"Piotr Krzyżański" <piciu@it-faq.pl> wrote in message
news:ekh1uf$uet$1@opal.icpnet.pl...
> Użytkownik "Michal Kawecki" <kkwinto@o2.px> napisał w wiadomości
> news:b9beke.q44.ln@kwinto.prv...
>>>
>>> Źródło: http://www.pcworld.pl/artykuly/45450_1.html
>>
>>
>> Owszem, można taki klucz odczytać, pod warunkiem że istnieje on fizycznie
>> w systemie. Wystarczy jednak użyć Syskey w trybie 2 lub 3, być członkiem
>> domeny, bądź przenieść ten klucz na inny nośnik, żeby zaszyfrowane dane
>> były bezpieczne. Nie bez powodu mówi się, że szyfrowanie jest tak
>> skuteczne jak skuteczna jest ochrona użytego klucza...
>
> Tak, czy inaczej najsłabszym elementem szyfrowania na NTFS jest
> user, który szyfruje dane, a nie ma porządnego, albo w ogóle nie ma
> hasła do systemu. ;-)) Usunięcie hashy LM z bazy SAM
> to zapewne dobre rozwiązanie, ponieważ niewielu userów używa
> haseł powyżej 14 znaków...
> Poza tym, autor wspomnianego arta pisze o resetowaniu haseł - cóż,
> życzę powodzenia w dostępie do zaszyfrowanych plików po
> nieautoryzowanym resecia hasła. Dobra - przyczepiłem się. ;-P
Nie przyczepiłeś, tylko zwróciłeś mi uwagę na rzecz dość istotną - otóż
odszyfrowanie plików bez znajomości hasła było możliwe tylko w Windows 2000.
Windows XP jest lepiej zabezpieczony. Oto fragment manuala do
programu Advanced EFS Data Recovery
http://www.elcomsoft.com/help/aefsdr/index.html (istotny jest tutaj
przedostatni akapit):
"Known problems and limitations:
. The program can decrypt protected files only if encryption keys (at
least, some of them) are still exist in the system and have not been
tampered.
. Only Basic (but not Dynamic) NTFS partitions are supported.
. For files encrypted on Windows 2000, if Account Database Key (SYSKEY) is
stored on floppy disk, or if Password Startup option has been set, you
should know/have one of the following in order to be able to decrypt the
files:
. startup password or startup floppy disk
. the password of user who encrypted the files
. the password of Recovery Agent (if one is available)
. If password of the user (who encrypted the files) has been changed after
encryption, you may need to enter the old password into the program.
. If files were encrypted under Windows XP (with or without SP1) or Windows
Server 2003, the password of user who encrypted the files (or Recovery
Agent) is needed for decryption.
. The program has been tested only on files encrypted on U.S. versions of
Windows; if any other (international) version has been used, correct work is
not guaranteed. ".
Podobnie piszą twórcy programu EFS Key http://www.lostpassword.com/efs.htm :
"Requirements: Encryption password must be known or SAM database must be
present (Windows 2000)".
Summa summarum, najważniejsze jest założenie dobrego hasła na konto tego
usera, który pliki szyfruje. No i na konto recovery agenta oczywiście. To
wystarczy, żeby - na dzień dzisiejszy - uznać szyfrowanie EFS za praktycznie
niemożliwe do złamania.
-- M. [MS-MVP] /odpowiadając zmień px na pl/Received on Tue Nov 28 12:00:16 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Tue 28 Nov 2006 - 12:42:05 MET