如果其他人因为 DRA 而有权访问您的计算机,那么使用 EFS 似乎毫无意义……有人可以轻松启用管理员帐户,设置 DRA,保存密钥,再次禁用管理员帐户,或者如果他们是管理员,则将自己设置为 DRA,以便您下次登录并开始使用您的文件时,DRA 证书将添加到文件中。
如果您的计算机被盗,EFS 会保护您,但 EFS 似乎主要用于多用户计算机。
由于 EFS 用于保护文件不被其他用户窃取,因此 Syskey 实用程序不会执行任何操作,因为他们也需要绕过它。
那么...有没有办法可以完全删除/阻止向 Windows 7 添加数据恢复代理的功能,或者可能有其他方法解决此问题?
答案1
要阻止 EFS 数据恢复代理恢复加密文件,您需要使用以下方法修改组策略设置或本地策略设置:
- gpmc.msc(默认域策略或任何其他适用策略),或
- 管理控制台
根据该政策:
计算机配置 > Windows 设置 > 安全设置 > 公钥策略 > 加密文件系统。
您可以从该策略中删除任何定义为数据恢复代理的帐户证书。默认情况下,域的管理员帐户被定义为恢复代理。从策略编辑器中删除证书后,您可以在命令提示符中运行 gpupdate 来应用策略。成功完成的确认是,下次加密任何文件时,您将不会在高级详细信息中找到恢复代理证书详细信息。
答案2
有人可以轻松启用管理员帐户设置 DRA 保存密钥再次禁用管理员帐户
但要做到这一点,他们自己必须拥有管理员权限,因此启用管理员帐户是没有意义的,因为他们可以让自己成为 DRA。
最后,如果有人可以物理访问计算机,他们就可以使用诸如硬件键盘记录器之类的简单工具来绕过任何保护措施,从而窃取您的密码。
答案3
似乎拥有多用户计算机并防止启用 DRA 并用于访问其他用户文件的唯一方法是让所有用户都成为普通用户,并且只有一个具有管理员帐户/密码的受信任人员,然后完全加密操作系统驱动器,并且只允许该受信任的管理员启动计算机并在不使用时使用休眠模式。
我觉得在多用户环境中安全地使用 EFS 非常有用但你却需要使用其他加密解决方案,这真是太荒谬了。
是的,系统可能会受到物理攻击,但当主要威胁是青少年脚本小子时,这并不是什么大问题,因为他们很可能买不起 50-80 美元的键盘记录器,而且这种键盘记录器在笔记本电脑上非常明显。