ICT*_*ict 13 encryption windows-7 ntfs efs
我在 Windows 中有一些 EFS 加密的文件。拥有的用户帐户受密码保护,可以通过许多工具和方法轻松绕过(即重置)。
那么如果发生这种情况,这些加密文件会发生什么?攻击者可以访问它们吗?或者它们仍会受到保护并需要加密密钥才能访问它们?
现有答案是正确的,因为 EFS 私钥受用户密码保护。但是,可以配置可以解密系统上任何 EFS 加密文件的EFS 数据恢复代理。如果您没有域,则 DRA 证书通过组策略或本地安全策略设置。
DRA 具有这样的访问权限,因为当系统收到 DRA 的公钥时,除了用户的公钥之外,它还会使用每个 DRA 的公钥对每个加密文件的对称密钥进行加密。因此,DRA 只能恢复在其证书注册后创建或打开的加密文件。
因此,根据您的配置,即使在重置所有者的密码后也有可能恢复数据。DRA 密钥也受 DRA 密码保护,但狡猾的攻击者会为新用户安装 DRA 证书,等待您触摸目标文件,然后利用该证书对其进行解密。
请注意,此恢复选项不适用于受 DPAPI 保护的数据,因为 DPAPI 不遵守 EFS DRA。如果您需要恢复此类数据,您会遇到一些痛苦。
用户的 EFS 私钥以及 Windows 保存的各种其他私有数据使用用户的密码进行加密。如果更改了密码,则无法解密私钥,否则无法访问加密文件。
| 归档时间: |
|
| 查看次数: |
8529 次 |
| 最近记录: |