我在 Windows 中有一些 EFS 加密的文件。拥有该权限的用户帐户受密码保护,可以通过许多工具和方法轻松绕过(即重置)该密码。
那么,如果发生这种情况,这些加密文件会发生什么?攻击者可以访问它们吗?还是它们仍受保护,需要加密密钥才能访问它们?
答案1
现有的答案是正确的,因为 EFS 私钥受用户密码保护。但是,可以配置EFS 数据恢复代理可以解密系统上的任何 EFS 加密文件。如果您没有域,则可以通过组策略或本地安全策略设置 DRA 证书。
DRA 之所以有这样的访问权限,是因为当系统收到 DRA 的公钥时,它会使用每个 DRA 的公钥和用户的公钥来加密每个加密文件的对称密钥。因此,DRA 只能恢复在证书注册后创建或打开的加密文件。
因此,根据您的配置,可以即使在重置所有者密码后,仍有可能恢复数据。DRA 密钥也受 DRA 密码保护,但狡猾的攻击者会为新用户安装 DRA 证书,等待您接触目标文件,然后利用该证书解密它们。
请注意,此恢复选项不适用于受 DPAPI 保护的数据,因为 DPAPI 不遵守 EFS DRA。您有些痛苦如果您需要恢复此类数据。
答案2
用户的 EFS 私钥以及 Windows 保存的其他各种私人数据都使用用户的密码进行加密。如果密码被更改,则无法解密私钥,没有私钥,就无法访问加密文件。