A Chave de Criptografia de Arquivos (ênfase na parte do Arquivo) é e sempre foi armazenada no arquivo. Isso é confirmado por esse documento do MS da era XP , datado de junho de 2006. O Windows 7 era lançado em 2009.
Afinal, arquivos diferentes podem ter usuários diferentes autorizados a descriptografá-los. Você pode adicionar usuários extras a um arquivo já criptografado com o modo /adduser do utilitário cipher . Há uma FEK para cada arquivo, mas ela pode estar presente várias vezes em cada arquivo, criptografada de maneira diferente com a chave de cada usuário aprovado. Seria estranho manter as informações por arquivo no SAM, que lida com coisas como usuários.
O blogueiro provavelmente está confundindo as FEKs e as chaves do usuário. (Lembre-se, o conteúdo do arquivo é criptografado com o FEK, que é armazenado criptografado por uma ou mais chaves de usuário.) O Windows 2000 realmente armazene uma cópia da chave de cada usuário como um segredo de LSA, que pode ser lido offline. Além disso, a conta Administrador era, por padrão, um Data Recovery Agent no Windows 2000 e, portanto, podia descriptografar qualquer arquivo protegido pelo EFS. Essas questões agora são abordadas.