谁可以解密 EFS 文件?

谁可以解密 EFS 文件?

我在家里运行 Windows 7 Professional,并决定使用内置 EFS 加密我的一些文件。我的理解是,只有加密文件的帐户才能再次读取它们 - 任何其他用户(甚至管理员)都无法读取它们。(当然,重新安装后访问权限将完全丢失。)

是这样吗?哪些用户可以解密我保护的文件?出于好奇,这在以前的 Windows 版本中是否有所不同?我最近在某个网站上看到 Microsoft 员工说“管理员可以解密任何文件”,所以我很疑惑。

答案1

简而言之:

用户和本地管理员(如果他是数据恢复代理)

详细地:

基本思想

然而,EFS 的加密密钥实际上是受用户帐户密码保护的。

来源:维基百科

该密码也存储在SAM中,用系统密钥加密……

这意味着不仅用户可以访问它!以下是详细信息:

使用本地管理员帐户解密文件

在 Windows 2000 中,本地管理员是默认的数据恢复代理,能够解密任何本地用户使用 EFS 加密的所有文件。如果没有恢复代理,Windows 2000 中的 EFS 就无法运行,因此总会有人能够解密用户的加密文件。任何未加入域的 Windows 2000 计算机都容易受到任何可以接管本地管理员帐户的人的未经授权的 EFS 解密,鉴于互联网上有许多免费提供的工具,这种情况很容易发生。

在 Windows XP 及更高版本中,没有默认的本地数据恢复代理,也不要求必须有。将 SYSKEY 设置为模式 2 或 3(启动时输入的 syskey 或存储在软盘上的 syskey)将减轻通过本地管理员帐户进行未经授权解密的风险。这是因为存储在 SAM 文件中的本地用户密码哈希使用 Syskey 加密,并且 Syskey 值对于不拥有 Syskey 密码/软盘的离线攻击者来说是不可用的。

来源:维基百科

这在 Windows 7 中没有改变,如果你想了解功能变化,请参阅此维基百科部分

相关内容