Dostęp do plików zaszyfrowanych przez EFS po zresetowaniu hasła systemu Windows

12

Mam niektóre pliki zaszyfrowane przez EFS w systemie Windows. Własne konto użytkownika jest chronione hasłem, które można łatwo ominąć (tzn. Zresetować) za pomocą wielu narzędzi i metod.

Co stanie się z tymi zaszyfrowanymi plikami, jeśli tak się stanie? Czy będą dostępne dla atakującego? Czy będą nadal chronione i wymagają klucza szyfrującego, aby uzyskać do nich dostęp?

ICTAddict
źródło
2
Zredagowałem twoje pytanie, aby było nieco bardziej zrozumiałe, że używasz EFS. Jeśli to nie w porządku, możesz cofnąć edycję. Miłe pytanie!
Ben N

Odpowiedzi:

9

Istniejąca odpowiedź jest poprawna, ponieważ klucz prywatny EFS jest chroniony hasłem użytkownika. Możliwe jest jednak skonfigurowanie agentów odzyskiwania danych EFS, które mogą odszyfrować dowolny plik zaszyfrowany przez EFS w systemie. Certyfikaty DRA są ustawiane za pomocą zasad grupy lub lokalnych zasad bezpieczeństwa, jeśli nie masz domeny.

DRA mają taki dostęp, ponieważ gdy system otrzymuje klucz publiczny DRA, szyfruje symetryczny klucz każdego zaszyfrowanego pliku za pomocą klucza publicznego każdego DRA oprócz klucza publicznego użytkownika. Dlatego DRA mogą odzyskać zaszyfrowane pliki tylko wtedy, gdy zostały utworzone lub otwarte po zarejestrowaniu certyfikatu.

Tak więc, w zależności od konfiguracji, to mogło być możliwe, aby odzyskać dane nawet po zresetowaniu hasła właściciela. Klucze DRA są również chronione hasłem DRA, ale przebiegły atakujący zainstalowałby certyfikat DRA dla nowego użytkownika, czekał na dotknięcie plików docelowych, a następnie skorzystał z certyfikatu, aby je odszyfrować.

Należy pamiętać, że ta opcja odzyskiwania nie dotyczy danych chronionych przez DPAPI, ponieważ DPAPI nie przestrzega DRA EFS. Jesteś w jakiegoś bólu , jeśli trzeba odzyskać te dane.

Ben N.
źródło
7

Klucz prywatny EFS użytkownika, a także różne inne prywatne dane przechowywane przez system Windows, są szyfrowane przy użyciu hasła użytkownika. Jeśli hasło zostanie zmienione, nie można odszyfrować kluczy prywatnych, a bez tego nie można uzyskać dostępu do zaszyfrowanych plików.

użytkownik1686
źródło
1
Nie jestem pewien, czy w pełni to rozumiem, czy masz na myśli, że po zresetowaniu hasła przez oprogramowanie innych firm zaszyfrowane dane znikną na zawsze?
ICTAddict
2
To jest poprawne. Klucz prywatny EFS jest szyfrowany przez „API ochrony danych”, CryptProtectData i CryptUnprotectData. Dokładnie to, jak działa ten interfejs API, jest dobrze wyjaśnione w witrynie MSDN; w komentarzu mogę zmieścić się w tym: hasło podane przy logowaniu jest częścią danych wejściowych do generowania klucza. Jeżeli Państwo zmienić PW, wtedy wszystkie tajemnice zostały wcześniej zaszyfrowane tego API są re nadwozia z nowym hasłem. Ale jeśli oprogramowanie innej firmy (lub administrator w tym zakresie) zmieni twoje oprogramowanie, nie można tego zrobić i utracisz dostęp do wcześniej zaszyfrowanych tajemnic. Zobacz także „Agent odzyskiwania EFS”.
Jamie Hanrahan,
3
@JamieHanrahan - może to uzasadniać osobne pytanie, ale jest to tylko niewielkie rozszerzenie pierwotnego pytania powyżej: jeśli po zresetowaniu hasła przez narzędzia innych firm jak wyżej, oryginalne hasło zostanie znalezione (zapamiętane), zaloguje się (używając „zresetować” hasło) i zmiana hasła z powrotem na oryginalne hasło umożliwia dostęp do plików zaszyfrowanych przez EFS?
Kevin Fegan