LETZTE BEARBEITUNG: Alles lief auf die EFS-Verschlüsselung hinaus. Ich hatte keine Zertifikate, privaten Schlüssel oder ähnliches. Glücklicherweise hatte windows.old den AppData-Ordner, in dem ich die Dateien finden konnte, die ich brauchte, um der Anleitung in der akzeptierten Antwort zu folgen. Das hat bei mir funktioniert.
Außerdem hatte ich kein Passwort, aber der Computerbenutzer verwendete kein Passwort, also funktionierte der im Handbuch erwähnte leere Passwort-Hash für mich. Weitere Einzelheiten zu den anderen Dingen, die ich zum Debuggen getan habe, finden Sie imPlaudern.
EDIT: Ich habe beide Befehle ausprobiert, die vomAntwortenFrage, und sie haben bei mir nicht funktioniert, sie sind nicht ausgefallen, sie sind gelaufen und der Eigentümer wurde geändert, aber mir wird immer noch der Zugriff auf die Dateien verweigert.
Guten Tag allerseits,
Ich habe dieses Problem, bei dem ich noch nicht herausgefunden habe, wie ich es richtig stellen kann, da es den Windows-Ordner „Dokumente“ umfasst, der bei einer Google-Suche einfach so viele Ergebnisse zu allen möglichen Dokumenten liefert. Wie auch immer, ich werde meine Situation erklären und sehen, ob sich etwas tun lässt.
Diese Person hat den Windows-Computer meines Vaters von Windows 7 auf Windows 10 aktualisiert. Ich bin mir nicht ganz sicher, wie er das gemacht hat, aber da ist dieser Ordner „Windows.old“ und darin dieser Ordner, auf dessen Dateien nicht zugegriffen werden kann, und auf diesen muss mein Vater zugreifen.das sind Jahre der Arbeit, deshalb frage ich hier, da ich im Internet keine Lösung finde.
Ich werde nur den Benutzernamen angeben, da ich Screenshots einfüge und mir an dieser Stelle die Sicherheit nicht so wichtig ist, ich möchte nur auf die Dateien zugreifen können. Der Ordner ist „C:\Windows.old\Usuarios\MARTIN CAMPOS\Documentos“, das ist Windows auf Spanisch.
Ich hatte dieses Problem schon einmal, vor vielen Jahren, aber ich habe meine alte Festplatte durch eine neue ersetzt, sodass meine vorherige Windows-Version noch auf der alten Festplatte verfügbar war. Ich habe den Computer einfach mit der alten Festplatte gebootet, alle Dokumente im Ordner „Documentos“ auf eine externe Festplatte kopiert, anstatt den Ordner „Documentos“ zu kopieren, und das war’s, ganz einfach. In diesem Fall ist die alte Windows-Installation nicht verfügbar, diese Person hat einfach Windows 7 durch Windows 10 auf derselben Festplatte ersetzt.
Aber zurück zum Problem: Auf Dateien überall in „C:\Windows.old\Usuarios\MARTIN CAMPOS“ kann zugegriffen werden, nur auf die Dateien in „C:\Windows.old\Usuarios\MARTIN CAMPOS\Documentos“ und seinen Unterordnern kann nicht zugegriffen werden, da sie im Symbol ein Schloss aufweisen:
Ich habe die Lösung in diesem Video ausprobiert:https://www.youtube.com/watch?v=sciON4DvGpY, das sah vielversprechend aus, funktionierte aber nicht.
Ich habe versucht, dem Benutzer vollständige Kontrolle über den Ordner zu gewähren, den Besitzer zu ändern und alles, was mir sonst noch eingefallen ist:
Aber ich hatte kein Glück. Mir fiel auf, dass die Berechtigungen nicht gleich aussehen, das Häkchen ist ausgegraut:
Anstatt fettem Schwarz:
Ich bin nicht sicher, ob das etwas damit zu tun hat. Und der Fehler, den ich für die Dateien bekomme, ist „Zugriff verweigert“:
Aber ja, das ist das Problem, das ich habe. Kann man da irgendetwas tun? Ich wäre für jede Hilfe sehr dankbar.
BEARBEITUNGEN
Ausgabe von icacls: (letzte Zeilen, da für alle Dateien gleich)
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\RFC YAMB010526S46-2.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\RFC YAMB010526S46.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SAT.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SATaclaracion.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SATactualizaciondeoblig.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF YAMB\SATsuspensióndeactividadesYAMB.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\Acuse_renovacionZAPM.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\RFC ZAPM510126KW7 CAMBIO DE DOMICILIO.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\RFC ZAPM510126KW7.pdf
archivo procesado: C:\Windows.old\Users\MARTIN CAMPOS\Documents\XML Y PDF ZAPM\SAT RESICOzapm.pdf
Se procesaron correctamente 16334 archivos; error al procesar 0 archivos
Das bedeutet: „16334 wurden korrekt verarbeitet, Fehler bei der Verarbeitung von 0 Dateien“
Fehler beim Versuch, die Datei außerhalb des Ordners zu kopieren, einschließlich des aktuell in Windows angemeldeten Benutzers:
Was übersetzt bedeutet: „Sie benötigen Berechtigungen, um diese Aktion auszuführen. / Es sind Berechtigungen von DESKTOP-AUKOJ78/Campos erforderlich, um Änderungen an dieser Datei vorzunehmen.“
Was ich durch Ausführen des Befehls erhalten habeicacls "C:\Windows.old\Benutzer\MARTIN CAMPOS\Dokumente":
C:\Windows\system32>icacls "C:\Windows.old\Users\MARTIN CAMPOS\Documents"
C:\Windows.old\Users\MARTIN CAMPOS\Documents APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(OI)(CI)(F)
APPLICATION PACKAGE AUTHORITY\TODOS LOS PAQUETES DE APLICACIÓN RESTRINGIDOS:(OI)(CI)(F)
DESKTOP-AUKOJ78\Campos:(OI)(CI)(F)
Everyone:(OI)(CI)(RX)
BUILTIN\Administradores:(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
Se procesaron correctamente 1 archivos; error al procesar 0 archivos
BEARBEITEN MEHR INFO
Also habe ich den Vorschlag ausgeführt und ChkDsk ausgeführtC: /OfflineScanAndFixund erstelle einen neuen Benutzer mit demselben Benutzernamen wie ursprünglich in Windows 7, aber nichts scheint zu funktionieren. Außerdem habe ich mit den Berechtigungen für nur eine Datei herumgespielt und versucht, sie zu entsperren oder so, aber nichts scheint zu funktionieren. Nichts entfernt das gelbe Vorhängeschloss.
Mir bleibt eigentlich nur noch, zu Windows 7 zurückzukehren, auch zu Linux, aber das kann ich erst ausprobieren, wenn ich die physische CPU in die Finger bekomme.
In der Zwischenzeit sind auch weiter entfernte Vorschläge herzlich willkommen.
BEARBEITEN 3 UBUNTU-BILDSCHIRMFOTO
Mir ist aufgefallen, dass ich nur Dateien öffnen kann, die vor einem bestimmten Datum, etwa dem 3. Februar 2018 und früher, erstellt oder geändert wurden.
Hier ist das Foto, das ich mit meinem Mobiltelefon gemacht habe und auf dem der Fehler „Zugriff verweigert“ angezeigt wird. Außerdem wird eine am 3. Februar 2018 erstellte Datei geöffnet, die geöffnet werden kann.
Antwort1
Beschämendes direktes Kopieren/Einfügen einesArtikel zum Entschlüsseln von EFS-verschlüsselten Dateien:
Überprüfung des Chats(unter den Fragekommentaren) Es scheint, dass das goldene Vorhängeschloss oben rechts in Windows EFS-Dateien anzeigt.w32sh GesendetALink zum Forumdas diesen Artikel zur Behebung vorgeschlagen hat, und der OP hat mitgeteilt, dass es ihnen anscheinend ermöglicht, ihre Dateien zu entschlüsseln!
- Abrufen des Zertifikatfingerabdrucks aus einer der verschlüsselten Dateien
cipher /c "D:\Benutzer\foo\Bilder\geheim.jpg" ... Zertifikatfingerabdruck: 096B A4D0 21B5 0F5E 78F2 B985 4A74 6167 8EDA A006
Kein Wiederherstellungszertifikat gefunden.
Schlüsselinformationen können nicht abgerufen werden.
Die angegebene Datei konnte nicht entschlüsselt werden.
- Exportieren Sie das Zertifikat und seinen öffentlichen Schlüssel nach DER
mimikatz # crypto::system /file:"SystemCertificates\My\Certificates\096BA4D021B50F5E78F2B9854A7461678EDAA006" /export ... Schlüsselcontainer: d209e940-6952-4c9d-b906-372d5a3dbd50 Anbieter: Microsoft Enhanced Cryptographic Provider v1.0 ... Gespeichert in Datei: 096BA4D021B50F5E78F2B9854A7461678EDAA006.der
- Finden Sie den Hauptschlüssel
Überprüfen Sie die Dateien in Crypto\RSA\SID\, um die Datei zu finden, die einen pUniqueName enthält, der mit dem in Schritt 2 gefundenen Schlüsselcontainer übereinstimmt, z. B.
mimikatz # dpapi::capi /in:"Crypto\RSA\S-1-5-21-3425643682-3879794161-2639006588-1000\43838b0ac634d4f965f7c24f0fa91b2b_a55eeef9-ab65-4716-a466-adfc937caecd" ... pUniqueName : d209e940-6952-4c9d-b906-372d5a3dbd50 ... guidMasterKey : {92f17fce-aae6-488b-9fd8-7774c6c3eb16}
- Stellen Sie bei Bedarf den NTLM-Hash wieder her
Wenn das Kennwort unbekannt ist, stellen Sie den NTLM-Hash wieder her:
mimikatz # lsadump::sam /system:SYSTEM /SAM:SAM ... RID : 000003e8 (1000) Benutzer : foo Hash NTLM: 31d6cfe0d16ae931b73c59d7e0c089c0
Für Domänenkonten wird lediglich der NTLM-Hash (/hash:xx) benötigt, für lokale Konten hingegen entweder das zugehörige Passwort (/password:xx) oder dessen SHA1-Hash (/hash:xx), was bedeutet, dass Sie diesen kennen, knacken oder nachschlagen müssen:1
Lookup online:
CrackStation
Ntlm() Encrypt & Decrypt
HashKiller
Lookup offline:
Rainbow Crackalack
FreeRainbowTables.com
Crack via hashcat or similar
- Den Hauptschlüssel entschlüsseln
In diesem Beispiel haben wir ein lokales Konto mit einem NTLM-Hash von 31d6cfe0d16ae931b73c59d7e0c089c0, was einem leeren Passwort entspricht, und einem SHA1-Hash von da39a3ee5e6b4b0d3255bfef95601890afd80709:
mimikatz # dpapi::masterkey /in:"Protect\S-1-5-21-3425643682-3879794161-2639006588-1000\92f17fce-aae6-488b-9fd8-7774c6c3eb16" /hash:da39a3ee5e6b4b0d3255bfef95601890afd80709 ... [masterkey] mit Hash: da39a3ee5e6b4b0d3255bfef95601890afd80709 (Typ SHA1) Schlüssel: 6e24723a56a885fc957f25d4872cbbf10589b1f08033d32174ef3618a192f0e101e41196ca76d689057737429af000af2d7e19497ef2151344dfdfdfb9a6bfd0 sha1: 4505118da94b7df471bbbcf6d2c6c744a612e62b
- Entschlüsseln Sie den privaten Schlüssel
mimikatz # dpapi::capi /in:"Crypto\RSA\S-1-5-21-3425643682-3879794161-2639006588-1000\43838b0ac634d4f965f7c24f0fa91b2b_a55eeef9-ab65-4716-a466-adfc937caecd" /masterkey:4505118da94b7df471bbbcf6d2c6c744a612e62b ... Privater Export: OK - 'raw_exchange_capi_0_d209e940-6952-4c9d-b906-372d5a3dbd50.pvk'
- PFX-Zertifikat erstellen
mit OpenSSL:2
openssl.exe x509 -inform DER -outform PEM -in 096BA4D021B50F5E78F2B9854A7461678EDAA006.der -out public.pem
openssl.exe rsa -inform PVK -outform PEM -in raw_exchange_capi_0_d209e940-6952-4c9d-b906-372d5a3dbd50.pvk -out private.pem schreibt RSA-Schlüssel
openssl.exe pkcs12 -in public.pem -inkey private.pem -password pass:bar -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx
- Installieren des PFX-Zertifikats
certutil -user -p bar -importpfx cert.pfx NoChain,NoRoot-Zertifikat „Benutzer“ zum Speicher hinzugefügt. CertUtil: -importPFX-Befehl erfolgreich abgeschlossen.
- Greifen Sie auf Ihre Dateien zu!
Jetzt sollten Ihre Dateien zugänglich sein, Sie können diese Gelegenheit aber auch nutzen, um sie zu entschlüsseln:
cipher /d "D:\Benutzer\foo\Bilder\geheim.jpg"
cipher /d /s:"D:\Benutzer\foo\Bilder"
(oder Rechtsklick → Erweitert → Deaktivieren Sie „Inhalte verschlüsseln, um Daten zu schützen“ → OK).
Antwort2
Was mit diesem Computer passiert, ist unlogisch, aber anstatt zu versuchen, es zu reparieren, würde ich vorschlagen, das Problem zu umgehen.
Ich würde vorschlagen, einen Linux Live USB zu booten und den Ordner „Dokumente“ zu kopieren. Linux kümmert sich nicht um die Windows-Berechtigungen für Dateien.
Anschließend empfehle ich, chkdskdie Integrität der Festplatte zu überprüfen, da die Übernahme des Besitzes des Ordners ausreichend sein sollte, um vollen Zugriff zu gewähren.
Antwort3
Verwenden Sie die Unlocker-Software, um die Dateien zu entsperren und die Berechtigungen zu entfernen.
Dies hilft Ihnen auch, die gesperrten Dateien umzubenennen.