การเข้าถึงไฟล์ที่เข้ารหัส EFS หลังจากรีเซ็ตรหัสผ่าน Windows

12

ฉันมีไฟล์ที่เข้ารหัส EFS ใน Windows บัญชีผู้ใช้ที่เป็นเจ้าของได้รับการป้องกันด้วยรหัสผ่านซึ่งสามารถข้ามได้อย่างง่ายดาย (รีเซ็ตเช่น) ด้วยเครื่องมือและวิธีการมากมาย

ดังนั้นจะเกิดอะไรขึ้นกับไฟล์ที่เข้ารหัสเหล่านี้ถ้าเกิดขึ้น? พวกเขาจะสามารถเข้าถึงผู้โจมตีได้หรือไม่? หรือพวกเขาจะยังคงได้รับการป้องกันและต้องใช้รหัสการเข้ารหัสเพื่อเข้าถึงพวกเขา?

windows-7  encryption  ntfs  efs 
ICTAddict
แหล่งที่มา
2
ฉันได้แก้ไขคำถามของคุณเพื่อให้ชัดเจนยิ่งขึ้นว่าคุณกำลังใช้ EFS หากไม่ถูกต้องคุณสามารถย้อนกลับแก้ไขได้ เป็นคำถามที่ดี!
Ben N

คำตอบ:

9

คำตอบที่มีอยู่นั้นถูกต้องในที่คีย์ส่วนตัว EFS ได้รับการป้องกันด้วยรหัสผ่านของผู้ใช้ อย่างไรก็ตามมันเป็นไปได้ที่จะกำหนดค่าEFS Data Recovery Agentที่สามารถถอดรหัสไฟล์ที่เข้ารหัส EFS ใด ๆ บนระบบ ใบรับรอง DRA ถูกตั้งค่าผ่านนโยบายกลุ่มหรือนโยบายความปลอดภัยท้องถิ่นหากคุณไม่มีโดเมน

DRAs มีการเข้าถึงดังกล่าวเพราะเมื่อระบบได้รับกุญแจสาธารณะของ DRAs มันจะเข้ารหัสคีย์สมมาตรของแต่ละไฟล์ที่เข้ารหัสด้วยกุญแจสาธารณะของ DRA แต่ละอันนอกเหนือจากกุญแจสาธารณะของผู้ใช้ ดังนั้น DRAs สามารถกู้คืนไฟล์ที่เข้ารหัสได้หากไฟล์นั้นถูกสร้างขึ้นหรือเปิดหลังจากที่ลงทะเบียนใบรับรองแล้ว

ดังนั้นขึ้นอยู่กับการกำหนดค่าของคุณก็อาจจะเป็นไปได้ที่จะกู้คืนข้อมูลแม้หลังจากการรีเซ็ตรหัสผ่านของเจ้าของ คีย์ DRA นั้นได้รับการปกป้องด้วยรหัสผ่านของ DRA แต่ผู้โจมตีที่มีเล่ห์เหลี่ยมจะติดตั้งใบรับรอง DRA สำหรับผู้ใช้ใหม่รอให้คุณสัมผัสไฟล์เป้าหมายจากนั้นใช้ประโยชน์จากใบรับรองเพื่อถอดรหัสพวกเขา

โปรดทราบว่าตัวเลือกการกู้คืนนี้ไม่ได้ใช้กับข้อมูลที่ป้องกันด้วย DPAPI เนื่องจาก DPAPI ไม่เคารพ EFS DRAs คุณอยู่ในความเจ็บปวดหากคุณต้องการกู้คืนข้อมูลดังกล่าว

เบ็น
แหล่งที่มา
7

รหัสส่วนตัว EFS ของผู้ใช้รวมถึงข้อมูลส่วนตัวอื่น ๆ ที่เก็บโดย Windows นั้นจะถูกเข้ารหัสโดยใช้รหัสผ่านของผู้ใช้ หากรหัสผ่านมีการเปลี่ยนแปลงมันเป็นไปไม่ได้ที่จะถอดรหัสคีย์ส่วนตัวและหากไม่มีรหัสนั้นจะไม่สามารถเข้าถึงไฟล์ที่เข้ารหัสได้

user1686
แหล่งที่มา
1
ฉันไม่แน่ใจว่าฉันเข้าใจอย่างถ่องแท้หมายความว่าเมื่อรีเซ็ตรหัสผ่านโดยซอฟต์แวร์บุคคลที่สามข้อมูลที่เข้ารหัสจะหายไปตลอดกาลหรือไม่
ICTAddict
2
ถูกต้อง. รหัสส่วนตัว EFS ถูกเข้ารหัสผ่าน "Data protection API", CryptProtectData และ CryptUnprotectData วิธีการทำงานของ API นี้ได้รับการอธิบายอย่างดีที่ MSDN สิ่งที่ฉันสามารถใส่ลงไปในคอมเม้นต์ได้ที่นี่คือ: รหัสผ่านที่ได้รับจากการเข้าสู่ระบบเป็นส่วนหนึ่งของการป้อนข้อมูลเพื่อการสร้างคีย์ หากคุณเปลี่ยน pw ของคุณความลับทั้งหมดที่คุณเข้ารหัสด้วย API นี้จะถูกป้อนรหัสผ่านใหม่อีกครั้ง แต่หากซอฟต์แวร์บุคคลที่สาม (หรือผู้ดูแลระบบสำหรับเรื่องนั้น) เปลี่ยน pw ของคุณสิ่งนี้ไม่สามารถทำได้และคุณสูญเสียการเข้าถึงความลับที่เข้ารหัสไว้ก่อนหน้านี้ ดูเพิ่มเติมที่ "ตัวแทนการกู้คืน EFS"
Jamie Hanrahan
3
@JamieHanrahan - นี่อาจรับประกันคำถามแยกต่างหาก แต่เป็นเพียงการขยายคำถามเดิมด้านบนเล็กน้อย: หากหลังจากรีเซ็ตรหัสผ่านโดยเครื่องมือของบุคคลที่สามตามที่ระบุข้างต้นจะพบรหัสผ่านเดิม (จำได้) จะเข้าสู่ระบบ (โดยใช้ "รีเซ็ต" รหัสผ่าน) และเปลี่ยนรหัสผ่านกลับไปเป็นรหัสผ่านดั้งเดิมอนุญาตให้เข้าถึงไฟล์ที่เข้ารหัสโดย EFS ได้หรือไม่
Kevin Fegan
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.