разнообразные способы проебать файлы посредством EFS
Это не то чтобы rocket science, но вдруг кто еще не знает.
Они все лечатся своевременным бэкапом ключей (его надо делать после каждого события, описанного ниже)
1. Сбросить юзеру пароль, не будучи залогиненным (про это винда честно предупреждает). Менять пароль, предоставляя предыдущий, или делая это из юзерской сессии - можно.
2. Упаковать/скопировать файлы, не расшифровывая, переустановить винду/сменить машину/удалить юзера, удивиться
(у NTFS можно попросить нерасшифрованный файл for backup puproses, что вполне логично, не давать же бэкапилке доступ ко всем данным, но вот ключи надо бэкапить отдельно - про это винда тоже предупреждает)
3. "сегодня я узнал" - *Создать* юзеру пароль (!!!) если ранее до этого пароля не было. В принципе, определенная логика есть в том, что
а) предыдущий мастерключ юзера лежал в открытом виде, следовательно его стоит похерить
б) через GUI вроде бы не зашифруешь файл если пароля нету
но блин, перешифровывали бы, что ли.
Привязка KeePass базы данных к "Windows User Account" вроде бы* работает ровно по тем же правилам, да.
Вот, hope this helps somebody.
*надо перечитать сорцы, по наблюдениям похоже
This entry was originally posted at http://wizzard.dreamwidth.org/322326.html. It has
comments. Please comment there using OpenID.
Они все лечатся своевременным бэкапом ключей (его надо делать после каждого события, описанного ниже)
1. Сбросить юзеру пароль, не будучи залогиненным (про это винда честно предупреждает). Менять пароль, предоставляя предыдущий, или делая это из юзерской сессии - можно.
2. Упаковать/скопировать файлы, не расшифровывая, переустановить винду/сменить машину/удалить юзера, удивиться
(у NTFS можно попросить нерасшифрованный файл for backup puproses, что вполне логично, не давать же бэкапилке доступ ко всем данным, но вот ключи надо бэкапить отдельно - про это винда тоже предупреждает)
3. "сегодня я узнал" - *Создать* юзеру пароль (!!!) если ранее до этого пароля не было. В принципе, определенная логика есть в том, что
а) предыдущий мастерключ юзера лежал в открытом виде, следовательно его стоит похерить
б) через GUI вроде бы не зашифруешь файл если пароля нету
но блин, перешифровывали бы, что ли.
Привязка KeePass базы данных к "Windows User Account" вроде бы* работает ровно по тем же правилам, да.
Вот, hope this helps somebody.
*надо перечитать сорцы, по наблюдениям похоже
This entry was originally posted at http://wizzard.dreamwidth.org/322326.html. It has
comments. Please comment there using OpenID.