Windowsパスワードをリセットした後のEFS暗号化ファイルへのアクセス
WindowsにEFS暗号化ファイルがいくつかあります。所有しているユーザーアカウントはパスワードで保護されており、多くのツールや方法で簡単にバイパス(リセット)できます。
では、これらの暗号化されたファイルはどうなりますか?攻撃者はそれらにアクセスできますか?それとも、それらは引き続き保護され、それらにアクセスするには暗号化キーが必要ですか?
EFS秘密キーがユーザーのパスワードによって保護されているという点で、既存の答えは正しいです。ただし、システム上のEFSで暗号化されたファイルを復号化できる EFS Data Recovery Agents を構成することは可能です。 DRA証明書は、グループポリシー、またはドメインがない場合はローカルセキュリティポリシーを介して設定されます。
システムがDRAの公開鍵を受信すると、ユーザーの公開鍵に加えて、各DRAの公開鍵を使用して、暗号化された各ファイルの対称鍵を暗号化するため、DRAはこのようなアクセス権を持ちます。したがって、DRAは、証明書が登録された後に作成または開かれた場合にのみ、暗号化されたファイルを回復できます。
したがって、構成によっては、所有者のパスワードをリセットした後でも、データを回復できる可能性があります。 DRAキーもDRAのパスワードで保護されていますが、巧妙な攻撃者は新しいユーザーのDRA証明書をインストールし、ターゲットファイルに触れるのを待ってから、証明書を利用してそれらを復号化します。
DPAPIはEFSDRAを尊重しないため、この回復オプションはDPAPIで保護されたデータには適用されないことに注意してください。そのようなデータを回復する必要がある場合、あなたは いくらか苦痛で です。
ユーザーのEFS秘密キー、およびWindowsが保持するその他のさまざまな秘密データは、ユーザーのパスワードを使用して暗号化されます。パスワードを変更すると、秘密鍵を解読できなくなり、暗号化されたファイルにアクセスできなくなります。