Windows chce, abych si uložil EFS klíč, proč?

Windows chce, abych si uložil EFS klíč, proč?
« kdy: 14. 11. 2021, 11:34:57 »
Po zapnutí PC mi windows napsali, že bych si měl zálohovat klíč EFS, abych nepřišel o data, ale já žádné šifrování souborů nepoužívám. Znamená to, že windows mi mohou zašifrovat soubory nebo už to udělali? Dá se to nějak zjistit?
« Poslední změna: 14. 11. 2021, 19:11:17 od Petr Krčmář »


TakyPatrik

Re:windows chce, abych si uložil EFS klíč, proč?
« Odpověď #1 kdy: 14. 11. 2021, 18:39:22 »
Existující nebo nová instalace? Co předcházelo výzvě k uložení EFS klíče?

Re:Windows chce, abych si uložil EFS klíč, proč?
« Odpověď #2 kdy: 15. 11. 2021, 09:44:44 »
Rozhodně klíč zaznamenat a pátrat, jestli není zapnutý bitlocker. Pravděpodobně bude, i bez uživatelova vědomí, a disk už zašifrován je.
Kolega takto přišel o data: po update biosu už windousy nenastartovaly, požadovaly zadání EFS klíče. Klíč kolega neměl, smůla. Na šifrování se ho windows nikdy neptaly.

Rozhodně není sám, na internetu jsme našli další zoufalá volání podobných postiženců. Funguje to asi následovně: Nějaká aktualizace/přeinstalace windows zapne bitlocker, ten uloží šifrovací klíč do TPM. Dokud se nezmění konfigurace počítače, TPM při bootu vydá klíč a vše krásně funguje. Uživatel nic netuší. Po změně konfigurace počítače (nezkoumali jsme detailně, ale např. update biosu) TPM klíč nevydá a windows nemají z čeho bootovat.

Cyril

Literatura:
https://forums.lenovo.com/t5/Windows-10/After-BIOS-update-got-Bitlocker-Recovery-screen/m-p/5071995
https://answers.microsoft.com/en-us/windows/forum/all/bitlocker-locking-my-lenovo-720s-13ikb-drive-after/81122476-36cb-4584-bf38-427cfaa91ee7
https://www.reddit.com/r/sysadmin/comments/7gg2l4/lenovo_bios_update_not_triggering_bitlocker/

Pokud uživatel ví, že má bitlocker aktivovaný, má postupovat následovně:
https://its.uiowa.edu/support/article/104020


Re:Windows chce, abych si uložil EFS klíč, proč?
« Odpověď #3 kdy: 15. 11. 2021, 10:01:58 »
Ahoj,
Nejsem úplně expert ale pár zkušeností s EFS mám takže pár rad:
Klíč určitě pro jistotu zálohovat!
EFS je pro šifrování jednotlivých souborů(narozdíl od bitlockeru, který šifruje celé oddíly) a windows požaduje zálohu když je klíč vytvořen a není zálohován.
Takže nějaké soubory nejspíše šifrovány jsou nebo byli.
Seznam EFS šifrovaných souborů lze získat programem cipher.exe:
cipher /u /n /h > %UserProfile%\Desktop\EFS_EncryptedFiles.txt
Hledá to ale jen na lokálních jednotkách, pokud bylo něco zašifrováno na USB nebo síťovém úložišti tak to nejspíš nenajde. Stejně tak pokud už došlo ke smazání toho šifrovaného souboru.

msx.

Re:Windows chce, abych si uložil EFS klíč, proč?
« Odpověď #4 kdy: 15. 11. 2021, 10:42:28 »
Po zapnutí PC mi windows napsali, že bych si měl zálohovat klíč EFS, abych nepřišel o data, ale já žádné šifrování souborů nepoužívám. Znamená to, že windows mi mohou zašifrovat soubory nebo už to udělali? Dá se to nějak zjistit?
Nepíšeš aký Windows a či to píše od začiatku, takže budem variť z vody:
Pravdepodobne ide o Windows 10 Pro a BitLocker. Choď to hľadania, napíš bitlocker a otvor Nastavenie šifrovania BitLocker. Potom musíš spraviť zálohu kľúča, bez toho sa to neobíde a môžeš vypnúť šifrovanie. Kým sa bude dešifrovať, môžeš robiť s počítačom.


Re:Windows chce, abych si uložil EFS klíč, proč?
« Odpověď #5 kdy: 18. 11. 2021, 02:16:45 »
Díky. Windows 10. Instalace je stará asi rok. Ono to teď neustále píše, že přidáváme nové funkce. Takže očekávám překvápko každým dnem.

msx.

Re:Windows chce, abych si uložil EFS klíč, proč?
« Odpověď #6 kdy: 19. 11. 2021, 10:56:55 »
Len doplním, že verzia Home nešifruje a verzia Pro šifruje automaticky bez pýtania, takže ak nechceš šifrovať, musiš to manuálne odšifrovať, ako píšem vyššie. Ja som odšifroval tiež.

SB

  • ****
  • 320
    • Zobrazit profil
    • E-mail
Re:Windows chce, abych si uložil EFS klíč, proč?
« Odpověď #7 kdy: 19. 11. 2021, 13:30:34 »
...verzia Pro šifruje automaticky bez pýtania...

Jste si jistý? Nedávno jsem instaloval widle 10 pro, a k žádnému šifrování nedošlo, ještě jsem to schválně ověřoval, abych se nedočkal výše uvedených překvapení. Nezávisí to třeba na počasí?

Arthur

  • ***
  • 155
    • Zobrazit profil
    • E-mail
Re:Windows chce, abych si uložil EFS klíč, proč?
« Odpověď #8 kdy: 21. 11. 2021, 00:21:50 »
Ne, Win 10 Pro opravdu nešifrují automaticky :-)

BTW: při zapnutí nástroje Bitlocker Widle nutí uživatele uložit "obnovovací klíč nástroje Bitlocker" na externí médium, bez toho to nejde spustit.  Pokud to chtělo zálohovat "EFS klíč" pak se nejedná o Bitlocker, ale asi nějaký encrypted-file-system pro šifrování jednotlivých souborů, jak je psáno výše ...

Re:Windows chce, abych si uložil EFS klíč, proč?
« Odpověď #9 kdy: 22. 11. 2021, 00:26:34 »
Kdysi jsem četl, že někteří výrobci (Dell, HP apod.) zapínaly automaticky šifrování na dodávaných zařízeních (PC, notebooky apod.).
Je to tedy jeden z možných důvodů, proč by byl bitlocker automaticky zapnutý, nebo by se v průběhu času sám zapnul.
Zdar Max

msx.

Re:Windows chce, abych si uložil EFS klíč, proč?
« Odpověď #10 kdy: 22. 11. 2021, 11:18:17 »
...verzia Pro šifruje automaticky bez pýtania...

Jste si jistý? Nedávno jsem instaloval widle 10 pro, a k žádnému šifrování nedošlo, ještě jsem to schválně ověřoval, abych se nedočkal výše uvedených překvapení. Nezávisí to třeba na počasí?
Nainštaluj 10 Pro spusti nastavenia BitLocker a ono si to skutočne pýta uložiť kľúč na iný disk. Keď ho uložíš, tak bude disk okamžite zašifrovaný. Myslíš, že to dokáže tak rýchlo zašifrovať, za pár sekúnd? A odšifrovanie bude trvať kľudne aj pol hodiny minimálne. Ak mi neveríš, skús. Mám za sebou viac inštalácií a bolo to zašifrované. Samozrejme treba ale uvažovať aj o tom, že či má počítač TPM čip alebo emuláciu. Ak nie, tak zašifrovaný pravdepodobne nebude. Mne sa TPM vypnúť nedá, aspoň o tom neviem a zašifrované bolo vždy a bez akejkoľvek otázky. Takže over si zapnutie TPM a potom skús čistú inštaláciu, uložiť z nej kľúč. Ak to nebude po uložení kľúča zašifrované, tak máš vypnuté TPM.

Tú poznámku s tým počasím si si mohol odpustiť, keď nemáš dosť informácií.
« Poslední změna: 22. 11. 2021, 11:23:48 od msx. »

msx.

Re:Windows chce, abych si uložil EFS klíč, proč?
« Odpověď #11 kdy: 22. 11. 2021, 11:23:06 »
Ne, Win 10 Pro opravdu nešifrují automaticky :-)

BTW: při zapnutí nástroje Bitlocker Widle nutí uživatele uložit "obnovovací klíč nástroje Bitlocker" na externí médium, bez toho to nejde spustit.  Pokud to chtělo zálohovat "EFS klíč" pak se nejedná o Bitlocker, ale asi nějaký encrypted-file-system pro šifrování jednotlivých souborů, jak je psáno výše ...
Správne si mal napísať tak, že bez uloženia kľúča ti nenapíše, že disk je zašifrovaný. Ak pýta uložiť kľúč, disk je zašifrovaný, ale píše, že šifrovanie čaká na zapnutie, či ako to tam je napísané. Po uložení kľúča je disk zázrakom okamžite zašifrovaný. Súhlasím ale s tým, že Windows o už zašifrovanom disku neinformuje a to je podľa mňa chyba. Veľa ľudí si myslí, že ak neuloží kľúč, disk zašifrovaný nebude. OMYL!