Короче:
Пользователь и локальный администратор (если он агент по восстановлению данных)
В деталях:
Основные идеи
Однако ключи шифрования для EFS на практике защищены паролем учетной записи пользователя.
Источник: Википедия
Этот пароль также хранится в SAM, который зашифрован с помощью системного ключа ...
Это означает, что не только пользователь может получить к нему доступ! Вот подробности:
При расшифровке файлов с использованием локальной учетной записи администратора
В Windows 2000 локальный администратор является агентом восстановления данных по умолчанию, способным расшифровывать все файлы, зашифрованные с помощью EFS любым локальным пользователем. EFS в Windows 2000 не может работать без агента восстановления, поэтому всегда найдется кто-то, кто сможет расшифровать зашифрованные файлы пользователей. Любой компьютер с Windows 2000, не входящий в домен, будет подвержен несанкционированному дешифрованию EFS любым, кто может взять на себя учетную запись локального администратора, что тривиально, поскольку многие инструменты свободно доступны в Интернете.
В Windows XP и более поздних версиях нет локального агента восстановления данных по умолчанию и нет необходимости иметь его. Установка SYSKEY в режим 2 или 3 (syskey, введенный во время загрузки или сохраненный на дискете), снизит риск несанкционированного дешифрования через локальную учетную запись администратора. Это связано с тем, что хеши паролей локального пользователя, хранящиеся в файле SAM, зашифрованы с помощью Syskey, а значение Syskey недоступно для атакующего в автономном режиме, у которого нет парольной фразы / дискеты Syskey.
Источник: Википедия
Это не изменилось по отношению к Windows 7, если вы хотите узнать об изменениях функций, посмотрите эту часть Википедии.