1

Кажется, что использование EFS не имеет смысла, если кто-то имеет доступ к вашему компьютеру из-за DRA ... кто-то может легко включить учетную запись администратора, установить DRA, сохранить ключи снова отключить учетную запись администратора или просто сделать себя DRA, если они являются администратором. поэтому в следующий раз, когда вы войдете в систему и начнете использовать ваши файлы, в файлы будет добавлен сертификат DRA.

EFS защитит вас, если ваш компьютер будет украден, но кажется, что EFS используется в основном для многопользовательских компьютеров.

Поскольку EFS используется для защиты файлов от других пользователей, утилита Syskey ничего не делает, потому что им также нужно пройти через нее.

Итак ... есть ли способ полностью удалить / заблокировать возможность добавления агента восстановления данных в Windows 7 или, возможно, другое решение этой проблемы?

3 ответа3

1

Чтобы заблокировать агент восстановления данных EFS для восстановления зашифрованных файлов, вам необходимо изменить параметры групповой политики или параметры локальной политики, используя:

  • gpmc.msc (Политика домена по умолчанию или любая другая применимая политика), или
  • gpedit.msc

По полису:

Конфигурация компьютера> Настройки Windows> Параметры безопасности> Политики открытого ключа> Шифрованная файловая система.

Из этой политики вы можете удалить любой из сертификатов учетной записи, которые определены как агенты восстановления данных. По умолчанию учетная запись администратора домена определяется как агент восстановления. После удаления сертификата из редактора политик вы можете запустить gpupdate в командной строке, чтобы применить политики. Подтверждение этого прошло успешно: в следующий раз, когда вы зашифруете какой-либо файл, вы не найдете подробностей сертификата агента восстановления в дополнительных сведениях.

Посмотрите это изображение

0

кто-то может легко включить учетную запись администратора установить DRA сохранить ключи снова отключить учетную запись администратора

Но для этого у них самих должны быть права администратора, поэтому включать учетную запись администратора бессмысленно, так как они могут сделать себя DRA.

В конце концов, если кто-то имеет физический доступ к компьютеру, он может обойти любую защиту, используя даже такой простой аппаратный кейлоггер, чтобы получить свой собственный пароль.

-1

Кажется, единственный способ иметь многопользовательский компьютер и предотвратить включение и использование DRA для доступа к файлам других пользователей - это иметь всех пользователей в качестве обычных пользователей и только одного доверенного лица с учетной записью / паролем администратора, а затем полностью зашифруйте диск ОС и разрешите этому доверенному администратору запускать компьютер и использовать спящий режим, когда он не используется.

Я нахожу довольно смешным, что для безопасного использования EFS в многопользовательской среде, где это очень полезно, вам нужно использовать другое решение для шифрования.

Да, система может быть скомпрометирована физически, но когда главной угрозой является детский сценарий, это не такая уж большая проблема, так как они, скорее всего, не смогут позволить себе кейлоггер за 50-80 долларов, и один из них довольно заметен на ноутбук.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .