А ты чего, не под админом коннектишся?

Если ты не админ, то стань им.

Если под админом, то сделай себя хозяином папки.

Как выглядит проблема, какой пароль? Он что, зашифровал документы?

Возможно 2 варианта:

1) У тебя нет доступа на уровне пользователей. Поскольку ты админ, на вкладке безопасность корневой папки с документами установи себе полные права
2) Документы зашифрованы средствами ОС. Есть программа от DiaSoft, которая расшифровывает такие файлы. Сначала поэкспериментируй с зашифровкой, прежде чем лезть туда.

О шифровании Windows:


http://www.computerra.ru/hitech/novat/27233/

Те, кому приходилось заниматься защитой данных в сетях, наверняка помнят, что во времена Windows NT любые изощрения были бессильны против примитивного метода получения физического доступа к носителю. Открутил четыре винта, положил накопитель в карман, и все дела, или переписал на компакт-диск файл резервного копирования с расширением bkf.

Даже если система не запустится на другом компьютере — не беда: ставите новую копию ОС, регистрируетесь в ней администратором, и никакие права доступа вас не касаются — take ownership, после чего любые разрешения перезаписываются. Кроме того, существуют утилиты чтения NTFS-разделов из Windows 95/98, которым тоже плевать на права доступа. Разумеется, этот метод помогал достать данные и в случаях краха системы. Ситуация напоминает мне бабушек-консьержек в подъездах, которые в лучшем случае не пустят хулиганов-малолеток, да и то если не испугаются.

Разумеется, такое положение дел не устраивало никого, и в Windows 2000 появились более серьезные средства защиты данных на основе сильного шифрования. В версиях XP и 2003 система криптозащиты была модифицирована. Называется она EFS (Encrypted File System), и внешне в Windows XP представлена единственным флажком в «Свойствах» объекта. EFS поддерживается только на NTFS-разделах, при переносе данных на разделы FAT или на другие компьютеры шифрование теряется. У шифрованных файлов и папок внешне ничего не изменяется кроме цвета подписи — он становится зеленым. В Windows 2000 и XP по умолчанию используется алгоритм DESХ, а в Windows XP SP1 и Windows 2003 — AES с 256-битным ключом (для XP может быть разрешено также использование 3DES). Взлом этих алгоритмов вряд ли возможен даже при наличии у взломщика незашифрованных копий отдельных файлов. Для пользователя, которому принадлежит объект, порядок работы с ним тоже не меняется, файловая система обеспечивает полностью «прозрачное» кодирование/ декодирование. Шифрованные данные не могут принадлежать группе пользователей, можно лишь открыть общий доступ к этим папкам и файлам и там определить права для группы. Всем остальным система тупо сообщает «Отказано в доступе» или «Файл уже используется» — в зависимости от приложения, с которым сопоставлен данный тип объектов. Мало того, физический перенос шифрованных файлов сторонними средствами в другую систему (например, установка накопителя с шифрованными данными вторым диском и попытка открыть документ или изменить права доступа к нему из-под администраторской записи другой системы) не даст положительного результата: содержимое файла зашифровано. Создание нового пользователя с именем и паролем, в точности повторяющими эти параметры из системы, в которой были зашифрованы данные, тоже не приведет к успеху: при шифровании используется не пара имя-пароль, а специальный ключ, который генерируется при создании пользователя заново независимо от имени и пароля. Прежний владелец объекта отображается на страничке прав доступа, но зарегистрироваться под его именем в другой копии системы вы не сможете.

Все это хорошо, но новые решения, как и всегда, порождают новые проблемы. В данном случае проблема в том, что при крахе операционной системы получение доступа к шифрованным данным находится под большим вопросом, если только заранее не были приняты специальные меры. Разумеется, проблема восстановления шифрованных данных не прошла мимо разработчиков Microsoft, и еще в Windows 2000 они оставили пути для их восстановления. При невозможности доступа к шифрованным данным это может сделать не только владелец файлов, но и другой пользователь, объявленный как Data Recovery Agent. В сетях с доменами на базе Active Directory таковым «агентом» изначально назначается администратор домена. В Windows 2000 необходимые ключи для восстановления данных создаются при его первой регистрации, а до этого момента шифрование данных недоступно. В версиях XP и 2003 это ограничение отсутствует, и администратор должен позаботиться о создании такого «агента» (им можно назначить любого пользователя). Важно то, что «агент» должен быть создан до того, как пользователь зашифрует свои данные, — в этом случае ключ восстановления «агента» добавляется к шифрованной информации. Если сделать это позже, никаких путей для расшифровки не остается.

Для компьютеров, которые принадлежат к рабочей группе, «агент» должен быть создан вручную и установлен в системе. Выдача самому себе сертификата восстановления данных выполняется командой CIPHER /R:filename (filename — произвольное имя файла без расширения). Команда создает два файла с расширениями PFX и CER.

Кроме того, прежде чем шифровать собственные данные, сделайте резервную копию своего сертификата шифрования и ключей, которые можно сохранить в виде файлов, например на дискете. В случае краха системы эти файлы можно будет использовать для импорта ключей. В Windows 2003 кнопка создания резервной копии ключей есть в графическом интерфейсе свойств объекта, для XP и 2000 эту процедуру придется делать вручную командой CIPHER /X:filename.

В некоторых случаях, когда важнее не потерять данные, чем скрыть их от постороннего глаза, проще заранее исключить саму возможность возникновения подобных ситуаций, запретив шифрование вообще. Если компьютер входит в сеть с доменом, то разрешение или запрет использования шифрования для него устанавливается администратором путем редактирования групповой политики. Для компьютеров, не входящих в домен, запрет использования EFS возможен путем редактирования реестра: ключу HKLM\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\EFS\EfsConfiguration нужно присвоить значение 0х01.

Подробнее об этом можно прочитать здесь:
- support.microsoft.com/ default.aspx?scid=kb;EN-US;q223316
- support.microsoft.com/ default.aspx?scid=kb;EN-US;q241201
- support.microsoft.com/ default.aspx?scid=kb;EN-US;q242296

Нашел еще статью, на эту тему

http://www.computerra.ru/hitech/novat/27902/

Защита от защиты–2

11.08.2003
Сергей Леонов

Настало время рассказать историю, которая заставила меня написать колонку «Защита от защиты» («КТ» #494). Дело было так.

Стояла на моем компьютере Windows XP. Стояла давно и работала весьма стабильно. Для части данных были задействованы возможности шифрования: файлы числом около 10 тысяч штук были собраны в единственную шифрованную папку на втором (не системном) диске. Но в один прекрасный момент системный диск производства известной фирмы (с названием из трех букв — не подумайте плохого) сказал «дзинь», и не ожидавшая такого подвоха Windows XP показала мне фигу в виде синего экрана. Хорошо зная, что означает этот самый «дзинь», я загрузил новую копию XP с другого диска, после чего попытался сделать полный Backup старого системного раздела с помощью Partition Magic. Увы, бесполезно — ошибка чтения с тем же звуком. Пришлось применять менее радикальные средства, а именно пофайловое копирование раздела на другой диск, — эта операция прошла успешно. Попытки восстановить систему на старом диске ни к чему хорошему не привели — он продолжал «сыпаться» чем дальше, тем больше, и, в конце концов, не осталось ничего иного, как признать его физически негодным. Сохранилась только пофайловая копия, содержавшая недавно сделанный штатными средствами системы Backup.

Две недели я безуспешно пытался вернуть данные. Создал чистый NTFS-раздел на новом диске, переписал туда все файлы старой системы. Вручную добавил загрузочный сектор. Увы, в результате лишь синий экран. Пробовал восстановить систему штатной процедурой установки с дистрибутива. Здесь еще веселее: в синий экран падал сам инсталлятор при попытке обнаружить на диске систему. Распаковывал Backup на чистый раздел, дописывал загрузчик — не грузится. Проходил инсталлятором поверх Backup’а — старая система обнаружена, инсталлятор ее «исправляет», XP грузится, но все попытки открыть из нее хоть один шифрованный файл заканчивались сообщением об отсутствии необходимых прав. Приехали.

Путем несложных логических размышлений приходим к выводу, что шифрованные данные достать можно. Ключ шифрования находится в файле на диске (все файлы у меня есть), собственно ключ закодирован с использованием пароля (его я помню), вопрос только в том, каким образом импортировать меня как пользователя вместе с соответствующим ключом в новую копию системы. Или какие другие средства применить, чтобы три слагаемых в виде пароля, ключа и шифрованного файла дали нужный результат.

Поиск по сетевым конференциям не дал ничего конкретного, но укрепил во мнении, что торопиться стирать шифрованные файлы не надо — путь к восстановлению должен быть, вопрос только в том, кто и когда его обнаружит. Интернет-сообщество сходилось на том, что Microsoft, как обычно, запирает на замок ворота при отсутствии забора, и возлагало надежды на монстров типа Symantec, PowerQuest, Roxio, но монстры отмалчивались — может быть, не желали ссориться с Microsoft?

С тех пор минуло три месяца, я давно обжил новую копию системы, а к папке с шифрованными файлами стал относиться равнодушно: лежит, есть не просит — ну и пусть лежит. И вдруг на прошлой неделе получаю письмо от Владимира Каталова из компании «Элкомсофт» (дело Дмитрия Склярова помните?). Цитирую: «…Прочитал Вашу статью в #19. На самом деле, Microsoft Encrypting File System не настолько хороша. В Windows 2000, я бы даже сказал, — вообще дырява, ибо если не предпринимать специальных действий, то любой злоумышленник может расшифровать все файлы, имея лишь физический доступ к диску, не зная даже паролей на вход в систему. Мы делали доклад на эту тему на последней конференции BlackHat: http://www.blackhat.com/presentations/bh-europe-03/bh-europe-03-malyshev.pdf. И разработали программу для восстановления зашифрованных данных (Advanced EFS Data Recovery, AEFSDR): http://www.elcomsoft.com/aefsdr.html. В Windows XP и Windows 2003 Server защита была несколько улучшена — в частности, для расшифровки теперь необходимо знать пароль пользователя, шифровавшего файл (или Recovery Administrator’а). Который, в свою очередь, можно вытащить из SAM. AEFSDR пока не поддерживает XP/2003, но очень скоро будет».

Вот оно! Рассказав Владимиру о своей проблеме, я получил ссылку на последнюю «бету» AEFSDR, рассчитанную уже и на XP. Но «бета» она и есть «бета» — ключи старой системы нашла, а расшифровать не сумела. В течение следующей недели ваш покорный слуга выступал в качестве бета-тестера, отправляя в «Элкомсофт» логи программы и описания замеченных глюков. Результатом стала очередная версия AEFSDR, без проблем нашедшая в груде файлов и расшифровавшая ключи старой системы, а также почти все мои зашифрованные данные (не справившись только с теми, которые были добавлены после установки SP1 — при этом меняется алгоритм шифрования). Впрочем, насколько я понимаю, это уже дело техники и времени — релиз должен справляться и такой задачей.

В результате все навороты Microsoft с сертификатами, ключами, расшифровкой без сохранения на диске и т. п. свелись к тому же самому паролю пользователя, лишь добавив массу проблем в случае краха системы. Во всяком случае, с шифрованием от Microsoft я больше не связываюсь — защита от самого себя мне не требуется, а от чужих глаз разумнее использовать, к примеру, RAR с паролем.

2 AlexKab
Так чайник зашифровал папочку?