Доступ к EFS-зашифрованным файлам после сброса пароля Windows

12

У меня есть некоторые EFS-зашифрованные файлы в Windows. Владелец учетной записи защищен паролем, который можно легко обойти (т.е. сбросить) многими инструментами и методами.

Так что же будет с этими зашифрованными файлами, если это произойдет? Будут ли они доступны злоумышленнику? Или они все еще будут защищены и для доступа к ним потребуется ключ шифрования?

ICTAddict
источник
2
Я отредактировал ваш вопрос, чтобы было немного яснее, что вы используете EFS. Если это не так, вы можете откатить правку. Хороший вопрос!
Бен Н

Ответы:

9

Существующий ответ верен в том, что закрытый ключ EFS защищен паролем пользователя. Однако можно настроить агенты восстановления данных EFS, которые могут расшифровывать любой файл, зашифрованный EFS, в системе. Сертификаты DRA устанавливаются с помощью групповой политики или локальной политики безопасности, если у вас нет домена.

DRA имеют такой доступ, потому что, когда система получает открытый ключ DRA, она шифрует симметричный ключ каждого зашифрованного файла с помощью открытого ключа каждого DRA в дополнение к открытому ключу пользователя. Таким образом, DRA могут восстанавливать зашифрованные файлы, только если они были созданы или открыты после того, как их сертификат был зарегистрирован.

Таким образом, в зависимости от вашей конфигурации может быть возможно восстановить данные даже после сброса пароля владельца. Ключи DRA также защищены паролем DRA, но хитрый злоумышленник установит сертификат DRA для нового пользователя, подождет, пока вы прикоснитесь к целевым файлам, а затем воспользуйтесь сертификатом для их расшифровки.

Обратите внимание, что этот параметр восстановления не применяется к данным, защищенным DPAPI, поскольку DPAPI не учитывает DRA EFS. Вы будете испытывать некоторую боль, если вам нужно восстановить такие данные.

Бен Н
источник
7

Закрытый ключ EFS пользователя, а также различные другие личные данные, хранящиеся в Windows, шифруются с использованием пароля пользователя. Если пароль изменен, невозможно расшифровать закрытые ключи, а без этого невозможно получить доступ к зашифрованным файлам.

user1686
источник
1
Я не уверен, что полностью понимаю это. Вы имеете в виду, что после сброса пароля сторонним программным обеспечением зашифрованные данные исчезают навсегда?
ICTAddict
2
Это верно. Закрытый ключ EFS зашифрован с помощью «API защиты данных», CryptProtectData и CryptUnprotectData. Как именно работает этот API, хорошо объяснено в MSDN; то, что я могу уместить в комментарии, вот что: пароль, предоставленный при входе в систему, является частью ввода для генерации ключа. Если вы измените свой pw, то все секреты, которые вы ранее зашифровали с помощью этого API, будут перекомпонованы с новым паролем. Но если стороннее программное обеспечение (или администратор в этом отношении) изменяет ваш pw, это невозможно, и вы теряете доступ к ранее зашифрованным секретам. Смотрите также «Агент восстановления EFS».
Джейми Ханрахан
3
@JamieHanrahan - Это может потребовать отдельного вопроса, но это лишь небольшое расширение исходного вопроса, приведенного выше: если после сброса пароля сторонними инструментами, как указано выше, оригинальный пароль будет найден (запомнен), произойдет вход в систему (с использованием «сбросить» пароль) и сменить пароль обратно на исходный пароль разрешить доступ к EFS-зашифрованным файлам?
Кевин Феган