Mengakses file terenkripsi EFS setelah mengatur ulang kata sandi Windows

12

Saya memiliki beberapa file terenkripsi EFS di Windows. Akun pengguna yang dimiliki dilindungi oleh kata sandi, yang dapat dengan mudah dilewati (yaitu reset) oleh banyak alat dan metode.

Jadi apa yang akan terjadi pada file-file terenkripsi ini jika itu terjadi? Apakah mereka dapat diakses oleh penyerang? Atau apakah mereka masih dilindungi dan memerlukan kunci enkripsi untuk mengaksesnya?

Adopsi TIK
sumber
2
Saya telah mengedit pertanyaan Anda untuk membuatnya sedikit lebih jelas bahwa Anda menggunakan EFS. Jika itu tidak benar, Anda dapat memutar kembali hasil edit. Pertanyaan bagus!
Ben N

Jawaban:

9

Jawaban yang ada benar karena kunci pribadi EFS dilindungi oleh kata sandi pengguna. Namun, dimungkinkan untuk mengkonfigurasi Agen Pemulihan Data EFS yang dapat mendekripsi file yang dienkripsi EFS pada suatu sistem. Sertifikat DRA ditetapkan melalui Kebijakan Grup, atau Kebijakan Keamanan Lokal jika Anda tidak memiliki domain.

DRA memiliki akses seperti itu karena ketika suatu sistem menerima kunci publik dari DRA, ia mengenkripsi kunci simetris dari setiap file yang dienkripsi dengan setiap kunci publik DRA di samping kunci publik pengguna. Dengan demikian, DRA hanya dapat memulihkan file terenkripsi jika mereka dibuat atau dibuka setelah sertifikatnya terdaftar.

Jadi, tergantung pada konfigurasi Anda, itu bisa menjadi mungkin untuk memulihkan data bahkan setelah ulang password pemilik. Kunci DRA juga dilindungi oleh kata sandi DRA, tetapi penyerang yang cerdik akan menginstal sertifikat DRA untuk pengguna baru, menunggu Anda menyentuh file target, kemudian mengambil keuntungan dari sertifikat untuk mendekripsi mereka.

Perhatikan bahwa opsi pemulihan ini tidak berlaku untuk data yang dilindungi DPAPI, karena DPAPI tidak menghormati DRA EFS. Anda kesakitan jika Anda perlu memulihkan data tersebut.

Ben N
sumber
7

Kunci pribadi EFS pengguna, serta berbagai data pribadi lainnya yang disimpan oleh Windows, dienkripsi menggunakan kata sandi pengguna. Jika kata sandi diubah, mustahil untuk mendekripsi kunci privat, dan tanpa itu, mustahil untuk mengakses file yang dienkripsi.

pengguna1686
sumber
1
Saya tidak yakin saya sepenuhnya memahami hal ini, maksud Anda bahwa begitu kata sandi di-reset oleh perangkat lunak pihak ketiga, data yang dienkripsi hilang selamanya?
ICT Addict
2
Itu betul. Kunci pribadi EFS dienkripsi melalui "API perlindungan data", CryptProtectData, dan CryptUnprotectData. Bagaimana tepatnya API ini bekerja dijelaskan dengan baik di MSDN; apa yang bisa saya masukkan dalam komentar di sini adalah ini: kata sandi yang diberikan saat masuk adalah bagian dari input ke generasi kunci. Jika Anda mengubah pw Anda, maka semua rahasia yang sebelumnya Anda enkripsi dengan API ini dikunci ulang dengan kata sandi baru. Tetapi jika perangkat lunak pihak ketiga (atau admin dalam hal ini) mengubah perangkat Anda, ini tidak dapat dilakukan, dan Anda kehilangan akses ke rahasia yang dienkripsi sebelumnya. Lihat juga "agen pemulihan EFS".
Jamie Hanrahan
3
@JamieHanrahan - Ini mungkin memerlukan pertanyaan terpisah tetapi hanya sedikit perluasan ke pertanyaan awal di atas: Jika setelah kata sandi diatur ulang oleh alat pihak ketiga seperti di atas, kata sandi asli ditemukan (diingat), akan masuk (menggunakan "reset" kata sandi) dan mengubah kata sandi kembali ke kata sandi asli memungkinkan akses ke file yang dienkripsi EFS?
Kevin Fegan