Доступ до файлів, зашифрованих EFS, після скидання пароля Windows

12

У мене є кілька зашифрованих EFS файлів у Windows. Власний акаунт користувача захищений паролем, який можна легко обійти (тобто скинути) багатьма інструментами та методами.

То що буде з цими зашифрованими файлами, якщо це станеться? Чи будуть вони доступними для нападника? Або вони все ще будуть захищені та потребуватимуть ключа шифрування для доступу до них?

windows-7  encryption  ntfs  efs 
Рішення ICTA
джерело
2
Я відредагував ваше запитання, щоб трохи зрозуміліше, що ви використовуєте EFS. Якщо це неправильно, ви можете відмовити редагування. Приємне запитання!
Бен N

Відповіді:

9

Існуюча відповідь правильна тим, що приватний ключ EFS захищений паролем користувача. Однак можливо налаштувати агенти відновлення даних EFS, які можуть розшифрувати будь-який зашифрований EFS файл у системі. Сертифікати DRA встановлюються за допомогою групової політики або локальної політики безпеки, якщо у вас немає домену.

DRA мають такий доступ, оскільки коли система отримує відкритий ключ DRA, вона шифрує симетричний ключ кожного зашифрованого файлу разом із відкритим ключем кожного DRA на додаток до відкритого ключа користувача. Таким чином, DRA можуть відновлювати зашифровані файли лише в тому випадку, якщо вони були створені або відкриті після реєстрації їх сертифіката.

Отже, залежно від конфігурації, можна відновити дані навіть після скидання пароля власника. Ключі DRA також захищені паролем DRA, але хитрий зловмисник встановить сертифікат DRA для нового користувача, зачекає, коли ви торкнетеся цільових файлів, а потім скористайтеся сертифікатом, щоб розшифрувати їх.

Зауважте, що ця опція відновлення не застосовується до даних, захищених DPAPI, оскільки DPAPI не поважає EFS DRA. Ви болієте, якщо вам потрібно відновити такі дані.

Бен Н
джерело
7

Приватний ключ користувача EFS, а також різні інші приватні дані, що зберігаються у Windows, шифруються за допомогою пароля користувача. Якщо пароль змінено, неможливо розшифрувати приватні ключі, а без цього отримати доступ до зашифрованих файлів неможливо.

user1686
джерело
1
Я не впевнений, що я цілком це розумію, ви маєте на увазі, що після скидання пароля стороннім програмним забезпеченням зашифровані дані назавжди зникнуть?
Рішення ICTA
2
Це правильно. Приватний ключ EFS шифрується через "API захисту даних", CryptProtectData та CryptUnprotectData. Точно, як працює цей API, добре пояснено в MSDN; Що я можу помістити в коментарі тут, це таке: пароль, що подається при вході в систему, є частиною вводу для генерації ключа. Якщо ви зміните свій pw, то всі секрети, які ви раніше були зашифровані за допомогою цього API, будуть повторно введені новим паролем. Але якщо програмне забезпечення сторонніх розробників (або адміністратор з цього питання) змінить ваш pw, цього не вдасться зробити, і ви втратите доступ до раніше зашифрованих секретів. Дивіться також "Агент відновлення EFS".
Джеймі Ханрахан
3
@JamieHanrahan - Це може бути підставою для окремого питання, але це лише незначне розширення до початкового питання, зазначеного вище: Якщо після скидання пароля сторонніми інструментами, як описано вище, оригінальний пароль знайдений (запам'ятовується), увійде в систему (використовуючи "скидання" пароля) та повернення пароля до початкового пароля дозволяють отримати доступ до файлів, зашифрованих EFS?
Кевін Феган
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.