Accesso ai file crittografati con EFS dopo aver ripristinato la password di Windows

12

Ho alcuni file crittografati con EFS in Windows. L'account utente proprietario è protetto da una password, che può essere facilmente ignorata (ovvero reimpostata) da molti strumenti e metodi.

Quindi cosa succederà a questi file crittografati se ciò accade? Saranno accessibili all'attaccante? O saranno comunque protetti e richiederà la chiave di crittografia per accedervi?

windows-7  encryption  ntfs  efs 
ICTAddict
fonte
2
Ho modificato la tua domanda per rendere un po 'più chiaro l'utilizzo di EFS. In caso contrario, puoi ripristinare la modifica. Bella domanda!
Ben N

Risposte:

9

La risposta esistente è corretta in quanto la chiave privata EFS è protetta dalla password dell'utente. Tuttavia, è possibile configurare gli agenti di recupero dati EFS in grado di decrittografare qualsiasi file crittografato con EFS su un sistema. I certificati DRA vengono impostati tramite Criteri di gruppo o Criteri di sicurezza locali se non si dispone di un dominio.

I DRA hanno tale accesso perché quando un sistema riceve la chiave pubblica dei DRA, crittografa la chiave simmetrica di ciascun file crittografato con la chiave pubblica di ogni DRA in aggiunta alla chiave pubblica dell'utente. Pertanto, i DRA possono recuperare file crittografati solo se sono stati creati o aperti dopo la registrazione del loro certificato.

Pertanto, a seconda della configurazione, potrebbe essere possibile ripristinare i dati anche dopo aver reimpostato la password del proprietario. Le chiavi DRA sono anche protette dalla password del DRA, ma un malintenzionato malintenzionato installerebbe un certificato DRA per un nuovo utente, attendendo che tocchi i file di destinazione, quindi sfrutti il ​​certificato per decrittografarli.

Si noti che questa opzione di ripristino non si applica ai dati protetti con DPAPI, poiché DPAPI non rispetta i DRA EFS. Sei in per un po 'di dolore , se avete bisogno di recuperare tali dati.

Ben N
fonte
7

La chiave privata EFS dell'utente, così come vari altri dati privati ​​conservati da Windows, vengono crittografati utilizzando la password dell'utente. Se la password viene modificata, è impossibile decrittografare le chiavi private e senza di ciò è impossibile accedere ai file crittografati.

user1686
fonte
1
Non sono sicuro di averlo compreso appieno, vuoi dire che una volta reimpostata la password da un software di terze parti, i dati crittografati spariranno per sempre?
ICTAddict,
2
È corretto. La chiave privata EFS è crittografata tramite "API di protezione dei dati", CryptProtectData e CryptUnprotectData. Il modo esatto in cui funziona questa API è ben spiegato su MSDN; quello che posso inserire in un commento qui è questo: la password fornita all'accesso fa parte dell'input per la generazione della chiave. Se si cambia la pw, allora tutti i segreti che precedentemente crittografati con questa API sono ri-digitato con la nuova password. Ma se un software di terze parti (o l'amministratore del caso) modifica il tuo pw, questo non può essere fatto e perdi l'accesso a segreti precedentemente crittografati. Vedi anche "Agente di recupero EFS".
Jamie Hanrahan,
3
@JamieHanrahan - Questo potrebbe giustificare una domanda separata ma è solo una leggera espansione della domanda originale sopra: Se dopo che la password fosse stata reimpostata da strumenti di terze parti come sopra, la password originale sarebbe stata trovata (ricordata), accedendo (usando il "reimposta" la password) e la modifica della password con la password originale consente l'accesso ai file crittografati con EFS?
Kevin Fegan,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.