Использование сертификата EFS другого пользователя
На компьютере, присоединенном к домену, можете ли вы зашифровать папку с помощью EFS, а затем экспортировать свой сертификат / закрытый ключ, а затем войти в систему как другой пользователь и импортировать его для просмотра зашифрованных файлов? Я попробовал это и потерпел неудачу, но, возможно, делаю это неправильно. Сбой, потому что CN сертификата зарегистрирован только для одного пользователя?
Любой способ сделать эту машину широко? То есть. Импортировать в хранилище сертификатов машины и разрешить всем пользователям просматривать этот файл?
В домене нет центра сертификации AD.
Спасибо
1 ответ
После настройки тестовой виртуальной среды я определил следующее.
Для просмотра зашифрованных файлов EFS ВАШЕ личное хранилище EFS должно содержать ключ PRIVATE сертификата, созданного пользователем, который зашифровал файл, ИЛИ закрытый ключ сертификата агента восстановления.
Вы не можете импортировать закрытый ключ в хранилище сертификатов машины, поскольку это только дает доступ к учетной записи SYSTEM.
Вы можете использовать команду cipher /c filename.txt чтобы определить, кто зашифровал файл и с какого отпечатка сертификата вам потребуется экспортировать закрытый ключ.
Чтобы получить закрытый ключ пользователя, войдите в систему как пользователь, который зашифровал и использовать start->run->mmc->certificates->export с закрытым ключом.
Чтобы получить закрытый ключ агента восстановления домена, войдите в систему контроллера домена и сделайте то же самое. start->run->MMC->certificates->personal-> find Domain Recovery Certificate -> export private key,
Затем возьмите этот файл.pfx и импортируйте его на соответствующий компьютер, войдя в систему как пользователь, к которому вы хотите получить доступ.
Как примечание, это было протестировано в доменной среде, в которой нет PKI/CA. С PKI / CA все, вероятно, намного проще.
Надеюсь, это кому-нибудь поможет.