Если бы пароль просто поменялся, то это бы не повлияло на...21.08.08 15:31 Число просмотров: 4299 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 21.08.08 15:38 Количество правок: 1
Если бы пароль просто поменялся, то это бы не повлияло на доступ к зашифрованной (EFSом) информации. Доступ теряется, если удаляется пользователь (теряется его SID) или пароль СБРАСЫВАЕТСЯ. Именно это корявое слово фигурирует в русифицированной винде.
> В итоге файл зашифрован, а пароль остался только в том месте, где его хранит служба для своего запуска. Вытащить его возможно? Вы полагаете, что при попытке доступа к EFS-файлу требуется пароль и программа предъявляла его, взяв из реестра. Вы полагаете, если в то место реестра подсунуть новый пароль, служба его предъявит и все будет нормально. Увы, в вашем случае (если не было резервных копий) нужно только "ломать EFS". В инете достаточно инфы про способы потерять доступ к EFSнутой инфе и как попытаться восстановить его. Да поможет вам поисковик.
Проблема вот в чем - под пользователем был зашифрован файл БД SQL. Служба сервера MSSQL входила от этого пользователя и нормально работалв с БД, пока не сменили пароль пользователя. В итоге файл зашифрован, а пароль остался только в том месте, где его хранит служба для своего запуска. Вытащить его возможно?
Нашел ветвь в реестре - вроде бы она21.08.08 11:42 Автор: Владимир Статус: Незарегистрированный пользователь
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSSQLSERVER\Security] - в ней лежит двоичный параметр Security а в разделе MSSQLSERVER лежит параметр ObjectName с именем локального пользователя ".\Имя_пользователя"
Это совсем не то.15.11.08 23:12 Автор: AlexD <Alexander> Статус: Member
> [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSSQLSERV > ER\Security] - в ней лежит двоичный параметр Security а в > разделе MSSQLSERVER лежит параметр ObjectName с именем > локального пользователя ".\Имя_пользователя"
Это СОВСЕМ не то.
Чтобы достать пароль, используемый службой, надо было найти какой-либо софт, вытаскивающий из системы то, что обычно называют LSA Secrets.
Чем (какой программой) зашифрован?21.08.08 10:49 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Если бы пароль просто поменялся, то это бы не повлияло на...21.08.08 15:31 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 21.08.08 15:38 Количество правок: 1
Если бы пароль просто поменялся, то это бы не повлияло на доступ к зашифрованной (EFSом) информации. Доступ теряется, если удаляется пользователь (теряется его SID) или пароль СБРАСЫВАЕТСЯ. Именно это корявое слово фигурирует в русифицированной винде.
> В итоге файл зашифрован, а пароль остался только в том месте, где его хранит служба для своего запуска. Вытащить его возможно? Вы полагаете, что при попытке доступа к EFS-файлу требуется пароль и программа предъявляла его, взяв из реестра. Вы полагаете, если в то место реестра подсунуть новый пароль, служба его предъявит и все будет нормально. Увы, в вашем случае (если не было резервных копий) нужно только "ломать EFS". В инете достаточно инфы про способы потерять доступ к EFSнутой инфе и как попытаться восстановить его. Да поможет вам поисковик.
Так скорее всего они его и сбросили... а у службы запомнен...15.11.08 23:13 Автор: AlexD <Alexander> Статус: Member
Так скорее всего они его и сбросили... а у службы запомнен старый пароль и его легко достать. А ты насоветовал:).
Не ужели так все плохо? Тогда грош цена такой парольной защите.17.11.08 10:17 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 17.11.08 10:18 Количество правок: 2
К сожелению, не помню шаги восстановления, т.к. далеко не часто приходится подобным заниматься.
Про восстановление можно прочесть на support.microsoft.com
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
