Qualquer forma de bloquear o EFS Data Recovery Agent?

1

Parece que usar o EFS não faz sentido se outra pessoa tiver acesso ao seu computador por causa do DRA ... alguém pode facilmente ativar a conta de administrador definir um DRA salvar as chaves desabilitar a conta Administrador novamente ou apenas criar um DRA se é um administrador, portanto, na próxima vez que você fizer login e começar a usar seus arquivos, o certificado DRA será adicionado aos arquivos.

O EFS protegeria você se seu computador fosse roubado, mas parece que o EFS é usado principalmente para computadores multiusuários.

Como o EFS é usado para proteger arquivos de outros usuários, o utilitário Syskey não faz nada porque eles precisam passar por ele também.

Então ... existe uma maneira de remover completamente / bloquear a capacidade de adicionar um agente de recuperação de dados ao Windows 7 ou talvez outra solução para esse problema?

    
por Riguez 02.04.2011 / 16:19

3 respostas

-1

Parece que a única maneira de ter um computador multiusuário e impedir que o DRA seja habilitado e usado para obter acesso a outros usuários é ter todos os usuários regulares e apenas uma pessoa de confiança com a conta / senha de administrador. e, em seguida, criptografar totalmente a unidade do sistema operacional e permitir apenas que o administrador confiável inicie o computador e use o modo de hibernação quando não estiver em uso.

Acho muito ridículo que, para usar o EFS com segurança em um ambiente multiusuário, onde é muito útil, é necessário usar outra solução de criptografia.

Sim, o sistema pode ser comprometido fisicamente, mas quando a principal ameaça é um kiddie de roteiro adolescente, isso não é um problema, já que eles provavelmente não terão recursos para um keylogger de US $ 50-80, e um deles é bastante perceptível em um laptop.

    
por 15.04.2011 / 04:31
1

Para impedir que o agente de recuperação de dados do EFS recupere os arquivos criptografados, você precisará modificar as configurações de diretiva do Grupo ou as configurações da diretiva local usando:

  • gpmc.msc (Política de domínio padrão ou qualquer outra política aplicável) ou
  • gpedit.msc

De acordo com a política:

Computer configuration > Windows Settings > Security Settings > Public Key Policies > Encrypting File System.

A partir dessa política, você pode excluir qualquer um dos certificados de conta definidos como agentes de recuperação de dados. Por padrão, a conta de administrador do domínio é definida como o agente de recuperação. Depois de excluir o certificado do editor de políticas, você pode executar o gpupdate no prompt de comando para aplicar as políticas. A confirmação para isso foi bem sucedida, pois da próxima vez que você criptografar qualquer arquivo, você não encontrará os detalhes do certificado do agente de recuperação nos detalhes avançados.

    
por 04.06.2017 / 18:11
0

someone could easily enable the Administrator account set a DRA save the keys disable the Administrator account again

Mas, para isso, eles devem ter direitos de administrador, portanto, habilitar a conta do Administrador não teria sentido, já que eles poderiam se tornar um DRA.

No fim das contas, se alguém tiver acesso físico ao computador, ele pode se proteger com algo tão simples quanto um keylogger de hardware para roubar sua própria senha.

    
por 02.04.2011 / 18:56