Como deixo a conta SYSTEM usar a criptografia EFS?

6

Eu quero criptografar alguns arquivos usados por um serviço do Windows em execução como sistema local (ou seja, usando a conta NT AUTHORITY\SYSTEM ). Desde o BitLocker parece não funcionar com software RAID , o EFS parece ser o caminho a percorrer. No entanto, cipher /adduser não gosta de ser usado no SYSTEM:

cipher /adduser /user:SYSTEM filename.ext

Error finding user certificate in Active Directory Domain Services: The specified domain either does not exist or could not be contacted.

Estou usando o Windows 8.1.

Eu também tenho alguns arquivos já criptografados para os quais preciso dar acesso ao SYSTEM. O que posso fazer?

    
por Ben N 17.12.2015 / 03:40

1 resposta

8

Isso funciona em todas as versões do Windows desde 7 (e provavelmente anteriores), e as versões do servidor também.

A conta SYSTEM pode, de fato, usar o EFS, mas não possui um certificado EFS por padrão. A única pessoa que pode inscrever um certificado para SYSTEM é SYSTEM, então você precisará obter PsExec . Em um prompt de comando do admin com psexec.exe accessible, execute psexec /s /i cmd.exe para produzir um prompt de comando em execução como SYSTEM.

Antes de começarmos

Observe que permitir o acesso do SISTEMA a um arquivo criptografado significa que qualquer pessoa com acesso físico à máquina pode descriptografar esse arquivo. Geralmente, os certificados EFS são protegidos por uma senha de usuário, mas a senha do sistema deve ser armazenada no disco porque ninguém digita sua senha. Portanto, esses procedimentos só são aconselháveis se você estiver preocupado com a segurança de backups fora do local, onde a chave da máquina não está acessível.

Se você quiser que apenas o SYSTEM tenha acesso aos arquivos

Use o prompt SYSTEM para criptografar os arquivos. Isso pode ser feito com o utilitário cipher que vem com o Windows. cipher /e seguido pelo nome do arquivo criptografa esse arquivo, tornando-o acessível apenas para SYSTEM. Para criptografar um diretório, o comando é cipher /e /s: , com o nome do diretório de destino quebrado contra esses dois pontos.

Se você quiser dar acesso ao sistema para arquivos já criptografados

Na primeira vez que um arquivo é criptografado (para qualquer conta), um certificado / chave EFS é emitido. Para criar um arquivo de rascunho, execute echo. > scratch.txt no prompt SYSTEM. Criptografe esse arquivo com cipher /e scratch.txt . Você pode gravar esse arquivo extra se quiser, o certificado está pronto. Os certificados EFS podem ser gerenciados no snap-in Certificados do MMC; você precisará abrir o snap-in para o computador (não o usuário) ou apenas executar certlm.msc . Você encontrará os certificados de interesse em Trusted People.

Agora, quando você quiser conceder acesso ao SYSTEM a um arquivo / diretório criptografado, abra um prompt de comando como um proprietário do arquivo. Execute cipher /adduser /certhash: com a impressão digital EFS do usuário alvo preenchida com os dois-pontos sem espaços. (Clique duas vezes em uma entrada na janela Certificates MMC e alterne para a guia Detalhes para ver a impressão digital.) O nome do arquivo de destino é um parâmetro adicional e /s:<dir> ainda funciona se você estiver aplicando isso a uma pasta.

Comandos de exemplo

Criptografando um arquivo: cipher /e filename.ext
Criptografando uma pasta: cipher /e /s:Important
Adicionando um usuário a um arquivo: cipher /adduser /certhash:6cc1ce89aac7b6f794733e1b6b54a564a9bed9de filename.ext

Outras leituras: "Como funciona: sistema de arquivos com criptografia" , cipher.exe reference na TechNet

    
por 17.12.2015 / 03:40

Tags