¿Cómo recuperar el certificado EFS de la copia de seguridad?

Navega tus respuestas
8

Hice una copia de seguridad del antiguo Win 7 Pro y luego hice una instalación limpia. Pero olvidé exportar mi certificado de cifrado EFS, así que cuando después de restaurar los archivos cifrados desde la copia de seguridad ya no pude acceder a ellos. Hasta aquí, no es de extrañar.

Luego investigué y descubrí que los certificados se almacenan en la carpeta C:\Users\username\AppData\Roaming\Microsoft\SystemCertificates\My\ . Fui a esa ubicación en la copia de seguridad y restauré las carpetas Certificados y Claves en la misma ubicación en la nueva instalación .

Ahora, cuando abro el administrador de certificados EFS (no el administrador de certificados MMC) me pide que seleccione o cree un certificado personal. Puedo navegar a través de todos los certificados de la máquina antigua (que ahora están disponibles, ya que restauré los archivos de certificación de la máquina antigua). Puedo seleccionar los certificados que parecen ser los certificados personales (el nombre del certificado es mi nombre de usuario ), pero el administrador de certificados EFS no me permite usar ninguno de estos certificados: "no puedo encontrar el certificado y es privado. Clave para el descifrado ". Uno podría imaginar que en la carpeta claves encontraría las claves privadas, y en los certificados en la carpeta certificados . Después de todo, ES la lectura de certificados de esta ubicación donde coloqué los archivos de copia de seguridad; antes de restaurar la copia de seguridad, el administrador de certificados EFS no tenía certificados para mostrar.

Cuando abro la MMC del Administrador de certificados , veo las mismas docenas de certificados traídos desde la máquina anterior a través de una copia de seguridad. Para mi sorpresa, cuando hago clic en cada uno de esos dos certificados, certmgr me dice que "tengo una clave privada que corresponde a este certificado" . ¡Genial! Pero si intento exportar estos mismos certificados, me dice que no se pudo encontrar la clave privada asociada ( lo que sea, ¡Windows! )

Escribí todo lo anterior para preguntar esto: ¿DÓNDE desde la copia de seguridad recupero los certificados y las claves privadas? Estas respuestas no se aplican a mi situación.

PS: En el peor de los casos, sé que puedo volver a poner en línea el sistema anterior desde la copia de seguridad y exportar el certificado. Pero realmente estoy tratando de evitar hacer esto.

    
pregunta Gaia 13.12.2013 - 05:48
fuente

4 respuestas

0

AFAIK no hay manera de evitarlo. Debe iniciar el sistema anterior, exportar el certificado con la clave privada correspondiente y guardarlo (lo guardé como PFX).

Luego llevé el archivo a otro sistema (por cierto, una computadora portátil diferente, por lo tanto, un TPM diferente) e inicié sesión con el mismo nombre de usuario y amp; pword como la máquina anterior. Pude importar exitosamente el PFX en mi almacén de certificados personales.

Puedo confirmar que esto funciona con el propósito de acceder a archivos protegidos por EFS.

PS: No necesitaba utilizar la herramienta recomendada por @ Td6 en su respuesta.

    
respondido por el Gaia 07.07.2016 - 03:54
fuente
1

  1. Tal vez sus archivos restaurados de la máquina antigua hayan roto el enlace entre los certificados EFS y sus claves privadas asociadas.

  2. Entonces, intente utilizar Mimikatz 2.0 en la máquina antigua enlace con privilegios de administrador

    • utilizando la función crypto :: exportKeys, puede exportar las claves privadas (solo preste atención a su ACL en los archivos)

    • utilizando la función crypto :: patchcapi, puede parchear el proveedor de CryptoAPI de Windows cargado en mimikatz. Luego, las claves privadas «no exportables» se convierten en «exportables» :)

respondido por el Td6 06.03.2014 - 11:43
fuente
0

Se reduce a las claves privadas que se enredan con la contraseña del usuario. No existen herramientas para automatizar la extracción, incluso si conoce la contraseña.

Cómo se almacenan las claves privadas

    
respondido por el Monstieur 14.03.2016 - 10:40
fuente
-1

Esto podría ser lo que estás buscando:

Secretos de la DPAPI

    
respondido por el James Santiago 02.01.2014 - 02:10
fuente

Lea otras preguntas en las etiquetas

Nmap dice que el host está inactivo cuando el host está activo ¿Se requiere que tenga el mismo nombre de dominio y nombre común para el certificado SSL?