Windows parolasını sıfırladıktan sonra EFS şifreli dosyalara erişme


12

Windows'ta bazı EFS şifreli dosyalar var. Sahip olan kullanıcı hesabı, birçok araç ve yöntemle kolayca atlanabilen (yani sıfırlanan) bir parola ile korunur.

Peki bu şifrelenmiş dosyalara ne olur? Saldırgan tarafından erişilebilir olacak mı? Yoksa yine de korunacaklar mı ve şifreleme anahtarlarına erişmek için mi gerekli olacaklar?


2
Sorunuzu, EFS kullandığınızı biraz daha açık hale getirmek için düzenledim. Bu doğru değilse, düzenlemeyi geri alabilirsiniz. Güzel soru!
Ben N

Yanıtlar:


9

Mevcut yanıt, EFS özel anahtarının kullanıcının parolasıyla korunması nedeniyle doğrudur. Ancak, sistemdeki herhangi bir EFS şifreli dosyanın şifresini çözebilecek EFS Veri Kurtarma Aracılarını yapılandırmak mümkündür . DRA sertifikaları Grup İlkesi veya bir alan adınız yoksa Yerel Güvenlik İlkesi aracılığıyla ayarlanır.

DRA'lar böyle bir erişime sahiptir, çünkü bir sistem DRA'ların ortak anahtarını aldığında, şifrelenmiş her dosyanın simetrik anahtarını kullanıcının genel anahtarına ek olarak her bir DRA'nın ortak anahtarıyla şifreler. Böylece, DRA'lar şifrelenmiş dosyaları ancak sertifikaları kaydedildikten sonra oluşturulduklarında veya açıldıklarında kurtarabilirler.

Bu nedenle, yapılandırmanıza bağlı olarak , sahibinin şifresini sıfırladıktan sonra bile verileri kurtarmak mümkün olabilir . DRA anahtarları da DRA'nın parolasıyla korunur, ancak kurnaz bir saldırgan yeni bir kullanıcı için bir DRA sertifikası yükler, hedef dosyalara dokunmanızı bekler, ardından bunların şifresini çözmek için sertifikadan yararlanır.

DPAPI EFS DRA'larına uymadığından, bu kurtarma seçeneğinin DPAPI korumalı veriler için geçerli olmadığını unutmayın. Bu tür verileri kurtarmanız gerekiyorsa biraz acı çekersiniz.


7

Kullanıcının EFS özel anahtarı ve Windows tarafından tutulan diğer çeşitli özel veriler, kullanıcının parolası kullanılarak şifrelenir. Şifre değiştirilirse, özel anahtarların şifresini çözmek imkansızdır ve bu olmadan şifrelenmiş dosyalara erişmek imkansızdır.


1
Bunu tam olarak anladığımdan emin değilim, parola üçüncü taraf yazılım tarafından sıfırlandıktan sonra, şifrelenmiş verilerin sonsuza kadar gittiğini mi kastediyorsunuz?
ICTAddict

2
Bu doğru. EFS özel anahtarı "Veri koruma API'sı", CryptProtectData ve CryptUnprotectData ile şifrelenir. Bu API'nin tam olarak nasıl çalıştığı MSDN'de iyi açıklanmıştır; burada bir yorum sığabilecek şey şudur: girişte sağlanan şifre anahtar nesil girişinin bir parçasıdır. Eğer sen senin pw, o zaman önce bu API ile şifrelenmiş tüm sırları yeniden anahtarlı yeni şifre ile olan değiştirin. Ancak üçüncü taraf yazılımlar (veya bu konudaki yönetici) pw'nizi değiştirirse, bu yapılamaz ve önceden şifrelenmiş sırlara erişiminizi kaybedersiniz. Ayrıca bkz. "EFS kurtarma aracısı".
Jamie Hanrahan

3
@JamieHanrahan - Bu ayrı bir soru gerektirebilir, ancak yukarıdaki orijinal soruya sadece hafif bir genişleme olur: Parola yukarıdaki gibi üçüncü taraf araçları tarafından sıfırlandıktan sonra, orijinal parola bulunursa (hatırlanır), giriş yapar ( "sıfırlama" şifresi) ve şifreyi orijinal şifresine geri döndürmek EFS şifreli dosyalara erişim sağlar
Kevin Fegan
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.