Provavelmente usa uma tecnologia chamada DPAPI. Há algumas informações sobre isso no link . Basicamente, a criptografia é baseada na senha de login, mas também é possível fazer o backup das chaves. Em um ambiente de domínio, o backup automático provavelmente está ativado - contando com um & controlador de domínio confiável.