Saya memiliki beberapa file terenkripsi EFS di Windows. Akun pengguna yang dimiliki dilindungi oleh kata sandi, yang dapat dengan mudah dilewati (yaitu reset) oleh banyak alat dan metode.
Jadi apa yang akan terjadi pada file-file terenkripsi ini jika itu terjadi? Apakah mereka dapat diakses oleh penyerang? Atau apakah mereka masih dilindungi dan memerlukan kunci enkripsi untuk mengaksesnya?
windows-7
encryption
ntfs
efs
Adopsi TIK
sumber
sumber
Jawaban:
Jawaban yang ada benar karena kunci pribadi EFS dilindungi oleh kata sandi pengguna. Namun, dimungkinkan untuk mengkonfigurasi Agen Pemulihan Data EFS yang dapat mendekripsi file yang dienkripsi EFS pada suatu sistem. Sertifikat DRA ditetapkan melalui Kebijakan Grup, atau Kebijakan Keamanan Lokal jika Anda tidak memiliki domain.
DRA memiliki akses seperti itu karena ketika suatu sistem menerima kunci publik dari DRA, ia mengenkripsi kunci simetris dari setiap file yang dienkripsi dengan setiap kunci publik DRA di samping kunci publik pengguna. Dengan demikian, DRA hanya dapat memulihkan file terenkripsi jika mereka dibuat atau dibuka setelah sertifikatnya terdaftar.
Jadi, tergantung pada konfigurasi Anda, itu bisa menjadi mungkin untuk memulihkan data bahkan setelah ulang password pemilik. Kunci DRA juga dilindungi oleh kata sandi DRA, tetapi penyerang yang cerdik akan menginstal sertifikat DRA untuk pengguna baru, menunggu Anda menyentuh file target, kemudian mengambil keuntungan dari sertifikat untuk mendekripsi mereka.
Perhatikan bahwa opsi pemulihan ini tidak berlaku untuk data yang dilindungi DPAPI, karena DPAPI tidak menghormati DRA EFS. Anda kesakitan jika Anda perlu memulihkan data tersebut.
sumber
Kunci pribadi EFS pengguna, serta berbagai data pribadi lainnya yang disimpan oleh Windows, dienkripsi menggunakan kata sandi pengguna. Jika kata sandi diubah, mustahil untuk mendekripsi kunci privat, dan tanpa itu, mustahil untuk mengakses file yang dienkripsi.
sumber