Кто может расшифровать файлы EFS?

6326
mafu

Я использую Windows 7 Professional дома и решил зашифровать некоторые из моих файлов с помощью встроенной EFS. Насколько я понимаю, только учетная запись, зашифровавшая файлы, может читать их снова - любой другой пользователь (даже администратор) не может их прочитать. (И, конечно, доступ полностью теряется после переустановки.)

Это верно? Какие пользователи могут дешифровать файлы, которые я защищал? И из любопытства, что отличалось в предыдущих версиях Windows? Интересно, так как я недавно прочитал «администраторы могут дешифровать любые файлы» на каком-то сайте, указанном сотрудником Microsoft.

3
Я не знаю, может ли администратор получить прямой доступ к зашифрованным данным, но администратор всегда может получить доступ к учетной записи пользователя, который может. AndrejaKo 13 лет назад 0
Использование EFS - плохая идея. Резервное копирование представляет собой серьезную проблему, поскольку вам также необходимо создать резервную копию сертификата шифрования и ключа. Если случится бедствие, вы можете обнаружить, что никто не сможет расшифровать файлы резервных копий, включая вас самих. Как обычно для Microsoft: хорошая идея, ужасная реализация. Вместо этого используйте TrueCrypt. harrymc 13 лет назад 1
@ И я так не думаю. Администратор может получить доступ ко всему, но это не значит, что он также может расшифровать и прочитать его. mafu 13 лет назад 0
@har Да, на самом деле эти файлы хранятся в безопасном хранилище Subversion в другом месте, как VC и резервное копирование, я просто хочу убедиться, что локальная копия не читается злоумышленниками. mafu 13 лет назад 0
@Harry: Вы должны сделать резервную копию ключа шифрования в _все_ асимметричных криптографических реализациях. EFS ничем не отличается. (Win7 даже требует от вас резервного копирования ключа, поэтому больше нет оправданий «пользователи не знают, где его найти».) grawity 13 лет назад 1

1 ответ на вопрос

4
Tom Wijsman

Короче:

Пользователь и локальный администратор (если он агент по восстановлению данных)

В деталях:

В основных идеях

Однако ключи шифрования для EFS на практике защищены паролем учетной записи пользователя.

Источник: Википедия

Этот пароль также хранится в SAM, который зашифрован с помощью системного ключа ...

Это означает, что не только пользователь может получить к нему доступ! Вот подробности:

При расшифровке файлов с использованием локальной учетной записи администратора

В Windows 2000 локальный администратор является агентом восстановления данных по умолчанию, способным расшифровывать все файлы, зашифрованные с помощью EFS любым локальным пользователем. EFS в Windows 2000 не может работать без агента восстановления, поэтому всегда найдется кто-то, кто сможет расшифровать зашифрованные файлы пользователей. Любой компьютер с Windows 2000, не входящий в домен, будет подвержен несанкционированному дешифрованию EFS любым, кто может взять на себя учетную запись локального администратора, что тривиально, поскольку многие инструменты свободно доступны в Интернете.

В Windows XP и более поздних версиях нет локального агента восстановления данных по умолчанию и нет необходимости иметь его. Установка SYSKEY в режим 2 или 3 (syskey, введенный во время загрузки или сохраненный на дискете), снизит риск несанкционированного дешифрования через локальную учетную запись администратора. Это связано с тем, что хеши паролей локального пользователя, хранящиеся в файле SAM, зашифрованы с помощью Syskey, а значение Syskey недоступно для атакующего в автономном режиме, у которого нет парольной фразы / дискеты Syskey.

Источник: Википедия

Это не изменилось по отношению к Windows 7, если вы хотите узнать об изменениях функций, посмотрите эту часть Википедии .

Похожие вопросы