Введение
Если вы ранее экспортировали закрытый ключ EFS агента восстановления (и у вас есть файл .pfx), нажмите кнопку «Добавить сертификат», найдите файл .pfx и введите его пароль. Теперь AEFSDR может использовать .pfx для восстановления / дешифрования файлов. В этом случае вам не нужно будет сканировать ваш диск (диски) на предмет ключей шифрования, как описано ниже.
Начните с поиска ключей шифрования. На вкладке файлов, связанных с EFS, нажмите Искать ключи... (или выберите в меню Поиск | Искать ключи...; или нажмите кнопку Искать ключи... на панели инструментов). Программа отобразит список локальных логических дисков с указанием их размеров и файловых систем:
Здесь вы должны выбрать загрузочный диск (загрузочный диск Windows), на котором находятся системный реестр и ключи шифрования. Однако в некоторых случаях ключи шифрования находятся на другом диске. Если вы не уверены, просканируйте несколько дисков.
Выбрав параметр Сканировать посекторно, вы можете сканировать диск(и) на более низком уровне, сектор за сектором, чтобы найти ключи, которые были удалены, или которые остались после форматирования диска. Обратите внимание, что этот тип сканирования медленнее, чем обычный, поэтому мы рекомендуем выполнить первое сканирование с отключенной этой опцией и использовать опцию сканирования на низкогом уровне, только если ключи не были найдены при обычном сканировании.
Обратите внимание на опцию Спрятать просканированные диски внизу. Если эта опция включена (по умолчанию) и вы уже просканировали несколько дисков во время текущего сеанса программы, эти диски не будут отображаться в этом окне, поскольку все ключи уже найдены. Если вы хотите отобразить все диски, доступные в системе, отключите эту опцию.
При нажатии кнопки Начать сканирование программа просканирует данный(е) диск(и) с целью файлов, необходимых для расшифровки данных:
Вот эти файлы:
•Ключи шифрования
•SYSTEM-реестр
•SAM-реестр
Обычно существует несколько ключей шифрования (фактическое количество может варьироваться в зависимости от количества пользователей в системе) и несколько копий файлов реестра SYSTEM и SAM (активная копия и две или более резервных копии); хотя бы по одной копии каждого реестра.
Если какой-либо из этих компонентов отсутствует, это означает, что либо вы выбрали неправильный диск (в этом случае просто отсканируйте правильный диск, либо все диски, тогда необходимые данные, если они будут найдены, будут добавлены в уже созданный список), либо компоненты недоступны вообще (если, например, они были удалены вручную, или на диске есть физические ошибки).
Ключи шифрования в этом списке всегда красного или зеленого цвета. Зеленый цвет означает, что ключ был успешно расшифрован; или если ключ красный - расшифровка не удалась.
Последний столбец на этом экране, Комментарии, показывает дополнительную информацию о ключах шифрования (в какой конкретной версии Windows они были созданы) и режиме SYSKEY (см. ниже).
Возможные проблемы
Если некоторые ключи не были расшифрованы (т.е. они красные), не паникуйте. Возможно, эти ключи вообще не нужны, и вы можете сразу перейти ко второму шагу - Поиск зашифрованных файлов или Обзор зашифрованных файлов. И только если AEFSDR не сможет расшифровать нужные вам файлы, вернитесь к файлам, связанным с EFS, и попытайтесь решить проблему, как описано ниже.
Шифрование паролем (Windows XP/2003/Vista/2008/7) или защита SYSKEY (Windows 2000)
Во-первых, если файлы были зашифрованы в Windows XP или более поздней версии, вы должны указать пароль (для входа в систему) пользователя, который зашифровал файл(ы), или пароль Агента восстановления. Нажмите кнопку Добавить пароль пользователя... и введите имя пользователя и пароль (в виде текста или в шестнадцатеричном формате / UNICODE). Имя пользователя, на самом деле, значения не имеет (имеет значение только пароль), поэтому введите его только для справки. Добавлять пустой пароль не нужно.
Обратите внимание, что вы можете добавить более одного имени/пароля, и после добавления каждого из них AEFSDR попытается расшифровать все ключи, перечисленные на этой вкладке - в случае успеха цвет изменится с красного на зеленый. Кроме того, вы можете использовать опцию Добавить пароли из словаря... и загрузить списки паролей из текстового файла. Этот файл должен содержать только пароли, по одному на строку, без имен пользователей (которые на самом деле не имеют значения). Не рекомендуется использовать большие списки слов (более нескольких сотен записей), особенно в Windows XP и более поздних версиях и/или при наличии большого количества ключей шифрования, поскольку это занимает много времени.
В Windows 2000 пароль обычно не требуется, пока не будет использована расширенная защита SYSKEY (дополнительную информацию см. здесь How to use the SysKey utility to secure the Windows Security Accounts Manager database). Есть три возможных варианта SYSKEY:
•Пароль при запуске: пароль необходим для разблокировки ключа запуска при каждом запуске компьютера.
•Сохранить ключ запуска на гибком диске: SYSKEY создает новый ключ запуска и сохраняет его на гибком диске. Эта дискета вставляется каждый раз при запуске компьютера.
•Хранить ключ запуска локально: это настройка по умолчанию. Сохраняя ключ запуска на локальном жестком диске, Windows может получить к нему доступ во время запуска без дальнейшего вмешательства.
AEFSDR должен работать нормально, если в системе, с которой вы работаете, использовалась последняя (по умолчанию) опция, т.е. ключи должны расшифровываться автоматически. Но если ключ запуска хранится (был) на гибком диске или был выбран пароль запуска, программа просто не сможет расшифровать некоторые ключи. В этом случае вы должны указать пароль (как в Windows XP / 2003, см. выше). В качестве альтернативы, если у вас есть дискета с ключом запуска или вы знаете пароль запуска, вы можете добавить их в программу, нажав кнопку Добавить SYSKEY... Вы можете добавить несколько паролей или ключей с помощью этой функции (но по одному за раз). Обратите внимание, однако, что после добавления SYSKEY вам придется повторно сканировать ключи шифрования.
Пароль был изменен после шифрования
После изменения пароля домена вы можете получить сообщение об ошибке при попытке получить доступ к защищенным данным. Эта проблема возникает из-за того, что защищенные данные зашифрованы с использованием хэша, основанного на вашем пароле. Когда вы меняете свой пароль в домене, данные не шифруются повторно с новым паролем, пока вы впервые не получите доступ к данным. Если вы попытаетесь получить доступ к данным в первый раз, когда вы отключены от домена, с контроллером домена не удастся связаться. Следовательно, невозможно получить доступ к данным и повторно зашифровать их с новым паролем.
По умолчанию AEFSDR должен по-прежнему иметь возможность расшифровывать ключи шифрования (и, следовательно, защищенные данные), но если нет, используйте тот же прием, что и для проблемы защиты SYSKEY, то есть путем добавления пароля (паролей) пользователя. Если вы их не знаете, попробуйте решение, описанное в следующей статье базы знаний Майкрософт:
You Cannot Access Protected Data After You Change Your Password
Компьютер является частью домена
Политика восстановления предусматривает, что человек должен быть назначен агентом восстановления. Локальная политика восстановления по умолчанию создается автоматически, когда учетная запись администратора входит в компьютер в первый раз. Когда это происходит, этот администратор становится агентом восстановления по умолчанию. В некоторых ситуациях первый администратор, входящий в Windows 2000, не является учетной записью локального администратора. Соответствующая статья базы знаний Майкрософт:
The Local Administrator Is Not Always the Default Encrypting File System Recovery Agent
Если локальный администратор является агентом восстановления ваших данных по умолчанию, AEFSDR будет работать правильно. Если нет (как описано в упомянутой выше статье), вам придется добавить пароли пользователей для расшифровки ключей (см. выше).
Резервное копирование/восстановление расшифрованных ключей
Когда/если ключи шифрования (и другие данные, относящиеся к EFS) были найдены и расшифрованы программой, рекомендуется сохранить их для будущего использования - чтобы избежать повторного сканирования диска или на тот случай, если некоторые данные будут изменены. Нажмите кнопку Сохранить данные... в AEFSDR и выберите имя файла, чтобы сохранить то, что вы восстановили. Когда вы будете использовать AEFSDR в следующий раз, вы сможете получить все ключи, нажав кнопку Загрузить данные..., вместо повторного сканирования диска, добавления паролей пользователей и т. д.