Quando vários certificados do Sistema de Arquivos com Criptografia são instalados, qual deles é usado para criptografia?

5

Para criptografar um arquivo ou uma pasta no Windows, você basicamente acessa suas Propriedades e verifica Criptografar conteúdo para proteger dados . O Windows usará o certificado do Sistema de Arquivos com Criptografia (EFS) que está instalado no Gerenciador de Certificados ( certmgr.msc ), que geralmente fica em Pessoal → Certificados. Portanto, quando há apenas um certificado EFS disponível, você sabe qual deles é usado para criptografar arquivos.

No meu caso, tenho vários certificados EFS instalados. Eu não sei qual é o original e quais foram instalados mais tarde, e mais importante, eu não sei qual deles é realmente usado para criptografar um arquivo quando eu marquei essa caixa.

Existe alguma maneira de saber exatamente qual certificado é usado para criptografia?

Nas instruções da Microsoft para Backup do certificado EFS (Encrypting File System) ele diz "Se houver mais de um certificado EFS, você deve fazer o backup de todos eles". Isso significa que todos os certificados instalados serão usados para criptografar arquivos e, portanto, todos eles serão necessários para descriptografar?

    
por orad 15.08.2015 / 08:39

3 respostas

3

Respondendo a mim mesmo:

Use este comando para listar todos os arquivos criptografados no sistema:

cipher /u /n

Use este comando para exibir informações de certificado para o arquivo especificado.

cipher /c <file>

Por padrão, o Windows usa o certificado EFS que expira mais recentemente para criptografar arquivos e pastas. A maneira mais fácil de gerenciar certificados EFS no Windows é usar o assistente Gerenciar Certificados de Criptografia de Arquivos (rekeywiz) para renovar e fazer backup de certificados.

    
por 16.08.2015 / 03:02
2

Apenas um certificado é usado por padrão, aquele com a chave pública registrada para esse usuário. (Verificado experimentalmente.)

Se você não quiser usar um utilitário de linha de comando para descobrir qual certificado será usado, poderá usar o snap-in do Gerenciador de Certificados para o MMC. Abra o escopo da máquina local (ou execute certlm.msc ) - sem privilégios de administrador necessários, mas você será solicitado a elevar se você for um administrador. Navegue com o painel esquerdo para Trusted People Certificados . Você verá uma lista de usuários na máquina que possuem certificados EFS. Clicar duas vezes em uma entrada produz a caixa de diálogo de propriedades do certificado EFS do usuário.

Se, em vez disso, você tivesse aberto o escopo do Usuário atual ( certmgr.msc ) e navegasse para a mesma pasta, aquele usado para seus arquivos EFS seria o único com seu nome que não possui uma chave no ícone. / p>     

por 04.03.2016 / 00:56
1

Para encontrar:

  1. qual certificado foi realmente usado em um arquivo específico: você clica com o botão direito no arquivo para ver as propriedades Selecione Avançado Selecione Detalhes ao lado da caixa de seleção Criptografar

Aparece um pop-up que informa qual certificado e impressão digital foi usado para criptografar esse arquivo específico. A impressão digital corresponde à impressão digital do certificado dentro do gerenciador de certificados.

  1. qual certificado será usado (o certificado de criptografia padrão)

Resposta: Existe um assistente na conta do usuário Windows7 Painel de Controle \ Todos os Itens do Painel de Controle \ Contas de Usuário Esquerda: Gerenciar sua criptografia de arquivos

O assistente permitirá que você: Selecione qual certificado usar para TODA nova criptografia Exportar Reencaminhar todos / selecionar disco / pastas com o novo certificado

Linha de Comando para o assistente (rekeywiz) graças ao link

cf: link

If there is more than one EFS certificate, you should back up all of them.

a) Apenas o atual é usado para criptografia futura

b) Mas, quando vários certificados estão presentes, você não sabe qual deles foi usado no passado. Então você potencialmente precisa de todos eles para descriptografar qualquer arquivo. É por isso que a Microsoft recomenda salvar todos eles. Caso contrário, você pode recriar todos os seus arquivos usando o assistente mencionado acima (que basicamente substitui o certificado antigo pelo atual)

    
por 26.07.2016 / 20:16