如果其他人因为 DRA 而有权访问您的计算机,那么使用 EFS 似乎毫无意义……有人可以轻松启用管理员帐户,设置 DRA,保存密钥,再次禁用管理员帐户,或者如果他们是管理员,则将自己设置为 DRA,以便您下次登录并开始使用您的文件时,DRA 证书将添加到文件中。
如果您的计算机被盗,EFS 会保护您,但 EFS 似乎主要用于多用户计算机。
由于 EFS 用于保护文件不被其他用户窃取,因此 Syskey 实用程序不会执行任何操作,因为他们也需要绕过它。
那么...有没有办法可以完全删除/阻止向 Windows 7 添加数据恢复代理的功能,或者可能有其他方法解决此问题?
答案1
答案2
有人可以轻松启用管理员帐户设置 DRA 保存密钥再次禁用管理员帐户
但要做到这一点,他们自己必须拥有管理员权限,因此启用管理员帐户是没有意义的,因为他们可以让自己成为 DRA。
最后,如果有人可以物理访问计算机,他们就可以使用诸如硬件键盘记录器之类的简单工具来绕过任何保护措施,从而窃取您的密码。
答案3
似乎拥有多用户计算机并防止启用 DRA 并用于访问其他用户文件的唯一方法是让所有用户都成为普通用户,并且只有一个具有管理员帐户/密码的受信任人员,然后完全加密操作系统驱动器,并且只允许该受信任的管理员启动计算机并在不使用时使用休眠模式。
我觉得在多用户环境中安全地使用 EFS 非常有用但你却需要使用其他加密解决方案,这真是太荒谬了。
是的,系统可能会受到物理攻击,但当主要威胁是青少年脚本小子时,这并不是什么大问题,因为他们很可能买不起 50-80 美元的键盘记录器,而且这种键盘记录器在笔记本电脑上非常明显。