Truy cập các tệp được mã hóa EFS sau khi đặt lại mật khẩu Windows

12

Tôi có một số tệp được mã hóa EFS trong Windows. Tài khoản người dùng sở hữu được bảo vệ bằng mật khẩu, có thể dễ dàng bỏ qua (tức là đặt lại) bằng nhiều công cụ và phương pháp.

Vậy điều gì sẽ xảy ra với các tệp được mã hóa này nếu điều đó xảy ra? Họ sẽ có thể truy cập được cho kẻ tấn công? Hay họ vẫn sẽ được bảo vệ và yêu cầu khóa mã hóa để truy cập chúng?

windows-7  encryption  ntfs  efs 
ICTAddict
nguồn
2
Tôi đã chỉnh sửa câu hỏi của bạn để làm rõ hơn một chút rằng bạn đang sử dụng EFS. Nếu điều đó không đúng, bạn có thể quay lại chỉnh sửa. Câu hỏi hay!
Ben N

Câu trả lời:

9

Câu trả lời hiện tại là chính xác ở chỗ khóa riêng EFS được bảo vệ bằng mật khẩu của người dùng. Tuy nhiên, có thể định cấu hình Đại lý khôi phục dữ liệu EFS có thể giải mã bất kỳ tệp được mã hóa EFS nào trên hệ thống. Chứng chỉ DRA được đặt thông qua Chính sách nhóm hoặc Chính sách bảo mật cục bộ nếu bạn không có tên miền.

DRA có quyền truy cập như vậy bởi vì khi một hệ thống nhận được khóa chung của DRA, nó sẽ mã hóa khóa đối xứng của mỗi tệp được mã hóa với mỗi khóa chung của DRA bên cạnh khóa chung của người dùng. Do đó, DRA chỉ có thể khôi phục các tệp được mã hóa nếu chúng được tạo hoặc mở sau khi chứng chỉ của chúng được đăng ký.

Vì vậy, tùy thuộc vào cấu hình của bạn, thể khôi phục dữ liệu ngay cả sau khi đặt lại mật khẩu của chủ sở hữu. Các khóa DRA cũng được bảo vệ bởi mật khẩu của DRA, nhưng kẻ tấn công xảo quyệt sẽ cài đặt chứng chỉ DRA cho người dùng mới, đợi bạn chạm vào các tệp mục tiêu, sau đó tận dụng chứng chỉ để giải mã chúng.

Lưu ý rằng tùy chọn khôi phục này không áp dụng cho dữ liệu được bảo vệ bởi DPAPI, vì DPAPI không tôn trọng EFS DRA. Bạn đang đau đớn nếu bạn cần khôi phục dữ liệu đó.

Bến N
nguồn
7

Khóa riêng EFS của người dùng, cũng như nhiều dữ liệu riêng tư khác được Windows lưu giữ, được mã hóa bằng mật khẩu của người dùng. Nếu mật khẩu bị thay đổi, không thể giải mã các khóa riêng và nếu không có điều đó, không thể truy cập các tệp được mã hóa.

người dùng1686
nguồn
1
Tôi không chắc là tôi hoàn toàn hiểu điều này, ý bạn là một khi mật khẩu được thiết lập lại bởi phần mềm của bên thứ ba, dữ liệu được mã hóa sẽ biến mất vĩnh viễn?
ICTAddict
2
Đúng rồi. Khóa riêng EFS được mã hóa thông qua "API bảo vệ dữ liệu", CryptProtectData và CryptUnprotectData. Chính xác cách thức hoạt động của API này được giải thích rõ tại MSDN; những gì tôi có thể phù hợp trong một nhận xét ở đây là: mật khẩu được cung cấp khi đăng nhập là một phần của đầu vào để tạo khóa. Nếu bạn thay đổi pw của mình, thì tất cả các bí mật bạn đã mã hóa trước đó bằng API này sẽ được nhập lại bằng mật khẩu mới. Nhưng nếu phần mềm của bên thứ ba (hoặc quản trị viên cho vấn đề đó) thay đổi pw của bạn, điều này không thể thực hiện được và bạn mất quyền truy cập vào các bí mật được mã hóa trước đó. Xem thêm "Tác nhân phục hồi EFS".
Jamie Hanrahan
3
@JamieHanrahan - Điều này có thể đảm bảo một câu hỏi riêng biệt nhưng nó chỉ là một sự mở rộng nhẹ cho câu hỏi ban đầu ở trên: Nếu sau khi mật khẩu được đặt lại bởi các công cụ của bên thứ 3 như trên, mật khẩu ban đầu được tìm thấy (sẽ nhớ), sẽ đăng nhập (sử dụng "đặt lại" mật khẩu) và thay đổi mật khẩu trở lại mật khẩu ban đầu cho phép truy cập vào các tệp được mã hóa EFS?
Kevin Fegan
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.