Когда установлено несколько сертификатов шифрованной файловой системы, какой из них используется для шифрования?

Question

Чтобы зашифровать файл или папку в Windows, вы, в основном, переходите к его «Свойствам» и выбираете «Шифровать содержимое» для защиты данных. Windows будет использовать сертификат для шифрованной файловой системы (EFS), установленный в диспетчере сертификатов (certmgr.msc), который обычно находится в разделе Личные → Сертификаты. Поэтому, когда доступен только один сертификат EFS, вы знаете, какой из них используется для шифрования файлов.

В моем случае у меня установлено несколько сертификатов EFS. Я не знаю, какой из них является оригинальным, а какие были установлены позже, и что более важно, я не знаю, какой из них фактически используется для шифрования файла, когда я устанавливаю этот флажок.

Есть ли способ точно узнать, какой сертификат используется для шифрования?

В инструкциях Microsoft по резервному копированию сертификата шифрованной файловой системы (EFS) говорится:«Если существует более одного сертификата EFS, вы должны создать резервные копии всех их». Означает ли это, что все установленные сертификаты будут использоваться для шифрования файлов и, следовательно, все они будут необходимы для расшифровки?

Answer 1

Отвечая себе:

Используйте эту команду для вывода списка всех зашифрованных файлов в системе:

cipher /u /n

Используйте эту команду для отображения информации о сертификате для указанного файла.

cipher /c <file>

По умолчанию Windows использует сертификат EFS, срок действия которого истекает, для шифрования файлов и папок. Самый простой способ управления сертификатами EFS в Windows - использовать мастер управления сертификатами шифрования файлов (rekeywiz) для обновления и резервного копирования сертификатов.

Answer 2

По умолчанию используется только один сертификат, открытый с открытым ключом, зарегистрированным для этого пользователя. (Проверено экспериментально.)

Если вы не хотите использовать утилиту командной строки, чтобы выяснить, какой сертификат будет использоваться, вы можете использовать оснастку «Диспетчер сертификатов» для MMC. Откройте область «Локальный компьютер» (или запустите certlm.msc) - никаких прав администратора не требуется, но вас попросят повысить, если вы являетесь администратором. Перейдите с левой панели к « Надежные люди» → « Сертификаты». Вы увидите список пользователей на компьютере, которые имеют сертификаты EFS. Двойной щелчок по записи вызывает диалог свойств сертификата EFS пользователя.

Если вы вместо этого открыли область действия «Текущий пользователь» (certmgr.msc) и перешли в ту же папку, папка, используемая для ваших файлов EFS, будет единственной с вашим именем, у которой нет ключа на значке.

Answer 3

Найти:

1. какой сертификат фактически использовался для определенного файла: вы щелкаете правой кнопкой мыши по файлу, чтобы увидеть свойства. Выберите «Дополнительно», выберите «Детали» рядом с флажком «Шифровать».

Появится всплывающее окно, в котором будет указано, какой сертификат и отпечаток использовались для шифрования этого конкретного файла. Отпечаток соответствует отпечатку сертификата в диспетчере сертификатов.

2. какой сертификат будет использоваться (сертификат шифрования по умолчанию)

Ответ. В учетной записи пользователя есть мастер. Панель управления Windows7 \ Все элементы панели управления \ Учетные записи слева: управление шифрованием файлов

Мастер позволит вам: Выбрать, какой сертификат использовать для ВСЕГО нового шифрования. Экспортировать его. RE Зашифровать все / выбрать диск / папки с новым сертификатом.

Командная строка для мастера (rekeywiz) благодаря http://pcsupport.about.com/od/commandlinereference/a/run-commands-windows-7.htm

cf:http://www.windows7teacher.com/user-accounts-tutorials/63/how-to-manage-your-file-encryption-certificates-in-windows-7.html

Если имеется более одного сертификата EFS, вы должны создать резервные копии всех из них.

а) только текущий используется для будущего шифрования

б) Но, когда имеется несколько сертификатов, вы не знаете, какой из них использовался в прошлом. Таким образом, вам потенциально нужно, чтобы все они расшифровали любой файл. Вот почему Microsoft рекомендует сохранить их все. В противном случае вы можете повторно зашифровать все свои файлы с помощью мастера, упомянутого выше (который в основном заменяет старый сертификат на текущий)