У меня есть некоторые EFS-зашифрованные файлы в Windows. Владелец учетной записи защищен паролем, который может быть легко обойден (то есть сброшен) многими инструментами и методами.
Так что же будет с этими зашифрованными файлами, если это произойдет? Будут ли они доступны злоумышленнику? Или они все еще будут защищены и для доступа к ним потребуется ключ шифрования?
Существующий ответ верен в том, что закрытый ключ EFS защищен паролем пользователя. Однако можно настроить агенты восстановления данных EFS, которые могут дешифровать любой файл, зашифрованный EFS, в системе. Сертификаты DRA устанавливаются с помощью групповой политики или локальной политики безопасности, если у вас нет домена.
DRA имеют такой доступ, потому что, когда система получает открытый ключ DRA, она шифрует симметричный ключ каждого зашифрованного файла с помощью открытого ключа каждого DRA в дополнение к открытому ключу пользователя. Таким образом, DRA могут восстанавливать зашифрованные файлы, только если они были созданы или открыты после того, как их сертификат был зарегистрирован.
Таким образом, в зависимости от вашей конфигурации может быть возможно восстановить данные даже после сброса пароля владельца. Ключи DRA также защищены паролем DRA, но хитрый злоумышленник установит сертификат DRA для нового пользователя, подождет, пока вы прикоснитесь к целевым файлам, а затем воспользуйтесь сертификатом для их расшифровки.
Обратите внимание, что этот параметр восстановления не применяется к данным, защищенным DPAPI, поскольку DPAPI не учитывает DRA EFS. Вы будете испытывать некоторую боль, если вам нужно восстановить такие данные.
Закрытый ключ EFS пользователя, а также различные другие личные данные, хранящиеся в Windows, шифруются с использованием пароля пользователя. Если пароль изменен, невозможно расшифровать закрытые ключи, а без этого невозможно получить доступ к зашифрованным файлам.
