Zugriff auf EFS-verschlüsselte Dateien nach dem Zurücksetzen des Windows-Kennworts

12

Ich habe einige EFS-verschlüsselte Dateien in Windows. Das besitzende Benutzerkonto ist durch ein Passwort geschützt, das von vielen Tools und Methoden leicht umgangen (dh zurückgesetzt) ​​werden kann.

Was passiert dann mit diesen verschlüsselten Dateien? Werden sie dem Angreifer zugänglich sein? Oder sind sie weiterhin geschützt und benötigen den Verschlüsselungsschlüssel, um auf sie zugreifen zu können?

ICTAddict
quelle
2
Ich habe Ihre Frage bearbeitet, um ein bisschen klarer zu machen, dass Sie EFS verwenden. Wenn dies nicht richtig ist, können Sie die Bearbeitung zurücksetzen. Gute Frage!
Ben N

Antworten:

9

Die vorhandene Antwort ist insofern richtig, als der private EFS-Schlüssel durch das Kennwort des Benutzers geschützt ist. Es ist jedoch möglich, EFS Data Recovery Agents zu konfigurieren , die jede EFS-verschlüsselte Datei auf einem System entschlüsseln können. DRA-Zertifikate werden über Gruppenrichtlinien oder lokale Sicherheitsrichtlinien festgelegt, wenn Sie keine Domäne haben.

DRAs haben einen solchen Zugriff, da ein System, wenn es den öffentlichen Schlüssel der DRAs empfängt, den symmetrischen Schlüssel jeder verschlüsselten Datei zusätzlich zum öffentlichen Schlüssel des Benutzers mit dem öffentlichen Schlüssel jedes DRA verschlüsselt. Daher können DRAs verschlüsselte Dateien nur wiederherstellen, wenn sie nach der Registrierung ihres Zertifikats erstellt oder geöffnet wurden.

Also, je nach Konfiguration, es könnte möglich sein , die Daten wiederherzustellen , selbst nachdem der Besitzer das Passwort zurückzusetzen. DRA-Schlüssel sind ebenfalls durch das Kennwort des DRA geschützt. Ein geschickter Angreifer installiert jedoch ein DRA-Zertifikat für einen neuen Benutzer, wartet, bis Sie die Zieldateien berühren, und nutzt dann das Zertifikat, um sie zu entschlüsseln.

Beachten Sie, dass diese Wiederherstellungsoption nicht für DPAPI-geschützte Daten gilt, da die DPAPI EFS-DRAs nicht berücksichtigt. Du bist in für einige Schmerzen , wenn Sie solche Daten wiederherstellen müssen.

Ben N.
quelle
7

Der private EFS-Schlüssel des Benutzers sowie verschiedene andere private Daten, die von Windows gespeichert werden, werden mit dem Kennwort des Benutzers verschlüsselt. Wenn das Passwort geändert wird, ist es unmöglich, die privaten Schlüssel zu entschlüsseln, und ohne dies ist es unmöglich, auf die verschlüsselten Dateien zuzugreifen.

user1686
quelle
1
Ich bin mir nicht sicher, ob ich das vollständig verstehe. Meinen Sie damit, dass die verschlüsselten Daten nach dem Zurücksetzen des Kennworts durch Software von Drittanbietern für immer verschwunden sind?
ICTAddict
2
Das ist richtig. Der private EFS-Schlüssel wird über die "Data Protection API", CryptProtectData und CryptUnprotectData verschlüsselt. Wie genau diese API funktioniert, wird bei MSDN gut erklärt. Was ich hier in einen Kommentar einfügen kann, ist Folgendes: Das beim Anmelden angegebene Passwort ist Teil der Eingabe für die Schlüsselgenerierung. Wenn Sie Ihr pw ändern, werden alle Geheimnisse, die Sie zuvor mit dieser API verschlüsselt haben, mit dem neuen Kennwort erneut verschlüsselt. Wenn jedoch Software von Drittanbietern (oder der Administrator) Ihre PW ändert, ist dies nicht möglich und Sie verlieren den Zugriff auf zuvor verschlüsselte Geheimnisse. Siehe auch "EFS-Wiederherstellungsagent".
Jamie Hanrahan
3
@JamieHanrahan - Dies kann eine separate Frage rechtfertigen, stellt jedoch nur eine geringfügige Erweiterung der obigen ursprünglichen Frage dar: Wenn nach dem Zurücksetzen des Kennworts durch Tools von Drittanbietern wie oben das ursprüngliche Kennwort gefunden (gespeichert) wurde, würde sich das Protokoll anmelden (mithilfe der Passwort "zurücksetzen") und das Zurücksetzen des Passworts auf das ursprüngliche Passwort ermöglichen den Zugriff auf die EFS-verschlüsselten Dateien?
Kevin Fegan