Агент восстановления efs
Агент восстановления EFS — это учетная запись администратора локального компьютера или администратора домена, смотря где Вы находитесь. Учетная запись администратора способна расшифровать зашифрованные другими пользователями файлы и вернуть их владельцу.
Но для этого необходимо создать сертификат агента восстановления EFS и разрешить ему доступ ко всем вновь шифруемым файлам. Надеюсь Вы помните, как мы в предыдущей статье мы разрешали доступ к зашифрованным файлам другому пользователю. Именно это и происходит в случае с агентом восстановления, только всё это делается автоматически.
Инструментарий
С практической точки зрения, перечисленные выше ограничения, означают лишь одно: нужно пробовать. Результат невозможно предсказать заранее, не попытавшись восстановить зашифрованные данные. С помощью программы Hetman NTFS Recovery такую попытку можно сделать бесплатно с помощью пробной версии продукта.
Восстановление системных NTFS разделов в 2020 программой Hetman NTFS Recovery ⚕️📁💥
В данной статье описаны методы восстановления защищенных и зашифрованных файлов. Следующая статья рассказывает о восстановлении файлов и каталогов, сжатых средствами NTFS.
Как включить efs шифрование каталога в windows
Пошагово разберем процедуру шифрования данных в Windows 8 с помощью EFS.
Примечание. Не в коем случае не стоит включать шифрование для системных каталогов и папок. В противнмслучае Windows может просто не загрузится, т.к. система не сможет найти личный ключ пользователя и дешифровать файлы.
В проводник File Explorer выберите каталог или файлы, которые необходимо зашифровать, и, щелкнув ПКМ, перейдите в их свойства (Properties). 
На вкладке General в секции атрибутов найдите и нажмите кнопку Advanced.
В появившемся окне поставьте чекбокс Encrypt contents to secure data (Шифровать содержимое для защиты данных). 
Нажмите дважды ОК.
В том случае, если выполняется шифрование каталога, система спросит хотите ли вы зашифровать только каталог или каталог и все вложенные элементы. Выберите желаемое действие, после чего окно свойств каталога закроется.
Зашифрованные каталоги и файлы в проводнике Windows отображаются зеленым цветов (напомним, что синим цветов подсвечены объекты, сжатые на уровне ntfs). Если выбрано шифрование папки со всем содержимым, все новые объекты внутри зашифрованного каталога также шифруются. 
Зашифрованные каталоги и файлы в проводнике Windows отображаются зеленым цветов (напомним, что синим цветов подсвечены объекты, сжатые на уровне ntfs). Если выбрано шифрование папки со всем содержимым, все новые объекты внутри зашифрованного каталога также шифруются.
Управлять шифрованием/дешифрованием EFS можно из командной строки с помощью утилиты cipher. Например, зашифровать каталог C:Secret можно так:
cipher /e c:Secret
Список всех файлов в файловой системе, зашифрованных с помощью сертификата текущего пользователя можно вывести с помощью команды:
cipher /u /n
Как расшифровать зашифрованные файлы windows – zanz
Вы пытаетесь открыть некоторые файлы на вашем компьютере, которые зашифрованы? Windows обычно назначает зашифрованные имена файлов или папок зеленым цветом вместо обычного черного текста.
Замечания: Если вы читаете этот пост в поисках информации о расшифровке файлов, зашифрованных CryptoLocker, это не поможет. Вы должны заплатить выкуп и надеяться, что они действительно отправят вам ключи шифрования.
При шифровании файлов и папок Windows будет использовать самостоятельно созданный сертификат, содержащий ключи, используемые для шифрования и дешифрования данных. При открытии зашифрованных данных при входе в учетную запись пользователя, сгенерировавшего сертификат, процесс дешифрования прозрачен и файлы открываются нормально.
Однако если другой пользователь или система пытается получить доступ к тем же файлам данных или файлы перемещены в другое место, их нельзя открыть, если не установлен исходный сертификат.
В любом случае, одна вещь, которую вы должны помнить о шифровании и дешифровании файлов в Windows, это то, что вам всегда нужны сертификаты / ключи шифрования. Когда вы шифруете файл или папку в Windows, ключи шифрования автоматически создаются и связываются с вашей учетной записью пользователя.
В Windows 7 и более поздних версиях вы получите запрос на резервное копирование ключа шифрования (сертификат EFS).
Вы должны определенно сделать это немедленно. Если у вас нет этих ключей шифрования, вы не сможете расшифровать данные. К сожалению, нет никакого способа обойти это, так как шифрование очень надежно и не может быть легко взломано.
Если вы все еще можете получить доступ к компьютеру, на котором данные были изначально зашифрованы, вы можете попробовать экспортировать сертификат, а затем импортировать его на другой компьютер.
Есть несколько способов сделать резервную копию сертификатов шифрования файлов, и я упомяну их ниже. Первый способ — нажать Пуск и ввести сертификат,
Нажмите на Управление пользовательскими сертификатами и это откроет сертификаты для текущего пользователя. В Windows 7 вы также можете ввести certmgr.msc и нажмите Enter, чтобы открыть менеджер сертификатов.
Теперь расширяем личный а затем нажмите на Сертификаты, Вы должны увидеть все сертификаты, перечисленные в правой панели. Может быть только один, но если нет, то единственные сертификаты, которые вас интересуют, это те, которые имеют Шифрованная файловая система перечислены под Предполагаемые цели,
Щелкните правой кнопкой мыши на сертификате, выберите Все задачи а затем нажмите на экспорт,
Это откроет Мастер экспорта сертификатов, это то же самое место, которое вы достигнете, если вы нажмете на Резервное копирование сейчас (рекомендуется) по запросу Windows.
На следующем экране вы хотите выбрать Да, экспортировать закрытый ключ вместе с сертификатом. Если у вас нет закрытого ключа, вы не сможете расшифровать любой из зашифрованных файлов.
На следующем экране вы должны выбрать формат, который вы хотите использовать для экспорта сертификата. Обмен Персональной Информацией должен быть уже выбран, и вы можете оставить его только с установленным первым флажком.
Поскольку этот сертификат содержит закрытый ключ, вы должны защитить его с помощью пароля. Проверить пароль поле и введите надежный пароль.
Наконец, нажмите Просматривать и выберите место, где вы хотите сохранить файл. Настоятельно рекомендуется не сохранять файл на самом компьютере. Если что-то случится с ПК, то вы потеряете ключ вместе с ним.
Кроме того, дайте вашему файлу имя, которое будет полезным для вас, но не слишком очевидно для других, что это такое. Например, не называйте его ключом EFS, как я сделал ниже!
Нажмите далее, а затем нажмите Конец, Ваш личный ключ шифрования теперь сохраняется в виде файла. Теперь вы можете взять этот файл и импортировать его на любой другой компьютер с Windows. Импортировать действительно легко. Все, что вам нужно сделать, это дважды щелкнуть файл, и он откроет Мастер импорта сертификатов,
После того, как вы импортируете сертификат, вы сможете расшифровать любые файлы, которые были зашифрованы с этим сертификатом. Как упоминалось ранее, если вы пытаетесь открыть зашифрованные файлы и у вас больше нет или не удается найти сертификат, то эти файлы в основном исчезли.
Некоторые программы заявляют, что могут дешифровать ваши файлы за огромную цену, но они никогда не работали для меня, и поэтому я не перечислил ни одного из них здесь. Если у вас есть какие-либо вопросы, не стесняйтесь оставлять комментарии. Наслаждайтесь!
Как создать агент восстановления efs?
В данной статье я не буду рассматривать создание агента восстановления EFS внутри домена. Рассмотрим только создание агента восстановления Encrypting File System на локальной машине. Для этого необходимо под учетной записью администратора по умолчанию выполнить следующую команду в окне командной строки:
[code]cipher /r:recoveryagent[/code]
Ответом на данную команду станет создание двух файлов:
- Recoveryagent.cer
- Recoveryagent.pfx
Они оба расположатся в корневой папке администратора компьютера. Следующим действием необходимо дать понять операционной системе, что только что был создан агент восстановления EFS. Для этого необходимо открыть Редактор локальной групповой политики и перейти в узел Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Политики открытого ключа/Шифрующая файловая система и найти пункт Добавить агент восстановления данных.
Ограничения
Помимо очевидного ограничения на необходимость оригинального пароля (кстати, это ограничение можно обойти, просто запустив инструмент по восстановлению данных из-под учётной записи пользователя, данные которого восстанавливаются), восстановление зашифрованных файлов привносит дополнительные сложности.
Ограничен низкоуровневый доступ к таким файлом (в противном случае их не получится ни найти методом прямого сканирования диска, ни корректно расшифровать); соответственно, разработчикам программ восстановления данных с разделов NTFS приходится использовать Windows API для чтения зашифрованных данных.
С помощью Windows API можно считать данные далеко не в каждой ситуации. К примеру, восстановить удалённый файл можно достаточно легко. Восстановление шифрованных данных с отформатированного раздела сложнее и возможно не в каждой ситуации, но всё ещё возможно.
Резервное копирование ключа шифрование efs
После того, как пользователь впервые зашифровал свои данные с помощью EFS, в системном трее появится всплывающее окно, сообщающее о необходимости сохранить ключ шифрования.
Back up your file encryption key. This helps you avoid permanently losing access to you encrypted files.
Щелкнув по сообщению, вы запустите мастер резервного копирования сертификатов и ассоциированных с ними закрытых ключей шифрования EFS.
Выберите Back up your file encryption certificate and key
Далее запустится мастер экспорта сертификата . Все настройки экспорта можно оставить стандартными (форматPersonal Information Exchange — PKCS #12 .PFX)
Затем укажите пароль для защиты сертификата (желательно достаточно сложный).
Осталось указать местоположение, куда необходимо сохранить экспортируемый сертификат (в целях безопасности в дальнейшем его необходимо скопировать на внешний жесткий диск /usb флешку и хранить в безопасном месте).
На этом экспорт сертификата шифрования EFS закончен и в случае необходимости им всегда можно будет воспользоваться для расшифровки данных (подробности в статье Как расшифровать данных EFS с помощью сертификата пользователя.
Средства безопасности в ntfs
Разграничение доступа к файлам – одна из возможностей NTFS, необходимая для работы в условиях многопользовательских операционных систем. Разрешить или запретить доступ к файлу или каталогу можно с помощью средств управления безопасностью Windows “Проводника”.
С точки зрения алгоритма восстановления данных, атрибуты безопасности не представляют проблемы. Утилиты по восстановлению данных способны считывать данные с диска напрямую, минуя интерфейсы Windows API. Соответственно, атрибуты безопасности эти программы могут просто игнорировать. Вывод – использование атрибутов безопасности NTFS никак не влияет на возможность восстановления данных.
Шифрование данных в ntfs
Шифрование данных средствами NTFS – гораздо более серьёзное препятствие для корректного восстановления раздела NTFS в случае проблем с жёстким диском.
Зашифрованные файлы невозможно расшифровать, не зная точного пароля к учётной записи пользователя, который зашифровал файл. Такие файлы невозможно и неэффективно восстанавливать в режиме прямого доступа к диску, даже если информация о файле полностью доступна в MFT (главной файловой таблице).
Как зашифровать диск Bitlocker – ключ восстановления, разблокировка паролем 🔐💻⚕️
Заключение
Попытаюсь объяснить свое видение работы системы шифрования данных EFS. Допустим, что файловая система NTFS представляет собой дорогу с прилегающей к ней тротуарной дорожкой. Все файлы записываются на основную дорогу в том числе шифрованные и сжатые.
После этого ключ, которым зашифрован файл (FEK) — шифруется открытым ключом пользователя и записывается рядом с файлом на тротуарную дорожку. При открытии файла зашифрованный ключ FEK расшифровывается с помощью закрытого ключа пользователя (который находится в сертификате и при условии, что последний установлен), а затем с помощью ключа FEK расшифровывается сам файл и открывается. Все это делается автоматически не задавая пользователю дополнительных хлопот.
Сделаю предположение, что при сжатии файла на тротуарную дорожку, рядом с самим файлом, записываются контрольные суммы необходимые для корректной распаковки. По сути сжатие это тоже шифрование, только не защищенное и преследует другую цель.
То есть файл, что при шифровании, что при сжатии представляется в не читаемом виде. В случае сжатия система автоматически преобразовывает файл в исходный вид без использования ключей в отличие от шифрования. Естественно эта простота займет незначительную частью вычислительной мощности процессора.
Если у вас есть более простое объяснение процесса работы системы шифрования файлов EFS пожалуйста поделитесь им в комментариях.
Благодарю, что поделились статьей в социальных сетях. Всего Вам Доброго!