Доступ к файлам, зашифрованным EFS, после сброса пароля Windows
У меня есть файлы с зашифрованной EFS в Windows. Собственная учетная запись пользователя защищена паролем, который можно легко обойти (т.е. сбросить) с помощью многих инструментов и методов.
Итак, что произойдет с этими зашифрованными файлами, если это произойдет? Доступны ли они злоумышленнику? Или они все еще будут защищены и требуют, чтобы ключ шифрования обращался к ним?
- Мнения по решению NTFS для Mac?
- Антивирусный Live CD
- Альтернативы встроенной утилите checkdisk для Windows NTFS?
- Как сжать весь диск C в Windows, включая заблокированные файлы?
- Перенос Windows 7 на новый жесткий диск / раздел
- Windows: Как удалить ACL файла и просто наследовать ACL в содержащем каталоге?
- «Этот файл пришел с другого компьютера ...» - как я могу разблокировать все файлы в папке, не разблокируя их отдельно?
- Почему параметр сжатия NTFS игнорируется некоторыми приложениями?
- Проводник Windows. Как большой файл может иметь значение «Размер на диске»? Что это значит
- Скрыть раздел из Windows 10 для предотвращения проблем с гибридным отключением в Linux
- Используемое пространство на «пустой» форматированной флешке
- Как читать MFT на жестком диске USB (NTFS, 1TB)?
- Включить собственные символические ссылки NTFS для Cygwin
Существующий ответ правилен тем, что закрытый ключ EFS защищен паролем пользователя. Тем не менее, можно настроить EFS Data Recovery Agents, которые могут расшифровать любой EFS-зашифрованный файл в системе. Сертификаты DRA устанавливаются с помощью групповой политики или локальной политики безопасности, если у вас нет домена.
DRA имеют такой доступ, потому что, когда система получает открытый ключ DRA, он шифрует симметричный ключ каждого зашифрованного файла каждым открытым ключом DRA в дополнение к открытому ключу пользователя. Таким образом, DRA могут восстанавливать только зашифрованные файлы, если они были созданы или открыты после регистрации их сертификата.
Таким образом, в зависимости от вашей конфигурации можно было бы восстановить данные даже после сброса пароля владельца. Ключи DRA также защищены паролем DRA, но хитрый злоумышленник установит сертификат DRA для нового пользователя, дождитесь, пока вы коснетесь целевых файлов, а затем воспользуйтесь сертификатом для их расшифровки.
Обратите внимание, что этот параметр восстановления не применяется к данным, защищенным DPAPI, поскольку DPAPI не учитывает DRA-файлы EFS. У вас есть какая-то боль, если вам нужно восстановить такие данные.
Закрытый ключ пользователя EFS, а также различные другие личные данные, хранящиеся в Windows, шифруются с использованием пароля пользователя. Если пароль изменен, невозможно расшифровать закрытые ключи, и без этого невозможно получить доступ к зашифрованным файлам.