題 誰可以解密EFS文件?


我在家裡運行Windows 7 Professional,並決定使用內置的EFS加密我的一些文件。我的理解是,只有加密文件的帳戶也可以再次讀取它們 - 任何其他用戶(甚至是管理員)都無法讀取它們。 (當然,重新安裝後訪問完全丟失了。)

那是對的嗎?用戶究竟可以解密我保護的文件?出於好奇,在以前版本的Windows中有什麼不同?我想知道,因為我最近在微軟員工所說的某個網站上讀過“管理員可以解密任何文件”。


3
2017-09-08 09:20


起源


我不知道管理員是否可以直接訪問加密數據,但管理員可以隨時訪問可以的用戶帳戶。 - AndrejaKo
使用EFS是個壞主意。備份是一個真正的痛苦,因為您還需要備份加密證書和密鑰。如果災難發生,您可能會發現沒有人可以解密備份文件,包括您自己。像往常一樣微軟:好主意,可怕的實施。請改用TrueCrypt。 - harrymc
@And我不這麼認為。管理員可以訪問所有內容,但這並不意味著他也可以解密和閱讀它。 - mafu
@har是的,我實際上將這些文件存儲在安全的subversion存儲庫中作為VC和備份,我只是想確保本地副本對於入侵者是不可讀的。 - mafu
@Harry:你必須備份加密密鑰 所有 非對稱加密實現。 EFS也不例外。 (Win7甚至嘮叨你要備份密鑰,所以不再有“用戶不知道在哪裡找到它”的藉口。) - grawity


答案:


簡而言之:

用戶和本地管理員(如果他是數據恢復代理)

詳細地: 

基本想法

但是,EFS的加密密鑰實際上受用戶帳戶密碼的保護。

資源: 維基百科

此密碼也存儲在SAM中,SAM使用系統密鑰加密...

這意味著不僅用戶可以訪問它!以下是詳細信息:

使用本地管理員帳戶解密文件

在Windows 2000中,本地管理員是默認的數據恢復代理,能夠解密任何本地用戶使用EFS加密的所有文件。如果沒有恢復代理,Windows 2000中的EFS將無法運行,因此始終有人可以解密用戶的加密文件。任何非域加入的Windows 2000計算機都可能被任何可以接管本地管理員帳戶的人員進行未經授權的EFS解密,這在互聯網上可以免費獲得的許多工具中是微不足道的。

在Windows XP及更高版本中,沒有默認的本地數據恢復代理,也沒有要求。將SYSKEY設置為模式2或3(在啟動期間鍵入syskey或存儲在軟盤上)將降低通過本地管理員帳戶進行未經授權的解密的風險。這是因為存儲在SAM文件中的本地用戶密碼哈希值是使用Syskey加密的,並且Syskey值不適用於沒有Syskey密碼短語/軟盤的脫機攻擊者。

資源: 維基百科

如果您想了解功能更改,請參閱Windows 7,但這並沒有改變 這個維基百科部分


4
2017-09-08 10:46