Acceso a archivos cifrados con EFS después de restablecer la contraseña de Windows

12

Tengo algunos archivos cifrados con EFS en Windows. La cuenta de usuario propietaria está protegida por una contraseña, que se puede omitir fácilmente (es decir, restablecer) mediante muchas herramientas y métodos.

Entonces, ¿qué pasará con estos archivos cifrados si eso sucede? ¿Serán accesibles para el atacante? ¿O seguirán protegidos y requerirán la clave de cifrado para acceder a ellos?

windows-7 encryption ntfs efs ICTAddict
fuente
2
He editado su pregunta para que quede un poco más claro que está utilizando EFS. Si eso no es correcto, puede revertir la edición. ¡Buena pregunta!
Ben N

Respuestas:

9

La respuesta existente es correcta porque la clave privada EFS está protegida por la contraseña del usuario. Sin embargo, es posible configurar agentes de recuperación de datos EFS que puedan descifrar cualquier archivo cifrado con EFS en un sistema. Los certificados DRA se establecen mediante la Política de grupo o la Política de seguridad local si no tiene un dominio.

Los DRA tienen dicho acceso porque cuando un sistema recibe la clave pública de los DRA, cifra la clave simétrica de cada archivo cifrado con la clave pública de cada DRA además de la clave pública del usuario. Por lo tanto, los DRA solo pueden recuperar archivos cifrados si se crearon o abrieron después de registrar su certificado.

Entonces, dependiendo de su configuración, podría ser posible recuperar los datos incluso después de restablecer la contraseña del propietario. Las claves de DRA también están protegidas por la contraseña de DRA, pero un atacante astuto instalaría un certificado de DRA para un nuevo usuario, esperaría a que tocara los archivos de destino y luego aprovecharía el certificado para descifrarlos.

Tenga en cuenta que esta opción de recuperación no se aplica a los datos protegidos con DPAPI, ya que DPAPI no respeta los ERA DRA. Tendrá algo de dolor si necesita recuperar esos datos.

Ben N
fuente
7

La clave privada EFS del usuario, así como otros datos privados guardados por Windows, se cifran con la contraseña del usuario. Si se cambia la contraseña, es imposible descifrar las claves privadas, y sin eso, es imposible acceder a los archivos cifrados.

usuario1686
fuente
1
No estoy seguro de entender completamente esto, ¿quiere decir que una vez que la contraseña es restablecida por un software de terceros, los datos cifrados desaparecen para siempre?
ICTAddict
2
Eso es correcto. La clave privada EFS se cifra mediante la "API de protección de datos", CryptProtectData y CryptUnprotectData. Exactamente cómo funciona esta API está bien explicado en MSDN; Lo que cabe en un comentario aquí es esto: la contraseña proporcionada al iniciar sesión es parte de la entrada a la generación de claves. Si usted cambia de PW, entonces todos los secretos que previamente cifrados con esta API son re-introducido con la nueva contraseña. Pero si el software de un tercero (o el administrador) cambia su contraseña, esto no se puede hacer y pierde el acceso a los secretos previamente encriptados. Consulte también "Agente de recuperación de EFS".
Jamie Hanrahan
3
@JamieHanrahan: esto podría justificar una pregunta por separado, pero es solo una ligera expansión de la pregunta original anterior: si después de que la contraseña fue restablecida por herramientas de terceros como se indicó anteriormente, la contraseña original fue encontrada (recordada), iniciaría sesión (usando el "restablecer" contraseña) y cambiar la contraseña de nuevo a la contraseña original ¿permite el acceso a los archivos cifrados con EFS?
Kevin Fegan