Windows 7 Dostęp do folderu zaszyforwanego EFS udostępnionego w sieci - bug Microsoftu?

Hej,

Mam tak zagadkę:

Pod XP maiłem zaszyfrowane pliki. Cały folder Moje Dokumenty.

Jakiś czas temu  przesiadłem się na Win7, skopiowałem Moje Dokumenty do odpowiednika w Win7. Razem z kopiowaniem przeniosłem też certyfikat z XP.

Wszystko działało. Przynajmniej tak mi się wydawało. Pliki i foldery były zaznaczone na zielono. W detalach mogłem przeczyta że tylko użytkownik kl@TRUFLA może miec dostęp do plików.

Jednak postanowiłem sprawdzić jak to jest widziane z innego kompa na którym certyfikatu na pewno nie mem zainstalowanego.

Podłączyłem się więc przez otoczenie sieciowe z XP-ka (świeża instalacja) do udostępnionego pod 7 folderu Moje Dokumenty. Zaznaczam że oba komputery nie sa członkami domeny. Nie mam domeny.

Jak więc duże było zdziwienie kiedy swobodnie, bez instalowania pod XP-kiem żadnego certyfikatu, mogłem otworzy zaszyfrowany plik.

O co chodzi?

K.

mimimi napisał(a):Podłączyłem się więc przez otoczenie sieciowe z XP-ka (świeża instalacja) do udostępnionego pod 7 folderu Moje Dokumenty.

Podłączyłeś się jako kto?

Chyba nieważne, co?

Nie mam przecież wymaganego certyfikatu.

Nazwa użytkownika na obu kompach jest taka sama. Hasło jest też takie samo na dwóch kompach.

Jakkolwiek certyfikat jest przeniesiony z poprzedniej instalacji (nazwa kompa się nie zmieniła; pod 7 i XP komp był nazwany tak samo) i był wystawiony dla innego usera.

Wg mnie przy próbie otwarcia zaszyfrowanego pliku powinienem był zobaczyć komunikat o braku dostępu do tego pliku. Przecież nie mam zaimstalowanego certyfikatu żeby go obejrzeć.

Uwierzytelniony na docelowym komputerze jesteś jako użytkownik posiadający dostęp do tych plików, nawet jeśli jego SID jest inny - komputer docelowy nie uwierzytelnia po SIDzie, tylko po nazwie użytkownika i haśle (przynajmniej domyślnie). Zatem moje przypuszczenie jest takie, że plik jest odszyfrowywany na kompie docelowym zanim zostanie faktycznie "przesłany" do kompa źródłowego, jeżeli użytkownik, który uzyskuje dostęp, istnieje na docelowym komputerze i posiada certyfikat. Aby to zweryfikować, utwórz zasób na "gościa", i zaloguj sie jako gość na kompie z zaszyfrowanym plikiem - jestem niemal pewien, że wtedy nie odczytasz tego pliku. Oczywiście nie odczytałbyś go też, gdybyś na tym samym komputerze próbował się do niego dostać jako inny użytkownik.
Takie zachowanie ma sens - administrator w sieci bez domeny może zaglądać do swoich plików niezależnie od tego, z którego komputera się do nich dobiera.

Sprawdzę jak dojadę do domu.

Moje domyślne 'myślenie' jest takie, że powinno być rozpoznanie użytkownika po SSID a nie po nazwie. Czy jest tak samo w XP czy to tylko cecha 7?

Poza tym jeszcze jedno:
Na certyfikatach jest ich data ważności. Raczej bardzo odległa. Czy to oznacza, że po przekroczeniu tej daty nie będę mógł odszyfrować danych?

Tak jest w każdym Windowsie. Inaczej się może zachowywać, gdy jest podpięty do domeny, ale nie sprawdzałem tego - nie miałem potrzeby.

Cytat:Na certyfikatach jest ich data ważności. Raczej bardzo odległa. Czy to oznacza, że po przekroczeniu tej daty nie będę mógł odszyfrować danych?

Cytat:An expired DRA certificate (private key) can still be used to decrypt files, however new or updated files cannot use the expired certificate (public key).

źródło: Element ukryty. Rejestracja zajmie tylko minutę!

Czyli można będzie otworzyć pliki, ale nie będzie możliwości ich ponownego zaszyfrowania przedawnionym certyfikatem.

A więc jest tak. Sytuacja się zmieniła.

Założyłem użytkownika na świeżej instalacji XP-ka. Nazwa użytkownika jest wspólna dla komputera z zaszyfrowanym plikiem i dla komputera z którego chcę uzyskać dostęp do tego pliku. Zmieniłem jednak hasło. Czyli mam użytkownika zdefiniowanego na dwóch kompach a le z rożnymi hasłami.

Dla testowania spróbowałem uzyskać dostęp do zasobu używając danych autoryzacyjnych z XP-ka. Oczywiście nie liczyłem na uzyskanie dostępu do zasobu.

Za drugim razem użyłem już hasła dla uzytkownika w Win7. Dostęp do pliku dostałem ale - i tu Krizz niespodzianka - gdy chciałem otworzy mój ładnie zaszyfrowany plik otrzymałem komunikat którego spodziewałem się od samego początku: Access denied.

Po czym spróbowałem się dostac do tego pliku używając danych autoryzacyjnych z Win7 z innego świeżego XP-ka na którym był zdefiniowany użytkownik o tych samych danych autoryzacyjnych jak pod Win7 i zamiast wytłumaczonego przez Krizza dostępu otrzymałem ponownie komunikat jakiego bym się spodziewał za pierwszym razem: Access denied.

O co chodzi?

Bug czy zaplanowane działanie?

Jak pisałem, to było jedynie moje przypuszczenie - szukałem logicznego wytłumaczenia takiego zachowania. Widocznie się myliłem, co potwierdza artykuł Element ukryty. Rejestracja zajmie tylko minutę!:

Cytat:Remote EFS operations on files stored on network file shares are possible in Windows 2000 or later domain environments only.

A w jaki sposób uzyskałeś dostęp za pierwszym razem, to nie mam pojęcia...

Też nie mam pojęcia.

Na pewno mogę potwierdzić że:
1. odczytałem zawartość pliku,
2. odczytałem nie tylko jeden plik ale i kilka które mam w rożnych lokalizacjach,
3. na pewno sprawdziłem, że pliki szyfrowane są tym a nie innym certyfikatem,
4. stworzyłem nowy udział sieciowy w którym innym certyfikatem był zaszyfrowany inny plik tekstowy; mogłem go otworzyć również,
5. nie mogłem odczytać tych plików od momentu gdy po raz pierwszy logowałem się do zdalnego udziału przy użyciu innego hasła dla tego samego użytkownika. Tzn. gdy na jednym z komputerów z których dostawałem się do udziału z zaszyfrowanym plikiem zmieniłem hasło użytkownika (początkowo na obu komputerach był zdefiniowany ten sam użytkownik z tym samym hasłem).

Czy może to być bug?

Do kogo zwrócić się jeśli będę mógł zrekonstruować tę sytuację?