directly from XP SystemCertificates folder?. Daarin stond een antwoord die op een eenvoudige manier de handleiding van dit artikel uitlegde: handleiding EFS recovery

Wat ik heb gedaan:

• Ik heb via deze link (administrator account weergeven bij aanmelden XP) ervoor gezorgd dat Administrator (locatie is "documents and settings\Administrator.AMD2600) zichtbaar werd bij het aanmelden.
• Ik heb een nieuw account gemaakt, genaamd "Test". Hierdoor is het pad "documents and settings\Test" gevormd.
• Via Administrator kon ik "NTUSER.dat", "ntuser.dat.LOG" en "ntuser.ini" kopiëren van oude gebruiker naar Test. Ik dacht dat ik door deze actie hierdoor ook certificaten kon importeren, maar dat was dus niet gelukt.
• Vervolgens ging ik mij inloggen onder Test, met als resultaat de configuratieinstellingen van de oude gebruiker (o.a. muis, lay-out en wallpaper).
• Omdat Test als user-ID 1012 had (originele gebruiker had 1003), moest ik via regeditor op het pad "hklm\sam\sam\domains\account\" de f-waarde op offset 48 aanpassen naar eb 03 00 00 00 (ik heb vooraf een screenshot gemaakt van het originele offset)
• Vervolgens heb ik het programma NewSid gebruikt om mijn huidige machine-SID om te zetten naar de oude SID (dit heb ik ook gedaan toen ik ingelogd was op Test)
• PC was automatisch opnieuw opgestart en had me opnieuw ingelogd op Test
• Ik heb de bestanden van de mappen Crypto, Protect en Systemcertificates (machine-nr. eindigend met 1003) van de oude gebruiker gekopieerd naar de betreffende mappen van de gebruiker Test.
• PC opnieuw opgestart en opnieuw ingelogd onder Test.
• Bij de beveiligingsinstellingen van een versleuteld bestand stond nu gewoon de naam van de oude gebruiker op i.p.v. een onbekend SID-nummer (misschien ga ik daar een screenshot van maken, als dat het duidelijker maakt). Ik kon echter nog steeds niet het bestand ontsleutelen, want kennelijk heeft gebruiker Test nog steeds 1012 als user-ID (bij Crypto\RSA en Protect werden namelijk extra mappen gemaakt met de oude SID, maar stond er nog steeds 1012 i.p.v. 1003)
• Als ik mij inlog onder gebruiker.AMD2600, dan zie ik ook geen 'onbekende' SID-nummer meer bij de beveiligingseigenschappen van een versleuteld document. Volgens mij is dat nu veranderd in "geverifieerde gebruikers"?
  
• Ik heb trouwens via configuratiescherm -> gebruikers mijn huidige XP-accountnaam gewijzigd van "gebruiker" naar "gebruiker.AMD2600". Ik geloof dat dit dit geen invloed had op de gebruikte mappen van "Documents and Settings".

Nou zie ik dat "gebruiker.AMD2600" wel hetzelfde user-ID heeft als de oude "gebruiker", namelijk 1003. Maar voordat ik aan dat account ga zitten sleutelen, wat moet ik zoal backuppen van tevoren? Want de certificaten van gebruiker.AMD2600 worden weer niet herkend door m'n account op Windows 7 en dat wil ik eerst ook gaan fixen..

Of wat moet ik nog meer doen op account Test (zoals bepaalde registers aanpassen) om ervoor te zorgen dat het account 1003 als user-ID krijgt? Ik vond namelijk de uitgebreide "EFS recovery"-instructie niet helemaal duidelijk uitgelegd en snap nog niet zo goed hoe je binaire getallen moet lezen :O

 

[Butka]

*bump*

 

[dnties]

Ik heb er niet veel op te zeggen: Dit is een uitgebreide instructie die zich niet leent voor ondersteuning via een forum. [Ook al heb je reatief uitgebreid gemeld wat je hebt gedaan.]

Enige wat ik voor je kan betekenen is wat ik beschouw als randvoorwaarden om het te laten slagen:
a. Lijkt mij dat het ontsleutelen onder een nieuwe XP installatie moet gebeuren. Wordt niet expliciet gemeld, maar ik ga er vanuit dat de oorspronkelijke instructie daar vanuit gaat.
[Verhaal van ontsleutelen vanuit Windows 7 zie ik nergens beschreven en geloof ik persoonlijk niet in, gegeven de ingrijpende stappen in de instructie.]
b. Je moet de SID van de Windows XP installatie zelf aanpassen, als ik de instructie zo zie (gebruik van NewSID). Zie ik in jouw terugmelding niets over (of lees ik verkeerd?), alleen iets over het aanpassen van het gebruiker-afhankelijke stuk van de SID (laatste stuk van de SID).
c. Ik krijg het idee dat je LETTERLIJK de instructie volgt, dus probeer je het gebruiker-afhankelijke deel van de SID 1003 te maken. Klopt dat wel met de SID van de gebruiker in de oude XP? [Klinkt mij als (erg) toevallig in de oren, vandaar.]

Nogmaals: Ik vind de instructie te groot om hier (op een (onbetaald) forum) uitgebreid tijd aan te besteden. Zie daaromtrent aankomen dat er 10tallen postings overheen gaan voordat we iets van resultaat zien, met alle kans op fouten tussendoor.
Moet ik bij vermelden dat ik je kennisniveau niet laag inschat, maar ook weer niet zo hoog dat het foutloos uitvoeren van de instructie bij jou in goede handen zou zijn.
Lijkt me een instructie die door een ervaren Windows systeembeheerder geprobeerd moet worden (met de zorgvuldigheid van uitgebreide backups vooraf, gedetailleerd opschrijven van gedane acties etc. om stappen in de instructie weer terug te kunnen draaien als ze niet blijken te werken (of fouten erbij optreden) etc.)

Tijs.