Acessando arquivos criptografados com EFS após redefinir a senha do Windows

11

Eu tenho alguns arquivos criptografados com EFS no Windows. A conta de usuário proprietária é protegida por uma senha, que pode ser facilmente ignorada (isto é, redefinida) por muitas ferramentas e métodos.

Então, o que acontecerá com esses arquivos criptografados se isso acontecer? Eles estarão acessíveis ao atacante? Ou eles ainda estarão protegidos e precisarão da chave de criptografia para acessá-los?

    
por ICTAddict 11.06.2014 / 08:02

2 respostas

8

A resposta existente está correta na medida em que a chave privada EFS é protegida pela senha do usuário. No entanto, é possível configurar os Agentes de Recuperação de Dados EFS que podem descriptografar qualquer arquivo criptografado com EFS em um sistema. Certificados DRA são definidos por meio da Política de Grupo ou da Política de Segurança Local, se você não tiver um domínio.

Os DRAs têm esse acesso porque, quando um sistema recebe a chave pública dos DRAs, ele criptografa a chave simétrica de cada arquivo criptografado com a chave pública de cada DRA, além da chave pública do usuário. Assim, os DRAs só podem recuperar arquivos criptografados se eles foram criados ou abertos após o registro do certificado.

Então, dependendo da sua configuração, poderia ser possível recuperar os dados mesmo depois de redefinir a senha do proprietário. As chaves DRA também são protegidas pela senha do DRA, mas um invasor astuto instala um certificado DRA para um novo usuário, espera que você toque nos arquivos de destino e aproveite o certificado para descriptografá-los.

Observe que essa opção de recuperação não se aplica a dados protegidos por DPAPI, pois a DPAPI não respeita os DRAs do EFS. Você está com alguma dor se precisar recuperar dados.

    
por 31.01.2016 / 22:14
6

A chave privada EFS do usuário, bem como vários outros dados privados mantidos pelo Windows, são criptografados usando a senha do usuário. Se a senha for alterada, é impossível descriptografar as chaves privadas e, sem isso, é impossível acessar os arquivos criptografados.

    
por 11.06.2014 / 08:50