Le système d'xploitation ne redémarrant plus (plantage au démarrage avec
pour unique message "Redémarrage du programme d'installation....."), comment
faire pour décrypter les données sachant que nous pouvons récupérer le
certificat sans la clé privée.
Le poste n'est pas formaté et est accessible depuis un autre poste en disque
secondaire.
La clé privée est stockée dans le dossier d'origine
c:\d&s\<username>\application data\microsoft\crypto\rsa\
Comment faire pour pouvoir récupérer tout cela ?
Est-ce possible ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jean-Claude BELLAMY
"Stéphane" a écrit dans le message de news:
Bonjour,
Le système d'xploitation ne redémarrant plus (plantage au démarrage avec pour unique message "Redémarrage du programme d'installation....."), comment faire pour décrypter les données sachant que nous pouvons récupérer le certificat sans la clé privée. Le poste n'est pas formaté et est accessible depuis un autre poste en disque secondaire.
Pour commencer, est-ce bien de chiffrement (EFS) que tu parles ? Et non pas d'un simple problème de droits NTFS ? Car il est normal de ne pas pouvoir accéder à des fichiers (sur une partition NTFS) créés sosu des comptes provenants d'une autre installation de Windows. Cela se résoud facilement, en se plaçant sous un compte admin, et en modifiant propriétaire et permissions des fichiers. cf. : http://www.bellamyjc.org/fr/windowsnt.html#pbaccesfichiers
Par contre, s'il s'agit réellement de fichiers chiffrés sous W2K, XP PRO, Vista PRO et+ (EFS n'est pas disponible sous XP HOME ni sous VISTA HOME), à l'aide du système EFS (Encryption File System), çà se complique sérieusement! Surtout si le certificat du compte concerné n'a pas été exporté (sous forme de fichier .pfx) http://www.bellamyjc.org/fr/cryptobackup.html#savekey
Si c'est le cas, la restauration du certificat s'effectue simplement : http://www.bellamyjc.org/fr/cryptobackup.html#restorekey
La clé privée est stockée dans le dossier d'origine c:d&s<username>application datamicrosoftcryptorsa Comment faire pour pouvoir récupérer tout cela ? Est-ce possible ?
J'avoue ne pas avoir tenté la manip par simple déplacement des fichiers La clef privée est effectivement dans %userprofile%Application DataMicrosoftCryptoRSA
Mais il faut aussi disposer de la clef publique qui est dans %userprofile%Application DataMicrosoftSystemCertificatesMyCertificates Le nom du fichier est l'empreinte numérique (hachage SHA1) du certificat
Sans oublier la clef maître générée (par hachage HMAC et SHA1) à partir du mot de passe du compte utilisateur, et stockée dans un fichier situé dans le dossier : %userprofile%Application DataMicrosoftProtect<SID du compte>
Donc il faut connaitre l'ancien SID du compte concerné. Comme l'OS concerné est HS, i lva falloir effecteur un peu d'égyptologie en chargeant l'ancienne ruche SOFTWARE (par un montage de ruche dans REGEDIT) et en explorant la clef HKLMSOFTWAREMicrosoftWindows NTCurrentVersionProfileList Chaque sous-clef est constituée du SID de chque compte ayant déjà ouvert une session. En examinant l'entrée "ProfileImagePath", on aura une idée du compte associé. P.ex. chez moi, la sous-clef "S-1-5-21-1420310947-1396398934-1028468698-1001" a une entrée "ProfileImagePath" qui contient la chaine "C:UsersBELLAMY" (je suis sous VISTA)
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] http://www.bellamyjc.org ou http://jc.bellamy.free.fr
"Stéphane" <ano@ano.fr> a écrit dans le message de
news:OOIMmL2AJHA.4992@TK2MSFTNGP06.phx.gbl...
Bonjour,
Le système d'xploitation ne redémarrant plus (plantage au démarrage avec
pour unique message "Redémarrage du programme d'installation....."),
comment faire pour décrypter les données sachant que nous pouvons
récupérer le certificat sans la clé privée.
Le poste n'est pas formaté et est accessible depuis un autre poste en
disque secondaire.
Pour commencer, est-ce bien de chiffrement (EFS) que tu parles ?
Et non pas d'un simple problème de droits NTFS ?
Car il est normal de ne pas pouvoir accéder à des fichiers (sur une
partition NTFS) créés sosu des comptes provenants d'une autre installation
de Windows. Cela se résoud facilement, en se plaçant sous un compte admin,
et en modifiant propriétaire et permissions des fichiers.
cf. : http://www.bellamyjc.org/fr/windowsnt.html#pbaccesfichiers
Par contre, s'il s'agit réellement de fichiers chiffrés sous W2K, XP PRO,
Vista PRO et+ (EFS n'est pas disponible sous XP HOME ni sous VISTA HOME), à
l'aide du système EFS (Encryption File System), çà se complique
sérieusement!
Surtout si le certificat du compte concerné n'a pas été exporté (sous forme
de fichier .pfx)
http://www.bellamyjc.org/fr/cryptobackup.html#savekey
Si c'est le cas, la restauration du certificat s'effectue simplement :
http://www.bellamyjc.org/fr/cryptobackup.html#restorekey
La clé privée est stockée dans le dossier d'origine
c:d&s<username>application datamicrosoftcryptorsa
Comment faire pour pouvoir récupérer tout cela ?
Est-ce possible ?
J'avoue ne pas avoir tenté la manip par simple déplacement des fichiers
La clef privée est effectivement dans
%userprofile%Application DataMicrosoftCryptoRSA
Mais il faut aussi disposer de la clef publique qui est dans
%userprofile%Application DataMicrosoftSystemCertificatesMyCertificates
Le nom du fichier est l'empreinte numérique (hachage SHA1) du certificat
Sans oublier la clef maître générée (par hachage HMAC et SHA1) à partir du
mot de passe du compte utilisateur, et stockée dans un fichier situé dans le
dossier :
%userprofile%Application DataMicrosoftProtect<SID du compte>
Donc il faut connaitre l'ancien SID du compte concerné.
Comme l'OS concerné est HS, i lva falloir effecteur un peu d'égyptologie en
chargeant l'ancienne ruche SOFTWARE (par un montage de ruche dans REGEDIT)
et en explorant la clef
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionProfileList
Chaque sous-clef est constituée du SID de chque compte ayant déjà ouvert une
session.
En examinant l'entrée "ProfileImagePath", on aura une idée du compte
associé.
P.ex. chez moi, la sous-clef
"S-1-5-21-1420310947-1396398934-1028468698-1001" a une entrée
"ProfileImagePath" qui contient la chaine "C:UsersBELLAMY" (je suis sous
VISTA)
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP]
http://www.bellamyjc.org ou http://jc.bellamy.free.fr
Le système d'xploitation ne redémarrant plus (plantage au démarrage avec pour unique message "Redémarrage du programme d'installation....."), comment faire pour décrypter les données sachant que nous pouvons récupérer le certificat sans la clé privée. Le poste n'est pas formaté et est accessible depuis un autre poste en disque secondaire.
Pour commencer, est-ce bien de chiffrement (EFS) que tu parles ? Et non pas d'un simple problème de droits NTFS ? Car il est normal de ne pas pouvoir accéder à des fichiers (sur une partition NTFS) créés sosu des comptes provenants d'une autre installation de Windows. Cela se résoud facilement, en se plaçant sous un compte admin, et en modifiant propriétaire et permissions des fichiers. cf. : http://www.bellamyjc.org/fr/windowsnt.html#pbaccesfichiers
Par contre, s'il s'agit réellement de fichiers chiffrés sous W2K, XP PRO, Vista PRO et+ (EFS n'est pas disponible sous XP HOME ni sous VISTA HOME), à l'aide du système EFS (Encryption File System), çà se complique sérieusement! Surtout si le certificat du compte concerné n'a pas été exporté (sous forme de fichier .pfx) http://www.bellamyjc.org/fr/cryptobackup.html#savekey
Si c'est le cas, la restauration du certificat s'effectue simplement : http://www.bellamyjc.org/fr/cryptobackup.html#restorekey
La clé privée est stockée dans le dossier d'origine c:d&s<username>application datamicrosoftcryptorsa Comment faire pour pouvoir récupérer tout cela ? Est-ce possible ?
J'avoue ne pas avoir tenté la manip par simple déplacement des fichiers La clef privée est effectivement dans %userprofile%Application DataMicrosoftCryptoRSA
Mais il faut aussi disposer de la clef publique qui est dans %userprofile%Application DataMicrosoftSystemCertificatesMyCertificates Le nom du fichier est l'empreinte numérique (hachage SHA1) du certificat
Sans oublier la clef maître générée (par hachage HMAC et SHA1) à partir du mot de passe du compte utilisateur, et stockée dans un fichier situé dans le dossier : %userprofile%Application DataMicrosoftProtect<SID du compte>
Donc il faut connaitre l'ancien SID du compte concerné. Comme l'OS concerné est HS, i lva falloir effecteur un peu d'égyptologie en chargeant l'ancienne ruche SOFTWARE (par un montage de ruche dans REGEDIT) et en explorant la clef HKLMSOFTWAREMicrosoftWindows NTCurrentVersionProfileList Chaque sous-clef est constituée du SID de chque compte ayant déjà ouvert une session. En examinant l'entrée "ProfileImagePath", on aura une idée du compte associé. P.ex. chez moi, la sous-clef "S-1-5-21-1420310947-1396398934-1028468698-1001" a une entrée "ProfileImagePath" qui contient la chaine "C:UsersBELLAMY" (je suis sous VISTA)
-- May the Force be with You! La Connaissance s'accroît quand on la partage ---------------------------------------------------------- Jean-Claude BELLAMY [MVP] http://www.bellamyjc.org ou http://jc.bellamy.free.fr